PEMBUATAN PERANGKAT AUDIT INTERNAL TI BERBASIS RESIKO MENGGUNAKAN ISO/IEC 27002:2007 PADA PROSES PENGELOLAAN DATA STUDI KASUS DIGITAL LIBRARY ITS Mochammad Arief Ramadhana Sistem Informasi, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember Surabaya Kampus ITS Sukolilo, Surabaya 60111 Email:
[email protected],
[email protected]
Abstrak Banyaknya akses ke Digital library Institut Teknologi Sepuluh Nopember Surabaya (ITS) menunjukkan bahwa Digital library ITS sebagai institutional repository yang relatif sangat sibuk dan faktor keamanan merupakan faktor yang krusial. Memperhatikan pentingnya peranan Fungsi Audit Internal TI, khususnya dalam pelaksanaan manajemen resiko maka sudah seharusnya audit dilakukan sedangkan pihak perpustakaan ITS sendiri belum pernah melakukan kegiatan audit pada Digital library. Berdasarkan alasan diatas maka perlu dibuat perangkat audit TI untuk mempermudah pelaksanaan audit internal TI. Pada Tahap awal, proses penilaian resiko (risk-assessment) akan dilakukan berdasarkan dari domain yang dipilih dari ISO/IEC 27002:2007 lalu prioritas dari hasil assessment akan dibuat sebuah perangkat audit. Hasil dari penelitian ini berupa sebuah perangkat audit yang dapat digunakan untuk melakukan audit TI yang bertujuan memperbaiki setiap permasalahan yang berhubungan dengan proses pengelolaan data pada Digital library ITS Kata kunci: Resiko, Perangkat audit, Pengelolaan data, ISO/IEC 27002:2007.
1.
PENDAHULUAN
Menyikapi perkembangan teknologi informasi yang terus berkembang, perpustakaan terutama di perguruan tinggi mulai tersadar untuk mencoba memberikan nuansa lain dengan memberikan layanan yang berbasis teknologi informasi. perkembangan teknologi informasi tersebut lalu menghasilkan sebuah konsep yang disebut Digital library (Cleveland, Gary, 1998). Sejalan dengan semangat perpustakaan di berbagai perguruan tinggi yang ingin mencoba
mengedepankan Digital library, dalam sistem pelayanannya, ITS berusaha untuk semakin meningkatkan kualitas pelayanannya dengan mengusung konsep Digital library. Digital library ITS Sebagai satusatunya institutional repository milik ITS berperan penting untuk mendukung proses bisnis dari ITS. Sementara itu, proses penerapan Digital library tentunya tidak dapat begitu saja dapat diwujudkan. Ada banyak hal yang perlu dihadapi dan menjadi tantangan bagi perpustakaan dalam mewujudkan Digital library secara utuh. Konsep yang berkembang ke dalam area yang lebih luas lagi, mulai dari database bibliografis yang besar, online, dan sistem akses public, serta didukung dengan adanya internet yang memungkinkan komputer terhubung ke dalam sebuah jaringan informasi yang luas menyebabkan resiko yang muncul setara dengan perkembangannya. Hal ini terbukti dengan banyaknya akses ke Digital library ITS yang berasal dari dalam institusi sendiri maupun luar institusi, nasional dan internasional yang menjadikan Digital library ITS sebagai institutional repository dengan peringkat 1 nasional dan peringkat 64 dunia. Mudahnya melakukan akses ke Digital library beresiko terjadi pencurian data, kerusakan data serta tereksploitasinya data ke pihak yang tidak bertanggung jawab. Mengetahui pentingnya melindungi data atau aset informasi pada Digital library ITS , maka dari itu perlu adanya penilaian untuk mengetahui apakah proses pengelolaan data dan keamanan Digital library telah dikelola dengan baik sebagai tindakan untuk mencegah dan memperbaiki. Penilaian dilakukan dengan cara melakukan audit terhadap system yang diimplementasikan. Dengan berpatokan pada controlbased approach melalui pendekatan berbasis resiko (risk assessment), identifikasi dan analisa dapat dilakukan terhadap resiko yang berpotensi menghalangi dan membahayakan pencapaian tujuan organisasi. Pada kenyataanya perpustakaan sendiri belum pernah melakukan kegiatan audit internal pada Digital library, hal ini semakin menambah daftar resiko pada
Digital library ITS. Di sisi lain, keberhasilan pelaksanaan audit ditentukan oleh seberapa baik perencanaan dan persiapan yang dibuat sebelum pelaksanaan audit tersebut. oleh karena itu perlu adanya alat atau perangkat yang bisa digunakan untuk membantu proses auditing. Maka dari itu diperlukan standar yang relevan yang didalamnya terdapat pendekatan berbasis resiko dan dapat diimplementasikan kedalam perangkat audit yang akan dibuat. ISO ISO 27002:2007 merupakan standar keamanan informasi yang diterbitkan oleh International Electrotechnical Commission. Standar ini memberikan panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset informasi.
2.
Tabel 2.1 Perbedaan audit konvensional dan audit resiko
no
Audit konvensional
Audit berbasis resiko
1
Perhatian auditor dititikberatkan pada resiko manajemen dalam kaitannya dengan pencapaian tujuan audit. Auditor akan melakukan analisis atas resiko manajemen yang mempengaruhi tujuan auditnya. Semakin memadai pengendalian intern maka pengujian dan pembuktian audit (besarnya sample pengujian) yang harus dilakukan akan berkurang. Auditor berfokus pada kejadian dan kondisi masa lalu yang berdampak pada tujuan audit yang telah ditetapkan dengan tujuan untuk menilai tingkat kewajarannya.
Perhatian auditor lebih jauh lagi dititikberatkan pada penaksiran atas resiko (risk assessment). Auditor melakukan penaksiran resiko bukan hanya semata-mata untuk audit namun lebih difokuskan pada resiko atas kelangsungan dan perkembangan aktivitas dalam rangka pencapaian tujuan manajemen.
PERBEDAAN MENDASAR AUDIT KONVENSIONAL DAN AUDIT BERBASIS RESIKO
Resiko secara umum diartikan sebagai suatu kejadian/kondisi yang berkaitan dengan hambatan dalam pencapaian tujuan. Pengertian resiko berkaitan dengan ”adanya tujuan”, sehingga apabila tidak ada tujuan yang ditetapkan maka tidak ada resiko yang harus dihadapi. Jadi, jika tujuan auditor intern adalah untuk mendukung pencapaian tujuan yang ditetapkan instansi, maka auditor intern dalam penugasan auditnya juga harus memperhatikan seluruh resiko yang mungkin dihadapi oleh organisasi dalam rangka mencapai tujuannya. Dengan mengenali resiko inilah auditor intern akan mampu memberikan masukan kepada auditi sehingga auditi dapat meminimalisasi dampak resiko. (Supono; Yulianto, Agus;, 2007) menegaskan bahwa pendekatan audit berpeduli atau berbasis resiko bukan berarti menggantikan pendekatan audit konvensional yang dijalankan oleh lembaga audit intern yang sudah berjalan selama ini. Pendekatan ini hanya membawa suatu metodologi audit yang dapat dijalankan oleh auditor intern dalam pelaksanaan penugasan auditnya melalui pendekatan dan pemahaman atas resiko yang harus diantisipasi, dihadapi, atau dialihkan oleh manajemen guna mencapai tujuan. Perbedaan pendekatan audit berpeduli resiko dengan pendekatan audit konvensional adalah pada metodologi yang digunakan dimana auditor mengurangi perhatian pada pengujian transaksi individual dan lebih berfokus pada pengujian atas sistem dan proses bagaimana manajemen Audit mengatasi hambatan pencapaian tujuan, serta berusaha untuk membantu manajemen mengatasi (mengalihkan) hambatan yang dikarenakan faktor resiko dalam pengambilan keputusan .
2
3
4
Auditor mencoba membuat skenario resiko di masa kini dan di masa depan yang akan berdampak pada pencapaian tujuan organisasi. Sehingga dalam memberikan rekomendasi audit, lebih dititikberatkan pada pengelolaan resiko (risk management) selain pengelolaan pengendalian (management control). Dalam laporan audit, auditor lebih menitikberatkan pada pengungkapan proses yang memiliki resiko dibandingkan pengungkapan berfungsi atau tidaknya suatu pengendalian.
Laporan audit merupakan informasi yang disampaikan kepada pihak-pihak yang berkepentingan dan pengguna laporan sesuai tujuan audit yang sudah ditetapkan, terutama mengenai berfungsi atau tidaknya pengendalian. Pendekatan proses Pendekatan proses auditnya berbasis auditnya berbasis resiko
sistem (system based audit). Audit berbasis sistem dilaksanakan atas dasar keberadaan suatu sistem yang sesungguhnya ada dan pengendalian yang dijalankan terkait dengan sistem tersebut. Oleh karena itu dengan sistem yang ada, dianggap akan mampu mengatasi semua resiko. Biasanya pengujian dilakukan dengan ”kuesioner internal kontrol”, yaitu dokumen standar yang digunakan dalam setiap penugasan audit.
(risk based audit). Audit berbasis resiko dilaksanakan atas dasar resiko-resiko dan melaporkan kepada pihak manajemen apakah resiko-resiko tersebut telah dapat dikelola dengan baik atau sebaliknya. Dalam hal ini proses ABR dilaksanakan untuk mengelompokkan sejumlah resiko-resiko, dan proses menggambarkan ”sesuatu yang logis” dan bukan kondisi aktual. Jika terdapat suatu resiko tetapi tidak termasuk di dalam proses yang dipetakan maka harus dipecahkan melalui proses yang baru.
Untuk itu auditor perlu memahami aspek-aspek yang perlu dalam melakukan pendekatan ABR adalah sebagai berikut. 1.
2.
Dalam menerapkan ABR, auditor perlu mengidentifikasi wilayah/area yang memiliki resiko yang menghambat pencapaian tujuan manajemen. Misalnya dalam audit keuangan, resiko salah saji yang besar/tinggi pada penyajian laporan keuangan. Wilayah/area yang memiliki tingkat resiko yang tinggi tersebut akan memerlukan pengujian yang lebih mendalam. Auditor dapat mengalokasikan sumber daya auditnya berdasarkan hasil identifikasi atas kemungkinan dan dampak terjadinya resiko. Wilayah beresiko rendah menjadi prioritas akhir alokasi sumber daya audit. Oleh karena itu, dalam ABR, auditor harus melakukan analisis dan penaksiran resiko yang dihadapi auditi. Dalam melakukan analisis dan penaksiran resiko (risk assessment), auditor perlu memerhatikan hal-hal sebagai berikut.
1.
2. 3.
Resiko kegiatan dari auditi (the auditee business risk), yaitu resiko terjadinya suatu kejadian yang dapat memengaruhi pencapaian tujuan dan sasaran manajemen. Resiko yang dimaksud bukan hanya resiko atas salah saji laporan keuangan namun juga resiko tidak tercapainya sasaran/tujuan yang telah ditetapkan. Cara manajemen mengurangi atau meminimalisasi resiko. Wilayah/area yang mengandung resiko dan belum diidentifikasi oleh manajemen secara memadai atau bahkan tidak diketahui sama sekali oleh manajemen.
Audit dengan pendekatan seperti ini yang sekarang banyak dipakai oleh para praktisi audit di dunia. Mereka berpendapat bahwa makin besar suatu perusahaan berkembang maka lebih besar juga resiko yang akan datang. Resiko selalu ada pada tiap proses yang dijalankan karena itu penting sekali pendekatan yang berbasiskan resiko dilakukan, jadi sudah biasa jika misalnya penilaian dan mitigasi resiko dilakukan sebagai bagian integral dari audit.
3.
ISO/IEC 27002:2007
Standar ini merupakan penamaan ulang dari ISO/IEC 17799:2005. Standar ini dapat digunakan sebagai titik awal dalam penyusunan dan pengembangan ISMS. Standar ini memberikan panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset informasi.
Gambar 3.1 Alur implementasi ISO/IEC 27002:2007
Standar ini mengatur beberapa penerapan ISMS sebagai berikut: •
Semua kegiatan harus sesuai dengan tujuan dan proses pengamanan informasi yang didefinisikan dengan jelas dan didokumentasikan dalam suatu kebijakan dan prosedur.
•
Standar ini memberikan kontrol pengamanan, yang dapat digunakan oleh organisasi untuk diimplementasikan berdasarkan kebutuhan spesifik bisnis organisasi.
•
Semua pengukuran pengamanan yang digunakan dalam ISMS harus diimplementasikan sebagai hasil dari analisis resiko untuk mengeliminasi atau untuk mengurangi level resiko hingga level yang dapat diterima. Suatu proses harus dapat memastikan adanya verifikasi secara berkelanjutan terhadap semua elemen sistem pengamanan melalui audit dan review. Suatu proses harus dapat memastikan continuous improvement dari semua elemen informasi dan sistem manajemen pengamanan (Edward, Humphreys;, 2008). Standar ISO/IEC 27001 dan 27002 mengadopsi model PDCA [Plan-Do-CheckAct] sebagai basis dalam pelaksanaan ISMS) Selain itu, standar ini juga memberikan daftar kontrolkontrol yang dapat diimplementasikan sebagai bagian dari ISMS organisasi yang meliputi 11 domain kontrol, 39 kontrol objektif, dan 132 kontrol.
•
•
4.
HASIL PENELITIAN ANALISIS DATA
4.1
Proses bisnis Sub-koordinator TI dan Digital Library ITS
Gambar 4.1 Value Chain proses bisnis perpustakaan ITS terhadap klausul kontrol ISO/IEC 27002 yang didukung oleh Digital Library
Setelah diketahui proses bisnis yang ada maka selanjutnya adalah melakukan mapping terhadap proses bisnis tersebut. Mapping dilakukan untuk menetapkan kontrol keamanan yang tepat yang berkaitan dengan masalah pengelolaan data. Tabel 4.2 Hasil Pemetaan proses bisnis terhadap klausul kontrol ISO 27002
DAN
Selain memiliki tugas untuk memelihara dan mengelola beberapa sistem informasi diantaranya SPITS (sistem informasi perpustakaan ITS) dan OPAC. B i d a n g T I P e r p u s t a k a a n ITS memiliki tugas penting lainnya yaitu melakukan pengelolaan dan pemeliharaan terhadap Digital Library termasuk pengembangan dan meningkatkan implementasi dari Digital Library sendiri untuk mendukung layanan dari Perpustakaan. Gambaran proses bisnis yang berkaitan dengan Digital Library perpustakaan ITS dipetakan ke dalam ISO/IEC 27002 sesuai dengan siklus PDCA untuk memastikan kelangsungan operasional organisasi kemudian didapatkan informasi yang relevan dalam pemilihan klausul kontrol keamanan ISO/IEC 27002 terkait dengan pengelolaan data Digital Library. Adapun proses bisnis perpustakaan ITS yang didukung oleh Digital library digambarkan dalam diagram value chain berikut ini.
Namun Proses-proses tersebut belum dapat merepresentasikan secara khusus terhadap p r o s e s pengelolaan data. Oleh karena itu, perlu adanya pemilahan proses-proses mana yang dirasa tidak dibutuhkan. Tabel 4.3 Hasil pemilihan proses bisnis terhadap klausul kontrol ISO/IEC 27002
4.2
Perkembangan Digital Library ITS
Digital Library mengalami perkembangan yang sangat pesat dari tahun ke tahun khusunya dari segi jumlah pengunjung. Tahun 2010 implementasi Digital
Library telah berhasil melampaui target (6000 judul), karya ilmiah yang berhasil di upload yakni sebanyak 6940 judul, sehingga total jumlah judul yang sudah di upload 12877 judul, Bahkan januari 2010 Digital Library ITS atau ITS Repository menduduki urutan ke 1 di indonesia dan 64 dunia gambaran selengkapnya dapat dilihat pada tabel berikut ini.
Dampak kehilangan data, data berubah, proses bisnis terganggu Kelemahan Sistem perlindungan server, source code, port yang terbuka
Tabel 4.1 Indikator kinerja Digital Library tahun 2007-2010 Bulan per tahun Januari Februari Maret April Mei Juni Juli Agustus September Oktober Nopember Desember Total
4.3
2007
2008
2009
2010
27.078 19.457 20.513 25.956 44.710 48.279 38.514 37.769 33.774 44.285 118.07 8 122.86 9 592.28 2
217.124 240.051 199.523 300.569 279.677 270.382 203.026 266.187 436.981 387.653 471.832
612.519 594.997 401.372 465.761 1.386.996 1.273.530 1.914.463 1.313.195 2.609.129 1.328.202 2.404.897
2.789.198 6.063.566 3.367.713 1.583.274 1.470.106 1.571.512 2.241.224 1.319.922 2.641.809 2.837.263 2.753.115
505.185
2.751.527
3.742.287
3.778.190
17.056.58 8
32.380.98 9
Identifikasi resiko
Ancaman terhadap Digital Library muncul karena adanya kelemahan pada sistem itu sendiri yang harus diwaspadai karena akan berdampak pada gangguan operasional pada proses bisnis yang ada. Contoh Rangkuman mengenai resiko yang teridentifikasi dan sering dapat dilihat pada tabel berikut ini. Tabel 4.2 identifikasi resiko disebabkan pengungkapan informasi Tipe
Pengungkapan Informasi
Resiko No.
Resiko
Hacking
Aset
05
Software, jaringan, data
Penyebab Hacking
terjadi
diakrenakan
adanya
celah
keamanan yang bisa dimanfaatkan para hacker untuk mencuri data, merusak data dan memindah data ke tempat lain.
No. 06
Resiko
Social
Aset
Software, data
engineering Penyebab Mekanisme otentikasi login tidak dienkripsi atau diberi perlindungan. Tidak ada pembatasan waktu kepada pengguna yang telah masuk ke sistem. Dampak Pencurian data oleh orang lain, Hilangnya hak akses karyawan ke dalam sistem, Hilangnya informasi penting ke orang lain. Kelemahan Mekanisme enkripsi pada login sistem, user session
kondisi tata kelola IT yang ada sekarang ini, utamanya pada Digital Library sendiri belum diterapkan secara optimal. Hal ini terbukti berdasarkan observasi dan hasil wawancara yang menyebutkan tidak adanya SOP khusus yang menangani masalah pengelolaan, perawatan, keamanan sistem Digital Library. Selama ini proses tersebut dijalankan sebatas rutinitas sehari-hari. Hal ini dapat terjadi dikarenakan kurangnya perhatian dari pihak manajemen atas terkait pengelolaan keamanan serta ketidakefektifan penanganan semua resiko yang muncul karena kelemahan sistem itu sendiri.
4.4
Penilaian resiko (risk-assessment)
Penilaian resiko dilakukan terhadap seluruh proses bisnis yang diidentifikasikan dalam tahapan analisis proses bisnis. Hasil risk assessment kemudian dianalisis probabilitas kemungkinan kejadian proses dan tingkatan dampak yang ditimbulkan terhadap proses bisnis terkait. Kedua, analisis tersebut direpresentasikan secara kualitatif dengan ukurantertentu dengan menggunakan metode pengukuran dari ISO 27002 sendiri dan dilakukan terhadap proses yang dipilih. Penilaian resiko dimulai dengan menilai probabilitas terjadinya ancaman dalam skala periode tertentu disertai frekuensi kejadian serangan seperti yang ditunjukkan tabel berikut ini.
Tabel 4.3 metode penelitian probabilitas resiko ISO 27002 Probabilitas
Frekuensi
Nilai
Tidak pernah
0
2-3 kali setiap 5
1
kejadian Tidak
pernah
terjadi Sangat rendah
tahun Rendah
<= 1 kali per tahun
2
Sedang
<= 1 kali setiap 6 bulan
3
dampak yang muncul Penilaian dilakukan dengan mengalikan nilai probabilitas yang telah teridentifikasi sebelumnya dan besarnya dampak yang dihasilkan. Hasilnnya akan dikatagorikan berdasarkan level dimana Kategori penilaian terdiri atas: tidak mempunyai dampak apapun, rendah, sedang, tinggi sampai ekstrim. Tabel 4.5 scoring hasil perhitungan dari penilaian resiko ISO 27002 Perhitungan resiko
Nilai
(Probabilitas x Dampak)
Tinggi
<= 1 kali setiap bulan
4
0
Tidak berpengaruh
Sangat tinggi
>=1 kali setiap bulan
5
1-3
Rendah
6
4-7
Sedang
8-14
Tinggi
15-19
Kritis
20-30
Ekstrim
Ekstrim
>= 1 kali setiap hari
Kemudian penilaian terhadap dampak yang dihasilkan bagi institusi. Dampak dapat diklasifikan menjadi 6 kategori terdiri atas: tidak mempunyai dampak apapun bagi institusi, dampak minor, sampai dampak yang dihasilkan dapat dikategorikan parah, dimana semuanya telah memiliki derajat pengukuran.
Berdasarkan metode diatas maka hasil yang didapat atas penilaian resiko terhadap digital library pada proses pengelolaan data di perpustakaan ITS dapat dilihat pada tabel berikut.
Tabel 4.4 metode penelitian dampak resiko 27002 Dampak
Derajat dampak
Nilai
Tidak
Tidak mempunyai dampak.
0
Tidak perlu usaha
1
berpengaruh Minor
Tabel 4.6 penilaian resiko Resiko
lebih untuk memperbaiki. Signifikan
Dampak dapat
Hacking
Probabilitas kejadian
2
Dampak kejadian
4
Nilai resiko
8
Kategori resiko: Tinggi 2
diukur, perlu usaha lebih untuk memperbaiki. Merusak
Merusak reputasi
3
dan keyakinan perusahaan. Memerlukan sumber daya lebih untuk memperbaiki Serius
Kehilangan
4
konektivitas. Kehilangan banyak data atau layanan. Parah
Kegagalan sistem
5
permanen.
Selanjutnya dilakukan scoring dengan melakukan perhitungan terhadap probabilitas dan
Diantara beberapa resiko yang ada dalam contoh penilaian resiko diatas Hacking adalah resiko yang termasuk dalam kategori tinggi. Resiko dengan kategori tinggi hingga ekstrim akan menjadi prioritas untuk dilakukan pengujian lebih dalam pada checklist auditor. .
5.
IMPLEMENTASI DAN UJI COBA
Implementasi dilakukan setelah pengamatan dan penaksiran resiko telah dilakukan sebelumnya. Berikut adalah contoh tampilan perangkat audit pada Digital Library yang dibuat berbentuk checklist.
27002, yang didalamnya sudah terdapat standar pengelolaan keamanan terutama untuk manajemen aset serta metode dalam melakukan pendekatan berbasis resiko. 3. Berdasarkan hasil uji coba yang telah dilakukan, beberapa revisi diperlukan terkait perbaikan dari beberapa pertanyaan dan instruksi yang telah dibuat, yaitu meliputi mudah atau tidaknya pengelola menjawab pertanyaan yang dibuat serta efektifitas dalam melakukan proses audit.
Gambar 1 komponen pembentuk checklist
Komponen-komponen pembentuknya terdiri dari klausul kontrol yang telah dipilih, hasil riskassessment, dokumen SOA dan SOP Perpustakaan ITS yang relevan terhadap proses. Uji coba dilakukan coba untuk mendapatkan contoh jawaban dari pertanyaan - pertanyaan yang telah dibuat. contoh jawaban diperlukan untuk mengetahui apakah pertanyaan yang telah dibuat dapat dengan mudah dijawab oleh auditee. Uji coba dilakukan secara independen karena independensi merupakan syarat utama dalam proses audit.
Gambar 2 Contoh tampilan perangkat audit yang dihasilkan
6.
KESIMPULAN 1. Penilaian resiko dilakukan pada area dimana resiko teridentifikasi. Area yang dimaksud adalah aset-aset yang berkaitan dengan sistem secara langsung, terutama data karena proses yang dipilih adalah proses pengelolaan data. Dengan dilakukan penilaian resiko berdasarkan derajat pengukuran tertentu maka didapatkan resiko yang direpresentasikan dalam kategori yang telah ditentukan. 2. Perangkat audit dibuat berbentuk checklist dengan beberapa acuan seperti hasil pemetaan klausul kontrol pada ISO/IEC
7. DAFTAR PUSTAKA Rahardjo, Budi. (2000). Keamanan sistem informasi berbasis internet. Bandung: PT Insan Komunikasi Infonesia. Jogianto, H M. (1991). analisa dan desain sistem informasi. yogyakarta: andi offset. Carnaghan, C. (2005, October 28). Business process modeling approaches in the context of process level audit risk assessment . Ernest, Young. (2002). Preparing for Internal Control Reporting: A Guide forManagement's Assessment Under Section 404 of the Sarbanes-Oxley Act. ISO/IEC 207002 Code of practice for information security management. (2007). Switzerland. Konrath, Larry F. (1999). Auditing Concepts and applications. International Thomson publishing. Cleveland, Gary. (1998). (U. d. programme, Ed.) Digital Library: Definition, Isuues and Challenges . Supono; Yulianto, Agus;. (2007). Diklat Perjenjangan Auditor dan Pengendali Teknis Modul Pelatihan Audit Berpeduli Resiko. (R. Septowati, Ed.) Pusat Pendidikan dan Pelatihan Pengawasan BPKP . Sarno, Riyanarto;. (2009). Audit Sistem dan Teknologi Informasi. (A. Herdiyanti, Ed.) Surabaya: ITS press. Haddad, Hisham M.; Romero, Brunil D.;. (2009). Asset Identification for Security Risk Assessment in Web applications.
Platje, Adri; Sipke, Wadman;. (1998). From Plan-DoCheck-Action to PIDCAM: the further evolution of the Demingwheel, 16, 201-208. Porter, M.;. (1985). In Competitive Advantage. New York: Free Press. Subrata, Gatot;. (2009). Perpustakaan Digital. Sucahyo, Yudho Giri; Ruldeviyani, Yova;. (2007). Infrastruktur perpustakaan digital. Jakarta: Sagung Seto. Suryandari, Ari;. (2007). Aspek manajemen perpustakaan digital. Jakarta: CV. Sagung Seto. Edward, Humphreys;. (2008). Information security technical report I3. Information security management standards: Compliance, governance and risk management, 247-255. Gerber, Mariana; Solms, Rossouw Von;. (2008). computers & security 27 . Information security requirements – Interpreting the legal aspects, 124–135.