Label

Perbedaan Framework TOGAF, NIST dan ISO/IEC 27001

Perbedaan Framework TOGAF, NIST dan ISO/IEC 27001 
TUGAS SOFTSKILL AUDIT TEKNOLOGI SI
 DISUSUN OLEH : 
KELOMPOK 5

NAMA :
M. Mirza Azib
Nur Hikmah Sufaraj
 Ulul Azmi Setiawan

PEMBAHASAN
A. TOGAF FRAMEWORK
TOGAF (The Open Group Architecture Framework) merupakan salah satu framework audit IT yang memperinci metode dan tools pendukung dalam pemngembangan suatu arsitektur perusahaan. Togaf merupakan metode umum yang komprehensif dan juga sebuah standar terbuka dan tidak tergantung oleh vendor maupun teknologi yang digunakan yang dapat disesuaikan sesuai kebutuhan organisasi yang menerapkannya.Architecture Development Method (ADM) merupakan metodologi lojik dari TOGAF yang terdiri dari delapan fase utama untuk pengembangan dan pemeliharaan technical architecture dari organisasi. ADM membentuk sebuah siklus yang iteratif untuk keseluruhan proses, antar fase, dan dalam tiap fase di mana pada tiap-tiap iterasi keputusan baru harus diambil. Keputusan tersebut dimaksudkan untuk menentukan luas cakupan enterprise, level kerincian, target waktu yang ingin dicapai dan asset arsitektural yang akan digali dalam enterprise continuum. ADM merupakan metode yang umum sehingga jika diperlukan pada prakteknya ADM dapat disesuaikan dengan kebutuhan spesifik tertentu, misalnya digabungkan dengan framework yang lain sehingga ADM menghasilkan arsitektur yang spesifik terhadap organisasi.
Tahapan – tahapan TOGAF ADM Framework :
  1. Fase Preliminary: Framework and Principles; fase persiapan untuk mengkonfirmasi komitmen dari stakeholder, penentuan framework dan metodologi detil yang akan digunakan pada pengembangan EA.  
  2. Requirements Management; untuk menyediakan proses pengelolaan kebutuhan arsitektur sepanjang fase pada siklus ADM, mengidentifikasi kebutuhan enterprise, menyimpan lalu memberikannya kepada fase yang relevan.
  3. Architecture Vision ; Menentukan ruang lingkup dari arsitektur yang akan dikembangkan, dan berisi pertanyaan – pertanyaan yang akan diajukan untuk mendapatkan arsitektur yang ideal. 
  4. Business Architecture; Mendefinisikan tahap awal arsitektur bisnis, menetukan model bisnis berdasarkan skenario bisnis. 
  5. Information System Architecture; Bagaimana arsitektur tersebut dikembangkan dan lebih memfokuskan pada bagaimana data yang digunakan untuk kebutuhan proses dan layanan. 
  6. Technology Architecture; Membangun arsitektur teknologi dimulai dari penentuan jenis kandidat teknologi yang diperlukan dengan menggunakan Technology Portofolio Catalog. 
  7. Opportunities and Solution; Menemukan manfaat yang diperoleh dari arsitektur enterprise guna menentukan arsitektur yang akan diimplementasikan. 
  8. Migration Planning ; Melakukan penilaian dan menentukan rencana migrasi dari suatu sistem informasi. 
  9. Implementation Governance; Menyusun rekomendasi untuk pelaksanaan tatakelola implementasi yang telah dilakukan. 
  10. Architecture Change Management; Menetapkan rencana manajemen arsitektur dengan cara melakukan pengawasan terhadap perkembangan teknologi.

Gambar 1. Tahapan TOGAF ADM
B. NIST FRAMEWORK
NIST (National Institute of Standards and Technology) Merupakan agen federal non-peraturan dalam Departemen Perdagangan AS  (link eksternal). Misi NIST adalah untuk mempromosikan inovasi AS dan  daya saing industri dengan memajukan ilmu pengetahuan pengukuran,  standar, dan teknologi dengan cara yang meningkatkan keamanan ekonomi dan meningkatkan kualitas hidup kita. Terdapat 3 proses dalam menajemen resiko yang dikeluarkan oleh NIST yaitu :
1)        Risk Identification
Mendefinisikan ancaman potensial dan resiko yang berhubungan dengan penggunaan teknologi informasi dan juga melakukan kontrol terhadap pengurangandan penghilangan resiko. Terdapat 9 langkah yang harus dipenuhi yaitu :  
  • System Characterization; Melihat batasan, fungsionalitas dan tingkat sensitifitas sistem dari sudut pandang hardware, software, interface dan data. 
  • Threat Identification; Mengenali berbagai sumber yang akan menjadi gangguan pada sistem berupa sekumpulan resiko yang mungkin terjadi serta sumber resiko yang ddapat menimbulkan kerentanan pada sistem. 
  • Vulnerability Identification; Identifikasi terhadap kelemahan dan kekurangan sistem yang terjadi menjadi ancaman terhadap sistem, yang informasinya dapat diambil dari laporan penilaian resiko terdahulu. 
  • Control Analysis; Menganalisis kontrol yang telah deterapkan atau yang akan diterapkan. 
  • Likelihood Determination; Digunakan untuk memperoleh nilai kecenderungan yang mungkin terjadi atas kelemahan dari sistem. 
  • Impact Analysis; Menilai dampak yang terjadi terhadap serangan atas bagian lemah dari sebuah sistem. 
  • Risk Determination; Menilai tingkat dari resiko yang akan timbul pada sistem TI yang akan dilevelkan tingkat resiko tinggi, sedang, dan rendah yang memiliki skor probabilitas level 1 untuk tinggi, 0.5 untuk sedang dan 0.1 untuk rendah. 
  • Control Recomendation; Mengurangi level resiko pada sistem TI sehingga mencapai level yang dapat diterima. 
  • Result Documentation; Laporan atau dokumentasi dari seluruh kegiatan yang ada dimulai dari tahap karakteristik hingga rekomendasi kontrol.
2)        Risk Mitigation
Tahap kedua dari manajemen resiko NIST melibatkan prioritisisasi, evaluasi dan impleentasi rekomendasi dari kontrol pengurangan resiko dari tahap sebelumnya. Metodologi sistemik yang digunakan manajemen untuk mengurangi dampak resiko aktifitasnya adalah : 
  • Prioritize Action; Memberi prioritas utama terhadap resiko dan kerentanan yang terjadi pada sistem. 
  • Evaluate Recomended Control; Evaluasi terhadap kontrol yang direkomendasikan dalam proses penilaian resiko sehingga diperoleh rekomendasi yang tepat untuk meminimalisasi resiko yang mengancam sistem. 
  • Conduct Cost Benefit Analysis; Membantu manajemen dalam pengambilan keputusan dan untuk mengidentifikasi kontrol biaya, serta menganalisis keuntungan biaya. 
  • Select Control; Evaluasi terhadap kontrol dan analisis biaya maka dipilih kontrol yang paling baik dari teknis dan biaya dan kontrol yang dipilih akan diterapkan. 
  • Assign Responsibility; Penugasan atau pemilihan personil yang tepat sebagain penanggung jawab terhadap kontrol yang dilaksanakan. 
  • Develop Safeguard Implementation Plan; Merencanakan implementasi terhadap kontrol yang diambil sehingga membantu melancarkan proses pengurangan resiko. 
  • Implement Selected Control; Mengimplementasikan kontrol yang dipilih yang akan menghasilkan pengurangan resiko.
3)        Risk Evaluation
Kegiatan evaluasi resiko ini adalah kegiatan terhadap keberlangsungan proses proses mitigasi, pada umumnya jaringan yang diterapkan dalam organisasi akan mengalami perubahan atau pengembangan komponen hardware, pengembanga software dan versi aplikasi yang lebih up to date.
C. ISO/IEC 27001:2013 FRAMEWORK
ISO  27001:2013 merupakan  icon  sertifikasi  seri ISO  27000 terbaru yang rilis pada tahun 2013.  ISO  27001:2013 adalah  sebuah dokumen  standar  Sistem  Manajemen  Keamanan Informasi  (SMKI)  atau  Information  Security Managemen  System (ISMS)  yang  memberikan gambaran secara umum mengenai apa saja yang harus  dilakukan  oleh  sebuah  organisasi atau enterprise  dalam usaha   rangka  mengimplementasikan  konsep konsep keamanan informasi. standar 27001 mensyaratkan penetapan sasaran kontrol dan kontrol — kontrol keamanan informasi meliputi 14 area pengamanan sebagai berikut:
  1. Kebijakan keamanan informasi 
  2. Organisasi keamanan informasi 
  3. Sumber daya manusia menyangkut keamanan informasi 
  4. Manajemen aset 
  5. Akses kontrol 
  6. Kriptographie 
  7. Keamanan fisik dan lingkungan 
  8. Keamanan operasi 
  9. Kemanaan Komunikasi 
  10. Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem informasi 
  11. Hubungan dengan pemasok 
  12. Pengelolaan insiden keamanan informasi 
  13. Manajemen kelangsungan usaha (business continuity management) 
  14. Kepatuhan
Tujuan dan Manfaat ISO 27001:2013 Sistem Manajemen Keamanan Informasi antara lain adalah sebagai berikut:
  1. Memastikan bahwa Organisasi memiliki kontrol yang memadai terkait Keamanan Informasi.
  2. Menunjukkan Tata Kelola yang baik dalam penanganan dan pengamanan informasi.
  3. Sebagai mekanisme untuk mengukur berhasil atau tidaknya kontrol pengamanan Keamanan Informasi.
  4. Adanya review independen terkait Keamanan Informasi melalui Audit berkala.
  5. Meminimalkan resiko melalui proses risk assessment yang baku.
  6. Meningkatkan efektivitas dan keandalan pengamanan informasi.
  7. Bentuk kepatuhan terhadap regulasi, hukum, dan undang-undang terkait Keamanan Informasi.
Sistem Manajemen Keamanan Informasi (SMKI) adalah cara untuk melindungi dan mengelola informasi berdasarkan pendekatan risiko bisnis yang sistematis, untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, memelihara, dan meningkatkan keamanan informasi. Proses dalam SMKI disusun berdasarkan resiko pendekatan bisnis untuk merencanakan (Plan), mengimplementasikan dan mengoperasikan (Do), memonitor dan meninjau ulang (Check) serta memelihara dan meningkatkan atau mengembangkan (Act).
  • Plan (Penetapan SMKI); Menetapkan kebijakan, sasaran, proses dan prosedur SMKI yang sesuai untuk pengelolaan risiko dan perbaikan keamanan informasi agar menghasilkan hasil yang sesuai dengan kebijakan dan sasaran organisasi secara keseluruhan.
  • Do (Penerapan danPengoperasian SMKI); Implementasi dan operasi dari kebijakan, kontrol, proses, dan prosedur SMKI yang telah direncanakan pada tahapan plan.
  • Check (Pemantauan dan pengkajian SMKI); Mengakses dan apabila berlaku mengukur kinerjaproses terhadap kebijakan, sasaran SMKI dan pengalaman praktis dan melaporkan hasilnya kepada  manajemen untuk pengkajian.
  • Act (peningkatan dan pemeliharaan SMKI);Mengambil tindakan korektif dan pencegahan berdasarkan hasil internal audit SMKI dan tinjauan manajemen atau informasi terkait lainnya, untuk mencapai perbaikan berkesinambungan dalam SMKI.
 
ANALISIS PERBANDINGAN


Berdasarkan pembahasan dari ketiga framework audit IT yaitu TOGAF (The Open Group Architecture Framework), NIST (National Institute of Standards and Technology) dan ISO  27001:2013. Dapat disimpukan bahwa dari ketiga framework tersebut membahas tentang audit IT perbedaanya terletak pada ruang lingkupnya untuk framework TOGAF membahas tentang bagaimana memperinci metode dan tools pendukung dalam pengembangan suatu arsitektur perusahaan, untuk NIST membahas tentang bagaimana cara meningkatkan kualitas perusahaan dengan memanajemen tingkat resiko yang dikeluarkan seminimal mungkin, dan untuk ISO  27001:2013 membahas tentang bagaimana apa saja yang dilakukan perusahaan dalam mengimplementasikan konsep – konsep keamanan informasi. Dari ketiga framework tersebut memiliki tahapan – tahapan yang harus dikerjakan dalam setiap prosesnya.



>>CONTOH KASUS<<


Pada penarapan metodologi pengembangan  arsitektur  Enterprise ini terdapat hal menarik yaitu bagaimana pemanfaatan metodologi ini pada perancangan arsitektur enterprise pada perguruan  tinggi. Pada studi kasus ini, akan dibahas secara singkat bagaimana perancangan arsitektur  enterprise pada perguruan tinggi dengan memanfaatkan metode TOGAF ADM. Di Indonesia secara umum perguruan tinggi (PT) dikelompokkan menjadi 2 (dua) yaitu PTN dan PTS. Pada keperluan utamanya pada sistem informasi sebuah PT tidak jauh berbeda, hanya perbedaannya terdapat pada manajemen perguruan tinggi dan besar atau kecilnya sebuah PT. Sehingga diperlukan suatu model yang menjadi standar untuk di sesuaikan dengan kepentingan PT tersebut, yaitu easy to take,  easy to use and right on target.  Pendefinisikan visi arsitektur menjadi langkah penting dalam analisis nilai yang meliputi domain dan fungsi bisnis utama dan fungsi bisnis penunjang atau pendukung di dalam organisasi. Tujuan dari analisis nilai adalah mengidentifikasi proses-proses  yang terjadi di dalam organisasi dan memberikan  margin yang tertinggi bagi stakeholder (Surendro, 2007) Analisis rantai nilai internal PT bisa  digambarkan dengan memetakan kebutuhan atau keperluan dalam lingkup fungsi bisnis utama dan fungsi penunjang dalam PT.


>>Analisis Kasus<<



Analisis nilai internal perguruan tinggi  berkaitan dengan analisis nilai eksternal yang  diatur oleh pemerintah, yang dituangkan dalam peraturan pendidikan tinggi Indonesia. Arsitektur bisnis dimulai dengan mendefinisikan fungsi bisnis pada nilai yang sudah ditetapkan, langkah yang dilaksanakan merupakan merumuskan daftar katalog dari proses-proses bisni  pada fungsi bisnis utama dan pendukung PT dan untuk mendefinisikan fungsi dan layanan ada pada masing-masing fungsi bisnis yang akan dimodelkan dalam bentuk proses bisnis. Untuk  pemodelan proses bisnis tersebut bisa menggunakan artefak yang sudah disediakan TOGAF ADM atau  dengan UML Diagram.  Pemodelan proses bisnis dalam arsitektur bisnis bertujuan untuk memberikan gambaran  jelas mengenai keadaan organisasi pada saat ini. Hasil identifikasi dipetakan  kedalam diagram kelas (class diagram) atau menggunakan matrik fungsional data sehingga tergambar hubungan proses bisnis dengan entitas data melalui penanda created, uses, read dan delete (CURD). Penyusunan matrik harus memperhatikan hubungan relasi antara entitas data dengan fungsi bisnis, sehingga didapatkan  konsistensi fungsi dan data yang akan digunakan. 

Arsitektur aplikasi dibuat berdasarkan kebutuhan atau kepentingan dari fungsi bisnis, untuk menggambarkan arsitektur aplikasi salah satu tekniknya  adalah application communication diagram, atau menggunakan matrik interaksi aplikasi  terhadap fungsi bisnis dan data yang ada di dalam  organisasi atau menggunakan  technical reference model (TRM) yang sudah disediakan oleh TOGAF  (Open Group, 2009). Arsitektur aplikasi berasosiasi dengan data dan  pengguna sistem, gambaran dari aplikasi dibagi menjadi dua yaitu secara logikal dan fisikal  (Open Group, 2009). Komponen aplikasi secara  logikal lebih menekankan bagaimana menggambarkan kebutuhan sistem secara logikal melalui prosedur, fungsi dan layanan dalam sistem. Sedangkan komponen fisikal dari sistem lebih menekankan bentuk fisik dari aplikasi yang akan dibangun, mulai dari identifikasi  interface, database dan  output sistem (Open Group,2009).  Arsitektur teknologi dibuat untuk mendefinisikan  kebutuhan teknologi dalam mengolah data, langkah yang pertama dilakukan yaitu, mendefinisikan calon atau kandidat teknologi yang akan digunakan berdasarkan katalog teknologi. Untuk mengklasifikasi teknologi bisa menggunakan  Technical Reference Model dari TOGAF (Open Group, 2009)  Hasil dari klasifikasi teknologi adalah menghasilkan pemilihan teknologi untuk platform teknologi yang ada dalam aplikasi, mulai dari perangkat lunak aplikasi, sistem operasi, jaringan  dan teknologi keamanan serta arsitektur internet  yang mendukung aplikasi. Model arsitektur teknologi secara umum akan menggambarkan bagaimana  interaksi pengguna dalam menggunakan teknologi  serta aplikasi (Satzinger, Jackson dan Burd, 2005).  Sebelum implementasi dilakukan terhadap model  arsitektur  enterprise yang sudah dihasilkan, diperlukan analisis kesenjangan terhadap  resource base dengan strategi migrasi sistem informasi yang  baru. Hal yang penting didalam tahapan ini adalah  analisis faktor perubahan dan pengambilan keputusan terhadap investasi TI yang baru atau mempertahankan platform TI yang sudah dimiliki  sebelumnya (Open Group, 2009).  Untuk mendukung pelaksanaan perancangan model arsitektur enterprise di dalam perguruan tinggi, diperlukan juga pemetaan proses yang standar dalam sebuah perguruan tinggi, sehingga proses yang standar bisa dijadikan sebagai acuan oleh perguruan tinggi lainnya. Pendefinisian model arsitektur yang komplek akan menjawab semua kebutuhan yang ada dalam perguruan tinggi, dan apabila kebutuhan tersebut belum ada, bukan berarti  suatu perguruan tinggi memaksakan diri untuk menciptakan proses tersebut, tapi cukup mengambil  bagian yang menjadi kebutuhannya atau disesuaikan  dengan kebutuhan masing-masing perguruan tinggi.  Perancangan arsitektur enterprise untuk  organisasi sangat dipengaruhi oleh bagaimana organisasi memilih metode arsitektur enterprise yang cocok dengan lingkungan pengembangan  arsitektur organisasi, ada beberapa strategi yang  harus ditentukan dalam memilih metode tersebut. 

TOGAF ADM merupakan suatu metode yang komplek dan syarat model yang digunakan pada proses pengembangan arsitektur.  Dari beberapa penelitian yang sudah mencoba membandingkan metode arsitektur  enterprise yaitu menyatakan;
1.   TOGAF ADM adalah  sebuah metode yang komplek (Zarvic dan Wieringa, 2006). 
2.  TOGAF ADM dapat digunakan untuk perencanaan arsitektur enterprise, perancangan, dan pengembangan serta pengelolaan arsitektur SI organisasi (Yunis, 2006). 
3.  TOGAF ADM dapat diasosiasikan dengan  framework atau metode lain, seperti Zachman Framework, COBIT dan lainnya (Open Group, 2009). 
4.  TOGAF ADM  dapat diasosiasikan juga dengan  metode pengembangan sistem yang berorientasi objek seperti Rational Unified Process (RUP) karena secara tidak langsung tahapan yang ada  dalam TOGAF ADM bisa dimodel pada RUP.  RUP diposisikan pada tahapan F (Migration Planning) dan H (Implementation Governance), sehingga dalam tahapan ini RUP bisa dijadikan acuan detil dalam merancang  blueprint sistem informasi karena pendekatan dan teknik pemodelan  serta  tools yang digunakan juga hampir sama (Temnenco, 2007).   
Pada model rancangan arsitektur enterprise yang dipakai  memakai TOGAF ADM sebagai salah satu metode yang digunakan untuk melakukan perancangan arsitektur enterprise. Setiap tahapan pada TOGAF ADM dapat dilakukan secara akurat, apabila proses bisnis  di dalam organisasi benar-benar dipahami dan mampu  di identifikasi secara lengkap dan benar. Khususnya untuk perguruan tinggi, pemahaman  proses bisnis perguruan tinggi merupakan hal penting, karena proses bisnis perguruan tinggi memiliki kompleksitas dan karakteristik yang berbeda-beda, apabila dibandingkan dengan proses bisnis organisasi jasa lainnya. Dengan adanya model awalnya pada perancangan arsitektur diharapkan akan ada sebuah model perancangan arsitektur enterprise perguruan tinggi yang utuh, akurat dan lengkap, sehingga bisa diterapkan oleh perguruan tinggi di Indonesia.



LINK :



Label:

Komentar

Posting Komentar