DOKUMEN TATA KELOLA PROSES TI MANAGEMENT CONTINUITY BERDASARKAN COBIT 5

(1)

DOKUMEN TATA

KELOLA PROSES TI MANAGEMENT

CONTINUITY

BERDASARKAN COBIT 5

Daniswari 5212100120 Afifa Filliani S 5212100121 Nuke Yulnida A.F. 5212100123 Yuanita Aulia C. 5212100130

TKTI – C

(2)

TABLE OF CONTENTS

Table of Contents ... 1

INTRODUCTION ... 2

MAPPING OF CONTROLS ... 0

MAPPING OF DOCUMENTS ... 7

APPENDIX ... 13

PEDOMAN ... 14

PANDUAN ... 21

KEBIJAKAN ... 26

PROSEDUR ... 43

FORMULIR ... 86

(3)

INTRODUCTION

'Tujuan dari ITSCM adalah untuk mendukung keseluruhan proses Manajemen Business Continuity dengan memastikan bahwa diperlukan fasilitas teknis dan layanan (termasuk sistem komputer, jaringan, aplikasi, repositori data, telekomunikasi, lingkungan, dukungan teknis dan Service Desk) IT dapat dilanjutkan dalam diperlukan, dan setuju, rentang waktu bisnis. "

Sebagai teknologi adalah komponen inti dari proses bisnis yang paling, dilanjutkan atau ketersediaan tinggi TI sangat penting untuk kelangsungan hidup bisnis secara keseluruhan. Hal ini dicapai dengan memperkenalkan langkah-langkah pengurangan risiko dan pilihan pemulihan. Seperti semua unsur ITSM, keberhasilan pelaksanaan ITSCM hanya dapat dicapai dengan komitmen manajemen senior dan dukungan dari semua anggota organisasi. Pemeliharaan dari kemampuan pemulihan sangat penting jika ingin tetap efektif.

Tujuan dari ITSCM adalah untuk mempertahankan kemampuan pemulihan yang diperlukan berlangsung dalam layanan TI dan komponen pendukungnya.

Tujuan adanya ITSCM adalah untuk:

 Menjaga seperangkat IT Service Continuity Rencana dan rencana pemulihan IT yang mendukung keseluruhan Continuity Rencana Bisnis (pil KB) organisasi

 Analisa Dampak Lengkap biasa Bisnis (BIA) latihan untuk memastikan bahwa semua rencana kesinambungan diselenggarakan sejalan dengan perubahan dampak bisnis dan persyaratan

 Melakukan Analisis dan Manajemen Risiko latihan rutin, terutama di hubungannya dengan bisnis dan manajemen Ketersediaan dan proses Manajemen Keamanan, yang mengelola layanan TI dalam tingkat yang disepakati risiko bisnis

 Memberikan saran dan bimbingan untuk semua area lain dari bisnis dan TI pada semua isu continuity- dan pemulihan terkait

 Pastikan bahwa kelangsungan tepat dan mekanisme pemulihan diletakkan di tempat untuk memenuhi atau melampaui target kelangsungan bisnis yang disepakati

 Menilai dampak dari semua perubahan pada Layanan Continuity Rencana IT dan rencana pemulihan IT

 Pastikan bahwa langkah-langkah proaktif untuk meningkatkan ketersediaan layanan diimplementasikan di mana pun itu adalah biaya-dibenarkan untuk melakukannya Negosiasi dan setuju kontrak yang diperlukan dengan pemasok untuk penyediaan

kemampuan pemulihan yang diperlukan untuk mendukung semua kelangsungan

(4)

MAPPING OF CONTROLS

Berikut adalah mapping control yang kami buat untuk DSS 04 – Manage Continuity

No. Proses Aktivitas Kategori

Kontrol

Kebutuhan Kontrol

Kebijakan Prosedur Formulir

04.01

Menentukan kebijakan, tujuan dan

cakupan keberlangsun

gan bisnis

1. Mengidentifikasi proses bisnis dalam dan luar (outsourced) perusahaan serta aktivitas layanan yang penting dalam operasional perusahaan untuk memenuhi hukum dan atau

kewajiban terhadap kontrak

Preventive

KJ-DSS-MC-01R01 : Perencanaan keberlangsungan

Bisnis

PS-DSS-MC-01R01 : Penyusunan rencana keberlangsungan bisnis

FM-DSS-MC-01.01R01: Daftar aset kritis perusahaan FM-DSS-MC-01.02R01: Daftar

aktivitas kritis perusahaan FM-DSS-MC-01.03R01: Daftar

kontrak perusahaan dengan pihak lain

2. Mengidentifikasi stakeholder utama dan peran serta tanggungjawab dalam mendefinisikan dan menyetujui kebijakan dan

cakupan keberlangsungan (kontinuitas)

Preventive

FM-DSS-MC-01.04R01: Daftar peran dan tanggung jawab

stakeholder

FM-DSS-MC-01.05R01: Daftar informasi seputar stakeholder 3. Mendefinisikan dan melakukan dokumentasi

pada tujuan dan cakupan minimal pada kebijakan yang disetujui untuk keberlangsungan bisnis dan menanamkan kebutuhan pada perencanaan keberlangsungan

(kontinuitas) di budaya perusahaan.

Preventive

4. Mengidentifikasi hal dasar pada proses bisnis yang mendukung perusahaan dan hubungan

dengan layanan TI.

Preventive

FM-DSS-MC-01.06R01: Analisis GAP perusahaan FM-DSS-MC-01.07R01: Daftar

layanan TI

(5)

04.02

Melakukan evaluasi manajemen keberlangsung

an bisnis

Mengidentifikasikan skenario yang potensial dimana berisi peristiwa yang

dapat menyebabkan gangguan

Preventive

Perencanaan keberlangsung

an bisnis

MEMPERTAHANKAN STRATEGI KELANGSUNGAN

FM – MC 02.01R01 – Daftar peristiwa potensial menyebabkan gangguan

Melakukan analisis dampak yang akan terjadi terhadap bisnis dan melakukan evaluasi dari gangguan terhadap fungsi

bisnis yang penting

Preventive

FM – MC 02.02R01 –Daftar dampak risiko FM – MC 02.03R01 ––

Penilaian dampak risiko FM – MC 02.11R01 – Prioritas dampak risiko Menetapkan waktu minimum yang

diperlukan untuk memulikan proses bisnis setelah terjadinya gangguan

Preventive

FM-MC 02.05R01 – Waktu minimum pemulihan proses

bisnis.

Melakukan penilaian kemungkinan ancaman yang dapat menyebabkan hilangnya keberlangsungan bisnis dan

melakukan identifikasi tindakan yang akan mengurangi dampak dari

ancaman tersebut

Preventive

FM – MC 02.06R01 – Daftar ancaman

FM – MC 02.07R01 – Tindakan respon ancaman yang terjadi Menganalisis kebutuhan

keberlangsungan bisnis untuk mengidentifikasi teknis strategi dalam

menjalankan bisnis

Preventive

FM – MC 02.04R01 –

Kebutuhan

keberlangsungan bisnis

(6)

Menentukan keputusan dan orang yang bertanggung jawab dalam rencana

keberlangsungan bisnis

Preventive

FM – MC 02.04R01 – Kebutuhan keberlangsungan bisnis FM – MC 02.08R01 –Owner

keputusan kunci Mengidentifikasi kebutuhan sumber

daya dan biaya untuk setiap strategi yang dijalankan

Preventive FM – MC 02.09R01 –

Kebutuhan sumber daya.

Mendapat persetujuan dari pihak eksekutif untuk menjalankan strategi

yang dipilih

Preventive FM-MC 04.02.10 –

Rekomendasi Strategi

04.03

Mereview proses DSS

04.3 yaitu tentang pengembanga

n dan implementasi

respon keberlangsung

an bisnis

Mendefinisikan tindakan respon terhadap insiden dan komunikasi untuk tindakan yang akan diambil

Corrective

Adanya kebijakan yang

mengeatur mengenai pengimpleman

tasian BCP untuk leberlangsung an bisnis pada

perusahaan

IMPLEMENTASI RENCANA KEBERLANGSUNGAN

BISNIS

FM-MC-01R01 Daftar tindakan respon

insiden Mengembangkan dan

mempertahankan BCP yang berisi

prosedur yang harus diikuti Preventive

FM-MC-02R01 Daftar rencana pengukuran

BCP

Memastikan supplier dan partner kunci Preventive

FM-MC-04R01 Daftar supplier dan partner Mendefinisikan kondisi dan prosedur

pemulihan yang akan mengaktifkan kembali proses bisnis

Detective

FM-MC-05R01 Daftar tindakan pemulihan Mendefinisikan dan

mendokumentasikan sumber daya Preventive FM-MC-07R01

(7)

wajib untuk mendukung keberlangsungan dan prosedur

pemulihan

Daftar skill wajib individu

Mendefinisikan dan mendokumentasikan kebutuhan

backup

informasi untuk mendukung rencana keberlangsungan

Preventive

FM-MC-06R01 Daftar Kebutuhan backup

informasi Menentukan skill wajib untuk para

individu yang terlibat dalam eksekusi rencana dan prosedur

Preventive

FM-MC-07R01 Skill wajib individu Mendistribusi rencana dan

dokumentasi pendukung ke pihak yang tepat dan memastikan mereka

telah menerima

Preventive

FM-MC-08R01 Daftar distribusi rencana

dan dokumentasi pendukung

04.04

Mereview proses DSS

04.4 yaitu tentang latihan, pengujian

dan peninjauan

rencana keberlangsun

Mendefinisikan tujuan pengujian rencana bisnis

untuk memverifikasi kelengkapan BCP

Preventive

KEBIJAKAN YANG SESUAI DENGAN

PROSES INI MENGENAI PENILAIAN DAN PENINJAUAN BCP

MENGUJI, TES, DAN REVIEW BCP

FM-MC-01R01 Penentuan Pengujian Rencana

Bisnis

Mendefinsikan pesetujuan dengan stakeholder untuk memvalidasi prosedur

keberlangsungan termasuk peran dan tanggungjawab

Detective

FM-MC-02R01 Persetujuan Dengan Stakeholder

FM-MC-03R01 Peran dan Tanggung Jawab

Stakeholder Membuat penjadwalan aktifitas pengujian

yang didefinsikan dalam BCP

Preventive

FM-MC-04R01 Jadwal Aktivitas Pengujian

(8)

gan bisnis

Melakukan pembekalan pasca latihan dan menganalisis untuk mempertimbangkan

pemberian penghargaan

Detective

FM-MC-05R01 Pembekalan Pasca Latihan Mengembangkan rekomendasi untuk

meningkatkan BCP yang sudah ada berdasarkan pada hasil review

Corrective

FM-MC-06R01 Rekomendasi

Peningkatan BCP

04.05

Melakukan pengelolaan BCP mereview, meningkatkan,

dan mempertahan

kan)

Melakukan review rencana keberlangsungan secara berkala

dengan bedasar pada tujuan operasional dan rencana strategis

bisnis saat ini.

Detective

Penilaian dan peninjauan

BCP

MENINJAU, MEMELIHARA DAN

MENINGKATKAN BCP

FM – MC – 05.01R01 Hasil Review Perencanaan

Mempertimbangkan penilaian dampak bisnis dan melakukan revisi yang

diperlukan

Detective

FM – MC – 02.01R01 – Daftar peristiwa potensial

menyebabkan gangguan FM – MC – 02.06R01 –

Tindakan respon Merekomendasikan dan

mengkomunikasikan perubahan dalam kebijakan, rencana, prosedur,

infrastruktur dan peran serta tanggungjawab manajemen.

Corrective

FM - MC – 05.02R01–

Rekomendasi Perubahan Perencanaan

Meninjau BCP secara berkala untuk

mempertimbangkan perubahan. Detective

FM – MC – 05.03R01 Daftar

kesenjangan BCP

(9)

04.06 Fifa

Melakukan training BCP

Menentukan, merencanakan, & mengelola kebutuhan training bagi yang melakukan BCP,

penilaian dampak, penilaian risiko, media komunikasi dan respon insiden. Memastikan bahwa rencana training mempertimbangkan frekuensi pelatihan dan mekanisme mendeliver

trairing.

Preventive

KJ-DSS-MC- 04R01:

PELATIHAN BCP

PS-DSS-MC-06R01:

MELAKUKAN TRAINING PERENCANAAN KELANGSUNGAN Prosedur perekapan partisipasi staff saat melakukan training

FM-DSS-06.01R01 : Formulir rencana kegiatan training dan list

kebutuhan (ada frekuensinya)

FM-DSS-06.02R01: Formulir kehadiran saat pelatihan

FM-DSS-06.03R01:

Formulir hasil pelatihan dan cakupannya. Form training dibuat

berdasarkan sasaran Mengembangkan kompetensi berdasarkan

praktik training termasuk partisipasi dalam training dan tes.

Preventive

FM-DSS-06.04R01:

Formulir rekapitulasi partisipasi staff dalam training Memantau keterampilan dan kompetensi

berdasarkan training dan hasil tes.

Preventive

FM-DSS-06.05R01:

Formulir penliaian ketrampilan dan kompetensi dengan nilai

pengetahuan pra dan pasca training

04.07 Mengelola peraturan

1. Membuat cadangan untuk sistem, aplikasi, data dan dokumentasi sesuai dengan jadwal

yang sudah ditetapkan

Preventive

KJ-DSS-MC-05R01 : Mengelola

PS-MC-07R01 : PENGELOLAAN

FM-DSS-MC-07.01R01: Daftar aplikasi, data, dan dokumen

(10)

perihal cadangan

(backup)

2. Memastikan bahwa sistem, aplikasi, data dan dokumentasi yang dikelola dan diproses oleh

pihak ketiga memiliki cadangan ataupun terjamin keamanannya. Mempertimbangkan untuk meminta pengembalian cadangan dari

pihak ketiga.

Preventive

peraturan cadangan

CADANGAN

FM-DSS-MC-07.02R01: Daftar pihak ketiga yang bekerjasama

3. Menetapkan persyaratan untuk membuat cadangan penyimpanan data di dalam (on-site) atau di luar (off-site) sesuai dengan kebutuhan bisnis. Mempertimbangkan kebutuhan akses

untuk membuat cadangan data.

Preventive

FM-DSS-MC-07.03R01: Daftar

penyimpanan cadangan

4. Meningkatkan kesadaran akan BCP dan

melakukan pelatihan.

Preventive

KJ-DSS-MC-04R01 : Ujicoba, Pelatihan BCP

PS-DSS-MC-06R01

5. Melakukan pengujian secara periodik dan melakukan pembaharuan pada arsip dan data

cadangan.

Preventive

KJ-DSS-MC-05R01 : Mengelola

peraturan cadangan

PS-DSS-MC-07R01 : PENGELOLAAN

CADANGAN

FM-DSS-MC-07.05R01: Pengujian data cadangan (Backup Testing)

FM-DSS-MC-07.04R01:

Pembaharuan arsip dan data cadangan

04.08 Fifa

Melakukan review pasca

pemulaian kembali

Menilai kepatuhan terhadap BCP yang telah

didokumentasikan.

Detective

Penilaian dan peninjauan

BCP

PS-DSS-MC-08R01:

MELAKUKAN REVIEW PASCA PENGEMBALIAN

FM-DSS-MC-08.01R01: Form penilaian kepatuhan Menentukan efektivitas dari rencana,

kapabilitas keberlangsungan, peran dan tanggung jawab, keterampilan dan kompetensi,

ketahanan terhadap insiden, teknis infrastruktur, dan struktur organisasi dan

hubungan.

Detective

FM-DSS-MC-08.02R01:

Form penilaian efektivitas dan kelemahan BCP Mengidentifikasi kelemahan atau kelalaian

dalam rencana dan kapabilitas dan membuat rekomendasi untuk perbaikan.

Detective

Mendapatkan persetujuan manajemen untuk setiap perubahan rencana dan menerapkan melalui proses perubahan kontrol perusahaan.

Corrective

FM-DSS-MC-08.03R01: Formulir

perubahan BCP

(11)

MAPPING OF DOCUMENTS

Berikut adalah mapping dokumen yang ada pada DSS 04 – Manage Continuity

Berikut adalah pemetaan formulir yang dipunyai oleh masing-masing prosedur

Prosedur 1

(12)

Prosedur 2

(13)

Prosedur 3

Prosedur 4

Prosedur 5

(14)

Prosedur 6

Prosedur 7

Prosedur 8

(15)

Penjelasan :

1. Proses yang ada dalam DSS 04 :

 04.01

 04.02

 04.03

 04.04

 04.05

 04.06

 04.07

 04.08 2. Kebijakan

Kebijakan 1 merupakan kebijakan perencanaan keberlangsungan bisnis Kebijakan 2 merupakan kebijakan pengimplementasian BCP

Kebijakan 3 merupakan kebijakan uji coba dan pelatihan BCP Kebijakan 4 merupakan kebijakan penilaian dan peninjauan BCP Kebijakan 5 merupakan kebijakan mengelola backup

3. Prosedur

1 kebijakan mempunyai 1 atau 2 prosedur yang di ambil dari setiap prosesnya a. Kebijakan 1 mempunyai 2 prosedur :

o Prosedur 1  DSS 04.01 o Prosedur 2  DSS 04.02 b. Kebijakan 2 mempunyai 1 prosedur :

o Prosedur 3  DSS 04.03 c. Kebijakan 3 mempunyai 2 prosedur :

o Prosedur 4  DSS 04.04

o Prosedur 6  DSS 04.06

(16)

d. Kebijakan 4 mempunyai 2 prosedur : a. Prosedur 5  DSS 04.05 b. Prosedur 8  DSS 04.08 e. Kebijakan 5 mempunyai 2 prosedur :

o Prosedur 7

^

DSS 04.07

(17)

APPENDIX

(18)

PEDOMAN

(19)

LOGO

NAMA PERUSAHAAN / ORGANISASI

Nama Departemen . . .

LEMBAR PENGESAHAN

PEDOMAN

Judul : PENGELOLAAN KEBERLANGSUNGAN BISNIS No. Dokumen : PE – DSS – MC – 01R01

Rilis : 00

Revisi : 00

Histori Distribusi :

No Judul Eksemplar Tujuan Distribusi

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

Jabatan ISM Jabatan CISO Jabatan CEO

Tanggal : ………. Tanggal : ………. Tanggal : ……….

HISTORI PERUBAHAN DOKUMEN

(20)

No. Rilis No.

Revisi

Halaman T, M, X* Deskripsi Perubahan

Keterangan :

* T : Penambahan –M : Modifikasi – X: Penghapusan

(21)

PENDAHULUAN

ACUAN

Pedoman ini dibuat berdasarkan pada :

Dasar Hukum Kualifikasi Pelaksana

Keterkaitan Peralatan dan Perlengkapan

Peringatan Pencatatan dan Pendataan:

ACUAN

Adapun pembuatan tata kelola ini mengacu pada : COBIT 5 DSS04 Manage Continuity

BS 25999:2007 Business Continuity Standard

ISO/IEC 20000 Service continuity and availability management ISO/IEC 27002:2011 Business Continuity Management ITIL v3 : IT Service Continuity Management

TUJUAN

Tujuan Indikator Kinerja

04. Mengelola IT yang berkaitan dengan risiko bisnis

% dari proses bisnis yang kritis, layanan TI dan enabled-TI dari program bisnis yang dicover oleh risk assesment

Jumlah dari insiden TI signifikan yang tidak teridentifikasi pada risk assesment.

Frekuensi profile risiko yang terupdate 07. Pengiriman IT service pada

kebutuhan bisnis.

Jumlah gangguan bisnis yang disebabkan oleh insiden layanan TI.

% stakeholder bisnis yang puas terhadap layanan TI

% user yang puas paterhadap kualitas layanan TI 14. ketersediaan informasi untuk

pengambilan keputusan yang reliable dan berguna.

Tingkat kepuasan pengguna bisnis terhadap kualitas dan ketersediaan pegelolaan informasi.

Jumlah insiden proses bisnis yang disebabkan oleh ketidaktersediaan informasi.

Rasio error dari keputusan bisnis diman error atau

(22)

ketidaksediaan informasi menjadi faktornya.

RUANG LINGKUP

Adapun ruang lingkup tata kelola yang dibuat adalah terkait Manajemen Keberlangsungan TI, meliputi : penentuan kebijakan, tujuan dan cakupan keberlangsungan bisnis

pemeliharaan strategi keberlangsungan bisnis

pengembangan dan implementasi respon keberlangsungan bisnis latihan, pengujian dan peninjauan BCP

peninjauan, pemeliharaan dan peningkatan rencana keberlangsungan pelaksanaan training rencana keberlangsungan

pengelolaan pengaturan backup

pelaksanaan review pasca pemulaian kembali

‘

DAFTAR ISTILAH

No Istilah Keterangan

COO Chief Operating Officer

BE Business Executives

BPO Business Process Owner

CRO Chief Risk Officer

HHR Head Human Resources

CO Compliance

AU Audit

CIO Chief Information Officer

HA Head Architect

HD Head Development

HIO Head IT Operations

HIA Head IT Administration

SM Service Manager

BCM Business Continuity Manager

(23)

PROSES BISNIS

STRUKTUR ORGANISASI

(24)

(25)

PANDUAN

(26)

LOGO

NAMA PERUSAHAAN / ORGANISASI

Nama Departemen . . .

LEMBAR PENGESAHAN

PANDUAN

Judul : PENGELOLAAN KEBERLANGSUNGAN BISNIS No. Dokumen : PA – DSS – MC – 01R01

Rilis : 00

Revisi : 00

Histori Distribusi :

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

HISTORI PERUBAHAN DOKUMEN

(27)

No. Rilis No.

Revisi

Halaman T, M, X* Deskripsi Perubahan

Keterangan :

* T : Penambahan –M : Modifikasi – X: Penghapusan

(28)

1.

DESKRIPSI PROSES

Membangun dan mempertahankan rencana untuk memungkinkan bisnis dan TI merespon insiden dan gangguan agar proses operasi bisnis penting dapat berlanjut dan layanan TI yang diperlukan dan mempertahankan ketersediaan akan informasi pada level yang diterima oleh perusahaan.

2. MAKSUD PROSES

Melanjutkan operasi bisnis penting dan mempertahankan ketersediaan informasi pada level yang diterima oleh perusahaan pada saat terjadi gangguan signifikan.

3. TUJUAN & INDIKATOR KERJA

Tujuan Indikator Kerja

Informasi bisnis penting tersedia untuk bisnis sejalan dengan keperluan minimum tingkat pelayanan (service levels)

Presentase layanan TI yang dipenuhi diatas waktu yang diminta

Presentase keberhasilan dan tepat waktu dalam pemulihan dari cadangan atau salinan media alternatif

Presentase cadangan media yang disalurkan dan disimpan dengan aman.

Ketahanan yang cukup untuk layanan yang penting

Jumlah sistem bisnis penting yang tidak tercakup dalam rencana

Tes keberlangsungan layanan telah diverifikasi rencana efektivitas

Jumlah latihan dan tes yang memenuhi tujuan pemulihan

Frekuensi tes Rencana keberlangsungan TI yang

mencerminkan kebutuhan bisnis saat ini

Presentase persetujuan perbaikan rencana yang telah tercantum dalam rencana

Presentase masalah yang telah diidentifikasi yang kemudian telah dibahas dalam rencana

Pihak internal dan ekstelnal telah dilatih dalam rencana keberlangsungan

Presentase stakeholder internal dan eksternal yang mendapatkan training

Presentase masalah yang telah diidentifikasi yang kemudian telah dibahas dalam materi training

(29)

4. PRAKTEK MANAJEMEN KUNCI

Dalam proses mengelola keberlangsunga TI, terdapat 8 manajemen kunci yang melibatkan stakeholder terkait, sebagaimana terlihat pada tabel berikut ini :

Praktek Manajemen Kunci

Fungsi

COO BE BPO CRO HR CO AU CIO HA HD HIO HIA SM BC

Menentukan kelangsungan, kebijakan, tujuan dan cakupan bisnis

A C R C C C R R C R R

Mempertahankan strategi

keberlangsungan A C R I C C R R C R R

Mengembangkan dan mengimplementasikan tanggapan kelangsungan bisnis

I R I C C R C C R A

Melaksanaka, menguji dan

mereview BCP I R I R R C R A

Mereview, menjaga dan meningkatkan perencanaan kelangsungan

A I R I R C R R

Melakukan pelatihan

perencanaan kelangsungan I R R R R R A

Mengelola pengaturan cadangan

^C ^A ^R

Melakukan review pasca

pengembalian C R I R C C R R A

(30)

KEBIJAKAN

(31)

LEMBAR PENGESAHAN

KEBIJAKAN

Judul : PERENCANAAN KEBERLANGSUNGAN BISNIS No. Dokumen : KJ – MC – 01R01

Rilis : 00

Revisi : 00

Histori Distribusi :

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

Jabatan ISM Jabatan CISO Jabatan CEO

(32)

1. IDENTIFIKASI PROSES BISNIS

Dalam mengidentifikasi proses bisnis, perlu diperhatikan hal-hal berikut ini :

a. Deskripsi penjelasan proses bisnis internal serta mempresentasikannya ke bentuk diagram alur yang lebih mudah dipahami

b. Deskripsi penjelasan alih daya (outsourced) yang diperlukan ketika resource internal yang ada di perusahaan tidak dapat menangani proses bisnis perusahaan

c. Deskripsi penjelasan aktivitas layanan yang penting bagi operasional perusahaan atau dibutuhkan untuk legalitas

d. Deskripsi penjelasan kewajiban kontrak 2. IDENTIFIKASI PENANGGUNG JAWAB

Dalam mengidentifikasi penanggung jawab, perlu diperhatikan hal-hal berikut ini :

a. Deskripsi penjelasan kunci pemangku kepentingan dan peran dan tanggung jawab dimana dapat menggunakan beberapa standar dari best practice seperti COBIT 5

b. Deskripsi penjelasan kesepakatan dalam kebijakan kelangsungan dan cakupan.

3. IDENTIFIKASI KEBUTUHAN

Dalam mengidentifikasi kebutuhan, perlu diperhatikan hal-hal berikut ini :

a. Deskripsi penjelasan kesepakatan dalam meminimalkan tujuan kebijakan dan cakupan untuk kelangsungan bisnis dan

b. penanaman kebutuhan untuk perencanaan kelangsungan di budaya perusahaan.

4. IDENTIFIKASI ASET KRITIS

Dalam mengidentifikasi aset kritis, perlu diperhatikan hal-hal berikut ini :

a. Dekripsi penjelasan aset kritis apa saja yang digunakan dalam proses bisnis seperti 1. LAN, WAN, dan server

2. Telekomunikasi dan link komunikasi data 3. Workstation dan workspaces

4. Aplikasi, perangkat lunak, dan data 5. Media dan penyimpanan arsip 6. Tugas-tugas staf dan proses produksi

(33)

5. IDENTIFIKASI LAYANAN TI

Dalam mengidentifikasi layanan TI, perlu diperhatikan hal-hal berikut ini :

a. Deskripsi daftar layanan TI yang digunakan dalam menunjang proses bisnis di perusahaan agar dapat dijaga dari gangguan seperti bencana alam, ulah manusia, dan kerusakan

b. Deskripsi klasifikasi layanan TI yaitu seperti :

1. Critical: Layanan tidak dapat dijalankan tanpa fasilitas yang identik, apalagi manual. Biaya interupsi sangat mahal.

2. Vital: Layanan dapat diganti dengan proses manual tapi tidak bisa lama (max. 5 hari).

3. Sensitive: Layanan dapat diganti dengan proses manual dengan biaya yang tidak terlalu tinggi (tambahan staf, dsb.)

4. Non-sensitive: Layanan dapat dihentikan dengan kerugian kecil.

6. IDENTIFIKASI RUANG LINGKUP

Dalam mengidentifikasi ruang lingkup, perlu diperhatikan hal-hal berikut ini :

a. Melakukan penilaian risiko untuk mengidentifikasi pendukung proses bisnis dan layanan TI yang penting.

7. IDENTIFIKASI SUPPLIER DAN PARTNER

Dalam mengidentifikasi supplier dan partner, perlu diperhatikan hal-hal berikut ini :

a. Deskripsi peran dan tanggung jawab supplier dan partner kunci dalam perencanaan keberlangsungan

8. IDENTIFIKASI SKENARIO POTENSIAL RISIKO

Dalam mengidentifikasi skenario potensial risiko, perlu diperhatikan hal-hal berikut ini :

a. Deskripsi penjelasan beberapa skenario yang berpotensi untuk memunculkan kejadian yang menyebabkan insiden gangguan yang signifikan

9. IDENTIFIKASI DAMPAK ANCAMAN

Dalam mengidentifikasi dampak ancaman, perlu diperhatikan hal-hal berikut ini :

a. Analisis dampak bisnis untuk mengevaluasi dampak dari waktu ke waktu dari gangguan terhadap fungsi bisnis yang penting

b. Analisis dampak bisnis untuk mengevaluasi dampak dari waktu ke waktu dari gangguan terhadap orang-orang yang terkena gangguan.

(34)

10. IDENTIFIKASI WAKTU PERBAIKAN

Dalam mengidentifikasi waktu perbaikan, perlu diperhatikan hal-hal berikut ini :

a. Menetapkan waktu minimal yang dibutuhkan untuk memperbaiki proses bisnis dan dukungan TI berdasarkan batas gangguan bisnis yang bisa diterima dan maksimum toleransi penghentian bisnis.

11. IDENTIFIKASI FREKUENSI MUNCULNYA ANCAMAN

Dalam mengidentifikasi frekuensi munculnya ancaman, perlu diperhatikan hal-hal berikut ini :

a. Melakukan pengukuran frekuensi munculnya ancaman yang bisa menyebabkan kerugian terhadap kelangsungan bisnis

b. Mendeskripsikan tindakan identifikasi yang nantinya akan mengurangi frekuensi kemunculan dan dampak

c. Menyusun rencana peningkatan pencegahan dan pertahanan.

12. IDENTIFIKASI SUMBER DAYA DAN BIAYA

Dalam mengidentifikasi sumber daya dan biaya, perlu diperhatikan hal-hal berikut ini:

a. Deskripsi penjelasan kebutuhan sumber daya pada setiap pilihan strategi teknikal b. Deskripsi penjelasan biaya pada setiap pilihan strategi teknikal

c. Deskripsi rekomendasi strategi sesuai dengan standar yang diacu

(35)

LEMBAR PENGESAHAN

KEBIJAKAN

Judul : PENGIMPLEMENTASIAN BCP

No. Dokumen : KJ – MC - 02R01

Rilis : 00

Revisi : 00

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

(36)

PENGIMPLEMENTASIAN BCP A. Penanggung Jawab

Dalam penanggung jawab, perlu diperhatikan hal-hal berikut ini :

 Komunikasi pada stakeholder seharusnya lebih jelas agar tidak terjadi miss komunikasi yang menyebabkan kerugian

 Alur koordinasi antar stakeholder harus jelas agar semua pekerjaan dapat diselesaikan oleh para ahlinya

 Deskripsi peran dan tanggung jawab yang berhubungan termasuk akuntabilitas untuk kebijakan dan implementasi.

B. Tindakan Respon Terhadap Insiden

Dalam tindakan respon terhadap respon yang perlu diperhatikan adalah sebagai berikut:

 Deskripsi tanggapan dan komunikasi insiden yang harus diambil saat terjadi gangguan.

 Perlu adanya daftar penanganan respon terhadap insiden yang sewaktu-waktu terjadi

 Adanya respon yang cepat terhadap insiden yang ditangani oleh para ahli C. Prosedur Pemulihan

Dalam prosedur pemulihan yang perlu diperhatikan adalah sebagai berikut :

 Deskripsi kondisi dan prosedur pemulihan yang memungkinkan penerusan proses bisnis.

Termasuk pembaruan dan rekonsilisasi dari basis data informasi untuk menjaga integritas informasi.

 Deskripsi prosedur pemulihan dengan mempertimbangkan orang, fasilitas dan infrastruktur TI.

 Prosedur yang sudah terbentuk penting untuk didokumentasikan dengan baik dan dipertahankan

 Hal yang tidak sesuai dengan prosedur yang sudah terbentuk perlu didokumentasikan dengan baik

 Hal yang dianggap akan menurunkan kinerja proses bisnis perlu didokumentasikan dan diidentifikasi tindakan pemulihan untuk memperbaiki kinerja proses bisnis

(37)

D. Alur Komunikasi Stakeholder

Dalam prosedur pemulihan yang perlu diperhatikan adalah sebagai berikut :

 Deskripsi kemampuan individu yang dibutuhkan untuk mengeksekusi perencanaan dan prosedur.

 Sumber daya yang teridentifikasi merupakan adaptasi dari standar best practice ITIL v3 2011

 Perlu diadakan pelatihan personil karena adanya kebutuhan pelatihan personil

 Skill yang dimiliki para staff harus sesuai dengan standar perusahaan dan prosedur yang berlaku

(38)

LEMBAR PENGESAHAN

KEBIJAKAN

Judul : PENILAIAN DAN PENINJAUAN BCP No. Dokumen : KJ - MC– 03R01

Rilis : 00

Revisi : 00

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

(39)

A. PENILAIAN DAN PENINJAUAN SEBELUM IMPLEMENTASI BCP 1. REVIEW PERENCANAAN KEBERLANGSUNGAN

Dalam melakukan review perencanaan keberlangsungan, perlu diperhatikan hal-hal berikut ini :

 Mereview perencanaan kelangsungan dan kapabilitas pada dasar regulasi yang menentang segala asumsi yang dibuat dan operasional bisnis saat ini dan tujuan strategis.

 Mereview perencanaan kelangsungan pada dasar regulasi untuk mempertimbangkan dampak perubahan baru terhadap: organisasi perusahaan, proses bisnis, pengaturan outsourcing, teknologi, infrastruktur, sistem operasi, dan sistem aplikasi. .

2. MENJAGA DAN MENINGKATKAN PERENCANAAN KEBERLANGSUNGAN

Dalam menjaga dan meningkatkan perencanaan keberlangsungan, perlu diperhatikan hal-hal berikut ini :

 Mempertimbangkan apakah revisi penilaian dampak bisnis mungkin dibutuhkan tergantung pada perubahan alami dan revisi yang perlu dilakukan.

 Merekomendasikan dan mengkomunikasikan perubahan dalam kebijakan, perencanaan, prosedur, infrastruktur dan peran serta tanggung jawab untuk mengelola persetujuan dan pengerjaan melalui perubahan proses pengelolaan kepada stakeholder.

 Melakukan penjadwalan untuk meninjau proses kelangsungan bisnis untuk melihat perubahan.

B. PENILAIAN DAN PENINJAUAN SETELAH IMPLEMENTASI BCP 1. REVIEW PASCA IMPLEMENTASI

Dalam melakukan review pasca implementasi, beberapa hal yang perlu diperhatikan adalah sebagai berikut:

 Meninjau kesesuaian perencanaan kelangsungan bisnis dengan implementasi yalng telah dilakukan di perusahaan.

 Menentukan keefektifan perencanaan, kapabilitas kelangsungan, peran dan tanggung jawab, keahlian dan kompetensi, ketahanan terhadap insiden, infrastruktur teknikal dan struktur organisasi dan hubungan.

 Mengidentifikasi kelemahan atau kelalaian dalam perencananaan dan kapabilitas dan membuat rekomendasi untuk peningkatan.

 Mendapatkan persetujuan pengelolaan untuk semua perubahan pada perencanaan dan mengaplikasikannya melalui perubahan proses kontrol perusahaan.

2. PENILAIAN BCP

Dalam melakukan penilaian terhadap proses kelangsungan bisnis, perlu diperhatikan hal-hal berikut ini :

 Mengadaptasi standard best practice

 Mengikuti standar verifikasi dokumen BCP

(40)

 Perlu untuk mendeskripsikan bagaimana verifikasi dilakukan

 Perlu untuk mendeskripsikan bagaimana validasi dilakukan

 Pentingnya mengidentifikasi kesuksesan apa saja yang terjadi setelah pengimplementasian BCP

 Pentingnya mengidentifikasikan penurunan kinerja apa saja yang terjadi setelah pengimplementasian BCP

 Perlu membuat Business Impact Analysis, sebagai tolak ukur keberhasilan BCP

 Prioritas pemenuhan kebutuhan layanan harus diperjelas

 Prioritas penggunaan BCP harus diperjelas

(41)

LEMBAR PENGESAHAN

KEBIJAKAN

Judul : UJI COBA DAN PELATIHAN BCP No. Dokumen : KJ –MC – 04R01

Rilis : 00

Revisi : 00

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

(42)

1. IDENTIFIKASI PENGUJIAN RENCANA BISNIS

Dalam mengidentifikasi pengujian rencana bisnis, perlu diperhatikan hal-hal berikut ini :

a. Mendefinisikan tujuan untuk pelaksanaan bisnis, teknikal, logistik, administratif, procedural dan sistem operasional pada perencanaan untuk memverifikasi kelengkapan BCP dalam peneyesuaian risiko bisnis.

2. PENJADWALAN AKTIVITAS PENGUJIAN

Dalam melakukan penjadwalan aktivitas pengujian, perlu diperhatikan hal-hal berikut ini : a. Menjadwalkan pelaksanaan seperti yang didefinisikan dalam perencanaan kelangsungan.

3. PENGUJIAN BCP

Dalam pengujian BCP, perlu diperhatikan hal-hal berikut ini :

a. Mendefinisikan tujuan untuk pengujian bisnis, teknikal, logistik, administratif, procedural dan sistem operasional pada perencanaan untuk memverifikasi kelengkapan BCP dalam peneyesuaian risiko bisnis.

b. Menentukan peran dan tanggung jawab untuk melaksankan perencanaan pengujian kelangsungan.

c. Menjadwalkan aktivitas pengujian seperti yang didefinisikan dalam perencanaan kelangsungan.

4. REVIEW BCP

Dalam review BCP, perlu diperhatikan hal-hal berikut ini :

a. Melakukan pelaksanaan usai wawancara dan analisis untuk mempertimbangkan pencapaian.

b. Mengembangkan rekomendasi untuk meningkatkan perencanaan kelangsungan saat ini berdasarkan hasil yang telah direview.

c. Mendefinisikan dan mensetujui dengan pemangku kepentingan bahwa pelaksanaan realistis, memvalidasi prosedur kelangsungan dan termasuk peran dan tanggung jawab dan pengaturan penyimpanan data menyebabkan gangguan yang minimal terhadap proses bisnis.

(43)

5. PELATIHAN PERENCANAAN KEBERLANGSUNGAN

Dalam melakukan pelatihan perencanaan keberlangsungan, perlu memperhatikan hal-hal sebagai berikut ini :

a. Mendefinisikan dan menjaga kebutuhan pelatihan dan rencana untuk melakukan perencanaan kelangsungan, penilaian dampak, penilaian risiko, media komunikasi dan tanggapan terhadap insiden.

Memstikan bahwa perencanaan pelatihan mempertimbangkan frekuensi pelatihan dan mekanisme penyampaian pelatihan.

b. Mengembangkan kompetensi berdasarkan pelatihan praktik termasuk partisipasi pada pelaksanaan dan pengujian.

c. Memantau keahlian dan kompetensi berdasarkan hasil pelaksanaan dan pengujian.

(44)

LEMBAR PENGESAHAN

KEBIJAKAN

Judul : PENGELOLAAN CADANGAN (BACKUP) No. Dokumen : KJ – DSS - MC – 05R01

Rilis : 00

Revisi : 00

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

(45)

MENGELOLA DATA CADANGAN A. Daftar Aplikasi dan Data

Dalam mengelola data aplikasi dan data, beberapa hal yang perlu diperhatikan adalah sebagai berikut ini:

 Memastikan system, aplikasi, data dan dokumentasi terjaga atau terproses oleh pihak ketiga yang membuat cadangan dengan sesuai atau aman.

 Proses backup sistem dan aplikasi data harus sesuai dengan penjadwalan backup dan file penting diantaranya

 Frekuensi (bulanan, mingguan, harian dll)

 Model pencadangan ( disk mirroring untuk pencadangan real-time vs DVD-ROM untuk penyimpanan jangka panjang)

 Tipe pencadangan (seluruhnya vs incremental)

 Pencadangan online secara otomatis

 Pembuatan log

 Tipe data (suara,optikal)

 Data komputasi end-user yang penting

 Lokasi sumber data, fisik dan logical

 Keamanan dan hak akses

 Enskripsi B. Daftar Dokumen

Dalam mengelola data dokumen, maka harus diperhatikan sebagai berikut :

 Memastikan system, aplikasi, data dan dokumentasi terjaga atau terproses oleh pihak ketiga yang membuat cadangan dengan sesuai atau aman.

C. Kerjasama dengan Pihak Ketiga

Dalam bekerjasama dengan pihak ketiga, maka harus diperhatikan sebagai berikut :

 Memastikan kontrak perjanjian dengan pihak ketiga penting untuk dilaksanakan untuk menjamin sistem yang dikelola oleh pihak ketiga

 Mempertimbangkan kebutuhan pengembalian dari cadangan dari pihak ketiga. Mengingat wasiat yang disimpan pihak ketiga atau pengaturan deposit.

D. Persyaratan Membuat Cadangan

Dalam membuat persyaratan cadangan, maka harus memperhatikan hal-hal berikutnya

 Penyimpanan backup perlu ditempatkan di lokasi terpisah, dengan kriteria:

(46)

 Terpisah secara geografis (bebas bencana)

 Memiliki fasilitas keamanan (access control)

 Memiliki fasilitas penyimpanan bebas gangguan

 Biaya dan waktu untuk mengakses dapat diterima

 Pemulihan layanan perlu menggunakan fasilitas/cadangan atau secara manual

 Mekanisme untuk meminimalisir gangguan perlu berupa penggunaan:

 UPS (uninterrupted power supply).

 Generator set.

 AC dengan kapasitas berlebih.

 Fire hydrant atau suppressor.

 Detektor asap/api.

 Sensor kelembapan/air.

 Penyimpanan media tahan api dan kedap air.

 Tombol emergency shut down.

 Tempat penyimpanan media off-site.

 Backup rutin dan sering E. Pembaharuan Arsip dan Data Cadangan

Dalam membuat pembaharuan arsip dan data cadangan yang harus memperhatikan sebagai berikut :

 Menentukan kebutuhan untuk penyimpanan data cadangan baik on-site & off-site yang sesuai dengan kebutuhan bisnis dengan mempertimbangkan akses yang dibutuhkan untuk data cadangan.

 Pengujian sacara periodic dan memperbarui arsip dan data cadangan.

(47)

PROSEDUR

(48)

LEMBAR PENGESAHAN

PROSEDUR

Judul : PENYUSUNAN RENCANA KEBERLANGSUNGAN BISNIS No. Dokumen : PS – DSS - MC – 01R01

Rilis : 00

Revisi : 00

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

(49)

3. DESKRIPSI

Mendefinisikan keselarasan kebijakan keberlangsungan bisnis dan ruang lingkup dengan tujuan perusahaan dan stakeholder.

4. STANDAR YANG BERLAKU

2.1 COBIT 5 : DSS04.01 Define the business comtinuity policy, objectives and scope 2.2 ISO/IEC 20000 : 6.3 Service continuity and availability management

2.3 ISO/IEC 270001:2011 : 14. Business Continuity Management 2.4 ITIL V3 2011 : 9. IT Service Continuity Management

5. INDIKATOR KINERJA

a. Mampu mengidentifikasi proses bisnis internal dan eksternal perusahaan b. Mampu mengidentifikasi aset kritis dan aktivitas proses bisnis utama perusahaan c. Menetapkan stakeholder kunci beserta peran dan tanggung jawab tiap stakeholder d. Mampu mengidentifikasi kebutuhan untuk membuat kebijakan keberlangsungan bisnis

e. Mendapat persetujuan untuk membuat kebijakan keberlangsungan bisnis sesuai dengan kebutuhan

f. Mampu mengidentifikasi layanan TI yang berkaitan dengan proses bisnis pendukung 6. MASUKAN

No. Sumber Masukan Jenis Masukan Nomor & Nama Dokumen

1. APO09.03 Service level agreements (SLAs)

(50)

7. KELUARAN

No. Tujuan Keluaran Jenis Keluaran Nomor & Nama Dokumen

1. APO01.04 Kebijakan dan tujuan untuk

keberlangsungan bisnis

2. Internal Skenario insiden gangguan

3. Internal Penilaian kemampuan

keberlangsungan bisnis dan kesenjangan saat ini

FM-MC-06R01: Analisis GAP perusahaan

FM-MC-07R01: Daftar layanan TI

8. PERALATAN & PERLENGKAPAN 6.1 Kertas & Alat Tulis

6.2 Laptop 9. AKTIVITAS

a. Mengidentifikasi proses bisnis dalam dan luar (outsourced) perusahaan serta aktivitas layanan yang penting dalam operasional perusahaan untuk memenuhi hukum dan atau kewajiban terhadap kontrak

i. Business process owner, chief information officer, head IT operation, dan head IT administration mendefinisikan kewajiban terhadap kontrak dan hukum berdasarkan Service Level Agreements (SLAs).

ii. Business process owner, chief information officer, head IT operation, dan business executives mengidentifikasi proses bisnis internal perusahaan.

iii. Business process owner, chief information officer, head IT operation, dan business executives mengidentifikasi proses bisnis eksternal perusahaan.

iv. Business process owner, chief information officer, head IT operation, dan business executives mendefinisikan aktivitas kritis untuk memenuhi kewajiban yang berlaku dengan menggunakan FM-DSS-MC-02R01: Daftar aktivitas kritis perusahaan.

(51)

v. Head IT operation mengidentifikasi aset kritis perusahaan dengan menggunakan FM- DSS-MC-01R01: Daftar aset kritis perusahaan.

vi. Head IT administration mengidentifikasi layanan yang penting bagi operasional perusahaan atau dibutuhkan untuk legalitas dan kewajiban kontrak dengan menggunakan FM-DSS-MC-03R01: Daftar kontrak perusahaan dengan pihak lain.

b. Mengidentifikasi stakeholder utama dan peran serta tanggungjawab dalam mendefinisikan dan menyetujui kebijakan dan cakupan keberlangsungan (kontinuitas)

i. Business process owner mendefinisikan kesepakatan dalam kebijakan kelangsungan dan cakupan.

ii. Chief information officer mengidentifikasi stakeholder kunci bagi perusahaan dengan menggunakan FM-DSS-MC-05R01: Daftar informasi seputar stakeholder.

iii. Chief information officer mengidentifikasi peran dan tanggungjawab setiap stakeholder kunci bagi perusahaan dengan menggunakan FM-DSS-MC-04R01: Daftar peran dan tanggung jawab stakeholder.

c. Mendefinisikan dan melakukan dokumentasi pada tujuan dan cakupan minimal pada kebijakan yang disetujui untuk keberlangsungan bisnis dan menanamkan kebutuhan pada perencanaan keberlangsungan (kontinuitas) di budaya perusahaan.

i. Chief information officer bersama head IT operation mendefinisikan dan mendokumentasikan kebutuhan untuk membuat kebijakan keberlangsungan bisnis ii. Business process owner bertanggungjawab dalam hal menjaga dan merencanakan

strategi keberlangsungan bisnis.

iii. Business process owner bertanggungjawab untuk mendapatkan persetujuan untuk membuat kebijakan keberlangsungan bisnis sesuai dengan kebutuhan.

iv. Pihak internal akan meninjau, menjaga dan meningkatkan perencanaan keberlangsungan bisnis dengan menggunakan

d. Mengidentifikasi hal dasar pada proses bisnis yang mendukung perusahaan dan hubungan dengan layanan TI.

(52)

i. Pihak internal mengidentifikasi proses bisnis yang bergantung pada layanan TI.

ii. Pihak internal menentukan layanan TI yang penting bagi proses bisnis perusahaan dengan menggunakan FM-DSS-MC-07R01: Daftar layanan TI.

iii. Pihak internal melakukan penilaian kemampuan keberlangsungan bisnis saat ini dan kesenjangan yang terjadi dengan menggunakan FM-DSS-MC-06R01: Analisis GAP perusahaan.

ALUR PROSES

Aktivitas 7.1.1

Aktivitas 7.1.2

Aktivitas 7.1.3

Aktivitas 7.1.6 Aktivitas

7.1.5 Aktivitas

7.1.4

Aktivitas 7.2.1

Aktivitas 7.2.2

Aktivitas 7.2.3

Aktivitas 7.3.1 Aktivitas

7.3.3 Aktivitas

7.3.4

Aktivitas 7.4.1

Aktivitas 7.4.2

Aktivitas 7.4.3

(53)

10. FILE TERKAIT

Nomor Dokumen Nama File Dokumen Direktori Penangggung Jawab

Service level agreements (SLAs)

Business Executives (BE), Chief Information Officer (CIO),

Head IT Operations (HIO), Head IT Administration (HIA)

Kebijakan dan tujuan untuk kelangsungan bisnis

Chief Operating Officer (COO),

Chief Financial Officer (CFO),

Business Executives (BE), Strategy Executive Committee (SEC), Chief Risk Officer (CRO), Chief Information Security Officer (CISO), Chief Information Officer (CIO)

Skenario insiden gangguan Internal

FM-DSS-MC-01.06R01 FM-DSS-MC-01.07R01

Analisis GAP perusahaan Daftar layanan TI

Internal

FM-DSS-MC-01.01R01

FM-DSS-MC-01.02R01

FM-DSS-MC-01.03R01

Daftar aset kritis perusahaan

Daftar aktivitas kritis perusahaan

Daftar kontrak perusahaan dengan pihak lain

Internal

FM-DSS-MC-01.04R01 Daftar peran dan tanggung jawab stakeholder

Daftar informasi seputar

Internal

(54)

FM-DSS-MC-01.05R01 stakeholder

(55)

LEMBAR PENGESAHAN

PROSEDUR

Judul : MEMPERTAHANKAN STRATEGI KELANGSUNGAN

No. Dokumen : PS – DSS – MC – 02R01

Rilis : 00

Revisi : 00

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

(56)

11. DESKRIPSI

Mengevaluasi business continuity management yang berlaku, memilih biaya yang efektif dan memilih strategi yang akan memastikan pemulihan dan keberlangsungan perusahaan dalam menghadapi suatu bencana atau kejadian.

12. STANDAR YANG BERLAKU

2.1 BS 25999:2007 : Business Continuity Standard

2.2 ISO/IEC 20000 : 6.3 Service continuity and availability management 2.3 ISO/IEC 270001:2011 : 14. Business Continuity Management 2.4 ITIL V3 2011 : 9. IT Service Continuity Management

13. INDIKATOR KINERJA

3.1 Skenario peristiwa yang menyebabkan gangguan yang teridentifikasi 3.2 Dampak gangguan yang teridentifikasi

3.3 Ketepatan waktu minimum untuk memulihkan proses bisnis 3.4 Ancaman yang berhasil dinilai

3.5 Tindakan untuk mengurangi dampak gangguan yang teridentifikasi 3.6 Kebutuhan keberlangsungan yang berhasil dianalisis

3.7 Owner kunci rencana keberlangsungan bisnis yang teridentifikasi 3.8 Kebutuhan sumber daya dan biaya yang teridentifikasi

3.9 Adanya persetujuan bisnis dari eksekutif untuk strategi yang dipilih

14. MASUKAN

No. Sumber Masukan Jenis Masukan Nomor & Nama Dokumen

1. APO12.06 Penyebab terjadinya risiko yang

berkaitan

Dampak terjadinya risiko

(57)

15. KELUARAN

No. Tujuan Keluaran Jenis Keluaran Nomor & Nama Dokumen

1. APO12.02 Analisis dampak bisnis

2. Internal Kebutuhan keberlangsungan

3. APO02.05 Pilihan strategi yang disetujui

16. PERALATAN & PERLENGKAPAN 6.1 Kertas & Alat Tulis

6.2 Laptop 17. AKTIVITAS

7.1 Mengidentifikasi skenario yang berpotensi untuk memunculkan kejadian yang menyebabkan insiden gangguan yang signifikan.

7.1.1 Business Process Owner, chief information officer, head IT operation dan business continuity manager bertanggungjawab dalam mengidentifikasi skenario potensial berisi peristiwa yang dapat menyebabkan gangguan berserta memitigasi dampak dari gangguan bisnis menggunakan FM – DSS – MC 02.01R01 – Daftar peristiwa potensial menyebabkan gangguan

7.2 Melakukan analisis dampak terhadap bisnis untuk mengevaluasi dampak dari waktu ke waktu dari gangguan terhadap fungsi bisnis yang penting dan efek terhadap mereka yang ditimbulkan gangguan.

7.2.1 Business process owner, chief information officer, head IT operation dan business continuity manager menganalisis dampak bisnis yang berasal dari identifikasi skenario potensial dengan menggunakan FM – DSS – MC 02.02R01 –Daftar dampak risiko

(58)

7.2.2 Business process owner, chief information officer, head IT operation dan business continuity manager mengases dampak bisnis yang telah berhasil diidentifikasi dengan menggunakan FM – DSS – MC 02.03R01 –– Penilaian dampak risiko

7.2.3 Business process owner, chief information officer, head IT operation dan business continuity manager melakukan prioritas dampak risiko dari FM – DSS – MC 02.11R01 – prioritas dampak risiko

7.2.4 Chief operating officer menetapkan apakah analisis dan evaluasi dampak risiko dapat diterima atau memerlukan perlakuan khusus

7.2.5 Keseluruhan aktivitas 7.2.1 – 7.2.3 dilakukan dengan rapat dan harus menghasilkan review rapat dengan menggunakan PE – DSS – MC 01.R01 – Pengelolaan

Keberlangsungan Bisnis

7.3 Menetapkan waktu minimal yang dibutuhkan untuk memperbaiki proses bisnis dan dukungan TI berdasarkan batas gangguan bisnis yang bisa diterima dan maksimum toleransi penghentian bisnis.

7.3.1 Business process owner, chief information officer, head IT operation dan business continuity manager melakukan pengkajian terhadap peristiwa yang dapat menyebabkan gangguan dengan mempertimbangkan hasil dari aktivitas 7.1 dan 7.2

7.3.2 Business process owner dan business continuity manager mendokumetasikan hasil pengkajian menggunakan FM - DSS – MC

02.05R01 – Waktu minimum pemulihan proses bisnis.

7.4 Menilai kemungkinan ancaman yang dapat menyebabkan hilangnya keberlangsungan bisnis dan identifikasi tindakan yang akan mengurangi dampak dari ancaman tersebut

7.4.1 Business process owner, chief information officer, head IT operation dan business continuity manager mengidentifikasi ancaman yang dapat menyebabkan hilangnya keberlangsungan bisnis dengan menggunakan FM – MC 02.06R01 – Daftar ancaman

(59)

7.4.2 Business process owner dan business continuity manager melakukan identifikasi tindakan yang akan mengurangi dampak dari ancaman bedasarkan pada aktivitas 7.4.1 dan

mendokumentasikan hasil identifikasi tindakan dengan menggunakan FM – DSS – MC 02.07R01 – Tindakan respon ancaman yang terjadi

7.5 Menganalisa kebutuhan keberlangsungan untuk mengidentifikasi strategi bisnis dan pilihan teknis.

7.5.1 Business process owner dan business continuity manager menganalisis kebutuhan keberlangsungan bisnis yang berasal dari aktivitas 7.1 – 7.4.

7.5.2 Business process owner dan business continuity manager mendokumentasikan kebutuhan keberlangsungan bisnis dengan menggunakan FM – DSS – MC 02.04R01 – Kebutuhan keberlangsungan bisnis.

7.6 Menentukan kondisi dan owner dari keputusan kunci dalam rencana keberlangsungan bisnis 7.6.1 Business process owner dan business continuity manager menentukan kondisi dan

owner dari keputusan kunci dalam rencana keberlangsungan bisnis bedasarkan pada kebutuhan kebelangsungan pada aktivitas 7.5

7.6.2 Business process owner dan business continuity manager mendokumentasikan kondisi dan owner dari keputusan kunci dengan menggunakan FM – DSS – MC 02.08R01 – Owner keputusan kunci

7.7 Mengidentifikasi kebutuhan sumber daya dan biaya untuk setiap strategi teknikal dan membuat rekomendasi strategi.

7.7.1 Business process owner dan managemen melakukan perhitungan sumber daya

mencakup sumber daya pendanaan untuk setiap strategi teknikal dengan menggunakan FM – DSS – MC 02.09R01 – Kebutuhan sumber daya.

7.7.2 Business process owner dan managemen membuat rekomendasi strategi bedasar pada hasil perhitungan sumber daya dengan menggunakan FM – DSS – MC 02.10R01 – Rekomendasi Strategi.

7.8 Mendapatkan persetujuan dari eksekutif bisnis untuk pilihan startegi yang terpilih.

(60)

7.8.1 Business process owner dan managemen mengajukan strategi yang dipilih ke chief operating officer dengan menggunakan FM - DSS – MC 04.02.10 – Rekomendasi Strategi 18. FILE TERKAIT

Nomor Dokumen Nama File Dokumen Direktori Penanggung Jawab

PE – DSS – MC – 01.R01 Pengelolaan Keberlangsungan Bisnis

Business Process Owner

FM – DSS – MC – 02.01R01 Daftar peristiwa potensial menyebabkan gangguan

FM – DSS – MC – 02.02R01 Daftar dampak risiko Business Process Owner

FM – DSS – MC – 02.03R01 Penilaian dampak risiko Business Process Owner FM – DSS – MC – 02.04R01 Waktu minimum pemulihan

proses bisnis

FM – DSS – MC – 02.05R01 Daftar ancaman Business Process Owner

FM – DSS – MC – 02.06R01 Tindakan respon ancaman yang terjadi

FM – DSS – MC – 02.07R01 Kebutuhan keberlangsungan bisnis

FM – DSS – MC – 02.08R01 Owner keputusan kunci Business Process Owner

FM – DSS – MC – 02.09R01 Kebutuhan sumber daya Business Process Owner

FM – DSS – MC – 02.10R01 Rekomendasi Strategi Business Process Owner

FM – DSS – MC – 02.11R01 Prioritas Risiko Business Process Owner

(61)

LEMBAR PENGESAHAN

PROSEDUR

Judul : IMPLEMENTASI RENCANA KEBERLANGSUNGAN BISNIS No. Dokumen : PS-MC-03R01

Rilis : 00

Revisi : 00

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

(62)

19. DESKRIPSI

Mengembangkan business continuity plan (BCP) berdasarkan strategi yang mendokumentasikan prosedur dan informasi dalam kesiapan untuk digunakan dalam sebuah insiden yang memungkinkan perusahaan untuk melanjutkan kegiatan yang kritis.

2.1 ITIL V3 2011 : 9. IT Service Continuity Management

2.2 COBIT 5 : DSS04.02 Develop and Implement a Business Continuity Response 21. INDIKATOR KINERJA

3.1 Jumlah tindakan respon terhadap insiden yang teridentifikasi 3.2 Supplier kunci dan partner yang teridentifikasi

3.3 Prosedur pemulihan terhadap insiden yang teridentifikasi

3.4 Sumber daya untuk mendukung proses keberlangsungan bisnis yang terindentifikasi 3.5 Kebutuhan backup informasi yang berhasil didokumentasi

3.6 Adanya daftar skill wajib untuk para individu yang terlibat 3.7 Rencana dan dokumentasi yang telah terdistribusi 22. MASUKAN

No. Sumber Masukan Jenis Masukan Nomor & Nama Dokumen

1. Business Process Owners (BPO), Chief Information Officer (CIO), Head IT Operations (HIO), Head IT Administration (HIA)

OLAs COBIT 5 APO09.03 Menentukan

dan mempersiapkan kesepakatan layanan 2. Ketua Jurusan Sistem Informasi Operating Service Agreeman

(63)

23. KELUARAN

No. Tujuan Keluaran Jenis Keluaran Nomor & Nama Dokumen

1 INTERNAL DAFTAR AKTOR DAN PERAN

SESUAI BCP

2 Ketua Program Studi S1 dan S2 Tindakan repson terhadap insiden yang terjadi 3 Kepala Program Studi S1 dan S2 Business Continuity Plan

7.1 Mendefinisikan tindakan respon terhadap insiden dan komunikasi untuk tindakan yang akan diambil

7.1.1 Kepala studi S1 dan S2, Koordinator IS Net dan Teknisi IS Net mendefinisikan tindakan respon terhadap insiden dari hasil identifikasi insiden yang mungkin terjadi dengan menggunakan FM-DSS-MC-01R01 – Tindakan respon insiden

7.1.2 Kepala studi S1 dan S2, Koordinator IS Net dan Teknisi IS Net mengidentifikasi alur komunikasi dari tindakan yang akan diambil dengan menggunakan FM-DSS- MC-01R01 – Tindakan respon insiden

7.1.3 Kepala studi S1 dan S2, Koordinator IS Netdan Teknisi IS Net harus melakukan pembahasan penyediaan sumber daya dengan menggunakan FM-DSS-MC-07R01 – Skill wajib individu

7.2 Mengembangkan dan mempertahankan BCP yang berisi prosedur yang harus diikuti

7.2.1 Ketua Jurusan Sistem Informasi membuat rencana pengukuran keefektifan BCP sehingga dapat dievaluasi dengan menggunakan FM-DSS-MC-02R01– Rencana pengukuran BCP

(64)

7.2.2 Ketua Jurusan Sistem Informasi menyusun tindakan mengembangkan dan mempertahankan BCP bedasarkan pada hasil aktivitas 7.2.1 dengan menggunakan FM-DSS-MC-03R01 –Tindakan mengembangkan dan mempertahankan BCP

7.3 Memastikan supplier dan partner kunci

7.3.1 Kepala studi S1 dan S2 menentukan supplier dan partner kunci dari dalam rencana keberlangsungan bisnis bedasarkan pada aktivitas 7.1 dan 7.2

7.3.2 Kepala studi S1 dan S2 mendokumentasikan supplier dan partner kunci dengan menggunakan FM-DSS-MC-04R01 – Supplier dan partner kunci

7.4 Mendefinisikan kondisi dan prosedur pemulihan yang akan mengaktifkan kembali proses bisnis

7.4.1 Ketua Jurusan Sistem Informasi mendefinisikan kondisi dan prosedur pemulihan bedasarkan pada hasil identifikasi peristiwa yang dapat menyebabkan gangguan 7.4.2 Ketua Jurusan Sistem Informasi mendokumentasikan prosedur pemulihan dengan

menggunakan FM-DSS-MC-05R01 – Tindakan pemulihan

7.5 Mendefinisikan dan mendokumentasikan sumber daya wajib untuk mendukung keberlangsungan dan prosedur pemulihan

7.5.1 Ketua Jurusan Sistem Informasi melakukan mendefinisikan dan mendokumentasi sumber daya untuk mendukung keberalangsungan dan prosedur pemulihan 7.6 Mendefinisikan dan mendokumentasikan kebutuhan backup informasi untuk mendukung

rencana keberlangsungan

7.6.1 Kepala studi S1 dan S2, Koordinator IS Net dan Teknisi IS Net harus mendefinisikan dan mendokumentasikan kebutuhan backup informasi untuk mendukung rencanan keberlangsungan dengan menggunakan FM-DSS-MC-06R01 –Kebutuhan back up informasi

7.7 Menentukan skill wajib untuk para individu yang terlibat dalam eksekusi rencana dan prosedur

(65)

7.7.1 Ketua Jurusan Sistem Informasi menentukkan skill wajib para individu yang terlibat dalam eksekusi rencana dan prosedur bedasarkan pada kebutuhan dalam rencana dan prosedur dengan menggunakan FM-DSS-MC-07R01 – Skill wajib individu

7.7.2 Ketua Jurusan Sistem Informasi harus menyerahkan dokumentasi skill wajib ke kasubbag.

7.8 Mendistribusi rencana dan dokumentasi pendukung ke pihak yang tepat dan memastikan mereka telah menerima

7.8.1 Koordinator IS Net mendistribusikan rencana dan dokumentasi pendukung ke pihak yang tepat

26. FILE TERKAIT

Nomor Dokumen Nama File Dokumen Direktori Penanggung Jawab

FM-DSS-MC-01R01 Tindakan respon insiden Ketua Jurusan Sistem

Informasi

FM-DSS-MC-02R01 Rencana pengukuran BCP Ketua Jurusan Sistem

Informasi FM-DSS-MC-03R01 Tindakan mengembangkan

dan mempertahankan BCP

Ketua Jurusan Sistem Informasi

FM-DSS-MC-04R01 Supplier dan partner Ketua Jurusan Sistem

Informasi

FM-DSS-MC-05R01 Tindakan pemulihan Ketua Jurusan Sistem

Informasi FM-DSS-MC-06R01 Kebutuhan backup

informasi

FM-DSS-MC-07R01 Skill wajib individu Ketua Jurusan Sistem

Informasi FM-DSS-MC-08R01 Distribusi rencan dan

dokumentasi pendukung

(66)

LEMBAR PENGESAHAN

PROSEDUR

Judul : MENGUJI, TES, DAN REVIEW BCP No. Dokumen : PS-MC-04R01

Rilis : 00

Revisi : 00

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

(67)

27. DESKRIPSI

Pengujian pengaturan kelangsungan dalam sebuah basis regulasi untuk melaksanakan perencanaan pemulihan yang sudah ditentukan hasilnya dan mengijinkan solusi yang inovatif untuk

mengembangkan dan membantu dalam meverifikasi dari waktu ke waktu dimana perencanaan akan bekerja seperti antisipasi.

2.1 ITIL V3 2011 : 9. IT Service Continuity Management 2.2 COBIT 5 : DSS04.04 Exercise, test and review the BCP 29. INDIKATOR KINERJA

3.1 Tujuan rencana bisnis yang teridentifikasi

3.2 Persetujuan dengan stakeholder yang teridentifikasi 3.3 Peran dan tanggung jawab stakeholder yang teridentifikasi 3.4 Jadwal aktivitas pengujian yang ditetapkan

30. MASUKAN

No. Sumber Masukan Jenis Masukan Nomor & Nama Dokumen

1. Internal Kebutuhan Strategi Bisnis

31. KELUARAN

No. Tujuan Keluaran Jenis Keluaran Nomor & Nama Dokumen

1. Internal PENGUJIAN TUJUAN,

PELAKSANAAN & REKOMENDASI 2 Ketua Jurusan Sistem Informasi Persetujuan Strategis

(68)

7.1 Mendefinisikan tujuan pengujian rencana bisnis untuk memverifikasi kelengkapan BCP

7.1.01 Kepala program studi S1 dan S2 dan ketua jurusan Sistem Informasi mendefinisikan tujuan pengujian rencana bisnis, teknikal, logistik, administratif, prosedur dan sistem operasional untuk memeverifikasi kelengkapan BCP dengan menggunakan FM-DSS-MC-01R01– Penentuan Pengujian Rencana Bisnis

7.2 Mendefinsikan pesetujuan dengan stakeholder untuk memvalidasi prosedur keberlangsungan termasuk peran dan tanggungjawab

7.2.01 Kepala program studi S1 dan S2 dan ketua jurusan Sistem Informasi menentukan dan menyepakati untuk memvalidasi prosedur keberlangsungan bisnis, termasuk peran dan tanggung jawab dengan menggunakan FM-DSS-MC- 02R01 –Persetujuan Dengan Stakeholder

7.2.02 Kepala program studi S1 dan S2 dan ketua jurusan Sistem Informasi menetapkan peran dan tanggungjawab untuk mengimplementasikan rencana keberlangsungan dengan menggunakan FM-DSS-MC-03R01 – Peran dan Tanggung Jawab Stakeholder

7.3 Membuat penjadwalan aktifitas pengujian yang didefinsikan dalam BCP

7.3.01 Ketua Jurusan Sistem Informasi membuat jadwal pengujian aktivitas seperti yang telah ditetapkan pada BCP dengan menggunakan FM-DSS-MC-04R01 – Jadwal Aktivitas Pengujian

7.4 Melakukan pembekalan pasca latihan dan menganalisis untuk mempertimbangkan pemberian penghargaan

7.4.01 Ketua Jurusan Sistem Informasi memberikan pembekalan pasca latihan kepada karyawan dengan menggunakan FM-DSS-MC-05R01 – Pembekalan Pasca Latihan 7.5 Mengembangkan rekomendasi untuk meningkatkan BCP yang sudah ada bedasarkan pada

hasil review

(69)

7.5.01 Ketua Jurusan Sistem Informasi melakukan pengembangan rekomendasi untuk meningkatkan rencana keberlangsungan bisnis yang ada berdasarkan hasil dari review dengan menggunakan FM-DSS-MC-06R01 –