PEMBUATAN PERANGKAT AUDIT INTERNAL TI BERBASIS RESIKO MENGGUNAKAN ISO/IEC 27002:2007 PADA PROSES PENGELOLAAN

DATA STUDI KASUS DIGITAL LIBRARY ITS

Mochammad Arief Ramadhana Sistem Informasi, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember Surabaya

Kampus ITS Sukolilo, Surabaya 60111 Email: Arief07@mhs.is.its.ac.id, soul.configuration@gmail.com

Abstrak

Banyaknya akses ke Digital library Institut Teknologi Sepuluh Nopember Surabaya (ITS) menunjukkan bahwa Digital library ITS sebagai institutional repository yang relatif sangat sibuk dan faktor keamanan merupakan faktor yang krusial. Memperhatikan pentingnya peranan Fungsi Audit Internal TI, khususnya dalam pelaksanaan manajemen resiko maka sudah seharusnya audit dilakukan sedangkan pihak perpustakaan ITS sendiri belum pernah melakukan kegiatan audit pada Digital library.

Berdasarkan alasan diatas maka perlu dibuat perangkat

Hasil dari penelitian ini berupa sebuah perangkat audit yang dapat digunakan untuk melakukan audit TI yang bertujuan memperbaiki setiap permasalahan yang berhubungan dengan proses pengelolaan data pada Digital library ITS

audit TI untuk mempermudah pelaksanaan audit internal TI. Pada Tahap awal, proses penilaian resiko (risk-assessment) akan dilakukan berdasarkan dari domain yang dipilih dari ISO/IEC 27002:2007 lalu prioritas dari hasil assessment akan dibuat sebuah perangkat audit.

Kata kunci: Resiko, Perangkat audit, Pengelolaan data, ISO/IEC 27002:2007. 1. PENDAHULUAN

Menyikapi perkembangan teknologi informasi yang terus berkembang, perpustakaan terutama di perguruan tinggi mulai tersadar untuk mencoba memberikan nuansa lain dengan memberikan layanan yang berbasis teknologi informasi. perkembangan teknologi informasi tersebut lalu menghasilkan sebuah konsep yang disebut Digital library (Cleveland, Gary, 1998). Sejalan dengan semangat perpustakaan di berbagai perguruan tinggi yang ingin mencoba

mengedepankan Digital library, dalam sistem pelayanannya, ITS berusaha untuk semakin meningkatkan kualitas pelayanannya dengan mengusung konsep Digital library. Digital library ITS Sebagai satu-satunya institutional repository milik ITS berperan penting untuk mendukung proses bisnis dari ITS.

Sementara itu, proses penerapan Digital library tentunya tidak dapat begitu saja dapat diwujudkan. Ada banyak hal yang perlu dihadapi dan menjadi tantangan bagi perpustakaan dalam mewujudkan Digital library secara utuh. Konsep yang berkembang ke dalam area yang lebih luas lagi, mulai dari database bibliografis yang besar, online, dan sistem akses public, serta didukung dengan adanya internet yang memungkinkan komputer terhubung ke dalam sebuah jaringan informasi yang luas menyebabkan resiko yang muncul setara dengan perkembangannya. Hal ini terbukti dengan banyaknya akses ke Digital library ITS yang berasal dari dalam institusi sendiri maupun luar institusi, nasional dan internasional yang menjadikan Digital library ITS sebagai institutional repository dengan peringkat 1 nasional dan peringkat 64 dunia. Mudahnya melakukan akses ke Digital library beresiko terjadi pencurian data, kerusakan data serta tereksploitasinya data ke pihak yang tidak bertanggung jawab.

Mengetahui pentingnya melindungi data atau aset informasi pada Digital library ITS , maka dari itu perlu adanya penilaian untuk mengetahui apakah proses pengelolaan data dan keamanan Digital library telah dikelola dengan baik sebagai tindakan untuk mencegah dan memperbaiki. Penilaian dilakukan dengan cara melakukan audit terhadap system yang diimplementasikan. Dengan berpatokan pada control-based approach melalui pendekatan berbasis resiko (risk assessment), identifikasi dan analisa dapat dilakukan terhadap resiko yang berpotensi menghalangi dan membahayakan pencapaian tujuan organisasi.

Pada kenyataanya perpustakaan sendiri belum pernah melakukan kegiatan audit internal pada Digital library, hal ini semakin menambah daftar resiko pada

Digital library ITS. Di sisi lain, keberhasilan pelaksanaan audit ditentukan oleh seberapa baik perencanaan dan persiapan yang dibuat sebelum pelaksanaan audit tersebut. oleh karena itu perlu adanya alat atau perangkat yang bisa digunakan untuk membantu proses auditing. Maka dari itu diperlukan standar yang relevan yang didalamnya terdapat pendekatan berbasis resiko dan dapat diimplementasikan kedalam perangkat audit yang akan dibuat. ISO ISO 27002:2007 merupakan standar keamanan informasi yang diterbitkan oleh International Electrotechnical Commission. Standar ini memberikan panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset informasi.

2. PERBEDAAN MENDASAR AUDIT

KONVENSIONAL DAN AUDIT BERBASIS RESIKO

Resiko secara umum diartikan sebagai suatu

kejadian/kondisi yang berkaitan dengan hambatan dalam pencapaian tujuan. Pengertian resiko berkaitan dengan ”adanya tujuan”, sehingga apabila tidak ada tujuan yang ditetapkan maka tidak ada resiko yang harus dihadapi. Jadi, jika tujuan auditor intern adalah untuk mendukung pencapaian tujuan yang ditetapkan instansi, maka auditor intern dalam penugasan auditnya juga harus memperhatikan seluruh resiko yang mungkin dihadapi oleh organisasi dalam rangka mencapai tujuannya. Dengan mengenali resiko inilah auditor intern akan mampu memberikan masukan kepada auditi sehingga auditi dapat meminimalisasi dampak resiko.

(Supono; Yulianto, Agus;, 2007) menegaskan bahwa pendekatan audit berpeduli atau berbasis resiko bukan berarti menggantikan pendekatan audit konvensional yang dijalankan oleh lembaga audit intern yang sudah berjalan selama ini. Pendekatan ini hanya membawa suatu metodologi audit yang dapat dijalankan oleh auditor intern dalam pelaksanaan penugasan auditnya melalui pendekatan dan pemahaman atas resiko yang harus diantisipasi, dihadapi, atau dialihkan oleh manajemen guna mencapai tujuan.

Perbedaan pendekatan audit berpeduli resiko dengan pendekatan audit konvensional adalah pada metodologi yang digunakan dimana auditor mengurangi perhatian pada pengujian transaksi individual dan lebih berfokus pada pengujian atas sistem dan proses bagaimana manajemen Audit mengatasi hambatan pencapaian tujuan, serta berusaha untuk membantu manajemen mengatasi (mengalihkan) hambatan yang dikarenakan faktor resiko dalam pengambilan keputusan .

Tabel 2.1 Perbedaan audit konvensional dan audit resiko

no Audit konvensional Audit berbasis resiko

1 Perhatian auditor dititikberatkan pada resiko manajemen dalam kaitannya dengan pencapaian tujuan audit. Auditor akan melakukan analisis atas resiko manajemen yang mempengaruhi tujuan auditnya. Semakin memadai pengendalian intern maka pengujian dan pembuktian audit (besarnya sample pengujian) yang harus dilakukan akan berkurang.

Perhatian auditor lebih jauh lagi dititikberatkan pada penaksiran atas resiko (risk assessment). Auditor melakukan penaksiran resiko bukan hanya semata-mata untuk audit namun lebih difokuskan pada resiko atas kelangsungan dan perkembangan aktivitas dalam rangka pencapaian tujuan manajemen.

2 Auditor berfokus pada kejadian dan kondisi masa lalu yang berdampak pada tujuan audit yang telah ditetapkan dengan tujuan untuk menilai tingkat kewajarannya.

Auditor mencoba membuat skenario resiko di masa kini dan di masa depan yang akan berdampak pada pencapaian tujuan organisasi. Sehingga dalam memberikan rekomendasi audit, lebih dititikberatkan pada pengelolaan resiko (risk management) selain pengelolaan pengendalian (management control).

3 Laporan audit merupakan informasi yang disampaikan kepada pihak-pihak yang berkepentingan dan pengguna laporan sesuai tujuan audit yang sudah ditetapkan, terutama mengenai berfungsi atau tidaknya pengendalian.

Dalam laporan audit, auditor lebih menitikberatkan pada pengungkapan proses yang memiliki resiko dibandingkan pengungkapan berfungsi atau tidaknya suatu pengendalian.

4 Pendekatan proses auditnya berbasis

Pendekatan proses auditnya berbasis resiko

sistem (system based audit). Audit berbasis sistem dilaksanakan atas dasar keberadaan suatu sistem yang sesungguhnya ada dan pengendalian yang dijalankan terkait dengan sistem tersebut. Oleh karena itu dengan sistem yang ada, dianggap akan mampu mengatasi semua resiko. Biasanya pengujian dilakukan dengan ”kuesioner internal kontrol”, yaitu dokumen standar yang digunakan dalam setiap penugasan audit.

(risk based audit). Audit berbasis resiko dilaksanakan atas dasar resiko-resiko dan melaporkan kepada pihak manajemen apakah resiko-resiko tersebut telah dapat dikelola dengan baik atau sebaliknya. Dalam hal ini proses ABR dilaksanakan untuk mengelompokkan sejumlah resiko-resiko, dan proses menggambarkan ”sesuatu yang logis” dan bukan kondisi aktual. Jika terdapat suatu resiko tetapi tidak termasuk di dalam proses yang dipetakan maka harus dipecahkan melalui proses yang baru.

Untuk itu auditor perlu memahami aspek-aspek

yang perlu dalam melakukan pendekatan ABR adalah sebagai berikut.

1. Dalam menerapkan ABR, auditor perlu

mengidentifikasi wilayah/area yang memiliki resiko yang menghambat pencapaian tujuan manajemen. Misalnya dalam audit keuangan, resiko salah saji yang besar/tinggi pada penyajian laporan keuangan. Wilayah/area yang memiliki tingkat resiko yang tinggi tersebut akan memerlukan pengujian yang lebih mendalam.

2. Auditor dapat mengalokasikan sumber daya auditnya berdasarkan hasil identifikasi atas kemungkinan dan dampak terjadinya resiko. Wilayah beresiko rendah menjadi prioritas akhir alokasi sumber daya audit. Oleh karena itu, dalam ABR, auditor harus melakukan analisis dan penaksiran resiko yang dihadapi auditi. Dalam melakukan analisis dan penaksiran resiko (risk assessment), auditor perlu memerhatikan hal-hal sebagai berikut.

1. Resiko kegiatan dari auditi (the auditee business risk), yaitu resiko terjadinya suatu kejadian yang dapat memengaruhi pencapaian tujuan dan sasaran manajemen. Resiko yang dimaksud bukan hanya resiko atas salah saji laporan keuangan namun juga resiko tidak tercapainya sasaran/tujuan yang telah ditetapkan.

2. Cara manajemen mengurangi atau meminimalisasi resiko.

3. Wilayah/area yang mengandung resiko dan belum diidentifikasi oleh manajemen secara memadai atau bahkan tidak diketahui sama sekali oleh manajemen.

Audit dengan pendekatan seperti ini yang sekarang banyak dipakai oleh para praktisi audit di dunia. Mereka berpendapat bahwa makin besar suatu perusahaan berkembang maka lebih besar juga resiko yang akan datang. Resiko selalu ada pada tiap proses yang dijalankan karena itu penting sekali pendekatan yang berbasiskan resiko dilakukan, jadi sudah biasa jika misalnya penilaian dan mitigasi resiko dilakukan sebagai bagian integral dari audit. 3. ISO/IEC 27002:2007

Standar ini merupakan penamaan ulang dari ISO/IEC 17799:2005. Standar ini dapat digunakan sebagai titik awal dalam penyusunan dan pengembangan ISMS. Standar ini memberikan panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset informasi.

Gambar 3.1 Alur implementasi ISO/IEC 27002:2007

Standar ini mengatur beberapa penerapan ISMS sebagai berikut: • Semua kegiatan harus sesuai dengan tujuan dan

proses pengamanan informasi yang didefinisikan dengan jelas dan didokumentasikan dalam suatu kebijakan dan prosedur.

• Standar ini memberikan kontrol pengamanan, yang dapat digunakan oleh organisasi untuk diimplementasikan berdasarkan kebutuhan spesifik bisnis organisasi.

• Semua pengukuran pengamanan yang digunakan dalam ISMS harus diimplementasikan sebagai hasil dari analisis resiko untuk mengeliminasi atau untuk mengurangi level resiko hingga level yang dapat diterima.

• Suatu proses harus dapat memastikan adanya verifikasi secara berkelanjutan terhadap semua elemen sistem pengamanan melalui audit dan review.

• Suatu proses harus dapat memastikan continuous improvement dari semua elemen informasi dan sistem manajemen pengamanan (Edward, Humphreys;, 2008). Standar ISO/IEC 27001 dan 27002 mengadopsi model PDCA [Plan-Do-Check-Act] sebagai basis dalam pelaksanaan ISMS) Selain itu, standar ini juga memberikan daftar kontrol-kontrol yang dapat diimplementasikan sebagai bagian dari ISMS organisasi yang meliputi 11 domain kontrol, 39 kontrol objektif, dan 132 kontrol.

4. HASIL PENELITIAN DAN

ANALISIS DATA

4.1 Proses bisnis Sub-koordinator TI dan Digital Library ITS Selain memiliki tugas untuk memelihara dan

mengelola beberapa sistem informasi diantaranya SPITS (sistem informasi perpustakaan ITS) dan OPAC. B i d a n g T I P e r p u s t a k a a n ITS memiliki tugas penting lainnya yaitu melakukan pengelolaan dan pemeliharaan terhadap Digital Library termasuk pengembangan dan meningkatkan implementasi dari Digital Library sendiri untuk mendukung layanan dari Perpustakaan.

Gambaran proses bisnis yang berkaitan dengan Digital Library perpustakaan ITS dipetakan ke dalam ISO/IEC 27002 sesuai dengan siklus PDCA untuk memastikan kelangsungan operasional organisasi kemudian didapatkan informasi yang relevan dalam pemilihan klausul kontrol keamanan ISO/IEC 27002 terkait dengan pengelolaan data Digital Library. Adapun proses bisnis perpustakaan ITS yang didukung oleh Digital library digambarkan dalam diagram value chain berikut ini.

Gambar 4.1 Value Chain proses bisnis perpustakaan ITS

terhadap klausul kontrol ISO/IEC 27002 yang didukung oleh Digital Library

Setelah diketahui proses bisnis yang ada maka selanjutnya adalah melakukan mapping terhadap proses bisnis tersebut. Mapping dilakukan untuk menetapkan kontrol keamanan yang tepat yang berkaitan dengan masalah pengelolaan data.

Tabel 4.2 Hasil Pemetaan proses bisnis terhadap klausul

kontrol ISO 27002

Namun Proses-proses tersebut belum dapat merepresentasikan secara khusus terhadap p r o s e s pengelolaan data. Oleh karena itu, perlu adanya pemilahan proses-proses mana yang dirasa tidak dibutuhkan.

Tabel 4.3 Hasil pemilihan proses bisnis terhadap klausul

kontrol ISO/IEC 27002

4.2 Perkembangan Digital Library ITS

Digital Library mengalami perkembangan yang sangat pesat dari tahun ke tahun khusunya dari segi jumlah pengunjung. Tahun 2010 implementasi Digital

Library telah berhasil melampaui target (6000 judul), karya ilmiah yang berhasil di upload yakni sebanyak 6940 judul, sehingga total jumlah judul yang sudah di upload 12877 judul, Bahkan januari 2010 Digital Library ITS atau ITS Repository menduduki urutan ke 1 di indonesia dan 64 dunia gambaran selengkapnya dapat dilihat pada tabel berikut ini.

Tabel 4.1 Indikator kinerja Digital Library tahun 2007-2010

Bulan per tahun

2007 2008 2009 2010

Januari 27.078 217.124 612.519 2.789.198 Februari 19.457 240.051 594.997 6.063.566 Maret 20.513 199.523 401.372 3.367.713 April 25.956 300.569 465.761 1.583.274 Mei 44.710 279.677 1.386.996 1.470.106 Juni 48.279 270.382 1.273.530 1.571.512 Juli 38.514 203.026 1.914.463 2.241.224 Agustus 37.769 266.187 1.313.195 1.319.922 September 33.774 436.981 2.609.129 2.641.809 Oktober 44.285 387.653 1.328.202 2.837.263 Nopember 118.07

8 471.832 2.404.897 2.753.115

Desember 122.869

505.185 2.751.527 3.742.287

Total 592.282

3.778.190 17.056.588

32.380.989

4.3 Identifikasi resiko

Ancaman terhadap Digital Library muncul karena adanya kelemahan pada sistem itu sendiri yang harus diwaspadai karena akan berdampak pada gangguan operasional pada proses bisnis yang ada. Contoh Rangkuman mengenai resiko yang teridentifikasi dan sering dapat dilihat pada tabel berikut ini.

Tabel 4.2 identifikasi resiko disebabkan pengungkapan

informasi

Tipe Resiko

Pengungkapan Informasi

No. 05

Resiko Hacking Aset Software, jaringan, data

Penyebab Hacking terjadi diakrenakan adanya celah keamanan yang bisa dimanfaatkan para hacker untuk mencuri data, merusak data dan memindah data ke tempat lain.

Dampak kehilangan data, data berubah, proses bisnis terganggu

Kelemahan Sistem perlindungan server, source code, port yang terbuka

No. 06

Resiko Social engineering

Aset Software, data

Penyebab Mekanisme otentikasi login tidak dienkripsi atau diberi perlindungan. Tidak ada pembatasan waktu kepada pengguna yang telah masuk ke sistem.

Dampak Pencurian data oleh orang lain, Hilangnya hak akses

karyawan ke dalam sistem, Hilangnya informasi

penting ke orang lain.

Kelemahan Mekanisme enkripsi pada login sistem, user session

kondisi tata kelola IT yang ada sekarang ini,

utamanya pada Digital Library sendiri belum diterapkan secara optimal. Hal ini terbukti berdasarkan observasi dan hasil wawancara yang menyebutkan tidak adanya SOP khusus yang menangani masalah pengelolaan, perawatan, keamanan sistem Digital Library. Selama ini proses tersebut dijalankan sebatas rutinitas sehari-hari. Hal ini dapat terjadi dikarenakan kurangnya perhatian dari pihak manajemen atas terkait pengelolaan keamanan serta ketidakefektifan penanganan semua resiko yang muncul karena kelemahan sistem itu sendiri. 4.4 Penilaian resiko (risk-assessment)

Penilaian resiko dimulai dengan menilai probabilitas terjadinya ancaman dalam skala periode tertentu disertai frekuensi kejadian serangan seperti yang ditunjukkan tabel berikut ini.

Penilaian resiko dilakukan terhadap seluruh proses bisnis yang diidentifikasikan dalam tahapan analisis proses bisnis. Hasil risk assessment kemudian dianalisis probabilitas kemungkinan kejadian proses dan tingkatan dampak yang ditimbulkan terhadap proses bisnis terkait. Kedua, analisis tersebut direpresentasikan secara kualitatif dengan ukurantertentu dengan menggunakan metode pengukuran dari ISO 27002 sendiri dan dilakukan terhadap proses yang dipilih.

Tabel 4.3 metode penelitian probabilitas resiko ISO 27002

Probabilitas kejadian

Frekuensi Nilai

Tidak pernah terjadi

Tidak pernah 0

Sangat rendah 2-3 kali setiap 5 tahun

1

Rendah <= 1 kali per tahun 2 Sedang <= 1 kali setiap 6

bulan 3

Tinggi <= 1 kali setiap bulan

4

Sangat tinggi >=1 kali setiap bulan

5

Ekstrim >= 1 kali setiap hari

6

Kemudian penilaian terhadap dampak yang

dihasilkan bagi institusi. Dampak dapat diklasifikan menjadi 6 kategori terdiri atas: tidak mempunyai dampak apapun bagi institusi, dampak minor, sampai dampak yang dihasilkan dapat dikategorikan parah, dimana semuanya telah memiliki derajat pengukuran.

Tabel 4.4 metode penelitian dampak resiko 27002

Dampak

Derajat dampak Nilai

Tidak berpengaruh

Tidak mempunyai dampak.

0

Minor Tidak perlu usaha lebih untuk memperbaiki.

1

Signifikan Dampak dapat diukur, perlu usaha lebih untuk memperbaiki.

2

Merusak Merusak reputasi dan keyakinan perusahaan. Memerlukan sumber daya lebih untuk memperbaiki

3

Serius Kehilangan konektivitas. Kehilangan banyak data atau layanan.

4

Parah Kegagalan sistem permanen.

5

Selanjutnya dilakukan scoring dengan

melakukan perhitungan terhadap probabilitas dan

dampak yang muncul Penilaian dilakukan dengan mengalikan nilai probabilitas yang telah teridentifikasi sebelumnya dan besarnya dampak yang dihasilkan. Hasilnnya akan dikatagorikan berdasarkan level dimana Kategori penilaian terdiri atas: tidak mempunyai dampak apapun, rendah, sedang, tinggi sampai ekstrim.

Tabel 4.5 scoring hasil perhitungan dari penilaian resiko ISO

27002

Perhitungan resiko (Probabilitas x Dampak)

Nilai

0 Tidak berpengaruh 1-3 Rendah

4-7 Sedang

8-14 Tinggi

15-19 Kritis

20-30 Ekstrim

Berdasarkan metode diatas maka hasil yang

didapat atas penilaian resiko terhadap digital library pada proses pengelolaan data di perpustakaan ITS dapat dilihat pada tabel berikut.

Tabel 4.6 penilaian resiko

Resiko Hacking Probabilitas kejadian 2

Dampak kejadian 4

Nilai resiko 8

Kategori resiko: Tinggi

Diantara beberapa resiko yang ada dalam contoh

penilaian resiko diatas Hacking adalah resiko yang termasuk dalam kategori tinggi. Resiko dengan kategori tinggi hingga ekstrim akan menjadi prioritas untuk dilakukan pengujian lebih dalam pada checklist auditor.

. 5. IMPLEMENTASI DAN UJI COBA

Implementasi dilakukan setelah pengamatan dan penaksiran resiko telah dilakukan sebelumnya. Berikut adalah contoh tampilan perangkat audit pada Digital Library yang dibuat berbentuk checklist.

Gambar 1 komponen pembentuk checklist

Komponen-komponen pembentuknya terdiri dari klausul kontrol yang telah dipilih, hasil risk-assessment, dokumen SOA dan SOP Perpustakaan ITS yang relevan terhadap proses.

Uji coba dilakukan coba untuk mendapatkan contoh jawaban dari pertanyaan - pertanyaan yang telah dibuat. contoh jawaban diperlukan untuk mengetahui apakah pertanyaan yang telah dibuat dapat dengan mudah dijawab oleh auditee. Uji coba dilakukan secara independen karena independensi merupakan syarat utama dalam proses audit.

Gambar 2 Contoh tampilan perangkat audit yang dihasilkan

6. KESIMPULAN

1. Penilaian resiko dilakukan pada area

dimana resiko teridentifikasi. Area yang dimaksud adalah aset-aset yang berkaitan dengan sistem secara langsung, terutama data karena proses yang dipilih adalah proses pengelolaan data. Dengan dilakukan penilaian resiko berdasarkan derajat pengukuran tertentu maka didapatkan resiko yang direpresentasikan dalam kategori yang telah ditentukan.

2. Perangkat audit dibuat berbentuk checklist dengan beberapa acuan seperti hasil pemetaan klausul kontrol pada ISO/IEC

27002, yang didalamnya sudah terdapat standar pengelolaan keamanan terutama untuk manajemen aset serta metode dalam melakukan pendekatan berbasis resiko.

3. Berdasarkan hasil uji coba yang telah dilakukan, beberapa revisi diperlukan terkait perbaikan dari beberapa pertanyaan dan instruksi yang telah dibuat, yaitu meliputi mudah atau tidaknya pengelola menjawab pertanyaan yang dibuat serta efektifitas dalam melakukan proses audit.

7. DAFTAR PUSTAKA

Rahardjo, Budi. (2000). Keamanan sistem informasi berbasis internet. Bandung: PT Insan Komunikasi Infonesia.

Jogianto, H M. (1991). analisa dan desain sistem informasi. yogyakarta: andi offset.

Carnaghan, C. (2005, October 28). Business process modeling approaches in the context of process level audit risk assessment .

Ernest, Young. (2002). Preparing for Internal Control Reporting: A Guide forManagement's Assessment Under Section 404 of the Sarbanes-Oxley Act.

ISO/IEC 207002 Code of practice for information security management. (2007). Switzerland.

Konrath, Larry F. (1999). Auditing Concepts and applications. International Thomson publishing.

Cleveland, Gary. (1998). (U. d. programme, Ed.) Digital Library: Definition, Isuues and Challenges .

Supono; Yulianto, Agus;. (2007). Diklat Perjenjangan Auditor dan Pengendali Teknis - Modul Pelatihan Audit Berpeduli Resiko. (R. Septowati, Ed.) Pusat Pendidikan dan Pelatihan Pengawasan BPKP .

Sarno, Riyanarto;. (2009). Audit Sistem dan Teknologi Informasi. (A. Herdiyanti, Ed.) Surabaya: ITS press.

Haddad, Hisham M.; Romero, Brunil D.;. (2009). Asset Identification for Security Risk Assessment in Web applications.

Platje, Adri; Sipke, Wadman;. (1998). From Plan-Do-Check-Action to PIDCAM: the further evolution of the Deming-wheel, 16, 201-208.

Porter, M.;. (1985). In Competitive Advantage. New York: Free Press.

Subrata, Gatot;. (2009). Perpustakaan Digital. Sucahyo, Yudho Giri; Ruldeviyani, Yova;. (2007).

Infrastruktur perpustakaan digital. Jakarta: Sagung Seto.

Suryandari, Ari;. (2007). Aspek manajemen perpustakaan digital. Jakarta: CV. Sagung Seto.

Edward, Humphreys;. (2008). Information security technical report I3. Information security management standards: Compliance, governance and risk management, 247-255.

Gerber, Mariana; Solms, Rossouw Von;. (2008). computers & security 27 . Information security requirements – Interpreting the legal aspects, 124–135.