URAIAN PROSES DS1 Gambarkan dan Kelola Tingkat Layanan Komunikasi efektif antara manajemen IT dan pelanggan bisnis mengenai layanan yang diperlukan adalah dimungkinkan oleh definisi terdokumentasi dan persetujuan atas layanan IT dan tingkat layanan. Proses ini juga termasuk mengawasi dan melapor rutin pada stakeholders atas pencapaian dari tingkat layanan. Proses ini memungkinkan keselarasan antara layanan IT dan persyaratan bisnis yang berhubungan.
Kendali atas proses IT dari Gambarkan dan Kelola tingkat layanan yang memenuhi pesyaratan bisnis untuk IT dari memastikan keselarasan dari kunci layanan IT dengan strategi bisnis dengan berfokus pada mengidentifikasi persyaratan layanan, setuju atas tingkat layanan dan pengawasan pencapaian dari tingkat layanan adalah dicapai dengan Memformalkan persetujuan internal dan eksternal sejalan dengan persyaratan dan kemampuan pemenuhan Melaporkan atas tingkat pelayanan pencapaian (laporan dan pertemuan) Mengidentifikasi dan mengkomunikasikan persyaratan layanan baru dan diperbaharui ke rencana strategis
•
• •
dan diukur dengan Persen dari stakeholder bisnis yang puas pada pemenuhan layanan yang mencapai tingkat yang disetujui Banyaknya layanan pemenuhan tidak ada dalam katalog Banyaknya pertemuan review formal SLA dengan pelanggan bisnis dalam setahun •
• •
ENDALI TUJUAN K ENDALI DS1 Gambarkan dan Mengelola Tingkat Layanan DS1.1 Tingkat Layanan Manajemen Framework Menggambarkan sebuah framework yang menyediakan tingkat layanan proses manajemen antara pelanggan dan penyedia layanan. Framework harus dirawat menerus selaras dengan persyaratan bisnis dan prioritas dan memfasilitasi pengertian yang sama antara pelanggan dan penyedia. Framework harus termasuk proses untuk menciptakan persyaratan layanan, definisi layanan, SLA, OLA dan sumber yang disediakan. Atrbut ini harus diorganisasi dalam katalog layanan, tugas dan tanggung jawab dari penyedia layanan internal dan eksternal dan pelanggan. DS1.2 Definisi dari Layanan Gambaran dasar dari layanan IT atas karakter layanan dan persyaratan bisnis. Pastikan mereka teroganisisr dan disimpan terpusat lewat implementasi dari pendekatan portfolio katalog layanan DS1.3 Persetujuan Tingkat Layanan Gambaran dan setuju pada SLA untuk semua layanan kritis IT atas persyaratan pelanggan dan kemampuan IT. Ini harus melingkupi komitmen pelanggan; persyaratan dukungan layanan; ukuran kuantitatif dan kualitatif untuk mengukur layanan yang ditugaskan oleh stakeholder; persetujuan pembiayaan dan komersial, jika ada; dan peran dan tanggungj tanggungjawab, awab, termasuk kekeliruan kekeliruan SLA. Pikirkan Pikirkan hal seperti ketersediaan, ketersediaan, kehandalan, kehandalan, performansi, kapasitas tumbuh, tingkat dukungan, rencana berkelanjutan, keamanan dan batas permintaan. DS1.4 Persetujuan Tingkat Operasi Gambaran OLA yang menjelaskan bagaimana layanan akan secara teknis dipenuhi untuk mendukung SLA dalam sebual perlakuan yang formal. OLA harus menjelaskan proses teknis dalam hal yang berarti untuk penyedia dan dapat mendukung beberapa SLA DS1.5 Pengawasan dan Laporan Pencapaian Tingkat Layanan Secara menerus mengawasi kriteria performansi tingkat layanan yang spesifik. Laporan atas pemenuhan tingkat layanan harus disediakan dalam bentuk yang berarti pada stakeholder. Statistik pengawasan harus dianalisa dan dilakukan selalu untuk menggambarkan tren negatif dan positif untuk layanan individu seperti layanan untuk semua. DS1.6 Pemeriksaan dari Persetujuan Tingkat Layanan dan Kontrak Pemeriksaan reguler SLA dan kontrak penyokong dengan penyedia layanan internal dan eksternal untuk memastikan agar mereka efektif dan diperbaharui dan perubahan dalam persyaratan telah dihitung.
PETUNJUK MANAJEMEN DS1 Gambarkan dan Mengelola Tingkat Layanan
EMATANGAN MODEL K EMATANGAN DS1 Gambarkan dan Mengelola Tingkat Layanan Proses dari manajemen dari Gambaran dan Mengelola Tingkat Layanan yang memuaskan persyaratan bisnis untuk IT agar memastikan keselarasan dari layanan kunci IT dengan strategi bisnis adalah:
0 Tidak eksis ketika Manajemen tidak mengenal perlunya dari proses untuk menggambarkan tingkat layanan. Akuntabilitas dan tanggung jawab untuk mengawasi mereka tidak dilaksanakan 1 Inisial/Ad Hoc ketika Ada keperd keperduli ulian an dari dari keperl keperluan uan untuk untuk mengel mengelola ola tingka tingkatt layana layanan, n, tapi tapi prosesn prosesnya ya inform informal al dan reaktif reaktif.. Tanggung jawab dan akuntabilitas untuk menggambarkan dan mengelola layanan tidak didefinisikan. Jika ukuran ukuran performansi performansi ada, mereka hanya kualitatif dengan definisi tujuan yang tidak cocok. cocok. Pelaporan Pelaporan adalah informal, tidak sering dan tidak konsisten. 2 Berulang tapi dengan Intuisi ketika Terdapat tingkat layanan yang disetujui, tapi mereka informal dan tidak diperiksa. Pelapporan tingkat layanan tidak lengkap dan tidak berhubungan atau menyesatkan pelanggan. Pelaporan tingkat layanan adalah bebas dari dari keteram keterampila pilan n dan inisiat inisiatif if dari dari manajer manajer perseo perseoran rangan gan.Se .Sebua buah h tingka tingkatt koordi koordinat nator or ditunj ditunjuk uk dengan dengan tanggung tanggung jawab yang didefinisi,ta didefinisi,tapi pi otoritas otoritas dibatasi. dibatasi. Jika proses kompilasi pada SLA ada, adalah suka rela dan tidak dipaksa. 3 Terdefinisi ketika Tanggung Tanggung jawab digambarkan digambarkan jelas, tapi otoritas disembunyikan disembunyikan.. Proses pengembanga pengembangan n SLA ada di tempat dengan dengan pemeriksaan pemeriksaan untuk pengujian pengujian ulang tingkat layanan dan kepuasan pelanggan. pelanggan. Kegagalan tingkat layanan digambarkan, tapi prosedur untuk mengatasi kegagalan adalah informal. Ada hubungan jelas antara tingkat layanan yang diharapkan dicapai dan pembiayaan disediakan. Tingkat layanan disetujui, tapi tidak merujuk pada kebutuhan bisnis. 4 Terkelola dan Terukur ketika Tingkat layanan secara bertambah digambarkan dalam fase definisi persyaratan sistem dan dikorporasi ke dalam rancangan dari aplikasi dan lingkungan operasi. Kepuasan pelanggan secara rutin diukur dan diuji. Performansi diukur memperlihatkan kebutuhan pelanggan, daripada tujuan IT. Ukuran untuk menguji dan tingkat layanan menjadi berstandar dan menunjukkan norma industri. Kriteria untuk menggambarkan tingkat layana layanan n adalah adalah berdasa berdasarr pada pada kritis kritis bisnis bisnis dan termas termasuk uk kesedi kesediaan aan,, kehand kehandala alan, n, perfor performan mansi, si, kapasit kapasitas as tumbuh, dukungan pengguna, rencana berketerusan dan konsiderasi keamanan. Analisa root cause dilakukan rutin rutin ketika ketika tingka tingkatt layana layanan n tidak tidak tercap tercapai. ai. Proses Proses pelapo pelaporan ran untuk untuk mengaw mengawasi asi tingka tingkatt layana layanan n menjad menjadii bertambah otomatis. Operasi dan resiko finansial dihubungkan dengan tingkat layanan yang tidak disetujui, digambarkan dan secara jelas dipahami. Sistem formal dari pengukuran dinyatakan dan dirawat. 5 Optimasi ketika Tingkat layanan secara menerus di evaluasi ulang untuk memastikan keselaranan dari IT dan tujuan bisnis, ketika mengambil mengambil keuntungan keuntungan teknologi, teknologi, termasuk termasuk rasio cost-benefit. cost-benefit. Semua proses manajemen manajemen tingkat tingkat layanan adalah keharusan untuk perkembangan berkelanjutan. Tingkat kepuasan pelanggan secara menerus diawasi dan dikelola. dikelola. Tingkat Tingkat layanan layanan yang diharapkan diharapkan memperlihatk memperlihatkan an tujuan strategis dari unit bisnis dan dievaluasi terhadap norma industri. Manajemen IT mempunyai sumber dan akuntabilitas yang diperlukan untuk mencapai target tingkat layanan, dan kompensasi distrukturisasi untuk menyediakan insentif untuk menc mencap apai ai targe targett ini. ini. Mana Manaje jeme men n senio seniorr meng mengaw awasi asi ukur ukuran an perfo perform rman ansi si seba sebaga gaii bagi bagian an dari dari pros proses es perkembangan berkelanjutan.
URAIAN PROSES DS2 Mengelola Layanan Pihak-ketiga Perlunya untuk memastikan pelayanan diberikan oleh pihak ketiga (pemasok, penjaja dan partner) memenuhi persyaratan bisnis memerlukan proses manajemen pihak ketiga yang efektif. Proses ini dicapai dengan secara jelas menggambarkan peran, tanggung jawab dan ekspektasi dalam persetujuan pihak ketiga sebaik memeriksa dan mengawasi semacam persetujuan untuk keefektifan dan kepemenuhan. Manajemen yang efektif dari layanan pihak ketiga mengurangi resiko bisnis yang berhubungan dengan ketidak performnya pemasok.
Kendali atas proses IT dari Mengelola layanan pihak ketiga yang memenuhi pesyaratan bisnis untuk IT dari menyediakan pemuasan layanan pihak ketiga ketika sedang bertransparan tentang keuntungan, biaya dan resiko dengan berfokus pada membangun hubungan dan tanggung jawab bilateral dengan penyedia layanan pihak ketiga yang berkualifikasi dan mengawasi pemenuhan layanan untuk menguji dan memastikan ketaatan pada persetujuan adalah dicapai dengan Identifikasi dan mengkategori layanan pemasok • Identifikasi dan mitigasi resiko pemasok • Pengawasan dan mengukur perfomansi pemasok • dan diukur dengan Banyaknya pengaduan pelanggan pada layanan yang dikontrakkan • Persen dari pemasok besar memenuhi secara jelas persyaratan yang • didefinisikan dan tingkat layanan Persen dari pemasok besar yang ditugaskan untuk pengawasan •
K ENDALI TUJUAN DS2 Mengelola Layanan Pihak-ketiga DS2.1 Identifikasi dari Semua Hubungan Pemasok Menggambarkan semua layanan pemasok, dan mengkategori mereka sesuai dengan tipe pemasok, signifikasi dan kritikalisasi. Merawat dokumentasi formal dari hubungan teknis dan dan organisasional meliputi peran dan tanggungjawab, tujuan, pencapaian yang diharapkan, dan mandat dari perwakilan para pemasok ini. DS2.2 Manajemen Hubungan Pemasok Memformalkan manajemen proses hubungan pemasok untuk tiap pemasok. Pemilik hubungan harus melayani pelanggan dan masalah pemasok dan memastikan kualitas dari hubungn didasarkan atas kepercayaan dan transparansi (misal lewat SLA). DS2.3 Manajemen Resiko Pemasok Mengidentifikasi dan mitigasi resiko yang berhubungan dengan kemampuan pemasok untuk terus memenuhi layanan efektif dalam sebuah perilaku aman dan efisien atau dasar keberlanjutan. Memastikan kontrak memenuhi standar universal bisnis dalam keterhubungan dengan hukum dan persyaratan regulator. Manajemen resiko harus terus mempertimbangkan non-disclosure agreement (NDA), kontrak wasiat,kelangsungan hidup pemasok berkelanjutan, memenuhi persyaratan keamanan, pemasok alternatif, hukuman dan hadiah, dll. DS2.4 Pengawasan Performansi Pemasok Membangun sebuah proses untuk mengawasi pemenuhan layanan untuk memastikan agar pemasok memenuhi persyaratan bisnis yang ada dan terus taat pada persetujuan kontrak dan SLA, dan performanya kompetitif dengan pemasok alternatif dan kondisi pasar.
PETUNJUK MANAJEMEN DS2 Mengelola Layanan Pihak-ketiga
MODEL K EMATANGAN DS2 Mengelola Layanan Pihak-ketiga Manajemen dari proses untuk Mengelola Layanan Pihak ketiga yang memenuhi persyaratan bisnis untuk IT dari penyediaan kepuasan layanan pihak ketiga ketika sedang bertransparan tentang keuntungan, biaya, dan resiko adalah:
0 Tidak eksis ketika Tanggung jawab dan akuntabilitas tidak digambarkan. Tidak ada kebijakan formal dan prosedur tentang berkontrak dengan pihak ketiga. Layanan pihak ketiga adalah disetujui atau tidak diperiksa oleh manajemen. Tidak ada ukuran aktifitas manajemen dan tidak ada laporan oleh pihak ketiga. Ketidak hadiran kewajiban kontrak untuk laporan, manajemen senior tidak perduli atas kualitas dari layanan yang dipenuhi. reporting, senior management is not aware of the quality ofthe service delivered. 1 Inisial/Ad Hoc ketika Manajemen perduli akan perlunya untuk mendokumentasikan kebijakan dan prosedur untuk manajemen pihak ketiga, termasuk kontrak yang ditangani. Tidak ada syarat standar persetujuan dengan penyedia layanan. Ukuran dari layanan yang disediakan adalah informal dan reaktif. Praktek nya bebas pada pengalaman (misalnya permintaan) dari individu dan para pemasok. 2 Berulang tapi dengan Intuisi ketika Proses untuk mengatur penyedia layanan pihak ketiga, resiko yang berhubungan dan pemenuhan dari layanan adalah informal. Kontrak pro forma yang ditandatangani digunakan dengan standar syarat penjaja dan kondisi (seperti deskripsi layangan yang harus disediakan). Laporan atas layanan yang disediakan ada, tapi tidak mendukung tujuan bisnis. 3 Terdefinisi ketika Prosedur terdokumentasi secara baik adalah tempat untuk mengelola layanan pihak ketiga, dengan proses yang jelas untuk memelihara dan negosiasi dengan penjaja. Ketika sebuah persetujuan untuk menetapkan layanan telah dibuat, hubungan dengan pihak ketiga adalah murni secara satu kontrak. Perilaku dari layanan yang disediakan dirinci dalam kontrak dan termasuk persyaratan legal, operasi dan kendali. Ada tanggung jawab untuk mengatur layanan pihak ketiga telah ditugaskan. Syarat kontrak didasarkan pada template standar. Resiko bisnis dihubungkan dengan layanan pihak ketiga diuji dan dilaporkan. 4 Terkelola dan Terukur ketika Kriteria formal dan standar dibangun untuk menggambarkan syarat dari perhubungan, termasuk lingkup kerja, layanan/pemenuhan yang harus disediakan, asumsi, jadwal, biaya, pengaturan penagihan dan tanggung jawab. Tanggung jawab untuk kontrak dan manajemen penjaja ditugaskan. Kualifikasi penjaja, resiko dan kemampuan diperiksa pada dasar keberlanjutan. Persyaratan bisnis didefinisikan dan dihubungkan pada tujuan bisnis. Sebuah proses terjadi untuk diperiksa performansi layanan terhadap syarat kontrak, menyediakan masukan untuk menguji layanan pihak ketiga yang berlangsung dan masa depan. Model transfer harga digunakan dalam proses penyediaan. Semua pihak dilibatkan perduli pada layanan, biaya dan harapan pencapaian. Ada tujuan yang disetujui dan ukuran untuk mengatur penyedia layanan. 5 Optimasi ketika Kontrak yang ditandatangani dengan pihak ketiga diperiksa secara periodik pada interval yang digambarkan sebelumnya. Tanggung jawab untuk mengelola pemasok dan kualitas dari layanan yang tersedia ditugaskan. Bukti dari kontrak sesuai dengan operasional, legal, dan kendali ketetapan diawasi, dan kegiatan membetulkan dipaksakan. Pihak ketiga ditugaskan untuk diperiksa sendiri secara periodik, dan feedback performansi disediakan dan digunakan untuk meningkatkan pemenuhan layanan. Ukuran bervariasi pada respon kondisi bisnis yang berubah. Ukuran mendukung terlihatnya potensi masalah dengan layanan pihak ketiga. Definisi pelaporan pencapaian tingkat layanan komprehensif terhadap kompensasi pihak ketiga. Manajemen mengatur proses akusisi pihak ketiga dan mengawasi berdasarkan ukuran.
DESKRIPSI PROSES DS3 Mengelola Performansi dan kapasitas Kebutuhan untuk mengelola performansi dan kapasitas sumber daya teknologi informasi membutuhkan proses tinjauan secara periodik terhadap performansi dan kapasitas sumber daya teknologi informasi saat ini. Proses ini meliputi peramalan kebutuhan masa depan berbasiskan beban kerja, penyimpanan dan keperluan kontigensi. Proses ini memberikan jaminan bahwa sumber daya informasi medukung kebutuhan bisnis dan selalu tersedia.
Kontrol terhadap proses TI dari Mengelola performansi dan kapasitas yang memenuhi kebutuhan bisnis bagi TI dari Mengoptimalkan performansi infrastruktur TI, sumber daya dan kapabilitas dalam merespon kebutuhan bisnis dengan memfokuskan pada Memenuhi waktu respon dari SLAs, meminimasi downtime, dan mengembangkan performansi TI dan kapasitas secara berkelanjutan dengan proses pemantauan dan pengukuran dicapai dengan Perencanaan dan menyediakan kapasitas sistem dan ketersediaan Memantau dan melaporkan performansi sistem Memodelkan dan meramalkan performansi sistem • • •
dan diukur dengan Berapa jam yang hilang per pengguna per bulan yang disebabkan perencanaan kapasitas yang tidak cukup Persentase dimana target pemanfaatan terpenuhi Persentase waktu respon SLAs yang tidak terpenuhi •
• •
TUJUAN K ONTROL DS3 Mengelola Performansi dan kapasitas DS3.1 Perencanaan Performansi dan kapasitas Menentukan proses perencanaan untuk meninjau performansi dan kapasitas sumberdaya TI untuk memastikan biaya yang pantas pada kapasitas dan performansi yang tersedia untuk proses sesuai dengan beban kerja yang telah ditentukan dengan SLAs. Perencanaan kapasitas dan performansi harus mempengaruhi teknik pemodelan yang tepat untuk memproduksi model saat ini dan performansi yang diramalkan, kapasitas dan sumberdaya TI. DS3.2 Performansi dan kapasitas saat ini Menguji performansi dan kapasitas sumber daya TI saat ini untuk menentukan apakah kapasitas dan performansi saat ini cukup untuk mengirim terhadap level layanan yang disetujui. DS3.3 Performansi dan kapasitas masa depan Meramalkan tingkah laku kapasitas dan performansi dan sumberdaya TI pada interval reguler untuk meminimalisir resiko dari gangguan layanan yang disebabkan kapasitas yang tidak cukup atau penurunan performansi, dan mengidentifikasi kelebihan kapasitas untuk penyebaran ulang yang dimungkinkan. Mengidentifikasi tren beban kerja dan menentukan peramalan sebagai masukan untuk rencana performansi dan kapasitas. DS3.4 Ketersediaan Sumber Daya TI Menyediakan performansi dan kapasitas yang dibutuhkan, disesuaikan dengan aspek-aspek seperti beban kerja normal, segala kemungkinan, kebutuhan penyimpanan dan lingkaran hidup sumber daya teknologi informasi. Menentukan prioritas aktivitas, mekenisme toleransi kesalahan dan praktik mengalokasikan sumber daya harus dibuat. Manajemen harus memastikan segala kemungkinan rencana-rencana ketersediaan, kapasitas dan performansi dari setiap sumber daya TI DS3.5 Pemantauan dan Pelaporan Memantau performansi dan kapasitas sumber daya TI secara berkelanjutan. Pengumpulan data harus menyediakan dua fungsi : Untuk melakukan perawatan dan perbaikan performansi saat ini dalam TI untuk memahami isu-isu seperti kemungkinan, beban kerja saat ini dan yang direncanakan, rencana-rencana penyimpanan, dan akuisisi sumber daya. Melaporkan hasil layanan yang tersedia untuk bisnis, sesuai dengan yang ditentukan oleh SLAs •
•
Seluruh perusahaan kecuali laporan-laporan dengan rekomendasi untuk aksi perbaikan
PEDOMAN MANAJEMEN DS3 Mengelola Performansi dan Kapasitas
MODEL K EMATANGAN DS3 Mengelola Performansi dan Kapasitas Manajemen dari proses Mengelola performansi dan kapasitas yang memenuhi kebutuhan bisnis untuk TI dari mengoptimalkan performansi infrastruktur TI, sumber daya dan kapabilitas dalam merespon kebutuhan bisnis adalah :
0 Tidak Tersedia ketika Manajemen tidak mengenali kunci proses bisnis mungkin membutuhkan level tinggi performansi dari TI atau seluruh kebutuhan bisnis untuk layanan TI mungkin melebihi kapasitas. Tidak ada proses perencanaan yang tersedia. 1 Inisial / Ad Hoc ketika Pengguna merencanakan performansi dan kapasitas saat dibutuhkan. Apresiasi terhadap perencanaan performansi dan kapasitas oleh pemilik proses bisnis sangat sedikit. Aksi yang diambil terhadap pengelolaan performansi dan kapasitas biasanya reaktif. Proses perencanaan kapasitas dan performansi dilakukan secara informal. Pemahaman terhadap performansi dan kapasitas sumber daya TI saat ini maupun masa depan terbatas. 2 Diulang tetapi berdasarkan intuisi ketika Bisnis dan manajemen TI waspada terhadap dampak dari tidak dikelolanya performansi dan kapasitas. Kebutuhan performansi baiasanya dipenuhi berdasarkan pengujian sistem individual dan pengetahuan tim proyek dukungan. Beberapa tool individual mungkin digunakan untuk mendiagnosa permasalahan performansi dan kapasitas, tetapi konsistensi hasil tergantung keahlian individual-individual kunci. Tidak ada pengujian keseluruhan terhadap kapabilitas performansi atau pertimbangan puncak dan kasus terburuk situasi beban. Permasalahan ketersediaan seperti terjadinya hal yang tidak diperkirakan membutuhkan waktu untuk mendiagnosa dan mengkoreksi. Pengukuran performansi berdasarkan kebutuhan TI dan bukan berdasarkan kebutuhan kustomer. 3 Terdefinisi ketika
Kebutuhan performansi dan kapasitas sudah terdefinisi melalui sistem lingkaran hidup. Tersedianya kebutuhan level layanan dan matrik yang dapat digunakan untuk mengukur performansi operasional. Kebutuhan performansi dan kapasitas masa depan sudah dimodelkan mengikuti proses-proses yang didefinisikan. Laporan memuat statistik performansi. Meskipun level layanan sudah dipublikasikan, pengguna dan kustomer mungkin merasa skeptis terhadap kapabilitas layanan.
4 Dikelola dan Diukur ketika Proses-proses dan tool yang tersedia digunakan untuk mengukur sistem yang dipakai, performansi dan kapasitas, dan hasil dibandingkan dengan tujuan yang sudah didefinisikan. Informasi yang up-to-date tersedia, memberikan statistik standar performansi dan peringatan terhadap insiden yang disebabkan oleh performansi dan kapasitas yang tidak cukup. Tool otomatisasi digunakan untuk memantau sumber daya spesifik, seperti ruang disk, jaringan, server dan gerbang jaringan. Statstik performansi dan kapasitas dilaporkan dalam proses bisnis yang terkait, sehingga pengguna dan kustomer memahami level layanan TI. Biasanya pengguna merasa puas dengan kapabilitas layanan dan mengharapkan peningkatan level ketersediaan. Matrik untuk pengukuran performansi dan kapasitas TI sesuai tetapi mungkin hanya secara sporadis dan diterapkan secara tidak konsisten 5 Optimal ketika Rencana performansi dan kapaistas sepenuhnya singkron dengan permintaan bisnis yang diramalkan. Infrastruktur TI dan permintaan bisnis sesuai dengan tinjauan regular untuk memastikan kapasitas optimal dicapai dengan biaya yang kecil. Tool untuk pemantauan sumber daya kritis TI distandarisasi dan digunakan pada seluruh platform dan dihubungkan dengan sistem manajemen insiden seluruh organisasi. Tool pemantauan mendeteksi dan secara otomatis mengkoreksi permasalahan terhadap performansi dan kapasitas. Tren analisis dilakukan dan memperlihatkan permasalahan performansi yang disebabkan meningkatnya volume bisnis, perencanaan dan menghindarkan dari permasalahan yang tidak diperkirakan. Matrik untuk mengukur performansi dan kapasitas TI sudah ditingkatkan pada hasil pengukuran dan indikator performansi untuk seluruh proses bisnis kritis dan diukur secara konsisten. Manajemen melakukan pengukuran berdasarka hasil analisis pengukuran
DESKRIPSI PROSES DS4 Memastikan Layanan Berkelanjutan Kebutuhan untuk menyediakan pengembangan kebutuhan layanan TI yang berkelanjutan, rencana perawatan dan testing TI secara kotinuitas, fungsi backup penyimpanan dan rencana pelatihan secara periodik. Efektifitas proses layanan yang berkelanjutan meminimalisir kemungkinan dan dampak yang besar dari interupsi layanan TI pada kunci proses dan fungsi bisnis.
Kontrol terhadap proses TI Memastikan layanan yang berkelanjutan yang memenuhi kebutuhan bisnis untuk IT Memastikan menimalisir dampak bisnis dari interupsi layanan TI dengan memfokuskan pada Membangun fleksibilitas dalam solusi otamatisasi dan pengembangan, rencana berkelanjutan perawatan dan pengujian TI
dicapai dengan Pengembangan dan perawatan (improving ) yang dimungkinkan pada TI Rencana pelatihan atas dan pengujian TI Menyimpan copy dari rencana kemungkinan dan data pada lokasi offsite • • •
dan diukur dengan Berapa jam waktu yang hilang per pengguna per bulan yang disebabkan tidak ada perencanaan waktu lampau Jumlah proses kritikal bisnis yang ditugaskan pada TI yang tidak di cover dengan rencana TI berkelanjutan •
•
TUJUAN K ONTROL DS4. Memastikan Layanan Berkelanjutan DS4.1 Kerangka Kerja TI berkelanjutan Mengembangkan kerangka kerja bagi TI berkelanjutan untuk mendukung manajemen bisnis berkelanjutan pada perusahaan menggunakan proses konsisten. Tujuan dari kerangka kerja ini harus dapat membantu dalam penentuan feksibelitas yang dibutuhkan dari infrastruktur dan untuk mengarahkan pengembangan perbaikan akibat bencana dan rencana kemungkinan TI. Kerangka kerja ini harus memahami struktur organisasi bagi manajemen kontinuitas, peran mengcover, kegiatan-kegiatan dan tanggung jawab dari internal dan eksternal penyedia layanan, manajemen dan kustomer mereka, dan proses perencanaan yang menciptakan peraturan dan stuktur untuk dokumentasi, test dan eksekusi perbaikan akibat bencana dan rencana kemungkinan TI. Rencana ini juga harus mengandung item-item seperti identifikasi sumber daya kritis, pemantauan dan pelaporan ketersediaan sumber daya kiritis, proses-proses alternatif, dan prinsip-prinsip backup dan perbaikan. DS4.2 Rencana Berkelanjutan Pengembangan rencana berkelanjutan TI berdasarkan kerangka kerja dan didesain untuk mengurangi dampak besar akibat gangguan pada kunci proses dan fungsi bisnis. Rencana ini harus didasari atas pemahaman potensial resiko dampak bisnis dan memahami kebutuhan untuk fleksibilitas, proses alte rnatif dan kapabilitas recovery untuk seuruh layanan TI kiritis. Rencana ini juga harus meliputi pedoman penggunaan, peran dan tanggung jawab, prosedur-prosedur, proses komunikasi, dan pendekatan pengujian. DS4.3 Sumber daya TI Kritis Memfokuskan perhatian pada item-item spesifik yang paling kritis dalam rencana berkelanjutan TI untuk membangun fleksibilitas dan menentukan prioritas untuk situasi recovery. Menghindari selingan dari perbaikan item-item kritikal dan memastikan respon dan perbaikan sejalan dengan prioritas kebutuhan bisnis, sementara memastikan biaya tetap sesuai pada tingkatan yang dimungkinkan dan mengikuti regulasi yang ada dan kebutuhan kontrak. Mempertimbangkan fleksibilitas, respon dan kebutuhan recovery untuk tahapan yang berbeda seperti satu sampai dengan 4 jam, untuk 24 jam, lebih dari 24 jam dan periode operasi bisnis kritis.
DS4.4 Perawatan Rencana Berkelanjutan TI Mendorong manajemen TI untuk mendefinisikan dan mengeksekusi prosedur kontrol perubahan untuk memastikan rencana berkelanjutan TI selalu up-to-date dan selalu merefleksikan kebutuhan bisnis aktual. Komunikasikan perubahan dalam prosedur dan tangung jawab yang jelas secara berkala. DS4.5 Pengujian Rencana Berkelanjutan TI Uji rencana berkelanjutan TI pada basis regular untuk memastikan sistem TI dapat diperbaiki secara efektif, kekurangan-kekurangan dapat diketahui dan rencana tetap relevan. Kebutuhan ini membutuhkan persiapan yang hati-hati, dokumentasi, laporan hasil pengujian, dan berdasarkan hasil implementasikan rencana aksi. Pertimbangkan perluasan recovery pengujian pada aplikasi tunggal untuk menginterasikan skenario pengujian end-to-end dan dintegrasikan dengan pengujian vendor . DS4.6 Pelatihan rencana berkelanjutan TI Menyediakan seluruh bagian-bagian yang berhubungan dengan sesi pelatihan regular berkenaan dengan prosedur-prosedur, peran dan tanggung jawab mereka dalam kasus terjadinya insiden atau bencana. Verifikasi dan tingkatkan pelatihan merujuk pada hasil test kemungkinan. DS4.7 Penyebaran Rencana Berkelanjutan TI Tentukan bahwa strategi distribusi yang didefinisikan dan dikelola untuk memastikan rencana berjalan dengan baik dan didistribusikan secara aman dan juga tersedianya otoritas yang tepat ketika dibutuhkan. Perhatian harus diarahkan pada pembuatan rencana berdasarkan seluruh skenario bencana.
DS4.8 Penerusan dan perbaikan layanan TI Rencanakan aksi yang harus dilakukan ketika layanan TI harus direcovery. Hal ini mungkin meliputi aktivasi backup, inisiasi proses-proses alternatif, pengkomunikasian dengan kustomer dan stakeholder, prosedur penerusan. Berikan penjelasan pada bisnis waktu recovery TI dan investasi teknologi yang dibutuhkan untuk mendukung kebutuhan recovery dan penerusan lagi. DS4.9 Backup Penyimpanan Luar Lakukan pembackup-an media kritis diluar sistem, dokumentasikan dan sumber daya TI lainnya yang diperlukan untuk merocovery IT dan rencana kontinuitas bisnis. Tentukan isi backup penyimpanan antara pemilik proses bisnis dan personel TI. Manajemen dari fasilitas penyimpanan luar harus merespon pada kebijakan klasifikasi data dan praktik media penyimpanan perusahaan. Manajemen TI harus harus memastikan rencana diuji secara periodik, paling kurang tahunan, untuk isi, lingkungan proteksi dan keamanan. Pastikan kesesuaian perangkat keras dan perangkat lunak untuk mengembalikan arsip data, dan diuji secara periodik dan merefresh arsip data. DS4.10 Tinjauan Post-resumtion Tetapkan apakah manajemen TI sudah menetapkan prosedur untuk pengujian rencana yang cukup berkenaan kesuksesan fungsi TI setelah terjadinya bencana, dan perbaharui rencana yang sesuai.
PEDOMAN MANAJEMEN DS4 Memastikan Layanan Berkelanjutan
MODEL K EMATANGAN DS4 Memastikan Layanan Berkelanjutan Manajemen proses Memastikan layanan berkelanjutan yang memenuhi kebutuhan bisnis bagi TI dari memastikan dampak minimal pada bisnis akibat terjadinya interupsi layanan TI adalah :
0 Tidak Tersedia ketika Tidak ada pemahaman tentang resiko, keadaan mudah diserang dan ancaman pada operasi TI atau dampak hilangnya layanan TI bagi bisnis. Layanan berkelanjutan tidak dipertimbangkan menjadi perhatian kebutuhan manajemen. 1 Inisial /Ad Hoc ketika Tanggung jawab untuk layanan berkelanjutan dilakukan secara informal, dan otoritas tanggung jawab untuk mengeksekusi terbatas. Manajemen mulai menyadari resiko yang berhubungan pada kebutuhan layanan berkelanjutan. Fokus perhatian manajemen pada layanan berkelanjutan difokuskan pada sumberdaya infrastruktur dibandingkan pada layanan TI. Respon dari TI terhadap gangguan yang berakibat buruk dilakukan secara reaktif dan tidak dipersiapkan. Perencaan awal sudah dijadwalkan untuk sesuai dengan kebutuhan TI tetapi tidak mempertimbangkan kebutuhan bisnis. 2 Diulang tetapi instuisi ketika Tanggung jawab untuk memastikan layanan berkelanjutan sudah dilakukan. Pendekatan untuk memastikan layanan berkelanjutan dilakukan secara terpisah-pisah. Laporan atas ketersediaan sistem dilakukan secara sporadis, mungkin tidak terselesaikan dan tidak mempertimbangkan dampak bisnis. Tidak ada dokumentasi rencana kontinuitas TI, walaupun sudah ada komitmen untuk menyediakan layanan berkelanjutan dan sudah memahami prinsip-prinsip utama. Sistem kritikal inventaris dan komponen tersedia, tetapi mungkin tidak handal. Praktik layanan berkelanjutan sudah ada, tetapi kesuksesannya tergantung pada masing-masing individual.
3 Didefinisikan ketika Tanggung jawab bagi manajemen dari layanan berkelanjutan masih sudah jelas. Tanggung jawab untuk perencanaan layanan berkelanjutan dan pengujian secara jelas didefinisikan dan dilakukan. Rencana kontinuitas TI sudah dokumentasikan dan didasari sistem kritikal dan dampak bisnis. Sudah ada laporan pengujian layanan berkelanjutan yang dilakukan secara berkala. Setiap individual mengambil inisiatif untuk mengikuti standar dan menerima pelatihan untuk menghadapi insiden atau bencana besar. Manajemen mengkomunikaskan secara konsisten terhadap kebutuhan untuk merencanakan pemastian layanan berkelanjutan. Ketersediaan komponen dan sistem redudansi sudah diaplikasikan. Sistem kritikal inventaris dan komponen-komponen sudah dilakukan proses perawatan. 4 Dikelola dan diukur ketika Tanggung jawab dan standar bagi layanan berkelanjutan sudah diselenggarakan. Tanggung jawab untuk melakukan perawatan rencana layanan berkelanjutan sudah dilakukan. Aktivitas perawatan didasari hasil pengujian layanan berkelanjutanpraktik internal yang baik, dan perubahan TI dan lingkungan bisnis. Stuktur data tentang layanan berkelanjutan sudah dikumpulkan, di analisis, dilaporkan, dan dilakukan aksi atas hasil laporan. Pelatihan formal ataupun yang diperintahkan sudah disediakan terhadap proses-proses layanan berkelanjutan. Ketersediaan praktik-praktik dan perencanaan layanan berkelanjutan saling mempengaruhi. Insiden-insiden sudah diklasifikasikan. Tujuan dan matrik bagi layanan berkelanjutan sudah dikembangkan dan disetujui tetapi mungkin diukur secara tidak konsisten. 5 Optimal ketika Proses-proses layanan berkelanjutan diintegrasikan pada benchmark dan praktik eksternak terbaik. Rencana kontinuitas TI diintegrasikan dengan rencana kontinuitas bisnis dan dirawat secara rutin. Kebutuhan untuk memastikan layanan berkelanjutan diamankan dari vendor dan suplier-suplier utama. Pengujian global pada rencana kontinuitas TI dilakukan, dan hasil pengujian di jadikan masukan untuk meng-up-date rencana. Proses pengumpulan dan analisis data digunakan sebagai dasar improvisasi berkelanjutan dari proses. Praktik praktik yang tersedia dan rencana layanan berkelanjutan diselaraskan. Manajemen memastikan bencana atau insiden utama tidak terjadi sebagai hasil kesalahan poin tunggal. Pencapaian tujuan dan matrik atas layanan berkelanjutan diukur secara sistematik. Manajemen mengatur perencanaan bagi layanan berkelanjutan merespon pengukuran.
DESKRIPSI PROSES DS5 Memastikan Keamanan Sistem Kebutuhan untuk menjaga integritas informasi dan melindungi aset IT memerlukan proses manajemen keamanan. Proses ini mencakup pembentukan dan penjagaan peran dan tanggung jawab, kebijakan, standar dan prosedur IT. Manajemen keamanan juga meliputi pengujian berkala serta pengawasan keamanan dan penerapan tindakan yang tepat untuk mengidentifikasi insiden atau titik lemah keamanan. Manajemen keamanan yang efektif melindungi seluruh aset IT untuk memperkecil dampak dari insiden dan kerentanan keamanan pada bisnis.
Kendali di seluruh proses IT untuk Memastikan keamanan sistem
yang memenuhi kebutuhan bisnis IT untuk menjaga integritas infrastruktur pemrosesan dan informasi serta memperkecil dampak dari insiden dan kerentanan keamanan
dengan memfokuskan pada mendefinisikan kebijakan, prosedur dan rencana keamanan IT serta mengawasi, mendeteksi dan mengatasi insiden dan kerentanan keamanan
dan dicapai melalui • •
•
Memahami kebutuhan, kerentanan dan ancaman keamanan Mengelola identitas dan otorisasi pengguna dalam tata cara yang terstandarisasi Melakukan pengujian keamanan secara teratur
dan diukur melalui • • •
Jumlah insiden yang merusak reputasi organisasi di mata publik Jumlah sistem yang tidak memenuhi kebutuhan keamanan Jumlah pelanggaran dalam pembagian tugas
TUJUAN K ENDALI DS1. Mengelola Keamanan IT Mengelola keamanan IT pada tingkatan organisasi tertinggi yang tepat, sehingga pengelolaan tindakan keamanan yang sejalan dengan kebutuhan bisnis. DS5.2 Perencanaan Keamanan IT Menerjemahkan kebutuhan bisnis, resiko dan kepatuhan kebutuhan ke dalam keseluruhan rencana keamanan IT, dengan mempertimbangkan infrastruktur dan budaya keamanan IT. Memastikan rencana terimplementasikan dalam kebijakan dan prosedur keamanan dengan diikuti investasi yang tepat dalam layanan, personil, software dan hardware. Melakukan komunikasi mengenai prosedur dan kebijakan keamanan dengan stakeholder dan user.. DS5.3 Manajemen Identitas Memastikan bahwa seluruh pengguna (internal, eksternal dan temporer) dan aktivitas mereka pada sistem IT (aplikasi bisnis, lingkungan IT, operasi sistem, pengembangan dan perawatan) dan teridentifikasi secara khusus. Memungkinkan identitas pengguna melalui mekanisme autentifikasi. Memastikan bahwa hak akses pengguna pada data dan sistem sejajar dengan kebutuhan bisnis yang terdokumentasi dan terdefinisikan dan kebutuhan pekerjaan terlampir pada identitas pengguna. Memastikan hak akses pengguna diperlukan oleh manajemen pengguna, disetujui oleh pemilik sistem dan diimplementasikan oleh orang yang bertanggung jawab pada keamanan. Menjaga identitas pengguna dan hak akses pada pusat penyimpanan. Menggunakan ukuran prosedur dan teknis yang efektif dalam pembiayaan, serta menjaganya untuk mewujudkan identifikasi pengguna, menerapkan autentifikasi dan melaksanakan hak akses. DS5.4 Manajemen Akun Pengguna Mengarahkan permintaan, pembentukan, penerbitan, penangguhan, perubahan, dan penutupan akun pengguna serta hak-hak pengguna yang berkaitan dengan serangkaian prosedur manajemen akun pengguna. Termasuk sebuah prosedur persetujuan yang memastikan jaminan pemilik sistem atau data pada hak-hak pengguna. Prosedur-prosedur tersebut harus diterapkan untuk seluruh pengguna, termasuk administrator (pengguna yang memiliki hak) dan pengguna internal serta eksternal, untuk kasus normal dan darurat. Hak dan kewajiban tergantung pada akses ke sistem perusahaan dan informasi sebaiknya diatur secara bersamaan untuk seluruh tipe pengguna. Melakukan review manajemen secara teratur pada seluruh akun dan hak yang terkait. DS5.5 Pengawasan, Penjagaan dan Pengujian Keamanan Menguji dan mengawasi implemerntasi keamanan IT secara proaktif. Keamanan IT sebaiknya diakreditasi ulang secara berkala untuk memastikan bahwa basis keamanan informasi tetap terjaga. Sebuah fungsi pengawasan dan pencatatan akan memungkinkan pencegahan dan/atau deteksi dan pelaporan secara berkala dari aktivitas abnormal dan tidak biasa yang harus dilakukan. DS5.6 Pendefinisian Insiden Keamanan Mendefinisikan dan mengkomunikasikan karakteristik dari insiden keamanan yang potensial sehingga dapat diklasifikasikan dan diperlakukan secara tepat melalui proses manajemen permasalahan dan insiden. DS5.7 Perlindungan Teknologi Keamanan Membuat teknologi yang terkait dengan keamanan memiliki kemampuan untuk menyesuaikan terhadap perubahan dan tidak membuka dokumen keamanan apabila tidak diperlukan. DS5.8 Manajemen Kunci Kriptogafis Menentukan kebijakan dan prosedur yang sesuai untuk mengorganisasikan pembuatan, perubahan, revokasi, penghapusan, distribusi, sertifikasi, penyimpanan, pemasukan, penggunaan dan pengarsipan kunci kriptografis untuk memastikan perlindungan kunci terhadap penyusupan dan modifikasi. DS5.9 Koreksi, Deteksi dan Pencegahan Terhadap Malicious Software Melakukan pencegahan, pendeteksian dan pengukuran korektif (terutama kontrol terhadap virus dan security patches yang terbaru)di seluruh bagian organisasi untuk melindungi teknologi dan sistem informasi dari ancaman malware (virus, worm, spyware dan spam). DS5.10 Keamanan Jaringan Menggunakan teknik dan prosedur manajemen keamanan (misalnya firewall, aplikasi keamanan, segmentasi jaringan, dan deteksi intrusi) untuk mengatur hak penggunaan akses dan kendali aliran informasi dari dan ke jaringan.
DS5.11 Pertukaran Data yang Sensitif Melakukan transaksi pertukaran data yang sensitif hanya melalui medium atau jalur yang dapat dipercaya dengan kendali untuk menyediakan autentifikasi terhadap konten, bukti penyerahan, bukti penerimaan dan keaslian yang terjaga.
Deliver and Support Ensure Systems Security
DS5
PANDUAN MANAJEMEN Output
Dari Input PO2 PO3 PO9 AI2
Arsitektur Informasi dan klasifikasi data yang disetujui StandarTeknologi Penilaian Resiko Spesifikasi kendali keamanan aplikasi
DS1
OLA
Ke
Definisi insiden keamanan Kebutuhan Pelatihan khusus mengenai kepedulian keamanan Laporan kinerja keamanan Perubahan keamanan yang diperlukan Kerentanan dan ancaman keamanan Kebijakan dan Perencanaan keamanan IT
DS8 DS7 ME1 AI6 PO9 DS11
Fungsi
Diagram RACI
Aktivitas Mendefinisikan dan menjaga perencanaan keamanan IT
I
C
Mendefinisikan, membentuk dan mengoperasikan proses manajemen identitas/ akun
C
I
A
A
C
C
Mengawasi insiden keamanan yang bersifat aktual dan potensial.
A
I
Mereview dan memvalidasi hak dan wewenang akses pengguna secara berkala.
I
A
Membentuk dan menjaga prosedur perawatan dan pengamanan kunci kriptografis.
A
Menerapkan dan menjaga kendali teknis dan prosedural untuk melindungi aliran Informasi ke seluruh jaringan. Melakukan penilaian kerentanan secara teratur.
I
C
C
C
R
R
I
C
C
R
R
C
I
C
I
R
R
R
I
C
A
C
C
R
R
C
A
I
C
C
C
R
Diagram RACI mengidentifikasi pihak-pihak yang bertanggungjawab, dipercaya, dikonsultasikan dan/atau diinformasikan (Responsible, Accountable, Consulted , Informed).
Pencapaian dan Ukuran IT • Menjaga informasi yang bersifat kritis dan rahasia dari pihak yang tidak berhak mengaksesnya • Memastikan bahwa transaksi bisnis terotomasi dan pertukaran informasi dapat dipercaya. • Menjaga Integritas informasi dan infrastruktur informasi. • Memperhitungkan dan melindungi seluruh aset IT. • Memastikan bahwa infrastruktur dan layanan IT dapat bertahan dan pulih dari kegagalan akibat error, bencana atau serangan. Proses insiden dan kerentanan keamanan. • Mendeteksi dan mencegah akses terlarang pada • Memberi izin akses data yang kritis dan informasi, aplikasi dan infrastruktur. sensitif hanya pada pengguna yang • Memeperkecil dampak kerentanan dan insiden terotorisasi. keamanan. • Mengidentifikasi, mengawasi dan melaporkan
measure
• Number of incidents with business impact
measure
measure
1
DS5
Deliver and Support Ensure Systems Security
MATURITY MODEL Manajemen proses mematikan keamanan sistem yang memenuhi kebutuhan bisnis untuk IT dalam mnjaga integritas infrastruktur informasi dan pemrosesan serta memperkecil dampak dari insiden dan kerentanan keamanan antara lain adalah :
0 Non-existent Organisasi tidak mengetahui kebutuhan akan keamanan IT. Tanggung jawab dan akuntabilitas tidak ditujukan untuk memastikan keamanan. Ukuran mendukung manajemen keamanan dari keamanan IT tidak diterapkan. Tidak ada pelaporan keamanan IT dan tidak ada proses respon untuk memastikan keamanan. Pengukuran dukungan manajemen keamanan IT tidak diterapkan. Tidak ada pelaporan keamanan IT dan tidak ada proses respon untuk kegagalan keamanan IT. Terdapat kekurangan proses administrasi keamanan sistem yang secara jelas diketahui. . 1 Inisial/Ad Hoc Organisasi mengetahui kebutuhan keamanan IT. Kepedulian akan kebutuhan keamanan sangat bergantung pada individu. Keamanan IT ditujukan pada dasar yang reaktif. Keamanan IT tidak terukur. Kegagalan keamanan IT yang terdeteksi melibatkan respon klaim, karena tanggung jawab menjadi tidak jelas. Respon terhadap kegagalan keamanan IT menjadi tidak dapat diprediksi. 2 Dapat diulangi tetapi intuitif Tanggung jawab dan akuntabilitas untuk keamanan IT ditujukan bagi koordinator keamanan IT, meskipun otoritas manajemen koordinator dibatasi. Kepedulian akan kebutuhan keamanan terpisah-pisah dan dibatasi. Meskipun informasi yang relevan dengan keamanan dihasilkan oleh sistem, namun tidak dianalisa. Layanan dari pihak ketiga mungkin tidak ditujukan pada keamananIT organisasi. Kebijakan keamanan dikembangkan, namun keahlian dan perangkat yang digunakan tidak mencukupi. Pelaporan keamanan IT tidak lengkap, salah sasaran atau tidak berkaitan. Pelatihan keamanan tersedia namun dilakukan atas inisiatif individu. Keamanan IT terutama terlihat sebagai tanggung jawab dan domain IT dan bisnis tidak melihat keamanan IT di dalam domainnya. 3 Terdefinisikan Kepedulian keamanan diadakan dan dipromosikan oleh manajemen. Prosedur keamanan IT didefinisikan dan diselaraskan dengan kebijakan keamanan IT. Tanggung jawab untuk keamanan IT dipahami dan disetujui, namun tidak dilaksanakan secara konsisten. Sebuah rencana dan solusi keamanan dikendalikan oleh analisis resiko. Pelaporan pada kemanan tidak mengandung fokus bisnis yang jelas. Pengujian keamanan Ad hoc (misalnya pengujian intrusi) dilakukan. Pelatihan keamanan tersedia untuk IT dan bisnis, namun hanya dijadwalkan dan dikelola secara informal. 4 Dikelola dan Terukur Tanggung jawab untuk keamanan IT disetujui secara jelas, dikelola dan dilaksanakan. Resiko keamanan IT dan analisis dampak dilakukan secara konsisten. Kebujakan dan prosedur keamanan dilengkapi dengan baseline keamanan yang spesifik. Penjelajahan terhadap metode untuk mempromosikan kepedulian keamanan. Identifikasi, autentifikasi dan otorisasi pengguna distandarisasi. Sertifikasi keamanan dilakukan untuk anggota staf yang bertanggung jawab untuk audit dan manajemen keamanan. Pengujian keamanan dilengkapi dengan proses standar dan terformalisasi, membawa pada peningkatan tingkat keamanan. Proses proses keamanan IT dikoordinasikan dengan keseluruhan fungsi keamanan organisasi. Pelaporan keamanan IT terhubung dengan tujuan bisnis. Pelatihan keamanan IT dihubungkan dengan IT dan bisnis. Pelatihan keamanan IT direncanakan dan dikelola dengan respon kebutuhan bisnis dan didefinisikan pleh profil resiko keamanan. Tujuan dan metriks untuk manajemen keamanan telah didefinisikan tetapi belum terukur.
5 Teroptimisasi Keamanan IT merupakan tanggung jawab bersama antara manajemen IT dan bisnis dan diintegrasikan dengan tujuan bisnis keamanan perusahaan. Kebutuhan keamanan IT didefinisikan, dioptimalisasikan dan dimasukkan secara jelas ke dalam perencanaan keamanan yang disetujui. Akuntabilitas pengguna dan pelanggan juga semakin meningkat untuk mendefinisikan kebutuhan keamanan, dan fungsi keamanan terintegrasi dengan aplikasi pada tingkatan desain. Insiden keamanan diarahkan dengan prosedur respon insiden formal yang didukung oleh perangkat terotomatisasi. Penilaian keamanan secara periodik dikumpulkan dan dianalisa secara sistematis. Kendali yang cukup untuk mengatasi resiko dikomunikasikan dan diimplementasikan dengan tepat. Pengujian keamanan, analisis akar masalah dari insiden keamanan dan indentifikasi secara proaktif digunakan untuk peningkatan proses secara kontinu. Proses dan teknologi keamanan diintegrasikan di seluruh organisasi. Metrik untuk manajemen keamanan diukur, dikumpulkan dan dikomunikasikan. Manajemen menggunakan ukuran-ukuran tersebut untuk menyesuaikan dengan rencana keamanan dalam sebuah proses peningkatan secara kontinu.
Deliver and Support Identify and Allocate Costs
DS6
DESKRIPSI PROSES DS6 Identifikasi dan Alokasi Biaya
Kebutuhan untuk sistem alokasi biaya IT untuk bisnis secara seimbang dan memadai memerlukan pengukuran biaya IT yang akurat serta persetujuan dengan pengguna bisnis pada alokasi yang seimbang. Proses tersebut mencakup pembangunan dan pengoperasian sistem untuk mengumpulkan, mengalokasikan dan melaporkan biaya IT kepada pengguna layanan. Sistem alokasi yang seimbang memungkinkan bisnis untuk membuat keputusan yang lebih terinformasikan terkait dengan penggunaan layanan IT.
P
P
Kendali di seluruh proses IT untuk Identifikasi dan alokasi biaya
yang memenuhi kebutuhan bisnis untuk IT memastikan transparansi dan pemahaman biaya IT dan meningkatkan efisiensi biaya melalui penggunaan layanan IT yang diinformasikan dengan baik dengan memfokuskan pada Pengumpulan biaya IT secara lengkap dan akurat, sebuah sistem yang seimbang untuk alokasi yang disetujui oleh pengguna bisnis dan sebuah sistem untuk melakukan pelaporan penggunaan IT dan alokasi biaya secara berkala dan dicapai dengan o Menyesuaikan biaya terhadap kualitas dan kuantitas layanan yang diberikan o Membangun dan menyetujui model biaya secara keseluruhan o Menerapkan biaya sebagaimana kebijakan untuk tiap persetujuan dan diukur melalui Persen biaya layanan IT yang diterima/ dibayar oleh manajemen bisnis Persen ragam diantara anggaran, ramalan dan biaya aktual Persen keseluruhan biaya IT yang dialokasikan menurut model biaya yang telah disetujui •
• •
DS6
Deliver and Support Identify and Allocate Costs
TUJUAN K ENDALI DS6 Identifikasi dan Alokasi Biaya DS6.1 Definisi Layanan Mengidentifikasi seluruh biaya IT dan memetakannya terhadap layanan IT untuk mendukung sebuah model biaya yang transparan. Layanan IT sebaiknya terhubung dengan proses-proses bisnis sehingga bisnis dapat mengidentifikasi tingkatan pembiayaan layanan. DS6.2 Akuntansi IT Mengumpulkan dan mengalokasikan biaya sesuai dengan model biaya perusahaan. Ragam antara biaya aktual dan peramalan sebaiknya dianalisa dan dilaporkan, dengan mematuhi sistem pengukuran finansial perusahaan. DS6.3 Pemodelan dan Pemasukan Biaya Membentuk dan menggunakan sebuah model pembiayaan IT berdasarkan definisi layanan yang mendukung perhitungan tingkat pengembalian per layanan. Model biaya IT harus memastikan bahwa pemanfaatan untuk layanan teridentifikasi, terukur, dan dapat diprediksi oleh pengguna untuk mendorong penggunaan sumberdaya secara tepat. DS6.4 Perawatan Model Biaya Melakukan review dan benchmark terhadap ketepatan model biaya untuk menjaga relevansi dan ketepatan terhadap aktivitas IT dan bisnis yang mengalami perubahan.
Deliver and Support Identify and Allocate Costs
DS6
PANDUAN MANAJEMEN Dari
Output
Input
PO4 PO5 PO10 DS1
Documented system owners Laporan keuntungan,anggaran IT Detail rencana proyek SLA dan OLA
PO5 ME1
Keuangan IT Laporan Kinerja Proses
Fungsi
Diagram RACI
Aktivitas Memetakan infrastruktur IT pada layanan yang disediakan / proses bisnis yang didukung Mengidentifikasi seluruh biaya IT (misalnya orang, teknologi) dan memetakannya pada layanan IT berdasarkan biaya unit
C
C C
A
C
C
A
C
C
R
C
C
C
C
R
C
Membentuk dan menjaga proses kendali biaya dan akuntansi IT.
C
C
A
C
C
C
C
R
C
Membentuk dan menjaga prosedur dan kebijakan pertanggungjawaban.
C
C
A
C
C
C
C
R
C
Diagram RACI mengidentifikasi pihak-pihak yang bertanggungjawab, dipercaya, dikonsultasikan dan/atau diinformasikan (Responsible, Accountable, Consulted , Informed).
Pencapaian dan Metrik Proses
IT • Memastikan transparansi dan pemahaman mengenai biaya IT, keuntungan, strategi, kebijakan dan tingkat layanan. n a • Meningkatkan efisiensi biaya IT dan i a p kontribusinya pada keuntungan bisnis. a c • Memastikan IT menghasilkan kualitas n e layanan yang efisien dari segi biaya, P peningkatan secara kontinu dan kesiapan untuk perubahan di masa depan.
mengukur
k i r t e M
• Persen biaya layanan IT yang diterima/dibayarkan oleh manajemen bisnis • Unit biaya per layanan dari waktu ke waktu • Persen kepuasan bisnis (survei) terhadap model pembiayaan layanan IT
Aktivitas
• Mengembangkan definisi layanan dan biaya IT yang seimbang dan adil. • Mengumpulkan biaya-biaya layanan IT. • Mengalokasikan biaya IT secara seimbang dan adil pada pengguna layanan IT. n a k p a t e n e m
n a k p a t e n e m
dikendalikan
mengukur
• Persen ragam antara biaya, peramalan dan biaya aktual • Persen keseluruhan biaya IT yang dialokasikan menurut model biaya yang disetujui • Persen biaya tak tentu oleh bisnis
• Mereview biaya yang dialokasikan oleh manajemen bisnis. • Menyelaraskan tanggung jawab terhadap kulalitas layanan yang diberikan. • Membuat dan menyetujui sebuah model biaya yang lengkap. • Menerapkan tanggung jawab untuk setiap kebijakan yang disetujui. • Melakukan benchmarking biaya pada dasar yang umum.
dikendalikan
mengukur
• Persen pengguna bisnis yang terlibat dalam definisi model biaya • Frekuensi review dari model alokasi biaya • Persen biaya yang dialokasikan secara otomatis/ manual
DS6
Deliver and Support Identify and Allocate Costs
MATURITY MODEL Manajemen proses identifikasi dan alokasi biaya yang memenuhi kebutuhan bisnis IT untuk memastikan transparansi dan pemahaman biaya IT dan meningkatkan efisiensi biaya melalui layanan IT yang terinformasikan dengan baik:
0 Non-existent Terdapat kekurangan yang signifikan untuk proses-proses yang diketahui untuk mengidentifikasi dan mengalokasikan biaya sesuai dengan layanan informasi yang diberikan. Organisasi tidak mengetahui bahwa terdapat sebuah permasalahan yang harus diselesaikan dengan kaitannya dengan akuntansi biaya dan tidak terdapat komunikasi mengenai permasalahan tersebut. 1 Inisial/Ad Hoc Terdapat pemahaman umum mengenai biaya keseluruhan untuk layanan informasi, namun tidak terdapat rincian biaya untuk tiap pengguna, pelanggan, departemen, kelompok pengguna, fungsi layanan, proyek atau pengiriman. Secara virtual tidak terdapat pengawasan biaya, hanya dengan penggabungan pelaporan biaya ke pihak manajemen. Biaya-biaya IT dialokasikan sebagai sebuah pengeluaran operasional tambahan. Bisnis disediakan tanpa informasi pada biaya atau keuntungan dari penyedia layanan. 2 Dapat diulangi tetapi intuitif Terdapat kepedulian secara menyeluruh terhadap kebutuhan untuk mengidentifikasi dan mengalokasikan biaya. Alokasi biaya didasarkan pada asumsi biaya dasar atau informal, misalnya biaya hardware, dan secara virtual tidak terdapat keterkaitan dengan pengendali nilai. Proses alokasi biaya merupakan proses yang berulang. Tidak ada pelatihan formal atau komunikasi mengenai prosedur alokasi dan identifikasi biaya standar. Tanggung jawab untuk pengumpulan atau alokasi biaya tidak ditetapkan. 3 Terdefinisi Terdapat model biaya layanan informasi yang terdokumentasi dan terdefinisikan. Sebuah proses untuk menghubungkan biaya IT terhadap layanan yang disediakan untuk pengguna telah didefinisikan. Tingkatan kepedulian yang tepat mengenai biaya diatributkan ke layanan informasi. Bisnis disediakan dengan informasi dasar biaya.. 4 Dikelola dan Terukur Akuntabilitas dan tanggung jawab manajemen biaya layanan informasi didefinisikan dan dipahami sepenuhnya pada seluruh tingkatan dan didukung oleh pelatihan formal. Biaya langsung dan tidak langsung diidentifikasi dan dilaporkan pada perilaku terotomatisasi dan berkala terhadap manajemen, pengguna dan pemilik proses bisnis. Secara umum terdapat pengawasan dan evaluasi biaya, serta tindakan yang diambil apabila simpangan biaya terdeteksi. Pelaporan biaya layanan informasi terhubung ke tujuan bisnis dan SLA serta diawasi oleh pemilik proses bisnis. Fungsi keuangan mereview alasan proses alokasi biaya. Sistem akuntan biaya terotomatisasi telah ada, namun terfokus pada fungsi layanan informasi, bukan pada proses bisnis. Tujuan dan metrik disetujui untuk pengukuran biaya namun diukur secara inkonsisten. 5 Teroptimisasi Biaya layanan teridentifikasi, terkumpul, terangkum dan terlaporkan ke manajemen, pemilik proses bisnis dan pengguna. Biaya diidentifikasi sebagai bahan tak habis pakai dan dapat mendukung sistem pengembalian yang membiayai pengguna untuk layanan yang disediakan, berdasarkan pemanfaatan. Rincian biaya mendukung SLA. Pengawasan dan evaluasi biaya layanan digunakan untuk mengoptimalkan biaya sumberdaya IT. Perkiraan biaya yang diperoleh digunakan untuk memverifikasi realisasi keuntungan dalam proses penganggaran organisasi. Pelaporan biaya layanan menghasilkan peringatan dini terhadap perubahan kebutuhan bisnis melalui sistem pelaporan intelijen. Model biaya variabel digunakan dan diturunkan dari volume yang diproses untuk setiap layanan yang disediakan. Manajemen biaya diseleksi sampai tingkatan panduan industri, berdasarkan hasil peningkatan secara kontinu dan benchmarking dengan organisasi lainnya. Optimisasi biaya merupakan sebuah proses yang sedang berjalan. Metrik dan pencapaian menjadi bagian dari proses peningkatan secara kontinu dalam melakukan desain ulang biaya
and Support Mendidik dan Melatih User
HIGH-LEVEL CONTROL OBJECTIVE DS7 Mendidik dan Melatih User
Pendidikan yang efektif bagi semua user sistem TI membutuhkan pelatihan yang tepat untuk setiap grup user. Untuk mengidentifikasi kebutuhan, proses ini meliputi definisi dan eksekusi pelatihan yang efektif dan pengukuran hasilnya. Program pelatihan yang efektif meningkatkan efektivitas penggunaan teknologi melalui penurunan tingkat kesalahan user, meningkatkan produktivitas dan kepatuhan dengan kendali-kendali kunci seperti ukuran keamanan bagi user.
Kendali proses TI dari mendidik dan melatih user
yang memenuhi kebutuhan bisnis akan TI melalui Penggunaan efektif dan efisien dari aplikasi dan solusi teknologi dan kepatuhan user terhadap kebijakan dan prosedur. dengan fokus pada Pemahaman yang jelas terhadap kebutuhan pelatihan bagi user TI, eksekusi dari strategi pelatihan yang efektif dan pengukuran hasilnya dicapai melalui • menetapkan kurikulum pelatihan • mengatur pelatihan • memberikan pelatihan • pemantauan dan pelaporan efektivitas pelatihan dan diukur oleh Jumlah penggilan kepada Meja Pelayanan terkait kekurangan pelatihan Persentase kepuasan stakeholder pelatihan yang diberikan Penyimpangan waktu antara proses indentifikasi kebutuhan pelatihan dan pemberian pelatihan •
• •
DS7
Deliver and Support Mendidik dan Melatih User
DETAILED CONTROL OBJECTIVES DS7 Mendidik dan Melatih User DS7.1 Identifikasi Kebutuhan Pendidikan dan Pelatihan Menetapkan dan memperbarui secara kurikulum secara teratur untuk setiap target grup pekerja dengan mempertimbangkan : • Kebutuhan dan strategi bisnis sekarang dan dimasa yang akan datang • Nilai-nilai perusahaan (etika, budaya pengendalian dan keamanan, dsb) • Penerapan infrastruktur TI dan software baru(paket dan aplikasi) • Kemampuan saat ini, profil kompetensi dan kebutuhan sertifikasi dan/atau kepercayaan • Metode penyampaian (seperti : kelas, web-based), ukuran grup target , kemampuaksesan dan penjadwalan DS7.2 Pemberian Pendidikan dan Pelatihan Berdasarkan kebutuhan pendidikan dan pelatihan, identifikasi grup target dan anggotanya, mekanisme penyampaian yang efisien, intruktur, trainer dan mentor. Tugaskan para trainer dan atur sesi pelatihan berdasarakan waktu. Registrasi, kehadiran dan evaluasi kinerja harus dicatat. DS7.3 Evaluasi terhadap Pelatihan yang diterima Evaluasi penyampaian isi pendidikan dan pelatihan berdasarkan pencapaian dalam hal relevansi, kualitas, efektivitas, penangkapan pengetahuan, biaya dan nilai. Hasil dari evaluasi harus diberikan sebagai input untuk definisi kurikulum dan sesi pelatihan yang akan datang.
Deliver and Support Mendidik dan Melatih User
DS7
MANAGEMENT GUIDELINES DS7 Mendidik dan Melatih User From Inputs PO7
Keterampilan dan kompetensi user, termasuk pelatihan individu, pelatihan khusus
AI4
Materipelatihan; kebutuhan transfer pengetahuan untuk penerapan solusi
DS1 DS5
OLAs Kebutuhan pelatihan khusus tentang Kepedulian pada keamanan Laporan kepuasan user
DS8
Outputs
To
Laporan Kinerja Proses Update dokumentasi yang dibutuhkan
ME1 AI4
Fungsi
RACI Chart
Aktivitas Identifikasi dan karakterisasi kebutuhan pelatihan user Membuat program pelatihan. Menjalankan aktivitas kepedulian, pendidikan dan pelatihan Melakukan evaluasi pelatihan
C
A
R
C
C
C
C
C
C
R
C
A
R
C
I
C
C
C
I
R
I
A
C
C
I
C
C
C
I
R
I
A A / R
R
C
I
C
C
C
I
R
R
C
C
C
C
C
C
R
Identifikasi dan evaluasi metode terbaik penyampaian pelatihan
I
Pencapaian dan Matriks Menetapkan kurikulum pelatihan Mengatur Pelatihan Memberikan Pelatihan Pemantauan dan pelaporan efektivitas pelatihan
Menetapkan program pelatihan untuk semua tingkatan user menggunakan metode yang paling efektif dari segi biaya Transfer pengetahuan tentang solusi aplikasi dan teknologi kepada user Meningkatkan kepedulian akan resiko dan tanggung jawab dalam menggunakan solusi aplikasi dan teknologi
Memastikan kepuasan end user dengan penawaran layanan dan tingkat layanan Memastikan penggunaan dan kinerja yang tepat dari solusi aplikasi dan teknologi Mengoptimalkan infrastruktur TI, sumber daya dan berbagai kemampuan
Frekuensi update kurikulum pelatihan Penyimpangan waktu antara proses identifikasi kebutuhan pelatihan dan pemberian pelatihan
Jumlah permintaan pelatihan ke meja layanan atau menjawab pertanyaan % kepuasan stakeholder dengan pelatihan yang diberikan % pekerja yang dilatih
Terukurnya perbaikan produktivitas kerja sebagai hasil terhadap pemahaman sistem Kepuasan user meningkat dengan layanan, sistem atau teknologi baru
eliver and Support Mendidik dan Melatih User
MATURITY MODEL DS7 Mendidik dan Melatih User Manajemen proses Mendidik dan Melatih User yang memenuhi kebutuhan bisnis akan TI dari penggunaan solusi aplikasi dan teknologi secara efektif dan efisien dan kepatuhan user kepada kebijakan dan prosedur adalah : 0 Non-existent when Tidak ada program pendidikan dan pelatihan. Organisasi tidak mengetahui hal-hal yang membuatnya respek terhadap pelatihan dan tidak ada komunikasi terhadap hal-hal ersebut.
1 Initial/Ad Hoc when Terdapat bukti bahwa organisasi megetahui adanya kebutuhan akan program pendidikan dan pelatihan, etapi tidak ada proses standar. Dalam kehadiran program yang diadakan, pekerja memilih dan mengikuti pelatihan secara mandiri. Beberapa tema pelatihan ini terkait dengan etika, kepedulian sistem keamanan dan praktik keamanan. Tidak ada kerjasama dalam pengelolaanya dan hanya terdapat komunikasi yang sporadis dan tidak konsisten mengenai pendidikan dan pelatihan.
2 Repeatable but Intuitive when Terdapat perhatian terhadap kebutan program pendidikan dan pelatihan dan terhadap proses yang erkait dalam organisasi. Pelatihan dimulai untuk mengidentifikasi rencana kinerja individu pekerja. Proses telah mengembangkan tahapan dimana kelas pendidikan dan pelatihan informal dikaji oleh instruktur yang berbeda, lingkupmateri yang sama dengan pedekatan yang berbeda. Beberapa kelas mengambil tema pada maslaha etika dan kepedulian akan keamanan dan praktiknya. Terdapat percepatan (reliance) yang besar dari pengetahuan individu. Selain itu, terdapat komunikasi yang konsisten terhadap berbagai isu dan kebutuhan untuk menindaklanjutinya.. 3 Defined Process when Program pendidikan dan pelatihan telah menjadi program organisasi dan dikomunikasikan, pekerja dan manajer mengidentifikasi dan mendokumentasikan kebutuhan pelatihan. Proses pendidikan dan pelatihan telah ditandarisasi dan didokumentasikan. Anggaran, sumber daya, asilitas dan instruktur ditetapakn untuk mendukung program. Kelas formal diberikan kepada pekerja dalam tema etik dan kepedulian akan keamanan sistem dan praktiknya. Sebagian proses pendidikan dan pelatihan dimonitor, tetapi tidak semua penyimpangan terdeteksi oleh pihak manajmen. Analisis permaslahan dalam pendidikan dan pelatihan hanya diterapkan sewaktu-waktu. 4 Managed and Measurable when Terdapat program pendidikan dan pelatihan yang terpadu dengan hasil yang terukur. Tanggung jawab jelas dan kepemilikan proses sudah ada. Pendidikan dan pelatihan merupakan bagian dari jalur karir pekerja. Pihak manajemen mendukung dan menghadiri sesi –sesi pendidikan dan pelatihan. Semua pekerja menerima pelatihan tentang etika dan kepedulian terhadap keamanan sistem. Semua pekerja menerima pelatihan praktik keamanan sistem pada tingkat yang tepat dalam hal perlindungan terhadap kegagalan yang berdampak pada ketersediaan, kerahasian dan integritas. Pihak manajemen memantau kepatuhan dengan mengkaji ulan secara konstan dan memperbarui program dan proses penddikan dan pelatihan. Proses selalu diperbaiki dan mendorong praktik internal terbaik.
5 Optimised when Pendidikan dan pelatihan menghasilkan perbaikan pada kinerja individu. Pendidikan dan pelatihan merupakan komponen kritis dalam jalur karir pekerja. Anggaran, sumberdaya, fasilitas dan infrastruktur yang cukup disediakan untuk program pendidikan dan pelatihan. Proses telah diperbaiki terus menerus, mendapatkan keunggulan dari praktik eksternal dan model maturity dengan organisasi lain. Semua masalah dan penyimpangan dianalisis untuk mencari akarnya, dan tindakan efisien ditemukan dan diambil. Terdapat kebiasaan positif yang respek terhadap prinsip-prinsip etika dan keamanan sistem. TI digunakan secara luas, terintegrasi dan optimal untuk mengotoai dan menyediakan alat untuk program pendidikan dan pelatihan. Ahli-ahli pelatihan luar digunakan dan perbandingan (benchmark) digunakan sebagai panduan.
DESKRIPSI PROSES DS 8 Mengelola Meja Layanan dan Insiden Respon yang efektif dan periodik terhadap masukan dan permasalahan user TI membutuhkan rancangan dan pelaksanaan yang baik dari meja layanan dan proses manajemen insiden. Proses ini meliputi melengkapi fungsi meja layanan dengan registratsi, eskalasi insiden, analisis pola dan akar penyebab, dan penyelesaian.. Manfaat bisnis meliputi peningkatan produktivitas melalui penyelsaian cepat akan masukan user. Selain itu, bisnis dapat menemukan akar peyebab (misalnya pelatihan user yang buruk) melalui pelaporan yang efektif.
P P
Control over the IT process of Mengelola meja layanan dan insiden yang memenuhi kebutuhan bisnis akan TI melalui Mendukung penggunaan sistem TI secara efektif dengan memastikan penyelesaian dan analisis terhadap masukan end user, pertanyaan dan insiden dengan fokus pada Fungsi meja layanan yang profesional dengan respon yang cepat, prosedur eskalasi jelas, dan penyelesaian dan analisis pola dicapai melalui • Pemasangan dan pengoperasikan meja layanan • Pemantauan dan pelaporan pola
• Pendefinisian kriteria dan prosedur eskalasi
dan diukur oleh • Kepuasan user dengan dukungan first-line • Persentasi insiden yang teratasi pada waktu yang disepakati • Call abandonment rate
DS8
Deliver and Support Mengelola Meja Layanan dan Insiden
DETAILED CONTROL OBJECTIVES DS8 Mengelola Meja Layanan dan Insiden DS8.1 Meja Layanan Mengadakan fungsi meja layanan, sebagai antar muk user dengan TI, untuk mendaftar, komunkasi, pusat dan analisis semua panggilan, laporan isiden, permintaan layanan dan informasi. Sebaiknya terdapat prosedur pemantauan dan penanganan berdasarkan tingkat layanan yang disepakati relatif terhadap SLA yang tepat yan mengikuti klasisifikasi dan prioritas dari setiap isu yang dilaporkan sebagai insiden, permintaan layanan atau informasi. Mengukur kepuasan end user dalam hal kualitas meja layanan dan layanan and TI. DS8.2 Registrasi masukan pelanggan Mengadakan fungsi dan sistem untuk merekam dan melacak panggilan, insiden, permintaan layanan dan kebutuhan informasi. Harus bekerja secara dekat dengan manajemen insiden, manajemen permasalahan, manajemen perubahan, manajemen kpaisitas dan manajemen ketersediaan. Insiden harus diklasifikasikan berdasarakan prioritas bisnis dan layanan dan dilacak kepada tim manajemen permasalahan yang tepat, dan selalu menginformasikan kepada pelanggan status dari masukanny.
DS8.3 Penanganan (Eskalasi) Insiden Menetapkan prosedur meja layanan, sehinggan insiden yang tidak bsa cepat diselesaikan bisa ditangani secara tepat berdasarkan batasan dalam SLA dan, jika tepat, lingkungan kerja disediakan. Memastikan kepemilikan insiden dan pemantauan siklus hidup tetap dari meja layanan untuk insidn user-based terkait grup TI yang sedang dalam aktivitas penyelesaian.
DS8.4 Penutupan Insiden Menetapkan prosedur untuk pemantauan sewaktu-waktu terhadap kejelasan dari masukan pelanggan. Ketika insiden telah diselesaikan, meja layanan harus merekan akar penyebab, jika diketahui, dan konfirmasi tindakan yang diambil disetujui pelanggan.
DS8.5 Analysis Pola Menghasilkan laporan dari aktivitas meja layanan supaya manajemen dapat mengukur kinerja pelayanan dan waktu respon ayanan dan untuk mengidentifikasi pola atau penyelesaian masalah, sehingga layanan dapat diperbaiki secara terus menerus.
DS8
Deliver and Support Mengelola Meja Layanan dan Insiden
MANAGEMENT GUIDELINES DS8 Mengelola Meja Layanan dan Insiden
From Inputs AI4 AI6 AI7 DS1 DS4 DS5 DS9 DS10
DS13
Panduan user, operational, support, Technical dan and administrasi otorisasi perubahan item konfigurasi yang dirilis
Outputs
To
Permintaan layanan/perubahan Laporan insiden Laporan kinerj aproses Laporan kepuasan user
AI6 DS10 ME1 DS7 ME1
SLAs dan OLAs Penanganan insiden/bencana Definisi insiden keamanan Detil konfigurasi TI/Aset masalah dan kesalahan yang diketahui Dan sebagainya Tiket insiden Fungsi
RACI Chart
Activities membuat klasisfikasi (ketersebaran dan dampak) prosedur penanganan (funsional dan hierarchical).
C
C
C
C
C
C
C
Deteksi dan merekam insiden.permintaan layanan/informasi
A/R A/R
Klasisifikasi, investigasi, diagonosis
I
Resolve, recover and close incident.
I
Inform users (e.g., status updates)
I
Produce management reporting
I
I
I
I
C
C
C
I
A/R
R
R
R
C
A/.R A/R
I
I
I
A/R
A RACIchart identifies who is Responsible, Accountable, Consulted and/or Informed.
Pencapaian dan Matriks Memasang dan mengoperasikan meja layanan Memantau dan melaporkan pola Menyelaraskan prioritas penyelesaian insiden dengan tujuan bisnis Mendefinisikan kriteria dan prosedur eskalasi secara jelas
Analisis, dokumentasi dan eskalasi insiden dalam waktu yang tepat Respon masukan secara akurat dan dalam basis waktu Melakukan analisis pola secara teratur dari insiden dan masukan
Memastikan kepuasan end user denga penawaran layanan dan tingkat layanan Memastikan penggunaan dan kinerja yang tepat dari solusi aplikasi dan teknologi Memastikan layanan IT tersedia sesuai yang dibutuhkan
% insiden dan permintaan layanan yang tercatat dengan menggunakan alat otomatis Jumlah hari pelatihan per staf meja layanan pertahun Jumlah panggilan yang ditangani per staf meja pelayanan per jam % insiden yang membutuhkan dukungan local Catatan masukan yang tidak dapat diselesaikan
% penyelesaian di first line terhadap total permintaan % insiden yang dibuka kembali Call abandonment rate Durasi rata-rata insiden Kecepatan rata-rata respon terhadap telepon dan permintaan melalu email/web
Kepuasan user dengan ukungan first lne % insiden yang diselesaikan dalam periode waktu yang disepakati
DS8
Deliver and Support Manage Service Desk and Incidents
MATURITY MODEL DS8 Mengelola Meja Layanan dan Insiden Manajemen peroses Mengelola Meja Layanan dan Insiden yang memenuhi kebutuhan bisnis akan TI dalam mendukung Penggunaan yang efektif dari sistem TI dengan memastikan penyelesaian da analisis terhadapmasukan user, pertanyaandan insiden adalah : 0 Non-existent when Tidak ada layanan untuk menyelesaikan pertanyaan dan permasalahan user. Tidak ada proses pengelolaan isiden. Organisasi tidak mengetahui isu atau permasalahan yang harus diperhatikan.
1 Initial/Ad Hoc when Manajemen mengetahui kebutuan akan proses yang didukung oleh alat dan orang untuk merespon masukan user dan mengelola penyelesaian insiden. Tidak ada proses standar dan hanya ada dukungan yang bersifatreaktif saja. Manajemen tidak memantau masukan user, insiden, atau pola. Tidak ada proses eskalasi untuk meyakinkan bahwa masalah tela diselesaikan.
2 Repeatable but Intuitive when There is organisational awareness of the need for a service desk function and an incident management process. Assistance is available on an informal basis through a network of knowledgeable individuals. These individuals have some common tools available to assist in incident resolution. There is no formal training and communication on standard procedures, and responsibility is left to the individual. 3 Defined Process when Kebutuhan akan fungsi meja layanan dan proses manajemen insiden diketahui da diterima. Prosedur sudah distandarkan dandidokumentasikan dan pelatihan informal diadakan. Adnya penugasan ke setiap individi untuk engikuti pelatihan da mengikuti standar. FAQs dan panduan bagi user dibuat, tetapi individu harus mencarinya dan bisa tidak mengikutinya. Masukan dan isiden dilacak secara manual dn dimonitor secara individual, tetapi tidak terdapat sistem pelaporan fromal. Respon terhadap masukan dan insiden tidak terukur dan insiden mungkin tida terselesaikan. User menerima komunikasi yang jelas kemana dan bagaimana melaporkan masalah dan insiden. 4 Managed and Measurable when Terdapat pemahaman sepenuhnya terhadap manfaat dari proses manajemen insiden pada semua level organisasi dan fungsi meja layanan diadakan pada unit organisasi yang tepat. Alat dan teknik terotomasi dengan basis pegetahuan yang terpusat. Staf meja layanan secara dekat berinteraksi sengan staf manajemen permasalahan. Tanggung jawab sangat jeals, dan efektivitas terpantau. Prosedur untukkomunikasi, eskalasi dan penyelesaiaan ditetapkan dan dikomunikasikan. Personal meja layanan dilatih dan proses diperbaiki dengan menggunakan softwre khusus. Manajemen telah mengembangkan KPI dan KGI utuk kinerja meja layanan. 5 Optimised when Proses manajemen insiden dan fungsi meja layanan diadakan dan diatur dengan baik dan berorientasi pada layanan pelanggan dengan berpengathuan, berfokus pada pelanggan dan siap membantu. KPI dan KGI secara sistematis diukur dan dilaporkan. Lebih luas lagi, FAQs secara terpadu adalah bagian integral dari basis pengetahuan. Alat digunakan memungkinkan user untuk mendiagnosis secara mandiri dan menyelesaikan insiden. Saran konsisten dan insiden diselesaikan dengan cepat dalam proses eskalasi yan terstruktur. Manajemen menggunakan peralatan ang erintegrasi untuk statitik kinerja dari proses manajemen insiden dan fungsi meja layanan. Proses telah menemukan praktik pada tingkat terbaiknya dalam praktik industri, berdasarkan hasil analisis KPI dan KGI, perbaikan berkesinambungan dan benchmarking dengan organisasi lain.
DESKRIPSI PROSES DS9 Mengelola Konfigurasi Menjamin integritas dari konfigurasi hardware dan software membutuhkan pembangungan dan maintenance konfigurasi repository secara komplit dan akurat. Proses ini termasuk mengumpulkan informasi konfigurasi awal, membangun baseline-baseline, memverifikasi dan mengaudit informasi konfigurasi, dan mengupdate konfigurasi repository sesuai kebutuhan. Manajemen konfigurasi yang efektif memfasilitasi availability system menjadi lebih besar, meminimalkan masalah produksi dan menyelesaikan permasalahan-permasalahan dengan lebih cepat.
Kendali di seluruh proses IT untuk Mengelola konfigurasi
yang memenuhi kebutuhan bisnis IT untuk meningkatkan infrastruktur IT, sumber daya dan kapabilitas, dan akunting aset-aset IT
dengan memfokuskan pada membangun dan me-maintenance repository dan baseline dari atribut konfigurasi assetasset IT secara lengkap dan akurat, serta membandingkan hasilnya dengan konfigurasi asset yang sebenarnya
dan dicapai melalui • • •
Membangun repository pusat dari seluruh item-item konfigurasi Mengidentifikasi item-item konfigurasi dan me-maintainnya Mereview integritas dari konfigurasi data
dan diukur dengan •
•
•
Jumlah permasalahan pemenuhan bisnis yang tidak terpenuhi yang disebabkan ketidak sesuaian konfigurasi aset-aset Jumlah deviasi yang teridentifikasi antara konfigurasi repository dengan konfigurasi asset yang actual Jumlah persentase lisensi yang dibeli dan tidak tercatat dalam repository
DS9
Deliver and Support Mengelola Konfigurasi
TUJUAN K ENDALI DS9 Mengelola Konfigurasi DS9.1 Konfigurasi Repository dan Baseline Membangun alat support dan repository pusat untuk berisi semua data yang relevan dengan item-item konfigurasi. Mengawasi dan merekam semua aset-aset dan perubahan terhadap aset-aset tersebut. Memaintain baseline item-item konfigurasi untuk setiap system dan layanan sebagai checkpoint setelah melakukan perubahan-perubahan. DS9.2 Ientifikasi dan Mengelola Item-Item Konfigurasi Membuat prosedur-prosedur konfigurasi untuk men-support manajemen dan pencatatan semua perubahan konfigurasi ke repository. Mengintegrasikan prosedur-prosedur tersebut dengan manajemen perubahan, manajemen insiden dan prosedur manajemen permasalahan. DS9.3 Me-review Integritas Konfigurasi Me-review konfigurasi data secara berkala untuk memverifikasi dan memastikan integritas dari konfigurasi yang ada dengan konfigurasi yang lalu. Me-review secara berkala, software yang sudah terinstall dengan policy penggunaan software untuk mengidentifikasi personal atau software yang tidak terlisensi atau software instance yang terdapat dalam perjanjian lisensi yang ada. Buat laporan, laksanakan dan perbaiki kesalahan dan deviasi-deviasi.
Deliver and Support Mengelola Konfigurasi
PANDUAN MANAJEMEN
DS9
DS9 Mengelola Konfigurasi Output
Ke
Konfigurasi IT / Detail asset
DS8
RFC (dimana dan bagaimana)
AI6 ME 1
Laporan performance proses
Dari Input
Dari
Input
AI4
User, Operasional, Support, Teknikal, dan pedoman administrasi
AI7
Release item-item konfigurasi
DS4
Item-i tem konfigurasi IT yang kritis
DS1 0
DS1 3
Diagram RACI Fungsi
Aktivitas Develop prosedur-prosedur perencanaan m anajemen konfigurasi Mengumpulkan informasi inisial konfigurasi dan establish baseline-baseline Verify dan audit informasi konfigurasi (termasuk deteksi software yang unauthorised) Update konfigurasi repository
C
I
A
C
I
C
C
C
A R
C
I R
R
C
R
I
A/R
I
A/R
I
A/R
Diagram RACI mengidentifikasi pihak-pihak yang bertanggungjawab, dipercaya, dikonsultasikan dan/atau diinformasikan (Responsible, Accountable, Consulted , Informed)
Pencapaian dan Matriks Optimasi infrastruktur IT, sumber daya, dan kapabilitas Mencatat dan mengamankan semua asset-aset IT
Membangun sebuah repository untuk seluruh asset, kontribusi atribut dan baseline-baseline Me-maintain integritas konfigurasi repository Me-review konfigurasi asset actual agar sesuai dengan baselinebaseline dalam repository
Membangun repository pusat untuk semua item-item konfigurasi Identifikasi item-item konfigurasi dan me-maintain data konfigurasi Review integritas dari data konfigurasi
Jumlah permasalahan bisnis yang disebabkan konfigurasi asset-aset yang idak sesuai
Jumlah deviasi yang teridentifikasi antara konfigurasi repository dengan konfigurasi aset-aset yang sebenarnya Persentase licensi yang dibeli dan tidak tercatat dlam repository
Waktu rata-rata antara mengidentifikasi kesalahan dan perbaikannya Jumlah pertentangan yang berhubungan dengan informasi konfigurasi yang tidak lengkap atau salah Persentase item-item konfigurasi yang sesuai dengan tingkat layanan untuk performansi, sekuriti dan availability
DS9