Table of Contents - LMS-SPADA INDONESIA

(1)

(2)

Introduction

Tata Kelola TI adalah sebuah struktur kebijakan atau prosedur dan kumpulan proses yang bertujuan untuk memastikan kesesuaian penerapan TI dengan dukungannya terhadap pencapaian tujuan peusahaan dengan mengoptimalkan keuntungan dan kesempatan yang ditawarkan oleh TI dan mengelola risiko TI yang terkait. Dokumen Tata Kelola Proses TI berikut merupakan sebuah standar pendokumentasian dalam penata kelolaan sebuah proses TI.

Dokumen Tata Kelola Proses TI ini berfokus pada salah satu proses pada COBIT 5 yaitu DSS06 (Delive Support Service), Manage Business Process Control yang membahas mengenai pendefinisian dan kontrol proses bisnis yang tepat dalam memastikan informasi yang terkait oleh dan dalam internal bisnis dan bisnis outsourced telah memenuhi semua persyaratan kontrol informasi yang relevan. Tujuan proses TI dalam dokumen tata kelola TI berikut adalah mengenai cakupa dan efektivitas pengendalian kunci dalam memenuhi persyaratan bisnis untuk memproses informasi yang lengkap, pengelolaan peran dan tanggung jawab, keselarasan hak akses serta autoritas dalam kebutuhan bisnis proses TI. Sedangkan tujuan dari pembuatan dokumen tata kelola proses TI ini adalah untuk menjadi sebuah standar atau acuan bagi perusahaan dalam mengelola proses TI khususnya dalam penyampaian dukungan layanan TI untuk pengelolaan kontrol proses bisnisnya.

Dokumen Tata Kelola Proses TI ini terdiri dari beberapa bagian utama yaitu pemetaan kontrol, pemetaan dokumen dan appendix yang terdiri dari kebijakan, prosedur dan formulir.

Standard yang digunakan dalam pemetaan kontrol dan pemetaan dokumen adalah COBIT5 pada proses DSS06 Manage Business Process Control. Dimana pemetaan kontrol adalah sebuah pendefinisan dari masing masing proses dan key management practices dalam standard tersebut untuk memetakan setiap aktivitas dan kontrol aktivitasnya. Pemetaan dokumen adalah sebuah pendefinisian dari keseluruhan kebutuhan dokumen yang akan dibuatkan tata kelola proses TI nya. Dalam pemetaan dokumen akan diidentifikasi dan di petakan masing masing kebijakan, prosedur dan formulir dari setiap key management practices yang ada pada COBIT 5 DSS06 Manage Business Process Control. Dan diakhir dokumen tata kelola proses TI ini akan dilampirkan sebuah kebijakan, prosedur dan formulir yang dibuat berdasarkan standar COBIT 5 DSS06 Manage Business Process Control.

Hirarki pendokumentasian untuk dokumen tata kelola proses TI ini secara berurutan adalah terdiri dari Kebijakan, Prosedur dan Formulir. Kebijakan mendeskripsikan sebuah aturan atau kebijakan yang dibuat oleh sebuah perusahaan dalam melaksanakan sebuah prosedur kegiatan. Sedangkan prosedur adalah penjelasan langkah lankah dalam melakukan kegiatan proses TI yang terdiri dari beberapa aktor secara terstruktur. Dan Formulir merupakan dokumen pendukung untuk melakukan kegiatan prosedur tertentu.

Tata kelola TI merupakan bidang yang tidak terpisah dari pengelolaan perusahaan dan termasuk dari bagian komponen pengelolaan perusahaan secara keseluruhan, sehingga dengan dokumen tata kelola proses TI ini diharapkan sebuah penata kelolaan TI yang lebih baik dalam memastikan kinerja TI sesuai dengan tujuan atau proses TI dalam mendukung proses bisnis perusahaan.

(4)

Mapping of Controls

DSS06: Manage Business Process Controls

Aktivitas mendefinisikan dan memelihara kontrol proses bisnis yang tepat untuk memastikan bahwa informasi yang terkait dan yang diproses oleh organisasi atau proses yang didapatkan secara outsource memenuhi semua persyaratan kontrol informasi yang relevan. Selain itu juga mengidentifikasi persyaratan kontrol informasi yang relevan, mengelola dan mengoperasikan kontrol yang memadai untuk memastikan bahwa informasi dan pengolahan informasi memenuhi persyaratan ini. Tujuannya adalah untuk menjaga integritas informasi dan keamanan aset informasi yang ditangani dalam proses bisnis di perusahaan atau yang dilakukan secara outsourcing.

DSS06.01 – Align Control Activities Embedded in Business Processes with Enterptise Objectives

Management Practice

Secara terus-menerus menilai dan memantau pelaksanaan dari kegiatan-kegiatan yang termasuk ke dalam proses bisnis dan kontrol terkait, berdasarkan risiko perusahaan, untuk memastikan bahwa kontrol pengolahan selaras dengan kebutuhan bisnis.

Activities & Controls

A. Mengidentifikasi dan mendokumentasikan aktivitas-aktivitas kontrol dari proses bisnis yang menjadi kunci untuk memenuhi persyaratan kontrol untuk strategis, operasional, pelaporan, dan pemenuhan tujuan

1. Memastikan semua aktivitas-aktivitas kontrol dari proses bisnis didokumentasikan secara berkala

2. Melakukan review dan update dokumen sesuai dengan kebutuhan perusahaan

3. Memastikan bahwa perubahan dan revisi dokumen dicatat dan terekam dengan baik 4. Memastikan bahwa versi dokumen yang tersedia adalah versi yang relevan dan yang

terbaru

5. Memastikan bahwa dokumen tetap dapat dibaca dan mudah untuk diidentifikasi

B. Memprioritaskan kegiatan pengendalian berdasarkan pada risiko yang melekat pada bisnis dan mengidentifikasi kontrol utama

1. Mengidentifikasi risiko-risiko yang mungin terjadi terkait dengan proses bisnis 2. Membuat prioritas berdasarkan risiko yang telah diidentifikasi

3. Mengidentifikasi dan mengevaluasi pilihan-pilihan kontrol yang dapat dilakukan C. Memastikan kepemilikan serta tanggung jawab dari kegiatan-kegiatan utama

1. Mengidentifikasi kegiatan-kegiatan utama perusahan

2. Mengidentifikasi pembagian kerja dan tanggung jawab yang dibutuhkan perusahaan 3. Memastikan bahwa setiap kegiatan utama memiliki penanggung jawab yang jelas D. Secara terus-menerus memantau kegiatan pengendalian utama yang dilakukan secara end-to-end

untuk mengidentifikasi peluang perbaikan yang dapat dilakukan

1. Mengevaluasi kegiatan pengendalian utama untuk memastikan apakah sudah dijalankan sesuai dengan rencana

2. Mengidentifikasi sebab-sebab kekurangan dari kegiatan pengendalian utama yang telah dilakukan

3. Mengidentifikasi dan mengimplementasikan peluang perbaikan yang dapat dilakukan E. Secara terus-menerus meningkatkan desain dan operasi pengendalian bisnis

1. Mengevaluasi desain dan operasi dari pengendalian bisnis yang telah dilakukan

(5)

2. Mengidentifikasi sebab-sebab kekurangan dari desain dan operasi yang telah dilakukan 3. Mengidentifikasi dan mengimplementasikan tindakan perbaikan yang dapat dilakukan

DSS06.02 – Control the Processing of Information

Management Practice

Mengoperasikan pelaksanaan kegiatan proses bisnis dan kontrol-kontrol yang terkait, berdasarkan risiko perusahaan, untuk memastikan bahwa pengolahan informasi yang valid, lengkap, akurat, tepat waktu, dan aman (yaitu, mencerminkan sah dan resmi penggunaan bisnis). Pada aktivitas ini menghasilkan dokumen berupa laporan proses kontrol yang dijalankan di organisasi tersebut ditujukan untuk internal organisasi.

A. Membuat transaksi yang dilakukan oleh pengguna yang berwenang dan mengikuti prosedur yang telah ditetapkan, termasuk di dalamnya, bila sesuai, pembagian tugas yang memadai mengenai asal-usul dan persetujuan transaksi tersebut

1. Mendefinisikan semua transaksi yang dapat dilakukan pengguna 2. Mengidentifikasi dan mendefinisikan wewenang yang dimiliki pengguna

3. Menentukan dan melakukan review secara berkala prosedur yang berkaitan dengan transaksi yang dapat dilakukan pengguna

4. Mengklasifikasi transaksi yang dapat dilakukan pengguna berdasarkan nilai transaksi, sensitivtas, dan kepentingan terhadap perusahaan

5. Memastikan bahwa kebutuhan keamanan transaksi dipenuhi sebelum memberikan akses pada pengguna untuk melakukan transaksi

B. Melakukan autentifikasi pada pengguna transaksi dan memverifikasi bahwa dia memang pengguna yang memiliki wewenang dari transaksi tersebut

1. Mengidentifikasi dan mendefinisikan wewenang yang dimiliki pengguna

2. Memastikan bahwa pengguna hanya dapat melakukan transaksi sesuai dengan wewenang yang dimilikinya

3. Membuat prosedur mengenai proses persetujuan atau penolakan permintaan transaksi yang dapat diajukan oleh pengguna

4. Mengevaluasi wewenang pengguna secara berkala

C. Memasukkan catatan transaksi secara berkala, kemudian melakukan verifikasi bahwa transaksi tersebut akurat, lengkap, dan valid. Data yang dimasukkan juga harus diverifikasi, dan jika diperlukan juga bisa melakukan validasi dengan mengirimkannya ke pihak yang berwenang sebagai tindakan koreksi

1. Mendokumentasikan seluruh transaksi yang dilakukan oleh pengguna

2. Melakukan verifikasi pada setiap transaksi yang dilakukan oleh pengguna, apakah transaksi tersebut akurat, lengkap, dan valid

3. Mengevaluasi dan melakukan review catatan dokumentasi transaksi yang dilakukan oleh pengguna secara berkala

D. Membenarkan dan mengirimkan kembali data yang salah ketika melakukan input tanpa mengorbankan data yang asli. Apabila dibutuhkan untuk melakukan tindakan rekonstruksi, kita bisa mempertahankan sumber data yang asli untuk waktu tertentu

1. Memvalidasi data yang akan digunakan dalam sebuah transaksi apakah data merupakan data yang benar dan sesuai

2. Membuat prosedur perubahan data sebelum transaksi dilakukan

3. Memastikan data sudah dikoreksi dan dibenarkan sebelum transaksi dilakukan jika ditemukan kesalahan pada data tersebut

4. Menyimpan kembali data yang telah dikoreksi atau yang dibenarkan

5. Merekam dan mendokumentasikan seluruh aktivitas membenarkan dan mengirimkan kembali data-data yang dianggap salah

(6)

E. Menjaga integritas dan validitas data sepanjang siklus pengolahan. Memastikan bahwa deteksi pada transaksi yang salah tidak mengganggu proses transaksi yang valid

1. Memastikan bahwa data yang dimasukkan ketika transaksi telah divalidasi untuk memastikan bahwa data benar dan sesuai

2. Melakukan cek validasi untuk mendeteksi data yang bersifat korup yang dikarenakan ada kesalahan ketika proses dijalankan maupun karena adanya kesengajaan

F. Menjaga integritas data selama gangguan tak terduga terjadi dalam menjalankan proses bisnis dan mengkonfirmasi integritas data setelah melakukan pengolahan kegagalan

1. Membuat prosedur yang menangani jika terjadi gangguan pada berjalannya proses bisnis

2. Memastikan bahwa prosedur yang telah dibuat dijalankan ketika muncul gangguan yang tidak terduga

3. Menyediakan back-up data untuk menjaga integritas data ketika muncul gangguan pada proses bisnis

4. Memastikan bahwa data yang dikirimkan melalui transaksi merupakan data yang benar, sesuai dan tetap terjaga integritasnya

G. Menangani hasil luaran secara resmi, menyampaikan kepada penerima yang sesuai dan melindungi informasi selama transmisi. Melakukan verifikasi keakuratan dan kelengkapan output

1. Melakukan validasi pada data output untuk memastikan bahwa proses transaksi telah berjalan dengan benar dan sesuai dengan keadaan

H. Sebelum melewati transaksi data antara aplikasi internal dan bisnis/fungsi operasional (di dalam atau di luar perusahaan), diperiksa apakah penanganan telah tepat dilakukan, autentikasi dari asal-usul dan konten data, menjaga keaslian dan integritas selama dilakukannya proses transaksi

1. Memastikan bahwa data yang digunakan/dimasukkan dalam setiap transaksi adalah data yang benar dan sesuai

2. Memastikan asal-usul data sebelum data digunakan di dalam sebuah transaksi 3. Memastikan bahwa data terjaga integritasnya selama transaksi dijalankan

DSS06.03 – Manage Roles, Responsibilities, Access, Privileges and Levels of Authority

Management Practice

Mengelola peran dalam bisnis, tanggung jawab, tingkat kewenangan dan pemisahan tugas yang dibutuhkan untuk mendukung aset informasi yang berkaitan dengan proses bisnis, IT dan pihak ketiga serta memastikan bahwa data berada pada lokasi yang tepat ditangani oleh penanggung jawab yang tepat.

Pada aktivitas ini akan dihasilkan dokumen mengenai alokasi peran dan tanggung jawab serta alokasi tingkat autoritas yang nantinya akan digunakan pada proses APO01.02.

Mengahasilkan dokumen alokasi mengenai kebenaran akses yang akan digunakan pada proses APO07.04.

A. Mengalokasikan peran dan tanggung jawab berdasarkan deskripsi kerja yang telah disetujui dan mengalokasi aktivitas proses bisnis

1. Memastikan deskripsi pembagian kerja sudah jelas dan menyeluruh untuk semua aktivitas proses bisnis

2. Memastikan adanya pembagian peran dan tanggung jawab yang jelas dan relevan untuk setiap aktivitas proses bisnis

3. Memastikan pembagian peran dan tanggung jawab disetiap aktivitas kerja sudah berjalan dan sesuai dengan prosedur

(7)

4. Memastikan adanya prosedur dan kebijakan yang mengatur pembagian peran kerja disetiap aktivitas proses bisnis

B. Mengalokasikan tingkatan autoritas untuk persetujuan sebuah transaksi, limitasi dan keputusan lainnya yang berhubungan dengan proses bisnis, berdasarkan dari peranan kerja yang telah disetujui

1. Memastikan adanya autorisasi dan autentikasi disetiap transaksi yang ada dalam proses bisnis perusahaan

2. Memastikan bahwa setiap kegiatan transaksi dalam proses bisnis yang dilakukan oleh penanggung jawab atau peran tertentu tercatat dengan baik

3. Memastikan setiap persetujuan dalam transaksi telah memiliki diskripsi tingkatan autoritas yang jelas sebagai limitasi dari persetujuan transaksi yang sepihak

4. Melakukan evaluasi untuk memastikan kegiatan persetujuan untuk setiap transaksi sudah dilakukan oleh penanggung jawab atau peran yang sesuai dengan deskripsi tingkatan autoritasnya

C. Mengalokasikan hak akses berdasarkan apa yang dibutuhkan dalam melakukan aktivitas kerja sesuai dengan peran kerja yang telah ditentukan. Menghapus dan merevisi segera jika perubahan peran kerja atau anggota staf keluar dari area kerjanya dalam proses bisnis.

Peninjauan secara berkala untuk memastikan bahwa akses telah sesuai untuk ancaman yang ada saat ini, risiko dan teknologi serta kebutuhan bisnis

1. Memastikan pembagian peran dalam kegiatan proses bisnis telah jelas teridentifikasi dan telah berjalan sesuai dengan prosedurnya

2. Memastikan adanya pembagian hak akses dalam setiap kegiatan transaksi dalam proses bisnis yang sesuai dengan deskripsi pembagian kerja

3. Memastikan adanya prosedur verifikasi dan validasi untuk setiap akses terhadap sistem maupun informasi tertentu

3. Melakukan dokumentasi dan evaluasi terhadap ketepatan pembagian hak akses apakah telah sesuai dengan kebutuhan akses keamanan, teknologi yang ada dan risikonya 4. Merevisi dan menghapus atau menghilangkan hak akses terhadap staf tertentu yang

telah keluar dari perannya dalam aktivitas transaksi proses bisnis

D. Mengalokasikan peran untuk kegiatan yang bersifat sensitif sehingga ada pemisahan peran kerja yang jelas

1. Memastikan adanya pendefinisian pembagian peran yang mendetail untuk kegiatan transaksi yang bersifat khusus

2. Memastikan adanya prosedur dan kebijakan yang mengatur pembagian peran kerja E. Memberikan kesadaran dan pelatihan tentang peran dan tanggung jawab secara teratur

sehingga setiap orang memahami tanggung jawab mereka, dan juga mengenai pentingnya sebuah kontrol untuk menjaga Integritas, kerahasiaan dan privasi informasi perusahaan dalam segala bentuk

1. Mengkomunikasikan dengan jelas dan menyeluruh mengenai deskripsi kerja, peran dan tanggung jawab yang diterapkan dalam perusahaan

2. Melakukan pelatihan untuk memberikan pencerdasan dan meningkatkan kesadaran mengenai pentingnya integritas, kerahasiaan dan privasi informasi dalam perusahaan dalam segala bentuk

3. Melakukan evaluasi berkala dan menetapkan punishment untuk setiap pelanggaran prosedur yang dilakukan untuk meningkatkan kewaspadaan dan kesadaran

DSS06.04 – Process Practices, Input/Outputs and Activities

Management Practice

Mengelola pengecualian proses bisnis dan kesalahan serta memfasilitasi koreksi terhadap hal tersebut. Menyertakan ekskalasi kesalahan proses bisnis dan pengecualian serta pelaksanaan

(8)

tindakan korektif yang ditetapkan. Hal ini memberikan jaminan akurasi dan integrasi informasi dalam proses bisnis.

Pada aktivitas ini akan dihasilkan luaran berupa bukti kesalahan koreksi dan remidiasi yang akan digunakan pada proses MEA02.04 serta akan mengahasilkan laporan kesalahan dan analisa akar permasalahan atau penyebab yang akan digunakan untuk internal perusahaan.

A. Menentukan dan mengelola prosedur untuk menetapkan kepemilikan, perbaikan kesalahan, kesalahan bertumpuk dan menangani kondisi yang tidak seimbang

1. Membuat prosedur yang jelas sehingga kepemilikan dari setiap transaksi dalam proses bisnis (penanggung jawab) dapat terdefinisikan

2. Memastikan adanya prosedur dalam penanganan kesalahan serta perbaikan kesalahan pada kegiatan proses bsinis

3. Memastikan adanya prosedur untuk memvalidasi setiap kegiatan dalam proses bisnis 4. Memastikan setiap prosedur dapat diimplementasikan dan dapat mengurangi bottleneck

dalam kegiatan proses bisnis

B. Melakukan ulasan kesalahan, pengecualian dan penyimpangan

1. Memastikan adanya prosedur tentang pendokumentasian dan review dari setiap kesalahan, pengecualian dan penyimpangan yang terjadi dalam setiap transaksi proses bisnis

2. Memastikan adanya evaluasi berkala untuk setiap kesalahan, pengecualian dan penyimpangan yang terjadi dalam proses bisnis

C. Menindaklanjuti, mengoreksi, menyetujui dan menyerahkan kembali dokumen dan transaksi yang mengalami perbaikan

1. Memastikan prosedur dalam menindaklanjuti dan mengoresi kesalahan yang terjadi dalam proses bisnis telah dijalankan

2. Memastikan prosedur diatas dapat mengatasi kesalahan sehingga proses bisnis dapat tetap berjalan

3. Memastikan perbaikan atau koreksi yang dilakukan terdokumentasi dan selalu di update D. Menjaga bukti tindakan perbaikan

1. Mendokumentasikan setiap kegiatan perbaikan

2. Membuat prosedur pasca perbaikan untuk pengelolaan bukti tindakan perbaikan E. Melaporkan informasi yang relevan mengenai kesalahan dalam proses bisnis pada waktu yang

tepat untuk mengetahui akar permasalahan atau penyebab dan menganalisa tren yang ada 1. Memastikan setiap kesalahan dalam proses bisnis selalu terdokumentasi dan dilaporkan

pada saat itu juga atau ketika terjadinya kesalahan

2. Membuat analisa dari dokumentasi pelaporan kesalahan untuk mengetahui akar permasalahan

3. Membuat analisa tren kesalahan dari dokumentasi analisa akar permasalahan untuk melakukan perbaikan terhadap prosedur penindaklanjutan kesalahan

DSS06.05 – Ensure Traceability of Information Events and Accountabilities

Management Practice

Sebuah Metode untuk memastikan bahwa informasi pada bisnis dapat di telusuri sampai pada tahapan peristiwa bisnis yang dilakukan, bersumber dari pihak yang bertanggung jawab yang telah melakukan tahapan ini. Pada langkah ini pihak yang bertanggung jawab mempunyai wewenang untuk memperkirakan system, sehingga dapat menelusuri informasi melalui siklus hidupnya dan melakukan penelusuran pada proses yang sedang berlangsung. Pada tahapan

(9)

ini jaminan yang akan di dapatkan adalah informasi yang di pertanggung jawabkan dapat mendorong tujuan dari bisnis yang sedang berjalan dan di proses sesuai dengan tujuan yang telah di tetapkan sehingga dapat memenuhi ekspektasi yang di inginkan.

A. Mendefinisikan Persyaratan Retensi, berdasarkan kebutuhan bisnis untuk memenuhi kebutuhan operational, laporan keuangan dan kebutuhan dapat disesuaikan

1. Membuat persyaratan retensi yang jelas dan mendefinisikannya secara detail, berdasarkan dengan kebutuhan bisnis sehingga hasil yang di dapatkan adalah SOP (Standard Operational Procedure) yang akan di tetapkan sesuai dengan sesuai dengan kebutuhan Operational yang di lakukan.

2. Memastikan SOP untuk kebutuhan operational yang telah di lakukan buat telah terlakasan sesuai dengan kebutuhan Operasional yang dilakukan

3. Memastikan adanya SOP dalam penanganan kesalahan serta perbaikan kesalahan pada kegiatan operational

4. Memastikan adanya SOP untuk memvalidasi setiap kegiatan operasional

5. Membuat laporan keuangan, sesuai dengan kegiatan yang dilakukan pada saat operational.

6. Melakukan evaluasi dan menganalisa kegiatan operational yang sudah dilakukan B. Pengambilan sumber informasi, bukti pendukung dan catatan transaksi

1. Mencari sumber informasi yang dibutuhkan berdasarkan kebutuhan bisnis sebagai bukti pendukung

2. Menyimpan arsip data kegiatan transaksi,transaksi masuk maupun transaksi keluar 3. Melakukan Analisis data pada kegiatan transaksi, transaksi masuk maupun transaksi

keluar

4. Menentukan jangka waktu berapa lama data akan di simpan.

C. Buanglah informasi, bukti pendukung dan catatan transaksi yang sudah tidak di perlukan sesuai dengan kebijakan retensi.

1. Melakukan analisis kondisi kebutuhan bisnis yang sedang terjadi

2. Merekap ulang jangka waktu informasi, bukti pendukung dan catatan transaksi yang di gunakan saat ini.

3. Membuang data informasi, bukti pendukung dan catatan transaksi yang sudah melewati jangka waktu yang telah ditetapkan sebelumnya sesuai dengan kebijakan retensi

4. Mengganti data yang telah di buang dengan data yang baru sesuai dengan kebijakan retensi.

DSS06.06 – Secure Information Assets

Management Practice

Tujuan dari DSS06.06 Secure Information Assets adalah menyediakan metode atau prosedur operasional standar untuk mengamankan aset berupa informasi yang dapat digunakan atau diakses oleh perusahaan. Metode ditujukan untuk mengamankan informasi pada saat dalam bentuk elektronik, dalam bentuk fisik, dan pada saat informasi tersebut sedang transit. Untuk eletronik contohnya adalah bagaimana membuat atau menambahkan informasi baru, bagaimana menggunakan media penyimpanan portable, bagaimana menggunakan aplikasi, dan bagaimana menggunakan media penyimpanan. Untuk bentuk fisik contohnya adalah bagaimana harus memperlakukan dokumen-dokumen atau laporan-laporan perusahaan.

Sedangkan transit adalah megatur bagaiamana seharusnya mengirimkan asset-aset informasi tersebut. Adanya metode ini dapat menguntungkan perusahaan dengan cara menjamin keamanan aset informasi dari satu titik ke titik lain.

(10)

Metode ini menghasilkan output berupa laporan pelanggaran dan penyimpangan terhadap prosedur pengamanan data yang telah dibuat. Laporan tersebut kemudian akan menjadi masukan untuk DSS05.03 tentang Manage Endpoint Security.

A. Menerapkan pengklasifikasikan dan penggunaan data yang sesuai serta menerapkan kebijakan dan prosedur keamanan untuk melindungi aset informasi milik perusahaan.

1. Membuat kebijakan klasifikasi data berdasarkan hak akses terhadap data, yaitu publik, akses terbatas, dan rahasia dengan cara membuat panduan pengklasifikasian data berdasarkan kriteria yang dimiliki data.

2. Memastikan data yang telah diklasfikasikan sesuai dengan panduan pengklasifikasian data.

3. Memastikan tidak ada data yang tidak sesuai dengan kebijakan organisasi masuk ke dalam pusat penyimpanan data organisasi.

B. Mengadakan pelatihan tentang penggunaan informasi yang sesuai prosedur

1. Menentukan sasaran pelatihan, yaitu anggota organisasi yang memiliki hak untuk mengakses data yang memiliki jenis akses terbatas dan rahasia.

2. Membuat rencana pelatihan yang dapat menyampaikan prosedur pengamanan informasi kepada pengguna data secara optimal.

3. Melaksanakan pelatihan sesuai yang direncanakan dan memastikan semua sasaran pelatihan telah mengikuti semua rangkaian pelatihan.

4. Melakukan evaluasi pada sasaran pelatihan untuk mengetahui apakah sasaran pelatihan sudah memahami prosedur pengamanan data.

C. Membatasi penggunaan, distribusi, dan akses fisik terhadap aset – aset informasi sesui klasifikasinya.

1. Menentukan hak akses pada setiap data sesuai dengan klasifikasi masing – masing data baik secara digital maupun secara fisik.

2. Membuat SOP penyimpanan data untuk memastikan data disimpan secara aman sesuai dengan klasifikasi masing – masing data.

3. Mengamankan akses pada ruang pusat penyimpanan data secara fisik untuk memastikan orang yang bisa masuk pada ruang pusat penyimpanan data adalah orang yang berhak.

4. Mengamankan akses pada data secara digital untuk memastikan orang yang mengakses data melalui jaringan adalah orang yang berhak.

5. Memastikan keamanan jaringan tempat pertukaran data dilakukan, baik jaringan untuk pertukaran data intra organisasi maupun jaringan untuk pertukaran data inter organisasi.

6. Membuat SOP pengambilan data dan publikasi data sesuai dengan klasifikasi masing – masing data.

7. Mencatat histori setiap pertukaran data untuk memudahkan Monitoring siapa yang telah mengakses data dan atau mendistribusikan data.

D. Mengidentifikasi dan menerapkan proses, alat, dan teknik untuk mengevaluasi pengamanan informasi sudah dianggap layak.

1. Menentukan standar untuk menilai pengamanan data.

2. Membuat tim untuk melaksanakan evaluasi kelayakan pengamanan data.

3. Membuat kriteria penilaian evaluasi berdasarkan standar yang ditentukan dengan ditambahkan penyesuaian.

4. Membuat dan melaporkan laporan hasil evaluasi kelayakan pengamanan data.

E. Melaporkan adanya pelanggaran dan penyimpanan ke perusahaan dan stakeholder lainnya.

1. Memonitoring pelaksanaan tata tertib setiap aktivitas pengamanan data

2. Menentukan kriteria yang jelas mengenai tindakan atau aktivitas yang dianggap sebagai pelanggaran.

(11)

2. Menentukan pihak mana yang berhak menerima laporan setiap pelanggaran yang terjadi.

3. Membuat prosedur yang yang jelas mengenai pelaporan pelanggaran mulai dari teridentifikasinya pelanggaran sampai pelanggaran tersebut dilaporkan kepada pihak yang berhak untuk menerima laporan.

(12)

Mapping of Documents

Berikut adalah mapping of documents yang digunakan untuk memtakan kebutuhan dokumen yang akan dibuat sebagai dokumen tata kelola.

Di dalam pembuatan dokumen tata kelola, terhadap 5 jenis dokumen yang dibuat, yaitu adalah pedoman, panduan, kebijakan, prosedur, dan formulir. Namun dalam pembuatan dokumen ini, dokumen yang dibuat hanya tiga, yaitu kebijakan, prosedur, dan formulir yang merujuk pada pedoman dan panduan yang telah dibuat.

Key management practices dan setiap aktivitas yang ada di dalamnya merujuk berdasarkan COBIT 5. Penentuan jenis-jenis dokumen yang akan dibuat berdasarkan key management practices dan aktivitas-aktivitas yang ada di dalamnya. Mapping of documents juga digunakan sebagai acuan dokumen apa saja yang akan dibuat dalam pembuatan dokumen tata kelola ini. Berikut dijelaskan tipe-tipe dokumen yang akan dibuat berdasarkan key management practices dan aktivitas yang ada di dalam COBIT 5.

Key Management

Practices Aktivitas Jenis Dokumen

Kebijakan Prosedur Formulir

DSS06.01

Align Control Activities Embedded in Business Processes with Enterprise Ob jectives

Mengidentifikasi dan mendokumentasikan aktivitas-aktivitas kontrol dari proses bisnis yang menjadi kunci untuk memenuhi persyaratan kontrol untuk strategis, operasional, pelaporan, dan pemenuhan tujuan

KE-DSS-06-01

Kebijakan

Pengelolaan Kontrol Proses Bisnis

PS-DSS-06-01

Prosedur

Pengidentifikasian Kontrol Proses Bisnis

FM-DSS-06-01

Formulir Daftar Proses Bisnis

FM-DSS-06-02

Formulir Daftar Kontrol Proses Bisnis

Memprioritaskan kegiatan pengendalian berdasarkan pada risiko yang melekat pada bisnis dan mengidentifikasi kontrol utama

PS-DSS-06-02

Prosedur Untuk Memprioritaskan Kontrol Proses Bisnis

FM-DSS-06-03

Formulir Prioritas Kontrol Proses Bisnis

FM-DSS-06-04

Formulir Daftar Kontrol Utama

(13)

Memastikan kepemilikan serta tanggung

jawab dari kegiatan-kegiatan utama

PS-DSS-06-03

Prosedur Pembagian Tanggung Jawab Aktivitas Kontrol Utama

FM-DSS-06-05

Formulir Daftar Pembagian Tanggung Jawab dari Aktivitas Kontrol Utama Secara terus-menerus memantau kegiatan

pengendalian utama yang dilakukan secara end-to-end untuk mengidentifikasi peluang perbaikan yang dapat dilakukan

PS-DSS-06-04

Prosedur

Pemantauan Kontrol Proses Bisnis

FM-DSS-06-06

Formulir Pemantauan Kontrol Proses Bisnis

Secara terus-menerus meningkatkan desain

dan operasi dari pengendalian bisnis

PS-DSS-06-05

Prosedur Peningkatan

Pengendalian Proses Bisnis

FM-DSS-06-07

Formulir Pengajuan Perbaikan

FM-DSS-06-08

Formulir Peningkatan Pengendalian Proses Bisnis

DSS06.05

Ensure

Traceability of Information Events and Accountabilities

Pengambilan sumber informasi, bukti

pendukung dan catatan transaksi

KE-DSS-06-02

Kebijakan Pengelolaan Informasi

PS-DSS-06-06

Prosedur

Pengambilan Sumber Informasi

FM-DSS-06-09

Formulir Penggambilan Sumber Informasi Mendefinisikan Persyaratan Retensi,

berdasarkan kebutuhan bisnis untuk memenuhi kebutuhan operational, laporan keuangan dan kebutuhan dapat disesuaikan

PS-DSS-06-07

Prosedur Autentifikasi

FM-DSS-06-10

Formulir Autentifikasi Persyaratan Retensi

Membuang informasi, bukti pendukung, dan catatan transaksi yang sudah tidak di perlukan sesuai dengan kebijakan retensi

FM-DSS-06-11

Formulir Autentifikasi Status Retensi

(14)

DSS06.02

Control the Processing of

Information

Melakukan autentifikasi pada pengguna transaksi dan memverifikasi bahwa dia memang pengguna yang memiliki wewenang dari transaksi tersebut

FM-DSS-06-12

Formulir Autentifikasi Transaksi Pengguna

FM-DSS-06-37

Formulir Kebutuhan Autentifikasi Informasi Memasukkan catatan transaksi secara

berkala, kemudian melakukan verifikasi bahwa transaksi tersebut akurat, lengkap, dan valid. Data yang dimasukkan juga harus diverifikasi, dan jika diperlukan juga bisa melakukan validasi dengan mengirimkannya ke pihak yang berwenang sebagai tindakan koreksi

FM-DSS-06-13

Formulir

Validasi/Koreksi Transaksi

FM-DSS-06-14

Formulir Histori Transaksi Membuat transaksi yang dilakukan oleh

pengguna yang berwenang dan mengikuti prosedur yang telah ditetapkan, termasuk di dalamnya, bila sesuai, pembagian tugas yang memadai mengenai asal-usul dan persetujuan transaksi tersebut

PS-DSS-06-08

Prosedur Hak Akses Pengguna

FM-DSS-06-15

Formulir Pembagian Hak Akses Pengguna

FM-DSS-06-16

Formulir Pengajuan Hak Akses Pengguna

Membenarkan dan mengirimkan kembali data yang salah ketika melakukan input tanpa mengorbankan data yang asli.

Apabila dibutuhkan untuk melakukan tindakan rekonstruksi, kita bisa

mempertahankan sumber data yang asli untuk waktu tertentu

PS-DSS-06-09

Prosedur Pencegahan dan Penanggulangan Insiden

FM-DSS-06-18

Formulir Pengiriman Revisi

(15)

Menjaga integritas dan validitas data sepanjang siklus pengolahan. Memastikan bahwa deteksi pada transaksi yang salah tidak mengganggu proses transaksi yang valid

FM-DSS-06-19

Formulir Pendeteksian Data

Menjaga integritas data selama gangguan tak terduga terjadi dalam menjalankan proses bisnis dan mengkonfirmasi integritas data setelah melakukan pengolahan

kegagalan

FM-DSS-06-20

Formulir Catatan Data Transaksi

Menangani hasil luaran secara resmi, menyampaikan kepada penerima yang sesuai dan melindungi informasi selama transmisi. Melakukan verifikasi keakuratan dan kelengkapan output

FM-DSS-06-21

Formulir Laporan Hasil Luaran

FM-DSS-06-22

Formulir Verifikasi Hasil Luaran

Sebelum melewati transaksi data antara aplikasi internal dan bisnis/fungsi operasional (di dalam atau di luar

perusahaan), diperiksa apakah penanganan telah tepat dilakukan, autentikasi dari asal- usul dan konten data, menjaga keaslian dan integritas selama dilakukannya proses transaksi

FM-DSS-06-23

Formulir Autentikasi Konten Data

FM-DSS-06-17

Formulir Verifikasi Integritas dan Keaslian

DSS06.04

Process Practices,

Menentukan dan mengelola prosedur untuk menetapkan kepemilikan, perbaikan kesalahan, kesalahan bertumpuk dan menangani kondisi yang tidak seimbang

FM-DSS-06-24

Formulir Pelaporan Perbaikan

(16)

Input/Outputs

and Activities Melakukan ulasan kesalahan, pengecualian

dan penyimpangan

FM-DSS-06-25

Formulir Penanganan Insiden

Menindaklanjuti, mengoreksi, menyetujui dan menyerahkan kembali dokumen dan transaksi yang mengalami perbaikan

Menjaga bukti tindakan perbaikan

FM-DSS-06-26

Formulir Bukti Tindakan Perbaikan

Melaporkan informasi yang relevan mengenai kesalahan dalam proses bisnis pada waktu yang tepat untuk mengetahui akar permasalahan atau penyebab dan menganalisa tren yang ada

PS-DSS-06-10

Prosedur Pelaporan Kesalahan dalam Proses Bisnis

FM-DSS-06-27

Formulir Peloporan Kesalahan

DSS06.03

Manage Roles, Responsibilities, Access, Privileges and Levels of Authority

Mengalokasikan peran dan tanggung jawab berdasarkan deskripsi kerja yang telah disetujui berdasarkan alokasi aktivitas proses bisnis

KE-DSS-06-03

Kebijakan Sumber Daya Manusia

PS-DSS-06-11

Prosedur Pembagian Peran dan Tanggung Jawab

FM-DSS-06-28

Formulir Daftar Peran dan Tanggung Jawab

Mengalokasikan tingkatan autoritas untuk persetujuan, limitasi sebuah transaksi dan keputusan lainnya yang berhubungan dengan proses bisnis, berdasarkan dari peranan kerja yang telah disetujui

FM-DSS-06-29

Formulir Daftar Tingkat Autoritas

Mengalokasikan peran untuk kegiatan yang bersifat sensitif sehingga ada pemisahan peran kerja yang jelas

(17)

Mengalokasikan hak akses berdasarkan apa yang dibutuhkan dalam melakukan aktivitas kerja sesuai dengan peran kerja yang telah ditentukan. Menghapus dan merevisi segera jika perubahan peran kerja atau anggota staf keluar dari area kerjanya dalam proses bisnis. Peninjauan secara berkala untuk memastikan bahwa akses telah sesuai untuk ancaman yang ada saat ini, risiko dan teknologi serta kebutuhan bisnis

PS-DSS-06-12

Prosedur Pembagian Hak Akses Pegawai

FM-DSS-06-30

Daftar Pembagian Hak Akses Pegawai

FM-DSS-06-31

Formulir Perubahan Hak Akses

Memberikan kesadaran dan pelatihan tentang peran dan tanggung jawab secara teratur sehingga setiap orang memahami tanggung jawab mereka, dan juga

memahami pentingnya sebuah kontrol untuk menjaga Integritas, kerahasiaan dan privasi informasi perusahaan dalam segala bentuk

PS-DSS-06-13

Prosedur

Peningkatan Mutu Sumber Daya Manusia

FM-DSS-06-32

Formulir Peserta yang Mengikuti Pelatihan

DSS06.06

Secure Information Assets

Mengadakan pelatihan tentang penggunaan informasi yang sesuai prosedur

Menerapkan pengklasifikasikan dan penggunaan data yang sesuai serta menerapkan kebijakan dan prosedur keamanan untuk melindungi aset informasi milik perusahaan

KE-DSS-06-04

Kebijakan

Pengelolaan Aset Informasi

PS-DSS-06-14

Prosedur

Pengklasifikasian Data

FM-DSS-06-33

Formulir

Pengelompokkan Data

(18)

Membatasi penggunaan, distribusi, dan akses fisik terhadap aset – aset informasi sesuai klasifikasinya

FM-DSS-06-34

Formulir Perencanaan Risiko dan Mitigasi Pada Aset Informasi

Mengidentifikasi dan menerapkan proses, alat, dan teknik untuk mengevaluasi kepatuhan terhadap pengaman informasi

PS-DSS-06-15

Prosedur

Pengamanan Aset Informasi

FM-DSS-06-35

Formulir Kebutuhan Keamanan

Melaporkan adanya pelanggaran dan penyimpangan ke perusahaan dan stakeholder lainnya

PS-DSS-06-16

Prosedur Pelaporan Pelanggaran

Terhadap Aset Informasi

FM-DSS-06-36

Formulir Pelaporan Pelanggaran Terhadap Aset Informasi

(19)

Appendix 1

 Kebijakan

(20)

LEMBAR PENGESAHAN

KEBIJAKAN

Judul : Pengelolaan Kontrol Proses Bisnis No. Dokumen : KE – DSS – 06 – 01

Rilis : 00

Revisi : 00

Histori Distribusi :

No. Jumlah Eksemplar Tujuan Distribusi

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

Jabatan BPO Jabatan CEO Jabatan CISO

Tanggal: ... Tanggal: ... Tanggal: ...

LOGO NAMA PERUSAHAAN / ORGANISASI

Nama Departemen . . .

(21)

HISTORI PERUBAHAN DOKUMEN

No. Rilis No. Revisi Halaman T, M, X* Deskripsi Perubahan

Keterangan:

*T : Penambahan

*M : Modifikasi

*X : Penghapusan

LOGO NAMA PERUSAHAAN / ORGANISASI

(22)

NAMA PERUSAHAAN / ORGANISASI

Nama Departemen / Bidang ……….

KE – DSS – 06 – 01 NO. RILIS : 00 NO. REVISI : 00 Pengelolaan Kontrol Proses

Bisnis

TANGGAL TERBIT : HALAMAN : KEBIJAKAN

A. TUJUAN

Kebijakan ini dibuat dengan maksud sebagai acuan perusahaan dalam mengelola aktivitas-aktivitas yang bertujuan mengontrol proses bisnis.

B. RUANG LINGKUP

Kebijakan ini mengatur seluruh proses kontrol dari proses bisnis perusahaan.

C. KEBIJAKAN

Prinsip-prinsip pengelolaan kontrol proses bisnis:

1. Pengidentifikasian dan Pendokumentasian Aktivitas Kontrol Proses Bisnis

1.1. Pengidentifikasian aktivitas-aktivitas kontrol dari proses bisnis yang menjadi kunci harus memenuhi persyaratan kontrol untuk strategis, operasional, pelaporan, dan pemenuhan tujuan

1.2. Hasil pengidentifikasian aktivitas-aktivitas kontrol dari proses bisnis yang menjadi kunci harus didokumentasikan dengan jelas dan sesuai standart prosedur perusahaan

1.3. Pendokumentasian hasil pengidentifikasian aktivitas-aktivitas kontrol dari proses bisnis yang menjadi kunci dilakukan setidaknya satu kali dalam satu tahun

2. Memprioritaskan Aktivitas Kontrol Proses Bisnis

2.1. Setiap aktivitas-aktivitas kontrol dari proses bisnis diprioritaskan berdasarkan pada risiko yang melekat pada bisnis

2.2. Prioritas dari aktivitas-aktivitas proses bisnis berupa skala dari angka 1-10 dengan 1 merupakan yang paling penting dan memiliki risiko sangat besar terhadap proses bisnis dan 10 merupakan yang paling tidak penting dan memiliki risiko sangat kecil terhadap proses bisnis

2.3. Aktivitas-aktivitas kontrol proses bisnis yang memiliki nilai prioritas 1 selanjutnya disebut aktivitas kontrol utama

2.4. Pengidentifikasian aktivitas kontrol utama dilakukan berdasarkan hasil penilaian skala prioritas yang diberikan terhadap setiap aktivitas kontrol proses bisnis 3. Kepemilikan dan Penanggung Jawab Aktivitas Kontrol Utama

3.1. Setiap aktivitas kontrol utama memiliki penanggung jawab yang berbeda-beda 3.2. Pengaturan kepemilikan serta tanggung jawab untuk setiap aktivitas kontrol utama

dilakukan berdasarkan kebutuhan bisnis dan proses bisnis perusahaan

3.3. Setiap penanggung jawab dari masing-masing aktivitas kontrol utama harus melakukan pertanggungjawaban atas aktivitas kontrol utamanya berupa laporan pertanggungjawaban

3.4. Laporan pertanggungjawaban milik penanggung jawab aktivitas kontrol utama dilakukan setidaknya dua kali dalam satu tahun

4. Pematauan Aktivitas Kontrol Utama LOGO

(23)

4.1. Setiap aktivitas kontrol utama yang dilakukan akan dipantau secara terus menerus 4.2. Proses pemantauan aktivitas kontrol utama dilakukan harus disesuaikan dengan

proses bisnis dan kebijakan perusahaan

4.3. Proses pemantauan yang dilakukan harus didokumentasikan dengan jelas dan sesuai dengan kebijakan perusahaan

4.4. Hasil pendokumentasian proses pemantauan aktivitas kontrol utama dapat dilaporkan setidaknya dua kali dalam satu tahun

4.5. Proses pemantauan aktivitas kontrol utama dapat menghasilkan usulan perbaikan 4.6. Usulan perbaikan atas aktivitas kontrol utama dapat diajukan untuk disepakati

oleh stakeholder terkait sebelum benar-benar diimplementasikan 5. Peningkatan Desain dan Operasi Aktivitas Kontrol Proses Bisnis

5.1. Usulan perbaikan yang dihasilkan dari proses pemantauan aktivitas kontrol utama dapat berupa usulan peningkatan desain dan operasi dari aktivitas kontrol proses bisnis

5.2. Usulan berupa peningkatan desain dan operasi dari aktivitas kontrol proses bisnis dapat diusulkan untuk disepakati oleh stakeholder terkait sebelum benar-benar diimplementasikan

(24)

LEMBAR PENGESAHAN

KEBIJAKAN

Judul : Pengelolaan Informasi No. Dokumen : KE – DSS – 06 – 02

Rilis : 00

Revisi : 00

No. Jumlah Eksemplar Tujuan Distribusi

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

Jabatan ISM Jabatan CISO Jabatan CEO

(25)

No. Rilis No. Revisi Halaman T, M, X* Deskripsi Perubahan

Keterangan:

*T : Penambahan

*M : Modifikasi

*X : Penghapusan

LOGO NAMA PERUSAHAAN / ORGANISASI

(26)

KE – DSS – 06 – 02 NO. RILIS : 00 NO. REVISI : 00 Pengelolaan Informasi

A. TUJUAN

Kebijakan ini dibuat sebagai acuan perusahaan dalam mengelola informasi yang digunakan dalam proses bisnis organisasi.

Kebijakan ini mengatur seluruh proses penggunaan informasi yang digunakan dalam proses bisnis organisasi.

C. KEBIJAKAN

Prinsip-prinsip pengambilan sumber informasi:

1. Pengambilan sumber informasi, bukti pendukung dan catatan transaksi.

1.1. Harus terdapat prosedur pengambilan sumber informasi milik organisasi.

1.2. Memastikan informasi yang diambil hanya diambil oleh pengguna yang terautentifikasi memiliki hak akses.

1.3. Setiap penggambilan sumber informasi dari organisasi harus dicatat ke dalam formulir yang ditetapkan dalam prosedur.

1.4. Setiap informasi yang diambil harus bisa dilacak oleh organisasi.

2. Menentukan dan mengelola prosedur untuk menetapkan hak akses dan penanganan insiden.

2.1. Harus terdapat prosedur untuk memberikan hak akses kepada setiap pengguna informasi.

2.2. Harus terdapat prosedur yang jelas ketika terjadi masalah pada informasi dan atau akses terhadap informasi.

2.3. Prosedur harus bisa memastikan bahwa adanya data yang salah tidak mempengaruhi data yang lain.

3. Mendefinisikan Persyaratan Retensi, berdasarkan kebutuhan bisnis untuk memenuhi kebutuhan operasional.

3.1. Mendefinisikan kebutuhan informasi setiap proses bisnis organisasi.

3.2. Mendefinisikan kebutuhan retensi dari setiap informasi yang dibutuhkan dalam proses bisnis tersebut.

3.3. Menetapkan prosedur pengamanan data yang disimpan.

4. Membuang informasi, bukti pendukung, dan catatan transaksi yang sudah tidak di perlukan sesuai dengan kebijakan retensi.

LOGO

(27)

4.1. Pembuangan informasi harus sesuai dari ketentuan retensi setiap informasi.

4.2. Memvalidasi bahwa informasi yang akan dibuang tidak melanggar ketentuan retensi dari informasi tersebut.

4.3. Memvalidasi tidak ada informasi yang dibuang sebelum habis masa pakainya sesuai dengan ketentuan retensi informasi tersebut.

5. Melakukan autentifikasi pada pengguna dan memvalidasi wewenangnya.

5.1. Hanya akses yang terautentifikasi yang dapat mengakses dan menggunakan informasi yang digunakan dalam proses bisnis perusahaan.

6. Mencatat semua transaksi dan melakukan validasi pada transaksi.

6.1. Setiap transaksi informasi harus didokumentasikan sesuai dengan prosedur.

6.2. Setiap transaksi didokumentasikan ke dalam formulir yang bersangkutan.

6.3. Melaporkan setiap kesalahan transaksi kepada pihak yang berwenang.

7. Memastikan transaksi dilakukan oleh pengguna yang terautentifikasi dan berwenang.

7.1. Harus ada prosedur pembagian Hak Akses pengguna terhadap informasi yang digunakan dalam proses bisnis organisasi.

7.2. Setiap jenis hak akses hanya dapat mengakses informasi sesuai dengan klasifikasi informasi.

8. Melakukan perbaikan pada data yang salah dan telah terlanjur dimasukkan pada sistem organisasi.

8.1. Setiap data yang akan dimasukkan ke dalam sistem harus dipastikan bahwa data yang dimasukkan adalah data yang tepat.

8.2. Memastikan bahwa data yang telah dimasukkan ke dalam sistem adalah data yang tepat.

8.3. Data yang telah masuk ke dalam sistem tidak boleh diganti atau dihapus tanpa melaui prosedur yang berlaku.

8.4. Terdapat formulir yang digunakan untuk melakukan penggantian data yang terlanjur masuk ke dalam sistem.

9. Menjaga integritas dan validitas data dan memastikan bahwa deteksi pada transaksi yang salah tidak mengganggu proses transaksi yang valid.

9.1. Pendeteksian kesalahan data harus dilakukan melalui prosedur yang telah ditentukan.

9.2. Hasil temuan data yang salah harus didokumentasikan ke dalam formulir.

10. Menjaga dan menkonfirmaasi integritas data selama gangguan tak terduga terjadi.

10.1. Integritas informasi harus terjaga ketika terjadi insiden yang menyebabkan adanya masalah pada informasi.

(28)

10.2. Data – data yang mengalami kesalahan beserta dengan pembenahannya harus didokumentasikan ke dalam formulir.

10.3. Formulir harus mencakup keterangan mengenai data apa yang salah, apa pembenahannya, siapa yang bertanggung jawab membenahi, dan kapan pembenahan dilakukan.

11. Penanganan hasil luaran dari proses bisnis organisasi.

11.1. Semua informasi yang dihasilkan dari proses bisnis organisasi haru diberlakukan sesuai dengan prosedur yang berlaku.

11.2. Semua informasi yang dihasilkan oleh proses bisnis organisasi harus didokumentasikan melalui formulir yang telah disediakan.

11.3. Semua informasi yang dihasilkan oleh organisasi yang telah terdokumentasikan harus diverifikasi keakuratan dan kelengkapannya.

11.4. Hasil verifikasi harus didokumentasikan melalui formulir yang telah disediakan.

12. Validasi autentikasi pada transaksi informasi intra organisasi.

12.1. Transaksi informasi antar bagian dalam lingkup internal organisasi harus dilakukan sesuai dengan prosedur yang berlaku.

12.2. Setiap informasi yang ditransaksikan harus memiliki keterangan yang jelas mengenai siapa yang melakukan transaksi, kapan transaksi dilakukan, dan siapa penanggung jawab atas terjadinya transaksi tersebut.

12.3. Terdapat formulir untuk mendokumentasikan setiap transaksi beserta keterangan dari transaksi tersebut.

13. Pengelolaan Kesalahan Aktivitas dalam Proses Bisnis

13.1. Setiap aktivitas dalam proses bisnis harus memiliki penanggung jawab yang dapat memastikan aktivitas tersebut berjalan dengan baik

13.2. Setiap penanggung jawab memiliki peran dalam pengambilan keputusan yang bersifat incidental pada kondisi tertentu

13.3. Setiap penanggung jawab kerja untuk masing masing aktivitas harus dapat terdokumentasi dengan baik dalam sebuah log aktivitas

13.4. Perbaikan kesalahan untuk setiap kondisi pengecualian dalam aktivitas pada proses bisnis harus terdokumentasi dengan baik dalam sebuah standard operating procedures

13.5. Perbaikan kesalahan untuk kesalahan bertumpuk dalam aktivitas pada proses bisnis harus terdokumentasi dengan baik dalam sebuah standard operating procedures 13.6. Standard operating procedures untuk perbaikan kesalahan masing masing aktivitas

proses bisnis harus dikomunikasikan dengan baik kepada seluruh penanggung jawab

(29)

14. Evaluasi Kesalahan Aktivtas dalam Proses Bisnis.

14.1. Evaluasi untuk kesalahan yang tejadi pada aktivitas dalam proses bisnis harus dilakukan oleh penanggung jawab aktivitas yang bersangkutan

14.2. Setiap kesalahan yang terjadi pada aktivitas dalam proses bisnis harus dapat diidentifikasi dan dianalisa oleh penanggung jawab aktivitas yang bersangkutan 14.3. Hasil analisa dari evaluasi kesalahan harus didokumentasikan untuk selanjutnya

menjadi bukti perbaikan kesalahan

15. Penindaklanjutan Kesalahan Aktivtas dalam Proses Bisnis.

15.1. Bukti perbaikan kesalahan harus terdokumentasi dengan baik dalam bentuk dokumen perbaikan kesalahan

15.2. Dokumen perbaikan kesalahan harus ditinjau ulang oleh elemen yang bertanggung jawab pada keseluruhan proses bisnis untuk mengoreksi perbaikan kesalahan yang dilakukan

15.3. Persetujuan untuk dokumen perbaikan kesalahan harus dilakukan oleh penanggung jawab aktivitas yang bersangkutan dan juga penanggung jawab keseluruhan proses bisnis yang bertanggung jawab

16. Pengelolaan Bukti Perbaikan Kesalan.

16.1. Dokumen perbaikan kesalahan yang telah ditinjau dan disetujui harus dikelola dengan baik sebagai arsip dari perusahaan

17. Pelaporan Kesalahan Aktivitas Dalam Proses Bisnis

17.1. Informasi yang berelevansi dengan kesalahan pada aktivitas dalam proses bisnis harus diinformasikan dan terdokumentasi dengan baik dalam bentuk log kesalahan aktivitas dalam proses bisnis

17.2. Log kesalahan aktivitas dalam proses bisnis harus menjadi sumber masukan dari analisa evaluasi kesalahan

17.3. Hasil dari evaluasi kesalahan nantinya harus ditinjau ulang untuk menentukan akar permasalahan atau penyebab kesalahan

(30)

LEMBAR PENGESAHAN

KEBIJAKAN

Judul : Sumber Daya Manusia No. Dokumen : KE – DSS – 06 – 03

Rilis : 00

Revisi : 00

No. Jumlah Eksemplar Tujuan Distribusi

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

Jabatan ISM Jabatan CISO Jabatan CEO

(31)

No. Rilis No. Revisi Halaman T, M, X* Deskripsi Perubahan

Keterangan:

*T : Penambahan

*M : Modifikasi

*X : Penghapusan

LOGO NAMA PERUSAHAAN / ORGANISASI

(32)

KE – DSS – 06 – 03 NO. RILIS : 00 NO. REVISI : 00 Sumber Daya Manusia

A. TUJUAN

Kebijakan ini dibuat dengan maksud sebagai acuan perusahaan dalam mengevaluasi perencanaan sumber daya.

Kebijakan ini mengatur seluruh proses evaluasi rencana sumber daya C. KEBIJAKAN

1. Peran dan Tanggung Jawab

1.1 Pendefinisian deskripsi kerja harus sesuai dengan kebutuhan bisnis perusahaan yang mendukung tujuan perusahaan

1.2 Seluruh aktivitas dalam proses bisnis harus sesuai dengan deskripsi kerja

1.3 Pembagian peran dan tanggung jawab kerja harus sesuai dengan aktivitas dalam proses bisnis perusahaan

1.4 Pembagian peran dan tanggung jawab kerja untuk setiap elemen harus dapat mendukung aktivitas dalam proses bisnis perusahaan

1.5 Secara berkala harus dilakukan evaluasi terhadap pembagian peran kerja untuk memastikan keselarasannya terhadap aktivitas dalam proses bisnis

1.6 Perubahan pembagian peran dan tanggung jawab kerja harus disetujui oleh board director dan harus selaras dengan kebutuhan bisnis dan tujuan perusahaan

2. Tingkatan Autoritas

2.1 Tingkatan autoritas dalam transaksi proses bisnis harus sesuai dengan pembagian peran kerja yang telah disetujui

2.2 Tingkatan autoritas dijalankan untuk seluruh transaksi dalam proses bisnis termasuk persetujuan, limitasi dan keputusan lain yang ada dalam proses bisnis

2.3 Pendefinisian tingkatan autoritas dengan jelas mendeskripsikan setiap elemen yang bertanggung jawab terhadap persetujuan, limitasi dan keputusan lain yang ada dalam proses bisnis

2.4 Elemen yang bertanggung jawab dalam setiap tingkatan autoritas harus dapat memastikan integritas data informasi selama transaksi proses bisnis terjaga dengan baik

3. Pembagian Hak Akses LOGO

(33)

3.1 Hak akses untuk setiap elemen harus dibedakan sesuai dengan peran keja masing masing

3.2 Setiap pembagian hak akses harus memiliki verifikasi dan validasi

3.3 Setiap hak akses terhadap informasi dalam perusahaan harus dapat terlacak dengan baik

4. Perubahan Hak Akses dalam Pergantian atau Penghapusan

4.1 Apabila terdapat perubahan terhadap peran kerja maka harus diikuti dengan instruksi penghapusan dan perubahan hak akses

4.2 Penghapusan hak akses terhadap elemen yang tidak lagi terlibat dalam proses bisnis akan dilakukan dengan persetujuan yang resmi dari penanggung jawab pada peran kerja yang bersangkutan

4.3 Hak akses baru akan diberikan kepada elemen dengan persetujuan yang resmi dari penanggung jawab pada peran kerja yang bersangkutan

5. Peninjauan Hak Akses

5.1 Evaluasi keselarasan hak akses dengan kebutuhan bisnis dilakukan secara berkala untuk memastikan validitas hak akses

5.2 Evaluasi terhadap validitas hak akses dilakukan secara berkala untuk menyesuaikan dengan kondisi ancaman, risiko dan teknologi dalam kebutuhan bisnis perusahaan 6. Alokasi Peran untuk Kegiatan yang Bersifat Sensitif

6.1 Pemisahan peran kerja untuk kegiatan yang bersifat sensitif dan proses bisnis umum dalam perusahaan harus didefinisikan dan dibedakan dengan jelas

6.2 Peran kerja untuk kegiatan yang bersifat sensitif harus memiliki deskripsi kerja yang jelas

7. Peninjauan Kontrol Akses, Log dan Laporan Pengecualian

7.1 Evaluasi validitas hak akses harus dapat dilacak melalui kontrol akses, log dan laporan pengecualian

7.2 Validitas hak akses ditinjau secara berkala untuk memastikan kesesuaian terhadap autoritas akses yang dimiliki

8. Peningkatan Mutu Sumber Daya Manusia

8.1 Kesadaran terhadap peran dan tanggung jawab harus dikomunikasikan kepada seluruh elemen dalam perusahaan pada awal perekrutan

8.2 Kesadaran terhadap pentingnya menjaga kerahasiaan dan privasi informasi perusahaan untuk menjaga integritas data informasi perusahaan harus dikomunikasikan kepada sleuruh elemen dalam perusahaan pada awal perekrutan

(34)

8.3 Pencegahan terhadap hilangnya integritas data informasi perusahaan harus diperkuat dengan pendefinisian peran dan tanggung jawab bagi setiap elemen secara jelas 8.4 Pengkomunikasian kesadaran terhadap pentingnya menjaga integritas data informasi

perusahaan harus disampaikan melalui media resmi yang ditentukan organisasi 8.5 Pelatihan mengenai penggunaan informasi yang sesuai dengan prosedur perusahaan

harus diberikan kepada seluruh elemen pada awal perekrutan

8.6 Pelatihan mengenai penggunaan informasi yang sesuai dengan prosedur harus dibarengi pula dengan pendefinisian risiko dari kesalahan penggunaan informasi 8.7 Apabila terdapat perubahan prosedur penggunaan informasi maka perubahan atau

pembaharuan prosedur penggunaan informasi tersebut harus dikomunikasikan kepada seluruh elemen dalam bentuk media apapun secara resmi

(35)

LEMBAR PENGESAHAN

KEBIJAKAN

Judul : Pengelolaan Aset Informasi No. Dokumen : KE – DSS – 06 – 04

Rilis : 00

Revisi : 00

No. Jumlah Eksemplar Tujuan Distribusi

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

(36)

No. Rilis No. Revisi Halaman T, M, X* Deskripsi Perubahan

Keterangan:

*T : Penambahan

*M : Modifikasi

*X : Penghapusan

LOGO NAMA PERUSAHAAN / ORGANISASI

(37)

KE – DSS – 06 – 04 NO. RILIS : 00 NO. REVISI : 00 Pengelolaan Aset Informasi

A. TUJUAN

Kebijakan ini dibuat dengan maksud sebagai acuan perusahaan dalam melakukan pengelolaan aset informasi

Kebijakan ini mengatur seluruh proses pengelolaan aset informasi C. KEBIJAKAN

1. Menerapkan kebijakan dan prosedur keamanan aset informasi

1.1 Melakukan Identifikasi penggunaan data sesuai dengan kebijakan pengelolaan aset informasi.

1.2 Melakukan pengklasifikasian aset informasi perusahaan sesuai dengan kebutuhan bisnis yang mendukung tujuan perusahaan.

1.3 Menggunakan seluruh data yang diterapkan untuk disesuaikan dengan kebijakan dan prosedur pengelolaan aset informasi.

1.4 Melindungi aset informasi yang dimiliki perusahaan yang disesuaikan dengan kebijakan dan prosedur pengelolaan aset infromasi.

1.5 Secara berkala harus dilakukan evaluasi terhadap pengelolaan aset informasi.

2. Membatasi penggunaan akses fisik terhadap aset-aset informasi

2.1 Menggunakan aset Informasi sesuai dengan kebutuhan dan klasifikasinya.

2.2 Melakukan distribusi aset informasi sesuai dengan tujuan dan kebutuhan perusahaan.

2.3 Menetapkan tanggung jawab setiap elemen terhadap penggunaan dan distribusi aset informasi yang disesuaikan dengan kebutuhan peran kerja.

2.4 Hak akses fisik pada setiap elemen harus dibedakan sesuai dengan penggunaan aset- aset informasi

2.5 Setiap pembagian hak akses fisik pada elemen harus memiliki verifikasi dan validasi 2.6 Membatasi penggunaan aset-aset informasi sesuai dengan kebijakan pengelolaan aset

informasi.

3. Mengidentifikasi, menerapkan dan mengevaluasi kegiatan pengamanan informasi.

3.1 Melakukan identifikasi alat yang akan digunakan dalam pengamanan informasi 3.2 Melakukan identifikasi proses yang akan dilakukan dalam pengamanan informasi 3.3 Melakukan identifikasi teknik yang akan digunakan dalam pengamanan informasi

LOGO

(38)

3.4 Menerapkan proses dan teknik yang akan dilakukan dengan alat yang telah diidentfikasi dalam pengamanan informasi

3.5 Melakukan pengawasan terhadap setiap proses dan teknik yang akan dilakukan dengan alat yang telah diidentifikasi dalam pengamanan informasi

3.6 Melakukan evaluasi terhadap setiap proses yang telah dilakukan dalam pengamanan informasi

3.7 Melakukan evaluasi terhadap setiap alat yang telah digunakan dalam pengamanan informasi

3.8 Melakukan evaluasi terhadap setiap teknik yang telah dilakukan dalam pengamanan informasi

4. Melakukan pelaporan terhadap segala pelanggaran dan penyimpangan dalam pengelolaan aset informasi.

4.1 Melakukan identifikasi terhadap segala pelanggaran dan penyimpangan dalam pengelolaan aset informasi

4.2 Mengklasifikasi segala pelanggaran dan penyimpangan yang terjadi dan mengkatagorikan berdasarkan besar-kecilnya pelanggaran dan penyimpangan yang terjadi.

4.3 Melakukan penyeledikan terhadap segala pelanggaran dan penyimpangan dalam pengelolaan informasi.

4.4 Melakukan Evaluasi terhadap segala pelanggaran dan penyimpangan yang terjadi dalam pengelolaan aset informasi

(39)

Appendix 2

 Prosedur

(40)

LEMBAR PENGESAHAN

PROSEDUR

Judul : Pengidentifikasian Kontrol Proses Bisnis No. Dokumen : PS – DSS – 06 – 01

Rilis : 00

Revisi : 00

No. Jumlah Eksemplar Tujuan Distribusi

DIBUAT OLEH DIPERIKSA OLEH DISAHKAN OLEH

Tang