DS4 – Ensure Continuous Service - Control Objective dari Domain Delivery and Support

I. PENDAHULUAN 1 1.1 Latar Belakang

2.6 Control Objective dari Domain Delivery and Support

2.6.4. DS4 – Ensure Continuous Service

2.6.4.1. DS4.1 – IT Continuity Framework (Kerangka Kerja IT Jangka Panjang)

Melakukan pengembangan kerangka untuk keberlanjutan IT untuk mendukung keberlanjutan manajemen enterprisewide

business menggunakan sebuah proses yang konsisten.

Objektifitas dari kerangka kerja harus bisa membantu menentukan ketahanan infrastruktur yang diperlukan, dan untuk mengendalikan perkembangan dari pemulihan kerusakan dan rencana kontinjensi IT. Kerangka kerja harus mengarahkan struktur organisasi untuk kelanjutan manajemen, melindungi peran, tujuan dan tanggung jawab dari provider layanan internal dan eksternal, manajemen dan pelanggan mereka, serta proses perencanaan yang membuat peraturan dan struktur kedalam dokumen, menguji dan melaksanakan pemulihan (recovery) kerusakan serta rencana kontinjensi IT. Rencana tersebut juga harus mengarahkan item-item seperti identifikasi dari sumber-sumber yang penting, mencatat key dependencies, pengawasan dan

pelaporan ketersediaan sumber sumber penting, proses alternatif, dan prinsip-prinsip backup dan recovery (pemulihan).

2.6.4.2. DS4.2 – IT Continuity Plans

Mengembangkan rencana IT secara kontinu berdasarkan kerangka kerja dan dirancang untuk mengurangi dampak gangguan besar pada fungsi kunci bisnis serta proses. Rencana tersebut harus berdasarkan pada pemahaman terhadap resiko dari dampak bisnis potensial dan mengarahkan kebutuhan pada ketahanan, proses alternatif dan kemampuan pemulihan dari semua layanan IT yang penting. Rencana rencana tersebut juga harus meliputi penggunaan panduan, peranan dan tanggungjawab, prosedur, proses komunikasi dan tes.

2.6.4.3. DS4.3 – Critical IT Resources

Memusatkan perhatian pada item-item yang dispesifikasikan sebagai item paling penting dalam rencana kesinambungan IT untuk membangun ketahanan dan menetapkan prioritas dalam pemulihan situasi. Hindari gangguan dalam pemulihan item-item yang tidak terlalu penting dan memastikan respon serta pemulihan sejalan dengan prioritas kebutuhan dalam bisnis, sambil memastikan biaya tetap dapat diterima, dan sesuai dengan peraturan dan kontrak serta mempertimbangkan ketahanan, respon dan pemulihan untuk tingkatan yang berbeda-beda, misalnya 1-4 jam, 4-24 jam, lebih dari 24 jam, dan periode-periode penting dalam operasional bisnis.

2.6.4.4. DS4.4 – Maintenance of The IT Continuity Plan

Mendorong manajemen IT untuk menetapkan dan melaksanakan perubahan prosedur kontrol, untuk memastikan bahwa rencana IT yang berkelanjutan tetap up to date dan secara terus menerus merefleksikan keperluan bisnis yang sebenarnya dan mengkomunikasikan perubahan prosedur dan tanggung jawab secara jelas dan berkala.

2.6.4.5. DS4.5 – Testing of The IT Continuity Plan

Menguji rencana IT secara teratur untuk memastikan bahwa sistem IT dapat dipulihkan secara efektif, kekurangan/ kritikan diarahkan dan rencana tetap relevan. Hal ini memerlukan persiapan yang lebih hati-hati, dokumentasi, pelaporan hasil tes, dan berdasarkan pada hasil, implementasi dari pelaksanaan rencana. Mempertimbangkan jangkauan uji pemulihan dari aplikasi tunggal untuk mengintegrasikan skenario test hingga end-to-end testing dan uji vendor yang terintegrasi.

2.6.4.6. DS4.6 – IT Continuity Plan Training

Memberikan pelatihan teratur kepada semua pihak terkait, mengenai prosedur, peranan dan tanggung jawab jika terjadi insiden, kerusakan atau bencana. Verifikasi dan menambah pelatihan berdasarkan hasil dari uji kontinjensi.

2.6.4.7. DS4.7 –Distribution of The IT Continuity Plan

Terdapat sebuah strategi distribusi yang telah ditentukan dan diatur untuk memastikan bahwa rencana-rencana yang ada layak dan terdistribusi secara aman, serta tersedia secara sesuai kapan dan di mana pun diperlukan oleh pihak-pihak yang berkepentingan. Perhatian harus diberikan agar rencana dapat berjalan dalam semua kondisi bencana atau kerusakan.

2.6.4.8. DS4.8 – IT Services Recovery and Resumption

Melakukan penyusunan rencana tindakan yang akan diambil selama layanan IT dipulihkan sampai dilaksanakan kembali. Ini dapat meliputi aktivasi backup sites, insisiasi proses alternatif, komunikasi pelanggan dan stakeholder, serta melaksanakan kembali prosedur. Memastikan bahwa bisnis dapat memahami waktu yang diperlukan untuk pemulihan IT, dan perangkat teknologi yang diperlukan untuk mendukung pemulihan bisnis dan keperluan untuk memulai kembali.

2.6.4.9. DS4.9 – Offsite Backup Storage (Tempat Penyimpanan Cadangan)

a.Menyimpan offsite dari semua backup media yang penting, dokumentasi dan sumber IT lain yang diperlukan untuk pemulihan IT dan rencana bisnis yang berkelanjutan. b. Menentukan isi dari penyimpanan backup, dengan

kolaborasi antara pemilik proses bisnis dan personel IT. Manajemen fasilitas penyimpanan offsite harus merespon kebijakan klasifikasi data dan the enterprise’s media storage practices. Manajemen IT harus memastikan bahwa pengaturan offsite dinilai secara periodic, setidaknya tiap tahun, dalam hal isi, perlindungan terhadap lingkungan dan keamanan.

c.Memastikan kesesuaian antara hardware dan software untuk menyimpan data, dan secara periodik menguji dan memperbaharui (refresh) data.

2.6.4.10.DS4.10 – Post-Resumption Review

Menjelaskan apakah manajemen IT telah membuat prosedur untuk menilai apakah rencana untuk melanjutkan kembali fungsi IT setelah bencana sudah memadai, serta memperbaharui rencana jika diperlukan.

2.6.5. DS5 – Ensure Systems Security

2.6.5.1. DS5.1 – Management of IT Security

Mengatur keamanan IT dan menempatkannya di posisi yang cukup tinggi dalam organisasi, sehingga pelaksananaan manajemen keamanan ini sejalan dengan kepentingan bisnis.

2.6.5.2. DS5.2 –IT Security Plan

Menerjemahkan bisnis, resiko dan pemenuhan kepentingan kedalam rencana keamanan IT secara keseluruhan, mempertimbangkan infrastruktur IT dan kultur keamanan. Memastikan bahwa rencana diimplementasikan ke dalam kebijakan keamanan dan prosedur bersama dengan penyediaan perlengkapan layanan, personil, hardware dan software secara tepat. Mengkomunikasikan kebijakan keamanan dan prosedur kepada stakeholder dan user.

2.6.5.3. DS5.3 – Identity Management

a.Memastikan bahwa semua user (internal, external dan sementara) dan aktivitasnya dalam sistem IT (aplikasi bisnis, lingkungan IT, sistem operasi, perkembangan dan pemeliharaan) dapat diidentifikasi. Menampilkan identitas user lewat mekanisme pembuktian.

b. Mengkonfirmasi bahwa hak user untuk mengakses sistem dan data sejalan dengan keperluan bisnis yang telah ditentukan dan didokumentasikan, dan pekerjaan tersebut tercantum dalam identitas user.

c.Memastikan bahwa hak user diatur oleh manajeman, diterima oleh pemilik sistem, dan diterapkan oleh orang yang bertanggung jawab terhadap keamanan.

d. Menjaga identitas user dan hak akses di tempat penyimpanan pusat.

e.Menerapkan teknik efektif biaya dan langkah langkah procedural, dan menjaga agar tetap diperlukan identifikasi user, menerapkan otentifikasi, dan menegakkan hak akses.

2.6.5.4. DS5.4 – User Account Management

Permintaan alamat, membuat, mengeluarkan, penangguhan, modifikasi dan penutupan akun user dan haknya dapat dilakukan dengan perangkat manajemen akun user. Meliputi sebuah prosedur penguraian data yang bisa diterima atau pemilik sistem yang memberi hak akses. Prosedur tersebut harus diaplikasikan pada semua user, baik administrator maupun user internal dan eksernal, pada kondisi normal mapun darurat. Hak dan obligasi yang berkaitan dengan akses ke sistem perusahaan serta informasi, harus diatur dalam kontrak untuk semua jenis pengguna. Melakukan ulasan manajemen secara teratur untuk semua akun dan hak- hak terkait.

2.6.5.5. DS5.5 – Security Testing, Surveillance and Monitoring

Menguji dan mengawasai pelaksanaan keamanan IT secara proaktif. Keamanan IT harus di akreditasi ulang secara berkala untuk memastikan bahwa informasi perusahaan tetap terjaga. Fungsi pendataan dan pengawasan dapat menjadi cara pencegahan awal dan/atau deteksi dan pelaporan bila terjadi aktifitas yang tidak biasa yang mungkin ditemukan.

2.6.5.6. DS5.6 – Security Incident Definition

Secara jelas mendefinisikan dan mengkomunikasikan karakteristik dari hal-hal yang potensial menimbulkan insiden keamanan, sehingga dapat diklasifikasikan dan

ditindaklanjuti berdasarkan manajemen proses insiden dan masalah.

2.6.5.7. DS5.7 – Protection ofSecurity Technology

Membuat teknologi yang berkaitan dengan keamanan tahan terhadap ganguan, dan tidak membocorkan dokumentasi keamanan jika tidak diperlukan.

2.6.5.8. DS5.8 – Cryptographic Key Management

Menetapkan kebijakan dan prosedur pada tempatnya untuk mengatur kelompok, merubah, membatalkan, kerusakan, distribusi, sertifikasi, penyimpanan, memasukkan dan mengarsipkan Cryptographic Key untuk memastikan perlindungan kunci terhadap modifikasi dan kebocoran oleh pihak yang tidak berwenang.

2.6.5.9. DS5.9 – Malicious Software Prevention, Detection and Correction

Meletakkan tindakan preventif, detektif dan korektif pada tempatnya (terutama pola kemanan yang up to date dan kontrol virus) dalam organisasi, untuk melindungi sistem informasi dan teknologi dari malware (misal virus, worms, spyware, spam)

2.6.5.10.DS5.10 – Network Security

Menggunakan teknik keamanan dan prosedur keamanan yang terkait (misal firewalls, aplikasi sekuriti, segmentasi jaringan deteksi gangguan) untuk memberi akses dan mengkontrol aliran informasi dari dan ke jaringan.

2.6.5.11.DS5.11 – Exchange of SensitiveData

Pertukaran transaksi data positif hanya melalui jalur atau media yang bisa dipercaya, dengan kontrol untuk menjaga

keaslian data, bukti penyerahan, bukti penerimaan dan non- repudiation of origin.

2.6.6. DS7 – Educate and Train Users

2.6.6.1. DS7.1 – Identification of Education and Training Needs

Membuat dan secara teratur memperbaharui kurikulum untuk tiap-tiap target kelompok karyawan dengan mempertimbangkan aspek-aspek :

• Kebutuhan bisnis serta strategi saat ini dan dimasa depan

• Nilai informasi sebagai asset

• Nilai nilai perusahaan (nilai etika, kebiasaan kontrol dan keamanan yang berlaku)

• Implementasi dari infrastruktur dan software baru (misal pengemasan, aplikasi)

• Kemampuan saat ini dan dimasa depan, profil kompetensi, dan sertifikasi dan/ atau keperluan pembuatan surat (credentialing needs) yang diperlukan untuk reakreditasi.

2.6.6.2. DS7.2 – Delivery of Training and Education

Berdasarkan hasil identifikasi kebutuhan pendidikan dan pelatihan, serta mengidentifikasi target kelompok dan anggotanya, diperoleh mekanisme penyampaian yang efisien, guru, pelatih dan mentor. Menunjuk pelatih dan mengatur waktu sesi pelatihan. Mencatat registrasi (termasuk prasyarat), kehadiran, dan sesi evaluasi pelatihan.

2.6.6.3. DS7.3 – Evaluation of Training Received

Mengevaluasi materi yang disampaikan dalam pendidikan dan pelatihan, mengenai relevansi, kualitas, efektifitas, nilai dan biaya. Hasil dari evaluasi ini harus dijadikan masukan

untuk dalam pembuatan kurikulum dan penyampaian pelatihan yang akan datang.

2.6.7. DS8 – Manage Service Desk and Incidents

2.6.7.1. DS8.1 – Service Desk

Menentukan fungsi dari service desk, dengan user interface dilengkapi IT, untuk mencatat, mengkomunikasikan, menelpon dan menerima serta menganalisa semua telepon masuk. melaporkan insiden, melayani permintaan dan memberikan informasi. Harus ada pengawasan dan peningkatan prosedur berdasarkan service level yang disepakati, berkaitan dengan SLA yang tepat yang memungkinkan dilakukannya klasifikasi dan penentuan prioritas dari isu-isu yang dilaporkan sebagai insiden, melayani permintaan dan informasi. Mengukur kepuasan end user dengan kualitas meja layanan dan layanan IT.

2.6.7.2. DS8.2 – Registration of Customer Queries

Membuat sebuah sistem dan fungsi yang memungkinkan untuk mendata dan melacak telepon, insiden, permintaan layanan dan informasi yang diperlukan. Harus berjalan berdampingan dengan proses-proses seperti manajeman insiden, manajemen masalah, perubahan manajemen, kapasitas manajemen dan ketersediaan manajemen. Insiden harus diklasifikasikan menurut prioritas bisnis dan layanan dan mencakup tim manajemen pemecahan masalah, jika diiperlukan. Pelanggan harus tetap diberi informasi mengenai status permintaan mereka.

2.6.7.3. DS8.3 – Incident Escalation

Membuat prosedur meja layanan, sehinggan permasalahan yang tidak bisa segera diselesaikan, meningkat sesuai dengan

batas yang dijelaskan dalam SLA, dan jika memungkinkan disediakan workarounds. Memastikan bahwa kepemilikan insiden dan siklusnya tetap terawasi, dengan meja layanan sebagai user-based incidents, tanpa menghiraukan kelompok IT mana yang mengerjakan resolusinya.

2.6.7.4. DS8.4 – Incident Closure

Membuat prosedur untuk pengawasan secara berkala dari pemenuhan permintaan pelanggan. Ketika insiden berhasil diselesaikan, pastikan bahwa meja layanan mencatat tahap- tahap penyelesaian, dan mengkonfirmasi bahwa tindakan yang dilakukan telah disetujui oleh pelanggan. Catat dan laporkan juga mengenai insiden yang tidak terselesaikan (dikenal dengan error dan workaround), sebagai bahan informasi untuk menjalankan manajemen masalah dengan baik.

2.6.7.5. DS8.5 – Reporting and Trend Analysis)

Membuat laporan aktifitas meja layanan, agar manajemen dapat menilai performa dan waktu dalam pemberian layanan untuk mengidentifikasi kecenderungan yang terjadi, atau memecahkan masalah, sehingga layanan dapat terus menjadi lebih baik.

2.6.8. DS10 – Manage Problems

2.6.8.1. DS10.1 – Identification and Classification of Problems

Menjalankan proses untuk melaporkan dan mengklasifikasikan masalah yang telah diketahui sebagai bagian dari manajemen insiden. Langkah-langkah yang termasuk dalam klasifikasi masalah sama dengan langkah- langkah mengklasifikasi insiden; dimana harus

dikelompokkan berdasarkan kategori, dampak, urgensi dan prioritas.

Mengkategorikan masalah menjadi kelompok-kelompok atau domain (misalnya hardware, software, software pendukung). Kelompok-kelompok tersebut sebaiknya sesuai dengan tanggungjawab organisasional dari user dan pelanggan, dan harus menjadi dasar alokasi masalah untuk mendukung personil.

2.6.8.2. DS10.2 – Problem Tracking and Resolution

Memastikan bahwa sistem manajemen masalah memberikan fasilitas audit yang memadai yang memungkinkan untuk dilakukan pelacakan, analisa dan penentuan akar masalah dari semua permasalahan yang dilaporkan, meliputi :

• Semua item konfigurasi yang terkait • Permasalahan dan insiden besar

• Eror yang sudah diketahui atau diduga eror • Melacak arah permasalahan

Mengidentifikasi dan mulai mencari solusi yang mengarah pada akar permasalahan, menungkinkan adanya permintaan untuk proses perubahan manajemen. Lewat proses penyelesaian, manajemen masalah harus memberkan laporan secara teratur dari perubahan manajemen yang sedang berjalan seiring dengan pemecahan masalah. Manajemen masalah harus mengawasi dampak yang terjadi akibat masalah dan error terhadap layanan user. Jika dampak ini semakin berat, manajemen masalah harus ditingkatkan untuk mengatasi masalah tersebut, mungkin dengan merujuk ke pihak yang tepat, untuk meningkatkan prioritas dari RFC, atau untuk melaksanakan perubahan segera. Mengawasi perkembangan pemecahan masalah yang bertentangan dengan SLA

2.6.8.3. DS10.3 – Problem Closure

Membuat sebuah prosedur pemecahan masalah, baik setelah berhasil diselesaikan atau diketahui sebagai error, setelah disesuaikan dengan bisnis, mengenai bagaimana mengatasi masalah tersebut.

2.6.8.4. DS10.4 – Integration of Configuration, Incident and Problem Management

Mengintegrasikan proses-proses konfigurasi yang terkait, manajemen masalah dan insiden untuk memastikan bahwa manajemen masalahn sudah cukup efektif dan dapat dikembangkan.

2.6.9. DS11 – Manage Data

2.6.9.1. DS11.1 – Business Requirement for Data Management Verifikasi bahwa semua data yang diperlukan untuk prosesing diperoleh dan diproses secara lengkap, akurat dan tepat pada waktunya, dan semua output diberikan sesuai dengan kepentingan bisnis. Mendukung keperluan restart dan reprocessing.

2.6.9.2. DS11.2 – Storage and Retention Arrangements

Menentukan dan menjalankan prosedur penyimpanan data yang efektif dan efisien, tahan dan dapat diarsipkan untuk kepentingan bisnis, kebijakan organisasi dan regulasi.

2.6.9.3. DS11.3 – Media Library Management System

Menentukan dan menjalankan prosedur untuk menjaga media yang sudah disimpan dan diarsipkan, untuk memastikan bahwa media tersebut dapat digunakan.

2.6.9.4. DS11.4 – Disposal

Menentukan dan menjalankan prosedur untuk memastikan bahwa kepentingan bisnis mengenai perlindungan data dan software sensitif dapat dijalankan ketika data dan hardware dipindahkan atau ditempatkan.

2.6.9.5. DS11.5 – Backup and Restoration

Menentukan menjalankan prosedur sistem backup dan restorasi, aplikasi, data dan dokumentasi, sejalan dengan permintaan bisnis dan rencana jangka panjang.

2.6.9.6. DS11.6 – Security Requirements for Data Management

Menentukan dan mengimplementasikan kebijakan dan prosedur untuk mengidentifikasi dan menjalankan kepentingan keamanan yang dapat diterima, diproses, disimpan, dan menghasilkan data sesuai dengan keperluan bisnis, kebijakan organisasi dan regulasi.

Dalam dokumen Evaluation of the Integrated Toll Collection System Using The COBIT Framework (Halaman 61-73)