IT Audit Standard Tools/Framework (Bagian III)

Melanjutkan topik sebelumnya yang sudah disampaikan dalam dua posting terdahulu mengenai IT Audit Standard Tools/Framework, maka dengan ini kita lanjutkan diskusi mengenai hal tersebut.

Berikut ini adalah IT Audit Standard Tools/Framework yang akan dibicarakan pada posting ini adalah ISO/IEC 15408:2005/Common Criteria/ITSEC.

Standar internasional ISO/IEC 15408:2005 Security Techniques—Evaluation Criteria for IT Security dibuat berdasarkan Common Criteria for Information Technology Security Evaluation 2.0; dimana standar dasar tersebut dimasukkan dalam satu bab khusus dalam framework ini.
Common Criteria (CC) merupakan lanjutan dari Information Technology Security Evaluation Criteria (ITSEC) yang diterbitkan oleh the European Commission pada tahun 1991 dimana dokumen tersebut memiliki nama yang identik.
ISO/IEC 15408:2005 diterbitkan oleh ISO/IEC JTC 1 yang bekerjasama dengan Common Criteria Project Sponsoring Organisation yang dikenal sebagai CC. Anggota dari organisasi kerjasama ini terdiri dari beberapa negara yang melibatkan beberapa departemen yaitu:

• Kanada — Communications Security Establishment
• Perancis — Central Service of the Information System Security
• Jerman — Federal Office for Security in Information Technology
• Belanda — The Netherlands National Communications Security Agency
• Inggris — Communications-Electronics Security Group
• Amerika Serikat — National Institute of Standards and Technology and National Security Agency

Secara kesejarahan, dapat kita lihat bagaimana standar dari masing-masing negara anggota saling mempengaruhi hingga terbitnya standar ISO/IEC 15408:2005/Common Criteria/ITSEC sebagai berikut:
Amerika Serikat memiliki/menerbitkan US Orange Book TCSEC yang diterbitkan pada tahun 1985. Standar tersebut menjadi masukan bagi Kanada dalam menyusun dan menerbitkan Canadian Criteria yang diterbitkan pada tahun 1993 serta Federal Criteria pada tahun yang sama.
Selain itu dari standar tersebut muncul ITSEC pada tahun 1991. Namun standar ini pun mendapat pengaruh juga dari UK Confidence Levels yang diterbitkan pada tahun 1989, German Criteria serta French Criteria.
Berangkat dari standar-standar tersebut maka terbitlah standar framework Common Criteria versi 1.0 pada tahun 1996 yang kemudian disempurnakan menjadi versi 2.0 pada tahun 1998 dan versi 2.1 pada tahun 1999.
Setelah berkolaborasi dengan ISO/IEC JTC 1 maka disusun dan diterbitkanlah ISO/IEC 15408:1999 yang rilis terakhirnya adalah standar ISO/IEC 15408:2005.
Standar ini diterbitkan sebagai dasar krieteria yang didefinisikan sebagai alat uji bagi keamanan TI yang lebih difokuskan pada keamanan sistem dan produk TI.
ISO/IEC 15408:2005/Common Criteria/ITSEC seringkali diterapkan pada kasus-kasus bisnis sebagai berikut:

• Penerapan dari produk/jasa TI sebaiknya disertifikasi
• Pengujian keamanan bagi produk semi pengembangan seperti sistem kontrol

Standar ini ditujukan secara spesifik untuk tiga kelompok sebagai berikut:

• Pelanggan/Consumers
• Pengembang/Developers
• Penguji/Evaluators

Standar CC hanya menerbitkan sertifikasi untuk produk/jasa TI, tidak untuk personal. Sedangkan secara sudut pandang IT governance standar ini dianggap masih belum lengkap karena tidak secara menyeluruh dalam menetapkan setiap aspek penugasan manajemen TI. Standar ini lebih terpusat pada produk/jasa TI, bukan pada aspek-aspek manajemen TI.
Jika dibandingkan dengan standar COBIT maka secara aspek kriteria informasi hanya berfokus pada Confidentiality, Integrity, Availability, sedikit aspek Compliance dan Reliability. Namun dari sisi pengelolaan sumber daya TI identik dengan standar COBIT.

DAFTAR PUSTAKA

1. Computer Security Resource Center of the National Institute of Standards and Technology, Generally Accepted Principles and Practices
   for Securing Information Technology Systems, Special Publication 800-14, Department of Commerce, USA, 1996
2. Common Criteria Project Sponsoring Organisation, Common Criteria for Information Technology Security Evaluation 2.0, 1999
3. International Organisation for Standardisation, Quality Management and Quality Assurance Standards – Part 3: Guidelines for the
   Application of ISO 9001:1994 to the Development, Supply, Installation and Maintenance of Computer Software, ISO 9000-3,
   Switzerland, 1991
4. International Organisation for Standardisation, Quality Management Systems, ISO 9001, Switzerland, 2000
5. IT Governance Institute, COBIT 3rd Edition Framework, USA, 2000
6. IT Governance Institute, COBIT 3rd Edition Management Guidelines, USA, 2000
7. IT Governance Institute, COBIT 4.0, USA, 2005
8. IT Governance Institute, COBIT 4.1, USA, 2007

Popularity: 7% [?]

Topik yang mungkin Terkait:

1. IT Audit Standard Tools/Framework (Bagian II)
2. IT Audit Standard Tools/Framework (Bagian V)
3. IT Audit Standard Tools/Framework (Bagian I)
4. IT Audit Standard Tools/Framework (Bagian IV)
5. Pemanfaatan IT: “Dilema Outsourcing atau Internal Development” Bagian 2
6. Perlukah (Pentingkah) Audit Teknologi Informasi?
7. Anggaran TI (Information Technology Budgeting) Bagian I
8. Penerapan IT Management Tools di Indonesia
9. Anggaran TI (Information Technology Budgeting) Bagian II
10. Anggaran TI (Information Technology Budgeting) Bagian IV
11. Anggaran TI (Information Technology Budgeting) Bagian V
12. Anggaran TI (Information Technology Budgeting) Bagian VI
13. Anggaran TI (Information Technology Budgeting) Bagian III
14. Perbandingan Fokus Internal Control antara CoBIT, eSAC dan COSO
15. Nostalgia Memasarkan Open Source 8 Tahun Lalu..