67 f. Fasilitas Komunikasi Bank harus memastikan bahwa alternatif jalur komunikasi yang terdapat di wilayah operasional Bank dapat digunakan pada saat gangguanbencana, baik di lingkungan intern maupun dengan pihak ekstern.

6.7. PENGUJIAN BCP

Pengujian BCP diperlukan untuk meyakini bahwa BCP dapat dioperasikan dengan baik pada saat terjadi gangguanbencana. Uji coba dilakukan atas BCP dan DRP sekurang-kurangnya 1 satu tahun sekali untuk seluruh sistemaplikasi kritikal sesuai hasil Business Impact Analysis dan mewakili seluruh infrastruktur yang kritikal serta melibatkan end user end to end. Apabila Bank menggunakan pihak penyedia jasa dalam kegiatan operasionalnya maka pengujian yang dilakukan juga perlu melibatkan pihak eksternal tersebut. Dalam hal Bank melakukan perubahan yang sangat mendasar terhadap sistem, aplikasi atau infrastruktur teknologi informasinya misalnya perubahan pada core banking system, maka harus dilakukan pengujian DRP selambat-lambatnya 6 bulan setelah perubahan sistem dimaksud diimplementasikan.

6.7.1. Ruang Lingkup Pengujian BCP

Manajemen harus secara jelas menentukan fungsi, sistem dan proses apa saja yang akan diuji. Hal-hal yang perlu dilakukan pengujian antara lain meliputi efektifitas dari: a. prosedur evakuasi personil dan jalur komunikasi yang ditetapkan call tree; b. prosedur penetapan kondisi disaster; c. fasilitas DRC dan BRC yang disediakan oleh pihak lain baik yang hanya untuk Bank sendiri maupun yang digunakan bersama dengan Bank-Bank lain; d. prosedur pemulihan atas data penting; e. pengembalian kegiatan operasional Bank dan Data Center ke lokasi unit bisnis dan pusat data semula. Pengujian yang dilakukan harus didokumentasikan secara tertib dan dievaluasi untuk meyakini efektifitas dan keberhasilan pengujian. Jika dalam pengujian didapati kelemahan atas BCP, maka BCP perlu disempurnakan.

6.7.2. Test Plan Skenario Pengujian

Bank harus memiliki skenario pengujian untuk setiap uji coba yang akan dilakukan dan skenario tersebut harus dikaji kecukupannya. Pelaksanaan skenario tersebut tidak boleh mengganggu kegiatan operasional Bank. Hasil uji coba diharapkan dapat mendeteksi adanya kelemahan dari prosedur yang ada dalam rangka perbaikan BCP. 68 Dalam hal ini Bank perlu memvalidasi asumsi yang digunakan dalam skenario pengujiantest plan, antara lain mengenai: a. tingkat kritikal proses fungsi bisnis atau sistem yang diuji; b. volume transaksi; c. ketergantungan antar proses bisnis; d. strategi BCP yang dipilih Bank; e. ketersediaan dan kecukupan sumber daya yang diperlukan agar sesuai dengan service level yang ditetapkan, seperti waktu yang diperlukan untuk mempersiapkan fasilitas yang ada, mempersiapkan file backup atau mempersiapkan dokumen.

6.6.3. Analisis dan Laporan Hasil Pengujian

Hasil pengujian dan analisis dari setiap permasalahan yang ditemukan pada saat pengujian harus dilaporkan kepada direksi. Hal yang dilaporkan antara lain meliputi: a. penilaian ketercapaian tujuan pengujian; b. penilaian atas validitas pengujian pemrosesan data; c. tindakan korektif untuk mengatasi permasalahan yang terjadi; d. deskripsi mengenai kesenjangan antara BCP dan hasil pengujian serta usulan perubahannya; e. rekomendasi untuk pengujian selanjutnya. Apabila hasil uji coba mengalami kegagalan maka Bank harus mengkaji penyebab kegagalan atau permasalahan yang terjadi dan melakukan pengujian ulang. 6.7. PEMELIHARAAN BCP DAN AUDIT INTERN 6.7.1. Pemeliharaan BCP