BAB 4 PEMBAHASAN - library.binus.ac.idlibrary.binus.ac.id/eColls/eThesisdoc/Bab4/TSA-2016-0090 IV.pdf · existing dari penerapan business continuity plan dan disaster recovery plan

77

BAB 4

PEMBAHASAN

4.1 Pemetaan ISO 22301 Terhadap Business Continuity

Plan dan Disaster Recovery Plan Pada Lembaga

Negara XYZ

Pemetaan ISO 22301 terhadap business continuity plan dan disaster

recovery plan pada Lembaga Negara XYZ bertujuan untuk mengetahui kondisi

existing dari penerapan business continuity plan dan disaster recovery plan yang

telah dilakukan Lembaga Negara XYZ sejauh ini berdasarkan ISO 22301.

Dimana hasil pemetaan tersebut sebagai acuan dalam melakukan perancangan

business continuity plan dan disaster recovery plan yang akan dilakukan dalam

penelitian ini.

Hasil pemetaan ISO 22301 terhadap business continuity plan dan disaster

recovery plan pada Lembaga Negara XYZ diperoleh dari proses wawancara dan

proses analisa kondisi existing dari kondisi teknologi informasi Lembaga Negara

XYZ saat ini, dimana hasil pemetaan tersebut adalah sebagai berikut:

Tabel 4. 1 Pemetaan Kondisi Perusahaan dengan ISO 22301

No ISO 22301 Siklus

PDCA Y/N Keterangan

Clause 4: Context of the organization

1 Apakah perusahaan telah

melakukan identifikasi

terkait Kegiatan organisasi,

fungsi, layanan, produk,

kemitraan, rantai pasokan,

hubungan dengan pihak yang

Plan N Belum ada proses analisa

risko terkait dengan

kegiatan operasional,

fungsi, layanan, produk,

kemitraan, rantai pasokan,

hubungan dengan pihak

78

No ISO 22301 Siklus

PDCA Y/N Keterangan

berkepentingan, dengan

dampak potensial terkait

dengan insiden yang akan

mengganggu bisnis

perusahaan?

yang berkepentingan pada

Lembaga Negara XYZ.

Analisa risiko yang ada

baru bersifat mandatory

saja seperti pemisahaan

user access atau

penerapan physical

security tetapi belum

terdokumentasi secara

legal baru berupa inisiatif

dari unit terkait saja.



terkait hubungan antara

kebijakan kelangsungan

bisnis dan tujuan organisasi

dan kebijakan lainnya,

termasuk strategi manajemen

risiko secara keseluruhan?

Plan N Lembaga Negara XYZ

belum memiliki kebijakan

kelangsungan bisnis,

masih berupa

perencanaan yang

tertuang pada tata kelola

TI Lembaga Negara XYZ



Kebutuhan dan harapan dari

pihak berkepentingan dengan

perusahaan?

Plan Y Lembaga Negara XYZ

sudah melakukan proses

identifikasi kebutuhan

dan harapan dimana

identifikasi tersebut

digunakan untuk

mengetahui apakah yang

dibutuhkan oleh Lembaga

Negara XYZ dalam

melaksanakan prosesnya

berdasarkan strategi yang

telah disusun

4 Apakah perusahaan sudah

menaati hukum, peraturan

dan persyaratan lainnya yang

berlaku di Indoneisa?

Plan Y Lembaga Negara XYZ

sudah menaati peraturan

dan hukum yang berlaku

di Indonesia salah satu

peraturan dan hukum

yang ditaati yaitu

peraturan pemerintah no

60 tahun 2008 terkait

dengan pengendalian

internal.

Clause 5: Leadership

1 Apakah manajemen telah

memastikan Business

Continuity Management

Plan N Belum adanya proses

business continuity pada

Lembaga Negara XYZ,

79

No ISO 22301 Siklus

PDCA Y/N Keterangan

System (BCMS) kompatibel

dengan arah strategis

organisasi?

masih berupa

perencanaan yang

tercantum pada tatakelola

TI perusahaan


mengintegrasikan

persyaratan Business


System (BCMS) ke dalam

proses bisnis organisasi?



Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan


menyediakan sumber daya

yang diperlukan untuk

Business Continuity

Management System

(BCMS)?



Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan


mengkomunikasikan

pentingnya manajemen

kelangsungan bisnis yang

efektif?



Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan


memastikan bahwa Business


System (BCMS) mencapai

hasil yang diharapkan?



Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan


mengarahkan dan

mendukung perbaikan terus-

menerus terkait dengan

BCP?



Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan


menetapkan dan

mengkomunikasikan

kebijakan kelangsungan

bisnis?



Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan

80

No ISO 22301 Siklus

PDCA Y/N Keterangan


memastikan tujuan dan

rencana Business Continuity

Management System

(BCMS) yang ditetapkan?



Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan


memastikan tanggung jawab

dan kewenangan untuk peran

yang ditugaskan?



Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan

Clause 6: Planning

1 Apakah sasaran strategis dan

prinsip-prinsip panduan

untuk Business Continuity

Management System

(BCMS) secara keseluruhan

yang ada sekarang Konsisten

dengan kebijakan

kelangsungan bisnis?



Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan




Management System


yang ada sekarang

memperhitungkan tingkat

minimum produk dan

layanan yang dapat diterima

oleh organisasi untuk

mencapai tujuannya?



Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan




Management System


yang ada sekarang dapat

diukur?



Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan




Management System



Lembaga Negara XYZ,

masih berupa

81

No ISO 22301 Siklus

PDCA Y/N Keterangan


yang ada sekarang dipantau

dan diperbarui sesuai dengan

perkembangan yang ada?

perencanaan yang


TI perusahaan

Clause 7: Support

1 Apakah Pengelolaan

Business Continuity

Management System

(BCMS) menggunakan

sumber daya yang tepat

untuk setiap tugas termasuk

staf yang kompeten dengan

pelatihan yang relevan dan

layanan pendukung,

kesadaran dan komunikasi?



Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan

Clause 8: Operation


melakukan Business Impact

Analysis (BIA) sesuai

dengan yang direncanakan?

Do N Belum adanya proses

business impact analysis

pada Lembaga Negara

XYZ, masih berupa

perencanaan yang


TI perusahaan


melakukan Risk Assessment

sesuai dengan yang

direncanakan?

Do N Belum adanya proses risk

assessment pada Lembaga

Negara XYZ, masih

berupa perencanaan yang


TI perusahaan


melakukan Business

Continuity Strategy sesuai




Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan


melakukan Business

Continuity Procedures sesuai




Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan

82

No ISO 22301 Siklus

PDCA Y/N Keterangan


melakukan exercise and

testing sesuai dengan yang

direncanakan?



Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan

Clause 9: Performance Evaluation


melakukan pemantauan

sejauh mana kebijakan

kelangsungan bisnis

organisasi, tujuan dan

sasaran terpenuhi?

Check N Belum adanya proses


Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan


mengukur kinerja proses,

prosedur dan fungsi yang

melindungi kegiatan yang

diprioritaskan?



Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan

3 Apakah perusahaan

memantau kepatuhan dengan

standar ini dan tujuan

kelangsungan usaha?



Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan. Proses

pemantauan kepatuhan

baru sebatas tata kelola TI

saja belum spesifik ke

proses business continuity

4 Apakah adanya kegiatan

pemantauan bukti sejarah

kinerja kekurangan Business


System (BCMS) dan

melakukan audit internal

pada selang waktu yang

terencana?



Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan

5 Apakah perusahaan

mengevaluasi semua dengan

tinjauan manajemen pada

interval yang direncanakan?



Lembaga Negara XYZ,

masih berupa

83

No ISO 22301 Siklus

PDCA Y/N Keterangan

perencanaan yang


TI perusahaan

Clause 10: Improvement

1 Apakah perusahaan

melakukan peningkatan

proses keamanan dan kontrol

dari hasil evaluasi terkait

dengan tujuan untuk

meningkatkan efektivitas

(mencapai tujuan) dan

efisiensi (biaya optimal /

rasio manfaat) proses BCP

yang ada?

Act N Belum adanya proses


Lembaga Negara XYZ,

masih berupa

perencanaan yang


TI perusahaan

Dari hasil pemetaan tersebut dapat dikesimpulkan bahwa, Lembaga

Negara XYZ belum melaksanan proses business continuity plan secara

keseluruhan masih sebatas perencanaan, dimana dapat terlihat klausul yang sudah

dilakukan oleh Lembaga Negara XYZ hanya klausul 4 poin 3 dan 4 terkait

dengan identifikasi kebutuhan perusahaan dan acuan atau peraturan dan hukum

yang berlaku di Indonesia yang di taati di Lembaga Negara XYZ.

4.2 Perancangan Business Continuity Plan dan Disaster

Recovery Plan Berdasarkan ISO 22301

Dari hasil pemetaan tersebut dapat terlihat bahwa penerapan business

continuity plan pada Lembaga Negara XYZ masih sebatas pada perencanaan

saja, dari hal tersebut maka perancanganan business continuity plan dan disaster

recovery plan berdasarkan klausul yang ada pada ISO 22301 adalah sebagai

berikut:

84

4.2.1 Clause 4: Context of the Organization

Pada tahap ini difokuskan pada perancangan identifikasi asset dan

ancaman terkait dengan teknologi informasi yang mana identifikasi ini digunakan

untuk mendukung proses management risiko yang ada pada Lembaga Negara

XYZ. Dimana tahap ini difokuskan pada bagaimana perusahaan diharapkan

menentukan masalah eksternal dan internal yang relevan dengan tujuan dan yang

mempengaruhi kemampuannya untuk mencapai hasil yang diharapkan dari

Business Continuity Management System (BCMS), dimana perancangan dari

klausul tersebut adalah sebagai berikut:

4.2.1.1 Identifikasi Bisnis dan Layanan Lembaga

Negara XYZ

Pada tahap ini identifikasi binis dan layanan dari perusahaan

dimana binis utama dari Lembaga Negara XYZ adalah sebagai pemeriksa

keuangan terkait dengan pelaksanaa keuangan negara, layanan yang

dimiliki oleh Lembaga Negara XYZ terdiri dari layanan perencanaan,

pelaksanaan, pemeriksaan, dan pemantauan.

4.2.1.2 Tujuan dari Business Continuity Plan dan

Disaster Recovery Plan

Perumusan tujuan dari business continuity plan dan disaster

recovery plan bermaksud untuk memastikan perancangan BCP dan DRP

selaras dengan strategi bisnis dan teknologi informasi perusahaan dan

dapat menunjang visi & misi perusahaan yang telah dirumuskan.

85

Dimana tujuan dari perancangan BCP dan DRP adalah

menentukan sebuah perencanaan dalam melaksanakan sebuah strategi

pemulihan dan mitigasi dari layanan kritikal untuk mencegah terjadinya

risiko dan ancaman yang mungkin terjadi dan juga untuk mendukung

pemulihan layanan bisnis pada saat terjadinya bencana.

Dimana visi & misi perusahaan yang dapat didukung dengan

adanya kegiatan BCP dan DRP adalah sebagai berikut:

1. Memeriksa pengelolaan dan tanggung jawab keuangan negara;

2. Memberikan pendapat untuk meningkatkan mutu pengelolaan dan

tanggung jawab keuangan negara; dan

3. Berperan aktif dalam menemukan dan mencegah segala bentuk

penyalahgunaan dan penyelewengan keuangan negara.

Dimana dari visi & misi tersebut BCP dan DRP dapat

membantu perusahaan untuk memastikan proses pemeriksaan

pengelolaan keuangan negara dapat berjalan dengan baik dan

terminimalisasi dari risiko yang mungkin berdampak besar bagi integitas,

kerahasiaan dan ketersediaan data atau informasi yang menunjang proses

pemeriksaan pengelolaan keuangan negara yang ada.

Disamping itu tujuan dari BCP dan DRP mendukung strategi

bisnis perusahaan sebagai berikut:

1. Mewujudkan pemeriksaan yang bermutu untuk menghasilkan

laporan hasil pemeriksaan yang bermanfaat dan sesuai dengan

kebutuhan pemangku kepentingan; dan

2. Mewujudkan birokrasi yang modern di Lembaga Negara XYZ.

86

Dimana BCP dan DRP dapat membantu perusahaan dalam

mewujudkan sebuah hasil pemeriksaan yang bermutu dengan menjaga

data dan informasi yang ada dengan baik, agar laporan hasil pemeriksaan

tersebut dapat sesuai dengan kenyataan yang ada. Selain itu BCP dan

DRP juga membantu perusahaan untuk mewujudkan birokrasi yang

modern di Lembaga Negara XYZ, dimana dengan adanya BCP dan DRP

ketergantungan teknologi informasi perusahaan akan lebih tinggi dan

perusahaan akan lebih percaya diri dengan teknologi informasi yang telah

diterapkan dengan memenuhi aspek – aspek pengendalian keamanan fisik

dan informasi dan aspek – aspek pemulihan bencana.

Selain visi & misi dan strategi bisnis perusahaan, perancangan

BCP dan DRP juga mendukung strategi teknologi informasi perusahaan

yang antara lain:

1. Terpenuhinya Kebutuhan Pemilik Kepentingan akan TIK

2. Meningkatkan Pemanfaatan TIK

3. Meningkatkan Mutu Pelayanan TI

Dimana BCP dan DRP secara langsung dapat mendukung

strategi teknologi informasi perusahaan, dimana BCP dan DRP dapat

meningkatkan presentase ketersediaan teknologi informasi sesuai dengan

kebutuhan pengguna dengan adanya analisa bisnis impact analysis, hal

tersebut juga dapat meningkatkan pemanfaatan dari teknologi informasi

dan mutu pelayanan dari teknologi informasi dapat meningkat.

87

4.2.1.3 Identifikasi Aset dan Ancaman Terkait

Teknologi Informasi

Tahap ini dilakukan proses identifikasi asset dan ancaman

terkait dengan teknologi informasi, dimana tahap ini dilakukan dengan

tujuan untuk mengetahui asset apa saja yang dimiliki oleh Lembaga

Negara XYZ pada saat ini dan ancaman apa saja yang mungkin terjadi

pada asset yang dimiliki oleh Lembaga Negara XYZ, dimana tujuan dari

identifikasi tersebut untuk menentukan asset kritis yang dimiliki oleh

Lembaga Negara XYZ dan untuk mengetahui seberapa besar potensi

risiko yang akan dihadapi oleh Lembaga Negara XYZ.

Berdasarkan portofolio teknologi informasi pada Lembaga

Negara XYZ, berikut adalah asset – asset yang dimiliki oleh Lembaga

Negara XYZ terkait pelaksanaan teknologi informasi dalam mendukung

layanan yang ada, dimana asset – asset terkait dengan teknologi informasi

yang ada pada Lembaga Negara XYZ tersebut antara lain :

Tabel 4. 2 List Asset TI Pada Lembaga Negara XYZ

Kategori Sub Kategori Contoh

People People - Head Kepala Divisi

People - Supervisor Team Leader, Supervisor

People - Staff Staff

Hardware Hardware - PC PC Operational

Hardware - Notebook Laptop Kantor, Laptop Pribadi

(BYOD)

Hardware - Network

Device

VPN, Switch, HUB, Router

Hardware - Network

Security Device

Firewall, IPS, IDS

Hardware - Server

Production

Server Production

88


Hardware - Sever UAT Server UAT

Software Software - Operating

System

Windows, Linux

Software - Office

Application

MS Office, SQL server, Visual

Studio,

Software - Business

Application

Sistem Manajemen

Pemeriksaan,Sistem Aplikasi

Pemeriksaan, System Audit,

Sistem Informasi Sumber Daya

Manusia, Sistem Informasi

Pendidikan dan Latihan , Sistem

Informasi Pelayanan Teknologi

Informasi, Sistem Manajemen

Kinerja, Aplikasi Rencana

Kegiatan Setjen & Penunjang,

Sentra Informasi Satuan Kerja,

Sistem Informasi Perpustakaan,

Aplikasi Jaringan Dokumentasi

& Informasi Hukum, Pusat

Informasi Satuan Kerja, Aplikasi

Persuratan, SIMAK BMN,

Aplikasi Manajemen Aset,

Sistem Informasi Tagihan,

Sistem Informasi Keuangan,

Sistem Informasi Pemantauan

Tindak Lanjut, SMP - Modul

RKP, SMP – Modul Bahan

IHPS, Sistem Informasi Kantor

Akuntan Publik, Sistem

informasi Pertimbangan

Lembaga Negara XYZ, Sistem

Informasi Pendapat Lembaga

Negara XYZ

Software - Support

Application

Email, Data Management

System, Layanan Kolaborasi,

Instant Messaging

Information Information - Softcopy Semua Data dan informasi yang

disimpan di perangkat

Information - Hardcopy Semua informasi yang dcetak

atau print out

Utility Utility - Elictricity Genset, UPS dan seluruh

kelengkapanya

Utility - Security System CCTV, Access, FM200, APAR,

Evacuation sign, Emergency exit

door lamp

89


Utility - Supporting Air Cooling, Water Cooling,

Cooling Tower, Water Leakage

Detector, Panel, Termometer,

Hygrometer dan seluruh

kelengkapanya

Third Party

Service

3rd Party Service -

Maintenance

Vendor infra, Vendor IS security

3rd Party Service -

Outsourcing

Outsource Personel Vendor

3rd Party Service -

Data/Connection

ISP Vendor, Communication

Vendor

Intangible Asset Intangible - Reputasi Nama baik

Intangible - Knowledge

Karyawan

Kekayaan intelektual karyawan

Berdasarkan list asset diatas berikut adalah ancaman yang

berpotensi muncul yang dapat mengancam keberlangsungan asset – asset

tersebut dalam mendukung bisnis dari Lembaga Negara XYZ, dimana

ancaman tersebut antara lain:

Tabel 4. 3 List Ancaman dari Aset TI

No Kategori Contoh

1 Reliability Kegagalan fungsi hardware/infrastruktur, Kegagalan

fungsi software, kegagalan komunikasi data, kegagalan

fungsi server Aplikasi Error, Ketidaktersediaan SDA yang

Memadai, data tidak dapat diakses

2 Local Disturbance

Kebakaran, Mati Listrik, Pencurian, kerusuhan

3 Wide Disaster

Gempa Bumi, Banjir, Badai, Tsunami, Wabah penyakit

4 Malicious Virus, malware

5 Vendor Suply Jaringan down, Kontrak habis, server down

90

4.2.1.4 Identifikasi Risiko Berdasarkan Aset

Teknologi Informasi (Confidetiality, Integrity,

dan Availability)

Berdasarkan list asset diatas dan list ancaman diatas berikut

adalah identifikasi risiko terkait dengan asset dan ancaman tersebut

dengan memperhatikan aspek confidentiality, integrity dan availability.

Dimana acuan klausul yang digunakan pada ISO 22301 dalam melakukan

identifikasi risiko tersebut adalah Clause 8: Operation. Selain itu proses

identifikasi risiko melihat berapa besar impact yang tercipta dari potensi

risiko tersebut apabila terjadi pada Lembaga Negara XYZ dan seberapa

sering potensi risiko tersebut terjadi pada Lembaga Negara XYZ

(Probability).

Dari hal tersebut berikut adalah kriteria impact dari proses

identifikasi risiko pada Lembaga Negara XYZ:

Tabel 4. 4 Kriteria Impact

Scale Level Impact Category

Performance Operational

1 Low Menyebabkan sedikit gangguan

pada fungsi sistem untuk

melakukan proses, terapi tidak

signifikan

Maksimum toleransi waktu

aktifitas operational terhenti

lebih dari 24 jam

2 Medium Menyebabkan penurunan

kinerja (delay) antara 25% -

50% dari fungsi operasional



24 jam

3 High Meyebabkan kegagalan

sebagian besar atau kebih dari

50% dari fungsi operasional



8 jam

91

Dan berikut adalah kriteria probability dari proses identifikasi

risiko pada Lembaga Negara XYZ:

Tabel 4. 5 Kriteria Probability

Scale Level Probability Category

Frequency

1 Low Sangat Jarang dalam 3 tahun terakhir

2 Medium Beberapa Kali dalam 3 tahun terakhir

3 High Sering terjadi dalam 3 tahun terakhir

Dari kriteria impact dan probability tersebut dilakukan

identifikasi risiko yang ada pada asset teknologi informasi untuk

mengetahui berapa tingkat risiko dari masing – masing asset yang

dimiliki oleh Lembaga Negara XYZ dan potensi risiko yang mungkin

terjadi pada Lembaga Negara XYZ, dimana hasil dari indentifikasi risiko

tersebut terdapat pada bagian lampiran.

4.2.1.5 Analisa Risiko Berdasarkan Aset Teknologi

Informasi

Setelah dilakukan identifikasi risiko berdasarkan asset teknlogi

informasi yang ada pada perusahaan, dilakukan sebuah analisis risiko

yang bertujuan untuk mengetahui risk level dari tiap – tiap risk Id yang

telah diidentifikasi. Dimana penentuan risk level adalah sebagai berikut:

a. Nilai overall dari risk Id 1 – 2 masuk kedalam level low.

b. Nilai overall dari risk Id 3 – 6 masuk kedalam level medium.

c. Nilai overall dari risk Id 7 – 9 masuk kedalam level high.

92

Dimana setelah itu akan diketahui asset mana yang termasuk

asset kritis perusahaan yang perlu ditangani secara serius terkait dengan

potensi risiko yang mungkin terjadi, dimana yang termasuk asset kritis

adalah asset yang memiliki risk level high.

Dari hasil identifikasi risiko tersebut yang termasuk asset kritis

atau asset yang memiliki risk level high terdapat 4 asset yang mana asset

tersebut antara lain:

Tabel 4. 6 Aset Risk Level High

Hasil dari identifikasi rsiiko, asset yang memiliki risk level

medium sebanyak 11 asset yang mana asset tersebut antara lain:

Tabel 4. 7 Aset Risk Level Medium

93

Hasil dari identifikasi rsiiko, asset yang memiliki risk level low

sebanyak 8 asset yang mana asset tersebut antara lain:

Tabel 4. 8 Aset Risk Level Low

4.2.1.6 Rencana Mitigasi Risiko Berdasarkan Analisa

Risiko

Dari hasil analisi tersebut dilakukan sebuah mitigasi risiko

dimana mitigasi risiko kelompokan berdasarkan risk level dari hasil

analisis risiko yang telah dilakukan diatas. Dimana pengelompokan

tersebut bertujuan untuk menentukan prioritas mitigasi risiko yang akan

dilakukan.

Dimana mitigasi risiko tersebut diprioritaskan pada asset

dengan risk level high terlebih dahulu, dikarenakan asset tersebut adalah

asset kritis yang dimiliki perusahaan dimana asset tersebut apabila terkena

potensi risiko akan berdampak besar bagi keberlangsungan binsis

perusahaan dan menyebabkan terganggunya kegiatan operasional

perusahaan.

94

Setelah itu mitigasi risiko dilakukan kepada asset dengan risk

level medium dimana asset dengan risk level medium juga perlu

diprioritaskan, namun proses mitigasi risiko untuk asset yang masuk

dalam kategori ini akan dilakukan setelah proses mitigasi risiko pada

asset dengan risk level high sudah dilakukan mitigasi risiko, dimana asset

ini juga mempengaruhi keberlangsungan bisnis tetapi tidak berdampak

besar apabila terkena potensi risiko.

Apabila sudah dilakukan mitigasi risiko pada risk level high

dan medium, manajemen juga perlu melakukan mitigasi risiko dengan

risk level low tetapi untuk asset yang masuk kategori ini mitigasi risiko

yang diterapkan hanya untuk optional saja, dimana apabila mitigasi risiko

diterapkan baik bagi perusahaan tetapi apabila tidak diterapkan

perusahaan tetap dapat menjalankan keberlangsungan bisnis, karena

dampak apabila risiko ini terjadi pada pada perusahaan kecil atau dapat

diartikan tidak berdampak besar bagi perusahaan.

Dimana hasil dari mitigasi risiko tersebut terdapat pada bagian

lampiran dimana mitigasi tersebut dikelompokan berdasarkan risk level

dari masing – masing asset yang ada.

4.2.1.7 Identifikasi Layanan Yang Didukung Oleh

Teknologi Informasi

Berdasarkan hasil identifikasi tersebut berikut adalah layanan –

layanan yang didukung oleh teknologi informasi dalam melaksanakan

prosesnya, dimana layanan tersebut akan terganggu apabila teknologi

95

informasi mengalami ancaman atau kerusakan. Layanan tersebut antara

lain:

Tabel 4. 9 List Layanan Yang Didukung Oleh Teknologi informasi

Pada Lembaga Negara XYZ

Dari list layanan tersebut berikut kriteria penentuan dampak

bisnis apabila layanan tersebut atau teknologi informasi yang mendukung

layanan tersebut mendapatkan ancaman atau bencana, kriteria tersebut

antara lain:

Tabel 4. 10 Kriteria Dampak Bisnis Terhadap Layanan

Aspek Kriteria

High (3) Medium (2) Low(1)

Gangguan Operasional Maksimum

toleransi waktu

aktifitas

operational

terhenti 8 jam

Maksimum

toleransi waktu

aktifitas

operational

terhenti 24 jam

Maksimum

toleransi waktu

aktifitas

operational

terhenti lebih

96

Aspek Kriteria

High (3) Medium (2) Low(1)

dari 24 jam

Reputasi Perusahaan -komplain dari

beberapa pihak

terperiksa yang

menyebabkan

tidak percaya

lagi dengan hasil

pemeriksaan

perusahaan

- Terpublikasi di

media formal

dan/atau media

sosial

Komplain dari

salah satu pihak

terperiksa yang

menyebabkan

tidak percaya

lagi dengan hasil

pemeriksaan

perusahaan

Komplain dari

salah satu pihak

terperiksa yang

tetapi masih

mempercayai

hasil

pemeriksaan

perusahaan

Legal & Regulatory - Isu berakibat

tuntutan

hukum/denda

dan

mengakibatkan

pencabutan ijin

usaha, atau

- Terganggunya

kondisi politik

negara

- Isu berakibat

tuntutan

hukum/denda

dan

mengakibatkan

mendapatkan

peringatan dari

regulator

Issue berkaibat

dispute dengan

instasi lain

Dari kriteria tersebut berikut pemetaan layanan yang didukung

oleh teknologi informasi dengan kriteria dampak bisnis yang telah

ditentukan diatas:

Tabel 4. 11 Pemetaan Layanan Dengan Kriteria Dampak Bisnis

Dari hal tersebut dapat dianalisis layanan yang paling kritis

apabila terkena ancaman atau bencana adalah layanan dengan ID-01 yaitu

layanan pemeriksaan dimana ini adalah layanan inti dari perusahaan.

97

Hasil dari analisis ini akan dijadikan sebuah prioritasi penanganan pada

saat adanya ancaman atau bencana terjadi.

4.2.1.8 Perancangan Business Impact Analysis (BIA)

dari Layanan Yang Didukung Oleh Teknologi

Informasi

Dari hasil identifikasi layanan yang bergantung dengan

teknologi informasi tersebut berikut adalah hasil perancangan business

impact analysis dari layanan – layanan tesebut. Dimana pernyusunan

business impact analysis ditujukan untuk menentukan berapa lama

layanan tersebut bisa berlangsung kembali menjalankan bisnisnya pada

saat bencana atau ancaman terjadi.

Penyusunan business impact analysis didasari oleh kebutuhan

perusahaan terkait dengan layanan tersebut dan kondisi teknologi

informasi yang dimiliki perusahaan saat ini. Berikut perancayanan bisnis

impact analysis dari layanan – layanan yang ada:

Tabel 4. 12 Business Impact Analysis Dari Layanan Lembaga Negara

XYZ

98

4.2.2 Clause 5: Leadership

Pada tahap ini dilakukan difokuskan pada perancangan tujuan dari

business continuity plan dan disaster recovery plan dan prancangan peran dan

tanggung jawab dari management agar tercipta sebuau komitmen terus menerus

untuk business continuity plan dan disaster recovery plan, Dimana peran dan

tanggung jawab tersebut dirancang untuk membentuk sebuah kepemimpinan dan

tindakan dari manajemen untuk dapat menciptakan suatu lingkungan di mana

aktor yang berbeda sepenuhnya terlibat dan di mana sistem manajemen dapat

beroperasi secara efektif dalam sinergi dengan tujuan organisasi terkait dengan

kegiatan business continuity plan yang ada. Dimana perancangan dari klausul

tersebut adalah sebagai berikut:

4.2.2.1 Peran dan Tanggung Jawab Manajemen

Peran dan tanggung jawab manajemen dibangun untuk

meningkatkan commitment manajemen terkait dengan peracangan

kegiatan BCP dan DRP dapat berjalan dengan baik, dimana peran dan

tanggung jawab ini disusun untuk membentuk sebuah kepemimpinan

yang dapat mengawal proses BCP dan DRP agar berjalan dengan efektif.

Dimana perancangan peran dan tanggung jawab manajemen

disusun dengan membentuk sebuah komite yaitu BC committee steering

yang beranggotakan satu atau lebih direktur dari perusahaan tersebut,

dimana peran dan tanggung jawab dari BC committee steering antara

lain:

99

1. Sebagai salah satu komite/dewan pengarah dari pengambil

keputusan utama dalam perusahaan

2. Memastikan Business Continuity Plan kompatibel dengan

arah strategis organisasi,

3. Mengintegrasikan persyaratan Business Continuity Plan ke

dalam proses bisnis organisasi,

4. Menyediakan sumber daya yang diperlukan untuk Business

Continuity plan,

5. Mengkomunikasikan pentingnya manajemen kelangsungan

bisnis yang efektif,

6. Memastikan bahwa Business Continuity plan mencapai hasil

yang diharapkan,

7. Mengarahkan dan mendukung perbaikan terus-menerus,

8. Menetapkan dan mengkomunikasikan kebijakan


9. Memastikan tujuan dan rencana Business Continuity

Management System (BCMS) yang ditetapkan,

10. Memastikan tanggung jawab dan kewenangan untuk peran

yang ditugaskan.

11. Bertanggung jawab secara keseluruhan terhadap pengarahan

dan pengawasan proses – proses pengelolaan business

continuity

12. Mendeklarasikan status darurat berdasarkan laporan hasil

kajian awal dampak bencana

100

13. Menetapkan aktivasi maupun deaktivasi BCP

4.2.3 Clause 6: Planning

Pada tahap ini dilakukan difokuskan pada perancangan sasaran strategis

dan prosedur - prosedur panduan untuk business continuity plan dan disaster

recovery plan secara keseluruhan, dimana tujuan dari perancangan ini agar dapat

memastikan kegiatan business continuity plan dan disaster recovery dapat

berjalan sesuai dengan tujuan yang telah direncakanan diawal dan berjalan secara

baik dan efektif untuk dapat membantu kelangsungan layanan bisnis perusahaan.

Dimana perancangan pada klausul ini adalah sebagai berikut:

4.2.3.1 Perancangan Bussines Continuity Strategy

dari Hasil Indentifikasi Risiko dan

Penyusunan Bussines Impact Analysis (BIA)

Perancangan business continuity strategy disusun dengan

melihat hasil identifikasi risiko dan penyusunan business impact analysis

yang telah dilakukan diatas, dimana perancangan business continuity

strategy disusun berdasarkan hasil mitigasi risiko berdasarkan analisa

risiko yang telah dilakukan diatas, dimana hal ini disusun dengan tujuan

untuk menjaga kelangsungan bisnis dan menurunkan potensi risiko yang

akan muncul pada saat risiko tersebut muncul. Dimana tahap ini

mengacu pada sub bab 4.2.1.4 Rencana Mitigasi Risiko Berdasarkan

Analisa Risiko dan subab bab 4.2.1.6 Perancangan Business impact

analysis (BIA) dari layanan yang didukung oleh teknologi informasi.

101

Dimana rencana dari mitigasi risiko tersebut harus dijalankan

sesuai dengan level risiko yang ada, dimana pelaksanaan mitigasi risiko

difokuskan pada asset yang mempunyai level risiko high dan medium

terlebih dahulu yang kemudian disusul dengan asset yang mempunyai

level risiko low, dimana hal ini bertujuan agar asset kritis pada

perusahaan dapat terminimalisasi risiko dan dapat terus menerus

menunjang layanan binis perusahaan.

Disamping itu perancangan businsess continuity strategy

disusun berdasarkan business impact analysis yang mana hal ini

bertujuan agar proses pemulihan pada saat bencana terjadi memakan

waktu sesuai dengan kebutuhan layanan atau layanan kritis yang telah

ditentukan diawal.

102

4.2.3.2 Perancangan Bussines Continuity

Procedure

Perancangan bussines continuity plan procedure disusun

dengan tujuan untuk menjelaskan bagaimana proses aktifasi dan proses

deaktifasi BCP tersebut dilakukan pada perusahaan. Dimana bussines

continuity plan procedure adalah sebagai berikut:

Gambar 4. 1 Business Continuity Procedure

4.2.3.3 Perancangan Training Plan dan Testing Plan

dari Bisnis Continuity Plan

Perancangan training plan disusun dengan tujuan agar

kegiatan proses bussines continuity plan dapat berjalan dengan baik

sesuai dengan yang direncanakan diatas sesuai dengan business

continuity strategy dan bussines continuity plan procedure yang telah

disusun diatas. Dimana training plan dilakukan secara periodik setahun

sekali kepada seluruh karyawan pada perusahaan.

Dimana proses training dilakukan dengan memberikan

sebuah security awareness dan sosialisasi mengenai pentingnya business

103

continuity dan tindakan apakah yang harus dilakukan pada saat bencana

tersebut terjadi.

Testing plan dirancang dengan tujuan untuk memastikan

skenario – skenario yang disusun dapat berjalan dengan baik, dimana

testing plan dilakukan untuk mengetahui berapa lama waktu yang

dikonsumsi untuk membuat layanan tersebut kembali kekondisi normal

dan dapat digunakan kembali secara normal.

4.2.3.4 Perancangan Disaster Recovery Plan

Perancangan disaster recovery plan disusun berdasarkan

layanan yang ada pada Lembaga Negara XYZ dengan memperharikan

scenario – scenario yang mungkin terjadi pada saat bencana tersebut

terjadi dan rencana pemulihan yang akan dilakukan pada saat ancaman

tersebut terjadi sesuai dengan scenario yang ada dengan memperhatikan

business impact analysis tersebut. Dimana scenario tersebut antara lain:

a. Scenario 1 adalah ancaman menyebabkan ketiadaan SDM

untuk menjalankan kegiatan operasional.

b. Scenario 2 adalah ancaman menyebabkan ketiadaan

infrastruktur seperti gedung & fasilitas pendukung, perangkat

keras yang digunakan dalam menjalankan kegiatan

operasional.

c. Scenario 3 adalah ancaman menyebabkan ketiadaan akses,

data maupun aplikasi untuk menjalankan kegiatan

operasional.

104

Dari scenario tersebut, berikut mapping dari ancaman yang

mungkin terjadi yang telah diidentifikasi pada sub bab 4.1 Identifikasi

asset dan ancaman terkait teknologi informasi dengan scenario yang

mungkin terjadi diatas:

Tabel 4. 13 Pemetaan Ancaman yang Mungkin Terjadi

Dari hal tersebut berikut rancangan business continuity

strategy berdasarkan layanan yang ada pada Lembaga Negara XYZ:

Tabel 4. 14 Strategi Pemulihan

4.2.3.5 Perancangan Metode Aktivasi Disaster

Recovery (Switch Over)

Perancangan metode aktivasi disaster recovery disusun

untuk menjelaskan bagaimana proses switch over pada saat bencana

105

tersebut terjadi, dimana proses switch over tersebut bertujuan untuk

mengaktifkan infrastruktur backup agar dapat digunakan pada saat lokasi

production terjadi gangguan atau bencana.

Dimana proses aktivasi disaster recovery (switch over)

dibagi menjadi dua yaitu adalah aktivasi disaster recovery (switch over)

secara terencana dan aktivasi disaster recovery (switch over) pada saat

terjadinya masalah atau emergency, dimana aktivasi disaster recovery

(switch over) secara terencana digunakan untuk mengetes server disaster

recovery apakah dapat berjalan dengan baik dan untuk menghitung waktu

yang dibutuhkan untuk switch over ke server disaster recovery.

Proses aktivasi disaster recovery (switch over) secara

terencana sebagai berikut:

Gambar 4. 2 Aktivasi Disaster Recovery (Switch Over) Secara Terencana

106

Proses aktivasi disaster recovery (switch over) secara

emergency sebagai berikut:

Gambar 4. 3 Disaster Recovery (Switch Over) Secara Emergency

4.2.3.6 Perancangan Testing Plan dari Disaster

Recovery Plan

Perancangan testing plan dirancang dengan selaras dengan

testing plan pada business continuity plan, dimana tujuan dari testing

plan ini sama seperti pada testing plan pada business continuity plan

yaitu untuk memastikan proses disaster recovery plan dapat berjalan

dengan baik dan untuk mengetahui berapa lama waktu yang

dikonsumsi untuk membuat layanan tersebut kembali kekondisi

normal dan dapat digunakan kembali secara normal.

4.2.4 Clause 7: Support

Pada tahap ini dilakukan difokuskan pada perancangan pengelolaan

business continuity plan dan disasater recovery plan yang efektif bergantung

pada menggunakan sumber daya yang tepat untuk setiap tugas termasuk staf yang

107

kompeten dengan pelatihan yang relevan dan layanan pendukung, kesadaran dan

komunikasi, dimana hal ini bertujuan agar proses BCP dan DRP dapat ditangani

dengan baik dan efektif oleh unit dan staf yang berkompeten sesuai dengan

perencanaan tujuan BCP diawal. Dimana perancangan dari kalusul ini adalah

sebagai berikut:

4.2.4.1 Perancangan Bussines Continuity

Organization

Berikut rancangan dari business continuity organization

berdasarkan buissines continuity strategy diatas, dimana perancangan

business continuity organization disusun berdasarkan kondisi struktur

organisasi perusahaan, yang mana tujuan dari perancangan business

continuity organization untuk memastikan kegiatan dari business

continuity plan dapat berjalan dengan baik dan ditangani oleh orang –

orang yang berkompeten sesuai dengan unit – unit yang

berkepentingan dengan masing – masing layanan tersebut.

108

Dimana business continuity organization adalah sebagai

berikut:

Gambar 4. 4 Struktur Organisasi BCP

Dari business continuity organization berikut pemetaan

peran dari business continuity organization tersebut:

Tabel 4. 15 Pemetaan Peran Struktur Organisasi BCP

109

Dari pemetaan tesebut berikut adalah tanggung jawab dari

masing – masing peran pada business continuity organization, antara

lain:

a. BC Steering Committee

1. Sebagai salah satu komite/dewan pengarah dari pengambil

keputusan utama dalam perusahaan

2. Memastikan Business Continuity Plan kompatibel dengan

arah strategis organisasi,

3. Mengintegrasikan persyaratan Business Continuity Plan ke

dalam proses bisnis organisasi,

4. Menyediakan sumber daya yang diperlukan untuk Business

Continuity plan,

5. Mengkomunikasikan pentingnya manajemen kelangsungan

bisnis yang efektif,

6. Memastikan bahwa Business Continuity plan mencapai hasil

yang diharapkan,

7. Mengarahkan dan mendukung perbaikan terus-menerus,

8. Menetapkan dan mengkomunikasikan kebijakan


9. Memastikan tujuan dan rencana Business Continuity

Management System (BCMS) yang ditetapkan,

10. Memastikan tanggung jawab dan kewenangan untuk peran

yang ditugaskan.

110

11. Bertanggung jawab secara keseluruhan terhadap pengarahan

dan pengawasan proses – proses pengelolaan business

continuity

12. Mendeklarasikan status darurat berdasarkan laporan hasil

kajian awal dampak bencana

13. Menetapkan aktivasi maupun deaktivasi BCP

b. BC Coordinator

1. Sebagai koordinator utama dalam pengelolaan seluruh proses

business impact analysis, risk assessment, penentuan strategi,

pelatihan BCP dan testing BCP

2. Mengkoordinasikan pengaktifan BCP berdasarkan ketetapan

BC Steering Committee

3. Mengkoordinasikan proses pemulihan

4. Memastikan proses pengembalian ke kondisi normal dapat

dilakukan sesuai dengan business impact analysis yang telah

ditetapkan

5. Memberikan sosialisasi kepada seluruh stakeholder tentang

pelaksanaan business continuity plan di lingkungan internal

perusahaan

6. Membuat laporan ringkasan BCP

111

c. Operational Team

1. Melakukan operasional untuk penyediaan layanan pada saat

kondisi darurat

2. Bertanggung jawab melaksanakan operasional layanan sesuai

dengan persyaratan minimum yang disepakati didalam

business impact analysis

d. Emergency Response Team

a. Sebagai koordinator utama dalam inisiasi respon pada saat

terjadi bencana, yang fokus pada penyelamatan jiwa manusia

dan aset penting perusahaan.

b. Bertanggung jawab melakukan perencanaan maupun

pelaksanaan aktifitas tanggap darurat

c. Melakukan evaluasi dan bantuan medis pada kondisi darurat

d. Melakukan sosialisasi aktifitas tanggap darurat kepada

karyawan melalui berbagai media

e. Damage Assessment Team

1. Betanggung jawab melakukan penilaian awal mengenai

dampak kerusakan yang terjadi pada layanan yang ada di

perusahaan.

112

f. Recovery Team

1. Sebagai koordinator utama dalam melakukan pemulihan

2. Melakukan konfigurasi hardware, software, network, dan

komponen non TI

3. Sebagai koordinator utama dalam melakukan pemulihan dan

pengembalian ke kondisi normal

4. Melakukan koordinasi dengan vendor

g. Communication Team

1. Sebagai coordinator utama dan juru bicara perusahaan dalam

melakukan komunikasi pada saat kondisi darurat

2. Bertanggung jawab dalam kegiatan komunikasi internal

maupun eksternal perusahaan pada saat terjadi kondisi darurat

h. Support Team

1. Bertanggung jawab terhadap perencanaan maupun

pengelolaan SDM yang dibutuhkan untuk mendukung proses

business continuity

2. Memberikan fasilitas pelatihan – pelatihan untuk mendukung

proses – proses business continuity

3. Sebagai koordinator utama dalam penyediaan dukungan

keuangan pada proses – proses business continuity

4. Sebagai koordinator utama dukungan penyediaan fasilitas –

fasilitas kantor

113

4.2.4.2 Perancangan Bussines Continuity Call

Tree

Adapun selain struktur organisasi tersebut, pada klausul ini

juga disusun berupa call tree yang berisikan contact person dari

masing – masing anggota dari struktur organisasi tersebut dimana hal

ini bertujuan untuk memudahkan eskalasi pada saat bencana terjadi

dan setiap tahunya call tree tersebut harus diperbahuri untuk

mengatisipasi adanya pergantian PIC, alamat ataupun no telepon,

dimana penyusunan call tree sebagai berikut:

Tabel 4. 16 Contoh Business Continuity Plan Call Tree

114

4.2.4.3 Perancangan Bussines Continuity Vendor

List

Pada klausul ini juga disusun sebuah list vendor yang

mana list ini digunakan untuk mempermudahkan proses eskalasi

dengan vendor pada saat terjadi masalah dan list ini harus

diperbaharui setiap tahunnya agar perubahan yang terjadi tercatat dan

dapat digunakan pada saat terjadi bencana, dimana contoh list tersebut

adalah sebagai berikut:

Tabel 4. 17 Contoh List Vendor

BAB 4 PEMBAHASAN - library.binus.ac.idlibrary.binus.ac.id/eColls/eThesisdoc/Bab4/TSA-2016-0090 IV.pdf · existing dari penerapan business continuity plan dan disaster recovery plan

Documents