Implementasi ISO/IEC 27001 ISMS

Business Continuity Management

Business Contingency Planning adalah

Suatu program yang disusun dan dikendalikan terhadap

konsekuensi pada gangguang bisnis ke arah kondisi yang dapat
diterima dan tingkatan proses yang dapat diatur.

Apakah tujuan dari BCP?

Untuk memastikan keberlangsungan dan kelancaran bisnis

Untuk menyediakan perlindungan aset perusahaan
Untuk menyediakan kontrol manajemen terhadap risiko dan
exposures
Untuk menyediakan ukuran pencegahan bencana
Untuk mendapatkan kontrol manajemen jika terjadi gangguan
pada bisnis

Pertanyaan umum

Apakah terdapat skenario bencana?

Bagaimana fungsi bisnis dapat dibentuk kembali?
Kapan dampak mulai terjadi?
Berapa kerugian yang dapat ditoleransi?
Apakah ada pilihan lain?
Berapa biaya dalam rencana pemulihan?
Apakah cukup untuk memulihkan keseluruhan proses bisnis?

Disaster Recovery

BCM harus memperhatikan risiko yang kritikal berdasarkan hasil

identifikasi dan evaluasi terhadap kelangsungan bisnis

Risk assessment harus memberikan indikasi pada pemilihan

proses bisnis yang harus dilindungi oleh Disaster Recovery Plan

Kerangka Waktu Permulihan

Losses/Consequences

What if Time To Impact Recovery Time Frame?

Early Detection?

Recovery Time
Frame

Unacceptable

Recovery Cost

Elapsed Time
impact
Occurrence of
disaster

Kerangka Waktu Permulihan

Losses/Consequences

What if Time To Impact Recovery Time Frame?

Early Detection?

Recovery Time
Frame

Unacceptable

Recovery Cost

Elapsed Time
impact
Occurrence of
disaster

Elemen BCP

Rencana komunikasi
Kesiapan lokasi
Pemilihan terhadap pemulihan oleh organisasi atau pihak lain
Pemilihan teknologi

Harus mendukung data yang ada dan RTO/RPO

Pengembangan dokumen dan otomasi

Pengembangan rencana pengujuan dan pelaksanaannya
Rencana pemeliharaan dan peningkatan

Pemilihan lokasi pemulihan dan persiapan

Memilih lokasi pemulihan harus mempunyai ancaman yang

rendah dibandingkan dengan lokasi utama
Juga harus mempertimbangkan beberapa hal sebagai berikut:

Daerah
Teknologi dan jangkauan komunikasi termasuk jaringan
Kapasitas energi yang signifikan

DRP: Pertimbangan (2)

Dalam menuliskan DRP, beberapa hal yang harus

dipertimbagkan:

Waktu pemulihan terhadap proses bisnis yang kritikal

Kritikalitas kebutuhan pada fungsi bisnis dan Prioritas terhadap masingmasing fungsi bisnis dalam suatu proses bisnis
Kebutuhan aset (H/W,S/W,data,personil,) dalam setiap fungsi bisnis
Kritikalitas dari kebutuhan aset terhadap fungsi bisnis
Berarti harus memastikan ketersediaan aset tersebut berdasarkan kritikalitas

Kondisi awal

Ketersediaan Perangkat keras

Ketersediaan perangkat lunak dan data

Dibutuhkan s/w dan data yang diback-up secara periodik

Prosedur dan dokumentasi pemrosesan data, termasuk user manual s/w dan
h/w harus di-copy

Ketersediaan personil yang sesuai

Tim pemulihan harus termasuk dalam seluruh personil yang dibutuhkan untuk
menjalankan proses
Back-up tim harus ditugaskan untuk mengantisipasi ketidakhadiran pada tim
utama

Apa yang dijelaskan pada standar

A.14.1.1 Including information security in the

business continuity management process

Kebijakan pengamanan informasi pada BCP dan DRP

Kesesuaian terhadap seluruh kebijakan selama skenario bencana

Penanganan aset informasi selama bencana berdasarkan klasifikasi
informasi
Apakah terdapat strategi (prosedur) lain berdasarkan kebijakan yang ada?

Segregation of duties
User access management
Monitoring & control
Network segregation & enforced routing
Information backup

Definisi kebutuhan pengamanan informasi pada BCP dan DRP

Aturan dan tanggung jawab terhadap setiap personil

A.14.1.2 Business continuity and risk assessment

Risk assessment dalam pengembangan ISMS dan BCP/DRP:

bagaimana keterkaitannya?

Identifikasi risiko terkait dengan isu operasional selama skenario

bencana.

Perubahan dalam proses bisnis

Ketersediaan personil dan kepemilikan aset

A.14.1.3 Developing and implementing continuity

plans including information security

Beberapa isu yang harus diverifikasi:

Identifikasi dan pengesahan tanggung jawab dan procedur BCP

Identifikasi kerugian yang dapat diterima terhadap informasi dan layanan
Ketersediaan informasi yang dibutuhkan dalam skala waktu.
Prosedur operasional dalam rangka menindak-lanjuti pemulihan dan restorasi
data dan proses
Dokumentasi prosedur dan proses

Jika lokasi alternatif digunakan, implementasi kontrol

pengamanan pada lokasi tersebut harus sama dengan yang
terdapat pada lokasi utama

A.14.1.4 Business continuity planning framework

Pertimbangan secara hati-hati dalam mendefinisikan kondisi

untuk mengaktifkan rencana BCP yang menjelaskan proses yang
harus diikuti (contoh: bagaimana melakukan penilaian terhadap
situasi, siaoa yang terlibat) sebelum setiap rencana diaktifkan.
Verifikasi terhadap prosedur darurat yang menjelaskan tindakan
yang diambil.
Menentukan jadwal pemeliharaan yang menjelaskan bagaimana
dan kapan dilakukan pengujian BCP.
Edukasi dan peningkatan pemahaman
Identifikasi kritikalitas aset
Klasifikasi dokumen DRP

A.14.1.5 Testing, maintaining, and re-assessing

business continuity plans

BCP harus diuji secara

periodik
Kriteria pengujian dan
prosedur harus dibuat
Pengujian BCP:

Cheklist pengujian
Simulasi pengujian
Pengujian pararel
Pengujian menyeluruh

Melaporkan hasil
pengujian
Hasil pengujian harus
dikaji dan diperbaharui
ketika diperlukan

DRP
DRP
Full
interruption

Revise

checklist
Retest

Parallel

Disaster Recovery Plan

Testing Cycle
Revise

Walkthrough
Retest

Simulation