ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
Standar Nasional Indonesia
ICS 13.200
Badan Standardisasi Nasional
Perlindungan masyarakat – Pedoman untuk
manajemen kesiapsiagaan insiden dan kontinuitas
operasional
(ISO/PAS 22399:2007, IDT)
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
© BSN 2012
Hak cipta dilindungi undang-undang. Dilarang menyalin atau menggandakan sebagian atau seluruh isi dokumen ini dengan cara dan dalam bentuk apapun dan dilarang mendistribusikan dokumen ini baik secara elektronik maupun tercetak tanpa izin tertulis dari BSN
BSN Gd. Manggala Wanabakti Blok IV, Lt. 3,4,7,10. Telp. +6221-5747043 Fax. +6221-5747045 Email: dokinfo@bsn.go.id www.bsn.go.id Diterbitkan di Jakarta
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
Daftar isi
Daftar isi...i Prakata ...ii Pendahuluan... iii 1 Ruang lingkup... 1 2 Acuan normatif... 23 Istilah dan definisi ... 2
4 Umum ... 12
5 Kebijakan ... 14
6 Perencanaan ... 19
7 Penerapan dan operasi ... 31
8 Penilaian Kinerja... 38
9 Tinjauan manajemen ... 43
Lampiran A (informatif) Prosedur analisis dampak... 44
Lampiran B (informatif) Program manajemen tanggap darurat ... 50
Lampiran C (informatif) Program manajemen kontinuitas ... 53
Lampiran D (informatif) Membangun budaya kesiapsiagaan insiden dan kontinuitas operasional ... 57
Bibliografi ... 59
Gambar 1 - Konsep kesiapsiagaan insiden dan IPOCM ...iv
Gambar 2 - Diagram alir kesiapsiagaan insiden dan kontinuitas operasi... 14
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
Prakata
Standar Nasional Indonesia (SNI) ini dengan judul Perlindungan masyarakat – Pedoman untuk manajemen kesiapsiagaan insiden dan kontinuitas operasional, merupakan adopsi identik dari ISO/PAS 22399:2007 dengan judul Societal security – Guideline for incident preparedness and operational continuity management dengan cara terjemahan dua bahasa (bilingual).
Standar ini disusun oleh Panitia Teknis 13-08, Penanggulangan Bencana. Standar ini telah dikonsensuskan di Jakarta, pada tanggal 8 Desember 2011. Konsensus ini dihadiri oleh para pemangku kepentingan (stakeholder) terkait yaitu perwakilan dari produsen, konsumen, pakar dan pemerintah.
Dalam standar ini istilah “ISO/PAS” diganti dengan “SNI ISO/PAS”, dan istilah “International Standards” diganti dengan “Standar”.
Apabila pengguna menemukan keraguan dalam standar ini maka disarankan untuk melihat standar aslinya yaitu ISO/PAS 22399:2007 (E) dan/atau dokumen terkait lain yang menyertainya.
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
Pendahuluan
Pedoman kesiapsiagaan insiden dan kontinuitas operasional ini menetapkan proses, prinsip dan terminologi dari manajemen kesiapsiagaan insiden dan kontinuitas operasional (Incident Preparedness and Operational Continuity Management (IPOCM) dalam konteks perlindungan masyarakat. Tujuan pedoman ini adalah untuk menyiapkan dasar pemahaman, pengembangan dan pelaksanaan kesiapsiagaan insiden dan kontinuitas operasional dari suatu organisasi dan untuk meningkatkan rasa percaya diri organisasi tersebut dalam berhubungan dengan masyarakat, organisasi lainnya serta para pelanggannya. Pedoman ini merupakan alat bagi organisasi publik atau swasta dalam mempertimbangkan berbagai faktor serta langkah-langkah yang diperlukan untuk kesiapsiagaan insiden baik yang tidak disengaja, disengaja, atau secara alami yang menyebabkan insiden (gangguan, darurat, krisis atau bencana) sehingga mampu mengelola dan bertahan terhadap insiden tersebut serta dapat mengambil tindakan yang tepat untuk kelangsungan hidup organisasi. Dengan pedoman ini, organisasi dapat mengukur kemampuan IPOCM-nya secara konsisten dan tepercaya. Pedoman ini memberikan kerangka kerja umum yang dapat diberlakukan untuk segala jenis dan ukuran organisasi serta kondisi geografis, budaya, ekonomi, nasional, politik dan sosial yang beragam.
Pemangku kepentingan menghendaki agar organisasi secara proaktif siap menghadapi potensi gangguan dan insiden untuk menghindari tertundanya operasi dan layanan, atau jika operasi dan layanannya terganggu organisasi mampu melanjutkan secepat mungkin, seperti yang ditunjukkan pada Gambar 1. IPOCM merupakan proses manajemen holistik yang mengidentifikasi potensi yang mengancam organisasi dan menyediakan kerangka kerja untuk meminimalkan dampaknya.
Introduction
This incident preparedness and operational continuity guideline establishes the process, principles and terminology of incident preparedness and operational (business) continuity management (IPOCM) within the context of societal security. The purpose of this guideline is to provide a basis for understanding, developing and implementing incident preparedness and operational continuity within an organization and to provide confidence in organization-to-community, business-to-business and organization-to-customer/client dealings. The guideline is a tool to allow public or private organizations to consider the factors and steps necessary to prepare for an unintentionally, intentionally, or naturally caused incident (disruption, emergency, crisis or disaster) so that it can manage and survive the incident and take the appropriate actions to help ensure the organization's continued viability. It also enables the organization to measure its IPOCM capability in a consistent and recognized manner. This guideline provides a generic framework applicable to all types and sizes of organizations enabling consideration of diverse geographical, cultural, economic, national, political and social conditions.
Interested parties and stakeholders require that organizations proactively prepare for potential incidents and disruptions in order to avoid suspension of critical operations and services, or if operations and services are disrupted, that they resume operations and services as rapidly as required by those who depend on them, as shown in Figure 1. IPOCM is a holistic management process that identifies potential impacts that threaten an organization and provides a framework for minimizing their effect.
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
Key
1 after introduction implementation of IPOCM 2 before introduction implementation of IPOCM
Figure 1 - Concept of incident preparedness and IPOCM
Kesinambungan Pemulihan Tanggap darurat Kesiapsiagaan/ pencegahan Waktu INSIDEN Level operasional Mengurangi dampak insiden Mempersingkat periode gangguan
Kunci
1 setelah penerapan IPOCM
2 sebelum penerapan IPOCM
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
Pedoman ini berisi seperangkat alat kontrol berdasarkan pengalaman praktek IPOCM terbaik dan mencakup seluruh siklus IPOCM. Pedoman ini dimaksudkan untuk digunakan oleh siapa saja dalam organisasi, yang bertanggung jawab di sektor publik atau swasta, dari direksi dan eksekutif sampai semua tingkat organisasi; dari organisasi yang hanya memiliki satu lokasi sampai dengan yang memiliki cabang di seluruh dunia; dari usaha kecil dan menengah (UKM) sampai organisasi yang mempekerjakan ribuan orang. Oleh karena itu berlaku bagi siapapun yang bertanggung jawab untuk operasi yang berkesinambungan. Dalam pedoman ini kontinuitas operasional merupakan istilah lebih umum bagi kelangsungan usaha, dan digunakan untuk menekankan keterkaitan dengan semua jenis organisasi di sektor publik dan swasta.
Pedoman ini merinci tentang perencanaan terpadu dan proses manajemen yang membantu organisasi secara proaktif untuk
— memahami lingkungan tempat
organisasi beroperasi, kendala yang ada dan ancaman yang dapat mengakibatkan gangguan yang signifikan;
— mengukur dampak akibat gangguan pada fungsi vital dari suatu operasi atau proses bisnis;
— menentukan bagian dari operasi dan bisnis vital untuk keberhasilan jangka pendek maupun jangka panjang;
— mengidentifikasi infrastruktur dan sumber daya yang dibutuhkan sehingga memungkinkan organisasi terus beroperasi pada tingkat aman
— mendokumentasikan sumber daya utama, infrastruktur, tugas dan tanggung jawab, yang dibutuhkan untuk mendukung fungsi yang vital untuk tetap beroperasi dalam hal terjadi gangguan;
— menetapkan proses yang dapat menjamin informasi tetap mengalir dan tetap relevan dengan risiko dan lingkungan operasional yang berubah;
This Publicly Available Specification provides a comprehensive set of controls based on IPOCM best practice and covers the whole IPOCM lifecycle. It is intended for use by anyone with responsibility for public or private sector organization operations, from directors and executives through all levels of the organization; from those with a single site to those with a global presence; from small and medium enterprises (SMEs) to organizations employing thousands of people. It is therefore applicable to anybody who holds responsibility for any operation, and thus the continuity of that operation. For purposes of this guide, operational continuity is the more general term for business continuity and is used to emphasize relevance to all types of organizations in the public and private sectors.
This guideline details integrated planning and management processes that proactively help organizations to
— understand the environment within
which the organization operates, the existence of constraints, and threats to the organization that could result in a significant disruption;
— quantify the impact of a disruption on critical operational (business) functions and processes;
— determine the parts of the operations and business that are critical to its short- and long-term success;
— identify the infrastructure and resources required to enable the organization to continue to operate at a minimum acceptable level;
— document the key resources,
infrastructure, tasks and responsibilities, required to support these critical operational functions in the event of a disruption;
— establish processes that ensure the information remains current and relevant to the changing risk and operational environments;
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
— memastikan bahwa karyawan,
pelanggan, pemasok dan pemangku kepentingan lainnya menyadari adanya pengaturan kesiapsiagaan dan kontinuitas dan lebih percaya diri dalam pelaksanaannya;
— menemukan solusi yang sesuai dan melakukan perbaikan secara terus-menerus.
IPOCM yang efektif memerlukan perubahan budaya yang mendasar dalam organisasi termasuk penerimaan ketidakpastian dan ketidaksempurnaan. Semua tingkat organisasi perlu menghargai risiko yang melekat dalam setiap keputusan dan kegiatan, dan bahwa proporsi risiko ini memiliki potensi untuk menciptakan gangguan. Semua tingkat organisasi perlu mempertimbangkan cara mengelola gangguan kegiatan tersebut.
Dengan pedoman IPOCM ini organisasi sektor publik atau swasta dapat menilai dan mengelola risiko dengan tujuan memastikan ketahanan dan kinerja organisasi dalam jangka panjang. Pedoman ini tidak menetapkan aplikasi dengan model tertentu. Terdapat berbagai model dan metodologi, yang memadukan kesiapsiagaan insiden dan kontinuitas operasional ke dalam pelaksanaan bisnis dan operasi keseluruhan organisasi, sehingga membuat organisasi lebih efisien dan kompetitif, serta mampu memenuhi tantangan. Pedoman ini berisi seperangkat alat identifikasi dan solusi dari masalah yang dapat diimplementasikan oleh organisasi dalam berbagai cara, tergantung pada kegiatan dan kebutuhan. Dengan menggabungkan proses berbasis risiko sistematis yang dinamis ke dalam manajemen insiden dan kontinuitas, organisasi akan dapat mengambil keputusan yang sesuai dengan sumber daya. Model yang dipilih harus dapat menanamkan budaya organisasi yang mendorong perbaikan berkesinambungan. Biasanya, model manajemen meliputi beberapa unsur yang umum antara lain: kebijakan, perencanaan, pelaksanaan dan operasi, penilaian kinerja, perbaikan dan
— ensure that relevant employees, customers, suppliers and other stakeholders are aware of the preparedness and continuity arrangements and, where appropriate, have confidence in their application;
— implement solutions accordingly and provide for their continual improvement.
It is important to recognize that effective IPOCM requires a fundamental cultural change within the organization including an acceptance of uncertainty and imperfection. All levels of an organization need to appreciate that risk is inherent in every decision and activity, and that a proportion of this risk has the potential to create disruption. People at all levels of an organization, therefore, need to consider how they will manage such disruptions to their activities.
This IPOCM guideline enables a public or private sector organization to assess and manage risk with the goal of assuring organizational resilience and long-term performance. It does not prescribe any particular model for application. There are various recognized models and methodologies which weave incident preparedness and operational continuity decision-making into the fabric of an organization's overall operational and business practices, making the organization more efficient, more competitive, and better able to meet important challenges, This guideline provides a set of problem identification and problem-solving tools that can be implemented by any organization in many different ways, depending on its activities and needs. By incorporating a dynamic systematic risk-based process into incident and continuity management, organizations can make informed decisions tailored to their resources. The model chosen should instill an organizational culture that drives continual improvement.
Typically, management models include several common elements: policy, planning, implementation and operation, performance assessment, improvement
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
tinjauan manajemen. Pedoman ini berisi panduan untuk penempatan unsur umum ketika mengembangkan dan menerapkan model manajemen yang membahas kebutuhan spesifik organisasi dan penerapannya dalam masyarakat.
Seluruh tindakan IPOCM harus diambil untuk berbagai model manajemen atau metodologi yang dipilih. IPOCM secara langsung berkaitan dengan organisasi pemerintahan dan menetapkan praktek manajemen yang baik. IPOCM menetapkan kerangka kerja strategis dan operasional untuk menerapkan ketahanan organisasi terhadap gangguan atau kehilangan dalam memasok produk dan jasa. Seharusnya ukuran yang dipakai tidak diambil sesaat setelah terjadinya kejadian. IPOCM membutuhkan perencanaan di banyak sisi dari suatu organisasi, oleh karena itu ketahanannya tergantung pada manajemen atau staf operasional, ataupun teknologi, dan memerlukan pendekatan holistik dalam menetapkan model IPOCM atau metodologinya.
Penerapan dan pelaksanaan berbagai teknik IPOCM secara sistematis dapat memberikan hasil yang optimal bagi semua pihak yang terkait. Namun, mengadopsi pedoman ini tidak dengan sendirinya akan menjamin kesiapsiagaan dan kontinuitas operasional yang optimal. Untuk mencapai kesiapsiagaan dan kontinuitas operasional, program IPOCM harus mendorong organisasi untuk memanfaatkan pengalaman praktek terbaik yang ada, sesuai dengan teknologi serta ekonomis.
IPOCM membutuhkan koordinasi dan kolaborasi berbagai institusi di sektor publik maupun swasta (seperti pejabat pemerintah dan publik di berbagai tingkatan, bisnis dan industri, organisasi non-pemerintah dan warga negara secara individu). Masing-masing institusi memiliki fokus sendiri, misi yang unik dan tanggung
and management review. This Publicly Available Specification provides guidance on addressing these common elements when developing and implementing a management model that addresses the specific needs of the organization and its place in the community.
Whichever management model or methodology is chosen, the full set of IPOCM actions should be adopted. IPOCM is directly linked to organizational governance and establishes good management practice. IPOCM establishes a strategic and operational framework to implement, proactively, an organization's resilience to disruption, interruption, or loss in supplying its products and services. It should not be a purely reactive measure taken after an incident has occurred. IPOCM requires planning across many facets of an organization; therefore its resilience depends equally on its management and operational staff, as well as technology, and requires a holistic approach to be taken in establishing the IPOCM model or methodology.
The adoption and implementation of a range of IPOCM techniques in a systematic manner can contribute to optimal outcomes for all interested and affected parties. However, adoption of this guideline will not itself guarantee optimal preparedness and continuity outcomes. In order to achieve preparedness and continuity objectives, the incident preparedness and operational continuity program should encourage organizations to consider implementation of the best available practices, techniques, and technologies, where appropriate and where economically viable. The cost-effectiveness of such practices, techniques, and technologies should be taken fully into account.
IPOCM requires the coordination and collaboration of many different entities in the public and private sectors (such as government and public authorities at various levels, business and industry, non-governmental organizations and individual citizens). Each of these entities has its own focus, unique missions and
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
jawab, sumber daya dan kemampuan yang bervariasi, dan prinsip operasi serta prosedur. Unsur utama program IPOCM berhubungan dan berinteraksi dengan fungsi serta kepentingan institusi yang berbeda, yang mungkin terlibat dalam suatu insiden yang sama. Oleh karena itu, program utama harus dipertimbangkan dalam kaitannya dengan semua institusi yang terkena dampak dan hubungannya dengan program IPOCM.
Respon organisasi terhadap risiko, yang bertujuan untuk meminimalkan dampak dan mengurangi kerugian sosial, harus didorong dan dihargai tanggung jawab sosialnya. Ketika terjadi suatu gangguan, organisasi harus bekerjasama dengan organisasi lainnya dalam mengalokasikan sumber daya manusia maupun fisik, karena sumber daya yang diperlukan untuk tanggap darurat dan pemulihan kemungkinan langka karena tidak terdistribusi secara optimal. Organisasi sebaiknya aktif berkontribusi pada masyarakat melalui upaya kerja sama dengan warga setempat, pemerintah daerah, dll. dengan berpartisipasi dalam kegiatan penunjang untuk menyelamatkan kehidupan manusia dan memasok kebutuhan. Organisasi juga perlu berkolaborasi dan bekerja sama dengan masyarakat responden pertama, para pihak yang berkepentingan serta mitranya dalam aspek kemanusian dan fisik.
Organisasi dapat membatasi ruang lingkup pelaksanaan dari pedoman ini dengan membatasi penerapannya terhadap suatu hal atau layanan tertentu, atau lokasi geografis tertentu. Setiap pembatasan tersebut harus didokumentasikan.
Pedoman ini tidak menetapkan persyaratan mutlak untuk kesiapsiagaan insiden dan kontinuitas kinerja operasional di luar komitmen, untuk memenuhi persyaratan hukum dan persyaratan lain yang berlaku, risiko yang proaktif dan pencegahan gangguan, serta untuk perbaikan berkelanjutan. Pedoman ini telah mengadopsi sistem untuk perbaikan berkesinambungan, tetapi tidak dimaksudkan untuk digunakan sebagai
responsibilities, varied resources and capabilities, and operating principles and procedures. It should be recognized that the key IPOCM program elements relate to and interact with the functions and interests of different entities that may be involved in an incident. Therefore, the key program areas should be considered within the context of all the entities impacted and their relationship to the IPOCM program.
An organization's response to risks, which aims at minimizing their impacts and reducing social loss, should be promoted and recognized as its social responsibility. When a disruptive incident occurs, an organization should understand that cooperation with other organizations in allocating human and physical resources is essential for its own operational continuity because resources required for emergency response and restoration may be scarce or not optimally distributed. An organization should make an active contribution to community through a cooperative effort with citizens, local governments, etc. by participating in supportive activities to rescue human lives and to offer supplies. It is also necessary for an organization to collaborate and cooperate with the first responder community and its stakeholders and partners in human and physical aspects.
An organization may chose to limit the scope of their implementation of the guideline elements by restricting its application to specific products, services or one or more geographic locations. Any such limitation in scope should be documented.
It should be noted that this guideline does not establish absolute requirements for incident preparedness and operational continuity performance beyond commitments, in the policy statement, to comply with applicable legal requirements and with other requirements to which the organization subscribes, proactive risk and incident/disruption prevention, and to continual improvement. This guideline has adopted a system for continual
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
improvement, but it is not intended to be used as third-party certification/registration criteria.
sertifikasi atau kriteria pendaftaran bagi pihak ketiga.
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
Perlindungan masyarakat – Pedoman untuk manajemen kesiapsiagaan insiden
dan kontinuitas operasional
1 Ruang lingkup
Pedoman ini berisi panduan umum bagi organisasi (baik swasta, pemerintah, maupun non-pemerintah) yang akan mengembangkan sendiri kriteria kinerja bagi manajemen kesiapsiagaan insiden dan kontinuitas operasional, serta mendesain sistem manajemen yang sesuai. Pedoman ini berisi dasar untuk memahami, mengembangkan dan menerapkan kontinuitas operasi dan layanan organisasi, dan memberikan rasa percaya diri dalam interaksi-interaksi bisnis, masyarakat, pelanggan, responden pertama dan organisasi. Dengan pedoman ini organisasi juga dapat mengukur ketahanannya secara konsisten dan tepercaya.
Pedoman ini berlaku untuk semua ukuran organisasi umum atau swasta yang terlibat dalam penyediaan produk, proses, atau layanan yang berkeinginan untuk:
— memahami seluruh konteks yang terkait dengan operasi organisasi;
— mengidentifikasi tujuan vital;
— memahami hambatan, risiko, dan gangguan yang dapat menghambat tujuan vital;
— mengevaluasi risiko tersisa dan toleransi risiko untuk memahami hasil pengendalian dan strategi mitigasi;
— merencanakan cara organisasi untuk dapat terus mencapai tujuannya jika terjadi insiden yang mengganggu;
— mengembangkan prosedur
insiden, tanggap darurat, pemulihan dan kontinuitas respons;
— mendefinisikan peran, tanggung jawab, dan sumber daya untuk merespons suatu insiden;
1 Scope
This guideline provides general guidance for an organization — private, governmental, and non-governmental organizations — to develop its own specific performance criteria for incident preparedness and operational continuity, and design an appropriate management system. It provides a basis for understanding, developing and implementing continuity of operations and services within an organization and to provide confidence in business, community, customer, first responder and organizational interactions. It also enables the organization to measure its resilience in a consistent and recognized manner This guideline is applicable to all sizes of public or private organizations engaged in providing products, processes, or services that wishes to:
— understand the overall context within which the organization operates;
— identify critical objectives;
— understand barriers, risks, and disruptions that may impede critical objectives;
— evaluate residual risk and risk tolerance to understand outcomes of controls and mitigation strategies;
— plan how an organization can continue to achieve its objectives should a disruptive incident occur;
— develop incident and
emergency response, continuity response and recovery response procedures;
— define roles and responsibilities, and resources to respond to an incident;
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
— memenuhi kepatuhan terhadap persyaratan hukum, peraturan, dan persyaratan lain yang berlaku;
— memberikan bantuan timbal balik dan bantuan masyarakat;
— melakukan mediasi dengan
responden pertama dan media;
— membantu perubahan budaya dalam organisasi yang menyadari bahwa risiko selalu ada dalam setiap keputusan dan aktifitas, dan harus dikelola secara efektif.
Pedoman ini menyajikan prinsip-prinsip umum dan dasar untuk kesiapsiagaan insiden dan kontinuitas operasional organisasi. Luasnya aplikasi akan tergantung pada faktor-faktor seperti kebijakan organisasi, sifat kegiatan, produk dan layanan, lokasi dan kondisi tempat organisasi berfungsi.
Namun, ruang lingkup pedoman ini tidak mencakup kegiatan tanggap darurat khusus setelah terjadi suatu insiden, seperti bantuan bencana dan pemulihan infrastruktur sosial yang terutama harus dilakukan oleh sektor publik sesuai dengan peraturan yang relevan. Namun, koordinasi dengan kegiatan tersebut perlu dipelihara dan didokumentasikan
— meet compliance with applicable legal, regulatory, and other requirements;
— provide mutual and community assistance;
— interface with first responders and the media;
— Promote a cultural change within the organization that recognizes that risk is inherent in every decision and activity, and must be effectively managed.
This guideline presents the general principles and elements for incident preparedness and operational continuity of an organization. The extent of the application will depend on factors such as the policy of the organization, the nature of its activities, products and services, and the location where and the conditions under which it functions.
The scope of this guideline, however, excludes specific emergency response activities following an incident, such as disaster relief and social infrastructure recovery that are primarily to be performed by the public sector in accordance with relevant legislation. It is important, however, that coordination with these activities be maintained and documented.
2 Acuan normatif
Dokumen acuan berikut ini sangat diperlukan untuk penerapan pedoman ini. Untuk acuan bertanggal, hanya edisi yang disebutkan yang berlaku. Untuk acuan tidak bertanggal, edisi terakhir dari dokumen tersebut (termasuk amandemennya) yang berlaku.
ISO/IEC Guide 73:2002, Risk management — Vocabulary — Guidelines for use in standards.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
ISO/IEC Guide 73:2002, Risk management — Vocabulary — Guidelines for use in standards.
3 Istilah dan definisi
Dalam pedoman ini berlaku istilah dan definisi yang ada dalam ISO/IEC Guide 73 dan definisi berikut ini.
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC Guide 73 and the following definitions apply.
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
3.1
kegiatan vital
setiap fungsi atau proses yang sangat penting bagi organisasi dalam memberikan produk dan/atau layanan
3.1
critical activity
any function or process that is essential for the organization to deliver its products and/or services
3.2
konsekuensi
akibat dari suatu kejadian
CATATAN 1 Satu kejadian bisa
mengakibatkan lebih dari satu konsekuensi.
CATATAN 2 Konsekuensi dapat
bervariasi dari positif ke negatif.
CATATAN 3 Konsekuensi dapat
dinyatakan secara kualitatif atau kuantitatif. [ISO/IEC Guide 73]
3.2
consequence
outcome of an event
NOTE 1 There can be more than one
consequence from one event.
NOTE 2 Consequences can range from
positive to negative.
NOTE 3 Consequences can be
expressed qualitatively or quantitatively. [ISO/IEC Guide 73]
3.3 krisis
setiap kejadian, disebabkan oleh manusia atau alam, yang membutuhkan perhatian dan tindakan mendesak untuk melindungi nyawa manusia, harta benda, atau lingkungan
3.3 crisis
any incident(s), human-caused or natural, that require(s) urgent attention and action to protect life, property, or environment
3.4 bencana
peristiwa yang menyebabkan kerusakan atau kerugian besar
3.4 disaster
event that causes great damage or loss
3.5
gangguan
kejadian, terantisipasi (misalnya badai) atau tidak terantisipasi (misalnya pemadaman atau gempa bumi) yang mengganggu kegiatan normal di lokasi suatu organisasi
CATATAN Gangguan dapat disebabkan
baik oleh faktor positif atau negatif yang akan mengganggu operasi normal.
3.5 disruption
incident, whether anticipated (e.g. hurricane) or unanticipated (e.g. a blackout or earthquake) which disrupts the normal course of operations at an organization location
NOTE A disruption can be caused by
either positive or negative factors that will disrupt normal operations.
3.6 darurat
kejadian mendadak, mendesak, yang biasanya tak terduga atau peristiwa yang memerlukan tindakan segera
CATATAN Suatu keadaan darurat biasanya suatu kejadian atau kondisi mengganggu yang sering dapat diantisipasi atau disiagakan tapi jarang tepat diramalkan.
3.6 emergency
sudden, urgent, usually unexpected occurrence or event requiring immediate action
NOTE An emergency is usually a disruptive event or condition that can often be anticipated or prepared for but seldom exactly foreseen.
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
3.7 latihan
mengevaluasi program IPOCM, melatih peran anggota tim dan staf dan menguji pemulihan atau kontinuitas dari sistem organisasi (misalnya teknologi, telepon, administrasi) untuk menunjukkan kompetensi dan kemampuan IPOCM
CATATAN 1 Latihan meliputi kegiatan
yang dilakukan untuk tujuan pelatihan dan pengkondisian anggota tim dan personil dalam memberikan respons yang sesuai dengan tujuan pencapaian kinerja maksimal.
CATATAN 2 Suatu latihan dapat melibatkan penggunaan prosedur kontinuitas operasi, tetapi lebih cenderung melibatkan simulasi sebuah insiden kontinuitas operasi, diumumkan atau mendadak, yang pesertanya memainkan peran untuk menilai masalah yang mungkin timbul, sebelum benar-benar terjadi.
3.7 exercising
evaluating IPOCM programs, rehearsing the roles of team members and staff and testing the recovery or continuity of an organization's systems (e.g. technology, telephony, administration) to demonstrate IPOCM competence and capability
NOTE 1 Exercises include activities performed for the purpose of training and conditioning team members and personnel in appropriate responses with the goal of achieving maximum performance.
NOTE 2 An exercise can involve invoking
operational continuity procedures, but is more likely to involve the simulation of an operational continuity incident, announced or unannounced, in which participants role-play in order to assess what issues might arise, prior to a real invocation.
3.8
event (kejadian)
terjadinya serangkaian situasi/keadaan tertentu
CATATAN 1 Kejadian bisa pasti atau tidak pasti.
CATATAN 2 Kejadian dapat berupa
kejadian tunggal atau serangkaian kejadian.
CATATAN 3 Probabilitas kejadian dapat
diperkirakan untuk jangka waktu tertentu.
3.8 event
occurrence of a particular set of circumstances
NOTE 1 The event can be certain or uncertain.
NOTE 2 The event can be a single occurrence or a series of occurrences.
NOTE 3 The probability associated with the event can be estimated for a given period of time.
3.9 bahaya
kondisi fisik atau operasi, yang memiliki kapasitas untuk menghasilkan jenis efek tertentu yang tidak diinginkan atau tidak menyenangkan
3.9 hazard
possible source of danger, or conditions physical or operational, that have a capacity to produce a particular type of adverse effects
3.10 dampak
konsekuensi dari akibat tertentu
3.10 impact
evaluated consequence of a particular outcome
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
3.11
analisis dampak
proses menganalisis semua fungsi operasi dan efek yang mungkin timbul akibat suatu gangguan operasi.
3.11
impact analysis
process of analyzing all operational functions and the effect that an operational interruption might have upon them
3.12 insiden
peristiwa yang mungkin atau dapat menyebabkan sebuah gangguan operasi, kekacauan, kehilangan, kedaruratan atau krisis
3.12 incident
event that might be, or could lead to, an operational interruption, disruption, loss, emergency or crisis
3.13
rencana manajemen insiden
rencana tindakan yang jelas terdefinisi dan terdokumentasi untuk digunakan pada saat terjadi insiden atau gangguan, yang biasanya meliputi personil kunci, sumber daya, layanan dan tindakan yang diperlukan untuk melaksanakan proses manajemen insiden
3.13
incident management plan
clearly defined and documented plan of action for use at the time of an incident or disruption, typically covering the key personnel, resources, services and actions needed to implement the incident management process
3.14
kesiapsiagaan insiden
kegiatan, program, dan sistem yang dikembangkan dan dilaksanakan sebelum suatu kejadian yang dapat digunakan untuk mendukung dan meningkatkan mitigasi, respons dan pemulihan gangguan, bencana, atau keadaan darurat
3.14
incident preparedness
activities, programs, and systems developed and implemented prior to an incident that may be used to support and enhance mitigation of, response to, and recovery from disruptions, disasters, or emergencies
3.15
manajemen kesiapsiagaan insiden dan kontinuitas operasional
IPOCM
kegiatan dan tindakan sistematis dan terkoordinasi oleh organisasi untuk mengelola risiko secara optimal, dan potensi ancaman serta dampaknya yang ditimbulkan
3.15
incident preparedness and operational continuity management
IPOCM
systematic and coordinated activities and practices through which an organization optimally manages its risks, and the associated potential threats and impacts there from
3.16
kebijakan IPOCM
keseluruhan maksud dan arah organisasi, yang terkait dengan kesiapsiagaan insiden dan kontinuitas operasi, yang dinyatakan secara resmi oleh manajemen puncak
3.16
IPOCM policy
overall intentions and direction of an organization, related to its incident preparedness and operational continuity, as formally expressed by top management
3.17 mitigasi
pembatasan konsekuensi negatif dari suatu kejadian tertentu
3.17 mitigation
limitation of any negative consequence of a particular incident
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
3.18
perjanjian bantuan timbal balik
perjanjian yang diatur sebelumnya antara dua pihak atau lebih untuk memberikan bantuan kepada para pihak dalam perjanjian tersebut
3.18
mutual aid agreement
pre-arranged agreement developed between two or more entities to render assistance to the parties of the agreement
3.19
kontinuitas operasional OC
kemampuan strategis dan taktis, yang disetujui sebelumnya oleh manajemen suatu organisasi untuk merencanakan dan merespons kondisi, situasi dan peristiwa untuk dapat melanjutkan operasi pada tingkat yang dapat diterima
CATATAN Kontinuitas operasional adalah istilah yang lebih umum untuk kontinuitas bisnis. Istilah ini tidak hanya berlaku untuk perusahaan pencari-keuntungan, namun bagi semua bentuk organisasi, seperti organisasi non-pemerintah, kepentingan publik, dan pemerintah.
3.19
operational continuity OC
strategic and tactical capability, pre-approved by management, of an organization to plan for and respond to conditions, situations and events in order to continue operations at an acceptable predefined level
NOTE Operational continuity is the more general term for business continuity. It applies not only to for-profit companies, but organizations of all natures, such as non -governmental, public interest, and governmental organizations.
3.20
manajemen kontinuitas operasional OCM
proses manajemen menyeluruh yang mengidentifikasi dampak potensial yang mengancam suatu organisasi dan menyediakan suatu kerangka kerja untuk membangun ketahanan yang mampu merespons secara efektif guna menjaga keselamatan para pemangku kepentingan, reputasi, merek dan kegiatan yang menciptakan nilai.
CATATAN manajemen kontinuitas operasional juga melibatkan manajemen pemulihan atau kontinuitas insiden, serta manajemen program secara keseluruhan melalui pelatihan, gladi, dan kaji ulang, untuk memastikan rencana kontinuitas operasional tetap berjalan dan mutakhir.
3.20
operational continuity management OCM
holistic management process that identifies potential impacts that threaten an organization and provides a framework for building resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities
NOTE Operational continuity management also involves the management of recovery or continuity in the event of an incident, as well as management of the overall program through training, rehearsals, and reviews, to ensure the operational continuity plan stays current and up-to-date.
3.21
program manajemen kontinuitas operasional
manajemen dan proses tata kelola yang didukung oleh manajemen puncak dan sumber daya, untuk memastikan langkah-langkah yang perlu diambil yakni mengidentifikasi dampak potensi kerugian, menjaga rencana dan strategi pemulihan agar berjalan terus, dan menjamin kelangsungan fungsi/produk/layanan melalui latihan, gladi, pengujian, pelatihan,
3.21
operational continuity management program
ongoing management and governance process supported by top management and resourced to ensure that the necessary steps are taken to identify the impact of potential losses, maintain viable recovery strategies and plans, and ensure continuity of functions/products/services through exercising, rehearsal, testing,
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
pemeliharaan dan jaminan. training, maintenance and assurance
3.22
tim manajemen kontinuitas operasional
sekelompok orang yang secara fungsional bertanggung jawab untuk mengarahkan pengembangan dan pelaksanaan rencana kontinuitas operasi, menyatakan keadaan darurat/situasi krisis dan memberikan arahan selama proses pemulihan, baik pra- maupun pasca insiden
CATATAN Tim manajemen kontinuitas operasional dapat mencakup individu dari organisasi maupun responden langsung dan pertama, para pemangku kepentingan, dan pihak-pihak lain yang berminat.
3.22
operational continuity management team
group of individuals functionally responsible for directing the development and execution of the operational continuity plan, declaring an emergency/crisis situation and providing direction during the recovery process, both pre-and post-disruptive incident
NOTE The operational continuity management team may include individuals from the organizations as well as immediate and first responders, stakeholders, and other interested parties.
3.23
rencana kontinuitas operasional OCP
kumpulan dokumentasi prosedur dan informasi yang dikembangkan, dihimpun dan dirawat untuk siap digunakan dalam sebuah insiden
3.23
operational continuity plan OCP
documented collection of procedures and information that is developed, compiled and maintained in readiness for use in an incident
3.24
strategi kontinuitas operasional
pendekatan yang dilakukan oleh organisasi untuk memastikan pemulihan dan kesinambungannya dalam menghadapi gangguan, krisis atau penghentian utama lainnya (dalam pekerjaan).
3.24
operational continuity strategy
approach by an organization that will ensure its recovery and continuity in the face of a disruptive event, crisis or other major outage
3.25
tim kontinuitas operasional
kelompok individu yang bertanggung jawab untuk mengembangkan, melaksanakan, melatih, dan memelihara rencana kontinuitas operasional, termasuk proses dan prosedurnya
3.25
operational continuity team
group of individuals responsible for developing, executing, rehearsing, and maintaining the operational continuity plan, including the processes and procedures
3.26
organisasi
kelompok orang dan fasilitas dengan suatu pengaturan tanggung jawab, wewenang dan hubungan
CATATAN Suatu organisasi dapat berupa
pihak pemerintah atau publik, perseroan, korporasi, firma, perusahaan, institusi, lembaga sosial, perdagangan tunggal atau asosiasi, atau bagian atau kombinasi daripadanya.
3.26
organization
group of people and facilities with an arrangement of responsibilities, authorities and relationships
NOTE An organization can be a government or public entity, company, corporation, firm, enterprise, institution, charity, sole trade or association, or parts or combinations thereof.
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
3.27
pencegahan
tindakan yang memungkinkan suatu organisasi untuk menghindari, mencegah, atau membatasi dampak gangguan
3.27 prevention
measures that enable an organization to avoid, preclude, or limit the impact of a disruption
3.28
probabilitas
tingkat kemungkinan suatu peristiwa dapat terjadi
CATATAN 1 ISO 3534-1:1993, definisi 1.1 memberikan definisi matematika probabilitas sebagai "bilangan nyata dalam skala dari 0 hingga 1 yang melekat pada peristiwa acak. Hal ini dapat berhubungan dengan frekuensi relatif jangka panjang dari kejadian atau tingkat keyakinan bahwa suatu peristiwa akan terjadi. Untuk tingkat kepercayaan tinggi, probabilitasnya mendekati 1."
CATATAN 2 Frekuensi mungkin dapat digunakan untuk menggambarkan risiko ketimbang probabilitas.
CATATAN 3 Derajat keyakinan tentang probabilitas dapat dipilih dengan menggunakan kelas atau peringkat, seperti
— jarang/tidak akan/sedang/akan/hampir
pasti, atau
— luar biasa/tidak mungkin/jauh/kadang-kadang/kemungkinan/sering.
[ISO/IEC Guide 73]
3.28 probability
extent to which an event is likely to occur
NOTE 1 ISO 3534-1:1993, definition 1.1
gives the mathematical definition of probability as "a real number in the scale of 0 to 1 attached to a random event, It can be related to a long-run relative frequency of occurrence or to a degree of belief that an event will occur. For a high degree of belief, the probability is near 1.”
NOTE 2 Frequency rather than probability may be used to describe risk.
NOTE 3 Degrees of belief about probability can be chosen as classes or ranks, such as — rare/unlikely/moderate/likely/almost certain, or — incredible/improbable/remote/occasional/pr obable/frequent. [ISO/IEC Guide 73] 3.29
sasaran waktu pemulihan RTO
sasaran waktu untuk restorasi dan pemulihan fungsi atau sumber daya berdasarkan pada down time yang dapat diterima jika ada gangguan operasi
3.29
recovery time objective RTO
time goal for the restoration and recovery of functions or resources based on the acceptable down time in case of a disruption of operations
3.30 risiko sisa
risiko yang masih ada setelah penanganan risiko
3.30
residual risk
risk remaining after risk treatment
3.31 ketahanan
kemampuan organisasi untuk melawan pengaruh dari suatu peristiwa
3.31 resilience
ability of an organization to resist being affected by an event
3.32
program respon
rencana, proses, dan sumber daya untuk melakukan kegiatan dan layanan yang diperlukan untuk menjaga dan melindungi
3.32
response program
plan, processes, and resources to perform the activities and services necessary to preserve and protect life,
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
nyawa, harta benda, operasi, dan aset vital.
CATATAN Tahapan respon umumnya meliputi pengenalan insiden, pemberitahuan, penilaian, pernyataan, pelaksanaan rencana, komunikasi, dan manajemen sumber daya.
property, operations, and critical assets.
NOTE Response steps generally include
incident recognition, notification, assessment, declaration, plan execution, communications, and resources management.
3.33 risiko
kombinasi dari probabilitas kejadian dan konsekuensi-konsekuensinya
CATATAN 1 Istilah "risiko" umumnya digunakan hanya ketika setidaknya ada kemungkinan konsekuensi negatif.
CATATAN 2 Dalam beberapa situasi, risiko timbul dari kemungkinan penyimpangan atas hasil atau peristiwa yang diharapkan.
[ISO/IEC Guide 73]
3.33 risk
combination of the probability of an event and its consequences
NOTE 1 The term "risk" is generally used only when there is at least the possibility of negative consequences.
NOTE 2 In some situations, risk arises from the possibility of deviation from the expected outcome or event.
[ISO/IEC Guide 73]
3.34
keberterimaan risiko
keputusan untuk menerima risiko
CATATAN 1 Kata kerja "menerima" dipilih untuk menyampaikan ide bahwa keberterimaan memiliki arti kamus dasar.
CATATAN 2 Keberterimaan risiko
tergantung pada kriteria risiko.
[ISO/IEC Guide 73]
3.34
risk acceptance
decision to accept risk
NOTE 1 The verb "to accept" is chosen to convey the idea that acceptance has its basic dictionary meaning.
NOTE 2 Risk acceptance depends on the risk criteria.
[ISO/IEC Guide 73]
3.35
penilaian risiko
keseluruhan proses identifikasi, analisis dan evaluasi risiko.
CATATAN Penilaian risiko melibatkan
proses identifikasi ancaman internal dan eksternal dan kerentanan, mengidentifikasi kemungkinan dari suatu peristiwa yang timbul dari ancaman atau kerentanan tersebut, mendefinisikan fungsi penting yang diperlukan untuk melanjutkan operasi organisasi, mendefinisikan pengendalian di tempat yang diperlukan untuk mengurangi paparan, dan mengevaluasi biaya kendali tersebut.
3.35
risk assessment
overall process of risk identification, analysis and evaluation
NOTE Risk assessment involves the process of identifying internal and external threats and vulnerabilities, identifying the likelihood of an event arising from such threats or vulnerabilities, defining critical functions necessary to continue the organization's operations, defining the controls in place necessary to reduce exposure, and evaluating the cost of such controls.
3.36
komunikasi risiko
pertukaran atau berbagi informasi tentang risiko antara pembuat keputusan dan pemangku kepentingan lainnya
CATATAN Informasi dapat terkait dengan
keberadaan, sifat, bentuk, probabilitas, tingkat
3.36
risk communication
exchange or sharing of information about risk between the decision-maker and other stakeholders
NOTE The information can relate to the existence, nature, form, probability, severity,
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
keparahan, akseptabilitas, perlakuan atau aspek risiko lainnya.
[ISO/IEC Guide 73]
acceptability, treatment or other aspects of risk.
[ISO/IEC Guide 73]
3.37
kriteria risiko
kerangka acuan untuk mengkaji signifikansi risiko
CATATAN Kriteria risiko dapat mencakup
biaya dan manfaat, persyaratan hukum dan statutori/perundang-undangan, aspek sosial-ekonomi dan lingkungan, perhatian para pemangku kepentingan, prioritas dan masukan lainnya untuk penilaian.
[ISO/IEC Guide 73]
3.37 risk criteria
terms of reference by which the significance of risk is assessed
NOTE Risk criteria can include associated cost and benefits, legal and statutory requirements, socio-economic and environmental aspects, the concerns of stakeholders, priorities and other inputs to the assessment.
[ISO/IEC Guide 73]
3.38
manajemen risiko
kegiatan terkoordinasi untuk mengarahkan dan mengendalikan suatu organisasi sehubungan dengan risiko
CATATAN Manajemen risiko secara umum mencakup penilaian risiko, penanganan risiko, keberterimaan risiko dan komunikasi risiko.
[ISO/IEC Guide 73]
3.38
risk management
coordinated activities to direct and control an organization with regard to risk
NOTE Risk management generally includes risk assessment, risk treatment, risk acceptance and risk communication.
[ISO/IEC Guide 73]
3.39
pengurangan risiko
tindakan yang diambil untuk mengurangi probabilitas, konsekuensi negatif, atau keduanya, yang terkait dengan risiko
[ISO/IEC Guide 73]
3.39
risk reduction
actions taken to lessen the probability, negative consequences, or both, associated with a risk
[ISO/IEC Guide 73]
3.40 alih risiko
berbagi beban kerugian atau keuntungan atau manfaat dengan pihak lain, untuk suatu risiko
CATATAN 1 Persyaratan hukum atau
perundang-undangan dapat membatasi, melarang atau mengamanatkan alih risiko tertentu.
CATATAN 2 Alih risiko dapat dilakukan
melalui asuransi atau perjanjian lainnya.
CATATAN 3 Alih risiko dapat menciptakan risiko baru atau memodifikasi risiko yang ada.
CATATAN 4 Relokasi sumber bukan
suatu pengalihan risiko.
[ISO/IEC Guide 73]
3.40 risk transfer
sharing with another party the burden of loss or benefit or gain, for a risk
NOTE 1 Legal or statutory requirements can limit, prohibit or mandate the transfer of certain risk.
NOTE 2 Risk transfer can be carried out through insurance or other agreements.
NOTE 3 Risk transfer can create new risks or modify existing risks.
NOTE 4 Relocation of the source is not risk transfer.
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
3.41
toleransi risiko
risiko yang dapat diterima atau ditoleransi oleh sebuah organisasi yang disiagakan untuk menerima paparan risiko setiap saat.
3.41
risk tolerance
total amount of risk that an organization is prepared to accept, tolerate, or be exposed to at any point in time
3.42
penanganan risiko
proses seleksi dan implementasi untuk memodifikasi risiko
CATATAN 1 Istilah "penanganan risiko" kadang digunakan untuk tindakan tersebut CATATAN 2 Upaya penanganan risiko dapat meliputi penghindaran, pengoptimalan, pengalihan atau pembatasan risiko.
[ISO/IEC Guide 73]
3.42
risk treatment
process of selection and implementation of measures to modify risk
NOTE 1 The term "risk treatment" is sometimes used for the measures themselves. NOTE 2 Risk treatment measures can include avoiding, optimizing, transferring or retaining risk.
[ISO/IEC Guide 73]
3.43
latihan simulasi
latihan yang dilakukan dengan sedapat mungkin dilaksanakan sesuai dengan kondisi sesungguhnya
3.43
simulation exercise
test performed under conditions as close as practicable to real world conditions
3.44 sumber
perihal atau kegiatan yang berpotensi menimbulkan suatu konsekuensi
CATATAN Dalam konteks keselamatan, sumber adalah suatu bahaya.
3.44 source
item or activity having a potential for a consequence
NOTE In the context of safety, source is a hazard.
3.45
pemangku kepentingan (pihak berkepentingan)
orang atau kelompok yang memiliki kepentingan demi kinerja atau keberhasilan organisasi
CATATAN Istilah ini meliputi orang-orang dan kelompok yang berkepentingan dengan aktifitas dan pencapaian organisasi, misalnya pelanggan, mitra, karyawan, pemegang saham, pemilik, masyarakat setempat, responden pertama, pemerintah dan pembuat regulasi.
3.45
stakeholder (interested party)
person or group having an interest in the performance or success of an organization
NOTE The term includes persons and
groups with an interest in an organization, its activities and its achievements, e.g. customers, partners, employees, shareholders, owners, the local community, first responders, government and regulators.
3.46
tabletop exercise
metoda uji yang dengan simulasi terbatas menyajikan suatu skenario gangguan, darurat atau krisis, dalam format narasi agar peserta dapat meninjau-ulang dan membahas (tapi tidak memperagakan)
3.46
tabletop exercise
test method that presents a limited simulation of a disruption, emergency or crisis scenario in a narrative format in which participants review and discuss, not perform, the policy,
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
kebijakan, metode, prosedur, koordinasi, dan sumber daya yang terkait dengan tupoksi untuk rencana aktifasi
methods, procedures, coordination, and resource assignments associated with plan activation
3.47 pengujian
kegiatan untuk menguji beberapa bagian dari rencana kontinuitas operasi guna memastikan bahwa rencana tersebut memuat informasi yang sesuai dan menghasilkan yang diinginkan
3.47 testing
activity in which some part(s) of the operational continuity plan(s) is/are followed to ensure that the plan(s) contain(s) the appropriate information and produces the desired result
3.48 ancaman
penyebab potensial dari suatu kejadian yang tidak diinginkan, yang dapat mengakibatkan kerugian bagi orang, sistem atau organisasi, lingkungan atau masyarakat
3.48 threat
potential cause of an unwanted incident, which may result in harm to individuals, a system or organization, the environment or the community
3.49
manajemen puncak
direksi dan manajer dari sebuah organisasi yang dapat menjamin sistem manajemen yang efektif, termasuk pengawasan keuangan dan sistem kontrol, untuk melindungi aset, kapasitas produktif dan reputasi organisasi
3.49
top management
directors and officers of an organization that can ensure effective management systems, including financial monitoring and control systems, have been put in place to protect assets, earning capacity and the reputation of the organization
4 Umum 4 G e n e r a l
Pendekatan manajemen kesiapsiagaan insiden dan kontinuitas operasional dan proses perbaikan berkelanjutan diperlihatkan pada Gambar 2. IPOCM adalah kerangka kerja yang harus terus dipantau dan ditinjau secara berkala agar memberikan arahan efektif untuk kesiapsiagaan insiden dan manajemen kontinuitas operasional organisasi ketika merespon perubahan faktor internal dan eksternal. Semua tingkat dalam organisasi bertanggung jawab untuk mencapai kesiapsiagaan insiden dan penyempurnaan operasional yang berjalan
terus menerus. Pertimbangan IPOCM dapat diintegrasikan ke dalam semua keputusan operasional dan bisnis organisasi.
The incident preparedness and operational continuity management approach and the ongoing process of continual improvement are shown in Figure 2. IPOCM is an organizing framework that should be continually monitored and periodically reviewed to provide effective direction for an organization's incident preparedness and operational continuity management in response to changing internal and external factors. All levels in the organization should accept responsibility for working to achieve incident preparedness and operational continuity improvements, as applicable. IPOCM considerations can be integrated into all the organization's operational and business decisions.
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
Mulai: kenali organisasi anda
- defisikan lingkup program IPOCM - identifikasikan tujuan, operasi, fungsi, produk dan jasa vital
- penentuan awal skenario risiko dan konsekuensinya 9. Tinjauan manajemen 5. Kebijakan 5.3 Kepemimpinan manajemen dan komitmen 5.4 Pengembangan kebijakan 5. Kebijakan
5.3 Komitmen dan kepemimpinan manajemen
5.4 Pengembangan kebijakan
6. Perencanaan
6.2 Persyaratan hukum dan lainnya 6.3 Penilaian risiko dan analisis dampak 6.7 Program IPOCM
6.7.2 Program pencegahan dan mitigasi 6.7.3 Program manajemen respon
7. Pelaksanaan dan operasi
7.1 Sumber daya, peran, tanggungjawab dan wewenang
7.2 Membangun dan menanmkan IPOCM dalam budaya organisasi
7.3 Kompetensi, pelatihan dan kewaspadaan
7.4 Komunikasi dan peringatan 7.5 Pengendalian operasional 7. Keuangan dan administrasi
8. Pengkajian kinerja
8.1 Evaluasi sistem
8.2 Pemantauan dan pengukuran kinerja 8.3 Pengujian dan latihan
8.4 Tindakan korektif dan preventif 8.5 Pemeliharaan
8.6 Audit dan penilaian internal
Peningkatan berkesinam-bungan
Gambar 2 — Diagram alir kesiapsiagaan insiden dan kontinuitas operasi
5 Kebijakan 5 Policy
5.1 Membuat program 5.1 Establishing the program
Tujuan dari pembentukan program kesiapsiagaan insiden/kontinuitas operasional adalah untuk memastikan
bahwa seluruh aktifitas manajemen risiko dan aktifitas kontinuitas yang lain dilaksanakan dan sesuai dengan persetujuan dan dalam kontrol organisasi, sehingga mencapai kemampuan yang memenuhi kebutuhan operasional yang berubah-ubah dan sesuai dengan ukuran, kompleksitas maupun sifat organisasi. Pembuatan program IPOCM ini menghasilkan suatu kerangka kerja yang jelas untuk kemampuan manajemen kontinuitas operasi yang sedang berlangsung.
Tatalaksana kegiatan, yang biasanya berbentuk suatu proyek, menggabungkan
The purpose of establishing an incident preparedness/operational continuity program is to ensure that all risk management and continuity activities are conducted and implemented in an agreed and controlled manner within the organization, thereby achieving a capability that meets the changing operational needs and is appropriate to the size, complexity and nature of the organization. It establishes a clearly defined framework for the ongoing management of the operational continuity capability.
The set-up activities, which usually take the form of a project, incorporate the
end-ta Badan Send-tandardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
dari awal sampai akhir kegiatan rancang bangun, implementasi, uji awal dan latihan kemampuan kontinuitas operasional. Hal-hal yang harus dipertimbangkan adalah integrasi awal prosedur dan teknik IPOCM dalam proses perancangan organisasi atau bisnis, perencanaan, operasi, pelatihan, dan kebijakan keuangan dan ekonomi. Kegiatan manajemen dan pemeliharaan diantaranya memastikan bahwa kelangsungan operasi tertanam dalam organisasi, diuji secara berkala dan diperbaharui, dan dipertimbangkan apabila terjadi perubahan signifikan (misalnya lingkungan, personil, proses atau teknologi). IPOCM juga harus menjamin perlindungan pemangku kepentingan dari dampak yang merugikan karena terganggunya fungsi dan operasi suatu organisasi.
Singkatnya, program manajemen merupakan tatalaksana organisasi, dan manajemen kontinuitas operasional.
to-end designing, building, implementing, and initial testing and exercising of the operational continuity capability. Early integration of IPOCM techniques and procedures in the organizational or business process design, planning, operations, training, and financial and economic policies and procedures should be considered. The ongoing maintenance and management activities include ensuring that operational continuity is embedded within the organization, is regularly tested and updated, and is considered whenever there is a significant change (e.g. environment, personnel, process or technology). IPOCM should also ensure the protection of stakeholders from possible adverse impact due to the disruption of the organization's operations and functions.
In summary, the management program represents the set-up, organization and ongoing management of the operational continuity capability.
5.2 Mendefinisikan lingkup program 5.2 Defining program scope
Organisasi harus menetapkan, mendokumentasikan, menerapkan, memelihara, mengevaluasi dan terus meningkatkan kesiapsiagaan insiden dan program-program kontinuitas operasi.
Organisasi harus menentukan kegiatan dan tujuan operasi yang vital sebagaimana tercantum dalam strategi, rencana bisnis, misi dan kebijakan, rencana manajemen risiko, dan alat manajemen seperti analisis SWOT (Kekuatan, Kelemahan, Peluang dan Ancaman) dan balanced scorecard. Proses yang vital harus diidentifikasi dan didokumentasikan. Hal ini agar organisasi dapat fokus pada sumber daya yang dibutuhkan untuk mengoperasikan fungsi dan kegiatan yang vital tersebut dengan keterbatasan keuangannya.
Organisasi harus menetapkan dasar pembenaran bagi program IPOCM untuk menentukan keuntungan dari mengadopsi suatu pendekatan. Hal ini mungkin didasarkan pada:
The organization should establish, document, implement, maintain, evaluate and continually improve its incident preparedness and operational continuity programs.
The organization should determine its critical operational objectives and activities as identified in strategies, business plans, policy and mission statements, risk management plans, and management tools such as SWOT analysis (Strengths, Weakness, Opportunities and Threats) and balanced scorecard. Operational critical processes should be identified and documented. This will allow the organization to focus the resources required to operate the organization's critical activities and functions within the context of the economic constraints of the organization.
The organization should establish a justification for the IPOCM program to determine the advantages of adopting an organization-wide approach. This may be based on:
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
— Kejadian terkait risiko yang terjadi dalam organisasi;
— risiko yang muncul saat ini;
— kecenderungan gangguan operasi dan insiden sebelumnya;
— kenaikan biaya dan kerugian pendapatan akibat dari gangguan potensial;
— biaya risiko; — kewajiban;
— tanggung jawab sosial;
— keberhasilan dan kegagalan proyek dan program IPOCM lainnya.
Organisasi harus menetapkan dan mendokumentasikan lingkup sistem IPOCM nya. Organisasi memiliki kebebasan dan fleksibilitas untuk menentukan batas-batasnya, dan dapat memilih untuk melaksanakan pedomanini yang berkenaan dengan seluruh organisasi atau unit operasi atau kegiatan tertentu dari organisasi. Untuk ini perlu dipertimbangkan hubungan dengan organisasi lain (organisasi mitra) dan pemangku kepentingan yang berkontribusi terhadap atau mempengaruhi operasi organisasi, termasuk pengaruh yang disebabkan oleh proses / kegiatan dari luar dan rantai pasokan. Ruang lingkup harus terkait langsung dengan kegiatan, fungsi, produk, dan pelayanan vital, yang menentukan parameter penilaian risiko dan pengembangan program berdasarkan tingkat pentingnya dan kemungkinan potensi serta konsekuensi dari suatu insiden.
— historical risk events within the organization;
— current and emerging risk exposures; — operational disruption trends and
prior incidents;
— cost increases and revenue losses arising from potential disruptions; — risk financing costs;
— liabilities;
— social responsibilities;
— success and failure of other IPOCM projects and programs.
The organization should define and document the scope of its IPOCM system. An organization has the freedom and flexibility to define its boundaries, and may choose to implement this guideline with respect to the entire organization or to specific operating units or activities of the organization, It should consider, however, relationships with other organizations (partner entities) and stakeholders that contribute to or influence the organization's operations, including influences due to the outsourcing of processes/activities and the supply chain. The scope should be directly related to the critical activities, functions, products, and services of the organization, defining the parameters for risk assessment and program development based on their criticality and the potential likelihood and consequences of an incident.
5.3 Komitmen dan kepemimpinan manajemen
5.3 Management leadership and commitment
To be effective, an IPOCM program should be an integrated management process driven from the top of the organization, endorsed and promoted by the principal managers and executives. It should be managed at both the operational and Agar efektif, program IPOCM harus berupa
sebuah proses manajemen terpadu yang berasal dari manajemen puncak, didukung dan dipromosikan oleh jajaran manajer utama dan eksekutif. Program ini harus dikelola baik di tingkat operasional maupun tingkat organisasi.