BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat...

69
BAB 2 LANDASAN TEORI Bab ini akan membahas landasan teori yang digunakan dalam perancangan Business Continuity Plan (BCP) yang sesuai dengan kebutuhan PT NET Mediatama Indonesia. Literatur yang digunakan antara lain penelitian mengenai Business ContinuityPlan (BCP) dan beberapa standar yang biasa dipakai dalam perancangan BCP, Business Impact Analysis dan Risk Management terkait dengan perancangan Business Continuity. 2.1. Business Continuity Plan (BCP) Pada sub bab ini akan dilakukan pembahasan mengenai BCP secara lebih mendalam mulai dari definisi, komponen – komponen sebuah BCP sampai dengan mengapa sebuah organisasi membutuhkan BCP. 2.1.1 Pengertian Terdapat beberapa definisi BCP/BCMS yang didapat dari beberapa sumber literatur, di antaranya : a. Menurut (Modiri & Ghorbani, 2010)sebuah BCP adalah sebuah rencana yang komperhensif yang menjamin keberlangsungan dari layanan yang disediakan yang memiliki informasi tentang informasi yang rentan, kondisi atau situasi tertentu. b. Menurut (Snedaker, 2007)Business Continuity Plan adalah metodologi yang dapat digunakan untuk membuat dan memvalidasi

Transcript of BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat...

Page 1: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

BAB 2

LANDASAN TEORI

Bab ini akan membahas landasan teori yang digunakan dalam

perancangan Business Continuity Plan (BCP) yang sesuai dengan kebutuhan PT

NET Mediatama Indonesia. Literatur yang digunakan antara lain penelitian

mengenai Business ContinuityPlan (BCP) dan beberapa standar yang biasa

dipakai dalam perancangan BCP, Business Impact Analysis dan Risk Management

terkait dengan perancangan Business Continuity.

2.1. Business Continuity Plan (BCP)

Pada sub bab ini akan dilakukan pembahasan mengenai BCP secara lebih

mendalam mulai dari definisi, komponen – komponen sebuah BCP sampai

dengan mengapa sebuah organisasi membutuhkan BCP.

2.1.1 Pengertian

Terdapat beberapa definisi BCP/BCMS yang didapat dari beberapa

sumber literatur, di antaranya :

a. Menurut (Modiri & Ghorbani, 2010)sebuah BCP adalah sebuah

rencana yang komperhensif yang menjamin keberlangsungan dari

layanan yang disediakan yang memiliki informasi tentang informasi

yang rentan, kondisi atau situasi tertentu.

b. Menurut (Snedaker, 2007)Business Continuity Plan adalah

metodologi yang dapat digunakan untuk membuat dan memvalidasi

Page 2: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

6

c. sebuah rencana keberlangsungan bisnis sebelum, saat terjadinya dan

setelah sebuah bencana terjadi.

d. Menurut (Hiles, 2007) BCP merupakan sebuah perencanaan yang

lebih berkaitan dengan manajemen dibandingkan dengan perencaan

teknis. Perencanaan dibuat berdasarkan pemahaman akan organisasi,

elemen yang mendukung proses bisnis organisasi, evaluasi

kerusakan yang mungkin timbul dari elemen tersebut, dan

mengetahui pihak yang akan menangani situasi yang kritis serta cara

melakukan penanganannya.

2.1.2 Komponen Bisnis BCP

BCP Mencakup seluruh komponen bisnis yang terlibat dalam

organisasi, yaitu manusia, proses dan teknologi, sehingga dapat membuat

sebuah perencanaan yang menjamin kontinuitas bisnis organisasi secara

menyeluruh (Snedaker, 2007). Elemen bisnis dapat ditentukan

berdasarkan berbagi aspek, namun untuk tujuan pembuatan BCP, bisnis

dapat dibagi menjadi 3 kategori, yaitu manusia, proses , dan teknologi.

Gambar 2.1 menunjukkan interaksi antara manusia, proses, dan

teknologi.

Gambar 2.1Interaksi Manusia, Proses, dan Teknologi (Snedaker,2007)

Page 3: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

7

a. Manusia

Manusia sebenarnya merupakan satu – satunya komponen yang

melaksanakan dan mengimplementasikan BCP, namun masih banyak

aspek dari elemen manusia yang dibutuhkan dalam proses perencanaan

tersebut. Setiap organisasi memiliki keunikan masing – masing sehingga

proses pembuatan BCP akan berbeda setiap organisasi. BCP untuk

sebuah call center dan sebuah penyedia layanan data center tentunya

tidak akan sama karena tidak ada pendekanan ‘one size fits all’ untuk

BCP. Pendekantan ‘one size fits all’ dimaksudkan sebagai proses yang

dapat dilakukan dengan pendekatan yang sama untuk berbagai jenis,

sedangkan untuk BCP, pendekatan tersebut tidak dapat dilakukan.

Manusia mempunyai andil 80% sebagai penyebab kehilangan data.

Manusia bertanggung jawab dalam hal merancang,

mengimplementasikan, dan mengawasi proses yang dilakukan untuk

menjaga keamanan data. Manusia, secara alamiah, membuat kesalahan

setiap harinya. Jika manusia bertanggung jawab terhadap 80 %

kehilangan data, maka 20 % yang tersisa merupakan akibat dari

kerusakan lain, seperti kerusakan alat, bencana alam, dan lain – lain.

BCP membutuhkan keterlibatan anggota organisasi yang terkait agar

BCP dapat berjalan dengan baik dan efektif. Melibatkan anggota

organisasi yang berkepentingan dapat membuat perencanaan menjadi

lebih matang dan dapat membantu melakukan indentifikasi anggota yang

akan mengimplementasi rencana yang sudah dibuat.

Page 4: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

8

Aspek lain pentingnya manusia dalam BCP adalah membuat

perbedaan respond ketika organisasi dilanda bencana. Beberapa orang

dapat bersikap aktif dan responsive ketika menghadapi bencana, namun

sebagian besar tidak cukup responsive dalam bertindak atau bahkan tidak

mengambil tindakan apa pun. Hal ini merupakan hal yang sangat penting

untuk diperhatikan karena ketika sebuah organisasi dilanda bencana, hal

terebut merupakan sesuatu yang tidak terduga.

Manusia bertanggung jawab atas pembuatan dan implementasi

BCP.Manusia memiliki peran penting baik sebagai subjek maupun objek

jika terjadi bencana, yaitu sebagai pelaksana aksi pemulihan dan sebagai

korban secara fisik maupun mental.

b. Proses

Proses dalam BCP terbagi menjadi dua fase, yaitu fase perencanaan

dan implementasi. Proses yang dilakukan organisasi sehari – hari, dapat

disebut sebagai proses bisnis, merupakan aspek utama dalam menentukan

kesuksesan jangka panjang sebuah organisasi. Proses bisnis

dikembangkan untuk melaksanakan pekerjaan dalam organisasi untuk

mencapai tujuan organisasi tersebut. Hal – hal yang bersifat incidental, di

luar dari proses bisnis normal, biasanya ditangani sebagai pengecualian.

Jika pengecualian tersebut muncul dengan frekuensi yang cukup tinggi,

dapat dijadikan sebagai sebuah proses baru yang ditambahkan ke dalam

proses bisnis utama, kemudian siklus proses bisnis baru akan berjalan

normal kembali.

Page 5: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

9

Ketika organisasi dilanda bencana, seperti banjir, kebakaran, gempa

bumi, dan sebagainya, proses bisnis organisasi akan terganggu. Seberapa

cepat organisasi dapat kembali normal atau melakukan implementasi

ulang atau bahkan merekayasa ulang proses agar proses bisnis organisasi

berjalan normal kembali berdasarkan perencanaan yang terdapat dalam

BCP. Pembuatan rencana untuk menangani berbagai jenis bencana atau

peristiwa yang menggangu sangat membatu organisasi untuk pulih

kembali. Ketika anggota mengalami tekanan dan proses bisnis terganggu,

perencanaan tersebut sangat dibutuhkan oleh organisasi.

Proses bisnis organisasi perlu dianalisis dan dievaluasi, terutama dari

segi prioritas. Analisis tersebut membantu untuk menentukan prioritas

proses yang perlu segera diperbaiki ketika bencana melanda organisasi.

Analisis juga perlu dilakukan pada proses bisnis dengan

memperhitungkan segi waktu, yaitu penentuan periode waktu tingkat

kebutuhan organisasi terhadap sebuah proses.

Proses digunakan dalam bisnis untuk mempertahankan alur yang

konsisten dalam operasional bisnis. Proses bisnis harus dievaluasi dalam

proses pembuatan BCP untuk menentukan proses bisnis vital dan cara

implementasi yang sesuai ketika organisasi dilanda bencana.

c. Teknologi

Teknologi diimplementasikan melalui manusia dan proses sehingga

pendekatan rencana darurat yang terintegrasi untuk teknologi perlu

memperhitungkan aspek manusia dan proses. Teknologi merupakan aspek

bisnis yang penting dalam sebuah organisasi.Perencanaan harus

Page 6: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

10

memperhitungkan tingkat penggunaan teknologi dalam organisasi dan

menentukan elemen organisasi yang rentan terhadap bencana jenis

tertentu.Sebagai contoh, kehilangan daya, mempengaruhi semua teknologi

yang digunakan dalam sebuah gedung.

Analisis organisasi dilakukan untuk mengetahui kebutuhan teknologi

dari setiap bagian, bukan hanya teknologi yang dibutuhkan untuk

mengembalikan proses bisnis seperti semula, tetapi juga teknologi yang

dibutuhkan jika terjadi krisis. Memahami penggunaan teknologi dalam

kegiatan harian organiasai sangat penting dalam proses pembuatan BCP.

Teknologi yang dipahami haruslah menyeluruh ke dalam organisasi, bukan

hanya bagian tertentu saja, agar rencana yang dibuat bersifat efektif untuk

seluruh organisasi.

2.1.3 Risk Analysis

Tujuan dari dilakukannya Risk Analysis/Assesmentadalah untuk

menilai, mengevaluasi dan mengidentifikasi risiko-risiko apa saja yang

mungkin dialami oleh sebuah organisasi. Sebuah risiko bisa berasal dari

luar maupun dari dalam, dan perlu dipertimbangkan juga ada kalanya

sebuah risiko berdampak positif terhadap organisasi sehingga sebuah

organisasi bisa bersifat proaktif daripada reaktif dalam mencapai

keunggulan kompetitifnya(Jones & Ashenden, 2005).Lebih lanjut mereka

mendefinisikan risiko sebagai kemungkinan dari sebuah ancaman meng-

exploitasi sebuah kerawanan yang kemudian menimbulkan kerugian pada

aset.

Page 7: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

11

Risk= Threat× vunerability × impact (asset value)

Analisis risiko dilakukan dalam konteks BCP untuk

mengidentifikasi ancaman-ancaman yang dapat berakibat pada gangguan

pada proses bisnis dan untuk mengevaluasi risiko-risiko yang terkait.

2.1.3.1 Perhitungan Nilai Risiko

Terdapat dua metodologi yang dapat digunakan untuk

menentukan besaran nilai risiko berdasarkan nilai kemungkinan

dan dampak yang ditimbulkan oleh sebuah ancaman yaitu dengan

metodologi pengukuran risikokualitatif dan metodologi pengukuran

risikokuantitatif.

• Menentukan besarnya nilai risiko menggunakan Kuantitatif

Methodology.

Metrik kualitatif mempergunakan nilai numerik untuk

memperhitungkan nilai risiko, contoh perhitungan :konsekuensi

dari power outagedinyatakan dalam istilah kualitatif sebagai

expected losssebesar $2.5 juta. Berdasarkan ekspektasi ini dan

probabilitysebesar 25%.Nilai risiko diekspresikan secara kuantitatif

sebesar $625.000.

Salah satu metode perhitungan untuk metrik kuantitatif

adalahALEMethod(Annualized Loss Expectancy). Metode ALE ini

menentukan nilai risiko berdasarkan 2 komponen utama yaitu

:Annualized Rate of Threat Occurance(ART) dan Single Loss

Expectancy(SLE).ART mengacu pada kemungkinan sebuah

Page 8: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

12

ancaman dalam jangka waktu satu tahun, dan SLE

merepresentasikan konsekuensi dari sebuah dampak tunggal

terhadap sebuah ancaman.Nilai ALE menggambarkan nilai risiko.

ALE = SLE * ART

Dimana

SLE = ALPV * EF

ALPV (Asset Loss Potential Value) mengukur berapa nilai

potensial keuangan ketika seluruh aset terkena dampak gangguan.

Sedangkan EF(Exposure Factor) mengindikasikan presentase dari

ALPVdalam satu kali kejadian. Diasumsikan bahwa potensi

kerugian ketika seluruh sistem komputer dalam computer

centerterpengaruh oleh power outageadalah $10 juta.Exposure

factordiasumsikan sebesar 25% dari ALPVuntuk satu kali

kejadian. Maka SLEdapat dihitung sebagai berikut ini :

SLE= $10.000.000 * 25/100

SLE= $2.500.000

Ice stormterjadi satu kali setiap 4 tahun. Maka nilai

ART(Anualized Rate ofThreat Occurance) adalah ¼ berdasarkan

nilai ini makan dapat dihitung ALE

ALE = $2.500.000 * ¼

ALE = $625.000

Page 9: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

13

• Menentukan besarnya nilai risiko menggunakan Kualitatif

Methodology

Penggunaan metrik kualitatif melibatkan perhitungan yang

lebih sederhana dan menghabiskan lebih sedikit waktu.Namun

kelemahannya adalah nilai risiko subyektif dan non-repeatable

karena hanya berdasarkan penilaian individu.Contoh :perhitungan

konsekuensi dari power outage yang dinyatakan dalam istilah

kualitatif sebagai memiliki dampak bisnis yang “High”. Nilai risiko

dinyatakan dalam istilah kualitatif sebagai “Low” yang didapatkan

dari dampak bisnis “High” dikalikan dengan kemungkinan

terjadinya ancaman tersebut sebesar 25%.

Salah satu metode perhitungan untuk metrik kualitatif adalah

AIEMethod (Annualized Impact Expectancy). Metode AIE ini

menentukan nilai risiko berdasarkan 2 komponen utama yaitu

:Annualized Rate of Threat Occurance(ART) dan Single Impact

Expectancy(SIE).

Definisi ART dalam perhitungan AIEsama dengan definisi

ART dalam perhitungan ini. Sedangkan SIE (Single Impact

Expectancy) merepresentasikan konsekuensi dari sebuah dampak

tunggal dari sebuah ancaman direpresentasikan dalam nilai

kualitatif numerik.AIE dalam perhitungan ini merepresentasikan

nilai risiko.

AIE = SIE * ART

Page 10: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

14

SIE dapat direpresentasikan dalam nilai yang dipilih antara

1sampai dengan 100, di mana 1 mengindikasikan dampak terendah

dan 100 mengindikasikan dampak tertinggi.

Contoh diasumsikan bahwa ice storm terjadi sekali setiap 4

tahun sehingga ART adalah ¼.Besar dari dampak dipertimbangkan

tinggi karena pentingnya computer centerbagi operasi perusahaan,

dalam hal ini SIE adalah 80. Berdasarkan nilai-nilai di atas dapat

ditentukan nilai AIE sebagai berikut :

AIE = 80 * ¼

AIE = 20

Nilai numerik ini dapat di petakan ke dalam istilah kualitatif

yang lebih bermakna contohnya dengan mempergunakan tabel

pemetaan sebagai berikut ini:

• High: jika nilai numerik di antara 67 sampai dengan 100.

• Medium: jika nilai numerik di antara 34 sampai dengan 66.

• Low: jika nilai numerik berada di antara 1 sampai dengan 33.

Maka berdasarkan pemetaan di atas, power outage yang

disebabkan oleh ice storm dalam contoh dikategorikan sebagai

memiliki risiko “Low” untuk organisasi.

2.1.3.2 Proses Risk Assessment

Untuk melakukan risk assesment ada 6 langkah yang

harus dilakukan, di antaranya :

a. Identify ThreatSources

Page 11: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

15

b. Identify Threat Events

c. Identify Consequences (Impact)

d. Assess Single Loss (or Impact) Expectancies

e. Assess Likelihoods

f. Derive Risk Values

Masing – masing langkah dalam pembuatan Risk Assessment

dapat dijelaskan sebagai berikut :

a. Identify ThreatSources

Kata kunci dalam langkah ini adalah "identifikasi, control,

mengeliminasi dan meminimalisasi kejadian yang tidak

terduga".Sebuah risiko dapat dipandang sebagai kombinasi

ancaman itu sendiri, kemungkinan dari ancaman itu terjadi,

kerawanan dari sebuah organisasi atau sistem terhadap ancaman

dan dampak relatif maupun absolut terhadap ancaman tersebut

terhadap organisasi atau sistem. Ada banyak jenis ancaman yang

harus dipertimbangkan oleh sebuah organisasi, namun secara garis

besar dapat dibagi menjadi 2 yaitu ancaman yang disebabkan oleh

manusia (human caused) dan ancaman yang disebabkan oleh alam

(natural). Snedaker membuat sebuah checklistuntuk mempermudah

memulai mengidentifikasi ancaman-ancaman yang paling sering

terjadi.Tabel 2.1 berikut ini adalah checklist yang sudah di

sesuaikan dengan keadaan di Indonesia(Snedaker, 2007).

Page 12: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

16

Tabel 2.1Threat Check List( Snedaker,2007)

Natural / Enviromental Threats • Fire • Flood • Electrical Storm • Earthquake • Hurricane • Tsunami • Volcano • Avian Flu Human-Caused Threats • Theft, Sabotage • Labor Disputes • Workplace Violance • Terorism • Chemical Hazzard • War Infrastructure Threats • Building – specific failure • System Failure • Power Failure • Public Transportation Distruption TI – Spesific Threats • Cyber Threat • Equipment / System Failure • Loss of Data or Record

b. Threat event Assessment

mengukur sejauh mana kerawanan sebuah bisnis atau sistem

dan berapa kemungkinan terjadinya kerawanan tersebut. Langkah

ini menentukan Threat eventsapa yang dapat terjadi karena adanya

Threat yang telah diidentifikasi pada langkah pertama. Tabel 2.2 di

bawah ini memperlihatkan contoh outputdari langkah ini.

Tabel 2.2 Contoh Output dari Threat Event (ANT 2012)

Threat Threat Event

Flood Akses Jalan Terhambat Hacker Akses ke halaman website diakses oleh pihak yang tidak

berhak

Page 13: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

17

c. Identify Consequences

Langkah ketiga ini mengidentifikasi konsekuensi apa yang

mungkin terjadi sebagai akibat threats yang diidentifikasi pada

langkah 1 dan 2. Sebagai tambahan langkah ini juga

mengidentifikasi aset apa saja yang kritis bagi organisasi. Tabel

2.3memberikan gambaran mengenai output pada langkah ini.

Tabel 2.3 Output Identifikasi Konsekuensi ( ANT 2012 )

Threat Threat Event Critical Asset Konsekuensi

Flood Akses Jalan Terhambat Staff Kekurangan Staff

Hacker Akses ke halaman website diakses oleh pihak yang tidak berhak

Secret Data Information

Data rahasia perusahaan dapat diakses oleh pihak yang tidak bertanggung jawab

d. Assess Single Loss (or Impact) Expectancies

Pada langkah ini dilakukan penilaian terhadap konsekuansi

terhadap sebuah ancaman (threats) sebagai sebuah SLE atau SIE

(bergantung dari metodologi yang digunakan) Outputdari langkah

ini adalah sekumpulan :

• Threat consequences.

• SLE atau SIE tergantung metodologi yang digunakan untuk

menentukan besarnya nilai risiko.

Page 14: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

18

e. Assess Likelihoods

Dalam langkah ini dilakukan penilaian terhadap likelihood dari

sebuah ancaman per-tahun dan dinyatakan dalam ART (Annualized

Rate of Threat)

f. Derive Risk Values

Berdasarkan output dari langkah 2,4 dan 6 langkah terakhir ini

melakuka perhitungan nilai risiko menggunakan metode ALE atau

AIE.Output dari langkah 4,5 dan 6 dapat dilihat pada tabel 2.4

berikut ini

Tabel 2.4 Hasil Output Risk Assessment

Threat ThreatEvent Konsekuensi ALE SLE ART

Flood Power Outage

Computer System

Shutdown

$625000

(2,5M * 0,25)

$2,5M 0,25

Flood Power Outage

Computer System

Shutdown

Low High 0,25

2.1.4 Business Impact Analysis

Hubungan antara value chaindengan proses bisnis kritis

ditentukan oleh Business Impact Analysis(BIA). Dalam BIA sumber daya

kritis yang saling bergantung (stakeholder, produk dan layanan utama)

dan level kepentingannya terhadap aktivitas kritis (proses kunci dalam

sebuah valuechain) dianalisis.(Security, 2012)menyebutkan bahwa tugas

utama dari BIA adalah untuk mengetahui bisnis proses mana saja yang

penting untuk menjaga keberlangsungan bisnis dan organisasi. Bisnis

Page 15: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

19

proses kritis ini lalu dilindungi dengan sebuah kerangka kerja spesial

dalam sebuah BCP. Sementara itu tujuan dari penggunaan BIA oleh

semua organisasi adalah mengoptimasi kinerja dari pemulihan dan waktu

yang dibutuhkan untuk pemulihan ini (Recovery Time Objective/RTO)

dengan melakukan apapun untuk memastikan RTO ≤ MTPD dengan

tidak mengabaikan efisiensi dari pemulihan tersebut(Boehmer, 2009).

Menurut (Hiles, 2007)sebuah organisasi dalam BCMS dan

sertifikasi ada 4 (empat) tujuan utama dari BIA :

• Mendapatkan pemahaman tentang tujuan utama organisasi, prioritas

dari masing-masing tujuan dan jangka waktu untuk melanjutkan

kembali dari sebuah gangguan yang tidak direncanakan.

• Menginformasikan keputusan manajemen mengenai Maximum

Tolerable Outage (MTO) dari setiap fungsi.

• Menyediakan sumber daya informasibagaimana sebuah strategi

pemulihan yang sesuai dapat ditentukan/direkomendasikan.

• Menguraikan ketergantungan yang ada baik internal maupun external

untuk mencapai tujuan kritis.

2.1.4.1. Impact criticality

Sewaktu dilakukannya pengumpulan fungsi-fungsi kritis di

dalam sebuah organisasi prioritas terhadap fungsi-fungsi tersebut

harus diberikan.Tujuannya adalah untuk mengklasifikasikan dari

fungsi-fungsi tersebut mana yang kritis (sangat penting bagi misi

organisasi/ mission critical), mana yang penting, mana yang kurang

Page 16: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

20

penting sehingga dapat di abaikan atau ditunda

pemulihannya.(Snedaker, 2007)membagi sistem peringkat untuk

melakukan assessment kekritisan proses/fungsi menjadi 4 kategori

sebagai berikut:

a. Kategori 1: Fungsi Kritis – Mission Critical adalah bisnis proses

dan fungsi yang memberikan dampak paling besar kepada

operasi perusahaan dan potensi untuk pemulihan. Atau dengan

kata lain proses apa yang harus ada dalam perusahaan untuk

melakukan fungsinya. Hal yang dapat dilakukan untuk

memfokuskan responden mengenai fungsi-fungsi yang mission

critical adalah misalnya dengan menanyakan tiga sampai lima

hal apa saja yang akan mereka lakukan ketika sebuah bencana

reda.

b. Kategori 2: Fungsi Esensial – VitalTerkadang ada beberapa

fungsi bisnis yang berada di antara mission criticaldengan

important. Tidak semua organisasi membutuhkan kategori ini,

salah satu ciri sebuah organisasi tidak membutuhkan kategori ini

adalah ketika sebuah organisasi tidak dapat membedakan antara

mission critical dengan vital(Snedaker, 2007). Fungsi vital

mungkin saja memasukkan fungsi-fungsi seperti pengajian yang

mungkin sekilas tidak tampak seperti sebuah fungsi yang

mission critical di dalam rangka memulihkan organisasi untuk

dapat berjalan kembali secepat mungkin, namun dapat menjadi

Page 17: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

21

vital bagi kemampuan organisasi untuk dapat berfungsi penuh

lebih dari sekedar pulih dari bencana.

c. Kategori 3: Fungsi yang dibutuhkan – ImportantKetidakadaan

fungsi dan proses bisnis yang penting (important)tidak akan

menghentikan bisnis dari beroperasi di waktu dekat, namun

fungsi-fungsi dan bisnis proses tersebut biasanya memiliki

dampak jangka panjang ketika mereka tidak ada atau tidak

berfungsi sebagaimana mestinya. Fungsi dan bisnis proses ini

biasanya memiliki dampak finansial dan legal. Biasanya juga

terhubung lintas unit fungsional dan lintas sistem bisnis. Dalam

perspektif TI biasanya sistem ini termasuk di dalamnya email,

database, akses internet dan perangkat lunak bisnis yang

digunakanuntuk menjalankan fungsi-fungsi pendukung. RTO

dari sistem-sistem ini biasanya dalam hitungan hari atau

minggu.

d. Kategori 4: Fungsi yang diinginkan – MinorFungsi dan bisnis

proses minor biasanya tidak akan dibutuhkan dalam angka

waktu dekat dan yang jelas tidak akan dibutuhkan selama

operasi bisnis perusahaan belum berjalan sebagaimana mestinya.

2.1.4.2. Kebutuhan Waktu Pemulihan

Kebutuhan waktu pemulihan berhubungan erat dengan

impact criticality.Makin penting suatu aktivitas atau fungsi biasanya

makin kecil juga waktu pemulihannya.

Page 18: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

22

• Maximum Tolerable Downtime(MTD): pada beberapa literatur

disebut juga sebagai MTPD (Maximum Tolerable Period of

Distrupment) sesuai namanya adalah besar waktu maksimum

sebuah bisnis dapat menoleransi ketidakadaan sebuah fungsi

bisnis. Semakin kritis sebuah fungsi bisnis biasanya akan

memiliki MTD yang semakin kecil.

• Recovery TimeObjective (RTO): yaitu waktu yang tersedia untuk

memulihkan sistem dan sumber daya yang terganggu. Secara

definisi RTO harus lebih kecil dari MTD.

• Work Recovery Time (WRT): adalah langkah-langkah tambahan

yang perlu dilakukan supaya bisnis dapat berjalan kembali setelah

system (perangkat lunak,perangkat keras dan konfigurasi)

dikembalikan (restore).

• Recovery Point Objective(RPO): Banyaknya kehilangan data

yang dapat ditoleransi oleh sistem bisnis kritis perusahaan.

Sebagai contoh ketika sebuah perusahaan melakukan backup

secara realtimemaka dapat disimpulkan toleransi kehilangan data

perusahaan tersebut hampir tidak ada. Sementara itu jika sebuah

perusahaan melakukan backup setiap satu minggu sekali maka

toleransi kehilangan data perusahaan tersebut maksimal adalah

satu minggu.

2.1.4.3. Proses BIA

Terdapat 10 tahapan dalam proses pembuatan BIA, antara

lain :

Page 19: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

23

A. Step 1: Melakukan Identifikasi Tujuan BIA, Ruang Lingkup

dan Asumsi

Untuk melakukan BIA pertama-tama yang dilakukan adalah

mengidentifikasi tujuan, ruang lingkup dan asumsi yang diperlukan

untuk melakukan proses BIA hal ini sebagai dasar untuk :

• Memahami ekspektasi manajemen mengenai temuan dari proses

BIA.

• Mendefinisikan fokus dari aktivitas BIA.

• Memperkirakan jumlah sumber daya, waktu dan usaha yang

diperlukan untuk melakukan proses BIA

Ruang lingkup membantu untuk praktisi BC untuk fokus terhadap

BIA di area tertentu dalam organisasi, ruang lingkup dapat berupa:

• Company-wide,

• Kantor tertentu saja

• Fungsi bisnis tertentu saja

• Seluruh fungsi bisnis yang didukung oleh sumber daya baik TI

maupun non-TI

B. Step 2 : Melakukan identifikasi fungsi bisnis dan proses bisnis

Tujuan dari langkah ini adalah untuk mengidentifikasi Fungsi

Bisnis dan Proses Bisnis apa saja yang dipergunakan untuk mendukung

misi, tujuan dan sasaran organisasi.

Page 20: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

24

Ruang lingkup BIA dapat dijadikan starting point untuk

mengidentifikasi fungsi bisnis.Beberapa organisasi mungkin memiliki

model bisnis maupun struktur organisasi yang dapat membantu

identifikasi fungsi bisnis. Sementara itu proses bisnis dapat

diidentifikasi dari masing-masing staf di dalam fungsi bisnis

berdasarkan pekerjaan sehari-hari mereka.

C. Step 3 : Melakukan penilaian dampak financial dan operasional

Penilaian Dampak Finansialmengukur sejauh mana dan seberapa

parah kerugian finansial terhadap bisnis. Penilaian dilakukan untuk

setiap fungsi bisnis dengan menanyakan pertanyaan "Sejauh mana dan

separah apa kerugian finansial jika sebuah proses terganggu setelah

terjadinya bencana?".

Bagian pertamadari penilaian dampak finansial adalah melakukan

penilaian untuk menentukan sejauh mana kerugian setelah terjadinya

bencana dalam jangka waktu tertentu sehingga memudahkan untuk

melakukan perbandingan dengan dampak finansial dengan proses yang

lain. Kerugian dalam proses ini termasuk kehilangan pendapatan, dan

pembelanjaan tambahan yang harus dikeluarkan karena terjadinya

bencana. Beberapa hal yang umum menjadi penyebab kerugian adalah

hilangnya penjualan produk dan layanan namun dapat juga disebabkan

oleh faktor-faktor lain seperti :

• Penalti karena ketidakmampuan untuk memenuhi kontrak.

• Kehilangan sumber dana.

Page 21: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

25

• Kehilangan diskon.

• Kehilangan kesempatan untuk mendapatkan keuntungan.

Bagian keduadari penilaian dampak finansial adalah memberikan

peringkat untuk tiap level kerusakan berdasarkan nilai kerugian finansial.

Berikut ini adalah contoh level kerusakan mulai dari "no impact" sampai

dengan "major impact".

• dampak kerusakan level 0 (no impact)

• dampak kerusakan level 1 (minor impact)

• dampak kerusakan level 2 (intermediate impact)

• dampak kerusakan level 3 (major impact)

Sedangkan Penilaian dampak operasional melakukan penilaian

terhadap dampak negatif yang ditimbulkan oleh sebuah gangguan

(bencana) terhadap berbagai operasi bisnis yang berkaitan dengan

kecukupan, efisiensi,kepuasan, image, kepercayaan, kontrol, moral

dsb.Berikut ini adalah contoh dari dampak operasional :

• Arus kas yang tidak memadai

• Kehilangan kepercayaan investor

• Kehilangan pangsa pasar

• Hilangnya daya saing

• Kerusakan terhadap kepercayaan para pemegang saham

• Kerusakan terhadap reputasi industri

Page 22: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

26

Pemberian peringkat untuk suatu bisnis proses merepresentasikan

perkiraan subyektif yang disediakan oleh partisipan BIA dalam sebuah

peringkat kualitatif seperti "none", "low", "medium", "high" dan "highest".

D. Step 4 : Melakukan Identifikasi Proses Bisnis Kritis

Pemberian peringkat kepada dampak finansial dan operasional

yang telah dilakukan pada step 3 sebelumnya menjadi dasar untuk

mengidentifikasi Bisnis proses kritis. Dalam melakukan pemilihan proses

bisnis kritis dibutuhkan kriteria pemilihan untuk menentukan apakah

sebuah proses memenuhi kualifikasi untuk dimasukkan ke dalam kategori

proses bisnis kritis. Sebagai contoh suatu proses bisnis dikategorikan kritis

apabila memenuhi kriteria sebagai berikut ini :

• Pelayanan konsumen yang tidak memuaskan.

• Memiliki level kerusakan (severity) 2-3 dalam dampak finansial

• Peringkat "high" diberikan kepada sekurang-kuranya 3 dalam

dampak operasionalnya.

• Peringkat "high" diberikan kepada sekurang-kurangnya 2 dan

peringkat "highest" diberikan kepada sekurang-kurangnya 1 dalam

dampak operasionalnya.

• Peringkat "highest" kepada diberikan sekurang-kurangnya 2 dalam

dampak operasionalnya.

Page 23: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

27

E. Step 5 : Melakukan identifikasi MTPD dan melakukan

prioritas proses kritis

Setelah proses bisnis diidentifikasi langkah selanjutnya adalah

menentukan Maximum Tolerable Downtime(MTD) atau Maximum

Tolerable Period of Distruption (MTPD). Semua partisipan BIA terlibat

dalam penentuan nilai dampak finansial dan operasional diberikan

pertanyaan "Berapa lama waktu yang dapat ditoleransi oleh proses ini

berdasarkan level dampak finansial dan operasional ?".

• Contoh penggunaan nilai dampak finansial dalam identifikasi MTD

sebuah proses yang memiliki dampak kerugian finansial sebesar

$7000 per hari menjadi tidak dapat diterima ketika kerugian finansial

melebihi $21000 dalam 3 hari sehingga MTD dari proses ini adalah

3 hari.

Setelah MTD ditentukan langkah selanjutnya adalah pemberian

prioritas pemulihan besar MTD. Proses bisnis dengan MTD singkat

diberikan prioritas yang lebih tinggi (kecil) dibandingkan proses dengan

MTD yang lebih lama.

F. Step 6 : Melakukan identifikasi Sistem IT dan Aplikasi kritis

Sebuah sistem TI dianggap kritis apabila mendukung proses bisnis

yang kritis. Berdasarkan data prioritas proses kritis dan beserta bantuan

dari departemen TI dan pemilik proses bisnis dapat dipetakan portofolio

aplikasi dan sistem yang mendukungsuatu proses bisnis.

Page 24: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

28

G. Step 7 : Melakukan identifikasi sumber daya Non – TI kritis

Sama seperti proses identifikasi aplikasi dan sistem TI kritis pada

langkah sebelumnya, tingkat kekritisan sebuah sumber daya Non-TI

bergantung pada tingkat kekritisan proses bisnis yang didukungnya.

Berikut ini adalah contoh daftar beberapa jenis sumber daya Non-TI :

• Fasilitas TI, Fasilitas produksi dan Pabrik

• Area kerja kantor

• Peralatan produksi dan manufaktur

• Bahan mentah

• Perabotan kantor

• Alat-alat keamanan

• Peralatan komunikasi suara

• Peralatan maintenance dan cadangan

• Catatan berharga

• Fax, printer dan peralatan fotokopi

• Alat-alat tulis kantor

Daftar di atas diharapkan akan membantu pemilik proses bisnis

untuk mengidentifikasi sumber daya Non-TI apa yang mereka butuhkan

untuk menjalankan bisnis proses kritis mereka.

Page 25: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

29

H. Step 8 : Menentukan RTO

RTO adalah waktu yang tersedia untuk memulihkan sistem dan

sumber daya yang terganggu, maka secara definisi RTO harus lebih kecil

dari MTD (didapatkan pada step 5). Selain RTO, MTD juga terdiri dari

WRT. WRT adalah langkah-langkah tambahan yang perlu dilakukan

supaya bisnis dapat berjalan kembali setelah sistem (perangkat

lunak,perangkat keras dan konfigurasi) dikembalikan (restore). Informasi

yang didapatkan dari langkah 5,6,dan 7 dipergunakan untuk menentukan

RTO untuk setiap sumber daya TI maupun Non-TI.

Sebagai contoh untuk aset kritis TI Customer InformationSystem

yang memiliki MTD sebesar 3 hari maka aset TI tersebut harus dipulihkan

lebih cepat dari 3 hari untuk dapat mengakomodasi RTO dan WRT.

Bergantung kebutuhan yang ada dilapangan, besarnya RTO dapat lebih

besar dari WRT dapat pula lebih kecil.

I. Step 9 : Menentukan RPO

RPO menggambarkan toleransi terhadap kehilangan data sebagai

akibat dari adanya gangguan.RPO diukur dalam skala waktu sejak waktu

terakhir data dilakukan backup dan waktu gangguan.Sebagai contoh

sebuah perusahaan Listrik yang memiliki aplikasi kritis untuk melakukan

tracking data konsumsi Listrik konsumennya menetapkan RPO sebesar 48

jam dengan backup data yang berlangsung setiap 48 jam sekali. RPO

sebesar 48 jam didapatkan dari besar kapasitas perangkat metering Record

genggam yang dimiliki oleh pegawai keliling mampu untuk menampung

Page 26: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

30

data sampai dengan 48 jam. Pada saat terjadinya gangguan data terjadi

gangguan data dapat dipulihkan backup ke 48 jam yang lalu kemudian

data terkini diinput kembali dari perangkat metering Recordergenggam.

Dalam proses BIA ini RPO ditentukan untuk setiap aplikasi dengan

menanyakan “Berapa toleransi (dalam ukuran waktu) kehilangan data

yang mungkin terjadi diantara 2 periode backup ?” respon dari pertanyaan

ini mengindikasikan nilai RPO.

J. Mengidentifikasi work-around procedures

Work-around procedures memungkinkan proses bisnis untuk tetap

berjalan ketika sumber daya TI maupun non TI tidak tersedia dengan

menjalankan metode alternatif.

Metode alternatif ini seringkali melibatkan proses manual,

cenderung sementara, kurang efisien atau seringkali lebih mahal

dibandingkan dengan prosedur normal. Langkah ini mengidentifikasikan

work-around procedures untuk bisnis proses yang telah terpilih pada step 4

sebelumnya dengan menanyakan pertanyaan sebagai berikut ini :

• Adakah work-around procedures yang telah terdokumentasi dengan

baik untuk proses anda ?

• Identifikasi semua pekerjaan yang tidak tercakup oleh work-around

procedures ini.

2.1.5 Business Continuity Strategy

Tujuan dari langkah BCS ini adalah untuk mengembangkan

sebuah strategi BC yang dapat menunjang kebutuhan pemulihan yang

Page 27: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

31

telah diidentifikasi pada tahap BIA.BCS terdiri dari sekumpulan pilihan

pemulihan yang dapat digunakan sebagai alternatif pada saat sumber

daya kritis tidak tersedia(Teknologi, 2012). ANT mengelompokkan area

BCS menjadi beberapa areadiantaranya (Teknologi, 2012) :

• Tempat kerja

• Infrastruktur dan sistem TI

• Manufaktur dan Produksi

• Data dan Record penting lainnya.

2.1.5.1. Kerangka Kerja BCS

Kerangka kerja yang pengembangan Business Continuity

Strategy(BCS) terdiri dari 4 fase yaitu :

• Fase A : Identifikasi Kebutuhan Pemulihan

• Fase B : Identifikasi Pilihan Pemulihan

• Fase C : Penilaian Ketersediaan Waktu

• Fase D : Penilaian Kemampuan-Biaya

2.1.5.2. Pertimbangan dalam pemilihan strategi pemulihan

Kunci dari sebuah BCS yang sukses adalah melakukan

pemilihan strategi berdasarkan pertimbangan karakteristik dan

kemampuan dari masing-masing opsi. Sebagai contoh opsi hot-site

memerlukan pertimbangan yang hati-hati terhadap faktor-faktor

sebagai berikut :

• Jarak antara situs pemulihan dan situs utama, untuk memastikan

bahwa situs pemulihan tidak terkena dampak bencana.

Page 28: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

32

• Tingkat dukungan teknis tersedia saat pemulihan.

• Waktu respon untuk menyiapkan hot site ketika bencana

dideklarasikan.

• Dsb.

Pertimbangan-pertimbangan tersebut bergantung dari

karakteristik dan kebutuhan masing-masing organisasi.

2.1.6 Strategi Mitigasi

Strategi Mitigasi Risiko adalah sebuah langkah yang diambil

untuk mengurangi risiko yang mungkin terjadi(Snedaker, 2007).Tipe

Strategi Mitigasi dapat dibagi menjadi 4 yaitu:

1. Risk acceptence

Sebuah perusahaan menerima kemungkinan konsekuensi dari risiko

yang mungkin terjadi namun perusahaan tersebut tidak melakukan apa-

apa untuk menghindari, mengurangi atau mentransfer risiko tersebut.

Acceptance ini memiliki biaya yang sangat rendah (bisa juga zero cost)

terhadap manajemen risiko namun berpotensi memiliki biaya yang sangat

tinggi setelah bencana. Kecuali untuk risiko-risiko pada proses bisnis

yang sama sekali tidak kritis.

2. Risk avoidance

Merupakan strategi mitigasi risiko dimana risiko tersebut dihindari

sama sekali. Hal ini bisa termasuk menghentikan sistem yang kritis dan

memindahkan sistem tersebut pada saat sebelum terjadinya

Page 29: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

33

bencana.Strategi mitigasi ini memberikan risiko minimal (zero risk)

namun seringkali memiliki biaya yang besar berasosiasi dengan strategi

mitigasi ini.Karena itu biaya menangani risiko ini sangat tinggi namun

biaya pemulihan yang sangat rendah.

3. Risk limitation/Controls

Strategi ini berada di antara acceptance dengan avoidance.Strategi

mitigasi ini muncul karena sebagian perusahaan menganggap strategi

mitigasi acceptance ataupun avoidance secara menyeluruh membutuhkan

terlalu banyak biaya pada kedua sisi bencana.Langkah-langkah seperti

pembangunan off-sitebackup dapat sangat mengurangi risiko sebuah

organisasi tanpa menjadi terlalu mahal dalam fase implementasi dan

pemulihan.

4. Risk Transfer

Strategi mitigasi ini melibatkan pihak ketiga untuk mentransfer

risiko.Contoh paling umum adalah pembelian asuransi.

Sebuah risiko bisa dikurangi, hindari, terima maupun ditransfer

kepada pihak ketiga.Tiap strategi memiliki harganya masing-masing.

Kunci dari risk mitigation strategy di sini adalah cost efektif. Sebagai

contoh orang cenderung untuk membangun sebuah gedung dengan sistem

pemadam kebakaran dibandingkan dengan membangun sebuah gedung

yang semua materialnya terbuat dari bahan yang tahan api.

Page 30: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

34

2.2 Dokumen Elemen Berdasarkan ISO 22301

Dokumen BCP berdasarkan ISO 22301 sedikitnya memiliki elemen

– elemen berikut ini :

• Tujuan dan Ruang Lingkup ( Mengacu pada klausa 4.3)

• Peran dan Tanggung Jawab ( Mengacu pada klausa 5.2)

• Aktivasi Rencana ( Mengacu pada klausa 5.1)

• Pemilik dan Pemelihara Dokumen serta Detail Kontak ( Mengacu

pada klausa 7.2)

Selain elemen yang telah disebutkan, BCP juga harus memiliki

elemen tambahan sebagai berikut :

• Action Plan / Task List

• Kebutuhan Sumber Daya

• Orang yang bertanggung jawab terhadap rencana

• Form dan Lampiran

2.2.1. Tujuan dan Ruang Lingkup

Isi dari elemen BCP menjelaskan tujuan dari program BCP untuk

PT. NET Mediatama Indonesia. Sementara ruang lingkup diturunkan

langsung dari proses pengembangan dokumen kebijakan Business

Continuitypada proses sebelumnya, namun dapat memuat ruang lingkup

tambahan seperti :

• Asumsi lama maksimum yang digunakan untuk melakukan opsi

pemulihan.

Page 31: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

35

• Tipe event yang dapat memicu rencana, seperti : kerusakan

layanan kritis, dan Area yang tidak tercakup dalam rencana.

2.2.2. Peran dan Tanggung Jawab

Isi dari Element BCP ini mendefinisikan Business Continuity

Teambeserta Peran dan Tanggung jawabnya. Ukuran dan jumlah tim

bergantung pada besarnya organisasi. Anggota tim dipilih berdasarkan

pengetahuan dan pengalaman mereka terhadap aktivitas, prosedur dan

tugas yang ditugaskan kepada mereka. Berikut ini adalah tipikal tim yang

ada dalam BCP beserta tanggung jawabnya.

A. Crisis Management group

Crisis Management group terdiri dari :

1. CrisisManagement Team (CMT)

CMT mengelola dan mengatur eksekusi BCP. Selama masa krisis

CMT akan menggunakan Crisis Management Centeruntuk melakukan

operasinya. Penting sebuah CMT untuk memiliki setidak-tidaknya

satu senior manager sebagai pemimpin, dan bertanggung jawab

terhadap seluruh tindakannya. Anggota lainnya dari tim ini adalah

Business Continuity Coordinator(BCC), kepala

damageAssessmentTeam(DAT), notificationTeam (NT),

emergencyresponseTeam, Crisis communication Team (CTT),

resource eprocurement and logisticTeam (RPLT) dan kepala

RiskAssessment Manager (RAM). Anggota tim ini nantinya akan

memberikan informasi mengenai aktivitas tim mereka kepada CMT.

Page 32: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

36

Jika dibutuhkan CMT bisa menyertakan anggota Businessfunction

yang relevan lainnya seperti TI, finance, legal.

2. Business Continuity Coordinator (BCC),

BCC memegang tanggung jawab secara keseluruhan terhadap

pelaksanaan fase eksekusi : Fase 1 : Notifikasi dan Respon awal, Fase

2 : Penilaian Masalah dan Eskalasi, Fase 3 : Deklarasi Bencana, Fase

4 : Implementasi rencana logistik, Fase 5 : Pemulihan dan

Melanjutkan bisnis seperti biasa. BCC menjadi penghubung antara

CMT dengan tim lainnya dan juga bertanggung jawab untuk

pengembangan, testing dan maintenance BCP di PT.NET Mediatama

Indonesia.

3. Damage Assessment Team (DAT),

DAT dimobilisasi segera setelah terjadinya gangguan.Tim ini

bertanggung jawab melakukan penilaian terhadap dampak kerugian

dan untuk memperkirakan waktu yang dibutuhkan untuk pemulihan.

4. NotificationTeam (NT),

NT bertanggung jawab untuk memberitahu

BusinessContinuityTeam dan personel yang diperlukan untuk

mengeksekusi rencana dan prosedur pemulihan.

5. Emergency Response Team(ERT),

ERT bertanggung jawab untuk melindungi nyawa, property dan

lingkungan segera setelah terjadinya gangguan.ERT memfasilitasi

Page 33: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

37

evakuasi personel, operasi penyelamatan darurat, bantuan medis dan

lokalisasi(containment) insiden.ERT berkoordinasi dengan

departement kebakaran, kepolisian dan rumah sakit terdekat untuk

menstabilkan situasi.

6. Crisis Commmunication Team(CCT),

CCT bertanggung jawab untuk menyediakan informasi yang cepat,

akturat dan konsisten kepada para stakeholder PT.NET Mediatama

Indonesua (staf, manajemen, partner bisnis eksternal, pelanggan,

public dsb).

7. Resource Procurementand LogisticTeam(RPLT),

RPLT bertanggung jawab untuk memastikan sumber daya dan

peralatan yang dibutuhkan didapatkan tepat waktu.Tim ini juga

bertanggung jawab untuk memobilisasi orang-orang, sumber daya,

peralatan dan perlengkapan ke fasilitas pemulihan.

8. RiskAssessmentManager (RAM)

Peran RAM adalah untuk melakukan penilaian dan kontrol

terhadap risiko yang berasosiasi dengan gangguan dan eksekusi

BCP.Penilaian meliputi risiko yang berkaitan dengan keamanan,

asuransi, legal obligasi dan keselamatan.

Page 34: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

38

B. Business Resumption Group

Grup Business Resumption terdiri dari User ManagementTeam (UMT)

dan BusinessUnit Team(BUT).

1. User ManagementTeam(UMT)

Peranan UMT adalah untuk melakukan penilaian secara

menyeluruh terhadap kebutuhan mendadak dari masing-masing staf

masing-masing unit bisnis NET TV. UMT terdiri dari masing-masing

pimpinan dari Businessunit Team(BUT)

2. BusinessUnit Team(BUT)

BUT merepresentasikan masing-masing fungsi bisnis. Anggota

BUT adalah key staf dari sistem dan sumber daya kritis. Tugas dari

BUT adalah untuk melakukan penilaian kebutuhan unit saat ini dan

membantu IT RecoveryTeam untuk memulihkan data dan sumber

daya, memasukkan kembali data yang tersimpan dan untuk

memvalidasi sukses tidaknya pemulihan

C. Technical and Operational Recovery Group

Technical dan Operational Recovery Group terdiri dari Tim

pemulihan sumber daya TI dan Non-TI sebagaimana berikut :

1. IT Technical RecoveryTeam(ITTRT)

ITTRT terdiri dari beberapa anggota yang fokus terhadap

pemulihan area teknis tertentu misalnya : OperationSystem

Page 35: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

39

PlatFormTeam, Networking and Telecommunications Teams,

Database SystemTeam, Applications Team, SystemBackup Team,

Security Control Team, Integration and Testing Team.

2. Manufacturing and Production Technical RecoveryTeam

Tim ini bertanggung jawab menyelamatkan dan memulihkan alat-

alat dan sumber daya produksi. Contoh anggota dari tim ini adalah :

Tim penyelamatan dan pemulihan alat produksi, Tim perbaikan dan

pemulihan peralatan, Tim Testing, Tim kontrol keamanan, elektrik,

teknisi peralatan, montir.

3. Safety and Hazardous Material Handling Team

Tim ini membantu tugas-tugas pemulihan baik di fasilitas alternatif

maupun pada saat perbaikian di tempat yang lama. Tergantung dari

tipe bahaya yang dihadapi tim ini dapat menyertakan anggota dari tim

safety dan ahli bahan-bahan berbahaya, mikrobiologi dll.

4. Vital Record Salvage and Restoration

TeamTujuan dari tim ini adalah untuk menyelamatkan catatan-

catatan (Records) dengan segera dan berhati-hati untuk menghindari

kerugian yang lebih banyak, dan melakukan prosedur khusus yang

dapat memulihkan record tersebut ke kondisi semula.

Page 36: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

40

5. Data and Critical Record Backup Retrieval Team

Tim ini bertanggung jawab untuk mengambil (retrieve) salinan dari

system operasi, aplikasi, data, catatan penting, manual, dokumen

maupun sumber daya lainnya yang berguna dalam proses pemulihan

dari lokasi backup. Tim ini juga bertanggung jawab terhadap

keamanan dari media backup. Penting untuk dipertimbangkan bahwa

setidak-tidaknya satu orang anggota tim ini adalah anggota dari

departemen manajemen dokumen.

6. Administration Support Coordination Team

Peran dari tim ini adalah untuk mengkoordinasi proses pemulihan

dengan fasilitas pemulihan alternatif, fasilitas penyimpanan off-site,

dan vendorhardware/software. Tim ini juga bertanggung jawab

terhadap makanan, minuman, pengurusan perjalanan beserta

akomodasi juga melakukan pencatatan pengeluaran.

7. Restoration Team

Tim ini bertugas untuk memfasilitasi transisi dari fasilitas alternatif

kembali ke fasilitas lama organsasi atau ke fasilitas baru.

2.2.3. Aktivasi Rencana

Keputusan untuk mendeklarasikan keadaan bencana berdasarkan

pada review terhadap dokumen laporan permasalahan yang dihasilkan oleh

penilaian masalah dan fase eskalasi. Fase-fase dalam eksekusi rencana BC

terdiri dari:

Page 37: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

41

Fase 1 : Notifikasi dan Respon awal

fase ini dimulai segera setelah terjadinya gangguan. Contoh

aktivitas high-level untuk fase ini antara lain : Menerima peringatan

mengenai gangguan dari personel yang ada di lapangan, otoritas

keamanan, emergencyresponseTeamatau senior manajemen.

Membunyikan alarm kebakaran dan memperingatkan otoritas keamanan

(jika diperlukan) dsb.

Fase 2 : Penilaian Masalah dan Eskalasi

Tujuan dari fase ini ada 2, tujuan yang pertama melakukan

penilaian mengenai sejauh mana masalah pada fase sebelumnya (berapa

nilai kerusakannya).Tujuan yang kedua adalah menentukan perlu tidaknya

eskalasi masalah ke fase selanjutnya.

Fase 3 : Deklarasi Bencana

Keputusan untuk mendeklarasikan sebuah bencana ada di fase ini

berdasarkan penilaian masalah dan eskalasi pada fase sebelumnya.

Fase 4 : Implementasi rencana logistik

Fase ini fokus pada tugas-tugas logistik dalam mempersiapkan

lingkungan pemulihan, dan memobilisasi tim Business Continuity dan

sumber daya untuk pemulihan dan fase melanjutkan kembali proses bisnis.

Page 38: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

42

Fase 5 : Pemulihan dan Melanjutkan bisnis seperti biasa

Fase ini menangani perencanaan aktivitas pada fasilitas-fasilitas

berikut ini:

a. Lokasi asli yang rusak

b. Fasilitas pemulihan TI alternatif

c. Area kerja alternatif

d. Fasilitas produksi dan manufaktur alternatif

e. Crisis Management Center

2.2.4. Pemilik dan Pemeliharan Dokumen

Organisasi harus menominasikan pemilik utama dari rencana dan

mendokumentasikan siapa yang bertanggung jawab untuk mereview,

merubah dan memperbarui rencana secara rutin.

2.3 ISO 22301

ISO 22301 merupakan sebuah standar internasional yang menetapkan

prosedur yang harus dilakukan dalam proses merencanakan, menetapkan,

mengoperasikan, memantau, mengkaji, memelihara, and mengembangkan

management system yang telah didokumentasikan untuk mempersiapkan

organisasi dalam menghadapi bencana serta melakukan recovery ketika bencana

terjadi (Tangen and Austin, 2012).

Standar ISO 22301 merupakan standar di bidang Business Continuity

Management System (BCMS). Pada survey yang dilakukan oleh Business

Continuity Institute(Standard, 2012), 85% dari 613 responden yang berasal dari 60

negara, menyatakan bahwa standar ISO 22301 dapat menyediakan common

Page 39: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

43

language dalam menjalankan proses BCMS antara pelanggan, supplier, dan

keperluan internal dengan sangat baik dan terstruktur .

Standar ISO 22301 mengidentifikasi dasar – dasar sistem manajemen

keberlangsungan bisnis, membangun proses, prinsip dan terminologi manajemen

kontinuitas bisnis. Standar ini antara lain, bertujuan untuk dapat memberikan

dasar acuan bagi suatu perusahaan atau organisasi, agar dapat memahami,

mengembangkan, dan menerapkan manajemen kelangsungan binsis pada suatu

organisasi bahwa organisasi tersebut dapat terus beroperasi walaupun sedang

mengalami keadaan bencana.

Berikut ini adalah komponen penyusun BCMS :

a. Policy (Kebijakan)

b. People (Manusia) dengan tanggung jawab terdefinisi

c. Proses pengelolaan yang berkaitan dengan :

• Policy

• Planning

• Implementation and Operation

• Performance Assessment

• Improvement

d. Dokumentasi yang menyediakan bukti yang dapat diaudit

e. Proses pengelolaan keberlangsungan bisnis lain yang relevan untuk

perusahaan tersebut.

Standar ISO 22301 mengikuti pola PDCA (Plan-Do-Check-Act) yang

merupakan standar pola ISO.Secara lebih spesifik, pola PDCA pada ISO 22301

digambarkan pada gambar II.2.

Page 40: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

44

Gambar 2.2 Pola PDCA

Berikut ini adalah penjelasan terkait model PDCA pada ISO 22301 :

a. Plan (Establish)

Menetapkan kebijakan, tujuan, sasaran, control, proses dan prosedur

keberalangsungan bisnis yang relevan untuk meningkatkan kelangsungan

bisnis agar dapat memberikan hasil yang selaras dengan kebijakan

organisasi secara keseluruhan dan tujuannya.

b. Do (Implement and Operate)

Menerapkan dan mengoperasikan kebijakan, control, proses dan prosedur

kelangsungan bisnis.

c. Check (Monitor and Review)

Memantau dan menilai kinerja terhadap kebijakan dan tujuan

kelangsungan bisnis, melaporkan hasilnya kepada manejemen untuk

Page 41: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

45

ditinjau, dan menentukan serta mengotorisasi tindakan untuk remediasi

dan perbaikan.

d. Act (Maintain and Improve)

Memelihara dan mengingkatkan BCMS dengan mengambil tindakan

korektif, berdasarkan hasil tujuan manajemen dan menilai kembali lingkup

BCMS serta kebijakan dan tujuan kelangsungan bisnis.

Standar ISO 22301 terdiri dari klausul-klausul berikut (Standard, 2012):

a. Clause 1: Scope

Klausul ini mendefinisikan ruang lingkup dari standar ISO 22301.Ruang

lingkup dari standar ISO 22301 adalah untuk mengimplementasikan dan

memperbaiki sebuah BCMS.

b. Clause 2 : Normative References

Klausul ini mendefinisikan daftar dokumen yang menjadi referensi agar

standar ini dapat dipahami dengan baik.

c. Clause 3 : Terms and Definitions

Klausul ini mendefinisikan seluruh istilah yang digunakan pada standar

ISO 22031.

d. Clause 4 : Context of the organization

Ketentuan yang melibatkan pengenalan perusahaan mulai dari kebutuhan

internal sampai dengan external, dan juga menetapkan beberapa batasan

yang jelas terkait dengan ruang lingkup dari sistem managemen yang akan

diterapkan. Secara lebih jelas dan detailnya, perusahaan perlu memiliki

pemahaman terhadap persayaratan dari beberapa pihak yang memiliki

kepentingan yang relevan seperti pelanggan, supplier, sponsor, dan juga

Page 42: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

46

pegawai.Dan juga perlunya pemahaman atas persyaratan hukum dan

peraturan yang berlaku pada saat itu.

e. Clause 5 : Leadership

Pada ISO 22301 memberikan penjelasan mengenai penekanan secara

khusus terhadap kebutuhan kepemimpinan yang tepat untuk

keberlangsungan BCM. Dikarenakan hal tersebut dimaksudkan dengan

tujuan agar pihak top manajemen menjamin ketersediaannya sumber daya

yang tepat, dan membuat ketetapan terhadap kebijakan tersebut, sehingga

dapat dilakukan penunjukan orang – orang yang tepat dalam menerapkan

serta memelihara Business Continuity Management sistem di perusahaan.

f. Clause 6 : Planning

Ketentuan ini berisikan tentang kewajiban bagi perusahaan untuk

mengindentifikasi seluruh resiko yang ada terhadap pelaksanaan sistem

manajemen serta menetapkan beberapa tujuan yang jelas dan juga kriteria

yang dapat digunakan dalam melakukan pengukuran atas keberhasilan dari

sistem manajemen.

g. Clause 7 : Support

Pada ketetapan ini berisikan tentang kewajiban bagi perusahaan untuk

mengidentifikasi seluruh resiko yang ada terhadap pelaksaan sistem

manajemen serta menetapkan beberapa tujuan yang jelas dan juga kriteria

yang dapat digunakan dalam melakukan pengukuran atas keberhasilan dari

sistem manajemen.

Page 43: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

47

h. Clause 8 : Operation

Ketetapan ini berisi tentang bagian utama keahlian yang spesifik dari

keberlangsungan bisnis.Setiap perusahaan diharuskan melakukan sebuah

analisa terhadap dampak bisnis dengan tujuan untuk memahami

bagaimana usaha bisnisnya dapat dipengaruji oleh beberapa gangguan dan

bagaimana hal tersebut dapat berubah dari waktu ke waktu. Dan juga

perusahaan membutuhkan sebuah proses Risk Assesment, Bussiness

Continuity Strategy, Business Continuity Procedures, dan Excercising &

Testing dalam menjamin keberlangsungan proses bisnisnya.

i. Clause 9 : Performance Evaluation

Setiap sistem managemen pasti melakukan proses evaluasi atas kinerja

dari setiap perencanaan yang sudah dibentuk sebelumnya, karena dengan

adanya proses evaluasi tersebut perusahaan dapat mengukur diri yang

disesuaikan dengan matrik kinerja. Audit internal harus tetap dilakukan

dan adanya persayaratan bagi manajemen untuk melakukan peninjauan

terhadap BCMS dan melakukan tindakan yang sesuai atas hasil tinjauan

tersebut.

j. Clause 10 : Improvement

Pada ketetapan ini lebih mengarah kepada pendefinisian tindakan terkait

apa yang harus di ambil untuk meningkatkan kinerja dari BCMS dari

waktu ke waktu sehingga akan muncul peningkatan dari segi kinerja

perusahaan serta keuntungan yang didapat dengan mengoptimalkan

keseimbangan cost/benefit yang dimiliki perusahaan.

Page 44: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

48

2.3.1 Standarisasi Penyusunan BCP Berdasarkan ISO 22301

Menurut (Provincial Electicity Authority, 2012) susunan BCP berdasarkan

ISO 22301 dengan susunan Pola PDCA adalah sebagai berikut :

a. Klausa 1 : Scope

Klausa 1 berisi cakupan standar dari pembuatan standarisasi ISO

22301, Cakupan yang dimaksud dari klausa 1 ini bukan merupakan

cakupan dari pembuatan BCP, melainkan cakupan umum dari

standarisasi ISO 22301.

b. Klausa 2 : Normative References

Klausa 2 berisi daftar dokumen yang pernah dibuat, sehingga dokumen

yang pernah dibuat dapat di track dengan baik.

c. Klausa 3 : Terms and Definitions

Klausa 3 berisi tentang istilah yang digunakan dalam pengerjaan

sebuah BCP.

d. Klausa 4 : Context of the organization

Terdiri dari 3 bagian :

1. Determining the context of the organization.

Pada bagian ini, pimpinan projek BCP harus mengetahui

issueinternal maupun eksternal yang sedang terjadi di organisasi

tersebut.

2. List of legal and requirements organization.

Pimpinan projek BCP harus mengetahui aturan atau kebijakan

yang berlaku di perusahaan, sehingga kerahasiaan organisasi dapat

terjaga dengan baik.

Page 45: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

49

3. Scope of the BCP.

Cakupan BCP yang dibangun dijelaskan pada klausa ke 4,

sehingga projek BCP tidak keluar dari cakupan pengerjaan, dan

dapat menghemat waktu, uang, dan tenaga.

e. Klausa 5 : Leadership

1. Top Management Communication Programme

Memastikan pihak komite perusahaan / top management untuk

mendukung penuh jalannya projek BCP dan siapa saja yang

menyetujui pengerjaan BCP.

2. Roles, Responsibilities and Authorities

Pihak komite / top management harus mengetahui siapa saja yang

terlibat dalam pengerjaan BCP ini, apa saja rulespekerjaan dan

sampai batas mana otoritas team dalam pengerjaan BCP ini.

f. Klausa 6 : Planning

1. Business Continuity Management Plan

Rencana pengerjaan keberlangsungan bisnis untuk bisa tercapai

target maksimal, selain itu harus merencanakan sumber yang

dibutuhkan untuk membantu mencapai target pengerjaan BCP.

g. Klausa 7 : Support

1. Competences of personnel.

Pengerjaan BCP yang baik harus dikerjakan dengan personil tim

yang kompeten, bagian ini menjabarkan personil yang tergabung

ke dalam tim BCP, sehingga dapat di track record kompetensi yang

dimiliki personil.

Page 46: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

50

2. Communication with interested parties

Alur komunikasi dengan pihak – pihak yang terkait dengan

organisasi.

h. Klausa 8 : Operation

1. Risk Analysis.

Analisa resiko dijabarkan pada klausa operation, semua resiko

yang akan terjadi di jabarkan di tahap ini.

2. Business Impact Analysis (BIA).

Proses penilaian fungsi bisnis organisasi untuk mengetahui fungsi

kritis yang harus difokuskan untuk mengembalikan organisasi ke

keadaan normal. Dalam analisis dampak bisnis, dilakukan evaluasi

risiko kegagalan proses bisnis dan identifikasi fungsi bisnis utama

beserta kebergantungan sumber daya. Analisis dampak bisnis

mencakup pemahaman proses bisnis, identifikasi fungsi bisnis

utama, identifikasi pemakaian IT dalam organisasi, identifikasi

sumber daya, dan analisis dampak risiko terhadap bisnis.

3. Business Continuity Procedures.

Tahapan yang harus dilakukan untuk keberlangsungan bisnis

walaupun terjadi bencana.

i. Klausa 9 : Performance Evaluation

Terdiri dari :

1. Data and results of monitoring and measurement.

Tahap ini berisi pengukuran dan monitor dari pengerjaan BCP

yang dikerjakan di suatu organisasi.

Page 47: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

51

2. Result of internal audit.

Tahap ini berisi hasil dari pengukuran dan audit dari pihak audit

internal perusahaan, apakah pengerjaan BCP yang dibuat telah

sesuai dan tidak menyalahkan peraturan dari organisasi.

3. Result of management review.

Tahap ini berisi hasil dari penilaian top management dari review

hasil BCP yang telah dikerjakan.

j. Klausa 10 : Improvement

Terdiri dari :

1. Procedure for continual improvement.

Tahapan ini berisi tata cara atau prosedur dalam meningkatkan

BCP yang telah dibuat, sehinggamenjadi lebih baik.

2. BCMS continual improvement action log.

Tahap ini berisi tentang pencatatan log atau aktivitas di dalam

peningkatan keberlanjutan BCP.

2.4 BCI GPG 2008

GPG pertama kali dipublikasikan oleh BCI (Business Continuity Institute)

pada tahun 2002.Publikasi pertama ini memiliki peranan yang sangat besar

terhadap perkembangan PAS 56 (Public Available Spesification 56) yang

merupakan cikal bakal ISO 22301. GPG 2008 ini ditulis dengan mengikuti

struktur ISO 22301 dan dapat dilihat sebagai sebuah panduan implementasi dan

teks definitif bagi yang ingin memahami BC dengan cara yang lebih

comperhensif. Meskipun begitu GPG 2008 tidak dapat digunakan sebagai

dokumen pengganti yang dapat digunakan untuk mengimplemantasi ISO

Page 48: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

52

22301(Business Continuity Institute, 2007). GPG 2008 menggunakan skematik

diagram dan daftar istilah dari ISO 22301 dan mengimplementasikan daur PDCA

(PlanDo Check Act) sebagaimana ISO 22301.

Tabel 2.5 Daur PDCA Implementasi BCMS pada CPI GPG 2008 (BCI , 2010)

Tahapan Penjelasan

Plan Pembuatan kebijakan, tujuan dan ruang lingkup dari

program -section 1a

Do Implementasi program BCMS-section 1b, 2-6

Check Internal audit dan tinjauan manajemen terhadap BCMS -

tidak dibahas

Act Implementasi dan hasil tinjauan -tidak dibahas

Tabel II – 5 pada tahapan Check dan Acttidak dibahas dalam CPI GPG

2008 karena dari spesifikasi ISO 22301, kedua tahapan tersebut merupakan

tahapan audit, yang bukan merupakan kebutuhan dari program BCMS.

• TAHAP PERTAMA : Manajemen Program BCMS

Manajemen Program BCMS mengacu pada klausa 4 dan klausa 5 pada

ISO 22301, tahapan ini memiliki komponen sebagai berikut :

• A. Kebijakan BCMS (mengacu pada klausa 4.1)

Kebijakan BCMS adalah suatu dokumen yang menetapkan dan

memerintahkan program BCMS untuk dilaksanakan. Kebijakan ini

memberikan konteks bagaimana sebuah tim BCMS mengimplementasikan

kemampuan yang dibutuhkan dari sebuah program BCMS. Beberapa

langkah utamanya adalah sebagai berikut :

Page 49: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

53

o Memastikan program BCMS mendukung tujuan dan

budaya organisasi

o Memutuskan ruang lingkup BCMS

o Memformulasikan kebijakan BCMS

1A1. Bercermin pada konteks organisasi

Sebuah Program BCMS yang baik harus mencerminkan

pada tujuan dan budaya organisasi. Beberapa pertanyaan yang

perlu dijawab antara lain :

• Apa tujuan organisasi?

• Bagaimana tujuan tersebut diraih?

Tujuan dari langkah ini adalah :

•Memahami arah dan fokus dari bisnis sebelum melakukan

langkah BIA ataupun Risk Assesment.

• Membantu memahami rencana bisnis untuk ekspansi,

perampingan,restrukturisasi dsb, dalam jangka menengah

maupun panjang. Informasi ini mungkin tidak dimiliki oleh

orang yang bertanggung jawab terhadap program BCMS,

padahal orang tersebut sangat bergantung pada ukuran

organisasi. Pengetahuan akan rencana bisnis akan membantu

mengembangkan strategi yang lebih sesuai dan fleksibel bagi

organisasi.

Page 50: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

54

•Untuk menetapkan skala parameter geografis untuk pilihan

pemulihan

Alat utama untuk membantu melakukan proses ini antara

lain dengan menguraikan pemahaman terhadap rencana jangka

panjang perusahaan, informasi manajemen terkini yang

menguraikan proses secara detail, volume, target dan apabila

mungkin nilai-nilai yang terkuantifikasi dari sebuah aktivitas. Hasil

dari proses ini antara lain : ruang lingkup dan daftar dokuman yang

akan digunakan dalam proses BIA dan RiskAssessment.

1A2. ISI KEBIJAKAN BCMS

Sebuah dokumen Kebijakan BCMS akan berisi (atau

mengacu pada dokumen tambahan), antara lain :

• Definisi BCMS berdasarkan Organisasi

• Definisi ruang lingkup program BCMS

• Sebuah dokumentasi kerangka kerja operasional BCMS untuk

manajemen program BCMS termasuk tanggung jawab

• Dokumen yang berisi sekumpulan prinsip BCMS, panduan dan

standar minimum

• Rencana implementasi dan pemeliharaan kebijakan BCMS

Sebuah kebijakan BCMS seharusnya ditinjau setiap saat,

sebuah peninjauan secara Formal terhadap kebijakan tersebut

biasanya dipicu oleh perubahan pada lingkungn eksternal

organisasi seperti regulasi maupun perubahan pasar.

Page 51: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

55

1A3. RUANG LINGKUP PROGRAM BCMS

BCMS mengijinkan ruang lingkup dari standar untuk

diimplementasikan pada bagian tertentu saja dari organisasi.

Misalnya pada layanan tertentu, pada produk tertentu atau pada

wilayah geografi tertentu

Tujuan dari langkah ini adalah untuk memastikan ruang

lingkup dari program BCMS. Dokumentasi dari 'pilihan' dari setiap

produk dan layanan dimaksudkan untuk menyebutkan secara

eksplisit bagaimana organisasi akan atau tidak akan melindungi

suatu produk atau layanan.

• B. Manajemen Program

Faktor kunci penentu keberhasilan dari program BCMS adalah

penujukan orang yang tepat untuk menangani dan mengawasi

program BCMS. Langkah – langkah kunci dalam tahapan ini

adalah :

B1. MENETAPKAN TANGGUNG JAWAB

Tujuan dari proses ini adalah untuk memastikan tugas yang

diperlukan untuk mengimplementasi dan memelihara program

BCMS telah berikan kepada individual spesifik yang kompeten

dengan kinerja yang dapat dimonitor

1B2. MELAKUKAN IMPLEMENTASI BCMS DI

ORGANISASI

Page 52: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

56

Tujuan dari langkah ini adalah untuk memastikan

keberlangsungan program BCMS ditetapkan pada organisasi.

Keberlangsungan sebuah program BCMS artinya telah

mendapatkan komitmendari organisasi dan memiliki struktur dan

prosedur untuk memastikan pemeliharaan kesiapan dan

peningkatan dapat dilakukan di masa depan.

1B3. MANAJEMEN PROYEK

Ketika mengimplementasikan BCMS untuk pertama kali

sebuah organisasi harus mengadopsi metode manajemen proyek

yang sesuai. Metode itu harus menyertakan kebutuhan untuk

tinjauan reguler terhadap progres berdasarkan tanggal dan

millestoneyang telah disetujui sebelumnya

1B4. MANAJEMEN BC YANG BERKELANJUTAN

Tujuan dari langkah ini adalah untuk menyediakan

manajemen yang efektif dan berkelajutan dari program BCMS.

Jumlah professional praktisi BCMS dan staf dari disiplin

manajemen yang lain yang mungkin diperlukan untuk mendukung

dan menangani program BCMS tergantung ukuran, karakteristik,

kompleksitas dan lokasi geografis dari organisasi tersebut. Sebuah

aktivitas BCMS di organisasi yang kecil mungkin saja diberikan

kepada individual merangkap tugas yang lain. Di organisasi yang

lebih besar mungkin bisa terdiri dari beberapa staf pekerja tetap

atau paruh waktu. Sebesar ataupun sekecil apapun sebuah

Page 53: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

57

organisasi program BCMS harus dikelola secara berkelanjutan dan

dilakukan review secara internal maupun eksternal dalam jangka

waktu yang telah ditentukan sebelumnya.

1B5. DOKUMENTASI

Salah satu bagian penting dari proses BCMS adalah untuk

mengelola semua dokumentasi BCMS. Dokumentasi harus

dikelola konsistensinya, kemudahan untuk dimengertidan

menyediakan dukungan baik operasional maupun audit/review.

Sebuah organisasi yang telah menetapkan standar yang lain seperti

ISO 9000 atau ISO 27001 perlu meninjau dokumentasi standar-

standar tersebut sehingga dokumentasi dari program BCMS dapat

sesuai (fit) dengan dokumentasi dari standar-standar tersebut.

Dokumentasi BCMS memiliki 3 tujuan :

• Untuk mengelola program secara efektif

• Untuk membuktikan manajemen program yang efektif sewaktu

terjadinya audit

• Terdapatnya dokumentasi yang paling baru dan efektif pada

waktu terjadinya gangguan yang mungkin dibutuhkan untuk

melakukan pemulihan.

1B6. KESIAPAN DAN TANGGAPAN INSIDEN

Pihak-pihak yang terlibat dalam BC harus selalu siap untuk

memberikan arahan ketika terjadi insiden. Setiap pihak yang

terlibat harus menjaga level kesiapan sehingga maajemen insiden

Page 54: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

58

dapat mengambil alih situasi dengan mulus ketika sebuah insiden

terjadi.

Proses-proses yang terlibat antara lain :

• Menerima pemberitahuan dari masalah

• Melakukan asesment situasi kemudian menangani masalah

tersebut melalui rencana yang telah dipersiapkan atau

meningkatkan insiden ini ke IMT (Incident ManagementTeam)

• Jika sebuah tindakan diperlukan maka beberapa hal yang patut

dipertimbangkan antara lain : apakah seorang pemimpin secara

emosional dan fisik siap untuk membantu atau memimpin

langkah respon, apakah orang lain yang Bertanggung jawab

dapat untuk menjalankan tanggung jawabnya - beberapa orang

bereaksi dengan tidak biasa ketika terjadinya insiden dan yang

terakhir adalah apakah seorang penanggungjawab BCP, sudah

mengkomunikasikan apa yang terjadi pada manajemen senior

Hasil yang diharapkan dari proses ini adalah respon yang sesuai

untuk mencapai bisnis sebagaimana biasa (Business as usual)

dari sebuah organisasi.

• TAHAP KEDUA : MEMAHAMI ORGANISASI

Tahapan ini mengacu pada klausa 4 pada ISO 22301 dan merupakan

element kunci dalam BCMS.Berguna untuk mengindentifikasi produk-produk

dan layanan kunci organisasi dan mendefinisikan aktivitas yang kritis waktu

yang mendukungnya.

Page 55: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

59

Bagian BCMS ini harus diintegrasikan secara penuh terhadap tujuan,

kewajiban dan tanggung jawab hukum yang dimiliki oleh organisasi. Lebih

lanjut proses BIA dan RiskAssessmentseringkali menemukan ketidakefisienan

dalam bisnis dan fokus terhadap prioritas yang mungkin tidak akan disebutkan

secara jelas oleh pihak manajemen.

2A1. BUSINESS IMPACT ANALYSIS

BIA adalah dasar dari seluruh proses BCMS. Di dalam proses

inidiidentifikasi, mengkuantifikasi dan kualifikasi dampak bisnis terhadap

gangguan yang dialami oleh bisnis proses dari suatu organisasi dan

menyediakan data sehingga Continuity strategyyang sesuai dapat

ditentukan.

Proses yang harus ada sebelum melakukan BIA adalah

mendapatkandukungan dari eksekutif atau top manajemen, menentukan

produk dan service yang akan dimasukkan ke dalam BIA, ruang lingkup

dan syarat-syarat dari program BCMS yang terangkum dalam dokumen

Kebijakan BCMS.

Setelah ruang lingkup ditentukan proses BIA memfokuskan pada

aktivitas yang mendukung produk dan layanan tersebut. Biasanya

merupakan aktivitas-aktivitas operasional yang berinteraksi dengan

konsumen dan dengan pihak di luar organisasi.Hasil akhir dari sebuah

proses BIA adalah :

Page 56: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

60

• MTD/MTPD dan justifikasi untuk setiap aktivitas

• RPO untuk informasi yang digunakan di dalam aktivitas ini sehingga

memungkinkan aktivitas dapat berjalan kembali setelah diresume.

GPG 2008 menyarankan BIA untuk dijalankan minimal satu tahun

sekali namun dapat lebih jika :

• terjadi perubahan kecepatan aktivitas bisnis

• terjadi perubahan signifikan terhadap bisnis proses internal, lokasi

maupun teknologi

• terjadi perubahan di lingkungan bisnis eksternal, seperti perubahan

pasar maupun regulasi.

2A2. ESTIMASTI KEBUTUHAN PEMULIHAN

Aktivitas ini pada dasarnya mengumpulkan informasi mengenai

jumlah sumber daya yang diperlukan untuk memulai kembali dan

melanjutkan ke sebuah level yang diperlukan untuk memenuhi kewajiban

organisasi. Aktivitas ini biasanya berlangsung bersamaan dengan aktivitas

BIA. Tujuan dari aktivitas ini adalah :

• Menyediakan informasi sumber daya sehingga strategi pemulihan

yang sesuai dapat ditentukan/dipilih.

• Mengidentifikasi kebutuhan sumber daya dari ketergantungan antar

aktivitas yang terdapat di internal maupun eksternal.

Hasil dari aktivias analisis kebutuhan pemulihan antara lain :

Page 57: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

61

• Daftar sumber daya yang dibutuhkan selama masa waktu sesudah

pelanjutan kembali untuk menyediakan service levelyang disetujui

sebelumnya

• Ketergantungan antara aktivitas internal, eksternal supplier

Informasi dari tahap ini akan dipergunakan langsung pada tahap

MENENTUKAN STRATEGI BC. Informasi kebutuhan sumber daya

akan menyediakan data untuk mengevaluasi solusi pemulihan alternatif

untuk kecukupan ukuran dan kinerja

2A3. RISK ASSESSMENT

Aktivitas Assessmentrisiko dalam konteks BCMS akan mencari

kemungkinan dan dampak dari berbagai macam ancaman yang spesifik

yang dapat menyebabkan gangguan pada aktivitas bisnis. Tujuan dari

aktivitas risk assessmentadalah :

• Mengidentifikasi ancaman internal dan eksternal yang dapat

menyebabkan gangguan dan melakukan Assessmentterhadap

kemungkinan dan dampak yang mungkin ditimbulkan.

•Memberikan prioritas terhadap ancaman berdasarkan Formula yang

sudah ditetapkan sebelumnya.

• Untuk memberi informasi kepada program kontrol manajemen risiko

dan rencana kerja.

Page 58: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

62

Hasil dari aktivitas ini adalah identifikasi dan dokumentasi dari :

• Titik tunggal kegagalan kerja.

• Daftar ancaman yang sudah terurut berdasarkan prioritas terhadap

organisasi atau terhadap salah satu bisnis proses yang dianalisa.

• Informasi yang dapat dipergunakan untuk membuat strategi manajemen

kontrol risiko dan rencana kerja untuk risiko yang sudah teridentifikasi.

• Sebuah dokumen acceptanceterhadap risiko teridentifikasi yang tidak

ditangani.

• TAHAP KETIGA : MENENTUKAN STRATEGI BC

Aktivitas ini mengacu pada klausa 6 pada ISO 22301.Aktivitas ini

memungkinkan sekumpulan strategi untuk dievaluasi dan respon yang sesuai

di pilih untuk setiap produk dan layanan sehingga organisasi tetap dapat

memberikan produk dan layanan tersebut pada jangka waktu yang dapat

diterima pada saat terjadinya gangguan. Pilihan yang dibuat akan

memperhitungkan resilience dan pilihan tindakan yang telah ada sebelumnya

di dalam perusahaan.

3A1. MENENTUKAN STRATEGI BUSINESS CONTINUITY

Tujuan dari langkah ini adalah untuk memastikan bahwa

keseluruhan Continuity strategytelah mendukung penyampaian produk dan

servis organisasi. Beberapa konsep dan asumsi untuk langkah ini antara

lain :

• Pemisahan jarak (off-site) : seringkali insiden menyebabkan lokasi

kantor tidak dapat diakses, sehingga perlu untuk dipastikan bahwa

Page 59: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

63

data elektronis dan rekaman lain diduplikasi dan disimpan di lokasi

lain yang secara georgafis terpisah. Dua lokasi yang secara geografis

terpisah akanmengurangi kemungkinan kedua lokasi tersebut

terpengaruh oleh insiden yang sama.

Menurut GPG 2008 tidak ada jarak minimum atau jarak

seharusnya namun biasanya limit ini lebih kepada berapa jauh seorang

staf dapat pergi (misalnya sekitar 1 jam dari kantor)

• Resilience:digunakan untuk mengindikasikan sesuatu yang mengalami

kergagalan fungsi namun masih dapat melanjutkan operasinya. Di

dalam TI istilah ini seringkali dianggap seakan-akan mutlak (sama

sekali tidak terganggu oleh gangguan) misalnya teknologi RAID akan

meningkatkan resiliencehardiskServernamun tidak meningkatkan

resilienceketika terjadinya kebakaran. Menambahkan jarak geografis

dari off-siteakan menambahkan organizational-resiliencemeskipun

mungkin masih terpengaruh oleh insiden yang menyebar secara luas,

pandemik, atau virus komputer.

3A2. PEMILIHAN AKTIVITAS KEBERLANGSUNGAN

Aktivitas/langkah ini mencakup proses pemilihan taktik yang

sesuai untuk setiap aktivitas yang mendukung penyampaian dari satu atau

lebih produk dan layanan di dalam ruang lingkup program BCMS. Taktik

yang sesuai untuk setiap aktivitas harus dipilih untuk mencakup sumber

daya yang diperlukan di area antara lain :

• Manusia, keterampilan dan pengetahuan

• Tempat

Page 60: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

64

• Teknologi

• Supplier

• Stakeholder

Syarat untuk dapat menjalankan aktivitas ini adalah seluruh RTO

dari produk dan layanan sudah ditentukan sebelum menentukan RTO

untuk setiap aktivitas dan pemilihan taktik dilakukan.Tujuan dari langkah

ini adalah untuk memastikan bahwa pemilihan aktivitas keberlangsungan

untuk setiap aktivitas mendukung secara benar penyampaian produk dan

layanan organisasi. Aktivitas yang proses pemulihannya paling penting

bisa saja diproses lebih lanjut untuk mengurangi berbagai aktivitas

pengurangan ancaman yang sesuai. Beberapa konsep dan asumsi untuk

untuk langkah ini antara lain :

• Kehandalan / Reability: Seringkali keputusan manajemen dibuat

berdasarkan perhitungan biaya dan kehandalan dari penyampaian

layanan pihak ketiga yang diperlukan untuk pemulihan.

• Perluasan Perencanaan : Perluasan dan detail kepada setiap taktik

untuk setiap aktivitas yang perlu direncanakan tergantung pada

keperluan masing-masing aktivitas dan tingkat kerumitan dari

kebutuhan.

3A3. KONSOLIDASI LEVEL SUMBER DAYA

Setelah melakukan pemilihan taktik pemulihan untuk setiap

aktivitas bisnis maka tim BCMS perlu melakukan konsolidasi kebutuhan

sumber daya, menentukan bagaimana cara mendapatkannya dan

Page 61: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

65

memasukannya ke dalam BCP. Langkah ini memiliki 2 tujuan utama

antara lain :

• Jika sumber daya yang dibutuhkan akan dibeli maka harga yang lebih

baik akan didapatkan jika membelinya dalam satu kali pembelian

besar daripada membelinya secara eceran

• Dengan melakukan koordinasi sumber daya dapat mencegah

terjadinya konflik - misalnya lebih dari satu aktivitas di dalam sebuah

gedung memiliki tempat kerja yang sama di tempat yang lain.

Hasil yang diharapkan dari langkah ini adalah sekumpulan sumber

daya dan layanan yang dapat diterapkan dalam kontrol BCP yang

menyediakan pemulihan fungsi bisnis ke dalam level yang dapat diterima

(didalam jangka waktu RTO maupun pemulihan informasi didalam RPO)

• TAHAP KEEMPAT : MENGIMPLEMENTASIKAN DAN

MENGEMBANGKAN RESPON BCMS

Aktivitas ini mengacu pada klausa 7 dan 8 pada ISO

22301.Mengembangkan dan mengimplemantasikan respon BCMS

menghasilkan kerangka kerja manajemen dan struktur manajemen insiden,

BCP dan BRP (Business Recovery Plan) yang merinci langkah-langkah

yang diambil selama dan setelah insiden untuk menjaga atau memulihkan

operasi.

4a1. INCIDENT MANAGEMENT PLAN

Mengembangkan IMP merupakan langkah pertama yang harus

dilakukan pada sebuah organisasi yang belum memiliki rencana kerja,

Page 62: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

66

dengan begitu menyediakan sebuah level perlindungan yang terbatas

sementara rencana lain dikembangkan. Tujuan dikembangkannya IMP

adalah untuk memberikan kerangka kerja yang terdokumentasi untuk

menangani semua jenis krisis apapaun penyebabnya (meskipun tidak ada

BC responseyang sesuai untuk ancaman-ancaman seperti reputasi) Hasil

dari langkah ini antara lain :

• Sebuah IMP yang dapat mendukung peranan dari tim incident

managmentselama berlangsungnya krisis

• Sebuah Incident Communication Planyang dapat menangani media

dan stakeholder selama berlangsungnya krisis

• Demonstrasi dari kesiapan terhadap incident managemnt yang efektif

terhadap media, pasar, konsuman, stakeholderdan regulator.

4a2. BUSINESS CONTINUITY PLAN

Sebuah BCP menyatukan respon dari seluruh organisasi di saat

terjadinya insiden yang mengganggu dengan memfasilitasi pemulihan

aktivitas bisnis. Komponen dan isi dari sebuah BCP akan berbeda dari

suatu organisasi ke organisasi yang lain dan akan memiliki tingkat

kedetailan yang berbeda berdasarkan budaya organisasi beserta tingkat

kerumitan dari solusi.

Untuk dapat menulis sebuah BCP yang efektif elemen-elemen

kunci dari strategi pemulihan harus sudah direncanakan terlebih dahulu

Tujuan dari sebuah BCP adalah untuk menyediakan kerangka kerja yang

terdokumentasi dan proses yang memungkinkan organisasi untuk dapat

Page 63: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

67

melanjutkan bisnis proses di dalam RTO mereka. Sebuah dokumen BCP

yang berdiri sendiri tidak dapat mendemonstrasikan kapasitas maupun

kemampuan BCMS.

• TAHAP KELIMA : PELATIHAN, MENJAGA, DAN MENINJAU

PROGRAM BCMS.

• TAHAP KEENAM :MENANAMKAN BCMS DI BUDAYA

ORGANISASI.

Tahap kelima dan keenam berada diluar lingkup pengerjaan penelitian ini,

sehingga tidak akan masuk ke dalam pembahasan.

Secara garis besar GPG 2008 bukan merupakan standar yang berdiri

sendiri melainkan ditulis dengan mengikuti struktur ISO 22301 dan dapat dilihat

sebagai sebuah panduan implementasi dan teks definitif bagi yang ingin

memahami BC dengan cara yang lebih comperhensif. GPG 2008 tidak dapat

digunakan sebagai dokumen pengganti yang dapat digunakan untuk

mengimplemantasi ISO 22301, Sehingga GPG 2008 tidak dapat dibandingkan

dengan standar-standar yang lain melainkan sebagai pelengkap (panduan

implementasi dan teks definitif) dari ISO 22301.

2.5 Metode Pengumpulan Data

Data dapat didapatkan dari sumber primer maupun sekunder.Data primer

mengacu pada informasi yang didapatkan secara langsung oleh

peneliti.Sedangkah data sekunder mengacu pada data-data yang telah

ada.Pemilihan metode pengumpulan data bergantung pada fasilitas yang tersedia,

Page 64: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

68

tingkat keakuratan yang dibutuhkan, tingkat keahlian/expertise dari peneliti,

jangka waktu penelitian dan biaya juga sumberdaya yang berhubungan dengan

penelitian(Sekaran, 2003). Secara umum ada beberapa pihak yang biasanya

terlibat dalam sebuah proses perancangan BusinessContinuity Plan atau biasa

disebut key contributormereka adalah (Snedaker, 2007):

a. InformationSystem

b. Human Resources

c. Facilities/Security

d. Financial/Legal

e. Purchasing/Logistics

f. Marketing and Sales

Beberapa metode pengumpulan data antara lain(Sekaran, 2003):

2.5.1 Wawancara(Interview)

Wawancara terhadap respondenadalah salah satu metode

pengumpulan data untuk mendapatkan pokok permasalahan.Wawancara

dapat dilakukan secara tidak terstruktur maupun terstruktur dan dilakukan

baik tatap muka secara langsung, menggunakan telepon maupun

online.Sekarang mengungkapkan beberapa kelebihan dan kekurangan

wawancara tatap muka ataupun melalui telepon.

Wawancara secara bertatap muka mempunyai keunggulan bahwa

peneliti dapat menyesuaikan bentuk pertanyaan sesuai dengan

kepentingan, dapat mengklarifikasikan keragu-raguan dan menjamin

bahwa respon yang diberikan oleh responden benar-benar dipahami oleh

Page 65: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

69

peneliti melalui pengulangan pertanyaan.Selain itu dalam wawancara tatap

muka peneliti dapat melihat mimik responden, misalkan responden sedang

stress atau kurang nyaman.Sedangkan kekurangannya adalah keterbatasan

geografis, selain itu biayanya juga lebih cukup tinggi dibandingkan dengan

melalui telepon atau kuisioner Kelebihan wawancara melalui telepon

adalah jumlah responden yang dapat diraih seangat banyak dalam

jangkauan geografis yang luas bahkan mungkin berbeda negara. Selain itu

juga akan mengurangi ketidaknyamanan yang mungkin ditemukan dalam

wawancara tatap muka. Sedangkan kelemahan dari metode ini adalah

responden dapat secara tiba-tiba menghentikan wawancara tanpa

persetujuan peneliti.

2.5.2 Kuisioner (Questionnaires)

Sebuah kuisioner adalah sekumpulan pertanyaan yang sudah

diFormulasikan sebelumnya (biasanya pertanyaan tertutup) dimana

responden mencatat jawaban mereka. Kuisioner adalah metode

pengumpulan data yang sangat efektif jika peneliti mengetahui dengan

pasti apa yang dibutuhkan dan bagaimana mengukur variabel yang

menjadi minat penelitian. (Sekaran, 2003)mengungkapkan beberapa

kelebihan dan kekurangan kuesioner, kelebihan kuisioner adalah :

1. Dapat disusun dengan teliti dan tenang dalam kamar kerja si peneliti.

2. Memungkinkan banyak orang yang dapat dihubungi sebagai responden.

3. Waktu yang diperlukan untuk memperoleh responden yang banyak

relatif singkat.

Page 66: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

70

4. Orang dari bidang ilmu sosial yang lain dapat menggunakan kuisioner

serta jawaban untuk analisis dan interpretasi yang berbeda

Sedangkan kekurangannya adalah :

1. Semua pertanyaan sudah ditetapkan terlebih dahulu, sehingga sulit

untuk menangkap semua permasalahan yang khusus ada di suatu

masyarakat,misalkan suatu kejadian politik, bencana alam, atau musim

pertanian yang berpengaruh pada suatu bagian masyarakat yang lain.

2. Sifat kaku, tidak ada atau sedikit keleluasaan untuk mengubah

pertanyaan agar lebih cocok dengan alam pikiran atau pengetahuan para

responden.

3. Tidak dapat memperoleh hasil yang mendalam, karena pertanyaannya

bersifat luas dan mendatar.

2.5.3 Kategori dan struktur pertanyaan

Kuisioner dan jadwal wawancara (sebuah istilah alternatif untuk

kuisioner yang digunakan dalam wawancara personal) dapat merentang

dari kuisioner yang mempunyai sangat baik hingga yang secara essensial

tidak terstruktur. Kuisioner mengandung tiga kategori pertanyaan

pengukuran :

1. Pertanyaan administratif : mengidentifikasi partisipan,

pewawancara, lokasi dan kondisi wawancara.

2. Pertanyaan klasifikasi: Pertanyaan ini jarang diajukan pada

partisipan namun diperlukan untuk pola kajian data dan identifikasi

kemungkinan sumber error. pertanyaan jenis ini biasanya

Page 67: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

71

mencakup variabel sosial-demografis yang memungkinkan

jawaban partisipan dikelompokkan sehingga dapat

mengungkapkan pola dan dapat dipelajari.

3. pertanyaan target(terstruktur dan tidak terstruktur) : mengarah pada

pertanyaan investigatif dari kajian tertentu. Pertanyaan ini

dikelompokkan menurut topik dalam survei. Pertanyaan target

dapat terstruktur (memberikan partisipan himpunan pilihan yang

tetap sehingga sering disebut pertanyaan tertutup) atau tidak

terstruktur (tidak membatasi tanggapan tetapi tidak menyediakan

kerangka referensi untuk jawaban partisipan, seringkali disebut

sebagai pertanyaan terbuka)

2.6 Penelitian Sebelumnya

1. Pada survey yang dlakukan oleh Business Continuity

Institute(Standard, 2012), 85% dari 613 responden yang berasal dari

60 negara, menyatakan bahwa standar ISO 22301 dapat menyediakan

common language dalam menjalankan proses BCMS antara pelanggan,

supplier, dan keperluan internal dengan struktur dan lengkap.

2. Journal dari (Blanked & McGrady, 2011) mengukapkan pentingnya

membuat sebuah BCP ketika sebuah bencana terjadi. Dari journal ini

dapat diambil beberapa pelajaran dari kejadian kebakaran yang

menimpa asosiasi perawat (VNA – Visiting Nursing Association) pada

bulan Desember 2011, yaitu :

• Pelajaran pertama : VNA tidak pernah menyadari bahwa Risiko

bisa terjadi sewaktu – waktu, sehingga ketika bencana terjadi

Page 68: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

72

para staff di VNA hanya saling melimpahkan kesalahan.

Sehingga dengan adanya BCP yang baik, maka tidak

akanterjadi saling melimpahkan kesalahan, karena setiap orang

memiliki tanggung jawab masing – masing.

• Pelajaran kedua : Komunikasi yang efektif, dengan adanya

BCP, top management sudah mengetahui prosedur apa saja

yang harus di lakukan ketika bencana terjadi, sehingga

komunikasi dari top management dan staff dapat berjalan

dengan baik ketika suatu bencana terjadi.

• Pelajaran ketiga : Alternatif lokasi penyimpanan sangat

diperlukan, VNA memusatkan pusat datanya hanya pada satu

lokasi, sehingga ketika bencana kebakaran terjadi, para staff

VNA tidak sempat untuk memindahkan data penting tersebut,

mengakibatkan data penting yang dimiliki VNA hilang.

3. Penelitan melalui (Standard, 2012) dengan buku strategic BCP

menyebutkan bahwa ISO 22301 memiliki 54 Point dari 101 point

sistem keamanan dan bersifat umum serta dapat diterapkan oleh

berbagai organisasi tanpa memperdulikan tipe organisasi. Sehingga

ISO 22301 sangat fleksibel dan mudah diterapkan.

4. Cahyadi (Cahyadi, 2006) melakukan penelitian Business Continuity

Plan berdasarkan kuantifikasi nilai ekonomis sistem aplikasi pada

industri penerbangan : Studi kasus pada PT. Garuda Indonesia. Tujuan

dalam penelitian tersebut adalah menganalisa pendekatan dalam

mengkuantifikasi nilai ekonomis yang timbul akibat kegagalan atau

Page 69: BAB 2 LANDASAN TEORI - Library & Knowledge Center · PDF fileteknis. Perencanaan dibuat berdasarkan pemahaman akan ... yang digunakan dalam sebuah gedung. ... metodologi pengukuran

73

tidak berfungsinya suatu sistem aplikasi TI sebagai dasar dalam

melakukan evaluasi dan pengukuran investasi TI yang diharapkan

dapat digunakan sebagai bagian dari implementasi BCP. Penelitian

tersebut telah mengkuantifikasi nilai manfaat tangible maupun

intangible dari sistem aplikasi untuk mengetahui kerugian bisnis dan

potensi biaya yang akan timbul bila sistem tidak berfungsi serta biaya

untuk mengimplementasikan alternative – alternative pendekatan BCP.

5. Slamet (Slamet, 2006) dan Novianto (Novianto, 2006) dalam laporan

proyek akhirnya melakukan penelitian kerangka kerja yang terbukti

lebih teruji menggunakan Price Waterhouse System Management

Methodology, PWSMM+ terdiri dari tiga tahap utama, tiap tahap

dibagi dalam beberapa fase, yaitu : tahap analisa dampak bisnis, tahap

seleksi strategi, tahap rencana persiapan, pengujian, dan pemeliharaan.

6. Kusmayadi (Kusmayadi, 2010) melakukan penelitian perancangan

BCP studi kasus PT. X dibuat dengan menggunakan framework

Business Continuity dan Disaster Recovery dari Sharing Vision serta

berpedoman pada penerapan manajemen Risiko dalam penggunaan

teknologi informasi yang ditetapkan bank Indonesia No.

9/15/PBI/2007 yang telah disesuaikan dengan nature bisnis perusahaan

khususnya untuk penetapan definisi dan syarat minimal yang harus

tersedia dalam sebuah dokumen BCP.