9

BAB 2

LANDASAN TEORI

2.1 Penjelasan Sistem Informasi

(Fuad, 2011), mengemukakan bahwa sistem informasi bisa didefinisikan

secara teknikal yaitu sebuah kumpulan yang memiliki komponen yang terhubung

satu sama lain dimana komponen – komponen tersebut mengumpulkan,

memproses, menyimpan, dan mendistribusikan informasi untuk mendukung

pembuatan keputusan dan pengendalian di sebuah organisasi.

(Laudon & Laudon, 2012), mengemukakan bahwa sistem informasi

adalah alat utama yang memungkinkan perusahaan untuk menciptakan produk

dan layanan barum serta model bisnis yang sama sekali baru.

2.2 Komponen Sistem Informasi

(Fuad, 2011), mengemukakan bahwa komponen dari sistem informasi

terdiri dari sebagai berikut:

1. Sumber daya manusia: terdiri dari end user dan IS specialist, system

analyst, programmer, data administrator, dan lain – lain.

2. Hardware: terdiri dari perlatan dan perangkat fisik computer, mesin dan

media.

3. Software: terdiri dari program dan prosedur.

4. Data: terdiri dari data dan pusat pengetahuan.

5. Networks: terdiri dari komunikasi media dan network support.

10

Dimana komponen dari sistem informasi digambarkan sebagai berikut:

Gambar 2. 1: Komponen Sistem Informasi (a)

Sumber: Laudon, K., & Laudon, J

(Laudon & Laudon, 2012), mengemukakan bahwa komponen sistem

informasi terdiri dari hardaware, data management, dan telekomnukasi yang

mana komponen sistem informasi digambarkan sebagai berikut:

Gambar 2. 2: Komponen Sistem Informasi (b)

Sumber: Laudon, K., & Laudon, J

11

2.3 Pengertian Data

(Bourgeois, 2014), mengemukakan bahwa data adalah sebuah bit yang

mentah dan potongan dari informasi tanpa konteks dimana data bisa berupa

kuantitif ataupun kualitatif. Dimana data kuantitif biasanya berupa angka,hasil

dari pengukuran, perhitungan atau perhitungan matematika lainnya dan data

kualitatif biasanya berupa penjelasan dari sesuatu.

(Wunder, Halbardier, & Waltermire, 2011), mengemukakan bahwa data

adalah setiap bagian dari informasi yang cocok untuk digunakan dalam

komputer.

2.4 Penjelasan Aset Informasi Teknologi

(Kouns & Minoli, 2010), mengemukakan bahwa aset informasi teknologi

adalah asset – asset yang terdiri dari:

a. Aset fisik (termasuk hardware).

b. Aset Logis (termasuk software dan data).

c. Pelayanan (seperti kemampuan untuk mengoperasikan proses bisnis).

d. Aset tak berwujud (seperti reputasi, merek).

e. Manusia (pengetahuan karyawan).

(Wunder, Halbardier, & Waltermire, 2011), mengemukakan bahwa aset

adalah apa pun yang memiliki nilai untuk suatu organisasi seperti orang,

perangkat komputasi, sistem teknologi informasi (TI), jaringan teknologi

informasi (TI), sirkuit teknologi informasi (TI), perangkat lunak, virtual

12

komputasi Platform ( cloud dan komputasi virtual), dan perangkat keras yang

terkait (misalnya, kunci, lemari, keyboard).

2.5 Pengertian Database

(Bourgeois, 2014), mengemukakan bahwa database adalah sebuah

koleksi terorganisir dari informasi terkait dimana semua data dijelaskan dan

dikaitkan dengan data lain yang dibuat untuk mengelola informasi terkait.

(Wunder, Halbardier, & Waltermire, 2011),mengemukakan bahwa

database adalah sebuah repositori informasi atau data, yang mungkin menjadi

sebuah traditional relational database system.

2.6 Sumber – Sumber Ancaman Aset – Aset Informasi

Teknologi

(Supardono, 2009), mengemukakan bahwa pada metode OCTAVE

sumber-sumber ancaman terhadap aset-aset informasi dalam 4 sumber yakni:

1. Tidakan sengaja oleh manusia (Deliberate Action by People) baik dari

dalam (inside) maupun dari luar (outside).

2. Tindakan tidak sengaja oleh manusia (Accidental Action by people) baik

dari dalam (inside) maupun dari luar (outside).

3. Sistem yang bermasalah (systems ploblem) meliputi hardware dan

software yang cacat, kode berbahaya (virus worm, trojan, back door).

4. Masalah-masalah lain (other problems) seperti padamnya arus listrik,

ancaman bencana alam, ancaman lingkungan, gangguan telekomunikasi.

13

(Momani, 2010), mengemukakan ancaman – ancaman yang dapat

terhadap aset – aset informasi disebabkan opleh 3 aspek yang antara lain sebagai

berikut:

1. Teknologi: Menggunakan teknologi seperti internet, telekomunikasi untuk

melakukan proses bisnis bisa gagal karena beberapa alasan yang

disengaja atau tidak sengaja yang menyebabkan keterlambatan dan

gangguan terhadap proses bisnis, kegiatan dan produk.

2. Manusia: kesalahan manusia atau sikap yang dapat merusak reputasi

perusahaan dan hubungannya dengan pelanggan, klien dan pemasok.

3. Bencana Alam dan bencana buatan manusia: Bencana Alam (seperti

gempa bumi, kebakaran hutan, badai, banjir, badai, tornado, badai salju)

dan bencana buatan manusia bencana (seperti kecelakaan industri karena

kesalahan manusia atau teknologi atau tindakan terorisme) bisa

menyebabkan beberapa kerugian.

(Brooks, Benderjak, Juran, & Merryman, 2002), mengemukakan bahwa

tipe – tipe ancaman (bencana) digambarkan sebagai berikut:

Gambar 2. 3: Tipe Bencana

Sumber: Brooks, C., Benderjak, M., Juran, I., & Merryman, J

14

2.7 Pengertian Risiko

(Berg, 2010), mengemukakan bahwa risiko adalah sebuah ketidakpastian

yang mengelilingi peristiwa masa depan dan hasil, dimana hal ini adalah sebuah

ekspresi dari kemungkinan dan dampak dari suatu peristiwa dengan potensi

untuk mempengaruhi pencapaian tujuan organisasi.

(Kouns & Minoli, 2010),mengemukakan bahwa risiko adalah kerugian

yang diharapkan yang mana terdiri dari penjumlaha) dari kemungkinan dan

kerugian yang terkait dengan setiap kemungkinan.

2.8 Penjelasan Manajemen Risiko

(Talet, Mat-zin, & Houari, 2014), mengemukakan bahwa manajemen

risiko adalah proses yang terdiri dari:

a. Mengidentifikasi kerentanan dan ancaman terhadap sumber daya

informasi yang digunakan oleh suatu organisasi dalam mencapai tujuan

bisnis.

b. Penilaian risiko dengan menetapkan probabilitas dan dampak produksi,

menyusul ancaman dengan memanfaatkan kerentanan.

c. Mengidentifikasi mungkin penanggulangan dan memutuskan mana yang

dapat diterapkan, untuk mengurangi risiko ke tingkat yang dapat diterima,

berdasarkan pada nilai sumber daya informasi bagi organisasi.

(Kouns & Minoli, 2010), mengemukakan bahwa manajemen risiko adalah

proses yang terdiri dari:

a. Risk Identification

b. Risk Assessment

15

c. Risk Mitigation Planning

d. Risk Mitigation Implementation

e. Evaluation of The Mitigation Effectiveness

2.9 Unsur – Unsur Keamanan Informasi

(Supardono, 2009), mengemukakan bahwa aspek kebutuhan keamanan

informasi harus memuat 3 unsur penting, yakni:

1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau

informasi, memastikan bahwa informasi hanya dapat diakses oleh orang

yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima

dan disimpan.

2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah

tanpa ada ijin pihak yang berwenang (authorized), harus terjaga

keakuratan dan keutuhan informasi.

3. Availability (ketersediaan) aspek yang menjamin bahwa data akan

tersedia saat dibutuhkan, memastikan user yang berhak dapat

menggunakan informasi dan perangkat terkait bilamana diperlukan.

(Kouns & Minoli, 2010), mengemukakan bahwa kemanan informasi

meliputi area Confidentiality, Integrity, dan Availability, dimana Confidentiality

melindungi dari akses tidak diberi wewenang, pemberian atau penggunaan dari

aset, Integrity melindungi dari manipulasi yang tidak sah, modifikasi dan

kehilangan aset, dan Availability melindungi dari halangan, keterbatasan, atau

pengurangan manfaat dari aset yang dimiliki.

16

2.10 Cara – Cara Menangani dan Mitigasi Risiko

(Berg, 2010), mengemukakan bahwa cara – cara menangani risiko yaitu

dengan cara sebagai berikut:

a. Menghindari risiko,

b. Mengurangi (mitigasi) resiko,

c. Mentransfer (berbagi) risiko, dan

d. Mempertahankan (menerima) risiko.

Dimana cara menangani risiko digambarkan sebagai berikut:

Gambar 2. 4: Cara – Cara Penanganan Risiko

Sumber: Berg, H

(Momani, 2010), mengemukakan bahwa cara melakukan penanganan

risiko adalah sebagai berikut:

1. Jika penilaian risiko mengungkapkan bahwa potensi kerugian dari

gangguan bisnis, mencoba untuk mentransfer kerugian salah satu

kerugian tersebut kepada perusahaan asuransi yang memiliki asuransi

risiko umum atau khusus.

17

2. Membuat tempat usaha yang lebih tahan bencana dengan membuat

perubahan pada struktur dan penggunaan tempat seperti:

a. Mengangkat barang-barang yang rentan dalam subjek bangunan

banjir.

b. Mengamankan barang di daerah rawan gempa untuk mencegah atau

meminimalkan gerakan mereka yang bisa menghancurkan mereka

atau menyebabkan kematian atau cedera bagi pekerja dan penghuni.

c. Desain dan membangun bangunan sesuai dengan aturan yang

berlaku.

d. Memakai tindakan perlindungan seperti detektor asap dan pemadam

kebakaran untuk mencegah atau mengurangi bahaya kebakaran.

e. Mengamankan item yang bisa terbawa oleh angin yang kuat jika

mengalami tornado.

3. Proses Perubahan bisnis untuk mengurangi konsekuensi bencana seperti

mengurangi atau menghilangkan penggunaan dan penyimpanan bahan

berbahaya yang menimbulkan ancaman lingkungan jika dirilis.

4. Siapkan rencana tanggap bencana untuk setiap jenis bencana bisnis

mungkin mengharapkan, memiliki rencana mudah diakses.

5. Praktek rencana teratur melalui latihan yang sebenarnya atau meja untuk

menguji penerapan dan membuat perubahan sesuai dengan bisnis dan

kondisi lingkungan perubahan.

6. Dalam rencana penanggulangan bencana menetapkan tanggung jawab

bencana untuk menjawab pertanyaan khas dalam kegiatan tanggap

bencana seperti siapa yang melakukan? apa? Kapan? dan bagaimana?

18

Beberapa kegiatan dapat: menutup usaha, menutup proses produksi,

mematikan utilitas, mengamankan jendela dan pintu, bergerak persediaan

ke lantai dua, mengambil barang-barang berharga dari tempat

penyimpanan.

7. Melatih karyawan dalam prosedur keselamatan yang akan membantu

mereka menghindari cedera jika terjadi bencana.

2.11 Proses Manajemen dan Pengukuran Risiko

(Supardono, 2009), mengemukakan bahwa dengan menggunakan metode

OCTAVE terdapat 3 tahap dalam melakukan pengukuran risiko yaitu antara lain:

Tahap 1: Membangun Aset Berbasis Ancaman Profil, dimana Output

dalam tahap 1 ini meliputi:

a. Aset-aset yang penting bagi organisasi

b. Kebutuhan keamanan aset-aset penting yang tidak terlepas dari 3 aspek

keamanan yaknik kerahasiaan, integritas dan ketersediaaan.

c. Praktek-praktek keamanan terkini yang dimiliki organisasi atau upaya

organisasi untuk melindungi aset informasi.

d. Kelemahan kebijakkan organisasi terkini.

Tahap 2: Identifikasi Infrastruktur Vulnerabilities

Ini adalah evaluasi informasi infrastruktur jaringan komputer. Komponen

operasional kunci dari infrastruktur teknologi informasi (server, PC, laptop dan

perangkat jaringan) diidentifikasi kelemahannya baik dari sisi teknologi dan

konfigurasi, yang dapat menimbulkan akses keamanan oleh yang tidak berhak

menjadi mudah

19

Tahap 3: Mengembangkan Strategi Keamanan dan Perencanaannya,

dimana output dari tahapan ini adalah:

a. Risiko-risiko terhadap aset-aset penting.

b. Mengukur tingkat risiko.

c. Strategi proteksi.

d. Rencana-rencana pengurangan/mitigasi risiko.

(Berg, 2010), mengemukakan bahwa tahap – tahap manajemen risiko

adalah sebagai berikut:

1. Menetapkan tujuan dan konteks (yaitu lingkungan risiko),

2. Mengidentifikasi risiko,

3. Menganalisis risiko yang teridentifikasi,

4. Menilai atau mengevaluasi risiko,

5. Menangani atau mengelola risiko,

6. Pemantauan dan meninjau risiko dan lingkungan risiko secara teratur, dan

7. Terus berkomunikasi, konsultasi dengan pemangku kepentingan dan

pelaporan.

20

Dimana tahap pengelolaan risiko digambarkan sebagai berikut:

Gambar 2. 5: Tahap – Tahap Pengelolaan Risiko

Sumber: Berg, H

Yang mana hasil dari proses manajemen risiko tersebut menghasilkan

tingkat risiko yang mengacu pada matrix sebagai berikut:

Gambar 2. 6: Matriks Risiko

Sumber: Berg, H

21

2.12 Penjelasan Business Impact Analysis (BIA)

(Svata, 2013), mengemukakan bahwa Business Impact Analysis (BIA)

adalah dasar dari menejemen risiko dan manajemen kontinuituas dimana secara

menganalisis dan mengindentifikasi secara keseluruhan sumber daya kritis dan

kerangka waktu yang harus dikembalikan ketika gangguan terjadi yang mana hal

ini memungkinkan pertimbangan strategi relistis terhadap strategi pemulihan

bisnis, dimana pendekatan dalam melakukan Business Impact Analysis (BIA)

untuk dapat menganilisi risiko mana yang diterima dan tidak diterima

menggunakan dua parameter yaitu:

a. Risk Appetite adalah jumlah risiko secara kelesuruhan pada perusahaan

atau badan lain yang dapat atau bisa diterima dalam mencapai tujuan

perusahaan.

b. Risk Tolerance adalah sebuah variasi relatif yang dapat diterima dalam

mencapai tujuan yang diukur dalam satuan yang sama yang digunakan

untuk mengukur tujuan terkait.

Output utama Business Impact Analysis (BIA) adalah persayaratan

pemulihan untuk setiap fungsi / proses kritis. Dimana persyaratan pemulihan

terdiri dari informasi terkait:

a. Kebutuhan bisnis untung pemulihan fungsi penting.

b. Persyaratan teknis untuk pemulihan fungsi kritis.

Dimana persyaratan pemulihan tersebut diungkapkan dengan bantuan dua

nilai:

1. Recovery Point Objective (RPO) adalah jumlah waktu yang dapat

diterima dalam memulihkan data.

22

2. Recovery Time Objective (RTO) adalah jumlah waktu yang dapat diterima

dalam mengembalikan fungsi.

(Solehudin, 2005), mengemukakan bahwa Business Impact Analysis

(BIA) adalah Proses yang dilakukan sebelum membuat Disaster Recovery Plan

dimana Business Impact Analysis (BIA) digunakan untuk membantu unit bisnis

memahami dampak dari bencana yang mana Tahap dari Business Impact

Analysis (BIA) meliputi pelaksanaan analisa risiko dan menentukan dampak

terhadap perusahaan jika potential loss yang teridentifikasi dari hasi analisa

risiko sungguh-sungguh terjadi.

Dimana tujuan utama dari Business Impact Analysis (BIA) adalah untuk

membuat sebuah dokumen yang akan digunakan untuk membantu memahami

dampak yang terjadi dari bencana terhadap proses bisnis suatu perusahaan

dimana dampak yang ada bisa secara finansial (kuantitatif) atau operasional

(kualitatif, seperti ketidak mampuan untuk merespon komplain dari pelanggan).

Selain itu Business Impact Analysis (BIA) memiliki 3 tujuan utama antara

lain:

1. Prioritas kritis.

Dimana setiap proses unit bisnis yang kritis harus diidentifikasi,

dibuat prioritasnya, dan dampak dari kejadian bencana harus dievaluasi.

Lebih jelasnya, proses bisnis yang tidak terikat waktu akan diterapkan

memiliki tingkat prioritas yang lebih rendah untuk dipulihkan dari pada

proses bisnis yang terikat dengan waktu.

23

2. Perkiraan Downtime.

Perkiraan Business Impact Analysis (BIA) digunakan untuk

membantu memperkirakan Maximum Tolerable Downtime (MTD) atau

maksimal lamanya waktu downtime yang dapat ditolerir dan dipraktekan

oleh perusahaan.

3. Kebutuhan Sumberdaya.

Kebutuhan sumber daya untuk proses yang vital juga bisa

diidenfikisai pada Business Impact Analysis (BIA), proses yang sangat

tergantung pada waktu akan lebih diutamakan untuk mendapatkan alokasi

sumber daya.

(St-Germain, Aliu, Dewez, & Dewez, 2012), mengemukakan bahwa

Business Impact Analysis (BIA) adalah sebuah kegiatan yang memungkinkan

organisasi untuk mengidentifikasi proses penting yang mendukung produk dan

layanan utamanya, dimana adanya saling ketergantungan antara proses dan

sumber daya yang diberikan yang diperlukan untuk mengoperasikan proses pada

tingkat minimal yang dapat diterima.

24

2.13 Hal – Hal Yang Harus Dilakukan Dalam Business

Impact Analysis (BIA)

(Solehudin, 2005), mengemukakan bahwa hal – hal yang harus dilakukan

dalam Business Impact Analysis (BIA) antara lain:

1. Mengumpulkan materi-materi assessment yang dibutuhkan

Tahap awal dari Business Impact Analysis (BIA) adalah mengidentifikasi

unit bisnis mana yang paling penting (kritikal) untuk tetap dijalankan pada

tingkat operasi yang diperkenankan.

Hal-hal yang perlu ditanyakan dalam BIA ini adalah meliputi:

a. Informasi sumber daya yang penting bagi organisasi

b. Proses bisnis yang kalau tidak berjalan akan memberikan dampak negatif

yang fatal bagi perusahaan.

Dimana setiap proses perlu diperhatikan criticality-nya, dengan indikasi

antara lain:

a. Proses yang berkaitan dengan nyawa seseorang

b. Proses yang akan menyebabkan kerugian finansial yang luar biasa

c. Proses yang harus mematuhi aturan yang berlaku, misalnya: sektor

keuangan, atau Air Traffic Control.

Setelah bahan-bahan terkumpulkan dan fungsi-fungsi operasai bisnis

teridentifikasi, proses Business Impact Analysis (BIA) akan mencoba hubungan

antar fungsi bisnis ini terhadap beberapa faktor seperti kesuksesan bisnis, skala

prioritas antar unit bisnis, dan prosedure proses alternatif yang dapat digunakan.

25

2. Melakukan analisa risiko

Fungsi dari analisa ini adalah untuk melakukan analisa terhadap dampak

bencana dimana akan ada 2 bagian analisa yaitu secara finansial (kuantitatif) dan

operasional (kualitatif).

Secara kuantitatif akan meliputi:

a. Kerugian secara finansial terhadap pendapatan, pengeluaran modal, atau

tanggung jawab personal.

b. Pengeluaran operasional tambahan dalam perbaikan dampak dari

bencana.

c. Kerugian finansial berkaita dengan persetujuan kontrak kerja.

d. Kerugian finansial karena adanya tuntutan dari pihak lain

e. Secara kualitatif analisa risiko meliputi:

f. Kehilangan keunggulan kompetitif atau market share.

g. Kehilangan kepercayaan public atau kredibilitas

Selama melakukan analisa risiko, area-area pendukung yang utama harus

bisa ditetapkan dalam rangka menilai dampak dari kejadian bencana. Area

pendukung utama adalah unit atau fungsi bisnis yang harus ada untuk

mempertahankan keberlanjutan proses bisnis, menjaga keselamatan jiwa, atau

menghindari hubungan ke masyarakat yang memalukan. Area pendukung utama

dapat berupa hal-hal berikut:

a. Telekomunikasi, komunikasi data, atau area tehnologi informasi.

b. Infrastruktur fisik atau fasilitas pabrik, layanan transportasi.

c. Akunting, neraca pembayaran, proses transaksi, layanan pelanggan

26

Adapun klasifkasi dari analisa risiko adalah meliputi:

1. Critical

Fungsi-fungsi ini tidak bisa bekerja kecuali digantikan oleh fungsi yang

serupa. Tidak bisa digantikan dengan metode manual.

2. Vital

Bisa dilakukan secara manual pada rentang waktu yang pendek sekali.

Sebaiknya direstore dalam waktu tidak lebih dari 5 hari.

3. Sensitive

Bisa dilakukan secara manual dalam waktu yang relatif lama, namun

meskipun dilakukan secara manual pasti tetap sulit untuk melakukannya dan

membutuhkan keterlibatan staf yang lebih banyak.

4. Noncritical

Bisa diinterupsi sampai waktu yang lama, dengan sedikit beban atau tidak

ada beban biaya bagi perusahaan.

3. Menganalisa informasi yang didapatkan

Aktifitas yang dilakukan adalah mendokumentasikan proses yang

dibutuhkan, identifikasi hubungan atau ketergantungan antar unit bisnis, dan

menentukan lamanya waktu penundaan proses bisnis yang dapat diterima. Tujuan

dari analisa informasi ini adalah untuk menggambarkan secara jelas mengenai

dukungan apa yang dibutuhkan oleh fungsi-fungsi bisnis utama. Komponen

analisa akan disusun berdasarkan unit-unit bisnis yang ada pada perusahaan.

27

4. Mendokumentasikan hasil dan mempresentasikan rekomendasi

Tahap akhir Business Impact Analysis (BIA) adalah membuat sebuah

dokumentasi lengkap dari semua proses, prosedur, analisa dan hasil serta

presentasi rekomendasi kepada senior manajemen yang sesuai. Laporan akan

berisikan bahan-bahan yang telah dikumpulkan, daftar dukungan kristis yang

teridentifikasi, ringkasan analisa dampak kuantitatif dan kualitatif, dan

memberikan rekomendasi prioritas pemulihan berdasarkan proses analisa

tersebut.

(Brooks, Benderjak, Juran, & Merryman, 2002), mengemukakan bahwa

tahap – tahap yang harus dilakukan dalam melakukan Business Impact Analysis

digambarkan sebagai berikut:

Gambar 2. 7: Hal – Hal Yang Perlu Dilakukan Dalam Business Impact Analysis

Sumber: Brooks, C., Benderjak, M., Juran, I., & Merryman, J

Dimana penjelasan dari tahap – tahap berikut adalah:

1. Indentify Critical IT Resources, dimana pada proses ini terdapat kegiatan

melakukan identifikasi hal – hal yang kritis dari bisnis proses dan sumber

daya TI yang ada dimana proses identifikasi ini diperoleh dari pengguna,

bisnis proses, aplikasi dan hal – hal lain yang berhubungan dengan

kegiatan yang kita identifikasi.

28

2. Indentify Outage Impacts and Allowable Outage Times, dimana pada hal

yang dianalisis dalam kegiatan ini yaitu membuat hal – hal sebagai

berikut:

a. Recovery Point Objective (RPO) dimana hal ini mendefinisikan

jumlah data yang dapat dibuat selama pemulihan, dengan menentukan

titik paling terbaru pada saat melakukan pemulihan data.

b. Recovery Time Objective (RTO) dimana hal ini mendefinisikan

jumlah waktu yang dibutuhkan untuk pulih dari bencana atau berapa

lama bisnis dapat bertahan hidup tanpa sistem.

c. Network Recovery Objective (NRO) dimana hal ini mendefinisikan

rincian waktu untuk memulihkan atau operasi jaringan. Dimana

pemulihan sistem tidak sepenuhnya lengkap dimana pelanggan tidak

dapat mengakses layanan aplikasi melalui koneksi jaringan.

3. Develop Recovery Priorities, dimana pada hal ini yang dilakukan adalah

mendefinisikan tingkat prioritas dari sumber daya kritis yang ada.

2.14 Penjelasan Business Continuity Plan (BCP)

(Momani, 2010), mengemukakan bahwa Business Continuity Plan (BCP)

adalah sebuah rencana untuk mempersiapkan diri untuk mencegah, menghindari,

meminimalkan, dan mengurangi kerugian dari bencana alam dan bencana buatan

mansuia yang dapat mengakibatkan kerugian bisnis. Dimana bisnis yang berbeda

memiliki rencana yang berbeda untuk memenuhi kebutuhan perusahaan untuk itu

perlu membangun Business Continuity Plan (BCP) yang efektif, yang mana

rencana ini harus mempertimbangkan 11 poin berikut antara lain:

29

1. Persyaratan hukum

2. Kebijakan BCP

3. Business Risk Analysis

4. Tujuan dan target

5. Business Continuity Plan (BCP)

6. Struktur dan tanggung jawab

7. Sumber daya BCP

8. Pelatihan dan kesadaran

9. Dokumentasi BCP

10. Pengujian BCP

11. Ulasan manajemen

(Svata, 2013), mengemukakan bahwa Business Continuity Plan (BCP)

adalah kelompok proses dan intruksi perusahaan yang luas untuk meastikan

proses bisnis pada saat gangguan terjadi. Dimana Business Continuity Plan

(BCP) menyediakan rencana perusahaan untuk dapat pulih dari gangguan kecil

(misalnya, gangguan lokal dari komponen bisnis) dan juga gangguan besar

(misalnya, kebakaran, bencana alam, gagguan listrik yang sangat lama, kegagalan

peralatan dan / atau telekomunikasi).

(St-Germain, Aliu, Dewez, & Dewez, 2012), mengemukakan bahwa

Business Continuity Plan (BCP) bagian dari Business Continuity Management

(BCM) dimana Business Continuity Management (BCM) adalah proses

manajemen holistik yang mengidentifikasi potensi ancaman pada perusahaan dan

dampak untuk operasi bisnis ancaman tersebut yang menyediakan kerangka kerja

untuk membangun ketahanan organisasi dengan kemampuan untuk melakukan

30

respon yang efektif dalam melindungi kepentingan stakeholder kunci, reputasi,

brand, dan kegiatan penciptaan nilai.

Diamana framework yang digunakan dalam melakukan Business

Continuity Management (BCM) yaitu menggunakan ISO 22301, dimana ISO

22301 menetapkan persyaratan untuk merencanakan, menetapkan, menerapkan,

mengoperasikan, memantau, review, mempertahankan dan terus meningkatkan

sistem manajemen yang terdokumentasi untuk mempersiapkan, menanggapi dan

pulih dari peristiwa mengganggu ketika mereka muncul.

Dimana key of clause dari ISO 22301:2012 teridiri dari sebagai berikut:

1. Clause 4: Context of the organization

Dimana pada clause ini perusahaan diharapkan menentukan masalah

eksternal dan internal yang relevan dengan tujuan dan yang mempengaruhi

kemampuannya untuk mencapai hasil yang diharapkan dari Business Continuity

Management System (BCMS) seperti:

a. Kegiatan organisasi, fungsi, layanan, produk, kemitraan, rantai pasokan,

hubungan dengan pihak yang berkepentingan, dan dampak potensial

terkait dengan insiden yang mengganggu,

b. Hubungan antara kebijakan kelangsungan bisnis dan tujuan organisasi

dan kebijakan lainnya, termasuk strategi manajemen risiko secara

keseluruhan,

c. Risk appetite organisasi,

d. Kebutuhan dan harapan dari pihak berkepentingan yang relevan,

31

e. Hukum, peraturan dan persyaratan lainnya yang berlaku untuk diikuti

organisasi.

2. Clause 5: Leadership

Top management perlu menunjukkan komitmen terus menerus untuk

Business Continuity Management System (BCMS). Melalui kepemimpinan dan

tindakan, manajemen dapat menciptakan suatu lingkungan di mana aktor yang

berbeda sepenuhnya terlibat dan di mana sistem manajemen dapat beroperasi

secara efektif dalam sinergi dengan tujuan organisasi. Mereka bertanggung jawab

untuk:

a. Memastikan Business Continuity Management System (BCMS)

kompatibel dengan arah strategis organisasi,

b. Mengintegrasikan persyaratan Business Continuity Management System

(BCMS) ke dalam proses bisnis organisasi;

c. Menyediakan sumber daya yang diperlukan untuk Business Continuity

Management System (BCMS),

d. Mengkomunikasikan pentingnya manajemen kelangsungan bisnis yang

efektif,

e. Memastikan bahwa Business Continuity Management System (BCMS)

mencapai hasil yang diharapkan,

f. Mengarahkan dan mendukung perbaikan terus-menerus,

g. Menetapkan dan mengkomunikasikan kebijakan kelangsungan bisnis,

h. Memastikan tujuan dan rencana Business Continuity Management System

(BCMS) yang ditetapkan,

32

i. Memastikan tanggung jawab dan kewenangan untuk peran yang

ditugaskan.

3. Clause 6: Planning

Klausa ini adalah tahap kritis yang berkaitan dengan menetapkan sasaran

strategis dan prinsip-prinsip panduan untuk Business Continuity Management

System (BCMS) secara keseluruhan. Tujuan dari Business Continuity

Management System (BCMS) adalah ekspresi dari maksud organisasi untuk

mengobati risiko dan/atau untuk memenuhi persyaratan kebutuhan organisasi.

Tujuanya harus:

a. Konsisten dengan kebijakan kelangsungan bisnis,

b. Memperhitungkan tingkat minimum produk dan layanan yang dapat

diterima oleh organisasi untuk mencapai tujuannya,

c. Dapat diukur,

d. Memperhitungkan persyaratan yang berlaku,

e. Dipantau dan diperbarui sesuai dengan perkembangan yang ada.

4. Clause 7: Support

Pengelolaan Business Continuity Management System (BCMS) yang

efektif bergantung pada menggunakan sumber daya yang tepat untuk setiap tugas

termasuk staf yang kompeten dengan pelatihan yang relevan dan layanan

pendukung, kesadaran dan komunikasi. Ini harus didukung oleh informasi yang

dikelola dan didokumentasikan dengan baik. Kedua komunikasi internal dan

eksternal organisasi harus diperhatikan di daerah ini, termasuk format, isi dan

33

waktu yang tepat dari komunikasi tersebut. Persyaratan pada penciptaan, update

dan kontrol informasi selain didokumentasikan juga ditentukan dalam klausul ini.

5. Clause 8: Operation

Setelah merencanakan Business Continuity Management System (BCMS),

sebuah organisasi harus meletakkannya pada operation yang mana klausa ini

meliputi:

a. Business Impact Analysis (BIA)

b. Risk Assessment

c. Business Continuity Strategy

d. Business Continuity Procedures

e. Exercise and Testing

6. Clause 9: Performance Evaluation

Setelah Business Continuity Management System (BCMS)

diimplementasikan, ISO 22301 membutuhkan pemantauan permanen dari sistem

serta ulasan periodik untuk meningkatkan operasinya dimana hal – hal yang perlu

dilakukan antara lain:

a. Pemantauan sejauh mana kebijakan kelangsungan bisnis organisasi,

tujuan dan sasaran terpenuhi,

b. Mengukur kinerja proses, prosedur dan fungsi yang melindungi kegiatan

yang diprioritaskan,

c. Memantau kepatuhan dengan standar ini dan tujuan kelangsungan usaha,

34

d. Pemantauan bukti sejarah kinerja kekurangan Business Continuity

Management System (BCMS) dan melakukan audit internal pada selang

waktu yang terencana, dan

e. Mengevaluasi semua dengan tinjauan manajemen pada interval yang

direncanakan.

7. Clause 10: Improvement

Continual improvement dapat didefinisikan sebagai semua tindakan yang

diambil di seluruh organisasi untuk meningkatkan efektivitas (mencapai tujuan)

dan efisiensi (biaya optimal / rasio manfaat), proses keamanan dan kontrol untuk

membawa peningkatan manfaat bagi organisasi dan para pemangku kepentingan.

Sebuah organisasi dapat terus meningkatkan efektivitas sistem manajemen

melalui penggunaan kebijakan kelangsungan bisnis, tujuan, hasil audit, analisis

kejadian yang dipantau, indikator, tindakan korektif dan pencegahan dan tinjauan

manajemen.

2.15 Hal – Hal Yang Perlu Dilakukan Dalam Business

Continuity Plan (BCP)

(Momani, 2010), mengemukakan bahwa terdapat 10 elemen yang penting

dilakukan terkait dengan Business Continuity Plan (BCP) antara lain:

1. Inisiasi dan pengelolaan program

2. Evaluasi dan pengendalian risiko

3. Businesss Impact Analysis (BIA)

4. Strategi keberlangsungan bisnis

35

5. Emergency response and operations

6. Business Continuity Plan (BCP)

7. Pelatihan dan kesadaran

8. Pelatihan, audit, dan pemeliharaan Business Continuity Plan (BCP)

9. Komunikasi

10. Koordinasi dengan agen eksternal

(St-Germain, Aliu, Dewez, & Dewez, 2012), mengemukakan bahwa hal –

hal yang harus dilakukan dalam dengan Business Continuity Plan (BCP) dengan

menggunakan standar ISO 22301 adalah sebagai berikut:

Gambar 2. 8: Hal – Hal Yang Harus Dilakukan Dalam Business Continuity Plan (BCP)

dengan menggunakan standar ISO 22301

Sumber: St-Germain, R., Aliu, F., Dewez, & Dewez, P

36

(Humadia, 2010), mengemukakan bahwa hal – hal yang dilakukan dalam

merancang sebuh Business Continuity Plan (BCP) digambarkan sebagai berikut:

Gambar 2. 9: Hal - Hal Yang Harus Dilakukan Dalam Business Continuity Plan

Sumber: Humadia

2.16 Penjelasan Disaster Recovery Plan (DRP)

(Laudon & Laudon, 2012), mengemukakan bahwa Disaster Recovery

Plan (DRP) adalah sebuah rencana untuk memulihkan pelayanan komputasi dan

telekomunikasi setelah terjadi gangguan, dimana Disaster Recovery Plan (DRP)

fokus pada masalah teknis terkait dengan menjaga sistem untuk tetap berjalan

seperti backup file dan pemeliharaan sistem backup pada komputer atau

pelayanan disaster recovery.

(Solehudin, 2005), mengemukakan bahwa Disaster Recovery Plan (DRP)

adalah prosedur yang dijalankan saat BCP berlangsung (in action) berupa

langkah-langkah untuk penyelamatan dan pemulihan (recovery) khususnya

37

terhadap fasilitas IT dan sistem informasi, dimana Disaster Recovery Plan (DRP)

merupakan pengaturan yang komprehensive berisikan tindakan-tindakan

konsisten yang harus dilakukan sebelum, selama, dan setelah adanya kejadian

(bencana) yang mengakibatkan hilangnya sumber daya sistem informasi secara

bermakna. Disaster Recovery Plan (DRP) berisikan prosedur untuk merespon

kejadian emergensi, menyediakan operasi backup cadangan selama sistem

terhenti, dan mengelola proses pemulihan serta penyelamatan sehingga mampu

meminimalisir kerugian yang dialami oleh organisasi. Tujuan utama dari Disaster

Recovery Plan adalah untuk menyediakan kemampuan atau sumber daya untuk

menjalankan proses vital pada lokasi cadangan sementara waktu dan

mengembalikan fungsi lokasi utama menjadi normal dalam batasan waktu

tetentu, dengan menjalankan prosedur pemulihan cepat, untuk meminimalisir

kerugian organisasi.

(Prazeres & Lopes, 2013), mengemukakan bawha kritikal poin yang harus

diperhatikan pada disaster recovery adalah sebagai berikut:

1. Perlu untuk mengkonsolidasikan penyimpanan data,

2. Indetifikasi aplikasi yang dianggap kritis dan membutuhkan

keberlangsungan bisnis terus menerus,

3. Indetifikasi kemungkinan lokasi dan studi kelayakan dari lokasi tersebut,

4. Indetifikasi seluruh stakeholder dari proyek,

5. Pembentukan pencapaian proyek, yang dikondisikan oleh keputusan

untuk memperoleh materi yang lebih tinggi dan tawaran yang sama,

6. Indetifikasi teknologi yang dimaksudkan dan diperlukan,

38

7. Identifikasi infrastruktur yang dibutuhkan untuk instalasi data center baru

dari rak, serta kebutuhan jaringan infrastruktur yang diperlukan untuk

komunikasi dan replikasi data antar lokasi.

Dimana infrastruktur yang telah terintegrasi dengan disaster recovery plan

digambarkan sebagai berikut:

Gambar 2. 10: Main Site dan Recovery Site

Sumber: Prazeres, A., & Lopes, E

2.17 Hal – Hal Yang Perlu Dilakukan Dalam Disaster

Recovery Plan (DRP)

(Solehudin, 2005), mengemukakan bahwa hal – hal yang perlu dilakukan

dalam Disaster Reovery Plan (DRP) antara lain :

1. Pemilihan strategi Disaster Reovery Plan (DRP)

Pemilihan strategi Disaster Reovery Plan (DRP) meliputi dua hal yaitu:

penentuan cara atau strategi untuk melakukan pemulihan fasilitas tehnologi

39

informasi dan aktifitas bisnis apa saja yang harus dilakukan selama fasilitas

tehnologi informasi sedang dipulihkan.

Perencanaan Keberlangsungan Pemrosesan Data adalah menentukan

proses backup atau alternatif pemrosesan data saat terjadinya bencana yang

menginterupsi aplikasi bisnis yang berjalan. Berikut adalah strategi yang dapat

dipilh dalam menentukan alternatif data prosessing saat terjadi bencana:

1. Melakukan duplikasi terhadap fasilitas proses informasi, dimana terdapat

komputer lain atau cadangan di lokasi tertentu yang memiliki fungsi yang

sama dan selalu diupdate sesuai dengan transaksi yang berjalan.

2. Hot sites: Sepenuhnya dijalankan oleh fasilitas operasi dan data alternatif

yang dilengkapi dengan perangkat keras dan perangkat lunak yang

memadai selama dampak bencana masih berlangsung. Cara ini penting

untuk aplikasi yang kritikal, namun biayanya sangat mahal.

3. Warm site: Fasiltas alternatif yang memiliki sarana yang lebih sedikit.

Misalnya ada listrik, jaringan, telepon, meja-meja, printer, tetapi tanpa

komputer yang mahal. Kadang-kadang ada komputer, tetapi less

processing power.

4. Cold site: Fasilitas yang memiliki prasarana penunjang untuk operasi

komputer, misalnya ruangan yang memiliki listrik dan AC. Tapi belum

ada komputernya, namun siap dipasangi komputer.

5. Perjanjian dengan perusahaan lain (mutual aid agreement), yaitu bekerja

sama dengan perusahaan lain yang memiliki kebutuhan sistem komputer

yang sama seperti pada konfigurasi hardware atau software, atau

kesamaan jaringan komunikasi data atau akses Internet. Dalam kerja sama

40

ini, ke dua perusahaan setuju untuk saling mendukung bila terjadi

bencana

6. Multiple Center: Proses sistem dan data tersebar di masing-masing unit

organisasi. Strategi ini hampir sama dengan mutual aid agreement,

namum dilaksanakan secara internal dalam satu organisasi atau

perusahaan, dan memerlukan regulasi atau standar internal yang

disepakati dan dipatuhi bersama.

7. Out source: Organisasi melakukan kontrak dengan pihak ke tiga untuk

memberikan alternatif layanan proses backup.

Selain itu perusahaan juga perlu menentukan strategi dalam memulihkan

telekomunikasi seperti, melalui:

a. Network redundancy, memiliki kapasitas yang lebih atau ekstra gate

gateway.

b. Alternative routing, menggunakan media komunikasi alternatif, mis.

kalau sebelumnya antar cabang menggunakan VSAT, maka dicoba

alternatif menggunakan POST (plain old telephone system), juga

jaringan fiber optik yang memiliki 2 jalur routing.

c. Diverse routing, menggunakan kabel duplikat, dan menjamin bahwa

kabel-kabel tersebut memiliki jalur/path yang berbeda. Kalau kabel-

kabel tersebut berada pada jalur yang sama persis, maka akan kena jenis

ancaman yang sama.

d. Long haul network diversity, sebuah recovery facility (off site alternate

facility). Banyak yang memiliki banyak jalur keluar ke beberapa

41

penyelenggara jasa telekomunikasi. Hal ini untk menjamin tersedianya

jasa telekomunikasi kalau yang satu crash.

e. Protection of local loop (last mile circuit), menggunakan banyak metode

akses komunikasi keluar, kalau ada bencana di off site facility.

f. Voice recovery, pemulihan sarana telekomunikasi terutama untuk

melakukan hubungan komunikasi suara, lewat telepon.

2. Integrasi strategi dengan backup dan recovery

Pengendalian backup dan recovery diperlukan untuk berjaga-jaga bila file

atau data base mengelami kerusakan atau kehilangan data. Backup adalah salinan

dari file atau database di tempat yang terpisah dan recovery adalah file atau

database yang telah dibetulkan dari kesalahan atau kerusakan.

Karena file atau database dapat mengalami kerusakan atau kehilangan

data, maka sangat perlu untuk membuat backup yang berfungsi sebagai cadangan

bila yang asli mengalami kerusakan. File tersebut dapat disimpan di luar gedung

utama, sebuah lokasi yang jauh dari pusat data perusahaan, yang kadang

merupakan gudang penyimpanan di lokasi yang jauh.

Dimana strategi backup dan recovery antara lain sebagai berikut:

a. Strategi file bertingkat (kakek-bapak-anak),

Strategi ini biasanya digunakan untuk file yang berada di media simpanan

luar pita magnetik. Strategi ini dilakukan dengan menyimpan tiga generasi file

induk bersama-sama dengan file transaksinya. Dimana strategi ini

pemutakhirannya dilakukan setiap 1 minggu. Selama periode 3 minggu, maka

akan didapatkan 3 buah file induk yang disimpan di tempat yang berbeda.

Selama periode tersebut akan didapat file-file sebagai berikut:

42

a. File induk kakek (grand father) dan file transaksi 2 minggu yang lalu

b. File induk bapak (father) dan file transaksi 1 minggu yang lalu

c. File induk anak (son) dan file transaksi minggu ini

Ketiga file induk dan transaksi tersebut akan disimpan secara terpisah.

Bila terjadi kerusakan atau kehilangan data didalam file, maka akan dapat

dibetulkan kembali. Misalnya kasus-kasus sebagai berikut:

a. File induk anak mengalami kerusakan atau hilang, maka dapat dibetulkan

dari file induk bapak yang diupdate ulang dengan file transaksi minggu

kemarin.

b. File induk anak dan file induk bapak, kedua-duanya mengalami

kehilangan atau kerusakan, maka dapat dibetulkan dari file induk kakek

yang diupdate ulang dari file transaksi 2 minggu lalu dan file transaksi

minggu kemarin.

b. Strategi pencatatan ganda,

Strategi ini dilakukan dengan menyimpan dua buah salinan data base

yang lengkap secara terpisah. Bila terjadi transaksi, keduanya diupdate secara

bersamaan. Untuk mengatasi kegagalan dari perangkat keras, sebuah processor

ke dua dapat dipergunakan. Processor ke dua ini akan menggantikan fungsi dari

processor utama bila mengalami kerusakan. Kalau hal ini terjadi, yaitu prosessor

utama tidak berfungsi, secara otomatis program akan merubah dari prosessor

utama ke processor ke dua, dan data base ke dua menjadi data base utama. Dual

recording sangat tepat untu aplikasi-aplikasi yag data base-nya tidak boleh

terganggu dan harus selalu siap. Akan tetapi, sebagai pertimbangannya, strategi

ini mahal, karena menggunakan dua buah processor dan dua buah data base.

43

c. strategi dumping

Strategi dilakukan dengan menyalinkan semua atau sebagian dari data

base ke media backup yang lain, dapat berupa pita magnetik atau disket

(CD/DVD). Recovery pada strategi ini dapat dilakukan dengan merekam kembali

(restore) hasil dari dumping kembali ke database di simpanan luar utama dan

melakukan proses transaksi yang terakhir yang sudah mempengaruhi database

sejak proses dumping trakhir. Misalnya dumping untuk membackup data base

dilakukan seminggu sekali, yaitu pada hari sabtu. Pada hari Kamis berikutnya,

diketahui bahwa data base mengalami kerusakan. Untuk membetulkannya dapat

dilakukan dengan cara berikut ini;

d. Backup database terakhir, yaitu pada hari Sabtu kemarin direkamkan

kembali ke simpanan luar utama.

e. Akan tetapi database hasil perekaman dari backup masih belum lengkap,

karena sudah terjadi proses transaksi sejak hari Sabtu sampai dengan hari

Kamis (saat terjadi kerusakan), sehingga transaksi-transaksi ini harus

diupdatekan kembali ke database.

3. Pemilihan lokasi pemulihan dari bencana

Dalam pemilihan lokasi alternatif untuk memulihkan bisnis dari bencana,

maka perlu dipertimbangkan hal-hal berikut:

a. Jarak dari Fasilitas Utama; pilihlah lokasi yang tidak terlalu dekat dan

juga terlalu jauh dari gedung utama yaitu sekitar 30 kilo meter.

b. Potensi Risiko dari Bencana: apakah lokasi tersebut juga memiliki risiko

terkena bencana, carilah tempat yang minim terkena ancaman atau

dampak bencana.

44

c. Ketersediaan staff setempat: apakah ada staff setempat yang bisa

mengoperasikan proses bisnis utama.

d. Ketersediaan dan kualitas tenaga listrik/baterai; apakah tenaga listrik atau

baterai tersedia, dan apakah mencukupi untuk waktu lebih dari 27 jam.

e. Nearby Fiber Routes: untuk kepentingan jaringan komunikasi data,

alangkah lebih baik kalau tidak jauh dari jarul kabel fiber, dan kalau

memungkinkan kita bisa minta ijin atau mendaftar menggunakan jalur

kabel tersebut.

f. Specific IT Criteria; Teknologi informasi dapat berfungsi pada lokasi

tersebut, batasan jarak harus menjadi perhatian perlengkapan jaringan.

g. Tax Incentive; Lokasi tertentu atau di luar perkotaan mungkin akan jauh

lebih murah biayanya.

4. Pemeliharaan Rencana Pemulihan Data

Pemeliharaan perlu direncanakan sebelumnya supaya Disaster Reovery

Plan (DRP) selalu update dan berguna. Sangatlah penting untuk membuat

prosedure pemeliharaaan Disaster Reovery Plan (DRP) dalam sebuah organisasi

dengan menggunakan job description yang mensetralisasi tanggung jawab

pengupdate-an. Mungkin juga diperlukan prosedur audit yang melaporkan secara

periodik mengenai status dari perencanaan. Juga penting adalah jangan sampai

berbagai versi rencana masih ada, in akan menimbulkan kebingungan dan bisa

memperparah kondisi emergensi. Jangan lupa untuk selalu menganti versi yang

lama dengan yang baru dan menuliskan teks versi pada tiap perencaaan.

45

5. Pengujian Disaster Reovery Plan (DRP)

Pengujian Disaster Reovery Plan (DRP) sangatlah penting, Disaster

Reovery Plan (DRP) memiliki banyak elemen yang berupa teori sampai mereka

benar-benar diuji dan disahkan. Pengujian rencana harus dilaksanakan sesuai

dengan urutannya, mengikuti standar yang ditetapkan, dan disimulasikan pada

keadaan sebenarnya.

Ada lima bentuk pengujian disaster recovery plan yaitu:

1. Check List test. Ini adalah preliminary step dari pengujian dimana setiap

unit manajemen akan mereview apakah perencanaan sesuai dengan

prosedur dan critical area dari organisasi.

2. Structured walk-through test. Tes dilakukan melalui pertemuan antar

perwakilan dari tiap unit manajemen untuk membahas seluruh isi dari

perencanaan. Tujuannya adalah untuk memastikan bahwa perencanaan

secara akurat merefleksikan kemampuan organisasi dalam memulihkan

diri dari bencana secara sukses, setidaknya on paper.

3. Simulation test. Selama pengujian dengan melakukan simulasi, semua

orang dibagian operasional dan support harus memandang bahwa keadaan

emergensi terjadi seperi sebenarnya agar sesuai dengan kenyataannya

nanti. Simulasi tes ini bertujuan untuk melihat kesiapan personnel bila ada

kejadian bencana.

4. Paralel test. Simulasi dilakukan pada semua rencana pemulihan dimana

Parallel berarti proses pengujian berjalan secara paralel dengan proses

sebenarnya. Tujuanya adalah memastika supaya sistem yang utama

(critical) dapat tetap berjalan pada lokasi alternatif backup.

46

5. Full-interuption test. Ini adalah tes yang sangat berisiko karena kejadian

bencana (dampak) benar-benar diterapkan. Namun ini adalah cara terbaik

untuk menguji Disaster Reovery Plan (DRP), apakah dapat berjalan atau

tidak.

(Brooks, Benderjak, Juran, & Merryman, 2002), mengemukakan bahwa

hal – hal yang dilakukan dalam Disaster Recovery Plan digambarkan sebagai

berikut:

Gambar 2. 11: Hal – Hal Perlu Dilakukan Dalam Disaster Recovery Plan

Sumber: Brooks, C., Benderjak, M., Juran, I., & Merryman, J

(Prazeres & Lopes, 2013), mengemukakan bahwa tahap – tahap dalam

melakukan disaster recovery plan adalah sebagai berikut:

a. Project initiation: memperoleh pemahaman tentang lingkungan TI masa

depan yang ada dan direncanakan, menentukan ruang lingkup proyek,

mengembangkan jadwal proyek, dan mengidentifikasi risiko proyek.

47

Selain itu, Sponsor dan Komite Pengarah Proyek harus ditetapkan pada

tahap ini.

b. Risk Assessment: penilaian lokasi geografis, lingkungan komputasi,

terinstal perangkat keamanan, komputasi akses pengendalian sistem,

praktek personil, praktek operasi, dan praktek cadangan,

c. Impact Analysis: mengidentifikasi sistem dan fungsi yang penting untuk

keberlangsungan bisnis, dan untuk menentukan lamanya waktu unit dapat

bertahan hidup tanpa sistem kritis,

d. Determintaion Requirement: Rencana harus dirinci dengan persyaratan

pemulihan bisnis dan infrastruktur TI, dan persyaratan yang dihasilkan

oleh hasil penilaian risiko,

e. Project Planning: definisi proyek yang sedang dijalankan dan untuk

mengurangi risiko bencana yang mungkin terjadi,

f. Project execution: proyek harus melanjutkan sesuai dengan praktek

standar manajemen proyek. Selama menjalankan proyek tersebut rencana

pemulihan bencana akan dibangun dan diuji,

g. Integration: mengintegrasikan kembali ke keseluruhan proses Business

Continuity organisasi. Penting bagi organisasi untuk menyelaraskan DR

dan BC,

h. Maintenance: pemeliharaan dan pengujian upaya-upaya yang diperlukan

untuk menjaga rencana up to date, serta mengurangi risiko masa depan

seperti yang ditemui.

48

2.18 Synthesis dan Perbedaan Dari Penelitian Terdahulu

Dibawa ini merupakan hasil dari sytnthesis dari penelitian terdahulu yang

digunakan sebagai acuan dalam penyusunan penelitian ini:

Tabel 2. 1 Sythesis Penelitian Terdahulu

Judul Peneliti Metode Hasil

Disaster Recovery

– a project

planning case

study in Portugal

(Prazeres

& Lopes,

2013)

- Observasi terhadap

masalah yang ada

- Studi pustaka untuk

mendukung proses

yang dilakukan

- Menggunakan proses

disaster recovery

planning untuk

penerpan DRP

- Menggunakan

framework Project

Management

Institute untuk

penerapan DRPnya.

Penerapan BCP dan

DRP pada

perusahaan di

Portugal dari hasil

evaluasi sebuah

aplikasi yang

menjadi proses kritis

pada organiasi

dalam menangani

kegagalan proses

dengan

menggunakan

Vcloud dan Vshpere.

Business

Continuity

Planning: Are We

Prepared For

Future Disasters

(Momani,

2010)

- Evaluasi dampak dari

terjadinya bencana

dan apa yang harus

dipersiapkan untuk

mengurangi dampak

- Business Risk Analyst

untuk mengukur

risiko yang

kemungkinan terjadi.

- Business Continuity

Mangement (BCM)

Evaluasi dan

modernisasi

business continuity

plan dengan tujuan

membuat business

continuity plan yang

efektif dengan studi

kasus bencana alam

gempa bumi di

Kobe, Jepang.

Perancangan

Business

Continuity Plan :

Studi Kasus Pada

PT.PAM

(Humadia

, 2010)

- Wawancara

- Studi Dokumen

- Business Continuity

Plan yang terdiri dari:

1. Risk Assessment

2. Business Impact

Perancangan dan

rekomendasi

business continuity

plan sesuai dengan

permasalahan yang

49

Assessment

3. Strategy Plan

4. Review

ada pada PT. PAM.

The value of a

business continuity

management plan

from a shareholders

perspective

(Bjelmrot,

2007)

- Observasi

- Kuesioner

- Interview

- Business continuity

management

Hubungan antara

supply chain

management

dengan business

continuity

management

dengan

mengidentifikasi

dampak positif dan

negatif yang

terhadap

shareholder value

pada gangguan dari

supply chain

management terjadi

Perbedaan penelitian ini dengan penelitian terdahulu dimana pada

penelitian ini menggunakan objek pada Lembaga Negara XYZ yang mana

perancangan dan penerapan BCP & DRP menggunakan framework ISO 22301,

dimana penyusunan framework tersebut disesuaikan dengan permasalahan dan

kondisi pada Lembaga Negara XYZ selain itu penelitian ini juga menggunakan

metode risk management, business impact analysis, dan disaster recovery plan

untuk merancangan BCP dan DRP dimana seluruh dari proses penelitian ini

tertuang pada kerangka pikir penelitian.