GROUP 13

IT POLICY COMPLIANCE
(Kepatuhan Kebijakan IT)

Aspiya (160441100003)
Vivta Elok Vaiqoh I (160441100011)
Inneke Putri Dwi H (160441100027)
Riskines Meidita P (160441100050)
 1.
INTRODUCTION
About IT Policy Compliance
 “
Implementasi dan manajemen
teknologi informasi sesuai
dengan standar yang diterima.
Menggunakan pendekatan yang
tepat dapat membantu
perusahaan mengelola
kepatuhan kebijakan TI untuk
mengurangi risiko operasional
dan melindungi data yang
berharga.

3
 2.
REGULATIONS
VS STANDARDS
VS AUDITORS
About Laws, Standards,
Auditors
Menggunakan standar
sebagai pedoman untuk
kebijakan operasional yang
digunakan untuk mematuhi
hukum. Standar-standar
yang sama,
dikombinasikan dengan 5

metodologi terkait, adalah

dasar yang digunakan oleh
auditor untuk menguji
kontrol kebijakan dan
mensertifikasi kepatuhan.
LAWS
Berikut adalah beberapa contoh bidang tanggung
jawab dan undang-undang terkait yang memengaruhi
kepatuhan kebijakan TI:
✓ Pelaporan keuangan dan akuntabilitas: Sarbanes – 6
Oxley Act of 2002.
✓ Informasi pribadi non-publik, termasuk informasi
keuangan: Gramm-Leach-Bliley Act of 1999
(GBLA).
✓ Informasi kesehatan yang dilindungi: Asuransi
Kesehatan Portabilitas dan Akuntabilitas Act of 1996
(HIPAA).
 STANDARDS

Beberapa contoh sumber standar pemerintah dan

industri yang memengaruhi kepatuhan kebijakan
TI meliputi:
✓ Kontrol Tujuan untuk Informasi dan TI 7

Terkait (COBIT).
✓ Institut Nasional Standar dan Teknologi
(NIST) standar.
✓ Organisasi Standar Internasional (ISO) 27001.
 AUDITORS

Contoh auditor bersertifikasi pemerintah dan industri

yang bertanggung jawab untuk memverifikasi
kepatuhan kebijakan TI meliputi:
✓ Auditor internal yang dipekerjakan oleh suatu 8
organisasi.
✓ Akuntan Publik Bersertifikat (CPA).
✓ Auditor bank, seperti yang berasal dari Federal
Reserve, Federal Depository Trust Corporation
(FDIC), dan Office of Comptroller of the Currency
(OCC).
 3.
Best Practices for
IT Policy
Compliance 9

Management
▹ Ingat Gambar Besar
￭ Pertahankan perspektif Anda
Mempertahankan perspektif Anda
dimulai dengan memahami tujuan
kontrol kebijakan organisasi Anda.
￭ Memahami mentalitas auditor 10

Auditor adalah ‘Monday Morning

Quarterback.’ Peran mereka adalah
untuk memberikan pendapat tentang
apakah kontrol kebijakan organisasi
Anda berfungsi atau tidak, dan apakah
mereka dirancang dengan benar
sebelum ditempatkan.
▹ Sejajarkan Kepatuhan dan Keamanan
Kebijakan TI dengan Bisnis
Bisnis nyata dan penyelarasan kepatuhan  Pahami Lingkungan Teknologi: 11
dimulai dengan memahami budaya ￭ 1. Identifikasi lingkungan
organisasi. Banyak model telah diciptakan ￭ 2. Mempertimbangkan
untuk merancang dan mengartikulasikan virtualisasi dan komputasi awan
kemampuan dan kematangan organisasi.
▹ Kepatuhan TI Mulai dengan Kebijakan.
Kebijakan menentukan elemen kepatuhan
‘siapa’ dan ‘apa’. Prosedur dan standar ▹ Menetapkan Akuntabilitas
mendefinisikan 'bagaimana.' Ketiganya bisa Mulai dari atas. artinya tim
12
dalam bentuk dokumen, atau mereka dapat eksekutif adalah pendorong penting
muncul dari kebijaksanaan umum, seperti untuk mendorong kepatuhan di
menggunakan server yang dikenal baik seluruh organisasi.
untuk membangun gambar atau templat
kebijakan keamanan Windows yang dapat
diterapkan ke banyak mesin .
▹ Menetapkan Akuntabilitas (Lanjutan)
￭ Mendefinisikan peran dan tanggung
jawab. TI memiliki dua peran
utama: kepemilikan data / sistem
dan kustodian data / sistem. Pemilik
data atau sistem adalah anggota tim
manajemen dalam organisasi yang
bertanggung jawab atas bagaimana
data dan sistem digunakan dan
kepedulian utama mereka.
▹ Melakukan Penilaian Pra-Audit atau
Kesiapan. Item-item umum dalam
penilaian pra-audit atau kesiapan dapat
mencakup:
✓ Tinjauan kebijakan dan prosedur.
13
✓ Tinjauan organisasi.
✓ Tinjauan arsitektur kontrol tingkat tinggi.
✓ Tinjauan atas laporan audit sebelumnya.
✓ Perbandingan kelompok sampel tingkat
akses pengguna normal dan administratif
dengan apa yang diperlukan.
✓ Peninjauan dokumen bangunan standar.
▹ Manajemen Program Kebijakan TI Terpusat
Beberapa praktik terbaik untuk memusatkan
manajemen program kebijakan TI dengan cara
yang secara signifikan mengurangi biaya
kepatuhan: ▹ Prioritaskan Kegiatan Remediasi:

✓ Pilih model risiko umum dan serangkaian ✓ Mulailah dengan risiko dan eksposur
standar untuk organisasi. bisnis-kritis.

✓ Normalisasikan pelaporan sehingga nilai-nilai ✓ Alamat semua temuan audit sebelumnya. 14

konsisten di seluruh wilayah dan lini bisnis. ✓ Carilah setiap contoh di mana satu
✓ Memanfaatkan seperangkat standar industri perbaikan dapat mengatasi beberapa
yang umum seperti CIS, AusCERT, ISO, atau kelemahan atau temuan kontrol.
SANS.
✓ Validasi bahwa kebijakan yang dibuat oleh tim
regional akurat dan dapat diterapkan di seluruh
perusahaan.
▹ Memahami Bagaimana Manajemen
Kepatuhan Kebijakan TI Dapat
Membantu di Area Lain.
Organisasi dengan kemampuan manajemen
perubahan yang baik umumnya memiliki
manajemen kebijakan yang baik, dan
sebaliknya. Tantangan utama bagi organisasi ▹ Secara teratur memonitor
meliputi: program kepatuhan 15

✓ Menjaga perubahan dokumentasi kontrol keseluruhan.

saat ini.
✓ Menjaga daftar aset TI terkini.
✓ Mengelola pengecualian dan masalah.
✓ Pelaporan.
▹ Secara teratur memonitor program
kepatuhan keseluruhan.
 4.
10 STEPS
About Steps IT Policy
Compliance
1. kepatuhan TI adalah tentang orang, proses, dan teknologi.
2. Memahami Pentingnya TI dalam kepatuhan kebijakan.
3. Menentukan Hukum dan Peraturan yang Relevan.
4. Pastikan Kontrol Apa Yang Berlaku pada Hukum dan
Peraturan.
5. Menyelaraskan kepatuhan kebijakan TI dan Keamanan
dengan Bisnis. 17

6. Memahami Lingkungan TI .
7. Tetapkan Akuntabilitas.
8. Prioritaskan Remediasi Kerentanan dan Masalah Audit.
9. Gunakan Otomasi untuk Kepatuhan Kebijakan TI.
10. Monitor program kepatuhan kebijakan TI secara teratur.
THANKS!
Any questions?
18