Perbedaan Framework TOGAF, NIST dan ISO/IEC 27001
Perbedaan Framework TOGAF, NIST dan ISO/IEC 27001
TUGAS SOFTSKILL AUDIT TEKNOLOGI SI
DISUSUN OLEH :
KELOMPOK 5
NAMA :
M. Mirza Azib
Nur Hikmah Sufaraj
Ulul Azmi Setiawan
PEMBAHASAN
A. TOGAF
FRAMEWORK
TOGAF (The Open Group Architecture Framework)
merupakan salah satu framework audit IT yang memperinci metode dan tools
pendukung dalam pemngembangan suatu arsitektur perusahaan. Togaf merupakan
metode umum yang komprehensif dan juga sebuah standar terbuka dan tidak
tergantung oleh vendor maupun teknologi yang digunakan yang dapat disesuaikan
sesuai kebutuhan organisasi yang menerapkannya.Architecture Development Method (ADM) merupakan metodologi lojik dari TOGAF yang terdiri
dari delapan fase utama untuk pengembangan dan pemeliharaan technical
architecture dari organisasi. ADM membentuk sebuah siklus yang iteratif untuk
keseluruhan proses, antar fase, dan dalam tiap fase di mana pada tiap-tiap
iterasi keputusan baru harus diambil. Keputusan tersebut dimaksudkan untuk menentukan luas
cakupan enterprise, level kerincian, target waktu yang ingin dicapai dan asset
arsitektural yang akan digali dalam enterprise continuum. ADM merupakan metode
yang umum sehingga jika diperlukan pada prakteknya ADM dapat disesuaikan dengan
kebutuhan spesifik tertentu, misalnya digabungkan dengan framework yang lain
sehingga ADM menghasilkan arsitektur yang spesifik terhadap organisasi.
Tahapan – tahapan TOGAF ADM Framework :
- Fase Preliminary: Framework and Principles; fase persiapan untuk mengkonfirmasi komitmen dari stakeholder, penentuan framework dan metodologi detil yang akan digunakan pada pengembangan EA.
- Requirements Management; untuk menyediakan proses pengelolaan kebutuhan arsitektur sepanjang fase pada siklus ADM, mengidentifikasi kebutuhan enterprise, menyimpan lalu memberikannya kepada fase yang relevan.
- Architecture Vision ; Menentukan ruang lingkup dari arsitektur yang akan dikembangkan, dan berisi pertanyaan – pertanyaan yang akan diajukan untuk mendapatkan arsitektur yang ideal.
- Business Architecture; Mendefinisikan tahap awal arsitektur bisnis, menetukan model bisnis berdasarkan skenario bisnis.
- Information System Architecture; Bagaimana arsitektur tersebut dikembangkan dan lebih memfokuskan pada bagaimana data yang digunakan untuk kebutuhan proses dan layanan.
- Technology Architecture; Membangun arsitektur teknologi dimulai dari penentuan jenis kandidat teknologi yang diperlukan dengan menggunakan Technology Portofolio Catalog.
- Opportunities and Solution; Menemukan manfaat yang diperoleh dari arsitektur enterprise guna menentukan arsitektur yang akan diimplementasikan.
- Migration Planning ; Melakukan penilaian dan menentukan rencana migrasi dari suatu sistem informasi.
- Implementation Governance; Menyusun rekomendasi untuk pelaksanaan tatakelola implementasi yang telah dilakukan.
- Architecture Change Management; Menetapkan rencana manajemen arsitektur dengan cara melakukan pengawasan terhadap perkembangan teknologi.
B. NIST
FRAMEWORK
NIST (National Institute of Standards and Technology)
Merupakan agen federal non-peraturan dalam Departemen Perdagangan AS (link eksternal). Misi NIST adalah untuk
mempromosikan inovasi AS dan daya saing
industri dengan memajukan ilmu pengetahuan pengukuran, standar, dan teknologi dengan cara yang
meningkatkan keamanan ekonomi dan meningkatkan kualitas hidup kita. Terdapat 3
proses dalam menajemen resiko yang dikeluarkan oleh NIST yaitu :
1) Risk Identification
Mendefinisikan ancaman potensial dan resiko yang
berhubungan dengan penggunaan teknologi informasi dan juga melakukan kontrol
terhadap pengurangandan penghilangan resiko. Terdapat 9 langkah yang harus
dipenuhi yaitu :
- System Characterization; Melihat batasan, fungsionalitas dan tingkat sensitifitas sistem dari sudut pandang hardware, software, interface dan data.
- Threat Identification; Mengenali berbagai sumber yang akan menjadi gangguan pada sistem berupa sekumpulan resiko yang mungkin terjadi serta sumber resiko yang ddapat menimbulkan kerentanan pada sistem.
- Vulnerability Identification; Identifikasi terhadap kelemahan dan kekurangan sistem yang terjadi menjadi ancaman terhadap sistem, yang informasinya dapat diambil dari laporan penilaian resiko terdahulu.
- Control Analysis; Menganalisis kontrol yang telah deterapkan atau yang akan diterapkan.
- Likelihood Determination; Digunakan untuk memperoleh nilai kecenderungan yang mungkin terjadi atas kelemahan dari sistem.
- Impact Analysis; Menilai dampak yang terjadi terhadap serangan atas bagian lemah dari sebuah sistem.
- Risk Determination; Menilai tingkat dari resiko yang akan timbul pada sistem TI yang akan dilevelkan tingkat resiko tinggi, sedang, dan rendah yang memiliki skor probabilitas level 1 untuk tinggi, 0.5 untuk sedang dan 0.1 untuk rendah.
- Control Recomendation; Mengurangi level resiko pada sistem TI sehingga mencapai level yang dapat diterima.
- Result Documentation; Laporan atau dokumentasi dari seluruh kegiatan yang ada dimulai dari tahap karakteristik hingga rekomendasi kontrol.
2) Risk Mitigation
Tahap kedua dari manajemen resiko NIST melibatkan
prioritisisasi, evaluasi dan impleentasi rekomendasi dari kontrol pengurangan
resiko dari tahap sebelumnya. Metodologi sistemik yang digunakan manajemen
untuk mengurangi dampak resiko aktifitasnya adalah :
- Prioritize Action; Memberi prioritas utama terhadap resiko dan kerentanan yang terjadi pada sistem.
- Evaluate Recomended Control; Evaluasi terhadap kontrol yang direkomendasikan dalam proses penilaian resiko sehingga diperoleh rekomendasi yang tepat untuk meminimalisasi resiko yang mengancam sistem.
- Conduct Cost Benefit Analysis; Membantu manajemen dalam pengambilan keputusan dan untuk mengidentifikasi kontrol biaya, serta menganalisis keuntungan biaya.
- Select Control; Evaluasi terhadap kontrol dan analisis biaya maka dipilih kontrol yang paling baik dari teknis dan biaya dan kontrol yang dipilih akan diterapkan.
- Assign Responsibility; Penugasan atau pemilihan personil yang tepat sebagain penanggung jawab terhadap kontrol yang dilaksanakan.
- Develop Safeguard Implementation Plan; Merencanakan implementasi terhadap kontrol yang diambil sehingga membantu melancarkan proses pengurangan resiko.
- Implement Selected Control; Mengimplementasikan kontrol yang dipilih yang akan menghasilkan pengurangan resiko.
3) Risk Evaluation
Kegiatan evaluasi resiko ini adalah kegiatan terhadap
keberlangsungan proses proses mitigasi, pada umumnya jaringan yang diterapkan
dalam organisasi akan mengalami perubahan atau pengembangan komponen hardware,
pengembanga software dan versi aplikasi yang lebih up to date.
C. ISO/IEC
27001:2013 FRAMEWORK
ISO 27001:2013 merupakan icon
sertifikasi seri ISO 27000 terbaru yang rilis pada tahun
2013. ISO 27001:2013 adalah sebuah dokumen
standar Sistem Manajemen Keamanan Informasi
(SMKI) atau Information Security Managemen System
(ISMS) yang memberikan gambaran secara umum mengenai apa saja yang
harus dilakukan oleh sebuah organisasi atau enterprise
dalam usaha rangka mengimplementasikan konsep konsep
keamanan informasi. standar 27001 mensyaratkan penetapan sasaran kontrol dan
kontrol — kontrol keamanan informasi meliputi 14 area pengamanan sebagai
berikut:
- Kebijakan keamanan informasi
- Organisasi keamanan informasi
- Sumber daya manusia menyangkut keamanan informasi
- Manajemen aset
- Akses kontrol
- Kriptographie
- Keamanan fisik dan lingkungan
- Keamanan operasi
- Kemanaan Komunikasi
- Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem informasi
- Hubungan dengan pemasok
- Pengelolaan insiden keamanan informasi
- Manajemen kelangsungan usaha (business continuity management)
- Kepatuhan
Tujuan dan Manfaat
ISO 27001:2013 Sistem Manajemen Keamanan Informasi antara lain adalah sebagai
berikut:
- Memastikan bahwa Organisasi memiliki kontrol yang memadai terkait Keamanan Informasi.
- Menunjukkan Tata Kelola yang baik dalam penanganan dan pengamanan informasi.
- Sebagai mekanisme untuk mengukur berhasil atau tidaknya kontrol pengamanan Keamanan Informasi.
- Adanya review independen terkait Keamanan Informasi melalui Audit berkala.
- Meminimalkan resiko melalui proses risk assessment yang baku.
- Meningkatkan efektivitas dan keandalan pengamanan informasi.
- Bentuk kepatuhan terhadap regulasi, hukum, dan undang-undang terkait Keamanan Informasi.
Sistem Manajemen Keamanan Informasi (SMKI) adalah cara
untuk melindungi dan mengelola informasi berdasarkan pendekatan risiko bisnis
yang sistematis, untuk menetapkan, menerapkan, mengoperasikan, memantau,
mengkaji, memelihara, dan meningkatkan keamanan informasi. Proses dalam SMKI
disusun berdasarkan resiko pendekatan bisnis untuk merencanakan (Plan),
mengimplementasikan dan mengoperasikan (Do), memonitor dan meninjau ulang
(Check) serta memelihara dan meningkatkan atau mengembangkan (Act).
- Plan (Penetapan SMKI); Menetapkan kebijakan, sasaran, proses dan prosedur SMKI yang sesuai untuk pengelolaan risiko dan perbaikan keamanan informasi agar menghasilkan hasil yang sesuai dengan kebijakan dan sasaran organisasi secara keseluruhan.
- Do (Penerapan danPengoperasian SMKI); Implementasi dan operasi dari kebijakan, kontrol, proses, dan prosedur SMKI yang telah direncanakan pada tahapan plan.
- Check (Pemantauan dan pengkajian SMKI); Mengakses dan apabila berlaku mengukur kinerjaproses terhadap kebijakan, sasaran SMKI dan pengalaman praktis dan melaporkan hasilnya kepada manajemen untuk pengkajian.
- Act (peningkatan dan pemeliharaan SMKI);Mengambil tindakan korektif dan pencegahan berdasarkan hasil internal audit SMKI dan tinjauan manajemen atau informasi terkait lainnya, untuk mencapai perbaikan berkesinambungan dalam SMKI.
ANALISIS
PERBANDINGAN
Berdasarkan pembahasan dari
ketiga framework audit IT yaitu TOGAF (The Open Group Architecture Framework),
NIST (National Institute of Standards and Technology) dan ISO 27001:2013.
Dapat disimpukan bahwa dari ketiga framework tersebut membahas tentang audit IT
perbedaanya terletak pada ruang lingkupnya untuk framework TOGAF membahas
tentang bagaimana memperinci metode dan tools pendukung dalam pengembangan
suatu arsitektur perusahaan, untuk NIST membahas tentang bagaimana cara
meningkatkan kualitas perusahaan dengan memanajemen tingkat resiko yang
dikeluarkan seminimal mungkin, dan untuk ISO 27001:2013 membahas tentang
bagaimana apa saja yang dilakukan perusahaan dalam mengimplementasikan konsep –
konsep keamanan informasi. Dari ketiga framework tersebut memiliki tahapan –
tahapan yang harus dikerjakan dalam setiap prosesnya.
>>CONTOH KASUS<<
Pada penarapan metodologi
pengembangan arsitektur Enterprise ini terdapat hal menarik yaitu
bagaimana pemanfaatan metodologi ini pada perancangan arsitektur enterprise
pada perguruan tinggi. Pada studi kasus ini, akan dibahas secara singkat
bagaimana perancangan arsitektur enterprise pada perguruan tinggi dengan
memanfaatkan metode TOGAF ADM. Di Indonesia secara umum perguruan tinggi (PT)
dikelompokkan menjadi 2 (dua) yaitu PTN dan PTS. Pada keperluan utamanya pada
sistem informasi sebuah PT tidak jauh berbeda, hanya perbedaannya terdapat pada
manajemen perguruan tinggi dan besar atau kecilnya sebuah PT. Sehingga
diperlukan suatu model yang menjadi standar untuk di sesuaikan dengan
kepentingan PT tersebut, yaitu easy to take, easy to use and right on
target. Pendefinisikan visi arsitektur menjadi langkah penting dalam
analisis nilai yang meliputi domain dan fungsi bisnis utama dan fungsi bisnis
penunjang atau pendukung di dalam organisasi. Tujuan dari analisis nilai adalah
mengidentifikasi proses-proses yang terjadi di dalam organisasi dan
memberikan margin yang tertinggi bagi stakeholder (Surendro, 2007)
Analisis rantai nilai internal PT bisa digambarkan dengan memetakan
kebutuhan atau keperluan dalam lingkup fungsi bisnis utama dan fungsi penunjang
dalam PT.
>>Analisis
Kasus<<
Analisis nilai
internal perguruan tinggi berkaitan dengan analisis nilai eksternal
yang diatur oleh pemerintah, yang dituangkan dalam peraturan pendidikan
tinggi Indonesia. Arsitektur bisnis dimulai dengan mendefinisikan fungsi bisnis
pada nilai yang sudah ditetapkan, langkah yang dilaksanakan merupakan
merumuskan daftar katalog dari proses-proses bisni pada fungsi bisnis
utama dan pendukung PT dan untuk mendefinisikan fungsi dan layanan ada
pada masing-masing fungsi bisnis yang akan dimodelkan dalam bentuk proses
bisnis. Untuk pemodelan proses bisnis tersebut bisa menggunakan artefak
yang sudah disediakan TOGAF ADM atau dengan UML Diagram. Pemodelan
proses bisnis dalam arsitektur bisnis bertujuan untuk memberikan gambaran
jelas mengenai keadaan organisasi pada saat ini. Hasil identifikasi dipetakan
kedalam diagram kelas (class diagram) atau menggunakan matrik fungsional
data sehingga tergambar hubungan proses bisnis dengan entitas data melalui
penanda created, uses, read dan delete (CURD). Penyusunan matrik harus
memperhatikan hubungan relasi antara entitas data dengan fungsi bisnis,
sehingga didapatkan konsistensi fungsi dan data yang akan
digunakan.
Arsitektur
aplikasi dibuat berdasarkan kebutuhan atau kepentingan dari fungsi bisnis,
untuk menggambarkan arsitektur aplikasi salah satu tekniknya adalah
application communication diagram, atau menggunakan matrik interaksi aplikasi
terhadap fungsi bisnis dan data yang ada di dalam organisasi atau
menggunakan technical reference model (TRM) yang sudah disediakan oleh
TOGAF (Open Group, 2009). Arsitektur aplikasi berasosiasi dengan data dan
pengguna sistem, gambaran dari aplikasi dibagi menjadi dua yaitu secara
logikal dan fisikal (Open Group, 2009). Komponen aplikasi secara logikal
lebih menekankan bagaimana menggambarkan kebutuhan sistem secara logikal
melalui prosedur, fungsi dan layanan dalam sistem. Sedangkan komponen fisikal
dari sistem lebih menekankan bentuk fisik dari aplikasi yang akan dibangun,
mulai dari identifikasi interface, database dan output sistem (Open
Group,2009). Arsitektur teknologi dibuat untuk mendefinisikan
kebutuhan teknologi dalam mengolah data, langkah yang pertama
dilakukan yaitu, mendefinisikan calon atau kandidat teknologi yang akan
digunakan berdasarkan katalog teknologi. Untuk mengklasifikasi teknologi bisa
menggunakan Technical Reference Model dari TOGAF (Open Group, 2009)
Hasil dari klasifikasi teknologi adalah menghasilkan pemilihan teknologi
untuk platform teknologi yang ada dalam aplikasi, mulai dari perangkat lunak
aplikasi, sistem operasi, jaringan dan teknologi keamanan serta
arsitektur internet yang mendukung aplikasi. Model arsitektur teknologi
secara umum akan menggambarkan bagaimana interaksi pengguna dalam menggunakan
teknologi serta aplikasi (Satzinger, Jackson dan Burd, 2005).
Sebelum implementasi dilakukan terhadap model arsitektur
enterprise yang sudah dihasilkan, diperlukan analisis kesenjangan
terhadap resource base dengan strategi migrasi sistem informasi yang
baru. Hal yang penting didalam tahapan ini adalah analisis faktor
perubahan dan pengambilan keputusan terhadap investasi TI yang baru atau
mempertahankan platform TI yang sudah dimiliki sebelumnya (Open Group,
2009). Untuk mendukung pelaksanaan perancangan model arsitektur
enterprise di dalam perguruan tinggi, diperlukan juga pemetaan proses yang
standar dalam sebuah perguruan tinggi, sehingga proses yang standar bisa
dijadikan sebagai acuan oleh perguruan tinggi lainnya. Pendefinisian model
arsitektur yang komplek akan menjawab semua kebutuhan yang ada dalam perguruan
tinggi, dan apabila kebutuhan tersebut belum ada, bukan berarti suatu
perguruan tinggi memaksakan diri untuk menciptakan proses tersebut, tapi cukup
mengambil bagian yang menjadi kebutuhannya atau disesuaikan dengan
kebutuhan masing-masing perguruan tinggi. Perancangan arsitektur
enterprise untuk organisasi sangat dipengaruhi oleh bagaimana organisasi
memilih metode arsitektur enterprise yang cocok dengan lingkungan pengembangan
arsitektur organisasi, ada beberapa strategi yang harus ditentukan
dalam memilih metode tersebut.
TOGAF ADM
merupakan suatu metode yang komplek dan syarat model yang digunakan pada proses
pengembangan arsitektur. Dari beberapa penelitian yang sudah mencoba membandingkan
metode arsitektur enterprise yaitu menyatakan;
1. TOGAF ADM adalah sebuah metode yang komplek (Zarvic dan Wieringa, 2006).
2. TOGAF ADM dapat digunakan untuk perencanaan arsitektur enterprise,
perancangan, dan pengembangan serta pengelolaan arsitektur SI organisasi
(Yunis, 2006).
3. TOGAF ADM dapat diasosiasikan dengan framework atau metode lain,
seperti Zachman Framework, COBIT dan lainnya (Open Group, 2009).
4. TOGAF ADM dapat diasosiasikan juga dengan metode pengembangan
sistem yang berorientasi objek seperti Rational Unified Process (RUP) karena
secara tidak langsung tahapan yang ada dalam TOGAF ADM bisa dimodel pada
RUP. RUP diposisikan pada tahapan F (Migration Planning) dan H
(Implementation Governance), sehingga dalam tahapan ini RUP bisa dijadikan
acuan detil dalam merancang blueprint sistem informasi karena pendekatan
dan teknik pemodelan serta tools yang digunakan juga hampir sama
(Temnenco, 2007).
Pada model rancangan arsitektur enterprise yang dipakai
memakai TOGAF ADM sebagai salah satu metode yang digunakan untuk melakukan
perancangan arsitektur enterprise. Setiap tahapan pada TOGAF ADM dapat
dilakukan secara akurat, apabila proses bisnis di dalam organisasi
benar-benar dipahami dan mampu di identifikasi secara lengkap dan benar.
Khususnya untuk perguruan tinggi, pemahaman proses bisnis perguruan
tinggi merupakan hal penting, karena proses bisnis perguruan tinggi memiliki
kompleksitas dan karakteristik yang berbeda-beda, apabila dibandingkan dengan
proses bisnis organisasi jasa lainnya. Dengan adanya model awalnya pada
perancangan arsitektur diharapkan akan ada sebuah model perancangan arsitektur
enterprise perguruan tinggi yang utuh, akurat dan lengkap, sehingga bisa
diterapkan oleh perguruan tinggi di Indonesia.
LINK :
- https://medium.com/@tonyhendrap/sni-iso-iec-27001-2013-da4f4c4fa7be (diakses 22/11/2018 pukul 20:45WIB)
- https://www.dictio.id/t/apa-yang-dimaksud-dengan-the-open-group-architecture-framework-togaf/2608 (diakses 22/11/2018 pukul 21:36WIB)
- https://media.neliti.com/media/publications/174077-ID-none.pdf(diakses 22/11/2018 pukul 21:55WIB)
- https://media.neliti.com/media/publications/233804-audit-keamanan-informasi-studi-kasus-pt-db51f6fe.pdf (diakses 22/11/2018 pukul 22:16WIB)
- http://journals.telkomuniversity.ac.id/aptikom/article/download/658/516/ (diakses 22/11/2018 pukul 22:32 WIB)
- https://media.neliti.com/media/publications/112896-ID-none.pdf (diakses 03/12/2018 pukul 11:12 WIB)
Komentar
Posting Komentar