43
penyedia jasa TI dengan menggunakan prosedur yang paling kurang mencakup pemantauan layanan, pelaporan permasalahan dan dokumentasi yang terkait dengan
layanan pihak penyedia jasa.
3.3.12. Kebijakan Penghapusan Perangkat Keras dan Perangkat Lunak Disposal
Disposal meliputi penghapusan perangkat lunak, perangkat keras, dan data yang sudah tidak digunakan lagi atau yang masa retensinya telah habis. Source code versi lama
yang sudah tidak dipakai lagi harus disimpan dengan indikasi yang jelas mengenai tanggal, waktu dan informasi lain ketika digantikan dengan source code versi terbaru.
Kegiatan yang dilakukan meliputi antara lain: a.
memindahkan data dari sistem produksi ke media backup dengan mekanisme sesuai prosedur, termasuk prosedur uji coba dan backup;
b. menyimpan dokumentasi sistem sebagai persiapan jika diperlukan untuk meng-
install ulang suatu sistem ke server produksi; c.
mengelola arsip data sesuai masa retensi; d.
menghancurkan data yang habis masa retensinya.
3.4. MANAJEMEN RISIKO OPERASIONAL TI
Proses manajemen risiko adalah mengidentifikasi, mengukur, mengendalikan, dan memantau risiko pada fungsi-fungsi yang terkait dengan operasional TI.
3.4.1. Identifikasi Risiko Operasional TI
Proses identifikasi dimulai dengan pemahaman yang komprehensif terhadap bagaimana Bank
mengoperasikan TI
demi mendukung
tujuan organisasi
kemudian mengidentifikasi risiko yang dihadapi Bank. Manajemen harus memperhatikan
kejadian atau aktivitas yang dapat mengganggu operasional antara lain hal-hal berikut ini:
a. Kesalahan investasi teknologi termasuk penerapan yang tidak benar, kegagalan dari
pihak supplier, pendefinisian dari kebutuhan bisnis yang tidak tepat, ketidaksesuaian dengan sistem-sistem yang ada, atau keusangan software termasuk
hilangnya dukungan vendor terhadap perangkat keras dan perangkat lunak yang digunakan oleh Bank;
b. Permasalahan pengembangan sistem dan implementasi termasuk ketidak cukupan
manajemen proyek, biaya dan waktu yang melebihi batas, error pada pemrograman, kegagalan untuk mengintegrasikan atau migrasi dari sistem yang
ada, atau kesalahan dari sebuah sistem untuk memenuhi kebutuhan pengguna; c.
Permasalahan pada kapasitas sistem seperti kekurangan pada perencanaan kapasitas, ketidakcukupan kapasitas untuk mengakomodasi fleksibilitas sistem,
ketidakcukupan software untuk mengakomodasi pengembangan bisnis;