PENYUSUNAN PROSES TATA KELOLA KEAMANAN INFORMASI DAN MANAJEMEN LAYANAN TI BERBASIS COBIT 5
Oleh PERDANA KUSUMAH, M.T. ARIES SYAMSUDDIN, M.T.
SINOPSIS
Penerobosan keamanan informasi terhadap sistem teknologi informasi dan komunikasi (TIK) dapat memberikan dampak terhadap kinerja organisasi dan kerugian finansial. Selain itu, permasalahan keamanan dapat berakibat terhadap bocornya informasi yang dapat disalahgunakan oleh pihak yang tidak berkepentingan. Hal ini dapat berakibat buruk terhadap citra organisasi terutama untuk lembaga pemerintah yang mengelola data rahasia. Permasalahan keamanan informasi umumnya diselesaikan secara parsial dan terbatas. Kelemahan sekecil apapun pada sistem keamanan informasi dapat memberikan dampak negatif terhadap pencapaian tujuan organisasi. Oleh karena itu, pembahasan keamanan informasi yang menyeluruh dan terintegrasi sangat diperlukan untuk mengamankan pencapaian tujuan tersebut. Buku ini membahas model proses tata kelola keamanan informasi yang menyeluruh dan terintegrasi pada suatu organisasi.
Buku ini memiliki tiga hal penting yang dapat dijadikan acuan atau pedoman penyusunan proses tata kelola keamanan informasi di suatu organisasi, yaitu: alat bantu penentuan lingkup proses tata kelola, model referensi proses dan model penilaian proses.
Kata keamanan informasi, tujuan organisasi, tujuan TI, risiko, sistem kunci:
manajemen layanan, proses tata kelola, proses governance, proses manajemen, model referensi proses, model penilaian proses, enablers.
KATA PENGANTAR
Puji syukur penulis panjatkan ke hadirat Allah SWT, yang atas rahmat dan karunia- Nya penulis dapat menyelesaikan buku ini. Shalawat dan salam tercurah kepada Rasulullah Muhammad SAW beserta keluarganya.
Buku ini disusun untuk membantu dalam penyusunan proses tata kelola keamanan informasi, beberapa keluaran yang terdiri atas: alat bantu penentuan lingkup proses tata kelola, model referensi proses, model penilaian proses, rekomendasi dan langkah penerapan tata kelolanya. Hal yang harus dibuat dalam penyusunan proses tata kelola keamanan informasi mencakup menentukan lingkup proses, membuat model referensi proses dan membuat model penilaian proses; model tata kelola yang dibuat dalam buku ini telah sesuai dengan kebutuhan keamanan informasi di organisasi secara umum, sehingga pembaca dapat mengadopsi dan menambahkan sesuai dengan kondisi organisasi yang akan diterapkan tata kelola keamanan informasi.
Dengan segala kerendahan hati, penulis mengucapkan terima kasih kepada penerbit yang telah membantu menerbitkan buku ini. Penulis juga mengucapkan terima kasih kepada rekan-rekan, yang telah banyak membantu dalam penyusunan buku ini, tidak lupa pula program studi Magister Informatika opsi Layanan Teknologi Informasi STEI ITB dan Cyber Security Center ITB tempat penulis belajar.
Penulis menyadari bahwa buku ini bukanlah tanpa kelemahan. Oleh karena itu, kritik dan saran sangat diharapkan untuk menjadi masukan dalam penulisan selanjutnya. Akhir kata, semoga buku ini dapat bermanfaat secara luas untuk kepentingan dunia pendidikan dan masyarakat Indonesia khususnya bagi para pembacanya.
Bandung, Februari 2014 Penulis
DAFTAR LAMPIRAN
LAMPIRAN A MODEL REFERENSI PROSES ............................................... A-1 LAMPIRAN B MODEL PENILAIAN PROSES ............................................... B-1
DAFTAR SINGKATAN
SINGKATAN Nama Pemakaian Pertama Kali pada Halaman
APO Align, Plan and Organise
14 BAI
15 BP
Build, Acquire and Implement
25 BSC
Best Practice
14 CSI
Balanced Score Card
28 DSS
Continual Service Improvement
15 EDM
Deliver, Service and Support
14 EG Enterprise Goals
Evaluate, Direct and Monitor
14 GP
25 GR
Generic Practice
25 GWP
Generic Resoruce
25 ITRG
Generic Work Product
14 MEA
IT-Related Goals
15 PA
Monitor, Evaluate and Assess
24 PAM
Process Attribute
23 SD
Process Assessment Model
28 SDM
Service Design
7 SMKI
Sumber Daya Manusia (people)
5 Informasi SO
Sistem Manajemen Keamanan
28 SS
Service Operation
27 ST
Service Strategy
28 TI
Service Transition
2 TIK
Teknologi Informasi
Teknologi Informasi dan Komunikasi 1
TKKI Tata Kelola Keamanan Informasi
2 WP
Work Product
BAGIAN I PENDAHULUAN
1.1 Latar Belakang
Penerobosan keamanan informasi terhadap sistem teknologi informasi dan komunikasi (TIK) dapat memberikan dampak terhadap kinerja organisasi dan kerugian finansial. Kondisi tersebut membuat keamanan informasi menjadi faktor yang sangat penting untuk diterapkan dalam organisasi [1-3] . Selain itu, faktor kunci lain yang sangat berpengaruh dalam keamanan informasi adalah security awareness [4] . Berdasarkan survei tahun 2005 yang dilakukan oleh CSI/FBI Computer Crime
and Security, serangan online atau cyber attack pada sistem TIK dapat menyebabkan total kerugian finansial yang sangat besar yaitu melebihi 50 juta dollar [2,5] . Selain itu, permasalahan keamanan dapat berakibat terhadap bocornya informasi yang dapat disalahgunakan oleh pihak yang tidak berkepentingan. Oleh karena itu, anggaran biaya keamanan informasi sebesar 10 – 13% dari total investasi
TIK merupakan hal yang wajar diterapkan pada sebagian besar organisasi [6] .
Keamanan informasi untuk melindungi bisnis dan TIK dari berbagai serangan dan ancaman umumnya dilakukan hanya berfokus pada solusi teknis saja tanpa
memikirkan aspek manajemen [7,8] . Salah satu contoh solusi engineering yang dimaksud adalah penggunaan teknologi artificial intelligence untuk mengatur
access control melalui agents dalam sistem manajemen risiko keamanan informasi [9] . Di Korea, penerapan sistem keamanan informasi secara parsial dapat
berdampak pada besarnya anggaran yang dikeluarkan karena tidak dapat mengatur tim keamanan informasi yang terintegrasi secara konsisten [10] .
Pada tahun 2012, tim Korea University melakukan riset keamanan informasi dan menyatakan bahwa pengendalian keamanan dilakukan berdasarkan identifikasi
risiko [11] . Riset yang dilakukan oleh tim JianZhu University menyatakan bahwa risiko [11] . Riset yang dilakukan oleh tim JianZhu University menyatakan bahwa
risiko [9,11,15,17,19,21-23] ,
teknologi/infrastruktur [6,15,19,24-30] ,
organisasi [1,3,5,31-33] , sumber daya manusia , proses , informasi ,
aplikasi/service [4,8,42] , kebijakan/prinsip , budaya/tingkah laku dan manajemen [2,7,10,29,31,38,43-49] .
[12,34-39]
[6,31,40-41]
Permasalahan keamanan informasi yang telah dibahas dalam beberapa penelitian sebelumnya masih bersifat parsial dan terbatas. Penerapan tersebut biasanya hanya mencakup area manajemen dari suatu organisasi. Kelemahan sekecil apapun pada sistem keamanan informasi dapat memberikan dampak negatif terhadap pencapaian tujuan enterprise atau organisasi secara luas. Oleh karena itu, pembahasan keamanan informasi yang menyeluruh dan terintegrasi sangat diperlukan untuk mengamankan pencapaian tujuan tersebut. Saat ini belum ada penelitian yang membahas tata kelola keamanan informasi secara menyeluruh pada institusi
pemerintahan ataupun perusahaan seperti yang dibahas dalam COBIT 5 [50] terutama pada sistem berbasis manajemen layanan TI [36,51-54] .
Tata kelola keamanan informasi yang menyeluruh sangat bermanfaat bagi pimpinan atau manajemen tingkat atas sebagai panduan dan pedoman dalam menerapkan keamanan informasi khususnya layanan TI di dalam organisasinya. Pada akhirnya, penerapan tersebut dapat melindungi organisasi dari risiko yang dapat memberikan kerugian khususnya finansial. Manfaat yang diberikan dapat dirasakan terutama oleh organisasi berbasis TI yang menganggap bahwa keamanan informasi merupakan faktor yang sangat penting. Organisasi tersebut dapat berupa sektor publik, non-profit ataupun swasta.
Buku ini menampilkan suatu model penerapan tata kelola keamanan informasi (TKKI) yang menyeluruh dan terintegrasi pada suatu organisasi. Penerapan tata
1.2 Batasan Penyusunan TKKI
Batasan masalah pada penyusunan buku ini adalah sebagai berikut.
a. Perancangan tata kelola keamanan informasi dikaitkan dengan sistem manajemen layanan.
b. Penilaian dan perancangan model tata kelola keamanan informasi menggunakan kerangka kerja COBIT 5, ITIL v3 dan ISO/IEC 15504 series.
1.3 Keluaran Penyusunan TKKI
Buku ini memberikan panduan penyusunan TKKI yang meliputi:
a. alat bantu penentuan lingkup proses tata kelola keamanan informasi,
b. model referensi proses tata kelola keamanan informasi,
c. model penilaian proses yang berfungsi sebagai alat ukur tingkat capability/kematangan tata kelola keamanan informasi.
BAGIAN II TEORI PENDUKUNG
2.1 Governance
Governance adalah proses pembentukan dan pemeliharaan suatu framework, manajemen dan proses untuk memberikan jaminan bahwa strategi yang digunakan sejalan dan mendukung tujuan bisnis [13-14] . Strategi tersebut konsisten terhadap
hukum dan peraturan, sesuai dengan kebijakan, pengawasan internal, tanggung jawab dan semua upaya dalam rangka mengatur risiko. Prinsip-prinsip governance
terdiri atas [55] :
a. strategic alignment, tujuan governance sejalan dengan tujuan organisasi;
b. manajemen risiko, governance merupakan bagian yang tidak terpisahkan dari enterprise risk management;
c. pemberian layanan, governance memberikan dukungan terhadap kebutuhan bisnis dan value yang diharapkan;
d. optimasi sumber daya, governance berhubungan dengan perencanaan, pengalokasian dan pengendalian sumber daya seperi orang, proses dan teknologi yang dapat memberikan nilai kepada bisnis;
e. evaluasi kinerja berkelanjutan, governance berfungsi untuk mengawasi kinerja dari proses-proses yang ada.
Penerapan governance dapat memberikan manfaat yang besar terhadap TI dan keamanan informasi apabila menggunakan framework yang tepat [56] .
2.2 Framework
Framework dapat diartikan sebagai sekumpulan konsep, asumsi dan praktik yang mendefinisikan bagaimana sesuatu dapat dipahami. Beberapa contoh framework yang umum digunakan dalam keamanan informasi dapat dijelaskan sebagai berikut.
mengelola isu yang terkait dengan manajemen pengendalian hak akses pengguna terhadap sistem informasi dan lingkungannya [15] .
b. COBIT 4.1 merupakan IT governance framework yang membantu managers untuk menjembatani perbedaan antara control requirement, isu teknis dan risiko bisnis. Framework ini berfokus pada cara memberikan informasi yang sesuai
dengan kebutuhan bisnis [15,18] .
c. ISO 27000 series merupakan dokumen standar keamanan yang dikeluarkan oleh ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission). ISO 27000 series terdiri atas beberapa bagian yang memiliki fungsi masing-masing. ISO/IEC 27001 mengandung persyaratan untuk sebuah Sistem Manajemen Keamanan Informasi (SMKI). ISO/IEC 27005 mendeskripsikan tentang manajemen risiko keamanan informasi. SMKI terdiri atas proses, prosedur dan sumber daya yang
terkait dengan keamanan informasi [16] . Standar ISO/IEC 27001 dibuat secara terstruktur berdasarkan model proses “Plan-Do-Check-Act” (PDCA). Proses
tersebut terdiri atas [57] : 1). plan, proses penyusunan SMKI;
2). do, proses pengimplementasian dan pengoperasian SMKI; 3). check, proses pengawasan dan pengkajian SMKI; 4). act, proses pemeliharaan dan perbaikan SMKI.
ISO 27000 series selanjutnya yang terkait dengan keamanan informasi adalah ISO/IEC 27002 atau disebut juga ISO/IEC 17799. Lingkup ISO/IEC 17799 adalah untuk membentuk pedoman dan prinsip-prinsip umum dalam penginisialisasian, pengimplementasian, pemeliharaan dan perbaikan manajemen keamanan informasi dalam suatu organisasi. Standar ini mencakup kebijakan keamanan, organisasi keamanan, pengaturan dan klasifikasi aset, keamanan personil, keamanan lingkungan dan fisik, manajemen operasi dan komunikasi, pengaturan akses, pengembangan dan pemeliharaan sistem dan
manajemen keberlangsungan bisnis [6,20] .
d. NIST SP 800-82 merupakan salah satu standar yang dikembangkan oleh d. NIST SP 800-82 merupakan salah satu standar yang dikembangkan oleh
e. Security Framework for EPU (Electric Power Utilities) merupakan framework gabungan yang dibuat oleh Ericsson [19] untuk mengatur keamanan informasi .
Framework ini terdiri atas empat bagian, yaitu: 1). enterprise risk management menggunakan COSO, 2). IT Governance menggunakan COBIT, 3). IT Service Management menggunakan ISO/IEC 20000 dan ITIL, 4). IT Security Management menggunakan ISO/IEC 27001-2.
Hubungan keempat bagian di atas dapat ditunjukkan oleh Gambar II-1.
Gambar II-1Security framework for EPU [19] .
2.3 Risiko
Risiko dapat diartikan sebagai kemungkinan ancaman menggunakan kelemahan sistem yang ada sehingga memberikan pengaruh negatif terhadap organisasi [11] .
Manajemen risiko muncul sebagai solusi untuk mengurangi dampak dan kemungkinan risiko sampai kepada level yang dapat diterima. Manajemen risiko merupakan suatu metode atau proses untuk membuat, mengimplementasikan, menjalankan, mengawasi, mengkaji, memelihara dan memperbaiki secara Manajemen risiko muncul sebagai solusi untuk mengurangi dampak dan kemungkinan risiko sampai kepada level yang dapat diterima. Manajemen risiko merupakan suatu metode atau proses untuk membuat, mengimplementasikan, menjalankan, mengawasi, mengkaji, memelihara dan memperbaiki secara
a. aset, merupakan obyek utama dari keamanan informasi yang seharusnya dilindungi sebagai informasi atau sumber daya yang krusial dalam suatu enteprise termasuk perangkat keras, perangkat lunak, kemampuan produk dan layanan, sumber daya manusia dan aset lain yang intangible;
b. ancaman, merupakan aktivitas potensial yang dapat menyebabkan kerusakan pada enterprise dan asetnya;
c. kelemahan, merupakan kekurangan yang melekat pada aset;
d. pengaruh, merupakan konsekuensi terhadap aset ketika suatu risiko terjadi;
e. risiko,
f. pengukuran keamanan, merupakan suatu cara, strategi dan mekanisme untuk melawan ancaman, mengurani kelemahan, membatasi pengaruh dari risiko, mendeteksi risiko dan mengevaluasi keamanan.
Contoh framework yang digunakan untuk menerapkan manajemen risiko adalah Enterprise Risk Management (COSO) dan Risk Management ISO/IEC 31000:2009 [19] .
2.4 Organisasi
Menurut Kyung dkk., keamanan informasi tidak hanya berfokus pada sistem informasi atau teknologi informasi saja, tetapi harus mempertimbangkan keseluruhan organisasi. Selain hal tersebut, pembuatan kebijakan keamanan informasi harus memperhatikan aspek-aspek organisasi sebagai berikut [31] :
a. formasi organisasi dan profesionalitas yang tepat,
b. sistem manajemen yang sistematis untuk keamanan informasi,
c. otorisasi dan tugas bagian keamanan informasi.
2.5 SDM, Proses dan Teknologi 2.5 SDM, Proses dan Teknologi
Teknologi atau dapat disebut infrastruktur merupakan salah satu aspek yang digunakan untuk mengamankan informasi. Contoh pemanfaatan teknologi atau infrastruktur yang digunakan untuk mengamankan informasi yaitu:
a. enkripsi database, merupakan enkripsi database dengan menggunakan teknik enkripsi simetrik atau asimetrik [24] ;
b. network management system, merupakan solusi untuk mengamankan pertukaran informasi antar domain yang berbeda [25] ;
c. keamanan pada Local Area Network (LAN), merupakan keamanan yang diterapkan pada lapisan jaringan, sistem operasi database [26] ;
d. mobile ad hoc network (MANET) security, merupakan solusi keamanan pada jaringan mobile yang digunakan untuk pertukaran data secara efektif dan
aman [27] ;
e. optical techniques untuk keamanan dan enkripsi informasi, merupakan solusi keamanan pada gelombang optik [28] ;
f. supervisory control and data acquisition (SCADA), merupakan sistem pengaturan keamanan cyber [19] ;
g. instrumentation and control network security management system (ICNSMS), merupakan sistem keamanan jaringan yang mengacu standar NUREG-0800 [29] ;
h. secure key generation, merupakan teknik pengamanan data yang dikirimkan melalui media wireless untuk menghindari fading channel dan eavesdropper [30] .
2.6 Informasi 2.6 Informasi
2.7 Service
Secara teknis, service adalah fungsi aplikasi yang didefinisikan melalui suatu interface. Service memiliki sifat loose coupling, independent, interoperable, reusable dan composable. Service dapat dikombinasi dan disusun ulang yang
disesuaikan dengan kebutuhan bisnis [37] . Sistem aplikasi yang dibentuk berbasiskan service disebut Service Oriented Architecture (SOA). Pada lingkungan SOA,
service requestor dan service provider saling memberikan informasi mengenai identitas ketika melakukan pengiriman pesan. Keamanan pada SOA dapat diatur dengan penggunaan identity management [12] .
Secara umum, service dapat diartikan sebagai pemberian value kepada pelanggan berupa outcome yang dibutuhkan tanpa harus menanggung risiko dan biaya [51] .
Proses yang dibutuhkan untuk menerapkan keamanan pada service yaitu [34] :
a. incident management,
b. capacity management,
c. configuration management,
d. performance management.
2.8 Kebijakan dan Prinsip
Menurut Solms dkk. [40] , kebijakan dapat diterapkan pada tiga level yaitu strategis, taktis dan operasional seperti yang ditunjukkan pada Gambar II-2. Komponen kebijakan keamanan informasi terdiri atas [31] :
a. Strategi,
b. Sistem atau organisasi,
Menurut Hai dkk., kebijakan dan prinsip keamanan memiliki jenis-jenis sebagai berikut [41] .
a. Prinsip keamanan. 1). Hirarki artinya setiap keamanan seharusnya diadopsi berdasarkan
kebutuhan pada masing-masing lapisan. 2). Bebas artinya keamanan tidak tergantung kepada arsitektur keamanan secara keseluruhan. 3). Beragam artinya berbagai macam pengguna, proses atau host dapat mengadopsi hal yang sama. 4). Dapat diatur artinya keamanan dapat dikonfigurasi. 5). Menyeluruh artinya keamanan disusun berdasarkan konsep secara
menyeluruh.
Gambar II-2 Level kebijakan [40] .
b. Kebijakan keamanan. 1). Keamanan jaringan. 2). Keamanan data. 3). Keamanan aplikasi. 4). Keamanan platform sistem.
2.9 Budaya dan Perilaku
Menurut Waly dkk. [8] , faktor yang mempengaruhi penerobosan keamanan adalah organisasi, perilaku dan pelatihan. Faktor tersebut juga akan mempengaruhi implementasi kebijakan keamanan organisasi. Identifikasi yang dilakukan terhadap faktor tersebut akan memberikan gambaran bahwa melatih pekerja sangat penting dilakukan agar terbentuk perilaku yang dapat mengurangi terjadinya penerobosan keamanan dan memperbaiki manajemen keamanan informasi. Upaya pencegahan terhadap penyalahgunaan perilaku pekerja dilakukan dengan cara teguran dan sanksi melalui prosedur pengendalian. Faktor budaya juga mempengaruhi perilaku
orang terhadap keamanan [4] . Perbedaan budaya akan menunjukkan tingkatan yang berbeda pada security awareness.
Pelatihan dapat membantu pengguna untuk mengeksplorasi informasi yang dibutuhkan dan mengembangkan pemahaman yang efektif tentang bagaimana melaksanakan kebijakan keamanan informasi. Program pelatihan dan awareness dapat digunakan untuk mempengaruhi budaya organisasi terhadap keamanan. Organisasi juga harus menyelidiki teknik pelatihan dan awareness yang efektif untuk meningkatkan persepsi pekerja, sikap dan motivasi, mentransfer keterampilan dan mempertahankan perilaku yang tepat terhadap keamanan
informasi [8,42] .
2.10 Manajemen
Manajemen keamanan informasi dapat diartikan sebagai cara menyimpan informasi secara aman, mengirim informasi penting melalui jalur yang aman dan cara mengidentifikasi tujuan informasi yang aman [43] . SMKI adalah kumpulan proses
dan aktivitas untuk menjamin tiga faktor (kerahasiaan, integritas dan ketersediaan) dan merupakan sistem manajemen sistematis yang mencakup sumber daya manusia, proses dan sistem informasi untuk melindungi informasi yang dimiliki organisasi secara aman [10] . SMKI mencakup empat subsistem yaitu strategi
BAGIAN III TEORI UTAMA
3.1 COBIT 5
Menurut COBIT 5 [58] , informasi adalah sumber daya utama bagi semua enterprise. Informasi dapat dibuat, digunakan, disimpan, diperlihatkan atau dihancurkan.
Teknologi memiliki peran penting terhadap informasi. Teknologi informasi sangat dibutuhkan oleh enterprise, lingkungan sosial, masyarakat dan bisnis.
Enterprise yang sukses telah mengakui bahwa dewan direksi dan eksekutif perlu merangkul TI seperti bagian penting dalam menjalankan bisnis. Dewan direksi dan manajemen yang terkait dengan bisnis dan TI harus berkolaborasi dan bekerja sama agar TI dapat dikelola dan diatur.
COBIT 5 memberikan framework yang komprehensif untuk membantu enterprise mencapai tujuan dalam kerangka governance dan management dari enterprise TI. COBIT 5 memungkinkan TI untuk diatur dan dikelola secara holistik. COBIT 5 bersifat generik dan berguna untuk seluruh jenis enterprise. COBIT 5 memiliki lima prinsip, yaitu:
a. meeting stakeholder needs,
b. covering the enterprise end-to-end,
c. applying a single, integrated framework,
d. enabling a holistic approach,
e. separating governance from management. COBIT 5 memiliki enablers yang merupakan faktor yang mempengaruhi
governance dan management dari enterprise TI. Struktur COBIT 5 enablers ditunjukkan oleh Gambar III-1. Enabler diturunkan dari tujuan organisasi yang telah didefinisikan. Ada tujuh COBIT 5 enablers yaitu: governance dan management dari enterprise TI. Struktur COBIT 5 enablers ditunjukkan oleh Gambar III-1. Enabler diturunkan dari tujuan organisasi yang telah didefinisikan. Ada tujuh COBIT 5 enablers yaitu:
e. informasi,
f. layanan, infrastruktur dan aplikasi,
g. SDM, kemampuan dan kompetensi. Hubungan antara enablers dan tujuan organisasi dapat ditunjukkan oleh Gambar
III-2. COBIT 5 bukan merupakan ketentuan, tetapi menganjurkan enterprise agar dapat menerapkan proses-proses governance dan management. Hubungan antara proses governance dan management ditunjukkan oleh Gambar III-3.
3. Organisational
4. Culture, Ethics
2. Processes
Structures
and Behaviour
1. Principles, Policies and Frameworks
6. Services,
7. People, Skills
5. Information
Infrastructures
and
and Applications
Competencies
Resources
Gambar III-1 COBIT 5 enablers [58] .
COBIT 5 telah merumuskan tujuan organisasi (enterprise goals/EG) dan tujuan terkait TI (IT-related goals/ITRG) yang bersifat generik berdasarkan dimensi balance scorecard (BSC). Tujuan tersebut dapat mencakup semua ukuran organisasi mulai dari komersial, non-profit ataupun sektor publik. Daftar tujuan organisasi ditunjukkan oleh Tabel III.1 dan tujuan terkait TI ditunjukkan oleh Tabel III.2.
COBIT 5 terdiri atas 37 proses yang terbagi dalam lima domain sebagai berikut:
a. evaluate, direct and monitor (EDM), terdiri atas lima proses; a. evaluate, direct and monitor (EDM), terdiri atas lima proses;
e. monitor, evaluate and assess (MEA), terdiri atas tiga proses.
Tabel III.1 Tujuan organisasi [58] .
BSC
No.
Enterprise Goals
EG-01
Stakeholder value of business investments
EG-02
Portfolio of competitive products and services
Managed business risk (safeguarding of assets) Financial
EG-03
EG-04
Compliance with external laws and regulations
EG-05
Financial transparency
EG-06
Customer-oriented service culture
EG-07
Business service continuity and availability
Agile responses to a changing business environment Customer
EG-08
EG-09
Information-based strategic decision making
EG-10
Optimisation of service delivery costs
EG-11
Optimisation of business process functionality
EG-12
Optimisation of business process costs
Managed business change programmes Internal Business Process
EG-13
EG-14
Operational and staff productivity
EG-15
Compliance with internal policies
EG-16
Skilled and motivated people
Learning and Growth
EG-17
Product and business innovation culture
Tabel III.2 Tujuan terkait TI [58] .
BSC
No.
IT-Related Goals
ITRG-01
Alignment of IT and business strategy IT compliance and support for business compliance with
ITRG-02 external laws and regulations
ITRG-03
Commitment of executive management for making IT-related decisions
Financial
ITRG-04
Managed IT-related business risk Realised benefits from IT-enabled investments and services
ITRG-05
portfolio
ITRG-06
Transparency of IT costs, benefits and risk
ITRG-07
Delivery of IT services in line with business requirements Adequate use of applications, information and technology
Customer
ITRG-08
solutions
ITRG-09
IT agility Security of information, processing infrastructure and
ITRG-10 applications
ITRG-11
Optimisation of IT assets, resources and capabilities
ITRG-12
Enablement and support of business processes by integrating applications and technology into business processes
Internal Business Process Delivery of programmes delivering benefits, on time, on
ITRG-13
budget, and meeting requirements and quality standards
Stakeholder Drivers (Enironment, Technology Evolution, ...)
Influence
Stakeholder Needs
Benefits
Risk
Resource
Realisation
Optimisation
Optimisation
Cascade to
Enterprise Goals
Cascade to
IT-related Goals
Cascade to
Enablers Goals
Gambar III-2 Pemetaan enablers dan tujuan organisasi [58] .
Pemetaan tujuan organisasi, tujuan terkait TI dan proses COBIT 5 ditunjukkan oleh Tabel III.3 dan Tabel III.4.
Business Needs
Governance
Evaluate
Direct
Management
Monitor
Feedback
Management
Monitor (APO)
Plan
Build
Run
(BAI)
(DSS)
(MEA)
Tabel III.3 Pemetaan tujuan generik TI dan organisasi [58] .
G G G G G G G G G G G G G G G G G ITR
ITR ITR ITR
ITR
ITR
ITR
ITR
ITR
ITR
ITR
ITR
ITR ITR ITR ITR ITR
- S - SS
EG SS - SP EG SSSP - EG
- SP - -
EG EG
S - - SS
EG EG SS EG EG EG EG EG PS EG EG EG
SS
- - - PS
EG
- - - SP
Tabel III.4 Pemetaan tujuan generik TI dan proses tata kelola [58] .
2 -01 G -0 G G -03
-12 G -13 G -14 G G -15 -16 G G -17 ITR
G -04
-05 G -06 G G -07
G -08
-09 G -10 G G -11
ITR ITR ITR
ITR
ITR
ITR
ITR
ITR
ITR
ITR
ITR
ITR ITR ITR ITR ITR
PSPS
SSSSS
ED SS - SP ED
SSSP
SSPSS
ED
S - SS
S - - PS
ED
SSP -
SSS - S
ED
PS
SSPPP
P - SS
SSSSP
P - SS
P - SS
S - SS
PSSS
P - SPP
P - SS
S - SSP
2 -01
-0 -03 -04
-13 -14 -15 -16 -17
G G G G G G G G G G G G G G G G G ITR
ITR ITR ITR
ITR
ITR
ITR
ITR
ITR
ITR
ITR
ITR
ITR ITR ITR ITR ITR
SSS - S
SS - S
PSSSS
PSSSS
I0
A P - SP
P - - SS
I0
A P SSS
SS - - S
I0
SS - - S
I0
SP - - S
I0
I0
A - - SP
SSS - S
I0
SSS - S
I0
- P - SP
I0 A - S - S
- SS - -
2 -01
-0 -03
-13 -14 -15 -16 -17
G G G G G G G G G G G G G G G G G ITR
ITR ITR
ITR
ITR
ITR
ITR
ITR
ITR
ITR
ITR
ITR
ITR ITR ITR ITR ITR
- SSSS
- SS - S
- PS - S
SS - P
- PSSS
SP - P
- SS - -
- SSSS
EA S SSP
SSPSS
EA - P - P
- SP - S
EA - P - P
M Keterangan:
P: hubungan bersifat primary atau terkait langsung. S: hubungan bersifat secondary atau tidak terkait langsung. -: tidak terkait.
3.2 COBIT 5 Enabling Process
COBIT 5 Enabling Process [59] merupakan pelengkap COBIT 5 yang mendefinisikan model referensi proses. Proses merupakan salah satu dari tujuh
COBIT 5 enablers yang terdiri atas 37 proses. Proses-proses yang dimaksud dapat dijelaskan sebagai berikut.
a. EDM
3). Ensure risk optimisation. 4). Ensure resource optimisation. 5). Ensure stakeholder transparency.
b. APO 1). Manage the IT management framework. 2). Manage strategy. 3). Manage enterprise architecture. 4). Manage innovation. 5). Manage portfolio. 6). Manage budget and costs. 7). Manage human resource. 8). Manage relationships. 9). Manage service agreements. 10). Manage suppliers. 11). Manage quality. 12). Manage risk. 13). Manage security.
c. BAI 1). Manage programmes and projects. 2). Manage requirements definition. 3). Manage solutions identification and build. 4). Manage availability and capacity. 5). Manage organisational change enablement. 6). Manage changes. 7). Manage change acceptance and transitioning. 8). Manage knowledge. 9). Manage assets. 10). Manage configuration.
d. DSS 1). Manage operations.
4). Manage continuity. 5). Manage security services. 6). Manage business process controls.
e. MEA 1). Monitor, evaluate and assess performance and conformance. 2). Monitor, evaluate and assess the system of internal control. 3). Monitor, evaluate and assess compliance with external requirements.
3.3 COBIT 5 for Risk
COBIT 5 for Risk [60] membahas risiko yang terkait dengan TI dan mempresentasikannya melalui dua perspektif yaitu fungsi dan manajemen risiko. Fungsi risiko berfokus pada hal-hal yang dibutuhkan untuk membangun dan memelihara fungsi risiko dalam suatu organisasi. Manajemen risiko berfokus pada proses tata kelola dan manajemen yang terkait risiko dengan mendefinisikan bagaimana mengoptimalkan, mengidentifikasi, menganalisis, merespon dan melaporkan risiko. Implementasi COBIT 5 for Risk juga merujuk kepada tujuh enablers yang telah disebutkan sebelumnya.
Salah satu informasi penting yang digunakan dalam proses manajemen risiko adalah skenario risiko. Skenario risiko merupakan deskripsi kejadian yang mungkin terjadi dan memberikan dampak pada pencapaian tujuan organisasi. Beberapa contoh kategori skenario risiko yang umum ada di dalam organisasi dapat dijelaskan oleh Tabel III.5.
Tabel III.5 Skenario risiko [60] .
No
Kategori Skenario Risiko
1 Pembuatan dan pemeliharaan portofolio
2 Manajemen siklus program/proyek
3 Pembuatan keputusan terkait investasi TI
4 Keahlian dan kemampuan TI
5 Operasional yang dilakukan oleh staf
6 Informasi (kerusakan, kebocoran dan akses)
7 Arsitektur
No
Kategori Skenario Risiko
13 Geopolitik
14 Pencurian atau perusakan infrastruktur
15 Malware
16 Serangan logis
17 Aksi industri
18 Lingkungan
19 Bencana alam
20 Inovasi
3.4 Process Assessment Model (PAM)
PAM merupakan suatu model yang bertujuan untuk menilai kapabilitas proses berdasarkan satu atau beberapa model referensi proses. PAM memiliki dua dimensi parameter yang terdiri atas skala kapabilitas dan entitas proses. Ilustrasi kerangka
kerja PAM dapat dilihat pada Gambar III-4 [61] .
le
Process
Measurement Framework
sca
· Capability Levels · Process Attributes
ty ili
Assessment
· Rating Scale
ap
C Model
123 ……………………….n
Process entities
Process Reference Model · Domain and Scope · Processes with Purpose and Outcomes
Gambar III-4 Kerangka kerja PAM [61] .
Skala kapabilitas proses didefinisikan dalam enam level skala ordinal yang dimulai dari incomplete sampai dengan optimizing. Masing-masing level memiliki sejumlah Skala kapabilitas proses didefinisikan dalam enam level skala ordinal yang dimulai dari incomplete sampai dengan optimizing. Masing-masing level memiliki sejumlah
c. Level 2: Managed process. 1). PA 2.1 Performance management attribute. 2). PA 2.2 Work product management attribute.
d. Level 3: Established process. 1). PA 3.1 Process definition attribute. 2). PA 3.2 Process deployment attribute.
e. Level 4: Predictable process. 1). PA 4.1 Process measurement attribute. 2). PA 4.2 Process control attribute.
f. Level 5: Optimizing process. 1). PA 5.1 Process innovation attribute. 2). PA 5.2 Process optimization attribute.
PA tersebut dapat dinilai berdasarkan selang interval sebagai berikut [62] :
a. N (not achieved): 0 – 15% achievement,
b. P (partially achieved): > 15% – 50% achievement,
c. L (largely achieved): > 50% - 85% achievement,
d. F (fully achieved): > 85% - 100% achievement. PAM mengacu pada prinsip bahwa kapabilitas proses dapat dinilai dengan cara
mengukur pencapaian PA. Pengukuran tersebut didasarkan pada bukti yang dikaitkan dengan indikator penilaian. Terdapat dua tipe indikator penilaian yaitu: indikator kapabilitas proses (level 1 sampai dengan level 5) dan indikator kinerja proses (khusus level 1) [63] .
Indikator kapabilitas proses terdiri atas:
a. Generic Practice (GP),
b. Generic Resource (GR),
c. Generik Work Product (GWP).
b. Work Product (WP). Struktur penilaian indikator tersebut ditunjukkan oleh Gambar III-5. Model
referensi proses yang dinilai merujuk kepada kumpulan proses yang telah didefinisikan pada subbab 3.2. Model penilaian proses COBIT 5 merujuk kepada struktur Gambar III-6.
Process Assessment ty n o
a b ili n
si - Level 5: Optimizing (2 attributes)
- Generic Practice (GP) p
- Level 4: Predictable (2 attributes) - Generic Resource (GR)
C ime
- Level 3: Established (2 attributes)
D - Level 2: Managed (2 attributes) - Generic Work Product (GWP)
- Base Practice (BP) - Level 1: Performed (1 attribute) - Work Product (WP)
System Life Cycle Process Process
dimension
Gambar III-5 Indikator penilaian [63] .
ty o n
b ili si - Level 5: Optimizing (2 attributes)
C ime - Level 4: Predictable (2 attributes)
D - Level 3: Established (2 attributes)
Merujuk ISO/IEC 15504 series - Level 2: Managed (2 attributes) - Level 1: Performed (1 attribute)
EDM Evaluate, Direct & Monitor APO
Align, Plan & Organise
BAI
Build, Acquire & Implement
DSS
Pro
3.5 COBIT 5 for Information Security
COBIT 5 for Information Security [50] fokus pada keamanan informasi dan menyediakan pedoman yang lebih lengkap dan praktik untuk para profesional keamanan informasi dan pihak lain yang terkait pada semua level enterprise. Manfaat yang diperoleh dari penggunaan COBIT 5 for Information Security dapat dijelaskan sebagai berikut.
a. Mengurangi kompleksitas dan peningkatan efektivitas biaya karena telah mengintegrasikan beberapa standar keamanan informasi, good practice dan/atau pedoman spesifik.
b. Meningkatkan kepuasan pengguna.
c. Memperbaiki integrasi keamanan informasi dalam enterprise.
d. Menginformasikan risk decisions dan risk awareness.
e. Memperbaiki pencegahan, pendeteksian dan pemulihan.
f. Mengurangi pengaruh insiden keamanan informasi.
g. Meningkatkan dukungan untuk inovasi dan persaingan.
h. Memperbaiki manajemen biaya yang terkait dengan fungsi keamanan informasi.
i. Memberikan pemahaman yang lebih baik terhadap keamanan informasi. COBIT 5 for Information Security menyediakan pedoman khusus yang terkait
dengan semua enablers.
3.6 Manajemen Layanan TI
Manajemen layanan TI merupakan sistem manajemen yang bertujuan untuk mengarahkan dan mengatur aktivitas layanan TI yang diberikan oleh pihak pemberi layanan. Sistem manajemen tersebut mencakup kebijakan, tujuan, perencanaan, proses, dokumentasi dan sumber daya yang dibutuhkan dalam siklus layanan. Siklus tersebut meliputi strategi, perancangan, transisi, operasi dan perbaikan yang
berkelanjutan [65,66] .
a. Service Strategy (SS). 1). Strategy generation. 2). Service portfolio management. 3). Financial management for IT services. 4). Demand management. 5). Business relationship management.
b. Service Design (SD). 1). Design coordination. 2). Service catalogue management. 3). Service level management. 4). Availability management. 5). Capacity management. 6). IT service continuity management. 7). Information security management. 8). Supplier management.
c. Service Transition (ST). 1). Transisition planning and support. 2). Change management. 3). Service asset and configuration management. 4). Release and deployment management. 5). Service validation and testing. 6). Change evaluation. 7). Knowledge management.
d. Service Operation (SO). 1). Event management. 2). Incident management. 3). Request fulfillment. 4). Problem management. 5). Access management. 6). Operation management.
2). Service reporting. 3). 7-step improvement.
BAGIAN IV METODE PENYUSUNAN TKKI
Metode penyusunan TKKI merupakan kumpulan metode dan cara penyusunan proses TKKI di suatu organisasi. Metode tersebut diuraikan pada bagian di bawah ini.
4.1 Analisis Kebutuhan
Analisis kebutuhan bertujuan untuk mendefinisikan hal-hal yang dibutuhkan dalam rangka menerapkan tata kelola keamanan informasi. Tahapan ini berisi proses penentuan lingkup yang bertujuan untuk menentukan proses tata kelola yang perlu diukur atau dinilai. Gambar IV-1 menunjukkan alur proses penentuan lingkup yang dimaksud.
Cascading Tujuan Organisasi Menentukan Lingkup
(COBIT5 Framework) (Scoping)
Petakan Tujuan Renstra Organisasi
Petakan Tujuan IT Based on ISO/IEC 27002:2005
Tujuan organisasi
TI Masterplan
Pilih Proses Tata Kelola
Tentukan sumber kebutuhan keamanan: · Penilaian risiko
Penilaian Risiko:
· Peraturan
Penilaian risiko
· COBIT5 for Risk
Manajemen Layanan TI
(ITIL v3) · Prinsip, tujuan dan kebutuhan organisasi
· ISO/IEC 31000:2009
Proses terkait layanan
Prioritas
Proses
Risiko
Prioritas proses
Terpilih
Gambar IV-1 Alur proses penentuan lingkup.
4.1.1 Penentuan Tujuan Organisasi
Analisis tujuan organisasi membutuhkan masukan berupa EG yang telah didefinisikan oleh COBIT 5 dan tujuan organisasi. Hal selanjutnya yang dilakukan adalah membandingkan dan memeriksa keduanya untuk menentukan padanannya. Kerangka berpikir perumusan tujuan organisasi ditunjukkan oleh Gambar IV-2.
Pelajari Tujuan Adopsi EG (COBIT 5) Organisasi
Bandingkan dan Padankan
Ya
Sesuai?
Tidak
EG Terpilih
Pilih
Tidak Dipilih N
Gambar IV-2 Penentuan lingkup tujuan organisasi.
4.1.2 Penentuan Tujuan TI
Analisis tujuan TI membutuhkan masukan berupa pemetaan antara EG dengan ITRG yang telah didefinisikan oleh COBIT 5 dan tujuan TI organisasi. Hal yang dilakukan adalah mengadopsi pemetaan EG dengan ITRG dan membandingkannya dengan tujuan TI yang dimiliki oleh organisasi. Kerangka berpikir perumusan tujuan organisasi ditunjukkan oleh Gambar IV-3.
4.1.3 Penentuan Sistem Manajemen Layanan
Penentuan lingkup tata kelola keamanan informasi pada sistem manajemen layanan melibatkan proses tata kelola dan proses manajemen layanan. Hal yang dilakukan adalah memetakan atau mencocokkan proses tata kelola dan proses manajemen layanan berdasarkan kesamaan peran dan fungsi. Kerangka berpikir pemetaan proses tersebut ditunjukkan oleh Gambar IV-4.
EG Terpilih
Analisis pemetaan EG dan ITRG
Primary (P) Jenis Relasi
Tentukan Jenis
Relasi
Secondary (S)
Pilih ITRG
Pelajari Tujuan TI Organisasi
Bandingkan dan Padankan
Ya
Sesuai?
Tidak
ITRG Terpilih
Pilih
Tidak Dipilih N
Pemilihan Proses
Proses
(Otomatis)
Terpilih
Gambar IV-3 Penentuan lingkup tujuan TI.
Jenis relasi terdiri atas dua jenis yaitu primary (P) dan secondary (S). P memiliki arti bahwa hubungan antara EG dan ITRG sangat erat atau terkait langsung, sedangkan S memiliki arti bahwa hubungannya lemah atau tidak terkait langsung.
4.1.4 Penilaian Risiko
Penilaian risiko bertujuan untuk mengurutkan penanganan proses tata kelola berdasarkan tingkat kepentingannya yang dapat berupa T (tinggi), M (menengah) dan R (rendah). Dasar penentuan prioritas risiko mengacu pada standar ISO/IEC 31000:2009 dan COBIT 5 for Risk. Kerangka berpikir penentuan prioritas risiko ditunjukkan oleh Gambar IV-5.
Analisis Proses
Analisis SMS
(COBIT 5)
(ITIL v3)
Bandingkan dan Padankan
Ya
Sesuai?
Tidak
Pilih
Tidak Dipilih
Proses Terpilih
Gambar IV-4 Pemetaan proses COBIT 5 dan ITIL v3.
Skenario risiko
Mendata Risiko
Menentukan Level Risiko
Menentukan B/C
ISO/IEC 31000:2009
Ratio
Menentukan Prioritas Risiko
Proses
Memetakan Risiko dan
Terpilih Proses Tata Kelola Mitigasi
Prioritas Proses
4.2 Perancangan
Perancangan merupakan proses yang bertujuan untuk menghasilkan suatu alat ukur yang sesuai dengan standar penilaian proses tata kelola keamanan informasi. Gambar IV-6 menunjukkan alur proses perancangan alat ukur penilaian proses tata kelola keamanan informasi.
4.2.1 Perancangan Model Referensi Proses
Perancangan model referensi proses bertujuan untuk membuat model atau peta dimensi proses tata kelola keamanan informasi. Model ini dijadikan dasar dalam pembuatan suatu model penilaian proses. Kerangka berpikir perancangan model referensi proses ditunjukkan oleh Gambar IV-7.
Proses Terpilih
ISO/IEC 15504-1
Menentukan standar
berdasarkan
ISO/IEC 15504-2
pengukuran proses
ISO/IEC 15504-5
Menentukan model referensi menggunakan COBIT5 for Information Security
Process Reference Model for
menghasilkan
proses
Information Security
menggunakan
Menentukan proses terkait
menggunakan
keamanan informasi
Process Assessment Model for
menggunakan COBIT5 Process Information Security
menghasilkan
Menentukan komponen
proses
Assessment Model
mendefinisikan · Practices
· Work products · Resources
Gambar IV-6 Alur proses perancangan.
Gambar IV-7 Perancangan model referensi proses.
4.2.2 Perancangan Model Penilaian Proses
Perancangan model penilaian proses bertujuan untuk membuat model penilaian proses tata kelola keamanan informasi berdasarkan level pencapaian kemampuan. Model ini dijadikan sebagai dasar perhitungan analisis kesenjangan pada proses tata kelola keamanan informasi. Kerangka berpikir perancangan model penilaian proses ditunjukkan oleh Gambar IV-8.
1. tidak ada, artinya komponen proses yang dimaksud tidak ada atau tidak dilakukan,
2. sebagian kecil, artinya telah ada sedikit bukti adanya atau dilaksanakannya komponen proses yang dimaksud,
3. sebagian besar, artinya telah banyak bukti adanya atau dilaksanakannya komponen proses yang dimaksud,
4. penuh, artinya komponen proses yang dimaksud telah ada atau dilaksanakan secara maksimal.
4.3 Analisis Kesenjangan
Analisis kesenjangan merupakan proses yang bertujuan untuk mengetahui kondisi capability/kematangan tata kelola keamanan informasi yang ada saat ini dan harapan yang akan dicapai oleh suatu organisasi. Kondisi tersebut dinilai dengan menggunakan model penilaian proses yang telah dijelaskan pada subbab 4.2.2.
4.4 Pemberian Rekomendasi
Rekomendasi merupakan masukan yang diberikan kepada organisasi untuk membangun suatu tata kelola keamanan informasi di organisasinya. Rekomendasi terhadap proses tata kelola dibuat berdasarkan hasil analisis kesenjangan.
4.5 Penerapan
Penerapan merupakan proses pendefinisian urutan langkah-langkah yang harus dilaksanakan untuk mengimplementasikan rekomendasi yang diberikan terkait tata kelola keamanan informasi pada suatu organisasi. Proses ini mengacu kepada suatu kerangka kerja penerapan tata kelola TI yang umum digunakan yaitu dengan pendekatan John Kotter yang telah didefinisikan dalam COBIT 5
Implementation [67] .
BAGIAN V PENYUSUNAN TKKI
Bab ini menjelaskan sistematika analisis kondisi TKKI yang ada saat ini dan harapan ke depan. Hal ini diawali dengan analisis lingkup TKKI. Setelah diketahui lingkup proses, hal selanjutnya yang dilakukan adalah pengukuran kondisi keamanan informasi saat ini yang dipetakan ke dalam level pencapaian terhadap suatu standar pengukuran proses. Hal terakhir yang dilakukan pada bab ini adalah analisis kesenjangan antara kondisi yang ada saat ini dengan target pencapaian. Hasil analisis yang diperoleh dapat dijadikan sebagai dasar pembuatan rekomendasi yang tepat terhadap TKKI di organisasi.
Perancangan yang dilakukan pada bab ini adalah pembuatan alat bantu pengukuran TKKI. Alat bantu yang dibuat terdiri atas: penurunan tujuan organisasi dan TI, pemetaan proses tata kelola terhadap proses manajemen layanan, pemodelan referensi proses dan pemodelan penilaian proses. Hasil rancangan yang ada diharapkan dapat membantu dalam menemukan formulasi yang tepat untuk mengukur tata kelola yang ada di organisasi.
5.1 Alat Bantu Penentuan Lingkup TKKI
Penentuan lingkup TKKI bertujuan untuk mengidentifikasi kebutuhan keamanan informasi pada organisasi yang dijadikan tempat studi kasus. Berdasarkan teori yang dikeluarkan oleh ISO/IEC 27002:2013 [68] , beberapa sumber yang dapat
dijadikan dasar dalam penentuan lingkup kebutuhan keamanan informasi dapat dijelaskan sebagai berikut.
1. Kumpulan prinsip, tujuan dan kebutuhan bisnis organisasi. Sumber ini dapat diambil dari pemetaan tujuan organisasi, pemetaan tujuan TI dan pemetaan sistem manajemen layanan yang terdapat di organisasi.
2. Penilaian risiko.
5.1.1 Pemetaan Tujuan Organisasi
Pemetaan tujuan organisasi merupakan penentuan lingkup keamanan informasi yang diambil dari subbab 5.1 butir 1 khususnya pada tujuan organisasi. Pemetaan ini bertujuan untuk menurunkan dan merumuskan tujuan organisasi ke dalam bentuk EG yang bersifat generik dan terkait informasi. EG ini sesuai dengan yang telah didefinisikan oleh kerangka kerja COBIT 5. Tabel V.1 menunjukkan hasil pemetaan contoh tujuan organisasi yang terkait informasi di organisasi.
Tabel V.1 Contoh tujuan organisasi.
BSC
EG (Y/T)
Tujuan Organisasi
Indikator Kinerja Utama
EG-01
EG-02
Financial EG-03
EG-04
EG-05
[sebutkan tujuan
[uraikan indikator
pencapaiannya] EG-06
organisasi yang terkait]
EG-07
EG-08
Customer
EG-09
[sebutkan tujuan
[uraikan indikator
pencapaiannya] EG-10
organisasi yang terkait]
[uraikan indikator EG-11
[sebutkan tujuan
pencapaiannya] EG-12
organisasi yang terkait]
Internal EG-13
Business Process
[uraikan indikator EG-14
[sebutkan tujuan
pencapaiannya] EG-15
organisasi yang terkait]
[uraikan indikator EG-16
[sebutkan tujuan
pencapaiannya] & Growth
Learning
organisasi yang terkait]
[uraikan indikator EG-17
[sebutkan tujuan
organisasi yang terkait]
pencapaiannya] Keterangan: Y: (ya) terkait dengan tujuan organisasi. T: (tidak) terkait dengan tujuan organisasi.
5.1.2 Pemetaan Tujuan TI
Pemetaan tujuan TI merupakan turunan dari tujuan organisasi yang digunkan untuk menentukan lingkup keamanan informasi yang lebih spesifik pada TI. Pemetaan ini bertujuan untuk menurunkan dan merumuskan tujuan TI ke dalam bentuk ITRG yang bersifat generik. Tabel V.2 menunjukkan hasil pemetaan tujuan TI organisasi.
Tabel V.2 Tujuan TI Organisasi.
BSC ITRG (P/S)
(Y/T)
Tujuan TI
Indikator Kinerja Utama
Organisasi
[uraikan indikator ITRG-01
[sebutkan tujuan TI
pencapaiannya] l
yang terkait]
ITRG-02
cia n ITRG-03 S
a in
ITRG-04 S
F ITRG-05
[uraikan indikator ITRG-06
[sebutkan tujuan TI
yang terkait]
pencapaiannya]
[uraikan indikator mer
[sebutkan tujuan TI
pencapaiannya] sto u
ITRG-07 P
yang terkait]
[sebutkan tujuan TI
[uraikan indikator
C ITRG-08 P
pencapaiannya] ITRG-09
yang terkait]
ITRG-10 ITRG-11 S
[uraikan indikator ITRG-12
l a [sebutkan tujuan TI
pencapaiannya] tern In
yang terkait]
ITRG-13
ITRG-14 P
[sebutkan tujuan TI
[uraikan indikator
yang terkait]
pencapaiannya]
ITRG-15
g & th ITRG-16 P
[sebutkan tujuan TI
[uraikan indikator
in w
pencapaiannya] rn
yang terkait]
[uraikan indikator Lea
Gro ITRG-17 P
[sebutkan tujuan TI
yang terkait]
pencapaiannya] Keterangan:
P: hubungan bersifat primary atau terkait langsung antara tujuan generik TI dan organisasi.
S: hubungan bersifat secondary atau tidak terkait langsung antara tujuan generik TI dan organisasi.
Y: (ya) terkait dengan tujuan TI organisasi. T: (tidak) terkait dengan tujuan TI organisasi.
Pada Tabel V.2, penentuan nilai pada kolom (Y/T) didasarkan kepada keterkaitan Pada Tabel V.2, penentuan nilai pada kolom (Y/T) didasarkan kepada keterkaitan
1. kolom (P/S) bernilai P,
2. terdapat tujuan TI organisasi yang terkait dengan tujuan generik TI. Skema pemetaan antara tujuan generik TI dan proses tata kelola (governance dan
management) ditunjukkan oleh Tabel III.4. Skema ini bertujuan untuk menghasilkan proses tata kelola yang terpilih dalam penentuan lingkup TKKI berdasarkan tujuan organisasi dan TI. Contoh rangkuman proses tata kelola yang terpilih ditunjukkan oleh Tabel V.3.
Tabel V.3 Contoh rangkuman proses tata kelola terpilih.
(P/S (Y/N
ID Nama Proses Tata Kelola
EDM0 Ensure Governance Framework Setting and Maintenance
1 EDM0
Ensure Benefits Delivery
2 EDM0
Ensure Risk Optimisation
3 EDM0
Ensure Resource Optimisation
4 EDM0
Ensure Stakeholder Transparency
5 APO01
Manage the IT Management Framework
APO02 Manage Strategy
APO03 Manage Enterprise Architecture
APO04 Manage Innovation
APO05 Manage Portfolio
APO06 Manage Budget and Costs
APO07 Manage Human Resources APO08
Manage Relationships
APO09 Manage Service Agreements APO10
Manage Supplies
APO11 Manage Quality APO12
Manage Risk
APO13 Manage Security
BAI01 Manage Programmes and Projects
BAI02 Manage Requirements Definition
(P/S (Y/N
ID Nama Proses Tata Kelola
BAI06 Manage Changes BAI07
Manage Change Acceptance and Transitioning
BAI08 Manage Knowledge
BAI09 Manage Assets
BAI10 Manage Configuration
DSS01 Manage Operations
DSS02 Manage Service Requests and Incidents
DSS03 Manage Problems DSS04
Manage Continuity
DSS05 Manage Security Services DSS06