BAB 4 PEMBAHASAN - library.binus.ac.idlibrary.binus.ac.id/eColls/eThesisdoc/Bab4/TSA-2016-0090...
Transcript of BAB 4 PEMBAHASAN - library.binus.ac.idlibrary.binus.ac.id/eColls/eThesisdoc/Bab4/TSA-2016-0090...
77
BAB 4
PEMBAHASAN
4.1 Pemetaan ISO 22301 Terhadap Business Continuity
Plan dan Disaster Recovery Plan Pada Lembaga
Negara XYZ
Pemetaan ISO 22301 terhadap business continuity plan dan disaster
recovery plan pada Lembaga Negara XYZ bertujuan untuk mengetahui kondisi
existing dari penerapan business continuity plan dan disaster recovery plan yang
telah dilakukan Lembaga Negara XYZ sejauh ini berdasarkan ISO 22301.
Dimana hasil pemetaan tersebut sebagai acuan dalam melakukan perancangan
business continuity plan dan disaster recovery plan yang akan dilakukan dalam
penelitian ini.
Hasil pemetaan ISO 22301 terhadap business continuity plan dan disaster
recovery plan pada Lembaga Negara XYZ diperoleh dari proses wawancara dan
proses analisa kondisi existing dari kondisi teknologi informasi Lembaga Negara
XYZ saat ini, dimana hasil pemetaan tersebut adalah sebagai berikut:
Tabel 4. 1 Pemetaan Kondisi Perusahaan dengan ISO 22301
No ISO 22301 Siklus
PDCA Y/N Keterangan
Clause 4: Context of the organization
1 Apakah perusahaan telah
melakukan identifikasi
terkait Kegiatan organisasi,
fungsi, layanan, produk,
kemitraan, rantai pasokan,
hubungan dengan pihak yang
Plan N Belum ada proses analisa
risko terkait dengan
kegiatan operasional,
fungsi, layanan, produk,
kemitraan, rantai pasokan,
hubungan dengan pihak
78
No ISO 22301 Siklus
PDCA Y/N Keterangan
berkepentingan, dengan
dampak potensial terkait
dengan insiden yang akan
mengganggu bisnis
perusahaan?
yang berkepentingan pada
Lembaga Negara XYZ.
Analisa risiko yang ada
baru bersifat mandatory
saja seperti pemisahaan
user access atau
penerapan physical
security tetapi belum
terdokumentasi secara
legal baru berupa inisiatif
dari unit terkait saja.
2 Apakah perusahaan telah
melakukan identifikasi
terkait hubungan antara
kebijakan kelangsungan
bisnis dan tujuan organisasi
dan kebijakan lainnya,
termasuk strategi manajemen
risiko secara keseluruhan?
Plan N Lembaga Negara XYZ
belum memiliki kebijakan
kelangsungan bisnis,
masih berupa
perencanaan yang
tertuang pada tata kelola
TI Lembaga Negara XYZ
3 Apakah perusahaan telah
melakukan identifikasi
Kebutuhan dan harapan dari
pihak berkepentingan dengan
perusahaan?
Plan Y Lembaga Negara XYZ
sudah melakukan proses
identifikasi kebutuhan
dan harapan dimana
identifikasi tersebut
digunakan untuk
mengetahui apakah yang
dibutuhkan oleh Lembaga
Negara XYZ dalam
melaksanakan prosesnya
berdasarkan strategi yang
telah disusun
4 Apakah perusahaan sudah
menaati hukum, peraturan
dan persyaratan lainnya yang
berlaku di Indoneisa?
Plan Y Lembaga Negara XYZ
sudah menaati peraturan
dan hukum yang berlaku
di Indonesia salah satu
peraturan dan hukum
yang ditaati yaitu
peraturan pemerintah no
60 tahun 2008 terkait
dengan pengendalian
internal.
Clause 5: Leadership
1 Apakah manajemen telah
memastikan Business
Continuity Management
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
79
No ISO 22301 Siklus
PDCA Y/N Keterangan
System (BCMS) kompatibel
dengan arah strategis
organisasi?
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
2 Apakah manajemen telah
mengintegrasikan
persyaratan Business
Continuity Management
System (BCMS) ke dalam
proses bisnis organisasi?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
3 Apakah manajemen telah
menyediakan sumber daya
yang diperlukan untuk
Business Continuity
Management System
(BCMS)?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
4 Apakah manajemen telah
mengkomunikasikan
pentingnya manajemen
kelangsungan bisnis yang
efektif?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
5 Apakah manajemen telah
memastikan bahwa Business
Continuity Management
System (BCMS) mencapai
hasil yang diharapkan?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
6 Apakah manajemen telah
mengarahkan dan
mendukung perbaikan terus-
menerus terkait dengan
BCP?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
7 Apakah manajemen telah
menetapkan dan
mengkomunikasikan
kebijakan kelangsungan
bisnis?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
80
No ISO 22301 Siklus
PDCA Y/N Keterangan
8 Apakah manajemen telah
memastikan tujuan dan
rencana Business Continuity
Management System
(BCMS) yang ditetapkan?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
9 Apakah manajemen telah
memastikan tanggung jawab
dan kewenangan untuk peran
yang ditugaskan?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
Clause 6: Planning
1 Apakah sasaran strategis dan
prinsip-prinsip panduan
untuk Business Continuity
Management System
(BCMS) secara keseluruhan
yang ada sekarang Konsisten
dengan kebijakan
kelangsungan bisnis?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
2 Apakah sasaran strategis dan
prinsip-prinsip panduan
untuk Business Continuity
Management System
(BCMS) secara keseluruhan
yang ada sekarang
memperhitungkan tingkat
minimum produk dan
layanan yang dapat diterima
oleh organisasi untuk
mencapai tujuannya?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
3 Apakah sasaran strategis dan
prinsip-prinsip panduan
untuk Business Continuity
Management System
(BCMS) secara keseluruhan
yang ada sekarang dapat
diukur?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
4 Apakah sasaran strategis dan
prinsip-prinsip panduan
untuk Business Continuity
Management System
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
81
No ISO 22301 Siklus
PDCA Y/N Keterangan
(BCMS) secara keseluruhan
yang ada sekarang dipantau
dan diperbarui sesuai dengan
perkembangan yang ada?
perencanaan yang
tercantum pada tatakelola
TI perusahaan
Clause 7: Support
1 Apakah Pengelolaan
Business Continuity
Management System
(BCMS) menggunakan
sumber daya yang tepat
untuk setiap tugas termasuk
staf yang kompeten dengan
pelatihan yang relevan dan
layanan pendukung,
kesadaran dan komunikasi?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
Clause 8: Operation
1 Apakah perusahaan telah
melakukan Business Impact
Analysis (BIA) sesuai
dengan yang direncanakan?
Do N Belum adanya proses
business impact analysis
pada Lembaga Negara
XYZ, masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
2 Apakah perusahaan telah
melakukan Risk Assessment
sesuai dengan yang
direncanakan?
Do N Belum adanya proses risk
assessment pada Lembaga
Negara XYZ, masih
berupa perencanaan yang
tercantum pada tatakelola
TI perusahaan
3 Apakah perusahaan telah
melakukan Business
Continuity Strategy sesuai
dengan yang direncanakan?
Do N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
4 Apakah perusahaan telah
melakukan Business
Continuity Procedures sesuai
dengan yang direncanakan?
Do N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
82
No ISO 22301 Siklus
PDCA Y/N Keterangan
5 Apakah perusahaan telah
melakukan exercise and
testing sesuai dengan yang
direncanakan?
Do N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
Clause 9: Performance Evaluation
1 Apakah perusahaan telah
melakukan pemantauan
sejauh mana kebijakan
kelangsungan bisnis
organisasi, tujuan dan
sasaran terpenuhi?
Check N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
2 Apakah perusahaan telah
mengukur kinerja proses,
prosedur dan fungsi yang
melindungi kegiatan yang
diprioritaskan?
Check N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
3 Apakah perusahaan
memantau kepatuhan dengan
standar ini dan tujuan
kelangsungan usaha?
Check N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan. Proses
pemantauan kepatuhan
baru sebatas tata kelola TI
saja belum spesifik ke
proses business continuity
4 Apakah adanya kegiatan
pemantauan bukti sejarah
kinerja kekurangan Business
Continuity Management
System (BCMS) dan
melakukan audit internal
pada selang waktu yang
terencana?
Check N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
5 Apakah perusahaan
mengevaluasi semua dengan
tinjauan manajemen pada
interval yang direncanakan?
Check N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
83
No ISO 22301 Siklus
PDCA Y/N Keterangan
perencanaan yang
tercantum pada tatakelola
TI perusahaan
Clause 10: Improvement
1 Apakah perusahaan
melakukan peningkatan
proses keamanan dan kontrol
dari hasil evaluasi terkait
dengan tujuan untuk
meningkatkan efektivitas
(mencapai tujuan) dan
efisiensi (biaya optimal /
rasio manfaat) proses BCP
yang ada?
Act N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
Dari hasil pemetaan tersebut dapat dikesimpulkan bahwa, Lembaga
Negara XYZ belum melaksanan proses business continuity plan secara
keseluruhan masih sebatas perencanaan, dimana dapat terlihat klausul yang sudah
dilakukan oleh Lembaga Negara XYZ hanya klausul 4 poin 3 dan 4 terkait
dengan identifikasi kebutuhan perusahaan dan acuan atau peraturan dan hukum
yang berlaku di Indonesia yang di taati di Lembaga Negara XYZ.
4.2 Perancangan Business Continuity Plan dan Disaster
Recovery Plan Berdasarkan ISO 22301
Dari hasil pemetaan tersebut dapat terlihat bahwa penerapan business
continuity plan pada Lembaga Negara XYZ masih sebatas pada perencanaan
saja, dari hal tersebut maka perancanganan business continuity plan dan disaster
recovery plan berdasarkan klausul yang ada pada ISO 22301 adalah sebagai
berikut:
84
4.2.1 Clause 4: Context of the Organization
Pada tahap ini difokuskan pada perancangan identifikasi asset dan
ancaman terkait dengan teknologi informasi yang mana identifikasi ini digunakan
untuk mendukung proses management risiko yang ada pada Lembaga Negara
XYZ. Dimana tahap ini difokuskan pada bagaimana perusahaan diharapkan
menentukan masalah eksternal dan internal yang relevan dengan tujuan dan yang
mempengaruhi kemampuannya untuk mencapai hasil yang diharapkan dari
Business Continuity Management System (BCMS), dimana perancangan dari
klausul tersebut adalah sebagai berikut:
4.2.1.1 Identifikasi Bisnis dan Layanan Lembaga
Negara XYZ
Pada tahap ini identifikasi binis dan layanan dari perusahaan
dimana binis utama dari Lembaga Negara XYZ adalah sebagai pemeriksa
keuangan terkait dengan pelaksanaa keuangan negara, layanan yang
dimiliki oleh Lembaga Negara XYZ terdiri dari layanan perencanaan,
pelaksanaan, pemeriksaan, dan pemantauan.
4.2.1.2 Tujuan dari Business Continuity Plan dan
Disaster Recovery Plan
Perumusan tujuan dari business continuity plan dan disaster
recovery plan bermaksud untuk memastikan perancangan BCP dan DRP
selaras dengan strategi bisnis dan teknologi informasi perusahaan dan
dapat menunjang visi & misi perusahaan yang telah dirumuskan.
85
Dimana tujuan dari perancangan BCP dan DRP adalah
menentukan sebuah perencanaan dalam melaksanakan sebuah strategi
pemulihan dan mitigasi dari layanan kritikal untuk mencegah terjadinya
risiko dan ancaman yang mungkin terjadi dan juga untuk mendukung
pemulihan layanan bisnis pada saat terjadinya bencana.
Dimana visi & misi perusahaan yang dapat didukung dengan
adanya kegiatan BCP dan DRP adalah sebagai berikut:
1. Memeriksa pengelolaan dan tanggung jawab keuangan negara;
2. Memberikan pendapat untuk meningkatkan mutu pengelolaan dan
tanggung jawab keuangan negara; dan
3. Berperan aktif dalam menemukan dan mencegah segala bentuk
penyalahgunaan dan penyelewengan keuangan negara.
Dimana dari visi & misi tersebut BCP dan DRP dapat
membantu perusahaan untuk memastikan proses pemeriksaan
pengelolaan keuangan negara dapat berjalan dengan baik dan
terminimalisasi dari risiko yang mungkin berdampak besar bagi integitas,
kerahasiaan dan ketersediaan data atau informasi yang menunjang proses
pemeriksaan pengelolaan keuangan negara yang ada.
Disamping itu tujuan dari BCP dan DRP mendukung strategi
bisnis perusahaan sebagai berikut:
1. Mewujudkan pemeriksaan yang bermutu untuk menghasilkan
laporan hasil pemeriksaan yang bermanfaat dan sesuai dengan
kebutuhan pemangku kepentingan; dan
2. Mewujudkan birokrasi yang modern di Lembaga Negara XYZ.
86
Dimana BCP dan DRP dapat membantu perusahaan dalam
mewujudkan sebuah hasil pemeriksaan yang bermutu dengan menjaga
data dan informasi yang ada dengan baik, agar laporan hasil pemeriksaan
tersebut dapat sesuai dengan kenyataan yang ada. Selain itu BCP dan
DRP juga membantu perusahaan untuk mewujudkan birokrasi yang
modern di Lembaga Negara XYZ, dimana dengan adanya BCP dan DRP
ketergantungan teknologi informasi perusahaan akan lebih tinggi dan
perusahaan akan lebih percaya diri dengan teknologi informasi yang telah
diterapkan dengan memenuhi aspek – aspek pengendalian keamanan fisik
dan informasi dan aspek – aspek pemulihan bencana.
Selain visi & misi dan strategi bisnis perusahaan, perancangan
BCP dan DRP juga mendukung strategi teknologi informasi perusahaan
yang antara lain:
1. Terpenuhinya Kebutuhan Pemilik Kepentingan akan TIK
2. Meningkatkan Pemanfaatan TIK
3. Meningkatkan Mutu Pelayanan TI
Dimana BCP dan DRP secara langsung dapat mendukung
strategi teknologi informasi perusahaan, dimana BCP dan DRP dapat
meningkatkan presentase ketersediaan teknologi informasi sesuai dengan
kebutuhan pengguna dengan adanya analisa bisnis impact analysis, hal
tersebut juga dapat meningkatkan pemanfaatan dari teknologi informasi
dan mutu pelayanan dari teknologi informasi dapat meningkat.
87
4.2.1.3 Identifikasi Aset dan Ancaman Terkait
Teknologi Informasi
Tahap ini dilakukan proses identifikasi asset dan ancaman
terkait dengan teknologi informasi, dimana tahap ini dilakukan dengan
tujuan untuk mengetahui asset apa saja yang dimiliki oleh Lembaga
Negara XYZ pada saat ini dan ancaman apa saja yang mungkin terjadi
pada asset yang dimiliki oleh Lembaga Negara XYZ, dimana tujuan dari
identifikasi tersebut untuk menentukan asset kritis yang dimiliki oleh
Lembaga Negara XYZ dan untuk mengetahui seberapa besar potensi
risiko yang akan dihadapi oleh Lembaga Negara XYZ.
Berdasarkan portofolio teknologi informasi pada Lembaga
Negara XYZ, berikut adalah asset – asset yang dimiliki oleh Lembaga
Negara XYZ terkait pelaksanaan teknologi informasi dalam mendukung
layanan yang ada, dimana asset – asset terkait dengan teknologi informasi
yang ada pada Lembaga Negara XYZ tersebut antara lain :
Tabel 4. 2 List Asset TI Pada Lembaga Negara XYZ
Kategori Sub Kategori Contoh
People People - Head Kepala Divisi
People - Supervisor Team Leader, Supervisor
People - Staff Staff
Hardware Hardware - PC PC Operational
Hardware - Notebook Laptop Kantor, Laptop Pribadi
(BYOD)
Hardware - Network
Device
VPN, Switch, HUB, Router
Hardware - Network
Security Device
Firewall, IPS, IDS
Hardware - Server
Production
Server Production
88
Kategori Sub Kategori Contoh
Hardware - Sever UAT Server UAT
Software Software - Operating
System
Windows, Linux
Software - Office
Application
MS Office, SQL server, Visual
Studio,
Software - Business
Application
Sistem Manajemen
Pemeriksaan,Sistem Aplikasi
Pemeriksaan, System Audit,
Sistem Informasi Sumber Daya
Manusia, Sistem Informasi
Pendidikan dan Latihan , Sistem
Informasi Pelayanan Teknologi
Informasi, Sistem Manajemen
Kinerja, Aplikasi Rencana
Kegiatan Setjen & Penunjang,
Sentra Informasi Satuan Kerja,
Sistem Informasi Perpustakaan,
Aplikasi Jaringan Dokumentasi
& Informasi Hukum, Pusat
Informasi Satuan Kerja, Aplikasi
Persuratan, SIMAK BMN,
Aplikasi Manajemen Aset,
Sistem Informasi Tagihan,
Sistem Informasi Keuangan,
Sistem Informasi Pemantauan
Tindak Lanjut, SMP - Modul
RKP, SMP – Modul Bahan
IHPS, Sistem Informasi Kantor
Akuntan Publik, Sistem
informasi Pertimbangan
Lembaga Negara XYZ, Sistem
Informasi Pendapat Lembaga
Negara XYZ
Software - Support
Application
Email, Data Management
System, Layanan Kolaborasi,
Instant Messaging
Information Information - Softcopy Semua Data dan informasi yang
disimpan di perangkat
Information - Hardcopy Semua informasi yang dcetak
atau print out
Utility Utility - Elictricity Genset, UPS dan seluruh
kelengkapanya
Utility - Security System CCTV, Access, FM200, APAR,
Evacuation sign, Emergency exit
door lamp
89
Kategori Sub Kategori Contoh
Utility - Supporting Air Cooling, Water Cooling,
Cooling Tower, Water Leakage
Detector, Panel, Termometer,
Hygrometer dan seluruh
kelengkapanya
Third Party
Service
3rd Party Service -
Maintenance
Vendor infra, Vendor IS security
3rd Party Service -
Outsourcing
Outsource Personel Vendor
3rd Party Service -
Data/Connection
ISP Vendor, Communication
Vendor
Intangible Asset Intangible - Reputasi Nama baik
Intangible - Knowledge
Karyawan
Kekayaan intelektual karyawan
Berdasarkan list asset diatas berikut adalah ancaman yang
berpotensi muncul yang dapat mengancam keberlangsungan asset – asset
tersebut dalam mendukung bisnis dari Lembaga Negara XYZ, dimana
ancaman tersebut antara lain:
Tabel 4. 3 List Ancaman dari Aset TI
No Kategori Contoh
1 Reliability Kegagalan fungsi hardware/infrastruktur, Kegagalan
fungsi software, kegagalan komunikasi data, kegagalan
fungsi server Aplikasi Error, Ketidaktersediaan SDA yang
Memadai, data tidak dapat diakses
2 Local Disturbance
Kebakaran, Mati Listrik, Pencurian, kerusuhan
3 Wide Disaster
Gempa Bumi, Banjir, Badai, Tsunami, Wabah penyakit
4 Malicious Virus, malware
5 Vendor Suply Jaringan down, Kontrak habis, server down
90
4.2.1.4 Identifikasi Risiko Berdasarkan Aset
Teknologi Informasi (Confidetiality, Integrity,
dan Availability)
Berdasarkan list asset diatas dan list ancaman diatas berikut
adalah identifikasi risiko terkait dengan asset dan ancaman tersebut
dengan memperhatikan aspek confidentiality, integrity dan availability.
Dimana acuan klausul yang digunakan pada ISO 22301 dalam melakukan
identifikasi risiko tersebut adalah Clause 8: Operation. Selain itu proses
identifikasi risiko melihat berapa besar impact yang tercipta dari potensi
risiko tersebut apabila terjadi pada Lembaga Negara XYZ dan seberapa
sering potensi risiko tersebut terjadi pada Lembaga Negara XYZ
(Probability).
Dari hal tersebut berikut adalah kriteria impact dari proses
identifikasi risiko pada Lembaga Negara XYZ:
Tabel 4. 4 Kriteria Impact
Scale Level Impact Category
Performance Operational
1 Low Menyebabkan sedikit gangguan
pada fungsi sistem untuk
melakukan proses, terapi tidak
signifikan
Maksimum toleransi waktu
aktifitas operational terhenti
lebih dari 24 jam
2 Medium Menyebabkan penurunan
kinerja (delay) antara 25% -
50% dari fungsi operasional
Maksimum toleransi waktu
aktifitas operational terhenti
24 jam
3 High Meyebabkan kegagalan
sebagian besar atau kebih dari
50% dari fungsi operasional
Maksimum toleransi waktu
aktifitas operational terhenti
8 jam
91
Dan berikut adalah kriteria probability dari proses identifikasi
risiko pada Lembaga Negara XYZ:
Tabel 4. 5 Kriteria Probability
Scale Level Probability Category
Frequency
1 Low Sangat Jarang dalam 3 tahun terakhir
2 Medium Beberapa Kali dalam 3 tahun terakhir
3 High Sering terjadi dalam 3 tahun terakhir
Dari kriteria impact dan probability tersebut dilakukan
identifikasi risiko yang ada pada asset teknologi informasi untuk
mengetahui berapa tingkat risiko dari masing – masing asset yang
dimiliki oleh Lembaga Negara XYZ dan potensi risiko yang mungkin
terjadi pada Lembaga Negara XYZ, dimana hasil dari indentifikasi risiko
tersebut terdapat pada bagian lampiran.
4.2.1.5 Analisa Risiko Berdasarkan Aset Teknologi
Informasi
Setelah dilakukan identifikasi risiko berdasarkan asset teknlogi
informasi yang ada pada perusahaan, dilakukan sebuah analisis risiko
yang bertujuan untuk mengetahui risk level dari tiap – tiap risk Id yang
telah diidentifikasi. Dimana penentuan risk level adalah sebagai berikut:
a. Nilai overall dari risk Id 1 – 2 masuk kedalam level low.
b. Nilai overall dari risk Id 3 – 6 masuk kedalam level medium.
c. Nilai overall dari risk Id 7 – 9 masuk kedalam level high.
92
Dimana setelah itu akan diketahui asset mana yang termasuk
asset kritis perusahaan yang perlu ditangani secara serius terkait dengan
potensi risiko yang mungkin terjadi, dimana yang termasuk asset kritis
adalah asset yang memiliki risk level high.
Dari hasil identifikasi risiko tersebut yang termasuk asset kritis
atau asset yang memiliki risk level high terdapat 4 asset yang mana asset
tersebut antara lain:
Tabel 4. 6 Aset Risk Level High
Hasil dari identifikasi rsiiko, asset yang memiliki risk level
medium sebanyak 11 asset yang mana asset tersebut antara lain:
Tabel 4. 7 Aset Risk Level Medium
93
Hasil dari identifikasi rsiiko, asset yang memiliki risk level low
sebanyak 8 asset yang mana asset tersebut antara lain:
Tabel 4. 8 Aset Risk Level Low
4.2.1.6 Rencana Mitigasi Risiko Berdasarkan Analisa
Risiko
Dari hasil analisi tersebut dilakukan sebuah mitigasi risiko
dimana mitigasi risiko kelompokan berdasarkan risk level dari hasil
analisis risiko yang telah dilakukan diatas. Dimana pengelompokan
tersebut bertujuan untuk menentukan prioritas mitigasi risiko yang akan
dilakukan.
Dimana mitigasi risiko tersebut diprioritaskan pada asset
dengan risk level high terlebih dahulu, dikarenakan asset tersebut adalah
asset kritis yang dimiliki perusahaan dimana asset tersebut apabila terkena
potensi risiko akan berdampak besar bagi keberlangsungan binsis
perusahaan dan menyebabkan terganggunya kegiatan operasional
perusahaan.
94
Setelah itu mitigasi risiko dilakukan kepada asset dengan risk
level medium dimana asset dengan risk level medium juga perlu
diprioritaskan, namun proses mitigasi risiko untuk asset yang masuk
dalam kategori ini akan dilakukan setelah proses mitigasi risiko pada
asset dengan risk level high sudah dilakukan mitigasi risiko, dimana asset
ini juga mempengaruhi keberlangsungan bisnis tetapi tidak berdampak
besar apabila terkena potensi risiko.
Apabila sudah dilakukan mitigasi risiko pada risk level high
dan medium, manajemen juga perlu melakukan mitigasi risiko dengan
risk level low tetapi untuk asset yang masuk kategori ini mitigasi risiko
yang diterapkan hanya untuk optional saja, dimana apabila mitigasi risiko
diterapkan baik bagi perusahaan tetapi apabila tidak diterapkan
perusahaan tetap dapat menjalankan keberlangsungan bisnis, karena
dampak apabila risiko ini terjadi pada pada perusahaan kecil atau dapat
diartikan tidak berdampak besar bagi perusahaan.
Dimana hasil dari mitigasi risiko tersebut terdapat pada bagian
lampiran dimana mitigasi tersebut dikelompokan berdasarkan risk level
dari masing – masing asset yang ada.
4.2.1.7 Identifikasi Layanan Yang Didukung Oleh
Teknologi Informasi
Berdasarkan hasil identifikasi tersebut berikut adalah layanan –
layanan yang didukung oleh teknologi informasi dalam melaksanakan
prosesnya, dimana layanan tersebut akan terganggu apabila teknologi
95
informasi mengalami ancaman atau kerusakan. Layanan tersebut antara
lain:
Tabel 4. 9 List Layanan Yang Didukung Oleh Teknologi informasi
Pada Lembaga Negara XYZ
Dari list layanan tersebut berikut kriteria penentuan dampak
bisnis apabila layanan tersebut atau teknologi informasi yang mendukung
layanan tersebut mendapatkan ancaman atau bencana, kriteria tersebut
antara lain:
Tabel 4. 10 Kriteria Dampak Bisnis Terhadap Layanan
Aspek Kriteria
High (3) Medium (2) Low(1)
Gangguan Operasional Maksimum
toleransi waktu
aktifitas
operational
terhenti 8 jam
Maksimum
toleransi waktu
aktifitas
operational
terhenti 24 jam
Maksimum
toleransi waktu
aktifitas
operational
terhenti lebih
96
Aspek Kriteria
High (3) Medium (2) Low(1)
dari 24 jam
Reputasi Perusahaan -komplain dari
beberapa pihak
terperiksa yang
menyebabkan
tidak percaya
lagi dengan hasil
pemeriksaan
perusahaan
- Terpublikasi di
media formal
dan/atau media
sosial
Komplain dari
salah satu pihak
terperiksa yang
menyebabkan
tidak percaya
lagi dengan hasil
pemeriksaan
perusahaan
Komplain dari
salah satu pihak
terperiksa yang
tetapi masih
mempercayai
hasil
pemeriksaan
perusahaan
Legal & Regulatory - Isu berakibat
tuntutan
hukum/denda
dan
mengakibatkan
pencabutan ijin
usaha, atau
- Terganggunya
kondisi politik
negara
- Isu berakibat
tuntutan
hukum/denda
dan
mengakibatkan
mendapatkan
peringatan dari
regulator
Issue berkaibat
dispute dengan
instasi lain
Dari kriteria tersebut berikut pemetaan layanan yang didukung
oleh teknologi informasi dengan kriteria dampak bisnis yang telah
ditentukan diatas:
Tabel 4. 11 Pemetaan Layanan Dengan Kriteria Dampak Bisnis
Dari hal tersebut dapat dianalisis layanan yang paling kritis
apabila terkena ancaman atau bencana adalah layanan dengan ID-01 yaitu
layanan pemeriksaan dimana ini adalah layanan inti dari perusahaan.
97
Hasil dari analisis ini akan dijadikan sebuah prioritasi penanganan pada
saat adanya ancaman atau bencana terjadi.
4.2.1.8 Perancangan Business Impact Analysis (BIA)
dari Layanan Yang Didukung Oleh Teknologi
Informasi
Dari hasil identifikasi layanan yang bergantung dengan
teknologi informasi tersebut berikut adalah hasil perancangan business
impact analysis dari layanan – layanan tesebut. Dimana pernyusunan
business impact analysis ditujukan untuk menentukan berapa lama
layanan tersebut bisa berlangsung kembali menjalankan bisnisnya pada
saat bencana atau ancaman terjadi.
Penyusunan business impact analysis didasari oleh kebutuhan
perusahaan terkait dengan layanan tersebut dan kondisi teknologi
informasi yang dimiliki perusahaan saat ini. Berikut perancayanan bisnis
impact analysis dari layanan – layanan yang ada:
Tabel 4. 12 Business Impact Analysis Dari Layanan Lembaga Negara
XYZ
98
4.2.2 Clause 5: Leadership
Pada tahap ini dilakukan difokuskan pada perancangan tujuan dari
business continuity plan dan disaster recovery plan dan prancangan peran dan
tanggung jawab dari management agar tercipta sebuau komitmen terus menerus
untuk business continuity plan dan disaster recovery plan, Dimana peran dan
tanggung jawab tersebut dirancang untuk membentuk sebuah kepemimpinan dan
tindakan dari manajemen untuk dapat menciptakan suatu lingkungan di mana
aktor yang berbeda sepenuhnya terlibat dan di mana sistem manajemen dapat
beroperasi secara efektif dalam sinergi dengan tujuan organisasi terkait dengan
kegiatan business continuity plan yang ada. Dimana perancangan dari klausul
tersebut adalah sebagai berikut:
4.2.2.1 Peran dan Tanggung Jawab Manajemen
Peran dan tanggung jawab manajemen dibangun untuk
meningkatkan commitment manajemen terkait dengan peracangan
kegiatan BCP dan DRP dapat berjalan dengan baik, dimana peran dan
tanggung jawab ini disusun untuk membentuk sebuah kepemimpinan
yang dapat mengawal proses BCP dan DRP agar berjalan dengan efektif.
Dimana perancangan peran dan tanggung jawab manajemen
disusun dengan membentuk sebuah komite yaitu BC committee steering
yang beranggotakan satu atau lebih direktur dari perusahaan tersebut,
dimana peran dan tanggung jawab dari BC committee steering antara
lain:
99
1. Sebagai salah satu komite/dewan pengarah dari pengambil
keputusan utama dalam perusahaan
2. Memastikan Business Continuity Plan kompatibel dengan
arah strategis organisasi,
3. Mengintegrasikan persyaratan Business Continuity Plan ke
dalam proses bisnis organisasi,
4. Menyediakan sumber daya yang diperlukan untuk Business
Continuity plan,
5. Mengkomunikasikan pentingnya manajemen kelangsungan
bisnis yang efektif,
6. Memastikan bahwa Business Continuity plan mencapai hasil
yang diharapkan,
7. Mengarahkan dan mendukung perbaikan terus-menerus,
8. Menetapkan dan mengkomunikasikan kebijakan
kelangsungan bisnis,
9. Memastikan tujuan dan rencana Business Continuity
Management System (BCMS) yang ditetapkan,
10. Memastikan tanggung jawab dan kewenangan untuk peran
yang ditugaskan.
11. Bertanggung jawab secara keseluruhan terhadap pengarahan
dan pengawasan proses – proses pengelolaan business
continuity
12. Mendeklarasikan status darurat berdasarkan laporan hasil
kajian awal dampak bencana
100
13. Menetapkan aktivasi maupun deaktivasi BCP
4.2.3 Clause 6: Planning
Pada tahap ini dilakukan difokuskan pada perancangan sasaran strategis
dan prosedur - prosedur panduan untuk business continuity plan dan disaster
recovery plan secara keseluruhan, dimana tujuan dari perancangan ini agar dapat
memastikan kegiatan business continuity plan dan disaster recovery dapat
berjalan sesuai dengan tujuan yang telah direncakanan diawal dan berjalan secara
baik dan efektif untuk dapat membantu kelangsungan layanan bisnis perusahaan.
Dimana perancangan pada klausul ini adalah sebagai berikut:
4.2.3.1 Perancangan Bussines Continuity Strategy
dari Hasil Indentifikasi Risiko dan
Penyusunan Bussines Impact Analysis (BIA)
Perancangan business continuity strategy disusun dengan
melihat hasil identifikasi risiko dan penyusunan business impact analysis
yang telah dilakukan diatas, dimana perancangan business continuity
strategy disusun berdasarkan hasil mitigasi risiko berdasarkan analisa
risiko yang telah dilakukan diatas, dimana hal ini disusun dengan tujuan
untuk menjaga kelangsungan bisnis dan menurunkan potensi risiko yang
akan muncul pada saat risiko tersebut muncul. Dimana tahap ini
mengacu pada sub bab 4.2.1.4 Rencana Mitigasi Risiko Berdasarkan
Analisa Risiko dan subab bab 4.2.1.6 Perancangan Business impact
analysis (BIA) dari layanan yang didukung oleh teknologi informasi.
101
Dimana rencana dari mitigasi risiko tersebut harus dijalankan
sesuai dengan level risiko yang ada, dimana pelaksanaan mitigasi risiko
difokuskan pada asset yang mempunyai level risiko high dan medium
terlebih dahulu yang kemudian disusul dengan asset yang mempunyai
level risiko low, dimana hal ini bertujuan agar asset kritis pada
perusahaan dapat terminimalisasi risiko dan dapat terus menerus
menunjang layanan binis perusahaan.
Disamping itu perancangan businsess continuity strategy
disusun berdasarkan business impact analysis yang mana hal ini
bertujuan agar proses pemulihan pada saat bencana terjadi memakan
waktu sesuai dengan kebutuhan layanan atau layanan kritis yang telah
ditentukan diawal.
102
4.2.3.2 Perancangan Bussines Continuity
Procedure
Perancangan bussines continuity plan procedure disusun
dengan tujuan untuk menjelaskan bagaimana proses aktifasi dan proses
deaktifasi BCP tersebut dilakukan pada perusahaan. Dimana bussines
continuity plan procedure adalah sebagai berikut:
Gambar 4. 1 Business Continuity Procedure
4.2.3.3 Perancangan Training Plan dan Testing Plan
dari Bisnis Continuity Plan
Perancangan training plan disusun dengan tujuan agar
kegiatan proses bussines continuity plan dapat berjalan dengan baik
sesuai dengan yang direncanakan diatas sesuai dengan business
continuity strategy dan bussines continuity plan procedure yang telah
disusun diatas. Dimana training plan dilakukan secara periodik setahun
sekali kepada seluruh karyawan pada perusahaan.
Dimana proses training dilakukan dengan memberikan
sebuah security awareness dan sosialisasi mengenai pentingnya business
103
continuity dan tindakan apakah yang harus dilakukan pada saat bencana
tersebut terjadi.
Testing plan dirancang dengan tujuan untuk memastikan
skenario – skenario yang disusun dapat berjalan dengan baik, dimana
testing plan dilakukan untuk mengetahui berapa lama waktu yang
dikonsumsi untuk membuat layanan tersebut kembali kekondisi normal
dan dapat digunakan kembali secara normal.
4.2.3.4 Perancangan Disaster Recovery Plan
Perancangan disaster recovery plan disusun berdasarkan
layanan yang ada pada Lembaga Negara XYZ dengan memperharikan
scenario – scenario yang mungkin terjadi pada saat bencana tersebut
terjadi dan rencana pemulihan yang akan dilakukan pada saat ancaman
tersebut terjadi sesuai dengan scenario yang ada dengan memperhatikan
business impact analysis tersebut. Dimana scenario tersebut antara lain:
a. Scenario 1 adalah ancaman menyebabkan ketiadaan SDM
untuk menjalankan kegiatan operasional.
b. Scenario 2 adalah ancaman menyebabkan ketiadaan
infrastruktur seperti gedung & fasilitas pendukung, perangkat
keras yang digunakan dalam menjalankan kegiatan
operasional.
c. Scenario 3 adalah ancaman menyebabkan ketiadaan akses,
data maupun aplikasi untuk menjalankan kegiatan
operasional.
104
Dari scenario tersebut, berikut mapping dari ancaman yang
mungkin terjadi yang telah diidentifikasi pada sub bab 4.1 Identifikasi
asset dan ancaman terkait teknologi informasi dengan scenario yang
mungkin terjadi diatas:
Tabel 4. 13 Pemetaan Ancaman yang Mungkin Terjadi
Dari hal tersebut berikut rancangan business continuity
strategy berdasarkan layanan yang ada pada Lembaga Negara XYZ:
Tabel 4. 14 Strategi Pemulihan
4.2.3.5 Perancangan Metode Aktivasi Disaster
Recovery (Switch Over)
Perancangan metode aktivasi disaster recovery disusun
untuk menjelaskan bagaimana proses switch over pada saat bencana
105
tersebut terjadi, dimana proses switch over tersebut bertujuan untuk
mengaktifkan infrastruktur backup agar dapat digunakan pada saat lokasi
production terjadi gangguan atau bencana.
Dimana proses aktivasi disaster recovery (switch over)
dibagi menjadi dua yaitu adalah aktivasi disaster recovery (switch over)
secara terencana dan aktivasi disaster recovery (switch over) pada saat
terjadinya masalah atau emergency, dimana aktivasi disaster recovery
(switch over) secara terencana digunakan untuk mengetes server disaster
recovery apakah dapat berjalan dengan baik dan untuk menghitung waktu
yang dibutuhkan untuk switch over ke server disaster recovery.
Proses aktivasi disaster recovery (switch over) secara
terencana sebagai berikut:
Gambar 4. 2 Aktivasi Disaster Recovery (Switch Over) Secara Terencana
106
Proses aktivasi disaster recovery (switch over) secara
emergency sebagai berikut:
Gambar 4. 3 Disaster Recovery (Switch Over) Secara Emergency
4.2.3.6 Perancangan Testing Plan dari Disaster
Recovery Plan
Perancangan testing plan dirancang dengan selaras dengan
testing plan pada business continuity plan, dimana tujuan dari testing
plan ini sama seperti pada testing plan pada business continuity plan
yaitu untuk memastikan proses disaster recovery plan dapat berjalan
dengan baik dan untuk mengetahui berapa lama waktu yang
dikonsumsi untuk membuat layanan tersebut kembali kekondisi
normal dan dapat digunakan kembali secara normal.
4.2.4 Clause 7: Support
Pada tahap ini dilakukan difokuskan pada perancangan pengelolaan
business continuity plan dan disasater recovery plan yang efektif bergantung
pada menggunakan sumber daya yang tepat untuk setiap tugas termasuk staf yang
107
kompeten dengan pelatihan yang relevan dan layanan pendukung, kesadaran dan
komunikasi, dimana hal ini bertujuan agar proses BCP dan DRP dapat ditangani
dengan baik dan efektif oleh unit dan staf yang berkompeten sesuai dengan
perencanaan tujuan BCP diawal. Dimana perancangan dari kalusul ini adalah
sebagai berikut:
4.2.4.1 Perancangan Bussines Continuity
Organization
Berikut rancangan dari business continuity organization
berdasarkan buissines continuity strategy diatas, dimana perancangan
business continuity organization disusun berdasarkan kondisi struktur
organisasi perusahaan, yang mana tujuan dari perancangan business
continuity organization untuk memastikan kegiatan dari business
continuity plan dapat berjalan dengan baik dan ditangani oleh orang –
orang yang berkompeten sesuai dengan unit – unit yang
berkepentingan dengan masing – masing layanan tersebut.
108
Dimana business continuity organization adalah sebagai
berikut:
Gambar 4. 4 Struktur Organisasi BCP
Dari business continuity organization berikut pemetaan
peran dari business continuity organization tersebut:
Tabel 4. 15 Pemetaan Peran Struktur Organisasi BCP
109
Dari pemetaan tesebut berikut adalah tanggung jawab dari
masing – masing peran pada business continuity organization, antara
lain:
a. BC Steering Committee
1. Sebagai salah satu komite/dewan pengarah dari pengambil
keputusan utama dalam perusahaan
2. Memastikan Business Continuity Plan kompatibel dengan
arah strategis organisasi,
3. Mengintegrasikan persyaratan Business Continuity Plan ke
dalam proses bisnis organisasi,
4. Menyediakan sumber daya yang diperlukan untuk Business
Continuity plan,
5. Mengkomunikasikan pentingnya manajemen kelangsungan
bisnis yang efektif,
6. Memastikan bahwa Business Continuity plan mencapai hasil
yang diharapkan,
7. Mengarahkan dan mendukung perbaikan terus-menerus,
8. Menetapkan dan mengkomunikasikan kebijakan
kelangsungan bisnis,
9. Memastikan tujuan dan rencana Business Continuity
Management System (BCMS) yang ditetapkan,
10. Memastikan tanggung jawab dan kewenangan untuk peran
yang ditugaskan.
110
11. Bertanggung jawab secara keseluruhan terhadap pengarahan
dan pengawasan proses – proses pengelolaan business
continuity
12. Mendeklarasikan status darurat berdasarkan laporan hasil
kajian awal dampak bencana
13. Menetapkan aktivasi maupun deaktivasi BCP
b. BC Coordinator
1. Sebagai koordinator utama dalam pengelolaan seluruh proses
business impact analysis, risk assessment, penentuan strategi,
pelatihan BCP dan testing BCP
2. Mengkoordinasikan pengaktifan BCP berdasarkan ketetapan
BC Steering Committee
3. Mengkoordinasikan proses pemulihan
4. Memastikan proses pengembalian ke kondisi normal dapat
dilakukan sesuai dengan business impact analysis yang telah
ditetapkan
5. Memberikan sosialisasi kepada seluruh stakeholder tentang
pelaksanaan business continuity plan di lingkungan internal
perusahaan
6. Membuat laporan ringkasan BCP
111
c. Operational Team
1. Melakukan operasional untuk penyediaan layanan pada saat
kondisi darurat
2. Bertanggung jawab melaksanakan operasional layanan sesuai
dengan persyaratan minimum yang disepakati didalam
business impact analysis
d. Emergency Response Team
a. Sebagai koordinator utama dalam inisiasi respon pada saat
terjadi bencana, yang fokus pada penyelamatan jiwa manusia
dan aset penting perusahaan.
b. Bertanggung jawab melakukan perencanaan maupun
pelaksanaan aktifitas tanggap darurat
c. Melakukan evaluasi dan bantuan medis pada kondisi darurat
d. Melakukan sosialisasi aktifitas tanggap darurat kepada
karyawan melalui berbagai media
e. Damage Assessment Team
1. Betanggung jawab melakukan penilaian awal mengenai
dampak kerusakan yang terjadi pada layanan yang ada di
perusahaan.
112
f. Recovery Team
1. Sebagai koordinator utama dalam melakukan pemulihan
2. Melakukan konfigurasi hardware, software, network, dan
komponen non TI
3. Sebagai koordinator utama dalam melakukan pemulihan dan
pengembalian ke kondisi normal
4. Melakukan koordinasi dengan vendor
g. Communication Team
1. Sebagai coordinator utama dan juru bicara perusahaan dalam
melakukan komunikasi pada saat kondisi darurat
2. Bertanggung jawab dalam kegiatan komunikasi internal
maupun eksternal perusahaan pada saat terjadi kondisi darurat
h. Support Team
1. Bertanggung jawab terhadap perencanaan maupun
pengelolaan SDM yang dibutuhkan untuk mendukung proses
business continuity
2. Memberikan fasilitas pelatihan – pelatihan untuk mendukung
proses – proses business continuity
3. Sebagai koordinator utama dalam penyediaan dukungan
keuangan pada proses – proses business continuity
4. Sebagai koordinator utama dukungan penyediaan fasilitas –
fasilitas kantor
113
4.2.4.2 Perancangan Bussines Continuity Call
Tree
Adapun selain struktur organisasi tersebut, pada klausul ini
juga disusun berupa call tree yang berisikan contact person dari
masing – masing anggota dari struktur organisasi tersebut dimana hal
ini bertujuan untuk memudahkan eskalasi pada saat bencana terjadi
dan setiap tahunya call tree tersebut harus diperbahuri untuk
mengatisipasi adanya pergantian PIC, alamat ataupun no telepon,
dimana penyusunan call tree sebagai berikut:
Tabel 4. 16 Contoh Business Continuity Plan Call Tree
114
4.2.4.3 Perancangan Bussines Continuity Vendor
List
Pada klausul ini juga disusun sebuah list vendor yang
mana list ini digunakan untuk mempermudahkan proses eskalasi
dengan vendor pada saat terjadi masalah dan list ini harus
diperbaharui setiap tahunnya agar perubahan yang terjadi tercatat dan
dapat digunakan pada saat terjadi bencana, dimana contoh list tersebut
adalah sebagai berikut:
Tabel 4. 17 Contoh List Vendor