Buku ini disebarluaskan secara gratis, mengutip sebagian atau secara
keseluruhan dari buku ini diharapkan untuk mencantumkan nama penulis
Buku ini dipersembahkan untuk Rahmawati Parnengga (Perdana) dan Ayu Ratna Sari (Aries)
PENYUSUNAN PROSES TATA KELOLA KEAMANAN INFORMASI
DAN MANAJEMEN LAYANAN TI BERBASIS COBIT 5
Oleh
PERDANA KUSUMAH, M.T.
ARIES SYAMSUDDIN, M.T.
ii
SINOPSIS
Penerobosan keamanan informasi terhadap sistem teknologi informasi dan
komunikasi (TIK) dapat memberikan dampak terhadap kinerja organisasi dan
kerugian finansial. Selain itu, permasalahan keamanan dapat berakibat terhadap
bocornya informasi yang dapat disalahgunakan oleh pihak yang tidak
berkepentingan. Hal ini dapat berakibat buruk terhadap citra organisasi terutama
untuk lembaga pemerintah yang mengelola data rahasia. Permasalahan keamanan
informasi umumnya diselesaikan secara parsial dan terbatas. Kelemahan sekecil
apapun pada sistem keamanan informasi dapat memberikan dampak negatif
terhadap pencapaian tujuan organisasi. Oleh karena itu, pembahasan keamanan
informasi yang menyeluruh dan terintegrasi sangat diperlukan untuk mengamankan
pencapaian tujuan tersebut. Buku ini membahas model proses tata kelola keamanan
informasi yang menyeluruh dan terintegrasi pada suatu organisasi.
Buku ini memiliki tiga hal penting yang dapat dijadikan acuan atau pedoman
penyusunan proses tata kelola keamanan informasi di suatu organisasi, yaitu: alat
bantu penentuan lingkup proses tata kelola, model referensi proses dan model
penilaian proses.
Kata
kunci:
keamanan informasi, tujuan organisasi, tujuan TI, risiko, sistem
manajemen layanan, proses tata kelola, proses governance, proses
manajemen, model referensi proses, model penilaian proses,
enablers.
iii
KATA PENGANTAR
Puji syukur penulis panjatkan ke hadirat Allah SWT, yang atas rahmat dan karunia-
Nya penulis dapat menyelesaikan buku ini. Shalawat dan salam tercurah kepada
Rasulullah Muhammad SAW beserta keluarganya.
Buku ini disusun untuk membantu dalam penyusunan proses tata kelola keamanan
informasi, beberapa keluaran yang terdiri atas: alat bantu penentuan lingkup proses
tata kelola, model referensi proses, model penilaian proses, rekomendasi dan
langkah penerapan tata kelolanya. Hal yang harus dibuat dalam penyusunan proses
tata kelola keamanan informasi mencakup menentukan lingkup proses, membuat
model referensi proses dan membuat model penilaian proses; model tata kelola
yang dibuat dalam buku ini telah sesuai dengan kebutuhan keamanan informasi di
organisasi secara umum, sehingga pembaca dapat mengadopsi dan menambahkan
sesuai dengan kondisi organisasi yang akan diterapkan tata kelola keamanan
informasi.
Dengan segala kerendahan hati, penulis mengucapkan terima kasih kepada penerbit
yang telah membantu menerbitkan buku ini. Penulis juga mengucapkan terima
kasih kepada rekan-rekan, yang telah banyak membantu dalam penyusunan buku
ini, tidak lupa pula program studi Magister Informatika opsi Layanan Teknologi
Informasi STEI ITB dan Cyber Security Center ITB tempat penulis belajar.
Penulis menyadari bahwa buku ini bukanlah tanpa kelemahan. Oleh karena itu,
kritik dan saran sangat diharapkan untuk menjadi masukan dalam penulisan
selanjutnya. Akhir kata, semoga buku ini dapat bermanfaat secara luas untuk
kepentingan dunia pendidikan dan masyarakat Indonesia khususnya bagi para
pembacanya.
Bandung, Februari 2014
Penulis
iv
DAFTAR ISI
KATA PENGANTAR ........................................................................................... iii
DAFTAR ISI .......................................................................................................... iv
DAFTAR LAMPIRAN .......................................................................................... vi
DAFTAR GAMBAR ............................................................................................ vii
DAFTAR TABEL ................................................................................................ viii
DAFTAR SINGKATAN ....................................................................................... ix
BAGIAN I PENDAHULUAN ................................................................................ 1
1.1 Latar Belakang ........................................................................................ 1
1.2 Batasan Penyusunan TKKI ..................................................................... 3
1.3 Keluaran Penyusunan TKKI ................................................................... 3
BAGIAN II TEORI PENDUKUNG ....................................................................... 4
2.1 Governance ............................................................................................. 4
2.2 Framework .............................................................................................. 4
2.3 Risiko ...................................................................................................... 6
2.4 Organisasi ................................................................................................ 7
2.5 SDM, Proses dan Teknologi ................................................................... 7
2.6 Informasi ................................................................................................. 8
2.7 Service ..................................................................................................... 9
2.8 Kebijakan dan Prinsip ............................................................................. 9
2.9 Budaya dan Perilaku ............................................................................. 11
2.10 Manajemen ............................................................................................ 11
BAGIAN III TEORI UTAMA .............................................................................. 12
3.1 COBIT 5 ................................................................................................ 12
3.2 COBIT 5 Enabling Process .................................................................. 19
3.3 COBIT 5 for Risk .................................................................................. 21
3.4 Process Assessment Model (PAM) ....................................................... 22
3.5 COBIT 5 for Information Security ........................................................ 25
3.6 Manajemen Layanan TI ........................................................................ 25
BAGIAN IV METODE PENYUSUNAN TKKI .................................................. 28
4.1 Analisis Kebutuhan ............................................................................... 28
v
4.1.1 Penentuan Tujuan Organisasi ............................................................ 29
4.1.2 Penentuan Tujuan TI ......................................................................... 29
4.1.3 Penentuan Sistem Manajemen Layanan............................................ 29
4.1.4 Penilaian Risiko ................................................................................ 30
4.2 Perancangan .......................................................................................... 32
4.2.1 Perancangan Model Referensi Proses ............................................... 32
4.2.2 Perancangan Model Penilaian Proses ............................................... 33
4.3 Analisis Kesenjangan ............................................................................ 34
4.4 Pemberian Rekomendasi ....................................................................... 34
4.5 Penerapan .............................................................................................. 34
BAGIAN V PENYUSUNAN TKKI ..................................................................... 35
5.1 Alat Bantu Penentuan Lingkup TKKI .................................................. 35
5.1.1 Pemetaan Tujuan Organisasi ............................................................. 36
5.1.2 Pemetaan Tujuan TI .......................................................................... 37
5.1.3 Pemetaan Manajemen Layanan TI .................................................... 39
5.1.4 Penilaian Prioritas Risiko .................................................................. 45
5.1.5 Penetapan Lingkup Proses yang Dinilai ........................................... 48
5.2 Model Referensi Proses......................................................................... 49
5.3 Model Penilaian Proses ......................................................................... 53
5.3.1 Hasil Penilaian Proses ....................................................................... 60
5.3.2 Analisis Kesenjangan ........................................................................ 60
5.4 Rekomendasi ......................................................................................... 61
5.5 Langkah Penerapan ............................................................................... 61
BAGIAN VI PENUTUP ....................................................................................... 64
DAFTAR PUSTAKA ........................................................................................... 65
PROFIL SINGKAT PENULIS ............................................................................. 70
vi
DAFTAR LAMPIRAN
LAMPIRAN A MODEL REFERENSI PROSES ............................................... A-1
LAMPIRAN B MODEL PENILAIAN PROSES ............................................... B-1
vii
DAFTAR GAMBAR
Gambar II-1Security framework for EPU[19]. .......................................................... 6
Gambar II-2 Level kebijakan[40]. ........................................................................... 10
Gambar III-1 COBIT 5 enablers[58]. ..................................................................... 13
Gambar III-2 Pemetaan enablers dan tujuan organisasi[58]. .................................. 15
Gambar III-3 Proses governance dan management[58]. ......................................... 15
Gambar III-4 Kerangka kerja PAM[61]. ................................................................. 22
Gambar III-5 Indikator penilaian[63]. ..................................................................... 24
Gambar III-6 Model penilaian proses COBIT 5[64]. .............................................. 24
Gambar IV-1 Alur proses penentuan lingkup. ...................................................... 28
Gambar IV-2 Penentuan lingkup tujuan organisasi. ............................................. 29
Gambar IV-3 Penentuan lingkup tujuan TI. .......................................................... 30
Gambar IV-4 Pemetaan proses COBIT 5 dan ITIL v3. ........................................ 31
Gambar IV-5 Penentuan prioritas risiko. .............................................................. 31
Gambar IV-6 Alur proses perancangan................................................................. 32
Gambar IV-7 Perancangan model referensi proses. .............................................. 33
Gambar IV-8 Perancangan model penilaian proses. ............................................. 33
viii
DAFTAR TABEL
Tabel III.1 Tujuan organisasi[58]. ........................................................................... 14
Tabel III.2 Tujuan terkait TI[58]. ............................................................................ 14
Tabel III.3 Pemetaan tujuan generik TI dan organisasi[58]. ................................... 16
Tabel III.4 Pemetaan tujuan generik TI dan proses tata kelola[58]. ....................... 17
Tabel III.5 Skenario risiko[60]. ............................................................................... 21
Tabel V.1 Contoh tujuan organisasi. ..................................................................... 36
Tabel V.2 Tujuan TI Organisasi............................................................................ 37
Tabel V.3 Contoh rangkuman proses tata kelola terpilih. ..................................... 38
Tabel V.4 Pemetaan proses COBIT 5 dan ITIL v3. .............................................. 41
Tabel V.5 Rangkuman pemetaan proses COBIT 5 dan ITIL v3........................... 44
Tabel V.6 Penilaian prioritas risiko. ..................................................................... 45
Tabel V.7 Contoh pemetaan kategori risiko dan proses terkait mitigasi risiko. ... 46
Tabel V.8 Contoh prioritas proses tata kelola. ...................................................... 47
Tabel V.9 Proses tata kelola organisasi terpilih berdasarkan prioritas. ................ 48
Tabel V.10 Contoh model referensi proses EDM05. ............................................ 50
Tabel V.11 Contoh rekapitulasi model penilaian proses EDM05. ........................ 53
Tabel V.12 Contoh model penilaian proses EDM05. ........................................... 55
Tabel V.13 Contoh analisis kesenjangan. ............................................................. 60
Tabel V.14 Langkah penerapan perubahan tata kelola. ........................................ 62
ix
DAFTAR SINGKATAN
SINGKATAN Nama Pemakaian Pertama
Kali pada Halaman
APO Align, Plan and Organise 14
BAI Build, Acquire and Implement 15
BP Best Practice 25
BSC Balanced Score Card 14
CSI Continual Service Improvement 28
DSS Deliver, Service and Support 15
EDM Evaluate, Direct and Monitor 14
EG Enterprise Goals 14
GP Generic Practice 25
GR Generic Resoruce 25
GWP Generic Work Product 25
ITRG IT-Related Goals 14
MEA Monitor, Evaluate and Assess 15
PA Process Attribute 24
PAM Process Assessment Model 23
SD Service Design 28
SDM Sumber Daya Manusia (people) 7
SMKI Sistem Manajemen Keamanan
Informasi
5
SO Service Operation 28
SS Service Strategy 27
ST Service Transition 28
TI Teknologi Informasi 2
TIK Teknologi Informasi dan Komunikasi 1
TKKI Tata Kelola Keamanan Informasi 2
WP Work Product 25
1
BAGIAN I
PENDAHULUAN
1.1 Latar Belakang
Penerobosan keamanan informasi terhadap sistem teknologi informasi dan
komunikasi (TIK) dapat memberikan dampak terhadap kinerja organisasi dan
kerugian finansial. Kondisi tersebut membuat keamanan informasi menjadi faktor
yang sangat penting untuk diterapkan dalam organisasi[1-3]. Selain itu, faktor kunci
lain yang sangat berpengaruh dalam keamanan informasi adalah security awareness
[4]. Berdasarkan survei tahun 2005 yang dilakukan oleh CSI/FBI Computer Crime
and Security, serangan online atau cyber attack pada sistem TIK dapat
menyebabkan total kerugian finansial yang sangat besar yaitu melebihi 50 juta
dollar[2,5]. Selain itu, permasalahan keamanan dapat berakibat terhadap bocornya
informasi yang dapat disalahgunakan oleh pihak yang tidak berkepentingan. Oleh
karena itu, anggaran biaya keamanan informasi sebesar 10 13% dari total investasi
TIK merupakan hal yang wajar diterapkan pada sebagian besar organisasi[6].
Keamanan informasi untuk melindungi bisnis dan TIK dari berbagai serangan dan
ancaman umumnya dilakukan hanya berfokus pada solusi teknis saja tanpa
memikirkan aspek manajemen[7,8]. Salah satu contoh solusi engineering yang
dimaksud adalah penggunaan teknologi artificial intelligence untuk mengatur
access control melalui agents dalam sistem manajemen risiko keamanan
informasi[9]. Di Korea, penerapan sistem keamanan informasi secara parsial dapat
berdampak pada besarnya anggaran yang dikeluarkan karena tidak dapat mengatur
tim keamanan informasi yang terintegrasi secara konsisten[10].
Pada tahun 2012, tim Korea University melakukan riset keamanan informasi dan
menyatakan bahwa pengendalian keamanan dilakukan berdasarkan identifikasi
risiko[11]. Riset yang dilakukan oleh tim JianZhu University menyatakan bahwa
permasalahan sistem keamanan informasi dapat diatasi dengan penerapan
manajemen risiko keamanan teknologi informasi (TI) dan pengendalian sistem
2
informasi. Pada level aplikasi atau service, keamanan juga perlu diterapkan untuk
melindungi informasi yang dikirimkan oleh service provider melalui mekanisme
identity management[12]. Secara garis besar, riset-riset yang telah dilakukan
mengenai keamanan informasi terkait dengan permasalahan tata kelola[13,14],
framework[6,15-20], risiko[9,11,15,17,19,21-23], teknologi/infrastruktur[6,15,19,24-30],
organisasi[31], sumber daya manusia[6,15], proses[6,15], informasi[1,3,5,31-33],
aplikasi/service[12,34-39], kebijakan/prinsip[6,31,40-41], budaya/tingkah laku[4,8,42] dan
manajemen[2,7,10,29,31,38,43-49].
Permasalahan keamanan informasi yang telah dibahas dalam beberapa penelitian
sebelumnya masih bersifat parsial dan terbatas. Penerapan tersebut biasanya hanya
mencakup area manajemen dari suatu organisasi. Kelemahan sekecil apapun pada
sistem keamanan informasi dapat memberikan dampak negatif terhadap pencapaian
tujuan enterprise atau organisasi secara luas. Oleh karena itu, pembahasan
keamanan informasi yang menyeluruh dan terintegrasi sangat diperlukan untuk
mengamankan pencapaian tujuan tersebut. Saat ini belum ada penelitian yang
membahas tata kelola keamanan informasi secara menyeluruh pada institusi
pemerintahan ataupun perusahaan seperti yang dibahas dalam COBIT 5[50] terutama
pada sistem berbasis manajemen layanan TI [36,51-54].
Tata kelola keamanan informasi yang menyeluruh sangat bermanfaat bagi pimpinan
atau manajemen tingkat atas sebagai panduan dan pedoman dalam menerapkan
keamanan informasi khususnya layanan TI di dalam organisasinya. Pada akhirnya,
penerapan tersebut dapat melindungi organisasi dari risiko yang dapat memberikan
kerugian khususnya finansial. Manfaat yang diberikan dapat dirasakan terutama
oleh organisasi berbasis TI yang menganggap bahwa keamanan informasi
merupakan faktor yang sangat penting. Organisasi tersebut dapat berupa sektor
publik, non-profit ataupun swasta.
Buku ini menampilkan suatu model penerapan tata kelola keamanan informasi
(TKKI) yang menyeluruh dan terintegrasi pada suatu organisasi. Penerapan tata
kelola tersebut dapat dikaitkan dengan sistem berbasis manajemen layanan pada
berbagai jenis organisasi.
3
1.2 Batasan Penyusunan TKKI
Batasan masalah pada penyusunan buku ini adalah sebagai berikut.
a. Perancangan tata kelola keamanan informasi dikaitkan dengan sistem
manajemen layanan.
b. Penilaian dan perancangan model tata kelola keamanan informasi
menggunakan kerangka kerja COBIT 5, ITIL v3 dan ISO/IEC 15504 series.
1.3 Keluaran Penyusunan TKKI
Buku ini memberikan panduan penyusunan TKKI yang meliputi:
a. alat bantu penentuan lingkup proses tata kelola keamanan informasi,
b. model referensi proses tata kelola keamanan informasi,
c. model penilaian proses yang berfungsi sebagai alat ukur tingkat
capability/kematangan tata kelola keamanan informasi.
4
BAGIAN II
TEORI PENDUKUNG
2.1 Governance
Governance adalah proses pembentukan dan pemeliharaan suatu framework,
manajemen dan proses untuk memberikan jaminan bahwa strategi yang digunakan
sejalan dan mendukung tujuan bisnis[13-14]. Strategi tersebut konsisten terhadap
hukum dan peraturan, sesuai dengan kebijakan, pengawasan internal, tanggung
jawab dan semua upaya dalam rangka mengatur risiko. Prinsip-prinsip governance
terdiri atas[55]:
a. strategic alignment, tujuan governance sejalan dengan tujuan organisasi;
b. manajemen risiko, governance merupakan bagian yang tidak terpisahkan dari
enterprise risk management;
c. pemberian layanan, governance memberikan dukungan terhadap kebutuhan
bisnis dan value yang diharapkan;
d. optimasi sumber daya, governance berhubungan dengan perencanaan,
pengalokasian dan pengendalian sumber daya seperi orang, proses dan
teknologi yang dapat memberikan nilai kepada bisnis;
e. evaluasi kinerja berkelanjutan, governance berfungsi untuk mengawasi kinerja
dari proses-proses yang ada.
Penerapan governance dapat memberikan manfaat yang besar terhadap TI dan
keamanan informasi apabila menggunakan framework yang tepat[56].
2.2 Framework
Framework dapat diartikan sebagai sekumpulan konsep, asumsi dan praktik yang
mendefinisikan bagaimana sesuatu dapat dipahami. Beberapa contoh framework
yang umum digunakan dalam keamanan informasi dapat dijelaskan sebagai berikut.
a. NIST SP 800-53 merupakan salah satu standar yang dikembangkan oleh
National Institute of Standards and Technology untuk membantu organisasi
5
mengelola isu yang terkait dengan manajemen pengendalian hak akses
pengguna terhadap sistem informasi dan lingkungannya[15].
b. COBIT 4.1 merupakan IT governance framework yang membantu managers
untuk menjembatani perbedaan antara control requirement, isu teknis dan risiko
bisnis. Framework ini berfokus pada cara memberikan informasi yang sesuai
dengan kebutuhan bisnis[15,18].
c. ISO 27000 series merupakan dokumen standar keamanan yang dikeluarkan
oleh ISO (the International Organization for Standardization) and IEC (the
International Electrotechnical Commission). ISO 27000 series terdiri atas
beberapa bagian yang memiliki fungsi masing-masing. ISO/IEC 27001
mengandung persyaratan untuk sebuah Sistem Manajemen Keamanan
Informasi (SMKI). ISO/IEC 27005 mendeskripsikan tentang manajemen risiko
keamanan informasi. SMKI terdiri atas proses, prosedur dan sumber daya yang
terkait dengan keamanan informasi[16]. Standar ISO/IEC 27001 dibuat secara
terstruktur berdasarkan model proses Plan-Do-Check-Act (PDCA). Proses
tersebut terdiri atas[57]:
1). plan, proses penyusunan SMKI;
2). do, proses pengimplementasian dan pengoperasian SMKI;
3). check, proses pengawasan dan pengkajian SMKI;
4). act, proses pemeliharaan dan perbaikan SMKI.
ISO 27000 series selanjutnya yang terkait dengan keamanan informasi adalah
ISO/IEC 27002 atau disebut juga ISO/IEC 17799. Lingkup ISO/IEC 17799
adalah untuk membentuk pedoman dan prinsip-prinsip umum dalam
penginisialisasian, pengimplementasian, pemeliharaan dan perbaikan
manajemen keamanan informasi dalam suatu organisasi. Standar ini mencakup
kebijakan keamanan, organisasi keamanan, pengaturan dan klasifikasi aset,
keamanan personil, keamanan lingkungan dan fisik, manajemen operasi dan
komunikasi, pengaturan akses, pengembangan dan pemeliharaan sistem dan
manajemen keberlangsungan bisnis[6,20].
d. NIST SP 800-82 merupakan salah satu standar yang dikembangkan oleh
National Institute of Standards and Technology yang membahas tentang proses
6
manajemen risiko secara komprehensif dan berkelanjutan terhadap keamanan
sistem[17].
e. Security Framework for EPU (Electric Power Utilities) merupakan framework
gabungan yang dibuat oleh Ericsson untuk mengatur keamanan informasi[19].
Framework ini terdiri atas empat bagian, yaitu:
1). enterprise risk management menggunakan COSO,
2). IT Governance menggunakan COBIT,
3). IT Service Management menggunakan ISO/IEC 20000 dan ITIL,
4). IT Security Management menggunakan ISO/IEC 27001-2.
Hubungan keempat bagian di atas dapat ditunjukkan oleh Gambar II-1.
Gambar II-1Security framework for EPU[19].
2.3 Risiko
Risiko dapat diartikan sebagai kemungkinan ancaman menggunakan kelemahan
sistem yang ada sehingga memberikan pengaruh negatif terhadap organisasi[11].
Manajemen risiko muncul sebagai solusi untuk mengurangi dampak dan
kemungkinan risiko sampai kepada level yang dapat diterima. Manajemen risiko
merupakan suatu metode atau proses untuk membuat, mengimplementasikan,
menjalankan, mengawasi, mengkaji, memelihara dan memperbaiki secara
berkelanjutan proses SMKI[17,22,23]. Pada umumnya, manajemen risiko terdiri atas
proses penilaian risiko dan perlakuan risiko. Penilaian risiko terdiri atas identifikasi
7
risiko, analisis risiko dan evaluasi risiko. Manajemen risiko memiliki elemen-
elemen sebagai berikut[21]:
a. aset, merupakan obyek utama dari keamanan informasi yang seharusnya
dilindungi sebagai informasi atau sumber daya yang krusial dalam suatu
enteprise termasuk perangkat keras, perangkat lunak, kemampuan produk dan
layanan, sumber daya manusia dan aset lain yang intangible;
b. ancaman, merupakan aktivitas potensial yang dapat menyebabkan kerusakan
pada enterprise dan asetnya;
c. kelemahan, merupakan kekurangan yang melekat pada aset;
d. pengaruh, merupakan konsekuensi terhadap aset ketika suatu risiko terjadi;
e. risiko,
f. pengukuran keamanan, merupakan suatu cara, strategi dan mekanisme untuk
melawan ancaman, mengurani kelemahan, membatasi pengaruh dari risiko,
mendeteksi risiko dan mengevaluasi keamanan.
Contoh framework yang digunakan untuk menerapkan manajemen risiko adalah
Enterprise Risk Management (COSO) dan Risk Management ISO/IEC
31000:2009[19].
2.4 Organisasi
Menurut Kyung dkk., keamanan informasi tidak hanya berfokus pada sistem
informasi atau teknologi informasi saja, tetapi harus mempertimbangkan
keseluruhan organisasi. Selain hal tersebut, pembuatan kebijakan keamanan
informasi harus memperhatikan aspek-aspek organisasi sebagai berikut[31]:
a. formasi organisasi dan profesionalitas yang tepat,
b. sistem manajemen yang sistematis untuk keamanan informasi,
c. otorisasi dan tugas bagian keamanan informasi.
2.5 SDM, Proses dan Teknologi
Menurut Nwafor dkk., saat ini keamanan informasi sangat erat kaitannya dengan
kebutuhan organisasi untuk mengimplementasikan kontrol yang tepat dalam rangka
melakukan mitigasi risiko. Sumber risiko yang dimaksud adalah sumber daya
8
manusia (SDM), proses dan teknologi. SDM merupakan bagian terlemah dari
sistem keamanan informasi[15]. Menurut Dey, SDM, proses dan teknologi juga
merupakan komponen penting dalam SMKI. SDM dapat bertindak sebagai pekerja
dalam suatu organisasi mulai dari pihak manajemen senior sampai dengan end
users. SDM harus disiapkan dan dimotivasi agar dapat memahami pentingnya
keamanan dan mengikuri aturan yang ada. Proses harus didefinisikan berdasarkan
tujuan bisnis yang spesifik untuk melindungi aset informasi[6].
Teknologi atau dapat disebut infrastruktur merupakan salah satu aspek yang
digunakan untuk mengamankan informasi. Contoh pemanfaatan teknologi atau
infrastruktur yang digunakan untuk mengamankan informasi yaitu:
a. enkripsi database, merupakan enkripsi database dengan menggunakan teknik
enkripsi simetrik atau asimetrik[24];
b. network management system, merupakan solusi untuk mengamankan
pertukaran informasi antar domain yang berbeda[25];
c. keamanan pada Local Area Network (LAN), merupakan keamanan yang
diterapkan pada lapisan jaringan, sistem operasi database[26];
d. mobile ad hoc network (MANET) security, merupakan solusi keamanan pada
jaringan mobile yang digunakan untuk pertukaran data secara efektif dan
aman[27];
e. optical techniques untuk keamanan dan enkripsi informasi, merupakan solusi
keamanan pada gelombang optik[28];
f. supervisory control and data acquisition (SCADA), merupakan sistem
pengaturan keamanan cyber[19];
g. instrumentation and control network security management system (ICNSMS),
merupakan sistem keamanan jaringan yang mengacu standar NUREG-0800[29];
h. secure key generation, merupakan teknik pengamanan data yang dikirimkan
melalui media wireless untuk menghindari fading channel dan eavesdropper[30].
2.6 Informasi
Informasi adalah sumber utama dari semua aktivitas sosial dan kehidupan ekonomi
yang dapat dikumpulkan, dianalisis dan dipahami[31]. Informasi harus aman dan
9
konsisten walaupun terdapat ancaman keamanan dan diakses secara bersamaan oleh
berbagai macam sumber[32]. Salah satu dampak negatif penerobosan terhadap
keamanan informasi adalah penurunan kinerja finansial[1].
2.7 Service
Secara teknis, service adalah fungsi aplikasi yang didefinisikan melalui suatu
interface. Service memiliki sifat loose coupling, independent, interoperable,
reusable dan composable. Service dapat dikombinasi dan disusun ulang yang
disesuaikan dengan kebutuhan bisnis[37]. Sistem aplikasi yang dibentuk berbasiskan
service disebut Service Oriented Architecture (SOA). Pada lingkungan SOA,
service requestor dan service provider saling memberikan informasi mengenai
identitas ketika melakukan pengiriman pesan. Keamanan pada SOA dapat diatur
dengan penggunaan identity management[12].
Secara umum, service dapat diartikan sebagai pemberian value kepada pelanggan
berupa outcome yang dibutuhkan tanpa harus menanggung risiko dan biaya[51].
Proses yang dibutuhkan untuk menerapkan keamanan pada service yaitu[34]:
a. incident management,
b. capacity management,
c. configuration management,
d. performance management.
2.8 Kebijakan dan Prinsip
Menurut Solms dkk.[40], kebijakan dapat diterapkan pada tiga level yaitu strategis,
taktis dan operasional seperti yang ditunjukkan pada Gambar II-2.
Komponen kebijakan keamanan informasi terdiri atas[31]:
a. Strategi,
b. Sistem atau organisasi,
c. Regulasi.
10
Menurut Hai dkk., kebijakan dan prinsip keamanan memiliki jenis-jenis sebagai
berikut[41].
a. Prinsip keamanan.
1). Hirarki artinya setiap keamanan seharusnya diadopsi berdasarkan
kebutuhan pada masing-masing lapisan.
2). Bebas artinya keamanan tidak tergantung kepada arsitektur keamanan
secara keseluruhan.
3). Beragam artinya berbagai macam pengguna, proses atau host dapat
mengadopsi hal yang sama.
4). Dapat diatur artinya keamanan dapat dikonfigurasi.
5). Menyeluruh artinya keamanan disusun berdasarkan konsep secara
menyeluruh.
Gambar II-2 Level kebijakan[40].
b. Kebijakan keamanan.
1). Keamanan jaringan.
2). Keamanan data.
3). Keamanan aplikasi.
4). Keamanan platform sistem.
Kebijakan disusun untuk mendefinisikan siapa yang melakukan, kapan dan
bagaimana cara mencegah ancaman yang terjadi dan memperbaiki kerusakannya.
11
2.9 Budaya dan Perilaku
Menurut Waly dkk.[8], faktor yang mempengaruhi penerobosan keamanan adalah
organisasi, perilaku dan pelatihan. Faktor tersebut juga akan mempengaruhi
implementasi kebijakan keamanan organisasi. Identifikasi yang dilakukan terhadap
faktor tersebut akan memberikan gambaran bahwa melatih pekerja sangat penting
dilakukan agar terbentuk perilaku yang dapat mengurangi terjadinya penerobosan
keamanan dan memperbaiki manajemen keamanan informasi. Upaya pencegahan
terhadap penyalahgunaan perilaku pekerja dilakukan dengan cara teguran dan
sanksi melalui prosedur pengendalian. Faktor budaya juga mempengaruhi perilaku
orang terhadap keamanan[4]. Perbedaan budaya akan menunjukkan tingkatan yang
berbeda pada security awareness.
Pelatihan dapat membantu pengguna untuk mengeksplorasi informasi yang
dibutuhkan dan mengembangkan pemahaman yang efektif tentang bagaimana
melaksanakan kebijakan keamanan informasi. Program pelatihan dan awareness
dapat digunakan untuk mempengaruhi budaya organisasi terhadap keamanan.
Organisasi juga harus menyelidiki teknik pelatihan dan awareness yang efektif
untuk meningkatkan persepsi pekerja, sikap dan motivasi, mentransfer
keterampilan dan mempertahankan perilaku yang tepat terhadap keamanan
informasi[8,42].
2.10 Manajemen
Manajemen keamanan informasi dapat diartikan sebagai cara menyimpan informasi
secara aman, mengirim informasi penting melalui jalur yang aman dan cara
mengidentifikasi tujuan informasi yang aman[43]. SMKI adalah kumpulan proses
dan aktivitas untuk menjamin tiga faktor (kerahasiaan, integritas dan ketersediaan)
dan merupakan sistem manajemen sistematis yang mencakup sumber daya
manusia, proses dan sistem informasi untuk melindungi informasi yang dimiliki
organisasi secara aman[10]. SMKI mencakup empat subsistem yaitu strategi
keamanan, jaminan keamanan organisasional, hukum dan regulasi manajemen
keamanan dan dukungan teknis manajemen keamanan[45].
12
BAGIAN III
TEORI UTAMA
3.1 COBIT 5
Menurut COBIT 5[58], informasi adalah sumber daya utama bagi semua enterprise.
Informasi dapat dibuat, digunakan, disimpan, diperlihatkan atau dihancurkan.
Teknologi memiliki peran penting terhadap informasi. Teknologi informasi sangat
dibutuhkan oleh enterprise, lingkungan sosial, masyarakat dan bisnis.
Enterprise yang sukses telah mengakui bahwa dewan direksi dan eksekutif perlu
merangkul TI seperti bagian penting dalam menjalankan bisnis. Dewan direksi dan
manajemen yang terkait dengan bisnis dan TI harus berkolaborasi dan bekerja sama
agar TI dapat dikelola dan diatur.
COBIT 5 memberikan framework yang komprehensif untuk membantu enterprise
mencapai tujuan dalam kerangka governance dan management dari enterprise TI.
COBIT 5 memungkinkan TI untuk diatur dan dikelola secara holistik. COBIT 5
bersifat generik dan berguna untuk seluruh jenis enterprise. COBIT 5 memiliki lima
prinsip, yaitu:
a. meeting stakeholder needs,
b. covering the enterprise end-to-end,
c. applying a single, integrated framework,
d. enabling a holistic approach,
e. separating governance from management.
COBIT 5 memiliki enablers yang merupakan faktor yang mempengaruhi
governance dan management dari enterprise TI. Struktur COBIT 5 enablers
ditunjukkan oleh Gambar III-1. Enabler diturunkan dari tujuan organisasi yang
telah didefinisikan. Ada tujuh COBIT 5 enablers yaitu:
a. prinsip, kebijakan dan framework,
b. proses,
c. struktur organisasi,
13
d. budaya, etika dan perilaku,
e. informasi,
f. layanan, infrastruktur dan aplikasi,
g. SDM, kemampuan dan kompetensi.
Hubungan antara enablers dan tujuan organisasi dapat ditunjukkan oleh Gambar
III-2. COBIT 5 bukan merupakan ketentuan, tetapi menganjurkan enterprise agar
dapat menerapkan proses-proses governance dan management. Hubungan antara
proses governance dan management ditunjukkan oleh Gambar III-3.
1. Principles, Policies and Frameworks
2. Processes3. Organisational
Structures
4. Culture, Ethics
and Behaviour
Resources
6. Services,
Infrastructures
and Applications
7. People, Skills
and
Competencies
5. Information
Gambar III-1 COBIT 5 enablers[58].
COBIT 5 telah merumuskan tujuan organisasi (enterprise goals/EG) dan tujuan
terkait TI (IT-related goals/ITRG) yang bersifat generik berdasarkan dimensi
balance scorecard (BSC). Tujuan tersebut dapat mencakup semua ukuran
organisasi mulai dari komersial, non-profit ataupun sektor publik. Daftar tujuan
organisasi ditunjukkan oleh Tabel III.1 dan tujuan terkait TI ditunjukkan oleh Tabel
III.2.
COBIT 5 terdiri atas 37 proses yang terbagi dalam lima domain sebagai berikut:
a. evaluate, direct and monitor (EDM), terdiri atas lima proses;
b. align, plan and organise (APO), terdiri atas 13 proses;
c. build, acquire and implement (BAI), terdiri atas 10 proses;
14
d. deliver, service and support (DSS), terdiri atas enam proses;
e. monitor, evaluate and assess (MEA), terdiri atas tiga proses.
Tabel III.1 Tujuan organisasi[58].
BSC No. Enterprise Goals
Financial
EG-01 Stakeholder value of business investments
EG-02 Portfolio of competitive products and services
EG-03 Managed business risk (safeguarding of assets)
EG-04 Compliance with external laws and regulations
EG-05 Financial transparency
Customer
EG-06 Customer-oriented service culture
EG-07 Business service continuity and availability
EG-08 Agile responses to a changing business environment
EG-09 Information-based strategic decision making
EG-10 Optimisation of service delivery costs
Internal Business Process
EG-11 Optimisation of business process functionality
EG-12 Optimisation of business process costs
EG-13 Managed business change programmes
EG-14 Operational and staff productivity
EG-15 Compliance with internal policies
Learning and Growth
EG-16 Skilled and motivated people
EG-17 Product and business innovation culture
Tabel III.2 Tujuan terkait TI[58].
BSC No. IT-Related Goals
Financial
ITRG-01 Alignment of IT and business strategy
ITRG-02 IT compliance and support for business compliance with
external laws and regulations
ITRG-03 Commitment of executive management for making IT-related
decisions
ITRG-04 Managed IT-related business risk
ITRG-05 Realised benefits from IT-enabled investments and services
portfolio
ITRG-06 Transparency of IT costs, benefits and risk
Customer
ITRG-07 Delivery of IT services in line with business requirements
ITRG-08 Adequate use of applications, information and technology
solutions
Internal Business Process
ITRG-09 IT agility
ITRG-10 Security of information, processing infrastructure and
applications
ITRG-11 Optimisation of IT assets, resources and capabilities
ITRG-12 Enablement and support of business processes by integrating
applications and technology into business processes
ITRG-13 Delivery of programmes delivering benefits, on time, on
budget, and meeting requirements and quality standards
ITRG-14 Availability of reliable and useful information for decision
making
ITRG-15 IT compliance with internal policies
Learning and Growth
ITRG-16 Competent and motivated business and IT personnel
ITRG-17 Knowledge, expertise and initiatives for business innovation
15
Stakeholder Drivers
(Enironment, Technology Evolution, ...)
Stakeholder Needs
Benefits
Realisation
Risk
Optimisation
Resource
Optimisation
Influence
Enterprise Goals
IT-related Goals
Enablers Goals
Cascade to
Cascade to
Cascade to
Gambar III-2 Pemetaan enablers dan tujuan organisasi[58].
Pemetaan tujuan organisasi, tujuan terkait TI dan proses COBIT 5 ditunjukkan oleh
Tabel III.3 dan Tabel III.4.
Governance
Evaluate
Direct Monitor
Business Needs
Management
Build
(BAI)
Plan
(APO)
Run
(DSS)
Monitor
(MEA)
Management
Feedback
Gambar III-3 Proses governance dan management[58].
16
Tabel III.3 Pemetaan tujuan generik TI dan organisasi[58].
IT
RG
01
ITR
G02
ITR
G03
ITR
G04
ITR
G05
ITR
G06
ITR
G07
ITR
G08
ITR
G09
ITR
G10
ITR
G11
ITR
G12
ITR
G13
ITR
G14
ITR
G15
ITR
G16
ITR
G17
EG
01
P - P - P S P S S - P S - S - S S
EG
02
P - S - P - P S P - S P S S - S P
EG
03
S - - P - S S S S P - S S S S P -
EG
04
- P - S - - S - - P - - - S P - -
EG
05
- - - - - P - - - - - - - - - - -
EG
06
P - - - S - P S S - - S S - - S S
EG
07
S - - P - - S S - P - - P - - -
EG
08
P - S S P - P - P - S S - - - S -
EG
09
P - S - - S S S - - - - - P - - S
EG
10
S - - - S P - S - - P S S - - - -
EG
11
P - S - - - P P P - S P - S - - S
EG
12
S - - - P P S S - - P S S - - - -
EG
13
P - P S - - S - S - S S P - - - S
EG
14
- - - - S - - P S - S S - - - P -
EG
15
- P - S - - - - - P - - - - P - -
EG
16
S - S S - - S S S - - - - - - P S
EG
17
- - - - S - S S P - S S - - - S P
Keterangan:
P: hubungan bersifat primary atau terkait langsung.
S: hubungan bersifat secondary atau tidak terkait langsung.
-: tidak terkait.
17
Tabel III.4 Pemetaan tujuan generik TI dan proses tata kelola[58].
ITR
G-0
1
ITR
G-0
2
ITR
G-0
3
ITR
G-0
4
ITR
G-0
5
ITR
G-0
6
ITR
G-0
7
ITR
G-0
8
ITR
G-0
9
ITR
G-1
0
ITR
G-1
1
ITR
G-1
2
ITR
G-1
3
ITR
G-1
4
ITR
G-1
5
ITR
G-1
6
ITR
G-1
7
ED
M0
1
P S P S S S P - S S S S S S S S S
ED
M0
2
P - S - P P P S - - S S S S - S P
ED
M0
3
S S S P - P S S - P - - S S P S S
ED
M0
4
S - S S S S S S P - P - S - - P S
ED
M0
5
S S P - - P P - - - - - S S S - S
AP
O0
1
P P S S - - S - S S P S S S P P P
AP
O0
2
P - S S S - P S S - S S S S S S P
AP
O0
3
P - S S S S S S P S P S - S - - S
AP
O0
4
S - - S P - - P P - P S - S - - P
AP
O0
5
P - S S P S S S S - S - P - - - S
AP
O0
6
S - S S P P S S - - S - S - - - -
AP
O0
7
P S S S - - S - S S P - P - S P P
AP
O0
8
P - S S S S P S - - S P S - S S P
AP
O0
9
S - - S S S P S S S S - S P S - -
18
ITR
G-0
1
ITR
G-0
2
ITR
G-0
3
ITR
G-0
4
ITR
G-0
5
ITR
G-0
6
ITR
G-0
7
ITR
G-0
8
ITR
G-0
9
ITR
G-1
0
ITR
G-1
1
ITR
G-1
2
ITR
G-1
3
ITR
G-1
4
ITR
G-1
5
ITR
G-1
6
ITR
G-1
7
AP
O1
0
- S - P S S P S P S S - S S S - S
AP
O1
1
S S - S P - P S S - S - P S S S S
AP
O1
2
- P - P - P S S S P - - P S S S S
AP
O1
3
- P - P - P S S - P - - - P - - -
BA
I01
P - S P P S S S - S S - P - - S S
BA
I02
P S S S S - P S S - S P S S - - S
BA
I03
S - - S S - P S - - S S S S - - S
BA
I04
- - - S S - P S S - P - S P - - S
BA
I05
S - S - - - - P S - S S P - - - P
BA
I06
- - S P S - P S S P S P S S S - S
BA
I07
- - - S S - S P S - - P S S S - S
BA
I08
S - - - S - S S P S S - - P - S P
BA
I09
- S - S - P S - S S P - - S S - -
BA
I10
- P - S - S - S S S P - - P S - -
19
ITR
G-0
1
ITR
G-0
2
ITR
G-0
3
ITR
G-0
4
ITR
G-0
5
ITR
G-0
6
ITR
G-0
7
ITR
G-0
8
ITR
G-0
9
ITR
G-1
0
ITR
G-1
1
ITR
G-1
2
ITR
G-1
3
ITR
G-1
4
ITR
G-1
5
ITR
G-1
6
ITR
G-1
7
DS
S0
1
- S - P S - P S S S P - - S S S S
DS
S0
2
- - - P - - P S - S - - - S S - S
DS
S0
3
- S - P S - P S S - P S - P S - S
DS
S0
4
S S - P S - P S S S S S - P S S S
DS
S0
5
S P - P - - S S - - S S - S S - -
DS
S0
6
- S - P - - P S - S S S - S S S S
ME
A0
1
S S S P S S P S S S P - S S P S S
ME
A0
2
- P - P - S S S - S - - - S P - S
ME
A0
3
- P - P P - S - - S - - - - S - S
Keterangan:
P: hubungan bersifat primary atau terkait langsung.
S: hubungan bersifat secondary atau tidak terkait langsung.
-: tidak terkait.
3.2 COBIT 5 Enabling Process
COBIT 5 Enabling Process[59] merupakan pelengkap COBIT 5 yang
mendefinisikan model referensi proses. Proses merupakan salah satu dari tujuh
COBIT 5 enablers yang terdiri atas 37 proses. Proses-proses yang dimaksud dapat
dijelaskan sebagai berikut.
a. EDM
1). Ensure governance framework setting and maintenance.
2). Ensure benefits delivery.
20
3). Ensure risk optimisation.
4). Ensure resource optimisation.
5). Ensure stakeholder transparency.
b. APO
1). Manage the IT management framework.
2). Manage strategy.
3). Manage enterprise architecture.
4). Manage innovation.
5). Manage portfolio.
6). Manage budget and costs.
7). Manage human resource.
8). Manage relationships.
9). Manage service agreements.
10). Manage suppliers.
11). Manage quality.
12). Manage risk.
13). Manage security.
c. BAI
1). Manage programmes and projects.
2). Manage requirements definition.
3). Manage solutions identification and build.
4). Manage availability and capacity.
5). Manage organisational change enablement.
6). Manage changes.
7). Manage change acceptance and transitioning.
8). Manage knowledge.
9). Manage assets.
10). Manage configuration.
d. DSS
1). Manage operations.
2). Manage service requests and incidents.
3). Manage problems.
21
4). Manage continuity.
5). Manage security services.
6). Manage business process controls.
e. MEA
1). Monitor, evaluate and assess performance and conformance.
2). Monitor, evaluate and assess the system of internal control.
3). Monitor, evaluate and assess compliance with external requirements.
3.3 COBIT 5 for Risk
COBIT 5 for Risk[60] membahas risiko yang terkait dengan TI dan
mempresentasikannya melalui dua perspektif yaitu fungsi dan manajemen risiko.
Fungsi risiko berfokus pada hal-hal yang dibutuhkan untuk membangun dan
memelihara fungsi risiko dalam suatu organisasi. Manajemen risiko berfokus pada
proses tata kelola dan manajemen yang terkait risiko dengan mendefinisikan
bagaimana mengoptimalkan, mengidentifikasi, menganalisis, merespon dan
melaporkan risiko. Implementasi COBIT 5 for Risk juga merujuk kepada tujuh
enablers yang telah disebutkan sebelumnya.
Salah satu informasi penting yang digunakan dalam proses manajemen risiko
adalah skenario risiko. Skenario risiko merupakan deskripsi kejadian yang mungkin
terjadi dan memberikan dampak pada pencapaian tujuan organisasi. Beberapa
contoh kategori skenario risiko yang umum ada di dalam organisasi dapat
dijelaskan oleh Tabel III.5.
Tabel III.5 Skenario risiko[60].
No Kategori Skenario Risiko
1 Pembuatan dan pemeliharaan portofolio
2 Manajemen siklus program/proyek
3 Pembuatan keputusan terkait investasi TI
4 Keahlian dan kemampuan TI
5 Operasional yang dilakukan oleh staf
6 Informasi (kerusakan, kebocoran dan akses)
7 Arsitektur
8 Infrastruktur
9 Perangkat lunak
10 Kepemilikan bisnis TI
11 Pemilihan pemasok
12 Kepatuhan terhadap peraturan
22
No Kategori Skenario Risiko
13 Geopolitik
14 Pencurian atau perusakan infrastruktur
15 Malware
16 Serangan logis
17 Aksi industri
18 Lingkungan
19 Bencana alam
20 Inovasi
3.4 Process Assessment Model (PAM)
PAM merupakan suatu model yang bertujuan untuk menilai kapabilitas proses
berdasarkan satu atau beberapa model referensi proses. PAM memiliki dua dimensi
parameter yang terdiri atas skala kapabilitas dan entitas proses. Ilustrasi kerangka
kerja PAM dapat dilihat pada Gambar III-4[61].
Process
Assessment
Model
Capabili
ty s
cale
1 2 3 .nProcess entities
Process Reference Model
Domain and Scope
Processes with Purpose and Outcomes
Measurement Framework
Capability Levels
Process Attributes
Rating Scale
Gambar III-4 Kerangka kerja PAM[61].
Skala kapabilitas proses didefinisikan dalam enam level skala ordinal yang dimulai
dari incomplete sampai dengan optimizing. Masing-masing level memiliki sejumlah
process attribute (PA). PA merupakan suatu karakteristik yang terukur dari suatu
kapabilitas proses. Level tersebut dapat dijelaskan sebagai berikut[62].
a. Level 0: Incomplete process.
23
b. Level 1: Performed process.
1). PA 1.1 Process performance attribute.
c. Level 2: Managed process.
1). PA 2.1 Performance management attribute.
2). PA 2.2 Work product management attribute.
d. Level 3: Established process.
1). PA 3.1 Process definition attribute.
2). PA 3.2 Process deployment attribute.
e. Level 4: Predictable process.
1). PA 4.1 Process measurement attribute.
2). PA 4.2 Process control attribute.
f. Level 5: Optimizing process.
1). PA 5.1 Process innovation attribute.
2). PA 5.2 Process optimization attribute.
PA tersebut dapat dinilai berdasarkan selang interval sebagai berikut[62]:
a. N (not achieved): 0 15% achievement,
b. P (partially achieved): > 15% 50% achievement,
c. L (largely achieved): > 50% - 85% achievement,
d. F (fully achieved): > 85% - 100% achievement.
PAM mengacu pada prinsip bahwa kapabilitas proses dapat dinilai dengan cara
mengukur pencapaian PA. Pengukuran tersebut didasarkan pada bukti yang
dikaitkan dengan indikator penilaian. Terdapat dua tipe indikator penilaian yaitu:
indikator kapabilitas proses (level 1 sampai dengan level 5) dan indikator kinerja
proses (khusus level 1)[63].
Indikator kapabilitas proses terdiri atas:
a. Generic Practice (GP),
b. Generic Resource (GR),
c. Generik Work Product (GWP).
Indikator kinerja proses terdiri atas:
a. Base Practice (BP),
24
b. Work Product (WP).
Struktur penilaian indikator tersebut ditunjukkan oleh Gambar III-5. Model
referensi proses yang dinilai merujuk kepada kumpulan proses yang telah
didefinisikan pada subbab 3.2. Model penilaian proses COBIT 5 merujuk kepada
struktur Gambar III-6.
Ca
pa
bili
ty
Dim
en
sio
n
Processdimension
- Level 5: Optimizing (2 attributes)
- Level 4: Predictable (2 attributes)
- Level 3: Established (2 attributes)
- Level 2: Managed (2 attributes)
- Level 1: Performed (1 attribute)
Process Assessment
- Generic Practice (GP)
- Generic Resource (GR)
- Generic Work Product (GWP)
- Base Practice (BP)
- Work Product (WP)
System Life Cycle Process
Gambar III-5 Indikator penilaian[63].
Ca
pa
bili
ty
Dim
en
sio
n
Processdimension
- Level 5: Optimizing (2 attributes)
- Level 4: Predictable (2 attributes)
- Level 3: Established (2 attributes)
- Level 2: Managed (2 attributes)
- Level 1: Performed (1 attribute)
EDM
Evaluate, Direct & Monitor
Merujuk ISO/IEC 15504 series
APO
Align, Plan & OrganiseBAI
Build, Acquire & ImplementDSS
Delivery, Service & SupportMEA
Monitor, Evaluate & Assess
Gambar III-6 Model penilaian proses COBIT 5[64].
25
3.5 COBIT 5 for Information Security
COBIT 5 for Information Security[50] fokus pada keamanan informasi dan
menyediakan pedoman yang lebih lengkap dan praktik untuk para profesional
keamanan informasi dan pihak lain yang terkait pada semua level enterprise.
Manfaat yang diperoleh dari penggunaan COBIT 5 for Information Security dapat
dijelaskan sebagai berikut.
a. Mengurangi kompleksitas dan peningkatan efektivitas biaya karena telah
mengintegrasikan beberapa standar keamanan informasi, good practice
dan/atau pedoman spesifik.
b. Meningkatkan kepuasan pengguna.
c. Memperbaiki integrasi keamanan informasi dalam enterprise.
d. Menginformasikan risk decisions dan risk awareness.
e. Memperbaiki pencegahan, pendeteksian dan pemulihan.
f. Mengurangi pengaruh insiden keamanan informasi.
g. Meningkatkan dukungan untuk inovasi dan persaingan.
h. Memperbaiki manajemen biaya yang terkait dengan fungsi keamanan
informasi.
i. Memberikan pemahaman yang lebih baik terhadap keamanan informasi.
COBIT 5 for Information Security menyediakan pedoman khusus yang terkait
dengan semua enablers.
3.6 Manajemen Layanan TI
Manajemen layanan TI merupakan sistem manajemen yang bertujuan untuk
mengarahkan dan mengatur aktivitas layanan TI yang diberikan oleh pihak pemberi
layanan. Sistem manajemen tersebut mencakup kebijakan, tujuan, perencanaan,
proses, dokumentasi dan sumber daya yang dibutuhkan dalam siklus layanan.
Siklus tersebut meliputi strategi, perancangan, transisi, operasi dan perbaikan yang
berkelanjutan[65,66].
ITILv3 menyatakan bahwa komponen manajemen layanan TI terdiri atas hal-hal
berikut[66].
26
a. Service Strategy (SS).
1). Strategy generation.
2). Service portfolio management.
3). Financial management for IT services.
4). Demand management.
5). Business relationship management.
b. Service Design (SD).
1). Design coordination.
2). Service catalogue management.
3). Service level management.
4). Availability management.
5). Capacity management.
6). IT service continuity management.
7). Information security management.
8). Supplier management.
c. Service Transition (ST).
1). Transisition planning and support.
2). Change management.
3). Service asset and configuration management.
4). Release and deployment management.
5). Service validation and testing.
6). Change evaluation.
7). Knowledge management.
d. Service Operation (SO).
1). Event management.
2). Incident management.
3). Request fulfillment.
4). Problem management.
5). Access management.
6). Operation management.
e. Continual Service Improvement (CSI).
1). Service measurement.
27
2). Service reporting.
3). 7-step improvement.
28
BAGIAN IV
METODE PENYUSUNAN TKKI
Metode penyusunan TKKI merupakan kumpulan metode dan cara penyusunan
proses TKKI di suatu organisasi. Metode tersebut diuraikan pada bagian di bawah
ini.
4.1 Analisis Kebutuhan
Analisis kebutuhan bertujuan untuk mendefinisikan hal-hal yang dibutuhkan dalam
rangka menerapkan tata kelola keamanan informasi. Tahapan ini berisi proses
penentuan lingkup yang bertujuan untuk menentukan proses tata kelola yang perlu
diukur atau dinilai. Gambar IV-1 menunjukkan alur proses penentuan lingkup yang
dimaksud.
Menentukan Lingkup
(Scoping)
Tentukan sumber kebutuhan keamanan:
Penilaian risiko
Peraturan
Prinsip, tujuan dan kebutuhan organisasi
Based on ISO/IEC 27002:2005
Cascading Tujuan Organisasi
(COBIT5 Framework)
Tujuan organisasi
Penilaian Risiko:
COBIT5 for Risk
ISO/IEC 31000:2009
Penilaian risikoManajemen Layanan TI
(ITIL v3)
Prioritas proses
Proses terkait layanan
Prioritas
Risiko
Proses
Terpilih
Petakan Tujuan
Organisasi
Petakan Tujuan
TI
Pilih Proses Tata
Kelola
Renstra
IT
Masterplan
Gambar IV-1 Alur proses penentuan lingkup.
Proses penentuan lingkup tata kelola yang dilakukan dalam penelitian ini dapat
dilakukan dengan cara analisis terhadap tujuan organisasi, tujuan TI, sistem
manajemen layanan dan penilaian risiko.
29
4.1.1 Penentuan Tujuan Organisasi
Analisis tujuan organisasi membutuhkan masukan berupa EG yang telah
didefinisikan oleh COBIT 5 dan tujuan organisasi. Hal selanjutnya yang dilakukan
adalah membandingkan dan memeriksa keduanya untuk menentukan padanannya.
Kerangka berpikir perumusan tujuan organisasi ditunjukkan oleh Gambar IV-2.
Adopsi EG (COBIT 5)Pelajari Tujuan
Organisasi
Bandingkan dan
Padankan
Sesuai?
Pilih Tidak Dipilih
Ya Tidak
Y NEG Terpilih
Gambar IV-2 Penentuan lingkup tujuan organisasi.
4.1.2 Penentuan Tujuan TI
Analisis tujuan TI membutuhkan masukan berupa pemetaan antara EG dengan
ITRG yang telah didefinisikan oleh COBIT 5 dan tujuan TI organisasi. Hal yang
dilakukan adalah mengadopsi pemetaan EG dengan ITRG dan membandingkannya
dengan tujuan TI yang dimiliki oleh organisasi. Kerangka berpikir perumusan
tujuan organisasi ditunjukkan oleh Gambar IV-3.
4.1.3 Penentuan Sistem Manajemen Layanan
Penentuan lingkup tata kelola keamanan informasi pada sistem manajemen layanan
melibatkan proses tata kelola dan proses manajemen layanan. Hal yang dilakukan
adalah memetakan atau mencocokkan proses tata kelola dan proses manajemen
layanan berdasarkan kesamaan peran dan fungsi. Kerangka berpikir pemetaan
proses tersebut ditunjukkan oleh Gambar IV-4.
30
Analisis pemetaan
EG dan ITRG
Pilih ITRG
Tentukan Jenis
Relasi
EG Terpilih
Jenis Relasi
Primary (P)
Secondary (S)
Pelajari Tujuan TI
Organisasi
Bandingkan dan
Padankan
Sesuai?
Pilih Tidak Dipilih
Ya Tidak
Y NITRG
Terpilih
Pemilihan Proses
(Otomatis)
Proses
Terpilih
Gambar IV-3 Penentuan lingkup tujuan TI.
Jenis relasi terdiri atas dua jenis yaitu primary (P) dan secondary (S). P memiliki
arti bahwa hubungan antara EG dan ITRG sangat erat atau terkait langsung,
sedangkan S memiliki arti bahwa hubungannya lemah atau tidak terkait langsung.
4.1.4 Penilaian Risiko
Penilaian risiko bertujuan untuk mengurutkan penanganan proses tata kelola
berdasarkan tingkat kepentingannya yang dapat berupa T (tinggi), M (menengah)
dan R (rendah). Dasar penentuan prioritas risiko mengacu pada standar ISO/IEC
31000:2009 dan COBIT 5 for Risk. Kerangka berpikir penentuan prioritas risiko
ditunjukkan oleh Gambar IV-5.
31
Analisis Proses
(COBIT 5)
Analisis SMS
(ITIL v3)
Bandingkan dan
Padankan
Sesuai?
Pilih Tidak Dipilih
Ya Tidak
Proses
Terpilih
Gambar IV-4 Pemetaan proses COBIT 5 dan ITIL v3.
Mendata Risiko
Menentukan B/C
Ratio
Menentukan Level
Risiko
Skenario risiko
Menentukan Prioritas
Risiko
Proses
Terpilih
ISO/IEC 31000:2009
Memetakan Risiko dan
Proses Tata KelolaMitigasi
Prioritas
Proses
Gambar IV-5 Penentuan prioritas risiko.
32
4.2 Perancangan
Perancangan merupakan proses yang bertujuan untuk menghasilkan suatu alat ukur
yang sesuai dengan standar penilaian proses tata kelola keamanan informasi.
Gambar IV-6 menunjukkan alur proses perancangan alat ukur penilaian proses tata
kelola keamanan informasi.
4.2.1 Perancangan Model Referensi Proses
Perancangan model referensi proses bertujuan untuk membuat model atau peta
dimensi proses tata kelola keamanan informasi. Model ini dijadikan dasar dalam
pembuatan suatu model penilaian proses. Kerangka berpikir perancangan model
referensi proses ditunjukkan oleh Gambar IV-7.
Proses Terpilih
Menentukan standar pengukuran proses
ISO/IEC 15504-1
ISO/IEC 15504-2
ISO/IEC 15504-5
Menentukan model referensi proses
Menentukan proses terkait keamanan informasi
COBIT5 for Information Security
Menentukan komponen proses
Practices
Work products
Resources
COBIT5 Process Assessment Model
menggunakan
berdasarkan
Process Reference Model for
Information Security
menghasilkan
menggunakanmenggunakan
Process Assessment Model for
Information Security
menggunakan
mendefinisikan
menghasilkan
Gambar IV-6 Alur proses perancangan.
33
Gambar IV-7 Perancangan model referensi proses.
4.2.2 Perancangan Model Penilaian Proses
Perancangan model penilaian proses bertujuan untuk membuat model penilaian
proses tata kelola keamanan informasi berdasarkan level pencapaian kemampuan.
Model ini dijadikan sebagai dasar perhitungan analisis kesenjangan pada proses tata
kelola keamanan informasi. Kerangka berpikir perancangan model penilaian proses
ditunjukkan oleh Gambar IV-8.
Gambar IV-8 Perancangan model penilaian proses.
Komponen proses yang dinilai (meliputi: aktivitas, keluaran, GP, GWP dan GR)
memiliki rentang nilai berikut:
34
1. tidak ada, artinya komponen proses yang dimaksud tidak ada atau tidak
dilakukan,
2. sebagian kecil, artinya telah ada sedikit bukti adanya atau dilaksanakannya
komponen proses yang dimaksud,
3. sebagian besar, artinya telah banyak bukti adanya atau dilaksanakannya
komponen proses yang dimaksud,
4. penuh, artinya komponen proses yang dimaksud telah ada atau dilaksanakan
secara maksimal.
4.3 Analisis Kesenjangan
Analisis kesenjangan merupakan proses yang bertujuan untuk mengetahui kondisi
capability/kematangan tata kelola keamanan informasi yang ada saat ini dan
harapan yang akan dicapai oleh suatu organisasi. Kondisi tersebut dinilai dengan
menggunakan model penilaian proses yang telah dijelaskan pada subbab 4.2.2.
4.4 Pemberian Rekomendasi
Rekomendasi merupakan masukan yang diberikan kepada organisasi untuk
membangun suatu tata kelola keamanan informasi di organisasinya. Rekomendasi
terhadap proses tata kelola dibuat berdasarkan hasil analisis kesenjangan.
4.5 Penerapan
Penerapan merupakan proses pendefinisian urutan langkah-langkah yang harus
dilaksanakan untuk mengimplementasikan rekomendasi yang diberikan terkait tata
kelola keamanan informasi pada suatu organisasi. Proses ini mengacu kepada suatu
kerangka kerja penerapan tata kelola TI yang umum digunakan yaitu dengan
pendekatan John Kotter yang telah didefinisikan dalam COBIT 5
Implementation[67].
35
BAGIAN V
PENYUSUNAN TKKI
Bab ini menjelaskan sistematika analisis kondisi TKKI yang ada saat ini dan
harapan ke depan. Hal ini diawali dengan analisis lingkup TKKI. Setelah diketahui
lingkup proses, hal selanjutnya yang dilakukan adalah pengukuran kondisi
keamanan informasi saat ini yang dipetakan ke dalam level pencapaian terhadap
suatu standar pengukuran proses. Hal terakhir yang dilakukan pada bab ini adalah
analisis kesenjangan antara kondisi yang ada saat ini dengan target pencapaian.
Hasil analisis yang diperoleh dapat dijadikan sebagai dasar pembuatan rekomendasi
yang tepat terhadap TKKI di organisasi.
Perancangan yang dilakukan pada bab ini adalah pembuatan alat bantu pengukuran
TKKI. Alat bantu yang dibuat terdiri atas: penurunan tujuan organisasi dan TI,
pemetaan proses tata kelola terhadap proses manajemen layanan, pemodelan
referensi proses dan pemodelan penilaian proses. Hasil rancangan yang ada
diharapkan dapat membantu dalam menemukan formulasi yang tepat untuk
mengukur tata kelola yang ada di organisasi.
5.1 Alat Bantu Penentuan Lingkup TKKI
Penentuan lingkup TKKI bertujuan untuk mengidentifikasi kebutuhan keamanan
informasi pada organisasi yang dijadikan tempat studi kasus. Berdasarkan teori
yang dikeluarkan oleh ISO/IEC 27002:2013[68], beberapa sumber yang dapat
dijadikan dasar dalam penentuan lingkup kebutuhan keamanan informasi dapat
dijelaskan sebagai berikut.
1. Kumpulan prinsip, tujuan dan kebutuhan bisnis organisasi.
Sumber ini dapat diambil dari pemetaan tujuan organisasi, pemetaan tujuan TI
dan pemetaan sistem manajemen layanan yang terdapat di organisasi.
2. Penilaian risiko.
Sumber ini dapat diambil dari penilaian prioritas risiko yang terdapat di
organisasi.
36
5.1.1 Pemetaan Tujuan Organisasi
Pemetaan tujuan organisasi merupakan penentuan lingkup keamanan informasi
yang diambil dari subbab 5.1 butir 1 khususnya pada tujuan organisasi. Pemetaan
ini bertujuan untuk menurunkan dan merumuskan tujuan organisasi ke dalam
bentuk EG yang bersifat generik dan terkait informasi. EG ini sesuai dengan yang
telah didefinisikan oleh kerangka kerja COBIT 5. Tabel V.1 menunjukkan hasil
pemetaan contoh tujuan organisasi yang terkait informasi di organisasi.
Tabel V.1 Contoh tujuan organisasi.
BSC EG (Y/T) Tujuan Organisasi Indikator Kinerja
Utama
Financial
EG-01 T
EG-02 T
EG-03 T
EG-04 T
EG-05 Y [sebutkan tujuan
organisasi yang terkait]
[uraikan indikator
pencapaiannya]
Customer
EG-06 T
EG-07 T
EG-08 T
EG-09 Y [sebutkan tujuan
organisasi yang terkait]
[uraikan indikator
pencapaiannya]
EG-10 T
Internal
Business Process
EG-11 Y [sebutkan tujuan
organisasi yang terkait]
[uraikan indikator
pencapaiannya]
EG-12 T
EG-13 T
EG-14 Y [sebutkan tujuan
organisasi yang terkait]
[uraikan indikator
pencapaiannya]
EG-15 T
Learning
& Growth
EG-16 Y [sebutkan tujuan
organisasi yang terkait]
[uraikan indikator
pencapaiannya]
EG-17 Y [sebutkan tujuan
organisasi yang terkait]
[uraikan indikator
pencapaiannya] Keterangan:
Y: (ya) terkait dengan tujuan organisasi.
T: (tidak) terkait dengan tujuan organisasi.
37
5.1.2 Pemetaan Tujuan TI
Pemetaan tujuan TI merupakan turunan dari tujuan organisasi yang digunkan untuk
menentukan lingkup keamanan informasi yang lebih spesifik pada TI. Pemetaan ini
bertujuan untuk menurunkan dan merumuskan tujuan TI ke dalam bentuk ITRG
yang bersifat generik. Tabel V.2 menunjukkan hasil pemetaan tujuan TI organisasi.
Tabel V.2 Tujuan TI Organisasi.
BSC ITRG (P/S) (Y/T) Tujuan TI
Organisasi Indikator Kinerja Utama
Fin
an
cia
l
ITRG-01 P Y [sebutkan tujuan TI
yang terkait]
[uraikan indikator
pencapaiannya]
ITRG-02 - T
ITRG-03 S T
ITRG-04 S T
ITRG-05 S T
ITRG-06 P Y [sebutkan tujuan TI
yang terkait]
[uraikan indikator
pencapaiannya]
Cu
sto
mer
ITRG-07 P Y [sebutkan tujuan TI
yang terkait]
[uraikan indikator
pencapaiannya]
ITRG-08 P Y [sebutkan tujuan TI
yang terkait]
[uraikan indikator
pencapaiannya]
Inte
rna
l
ITRG-09 P T
ITRG-10 - T
ITRG-11 S T
ITRG-12 P Y [sebutkan tujuan TI
yang terkait]
[uraikan indikator
pencapaiannya]
ITRG-13 - T
ITRG-14 P Y [sebutkan tujuan TI
yang terkait]
[uraikan indikator
pencapaiannya]
ITRG-15 - T
Lea
rnin
g &
Gro
wth
ITRG-16 P Y [sebutkan tujuan TI
yang terkait]
[uraikan indikator
pencapaiannya]
ITRG-17 P Y [sebutkan tujuan TI
yang terkait]
[uraikan indikator
pencapaiannya]
Keterangan:
P: hubungan bersifat primary atau terkait langsung antara tujuan generik TI dan organisasi.
S: hubungan bersifat secondary atau tidak terkait langsung antara tujuan generik TI dan organisasi.
Y: (ya) terkait dengan tujuan TI organisasi.
T: (tidak) terkait dengan tujuan TI organisasi.
Pada Tabel V.2, penentuan nilai pada kolom (Y/T) didasarkan kepada keterkaitan
tujuan generik TI dan organisasi berdasarkan pemetaan yang telah disebutkan pada
Tabel III.3. Pemetaan tersebut yang ditunjukkan oleh kolom (P/S) memiliki dua
38
jenis keterkaitan yaitu P (primary) dan S (secondary). Kolom (Y/T) bernilai Y
apabila memenuhi persyaratan berikut:
1. kolom (P/S) bernilai P,
2. terdapat tujuan TI organisasi yang terkait dengan tujuan generik TI.
Skema pemetaan antara tujuan generik TI dan proses tata kelola (governance dan
management) ditunjukkan oleh Tabel III.4. Skema ini bertujuan untuk
menghasilkan proses tata kelola yang terpilih dalam penentuan lingkup TKKI
berdasarkan tujuan organisasi dan TI. Contoh rangkuman proses tata kelola yang
terpilih ditunjukkan oleh Tabel V.3.
Tabel V.3 Contoh rangkuman proses tata kelola terpilih.
ID Nama Proses Tata Kelola (P/S
)
(Y/N
)
EDM0
1
Ensure Governance Framework Setting and Maintenance
EDM0
2
Ensure Benefits Delivery
EDM0
3
Ensure Risk Optimisation
EDM0
4
Ensure Resource Optimisation
EDM0
5
Ensure Stakeholder Transparency
APO01 Manage the IT Management Framework
APO02 Manage Strategy
APO03 Manage Enterprise Architecture
APO04 Manage Innovation
APO05 Manage Portfolio
APO06 Manage Budget and Costs
APO07 Manage Human Resources
APO08 Manage Relationships
APO09 Manage Service Agreements
APO10 Manage Supplies
APO11 Manage Quality
APO12 Manage Risk
APO13 Manage Security
BAI01 Manage Programmes and Projects
BAI02 Manage Requirements Definition
BAI03 Manage Solutions Identification and Build
BAI04 Manage Availability and Capacity
BAI05 Manage Organisational Change Enablement
39
ID Nama Proses Tata Kelola (P/S
)
(Y/N
)
BAI06 Manage Changes
BAI07 Manage Change Acceptance and Transitioning
BAI08 Manage Knowledge
BAI09 Manage Assets
BAI10 Manage Configuration
DSS01 Manage Operations
DSS02 Manage Service Requests and Incidents
DSS03 Manage Problems
DSS04 Manage Continuity
DSS05 Manage Security Services
DSS06 Manage Business Process Controls
MEA0
1
Monitor, Evaluate and Assess Performance and Conformance
MEA0
2
Monitor, Evaluate and Assess the System of Internal Control
MEA0
3
Monitor, Evaluate and Assess Compliance with External
Requirements
Keterangan:
P: hubungan bersifat primary atau terkait langsung antara tujuan generik TI dan proses tata kelola.
S: hubungan bersifat secondary atau tidak terkait langsung antara tujuan generik TI dan proses tata kelola.
Y: (ya) proses terpilih, T: (tidak/bukan) proses terpilih.
5.1.3 Pemetaan Manajemen Layanan TI
Pemetaan terhadap manajemen layanan TI merupakan penentuan lingkup
keamanan informasi yang diambil dari subbab 5.1 butir 1 khususnya pada
kebutuhan bisnis organisasi. Kebutuhan bisnis organisasi yang dimaksud adalah
kebutuhan tata kelola keamanan informasi pada sistem manajemen layanan ITIL
v3. Hal yang dilakukan dalam pemetaan adalah membandingkan keterkaitan antara
proses tata kelola dan proses sistem manajemen layanan. Tabel V.4 menunjukkan
hasil pemetaan antara proses tata kelola dan manajemen layanan.
Sistem manajemen layanan hanya mencakup area management dari proses tata
kelola yang ada di COBIT 5. Hal ini mengakibatkan proses yang ada di area
governance (EDM01, EDM02, EDM03, EDM04 dan EDM05) tidak memiliki
padanan atau kaitan proses. Perancangan tata kelola secara menyeluruh sangat
membutuhkan area governance dan management. Oleh karena itu, proses EDM01,
EDM02, EDM03, EDM04 dan EDM05 tetap dimasukkan ke dalam lingkup tata
kelola keamanan informasi pada sistem manajemen layanan.
40
41
Tabel V.4 Pemetaan proses COBIT 5 dan ITIL v3.
SS SD ST SO CSI
Str
ate
gy
gen
era
tio
n
Ser
vice
po
rtfo
lio
ma
na
gem
ent
Fin
an
cia
l m
ana
gem
ent
for
IT s
ervi
ces
Dem
an
d m
an
ag
emen
t
Bu
sin
ess
Rel
ati
on
ship
Ma
na
gem
ent
Des
ign
Coo
rdin
ati
on
Ser
vice
Ca
talo
gu
e M
an
ag
emen
t
Ser
vice
Lev
el M
an
ag
emen
t
Ava
ilab
ilit
y M
an
ag
emen
t
Ca
pa
city
Man
ag
emen
t
IT S
ervi
ce C
on
tin
uit
y M
ana
gem
ent
Info
rma
tion
Sec
uri
ty M
an
ag
emen
t
Su
pp
lier
Man
ag
emen
t
Tra
nsi
tio
n P
lan
nin
g &
Su
pp
ort
Ch
ang
e M
ana
gem
ent
Ser
vice
ass
et &
Co
nfi
gu
rati
on
Man
ag
emen
t
Rel
ease
& D
eplo
ymen
t M
ana
gem
ent
Ser
vice
Va
lida
tion
& T
esti
ng
Ch
ang
e E
valu
ati
on
Kn
ow
ledg
e M
ana
gem
ent
Eve
nt
Ma
na
gem
ent
Inci
den
t M
ana
gem
ent
Req
ues
t F
ulf
ilm
ent
Pro
ble
m M
ana
gem
ent
Acc
ess
Ma
nag
emen
t
Op
era
tion
Ma
na
gem
ent
Ser
vice
Mea
sure
men
t
Ser
vice
Rep
ort
ing
7-s
tep
Im
pro
vem
ent
EDM01
EDM02
EDM03
EDM04
EDM05
APO01
APO02
APO03
APO04
APO05
APO06
APO07
APO08
APO09
42
SS SD ST SO CSI
Str
ate
gy
gen
era
tio
n
Ser
vice
po
rtfo
lio
ma
na
gem
ent
Fin
an
cia
l m
ana
gem
ent
for
IT s
ervi
ces
Dem
an
d m
an
ag
emen
t
Bu
sin
ess
Rel
ati
on
ship
Ma
na
gem
ent
Des
ign
Coo
rdin
ati
on
Ser
vice
Ca
talo
gu
e M
an
ag
emen
t
Ser
vice
Lev
el M
an
ag
emen
t
Ava
ilab
ilit
y M
an
ag
emen
t
Ca
pa
city
Man
ag
emen
t
IT S
ervi
ce C
on
tin
uit
y M
ana
gem
ent
Info
rma
tion
Sec
uri
ty M
an
ag
emen
t
Su
pp
lier
Man
ag
emen
t
Tra
nsi
tio
n P
lan
nin
g &
Su
pp
ort
Ch
ang
e M
ana
gem
ent
Ser
vice
ass
et &
Co
nfi
gu
rati
on
Man
ag
emen
t
Rel
ease
& D
eplo
ymen
t M
ana
gem
ent
Ser
vice
Va
lida
tion
& T
esti
ng
Ch
ang
e E
valu
ati
on
Kn
ow
ledg
e M
ana
gem
ent
Eve
nt
Ma
na
gem
ent
Inci
den
t M
ana
gem
ent
Req
ues
t F
ulf
ilm
ent
Pro
ble
m M
ana
gem
ent
Acc
ess
Ma
nag
emen
t
Op
era
tion
Ma
na
gem
ent
Ser
vice
Mea
sure
men
t
Ser
vice
Rep
ort
ing
7-s
tep
Im
pro
vem
ent
APO10
APO11
APO12
APO13
BAI01
BAI02
BAI03
BAI04
BAI05
BAI06
BAI07
BAI08
BAI09
BAI10
DSS01
DSS02
DSS03
43
SS SD ST SO CSI
Str
ate
gy
gen
era
tio
n
Ser
vice
po
rtfo
lio
ma
na
gem
ent
Fin
an
cia
l m
ana
gem
ent
for
IT s
ervi
ces
Dem
an
d m
an
ag
emen
t
Bu
sin
ess
Rel
ati
on
ship
Ma
na
gem
ent
Des
ign
Coo
rdin
ati
on
Ser
vice
Ca
talo
gu
e M
an
ag
emen
t
Ser
vice
Lev
el M
an
ag
emen
t
Ava
ilab
ilit
y M
an
ag
emen
t
Ca
pa
city
Man
ag
emen
t
IT S
ervi
ce C
on
tin
uit
y M
ana
gem
ent
Info
rma
tion
Sec
uri
ty M
an
ag
emen
t
Su
pp
lier
Man
ag
emen
t
Tra
nsi
tio
n P
lan
nin
g &
Su
pp
ort
Ch
ang
e M
ana
gem
ent
Ser
vice
ass
et &
Co
nfi
gu
rati
on
Man
ag
emen
t
Rel
ease
& D
eplo
ymen
t M
ana
gem
ent
Ser
vice
Va
lida
tion
& T
esti
ng
Ch
ang
e E
valu
ati
on
Kn
ow
ledg
e M
ana
gem
ent
Eve
nt
Ma
na
gem
ent
Inci
den
t M
ana
gem
ent
Req
ues
t F
ulf
ilm
ent
Pro
ble
m M
ana
gem
ent
Acc
ess
Ma
nag
emen
t
Op
era
tion
Ma
na
gem
ent
Ser
vice
Mea
sure
men
t
Ser
vice
Rep
ort
ing
7-s
tep
Im
pro
vem
ent
DSS04
DSS05
DSS06
MEA01
MEA02
MEA03
44
Pemetaan proses COBIT 5 dan ITIL v3 dapat dirangkum menjadi bentuk sederhana
seperti yang diperlihatkan oleh Tabel V.5.
Tabel V.5 Rangkuman pemetaan proses COBIT 5 dan ITIL v3.
Proses Tata
Kelola
(COBIT 5)
Proses Manajemen Layanan TI
(ITIL v3)
EDM01
*) Dimasukkan ke dalam lingkup proses dengan pertimbangan tata kelola
menyeluruh
EDM02
EDM03
EDM04
EDM05
APO01 [SD] Design Coordination
[CSI] 7-step Improvement
APO02 [SS] Strategy generation
APO05 [SS] Service Portfolio Management
APO06 [SS] Financial management for IT services
APO08 [SS] Demand management
[SS] Business Relationship Management
APO09 [SS] Service Portfolio Management
[SS] Demand management
[SD] Service Catalogue Management
[SD] Service Level Management
[CSI] Service Reporting
APO10 [SD] Supplier Management
APO12 [SD] Information Security Management
APO13 [SD] Information Security Management
BAI01 [SD] Design Coordination
BAI04 [SD] Availability Management
[SD] Capacity Management
BAI06 [ST] Change Management
BAI07 [ST] Transition Planning & Support
[ST] Release & Deployment Management
[ST] Service Validation & Testing
[ST] Change Evaluation
BAI08 [ST] Knowledge Management
BAI09 [ST] Service asset & Configuration Management
BAI10 [ST] Service asset & Configuration Management
DSS01 [SO] Event Management
[SO] Operation Management
DSS02 [SO] Incident Management
[SO] Request Fulfilment
DSS03 [SO] Problem Management
DSS04 [SD] IT Service Continuity Management
MEA01 [CSI] Service Measurement
[CSI] Service Reporting
45
5.1.4 Penilaian Prioritas Risiko
Penilaian prioritas risiko merupakan salah satu cara penentuan lingkup keamanan
informasi yang diambil dari subbab 5.1 butir 2. COBIT 5 for Risk digunakan untuk
mengidentifikasi daftar risiko yang ada di organisasi berdasarkan risiko generik
pada suatu enterprise. ISO/IEC 31000:2009 digunakan untuk menentukan level
dari risiko yang telah diidentifikasi oleh COBIT 5 for Risk. Hal selanjutnya yang
dilakukan adalah menentukan benefit/cost ratio dari daftar risiko yang telah
diidentifikasi. Perkalian antara level risiko dan benefit/cost ratio menghasilkan nilai
prioritas risiko. Hasil prioritas risiko ini digunakan untuk memetakan prioritas
proses tata kelola yang telah dipilih sebelumnya berdasarkan mitigasi risiko yang
telah dipetakan oleh COBIT 5 for Risk. Tabel V.6 menunjukkan contoh hasil
identifikasi daftar risiko yang terdapat di organisasi.
Tabel V.6 Penilaian prioritas risiko.
No. Kategori Risiko Kemungkinan
[1..5]
Dampak
[1..5]
Level
[R,M,T]
B/C Ratio
[R,M,T]
Prioritas
[R,M,T]
1 Penyusunan dan
pemeliharaan
portofolio
2 Manajemen siklus
hidup p
Top Related