catatan pelatihan iso · 2014. 11. 3. · prinsip temuan audit temuan major (critical) tidak...
Post on 27-Oct-2020
18 Views
Preview:
TRANSCRIPT
Notulensi Pelatihan
ISO 20000-1:2011
20 Oktober 2014
ITSM Lifecycle
Perencanaan organisasi Togaf (ITMP, ITBP)
Akuisisi system, solusi, dan sumber daya CMMI
Service delivery ITSM (ITIL, ISO 20k)
Pemantauan dan evaluasi ITSM (ITIL, ISO 20k)
Framework yang mencakup keseluruhan lifecycle COBIT (tetapi tidak
menjabarkan secara spesifik)
Aspek yang direview: masterplan & implementasi
Penentuan framework: dimulai dari ITSM Lifecycle (Service delivery dan
Pemantauan dan evaluasi)
ITSM sebaiknya dimulai dari helpdesk
Services Relevant Organization
Layanan email -
Exchange save -
Data center -
Aplikasi exchange -
Helpdesk -
Se
rvic
e c
om
po
ne
nt
Typical Services
Layanan Core App
SIA
Availability
User Support
User Account
Password
Technical Support
Layanan Supporting App
Financial App
System Documentation
Layanan E-mail & Internet
Layanan End User Device
Laptop
Deskop
Printer
Layanan E-mail & Internet
Application
Management
End User Support Server
Management
20% 5% 10% Bang&RD
70% 80% 0% Application
Support
10% 15% 90% Infrastructur OPS
Layanan Core Application
Customer
SIA
SP Div Lan
Pemasok
Underpining contract
SLA
SLA
X
Analogi Pengelolaan Sumber Daya
Manajemen:
Pimpinan
Arahan
KPI
Pembuatan Kopiinput output
Sumber Daya
Bubuk kopi (I)
Gula (I)
Kompor (S)
Gelas Kaca (S)
Kertas (O)
Tukang masak (S)
SOP buat kopi (S)
Lembar pemesanan yang sudah diisi (I)
Mendirikan Sistem Manajemen
Layanan
Corrective action Mengeliminir ketidaksesuaian sehingga
ketidaksesuaian itu tidak terjadi kembali.
Preventive action Potensi ketidaksesuaian diidentifikasi sedini mungkin
agar tidak terjadi.
Persyaratan Perancangan dan Transisi Layanan
Baru/Perubahan Layanan
Produk Barang
Jasa
Manufacturer Barang
Services Organization Jasa
Pembuatan Model
Project Management
2014 - Requirement Gathering
- Business Proposal
2015 - Conceptual Design
- Mockup
2016 - Detailed Design
2017 - Product Preparation
- Mechanic/Support Training
- Test and Acceptance
- Release
Service Catalogue
Requirement Gathering
1. ITMP / BP
2. Interview stakeholder
3. Draft Services Catalogue
Layanan
Deskripsi
SLR
Catalog SLR
(Standar Layanan) (Standar Kinerja)
3 Layanan SLA
Disklaimer
Deal
Notulensi Pelatihan
ISO 20000-1:201121 Oktober 2014
Insiden Manajemen vs Problem Manajemen
Insiden fire fighting (tidak perlu tau dimana letak masalahnya, yang
penting customer puas), penyelesaiaannya cepat
Problem sampai tau apa permasalahan sebenarnya, penyelesaiaannya
lambat
Idealnya antara insiden manajer dan problem manajer adalah orang yang
berbeda/terpisah.
Insiden manajemen cenderung dekat dengan service desk (suatu fungsi,
bukan proses)
Service desk (SPOC Single Point of Contex) bertugas untuk menampung
seluruh request/insiden yang terjadi sehingga akan memudahkan untuk
manajemennya dalam proses pencatatan insiden.
Pengelolaan Insiden dan Permintaan
Layanan
Ada 3 tipe insiden:
Request
Insiden
Security Insiden
CMDB (Configuration Management Database) merupakan CI
(Configuration Item), contoh router, port, konfigurasi server, dll. yang saling
berelasi.
Pengelolaan Perubahan
Configuration management
Change management
Setiap kebijakan harus terdokumentasi
Sifat: major, minor, emergency (setiap perubahan yang terjadi dapat
diperlakukan secara khusus karena perubahan tsb bersifat mendesak)
Emergency changes perubahan yang bersifat mendesak (coding dulu,
dokumentasi menyesuaikan)
Release management
Normal change
Standard change sifatnya lebih simple dibandingkan dengan normal
change
Notulensi Pelatihan
ISO 20000-1:201122 Oktober 2014
Audit Sertifikasi
Audit pihak pertama
Audit pihak kedua
Audit pihak ketiga audit sertifikasi/akreditasi
Prinsip Temuan Audit
Temuan major (critical)
Tidak ditemukan bukti bahwa proses dilakukan
Ditemukan bukti bahwa proses ditemukan secara tidak lengkap
Temuan kecil (minor)
Ditemukan bukti bahwa proses dilakukan secara tidak lengkap namundampaknya bias diisolasi
Saran perbaikan
Ditemukan bukti bahwa proses dilakukan secara tidak lengkap namun tidakberdampak
Komentar positif
Ditemukan proses dilakukan secara konsisten dan melebihi persyaratan
Apakah ISO 20000 dan 9001 harus dilakukan dua2nya?
ISO 20000, untuk proses bisnis IT (klausul 5-9) sudah mengcover semua, tetapi untukbeberapa area proses (spt information security,dll) lebih dijelaskan di ISO 9001.
ISO 20000 pelatihan tidak dinilai hanya sekedar sudah mengikuti training,
tetapi juga dinilai impact-nya terhadap layanan yang diterapkan
selanjutnya.
Prinsipnya komponen2 layanan juga ikut diaudit.
Teknik Audit:
Pertanyaan
Amati
Periksa
Aspek P-D-C-A Struktur proses P-D-C-A juga harus diaudit.
Insiden harus diklasifikasikan.
Prinsip audit: audit bukan untuk mencari kesalahan, tetapi bertujuan untuk
mengetahui kondisi kita saat ini agar dapat melakukan improve ke
depannya.
Tidak semua layanan harus disertifikasi secara bersama, namun dapat
dilakukan secara bertahap.
Di ISO 9001 organisasi harus punya prosedur komunikasi.
Contoh: kalau ada permuntaan layanan, channelnya nota dinas.
Kalau ingin minta account email, channelnya apa, siapa yg bertanggungjawab,
siapa yg memberikan feedback, dsb. Semua harus dicatat
Metode komunikasi harus dibuat.
Study Kasus: iGracias
Apa yang menjadi kriteria major impact (kalau ada perubahan layanan,
apa yang berimpact pada usernya) pada iGracias?
Perubahan data > tambah modul baru, integrasi dengan e-banking
Naikan versi OS > aplikasi tidak dapat diakses
Apa saja yang menjadi major impact harus diinformasikan ke customer
dan harus mendapatkan persetujuan dari customer.
CI Misal: banyak insiden pada control tertentu, maka harus dieskalasi
menjadi problem.
Misal kasus: switch terkoneksi dengan 3 server dan 1 storage. Kalau ingin
menkonfigurasi server, maka perlu dilihat impact-nya akan ke layanan apa
saja.
Change Manajemen
Normal change
Emergency change
Shall Documented Klausul, standar
Tinjauan Manajemen
Rapat Tinjauan Manajemen (untuk me-review apakah semua P-D-C-A
pada semua layanan telah berjalan dengan baik), berisi:
Internal audit
Keluhan customer, insiden yang terjadi, dll.
Objective, sasaran yang ingin dicapai
Service Manajemen Plan inisiatif yang akan dilakukan IT pada layanan2 IT
yang sifatnya major harus didokumentasikan.
Hal-hal yang harus dibahas saat melakukan tinjauan manajemen:
Customer feedback
Service and process performance and conformity (laporan SLA, monitoring)
Current and …. (sumber daya manusia, budget, dll.)
Current and forecast human resources capability
Resiko
Hasil dan follow up dari internal audit
Masukan untuk review yang akan datang
Preventive and corrective actions
Ada beberapa organisasi yang melakukan internal audit terintegrasi.
Manajemen audit juga dapat diterapkan pada audit yang terintegrasi.
Hal yang perlu dilakukan pada pengelolaan insiden dan permintaan
layanan:
Pencatatan insiden problem
Menyusun service catalogue
Penutupan insiden
Rollback plan
top related