Oleh PERDANA KUSUMAH, M.T. ARIES SYAMSUDDIN, M.T.

SINOPSIS

Penerobosan keamanan informasi terhadap sistem teknologi informasi dan komunikasi (TIK) dapat memberikan dampak terhadap kinerja organisasi dan kerugian finansial. Selain itu, permasalahan keamanan dapat berakibat terhadap bocornya informasi yang dapat disalahgunakan oleh pihak yang tidak berkepentingan. Hal ini dapat berakibat buruk terhadap citra organisasi terutama untuk lembaga pemerintah yang mengelola data rahasia. Permasalahan keamanan informasi umumnya diselesaikan secara parsial dan terbatas. Kelemahan sekecil apapun pada sistem keamanan informasi dapat memberikan dampak negatif terhadap pencapaian tujuan organisasi. Oleh karena itu, pembahasan keamanan informasi yang menyeluruh dan terintegrasi sangat diperlukan untuk mengamankan pencapaian tujuan tersebut. Buku ini membahas model proses tata kelola keamanan informasi yang menyeluruh dan terintegrasi pada suatu organisasi.

Buku ini memiliki tiga hal penting yang dapat dijadikan acuan atau pedoman penyusunan proses tata kelola keamanan informasi di suatu organisasi, yaitu: alat bantu penentuan lingkup proses tata kelola, model referensi proses dan model penilaian proses.

Kata keamanan informasi, tujuan organisasi, tujuan TI, risiko, sistem kunci:

manajemen layanan, proses tata kelola, proses governance, proses manajemen, model referensi proses, model penilaian proses, enablers.

KATA PENGANTAR

Puji syukur penulis panjatkan ke hadirat Allah SWT, yang atas rahmat dan karunia- Nya penulis dapat menyelesaikan buku ini. Shalawat dan salam tercurah kepada Rasulullah Muhammad SAW beserta keluarganya.

Buku ini disusun untuk membantu dalam penyusunan proses tata kelola keamanan informasi, beberapa keluaran yang terdiri atas: alat bantu penentuan lingkup proses tata kelola, model referensi proses, model penilaian proses, rekomendasi dan langkah penerapan tata kelolanya. Hal yang harus dibuat dalam penyusunan proses tata kelola keamanan informasi mencakup menentukan lingkup proses, membuat model referensi proses dan membuat model penilaian proses; model tata kelola yang dibuat dalam buku ini telah sesuai dengan kebutuhan keamanan informasi di organisasi secara umum, sehingga pembaca dapat mengadopsi dan menambahkan sesuai dengan kondisi organisasi yang akan diterapkan tata kelola keamanan informasi.

Dengan segala kerendahan hati, penulis mengucapkan terima kasih kepada penerbit yang telah membantu menerbitkan buku ini. Penulis juga mengucapkan terima kasih kepada rekan-rekan, yang telah banyak membantu dalam penyusunan buku ini, tidak lupa pula program studi Magister Informatika opsi Layanan Teknologi Informasi STEI ITB dan Cyber Security Center ITB tempat penulis belajar.

Penulis menyadari bahwa buku ini bukanlah tanpa kelemahan. Oleh karena itu, kritik dan saran sangat diharapkan untuk menjadi masukan dalam penulisan selanjutnya. Akhir kata, semoga buku ini dapat bermanfaat secara luas untuk kepentingan dunia pendidikan dan masyarakat Indonesia khususnya bagi para pembacanya.

Bandung, Februari 2014 Penulis

DAFTAR LAMPIRAN

LAMPIRAN A MODEL REFERENSI PROSES ............................................... A-1 LAMPIRAN B MODEL PENILAIAN PROSES ............................................... B-1

DAFTAR SINGKATAN

SINGKATAN Nama Pemakaian Pertama Kali pada Halaman

APO Align, Plan and Organise

14 BAI

15 BP

Build, Acquire and Implement

25 BSC

Best Practice

14 CSI

Balanced Score Card

28 DSS

Continual Service Improvement

15 EDM

Deliver, Service and Support

14 EG Enterprise Goals

Evaluate, Direct and Monitor

14 GP

25 GR

Generic Practice

25 GWP

Generic Resoruce

25 ITRG

Generic Work Product

14 MEA

IT-Related Goals

15 PA

Monitor, Evaluate and Assess

24 PAM

Process Attribute

23 SD

Process Assessment Model

28 SDM

Service Design

7 SMKI

Sumber Daya Manusia (people)

5 Informasi SO

Sistem Manajemen Keamanan

28 SS

Service Operation

27 ST

Service Strategy

28 TI

Service Transition

2 TIK

Teknologi Informasi

Teknologi Informasi dan Komunikasi 1

TKKI Tata Kelola Keamanan Informasi

2 WP

Work Product

BAGIAN I PENDAHULUAN

1.1 Latar Belakang

Penerobosan keamanan informasi terhadap sistem teknologi informasi dan komunikasi (TIK) dapat memberikan dampak terhadap kinerja organisasi dan kerugian finansial. Kondisi tersebut membuat keamanan informasi menjadi faktor yang sangat penting untuk diterapkan dalam organisasi [1-3] . Selain itu, faktor kunci lain yang sangat berpengaruh dalam keamanan informasi adalah security awareness [4] . Berdasarkan survei tahun 2005 yang dilakukan oleh CSI/FBI Computer Crime

and Security, serangan online atau cyber attack pada sistem TIK dapat menyebabkan total kerugian finansial yang sangat besar yaitu melebihi 50 juta dollar [2,5] . Selain itu, permasalahan keamanan dapat berakibat terhadap bocornya informasi yang dapat disalahgunakan oleh pihak yang tidak berkepentingan. Oleh karena itu, anggaran biaya keamanan informasi sebesar 10 – 13% dari total investasi

TIK merupakan hal yang wajar diterapkan pada sebagian besar organisasi [6] .

Keamanan informasi untuk melindungi bisnis dan TIK dari berbagai serangan dan ancaman umumnya dilakukan hanya berfokus pada solusi teknis saja tanpa

memikirkan aspek manajemen [7,8] . Salah satu contoh solusi engineering yang dimaksud adalah penggunaan teknologi artificial intelligence untuk mengatur

access control melalui agents dalam sistem manajemen risiko keamanan informasi [9] . Di Korea, penerapan sistem keamanan informasi secara parsial dapat

berdampak pada besarnya anggaran yang dikeluarkan karena tidak dapat mengatur tim keamanan informasi yang terintegrasi secara konsisten [10] .

Pada tahun 2012, tim Korea University melakukan riset keamanan informasi dan menyatakan bahwa pengendalian keamanan dilakukan berdasarkan identifikasi

risiko [11] . Riset yang dilakukan oleh tim JianZhu University menyatakan bahwa risiko [11] . Riset yang dilakukan oleh tim JianZhu University menyatakan bahwa

risiko [9,11,15,17,19,21-23] ,

teknologi/infrastruktur [6,15,19,24-30] ,

organisasi [1,3,5,31-33] , sumber daya manusia , proses , informasi ,

aplikasi/service [4,8,42] , kebijakan/prinsip , budaya/tingkah laku dan manajemen [2,7,10,29,31,38,43-49] .

[12,34-39]

[6,31,40-41]

Permasalahan keamanan informasi yang telah dibahas dalam beberapa penelitian sebelumnya masih bersifat parsial dan terbatas. Penerapan tersebut biasanya hanya mencakup area manajemen dari suatu organisasi. Kelemahan sekecil apapun pada sistem keamanan informasi dapat memberikan dampak negatif terhadap pencapaian tujuan enterprise atau organisasi secara luas. Oleh karena itu, pembahasan keamanan informasi yang menyeluruh dan terintegrasi sangat diperlukan untuk mengamankan pencapaian tujuan tersebut. Saat ini belum ada penelitian yang membahas tata kelola keamanan informasi secara menyeluruh pada institusi

pemerintahan ataupun perusahaan seperti yang dibahas dalam COBIT 5 [50] terutama pada sistem berbasis manajemen layanan TI [36,51-54] .

Tata kelola keamanan informasi yang menyeluruh sangat bermanfaat bagi pimpinan atau manajemen tingkat atas sebagai panduan dan pedoman dalam menerapkan keamanan informasi khususnya layanan TI di dalam organisasinya. Pada akhirnya, penerapan tersebut dapat melindungi organisasi dari risiko yang dapat memberikan kerugian khususnya finansial. Manfaat yang diberikan dapat dirasakan terutama oleh organisasi berbasis TI yang menganggap bahwa keamanan informasi merupakan faktor yang sangat penting. Organisasi tersebut dapat berupa sektor publik, non-profit ataupun swasta.

Buku ini menampilkan suatu model penerapan tata kelola keamanan informasi (TKKI) yang menyeluruh dan terintegrasi pada suatu organisasi. Penerapan tata

1.2 Batasan Penyusunan TKKI

Batasan masalah pada penyusunan buku ini adalah sebagai berikut.

a. Perancangan tata kelola keamanan informasi dikaitkan dengan sistem manajemen layanan.

b. Penilaian dan perancangan model tata kelola keamanan informasi menggunakan kerangka kerja COBIT 5, ITIL v3 dan ISO/IEC 15504 series.

1.3 Keluaran Penyusunan TKKI

Buku ini memberikan panduan penyusunan TKKI yang meliputi:

a. alat bantu penentuan lingkup proses tata kelola keamanan informasi,

b. model referensi proses tata kelola keamanan informasi,

c. model penilaian proses yang berfungsi sebagai alat ukur tingkat capability/kematangan tata kelola keamanan informasi.

BAGIAN II TEORI PENDUKUNG

2.1 Governance

Governance adalah proses pembentukan dan pemeliharaan suatu framework, manajemen dan proses untuk memberikan jaminan bahwa strategi yang digunakan sejalan dan mendukung tujuan bisnis [13-14] . Strategi tersebut konsisten terhadap

hukum dan peraturan, sesuai dengan kebijakan, pengawasan internal, tanggung jawab dan semua upaya dalam rangka mengatur risiko. Prinsip-prinsip governance

terdiri atas [55] :

a. strategic alignment, tujuan governance sejalan dengan tujuan organisasi;

b. manajemen risiko, governance merupakan bagian yang tidak terpisahkan dari enterprise risk management;

c. pemberian layanan, governance memberikan dukungan terhadap kebutuhan bisnis dan value yang diharapkan;

d. optimasi sumber daya, governance berhubungan dengan perencanaan, pengalokasian dan pengendalian sumber daya seperi orang, proses dan teknologi yang dapat memberikan nilai kepada bisnis;

e. evaluasi kinerja berkelanjutan, governance berfungsi untuk mengawasi kinerja dari proses-proses yang ada.

Penerapan governance dapat memberikan manfaat yang besar terhadap TI dan keamanan informasi apabila menggunakan framework yang tepat [56] .

2.2 Framework

Framework dapat diartikan sebagai sekumpulan konsep, asumsi dan praktik yang mendefinisikan bagaimana sesuatu dapat dipahami. Beberapa contoh framework yang umum digunakan dalam keamanan informasi dapat dijelaskan sebagai berikut.

mengelola isu yang terkait dengan manajemen pengendalian hak akses pengguna terhadap sistem informasi dan lingkungannya [15] .

b. COBIT 4.1 merupakan IT governance framework yang membantu managers untuk menjembatani perbedaan antara control requirement, isu teknis dan risiko bisnis. Framework ini berfokus pada cara memberikan informasi yang sesuai

dengan kebutuhan bisnis [15,18] .

c. ISO 27000 series merupakan dokumen standar keamanan yang dikeluarkan oleh ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission). ISO 27000 series terdiri atas beberapa bagian yang memiliki fungsi masing-masing. ISO/IEC 27001 mengandung persyaratan untuk sebuah Sistem Manajemen Keamanan Informasi (SMKI). ISO/IEC 27005 mendeskripsikan tentang manajemen risiko keamanan informasi. SMKI terdiri atas proses, prosedur dan sumber daya yang

terkait dengan keamanan informasi [16] . Standar ISO/IEC 27001 dibuat secara terstruktur berdasarkan model proses “Plan-Do-Check-Act” (PDCA). Proses

tersebut terdiri atas [57] : 1). plan, proses penyusunan SMKI;

2). do, proses pengimplementasian dan pengoperasian SMKI; 3). check, proses pengawasan dan pengkajian SMKI; 4). act, proses pemeliharaan dan perbaikan SMKI.

ISO 27000 series selanjutnya yang terkait dengan keamanan informasi adalah ISO/IEC 27002 atau disebut juga ISO/IEC 17799. Lingkup ISO/IEC 17799 adalah untuk membentuk pedoman dan prinsip-prinsip umum dalam penginisialisasian, pengimplementasian, pemeliharaan dan perbaikan manajemen keamanan informasi dalam suatu organisasi. Standar ini mencakup kebijakan keamanan, organisasi keamanan, pengaturan dan klasifikasi aset, keamanan personil, keamanan lingkungan dan fisik, manajemen operasi dan komunikasi, pengaturan akses, pengembangan dan pemeliharaan sistem dan

manajemen keberlangsungan bisnis [6,20] .

d. NIST SP 800-82 merupakan salah satu standar yang dikembangkan oleh d. NIST SP 800-82 merupakan salah satu standar yang dikembangkan oleh

e. Security Framework for EPU (Electric Power Utilities) merupakan framework gabungan yang dibuat oleh Ericsson [19] untuk mengatur keamanan informasi .

Framework ini terdiri atas empat bagian, yaitu: 1). enterprise risk management menggunakan COSO, 2). IT Governance menggunakan COBIT, 3). IT Service Management menggunakan ISO/IEC 20000 dan ITIL, 4). IT Security Management menggunakan ISO/IEC 27001-2.

Hubungan keempat bagian di atas dapat ditunjukkan oleh Gambar II-1.

Gambar II-1Security framework for EPU [19] .

2.3 Risiko

Risiko dapat diartikan sebagai kemungkinan ancaman menggunakan kelemahan sistem yang ada sehingga memberikan pengaruh negatif terhadap organisasi [11] .

Manajemen risiko muncul sebagai solusi untuk mengurangi dampak dan kemungkinan risiko sampai kepada level yang dapat diterima. Manajemen risiko merupakan suatu metode atau proses untuk membuat, mengimplementasikan, menjalankan, mengawasi, mengkaji, memelihara dan memperbaiki secara Manajemen risiko muncul sebagai solusi untuk mengurangi dampak dan kemungkinan risiko sampai kepada level yang dapat diterima. Manajemen risiko merupakan suatu metode atau proses untuk membuat, mengimplementasikan, menjalankan, mengawasi, mengkaji, memelihara dan memperbaiki secara

a. aset, merupakan obyek utama dari keamanan informasi yang seharusnya dilindungi sebagai informasi atau sumber daya yang krusial dalam suatu enteprise termasuk perangkat keras, perangkat lunak, kemampuan produk dan layanan, sumber daya manusia dan aset lain yang intangible;

b. ancaman, merupakan aktivitas potensial yang dapat menyebabkan kerusakan pada enterprise dan asetnya;

c. kelemahan, merupakan kekurangan yang melekat pada aset;

d. pengaruh, merupakan konsekuensi terhadap aset ketika suatu risiko terjadi;

e. risiko,

f. pengukuran keamanan, merupakan suatu cara, strategi dan mekanisme untuk melawan ancaman, mengurani kelemahan, membatasi pengaruh dari risiko, mendeteksi risiko dan mengevaluasi keamanan.

Contoh framework yang digunakan untuk menerapkan manajemen risiko adalah Enterprise Risk Management (COSO) dan Risk Management ISO/IEC 31000:2009 [19] .

2.4 Organisasi

Menurut Kyung dkk., keamanan informasi tidak hanya berfokus pada sistem informasi atau teknologi informasi saja, tetapi harus mempertimbangkan keseluruhan organisasi. Selain hal tersebut, pembuatan kebijakan keamanan informasi harus memperhatikan aspek-aspek organisasi sebagai berikut [31] :

a. formasi organisasi dan profesionalitas yang tepat,

b. sistem manajemen yang sistematis untuk keamanan informasi,

c. otorisasi dan tugas bagian keamanan informasi.

2.5 SDM, Proses dan Teknologi 2.5 SDM, Proses dan Teknologi

Teknologi atau dapat disebut infrastruktur merupakan salah satu aspek yang digunakan untuk mengamankan informasi. Contoh pemanfaatan teknologi atau infrastruktur yang digunakan untuk mengamankan informasi yaitu:

a. enkripsi database, merupakan enkripsi database dengan menggunakan teknik enkripsi simetrik atau asimetrik [24] ;

b. network management system, merupakan solusi untuk mengamankan pertukaran informasi antar domain yang berbeda [25] ;

c. keamanan pada Local Area Network (LAN), merupakan keamanan yang diterapkan pada lapisan jaringan, sistem operasi database [26] ;

d. mobile ad hoc network (MANET) security, merupakan solusi keamanan pada jaringan mobile yang digunakan untuk pertukaran data secara efektif dan

aman [27] ;

e. optical techniques untuk keamanan dan enkripsi informasi, merupakan solusi keamanan pada gelombang optik [28] ;

f. supervisory control and data acquisition (SCADA), merupakan sistem pengaturan keamanan cyber [19] ;

g. instrumentation and control network security management system (ICNSMS), merupakan sistem keamanan jaringan yang mengacu standar NUREG-0800 [29] ;

h. secure key generation, merupakan teknik pengamanan data yang dikirimkan melalui media wireless untuk menghindari fading channel dan eavesdropper [30] .

2.6 Informasi 2.6 Informasi

2.7 Service

Secara teknis, service adalah fungsi aplikasi yang didefinisikan melalui suatu interface. Service memiliki sifat loose coupling, independent, interoperable, reusable dan composable. Service dapat dikombinasi dan disusun ulang yang

disesuaikan dengan kebutuhan bisnis [37] . Sistem aplikasi yang dibentuk berbasiskan service disebut Service Oriented Architecture (SOA). Pada lingkungan SOA,

service requestor dan service provider saling memberikan informasi mengenai identitas ketika melakukan pengiriman pesan. Keamanan pada SOA dapat diatur dengan penggunaan identity management [12] .

Secara umum, service dapat diartikan sebagai pemberian value kepada pelanggan berupa outcome yang dibutuhkan tanpa harus menanggung risiko dan biaya [51] .

Proses yang dibutuhkan untuk menerapkan keamanan pada service yaitu [34] :

a. incident management,

b. capacity management,

c. configuration management,

d. performance management.

2.8 Kebijakan dan Prinsip

Menurut Solms dkk. [40] , kebijakan dapat diterapkan pada tiga level yaitu strategis, taktis dan operasional seperti yang ditunjukkan pada Gambar II-2. Komponen kebijakan keamanan informasi terdiri atas [31] :

a. Strategi,

b. Sistem atau organisasi,

Menurut Hai dkk., kebijakan dan prinsip keamanan memiliki jenis-jenis sebagai berikut [41] .

a. Prinsip keamanan. 1). Hirarki artinya setiap keamanan seharusnya diadopsi berdasarkan

kebutuhan pada masing-masing lapisan. 2). Bebas artinya keamanan tidak tergantung kepada arsitektur keamanan secara keseluruhan. 3). Beragam artinya berbagai macam pengguna, proses atau host dapat mengadopsi hal yang sama. 4). Dapat diatur artinya keamanan dapat dikonfigurasi. 5). Menyeluruh artinya keamanan disusun berdasarkan konsep secara

menyeluruh.

Gambar II-2 Level kebijakan [40] .

b. Kebijakan keamanan. 1). Keamanan jaringan. 2). Keamanan data. 3). Keamanan aplikasi. 4). Keamanan platform sistem.

2.9 Budaya dan Perilaku

Menurut Waly dkk. [8] , faktor yang mempengaruhi penerobosan keamanan adalah organisasi, perilaku dan pelatihan. Faktor tersebut juga akan mempengaruhi implementasi kebijakan keamanan organisasi. Identifikasi yang dilakukan terhadap faktor tersebut akan memberikan gambaran bahwa melatih pekerja sangat penting dilakukan agar terbentuk perilaku yang dapat mengurangi terjadinya penerobosan keamanan dan memperbaiki manajemen keamanan informasi. Upaya pencegahan terhadap penyalahgunaan perilaku pekerja dilakukan dengan cara teguran dan sanksi melalui prosedur pengendalian. Faktor budaya juga mempengaruhi perilaku

orang terhadap keamanan [4] . Perbedaan budaya akan menunjukkan tingkatan yang berbeda pada security awareness.

Pelatihan dapat membantu pengguna untuk mengeksplorasi informasi yang dibutuhkan dan mengembangkan pemahaman yang efektif tentang bagaimana melaksanakan kebijakan keamanan informasi. Program pelatihan dan awareness dapat digunakan untuk mempengaruhi budaya organisasi terhadap keamanan. Organisasi juga harus menyelidiki teknik pelatihan dan awareness yang efektif untuk meningkatkan persepsi pekerja, sikap dan motivasi, mentransfer keterampilan dan mempertahankan perilaku yang tepat terhadap keamanan

informasi [8,42] .

2.10 Manajemen

Manajemen keamanan informasi dapat diartikan sebagai cara menyimpan informasi secara aman, mengirim informasi penting melalui jalur yang aman dan cara mengidentifikasi tujuan informasi yang aman [43] . SMKI adalah kumpulan proses

dan aktivitas untuk menjamin tiga faktor (kerahasiaan, integritas dan ketersediaan) dan merupakan sistem manajemen sistematis yang mencakup sumber daya manusia, proses dan sistem informasi untuk melindungi informasi yang dimiliki organisasi secara aman [10] . SMKI mencakup empat subsistem yaitu strategi

BAGIAN III TEORI UTAMA

3.1 COBIT 5

Menurut COBIT 5 [58] , informasi adalah sumber daya utama bagi semua enterprise. Informasi dapat dibuat, digunakan, disimpan, diperlihatkan atau dihancurkan.

Teknologi memiliki peran penting terhadap informasi. Teknologi informasi sangat dibutuhkan oleh enterprise, lingkungan sosial, masyarakat dan bisnis.

Enterprise yang sukses telah mengakui bahwa dewan direksi dan eksekutif perlu merangkul TI seperti bagian penting dalam menjalankan bisnis. Dewan direksi dan manajemen yang terkait dengan bisnis dan TI harus berkolaborasi dan bekerja sama agar TI dapat dikelola dan diatur.

COBIT 5 memberikan framework yang komprehensif untuk membantu enterprise mencapai tujuan dalam kerangka governance dan management dari enterprise TI. COBIT 5 memungkinkan TI untuk diatur dan dikelola secara holistik. COBIT 5 bersifat generik dan berguna untuk seluruh jenis enterprise. COBIT 5 memiliki lima prinsip, yaitu:

a. meeting stakeholder needs,

b. covering the enterprise end-to-end,

c. applying a single, integrated framework,

d. enabling a holistic approach,

e. separating governance from management. COBIT 5 memiliki enablers yang merupakan faktor yang mempengaruhi

governance dan management dari enterprise TI. Struktur COBIT 5 enablers ditunjukkan oleh Gambar III-1. Enabler diturunkan dari tujuan organisasi yang telah didefinisikan. Ada tujuh COBIT 5 enablers yaitu: governance dan management dari enterprise TI. Struktur COBIT 5 enablers ditunjukkan oleh Gambar III-1. Enabler diturunkan dari tujuan organisasi yang telah didefinisikan. Ada tujuh COBIT 5 enablers yaitu:

e. informasi,

f. layanan, infrastruktur dan aplikasi,

g. SDM, kemampuan dan kompetensi. Hubungan antara enablers dan tujuan organisasi dapat ditunjukkan oleh Gambar

III-2. COBIT 5 bukan merupakan ketentuan, tetapi menganjurkan enterprise agar dapat menerapkan proses-proses governance dan management. Hubungan antara proses governance dan management ditunjukkan oleh Gambar III-3.

3. Organisational

4. Culture, Ethics

2. Processes

Structures

and Behaviour

1. Principles, Policies and Frameworks

6. Services,

7. People, Skills

5. Information

Infrastructures

and

and Applications

Competencies

Resources

Gambar III-1 COBIT 5 enablers [58] .

COBIT 5 telah merumuskan tujuan organisasi (enterprise goals/EG) dan tujuan terkait TI (IT-related goals/ITRG) yang bersifat generik berdasarkan dimensi balance scorecard (BSC). Tujuan tersebut dapat mencakup semua ukuran organisasi mulai dari komersial, non-profit ataupun sektor publik. Daftar tujuan organisasi ditunjukkan oleh Tabel III.1 dan tujuan terkait TI ditunjukkan oleh Tabel III.2.

COBIT 5 terdiri atas 37 proses yang terbagi dalam lima domain sebagai berikut:

a. evaluate, direct and monitor (EDM), terdiri atas lima proses; a. evaluate, direct and monitor (EDM), terdiri atas lima proses;

e. monitor, evaluate and assess (MEA), terdiri atas tiga proses.

Tabel III.1 Tujuan organisasi [58] .

BSC

No.

Enterprise Goals

EG-01

Stakeholder value of business investments

EG-02

Portfolio of competitive products and services

Managed business risk (safeguarding of assets) Financial

EG-03

EG-04

Compliance with external laws and regulations

EG-05

Financial transparency

EG-06

Customer-oriented service culture

EG-07

Business service continuity and availability

Agile responses to a changing business environment Customer

EG-08

EG-09

Information-based strategic decision making

EG-10

Optimisation of service delivery costs

EG-11

Optimisation of business process functionality

EG-12

Optimisation of business process costs

Managed business change programmes Internal Business Process

EG-13

EG-14

Operational and staff productivity

EG-15

Compliance with internal policies

EG-16

Skilled and motivated people

Learning and Growth

EG-17

Product and business innovation culture

Tabel III.2 Tujuan terkait TI [58] .

BSC

No.

IT-Related Goals

ITRG-01

Alignment of IT and business strategy IT compliance and support for business compliance with

ITRG-02 external laws and regulations

ITRG-03

Commitment of executive management for making IT-related decisions

Financial

ITRG-04

Managed IT-related business risk Realised benefits from IT-enabled investments and services

ITRG-05

portfolio

ITRG-06

Transparency of IT costs, benefits and risk

ITRG-07

Delivery of IT services in line with business requirements Adequate use of applications, information and technology

Customer

ITRG-08

solutions

ITRG-09

IT agility Security of information, processing infrastructure and

ITRG-10 applications

ITRG-11

Optimisation of IT assets, resources and capabilities

ITRG-12

Enablement and support of business processes by integrating applications and technology into business processes

Internal Business Process Delivery of programmes delivering benefits, on time, on

ITRG-13

budget, and meeting requirements and quality standards

Stakeholder Drivers (Enironment, Technology Evolution, ...)

Influence

Stakeholder Needs

Benefits

Risk

Resource

Realisation

Optimisation

Optimisation

Cascade to

Enterprise Goals

Cascade to

IT-related Goals

Cascade to

Enablers Goals

Gambar III-2 Pemetaan enablers dan tujuan organisasi [58] .

Pemetaan tujuan organisasi, tujuan terkait TI dan proses COBIT 5 ditunjukkan oleh Tabel III.3 dan Tabel III.4.

Business Needs

Governance

Evaluate

Direct

Management

Monitor

Feedback

Management

Monitor (APO)

Plan

Build

Run

(BAI)

(DSS)

(MEA)

Tabel III.3 Pemetaan tujuan generik TI dan organisasi [58] .

G G G G G G G G G G G G G G G G G ITR

ITR ITR ITR

ITR

ITR

ITR

ITR

ITR

ITR

ITR

ITR

ITR ITR ITR ITR ITR

- S - SS

EG SS - SP EG SSSP - EG

- SP - -

EG EG

S - - SS

EG EG SS EG EG EG EG EG PS EG EG EG

SS

- - - PS

EG

- - - SP

Tabel III.4 Pemetaan tujuan generik TI dan proses tata kelola [58] .

2 -01 G -0 G G -03

-12 G -13 G -14 G G -15 -16 G G -17 ITR

G -04

-05 G -06 G G -07

G -08

-09 G -10 G G -11

ITR ITR ITR

ITR

ITR

ITR

ITR

ITR

ITR

ITR

ITR

ITR ITR ITR ITR ITR

PSPS

SSSSS

ED SS - SP ED

SSSP

SSPSS

ED

S - SS

S - - PS

ED

SSP -

SSS - S

ED

PS

SSPPP

P - SS

SSSSP

P - SS

P - SS

S - SS

PSSS

P - SPP

P - SS

S - SSP

2 -01

-0 -03 -04

-13 -14 -15 -16 -17

G G G G G G G G G G G G G G G G G ITR

ITR ITR ITR

ITR

ITR

ITR

ITR

ITR

ITR

ITR

ITR

ITR ITR ITR ITR ITR

SSS - S

SS - S

PSSSS

PSSSS

I0

A P - SP

P - - SS

I0

A P SSS

SS - - S

I0

SS - - S

I0

SP - - S

I0

I0

A - - SP

SSS - S

I0

SSS - S

I0

- P - SP

I0 A - S - S

- SS - -

2 -01

-0 -03

-13 -14 -15 -16 -17

G G G G G G G G G G G G G G G G G ITR

ITR ITR

ITR

ITR

ITR

ITR

ITR

ITR

ITR

ITR

ITR

ITR ITR ITR ITR ITR

- SSSS

- SS - S

- PS - S

SS - P

- PSSS

SP - P

- SS - -

- SSSS

EA S SSP

SSPSS

EA - P - P

- SP - S

EA - P - P

M Keterangan:

P: hubungan bersifat primary atau terkait langsung. S: hubungan bersifat secondary atau tidak terkait langsung. -: tidak terkait.

3.2 COBIT 5 Enabling Process

COBIT 5 Enabling Process [59] merupakan pelengkap COBIT 5 yang mendefinisikan model referensi proses. Proses merupakan salah satu dari tujuh

COBIT 5 enablers yang terdiri atas 37 proses. Proses-proses yang dimaksud dapat dijelaskan sebagai berikut.

a. EDM

3). Ensure risk optimisation. 4). Ensure resource optimisation. 5). Ensure stakeholder transparency.

b. APO 1). Manage the IT management framework. 2). Manage strategy. 3). Manage enterprise architecture. 4). Manage innovation. 5). Manage portfolio. 6). Manage budget and costs. 7). Manage human resource. 8). Manage relationships. 9). Manage service agreements. 10). Manage suppliers. 11). Manage quality. 12). Manage risk. 13). Manage security.

c. BAI 1). Manage programmes and projects. 2). Manage requirements definition. 3). Manage solutions identification and build. 4). Manage availability and capacity. 5). Manage organisational change enablement. 6). Manage changes. 7). Manage change acceptance and transitioning. 8). Manage knowledge. 9). Manage assets. 10). Manage configuration.

d. DSS 1). Manage operations.

4). Manage continuity. 5). Manage security services. 6). Manage business process controls.

e. MEA 1). Monitor, evaluate and assess performance and conformance. 2). Monitor, evaluate and assess the system of internal control. 3). Monitor, evaluate and assess compliance with external requirements.

3.3 COBIT 5 for Risk

COBIT 5 for Risk [60] membahas risiko yang terkait dengan TI dan mempresentasikannya melalui dua perspektif yaitu fungsi dan manajemen risiko. Fungsi risiko berfokus pada hal-hal yang dibutuhkan untuk membangun dan memelihara fungsi risiko dalam suatu organisasi. Manajemen risiko berfokus pada proses tata kelola dan manajemen yang terkait risiko dengan mendefinisikan bagaimana mengoptimalkan, mengidentifikasi, menganalisis, merespon dan melaporkan risiko. Implementasi COBIT 5 for Risk juga merujuk kepada tujuh enablers yang telah disebutkan sebelumnya.

Salah satu informasi penting yang digunakan dalam proses manajemen risiko adalah skenario risiko. Skenario risiko merupakan deskripsi kejadian yang mungkin terjadi dan memberikan dampak pada pencapaian tujuan organisasi. Beberapa contoh kategori skenario risiko yang umum ada di dalam organisasi dapat dijelaskan oleh Tabel III.5.

Tabel III.5 Skenario risiko [60] .

No

Kategori Skenario Risiko

1 Pembuatan dan pemeliharaan portofolio

2 Manajemen siklus program/proyek

3 Pembuatan keputusan terkait investasi TI

4 Keahlian dan kemampuan TI

5 Operasional yang dilakukan oleh staf

6 Informasi (kerusakan, kebocoran dan akses)

7 Arsitektur

No

Kategori Skenario Risiko

13 Geopolitik

14 Pencurian atau perusakan infrastruktur

15 Malware

16 Serangan logis

17 Aksi industri

18 Lingkungan

19 Bencana alam

20 Inovasi

3.4 Process Assessment Model (PAM)

PAM merupakan suatu model yang bertujuan untuk menilai kapabilitas proses berdasarkan satu atau beberapa model referensi proses. PAM memiliki dua dimensi parameter yang terdiri atas skala kapabilitas dan entitas proses. Ilustrasi kerangka

kerja PAM dapat dilihat pada Gambar III-4 [61] .

le

Process

Measurement Framework

sca

· Capability Levels · Process Attributes

ty ili

Assessment

· Rating Scale

ap

C Model

123 ……………………….n

Process entities

Process Reference Model · Domain and Scope · Processes with Purpose and Outcomes

Gambar III-4 Kerangka kerja PAM [61] .

Skala kapabilitas proses didefinisikan dalam enam level skala ordinal yang dimulai dari incomplete sampai dengan optimizing. Masing-masing level memiliki sejumlah Skala kapabilitas proses didefinisikan dalam enam level skala ordinal yang dimulai dari incomplete sampai dengan optimizing. Masing-masing level memiliki sejumlah

c. Level 2: Managed process. 1). PA 2.1 Performance management attribute. 2). PA 2.2 Work product management attribute.

d. Level 3: Established process. 1). PA 3.1 Process definition attribute. 2). PA 3.2 Process deployment attribute.

e. Level 4: Predictable process. 1). PA 4.1 Process measurement attribute. 2). PA 4.2 Process control attribute.

f. Level 5: Optimizing process. 1). PA 5.1 Process innovation attribute. 2). PA 5.2 Process optimization attribute.

PA tersebut dapat dinilai berdasarkan selang interval sebagai berikut [62] :

a. N (not achieved): 0 – 15% achievement,

b. P (partially achieved): > 15% – 50% achievement,

c. L (largely achieved): > 50% - 85% achievement,

d. F (fully achieved): > 85% - 100% achievement. PAM mengacu pada prinsip bahwa kapabilitas proses dapat dinilai dengan cara

mengukur pencapaian PA. Pengukuran tersebut didasarkan pada bukti yang dikaitkan dengan indikator penilaian. Terdapat dua tipe indikator penilaian yaitu: indikator kapabilitas proses (level 1 sampai dengan level 5) dan indikator kinerja proses (khusus level 1) [63] .

Indikator kapabilitas proses terdiri atas:

a. Generic Practice (GP),

b. Generic Resource (GR),

c. Generik Work Product (GWP).

b. Work Product (WP). Struktur penilaian indikator tersebut ditunjukkan oleh Gambar III-5. Model

referensi proses yang dinilai merujuk kepada kumpulan proses yang telah didefinisikan pada subbab 3.2. Model penilaian proses COBIT 5 merujuk kepada struktur Gambar III-6.

Process Assessment ty n o

a b ili n

si - Level 5: Optimizing (2 attributes)

- Generic Practice (GP) p

- Level 4: Predictable (2 attributes) - Generic Resource (GR)

C ime

- Level 3: Established (2 attributes)

D - Level 2: Managed (2 attributes) - Generic Work Product (GWP)

- Base Practice (BP) - Level 1: Performed (1 attribute) - Work Product (WP)

System Life Cycle Process Process

dimension

Gambar III-5 Indikator penilaian [63] .

ty o n

b ili si - Level 5: Optimizing (2 attributes)

C ime - Level 4: Predictable (2 attributes)

D - Level 3: Established (2 attributes)

Merujuk ISO/IEC 15504 series - Level 2: Managed (2 attributes) - Level 1: Performed (1 attribute)

EDM Evaluate, Direct & Monitor APO

Align, Plan & Organise

BAI

Build, Acquire & Implement

DSS

Pro

3.5 COBIT 5 for Information Security

COBIT 5 for Information Security [50] fokus pada keamanan informasi dan menyediakan pedoman yang lebih lengkap dan praktik untuk para profesional keamanan informasi dan pihak lain yang terkait pada semua level enterprise. Manfaat yang diperoleh dari penggunaan COBIT 5 for Information Security dapat dijelaskan sebagai berikut.

a. Mengurangi kompleksitas dan peningkatan efektivitas biaya karena telah mengintegrasikan beberapa standar keamanan informasi, good practice dan/atau pedoman spesifik.

b. Meningkatkan kepuasan pengguna.

c. Memperbaiki integrasi keamanan informasi dalam enterprise.

d. Menginformasikan risk decisions dan risk awareness.

e. Memperbaiki pencegahan, pendeteksian dan pemulihan.

f. Mengurangi pengaruh insiden keamanan informasi.

g. Meningkatkan dukungan untuk inovasi dan persaingan.

h. Memperbaiki manajemen biaya yang terkait dengan fungsi keamanan informasi.

i. Memberikan pemahaman yang lebih baik terhadap keamanan informasi. COBIT 5 for Information Security menyediakan pedoman khusus yang terkait

dengan semua enablers.

3.6 Manajemen Layanan TI

Manajemen layanan TI merupakan sistem manajemen yang bertujuan untuk mengarahkan dan mengatur aktivitas layanan TI yang diberikan oleh pihak pemberi layanan. Sistem manajemen tersebut mencakup kebijakan, tujuan, perencanaan, proses, dokumentasi dan sumber daya yang dibutuhkan dalam siklus layanan. Siklus tersebut meliputi strategi, perancangan, transisi, operasi dan perbaikan yang

berkelanjutan [65,66] .

a. Service Strategy (SS). 1). Strategy generation. 2). Service portfolio management. 3). Financial management for IT services. 4). Demand management. 5). Business relationship management.

b. Service Design (SD). 1). Design coordination. 2). Service catalogue management. 3). Service level management. 4). Availability management. 5). Capacity management. 6). IT service continuity management. 7). Information security management. 8). Supplier management.

c. Service Transition (ST). 1). Transisition planning and support. 2). Change management. 3). Service asset and configuration management. 4). Release and deployment management. 5). Service validation and testing. 6). Change evaluation. 7). Knowledge management.

d. Service Operation (SO). 1). Event management. 2). Incident management. 3). Request fulfillment. 4). Problem management. 5). Access management. 6). Operation management.

2). Service reporting. 3). 7-step improvement.

BAGIAN IV METODE PENYUSUNAN TKKI

Metode penyusunan TKKI merupakan kumpulan metode dan cara penyusunan proses TKKI di suatu organisasi. Metode tersebut diuraikan pada bagian di bawah ini.

4.1 Analisis Kebutuhan

Analisis kebutuhan bertujuan untuk mendefinisikan hal-hal yang dibutuhkan dalam rangka menerapkan tata kelola keamanan informasi. Tahapan ini berisi proses penentuan lingkup yang bertujuan untuk menentukan proses tata kelola yang perlu diukur atau dinilai. Gambar IV-1 menunjukkan alur proses penentuan lingkup yang dimaksud.

Cascading Tujuan Organisasi Menentukan Lingkup

(COBIT5 Framework) (Scoping)

Petakan Tujuan Renstra Organisasi

Petakan Tujuan IT Based on ISO/IEC 27002:2005

Tujuan organisasi

TI Masterplan

Pilih Proses Tata Kelola

Tentukan sumber kebutuhan keamanan: · Penilaian risiko

Penilaian Risiko:

· Peraturan

Penilaian risiko

· COBIT5 for Risk

Manajemen Layanan TI

(ITIL v3) · Prinsip, tujuan dan kebutuhan organisasi

· ISO/IEC 31000:2009

Proses terkait layanan

Prioritas

Proses

Risiko

Prioritas proses

Terpilih

Gambar IV-1 Alur proses penentuan lingkup.

4.1.1 Penentuan Tujuan Organisasi

Analisis tujuan organisasi membutuhkan masukan berupa EG yang telah didefinisikan oleh COBIT 5 dan tujuan organisasi. Hal selanjutnya yang dilakukan adalah membandingkan dan memeriksa keduanya untuk menentukan padanannya. Kerangka berpikir perumusan tujuan organisasi ditunjukkan oleh Gambar IV-2.

Pelajari Tujuan Adopsi EG (COBIT 5) Organisasi

Bandingkan dan Padankan

Ya

Sesuai?

Tidak

EG Terpilih

Pilih

Tidak Dipilih N

Gambar IV-2 Penentuan lingkup tujuan organisasi.

4.1.2 Penentuan Tujuan TI

Analisis tujuan TI membutuhkan masukan berupa pemetaan antara EG dengan ITRG yang telah didefinisikan oleh COBIT 5 dan tujuan TI organisasi. Hal yang dilakukan adalah mengadopsi pemetaan EG dengan ITRG dan membandingkannya dengan tujuan TI yang dimiliki oleh organisasi. Kerangka berpikir perumusan tujuan organisasi ditunjukkan oleh Gambar IV-3.

4.1.3 Penentuan Sistem Manajemen Layanan

Penentuan lingkup tata kelola keamanan informasi pada sistem manajemen layanan melibatkan proses tata kelola dan proses manajemen layanan. Hal yang dilakukan adalah memetakan atau mencocokkan proses tata kelola dan proses manajemen layanan berdasarkan kesamaan peran dan fungsi. Kerangka berpikir pemetaan proses tersebut ditunjukkan oleh Gambar IV-4.

EG Terpilih

Analisis pemetaan EG dan ITRG

Primary (P) Jenis Relasi

Tentukan Jenis

Relasi

Secondary (S)

Pilih ITRG

Pelajari Tujuan TI Organisasi

Bandingkan dan Padankan

Ya

Sesuai?

Tidak

ITRG Terpilih

Pilih

Tidak Dipilih N

Pemilihan Proses

Proses

(Otomatis)

Terpilih

Gambar IV-3 Penentuan lingkup tujuan TI.

Jenis relasi terdiri atas dua jenis yaitu primary (P) dan secondary (S). P memiliki arti bahwa hubungan antara EG dan ITRG sangat erat atau terkait langsung, sedangkan S memiliki arti bahwa hubungannya lemah atau tidak terkait langsung.

4.1.4 Penilaian Risiko

Penilaian risiko bertujuan untuk mengurutkan penanganan proses tata kelola berdasarkan tingkat kepentingannya yang dapat berupa T (tinggi), M (menengah) dan R (rendah). Dasar penentuan prioritas risiko mengacu pada standar ISO/IEC 31000:2009 dan COBIT 5 for Risk. Kerangka berpikir penentuan prioritas risiko ditunjukkan oleh Gambar IV-5.

Analisis Proses

Analisis SMS

(COBIT 5)

(ITIL v3)

Bandingkan dan Padankan

Ya

Sesuai?

Tidak

Pilih

Tidak Dipilih

Proses Terpilih

Gambar IV-4 Pemetaan proses COBIT 5 dan ITIL v3.

Skenario risiko

Mendata Risiko

Menentukan Level Risiko

Menentukan B/C

ISO/IEC 31000:2009

Ratio

Menentukan Prioritas Risiko

Proses

Memetakan Risiko dan

Terpilih Proses Tata Kelola Mitigasi

Prioritas Proses

4.2 Perancangan

Perancangan merupakan proses yang bertujuan untuk menghasilkan suatu alat ukur yang sesuai dengan standar penilaian proses tata kelola keamanan informasi. Gambar IV-6 menunjukkan alur proses perancangan alat ukur penilaian proses tata kelola keamanan informasi.

4.2.1 Perancangan Model Referensi Proses

Perancangan model referensi proses bertujuan untuk membuat model atau peta dimensi proses tata kelola keamanan informasi. Model ini dijadikan dasar dalam pembuatan suatu model penilaian proses. Kerangka berpikir perancangan model referensi proses ditunjukkan oleh Gambar IV-7.

Proses Terpilih

ISO/IEC 15504-1

Menentukan standar

berdasarkan

ISO/IEC 15504-2

pengukuran proses

ISO/IEC 15504-5

Menentukan model referensi menggunakan COBIT5 for Information Security

Process Reference Model for

menghasilkan

proses

Information Security

menggunakan

Menentukan proses terkait

menggunakan

keamanan informasi

Process Assessment Model for

menggunakan COBIT5 Process Information Security

menghasilkan

Menentukan komponen

proses

Assessment Model

mendefinisikan · Practices

· Work products · Resources

Gambar IV-6 Alur proses perancangan.

Gambar IV-7 Perancangan model referensi proses.

4.2.2 Perancangan Model Penilaian Proses

Perancangan model penilaian proses bertujuan untuk membuat model penilaian proses tata kelola keamanan informasi berdasarkan level pencapaian kemampuan. Model ini dijadikan sebagai dasar perhitungan analisis kesenjangan pada proses tata kelola keamanan informasi. Kerangka berpikir perancangan model penilaian proses ditunjukkan oleh Gambar IV-8.

1. tidak ada, artinya komponen proses yang dimaksud tidak ada atau tidak dilakukan,

2. sebagian kecil, artinya telah ada sedikit bukti adanya atau dilaksanakannya komponen proses yang dimaksud,

3. sebagian besar, artinya telah banyak bukti adanya atau dilaksanakannya komponen proses yang dimaksud,

4. penuh, artinya komponen proses yang dimaksud telah ada atau dilaksanakan secara maksimal.

4.3 Analisis Kesenjangan

Analisis kesenjangan merupakan proses yang bertujuan untuk mengetahui kondisi capability/kematangan tata kelola keamanan informasi yang ada saat ini dan harapan yang akan dicapai oleh suatu organisasi. Kondisi tersebut dinilai dengan menggunakan model penilaian proses yang telah dijelaskan pada subbab 4.2.2.

4.4 Pemberian Rekomendasi

Rekomendasi merupakan masukan yang diberikan kepada organisasi untuk membangun suatu tata kelola keamanan informasi di organisasinya. Rekomendasi terhadap proses tata kelola dibuat berdasarkan hasil analisis kesenjangan.

4.5 Penerapan

Penerapan merupakan proses pendefinisian urutan langkah-langkah yang harus dilaksanakan untuk mengimplementasikan rekomendasi yang diberikan terkait tata kelola keamanan informasi pada suatu organisasi. Proses ini mengacu kepada suatu kerangka kerja penerapan tata kelola TI yang umum digunakan yaitu dengan pendekatan John Kotter yang telah didefinisikan dalam COBIT 5

Implementation [67] .

BAGIAN V PENYUSUNAN TKKI

Bab ini menjelaskan sistematika analisis kondisi TKKI yang ada saat ini dan harapan ke depan. Hal ini diawali dengan analisis lingkup TKKI. Setelah diketahui lingkup proses, hal selanjutnya yang dilakukan adalah pengukuran kondisi keamanan informasi saat ini yang dipetakan ke dalam level pencapaian terhadap suatu standar pengukuran proses. Hal terakhir yang dilakukan pada bab ini adalah analisis kesenjangan antara kondisi yang ada saat ini dengan target pencapaian. Hasil analisis yang diperoleh dapat dijadikan sebagai dasar pembuatan rekomendasi yang tepat terhadap TKKI di organisasi.

Perancangan yang dilakukan pada bab ini adalah pembuatan alat bantu pengukuran TKKI. Alat bantu yang dibuat terdiri atas: penurunan tujuan organisasi dan TI, pemetaan proses tata kelola terhadap proses manajemen layanan, pemodelan referensi proses dan pemodelan penilaian proses. Hasil rancangan yang ada diharapkan dapat membantu dalam menemukan formulasi yang tepat untuk mengukur tata kelola yang ada di organisasi.

5.1 Alat Bantu Penentuan Lingkup TKKI

Penentuan lingkup TKKI bertujuan untuk mengidentifikasi kebutuhan keamanan informasi pada organisasi yang dijadikan tempat studi kasus. Berdasarkan teori yang dikeluarkan oleh ISO/IEC 27002:2013 [68] , beberapa sumber yang dapat

dijadikan dasar dalam penentuan lingkup kebutuhan keamanan informasi dapat dijelaskan sebagai berikut.

1. Kumpulan prinsip, tujuan dan kebutuhan bisnis organisasi. Sumber ini dapat diambil dari pemetaan tujuan organisasi, pemetaan tujuan TI dan pemetaan sistem manajemen layanan yang terdapat di organisasi.

2. Penilaian risiko.

5.1.1 Pemetaan Tujuan Organisasi

Pemetaan tujuan organisasi merupakan penentuan lingkup keamanan informasi yang diambil dari subbab 5.1 butir 1 khususnya pada tujuan organisasi. Pemetaan ini bertujuan untuk menurunkan dan merumuskan tujuan organisasi ke dalam bentuk EG yang bersifat generik dan terkait informasi. EG ini sesuai dengan yang telah didefinisikan oleh kerangka kerja COBIT 5. Tabel V.1 menunjukkan hasil pemetaan contoh tujuan organisasi yang terkait informasi di organisasi.

Tabel V.1 Contoh tujuan organisasi.

BSC

EG (Y/T)

Tujuan Organisasi

Indikator Kinerja Utama

EG-01

EG-02

Financial EG-03

EG-04

EG-05

[sebutkan tujuan

[uraikan indikator

pencapaiannya] EG-06

organisasi yang terkait]

EG-07

EG-08

Customer

EG-09

[sebutkan tujuan

[uraikan indikator

pencapaiannya] EG-10

organisasi yang terkait]

[uraikan indikator EG-11

[sebutkan tujuan

pencapaiannya] EG-12

organisasi yang terkait]

Internal EG-13

Business Process

[uraikan indikator EG-14

[sebutkan tujuan

pencapaiannya] EG-15

organisasi yang terkait]

[uraikan indikator EG-16

[sebutkan tujuan

pencapaiannya] & Growth

Learning

organisasi yang terkait]

[uraikan indikator EG-17

[sebutkan tujuan

organisasi yang terkait]

pencapaiannya] Keterangan: Y: (ya) terkait dengan tujuan organisasi. T: (tidak) terkait dengan tujuan organisasi.

5.1.2 Pemetaan Tujuan TI

Pemetaan tujuan TI merupakan turunan dari tujuan organisasi yang digunkan untuk menentukan lingkup keamanan informasi yang lebih spesifik pada TI. Pemetaan ini bertujuan untuk menurunkan dan merumuskan tujuan TI ke dalam bentuk ITRG yang bersifat generik. Tabel V.2 menunjukkan hasil pemetaan tujuan TI organisasi.

Tabel V.2 Tujuan TI Organisasi.

BSC ITRG (P/S)

(Y/T)

Tujuan TI

Indikator Kinerja Utama

Organisasi

[uraikan indikator ITRG-01

[sebutkan tujuan TI

pencapaiannya] l

yang terkait]

ITRG-02

cia n ITRG-03 S

a in

ITRG-04 S

F ITRG-05

[uraikan indikator ITRG-06

[sebutkan tujuan TI

yang terkait]

pencapaiannya]

[uraikan indikator mer

[sebutkan tujuan TI

pencapaiannya] sto u

ITRG-07 P

yang terkait]

[sebutkan tujuan TI

[uraikan indikator

C ITRG-08 P

pencapaiannya] ITRG-09

yang terkait]

ITRG-10 ITRG-11 S

[uraikan indikator ITRG-12

l a [sebutkan tujuan TI

pencapaiannya] tern In

yang terkait]

ITRG-13

ITRG-14 P

[sebutkan tujuan TI

[uraikan indikator

yang terkait]

pencapaiannya]

ITRG-15

g & th ITRG-16 P

[sebutkan tujuan TI

[uraikan indikator

in w

pencapaiannya] rn

yang terkait]

[uraikan indikator Lea

Gro ITRG-17 P

[sebutkan tujuan TI

yang terkait]

pencapaiannya] Keterangan:

P: hubungan bersifat primary atau terkait langsung antara tujuan generik TI dan organisasi.

S: hubungan bersifat secondary atau tidak terkait langsung antara tujuan generik TI dan organisasi.

Y: (ya) terkait dengan tujuan TI organisasi. T: (tidak) terkait dengan tujuan TI organisasi.

Pada Tabel V.2, penentuan nilai pada kolom (Y/T) didasarkan kepada keterkaitan Pada Tabel V.2, penentuan nilai pada kolom (Y/T) didasarkan kepada keterkaitan

1. kolom (P/S) bernilai P,

2. terdapat tujuan TI organisasi yang terkait dengan tujuan generik TI. Skema pemetaan antara tujuan generik TI dan proses tata kelola (governance dan

management) ditunjukkan oleh Tabel III.4. Skema ini bertujuan untuk menghasilkan proses tata kelola yang terpilih dalam penentuan lingkup TKKI berdasarkan tujuan organisasi dan TI. Contoh rangkuman proses tata kelola yang terpilih ditunjukkan oleh Tabel V.3.

Tabel V.3 Contoh rangkuman proses tata kelola terpilih.

(P/S (Y/N

ID Nama Proses Tata Kelola

EDM0 Ensure Governance Framework Setting and Maintenance

1 EDM0

Ensure Benefits Delivery

2 EDM0

Ensure Risk Optimisation

3 EDM0

Ensure Resource Optimisation

4 EDM0

Ensure Stakeholder Transparency

5 APO01

Manage the IT Management Framework

APO02 Manage Strategy

APO03 Manage Enterprise Architecture

APO04 Manage Innovation

APO05 Manage Portfolio

APO06 Manage Budget and Costs

APO07 Manage Human Resources APO08

Manage Relationships

APO09 Manage Service Agreements APO10

Manage Supplies

APO11 Manage Quality APO12

Manage Risk

APO13 Manage Security

BAI01 Manage Programmes and Projects

BAI02 Manage Requirements Definition

(P/S (Y/N

ID Nama Proses Tata Kelola

BAI06 Manage Changes BAI07

Manage Change Acceptance and Transitioning

BAI08 Manage Knowledge

BAI09 Manage Assets

BAI10 Manage Configuration

DSS01 Manage Operations

DSS02 Manage Service Requests and Incidents

DSS03 Manage Problems DSS04

Manage Continuity

DSS05 Manage Security Services DSS06