ds1-ds9
TRANSCRIPT
URAIAN PROSES
DS1 Gambarkan dan Kelola Tingkat Layanan Komunikasi efektif antara manajemen IT dan pelanggan bisnis mengenai layanan yang diperlukan adalah dimungkinkan oleh definisi terdokumentasi dan persetujuan atas layanan IT dan tingkat layanan. Proses ini juga termasuk mengawasi dan melapor rutin pada stakeholders atas pencapaian dari tingkat layanan. Proses ini memungkinkan keselarasan antara layanan IT dan persyaratan bisnis yang berhubungan.
Kendali atas proses IT dariGambarkan dan Kelola tingkat layanan
yang memenuhi pesyaratan bisnis untuk IT dari memastikan keselarasan dari kunci layanan IT dengan strategi bisnis
dengan berfokus padamengidentifikasi persyaratan layanan, setuju atas tingkat layanan dan pengawasan pencapaian dari tingkat layanan
adalah dicapai dengan Memformalkan persetujuan internal dan eksternal sejalan dengan persyaratan dan
kemampuan pemenuhan Melaporkan atas tingkat pelayanan pencapaian (laporan dan pertemuan) Mengidentifikasi dan mengkomunikasikan persyaratan layanan baru dan
diperbaharui ke rencana strategis
dan diukur dengan Persen dari stakeholder bisnis yang puas pada pemenuhan layanan yang
mencapai tingkat yang disetujui Banyaknya layanan pemenuhan tidak ada dalam katalog Banyaknya pertemuan review formal SLA dengan pelanggan bisnis dalam
setahun
KENDALI TUJUAN
DS1 Gambarkan dan Mengelola Tingkat Layanan
DS1.1 Tingkat Layanan Manajemen Framework Menggambarkan sebuah framework yang menyediakan tingkat layanan proses manajemen antara pelanggan dan penyedia layanan. Framework harus dirawat menerus selaras dengan persyaratan bisnis dan prioritas dan memfasilitasi pengertian yang sama antara pelanggan dan penyedia. Framework harus termasuk proses untuk menciptakan persyaratan layanan, definisi layanan, SLA, OLA dan sumber yang disediakan. Atrbut ini harus diorganisasi dalam katalog layanan, tugas dan tanggung jawab dari penyedia layanan internal dan eksternal dan pelanggan.
DS1.2 Definisi dari Layanan Gambaran dasar dari layanan IT atas karakter layanan dan persyaratan bisnis. Pastikan mereka teroganisisr dan disimpan terpusat lewat implementasi dari pendekatan portfolio katalog layanan
DS1.3 Persetujuan Tingkat Layanan Gambaran dan setuju pada SLA untuk semua layanan kritis IT atas persyaratan pelanggan dan kemampuan IT. Ini harus melingkupi komitmen pelanggan; persyaratan dukungan layanan; ukuran kuantitatif dan kualitatif untuk mengukur layanan yang ditugaskan oleh stakeholder; persetujuan pembiayaan dan komersial, jika ada; dan peran dan tanggungjawab, termasuk kekeliruan SLA. Pikirkan hal seperti ketersediaan, kehandalan, performansi, kapasitas tumbuh, tingkat dukungan, rencana berkelanjutan, keamanan dan batas permintaan.
DS1.4 Persetujuan Tingkat Operasi Gambaran OLA yang menjelaskan bagaimana layanan akan secara teknis dipenuhi untuk mendukung SLA dalam sebual perlakuan yang formal. OLA harus menjelaskan proses teknis dalam hal yang berarti untuk penyedia dan dapat mendukung beberapa SLA
DS1.5 Pengawasan dan Laporan Pencapaian Tingkat Layanan Secara menerus mengawasi kriteria performansi tingkat layanan yang spesifik. Laporan atas pemenuhan tingkat layanan harus disediakan dalam bentuk yang berarti pada stakeholder. Statistik pengawasan harus dianalisa dan dilakukan selalu untuk menggambarkan tren negatif dan positif untuk layanan individu seperti layanan untuk semua.
DS1.6 Pemeriksaan dari Persetujuan Tingkat Layanan dan Kontrak Pemeriksaan reguler SLA dan kontrak penyokong dengan penyedia layanan internal dan eksternal untuk memastikan agar mereka efektif dan diperbaharui dan perubahan dalam persyaratan telah dihitung.
PETUNJUK MANAJEMEN
DS1 Gambarkan dan Mengelola Tingkat Layanan
MODEL KEMATANGAN
DS1 Gambarkan dan Mengelola Tingkat LayananProses dari manajemen dari Gambaran dan Mengelola Tingkat Layanan yang memuaskan persyaratan bisnis untuk IT agar memastikan keselarasan dari layanan kunci IT dengan strategi bisnis adalah:
0 Tidak eksis ketika Manajemen tidak mengenal perlunya dari proses untuk menggambarkan tingkat layanan. Akuntabilitas dan tanggung jawab untuk mengawasi mereka tidak dilaksanakan
1 Inisial/Ad Hoc ketika Ada keperdulian dari keperluan untuk mengelola tingkat layanan, tapi prosesnya informal dan reaktif. Tanggung jawab dan akuntabilitas untuk menggambarkan dan mengelola layanan tidak didefinisikan. Jika ukuran performansi ada, mereka hanya kualitatif dengan definisi tujuan yang tidak cocok. Pelaporan adalah informal, tidak sering dan tidak konsisten.
2 Berulang tapi dengan Intuisi ketika Terdapat tingkat layanan yang disetujui, tapi mereka informal dan tidak diperiksa. Pelapporan tingkat layanan tidak lengkap dan tidak berhubungan atau menyesatkan pelanggan. Pelaporan tingkat layanan adalah bebas dari keterampilan dan inisiatif dari manajer perseorangan.Sebuah tingkat koordinator ditunjuk dengan tanggung jawab yang didefinisi,tapi otoritas dibatasi. Jika proses kompilasi pada SLA ada, adalah suka rela dan tidak dipaksa.
3 Terdefinisi ketika Tanggung jawab digambarkan jelas, tapi otoritas disembunyikan. Proses pengembangan SLA ada di tempat dengan pemeriksaan untuk pengujian ulang tingkat layanan dan kepuasan pelanggan. Kegagalan tingkat layanan digambarkan, tapi prosedur untuk mengatasi kegagalan adalah informal. Ada hubungan jelas antara tingkat layanan yang diharapkan dicapai dan pembiayaan disediakan. Tingkat layanan disetujui, tapi tidak merujuk pada kebutuhan bisnis.
4 Terkelola dan Terukur ketika Tingkat layanan secara bertambah digambarkan dalam fase definisi persyaratan sistem dan dikorporasi ke dalam rancangan dari aplikasi dan lingkungan operasi. Kepuasan pelanggan secara rutin diukur dan diuji. Performansi diukur memperlihatkan kebutuhan pelanggan, daripada tujuan IT. Ukuran untuk menguji dan tingkat layanan menjadi berstandar dan menunjukkan norma industri. Kriteria untuk menggambarkan tingkat layanan adalah berdasar pada kritis bisnis dan termasuk kesediaan, kehandalan, performansi, kapasitas tumbuh, dukungan pengguna, rencana berketerusan dan konsiderasi keamanan. Analisa root cause dilakukan rutin ketika tingkat layanan tidak tercapai. Proses pelaporan untuk mengawasi tingkat layanan menjadi bertambah otomatis. Operasi dan resiko finansial dihubungkan dengan tingkat layanan yang tidak disetujui, digambarkan dan secara jelas dipahami. Sistem formal dari pengukuran dinyatakan dan dirawat.
5 Optimasi ketika Tingkat layanan secara menerus di evaluasi ulang untuk memastikan keselaranan dari IT dan tujuan bisnis, ketika mengambil keuntungan teknologi, termasuk rasio cost-benefit. Semua proses manajemen tingkat layanan adalah keharusan untuk perkembangan berkelanjutan. Tingkat kepuasan pelanggan secara menerus diawasi dan dikelola. Tingkat layanan yang diharapkan memperlihatkan tujuan strategis dari unit bisnis dan dievaluasi terhadap norma industri. Manajemen IT mempunyai sumber dan akuntabilitas yang diperlukan untuk mencapai target tingkat layanan, dan kompensasi distrukturisasi untuk menyediakan insentif untuk mencapai target ini. Manajemen senior mengawasi ukuran performansi sebagai bagian dari proses perkembangan berkelanjutan.
URAIAN PROSES
DS2 Mengelola Layanan Pihak-ketiga Perlunya untuk memastikan pelayanan diberikan oleh pihak ketiga (pemasok, penjaja dan partner) memenuhi persyaratan bisnis memerlukan proses manajemen pihak ketiga yang efektif. Proses ini dicapai dengan secara jelas menggambarkan peran, tanggung jawab dan ekspektasi dalam persetujuan pihak ketiga sebaik memeriksa dan mengawasi semacam persetujuan untuk keefektifan dan kepemenuhan. Manajemen yang efektif dari layanan pihak ketiga mengurangi resiko bisnis yang berhubungan dengan ketidak performnya pemasok.
Kendali atas proses IT dariMengelola layanan pihak ketiga
yang memenuhi pesyaratan bisnis untuk IT dari menyediakan pemuasan layanan pihak ketiga ketika sedang bertransparan tentang keuntungan, biaya dan resiko
dengan berfokus padamembangun hubungan dan tanggung jawab bilateral dengan penyedia layanan pihak ketiga yang berkualifikasi dan mengawasi pemenuhan layanan untuk menguji dan memastikan ketaatan pada persetujuan
adalah dicapai dengan Identifikasi dan mengkategori layanan pemasok Identifikasi dan mitigasi resiko pemasok Pengawasan dan mengukur perfomansi pemasok
dan diukur dengan Banyaknya pengaduan pelanggan pada layanan yang dikontrakkan Persen dari pemasok besar memenuhi secara jelas persyaratan yang
didefinisikan dan tingkat layanan Persen dari pemasok besar yang ditugaskan untuk pengawasan
KENDALI TUJUAN
DS2 Mengelola Layanan Pihak-ketiga
DS2.1 Identifikasi dari Semua Hubungan Pemasok Menggambarkan semua layanan pemasok, dan mengkategori mereka sesuai dengan tipe pemasok, signifikasi dan kritikalisasi. Merawat dokumentasi formal dari hubungan teknis dan dan organisasional meliputi peran dan tanggungjawab, tujuan, pencapaian yang diharapkan, dan mandat dari perwakilan para pemasok ini.
DS2.2 Manajemen Hubungan Pemasok Memformalkan manajemen proses hubungan pemasok untuk tiap pemasok. Pemilik hubungan harus melayani pelanggan dan masalah pemasok dan memastikan kualitas dari hubungn didasarkan atas kepercayaan dan transparansi (misal lewat SLA).
DS2.3 Manajemen Resiko Pemasok Mengidentifikasi dan mitigasi resiko yang berhubungan dengan kemampuan pemasok untuk terus memenuhi layanan efektif dalam sebuah perilaku aman dan efisien atau dasar keberlanjutan. Memastikan kontrak memenuhi standar universal bisnis dalam keterhubungan dengan hukum dan persyaratan regulator. Manajemen resiko harus terus mempertimbangkan non-disclosure agreement (NDA), kontrak wasiat,kelangsungan hidup pemasok berkelanjutan, memenuhi persyaratan keamanan, pemasok alternatif, hukuman dan hadiah, dll.
DS2.4 Pengawasan Performansi Pemasok Membangun sebuah proses untuk mengawasi pemenuhan layanan untuk memastikan agar pemasok memenuhi persyaratan bisnis yang ada dan terus taat pada persetujuan kontrak dan SLA, dan performanya kompetitif dengan pemasok alternatif dan kondisi pasar.
PETUNJUK MANAJEMEN
DS2 Mengelola Layanan Pihak-ketiga
MODEL KEMATANGAN
DS2 Mengelola Layanan Pihak-ketigaManajemen dari proses untuk Mengelola Layanan Pihak ketiga yang memenuhi persyaratan bisnis untuk IT dari penyediaan kepuasan layanan pihak ketiga ketika sedang bertransparan tentang keuntungan, biaya, dan resiko adalah:
0 Tidak eksis ketika Tanggung jawab dan akuntabilitas tidak digambarkan. Tidak ada kebijakan formal dan prosedur tentang berkontrak dengan pihak ketiga. Layanan pihak ketiga adalah disetujui atau tidak diperiksa oleh manajemen. Tidak ada ukuran aktifitas manajemen dan tidak ada laporan oleh pihak ketiga. Ketidak hadiran kewajiban kontrak untuk laporan, manajemen senior tidak perduli atas kualitas dari layanan yang dipenuhi.reporting, senior management is not aware of the quality ofthe service delivered.
1 Inisial/Ad Hoc ketika Manajemen perduli akan perlunya untuk mendokumentasikan kebijakan dan prosedur untuk manajemen pihak ketiga, termasuk kontrak yang ditangani. Tidak ada syarat standar persetujuan dengan penyedia layanan. Ukuran dari layanan yang disediakan adalah informal dan reaktif. Praktek nya bebas pada pengalaman (misalnya permintaan) dari individu dan para pemasok.
2 Berulang tapi dengan Intuisi ketika Proses untuk mengatur penyedia layanan pihak ketiga, resiko yang berhubungan dan pemenuhan dari layanan adalah informal. Kontrak pro forma yang ditandatangani digunakan dengan standar syarat penjaja dan kondisi (seperti deskripsi layangan yang harus disediakan). Laporan atas layanan yang disediakan ada, tapi tidak mendukung tujuan bisnis.
3 Terdefinisi ketika Prosedur terdokumentasi secara baik adalah tempat untuk mengelola layanan pihak ketiga, dengan proses yang jelas untuk memelihara dan negosiasi dengan penjaja. Ketika sebuah persetujuan untuk menetapkan layanan telah dibuat, hubungan dengan pihak ketiga adalah murni secara satu kontrak. Perilaku dari layanan yang disediakan dirinci dalam kontrak dan termasuk persyaratan legal, operasi dan kendali. Ada tanggung jawab untuk mengatur layanan pihak ketiga telah ditugaskan. Syarat kontrak didasarkan pada template standar. Resiko bisnis dihubungkan dengan layanan pihak ketiga diuji dan dilaporkan.
4 Terkelola dan Terukur ketika Kriteria formal dan standar dibangun untuk menggambarkan syarat dari perhubungan, termasuk lingkup kerja, layanan/pemenuhan yang harus disediakan, asumsi, jadwal, biaya, pengaturan penagihan dan tanggung jawab. Tanggung jawab untuk kontrak dan manajemen penjaja ditugaskan. Kualifikasi penjaja, resiko dan kemampuan diperiksa pada dasar keberlanjutan. Persyaratan bisnis didefinisikan dan dihubungkan pada tujuan bisnis. Sebuah proses terjadi untuk diperiksa performansi layanan terhadap syarat kontrak, menyediakan masukan untuk menguji layanan pihak ketiga yang berlangsung dan masa depan. Model transfer harga digunakan dalam proses penyediaan. Semua pihak dilibatkan perduli pada layanan, biaya dan harapan pencapaian. Ada tujuan yang disetujui dan ukuran untuk mengatur penyedia layanan.
5 Optimasi ketikaKontrak yang ditandatangani dengan pihak ketiga diperiksa secara periodik pada interval yang digambarkan sebelumnya. Tanggung jawab untuk mengelola pemasok dan kualitas dari layanan yang tersedia ditugaskan. Bukti dari kontrak sesuai dengan operasional, legal, dan kendali ketetapan diawasi, dan kegiatan membetulkan dipaksakan. Pihak ketiga ditugaskan untuk diperiksa sendiri secara periodik, dan feedback performansi disediakan dan digunakan untuk meningkatkan pemenuhan layanan. Ukuran bervariasi pada respon kondisi bisnis yang berubah. Ukuran mendukung terlihatnya potensi masalah dengan layanan pihak ketiga. Definisi pelaporan pencapaian tingkat layanan komprehensif terhadap kompensasi pihak ketiga. Manajemen mengatur proses akusisi pihak ketiga dan mengawasi berdasarkan ukuran.
DESKRIPSI PROSES
DS3 Mengelola Performansi dan kapasitas
Kebutuhan untuk mengelola performansi dan kapasitas sumber daya teknologi informasi membutuhkan proses tinjauan secara periodik terhadap performansi dan kapasitas sumber daya teknologi informasi saat ini. Proses ini meliputi peramalan kebutuhan masa depan berbasiskan beban kerja, penyimpanan dan keperluan kontigensi. Proses ini memberikan jaminan bahwa sumber daya informasi medukung kebutuhan bisnis dan selalu tersedia.
Kontrol terhadap proses TI dariMengelola performansi dan kapasitas
yang memenuhi kebutuhan bisnis bagi TI dari Mengoptimalkan performansi infrastruktur TI, sumber daya dan kapabilitas dalam merespon kebutuhan bisnis
dengan memfokuskan padaMemenuhi waktu respon dari SLAs, meminimasi downtime, dan mengembangkan performansi TI dan kapasitas secara berkelanjutan dengan proses pemantauan dan pengukuran
dicapai dengan Perencanaan dan menyediakan kapasitas sistem dan ketersediaan Memantau dan melaporkan performansi sistem Memodelkan dan meramalkan performansi sistem
dan diukur dengan Berapa jam yang hilang per pengguna per bulan yang disebabkan
perencanaan kapasitas yang tidak cukup Persentase dimana target pemanfaatan terpenuhi Persentase waktu respon SLAs yang tidak terpenuhi
TUJUAN KONTROL
DS3 Mengelola Performansi dan kapasitas
DS3.1 Perencanaan Performansi dan kapasitasMenentukan proses perencanaan untuk meninjau performansi dan kapasitas sumberdaya TI untuk memastikan biaya yang pantas pada kapasitas dan performansi yang tersedia untuk proses sesuai dengan beban kerja yang telah ditentukan dengan SLAs. Perencanaan kapasitas dan performansi harus mempengaruhi teknik pemodelan yang tepat untuk memproduksi model saat ini dan performansi yang diramalkan, kapasitas dan sumberdaya TI.
DS3.2 Performansi dan kapasitas saat iniMenguji performansi dan kapasitas sumber daya TI saat ini untuk menentukan apakah kapasitas dan performansi saat ini cukup untuk mengirim terhadap level layanan yang disetujui.
DS3.3 Performansi dan kapasitas masa depanMeramalkan tingkah laku kapasitas dan performansi dan sumberdaya TI pada interval reguler untuk meminimalisir resiko dari gangguan layanan yang disebabkan kapasitas yang tidak cukup atau penurunan performansi, dan mengidentifikasi kelebihan kapasitas untuk penyebaran ulang yang dimungkinkan. Mengidentifikasi tren beban kerja dan menentukan peramalan sebagai masukan untuk rencana performansi dan kapasitas.
DS3.4 Ketersediaan Sumber Daya TIMenyediakan performansi dan kapasitas yang dibutuhkan, disesuaikan dengan aspek-aspek seperti beban kerja normal, segala kemungkinan, kebutuhan penyimpanan dan lingkaran hidup sumber daya teknologi informasi. Menentukan prioritas aktivitas, mekenisme toleransi kesalahan dan praktik mengalokasikan sumber daya harus dibuat. Manajemen harus memastikan segala kemungkinan rencana-rencana ketersediaan, kapasitas dan performansi dari setiap sumber daya TI
DS3.5 Pemantauan dan PelaporanMemantau performansi dan kapasitas sumber daya TI secara berkelanjutan. Pengumpulan data harus menyediakan dua fungsi :
Untuk melakukan perawatan dan perbaikan performansi saat ini dalam TI untuk memahami isu-isu seperti kemungkinan, beban kerja saat ini dan yang direncanakan, rencana-rencana penyimpanan, dan akuisisi sumber daya.
Melaporkan hasil layanan yang tersedia untuk bisnis, sesuai dengan yang ditentukan oleh SLAs
Seluruh perusahaan kecuali laporan-laporan dengan rekomendasi untuk aksi perbaikan
PEDOMAN MANAJEMEN
DS3 Mengelola Performansi dan Kapasitas
MODEL KEMATANGAN
DS3 Mengelola Performansi dan Kapasitas
Manajemen dari proses Mengelola performansi dan kapasitas yang memenuhi kebutuhan bisnis untuk TI dari mengoptimalkan performansi infrastruktur TI, sumber daya dan kapabilitas dalam merespon kebutuhan bisnis adalah :
0 Tidak Tersedia ketika Manajemen tidak mengenali kunci proses bisnis mungkin membutuhkan level tinggi performansi dari TI atau seluruh kebutuhan bisnis untuk layanan TI mungkin melebihi kapasitas. Tidak ada proses perencanaan yang tersedia.
1 Inisial / Ad Hoc ketikaPengguna merencanakan performansi dan kapasitas saat dibutuhkan. Apresiasi terhadap perencanaan performansi dan kapasitas oleh pemilik proses bisnis sangat sedikit. Aksi yang diambil terhadap pengelolaan performansi dan kapasitas biasanya reaktif. Proses perencanaan kapasitas dan performansi dilakukan secara informal. Pemahaman terhadap performansi dan kapasitas sumber daya TI saat ini maupun masa depan terbatas.
2 Diulang tetapi berdasarkan intuisi ketikaBisnis dan manajemen TI waspada terhadap dampak dari tidak dikelolanya performansi dan kapasitas. Kebutuhan performansi baiasanya dipenuhi berdasarkan pengujian sistem individual dan pengetahuan tim proyek dukungan. Beberapa tool individual mungkin digunakan untuk mendiagnosa permasalahan performansi dan kapasitas, tetapi konsistensi hasil tergantung keahlian individual-individual kunci. Tidak ada pengujian keseluruhan terhadap kapabilitas performansi atau pertimbangan puncak dan kasus terburuk situasi beban. Permasalahan ketersediaan seperti terjadinya hal yang tidak diperkirakan membutuhkan waktu untuk mendiagnosa dan mengkoreksi. Pengukuran performansi berdasarkan kebutuhan TI dan bukan berdasarkan kebutuhan kustomer.
3 Terdefinisi ketikaKebutuhan performansi dan kapasitas sudah terdefinisi melalui sistem lingkaran hidup. Tersedianya kebutuhan level layanan dan matrik yang dapat digunakan untuk mengukur performansi operasional. Kebutuhan performansi dan kapasitas masa depan sudah dimodelkan mengikuti proses-proses yang didefinisikan. Laporan memuat statistik performansi. Meskipun level layanan sudah dipublikasikan, pengguna dan kustomer mungkin merasa skeptis terhadap kapabilitas layanan.
4 Dikelola dan Diukur ketikaProses-proses dan tool yang tersedia digunakan untuk mengukur sistem yang dipakai, performansi dan kapasitas, dan hasil dibandingkan dengan tujuan yang sudah didefinisikan. Informasi yang up-to-date tersedia, memberikan statistik standar performansi dan peringatan terhadap insiden yang disebabkan oleh performansi dan kapasitas yang tidak cukup. Tool otomatisasi digunakan untuk memantau sumber daya spesifik, seperti ruang disk, jaringan, server dan gerbang jaringan. Statstik performansi dan kapasitas dilaporkan dalam proses bisnis yang terkait, sehingga pengguna dan kustomer memahami level layanan TI. Biasanya pengguna merasa puas dengan kapabilitas layanan dan mengharapkan peningkatan level ketersediaan. Matrik untuk pengukuran performansi dan kapasitas TI sesuai tetapi mungkin hanya secara sporadis dan diterapkan secara tidak konsisten
5 Optimal ketikaRencana performansi dan kapaistas sepenuhnya singkron dengan permintaan bisnis yang diramalkan. Infrastruktur TI dan permintaan bisnis sesuai dengan tinjauan regular untuk memastikan kapasitas optimal dicapai dengan biaya yang kecil. Tool untuk pemantauan sumber daya kritis TI distandarisasi dan digunakan pada seluruh platform dan dihubungkan dengan sistem manajemen insiden seluruh organisasi. Tool pemantauan mendeteksi dan secara otomatis mengkoreksi permasalahan terhadap performansi dan kapasitas.
Tren analisis dilakukan dan memperlihatkan permasalahan performansi yang disebabkan meningkatnya volume bisnis, perencanaan dan menghindarkan dari permasalahan yang tidak diperkirakan. Matrik untuk mengukur performansi dan kapasitas TI sudah ditingkatkan pada hasil pengukuran dan indikator performansi untuk seluruh proses bisnis kritis dan diukur secara konsisten. Manajemen melakukan pengukuran berdasarka hasil analisis pengukuran
DESKRIPSI PROSES
DS4 Memastikan Layanan Berkelanjutan
Kebutuhan untuk menyediakan pengembangan kebutuhan layanan TI yang berkelanjutan, rencana perawatan dan testing TI secara kotinuitas, fungsi backup penyimpanan dan rencana pelatihan secara periodik. Efektifitas proses layanan yang berkelanjutan meminimalisir kemungkinan dan dampak yang besar dari interupsi layanan TI pada kunci proses dan fungsi bisnis.
Kontrol terhadap proses TIMemastikan layanan yang berkelanjutan
yang memenuhi kebutuhan bisnis untuk ITMemastikan menimalisir dampak bisnis dari interupsi layanan TI
dengan memfokuskan padaMembangun fleksibilitas dalam solusi otamatisasi dan pengembangan, rencana berkelanjutan perawatan dan pengujian TI
dicapai dengan Pengembangan dan perawatan (improving) yang dimungkinkan pada TI Rencana pelatihan atas dan pengujian TI Menyimpan copy dari rencana kemungkinan dan data pada lokasi offsite
dan diukur dengan Berapa jam waktu yang hilang per pengguna per bulan yang disebabkan
tidak ada perencanaan waktu lampau Jumlah proses kritikal bisnis yang ditugaskan pada TI yang tidak di cover
dengan rencana TI berkelanjutan
TUJUAN KONTROL
DS4. Memastikan Layanan Berkelanjutan
DS4.1 Kerangka Kerja TI berkelanjutanMengembangkan kerangka kerja bagi TI berkelanjutan untuk mendukung manajemen bisnis berkelanjutan pada perusahaan menggunakan proses konsisten. Tujuan dari kerangka kerja ini harus dapat membantu dalam penentuan feksibelitas yang dibutuhkan dari infrastruktur dan untuk mengarahkan pengembangan perbaikan akibat bencana dan rencana kemungkinan TI. Kerangka kerja ini harus memahami struktur organisasi bagi manajemen kontinuitas, peran mengcover, kegiatan-kegiatan dan tanggung jawab dari internal dan eksternal penyedia layanan, manajemen dan kustomer mereka, dan proses perencanaan yang menciptakan peraturan dan stuktur untuk dokumentasi, test dan eksekusi perbaikan akibat bencana dan rencana kemungkinan TI. Rencana ini juga harus mengandung item-item seperti identifikasi sumber daya kritis, pemantauan dan pelaporan ketersediaan sumber daya kiritis, proses-proses alternatif, dan prinsip-prinsip backup dan perbaikan.
DS4.2 Rencana BerkelanjutanPengembangan rencana berkelanjutan TI berdasarkan kerangka kerja dan didesain untuk mengurangi dampak besar akibat gangguan pada kunci proses dan fungsi bisnis. Rencana ini harus didasari atas pemahaman potensial resiko dampak bisnis dan memahami kebutuhan untuk fleksibilitas, proses alternatif dan kapabilitas recovery untuk seuruh layanan TI kiritis. Rencana ini juga harus meliputi pedoman penggunaan, peran dan tanggung jawab, prosedur-prosedur, proses komunikasi, dan pendekatan pengujian.
DS4.3 Sumber daya TI KritisMemfokuskan perhatian pada item-item spesifik yang paling kritis dalam rencana berkelanjutan TI untuk membangun fleksibilitas dan menentukan prioritas untuk situasi recovery. Menghindari selingan dari perbaikan item-item kritikal dan memastikan respon dan perbaikan sejalan dengan prioritas kebutuhan bisnis, sementara memastikan biaya tetap sesuai pada tingkatan yang dimungkinkan dan mengikuti regulasi yang ada dan kebutuhan kontrak. Mempertimbangkan fleksibilitas, respon dan kebutuhan recovery untuk tahapan yang berbeda seperti satu sampai dengan 4 jam, untuk 24 jam, lebih dari 24 jam dan periode operasi bisnis kritis.
DS4.4 Perawatan Rencana Berkelanjutan TIMendorong manajemen TI untuk mendefinisikan dan mengeksekusi prosedur kontrol perubahan untuk memastikan rencana berkelanjutan TI selalu up-to-date dan selalu merefleksikan kebutuhan bisnis aktual. Komunikasikan perubahan dalam prosedur dan tangung jawab yang jelas secara berkala.
DS4.5 Pengujian Rencana Berkelanjutan TIUji rencana berkelanjutan TI pada basis regular untuk memastikan sistem TI dapat diperbaiki secara efektif, kekurangan-kekurangan dapat diketahui dan rencana tetap relevan. Kebutuhan ini membutuhkan persiapan yang hati-hati, dokumentasi, laporan hasil pengujian, dan berdasarkan hasil implementasikan rencana aksi. Pertimbangkan perluasan recovery pengujian pada aplikasi tunggal untuk menginterasikan skenario pengujian end-to-end dan dintegrasikan dengan pengujian vendor.
DS4.6 Pelatihan rencana berkelanjutan TIMenyediakan seluruh bagian-bagian yang berhubungan dengan sesi pelatihan regular berkenaan dengan prosedur-prosedur, peran dan tanggung jawab mereka dalam kasus terjadinya insiden atau bencana. Verifikasi dan tingkatkan pelatihan merujuk pada hasil test kemungkinan.
DS4.7 Penyebaran Rencana Berkelanjutan TITentukan bahwa strategi distribusi yang didefinisikan dan dikelola untuk memastikan rencana berjalan dengan baik dan didistribusikan secara aman dan juga tersedianya otoritas yang tepat ketika dibutuhkan. Perhatian harus diarahkan pada pembuatan rencana berdasarkan seluruh skenario bencana.
DS4.8 Penerusan dan perbaikan layanan TIRencanakan aksi yang harus dilakukan ketika layanan TI harus direcovery. Hal ini mungkin meliputi aktivasi backup, inisiasi proses-proses alternatif, pengkomunikasian dengan kustomer dan stakeholder, prosedur penerusan. Berikan penjelasan pada bisnis waktu recovery TI dan investasi teknologi yang dibutuhkan untuk mendukung kebutuhan recovery dan penerusan lagi.
DS4.9 Backup Penyimpanan LuarLakukan pembackup-an media kritis diluar sistem, dokumentasikan dan sumber daya TI lainnya yang diperlukan untuk merocovery IT dan rencana kontinuitas bisnis. Tentukan isi backup penyimpanan antara pemilik proses bisnis dan personel TI. Manajemen dari fasilitas penyimpanan luar harus merespon pada kebijakan klasifikasi data dan praktik media penyimpanan perusahaan. Manajemen TI harus harus memastikan rencana diuji secara periodik, paling kurang tahunan, untuk isi, lingkungan proteksi dan keamanan. Pastikan kesesuaian perangkat keras dan perangkat lunak untuk mengembalikan arsip data, dan diuji secara periodik dan merefresh arsip data.
DS4.10 Tinjauan Post-resumtionTetapkan apakah manajemen TI sudah menetapkan prosedur untuk pengujian rencana yang cukup berkenaan kesuksesan fungsi TI setelah terjadinya bencana, dan perbaharui rencana yang sesuai.
PEDOMAN MANAJEMEN
DS4 Memastikan Layanan Berkelanjutan
MODEL KEMATANGAN
DS4 Memastikan Layanan Berkelanjutan
Manajemen proses Memastikan layanan berkelanjutan yang memenuhi kebutuhan bisnis bagi TI dari memastikan dampak minimal pada bisnis akibat terjadinya interupsi layanan TI adalah :
0 Tidak Tersedia ketikaTidak ada pemahaman tentang resiko, keadaan mudah diserang dan ancaman pada operasi TI atau dampak hilangnya layanan TI bagi bisnis. Layanan berkelanjutan tidak dipertimbangkan menjadi perhatian kebutuhan manajemen.
1 Inisial /Ad Hoc ketikaTanggung jawab untuk layanan berkelanjutan dilakukan secara informal, dan otoritas tanggung jawab untuk mengeksekusi terbatas. Manajemen mulai menyadari resiko yang berhubungan pada kebutuhan layanan berkelanjutan. Fokus perhatian manajemen pada layanan berkelanjutan difokuskan pada sumberdaya infrastruktur dibandingkan pada layanan TI. Respon dari TI terhadap gangguan yang berakibat buruk dilakukan secara reaktif dan tidak dipersiapkan. Perencaan awal sudah dijadwalkan untuk sesuai dengan kebutuhan TI tetapi tidak mempertimbangkan kebutuhan bisnis.
2 Diulang tetapi instuisi ketikaTanggung jawab untuk memastikan layanan berkelanjutan sudah dilakukan. Pendekatan untuk memastikan layanan berkelanjutan dilakukan secara terpisah-pisah. Laporan atas ketersediaan sistem dilakukan secara sporadis, mungkin tidak terselesaikan dan tidak mempertimbangkan dampak bisnis. Tidak ada dokumentasi rencana kontinuitas TI, walaupun sudah ada komitmen untuk menyediakan layanan berkelanjutan dan sudah memahami prinsip-prinsip utama. Sistem kritikal inventaris dan komponen tersedia, tetapi mungkin tidak handal. Praktik layanan berkelanjutan sudah ada, tetapi kesuksesannya tergantung pada masing-masing individual.
3 Didefinisikan ketikaTanggung jawab bagi manajemen dari layanan berkelanjutan masih sudah jelas. Tanggung jawab untuk perencanaan layanan berkelanjutan dan pengujian secara jelas didefinisikan dan dilakukan. Rencana kontinuitas TI sudah dokumentasikan dan didasari sistem kritikal dan dampak bisnis. Sudah ada laporan pengujian layanan berkelanjutan yang dilakukan secara berkala. Setiap individual mengambil inisiatif untuk mengikuti standar dan menerima pelatihan untuk menghadapi insiden atau bencana besar. Manajemen mengkomunikaskan secara konsisten terhadap kebutuhan untuk merencanakan pemastian layanan berkelanjutan. Ketersediaan komponen dan sistem redudansi sudah diaplikasikan. Sistem kritikal inventaris dan komponen-komponen sudah dilakukan proses perawatan.
4 Dikelola dan diukur ketikaTanggung jawab dan standar bagi layanan berkelanjutan sudah diselenggarakan. Tanggung jawab untuk melakukan perawatan rencana layanan berkelanjutan sudah dilakukan. Aktivitas perawatan didasari hasil pengujian layanan berkelanjutanpraktik internal yang baik, dan perubahan TI dan lingkungan bisnis. Stuktur data tentang layanan berkelanjutan sudah dikumpulkan, di analisis, dilaporkan, dan dilakukan aksi atas hasil laporan. Pelatihan formal ataupun yang diperintahkan sudah disediakan terhadap proses-proses layanan berkelanjutan. Ketersediaan praktik-praktik dan perencanaan layanan berkelanjutan saling mempengaruhi. Insiden-insiden sudah diklasifikasikan. Tujuan dan matrik bagi layanan berkelanjutan sudah dikembangkan dan disetujui tetapi mungkin diukur secara tidak konsisten.
5 Optimal ketikaProses-proses layanan berkelanjutan diintegrasikan pada benchmark dan praktik eksternak terbaik. Rencana kontinuitas TI diintegrasikan dengan rencana kontinuitas bisnis dan dirawat secara rutin. Kebutuhan untuk memastikan layanan berkelanjutan diamankan dari vendor dan suplier-suplier utama. Pengujian global pada
rencana kontinuitas TI dilakukan, dan hasil pengujian di jadikan masukan untuk meng-up-date rencana. Proses pengumpulan dan analisis data digunakan sebagai dasar improvisasi berkelanjutan dari proses. Praktik-praktik yang tersedia dan rencana layanan berkelanjutan diselaraskan. Manajemen memastikan bencana atau insiden utama tidak terjadi sebagai hasil kesalahan poin tunggal. Pencapaian tujuan dan matrik atas layanan berkelanjutan diukur secara sistematik. Manajemen mengatur perencanaan bagi layanan berkelanjutan merespon pengukuran.
DESKRIPSI PROSES
DS5 Memastikan Keamanan Sistem
Kebutuhan untuk menjaga integritas informasi dan melindungi aset IT memerlukan proses manajemen keamanan. Proses ini mencakup pembentukan dan penjagaan peran dan tanggung jawab, kebijakan, standar dan prosedur IT. Manajemen keamanan juga meliputi pengujian berkala serta pengawasan keamanan dan penerapan tindakan yang tepat untuk mengidentifikasi insiden atau titik lemah keamanan. Manajemen keamanan yang efektif melindungi seluruh aset IT untuk memperkecil dampak dari insiden dan kerentanan keamanan pada bisnis.
Kendali di seluruh proses IT untuk
Memastikan keamanan sistem
yang memenuhi kebutuhan bisnis IT untuk
menjaga integritas infrastruktur pemrosesan dan informasi serta memperkecil dampak dari insiden dan kerentanan keamanan
dengan memfokuskan pada
mendefinisikan kebijakan, prosedur dan rencana keamanan IT serta mengawasi, mendeteksi dan mengatasi insiden dan kerentanan keamanan
dan dicapai melalui
Memahami kebutuhan, kerentanan dan ancaman keamanan Mengelola identitas dan otorisasi pengguna dalam tata cara yang
terstandarisasi Melakukan pengujian keamanan secara teratur
dan diukur melalui
Jumlah insiden yang merusak reputasi organisasi di mata publik Jumlah sistem yang tidak memenuhi kebutuhan keamanan Jumlah pelanggaran dalam pembagian tugas
TUJUAN KENDALI
DS1. Mengelola Keamanan IT Mengelola keamanan IT pada tingkatan organisasi tertinggi yang tepat, sehingga pengelolaan tindakan keamanan yang sejalan dengan kebutuhan bisnis.
DS5.2 Perencanaan Keamanan IT Menerjemahkan kebutuhan bisnis, resiko dan kepatuhan kebutuhan ke dalam keseluruhan rencana keamanan IT, dengan mempertimbangkan infrastruktur dan budaya keamanan IT. Memastikan rencana terimplementasikan dalam kebijakan dan prosedur keamanan dengan diikuti investasi yang tepat dalam layanan, personil, software dan hardware. Melakukan komunikasi mengenai prosedur dan kebijakan keamanan dengan stakeholder dan user..
DS5.3 Manajemen Identitas Memastikan bahwa seluruh pengguna (internal, eksternal dan temporer) dan aktivitas mereka pada sistem IT (aplikasi bisnis, lingkungan IT, operasi sistem, pengembangan dan perawatan) dan teridentifikasi secara khusus. Memungkinkan identitas pengguna melalui mekanisme autentifikasi. Memastikan bahwa hak akses pengguna pada data dan sistem sejajar dengan kebutuhan bisnis yang terdokumentasi dan terdefinisikan dan kebutuhan pekerjaan terlampir pada identitas pengguna. Memastikan hak akses pengguna diperlukan oleh manajemen pengguna, disetujui oleh pemilik sistem dan diimplementasikan oleh orang yang bertanggung jawab pada keamanan. Menjaga identitas pengguna dan hak akses pada pusat penyimpanan. Menggunakan ukuran prosedur dan teknis yang efektif dalam pembiayaan, serta menjaganya untuk mewujudkan identifikasi pengguna, menerapkan autentifikasi dan melaksanakan hak akses.
DS5.4 Manajemen Akun Pengguna Mengarahkan permintaan, pembentukan, penerbitan, penangguhan, perubahan, dan penutupan akun pengguna serta hak-hak pengguna yang berkaitan dengan serangkaian prosedur manajemen akun pengguna. Termasuk sebuah prosedur persetujuan yang memastikan jaminan pemilik sistem atau data pada hak-hak pengguna. Prosedur-prosedur tersebut harus diterapkan untuk seluruh pengguna, termasuk administrator (pengguna yang memiliki hak) dan pengguna internal serta eksternal, untuk kasus normal dan darurat. Hak dan kewajiban tergantung pada akses ke sistem perusahaan dan informasi sebaiknya diatur secara bersamaan untuk seluruh tipe pengguna. Melakukan review manajemen secara teratur pada seluruh akun dan hak yang terkait.
DS5.5 Pengawasan, Penjagaan dan Pengujian Keamanan Menguji dan mengawasi implemerntasi keamanan IT secara proaktif. Keamanan IT sebaiknya diakreditasi ulang secara berkala untuk memastikan bahwa basis keamanan informasi tetap terjaga. Sebuah fungsi pengawasan dan pencatatan akan memungkinkan pencegahan dan/atau deteksi dan pelaporan secara berkala dari aktivitas abnormal dan tidak biasa yang harus dilakukan.
DS5.6 Pendefinisian Insiden Keamanan Mendefinisikan dan mengkomunikasikan karakteristik dari insiden keamanan yang potensial sehingga dapat diklasifikasikan dan diperlakukan secara tepat melalui proses manajemen permasalahan dan insiden.
DS5.7 Perlindungan Teknologi Keamanan Membuat teknologi yang terkait dengan keamanan memiliki kemampuan untuk menyesuaikan terhadap perubahan dan tidak membuka dokumen keamanan apabila tidak diperlukan.
DS5.8 Manajemen Kunci Kriptogafis Menentukan kebijakan dan prosedur yang sesuai untuk mengorganisasikan pembuatan, perubahan, revokasi, penghapusan, distribusi, sertifikasi, penyimpanan, pemasukan, penggunaan dan pengarsipan kunci kriptografis untuk memastikan perlindungan kunci terhadap penyusupan dan modifikasi.
DS5.9 Koreksi, Deteksi dan Pencegahan Terhadap Malicious Software Melakukan pencegahan, pendeteksian dan pengukuran korektif (terutama kontrol terhadap virus dan security patches yang terbaru)di seluruh bagian organisasi untuk melindungi teknologi dan sistem informasi dari ancaman malware (virus, worm, spyware dan spam).
DS5.10 Keamanan Jaringan Menggunakan teknik dan prosedur manajemen keamanan (misalnya firewall, aplikasi keamanan, segmentasi jaringan, dan deteksi intrusi) untuk mengatur hak penggunaan akses dan kendali aliran informasi dari dan ke jaringan.
DS5.11 Pertukaran Data yang Sensitif Melakukan transaksi pertukaran data yang sensitif hanya melalui medium atau jalur yang dapat dipercaya dengan kendali untuk menyediakan autentifikasi terhadap konten, bukti penyerahan, bukti penerimaan dan keaslian yang terjaga.
Deliver and SupportEnsure Systems Security
PANDUAN MANAJEMEN
DS5
Dari InputPO2 Arsitektur Informasi dan klasifikasi data
yang disetujui PO3 Standar Teknologi PO9 Penilaian Resiko AI2 Spesifikasi kendali keamanan aplikasi
DS1 OLA
Output KeDefinisi insiden keamanan DS8Kebutuhan Pelatihan khusus mengenai kepedulian keamanan DS7Laporan kinerja keamanan ME1Perubahan keamanan yang diperlukan AI6Kerentanan dan ancaman keamanan PO9Kebijakan dan Perencanaan keamanan IT DS11
Diagram RACI Fungsi
Aktivitas
Mendefinisikan dan menjaga perencanaan keamanan IT I C C A C C C C I I R
Mendefinisikan, membentuk dan mengoperasikan proses manajemen identitas/ akun I A C R R I C
Mengawasi insiden keamanan yang bersifat aktual dan potensial. A I R C C R
Mereview dan memvalidasi hak dan wewenang akses pengguna secara berkala. I A C R
Membentuk dan menjaga prosedur perawatan dan pengamanan kunci kriptografis. A R I CMenerapkan dan menjaga kendali teknis dan prosedural untuk melindungi aliran Informasi ke seluruh jaringan. A C C R R C
Melakukan penilaian kerentanan secara teratur. I A I C C C R
Diagram RACI mengidentifikasi pihak-pihak yang bertanggungjawab, dipercaya, dikonsultasikan dan/atau diinformasikan (Responsible, Accountable, Consulted , Informed).
Pencapaian dan Ukuran
IT • Menjaga informasi yang bersifat kritis dan rahasia dari pihak yang tidak berhak mengaksesnya
• Memastikan bahwa transaksi bisnis terotomasi dan pertukaran informasi dapat dipercaya. • Menjaga Integritas informasi dan infrastruktur informasi.
• Memperhitungkan dan melindungi seluruh aset IT.• Memastikan bahwa infrastruktur dan layanan IT dapat bertahan dan pulih dari kegagalan akibat error, bencana atau serangan.
Proses
• Memberi izin akses data yang kritis dan sensitif hanya pada pengguna yang terotorisasi.
• Mengidentifikasi, mengawasi dan melaporkan
insiden dan kerentanan keamanan.• Mendeteksi dan mencegah akses terlarang pada informasi, aplikasi dan infrastruktur.
• Memeperkecil dampak kerentanan dan insiden keamanan.
measure measure measure
• Number of incidents with businessimpact
1
DS5 Deliver and SupportEnsure Systems Security
MATURITY MODEL
Manajemen proses mematikan keamanan sistem yang memenuhi kebutuhan bisnis untuk IT dalam mnjaga integritas infrastruktur informasi dan pemrosesan serta memperkecil dampak dari insiden dan kerentanan keamanan antara lain adalah :
0 Non-existent Organisasi tidak mengetahui kebutuhan akan keamanan IT. Tanggung jawab dan akuntabilitas tidak ditujukan untuk memastikan keamanan. Ukuran mendukung manajemen keamanan dari keamanan IT tidak diterapkan. Tidak ada pelaporan keamanan IT dan tidak ada proses respon untuk memastikan keamanan. Pengukuran dukungan manajemen keamanan IT tidak diterapkan. Tidak ada pelaporan keamanan IT dan tidak ada proses respon untuk kegagalan keamanan IT. Terdapat kekurangan proses administrasi keamanan sistem yang secara jelas diketahui. .
1 Inisial/Ad Hoc Organisasi mengetahui kebutuhan keamanan IT. Kepedulian akan kebutuhan keamanan sangat bergantung pada individu. Keamanan IT ditujukan pada dasar yang reaktif. Keamanan IT tidak terukur. Kegagalan keamanan IT yang terdeteksi melibatkan respon klaim, karena tanggung jawab menjadi tidak jelas. Respon terhadap kegagalan keamanan IT menjadi tidak dapat diprediksi.
2 Dapat diulangi tetapi intuitifTanggung jawab dan akuntabilitas untuk keamanan IT ditujukan bagi koordinator keamanan IT, meskipun otoritas manajemen koordinator dibatasi. Kepedulian akan kebutuhan keamanan terpisah-pisah dan dibatasi. Meskipun informasi yang relevan dengan keamanan dihasilkan oleh sistem, namun tidak dianalisa. Layanan dari pihak ketiga mungkin tidak ditujukan pada keamananIT organisasi. Kebijakan keamanan dikembangkan, namun keahlian dan perangkat yang digunakan tidak mencukupi. Pelaporan keamanan IT tidak lengkap, salah sasaran atau tidak berkaitan. Pelatihan keamanan tersedia namun dilakukan atas inisiatif individu. Keamanan IT terutama terlihat sebagai tanggung jawab dan domain IT dan bisnis tidak melihat keamanan IT di dalam domainnya.
3 Terdefinisikan Kepedulian keamanan diadakan dan dipromosikan oleh manajemen. Prosedur keamanan IT didefinisikan dan diselaraskan dengan kebijakan keamanan IT. Tanggung jawab untuk keamanan IT dipahami dan disetujui, namun tidak dilaksanakan secara konsisten. Sebuah rencana dan solusi keamanan dikendalikan oleh analisis resiko. Pelaporan pada kemanan tidak mengandung fokus bisnis yang jelas. Pengujian keamanan Ad hoc (misalnya pengujian intrusi) dilakukan. Pelatihan keamanan tersedia untuk IT dan bisnis, namun hanya dijadwalkan dan dikelola secara informal.
4 Dikelola dan TerukurTanggung jawab untuk keamanan IT disetujui secara jelas, dikelola dan dilaksanakan. Resiko keamanan IT dan analisis dampak dilakukan secara konsisten. Kebujakan dan prosedur keamanan dilengkapi dengan baseline keamanan yang spesifik. Penjelajahan terhadap metode untuk mempromosikan kepedulian keamanan. Identifikasi, autentifikasi dan otorisasi pengguna distandarisasi. Sertifikasi keamanan dilakukan untuk anggota staf yang bertanggung jawab untuk audit dan manajemen keamanan. Pengujian keamanan dilengkapi dengan proses standar dan terformalisasi, membawa pada peningkatan tingkat keamanan. Proses-proses keamanan IT dikoordinasikan dengan keseluruhan fungsi keamanan organisasi. Pelaporan keamanan IT terhubung dengan tujuan bisnis. Pelatihan keamanan IT dihubungkan dengan IT dan bisnis. Pelatihan keamanan IT direncanakan dan dikelola dengan respon kebutuhan bisnis dan didefinisikan pleh profil resiko keamanan. Tujuan dan metriks untuk manajemen keamanan telah didefinisikan tetapi belum terukur.
5 Teroptimisasi Keamanan IT merupakan tanggung jawab bersama antara manajemen IT dan bisnis dan diintegrasikan dengan tujuan bisnis keamanan perusahaan. Kebutuhan keamanan IT didefinisikan, dioptimalisasikan dan dimasukkan secara jelas ke dalam perencanaan keamanan yang disetujui. Akuntabilitas pengguna dan pelanggan juga semakin meningkat untuk mendefinisikan kebutuhan keamanan, dan fungsi keamanan terintegrasi dengan aplikasi pada tingkatan desain. Insiden keamanan diarahkan dengan prosedur respon insiden formal yang didukung oleh perangkat terotomatisasi. Penilaian keamanan secara periodik dikumpulkan dan dianalisa secara sistematis. Kendali yang cukup untuk mengatasi resiko dikomunikasikan dan diimplementasikan dengan tepat. Pengujian keamanan, analisis akar masalah dari insiden keamanan dan indentifikasi secara proaktif digunakan untuk peningkatan proses secara kontinu. Proses dan teknologi keamanan diintegrasikan di seluruh organisasi. Metrik untuk manajemen keamanan diukur, dikumpulkan dan dikomunikasikan. Manajemen menggunakan ukuran-ukuran tersebut untuk menyesuaikan dengan rencana keamanan dalam sebuah proses peningkatan secara kontinu.
Deliver and SupportIdentify and Allocate Costs
DESKRIPSI PROSES
DS6
DS6 Identifikasi dan Alokasi BiayaKebutuhan untuk sistem alokasi biaya IT untuk bisnis secara seimbang dan memadai memerlukan pengukuran biaya IT yang akurat serta persetujuan dengan pengguna bisnis pada alokasi yang seimbang. Proses tersebut mencakup pembangunan dan pengoperasian sistem untuk mengumpulkan, mengalokasikan dan melaporkan biaya IT kepada pengguna layanan. Sistem alokasi yang seimbang memungkinkan bisnis untuk membuat keputusan yang lebih terinformasikan terkait dengan penggunaan layanan IT.
P PKendali di seluruh proses IT untuk
Identifikasi dan alokasi biaya
yang memenuhi kebutuhan bisnis untuk ITmemastikan transparansi dan pemahaman biaya IT dan meningkatkan efisiensi biaya melalui penggunaan layanan IT yang diinformasikan dengan baik
dengan memfokuskan padaPengumpulan biaya IT secara lengkap dan akurat, sebuah sistem yang seimbang untuk alokasi yang disetujui oleh pengguna bisnis dan sebuah sistem untuk melakukan pelaporan penggunaan IT dan alokasi biaya secara berkala
dan dicapai dengano Menyesuaikan biaya terhadap kualitas dan kuantitas layanan yang diberikan o Membangun dan menyetujui model biaya secara keseluruhan o Menerapkan biaya sebagaimana kebijakan untuk tiap persetujuan
dan diukur melalui Persen biaya layanan IT yang diterima/ dibayar oleh
manajemen bisnis Persen ragam diantara anggaran, ramalan dan biaya aktual Persen keseluruhan biaya IT yang dialokasikan menurut model
biaya yang telah disetujui
DS6 Deliver and SupportIdentify and Allocate Costs
TUJUAN KENDALI
DS6 Identifikasi dan Alokasi Biaya
DS6.1 Definisi Layanan Mengidentifikasi seluruh biaya IT dan memetakannya terhadap layanan IT untuk mendukung sebuah model biaya yang transparan. Layanan IT sebaiknya terhubung dengan proses-proses bisnis sehingga bisnis dapat mengidentifikasi tingkatan pembiayaan layanan.
DS6.2 Akuntansi IT Mengumpulkan dan mengalokasikan biaya sesuai dengan model biaya perusahaan. Ragam antara biaya aktual dan peramalan sebaiknya dianalisa dan dilaporkan, dengan mematuhi sistem pengukuran finansial perusahaan.
DS6.3 Pemodelan dan Pemasukan Biaya Membentuk dan menggunakan sebuah model pembiayaan IT berdasarkan definisi layanan yang mendukung perhitungan tingkat pengembalian per layanan. Model biaya IT harus memastikan bahwa pemanfaatan untuk layanan teridentifikasi, terukur, dan dapat diprediksi oleh pengguna untuk mendorong penggunaan sumberdaya secara tepat.
DS6.4 Perawatan Model Biaya Melakukan review dan benchmark terhadap ketepatan model biaya untuk menjaga relevansi dan ketepatan terhadap aktivitas IT dan bisnis yang mengalami perubahan.
Deliver and SupportIdentify and Allocate Costs
PANDUAN MANAJEMEN
DS6
Dari Input Output PO4 Documented system ownersPO5 Laporan keuntungan,anggaran IT
Keuangan IT PO5Laporan Kinerja Proses ME1
PO10 Detail rencana proyekDS1 SLA dan OLA
Diagram RACI Fungsi
Aktivitas
Memetakan infrastruktur IT pada layanan yang disediakan / proses bisnis yang didukung C C A C C C C R C Mengidentifikasi seluruh biaya IT (misalnya orang, teknologi) dan memetakannya
pada layanan IT berdasarkan biaya unit C A C C C R C
Membentuk dan menjaga proses kendali biaya dan akuntansi IT. C C A C C C C R C
Membentuk dan menjaga prosedur dan kebijakan pertanggungjawaban. C C A C C C C R C
Diagram RACI mengidentifikasi pihak-pihak yang bertanggungjawab, dipercaya, dikonsultasikan dan/atau diinformasikan (Responsible, Accountable, Consulted , Informed).
Pencapaian dan MetrikIT
• Memastikan transparansi dan pemahaman mengenai biaya IT, keuntungan, strategi, kebijakan dan tingkat layanan.
• Meningkatkan efisiensi biaya IT dan kontribusinya pada keuntungan bisnis.
• Memastikan IT menghasilkan kualitas layanan yang efisien dari segi biaya, peningkatan secara kontinu dan kesiapan untuk perubahan di masa depan.
Proses
• Mengembangkan definisi layanan dan biaya IT yang seimbang dan adil.
• Mengumpulkan biaya-biaya layanan IT.• Mengalokasikan biaya IT secara seimbang
dan adil pada pengguna layanan IT.
Aktivitas
• Mereview biaya yang dialokasikan oleh manajemen bisnis.
• Menyelaraskan tanggung jawab terhadap kulalitas layanan yang diberikan.
• Membuat dan menyetujui sebuah model biaya yang lengkap.
• Menerapkan tanggung jawab untuk setiap kebijakan yang disetujui.
• Melakukan benchmarking biaya pada dasar yang umum.
mengukur mengukur mengukur
• Persen biaya layanan IT yang diterima/dibayarkan oleh manajemen bisnis
• Unit biaya per layanan dari waktu ke waktu• Persen kepuasan bisnis (survei) terhadap
model pembiayaan layanan IT
• Persen ragam antara biaya, peramalan dan biaya aktual
• Persen keseluruhan biaya IT yang dialokasikan menurut model biaya yang disetujui
• Persen biaya tak tentu oleh bisnis
• Persen pengguna bisnis yang terlibat dalam definisi model biaya
• Frekuensi review dari model alokasi biaya • Persen biaya yang dialokasikan secara otomatis/
manual
Pen
capa
ian
Met
rik
men
etap
kan
men
etap
kan
dikendalikan dikendalikan
DS6 Deliver and SupportIdentify and Allocate Costs
MATURITY MODEL
Manajemen proses identifikasi dan alokasi biaya yang memenuhi kebutuhan bisnis IT untuk memastikan transparansi dan pemahaman biaya IT dan meningkatkan efisiensi biaya melalui layanan IT yang terinformasikan dengan baik:
0 Non-existent Terdapat kekurangan yang signifikan untuk proses-proses yang diketahui untuk mengidentifikasi dan mengalokasikan biaya sesuai dengan layanan informasi yang diberikan. Organisasi tidak mengetahui bahwa terdapat sebuah permasalahan yang harus diselesaikan dengan kaitannya dengan akuntansi biaya dan tidak terdapat komunikasi mengenai permasalahan tersebut.
1 Inisial/Ad Hoc Terdapat pemahaman umum mengenai biaya keseluruhan untuk layanan informasi, namun tidak terdapat rincian biaya untuk tiap pengguna, pelanggan, departemen, kelompok pengguna, fungsi layanan, proyek atau pengiriman. Secara virtual tidak terdapat pengawasan biaya, hanya dengan penggabungan pelaporan biaya ke pihak manajemen. Biaya-biaya IT dialokasikan sebagai sebuah pengeluaran operasional tambahan. Bisnis disediakan tanpa informasi pada biaya atau keuntungan dari penyedia layanan.
2 Dapat diulangi tetapi intuitifTerdapat kepedulian secara menyeluruh terhadap kebutuhan untuk mengidentifikasi dan mengalokasikan biaya. Alokasi biaya didasarkan pada asumsi biaya dasar atau informal, misalnya biaya hardware, dan secara virtual tidak terdapat keterkaitan dengan pengendali nilai. Proses alokasi biaya merupakan proses yang berulang. Tidak ada pelatihan formal atau komunikasi mengenai prosedur alokasi dan identifikasi biaya standar. Tanggung jawab untuk pengumpulan atau alokasi biaya tidak ditetapkan.
3 TerdefinisiTerdapat model biaya layanan informasi yang terdokumentasi dan terdefinisikan. Sebuah proses untuk menghubungkan biaya IT terhadap layanan yang disediakan untuk pengguna telah didefinisikan. Tingkatan kepedulian yang tepat mengenai biaya diatributkan ke layanan informasi. Bisnis disediakan dengan informasi dasar biaya..
4 Dikelola dan TerukurAkuntabilitas dan tanggung jawab manajemen biaya layanan informasi didefinisikan dan dipahami sepenuhnya pada seluruh tingkatan dan didukung oleh pelatihan formal. Biaya langsung dan tidak langsung diidentifikasi dan dilaporkan pada perilaku terotomatisasi dan berkala terhadap manajemen, pengguna dan pemilik proses bisnis. Secara umum terdapat pengawasan dan evaluasi biaya, serta tindakan yang diambil apabila simpangan biaya terdeteksi. Pelaporan biaya layanan informasi terhubung ke tujuan bisnis dan SLA serta diawasi oleh pemilik proses bisnis. Fungsi keuangan mereview alasan proses alokasi biaya. Sistem akuntan biaya terotomatisasi telah ada, namun terfokus pada fungsi layanan informasi, bukan pada proses bisnis. Tujuan dan metrik disetujui untuk pengukuran biaya namun diukur secara inkonsisten.
5 Teroptimisasi Biaya layanan teridentifikasi, terkumpul, terangkum dan terlaporkan ke manajemen, pemilik proses bisnis dan pengguna. Biaya diidentifikasi sebagai bahan tak habis pakai dan dapat mendukung sistem pengembalian yang membiayai pengguna untuk layanan yang disediakan, berdasarkan pemanfaatan. Rincian biaya mendukung SLA. Pengawasan dan evaluasi biaya layanan digunakan untuk mengoptimalkan biaya sumberdaya IT. Perkiraan biaya yang diperoleh digunakan untuk memverifikasi realisasi keuntungan dalam proses penganggaran organisasi. Pelaporan biaya layanan menghasilkan peringatan dini terhadap perubahan kebutuhan bisnis melalui sistem pelaporan intelijen. Model biaya variabel digunakan dan diturunkan dari volume yang diproses untuk setiap layanan yang disediakan. Manajemen biaya diseleksi sampai tingkatan panduan industri, berdasarkan hasil peningkatan secara kontinu dan benchmarking dengan organisasi lainnya. Optimisasi biaya merupakan sebuah proses yang sedang berjalan. Metrik dan pencapaian menjadi bagian dari proses peningkatan secara kontinu dalam melakukan desain ulang biaya
and SupportMendidik dan Melatih User
HIGH-LEVEL CONTROL OBJECTIVE
DS7 Mendidik dan Melatih UserPendidikan yang efektif bagi semua user sistem TI membutuhkan pelatihan yang tepat untuk setiap grup user. Untuk mengidentifikasi kebutuhan, proses ini meliputi definisi dan eksekusi pelatihan yang efektif dan pengukuran hasilnya. Program pelatihan yang efektif meningkatkan efektivitas penggunaan teknologi melalui penurunan tingkat kesalahan user, meningkatkan produktivitas dan kepatuhan dengan kendali-kendali kunci seperti ukuran keamanan bagi user.
Kendali proses TI dari
mendidik dan melatih user
yang memenuhi kebutuhan bisnis akan TI melaluiPenggunaan efektif dan efisien dari aplikasi dan solusi teknologi dan kepatuhan user terhadap kebijakan dan prosedur.
dengan fokus padaPemahaman yang jelas terhadap kebutuhan pelatihan bagi user TI, eksekusi dari strategi pelatihan yang efektif dan pengukuran hasilnya
dicapai melalui• menetapkan kurikulum pelatihan• mengatur pelatihan• memberikan pelatihan• pemantauan dan pelaporan efektivitas pelatihan
dan diukur oleh Jumlah penggilan kepada Meja Pelayanan terkait kekurangan
pelatihan Persentase kepuasan stakeholder pelatihan yang diberikan Penyimpangan waktu antara proses indentifikasi kebutuhan
pelatihan dan pemberian pelatihan
DS7 Deliver and SupportMendidik dan Melatih User
DETAILED CONTROL OBJECTIVES
DS7 Mendidik dan Melatih UserDS7.1 Identifikasi Kebutuhan Pendidikan dan PelatihanMenetapkan dan memperbarui secara kurikulum secara teratur untuk setiap target grup pekerja dengan mempertimbangkan :• Kebutuhan dan strategi bisnis sekarang dan dimasa yang akan datang• Nilai-nilai perusahaan (etika, budaya pengendalian dan keamanan, dsb)• Penerapan infrastruktur TI dan software baru(paket dan aplikasi)• Kemampuan saat ini, profil kompetensi dan kebutuhan sertifikasi dan/atau kepercayaan• Metode penyampaian (seperti : kelas, web-based), ukuran grup target, kemampuaksesan dan penjadwalan
DS7.2 Pemberian Pendidikan dan PelatihanBerdasarkan kebutuhan pendidikan dan pelatihan, identifikasi grup target dan anggotanya, mekanisme penyampaian yang efisien, intruktur, trainer dan mentor. Tugaskan para trainer dan atur sesi pelatihan berdasarakan waktu. Registrasi, kehadiran dan evaluasi kinerja harus dicatat.
DS7.3 Evaluasi terhadap Pelatihan yang diterimaEvaluasi penyampaian isi pendidikan dan pelatihan berdasarkan pencapaian dalam hal relevansi, kualitas, efektivitas, penangkapan pengetahuan, biaya dan nilai. Hasil dari evaluasi harus diberikan sebagai input untuk definisi kurikulum dan sesi pelatihan yang akan datang.
Deliver and SupportMendidik dan Melatih User
MANAGEMENT GUIDELINES
DS7
DS7 Mendidik dan Melatih User
From Inputs Outputs ToPO7 Keterampilan dan kompetensi user, termasuk pelatihan individu, pelatihan khusus
Laporan Kinerja Proses ME1Update dokumentasi yang dibutuhkan AI4
AI4 Materi pelatihan; kebutuhan transfer pengetahuan untuk penerapan solusi
DS1 OLAsDS5 Kebutuhan pelatihan khusus tentang Kepedulian pada keamananDS8 Laporan kepuasan user
RACI Chart Fungsi
eliver and SupportMendidik dan Melatih User
MATURITY MODEL
DS7 Mendidik dan Melatih UserManajemen proses Mendidik dan Melatih User yang memenuhi kebutuhan bisnis akan TI dari penggunaan solusi aplikasi dan teknologi secara efektif dan efisien dan kepatuhan user kepada kebijakan dan prosedur adalah :
0 Non-existent whenTidak ada program pendidikan dan pelatihan. Organisasi tidak mengetahui hal-hal yang membuatnya respek terhadap pelatihan dan tidak ada komunikasi terhadap hal-hal ersebut.
1 Initial/Ad Hoc whenTerdapat bukti bahwa organisasi megetahui adanya kebutuhan akan program pendidikan dan pelatihan, etapi tidak ada proses standar. Dalam kehadiran program yang diadakan, pekerja memilih dan mengikuti pelatihan secara mandiri. Beberapa tema pelatihan ini terkait dengan etika, kepedulian
Identifikasi dan karakterisasi kebutuhan
pelatihan user C A R C C C C C C R
Membuat program pelatihan. C A R C I C C C I RMenjalankan aktivitas kepedulian,
pendidikan dan pelatihanI A C C I C C C I R
Melakukan evaluasi pelatihan I A R C I C C C I RIdentifikasi dan evaluasi metode terbaik
penyampaian pelatihan IA/R
R C C C C C C R
Aktivitas
Pencapaian dan Matriks
Menetapkan kurikulum pelatihanMengatur PelatihanMemberikan PelatihanPemantauan dan pelaporan efektivitas pelatihan
Menetapkan program pelatihan untuk semua tingkatan user menggunakan metode yang paling efektif dari segi biayaTransfer pengetahuan tentang solusi aplikasi dan teknologi kepada userMeningkatkan kepedulian akan resiko dan tanggung jawab dalam menggunakan solusi aplikasi dan teknologi
Memastikan kepuasan end user dengan penawaran layanan dan tingkat layananMemastikan penggunaan dan kinerja yang tepat dari solusi aplikasi dan teknologiMengoptimalkan infrastruktur TI, sumber daya dan berbagai kemampuan
Frekuensi update kurikulum pelatihanPenyimpangan waktu antara proses identifikasi kebutuhan pelatihan dan pemberian pelatihan
Jumlah permintaan pelatihan ke meja layanan atau menjawab pertanyaan% kepuasan stakeholder dengan pelatihan yang diberikan% pekerja yang dilatih
Terukurnya perbaikan produktivitas kerja sebagai hasil terhadap pemahaman sistemKepuasan user meningkat dengan layanan, sistem atau teknologi baru
sistem keamanan dan praktik keamanan. Tidak ada kerjasama dalam pengelolaanya dan hanya terdapat komunikasi yang sporadis dan tidak konsisten mengenai pendidikan dan pelatihan.
2 Repeatable but Intuitive whenTerdapat perhatian terhadap kebutan program pendidikan dan pelatihan dan terhadap proses yang erkait dalam organisasi. Pelatihan dimulai untuk mengidentifikasi rencana kinerja individu pekerja. Proses telah mengembangkan tahapan dimana kelas pendidikan dan pelatihan informal dikaji oleh instruktur yang berbeda, lingkupmateri yang sama dengan pedekatan yang berbeda. Beberapa kelas mengambil tema pada maslaha etika dan kepedulian akan keamanan dan praktiknya. Terdapat percepatan (reliance) yang besar dari pengetahuan individu. Selain itu, terdapat komunikasi yang konsisten terhadap berbagai isu dan kebutuhan untuk menindaklanjutinya..
3 Defined Process whenProgram pendidikan dan pelatihan telah menjadi program organisasi dan dikomunikasikan, pekerja dan manajer mengidentifikasi dan mendokumentasikan kebutuhan pelatihan. Proses pendidikan dan pelatihan telah ditandarisasi dan didokumentasikan. Anggaran, sumber daya, asilitas dan instruktur ditetapakn untuk mendukung program. Kelas formal diberikan kepada pekerja dalam tema etik dan kepedulian akan keamanan sistem dan praktiknya. Sebagian proses pendidikan dan pelatihan dimonitor, tetapi tidak semua penyimpangan terdeteksi oleh pihak manajmen. Analisis permaslahan dalam pendidikan dan pelatihan hanya diterapkan sewaktu-waktu.
4 Managed and Measurable whenTerdapat program pendidikan dan pelatihan yang terpadu dengan hasil yang terukur. Tanggung jawab jelas dan kepemilikan proses sudah ada. Pendidikan dan pelatihan merupakan bagian dari jalur karir pekerja. Pihak manajemen mendukung dan menghadiri sesi –sesi pendidikan dan pelatihan. Semua pekerja menerima pelatihan tentang etika dan kepedulian terhadap keamanan sistem. Semua pekerja menerima pelatihan praktik keamanan sistem pada tingkat yang tepat dalam hal perlindungan terhadap kegagalan yang berdampak pada ketersediaan, kerahasian dan integritas. Pihak manajemen memantau kepatuhan dengan mengkaji ulan secara konstan dan memperbarui program dan proses penddikan dan pelatihan. Proses selalu diperbaiki dan mendorong praktik internal terbaik.
5 Optimised whenPendidikan dan pelatihan menghasilkan perbaikan pada kinerja individu. Pendidikan dan pelatihan merupakan komponen kritis dalam jalur karir pekerja. Anggaran, sumberdaya, fasilitas dan infrastruktur yang cukup disediakan untuk program pendidikan dan pelatihan. Proses telah diperbaiki terus menerus, mendapatkan keunggulan dari praktik eksternal dan model maturity dengan organisasi lain. Semua masalah dan penyimpangan dianalisis untuk mencari akarnya, dan tindakan efisien ditemukan dan diambil. Terdapat kebiasaan positif yang respek terhadap prinsip-prinsip etika dan keamanan sistem. TI digunakan secara luas, terintegrasi dan optimal untuk mengotoai dan menyediakan alat untuk program pendidikan dan pelatihan. Ahli-ahli pelatihan luar digunakan dan perbandingan (benchmark) digunakan sebagai panduan.
DESKRIPSI PROSES
DS 8 Mengelola Meja Layanan dan Insiden
Respon yang efektif dan periodik terhadap masukan dan permasalahan user TI membutuhkan rancangan dan pelaksanaan yang baik dari meja layanan dan proses manajemen insiden. Proses ini meliputi melengkapi fungsi meja layanan dengan registratsi, eskalasi insiden, analisis pola dan akar penyebab, dan penyelesaian.. Manfaat bisnis meliputi peningkatan produktivitas melalui penyelsaian cepat akan masukan user. Selain itu, bisnis dapat menemukan akar peyebab (misalnya pelatihan user yang buruk) melalui pelaporan yang efektif.
P P
Control over the IT process ofMengelola meja layanan dan insiden
yang memenuhi kebutuhan bisnis akan TI melaluiMendukung penggunaan sistem TI secara efektif dengan memastikan penyelesaian dan analisis terhadap masukan end user, pertanyaan dan insiden
dengan fokus padaFungsi meja layanan yang profesional dengan respon yang cepat, prosedur eskalasi jelas, dan penyelesaian dan analisis pola
dicapai melalui• Pemasangan dan pengoperasikan meja layanan• Pemantauan dan pelaporan pola• Pendefinisian kriteria dan prosedur eskalasi
dan diukur oleh• Kepuasan user dengan dukungan first-line • Persentasi insiden yang teratasi pada waktu yang disepakati• Call abandonment rate
DS8 Deliver and SupportMengelola Meja Layanan dan Insiden
DETAILED CONTROL OBJECTIVES
DS8 Mengelola Meja Layanan dan Insiden
DS8.1 Meja LayananMengadakan fungsi meja layanan, sebagai antar muk user dengan TI, untuk mendaftar, komunkasi, pusat dan analisis semua panggilan, laporan isiden, permintaan layanan dan informasi. Sebaiknya terdapat prosedur pemantauan dan penanganan berdasarkan tingkat layanan yang disepakati relatif terhadap SLA yang tepat yan mengikuti klasisifikasi dan prioritas dari setiap isu yang dilaporkan sebagai insiden, permintaan layanan atau informasi. Mengukur kepuasan end user dalam hal kualitas meja layanan dan layanan and TI.
DS8.2 Registrasi masukan pelangganMengadakan fungsi dan sistem untuk merekam dan melacak panggilan, insiden, permintaan layanan dan kebutuhan informasi. Harus bekerja secara dekat dengan manajemen insiden, manajemen permasalahan, manajemen perubahan, manajemen kpaisitas dan manajemen ketersediaan. Insiden harus diklasifikasikan berdasarakan prioritas bisnis dan layanan dan dilacak kepada tim manajemen permasalahan yang tepat, dan selalu menginformasikan kepada pelanggan status dari masukanny.
DS8.3 Penanganan (Eskalasi) InsidenMenetapkan prosedur meja layanan, sehinggan insiden yang tidak bsa cepat diselesaikan bisa ditangani secara tepat berdasarkan batasan dalam SLA dan, jika tepat, lingkungan kerja disediakan. Memastikan kepemilikan insiden dan pemantauan siklus hidup tetap dari meja layanan untuk insidn user-based terkait grup TI yang sedang dalam aktivitas penyelesaian.
DS8.4 Penutupan InsidenMenetapkan prosedur untuk pemantauan sewaktu-waktu terhadap kejelasan dari masukan pelanggan. Ketika insiden telah diselesaikan, meja layanan harus merekan akar penyebab, jika diketahui, dan konfirmasi tindakan yang diambil disetujui pelanggan.
DS8.5 Analysis PolaMenghasilkan laporan dari aktivitas meja layanan supaya manajemen dapat mengukur kinerja pelayanan dan waktu respon ayanan dan untuk mengidentifikasi pola atau penyelesaian masalah, sehingga layanan dapat diperbaiki secara terus menerus.
Deliver and SupportMengelola Meja Layanan dan Insiden
MANAGEMENT GUIDELINESDS8
DS8 Mengelola Meja Layanan dan Insiden
From Inputs Outputs ToAI4 Panduan user, operational, support, Technical danand administrasi AI6 otorisasi perubahanAI7 item konfigurasi yang dirilis
Permintaan layanan/perubahan AI6Laporan insiden DS10Laporan kinerj aproses ME1Laporan kepuasan user DS7 ME1
DS1 SLAs dan OLAsDS4 Penanganan insiden/bencanaDS5 Definisi insiden keamananDS9 Detil konfigurasi TI/AsetDS10 masalah dan kesalahan yang diketahui
Dan sebagainyaDS13 Tiket insiden
RACI Chart
Activities
membuat klasisfikasi (ketersebaran dan dampak) prosedur penanganan (funsional dan hierarchical). C C C C C C C A/R
Deteksi dan merekam insiden.permintaan layanan/informasi A/R
Klasisifikasi, investigasi, diagonosis I C C C I A/R
Resolve, recover and close incident. I R R R C A/.R
Inform users (e.g., status updates) I I A/R
Produce management reporting I I I I I I A/R
A RACIchart identifies who is Responsible, Accountable, Consulted and/or Informed.
Fungsi
Pencapaian dan Matriks
Memasang dan mengoperasikan meja layananMemantau dan melaporkan polaMenyelaraskan prioritas penyelesaian insiden dengan tujuan bisnisMendefinisikan kriteria dan prosedur eskalasi secara jelas
Analisis, dokumentasi dan eskalasi insiden dalam waktu yang tepatRespon masukan secara akurat dan dalam basis waktuMelakukan analisis pola secara teratur dari insiden dan masukan
Memastikan kepuasan end user denga penawaran layanan dan tingkat layananMemastikan penggunaan dan kinerja yang tepat dari solusi aplikasi dan teknologiMemastikan layanan IT tersedia sesuai yang dibutuhkan
% insiden dan permintaan layanan yang tercatat dengan menggunakan alat otomatisJumlah hari pelatihan per staf meja layanan pertahunJumlah panggilan yang ditangani per staf meja pelayanan per jam% insiden yang membutuhkan dukungan localCatatan masukan yang tidak dapat diselesaikan
% penyelesaian di first line terhadap total permintaan% insiden yang dibuka kembaliCall abandonment rateDurasi rata-rata insidenKecepatan rata-rata respon terhadap telepon dan permintaan melalu email/web
Kepuasan user dengan ukungan first lne % insiden yang diselesaikan dalam periode waktu yang disepakati
DS8 Deliver and SupportManage Service Desk and Incidents
MATURITY MODEL
DS8 Mengelola Meja Layanan dan InsidenManajemen peroses Mengelola Meja Layanan dan Insiden yang memenuhi kebutuhan bisnis akan TI dalam mendukung Penggunaan yang efektif dari sistem TI dengan memastikan penyelesaian da analisis terhadapmasukan user, pertanyaandan insiden adalah:
0 Non-existent whenTidak ada layanan untuk menyelesaikan pertanyaan dan permasalahan user. Tidak ada proses pengelolaan isiden. Organisasi tidak mengetahui isu atau permasalahan yang harus diperhatikan.
1 Initial/Ad Hoc whenManajemen mengetahui kebutuan akan proses yang didukung oleh alat dan orang untuk merespon masukan user dan mengelola penyelesaian insiden. Tidak ada proses standar dan hanya ada dukungan yang bersifatreaktif saja. Manajemen tidak memantau masukan user, insiden, atau pola. Tidak ada proses eskalasi untuk meyakinkan bahwa masalah tela diselesaikan.
2 Repeatable but Intuitive whenThere is organisational awareness of the need for a service desk function and an incident management process. Assistance is available on an informal basis through a network of knowledgeable individuals. These individuals have some common tools available to assist in incident resolution. There is no formal training and communication on standard procedures, and responsibilityis left to the individual.
3 Defined Process whenKebutuhan akan fungsi meja layanan dan proses manajemen insiden diketahui da diterima. Prosedur sudah distandarkan dandidokumentasikan dan pelatihan informal diadakan. Adnya penugasan ke setiap individi untuk engikuti pelatihan da mengikuti standar. FAQs dan panduan bagi user dibuat, tetapi individu harus mencarinya dan bisa tidak mengikutinya. Masukan dan isiden dilacak secara manual dn dimonitor secara individual, tetapi tidak terdapat sistem pelaporan fromal. Respon terhadap masukan dan insiden tidak terukur dan insiden mungkin tida terselesaikan. User menerima komunikasi yang jelas kemana dan bagaimana melaporkan masalah dan insiden.
4 Managed and Measurable whenTerdapat pemahaman sepenuhnya terhadap manfaat dari proses manajemen insiden pada semua level organisasi dan fungsi meja layanan diadakan pada unit organisasi yang tepat. Alat dan teknik terotomasi dengan basis pegetahuan yang terpusat. Staf meja layanan secara dekat berinteraksi sengan staf manajemen permasalahan. Tanggung jawab sangat jeals, dan efektivitas terpantau. Prosedur untukkomunikasi, eskalasi dan penyelesaiaan ditetapkan dan dikomunikasikan. Personal meja layanan dilatih dan proses diperbaiki dengan menggunakan softwre khusus. Manajemen telah mengembangkan KPI dan KGI utuk kinerja meja layanan.
5 Optimised whenProses manajemen insiden dan fungsi meja layanan diadakan dan diatur dengan baik dan berorientasi pada layanan pelanggan dengan berpengathuan, berfokus pada pelanggan dan siap membantu. KPI dan KGI secara sistematis diukur dan dilaporkan. Lebih luas lagi, FAQs secara terpadu adalah bagian integral dari basis pengetahuan. Alat digunakan memungkinkan user untuk mendiagnosis secara mandiri dan menyelesaikan insiden. Saran konsisten dan insiden diselesaikan dengan cepat dalam proses eskalasi yan terstruktur. Manajemen menggunakan peralatan ang erintegrasi untuk statitik kinerja dari proses manajemen insiden dan fungsi meja layanan. Proses telah menemukan praktik pada tingkat terbaiknya dalam praktik industri, berdasarkan hasil analisis KPI dan KGI, perbaikan berkesinambungan dan benchmarking dengan organisasi lain.
DESKRIPSI PROSES
DS9 Mengelola Konfigurasi
Menjamin integritas dari konfigurasi hardware dan software membutuhkan pembangungan dan maintenance konfigurasi repository secara komplit dan akurat. Proses ini termasuk mengumpulkan informasi konfigurasi awal, membangun baseline-baseline, memverifikasi dan mengaudit informasi konfigurasi, dan mengupdate konfigurasi repository sesuai kebutuhan. Manajemen konfigurasi yang efektif memfasilitasi availability system menjadi lebih besar, meminimalkan masalah produksi dan menyelesaikan permasalahan-permasalahan dengan lebih cepat.
Kendali di seluruh proses IT untuk
Mengelola konfigurasi
yang memenuhi kebutuhan bisnis IT untuk
meningkatkan infrastruktur IT, sumber daya dan kapabilitas, dan akunting aset-aset IT
dengan memfokuskan pada
membangun dan me-maintenance repository dan baseline dari atribut konfigurasi asset-asset IT secara lengkap dan akurat, serta membandingkan hasilnya dengan konfigurasi asset yang sebenarnya
dan dicapai melalui
Membangun repository pusat dari seluruh item-item konfigurasi Mengidentifikasi item-item konfigurasi dan me-maintainnya Mereview integritas dari konfigurasi data
dan diukur dengan
Jumlah permasalahan pemenuhan bisnis yang tidak terpenuhi yang disebabkan ketidak sesuaian konfigurasi aset-aset
Jumlah deviasi yang teridentifikasi antara konfigurasi repository dengan konfigurasi asset yang actual
Jumlah persentase lisensi yang dibeli dan tidak tercatat dalam repository
DS9 Deliver and SupportMengelola Konfigurasi
TUJUAN KENDALI
DS9 Mengelola Konfigurasi
DS9.1 Konfigurasi Repository dan BaselineMembangun alat support dan repository pusat untuk berisi semua data yang relevan dengan item-item konfigurasi. Mengawasi dan merekam semua aset-aset dan perubahan terhadap aset-aset tersebut. Me-maintain baseline item-item konfigurasi untuk setiap system dan layanan sebagai checkpoint setelah melakukan perubahan-perubahan.
DS9.2 Ientifikasi dan Mengelola Item-Item Konfigurasi Membuat prosedur-prosedur konfigurasi untuk men-support manajemen dan pencatatan semua perubahan konfigurasi ke repository. Mengintegrasikan prosedur-prosedur tersebut dengan manajemen perubahan, manajemen insiden dan prosedur manajemen permasalahan.
DS9.3 Me-review Integritas Konfigurasi Me-review konfigurasi data secara berkala untuk memverifikasi dan memastikan integritas dari konfigurasi yang ada dengan konfigurasi yang lalu. Me-review secara berkala, software yang sudah terinstall dengan policy penggunaan software untuk mengidentifikasi personal atau software yang tidak terlisensi atau software instance yang terdapat dalam perjanjian lisensi yang ada. Buat laporan, laksanakan dan perbaiki kesalahan dan deviasi-deviasi.
Deliver and SupportMengelola Konfigurasi
PANDUAN MANAJEMEN
DS9
DS9 Mengelola Konfigurasi
Dari InputDari InputAI4 User, Operasional, Support, Teknikal,
dan pedoman administrasi
AI7 Release item-item konfigurasi
DS4 Item-item konfigurasi IT yang kritis
Diagram RACI
Aktivitas
Develop prosedur-prosedur perencanaan manajemen konfigurasi
C A C I C C R
Mengumpulkan informasi inisial konfigurasi dan establish baseline-baseline
C C C I A/R
Verify dan audit informasi konfigurasi (termasuk deteksi software yang unauthorised)
I A I I A/R
Update konfigurasi repository R R R I A/R
Diagram RACI mengidentifikasi pihak-pihak yang bertanggungjawab, dipercaya, dikonsultasikan dan/atau diinformasikan (Responsible, Accountable, Consulted , Informed)
Output Ke
Konfigurasi IT / Detail asset DS8 DS10
DS13
RFC (dimana dan bagaimana) AI6
Laporan performance proses ME1
Fungsi
Pencapaian dan Matriks
Optimasi infrastruktur IT, sumber daya, dan kapabilitasMencatat dan mengamankan semua asset-aset IT
Membangun sebuah repository untuk seluruh asset, kontribusi atribut dan baseline-baselineMe-maintain integritas konfigurasi repositoryMe-review konfigurasi asset actual agar sesuai dengan baseline-baseline dalam repository
Membangun repository pusat untuk semua item-item konfigurasiIdentifikasi item-item konfigurasi dan me-maintain data konfigurasiReview integritas dari data konfigurasi
Jumlah permasalahan bisnis yang disebabkan konfigurasi asset-aset yang idak sesuai
Jumlah deviasi yang teridentifikasi antara konfigurasi repository dengan konfigurasi aset-aset yang sebenarnyaPersentase licensi yang dibeli dan tidak tercatat dlam repository
Waktu rata-rata antara mengidentifikasi kesalahan dan perbaikannyaJumlah pertentangan yang berhubungan dengan informasi konfigurasi yang tidak lengkap atau salahPersentase item-item konfigurasi yang sesuai dengan tingkat layanan untuk performansi, sekuriti dan availability
DS9 Deliver and SupportMengelola Konfigurasi
MATURITY MODEL
DS9 Mengelola Konfigurasi
Manajemen proses dari Mengelola Konfigurasi yang memenuhi kebutuhan bisnis untuk IT dalam mengoptimalkan infrastruktur IT, sumber daya dan kapabilitas, dan mencatat aset-aset IT adalah :
0 Tidak Tersedia ketika Manajemen tidak mempunyai penghargaan terhadap benefit-benefit dari mempunyai sebuah proses yang dapat digunakan untuk pelaporan dan pengelolaan infrastruktur IT, baik untuk konfigurasi hardware maupun software. 1 Inisial / Ad Hoc ketikaKebutuhan akan manajemen konfigurasi sudah ada. Tugas-tugas manajemen konfigurasi dasar, seperti me-maintain inventory dari hardware dan software, sudah dilakukan secara individual. Belum ada pedoman praktis yang terdefinisi.
2 Diulang tetapi berdasarkan intuisi ketikaManajemen sudah sadar akan kebutuhan untuk mengendalikan konfigurasi IT dan mengerti manfaat dari informasi konfigurasi yang akurat dan lengkap, tetapi masih kurangnya kepercayaan terhadap pengetahuan teknis dan keahlian personil. Tools manajemen konfigurasi sudah mulai digunakan di beberapa bagian, tetapi dibedakan berdasarkan platform yang digunakan. Lebih jauh, tidak ada standard praktis yang terdefinisi. Isi dari data konfigurasi terbatas dan tidak digunakan untuk proses yang saling berhubungan, termasuk manajemen perubahan dan manajemen permasalahan.
3 Terdefinisi ketikaProsedur-prosedur dan pedoman praktis sudah terdokumentasi, terstandarisasi, dan dikomunikasikan, tetapi training dan aplikasi dari standar-standar tersebut tergantung pada individual. Sebagai tambahan, alat manajemen konfigurasi yang sama diimplementasi melintasi platform-platform yang ada. Deviasi prosedur sepertinya tidak dideteksi, dan verifikasi fisik dilakukan secara tidak konsisten. Beberapa proses automasi terjadi untuk membantu penelusuran equipment dan perubahan software. Data konfigurasi sudah digunakan untuk proses-proses yang saling berhubungan.
4 Dikelola dan Diukur ketikaKebutuhan untuk mengelola konfigurasi sudah mulai dikenali oleh semua tingkatan dalam organisasi, dan pelaksanaan yang baik berlanjut untuk tetap ditingkatkan. Prosedur-prosedur dan standard-standar sudah dikomunikasikan dan dilaksanakan kedalam kegiatan training, dan deviasi dipantau, ditelusuri dan dilaporkan. Alat automasi, seperti teknologi, digunakan untuk meningkatkan standard-standar dan meningkatkan stablitas organisasi. System manajemen konfigurasi meliputi seluruh aset-aset IT dan control terhadap distribusi. Analisis terhadap pengecualian, seperti verifikasi fisik, secara konsistem diaplikasikan dan akar penyebab permasalahan diinvestigasi.
5 Optimal ketikaSeluruh aset-aset IT telah dikelola dengan system manajemen konfigurasi terpusat yang berisi semua informasi penting mengenai seluruh komponen dan keterhubungannya dan event-event. Data konfigurasi selaras dengan katalog dari vendor. Terdapat integrasi penuh untuk proses-proses yang saling berhubungan, dan mereka digunakan dan diupdate secara otomatis. Laporan audit memberikan informasi esensi hardware dan data software untuk memperbaiki, service, warranty, upgrade dan pengukuran teknis untuk masing-masing unit. Manjemen meramalkan perbaikan dan uprade-upgrade berdasarkan laporan analisa, menyediakan penjadwalan upgrade dan kapabilitas teknologi. Penelusuran aset dan pemantauan terhadap aset-aset IT secara individual dan melindunginya, mencegah terjadinya pencurian, penyalahgunaan dan perusakan.