34

2.4.4.2. Patch Management

Vendor secara rutin mengembangkan dan mengeluarkan patches untuk memperbaiki permasalahan pada perangkat lunak, memperbaiki kinerja, dan meningkatkan keamanan. Jika terdapat patch baru, Bank harus mengevaluasi dampak secara teknis dari instalasi patch tersebut terhadap bisnis dan security. Bank harus memiliki prosedur untuk mengidentifikasi ketersediaan patches dari sumber yang terpercaya. Standar pengaturan patch harus mencakup prosedur identifikasi, evaluasi, persetujuan, pengujian, instalasi, dan dokumentasi dari patches. Bank harus meninjau ulang semua security setting dan configuration parameter setelah penggunaan patch baru untuk memastikan bahwa setting telah memenuhi kebijakan dan prosedur yang disetujui.

2.4.4.3. Library

Untuk memastikan ketersediaan program yang digunakan, Bank harus memiliki Library untuk menyimpan program. Selain itu perlu disimpan juga informasi dan atau dokumen berupa data dan program yang berhubungan dengan servermesin produksi yang berasal dari pengembangan dan atau pengujian. Pengaturan lebih lanjut mengenai pengendalian terhadap library dijelaskan pada Bab III - Operasional. 2.4.4.4. Konversi Apabila terjadi merger Bank atau akuisisi yang memerlukan pengintegrasian sistem yang digunakan Bank yang terlibat dalam merger atau akuisisi, maka perlu dilakukan proses konversi. Dalam proses ini dilakukan modifikasi besar pada sistem aplikasi atau sistem operasi yang ada dan pengembangan sistem baru apabila diperlukan. Dalam proses konversi ini, proses yang terstruktur seperti siklus pengembangan sistemaplikasi tetap harus diterapkan. Mengingat kompleksitas sistem di masing-masing Bank yang terlibat merjer, diperlukan analisis secara komprehensif terhadap dampak konversi pada kegiatan operasional Bank khususnya pemrosesan transaksi. Agar proses konversi berlangsung secara efektif, Bank perlu mengantisipasi peningkatan permintaan untuk balancing, reconcilement, exception handling, dukungan pengguna dan nasabah help desk, penyelesaian masalah troubleshooting, keterhubungan jaringan dan sistem administrasi.

2.4.4.5. Pemeliharaan Dokumentasi

Standar dokumentasi harus mengidentifikasikan dokumen utama dan dokumen detail yang telah disetujui dan sesuai format yang diinginkan. Dokumentasi tersebut harus berisi semua perubahan yang terjadi pada sistem, aplikasi dan konfigurasi sesuai dengan standar yang ditentukan. 35

BAB III AKTIVITAS OPERASIONAL TEKNOLOGI INFORMASI

3.1. PENDAHULUAN

Perkembangan Teknologi Informasi TI memungkinkan bank menjalankan kegiatan operasional yang semakin kompleks. Operasional TI tidak hanya terkonsentrasi di pusat data Data Center tetapi juga pada aktivitas lainnya yang terkait dengan pengggunaan aplikasi yang terintegrasi, beragam media komunikasi, koneksi internet, dan berbagai platform komputer. Sementara itu akses input dan output dapat dilakukan oleh banyak user dari berbagai lokasi. Demikian juga dengan pemrosesan, dapat dilakukan di berbagai lokasi yang berjauhan namun saling terkait, baik secara online realtime, on-line, maupun off-line. Oleh karena itu diperlukan pengendalian yang memadai atas operasional TI agar bank dapat meminimalisasi risiko terganggunya kerahasiaan, integritas, dan ketersediaan informasi. Bab ini membahas aktivitas, risiko, dan pengendalian dari operasional TI yang dapat dijadikan pedoman bagi Bank dalam rangka menerapkan manajemen risiko dalam penggunaan TI di Bank. Pengaturan atas aktivitas operasional TI yang memadai sangat penting untuk memastikan informasi pada sistem komputer adalah lengkap, akurat, terkini, terjaga integritasnya, dan handal, serta terhindar dari kesalahan, kecurangan, manipulasi, penyalahgunaan, dan perusakan data.

3.2. TUGAS DAN TANGGUNG JAWAB MANAJEMEN

Manajemen Bank bertanggung jawab untuk memastikan mekanisme operasional TI yang stabil, aman, dan efisien secara keseluruhan, baik yang diselenggarakan sendiri maupun menggunakan jasa pihak lain. Manajemen harus menetapkan kebijakan, standar, dan prosedur operasional TI yang menjamin kesinambungan operasional TI Bank dan memastikan penerapannya baik pada satuan kerja penyelenggara TI atau pihak penyedia jasa maupun pada satuan kerja pengguna TI. Kesalahan atau kegagalan yang terjadi pada aktivitas operasional TI dapat mengganggu kegiatan operasional dan pelayanan bank kepada nasabah yang pada akhirnya mempengaruhi reputasi bank. Oleh karena itu manajemen harus memastikan penilaian risiko dilakukan secara berkala pada aktivitas operasional TI dan memutuskan penanganan risiko potensial yang tepat sesuai dengan risk appetite yang telah ditetapkan.

3.3. KEBIJAKAN DAN PROSEDUR

Bank wajib memiliki kebijakan yang mencakup setiap aspek operasional TI. Kedalaman dan cakupan kebijakan tersebut disesuaikan dengan kompleksitas operasional TI Bank.