Anda di halaman 1dari 345
UNIVERSITAS INDONESIA PERANCANGANBUSINESS CONTINUTIY PLAN (BCP) : STUDI KASUS PT ABC KARYA AKHIR PRABOWO PRIYO

UNIVERSITAS INDONESIA

PERANCANGANBUSINESS CONTINUTIY PLAN (BCP) :

STUDI KASUS PT ABC

KARYA AKHIR

PRABOWO PRIYO ARDHIATNO

1006747896

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

UNIVERSITAS INDONESIA PERANCANGAN BUSINESS CONTINUTIY PLAN (BCP) : STUDI KASUS PT ABC KARYA AKHIR Diajukan

UNIVERSITAS INDONESIA

PERANCANGAN BUSINESS CONTINUTIY PLAN (BCP) :

STUDI KASUS PT ABC

KARYA AKHIR

Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi

PRABOWO PRIYO ARDHIATNO

1006747896

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

HALAMAN PERNYATAAN ORISINALITAS

Karya Akhir ini adalah hasil karya karya saya sendiri, Dan semua sumber baik yang dikutip
Karya Akhir ini adalah hasil karya karya saya sendiri,
Dan semua sumber baik yang dikutip maupun dirujuk
Telah saya nyatakan dengan benar.
Nama
NPM
Tanda Tangan
: Prabowo Priyo Ardhiatno
: 1006747896
:
Tanggal
: 21 Januari 2013

Perancangan business

ii

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

HALAMAN PENGESAHAN

Karya Akhir ini diajukan oleh Nama NPM Program Studi Judul Karya Akhir

:

:

: 1006747896 Magister Teknologi Informasi

:

: PERANCANGAN BUSINESS CONTINUTIY PLAN (BCP) : STUDI KASUS PT ABC

Prabowo Priyo Ardhiatno

DEWAN PENGUJI Pembimbing : Dr. Achmad Nizar Hidayanto ( Penguji : Yudho Giri Sucahyo, Ph.D
DEWAN PENGUJI
Pembimbing
:
Dr. Achmad Nizar Hidayanto
(
Penguji
:
Yudho Giri Sucahyo, Ph.D
Penguji
:
Rizal Fathoni Aji, M.Kom

Telah berhasil dipertahankan di hadapan Dewan Penguji dan diterima sebagai bagian persyaratan yang diperlukan untuk memperoleh gelar Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer, Universitas Indonesia.

)

Informasi, Fakultas Ilmu Komputer, Universitas Indonesia. ) Ditetapkan di : Jakarta Tanggal : 21 Januari

Ditetapkan di

:

Jakarta

Tanggal

:

21 Januari 2013

Perancangan business

iii

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

KATA PENGANTAR

Segala puji syukur kehadirat Allah Subhanallahu Wata’ala, yang telah

melimpahkan rahmat dan hidayahNya sehingga penulis dapat menyelesaikan

karya akhir ini sesuai dengan harapan. Dan juga shalawat dan salam kepada Nabi

Muhammad Rasul akhirul zaman yang menjadi suri tauladan bagi umatnya.

Dalam penyusunan karya akhir ini penulis banyak mendapat bimbingan,

arahan, saran dan dukungan dari berbagai pihak. Oleh karena menunggu saya :-) 1. dari masuk
arahan, saran dan dukungan dari berbagai pihak. Oleh karena
menunggu saya :-)
1.
dari masuk ke MTI sampai saat ini dapat menyelesaikan karya akhir ini.
2.
Universitas Indonesia.
3.
Ihsandan Bp. Restu yang sudah memberikan ilmunya dengan cuma-cuma.
4.
rekan satu angkatan 2010.
5.

Mas Pri (Kakak Ipar), Wahyu (Adik), Raka Keponakan kecil yang selalu memberi

keceriaan di saat saya lelah, dan Seseorang di sana yang dengan sabar selalu

Dr. Achmad Nizar Hidayanto S.Kom.,M.Kom selaku dosen pembimbing,

yang telah banyak memberikan waktunya untuk membimbing, membantu dan

banyak memberikan tambahan masukan dan ilmu pengetahuan bagi penulis mulai

Seluruh jajaran pengajardan staf administrasi (Pak Wiryo, Pak Ganda, Bu

Dewi dan Bu Nining) dalam lingkup Program Studi Magister Teknologi Informasi

Teman-teman kantor saya, Ibu Murty dan Bapak Budiman selaku dewan

direksi yang sudah memberikan ijin dan dukungannya untuk dapat melakukan

penelitian di kantor Bapak dan Ibu, Bapak Yoseph Ronald yang sudah banyak

membantu studi saya, Bp. Paul, Bp. Andhika, Bp. Imron, Bp. Bobby, Bp.

Teman-teman MTI UI 2010 SB dan sivitas akademik UI, khususnya rekan-

Pihak-pihak yang tidak dapat penulis sebutkan satu persatu yang turut

memberikan dukungan dalam penyusunan karya akhir ini.

Penulis menyadari bahwa karya akhir ini masih memiliki keterbatasan dan

kekurangan. Penulis berharap agar karya akhir ini memberikan manfaat bagi

penulis dan bermanfaat bagi pembacanya.

Perancangan business

Jakarta, 21 Januri 2012

Penulis

iv

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI TUGAS AKHIR UNTUK KEPENTINGAN AKADEMIS

Sebagai sivitas akademik Universitas Indonesia, saya yang bertanda tangan di bawah ini:

Nama

Prabowo Priyo Ardhiatno : 1006747896 - : Teknologi Informasi

:

NPM Departemen : Program Studi Perancangan BusinessContinuityPlan(BCP) : Studi Kasus PT.ABC. Demikian pernyataan ini
NPM
Departemen
:
Program Studi
Perancangan BusinessContinuityPlan(BCP) : Studi Kasus PT.ABC.
Demikian pernyataan ini saya buat dengan sebenarnya.

Demi pengembangan ilmu pengetahuan, menyetujui untuk memberikan kepada Universitas Indonesia Hak Bebas Royalti Nonekslusif (Non-exclusive Royalty- Free Right) atas karya ilmiah saya yang berjudul :

beserta perangkat yang ada (jika diperlukan). Dengan Hak Bebas Royalti Nonekslusif ini Universitas Indonesia berhak menyimpan, mengalihmedia/Formatkan, mengelola dalam bentuk pangkalan data (database), merawat, dan memublikasikan tugas akhir saya selama tetap mencantumkan nama saya sebagai penulis/pencipta dan sebagai pemilik Hak Cipta.

Dibuat di : Jakarta Pada tanggal : 21 Januari 2013 Yang menyatakan

di : Jakarta Pada tanggal : 21 Januari 2013 Yang menyatakan (Prabowo Priyo Ardhiatno) v Perancangan

(Prabowo Priyo Ardhiatno)

v

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

ABSTRAK

Nama

Program Studi : Magister Teknologi Informasi

Judul

: Prabowo Priyo Ardhiatno

: PERANCANGAN BUSINESS CONTINUTIY PLAN (BCP) :

STUDI KASUS PT ABC

Karya akhir ini membahas mengenai perancangan BusinessContinuityPlan (BCP) pada studi kasus PT. ABC. Kesulitan yang dialami oleh PT.ABC dalam mengimplementasikan sebuah program BCP menjadi latar belakang dari karya akhir ini, kesulitan tersebut disebabkan antara lain kurangnya komitmen manajemen, kurangnya pengetahuan SDM akan pengembangan program BCMS dan belum adanya standar pengembangan BCP khusus untuk industri konstruksi. Pengembangan BCP dilakukan dengan menggunakan kerangka kerja generik dari BS 25999. Langkah-langkah pengembangan yang dilakukan mulai dari RiskAssessment, Business Impact Analysis (BIA), sampai dengan pengembangan BCP/DRP. Data diperoleh melalui analisis dokumen, wawancara maupun survei dengan pihak middle management yang dilakukan untuk mendapatkan pengetahuan mengenai risiko apa saja yang mungkin dihadapi, proses bisnis mana yang kritis untuk keberlangsungan organisasi, dan juga kualifikasi masing-masing Subject Matter Expert (SME). Hasil dari penelitian ini adalah dokumen BCP berdasarkan BS 25999 yang harus memuat tujuan dan ruang lingkup, peran dan tanggung jawab, detail contact, Action Plan/TaskList dan Form/lampiran yang berisi tabel riskAssessment, tabel BIA dan Form-Form yang penting lainnya.Dari pengalaman selama melakukan penelitian ini, diperoleh kesimpulan bahwa kunci untuk mendapatkan sebuah BCP yang sesuai dengan kebutuhan PT.ABC (maupun organisasi lainnya) adalah dengan melakukan proses pemahaman organisasi (RiskAssessment dan BIA) secara benar, melakukannya dengan runtut dan sesuai dengan batasan ruang lingkup yang sudah disepakati sebelumnya. Dokumen BCP yang dihasilkan diharapkan akan membantu kehandalan dan menambah resiliencePT.ABC dalam menghadapi berbagai masalah yang mungkin dihadapi dan meningkatkan kepercayaan masyarakat dan perusahaan rekan terhadap PT.ABC.

Kata kunci :BCP, DRP, BS 25999, Konstruksi, Resillience.
Kata kunci :BCP, DRP, BS 25999, Konstruksi, Resillience.

Perancangan business

vi

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

ABSTRACT

Nama

Program Studi : Magister Teknologi Informasi

Judul

: Prabowo Priyo Ardhiatno

: DESIGNING BUSINESS CONTINUTIY PLAN (BCP) :

CASE STUDY OF PT ABC

This final project is discussing the design of a Business Continuity Plan (BCP) in the case study of PT. ABC. The background of this final project is the difficulties experienced by PT.ABC in implementing a BCP program. The difficulties is due to such a lack of Management commitment, lack of knowledge of BCMS program development and the absence of BCP development standards specific to the construction industry.

Keywords: BCP, DRP, BS 25999, Construction, Resillience
Keywords: BCP, DRP, BS 25999, Construction, Resillience

BCP Development is done using the generic framework of BCP in this case BS 25999. Development steps are done from Risk Assessment, Business Impact Analysis (BIA) all the way to the development of BCP / DRP. Data obtained through the analysis of documents, interviews and surveys with the middle Management. It done to gain knowledge about any risks that may be encountered, which Business processes are critical to the sustainability of the organization, and the qualifications of each Subject Matter Expert (SME).

Based on BS 25999 BCP document, the results of this study should contain the objectives and scope, roles and responsibilities, contact details, Action Plan / Task List and Form / attachments containing tables risk Assessment, BIA tables and some of important Form. From the experience during this study, it is concluded that the key to getting a BCP that fit the needs of PT.ABC (or other organizations) is to make the process of understanding the organization (Risk Assessment and BIA) properly, do it coherently and in accordance with the scope limits that have been agreed in advance. BCP document generated is expected to help increase the reliability and resilience in the face of PT.ABC problems you might encounter and enhance public trust and Company associates to PT.ABC.

Perancangan business

vii

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

DAFTAR ISI

HALAMAN PERNYATAAN ORISINALITAS

HALAMAN PENGESAHAN

KATA PENGANTAR ABSTRAK DAFTAR ISI

DAFTAR GAMBAR DAFTAR TABEL DAFTAR LAMPIRAN DAFTAR ISTILAH BAB 1 PENDAHULUAN 1.1 Latar Belakang 1.2
DAFTAR
GAMBAR
DAFTAR TABEL
DAFTAR LAMPIRAN
DAFTAR ISTILAH
BAB 1
PENDAHULUAN
1.1 Latar Belakang
1.2 Perumusan Masalah
1.3 Research Question
1.4 Batasan Penelitian
1.5 Tujuan dan Manfaat
1.6 Sistematika Penulisan
BAB 2
LANDASAN TEORI
2.1 BusinessContinuityPlan (BCP)
2.1.1. Definisi
2.1.2. Komponen Bisnis BCP
2.1.3. Risk Analysis/Assesment
2.1.3.1 Perhitungan Nilai Risiko
2.1.3.2 Proses RiskAssessment
2.1.4. Business Impact Analysis (BIA)
2.1.4.1 Kerugian Upstream dan Downstream
2.1.4.2 Impact Criticality
2.1.4.3 Kebutuhan Waktu Pemulihan

2.1.4.4

Proses BIA

2.1.5. Business Continuity Strategy (BCS)

ii

iii

iv

vi

viii

xi

xii

xiv

xv

1

1

3

5

5

5

6

8

8

8

9

11

11

15

19

20

21

22

24

36

2.1.5.1 Kerangka Kerja Business Continuity Strategy (BCS)

36

2.1.5.2 Pertimbangan umum dalam pemilihan strategi pemulihan

43

2.1.6. Mitigation Strategy

43

2.1.7. Element Dokumen BCP berdasarkan BS 25999-1:2006

44

2.1.7.1 Tujuan dan Ruang lingkup

45

2.1.7.2 Peran dan Tanggungjawab

45

2.1.7.3 Aktivasi Rencana/Deklarasi Bencana

50

2.1.7.4 Pemilik dan pemelihara dokumen

51

2.1.7.5 Detail contact

51

Perancangan business

viii

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

2.1.7.6

Rencana Aksi/daftar tugas

51

2.1.7.7 Kebutuhan sumber daya

51

2.1.7.8 Orang-orang yang Bertanggung jawab

51

2.1.7.9 Form dan Lampiran (Mengacu pada bab 8.7.5 dalam BS 25999-1)

51

2.1.8. Kebutuhan akan Business Continuity Plan

2.2 Perbandingan Standar dan Panduan Pembuatan BCP

2.2.1. ISO/PAS 22399:2007 2.2.2. CMMI for Services 2.2.3. BS 25999-1:2006 / BS 25999-2:2007 2.2.4. BCI GPG 2008 NIST Special Publication 800-34

2.2.5.

2.3 Metode Pengumpulan Data 2.3.1. Wawancara (Interview) 2.3.2. Kuisioner (Questionnaires) 2.3.3. Kategori dan
2.3 Metode
Pengumpulan Data
2.3.1. Wawancara (Interview)
2.3.2. Kuisioner (Questionnaires)
2.3.3. Kategori dan struktur pertanyaan
2.4 Penelitian Sebelumnya
BAB 3
METODOLOGI PENELITIAN
3.1 Tipe Penelitian
3.2 Tahapan Penelitian
3.3 Kerangka Berpikir/Kerja
3.3.1. Kebijakan BCMS
3.3.2. Memahami Organisasi
3.3.2.1 Business Impact Analysis
3.3.2.2 Analisis/Estimasi Kebutuhan Pemulihan
3.3.2.3 RiskAssessment
3.3.3. Menentukan Strategi BC/Pemulihan
3.3.4. Mengembangkan Business Continuity Plan (BCP)
3.3.4.1 Tujuan dan Ruang lingkup
3.3.4.2 Peran dan Tanggungjawab
3.3.4.3 Action Plans/Task Lists
3.3.4.4 Pemilik dan pemelihara dokumen
3.3.4.5 Detail contact
3.3.4.6 Kebutuhan sumber daya
3.3.4.7 Orang-orang yang Bertanggung jawab
3.3.4.8 Form dan Lampiran (Mengacu pada bab 8.7.5 dalam BS 25999-1)
BAB 4
PROFIL ORGANISASI
4.1 Visi dan Misi PT. ABC

4.2 Customer

4.3 Bidang Usaha

4.4 Value Chain PT.ABC

4.5 Struktur Organisasi

4.6 PortofolioAplikasi

4.7 Portofolio Infrastruktur TI

4.8 Topologi Jaringan PT.ABC

BAB 5

PEMBAHASAN

52

53

54

55

56

61

79

83

83

84

85

86

92

92

92

94

96

96

97

102

102

104

107

107

108

114

114

114

116

116

116

117

117

118

121

122

123

125

126

127

129

ix

Universitas Indonesia

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

5.1

Kebijakan BCMS

129

5.2 Memahami Organisasi

5.2.1. Business Impact Analysis (BIA)

5.2.1.9 5.2.1.10 5.2.1.1 Tujuan BIA, Ruang Lingkup dan Asumsi 5.2.1.2 Fungsi Bisnis dan Proses Bisnis
5.2.1.9
5.2.1.10
5.2.1.1 Tujuan BIA, Ruang Lingkup dan Asumsi
5.2.1.2 Fungsi Bisnis dan Proses Bisnis
5.2.1.3 Dampak Finansial dan Operasional
5.2.1.4 Proses Bisnis Kritis
5.2.1.5 MTPD dan prioritasi proses kritis
5.2.1.6 Sistem IT dan Aplikasi kritis
5.2.1.7 Sumber daya Non-TI Kritis
5.2.1.8 RTO
RPO
Work around procedures
5.2.2. Kebutuhan Pemulihan
5.2.3. Risk Assessment
5.2.3.1 Daftar Sumber Ancaman
5.2.3.2 Threat Events dan Konsekuensi
5.2.3.3 Nilai Risiko
5.3 Strategi BusinessContinuity
5.4 BusinessContinuityPlan (BCP)
5.4.1. Tujuan dan Ruang Lingkup
5.4.2. Peran dan Tanggung jawab
5.4.3. Detail
Contact
5.4.4. Action Plans/Task List
5.4.4.1 Fase 1 : Notifikasi dan Respon
awal
5.4.4.2 Fase 2 : Penilaian Masalah dan Eskalasi
5.4.4.3 Fase 3 : Deklarasi Bencana
5.4.4.4 Fase 4 : Implementasi rencana logistik
5.4.4.5 Fase 5 : Pemulihan dan Melanjutkan bisnis seperti biasa
5.4.5.
Form dan Lampiran
BAB 6
KESIMPULAN DAN SARAN
6.1 Kesimpulan
6.2 Saran
DAFTAR PUSTAKA

131

131

131

133

137

139

145

145

145

145

146

155

158

159

159

160

163

169

174

174

174

182

190

190

190

192

192

193

194

195

195

196

198

Perancangan business

x

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

DAFTAR GAMBAR

Gambar 2.1 Interaksi antara People, Process dan Technology (Snedaker, 2007) Gambar 2.2 Contoh perhitungan nilai risiko menggunakan metrik kuantitatif (Andalan Nusantara Teknologi (ANT), 2012) Gambar 2.3 Contoh Hubungan antara komponen ALE dengan representasi risiko

(Andalan Nusantara Teknologi (ANT), 2012) Gambar 2.4 Contoh perhitungan nilai risiko menggunakan metrik kualitatif (Andalan Nusantara Teknologi (ANT), 2012) Gambar 2.5 Contoh Hubungan antara komponen AIE dengan representasi risiko (Andalan Nusantara Teknologi (ANT), 2012)

9

12

12

14

14

Gambar 2.7 Kerangka Waktu Pemulihan (Snedaker, 2007) Nusantara Teknologi (ANT), 2012) Gambar 2.9 Kerangka Kerja
Gambar 2.7 Kerangka Waktu Pemulihan (Snedaker, 2007)
Nusantara Teknologi (ANT), 2012)
Gambar 2.9 Kerangka Kerja Pengembangan Kebutuhan Pemulihan (Andalan
Nusantara Teknologi (ANT), 2012)
Gambar 2.10CrisisManagementTeam (Andalan Nusantara Teknologi (ANT),
2012)
Gambar 2.11 Ilustrasi tentang berbagai aspek bencana (t 0 ) dan reaksinya (t 1 ,
(Modiri & Ghorbani, 2010)
Gambar
2.12 BCMS Lifecycle (BSI
- British Standard, 2006)

Gambar 2.13 Daur PDCA Program BCMS (BSI - British Standard, 2007) Gambar 2.14 Pilihan Produk Dan Layanan (Business Continuity Institute, 2007)

Gambar 2.16 Proses Perencanaan BCMS berdasarkan NIST SP 800-34 (NIST - US Departement of Commerce, 2012) Gambar 3.1 Kerangka Berpikir Berdasarkan BCI GPG 2008 Gambar 3.2 Contoh calltree untuk tim pemulihan TI (Andalan Nusantara Teknologi (ANT), 2012) Gambar 4.1Analisis Rantai Nilai PT.ABC (Trihendra, 2009) Gambar 4.2 Diagram Jaringan PT.ABC Gambar 5.1CallTree PT.ABC Gambar 6.1Roadmap integrasi BCP

Gambar 2.6 Proses Risk Assessment(Andalan Nusantara Teknologi (ANT), 2012)

16

23

Gambar 2.8 Tahapan proses BIA beserta output masing-masing langkah (Andalan

25

37

46

, t 4 )

53

58

60

65

Gambar 2.15 Three Tiers Incident Response (Business Continuity Institute, 2007)

76

79

95

115

123

128

189

196

Perancangan business

xi

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

DAFTAR TABEL

Tabel 1.1 Portofolio Aplikasi di PT.ABC Tabel 1.2 Pilot Project List TI PT.ABC Tabel 2.1 Threat Checklist-telah diolah kembali (Snedaker, 2007) Tabel 2.2 Contoh output dari Vulnerability/ThreatEventAssessment(Andalan Nusantara Teknologi (ANT), 2012) Tabel 2.3 Contoh output dari langkah mengidentifikasi consequences (Andalan Nusantara Teknologi (ANT), 2012) Tabel 2.4 Contoh output dari langkah 4,5 dan 6 dalam risk Assessment (Andalan Nusantara Teknologi (ANT), 2012) Tabel 2.5 Contoh Penilaian Financial Impact & Level Kerusakan(Andalan Nusantara Teknologi (ANT), 2012) Tabel 2.6 Contoh Penilaian Peringkat Dampak Operasional(Andalan Nusantara Teknologi (ANT), 2012) Tabel 2.7 Contoh pemilihan proses bisnis kritis (Andalan Nusantara Teknologi (ANT), 2012) Tabel 2.8 Contoh MTD dan Prioritas Pemulihan (Andalan Nusantara Teknologi (ANT), 2012) Tabel 2.9 Contoh Pemetaan Sistem dan Aplikasi TI Kritis(Andalan Nusantara Teknologi (ANT), 2012) Tabel 2.10 Contoh Sumber Daya Non-TI Kritis(Andalan Nusantara Teknologi (ANT), 2012) Tabel 2.11 Contoh WRT RTO untuk sistem TI yang mendukung proses “Generate order” (Andalan Nusantara Teknologi (ANT), 2012) Tabel 2.12 Contohwork-around procedures untuk proses bisnis Generate orders(Andalan Nusantara Teknologi (ANT), 2012)

2

4

17

18

Center(Andalan Nusantara Teknologi (ANT), 2012) Nusantara Teknologi (ANT), 2012)
Center(Andalan Nusantara Teknologi (ANT), 2012)
Nusantara Teknologi (ANT), 2012)

Tabel 2.13 Contoh Opsi pemulihan : Alternatif area kerja dan Crisis Management

39

Tabel 2.14 Contoh Opsi pemulihan : Sistem dan Infrastruktur TI Kritis (Andalan

40

Tabel 2.15 Contoh Opsi Pemulihan : Sumber daya dan Peralatan kritis (Andalan

Nusantara Teknologi (ANT), 2012)

Tabel 2.16 Contoh Opsi Pemulihan : Data kritis dan fasilitas penyimpanan data di

40

18

19

28

29

30

31

32

33

34

35

luar kantor (Andalan Nusantara Teknologi (ANT), 2012)

41

Tabel 2.17 PDCA dalam BS 25999-2 (BSI - British Standard, 2006)

60

Tabel 2.18 Daur PDCA implementasi BCMS pada GPG 2008 (The Business Continuity Institute, 2010)

62

Tabel 2.19 Matrik Kriteria vs Standard (EURACOM (European RiskAssessment and Contigency Planning Methodologies for Interconnected Energy Network),

2007)

81

xii

Universitas Indonesia

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Tabel 2.20 Perbandingan Metode Standar Pengembangan BCP (Hikmat, 2010). 87

Tabel 2.21 Rangkuman Hasil Studi Literatur

88

Tabel 3.1 Template identifikasi Fungsi dan Proses Bisnis (Andalan Nusantara Teknologi (ANT), 2012)

98

Tabel 3.2 Template Penilaian Dampak Finansial dan Operasional(Andalan Nusantara Teknologi (ANT), 2012)

99

Tabel 3.3 Template Tim BCP Beserta Tanggung Jawab (Andalan Nusantara Teknologi (ANT), 2012)

109

Tabel 3.4 Template ContactList(Andalan Nusantara Teknologi (ANT), 2012) . 116

119

124

125

127

130

132

134

138

Tabel 4.1 Daftar Customer PT.ABC (PT. ABC 2011) Tabel 4.2 Tupoksi Masing-masing Bagian Divisi IT
Tabel 4.1 Daftar Customer PT.ABC (PT. ABC 2011)
Tabel 4.2 Tupoksi Masing-masing Bagian Divisi IT
Tabel 4.3 Portofolio Aplikasi PT.ABC
Tabel 4.4 Portofolio Infrastruktur TI
Tabel 5.1 Daftar Dokumen Data Sekunder
Tabel 5.2 Daftar SME
Tabel 5.3 Fungsi dan Proses Bisnis beserta Deskripsinya
Tabel 5.4 Pengelompokan Level Kerusakan Finansial PT.ABC
Tabel 5.5 Tabel Penilaian Dampak Finansial dan Operasional
Tabel 5.6 Nilai MTD, RTO, WRT, RPO dan Sumber Daya Kritis
Tabel 5.7 Identifikasi Work Around Procedure
Tabel 5.8 Threat source categories
Tabel 5.9 Identifikasi ThreatEvent, Critical Asset dan Konsekuensi
Tabel 5.10 Perhitungan Nilai Risiko (ALE/AIE)
Tabel 5.11 Opsi Pemulihan Tempat Kerja dan DRC/Co-Location
Tabel 5.12 Opsi Pemulihan Infrastruktur dan Sistem TI
Tabel 5.13 Opsi Pemulihan Sumber Daya dan Peralatan Kritis
Tabel 5.14 Opsi Pemulihan Fasilitias Logistik dan Gudang Alternatif
Tabel 5.15 Opsi pemulihan untuk data dan Record penting lainnya
Tabel 5.16 Peran dan Tanggung Jawab Tim BCP
Tabel 5.17ContactList PT.ABC
Tabel A 1 Korespondensi BS 25999 Dengan Standar Manajemen Lainnya

141

147

156

160

161

165

169

170

171

171

172

176

183

201

Perancangan business

xiii

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

DAFTAR LAMPIRAN

Lampiran 1 : Struktur Organisasi PT. ABC

Lampiran 2 : Korespondensi BS 25999 Dengan Standar Manajemen Lainnya

Lampiran 3 : Kebijakan Mutu PT.ABC.

Lampiran 4 : Dokumen BusinessContinuityPlan (BCP) Lampiran 5 : Tabel Business Impact Analyis (BIA) Lampiran
Lampiran 4 : Dokumen BusinessContinuityPlan (BCP)
Lampiran 5 : Tabel Business Impact Analyis (BIA)
Lampiran 6 : Tabel RiskAssessment
Lampiran 7 : Data &Informasi Bencana DKI Jakarta sd. Juni 2012 – BNPB
Lampiran 8 : Transkrip Wawancara

Perancangan business

xiv

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

DAFTAR ISTILAH (Berdasarkan GPG 2008 dan BS 25999)

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) Activity Aktivitas Proses atau sekumpulan proses
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
Activity
Aktivitas
Proses
atau
sekumpulan proses
yang dilakukan oleh
sebuah organisasi
(atau atas nama
organisasi)
yang
menghasilkan atau
mendukung satu atau
lebih produk atau
layanan
CATATAN
contoh
dari
proses
tersebut
meliputi
akun,
call
center,
IT,
manufaktur, distribusi

Perancangan business

xv

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) Audit Audit Pemeriksaan yang sistematis untuk
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
Audit
Audit
Pemeriksaan yang
sistematis untuk
menentukan apakah
aktivitas dan hasil
yang berhubungan
dengan aktivitas
tersebut sesuai dengan
susunan yang telah
ditentukan dan apakah
susunan
diimplementasikan
secara evektif dan
sesuai untuk mencapai
kebijakan dan tujuan
organisasi
[BS
EN ISO
9000:2005]
BC
BusinessContinuity
Keberlangsungan
Bisnis
Kemampuan strategis
dan taktis dari sebuah
organisasi untuk
merencanakan dan
merespon terhadap
insiden dan gangguan
bisnis dalam rangka
untuk melanjutkan
bisnis pada level yang
dapat diterima yang
telah ditentukan
sebelumnya

Perancangan business

xvi

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Singkatan

Istilah (Inggris)

Terjemahan

(Indonesia)

Definisi

BCMS

BusinessContinuityManagement

Manajemen

Keberlangsungan

Bisnis

Proses manajemen hoListik yang mengidentifikasi potensi ancaman terhadap sebuah organisasi dan dampaknya terhadap operasi bisnis apa yang mungkin terjadi pada ancaman- ancaman yang teridentifikasi, dan menyediakan kerangka kerja untuk membangun ketahanan (resilience) organisasi dengan kemampuan untuk merespon secara efektif yang mengamankan kepentingan dari para stakeholders utama (key stakeholder), reputasi, merk dan aktivitas-aktivitas lain yang menghasilkan nilai.

merk dan aktivitas-aktivitas lain yang menghasilkan nilai. Perancangan business CATATAN BCMS melibatkan penanganan

Perancangan business

CATATANBCMS

melibatkan

penanganan

pemulihan

atau

keberlangsungan

dari

xvii

Universitas Indonesia

gangguan

manajemen

aktivitas

sewaktu terjadinya

dan

bisnis

binis

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) BusinessContinuityManagement lifecycle Daur hidup
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
BusinessContinuityManagement lifecycle
Daur hidup
Rangkaian
dari
manajemen
aktivitas
keberlangsungan
keberlangsungan
bisnis
bisnisyang
secara
kolektif
mencakup
semua aspek dan fase
dari
sebuah program
manajemen
keberlangsungan
bisnis
CATATAN
:
Daur
hidup
manajemen
keberlangsungan
bisnis
digambarkan
padaGambar 2.13

Perancangan business

xviii

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) BusinessContinuityManagement Personil Adalah
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
BusinessContinuityManagement
Personil
Adalah orang-orang
Personnel
Manajemen
Keberlangsungan
yang diberi tanggung
jawab yang terdefinisi
Bisnis
di
BCMS, mereka
bertanggung jawab
terhadap kebijakan
BCMS
dan
implementasinya,
mereka adalah orang-
orang
yang
mengimplementasikan
dan
menjaga program
BCMS, mereka yang
menggunakan atau
mengakifkan BC dan
IMP dan mereka juga
yang memiliki
kekuasaan saat
terjadinya insiden

Perancangan business

xix

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) BusinessContinuityManagement Programme Manajemen yang
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
BusinessContinuityManagement
Programme
Manajemen yang
sedang berlangsung
dan
proses
pemerintahan yang
didukung oleh top
Management dan
diberikan sumber
daya yang cukup
untuk memastikan
bahwa langkah-
langkah yang perlu
sudah diambil untuk
mengidentifikasi
dampak dari potensi
kerugian, menjaga
kelangsungan hidup
dari strategi dan
rencana pemulihan
dan memastikan
keberlangsungan dari
produk dan layanan
melalui training,
pelatihan,
pemeliharaan dan
tinjauan

Perancangan business

xx

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) BusinessContinuityManagementResponse Elemen dari BCMS
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
BusinessContinuityManagementResponse
Elemen dari BCMS
yang berhubungan
dengan
pengembangan dan
implementasi dari
yang
berkesesuaian dan
sebuah penyusunan
untuk memastikan
rencana
keberlangsungan dari
aktivitas kritis dan
manajemen
dari
sebuah insiden
BCMS
BusinessContinuityManagementSystem
Bagian
dari
manajemen
sistem
secara
keseluruhan
yang
menyusun,
mengimplementasi,
mengoperasikan,
mengawasi, meninjau,
memelihara,
dan
meningkatkan
keberlangsungan
bisnis
CATATAN : sistem
manajemen termasuk
struktur orgasisasi,
kebijakan, aktivitas
perencanaan,
tanggungjawab,
prosedur, proses, dan
sumber daya

Perancangan business

xxi

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) BCP BusinessContinuityPlan Rencana Sekumpulan
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
BCP
BusinessContinuityPlan
Rencana
Sekumpulan
Keberlangsungan
dokumentasi dari
Usaha
prosedur
dan
informasi yang
dikembangkan,
disusun,
dan
dipelihara dalam hal
kesiapan untuk
digunakan di saat
terjadinya insiden
sehingga
memungkinkan
sebuah organisasi
untuk dapat terus
dapat menjalankan
aktivitas kritisnya
pada sebuah level
yang dapat diterima
yang telah ditentukan
sebelumnya
BCP
BusinessContinuity Plam/Strategy
Strategi
Keberlangsungan
Bisnis
Pendekatan yang
ditempuh oleh sebuah
organisasi yang akan
memastikan dapat
terjadinya pemulihan
dan keberlangsungan
pada saat terjadinya
bencana atau insiden
besar lainnya atau
gangguan terhadap
bisnis

Perancangan business

xxii

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) BIA Business Impact Analysis Proses menganalisis
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
BIA
Business Impact Analysis
Proses menganalisis
fungsi bisnis dan efek
yang mungkin ketika
sebuah gangguan
bisnis mengenainya
Consequence
Konsekuensi
Output
dari
sebuah
insiden
yang
akan
memiliki
dampak
terhadap
tujuan
organisasi
CATATAN 1 Dapat
ada sekumpulan
konsekuensi dari satu
buah insiden
CATATAN 2 Sebuah
konsekuensi dapat
pasti atau tidak pasti
dan dapat berdampak
positif maupun negatif
terhadap sebuah
tujuan

Perancangan business

xxiii

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) Cost-Benefit Analysis Teknik finansial yang mengukur
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
Cost-Benefit Analysis
Teknik finansial yang
mengukur biaya dari
mengimplementasi
sebuah solusi tertentu
dan membandingkan
dengan keuntungan
yang diberikan oleh
solusi tersebut
CATATAN
keuntungan mungkin
saja didefinisikan
dalam
ukuran
finansial, reputasi,
service
delivery,
peraturan atau istilah-
istilah
lain
yang
sesuai
dengan
organisasi
Critical Activities
Aktivitas Kritis
Aktivitas-aktivitas
yang harus beroperasi
untuk
dapat
menghasilkan produk-
produk dan layanan
utama
yang
memungkinkan
sebuah organisasi
untuk
dapat
memenuhi tujuannya
yang paling penting
dan sensitif waktu

Perancangan business

xxiv

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) Disruption Gangguan Peristiwa baik yang diantisipasi
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
Disruption
Gangguan
Peristiwa baik yang
diantisipasi
(mogoknya pekerja
atau badai) ataupun
tidak diantisipasi
(pemadaman lampu
ataupun gempa bumi)
yang
dapat
mengakibatkan
penyimpangan yang
tidak direncanakan
terhadap penyampaian
produk atau layanan
menurut tujuan
organisasi

Perancangan business

xxv

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) Exercise Pelatihan Sebuah aktivitas yang membicarakan
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
Exercise
Pelatihan
Sebuah aktivitas yang
membicarakan bagian
atau keseluruhan
rencana dalam BCP
untuk memastikan
BCP memuat
informasi dan
memberikan hasil
yang diinginkan
ketika dijalankan
CATATAN sebuah
pelatihan dapat
melibatkan aktivasi
prosedur BC, namun
lebih
sering
melibatkan simulasi
dari sebuah insiden
BC, baik diumumkan
maupun tidak
diumumkan, di mana
partisipan memainkan
peran untuk menilai
masalah apa yang
mungkin terjadi,
sebelum terjadinya
kejadian yang
sebenarnya
Gain
Keuntungan
Konsekuensi positif
Impact
Dampak
Hasil
evaluasi
konsekuensi
dari
output tertentu

Perancangan business

xxvi

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) Insiden (incident) Insiden Situasi yang mungkin atau
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
Insiden (incident)
Insiden
Situasi yang mungkin
atau dapat mengarah
pada gangguan bisnis,
kerugian, keadaan
darurat atau krisis
IMP
Incident ManagementPlan
Rencana
Manajemen
Insiden
Tindakan yang
didefinisikan dan
didokumentasikan
secara jelas untuk
digunakan pada saat
terjadinya insiden.
Biasanya meliputi
personil inti, sumber
daya, layanan dan
yang
diperlukan untuk
mengimplementasikan
proses manajemen
insiden.
tindakan

Perancangan business

xxvii

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) Internal Audit Audit Internal Audit yang dilakukan
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
Internal Audit
Audit Internal
Audit yang dilakukan
oleh, atau atas nama
organisasi itu sendiri
untuk keperluan
tinjauan manajemen
dan keperluan internal
lainnya, dan yang
mungkin menjadi
dasar bagi deklarasi
kesesuaian bagi
organisasi
CATATAN
Dalam
banyak
kasus,
khususnya dalam
organisasi yang kecil,
kebebasan dapat
ditunjukkan dengan
kebebasan dari
kewajiban dari
aktivitas
audit
terhadap dirinya
Invocation
Tindakan
mendeklarasikan
bahwa BCP
suatu
agar
produk utama atau
layanan utama dapat
tetap dihasilkan
organisasi perlu
diaktifkan

Perancangan business

xxviii

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Singkatan

Istilah (Inggris)

Terjemahan

(Indonesia)

Definisi

Likelihood

Peluang sesuatu

terjadi, apakah didefinisikan, diukur atau diperkirakan secara objektif atau subjektif, atau dalam

hal
hal

deskriptor umum

(seperti jarang terjadi,

mungkin, mungkin, hampir pasti), frekuensi maupun probabilitas matematika CATATAN 1 Kemungkinan dapat diekspresikan secara kuantitatif maupun kualitatif CATATAN 2 Kata “probability” dapat dipergunakan sebagai pengganti kata “likelihood” di dalam bahasa non-English yang tidak memiliki kesetaraan langsung. Karena kata “probability” seringkali

diinterpretasikan lebih Formal di dalam bahasa Inggris sebagai istilah matematika, sementara kata

xxix

Universitas Indonesia

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

likelihood”digunakan

di seluruh Standar

(dan KA) ini dengan maksud agar memiliki

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) Loss Kerugian Konsekuensi negatif ManagementSystem
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
Loss
Kerugian
Konsekuensi negatif
ManagementSystem
Sebuah sistem untuk
menetapkan kebijakan
dan tujuan dan untuk
mencapai
tujuan
tersebut
[BS
EN
ISO
9000:2005]
MTPD/MTD
Maximum Tolerable (Period of)
Disruption
Durasi setelah sebuah
organisasi dalam
jangka hidupnya
terancam tidak dapat
dipulihkan jika
produksi produk dan
layanan tidak dapat
dilanjutkan
NonconFormity
Tidak
terpenuhinya
suatu persyaratan
[BS
EN
ISO
9000:2005,
3.6.2; BS
EN ISO 14001:2004,
3.15]
CATATAN
sebuah
nonconFormitybisa
jadi
merupakan
simpangan
dari
standar
pekerjaan
terkait,
praktek,
prosedur,
hukum,
persyaratan dll.

Perancangan business

xxx

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) Organization Organisasi Sekumpulan orang dan fasilitas
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
Organization
Organisasi
Sekumpulan orang
dan fasilitas dengan
susunan tanggung
jawab, kewenangan
dan hubungan
CONTOH
Perusahaan,
korporaso, firma,
enterprise, institusi,
badan amal, pedagang
tunggal atau asosiasi
atau bagian dari
kombinasi di atas
CATATAN
Susunan dari
organisasi biasanya
terurut
CATATAN 2 Sebuah
organisasi dapat
merupakan organisasi
pemerintah maupun
swasta
1
[BS
EN
ISO
9000:2005]
Process
Proses
Sekumpulan
dari
aktivitas
yang
berkaitan
atau
berinteraksi satu sama
lain
yang mengubah
masukan
menjadi
output/hasil
[BS
EN
ISO
9000:2005]

Perancangan business

xxxi

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) Products and Services Produk dan Layanan Hasil yang
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
Products and Services
Produk dan
Layanan
Hasil yang bermanfaat
yang disediakan oleh
suatu organisasi
kepada konsumennya,
penerima manfaat
maupun stakeholders
CONTOH
barang
produksi,
asuransi
kendaraan
bermotor,
peraturan,
kepatuhan
dan
komunitas
keperawatan
RTO
Recovery Time Objective
Target waktu yang
diatur
untuk
dimulainya kembali
pengiriman produk,
layanan atau kegiatan
setelah insiden
CATATAN
RTO
harus
lebih
kecil
daripada MTPD
Resilience
Kemampuan
sebuah
organisasi
untuk
bertahan
tidak
terpengaruh
terhadap
suatu insiden

Perancangan business

xxxii

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) Resources Sumber daya Semua aset, manusia, keahlian,
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
Resources
Sumber daya
Semua aset, manusia,
keahlian, informasi
(analog maupun
digital), teknologi
(termasuk pabrik dan
peralatan), tempat,
dan barang-barang
habis pakai yang
harus dimiliki dan
dapat digunakan oleh
organisasi ketika
dibutuhkan sehingga
dapat beroperasi dan
mencapai tujuan
Risk
Risiko
Sesuatu
yang
mungkin
terjadi
dan
efek-efeknya dalam
pencapaian tujuan
RiskAssessment
keseluruhan proses
identifikasi risiko,
analisis dan evaluasi
RiskManagement
pengembangan
terstruktur
dan
penerapan
budaya
manajemen,
kebijakan,
prosedur
dan
praktek
untuk
tugas
mengidentifikasi,
menganalisis,
mengevaluasi,
mengendalikan
menanggapi risiko
dan

Perancangan business

xxxiii

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) Stakeholders Mereka yang memiliki kepentingan dalam
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
Stakeholders
Mereka
yang
memiliki kepentingan
dalam
pencapaian
organisasi
CATATAN
istilah
stakeholder memiliki
arti
yang
luas
diantaranya
(tidak
terbatas
pada)
karyawan internal dan
outsource, konsumen,
pemasok,
mitra,
pegawai, distributor,
investor,
pihak
asuransi, pemegang
saham,
pemilik,
pemerintah
pembuat peraturan
dan
System
Sistem
Sekumpulan elemen
yang saling berkaitan
atau
saling
berinteraksi[BS EN
ISO 9000:2005]

Perancangan business

xxxiv

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

Terjemahan Singkatan Istilah (Inggris) Definisi (Indonesia) Top Management Top Manajemen Seseorang atau
Terjemahan
Singkatan
Istilah (Inggris)
Definisi
(Indonesia)
Top Management
Top Manajemen
Seseorang
atau
sekumpulan
orang
yang
mengatur atau
mengontrol organisasi
pada level yang paling
atas
[BS
EN
ISO
9000:2005]
CATATAN Top
manajemen
khususnya pada
organisasi
multinasional
mungkin tidak terlibat
secara langsung,
namun memiliki
akuntabilitas melalui
rantai pemerintahan
yang nyata. Dalam
organisasi yang lebih
kecil, top manajemen
dapat menjadi pemilik

Perancangan business

xxxv

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

BAB 1 PENDAHULUAN

Pada bab ini akan dibahas mengenai latar belakang pengembangan BusinessContinuityPlan (BCP) di PT.ABC, (selanjutnya akan di sebut PT.ABC),perumusan masalah, research question, batasan penelitian serta tujuan dan manfaat penelitian

1.1 Latar Belakang
1.1 Latar Belakang

Kejadian-kejadian tidak terduga seringkali terjadi, seperti banjir, kebakaran, kerusuhan, demontrasi besar hingga wabah penyakit dan lain-lain. Dari pusat data tempo(TEMPO, 2006) didapatkan informasi bahwa Indonesia dikepung oleh tiga lempeng tektonik dunia juga berada di jalur "The Pasific Ring of Fire" (Cincin Api Pasifik) yang merupakan rangkaian gunung berapi paling aktif di dunia, tercatat sebanyak 240 buah gunung berapi di Indonesia, dimana 70 di antaranya masih aktif, hal ini merupakan potensi bencana. Tercatat beberapa bencana yang pernah terjadi di Indonesia sebut saja, misalnya, banjir besar di Jakarta, tsunami Aceh, gempa di Yogyakarta, konflik Ambon dan Poso, bom Bali, SARS dan sebagainya. Kejadian-kejadian dan bencana-bencana tersebut, tentu berdampak baik secara langsung maupun tidak langsung terhadap operasional perusahaan atau organisasi. Dampak yang harus dihadapi perusahaan maupun organisasi dalam situasi seperti itu sangat beragam, seperti lumpuhnya jaringan TI, pemadaman listrik, ketidakhadiran karyawan, terhentinyasupply dari supplier, tidak berfungsinya fasilitas umum, keterlambatan pembayaran dan lain sebagainya PT.ABC terutama divisi TImulai menyadari akan pentingnya sebuah BusinessContinuityPlan khususnya di bidang TI. Sebagai perusahaan konstruksi modern PT.ABC bergantung pada TI untuk melakukan beberapa proses bisnisnya. Kebutuhan PT.ABC akan sebuah BusinessContinuityPlan didasari olehportofolio aplikasi di PT.ABC yang ditunjukkan dalam sebuah matrik McFarlan. Matrix ini dikemukakan oleh McFarlan dan McKenney (1983) untuk mengkategorikan

1

Universitas Indonesia

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

2

sistem informasi kedalam empat golongan yaitu pendukung (support), High Potential, Key Operational dan Strategic. Masing-masing golongan dapat dijelaskan sebagai berikut ini :

1. Strategic Sistem informasi yang kritis untuk usaha dan kesuksesan mendatang.

2. Key Operational Sistem informasi yang penting untuk mendukung Keberlangsunganusaha saat ini dan harus selaludijaga keefektifannya.

3. Support Membantu meningkatkan efisiensi prosesbisnisdan efektivitas manajemen, namun tidak kritis bagibisnis. 4.
3.
Support
Membantu meningkatkan efisiensi prosesbisnisdan efektivitas manajemen,
namun tidak kritis bagibisnis.
4.
High Potential
Sistem informasi yang terwujud dari inovasi-inovasi baru dan sangat potensial
mencapai keunggulan kompetitif.
Tabel 1.1di bawah ini menjelaskan susunan keempat golongan dalammatrix
portofolio McFarlan di PT.ABC
Tabel 1.1Portofolio Aplikasi di PT.ABC
STRATEGIC
HIGH POTENTIAL
 ERP (SAP Business One)
 (Multisite
Primaverra
Project
 2X ApplicationServer
Scheduler)
 AutoDesk AutocadCivil 3D
 eSPT PPh
 Staad Pro
 Payroll
 Zimba Collaboration
 Absensi
 3CX VOIP Server
KEY OPERATIONAL
SUPPORT

Dari pemetaan di atas dapat terlihat bahwa beberapa aplikasi utama PT.ABCberada di kuadran strategic, key operational dan high potential sehingga

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

3

dapat disimpulkan keberlangsungan usaha PT.ABC bergantung kepada keberlangsungan sistem informasi tersebut.

1.2 Perumusan Masalah

Kebutuhan akan adanya sebuah BusinessContinuityPlan di PT.ABC(terutama di divisi TI) telah ada sejak 2007 namun belum dapat diselesaikan sampai dengan sekarang karena beberapa permasalahan yang dapat digambarkan dalam fishbone diagram seperti Gambar 1.1 di bawah ini

dalam fishbone diagram seperti Gambar 1.1 di bawah ini Gambar 1.1Fishbone Diagram : Identifikasi Permasalahan Pada
dalam fishbone diagram seperti Gambar 1.1 di bawah ini Gambar 1.1Fishbone Diagram : Identifikasi Permasalahan Pada

Gambar 1.1Fishbone Diagram : Identifikasi Permasalahan Pada gambar Gambar 1.1 di atas terlihat permasalahan yang terjadi di PT.ABC adalah kesulitan dalam Perencanaan BCP yang disebabkan oleh root causeutama yaitu : SDM, Teknologi, Organizational Environment, Prosedur dan Standarisasi. Kesulitan dalam perancangan BCP tersebut dapat terlihat dari data di Tabel 1.2di bawah ini :

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

4

Tabel 1.2Pilot Project List TIPT.ABC

Project Project No Code Project Title Location Date Status No. 31 0000.TI BCP & DRP
Project
Project
No
Code
Project Title
Location
Date
Status
No.
31
0000.TI
BCP & DRP Planning
HeadOffice
Mei-07
On
Going
(???)
45
0000.TI
Peremajaan jaringan – Upgrade
10/100 MBps to 100/1000 MBps
HeadOffice
Nop-08
Completed
46
0000.TI
Instalasi Fiber Optik – 1 MBps
International/10MBps National
HeadOffice
Jun-09
Completed
47
0000.TI
Implementasi OpenBravo ERP
HeadOffice
Agust-09
Completed
48
0000.TI
Peremajaan Server + Peralatan
Jaringan
HeadOffice
Jan-10
Completed
48
0000.TI
Implementasi SAP Business One
HeadOffice
Agustus-
On-going
11

Dari List project di atas dapat dilihat bahwa sempat terjadi Perancangan BusinessContinuityPlan pada tahun 2007 setelah terjadinya banjir besar di Jakarta (Januari-Februari 2007) namun tidak pernah sampai selesai karena tingginya turnover karyawan TI di PT.ABC. Proyek Perancangan BusinessContinuityPlan juga kalah populer dibandingkan dengan beberapa proyek yang lain karena dianggap kurang memiliki ROI yang lebih jelas misalnya dengan proyek implementasi ERP maupun proyek peremajaan perangkat keras.

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

5

1.3 Research Question

ditarik

pertanyaan penelitian, "Bagaimana rancanganBusinessContinuityPlan yang

sesuai dengan kebutuhan PT.ABC?"

Dari

latar

belakang

dan

perumusan

masalah

yang

ada

dapat

1.4 Batasan Penelitian

a. Karena ruang lingkup b. c. d. Asumsi dana tersedia untuk semua kebutuhan pemulihan yang
a.
Karena
ruang
lingkup
b.
c.
d.
Asumsi dana tersedia untuk semua kebutuhan pemulihan yang dipilih.
e.
1.5
Tujuan dan Manfaat

Penelitian ini dilakukan di PT.ABCdibatasi untuk menjawab root cause

permasalahan SDM (terutama permasalahan pengetahuan SDM TI) dan dapat diuraikan sebagai berikut :

perancangan

BusinessContinuityManagementSystem(BCMS) sangat luas cakupannya maka pada sub bab ini dijelaskan mengenai ruang lingkup penelitianini yaitu perancangan BusinessContinuityPlan yang sesuai dengan kebutuhan dan lingkungan PT.ABC dan dibatasi langkahnya hanya sampai dengan perancangan dokumen BCP. Perancangan BCP akan dibatasi pada ruang lingkup HeadOfficePT.ABC dan tidak membahas perancangan BCP di Cabang maupun proyek.

Tidak membahas sisiAssesment, Sertifikasi,Organizational Environment dan Change Management sesuai dengan BCI GPG 2008.

Terdapat dokumen pelengkap yang memuat daftar Record dokumen vital PT.ABC.

Sesuai dengan permasalahan yang telah dipaparkan diatas, maka tujuan yang ingin dicapai dari penelitian ini adalah menghasilkan sebuah

BusinessContinuityPlan (BCP) yang sesuai dengan keadaan dan kebutuhan PT.ABC.Sedangkan manfaat yang ingin dicapai dari penelitian ini antara lain :

a. Manfaat bagi PT.ABC

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

6

BusinessContinuityPlan yang dihasilkan diharapkan dapat berguna untuk membantu keberlangsungan usaha di PT.ABC dan dapat digunakan sebagai acuan sewaktu-waktu terjadi bencana. Manfaat akademis Dapat menjadi tambahan referensi dalam memperkaya pengetahuan di bidang perancangan BusinessContinuityPlan di industri non perbankan. Serta menambah kesadaran akan perlunya sebuah BusinessContinuityPlan di Industri non perbankan di Indonesia. Dengan penelitian ini diharapkan dapat menjadi referensi yang dapat dipergunakan dalam penelitian selanjutnya, sehingga menghindari “reinventing the wheel”.

b.

c. 1.6 Sistematika Penulisan BAB 1 PENDAHULUAN BAB 2 LANDASAN TEORI
c.
1.6
Sistematika Penulisan
BAB 1 PENDAHULUAN
BAB 2 LANDASAN TEORI

Manfaat Praktis Dengan penelitian ini diharapkan bisa menjadi acuan dalam perancangan BusinessContinuityPlandi Indonesia, khususnya dalam Perancangan BCP di Industri Non Perbankan.

Penulisan proposal karya akhir ini disusun dengan sistematika penulisan sebagai berikut :

Bab ini bersifat overview dan menjelaskan tentang latar belakang penelitian, identifikasi dan rumusan masalah, pertanyaan penelitian, ruang lingkup, batasan penelitian, tujuan dan manfaat.

Bab ini akan menjelaskan tentang uraian mengenai literatur yang terkait dengan permasalahan penelitian yang difokuskan ke konteks permasalahan

penelitian.

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

7

BAB 3 METODOLOGI

Bab ini akan menjelaskan tentang uraian mengenai literatur yang terkait dengan permasalahan penelitian yang difokuskan ke konteks permasalahan penelitian.

BAB 4 PROFIL ORGANISASI

BAB 5PEMBAHASAN BAB 6 KESIMPULAN DAN SARAN DAFTAR PUSTAKA
BAB 5PEMBAHASAN
BAB 6 KESIMPULAN DAN SARAN
DAFTAR PUSTAKA

Pada bab ini akan dibahas profil organisasi PT. ABC secara umum kemudian difokuskan kepada List portofolio dari aplikasi dan aset yang ada saat ini.

Pada bab ini akan dilakukan pembahasan mengenai perancangan BCP di PT.ABC

Pada bab ini akan dijelaskan apa saja hasil dari penelitian ini (kesimpulan) dan apa saja yang masih bisa ditingkatkan (saran) di masa depan.

Bab ini akan menjelaskan tentang daftar pustaka yang digunakan sebagai acuan dalam penelitian dan referensi.

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

BAB 2 LANDASAN TEORI

Bab ini akan membahas landasan teori yang digunakan dalam perancangan

BusinessContinuityPlanyang sesuai dengan kebutuhan PT.ABC. Literatur yang digunakan antara lain karya akhir mahasiswa MTI sejenis sebelumnya, penelitian mengenai BusinessContinuityPlan (BCP), Beberapa standar yang biasa dipakai dalam perancangan BCP, Business Impact Analysis dan RiskManagementterkait dengan metode perancangan BusinessContinuity. 2.1 BusinessContinuityPlan(BCP) Pada subbab ini akan dilakukan pembahasan mengenai BCP secara lebih mendalam mulai dari definisi, komponen-komponen sebuah BCP sampai dengan mengapa sebuah organisasi membutuhkan BCP. 2.1.1. Definisi Terdapat beberapa definisi BCP/BCMS yang didapat dari beberapa sumber literatur, di antaranya :

a. b. c.
a.
b.
c.

Menurut Snedaker(2007)BusinessContinuityPlanadalah metodologi yang dapat digunakan untuk membuat dan memvalidasi sebuah rencana keberlangsungan bisnis sebelum, saat terjadinya dan setelah sebuah bencana terjadi. Menurut Dr Modiri dan Ghorbani(2010)sebuah BCP adalah sebuah rencana yang komperhensif yang menjamin keberlangsungan dari layanan yang disediakan yang memiliki informasi tentang informasi yang rentan, kondisi atau situasi tertentu.

Menurut BSI (Bundesamt fur Sucherheit in der InFormationstechnic) Standard 100-4 (2012)BCMS adalah sebuah proses Management dengan tujuan mendeteksi risiko yang serius yang akan membahayakan keselamatan sebuah organisasi sedini mungkin dan untuk mengimplementasikan usaha penjagaan terhadap risiko-risiko ini.

d. Avaluation Consulting menggunakan istilah BusinessContinuity yang lebih mature yaituBusinessContinuityManagementSystem (BCMS) yaitu istilah

8

Universitas Indonesia

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

9

yang dipergunakan untuk menyebut sebuah "System Thinking" yang diaplikasikan kepada sebuah BusinessContinuity(Avaluation Consulting and BSI Management System America, 2010). e. Menurut BS 25999-1 (2006) sebuah BCMS adalah sebuah proses yang dimiliki oleh bisnis dan didorong oleh bisnis yang membentuk sebuah strategi yang didesain secara khusus dan sebuah kerangka kerja yang :

Secara proaktif meningkatkan kemampuan untuk pulih dan beradaptasi dengan cepat (baca: resilience) suatu perusahaan terhadap gangguan yang mungkin terjadi terhadap kemampuan untuk mencapai tujuan utama

  2.1.2. Komponen Bisnis BCP
2.1.2. Komponen Bisnis BCP
tujuan utama    2.1.2. Komponen Bisnis BCP Menyediakan metode pelatihan untuk memulihkan kemampuan

Menyediakan metode pelatihan untuk memulihkan kemampuan sebuah organisasi untuk menyediakan layanan dan produk utamanya ke sebuah level dan waktu yang telah disepakati bersama setelah terjadinya sebuah gangguan,

menghasilkan kemampuan yang sudah terbukti dapat menangani gangguan usaha dan melindungi reputasi perusahaan dan merk tertentu

Pada karya akhir ini untuk seterusnya akan dipergunakan definisi BusinessContinuity menurut BS 25999-1.

Snedaker mem-breakdown elemen bisnis menjadi 3 kategori sederhana yaitu manusia (people), proses (process) dan teknologi (technology)

Gambar 2.1 Interaksi antara People, Process dan Technology(Snedaker, 2007)

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

10

Manusia Sebuah krisis yang dikelola secara baik tidak akan menyebabkan seorang karyawan utama di dalam sebuah perusahaan mencari pekerjaan di tempat yang lain, selain itu pengelolaan yang baik akan membuat karyawan lebih tenang dan fokus kepada pekerjaan mereka dan kembali ke pekerjaan seperti biasanya secepat mungkin. Krisis yang dikelola secara baik juga akan meningkatkan reputasi perusahaan, tentang bagaimana perusahaan tersebut dapat menangani kondisi yang kritis sekalipun. Memiliki pengelolaan krisis yang baik juga dapat mengurangi stress yang diderita karyawan secara signifikan, sehingga karyawan dapat bekerja kembali lebih cepat, kembali ke operasi bisnis yang normal dan menghasilkan keuntungan untuk perusahaan.

a.

b. Proses c.
b. Proses
c.

Perencanaan BR/DR dapat menyediakan kesempatan bagi perusahaan untuk mengevaluasi dan meningkatkan bisnis prosesnya. Seringkali pada saat penyusunan rencana BC/DR tim menemukan cara baru untuk merampingkan bisnis proses juga meningkatkan keamanan sistem dengan mengidentifikasi titik lemah dalam sistem. Selain itu mendokumentasikan bisnis proses kritis akan menentukan hidup dan matinya suatu perusahaan. seperti dijelaskan oleh Dr Nasser Modiri, Ghorbani, Saeed dan Ali Rostami(2010) di atas, apabila suatu perusahaan gagal untuk dapat beroperasi dalam MTPD maka kemungkinan besar perusahaan tersebut tidak dapat bertahan.

Teknologi Menangani isu teknologi secara acak/pada saat terjadinya bencana akan jauh lebih mahal daripada ketika sebuah organisasi sudah memiliki sebuah rencana penanganan bencana yang solid di awal. Negosiasi di awal terhadap layanan darurat dapat menghasilkan harga yang lebih murah dan ROI yang lebih tinggi untuk proses BCP/DRP sebuah organisasi.

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

11

2.1.3.

RiskAnalysis/Assesment

Tujuan dari dilakukannya Risk Analysis/Assesment adalah untuk menilai, mengevaluasi dan mengidentifikasi risiko-risiko apa saja yang mungkin dialami oleh sebuah organisasi. Sebuah risiko bisa berasal dari luar maupun dari dalam, dan perlu dipertimbangkan juga ada kalanya sebuah risiko berdampak positif terhadap organisasi sehingga sebuah organisasi bisa bersifat proaktif daripada reaktif dalam mencapai keunggulan kompetitifnya(Jones & Ashenden, 2005). Lebih lanjut mereka mendefinisikan risiko sebagai kemungkinan dari sebuah ancaman meng-exploitasi sebuah kerawanan yang kemudian menimbulkan kerugian pada aset.

Risk = Threat × vunerability × impact (asset value)    2.1.3.1 Perhitungan Nilai
Risk = Threat × vunerability × impact (asset value)
2.1.3.1 Perhitungan Nilai Risiko

Analisis risiko dilakukan dalam konteks BCP untuk mengidentifikasi ancaman-ancaman yang dapat berakibat pada gangguan pada proses bisnis dan untuk mengevaluasi risiko-risiko yang terkait. Tujuan dari risk assesmentmenurut Federal Office for InformationSecurity(2012)adalah:

membuat risiko yang ada saat ini terlihat jelas bagi para pembuat keputusan

jika diperlukan untuk mengembangkan strategi yang sesuai dan langkah antisipasi untuk mengurangi dampak risiko ini di awal dan meningkatkan kehandalan organisasi.

mengidentifikasi skenario untuk setiap individual BCP yang perlu di kembangkan

Terdapat dua metodologi yang dapat digunakan untuk menentukan besaran nilai risiko berdasarkan nilai kemungkinan dan dampak yang ditimbulkan oleh sebuah ancaman yaitu dengan metodologi pengukuran risikokualitatif dan metodologi pengukuran risikokuantitatif.

Menentukan besarnya nilai risiko menggunakanKuantitatif Methodology Metrik kualitatif mempergunakan nilai numerik untuk memperhitungkan nilai risiko, misalnya dalam diagram Gambar 2.2 konsekuensi dari power outage dinyatakan dalam istilah kualitatif sebagai

Universitas Indonesia

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

12

expected loss sebesar $2.5 juta. Berdasarkan ekspektasi ini dan probability sebesar 25%. Nilai risiko diekspresikan secara kuantitatif sebesar $625.000.

risiko diekspresikan secara kuantitatif sebesar $625.000. Gambar 2.2Contoh perhitungan nilai risiko menggunakan metrik
risiko diekspresikan secara kuantitatif sebesar $625.000. Gambar 2.2Contoh perhitungan nilai risiko menggunakan metrik

Gambar 2.2Contoh perhitungan nilai risiko menggunakan metrik kuantitatif (Andalan Nusantara Teknologi (ANT), 2012)

Salah satu metode perhitungan untuk metrik kuantitatif adalah ALEMethod (Annualized Loss Expectancy). Metode ALE ini menentukan nilai risiko berdasarkan 2 komponen utama yaitu : Annualized Rate of Threat Occurance (ART) dan Single Loss Expectancy(SLE).Gambar 2.3 di bawah memperlihatkan pemetaan metode ALE dengan komponen risiko berdasarkan Gambar 2.2 sebelumnya.

dengan komponen risiko berdasarkan Gambar 2.2 sebelumnya. Gambar 2.3Contoh Hubungan antara komponen ALE dengan

Gambar 2.3Contoh Hubungan antara komponen ALE dengan representasi risiko(Andalan Nusantara Teknologi (ANT), 2012)

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

13

Berdasarkan pada pemetaan di atas. ART mengacu pada kemungkinan sebuah ancaman dalam jangka waktu satu tahun, dan SLE merepresentasikan konsekuensi dari sebuah dampak tunggal terhadap sebuah ancaman. Nilai ALE menggambarkan nilai risiko.

ALE = SLE * ART Dimana

: SLE = $10.000.000 * 25/100 SLE = $2.500.000 Ice storm terjadi satu kali setiap
:
SLE = $10.000.000 * 25/100
SLE = $2.500.000
Ice storm terjadi satu kali setiap 4 tahun. Maka nilai ART
(Anualized Rate of Threat Occurance) adalah ¼ berdasarkan nilai ini
makan dapat dihitung ALE
ALE = $2.500.000 * ¼
ALE = $625.000

SLE = ALPV * EF ALPV (Asset Loss Potential Value) mengukur berapa nilai potensial keuangan ketika seluruh aset terkena dampak gangguan. Sedangkan EF (Exposure Factor) mengindikasikan presentase dari ALPV dalam satu kali kejadian. Dalam contoh Gambar 2.3 di atas diasumsikan bahwa potensi kerugian

ketika seluruh sistem komputer dalam computer center terpengaruh oleh power outage adalah $10 juta. Exposure factor diasumsikan sebesar 25% dari ALPV untuk satu kali kejadian. Maka SLE dapat dihitung sebagai berikut ini

Menentukan besarnya nilai risiko menggunakanKualitatif Methodology Penggunaan metrik kualitatif melibatkan perhitungan yang lebih sederhana dan menghabiskan lebih sedikit waktu. Namun kelemahannya adalah nilai risiko subyektif dan non-repeatable karena hanya berdasarkan penilaian individu. Gambar 2.4 di bawah memperlihatkan perhitungan konsekuensi dari power outage yang dinyatakan dalam istilah kualitatif

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

14

sebagai memiliki dampak bisnis yang “High”. Nilai risiko dinyatakan dalam istilah kualitatif sebagai “Low” yang didapatkan dari dampak bisnis “High” dikalikan dengan kemungkinan terjadinya ancaman tersebut sebesar 25%.

dengan kemungkinan terjadinya ancaman tersebut sebesar 25%. Gambar 2.4 Contoh perhitungan nilai risiko menggunakan
Gambar 2.4 Contoh perhitungan nilai risiko menggunakan metrik kualitatif(Andalan Nusantara Teknologi (ANT), 2012)
Gambar 2.4 Contoh perhitungan nilai risiko menggunakan metrik
kualitatif(Andalan Nusantara Teknologi (ANT), 2012)
metrik kualitatif(Andalan Nusantara Teknologi (ANT), 2012) Salah satu metode perhitungan untuk metrik kualitatif adalah

Salah satu metode perhitungan untuk metrik kualitatif adalah AIEMethod (Annualized Impact Expectancy). Metode AIE ini menentukan nilai risiko berdasarkan 2 komponen utama yaitu : Annualized Rate of Threat Occurance (ART) dan Single Impact Expectancy(SIE).

Gambar 2.5 Contoh Hubungan antara komponen AIE dengan representasi risiko(Andalan Nusantara Teknologi (ANT), 2012)

Gambar 2.5 di atas memperlihatkan pemetaan antara metode AIE dengan komponen-komponen risiko. Definisi ART dalam perhitungan AIE

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

15

sama dengan definisi ART dalam perhitungan ini. Sedangkan SIE (Single Impact Expectancy) merepresentasikan konsekuensi dari sebuah dampak tunggal dari sebuah ancaman direpresentasikan dalam nilai kualitatif numerik. AIE dalam perhitungan ini merepresentasikan nilai risiko. AIE = SIE * ART SIE dapat direpresentasikan dalam nilai yang dipilih antara 1sampai dengan 100, di mana 1 mengindikasikan dampak terrendah dan 100 mengindikasikan dampak tertinggi. Dalam contoh pada Gambar 2.5 di atas, diasumsikan bahwa ice storm terjadi sekali setiap 4 tahun sehingga ART adalah ¼ . Besar dari dampak dipertimbangkan tinggi karena pentingnya computer center bagi operasi perusahaan, dalam hal ini SIE adalah 80. Berdasarkan nilai-nilai di atas dapat ditentukan nilai AIE

 High : jika nilai numerik berada di antara 67 sampai dengan 100  Medium
 High : jika nilai numerik berada di antara 67 sampai dengan 100
 Medium : jika nilai numerik berada di antara 34 sampai dengan 66
 Low : jika nilai numerik berada di antara 1 sampai dengan 33
organisasi.
2.1.3.2 Proses RiskAssessment

AIE = 80 * ¼ AIE = 20 Nilai numerik ini dapat di petakan ke dalam istilah kualitatif yang lebih bermakna contohnya dengan mempergunakan tabel pemetaan sebagai berikut ini:

Maka berdasarkan pemetaan di atas, power outage yang disebabkan oleh ice stormdalam contoh di atas dikategorikan sebagai memiliki risiko “Low” untuk

Untuk melakukan risk assesment ada 6 langkah yang harus dilakukan, di antaranya

Identify Threat Sources

Identify Threat Events

Identify Consequences (Impact)

Assess Single Loss (or Impact) Expectancies

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

16

Assess Likelihoods

Derive Risk Values

16  Assess Likelihoods  Derive Risk Values Masing-masing langkah pada Gambar 2.6 berikut : a.
Masing-masing langkah pada Gambar 2.6 berikut : a. Identify Threat Sources (Threat assesment)
Masing-masing langkah pada Gambar 2.6
berikut :
a. Identify Threat Sources (Threat assesment)

Gambar 2.6Proses RiskAssessment(Andalan Nusantara Teknologi (ANT), 2012)

di atas dapat dijelaskan sebagai

Kata kunci dalam langkah ini adalah "identifikasi, control, mengeliminasi dan meminimalisasi kejadian yang tidak terduga". Sebuah risiko dapat dipandang sebagai kombinasi ancaman itu sendiri, kemungkinan dari ancaman itu terjadi, kerawanan dari sebuah organisasi atau sistem terhadap ancaman dan dampak relatif maupun absolut terhadap ancaman tersebut terhadap organisasi atau sistem. Ada banyak jenis ancaman yang harus dipertimbangkan oleh sebuah organisasi, namun secara garis besar dapat dibagi menjadi 2 yaitu ancaman yang disebabkan oleh manusia (human caused) dan ancaman yang disebabkan oleh alam (natural). Snedaker membuat sebuah checklist untuk mempermudah memulai mengidentifikasi ancaman- ancaman yang paling sering terjadi. Tabel 2.1 berikut ini adalah

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

17

checklist yang

(Snedaker, 2007).

sudah

di

sesuaikan

dengan keadaan

di Indonesia

Tabel 2.1ThreatChecklist-telah diolah kembali (Snedaker, 2007)

Natural/Environtmental Threats  Fire (can be human-caused)  Flood  Electrical Storm  Earthquake 
Natural/Environtmental Threats
 Fire (can be human-caused)
 Flood
 Electrical Storm
 Earthquake
 Hurricane/Typhoon/Cyclone
 Tsunami
 Volcano
 Avian Flu/Pandemik
Human-Caused Threats.
 Fire, arson
 Theft, Sabotage, Vandalism
 Labor Disputes
 Workplace Violance
 Terorism
 Chemical and Biological Hazzard
 War, Civil unrest
Infrastructure Threat
 Building-specific failures
 Non-TI equipment, system failure
 Heating/Cooling, Power failures
 Public Transportation distruption
 Oil, petroleum supply disruption
 Regulatory, legal changes
TI-Specific Threat
 Cyber Threat
 Equipment/system failure
 Production line equipment failure
 Loss of data or Record
b.
ThreatEventAssessment

ThreateventAssessment mengukur sejauh mana kerawanan sebuah bisnis atau sistem dan berapa kemungkinan terjadinya kerawanan tersebut. Langkah ini menentukan Threat events apa yang dapat terjadi karena adanya Threat yang telah diidentifikasi pada langkah pertama. Tabel 2.2 di bawah ini memperlihatkan contoh output dari langkah ini.

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

18

Tabel 2.2Contoh output dari Vulnerability/ThreatEventAssessment(Andalan Nusantara Teknologi (ANT), 2012)

Threat

ThreatEvent (Vulnerabilities)

Flood

Power outage

Flood

Akses jalan terhambat

Hacker

Akses ke halaman web/data oleh pihak yang tidak berhak

c. Identify Consequences Langkah ketiga ini mengidentifikasi konsekuensi apa yang mungkin terjadi sebagai akibat
c.
Identify Consequences
Langkah ketiga ini mengidentifikasi konsekuensi apa yang mungkin
terjadi sebagai akibat threats yang diidentifikasi pada langkah 1 dan 2.
Sebagai tambahan langkah ini juga mengidentifikasi aset apa saja
yang kritis bagi organisasi.Tabel 2.3memberikan gambaran mengenai
output pada langkah ini.
Tabel 2.3Contoh output dari langkah mengidentifikasi consequences(Andalan
Nusantara Teknologi (ANT), 2012)
Critical Asset
Consequences
ThreatEvent (Vulnerabilities)
Threat
Flood
Power outage
Computer Center
Computer
systems
shutdown
Flood
Akses jalan terhambat
Staff
Kekurangan staff
Hacker
Akses ke halaman web/data oleh
pihak yang tidak berhak
Clients
personal
Unauthorized
access
information
to
personal
Informationand
confidential data
Pada tabel di atas terlihat bahwa event power outage dapat berdampak
kepada Critical Asset (Computer Center) yang berimbas padamatinya
sistem komputer. Banjir juga akan berdampak langsung terhadap staf
dengan terhambatnya akses jalan yang akan memiliki konsekuensi
kekurangan staff di kantor pada saat terjadinya banjir. Akses halaman

web/data oleh hacker akan berakibat pada terjadinya ter-expose nya

data-data pribadi milik klien.

d. Assess Single Loss (or Impact) Expectancies

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

19

Pada langkah ini dilakukan penilaian terhadap konsekuansi terhadap

sebuah ancaman (threats) sebagai sebuah SLE atau SIE (bergantung

dari metodologi yang digunakan)

Output dari langkah ini adalah sekumpulan :

Threat consequences

SLE atau SIE tergantung metodologi yang digunakan untuk

menentukan besarnya nilai risiko

e. Assess Likelihoods Dalam langkah ini dilakukan penilaian terhadap likelihood dari sebuah ancaman per-tahun dan
e. Assess Likelihoods
Dalam langkah ini dilakukan penilaian terhadap likelihood dari sebuah
ancaman per-tahun dan dinyatakan dalam ART (Annualized Rate of
Threat)
f. Derive Risk Values
Berdasarkan output dari langkah 2,4 dan 6 langkah terakhir ini
melakuka perhitungan nilai risiko menggunakan metode ALE atau
AIE.Output dari langkah 4,5 dan 6 dapat dilihat pada berikut ini
Tabel 2.4 Contoh output dari langkah 4,5 dan 6 dalam riskAssessment(Andalan
Nusantara Teknologi (ANT), 2012)
ThreatEvent
RiskValue :
Threat
Consequences
SLE
ART
(Vulnerabilities)
ALE
Flood
Power outage
Computer systems
$625000
$2.5M
¼
shutdown
($2.5M*¼)
ThreatEvent
RiskValue :
Threat
Consequences
SIE
ART
(Vulnerabilities)
ALE
Flood
Power outage
Computer systems
Low
High (or
¼
shutdown
(numeric
numeric
value of
value of
20=80*¼)
80)

2.1.4. Business Impact Analysis (BIA)

Hubungan antara valuechaindengan proses bisnis kritis ditentukan oleh

Business Impact Analysis (BIA). Dalam BIA sumber daya kritis yang saling

bergantung (stakeholder, produk dan layanan utama) dan level kepentingannya

terhadap aktivitas kritis (proses kunci dalam sebuah valuechain) dianalisis. BSI

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

20

100-4(2012)menyebutkan bahwa tugas utama dari BIA adalah untuk mengetahui bisnis proses mana saja yang penting untuk menjaga keberlangsungan bisnis dan organisasi. Bisnis proses kritis ini lalu dilindungi dengan sebuah kerangka kerja spesial dalam sebuah BCP. Sementara itu tujuan dari penggunaan BIA oleh semua organisasi adalah mengoptimasi kinerja dari pemulihan dan waktu yang dibutuhkan untuk pemulihan ini (Recovery Time Objective/RTO) dengan melakukan apapun untuk memastikan RTO ≤ MTPD dengan tidak mengabaikan efisiensi dari pemulihan tersebut(Boehmer, 2009). Menurut BusinessContinuity Institute (BCI) (2010) sebuah organisasi dalam BCMS dan sertifikasi ada 4 (empat) tujuan utama dari BIA :

    2.1.4.1 Kerugian Upstream dan Downstream 
2.1.4.1 Kerugian Upstream dan Downstream

Mendapatkan pemahaman tentang tujuan utama organisasi, prioritas dari masing-masing tujuan dan jangka waktu untuk melanjutkan kembali dari sebuah gangguan yang tidak direncanakan

MenginFormasikan keputusan manajemen mengenai Maximum Tolerable Outage (MTO) dari setiap fungsi

Menyediakan sumber daya informasibagaimana sebuah strategi pemulihan yang sesuai dapat ditentukan/direkomendasikan

Menguraikan ketergantungan yang ada baik internal maupun external untuk mencapai tujuan kritis.

Selain gangguan bisnis seperti gempa bumi, banjir terdapat dampak tidak langsung yang harus dipertimbangkan. Yaitu kerugian upstream dan kerugian downstream(Snedaker, 2007)

Kerugian upstream : terjadi jika salah satu supplier utama terpengaruh oleh adanya bencana/gangguandan organisasi mengandalkan pengiriman reguler dari produk maupun layanan dari perusahaan lain (supplier), sehingga organisasi tersebut tidak dapat memberikan produk atau layanan meskipun organisasi tersebut tidak mengalami bencana tersebut secara langsung.

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

21

Kerugian downstream : terjadi saat pelanggan utama atau lingkungan di sekitar organisasi terpengaruh oleh bencana/gangguan, sementara organisasi tidak menyediakan layanan yang kritis sehingga pelanggan utama lebih fokus kepada menangani dampak dari bencana daripada menggunakan produk ataupun layanan yang organisasi sediakan.

2.1.4.2 Impact Criticality

 

Sewaktu dilakukannya pengumpulan fungsi-fungsi kritis di dalam sebuah organisasi prioritas terhadap fungsi-fungsi tersebut harus diberikan. Tujuannya adalah untuk mengklasifikasikan dari fungsi-fungsi tersebut mana yang kritis (sangat penting bagi misi organisasi/mission critical), mana yang penting, mana yang kurang penting sehingga dapat di abaikan atau ditunda pemulihannya. Susan Snedaker (2007) membagi sistem peringkat untuk melakukan assesmentkekritisan proses/fungsi menjadi 4 kategori sebagai berikut :

Kategori 1 : Fungsi Kritis – Mission Critical Adalah bisnis proses dan fungsi yang memberikan dampak paling besar kepada operasi perusahaan dan potensi untuk pemulihan. Atau dengan kata lain proses apa yang harus ada dalam perusahaan untuk melakukan fungsinya. Hal yang dapat dilakukan untuk memfokuskan responden mengenai fungsi-fungsi yang mission critical adalah misalnya dengan menanyakan tiga sampai lima hal apa saja yang akan mereka lakukan ketika sebuah bencana reda.

Kategori 2 : Fungsi Esensial – Vital Terkadang ada beberapa fungsi bisnis yang berada di antara mission critical dengan important. Tidak semua organisasi membutuhkan kategori ini, salah satu ciri sebuah organisasi tidak membutuhkan kategori ini adalah ketika sebuah organisasi tidak dapat membedakan antara mission critical dengan vital (Snedaker, 2007). Fungsi vital mungkin saja memasukkan fungsi-fungsi seperti pengajian yang mungkin sekilas tidak tampak seperti sebuah fungsi yang mission critical di dalam rangka memulihkan organisasi untuk dapat berjalan kembali secepat mungkin,

Universitas Indonesia

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

22

namun dapat menjadi vital bagi kemampuan organisasi untuk dapat berfungsi penuh lebih dari sekedar pulih dari bencana.

Kategori 3 : Fungsi yang dibutuhkan – Important Ketidakadaan fungsi dan proses bisnis yang penting (important) tidak akan menghentikan bisnis dari beroperasi di waktu dekat, namun fungsi-fungsi dan bisnis proses tersebut biasanya memiliki dampak jangka panjang ketika mereka tidak ada atau tidak berfungsi sebagaimana mestinya. Fungsi dan bisnis proses ini biasanya memiliki dampak finansial dan legal. Biasanya juga terhubung lintas unit fungsional dan lintas sistem bisnis. Dalam perspektif TI biasanya sistem ini termasuk di dalamnya email, database, akses internet dan perangkat lunak bisnis yang digunakan untuk menjalankan fungsi-fungsi pendukung. RTO dari sistem-sistem ini biasanya dalam hitungan hari atau minggu.

 2.1.4.3 Kebutuhan Waktu Pemulihan 
2.1.4.3 Kebutuhan Waktu Pemulihan

Kategori 4 : Fungsi yang diinginkan – Minor Fungsi dan bisnis proses minor biasanya tidak akan dibutuhkan dalam jangka waktu dekat dan yang jelas tidak akan dibutuhkan selama operasi bisnis perusahaan belum berjalan sebagaimana mestinya.

Kebutuhan waktu pemulihan berhubungan erat dengan impact criticality. Makin penting suatu aktivitas atau fungsi biasanya makin kecil juga waktu pemulihannya

Maximum Tolerable Downtime (MTD): pada beberapa literatur disebut juga sebagai MTPD (Maximum Tolerable Period of Distrupment) sesuai namanya adalah besar waktu maksimum sebuah bisnis dapat menoleransi ketidakadaan sebuah fungsi bisnis. Semakin kritis sebuah fungsi bisnis biasanya akan memiliki MTD yang semakin kecil.

Recovery Time Objective (RTO) : yaitu waktu yang tersedia untuk memulihkan sistem dan sumber daya yang terganggu. Secara definisi RTO harus lebih kecil dari MTD.

Work Recovery Time (WRT): adalah langkah-langkah tambahan yang perlu dilakukan supaya bisnis dapat berjalan kembali setelah sistem (perangkat lunak,perangkat keras dan konfigurasi) dikembalikan (restore).

Universitas Indonesia

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

23

Secara definisi MTD adalah penggabungan dari RTO dengan WRT atau bisa dituliskan sebagai

MTD = RTO + WRT

RecoveryPoint Objective (RPO): Banyaknya kehilangan data yang dapat ditoleransi oleh sistem bisnis kritis perusahaan. Sebagai contoh ketika sebuah perusahaan melakukan backup secara realtime maka dapat disimpulkan toleransi kehilangan data perusahaan tersebut hampir tidak ada. Sementara itu jika sebuah perusahaan melakukan backup setiap satu minggu sekali maka toleransi kehilangan data perusahaan tersebut maksimal adalah satu minggu.

Gambar 2.7Kerangka Waktu Pemulihan(Snedaker, 2007)
Gambar 2.7Kerangka Waktu Pemulihan(Snedaker, 2007)

Gambar 2.3 di bawah ini menggambarkan hubungan antara keempat terminologi tersebut

menggambarkan hubungan antara keempat terminologi tersebut  Poin 1 : RecoveryPoint Objective - maksimum

Poin 1 : RecoveryPoint Objective - maksimum kehilangan jumlah data berdasarkan jadwal backup dan kebutuhan masing-masing organisasi

Poin 2 : Recovery Time Objective - durasi waktu yang dibutuhkan untuk menyalakan kembali sistem-sistem yang kritis

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

24

Poin 3 : Work Recovery Time - durasi waktu yang dibutuhkan untuk mengembalikan data berdasarkan RPO dan untuk memasukkan data yang dihasilkan dari proses manual selama masa gangguan.

Poin 2 dan 3 : Maximum Tolerable Downtime - Durasi dari RTO + WRT

Poin 4 : Test, verifikasi dan melanjutkan operasi normal

2.1.4.4 Proses BIA
2.1.4.4 Proses BIA

Tahapan proses BIA beserta output yang dihasilkan pada masing-masing tahapan dapat dilihat pada diagram pada berikut ini.

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

25

25 Gambar 2.8Tahapan proses BIA beserta output masing-masing langkah (Andalan Nusantara Teknologi (ANT), 2012)
25 Gambar 2.8Tahapan proses BIA beserta output masing-masing langkah (Andalan Nusantara Teknologi (ANT), 2012)

Gambar 2.8Tahapan proses BIA beserta output masing-masing langkah (Andalan Nusantara Teknologi (ANT), 2012)

Masing-masing langkah pada Gambar 2.8 dapat dijelaskan sebagai berikut ini:

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

26

Step 1 : Melakukan Identifikasi Tujuan BIA, Ruang Lingkup dan Asumsi Untuk melakukan BIA pertama-tama yang dilakukan adalah mengidentifikasi tujuan, ruang lingkup dan asumsi yang diperlukan untuk melakukan proses BIA hal ini sebagai dasar untuk :

memahami ekspektasi manajemen mengenai temuan dari proses BIA

mendefinisikan fokus dari aktivitas BIA

  Company-wide,  Kantor tertentu saja  Fungsi bisnis tertentu saja   Belum
 Company-wide,
 Kantor tertentu saja
 Fungsi bisnis tertentu saja
 Belum adanya fasilitas IT recovery
 Gangguan terjadi pada jam puncak
 Kantor tidak dapat diakses setelah terjadinya gangguan
 Kantor dapat diakses kembali setelah periode tertentu

memperkirakan jumlah sumber daya, waktu dan usaha yang diperlukan untuk melakukan proses BIA Ruang lingkup membantu untuk praktisi BC untuk fokus terhadap BIA di area tertentu dalam organisasi, ruang lingkup dapat berupa:

Seluruh fungsi bisnis yang didukung oleh sumber daya baik TI maupun non-TI Sebagai tambahan dapat pula diberikan asumsi yang menggambarkan karakteristik dari gangguan yang mungkin dapat terjadi dan kemampuan recovery organisasi. Contoh asumsi antara lain :

Step 2 : Melakukan identifikasi Fungsi Bisnis dan Proses Bisnis Tujuan dari langkah ini adalah untuk mengidentifikasi Fungsi Bisnis dan Proses Bisnis apa saja yang dipergunakan untuk mendukung misi, tujuan dan sasaran organisasi. Ruang lingkup BIA dapat dijadikan startingpoint untuk mengidentifikasi fungsi bisnis. Beberapa organisasi mungkin memiliki model bisnis maupun struktur organisasi yang dapat membantu identifikasi fungsi bisnis. Sementara itu proses bisnis dapat diidentifikasi dari masing-masing staf di dalam fungsi bisnis berdasarkan pekerjaan sehari-hari mereka.

Universitas Indonesia

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

27

Step 3 : Melakukan penilaian dampak Finansial dan Operasional Penilaian Dampak Finansialmengukur sejauh mana dan seberapa parah kerugian finansial terhadap bisnis. Penilaian dilakukan untuk setiap fungsi bisnis dengan menanyakan pertanyaan "Sejauh mana dan separah apa kerugian finansial jika sebuah proses terganggu setelah terjadinya bencana?". Bagian pertama dari penilaian dampak finansial adalah melakukan penilaian untuk menentukan sejauh mana kerugian setelah terjadinya bencana dalam jangka waktu tertentu sehingga memudahkan untuk melakukan perbandingan dengan dampak finansial dengan proses yang lain. Kerugian dalam proses ini termasuk kehilangan pendapatan, dan pembelanjaan tambahan yang harus dikeluarkan karena terjadinya bencana. Beberapa hal yang umum menjadi penyebab kerugian adalah hilangnya penjualan produk dan layanan namun dapat juga disebabkan oleh faktor- faktor lain seperti :

 Penalti karena ketidakmampuan untuk memenuhi kontrak  Kehilangan sumber dana  Kehilangan diskon 
Penalti karena ketidakmampuan untuk memenuhi kontrak
Kehilangan sumber dana
Kehilangan diskon
Kehilangan kesempatan untuk mendapatkan keuntungan
-
menyewa karyawan tambahan untuk membantu menyelesaikan tugas
-
perjalanan, akomodasi dan penginapan
-
upah lembur untuk kerja tambah
-
sistem pengiriman dan peralatan
-
sewa peralatan pengganti

Pembelanjaan tambahan juga memiliki dampak finansial. Contoh dari pembelanjaan tambahan ini antara lain :

Bagian kedua dari penilaian dampak finansial adalah memberikan peringkat untuk tiap level kerusakan berdasarkan nilai kerugian finansial. Berikut ini adalah contoh level kerusakan mulai dari "no impact" sampai dengan "major impact".

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

28

dampak kerusakan level 0 (no impact)

dampak kerusakan level 1 (minor impact)

dampak kerusakan level 2 (intermediate impact)

dampak kerusakan level 3 (major impact)

Contoh penilaian dampak finansial dan pemberian level kerusakan (severity)

dapat dilihat pada Tabel 2.5berikut ini

Tabel 2.5 Contoh Penilaian Financial Impact & Level Kerusakan(Andalan Nusantara Teknologi (ANT), 2012) Extent of
Tabel 2.5 Contoh Penilaian Financial Impact & Level Kerusakan(Andalan
Nusantara Teknologi (ANT), 2012)
Extent of
BusinessFunction
Severity
Business Process
Financial Loss
Level
(per day)
Generate orders
$
700.000,00
3
Sales
Report
Sales
$
-
0
Data
Promote
$
2.000,00
1
Marketing
Production
Maintain Catalog
Handle Customer
$
5.000,00
1
Customer Service
Problems
Process Oders
$
500.000,00
3
Package Product
$
15.000,00
2
Shipping
Ship Product
$
20.000,00
2

operasional :

SedangkanPenilaian dampak operasional melakukan penilaian terhadap dampak

negatif yang ditimbulkan oleh sebuah gangguan (bencana) terhadap berbagai

operasi bisnis yang berkaitan dengan kecukupan, efisiensi, kepuasan, image,

kepercayaan, kontrol, moral dsb.Berikut ini adalah contoh dari dampak

Arus kas yang tidak memadai

Kehilangan kepercayaan investor

Kehilangan pangsa pasar

Hilangnya daya saing

Kerusakan terhadap kepercayaan para pemegang saham

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

29

Kerusakan terhadap reputasi industri

Rendahnya moral staf

Pelayanan konsumen yang tidak memuaskan

Rusaknya hubungan dengan vendor

Pelanggaran terhadap suatu peraturan

Pemberian peringkat untuk suatu bisnis proses merepresentasikan perkiraan

subyektif yang disediakan oleh partisipan BIA dalam sebuah peringkat kualitatif

seperti "none", "low", "medium", "high" dan "highest". Sebagai contoh ketika
seperti "none", "low", "medium", "high" dan "highest". Sebagai contoh ketika
sebuah kejadian memiliki dampak yang signifikan terhadap bisnis proses dalam
aspek operasional maka Business proses tersebut dapat diberi peringkat "high".
Contoh penilaian dampak operasional dapat dilihat padaTabel 2.6berikut ini.
Tabel 2.6 Contoh Penilaian Peringkat Dampak Operasional(Andalan Nusantara
Teknologi (ANT), 2012)
Operational Impacts Peringkat
Business
BusinessFunction
Cash
Investor
Market
Competitive
Customer
Process
Clow
Confidence
Share
Edge
SatisfAction
Generate
high
high
highest
high
none
orders
Sales
Report
none
highest
low
none
none
Sales Data
Promote
low
high
high
highest
low
Production
Marketing
Maintain
low
medium
high
highest
high
Catalog
Handle
Customer
medium
low
low
medium
high
Customer Service
Problems
Process
highest
Medium
low
medium
highest
Oders
Package
high
Medium
low
high
high
Product
Shipping
Ship
high
Medium
low
high
high
Product

Step 4 : Melakukan identifikasi Proses Bisnis Kritis

Pemberian peringkat kepada dampak finansial dan operasional yang telah

dilakukan pada step 3 sebelumnya menjadi dasar untuk mengidentifikasi

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

30

bisnis proses kritis. Dalam melakukan pemilihan proses bisnis kritis

dibutuhkan kriteria pemilihan untuk menentukan apakah sebuah proses

memenuhi kualifikasi untuk dimasukkan ke dalam kategori proses bisnis

kritis. Sebagai contoh suatu proses bisnis dikategorikan kritis apabila

memenuhi kriteria sebagai berikut ini :

Pelayanan konsumen yang tidak memuaskan

Memiliki level kerusakan (severity) 2-3 dalam dampak finansial

 operasionalnya  operasionalnya  dampak operasionalnya kritis sebagaimana Tabel 2.7berikut ini :
operasionalnya
operasionalnya
dampak operasionalnya
kritis sebagaimana Tabel 2.7berikut ini :
BusinessFunction
Business Process
Sales
Generate orders
Promote Production
Marketing
Maintain Catalog
Customer Service
Process Oders
Package Product
Shipping
Ship Product

Peringkat "high" diberikan kepada sekurang-kuranya 3 dalam dampak

Peringkat "high" diberikan kepada sekurang-kurangnya 2 dan peringkat

"highest" diberikan kepada sekurang-kurangnya 1 dalam dampak

Peringkat "highest" kepada diberikan sekurang-kurangnya 2 dalam

Dengan menerapkan kriteria di atas maka didapatkan daftar bisnis proses

Tabel 2.7 Contoh pemilihan proses bisnis kritis (Andalan Nusantara Teknologi (ANT), 2012)

Step 5 : Melakukan Identifikasi MTPD dan melakukan prioritasi proses

kritis

Setelah proses bisnis diidentifikasi langkah selanjutnya adalah menentukan

Maximum Tolerable Downtime (MTD) atau Maximum Tolerable Period of

Distruption (MTPD). Semua partisipan BIA terlibat dalam penentuan nilai

dampak finansial dan operasional diberikan pertanyaan "Berapa lama waktu

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

31

yang dapat ditoleransi oleh proses ini berdasarkan level dampak

finansial dan operasional ?".

Contoh penggunaan nilai dampak finansial dalam identifikasi MTD:

sebuah proses yang memiliki dampak kerugian finansial sebesar $7000

per hari menjadi tidak dapat diterima ketika kerugian finansial melebihi

$21000 dalam 3 hari sehingga MTD dari proses ini adalah 3 hari.

Contoh penggunaan nilai dampak operasional dalam identifikasi MTD:

diterima terhadap kepercayaan investor, daya saing dan pangsa pasar prioritas pemulihan. Business Recovery
diterima terhadap kepercayaan investor, daya saing dan pangsa pasar
prioritas pemulihan.
Business
Recovery
BusinessFunction
MTD
Process
Priority
Generate
Sales
3
days
1
orders
Promote
7
days
4
Product
Marketing
Maintain
5
days
3
Catalog
Process
Customer Service
3
days
1
Oders
Package
4
days
2
Shipping
Product
Ship Product
4
days
2

bisnis proses "Promote Product" memiliki estimasi MTD sebesar 7 hari

berdasarkan BIA. Estimasi ini berdasarkan alasan bahwa gangguan

lebih dari 7 hari akan menyebabkan level kerusakan yang tidak dapat

Setelah MTD ditentukan langkah selanjutnya adalah pemberian prioritas

pemulihan besar MTD. Proses bisnis dengan MTD singkat diberikan prioritas

yang lebih tinggi (kecil) dibandingkan proses dengan MTD yang lebih lama.

Tabel 2.8berikut ini memberikan contoh mengenai pemberian nilai MTD dan

Tabel 2.8 Contoh MTD dan Prioritas Pemulihan (Andalan Nusantara Teknologi (ANT), 2012)

Step 6 : Melakukan identifikasi Sistem IT dan Aplikasi kritis

Sebuah sistem TI dianggap kritis apabila mendukung proses bisnis yang

kritis. Berdasarkan Tabel 2.8beserta bantuan dari departemen TI dan pemilik

proses bisnis dapat dipetakan portofolio aplikasi dan sistem yang mendukung

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

32

suatu proses bisnis. Contoh pemetaan portofolio aplikasi dan sistem dapat

dilihat pada Tabel 2.9 berikut ini :

Tabel 2.9 Contoh Pemetaan Sistem dan Aplikasi TI Kritis(Andalan Nusantara Teknologi (ANT), 2012)

Business BusinessFunction Critical IT System and Application Process Customer InformationSystem Generate Sales
Business
BusinessFunction
Critical IT System and Application
Process
Customer InformationSystem
Generate
Sales
Order Entry System
orders
EmailSystem
Promote
Customer InformationSystem
Product
EmailSystem
Marketing
Maintain
Online CatalogApplication
Catalog
Order Entry System
Process
Customer Service
Inventory ManagementSystem
Oders
Customer Billing System
Package
Order Entry System
Product
Shipping and Freight ManagementSystem
Shipping
Shipping and Freight ManagementSystem
Ship Product
Inventory ManagementSystem
Order Entry System
Step 7 : Melakukan identifikasi Sumber daya Non-TI Kritis
daftar beberapa jenis sumber daya Non-TI :
Fasilitas TI, Fasilitas produksi dan Pabrik
Area kerja kantor

Sama seperti proses identifikasi aplikasi dan sistem TI kritis pada langkah

sebelumnya, tingkat kekritisan sebuah sumber daya Non-TI bergantung pada

tingkat kekritisan proses bisnis yang didukungnya. Berikut ini adalah contoh

Peralatan produksi dan manufaktur

Bahan mentah

Perabotan kantor

Alat-alat keamanan

Peralatan komunikasi suara

Universitas Indonesia

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

33

Peralatan maintenance dan cadangan

Catatan berharga

Fax, printer dan peralatan fotokopi

Alat-alat tulis kantor

Daftar di atas diharapkan akan membantu pemilik proses bisnis untuk

mengidentifikasi sumber daya Non-TI apa yang mereka butuhkan untuk

menjalankan bisnis proses kritis mereka. Contoh output dari langkah ini dapat

dilihat pada Tabel 2.10berikut ini. Tabel 2.10 Contoh Sumber Daya Non-TI Kritis(Andalan Nusantara Teknologi (ANT),
dilihat pada Tabel 2.10berikut ini.
Tabel 2.10 Contoh Sumber Daya Non-TI Kritis(Andalan Nusantara Teknologi
(ANT), 2012)
Critical Non-IT Resources
Business
BusinessFunction
Process
Resource Type
Resource Detail
Machinery/Equipment
Horizontal case packer
Raw material
Box
Sealing material
- Hot glue
- Tape
Package
Shipping
Product
Tools
Forklift
Furniture
Desk & Chair for supervisor
Safety equipment
Hard safety hats
safety gloves
Voice communication
equipment
3 phone with voice mail, call waiting,
call forwarding options
Step 8 : Menentukan RTO
Seperti telah dijelaskan pada subbab 2.1.4.3 sebelumnya RTO adalah waktu

yang tersedia untuk memulihkan sistem dan sumber daya yang terganggu,

maka secara definisi RTO harus lebih kecil dari MTD (didapatkan pada step

5). Selain RTO, MTD juga terdiri dari WRT. WRT adalah langkah-langkah

tambahan yang perlu dilakukan supaya bisnis dapat berjalan kembali setelah

sistem (perangkat lunak,perangkat keras dan konfigurasi) dikembalikan

(restore).

MTD = RTO + WRT

Universitas Indonesia

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

34

Informasi yang didapatkan dari langkah 5,6,dan 7 dipergunakan untuk menentukan RTO untuk setiap sumber daya TI maupun Non-TI. Contoh mengenai tabel RTO dan WRT dapat dilihat pada Tabel 2.11di bawah ini. Tabel 2.11 Contoh WRT RTO untuk sistem TI yang mendukung proses “Generate order” (Andalan Nusantara Teknologi (ANT), 2012)

Critical Critical IT Critical Business Systems and RTO WRT BusinessFunction Process Applications Generate
Critical
Critical IT
Critical
Business
Systems and
RTO
WRT
BusinessFunction
Process
Applications
Generate
Customer
2.5
days
0.5
days
Sales
orders
InformationSystem
Order Entry
1
days
2
days
System
EmailApplication
2.5
days
0.5
days
EDI Systems
2
days
1
days

Sebagai contoh untuk aset kritis TI Customer InformationSystem yang memiliki MTD sebesar 3 hari maka aset TI tersebut harus dipulihkan lebih cepat dari 3 hari untuk dapat mengakomodasi RTO dan WRT. Bergantung kebutuhan yang ada dilapangan, besarnya RTO dapat lebih besar dari WRT dapat pula lebih kecil. Step 9 : Menentukan RPO RPO menggambarkan toleransi terhadap kehilangan data sebagai akibat dari adanya gangguan. RPO diukur dalam skala waktu sejak waktu terakhir data dilakukan backup dan waktu gangguan. Sebagai contoh sebuah perusahaan Listrik yang memiliki aplikasi kritis untuk melakukan tracking data konsumsi Listrik konsumennya menetapkan RPO sebesar 48 jam dengan backup data yang berlangsung setiap 48 jam sekali. RPO sebesar 48 jam didapatkan dari besar kapasitas perangkat metering Record genggam yang dimiliki oleh pegawai keliling mampu untuk menampung data sampai dengan 48 jam. Pada saat terjadinya gangguan data terjadi gangguan data dapat dipulihkan backup ke 48 jam yang lalu kemudian data terkini diinput kembali dari perangkat metering Recorder genggam. Dalam proses BIA ini RPO ditentukan untuk setiap aplikasi dengan menanyakan “Berapa toleransi (dalam ukuran waktu) kehilangan data yang

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

35

mungkin terjadi diantara 2 periode backup ?” respon dari pertanyaan ini mengindikasikan nilai RPO.

Step 10 : Mengidentifikasi work-around procedures Work-around procedures memungkinkan proses bisnis untuk tetap berjalan ketika sumber daya TI maupun non TI tidak tersedia dengan menjalankan metode alternatif. Metode alternatif ini seringkali melibatkan proses manual, cenderung sementara, kurang efisien atau seringkali lebih mahal dibandingkan dengan prosedur normal. Langkah ini mengidentifikasikan work-around procedures untuk bisnis proses yang telah terpilih pada step 4 sebelumnya dengan menanyakan pertanyaan sebagai berikut ini :

 Adakah work-around procedures yang telah terdokumentasi dengan baik untuk proses anda ? Identifikasi semua
Adakah work-around procedures yang telah terdokumentasi dengan
baik untuk proses anda ?
Identifikasi semua pekerjaan yang tidak tercakup oleh work-around
procedures ini.
Tabel 2.12berikut ini menggambarkan contoh work-around procedures untuk
proses bisnis generate order
Tabel 2.12 Contohwork-around procedures untuk proses bisnis Generate
orders(Andalan Nusantara Teknologi (ANT), 2012)
Critical
Critical
Critical IT
Work-around procedures
BusinessFunction
Business
System and
Process
Applications
Sales
Generate
Order
Entry
orders
System
Manually track customer order using
customer Informationon Microfiche
Records. Manually process order with the
exception of financial credit approval.
Financial credit approval through the once
the system is recoverd and the external
credit check link is establish.

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

36

2.1.5. BusinessContinuityStrategy (BCS)

Langkah ini berada di bab 7.2 dalam BS25999-1:2006. Tujuan dari langkah ini adalah untuk mengembangkan sebuah strategi BC yang dapat menunjang kebutuhan pemulihan yang telah diidentifikasi pada tahap BIA. BCS terdiri dari sekumpulan pilihan pemulihan yang dapat digunakan sebagai alternatif pada saat sumber daya kritis tidak tersedia(Andalan Nusantara Teknologi (ANT), 2012). ANT mengelompokkan area BCS menjadi beberapa areadiantaranya (Andalan Nusantara Teknologi (ANT), 2012):

 Tempat kerja  Infrastruktur dan sistem TI  Manufaktur dan Produksi  Data dan
 Tempat kerja
 Infrastruktur dan sistem TI
 Manufaktur dan Produksi
 Data dan Record penting lainnya.
2.1.5.1 Kerangka Kerja BusinessContinuityStrategy (BCS)
Kerangka
kerja
yang
pengembangan
terdiri dari 4 fase yaitu :
 Fase A : Identifikasi Kebutuhan Pemulihan
 Fase B : Identifikasi Pilihan Pemulihan
 Fase C : Penilaian Ketersediaan Waktu
 Fase D : Penilaian Kemampuan-Biaya
Gambar 2.9 di bawah ini menggambarkan kerangka kerja pengembangan BCS.

BusinessContinuityStrategy(BCS)

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

37

37 Masing-masing langkah dalam kerangka kebutuhan pemulihan di atas dapat dijelaskan per-fase sebagai berikut : Gambar
37 Masing-masing langkah dalam kerangka kebutuhan pemulihan di atas dapat dijelaskan per-fase sebagai berikut : Gambar
Masing-masing langkah dalam kerangka kebutuhan pemulihan di atas dapat dijelaskan per-fase sebagai berikut :
Masing-masing langkah dalam kerangka kebutuhan pemulihan di atas dapat
dijelaskan per-fase sebagai berikut :

Gambar 2.9 Kerangka Kerja Pengembangan Kebutuhan Pemulihan(Andalan Nusantara Teknologi (ANT), 2012)

A. Identifikasi Kebutuhan Pemulihan

Fase ini terdiri dari 5 langkah, langkah 1 diturunkan langsung dari BIA

namun langkah ini juga bisa menghasilkan kebutuhan pemulihan tambahan

misalnya : sumber daya yang dibutuhkan di CrisisManagement Center.

Langkah 2-5 mengelompokkan kebutuhan pemulihan yang sudah

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

38

diidentifikasi pada langkah 1 ke dalam beberapa area BCS pada pembahasan sebelumnya. Contohnya adalah sebagai berikut ini :

Fase A :Langkah 2 Area : Tempat Kerja

Kategori kebutuhan pemulihan :

a) Tempat kerja alternatif, untuk staf dapat berkerja
b) CrisisManagement CenterCrisisManagement Center, untuk tim CrisisManagement dapat melakukan usaha pemulihan

 Fase A :Langkah 3 Area : Infrastruktur dan sistem TI Kategori kebutuhan pemulihan :
 Fase A :Langkah 3
Area : Infrastruktur dan sistem TI
Kategori kebutuhan pemulihan :
a) Infrastruktur dan sistem TI kritis
b) Fasilitas pemulihan TI alternatif
 Fase A :Langkah 4
Area : Manufaktur dan Produksi
Kategori kebutuhan pemulihan :
a) Sumber daya dan peralatan kritis
b) Produk kritis
c) Fasilitas manufaktur dan produksi alternatif
 Langkah 5
Area : Data dan Record penting lainnya
Kategori kebutuhan pemulihan :
a)
b)

Data-data kritis dan fasilitas penyimpanan di luar perusahaan. Catatan/Record dan fasilitas penyimpanan Record di luar perusahaan.

B. Identifikasi Pilihan Pemulihan Tujuan dari fase ini adalah untuk mengidentifikasi pilihan pemulihan yang tersedia yang telah dihasilkan pada fase A. Contoh dapat dilihat di bawah ini:

Fase B :Langkah 1 Area : Tempat Kerja

Universitas Indonesia

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

39

Kategori kebutuhan pemulihan :

a) Tempat kerja alternatif, untuk staf dapat berkerja

b) CrisisManagement Center, untuk tim CrisisManagement

dapat melakukan usaha pemulihan

Opsi Pemulihan :

Opsi pemulihan dapat dilihat pada Tabel 2.13 berikut ini :

Tabel 2.13Contoh Opsi pemulihan : Alternatif area kerja dan CrisisManagement Center(Andalan Nusantara Teknologi (ANT), 2012)

Recovery Option Recovery Options Option Description Category Komersial MobileSite Mobilesiteadalah sebuah lokasi
Recovery
Option
Recovery Options
Option Description
Category
Komersial
MobileSite
Mobilesiteadalah sebuah lokasi alternatif
dalam sebuah kendaraan yang dapat
dikirim ke tempat yang ditentukan.
Biasanya sudah tersedia meja, kursi,
perangkat keras, perangkat lunak, dan
peralatan telekomunikasi data dan suara
(tidak applicable di Indonesia)
Hotel meeting room
Fasilitas hotel
Tempat tetap
Fasilitas alternatif di sebuah tempat
tetap yang ditawarkan oleh vendor
sebagai sebuah layanan. Biasanya sudah
memiliki peralatan kantor, jaringan
komunikasi dsb
Dimiliki
Oleh
Tempat alternatif
yang dimiliki oleh
perusahaan atau
kantor cabang
Fasilitas alternatif di sebuah tempat
tetap yang dimiliki oleh perusahaan.
Perusahaan
Dimiliki
Home Office
oleh staf
Sebagian staf menggunakan rumah
sebagai kantor

Pada contoh di atas kategori opsi pemulihan (Recovery Option

CategoryRecovery Option Category) terdiri dari 3 kategori, komersial,

dimiliki perusahaan maupun dimiliki oleh staf namun pilihan tersebut tidak

mutlak namun dapat disesuaikan dengan kondisi setempat. Sebagai contoh

mobilesite sangat populer di Amerika namun tidak begitu populer di

Indonesia.

Fase B : Langkah 2

Area : • Infrastruktur dan sistem TI

Kategori kebutuhan pemulihan :

a) Infrastruktur dan sistem TI kritis

Universitas Indonesia

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

40

b) Fasilitas pemulihan TI alternatif

Opsi Pemulihan :

Opsi pemulihan dapat dilihat pada Tabel 2.14berikut ini :

Tabel 2.14 Contoh Opsi pemulihan : Sistem dan Infrastruktur TI Kritis(Andalan Nusantara Teknologi (ANT), 2012)

Recovery Option Recovery Options Option Description Category Cara Sudah disiapkan Perolehan sebelumnya
Recovery
Option
Recovery Options
Option Description
Category
Cara
Sudah disiapkan
Perolehan
sebelumnya
(Pre-establish)
Sistem diperoleh dan diinstall setelah
terjadinya gangguan dan hanya
dipergunakan untuk keperluan
pemulihan saja
Diatur sebelumnya
(Pre-arranged)
Membuat perjanjian dengan vendor
yang menjamin ketersediaan sistem pada
jangka waktu yang telah disetujui
bersama pada saat terjadinya gangguan
Diperoleh saat
dibutuhkan saja
(acquire as needed)
Sistem yang dibutuhkan dibeli dari
supplier pada saat dibutuhkan
Fase B : Langkah 3
Area : Manufaktur dan Produksi
Kategori kebutuhan pemulihan :
a) Sumber daya dan peralatan kritis
b) Produk kritis
c) Fasilitas manufaktur dan produksi alternatif
Opsi Pemulihan :
Opsi pemulihan untuk sumber daya dan peralatan kritis dapat dilihat
pada Tabel 2.15berikut ini :
Tabel 2.15 Contoh Opsi Pemulihan : Sumber daya dan Peralatan kritis(Andalan
Nusantara Teknologi (ANT), 2012)
Recovery
Option
Recovery Options
Option Description
Category
Aquire as
Acquire equipment
needed
peralatan manufaktur diperoleh pada
saat dibutuhkan setelah bencana terjadi
Acquire parts
Parts manufaktur diperoleh pada saat
dibutuhkan setelah bencana terjadi

Fase B : Langkah 4

Universitas Indonesia

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

41

Area : Data dan Record penting lainnya

Kategori kebutuhan pemulihan :

a) Data-data kritis dan fasilitas penyimpanan di luar

perusahaan.

b) Catatan/Record dan fasilitas penyimpanan Record di luar

perusahaan.

Opsi Pemulihan :Contoh opsi pemulihan untuk sumber daya dan

peralatan kritis dapat dilihat pada Tabel 2.16berikut ini : Recovery Option Recovery Options Option Description
peralatan kritis dapat dilihat pada Tabel 2.16berikut ini :
Recovery
Option
Recovery Options
Option Description
Category
Data
Continous
Backup
frequency
Data di-backup ke sebuah ruang
penyimpanan di luar kantor secara terus
menerus menggunakan replikasi data
secara real time
Daily
Data di-backup setiap hari
Weekly
Data di-backup setiap minggu
Monthly
Data di-backup setiap bulan
Backup
Full
Backup dilakukan untuk semua file
Type
Incremental
Backup dilakukan untuk file yang
berubah atau baru dibuat saja sejak
waktu full backup atau incremental
backup yang terakhir
Differential
Backup dilakukan untuk file yang
berubah atau baru dibuat saja sejak
waktu full backup yang terakhir
Backup
Remote Mirroring
Method
Data dicerminkan/mirror ke lokasi
alternatif untuk menyediakan
continousavailbility menggunakan
teknologi seperti transAction router
maupun faulttolerantredudantsystem
lainnya

Tabel 2.16 Contoh Opsi Pemulihan : Data kritis dan fasilitas penyimpanan data di luar kantor(Andalan Nusantara Teknologi (ANT), 2012)

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

42

Tabel 2.16 Contoh Opsi Pemulihan : Data kritis dan fasilitas penyimpanan data di luar kantor (lanjutan)

Recovery Option Recovery Options Option Description Category Wide Area High Availbility Clustering Menggunakan SW
Recovery
Option
Recovery Options
Option Description
Category
Wide Area High
Availbility
Clustering
Menggunakan SW maupun HW yang
sudah di tata sedemikian rupa sehingga
dapat secara otomatis dikonfigurasi
untuk menggantikan mesin yang rusak
SAN
Sebuah peralatan jaringan dengan
perFor ma tinggi yang memungkinkan
komputer dengan OS yang berbeda
untuk berkomunikasi dengan satu alat
Storage
Virtualization
Mengkombinasikan beberapa perangkat
penyimpanan ke dalam sebuah peralatan
penyimpanan logicalyang dapat diatur
secara tersentralisasi
Disk Mirroring
Sebuah teknik dimana dua buah hardisk
ditulis bersamaan secara sinkron
Backup
Disk Shadowing
Method
Perubahan pada perangkat penyimpanan
utama secara terus menerus di simpan
dalam sebuah catatan (log) yang
nantinya diaplikasikan ke perangkat
penyimpanan cadangan secara a-sinkron
Application or Utility
based data
replication
Sebuah aplikasi mengirimkan data pada
Server utama ke Server kedua yang
berada di luar kantor
Electronic Vaulting
Backup dibuat secara otomatis melalui
penyedia layanan vaulting elektronis
Remote Journaling
Catatan transaksi (transAction logs)
atau journal dikirim ke fasilitas
pemulihan alternatif
Tape Backup
Backup tradisional dengan
menggunakan media tape
Off-Site
Commercial data
Storage
storage facility
Fascility
Situs penyimpanan jarak jauh yang
disediakan oleh vendor komersial untuk
menyimpan data dalam media backup
Company owned
remote data storage
facility
Situs penyimpanan jarak jauh yang
dimiliki perusahaan untuk menyimpan
data dalam media backup

Fase C dan D (Penilaian Ketersediaan Waktu dan Penilaian Kemampuan-Biaya)

tidak dibahas karna merupakan fase assement yang berada di luar ruang lingkup

karya akhir ini.

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

43

2.1.5.2 Pertimbangan umum dalam pemilihan strategi pemulihan

Kunci dari sebuah BCS yang sukses adalah melakukan pemilihan strategi berdasarkan pertimbangan karakteristik dan kemampuan dari masing-masing opsi.

Sebagai contoh opsi hot-site memerlukan pertimbangan yang hati-hati terhadap faktor-faktor sebagai berikut :

Jarak antara situs pemulihan dan situs utama, untuk memastikan bahwa situs pemulihan tidak terkena dampak bencana.

 Tingkat dukungan teknis tersedia saat pemulihan  Waktu respon untuk menyiapkan hot site ketika
 Tingkat dukungan teknis tersedia saat pemulihan
 Waktu respon untuk menyiapkan hot site ketika bencana dideklarasikan.
 Dsb.
Pertimbangan-pertimbangan tersebut bergantung dari karakteristik
kebutuhan masing-masing organisasi.
2.1.6.
MitigationStrategy

dan

Strategi Mitigasi Risiko adalah sebuah langkah yang diambil untuk mengurangi risiko yang mungkin terjadi(Snedaker, 2007). Tipe Strategi Mitigasi dapat dibagi menjadi 4 yaitu:

Risk acceptence Sebuah perusahaan menerima kemungkinan konsekuensi dari risiko yang mungkin terjadi namun perusahaan tersebut tidak melakukan apa-apa untuk menghindari, mengurangi atau mentransfer risiko tersebut. Acceptance ini memiliki biaya yang sangat rendah (bisa juga zero cost) terhadap manajemen risiko namun berpotensi memiliki biaya yang sangat tinggi setelah bencana. Kecuali untuk risiko-risiko pada proses bisnis yang sama sekali tidak kritis.

Risk avoidance Merupakan strategi mitigasi risiko dimana risiko tersebut dihindari sama sekali. Hal ini bisa termasuk menghentikan sistem yang kritis dan memindahkan sistem tersebut pada saat sebelum terjadinya bencana. Strategi mitigasi ini memberikan risiko minimal (zero risk) namun seringkali memiliki biaya yang besar berasosiasi dengan strategi mitigasi ini. Karena itu

Perancangan business

Universitas Indonesia

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

44

biaya menangani risiko ini sangat tinggi namun biaya pemulihan yang sangat rendah.

Risk limitation/Controls Strategi ini berada di antara acceptance dengan avoidance. Strategi mitigasi ini muncul karena sebagian perusahaan menganggap strategi mitigasi acceptence ataupun avoidance secara menyeluruh membutuhkan terlalu banyak biaya pada kedua sisi bencana. Langkah-langkah seperti pembangunan off-sitebackup dapat sangat mengurangi risiko sebuah organisasi tanpa menjadi terlalu mahal dalam fase implementasi dan pemulihan

 2.1.7. Element Dokumen BCP berdasarkan BS 25999-1:2006
2.1.7. Element Dokumen BCP berdasarkan BS 25999-1:2006

Risk Transfer Strategi mitigasi ini melibatkan pihak ketiga untuk mentransfer risiko. Contoh paling umum adalah pembelian asuransi. Lebih lanjut mengenai strategi mitigasi ini dapat dilihat pada Gambar 2.14 pada subbab GPG 2008.

Sebuah risiko bisa dikurangi, hindari, terima maupun ditransfer kepada pihak ketiga. Tiap strategi memiliki harganya masing-masing. Kunci dari riskmitigationstrategy di sini adalah cost efektif. Sebagai contoh orang cenderung untuk membangun sebuah gedung dengan sistem pemadam kebakaran dibandingkan dengan membangun sebuah gedung yang semua materialnya terbuat dari bahan yang tahan api.

Berdasarkan BS 25999-1:2006 BusinessContinuityPlan(BCP) maupun BusinessResumptionPlan (BRP) setidaknya harus memuat elemen sebagai berikut ini (BSI - British Standard, 2006):

Tujuan dan Ruang lingkup (mengacu pada bab 8.3.2 dalam BS 25999-1)

Peran dan Tanggungjawab (mengacu pada bab 8.3.3 dalam BS 25999-1

Aktivasi Rencana (mengacu pada bab 8.3.4 dalam BS 25999-1)

Pemilik dan Pemelihara dokumen (mengacu pada bab 8.3.5 dalam BS

25999-1)

Universitas Indonesia

Perancangan business

, Prabowo Priyo Ardhiatno, Fasilkom UI, 2013

45

Detail Contact (mengacu pada bab 8.3.6 dalam BS 25999-1)

Selain element-element di atas BCP juga harus memuat element-element berikut

ini:

Action Plan/TaskList (mengacu pada bab 8.7.2 dalam BS 25999-1)

Kebutuhan sumber daya (mengacu pada bab 8.7.3 dalam BS 25999-1)

Orang yang bertanggung jawab terhadap rencana atau Responsible

Person(s) (mengacu pada bab 8.7.4 dalam BS 25999-1)  Form dan Lampiran (mengacu pada bab
Person(s) (mengacu pada bab 8.7.4 dalam BS 25999-1)
 Form dan Lampiran (mengacu pada bab 8.7.5 dalam BS 25999-1)
2.1.7.1
namun dapat memuat ruang lingkup tambahan seperti :
layanan kritis, kerusakan hardisk, kerusakan pada gedung kantor dsb.
Area yang tidak tercakup dalam rencana.
2.1.7.2 Peran dan Tanggungjawab
adalah tipikal tim yang ada dalam BCP beserta tanggung jawabnya.

Asumsi lama maksimum yang digunakan untuk melakukan opsi pemulihan.

Tujuan dan Ruang lingkup Isi dari element BCP ini menjelaskan tujuan dari program BCP untuk