Anda di halaman 1dari 32
FrameWork Tata Kelola TI Indri Sudanawati Rozas, S.Kom
FrameWork
Tata Kelola TI
Indri Sudanawati Rozas, S.Kom
Pendahuluan Hasil survei yang dilakukan oleh IT Governance Institute (ITGI) yang tertuang dalam IT Governance
Pendahuluan
Hasil survei yang dilakukan oleh IT Governance Institute
(ITGI) yang tertuang dalam IT Governance Global Status
Report yang diterbitkan tahun 2008 antara lain
menyebutkan bahwa 63% responden menyatakan
teknologi informasi sangat penting bagi organisasinya,
termasuk organisasi yang berada di Indonesia, karena
survei dilakukan juga terhadap para CIO dan CEO yang
ada di Indonesia.
Masalah Tata Kelola TI Penggunaan teknologi informasi kadang tidak sesuai dengan harapan, dimana investasi IT
Masalah Tata Kelola TI
Penggunaan teknologi informasi kadang tidak sesuai
dengan harapan, dimana investasi IT yang semakin besar
ternyata tidak diikuti dengan dukungan yang semakin
besar pula terhadap pencapaian tujuan dan strategi
perusahaan/institusi. Inilah yang disebut dengan
“Productivity Paradox”.
Untuk memecahkan masalah tersebut diperlukan tata
kelola terhadap penggunaan teknologi informasi yang
biasa disebut dengan IT Governance. IT Governance
dipercaya sebagai solusi untuk memastikan bahwa IT
dapat mendukung pencapaian tujuan organisasi.
Framework Tata Kelola IT Hasil survei ITGI tentang framework yang sering dijadikan acuan oleh institusi
Framework Tata Kelola IT
Hasil survei ITGI tentang framework yang sering
dijadikan acuan oleh institusi untuk membangun tata
kelola IT-nya di antaranya adalah:
1. COBIT
2. IT Infrastructure Library
3. ISO 17799
4. ISO 27000
5. ISO/IEC 38500
6. Australian Standart 8015
serta yang bersifat lokal/nasional*
COBIT Control Objective for Information and related Technology, disingkat COBIT, adalah suatu panduan standar praktik
COBIT
Control Objective for Information and related
Technology, disingkat COBIT, adalah suatu panduan
standar praktik manajemen teknologi informasi.
Standar COBIT dikeluarkan oleh IT Governance Institute
yang merupakan bagian dari ISACA. COBIT 4.0
merupakan versi terbaru.
COBIT memiliki 4 cakupan domain, yaitu :
Perencanaan dan organisasi (plan and organise)
Pengadaan dan implementasi (acquire and implement)
Pengantaran dan dukungan (deliver and support)
Pengawasan dan evaluasi (monitor and evaluate)
Planning & Organization (PO) Domain ini mencakup strategi dan taktik, dan mengenai pengidentifikasian cara agar
Planning & Organization (PO)
Domain ini mencakup strategi dan taktik, dan mengenai
pengidentifikasian cara agar TI dapat memberikan konstribusi terbaiknya
bagi pencapaian tujuan bisnis. Lebih lanjut lagi, realisasi visi strategi
perlu untuk direncanakan, dikomunikasikan dan dikelola untuk sudut
pandang yang berbeda. Sehingga, suatu pengorganisasian yang memadai
seperti infrastruktur teknologi harus ditempatkan sebagaimana menstinya.
Acquisition & Implementation (AI)
Domain ini menjelaskan bahwa untuk merealisasikan strategi TI, maka
solusi TI perlu untuk diidentifikasikan, dikembangkan atau didapatkan,
dan juga untuk diimplementasikan dan diintegrasikan kedalam proses-
proses bisnis. Perubahan dalam dan pemeliharaan atas sistem-sistem yang
sudah ada dicakup dalam domain ini untuk memastikan bahwa siklus
hidup dilanjutkan untuk sistem-sistem tersebut.
Delivery & Support (DS) Domain ini mengenai layanan aktualnya atas jasa yang dibutuhkan, yang mana
Delivery & Support (DS)
Domain ini mengenai layanan aktualnya atas jasa yang dibutuhkan,
yang mana cakupannnya dari operasional tradisional atas aspek
keamanan dari kelangsungan sampai pelatihan. Sehubungan untuk
memberikan layanan atas jasa, maka proses-proses yang diperlukan
untuk mendukung hal tersebut harus ditetapkan. Domain ini
mencakup pemrosesan aktual atas dar dengan system aplikasi, yang
seringkali diklasifikasikan menurut pengendalian aplikasi
Monitoring (M)
Domain ini menjelaskan bahwa semua proses TI perlu secara tetap
dinilai atas kualitas dan kepatuhannya terhadap kebutuhan
pengendalian. Domain ini menekankan pengawasan manajemen atas
independen yang diberikan dengan melakukan audit intern dan
ekstern atau diproleh dari sumber-sumber alternatif.
IT Infrastructure Library ITIL atau Information Technology Infrastructure Library (Bahasa Inggris, diterjemahkan
IT Infrastructure Library
ITIL atau Information Technology Infrastructure Library (Bahasa
Inggris, diterjemahkan Pustaka Infrastruktur Teknologi Informasi),
adalah suatu rangkaian konsep dan teknik pengelolaan infrastruktur,
pengembangan, serta operasi teknologi informasi (TI). ITIL
diterbitkan dalam suatu rangkaian buku yang masing-masing
membahas suatu topik pengelolaan TI. Nama ITIL dan IT
Infrastructure Library merupakan merek dagang terdaftar dari Office
of Government Commerce (OGC) Britania Raya.
Walaupun dikembangkan sejak dasawarsa 1980-an, penggunaan
ITIL baru meluas pada pertengahan 1990-an dengan spesifikasi versi
keduanya (ITIL v2) yang paling dikenal dengan dua set bukunya
yang berhubungan dengan ITSM (IT Service Management), yaitu
Service Delivery (Antar Layanan) dan Service Support (Dukungan
Layanan).
Pada 30 Juni 2007, OGC menerbitkan versi ketiga ITIL (ITIL v3) yang intinya terdiri dari
Pada 30 Juni 2007, OGC menerbitkan versi ketiga ITIL (ITIL v3)
yang intinya terdiri dari lima bagian dan lebih menekankan pada
pengelolaan siklus hidup layanan yang disediakan oleh teknologi
informasi. Kelima bagian tersebut adalah:
1. Service Strategy
2. Service Design
3. Service Transition
4. Service Operation
5. Continual Service Improvement
ITIL memberikan deskripsi detil tentang beberapa praktik TI penting
dengan daftar cek, tugas, serta prosedur yang menyeluruh yang dapat
disesuaikan dengan segala jenis organisasi TI.
Kelima bagian tersebut dikemas dalam buku “core guidance publications”. Setiap buku dalam kelompok utama ini
Kelima bagian tersebut dikemas dalam buku “core guidance publications”.
Setiap buku dalam kelompok utama ini berisi:
1. Practice fundamentals – menjelaskan latar belakang tahapan lifecycle serta
kontribusinya terhadap pengelolaan layanan TI secara keseluruhan.
2. Practice principles – menjelaskan konsep-konsep kebijakan serta tata kelola tahanan
lifecycle yang menjadi acuan setiap proses terkait dalam tahapan ini.
3. Lifecycle processes and activities – menjelaskan berbagai proses maupun aktivitas
yang menjadi kegiatan utama tahapan lifecycle. Misalnya proses financial
management dan demand management dalam tahapan Service Strategy.
4. Supporting organization structures and roles – proses-proses ITIL tidak akan dapat
berjalan dengan baik tanpa defini roles dan responsibilities. Bagian ini menjelaskan
semua aspek yang terkait dengan kesiapan model dan struktur organisasi.
5. Technology considerations – menjelaskan solusi-solusi otomatisasi atau software
ITIL yang dapat digunakan pada tahapan lifecycle, serta persyaratannya.
6. Practice Implementation – berisi acuan/panduan bagi organisasi TI yang ingin
mengimplementasikan atau yang ingin meningkatkan proses-proses ITIL.
7. Complementary guideline – berisi acuan model-model best practice lain selain ITIL
yang dapat digunakan sebagai referensi bagian tahapan lifecycle.
8. Examples and templates – berisi template maupun contoh-contoh pengaplikasian
proses.
Di samping buku-buku dalam core guidance publications, ada juga complementary guidance. Dimana buku-buku dalam kategori
Di samping buku-buku dalam core guidance publications, ada juga
complementary guidance. Dimana buku-buku dalam kategori
nantinya dimaksudkan untuk memberikan model, acuan dan panduan
bagi penerapan ITIL pada sektor-sektor tertentu seperti jenis industri
tertentu, tipe organisasi serta arsitektur teknologi. Dengan demikian,
ITIL akan dapat lebih diterima serta diadaptasi sesuai dengan
lingkungan serta behaviour dari setiap organisasi TI.
Siklus Layanan ITIL. Kelima bagian ITIL yang seperti tersebut di
atas biasanya disebut juga sebagai bagian dari sebuah siklus. Dikenal
pula dengan sebutan Sikuls Layanan ITIL.
ISO Organisasi Internasional untuk Standardisasi (bahasa Inggris: International Organization for Standardization
ISO
Organisasi Internasional untuk Standardisasi (bahasa Inggris:
International Organization for Standardization disingkat ISO atau Iso)
adalah badan penetap standar internasional yang terdiri dari wakil-wakil
dari badan standardisasi nasional setiap negara. Pada awalnya, singkatan
dari nama lembaga tersebut adalah IOS, bukan ISO. Tetapi sekarang lebih
sering memakai singkatan ISO, karena dalam bahasa Yunani isos berarti
sama (equal). Penggunaan ini dapat dilihat pada kata isometrik atau
isonomi.
Didirikan pada 23 Februari 1947, ISO menetapkan standar-standar
industrial dan komersial dunia. ISO, yang merupakan lembaga nirlaba
internasional, pada awalnya dibentuk untuk membuat dan memperkenalkan
standardisasi internasional untuk apa saja. Standar yang sudah kita kenal
antara lain standar jenis film fotografi, ukuran kartu telepon, kartu ATM
Bank, ukuran dan ketebalan kertas dan lainnya. Dalam menetapkan suatu
standar tersebut mereka mengundang wakil anggotanya dari 130 negara
untuk duduk dalam Komite Teknis (TC), Sub Komite (SC) dan Kelompok
Kerja (WG).
Meski ISO adalah organisasi nonpemerintah, kemampuannya untuk menetapkan standar yang sering menjadi hukum melalui
Meski ISO adalah organisasi nonpemerintah, kemampuannya untuk
menetapkan standar yang sering menjadi hukum melalui persetujuan
atau standar nasional membuatnya lebih berpengaruh daripada
kebanyakan organisasi non-pemerintah lainnya, dan dalam
prakteknya ISO menjadi konsorsium dengan hubungan yang kuat
dengan pihak-pihak pemerintah. Peserta ISO termasuk satu badan
standar nasional dari setiap negara dan perusahaan-perusahaan besar.
ISO bekerja sama dengan Komisi Elektroteknik Internasional (IEC)
yang bertanggung jawab terhadap standardisasi peralatan elektronik.
Penerapan ISO di suatu perusahaan berguna untuk: Meningkatkan citra perusahaan Meningkatkan kinerja lingkungan
Penerapan ISO di suatu perusahaan berguna untuk:
Meningkatkan citra perusahaan
Meningkatkan kinerja lingkungan perusahaan
Meningkatkan efisiensi kegiatan
Memperbaiki manajemen organisasi dengan menerapkan perencanaan,
pelaksanaan, pengukuran dan tindakan perbaikan (plan, do, check, act)
Meningkatkan penataan terhadap ketentuan peraturan perundang-
undangan dalam hal pengelolaan lingkungan
Mengurangi risiko usaha
Meningkatkan daya saing
Meningkatkan komunikasi internal dan hubungan baik dengan berbagai
pihak yang berkepentingan
Mendapat kepercayaan dari konsumen/mitra kerja/pemodal
ISO 17799 Secara internal keuntungan-keuntungan menerapkan suatu ISO 17799 Sistem Manajemen Keamanan Informasi (ISMS)
ISO 17799
Secara internal keuntungan-keuntungan menerapkan suatu ISO
17799 Sistem Manajemen Keamanan Informasi (ISMS) dapat
digunakan sebagai:
Suatu pengukuran untuk keamanan perusahaan
Satu set kendali
Suatu metoda untuk menentukan target dan mengusulkan peningkatan
Basis untuk standard keamanan informasi intern perusahaan
Organisasi menerapkan ISO 17799 mempunyai suatu alat untuk
mengukur, mengatur dan mengendalikan informasi yang penting
kepada operasi system mereka. Pada gilirannya ini dapat mendorong
kearah kepercayaan pelanggan, yang lebih efisien dan sistem internal
efektif serta suatu tanda kelihatan dari kesanggupan suatu organisasi
.
Apa Isi dari ISO-17799 ? Isi ISO 17799, meliputi : 10 control clauses (10 pasal
Apa Isi dari ISO-17799 ?
Isi ISO 17799, meliputi :
10 control clauses (10 pasal pengamatan)
36 control objectives (36 objek/sasaran pengamanan)
127 controls securiy (127 pengawasan keamanan)
Apa itu ISO 17799? ISO 17799 merupakan suatu struktur dan rekomendasi pedoman yang diakui secara
Apa itu ISO 17799?
ISO 17799 merupakan suatu struktur dan rekomendasi pedoman
yang diakui secara internasional untuk keamanan informasi.
Suatu proses keamanan informasi yang menyeluruh yang dapat
diusahakan atau di implementasikan bagi perusahaan agar
memperoleh manfaat keamanan yang diinginkan.
Proses evaluasi, implementasi, pemeliharaan dan pengaturan
keamanan informasi yang singkat.
Upaya penggunaan oleh konsorsium perusahaan untuk memenuhi
kebutuhan industri.
ISO 17799 merupakan proses yang seimbang antara fisik,
keamanan secara teknikal dan prosedur, serta keamanan pribadi.
Keluarga ISO 27000 ISO 27000: dokumen defenisi-defenisi keamanan informasi yang digunakan sebagai istilah dasar dalam
Keluarga ISO 27000
ISO 27000: dokumen defenisi-defenisi keamanan informasi yang digunakan sebagai
istilah dasar dalam serial ISO 27000.
ISO 27001: berisi aspek-aspek pendukung realisasi serta implementasi sistem manajemen
keamanan informasi perusahaan
ISO 27002: terkait dengan dokumen ISO 27001, namun dalam dokumen ini terdapat
panduan praktis pelaksanaan dan implementasi sistem manajemen keamanan informasi
perusahaan.
ISO 27003: panduan implementasi sistem manajemen keamanan informasi perusahaan.
ISO 27004: dokumen yang berisi matriks dan metode pengukuran keberhasilan
implementasi sistem manajemen keamanan informasi.
ISO 27005: dokumen panduan pelaksanaan manajemen risiko.
ISO 27006: dokumen panduan untuk sertifikasi sistem manajemen keamanan informasi
perusahaan.
ISO 27007: dokumen panduan audit sistem manajemen keamanan informasi perusahaan.
ISO 27799: panduan ISO 27001 untuk industri kesehatan.
ISO 27001: 2005 digunakan sebagai icon sertifikasi ISO 27000
ISO/IEC 38500 The ISO/IEC 38500:2008 Corporate governance of information technology standard, provides a framework for
ISO/IEC 38500
The ISO/IEC 38500:2008 Corporate governance of information
technology standard, provides a framework for effective governance
of IT to assist those at the highest level of organizations to
understand and fulfill their legal, regulatory, and ethical obligations
in respect of their organizations’ use of IT.
ISO/IEC 38500 is applicable to organizations from all sizes,
including public and private companies, government entities, and
not-for-profit organizations. This standard provides guiding
principles for directors of organizations on the effective, efficient,
and acceptable use of Information Technology (IT) within their
organizations. It is organized into three prime sections, specifically,
Scope, Framework and Guidance
The framework comprises definitions, principles and a model. It sets out six principles for good
The framework comprises definitions, principles and a
model. It sets out six principles for good corporate
governance of IT:
Responsibility;
Strategy;
Acquisition;
Performance;
Conformance;
Human behaviour.
It also provides guidance to those advising, informing, or
assisting directors.
Australian Standart 8015 Standar ini menyediakan prinsip panduan bagi direktur atau top level management organisasi
Australian Standart 8015
Standar ini menyediakan prinsip panduan bagi direktur
atau top level management organisasi untuk penggunaan
teknologi komunikasi dan informasi yang efektif, efisien,
dan dapat diterima dengan baik di dalam organisasi
(Australian Standard, 2005).
Australian Standard 8015 (AS 8015) merupakan panduan
bagi terciptanya suatu sistem dimana penggunaan
Teknologi Informasi dan Komunikasi (TIK) pada saat ini
dan di masa depan dapat terarah dan terkendali.
Prinsip AS 8015 1. Menetapkan tanggung jawab terhadap TIK yang dapat dipahami secara jelas –
Prinsip AS 8015
1. Menetapkan tanggung jawab terhadap TIK yang dapat dipahami secara
jelas – memastikan individu atau group dalam organisasi memahami dan
menerima tanggung jawabnya dalam TIK.
2. Merencanakan TIK untuk sebaik mungkin mendukung organisasi –
memastikan rencana TIK sesuai dengan kondisi sekarang dan kebutuhan
yang sedang berjalan dan rencana TIK mendukung rencana organisasi
3. Mengadakan sarana TIK secara benar – memastikan akuisisi TIK dibuat
dengan alasan yang disetujui pada level tertentu dan analiasa yang sesuai.
Selain itu terdapat keseimbangan antara biaya, risiko, serta keuntungan
jangka pendek maupun panjang.
4. Memastikan TIK berjalan baik, kapanpun diperlukan – memastikan TIK
sesuai dengan tujuannya untuk mendukung organisasi, responsive terhadap
kebutuhan bisnis dan menyediakan dukungan pada bisnis ketika
dibutuhkan.
5. Memastikan TIK memenuhi aturan-aturan formal – memastikan TIK sesuai
dengan peraturan-peraturan eksternal dan sejalan dengan standard dan
kebijakan organisasi
6. Memastikan TIK memperhatikan faktor manusia – memastikan TIK
memenuhi kebutuhan saat ini dan mencakup semua orang di dalam proses
Gambar tsb menjelaskan bahwa dalam mengevaluasi penggunaan TIK, Direktur harus mempertimbangkan tuntutan terhadap bisnis,
Gambar tsb menjelaskan bahwa dalam mengevaluasi penggunaan
TIK, Direktur harus mempertimbangkan tuntutan terhadap bisnis,
seperti perubahan teknologi, ekonomi, tren sosial, dan pengaruh
politis. Direktur juga harus memperhatikan kebutuhan bisnis yaitu
tujuan organisasi yang harus dicapai seperti meningkatakan daya
saing. Direktur harus mengarahkan persiapan dan implementasi
rencana dan kebijakan. Rencana tersebut harus menentukan arahan
investasi pada proyek TIK atau perubahan pada operasi TIK.
Kebijakan harus menentukan perilaku dalam penggunaan TIK.
Direktur harus memastikan bahwa transisi dari proyek ke operasi
memperhatikan dampak pada operasional dan infrastruktur TIK yang
ada. Untuk melengkapi siklus tersebut, Direktur harus memonitor
performa TIK melalui sistem pengukuran performa yang sesuai dan
memastikan bahwa performa tersebut sesuai dengan yang
direncanakan. Direktur juga harus memastikan bahwa penggunaan
TI sesuai dengan ketentuan hukum eksternal dan praktik kerja
internal. Jika dibutuhkan, mereka harus mengarahkan pengumpulan
proposal untuk persetujuan dalam pemenuhan kebutuhan yang
diidentifikasi.
Direktur bertanggung jawab dalam mengarahkan TIK melalui tugas utamanya yaitu: evaluasi penggunaan TIK (evaluate),
Direktur bertanggung jawab dalam mengarahkan TIK
melalui tugas utamanya yaitu: evaluasi penggunaan TIK
(evaluate), mengarahkan penyusunan dan implementasi
rencana serta kebijakan (direct), melakukan fungsi
monitoring terhadap kebijakan dan kinerja dari target yang
direncanakan (monitor). Prinsip dan tugas utama tersebut
kemudian dipetakan dalam sebuah matriks IT Governance
Framework yang berisi tindakan-tindakan yang harus
dilakukan oleh Direktur untuk mengimplementasikan 6
prinsip dalam “good corporate governance of ICT”.
Sertifikasi ISMS Sertifikasi Pihak ketiga menawarkan suatu pandangan yang tidak memihak dari sistem keamanan
Sertifikasi ISMS
Sertifikasi Pihak ketiga menawarkan suatu pandangan yang tidak memihak
dari sistem keamanan perusahaan, Hal ini memudahkan dalam melakukan
usaha / bisnis; tentunya akan mendorong dan memungkinkan organisasi
untuk masuk ke hubungan uasaha / bisnis , dengan mempromosikan
memungut manajemen keamanan informasi sesuai ke bidang uasaha / bisnis
demi kepentingan bisnis global secara keseluruhan.
Sertifikasi dari ISMS seluruhnya sifatnya sukarela/fakultatif. Organisasi
yang mana dengan sukses melengkapi sertifikasi proses itu, mempunyai
kepercayaan lebih besar di dalam manajemen keamanan informasi mereka
dan akan mampu menggunakan sertifikat itu untuk membantu, meyakinkan
bisnis bersekutu dengan siapa yang mereka berbagi informasi. Sertifikat
membuat suatu statemen kemampuan publik, dan mengijinkan organisasi
untuk menyimpan/pelihara secara detil tentang sistem keamanan rahasianya
.