ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

Standar Nasional Indonesia

ICS 13.200

Badan Standardisasi Nasional

Perlindungan masyarakat – Pedoman untuk

manajemen kesiapsiagaan insiden dan kontinuitas

operasional

(ISO/PAS 22399:2007, IDT)

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

© BSN 2012

Hak cipta dilindungi undang-undang. Dilarang menyalin atau menggandakan sebagian atau seluruh isi dokumen ini dengan cara dan dalam bentuk apapun dan dilarang mendistribusikan dokumen ini baik secara elektronik maupun tercetak tanpa izin tertulis dari BSN

BSN Gd. Manggala Wanabakti Blok IV, Lt. 3,4,7,10. Telp. +6221-5747043 Fax. +6221-5747045 Email: dokinfo@bsn.go.id www.bsn.go.id Diterbitkan di Jakarta

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

Daftar isi

Daftar isi...i Prakata ...ii Pendahuluan... iii 1 Ruang lingkup... 1 2 Acuan normatif... 2

3 Istilah dan definisi ... 2

4 Umum ... 12

5 Kebijakan ... 14

6 Perencanaan ... 19

7 Penerapan dan operasi ... 31

8 Penilaian Kinerja... 38

9 Tinjauan manajemen ... 43

Lampiran A (informatif) Prosedur analisis dampak... 44

Lampiran B (informatif) Program manajemen tanggap darurat ... 50

Lampiran C (informatif) Program manajemen kontinuitas ... 53

Lampiran D (informatif) Membangun budaya kesiapsiagaan insiden dan kontinuitas operasional ... 57

Bibliografi ... 59

Gambar 1 - Konsep kesiapsiagaan insiden dan IPOCM ...iv

Gambar 2 - Diagram alir kesiapsiagaan insiden dan kontinuitas operasi... 14

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

Prakata

Standar Nasional Indonesia (SNI) ini dengan judul Perlindungan masyarakat – Pedoman untuk manajemen kesiapsiagaan insiden dan kontinuitas operasional, merupakan adopsi identik dari ISO/PAS 22399:2007 dengan judul Societal security – Guideline for incident preparedness and operational continuity management dengan cara terjemahan dua bahasa (bilingual).

Standar ini disusun oleh Panitia Teknis 13-08, Penanggulangan Bencana. Standar ini telah dikonsensuskan di Jakarta, pada tanggal 8 Desember 2011. Konsensus ini dihadiri oleh para pemangku kepentingan (stakeholder) terkait yaitu perwakilan dari produsen, konsumen, pakar dan pemerintah.

Dalam standar ini istilah “ISO/PAS” diganti dengan “SNI ISO/PAS”, dan istilah “International Standards” diganti dengan “Standar”.

Apabila pengguna menemukan keraguan dalam standar ini maka disarankan untuk melihat standar aslinya yaitu ISO/PAS 22399:2007 (E) dan/atau dokumen terkait lain yang menyertainya.

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

Pendahuluan

Pedoman kesiapsiagaan insiden dan kontinuitas operasional ini menetapkan proses, prinsip dan terminologi dari manajemen kesiapsiagaan insiden dan kontinuitas operasional (Incident Preparedness and Operational Continuity Management (IPOCM) dalam konteks perlindungan masyarakat. Tujuan pedoman ini adalah untuk menyiapkan dasar pemahaman, pengembangan dan pelaksanaan kesiapsiagaan insiden dan kontinuitas operasional dari suatu organisasi dan untuk meningkatkan rasa percaya diri organisasi tersebut dalam berhubungan dengan masyarakat, organisasi lainnya serta para pelanggannya. Pedoman ini merupakan alat bagi organisasi publik atau swasta dalam mempertimbangkan berbagai faktor serta langkah-langkah yang diperlukan untuk kesiapsiagaan insiden baik yang tidak disengaja, disengaja, atau secara alami yang menyebabkan insiden (gangguan, darurat, krisis atau bencana) sehingga mampu mengelola dan bertahan terhadap insiden tersebut serta dapat mengambil tindakan yang tepat untuk kelangsungan hidup organisasi. Dengan pedoman ini, organisasi dapat mengukur kemampuan IPOCM-nya secara konsisten dan tepercaya. Pedoman ini memberikan kerangka kerja umum yang dapat diberlakukan untuk segala jenis dan ukuran organisasi serta kondisi geografis, budaya, ekonomi, nasional, politik dan sosial yang beragam.

Pemangku kepentingan menghendaki agar organisasi secara proaktif siap menghadapi potensi gangguan dan insiden untuk menghindari tertundanya operasi dan layanan, atau jika operasi dan layanannya terganggu organisasi mampu melanjutkan secepat mungkin, seperti yang ditunjukkan pada Gambar 1. IPOCM merupakan proses manajemen holistik yang mengidentifikasi potensi yang mengancam organisasi dan menyediakan kerangka kerja untuk meminimalkan dampaknya.

Introduction

This incident preparedness and operational continuity guideline establishes the process, principles and terminology of incident preparedness and operational (business) continuity management (IPOCM) within the context of societal security. The purpose of this guideline is to provide a basis for understanding, developing and implementing incident preparedness and operational continuity within an organization and to provide confidence in organization-to-community, business-to-business and organization-to-customer/client dealings. The guideline is a tool to allow public or private organizations to consider the factors and steps necessary to prepare for an unintentionally, intentionally, or naturally caused incident (disruption, emergency, crisis or disaster) so that it can manage and survive the incident and take the appropriate actions to help ensure the organization's continued viability. It also enables the organization to measure its IPOCM capability in a consistent and recognized manner. This guideline provides a generic framework applicable to all types and sizes of organizations enabling consideration of diverse geographical, cultural, economic, national, political and social conditions.

Interested parties and stakeholders require that organizations proactively prepare for potential incidents and disruptions in order to avoid suspension of critical operations and services, or if operations and services are disrupted, that they resume operations and services as rapidly as required by those who depend on them, as shown in Figure 1. IPOCM is a holistic management process that identifies potential impacts that threaten an organization and provides a framework for minimizing their effect.

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

Key

1 after introduction implementation of IPOCM 2 before introduction implementation of IPOCM

Figure 1 - Concept of incident preparedness and IPOCM

Kesinambungan Pemulihan Tanggap darurat Kesiapsiagaan/ pencegahan Waktu INSIDEN Level operasional Mengurangi dampak insiden Mempersingkat periode gangguan

Kunci

1 setelah penerapan IPOCM

2 sebelum penerapan IPOCM

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

Pedoman ini berisi seperangkat alat kontrol berdasarkan pengalaman praktek IPOCM terbaik dan mencakup seluruh siklus IPOCM. Pedoman ini dimaksudkan untuk digunakan oleh siapa saja dalam organisasi, yang bertanggung jawab di sektor publik atau swasta, dari direksi dan eksekutif sampai semua tingkat organisasi; dari organisasi yang hanya memiliki satu lokasi sampai dengan yang memiliki cabang di seluruh dunia; dari usaha kecil dan menengah (UKM) sampai organisasi yang mempekerjakan ribuan orang. Oleh karena itu berlaku bagi siapapun yang bertanggung jawab untuk operasi yang berkesinambungan. Dalam pedoman ini kontinuitas operasional merupakan istilah lebih umum bagi kelangsungan usaha, dan digunakan untuk menekankan keterkaitan dengan semua jenis organisasi di sektor publik dan swasta.

Pedoman ini merinci tentang perencanaan terpadu dan proses manajemen yang membantu organisasi secara proaktif untuk

— memahami lingkungan tempat

organisasi beroperasi, kendala yang ada dan ancaman yang dapat mengakibatkan gangguan yang signifikan;

— mengukur dampak akibat gangguan pada fungsi vital dari suatu operasi atau proses bisnis;

— menentukan bagian dari operasi dan bisnis vital untuk keberhasilan jangka pendek maupun jangka panjang;

— mengidentifikasi infrastruktur dan sumber daya yang dibutuhkan sehingga memungkinkan organisasi terus beroperasi pada tingkat aman

— mendokumentasikan sumber daya utama, infrastruktur, tugas dan tanggung jawab, yang dibutuhkan untuk mendukung fungsi yang vital untuk tetap beroperasi dalam hal terjadi gangguan;

— menetapkan proses yang dapat menjamin informasi tetap mengalir dan tetap relevan dengan risiko dan lingkungan operasional yang berubah;

This Publicly Available Specification provides a comprehensive set of controls based on IPOCM best practice and covers the whole IPOCM lifecycle. It is intended for use by anyone with responsibility for public or private sector organization operations, from directors and executives through all levels of the organization; from those with a single site to those with a global presence; from small and medium enterprises (SMEs) to organizations employing thousands of people. It is therefore applicable to anybody who holds responsibility for any operation, and thus the continuity of that operation. For purposes of this guide, operational continuity is the more general term for business continuity and is used to emphasize relevance to all types of organizations in the public and private sectors.

This guideline details integrated planning and management processes that proactively help organizations to

— understand the environment within

which the organization operates, the existence of constraints, and threats to the organization that could result in a significant disruption;

— quantify the impact of a disruption on critical operational (business) functions and processes;

— determine the parts of the operations and business that are critical to its short- and long-term success;

— identify the infrastructure and resources required to enable the organization to continue to operate at a minimum acceptable level;

— document the key resources,

infrastructure, tasks and responsibilities, required to support these critical operational functions in the event of a disruption;

— establish processes that ensure the information remains current and relevant to the changing risk and operational environments;

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

— memastikan bahwa karyawan,

pelanggan, pemasok dan pemangku kepentingan lainnya menyadari adanya pengaturan kesiapsiagaan dan kontinuitas dan lebih percaya diri dalam pelaksanaannya;

— menemukan solusi yang sesuai dan melakukan perbaikan secara terus-menerus.

IPOCM yang efektif memerlukan perubahan budaya yang mendasar dalam organisasi termasuk penerimaan ketidakpastian dan ketidaksempurnaan. Semua tingkat organisasi perlu menghargai risiko yang melekat dalam setiap keputusan dan kegiatan, dan bahwa proporsi risiko ini memiliki potensi untuk menciptakan gangguan. Semua tingkat organisasi perlu mempertimbangkan cara mengelola gangguan kegiatan tersebut.

Dengan pedoman IPOCM ini organisasi sektor publik atau swasta dapat menilai dan mengelola risiko dengan tujuan memastikan ketahanan dan kinerja organisasi dalam jangka panjang. Pedoman ini tidak menetapkan aplikasi dengan model tertentu. Terdapat berbagai model dan metodologi, yang memadukan kesiapsiagaan insiden dan kontinuitas operasional ke dalam pelaksanaan bisnis dan operasi keseluruhan organisasi, sehingga membuat organisasi lebih efisien dan kompetitif, serta mampu memenuhi tantangan. Pedoman ini berisi seperangkat alat identifikasi dan solusi dari masalah yang dapat diimplementasikan oleh organisasi dalam berbagai cara, tergantung pada kegiatan dan kebutuhan. Dengan menggabungkan proses berbasis risiko sistematis yang dinamis ke dalam manajemen insiden dan kontinuitas, organisasi akan dapat mengambil keputusan yang sesuai dengan sumber daya. Model yang dipilih harus dapat menanamkan budaya organisasi yang mendorong perbaikan berkesinambungan. Biasanya, model manajemen meliputi beberapa unsur yang umum antara lain: kebijakan, perencanaan, pelaksanaan dan operasi, penilaian kinerja, perbaikan dan

— ensure that relevant employees, customers, suppliers and other stakeholders are aware of the preparedness and continuity arrangements and, where appropriate, have confidence in their application;

— implement solutions accordingly and provide for their continual improvement.

It is important to recognize that effective IPOCM requires a fundamental cultural change within the organization including an acceptance of uncertainty and imperfection. All levels of an organization need to appreciate that risk is inherent in every decision and activity, and that a proportion of this risk has the potential to create disruption. People at all levels of an organization, therefore, need to consider how they will manage such disruptions to their activities.

This IPOCM guideline enables a public or private sector organization to assess and manage risk with the goal of assuring organizational resilience and long-term performance. It does not prescribe any particular model for application. There are various recognized models and methodologies which weave incident preparedness and operational continuity decision-making into the fabric of an organization's overall operational and business practices, making the organization more efficient, more competitive, and better able to meet important challenges, This guideline provides a set of problem identification and problem-solving tools that can be implemented by any organization in many different ways, depending on its activities and needs. By incorporating a dynamic systematic risk-based process into incident and continuity management, organizations can make informed decisions tailored to their resources. The model chosen should instill an organizational culture that drives continual improvement.

Typically, management models include several common elements: policy, planning, implementation and operation, performance assessment, improvement

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

tinjauan manajemen. Pedoman ini berisi panduan untuk penempatan unsur umum ketika mengembangkan dan menerapkan model manajemen yang membahas kebutuhan spesifik organisasi dan penerapannya dalam masyarakat.

Seluruh tindakan IPOCM harus diambil untuk berbagai model manajemen atau metodologi yang dipilih. IPOCM secara langsung berkaitan dengan organisasi pemerintahan dan menetapkan praktek manajemen yang baik. IPOCM menetapkan kerangka kerja strategis dan operasional untuk menerapkan ketahanan organisasi terhadap gangguan atau kehilangan dalam memasok produk dan jasa. Seharusnya ukuran yang dipakai tidak diambil sesaat setelah terjadinya kejadian. IPOCM membutuhkan perencanaan di banyak sisi dari suatu organisasi, oleh karena itu ketahanannya tergantung pada manajemen atau staf operasional, ataupun teknologi, dan memerlukan pendekatan holistik dalam menetapkan model IPOCM atau metodologinya.

Penerapan dan pelaksanaan berbagai teknik IPOCM secara sistematis dapat memberikan hasil yang optimal bagi semua pihak yang terkait. Namun, mengadopsi pedoman ini tidak dengan sendirinya akan menjamin kesiapsiagaan dan kontinuitas operasional yang optimal. Untuk mencapai kesiapsiagaan dan kontinuitas operasional, program IPOCM harus mendorong organisasi untuk memanfaatkan pengalaman praktek terbaik yang ada, sesuai dengan teknologi serta ekonomis.

IPOCM membutuhkan koordinasi dan kolaborasi berbagai institusi di sektor publik maupun swasta (seperti pejabat pemerintah dan publik di berbagai tingkatan, bisnis dan industri, organisasi non-pemerintah dan warga negara secara individu). Masing-masing institusi memiliki fokus sendiri, misi yang unik dan tanggung

and management review. This Publicly Available Specification provides guidance on addressing these common elements when developing and implementing a management model that addresses the specific needs of the organization and its place in the community.

Whichever management model or methodology is chosen, the full set of IPOCM actions should be adopted. IPOCM is directly linked to organizational governance and establishes good management practice. IPOCM establishes a strategic and operational framework to implement, proactively, an organization's resilience to disruption, interruption, or loss in supplying its products and services. It should not be a purely reactive measure taken after an incident has occurred. IPOCM requires planning across many facets of an organization; therefore its resilience depends equally on its management and operational staff, as well as technology, and requires a holistic approach to be taken in establishing the IPOCM model or methodology.

The adoption and implementation of a range of IPOCM techniques in a systematic manner can contribute to optimal outcomes for all interested and affected parties. However, adoption of this guideline will not itself guarantee optimal preparedness and continuity outcomes. In order to achieve preparedness and continuity objectives, the incident preparedness and operational continuity program should encourage organizations to consider implementation of the best available practices, techniques, and technologies, where appropriate and where economically viable. The cost-effectiveness of such practices, techniques, and technologies should be taken fully into account.

IPOCM requires the coordination and collaboration of many different entities in the public and private sectors (such as government and public authorities at various levels, business and industry, non-governmental organizations and individual citizens). Each of these entities has its own focus, unique missions and

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

jawab, sumber daya dan kemampuan yang bervariasi, dan prinsip operasi serta prosedur. Unsur utama program IPOCM berhubungan dan berinteraksi dengan fungsi serta kepentingan institusi yang berbeda, yang mungkin terlibat dalam suatu insiden yang sama. Oleh karena itu, program utama harus dipertimbangkan dalam kaitannya dengan semua institusi yang terkena dampak dan hubungannya dengan program IPOCM.

Respon organisasi terhadap risiko, yang bertujuan untuk meminimalkan dampak dan mengurangi kerugian sosial, harus didorong dan dihargai tanggung jawab sosialnya. Ketika terjadi suatu gangguan, organisasi harus bekerjasama dengan organisasi lainnya dalam mengalokasikan sumber daya manusia maupun fisik, karena sumber daya yang diperlukan untuk tanggap darurat dan pemulihan kemungkinan langka karena tidak terdistribusi secara optimal. Organisasi sebaiknya aktif berkontribusi pada masyarakat melalui upaya kerja sama dengan warga setempat, pemerintah daerah, dll. dengan berpartisipasi dalam kegiatan penunjang untuk menyelamatkan kehidupan manusia dan memasok kebutuhan. Organisasi juga perlu berkolaborasi dan bekerja sama dengan masyarakat responden pertama, para pihak yang berkepentingan serta mitranya dalam aspek kemanusian dan fisik.

Organisasi dapat membatasi ruang lingkup pelaksanaan dari pedoman ini dengan membatasi penerapannya terhadap suatu hal atau layanan tertentu, atau lokasi geografis tertentu. Setiap pembatasan tersebut harus didokumentasikan.

Pedoman ini tidak menetapkan persyaratan mutlak untuk kesiapsiagaan insiden dan kontinuitas kinerja operasional di luar komitmen, untuk memenuhi persyaratan hukum dan persyaratan lain yang berlaku, risiko yang proaktif dan pencegahan gangguan, serta untuk perbaikan berkelanjutan. Pedoman ini telah mengadopsi sistem untuk perbaikan berkesinambungan, tetapi tidak dimaksudkan untuk digunakan sebagai

responsibilities, varied resources and capabilities, and operating principles and procedures. It should be recognized that the key IPOCM program elements relate to and interact with the functions and interests of different entities that may be involved in an incident. Therefore, the key program areas should be considered within the context of all the entities impacted and their relationship to the IPOCM program.

An organization's response to risks, which aims at minimizing their impacts and reducing social loss, should be promoted and recognized as its social responsibility. When a disruptive incident occurs, an organization should understand that cooperation with other organizations in allocating human and physical resources is essential for its own operational continuity because resources required for emergency response and restoration may be scarce or not optimally distributed. An organization should make an active contribution to community through a cooperative effort with citizens, local governments, etc. by participating in supportive activities to rescue human lives and to offer supplies. It is also necessary for an organization to collaborate and cooperate with the first responder community and its stakeholders and partners in human and physical aspects.

An organization may chose to limit the scope of their implementation of the guideline elements by restricting its application to specific products, services or one or more geographic locations. Any such limitation in scope should be documented.

It should be noted that this guideline does not establish absolute requirements for incident preparedness and operational continuity performance beyond commitments, in the policy statement, to comply with applicable legal requirements and with other requirements to which the organization subscribes, proactive risk and incident/disruption prevention, and to continual improvement. This guideline has adopted a system for continual

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

improvement, but it is not intended to be used as third-party certification/registration criteria.

sertifikasi atau kriteria pendaftaran bagi pihak ketiga.

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

Perlindungan masyarakat – Pedoman untuk manajemen kesiapsiagaan insiden

dan kontinuitas operasional

1 Ruang lingkup

Pedoman ini berisi panduan umum bagi organisasi (baik swasta, pemerintah, maupun non-pemerintah) yang akan mengembangkan sendiri kriteria kinerja bagi manajemen kesiapsiagaan insiden dan kontinuitas operasional, serta mendesain sistem manajemen yang sesuai. Pedoman ini berisi dasar untuk memahami, mengembangkan dan menerapkan kontinuitas operasi dan layanan organisasi, dan memberikan rasa percaya diri dalam interaksi-interaksi bisnis, masyarakat, pelanggan, responden pertama dan organisasi. Dengan pedoman ini organisasi juga dapat mengukur ketahanannya secara konsisten dan tepercaya.

Pedoman ini berlaku untuk semua ukuran organisasi umum atau swasta yang terlibat dalam penyediaan produk, proses, atau layanan yang berkeinginan untuk:

— memahami seluruh konteks yang terkait dengan operasi organisasi;

— mengidentifikasi tujuan vital;

— memahami hambatan, risiko, dan gangguan yang dapat menghambat tujuan vital;

— mengevaluasi risiko tersisa dan toleransi risiko untuk memahami hasil pengendalian dan strategi mitigasi;

— merencanakan cara organisasi untuk dapat terus mencapai tujuannya jika terjadi insiden yang mengganggu;

— mengembangkan prosedur

insiden, tanggap darurat, pemulihan dan kontinuitas respons;

— mendefinisikan peran, tanggung jawab, dan sumber daya untuk merespons suatu insiden;

1 Scope

This guideline provides general guidance for an organization — private, governmental, and non-governmental organizations — to develop its own specific performance criteria for incident preparedness and operational continuity, and design an appropriate management system. It provides a basis for understanding, developing and implementing continuity of operations and services within an organization and to provide confidence in business, community, customer, first responder and organizational interactions. It also enables the organization to measure its resilience in a consistent and recognized manner This guideline is applicable to all sizes of public or private organizations engaged in providing products, processes, or services that wishes to:

— understand the overall context within which the organization operates;

— identify critical objectives;

— understand barriers, risks, and disruptions that may impede critical objectives;

— evaluate residual risk and risk tolerance to understand outcomes of controls and mitigation strategies;

— plan how an organization can continue to achieve its objectives should a disruptive incident occur;

— develop incident and

emergency response, continuity response and recovery response procedures;

— define roles and responsibilities, and resources to respond to an incident;

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

— memenuhi kepatuhan terhadap persyaratan hukum, peraturan, dan persyaratan lain yang berlaku;

— memberikan bantuan timbal balik dan bantuan masyarakat;

— melakukan mediasi dengan

responden pertama dan media;

— membantu perubahan budaya dalam organisasi yang menyadari bahwa risiko selalu ada dalam setiap keputusan dan aktifitas, dan harus dikelola secara efektif.

Pedoman ini menyajikan prinsip-prinsip umum dan dasar untuk kesiapsiagaan insiden dan kontinuitas operasional organisasi. Luasnya aplikasi akan tergantung pada faktor-faktor seperti kebijakan organisasi, sifat kegiatan, produk dan layanan, lokasi dan kondisi tempat organisasi berfungsi.

Namun, ruang lingkup pedoman ini tidak mencakup kegiatan tanggap darurat khusus setelah terjadi suatu insiden, seperti bantuan bencana dan pemulihan infrastruktur sosial yang terutama harus dilakukan oleh sektor publik sesuai dengan peraturan yang relevan. Namun, koordinasi dengan kegiatan tersebut perlu dipelihara dan didokumentasikan

— meet compliance with applicable legal, regulatory, and other requirements;

— provide mutual and community assistance;

— interface with first responders and the media;

— Promote a cultural change within the organization that recognizes that risk is inherent in every decision and activity, and must be effectively managed.

This guideline presents the general principles and elements for incident preparedness and operational continuity of an organization. The extent of the application will depend on factors such as the policy of the organization, the nature of its activities, products and services, and the location where and the conditions under which it functions.

The scope of this guideline, however, excludes specific emergency response activities following an incident, such as disaster relief and social infrastructure recovery that are primarily to be performed by the public sector in accordance with relevant legislation. It is important, however, that coordination with these activities be maintained and documented.

2 Acuan normatif

Dokumen acuan berikut ini sangat diperlukan untuk penerapan pedoman ini. Untuk acuan bertanggal, hanya edisi yang disebutkan yang berlaku. Untuk acuan tidak bertanggal, edisi terakhir dari dokumen tersebut (termasuk amandemennya) yang berlaku.

ISO/IEC Guide 73:2002, Risk management — Vocabulary — Guidelines for use in standards.

2 Normative references

The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.

ISO/IEC Guide 73:2002, Risk management — Vocabulary — Guidelines for use in standards.

3 Istilah dan definisi

Dalam pedoman ini berlaku istilah dan definisi yang ada dalam ISO/IEC Guide 73 dan definisi berikut ini.

3 Terms and definitions

For the purposes of this document, the terms and definitions given in ISO/IEC Guide 73 and the following definitions apply.

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

3.1

kegiatan vital

setiap fungsi atau proses yang sangat penting bagi organisasi dalam memberikan produk dan/atau layanan

3.1

critical activity

any function or process that is essential for the organization to deliver its products and/or services

3.2

konsekuensi

akibat dari suatu kejadian

CATATAN 1 Satu kejadian bisa

mengakibatkan lebih dari satu konsekuensi.

CATATAN 2 Konsekuensi dapat

bervariasi dari positif ke negatif.

CATATAN 3 Konsekuensi dapat

dinyatakan secara kualitatif atau kuantitatif. [ISO/IEC Guide 73]

3.2

consequence

outcome of an event

NOTE 1 There can be more than one

consequence from one event.

NOTE 2 Consequences can range from

positive to negative.

NOTE 3 Consequences can be

expressed qualitatively or quantitatively. [ISO/IEC Guide 73]

3.3 krisis

setiap kejadian, disebabkan oleh manusia atau alam, yang membutuhkan perhatian dan tindakan mendesak untuk melindungi nyawa manusia, harta benda, atau lingkungan

3.3 crisis

any incident(s), human-caused or natural, that require(s) urgent attention and action to protect life, property, or environment

3.4 bencana

peristiwa yang menyebabkan kerusakan atau kerugian besar

3.4 disaster

event that causes great damage or loss

3.5

gangguan

kejadian, terantisipasi (misalnya badai) atau tidak terantisipasi (misalnya pemadaman atau gempa bumi) yang mengganggu kegiatan normal di lokasi suatu organisasi

CATATAN Gangguan dapat disebabkan

baik oleh faktor positif atau negatif yang akan mengganggu operasi normal.

3.5 disruption

incident, whether anticipated (e.g. hurricane) or unanticipated (e.g. a blackout or earthquake) which disrupts the normal course of operations at an organization location

NOTE A disruption can be caused by

either positive or negative factors that will disrupt normal operations.

3.6 darurat

kejadian mendadak, mendesak, yang biasanya tak terduga atau peristiwa yang memerlukan tindakan segera

CATATAN Suatu keadaan darurat biasanya suatu kejadian atau kondisi mengganggu yang sering dapat diantisipasi atau disiagakan tapi jarang tepat diramalkan.

3.6 emergency

sudden, urgent, usually unexpected occurrence or event requiring immediate action

NOTE An emergency is usually a disruptive event or condition that can often be anticipated or prepared for but seldom exactly foreseen.

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

3.7 latihan

mengevaluasi program IPOCM, melatih peran anggota tim dan staf dan menguji pemulihan atau kontinuitas dari sistem organisasi (misalnya teknologi, telepon, administrasi) untuk menunjukkan kompetensi dan kemampuan IPOCM

CATATAN 1 Latihan meliputi kegiatan

yang dilakukan untuk tujuan pelatihan dan pengkondisian anggota tim dan personil dalam memberikan respons yang sesuai dengan tujuan pencapaian kinerja maksimal.

CATATAN 2 Suatu latihan dapat melibatkan penggunaan prosedur kontinuitas operasi, tetapi lebih cenderung melibatkan simulasi sebuah insiden kontinuitas operasi, diumumkan atau mendadak, yang pesertanya memainkan peran untuk menilai masalah yang mungkin timbul, sebelum benar-benar terjadi.

3.7 exercising

evaluating IPOCM programs, rehearsing the roles of team members and staff and testing the recovery or continuity of an organization's systems (e.g. technology, telephony, administration) to demonstrate IPOCM competence and capability

NOTE 1 Exercises include activities performed for the purpose of training and conditioning team members and personnel in appropriate responses with the goal of achieving maximum performance.

NOTE 2 An exercise can involve invoking

operational continuity procedures, but is more likely to involve the simulation of an operational continuity incident, announced or unannounced, in which participants role-play in order to assess what issues might arise, prior to a real invocation.

3.8

event (kejadian)

terjadinya serangkaian situasi/keadaan tertentu

CATATAN 1 Kejadian bisa pasti atau tidak pasti.

CATATAN 2 Kejadian dapat berupa

kejadian tunggal atau serangkaian kejadian.

CATATAN 3 Probabilitas kejadian dapat

diperkirakan untuk jangka waktu tertentu.

3.8 event

occurrence of a particular set of circumstances

NOTE 1 The event can be certain or uncertain.

NOTE 2 The event can be a single occurrence or a series of occurrences.

NOTE 3 The probability associated with the event can be estimated for a given period of time.

3.9 bahaya

kondisi fisik atau operasi, yang memiliki kapasitas untuk menghasilkan jenis efek tertentu yang tidak diinginkan atau tidak menyenangkan

3.9 hazard

possible source of danger, or conditions physical or operational, that have a capacity to produce a particular type of adverse effects

3.10 dampak

konsekuensi dari akibat tertentu

3.10 impact

evaluated consequence of a particular outcome

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

3.11

analisis dampak

proses menganalisis semua fungsi operasi dan efek yang mungkin timbul akibat suatu gangguan operasi.

3.11

impact analysis

process of analyzing all operational functions and the effect that an operational interruption might have upon them

3.12 insiden

peristiwa yang mungkin atau dapat menyebabkan sebuah gangguan operasi, kekacauan, kehilangan, kedaruratan atau krisis

3.12 incident

event that might be, or could lead to, an operational interruption, disruption, loss, emergency or crisis

3.13

rencana manajemen insiden

rencana tindakan yang jelas terdefinisi dan terdokumentasi untuk digunakan pada saat terjadi insiden atau gangguan, yang biasanya meliputi personil kunci, sumber daya, layanan dan tindakan yang diperlukan untuk melaksanakan proses manajemen insiden

3.13

incident management plan

clearly defined and documented plan of action for use at the time of an incident or disruption, typically covering the key personnel, resources, services and actions needed to implement the incident management process

3.14

kesiapsiagaan insiden

kegiatan, program, dan sistem yang dikembangkan dan dilaksanakan sebelum suatu kejadian yang dapat digunakan untuk mendukung dan meningkatkan mitigasi, respons dan pemulihan gangguan, bencana, atau keadaan darurat

3.14

incident preparedness

activities, programs, and systems developed and implemented prior to an incident that may be used to support and enhance mitigation of, response to, and recovery from disruptions, disasters, or emergencies

3.15

manajemen kesiapsiagaan insiden dan kontinuitas operasional

IPOCM

kegiatan dan tindakan sistematis dan terkoordinasi oleh organisasi untuk mengelola risiko secara optimal, dan potensi ancaman serta dampaknya yang ditimbulkan

3.15

incident preparedness and operational continuity management

IPOCM

systematic and coordinated activities and practices through which an organization optimally manages its risks, and the associated potential threats and impacts there from

3.16

kebijakan IPOCM

keseluruhan maksud dan arah organisasi, yang terkait dengan kesiapsiagaan insiden dan kontinuitas operasi, yang dinyatakan secara resmi oleh manajemen puncak

3.16

IPOCM policy

overall intentions and direction of an organization, related to its incident preparedness and operational continuity, as formally expressed by top management

3.17 mitigasi

pembatasan konsekuensi negatif dari suatu kejadian tertentu

3.17 mitigation

limitation of any negative consequence of a particular incident

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

3.18

perjanjian bantuan timbal balik

perjanjian yang diatur sebelumnya antara dua pihak atau lebih untuk memberikan bantuan kepada para pihak dalam perjanjian tersebut

3.18

mutual aid agreement

pre-arranged agreement developed between two or more entities to render assistance to the parties of the agreement

3.19

kontinuitas operasional OC

kemampuan strategis dan taktis, yang disetujui sebelumnya oleh manajemen suatu organisasi untuk merencanakan dan merespons kondisi, situasi dan peristiwa untuk dapat melanjutkan operasi pada tingkat yang dapat diterima

CATATAN Kontinuitas operasional adalah istilah yang lebih umum untuk kontinuitas bisnis. Istilah ini tidak hanya berlaku untuk perusahaan pencari-keuntungan, namun bagi semua bentuk organisasi, seperti organisasi non-pemerintah, kepentingan publik, dan pemerintah.

3.19

operational continuity OC

strategic and tactical capability, pre-approved by management, of an organization to plan for and respond to conditions, situations and events in order to continue operations at an acceptable predefined level

NOTE Operational continuity is the more general term for business continuity. It applies not only to for-profit companies, but organizations of all natures, such as non -governmental, public interest, and governmental organizations.

3.20

manajemen kontinuitas operasional OCM

proses manajemen menyeluruh yang mengidentifikasi dampak potensial yang mengancam suatu organisasi dan menyediakan suatu kerangka kerja untuk membangun ketahanan yang mampu merespons secara efektif guna menjaga keselamatan para pemangku kepentingan, reputasi, merek dan kegiatan yang menciptakan nilai.

CATATAN manajemen kontinuitas operasional juga melibatkan manajemen pemulihan atau kontinuitas insiden, serta manajemen program secara keseluruhan melalui pelatihan, gladi, dan kaji ulang, untuk memastikan rencana kontinuitas operasional tetap berjalan dan mutakhir.

3.20

operational continuity management OCM

holistic management process that identifies potential impacts that threaten an organization and provides a framework for building resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities

NOTE Operational continuity management also involves the management of recovery or continuity in the event of an incident, as well as management of the overall program through training, rehearsals, and reviews, to ensure the operational continuity plan stays current and up-to-date.

3.21

program manajemen kontinuitas operasional

manajemen dan proses tata kelola yang didukung oleh manajemen puncak dan sumber daya, untuk memastikan langkah-langkah yang perlu diambil yakni mengidentifikasi dampak potensi kerugian, menjaga rencana dan strategi pemulihan agar berjalan terus, dan menjamin kelangsungan fungsi/produk/layanan melalui latihan, gladi, pengujian, pelatihan,

3.21

operational continuity management program

ongoing management and governance process supported by top management and resourced to ensure that the necessary steps are taken to identify the impact of potential losses, maintain viable recovery strategies and plans, and ensure continuity of functions/products/services through exercising, rehearsal, testing,

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

pemeliharaan dan jaminan. training, maintenance and assurance

3.22

tim manajemen kontinuitas operasional

sekelompok orang yang secara fungsional bertanggung jawab untuk mengarahkan pengembangan dan pelaksanaan rencana kontinuitas operasi, menyatakan keadaan darurat/situasi krisis dan memberikan arahan selama proses pemulihan, baik pra- maupun pasca insiden

CATATAN Tim manajemen kontinuitas operasional dapat mencakup individu dari organisasi maupun responden langsung dan pertama, para pemangku kepentingan, dan pihak-pihak lain yang berminat.

3.22

operational continuity management team

group of individuals functionally responsible for directing the development and execution of the operational continuity plan, declaring an emergency/crisis situation and providing direction during the recovery process, both pre-and post-disruptive incident

NOTE The operational continuity management team may include individuals from the organizations as well as immediate and first responders, stakeholders, and other interested parties.

3.23

rencana kontinuitas operasional OCP

kumpulan dokumentasi prosedur dan informasi yang dikembangkan, dihimpun dan dirawat untuk siap digunakan dalam sebuah insiden

3.23

operational continuity plan OCP

documented collection of procedures and information that is developed, compiled and maintained in readiness for use in an incident

3.24

strategi kontinuitas operasional

pendekatan yang dilakukan oleh organisasi untuk memastikan pemulihan dan kesinambungannya dalam menghadapi gangguan, krisis atau penghentian utama lainnya (dalam pekerjaan).

3.24

operational continuity strategy

approach by an organization that will ensure its recovery and continuity in the face of a disruptive event, crisis or other major outage

3.25

tim kontinuitas operasional

kelompok individu yang bertanggung jawab untuk mengembangkan, melaksanakan, melatih, dan memelihara rencana kontinuitas operasional, termasuk proses dan prosedurnya

3.25

operational continuity team

group of individuals responsible for developing, executing, rehearsing, and maintaining the operational continuity plan, including the processes and procedures

3.26

organisasi

kelompok orang dan fasilitas dengan suatu pengaturan tanggung jawab, wewenang dan hubungan

CATATAN Suatu organisasi dapat berupa

pihak pemerintah atau publik, perseroan, korporasi, firma, perusahaan, institusi, lembaga sosial, perdagangan tunggal atau asosiasi, atau bagian atau kombinasi daripadanya.

3.26

organization

group of people and facilities with an arrangement of responsibilities, authorities and relationships

NOTE An organization can be a government or public entity, company, corporation, firm, enterprise, institution, charity, sole trade or association, or parts or combinations thereof.

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

3.27

pencegahan

tindakan yang memungkinkan suatu organisasi untuk menghindari, mencegah, atau membatasi dampak gangguan

3.27 prevention

measures that enable an organization to avoid, preclude, or limit the impact of a disruption

3.28

probabilitas

tingkat kemungkinan suatu peristiwa dapat terjadi

CATATAN 1 ISO 3534-1:1993, definisi 1.1 memberikan definisi matematika probabilitas sebagai "bilangan nyata dalam skala dari 0 hingga 1 yang melekat pada peristiwa acak. Hal ini dapat berhubungan dengan frekuensi relatif jangka panjang dari kejadian atau tingkat keyakinan bahwa suatu peristiwa akan terjadi. Untuk tingkat kepercayaan tinggi, probabilitasnya mendekati 1."

CATATAN 2 Frekuensi mungkin dapat digunakan untuk menggambarkan risiko ketimbang probabilitas.

CATATAN 3 Derajat keyakinan tentang probabilitas dapat dipilih dengan menggunakan kelas atau peringkat, seperti

— jarang/tidak akan/sedang/akan/hampir

pasti, atau

— luar biasa/tidak mungkin/jauh/kadang-kadang/kemungkinan/sering.

[ISO/IEC Guide 73]

3.28 probability

extent to which an event is likely to occur

NOTE 1 ISO 3534-1:1993, definition 1.1

gives the mathematical definition of probability as "a real number in the scale of 0 to 1 attached to a random event, It can be related to a long-run relative frequency of occurrence or to a degree of belief that an event will occur. For a high degree of belief, the probability is near 1.”

NOTE 2 Frequency rather than probability may be used to describe risk.

NOTE 3 Degrees of belief about probability can be chosen as classes or ranks, such as — rare/unlikely/moderate/likely/almost certain, or — incredible/improbable/remote/occasional/pr obable/frequent. [ISO/IEC Guide 73] 3.29

sasaran waktu pemulihan RTO

sasaran waktu untuk restorasi dan pemulihan fungsi atau sumber daya berdasarkan pada down time yang dapat diterima jika ada gangguan operasi

3.29

recovery time objective RTO

time goal for the restoration and recovery of functions or resources based on the acceptable down time in case of a disruption of operations

3.30 risiko sisa

risiko yang masih ada setelah penanganan risiko

3.30

residual risk

risk remaining after risk treatment

3.31 ketahanan

kemampuan organisasi untuk melawan pengaruh dari suatu peristiwa

3.31 resilience

ability of an organization to resist being affected by an event

3.32

program respon

rencana, proses, dan sumber daya untuk melakukan kegiatan dan layanan yang diperlukan untuk menjaga dan melindungi

3.32

response program

plan, processes, and resources to perform the activities and services necessary to preserve and protect life,

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

nyawa, harta benda, operasi, dan aset vital.

CATATAN Tahapan respon umumnya meliputi pengenalan insiden, pemberitahuan, penilaian, pernyataan, pelaksanaan rencana, komunikasi, dan manajemen sumber daya.

property, operations, and critical assets.

NOTE Response steps generally include

incident recognition, notification, assessment, declaration, plan execution, communications, and resources management.

3.33 risiko

kombinasi dari probabilitas kejadian dan konsekuensi-konsekuensinya

CATATAN 1 Istilah "risiko" umumnya digunakan hanya ketika setidaknya ada kemungkinan konsekuensi negatif.

CATATAN 2 Dalam beberapa situasi, risiko timbul dari kemungkinan penyimpangan atas hasil atau peristiwa yang diharapkan.

[ISO/IEC Guide 73]

3.33 risk

combination of the probability of an event and its consequences

NOTE 1 The term "risk" is generally used only when there is at least the possibility of negative consequences.

NOTE 2 In some situations, risk arises from the possibility of deviation from the expected outcome or event.

[ISO/IEC Guide 73]

3.34

keberterimaan risiko

keputusan untuk menerima risiko

CATATAN 1 Kata kerja "menerima" dipilih untuk menyampaikan ide bahwa keberterimaan memiliki arti kamus dasar.

CATATAN 2 Keberterimaan risiko

tergantung pada kriteria risiko.

[ISO/IEC Guide 73]

3.34

risk acceptance

decision to accept risk

NOTE 1 The verb "to accept" is chosen to convey the idea that acceptance has its basic dictionary meaning.

NOTE 2 Risk acceptance depends on the risk criteria.

[ISO/IEC Guide 73]

3.35

penilaian risiko

keseluruhan proses identifikasi, analisis dan evaluasi risiko.

CATATAN Penilaian risiko melibatkan

proses identifikasi ancaman internal dan eksternal dan kerentanan, mengidentifikasi kemungkinan dari suatu peristiwa yang timbul dari ancaman atau kerentanan tersebut, mendefinisikan fungsi penting yang diperlukan untuk melanjutkan operasi organisasi, mendefinisikan pengendalian di tempat yang diperlukan untuk mengurangi paparan, dan mengevaluasi biaya kendali tersebut.

3.35

risk assessment

overall process of risk identification, analysis and evaluation

NOTE Risk assessment involves the process of identifying internal and external threats and vulnerabilities, identifying the likelihood of an event arising from such threats or vulnerabilities, defining critical functions necessary to continue the organization's operations, defining the controls in place necessary to reduce exposure, and evaluating the cost of such controls.

3.36

komunikasi risiko

pertukaran atau berbagi informasi tentang risiko antara pembuat keputusan dan pemangku kepentingan lainnya

CATATAN Informasi dapat terkait dengan

keberadaan, sifat, bentuk, probabilitas, tingkat

3.36

risk communication

exchange or sharing of information about risk between the decision-maker and other stakeholders

NOTE The information can relate to the existence, nature, form, probability, severity,

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

keparahan, akseptabilitas, perlakuan atau aspek risiko lainnya.

[ISO/IEC Guide 73]

acceptability, treatment or other aspects of risk.

[ISO/IEC Guide 73]

3.37

kriteria risiko

kerangka acuan untuk mengkaji signifikansi risiko

CATATAN Kriteria risiko dapat mencakup

biaya dan manfaat, persyaratan hukum dan statutori/perundang-undangan, aspek sosial-ekonomi dan lingkungan, perhatian para pemangku kepentingan, prioritas dan masukan lainnya untuk penilaian.

[ISO/IEC Guide 73]

3.37 risk criteria

terms of reference by which the significance of risk is assessed

NOTE Risk criteria can include associated cost and benefits, legal and statutory requirements, socio-economic and environmental aspects, the concerns of stakeholders, priorities and other inputs to the assessment.

[ISO/IEC Guide 73]

3.38

manajemen risiko

kegiatan terkoordinasi untuk mengarahkan dan mengendalikan suatu organisasi sehubungan dengan risiko

CATATAN Manajemen risiko secara umum mencakup penilaian risiko, penanganan risiko, keberterimaan risiko dan komunikasi risiko.

[ISO/IEC Guide 73]

3.38

risk management

coordinated activities to direct and control an organization with regard to risk

NOTE Risk management generally includes risk assessment, risk treatment, risk acceptance and risk communication.

[ISO/IEC Guide 73]

3.39

pengurangan risiko

tindakan yang diambil untuk mengurangi probabilitas, konsekuensi negatif, atau keduanya, yang terkait dengan risiko

[ISO/IEC Guide 73]

3.39

risk reduction

actions taken to lessen the probability, negative consequences, or both, associated with a risk

[ISO/IEC Guide 73]

3.40 alih risiko

berbagi beban kerugian atau keuntungan atau manfaat dengan pihak lain, untuk suatu risiko

CATATAN 1 Persyaratan hukum atau

perundang-undangan dapat membatasi, melarang atau mengamanatkan alih risiko tertentu.

CATATAN 2 Alih risiko dapat dilakukan

melalui asuransi atau perjanjian lainnya.

CATATAN 3 Alih risiko dapat menciptakan risiko baru atau memodifikasi risiko yang ada.

CATATAN 4 Relokasi sumber bukan

suatu pengalihan risiko.

[ISO/IEC Guide 73]

3.40 risk transfer

sharing with another party the burden of loss or benefit or gain, for a risk

NOTE 1 Legal or statutory requirements can limit, prohibit or mandate the transfer of certain risk.

NOTE 2 Risk transfer can be carried out through insurance or other agreements.

NOTE 3 Risk transfer can create new risks or modify existing risks.

NOTE 4 Relocation of the source is not risk transfer.

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

3.41

toleransi risiko

risiko yang dapat diterima atau ditoleransi oleh sebuah organisasi yang disiagakan untuk menerima paparan risiko setiap saat.

3.41

risk tolerance

total amount of risk that an organization is prepared to accept, tolerate, or be exposed to at any point in time

3.42

penanganan risiko

proses seleksi dan implementasi untuk memodifikasi risiko

CATATAN 1 Istilah "penanganan risiko" kadang digunakan untuk tindakan tersebut CATATAN 2 Upaya penanganan risiko dapat meliputi penghindaran, pengoptimalan, pengalihan atau pembatasan risiko.

[ISO/IEC Guide 73]

3.42

risk treatment

process of selection and implementation of measures to modify risk

NOTE 1 The term "risk treatment" is sometimes used for the measures themselves. NOTE 2 Risk treatment measures can include avoiding, optimizing, transferring or retaining risk.

[ISO/IEC Guide 73]

3.43

latihan simulasi

latihan yang dilakukan dengan sedapat mungkin dilaksanakan sesuai dengan kondisi sesungguhnya

3.43

simulation exercise

test performed under conditions as close as practicable to real world conditions

3.44 sumber

perihal atau kegiatan yang berpotensi menimbulkan suatu konsekuensi

CATATAN Dalam konteks keselamatan, sumber adalah suatu bahaya.

3.44 source

item or activity having a potential for a consequence

NOTE In the context of safety, source is a hazard.

3.45

pemangku kepentingan (pihak berkepentingan)

orang atau kelompok yang memiliki kepentingan demi kinerja atau keberhasilan organisasi

CATATAN Istilah ini meliputi orang-orang dan kelompok yang berkepentingan dengan aktifitas dan pencapaian organisasi, misalnya pelanggan, mitra, karyawan, pemegang saham, pemilik, masyarakat setempat, responden pertama, pemerintah dan pembuat regulasi.

3.45

stakeholder (interested party)

person or group having an interest in the performance or success of an organization

NOTE The term includes persons and

groups with an interest in an organization, its activities and its achievements, e.g. customers, partners, employees, shareholders, owners, the local community, first responders, government and regulators.

3.46

tabletop exercise

metoda uji yang dengan simulasi terbatas menyajikan suatu skenario gangguan, darurat atau krisis, dalam format narasi agar peserta dapat meninjau-ulang dan membahas (tapi tidak memperagakan)

3.46

tabletop exercise

test method that presents a limited simulation of a disruption, emergency or crisis scenario in a narrative format in which participants review and discuss, not perform, the policy,

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

kebijakan, metode, prosedur, koordinasi, dan sumber daya yang terkait dengan tupoksi untuk rencana aktifasi

methods, procedures, coordination, and resource assignments associated with plan activation

3.47 pengujian

kegiatan untuk menguji beberapa bagian dari rencana kontinuitas operasi guna memastikan bahwa rencana tersebut memuat informasi yang sesuai dan menghasilkan yang diinginkan

3.47 testing

activity in which some part(s) of the operational continuity plan(s) is/are followed to ensure that the plan(s) contain(s) the appropriate information and produces the desired result

3.48 ancaman

penyebab potensial dari suatu kejadian yang tidak diinginkan, yang dapat mengakibatkan kerugian bagi orang, sistem atau organisasi, lingkungan atau masyarakat

3.48 threat

potential cause of an unwanted incident, which may result in harm to individuals, a system or organization, the environment or the community

3.49

manajemen puncak

direksi dan manajer dari sebuah organisasi yang dapat menjamin sistem manajemen yang efektif, termasuk pengawasan keuangan dan sistem kontrol, untuk melindungi aset, kapasitas produktif dan reputasi organisasi

3.49

top management

directors and officers of an organization that can ensure effective management systems, including financial monitoring and control systems, have been put in place to protect assets, earning capacity and the reputation of the organization

4 Umum 4 G e n e r a l

Pendekatan manajemen kesiapsiagaan insiden dan kontinuitas operasional dan proses perbaikan berkelanjutan diperlihatkan pada Gambar 2. IPOCM adalah kerangka kerja yang harus terus dipantau dan ditinjau secara berkala agar memberikan arahan efektif untuk kesiapsiagaan insiden dan manajemen kontinuitas operasional organisasi ketika merespon perubahan faktor internal dan eksternal. Semua tingkat dalam organisasi bertanggung jawab untuk mencapai kesiapsiagaan insiden dan penyempurnaan operasional yang berjalan

terus menerus. Pertimbangan IPOCM dapat diintegrasikan ke dalam semua keputusan operasional dan bisnis organisasi.

The incident preparedness and operational continuity management approach and the ongoing process of continual improvement are shown in Figure 2. IPOCM is an organizing framework that should be continually monitored and periodically reviewed to provide effective direction for an organization's incident preparedness and operational continuity management in response to changing internal and external factors. All levels in the organization should accept responsibility for working to achieve incident preparedness and operational continuity improvements, as applicable. IPOCM considerations can be integrated into all the organization's operational and business decisions.

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

Mulai: kenali organisasi anda

- defisikan lingkup program IPOCM - identifikasikan tujuan, operasi, fungsi, produk dan jasa vital

- penentuan awal skenario risiko dan konsekuensinya 9. Tinjauan manajemen 5. Kebijakan 5.3 Kepemimpinan manajemen dan komitmen 5.4 Pengembangan kebijakan 5. Kebijakan

5.3 Komitmen dan kepemimpinan manajemen

5.4 Pengembangan kebijakan

6. Perencanaan

6.2 Persyaratan hukum dan lainnya 6.3 Penilaian risiko dan analisis dampak 6.7 Program IPOCM

6.7.2 Program pencegahan dan mitigasi 6.7.3 Program manajemen respon

7. Pelaksanaan dan operasi

7.1 Sumber daya, peran, tanggungjawab dan wewenang

7.2 Membangun dan menanmkan IPOCM dalam budaya organisasi

7.3 Kompetensi, pelatihan dan kewaspadaan

7.4 Komunikasi dan peringatan 7.5 Pengendalian operasional 7. Keuangan dan administrasi

8. Pengkajian kinerja

8.1 Evaluasi sistem

8.2 Pemantauan dan pengukuran kinerja 8.3 Pengujian dan latihan

8.4 Tindakan korektif dan preventif 8.5 Pemeliharaan

8.6 Audit dan penilaian internal

Peningkatan berkesinam-bungan

Gambar 2 — Diagram alir kesiapsiagaan insiden dan kontinuitas operasi

5 Kebijakan 5 Policy

5.1 Membuat program 5.1 Establishing the program

Tujuan dari pembentukan program kesiapsiagaan insiden/kontinuitas operasional adalah untuk memastikan

bahwa seluruh aktifitas manajemen risiko dan aktifitas kontinuitas yang lain dilaksanakan dan sesuai dengan persetujuan dan dalam kontrol organisasi, sehingga mencapai kemampuan yang memenuhi kebutuhan operasional yang berubah-ubah dan sesuai dengan ukuran, kompleksitas maupun sifat organisasi. Pembuatan program IPOCM ini menghasilkan suatu kerangka kerja yang jelas untuk kemampuan manajemen kontinuitas operasi yang sedang berlangsung.

Tatalaksana kegiatan, yang biasanya berbentuk suatu proyek, menggabungkan

The purpose of establishing an incident preparedness/operational continuity program is to ensure that all risk management and continuity activities are conducted and implemented in an agreed and controlled manner within the organization, thereby achieving a capability that meets the changing operational needs and is appropriate to the size, complexity and nature of the organization. It establishes a clearly defined framework for the ongoing management of the operational continuity capability.

The set-up activities, which usually take the form of a project, incorporate the

end-ta Badan Send-tandardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

dari awal sampai akhir kegiatan rancang bangun, implementasi, uji awal dan latihan kemampuan kontinuitas operasional. Hal-hal yang harus dipertimbangkan adalah integrasi awal prosedur dan teknik IPOCM dalam proses perancangan organisasi atau bisnis, perencanaan, operasi, pelatihan, dan kebijakan keuangan dan ekonomi. Kegiatan manajemen dan pemeliharaan diantaranya memastikan bahwa kelangsungan operasi tertanam dalam organisasi, diuji secara berkala dan diperbaharui, dan dipertimbangkan apabila terjadi perubahan signifikan (misalnya lingkungan, personil, proses atau teknologi). IPOCM juga harus menjamin perlindungan pemangku kepentingan dari dampak yang merugikan karena terganggunya fungsi dan operasi suatu organisasi.

Singkatnya, program manajemen merupakan tatalaksana organisasi, dan manajemen kontinuitas operasional.

to-end designing, building, implementing, and initial testing and exercising of the operational continuity capability. Early integration of IPOCM techniques and procedures in the organizational or business process design, planning, operations, training, and financial and economic policies and procedures should be considered. The ongoing maintenance and management activities include ensuring that operational continuity is embedded within the organization, is regularly tested and updated, and is considered whenever there is a significant change (e.g. environment, personnel, process or technology). IPOCM should also ensure the protection of stakeholders from possible adverse impact due to the disruption of the organization's operations and functions.

In summary, the management program represents the set-up, organization and ongoing management of the operational continuity capability.

5.2 Mendefinisikan lingkup program 5.2 Defining program scope

Organisasi harus menetapkan, mendokumentasikan, menerapkan, memelihara, mengevaluasi dan terus meningkatkan kesiapsiagaan insiden dan program-program kontinuitas operasi.

Organisasi harus menentukan kegiatan dan tujuan operasi yang vital sebagaimana tercantum dalam strategi, rencana bisnis, misi dan kebijakan, rencana manajemen risiko, dan alat manajemen seperti analisis SWOT (Kekuatan, Kelemahan, Peluang dan Ancaman) dan balanced scorecard. Proses yang vital harus diidentifikasi dan didokumentasikan. Hal ini agar organisasi dapat fokus pada sumber daya yang dibutuhkan untuk mengoperasikan fungsi dan kegiatan yang vital tersebut dengan keterbatasan keuangannya.

Organisasi harus menetapkan dasar pembenaran bagi program IPOCM untuk menentukan keuntungan dari mengadopsi suatu pendekatan. Hal ini mungkin didasarkan pada:

The organization should establish, document, implement, maintain, evaluate and continually improve its incident preparedness and operational continuity programs.

The organization should determine its critical operational objectives and activities as identified in strategies, business plans, policy and mission statements, risk management plans, and management tools such as SWOT analysis (Strengths, Weakness, Opportunities and Threats) and balanced scorecard. Operational critical processes should be identified and documented. This will allow the organization to focus the resources required to operate the organization's critical activities and functions within the context of the economic constraints of the organization.

The organization should establish a justification for the IPOCM program to determine the advantages of adopting an organization-wide approach. This may be based on:

ta Badan Standardisasi Nasional, Copy s

tan

dar ini dibuat untuk penayangan di www.bsn.go.id

dan tidak untuk di komersialkan”

— Kejadian terkait risiko yang terjadi dalam organisasi;

— risiko yang muncul saat ini;

— kecenderungan gangguan operasi dan insiden sebelumnya;

— kenaikan biaya dan kerugian pendapatan akibat dari gangguan potensial;

— biaya risiko; — kewajiban;

— tanggung jawab sosial;

— keberhasilan dan kegagalan proyek dan program IPOCM lainnya.

Organisasi harus menetapkan dan mendokumentasikan lingkup sistem IPOCM nya. Organisasi memiliki kebebasan dan fleksibilitas untuk menentukan batas-batasnya, dan dapat memilih untuk melaksanakan pedomanini yang berkenaan dengan seluruh organisasi atau unit operasi atau kegiatan tertentu dari organisasi. Untuk ini perlu dipertimbangkan hubungan dengan organisasi lain (organisasi mitra) dan pemangku kepentingan yang berkontribusi terhadap atau mempengaruhi operasi organisasi, termasuk pengaruh yang disebabkan oleh proses / kegiatan dari luar dan rantai pasokan. Ruang lingkup harus terkait langsung dengan kegiatan, fungsi, produk, dan pelayanan vital, yang menentukan parameter penilaian risiko dan pengembangan program berdasarkan tingkat pentingnya dan kemungkinan potensi serta konsekuensi dari suatu insiden.

— historical risk events within the organization;

— current and emerging risk exposures; — operational disruption trends and

prior incidents;

— cost increases and revenue losses arising from potential disruptions; — risk financing costs;

— liabilities;

— social responsibilities;

— success and failure of other IPOCM projects and programs.

The organization should define and document the scope of its IPOCM system. An organization has the freedom and flexibility to define its boundaries, and may choose to implement this guideline with respect to the entire organization or to specific operating units or activities of the organization, It should consider, however, relationships with other organizations (partner entities) and stakeholders that contribute to or influence the organization's operations, including influences due to the outsourcing of processes/activities and the supply chain. The scope should be directly related to the critical activities, functions, products, and services of the organization, defining the parameters for risk assessment and program development based on their criticality and the potential likelihood and consequences of an incident.

5.3 Komitmen dan kepemimpinan manajemen

5.3 Management leadership and commitment

To be effective, an IPOCM program should be an integrated management process driven from the top of the organization, endorsed and promoted by the principal managers and executives. It should be managed at both the operational and Agar efektif, program IPOCM harus berupa

sebuah proses manajemen terpadu yang berasal dari manajemen puncak, didukung dan dipromosikan oleh jajaran manajer utama dan eksekutif. Program ini harus dikelola baik di tingkat operasional maupun tingkat organisasi.