67
f. Fasilitas Komunikasi
Bank harus memastikan bahwa alternatif jalur komunikasi yang terdapat di wilayah operasional Bank dapat digunakan pada saat gangguanbencana, baik di lingkungan
intern maupun dengan pihak ekstern.
6.7. PENGUJIAN BCP
Pengujian BCP diperlukan untuk meyakini bahwa BCP dapat dioperasikan dengan baik pada saat terjadi gangguanbencana. Uji coba dilakukan atas BCP dan
DRP sekurang-kurangnya 1 satu tahun sekali untuk seluruh sistemaplikasi kritikal sesuai hasil Business Impact Analysis dan mewakili seluruh infrastruktur yang kritikal
serta melibatkan end user end to end. Apabila Bank menggunakan pihak penyedia jasa dalam kegiatan operasionalnya
maka pengujian yang dilakukan juga perlu melibatkan pihak eksternal tersebut. Dalam hal Bank melakukan perubahan yang sangat mendasar terhadap sistem, aplikasi atau
infrastruktur teknologi informasinya misalnya perubahan pada core banking system, maka harus dilakukan pengujian DRP selambat-lambatnya 6 bulan setelah perubahan
sistem dimaksud diimplementasikan.
6.7.1. Ruang Lingkup Pengujian BCP
Manajemen harus secara jelas menentukan fungsi, sistem dan proses apa saja yang akan diuji. Hal-hal yang perlu dilakukan pengujian antara lain meliputi efektifitas dari:
a. prosedur evakuasi personil dan jalur komunikasi yang ditetapkan call tree;
b. prosedur penetapan kondisi disaster;
c. fasilitas DRC dan BRC yang disediakan oleh pihak lain baik yang hanya untuk
Bank sendiri maupun yang digunakan bersama dengan Bank-Bank lain; d.
prosedur pemulihan atas data penting; e.
pengembalian kegiatan operasional Bank dan Data Center ke lokasi unit bisnis dan pusat data semula.
Pengujian yang dilakukan harus didokumentasikan secara tertib dan dievaluasi untuk meyakini efektifitas dan keberhasilan pengujian. Jika dalam pengujian didapati
kelemahan atas BCP, maka BCP perlu disempurnakan.
6.7.2. Test Plan Skenario Pengujian
Bank harus memiliki skenario pengujian untuk setiap uji coba yang akan dilakukan dan skenario tersebut harus dikaji kecukupannya. Pelaksanaan skenario
tersebut tidak boleh mengganggu kegiatan operasional Bank. Hasil uji coba diharapkan
dapat mendeteksi adanya kelemahan dari prosedur yang ada dalam rangka perbaikan BCP.
68
Dalam hal ini Bank perlu memvalidasi asumsi yang digunakan dalam skenario pengujiantest plan, antara lain mengenai:
a.
tingkat kritikal proses fungsi bisnis atau sistem yang diuji;
b.
volume transaksi;
c.
ketergantungan antar proses bisnis;
d.
strategi BCP yang dipilih Bank;
e.
ketersediaan dan kecukupan sumber daya yang diperlukan agar sesuai dengan service level yang ditetapkan, seperti waktu yang diperlukan untuk mempersiapkan
fasilitas yang ada, mempersiapkan file backup atau mempersiapkan dokumen.
6.6.3. Analisis dan Laporan Hasil Pengujian
Hasil pengujian dan analisis dari setiap permasalahan yang ditemukan pada saat pengujian harus dilaporkan kepada direksi. Hal yang dilaporkan antara lain meliputi:
a. penilaian ketercapaian tujuan pengujian;
b. penilaian atas validitas pengujian pemrosesan data;
c. tindakan korektif untuk mengatasi permasalahan yang terjadi;
d. deskripsi mengenai kesenjangan antara BCP dan hasil pengujian serta usulan
perubahannya; e.
rekomendasi untuk pengujian selanjutnya. Apabila hasil uji coba mengalami kegagalan maka Bank harus mengkaji
penyebab kegagalan atau permasalahan yang terjadi dan melakukan pengujian ulang.
6.7. PEMELIHARAAN BCP DAN AUDIT INTERN 6.7.1. Pemeliharaan BCP