1
Sosialisasi
SNI ISO/IEC 38500:2013
Tata Kelola Teknologi Informasi
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM
Ketua WG Tata Kelola dan Layanan TI
PT35-01 Teknologi Informasi
Current:
• Director of Certification – CRISC & CGEIT, ISACA Indonesia Chapter • ISACA Academic Advocate at ITB
• SME for Information Security Standard for ISO at ISACA HQ
• Associate Professor at School of Electrical Engineering and Informatics, Institut Teknologi Bandung
• Ketua WG Layanan dan Tata Kelola TI, anggota WG Keamanan Informasi serta Anggota Panitia Teknis 35-01 Program Nasional Penetapan Standar bidang Teknologi Informasi, BSN – Kominfo.
Past:
• Ketua Kelompok Kerja Evaluasi TIK Nasional, Dewan TIK Nasional (2007-2008)
• Plt Direktur Operasi Sistem PPATK (Indonesia Financial Transaction Reports and Analysis Center, INTRAC), April 2009 – May 2011
Professional Certification:
• Professional Engineering (PE), the Principles and Practice of Electrical Engineering, College of Engineering, the University of Texas at Austin. 2000
• IRCA Information Security Management System Lead Auditor Course, 2004
• ISACA Certified Information System Auditor (CISA). CISA Number: 0540859, 2005 • Brainbench Computer Forensic, 2006
• (ISC)2 Certified Information Systems Security Professional (CISSP), No: 118113, 2007
• ISACA Certified Information Security Manager (CISM). CISM Number: 0707414, 2007
Award:
• (ISC)2 Asia Pacific Information Security Leadership Achievements (ISLA) 2011 award in category Senior
Information Security Professional. http://isc2.org/ISLA
2
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM
Bloom’s Taxonomy of Educational Objectives
Apply
Comprehend
Remember
list, recite
explain, paraphrase
calculate, solve,
determine, apply
Analyze
compare, contrast, classify,
categorize, derive, model
Synthesize
create, construct, design,
improve, produce, propose
Evaluate
judge, critique, justify,
verify, assess, recommend
Kategori Kontrol berbasis Risiko
4
Kerangka dan Standar – tinjauan
SNI ISO38500
COSO
PP60/
2008 COBIT 5 ITIL v2 ITIL v3 SNI ISO
20000 SNI ISO 2700x SNI ISO 900x Common Criteria SNI ISO 15408
bo
ard
leve
l
man
ag
eme
nt
tech
ni
cal
o Principle 1: Establish clearly
understood responsibilities
for IT
o Principle 2:
Plan IT
to best support the organization
o Principle 3:
Acquire IT
validly
o Principle 4: Ensure that
IT performs well
, whenever required
o Principle 5: Ensure
IT conforms
with formal rules
o Principle 6: Ensure IT use
respects human factors
Principles of IT Governance
6
Source:
Model lain: Pemisahan Governance dan Management
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
8
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of
ICT: January 2005
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
9
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of
ICT: January 2005
Pimpinan mengevaluasi
pemanfaatan TI saat ini dan
masa depan
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
10
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of
ICT: January 2005
Pimpinan mengarahkan penyusunan dan pelaksanaan dari rencana
dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
11
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of
ICT: January 2005
Pimpinan memantau kesesuaian terhadap kebijakan, dan
memantau pelaksanaan dibandingkan dengan rencana
SNI ISO/IEC 38500:2013
Enam Prinsip
12Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
SNI ISO/IEC 38500:2013
Enam Prinsip
13Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 1: Tanggung jawab
Individu dan kelompok dalam suatu organisasi memahami dan menerima
tanggung jawab mereka dalam hal penyediaan dan permintaan atas TI.
Mereka yang bertanggung jawab untuk melakukan berbagai tindakan juga
memiliki kewenangan untuk melakukan berbagai tindakan tersebut.
SNI ISO/IEC 38500:2013
Enam Prinsip
14Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 2: Strategi
Strategi bisnis suatu organisasi memperhitungkan kemampuan TI saat ini dan
di masa depan; rencana strategis TI memenuhi kebutuhan saat ini dan
SNI ISO/IEC 38500:2013
Enam Prinsip
15Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 3: Akuisisi
Akuisisi TI dibuat untuk alasan yang valid, atas dasar analisis yang tepat dan
berkelanjutan, dengan pengambilan keputusan yang jelas dan transparan.
Terdapat keseimbangan antara manfaat, peluang, biaya, dan risiko, baik
dalam jangka pendek maupun jangka panjang.
SNI ISO/IEC 38500:2013
Enam Prinsip
16Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 4: Kinerja
TI sesuai dengan tujuan untuk mendukung organisasi, untuk menyediakan
layanan, dengan tingkat layanan dan kualitas layanan yang diperlukan untuk
memenuhi persyaratan bisnis saat ini dan masa yang akan datang.
SNI ISO/IEC 38500:2013
Enam Prinsip
17Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 5: Kesesuaian
TI mematuhi semua perundangan dan peraturan yang wajib. Kebijakan dan
praktik dengan jelas didefinisikan, dilaksanakan, dan ditegakkan.
SNI ISO/IEC 38500:2013
Enam Prinsip
18Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 6: Perilaku Manusia
Kebijakan, praktik, dan keputusan TI menunjukkan penghargaan terhadap
Perilaku Manusia, termasuk kebutuhan saat ini dan perkembangannya dari
semua 'orang dalam proses'.
Prinsip 1: Tanggung jawab
EvaluasiPara pemimpin organisasi harus mengevaluasi berbagai pilihan untuk menetapkan tanggung jawab sehubungan dengan pemanfaatan TI saat ini dan masa depan oleh organisasi. Dalam
mengevaluasi berbagai pilihan, para pemimpin organisasi harus berusaha untuk memastikan pemanfaatan dan penyediaan TI yang efektif, efisien, dan layak untuk mendukung sasaran bisnis (pencapaian sasaran organisasi) saat ini dan masa depan.
Para pemimpin organisasi harus mengevaluasi kompetensi dari mereka yang diberikan tanggung jawab untuk mengambil keputusan tentang TI. Umumnya, mereka adalah para manajer (pejabat) yang juga bertanggung jawab atas sasaran dan kinerja organisasi, dibantu oleh tenaga ahli TI yang memahami nilai-nilai dan proses bisnis (pencapaian sasaran organisasi).
Arahkan
Para pemimpin organisasi harus mengarahkan bahwa berbagai rencana dilaksanakan sesuai dengan berbagai tanggung jawab TI yang telah ditetapkan.
Para pemimpin organisasi harus mengarahkan bahwa mereka menerima informasi yang mereka butuhkan untuk memenuhi tanggung jawab dan akuntabilitas mereka.
Pantau
Para pemimpin organisasi harus memantau bahwa mekanisme tata kelola TI yang tepat telah dijalankan.
Para pemimpin organisasi harus memantau bahwa mereka yang diberikan tanggung jawab menerima dan memahami tanggung jawab mereka.
Para pemimpin organisasi harus memantau kinerja mereka yang diberi tanggung jawab dalam tata kelola TI (misalnya, orang-orang yang duduk dalam komite pengarah atau dalam menyajikan proposal kepada para pemimpin organisasi).
Prinsip 2: Strategi
EvaluasiPara pemimpin organisasi harus mengevaluasi berbagai pengembangan TI dan proses bisnis
(pencapaian sasaran organisasi) untuk memastikan bahwa TI dapat memberikan dukungan untuk kebutuhan bisnis (pencapaian sasaran organisasi) masa depan.
Dalam mempertimbangkan berbagai rencana dan kebijakan, para pemimpin organisasi harus mengevaluasi berbagai kegiatan TI untuk memastikan keselarasannya dengan sasaran
organisasi dalam lingkungan yang berubah-ubah, dengan mempertimbangkan praktik yang lebih baik dan memenuhi persyaratan dari pemangku kepentingan utama lainnya.
Arahkan
Para pemimpin organisasi harus mengarahkan penyiapan dan pemanfaatan berbagai rencana dan kebijakan yang dapat memastikan bahwa organisasi tersebut mendapat manfaat dari
pengembangan TI.
Para pemimpin organisasi juga harus mendorong pengajuan proposal untuk pemanfaatan TI yang inovatif yang memungkinkan organisasi untuk merespon peluang atau tantangan baru, melakukan usaha baru atau meningkatkan proses.
Pantau
Para pemimpin organisasi harus memantau kemajuan berbagai proposal TI yang telah disetujui untuk memastikan bahwa berbagai proposal TI tersebut dapat mencapai sasaran dalam jangka waktu yang ditentukan dengan menggunakan sumber daya yang telah dialokasikan.
Para pemimpin organisasi harus memantau penggunaanTI untuk memastikan pencapaian berbagai manfaat yang diinginkan
Prinsip 3: Akuisisi
EvaluasiPara pemimpin organisasi harus mengevaluasi berbagai pilihan TI dalam merealisasikan berbagai proposal yang telah disetujui, menyeimbangkan risiko dengan manfaat dari investasi yang diusulkan.
Arahkan
Para pemimpin organisasi harus mengarahkan bahwa aset TI (sistem dan infrastruktur) diperoleh dengan cara yang tepat, termasuk penyiapan dokumentasi yang sesuai, dengan tetap
memastikan bahwa kapabilitas yang dibutuhkan dapat dipenuhi.
Para pemimpin organisasi harus mengarahkan bahwa pengaturan pasokan (termasuk pengaturan pasokan internal maupun eksternal) mendukung kebutuhan bisnis (pencapaian sasaran
organisasi).
Pantau
Para pemimpin organisasi harus memantau berbagai investasi TI untuk memastikan bahwa investasi tersebut memberikan kapabilitas yang disyaratkan.
Para pemimpin organisasi harus memantau sejauh mana organisasi mereka dan para pemasok dapat memiliki pemahaman yang sama tentang tujuan organisasi dalam melakukan akuisisi TI.