Langkah-langkah yang perlu dilakukan untuk melakukan audit TSI
1. Kontrol lingkungan:
♠ Apakah kebijakan keamanan (security policy) memadai dan efektif ?
♠ Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
♠ Jika sistem dibeli dari vendor, periksa kestabilan finansial
♠ Memeriksa persetujuan lisen (license agreement)
2. Kontrol keamanan fisik
♠ Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
♠ Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
♠ Periksa apakah rencana kelanjutan bisnis memadai dan efektif
♠ Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
3. Kontrol keamanan logikal
♠ Periksa apakah password memadai dan perubahannya dilakukan reguler
♠ Apakah administrator keamanan memprint akses kontrol setiap user
♠ Memeriksa dan mendokumentasikan parameter keamanan default
♠ Menguji fungsionalitas sistem keamanan (password, suspend userID, etc)
♠ Memeriksa apakah password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum
♠ Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya
♠ Memeriksa apakah prosedur memeriksa dan menganalisa log memadai
♠ Memeriksa apakah akses kontrol remote (dari tempat yang lain) memadai: (VPN,
CryptoCard, SecureID, etc)
4. Menguji Kontrol Operasi
♠ Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tsb
♠ Memeriksa apakah ada problem yang signifikan
♠ Memeriksa apakah control yang menjamin fungsionalitas sistem informasi telah memadai