Minggu, 20 Januari 2019

Tugas 1 Audit Teknologi Sistem Informasi


Nama : Panji Setya Prawira
Kelas : 5KA44
Npm : 1B118726

1.      Jelaskan jenis-jenis Audit ?
a.       Audit Internal adalah pegawai dari perusahaan yang diaudit, auditor ini melibatkan diri dalam suatu kegiatan penilaian independen dalam lingkungan perusahaan sebagai suatu bentuk jasa bagi perusahaaan. Fungsi dasar dari Internal Audit adalah suatu penilaian, yang dilakukan oleh pegawai perusahaan yang terlatih mengenai ketelitian, dapat dipercayainya, efisiensi, dan kegunaan catatan-catatan (akutansi) perusahaan, serta pengendalian intern yang terdapat dalam perusahaan. Tujuannya adalah untuk membantu pimpinan perusahaan (manajemen) dalam melaksanakan tanggungjawabnya dengan memberikan analisa, penilaian, saran, dan komentar mengenai kegiatan yang di audit. Untuk mencapai tujuan tersebut, internal auditor melakukan kegiatan–kegiatan berikut:
·         Menelaah dan menilai kebaikan, memadai tidaknya dan penerapan sistem pengendalian manajemen, struktur pengendalian intern, dan pengendalian operasional lainnya serta mengembangkan pengendalian yang efektif dengan biaya yang tidak terlalu mahal.
·         Memastikan ketaatan terhadap kebijakan, rencana dan prosedurprosedur yang telah ditetapkan oleh manajemen.
·         Memastikan seberapa jauh harta perusahaan dipertanggungjawabkan dan dilindungi dari kemungkinan terjadinya segala bentuk pencurian, kecurangan dan penyalahgunaan.
·         Memastikan bahwa pengelolaan data yang dikembangkan dalam organisasi dapat dipercaya.
·         Menilai mutu pekerjaan setiap bagian dalam melaksanakan tugas yang diberikan oleh manajemen.
·         Menyarankan perbaikan-perbaikan operasional dalam rangka meningkatkan efisensi dan efektifitas
b.      Audit Sistem Informasi adalah dapat dilakukan dengan berbagai macam tahap-tahap. Tahap-tahap audit terdiri dari 5 tahap sebagai berikut :
·         Tahap pemeriksaan pendahuluan.
Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang dilakukan). Setelah itu, analisis risiko audit merupakan bagian yang sangat penting. Ini meliputi review atas pengendalian intern. Dalam tahap ini, auditor juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. pada tahap ini pula auditor dapat memutuskan apakah audit dapat diteruskan atau mengundurkan diri dari penugasan audit.
·         Tahap pemeriksaan rinci.
Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai dasar untuk menilai apakah struktur pengendalian intern yang diterapkan dapat dipercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor dalam menentukan langkah selanjutnya.
·         Tahap pengujian kesesuaian.
Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi. Informasi yang digunakan berada dalam file data yang biasanya harus diambil menggunakan software CAATTs. Pendekatan basis data menggunakan CAATTs dan pengujian substantif untuk memeriksa integritas data. Dengan kata lain, CAATTs digunakan untuk mengambil data untuk mengetahui integritas dan keandalan data itu sendiri.
·         Tahap pengujian kebenaran bukti.
Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup kompeten,. Pada tahap ini, pengujian yang dilakukan adalah (Davis at.all. 1981) :
Ø  Mengidentifikasi kesalahan dalam pemrosesan data
Ø  Menilai kualitas data
Ø  Mengidentifikasi ketidakkonsistenan data
Ø  Membandingkan data dengan perhitungan fisik
Ø  Konfirmasi data dengan sumber-sumber dari luar perusahaan.
·         Tahap penilaian secara umum atas hasil pengujian.
Pada tahap ini auditor diharapkan telah dapat memberikan penilaian apakah bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan pendapatanya dalam laporan auditan. Auditor harus mengintegrasikan hasil proses dalam pendekatan audit yang diterapkan audit yang diterapkan. Audit meliputi struktur pengendalian intern yang diterapkan perusahaan, yang mencakup :
·         pengendalian umum
·         pengendalian aplikasi, yang terdiri dari :
Ø  pengendalian secara manual
Ø  pengendalian terhadap output sistem informasi, dan
Ø  pengendalian yang sudah diprogram.

c.       Audit Kecurangan adalah upaya untuk mendeteksi dan mencegah kecurangan dalam transaksi-transaksi komersial. Untuk dapat melakukan audit kecurangan terhadap pembukuan dan transaksi komersial memerlukan gabungan dua keterampilan, yaitu sebagai auditor yang terlatih dan kriminal investigator.
d.      Audit Eksternal adalah Auditor eksternal merupakan pihak luar yang bukan merupakan karyawan perusahaan, berkedudukan independen dan tidak memihak baik terhadap auditee (pengguna laporan) maupun terhadap pihak-pihak yang berkepentingan dengan auditee
e.       Audit Keuangan adalah Audit Laporan Keuangan (Financial Audit) Audit laporan keuangan bertujuan untuk menentukan apakah laporan   keuangan   secara   keseluruhan   telah   disajikan   sesuai dengan kriteria-kriteria tertentu yang ditetapkan. Kriteria tersebut adalah prinsip akuntansi yang berlaku umum.


Sumber :


Tugas 3 (Audit Teknologi Sistem Informasi)


Penjelasan semua point-point dari control objectives and controls (Tabel A1), yang terdapat dalam ISMS ISO 27001 – 2005. Berikut merupakan point-point yang terkandung dari tabel A1 :

A.5 Security Policy
Pada bagian ini berfungsi untuk kebijakan keamanan informasi yang bertujuan untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi sesuai dengan persyaratan bisnis dan hukum dan peraturan yang relevan. Kontrol Dokumen kebijakan keamanan informasi harus disetujui oleh manajemen, dan dipublikasikan serta dikomunikasikan kepada semua karyawan dan pihak eksternal terkait. Kontrol kebijakan keamanan informasi harus ditinjau pada interval yang direncanakan atau jika terjadi perubahan signifikan untuk memastikan kesesuaian, kecukupan, dan efektivitasnya. 
  
A.6 Organization of information security
6.1 Organisasi internal
Tujuan: Untuk mengelola keamanan informasi dalam organisasi terdiri dari 8 bagian, yaitu :
1.  Komitmen manajemen terhadap keamanan informasi
Manajemen harus secara aktif mendukung keamanan dalam organisasi melalui arahan yang jelas, komitmen yang ditunjukkan, penugasan eksplisit, dan pengakuan tanggung jawab keamanan informasi.
2. Koordinasi keamanan informasi
Kegiatan keamanan informasi harus dikoordinasikan oleh perwakilan dari berbagai bagian organisasi dengan peran dan fungsi pekerjaan yang relevan.
3.  Alokasi tanggung jawab keamanan informasi
Semua tanggung jawab keamanan informasi harus didefinisikan dengan jelas.
4.  Proses otorisasi untuk fasilitas pemrosesan informasi
Proses otorisasi manajemen untuk fasilitas pemrosesan informasi baru harus ditentukan dan diimplementasikan.
5.  Perjanjian kerahasiaan
Persyaratan untuk perjanjian kerahasiaan atau non-pengungkapan yang mencerminkan kebutuhan organisasi untuk perlindungan informasi harus diidentifikasi dan ditinjau secara berkala.
6.  Kontak dengan pihak berwenang
Kontak yang sesuai dengan otoritas terkait harus dijaga.
7.  Kontak dengan kelompok minat khusus
Kontak yang sesuai dengan kelompok minat khusus atau forum keamanan spesialis lainnya dan asosiasi profesional harus dijaga.
8.  Tinjauan independen keamanan informasi
Pendekatan organisasi untuk mengelola keamanan informasi dan implementasinya (mis. Mengontrol tujuan, kontrol, kebijakan, proses, dan prosedur untuk keamanan informasi) harus ditinjau secara independen pada interval yang direncanakan, atau ketika terjadi perubahan signifikan pada implementasi keamanan.
6.2 Pihak luar
Tujuan: Untuk menjaga keamanan informasi dan fasilitas pemrosesan informasi organisasi yang diakses, diproses, dikomunikasikan ke, atau dikelola oleh pihak eksternal. Ada 3 poin, yaitu :
1. Identifikasi risiko yang terkait dengan pihak eksternal
Risiko terhadap informasi dan fasilitas pemrosesan informasi organisasi dari proses bisnis yang melibatkan pihak eksternal harus diidentifikasi dan kontrol yang tepat dilaksanakan sebelum memberikan akses.
2. Menangani keamanan ketika berhadapan dengan pelanggan
Semua persyaratan keamanan yang diidentifikasi harus diatasi sebelum memberikan pelanggan akses ke informasi atau aset organisasi.
3. Menangani keamanan dalam perjanjian pihak ketiga
Perjanjian dengan pihak ketiga yang melibatkan pengaksesan, pemrosesan, komunikasi atau pengelolaan informasi atau fasilitas pemrosesan informasi organisasi, atau menambahkan produk atau layanan ke fasilitas pemrosesan informasi harus mencakup semua persyaratan keamanan yang relevan.
A.7 Asset Management
Untuk mencapai dan memelihara perlindungan yang sesuai terhadap aset organisasi. Semua aset harus diidentifikasi secara jelas dan inventaris semua aset penting dibuat dan dipelihara. Semua informasi dan aset yang terkait dengan fasilitas pemrosesan informasi harus 'dimiliki3' oleh bagian organisasi yang ditunjuk. Aturan untuk penggunaan informasi dan aset yang dapat diterima terkait dengan fasilitas pemrosesan informasi harus diidentifikasi, didokumentasikan, dan diimplementasikan. Informasi harus diklasifikasikan untuk memastikan bahwa informasi menerima tingkat perlindungan yang sesuai. Informasi harus diklasifikasikan berdasarkan nilainya, persyaratan hukum, sensitivitas, dan kekritisan organisasi.Informasi juga harus melewati serangkaian prosedur pelabelan dan penanganan informasi yang tepat harus dikembangkan dan diimplementasikan sesuai dengan skema klasifikasi yang diadopsi oleh organisasi.
A.8 Human resources security
Untuk memastikan bahwa karyawan, kontraktor, dan pengguna pihak ketiga memahami tanggung jawab merekaPeran dan tanggung jawab keamanan karyawan, kontraktor, dan pengguna pihak ketiga harus ditentukan dan didokumentasikan sesuai dengan kebijakan keamanan informasi organisasi. Pemeriksaan verifikasi latar belakang pada semua kandidat untuk pekerjaan, kontraktor, dan pengguna pihak ketiga harus dilakukan sesuai dengan hukum, peraturan dan etika yang relevan, dan sebanding dengan persyaratan bisnis, klasifikasi informasi yang akan diakses, dan risiko yang dirasakan. Sebagai bagian dari kewajiban kontrak mereka, karyawan, kontraktor dan pengguna pihak ketiga harus menyetujui dan menandatangani syarat dan ketentuan kontrak kerja mereka, yang akan menyatakan tanggung jawab mereka dan organisasi untuk keamanan informasi. Manajemen harus mewajibkan karyawan, kontraktor, dan pengguna pihak ketiga untuk menerapkan keamanan sesuai dengan kebijakan dan prosedur organisasi yang ditetapkan. Semua karyawan organisasi dan, jika relevan, kontraktor dan pengguna pihak ketiga harus menerima pelatihan kesadaran yang tepat dan pembaruan rutin dalam kebijakan dan prosedur organisasi, yang relevan untuk fungsi pekerjaan mereka.
A.9 Physical And Environmental Security
A.9.1 Secure areas
Untuk mencegah akses fisik yang tidak sah, kerusakan dan interferensi ke tempat organisasi dan informasi, sebagai berikut  :
- Perimeter keamanan fisik
- Kontrol entri fisik
- Mengamankan kantor, ruangan dan fasilitas
- Melindungi terhadap eksternal dan ancaman lingkungan
- Bekerja di area aman
- Akses publik, pengiriman dan memuat area
A.9.2 Equipment Security
Untuk mencegah kehilangan, kerusakan, pencurian atau kompromi aset dan gangguan terhadap kegiatan organisasi :
- Peralatan tapak dan perlindungan
- Mendukung utilitas
- Keamanan kabel
- Pemeliharaan peralatan
- Keamanan peralatan di luar lokasi
- Pembuangan atau penggunaan kembali peralatan secara aman
- Penghapusan property
A.10 Communications And Operations Management
A.10.1 Prosedur dan tanggung jawab operasional
Hal ini untuk memastikan operasi fasilitas pemrosesan informasi yang benar dan aman. Seperti di bawah ini :
1.Prosedur operasi yang terdokumentasi.
2.Perubahan manajemen
3.Pemisahan tugas
4.Pemisahan pengembangan, pengujian dan fasilitas operasional
A.10.2 Manajemen pengiriman layanan pihak ketiga
Hal ini untuk menerapkan dan memelihara tingkat keamanan informasi dan pemberian layanan yang sesuai dengan perjanjian pemberian layanan pihak ketiga.bPengiriman layanan harus dipastikan kontrol keamanannya. Pemantauan dan peninjauan layanan pihak ketiga
dengan layanan, laporan, dan catatan yang disediakan. Mengelola perubahan pada layanan pihak ketiga termasuk memelihara dan meningkatkan kebijakan, prosedur, dan kontrol keamanan.
A.10.3 Perencanaan dan penerimaan system
Hal ini untuk meminimalkan risiko kegagalan sistem. Penggunaan sumber daya harus dipantau, disetel, dan proyeksi dibuat dari persyaratan kapasitas di masa depan untuk memastikan kinerja sistem yang diperlukan. Penerimaan system untuk sistem informasi baru, peningkatan, dan versi baru harus ditetapkan dan pengujian sistem yang sesuai dilakukan selama pengembangan dan sebelum penerimaan.
A.10.4 Perlindungan terhadap kode berbahaya dan ponsel
Hal ini untuk melindungi integritas perangkat lunak dan informasi. Kontrol terhadap kode berbahaya untuk pencegahan, dan pemulihan untuk melindungi terhadap kode berbahaya dan prosedur kesadaran pengguna yang sesuai harus dilaksanakan. Kontrol terhadap kode seluler
Kontrol jika penggunaan kode ponsel diotorisasi, konfigurasi harus memastikan bahwa kode ponsel resmi beroperasi sesuai dengan kebijakan keamanan.
A.10.5 Pencadangan
Tujuannya untuk menjaga integritas dan ketersediaan informasi dan fasilitas pemrosesan informasi.
A.10.5.1 Informasi cadangan
Salinan cadangan informasi dan perangkat lunak harus diambil dan diuji secara teratur sesuai dengan kebijakan cadangan yang disepakati.
A.10.6 Manajemen keamanan jaringan 
Tujuannya untuk memastikan perlindungan informasi dalam jaringan dan perlindungan infrastruktur pendukung dan jaringan harus dikelola dan dikendalikan secara memadai, agar terlindung dari ancaman, dan untuk menjaga keamanan sistem dan aplikasi yang menggunakan jaringan, termasuk informasi dalam perjalanan, serta perlu fitur keamanan, tingkat layanan, dan persyaratan manajemen semua layanan jaringan.
A.10.7 Penanganan media
Hal ini Untuk mencegah pengungkapan yang tidak sah, modifikasi, penghapusan atau penghancuran aset, dan gangguan terhadap kegiatan bisnis. Manajemen media yang dapat dipindahkan harus ada prosedur untuk pengelolaan media yang dapat dipindahkan.
dan media harus dibuang dengan aman dan aman ketika tidak lagi diperlukan, menggunakan prosedur penanganan dan penyimpanan informasi harus ditetapkan untuk melindungi informasi ini dari pengungkapan yang tidak sah atau penyalahgunaan.
A.10.8 Pertukaran informasi 
Hal ini untuk menjaga keamanan informasi dan perangkat lunak yang dipertukarkan dalam suatu organisasi dan dengan entitas eksternal apa pun. Kebijakan, prosedur, dan kontrol pertukaran formal harus ada untuk melindungi pertukaran informasi melalui penggunaan semua jenis fasilitas komunikasi. Serta perjanjian harus dibuat untuk pertukaran informasi dan perangkat lunak antara organisasi dan pihak eksternal. Informasi yang terlibat dalam pengiriman pesan elektronik harus dilindungi dengan tepat dan kebijakan dan prosedur harus dikembangkan dan diterapkan untuk melindungi informasi yang terkait dengan interkoneksi sistem informasi bisnis.
A.10.9 Layanan perdagangan elektronik
Tujuannya untuk memastikan keamanan layanan perdagangan elektronik, dan penggunaannya yang aman. Informasi yang terlibat dalam perdagangan elektronik yang melewati jaringan publik harus dilindungi dari aktivitas penipuan, sengketa kontrak, dan pengungkapan dan modifikasi yang tidak sah.
A.10.10 Pemantauan
Tujuannya untuk mendeteksi kegiatan pemrosesan informasi yang tidak sah. Catatan audit yang mencatat aktivitas pengguna, pengecualian, dan peristiwa keamanan informasi harus diproduksi dan disimpan selama periode yang disepakati untuk membantu dalam penyelidikan di masa depan dan pemantauan kontrol akses. Perlindungan informasi log dengan fasilitas pembalakan dan informasi log harus dilindungi terhadap gangguan dan akses tidak sah.
Kesalahan tersebut harus dicatat, dianalisis, dan diambil tindakan yang sesuai.

A.11 Access control
Dalam kontrol akses dapat beberapa poin sebagai berikut :
A.11.1 Persyaratan bisnis untuk kontrol akses
Kebijakan kontrol akses Kontrol
A.11.2 Manajemen akses pengguna
1. Pendaftaran pengguna Kontrol
2. Manajemen hak istimewa Kontrol
3. Manajemen kata sandi pengguna
4. Tinjauan hak akses pengguna
A.11.3 Tanggung jawab pengguna
Tujuan: Untuk mencegah akses pengguna yang tidak sah, dan kompromi atau pencurian informasi dan fasilitas pemrosesan informasi.
1.      Penggunaan kata sandi
2.      Pengguna harus mengikuti praktik keamanan yang baik dalam pemilihan dan penggunaan kata sandi.
3.      Peralatan pengguna yang tidak diawasi
4.      Pengguna harus memastikan bahwa peralatan yang tidak dijaga memiliki perlindungan yang tepat.
5.      Meja yang jelas dan layar bersih kebijakan
6.      Kebijakan meja yang jelas untuk kertas dan media penyimpanan yang dapat dilepas dan kebijakan layar yang jelas untuk fasilitas pemrosesan informasi harus diadopsi.

A.12 Akuisisi, pengembangan, dan pemeliharaan sistem informasi
A.12.1. Persyaratan keamanan sistem informasi
Tujuannya untuk memastikan bahwa keamanan adalah bagian integral dari sistem informasi.
A.12.2. Pemrosesan yang benar dalam aplikasi
Tujuannya untuk mencegah kesalahan, kehilangan, modifikasi yang tidak sah, atau penyalahgunaan informasi dalam aplikasi. Input data ke aplikasi harus divalidasi untuk memastikan bahwa data ini benar dan sesuai. Output data dari suatu aplikasi harus divalidasi untuk memastikan bahwa pemrosesan informasi yang disimpan adalah benar dan sesuai dengan keadaan.
A.12.3. Kontrol kriptografi
Tujuannya untuk melindungi kerahasiaan, keaslian, atau integritas informasi dengan cara. Kebijakan tentang penggunaan kontrol kriptografi untuk perlindungan informasi harus dikembangkan dan diimplementasikan.
A.12.4 Keamanan file system
Tujuannya untuk memastikan keamanan file sistem. Kontrol perangkat lunak operasional
harus ada prosedur untuk mengontrol instalasi perangkat lunak pada sistem operasional. Perlindungan data uji system perlu dan data uji harus dipilih dengan hati-hati, dan dilindungi
A.12.5 Keamanan dalam proses pengembangan dan dukungan
Tujuannya untuk menjaga keamanan perangkat lunak dan informasi sistem aplikasi. Implementasi perubahan harus dikendalikan oleh penggunaan prosedur kontrol perubahan formal. Tinjauan teknis aplikasi setelah perubahan sistem operasi jadi ketika sistem operasi diubah, aplikasi penting bisnis harus ditinjau dan diuji untuk memastikan tidak ada dampak buruk pada operasi atau keamanan organisasi.
A.12.6 Manajemen Kerentanan Teknis
Tujuannya mengurangi risiko akibat eksploitasi kerentanan teknis yang dipublikasikan. Informasi tepat waktu tentang kerentanan teknis dari sistem informasi yang digunakan harus diperoleh, paparan organisasi terhadap kerentanan tersebut dievaluasi, dan langkah-langkah yang tepat diambil untuk mengatasi risiko yang terkait.
A.13 Manajemen insiden keamanan informasi
A.13.1 Melaporkan kejadian dan kelemahan keamanan informasi
Tujuannya untuk memastikan kejadian dan kelemahan keamanan informasi yang terkait dengan sistem informasi dikomunikasikan dengan cara yang memungkinkan tindakan korektif yang tepat waktu dapat diambil, serta melaporkan kejadian keamanan informasi harus dilaporkan melalui saluran manajemen yang tepat secepat mungkin. Semua karyawan, kontraktor, dan pengguna sistem dan layanan informasi pihak ketiga diharuskan untuk mencatat dan melaporkan segala kelemahan keamanan yang diamati atau dicurigai dalam sistem atau layanan.
A.13.2 Manajemen insiden dan peningkatan keamanan informasi
Hal ini untuk memastikan pendekatan yang konsisten dan efektif diterapkan pada manajemen insiden keamanan informasi. Tanggung jawab dan prosedur manajemen harus ditetapkan untuk memastikan respons yang cepat, efektif, dan teratur terhadap insiden keamanan informasi. Harus ada mekanisme untuk memungkinkan jenis, volume, dan biaya insiden keamanan informasi untuk dikuantifikasi dan dipantau.
 
A.14 Pengelolaan kontinuitas bisnis
A.14.1 Aspek keamanan informasi manajemen kontinuitas bisnis
- Proses yang dikelola harus dikembangkan dan dipelihara untuk kelangsungan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang diperlukan untuk kelangsungan bisnis organisasi
- Peristiwa yang dapat menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan kemungkinan dan dampak dari gangguan tersebut dan konsekuensinya untuk keamanan informasi.
- Rencana harus dikembangkan dan diterapkan untuk mempertahankan atau memulihkan operasi dan memastikan ketersediaan informasi pada tingkat yang diperlukan dan dalam skala waktu yang diperlukan setelah gangguan terhadap, atau kegagalan, proses bisnis yang penting.
- Satu kerangka kerja rencana kesinambungan bisnis harus dipelihara untuk memastikan semua rencana konsisten, untuk secara konsisten menangani persyaratan keamanan informasi, dan untuk mengidentifikasi prioritas untuk pengujian dan pemeliharaan.
- Rencana kesinambungan bisnis harus diuji dan diperbarui secara berkala untuk memastikan bahwa mereka up to date dan efektif.

A.15 Kepatuhan
A.15.1 Kepatuhan dengan persyaratan hokum
Tujuannya untuk menghindari pelanggaran hukum, kewajiban hukum, peraturan atau kontrak, dan persyaratan keamanan apa pun.
- Semua persyaratan hukum, peraturan dan kontrak yang relevan dan pendekatan organisasi untuk memenuhi persyaratan ini harus secara eksplisit didefinisikan, didokumentasikan, dan terus diperbarui untuk setiap sistem informasi dan organisasi.
- Prosedur yang sesuai harus diterapkan untuk memastikan kepatuhan terhadap persyaratan legislatif, peraturan, dan kontrak tentang penggunaan materi yang mungkin ada hak kekayaan intelektual dan penggunaan produk perangkat lunak berpemilik.
- Catatan penting harus dilindungi dari kehilangan, kehancuran dan pemalsuan, sesuai dengan persyaratan hukum, peraturan, kontrak, dan bisnis.
- Perlindungan data dan privasi harus dipastikan sebagaimana dipersyaratkan dalam undang-undang yang relevan, peraturan, dan, jika berlaku, klausul kontrak.
- Pengguna harus dihalangi untuk menggunakan fasilitas pemrosesan informasi untuk tujuan yang tidak sah.
- Kontrol kriptografi harus digunakan sesuai dengan semua perjanjian, hukum, dan peraturan yang relevan.
 A.15.2 Kepatuhan terhadap kebijakan dan standar keamanan, dan kepatuhan teknis
Tujuannya untuk memastikan kepatuhan sistem dengan kebijakan dan standar keamanan organisasi.
- Manajer harus memastikan bahwa semua prosedur keamanan dalam wilayah tanggung jawabnya dilaksanakan dengan benar untuk mencapai kepatuhan terhadap kebijakan dan standar keamanan.
- Sistem informasi harus diperiksa secara berkala untuk kesesuaian dengan standar implementasi keamanan.
A.15.3 Pertimbangan audit sistem informasi
Tujuannya memaksimalkan keefektifan dan meminimalkan gangguan ke / dari proses audit sistem informasi.
- Persyaratan dan kegiatan audit yang melibatkan pemeriksaan sistem operasional harus direncanakan dan disepakati secara hati-hati untuk meminimalkan risiko gangguan terhadap proses bisnis.
- Akses ke alat audit sistem informasi harus dilindungi untuk mencegah kemungkinan penyalahgunaan atau kompromi.


Senin, 14 Januari 2019

4.3 Coba amati dan jelaskan kelebihan dan kelemahan pada transportasi online di indonesia ? Gojek

Gojek

Kelebihan

Aplikasi  buatan Indonesia
Banyak Terdapat Jenis pelayanan yang di tawarkan pada aplikasi Gojek
Driver Go-jek sudah ada banyak banget
Bisa menggunakan Go Pay untuk melakukan pembayarannya
Tarif sudah ditentukan. Penambahan harga tarif hanya terjadi saat rush hour maupun  permintaannya sedang meningkat.
Kekurangan
Jika memasuki jam sibuk (rush hour), sistem aplikasi terkadang down
Masih belum bisa pindah tujuan awal maupun sekedar mampir dengan rute yang beda

Grab 

Kelebihan

Grab memiliki layanan yang baik yaitu driver ojek, driver car, driver taksi tercepat dan grab express untuk mengirim paket atau dokumen dengan layanan karir.
 Jumlah pengemudi terbesar se-Asia Tenggara dan termasuk Indonesia.
Grab  memberlakukan sistem tarif flat. Jadi harga perjalanan akan ditentukan di awal, dan pelanggan tidak perlu berkeringat bila terjebak macet yang lama karena harganya tetaplah sama. 
Pengemudi yang sudah terlatih dan adanya kerja sama dengan pihak keamanan dengan pemerintah.
Adanya asuransi kecelakaan untuk menjamin pelanggan Grab.
Mempermudah pembayaran baik secara tunai, kartu kredit dan mobile wallet.
Secara user interface, GrabCar memiliki desain yang lebih elegan dibandingkan dengan taksi lainnya.
 Sistem pemesanan Grab lebih mudah.

Kekurangan

Banyak keluhan dari pelanggan yang kurang ditanggapi.
Cara aplikasi ini menemukan lokasi tidak efektif karena jangkauan mesin pencarian terlalu luas.

4.2 Bandingkan dan jelaskan inovasi apa yang paling utama pada aplikasi transportasi online di indonesia?


Penjelasan :

Ojek online Bisnis kreatif dan inovatif yang memanfaatkan Teknologi Informasi dan Komunikasi yang paling menonjol saat ini adalah Gojek. Yang merupakan industri baru di Indonesia. Kemampuan melihat peluang usaha dengan memanfaatkan Teknologi Informasi dan Komunikasi di Indonesia patut diacungi jempol. Gojek adalah pelopor bisnis Ekonomi Kreatif berbasis TIK di Indonesia, dalam waktu singkat perusahaan tersebut mampu menjadi sorotan masyarakat dan pelaku bisnis lainnya, sebagian kalangan pemerintahan pun memujinya dan menganggap itu sebagai ekonomi kreatif. Pro dan kontra di kalangan pelaku bisnis pun muncul, penolakan dan dukungan datang silih berganti, bahkan demo besar-besaran para pengemudi taxi, bis, mikrolet yang merasa terusik dan dirugikan dengan hadirnya Gojek turut mewarnai pro dan kontra kehadiran kedua bisnis kreatif tersebut di Indonesia. Bahkan menteri perhubungan sempat melarang beroperasinya Gojek, namun larangan tersebut mendapat perlawanan dan tantangan dari berbagai pihak, antara lain banyaknya protes dari masyarakat, kalangan akademisi, politikus, netizen, dan tentu saja para pengemudi Gojek itu sendiri merasa keberatan dengan larangan tersebut, melihat besarnya penolakan terhadap larangan operasi Gojek tersebut yang dapat berpotensi menimbulkan gejolak sosial yang mengganggu stabilitas ekonomi dan sosial Presiden turun tangan sehingga akhirnya larangan Menteri Perhubungan tersebut dibatalkan. Fenomena Gojek sebagai bagian dari industri kreatif tersebut yang mendapat sorotan dari berbagai pihak, mulai dari masyarakat umum, kalangan akademisi, profesional, politisi, aparatur pemerintahan telah menjadi berita skala nasional dan internasional. Kehadiran Gojek dengan inovasi dan kreativitas bisnisnya yang membawa manfaat luar biasa bagi banyak pihak khususnya masyarakat pengguna transportasi inilah yang menginspirasi penulis untuk membuat artikel dengan judul “Ekonomi Kreatif Berbasis Teknologi Informasi dan Komunikasi ala Gojek”.

GO-JEK
GO-JEK adalah sebuah perusahaan teknologi berjiwa sosial yang bertujuan untuk meningkatkan kesejahteraan pekerja di berbagai sektor informal di Indonesia 9gojek.com, 2016). Saat ini Gojek bermitra dengan sekitar 200.000 pengendara ojek yang berpengalaman dan terpercaya di Indonesia, untuk menyediakan berbagai macam layanan, termasuk transportasi dan pesan antar makanan. Kegiatan GO-JEK bertumpu pada tiga nilai pokok:
Kecepatan
Inovasi
Dampak social

Fasilitas yang didapatkan para Driver GO-JEK bukan hanya dari sistem bagi hasil yang menguntungkan mereka juga mengatakan bahwa pendapatan mereka meningkat semenjak bergabung sebagai mitra, mereka juga mendapatkan santunan kesehatan dan kecelakaan, serta mendapat akses ke lebih banyak pelanggan melalui aplikasi ojek online Gojek.

Perbandingan :
Perbandingan Ojek Online Gojek Vs Grab Bagus Mana Pilih Mana ? – Mungkin itu yang sering ditanyakan Para Pecinta Ojek Di Jakarta Dan Sekitarnya. Jika beberapa tahun lalu kita masih sering naik kendaraan umum konvensional, lain ceritanya dengan sekarang. Hampir di setiap tempat kita bisa menjumpai ojek online yang siap digunakan. Kehadiran ojek online memang membuat kita mudah ke mana-mana, praktis dan murah. Dari sejumlah penyedia layanan ini, Go-Jek dan Grab memang masih yang paling menonjol dan bersaing ketat di Indonesia. Sama-sama identik dengan warna hijau, masing-masing punya senjata untuk menarik perhatian konsumen. Simak perbandingannya.
Berikut Perbandingan Ojek Online Gojek Vs Grab

Ojek Online Go-Jek
Saat ini total ada 13 layanan ditawarkan Go-Jek. Selain layanan utama ojek online Go-Ride, Go-Jek juga menawarkan layanan Go-Car, Go-Send, Go-Food, Go-Mart, Go-Busway, Go-Tix, Go-Box, Go-Clean, Go-Glam, Go-Massage, Go-Med dan Go-Auto.
Dengan jumlah armada sekitar 220 ribu driver (per April 2016), Go-Jek menguasai pasar lokal dengan operasional yang mencakup hampir semua kota-kota besar di Indonesia. Layanan besutan Nadiem Makarim ini tersedia di wilayah Jabodetabek, Bandung, Bali, Surabaya, Makassar, Palembang, Medan, Balikpapan, Yogyakarta, Semarang, Manado, Solo, Samarinda, Malang dan Batam.

Go-Jek memberlakukan jam sibuk atau rush hour yakni pada pagi hari 06.00-09.00 dan sore 16.00-19.00. Di jam ini, tarif akan lebih mahal sekitar Rp 5.000 dari jam normal.
Untuk menarik minat konsumen, Go-Jek merayu pelanggannya dengan menawarkan diskon tarif perjalanan 50% jika membayar dengan uang elektronik Go-Pay. Sejauh ini, promosi tersebut masih berlaku hingga Januari 2017. Promosi ini juga dilakukan Go-Jek untuk mendorong lebih banyak orang beralih ke cashless experience alias non tunai.
Berbicara pengalaman menggunakan aplikasi, sayangnya pada aplikasi Go-Jek masih kerap ditemui eror. Terkadang, orderan driver tersendat atau malah terjadi dobel order yang sering membingungkan pengguna dan driver.
Untuk komunikasi di antara driver dan penumpang, Go-Jek masih mengandalkan konektivitas selular. Jadi, ini akan memakan pulsa tambahan di luar paket data internet ketika driver dan penumpang perlu menelepon atau SMS. Di sisi lain, hal ini memungkinkan nomor telepon penumpang bisa diketahui driver.
Catatan lainnya, pada aplikasi Go-Jek tidak dicantumkan plat nomor kendaraan driver, sehingga menyulitkan pengguna menemukan driver yang menjemput mereka. Kondisi ini dipersulit dengan ketidakdisiplinan beberapa driver yang tidak menggunakan seragam.

Ojek Online Grab
Grab saat ini menawarkan tujuh layanan, GrabBike, GrabCar, GrabHitch, GrabExpress, GrabFood, GrabTaxi Promo dan GrabTaxi.
Jumlah armadanya kurang lebih 250 ribu (data April 2016), namun angka itu mencakup penyebarannya di Asia Tenggara. Startup yang dipimpin Anthony Tan ini masih kalah dengan dominasi armada Go-Jek di pasar lokal.
Grab memang tak hanya fokus di Indonesia, melainkan mengincar pasar Asia Tenggara. Layanan ride sharing tersebut saat ini hadir di Malaysia, Indonesia, Singapura, Thailand, Vietnam dan Filiphina.
Sebagai pesaing Go-Jek, Grab berupaya mengambil hati konsumen dengan memberikan berbagai diskon secara agresif. Grab kerap membuat kampanye tematik yang memasukkan kode tertentu untuk mendapatkan diskon, bahkan menggratiskan tarif perjalanan.
Sama seperti Go-Jek, Grab juga memberlakukan jam sibuk atau rush hour yakni pada pagi hari 06.00-09.00 dan sore 16.00-19.00. Di jam ini, tarif akan lebih mahal sekitar Rp 5.000 dari jam normal.
Grab Masnya, salah satu kampanye promosi Grab GrabMasnya, salah satu kampanye promosi diskon Grab Beralih ke pengalaman menggunakan aplikasi, harus diakui aplikasi Grab relatif lebih smooth dan minim terjadi eror dibandingkan dengan Go-Jek. Nilai plusnya, Grab juga punya fitur chat dan panggilan telepon di dalam aplikasi.
Jadi, tidak perlu biaya tambahan (koneksi seluler) ketika harus menelepon atau SMS, karena berbasis data internet. Fitur komunikasi ini membuat driver maupun penumpang tidak saling tahu nomor telepon sehingga privasi lebih terjaga.
Grab juga mencantumkan plat nomor kendaraan si driver pada aplikasinya, sehingga memudahkan penumpang menemukan driver yang menjemput. Di sisi lain, rata-rata driver Grab juga terbilang lebih disiplin menggunakan seragam sebagai salah satu tanda pengenalnya.
Saya sendiri sering menggunakan Go-Jek dalam perjalanan harian saya bekerja dari stasiun Pasar Senen Jakarta Kota ke lokasi tempat kerja saya di daerah Jakarta Barat dengan biaya kisaran Rp 30.000 sd Rp 35.000 setelah dikurangi potongan Rp 10.000 karena saya menggunakan auto debet saldo top cash. Jarak tempuh sekitar 16 km.

4.1 Jelaskan dan berikan contoh apa yang anda ketahui tentang share service dalam dunia bisnis ?


Shared Service adalah konsolidasi atau sebuah business model yang memungkinkan sumber daya – sumber daya atau resources yang ada untuk keseluruhan elemen yang ada di dalam organisasi tersebut untuk level customer-service yang sudah ditentukan sebelumnya. Shared Services adalah sebuah business unit yang terpisah yang diciptakan dalam sebuah perusahaan, sebuah organisasi atau sebuah agen yang bertanggung jawab untuk memberikan pelayanan atau services kepada operating business unit dan fungsi – fungsi korporasi di perusahaan atau organisasi tersebut.
Selain itu, Shared service bisa juga berarti penyediaan sebuah service atau pelayanan oleh satu bagian dari sebuah organisasi atau grup di mana service tersebut sebelumnya sudah ditemukan di dalam lebih dari satu bagian dari organisasi atau perusahaan tersebut. Secara harafiahnya, shared service adalah sebuah service atau layanan yang di-share atau dibagi pemakaian atau penggunaannnya oleh beberapa ataupun semua bagian -bagian entitas di dalam sebuah perusahaan atau organisasi.
Faktor pendanaan maupun sumberdaya dari service dibagi dan department yang menyediakan pelayanan tersebut secara efektif menjadi sebuah internal service provider atau sebuah penyedia jasa layanan internal. Ide utama dari shared service adalah “sharing” dalam sebuah organisasi atau group. Sharing ini secara fundamental dibutuhkan untuk memasukkan shared accountability atau akuntabilitas pembagian dari hasil oleh unit di mana pekerjaan yang dibagikan tersebut diboyong oleh sang provider. Di sisi sebaliknya, sang provider perlu untuk memastikan bahwa hasil yang sudah disetujui bersama tersebut disampaikan berdasarkan standard tertentu yang sudah ditetapkan (KPIs, cost, kualitas, dll). Shared Services juga bisa diterapkan dalam hubungan antar dua buah organisasi yang berbeda maupun lebih, untuk bagian yang berbeda dari kedua organisasi tersebut.



Contoh
kasus The New York Times, sebuah research and development group yang dipekerjakan oleh surat kabar The New York Times, mengembangkan sebuah sistem shared service di antara dua lusin produsen surat kabar, sebuah stasiun radio dan lebih dari 50 unit websites. Fungsi utama dari shared services yang dikembangkan oleh sang research and development group ini untuk The New York Times adalah untuk menambahkan dan mendukung inovasi yang ada di dalam business unit tersebut.
Upaya yang dilakukan The New York Times memfokuskan pengembangan inovasi teknologi informasi melalui upaya pengumpulan inisiatif dari berbagai pihak yang berbeda.



Ada beberapa keuntungan atau advantages yang didapat oleh The New York Times dalam menerapkan shared services di dalam business units network-nya adalah:
1. Cost-efficiency or Economies of Scale – Dengan menerapkan sistem shared services ini pastinya akan lebih hemat secara cost untuk pihak The New York Times.
2. Jika ada satu inovasi positif yang ingin diterapkan oleh pihak The New York Times akan bisa langsung disampaikan dan diterima oleh semua business units yang terhubungkan secara sistem shared services oleh pihak The New York Times tersebut.
3. Adanya sebuah proses yang sudah terstandardisasikan untuk keseluruhan business units yang tergabung dalam network The New York Times.
4. Common Technology Platform – Dimungkinkannya transformasi yang terkoordinasi antara front, middle dan back-offices yang tergabung dalam network shared services tersebut.
5. Semua Operating units bebas untuk focus kepada proses operasional mereka dan external customers mereka. Jika sewaktu -waktu ada masalah mereka bisa kembali kepada Shared Services untuk support.
6. Decision Support – Data yang dianalisa dan disampaikan adalah data yang sudah reliable dan sudah siap untuk dieksekusi.
7. Flexibility – Shared Services bisa disumberkan melalui berbagai multiple delivery channels dan berbagai lokasi geographis.
8. Scalability – Shared Services delivery model bisa diukur untuk akuisi dari segi dan aspek geographis dan expansi service scope dengan biaya tambahan yang relatif rendah.
9. Diperoleh berbagai inisiatif yang beragam. Ini dimungkinkan karena adanya berbagai pihak yang terlibat dalam upaya inovasi teknologi informasi.
10. Adanya support bagi inovasi dalam unit bisnis melalui kerjasama dengan pihak lain yang lebih kompeten dibidang masing-masing, sehingga akan tercapai inovasi yang unggul. Hal ini sejalan dengan pendapat O’Brien (2005) yang menyatakan bahwa salah satu strategi dasar penggunaan teknologi informasi dalam bisnis adalah strategi persekutuan, dimana perusahaan membuat hubungan dan persekutuan bisnis baru dengan konsultan, dan perusahaan-perusahaan lainnya. Langkah ini dilakukan melalui kerjasama dengan perusahaan di bidang IT (Adobe developers, Times Widgets), perusahaan jasa hiburan (Netflix).
11. Semenjak mulai berinovasi, The New York Times tidak memerlukan modal investasi yang terlalu besar. Menurut O’Brien (2005) salah satu strategi dasar penggunaan teknologi informasi dalam bisnis adalah strategi kepemimpinan dalam biaya, dimana perusahaan berusaha memangkas biaya-biaya dalam proses bisnis. The New York Times mampu meningkatkan pendapatan sekaligus memangkas biaya, melakukan efisiensi melalui perbaikan proses (process development) dan otomatisasi. Upaya ini dilakukan melalui penggunaan software untuk rapid development berupa penggunaan aplikasi pengembangan cepat (rapid application), yaitu software metode pengembangan yang digunakan untuk perencanaan singkat sebelum membentuk prototipe rapid.
Pertumbuhan penggunaan shared services dalam kehidupan berbisnis secara terus menerus dihubungkan dengan restrukturisasi bisnis dalam skala yang lebih besar dan juga terus tumbuh seiring dengan pertumbuhan entitas bisnis secara keseluruhan di dunia ini dan juga kegunaannya untuk membentuk sebuah platform atau landasan yang kokoh untuk pertumbuhan global yang bertumbuh secara cepat. Secara umum, faktor pendorong yang kuat untuk mengimplementasikan shared services sering sekali berhubungan dengan costs, kualitas, speed, dependablity, dan flexibility.
Beberapa keterbatasan atau disadvantages yang didapat oleh The New York Times dalam menerapkan shared services di dalam business units network-nya adalah:
1. Resistence to Change – Perubahan management yang efektif harus menjadi sebuah komponen dari implementasi shared services tersebut, tanpa memandang bulu sumbernya.
2. Legacy Systems – Walaupun selalu tidak menjadi mungkin, shared services dan interogasi sistem adalah bagian dari proyek transformasi yang bisa menghasilkan hasil yang sukses. Keterbatasan dari legacy bisa membuat hasil yang diinginkan tidak optimal.
3. Leadership – Ada saat – saat yang sulit, di mana semua orang harus mempunyai pandangan yang sama bilamana ada kebijakan yang ingin diterapkan
4. Shared Service Team – Perilaku dan Kemampuan yang telah ditentukan oleh sebuah team yang service-oriented diprioritaska untuk memungkinkan dan memampukan teknologi untuk mengoptimalisasi proses yang bisa jadi tidak eksis dalam organisasi hari ini. Pastikan dalam menentukan orang yang tepat sebelum kita memulainya.
5. Perusahaan yang sehat dan berkembang perlu menyisihkan 90-95% dari dana inovasinya untuk inovasi sesuai inti bisnisnya dan 5-10% untuk model bisnis baru. Artinya perlu ada kepastian dana yang tidak sedikit dalam upaya inovasi ini. Hal ini bertolak belakang dengan upaya The New York Times yang justru melakukan efisiensi biaya.
6. Keterbukaan The New York Times untuk menjalin kerjasama dengan pihak luar yang memiliki beragam inisiatif berbeda membuka peluang pada terbukanya “informasi berharga” kepada pihak luar yang mungkin tidak menguntungkan bagi The New York Times.
7. Industri surat kabar menghadapi permasalahan yang komplek, oleh karena itu memerlukan kesabaran untuk mengembangkan model bisnis yang baru dan memastikan budget keuangan perusahaan selalu tersedia.
Secara umum, kelemahan dari shared services adalah proses yang dihasilkan secara keseleruhan akan dibuatnya lebih panjang dan lebih kompleks. Suatu sistem yang mampu menampung dan menyebarkan kembali ide-ide dari masing-masing individu maupun tim perusahaan memerlukan infrastruktur teknologi informasi yang lebih baik dan akan membutuhkan dana yang tidak sedikit.