8 kebijakan dan prosedur untuk biaya sehingga efektif mengurangi risiko keamanan teknologi informasi untuk tingkat yang dapat diterima. Menurut FISMA keamanan informasi berarti melindungi data dan sistem informasi dari akses yang tidak sah, penggunaan, pengungkapan, gangguan , modifikasi , atau perusakan dalam rangka memberikan integritas, kerahasiaan dan ketersediaan 2.5.2 National Institute of Standards and Technology NIST NIST merupakan badan federal yang ditunjuk oleh FISMA untuk menyediakan pedoman atau standard keamanan untuk memperkuat keamanan informasi dan sistem informasi. Aturan-aturan NIST yang dipergunakan terkait dengan FISMA antara lain:  FIPS Publication 199 Security Categorization  FIPS Publication 200 Security Requirements  NIST Special Publication 800-18, Rev 1 Security Planning  NIST Special Publication 800-30, Rev 1 Risk Management  NIST Special Publication 800-37 Certification Accreditation  NIST Special Publication 800-53 Rev 3 Recommended Security Controls  NIST Special Publication 800-53A Rev 1Security Control Assessment  NIST Special Publication 800-60 Security Category Mapping Gambar 2.3. Alur FIPS 199 dan SP 800-60 9 Fokus daerah audit mengenai kategori sistem informasi terhadap keamanan sistem informasi yang disediakan dalam aturan NIST SP 800-60 ditunjukkan pada gambar 2.1. Gambar 2.4. Level NIST 800-600 Dalam hal menilai kontrol keamanan informasi sebagaimana telah diatur dalam NIST SP 800-53 terdapat beberapa obyek yang terkait, diantaranya : Tabel 2.2. Level NIST 800-53 Code Contol Management Control RA Risk Assessment PL System Security Plan SA System and Service Acquisition SA-7 User Installed Software CA Certification, Accreditation, and Security Assessments Operational Control PS Personnel Security PE Physical and Environmental Protection CP Contingency Planning 10 CM Configuration Management MA Maintenance MA-6 Timely Maintenance SI System and Information Integrity SI-8 Spam and Spyware Protection MP Media Protection MP-5 Media Transport IR Incident Response IR-6 Incident Reporting AT Awareness and Training AT-3 Security Training Technical Controls IA Identification and Authentication IA-6 Authentication Feedback AC Access Control AC-9 Previous Logon Notification AU Audit and Accountability AU-8 Time Stamps SC System and Communications Protection SC-14 Public Access Protections

2.6 COBIT 5

Control Objectives for Information and related Technology COBIT adalah sekumpulan dokumentasi best practice untuk IT governance yang dapat membantu auditor, manajemen dan pengguna untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan permasalahan teknis lainnya. COBIT dikembangkan oleh IT Governance Institute , yang merupakan bagian dari Information SystemAudit and Control Association ISACA. COBIT saat ini yang dipakai yaitu COBIT 5.0 yang merupakan versi terbaru dari COBIT sebelumnya yaitu COBIT 4.1. COBIT 5 terbagi ke dalam 2 area yaitu governance dan manajemen. Kedua area ini total terdiri dari 5 domain dan 37 proses yaitu sebagai berikut :  Governance of Enterprise IT  Evaluate, Direct and Monitor EDM – 5 proses 11  Management of Enterprise IT  Align, Plan and Organise APO – 13 proses  Build, Acquire and Implement BAI – 10 proses  Deliver, Service and Support DSS – 6 proses  Monitor, Evaluate and Assess MEA – 3 proses Gambar 2.5. Domain Proses COBIT 5