dan informasi harus dilarang untuk pengguna, sistem aplikasi seharusnya terkait dengan hal-hal berikut:
a. mengontrol akses pengguna terhadap informasi dan fungsi sistem aplikasi, dalam hubungannya dengan kebijakan kontrol akses bisnis yang ditetapkan;
b. menyediakan perlindungan dari akses tidak berwenang untuk semua penggunaan dan sistem operasi software yang mampu menjalankan sistem atau kontrol
aplikasi; c. tidak menyalahgunakan sistem keamanan sistem lain yang sumber informasinya
terbagi; d. mampu untuk menyediakan akses informasi hanya untuk pemilik, individu lain
yang diijinkan, dan kelompok pengguna yang ditetapkan.
2.21 Isolasi Sistem yang Sensitif
Sistem isolasi kedengarannya seperti istilah asing dalam lingkungan komputasi. Kontrol ini tidak bertujuan memotong akses ke sistem yang kritis.
Sebaliknya, kontrol ini mencari cara untuk membatasi dampak operasional karena berbagi sumber daya antara sistem.
Implikasi dari kontrol ini adalah untuk merampingkan biaya dan untuk mengambil keuntungan maksimal dari sumber daya yang tersedia. Sebagai contoh,
inti perbankan aplikasi perangkat lunak mungkin berjalan pada sistem hardware yang sangat canngih yang mungkin tidak sepenuhnya dimanfaatkan. Organisasi mungkin
memutuskan bahwa itu akan berjalan satu aplikasi lain pada hardware yang sama
untuk lebih banyak laba atas investasi. Sementara ini mungkin menghemat biaya, ini juga mungkin menyebabkan downtime produksi Vasudevan dkk, 2008.
Sistem sensitif membutuhkan lingkungan komputasi khusus terisolasi. Sebagian sistem aplikasi sangat sensitif terhadap potensi kehilangan sehingga
membutuhkan penanganan khusus. Sensitivitas dapat mengindikasikan bahwa sistem aplikasi harus dijalankan pada komputer khusus, seharusnya hanya membagi
resources dengan sistem aplikasi aplikasi yang dipercaya, atau tidak mempunyai batasan. Menurut Sarno dan Iffano 2009: 326 yang harus diperhatikan dalam isolasi
sistem sensitif: 1. sensitivitas sistem aplikasi harus diidentifikasi secara eksplisit dan
didokumentasikan oleh pemilik aplikasi. 2. ketika aplikasi sensitif dijalankan pada lingkungan bersama, sistem aplikasi yang
akan dibagi resourcesnya harus teridentifikasi dan disetujui oleh pemilik aplikasi sensitif.
2.22 Maturity Model
IT Governance Institute 2007: 17 mendefinisikan model kedewasaan merupakan model yang digunakan untuk mengendalikan proses teknologi informasi
yang terdiri dari pengembangan suatu metode penilaian sehingga suatu organisasi dapat mengukur dirinya sendiri.
Menurut DISC Infosec 2009 salah satu cara untuk mencapai kontrol keamanan informasi yang optimal adalah menilai keamanan informasi organisasi
berdasarkan ISO 27002 dan memetakan setiap kontrol keamanan dengan Capability
Maturity Model Integration CMMI. CMMI memiliki lima tingkat tingkat
kematangan proses yang dapat dilihat pada Gambar 2.5
1 2
3 4
5
Gambar 2.5 Tingkat Kematangan CMMI Sumber: DISC Infosec, 2009
Penilaian maturity level dilakukan menggunakan lima tingkatan proses rangkaian kesatuan kedewasaan berdasarkan metodologi CMMI. Pendekatan CMMI
digunakan sebagai patokan untuk perbandingan dan berperan sebagai alat bantu untuk memahami tingkah laku, praktek, dan proses-proses dalam organisasi. Lima tingkatan
kerangka kesatuan CMM adalah sebagai berikut. a. Level 0 non-existent: Tidak ada kontrol sama sekali.
b. Level 1 initial: Pada level ini, organisasi memiliki pendekatan yang tidak konsisten, kontrol keamanan dilakukan secara informal. Informal berarti tidak
ada dokumentasi, tidak ada standar. c. Level 2 limitedrepeatable: Pada level ini, kontrol keamanan masih dalam
pengembangan danatau ada dokumentasi terbatas untuk mendukung kebutuhan. d. Level 3 defined: Pada level ini, kontrol keamanan telah didokumentasikan rinci
dan dikomunikasikan melalui pelatihan, tetapi tidak ada pengukuran kepatuhan. e. Level 4 managed: Pada level ini, terdapat pengukuran efektivitas kontrol
keamanan, tetapi tidak ada bukti dari setiap ulasan kepatuhan danatau kontrol
memerlukan perbaikan lebih lanjut untuk mencapai tingkat kepatuhan yang diperlukan.
f. Level 5 optimized: Pada level ini, kontrol keamanan telah disempurnakan hingga sesuai dengan ISO 27002 berdasarkan pada kepemimpinan yang efektif,
manajemen perubahan, perbaikan berkelanjutan, dan komunikasi internal.
2.23 Tahapan-Tahapan dalam Audit Sistem Informasi