77 BAB 4 PEMBAHASAN 4.1 Pemetaan ISO 22301 Terhadap Business Continuity Plan dan Disaster Recovery Plan Pada Lembaga Negara XYZ Pemetaan ISO 22301 terhadap business continuity plan dan disaster recovery plan pada Lembaga Negara XYZ bertujuan untuk mengetahui kondisi existing dari penerapan business continuity plan dan disaster recovery plan yang telah dilakukan Lembaga Negara XYZ sejauh ini berdasarkan ISO 22301. Dimana hasil pemetaan tersebut sebagai acuan dalam melakukan perancangan business continuity plan dan disaster recovery plan yang akan dilakukan dalam penelitian ini. Hasil pemetaan ISO 22301 terhadap business continuity plan dan disaster recovery plan pada Lembaga Negara XYZ diperoleh dari proses wawancara dan proses analisa kondisi existing dari kondisi teknologi informasi Lembaga Negara XYZ saat ini, dimana hasil pemetaan tersebut adalah sebagai berikut: Tabel 4. 1 Pemetaan Kondisi Perusahaan dengan ISO 22301 No ISO 22301 Siklus PDCA Y/N Keterangan Clause 4: Context of the organization 1 Apakah perusahaan telah melakukan identifikasi terkait Kegiatan organisasi, fungsi, layanan, produk, kemitraan, rantai pasokan, hubungan dengan pihak yang Plan N Belum ada proses analisa risko terkait dengan kegiatan operasional, fungsi, layanan, produk, kemitraan, rantai pasokan, hubungan dengan pihak
38
Embed
BAB 4 PEMBAHASAN - library.binus.ac.idlibrary.binus.ac.id/eColls/eThesisdoc/Bab4/TSA-2016-0090 IV.pdf · existing dari penerapan business continuity plan dan disaster recovery plan
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
77
BAB 4
PEMBAHASAN
4.1 Pemetaan ISO 22301 Terhadap Business Continuity
Plan dan Disaster Recovery Plan Pada Lembaga
Negara XYZ
Pemetaan ISO 22301 terhadap business continuity plan dan disaster
recovery plan pada Lembaga Negara XYZ bertujuan untuk mengetahui kondisi
existing dari penerapan business continuity plan dan disaster recovery plan yang
telah dilakukan Lembaga Negara XYZ sejauh ini berdasarkan ISO 22301.
Dimana hasil pemetaan tersebut sebagai acuan dalam melakukan perancangan
business continuity plan dan disaster recovery plan yang akan dilakukan dalam
penelitian ini.
Hasil pemetaan ISO 22301 terhadap business continuity plan dan disaster
recovery plan pada Lembaga Negara XYZ diperoleh dari proses wawancara dan
proses analisa kondisi existing dari kondisi teknologi informasi Lembaga Negara
XYZ saat ini, dimana hasil pemetaan tersebut adalah sebagai berikut:
Tabel 4. 1 Pemetaan Kondisi Perusahaan dengan ISO 22301
No ISO 22301 Siklus
PDCA Y/N Keterangan
Clause 4: Context of the organization
1 Apakah perusahaan telah
melakukan identifikasi
terkait Kegiatan organisasi,
fungsi, layanan, produk,
kemitraan, rantai pasokan,
hubungan dengan pihak yang
Plan N Belum ada proses analisa
risko terkait dengan
kegiatan operasional,
fungsi, layanan, produk,
kemitraan, rantai pasokan,
hubungan dengan pihak
78
No ISO 22301 Siklus
PDCA Y/N Keterangan
berkepentingan, dengan
dampak potensial terkait
dengan insiden yang akan
mengganggu bisnis
perusahaan?
yang berkepentingan pada
Lembaga Negara XYZ.
Analisa risiko yang ada
baru bersifat mandatory
saja seperti pemisahaan
user access atau
penerapan physical
security tetapi belum
terdokumentasi secara
legal baru berupa inisiatif
dari unit terkait saja.
2 Apakah perusahaan telah
melakukan identifikasi
terkait hubungan antara
kebijakan kelangsungan
bisnis dan tujuan organisasi
dan kebijakan lainnya,
termasuk strategi manajemen
risiko secara keseluruhan?
Plan N Lembaga Negara XYZ
belum memiliki kebijakan
kelangsungan bisnis,
masih berupa
perencanaan yang
tertuang pada tata kelola
TI Lembaga Negara XYZ
3 Apakah perusahaan telah
melakukan identifikasi
Kebutuhan dan harapan dari
pihak berkepentingan dengan
perusahaan?
Plan Y Lembaga Negara XYZ
sudah melakukan proses
identifikasi kebutuhan
dan harapan dimana
identifikasi tersebut
digunakan untuk
mengetahui apakah yang
dibutuhkan oleh Lembaga
Negara XYZ dalam
melaksanakan prosesnya
berdasarkan strategi yang
telah disusun
4 Apakah perusahaan sudah
menaati hukum, peraturan
dan persyaratan lainnya yang
berlaku di Indoneisa?
Plan Y Lembaga Negara XYZ
sudah menaati peraturan
dan hukum yang berlaku
di Indonesia salah satu
peraturan dan hukum
yang ditaati yaitu
peraturan pemerintah no
60 tahun 2008 terkait
dengan pengendalian
internal.
Clause 5: Leadership
1 Apakah manajemen telah
memastikan Business
Continuity Management
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
79
No ISO 22301 Siklus
PDCA Y/N Keterangan
System (BCMS) kompatibel
dengan arah strategis
organisasi?
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
2 Apakah manajemen telah
mengintegrasikan
persyaratan Business
Continuity Management
System (BCMS) ke dalam
proses bisnis organisasi?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
3 Apakah manajemen telah
menyediakan sumber daya
yang diperlukan untuk
Business Continuity
Management System
(BCMS)?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
4 Apakah manajemen telah
mengkomunikasikan
pentingnya manajemen
kelangsungan bisnis yang
efektif?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
5 Apakah manajemen telah
memastikan bahwa Business
Continuity Management
System (BCMS) mencapai
hasil yang diharapkan?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
6 Apakah manajemen telah
mengarahkan dan
mendukung perbaikan terus-
menerus terkait dengan
BCP?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
7 Apakah manajemen telah
menetapkan dan
mengkomunikasikan
kebijakan kelangsungan
bisnis?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
80
No ISO 22301 Siklus
PDCA Y/N Keterangan
8 Apakah manajemen telah
memastikan tujuan dan
rencana Business Continuity
Management System
(BCMS) yang ditetapkan?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
9 Apakah manajemen telah
memastikan tanggung jawab
dan kewenangan untuk peran
yang ditugaskan?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
Clause 6: Planning
1 Apakah sasaran strategis dan
prinsip-prinsip panduan
untuk Business Continuity
Management System
(BCMS) secara keseluruhan
yang ada sekarang Konsisten
dengan kebijakan
kelangsungan bisnis?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
2 Apakah sasaran strategis dan
prinsip-prinsip panduan
untuk Business Continuity
Management System
(BCMS) secara keseluruhan
yang ada sekarang
memperhitungkan tingkat
minimum produk dan
layanan yang dapat diterima
oleh organisasi untuk
mencapai tujuannya?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
3 Apakah sasaran strategis dan
prinsip-prinsip panduan
untuk Business Continuity
Management System
(BCMS) secara keseluruhan
yang ada sekarang dapat
diukur?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
4 Apakah sasaran strategis dan
prinsip-prinsip panduan
untuk Business Continuity
Management System
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
81
No ISO 22301 Siklus
PDCA Y/N Keterangan
(BCMS) secara keseluruhan
yang ada sekarang dipantau
dan diperbarui sesuai dengan
perkembangan yang ada?
perencanaan yang
tercantum pada tatakelola
TI perusahaan
Clause 7: Support
1 Apakah Pengelolaan
Business Continuity
Management System
(BCMS) menggunakan
sumber daya yang tepat
untuk setiap tugas termasuk
staf yang kompeten dengan
pelatihan yang relevan dan
layanan pendukung,
kesadaran dan komunikasi?
Plan N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
Clause 8: Operation
1 Apakah perusahaan telah
melakukan Business Impact
Analysis (BIA) sesuai
dengan yang direncanakan?
Do N Belum adanya proses
business impact analysis
pada Lembaga Negara
XYZ, masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
2 Apakah perusahaan telah
melakukan Risk Assessment
sesuai dengan yang
direncanakan?
Do N Belum adanya proses risk
assessment pada Lembaga
Negara XYZ, masih
berupa perencanaan yang
tercantum pada tatakelola
TI perusahaan
3 Apakah perusahaan telah
melakukan Business
Continuity Strategy sesuai
dengan yang direncanakan?
Do N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
4 Apakah perusahaan telah
melakukan Business
Continuity Procedures sesuai
dengan yang direncanakan?
Do N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
82
No ISO 22301 Siklus
PDCA Y/N Keterangan
5 Apakah perusahaan telah
melakukan exercise and
testing sesuai dengan yang
direncanakan?
Do N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
Clause 9: Performance Evaluation
1 Apakah perusahaan telah
melakukan pemantauan
sejauh mana kebijakan
kelangsungan bisnis
organisasi, tujuan dan
sasaran terpenuhi?
Check N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
2 Apakah perusahaan telah
mengukur kinerja proses,
prosedur dan fungsi yang
melindungi kegiatan yang
diprioritaskan?
Check N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
3 Apakah perusahaan
memantau kepatuhan dengan
standar ini dan tujuan
kelangsungan usaha?
Check N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan. Proses
pemantauan kepatuhan
baru sebatas tata kelola TI
saja belum spesifik ke
proses business continuity
4 Apakah adanya kegiatan
pemantauan bukti sejarah
kinerja kekurangan Business
Continuity Management
System (BCMS) dan
melakukan audit internal
pada selang waktu yang
terencana?
Check N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
5 Apakah perusahaan
mengevaluasi semua dengan
tinjauan manajemen pada
interval yang direncanakan?
Check N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
83
No ISO 22301 Siklus
PDCA Y/N Keterangan
perencanaan yang
tercantum pada tatakelola
TI perusahaan
Clause 10: Improvement
1 Apakah perusahaan
melakukan peningkatan
proses keamanan dan kontrol
dari hasil evaluasi terkait
dengan tujuan untuk
meningkatkan efektivitas
(mencapai tujuan) dan
efisiensi (biaya optimal /
rasio manfaat) proses BCP
yang ada?
Act N Belum adanya proses
business continuity pada
Lembaga Negara XYZ,
masih berupa
perencanaan yang
tercantum pada tatakelola
TI perusahaan
Dari hasil pemetaan tersebut dapat dikesimpulkan bahwa, Lembaga
Negara XYZ belum melaksanan proses business continuity plan secara
keseluruhan masih sebatas perencanaan, dimana dapat terlihat klausul yang sudah
dilakukan oleh Lembaga Negara XYZ hanya klausul 4 poin 3 dan 4 terkait
dengan identifikasi kebutuhan perusahaan dan acuan atau peraturan dan hukum
yang berlaku di Indonesia yang di taati di Lembaga Negara XYZ.
4.2 Perancangan Business Continuity Plan dan Disaster
Recovery Plan Berdasarkan ISO 22301
Dari hasil pemetaan tersebut dapat terlihat bahwa penerapan business
continuity plan pada Lembaga Negara XYZ masih sebatas pada perencanaan
saja, dari hal tersebut maka perancanganan business continuity plan dan disaster
recovery plan berdasarkan klausul yang ada pada ISO 22301 adalah sebagai
berikut:
84
4.2.1 Clause 4: Context of the Organization
Pada tahap ini difokuskan pada perancangan identifikasi asset dan
ancaman terkait dengan teknologi informasi yang mana identifikasi ini digunakan
untuk mendukung proses management risiko yang ada pada Lembaga Negara
XYZ. Dimana tahap ini difokuskan pada bagaimana perusahaan diharapkan
menentukan masalah eksternal dan internal yang relevan dengan tujuan dan yang
mempengaruhi kemampuannya untuk mencapai hasil yang diharapkan dari
Business Continuity Management System (BCMS), dimana perancangan dari
klausul tersebut adalah sebagai berikut:
4.2.1.1 Identifikasi Bisnis dan Layanan Lembaga
Negara XYZ
Pada tahap ini identifikasi binis dan layanan dari perusahaan
dimana binis utama dari Lembaga Negara XYZ adalah sebagai pemeriksa
keuangan terkait dengan pelaksanaa keuangan negara, layanan yang
dimiliki oleh Lembaga Negara XYZ terdiri dari layanan perencanaan,
pelaksanaan, pemeriksaan, dan pemantauan.
4.2.1.2 Tujuan dari Business Continuity Plan dan
Disaster Recovery Plan
Perumusan tujuan dari business continuity plan dan disaster
recovery plan bermaksud untuk memastikan perancangan BCP dan DRP
selaras dengan strategi bisnis dan teknologi informasi perusahaan dan
dapat menunjang visi & misi perusahaan yang telah dirumuskan.
85
Dimana tujuan dari perancangan BCP dan DRP adalah
menentukan sebuah perencanaan dalam melaksanakan sebuah strategi
pemulihan dan mitigasi dari layanan kritikal untuk mencegah terjadinya
risiko dan ancaman yang mungkin terjadi dan juga untuk mendukung
pemulihan layanan bisnis pada saat terjadinya bencana.
Dimana visi & misi perusahaan yang dapat didukung dengan
adanya kegiatan BCP dan DRP adalah sebagai berikut:
1. Memeriksa pengelolaan dan tanggung jawab keuangan negara;
2. Memberikan pendapat untuk meningkatkan mutu pengelolaan dan
tanggung jawab keuangan negara; dan
3. Berperan aktif dalam menemukan dan mencegah segala bentuk
penyalahgunaan dan penyelewengan keuangan negara.
Dimana dari visi & misi tersebut BCP dan DRP dapat
membantu perusahaan untuk memastikan proses pemeriksaan
pengelolaan keuangan negara dapat berjalan dengan baik dan
terminimalisasi dari risiko yang mungkin berdampak besar bagi integitas,
kerahasiaan dan ketersediaan data atau informasi yang menunjang proses
pemeriksaan pengelolaan keuangan negara yang ada.
Disamping itu tujuan dari BCP dan DRP mendukung strategi
bisnis perusahaan sebagai berikut:
1. Mewujudkan pemeriksaan yang bermutu untuk menghasilkan
laporan hasil pemeriksaan yang bermanfaat dan sesuai dengan
kebutuhan pemangku kepentingan; dan
2. Mewujudkan birokrasi yang modern di Lembaga Negara XYZ.
86
Dimana BCP dan DRP dapat membantu perusahaan dalam
mewujudkan sebuah hasil pemeriksaan yang bermutu dengan menjaga
data dan informasi yang ada dengan baik, agar laporan hasil pemeriksaan
tersebut dapat sesuai dengan kenyataan yang ada. Selain itu BCP dan
DRP juga membantu perusahaan untuk mewujudkan birokrasi yang
modern di Lembaga Negara XYZ, dimana dengan adanya BCP dan DRP
ketergantungan teknologi informasi perusahaan akan lebih tinggi dan
perusahaan akan lebih percaya diri dengan teknologi informasi yang telah
diterapkan dengan memenuhi aspek – aspek pengendalian keamanan fisik
dan informasi dan aspek – aspek pemulihan bencana.
Selain visi & misi dan strategi bisnis perusahaan, perancangan
BCP dan DRP juga mendukung strategi teknologi informasi perusahaan
yang antara lain:
1. Terpenuhinya Kebutuhan Pemilik Kepentingan akan TIK
2. Meningkatkan Pemanfaatan TIK
3. Meningkatkan Mutu Pelayanan TI
Dimana BCP dan DRP secara langsung dapat mendukung
strategi teknologi informasi perusahaan, dimana BCP dan DRP dapat
meningkatkan presentase ketersediaan teknologi informasi sesuai dengan
kebutuhan pengguna dengan adanya analisa bisnis impact analysis, hal
tersebut juga dapat meningkatkan pemanfaatan dari teknologi informasi
dan mutu pelayanan dari teknologi informasi dapat meningkat.
87
4.2.1.3 Identifikasi Aset dan Ancaman Terkait
Teknologi Informasi
Tahap ini dilakukan proses identifikasi asset dan ancaman
terkait dengan teknologi informasi, dimana tahap ini dilakukan dengan
tujuan untuk mengetahui asset apa saja yang dimiliki oleh Lembaga
Negara XYZ pada saat ini dan ancaman apa saja yang mungkin terjadi
pada asset yang dimiliki oleh Lembaga Negara XYZ, dimana tujuan dari
identifikasi tersebut untuk menentukan asset kritis yang dimiliki oleh
Lembaga Negara XYZ dan untuk mengetahui seberapa besar potensi
risiko yang akan dihadapi oleh Lembaga Negara XYZ.
Berdasarkan portofolio teknologi informasi pada Lembaga
Negara XYZ, berikut adalah asset – asset yang dimiliki oleh Lembaga
Negara XYZ terkait pelaksanaan teknologi informasi dalam mendukung
layanan yang ada, dimana asset – asset terkait dengan teknologi informasi
yang ada pada Lembaga Negara XYZ tersebut antara lain :
Tabel 4. 2 List Asset TI Pada Lembaga Negara XYZ
Kategori Sub Kategori Contoh
People People - Head Kepala Divisi
People - Supervisor Team Leader, Supervisor
People - Staff Staff
Hardware Hardware - PC PC Operational
Hardware - Notebook Laptop Kantor, Laptop Pribadi
(BYOD)
Hardware - Network
Device
VPN, Switch, HUB, Router
Hardware - Network
Security Device
Firewall, IPS, IDS
Hardware - Server
Production
Server Production
88
Kategori Sub Kategori Contoh
Hardware - Sever UAT Server UAT
Software Software - Operating
System
Windows, Linux
Software - Office
Application
MS Office, SQL server, Visual
Studio,
Software - Business
Application
Sistem Manajemen
Pemeriksaan,Sistem Aplikasi
Pemeriksaan, System Audit,
Sistem Informasi Sumber Daya
Manusia, Sistem Informasi
Pendidikan dan Latihan , Sistem
Informasi Pelayanan Teknologi
Informasi, Sistem Manajemen
Kinerja, Aplikasi Rencana
Kegiatan Setjen & Penunjang,
Sentra Informasi Satuan Kerja,
Sistem Informasi Perpustakaan,
Aplikasi Jaringan Dokumentasi
& Informasi Hukum, Pusat
Informasi Satuan Kerja, Aplikasi
Persuratan, SIMAK BMN,
Aplikasi Manajemen Aset,
Sistem Informasi Tagihan,
Sistem Informasi Keuangan,
Sistem Informasi Pemantauan
Tindak Lanjut, SMP - Modul
RKP, SMP – Modul Bahan
IHPS, Sistem Informasi Kantor
Akuntan Publik, Sistem
informasi Pertimbangan
Lembaga Negara XYZ, Sistem
Informasi Pendapat Lembaga
Negara XYZ
Software - Support
Application
Email, Data Management
System, Layanan Kolaborasi,
Instant Messaging
Information Information - Softcopy Semua Data dan informasi yang
disimpan di perangkat
Information - Hardcopy Semua informasi yang dcetak
atau print out
Utility Utility - Elictricity Genset, UPS dan seluruh
kelengkapanya
Utility - Security System CCTV, Access, FM200, APAR,
Evacuation sign, Emergency exit
door lamp
89
Kategori Sub Kategori Contoh
Utility - Supporting Air Cooling, Water Cooling,
Cooling Tower, Water Leakage
Detector, Panel, Termometer,
Hygrometer dan seluruh
kelengkapanya
Third Party
Service
3rd Party Service -
Maintenance
Vendor infra, Vendor IS security
3rd Party Service -
Outsourcing
Outsource Personel Vendor
3rd Party Service -
Data/Connection
ISP Vendor, Communication
Vendor
Intangible Asset Intangible - Reputasi Nama baik
Intangible - Knowledge
Karyawan
Kekayaan intelektual karyawan
Berdasarkan list asset diatas berikut adalah ancaman yang
berpotensi muncul yang dapat mengancam keberlangsungan asset – asset
tersebut dalam mendukung bisnis dari Lembaga Negara XYZ, dimana
ancaman tersebut antara lain:
Tabel 4. 3 List Ancaman dari Aset TI
No Kategori Contoh
1 Reliability Kegagalan fungsi hardware/infrastruktur, Kegagalan
fungsi software, kegagalan komunikasi data, kegagalan
fungsi server Aplikasi Error, Ketidaktersediaan SDA yang
Memadai, data tidak dapat diakses
2 Local Disturbance
Kebakaran, Mati Listrik, Pencurian, kerusuhan
3 Wide Disaster
Gempa Bumi, Banjir, Badai, Tsunami, Wabah penyakit
4 Malicious Virus, malware
5 Vendor Suply Jaringan down, Kontrak habis, server down
90
4.2.1.4 Identifikasi Risiko Berdasarkan Aset
Teknologi Informasi (Confidetiality, Integrity,
dan Availability)
Berdasarkan list asset diatas dan list ancaman diatas berikut
adalah identifikasi risiko terkait dengan asset dan ancaman tersebut
dengan memperhatikan aspek confidentiality, integrity dan availability.
Dimana acuan klausul yang digunakan pada ISO 22301 dalam melakukan
identifikasi risiko tersebut adalah Clause 8: Operation. Selain itu proses
identifikasi risiko melihat berapa besar impact yang tercipta dari potensi
risiko tersebut apabila terjadi pada Lembaga Negara XYZ dan seberapa
sering potensi risiko tersebut terjadi pada Lembaga Negara XYZ
(Probability).
Dari hal tersebut berikut adalah kriteria impact dari proses
identifikasi risiko pada Lembaga Negara XYZ:
Tabel 4. 4 Kriteria Impact
Scale Level Impact Category
Performance Operational
1 Low Menyebabkan sedikit gangguan
pada fungsi sistem untuk
melakukan proses, terapi tidak
signifikan
Maksimum toleransi waktu
aktifitas operational terhenti
lebih dari 24 jam
2 Medium Menyebabkan penurunan
kinerja (delay) antara 25% -
50% dari fungsi operasional
Maksimum toleransi waktu
aktifitas operational terhenti
24 jam
3 High Meyebabkan kegagalan
sebagian besar atau kebih dari
50% dari fungsi operasional
Maksimum toleransi waktu
aktifitas operational terhenti
8 jam
91
Dan berikut adalah kriteria probability dari proses identifikasi
risiko pada Lembaga Negara XYZ:
Tabel 4. 5 Kriteria Probability
Scale Level Probability Category
Frequency
1 Low Sangat Jarang dalam 3 tahun terakhir
2 Medium Beberapa Kali dalam 3 tahun terakhir
3 High Sering terjadi dalam 3 tahun terakhir
Dari kriteria impact dan probability tersebut dilakukan
identifikasi risiko yang ada pada asset teknologi informasi untuk
mengetahui berapa tingkat risiko dari masing – masing asset yang
dimiliki oleh Lembaga Negara XYZ dan potensi risiko yang mungkin
terjadi pada Lembaga Negara XYZ, dimana hasil dari indentifikasi risiko
tersebut terdapat pada bagian lampiran.
4.2.1.5 Analisa Risiko Berdasarkan Aset Teknologi
Informasi
Setelah dilakukan identifikasi risiko berdasarkan asset teknlogi
informasi yang ada pada perusahaan, dilakukan sebuah analisis risiko
yang bertujuan untuk mengetahui risk level dari tiap – tiap risk Id yang
telah diidentifikasi. Dimana penentuan risk level adalah sebagai berikut:
a. Nilai overall dari risk Id 1 – 2 masuk kedalam level low.
b. Nilai overall dari risk Id 3 – 6 masuk kedalam level medium.
c. Nilai overall dari risk Id 7 – 9 masuk kedalam level high.
92
Dimana setelah itu akan diketahui asset mana yang termasuk
asset kritis perusahaan yang perlu ditangani secara serius terkait dengan
potensi risiko yang mungkin terjadi, dimana yang termasuk asset kritis
adalah asset yang memiliki risk level high.
Dari hasil identifikasi risiko tersebut yang termasuk asset kritis
atau asset yang memiliki risk level high terdapat 4 asset yang mana asset
tersebut antara lain:
Tabel 4. 6 Aset Risk Level High
Hasil dari identifikasi rsiiko, asset yang memiliki risk level
medium sebanyak 11 asset yang mana asset tersebut antara lain:
Tabel 4. 7 Aset Risk Level Medium
93
Hasil dari identifikasi rsiiko, asset yang memiliki risk level low
sebanyak 8 asset yang mana asset tersebut antara lain:
Tabel 4. 8 Aset Risk Level Low
4.2.1.6 Rencana Mitigasi Risiko Berdasarkan Analisa
Risiko
Dari hasil analisi tersebut dilakukan sebuah mitigasi risiko
dimana mitigasi risiko kelompokan berdasarkan risk level dari hasil
analisis risiko yang telah dilakukan diatas. Dimana pengelompokan
tersebut bertujuan untuk menentukan prioritas mitigasi risiko yang akan
dilakukan.
Dimana mitigasi risiko tersebut diprioritaskan pada asset
dengan risk level high terlebih dahulu, dikarenakan asset tersebut adalah
asset kritis yang dimiliki perusahaan dimana asset tersebut apabila terkena
potensi risiko akan berdampak besar bagi keberlangsungan binsis
perusahaan dan menyebabkan terganggunya kegiatan operasional
perusahaan.
94
Setelah itu mitigasi risiko dilakukan kepada asset dengan risk
level medium dimana asset dengan risk level medium juga perlu
diprioritaskan, namun proses mitigasi risiko untuk asset yang masuk
dalam kategori ini akan dilakukan setelah proses mitigasi risiko pada
asset dengan risk level high sudah dilakukan mitigasi risiko, dimana asset
ini juga mempengaruhi keberlangsungan bisnis tetapi tidak berdampak
besar apabila terkena potensi risiko.
Apabila sudah dilakukan mitigasi risiko pada risk level high
dan medium, manajemen juga perlu melakukan mitigasi risiko dengan
risk level low tetapi untuk asset yang masuk kategori ini mitigasi risiko
yang diterapkan hanya untuk optional saja, dimana apabila mitigasi risiko
diterapkan baik bagi perusahaan tetapi apabila tidak diterapkan
perusahaan tetap dapat menjalankan keberlangsungan bisnis, karena
dampak apabila risiko ini terjadi pada pada perusahaan kecil atau dapat
diartikan tidak berdampak besar bagi perusahaan.
Dimana hasil dari mitigasi risiko tersebut terdapat pada bagian
lampiran dimana mitigasi tersebut dikelompokan berdasarkan risk level
dari masing – masing asset yang ada.
4.2.1.7 Identifikasi Layanan Yang Didukung Oleh
Teknologi Informasi
Berdasarkan hasil identifikasi tersebut berikut adalah layanan –
layanan yang didukung oleh teknologi informasi dalam melaksanakan
prosesnya, dimana layanan tersebut akan terganggu apabila teknologi
95
informasi mengalami ancaman atau kerusakan. Layanan tersebut antara
lain:
Tabel 4. 9 List Layanan Yang Didukung Oleh Teknologi informasi
Pada Lembaga Negara XYZ
Dari list layanan tersebut berikut kriteria penentuan dampak
bisnis apabila layanan tersebut atau teknologi informasi yang mendukung
layanan tersebut mendapatkan ancaman atau bencana, kriteria tersebut
antara lain:
Tabel 4. 10 Kriteria Dampak Bisnis Terhadap Layanan
Aspek Kriteria
High (3) Medium (2) Low(1)
Gangguan Operasional Maksimum
toleransi waktu
aktifitas
operational
terhenti 8 jam
Maksimum
toleransi waktu
aktifitas
operational
terhenti 24 jam
Maksimum
toleransi waktu
aktifitas
operational
terhenti lebih
96
Aspek Kriteria
High (3) Medium (2) Low(1)
dari 24 jam
Reputasi Perusahaan -komplain dari
beberapa pihak
terperiksa yang
menyebabkan
tidak percaya
lagi dengan hasil
pemeriksaan
perusahaan
- Terpublikasi di
media formal
dan/atau media
sosial
Komplain dari
salah satu pihak
terperiksa yang
menyebabkan
tidak percaya
lagi dengan hasil
pemeriksaan
perusahaan
Komplain dari
salah satu pihak
terperiksa yang
tetapi masih
mempercayai
hasil
pemeriksaan
perusahaan
Legal & Regulatory - Isu berakibat
tuntutan
hukum/denda
dan
mengakibatkan
pencabutan ijin
usaha, atau
- Terganggunya
kondisi politik
negara
- Isu berakibat
tuntutan
hukum/denda
dan
mengakibatkan
mendapatkan
peringatan dari
regulator
Issue berkaibat
dispute dengan
instasi lain
Dari kriteria tersebut berikut pemetaan layanan yang didukung
oleh teknologi informasi dengan kriteria dampak bisnis yang telah
ditentukan diatas:
Tabel 4. 11 Pemetaan Layanan Dengan Kriteria Dampak Bisnis
Dari hal tersebut dapat dianalisis layanan yang paling kritis
apabila terkena ancaman atau bencana adalah layanan dengan ID-01 yaitu
layanan pemeriksaan dimana ini adalah layanan inti dari perusahaan.
97
Hasil dari analisis ini akan dijadikan sebuah prioritasi penanganan pada
saat adanya ancaman atau bencana terjadi.
4.2.1.8 Perancangan Business Impact Analysis (BIA)
dari Layanan Yang Didukung Oleh Teknologi
Informasi
Dari hasil identifikasi layanan yang bergantung dengan
teknologi informasi tersebut berikut adalah hasil perancangan business
impact analysis dari layanan – layanan tesebut. Dimana pernyusunan
business impact analysis ditujukan untuk menentukan berapa lama
layanan tersebut bisa berlangsung kembali menjalankan bisnisnya pada
saat bencana atau ancaman terjadi.
Penyusunan business impact analysis didasari oleh kebutuhan
perusahaan terkait dengan layanan tersebut dan kondisi teknologi
informasi yang dimiliki perusahaan saat ini. Berikut perancayanan bisnis
impact analysis dari layanan – layanan yang ada:
Tabel 4. 12 Business Impact Analysis Dari Layanan Lembaga Negara
XYZ
98
4.2.2 Clause 5: Leadership
Pada tahap ini dilakukan difokuskan pada perancangan tujuan dari
business continuity plan dan disaster recovery plan dan prancangan peran dan
tanggung jawab dari management agar tercipta sebuau komitmen terus menerus
untuk business continuity plan dan disaster recovery plan, Dimana peran dan
tanggung jawab tersebut dirancang untuk membentuk sebuah kepemimpinan dan
tindakan dari manajemen untuk dapat menciptakan suatu lingkungan di mana
aktor yang berbeda sepenuhnya terlibat dan di mana sistem manajemen dapat
beroperasi secara efektif dalam sinergi dengan tujuan organisasi terkait dengan
kegiatan business continuity plan yang ada. Dimana perancangan dari klausul
tersebut adalah sebagai berikut:
4.2.2.1 Peran dan Tanggung Jawab Manajemen
Peran dan tanggung jawab manajemen dibangun untuk
meningkatkan commitment manajemen terkait dengan peracangan
kegiatan BCP dan DRP dapat berjalan dengan baik, dimana peran dan
tanggung jawab ini disusun untuk membentuk sebuah kepemimpinan
yang dapat mengawal proses BCP dan DRP agar berjalan dengan efektif.
Dimana perancangan peran dan tanggung jawab manajemen
disusun dengan membentuk sebuah komite yaitu BC committee steering
yang beranggotakan satu atau lebih direktur dari perusahaan tersebut,
dimana peran dan tanggung jawab dari BC committee steering antara
lain:
99
1. Sebagai salah satu komite/dewan pengarah dari pengambil
keputusan utama dalam perusahaan
2. Memastikan Business Continuity Plan kompatibel dengan
arah strategis organisasi,
3. Mengintegrasikan persyaratan Business Continuity Plan ke
dalam proses bisnis organisasi,
4. Menyediakan sumber daya yang diperlukan untuk Business