Upload File

framework_5211100163

20
SISTEM INFORMASI ITS 2013 FRAMEWORK Divky Hermawan Pratama 5211100163 MANAJEMEN RESIKO

Upload: divky-h-pratama

Post on 26-Oct-2015

38 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: Framework_5211100163

FRAMEWORK

Divky Hermawan Pratama

5211100163

2013SISTEM INFORMASI ITS

Page 2: Framework_5211100163

ISO 27001

Standar ini merupakan hasil revisi sekaligus menggantikan BS 7799-2, yang diterbitkan oleh British Standard Institute pada tahun 2002. ISO 27001.

Standar ini mencakup : Aspek teknologi informasi. Menjangkau seluruh proses bisnis termasuk pihak pendukung proses bisnis

tersebut, seperti pihak ketiga / outsourcing. Aspek proses dan sumberdaya manusia yang ada di organisasi.

ISO/IEC 27001:2005 secara resmi dipublikasikan pada oktober 2005. Secara definisi ISO 27001:2005 dan ISO 27002:2007 didesain untuk dapat digunakan oleh perusahaan pada semua sektor industri.

ISO 27001 adalah merupakan untuk pengamanan informasi yang diakui secara internasional. ISO 27001 merupakan dokumen standar sistem manajemen keamanan informasi atau Information Security Management System, biasa disebut ISMS.

Pengamanan informasi bertujuan untuk memastikan beberapa hal berikut ini:

Kerahasiaan (confidentiality): memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki wewenang.

Integritas (integrity): memastikan bahwa informasi tetap akurat dan lengkap, serta informasi tersebut tidak dimodifikasi tanpa otorisasi yang jelas.

Ketersediaan (availability): memastikan bahwa informasi dapat diakses oleh pihak yang memiliki wewenang ketika dibutuhkan.

Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur TI.

Sedangkan Information Security Management System (ISMS) adalah suatu cara untuk melindungi dan mengelola informasi berdasarkan pendekatan yang sistematis terhadap risiko bisnis, untuk mempersiapkan, mengimplementasikan, mengoperasikan, mengawasi, meninjau kembali, memelihara, serta meningkatkan pengamanan informasi. ISMS merupakan suatu pendekatan secara organisasi untuk pengamanan informasi.

Berikut adalah standar ISMS yang ada pada ISO 27001 yaitu standar sistem manajemen: ISO/IEC 27001. Standar ini merupakan suatu kerangka kerja untuk ISMS dimana seluruh elemen dalam organisasi memonitor dan mengendalikan pengamanan, meminimalkan risiko dan memastikan kesesuaian terhadap standar.

Standar-standar ini mengatur beberapa penerapan ISMS sebagai berikut:

Semua kegiatan harus sesuai dengan tujuan dan proses pengamanan informasi yang didefinisikan dengan jelas dan didokumentasikan dalam suatu kebijakan dan prosedur.

Page 3: Framework_5211100163

Standar ini memberikan kontrol pengamanan, yang dapat digunakan oleh organisasi untuk diimplementasikan berdasarkan kebutuhan spesifik bisnis organisasi.

Semua pengukuran pengamanan yang digunakan dalam ISMS harus diimplementasikan sebagai hasil dari analisis risiko untuk mengeliminasi atau untuk mengurangi level risiko hingga level yang dapat diterima.

Suatu proses harus dapat memastikan adanya verifikasi secara berkelanjutan terhadap semua elemen sistem pengamanan melalui audit dan review.

Suatu proses harus dapat memastikan continuous improvement dari semua elemen informasi dan sistem manajemen pengamanan. (standar ISO/IEC 27001 mengadopsi model PDCA [Plan-Do-Check-Act] sebagai basis dalam pelaksanaan ISMS).

Berikut adalah keuntungan bagi perusahaan jika menerapkan standar ISO 27001 :1. Membantu perusahaan dalam menerapkan standar kebutuhan keamanan informasi

yang sudah teruji dalam best practice pengamanan informasi.2. Memberikat citra positif bagi perusahaan.3. Perusahaan jadi memiliki control terkait keamanan informasi dari proses bisnisnya

yang mungkin menimbulkan resiko atau gangguan.4. Meningkatkan kepercayaan pelanggan, pihak ketiga, dan seluruh stakeholder yang ada

terhadap pelayanan yang diberikan melalui organisasi.5. Membantu organisasi dalam menjalankan perbaikan secara berkala di dalam

pengelolaan keamanan informasi.6. Membuat pelaksanaan setiap proses menjadi lebih sistematis dan merubah budaya

kerja organisasi.7. Meminimalisir resiko melalui proses risk assessment yang professional, terstandarisasi

dan komprehensif dalam kerangka manajemen resiko.8. Meningkatkan efektivitas dan keandalan pengamanan informasi9. Standar pengamanan informasi yang diakui di seluruh dunia10. Perusahaan jadi membayar tidak terlalu banyak membayar premi asuransi kepada

perusahaan asuransi karena standar yang sudah teruji11. Patuh terhadap hukum dan undang-undang seperti UU ITE, dll12. Meningkatkan profit perusahaan13. Menunjukkan tata kelola yang baik dalam penanganan informasi14. Manajemen senior memiliki tanggung jawab keamanan informasi, sehingga staf lebih

fokus terhadap tanggungjawabnya.15. Dapat di kombinasikan dengan system manajemen lainnya seperti ISO 9000, ISO

14000, ISO 20000, ISO 38500, ITIL, COBIT dll16. Terdapat mekanisme untuk mengukur berhasil atau tidaknya kontrol pengamanan

Sumber :

Judul Buku : Jurus Sukses Sertifikasi ISO 27001

Page 4: Framework_5211100163

Penulis : Andi Rafiandi & M. Hadi CahyonoPenerbit : Andita PublishingTahun : 2010

http://indonesia.cert-int.com/services/iso-27001

http://indonesia.cert-int.com/services/iso-27001
Page 5: Framework_5211100163

ISO 31000

Pada bulan Desember 2009 lalu badan standar dunia ISO (International Standard Organization) mengeluarkan ISO 31000:2009 (non-certification standard) untuk manajemen risiko setelah melalui proses uji yang panjang, kurang lebih 3 tahun. Dan berikut adalah hubungan antara manajemen resiko dengan ISO 31000.

PRINSIP PENGELOLAAN RISIKOISO 31000:2009 mensyaratkan bahwa penerapan manajemen risiko yang efektif harus

patuh pada 11 prinsip.1. Pengelolaan risiko menciptakan dan melindungi nilai yang dinyatakan

dalam obyektif organisasi2. Pengelolaan risiko merupakan bagian yang terintegrasi dengan

keseluruhan proses dalam organisasi dan menjadi bagian dari tanggung jawab manajemen

Page 6: Framework_5211100163

3. Pengelolaan risiko merupakan bagian dari proses pengambilan keputusan melalui peranannya dalam memberikan opsi kepada pengambil keputusan

4. Pengelolaan risiko secara eksplisit seharusnya memperhitungkan ketidakpastian dan secara sadar harus berusaha mengurangi ketidakpastian dalam setiap aktivitasnya dalam memastikan pencapaian obyektif organisasi

5. Pengelolaan risiko seharusnya dibangun melalui pendekatan yang sistematis, terstruktur, dan tepat waktu agar dapat berkontribusi secara efisien dan secara konsisten menghasilkan keluaran yang dapat diperbandingkan dan diandalkan

6. Pengelolaan risiko membutuhkan ketersediaan informasi yang memadaiseperti data historis, pengalaman perusahaan, umpan balik dari pemangku kepentingan, observasi, dan penilaian ahli sehingga para pengambil keputusan dapat meyakini bahwa keputusannya telah memperhitungan semua informasi yang tersedia pada waktu keputusan tersebut dibuat

7. Pengelolaan risiko membutuhkan kustomisasi sesuai dengan konteks -baik internal maupun eksternal- dan profil risiko inheren organisasi tersebut

8. Pengelolaan risiko seharusnya memperhitungkan faktor manusia dan budaya yang merupakan bentuk kapabilitas dari suatu organisasi dalam mencapai obyektifnya

9. Pengelolaan risiko seharusnya transparan dan inklusif melibatkan semua pemangku kepentingan dalam menentukan kriteria risiko

10. Pengelolaan risiko seharusnya dinamis, berulang, dan respons terhadap perubahankejadian baik internal maupun eksternal

11. Pengelolaan risiko seharusnya dapat memfasilitasi pengembangan berkelanjutan dari sebuah organisasi  diukur dari tingkat maturitasnya.

Page 7: Framework_5211100163

FRAMEWORK

ISO 31000 menyediakan kerangka kerja sebagai pedoman dalam implementasi manajemen risiko yang efektif.Tujuan dari kerangka kerja implementasi pengelolaan risiko antara lain:

- Pemastian bahwa informasi mengenai pengelolaan risiko yang dihasilkan dari proses pengelolaan risiko telah cukup dilaporkan dan digunakan sebagai dasar dalam pengambilan keputusan

- Pemenuhan akuntabilitas pada setiap tingkatan organisasi yang relevan

Page 8: Framework_5211100163

PROSES PENGELOLAAN RESIKO

Proses pengelolaan risiko menurut ISO 31000 seharusnya merupakan bagian yang terintegrasi, melekat dalam budaya dan praktik manajemen, dan terkustomisasi menurut proses bisnis organisasi.

Menurut ISO 31000, asesmen risiko merupakan bagian yang paling penting dan fundamental dalam proses pengelolaan risiko. Oleh karena itu, organisasi perlu melakukan asesmen risiko yang benar agar memperoleh laporan profil risiko yang tepat sehingga organisasi dapat secara cermat mengelola risikonya.

Setelah kita membedah ISO 31000, pertanyaan berikutnya adalah bagaimana metodologi asesmen manajemen risiko berbasis ISO 31000:2009. Sebagai seorang asesor independen atas sistem manajemen korporat, jawaban sederhana yang bisa saya bagi adalah asesor akan melakukan penilaian terhadap kerangka kerja implementasi pengelolaan risiko seperti yang telah dibedah di atas dengan unsur-unsur penilaian antara lain tanggung jawab, akuntabilitas, strategi, dan praktik manajemen risiko. Sistem manajemen risiko yang baik seharusnya dapat memberikan keyakinan bahwa dengan penerapan manajemen risiko, organisasi dapat

Page 9: Framework_5211100163

mengurangi ketidakpastian yang membayangi dalam setiap pengambilan keputusan namun tetap dapat berinovasi sesuai dengan kapabilitas yang dimiliki.

Sumber :

ISO Guide 73:2009 ISO 31000:2009

ITIL

IT Infrastructure Library (ITIL) merupakan sebuah best practice bukan merupakan sebuah standard. Arti dari best practice yang dimaksud disini adalah bahwasanya ITIL sudah banyak digunakan oleh perusahaan-perusahaan besar dan berhasil dalam mengimplementasikan IT Governance.

Tujuan utama dari penerapan ITIL ini adalah berbicara mengenai bagaimana caranya membuat strategi layanan TI kepada customer yang dapat membuat customer senang, namun disisi lain perusahaan juga diuntungkan dengan tingkat kesenangan yang dirasakan customer.

Page 10: Framework_5211100163

Dan berikut adalah korelasi antara ITIL dengan manajemen risiko. Yaitu Service Design, Service Operation dan Continual Service Improvement.

  Service DesignService Design memberikan panduan kepada organisasi TI untuk dapat secara sistematis

dan best practice mendesain dan membangun layanan TI maupun implementasi ITSM itu sendiri. Service Design berisi prinsip-prinsip dan metode-metode desain untuk mengkonversi tujuan-tujuan strategis organisasi TI dan bisnis menjadi portofolio atau koleksi layanan TI serta aset-aset layanan, seperti server, storage dan sebagainya.

Ruang lingkup Service Design tidak hanya untuk mendesain layanan TI baru, namun juga proses-proses perubahan maupun peningkatan kualitas layanan, kontinyuitas layanan maupun kinerja dari layanan.Proses-proses yang dicakup dalam Service Design yaitu:

1. Service Catalog Management2. Service Level Management3. Supplier Management4. Capacity Management5. Availability Management6. IT Service Continuity Management7. Information Security Management

Service OperationService Operation merupakan tahapan lifecycle yang mencakup semua kegiatan

operasional harian pengelolaan layanan TI. Di dalamnya terdapat berbagai panduan bagaimana mengelola layanan TI secara efisien dan efektif serta menjamin tingkat kinerja yang telah diperjanjikan dengan pelanggan sebelumnya. Panduan-panduan ini mencakup bagaiman menjaga kestabilan operasional layanan TI serta pengelolaan perubahan desain, skala, ruang lingkup serta target kinerja layanan TI.Proses-proses yang dicakup dalam Service Transition yaitu:

1. Event Management2. Incident Management3. Problem Management4. Request Fulfillment5. Access Management

Berikut adalah keterkaitan dengan manajemen resiko :1. Incident Management· Berkaitan dengan interupsi yang tidak direncanakan untuk IT service atau pengurangan

dalam kualitas mereka.· Kegagalan konfigurasi system yang tidak berdampak pada pelayanan.

Page 11: Framework_5211100163

2. Problem Management- Bertujuan untuk mencegah masalah dan insiden yang dihasilkan.- Meminimalisir dampak insiden yang dihasilkan.- Menghilangkan insiden yang berulang.- Masalah Proaktif Manajemen

o Mengidentifikasi daerah potensi kelemahan.

o Mengidentifikasi pekerjaan di sekitar.

- Masalah manajemen- Indentifikasi reaktif penyebab insiden.- Mengidentifikasi perubahan untuk mencegah terulangnya kembali.

Continual Service Improvement

CSI adalah proses untuk menyesuaikan IT service untuk perubahan kebutuhan bisnis dengan megidentifikasi dan melaksanakan perbaikan layanan IT serta memberikan panduan penting dalam menyusun serta memelihara kualitas layanan dari proses desain, transisi dan pengoperasiannya. CSI mengkombinasikan berbagai prinsip dan metode dari manajemen kualitas, salah satunya adalah Plan-Do-Check-Act (PDCA) atau yang dikenal sebagi Deming Quality Cycle.

Tujuan CSI antara lain sebagai berikut : Merekomendasikan perbaikan (improvement dalam semua tahapan lifecycle. Mengoperasikan biaya layanan yang lebih efektif namun tidak mengurangi

tingkat kepuasan pelanggan Menentukan metode manajemen yang cocok untuk meningkatkan kegiatan.

Sumber :

Materi PPT Bapak Tony waktu kuliah MLTI.

Page 12: Framework_5211100163

COBIT PO9

Cobit PO9 sendiri adalah sebuah framework yang di khususkan untuk manajemen resiko. Kerangka kerja ini ditujukan untuk menentukan strategu pencegahan dan sisa resiko yang ada yang disebabkan oleh suatu peristiwa yang tiak direncanakan, diidentifikasi, dianalisis, dan di evaluasi. Strategi pencegahan resiko yang diadopsi untuk meminimalkan akibat resiko agar dapat diterima. Hasil dari penilaian harus dapat dimengerti oleh para stakeholder (pemegang kepentingan) dan dinyatakan dalam istilah keuangan, untuk memungkinkan para stakeholder menyelaraskan resiko ke tingkat yang dapat diterima.

Pengembangan kerangka manajemen resiko yang terintegrasi dalam bisnis dan operasional kerangka kerja manejemen resiko, penilaian resiko, pencegahan resiko, dan residual resiko dapat dicapai dengan:

- Memastikan bahwa manajemen resiko sepenuhnya tertanam dalam proses manajemen, internal dan eksternal, dan diterapkan secara konsisten.

- Melakukan penilaian resiko.- Merekomendasikan dan mengkomunikasikan rencana tindakan perbaikan resiko.

CONTROL OBJECTIVES1. 1.IT Risk Management Framework

Membentuk kerangka kerja yang sejalan dengan kerangka kerja perusahaan agar terdapat keselarasan didalamnya.

2. Establishment of Risk ContextMenentukan konteks dimana “Management assesment Risk” diterapkan di perusahaan untuk mendapatkan hasil yang tepat. Dan harus mencakup penentuan konteks internal dan eksternal masing-masing penilaian risiko, tujuan penilaian, dan kriteria terhadap risiko dievaluasi.

3. Event IdentificationMengidentifikasi ancaman atau kejadian dengan potensi dampak negatif pada operasional perusahaan, termasuk bisnis, peraturan, hukum, teknologi, mitra dagang, sumber daya manusia dan aspek operasional. Dan mencatat dan menyimpan data risiko yang relevan.

4. Risk AssessmentMenilai secara berkala kemungkinan apa sajakah yang menimbulkan dampak dari semua risiko yang teridentifikasi menggunakan metode kualitatif dan kuantitatif. Kemungkinan dan dampak terkait dengan risiko yang melekat dan harus ditentukan secara individual berdasarkan beberapa kategori.

5. Risk ResponseMengembangkan dan memelihara proses risk response yang dirancang untuk memastikan bahwa pengendalian biaya secara efektif dapat mengurangi risiko pada secara terus-menerus. Proses respon risiko harus mengidentifikasi strategi risiko seperti penghindaran, pengurangan, pembagian atau penerimaan serta menentukan tanggung jawab terkait, dan mempertimbangkan tingkat toleransi risiko.

Page 13: Framework_5211100163

6. Maintenance and Monitoring of a Risk Action PlanMemprioritaskan dan merencanakan kegiatan pengawasan di semua tingkatan untuk melaksanakan identifikasi resiko seperlunya, termasuk identifikasi biaya, manfaat dan tanggung jawab untuk eksekusi. Agar mendapatkan persetujuan untuk tindakan yang direkomendasikan dan penerimaan risiko residual, serta memantau pelaksanaan rencana, dan melaporkan setiap penyimpangan kepada manajemen senior.

Sumber :

IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition—Provides guidance on how to assure compliance for the IT environment based on the COBIT control objectives

IT Governance Implementation Guide: Using COBIT and Val IT, 2nd Edition—Provides a generic road map for implementing IT governance using COBIT and Val IT resources and a supporting tool kit

PMBOK

PMBOK dikembangkan oleh Project Management Institute (PMI) sebuah organisasi di Amerika yang mengkhususkan diri pada pengembangan manajemen proyek. PMBOK merupakan panduan yang berisi mengenai pengetahuan sebagai praktek terbaik dalam disiplin manajemen proyek dan selalu diperbaharui dalam jangka waktu tertentu. PMBOK juga memberikan dasar-dasar manajemen proyek, terlepas dari jenis proyek baik itu konstruksi, perangkat lunak, teknik, otomotif dll. PMBOK mengakui 5 kelompok proses dasar dan 9 bidang pengetahuan khas dari hampir semua proyek. Konsep dasar yang berlaku untuk proyek-proyek, program dan kegiatan.

Proses tumpang tindih dan berinteraksi sepanjang proyek atau fase. Proses yang dijelaskan dalam hal:

Input (dokumen, rencana, desain, dll) Alat dan Teknik (mekanisme diterapkan untuk input) Keluaran (dokumen, produk, dll)

Proyek Manajemen Risiko

Dan disini adalah bagaimana hubungan antara PMBOK dengan manajemen resiko. Definisi manajemen risiko menurut PMBOK, yaitu sebagai berikut:

Page 14: Framework_5211100163

o Merupakan proses formal, dimana faktor-faktor risiko secara sistematis diidentifikasi,

dianalisis dan ditangani.o Merupakan suatu metode pengelolaan sistematis yang formal yang berkonsentrasi pada

mengidentifikasi dan mengendalikan area atau kejadian-kejadian yang berpotensi untuk menyebabkan terjadinya perubahan yang tidak diinginkan.

o Mengkomunikasikan waktu dan informasi yang akurat tentang project untuk stakeholder

proyek. Proses untuk meningkatkan kemungkinan dan dampak peristiwa positif dan mengurangi probabilitas dan dampak dari kejadian negatif. Diperbarui sepanjang proyek.

Ada 6 proses manajemen risiko proyek yang dicantumkan dalam PMBOK ini, yaitu:

1. Perencanaan manajemen risiko2. Identifikasi risiko3. Pelaksanaan analisis risiko kualitatif4. Pelaksanaan analisis risiko kuantitatif5. Perencanaan tanggapan risiko6. Pemantauan dan pengendalian risiko

Kegunaan manajemen risiko dalam tahap tender antara lain:1 Mengidentifikasi risiko yang mungkin dapat terjadi dengan mengacu kepada

pengalaman-pengalaman sebelumnya2 Membuat rencana penanggulangan apabila risiko yang diidentifikasi tersebut benar-

benar terjadi3 Menghitung efek biaya yang perlu dimasukkan dalam harga tender4 Memberikan petunjuk (guidance) kepada tim proyek yang akan melaksanakan

tugasnya untuk membuat perencanaan terhadap penanggulangan risiko.

http://manajemenproyekindonesia.com/wp-content/uploads/2011/02/project-management1.png
Page 15: Framework_5211100163

Sumber :

Project Management Institute. (2008). A Guide to the Project Management Body of Knowledge (PMBOK® Guide) — Fourth Edition. 


Peraltes de 8% y 10% (Aashto Metodo v) Para Uca

Kompet.farmasis File

Buku Pembinaan Siswa

kalkulus

Struktur PN3 2011

DocumentSS

Data Siswa TK 2010-2011

Daftar Transfer Pemain

Brosur e Pulsa

500 judul skripsi

Hindi Songs 53 JAY GAN PATI VANDAN GAN NAYAK

Format Rpp Plb Ppg 2010

Tugas Mandiri Excel

Latihan Power Point 1

ANALISA USAHA BUDIDAYA CABAI KERITING

TRYOUT UN SD kerjasama Primagama dan SMPN 9 smg

Arsip Laporan Akhir Tanggal 20-04-2011

STUDI KELAYAKAN APOTEK

Doa Launching KPM

Daftar Kelompok Praktikum Perilaku Satwa 2011

ER Diagram

R.1 2010 SMAN 3 KTB

Pakaian Adat Siap Print

Babul-o-Nainwa

Buku Kontrol Kebersihan

Distribusi Responden Bukan Penderita Penyakit Diabetes Mellitus

MIGRASI MANUSIA 2

Im yours - jason mraz - cifra para cantar e tocar violão by- vagner

Cover

Presentasi Wisata Belajar Yogya

agregat

SKL UN B.Eng SMP

ASUHAN KEPERAWATAN

lima-Scilegonv2

ahmdaftar harga