BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat...
-
Upload
truongtuyen -
Category
Documents
-
view
234 -
download
5
Transcript of BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat...
BAB 2
LANDASAN TEORI
Bab ini akan membahas landasan teori yang digunakan dalam
perancangan Business Continuity Plan (BCP) yang sesuai dengan kebutuhan PT
NET Mediatama Indonesia. Literatur yang digunakan antara lain penelitian
mengenai Business ContinuityPlan (BCP) dan beberapa standar yang biasa
dipakai dalam perancangan BCP, Business Impact Analysis dan Risk Management
terkait dengan perancangan Business Continuity.
2.1. Business Continuity Plan (BCP)
Pada sub bab ini akan dilakukan pembahasan mengenai BCP secara lebih
mendalam mulai dari definisi, komponen – komponen sebuah BCP sampai
dengan mengapa sebuah organisasi membutuhkan BCP.
2.1.1 Pengertian
Terdapat beberapa definisi BCP/BCMS yang didapat dari beberapa
sumber literatur, di antaranya :
a. Menurut (Modiri & Ghorbani, 2010)sebuah BCP adalah sebuah
rencana yang komperhensif yang menjamin keberlangsungan dari
layanan yang disediakan yang memiliki informasi tentang informasi
yang rentan, kondisi atau situasi tertentu.
b. Menurut (Snedaker, 2007)Business Continuity Plan adalah
metodologi yang dapat digunakan untuk membuat dan memvalidasi
6
c. sebuah rencana keberlangsungan bisnis sebelum, saat terjadinya dan
setelah sebuah bencana terjadi.
d. Menurut (Hiles, 2007) BCP merupakan sebuah perencanaan yang
lebih berkaitan dengan manajemen dibandingkan dengan perencaan
teknis. Perencanaan dibuat berdasarkan pemahaman akan organisasi,
elemen yang mendukung proses bisnis organisasi, evaluasi
kerusakan yang mungkin timbul dari elemen tersebut, dan
mengetahui pihak yang akan menangani situasi yang kritis serta cara
melakukan penanganannya.
2.1.2 Komponen Bisnis BCP
BCP Mencakup seluruh komponen bisnis yang terlibat dalam
organisasi, yaitu manusia, proses dan teknologi, sehingga dapat membuat
sebuah perencanaan yang menjamin kontinuitas bisnis organisasi secara
menyeluruh (Snedaker, 2007). Elemen bisnis dapat ditentukan
berdasarkan berbagi aspek, namun untuk tujuan pembuatan BCP, bisnis
dapat dibagi menjadi 3 kategori, yaitu manusia, proses , dan teknologi.
Gambar 2.1 menunjukkan interaksi antara manusia, proses, dan
teknologi.
Gambar 2.1Interaksi Manusia, Proses, dan Teknologi (Snedaker,2007)
7
a. Manusia
Manusia sebenarnya merupakan satu – satunya komponen yang
melaksanakan dan mengimplementasikan BCP, namun masih banyak
aspek dari elemen manusia yang dibutuhkan dalam proses perencanaan
tersebut. Setiap organisasi memiliki keunikan masing – masing sehingga
proses pembuatan BCP akan berbeda setiap organisasi. BCP untuk
sebuah call center dan sebuah penyedia layanan data center tentunya
tidak akan sama karena tidak ada pendekanan ‘one size fits all’ untuk
BCP. Pendekantan ‘one size fits all’ dimaksudkan sebagai proses yang
dapat dilakukan dengan pendekatan yang sama untuk berbagai jenis,
sedangkan untuk BCP, pendekatan tersebut tidak dapat dilakukan.
Manusia mempunyai andil 80% sebagai penyebab kehilangan data.
Manusia bertanggung jawab dalam hal merancang,
mengimplementasikan, dan mengawasi proses yang dilakukan untuk
menjaga keamanan data. Manusia, secara alamiah, membuat kesalahan
setiap harinya. Jika manusia bertanggung jawab terhadap 80 %
kehilangan data, maka 20 % yang tersisa merupakan akibat dari
kerusakan lain, seperti kerusakan alat, bencana alam, dan lain – lain.
BCP membutuhkan keterlibatan anggota organisasi yang terkait agar
BCP dapat berjalan dengan baik dan efektif. Melibatkan anggota
organisasi yang berkepentingan dapat membuat perencanaan menjadi
lebih matang dan dapat membantu melakukan indentifikasi anggota yang
akan mengimplementasi rencana yang sudah dibuat.
8
Aspek lain pentingnya manusia dalam BCP adalah membuat
perbedaan respond ketika organisasi dilanda bencana. Beberapa orang
dapat bersikap aktif dan responsive ketika menghadapi bencana, namun
sebagian besar tidak cukup responsive dalam bertindak atau bahkan tidak
mengambil tindakan apa pun. Hal ini merupakan hal yang sangat penting
untuk diperhatikan karena ketika sebuah organisasi dilanda bencana, hal
terebut merupakan sesuatu yang tidak terduga.
Manusia bertanggung jawab atas pembuatan dan implementasi
BCP.Manusia memiliki peran penting baik sebagai subjek maupun objek
jika terjadi bencana, yaitu sebagai pelaksana aksi pemulihan dan sebagai
korban secara fisik maupun mental.
b. Proses
Proses dalam BCP terbagi menjadi dua fase, yaitu fase perencanaan
dan implementasi. Proses yang dilakukan organisasi sehari – hari, dapat
disebut sebagai proses bisnis, merupakan aspek utama dalam menentukan
kesuksesan jangka panjang sebuah organisasi. Proses bisnis
dikembangkan untuk melaksanakan pekerjaan dalam organisasi untuk
mencapai tujuan organisasi tersebut. Hal – hal yang bersifat incidental, di
luar dari proses bisnis normal, biasanya ditangani sebagai pengecualian.
Jika pengecualian tersebut muncul dengan frekuensi yang cukup tinggi,
dapat dijadikan sebagai sebuah proses baru yang ditambahkan ke dalam
proses bisnis utama, kemudian siklus proses bisnis baru akan berjalan
normal kembali.
9
Ketika organisasi dilanda bencana, seperti banjir, kebakaran, gempa
bumi, dan sebagainya, proses bisnis organisasi akan terganggu. Seberapa
cepat organisasi dapat kembali normal atau melakukan implementasi
ulang atau bahkan merekayasa ulang proses agar proses bisnis organisasi
berjalan normal kembali berdasarkan perencanaan yang terdapat dalam
BCP. Pembuatan rencana untuk menangani berbagai jenis bencana atau
peristiwa yang menggangu sangat membatu organisasi untuk pulih
kembali. Ketika anggota mengalami tekanan dan proses bisnis terganggu,
perencanaan tersebut sangat dibutuhkan oleh organisasi.
Proses bisnis organisasi perlu dianalisis dan dievaluasi, terutama dari
segi prioritas. Analisis tersebut membantu untuk menentukan prioritas
proses yang perlu segera diperbaiki ketika bencana melanda organisasi.
Analisis juga perlu dilakukan pada proses bisnis dengan
memperhitungkan segi waktu, yaitu penentuan periode waktu tingkat
kebutuhan organisasi terhadap sebuah proses.
Proses digunakan dalam bisnis untuk mempertahankan alur yang
konsisten dalam operasional bisnis. Proses bisnis harus dievaluasi dalam
proses pembuatan BCP untuk menentukan proses bisnis vital dan cara
implementasi yang sesuai ketika organisasi dilanda bencana.
c. Teknologi
Teknologi diimplementasikan melalui manusia dan proses sehingga
pendekatan rencana darurat yang terintegrasi untuk teknologi perlu
memperhitungkan aspek manusia dan proses. Teknologi merupakan aspek
bisnis yang penting dalam sebuah organisasi.Perencanaan harus
10
memperhitungkan tingkat penggunaan teknologi dalam organisasi dan
menentukan elemen organisasi yang rentan terhadap bencana jenis
tertentu.Sebagai contoh, kehilangan daya, mempengaruhi semua teknologi
yang digunakan dalam sebuah gedung.
Analisis organisasi dilakukan untuk mengetahui kebutuhan teknologi
dari setiap bagian, bukan hanya teknologi yang dibutuhkan untuk
mengembalikan proses bisnis seperti semula, tetapi juga teknologi yang
dibutuhkan jika terjadi krisis. Memahami penggunaan teknologi dalam
kegiatan harian organiasai sangat penting dalam proses pembuatan BCP.
Teknologi yang dipahami haruslah menyeluruh ke dalam organisasi, bukan
hanya bagian tertentu saja, agar rencana yang dibuat bersifat efektif untuk
seluruh organisasi.
2.1.3 Risk Analysis
Tujuan dari dilakukannya Risk Analysis/Assesmentadalah untuk
menilai, mengevaluasi dan mengidentifikasi risiko-risiko apa saja yang
mungkin dialami oleh sebuah organisasi. Sebuah risiko bisa berasal dari
luar maupun dari dalam, dan perlu dipertimbangkan juga ada kalanya
sebuah risiko berdampak positif terhadap organisasi sehingga sebuah
organisasi bisa bersifat proaktif daripada reaktif dalam mencapai
keunggulan kompetitifnya(Jones & Ashenden, 2005).Lebih lanjut mereka
mendefinisikan risiko sebagai kemungkinan dari sebuah ancaman meng-
exploitasi sebuah kerawanan yang kemudian menimbulkan kerugian pada
aset.
11
Risk= Threat× vunerability × impact (asset value)
Analisis risiko dilakukan dalam konteks BCP untuk
mengidentifikasi ancaman-ancaman yang dapat berakibat pada gangguan
pada proses bisnis dan untuk mengevaluasi risiko-risiko yang terkait.
2.1.3.1 Perhitungan Nilai Risiko
Terdapat dua metodologi yang dapat digunakan untuk
menentukan besaran nilai risiko berdasarkan nilai kemungkinan
dan dampak yang ditimbulkan oleh sebuah ancaman yaitu dengan
metodologi pengukuran risikokualitatif dan metodologi pengukuran
risikokuantitatif.
• Menentukan besarnya nilai risiko menggunakan Kuantitatif
Methodology.
Metrik kualitatif mempergunakan nilai numerik untuk
memperhitungkan nilai risiko, contoh perhitungan :konsekuensi
dari power outagedinyatakan dalam istilah kualitatif sebagai
expected losssebesar $2.5 juta. Berdasarkan ekspektasi ini dan
probabilitysebesar 25%.Nilai risiko diekspresikan secara kuantitatif
sebesar $625.000.
Salah satu metode perhitungan untuk metrik kuantitatif
adalahALEMethod(Annualized Loss Expectancy). Metode ALE ini
menentukan nilai risiko berdasarkan 2 komponen utama yaitu
:Annualized Rate of Threat Occurance(ART) dan Single Loss
Expectancy(SLE).ART mengacu pada kemungkinan sebuah
12
ancaman dalam jangka waktu satu tahun, dan SLE
merepresentasikan konsekuensi dari sebuah dampak tunggal
terhadap sebuah ancaman.Nilai ALE menggambarkan nilai risiko.
ALE = SLE * ART
Dimana
SLE = ALPV * EF
ALPV (Asset Loss Potential Value) mengukur berapa nilai
potensial keuangan ketika seluruh aset terkena dampak gangguan.
Sedangkan EF(Exposure Factor) mengindikasikan presentase dari
ALPVdalam satu kali kejadian. Diasumsikan bahwa potensi
kerugian ketika seluruh sistem komputer dalam computer
centerterpengaruh oleh power outageadalah $10 juta.Exposure
factordiasumsikan sebesar 25% dari ALPVuntuk satu kali
kejadian. Maka SLEdapat dihitung sebagai berikut ini :
SLE= $10.000.000 * 25/100
SLE= $2.500.000
Ice stormterjadi satu kali setiap 4 tahun. Maka nilai
ART(Anualized Rate ofThreat Occurance) adalah ¼ berdasarkan
nilai ini makan dapat dihitung ALE
ALE = $2.500.000 * ¼
ALE = $625.000
13
• Menentukan besarnya nilai risiko menggunakan Kualitatif
Methodology
Penggunaan metrik kualitatif melibatkan perhitungan yang
lebih sederhana dan menghabiskan lebih sedikit waktu.Namun
kelemahannya adalah nilai risiko subyektif dan non-repeatable
karena hanya berdasarkan penilaian individu.Contoh :perhitungan
konsekuensi dari power outage yang dinyatakan dalam istilah
kualitatif sebagai memiliki dampak bisnis yang “High”. Nilai risiko
dinyatakan dalam istilah kualitatif sebagai “Low” yang didapatkan
dari dampak bisnis “High” dikalikan dengan kemungkinan
terjadinya ancaman tersebut sebesar 25%.
Salah satu metode perhitungan untuk metrik kualitatif adalah
AIEMethod (Annualized Impact Expectancy). Metode AIE ini
menentukan nilai risiko berdasarkan 2 komponen utama yaitu
:Annualized Rate of Threat Occurance(ART) dan Single Impact
Expectancy(SIE).
Definisi ART dalam perhitungan AIEsama dengan definisi
ART dalam perhitungan ini. Sedangkan SIE (Single Impact
Expectancy) merepresentasikan konsekuensi dari sebuah dampak
tunggal dari sebuah ancaman direpresentasikan dalam nilai
kualitatif numerik.AIE dalam perhitungan ini merepresentasikan
nilai risiko.
AIE = SIE * ART
14
SIE dapat direpresentasikan dalam nilai yang dipilih antara
1sampai dengan 100, di mana 1 mengindikasikan dampak terendah
dan 100 mengindikasikan dampak tertinggi.
Contoh diasumsikan bahwa ice storm terjadi sekali setiap 4
tahun sehingga ART adalah ¼.Besar dari dampak dipertimbangkan
tinggi karena pentingnya computer centerbagi operasi perusahaan,
dalam hal ini SIE adalah 80. Berdasarkan nilai-nilai di atas dapat
ditentukan nilai AIE sebagai berikut :
AIE = 80 * ¼
AIE = 20
Nilai numerik ini dapat di petakan ke dalam istilah kualitatif
yang lebih bermakna contohnya dengan mempergunakan tabel
pemetaan sebagai berikut ini:
• High: jika nilai numerik di antara 67 sampai dengan 100.
• Medium: jika nilai numerik di antara 34 sampai dengan 66.
• Low: jika nilai numerik berada di antara 1 sampai dengan 33.
Maka berdasarkan pemetaan di atas, power outage yang
disebabkan oleh ice storm dalam contoh dikategorikan sebagai
memiliki risiko “Low” untuk organisasi.
2.1.3.2 Proses Risk Assessment
Untuk melakukan risk assesment ada 6 langkah yang
harus dilakukan, di antaranya :
a. Identify ThreatSources
15
b. Identify Threat Events
c. Identify Consequences (Impact)
d. Assess Single Loss (or Impact) Expectancies
e. Assess Likelihoods
f. Derive Risk Values
Masing – masing langkah dalam pembuatan Risk Assessment
dapat dijelaskan sebagai berikut :
a. Identify ThreatSources
Kata kunci dalam langkah ini adalah "identifikasi, control,
mengeliminasi dan meminimalisasi kejadian yang tidak
terduga".Sebuah risiko dapat dipandang sebagai kombinasi
ancaman itu sendiri, kemungkinan dari ancaman itu terjadi,
kerawanan dari sebuah organisasi atau sistem terhadap ancaman
dan dampak relatif maupun absolut terhadap ancaman tersebut
terhadap organisasi atau sistem. Ada banyak jenis ancaman yang
harus dipertimbangkan oleh sebuah organisasi, namun secara garis
besar dapat dibagi menjadi 2 yaitu ancaman yang disebabkan oleh
manusia (human caused) dan ancaman yang disebabkan oleh alam
(natural). Snedaker membuat sebuah checklistuntuk mempermudah
memulai mengidentifikasi ancaman-ancaman yang paling sering
terjadi.Tabel 2.1 berikut ini adalah checklist yang sudah di
sesuaikan dengan keadaan di Indonesia(Snedaker, 2007).
16
Tabel 2.1Threat Check List( Snedaker,2007)
Natural / Enviromental Threats • Fire • Flood • Electrical Storm • Earthquake • Hurricane • Tsunami • Volcano • Avian Flu Human-Caused Threats • Theft, Sabotage • Labor Disputes • Workplace Violance • Terorism • Chemical Hazzard • War Infrastructure Threats • Building – specific failure • System Failure • Power Failure • Public Transportation Distruption TI – Spesific Threats • Cyber Threat • Equipment / System Failure • Loss of Data or Record
b. Threat event Assessment
mengukur sejauh mana kerawanan sebuah bisnis atau sistem
dan berapa kemungkinan terjadinya kerawanan tersebut. Langkah
ini menentukan Threat eventsapa yang dapat terjadi karena adanya
Threat yang telah diidentifikasi pada langkah pertama. Tabel 2.2 di
bawah ini memperlihatkan contoh outputdari langkah ini.
Tabel 2.2 Contoh Output dari Threat Event (ANT 2012)
Threat Threat Event
Flood Akses Jalan Terhambat Hacker Akses ke halaman website diakses oleh pihak yang tidak
berhak
17
c. Identify Consequences
Langkah ketiga ini mengidentifikasi konsekuensi apa yang
mungkin terjadi sebagai akibat threats yang diidentifikasi pada
langkah 1 dan 2. Sebagai tambahan langkah ini juga
mengidentifikasi aset apa saja yang kritis bagi organisasi. Tabel
2.3memberikan gambaran mengenai output pada langkah ini.
Tabel 2.3 Output Identifikasi Konsekuensi ( ANT 2012 )
Threat Threat Event Critical Asset Konsekuensi
Flood Akses Jalan Terhambat Staff Kekurangan Staff
Hacker Akses ke halaman website diakses oleh pihak yang tidak berhak
Secret Data Information
Data rahasia perusahaan dapat diakses oleh pihak yang tidak bertanggung jawab
d. Assess Single Loss (or Impact) Expectancies
Pada langkah ini dilakukan penilaian terhadap konsekuansi
terhadap sebuah ancaman (threats) sebagai sebuah SLE atau SIE
(bergantung dari metodologi yang digunakan) Outputdari langkah
ini adalah sekumpulan :
• Threat consequences.
• SLE atau SIE tergantung metodologi yang digunakan untuk
menentukan besarnya nilai risiko.
18
e. Assess Likelihoods
Dalam langkah ini dilakukan penilaian terhadap likelihood dari
sebuah ancaman per-tahun dan dinyatakan dalam ART (Annualized
Rate of Threat)
f. Derive Risk Values
Berdasarkan output dari langkah 2,4 dan 6 langkah terakhir ini
melakuka perhitungan nilai risiko menggunakan metode ALE atau
AIE.Output dari langkah 4,5 dan 6 dapat dilihat pada tabel 2.4
berikut ini
Tabel 2.4 Hasil Output Risk Assessment
Threat ThreatEvent Konsekuensi ALE SLE ART
Flood Power Outage
Computer System
Shutdown
$625000
(2,5M * 0,25)
$2,5M 0,25
Flood Power Outage
Computer System
Shutdown
Low High 0,25
2.1.4 Business Impact Analysis
Hubungan antara value chaindengan proses bisnis kritis
ditentukan oleh Business Impact Analysis(BIA). Dalam BIA sumber daya
kritis yang saling bergantung (stakeholder, produk dan layanan utama)
dan level kepentingannya terhadap aktivitas kritis (proses kunci dalam
sebuah valuechain) dianalisis.(Security, 2012)menyebutkan bahwa tugas
utama dari BIA adalah untuk mengetahui bisnis proses mana saja yang
penting untuk menjaga keberlangsungan bisnis dan organisasi. Bisnis
19
proses kritis ini lalu dilindungi dengan sebuah kerangka kerja spesial
dalam sebuah BCP. Sementara itu tujuan dari penggunaan BIA oleh
semua organisasi adalah mengoptimasi kinerja dari pemulihan dan waktu
yang dibutuhkan untuk pemulihan ini (Recovery Time Objective/RTO)
dengan melakukan apapun untuk memastikan RTO ≤ MTPD dengan
tidak mengabaikan efisiensi dari pemulihan tersebut(Boehmer, 2009).
Menurut (Hiles, 2007)sebuah organisasi dalam BCMS dan
sertifikasi ada 4 (empat) tujuan utama dari BIA :
• Mendapatkan pemahaman tentang tujuan utama organisasi, prioritas
dari masing-masing tujuan dan jangka waktu untuk melanjutkan
kembali dari sebuah gangguan yang tidak direncanakan.
• Menginformasikan keputusan manajemen mengenai Maximum
Tolerable Outage (MTO) dari setiap fungsi.
• Menyediakan sumber daya informasibagaimana sebuah strategi
pemulihan yang sesuai dapat ditentukan/direkomendasikan.
• Menguraikan ketergantungan yang ada baik internal maupun external
untuk mencapai tujuan kritis.
2.1.4.1. Impact criticality
Sewaktu dilakukannya pengumpulan fungsi-fungsi kritis di
dalam sebuah organisasi prioritas terhadap fungsi-fungsi tersebut
harus diberikan.Tujuannya adalah untuk mengklasifikasikan dari
fungsi-fungsi tersebut mana yang kritis (sangat penting bagi misi
organisasi/ mission critical), mana yang penting, mana yang kurang
20
penting sehingga dapat di abaikan atau ditunda
pemulihannya.(Snedaker, 2007)membagi sistem peringkat untuk
melakukan assessment kekritisan proses/fungsi menjadi 4 kategori
sebagai berikut:
a. Kategori 1: Fungsi Kritis – Mission Critical adalah bisnis proses
dan fungsi yang memberikan dampak paling besar kepada
operasi perusahaan dan potensi untuk pemulihan. Atau dengan
kata lain proses apa yang harus ada dalam perusahaan untuk
melakukan fungsinya. Hal yang dapat dilakukan untuk
memfokuskan responden mengenai fungsi-fungsi yang mission
critical adalah misalnya dengan menanyakan tiga sampai lima
hal apa saja yang akan mereka lakukan ketika sebuah bencana
reda.
b. Kategori 2: Fungsi Esensial – VitalTerkadang ada beberapa
fungsi bisnis yang berada di antara mission criticaldengan
important. Tidak semua organisasi membutuhkan kategori ini,
salah satu ciri sebuah organisasi tidak membutuhkan kategori ini
adalah ketika sebuah organisasi tidak dapat membedakan antara
mission critical dengan vital(Snedaker, 2007). Fungsi vital
mungkin saja memasukkan fungsi-fungsi seperti pengajian yang
mungkin sekilas tidak tampak seperti sebuah fungsi yang
mission critical di dalam rangka memulihkan organisasi untuk
dapat berjalan kembali secepat mungkin, namun dapat menjadi
21
vital bagi kemampuan organisasi untuk dapat berfungsi penuh
lebih dari sekedar pulih dari bencana.
c. Kategori 3: Fungsi yang dibutuhkan – ImportantKetidakadaan
fungsi dan proses bisnis yang penting (important)tidak akan
menghentikan bisnis dari beroperasi di waktu dekat, namun
fungsi-fungsi dan bisnis proses tersebut biasanya memiliki
dampak jangka panjang ketika mereka tidak ada atau tidak
berfungsi sebagaimana mestinya. Fungsi dan bisnis proses ini
biasanya memiliki dampak finansial dan legal. Biasanya juga
terhubung lintas unit fungsional dan lintas sistem bisnis. Dalam
perspektif TI biasanya sistem ini termasuk di dalamnya email,
database, akses internet dan perangkat lunak bisnis yang
digunakanuntuk menjalankan fungsi-fungsi pendukung. RTO
dari sistem-sistem ini biasanya dalam hitungan hari atau
minggu.
d. Kategori 4: Fungsi yang diinginkan – MinorFungsi dan bisnis
proses minor biasanya tidak akan dibutuhkan dalam angka
waktu dekat dan yang jelas tidak akan dibutuhkan selama
operasi bisnis perusahaan belum berjalan sebagaimana mestinya.
2.1.4.2. Kebutuhan Waktu Pemulihan
Kebutuhan waktu pemulihan berhubungan erat dengan
impact criticality.Makin penting suatu aktivitas atau fungsi biasanya
makin kecil juga waktu pemulihannya.
22
• Maximum Tolerable Downtime(MTD): pada beberapa literatur
disebut juga sebagai MTPD (Maximum Tolerable Period of
Distrupment) sesuai namanya adalah besar waktu maksimum
sebuah bisnis dapat menoleransi ketidakadaan sebuah fungsi
bisnis. Semakin kritis sebuah fungsi bisnis biasanya akan
memiliki MTD yang semakin kecil.
• Recovery TimeObjective (RTO): yaitu waktu yang tersedia untuk
memulihkan sistem dan sumber daya yang terganggu. Secara
definisi RTO harus lebih kecil dari MTD.
• Work Recovery Time (WRT): adalah langkah-langkah tambahan
yang perlu dilakukan supaya bisnis dapat berjalan kembali setelah
system (perangkat lunak,perangkat keras dan konfigurasi)
dikembalikan (restore).
• Recovery Point Objective(RPO): Banyaknya kehilangan data
yang dapat ditoleransi oleh sistem bisnis kritis perusahaan.
Sebagai contoh ketika sebuah perusahaan melakukan backup
secara realtimemaka dapat disimpulkan toleransi kehilangan data
perusahaan tersebut hampir tidak ada. Sementara itu jika sebuah
perusahaan melakukan backup setiap satu minggu sekali maka
toleransi kehilangan data perusahaan tersebut maksimal adalah
satu minggu.
2.1.4.3. Proses BIA
Terdapat 10 tahapan dalam proses pembuatan BIA, antara
lain :
23
A. Step 1: Melakukan Identifikasi Tujuan BIA, Ruang Lingkup
dan Asumsi
Untuk melakukan BIA pertama-tama yang dilakukan adalah
mengidentifikasi tujuan, ruang lingkup dan asumsi yang diperlukan
untuk melakukan proses BIA hal ini sebagai dasar untuk :
• Memahami ekspektasi manajemen mengenai temuan dari proses
BIA.
• Mendefinisikan fokus dari aktivitas BIA.
• Memperkirakan jumlah sumber daya, waktu dan usaha yang
diperlukan untuk melakukan proses BIA
Ruang lingkup membantu untuk praktisi BC untuk fokus terhadap
BIA di area tertentu dalam organisasi, ruang lingkup dapat berupa:
• Company-wide,
• Kantor tertentu saja
• Fungsi bisnis tertentu saja
• Seluruh fungsi bisnis yang didukung oleh sumber daya baik TI
maupun non-TI
B. Step 2 : Melakukan identifikasi fungsi bisnis dan proses bisnis
Tujuan dari langkah ini adalah untuk mengidentifikasi Fungsi
Bisnis dan Proses Bisnis apa saja yang dipergunakan untuk mendukung
misi, tujuan dan sasaran organisasi.
24
Ruang lingkup BIA dapat dijadikan starting point untuk
mengidentifikasi fungsi bisnis.Beberapa organisasi mungkin memiliki
model bisnis maupun struktur organisasi yang dapat membantu
identifikasi fungsi bisnis. Sementara itu proses bisnis dapat
diidentifikasi dari masing-masing staf di dalam fungsi bisnis
berdasarkan pekerjaan sehari-hari mereka.
C. Step 3 : Melakukan penilaian dampak financial dan operasional
Penilaian Dampak Finansialmengukur sejauh mana dan seberapa
parah kerugian finansial terhadap bisnis. Penilaian dilakukan untuk
setiap fungsi bisnis dengan menanyakan pertanyaan "Sejauh mana dan
separah apa kerugian finansial jika sebuah proses terganggu setelah
terjadinya bencana?".
Bagian pertamadari penilaian dampak finansial adalah melakukan
penilaian untuk menentukan sejauh mana kerugian setelah terjadinya
bencana dalam jangka waktu tertentu sehingga memudahkan untuk
melakukan perbandingan dengan dampak finansial dengan proses yang
lain. Kerugian dalam proses ini termasuk kehilangan pendapatan, dan
pembelanjaan tambahan yang harus dikeluarkan karena terjadinya
bencana. Beberapa hal yang umum menjadi penyebab kerugian adalah
hilangnya penjualan produk dan layanan namun dapat juga disebabkan
oleh faktor-faktor lain seperti :
• Penalti karena ketidakmampuan untuk memenuhi kontrak.
• Kehilangan sumber dana.
25
• Kehilangan diskon.
• Kehilangan kesempatan untuk mendapatkan keuntungan.
Bagian keduadari penilaian dampak finansial adalah memberikan
peringkat untuk tiap level kerusakan berdasarkan nilai kerugian finansial.
Berikut ini adalah contoh level kerusakan mulai dari "no impact" sampai
dengan "major impact".
• dampak kerusakan level 0 (no impact)
• dampak kerusakan level 1 (minor impact)
• dampak kerusakan level 2 (intermediate impact)
• dampak kerusakan level 3 (major impact)
Sedangkan Penilaian dampak operasional melakukan penilaian
terhadap dampak negatif yang ditimbulkan oleh sebuah gangguan
(bencana) terhadap berbagai operasi bisnis yang berkaitan dengan
kecukupan, efisiensi,kepuasan, image, kepercayaan, kontrol, moral
dsb.Berikut ini adalah contoh dari dampak operasional :
• Arus kas yang tidak memadai
• Kehilangan kepercayaan investor
• Kehilangan pangsa pasar
• Hilangnya daya saing
• Kerusakan terhadap kepercayaan para pemegang saham
• Kerusakan terhadap reputasi industri
26
Pemberian peringkat untuk suatu bisnis proses merepresentasikan
perkiraan subyektif yang disediakan oleh partisipan BIA dalam sebuah
peringkat kualitatif seperti "none", "low", "medium", "high" dan "highest".
D. Step 4 : Melakukan Identifikasi Proses Bisnis Kritis
Pemberian peringkat kepada dampak finansial dan operasional
yang telah dilakukan pada step 3 sebelumnya menjadi dasar untuk
mengidentifikasi Bisnis proses kritis. Dalam melakukan pemilihan proses
bisnis kritis dibutuhkan kriteria pemilihan untuk menentukan apakah
sebuah proses memenuhi kualifikasi untuk dimasukkan ke dalam kategori
proses bisnis kritis. Sebagai contoh suatu proses bisnis dikategorikan kritis
apabila memenuhi kriteria sebagai berikut ini :
• Pelayanan konsumen yang tidak memuaskan.
• Memiliki level kerusakan (severity) 2-3 dalam dampak finansial
• Peringkat "high" diberikan kepada sekurang-kuranya 3 dalam
dampak operasionalnya.
• Peringkat "high" diberikan kepada sekurang-kurangnya 2 dan
peringkat "highest" diberikan kepada sekurang-kurangnya 1 dalam
dampak operasionalnya.
• Peringkat "highest" kepada diberikan sekurang-kurangnya 2 dalam
dampak operasionalnya.
27
E. Step 5 : Melakukan identifikasi MTPD dan melakukan
prioritas proses kritis
Setelah proses bisnis diidentifikasi langkah selanjutnya adalah
menentukan Maximum Tolerable Downtime(MTD) atau Maximum
Tolerable Period of Distruption (MTPD). Semua partisipan BIA terlibat
dalam penentuan nilai dampak finansial dan operasional diberikan
pertanyaan "Berapa lama waktu yang dapat ditoleransi oleh proses ini
berdasarkan level dampak finansial dan operasional ?".
• Contoh penggunaan nilai dampak finansial dalam identifikasi MTD
sebuah proses yang memiliki dampak kerugian finansial sebesar
$7000 per hari menjadi tidak dapat diterima ketika kerugian finansial
melebihi $21000 dalam 3 hari sehingga MTD dari proses ini adalah
3 hari.
Setelah MTD ditentukan langkah selanjutnya adalah pemberian
prioritas pemulihan besar MTD. Proses bisnis dengan MTD singkat
diberikan prioritas yang lebih tinggi (kecil) dibandingkan proses dengan
MTD yang lebih lama.
F. Step 6 : Melakukan identifikasi Sistem IT dan Aplikasi kritis
Sebuah sistem TI dianggap kritis apabila mendukung proses bisnis
yang kritis. Berdasarkan data prioritas proses kritis dan beserta bantuan
dari departemen TI dan pemilik proses bisnis dapat dipetakan portofolio
aplikasi dan sistem yang mendukungsuatu proses bisnis.
28
G. Step 7 : Melakukan identifikasi sumber daya Non – TI kritis
Sama seperti proses identifikasi aplikasi dan sistem TI kritis pada
langkah sebelumnya, tingkat kekritisan sebuah sumber daya Non-TI
bergantung pada tingkat kekritisan proses bisnis yang didukungnya.
Berikut ini adalah contoh daftar beberapa jenis sumber daya Non-TI :
• Fasilitas TI, Fasilitas produksi dan Pabrik
• Area kerja kantor
• Peralatan produksi dan manufaktur
• Bahan mentah
• Perabotan kantor
• Alat-alat keamanan
• Peralatan komunikasi suara
• Peralatan maintenance dan cadangan
• Catatan berharga
• Fax, printer dan peralatan fotokopi
• Alat-alat tulis kantor
Daftar di atas diharapkan akan membantu pemilik proses bisnis
untuk mengidentifikasi sumber daya Non-TI apa yang mereka butuhkan
untuk menjalankan bisnis proses kritis mereka.
29
H. Step 8 : Menentukan RTO
RTO adalah waktu yang tersedia untuk memulihkan sistem dan
sumber daya yang terganggu, maka secara definisi RTO harus lebih kecil
dari MTD (didapatkan pada step 5). Selain RTO, MTD juga terdiri dari
WRT. WRT adalah langkah-langkah tambahan yang perlu dilakukan
supaya bisnis dapat berjalan kembali setelah sistem (perangkat
lunak,perangkat keras dan konfigurasi) dikembalikan (restore). Informasi
yang didapatkan dari langkah 5,6,dan 7 dipergunakan untuk menentukan
RTO untuk setiap sumber daya TI maupun Non-TI.
Sebagai contoh untuk aset kritis TI Customer InformationSystem
yang memiliki MTD sebesar 3 hari maka aset TI tersebut harus dipulihkan
lebih cepat dari 3 hari untuk dapat mengakomodasi RTO dan WRT.
Bergantung kebutuhan yang ada dilapangan, besarnya RTO dapat lebih
besar dari WRT dapat pula lebih kecil.
I. Step 9 : Menentukan RPO
RPO menggambarkan toleransi terhadap kehilangan data sebagai
akibat dari adanya gangguan.RPO diukur dalam skala waktu sejak waktu
terakhir data dilakukan backup dan waktu gangguan.Sebagai contoh
sebuah perusahaan Listrik yang memiliki aplikasi kritis untuk melakukan
tracking data konsumsi Listrik konsumennya menetapkan RPO sebesar 48
jam dengan backup data yang berlangsung setiap 48 jam sekali. RPO
sebesar 48 jam didapatkan dari besar kapasitas perangkat metering Record
genggam yang dimiliki oleh pegawai keliling mampu untuk menampung
30
data sampai dengan 48 jam. Pada saat terjadinya gangguan data terjadi
gangguan data dapat dipulihkan backup ke 48 jam yang lalu kemudian
data terkini diinput kembali dari perangkat metering Recordergenggam.
Dalam proses BIA ini RPO ditentukan untuk setiap aplikasi dengan
menanyakan “Berapa toleransi (dalam ukuran waktu) kehilangan data
yang mungkin terjadi diantara 2 periode backup ?” respon dari pertanyaan
ini mengindikasikan nilai RPO.
J. Mengidentifikasi work-around procedures
Work-around procedures memungkinkan proses bisnis untuk tetap
berjalan ketika sumber daya TI maupun non TI tidak tersedia dengan
menjalankan metode alternatif.
Metode alternatif ini seringkali melibatkan proses manual,
cenderung sementara, kurang efisien atau seringkali lebih mahal
dibandingkan dengan prosedur normal. Langkah ini mengidentifikasikan
work-around procedures untuk bisnis proses yang telah terpilih pada step 4
sebelumnya dengan menanyakan pertanyaan sebagai berikut ini :
• Adakah work-around procedures yang telah terdokumentasi dengan
baik untuk proses anda ?
• Identifikasi semua pekerjaan yang tidak tercakup oleh work-around
procedures ini.
2.1.5 Business Continuity Strategy
Tujuan dari langkah BCS ini adalah untuk mengembangkan
sebuah strategi BC yang dapat menunjang kebutuhan pemulihan yang
31
telah diidentifikasi pada tahap BIA.BCS terdiri dari sekumpulan pilihan
pemulihan yang dapat digunakan sebagai alternatif pada saat sumber
daya kritis tidak tersedia(Teknologi, 2012). ANT mengelompokkan area
BCS menjadi beberapa areadiantaranya (Teknologi, 2012) :
• Tempat kerja
• Infrastruktur dan sistem TI
• Manufaktur dan Produksi
• Data dan Record penting lainnya.
2.1.5.1. Kerangka Kerja BCS
Kerangka kerja yang pengembangan Business Continuity
Strategy(BCS) terdiri dari 4 fase yaitu :
• Fase A : Identifikasi Kebutuhan Pemulihan
• Fase B : Identifikasi Pilihan Pemulihan
• Fase C : Penilaian Ketersediaan Waktu
• Fase D : Penilaian Kemampuan-Biaya
2.1.5.2. Pertimbangan dalam pemilihan strategi pemulihan
Kunci dari sebuah BCS yang sukses adalah melakukan
pemilihan strategi berdasarkan pertimbangan karakteristik dan
kemampuan dari masing-masing opsi. Sebagai contoh opsi hot-site
memerlukan pertimbangan yang hati-hati terhadap faktor-faktor
sebagai berikut :
• Jarak antara situs pemulihan dan situs utama, untuk memastikan
bahwa situs pemulihan tidak terkena dampak bencana.
32
• Tingkat dukungan teknis tersedia saat pemulihan.
• Waktu respon untuk menyiapkan hot site ketika bencana
dideklarasikan.
• Dsb.
Pertimbangan-pertimbangan tersebut bergantung dari
karakteristik dan kebutuhan masing-masing organisasi.
2.1.6 Strategi Mitigasi
Strategi Mitigasi Risiko adalah sebuah langkah yang diambil
untuk mengurangi risiko yang mungkin terjadi(Snedaker, 2007).Tipe
Strategi Mitigasi dapat dibagi menjadi 4 yaitu:
1. Risk acceptence
Sebuah perusahaan menerima kemungkinan konsekuensi dari risiko
yang mungkin terjadi namun perusahaan tersebut tidak melakukan apa-
apa untuk menghindari, mengurangi atau mentransfer risiko tersebut.
Acceptance ini memiliki biaya yang sangat rendah (bisa juga zero cost)
terhadap manajemen risiko namun berpotensi memiliki biaya yang sangat
tinggi setelah bencana. Kecuali untuk risiko-risiko pada proses bisnis
yang sama sekali tidak kritis.
2. Risk avoidance
Merupakan strategi mitigasi risiko dimana risiko tersebut dihindari
sama sekali. Hal ini bisa termasuk menghentikan sistem yang kritis dan
memindahkan sistem tersebut pada saat sebelum terjadinya
33
bencana.Strategi mitigasi ini memberikan risiko minimal (zero risk)
namun seringkali memiliki biaya yang besar berasosiasi dengan strategi
mitigasi ini.Karena itu biaya menangani risiko ini sangat tinggi namun
biaya pemulihan yang sangat rendah.
3. Risk limitation/Controls
Strategi ini berada di antara acceptance dengan avoidance.Strategi
mitigasi ini muncul karena sebagian perusahaan menganggap strategi
mitigasi acceptance ataupun avoidance secara menyeluruh membutuhkan
terlalu banyak biaya pada kedua sisi bencana.Langkah-langkah seperti
pembangunan off-sitebackup dapat sangat mengurangi risiko sebuah
organisasi tanpa menjadi terlalu mahal dalam fase implementasi dan
pemulihan.
4. Risk Transfer
Strategi mitigasi ini melibatkan pihak ketiga untuk mentransfer
risiko.Contoh paling umum adalah pembelian asuransi.
Sebuah risiko bisa dikurangi, hindari, terima maupun ditransfer
kepada pihak ketiga.Tiap strategi memiliki harganya masing-masing.
Kunci dari risk mitigation strategy di sini adalah cost efektif. Sebagai
contoh orang cenderung untuk membangun sebuah gedung dengan sistem
pemadam kebakaran dibandingkan dengan membangun sebuah gedung
yang semua materialnya terbuat dari bahan yang tahan api.
34
2.2 Dokumen Elemen Berdasarkan ISO 22301
Dokumen BCP berdasarkan ISO 22301 sedikitnya memiliki elemen
– elemen berikut ini :
• Tujuan dan Ruang Lingkup ( Mengacu pada klausa 4.3)
• Peran dan Tanggung Jawab ( Mengacu pada klausa 5.2)
• Aktivasi Rencana ( Mengacu pada klausa 5.1)
• Pemilik dan Pemelihara Dokumen serta Detail Kontak ( Mengacu
pada klausa 7.2)
Selain elemen yang telah disebutkan, BCP juga harus memiliki
elemen tambahan sebagai berikut :
• Action Plan / Task List
• Kebutuhan Sumber Daya
• Orang yang bertanggung jawab terhadap rencana
• Form dan Lampiran
2.2.1. Tujuan dan Ruang Lingkup
Isi dari elemen BCP menjelaskan tujuan dari program BCP untuk
PT. NET Mediatama Indonesia. Sementara ruang lingkup diturunkan
langsung dari proses pengembangan dokumen kebijakan Business
Continuitypada proses sebelumnya, namun dapat memuat ruang lingkup
tambahan seperti :
• Asumsi lama maksimum yang digunakan untuk melakukan opsi
pemulihan.
35
• Tipe event yang dapat memicu rencana, seperti : kerusakan
layanan kritis, dan Area yang tidak tercakup dalam rencana.
2.2.2. Peran dan Tanggung Jawab
Isi dari Element BCP ini mendefinisikan Business Continuity
Teambeserta Peran dan Tanggung jawabnya. Ukuran dan jumlah tim
bergantung pada besarnya organisasi. Anggota tim dipilih berdasarkan
pengetahuan dan pengalaman mereka terhadap aktivitas, prosedur dan
tugas yang ditugaskan kepada mereka. Berikut ini adalah tipikal tim yang
ada dalam BCP beserta tanggung jawabnya.
A. Crisis Management group
Crisis Management group terdiri dari :
1. CrisisManagement Team (CMT)
CMT mengelola dan mengatur eksekusi BCP. Selama masa krisis
CMT akan menggunakan Crisis Management Centeruntuk melakukan
operasinya. Penting sebuah CMT untuk memiliki setidak-tidaknya
satu senior manager sebagai pemimpin, dan bertanggung jawab
terhadap seluruh tindakannya. Anggota lainnya dari tim ini adalah
Business Continuity Coordinator(BCC), kepala
damageAssessmentTeam(DAT), notificationTeam (NT),
emergencyresponseTeam, Crisis communication Team (CTT),
resource eprocurement and logisticTeam (RPLT) dan kepala
RiskAssessment Manager (RAM). Anggota tim ini nantinya akan
memberikan informasi mengenai aktivitas tim mereka kepada CMT.
36
Jika dibutuhkan CMT bisa menyertakan anggota Businessfunction
yang relevan lainnya seperti TI, finance, legal.
2. Business Continuity Coordinator (BCC),
BCC memegang tanggung jawab secara keseluruhan terhadap
pelaksanaan fase eksekusi : Fase 1 : Notifikasi dan Respon awal, Fase
2 : Penilaian Masalah dan Eskalasi, Fase 3 : Deklarasi Bencana, Fase
4 : Implementasi rencana logistik, Fase 5 : Pemulihan dan
Melanjutkan bisnis seperti biasa. BCC menjadi penghubung antara
CMT dengan tim lainnya dan juga bertanggung jawab untuk
pengembangan, testing dan maintenance BCP di PT.NET Mediatama
Indonesia.
3. Damage Assessment Team (DAT),
DAT dimobilisasi segera setelah terjadinya gangguan.Tim ini
bertanggung jawab melakukan penilaian terhadap dampak kerugian
dan untuk memperkirakan waktu yang dibutuhkan untuk pemulihan.
4. NotificationTeam (NT),
NT bertanggung jawab untuk memberitahu
BusinessContinuityTeam dan personel yang diperlukan untuk
mengeksekusi rencana dan prosedur pemulihan.
5. Emergency Response Team(ERT),
ERT bertanggung jawab untuk melindungi nyawa, property dan
lingkungan segera setelah terjadinya gangguan.ERT memfasilitasi
37
evakuasi personel, operasi penyelamatan darurat, bantuan medis dan
lokalisasi(containment) insiden.ERT berkoordinasi dengan
departement kebakaran, kepolisian dan rumah sakit terdekat untuk
menstabilkan situasi.
6. Crisis Commmunication Team(CCT),
CCT bertanggung jawab untuk menyediakan informasi yang cepat,
akturat dan konsisten kepada para stakeholder PT.NET Mediatama
Indonesua (staf, manajemen, partner bisnis eksternal, pelanggan,
public dsb).
7. Resource Procurementand LogisticTeam(RPLT),
RPLT bertanggung jawab untuk memastikan sumber daya dan
peralatan yang dibutuhkan didapatkan tepat waktu.Tim ini juga
bertanggung jawab untuk memobilisasi orang-orang, sumber daya,
peralatan dan perlengkapan ke fasilitas pemulihan.
8. RiskAssessmentManager (RAM)
Peran RAM adalah untuk melakukan penilaian dan kontrol
terhadap risiko yang berasosiasi dengan gangguan dan eksekusi
BCP.Penilaian meliputi risiko yang berkaitan dengan keamanan,
asuransi, legal obligasi dan keselamatan.
38
B. Business Resumption Group
Grup Business Resumption terdiri dari User ManagementTeam (UMT)
dan BusinessUnit Team(BUT).
1. User ManagementTeam(UMT)
Peranan UMT adalah untuk melakukan penilaian secara
menyeluruh terhadap kebutuhan mendadak dari masing-masing staf
masing-masing unit bisnis NET TV. UMT terdiri dari masing-masing
pimpinan dari Businessunit Team(BUT)
2. BusinessUnit Team(BUT)
BUT merepresentasikan masing-masing fungsi bisnis. Anggota
BUT adalah key staf dari sistem dan sumber daya kritis. Tugas dari
BUT adalah untuk melakukan penilaian kebutuhan unit saat ini dan
membantu IT RecoveryTeam untuk memulihkan data dan sumber
daya, memasukkan kembali data yang tersimpan dan untuk
memvalidasi sukses tidaknya pemulihan
C. Technical and Operational Recovery Group
Technical dan Operational Recovery Group terdiri dari Tim
pemulihan sumber daya TI dan Non-TI sebagaimana berikut :
1. IT Technical RecoveryTeam(ITTRT)
ITTRT terdiri dari beberapa anggota yang fokus terhadap
pemulihan area teknis tertentu misalnya : OperationSystem
39
PlatFormTeam, Networking and Telecommunications Teams,
Database SystemTeam, Applications Team, SystemBackup Team,
Security Control Team, Integration and Testing Team.
2. Manufacturing and Production Technical RecoveryTeam
Tim ini bertanggung jawab menyelamatkan dan memulihkan alat-
alat dan sumber daya produksi. Contoh anggota dari tim ini adalah :
Tim penyelamatan dan pemulihan alat produksi, Tim perbaikan dan
pemulihan peralatan, Tim Testing, Tim kontrol keamanan, elektrik,
teknisi peralatan, montir.
3. Safety and Hazardous Material Handling Team
Tim ini membantu tugas-tugas pemulihan baik di fasilitas alternatif
maupun pada saat perbaikian di tempat yang lama. Tergantung dari
tipe bahaya yang dihadapi tim ini dapat menyertakan anggota dari tim
safety dan ahli bahan-bahan berbahaya, mikrobiologi dll.
4. Vital Record Salvage and Restoration
TeamTujuan dari tim ini adalah untuk menyelamatkan catatan-
catatan (Records) dengan segera dan berhati-hati untuk menghindari
kerugian yang lebih banyak, dan melakukan prosedur khusus yang
dapat memulihkan record tersebut ke kondisi semula.
40
5. Data and Critical Record Backup Retrieval Team
Tim ini bertanggung jawab untuk mengambil (retrieve) salinan dari
system operasi, aplikasi, data, catatan penting, manual, dokumen
maupun sumber daya lainnya yang berguna dalam proses pemulihan
dari lokasi backup. Tim ini juga bertanggung jawab terhadap
keamanan dari media backup. Penting untuk dipertimbangkan bahwa
setidak-tidaknya satu orang anggota tim ini adalah anggota dari
departemen manajemen dokumen.
6. Administration Support Coordination Team
Peran dari tim ini adalah untuk mengkoordinasi proses pemulihan
dengan fasilitas pemulihan alternatif, fasilitas penyimpanan off-site,
dan vendorhardware/software. Tim ini juga bertanggung jawab
terhadap makanan, minuman, pengurusan perjalanan beserta
akomodasi juga melakukan pencatatan pengeluaran.
7. Restoration Team
Tim ini bertugas untuk memfasilitasi transisi dari fasilitas alternatif
kembali ke fasilitas lama organsasi atau ke fasilitas baru.
2.2.3. Aktivasi Rencana
Keputusan untuk mendeklarasikan keadaan bencana berdasarkan
pada review terhadap dokumen laporan permasalahan yang dihasilkan oleh
penilaian masalah dan fase eskalasi. Fase-fase dalam eksekusi rencana BC
terdiri dari:
41
Fase 1 : Notifikasi dan Respon awal
fase ini dimulai segera setelah terjadinya gangguan. Contoh
aktivitas high-level untuk fase ini antara lain : Menerima peringatan
mengenai gangguan dari personel yang ada di lapangan, otoritas
keamanan, emergencyresponseTeamatau senior manajemen.
Membunyikan alarm kebakaran dan memperingatkan otoritas keamanan
(jika diperlukan) dsb.
Fase 2 : Penilaian Masalah dan Eskalasi
Tujuan dari fase ini ada 2, tujuan yang pertama melakukan
penilaian mengenai sejauh mana masalah pada fase sebelumnya (berapa
nilai kerusakannya).Tujuan yang kedua adalah menentukan perlu tidaknya
eskalasi masalah ke fase selanjutnya.
Fase 3 : Deklarasi Bencana
Keputusan untuk mendeklarasikan sebuah bencana ada di fase ini
berdasarkan penilaian masalah dan eskalasi pada fase sebelumnya.
Fase 4 : Implementasi rencana logistik
Fase ini fokus pada tugas-tugas logistik dalam mempersiapkan
lingkungan pemulihan, dan memobilisasi tim Business Continuity dan
sumber daya untuk pemulihan dan fase melanjutkan kembali proses bisnis.
42
Fase 5 : Pemulihan dan Melanjutkan bisnis seperti biasa
Fase ini menangani perencanaan aktivitas pada fasilitas-fasilitas
berikut ini:
a. Lokasi asli yang rusak
b. Fasilitas pemulihan TI alternatif
c. Area kerja alternatif
d. Fasilitas produksi dan manufaktur alternatif
e. Crisis Management Center
2.2.4. Pemilik dan Pemeliharan Dokumen
Organisasi harus menominasikan pemilik utama dari rencana dan
mendokumentasikan siapa yang bertanggung jawab untuk mereview,
merubah dan memperbarui rencana secara rutin.
2.3 ISO 22301
ISO 22301 merupakan sebuah standar internasional yang menetapkan
prosedur yang harus dilakukan dalam proses merencanakan, menetapkan,
mengoperasikan, memantau, mengkaji, memelihara, and mengembangkan
management system yang telah didokumentasikan untuk mempersiapkan
organisasi dalam menghadapi bencana serta melakukan recovery ketika bencana
terjadi (Tangen and Austin, 2012).
Standar ISO 22301 merupakan standar di bidang Business Continuity
Management System (BCMS). Pada survey yang dilakukan oleh Business
Continuity Institute(Standard, 2012), 85% dari 613 responden yang berasal dari 60
negara, menyatakan bahwa standar ISO 22301 dapat menyediakan common
43
language dalam menjalankan proses BCMS antara pelanggan, supplier, dan
keperluan internal dengan sangat baik dan terstruktur .
Standar ISO 22301 mengidentifikasi dasar – dasar sistem manajemen
keberlangsungan bisnis, membangun proses, prinsip dan terminologi manajemen
kontinuitas bisnis. Standar ini antara lain, bertujuan untuk dapat memberikan
dasar acuan bagi suatu perusahaan atau organisasi, agar dapat memahami,
mengembangkan, dan menerapkan manajemen kelangsungan binsis pada suatu
organisasi bahwa organisasi tersebut dapat terus beroperasi walaupun sedang
mengalami keadaan bencana.
Berikut ini adalah komponen penyusun BCMS :
a. Policy (Kebijakan)
b. People (Manusia) dengan tanggung jawab terdefinisi
c. Proses pengelolaan yang berkaitan dengan :
• Policy
• Planning
• Implementation and Operation
• Performance Assessment
• Improvement
d. Dokumentasi yang menyediakan bukti yang dapat diaudit
e. Proses pengelolaan keberlangsungan bisnis lain yang relevan untuk
perusahaan tersebut.
Standar ISO 22301 mengikuti pola PDCA (Plan-Do-Check-Act) yang
merupakan standar pola ISO.Secara lebih spesifik, pola PDCA pada ISO 22301
digambarkan pada gambar II.2.
44
Gambar 2.2 Pola PDCA
Berikut ini adalah penjelasan terkait model PDCA pada ISO 22301 :
a. Plan (Establish)
Menetapkan kebijakan, tujuan, sasaran, control, proses dan prosedur
keberalangsungan bisnis yang relevan untuk meningkatkan kelangsungan
bisnis agar dapat memberikan hasil yang selaras dengan kebijakan
organisasi secara keseluruhan dan tujuannya.
b. Do (Implement and Operate)
Menerapkan dan mengoperasikan kebijakan, control, proses dan prosedur
kelangsungan bisnis.
c. Check (Monitor and Review)
Memantau dan menilai kinerja terhadap kebijakan dan tujuan
kelangsungan bisnis, melaporkan hasilnya kepada manejemen untuk
45
ditinjau, dan menentukan serta mengotorisasi tindakan untuk remediasi
dan perbaikan.
d. Act (Maintain and Improve)
Memelihara dan mengingkatkan BCMS dengan mengambil tindakan
korektif, berdasarkan hasil tujuan manajemen dan menilai kembali lingkup
BCMS serta kebijakan dan tujuan kelangsungan bisnis.
Standar ISO 22301 terdiri dari klausul-klausul berikut (Standard, 2012):
a. Clause 1: Scope
Klausul ini mendefinisikan ruang lingkup dari standar ISO 22301.Ruang
lingkup dari standar ISO 22301 adalah untuk mengimplementasikan dan
memperbaiki sebuah BCMS.
b. Clause 2 : Normative References
Klausul ini mendefinisikan daftar dokumen yang menjadi referensi agar
standar ini dapat dipahami dengan baik.
c. Clause 3 : Terms and Definitions
Klausul ini mendefinisikan seluruh istilah yang digunakan pada standar
ISO 22031.
d. Clause 4 : Context of the organization
Ketentuan yang melibatkan pengenalan perusahaan mulai dari kebutuhan
internal sampai dengan external, dan juga menetapkan beberapa batasan
yang jelas terkait dengan ruang lingkup dari sistem managemen yang akan
diterapkan. Secara lebih jelas dan detailnya, perusahaan perlu memiliki
pemahaman terhadap persayaratan dari beberapa pihak yang memiliki
kepentingan yang relevan seperti pelanggan, supplier, sponsor, dan juga
46
pegawai.Dan juga perlunya pemahaman atas persyaratan hukum dan
peraturan yang berlaku pada saat itu.
e. Clause 5 : Leadership
Pada ISO 22301 memberikan penjelasan mengenai penekanan secara
khusus terhadap kebutuhan kepemimpinan yang tepat untuk
keberlangsungan BCM. Dikarenakan hal tersebut dimaksudkan dengan
tujuan agar pihak top manajemen menjamin ketersediaannya sumber daya
yang tepat, dan membuat ketetapan terhadap kebijakan tersebut, sehingga
dapat dilakukan penunjukan orang – orang yang tepat dalam menerapkan
serta memelihara Business Continuity Management sistem di perusahaan.
f. Clause 6 : Planning
Ketentuan ini berisikan tentang kewajiban bagi perusahaan untuk
mengindentifikasi seluruh resiko yang ada terhadap pelaksanaan sistem
manajemen serta menetapkan beberapa tujuan yang jelas dan juga kriteria
yang dapat digunakan dalam melakukan pengukuran atas keberhasilan dari
sistem manajemen.
g. Clause 7 : Support
Pada ketetapan ini berisikan tentang kewajiban bagi perusahaan untuk
mengidentifikasi seluruh resiko yang ada terhadap pelaksaan sistem
manajemen serta menetapkan beberapa tujuan yang jelas dan juga kriteria
yang dapat digunakan dalam melakukan pengukuran atas keberhasilan dari
sistem manajemen.
47
h. Clause 8 : Operation
Ketetapan ini berisi tentang bagian utama keahlian yang spesifik dari
keberlangsungan bisnis.Setiap perusahaan diharuskan melakukan sebuah
analisa terhadap dampak bisnis dengan tujuan untuk memahami
bagaimana usaha bisnisnya dapat dipengaruji oleh beberapa gangguan dan
bagaimana hal tersebut dapat berubah dari waktu ke waktu. Dan juga
perusahaan membutuhkan sebuah proses Risk Assesment, Bussiness
Continuity Strategy, Business Continuity Procedures, dan Excercising &
Testing dalam menjamin keberlangsungan proses bisnisnya.
i. Clause 9 : Performance Evaluation
Setiap sistem managemen pasti melakukan proses evaluasi atas kinerja
dari setiap perencanaan yang sudah dibentuk sebelumnya, karena dengan
adanya proses evaluasi tersebut perusahaan dapat mengukur diri yang
disesuaikan dengan matrik kinerja. Audit internal harus tetap dilakukan
dan adanya persayaratan bagi manajemen untuk melakukan peninjauan
terhadap BCMS dan melakukan tindakan yang sesuai atas hasil tinjauan
tersebut.
j. Clause 10 : Improvement
Pada ketetapan ini lebih mengarah kepada pendefinisian tindakan terkait
apa yang harus di ambil untuk meningkatkan kinerja dari BCMS dari
waktu ke waktu sehingga akan muncul peningkatan dari segi kinerja
perusahaan serta keuntungan yang didapat dengan mengoptimalkan
keseimbangan cost/benefit yang dimiliki perusahaan.
48
2.3.1 Standarisasi Penyusunan BCP Berdasarkan ISO 22301
Menurut (Provincial Electicity Authority, 2012) susunan BCP berdasarkan
ISO 22301 dengan susunan Pola PDCA adalah sebagai berikut :
a. Klausa 1 : Scope
Klausa 1 berisi cakupan standar dari pembuatan standarisasi ISO
22301, Cakupan yang dimaksud dari klausa 1 ini bukan merupakan
cakupan dari pembuatan BCP, melainkan cakupan umum dari
standarisasi ISO 22301.
b. Klausa 2 : Normative References
Klausa 2 berisi daftar dokumen yang pernah dibuat, sehingga dokumen
yang pernah dibuat dapat di track dengan baik.
c. Klausa 3 : Terms and Definitions
Klausa 3 berisi tentang istilah yang digunakan dalam pengerjaan
sebuah BCP.
d. Klausa 4 : Context of the organization
Terdiri dari 3 bagian :
1. Determining the context of the organization.
Pada bagian ini, pimpinan projek BCP harus mengetahui
issueinternal maupun eksternal yang sedang terjadi di organisasi
tersebut.
2. List of legal and requirements organization.
Pimpinan projek BCP harus mengetahui aturan atau kebijakan
yang berlaku di perusahaan, sehingga kerahasiaan organisasi dapat
terjaga dengan baik.
49
3. Scope of the BCP.
Cakupan BCP yang dibangun dijelaskan pada klausa ke 4,
sehingga projek BCP tidak keluar dari cakupan pengerjaan, dan
dapat menghemat waktu, uang, dan tenaga.
e. Klausa 5 : Leadership
1. Top Management Communication Programme
Memastikan pihak komite perusahaan / top management untuk
mendukung penuh jalannya projek BCP dan siapa saja yang
menyetujui pengerjaan BCP.
2. Roles, Responsibilities and Authorities
Pihak komite / top management harus mengetahui siapa saja yang
terlibat dalam pengerjaan BCP ini, apa saja rulespekerjaan dan
sampai batas mana otoritas team dalam pengerjaan BCP ini.
f. Klausa 6 : Planning
1. Business Continuity Management Plan
Rencana pengerjaan keberlangsungan bisnis untuk bisa tercapai
target maksimal, selain itu harus merencanakan sumber yang
dibutuhkan untuk membantu mencapai target pengerjaan BCP.
g. Klausa 7 : Support
1. Competences of personnel.
Pengerjaan BCP yang baik harus dikerjakan dengan personil tim
yang kompeten, bagian ini menjabarkan personil yang tergabung
ke dalam tim BCP, sehingga dapat di track record kompetensi yang
dimiliki personil.
50
2. Communication with interested parties
Alur komunikasi dengan pihak – pihak yang terkait dengan
organisasi.
h. Klausa 8 : Operation
1. Risk Analysis.
Analisa resiko dijabarkan pada klausa operation, semua resiko
yang akan terjadi di jabarkan di tahap ini.
2. Business Impact Analysis (BIA).
Proses penilaian fungsi bisnis organisasi untuk mengetahui fungsi
kritis yang harus difokuskan untuk mengembalikan organisasi ke
keadaan normal. Dalam analisis dampak bisnis, dilakukan evaluasi
risiko kegagalan proses bisnis dan identifikasi fungsi bisnis utama
beserta kebergantungan sumber daya. Analisis dampak bisnis
mencakup pemahaman proses bisnis, identifikasi fungsi bisnis
utama, identifikasi pemakaian IT dalam organisasi, identifikasi
sumber daya, dan analisis dampak risiko terhadap bisnis.
3. Business Continuity Procedures.
Tahapan yang harus dilakukan untuk keberlangsungan bisnis
walaupun terjadi bencana.
i. Klausa 9 : Performance Evaluation
Terdiri dari :
1. Data and results of monitoring and measurement.
Tahap ini berisi pengukuran dan monitor dari pengerjaan BCP
yang dikerjakan di suatu organisasi.
51
2. Result of internal audit.
Tahap ini berisi hasil dari pengukuran dan audit dari pihak audit
internal perusahaan, apakah pengerjaan BCP yang dibuat telah
sesuai dan tidak menyalahkan peraturan dari organisasi.
3. Result of management review.
Tahap ini berisi hasil dari penilaian top management dari review
hasil BCP yang telah dikerjakan.
j. Klausa 10 : Improvement
Terdiri dari :
1. Procedure for continual improvement.
Tahapan ini berisi tata cara atau prosedur dalam meningkatkan
BCP yang telah dibuat, sehinggamenjadi lebih baik.
2. BCMS continual improvement action log.
Tahap ini berisi tentang pencatatan log atau aktivitas di dalam
peningkatan keberlanjutan BCP.
2.4 BCI GPG 2008
GPG pertama kali dipublikasikan oleh BCI (Business Continuity Institute)
pada tahun 2002.Publikasi pertama ini memiliki peranan yang sangat besar
terhadap perkembangan PAS 56 (Public Available Spesification 56) yang
merupakan cikal bakal ISO 22301. GPG 2008 ini ditulis dengan mengikuti
struktur ISO 22301 dan dapat dilihat sebagai sebuah panduan implementasi dan
teks definitif bagi yang ingin memahami BC dengan cara yang lebih
comperhensif. Meskipun begitu GPG 2008 tidak dapat digunakan sebagai
dokumen pengganti yang dapat digunakan untuk mengimplemantasi ISO
52
22301(Business Continuity Institute, 2007). GPG 2008 menggunakan skematik
diagram dan daftar istilah dari ISO 22301 dan mengimplementasikan daur PDCA
(PlanDo Check Act) sebagaimana ISO 22301.
Tabel 2.5 Daur PDCA Implementasi BCMS pada CPI GPG 2008 (BCI , 2010)
Tahapan Penjelasan
Plan Pembuatan kebijakan, tujuan dan ruang lingkup dari
program -section 1a
Do Implementasi program BCMS-section 1b, 2-6
Check Internal audit dan tinjauan manajemen terhadap BCMS -
tidak dibahas
Act Implementasi dan hasil tinjauan -tidak dibahas
Tabel II – 5 pada tahapan Check dan Acttidak dibahas dalam CPI GPG
2008 karena dari spesifikasi ISO 22301, kedua tahapan tersebut merupakan
tahapan audit, yang bukan merupakan kebutuhan dari program BCMS.
• TAHAP PERTAMA : Manajemen Program BCMS
Manajemen Program BCMS mengacu pada klausa 4 dan klausa 5 pada
ISO 22301, tahapan ini memiliki komponen sebagai berikut :
• A. Kebijakan BCMS (mengacu pada klausa 4.1)
Kebijakan BCMS adalah suatu dokumen yang menetapkan dan
memerintahkan program BCMS untuk dilaksanakan. Kebijakan ini
memberikan konteks bagaimana sebuah tim BCMS mengimplementasikan
kemampuan yang dibutuhkan dari sebuah program BCMS. Beberapa
langkah utamanya adalah sebagai berikut :
53
o Memastikan program BCMS mendukung tujuan dan
budaya organisasi
o Memutuskan ruang lingkup BCMS
o Memformulasikan kebijakan BCMS
1A1. Bercermin pada konteks organisasi
Sebuah Program BCMS yang baik harus mencerminkan
pada tujuan dan budaya organisasi. Beberapa pertanyaan yang
perlu dijawab antara lain :
• Apa tujuan organisasi?
• Bagaimana tujuan tersebut diraih?
Tujuan dari langkah ini adalah :
•Memahami arah dan fokus dari bisnis sebelum melakukan
langkah BIA ataupun Risk Assesment.
• Membantu memahami rencana bisnis untuk ekspansi,
perampingan,restrukturisasi dsb, dalam jangka menengah
maupun panjang. Informasi ini mungkin tidak dimiliki oleh
orang yang bertanggung jawab terhadap program BCMS,
padahal orang tersebut sangat bergantung pada ukuran
organisasi. Pengetahuan akan rencana bisnis akan membantu
mengembangkan strategi yang lebih sesuai dan fleksibel bagi
organisasi.
54
•Untuk menetapkan skala parameter geografis untuk pilihan
pemulihan
Alat utama untuk membantu melakukan proses ini antara
lain dengan menguraikan pemahaman terhadap rencana jangka
panjang perusahaan, informasi manajemen terkini yang
menguraikan proses secara detail, volume, target dan apabila
mungkin nilai-nilai yang terkuantifikasi dari sebuah aktivitas. Hasil
dari proses ini antara lain : ruang lingkup dan daftar dokuman yang
akan digunakan dalam proses BIA dan RiskAssessment.
1A2. ISI KEBIJAKAN BCMS
Sebuah dokumen Kebijakan BCMS akan berisi (atau
mengacu pada dokumen tambahan), antara lain :
• Definisi BCMS berdasarkan Organisasi
• Definisi ruang lingkup program BCMS
• Sebuah dokumentasi kerangka kerja operasional BCMS untuk
manajemen program BCMS termasuk tanggung jawab
• Dokumen yang berisi sekumpulan prinsip BCMS, panduan dan
standar minimum
• Rencana implementasi dan pemeliharaan kebijakan BCMS
Sebuah kebijakan BCMS seharusnya ditinjau setiap saat,
sebuah peninjauan secara Formal terhadap kebijakan tersebut
biasanya dipicu oleh perubahan pada lingkungn eksternal
organisasi seperti regulasi maupun perubahan pasar.
55
1A3. RUANG LINGKUP PROGRAM BCMS
BCMS mengijinkan ruang lingkup dari standar untuk
diimplementasikan pada bagian tertentu saja dari organisasi.
Misalnya pada layanan tertentu, pada produk tertentu atau pada
wilayah geografi tertentu
Tujuan dari langkah ini adalah untuk memastikan ruang
lingkup dari program BCMS. Dokumentasi dari 'pilihan' dari setiap
produk dan layanan dimaksudkan untuk menyebutkan secara
eksplisit bagaimana organisasi akan atau tidak akan melindungi
suatu produk atau layanan.
• B. Manajemen Program
Faktor kunci penentu keberhasilan dari program BCMS adalah
penujukan orang yang tepat untuk menangani dan mengawasi
program BCMS. Langkah – langkah kunci dalam tahapan ini
adalah :
B1. MENETAPKAN TANGGUNG JAWAB
Tujuan dari proses ini adalah untuk memastikan tugas yang
diperlukan untuk mengimplementasi dan memelihara program
BCMS telah berikan kepada individual spesifik yang kompeten
dengan kinerja yang dapat dimonitor
1B2. MELAKUKAN IMPLEMENTASI BCMS DI
ORGANISASI
56
Tujuan dari langkah ini adalah untuk memastikan
keberlangsungan program BCMS ditetapkan pada organisasi.
Keberlangsungan sebuah program BCMS artinya telah
mendapatkan komitmendari organisasi dan memiliki struktur dan
prosedur untuk memastikan pemeliharaan kesiapan dan
peningkatan dapat dilakukan di masa depan.
1B3. MANAJEMEN PROYEK
Ketika mengimplementasikan BCMS untuk pertama kali
sebuah organisasi harus mengadopsi metode manajemen proyek
yang sesuai. Metode itu harus menyertakan kebutuhan untuk
tinjauan reguler terhadap progres berdasarkan tanggal dan
millestoneyang telah disetujui sebelumnya
1B4. MANAJEMEN BC YANG BERKELANJUTAN
Tujuan dari langkah ini adalah untuk menyediakan
manajemen yang efektif dan berkelajutan dari program BCMS.
Jumlah professional praktisi BCMS dan staf dari disiplin
manajemen yang lain yang mungkin diperlukan untuk mendukung
dan menangani program BCMS tergantung ukuran, karakteristik,
kompleksitas dan lokasi geografis dari organisasi tersebut. Sebuah
aktivitas BCMS di organisasi yang kecil mungkin saja diberikan
kepada individual merangkap tugas yang lain. Di organisasi yang
lebih besar mungkin bisa terdiri dari beberapa staf pekerja tetap
atau paruh waktu. Sebesar ataupun sekecil apapun sebuah
57
organisasi program BCMS harus dikelola secara berkelanjutan dan
dilakukan review secara internal maupun eksternal dalam jangka
waktu yang telah ditentukan sebelumnya.
1B5. DOKUMENTASI
Salah satu bagian penting dari proses BCMS adalah untuk
mengelola semua dokumentasi BCMS. Dokumentasi harus
dikelola konsistensinya, kemudahan untuk dimengertidan
menyediakan dukungan baik operasional maupun audit/review.
Sebuah organisasi yang telah menetapkan standar yang lain seperti
ISO 9000 atau ISO 27001 perlu meninjau dokumentasi standar-
standar tersebut sehingga dokumentasi dari program BCMS dapat
sesuai (fit) dengan dokumentasi dari standar-standar tersebut.
Dokumentasi BCMS memiliki 3 tujuan :
• Untuk mengelola program secara efektif
• Untuk membuktikan manajemen program yang efektif sewaktu
terjadinya audit
• Terdapatnya dokumentasi yang paling baru dan efektif pada
waktu terjadinya gangguan yang mungkin dibutuhkan untuk
melakukan pemulihan.
1B6. KESIAPAN DAN TANGGAPAN INSIDEN
Pihak-pihak yang terlibat dalam BC harus selalu siap untuk
memberikan arahan ketika terjadi insiden. Setiap pihak yang
terlibat harus menjaga level kesiapan sehingga maajemen insiden
58
dapat mengambil alih situasi dengan mulus ketika sebuah insiden
terjadi.
Proses-proses yang terlibat antara lain :
• Menerima pemberitahuan dari masalah
• Melakukan asesment situasi kemudian menangani masalah
tersebut melalui rencana yang telah dipersiapkan atau
meningkatkan insiden ini ke IMT (Incident ManagementTeam)
• Jika sebuah tindakan diperlukan maka beberapa hal yang patut
dipertimbangkan antara lain : apakah seorang pemimpin secara
emosional dan fisik siap untuk membantu atau memimpin
langkah respon, apakah orang lain yang Bertanggung jawab
dapat untuk menjalankan tanggung jawabnya - beberapa orang
bereaksi dengan tidak biasa ketika terjadinya insiden dan yang
terakhir adalah apakah seorang penanggungjawab BCP, sudah
mengkomunikasikan apa yang terjadi pada manajemen senior
Hasil yang diharapkan dari proses ini adalah respon yang sesuai
untuk mencapai bisnis sebagaimana biasa (Business as usual)
dari sebuah organisasi.
• TAHAP KEDUA : MEMAHAMI ORGANISASI
Tahapan ini mengacu pada klausa 4 pada ISO 22301 dan merupakan
element kunci dalam BCMS.Berguna untuk mengindentifikasi produk-produk
dan layanan kunci organisasi dan mendefinisikan aktivitas yang kritis waktu
yang mendukungnya.
59
Bagian BCMS ini harus diintegrasikan secara penuh terhadap tujuan,
kewajiban dan tanggung jawab hukum yang dimiliki oleh organisasi. Lebih
lanjut proses BIA dan RiskAssessmentseringkali menemukan ketidakefisienan
dalam bisnis dan fokus terhadap prioritas yang mungkin tidak akan disebutkan
secara jelas oleh pihak manajemen.
2A1. BUSINESS IMPACT ANALYSIS
BIA adalah dasar dari seluruh proses BCMS. Di dalam proses
inidiidentifikasi, mengkuantifikasi dan kualifikasi dampak bisnis terhadap
gangguan yang dialami oleh bisnis proses dari suatu organisasi dan
menyediakan data sehingga Continuity strategyyang sesuai dapat
ditentukan.
Proses yang harus ada sebelum melakukan BIA adalah
mendapatkandukungan dari eksekutif atau top manajemen, menentukan
produk dan service yang akan dimasukkan ke dalam BIA, ruang lingkup
dan syarat-syarat dari program BCMS yang terangkum dalam dokumen
Kebijakan BCMS.
Setelah ruang lingkup ditentukan proses BIA memfokuskan pada
aktivitas yang mendukung produk dan layanan tersebut. Biasanya
merupakan aktivitas-aktivitas operasional yang berinteraksi dengan
konsumen dan dengan pihak di luar organisasi.Hasil akhir dari sebuah
proses BIA adalah :
60
• MTD/MTPD dan justifikasi untuk setiap aktivitas
• RPO untuk informasi yang digunakan di dalam aktivitas ini sehingga
memungkinkan aktivitas dapat berjalan kembali setelah diresume.
GPG 2008 menyarankan BIA untuk dijalankan minimal satu tahun
sekali namun dapat lebih jika :
• terjadi perubahan kecepatan aktivitas bisnis
• terjadi perubahan signifikan terhadap bisnis proses internal, lokasi
maupun teknologi
• terjadi perubahan di lingkungan bisnis eksternal, seperti perubahan
pasar maupun regulasi.
2A2. ESTIMASTI KEBUTUHAN PEMULIHAN
Aktivitas ini pada dasarnya mengumpulkan informasi mengenai
jumlah sumber daya yang diperlukan untuk memulai kembali dan
melanjutkan ke sebuah level yang diperlukan untuk memenuhi kewajiban
organisasi. Aktivitas ini biasanya berlangsung bersamaan dengan aktivitas
BIA. Tujuan dari aktivitas ini adalah :
• Menyediakan informasi sumber daya sehingga strategi pemulihan
yang sesuai dapat ditentukan/dipilih.
• Mengidentifikasi kebutuhan sumber daya dari ketergantungan antar
aktivitas yang terdapat di internal maupun eksternal.
Hasil dari aktivias analisis kebutuhan pemulihan antara lain :
61
• Daftar sumber daya yang dibutuhkan selama masa waktu sesudah
pelanjutan kembali untuk menyediakan service levelyang disetujui
sebelumnya
• Ketergantungan antara aktivitas internal, eksternal supplier
Informasi dari tahap ini akan dipergunakan langsung pada tahap
MENENTUKAN STRATEGI BC. Informasi kebutuhan sumber daya
akan menyediakan data untuk mengevaluasi solusi pemulihan alternatif
untuk kecukupan ukuran dan kinerja
2A3. RISK ASSESSMENT
Aktivitas Assessmentrisiko dalam konteks BCMS akan mencari
kemungkinan dan dampak dari berbagai macam ancaman yang spesifik
yang dapat menyebabkan gangguan pada aktivitas bisnis. Tujuan dari
aktivitas risk assessmentadalah :
• Mengidentifikasi ancaman internal dan eksternal yang dapat
menyebabkan gangguan dan melakukan Assessmentterhadap
kemungkinan dan dampak yang mungkin ditimbulkan.
•Memberikan prioritas terhadap ancaman berdasarkan Formula yang
sudah ditetapkan sebelumnya.
• Untuk memberi informasi kepada program kontrol manajemen risiko
dan rencana kerja.
62
Hasil dari aktivitas ini adalah identifikasi dan dokumentasi dari :
• Titik tunggal kegagalan kerja.
• Daftar ancaman yang sudah terurut berdasarkan prioritas terhadap
organisasi atau terhadap salah satu bisnis proses yang dianalisa.
• Informasi yang dapat dipergunakan untuk membuat strategi manajemen
kontrol risiko dan rencana kerja untuk risiko yang sudah teridentifikasi.
• Sebuah dokumen acceptanceterhadap risiko teridentifikasi yang tidak
ditangani.
• TAHAP KETIGA : MENENTUKAN STRATEGI BC
Aktivitas ini mengacu pada klausa 6 pada ISO 22301.Aktivitas ini
memungkinkan sekumpulan strategi untuk dievaluasi dan respon yang sesuai
di pilih untuk setiap produk dan layanan sehingga organisasi tetap dapat
memberikan produk dan layanan tersebut pada jangka waktu yang dapat
diterima pada saat terjadinya gangguan. Pilihan yang dibuat akan
memperhitungkan resilience dan pilihan tindakan yang telah ada sebelumnya
di dalam perusahaan.
3A1. MENENTUKAN STRATEGI BUSINESS CONTINUITY
Tujuan dari langkah ini adalah untuk memastikan bahwa
keseluruhan Continuity strategytelah mendukung penyampaian produk dan
servis organisasi. Beberapa konsep dan asumsi untuk langkah ini antara
lain :
• Pemisahan jarak (off-site) : seringkali insiden menyebabkan lokasi
kantor tidak dapat diakses, sehingga perlu untuk dipastikan bahwa
63
data elektronis dan rekaman lain diduplikasi dan disimpan di lokasi
lain yang secara georgafis terpisah. Dua lokasi yang secara geografis
terpisah akanmengurangi kemungkinan kedua lokasi tersebut
terpengaruh oleh insiden yang sama.
Menurut GPG 2008 tidak ada jarak minimum atau jarak
seharusnya namun biasanya limit ini lebih kepada berapa jauh seorang
staf dapat pergi (misalnya sekitar 1 jam dari kantor)
• Resilience:digunakan untuk mengindikasikan sesuatu yang mengalami
kergagalan fungsi namun masih dapat melanjutkan operasinya. Di
dalam TI istilah ini seringkali dianggap seakan-akan mutlak (sama
sekali tidak terganggu oleh gangguan) misalnya teknologi RAID akan
meningkatkan resiliencehardiskServernamun tidak meningkatkan
resilienceketika terjadinya kebakaran. Menambahkan jarak geografis
dari off-siteakan menambahkan organizational-resiliencemeskipun
mungkin masih terpengaruh oleh insiden yang menyebar secara luas,
pandemik, atau virus komputer.
3A2. PEMILIHAN AKTIVITAS KEBERLANGSUNGAN
Aktivitas/langkah ini mencakup proses pemilihan taktik yang
sesuai untuk setiap aktivitas yang mendukung penyampaian dari satu atau
lebih produk dan layanan di dalam ruang lingkup program BCMS. Taktik
yang sesuai untuk setiap aktivitas harus dipilih untuk mencakup sumber
daya yang diperlukan di area antara lain :
• Manusia, keterampilan dan pengetahuan
• Tempat
64
• Teknologi
• Supplier
• Stakeholder
Syarat untuk dapat menjalankan aktivitas ini adalah seluruh RTO
dari produk dan layanan sudah ditentukan sebelum menentukan RTO
untuk setiap aktivitas dan pemilihan taktik dilakukan.Tujuan dari langkah
ini adalah untuk memastikan bahwa pemilihan aktivitas keberlangsungan
untuk setiap aktivitas mendukung secara benar penyampaian produk dan
layanan organisasi. Aktivitas yang proses pemulihannya paling penting
bisa saja diproses lebih lanjut untuk mengurangi berbagai aktivitas
pengurangan ancaman yang sesuai. Beberapa konsep dan asumsi untuk
untuk langkah ini antara lain :
• Kehandalan / Reability: Seringkali keputusan manajemen dibuat
berdasarkan perhitungan biaya dan kehandalan dari penyampaian
layanan pihak ketiga yang diperlukan untuk pemulihan.
• Perluasan Perencanaan : Perluasan dan detail kepada setiap taktik
untuk setiap aktivitas yang perlu direncanakan tergantung pada
keperluan masing-masing aktivitas dan tingkat kerumitan dari
kebutuhan.
3A3. KONSOLIDASI LEVEL SUMBER DAYA
Setelah melakukan pemilihan taktik pemulihan untuk setiap
aktivitas bisnis maka tim BCMS perlu melakukan konsolidasi kebutuhan
sumber daya, menentukan bagaimana cara mendapatkannya dan
65
memasukannya ke dalam BCP. Langkah ini memiliki 2 tujuan utama
antara lain :
• Jika sumber daya yang dibutuhkan akan dibeli maka harga yang lebih
baik akan didapatkan jika membelinya dalam satu kali pembelian
besar daripada membelinya secara eceran
• Dengan melakukan koordinasi sumber daya dapat mencegah
terjadinya konflik - misalnya lebih dari satu aktivitas di dalam sebuah
gedung memiliki tempat kerja yang sama di tempat yang lain.
Hasil yang diharapkan dari langkah ini adalah sekumpulan sumber
daya dan layanan yang dapat diterapkan dalam kontrol BCP yang
menyediakan pemulihan fungsi bisnis ke dalam level yang dapat diterima
(didalam jangka waktu RTO maupun pemulihan informasi didalam RPO)
• TAHAP KEEMPAT : MENGIMPLEMENTASIKAN DAN
MENGEMBANGKAN RESPON BCMS
Aktivitas ini mengacu pada klausa 7 dan 8 pada ISO
22301.Mengembangkan dan mengimplemantasikan respon BCMS
menghasilkan kerangka kerja manajemen dan struktur manajemen insiden,
BCP dan BRP (Business Recovery Plan) yang merinci langkah-langkah
yang diambil selama dan setelah insiden untuk menjaga atau memulihkan
operasi.
4a1. INCIDENT MANAGEMENT PLAN
Mengembangkan IMP merupakan langkah pertama yang harus
dilakukan pada sebuah organisasi yang belum memiliki rencana kerja,
66
dengan begitu menyediakan sebuah level perlindungan yang terbatas
sementara rencana lain dikembangkan. Tujuan dikembangkannya IMP
adalah untuk memberikan kerangka kerja yang terdokumentasi untuk
menangani semua jenis krisis apapaun penyebabnya (meskipun tidak ada
BC responseyang sesuai untuk ancaman-ancaman seperti reputasi) Hasil
dari langkah ini antara lain :
• Sebuah IMP yang dapat mendukung peranan dari tim incident
managmentselama berlangsungnya krisis
• Sebuah Incident Communication Planyang dapat menangani media
dan stakeholder selama berlangsungnya krisis
• Demonstrasi dari kesiapan terhadap incident managemnt yang efektif
terhadap media, pasar, konsuman, stakeholderdan regulator.
4a2. BUSINESS CONTINUITY PLAN
Sebuah BCP menyatukan respon dari seluruh organisasi di saat
terjadinya insiden yang mengganggu dengan memfasilitasi pemulihan
aktivitas bisnis. Komponen dan isi dari sebuah BCP akan berbeda dari
suatu organisasi ke organisasi yang lain dan akan memiliki tingkat
kedetailan yang berbeda berdasarkan budaya organisasi beserta tingkat
kerumitan dari solusi.
Untuk dapat menulis sebuah BCP yang efektif elemen-elemen
kunci dari strategi pemulihan harus sudah direncanakan terlebih dahulu
Tujuan dari sebuah BCP adalah untuk menyediakan kerangka kerja yang
terdokumentasi dan proses yang memungkinkan organisasi untuk dapat
67
melanjutkan bisnis proses di dalam RTO mereka. Sebuah dokumen BCP
yang berdiri sendiri tidak dapat mendemonstrasikan kapasitas maupun
kemampuan BCMS.
• TAHAP KELIMA : PELATIHAN, MENJAGA, DAN MENINJAU
PROGRAM BCMS.
• TAHAP KEENAM :MENANAMKAN BCMS DI BUDAYA
ORGANISASI.
Tahap kelima dan keenam berada diluar lingkup pengerjaan penelitian ini,
sehingga tidak akan masuk ke dalam pembahasan.
Secara garis besar GPG 2008 bukan merupakan standar yang berdiri
sendiri melainkan ditulis dengan mengikuti struktur ISO 22301 dan dapat dilihat
sebagai sebuah panduan implementasi dan teks definitif bagi yang ingin
memahami BC dengan cara yang lebih comperhensif. GPG 2008 tidak dapat
digunakan sebagai dokumen pengganti yang dapat digunakan untuk
mengimplemantasi ISO 22301, Sehingga GPG 2008 tidak dapat dibandingkan
dengan standar-standar yang lain melainkan sebagai pelengkap (panduan
implementasi dan teks definitif) dari ISO 22301.
2.5 Metode Pengumpulan Data
Data dapat didapatkan dari sumber primer maupun sekunder.Data primer
mengacu pada informasi yang didapatkan secara langsung oleh
peneliti.Sedangkah data sekunder mengacu pada data-data yang telah
ada.Pemilihan metode pengumpulan data bergantung pada fasilitas yang tersedia,
68
tingkat keakuratan yang dibutuhkan, tingkat keahlian/expertise dari peneliti,
jangka waktu penelitian dan biaya juga sumberdaya yang berhubungan dengan
penelitian(Sekaran, 2003). Secara umum ada beberapa pihak yang biasanya
terlibat dalam sebuah proses perancangan BusinessContinuity Plan atau biasa
disebut key contributormereka adalah (Snedaker, 2007):
a. InformationSystem
b. Human Resources
c. Facilities/Security
d. Financial/Legal
e. Purchasing/Logistics
f. Marketing and Sales
Beberapa metode pengumpulan data antara lain(Sekaran, 2003):
2.5.1 Wawancara(Interview)
Wawancara terhadap respondenadalah salah satu metode
pengumpulan data untuk mendapatkan pokok permasalahan.Wawancara
dapat dilakukan secara tidak terstruktur maupun terstruktur dan dilakukan
baik tatap muka secara langsung, menggunakan telepon maupun
online.Sekarang mengungkapkan beberapa kelebihan dan kekurangan
wawancara tatap muka ataupun melalui telepon.
Wawancara secara bertatap muka mempunyai keunggulan bahwa
peneliti dapat menyesuaikan bentuk pertanyaan sesuai dengan
kepentingan, dapat mengklarifikasikan keragu-raguan dan menjamin
bahwa respon yang diberikan oleh responden benar-benar dipahami oleh
69
peneliti melalui pengulangan pertanyaan.Selain itu dalam wawancara tatap
muka peneliti dapat melihat mimik responden, misalkan responden sedang
stress atau kurang nyaman.Sedangkan kekurangannya adalah keterbatasan
geografis, selain itu biayanya juga lebih cukup tinggi dibandingkan dengan
melalui telepon atau kuisioner Kelebihan wawancara melalui telepon
adalah jumlah responden yang dapat diraih seangat banyak dalam
jangkauan geografis yang luas bahkan mungkin berbeda negara. Selain itu
juga akan mengurangi ketidaknyamanan yang mungkin ditemukan dalam
wawancara tatap muka. Sedangkan kelemahan dari metode ini adalah
responden dapat secara tiba-tiba menghentikan wawancara tanpa
persetujuan peneliti.
2.5.2 Kuisioner (Questionnaires)
Sebuah kuisioner adalah sekumpulan pertanyaan yang sudah
diFormulasikan sebelumnya (biasanya pertanyaan tertutup) dimana
responden mencatat jawaban mereka. Kuisioner adalah metode
pengumpulan data yang sangat efektif jika peneliti mengetahui dengan
pasti apa yang dibutuhkan dan bagaimana mengukur variabel yang
menjadi minat penelitian. (Sekaran, 2003)mengungkapkan beberapa
kelebihan dan kekurangan kuesioner, kelebihan kuisioner adalah :
1. Dapat disusun dengan teliti dan tenang dalam kamar kerja si peneliti.
2. Memungkinkan banyak orang yang dapat dihubungi sebagai responden.
3. Waktu yang diperlukan untuk memperoleh responden yang banyak
relatif singkat.
70
4. Orang dari bidang ilmu sosial yang lain dapat menggunakan kuisioner
serta jawaban untuk analisis dan interpretasi yang berbeda
Sedangkan kekurangannya adalah :
1. Semua pertanyaan sudah ditetapkan terlebih dahulu, sehingga sulit
untuk menangkap semua permasalahan yang khusus ada di suatu
masyarakat,misalkan suatu kejadian politik, bencana alam, atau musim
pertanian yang berpengaruh pada suatu bagian masyarakat yang lain.
2. Sifat kaku, tidak ada atau sedikit keleluasaan untuk mengubah
pertanyaan agar lebih cocok dengan alam pikiran atau pengetahuan para
responden.
3. Tidak dapat memperoleh hasil yang mendalam, karena pertanyaannya
bersifat luas dan mendatar.
2.5.3 Kategori dan struktur pertanyaan
Kuisioner dan jadwal wawancara (sebuah istilah alternatif untuk
kuisioner yang digunakan dalam wawancara personal) dapat merentang
dari kuisioner yang mempunyai sangat baik hingga yang secara essensial
tidak terstruktur. Kuisioner mengandung tiga kategori pertanyaan
pengukuran :
1. Pertanyaan administratif : mengidentifikasi partisipan,
pewawancara, lokasi dan kondisi wawancara.
2. Pertanyaan klasifikasi: Pertanyaan ini jarang diajukan pada
partisipan namun diperlukan untuk pola kajian data dan identifikasi
kemungkinan sumber error. pertanyaan jenis ini biasanya
71
mencakup variabel sosial-demografis yang memungkinkan
jawaban partisipan dikelompokkan sehingga dapat
mengungkapkan pola dan dapat dipelajari.
3. pertanyaan target(terstruktur dan tidak terstruktur) : mengarah pada
pertanyaan investigatif dari kajian tertentu. Pertanyaan ini
dikelompokkan menurut topik dalam survei. Pertanyaan target
dapat terstruktur (memberikan partisipan himpunan pilihan yang
tetap sehingga sering disebut pertanyaan tertutup) atau tidak
terstruktur (tidak membatasi tanggapan tetapi tidak menyediakan
kerangka referensi untuk jawaban partisipan, seringkali disebut
sebagai pertanyaan terbuka)
2.6 Penelitian Sebelumnya
1. Pada survey yang dlakukan oleh Business Continuity
Institute(Standard, 2012), 85% dari 613 responden yang berasal dari
60 negara, menyatakan bahwa standar ISO 22301 dapat menyediakan
common language dalam menjalankan proses BCMS antara pelanggan,
supplier, dan keperluan internal dengan struktur dan lengkap.
2. Journal dari (Blanked & McGrady, 2011) mengukapkan pentingnya
membuat sebuah BCP ketika sebuah bencana terjadi. Dari journal ini
dapat diambil beberapa pelajaran dari kejadian kebakaran yang
menimpa asosiasi perawat (VNA – Visiting Nursing Association) pada
bulan Desember 2011, yaitu :
• Pelajaran pertama : VNA tidak pernah menyadari bahwa Risiko
bisa terjadi sewaktu – waktu, sehingga ketika bencana terjadi
72
para staff di VNA hanya saling melimpahkan kesalahan.
Sehingga dengan adanya BCP yang baik, maka tidak
akanterjadi saling melimpahkan kesalahan, karena setiap orang
memiliki tanggung jawab masing – masing.
• Pelajaran kedua : Komunikasi yang efektif, dengan adanya
BCP, top management sudah mengetahui prosedur apa saja
yang harus di lakukan ketika bencana terjadi, sehingga
komunikasi dari top management dan staff dapat berjalan
dengan baik ketika suatu bencana terjadi.
• Pelajaran ketiga : Alternatif lokasi penyimpanan sangat
diperlukan, VNA memusatkan pusat datanya hanya pada satu
lokasi, sehingga ketika bencana kebakaran terjadi, para staff
VNA tidak sempat untuk memindahkan data penting tersebut,
mengakibatkan data penting yang dimiliki VNA hilang.
3. Penelitan melalui (Standard, 2012) dengan buku strategic BCP
menyebutkan bahwa ISO 22301 memiliki 54 Point dari 101 point
sistem keamanan dan bersifat umum serta dapat diterapkan oleh
berbagai organisasi tanpa memperdulikan tipe organisasi. Sehingga
ISO 22301 sangat fleksibel dan mudah diterapkan.
4. Cahyadi (Cahyadi, 2006) melakukan penelitian Business Continuity
Plan berdasarkan kuantifikasi nilai ekonomis sistem aplikasi pada
industri penerbangan : Studi kasus pada PT. Garuda Indonesia. Tujuan
dalam penelitian tersebut adalah menganalisa pendekatan dalam
mengkuantifikasi nilai ekonomis yang timbul akibat kegagalan atau
73
tidak berfungsinya suatu sistem aplikasi TI sebagai dasar dalam
melakukan evaluasi dan pengukuran investasi TI yang diharapkan
dapat digunakan sebagai bagian dari implementasi BCP. Penelitian
tersebut telah mengkuantifikasi nilai manfaat tangible maupun
intangible dari sistem aplikasi untuk mengetahui kerugian bisnis dan
potensi biaya yang akan timbul bila sistem tidak berfungsi serta biaya
untuk mengimplementasikan alternative – alternative pendekatan BCP.
5. Slamet (Slamet, 2006) dan Novianto (Novianto, 2006) dalam laporan
proyek akhirnya melakukan penelitian kerangka kerja yang terbukti
lebih teruji menggunakan Price Waterhouse System Management
Methodology, PWSMM+ terdiri dari tiga tahap utama, tiap tahap
dibagi dalam beberapa fase, yaitu : tahap analisa dampak bisnis, tahap
seleksi strategi, tahap rencana persiapan, pengujian, dan pemeliharaan.
6. Kusmayadi (Kusmayadi, 2010) melakukan penelitian perancangan
BCP studi kasus PT. X dibuat dengan menggunakan framework
Business Continuity dan Disaster Recovery dari Sharing Vision serta
berpedoman pada penerapan manajemen Risiko dalam penggunaan
teknologi informasi yang ditetapkan bank Indonesia No.
9/15/PBI/2007 yang telah disesuaikan dengan nature bisnis perusahaan
khususnya untuk penetapan definisi dan syarat minimal yang harus
tersedia dalam sebuah dokumen BCP.