Nama Nomor Absen Kelas
: Roshid Andru Mustaqiim : 30 : 9-1 DIV Alih Program
TUGAS AUDIT SISTEM INFORMASI : COBIT – ITIL ITIL – ISO ISO
I. Pendahuluan Penerapan IT di perusahaan harus ditunjang dengan suatu tata kelola IT ( IT IT Governance) Governance) mulai dari perencanaan sampai implementasinya yang mengacu pada framework pada framework , best-practices, best-practices, atau standar yang sudah mendapatkan pengakuan secara luas. Ada beberapa jenis tata kelola IT yang digunakan oleh perusahaan-perusahaan di dunia, di antaranya adalah COBIT, ITIL dan ISO. Ketiganya pada dasarnya adalah fra fr amework dalam hal pengelolaan IT. Namun selanjutnya akan diklasifikasikan dengan istilah-istilah lain dan akan di perbandingkan satu sama lain agar mempermudah pemahaman.
Pengertian
COBIT (Control (Control Objectives for Information and related Technology ) adalah suatu highlevel framwork untuk untuk tata kelola IT yang dapat membantu auditor, manajemen, dan pengguna untuk menjembatani pemisah ( gap) gap) antara risiko bisnis, kebutuhan pengendalian, dan permasalahan-permasalahan teknis. COBIT lebih banyak menjawab pertanyaan mengenai ”What” tentang tata kelola
IT dan mempunyai cakupan yang paling luas. COBIT dikembangkan
oleh IT Governance Institute (ITGI), yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan ( guidelines ( guidelines)) yang berorientasi pada bisnis. Olejh karena itu, business process owners dan owners dan manajer, termasuk juga auditor dan pengguna, diharapkan dapat memanfaatkan arahan ini dengan sebaik-baiknya. s ebaik-baiknya. COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada t ahap pengendalian, COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, COBIT versi 4 pada bulan Desember 2005 dan versi 4.1 pada bulan Mei 2007 lebih mengarah pada tata kelola IT, dan terakhir COBIT versi 5 pada bulan Juni 2012 yang yang menekankan tata kelola IT pada perusahaan. ITIL ( Information Technology Infrastructure Library) Library) yang dikeluarkan oleh OGC (Office of Government Commerce), Commerce), adalah seperangkat framework seperangkat framework untuk untuk mengelola IT mengelola IT Service Level . Meskipun dalam banyak hal ITIL sangat mirip dengan COBIT, namun perbedaan mendasarnya adalah Cobit menetapkan standar dengan melihat berdasarkan proses dan risiko, dan di sisi lain, ITIL menetapkan standar dari layanan IT dasar. Selain itu, ITIL lebih banyak
menjawab pertanyaan mengenai
“How”
atau bagaimana cara perusahaan mengelola IT dan
lingkungan pengendaliannya. Sementara itu, Organisasi Standar Internasional, atau yang disebut dengan istilah ISO, adalah suatu asosiasi global yang terdiri dari badan-badan standardisasi nasional yang beranggotakan tidak kurang dari 140 negara. ISO merupakan suatu organisasi di luar pemerintahan ( Non-Government Organization/NGO) yang berdiri sejak tahun 1947. Misi dari ISO adalah untuk mendukung pengembangan standardisasi dan kegiatan-kegiatan terkait lainnya dengan harapan untuk membantu perdagangan internasional, dan juga untuk membantu pengembangan kerjasama secara global di bidang ilmu pengetahuan, teknologi dan kegiatan ekonomi. Kegiatan pokok ISO adalah menghasilkan kesepakatan-kesepakatan internasional yang kemudian dipublikasikan sebagai standar internasional. ISO yang berkaitan dengan IT di antaranya ISO 27001, ISO 27002, dan ISO 31000.
II.
Perbandingan
A. Cakupan COBIT, ITIL dan ISO
Secara singkat, berdasarkan luas cakupannya, dapat dijelaskan sebagai b erikut:
COBIT terutama dirancang sebagai model IT governance, terutama dalam hal ‘audit ’.
ITIL dirancang sebagai kerangka kerja manajemen layanan untuk membantu memahami “ Bagaimana Anda mendukung kegiatan proses” dan “Bagaimana Anda memberikan layanan.”
2
Perbedaan antara COBIT dan ITIL adalah, COBIT memberitahukan tentang “Apa yang seharusnya Anda lakukan”, sedangkan ITIL memberitahukan “ Bagaimana cara Anda harus melakukannya”.
Sedangkan ISO, pada dasarnya memberikan keamanan, namun tidak secara langsung terintegrasi dalam proses bisnis. ISO memiliki cakupan yang paling sempit, karena hanya berfokus pada keamanan saja.
B. Perbandingan berdasarkan Tujuan, Fungsi, Kelebihan, Kelemahan, Standardisasi dan Waktu Penggunaan. Perbandingan antara COBIT, ITIL, dan ISO Item Tujuan
COBIT
ITIL
COBIT 5 (diterbitkan oleh
ITIL
ISO
adalah
ISO 27001/27002
ITGI) adalah suatu high- seperangkat framework adalah
level
framework (relatif yang
terhadap ITIL, ISO 27001/
berasal
dari
27002) yang memetakan inti practices untuk mengelola
memungkinkan keberhasilan organisasi
Service
Level . Security
ITIL
sangat
mirip
melaksanakan kebijakan dan dengan COBIT, namun perbedaan
standar
dengan
ISO 27002 adalah sama- berdasarkan
System),
yang
dalam
mendasarnya pelaksanaannya
adalah Cobit menetapkan Persamaan COBIT 5 dengan
( Information
Meskipun dalam banyak Management
untuk hal
prosedur kunci.
Internasional
best ISMS
sekumpulan
proses IT dengan cara yang IT
Standar
sering
digunakan
melihat bersama
proses
dengan
dan ISO 27001. ISO
sama menjawab 'apa' yang risiko, dan di sisi lain, ITIL
27001
sedang
27002 disusun oleh
dikelola,
berbeda menetapkan standar dari
dengan ITIL yang menjawab
layanan IT dasar.
dan
ISO
ISO
'bagaimana' ISO 27001 hanya Namun, ISO 27002 berfokus
merumuskan
hanya
keamanan
sistem manajemen
sedangkan
yang
pada
informasi,
COBIT memiliki lingkup
mengontrol
keamanan
3
yang
lebih
luas,
dengan
mempertimbangkan
informasi,
semua
tanpa
memberikan
manajemen proses IT.
kontrol
tertentu
untuk setiap jenis industri.
ISO
27002 memberikan arahan
untuk
mengontrol keamanan informasi
untuk
berbagai
sektor
industri
yang
berbeda. Fungsi
COBIT
5
biasanya
ITIL
lebih
digunakan
oleh
eksekutif
digunakan
bisnis agar dapat berhasil mengelola dalam kebijakan
IT
sering
ISO
untuk
umumnya
Service
digunakan
melaksanakan Level . dan
27002
oleh
departemen
prosedur
IT
pada
kunci.
suatu
organisasi. Departemen
IT
Selain itu, COBIT 5 sering
berfokus
digunakan
pengendalian
mengintegrasikan
untuk hal-hal
keamanan
terkait pengendalian, isu-isu
informasi.
pada dan
teknis, dan risiko dalam suatu organisasi.
Kelebihan
Kelebihan COBIT:
1.ITIL merupakan ITSM
1. Rahasia 2. Proteksi
termudah terhadap
untuk
diimplementasikan.
memungkinkan manajer
sistem
informasi
untuk
Sebab,
dari akses yang tidak
diimplementasikan
mengidentifikasi
bertanggung jawab.
sebagian dan tidak akan
dan
mengganggu
bisa
27002
informasi yang sensitif
3. Integritas
ITIL
ISO
memitigasi
kinerja gap dan overlap 4
4. Berhubungan
dengan
penyediaan yang
keseluruhan. dalam
informasi
Contoh, jika departemen
untuk
TI kekurangan anggaran
sesuai
manajemen. 5. Secara
secara
umum
dapat
sistem informasi.
dan dia bisa memilih
ISO
untuk
lebih
menerapkan
keamanan
27002
juga
mudah
dikatakan bahwa COBIT
lapisan Service Strategy diimplementasikan
merupakan sebuah model
saja, dan tahun depan dia
karena
tata
akan
memberikan
kelola
TI
memberikan arahan
yang sebuah
yang
lengkap
mulai dari sistem mutu,
mencoba
menerapkan proses IT petunjuk Service
Management pelaksanaan
yang lain.
yang
rinci.
perencanaan, manajemen 2. Memberi deskripsi rinci proyek,
keamanan,
pengembangan pengelolaan Arahan kemudian
dan layanan.
dari
COBIT
TI
dan
menyediakan
daftar
komprehensif
tugas dan prosedur yang didalamnya
setiap
kembali oleh beberapa
organisasi
dapat
model framework sesuai
menyesuaikan
dengan
kebutuhannya sendiri
keilmuan.
didetailkan
sejumlah praktik penting
perkembangan
dengan
3. ITIL bukan merupakan standard
yang
memberikan prescription tetapi
lebih
kepada
merekomendasikan, oleh karena itu implementasi antara
satu
organisasi
dengan organisasi lain dapat dipastikan terdapat perbedaan.
Dengan
demikian kita tidak bisa membandingkan/ melakukan
benchmark
secara pasti. 5
Kelemahan
1. COBIT 5 relatif sulit
1. Cakupan tidak seluas
ISO 27002 hanya
diimplementasikan
COBIT, sehingga tidak berfokus
karena tidak memberikan
semua kebutuhan yang
petunjuk
berkaitan
yang
pelaksanaan
rinci.
Penerapan
Service
Management memiliki
membutuhkan
dapat
budget
yang
relatif
Selain itu, buku-buku
mahal, karena dilakukan
ITIL sulit terjangkau
secara menyeluruh.
bagi
hanya
memberikan kendali
panduan
dan
tidak
memberikan
panduan
dipenuhi.
pengguna
holistic yang mencakup
untuk
tatakelola
operasional.
dalam
kendali
dan
pengukuran.
lingkup
yang
terbatas.
ISO
27002
juga risiko
tidak
bisa
semua kerangka kerja diintegrasikan
pelaksanaan
pada
non
ruang
komersial, ITIL bersifat memiliki
implementasi
3. COBIT hanya berfokus
keamanan
dengan IT informasi sehingga
juga
2. COBIT
pada
TI,
dengan
sistem
pedoman yang lebih besar.
buku
ITIL
memerlukan pelatihan khusus
dan
pelatihan
biaya atau
sertifikasi ITIL terlalu tinggi. Sertifikasi
Penyusun COBIT 5, ISACA,
dan
menawarkan
Akreditasi
sertifikasi perorangan, yaitu: 1. Certified
4
jenis (Office
Information
Systems Auditor (CISA) 2. Certified Security
Information Manager
(CISM) 3. Certified
Mengacu
pada of
Commerce).
OGC
Karena
Government berhubungan dengan ISO 27001, organisasi menerapkan 27002
the
Governance
ISO dapat
mengajukan sertifikasi
in
yang
ISO
27001 kepada ISO.
of
Enterprise IT (CGEIT) 4. Certified in Risk and Information
Systems
Control (CRISC) 6
Kapan
COBIT 5 cocok digunakan
digunakan
ketika
?
menciptakan
organisasi
ingin membantu
framework
perusahaan
suatu dalam rangka:
organization-wide framework ,
ITIL lebih cocok untuk
1. Mengurangi biaya
bukan
hanya 2. Pengunaan proses
keamanan
informasi.
ISO
adalah
sertifikat
yang
diakui di hampir seliuruh
penjuru
dunia. ISO 27002
praktik terbaik yang
cocok
digunakan
sudah terbukti
untuk
organisasi
meningkatkan
yang
ingin
kepuasan pelanggan.
beroperasi
lintas
3. Meningkatkan
negara.
produktivitas 4. Meningkatkan penggunaan keterampilan dan pengalaman 5. Meningkatkan penyampaian layanan pihak ketiga melalui spesifikasi ITIL atau ISO 20000
III.
Kesimpulan Terdapat kelebihan dan kelemahan dari masing-masing framework, baik itu COBIT,
ITIL, maupun ISO. Kombinasi ketiganya biasanya merupakan pendekatan terbaik. COBIT dapat digunakan untuk menentukan apa yang menjadi kebutuhan perusahaan berkaitan dengan IT.ISO dapat digunakan untuk menentukan dan memperbaiki postur keamanan IT
perusahaan. Dan ITIL dapat digunakan untuk memperbaiki proses IT untuk memenuhi tujuan perusahaan (termasuk keamanan).
7
