tata ke- lola teknologi informasihome.dianciptaperkasa.co.id/wcome/mg/itg.pdfdalam perusahaan, ......
TRANSCRIPT
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
1/54
TATA KELOLA
TEKNOLOGI INFORMASI
PANDUAN
TATA KE- LOLA
TEKNOLOGI INFORMASI
DCP GROUP 2016
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
2/54
TATA KELOLA
TEKNOLOGI INFORMASI
PENDAHULUAN
Panduan PT. DIAN CIPTA PERKASA (DCP) Sistem Manajemen dibuat melengkapi Handbook DCP
Sistem Manajemen yang telah ada sebelumnya. Panduan Praktis menyajikan cara, langkah dan dokumen
yang digunakan untuk menerapkan sub system yang dibahas (lebih menjawab "how to").
Dalam perusahaan, Panduan Praktis disusun dengan tujuan untuk menjadi panduan bagi para
penanggung jawab pekerjaan yang berhubungan dengan sub sistem yang ada dalam DCP.
Pengguna Panduan Praktis DCP ini adalah para manager terkait sub sistem dan pelaksana
(implementor) yang akan menerapkan sub sistem DCP dalam perusahaan.
Seluruh sub sistem dibuat secara se-universal mungkin agar dapat diterapkan di berbagai unit bisnis di
DCP Group, beberapa contoh dan form dibuat dari berbagai bisnis baik manufacturing maupun non
manufacturing. Walaupun demikian, kasus spesial bisa saja terjadi untuk industri atau bisnis tertentu
yang dalam penerapan Panduan Praktis ini masih perlu adjustment dari para manager ataupun
pelaksana.
Panduan Praktis DCP menyajikan beberapa bagian :
1. Sasaran
2. Penjelasan Framework
3. Alur Proses atau Flowchart
4. Form dan contoh
Sasaran akan menjelaskan apa yang ingin dicapai atau deliverable dari sub system DCP dilanjutkan
dengan penjelasan dari masing-masing framework.
Alur proses akan menjelaskan cara atau langkah yang dapat dilakukan secara bertahap untuk menerapkan
sub system DCP, selanjutnya form terkait akan ditampilkan beserta contoh pengisian form untuk
memudahkan penerapan sub system DCP.
Form dan cara implementasi untuk setiap pratical guide dapat saling terkait satu sama lainnya, karena
sub system ini merupakan "bagian rumah" yang pasti akan saling mendukung fungsi masing-masing
seperti tertuang dalam House of DCP.
1. Framework
Information Technology Management (ITM) Framework adalah tata kelola IT sebagai standar bagi
manajemen, organisasi, pengguna dan penanggung jawab IT yang harus diimplementasikan di setiap perusahaan dalam DCP Group. Implementasinya disesuaikan dengan bidang usaha dan business process
masing-masing perusahaan. Fleksibilitas penerapan ITM bergantung pada prioritas objektif perusahaan
dan sumber daya IT yang dimiliki, dimana perusahaan harus menjalankan ke-34 sub proses
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
3/54
TATA KELOLA
TEKNOLOGI INFORMASI
berikut, namun prioritas proses yang akan dimaksimalkan tergantung kebijakan masing-masing
perusahaan. Assessment juga akan dilakukan terhadap ke-34 sub proses tersebut.
2. Pilar Plan and Organise
Proses Plan and Organise mencakup strategi dan taktik mengenai identifikasi bagaimana IT bisa
kontribusi kepada pencapaian tujuan bisnis. Realisasi visi IT diperlukan perencanaan, komunikasi dan
pengelolaan dari berbagai perspektif yang didukung oleh organisasi yang kuat, serta dukungan teknologi
yang tepat guna.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
4/54
TATA KELOLA
TEKNOLOGI INFORMASI
Sasaran dari Plan and Organise adalah tersusunnya strategi IT yang selaras dengan strategi dan tujuan
perusahaan.
2.1 POl Define a Strategic IT Plan
Untuk bisa memberi kontribusi bagi pencapaian sasaran bisnis, IT menentukan strategi dan taktik yang
selaras dengan rencana perusahaan. Hal ini dicapai melalui :
2.1.1 Menyelaraskan strategi IT dengan bisnis
IT merupakan strategic partner dengan bisnis agar bisa mendukung perkembangan bisnis dan jalannya
operational sepenuhnya. Oleh karena itu strategi IT yang dituangkan dalam IT blueprint harus sejalan
dengan business blueprint kusmanto
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
5/54
TATA KELOLA
TEKNOLOGI INFORMASI
IT Blueprint
Aliran proses pembentukan IT blueprint
1. Identifikasi Core Process IT sebagai langkah awal dalam menentukan IT strategic map. Core
Process IT adalah aktivitas utama IT yang mendukung jalannya bisnis.
2. Core process IT tersebut lalu dipetakan terhadap Company Strategic Map sehingga didapat
pengelompokan company strategic objective yang sesuai dengan IT core process-nya
3. Langkah berikutnya adalah mengidentifikasi IT Goals yang mendukung Company Strategic
Objective dan Core Process IT tersebut. IT Goals didapat dari Linking IT Goals to IT Process
(lampiran 1).
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
6/54
TATA KELOLA
TEKNOLOGI INFORMASI
Tabel 1. Pemetaan IT Strategic Objectives
4. IT Strategic Map digambarkan setelah mengidentifikasi IT Strategic Objectives dengan
memisahkan antara Financial Perspective, Customer Perspective, Internal Business Process
dan Learning & Growth.
Gambar 4. Contoh Strategic Map
5. Langkah selanjutnya menentukan KPI yang mendukung pencapaian IT Strategic Objectives
dengan menggunakan alat bantu Gap Analysis untuk menentukan target 5 tahun ke depan.
6. Gunakan alat bantu TOWS matrix untuk mendapatkan IT strategic initiatives.
Strategicinitiatives mencakup initiatives dari 3 fungsi utama ITyaitu infrastructure,
development dan operation yang mengemban peran dan tanggung jawab yang berbeda.
(lampiran 2)
7. Langkah berikutnya menuangkan hasil analisa diatas kedalam tabel IT Blueprint.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
7/54
TATA KELOLA
TEKNOLOGI INFORMASI
Tabel 2 Tabel IT Blueprint
8. Untuk mendukung IT Objectives dan IT Strategic Initiatives diperlukan organisasi IT yang kuat
dan mendukung proses tersebut. Organisasi IT yang baik mempunyai 3 fungsi utama yaitu infrastructure, IT Operation dan IT Development, namun bisa dikembangkan dengan fungsi-
fungsi lain seperti fungsi QA yang disesuaikan dengan kebutuhan.
Gambar 5 Contoh Organisasi IT
Activity Plan
Strategic initiatives yang telah didapat atau diidentifikasikan, diturunkan menjadi Activity plan
tahunan IT yang dilaksanakan pada saat planning cycle.
Activity Plan dan penjelasan detailnya mengacu ke Strategic Management dan ME1
Performance measurement
2015 2016 2017 2018 2019 2020
Improve IT Cost Efficiency % of reduction cost 2% 2,50% 3,50% 5,00% 7,50% 10%- Third party services
- Reduce IT Operation Costs
Create IT Agility % of completion 50% 60% 70% 80% 90% 100% - Develop core business system
Acquire and maintain integrated application and infrastructure
% of application project
% of Infrastructure project50%
60% 70% 80% 90% 100%
- Develop IT integrated System
- Modernize IT Peripheral and Com
Deliver project on time and budget% on time delivery 50% 60% 70% 80% 90% 100%
- Third party services
- Implement project monitoring sytem
IT Services available as required % of SLA 90% 92% 94% 96% 97% 98%
- Improve resources availability
- Improve Security System
- Modernize IT peripheral and com
Ensure IT Compliance with laws% of compliance 50% 75% 100% 100% 100% 100%
- Develop standard process
- Enhance IT management System
Acquire and maintain IT skill # Number of training 1 2 3 4 5 6 - Leverage IT Skills
% of gap competencies 30% 25% 17% 10% 5% 0%
Provide new knowledge and
challenges
Continuous Improvement # of project completion 2 2 2 3 3 4 - Third party services
YearKPIStrategic Objectives IT Strategic Initiatives Budget
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
8/54
TATA KELOLA
TEKNOLOGI INFORMASI
Activity plan perlu direWew secara berkala (monthly atau quarterly) dan setiap hasil review
ditulis dalam notulen lengkap dengan daftar hadir.
2.1.2 Memahami kemampuan sumber daya IT
Untuk mengetahui kemampuan sumber daya IT, rnaka perlu dilakukan analisa terhadap kapabilitas,
performa, dan jasa layanan ITsaat ini, sebagai dasar agar bisa membandingkan dengan kebutuhan bisnis
di masa depan. Perlu dilakukan pendefinisian atas performa dan kontribusi IT kepada tujuan bisnis,
fungsional, stabilitas, kompleksitas, biaya, serta kekuatan dan kelemahannya.
Analisa kemampuan sumber daya IT mencakup sumber daya manusia, sumber daya infrastruktur, sumber
daya aplikasi, dan sumber daya informasi. Dalam menganalisa kapabilitas dan kinerja sumber daya IT,
mengacu ke DS3.
Hal-hal yang perlu diperhatikan dalam menganalisa kapabilitas sumber daya IT:
Kontribusi terhadap bisnis.
Biaya yang diperlukan.
Resiko yang mungkin timbul.
Perkembangan teknologi.
Efektivitas dari penggunaan sumber daya yang ada.
Identifikasi kebutuhan dimasa yang mendatang.
2.1.3 Membuat skema prioritas bisnis
Skema prioritas bisnis menjelaskan prioritas pada IT operational maupun development yang didapat
dari activity plan.
Tabel 3. Contoh skema prioritas bisnis
Perhitungan prioritas dilakukan dengan mengalikan antara bobot dan point yang terkait dengan item
tersebut. Contoh kasus prioritas:
No Nama Bobot 5 4 3 2 1 0
1 Impact to bus iness 40% High Med Low
2 Budget 20% Tersedia Pending Ditolak
3 Resources 15% Sepenuhnya tersedia Sebagian tersedia Tidak ada
resources
4 Arahan Management 15% Permintaan
Management
Tidak ada
Permintaan
5 Regulas i 5% Tuntutan Regulas i Ada regulas i tapi tidak
mengikat
Tidak ada regulas i
eksternal
6 Relas i s takeholder 5% Adanya relas i dengan
seluruh stakeholder
Tidak seluruh
stakeholder
Tidak ada relas i
dengan stakeholder
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
9/54
TATA KELOLA
TEKNOLOGI INFORMASI
Kasus I:
Permintaan manajemen untuk mengimplementasi sebuah sistem yang mendukung operational HRD.
Dalam contoh ini budget masih menunggu persetujuan namun sumber daya lainnya sudah tersedia.
Kasus II:
Regulasi pemerintah menuntut untuk merubah sebuah proses yang sudah ada dan bila tidak
dilaksanakan akan dikenakan sangsi.
Dengan contoh kedua kasus di atas dilakukan perhitungan sebagai berikut:
Tabel 4. Perhitungan prioritas IT
Maka kasus atau permintaan yang akan dikerjakan oleh IT terlebih dahulu dan menjadi fokusnya adalah
perubahan oleh regulasi pemerintah dikarenakan nilai prioritas yang tinggi.
2.2 P02 Define the Information Architecture
Arsitektur informasi IT adalah pemetaan atau perencanaan desain sistem komputerisasi (termasuk
jaringan komputer) suatu organisasi. Identifikasi dan definisi arsitektur informasi yang berguna untuk
mengoptimalkan penggunaan informasi, memenuhi kebutuhan bisnis, serta memastikan integritas dan
konsistensi data secara baik.
2.2.1 Membuat arsitektur informasi
Model Arsitektur informasi secara standar terbagi dari beberapa lapisan yang memungkinkan untuk
mengorganisir, merencanakan, dan membangun satu struktur informasi.
Setiap layer diidentih'kasi tergantung arsitektur masing-masing perusahaan; walaupun diidentifikasikan
secara terpisah, masing-masing layer sebaiknya saling berhubungan dan saling menjalin satu sama lain.
Proses analisa terhadap perubahan arsitektur informasi sebaiknya dilakukan secara berkala minimal satu
tahun sekali.
Point I BxP I Total Point II BxP II Total
Impact to bus iness 40% 3 1,2 5 2
Budget 20% 3 0,6 0 0
Resources 15% 5 0,75 5 0,75
Arahan Management 15% 5 0,75 3 0,45
Regulas i 5% 0 0 5 0,25
Relas i Stakeholder 5% 3 0,15 5 0,25
3,45 3,7
Kriteria BobotKasus I Kasus II
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
10/54
TATA KELOLA
TEKNOLOGI INFORMASI
Gambar 6. Arsitektur informasi
2.2.2 Data modeling (membuat model data)
Setiap perusahaan sebaiknya memiliki model data dari aplikasi yang berjalan. Salah satu bentuk
dokumentasi model data adalah kamus data. Kamus data adalah kumpulan informasi mengenai data
yang menjelaskan:
• Tipe data
• Hubungan antar tabel
• Format
• Ukuran data
Kamus data dibuat menggunakan Tabel yang secara deskriptif menjelaskan seluruh data yang
diidentifikasi.
Tabel 5. Contoh data dictionary dan ownership
NAMA NAMA FIELD DESKRIPSI TIPE FORMAT NAMA FILE APLIKASI OWNER
CUSTOMER CustID ID Pelanggan char 9999 CUSTOMER APP1 Marketing Dept
CustName Nama Pelanggan varchar2(19) Xxxxxxxxxxx
CustLastName Nama Akhir Pelanggan varchar2(19) Xxxxxxxxxxx
CustAddress Alamat Rumah Pelanggan varchar2(19) Xxxxxxxxxxx
CustZip Kodepos Pelanggan number 99999
CustEmai l Alamat Emai l Pelanggan varchar2(19) [email protected]
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
11/54
TATA KELOLA
TEKNOLOGI INFORMASI
2.2.3 Kepemilikan data & Klasifikasi data
Setiap data harus mempunyai kepemilikan utama terhadap data tersebut. Contoh digabungkan pada Tabel
5. Contoh data dictionary dan ownership.
2.2.4 Skema Klasifikasi informasi
Klasifikasi data sebaiknya tertuang di dalam kebijakan IT sebelum ditentukan klasifikasi seperti di
bawah.
Skema Klasifikasi data digunakan untuk mendefinisikan tingkat keamanan data dari suatu organisasi.
Klasifikasi keamanan data bisa mencakup hak memperbanyak data, hak akses dan sebagainya.
Tabel 6. Contoh klasifikasi data
Contoh klasifikasi keamanan data adalah sebagai berikut (bisa ditambah sesuai kebijakan perusahaan):
• Public
Klasifikasi ini diberikan kepada data yang tersebar secara umum atau memang dimaksudkan
untuk disebarkan ke luar organisasi. Informasi ini bisa secara bebas disebarkan tanpa memberi
dampak negatif ke perusahaan.
• Internal Use Only
Klasifikasi ini diberikan atas informasi atau data yang hanya relevan dipergunakan untuk
lingkungan internal perusahaan. Penyebaran yang tidak sah, modifikasi atau penghapusan data
terkait tidak akan menimbulkan dampak yang serius kepada perusahaan, karyawan, rekan bisnis
atau pelanggan.
• Confidential
Klasifikasi Data DataPubl ic Product Category
Dokumen user guideDokumen asset IT
Internal use only Materi Tra iningVendor l i s t (Vendor master data)Functional speci fication
Confidenta l User master dataIP Address userLaporan KeuanganKontrak Kerja sama
Restricted confidentia l Payrol lPassword userPassword domainPassword mai l server
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
12/54
TATA KELOLA
TEKNOLOGI INFORMASI
Klasifikasi ini diberikan atas informasi atau data yang dimaksudkan untuk digunakan hanya di dalam lingkungan perusahaan. Penyebaran yang tidak sah bisa secara langsung memberi dampak
buruk kepada perusahaan maupun stakeholders-nya.
• Restricted Confidential
Klasifikasi ini diberikan kepada informasi atau data yang tergolong sangat sensitive yang
penyebarannya hanya kepada internal organisasi, atau bahkan hanya kepada individu-individu
tertentu. Penyebaran yang tidak sah dapat secara serius merugikan organisasi maupun
stakeholders-nya.
2.3 P03 Determine Technological Direction
Arah teknologi menentukan fungsi layanan IT yang mendukung jalannya bisnis. Hal ini membutuhkan
perencanaan infrastruktur teknologi yang sesuai supaya memiliki system yang terintegrasi dan standar
dan mempunyai kemampuan untuk menyokong kebutuhan bisnis.
2.3.1 Menyusun Arsitektur Infrastruktur
Setiap perusahaan sebaiknya mempunyai perencanaan pengembangan infrastruktur yang sesuai dengan
arah perkembangan dan kebutuhan teknologi maupun kebutuhan bisnisnya. Arsitektur infrastruktur
menjelaskan bagaimana perusahaan menghubungkan network secara fisik. Proses analisa terhadap
perubahan arsitektur infrastruktur sebaiknya dilakukan secara berkala minimal satu tahun sekali.
2.3.2 Menetapkan rencana infrastuktur IT
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
13/54
TATA KELOLA
TEKNOLOGI INFORMASI
Rencana infrastruktur IT ditetapkan oleh PIC IT yang
menggambarkan topologi infrastruktur yang diinginkan yang sejalan dengan kebutuhan IT dan bisnis.
PIC IT juga menetapkan milestone atau jangka waktu akuisisi teknologi untuk memenuhi kebutuhan
topology infrastruktur yang baru.
Hal-hal yang diperhatikan dalam menyusun infrastruktur:
• Core switch digunakan sebagai switch utama yang lalu terhubung ke hub/ switch.
• Jumlah hop dari client ke server direkomendasikan tidak lebih dari 3 hop.
• Firewall selalu diletakkan di depan, sehingga setiap komunikasi yang masuk melalui
firewall terlebih dahulu.
2.3.3 Mendefinisikan teknologi infrastruktur IT
Standar Teknologi adalah satu set kebutuhan teknologi yang perlu dipenuhi secara material, produk
maupun layanan. Jika ada satu material, produk maupun layanan yang tidak memenuhi standar
teknologi, diklasifikasikan sebagai out of specification.
Dokumentasi standar teknologi diikut sertakan bersama dengan dokumentasi topology untuk
mempermudah proses akuisisi barang.
Adapun yang bisa diklasifiksikan sebagai berikut:
• Standard Server
o Standar kapabilitas server:
• Processor
• RAM
• HDD / RAID.
• Storage.
• Standard Operating System.
o Standard kelengkapan peralatan secara menyeluruh
• Lisensi
• Garansi
• Standard Network
o Peralatan untuk networking
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
14/54
TATA KELOLA
TEKNOLOGI INFORMASI
• Spesifikasi peralatan network yang digunakan seperti switch, router, firewall
dan lain sebagainya.
• Desain topology dari network.
• Standard Client
o Standard Notebook atau PC
• Processor
• RAM
• HDD
o Standard kelengkapan peralatan secara menyeluruh
• Lisensi
• Garansi
• Keyboard & Mouse
Tabel 7. Tabel dokumen teknologi standard
Penggunaan peralatan network sebaiknya mengikuti dan sejajar dengan perkembangan perusahaan
dalam 5 tahun ke depan.
2.4 P04 Define the IT Processes, Organisation, and Relationships
Dalam merespon strategi dan kebutuhan bisnis, IT harus memiliki fleksibilitas yang memadai.
Fleksibilitas ini didefinisikan dengan proses IT yang mengarah pada proses PDCA dan struktur
organisasi.
2.4.1 Definisi kerangka proses IT
Kerangka proses IT kembali mengarah kepada proses
PDCA atau Plan, Do, Check, dan Action.
Kriteria User Server
Harddisk 320 GB 1 TB RAID 5
Processor Intel Based Intel Based
RAM 2GB RAM Minimum 8GB RAM
OS Windows based Windows/Linux Based
Perangkat Lainnya Anti virus, Garansi, Optical Mouse Anti Virus, Garansi, UPS
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
15/54
TATA KELOLA
TEKNOLOGI INFORMASI
Plan
Pada awal proses, IT melakukan perencanaan
mengenai proyek yang akan dijalankan, dituangkan
dalam dokumen perencanaan proyek atau project plan.
Proses ini adalah proses penting dalam kerangka PDCA
karena perencanaan proyek sebaiknya layak untuk
dijalankan. Untuk detail mengenai perencanaan proyek
dan dokumentasi project plan bisa mengacu ke PO10.
Do
Setelah project charter disetujui, lalu IT melaksanakan atau mengeksekusi proyek sesuai perencanaan
proyek. Setelah proyek atau produk selesai dikembangkan, dilakukan juga internal testing, QA, dan
user acceptance testing sebelum produk atau jasa layanan IT
tersebut di implementasi.
Check
Pada proses ini, dilaksanakan post implementation review yang bertujuan untuk merew'ew produk
atau jasa layanan yang telah di implementasi. Di proses ini di analisa kekurangan dan kelebihan produk
atau jasa layanan tersebut dengan membandingkan cost-benefit yang diidentifikasi dari feasibility
study, dengan actual.
Action
Proses Action ini mengarah kepada langkah yang akan diambil atau koreksi yang harus dilakukan
setelah post implementation review. Apakah akan merubah produk tersebut, menambah module baru
atau bahkan shut down produk tersebut.
2.4.2 Menetapkan struktur Komite IT
Di samping organisasi struktural IT diperlukan juga komite IT yang terdiri dari steering dan strategic
committee seperti tergambar di bawah ini.
Plan
DoCheck
Act
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
16/54
TATA KELOLA
TEKNOLOGI INFORMASI
Komite strategi IT VS Komite Steering IT
Komite Strategi IT
Level Board Level
Tanggung jawab Tanggung jawab komite strategi IT lebih focus kepada memberikan masukan atau menasihati
management perihal perkembangan IT dari kacamata bisnis serta memberi arahan kepada
management mengenai strategi-strategi IT.
Hal-hal yang didiskusikan oleh komite strategi IT kepada management termasuk:
Perkembangan IT dari Sisi Bisnis
Penyelarasan IT dengan Bisnis Pengadaan sumber daya IT
Manajemen risiko IT
Perkembangan proyek-proyek IT berjalan
Kewenangan Memberikan masukan atau menganjurkan dewan direktur dan/atau manager perihal strategi
IT
Fokus kepada permasalahan IT terkini maupun yang akan dating
Member Manajemen
Tabel 8. Komite Strategi IT
Komite Streering IT
Level Executive/Management Level
Tanggung jawab Tanggung jawab komite steering IT memberikan arahan terhadap suatu proyek IT.
Hal-hal yang menjadi tanggung jawab komite steering IT termasuk:
Memberi masukan perihal budgeting IT secara keseluruhan Memberi masukan perihal penyelarasan arsitektur IT dengan bisnis
Memberi masukan rencana proyek IT, dan monitoring jalannya proyek termasuk
sumberdaya dan konflik prioritas
Kewenangan Memonitor proyek IT dan jasa layanan IT
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
17/54
TATA KELOLA
TEKNOLOGI INFORMASI
Fokus kepada implementasi jasa layanan IT
Member Executive/Manajemen
Penasihat inti (IT, audit, legal, finance)
CIO
Tabel 9. Komite Steering IT
2.4.3 Menetapkan peran dan tanggung jawab IT
Mengidentifikasi peran dan tanggung jawab IT secara fungsional yang mendukung proses IT secara
keseluruhan. Fungsi Peran Tanggung Jawab
Development Analisa kebutuhan pengguna dan develop aplikasi terpadu
Menganalisa kebutuhan atau kebutuhan pengguna untuk sebuah sistem atau aplikasi dan menerjemahkan dalam dokumen System Development Life Cycle (SDLC) Mengembangkan dan menyerahkan aplikasi yang diminta sesuai dengan kebutuhan pengguna. Pembuatan dan pengujian program terkait pemakaian teknologi yang dibutuhkan. Melakukan QA testing terhadap aplikasi yang akan diimplementasi dan membantu proses UAT (User Acceptance Test)
Infrastruktur Pengembangan Infrastruktur terpadu Membantu mengembangkan network yang terkait dengan proyek seperti pemasangan perangkat keras maupun lunak yang diperlukan Mengembangkan infrastruktur network termasuk LAN, WAN, Internet, Intranet, Wireless, Security dan sebagainya Membantu memelihara infrastruktur IT seperti ruang server, server, internet, database dan lain-lain
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
18/54
TATA KELOLA
TEKNOLOGI INFORMASI
Memastikan keamanan data termasuk Disaster Recovery Center (DRC) dan jasa layanan IT agar selalu tersedia kepada pengguna.
Operation Membantu management asset IT termasuk troubleshoot masalah peripheral IT
Membantu penanganan masalah infrastruktur atau aplikasi yang terkait, termasuk masalah perangkat keras Hardware: Mengerti cara instalasi perangkat keras, mengganti maupun membeli perangkat keras. Software: Mengerti cara instalasi perangkat lunak update maupun purchasing/membeli perankgat keras dan pembaruan lisensi.
Tabel 10. Tabel dokumentasi peran dan tanggung jawab
2.5 P05 Manage the IT Investment
Pengelolaan investasi IT sebaiknya dapat memenuhi kebutuhan bisnis secara berkelanjutan.
2.5.1 Memprediksi dan alokasi anggaran IT
Pada saat planning cycle, IT mengajukan perencanaan anggaran. Perencanaan anggaran dikategorikan
menjadi 2 (dua), yaitu operation expenses dan Investment.
Bagan pembagian alokasi anggaran :
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
19/54
TATA KELOLA
TEKNOLOGI INFORMASI
Operation expenses
Operation expense termasuk biaya yang akan dikeluarkan secara reguler, seperti Annual
licensing, utility (internet), maintenance, training, dsb.
Investment
Investment termasuk biaya yang dikeluarkan untuk keperluan asset seperti pengadaan asset IT,
implementasi sistem, dsb. Dilakukan juga tracking budget secara berjalan yang berguna untuk
cost management.
2.5.2 Menentukan kriteria investasi
Proses seleksi investasi IT sebaiknya dilaksanakan oleh satu tim peninjau termasuk (dan tidak terbatas
kepada) IT Steering dan Strategic Committee. Komite akan memilih aktivitas ari activity plan yang
akan diutamakan untuk dijalankan.
Hal-hal yang perlu diperhatikan sebelum memutuskan suatu investasi IT adalah sebagai berikut:
Sumber daya perusahaan
Struktur organisasi
Rencana strategis perusahaan
Bisnis proses
Dan faktor lainnya yang mempengaruhi implementasi IT.
2.5.3 Mengukur dan menilai bisnis untuk investasi IT
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
20/54
TATA KELOLA
TEKNOLOGI INFORMASI
Gambar 10. Flow process pembuatan Feasibility study (FS)
Develop Feasibility Study (FS) Document
Dokumen Feasibility study terdiri dari:
o Tujuan feasibility study
Menjelaskan tujuan serta garis besar proyek tersebut.
o Time frame project
Menjelaskan time frame project yang akan dijalankan, bisa menggunakan
Gantt chart atau work breakdown structure.
o Organisasi proyek
Menjelaskandengan diagram hirarkitim proyek termasuk steering committee
project.
o Deskripsi produk
Menjelaskan uraian produk yang akan diadakan, atau menjelaskan mengenai
jasa layanan IT yang akan dikembangkan.
o Analisa kelayakan proyek
Melakukan studi kelayakan yang merupakan inti dari dokumen ini,
berdasarkan:
• Quality
• Cost
• Delivery
• Safety
• Morale
• Environment
• Service
o Analisa risiko, solusi alternatif
Melakukan analisa risiko, dan rencana mitigasi risikonya. Bisa mengacu ke
P09 untuk lebih detailnya.
o Kesimpulan dan rekomendasi
Development FS Document
FS
AgreementDevelopment & Implementation
Phase
PostImplementation
ReviewFS
Planned /Actual
No
Yes
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
21/54
TATA KELOLA
TEKNOLOGI INFORMASI
Memberi kesimpulan dari dokumen dan
rekomendasi apakah proyek yang
akan dijalankan layak atau tidak.
Agreement (Persetujuan FS)
Dokumen analisa kelayakan yang sudah selesai disusun, direview oleh stakeholder proyek terkait
untuk dievaluasi dan disetujui.
Post Implementation Review
Post implementation review akan membandingkan cost/benefit yang tertulis di feasibility study
termasuk juga QCDSMES dan actual benefit yang dihasilkan dari proyek. Hasil akhir bisa berupa
koreksi-koreksi untuk memperbaiki proyek, menambah modul, atau bahkan menghentikannya jika
biaya aktual melebihi benefit yang dihasilkan.
2.6 P06 Communicate Management Aims and Directions
IT mengembangkan kerangka kerja kontrol serta merumuskan dan mengkomunikasikan kebijakan IT
yang bertujuan untukmenyelaraskan pencapaian sasaran IT dengan kebijakan perusahaan.
2.6.1 Mengembangkan Kerangka kerja untuk kontrol IT
Kerangka kerja IT tercermin dalam activity plan yang ditetapkan di awal tahun. Kerangka kerja IT
termasuk KPI IT yang secara regular direview oleh internal IT meialui monthly review sehingga
dapat mengantisipasi risiko-risiko yang mungkin timbul. Dengan demikian manajemen dapat
mengembangkan kebijakan-kebijakan maupun koreksi-koreksi untuk memastikan tercapainya tujuan.
2.6.2 Merumuskan Kebijakan IT
Kebijakan IT berupa peran dan tanggung jawab IT, guideline atau job description staff IT, Panduan
Praktis, prosedur maupun standar yang telah dikembangkan.
IT juga bisa mengeluarkan kebijakan yang menyangkut lingkungan bisnis, misalnya meningkatkan
value delivery dari jasa dan layanan IT, termasuk juga manajemen aset IT.
Contoh kebijakan IT:
• Kebijakan penggunaan email dengan domain perusahaan untuk transaksi formal antara pihak
internal maupun external.
• Kebijakan penggunaan password dan karateristik password untuk menjaga kerahasiaan
perusahaan seperti gabungan dari angka atau huruf, minimal 8 karakter dan sebagainya.
• Kebijakan penggunaan notebook perusahaan dan pribadi. • Kebijakan penggunaan perangkat lunak illegal.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
22/54
TATA KELOLA
TEKNOLOGI INFORMASI
• Kebijakan dalam penggunaan server file atau local
harddrive seperti data apa saja yang boleh di-upload, pengeksekusian data dari server file
yang bisa membebani server dan sebagainya.
*) Kebijakan di atas tidak mengikat kepada perusahaan namun sebagai contoh atau sebagai requirement minimum.
2.6.3 Mengkomunikasikan dan menjalankan kebijakan IT
Kebijakan IT tertera pada sebuah dokumen atau email yang disebarkan ke seluruh pengguna agar
diketahui dan dimengerti oleh seluruh karyawan. Kebijakan IT juga mencakup dokumen yang harus
ditandatangani oleh pengguna sesuai dengan ruang lingkupnya yang diatur oleh masing-masing
perusahaan.
Gambar 11. Proses penetapan kebijakan
IT secara rutin akan mengevaluasi penerapan kebijakan IT yang sudah ditetapkan dan akan melakukan
perubahan (ACT) sesuai dengan informasi (INFORMATION) yang didapat. Proses evaluasi ini
sebaiknya dilakukan minimal setahun sekali.
2.7 P07 Manage IT Human Resources
Personil IT yang kompeten dibutuhkan untuk menjamin ketersediaan layanan IT sesuai kebutuhan
bisnis meialui proses rekrutmen, pelatihan, evaluasi kinerja, promosi dan terminasi.
2.7.1 Evaluasi kinerja personil IT
Evaluasi kinerja personil IT dilaksanakan dengan membandingkan antara kinerja asing-masing dengan
tujuan perusahaan yang tertera di dalam activity plan. Selain itu dibandingkan juga dengan standar yang
sudah ditetapkan atau dengan job description masing-masing.
2.7.2 Merekrut dan mengembangkan personil IT
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
23/54
TATA KELOLA
TEKNOLOGI INFORMASI
Merekrut dan mengembangkan personil IT mengacu pada
Panduan Praktis People Management, yaitu:
1. Attract.
Proses mencari dan menyeleksi kandidat dari internal atau ekstemal untuk memenuhi man power
planning.
2. Develop.
Proses yang mencakup kegiatan perencanaan untukpengembangan karyawan agar bisa memenuhi
atau mencapai kinerja yang dibutuhkan. Perencanaan training atau pengembangan karyawan
mengikuti IT Skill matrix pada DS3 dan detail training pada DS7.
3. Deploy
Proses yang mencakup penempatan orang pada posisi yang sesuai dengan kemampuan yang
dimilikinya agar dapat berkontribusi secara optimal.
2.7.3 Ketergantungan terhadap personil IT
Untuk mengurangi risiko ketergantungan terhadap personil IT, rnaka dilakukan langkahlangkah
sebagai berikut :
o Mengidentifikasi daftar personil kunci yang memegang proses penting.
o Mendokumentasikan pengetahuan yang dimiliki personil kunci.
o Melakukan knowledge sharing.
o Merencanakan kaderisasi personil kunci.
o Menyiapkan personil cadangan.
Nama Pekerjaan Critical Alasan
Antonius IT Infrastruktur High Memegang kunci admin network
Memegang peranan dalam pengembangan
infrastruktur dan pemeliharaan infrastruktur
dalam hal keamanan server.
Budi IT Development Low Developer team, menganalisa kebutuhan
pengguna atas aplikasi, dan mengembangkan
aplikasi.
Troubleshoot aplikasi atau program memakai
tools yang dibutuhkan.
Hendra IT Operational Support Med Mengerti cara instalasi perangkat keras,
troubleshoot perangkat keras maupun
perangkat lunak.
Mempunyai link ke vendor.
Tabel 11. Daftar staf kunci
2.8 P08 Manage Quality
Sistem pengelolaan mutu (QMS: quality management system) disusun dan dikembangkan sesuai
prosedur yang disepakati. Prosedur ini penting untuk memastikan bahwa IT memberikan nilai tambah
bagi perusahaan dengan melakukan perbaikan terus-menerus dan transparan.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
24/54
TATA KELOLA
TEKNOLOGI INFORMASI
2.8.1 Menentukan standar mutu
QMS adalah proses standarisasi mutu yang mencakup proses design, develop dan deliver. Hal-hal
yang perlu diperhatikan dalam setiap tahap pengembangan produk adalah sebagai berikut:
• Design & Build
Desain harus dipimpin dan dipertanggung jawabkan oleh senior manager agar sesuai dengan
kebutuhan organisasi antara lain standar coding, standar interface dan Iain-Iain.
Fungsi Quality Assurance memastikan dokumentasi yang lengkap, dijelaskan secara mendetail
di pilar AI yaitu fokus kepada utmost customer satisfaction.
• Deployment
Implementasi dilakukan dengan memecah proses menjadi sub proses yang didokumentasikan,
melakukan pelatihan dan penggunaan tools.
• Control
Proses kontrol yang efektif berisi dokumentasi key stakeholders dan process owner. Proses
owner diperbolehkan untuk mengontrol semua proses dan idealnya terlibat dalam pembuatan
dokumen.
2.8.2 Pemantauan dan evaluasi standar mutu
Evaluasi standar mutu dijalankan untuk mengukur serta menganalisa efektivitas dan efisiensi setiap
proses IT yang berjalan untuk mencapai tujuannya.
Untuk menganalisa, rnaka bisa dilakukan dengan mengukur:
1. Kebijakan dan proses IT
2. Penggunaan layanan IT
3. Penggunaan QMS
4. Manfaat QMS
5. Implementasi QMS dalam job description
2.8.3 Perbaikan pengelolaan standar mutu
Perbaikan pengelolaan standar mutu mengikuti hasil dari proses review dan pengukuran dengan tujuan
untuk mencapai best practices IT.
Proses review QMS meliputi konsistensi pelaksanaan proses QA, kelengkapan dokumentasi dan
pelaksanaan audit berkala.
Beberapa contoh standarisasi yang dapat digunakan dalam QMS adalah ISO 9000 (dokumentasi dan
proses), ISO 27000 (IT Security), ITIL dan sebagainya.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
25/54
TATA KELOLA
TEKNOLOGI INFORMASI
2.9 P09 Manage IT Risks
Risiko IT terjadi jika ada perubahan dalam suatu proses atau adanya sistem baru yang diimplementasikan.
Risiko tersebut berpotensi akan berulang setelah implementasi.
Antisipasi yang tepat atas terjadinya suatu risiko bisa memberikan kesempatan bahkan keuntungan bagi
perusahaan jika manajemen risiko dilaksanakan secara tepat guna dan analisa yang dilakukan juga tepat.
2.9.1 Penerapan pengelolaan risiko
Pengelolaan risiko mengacu kepada Panduan Praktis Risk Management dengan tahap-tahap sebagai
berikut:
Tahap 1. Menentukan konteks
Pada tahap ini manajemen menetapkan batasan dan parameter yang dijadikan acuan dalam pelaksanaan
proses manajemen risiko. Batasan dan parameter disesuaikan dengan kondisi dan kebutuhan setiap
perusahaan. Faktor risiko IT yang mungkin terjadi di dalam sistem informasi diidentifikasi, termasuk
didalamnya masalah serta konsep pengoperasian keamanan sistem yang semuanya bersifat strategis.
Tahap 2. Identifikasi risiko
Tahap ini merupakan tahap dimana konstruksi atas sistem dilaksanakan. Pada proses ini, faktor risiko
diidentifikasikan selama tahap ini dilalui, dapat berupa analisa atas keamanan sistem sampai dengan
kemungkinan yang timbul selama masa konstruksi sistem dilaksanakan.
Sumber Ancaman Alasan Aksi yang timbul
Hacker, Cracker Tantangan Ego Memberontak
Hacking Social Engineering Gangguan Sistem Akses terhadap sistem
Kriminal Perusakan Informasi Penyingkapan informasi secara ilegal Keuntungan moneter Merubah data
Tindak kriminal Perbuatan curang Penyuapan Penipuan Intrusi sistem
Teroris Surat Kaleng Perusakan Peledakan Balas Dendam
Bom/Teror Perang Informasi Penyerangan Sistem Penetrasi sistem
Mata-mata Persaingan usaha Mata-mata ekonomi
Pencurian informasi Social Engineering
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
26/54
TATA KELOLA
TEKNOLOGI INFORMASI
Penetrasi sistem
Orang dalam organisasi
Keingintahuan Ego Mata-mata Balas Dendam Kelalaian kerja
Sabotase sistem Pencurian/penipuan Perubahan data Virus, trojan, dll Penyalahgunaan komputer
Tabel 12. Contoh identifikasi risiko
Tahap 3. Analisa risiko
Pada tahap ini kebutuhan atas keamanan sistem diidentifikasi dan dikonfigurasikan, aplikasi sistem diuji-
coba dan diverifikasi. Faktor risiko dirancang guna mendukung proses pelaksanaan atas implementasi
sistem informasi, sehingga kebutuhan riil di lapangan serta pengoperasian yang benar dapat
dilaksanakan.
Vulnerability Sumber Ancaman Aksi yang timbul
ID Staff yang sudah keluar belum dihapus dari sistem
Staff yang sudah keluar Menggali informasi di dalam network perusahaan
ID Guest dibolehkan di Server XYZ Unauthorized user Memperoleh unauthorized acces ke fle sensitif
Server memperbolehkan inbound telnet
Unauthorized user, hacker atau criminal computer
Memperoleh unauthorized access ke file yang sensitif
Server memperbolehkan ping IP address diperoleh Memperoleh ip address untuk melakukan tindakan yang bisa merugikan.
Tabel 13. Contoh analisa vulnerability
Tahap 4. Evaluasi risiko
Pada tahap ini dilakukan evaluasi terhadap risiko yang telah dianalisa, agar manajemen bisa mengambil
keputusan yang tepat. Tingkatan risiko merupakan gabungan dari kemungkinan terjadinya (likelihood)
dengan dampak yang ditimbulkan (magnitude of impact).
Dari analisa di atas, manajemen akan menentukan risiko yang akan mendapat prioritas. Evaluasi
ditentukan dengan pertimbangan manajemen seperti kebijakan risiko perusahaan, pengalaman dan data
risiko lainnya.
Tipe risiko Likelihood Definition Magnitude of Impact Tingkatan Risiko
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
27/54
TATA KELOLA
TEKNOLOGI INFORMASI
Hacking, Hacker Medium High Medium
Orang dalam perusahaan, Sabotase sitem
High Medium High
Teroris, Bom / Teror Low High Low
Table 15. Table contoh analisa tingkatan risiko
Likelihood level Likelihood definition
High Kemungkinan terjadinya risiko tinggi, Potensi risiko mempunyai kemampuan yang cukup untuk mengeksploitasi vulnerability. Kontrol yang ada belum efektif untuk mencegah tereksploitasinya vulnerability.
Medium Kemungkinan terjadinya risiko medium. Namun kontrol yang diimplementasi bisa menghalangi eksploitasi vulnerability.
Low Sumber potensi risiko rendah dan kontrol yang diimplementasi bisa mencegah atau secara signifikan dapat menghalangi risiko untuk mengeksploitasi vulnerability.
Magnitude of Impact Impact Definition
High (1) Dampak yang dihasilkan bisa sangat merugikan perusahaan dalam bentuk tangible asset.
(2) Bisa secara signifikan mempengaruhi dan menghancurkan misi organisasi atau tujuan organisasi bahkan reputasi organisasi.
(3) Dampak menyebabkan kematian maupun kecelakaan serius.
Medium (1) Dampak yang dihasilkan bisa merugikan perusahaan dalam bentuk tangible asset
(2) Bisa mempengaruhi reputasi, misi atau tujuan organisasi namun tidak terlalu signifikan.
(3) Dampak menyebabkan kecelakaan.
Low (1) Dampak rendah terhadap tangible asset (2) Damapak terhadap repuasi perusahaan rendah
Tabel 14. Likelihood & Magnitude of Impact
Tahap 5. Penanganan risiko
Pada tahap ini sistem informasi yang telah berkurang kinerjanya perlu diganti dengan sistem baru yang
lebih baik. Manajemen risiko yang perlu diperhatikan dalam tahap ini adalah memastikan proses
pemusnahan atas komponen-komponen sistem informasi dapat berjalan dengan baik, terkelola dari segi
keamanan.
Risk mitigation
Mitigasi risiko adalah proses dimana risiko diidentifikasi, diprioritaskan, dievaluasi dan dikontrol agar
bisa mengurangi efek risiko tersebut. Berikut adalah beberapa tindakan kontingensi yang bisa dilakukan
untuk mengantisipasi risiko.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
28/54
TATA KELOLA
TEKNOLOGI INFORMASI
1. Risk Avoidance
Menghindari risiko dengan menyingkirkan penyebab suatu risiko. Contoh adalah mematikan
seluruh sistem atau serverjika terdeteksi adanya risiko seperti hacking atau malicious software.
2. Risk Assumption
Menghindari atau mengurangi terjadinya risiko dengan menerima potensi risiko dan melanjutkan
operasi IT atau implementasi kontrol baru.
3. Risk Limitation
Membatasi risiko dengan mengimplementasikan kontrol yang bisa meminimalisir dampak dari
eksploitasi vulnerability.
4. Risk Planning
Pengelolaan risiko dengan mengembangkan sebuah rencana mitigasi yang memprioritaskan
implementasi dan pemeliharaan kontrol.
5. Risk Transference
Memindahkan dampak yang dihasilkan dari risiko untuk kompensasi kerugian yang dihasilkan
seperti menggunakan asuransi atau pihak ketiga.
Khusus untuk penanganan risikoyang ruang lingkupnya lebih luas dan dampaknya sangat
berbahaya setelah ditafsir oleh manajemen, perlu dipersiapkan dokumen Business Continuity
Plan (BCP).
2.9.2 Monitoring dan Review
Dalam monitoring dan review yang perlu diperhatikan adalah metode monitoring, PIC yang
bertanggung jawab serta frekwensi review. Tujuannya untuk menghindari dari risiko yang tidak terduga.
2.9.3 Sosialisasi rencana tindakan risiko
Setelah tingkatan risiko diketahui selanjutnya adalah membuat rekomendasi penanganan risiko dan
mensosialisasikan ke pihak terkait. Rekomendasi tersebut meliputi beberapa
hal sebagai berikut:
1. Rekomendasi tingkat efektivitas suatu sistem secara keseluruhan
2. Rekomendasi yang berhubungan dengan regulasi dan undang-undang yang berlaku
3. Rekomendasi atas kebijakan organisasi
4. Rekomendasi terhadap dampak operasi yang akan timbul
5. Rekomendasi atas tingkat keamanan dan kepercayaan
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
29/54
TATA KELOLA
TEKNOLOGI INFORMASI
2.10 PO10 Manage Projects
Framework pengelolaan proyek meliputi master plan, pembagian tugas, deliverables, persetujuan oleh
pengguna, pendekatan bertahap untuk penyerahan output, Quality Assurance (OA), rencana pengujian,
pelaksanaan pengujian dan evaluasi pasca implementasi setelah instalasi untuk memastikan pengelolaan
risiko proyek. Pendekatan ini mengurangi munculnya risiko biaya tak terduga, meningkatkan komunikasi
dan keterlibatan manajemen untuk memastikan nilai dan mutu output proyek sesuai dengan program
investasi IT.
2.10.1 Perencanaan proyek
Perencanaan suatu proyek meliputi 3 proses utama yang dituangkan dalam dokumen project charter.
Define Scope
Ruang lingkup dari proyek harus didefinisikan secara jelas termasuk batasannya dan dibutuhkan
komitmen dari semua stakeholder yang terlibat sehingga dapat meminimalisasi deviasi dari
perencanaan proyek. Pengidentifikasian kebutuhan bisnis yang akurat dan tetap berada dalam
scope dan jalur yang benar sejak awal adalah kunci kesuksesan pengerjaan proyek. Jika terjadi
deviasi dalam proyek yang signifikan, sebaiknya meialui proses change request yang melibatkan
steering committee untuk pengambilan keputusan.
• Determine objectives
Menentukan tujuan proyek dan hasil akhir yang diinginkan, dijelaskan value added yang
dihasilkan dari proyek terkait
• Scope Planning
Mendeskripsikan secara tertu Iis scope statement dari proyek terkait, dokumen ini akan menjadi
dasar untuk keputusan-keputusan yang akan datang; apa yang termasuk dalam proyek, dan apa
yang tidak termasuk
• Scope Definition
Pengelompokan hasil yang diinginkan dari scope proyek menjadi komponen komponen yang
lebih kecil agar lebih mudah pengaturannya.
Break Down Tasks:
Activity Definition (Breakdown tasks)
Identifikasi aktifitas yang secara spesifik dilakukan untuk menghasilkan deliverables yang
diinginkan.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
30/54
TATA KELOLA
TEKNOLOGI INFORMASI
Activity Sequencing
Identifikasi dan dokumentasi interaksi aktivitas (antara satu aktivitas dan aktivitas berikutnya
atau sebelumnya).
Activity Duration Estimating
Estimasi jumlah periode kerja yang diperlukan untuk menyelesaikan satu aktivitas.
Schedule Development
Analisa urutan aktivitas, durasi, dan kebutuhan sumber daya atau resource requirement yang
diperlukan untuk menyelesaikan semua aktivitas proyek.
Allocate Resource
• Resource Planning
Menentukan sumber daya yang dibutuhkan, serta jumlahnya untuk menjalankan proyek.
• Cost Estimating
Identifikasi estimasi dari cost yang diperlukan untuk sumber daya (resources) agar bisa
menyelesaikan aktivitas proyek.
• Cost Budgeting
Pengalokasian keseluruhan dari estimasi cost ke masing-masing fungsi pekerjaan.
2.10.2 Mendefinisikan kerangka kerja projek (Project Charter).
1. Project Description
Memberi deskripsi singkat mengenai tujuan proyek. Pada bagian dibahas mengenai oportunitas,
deliverables dan jasa layanan IT yang dapat dihasilkan dari suatu proyek.
2. IT Objectives atau Success Criteria
Deskripsi secara kuantitatif hal-hal penting mengenai tujuan bisnis atau produk IT yang dapat
diukur termasuk peningkatan pendapatan, penghematan biaya, mempercepat suatu process dan
sebagainya.
3. Project Organisation
Menjelaskan secara hirarki Tim dari suatu proyek, termasuk juga Steering Committee dan
supporting member.
4. Stakeholders
Stakeholders adalah individual, group atau organisasi yang secara aktif terlibat dalam suatu
proyek, yang secara langsung terpengaruhi atau mempengaruhi hasil (outcome) dari suatu
proyek.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
31/54
TATA KELOLA
TEKNOLOGI INFORMASI
5. Vision Statement
Secara ringkas menjelaskan tujuan dari suatu proyek dan melihat bagaimana proses IT setelah
proyek selesai. Penjelasan bisa bersifat idealistis, berdasarkan realita dari keadaan lingkungan,
termasuk arsitektur informasi, strategic initiatives, cost dan keterbatasan sumber daya.
6. Project Scope
Project scope mendefinisikan batasan-batasan dari proyek yang akan dilaksanakan, dapat
didefinisikan menggunakan context diagram atau Tabel. Hal ini sangat penting untuk
mendefinisikan apa yang tidak termasuk dalam proyek, seperti pembatasan dan pengecualian
sehingga stakeholders bisa mengantisipasi apa outcome dari suatu proyek.
7. Asumsi
Menjelaskan asumsi-asumsi yang mendukung jalannya proyek. Asumsi adalah faktor eksternal
yang mempunyai potensi untuk mempengaruhi kesuksesan sebuah proyek dan berada di luar
kontrol proyek manager.
Contoh:
Asumsi:
• Semua project staff mengikuti SOP yang diberikan.
• Semua sumber daya resources tersedia dari awal proyek hingga proyek selesai.
• Sumber daya manusia yang berpengalaman dengan teknologi X, jumlahnya
signifikan untuk mendukung proyek.
• Key user selalu bekerjasama dalam tahap analisa maupun desain.
8. Constraints
Identifikasi hambatan atau halangan proyek. Constraints adalah halangan atau hambatan yang
sudah ada dan terlihat pada waktu jalannya proyek.
Constraint lebih baik diidentifikasi beserta strategi untuk menjawab limitasi tersebut, Contoh:
Constraints Response
Kurangnya skill yang dibutuhkan Training
Jam kerja yang terbatas Durasi proyek yang lebih panjang
Bandwicth yang terbatas Pengiriman data dengan cluster kecil.
9. Milestones
Identifikasi milestone atau event penting dalam durasi berjalan proyek, target date, dan individu
atau tim yang bertanggung jawab atas event tersebut.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
32/54
TATA KELOLA
TEKNOLOGI INFORMASI
Contoh Tabel:
Event Tanggal PIC
Project charter dietujui 1/1/12 HAR
Project Plan selesai 1/1/12 ARY
Project plan disetujui 1/1/12 ARY
Project team assembled 1/1/12 JHN
Tabel 16. Tabel milestone proyek
2.10.3 Penerbitan pedoman pengelolaan proyek
Menetapkan dokumen pengelolaan proyek yang isinya sepadan dengan ukuran, kompleksitas dan
peraturan masing-masing proyek yang meliputi:
Peran dan tanggung jawab
Organisasi dan Steering comitte
Lokasi/ Kantor proyek serta Project manager
Sponsor proyek
Tools yang digunakan dalam pengelolaan proyek
3. Acquire and Implement
Untuk mewujudkan strategi IT, rnaka solusi IT perlu diidentifikasi, dikembangkan atau diperoleh,
diimplementasikan danterintegrasi ke dalam proses bisnis. Selain itu, perubahan dan pemeliharaan
sistem yang ada harus sudah mencakup seluruh solusi IT, untuk memastikan bahwa solusi yang ada
akan terus memenuhi tujuan bisnis.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
33/54
TATA KELOLA
TEKNOLOGI INFORMASI
Gambar 12. Diagram Practical AI
3.1 All Identify Automated Solutions
Gambar 13. Proses Identifikasi solusi
Proses mengidentifikasi solusi dimulai dengan fase requirement analysis yang dimulai dengan
permintaan suatu solusi dari user. Permintaan user tersebut diidentifikasi dan dilakukan analisa dengan
melakukan studi kelayakan. Hasil laporan tersebutlalu diverifikasi dengan user untuk memastikan semua
requirement sudah tercangkup didalamnya. Setelah user setuju dengan studi kelayakan tersebut
dilanjutkan dengan fase definisi solusi atau fase SDLC.
3.1.1 Mendefinisikan kebutuhan bisnis dan permintaannya
User Request Request Analysis
FS
Verified? Solution DefinitionNo Yes
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
34/54
TATA KELOLA
TEKNOLOGI INFORMASI
Identifikasi stakeholder dilakukan agar dapat dengan tepat mendefinisikan kebutuhan bisnis dan
permintaannya.
Secara garis besar dapat dibagi menjadi 3 kategori, yaitu:
- Primary stakeholders: terkena dampak langsung dari proyek
- Secondary stakeholders: tidak terkena dampak langsung dari proyek
- Keystakeholders: memiliki keterlibatan yang signifikan dari proyek (dapat termasuk juga dari
dua katagori di atas)
Setelah stakeholder diidentifikasi, analisa juga requirement sesuai dengan kebutuhan bisnis serta
prioritasnya. Form user requirement dibuat untuk bisa mendokumentasikan kebutuhan user yang diisi
oleh stakeholder atau IT.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
35/54
TATA KELOLA
TEKNOLOGI INFORMASI
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
36/54
TATA KELOLA
TEKNOLOGI INFORMASI
Setelah kebutuhan bisnis dan permintaan terdefinisikan, tahap
selanjutnya adalah melakukan analisa. Untuk memudahkan analisa, kategorikan kebutuhan bisnis dan
permintaannya ke dalam 4 kategori berikut:
o Functional Requirement
Berisikan bagaimana sistem berfungsi dari sudut pandang end-user. Didefinisikan pula fitur dan
fungsi yang akan berinteraksi secara langsung dengan end-user.
o Operational Requirement
Mendefinisikan proses-prosesyang berjalan dibelakang sistem untuk menjaga aspek
fungsionalitasnya.
o Technical Requirement
Menentukan masalah teknis yang harus diperhatikan.
o Transitional Requirement
Menentukan langkah-langkah yang diperlukan agar proses transisi dan implementasi produk
berjalan dengan lancar.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
37/54
TATA KELOLA
TEKNOLOGI INFORMASI
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
38/54
TATA KELOLA
TEKNOLOGI INFORMASI
Form requirement analysis digunakan untuk menuangkan seluruh hasil analisa kebutuhan
bisnis dan permintaannya.
Salah satu tujuan analisa adalah untuk mengetahui dampak proyek terhadap bisnis dari segala aspek
seperti sumber daya, efektivitas, efisiensi dan legal, dengan menggunakan RequirementAnalysis
Document dan dokumen-dokumen pendukung lainnya.
3.1.2 Melakukan Studi Kelayakan
Studi kelayakan adalah penelitian yang menyangkut berbagai aspek dimana hasil studi kelayakan
tersebut digunakan untuk mengambil keputusan apakah suatu proyek dapat dan layak dikerjakan,
ditunda, atau bahkan tidak dijalankan. Pada tahap ini dapat juga diberikan solusi alternatif yang
memungkinkan.
Studi kelayakan (Feasibility Study) bisa mengacu ke P05.
3.1.3 Menyetujui (atau menolak) persyaratan dan hasil studi kelayakan
Manajemen sebaiknya mengevaluasi solusi yang disepakati berdasarkan studi kelayakan dan analisa
risiko. Jika disetujui, proyek dapat dilanjutkan dan dokumen FS yang sudah disetujui didistribusikan ke
seluruh stakeholder.
3.2 AI2 Acquire and Maintain Application Software
Proses ini meliputi desaindari aplikasi yang tepat, termasuksistem kontrol dan persyaratan keamanan,
serta proses pengembangan dan konfigurasi sesuai dengan standar yang sudah ditentukan.
3.2.1 Menerjemahkan kebutuhan bisnis ke dalam spesifikasi desain
Kebutuhan bisnis yang telah ditetapkan lalu diterjemahkan kedalam dokumen spesifikasi desain
program. Dokumen ini bertujuan untuk memberikan atau menetapkan arahan yang jelas untuk hasil dari
proyek yang ingin dicapai sesuai dengan kebutuhan bisnis. Desain spesifikasi program memberikan detil
panduan mengenai bagaimana dan seperti apa hasil akhir proyek (deliverables), tampilan dan interaksi
antar modul, dan bagaimana sistem tersebut diharapkan bekerja. Pada fase ini didefinisikan proses
pengembangan sistem, struktur keseluruhan sistem, dan bentuk sistem.
Dokumen desain spesifikasi program berisikan (dan tidak terbatas kepada) hal-hal berikut:
• Tampilan sistem
• Modul-modul sistem dan fungsi masing-masing modul tersebut
• Interaksi antar modul
• Batasan-batasan modul
• Tempat dan metode penyimpanan data yang digunakan
• Lingkungan yang berinteraksi dengan sistem dan lingkungan tempat sistem itu berjalan
• Keamanan sistem
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
39/54
TATA KELOLA
TEKNOLOGI INFORMASI
Desain spesifikasi dibagi menjadi 2 (dua), yaitu:
o High level design
Menggambarkan desain secara keseluruhan, mencakup juga database,arsitektur, hubungan
antar modul, data flow, flowchart, dan struktur data.
o Low level design
Menggambarkan lebih detll dari high level design. Pada spesifikasi mi didefinisikan logika
yang digunakan dalam setiap komponen, class diagram, ERD didefinisikan pada low level
design.
Fase desain sangat penting dalam keseluruhan tahap pengembangan, karena perubahan pada ase desain
dapat menjadi sangafmahal" untuk diakomodir. Untuk mendukung desain esi kasi, seringkali digunakan
teknik pemodelan seperti Entity Reiationsh,,J»gnmu Hasil akhir desain ini perlu disetujui oleh
manajemen sebaga, persetujuan bahwa desain tersebut dapat mengakomodir kebutuhan bisnis yang telah
ditetapkan sebelumnya.
3.2.2 Mengikuti standar pengembangan untuk semua modifikasi
Setelah fase pembuatan desain spesifikasi selesai, fase selanjutnya adalah Pe"3embangan sistem. Pada
fase ini harus mengikuti aturan-aturan, tahapan, dan standards, yang disebut SDLC (software
deveiopment life cycle) dimana setiap tahapannya njerneriuten pembuatan dokumentasi, laporan, dan
persetujuan dari pihak-pihak terkait. Terdapat bengal macam metodologi SDLC, dan salah satu
contohnya adalah metode waterfall.
Gambar 16. SDLC (Lampiran 5)
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
40/54
TATA KELOLA
TEKNOLOGI INFORMASI
SDLC waterfall terdiri atas rangkaian tahapan dimana hasil (output) dari setiap tahapan adalah masukan
(input) bagi tahapan berikutnya. Berikut penjelasan masing-masing tahapannya:
Feasibility
Tahapan ini menentukan apakah suatu proyek dilaksanakan atau tidak. Untuk lebih detailnya
bisa mengacu ke All.
Analysis
Menganalisa kebutuhan user dari dokumen Requirement Diagram. Key user dengan business
analyst atau fungsi yang bertanggung jawab lainnya akan mendeskripsikan kebutuhan bisnis (to-
be) beserta flow process, yang kemudian didokumentasikan dalam requirements list.
Manajemen mereview dan memutuskan mengenai rencana proyek yang akan dilakukan
diinternal atau dengan pihak ketiga.
Design
Fase dimana daftar requirement dan How process diterjemahkan dalam system design yang
mencakup interaksi dalam sistem, seperti class diagram, data flow, ERD, serta di bahas
juga tampilan sistem atau user interface.
Development
Dilakukan pengembangan sistem (programming) berdasarkan desain yang telah ditentukan dan
teknologi yang telah disepakati. Pada waktu pengembangan sistem ini pula dibuat serangkaian
tes yang akan dilakukan untuk mengecek kehandalan sistem (unit test) yang dilaksanakan oleh
programmer itu sendiri.
Test
Setelah sistem selesai dikembangkan, dilakukan pengetesan baik oleh pihak internal (QA)
ataupun eksternal (UAT). Pengetesan eksternal juga berfungsi sebagai pengecekan apakah sistem
sudah mengakomodir requirement list atau belum.
Dilakukan juga pengetesan untuk memastikan hubungan antar modul-modul berjalan dengan baik
(integration test), dan sistem berjalan pada platform yang diinginkan sesuai dengan jumlah data
yang diharapkan.
Deploy
Sistem yang telah lolos pada fase pengetesan kemudian ditempatkan dimana sistem tersebut
akan digunakan. Untuk memperkenalkan system baru rnaka perlu dilakukan pelatihan dan
dibuat dokumentasi sistem yang lengkap.
Maintenance
Pada fase ini pemeliharaan dilakukan untuk mengakomodasi perubahan yang dapat terjadi
setelah fase implementasi. Fase maintenance ini mencakup pula proses upgrade, baik major
maupun minor.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
41/54
TATA KELOLA
TEKNOLOGI INFORMASI
32.3. Memisahkan pengembangan, pengujian dan kegiatan operasiona.
Memisahkan fasilitas yang digunakan untuk pengembangan, pengujian, dan kegiatan produksi sangat
dianjurkan, hal ini untuk menekan risiko perubahan yang tidak disengaja atau akses yang tidak
dikehendaki pada perangkat lunak, dan data yang digunakan pada tahap produksi. Pemisahan fasilitas ini
juga bertujuan untuk menjaga performa lingkungan produksi agar tidak terganggu kegiatan
pengembangan dan pengujian.
Disamping dari sisi environment, perlu dibuat juga dari segi sumber daya sebgaai fungsi control dan QA
(Quality Assurance). QA atau testing tidak boleh dilakukan oleh developer system itu sendiri, namun
dilakukan oleh fungsi QA yang tidak ikut dalam fase development. Bila dimungkinkan QA dapat
dilakukan oleh pihak ketiga.
Tingkatan pemisahan antara lingkungan pengembangan, pengujian, dan kegiatan operasional perlu
diintefikasi dengan tepat, dan control yang tepat pula perlu diterapkan. Hal-hal yang perlu diperhatikan
adalah sebagai benkut.
Aturan untuk pemindahan dari tahap pengembangan menuju operasiona, sebaiknya idefinisikan
dan didokumentasikan.
Perangkat lunak pengembangan (development) dan operasional (production) berjalan pada ystem atau computer yang berbeda, dengan data yang berbeda pula.
Lingkungan pengujian dan operasional sebaiknya dibuat semirip mungkin untuk meminimalisir kegagalan fungsi system yang berjalan pada lingkungan pengujian namun gagal lingkungan
operasional.
Akses pada lingkungan operasional, baik compiler, editor, alat pengembangan lainnya, dan utilitas system hanya diperkenankan jika diperlukan.
Perubahan pada system hanya boleh diterapkan jika sudah dilakukan pengujian.
Data sensitif tidak boleh dipindahkan ke lingkungan pengembangan atau pengujian. Setiap tahapan dalam SDLC memiliki keterlibatan IT dan user yang berbeda-beda pula seperti berikut :
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
42/54
TATA KELOLA
TEKNOLOGI INFORMASI
3.3 AI3 Acquire and Maintain Technology Infrastructure
IT melakukan proses pengadaan, penerapan dan peningkatan infrastruktur teknologi. Untuk hal ini
memerlukan pendekatan terencana bagi pengadaan, pemeliharaan dan proteksi atas infrastruktur sesuai
dengan strategi teknologi yang telah disepakati untuk memastikan bahwa ada dukungan teknologi yang
berkelanjutan.
3.3.1 Membuat rencana akuisisi teknologi yang sejalan dengan rencana teknologi
infrastruktur.
Rencana akuisisi teknologi sebaiknya mengikuti dari perencanaan teknologi IT suatu perusahaan. Tabel
.dibawah menjelaskan perbedaan antara rencana akuisisi dan rencana teknologi.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
43/54
TATA KELOLA
TEKNOLOGI INFORMASI
Rencana ini perlu mempertimbangkan fleksibilitas untuk penambahan kapasitas biaya transisi,
risiko teknis dan lifetime dari investasi teknologi yang dipakai untuk keperluan upgrade
teknologi kedepannya.
Ada beberapa hal yang dilakukan dalam membuat rencana akuisisi teknologi :
1. Tentukan perangkat keras yang akan dibeli dalam menerapkan topologi jaringan yang
ada dalam organisasi perusahan.
2. Tentukan budget IT dan schedule pembelian untuk penerapan teknologi infrastruktur
yang sudah dibuat dalam topologi jaringan pada perusahaan
3. Perlu adanya SOP untuk pembelian device dan server dalam menerapkan teknolog.
tersebut, SOP ini tergantung dari kebijakan perusahaan. Flow process mengacu ke
AI5
4. Pemilihan vendor yang tepat. (mengacu ke DS2)
3.3.2 Perencanaan pemeliharaan infrastruktur
Pemeliharaan infrastruktur IT melibatkan perencanaan, perancangan, dan implementasi.
Pemeliharaan IT infrastruktur juga mencakup informasi konfigurasi sistem dan kebijakan
keamanan informasi. Informasi ini termasuk hie kata sandi, aturan akses jaringan, file akses
keamanan, pengaturan konfigurasi perangkat
keras dan perangkat lunak, dan dokumentasi yang dapat mempengaruhi akses ke data sistem
informasi
Untuk mendukung perencanaan pemeliharaan infrastruktur, ada tahap-tahap yang perlu
dilakukan:
1. Membuat dan memperbaharui dokumentasi atas asset IT, yaitu perangkat keras dan
lunak yang digunakan oleh perusahaan.
2. Membuat dan memperbaharui informasi mengenai dokumentasi dari daftardaftar
infrastruktur IT, seperti password, username dan nama server.
3. Membuat, memperbaharui dan memonitor jadwal maintenance perangkat keras dan
lunak.
4. Membuat dan memperbaharui dokumentasi konfigurasi dan setting perangkat IT.
5. Membuat dan memperbaharui dokumentasi perangkat kadaluarsa, sehingga dibuatkan
antisipasi jika terjadi kerusakan pada perangkat tersebut.
3.3.3 Pelaksanaan pengendalian internal keamanan dan kepatuhan terhadap audit
Untuk mendukung pengendalian internal keamanan dan kepatuhan terhadap audit ada beberapa
hal yang perlu dilakukan.
1. Review atas jadwal-jadwal maintenance dan backup server
2. Adanya Kebijakan IT yaitu kebijakan penggunaan data file pada perangkat IT.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
44/54
TATA KELOLA
TEKNOLOGI INFORMASI
3. Adanya audit mengenai aktivitas perbaikan pengelolaan
standar mutu mengacu ke PQ8.
3.4 AI4 Enable Operation and Use
Tersedianya pengetahuan tentang sistem baru yang meliputi dokumentasi dan petunjuk penggunaan bagi
pengguna dan personil IT, serta menyediakan pelatihan untuk memastikan penggunaan aplikasi dan
infrastruktur yang tepat.
3.4.1 Mengembangkan dan membuat dokumentasi transfer pengetahuan
Agar suatu sistem dapat dipergunakan dengan baik, diperlukan dokumentasi dan petunjuk penggunaan
(user manual). Pelatihan penggunaan aplikasi dan infrastruktur yang tepat juga memegang peranan
besar dalam pemanfaatan system agar dapat digunakan secara tepat, efektif, efisien, dan memberikan
kepuasan kepada user. Transfer pengetahuan juga perlu dilakukan sesama ITsebagai rencana Sp
kontingensi agar seluruh personil mengetahui isi dan cara kerja sistem sehingga jika diperlukan
maintenance atau troubleshoot tidak bergantung pada pembuat sistem saja.
Dalam perencanaan pelatihan, perlu diperhatikan hal-hal berikut
• Form daftar hadir
Form daftar hadir berisikan judul training, tempat dan tanggal pelaksanaan yang ditandatangan
oleh seluruh peserta. Bentuk form bisa mengacu kepada form milik HRD.
• Syllabus training
Syllabus training berisi daftar modul, materi, dan jadwal training sehingga baik pihak trainer
maupun trainee dapat mengetahui secara jelas informasi mengenai training. Bentuk syllabus
training dapat mengacu pada HR jika sudah ada, namun jika tidak ada dapat mengacu pada
contoh berikut:
3.4.2 Mengkomunikasikan dan melatih pengguna, manajemen, staf pendukung dan staf
operasional
Pelatihan akan lebih efektif jika pada saat pelaksanaan dipisahkan berdasarkan masing-masing
fungsi, dan jika diperlukan dapat dibagi pula berdasarkan kemampuan pengguna. Pelatihan dapat
dibagi menjadi:
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
45/54
TATA KELOLA
TEKNOLOGI INFORMASI
• Training kepada manajemen
Training ini bertujuan untuk memperkenalkan manajemen terhadap cara penggunaan aplikasi,
termasuk di dalamnya untuk membaca system pelaporan.
• Training kepada user
Training kepada user difokuskan pada melatih user menggunakan system secara benar dan
efisien agar menghasilkan data yang valid.
• Training kepada support/ helpdesk
Fokus pada aspek teknikal, bagaimana menyelesaikan masalah yang berhubungan dengan
sistem, dan masalah yang dapat muncul pada system itu sendiri. Pada umumnya training ini
sudah dilakukan sejak tahap QA pada proses development.
Setelah training selesai diberikan, perlu dilakukan evaluasi untuk mengetahui tingkat kepahaman user
dan sebagai tanda bahwa training telah dilakukan. Pada evaluasi ini, mintalah juga masukan-masukan
dari user menggunakan form evaluasi (bentuk form dapat mengacu pada form evaluasi milik HRD).
3.4.3 Memproduksi user manual
Setelah selesai dilakukan pelatihan, langkah terakhir dalam memperkenalkan sistem baru adalah dengan
menyebarkan user manual kepada pihak-pihak yang membutuhkan sehingga jika ada hal yang
terlewatkan atau terlupakan oleh pengguna pada waktu pelatihan, dapat dengan mudah membaca user
manual untuk menemukan solusinya. Seluruh dokumentasi sebaiknya ditata dengan rapi, terstruktur dan
ditempatkan dimana orang yang membutuhkan dapat mencari dan menggunakannya.
3.5 AI5 Procure IT Resources
Sumberdaya IT, termasuk jajarannya, seperti perangkat keras, perangkat lunak dan layanan perlu
disiapkan. Hal ini memerlukan prosedur pengadaan, pemiiihan vendor, penetapan kontrak dan proses
akuisisi itu sendiri. Dengan melakukan hal tersebut, perusahaan dapat memenuhi kebutuhan sumber daya
IT yang diperlukan secara efektif dan tepat waktu serta biaya yang efisien.
3.5.1 Menentukan prosedur dan standar pengadaan
Prosedur pengadaan barang dan jasa IT disesuaikan dengan kebijakan masing-masing perusahaan,
berikut contoh prosedur pengadaan barang dan jasa IT
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
46/54
TATA KELOLA
TEKNOLOGI INFORMASI
Gambar 17. Contoh proses pengadaan barang
1. Pemohon mengisi form permintaan barang dan jasa IT
2. IT melakukan verifikasi terhadap permintaan pemohon dan dicek juga dari sisi budget IT.
3. IT menentukan spesifikasi barang permintaan IT dan mengirimkan ke bagian purchasing.
4. Bagian purchasing melakukan pembelian sesuai dengan SOP yang berlaku (SOP
pengadaan barang jasa masing-masing perusahaan).
5. Pada saat penerimaan barang, pihak IT perlu memverifikasi apakah barang yang dipesan
sudah sesuai.
6. IT mencatat data barang tersebut sebagai asset IT, lalu menyerahkan kepada pemohon.
3.5.2 Proses pengadaan perangkat keras, lunak dan jasa sesuai dengan prosedur
yang ditetapkan
- Prosedur pengadaan sumber daya manusia mengacu ke Panduan Praktis People Management
baik untuk staff internal ataupun outsourcing. Pihak IT sebaiknya bekerjasama dengan pihak
HRD untuk pengadaan sumber daya manusia.
- Menyusun kebijakan atau prosedur kontrak yang jelas dengan pihak ketiga (mengacu ke DS2)
dalam menyediakan pengadaan perangkat IT, baik mengenai jangka waktu kontrak, hak dan
kewajiban, serta investasi yang perlu dikeluarkan untuk kontrak pengadaan perangkat IT.
3.5.3 Konsultasi hukum dan kontrak dengan para professional
User request asset
RequestForm
Analyze UserRequirement
RequestForm
Verified
No
Purchasing
RequestForm
AssetSpec
Receive Asset from Vendor
Verified item?
Document and submission
UsersSign off
Yes
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
47/54
TATA KELOLA
TEKNOLOGI INFORMASI
Isi dari setiap kontrak dengan pihak ketiga sebaiknya dilegalisir oleh pihak legal masingmasing
perusahaan. Point-point yang perlu diperhatikan oleh pihak IT pada saat draft
kontrak:
1. Jangka waktu kontrak.
2. SLA & eskalasi masalah.
3. Warranty.
4. Memiliki office representative di Indonesia.
5. Penalty terhadap ketidakmampuan kedua belah pihak.
3.6 AI6 Manage Changes
Setiap perubahan pada sistem aplikasi maupun infrastruktur di lingkungan produksi,
sebaiknya dikelola, diuji dan dimonitor mengacu kembali ke SDLC yang dibahas di AI2.
3.6.1 Menentukan dan mengkomunikasikan prosedur perubahan, termasuk
perubahan darurat
Setiap sistem memerlukan perubahan untuk menjaga/ meningkatkan performa, baik
dari segi aplikasi maupun infrastruktur. Setiap permintaan perubahan pada sistem dan
perubahannya perlu terdokumentasi dengan jelas.
Berdasarkan tingkat urgensi, perubahan dapat dibagi menjadi 2 kategori yaitu:
1. Ad Hoc Change
Adalah perubahan yang terencana. Ad hoc change bisa disebabkan karena ada
kebutuhan yang baru muncul setelah fase implementasi (post implementation review).
2. Emergency Change
Perubahan ini dibutuhkan secara tiba-tiba tanpa direncakan, dan perlu dilakukan
perubahan secepatnya. Yang dapat termasuk pada kategori ini adalah:
- Perubahan untuk mengkoreksi sistem/ alur bisnis
- Perubahan untuk melindungi perusahaan (contoh: perubahan regulasi pemerintah)
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
48/54
TATA KELOLA
TEKNOLOGI INFORMASI
Gambar 18. Prosedur Manajemen Perubahan
Change Request
Analyze Request
Approval?
Done
No
Emergency?Yes
SDLC
No
ImpactAnalysis
Yes Develop Change
Testing
Success?
ImplementChanges
Change Report, Update Versioning
Done
Yes
No
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
49/54
TATA KELOLA
TEKNOLOGI INFORMASI
Form permintaan perubahan digunakan untuk meminta perubahan akan aplikasi/
infrastruktur. Pada form ini dijelaskan identifikasi masalah dan perubahan yang perlu
dilakukan. Permintaan perubahan ini akan dianalisa oleh manajemen dan diputuskan
apakah perlu dilaksanakan atau tidak, dan kategori prioritas perubahan.
Jika perubahan ini adalah perubahan ad-hoc, rnaka lakukan fase SDLC yang mengacu
kepada AI2, namun Jika perubahan ini termasuk dalam kategori emergency, sesuaikan
dengan prosedur diatas.
Setelah implementasi, lakukan proses evaluasi untuk melihat apakah perubahan yang
dilakukan sudah sesuai dengan hasil yang diharapkan atau belum. Setelah perubahan selesai
dikembangkan, koordinasikan dengan pihak terkait mengenai jadwal implementasi.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
50/54
TATA KELOLA
TEKNOLOGI INFORMASI
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
51/54
TATA KELOLA
TEKNOLOGI INFORMASI
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
52/54
TATA KELOLA
TEKNOLOGI INFORMASI
\
3.6.2 Mengevaluasi, membuat prioritas dan mensahkan perubahan
Emergency change selalu mendapatkan prioritas utama, sesuai dengan prosedur
emergency di atas. Pada kategori Ad Hoc Change, perlu diatur pula masing-masing
prioritasnya agar dapat dilihat perubahan mana yang perlu dilakukan terlebih
dahulu. (dapat mengacu ke POl)
3.6.3 Memantau status dan pelaporan atas setiap perubahan
IT memastikan perubahan yang dilakukan tidak memberi kendala pada sistem,
sedangkan user memastikan perubahan sesuai dengan permintaan. Pemantauan
atas perubahan dilakukan dengan melihat perubahan yang berlangsung dan juga
perubahan-perubahan yang pernah dilakukan sebelumnya. Setiap ada perubahan
perlu dicatat secara mendetil dalam bentuk log report mengenai perubahan apa
yang dilakukan, bagian sistem yang diubah, alasan dan tujuan dilakukan perubahan,
waktu, kendala dan PIC perubahan tersebut.
Perlu dilakukan review secara berkala terhadap SOP, yang pada umumnya dilakukan
oleh Management Development atau Quality Management. Review ini berguna
untuk melihat apakah perlu diadakan perubahan pada SOP (dan/ atau sistem) untuk
meningkatkan efektivitas dan kinerja sistem dalam mendukung bisnis.
3.7 AI7 Install and Accredit Solutions and Changes
Sistem baru digunakan setelah pengembangan selesai dengan meialui tahapan pengujian
yang tepat, sampai dengan migrasi sistem ke tahap operasional (go live) dan evaluasi
pasca implementasi. Hal ini menjamin bahwa sistem operasional sesuai dengan harapan
yang disepakati dan begitu juga dengan hasilnya.
3.7.1 Menetapkan metodologi tes
Dua tipe utama testing adalah white box dan black box testing.
White box testing adalah tipe tes yang mengacu kepada struktur program tersebut,
bukan kepada fungsinya saja biasanya digunakan pada proyek implementasi sistem
baru.
Namun Black box testing juga bisa digunakan jika adanya keterbatasan waktu,
karena black box testing adalah testing yang hanya mengacu kepada fungsi dari
aplikasi tersebut tanpa melihat struktur program terutama pada aplikasi yang sudah
berjalan.
Tes dilaksanakan setelah program selesai dikembangkan dan sebelum program
diimplementasikan atau LIVE. Beberapa tes yang dijalankan adalah sebagai
berikut:
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
53/54
TATA KELOLA
TEKNOLOGI INFORMASI
• Tes terhadap fungsi sistem dan perangkatnya baik secara parsial maupun
terintegrasi.
• Tes terhadap keamanan sistem, termasuk hak akses masing-masing pengguna,
data ownership, testing firewall dan sebagainya.
• Tes terhadap data, seperti fasilitas backup, rollback dan sebagainya.
• Migration test, dimana prosespemindahan dari development keserverlingkungan
produksi dilakukan pengujian.
Jika ada perubahan pada sistem atau perubahan kebutuhan yang terjadi selama
testing atau setelah testing, mengacu kembali ke AI6. Didalamnya dijelaskan
prosedur perubahan sistem termasuk perubahan darurat. Adapun standar yang
dapat dikembangkan dimasing-masing perusahaan untuk pengujian, contohnya
adalah sebagai berikut:
Programmer / internal testing
• Secara program tidak ada error.
• Data dengan database terintegrasi.
• Konsistensi tampilan atau interface.
System Analyse / System testing / Integrity testing
• Secara business process tidak ada error (flow proses mengikuti RD)
• Data dengan database terintegrasi
• Testing integritas antar proses atau antar module
QA / Quality Assurance
• Melaksanakan testing aplikasi atau sistem secara keseluruhan
• Menguji konsistensi, kejelasan, dan efektifitas tampilan, seperti shortcut, tab, tooltip dan
sebagainya.
• Testing integritas data dengan database.
Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]
KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA
54/54
TATA KELOLA
TEKNOLOGI INFORMASI