• Tidak ada hasil yang ditemukan

Keluaran

Dalam dokumen DOKUMEN TATA KELOLA APO-01 (Halaman 70-91)

Prosedur

5. Keluaran

69 5. APO13.01 Pernyataan ruang

lingkup dari sistem pengelolaan keamanan informasi

6. DSS06.03 Level otoritas yang dialokasikan Peran dan tanggung jawab yang dialokasikan

70

PS-APO-01-02 No. Rilis 0

No. Revisi 0

Prosedur Menetapkan peran dan tanggung jawab

Tanggal Terbit 2 Mei 2015

Halaman 1 dari 1

PROSEDUR 7. Flow Aktivitas

NO. DESKRIPSI AKTIVITAS PELAKSANA

HIA BPO PMO CIO BCM SM ISM 1. Menetapkan, menyetujui dan mengkomunikasikan

peran dan tanggung jawab yang berkaitan dengan IT untuk semua personil dalam perusahaan, sejalan dengan kebutuhan bisnis dan tujuan. Menggambarkan dengan jelas tanggung jawab dan akuntabilitas khususnya untuk pengambilan keputusan dan penyetujuan.

1 HIA merumuskan peran dan tanggung jawab semua personil perusahaan yang berkaitan TI 2 HIA mengkonsultasikan hasil 1.1 dengan BPO,

PMO, dan HHR

3. HIA meminta perstujuan CIO

2. Mempertimbangkan kebutuhan dari perusahaan dan kelangsungan pelayanan TI ketika mendefinisikan peran, termasuk staf cadangan dan persyaratan lintas- pelatihan.

1 HIA mengkonsultasikan dengan BCM terkait kebutuhan perusahaan untuk keberlangsungan layanan TI

2 HIA meminta perstujuan CIO

3. Memberikan masukan kepada proses kesinambungan layanan TI dengan mempertahankan informasi dan peran kontak deskripsi secara up-to-date di perusahaan.

1. HIA memberikan masukan kepada SM, ISM, dan BCM sesuai dengan peran dan tanggung jawab yang telah dibuat

2. SM, ISM, dan BCM memperbarui dokumen 4. Sertakan dalam peran dan tanggung jawab deskripsi

kepatuhan terhadap kebijakan manajemen dan prosedur, kode etik, dan praktek profesional.

HEADER PERUSAHAAN (Nama Perusahaan, Alamat, Telp, dll)

71 1. HIA membuat aturan kepatuhan terhadap

kebijakan manajemen dan prosedur, kode etik dan praktek professional

2. HIA meminta perstujuan CIO

3. HIA mencantumkan aturan kepatuhan pada peran dan tanggung jawab masing-masing fungsi departemen

NO. DESKRIPSI AKTIVITAS PELAKSANA

HIA BPO PMO CIO BCM SM ISM 5. Menerapkan praktek-praktek pengawasan yang

memadai untuk memastikan bahwa peran dan tanggung jawab itu dilakukan dengan benar, untuk menilai apakah semua personel memiliki kewenangan yang cukup dan sumber daya untuk menjalankan peran dan tanggung jawab mereka, dan secara umum meninjau kinerja.

Tingkat pengawasan harus sesuai dengan sensitivitas posisi dan tingkat tanggung jawab yang ditugaskan.

1 HIA meinginstruksikan kepada seluruh departemen untuk menerapkan peran dan tanggung jawab yang dimiliki dengan benar 2 HIA melakukan monitoring untuk menilai apakah

peran dan tanggung jawab telah dilaksanakan dengan benar

6. Menjamin akuntabilitas yang didefinisikan melalui peran dan tanggung jawab.

1 Melalui hasil monitoring, HIA melakukan evaluasi 2 HIA memperbarui peran dan tanggung jawab 3. HIA meminta persetujuan CIO

7. Peran dan tanggung jawab struktur untuk mengurangi kemungkinan untuk berperan tunggal dalam mengizinkan proses kritis.

1. HIA memastikan alur struktural berjalan dengan baik

72 PS-APO-01-03

LEMBAR PENGESAHAN

Prosedur

Judul : Prosedur memelihara enabler sistem manajemen No. Dokumen : PS-APO-01-01

Rilis : 00

Revisi : 00

Historis Distribusi :

NO Jumlah Eksemplar Tujuan Distribusi

Dibuat Oleh Diperiksa Oleh Disahkan Oleh

Jabatan

Tanggal :

HEADER PERUSAHAAN (Nama Perusahaan, Alamat, Telp, dll)

73

RIWAYAT PERUBAHAN

No. Rilis No. Revisi Halaman T, M, X Deskripsi Perubahan

Tanggal Perubahan

Keterangan : T = Penambahan M = Modifikasi X = Penghapusan

HEADER PERUSAHAAN (Nama Perusahaan, Alamat, Telp, dll)

74

PS-APO-01-03 No. Rilis 0

No. Revisi 0

Memelihara enabler sistem manajemen

Tanggal Terbit 2 Mei 2015

Halaman 1 dari 1

Prosedur 1. Deskripsi

Mempertahankan enabler dari sistem manajemen dan kontrol lingkungan untuk perusahaan IT, dan memastikan bahwa hal tersebut terintegrasi dan sejalan dengan tata kelola perusahaan dan filosofi manajemen dan gaya operasional. Enabler ini termasuk komunikasi yang jelas mengenai ekspektasi/kebutuhan. Sistem manajemen harus memaksadivisi-divisi yang berlainan untuk kooperatif dan bekerja sama, meningkatkan kepatuhan dan perbaikan terus-menerus, dan menangani penyimpangan proses (termasuk kegagalan).

2. Standar yang Berlaku

i. Cobit 5: APO01 Manage the IT Management Framework

j. ISO/IEC 20000: 3.1 Management Responsibility dan 4.4 Continual Improvement k. ISO/IEC 27002: 6. Organisation of Information Security

l. ITIL v3 2011: 25. The Seven-step Improvement Process 3. Indikator Kinerja

 Persentase peran dengan deskripsi posisi dan otoritas yang terdokumentasi

 Persentase fungsi / proses operasional IT yang terhubung ke struktur operasional bisnis 4. Masukkan

No. Sumber Masukan Jenis Masukan Nomor dan Nama Dokumen 1. EDM01.01 Prinsip pedoman tata

kelola perusahaan 2. APO02.05 Road map strategis 3. APO12.01 Kemunculan isu-isu dan

faktor risiko 4. APO12.02 Hasil analisis risiko 5. Keluaran

No. Tujuan Keluaran Jenis Keluaran Nomor dan Nama Dokumen 1. Semua dokumen

APO, BAI, DSS dan MEA

Kebijakan terkait TI

6. Peralatan dan Perlengkapan

 Komputer/Laptop

 Alat Tulis Kantor

HEADER PERUSAHAAN (Nama Perusahaan, Alamat, Telp, dll)

75

PS-APO-01-01 No. Rilis 0

No. Revisi 0

Prosedur mendefinisikan struktur organisasi

Tanggal Terbit 2 Mei 2015

Halaman 1 dari 1

PROSEDUR

7. Flow Aktivitas

NO. DESKRIPSI AKTIVITAS PELAKSANA

COO CIO H IT Adm.

1. Mendapatkan pemahaman tentang visi perusahaan, arah dan strategi

1 Kepala bagian operasional melakukan penggalian visi perusahaan dengan melakukan rapat dengan jajaran tinggi perusahaan

2 Kepala bagian operasional dan CIO menggali arah dan strategi perusahaan dengan melakukan rapat koordinasi yang berorientasi dengan visi perusahaan.

2. Mempertimbangkan lingkungan internal perusahaan, termasuk budaya dan filosofi manajemen, toleransi terhadap risiko, keamanan, nilai-nilai etika, kode etik, akuntabilitas dan kebutuhan untuk integritas manajemen

1 CIO dan divisi TI Mengadakan rapat tahunan atau bulanan untuk membahas mengenai budaya dan filosofi manajemen

2 CIO dan divisi TI mengadakan rapat tahunan atau bulanan untuk membahas mengenai filosofi manajemen

3 CIO dan divisi TI mengadakan rapat tahunan atau bulanan untuk membahas mengenai keamanan informasi yang penting

4 CIO dan divisi TI mengadakan rapat tahunan atau bulanan untuk membahas mengenai nilai-nilai etika dan kode etik

5 CIO dan divisi TI mengadakan rapat tahunan atau bulanan untuk membahas akuntabilitas dari masing-masing peran dalam perusahaan

6 CIO dan divisi TI mengadakan rapat tahunan atau bulanan untuk membahas mengenai kebuthuan dalam melakukan integrasi dari pihak manajemen

HEADER PERUSAHAAN (Nama Perusahaan, Alamat, Telp, dll)

76 3. Menurunkan dan mengintegrasikan prinsip-prinsip IT

dengan prinsip-prinsip bisnis

1. Mengadakan pertemuan antara CIO dan kepala operasional untuk membahas tentang teknologi informasi terkait dengan prinsip pada bisnis 2. Melakukan rapat dengan jajaran dan CIO untuk

membicarakan teknologi informasi diintegrasikan dengan bisnis

4. Menyelaraskan lingkungan pengendalian TI dengan lingkungan kebijakan TI secara keseluruhan, tata kelola TI dan kerangka kerja proses IT, dan risiko dan pengendalian kerangka tingkat perusahaan yang ada.

Menilai praktek yang baik industri secara spesifik atau persyaratan (misalnya, industri regulasi spesifik) dan mengintegrasikan mereka di mana perlu

NO. DESKRIPSI AKTIVITAS PELAKSANA

COO CIO H IT Adm.

1 Jajaran tinggi dan CIO serta kepala operasional melakukan pertemuan untuk mendeliver lingkungan kebijakan TI, tata kelola TI, kerangka kerja proses TI, risiko di tingkat perusahaan, dan kerangka kerja control

2 CIO melakukan pertemuan dengan divisi IT untuk melakuan penyelarasan lingkungan kendali TI dengan keluaran di atas

5. Menyelaraskan dengan standar nasional dan internasional yang berlaku tata kelola dan manajemen dan kode praktek, dan mengevaluasi best practice yang tersedia seperti COSO

1 kepala operasional melakukan pertemuan dengan jajaran untuk mebicarakan tentang tata kelola dan manajemen serta kode praktik 2 Rapat tersebut dilakukan setidaknya setiap tahun

atau ketika ada pergantian secara signifikan terhadap proses bisnis perusahaan

3 Semua hasil Rapat didokumentasikan

6. Membuat serangkaian kebijakan untuk mendorong harapan kontrol TI pada topik kunci yang relevan seperti kualitas, keamanan, kerahasiaan, pengendalian internal, penggunaan aset TI, etika dan hak kekayaan intelektual

1 CIO atau pihak setingkat melakukan pendaftaran harapan kontrol TI

2 Dari harapan kontrol TI tersebut CIO dan kepala opersional melakukan pembuatan kebijakan

77 3 Kebijakan itu kemudian dipetakan ke dalam topic

kunci yang dimiliki perusahaan

7. Mengevaluasi dan memperbarui kebijakan setidaknya tahunan untuk mengakomodasi perubahan operasi atau bisnis lingkunganPastikan

1 CIO dan kepala operasional bersama bagian audit merumuskan kebijakan-kebijakan yang sudah tidak relevan dengan lingkungan bisnis atau proses bisnis

2 Perumusan itu dilakukan dengan rapat tahunan 3 Selanjutnya bersama dengan jajaran, eksekutif

bisnis, dan pemiliki proses bisnis terkait, adakan pertemuan untuk melakukan pembaharuan kebijakan

NO. DESKRIPSI AKTIVITAS PELAKSANA

COO CIO H IT Adm.

8. Meratakan dan menegakkan kebijakan TI kepada semua staf yang relevan, sehingga mereka dibangun ke dalam, dan merupakan bagian integral dari, operasi perusahaan

1 CIO melakukan pertemuan dengan para staff pada sebuah rapat yang dilakukan secara berulang-ulang setiap dua bulan sekali

2 Rapat tersebut memaksa staff untuk mematuhi hal tersebut, dan menerangkan kepada para staff bahwa mereka adalah bagian dari operasi perusahaan

9. Pastikan bahwa prosedur berada di tempat untuk menelusuri kepatuhan terhadap kebijakan dan menentukan konsekuensi dari ketidakpatuhan

1 CIO Melakukan pengawasan kepada staff agar tidak melakukan ketidakpatuhan

2 Melakukan pencatatan pada setiap ketidakpatuhan yang terjadi

3 Memberikan konsekuensi terhadap ketidakpatuhan yang terjadi

78 PS-APO-01-04

LEMBAR PENGESAHAN

Prosedur

Judul : Prosedur mengkomunikasikan tujuan dan arahan manajemen No. Dokumen : PS-APO-01-04

Rilis : 00

Revisi : 00

Historis Distribusi :

NO Jumlah Eksemplar Tujuan Distribusi

Dibuat Oleh Diperiksa Oleh Disahkan Oleh

Jabatan

Tanggal :

HEADER PERUSAHAAN (Nama Perusahaan, Alamat, Telp, dll)

79

RIWAYAT PERUBAHAN

No. Rilis No. Revisi Halaman T, M, X Deskripsi Perubahan

Tanggal Perubahan

Keterangan : T = Penambahan M = Modifikasi X = Penghapusan

HEADER PERUSAHAAN (Nama Perusahaan, Alamat, Telp, dll)

80

PS-APO-01-04 No. Rilis 0

No. Revisi 0

Prosedur mengkomunikasikan tujuan dan arahan manajemen

Tanggal Terbit 2 Mei 2015

Halaman 1 dari 1

Prosedur 1. Deskripsi

Mengkomunikasikan kesadaran dan pemahaman akan tujuan dan arah dari TI kepada stakeholders terkait dan pengguna pada perusahaan.

2. Standar yang Berlaku

m. Cobit 5: APO01 Manage the IT Management Framework

n. ISO/IEC 20000: 3.1 Management Responsibility dan 4.4 Continual Improvement o. ISO/IEC 27002: 6. Organisation of Information Security

p. ITIL v3 2011: 25. The Seven-step Improvement Process 3. Indikator Kinerja

 Jumlah gangguan bisnis yang terjadi karena gangguan layanan TI

 Persentase dari stakeholder yang memahami kerangka pengendalian TI

 Persentase dari pemangku kepentingan yang tidak patuh dengan kebijakan 4. Masukkan

No. Sumber Masukan Jenis Masukan Nomor dan Nama Dokumen 1. EDM01.02 Komunikasi tata kelola

perusahaan

2. EDM04.02 Prinsip-prinsip untuk pemeliharaan sumber daya

3. APO12.06 Komunikasi dampak risiko

4. BAI08.01 Komunikasi pada nilai pengetahuan

5. DSS04.01 Kebijakan dan tujuan untuk keberlangsungan bisnis

6. DSS05.01 Kebijakan pencegahan Malware

7. DSS05.02 Kebijakan keamanan konektivitas

8. DSS05.03 Kebijakan keamanan perangkat

HEADER PERUSAHAAN (Nama Perusahaan, Alamat, Telp, dll)

81 5. Keluaran

No. Tujuan Keluaran Jenis Keluaran Nomor dan Nama Dokumen 1. Semua APO, BAI, DSS

dan MEA

Komunikasi terkait tujuan TI

6. Peralatan dan Perlengkapan

 Komputer/Laptop

 Alat Tulis Kantor

82

PS-APO-01-04 No. Rilis 0

No. Revisi 0

Prosedur mengkomunikasikan tujuan dan arahan manajemen

Tanggal Terbit 2 Mei 2015

Halaman 1 dari 1

PROSEDUR 7. Flow aktivitas

NO. DESKRIPSI AKTIVITAS PELAKSANA

CFO COO BE SEC CRO CISO CIO 1. Secara keberlanjutan mengkomunikasikan tujuan dan

arah TI. Memastikan bahwa komunikasi didukung oleh manajemen eksekutif di tindakan dan perkataan, menggunakan semua saluran yang tersedia

1 Setiap enam bulan sekali CFO, COO, eksekutif bisnis, pemilik proses bisnis, CRO, CIO melakukan workshop atau pertemuan yang mengundang semua bagian perusahaan tentang tujuan dan arah TI

2 Dalam setiap pertemuan dan workshop dukungan dari eksekutif manajemen diminta 2. Memastikan informasi yang dikomunikasikan

mencakup misi yang disampaikan, tujuan layanan, keamanan, kontrol internal, kualitas, kode etik, kebijakan dan prosedur, peran dan tanggung jawab dll.

Komunikasikan informasi dengan tingkatan detail yang sesuai untuk audiens pada perusahaan

1 Setiap kepala Divisi melakukan pemantauan kepada staffnya terkait dengan misi yang telah disampaikan

2 Setiap divisi diadakan survey untuk mengetahui pemahaman informasi yang telah dikomunikasikan

3. Menyediakan sumber daya yang cukup dan terampil untuk mendukung proses komunikasi

1. Kepala Divisi Melakukan pemilihan proses komunikasi,menggunakan rapat atau workshop 2. Melakukan pendataan kepada para peserta yang

ikut dalam proses komunikasiikan dengan bisnis 3. Jajaran tinggi dan CIO serta kepala operasional melakukan pertemuan untuk mendeliver lingkungan kebijakan TI, tata kelola TI, kerangka kerja proses TI, risiko di tingkat perusahaan, dan kerangka kerja control

HEADER PERUSAHAAN (Nama Perusahaan, Alamat, Telp, dll)

83 PS-APO-01-05

LEMBAR PENGESAHAN

Prosedur

Judul : Prosedur mengoptimalkan penempatan fungsional TI No. Dokumen : PS-APO-01-05

Rilis : 00

Revisi : 00

Historis Distribusi :

NO Jumlah Eksemplar Tujuan Distribusi

Dibuat Oleh Diperiksa Oleh Disahkan Oleh

Jabatan

Tanggal :

HEADER PERUSAHAAN (Nama Perusahaan, Alamat, Telp, dll)

84

RIWAYAT PERUBAHAN

No. Rilis No. Revisi Halaman T, M, X Deskripsi Perubahan

Tanggal Perubahan

Keterangan : T = Penambahan M = Modifikasi X = Penghapusan

HEADER PERUSAHAAN (Nama Perusahaan, Alamat, Telp, dll)

85

PS-APO-01-05 No. Rilis 0

No. Revisi 0

Prosedur mengoptimalkan penempatan fungsional TI

Tanggal Terbit 2 Mei 2015

Halaman 1 dari 1

Prosedur 1. Deskripsi

Posisikan kemampuan IT dalam struktur organisasi secara keseluruhan untuk mencerminkan model perusahaan yang relevan dengan pentingnya IT dalam perusahaan, khususnya kekritisan terhadap strategi perusahaan dan tingkat ketergantungan operasional TI. Jalur pelaporan CIO harus disesuaikan dengan pentingnya IT dalam perusahaan.

2. Standar yang Berlaku

q. Cobit 5: APO01 Manage the IT Management Framework

r. ISO/IEC 20000: 3.1 Management Responsibility dan 4.4 Continual Improvement s. ISO/IEC 27002: 6. Organisation of Information Security

t. ITIL v3 2011: 25. The Seven-step Improvement Process 3. Indikator Kinerja

 Persentase peran dengan deskripsi posisi dan otoritas yang terdokumentasi

 Jumlah unit bisnis / proses-proses yang tidak didukung oleh organisasi TI dimana hal tersebut harus didukung, menurut strategi dari perusahaan

 Jumlah kegiatan inti TI luar departemen TI yang tidak disetujui atau tidak tunduk pada standar departemen TI

4. Masukkan

No. Sumber Masukan Jenis Masukan Nomor dan Nama Dokumen 1. Luar COBIT  Model operasional

perusahaan

 Strategi perusahaan 5. Keluaran

No. Tujuan Keluaran Jenis Keluaran Nomor dan Nama Dokumen 1. APO03.02 Evaluasi pilihan untuk

departemen TI

2. APO03.02 Penempatan

operasional yang terdefinisi untuk fungsi TI

6. Peralatan dan Perlengkapan

 Komputer/Laptop

 Alat Tulis Kantor

HEADER PERUSAHAAN (Nama Perusahaan, Alamat, Telp, dll)

86

PS-APO-01-05 No. Rilis 0

No. Revisi 0

Mengoptimalkan penempatan fungsional TI

Tanggal Terbit 2 Mei 2015

Halaman 1 dari 1

PROSEDUR 7. Flow aktivitas

NO. DESKRIPSI AKTIVITAS PELAKSANA

CIO H IT Adm.

1. Memahami konteks untuk penempatan fungsi TI, termasuk penilaian terhadap strategi perusahaan dan model operasi (terpusat, federasi, desentralisasi, hybrid), pentingnya IT, dan sumber situasi dan pilihan.

1 CIO dan kepala administrasi TI mengadakan rapat bersama seluruh staff untuk menambah pemahaman mengenai penempatan fungsi TI dan pentingnya TI dalam perusahaan

2 CIO bersama kepala administrasi TI mengevaluasi strategi perusahaan dan juga model operasinya 2. Mengidentifikasi, mengevaluasi dan memprioritaskan

pilihan untuk penempatan, sumber dan operasi model organisasi.

1 CIO dan kepala administrasi TI mengidentifikasi pilihan sumber daya dan operasi dari model organisasi

2 CIO mengevaluasi pilihan-pilihan tersebut 3 CIO melakukan prioritisasi terhadap pilihan-

pilihan tersebut

3. Menentukan penempatan fungsi TI dan mendapatkan persetujuan.

1. Berdasarkan evaluasi yang dilakukan sebelumnya, CIO menetapkan penempatan fungsi TI pada perusahaan

2. Penempatan tersebut diajukan kepada manajemen untuk dilakukan persetujuan

3. Model penempatan fungsi TI dijalankan dan diawasi oleh kepala administrasi TI

HEADER PERUSAHAAN (Nama Perusahaan, Alamat, Telp, dll)

87 PS-APO-01-06

LEMBAR PENGESAHAN

Prosedur

Judul : Prosedur mendefinisikan kepemilikan informasi(data) dan sistem No. Dokumen : PS-APO-01-06

Rilis : 00

Revisi : 00

Historis Distribusi :

NO Jumlah Eksemplar Tujuan Distribusi

Dibuat Oleh Diperiksa Oleh Disahkan Oleh

Jabatan

Tanggal :

HEADER PERUSAHAAN (Nama Perusahaan, Alamat, Telp, dll)

88

RIWAYAT PERUBAHAN

No. Rilis No. Revisi Halaman T, M, X Deskripsi Perubahan

Tanggal Perubahan

Keterangan : T = Penambahan M = Modifikasi X = Penghapusan

HEADER PERUSAHAAN (Nama Perusahaan, Alamat, Telp, dll)

89

PS-APO-01-06 No. Rilis 0

No. Revisi 0

Prosedur mendefinisikan kepemilikan informasi(data) dan

sistem

Tanggal Terbit 2 Mei 2015

Halaman 1 dari 1

Prosedur 1. Deskripsi

Mendefinisikan dan memelihara tanggung jawab untuk kepemilikan informasi (data) dan sistem informasi. Memastikan bahwa pemilik membuat keputusan tentang klasifikasi informasi dan sistem dan melindungi mereka sesuai dengan klasifikasi ini.

2. Standar yang Berlaku

u. Cobit 5: APO01 Manage the IT Management Framework

v. ISO/IEC 20000: 3.1 Management Responsibility dan 4.4 Continual Improvement w. ISO/IEC 27002: 6. Organisation of Information Security

x. ITIL v3 2011: 25. The Seven-step Improvement Process 3. Indikator Kinerja

 Persentase kepuasan pengguna dengan ketersediaan data

 Persentase restorasi data yang berhasil

 Jumlah insiden di mana data sensitif yang diambil setelah media dibuang 4. Masukkan

No. Sumber Masukan Jenis Masukan Nomor dan Nama Dokumen

1. - - -

5. Keluaran

No. Tujuan Keluaran Jenis Keluaran Nomor dan Nama Dokumen 1. APO03.02

BAI02.01 DSS05.02 DSS06.01

Pedoman klasifikasi data

2. BAI02.01 Pedoman keamanan

dan kontrol data 3. BAI02.01

DSS06.01

Prosedur integritas data 6. Peralatan dan Perlengkapan

 Komputer/Laptop

 Alat Tulis Kantor

HEADER PERUSAHAAN (Nama Perusahaan, Alamat, Telp, dll)

90

PS-APO-01-06 No. Rilis 0

No. Revisi 0

Prosedur mendefinisikan kepemilikan informasi(data) dan sistem

Tanggal Terbit 2 Mei 2015

Halaman 1 dari 1

PROSEDUR

Dalam dokumen DOKUMEN TATA KELOLA APO-01 (Halaman 70-91)
Unduh sekarang "DOKUMEN TATA KELOLA AP..."

Garis besar

Dokumen terkait