Penyusunan Proses Tata Kelola Keamanan Informasi Dan Manajemen Layanan Ti Berbasis Cobit 5

Buku ini disebarluaskan secara gratis, mengutip sebagian atau secara
keseluruhan dari buku ini diharapkan untuk mencantumkan nama penulis

Buku ini dipersembahkan untuk Rahmawati Parnengga (Perdana) dan Ayu Ratna Sari (Aries)
PENYUSUNAN PROSES TATA KELOLA
KEAMANAN INFORMASI
DAN MANAJEMEN LAYANAN TI
BERBASIS COBIT 5
Oleh
PERDANA KUSUMAH, M.T.
ARIES SYAMSUDDIN, M.T.
SINOPSIS
Penerobosan keamanan informasi terhadap sistem teknologi informasi dan

komunikasi (TIK) dapat memberikan dampak terhadap kinerja organisasi dan
kerugian finansial. Selain itu, permasalahan keamanan dapat berakibat terhadap
bocornya informasi yang dapat disalahgunakan oleh pihak yang tidak
berkepentingan. Hal ini dapat berakibat buruk terhadap citra organisasi terutama
untuk lembaga pemerintah yang mengelola data rahasia. Permasalahan keamanan
informasi umumnya diselesaikan secara parsial dan terbatas. Kelemahan sekecil
apapun pada sistem keamanan informasi dapat memberikan dampak negatif
terhadap pencapaian tujuan organisasi. Oleh karena itu, pembahasan keamanan
informasi yang menyeluruh dan terintegrasi sangat diperlukan untuk mengamankan
pencapaian tujuan tersebut. Buku ini membahas model proses tata kelola keamanan
informasi yang menyeluruh dan terintegrasi pada suatu organisasi.
Buku ini memiliki tiga hal penting yang dapat dijadikan acuan atau pedoman
penyusunan proses tata kelola keamanan informasi di suatu organisasi, yaitu: alat
bantu penentuan lingkup proses tata kelola, model referensi proses dan model
penilaian proses.
Kata keamanan informasi, tujuan organisasi, tujuan TI, risiko, sistem

kunci: manajemen layanan, proses tata kelola, proses governance, proses
manajemen, model referensi proses, model penilaian proses,
enablers.
ii
KATA PENGANTAR
Puji syukur penulis panjatkan ke hadirat Allah SWT, yang atas rahmat dan karunia-
Nya penulis dapat menyelesaikan buku ini. Shalawat dan salam tercurah kepada
Rasulullah Muhammad SAW beserta keluarganya.
Buku ini disusun untuk membantu dalam penyusunan proses tata kelola keamanan
informasi, beberapa keluaran yang terdiri atas: alat bantu penentuan lingkup proses
tata kelola, model referensi proses, model penilaian proses, rekomendasi dan
langkah penerapan tata kelolanya. Hal yang harus dibuat dalam penyusunan proses
tata kelola keamanan informasi mencakup menentukan lingkup proses, membuat
model referensi proses dan membuat model penilaian proses; model tata kelola
yang dibuat dalam buku ini telah sesuai dengan kebutuhan keamanan informasi di
organisasi secara umum, sehingga pembaca dapat mengadopsi dan menambahkan
sesuai dengan kondisi organisasi yang akan diterapkan tata kelola keamanan
informasi.
Dengan segala kerendahan hati, penulis mengucapkan terima kasih kepada penerbit
yang telah membantu menerbitkan buku ini. Penulis juga mengucapkan terima
kasih kepada rekan-rekan, yang telah banyak membantu dalam penyusunan buku
ini, tidak lupa pula program studi Magister Informatika opsi Layanan Teknologi
Informasi STEI ITB dan Cyber Security Center ITB tempat penulis belajar.
Penulis menyadari bahwa buku ini bukanlah tanpa kelemahan. Oleh karena itu,
kritik dan saran sangat diharapkan untuk menjadi masukan dalam penulisan
selanjutnya. Akhir kata, semoga buku ini dapat bermanfaat secara luas untuk
kepentingan dunia pendidikan dan masyarakat Indonesia khususnya bagi para
pembacanya.
Bandung, Februari 2014
Penulis
iii
DAFTAR ISI
KATA PENGANTAR ........................................................................................... iii

DAFTAR ISI .......................................................................................................... iv
DAFTAR LAMPIRAN .......................................................................................... vi
DAFTAR GAMBAR ............................................................................................ vii
DAFTAR TABEL ................................................................................................ viii
DAFTAR SINGKATAN ....................................................................................... ix
BAGIAN I PENDAHULUAN ................................................................................ 1
1.1 Latar Belakang ........................................................................................ 1
1.2 Batasan Penyusunan TKKI ..................................................................... 3
1.3 Keluaran Penyusunan TKKI ................................................................... 3
BAGIAN II TEORI PENDUKUNG ....................................................................... 4
2.1 Governance ............................................................................................. 4
2.2 Framework .............................................................................................. 4
2.3 Risiko ...................................................................................................... 6
2.4 Organisasi ................................................................................................ 7
2.5 SDM, Proses dan Teknologi ................................................................... 7
2.6 Informasi ................................................................................................. 8
2.7 Service ..................................................................................................... 9
2.8 Kebijakan dan Prinsip ............................................................................. 9
2.9 Budaya dan Perilaku ............................................................................. 11
2.10 Manajemen ............................................................................................ 11
BAGIAN III TEORI UTAMA .............................................................................. 12
3.1 COBIT 5 ................................................................................................ 12
3.2 COBIT 5 Enabling Process .................................................................. 19
3.3 COBIT 5 for Risk .................................................................................. 21
3.4 Process Assessment Model (PAM) ....................................................... 22
3.5 COBIT 5 for Information Security ........................................................ 25
3.6 Manajemen Layanan TI ........................................................................ 25
BAGIAN IV METODE PENYUSUNAN TKKI.................................................. 28
4.1 Analisis Kebutuhan ............................................................................... 28
iv
4.1.1 Penentuan Tujuan Organisasi............................................................ 29
4.1.2 Penentuan Tujuan TI ......................................................................... 29
4.1.3 Penentuan Sistem Manajemen Layanan............................................ 29
4.1.4 Penilaian Risiko ................................................................................ 30
4.2 Perancangan .......................................................................................... 32
4.2.1 Perancangan Model Referensi Proses ............................................... 32
4.2.2 Perancangan Model Penilaian Proses ............................................... 33
4.3 Analisis Kesenjangan ............................................................................ 34
4.4 Pemberian Rekomendasi ....................................................................... 34
4.5 Penerapan .............................................................................................. 34
BAGIAN V PENYUSUNAN TKKI..................................................................... 35
5.1 Alat Bantu Penentuan Lingkup TKKI .................................................. 35
5.1.1 Pemetaan Tujuan Organisasi ............................................................. 36
5.1.2 Pemetaan Tujuan TI .......................................................................... 37
5.1.3 Pemetaan Manajemen Layanan TI .................................................... 39
5.1.4 Penilaian Prioritas Risiko .................................................................. 45
5.1.5 Penetapan Lingkup Proses yang Dinilai ........................................... 48
5.2 Model Referensi Proses......................................................................... 49
5.3 Model Penilaian Proses ......................................................................... 53
5.3.1 Hasil Penilaian Proses ....................................................................... 60
5.3.2 Analisis Kesenjangan ........................................................................ 60
5.4 Rekomendasi ......................................................................................... 61
5.5 Langkah Penerapan ............................................................................... 61
BAGIAN VI PENUTUP ....................................................................................... 64
DAFTAR PUSTAKA ........................................................................................... 65
PROFIL SINGKAT PENULIS ............................................................................. 70
v
DAFTAR LAMPIRAN
LAMPIRAN A MODEL REFERENSI PROSES ............................................... A-1

LAMPIRAN B MODEL PENILAIAN PROSES ............................................... B-1
vi
DAFTAR GAMBAR
Gambar II-1Security framework for EPU[19]. .......................................................... 6

Gambar II-2 Level kebijakan[40]. ........................................................................... 10
Gambar III-1 COBIT 5 enablers[58]. ..................................................................... 13
Gambar III-2 Pemetaan enablers dan tujuan organisasi[58]. .................................. 15
Gambar III-3 Proses governance dan management[58]. ......................................... 15
Gambar III-4 Kerangka kerja PAM[61]. ................................................................. 22
Gambar III-5 Indikator penilaian[63]. ..................................................................... 24
Gambar III-6 Model penilaian proses COBIT 5[64]. .............................................. 24
Gambar IV-1 Alur proses penentuan lingkup. ...................................................... 28
Gambar IV-2 Penentuan lingkup tujuan organisasi. ............................................. 29
Gambar IV-3 Penentuan lingkup tujuan TI. .......................................................... 30
Gambar IV-4 Pemetaan proses COBIT 5 dan ITIL v3. ........................................ 31
Gambar IV-5 Penentuan prioritas risiko. .............................................................. 31
Gambar IV-6 Alur proses perancangan................................................................. 32
Gambar IV-7 Perancangan model referensi proses. .............................................. 33
Gambar IV-8 Perancangan model penilaian proses. ............................................. 33
vii
DAFTAR TABEL
Tabel III.1 Tujuan organisasi[58]............................................................................ 14

Tabel III.2 Tujuan terkait TI[58]. ............................................................................ 14
Tabel III.3 Pemetaan tujuan generik TI dan organisasi[58]. ................................... 16
Tabel III.4 Pemetaan tujuan generik TI dan proses tata kelola[58]. ....................... 17
Tabel III.5 Skenario risiko[60]. ............................................................................... 21
Tabel V.1 Contoh tujuan organisasi. ..................................................................... 36
Tabel V.2 Tujuan TI Organisasi............................................................................ 37
Tabel V.3 Contoh rangkuman proses tata kelola terpilih. ..................................... 38
Tabel V.4 Pemetaan proses COBIT 5 dan ITIL v3. .............................................. 41
Tabel V.5 Rangkuman pemetaan proses COBIT 5 dan ITIL v3........................... 44
Tabel V.6 Penilaian prioritas risiko. ..................................................................... 45
Tabel V.7 Contoh pemetaan kategori risiko dan proses terkait mitigasi risiko. ... 46
Tabel V.8 Contoh prioritas proses tata kelola. ...................................................... 47
Tabel V.9 Proses tata kelola organisasi terpilih berdasarkan prioritas. ................ 48
Tabel V.10 Contoh model referensi proses EDM05. ............................................ 50
Tabel V.11 Contoh rekapitulasi model penilaian proses EDM05......................... 53
Tabel V.12 Contoh model penilaian proses EDM05. ........................................... 55
Tabel V.13 Contoh analisis kesenjangan. ............................................................. 60
Tabel V.14 Langkah penerapan perubahan tata kelola. ........................................ 62
viii
DAFTAR SINGKATAN
SINGKATAN Nama Pemakaian Pertama

Kali pada Halaman
APO Align, Plan and Organise 14
BAI Build, Acquire and Implement 15
BP Best Practice 25
BSC Balanced Score Card 14
CSI Continual Service Improvement 28
DSS Deliver, Service and Support 15
EDM Evaluate, Direct and Monitor 14
EG Enterprise Goals 14
GP Generic Practice 25
GR Generic Resoruce 25
GWP Generic Work Product 25
ITRG IT-Related Goals 14
MEA Monitor, Evaluate and Assess 15
PA Process Attribute 24
PAM Process Assessment Model 23
SD Service Design 28
SDM Sumber Daya Manusia (people) 7
SMKI Sistem Manajemen Keamanan 5
Informasi
SO Service Operation 28
SS Service Strategy 27
ST Service Transition 28
TI Teknologi Informasi 2
TIK Teknologi Informasi dan Komunikasi 1
TKKI Tata Kelola Keamanan Informasi 2
WP Work Product 25
ix
BAGIAN I
PENDAHULUAN
1.1 Latar Belakang
Penerobosan keamanan informasi terhadap sistem teknologi informasi dan

komunikasi (TIK) dapat memberikan dampak terhadap kinerja organisasi dan
kerugian finansial. Kondisi tersebut membuat keamanan informasi menjadi faktor
yang sangat penting untuk diterapkan dalam organisasi[1-3]. Selain itu, faktor kunci
lain yang sangat berpengaruh dalam keamanan informasi adalah security awareness
[4]
. Berdasarkan survei tahun 2005 yang dilakukan oleh CSI/FBI Computer Crime
and Security, serangan online atau cyber attack pada sistem TIK dapat
menyebabkan total kerugian finansial yang sangat besar yaitu melebihi 50 juta
dollar[2,5]. Selain itu, permasalahan keamanan dapat berakibat terhadap bocornya
informasi yang dapat disalahgunakan oleh pihak yang tidak berkepentingan. Oleh
karena itu, anggaran biaya keamanan informasi sebesar 10 – 13% dari total investasi
TIK merupakan hal yang wajar diterapkan pada sebagian besar organisasi[6].
Keamanan informasi untuk melindungi bisnis dan TIK dari berbagai serangan dan
ancaman umumnya dilakukan hanya berfokus pada solusi teknis saja tanpa
memikirkan aspek manajemen[7,8]. Salah satu contoh solusi engineering yang
dimaksud adalah penggunaan teknologi artificial intelligence untuk mengatur
access control melalui agents dalam sistem manajemen risiko keamanan
informasi[9]. Di Korea, penerapan sistem keamanan informasi secara parsial dapat
berdampak pada besarnya anggaran yang dikeluarkan karena tidak dapat mengatur
tim keamanan informasi yang terintegrasi secara konsisten[10].
Pada tahun 2012, tim Korea University melakukan riset keamanan informasi dan
menyatakan bahwa pengendalian keamanan dilakukan berdasarkan identifikasi
risiko[11]. Riset yang dilakukan oleh tim JianZhu University menyatakan bahwa
permasalahan sistem keamanan informasi dapat diatasi dengan penerapan
manajemen risiko keamanan teknologi informasi (TI) dan pengendalian sistem
1
informasi. Pada level aplikasi atau service, keamanan juga perlu diterapkan untuk
melindungi informasi yang dikirimkan oleh service provider melalui mekanisme
identity management[12]. Secara garis besar, riset-riset yang telah dilakukan
mengenai keamanan informasi terkait dengan permasalahan tata kelola[13,14],
framework[6,15-20], risiko[9,11,15,17,19,21-23], teknologi/infrastruktur[6,15,19,24-30],
organisasi[31], sumber daya manusia[6,15], proses[6,15], informasi[1,3,5,31-33],
aplikasi/service[12,34-39], kebijakan/prinsip[6,31,40-41], budaya/tingkah laku[4,8,42] dan
manajemen[2,7,10,29,31,38,43-49].
Permasalahan keamanan informasi yang telah dibahas dalam beberapa penelitian

sebelumnya masih bersifat parsial dan terbatas. Penerapan tersebut biasanya hanya
mencakup area manajemen dari suatu organisasi. Kelemahan sekecil apapun pada
sistem keamanan informasi dapat memberikan dampak negatif terhadap pencapaian
tujuan enterprise atau organisasi secara luas. Oleh karena itu, pembahasan
keamanan informasi yang menyeluruh dan terintegrasi sangat diperlukan untuk
mengamankan pencapaian tujuan tersebut. Saat ini belum ada penelitian yang
membahas tata kelola keamanan informasi secara menyeluruh pada institusi
pemerintahan ataupun perusahaan seperti yang dibahas dalam COBIT 5[50] terutama
pada sistem berbasis manajemen layanan TI [36,51-54].
Tata kelola keamanan informasi yang menyeluruh sangat bermanfaat bagi pimpinan
atau manajemen tingkat atas sebagai panduan dan pedoman dalam menerapkan
keamanan informasi khususnya layanan TI di dalam organisasinya. Pada akhirnya,
penerapan tersebut dapat melindungi organisasi dari risiko yang dapat memberikan
kerugian khususnya finansial. Manfaat yang diberikan dapat dirasakan terutama
oleh organisasi berbasis TI yang menganggap bahwa keamanan informasi
merupakan faktor yang sangat penting. Organisasi tersebut dapat berupa sektor
publik, non-profit ataupun swasta.
Buku ini menampilkan suatu model penerapan tata kelola keamanan informasi
(TKKI) yang menyeluruh dan terintegrasi pada suatu organisasi. Penerapan tata
kelola tersebut dapat dikaitkan dengan sistem berbasis manajemen layanan pada
berbagai jenis organisasi.
2
1.2 Batasan Penyusunan TKKI
Batasan masalah pada penyusunan buku ini adalah sebagai berikut.

a. Perancangan tata kelola keamanan informasi dikaitkan dengan sistem
manajemen layanan.
b. Penilaian dan perancangan model tata kelola keamanan informasi
menggunakan kerangka kerja COBIT 5, ITIL v3 dan ISO/IEC 15504 series.
1.3 Keluaran Penyusunan TKKI
Buku ini memberikan panduan penyusunan TKKI yang meliputi:

a. alat bantu penentuan lingkup proses tata kelola keamanan informasi,
b. model referensi proses tata kelola keamanan informasi,
c. model penilaian proses yang berfungsi sebagai alat ukur tingkat
capability/kematangan tata kelola keamanan informasi.
3
BAGIAN II
TEORI PENDUKUNG
2.1 Governance
Governance adalah proses pembentukan dan pemeliharaan suatu framework,

manajemen dan proses untuk memberikan jaminan bahwa strategi yang digunakan
sejalan dan mendukung tujuan bisnis[13-14]. Strategi tersebut konsisten terhadap
hukum dan peraturan, sesuai dengan kebijakan, pengawasan internal, tanggung
jawab dan semua upaya dalam rangka mengatur risiko. Prinsip-prinsip governance
terdiri atas[55]:
a. strategic alignment, tujuan governance sejalan dengan tujuan organisasi;
b. manajemen risiko, governance merupakan bagian yang tidak terpisahkan dari
enterprise risk management;
c. pemberian layanan, governance memberikan dukungan terhadap kebutuhan
bisnis dan value yang diharapkan;
d. optimasi sumber daya, governance berhubungan dengan perencanaan,
pengalokasian dan pengendalian sumber daya seperi orang, proses dan
teknologi yang dapat memberikan nilai kepada bisnis;
e. evaluasi kinerja berkelanjutan, governance berfungsi untuk mengawasi kinerja
dari proses-proses yang ada.
Penerapan governance dapat memberikan manfaat yang besar terhadap TI dan

keamanan informasi apabila menggunakan framework yang tepat[56].
2.2 Framework
Framework dapat diartikan sebagai sekumpulan konsep, asumsi dan praktik yang
mendefinisikan bagaimana sesuatu dapat dipahami. Beberapa contoh framework
yang umum digunakan dalam keamanan informasi dapat dijelaskan sebagai berikut.
a. NIST SP 800-53 merupakan salah satu standar yang dikembangkan oleh
National Institute of Standards and Technology untuk membantu organisasi
4
mengelola isu yang terkait dengan manajemen pengendalian hak akses
pengguna terhadap sistem informasi dan lingkungannya[15].
b. COBIT 4.1 merupakan IT governance framework yang membantu managers
untuk menjembatani perbedaan antara control requirement, isu teknis dan risiko
bisnis. Framework ini berfokus pada cara memberikan informasi yang sesuai
dengan kebutuhan bisnis[15,18].
c. ISO 27000 series merupakan dokumen standar keamanan yang dikeluarkan
oleh ISO (the International Organization for Standardization) and IEC (the
International Electrotechnical Commission). ISO 27000 series terdiri atas
beberapa bagian yang memiliki fungsi masing-masing. ISO/IEC 27001
mengandung persyaratan untuk sebuah Sistem Manajemen Keamanan
Informasi (SMKI). ISO/IEC 27005 mendeskripsikan tentang manajemen risiko
keamanan informasi. SMKI terdiri atas proses, prosedur dan sumber daya yang
terkait dengan keamanan informasi[16]. Standar ISO/IEC 27001 dibuat secara
terstruktur berdasarkan model proses “Plan-Do-Check-Act” (PDCA). Proses
tersebut terdiri atas[57]:
1). plan, proses penyusunan SMKI;
2). do, proses pengimplementasian dan pengoperasian SMKI;
3). check, proses pengawasan dan pengkajian SMKI;
4). act, proses pemeliharaan dan perbaikan SMKI.
ISO 27000 series selanjutnya yang terkait dengan keamanan informasi adalah
ISO/IEC 27002 atau disebut juga ISO/IEC 17799. Lingkup ISO/IEC 17799
adalah untuk membentuk pedoman dan prinsip-prinsip umum dalam
penginisialisasian, pengimplementasian, pemeliharaan dan perbaikan
manajemen keamanan informasi dalam suatu organisasi. Standar ini mencakup
kebijakan keamanan, organisasi keamanan, pengaturan dan klasifikasi aset,
keamanan personil, keamanan lingkungan dan fisik, manajemen operasi dan
komunikasi, pengaturan akses, pengembangan dan pemeliharaan sistem dan
manajemen keberlangsungan bisnis[6,20].
d. NIST SP 800-82 merupakan salah satu standar yang dikembangkan oleh
National Institute of Standards and Technology yang membahas tentang proses
5
manajemen risiko secara komprehensif dan berkelanjutan terhadap keamanan
sistem[17].
e. Security Framework for EPU (Electric Power Utilities) merupakan framework
gabungan yang dibuat oleh Ericsson untuk mengatur keamanan informasi[19].
Framework ini terdiri atas empat bagian, yaitu:
1). enterprise risk management menggunakan COSO,
2). IT Governance menggunakan COBIT,
3). IT Service Management menggunakan ISO/IEC 20000 dan ITIL,
4). IT Security Management menggunakan ISO/IEC 27001-2.
Hubungan keempat bagian di atas dapat ditunjukkan oleh Gambar II-1.
Gambar II-1Security framework for EPU[19].
2.3 Risiko
Risiko dapat diartikan sebagai kemungkinan ancaman menggunakan kelemahan

sistem yang ada sehingga memberikan pengaruh negatif terhadap organisasi[11].
Manajemen risiko muncul sebagai solusi untuk mengurangi dampak dan
kemungkinan risiko sampai kepada level yang dapat diterima. Manajemen risiko
merupakan suatu metode atau proses untuk membuat, mengimplementasikan,
menjalankan, mengawasi, mengkaji, memelihara dan memperbaiki secara
berkelanjutan proses SMKI[17,22,23]. Pada umumnya, manajemen risiko terdiri atas
proses penilaian risiko dan perlakuan risiko. Penilaian risiko terdiri atas identifikasi
6
risiko, analisis risiko dan evaluasi risiko. Manajemen risiko memiliki elemen-
elemen sebagai berikut[21]:
a. aset, merupakan obyek utama dari keamanan informasi yang seharusnya
dilindungi sebagai informasi atau sumber daya yang krusial dalam suatu
enteprise termasuk perangkat keras, perangkat lunak, kemampuan produk dan
layanan, sumber daya manusia dan aset lain yang intangible;
b. ancaman, merupakan aktivitas potensial yang dapat menyebabkan kerusakan
pada enterprise dan asetnya;
c. kelemahan, merupakan kekurangan yang melekat pada aset;
d. pengaruh, merupakan konsekuensi terhadap aset ketika suatu risiko terjadi;
e. risiko,
f. pengukuran keamanan, merupakan suatu cara, strategi dan mekanisme untuk
melawan ancaman, mengurani kelemahan, membatasi pengaruh dari risiko,
mendeteksi risiko dan mengevaluasi keamanan.
Contoh framework yang digunakan untuk menerapkan manajemen risiko adalah

Enterprise Risk Management (COSO) dan Risk Management ISO/IEC
31000:2009[19].
2.4 Organisasi
Menurut Kyung dkk., keamanan informasi tidak hanya berfokus pada sistem
informasi atau teknologi informasi saja, tetapi harus mempertimbangkan
keseluruhan organisasi. Selain hal tersebut, pembuatan kebijakan keamanan
informasi harus memperhatikan aspek-aspek organisasi sebagai berikut[31]:
a. formasi organisasi dan profesionalitas yang tepat,
b. sistem manajemen yang sistematis untuk keamanan informasi,
c. otorisasi dan tugas bagian keamanan informasi.
2.5 SDM, Proses dan Teknologi
Menurut Nwafor dkk., saat ini keamanan informasi sangat erat kaitannya dengan
kebutuhan organisasi untuk mengimplementasikan kontrol yang tepat dalam rangka
melakukan mitigasi risiko. Sumber risiko yang dimaksud adalah sumber daya
7
manusia (SDM), proses dan teknologi. SDM merupakan bagian terlemah dari
sistem keamanan informasi[15]. Menurut Dey, SDM, proses dan teknologi juga
merupakan komponen penting dalam SMKI. SDM dapat bertindak sebagai pekerja
dalam suatu organisasi mulai dari pihak manajemen senior sampai dengan end
users. SDM harus disiapkan dan dimotivasi agar dapat memahami pentingnya
keamanan dan mengikuri aturan yang ada. Proses harus didefinisikan berdasarkan
tujuan bisnis yang spesifik untuk melindungi aset informasi[6].
Teknologi atau dapat disebut infrastruktur merupakan salah satu aspek yang
digunakan untuk mengamankan informasi. Contoh pemanfaatan teknologi atau
infrastruktur yang digunakan untuk mengamankan informasi yaitu:
a. enkripsi database, merupakan enkripsi database dengan menggunakan teknik
enkripsi simetrik atau asimetrik[24];
b. network management system, merupakan solusi untuk mengamankan
pertukaran informasi antar domain yang berbeda[25];
c. keamanan pada Local Area Network (LAN), merupakan keamanan yang
diterapkan pada lapisan jaringan, sistem operasi database[26];
d. mobile ad hoc network (MANET) security, merupakan solusi keamanan pada
jaringan mobile yang digunakan untuk pertukaran data secara efektif dan
aman[27];
e. optical techniques untuk keamanan dan enkripsi informasi, merupakan solusi
keamanan pada gelombang optik[28];
f. supervisory control and data acquisition (SCADA), merupakan sistem
pengaturan keamanan cyber[19];
g. instrumentation and control network security management system (ICNSMS),
merupakan sistem keamanan jaringan yang mengacu standar NUREG-0800[29];
h. secure key generation, merupakan teknik pengamanan data yang dikirimkan
melalui media wireless untuk menghindari fading channel dan eavesdropper[30].
2.6 Informasi
Informasi adalah sumber utama dari semua aktivitas sosial dan kehidupan ekonomi
yang dapat dikumpulkan, dianalisis dan dipahami[31]. Informasi harus aman dan
8
konsisten walaupun terdapat ancaman keamanan dan diakses secara bersamaan oleh
berbagai macam sumber[32]. Salah satu dampak negatif penerobosan terhadap
keamanan informasi adalah penurunan kinerja finansial[1].
2.7 Service
Secara teknis, service adalah fungsi aplikasi yang didefinisikan melalui suatu
interface. Service memiliki sifat loose coupling, independent, interoperable,
reusable dan composable. Service dapat dikombinasi dan disusun ulang yang
disesuaikan dengan kebutuhan bisnis[37]. Sistem aplikasi yang dibentuk berbasiskan
service disebut Service Oriented Architecture (SOA). Pada lingkungan SOA,
service requestor dan service provider saling memberikan informasi mengenai
identitas ketika melakukan pengiriman pesan. Keamanan pada SOA dapat diatur
dengan penggunaan identity management[12].
Secara umum, service dapat diartikan sebagai pemberian value kepada pelanggan
berupa outcome yang dibutuhkan tanpa harus menanggung risiko dan biaya[51].
Proses yang dibutuhkan untuk menerapkan keamanan pada service yaitu[34]:

a. incident management,
b. capacity management,
c. configuration management,
d. performance management.
2.8 Kebijakan dan Prinsip
Menurut Solms dkk.[40], kebijakan dapat diterapkan pada tiga level yaitu strategis,
taktis dan operasional seperti yang ditunjukkan pada Gambar II-2.
Komponen kebijakan keamanan informasi terdiri atas[31]:

a. Strategi,
b. Sistem atau organisasi,
c. Regulasi.
9
Menurut Hai dkk., kebijakan dan prinsip keamanan memiliki jenis-jenis sebagai
berikut[41].
a. Prinsip keamanan.
1). Hirarki artinya setiap keamanan seharusnya diadopsi berdasarkan
kebutuhan pada masing-masing lapisan.
2). Bebas artinya keamanan tidak tergantung kepada arsitektur keamanan
secara keseluruhan.
3). Beragam artinya berbagai macam pengguna, proses atau host dapat
mengadopsi hal yang sama.
4). Dapat diatur artinya keamanan dapat dikonfigurasi.
5). Menyeluruh artinya keamanan disusun berdasarkan konsep secara
menyeluruh.
Gambar II-2 Level kebijakan[40].
b. Kebijakan keamanan.
1). Keamanan jaringan.
2). Keamanan data.
3). Keamanan aplikasi.
4). Keamanan platform sistem.
Kebijakan disusun untuk mendefinisikan siapa yang melakukan, kapan dan

bagaimana cara mencegah ancaman yang terjadi dan memperbaiki kerusakannya.
10
2.9 Budaya dan Perilaku
Menurut Waly dkk.[8], faktor yang mempengaruhi penerobosan keamanan adalah

organisasi, perilaku dan pelatihan. Faktor tersebut juga akan mempengaruhi
implementasi kebijakan keamanan organisasi. Identifikasi yang dilakukan terhadap
faktor tersebut akan memberikan gambaran bahwa melatih pekerja sangat penting
dilakukan agar terbentuk perilaku yang dapat mengurangi terjadinya penerobosan
keamanan dan memperbaiki manajemen keamanan informasi. Upaya pencegahan
terhadap penyalahgunaan perilaku pekerja dilakukan dengan cara teguran dan
sanksi melalui prosedur pengendalian. Faktor budaya juga mempengaruhi perilaku
orang terhadap keamanan[4]. Perbedaan budaya akan menunjukkan tingkatan yang
berbeda pada security awareness.
Pelatihan dapat membantu pengguna untuk mengeksplorasi informasi yang

dibutuhkan dan mengembangkan pemahaman yang efektif tentang bagaimana
melaksanakan kebijakan keamanan informasi. Program pelatihan dan awareness
dapat digunakan untuk mempengaruhi budaya organisasi terhadap keamanan.
Organisasi juga harus menyelidiki teknik pelatihan dan awareness yang efektif
untuk meningkatkan persepsi pekerja, sikap dan motivasi, mentransfer
keterampilan dan mempertahankan perilaku yang tepat terhadap keamanan
informasi[8,42].
2.10 Manajemen
Manajemen keamanan informasi dapat diartikan sebagai cara menyimpan informasi

secara aman, mengirim informasi penting melalui jalur yang aman dan cara
mengidentifikasi tujuan informasi yang aman[43]. SMKI adalah kumpulan proses
dan aktivitas untuk menjamin tiga faktor (kerahasiaan, integritas dan ketersediaan)
dan merupakan sistem manajemen sistematis yang mencakup sumber daya
manusia, proses dan sistem informasi untuk melindungi informasi yang dimiliki
organisasi secara aman[10]. SMKI mencakup empat subsistem yaitu strategi
keamanan, jaminan keamanan organisasional, hukum dan regulasi manajemen
keamanan dan dukungan teknis manajemen keamanan[45].
11
BAGIAN III
TEORI UTAMA
3.1 COBIT 5
Menurut COBIT 5[58], informasi adalah sumber daya utama bagi semua enterprise.
Informasi dapat dibuat, digunakan, disimpan, diperlihatkan atau dihancurkan.
Teknologi memiliki peran penting terhadap informasi. Teknologi informasi sangat
dibutuhkan oleh enterprise, lingkungan sosial, masyarakat dan bisnis.
Enterprise yang sukses telah mengakui bahwa dewan direksi dan eksekutif perlu
merangkul TI seperti bagian penting dalam menjalankan bisnis. Dewan direksi dan
manajemen yang terkait dengan bisnis dan TI harus berkolaborasi dan bekerja sama
agar TI dapat dikelola dan diatur.
COBIT 5 memberikan framework yang komprehensif untuk membantu enterprise

mencapai tujuan dalam kerangka governance dan management dari enterprise TI.
COBIT 5 memungkinkan TI untuk diatur dan dikelola secara holistik. COBIT 5
bersifat generik dan berguna untuk seluruh jenis enterprise. COBIT 5 memiliki lima
prinsip, yaitu:
a. meeting stakeholder needs,
b. covering the enterprise end-to-end,
c. applying a single, integrated framework,
d. enabling a holistic approach,
e. separating governance from management.
COBIT 5 memiliki enablers yang merupakan faktor yang mempengaruhi

governance dan management dari enterprise TI. Struktur COBIT 5 enablers
ditunjukkan oleh Gambar III-1. Enabler diturunkan dari tujuan organisasi yang
telah didefinisikan. Ada tujuh COBIT 5 enablers yaitu:
a. prinsip, kebijakan dan framework,
b. proses,
c. struktur organisasi,
12
d. budaya, etika dan perilaku,
e. informasi,
f. layanan, infrastruktur dan aplikasi,
g. SDM, kemampuan dan kompetensi.
Hubungan antara enablers dan tujuan organisasi dapat ditunjukkan oleh Gambar
III-2. COBIT 5 bukan merupakan ketentuan, tetapi menganjurkan enterprise agar
dapat menerapkan proses-proses governance dan management. Hubungan antara
proses governance dan management ditunjukkan oleh Gambar III-3.
3. Organisational 4. Culture, Ethics

2. Processes Structures and Behaviour
1. Principles, Policies and Frameworks
6. Services, 7. People, Skills

5. Information Infrastructures and
and Applications Competencies
Resources
Gambar III-1 COBIT 5 enablers[58].
COBIT 5 telah merumuskan tujuan organisasi (enterprise goals/EG) dan tujuan

terkait TI (IT-related goals/ITRG) yang bersifat generik berdasarkan dimensi
balance scorecard (BSC). Tujuan tersebut dapat mencakup semua ukuran
organisasi mulai dari komersial, non-profit ataupun sektor publik. Daftar tujuan
organisasi ditunjukkan oleh Tabel III.1 dan tujuan terkait TI ditunjukkan oleh Tabel
III.2.
COBIT 5 terdiri atas 37 proses yang terbagi dalam lima domain sebagai berikut:
a. evaluate, direct and monitor (EDM), terdiri atas lima proses;
b. align, plan and organise (APO), terdiri atas 13 proses;
c. build, acquire and implement (BAI), terdiri atas 10 proses;
13
d. deliver, service and support (DSS), terdiri atas enam proses;
e. monitor, evaluate and assess (MEA), terdiri atas tiga proses.
Tabel III.1 Tujuan organisasi[58].
BSC No. Enterprise Goals

EG-01 Stakeholder value of business investments
EG-02 Portfolio of competitive products and services
EG-03 Managed business risk (safeguarding of assets)
Financial
EG-04 Compliance with external laws and regulations
EG-05 Financial transparency
EG-06 Customer-oriented service culture
EG-07 Business service continuity and availability
EG-08 Agile responses to a changing business environment
Customer
EG-09 Information-based strategic decision making
EG-10 Optimisation of service delivery costs
EG-11 Optimisation of business process functionality
EG-12 Optimisation of business process costs
EG-13 Managed business change programmes
Internal Business Process
EG-14 Operational and staff productivity
EG-15 Compliance with internal policies
EG-16 Skilled and motivated people
Learning and Growth EG-17 Product and business innovation culture
Tabel III.2 Tujuan terkait TI[58].
BSC No. IT-Related Goals

ITRG-01 Alignment of IT and business strategy
IT compliance and support for business compliance with
ITRG-02
external laws and regulations
Commitment of executive management for making IT-related
ITRG-03
decisions
Financial
ITRG-04 Managed IT-related business risk
Realised benefits from IT-enabled investments and services
ITRG-05
portfolio
ITRG-06 Transparency of IT costs, benefits and risk
ITRG-07 Delivery of IT services in line with business requirements
Adequate use of applications, information and technology
Customer ITRG-08
solutions
ITRG-09 IT agility
Security of information, processing infrastructure and
ITRG-10
applications
ITRG-11 Optimisation of IT assets, resources and capabilities
Enablement and support of business processes by integrating
ITRG-12
applications and technology into business processes
Internal Business Process
Delivery of programmes delivering benefits, on time, on
ITRG-13
budget, and meeting requirements and quality standards
Availability of reliable and useful information for decision
ITRG-14
making
ITRG-15 IT compliance with internal policies
ITRG-16 Competent and motivated business and IT personnel
Learning and Growth ITRG-17 Knowledge, expertise and initiatives for business innovation
14
Stakeholder Drivers
(Enironment, Technology Evolution, ...)
Influence
Stakeholder Needs
Benefits Risk Resource
Realisation Optimisation Optimisation
Cascade to
Enterprise Goals
Cascade to
IT-related Goals
Cascade to
Enablers Goals
Gambar III-2 Pemetaan enablers dan tujuan organisasi[58].
Pemetaan tujuan organisasi, tujuan terkait TI dan proses COBIT 5 ditunjukkan oleh
Tabel III.3 dan Tabel III.4.
Business Needs
Governance
Evaluate
Direct Management Monitor

Feedback
Management
Plan Build Run Monitor

(APO) (BAI) (DSS) (MEA)
Gambar III-3 Proses governance dan management[58].
15
Tabel III.3 Pemetaan tujuan generik TI dan organisasi[58].
ITRG01
ITRG02
ITRG03
ITRG04
ITRG05
ITRG06
ITRG07
ITRG08
ITRG09
ITRG10
ITRG11
ITRG12
ITRG13
ITRG14
ITRG15
ITRG16
ITRG17
EG01
P - P - P S P S S - P S - S - S S
EG02
P - S - P - P S P - S P S S - S P
EG03
S - - P - S S S S P - S S S S P -
EG04
- P - S - - S - - P - - - S P - -
EG05
- - - - - P - - - - - - - - - - -
EG06
P - - - S - P S S - - S S - - S S
EG07
S - - P - - S S - P - - P - - -
EG08
P - S S P - P - P - S S - - - S -
EG09
P - S - - S S S - - - - - P - - S
EG10
S - - - S P - S - - P S S - - - -
EG11
P - S - - - P P P - S P - S - - S
EG12
S - - - P P S S - - P S S - - - -
EG13
P - P S - - S - S - S S P - - - S
EG14
- - - - S - - P S - S S - - - P -
EG15
- P - S - - - - - P - - - - P - -
EG16
S - S S - - S S S - - - - - - P S
EG17
- - - - S - S S P - S S - - - S P
Keterangan:
P: hubungan bersifat primary atau terkait langsung.
S: hubungan bersifat secondary atau tidak terkait langsung.
-: tidak terkait.
16
Tabel III.4 Pemetaan tujuan generik TI dan proses tata kelola[58].
ITRG-01
ITRG-03
ITRG-04
ITRG-05
ITRG-06
ITRG-07
ITRG-08
ITRG-09
ITRG-10
ITRG-11
ITRG-12
ITRG-13
ITRG-14
ITRG-15
ITRG-16
ITRG-17
ITRG-02
EDM01
P S P S S S P - S S S S S S S S S
EDM02
P - S - P P P S - - S S S S - S P
EDM03
S S S P - P S S - P - - S S P S S
EDM04
S - S S S S S S P - P - S - - P S
EDM05
S S P - - P P - - - - - S S S - S
APO01
P P S S - - S - S S P S S S P P P
APO02
P - S S S - P S S - S S S S S S P
APO03
P - S S S S S S P S P S - S - - S
APO04
S - - S P - - P P - P S - S - - P
APO05
P - S S P S S S S - S - P - - - S
APO06
S - S S P P S S - - S - S - - - -
APO07
P S S S - - S - S S P - P - S P P
APO08
P - S S S S P S - - S P S - S S P
APO09
S - - S S S P S S S S - S P S - -
17
ITRG-01
ITRG-03
ITRG-04
ITRG-05
ITRG-06
ITRG-07
ITRG-08
ITRG-09
ITRG-10
ITRG-11
ITRG-12
ITRG-13
ITRG-14
ITRG-15
ITRG-16
ITRG-17
ITRG-02
APO10
- S - P S S P S P S S - S S S - S
APO11
S S - S P - P S S - S - P S S S S
APO12
- P - P - P S S S P - - P S S S S
APO13
- P - P - P S S - P - - - P - - -
BAI01
P - S P P S S S - S S - P - - S S
BAI02
P S S S S - P S S - S P S S - - S
BAI03
S - - S S - P S - - S S S S - - S
BAI04
- - - S S - P S S - P - S P - - S
BAI05
S - S - - - - P S - S S P - - - P
BAI06
- - S P S - P S S P S P S S S - S
BAI07
- - - S S - S P S - - P S S S - S
BAI08
S - - - S - S S P S S - - P - S P
BAI09
- S - S - P S - S S P - - S S - -
BAI10
- P - S - S - S S S P - - P S - -
18
ITRG-01
ITRG-03
ITRG-04
ITRG-05
ITRG-06
ITRG-07
ITRG-08
ITRG-09
ITRG-10
ITRG-11
ITRG-12
ITRG-13
ITRG-14
ITRG-15
ITRG-16
ITRG-17
ITRG-02
DSS01
- S - P S - P S S S P - - S S S S
DSS02
- - - P - - P S - S - - - S S - S
DSS03
- S - P S - P S S - P S - P S - S
DSS04
S S - P S - P S S S S S - P S S S
DSS05
S P - P - - S S - - S S - S S - -
DSS06
- S - P - - P S - S S S - S S S S
MEA01
S S S P S S P S S S P - S S P S S
MEA02
- P - P - S S S - S - - - S P - S
MEA03
- P - P P - S - - S - - - - S - S
Keterangan:
P: hubungan bersifat primary atau terkait langsung.
S: hubungan bersifat secondary atau tidak terkait langsung.
-: tidak terkait.
3.2 COBIT 5 Enabling Process
COBIT 5 Enabling Process[59] merupakan pelengkap COBIT 5 yang

mendefinisikan model referensi proses. Proses merupakan salah satu dari tujuh
COBIT 5 enablers yang terdiri atas 37 proses. Proses-proses yang dimaksud dapat
dijelaskan sebagai berikut.
a. EDM
1). Ensure governance framework setting and maintenance.
2). Ensure benefits delivery.
19
3). Ensure risk optimisation.
4). Ensure resource optimisation.
5). Ensure stakeholder transparency.
b. APO
1). Manage the IT management framework.
2). Manage strategy.
3). Manage enterprise architecture.
4). Manage innovation.
5). Manage portfolio.
6). Manage budget and costs.
7). Manage human resource.
8). Manage relationships.
9). Manage service agreements.
10). Manage suppliers.
11). Manage quality.
12). Manage risk.
13). Manage security.
c. BAI
1). Manage programmes and projects.
2). Manage requirements definition.
3). Manage solutions identification and build.
4). Manage availability and capacity.
5). Manage organisational change enablement.
6). Manage changes.
7). Manage change acceptance and transitioning.
8). Manage knowledge.
9). Manage assets.
10). Manage configuration.
d. DSS
1). Manage operations.
2). Manage service requests and incidents.
3). Manage problems.
20
4). Manage continuity.
5). Manage security services.
6). Manage business process controls.
e. MEA
1). Monitor, evaluate and assess performance and conformance.
2). Monitor, evaluate and assess the system of internal control.
3). Monitor, evaluate and assess compliance with external requirements.
3.3 COBIT 5 for Risk
COBIT 5 for Risk[60] membahas risiko yang terkait dengan TI dan

mempresentasikannya melalui dua perspektif yaitu fungsi dan manajemen risiko.
Fungsi risiko berfokus pada hal-hal yang dibutuhkan untuk membangun dan
memelihara fungsi risiko dalam suatu organisasi. Manajemen risiko berfokus pada
proses tata kelola dan manajemen yang terkait risiko dengan mendefinisikan
bagaimana mengoptimalkan, mengidentifikasi, menganalisis, merespon dan
melaporkan risiko. Implementasi COBIT 5 for Risk juga merujuk kepada tujuh
enablers yang telah disebutkan sebelumnya.
Salah satu informasi penting yang digunakan dalam proses manajemen risiko
adalah skenario risiko. Skenario risiko merupakan deskripsi kejadian yang mungkin
terjadi dan memberikan dampak pada pencapaian tujuan organisasi. Beberapa
contoh kategori skenario risiko yang umum ada di dalam organisasi dapat
dijelaskan oleh Tabel III.5.
Tabel III.5 Skenario risiko[60].

No Kategori Skenario Risiko
1 Pembuatan dan pemeliharaan portofolio
2 Manajemen siklus program/proyek
3 Pembuatan keputusan terkait investasi TI
4 Keahlian dan kemampuan TI
5 Operasional yang dilakukan oleh staf
6 Informasi (kerusakan, kebocoran dan akses)
7 Arsitektur
8 Infrastruktur
9 Perangkat lunak
10 Kepemilikan bisnis TI
11 Pemilihan pemasok
12 Kepatuhan terhadap peraturan
21
No Kategori Skenario Risiko
13 Geopolitik
14 Pencurian atau perusakan infrastruktur
15 Malware
16 Serangan logis
17 Aksi industri
18 Lingkungan
19 Bencana alam
20 Inovasi
3.4 Process Assessment Model (PAM)
PAM merupakan suatu model yang bertujuan untuk menilai kapabilitas proses
berdasarkan satu atau beberapa model referensi proses. PAM memiliki dua dimensi
parameter yang terdiri atas skala kapabilitas dan entitas proses. Ilustrasi kerangka
kerja PAM dapat dilihat pada Gambar III-4[61].
Process
Capability scale
Measurement Framework
· Capability Levels
· Process Attributes
· Rating Scale
Assessment
Model
1 2 3 ……………………….n
Process entities
Process Reference Model

· Domain and Scope
· Processes with Purpose and Outcomes
Gambar III-4 Kerangka kerja PAM[61].
Skala kapabilitas proses didefinisikan dalam enam level skala ordinal yang dimulai
dari incomplete sampai dengan optimizing. Masing-masing level memiliki sejumlah
process attribute (PA). PA merupakan suatu karakteristik yang terukur dari suatu
kapabilitas proses. Level tersebut dapat dijelaskan sebagai berikut[62].
a. Level 0: Incomplete process.
22
b. Level 1: Performed process.
1). PA 1.1 Process performance attribute.
c. Level 2: Managed process.
1). PA 2.1 Performance management attribute.
2). PA 2.2 Work product management attribute.
d. Level 3: Established process.
1). PA 3.1 Process definition attribute.
2). PA 3.2 Process deployment attribute.
e. Level 4: Predictable process.
1). PA 4.1 Process measurement attribute.
2). PA 4.2 Process control attribute.
f. Level 5: Optimizing process.
1). PA 5.1 Process innovation attribute.
2). PA 5.2 Process optimization attribute.
PA tersebut dapat dinilai berdasarkan selang interval sebagai berikut[62]:

a. N (not achieved): 0 – 15% achievement,
b. P (partially achieved): > 15% – 50% achievement,
c. L (largely achieved): > 50% - 85% achievement,
d. F (fully achieved): > 85% - 100% achievement.
PAM mengacu pada prinsip bahwa kapabilitas proses dapat dinilai dengan cara
mengukur pencapaian PA. Pengukuran tersebut didasarkan pada bukti yang
dikaitkan dengan indikator penilaian. Terdapat dua tipe indikator penilaian yaitu:
indikator kapabilitas proses (level 1 sampai dengan level 5) dan indikator kinerja
proses (khusus level 1)[63].
Indikator kapabilitas proses terdiri atas:

a. Generic Practice (GP),
b. Generic Resource (GR),
c. Generik Work Product (GWP).
Indikator kinerja proses terdiri atas:

a. Base Practice (BP),
23
b. Work Product (WP).
Struktur penilaian indikator tersebut ditunjukkan oleh Gambar III-5. Model

referensi proses yang dinilai merujuk kepada kumpulan proses yang telah
didefinisikan pada subbab 3.2. Model penilaian proses COBIT 5 merujuk kepada
struktur Gambar III-6.
Process Assessment
Capability
Dimension
- Level 5: Optimizing (2 attributes)

- Generic Practice (GP)
- Level 4: Predictable (2 attributes)
- Generic Resource (GR)
- Level 3: Established (2 attributes)
- Generic Work Product (GWP)
- Level 2: Managed (2 attributes)
- Base Practice (BP)

- Level 1: Performed (1 attribute)
- Work Product (WP)
Process
System Life Cycle Process dimensio
n
Gambar III-5 Indikator penilaian[63].

Capability
Dimension
- Level 5: Optimizing (2 attributes)
- Level 4: Predictable (2 attributes)
- Level 3: Established (2 attributes) Merujuk ISO/IEC 15504 series
- Level 2: Managed (2 attributes)
- Level 1: Performed (1 attribute)
EDM
Evaluate, Direct & Monitor
APO
Align, Plan & Organise
BAI
Build, Acquire & Implement
DSS Pro
Delivery, Service & Support d i m ce ss
MEA ens
ion
Monitor, Evaluate & Assess
Gambar III-6 Model penilaian proses COBIT 5[64].
24
3.5 COBIT 5 for Information Security
COBIT 5 for Information Security[50] fokus pada keamanan informasi dan

menyediakan pedoman yang lebih lengkap dan praktik untuk para profesional
keamanan informasi dan pihak lain yang terkait pada semua level enterprise.
Manfaat yang diperoleh dari penggunaan COBIT 5 for Information Security dapat
a. Mengurangi kompleksitas dan peningkatan efektivitas biaya karena telah
mengintegrasikan beberapa standar keamanan informasi, good practice
dan/atau pedoman spesifik.
b. Meningkatkan kepuasan pengguna.
c. Memperbaiki integrasi keamanan informasi dalam enterprise.
d. Menginformasikan risk decisions dan risk awareness.
e. Memperbaiki pencegahan, pendeteksian dan pemulihan.
f. Mengurangi pengaruh insiden keamanan informasi.
g. Meningkatkan dukungan untuk inovasi dan persaingan.
h. Memperbaiki manajemen biaya yang terkait dengan fungsi keamanan
informasi.
i. Memberikan pemahaman yang lebih baik terhadap keamanan informasi.
COBIT 5 for Information Security menyediakan pedoman khusus yang terkait

dengan semua enablers.
3.6 Manajemen Layanan TI
Manajemen layanan TI merupakan sistem manajemen yang bertujuan untuk

mengarahkan dan mengatur aktivitas layanan TI yang diberikan oleh pihak pemberi
layanan. Sistem manajemen tersebut mencakup kebijakan, tujuan, perencanaan,
proses, dokumentasi dan sumber daya yang dibutuhkan dalam siklus layanan.
Siklus tersebut meliputi strategi, perancangan, transisi, operasi dan perbaikan yang
berkelanjutan[65,66].
ITILv3 menyatakan bahwa komponen manajemen layanan TI terdiri atas hal-hal

berikut[66].
25
a. Service Strategy (SS).
1). Strategy generation.
2). Service portfolio management.
3). Financial management for IT services.
4). Demand management.
5). Business relationship management.
b. Service Design (SD).
1). Design coordination.
2). Service catalogue management.
3). Service level management.
4). Availability management.
5). Capacity management.
6). IT service continuity management.
7). Information security management.
8). Supplier management.
c. Service Transition (ST).
1). Transisition planning and support.
2). Change management.
3). Service asset and configuration management.
4). Release and deployment management.
5). Service validation and testing.
6). Change evaluation.
7). Knowledge management.
d. Service Operation (SO).
1). Event management.
2). Incident management.
3). Request fulfillment.
4). Problem management.
5). Access management.
6). Operation management.
e. Continual Service Improvement (CSI).
1). Service measurement.
26
2). Service reporting.
3). 7-step improvement.
27
BAGIAN IV
METODE PENYUSUNAN TKKI
Metode penyusunan TKKI merupakan kumpulan metode dan cara penyusunan

proses TKKI di suatu organisasi. Metode tersebut diuraikan pada bagian di bawah
ini.
4.1 Analisis Kebutuhan
Analisis kebutuhan bertujuan untuk mendefinisikan hal-hal yang dibutuhkan dalam

rangka menerapkan tata kelola keamanan informasi. Tahapan ini berisi proses
penentuan lingkup yang bertujuan untuk menentukan proses tata kelola yang perlu
diukur atau dinilai. Gambar IV-1 menunjukkan alur proses penentuan lingkup yang
dimaksud.
Cascading Tujuan Organisasi

(COBIT5 Framework)
Menentukan Lingkup
(Scoping)
Petakan Tujuan Renstra
Organisasi
Petakan Tujuan IT
TI Masterplan
Based on ISO/IEC 27002:2005 Tujuan organisasi
Pilih Proses Tata

Kelola
Tentukan sumber kebutuhan keamanan:

Penilaian Risiko:
· Penilaian risiko Manajemen Layanan TI
Penilaian risiko · COBIT5 for Risk
· Peraturan (ITIL v3)
· ISO/IEC 31000:2009
· Prinsip, tujuan dan kebutuhan organisasi
Proses terkait layanan
Prioritas Proses
Risiko Prioritas proses Terpilih
Gambar IV-1 Alur proses penentuan lingkup.
Proses penentuan lingkup tata kelola yang dilakukan dalam penelitian ini dapat
dilakukan dengan cara analisis terhadap tujuan organisasi, tujuan TI, sistem
manajemen layanan dan penilaian risiko.
28
4.1.1 Penentuan Tujuan Organisasi
Analisis tujuan organisasi membutuhkan masukan berupa EG yang telah

didefinisikan oleh COBIT 5 dan tujuan organisasi. Hal selanjutnya yang dilakukan
adalah membandingkan dan memeriksa keduanya untuk menentukan padanannya.
Kerangka berpikir perumusan tujuan organisasi ditunjukkan oleh Gambar IV-2.
Pelajari Tujuan
Adopsi EG (COBIT 5)
Organisasi
Bandingkan dan
Padankan
Ya Sesuai? Tidak
EG Terpilih Pilih Y Tidak Dipilih N
Gambar IV-2 Penentuan lingkup tujuan organisasi.
4.1.2 Penentuan Tujuan TI
Analisis tujuan TI membutuhkan masukan berupa pemetaan antara EG dengan

ITRG yang telah didefinisikan oleh COBIT 5 dan tujuan TI organisasi. Hal yang
dilakukan adalah mengadopsi pemetaan EG dengan ITRG dan membandingkannya
dengan tujuan TI yang dimiliki oleh organisasi. Kerangka berpikir perumusan
tujuan organisasi ditunjukkan oleh Gambar IV-3.
4.1.3 Penentuan Sistem Manajemen Layanan
Penentuan lingkup tata kelola keamanan informasi pada sistem manajemen layanan
melibatkan proses tata kelola dan proses manajemen layanan. Hal yang dilakukan
adalah memetakan atau mencocokkan proses tata kelola dan proses manajemen
layanan berdasarkan kesamaan peran dan fungsi. Kerangka berpikir pemetaan
proses tersebut ditunjukkan oleh Gambar IV-4.
29
EG Terpilih
Analisis pemetaan
EG dan ITRG
Primary (P)
Tentukan Jenis
Jenis Relasi
Relasi
Secondary (S)
Pelajari Tujuan TI
Pilih ITRG
Organisasi
Bandingkan dan
Padankan
Ya Sesuai? Tidak
ITRG
Terpilih Pilih Y Tidak Dipilih N
Pemilihan Proses Proses

Terpilih
(Otomatis)
Gambar IV-3 Penentuan lingkup tujuan TI.
Jenis relasi terdiri atas dua jenis yaitu primary (P) dan secondary (S). P memiliki
arti bahwa hubungan antara EG dan ITRG sangat erat atau terkait langsung,
sedangkan S memiliki arti bahwa hubungannya lemah atau tidak terkait langsung.
4.1.4 Penilaian Risiko
Penilaian risiko bertujuan untuk mengurutkan penanganan proses tata kelola

berdasarkan tingkat kepentingannya yang dapat berupa T (tinggi), M (menengah)
dan R (rendah). Dasar penentuan prioritas risiko mengacu pada standar ISO/IEC
31000:2009 dan COBIT 5 for Risk. Kerangka berpikir penentuan prioritas risiko
ditunjukkan oleh Gambar IV-5.
30
Analisis Proses Analisis SMS
(COBIT 5) (ITIL v3)
Bandingkan dan
Padankan
Ya Sesuai? Tidak
Pilih Tidak Dipilih
Proses
Terpilih
Gambar IV-4 Pemetaan proses COBIT 5 dan ITIL v3.
Skenario risiko
Mendata Risiko
Menentukan Level
Risiko
ISO/IEC 31000:2009
Menentukan B/C
Ratio
Menentukan Prioritas
Risiko
Proses Memetakan Risiko dan

Terpilih Mitigasi
Proses Tata Kelola
Prioritas
Proses
Gambar IV-5 Penentuan prioritas risiko.
31
4.2 Perancangan
Perancangan merupakan proses yang bertujuan untuk menghasilkan suatu alat ukur
yang sesuai dengan standar penilaian proses tata kelola keamanan informasi.
Gambar IV-6 menunjukkan alur proses perancangan alat ukur penilaian proses tata
kelola keamanan informasi.
4.2.1 Perancangan Model Referensi Proses
Perancangan model referensi proses bertujuan untuk membuat model atau peta
dimensi proses tata kelola keamanan informasi. Model ini dijadikan dasar dalam
pembuatan suatu model penilaian proses. Kerangka berpikir perancangan model
referensi proses ditunjukkan oleh Gambar IV-7.
Proses
Terpilih
ISO/IEC 15504-1
Menentukan standar berdasarkan ISO/IEC 15504-2

pengukuran proses
ISO/IEC 15504-5
Process Reference
Model for menghasilkan Menentukan model referensi menggunakan COBIT5 for
Information Security Information Security
proses
menggunakan Menentukan proses terkait menggunakan

keamanan informasi
Process Assessment
Model for menghasilkan Menentukan komponen menggunakan COBIT5 Process
Information Security Assessment Model
proses
mendefinisikan
· Practices
· Work products
· Resources
Gambar IV-6 Alur proses perancangan.
32
Gambar IV-7 Perancangan model referensi proses.
4.2.2 Perancangan Model Penilaian Proses
Perancangan model penilaian proses bertujuan untuk membuat model penilaian

proses tata kelola keamanan informasi berdasarkan level pencapaian kemampuan.
Model ini dijadikan sebagai dasar perhitungan analisis kesenjangan pada proses tata
kelola keamanan informasi. Kerangka berpikir perancangan model penilaian proses
ditunjukkan oleh Gambar IV-8.
Gambar IV-8 Perancangan model penilaian proses.
Komponen proses yang dinilai (meliputi: aktivitas, keluaran, GP, GWP dan GR)
memiliki rentang nilai berikut:
33
1. tidak ada, artinya komponen proses yang dimaksud tidak ada atau tidak
dilakukan,
2. sebagian kecil, artinya telah ada sedikit bukti adanya atau dilaksanakannya
komponen proses yang dimaksud,
3. sebagian besar, artinya telah banyak bukti adanya atau dilaksanakannya
komponen proses yang dimaksud,
4. penuh, artinya komponen proses yang dimaksud telah ada atau dilaksanakan
secara maksimal.
4.3 Analisis Kesenjangan
Analisis kesenjangan merupakan proses yang bertujuan untuk mengetahui kondisi

capability/kematangan tata kelola keamanan informasi yang ada saat ini dan
harapan yang akan dicapai oleh suatu organisasi. Kondisi tersebut dinilai dengan
menggunakan model penilaian proses yang telah dijelaskan pada subbab 4.2.2.
4.4 Pemberian Rekomendasi
Rekomendasi merupakan masukan yang diberikan kepada organisasi untuk

membangun suatu tata kelola keamanan informasi di organisasinya. Rekomendasi
terhadap proses tata kelola dibuat berdasarkan hasil analisis kesenjangan.
4.5 Penerapan
Penerapan merupakan proses pendefinisian urutan langkah-langkah yang harus

dilaksanakan untuk mengimplementasikan rekomendasi yang diberikan terkait tata
kelola keamanan informasi pada suatu organisasi. Proses ini mengacu kepada suatu
kerangka kerja penerapan tata kelola TI yang umum digunakan yaitu dengan
pendekatan John Kotter yang telah didefinisikan dalam COBIT 5
Implementation[67].
34
BAGIAN V
PENYUSUNAN TKKI
Bab ini menjelaskan sistematika analisis kondisi TKKI yang ada saat ini dan
harapan ke depan. Hal ini diawali dengan analisis lingkup TKKI. Setelah diketahui
lingkup proses, hal selanjutnya yang dilakukan adalah pengukuran kondisi
keamanan informasi saat ini yang dipetakan ke dalam level pencapaian terhadap
suatu standar pengukuran proses. Hal terakhir yang dilakukan pada bab ini adalah
analisis kesenjangan antara kondisi yang ada saat ini dengan target pencapaian.
Hasil analisis yang diperoleh dapat dijadikan sebagai dasar pembuatan rekomendasi
yang tepat terhadap TKKI di organisasi.
Perancangan yang dilakukan pada bab ini adalah pembuatan alat bantu pengukuran
TKKI. Alat bantu yang dibuat terdiri atas: penurunan tujuan organisasi dan TI,
pemetaan proses tata kelola terhadap proses manajemen layanan, pemodelan
referensi proses dan pemodelan penilaian proses. Hasil rancangan yang ada
diharapkan dapat membantu dalam menemukan formulasi yang tepat untuk
mengukur tata kelola yang ada di organisasi.
5.1 Alat Bantu Penentuan Lingkup TKKI
Penentuan lingkup TKKI bertujuan untuk mengidentifikasi kebutuhan keamanan

informasi pada organisasi yang dijadikan tempat studi kasus. Berdasarkan teori
yang dikeluarkan oleh ISO/IEC 27002:2013[68], beberapa sumber yang dapat
dijadikan dasar dalam penentuan lingkup kebutuhan keamanan informasi dapat
1. Kumpulan prinsip, tujuan dan kebutuhan bisnis organisasi.
Sumber ini dapat diambil dari pemetaan tujuan organisasi, pemetaan tujuan TI
dan pemetaan sistem manajemen layanan yang terdapat di organisasi.
2. Penilaian risiko.
Sumber ini dapat diambil dari penilaian prioritas risiko yang terdapat di
organisasi.
35
5.1.1 Pemetaan Tujuan Organisasi
Pemetaan tujuan organisasi merupakan penentuan lingkup keamanan informasi

yang diambil dari subbab 5.1 butir 1 khususnya pada tujuan organisasi. Pemetaan
ini bertujuan untuk menurunkan dan merumuskan tujuan organisasi ke dalam
bentuk EG yang bersifat generik dan terkait informasi. EG ini sesuai dengan yang
telah didefinisikan oleh kerangka kerja COBIT 5. Tabel V.1 menunjukkan hasil
pemetaan contoh tujuan organisasi yang terkait informasi di organisasi.
Tabel V.1 Contoh tujuan organisasi.

Indikator Kinerja
BSC EG (Y/T) Tujuan Organisasi
Utama
EG-01 T
EG-02 T
Financial EG-03 T
EG-04 T
[sebutkan tujuan [uraikan indikator
EG-05 Y
organisasi yang terkait] pencapaiannya]
EG-06 T
EG-07 T
EG-08 T
Customer
EG-09 Y
EG-10 T
EG-11 Y
EG-12 T
Internal
EG-13 T
Business Process
EG-14 Y
EG-15 T
EG-16 Y
Learning organisasi yang terkait] pencapaiannya]
& Growth [sebutkan tujuan [uraikan indikator
EG-17 Y
Keterangan:
Y: (ya) terkait dengan tujuan organisasi.
T: (tidak) terkait dengan tujuan organisasi.
36
5.1.2 Pemetaan Tujuan TI
Pemetaan tujuan TI merupakan turunan dari tujuan organisasi yang digunkan untuk
menentukan lingkup keamanan informasi yang lebih spesifik pada TI. Pemetaan ini
bertujuan untuk menurunkan dan merumuskan tujuan TI ke dalam bentuk ITRG
yang bersifat generik. Tabel V.2 menunjukkan hasil pemetaan tujuan TI organisasi.
Tabel V.2 Tujuan TI Organisasi.

Tujuan TI
BSC ITRG (P/S) (Y/T) Indikator Kinerja Utama
Organisasi
[sebutkan tujuan TI [uraikan indikator
ITRG-01 P Y
yang terkait] pencapaiannya]
ITRG-02 - T
Financial
ITRG-03 S T
ITRG-04 S T
ITRG-05 S T
ITRG-06 P Y
Customer
ITRG-07 P Y
ITRG-08 P Y
ITRG-09 P T
ITRG-10 - T
ITRG-11 S T
Internal
ITRG-12 P Y
ITRG-13 - T
ITRG-14 P Y
ITRG-15 - T
Learning &
ITRG-16 P Y
Growth

ITRG-17 P Y
Keterangan:
P: hubungan bersifat primary atau terkait langsung antara tujuan generik TI dan organisasi.
S: hubungan bersifat secondary atau tidak terkait langsung antara tujuan generik TI dan organisasi.
Y: (ya) terkait dengan tujuan TI organisasi.
T: (tidak) terkait dengan tujuan TI organisasi.
Pada Tabel V.2, penentuan nilai pada kolom (Y/T) didasarkan kepada keterkaitan
tujuan generik TI dan organisasi berdasarkan pemetaan yang telah disebutkan pada
Tabel III.3. Pemetaan tersebut yang ditunjukkan oleh kolom (P/S) memiliki dua
37
jenis keterkaitan yaitu P (primary) dan S (secondary). Kolom (Y/T) bernilai Y
apabila memenuhi persyaratan berikut:
1. kolom (P/S) bernilai P,
2. terdapat tujuan TI organisasi yang terkait dengan tujuan generik TI.
Skema pemetaan antara tujuan generik TI dan proses tata kelola (governance dan
management) ditunjukkan oleh Tabel III.4. Skema ini bertujuan untuk
menghasilkan proses tata kelola yang terpilih dalam penentuan lingkup TKKI
berdasarkan tujuan organisasi dan TI. Contoh rangkuman proses tata kelola yang
terpilih ditunjukkan oleh Tabel V.3.
Tabel V.3 Contoh rangkuman proses tata kelola terpilih.

(P/S (Y/N
ID Nama Proses Tata Kelola
) )
EDM0 Ensure Governance Framework Setting and Maintenance
1
EDM0 Ensure Benefits Delivery
2
EDM0 Ensure Risk Optimisation
3
EDM0 Ensure Resource Optimisation
4
EDM0 Ensure Stakeholder Transparency
5
APO01 Manage the IT Management Framework
APO02 Manage Strategy
APO03 Manage Enterprise Architecture
APO04 Manage Innovation
APO05 Manage Portfolio
APO06 Manage Budget and Costs
APO07 Manage Human Resources
APO08 Manage Relationships
APO09 Manage Service Agreements
APO10 Manage Supplies
APO11 Manage Quality
APO12 Manage Risk
APO13 Manage Security
BAI01 Manage Programmes and Projects
BAI02 Manage Requirements Definition
BAI03 Manage Solutions Identification and Build
BAI04 Manage Availability and Capacity
BAI05 Manage Organisational Change Enablement
38
(P/S (Y/N
ID Nama Proses Tata Kelola
) )
BAI06 Manage Changes
BAI07 Manage Change Acceptance and Transitioning
BAI08 Manage Knowledge
BAI09 Manage Assets
BAI10 Manage Configuration
DSS01 Manage Operations
DSS02 Manage Service Requests and Incidents
DSS03 Manage Problems
DSS04 Manage Continuity
DSS05 Manage Security Services
DSS06 Manage Business Process Controls
MEA0 Monitor, Evaluate and Assess Performance and Conformance
1
MEA0 Monitor, Evaluate and Assess the System of Internal Control
2
MEA0 Monitor, Evaluate and Assess Compliance with External
3 Requirements
Keterangan:
P: hubungan bersifat primary atau terkait langsung antara tujuan generik TI dan proses tata kelola.
S: hubungan bersifat secondary atau tidak terkait langsung antara tujuan generik TI dan proses tata kelola.
Y: (ya) proses terpilih, T: (tidak/bukan) proses terpilih.
5.1.3 Pemetaan Manajemen Layanan TI
Pemetaan terhadap manajemen layanan TI merupakan penentuan lingkup

keamanan informasi yang diambil dari subbab 5.1 butir 1 khususnya pada
kebutuhan bisnis organisasi. Kebutuhan bisnis organisasi yang dimaksud adalah
kebutuhan tata kelola keamanan informasi pada sistem manajemen layanan ITIL
v3. Hal yang dilakukan dalam pemetaan adalah membandingkan keterkaitan antara
proses tata kelola dan proses sistem manajemen layanan. Tabel V.4 menunjukkan
hasil pemetaan antara proses tata kelola dan manajemen layanan.
Sistem manajemen layanan hanya mencakup area management dari proses tata
kelola yang ada di COBIT 5. Hal ini mengakibatkan proses yang ada di area
governance (EDM01, EDM02, EDM03, EDM04 dan EDM05) tidak memiliki
padanan atau kaitan proses. Perancangan tata kelola secara menyeluruh sangat
membutuhkan area governance dan management. Oleh karena itu, proses EDM01,
EDM02, EDM03, EDM04 dan EDM05 tetap dimasukkan ke dalam lingkup tata
kelola keamanan informasi pada sistem manajemen layanan.
39
40
APO09
APO08
APO07
APO06
APO05
APO04
APO03
APO02
APO01
EDM05
EDM04
EDM03
EDM02
EDM01
Strategy generation
Service portfolio management
Financial management for IT services

SS
Demand management
Business Relationship Management
Design Coordination
Service Catalogue Management
Service Level Management
Availability Management
SD
Capacity Management
IT Service Continuity Management
Information Security Management
Supplier Management
41
Transition Planning & Support
Change Management
Service asset & Configuration

Management
Release & Deployment Management
ST
Service Validation & Testing
Change Evaluation
Tabel V.4 Pemetaan proses COBIT 5 dan ITIL v3.
Knowledge Management
Event Management
Incident Management
Request Fulfilment
SO
Problem Management
Access Management
Operation Management
Service Measurement
Service Reporting
CSI
7-step Improvement
BAI10
BAI09
BAI08
BAI07
BAI06
BAI05
BAI04
BAI03
BAI02
BAI01
DSS03
DSS02
DSS01
APO13
APO12
APO11
APO10
Strategy generation

SS
Demand management
Design Coordination
SD
Capacity Management
Supplier Management
42
Change Management

Management
ST
Change Evaluation
Event Management
Incident Management
Request Fulfilment
SO
Problem Management
Access Management
Service Measurement
Service Reporting
CSI
7-step Improvement
DSS06
DSS05
DSS04
MEA03
MEA02
MEA01
Strategy generation

SS
Demand management
Design Coordination
SD
Capacity Management
Supplier Management
43
Change Management

Management
ST
Change Evaluation
Event Management
Incident Management
Request Fulfilment
SO
Problem Management
Access Management
Service Measurement
Service Reporting
CSI
7-step Improvement
Pemetaan proses COBIT 5 dan ITIL v3 dapat dirangkum menjadi bentuk sederhana
seperti yang diperlihatkan oleh Tabel V.5.
Tabel V.5 Rangkuman pemetaan proses COBIT 5 dan ITIL v3.

Proses Tata
Proses Manajemen Layanan TI
Kelola
(ITIL v3)
(COBIT 5)
EDM01
EDM02
*) Dimasukkan ke dalam lingkup proses dengan pertimbangan tata kelola
EDM03
menyeluruh
EDM04
EDM05
APO01 [SD] Design Coordination
[CSI] 7-step Improvement
APO02 [SS] Strategy generation
APO05 [SS] Service Portfolio Management
APO06 [SS] Financial management for IT services
APO08 [SS] Demand management
[SS] Business Relationship Management
APO09 [SS] Service Portfolio Management
[SS] Demand management
[SD] Service Catalogue Management
[SD] Service Level Management
[CSI] Service Reporting
APO10 [SD] Supplier Management
APO12 [SD] Information Security Management
APO13 [SD] Information Security Management
BAI01 [SD] Design Coordination
BAI04 [SD] Availability Management
[SD] Capacity Management
BAI06 [ST] Change Management
BAI07 [ST] Transition Planning & Support
[ST] Release & Deployment Management
[ST] Service Validation & Testing
[ST] Change Evaluation
BAI08 [ST] Knowledge Management
BAI09 [ST] Service asset & Configuration Management
BAI10 [ST] Service asset & Configuration Management
DSS01 [SO] Event Management
[SO] Operation Management
DSS02 [SO] Incident Management
[SO] Request Fulfilment
DSS03 [SO] Problem Management
DSS04 [SD] IT Service Continuity Management
MEA01 [CSI] Service Measurement
[CSI] Service Reporting
44
5.1.4 Penilaian Prioritas Risiko
Penilaian prioritas risiko merupakan salah satu cara penentuan lingkup keamanan
informasi yang diambil dari subbab 5.1 butir 2. COBIT 5 for Risk digunakan untuk
mengidentifikasi daftar risiko yang ada di organisasi berdasarkan risiko generik
pada suatu enterprise. ISO/IEC 31000:2009 digunakan untuk menentukan level
dari risiko yang telah diidentifikasi oleh COBIT 5 for Risk. Hal selanjutnya yang
dilakukan adalah menentukan benefit/cost ratio dari daftar risiko yang telah
diidentifikasi. Perkalian antara level risiko dan benefit/cost ratio menghasilkan nilai
prioritas risiko. Hasil prioritas risiko ini digunakan untuk memetakan prioritas
proses tata kelola yang telah dipilih sebelumnya berdasarkan mitigasi risiko yang
telah dipetakan oleh COBIT 5 for Risk. Tabel V.6 menunjukkan contoh hasil
identifikasi daftar risiko yang terdapat di organisasi.
Tabel V.6 Penilaian prioritas risiko.

Kemungkinan Dampak Level B/C Ratio Prioritas
No. Kategori Risiko
[1..5] [1..5] [R,M,T] [R,M,T] [R,M,T]
1 Penyusunan dan
pemeliharaan
portofolio
2 Manajemen siklus
hidup program kerja
atau proyek
3 Pembuatan keputusan
investasi TI
4 Keahlian dan
keterampilan TI
5 Operasi yang
dilakukan staf (human
error dan niat jahat)
6 Kerusakan, kebocoran
dan akses informasi
7 Arsitektur
8 Infrastruktur
9 Perangkat lunak
10 Kepemilikan bisnis
terhadap TI
11 Pemilihan/kinerja
pemasok, kepatuhan
terhadap kontrak,
pemberhentian layanan
dan pengalihan
12 Kepatuhan terhadap
peraturan
13 Geopolitik
45
Kemungkinan Dampak Level B/C Ratio Prioritas
No. Kategori Risiko
[1..5] [1..5] [R,M,T] [R,M,T] [R,M,T]
14 Pencurian atau
perusakan infrastruktur
15 Malware
16 Serangan
17 Aksi industri
18 Lingkungan
19 Bencana alam
20 Inovasi
Keterangan:
T: nilai tinggi.
M: nilai menengah.
R: nilai rendah.
B/C Ratio: nilai rasio benefit per cost.
B/C ratio merupakan rasio antara benefit dan cost yang didapat dari perhitungan
nilai manfaat dibagi dengan biaya dari suatu risiko. Rumusan ini dapat diartikan
bahwa nilai rasio berbanding lurus dengan manfaat yang dipengaruhi risiko dan
berbanding terbalik dengan biaya yang dikeluarkan ketika terjadi risiko tersebut.
Rumusan ini juga dapat diartikan bahwa semakin besar nilai manfaat dan semakin
sedikit biaya yang dikeluarkan maka semakin besar nilai rasio serta berlaku
sebaliknya.
Setelah didapatkan prioritas risiko, hal selanjutnya yang dilakukan adalah

memetakan kategori risikonya dengan proses tata kelola agar diperoleh prioritas
proses. Pemetaan yang dilakukan mengacu kepada mitigasi risiko untuk proses
yang tercantum di dalam COBIT 5 for Risk. Contoh skema pemetaan tersebut
ditunjukkan oleh Tabel V.7.
Tabel V.7 Contoh pemetaan kategori risiko dan proses terkait mitigasi risiko.
No. Kategori Risiko Proses Terkait Mitigasi Risiko
1 Penyusunan dan pemeliharaan
portofolio
2 Manajemen siklus hidup program kerja
atau proyek
3 Pembuatan keputusan investasi TI
4 Keahlian dan keterampilan TI
5 Operasi yang dilakukan staf (human
error dan niat jahat)
6 Kerusakan, kebocoran dan akses
informasi
7 Arsitektur
8 Infrastruktur
46
No. Kategori Risiko Proses Terkait Mitigasi Risiko
9 Perangkat lunak
10 Kepemilikan bisnis terhadap TI
11 Pemilihan/kinerja pemasok, kepatuhan
terhadap kontrak, pemberhentian
layanan dan pengalihan
12 Kepatuhan terhadap peraturan
13 Geopolitik
14 Pencurian atau perusakan infrastruktur
15 Malware
16 Serangan
17 Aksi industri
18 Lingkungan
19 Bencana alam
20 Inovasi
Berdasarkan analisis yang dilakukan terhadap Tabel V.6 dan Tabel V.7, maka dapat
disusun urutan prioritas (R: rendah, M: menengah dan T: tinggi) proses tata kelola
seperti contoh Tabel V.8.
Tabel V.8 Contoh prioritas proses tata kelola.

Prioritas Proses
ID Nama Proses
[R,M,T]
EDM01 Ensure Governance Framework Setting and Maintenance
APO01 Manage the IT Management Framework
APO10 Manage Suppliers
APO12 Manage Risk
BAI03 Manage Solutions Identification and Build
47
Prioritas Proses
ID Nama Proses
[R,M,T]
BAI05 Manage Organisational Change Enablement
BAI07 Manage Change Acceptance and Transitioning
BAI09 Manage Assets
DSS02 Manage Service Requests and Incidents
MEA01 Monitor, Evaluate and Assess Performance and Conformance
MEA02 Monitor, Evaluate and Assess the System of Internal Control
Monitor, Evaluate and Assess Compliance with External
MEA03
Requirements
5.1.5 Penetapan Lingkup Proses yang Dinilai
Berdasarkan semua langkah aktivitas yang dilakukan pada subbab 5.1.1, 5.1.2,
5.1.3 dan 5.1.4, lingkup proses tata kelola pada organisasi dapat ditunjukkan oleh
contoh Tabel V.9.
Tabel V.9 Proses tata kelola organisasi terpilih berdasarkan prioritas.

Prioritas Proses yang
EG ∩ ITRG
Proses COBIT 5 Proses Dinilai
∩ ITIL
[R,M,T] [R,M,T]
Ensure Governance Framework
EDM01
Setting and Maintenance
Manage the IT Management
APO01
Framework
48
Prioritas Proses yang
EG ∩ ITRG
Proses COBIT 5 Proses Dinilai
∩ ITIL
[R,M,T] [R,M,T]
APO10 Manage Suppliers
APO12 Manage Risk
Manage Solutions Identification and
BAI03
Build
Manage Organisational Change
BAI05
Enablement
Manage Change Acceptance and
BAI07
Transitioning
BAI09 Manage Assets
Manage Service Requests and
DSS02
Incidents
Monitor, Evaluate and Assess
MEA01
Performance and Conformance
Monitor, Evaluate and Assess the
MEA02
System of Internal Control
Monitor, Evaluate and Assess
MEA03 Compliance with External
Requirements
Jumlah Proses
5.2 Model Referensi Proses
Model referensi proses merupakan suatu model definisi proses yang berisi tujuan,
outcomes, siklus dan arsitekturnya yang mendeskripsikan keterkaitan antara proses.
Secara garis besar, informasi yang terdapat dalam model referensi proses terdiri
atas:
1. deskripsi dan tujuan proses,
49
2. outcomes,
3. aktivitas,
4. masukan dan keluaran.
Model referensi proses tata kelola keamanan informasi yang dibuat mengacu
kepada COBIT 5 for Information Security. Tabel V.10 menunjukkan salah satu
contoh model referensi proses yang telah dirumuskan. Model referensi proses
secara lengkap dijelaskan pada LAMPIRAN A.
Tabel V.10 Contoh model referensi proses EDM05.

Process ID EDM05
Process
Ensure Stakeholder Transparency
Name
Ensure that enterprise IT performance and conformance measurement and
Process
reporting are transparent, with stakeholders approving the goals and metrics
Description
and the necessary remedial actions.
Make sure that the communication to stakeholders is effective and timely and
Process
the basis for reporting is established to increase performance, identify areas for
Purpose
improvement, and confirm that IT-related objectives and strategies are in line
Statement
with the enterprise’s strategy.
Outcomes (Os)
Number Description
Information security reporting is established and is complete, timely and
EDM05-O1
accurate.
Stakeholders are informed of the current status of information security and
EDM05-O2
information risk across the enterprise.
Base Practices (BPs)
Number Description Supports
Evaluate stakeholder reporting requirements.
Continually examine and make judgement on the current and
future requirements for stakeholder communication and
EDM05-BP1 reporting, including both mandatory reporting requirements EDM05-01
(e.g., regulatory) and communication to other stakeholders.
Establish the principles for communication. [Outcome EDM05-
O1, EDM05-O2]
Direct stakeholder communication and reporting.
Ensure the establishment of effective stakeholder
communication and reporting, including mechanisms for
EDM05-BP2 ensuring the quality and completeness of information, oversight EDM05-02
of mandatory reporting, and creating a communication
strategy for stakeholders.
[Outcome EDM05-O1, EDM05-O2]
Monitor stakeholder communication.
Monitor the effectiveness of stakeholder communication. Assess
EDM05-BP3 mechanisms for ensuring accuracy, reliability and EDM05-03
effectiveness, and ascertain whether the requirements of
different stakeholders are met. [Outcome EDM05-O2]
Work Products (WPs)
50
Process ID EDM05
Inputs
Number Description Supports
Outside
COBIT 5
Evaluation of enterprise reporting requirements. [Outcome EDM05-BP1
for
EDM05-O1, EDM05-O2] EDM05-01
Information
Security
Outputs
Number Description Input to Supports
Information security reporting requirements and
EDM05- EDM05-BP1
communication channels. [Outcome EDM05-O1,
WP1 EDM05-01
EDM05-O2]
EDM05- Information security status reports. [Outcome Internal EDM05-BP2
WP2 EDM05-O1, EDM05-O2] EDM05-02
EDM05- Information security monitoring and reporting. EDM05-BP3
WP3 [Outcome EDM05-O2] EDM05-03
Proses yang dimodelkan pada Tabel V.10 adalah EDM05. Proses tersebut diuraikan
melalui penjelasan di bawah ini.
· Nama proses.
Memastikan transparansi pemangku kepentingan.
· Deskripsi.
Pastikan bahwa pengukuran kinerja, pengukuran kesesuaian dan pelaporan
dilakukan secara transparan. Hal ini juga harus disertai dengan persetujuan dari
para pemangku kepentingan terhadap tujuan, ukuran dan aksi perbaikan yang
diperlukan.
· Tujuan.
Pastikan bahwa komunikasi dengan para pemangku kepentingan dilakukan
secara efektif, tepat waktu dan sebagai dasar laporan. Hal ini diperlukan untuk
meningkatkan kinerja, mengidentifikasi area untuk perbaikan dan memastikan
bahwa tujuan dan strategi terkait TI sejalan dengan strategi organisasi.
· Outcomes (kode: O).
Memiliki dua outcomes yang ingin dicapai, yaitu:
o EDM05-O1, terbentuknya pelaporan keamanan informasi yang lengkap,
tepat waktu dan akurat,
o EDM05-O2, terinformasikannya para pemangku kepentingan mengenai
status keamanan dan risiko informasi yang ada di organisasi saat ini.
· Base practices (kode: BP).
51
Memiliki tiga governance base practices yang perlu dilakukan.
o EDM05-BP1, evaluasi kebutuhan pelaporan para pemangku kepentingan.
Memeriksa dan membuat penilaian secara terus-menerus mengenai
kebutuhan komunikasi dan pelaporan pemangku kepentingan saat ini dan
masa depan, termasuk kebutuhan pelaporan yang wajib (misalnya:
peraturan) dan komunikasi kepada para pemangku kepentingan lainnya.
Menetapkan prinsip yang diperlukan dalam komunikasi. Base practice ini
mendukung pencapaian outcomes EDM05-O1 dan EDM05-O2.
o EDM05-BP2, arahkan para pemangku kepentingan dan pelaporan.
Memastikan terbentuknya komunikasi dan pelaporan yang efektif untuk
pemangku kepentingan. Hal ini termasuk juga mekanisme untuk
memastikan kualitas dan kelengkapan informasi, pengawasan pelaporan
yang wajib dan menciptakan strategi komunikasi bagi para pemangku
kepentingan. Base practice ini mendukung pencapaian outcomes EDM05-
O1 dan EDM05-O2.
o EDM05-BP3, pantau komunikasi pemangku kepentingan.
Memantau efektivitas komunikasi pemangku kepentingan. Menilai
mekanisme dalam rangka memastikan akurasi, keandalan dan efektivitas
kebutuhan pemangku kepentingan yang berbeda telah terpenuhi. Base
practice ini mendukung pencapaian outcomes EDM05-O2.
· Work products (kode: WP).
Work products terbagi menjadi dua bagian.
o Masukan, terdiri atas:
 hasil evaluasi kebutuhan pelaporan organisasi, berasal dari luar
kerangka kerja COBIT 5 for Information Security. Masukan ini
mendukung pencapaian outcomes EDM05-O1 dan EDM05-O2 serta
pelaksanaan base practice EDM05-BP1.
o Keluaran, terdiri atas:
 EDM05-WP1, kebutuhan pelaporan keamanan informasi dan saluran
komunikasinya. Keluaran ini sebagai parameter pencapaian outcomes
EDM05-O1 dan EDM05-O2 serta pelaksanaan base practice EDM05-
BP1.
52
 EDM05-WP2, laporan status keamanan informasi. Keluaran ini sebagai
parameter pencapaian outcomes EDM05-O1 dan EDM05-O2 serta
 EDM05-WP3, pelaporan dan pengawasan keamanan informasi.
Keluaran ini sebagai parameter pencapaian outcome EDM05-O2 dan
5.3 Model Penilaian Proses
Model penilaian proses merupakan suatu model yang digunakan untuk menilai
kemampuan proses tata kelola berdasarkan suatu model referensi proses. Model
penilaian proses menggunakan sumber data berikut:
1. model referensi proses yang dijadikan sebagai dasar penilaian kemampuan
dimensi proses pada level 1 (base practices dan work products),
2. ISO/IEC 15504 series yang dijadikan dasar penentuan level atau dimensi
kemampuan proses, khususnya untuk level 2 sampai dengan 5 (generic
practices, generic work products dan generic resource),
3. COBIT 5 for Information Security yang digunakan untuk mendefinisikan
aktivitas dari setiap base practices,
4. COBIT 5 Process Assessment Model yang digunakan untuk mendefinisikan
generic practices dan generic work products.
Model penilaian proses tata kelola keamanan informasi terdiri atas dua bagian yaitu
komponen rekapitulasi yang ditunjukkan oleh Tabel V.11 dan komponen rincian
proses yang ditunjukkan Tabel V.12. Model penilaian proses secara lengkap
dijelaskan pada Error! Reference source not found..
Tabel V.11 Contoh rekapitulasi model penilaian proses EDM05.

Summary
Level 0 Level 1 Level 2 Level 3 Level 4 Level 5

PA 1.1 PA PA PA PA PA PA PA PA
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
Target
Rating - - - - - - - - - -
Rating by - - - - - - - -
Criteria -100% -100%
100% 100% 100% 100% 100% 100% 100% 100%
53
Summary

PA 1.1 PA PA PA PA PA PA PA PA
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
Capability
Level 0 0 - - - - - - - -
Achieved
Komponen Tabel V.11 dapat diuraikan melalui penjelasan sebagai berikut:

1. target, merupakan target pencapaian level kemampuan untuk masing-masing
PA yang dikehendaki oleh pihak organisasi (nilainya berupa: fully, largely,
partially atau not achieved),
2. rating, merupakan hasil pencapaian kemampuan proses yang aktual (nilainya
berupa: fully, largely, partially atau not achieved),
3. rating by criteria, merupakan nilai persentase pencapaian kemampuan proses
yang diukur berdasarkan kriteria komponen proses (meliputi: aktivitas,
keluaran, generic practices, generic work products dan generic resources),
4. capability level achieved, merupakan level pencapaian kemampuan proses
(nilainya: [1 ... 5]) untuk masing-masing PA.
PA diukur sesuai dengan target tingkat pencapaian yang diharapkan. Tabel V.12
menjelaskan salah satu contoh rincian model penilaian pada proses EDM05.
54
Tabel V.12 Contoh model penilaian proses EDM05.
Process ID EDM05
Process Name Ensure Stakeholder Transparency
Process Ensure that enterprise IT performance and conformance measurement and reporting are transparent, with stakeholders approving the goals
Description and metrics and the necessary remedial actions.
Process
Make sure that the communication to stakeholders is effective and timely and the basis for reporting is established to increase performance,
Purpose
identify areas for improvement, and confirm that IT-related objectives and strategies are in line with the enterprise’s strategy.
Statement
Level PA Outcome Achv. Component Achv. Number Consideration Activities Achv.
0 - Incomplete 0% not achieved

1 - Performed PA 1.1 1. Determine the
audience, including
internal and external
not achieved
individuals or groups,
for communication and
reporting.
Outside COBIT 2. Identify requirements
5 for IS: for reporting on
Evaluation of information security to
EDM05-BP1
enterprise stakeholders (e.g., what not achieved
EDM05-O1 0% BP 0% reporting information is required,
requirements when it is required, how
it is presented).
3. Identify the means
and channels to
communicate not achieved
information security
issues.
1. Prioritise reporting
EDM05-BP2 on information security not achieved
issues to stakeholders.
55
Process ID EDM05
2. Perform internal and
external audits to
assess the effectiveness
not achieved
of the information
security governance
programme.
3. Produce for
stakeholders regular
status reports that
include information
security activities,
performance,
achievements, risk not achieved
profile, business
benefits, ‘hot topics’
(e.g., cloud, consumer
products), outstanding
risk (including
compliance and audit)
and capability gaps.
WP EDM05-WP1 not achieved
0%
(Output) EDM05-WP2 not achieved
1. Determine the
audience, including
internal and external
Outside COBIT not achieved
individuals or groups,
5 for IS:
for communication and
Evaluation of
EDM05-O2 0% BP 0% EDM05-BP1 reporting.
enterprise
2. Identify requirements
reporting
for reporting on
requirements
information security to not achieved
stakeholders (e.g., what
information is required,
56
Process ID EDM05
when it is required, how
it is presented).
3. Identify the means

and channels to
communicate not achieved
issues.
1. Prioritise reporting
on information security not achieved
issues to stakeholders.
2. Perform internal and
external audits to
assess the effectiveness
not achieved
of the information
security governance
programme.
3. Produce for
stakeholders regular
EDM05-BP2
status reports that
include information
security activities,
performance,
achievements, risk not achieved
profile, business
benefits, ‘hot topics’
(e.g., cloud, consumer
products), outstanding
risk (including
compliance and audit)
and capability gaps.
57
Process ID EDM05
1. Establish information
security monitoring and
reporting (e.g., using
key performance
indicators [KPIs] for
EDM05-BP3 information security not achieved
and information risk
management that are
based on metrics and
measurements in the
MEA domain).
EDM05-WP1 not achieved
WP
0% EDM05-WP2 not achieved
(Output)
EDM05-WP3 not achieved
Total Achv. 0%
2 - Managed PA 2.1 GP 0% GP 2.1.n not achieved
[outcomes] 0% GWP 0% GWP n not achieved
GR 0% GR 2.1.n not achieved
PA 2.2 GP 0% GP 2.2.n not achieved
Total Achv. 0%
3 – Established PA 3.1 GP 0% GP 3.1.n not achieved
Total Achv. 0%
58
Process ID EDM05
4 – Predictable PA 4.1 GP 0% GP 4.1.n not achieved
Total Achv. 0%
5 – Optimizing PA 5.1 GP 0% GP 5.1.n not achieved
Total Achv. 0%
59
5.3.1 Hasil Penilaian Proses
Hasil analisis kesenjangan terhadap proses TKKI berperan sebagai masukan dalam
menentukan lingkup rancangan atau rekomendasi yang dapat diberikan sesuai
dengan target yang diharapkan.
5.3.2 Analisis Kesenjangan
Analisis kesenjangan dilakukan dengan cara membandingkan setiap pasangan nilai

pencapaian dan harapan pada proses TKKI. Perbandingan tersebut menghasilkan
sejumlah perbedaan dalam bentuk selisih. Conoth selisih yang terdapat pada
masing-masing proses dijelaskan oleh Tabel V.13.
Tabel V.13 Contoh analisis kesenjangan.

L.1
ID Capaian L.0 Analisis
PA 1.1
Governance
EDM – Evaluate, Direct and Monitor
Saat ini F - Hasil ini mengandung arti semua base practices
01 belum dilaksanakan dan work products belum ada
Target F F pada proses EDM01.
Saat ini F P Hasil ini mengandung arti sebagian besar base
05 practices belum dilaksanakan dan work products
Target F F belum ada pada proses EDM05.
Management
APO – Align, Plan and Organise
Saat ini F L Hasil ini mengandung arti hanya sebagian kecil
01 base practices yang belum dilaksanakan dan work
Target F F products belum ada pada proses EDM05.
Tabel V.13 menjelaskan bahwa terdapat tiga jenis analisis kesenjangan yang dapat
diberikan yaitu:
1. semua BP belum dilaksanakan dan WP belum ada: analisis ini
menginformasikan bahwa belum ada bukti dilaksanakannya semua aktivitas
dan adanya keluaran terkait dari proses yang menjadi obyek penilaian,
2. sebagian besar BP belum dilaksanakan dan WP belum ada: analisis ini
menginformasikan bahwa sudah ada sedikit bukti dilaksanakannya beberapa
aktivitas dan adanya keluaran terkait dari proses yang menjadi obyek penilaian,
60
3. hanya sebagian kecil BP yang belum dilaksanakan dan WP belum ada: analisis
ini menginformasikan bahwa sudah banyak bukti dilaksanakannya sejumlah
aktivitas dan adanya keluaran terkait dari proses yang menjadi obyek penilaian.
Analisis kesenjangan yang dihasilkan tersebut di atas dapat dijadikan dasar

pemberian rekomendasi atau rancangan terhadap proses TKKI yang cocok dan
sesuai dengan kebutuhan organisasi. Rekomendasi atau rancangan yang dibuat
tersebut memberikan daftar hanya aktivitas yang belum dilaksanakan dan keluaran
yang belum ada saja.
5.4 Rekomendasi
Rekomendasi tata kelola keamanan informasi dilakukan bertujuan untuk membantu

organisasi dalam mengelola dan mengamankan informasi yang dianggap sebagai
sumber daya yang penting mulai dari penciptaan sampai dengan pemusnahannya.
Hasil rekomendasi yang ada diharapkan dapat memberikan solusi tata kelola yang
terbaik untuk organisasi.
Saat ini, penerapan tata kelola keamanan informasi menjadi hal yang penting bagi
organisasi untuk mengamankan informasi yang dikelolanya. Pada akhirnya,
pengamanan tersebut dapat berpengaruh terhadap pencapaian tujuan organisasi
yang menjalankan bisnis utamanya berbasiskan informasi seperti organisasi. Tata
kelola keamanan informasi pada prinsipnya mendefinisikan kendali yang harus
dilakukan untuk mengatasi risiko yang mungkin terjadi. Hal ini juga seiring dengan
semakin maraknya ancaman yang terjadi di dunia TI.
5.5 Langkah Penerapan
Langkah penerapan tata kelola keamanan informasi yang direkomendasikan

merujuk kepada pendekatan manajemen perubahan yang dikembangkan oleh John
Kotter. Alasan pemilihannya karena pendekatan tersebut telah diterima secara luas.
Pendekatan ini diadopsi oleh COBIT 5 Implementation menjadi tujuh fase dalam
suatu siklus. Setiap fase tersebut terdiri atas tiga lapisan siklus yaitu manajemen
61
program, pemberdayaan perubahan dan siklus perbaikan yang berkelanjutan.
Penjelasan fase tersebut dijelaskan oleh Tabel V.14.
Tabel V.14 Langkah penerapan perubahan tata kelola.

Fase
Siklus: Perbaikan Berkelanjutan Pemberdayaan Perubahan Manajemen Program
Fase-1: Mendapatkan pemahaman tentang latar belakang Program, tujuan dan pendekatan tata kelola saat ini
1 1.1 Mengenali hal-hal yang 1.2 Membangun semangat untuk 1.3 Menginisiasi program
harus dilakukan berubah kerja
Fase-2: Memastikan bahwa tim implementasi mengetahui dan memahami tujuan organisasi serta bagaimana
fungsi TI dapat memberikan nilai demi mendukung tujuan organisasi
2 2.1 Menilai kondisi dan kinerja 2.2 Membentuk tim implementasi 2.3 Mendefinisikan masalah
aktual saat ini yang solid dan peluang
Fase-3: Menentukan kemampuan target dari setiap proses yang dipilih
3 3.1 Mendefinisikan kondisi 3.2 Mendeskripsikan dan 3.3 Mendefinisikan road
target dan melakukan analisis mengkomunikasikan outcome map
kesenjangan yang diharapkan
Fase-4: Mengubah peluang perbaikan menjadi proyek yangdapat dipertanggungjawabkan
4 4.1 Merancang dan 4.2 Memperkuat peran pihak yang 4.3 Mengembangkan
membangun perbaikan terlibat dan mengidentifikasi rencana program kerja
quick wins (perbaikan yang dapat
memberikan manfaat secara
cepat)
Fase-5: Mengimplementasikan proyek perbaikan secara rinci, memanfaatkan program kerja organisasi,
kemampuan manajemen proyek, standar dan best pratices yang ada.
5 5.1 Mengimplementasikan 5.2 Melakukan operasi dan 5.3 Mengeksekusi rencana
perubahan menggunakan perubahan yang
telah dibuat
Fase-6: Mengintegrasikan metrik kinerja proyek dan manfaat yang dirasakan dari program perbaikan tata kelola
ke dalam suatu sistem pengukuran kinerja yang dapat diawasi secara reguler
6 6.1 Mengoperasikan dan 6.2 Memasukkan pendekatan 6.3 Memeriksan manfaat

mengukur perubahan yang yang baru yang dihasilkan
telah dibuat
Fase-7: Menilai hasil dan pengalaman yang dapat diambil dari program yang telah berjalan
7 7.1 Mengawasi dan 7.2 Mempertahankan sistem yang 7.3 Mengkaji efektivitas
mengevaluasi ada program
Implementasi tata kelola keamanan informasi di organisasi sebaiknya merujuk pada

langkah penerapan seperti yang dijelaskan oleh Tabel V.14. Salah satu aktivitas
yang disebutkan oleh Tabel V.14 adalah mendefinisikan road map. Road map dapat
disusun berdasarkan prioritas risiko yang telah didefinisikan sebelumnya. Prioritas
risiko tersebut dapat dipetakan ke dalam prioritas proses tata kelola. Pada akhirnya,
hal ini juga dapat memetakan prioritas komponen tata kelola lainnya.
62
Semua prioritas yang dihasilkan dapat dijadikan sebagai acuan dalam menentukan
langkah penerapan tata kelola berdasarkan urutan yang dimulai dengan prioritas
tinggi, menengah dan diakhiri dengan prioritas rendah. Pertimbangan lain dalam
penentuan urutan yaitu pada setiap tahap proses area governance dilakukan terlebih
dahulu daripada management karena penerapan tata kelola sebaiknya dimulai dari
pimpinan organisasi. Oleh karena itu, road map yang dimaksud dapat dibagi
menjadi tiga tahapan utama.
63
BAGIAN VI
PENUTUP
Kesimpulan yang dapat diambil terhadap penyusunan ini yang telah dilakukan yaitu
sebagai berikut.
a. Hal-hal yang harus dibuat untuk mendukung penyusunan proses tata kelola
keamanan informasi yaitu menentukan lingkup proses, membuat model
referensi proses dan membuat model penilaian proses tata kelola keamanan
informasi suatu organisasi.
b. Tata kelola keamanan informasi pada sistem manajemen layanan yang tepat
untuk diterapkan pada organisasi adalah tata kelola terintegrasi yang
menggabungkan kerangka kerja COBIT 5 dan manajemen layanan ITIL v3.
64
DAFTAR PUSTAKA
[1] Ko, M. dan Dorantes, C. (2006), The Impact of Information Security Breaches
on Financial Performance of The Breached Firms: an Empirical Investigation,
Journal of Information Technology Management, vol. XVII, pp. 13-22.
[2] Su, X. (2006), An Overview of Economic Approaches to Information Security
Management, University of Twente, Information Systems Group, Enschede,
The Netherlands.
[3] Whitman, M. E. (2004), In defense of the realm: understanding the threats to
information security, International Journal of Information Management, vol.
24, no. 1, pp. 43-57.
[4] Kruger, H., Flowerday, S., Drevin, L. dan Steyn, T. (2011), An assessment of
the role of cultural factors in information security awareness, Information
Security South Africa (ISSA), pp. 1-7.
[5] Cashell, B., Jackson, W. D., Jickling, M. dan Webel, B. (2004), The Economic
Impact of Cyber-Attacks, CISCO.
[6] Dey, M. (2007), Information security management - a practical approach,
AFRICON 2007, pp. 1-6.
[7] Norman, A. dan Yasin, N. (2009), An analysis of Information Systems
Security Management (ISSM): The hierarchical organizations vs. emergent
organization, ICITST International Conference on Internet Technology and
Secured Transactions, pp. 1-8.
[8] Waly, N., Tassabehji, R. dan Kamala M. (2012), Improving Organisational
Information Security Management: The Impact of Training and Awareness,
IEEE 14th International Conference on High Performance Computing and
Communication, IEEE 9th International Conference on Embedded Software
and Systems (HPCC-ICESS), pp. 1270-1275.
[9] Peng, W., Yingwu, C., Sen, C. dan Guoqing, Y. (2011), ISRMDSS: An
information security risk management oriented multi-agent system, IEEE 3rd
International Conference on Communication Software and Networks
(ICCSN), pp. 356-359.
[10] Chang, H., Kwon, H., Lee, C. dan Kang, J. (2010), The Weighted Industrial
Security Management System for SMBs, 5th International Conference on
Future Information Technology (FutureTech), pp. 1-5.
[11] Kim, A. C., Lee, S. M. dan Lee, D. H. (2012), Compliance Risk Assessment
Measures of Financial Information Security using System Dynamics,
International Journal of Security and Its Applications, vol. 6, pp. 191-200.
[12] Zhang, Y. dan Chen, J. L. (2011), A Delegation Solution for Universal
Identity Management in SOA, IEEE Transactions on Services Computing,
vol. 4, no. 1, pp. 70-81.
[13] Nnoli, H., Lindskog, D., Zavarsky, P., Aghili, S. dan Ruhl, R. (2012), The
Governance of Corporate Forensics Using COBIT, NIST and Increased
Automated Forensic Approaches, Privacy, Security, Risk and Trust
65
(PASSAT), International Conference on Social Computing (SocialCom), pp.
734-741.
[14] Kim, N. Y., Robles, R. J., Cho, S. E., Lee, Y. S. dan Kim, T. H. (2008), SOX
Act and IT Security Governance, UMC International Symposium on
Ubiquitous Multimedia Computing, pp. 218-221.
[15] Nwafor, C., Zavarsky, P., Ruhl, R. dan Lindskog, D. (2012), A COBIT and
NIST-based conceptual framework for enterprise user account lifecycle
management, World Congress on Internet Security (WorldCIS), pp. 150-157.
[16] Beckers, K., Fassbender, S., Heisel, M. dan Schmidt, H. (2012), Using
Security Requirements Engineering Approaches to Support ISO 27001
Information Security Management Systems Development and
Documentation, Seventh International Conference on Availability, Reliability
and Security (ARES), pp. 242-248.
[17] Hahn, A. dan Govindarasu, M. (2011), Cyber Attack Exposure Evaluation
Framework for the Smart Grid, IEEE Transactions on Smart Grid, vol. 2, no.
4, pp. 835-843.
[18] Huang, Z., Zavarsky, P. dan Ruhl, R. (2009), An Efficient Framework for IT
Controls of Bill 198 (Canada Sarbanes-Oxley) Compliance by Aligning
COBIT 4.1, ITIL v3 and ISO/IEC 27002, International Conference on
Computational Science and Engineering, pp. 386-391.
[19] Ericsson, G. (2009), Information Security for Electric Power Utilities (EPUs)
CIGRE Developments on Frameworks, Risk Assessment, and Technology,
IEEE Transactions on Power Delivery, vol. 24, no. 3, pp. 1174-1181.
[20] Nordstrom, L. (2008), Assessment of Information Security Levels in Power
Communication Systems Using Evidential Reasoning, IEEE Transactions on
Power Delivery, vol. 23, no. 3, pp. 1384-1391.
[21] Zhang, J., Yuan, W. H., dan Qi, W. J. (2011), Research on security
management and control system of information system in IT governance,
International Conference on Computer Science and Service System (CSSS),
pp. 668-673.
[22] Jian, Z., Wei-hua, Y. dan Jun-li, X. (2011), Research on security management
system PRS-ISMCS of information system, International Conference on E-
Business and E-Government (ICEE), pp. 1-6.
[23] Hua, Y. W., Jian, Z. dan Jing, Q. W. (2011), Research on risk management
and control system for information security K-PRS-ISMCS based on
knowledge management, International Symposium on IT in Medicine and
Education (ITME), pp. 31-35.
[24] Wang, S. dan Song, M. (2010), Improved security mechanism of
Management Information System, IEEE International Conference on
Progress in Informatics and Computing (PIC), pp. 661-664.
[25] Nagao, M., Koide, K., Satoh, A., Keeni, G. M. dan Shiratori, N. (2010),
Sharing information for event analysis over the wide Internet, Journal of
Communications and Networks, vol. 12, no. 4, pp. 382-394.
66
[26] Guo, F. dan Song, H. (2010), On Designing the Security System for LAN-
Based Educational Management Information System, 2nd International
Conference on e-Business and Information System Security (EBISS), pp. 1-4.
[27] Rong, B., Chen, H. H., Qian, Y., Lu, K., Hu, R. dan Guizani, S. (2009), A
Pyramidal Security Model for Large-Scale Group-Oriented Computing in
Mobile Ad Hoc Networks: The Key Management Study, IEEE Transactions
on Vehicular Technology, vol. 58, no. 1, pp. 398-408.
[28] Matoba, O., Nomura, T., Perez-Cabre, E., Millan, M. dan Javidi, B. (2009),
Optical Techniques for Information Security, Proceedings of the IEEE, vol.
97, no. 6, pp. 1128-1148.
[29] Chen, Y. J., Liao, G. Y. dan Cheng, T. C. (2009), Risk assessment on
Instrumentation and Control Network Security Management System for
nuclear power plants, 43rd Annual International Carnahan Conference on
Security Technology, pp 261-264.
[30] Bloch, M., Barros, J., Rodrigues, M. R. D. dan McLaughlin, S. (2008),
Wireless Information-Theoretic Security, IEEE Transactions on Information
Theory, vol. 54, no. 6, pp. 2515-2534.
[31] Kyung, T., Kim, K., Kim, S. dan Song, Y. (2011), A Study on Information
Security Level Evaluation Using Fuzzy AHP, International Conference on
Information Science and Applications (ICISA), pp. 1-6.
[32] Enokido, T. dan Takizawa, M. (2011), Purpose-Based Information Flow
Control for Cyber Engineering, IEEE Transactions on Industrial Electronics,
vol. 58, no. 6, pp. 2216-2225.
[33] Seehusen, F. dan Stolen, K. (2009), Information flow security, abstraction and
composition, Information Security, IET, vol. 3, no. 1, pp. 9-33.
[34] Tuchs, K. D., Halmai, T. dan van Selm, M. (2011), Multi-security domain
management integration architecture for end-to-end service management in
military networks, Military Communications Conference, pp. 1375-1380.
[35] Demchenko, Y., De Laat, C., Lopez, D. dan Garcia-Espin, J. (2010), Security
Services Lifecycle Management in On-Demand Infrastructure Services
Provisioning, IEEE Second International Conference on Cloud Computing
Technology and Science (CloudCom), pp. 644-650.
[36] Richter, C. (2009), A general process-model to analyze and optimize the tool-
landscape of IT Service Providers, IFIP/IEEE International Symposium on
Integrated Network Management-Workshops, pp. 71-72.
[37] Nassar, P., Badr, Y., Barbar, K. dan Biennier, F. (2009), Risk management
and security in service-based architectures, ACTEA International Conference
on Advances in Computational Tools for Engineering Applications, pp. 214-
218.
[38] Bao, L., Huang, Y., Song, J. dan Yang, Y. (2009), On the Common
Information Service Platform Based Supply Chain Management, a Case
Study, IEEC International Symposium on Information Engineering and
Electronic Commerce, pp. 740-744.
[39] Wasserkrug, S., Gal, A. dan Etzion, O. (2008), Inference of Security Hazards
from Event Composition Based on Incomplete or Uncertain Information,
67
IEEE Transactions on Knowledge and Data Engineering, vol. 20, no. 8, pp.
1111-1114.
[40] von Solms, R., Thomson, K. L. dan Maninjwa, M. (2011), Information
Security Governance control through comprehensive policy architectures,
Information Security South Africa (ISSA), pp. 1-6.
[41] Hai, Y. dan Chong, Z. (2009), Security policies based on security
requirements of city Emergency Management Information System multi-
layer structure, IEEE International Symposium on IT in Medicine Education,
ITIME, pp. 351-354.
[42] Shaw, R., Chen, C. C., Harris, A. L. dan Huang, H. J. (2009), The impact of
information richness on information security awareness training
effectiveness, Computers & Education , vol. 52, no. 1, pp. 92-100.
[43] Zhu, J., Xu, B., Jiang, B. dan Chen, W. (2010), Identifying Harmful Web
Pages in Laboratory Information Security Management, 2nd International
Workshop on Intelligent Systems and Applications (ISA), pp. 1-4.
[44] Leszczyna, R., Fovino, I. dan Masera, M. (2011), Approach to security
assessment of critical infrastructures information systems, Information
Security, IET, vol. 5, no. 3, pp. 135-144.
[45] Yan, B., Chen, Y. dan Huang, G. (2009), Security of Tax Management
Information System, EBISS International Conference on E-Business and
Information System Security, pp. 1-4.
[46] Wei, W. (2009), The application research of airport security information
management system on the field of civil aviation security, 43rd Annual
International Carnahan Conference on Security Technology, pp. 277-280.
[47] Wang, C. H. dan Tsai, D. R. (2009), Integrated installing ISO 9000 and ISO
27000 management systems on an organization, 43rd Annual International
Carnahan Conference on Security Technology, pp. 265-267.
[48] Siponen, M. dan Willison, R. (2009), Information security management
standards: Problems and solutions, Information Management, vol. 46, no. 5,
pp. 267-270.
[49] Anwar, M., Zafar, M. dan Ahmed, Z. (2007), A Proposed Preventive
Information Security System, ICEE International Conference on Electrical
Engineering, pp. 1-6.
[50] __________ (2012), COBIT 5 for Information Security, ISBN 978-1-60420-
255-7, United States of America, ISACA.
[51] Sarnovsky, M. dan Furdik, K. (2011), IT service management supported by
semantic technologies, 6th IEEE International Symposium on Applied
Computational Intelligence and Informatics (SACI), pp. 205-208.
[52] Liu, M., Gao, Z., Luo, W. dan Wan, J., Case study on IT service management
process evaluation framework based on ITIL, International Conference on
Business Management and Electronic Information (BMEI), pp. 199-202.
[53] Lahtela, A., Jantti, M. dan Kaukola, J. (2010), Implementing an ITIL-Based
IT Service Management Measurement System, ICDS Fourth International
Conference on Digital Society, pp. 249-254.
68
[54] Liang, W. dan Baozhang, W. (2009), Research on Enterprise ITSM
Knowledge Management Model, MASS International Conference on
Management and Service Science, pp. 1-4.
[55] __________ (2007), COBIT 4.1, United States of America, ISACA.
[56] __________ (2003), Board briefing on IT governance, United States of
America, ISACA.
[57] __________ (2005), ISO/IEC 27001 - Information Technology - Security
Techniques - Information Security Management Systems - Requirement,
International Organization for Standardization (ISO) and International
Electrotechnical Commission (IEC).
[58] __________ (2012), COBIT 5 - A Business Framework for the Governance
and Management of Enterprise IT, ISBN 978-1-60420-237-3, United States
of America, ISACA.
[59] __________ (2012), COBIT 5 - Enabling Process, ISBN 978-1-60420-241-
0, United States of America, ISACA.
[60] __________ (2013), COBIT 5 - for Risk, ISBN: 978-1-60420-458-2, United
States of America, ISACA.
[61] __________ (2004), ISO/IEC 15504-1 - Information technology - Process
Assessment - Part 1: Concept and Vocabulary, International Organization for
Standardization (ISO) and International Electrotechnical Commission (IEC).
[62] __________ (2003), ISO/IEC 15504-2 - Software Engineering - Process
Assessment - Part 2: Performing an Assessment, International Organization
for Standardization (ISO) and International Electrotechnical Commission
(IEC).
[63] __________ (2012), ISO/IEC 15504-5 - Information Technology - Process
Assessment - Part 5: An Exemplar Software Life Cycle Process Assessment
Model, International Organization for Standardization (ISO) and International
[64] __________ (2013), Process Assessment Model (PAM): Using COBIT® 5,
ISBN 978-1-60420-264-9, United States of America, ISACA.
[65] __________ (2011), ISO/IEC 20000-1 Information technology — Service
management — Part 1: Service management system requirements,
International Organization for Standardization (ISO) and International
[66] Long, J., O. (2012), ITIL 2011 At a Glance, Springer Briefs in Computer
Science, New York, Springer.
[67] __________ (2012), COBIT 5 Implementation, ISBN 978-1-60420-240-3,
United States of America, ISACA.
[68] __________ (2013), ISO/IEC 27002 - Information technology -- Security
techniques -- Code of practice for information security controls, International
Organization for Standardization (ISO) and International Electrotechnical
Commission (IEC).
69
PROFIL SINGKAT PENULIS
Perdana Kusumah merupakan penulis yang

lahir di Jambi tahun 1982, menempuh
pendidikan mulai dari TK sampai dengan
SMU di kota Jambi. Selanjutnya menumpuh
pendidikan S1-Sajana Teknik Informartika
ITB Tahun 2000. Setelah lulus, penulis
bekerja di perbankan selama 1 tahun,
kemudian pindah ke salah satu lembaga
Perdana Kusumah, M.T. pemerintah yaitu Pusat Pelaporan dan
Analisis Transaksi Keuangan (PPATK). Pada
tahun 2012, penulis diberi kesempatan untuk
melanjutkan studinya di program studi
magister informatika ITB. Saat ini aktif
bergabung sebagai peneliti di Cyber Security
Center, Institut Teknologi Bandung.
Aries Syamsuddin merupakan seorang

penulis yang berasal dari Tuban, Jawa Timur.
Penulis telah menyelesaikan program
magister Informatika di Institut Teknologi
Bandung. Penulis saat ini bergabung sebagai
salah satu peneliti di Cyber Security Center,
Institut Teknologi Bandung dan member di
ID-Cert. Penulis memfokuskan penelitian
Aries Syamsuddin, M.T. pada keamanan informasi terutama untuk
perangkat mobile, SCADA dan smart grid.
Juga tertarik dengan malware, APT dan IT
Service. Merupakan co-founder dari NCSD
(National Cyber Security Defence,
defence.id). Penulis tercatat sebagai PNS di
Pemkab Blitar
70
LAMPIRAN A
MODEL REFERENSI PROSES
A-1
No. Proses EDM01
Nama Memastikan pengaturan dan pemeliharaan kerangka kerja tata kelola
Menganalisis dan mengartikulasikan persyaratan untuk tata kelola TI level enterprise, menempatkan dan memelihara efektivitas berjalannya struktur, prinsip, proses dan praktik
Deskripsi
dengan kejelasan tanggung jawab dan kewenangan untuk mencapai misi, tujuan dan sasaran organisasi.
Menyediakan pendekatan konsisten yang terintegrasi dan selaras dengan pendekatan tata kelola enterprise. Memastikan bahwa keputusan yang berhubungan dengan TI dibuat
Tujuan sejalan dengan strategi dan tujuan organisasi, memastikan bahwa proses yang berhubungan dengan TI diawasi secara efektif dan transparan, sesuai dengan persyaratan hukum dan
peraturan yang berlaku, dan persyaratan tata kelola untuk anggota dewan direksi terpenuhi.
Outcomes (Os)
Nomor Deskripsi
EDM01-O1 Tata kelola keamanan informasi dimasukkan ke dalam level enterprise.
EDM01-O2 Jaminan kerahasiaan informasi diperoleh melalui penerapan tata kelola keamanan informasi.
Nomor Deskripsi Mendukung
Evaluasi Sistem Tata Kelola.

EDM01-BP1 Mengidentifikasi dan melibatkan diri secara kontinu dengan para pemangku kepentingan organisasi, mendokumentasikan persyaratan yang dibutuhkan, dan EDM01-01
membuat penilaian pada desain tata kelola TI saat ini dan masa depan. [Outcome EDM01-O1]
Arahkan Sistem Tata Kelola.

Menginformasikan pimpinan dan mendapatkan dukungan dan komitmennya. Memandu struktur, proses dan praktik tata kelola TI sejalan dengan prinsip desain
EDM01-BP2 EDM01-02
tata kelola yang telah disepakati, model pengambilan keputusan dan tingkat otoritas. Menentukan informasi yang diperlukan untuk pengambilan keputusan.
[Outcome EDM01-O1]
Pantau Sistem Tata Kelola.

EDM01-BP3 Memantau efektivitas dan kinerja tata kelola TI. Menilai apakah sistem tata kelola dan mekanisme yang diterapkan (termasuk struktur, prinsip dan proses) EDM01-03
beroperasi secara efektif dan memberikan pengawasan TI yang tepat. [Outcome EDM01-O2]
Work Products (WPs)

Masukan
Di luar COBIT 5
EDM01-BP1
for Information Faktor lingkungan internal, eksternal (hukum, regulasi dan kontrak) dan tren [Outcome EDM01-O1]
EDM01-01
Security
EDM01-WP1 Prinsip panduan keamanan informasi [Outcome EDM01-O1] EDM01-BP2
APO02-WP6 Strategi keamanan informasi [Outcome EDM01-O1] EDM01-02
Di luar COBIT 5
EDM01-BP3
for Information Hukum dan regulasi yang terkait dengan keamanan informasi [Outcome EDM01-O2]
EDM01-03
Security
Keluaran
Nomor Deskripsi Masukan ke Mendukung
EDM01.02
APO01.01
APO01.03
EDM01-BP1
EDM01-WP1 Prinsip panduan keamanan informasi [Outcome EDM01-O1] APO01.04
EDM01-01
APO02.01
APO02.05
APO12.03
EDM01-BP2
EDM01-WP2 Budaya dan lingkungan yang baik untuk keamanan informasi [Outcome EDM01-O1]
EDM01-02
Internal
EDM01-BP3
EDM01-WP3 Penilaian kepatuhan tata kelola [Outcome EDM01-O2]
EDM01-03
No. Proses EDM02
Nama Memastikan pemberian manfaat
Deskripsi Mengoptimalkan kontribusi nilai untuk bisnis dari proses bisnis, layanan TI dan aset TI yang dihasilkan dari investasi yang dilakukan oleh TI dengan biaya yang pantas.
Mengamankan nilai optimal dari inisiatif, layanan dan aset TI; pemberian solusi dan dan layanan yang hemat biaya, perhitungan biaya dan manfaat yang dapat diandalkan dan akurat
Tujuan
sehingga kebutuhan bisnis dapat didukung secara efektif dan efisien.
Outcomes (Os)
Nomor Deskripsi
EDM02-O1 Manfaat, biaya dan risiko investasi keamanan informasi dapat dikelola, seimbang dan memberi kontribusi nilai yang optimal.
Evaluasi optimalisasi nilai.

Mengevaluasi portofolio investasi TI, layanan dan aset secara kontinu untuk menentukan kemungkinan pencapaian tujuan organisasi dan memberikan nilai dengan
EDM02-BP1 EDM02-01
biaya yang wajar. Mengidentifikasi dan membuat penilaian pada setiap perubahan yang perlu diberikan kepada pihak manajemen untuk mengoptimalkan
penciptaan nilai. [Outcome EDM02-O1]
Arahkan optimalisasi nilai.

EDM02-BP2 EDM02-02
Mengarahkan prinsip dan praktek manajemen nilai mengoptimalkan realisasi nilai dari investasi TI sepanjang siklusnya. [Outcome EDM02-O1]
Pantau optimalisasi nilai.

EDM02-BP3 Memantau tujuan utama dan metrik untuk menentukan sejauh mana bisnis dapat menghasilkan nilai yang diharapkan dan manfaat bagi organisasi dari investasi EDM02-03
dan layanan TI. Mengidentifikasi isu signifikan dan mempertimbangkan tindakan korektif. [Outcome EDM02-O1]
Work Products (WPs)

Masukan
Di luar COBIT 5
EDM02-BP1
for Information Evaluasi keselarasan strategi [Outcome EDM02-O1]
EDM02-01
Security
Di luar COBIT 5
EDM02-BP2
for Information Tipe dan kriteria investasi [Outcome EDM02-O1]
EDM02-02
Security
Keluaran
EDM02-BP1
EDM02-WP1 Portofolio yang terbaru. [Outcome EDM02-O1]
EDM02-01
EDM02-BP2
EDM02-WP2 Tipe dan kriteria investasi yang terbaru. [Outcome EDM02-O1] Internal
EDM02-02
EDM02-BP3
EDM02-WP3 Umpan balik dari pemberian nilai suatu inisiatif keamanan informasi. [Outcome EDM02-O1]
EDM02-03
No. Proses EDM03
Nama Memastikan optimalisasi risiko
Memastikan bahwa selera risiko organisasi dan toleransi dipahami, diartikulasikan dan dikomunikasikan, dan risiko terhadap nilai organisasi yang terkait dengan penggunaan TI
Deskripsi
diidentifikasi dan dikelola.
Memastikan bahwa risiko organisasi terkait TI tidak melebihi selera risiko dan toleransi risiko, dampak risiko TI untuk nilai organisasi diidentifikasi dan dikelola, dan potensi kegagalan
Tujuan
terhadap kepatuhan dapat diminimalkan.
Outcomes (Os)
Nomor Deskripsi
EDM03-O1 Manajemen risiko informasi sebagai bagian dari keseluruhan manajemen risiko enterprise.
Evaluasi manajemen risiko.

EDM03-BP1 Memeriksa dan membuat penilaian secara kontinu tentang pengaruh risiko pada penggunaan TI saat ini dan masa depan di enterprise. Mempertimbangkan apakah EDM03-01
selera risiko organisasi tepat dan risiko terhadap nilai organisasi terkait dengan penggunaan TI dapat diidentifikasi dan dikelola. [Outcome EDM03-O1]
Arahkan manajemen risiko.

EDM03-BP2 Mengarahkan pembentukan praktik manajemen risiko untuk memberikan keyakinan yang memadai bahwa praktik manajemen risiko TI telah tepat dalam rangka EDM03-02
menjamin bahwa risiko TI yang sebenarnya tidak melebihi selera risiko yang telah didefinisikan. [Outcome EDM03-O1]
Pantau manajemen risiko.

EDM03-BP3 Memantau tujuan utama dan metrik proses manajemen risiko dan menetapkan bagaimana penyimpangan atau masalah akan diidentifikasi, dilacak dan dilaporkan EDM03-03
untuk perbaikan. [Outcome EDM03-O1]
Work Products (WPs)

Masukan
Di luar COBIT 5
• Indikator risiko utama enterprise [Outcome EDM03-O1] EDM03-BP1
for Information
• Panduan selera risiko enterprise [Outcome EDM03-O1] EDM03-01
Security
EDM03-BP2
EDM03-WP1 Keselarasan antara indikator risiko utama enterprise dan keamanan informasi [Outcome EDM03-O1]
EDM03-02
EDM03-BP2
EDM03-02
EDM03-WP2 Level risiko keamanan informasi yang dapat diterima [Outcome EDM03-O1]
EDM03-BP3
EDM03-03
EDM03-BP3
APO01-WP4 Kebijakan yang terkait keamanan informasi [Outcome EDM03-O1]
EDM03-03
Keluaran
EDM03-WP1 Keselarasan antara indikator risiko utama enterprise dan keamanan informasi [Outcome EDM03-O1] EDM03.02
EDM03-BP1
EDM03.02 EDM03-01
EDM03-WP2 Level risiko keamanan informasi yang dapat diterima [Outcome EDM03-O1]
EDM03.03
EDM03-BP2
EDM03-WP3 Kebijakan manajemen risiko yang terbaru [Outcome EDM03-O1]
EDM03-02
Internal
EDM03-BP3
EDM03-WP4 Aksi perbaikan untuk mengatasi penyimpangan atau masalah manajemen risiko [Outcome EDM03-O1]
EDM03-03
No. Proses EDM04
Nama Memastikan optimalisasi sumber daya
Deskripsi Memastikan bahwa kecukupan kemampuan TI (orang, proses dan teknologi) tersedia untuk mendukung tujuan enterprise secara efektif dengan biaya yang optimal.
Memastikan bahwa kebutuhan sumber daya dari enterprise terpenuhi dengan cara yang optimal, biaya TI yang optimal, dan terdapat kemungkinan peningkatan realisasi manfaat dan
Tujuan
kesiapan untuk perubahan di masa depan.
Outcomes (Os)
Nomor Deskripsi
EDM04-O1 Sumber daya keamanan informasi teroptimalkan
EDM04-O2 Sumber daya keamanan informasi selaras dengan persyaratan bisnis
Evaluasi manajemen sumber daya.

EDM04-BP1 Memeriksa dan membuat penilaian secara kontinu pada kebutuhan sumber daya TI saat ini dan masa depan, pilihan untuk pengadaan sumber daya (termasuk EDM04-01
strategi sumber daya), dan prinsip alokasi dan manajemen untuk memenuhi kebutuhan enterprise dengan cara yang optimal. [Outcome EDM04-O1]
Arahkan manajemen sumber daya.

EDM04-BP2 EDM04-02
Memastikan adopsi prinsip manajemen sumber daya untuk mengoptimalkan penggunaan sumber daya TI sepanjang siklusnya. [Outcome EDM04-O1]
Pantau manajemen sumber daya.

EDM04-BP3 Memantau tujuan utama dan metrik proses manajemen sumber daya dan menetapkan bagaimana penyimpangan atau masalah akan diidentifikasi, dilacak dan EDM04-03
dilaporkan untuk perbaikan. [Outcome EDM04-O2]
Work Products (WPs)

Masukan
Di luar COBIT 5
EDM04-BP1
for Information Perencanaan sumber daya yang disetujui [Outcome EDM04-O1]
EDM04-01
Security
Di luar COBIT 5
EDM04-BP2
for Information Tanggung jawab yang telah diberikan pada manajemen sumber daya [Outcome EDM04-O2]
EDM04-02
Security
Keluaran
EDM04-BP1
EDM04-01
EDM04-WP1 Sumber daya keamanan informasi yang terbaru [Outcome EDM04-O1]
EDM04-BP2
Internal
EDM04-02
EDM04-BP3
EDM04-WP2 Aksi perbaikan untuk mengatasi penyimpangan atau masalah manajemen sumber daya [Outcome EDM04-O2]
EDM04-03
No. Proses EDM05
Nama Memastikan tranparansi pemangku kepentingan
Memastikan bahwa kinerja TI, pengukuran kesesuaian dan pelaporan dilakukan secara transparan. Hal ini sesuai dengan tujuan, metrik dan aksi perbaikan yang disetujui oleh para
Deskripsi
pemangku kepentingan.
Memastikan bahwa komunikasi dengan para stakeholders dilakukan secara efektif, tepat waktu dan dijadikan dasar pelaporan untuk meningkatkan kinerja, mengidentifikasi area
Tujuan
perbaikan, dan memastikan bahwa tujuan dan strategi TI sejalan dengan strategi perusahaan.
Outcomes (Os)
Nomor Deskripsi
EDM05-O1 Tersusunnya laporan keamanan informasi yang lengkap, tepat waktu dan akurat
EDM05-O2 Terinformasikannya para pemangku kepentingan mengenai status keamanan informasi dan risiko informasi yang terdapat dalam enterprise
Evaluasi persyaratan pelaporan untuk para pemangku kepentingan.

Memeriksa dan membuat penilaian secara kontinu mengenai persyaratan saat ini dan masa depan untuk komunikasi dan pelaporan pemangku kepentingan,
EDM05-BP1 EDM05-01
termasuk persyaratan pelaporan wajib (misalnya, peraturan) dan komunikasi kepada para pemangku kepentingan lainnya. Menetapkan prinsip-prinsip untuk
komunikasi. [Outcome EDM05-O1, EDM05-O2]
Arahkan komunikasi dan pelaporan pemangku kepentingan.

EDM05-BP2 Memastikan terjalinnya komunikasi dan pelaporan kepada pemangku kepentingan yang efektif, termasuk mekanisme untuk memastikan kualitas dan kelengkapan EDM05-02
informasi, pengawasan pelaporan wajib dan menciptakan strategi komunikasi bagi para pemangku kepentingan. [Outcome EDM05-O1, EDM05-O2]
Pantau komunikasi pemangku kepentingan.

EDM05-BP3 Memantau efektivitas komunikasi pemangku kepentingan. Menilai mekanisme untuk memastikan akurasi, keandalan, efektivitas dan memastikan apakah EDM05-03
persyaratan para pemangku kepentingan telah terpenuhi. [Outcome EDM05-O2]
Work Products (WPs)

Masukan
Di luar COBIT 5
EDM05-BP1
for Information Evaluasi persyaratan pelaporan enterprise [Outcome EDM05-O1, EDM05-O2]
EDM05-01
Security
Keluaran
EDM05-BP1
EDM05-WP1 Persyaratan pelaporan dan saluran komunikasi keamanan informasi [Outcome EDM05-O1, EDM05-O2]
EDM05-01
EDM05-BP2
EDM05-WP2 Laporan status keamanan informasi [Outcome EDM05-O1, EDM05-O2] Internal
EDM05-02
EDM05-BP3
EDM05-WP3 Pengawasan dan pelapoan keamanan informasi [Outcome EDM05-O2]
EDM05-03
No. Proses APO01
Nama Mengelola kerangka kerja manajemen TI
Memperjelas dan mempertahankan tata kelola TI. Menerapkan dan memelihara mekanisme dan otoritas untuk mengelola informasi dan penggunaan TI di enterprise dalam rangka
Deskripsi
mendukung tujuan tata kelola yang sejalan dengan prinsip dan kebijakan panduan.
Menyediakan pendekatan manajemen yang konsisten untuk memenuhi persyaratan tata kelola enterprise, meliputi proses manajemen, struktur organisasi, peran dan tanggung
Tujuan
jawab, kegiatan handal dan berulang, serta keterampilan dan kompetensi.
Outcomes (Os)
Nomor Deskripsi
APO01-O1 Keselarasan keamanan informasi dengan kerangka kerja bisnis dan TI yang beroperasi dalam enterprise diimplementasikan dan dikomunikasikan secara efektif.

Mendefinisikan struktur organisasi.

APO01-BP1 Membentuk struktur organisasi internal dan diperluas yang mencerminkan kebutuhan bisnis dan prioritas TI. Menempatkan struktur manajemen yang diperlukan APO01-01
(misalnya, komite) yang mendukung manajemen pengambilan keputusan manajemen dengan cara yang paling efektif dan efisien. [Outcome APO01-O1]
Menyusun peran dan tanggung jawab.

APO01-BP2 Menetapkan, menyetujui dan mengkomunikasikan peran dan tanggung jawab personil TI, serta tanggung jawab pemangku kepentingan lainnya terhadap IT, yang APO01-02
jelas mencerminkan keseluruhan kebutuhan bisnis dan tujuan TI serta wewenang personil yang relevan, tanggung jawab dan akuntabilitas. [Outcome APO01-O1]
Mempertahankan pendukung sistem manajemen.

Menjaga pendukung sistem manajemen dan lingkungan pengendalian TI, memastikan bahwa sistem tersbut terintegrasi dan selaras dengan tata kelola dan
APO01-BP3 APO01-03
manajemen enterprise. Pendukung tersebut termasuk komunikasi yang jelas mengenai harapan/persyaratan. Sistem manajemen harus mendorong kerja sama
lintas-divisi dan tim, meningkatkan kepatuhan, perbaikan berkelanjutan dan menangani penyimpangan proses (termasuk kegagalan). [Outcome APO01-O1]
Mengkomunikasikan tujuan ada arah manajemen.

APO01-BP4 Mengkomunikasikan kesadaran dan pemahaman tentang tujuan dan arah TI kepada para pemangku kepentingan dan pengguna yang terdapat dalam enterprise. APO01-04
[Outcome APO01-O1]
Mengoptimalkan penempatan fungsi TI.

APO01-BP5 Memposisikan kemampuan TI dalam struktur organisasi untuk menjelaskan pentingnya TI dalam enterprise, terutama pada tingkat kepentingannya dalam strategi APO01-05
enterprise dan ketergantungan operasional pada TI. Garis pelaporan CIO harus sepadan dengan pentingnya TI dalam enterprise. [Outcome APO01-O1]
Mendefinisikan informasi/data dan kepemilikan sistem.

APO01-BP6 Mendefinisikan dan memelihara tanggung jawab terhadap kepemilikan informasi (data) dan sistem informasi. Memastikan bahwa pemilik informasi membuat APO01-06
keputusan tentang klasifikasi informasi dan melindunginya sesuai dengan klasifikasi tersebut. [Outcome APO01-O1]
Mengelola perbaikan proses yang berkelanjutan.

Menilai, merencanakan dan melaksanakan perbaikan proses dan kematangannya secara berkelanjutan untuk memastikan bahwa mampu mencapai tujuan
APO01-BP7 perusahaan, tata kelola, manajemen dan kontrol. Mempertimbangkan panduan implementasi proses COBIT, standar yang ada, persyaratan kepatuhan, peluang APO01-07
otomatisasi, dan umpan balik dari pengguna proses, tim proses dan pemangku kepentingan lainnya. Memperbarui proses dan mempertimbangkan dampak
terhadap pendukung proses. [Outcome APO01-O1]
Mempertahankan kepatuhan terhadap kebijakan dan prosedur.

Memasukkan prosedur untuk menjaga kepatuhan dan pengukuran kinerja kebijakan dan enabler yang lainnya, menegakkan konsekuensi dari ketidakpatuhan atau
APO01-BP8 APO01-08
kinerja yang tidak memadai. Melacak tren dan kinerja serta mempertimbangkannya untuk desain masa depan dan perbaikan kerangka kerja pengendalian.
[Outcome APO01-O1]
Work Products (WPs)

Masukan
APO01-BP1
APO01-01
APO01-BP3
EDM01-WP1 Prinsip panduan keamanan informasi [Outcome APO01-O1]
APO01-03
APO01-BP4
APO01-04
Di luar COBIT 5
• Strategi TI [Outcome APO01-O1] APO01-BP1
for Information
• Standar dan panduan keamanan informasi [Outcome APO01-O1] APO01-01
Security
APO13-WP1 Pernyataan lingkup Sistem Manajemen Keamanan Informasi (SMKI) [Outcome APO01-O1]
Di luar COBIT 5
• Regulasi yang berlaku [Outcome APO01-O1]
for Information APO01-BP2
• Standar dan penduan keamanan informasi [Outcome APO01-O1]
Security APO01-02
Model enabler
"Prinsip dan SDM dan kebijakan hukum [Outcome APO01-O1]
Kebijakan"
Di luar COBIT 5
• Peraturan dan regulasi yang terkait keamanan informasi [Outcome APO01-O1] APO01-BP3
for Information
• Standar dan panduan keamanan informasi [Outcome APO01-O1] APO01-03
Security
APO02-WP8 Komunikasi tentang tujuan keamanan informasi [Outcome APO01-O1]
DSS05-WP1 Kebijakan pencegahan perangkat lunak yang berbahaya [Outcome APO01-O1] APO01-BP4
DSS05-WP3 Kebijakan keamanan koneksi [Outcome APO01-O1] APO01-04
DSS05-WP5 Kebijakan keamanan mengenai perangkat endpoint [Outcome APO01-O1]
APO01-BP6
APO01-WP6 Definisi dan penempatan fungsi keamanan informasi pada enterprise [Outcome APO01-O1]
APO01-06
APO01-BP7
MEA01-WP5 Laporan dan aksi perbaikan keamanan informasi yang terbaru [Outcome APO01-O1]
APO01-07
APO02-WP6 Strategi keamanan informasi [Outcome APO01-O1]
APO02-WP9 Rencana keamanan informasi [Outcome APO01-O1] APO01-BP8
Di luar COBIT 5 • Tujuan organisasi [Outcome APO01-O1] APO01-08
for Information • Peraturan dan regulasi yang terkait keamanan informasi [Outcome APO01-O1]
Security • Standar dan panduan keamanan informasi [Outcome APO01-O1]
Keluaran
APO01-BP1
APO01-WP1 Mandat dan struktur Komite Pengarah Keamanan Informasi [Outcome APO01-O1] Internal
APO01-01
APO01-WP2 Definisi peran dan tanggung jawab yang terkait TI [Outcome APO01-O1] DSS05.04 APO01-BP2
APO01-WP3 Definisi pekerjaan Chief Information Security Officer (CISO) dan Manajer Keamanan Informasi [Outcome APO01-O1] Internal APO01-02
EDM03.03
APO07.01
APO07.06
APO12.01
BAI01.01
BAI01.11
BAI02.01 APO01-BP3
APO01-WP4 Kebijakan terkait keamanan informasi [Outcome APO01-O1]
BAI03.08 APO01-03
BAI05.01
BAI06.01
DSS01.02
DSS02.01
MEA01.01
MEA02.01
APO02.06 APO01-BP4
APO01-WP5 Pelatihan dan program keamanan informasi [Outcome APO01-O1]
BAI08.01 APO01-04
APO01-BP5
APO01-WP6 Definisi fungsi dan penempatan fungsi keamanan informasi pada enterprise [Outcome APO01-O1] APO01.06
APO01-05
APO01-WP7 Peran dan tanggung jawab keamanan informasi [Outcome APO01-O1] APO11.01 APO01-BP6
APO01-WP8 Panduan klasifikasi data [Outcome APO01-O1] DSS05.02 APO01-06
APO01-WP9 Dokumentasi proses, teknologi, aplikasi dan standar yang digunakan [Outcome APO01-O1] APO01-BP7
Internal
APO01-WP10 Pelatihan untuk staf keamanan informasi [Outcome APO01-O1] APO01-07
APO02.02 APO01-BP8
APO01-WP11 Penilaian kepatuhan terhadap keamanan informasi [Outcome APO01-O1]
APO12.01 APO01-08
No. Proses APO02
Nama Mengelola Strategi
Memberikan pandangan menyeluruh dari bisnis dan lingkungan TI saat ini, arah masa depan dan inisiatif yang diperlukan untuk bermigrasi ke lingkungan masa depan yang
Deskripsi diinginkan. Memberdayagunakan arsitektur enterprise dan komponennya, termasuk layanan eksternal yang diberikan dan kemampuan terkait untuk mendukung respons yang
handal, gesit dan efisien untuk tujuan strategis.
Menyelaraskan rencana strategis TI dengan tujuan bisnis. Mengkomunikasikan secara jelas mengenai tujuan dan akuntabilitas TI sehingga dapat dipahami oleh semua pihak, dengan
Tujuan
pilihan strategis TI yang teridentifikasi, terstruktur dan terintegrasi dengan rencana bisnis.
Outcomes (Os)
Nomor Deskripsi
APO02-O1 Terdefinisinya dan terpeliharanya kerangka kebijakan keamanan informasi
APO02-O2 Strategi keamanan informasi yang komprehensif ditempatkan dan diselaraskan dengan strategi bisnis dan TI secara keseluruhan
APO02-O3 Strategi keamanan informasi menjadi hemat biaya, tepat, realistis, dapat dicapai, berfokus pada enterprise dan seimbang
APO02-O4 Strategi keamanan informasi selaras dengan tujuan strategis enterprise jangka panjang
Memahami arah enterprise.

APO02-BP1 Mempertimbangkan lingkungan dan proses bisnis enterprise saat ini, serta strategi enterprise dan tujuan masa depan. Mempertimbangkan juga lingkungan APO02-01
eksternal enterprise (industri, peraturan yang relevan, kompetisi). [Outcome APO02-O1]
Menilai lingkungan, kemampuan dan kinerja saat ini.

Menilai kinerja bisnis internal, kemampuan TI dan layanan TI eksternal saat ini, serta mengembangkan pemahaman tentang arsitektur enterprise dalam kaitannya
APO02-BP2 APO02-02
dengan IT. Mengidentifikasi isu yang sedang dialami saat ini dan mengembangkan rekomendasi dalam area yang dapat memberikan manfaat dari perbaikan.
Mempertimbangkan penyedia layanan, pilihan, dampak keuangan, potensi biaya dan manfaat penggunaan layanan eksternal. [Outcome APO02-O2]
Mendefinisikan target kemampuan TI.

Menentukan target bisnis, kemampuan TI dan layanan TI yang dibutuhkan. Hal ini harus didasarkan pada pemahaman tentang lingkungan enterprise dan
APO02-BP3 APO02-03
persyaratannya, penilaian proses bisnis, lingkungan TI dan isu saat ini, pertimbangan standar referensi, best pratices dan teknologi yang muncul atau proposal
inovasi yang telah divalidasi. [Outcome APO02-O2, APO02-O3]
Melakukan analisis kesenjangan.

Mengidentifikasi kesenjangan antara lingkungan saat ini dan target, dan mempertimbangkan keselarasan aset (kemampuan yang mendukung layanan) dengan
APO02-BP4 APO02-04
outcome bisnis untuk mengoptimalkan investasi dan pemanfaatan basis aset internal dan eksternal. Mempertimbangkan faktor penentu keberhasilan untuk
mendukung pelaksanaan strategi. [Outcome APO02-O2, APO02-O3, APO02-O4]
Mendefinisikan rencana strategis dan road map.

Membuat rencana strategis yang mendefinisikan, dalam kerjasama dengan pihak terkait, bagaimana tujuan TI dapat memberikan kontribusi untuk tujuan strategis
APO02-BP5 enterprise. Termasuk bagaimana TI dapat mendukung program investasi TI, proses bisnis, layanan TI dan aset TI. Mengarahkan TI untuk menentukan inisiatif yang APO02-05
dibutuhkan untuk memperkecil kesenjangan, strategi pemberdayaan dan pengukuran yang akan digunakan untuk memantau pencapaian tujuan, kemudian
memprioritaskan inisiatif dan menggabungkannya dalam high-level road map. [Outcome APO02-O4]
Mengkomunikasikan strategi dan arah TI.

APO02-BP6 Membuat kesadaran dan pemahaman tentang tujuan dan arah bisnis/TI, seperti yang tertuang dalam strategi TI, melalui komunikasi kepada pemangku kepentingan APO02-06
dan pengguna yang ada di enterprise. [Outcome APO02-O3]
Work Products (WPs)

Masukan
APO02-BP1
APO02-01
EDM01-WP1 Prinsip panduan keamanan informasi [Outcome APO02-O1, APO02-O4]
APO02-BP5
APO02-05
APO01-WP11 Penilaian kepatuhan keamanan informasi [Outcome APO02-O2] APO02-BP2
APO02-WP1 Sumber daya high-level dan prioritas perubahan [Outcome APO02-O2] APO02-02
APO02-WP2 Kemampuan keamanan informasi [Outcome APO02-O2, APO02-O3]
BAI02-WP1 Persyaratan keamanan informasi [Outcome APO02-O2, APO02-O3] APO02-BP3
Di luar COBIT 5 APO02-03
for Information Standar dan regulasi keamanan informasi [Outcome APO02-O2, APO02-O3]
Security
APO02-BP4
APO02-WP3 Persyaratan keamanan informasi dalam target kemampuan TI [Outcome APO02-O2, APO02-O3, APO02-O4]
APO02-04
APO02-BP5
APO13-WP3 Business cases keamanan informasi [Outcome APO02-O4]
APO02-05
APO02-BP6
APO01-WP5 Pelatihan dan program kesadaran terhadap keamanan informasi [Outcome APO02-O3]
APO02-06
Keluaran
APO02-BP1
APO02-WP1 Sumber daya high-level dan prioritas perubahan [Outcome APO02-O1] APO02.02
APO02-01
APO02.03
APO04.04
APO08.05
APO09.05 APO02-BP2
APO02-WP2 Kemampuan keamanan informasi [Outcome APO02-O2]
APO11.01 APO02-02
BAI01.01
BAI02.01
BAI04.01
APO02-BP3
APO02-WP3 Persyaratan keamanan informasi dalam target kemampuan TI [Outcome APO02-O2, APO02-O3] APO02.04
APO02-03
APO02-WP4 Perbandingan kemampuan keamanan informasi [Outcome APO02-O2, APO02-O3, APO02-O4] APO03.01
APO02-BP4
Kesenjangan yang diperkecil dan perubahan yang diperlukan untuk merealisasikan kemampuan target [Outcome APO02-O2, APO02-O3, APO02- APO02-04
APO02-WP5 APO13.02
O4]
EDM01.02
APO02-WP6 Strategi keamanan informasi [Outcome APO02-O4] APO01.08 APO02-BP5
APO03.01 APO02-05
APO02-WP7 Road map strategis keamanan informasi [Outcome APO02-O4] BAI05.04
APO02-WP8 Komunikasi untuk pencapaian tujuan keamanan informasi [Outcome APO02-O3] APO01.04
APO02-BP6
APO01.08
APO04.04
APO04.05
APO07.01
APO07.05
APO07.06
APO09.05 APO02-BP6
APO02-WP9 Rencana keamanan informasi [Outcome APO02-O3] APO11.01 APO02-06
BAI01.01
BAI01.04
BAI01.08
BAI01.11
BAI02.01
BAI05.03
BAI05.04
No. Proses APO03
Nama Mengelola arsitektur enterprise
Membangun arsitektur umum yang terdiri atas lapisan arsitektur proses bisnis, informasi, data, aplikasi dan teknologi untuk mewujudkan perusahaan dan strategi TI yang efektif dan
efisien dengan menciptakan model kunci dan praktik yang menggambarkan batas dan target arsitektur. Menetapkan persyaratan bagi taksonomi, standar, pedoman, prosedur,
Deskripsi
template, alat dan menyediakan keterhubungan antar komponennya. Meningkatkan keterpaduan, meningkatkan kelincahan, meningkatkan kualitas informasi dan menghasilkan
potensi penghematan biaya melalui inisiatif seperti penggunaan kembali komponen yang ada.
Memrepresentasikan komponen yang berbeda untuk membentuk enterprise dan hubungan timbal baliknya serta prinsip desain dan evolusi dari waktu ke waktu, membuat standar,
Tujuan
pemberian tujuan operasional dan strategis yang responsif dan efisien.
Outcomes (Os)
Nomor Deskripsi
APO03-O1 Persyaratan keamanan informasi tertanam di dalam arsitektur enterprise dan ditranslasikan ke dalam arsitektur keamanan informasi yang formal
APO03-O2 Arsitektur keamanan informasi dipahami sebagai bagian dari keseluruhan arsitektur enterprise
APO03-O3 Arsitektur keamanan informasi diselaraskan dan dikembangkan terhadap perubahan dalam arsitektur enterprise
APO03-O4 Kerangka arsitektur dan metodologi keamanan informasi dapat digunakan secara berulang oleh komponen keamanan informasi yang ada di enterprise
Mendukung visi arsitektur enterprise.

Visi arsitektur menyediakan deskripsi singkat, tingkat tinggi dari arsitektur baseline dan sasaran, meliputi domain bisnis, informasi, data, aplikasi dan teknologi. Visi
APO03-BP1 arsitektur menyediakan sponsor dengan alat kunci untuk mempromosikan manfaat dari kemampuan yang diusulkan kepada pemangku kepentingan dalam APO03-01
enterprise. Visi arsitektur menjelaskan bagaimana kemampuan baru dapat memenuhi tujuan enterprise dan tujuan strategis dan mengatasi masalah pemangku
kepentingan ketika diimplementasikan. [Outcome APO03-O1]
Mendefinisikan arsitektur referensi.

APO03-BP2 Arsitektur referensi menggambarkan arsitektur saat ini dan target untuk domain bisnis, informasi, data, aplikasi dan teknologi domain. [Outcome APO03-O1, APO03- APO03-02
O2]
Memilih peluang dan solusi.

Merasionalisasikan kesenjangan antara arsitektur baseline dan target, mengambil perspektif bisnis dan teknis, dan secara logis mengelompokkannya ke dalam paket
APO03-BP3 pekerjaan proyek. Mengintegrasikan proyek dengan program investasi TI untuk memastikan bahwa inisiatif arsitektur selaras dengan inisiatif sebagai bagian dari APO03-03
perubahan enterprise secara keseluruhan. Menjadikan upaya kolaborasi dengan pemangku kepentingan kunci enterprise dari bisnis dan TI untuk menilai kesiapan
transformasi enterprise, mengidentifikasi peluang, solusi dan semua kendala implementasi. [Outcome APO03-O2, APO03-O3]
Mendefinisikan implementasi asitektur.

Membuat implementasi yang layak dan rencana migrasi yang sejalan dengan program dan portofolio proyek. Memastikan bahwa rencana tersebut terkoordinasi
APO03-BP4 APO03-04
secara kuat untuk memastikan nilai yang disampaikan dan sumber daya yang diperlukan tersedia untuk menyelesaikan pekerjaan yang diperlukan. [Outcome
APO03-O4]
Menyediakan layanan arsitektur enterprise.

APO03-BP5 Menyediakan layanan arsitektur enterprise meliputi panduan dan pemantauan pelaksanaan proyek, meresmikan cara kerja melalui kontrak arsitektur, mengukur APO03-05
dan mengkomunikasikan nilai-tambah dan pemantauan kepatuhan arsitektur. [Outcome APO03-O1, APO03-O3]
Work Products (WPs)

Masukan
APO02-WP4 Perbandingan kemampuan keamanan informasi [Outcome APO03-O1] APO03-BP1
APO02-WP6 Strategi keamanan informasi [Outcome APO03-O1] APO03-01
Di luar COBIT 5
APO03-BP2
for Information Arsitektur enterprise [Outcome APO03-O1, APO03-O2]
APO03-02
Security
APO03-BP3
APO03-WP3 Definisi arsitektur target untuk keamanan informasi [Outcome APO03-O2, APO03-O3]
APO03-03
APO03-BP4
APO03-WP6 Implementasi arsitektur keamanan informasi dan strategi migrasi [Outcome APO03-O4]
APO03-04
Keluaran
APO03-WP1 Visi arsitektur keamanan informasi [Outcome APO03-O1] APO03-BP1
Internal
APO03-WP2 Rencana, tujuan dan metrik nilai keamanan informasi [Outcome APO03-O1] APO03-01
APO03-WP3 Definisi arsitektur keamanan informasi target [Outcome APO03-O1, APO03-O2] APO03.03
APO03-WP4 Deskripsi domain baseline domain dan definisi arsitektur [Outcome APO03-O1, APO03-O2] APO13.02 APO03-BP2
DSS05.03 APO03-02
APO03-WP5 Model arsitektur informasi [Outcome APO03-O1, APO03-O2] DSS05.04
DSS05.06
APO03-BP3
APO03-WP6 Implementasi arsitektur keamanan informasi dan strategi implementasi [Outcome APO03-O2, APO03-O3] APO03.04
APO03-03
APO03-BP4
APO03-WP7 Arsitektur keamanan informasi yang lengkap dan rencana implementasi layanan [Outcome APO03-O4] Internal
APO03-04
APO03-BP5
APO03-WP8 Panduan implementasi layanan arsitektur keamanan informasi [Outcome APO03-O1, APO03-O3] DSS01.01
APO03-05
No. Proses APO04
Nama Mengelola inovasi
Menjaga kesadaran teknologi informasi dan tren layanan terkait, mengidentifikasi peluang inovasi dan merencanakan bagaimana mendapatkan manfaat dari inovasi dalam kaitannya
Deskripsi dengan kebutuhan bisnis. Menganalisis peluang apa yang dapat dibuat untuk inovasi bisnis atau perbaikan dengan teknologi yang sedang berkembang, jasa atau inovasi bisnis TI,
serta melalui teknologi yang ada melalui inovasi proses TI. Mempengaruhi perencanaan strategis dan keputusan arsitektur enterprise.
Tujuan Mencapai keunggulan kompetitif, inovasi bisnis, meningkatkan efektivitas dan efisiensi operasional dengan memanfaatkan perkembangan teknologi informasi.
Outcomes (Os)
Nomor Deskripsi
APO04-O1 Inovasi dipromosikan dalam program keamanan informasi
APO04-O2 Persyaratan keamanan informasi dimasukkan ke dalam bagian inovasi ketika diimplementasikan
Menciptakan lingkungan yang kondusif untuk membuat inovasi.

APO04-BP1 Menciptakan lingkungan yang kondusif untuk membuat inovasi, mempertimbangkan isu seperti budaya, penghargaan, kolaborasi, forum teknologi, mekanisme APO04-01
untuk mempromosikan dan menangkap ide dari karyawan. [Outcome APO04-O1]
Memelihara pemahaman tentang lingkungan enterprise.

APO04-BP2 Bekerja dengan pemangku kepentingan yang relevan untuk memahami tantangan mereka. Menjaga pemahaman yang memadai dari strategi enterprise dan APO04-02
lingkungan yang kompetitif atau kendala lain sehingga peluang yang diaktifkan oleh teknologi baru dapat diidentifikasi. [Outcome APO04-O1]
Memantau dan mengamati lingkungan teknologi.

Melakukan pemantauan sistematis dan pemindaian lingkungan eksternal enterprise untuk mengidentifikasi kemunculan teknologi yang memiliki potensi untuk
APO04-BP3 menciptakan nilai (misalnya, dengan menyadari strategi enterprise, mengoptimalkan biaya, menghindari usang, menjalankan enterprise dan proses TI). Memantau APO04-03
pasar, lanskap kompetitif, sektor industri, tren hukum dan peraturan untuk dapat menganalisis kemunculan teknologi atau ide inovasi dalam konteks enterprise.
[Outcome APO04-O1]
Menilai kemunculan teknologi dan ide inovasi yang potensial.

APO04-BP4 Menganalisis kemunculan teknologi yang teridentifikasi dan/atau saran inovasi TI. Bekerja dengan para pemangku kepentingan untuk memvalidasi asumsi tentang APO04-04
potensi teknologi baru dan inovasi. [Outcome APO04-O1]
Merekomendasi inisiatif lebih lanjut yang sesuai.

APO04-BP5 Mengevaluasi dan memonitor hasil proof-of-consept dari inisiatif, apabila menguntungkan maka buat rekomendasi untuk inisiatif lebih lanjut dan dapatkan APO04-05
dukungan pemangku kepentingan. [Outcome APO04-O2]
Mengawasi implementasi dan penggunaan inovasi.

APO04-BP6 Memantau implementasi dan penggunaan teknologi baru dan inovasi selama integrasi, adopsi dan siklusnya untuk memastikan bahwa manfaat yang dijanjikan APO04-06
terealisasi dan untuk mengidentifikasi pelajaran yang dapat diambil. [Outcome APO04-O2]
Work Products (WPs)

Masukan
APO04-BP2
Di luar COBIT 5
APO04-02
for Information Riset eksternal [Outcome APO04-O1]
APO04-BP3
Security
APO04-03
APO02-WP2 Kemampuan keamanan informasi [Outcome APO04-O1] APO04-BP4
BAI02-WP1 Persyaratan keamanan informasi [Outcome APO04-O1] APO04-04
APO04-BP4
APO04-04
APO02-WP9 Rencana keamanan informasi [Outcome APO04-O1, Outcome APO04-O2]
APO04-BP5
APO04-05
APO04-BP5
APO04-WP4 Penilaian kepatuhan terhadap persyaratan keamanan informasi [Outcome APO04-O2]
APO04-05
APO04-BP6
APO04-WP1 Rencana inovasi keamanan informasi [Outcome APO04-O2]
APO04-06
Keluaran
APO04-BP1
APO04-WP1 Rencana inovasi keamanan informasi [Outcome APO04-O1] APO04.06
APO04-01
APO04-BP2
APO04-WP2 Penilaian dampak keamanan informasi dari inisiatif baru [Outcome APO04-O1] Internal
APO04-02
APO04-BP3
APO04-WP3 Tren muncul yang teridentifikasi dalam keamanan informasi [Outcome APO04-O1] APO08.02
APO04-03
APO04-BP4
APO04-WP4 Penilaian kepatuhan terhadap persyaratan keamanan informasi [Outcome APO04-O1] APO04.05
APO04-04
APO04-BP5
APO04-WP5 Petunjuk keamanan informasi pada hasil pengujian proof-of-concept [Outcome APO04-O2]
APO04-05
Internal
APO04-BP6
APO04-WP6 Rencana inovasi yang telah disesuaikan [Outcome APO04-O2]
APO04-06
No. Proses APO05
Nama Mengelola portofolio
Menjalankan kumpulan arah strategis untuk investasi yang sejalan dengan visi arsitektur enterprise dan karakteristik yang diinginkan dari investasi dan portofolio layanan terkait,
mempertimbangkan berbagai kategori investasi, sumber daya dan batasan pendanaan. Mengevaluasi, memprioritaskan dan menyeimbangkan program dan layanan, pengelolaan
Deskripsi permintaan dalam sumber daya dan batasan pendanaan, berdasarkan keselarasannya dengan tujuan strategis, layak dan risiko enterprise. Memindahkan program yang dipilih ke
dalam portofolio layanan aktif untuk eksekusi. Memantau kinerja portofolio layanan dan program secara keseluruhan, mengusulkan penyesuaian yang diperlukan dalam menanggapi
program dan kinerja layanan atau mengubah prioritas enterprise.
Tujuan Mengoptimalkan kinerja keseluruhan portofolio program dalam menanggapi program dan kinerja layanan dan mengubah prioritas enterprise dan permintaan.
Outcomes (Os)
Nomor Deskripsi
APO05-O1 Investasi keamanan informasi dialokasikan sesuai dengan selera risiko
APO05-O2 Perubahan program keamanan informasi direfleksikan ke dalam layanan TI yang relevan, aset dan portofolio sumber daya
Menyusun target investasi.

Mengkaji dan memastikan kejelasan dari strategi enterprise dan TI serta layanan saat ini. Mendefinisikan campuran investasi yang tepat berdasarkan biaya, sejalan
APO05-BP1 APO05-01
dengan strategi, langkah keuangan seperti biaya dan ROI yang diharapkan selama siklusnya, tingkat risiko, jenis manfaat dan untuk program dalam portofolio.
Sesuaikan strategi enterprise dan TI jika diperlukan. [Outcome APO05-O1]
Menentukan ketersediaan dan sumber pendanaan.

APO05-BP2 APO05-02
Menentukan sumber pendanaan yang potensial, opsi pendanaan yang berbeda dan implikasi dari sumber pendanaan terhadap ROI. [Outcome APO05-O1]
Mengevaluasi dan memilih program yang akan didanai.

APO05-BP3 Berdasarkan persyaratan campuran portofolio investasi secara keseluruhan, evaluasi dan prioritaskan business case program dan memutuskan proposal investasi. APO05-03
Mengalokasikan dana dan memulai program. [Outcome APO05-O1]
Mengawasi, mengoptimalkan dan melaporkan kinerja portofolio investasi.

APO05-BP4 Secara teratur, memantau dan mengoptimalkan kinerja portofolio investasi dan program individu di seluruh siklus investasi. [Outcome APO05-O1, APO05-O2: not APO05-04
relevant for this practice]
Memelihara portofolio.
APO05-BP5 APO05-05
Memelihara portofolio dari program investasi dan proyek, layanan TI dan aset TI. [Outcome APO05-O2: not relevant for this practice]
Mengelola pencapaian manfaat.

APO05-BP6 Memantau manfaat penyediaan dan pemeliharaan layanan TI dan kemampuan yang tepat, berdasarkan business case saat ini dan yang disetujui. [Outcome APO05- APO05-06
O1, APO05-O2]
Work Products (WPs)

Masukan
Di luar COBIT 5
APO05-BP1
for Information Penilaian risiko [Outcome APO05-O1]
APO05-01
Security
APO05-BP2
APO05-WP1 Campuran investasi target keamanan informasi [Outcome APO05-O1]
APO05-02
APO05-BP3
APO05-WP2 Pilihan pendanaan [Outcome APO05-O1]
APO05-03
Di luar COBIT 5
APO05-BP6
for Information Anggaran program [Outcome APO05-O1, APO05-O2]
APO05-06
Security
Keluaran
APO05-BP1
APO05-WP1 Campuran investasi target keamanan informasi [Outcome APO05-O1] APO05.02
APO05-01
APO05-BP2
APO05-WP2 Pilihan pendanaan [Outcome APO05-O1] APO05.03
APO05-02
APO05-BP3
APO05-WP3 Program keamanan informasi [Outcome APO05-O1]
APO05-03
Internal
APO05-BP6
APO05-WP4 Profil risiko keamanan informasi yang terbaru [Outcome APO05-O1, APO05-O2]
APO05-06
No. Proses APO06
Nama Mengelola anggaran dan biaya
Mengelola kegiatan keuangan yang berkaitan dengan TI dalam bisnis dan fungsi IT, yang meliputi anggaran, biaya dan manfaat manajemen, memprioritaskan pengeluaran melalui
Deskripsi penggunaan praktik penganggaran formal dan sistem yang adil dan merata dalam mengalokasikan biaya untuk enterprise. Berkonsultasi dengan pemangku kepentingan untuk
mengidentifikasi dan mengendalikan total biaya dan manfaat dalam konteks rencana strategis dan taktis TI dan memulai tindakan korektif jika diperlukan.
Mengembangkan kemitraan antara TI dan pemangku kepentingan enterprise dalam rangka menggunakan sumber daya TI yang efektif dan efisien, memberikan transparansi dan
Tujuan
akuntabilitas biaya dan nilai bisnis dari solusi dan layanan. Menjalankan enterprise untuk membuat keputusan mengenai penggunaan solusi dan layanan TI.
Outcomes (Os)
Nomor Deskripsi
APO06-O1 Pengalokasian anggaran dan biaya keamanan informasi diprioritaskan secara efektif
Mengelola keuangan dan akuntansi.

Membangun dan memelihara metode untuk memperhitungkan semua biaya yang berkaitan dengan IT, investasi dan depresiasi sebagai bagian integral dari sistem
APO06-BP1 APO06-01
keuangan enterprise untuk mengelola investasi dan biaya TI. Menangkap dan mengalokasikan biaya yang sebenarnya, menganalisis varians antara perkiraan dan
biaya aktual dan melaporkan penggunaan sistem pengukuran keuangan enterprise. [Outcome APO06-O1: not relevant for this practice]
Memprioritaskan alokasi sumber daya.

Mengimplementasikan proses pengambilan keputusan untuk memprioritaskan alokasi sumber daya dan aturan untuk investasi pengecualian oleh unit bisnis
APO06-BP2 APO06-02
individu. Memasukkan penggunaan penyedia layanan eksternal yang potensial dan mempertimbangkan pembelian, mengembangkan sendiri atau memilih untuk
menyewa. [Outcome APO06-O1]
Membuat dan memelihara anggaran.

APO06-BP3 Menyiapkan anggaran yang merefleksikan prioritas investasi yang mendukung tujuan strategis berdasarkan portofolio program TI dan layanan TI. [Outcome APO06- APO06-03
O1]
Momodelkan dan mengalokasikan biaya.

Membangun dan menggunakan model pembiayaan TI berdasarkan definisi layanan, memastikan bahwa alokasi biaya untuk layanan dapat diidentifikasi, terukur
APO06-BP4 dan dapat diprediksi, untuk mendorong penggunaan sumber daya yang bertanggung jawab termasuk yang disediakan oleh penyedia layanan. Secara teratur APO06-04
meninjau dan menilai kelayakan model pembiayaan/chargeback untuk mempertahankan relevansi dan kesesuaian dengan kegiatan bisnis dan TI. [Outcome APO06-
O1: not relevant for this practice]
Mengelola biaya.
Mengimplementasikan proses manajemen biaya dan membandingkannya dengan biaya aktual. Biaya harus dipantau dan dilaporkan (untuk menghindari kasus
APO06-BP5 APO06-05
penyimpangan), diidentifikasi secara tepat waktu dan dampaknya terhadap proses dan layanan enterprise yang dinilai. [Outcome APO06-O1: not relevant for this
practice]
Work Products (WPs)

Masukan
APO06-BP3
APO06-WP1 Prioritas inisiatif [Outcome APO06-O1]
APO06-03
Keluaran
APO06-BP2
APO06-WP1 Prioritas inisiatif [Outcome APO06-O1] APO06.03
APO06-02
APO06-BP3
APO06-WP2 Anggaran keamanan informasi [Outcome APO06-O1] Internal
APO06-03
No. Proses APO07
Nama Mengelola SDM
Memberikan pendekatan yang terstruktur untuk memastikan struktur yang optimal, penempatan, hak memutuskan dan keterampilan sumber daya manusia. Hal ini termasuk
Deskripsi mengkomunikasikan peran dan tanggung jawab yang ditetapkan, pembelajaran dan rencana pertumbuhan dan ekspektasi kinerja yang didukung dengan orang-orang yang kompeten
dan termotivasi.
Tujuan Mengoptimalkan kemampuan sumber daya manusia untuk mencapai tujuan enterprise.
Outcomes (Os)
Nomor Deskripsi
APO07-O1 Kemampuan SDM dan proses diselaraskan dengan persyaratan keamanan informasi
Memelihara staf yang cukup dan tepat.

Mengevaluasi persyaratan staf secara teratur atau pada perubahan besar pada enterprise, operasional atau lingkungan TI untuk memastikan bahwa enterprise
APO07-BP1 APO07-01
memiliki sumber daya manusia yang memadai untuk mendukung tujuan dan sasaran enterprise. Staf yang dimaksud meliputi sumber daya internal dan eksternal.
[Outcome APO07-O1]
Mengidentifikasi personil TI yang utama.

APO07-BP2 Mengidentifikasi personil TI yang utama dan meminimalkan ketergantungan pada satu individu dalam melakukan fungsi pekerjaan kritis melalui pendokumentasian APO07-02
pengetahuan, berbagi pengetahuan, perencanaan suksesi dan staf cadangan. [Outcome APO07-O1]
Memelihara keahlian dan kompetensi personil.

Mendefinisikan dan mengelola keahlian dan kompetensi yang dibutuhkan personil. Memverifikasi secara teratur bahwa personel memiliki kompetensi untuk
APO07-BP3 memenuhi perannya berdasarkan pendidikan, pelatihan dan/atau pengalaman, memverifikasi bahwa kompetensi tersebut sedang dipertahankan, menggunakan APO07-03
kualifikasi dan program sertifikasi yang sesuai. Menyediakan karyawan dengan cara memberikan pembelajaran dan kesempatan untuk mempertahankan
pengetahuan, keterampilan dan kompetensi pada tingkat yang diperlukan untuk mencapai tujuan enterprise. [Outcome APO07-O1]
Mengevaluasi kinerja dari pekerjaan karyawan.

Melakukan evaluasi kinerja tepat waktu secara teratur terhadap tujuan individual yang berasal dari tujuan enterprise, standar yang ditetapkan, tanggung jawab
APO07-BP4 APO07-04
pekerjaan tertentu, keterampilan dan kerangka kompetensi. Karyawan harus menerima pelatihan peningkatan kinerja dan melakukannya kapanpun pada saat yang
tepat. [Outcome APO07-O1]
Merencanakan dan melacak penggunaan SDM TI dan bisnis.

APO07-BP5 Memahami dan melacak permintaan SDM TI dan bisnis untuk saat ini dan masa depan yang bertanggung jawab untuk enterprise TI. Mengidentifikasi kekurangan APO07-05
dan memberikan masukan ke dalam rencana pemberdayaan, rencana proses perekrutan SDM TI dan bisnis. [Outcome APO07-O1]
Mengelola staf kontrak.

APO07-BP6 Memastikan bahwa konsultan dan karyawan kontrak yang mendukung enterprise dengan kemampuan TI mengetahui dan mematuhi kebijakan organisasi dan APO07-06
memenuhi kesepakatan yang terdapat pada persyaratan kontrak. [Outcome APO07-O1]
Work Products (WPs)

Masukan
Di luar COBIT 5
APO07-BP1
for Information Regulasi lokal [Outcome APO07-O1]
APO07-01
Security
APO07-BP1
APO07-01
APO07-BP5
APO02-WP9 Rencana keamanan informasi [Outcome APO07-O1]
APO07-05
APO07-BP6
APO07-06
APO07-BP1
APO07-01
APO01-WP4 Kebijakan yang terkait keamanan informasi [Outcome APO07-O1]
APO07-BP6
APO07-06
• Daftar peraturan internal dan eksternal yang mempengaruhi liburan dan hak dan kewajiban personil lainnya [Outcome APO07-O1]
Di luar COBIT 5
• Business impact analysis (BIA) dari proses bisnis [Outcome APO07-O1] APO07-BP2
for Information
• Daftar peraturan internal dan eksternal yang mempengaruhi pemisahan tugas, kebijakan SDM atau keamanan personil [Outcome APO07-O1] APO07-02
Security
• Daftar fungsi bisnis, peran dan tanggung jawab terhadap bisnis proses [Outcome APO07-O1]
Di luar COBIT 5 • Daftar personil [Outcome APO07-O1]

APO07-BP3
for Information • Daftar kontraktor [Outcome APO07-O1]
APO07-03
Security • Keahlian personil [Outcome APO07-O1]
APO07-WP4 Rencana pelatihan keamanan informasi [Outcome APO07-O1]
MEA01-WP2 Metrik dan target keamanan informasi yang disetujui [Outcome APO07-O1] APO07-BP4
Di luar COBIT 5 APO07-04
for Information Kebijakan SDM [Outcome APO07-O1]
Security
• Persyaratan sumber daya proses [Outcome APO07-O1]
Di luar COBIT 5
• Alokasi anggaran [Outcome APO07-O1] APO07-BP5
for Information
• Daftar personil [Outcome APO07-O1] APO07-05
Security
• Keahlian personil [Outcome APO07-O1]
APO07-BP6
BAI02-WP1 Persyaratan keamanan informasi [Outcome APO07-O1]
APO07-06
Keluaran
APO07-BP1
APO07-WP1 Persyaratan keamanan informasi untuk proses penentuan staf [Outcome APO07-O1]
APO07-01
Internal
APO07-WP2 Daftar kontak darurat [Outcome APO07-O1] APO07-BP2
APO07-WP3 Rencana suksesi [Outcome APO07-O1] APO07-02
APO07-WP4 Rencana pelatihan keamanan informasi [Outcome APO07-O1] APO07.04 APO07-BP3
APO07-WP5 Pelatihan kesadaran keamanan informasi [Outcome APO07-O1] APO07-03
APO07-BP4
APO07-WP6 Evaluasi keamanan informasi personil [Outcome APO07-O1]
APO07-04
APO07-WP7 Rencana dan indikator pelacakan kinerja sumber daya [Outcome APO07-O1] Internal APO07-BP5
APO07-WP8 Rencana alokasi sumber daya [Outcome APO07-O1] APO07-05
Internal
APO07-BP6
APO07-WP9 Perjanjian non-disclosure dan kebijakan lainnya yang ditandatangani oleh pihak lain [Outcome APO07-O1]
APO07-06
No. Proses APO08
Nama Mengelola relasi
Mengelola relasi antara bisnis dan TI secara formal dan transparan yang menjamin fokus pada pencapaian tujuan enterprise secara bersama dan berbagi untuk mencapai kesuksesan
Deskripsi dalam rangka mendukung tujuan strategis dengan keterbatasan anggaran dan toleransi risiko. Mendasarkan relasi saling percaya, menggunakan istilah yang terbuka dan dimengerti,
menggunakan bahasa yang sama dan kemauan untuk bertanggung jawab atas keputusan penting.
Tujuan Membuat outcome yang lebih baik, meningkatkan kepercayaan diri, kepercayaan terhadap TI dan penggunaan sumber daya yang efektif.
Outcomes (Os)
Nomor Deskripsi
APO08-O1 Koordinasi, komunikasi dan struktur penghubung ditetapkan antara fungsi keamanan informasi dan berbagai pemangku kepentingan lainnya.
APO08-O2 Pemangku kepentingan memahami bahwa keamanan informasi sebagai bagian dari penggerak bisnis.
Memahami ekspektasi bisnis.

APO08-BP1 Memahami masalah, tujuan dan ekspektasi bisnis terhadap TI saat ini. Memastikan bahwa persyaratan dipahami, dikelola dan dikomunikasikan dan statusnya APO08-01
disetujui dan disahkan. [Outcome APO08-O1, APO08-O2]
Mengidentifikasi peluang, risiko dan batasan pada TI untuk meningkatkan bisnis.

APO08-BP2 APO08-02
Mengidentifikasi peluang potensial TI untuk menjadi penggerak bagi peningkatan kinerja enterprise. [Outcome APO08-O2]
Mengelola relasi bisnis.

APO08-BP3 Mengelola relasi dengan pelanggan (perwakilan bisnis). Memastikan bahwa peran dan tanggung jawab relasi didefinisikan, ditugaskan dan komunikasi difasilitasi. APO08-03
[Outcome APO08-O1]
Mengkoordinasikan dan mengkomunikasikan.

APO08-BP4 APO08-04
Bekerja dengan para pemangku kepentingan dan mengkoordinasikan pemberian layanan dan solusi TI untuk bisnis secara end-to-end. [Outcome APO08-O1]
Memberikan masukan untuk perbaikan layanan secara berkelanjutan.

APO08-BP5 Meningkatkan dan mengembangkan layanan TI dan pemberian layanan secara kontinu kepada enterprise untuk menyesuaikan dengan perubahan enterprise dan APO08-05
persyaratan teknologi. [Outcome APO08-O2]
Work Products (WPs)

Masukan
Di luar COBIT 5
APO08-BP1
for Information Tujuan dan sasaran bisnis [Outcome APO08-O1, APO08-O2]
APO08-01
Security
APO08-BP2
APO04-WP3 Tren muncul yang teridentifikasi dalam keamanan informasi [Outcome APO08-O2]
APO08-02
APO08-BP2
APO08-02
APO08-WP1 Pemahaman terhadap proses bisnis enterprise [Outcome APO08-O1, APO08-O2]
APO08-BP3
APO08-03
APO08-WP2 Inovasi keamanan informasi [Outcome APO08-O1] APO08-BP3
DSS02-WP2 Insiden keamanan informasi dan permintaan layanan yang terklasifikasi dan terprioritas [Outcome APO08-O1] APO08-03
Di luar COBIT 5
APO08-BP4
for Information Rencana komunikasi enterprise [Outcome APO08-O1]
APO08-04
Security
APO02-WP2 Kemampuan keamanan informasi [Outcome APO08-O2] APO08-BP5
BAI02-WP1 Persyaratan keamanan informasi [Outcome APO08-O2] APO08-05
Keluaran
APO08.02 APO08-BP1
APO08-WP1 Pemahaman terhadap proses bisnis enterprise [Outcome APO08-O1, APO08-O2]
APO08.03 APO08-01
APO08-BP2
APO08-WP2 Inovasi keamanan informasi [Outcome APO08-O2] APO08.03
APO08-02
APO08-BP3
APO08-WP3 Strategi untuk memperoleh komitmen pemangku kepentingan [Outcome APO08-O1]
APO08-03
APO08-BP4
APO08-WP4 Strategi komunikasi keamanan informasi [Outcome APO08-O1] Internal
APO08-04
APO08-BP5
APO08-WP5 Integrasi keamanan informasi pada perbaikan proses yang berkelanjutan [Outcome APO08-O2]
APO08-05
No. Proses APO09
Nama Mengelola perjanjian layanan
Menyelaraskan layanan TI dan tingkat layanan dengan kebutuhan dan harapan enterprise, termasuk identifikasi, spesifikasi, desain, penerbitan, persetujuan, pemantauan layanan TI,
Deskripsi
tingkat layanan dan indikator kinerja.
Tujuan Memastikan bahwa layanan TI dan tingkat layanannya memenuhi kebutuhan enterprise saat ini dan masa depan.
Outcomes (Os)
Nomor Deskripsi
APO09-O1 Service level agreements (SLAs) dimasukkan ke dalam persyaratan keamanan informasi
Mengidentifikasi layanan TI.

Menganalisis persyaratan bisnis dan cara layanan TI serta tingkat layanannya mendukung proses bisnis. Membahas dan menyepakati layanan potensial dan tingkat
APO09-BP1 APO09-01
layanannya dengan pihak bisnis, membandingkannya dengan portofolio layanan saat ini untuk mengidentifikasi layanan baru, perubahan atau pilihan tingkat
layanan. [Outcome APO09-O1]
Katalog layanan TI.

APO09-BP2 Mendefinisikan dan memelihara satu atau lebih katalog layanan untuk kelompok target yang relevan. Menerbitkan dan mempertahankan layanan TI yang aktif APO09-02
dalam katalog layanan. [Outcome APO09-O1]
Mendefinisikan dan mempersiapkan perjanjian layanan.

APO09-BP3 Mendefinisikan dan mempersiapkan perjanjian layanan berdasarkan pilihan yang ada dalam katalog layanan. Termasuk perjanjian operasional internal. [Outcome APO09-03
APO09-O1]
Mengawasi dan melaporkan tingkat layanan.

APO09-BP4 Memantau tingkat layanan, melaporkan pencapaiannya dan mengidentifikasi tren. Memberikan informasi manajemen yang tepat untuk membantu manajemen APO09-04
kinerja. [Outcome APO09-O1]
Mengkaji perjanjian dan kontrak layanan.

APO09-BP5 APO09-05
Melakukan kajian berkala terhadap perjanjian layanan dan merevisi apabila diperlukan. [Outcome APO09-O1]
Work Products (WPs)

Masukan
APO09-BP2
APO09-WP1 Persyaratan keamanan informasi pada layanan TI yang teridentifikasi [Outcome APO09-O1]
APO09-02
APO09-BP3
APO09-03
BAI03-WP11 Layanan keamanan informasi [Outcome APO09-O1]
APO09-BP4
APO09-04
APO09-BP4
APO09-WP3 SLA [Outcome APO09-O1]
APO09-04
APO02-WP9 Rencana keamanan informasi [Outcome APO09-O1] APO09-BP5
APO09-WP5 Laporan kinerja tingkat layanan keamanan informasi [Outcome APO09-O1] APO09-05
BAI02-WP1 Persyaratan keamanan informasi [Outcome APO09-O1]
Keluaran
APO09-BP1
APO09-WP1 Persyaratan keamanan informasi pada layanan TI yang teridentifikasi [Outcome APO09-O1] APO09.02
APO09-01
APO09-BP2
APO09-WP2 Katalog layanan keamanan informasi [Outcome APO09-O1] Internal
APO09-02
APO09.04
APO09-WP3 SLA [Outcome APO09-O1] DSS05.02 APO09-BP3
DSS05.03 APO09-03
APO09-WP4 Operating level agreements (OLA) [Outcome APO09-O1] DSS05.03
APO09-BP4
APO09-WP5 Laporan kinerja tingkat layanan keamanan informasi [Outcome APO09-O1] APO09.05
APO09-04
APO09-BP5
APO09-WP6 SLA yang terbaru [Outcome APO09-O1] Internal
APO09-05
No. Proses APO10
Nama Mengelola pemasok
Mengelola layanan TI yang diberikan oleh semua jenis pemasok untuk memenuhi kebutuhan enterprise, termasuk pemilihan pemasok, manajemen relasi, manajemen kontrak,
Deskripsi
meninjau dan memantau kinerja pemasok untuk keefektifan dan kepatuhan.
Tujuan Meminimalkan risiko yang terkait dengan pemasok yang tidak berkualitas dan memastikan harga yang kompetitif.
Outcomes (Os)
Nomor Deskripsi
APO10-O1 Pemasok dan kontrak dinilai secara reguler dan rencana mitigasi risiko yang tepat tersedia.
APO10-O2 Pemasok memahami keamanan informasi sebagai bagian penggerak bisnis yang penting.
Mengidentifikasi dan mengevaluasi relasi dan kontrak pemasok.

APO10-BP1 Mengidentifikasi pemasok dan kontrak terkait serta mengkategorikannya ke dalam jenis, arti dan tingkat kekritisan. Menetapkan kriteria evaluasi pemasok dan APO10-01
kontrak, mengevaluasi portofolio pemasok dan kontrak yang ada dan alternatif secara keseluruhan. [Outcome APO10-O1, APO10-O2]
Memilih pemasok.
APO10-BP2 Memilih pemasok sesuai dengan praktik yang adil dan formal untuk memastikan kesesuaian dan yang terbaik berdasarkan persyaratan yang ditentukan. APO10-02
Persyaratan harus dioptimalkan dengan masukan dari pemasok potensial. [Outcome APO10-O1: not relevant for this practice]
Mengelola relasi dan kontrak pemasok.

Memformalkan dan mengelola relasi untuk setiap pemasok. Mengelola, memelihara dan memantau kontrak dan pemberian layanan. Memastikan bahwa kontrak
APO10-BP3 APO10-03
baru atau perubahan sesuai dengan standar enterprise, persyaratan hukum dan peraturan. Menangani perselisihan kontrak. [Outcome APO10-O1: not relevant for
this practice]
Mengelola risiko pemasok.

APO10-BP4 Mengidentifikasi dan mengelola risiko yang berkaitan dengan kemampuan pemasok untuk terus memberikan layanan yang aman, efisien dan efektif. [Outcome APO10-04
APO10-O1]
Mengawasi kinerja dan kepatuhan pemasok.

APO10-BP5 Mengkaji kinerja keseluruhan pemasok secara periodik, kepatuhan terhadap kontrak persyaratan, nilai uang dan menangani isu yang teridentifikasi. [Outcome APO10-05
APO10-O1, APO10-O2]
Work Products (WPs)

Masukan
Di luar COBIT 5
APO10-BP1
for Information Analisis risiko vendor [Outcome APO10-O1, APO10-O2]
APO10-01
Security
APO10-BP4
APO10-04
APO10-WP1 Katalog pemasok [Outcome APO10-O1, APO10-O2]
APO10-BP5
APO10-05
APO10-BP5
APO10-WP2 Pemeringkatan risiko vendor yang terbaru [Outcome APO10-O1, APO10-O2]
APO10-05
Keluaran
APO10.04 APO10-BP1
APO10-WP1 Katalog pemasok [Outcome APO10-O1, APO10-O2] APO10.05 APO10-01
BAI03.04
APO10-BP4
APO10-WP2 Pemeringkatan risiko vendor yang terbaru [Outcome APO10-O1] APO10.05
APO10-04
APO10-BP5
APO10-WP3 Hasil kajian pengawasan kepatuhan pemasok [Outcome APO10-O1, APO10-O2] Internal
APO10-05
No. Proses APO11
Nama Mengelola kualitas
Mendefinisikan dan mengkomunikasikan persyaratan kualitas dalam semua proses, prosedur dan outcome terkait, termasuk kontrol, pengawasan berkelanjutan, penggunaan praktik
Deskripsi
yang umum digunakan dan standar dalam perbaikan berkelanjutan dan upaya efisiensi.
Tujuan Memastikan pemberian solusi dan layanan yang konsisten untuk memenuhi persyaratan kualitas enterprise dan memenuhi kebutuhan pemangku kepentingan.
Outcomes (Os)
Nomor Deskripsi
APO11-O1 Persyaratan kualitas operasional keamanan informasi untuk layanan keamanan informasi didefinisikan dan diimplementasikan.
Membangun sistem manajemen kualitas.

APO11-BP1 Membangun dan memelihara sistem manajemen kualitas yang menyediakan standar, pendekatan formal dan berkelanjutan pada manajemen mutu untuk APO11-01
informasi, teknologi dan proses bisnis yang selaras dengan kebutuhan bisnis dan manajemen mutu enterprise. [Outcome APO11-O1]
Mendefinisikan dan mengelola standar kualitas, praktik dan prosedur.

Mengidentifikasi dan mempertahankan persyaratan, standar, prosedur dan praktek untuk proses kunci dalam rangka memandu enterprise dalam memenuhi
APO11-BP2 APO11-02
maksud dari sistem manajemen kualitas yang disetujui. Hal ini harus sejalan dengan persyaratan kerangka kontrol TI. Mempertimbangkan sertifikasi untuk proses
kunci, unit organisasi, produk atau layanan. [Outcome APO11-O1]
Memfokuskan manajemen kualitas pada pelanggan.

APO11-BP3 Memfokuskan manajemen kualitas pada pelanggan dengan menentukan kebutuhan mereka dan memastikan keselarasan dengan praktik manajemen kualitas. APO11-03
[Outcome APO11-O1]
Melakukan pengawasan, pengendalian dan pengkajian kualitas.

Memantau kualitas proses dan layanan secara terus-menerus seperti yang didefinisikan oleh sistem manajemen kualitas. Mendefinisikan, merencanakan dan
APO11-BP4 APO11-04
mengimplementasikan pengukuran untuk memantau kepuasan pelanggan dengan kualitas serta nilai yang diberikan oleh sistem manajemen kualitas. Informasi
yang dikumpulkan harus digunakan oleh pemilik proses untuk meningkatkan kualitas. [Outcome APO11-O1]
Mengintegrasikan manajemen kualitas ke dalam solusi pengembangan dan pemberian layanan.

APO11-BP5 Menggabungkan praktik manajemen kualitas yang relevan ke dalam pendefinisian, pengawasan, pelaporan dan manajemen pengembangan solusi yang APO11-05
berkelanjutan dan penawaran layanan. [Outcome APO11-O1]
Menjaga perbaikan yang berkelanjutan.

Menjaga dan berkomunikasi secara teratur mengenai rencana pengelolaan kualitas secara keseluruhan yang mempromosikan perbaikan yang berkelanjutan. Hal ini
APO11-BP6 harus mencakup kebutuhan, manfaat dan perbaikan yang berkelanjutan. Mengumpulkan dan menganalisis data terkait sistem manajemen kualitas dan APO11-06
meningkatkan efektivitasnya. Memperbaiki ketidaksesuaian untuk mencegah terulang kembali. Mempromosikan budaya kualitas dan perbaikan berkelanjutan.
[Outcome APO11-O1: not relevant for this practice]
Work Products (WPs)

Masukan
APO01-WP7 Peran dan tanggung jawab keamanan informasi [Outcome APO11-O1]
APO11-BP1
APO11-01
APO02-WP9 Rencana keamanan informasi [Outcome APO11-O1]
APO11-BP2
APO11-WP1 Best practices dan standar keamanan informasi yang relevan [Outcome APO11-O1]
APO11-02
APO11-BP3
APO11-WP2 Standar kualitas keamanan informasi [Outcome APO11-O1]
APO11-03
APO11-BP4
APO11-WP3 SLA dan klausal kontrak kualitas keamanan informasi yang disetujui dan tepat [Outcome APO11-O1]
APO11-04
APO11-BP5
APO11-WP4 Metrik kualitas keamanan informasi yang diimplementasikan sejalan dengan best practices [Outcome APO11-O1]
APO11-05
Keluaran
APO11-BP1
APO11-WP1 Best practices dan standar keamanan informasi yang relevan [Outcome APO11-O1] APO11.02
APO11-01
APO11.03 APO11-BP2
APO11-WP2 Standar kualitas keamanan informasi [Outcome APO11-O1]
BAI03.06 APO11-02
APO11-BP3
APO11-WP3 SLA dan klausal kontrak kualitas keamanan informasi yang disetujui dan tepat [Outcome APO11-O1] APO11.04
APO11-03
APO11-BP4
APO11-WP4 Metrik kualitas keamanan informasi yang diimplementasikan sejalan dengan best practices [Outcome APO11-O1] APO11.05
APO11-04
APO11-BP5
APO11-WP5 Penghubung proses pelaporan insiden keamanan informasi [Outcome APO11-O1] Internal
APO11-05
No. Proses APO12
Nama Mengelola risiko
Deskripsi Mengidentifikasi, menilai dan mengurangi risiko terkait TI secara terus-menerus dalam tingkat toleransi yang ditetapkan oleh manajemen eksekutif enterprise.
Tujuan Mengintegrasikan manajemen risiko enterprises terkait TI dengan ERM secara keseluruhan, menyeimbangkan biaya dan manfaat pengelolaan risiko enterprise terkait TI.
Outcomes (Os)
Nomor Deskripsi
APO12-O1 Profil risiko informasi lengkap yang ada saat ini pada teknologi, aplikasi dan infrastruktur dalam enterprise.
Respons insiden keamanan informasi terintegrasi dengan proses manajemen risiko secara keseluruhan untuk memberikan kemampuan dalam rangka memperbarui portofolio
APO12-O2
manajemen risiko.
Mengumpulkan data.
APO12-BP1 APO12-01
Mengidentifikasi dan mengumpulkan data yang relevan untuk mengidentifikasi, menganalisis dan melaporkan risiko terkait TI secara efektif. [Outcome APO12-O1]
Menganalisis risiko.
APO12-BP2 APO12-02
Mengembangkan informasi yang bermanfaat untuk mendukung keputusan risiko yang terdapat dalam faktor risiko bisnis yang relevan. [Outcome APO12-O1]
Memelihara profil risiko.

APO12-BP3 Memelihara inventaris risiko yang diketahui dan atributnya (termasuk frekuensi yang diharapkan, dampak yang potensial dan respons) serta sumber daya terkait, APO12-03
kemampuan dan kegiatan pengendalian. [Outcome APO12-O1]
Membahas risiko.
APO12-BP4 Memberikan informasi tentang keadaan TI saat ini dengan tepat waktu kepada semua pemangku kepentingan yang diperlukan untuk respons yang tepat. [Outcome APO12-04
APO12-O1, APO12-O2]
Mendefinisikan portofolio aksi manajemen risiko.

APO12-BP5 APO12-05
Mengelola peluang untuk mengurangi dampak risiko pada tingkat yang dapat diterima sebagai portofolio. [Outcome APO12-O2]
Menanggapi risiko.
APO12-BP6 Menanggapi risiko secara tepat waktu dengan langkah yang efektif untuk membatasi besarnya kerugian yang ditimbulkan oleh risiko suatu kejadian. [Outcome APO12-06
APO12-O2]
Work Products (WPs)

Masukan
APO01-WP4 Kebijakan yang terkait dengan keamanan informasi [Outcome APO12-O1]

APO12-BP1
APO01-WP10 Penilaian kepatuhan terhadap keamanan informasi [Outcome APO12-O1] APO12-01
DSS02-WP2 Insiden keamanan informasi dan permintaan layanan yang terklasifikasi dan terprioritas [Outcome APO12-O1]
APO12-WP1 Data risiko keamanan informasi [Outcome APO12-O1] APO12-BP2
DSS05-WP2 Evaluasi ancaman yang potensial [Outcome APO12-O1] APO12-02
EDM01-WP1 Prinsip panduan keamanan informasi [Outcome APO12-O1]
APO12-WP1 Data risiko keamanan informasi [Outcome APO12-O1]
APO12-BP3
APO12-WP2 Hasil analisis risiko keamanan informasi [Outcome APO12-O1]
APO12-03
APO12-WP3 Skenario risiko keamanan informasi [Outcome APO12-O1]
DSS05-WP2 Evaluasi ancaman yang potensial [Outcome APO12-O1]
APO12-BP4
APO12-04
APO12-WP4 Profil risiko keamanan informasi [Outcome APO12-O1, APO12-O2]
APO12-BP5
APO12-05
APO12-BP6
APO12-WP6 Proposal proyek untuk mengurangi risiko keamanan informasi [Outcome APO12-O2]
APO12-06
Keluaran
APO12.02 APO12-BP1
APO12-WP1 Data risiko keamanan informasi [Outcome APO12-O1]
APO12.03 APO12-01
APO12-WP2 Hasil analisis risiko keamanan informasi [Outcome APO12-O1] APO12-BP2
APO12.03
APO12-02
APO12-WP3 Skenario risiko keamanan informasi [Outcome APO12-O1]
APO12.04
APO12.05
APO12-BP3
APO12-WP4 Profil risiko keamanan informasi [Outcome APO12-O1] BAI01.01
APO12-03
BAI01.11
BAI02.03
APO12-BP4
APO12-WP5 Strategi respons risiko keamanan informasi [Outcome APO12-O1, APO12-O2] Internal
APO12-04
APO12-WP6 Proposal proyek untuk mengurangi risiko keamanan informasi [Outcome APO12-O2] APO12.06 APO12-BP5
APO12-05
APO12-WP7 Proposal proyek untuk mengurangi risiko [Outcome APO12-O2] APO13.02
APO12-BP6
APO12-WP8 Praktik mitigasi risiko keamanan informasi [Outcome APO12-O2] Internal
APO12-06
No. Proses APO13
Nama Mengelola keamanan
Deskripsi Mendefinisikan, mengoperasikan dan mengawasi sistem manajemen keamanan informasi.
Tujuan Mengatasi dampak dan kejadian suatu insiden keamanan informasi dalam tingkatan selera risiko enterprise.
Outcomes (Os)
Nomor Deskripsi
APO13-O1 Sistem yang mempertimbangkan persyaratan keamanan informasi enterprise secara efektif.
APO13-O2 Rencana keamanan telah dibangun, diterima dan dikomunikasikan ke seluruh bagian enterprise.
APO13-O3 Solusi keamanan informasi diimplementasikan dan dioperasikan secara konsisten ke seluruh bagian enterprise.
Membangun dan memelihara Sistem Manajemen Keamanan Informasi (SMKI).

APO13-BP1 Membangun dan memelihara SMKI yang menyediakan standar, pendekatan formal dan berkesinambungan untuk manajemen keamanan informasi, teknologi dan APO13-01
bisnis proses yang aman serta sesuai dengan kebutuhan bisnis dan manajemen keamanan enterprise. [Outcome APO13-O1]
Mendefinisikan dan mengelola rencana penanganan risiko keamanan informasi.

Memelihara rencana keamanan informasi yang menggambarkan bagaimana risiko keamanan informasi dikelola dan diselaraskan dengan strategi dan arsitektur
APO13-BP2 APO13-02
enterprise. Memastikan bahwa rekomendasi untuk implemtasi perbaikan keamanan didasarkan pada business case yang disetujui dan dilaksanakan sebagai bagian
integral dari layanan dan pengembangan solusi, kemudian dioperasikan sebagai bagian integral dari operasi bisnis. [Outcome APO13-O2]
Mengawasi dan mengkaji SMKI.

Memelihara dan berkomunikasi secara teratur mengenai kebutuhan dan manfaat peningkatan keamanan informasi secara terus-menerus. Mengumpulkan dan
APO13-BP3 APO13-03
menganalisis data mengenai SMKI dan meningkatkan efektivitasnya. Memperbaiki ketidaksesuaian untuk mencegah terulang kembali. Mempromosikan budaya
keamanan dan perbaikan berkelanjutan. [Outcome APO13-O3]
Work Products (WPs)

Masukan
Di luar COBIT 5
APO13-BP1
for Information Pendekatan keamanan enterprise [Outcome APO13-O1]
APO13-01
Security
APO02-WP5 Kesenjangan yang diperkecil dan perubahan yang diperlukan untuk merealisasikan kemampuan target [Outcome APO13-O2]
APO13-BP2
APO03-WP4 Deskripsi domain dasar dan definisi arsitektur [Outcome APO13-O2]
APO13-02
APO12-WP7 Proposal proyek untuk mengurangi risiko [Outcome APO13-O2]
APO13-BP3
DSS02-WP2 Insiden dan permintaan layanan yang terklasifikasi dan terprioritas [Outcome APO13-O3]
APO13-03
Keluaran
APO01.02
APO13-WP1 Pernyataan lingkup SMKI [Outcome APO13-O1] APO13-BP1
DSS06.03
APO13-01
APO13-WP2 Kebijakan SMKI [Outcome APO13-O1] Internal
APO13-BP2
APO13-WP3 Business case keamanan informasi [Outcome APO13-O2] APO02.05
APO13-02
APO13-WP4 Rekomendasi untuk perbaikan SMKI [Outcome APO13-O3] Internal APO13-BP3
APO13-WP5 Laporan audit SMKI [Outcome APO13-O3] MEA02.01 APO13-03
No. Proses BAI01
Nama Mengelola program dan proyek
Mengelola semua program dan proyek dari portofolio investasi agar sejalan dengan strategi enterprise dan dengan cara yang terkoordinasi. Memulai, merencanakan, mengontrol,
Deskripsi
melaksanakan program dan proyek dan mengkajinya pasca-implementasi.
Menyadari manfaat bisnis dan mengurangi risiko penundaan yang tak terduga, biaya dan pengurangan nilai dengan meningkatkan komunikasi dan keterlibatan bisnis dan pengguna,
Tujuan
memastikan nilai dan kualitas deliverable proyek serta memaksimalkan kontribusinya terhadap portofolio investasi dan layanan.
Outcomes (Os)
Nomor Deskripsi
BAI01-O1 Persyaratan keamanan informasi dipahami dan dimasukkan ke dalam seluruh program dan proyek.
Memelihara pendekatan yang standar untuk manajemen program dan proyek.

Memelihara pendekatan yang standar untuk manajemen program dan proyek yang dapat mengkaji tata kelola, manajemen, pengambilan keputusan dan
BAI01-BP1 BAI01-01
manajemen pemberian kegiatan yang difokuskan pada pencapaian nilai dan tujuan (persyaratan, risiko, biaya, jadwal, kualitas) untuk bisnis secara konsisten.
[Outcome BAI01-O1]
Menginisiasi program.
Menginisiasi program untuk mengkonfirmasi manfaat yang diharapkan dan mendapatkan otorisasi untuk melanjutkan. Hal ini termasuk persetujuan program
BAI01-BP2 sponsor, menegaskan mandat program melalui persetujuan dari business case konseptual, menunjuk dewan direksi program atau anggota komite, memproduksi BAI01-02
program singkat, meninjau dan memperbarui business case, mengembangkan rencana realisasi manfaat, dan memperoleh persetujuan dari sponsor untuk
melanjutkan. [Outcome BAI01-O1]
Mengelola keterlibatan pemangku kepentingan.

BAI01-BP3 Mengelola keterlibatan pemangku kepentingan untuk memastikan pertukaran aktif yang akurat, informasi yang konsisten dan tepat waktu. Hal ini termasuk BAI01-03
perencanaan, pengidentifikasian dan melibatkan para pemangku kepentingan dan mengelola ekspektasinya. [Outcome BAI01-O1: not relevant for this practice]
Mengembangkan dan memelihara rencana program.

Merumuskan program untuk meletakkan langkah awal untuk mencapai kesuksesan dengan meresmikan ruang lingkup pekerjaan yang harus dicapai dan
BAI01-BP4 BAI01-04
mengidentifikasi deliverable tujuan dan memberikan nilai. Memelihara dan memperbarui rencana program dan business case yang ada di dalam siklus program,
memastikan keselarasan dengan tujuan strategis dan menjelaskan status yang telah dicapai saat ini. [Outcome BAI01-O1]
Meluncurkan dan mengeksekusi program.

BAI01-BP5 Meluncurkan dan mengeksekusi program untuk memperoleh dan mengarahkan sumber daya yang dibutuhkan dalam rangka mencapai tujuan dan manfaat BAI01-05
program sebagaimana didefinisikan dalam rencana program. [Outcome BAI01-O1: not relevant for this practice]
Mengawasi, mengontrol dan melaporkan outcome program.

BAI01-BP6 Memantau dan mengontrol kinerja program (pemberian solusi) dan enterprise (nilai/outcome) terhadap siklus rencana investasi. Melaporkan kinerjanya kepada BAI01-06
komite pengarah program dan sponsor. [Outcome BAI01-O1: not relevant for this practice]
Memulai dan menginisiasi proyek dalam suatu program.

Mendefinisikan dan mendokumentasikan sifat dan ruang lingkup proyek untuk mengkonfirmasi dan mengembangkan pemahaman para pemangku kepentingan
BAI01-BP7 BAI01-07
tentang ruang lingkup proyek dan bagaimana kaitannya dengan proyek-proyek lain dalam program investasi TI secara keseluruhan. Definisi tersebut harus secara
resmi disetujui oleh sponsor program dan proyek. [Outcome BAI01-O1: not relevant for this practice]
Merencanakan proyek.
Membangun dan memelihara rencana proyek yang formal, disetujui dan terintegrasi (meliputi bisnis dan sumber daya TI) untuk memandu pelaksanaan proyek dan
BAI01-BP8 BAI01-08
pengontrolan sepanjang siklus proyek. Ruang lingkup proyek harus didefinisikan secara jelas dan terikat untuk membangun atau meningkatkan kemampuan bisnis.
[Outcome BAI01-O1]
Mengelola kualitas program dan proyek.

Menyiapkan dan mengeksekusi rencana manajemen kualitas, proses dan praktik yang sejalan dengan sistem manajemen kualitas yang menggambarkan pendekatan
BAI01-BP9 BAI01-09
kualitas program dan proyek serta bagaimana hal tersebut akan dilaksanakan. Rencana tersebut harus ditinjau secara formal dan disepakati oleh semua pihak yang
berkepentingan dan kemudian dimasukkan ke dalam rencana program dan proyek terintegrasi. [Outcome BAI01-O1: not relevant for this practice]
Mengelola risiko program dan proyek.

Menghilangkan atau meminimalkan risiko spesifik yang terkait dengan program dan proyek melalui proses perencanaan yang sistematis, pengidentifikasian,
BAI01-BP10 BAI01-10
penganalisisan, penanganan, pengawasan dan pengendalian area atau kejadian yang memiliki potensi untuk menyebabkan perubahan yang tidak diinginkan. Risiko
yang dihadapi oleh manajemen program dan proyek harus ditetapkan dan didokumentasikan secara terpusat. [Outcome BAI01-O1]
Mengawasi dan mengontrol proyek.

Mengukur kinerja proyek terhadap kriteria kinerja utama dari proyek seperti jadwal, kualitas, biaya dan risiko. Mengidentifikasi penyimpangan dari yang
BAI01-BP11 BAI01-11
diharapkan. Menilai dampak dari penyimpangan pada proyek dan program secara keseluruhan dan melaporkan hasilnya kepada pemangku kepentingan utama.
[Outcome BAI01-O1]
Mengelola sumber daya proyek dan paket pekerjaan.

BAI01-BP12 Mengelola paket pekerjaan proyek dengan menempatkan persyaratan formal pada otorisasi, menugaskan dan mengkoordinasi bisnis dan sumber daya TI yang BAI01-12
tepat. [Outcome BAI01-O1: not relevant for this practice]
Menyelesaikan proyek atau iterasi.

Pada akhir setiap proyek, rilis atau iterasi, membutuhkan pemangku kepentingan proyek untuk memastikan apakah proyek perlu dirilis atau diiterasi kembali.
BAI01-BP13 BAI01-13
Mengidentifikasi dan mengkomunikasikan kegiatan luar biasa yang diperlukan untuk mencapai hasil yang direncanakan proyek dan manfaat dari program tersebut,
mengidentifikasi dan mempelajari dokumen yang digunakan pada proyek masa depan. [Outcome BAI01-O1: not relevant for this practice]
Menyelesaikan program.
BAI01-BP14 Menghapus program dari portofolio investasi aktif apabila ada kesepakatan bahwa nilai yang diinginkan telah tercapai atau ketika jelas tidak akan tercapai dalam BAI01-14
kriteria nilai yang ditetapkan untuk program tersebut. [Outcome BAI01-O1: not relevant for this practice]
Work Products (WPs)

Masukan
APO01-WP4 Kebijakan yang terkait keamanan informasi [Outcome BAI01-O1] BAI01-BP1

BAI01-01
BAI01-BP11
BAI01-11
BAI01-BP1
BAI01-01
BAI01-BP11
APO12-WP4 Profil risiko keamanan informasi [Outcome BAI01-O1] BAI01-11
APO02-WP2 Kemampuan keamanan informasi [Outcome BAI01-O1] BAI01-BP1

BAI02-WP1 Persyaratan keamanan informasi [Outcome BAI01-O1] BAI01-01
BAI01-BP1
BAI01-01
BAI01-BP4
BAI01-04
APO02-WP9 Rencana keamanan informasi [Outcome BAI01-O1]
BAI01-BP8
BAI01-08
BAI01-BP11
BAI01-11
BAI01-BP2
BAI01-WP1 Persyaratan keamanan informasi pada studi kelayakan [Outcome BAI01-O1]
BAI01-02
BAI01-BP4
BAI01-04
BAI01-WP2 Business case konsep dari program termasuk di dalamnya aktivitas keamanan informasi yang mandatory [Outcome BAI01-O1]
BAI01-BP8
BAI01-08
BAI01-BP8
BAI01-WP3 Rencana konsep dari program termasuk di dalamnya aktivitas keamanan informasi yang mandatory [Outcome BAI01-O1]
BAI01-08
BAI01-BP10
BAI01-WP4 Rencana proyek yang termasuk di dalamnya tujuan, sasaran dan persyaratan keamanan informasi [Outcome BAI01-O1]
BAI01-10
Keluaran
BAI01.02
BAI01-BP1
BAI01-WP1 Persyaratan keamanan informasi pada studi kelayakan [Outcome BAI01-O1] BAI02.02
BAI01-01
BAI03.01
BAI01.04 BAI01-BP2
BAI01-WP2 Business case konsep dari program termasuk di dalamnya aktivitas keamanan informasi yang mandatory [Outcome BAI01-O1]
BAI01.08 BAI01-02
BAI01-BP4
BAI01-WP3 Rencana konsep dari program termasuk di dalamnya aktivitas keamanan informasi yang mandatory [Outcome BAI01-O1] BAI01.08
BAI01-04
BAI01-BP8
BAI01-WP4 Rencana proyek yang termasuk di dalamnya tujuan, sasaran dan persyaratan keamanan informasi [Outcome BAI01-O1] BAI01.10
BAI01-08
BAI01-BP10
BAI01-WP5 Log risiko keamanan informasi sebagai bagian log risiko proyek keseluruhan [Outcome BAI01-O1]
BAI01-10
Internal
Laporan penilaian proyek keamanan informasi yang mengidentifikasi kontrol kelemahan dan rencana tindakan perbaikan yang direkomendasikan BAI01-BP11
BAI01-WP6
[Outcome BAI01-O1] BAI01-11
No. Proses BAI02
Nama Mengelola definisi persyaratan
Mengidentifikasi solusi dan menganalisis persyaratan sebelum akuisisi atau pembuatan untuk memastikan kesesuaian dengan persyaratan strategis enterprise yang meliputi proses
Deskripsi bisnis, aplikasi, data/informasi, infrastruktur dan layanan. Koordinasi dengan pemangku kepentingan yang terpengaruh dalam kajian pilihan yang layak untuk biaya, manfaat, analisis
risiko, persetujuan persyaratan dan solusi yang diusulkan.
Tujuan Menciptakan solusi optimal yang layak dan memenuhi kebutuhan enterprise seiring dengan meminimalkan risiko.
Outcomes (Os)
Nomor Deskripsi
BAI02-O1 Semua aspek keamanan informasi yang relevan untuk fungsi bisnis dan persyaratan teknikal diidentifikasi dan diimplementasikan.
BAI02-O2 Risiko informasi yang berhubungan dengan fungsi bisnis dan persyaratan teknikal direkam dan ditangani.
Mendefinisikan dan memelihara fungsi bisnis dan persyaratan teknikal.

Berdasarkan business case, mengidentifikasi, memprioritaskan, menentukan dan menyetujui informasi bisnis, persyaratan fungsional, teknis dan kontrol yang
BAI02-BP1 BAI02-01
mencakup ruang lingkup/pemahaman semua inisiatif yang diperlukan untuk mencapai outcome yang diharapkan dari solusi bisnis TI yang diusulkan. [Outcome
BAI02-O1]
Melakukan studi kelayakan dan merumuskan solusi alternatif.

BAI02-BP2 Melakukan studi kelayakan pada solusi alternatif yang potensial, menilai kelangsungan hidupnya dan memilih pilihan yang lebih baik. Jika sesuai, BAI02-02
mengimplementasikan opsi yang dipilih sebagai percontohan untuk menentukan perbaikan yang mungkin diterapkan. [Outcome BAI02-O1]
Mengelola risiko persyaratan.

BAI02-BP3 Mengidentifikasi, mengdokumentasikan, memprioritaskan dan memitigasi risiko fungsional, teknis dan pemrosesan informasi yang terkait dengan persyaratan BAI02-03
enterprise dan solusi yang diusulkan. [Outcome BAI02-O2]
Memperoleh persetujuan terhadap persyaratan dan solusi.

BAI02-BP4 Koordinasi untuk mendapatkan umpan balik dari pemangku kepentingan yang terpengaruh, memperoleh sponsor bisnis atau persetujuan pemilik produk dan sign- BAI02-04
off dari persyaratan fungsional dan teknis, studi kelayakan, analisis risiko dan solusi yang direkomendasikan. [Outcome BAI02-O1]
Work Products (WPs)

Masukan
APO01-WP4 Kebijakan yang terkait keamanan informasi [Outcome BAI02-O1]
APO02-WP2 Kemampuan keamanan informasi [Outcome BAI02-O1] BAI02-BP1
APO02-WP9 Rencana keamanan informasi [Outcome BAI02-O1] BAI02-01
MEA03-WP1 Persyaratan kepatuhan ekternal terhadap keamanan informasi [Outcome BAI02-O1]
BAI02-BP2
BAI01-WP1 Persyaratan keamanan informasi dalam kelayakan studi [Outcome BAI02-O1]
BAI02-02
BAI02-BP3
APO12-WP4 Profil risiko keamanan informasi [Outcome BAI02-O2]
BAI02-03
BAI02-BP4
BAI02-WP1 Persyaratan keamanan informasi [Outcome BAI02-O2]
BAI02-04
Keluaran
APO02.03
APO04.04
APO07.06
APO08.05
APO09.05
BAI01.01
BAI02.04
BAI02-BP1
BAI02-WP1 Pesyaratan keamanan informasi [Outcome BAI02-O1] BAI03.01
BAI02-01
BAI03.04
BAI03.07
BAI03.09
BAI04.03
BAI05.01
MEA01.01
MEA03.01
BAI02-BP2
BAI02-WP2 Laporan studi kelayakan [Outcome BAI02-O1]
BAI02-02
BAI02-BP3
BAI02-WP3 Tindakan mitigasi risiko [Outcome BAI02-O2] Internal
BAI02-03
BAI02-BP4
BAI02-WP4 Persetujuan pada persyaratan keamanan informasi [Outcome BAI02-O2]
BAI02-04
No. Proses BAI03
Nama Mengelola identifikasi dan pembangunan solusi
Membangun dan memelihara solusi yang teridentifikasi agar sesuai dengan kebutuhan enterprise yang meliputi desain, pengembangan, pengadaan/pemberdayaan dan kerja sama
Deskripsi dengan pemasok/vendor. Mengelola konfigurasi, persiapan uji coba, pengujian, manajemen persyaratan dan pemeliharaan proses bisnis, aplikasi, informasi/ data, infrastruktur dan
layanan.
Tujuan Membangun solusi yang tepat waktu dan hemat biaya dan mampu mendukung tujuan strategis dan operasional enterprise.
Outcomes (Os)
Nomor Deskripsi
BAI03-O1 Langkah keamanan informasi dimasukkan ke dalam solusi dan mendukung tujuan bisnis dan operasional yang strategis.
BAI03-O2 Solusi keamanan informasi diterima dan telah diuji coba dengan sukses.
BAI03-O3 Perubahan dalam persyaratan keamanan informasi digabungkan dalam solusi secara benar.
Merancang solusi high-level.

Mengembangkan dan mendokumentasikan desain tingkat tinggi menggunakan teknik pengembangan rapid agile. Memastikan keselarasan dengan strategi TI dan
BAI03-BP1 BAI03-01
arsitektur enterprise. Menilai kembali dan memperbarui desain ketika isu signifikan terjadi selama desain rinci atau fase pembangunan atau disebut sebagai evolusi
solusi. Memastikan bahwa pemangku kepentingan secara aktif berpartisipasi dalam desain dan menyetujui setiap versi. [Outcome BAI03-O1]
Merancang komponen solusi secara rinci

Mengembangkan, mendokumentasikan dan merinci desain secara progresif dengan teknik pengembangan rapid agile, menangani semua komponen (proses bisnis
BAI03-BP2 BAI03-02
dan kontrol otomatis/manual yang terkait, mendukung aplikasi TI, layanan infrastruktur, produk teknologi dan mitra/pemasok). Memastikan bahwa desain rinci
sudah termasuk SLA dan OLA pihak internal dan eksternal. [Outcome BAI03-O1]
Mengembangkan komponen solusi.

Mengembangkan komponen solusi secara progresif sesuai dengan desain rinci termasuk metode pengembangan, standar dokumentasi, persyaratan jaminan
BAI03-BP3 BAI03-03
kualitas (QA) dan standar persetujuan. Memastikan bahwa semua persyaratan kontrol dalam proses bisnis mendukung penanganan aplikasi TI, layanan
infrastruktur, layanan dan produk teknologi dan mitra/pemasok TI. [Outcome BAI03-O1]
Mengadakan komponen solusi.

Mengadakan komponen solusi berdasarkan rencana akuisisi sesuai dengan persyaratan dan desain rinci, prinsip dan standar arsitektur, prosedur pengadaan dan
BAI03-BP4 BAI03-04
kontrak enterprise secara keseluruhan, persyaratan QA dan standar persetujuan. Memastikan bahwa semua persyaratan hukum dan kontrak diidentifikasi dan
ditangani oleh pemasok. [Outcome BAI03-O1]
Membangun solusi.
Memasang dan mengkonfigurasi solusi dan mengintegrasikan dengan kegiatan proses bisnis. Mengimplementasikan langkah pengendalian, keamanan dan audit
BAI03-BP5 BAI03-05
selama proses konfigurasi/integrasi hardware dan software infrastruktur, untuk melindungi sumber daya dan memastikan ketersediaan dan integritas data.
Memperbarui katalog layanan untuk mencerminkan solusi baru. [Outcome BAI03-O1]
Melakukan penjaminan kualitas (QA)

BAI03-BP6 Mengembangkan, mengumpulkan sumber daya dan melaksanakan rencana QA yang selaras dengan sistem manajemen kualitas untuk mendapatkan mutu yang BAI03-06
ditentukan dalam definisi persyaratan, kebijakan dan prosedur kualitas enterprise. [Outcome BAI03-O2]
Mempersiapkan pengujian solusi.

BAI03-BP7 Menetapkan rencana uji dan lingkungan yang dibutuhkan untuk menguji komponen solusi individual dan terintegrasi, termasuk proses bisnis dan layanan BAI03-07
pendukung, aplikasi dan infrastruktur. [Outcome BAI03-O2]
Mengeksekusi pengujian solusi.

BAI03-BP8 Mengeksekusi pengujian selama masa pengembangan secara kontinu, termasuk pengujian kontrol. Melibatkan pemilik proses bisnis dan pengguna di tim BAI03-08
pengujian. Mengidentifikasi, memasukkan ke dalam log dan memprioritaskan kesalahan dan masalah yang teridentifikasi selama pengujian. [Outcome BAI03-O2]
Mengelola perubahan pada persyaratan.

BAI03-BP9 Melacak status persyaratan individu (termasuk semua persyaratan yang ditolak) sepanjang siklusnya dan mengelola persetujuan terhadap perubahan persyaratan. BAI03-09
[Outcome BAI03-O3]
Memelihara solusi.
BAI03-BP10 Mengembangkan dan mengeksekusi rencana pemeliharaan solusi dan komponen infrastruktur. Menyertakan kajian periodik terhadap kebutuhan bisnis dan BAI03-10
persyaratan operasional. [Outcome BAI03-O3]
Mendefinisikan layanan TI dan memelihara portofolio layanan.

BAI03-BP11 Mendefinisikan dan menyepakati layanan TI baru atau perubahan pada pilihan tingkat layanan. Mendokumentasikan definisi layanan baru atau perubahan yang BAI03-11
terdapat dalam portofolio layanan. [Outcome BAI03-O3]
Work Products (WPs)

Masukan
BAI03-BP1
BAI01-WP1 Persyaratan keamanan informasi pada studi kelayakan [Outcome BAI03-O2]
BAI03-01
BAI03-BP1
BAI03-01
BAI03-BP4
BAI03-04
BAI02-WP1 Persyaratan keamanan informasi [Outcome BAI03-O2, BAI03-O3]
BAI03-BP7
BAI03-07
BAI03-BP9
BAI03-09
BAI03-BP2
BAI03-WP1 Spesifikasi keamanan informasi sejalan dengan desain high-level [Outcome BAI03-O1]
BAI03-02
BAI03-BP3
BAI03-WP2 Desain keamanan informasi dalam komponen solusi [Outcome BAI03-O2]
BAI03-03
BAI03-BP4
APO10-WP1 Kalatog pemasok [Outcome BAI03-O2]
BAI03-04
BAI03-BP6
APO11-WP2 Standar kualitas keamanan informasi [Outcome BAI03-O2]
BAI03-06
BAI03-BP8
APO01-WP4 Kebijakan terkait dengan keamanan informasi [Outcome BAI03-O2]
BAI03-08
Model enabler
Peran dan tanggung jawab [Outcome BAI03-O3]
struktur organisasi
BAI03-BP11
Di luar COBIT 5 Visi/misi bisnis [Outcome BAI03-O3] BAI03-11
for Information
Security
Tujuan dan sasaran bisnis [Outcome BAI03-O3]
Keluaran
BAI03-BP1
BAI03-WP1 Spesifikasi keamanan informasi sejalan dengan desain high-level [Outcome BAI03-O2] BAI03.02
BAI03-01
BAI03-BP2
BAI03-WP2 Desain keamanan informasi dalam komponen solusi [Outcome BAI03-O1] BAI03.03
BAI03-02
BAI03-BP3
BAI03-WP3 Praktik pemrograman dan libraries infrastruktur yang aman [Outcome BAI03-O2]
BAI03-03
BAI03-BP4
BAI03-WP4 Persyaratan keamanan informasi dalam perencanaan pengadaan [Outcome BAI03-O2]
BAI03-04
BAI03-BP5
BAI03-WP5 Solusi yang aman [Outcome BAI03-O1]
BAI03-05
BAI03-BP6
BAI03-WP6 Hasil kajian kualitas keamanan informasi, ekspektasi dan tindakan koreksi [Outcome BAI03-O2]
BAI03-06
Internal
BAI03-BP7
BAI03-WP7 Uji petik keamanan informasi [Outcome BAI03-O2]
BAI03-07
BAI03-BP8
BAI03-WP8 Laporan penerimaan keamanan [Outcome BAI03-O2]
BAI03-08
BAI03-BP9
BAI03-WP9 Rekaman seluruh permintaan perubahan yang disetujui dan diaplikasikan [Outcome BAI03-O3]
BAI03-09
BAI03-BP10
BAI03-WP10 Solusi aman yang terbaru [Outcome BAI03-O3]
BAI03-10
APO09.03 BAI03-BP11
BAI03-WP11 Layanan keamanan informasi [Outcome BAI03-O3]
APO09.04 BAI03-11
No. Proses BAI04
Nama Mengelola ketersediaan dan kapasitas
Menyeimbangkan kebutuhan saat ini dan masa depan untuk ketersediaan, kinerja dan kapasitas dengan penyediaan layanan hemat biaya. Mencakup penilaian kemampuan saat ini,
Deskripsi perkiraan kebutuhan masa depan berdasarkan kebutuhan bisnis, analisis dampak bisnis, penilaian risiko untuk merencanakan dan melaksanakan tindakan untuk memenuhi
persyaratan yang teridentifikasi.
Tujuan Memelihara ketersediaan layanan, manajemen sumber daya yang efisien dan optimalisasi kinerja sistem melalui prediksi kinerja dan kapasitas kebutuhan masa depan.
Outcomes (Os)
Nomor Deskripsi
BAI04-O1 Persyaratan keamanan informasi dimasukkan ke dalam rencana manajemen ketersediaan, kinerja dan kapasitas.
BAI04-O2 Dampak keamanan informasi pada ketersediaan, kinerja dan kapasitas diawasi dan dioptimalkan.
Menilai ketersediaan, kinerja dan kapasitas saat ini serta membuat dasar pengembangannya.
BAI04-BP1 Menilai ketersediaan, kinerja dan kapasitas layanan dan sumber daya untuk memastikan bahwa kapasitas biaya dan kinerja yang tersedia dapat mendukung dan BAI04-01
memberikan kebutuhan bisnis sesuai SLA. Membuat dasar pengembangan ketersediaan, kinerja dan kapasitas untuk masa depan. [Outcome BAI04-O1]
Menilai dampak bisnis.

Mengidentifikasi layanan yang penting bagi enterprise, memetakan layanan dan sumber daya untuk proses bisnis dan mengidentifikasi ketergantungan bisnis.
BAI04-BP2 BAI04-02
Memastikan bahwa dampak dari tidak tersedianya sumber daya diterima dan disepakati oleh pelanggan sepenuhnya. Memastikan bahwa persyaratan ketersediaan
sesuai SLA dapat dipenuhi untuk fungsi bisnis yang vital. [Outcome BAI04-O2]
Merencanakan persyaratan layanan yang baru atau perubahan.

BAI04-BP3 Merencanakan dan memprioritaskan implikasi perubahan kebutuhan bisnis dan persyaratan layanan terhadap ketersediaan, kinerja dan kapasitas. [Outcome BAI04- BAI04-03
O2]
Mengawasi dan mengkaji ketersediaan dan kapasitas.

Mengawasi, mengukur, menganalisis, melaporkan dan mengkaji ketersediaan, kinerja dan kapasitas. Mengidentifikasi penyimpangan dari baseline yang telah
BAI04-BP4 BAI04-04
ditentukan. Mengkaji laporan analisis tren, isu dan varians yang signikan, memulai tindakan jika diperlukan dan memastikan bahwa semua isu yang beredar
ditindaklanjuti. [Outcome BAI04-O1: not relevant for this practice]
Menginvestigasi dan mengatasi isu ketersediaan, kinerja dan kapasitas.

BAI04-BP5 BAI04-05
Mengatasi penyimpangan dengan cara menginvestigasi dan mengatasi isu ketersediaan, kinerja dan kapasitas yang teridentifikasi. [Outcome BAI04-O2]
Work Products (WPs)

Masukan
BAI04-BP1
APO02-WP2 Kemampuan keamanan informasi [Outcome BAI04-O1]
BAI04-01
BAI04-BP2
BAI04-WP1 Daftar isu teknis dan prosedural keamanan informasi yang terkait dengan ketersediaan, kinerja dan kapasitas [Outcome BAI04-O2]
BAI04-02
BAI04-BP3
BAI04-03
BAI04-WP2 Penilaian dampak keamana informasi terhadap ketersediaan, kinerja dan kapasitas [Outcome BAI04-O2]
Keluaran
Daftar isu teknis dan prosedural keamanan informasi yang terkait dengan ketersediaan, kinerja dan kapasitas BAI04-BP1
BAI04-WP1 BAI04.02
[Outcome BAI04-O1] BAI04-01
BAI04-BP2
BAI04-WP2 Penilaian dampak keamana informasi terhadap ketersediaan, kinerja dan kapasitas [Outcome BAI04-O2] BAI04.03
BAI04-02
BAI04-BP3
BAI04-WP3 Persyaratan keamanan informasi yang terbaru [Outcome BAI04-O2]
BAI04-03
Internal
BAI04-BP5
BAI04-WP4 Tindakan perbaikan untuk mengurangi isu kapasitas yang terbaru [Outcome BAI04-O1]
BAI04-05
No. Proses BAI05
Nama Mengelola pemberdayaan perubahan organisasi
Memaksimalkan kemungkinan berhasil menerapkan perubahan organisasi lingkup enterprise secara berkelanjutan dengan cepat dan dengan penurunan risiko, mencakup siklus
Deskripsi
perubahan dan semua pemangku kepentingan yang terkena dampak dalam bisnis dan TI.
Tujuan Menyiapkan dan mendapatkan komitmen pemangku kepentingan untuk perubahan bisnis dan mengurangi risiko kegagalan.
Outcomes (Os)
Nomor Deskripsi
Peringatan keamanan informasi dan tren digunakan secara efektif untuk menerapkan perubahan dalam enterprise dan mempengaruhi budaya enterprise pada budaya keamanan
BAI05-O1
informasi.
BAI05-O2 Protokol keamanan informasi direvisi dan disempurnakan sebagai perubahan enterprise melalui kesadaran keamanan informasi.
Membangun keinginan untuk berubah.

BAI05-BP1 Memahami ruang lingkup dan dampak rencana perubahan dan kesiapan/kesediaan pemangku kepentingan untuk berubah. Mengidentifikasi tindakan untuk BAI05-01
memotivasi para pemangku kepentingan untuk menerima dan ingin membuat perubahan pekerjaan dengan sukses. [Outcome BAI05-O1]
Membentuk tim implementasi yang efektif

BAI05-BP2 Membentuk tim implementasi yang efektif dengan menggabungkan anggota yang tepat, menciptakan kepercayaan, menetapkan tujuan umum dan langkah- BAI05-02
langkah yang efektif. [Outcome BAI05-O1]
Mengkomunikasikan visi yang diinginkan.

Mengkomunikasikan visi yang diinginkan untuk perubahan dalam bahasa yang mudah dipahami. Komunikasi harus dibuat oleh manajemen senior dan termasuk
BAI05-BP3 BAI05-03
alasan dan manfaat perubahan serta dampak tidak membuat perubahan serta keterlibatan yang diperlukan dari berbagai pemangku kepentingan. [Outcome BAI05-
O1]
Memberdayakan peran dan mengidentifikasi kesuksesan jangka pendek.

BAI05-BP4 Memberdayakan peran yang terlibat dalam implementasi dengan memastikan akuntabilitas, memberikan pelatihan, menyelaraskan struktur organisasi dan proses BAI05-04
SDM. Mengidentifikasi dan mengkomunikasikan kesuksesan jangka pendek yang dapat direalisasikan. [Outcome BAI05-O1]
Mengoperasikan dan gunakan.

BAI05-BP5 Merencanakan dan mengimplementasikan semua aspek teknis, operasional dan penggunaan sedemikian rupa sehingga semua orang yang terlibat dalam BAI05-05
lingkungan masa depan enterprise dapat melaksanakan tanggung jawabnya. [Outcome BAI05-O1, BAI05-O2]
Menanamkan pendekatan baru.

Menanamkan pendekatan baru dengan pelacakn perubahan yang diimplementasikan, menilai efektivitas rencana operasi dan penggunaan dan mempertahankan
BAI05-BP6 BAI05-06
kesadaran yang sedang berlangsung melalui komunikasi yang teratur. Mengambil tindakan korektif yang sesuai, termasuk menegakkan kepatuhan. [Outcome BAI05-
O2]
Mempertahankan perubahan.
BAI05-BP7 Mempertahankan perubahan melalui pelatihan yang efektif untuk staf baru, kampanye komunikasi yang sedang berlangsung, dilanjutkan dengan komitmen BAI05-07
manajemen puncak, adopsi pengawasan dan berbagi pengetahuan di seluruh bagian enterprise. [Outcome BAI05-O1]
Work Products (WPs)

Masukan

BAI05-BP1
BAI05-01
Di luar COBIT 5
BAI05-BP2
for Information Keahlian personil [Outcome BAI05-O2]
BAI05-02
Security
BAI05-BP3 BAI05-
03
APO02-WP9 Rencana keamanan informasi [Outcome BAI05-O1, BAI05-O2]
BAI05-BP4 BAI05-
04
Di luar COBIT 5
BAI05-BP3
for Information Pernyataan visi/misi organisasi [Outcome BAI05-O1]
BAI05-03
Security
APO02-WP7 Road map strategis keamanan informasi [Outcome BAI05-O2]
BAI05-BP4
BAI05-04
BAI05-WP4 Rencana komunikasi visi keamanan informasi [Outcome BAI05-O2]
BAI05-BP5
BAI05-WP5 Daftar kesuksesan jangka pendek yang potensial [Outcome BAI05-O1, BAI05-O2]
BAI05-05
BAI05-BP6
BAI05-WP6 Langkah keamanan informasi yang praktis [Outcome BAI05-O2]
BAI05-06
Keluaran
BAI05-WP1 Rencana komunikasi dengan manajemen senior [Outcome BAI05-O2] BAI05-BP1

BAI05-01
BAI05-WP2 Proses kontrol perubahan yang disetujui dan sejalan dengan pedoman best practice [Outcome BAI05-O2] Internal
BAI05-BP2
BAI05-WP3 Tim implementasi keamanan informasi [Outcome BAI05-O2]
BAI05-02
BAI05-BP3
BAI05-WP4 Rencana komunikasi visi keamanan informasi [Outcome BAI05-O1] BAI05.04
BAI05-03
BAI05-BP4
BAI05-WP5 Daftar kesuksesan jangka pendek yang potensial [Outcome BAI05-O2] BAI05.05
BAI05-04
BAI05-BP5
BAI05-WP6 Langkah keamanan informasi yang praktis [Outcome BAI05-O1, BAI05-O2] BAI05.06
BAI05-05
BAI05-BP6
BAI05-WP7 Praktik operasinal keamanan infomasi [Outcome BAI05-O2]
BAI05-06
Internal
BAI05-BP7
BAI05-WP8 Kajian penggunaan operasional [Outcome BAI05-O1]
BAI05-07
No. Proses BAI06
Nama Mengelola perubahan
Mengelola semua perubahan dalam cara yang terkontrol, termasuk perubahan standar dan pemeliharaan darurat yang berkaitan dengan proses bisnis, aplikasi dan infrastruktur. Hal
Deskripsi
ini termasuk standar perubahan dan prosedur, penilaian dampak, prioritas dan otorisasi, perubahan darurat, pelacakan, pelaporan, penutupan dan dokumentasi.
Tujuan Memberikan perubahan secara cepat dan handal pada bisnis dan mitigasi risiko yang berdampak negatif pada stabilitas atau integritas lingkungan yang berubah.
Outcomes (Os)
Nomor Deskripsi
BAI06-O1 Persyaratan keamanan informasi dimasukkan ke dalam penilaian dampak proses, aplikasi dan infrastruktur.
BAI06-O2 Perubahan yang darurat dimasukkan ke dalam persyaratan keamanan informasi yang penting.
Mengevaluasi, memprioritaskan dan mengotorisasi permintaan perubahan.

Mengevaluasi semua permintaan perubahan untuk menentukan dampak pada proses bisnis dan layanan TI, menilai apakah perubahan akan mempengaruhi
BAI06-BP1 BAI06-01
lingkungan operasional dan memperkenalkan risiko yang tidak dapat diterima. Memastikan bahwa perubahan akan tercatat, diprioritaskan, dikategorikan, dinilai,
diotorisasi, direncanakan dan dijadwalkan. [Outcome BAI06-O1]
Mengelola perubahan yang darurat.

BAI06-BP2 Mengelola perubahan darurat dengan hari-hati untuk meminimalkan insiden lebih lanjut dan pastikan perubahan tersebut dikendalikan dan berlangsung aman. BAI06-02
Memastikan bahwa perubahan darurat dinilai dan disahkan secara tepat setelah perubahan. [Outcome BAI06-O2]
Melacak dan melaporkan status perubahan.

BAI06-BP3 Memelihara sistem pelacakan dan pelaporan untuk mendokumentasikan perubahan yang ditolak, mengkomunikasikan status perubahan yang disetujui, dalam BAI06-03
proses dan lengkap. Memastikan bahwa perubahan yang disetujui dapat diimplementasikan sesuai yang direncanakan. [Outcome BAI06-O1]
Menyelesaikan dan mendokumentasikan perubahan.

BAI06-BP4 Kapanpun perubahan diimplementasikan, perbarui dokumentasi dan prosedur solusi untuk pengguna yang terpengaruh oleh perubahan. [Outcome BAI06-O1: not BAI06-04
Work Products (WPs)

Masukan
BAI06-BP1
BAI06-01
Keluaran
BAI06-BP1
BAI06-WP1 Penilaian dampak [Outcome BAI06-O1]
BAI06-01
BAI06-BP2
BAI06-WP2 Kajian keamanan informasu pasca implementasi dari perubahan darurat [Outcome BAI06-O2] Internal
BAI06-02
BAI06-BP3
BAI06-WP3 Laporan status permintaan perubahan yang terbaru [Outcome BAI06-O1]
BAI06-03
No. Proses BAI07
Nama Mengelola penerimaan dan transisi perubahan
Secara resmi menerima dan membuat solusi baru operasional, termasuk perencanaan implementasi, konversi sistem dan data, pengujian penerimaan, komunikasi, persiapan rilis,
Deskripsi
promosi untuk produksi proses bisnis baru atau perubahan dan layanan TI, dukungan produksi awal dan kajian pasca implementasi.
Tujuan Mengimplemtasikan solusi secara aman dan sejalan dengan ekspektasi dan outcome yang disetujui.
Outcomes (Os)
Nomor Deskripsi
BAI07-O1 Pengujian keamanan informasi sebagai bagian integral pengujian penerimaan.
BAI07-O2 Perbaikan keamanan informasi yang teridentifikasi dimasukkan ke dalam rilis yang akan datang.
Membangun rencana implementasi.

BAI07-BP1 Membangun rencana implementasi yang meliputi konversi sistem dan data, kriteria pengujian penerimaan, komunikasi, pelatihan, persiapan rilis, promosi produksi, BAI07-01
dukungan produksi awal, rencana kegagalan dan kajian pasca implementasi. Memperoleh persetujuan dari pihak-pihak terkait. [Outcome BAI07-O1]
Merencanakan konversi proses bisnis, sistem dan data.

BAI07-BP2 Mempersiapkan migrasi proses bisnis, layanan TI, data dan infrastruktur sebagai bagian dari metode pengembangan enterprise, termasuk audit dan rencana BAI07-02
pemulihan ketika terjadi kegagalan. [Outcome BAI07-O2: not relevant for this practice]
Merencanakan uji coba penerimaan.

BAI07-BP3 Menyusun rencana uji coba berdasarkan standar enterprise yang mendefinisikan peran, tanggung jawab, kriteria masuk dan keluar. Memastikan bahwa rencana BAI07-03
tersebut disetujui oleh pihak terkait. [Outcome BAI07-O1]
Membentuk lingkungan uji coba.

BAI07-BP4 Mendefinisikan dan membangun perwakilan lingkungan uji coba yang aman dari proses bisnis yang direncanakan dan lingkungan operasional TI, kinerja dan BAI07-04
kapasitas, keamanan, pengendalian internal, praktek operasional, kualitas data dan persyaratan privasi, serta beban kerja. [Outcome BAI07-O1]
Melakukan uji coba penerimaan.

BAI07-BP5 Menguji perubahan secara independen sesuai dengan rencana uji coba yang telah ditentukan sebelum migrasi ke lingkungan operasional atau live. [Outcome BAI07- BAI07-05
O1]
Mempromosikan siap untuk status production dan mengelola rilis.

Mempromosikan solusi yang diterima terhadap bisnis dan operasi. Apabila diperlukan, jalankan solusi baru sebagai implementasi percontohan dan
BAI07-BP6 BAI07-06
membandingkannya dengan solusi lama secara paralel untuk melihat perbandingkan perilaku dan hasil. Jika masalah yang signifikan terjadi maka kembalikan ke
lingkungan yang lama berdasarkan rencana kegagalan. Mengelola rilis komponen solusi. [Outcome BAI07-O2]
Menyediakan dukungan produksi awal.

BAI07-BP7 Menyediakan dukungan awal untuk pengguna dan operasi TI dalam jangka waktu yang telah disepakati untuk menangani masalah dan membantu menstabilkan BAI07-07
solusi baru. [Outcome BAI07-O2: not relevant for this practice]
Melakukan kajian pasca implementasi.

Melakukan kajian pasca implementasi untuk mengkonfirmasi hasil dan outcome, mengidentifikasi pelajaran yang dapat diambil dan mengembangkan rencana
BAI07-BP8 BAI07-08
tindakan. Mengevaluasi dan memeriksa kinerja aktual dan outcome dari layanan baru atau perubahan terhadap kinerja dan outcome yang diprediksi (yaitu,
pelayanan yang diharapkan oleh pengguna atau pelanggan). [Outcome BAI07-O2]
Work Products (WPs)

Masukan
BAI07-BP1
Rencana implementasi TI [Outcome BAI07-O1]
BAI07-01
BAI07-BP3
Rencana uji coba [Outcome BAI07-O1]
BAI07-03
Di luar COBIT 5 BAI07-BP4
Arsitektur data dan lingkungan uji coba [Outcome BAI07-O1]
for Information BAI07-04
Security BAI07-BP5
Uji coba penerimaan [Outcome BAI07-O1]
BAI07-05
BAI07-BP6
Rencana rilis [Outcome BAI07-O2]
BAI07-06
BAI07-BP8
Laporan kajian pasca implementasi [Outcome BAI07-O2]
BAI07-08
Keluaran
BAI07-BP1
BAI07-WP1 Rencana implementasi TI yang terbaru [Outcome BAI07-O1]
BAI07-01
BAI07-BP3
BAI07-WP2 Langkah penerapan keamanan informasi dalam lingkungan uji coba [Outcome BAI07-O1]
BAI07-03
BAI07-BP4
BAI07-WP3 Lingkungan uji coba yang aman [Outcome BAI07-O1]
BAI07-04
Internal
BAI07-BP5
BAI07-WP4 Uji coba penerimaan yang terbaru [Outcome BAI07-O1]
BAI07-05
BAI07-BP6
BAI07-WP5 Rencana rilis yang terbaru [Outcome BAI07-O2]
BAI07-06
BAI07-BP8
BAI07-WP6 Laporan kajian pasca implementasi yang terbaru [Outcome BAI07-O2]
BAI07-08
No. Proses BAI08
Nama Mengelola pengetahuan
Memelihara ketersediaan pengetahuan yang relevan, terkini, tervalidasi dan dapat diandalkan untuk menunjang aktivitas proses dan untuk memfasilitasi pengambilan keputusan.
Deskripsi
Merencanakan untuk pengidentifikasian, pengumpulan, pengaturan, pemeliharaan, penggunaan dan penonaktifan pengetahuan.
Tujuan Memberikan pengetahuan yang diperlukan untuk mendukung semua staf dalam aktivitas kerja dan untuk pengambilan keputusan serta meningkatkan produktivitas.
Outcomes (Os)
Nomor Deskripsi
BAI08-O1 Berbagi pengetahuan didukung dengan perlindungan yang tepat.
Memelihara dan memfasilitasi budaya berbagi pengetahuan.

BAI08-BP1 BAI08-01
Menyusun dan mengimplementasikan skema untuk memelihara dan memfasilitasi budaya berbagi pengetahuan. [Outcome BAI08-O1]
Mengidentifikasi dan mengklasifikasi sumber informasi.

BAI08-BP2 Mengidentifikasi, memvalidasi dan mengklasifikasikan berbagai sumber informasi internal dan eksternal yang diperlukan untuk penggunaan dan pengoperasian BAI08-02
yang efektif dari proses bisnis dan layanan TI. [Outcome BAI08-O1]
Mengatur dan mengubah informasi menjadi pengetahuan.

BAI08-BP3 Mengatur informasi berdasarkan kriteria klasifikasi. Mengidentifikasi dan menciptakan hubungan yang bermakna antara unsur informasi dan penggunaan BAI08-03
informasi. Mengidentifikasi pemilik, mendefinisikan dan mengimplementasikan tingkat akses ke sumber pengetahuan. [Outcome BAI08-O1]
Menggunakan dan berbagi pengetahuan.

Menyebarkan sumber daya pengetahuan yang tersedia untuk pemangku kepentingan yang relevan dan berkomunikasi bagaimana sumber daya tersebut dapat
BAI08-BP4 BAI08-04
digunakan untuk memenuhi kebutuhan yang berbeda (misalnya: pemecahan masalah, pembelajaran, perencanaan strategis dan pengambilan keputusan).
[Outcome BAI08-O1]
Mengevaluasi dan menonaktifkan informasi.

BAI08-BP5 BAI08-05
Mengukur penggunaan dan mengevaluasi informasi yang ada dan relevan. Menonaktifkan informasi yang usang. [Outcome BAI08-O1]
Work Products (WPs)

Masukan
BAI08-BP1
APO01-WP5 Pelatihan dan program kesadaran keamanan informasi [Outcome BAI08-O1]
BAI08-01
Keluaran
BAI08-BP1
BAI08-WP1 Langkah pencegahan kehilangan data [Outcome BAI08-O1]
BAI08-01
BAI08-BP2
BAI08-WP2 Klasifikasi sumber informasi yang terbaru [Outcome BAI08-O1]
BAI08-02
BAI08-BP3
BAI08-WP3 Penampung pengetahuan yang dipublikasikan [Outcome BAI08-O1] Internal
BAI08-03
BAI08-BP4
BAI08-WP4 Kontrol akses yang terbaru [Outcome BAI08-O1]
BAI08-04
BAI08-BP5
BAI08-WP5 Aturan penonaktifan pengetahuan yang terbaru [Outcome BAI08-O1]
BAI08-05
No. Proses BAI09
Nama Mengelola aset
Mengelola aset TI melalui siklusnya untuk memastikan bahwa penggunaannya memberikan nilai pada biaya yang optimal, beroperasi sesuai tujuan, dilindungi secara fisik dan aset
Deskripsi yang sangat penting mendukung kemampuan layanan yang dapat diandalkan dan tersedia . Mengelola lisensi perangkat lunak untuk memastikan bahwa jumlahnya optimal,
dipertahankan dan digunakan sesuai dengan penggunaan bisnis yang diperlukan dan perangkat lunak yang dipasang sesuai dengan perjanjian lisensi.
Tujuan Menghitung seluruh aset TI dan mengoptimalkan nilai yang dapat diberikan.
Outcomes (Os)
Nomor Deskripsi
BAI09-O1 Seluruh aset yang diperoleh sesuai dengan persyaratan keamanan informasi.
BAI09-O2 Seluruh aset diperuntukkan bagi peran dan tanggung jawab tertentu.
BAI09-O3 Mekanisme keamanan informasi ditempatkan secara tepat untuk mencegah penggunaan aset yang tidak sah.
Mengidentifikasi dan merekam aset yang ada saat ini.

BAI09-BP1 Memelihara rekaman seluruh aset TI yang terbaru dan akurat serta yang dibutuhkan untuk memberikan layanan dan memastikan keselarasan dengan manajemen BAI09-01
konfigurasi dan manajemen keuangan. [Outcome BAI09-O1]
Mengelola aset yang kritikal.

BAI09-BP2 Mengidentifikasi aset yang kritikal dalam pemberian kemampuan layanan dan mengambil langkah untuk memaksimalkan keandalan dan ketersediaannya demi BAI09-02
mendukung kebutuhan bisnis. [Outcome BAI09-O1]
Mengelola siklus aset.

BAI09-BP3 Mengelola aset dari pengadaan sampai dengan pemusnahan agar aset dimanfaatkan seefektif dan seefisien mungkin, dicatat dan dilindungi secara fisik. [Outcome BAI09-03
BAI09-O1, BAI09-O2, BAI09-O3]
Mengoptimalkan biaya aset.

BAI09-BP4 Meninjau basis aset keseluruhan Secara teratur untuk mengidentifikasi cara pengoptimalan biaya dan menjaga keselarasan dengan kebutuhan bisnis. [Outcome BAI09-04
BAI09-O1: not relevant for this practice]
Mengelola lisensi.
BAI09-BP5 Mengelola lisensi perangkat lunak sehingga jumlah optimal lisensi dipertahankan untuk mendukung kebutuhan bisnis dan jumlah lisensi yang dimiliki cukup untuk BAI09-05
mengatasi kebutuhan perangkat lunak yang diperlukan. [Outcome BAI09-O1, BAI09-O3]
Work Products (WPs)

Masukan
Di luar COBIT 5
BAI09-BP1
for Information Inventori aset [Outcome BAI09-O1]
BAI09-01
Security
BAI09-BP2
BAI09-WP1 Persyaratan keamanan informasi untuk aset TI [Outcome BAI09-O1]
BAI09-02
BAI09-BP3
BAI09-WP3 Tingkat kekritisan aset TI [Outcome BAI09-O1, BAI09-O2, BAI09-O3]
BAI09-03
Keluaran
BAI09-WP1 Persyaratan keamanan informasi untuk aset TI [Outcome BAI09-O1] BAI09.02 BAI09-BP1
BAI09-01
BAI09-WP2 Hasil pemeriksaan fisik penampungan aset [Outcome BAI09-O1] DSS05.03
BAI09-BP2
BAI09-WP3 Tingkat kekritisan aset TI [Outcome BAI09-O1] BAI09.03
BAI09-02
BAI09-BP3
BAI09-WP4 Prosedur manajemen aset yang terbaru [Outcome BAI09-O1, BAI09-O2, BAI09-O3]
BAI09-03
Internal
BAI09-BP5
BAI09-WP5 Registrasi lisensi perangkat lunak yang terbaru [Outcome BAI09-O1, BAI09-O3]
BAI09-05
No. Proses BAI10
Nama Mengelola konfigurasi
Mendefinisikan dan memelihara deskripsi dan hubungan antara sumber daya kunci dan kemampuan yang diperlukan untuk memberikan layanan TI, termasuk mengumpulkan
Deskripsi
informasi konfigurasi, menetapkan baseline, memverifikasi dan mengaudit informasi konfigurasi dan memperbarui penampungan konfigurasi.
Tujuan Memberikan informasi yang memadai tentang aset layanan untuk memberikan layanan yang dikelola secara efektif, menilai dampak perubahan dan menangani insiden layanan.
Outcomes (Os)
Nomor Deskripsi
BAI10-O1 Dasar konfigurasi keamanan informasi yang ada di dalam enterprise disetujui, diimplementasikan dan diperlihara.
Membangun dan memelihara model konfigurasi.

Membangun dan memelihara model logis dari layanan, aset, infrastruktur dan cara merekam configuration item (CI) dan hubungan di antaranya. Memasukkan CI
BAI10-BP1 BAI10-01
yang dianggap perlu untuk mengelola layanan secara efektif dan untuk memberikan gambaran tunggal yang dapat diandalkan oleh aset dalam layanan. [Outcome
BAI10-O1: not relevant for this practice]
Membangun dan memelihara penampung dan dasar konfigurasi.

BAI10-BP2 BAI10-02
Membangun dan memelihara penampung manajemen konfigurasi dan menciptakan baseline konfigurasi yang dapat dikendalikan. [Outcome BAI10-O1]
Memelihara dan mengontrol CI.

BAI10-BP3 BAI10-03
Memelihara penampung CI yang terbaru dengan cara mengelompokkannya beserta perubahan. [Outcome BAI10-O1: not relevant for this practice]
Memproduksi status dan laporan konfigurasi.

BAI10-BP4 BAI10-04
Mendefinisikan dan memproduksi laporan konfigurasi dengan status perubahan CI. [Outcome BAI10-O1: not relevant for this practice]
Memverifikasi dan mengkaji integritas penampung konfigurasi.

BAI10-BP5 Mengkaji secara periodik penampung konfigurasi dan memverifikasi kelengkapan dan kebenarannya sesuai dengan target yang diinginkan. [Outcome BAI10-O1: not BAI10-05
Work Products (WPs)

Masukan
- - -
Keluaran
BAI10-BP1
BAI10-WP1 Peringatan keamanan informasi [Outcome BAI10-O1]
BAI10-01
BAI10-BP2
BAI10-WP2 Laporan penilaian kelemahan keamanan [Outcome BAI10-O1] Internal
BAI10-02
BAI10-BP3
BAI10-WP3 Rencana manajemen konfigurasi [Outcome BAI10-O1]
BAI10-03
No. Proses DSS01
Nama Mengelola operasi
Mengkoordinasikan dan mengeksekusi aktivitas dan prosedur operasional yang dibutuhkan untuk memberikan layanan TI internal dan outsourcing, termasuk pelaksanaan SOP dan
Deskripsi
aktivitas pemantauan yang diperlukan.
Tujuan Memberikan outcome layanan operasional TI seperti yang telah direncanakan.
Outcomes (Os)
Nomor Deskripsi
DSS01-O1 Operasi keamanan informasi dilakukan berdasarkan rencana operasi keamanan informasi yang sejalan dengan strategi keamanan informasi.
DSS01-O2 Standar keamanan informasi yang dapat digunakan teridentifikasi dan sesuai.
Melakukan prosedur operasi.

DSS01-BP1 DSS01-01
Memelihara dan melakukan tugas prosedur dan operasi secara handal dan konsisten. [Outcome DSS01-O1, DSS01-O2]
Mengelola layanan TI outsourced.

DSS01-BP2 Mengelola operasi layanan TI outsourced untuk memelihara perlindungan informasi enterprise dan kehandalan pemberian layanan. [Outcome DSS01-O1, DSS01- DSS01-02
O2]
Mengawasi infrastruktur TI.

DSS01-BP3 Mengawasi infrastruktur TI dan kejadian terkait. Menyimpan informasi kronologis yang memadai dalam log operasi untuk merekonstruksi, mengkaji dan memeriksa DSS01-03
urutan waktu operasi dan aktivitas lain di sekitarnya atau mendukung operasi. [Outcome DSS01-O1]
Mengelola lingkungan.
DSS01-BP4 Memelihara langkah perlindungan terhadap faktor lingkungan. Memasang peralatan khusus dan perangkat untuk mengawasi dan mengontrol lingkungan. DSS01-04
[Outcome DSS01-O1]
Mengelola fasilitas.
DSS01-BP5 Mengelola fasilitas, termasuk tenaga dan peralatan komunikasi, sesuai dengan peraturan perundang-undangan, persyaratan teknis dan bisnis, spesifikasi vendor, DSS01-05
pedoman kesehatan dan keselamatan. [Outcome DSS01-O1]
Work Products (WPs)

Masukan
DSS01-BP1
APO03-WP8 Pedoman implementasi layanan arsitektur keamanan informasi [Outcome DSS01-O1, DSS01-O2]
DSS01-01
DSS01-BP2
APO01-WP4 Kebijakan yang terkait keamanan informasi [Outcome DSS01-O1, DSS01-O2]
DSS01-02
Di luar COBIT 5
DSS01-BP3
for Information Aturan pengawasan aset dan kondisi kejadian [Outcome DSS01-O1]
DSS01-03
Security
Di luar COBIT 5
DSS01-BP4
for Information Kebijakan lingkungan [Outcome DSS01-O1]
DSS01-04
Security
Di luar COBIT 5
DSS01-BP5
for Information Laporan penilaian fasilitas [Outcome DSS01-O2]
DSS01-05
Security
Keluaran
DSS01-BP1
DSS01-WP1 Prosedur operasi keamanan informasi [Outcome DSS01-O1, DSS01-O2]
DSS01-01
DSS01-BP2
DSS01-WP2 Rencana jaminan pihak ketiga [Outcome DSS01-O1, DSS01-O2]
DSS01-02
DSS01-BP3
DSS01-WP3 Aturan pengawasan aset yang terbaru [Outcome DSS01-O1] Internal
DSS01-03
DSS01-BP4
DSS01-WP4 Kebijakan lingkungan yang terbaru [Outcome DSS01-O1]
DSS01-04
DSS01-BP5
DSS01-WP5 Laporan penilaian faslitas yang terbaru [Outcome DSS01-O2]
DSS01-05
No. Proses DSS02
Nama Mengelola permintaan layanan dan insiden
Memberikan respon yang tepat waktu dan efektif untuk permintaan pengguna dan resolusi semua jenis insiden. Mengembalikan layanan normal, merekam dan memenuhi
Deskripsi
permintaan pengguna, merekam, menyelidiki, mendiagnosa dan menyelesaikan insiden meningkat.
Tujuan Mencapai peningkatan produktivitas dan meminimalkan gangguan melalui resolusi cepat dari permintaan pengguna dan insiden.
Outcomes (Os)
Nomor Deskripsi
DSS02-O1 Program renspons insiden keamanan informasi yang efektif dibangun dan dipelihara.
Mendefinisikan insiden dan skema klasifikasi permintaan layanan.

DSS02-BP1 DSS02-01
Mendefinisikan insiden, skema dan model klasifikasi permintaan layanan. [Outcome DSS02-O1]
Merekam, mengklasifikasi dan memprioritaskan permintaan dan insiden.

DSS02-BP2 Mengidentifikasi, mencatat dan mengklasifikasikan permintaan layanan dan insiden, menetapkan prioritas sesuai dengan kekritisan bisnis dan perjanjian layanan. DSS02-02
[Outcome DSS02-O1]
Memverifikasi, menyetujui dan memenuhi permintaan layanan.

DSS02-BP3 Memilih prosedur permintaan yang tepat dan memverifikasi bahwa permintaan layanan telah memenuhi kriteria permintaan yang didefinisikan. Mendapatkan DSS02-03
persetujuan dan memenuhi permintaan. [Outcome DSS02-O1: not relevant for this practice]
Menginvestigasi, mendiagnosis dan mengalokasikan insiden.

DSS02-BP4 DSS02-04
Mengidentifikasi dan merekam gejala insiden, menentukan kemungkinan penyebab dan mengalokasikan sumber daya untuk resolusi. [Outcome DSS02-O1]
Mengatasi dan memulihkan insiden.

DSS02-BP5 Mendokumentasikan, menerapkan dan menguji solusi yang teridentifikasi atau workarounds dan melakukan tindakan pemulihan untuk memulihkan layanan TI. DSS02-05
[Outcome DSS02-O1]
Menutup permintaan layanan dan insinden.

DSS02-BP6 DSS02-06
Memverifikasi kepuasan resolusi insiden dan/atau pemenuhan permintaan dan kemudian menutupnya. [Outcome DSS02-O1: not relevant for this practice]
Melacak status dan membuat laporan.

DSS02-BP7 Melacak, menganalisis dan melaporkan insiden dan pemenuhan permintaan secara reguler untuk memberikan informasi yang bermanfaat bagi perbaikan yang DSS02-07
berkelanjutan. [Outcome DSS02-O1]
Work Products (WPs)

Masukan
DSS02-BP1
APO01-WP4 Kebijakan yang terkait keamanan informasi [Outcome DSS02-O1]
DSS02-01
DSS02-WP1 Skema klasifikasi insiden keamanan informasi [Outcome DSS02-O1] DSS02-BP2
DSS05-WP12 Tiket insiden keamanan [Outcome DSS02-O1] DSS02-02
Di luar COBIT 5
DSS02-BP5
for Information Penilaian dampak bisnis, kebijakan manajemen risiko organisasi dan skema klasifikasi insiden [Outcome DSS02-O1]
DSS02-05
Security
DSS02-WP2 Klasifikasi dan prioritas insiden keamanan informasi dan permintaan layanan [Outcome DSS02-O1] DSS02-BP7
DSS02-07
DSS02-WP4 Rencana respons insiden [Outcome DSS02-O1]
Keluaran
DSS02-BP1
DSS02-WP1 Skema klasifikasi insiden keamanan informasi [Outcome DSS02-O1] DSS02.02
DSS02-01
APO08.03
APO12.01 DSS02-BP2
DSS02-WP2 Klasifikasi dan prioritas insiden keamanan informasi dan permintaan layanan [Outcome DSS02-O1]
APO13.03 DSS02-02
DSS02.07
DSS02-BP4
DSS02-WP3 Prosedur pengumpulan bukti [Outcome DSS02-O1] Internal
DSS02-04
DSS02-BP5
DSS02-WP4 Rencana respons insiden [Outcome DSS02-O1] DSS02.07
DSS02-05
DSS02-BP7
DSS02-WP5 Pelajaran yang dapat diambil [Outcome DSS02-O1] Internal
DSS02-07
No. Proses DSS03
Nama Mengelola masalah
Mengidentifikasi dan mengklasifikasikan masalah dan akar penyebabnya serta memberikan resolusi tepat waktu untuk mencegah insiden berulang. Memberikan rekomendasi untuk
Deskripsi
perbaikan.
Tujuan Meningkatkan ketersediaan, meningkatkan tingkat layanan, mengurangi biaya, meningkatkan kenyamanan dan kepuasan pelanggan dengan mengurangi jumlah masalah operasional.
Outcomes (Os)
Nomor Deskripsi
DSS03-O1 Masalah keamanan informasi diselesaikan dengan cara yang berkelanjutan.
Mengidentifikasi dan mengklasifikasi masalah.

DSS03-BP1 Mendefinisikan dan mengimplementasikan kriteria dan prosedur untuk melaporkan masalah yang diidentifikasi, termasuk klasifikasi masalah, kategorisasi dan DSS03-01
prioritas. [Outcome DSS03-O1]
Menginvestigasi dan mendiagnosis masalah.

DSS03-BP2 DSS03-02
Menginvestigasi dan mendiagnosis masalah menggunakan ahli yang relevan untuk menilai dan menganalisis akar penyebabnya. [Outcome DSS03-O1]
Mengangkat error yang diketahui.

DSS03-BP3 Segera setelah akar penyebab masalah diidentifikasi, buat catatan error yang diketahui dan solusi yang tepat dan mengidentifikasi solusi yang potensial. [Outcome DSS03-03
DSS03-O1]
Menyelesaikan dan menutup masalah.

Mengidentifikasi dan memulai solusi berkelanjutan menangani akar penyebab, meningkatkan permintaan perubahan melalui proses manajemen perubahan yang
DSS03-BP4 DSS03-04
ditetapkan jika diperlukan untuk mengatasi kesalahan. Memastikan bahwa personil yang terpengaruh agar menyadari tindakan yang diambil dan rencana yang
dikembangkan untuk mencegah terjadinya insiden di masa depan. [Outcome DSS03-O1]
Melakukan manajemen masalah yang proaktif.

DSS03-BP5 Mengumpulkan dan menganalisis data operasional (terutama insiden dan catatan perubahan) untuk mengidentifikasi tren baru yang mungkin menunjukkan DSS03-05
masalah. Catat masalah yang terjadi untuk melakukan penilaian. [Outcome DSS03-O1]
Work Products (WPs)

Masukan
Di luar COBIT 5
DSS03-BP1
for Information Penilaian kelemahan keamanan [Outcome DSS03-O1]
DSS03-01
Security
DSS03-BP4
DSS03-WP1 Skema klasifikasi masalah keamanan informasi [Outcome DSS03-O1]
DSS03-04
DSS03-BP5
DSS03-WP4 Akar penyebab masalah [Outcome DSS03-O1]
DSS03-05
Keluaran
DSS03-BP1
DSS03-WP1 Skema klasifikasi masalah keamanan informasi [Outcome DSS03-O1] DSS03.04
DSS03-01
DSS03-BP2
DSS03-WP2 Akar penyebab masalah yang terbaru [Outcome DSS03-O1] Internal
DSS03-02
DSS03-BP3
DSS03-WP3 Rekaman error diketahui yang terbaru [Outcome DSS03-O1] Internal
DSS03-03
DSS03-BP4
DSS03-WP4 Akar penyebab masalah [Outcome DSS03-O1] DSS03.05
DSS03-04
Implementasi kebijakan, prosedur dan rencana tindakan keamanan informasi untuk mengatasi akar penyebab masalah DSS03-BP5
DSS03-WP5 Internal
[Outcome DSS03-O1] DSS03-05
No. Proses DSS04
Nama Mengelola keberlangsungan
Membangun dan memelihara rencana menjalankan bisnis dan TI untuk menanggapi insiden dan gangguan dalam rangka, melanjutkan pengoperasian proses bisnis penting dan
Deskripsi
layanan TI yang diperlukan dan menjaga ketersediaan informasi pada tingkat yang dapat diterima bagi enterprise.
Tujuan Melanjutkan operasi bisnis kritis dan menjaga ketersediaan informasi pada tingkat yang dapat diterima oleh enterprise ketika terjadi gangguan yang signifikan.
Outcomes (Os)
Nomor Deskripsi
DSS04-O1 Risiko informasi diidentifikasi dan diatasi dengan benar dalan rencana keberlangsungan teknologi informasi dan komunikasi.
Mendefinisikan kebijakan, tujuan dan lingkup keberlangsungan bisnis.

DSS04-BP1 DSS04-01
Mendefinisikan kebijakan dan lingkup keberlangsungan bisnis yang sejalan dengan tujuan enterprise dan pemangku kepentingan. [Outcome DSS04-O1]
Memelihara strategi keberlangsungan.

DSS04-BP2 Mengevaluasi pilihan manajemen keberlangsungan bisnis dan memilih strategi kelangsungan yang hemat biaya dan layak dan memastikan pemulihan dan DSS04-02
kesinambungan enterprise dalam menghadapi bencana, kejadian besar lainnya atau gangguan. [Outcome DSS04-O1]
Mengembangkan dan mengimplementasikan respons keberlangsungan bisnis.

DSS04-BP3 Mengembangkan business continuity plan (BCP) berdasarkan strategi yang tercantum di prosedur dan informasi dalam kesiapan menghadapi insiden. [Outcome DSS04-03
DSS04-O1]
Berlatih, uji coba dan mengkaji BCP.

Menguji pengaturan kontinuitas secara teratur untuk melaksanakan rencana pemulihan terhadap outcome yang telah ditentukan dan solusi inovatif untuk
DSS04-BP4 DSS04-04
dikembangkan serta membantu dalam pemverifikasian rencana pemulihan dari waktu ke waktu agar sistem dapat bekerja seperti yang diharapkan. [Outcome
DSS04-O1: not relevant for this practice]
Mengkaji, memelihara dan memperbaiki rencana keberlangsungan.

Melakukan kajian manajemen terhadap kemampuan kontinuitas secara berkala untuk memastikan kelanjutan sistem yang sesuai, cukup dan efektif. Mengelola
DSS04-BP5 DSS04-05
perubahan rencana sesuai dengan proses perubahan kontrol untuk memastikan bahwa rencana kesinambungan tetap aktual dan terus mencerminkan kebutuhan
bisnis yang sebenarnya. [Outcome DSS04-O1]
Melaksanakan pelatihan rencana keberlangsungan.

DSS04-BP6 Menyediakan semua pihak internal dan eksternal yang berkaitan dengan sesi pelatihan rutin mengenai prosedur, peran dan tanggung jawabnya ketika terjadi DSS04-06
gangguan. [Outcome DSS04-O1: not relevant for this practice]
Mengelola pengaturan backup.

DSS04-BP7 DSS04-07
Memelihara ketersediaan informasi bisnis yang kritikal. [Outcome DSS04-O1]
Melakukan kajian pasca pemulihan.

DSS04-BP8 DSS04-08
Menilai kecukupan BCP ketika pemulihan proses bisnis dan layanan sukses dilakukan setelah terjadinya gangguan. [Outcome DSS04-O1]
Work Products (WPs)

Masukan
DSS04-BP1
Kebijakan untuk keberlangsungan bisnis [Outcome DSS04-O1]
DSS04-01
DSS04-BP2
BIA [Outcome DSS04-O1]
DSS04-02
DSS04-BP3
Di luar COBIT 5
DSS04-03
for Information BCP [Outcome DSS04-O1]
DSS04-BP5
Security
DSS04-05
DSS04-BP7
Hasil pengujian backup data [Outcome DSS04-O1]
DSS04-07
DSS04-BP8
Laporan kajian pasca pemulihan [Outcome DSS04-O1]
DSS04-08
Keluaran
DSS04-BP1
DSS04-WP1 Kebijakan untuk keberlangsungan bisnis yang terbaru [Outcome DSS04-O1]
DSS04-01
DSS04-BP2
DSS04-WP2 BIA yang terbaru [Outcome DSS04-O1]
DSS04-02
DSS04-BP3
DSS04-03
DSS04-WP3 BCP yang terbaru [Outcome DSS04-O1] Internal
DSS04-BP5
DSS04-05
DSS04-BP7
DSS04-WP4 Hasil pengujian backup data yang terbaru [Outcome DSS04-O1]
DSS04-07
DSS04-BP8
DSS04-WP5 Laporan kjian pasca pemulihan yang terbaru [Outcome DSS04-O1]
DSS04-08
No. Proses DSS05
Nama Mengelola layanan keamanan
Melindungi informasi enterprise untuk mempertahankan tingkat risiko keamanan informasi yang dapat diterima oleh enterprise sesuai dengan kebijakan keamanan. Membangun dan
Deskripsi
memelihara peran keamanan informasi dan hak akses serta melakukan pemantauan keamanan.
Tujuan Meminimalkan dampak operasional bisnis ketika terdapat kelemahan dan insiden keamanan informasi.
Outcomes (Os)
Nomor Deskripsi
DSS05-O1 Keamanan jaringan dan komunikasi sesuai dengan kebutuhan bisnis.
DSS05-O2 Terlindunginya informasi yang diproses, disimpan dan ditransmisikan oleh perangkat endpoint.
DSS05-O3 Semua pengguna secara unik dapat diidentifikasi dan memiliki hak akses yang sesuai dengan perannya dalam bisnis.
DSS05-O4 Langkah secara fisik telah diimplementasikan untuk melindungi informasi dari akses ilegal, kerusakan dan intervensi ketika sedang diproses, disimpan atau ditransmisikan.
DSS05-O5 Informasi elektronis diamankan secara tepat ketika disimpan, ditransmisikan atau dihancurkan.
Melindungi sistem dari malware.

DSS05-BP1 Mengimplementasikan dan memelihara langkah pencegahan, detektif dan korektif (patch keamanan yang terbaru dan kontrol virus) di seluruh enterprise untuk DSS05-01
melindungi sistem informasi dan teknologi dari malware (misalnya: virus, worm, spyware, spam). [Outcome DSS05-O2, DSS05-O5]
Mengelola keamanan jaringan dan koneksi.

DSS05-BP2 Menggunakan langkah keamanan dan prosedur manajemen yang terkait untuk melindungi informasi atas semua metode koneksi. [Outcome DSS05-O1, DSS05-O2, DSS05-02
DSS05-O4, DSS05-O5]
Mengelola keamanan perangkat endpoint.

Memastikan bahwa perangkat endpoint (misalnya: laptop, desktop, server, perangkat mobile dan jaringan lainnya) dijamin pada tingkat yang sama atau lebih besar
DSS05-BP3 DSS05-03
dari persyaratan keamanan informasi yang didefinisikan untuk melindungi informasi yang diproses, disimpan atau ditransmisikan. [Outcome DSS05-O1, DSS05-O2,
DSS05-O4]
Mengelola identitas pengguna dan akses lojik.

DSS05-BP4 Memastikan bahwa semua pengguna memiliki hak akses informasi sesuai dengan kebutuhan bisnisnya dan berkoordinasi dengan unit bisnis yang mengelola hak DSS05-04
aksesnya. [Outcome DSS05-O3]
Mengelola akses fisik terhadap aset TI.

Mendefinisikan dan mengimplementasikan prosedur untuk memberikan, membatasi dan mencabut akses ke lokasi, bangunan dan daerah sesuai dengan
DSS05-BP5 kebutuhan bisnis, termasuk keadaan darurat. Akses ke tempat, bangunan dan daerah harus diizinkan oleh pihak yang berwenang, dicatat dan diawasi. Hal ini harus DSS05-05
berlaku untuk semua orang yang memasuki tempat, termasuk staf, staf sementara, klien, vendor, pengunjung atau pihak ketiga lainnya. [Outcome DSS05-O2,
DSS05-O4]
Mengelola dokumen yang sensitif dan perangkat output.

DSS05-BP6 Membuat perlindungan fisik yang sesuai dan manajemen penampungan terhadap aset TI yang sensitif, seperti formulir khusus, surat berharga, printer khusus atau DSS05-06
token keamanan. [Outcome DSS05-O3, DSS05-O4, DSS05-O5]
Mengawasi infrastruktur untuk kejadian yang terkait keamanan.

DSS05-BP7 Menggunakan alat deteksi intrusi, mengawasi infrastruktur terhadap akses yang tidak sah dan memastikan setiap kejadian terintegrasi dengan pengawasan dan DSS05-07
manajemen insiden. [Outcome DSS05-O1, DSS05-O4]
Work Products (WPs)

Masukan
DSS05-BP1
APO01-WP8 Pedoman klasifikasi data [Outcome DSS05-O2, DSS05-O5]
DSS05-01
DSS05-BP1
DSS05-01
APO09-WP3 SLA [Outcome DSS05-O1, DSS05-O2, DSS05-O4, DSS05-O5]
DSS05-BP2
DSS05-02
APO03-WP5 Model arsitektur informasi [Outcome DSS05-O1, DSS05-O2, DSS05-O4]
APO09-WP4 OLA [Outcome DSS05-O1, DSS05-O2, DSS05-O4] DSS05-BP3
BAI09-WP2 Hasil pengecekan penampung secara fisik [Outcome DSS05-O1, DSS05-O2, DSS05-O4] DSS05-03
DSS06-WP4 Laporan pelanggaran [Outcome DSS05-O1, DSS05-O2, DSS05-O4]
DSS05-BP4
APO01-WP2 Definisi peran dan tanggung jawab yang terkait TI [Outcome DSS05-O3]
DSS05-04
DSS05-BP4
DSS05-04
APO03-WP5 Model arsitektur informasi [Outcome DSS05-O3, DSS05-O4, DSS05-O5]
DSS05-BP6
DSS05-06
Keluaran
DSS05-WP1 Kebijakan pencegahan perangkat lunak berbahaya [Outcome DSS05-O2, DSS05-O5] APO01.04
DSS05-BP1
APO12.02 DSS05-01
DSS05-WP2 Evaluasi ancaman yang potensial [Outcome DSS05-O2, DSS05-O5]
APO12.03
DSS05-WP3 Kebijakan keamanan koneksi [Outcome DSS05-O1, DSS05-O2, DSS05-O4, DSS05-O5] APO01.04 DSS05-BP2
DSS05-WP4 Hasil penetration test [Outcome DSS05-O1, DSS05-O2, DSS05-O4, DSS05-O5] MEA02.08 DSS05-02
DSS05-BP3
DSS05-WP5 Kebijakan keamanan pada perangkat endpoint [Outcome DSS05-O1, DSS05-O2, DSS05-O4] APO01.04
DSS05-03
DSS05-WP6 Hasil kajian akun pengguna dan hak aksesnya [Outcome DSS05-O3] DSS05-BP4
Internal
DSS05-WP7 Hak akses pengguna yang disetujui [Outcome DSS05-O3] DSS05-04
DSS05-WP8 Access logs [Outcome DSS05-O2,DSS05-O4] DSS06.03 DSS05-BP5
DSS05-WP9 Permintaan akses yang disetujui [Outcome DSS05-O2, DSS05-O4] Internal DSS05-05
DSS05-WP10 Hak akses khusus [Outcome DSS05-O3, DSS05-O4, DSS05-O5] DSS05-BP6
Internal
DSS05-WP11 Penyimpan dokumen sensitif dan perangkatnya [Outcome DSS05-O3, DSS05-O4, DSS05-O5] DSS05-06
DSS05-WP12 Tiket insiden keamanan [Outcome DSS05-O1, DSS05-O4] DSS02.02
DSS05-BP7
DSS05-WP13 Karakteristik insiden keamanan [Outcome DSS05-O1, DSS05-O4]
Internal DSS05-07
DSS05-WP14 Log kejadian keamanan [Outcome DSS05-O1, DSS05-O4]
No. Proses DSS06
Nama Mengelola kontrol proses bisnis
Mendefinisikan dan memelihara kontrol proses bisnis yang tepat untuk memastikan bahwa informasi yang dikelola secara in-house atau proses bisnis outsourcing memenuhi semua
Deskripsi
persyaratan pengendalian informasi yang relevan.
Tujuan Memelihara integritas informasi dan keamanan aset informasi yang terdapat di dalam proses bisnis atau outsourced.
Outcomes (Os)
Nomor Deskripsi
DSS06-O1 Kontrol yang tepat untuk proses keamanan informasi dijalankan, dikaji dan diperbarui.
DSS06-O2 Kontrol yang tepat dijalankan dengan melindungi kerahasiaan, integritas dan ketersediaan proses bisnis.
Menyelaraskan aktivitas pengendalian yang tertanam dalam proses bisnis untuk mendukung tujuan enterprise.
DSS06-BP1 Menilai dan memantau pelaksanaan aktivitas proses bisnis dan kontrol terkait secara kontinu, berdasarkan risiko enterprise dan memastikan bahwa kontrol DSS06-01
pengolahan selaras dengan kebutuhan bisnis. [Outcome DSS06-O1]
Mengendalikan pengolahan informasi.

DSS06-BP2 Mengoperasikan pelaksanaan aktivitas proses bisnis dan kontrol terkait, berdasarkan risiko enterprise dan memastikan bahwa pengolahan informasi telah valid, DSS06-02
lengkap, akurat, tepat waktu, dan aman (yaitu: mencerminkan penggunaan bisnis sah dan resmi). [Outcome DSS06-O2: not relevant for this practice]
Mengelola peran, tanggung jawab, hak akses khusus dan tingkat wewenang.
Mengelola peran bisnis, tanggung jawab, tingkat wewenang dan pemisahan tugas yang diperlukan untuk mendukung tujuan proses bisnis. Mengotorisasi akses ke
DSS06-BP3 DSS06-03
aset informasi yang terkait dengan proses bisnis informasi, termasuk bagian yang ada di bawah urusan bisnis, TI dan pihak ketiga. Hal ini memastikan bahwa bisnis
mengetahui keberadaan data dan siapa yang menanganinya. [Outcome DSS06-O2]
Mengelola error dan pengecualian.

DSS06-BP4 Mengelola pengecualian dan kesalahan proses bisnis serta memfasilitasi koreksinya. Memasukkan eskalasi pengecualian dan kesalahan proses bisnis serta DSS06-04
pelaksanaan tindakan perbaikan yang ditetapkan. Hal ini memberikan jaminan akurasi dan integritas proses bisnis pengolah informasi. [Outcome DSS06-O2]
Memastikan kemudahan untuk penelusuran kejadian terkait informasi.

Memastikan bahwa informasi bisnis dapat ditelusuri oleh pihak yang bertanggung jawab. Hal ini memudahkan penelusuran informasi melalui siklusnya dan proses
DSS06-BP5 DSS06-05
yang terkait. Hal ini juga memberikan jaminan bahwa informasi yang mendukung bisnis telah diproses sesuai dengan tujuan yang telah ditetapkan. [Outcome DSS06-
O2: not relevant for this practice]
Mengamankan aset informasi.

Mengamankan aset informasi yang dapat diakses oleh bisnis melalui metode yang telah disetujui, termasuk informasi dalam bentuk elektronik (seperti metode
DSS06-BP6 penciptaan aset baru dalam bentuk apapun, perangkat media portabel, aplikasi pengguna dan perangkat penyimpanan), informasi dalam bentuk fisik (seperti DSS06-06
dokumen sumber atau laporan keluaran) dan informasi selama transit. Hal ini menguntungkan bisnis dengan menyediakan pengamanan informasi secara end-to-
end. [Outcome DSS06-O2]
Work Products (WPs)

Masukan
APO13-WP1 Pernyataan lingkup SMKI [Outcome DSS06-O2]
DSS05-WP8 Access logs [Outcome DSS06-O2] DSS06-BP3

DSS06-03
Di luar COBIT 5 Peran dan tanggung jawab yang dialokasikan [Outcome DSS06-O2]
for Information
Security DSS06-BP6
Inventori aset [Outcome DSS06-O2]
DSS06-06
Keluaran
DSS06-BP1
DSS06-WP1 Kontrol aplikasi yang aman [Outcome DSS06-O1] Internal
DSS06-01
DSS06-BP3
DSS06-WP2 Peran, tanggung jawab, hak akses khusus dan tingkatan wewenang yang terbaru [Outcome DSS06-O2] Internal
DSS06-03
DSS06-BP4
DSS06-WP3 Hak akses khusus yang terbaru [Outcome DSS06-O2] Internal
DSS06-04
DSS06-BP6
DSS06-WP4 Laporan pelanggaran [Outcome DSS06-O2] DSS05.03
DSS06-06
No. Proses MEA01
Nama Mengawasi, mengevaluasi dan menilai kinerja dan kesesuaian
Mengumpulkan, memvalidasi dan mengevaluasi bisnis, IT dan tujuan proses dan metrik. Memantau kinerja proses, kesesuaian tujuan dan metrik serta memberikan pelaporan yang
Deskripsi
sistematis dan tepat waktu.
Tujuan Menyediakan transparansi dari kinerja dan kesesuaian serta mengarahkan pencapaian tujuan.
Outcomes (Os)
Nomor Deskripsi
MEA01-O1 Kinerja keamanan informasi diawasi secara terus menerus.
MEA01-O2 Praktik keamanan informasi dan risiko informasi sesuai dengan persyaratan kepatuhan internal.
Membentuk pendekatan pengawasan.

Terlibat dengan para pemangku kepentingan untuk membangun dan memelihara pendekatan pengawasan dalam rangka menentukan tujuan, ruang lingkup dan
MEA01-BP1 MEA01-01
metode untuk mengukur solusi bisnis, layanan dan kontribusi terhadap tujuan enterprise. Mengintegrasikan pendekatan ini dengan sistem manajemen kinerja
enterprise. [Outcome MEA01-O1]
Mengatur target kinerja dan kesesuaian.

MEA01-BP2 Bekerja dengan para pemangku kepentingan untuk menentukan, meninjau secara berkala, mengubah dan menyetujui target kinerja dan kesesuaian dalam sistem MEA01-02
pengukuran kinerja. [Outcome MEA01-O1, MEA01-O2]
Mengumpulkan dan memproses data kinerja dan kesesuaian.

MEA01-BP3 MEA01-03
Mengumpulkan dan memproses data secara tepat waktu dan akuran yang sejalan dengan pendekatan enterprise. [Outcome MEA01-O1, MEA01-O2]
Menganalisis dan melaporkan kinerja.

MEA01-BP4 Meninjau dan melaporkan kinerja terhadap target secara berkala, menggunakan metode yang menyediakan pandangan ringkas terhadap kinerja TI dan cocok MEA01-04
dalam sistem pemantauan enterprise. [Outcome MEA01-O1]
Memastikan implementasi tindakan perbaikan.

MEA01-BP5 Membantu para pemangku kepentingan dalam mengidentifikasi, memulai dan melacak tindakan korektif untuk mengatasi anomali. [Outcome MEA01-O1, MEA01- MEA01-05
O2]
Work Products (WPs)

Masukan
APO01-WP4 Kebijakan yang terkait keamanan informasi [Outcome MEA01-O1]
BAI02-WP1 Persyaratan keamanan informasi [Outcome MEA01-O1] MEA01-BP1

Di luar COBIT 5 MEA01-01
for Information Standar dan regulasi keamanan informasi [Outcome MEA01-O1]
Security
MEA01-BP2
MEA01-WP1 Proses dan prosedur pengawasan keamanan informasi [Outcome MEA01-O1, MEA01-O2]
MEA01-02
Di luar COBIT 5
MEA01-BP3
for Information Regulasi yang berlaku [Outcome MEA01-O1, MEA01-O2]
MEA01-03
Security
MEA01-BP4
MEA01-WP2 Metrik dan target keamanan informasi yang disetujui [Outcome MEA01-O1]
MEA01-04
Di luar COBIT 5
MEA01-BP5
for Information Panduan eskalasi [Outcome MEA01-O1, MEA01-O2]
MEA01-05
Security
Keluaran
MEA01-BP1
MEA01-WP1 Proses dan prosedur pengawasan keamanan informasi [Outcome MEA01-O1] MEA01.02
MEA01-01
APO07.04 MEA01-BP2
MEA01-WP2 Metrik dan target keamanan informasi yang disetujui [Outcome MEA01-O1, MEA01-O2]
MEA01.04 MEA01-02
MEA01-BP3
MEA01-WP3 Data pengawasan yang diproses [Outcome MEA01-O1, MEA01-O2] Internal
MEA01-03
MEA01-BP4
MEA01-WP4 Laporan keamanan informasi dan rencana tindakan perbaikan yang diperbarui [Outcome MEA01-O1] APO01.07
MEA01-04
MEA01-BP5
MEA01-WP5 Proses pelacakan tindakan perbaikan pada isu keamanan informasi [Outcome MEA01-O1, MEA01-O2] Internal
MEA01-05
No. Proses MEA02
Nama Mengawasi, mengevaluasi dan menilai sistem pengendalian internal
Memantau dan mengevaluasi lingkungan pengendalian secara kontinu, termasuk penilaian mandiri dan kajian jaminan independen. Membuat manajemen dapat mengidentifikasi
Deskripsi
kekurangan kontrol dan inefisiensi serta untuk memulai tindakan perbaikan. Merencanakan, mengatur dan menjaga standar untuk penilaian pengendalian internal.
Mendapatkan transparansi bagi para stakeholder kunci pada kecukupan sistem pengendalian internal sehingga mendapat kepercayaan dalam operasi, kepercayaan terhadap
Tujuan
pencapaian tujuan enterprise dan pemahaman yang memadai mengenai risiko residual.
Outcomes (Os)
Nomor Deskripsi
MEA02-O1 Kontrol keamanan informasi dibuat dan dioperasikan secara efektif.
MEA02-O2 Pengawasan proses keamanan informasi dilaksanakan dan hasilnya dilaporkan.
Mengawasi pengendalian internal.

MEA02-BP1 Memantau, membandingkan dan memperbaiki lingkungan pengendalian TI dan kerangka kontrol secara kontinu untuk memenuhi tujuan organisasi. [Outcome MEA02-01
MEA02-O2]
Mengkaji keefektifan kontrol bisnis proses.

Mengkaji pengoperasian kontrol, termasuk kajian pengawasan dan bukti pengujian, untuk memastikan bahwa kontrol dalam proses bisnis beroperasi secara efektif.
MEA02-BP2 Meliputi kegiatan untuk menjaga bukti kontrol operasi yang efektif melalui mekanisme seperti pengujian kontrol secara berkala, terus menerus mengendalikan MEA02-02
pemantauan, penilaian independen, pusat pengendalian dan pusat operasi jaringan. Hal ini menyediakan bisnis dengan jaminan efektivitas kontrol untuk
memenuhi persyaratan yang berkaitan dengan bisnis, peraturan dan tanggung jawab sosial. [Outcome MEA02-O2]
Melakukan penilaian mandiri terhadap kontrol.

MEA02-BP3 Mendorong manajemen dan pemilik proses untuk mengambil kepemilikan dari peningkatan kontrol melalui program berkelanjutan dari penilaian mandiri untuk MEA02-03
mengevaluasi kelengkapan dan efektivitas pengendalian manajemen atas proses, kebijakan dan kontrak. [Outcome MEA02-O2]
Mengidentifikasi dan melaporkan kekurangan dari kontrol.

MEA02-BP4 Mengidentifikasi kekurangan kontrol, menganalisis dan mengidentifikasi akar penyebab yang mendasarinya. Mengeskalasi kekurangan dari kontrol dan MEA02-04
melaporkannya ke pemangku kepentingan. [Outcome MEA02-O2]
Memastikan bahwa jaminan penyedia bekerja secara independen dan memiliki kualifikasi.
Memastikan bahwa entitas memberikan jaminan yang independen dari fungsi, kelompok atau organisasi yang berada dalam lingkup. Entitas tersebut harus
MEA02-BP5 MEA02-05
menunjukkan sikap yang tepat, penampilan, kompetensi, keterampilan dan pengetahuan yang diperlukan untuk memberikan jaminan serta kepatuhan terhadap
kode etik dan standar profesi. [Outcome MEA02-O1]
Merencanakan inisiatif jaminan.

MEA02-BP6 Merencanakan inisiatif jaminan berdasarkan tujuan enterprise dan prioritas strategis, risiko yang melekat, keterbatasan sumber daya, dan pengetahuan yang cukup MEA02-06
dari enterprise. [Outcome MEA02-O1]
Menentukan lingkup inisiatif jaminan.

MEA02-BP7 MEA02-07
Mendefinisikan dan menyetujui bersama manajemen mengenai lingkup inisiatif jaminan berdasarkan tujuan jaminan. [Outcome MEA02-O1]
Mengeksekusi inisiatif jaminan.

MEA02-BP8 Mengeksekusi inisiatif jaminan yang direncanakan. Melaporkan temuan yang teridentifikasi. Memberikan pendapat jaminan, rekomendasi untuk perbaikan yang MEA02-08
berkaitan. [Outcome MEA02-O1, MEA02-O2]
Work Products (WPs)

Masukan
APO01-WP4 Kebijakan yang terkait keamanan informasi [Outcome MEA02-O2]
APO13-WP5 Laporan audit SMKI [Outcome MEA02-O2] MEA02-BP1

Di luar COBIT 5 MEA02-01
for Information Audit eksternal yang independen [Outcome MEA02-O2]
Security
MEA02-BP3
MEA02-WP1 Lingkup dan pendekatan jaminan keamanan informasi yang terdefinisi untuk menilai kendali internal [Outcome MEA02-O2]
MEA02-03
MEA02-BP4
MEA02-WP3 Penilaian jaminan keamanan informasi [Outcome MEA02-O1, MEA02-O2]
MEA02-04
MEA02-BP6
Di luar COBIT 5
MEA02-06
for Information Rencana perjanjian [Outcome MEA02-O1]
MEA02-BP7
Security
MEA02-07
DSS05-WP4 Hasil penetration test [Outcome MEA02-O1, MEA02-O2] MEA02-BP8
MEA02-08
MEA02-WP4 Hasil penilaian dan tindakan ulangan untuk perbaikan [Outcome MEA02-O1, MEA02-O2]
Keluaran
MEA02-BP1
MEA02-WP1 Lingkup dan pendekatan jaminan keamanan informasi yang terdefinisi untuk menilai kendali internal [Outcome MEA02-O2] MEA02.03
MEA02-01
MEA02-BP2
MEA02-WP2 Bukti keefektifan kontrol keamanan informasi [Outcome MEA02-O2] Internal
MEA02-02
MEA02-BP3
MEA02-WP3 Penilaian jaminan keamanan informasi [Outcome MEA02-O2] MEA02.04
MEA02-03
MEA02-BP4
MEA02-WP4 Hasil penilaian dan tindakan ulangan untuk perbaikan [Outcome MEA02-O1, MEA02-O2] MEA02.08
MEA02-04
MEA02-BP5
MEA02-WP5 Keahlian dan pengetahuan yang kompeten [Outcome MEA02-O1]
MEA02-05
MEA02-BP6
MEA02-06
MEA02-WP6 Rencana perjanjian yang terbaru [Outcome MEA02-O1] Internal
MEA02-BP7
MEA02-07
MEA02-BP8
MEA02-WP7 Laporan dan rekomendasi audit eksternal terhadap keamanan informasi [Outcome MEA02-O1, MEA02-O2]
MEA02-08
No. Proses MEA03
Nama Mengawasi, mengevaluasi dan menilai kepatuhan terhadap persyaratan eksternal
Mengevaluasi apakah proses TI dan proses bisnis yang didukung TI telah sesuai dengan undang-undang, peraturan dan persyaratan kontrak. Memperoleh jaminan bahwa persyaratan
Deskripsi
telah diidentifikasi dan dipenuhi dan mengintegrasikan kepatuhan TI dengan kepatuhan enterprise secara keseluruhan.
Tujuan Memastikan bahwa enterprise telah sesuai dengan semua persyaratan eksternal yang dapat diaplikasikan.
Outcomes (Os)
Nomor Deskripsi
MEA03-O1 Keamanan informasi dan praktik risiko informasi sesuai dengan persyaratan kepatuhan eksternal.
MEA03-O2 Pengawasan dilakukan pada persyaratan eksternal yang baru atau revisi dengan dampak pada keamanan informasi.
Mengidentifikasi persyaratan kepatuhan eksternal.

MEA03-BP1 Secara terus menerus, mengidentifikasi dan memonitor perubahan dalam undang-undang lokal dan internasional, peraturan dan persyaratan eksternal lainnya MEA03-01
yang harus dipenuhi dari perspektif TI. [Outcome MEA03-O1]
Mengoptimalkan respons terhadap persyaratan eksternal.

MEA03-BP2 Mengkaji dan menyesuaikan kebijakan, prinsip, standar, prosedur dan metodologi untuk memastikan bahwa persyaratan hukum, peraturan dan kontrak telah MEA03-02
ditangani dan dikomunikasikan. Mempertimbangkan standar industri, code good practice dan panduan best practice. [Outcome MEA03-O1]
Mengkonfirmasi kepatuhan eksternal.

MEA03-BP3 MEA03-03
Memastikan dipatuhinya kebijakan, prinsip, standar, prosedur dan metodologi dengan persyaratan hukum, peraturan dan kontrak. [Outcome MEA03-O1]
Mendapatkan jaminan terhadap kepatuhan eksternal.

MEA03-BP4 Mendapatkan dan melaporkan jaminan kepatuhan dan patuh terhadap kebijakan, prinsip, standar, prosedur dan metodologi. Mengkonfirmasikan bahwa tindakan MEA03-04
korektif untuk mengatasi kesenjangan kepatuhan diselesaikan pada waktu yang tepat. [Outcome MEA03-O2]
Work Products (WPs)

Masukan
BAI02-WP1 Persyaratan keamanan informasi [Outcome MEA03-O2]

MEA03-BP1
MEA03-01
Di luar COBIT 5 Standar dan regulasi keamanan informasi [Outcome MEA03-O2]
for Information
Security MEA03-BP2
Regulasi yang berlaku [Outcome MEA03-O1]
MEA03-02
Keluaran
MEA03-BP1
MEA03-WP1 Persyaratan kepatuhan keamanan informasi eksternal [Outcome MEA03-O2] BAI02.01
MEA03-01
MEA03-BP2
MEA03-WP2 Persyaratan eksternal yang terbaru [Outcome MEA03-O1] Internal
MEA03-02
MEA03-BP3
MEA03-WP3 Laporan kepatuhan keamanan informasi [Outcome MEA03-O1] Internal
MEA03-03
MEA03-BP4
MEA03-WP4 Laporan jaminan kepatuhan [Outcome MEA03-O2] Internal
MEA03-04
LAMPIRAN B
MODEL PENILAIAN PROSES
B-1
Panduan self-assessment dapat digunakan oleh enterprise untuk melakukan penilaian dari kemampuan proses TI. Pendekatan ini
didasarkan pada PAM COBIT 5 dan ISO/IEC 155004 series.
Instruksi
1. Disarankan penilaian dilakukan oleh tim kecil atau tim manajemen TI.
2. Penilaian sebaiknya dimulai dari level 1 karena terdapat pertanyaan spesifi mengenai outomes proses dan tujuan yang ingin dicapai.
3. Pada setiap level, proses dinilai berdasarkan pertanyaan yang memiliki empat jenis jawaban yaitu not achieved, partial, large atau full.
Selain itu juga, disarankan memasukkan komentar di setiap jawabannya.
4. Jika nilai pencapaian suatu Process Attribute (PA) adalah large atau Full, maka proses dimaksud berada di level yang sedang diacu.
Nama Organisasi : [nama organisasi]
N- 0%-15% P- 15%-50% L- 50%-85% F- 85%-100%
Alamat : [alamat organisasi]
PIC : [nama penanggung jawab] N – Not Achieved
Unit/Posisi : [unit organisasi & posisi] P – Partially Achieved
Email : [email@example.com] L – Largely Achieved
F- Fully Achieved
Target Pencapaian : [target level pencapaian]
REKAPITULASI HASIL PENILAIAN PROSES TATA KELOLA
Kesimpulan: ………………………………………………………………………………………………………………………………………………….
No. Level 1 Level 2 Level 3 Level 4 Level 5 Level

Nama Dinilai? Level 0
Proses Capaian
PA 1.1 PA 2.1 PA 2.2 PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1 PA 5.2
Proses Area Governance
Evaluate, Direct and Monitor (EDM)
EDM01 Memastikan pengaturan dan pemeliharaan kerangka kerja tata kelola - - - - - - - - - - 0
EDM02 Memastikan pemberian manfaat - - - - - - - - - - 0
EDM03 Memastikan optimalisasi risiko - - - - - - - - - - 0
EDM04 Memastikan optimalisasi sumber daya - - - - - - - - - - 0
EDM05 Memastikan tranparansi pemangku kepentingan - - - - - - - - - - 0
Proses Area Management
Align, Plan and Organise (APO)
APO01 Mengelola kerangka kerja manajemen TI - - - - - - - - - - 0
APO02 Mengelola Strategi - - - - - - - - - - 0
APO03 Mengelola arsitektur enterprise - - - - - - - - - - 0
APO04 Mengelola inovasi - - - - - - - - - - 0
APO05 Mengelola portofolio - - - - - - - - - - 0
APO06 Mengelola anggaran dan biaya - - - - - - - - - - 0
APO07 Mengelola SDM - - - - - - - - - - 0
APO08 Mengelola relasi - - - - - - - - - - 0
APO09 Mengelola perjanjian layanan - - - - - - - - - - 0
APO10 Mengelola pemasok - - - - - - - - - - 0
APO11 Mengelola kualitas - - - - - - - - - - 0
APO12 Mengelola risiko - - - - - - - - - - 0
APO13 Mengelola keamanan - - - - - - - - - - 0
Build, Acquire and Implement (BAI)
BAI01 Mengelola program dan proyek - - - - - - - - - - 0
BAI02 Mengelola definisi persyaratan - - - - - - - - - - 0
BAI03 Mengelola identifikasi dan pembangunan solusi - - - - - - - - - - 0
BAI04 Mengelola ketersediaan dan kapasitas - - - - - - - - - - 0
BAI05 Mengelola pemberdayaan perubahan organisasi - - - - - - - - - - 0
BAI06 Mengelola perubahan - - - - - - - - - - 0
BAI07 Mengelola penerimaan dan transisi perubahan - - - - - - - - - - 0
BAI08 Mengelola pengetahuan - - - - - - - - - - 0
BAI09 Mengelola aset - - - - - - - - - - 0
BAI10 Mengelola konfigurasi - - - - - - - - - - 0
Deliver, Service and Support (DSS)
DSS01 Mengelola operasi - - - - - - - - - - 0
DSS02 Mengelola permintaan layanan dan insiden - - - - - - - - - - 0
DSS03 Mengelola masalah - - - - - - - - - - 0
DSS04 Mengelola keberlangsungan - - - - - - - - - - 0
DSS05 Mengelola layanan keamanan - - - - - - - - - - 0
DSS06 Mengelola kontrol proses bisnis - - - - - - - - - - 0
Monitor, Evaluate and Assess (MEA)
MEA01 Mengawasi, mengevaluasi dan menilai kinerja dan kesesuaian - - - - - - - - - - 0
MEA02 Mengawasi, mengevaluasi dan menilai sistem pengendalian internal - - - - - - - - - - 0
MEA03 Mengawasi, mengevaluasi dan menilai kepatuhan terhadap persyaratan eksternal - - - - - - - - - - 0
Rekapitulasi
No. Proses EDM01 Target
Nama Memastikan pengaturan dan pemeliharaan kerangka kerja tata kelola Saat Ini - - - - - - - - - -
Deskripsi Menganalisis dan mengartikulasikan persyaratan untuk tata kelola TI level enterprise, menempatkan dan memelihara efektivitas berjalannya struktur, prinsip, proses dan praktik dengan kejelasan tanggung jawab dan kewenangan untuk mencapai misi, tujuan dan sasaran organisasi. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Menyediakan pendekatan konsisten yang terintegrasi dan selaras dengan pendekatan tata kelola enterprise. Memastikan bahwa keputusan yang berhubungan dengan TI dibuat sejalan dengan strategi dan tujuan organisasi, memastikan bahwa proses yang berhubungan dengan TI diawasi secara efektif dan transparan, sesuai dengan persyaratan hukum dan peraturan yang berlaku, dan persyaratan tata kelola untuk anggota dewan direksi terpenuhi. Kemampuan
Tujuan 0 Stop! Stop! Stop! Stop! Stop! Stop! Stop! Stop!
yang Dicapai
Level Process Attribute Outcome Deskripsi Capaian Komponen Capaian Nomor Deskripsi Pertimbangan Aktivitas Capaian
Outcome Component
Proses tidak diimplementasikan atau gagal not achieved
0 - Incomplete 0%
mencapai tujuannya.
1 - Performed PA 1.1 Proses yang diimplementasikan 1. Menganalisis dan mengidentifikasi faktor lingkungan internal dan eksternal (hukum,
mencapai tujuannya. peraturan dan kontrak) dan tren dalam lingkungan bisnis yang dapat mempengaruhi desain not achieved
Evaluasi Sistem Tata Kelola. tata kelola keamanan informasi.
Mengidentifikasi dan melibatkan diri secara kontinu dengan para pemangku kepentingan Di luar COBIT 5 for IS: Faktor lingkungan internal, eksternal (hukum, 2. Mengevaluasi sejauh mana keamanan informasi dapat memenuhi kebutuhan bisnis dan not achieved
EDM01-BP1 peraturan/kepatuhan.
organisasi, mendokumentasikan persyaratan yang dibutuhkan, dan membuat penilaian regulasi dan kontrak) dan tren
3. Mengartikulasikan prinsip yang akan memandu desain keamanan informasi dan
pada desain tata kelola TI saat ini dan masa depan. not achieved
mempromosikan lingkungan keamanan yang baik.
4. Memahami budaya pengambilan keputusan enterprise dan menentukan model not achieved
Base Practices (BP) 0% pengambilan keputusan yang optimal untuk keamanan informasi.
Tata kelola keamanan informasi dimasukkan 1. Mendapatkan komitmen manajemen senior terhadap keamanan informasi dan manajemen not achieved
EDM01-O1 0%
ke dalam level enterprise. risiko informasi.
Arahkan Sistem Tata Kelola. not achieved
2. Memandatkan fungsi keamanan informasi enterprise.
Menginformasikan pimpinan dan mendapatkan dukungan dan komitmennya. Memandu
• EDM01-WP1: Prinsip panduan keamanan informasi 3. Membentuk Komite Pengarah Keamanan Informasi. not achieved
EDM01-BP2 struktur, proses dan praktik tata kelola TI sejalan dengan prinsip desain tata kelola yang
• APO02-WP6: Strategi keamanan informasi
telah disepakati, model pengambilan keputusan dan tingkat otoritas. Menentukan 4. Mengimplementasikan informasi yang hierarki dan prosedur eskalasi keputusan. not achieved
informasi yang diperlukan untuk pengambilan keputusan.
5. Menyelaraskan strategi keamanan informasi dengan strategi bisnis. not achieved
6. Menumbuhkan budaya dan lingkungan keamanan informasi yang baik. not achieved
Work Product (WP): EDM01-WP1 Prinsip panduan keamanan informasi not achieved
0%
Keluaran EDM01-WP2 Budaya dan lingkungan yang baik untuk keamanan informasi not achieved
Pantau Sistem Tata Kelola. 1. Memantau mekanisme reguler dan rutin untuk memastikan bahwa penggunaan sistem
Base Practices (BP) Memantau efektivitas dan kinerja tata kelola TI. Menilai apakah sistem tata kelola dan Di luar COBIT 5 for IS: Hukum dan regulasi yang terkait dengan pengukuran keamanan informasi sesuai dengan peraturan perundang-undangan dan regulasi not achieved
Jaminan kerahasiaan informasi diperoleh 0% EDM01-BP3
mekanisme yang diterapkan (termasuk struktur, prinsip dan proses) beroperasi secara keamanan informasi yang berhubungan dengan keamanan informasi. Menganalisis keseluruhan implikasi dari
EDM01-O2 melalui penerapan tata kelola keamanan 0% efektif dan memberikan pengawasan TI yang tepat. perubahan lanskap ancaman.
informasi.
Work Product (WP): not achieved
0% EDM01-WP3 Penilaian kepatuhan tata kelola
Keluaran
Total Capaian PA 1.1 0%
2 - Managed PA 2.1 Manajemen Kinerja - ukuran sejauh Generic Practices Mengidentifikasi tujuan kinerja proses. Tujuan kinerja bersama dengan asumsi dan not achieved
0% GP 2.1.1
mana kinerja proses dikelola. (GP) kendala dapat ditetapkan dan dikomunikasikan.
Generic Work GWP 1.0 Dokumentasi proses yang menguraikan lingkup proses not achieved
a. Tujuan kinerja proses teridentifikasi. 0% 0%
Product (GWP) GWP 2.0 Rencana proses yang memberikan tujuan kinerja proses secara detil not achieved
Generic Resource GR 2.1.1 SDM dengan tujuan, tanggung jawab dan otoritas yang teridentifikasi not achieved
0%
(GR) GR 2.1.2 Sumber daya fasilitas dan infrastruktur not achieved
Generic Practices Merencanakan dan memantau kinerja proses untuk memenuhi tujuan yang teridentifikasi. not achieved
0% GP 2.1.2
(GP) Langkah dasar dari kinerja proses yang terkait tujuan bisnis terbentuk dan terpantau.
Generic Work GWP 2.0 Rencana proses yang memberikan tujuan kinerja proses secara detil not achieved
b. Kinerja proses terencana dan terpantau. 0% 0%
Product (GWP) GWP 9.0 Rekaman kinerja proses yang menyajikan outcomes secara detil not achieved
Generic Resource Perencanaan layanan, manajemen dan alat kontrol, termasuk waktu dan biaya pelaporan not achieved
GR 2.1.3
0% dan umpan balik
(GR)
GR 2.1.6 Penampung informasi dan/atau pengalaman yang pernah terjadi not achieved
Mengatur kinerja proses. Tindakan diambil ketika kinerja yang direncanakan tidak tercapai.
Generic Practices not achieved
0% GP 2.1.3 Tindakan meliputi identifikasi masalah kinerja proses dan penyesuaian rencana dan jadwal
(GP)
yang tepat.
Generic Work Rekaman kualitas yang memberikan rincian tindakan yang diambil ketika kinerja tidak not achieved
c. Kinerja proses dapat disesuaikan sesuai rencana. 0% 0% GWP 4.0
Product (GWP) tercapai
GR 2.1.3
0% dan umpan balik
(GR)
GR 2.1.7 Mekanisme manajemen masalah dan isu not achieved
Mendefinisikan tanggung jawab dan wewenang untuk melakukan proses. Tanggung jawab
0% GP 2.1.4 dan wewenang utama untuk melakukan kegiatan utama dari proses dapat didefinisikan,
(GP)
ditugaskan dan dikomunikasikan.
Dokumentasi proses yang memberikan rincian pemilik proses dan siapa yang memiliki not achieved
Generic Work GWP 1.0
0% peran responsible, accountable, consulted dan/atau informed (RACI).
d. Responsibilities and authorities for performing the Product (GWP)
0% Rencana proses yang memasukkan rincian rencana komunikasi proses sama baiknya
process are defined, assigned and communicated. GWP 2.0 not achieved
dengan pengalaman kinerja proses, persyaratan keahlian.
GR 2.1.1 SDM dengan tujuan, tanggung jawab dan otoritas yang teridentifikasi not achieved
Generic Resource GR 2.1.2 Sumber daya fasilitas dan infrastruktur not achieved
0%
(GR) GR 2.1.4 Sistem manajemen alur kerja not achieved
GR 2.1.5 Email dan/atau mekanisme komunikasi lainnya not achieved
Mengidentifikasi dan membuat sumber daya yang tersedia untuk melakukan proses sesuai
0% GP 2.1.5 rencana. Sumber daya dan informasi yang diperlukan untuk melakukan kegiatan utama dari
(GP)
proses teridentifikasi, tersedia, teralokasikan dan digunakan.
e. Sumber daya dan informasi penting untuk melaksanakan
proses teridentifikasi, tersedia, dialokasikan dan 0% Generic Work Rencana proses yang memberikan rincian rencana pelatihan proses dan rencana pencarian not achieved
0% GWP 2.0
digunakan. Product (GWP) sumber daya proses.
Generic Resource
0% GR 2.1.2 Sumber daya fasilitas dan infrastruktur not achieved
(GR)
Mengelola antarmuka antara pihak yang terlibat. Individu dan kelompok yang terlibat
0% GP 2.1.6 dengan proses tersebut teridentifikasi, tanggung jawab didefinisikan dan mekanisme
(GP)
komunikasi yang efektif ditempatkan.
f. Antarmuka antara pihak yang terlibat dikelola untuk 0% peran responsible, accountable, consulted dan/atau informed (RACI).
Product (GWP)
menjamin komunikasi yang efektif dan penugasan 0%
GWP 2.0 Rencana proses yang memasukkan rincian rencana komunikasi proses. not achieved
tanggung jawab secara jelas.
0%
PA 2.2 Manajemen Work Product - Ukuran Generic Practices not achieved
0% GP 2.2.1 Mendefinisikan persyaratan work product, termasuk struktur isi dan kriteria kualitas.
sejauh mana work product yang dihasilkan (GP)
oleh proses dikelola secara tepat. Work a) Persyaratan work product dari proses terdefinisi. 0% Generic Work Rencana kualitas yang memberikan detil kriteria kualitas serta isi dan struktur work not achieved
0% GWP 3.0
produt (atau output dari proses) Product (GWP) product.
didefinisikan dan dikendalikan. Generic Resource not achieved
0% GR 2.2.1 Metode/alat bantu manajemen persyaratan
(GR)
Mendefinisikan persyaratan untuk dokumentasi dan kontrol work product. Hal ini
0% GP 2.2.2 seharusnya mengandung identifikasi ketergantungan, persetujuan dan ketertelusuran
(GP)
persyaratan.
GWP 1.0 Dokumentasi proses yang memberikan rincian kontrol (matriks kontrol) not achieved
Generic Work
0% Rencana kualitas yang memberikan rincian work product, kriteria kualitas, persyaratan
b) Persyaratan dokumentasi dan kontrol work product Product (GWP) GWP 3.0 not achieved
0%
terdefinisi. dokumentasi dan kontrol perubahan
GR 2.2.1 Metode/alat bantu manajemen persyaratan not achieved
Generic Resource GR 2.2.2 Sistem manajemen konfigurasi not achieved
0%
(GR) GR 2.2.3 Elaborasi dokumentasi dan alat bantu pendukung not achieved
GR 2.2.5 Intranet, ektranet dan/atau mekanisme komunikasi lainnya not achieved
Generic Practices Mengidentifikasi, mendokumentasi dan mengontrol work product. Work product sebagai not achieved
0% GP 2.2.3
(GP) subyek untuk mengontrol perubahan, versioning dan manajemen konfigurasi yang tepat.
Generic Work Rencana kualitas yang memberikan rincian work product, kriteria kualitas, persyaratan not achieved
c) Work product teridentifikasi, terdokumentasi dan 0% GWP 3.0
0% Product (GWP) dokumentasi dan kontrol perubahan
terkontrol dengan tepat. GR 2.2.1 Metode/alat bantu manajemen persyaratan not achieved
0%
Mengkaji dan menyesuaikan work product untuk memenuhi persyaratan yang ditentukan.
0% GP 2.2.4 Work product sebagai subyek untuk mengkaji persyaratan yang sesuai dengan pengaturan
(GP)
d) Work product dikaji berdasarkan perjanjian yang yang direncanakan dan masalah yang timbul dapat diselesaikan.
0%
direncanakan dan diatur agar dapat memenuhi persyaratan. Generic Work Quality records should provide an jejak audit dari kajian yang dilakukan not achieved
0% GWP 4.0
Product (GWP) Rekaman berkualitas yang memberikan
Generic Resource GR 2.2.4 Metode dan pengalaman kajian terhadap keluaran not achieved
0%
(GR) GR 2.2.6 Mekanisme manajemen masalah dan isu not achieved
3 - Established PA 3.1 Definisi Proses - Ukuran sejauh mana
Mendefinisikan proses standar yang akan mendukung penyebaran proses yang
proses standar dipertahankan untuk Generic Practices not achieved
0% GP 3.1.1 didefinisikan. Sebuah proses standar didefinisikan untuk mengidentifikasi elemen proses
mendukung penyebaran dari proses yang (GP)
fundamental serta memberikan pedoman dan prosedur.
didefinisikan.
a) Proses standar, termasuk pedoman yang dibuat sendiri
secara tepat, menggambarkan unsur mendasar yang harus 0% Generic Work Kebijakan dan standar yang memberikan rincian tujuan organisasi untuk proses, standar not achieved
0% GWP 5.0
dimasukkan ke dalam sebuah proses yang terdefinisi. Product (GWP) minimum kinerja, prosedur standar, pelaporan dan persyaratan pemantauan.
GR 3.1.1 Metode/alat bantu pemodelan proses not achieved

Generic Resource
0% GR 3.1.2 Materi pelatihan dan kursus not achieved
(GR)
GR 3.1.4 Infrastruktur proses not achieved
Generic Practices Menentukan urutan dan interaksi antar proses sehingga dapat bekerja sebagai suatu not achieved
0% GP 3.1.2
(GP) sistem yang terintegrasi dari proses.
Generic Work Kebijakan dan standar yang memberika pemetaan proses terhadap rincian proses standar not achieved
0% GWP 5.0
b) Urutan dan interaksi proses standar dengan proses Product (GWP) serta urutan dan interkasi yang diharapkan
0% GR 3.1.1 Metode/alat bantu pemodelan proses not achieved
lainnya telah ditentukan.
Generic Resource GR 3.1.2 Materi pelatihan dan kursus not achieved
0%
(GR) GR 3.1.3 Sistem manajemen sumber daya not achieved
0% GP 3.1.3 Mengidentifikasi peran dan tanggung jawab untuk melakukan proses standar.
(GP)
c) Kompetensi dan peran yang diperlukan dalam Generic Work not achieved
0% GWP 5.0 Kebijakan dan standar yang memberikan rincian peran dan kompetensi untuk pelaksanaan
melaksanakan proses teridentifikasi sebagai bagian proses 0% Product (GWP)
standar. GR 3.1.1 Metode/alat bantu pemodelan proses not achieved
Generic Resource
(GR)
GR 3.1.3 Sistem manajemen sumber daya not achieved
Mengidentifikasi infrastruktur dan lingkungan kerja yang diperlukan untuk melakukan
0% GP 3.1.4 proses standar. Infrastruktur (fasilitas, alat, metode, dll) dan lingkungan kerja untuk
d) Infrastruktur dan lingkungan kerja yang diperlukan untuk (GP)
melakukan proses standar teridentifikasi.
melaksanakan proses teridentifikasi sebagai bagain proses 0% Generic Work Kebijakan dan standar yang mengidentifikasi infrastruktur dan lingkungan kerja minimum
0% GWP 5.0 not achieved
standar. Product (GWP) yang diperlukan untuk menjalankan proses
Generic Resource not achieved
0% GR 3.1.1 Metode/alat bantu pemodelan proses
(GR)
Generic Practices Menentukan metode yang cocok untuk memantau keefektifan dan kecocokan proses not achieved
0% GP 3.1.5
(GP) standar.
Kebijakan dan standar yang memberikan rincian tujuan organisasi untuk proses, standar not achieved
e) Metode yang tepat untuk memantau keefektifan dan 0% minimum kinerja, prosedur standar, persyaratan pelaporan dan pemantauan
0% Product (GWP)
kecocokan proses terdefinisi.
Rekaman berkualitas dan GWP 9.0 (Rekaman kinerja proses yang memberikan bukti kajian not achieved
GWP 4.0
yang dilakukan)
Generic Resource GR 3.1.5 Alat bantu audit dan analisis tren not achieved
0%
(GR) GR 3.1.6 Metode pemantauan proses not achieved
PA 3.2 Deployment Proses - Ukuran sejauh Generic Practices not achieved
0% GP 3.2.1 Menyebarkan proses terdefinisi yang sesuai konteks
mana proses standar efektif digunakan (GP)
sebagai proses yang ditetapkan untuk a) Proses yang terdefinisi disebarkan berdasarkan standar Generic Work Kebijakan dan standar yang mendefinisikan standar yang harus diikuti oleh semua
0% 0% GWP 5.0 not achieved
mencapai outcome prosesnya. proses terpilih yang dibuat sendiri secara tepat. Product (GWP) implementasi proses
0% GR 3.2.2 Penampung proses
(GR)
Generic Practices Menetapkan dan mengkomunikasikan peran, tanggung jawab dan wewenang untuk not achieved
0% GP 3.2.2
(GP) melakukan proses yang didefinisikan.
b) Peran, tanggung jawab dan wewenang yang diperlukan
Generic Work Kebijakan dan standar yang memberikan rincian tanggung jawab dan wewenang untuk not achieved
untuk melakukan proses yang terdefinisi telah ditentukan 0% 0% GWP 5.0
Product (GWP) melakukan aktivitas proses
dan dikomunikasikan.
Generic Resource GR 3.2.2 Penampung proses not achieved
0%
0% GP 3.2.3 Memastikan kompetensi yang penting untuk melaksanakan proses yang didefinisikan.
(GP)
GWP 1.0 Dokumentasi proses yang memberikan rincian kompetensi dan persyaratan pelatihan not achieved
c) Personil yang melakukan proses yang terdefinisi adalah
Generic Work
orang berkompetensi di bidang dasar pendidikan, 0% 0%
Product (GWP) Rencana proses yang mencakup rincian rencana komunikasi proses, rencana pelatihan dan
pelatihan dan pengalaman yang tepat. GWP 2.0 not achieved
rencana perolehan sumber daya untuk setiap instance proses
0% GR 3.2.3 Sistem manajemen sumber daya
(GR)
Generic Practices Memberikan sumber daya dan informasi untuk mendukung kinerja proses yang not achieved
0% GP 3.2.4
(GP) didefinisikan.
d) Sumber daya dan informasi penting yang diperlukan
Generic Work Rencana proses yang mencakup rincian rencana perolehan sumber daya untuk setiap not achieved
untuk melaksanakan proses yang terdefinisi dibuat 0% 0% GWP 2.0
Product (GWP) instance proses
tersedia, dialokasikan dan digunakan.
Generic Resource GR 3.2.3 Sistem manajemen sumber daya not achieved
0%
(GR) GR 3.2.4 Sistem manajemen pengetahuan not achieved
Generic Practices Memberikan infrastruktur proses yang cukup untuk mendukung kinerja proses yang not achieved
0% GP 3.2.5
e) Infrastruktur dan lingkungan kerja yang diperlukan untuk (GP) didefinisikan.
melakukan proses yang terdefinisi dibuat tersedia, dikelola 0% Generic Work Rencana proses yang mencakup rincian infrastruktur proses dan lingkungan kerja untuk not achieved
0% GWP 2.0
dan dipelihara. Product (GWP) setiap instance proses
0% GR 3.2.6 Lingkungan kerja dan infrastruktur
(GR)
Generic Practices Mengumpulkan dan menganalisis kinerja proses untuk mendemonstrasikan kecocokan dan not achieved
0% GP 3.2.6
(GP) keefektifannya.
Generic Work Rekaman berkualitas dan GWP 9.0 (Rekaman kinerja proses yang memberikan bukti kajian not achieved
0% GWP 4.0
f) Data yang tepat dikumpulkan dan dianalisis sebagai dasar Product (GWP) yang dilakukan untuk setiap instance proses)
pemahaman berperilaku, mendemonstrasikan kecocokan GR 3.2.1 Mekanisme umpan balik (pelanggan, staf dan pemangku kepentingan lainnya) not achieved
0%
dan keefektifan proses, mengevaluasi perbaikan proses
yang kontinu dapat dibuat. Generic Resource GR 3.2.5 Sistem manajemen masalah dan perubahan not achieved
0%
(GR) GR 3.2.7 Sistem analisis pengumpulan data not achieved
GR 3.2.8 Kerangka kerja penilaian proses not achieved
GR 3.2.9 Sistem audit/kajian not achieved
4 - Predictable PA 4.1 Pengukuran Proses - Ukuran sejauh
Mengidentifikasi kebutuhan informasi proses, dalam kaitannya dengan tujuan bisnis.
mana hasil pengukuran yang digunakan Generic Practices not achieved
0% GP 4.1.1 Tujuan bisnis dan kebutuhan informasi proses pemangku kepentingan telah ditetapkan
untuk memastikan bahwa kinerja proses a) Kebutuhan informasi proses dalam mendukung tujuan (GP)
sebagai dasar untuk menentukan tujuan pengukuran kinerja proses.
mendukung pencapaian tujuan kinerja bisnis yang relevan tersusun. 0%
proses yang relevan dalam mendukung Generic Work Rencana peningkatan proses yang memberikan tujuan peningkatan proses dan tindakan not achieved
0% GWP 6.0
tujuan bisnis yang didefinisikan. Product (GWP) perbaikan yang diusulkan
Generic Resource Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko not achieved
0% GR 4.1.1
(GR) dll)
Generic Practices Menurunkan tujuan pengukuran proses dari kebutuhan informasi proses. Tujuan not achieved
0% GP 4.1.2
b) Tujuan pengukuran proses diturunkan dari kebutuhan (GP) pengukuran didasarkan pada tujuan pengukuran proses yang didefinisikan.
0%
informasi proses. Generic Work
0% GWP 7.0 Rencana pengukuran proses yang memberikan rincian tujuan pengukuran yang diusulkan not achieved
Product (GWP)
0% GR 4.1.5 Alat bantu untuk analisis dan pengukuran data
(GR)
Generic Practices Menyusun tujuan kuantitatif untuk kinerja proses yang didefinisikan, sesuai dengan not achieved
0% GP 4.1.3
(GP) penyelarasan proses dengan tujuan bisnis.
c) Tujuan kuantitatif untuk kinerja proses dalam Generic Work Rencana pengukuran proses yang memberikan rincian langkah pengukuran dan indikator not achieved
0% GWP 7.0
0% Product (GWP) yang diusulkan
mendukung tujuan bisnis yang relevan tersusun.
GR 4.1.1
0% dll)
(GR)
GR 4.1.5 Alat bantu untuk analisis dan pengukuran data not achieved
Generic Practices Mengidentifikasikan produk dan langkah proses yang mendukung pencapaian tujuan not achieved
0% GP 4.1.4
(GP) kuantitatif untuk kinerja proses.
Generic Work Rencana pengukuran proses yang memberikan rincian langkah dan indikator yang not achieved
0% GWP 7.0
Product (GWP) diusulkan serta prosedur pengumpulan data dan prosedur analitis
d) Langkah dan frekuensi pengukuran diidentifikasi dan
Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko not achieved
ditetapkan sesuai dengan tujuan pengukuran proses dan 0% GR 4.1.1
dll)
tujuan kuantitatif untuk kinerja proses. not achieved
GR 4.1.2 Teknik pengukuran yang berlaku
Generic Resource
0%
(GR) GR 4.1.3 Alat bantu pengukuran layanan dan proses serta database yang dihasilkan not achieved
GR 4.1.4 Kerangka kerja pengukuran proses not achieved

Mengumpulkan hasil pengukuran produk dan proses melalui pelaksanaan proses yang
0% GP 4.1.5 didefinisikan. Hasil pengukuran produk dan proses dikumpulkan, dianalisis dan dilaporkan
(GP)
sesuai dengan rencana yang didefinisikan.
GWP 7.0 Rencana pengukuran proses yang memberikan rincian prosedur analitis yang diusulkan not achieved
Generic Work
e) Hasil pengukuran dikumpulkan, dianalisis dan dilaporkan 0%
Product (GWP) Rekaman kinerja proses yang memberikan rincian pengukuran yang dikumpulkan dan
untuk memantau sejauh mana tujuan kuantitatif untuk 0% GWP 9.0 not achieved
dianalisis
kinerja proses terpenuhi.
GR 4.1.1
dll)
0% GR 4.1.3 Alat bantu pengukuran layanan dan proses serta database yang dihasilkan
(GR)
Menggunakan hasil pengukuran yang didefinisikan untuk memantau dan memverifikasi

0% GP 4.1.6 pencapaian tujuan kinerja proses. Hasil pengukuran terdefinisikan dianalisis untuk
(GP)
memverifikasi pencapaian terhadap tujuan kinerja proses.
Generic Work Rekaman kinerja proses yang memberikan rincian pengukuran yang dikumpulkan dan not achieved
f) Hasil pengukuran digunakan untuk menggambarkan 0% GWP 9.0
0% Product (GWP) dianalisis
kinerja proses.
GR 4.1.1
Generic Resource dll)
0%

PA 4.2 Kontrol Proses - Ukuran sejauh mana
Generic Practices Menentukan teknis analisis dan kontrol yang tepat untuk mengontrol kinerja proses. not achieved
proses secara kuantitatif berhasil 0% GP 4.2.1
(GP) Metode pengukuran keefektifan proses pengendalian didefinisikan dan divalidasi.
menghasilkan sebuah proses yang stabil,
mampu dan dapat diprediksi dalam batas a) Teknik analisis dan kontrol ditentukan dan diterapkan GWP 1.0 Dokumentasi proses yang memberikan rincian kontrol (matriks kontrol) not achieved
0% Generic Work
yang ditentukan. jika memungkinkan. 0% Rencana kontrol proses yang ada untuk menspesifikasikan setiap pendekatan pengukuran
Product (GWP) GWP 8.0 not achieved
proses
0% GR 4.2.1 Teknik kontrol dan analisis proses
(GR)
Menentukan parameter yang sesuai untuk mengendalikan kinerja proses. Definisi proses
0% GP 4.2.2 standar dimodifikasi untuk menyertakan metode untuk pengendalian proses dan batas
b) Batas kontrol variasi ditetapkan untuk kinerja proses (GP)
0% kontrol yang dibentuk.
normal. Generic Work Rencana kontrol proses yang ada untuk menspesifikasikan setiap batas kontrol untuk
Product (GWP) kinerja normal
0% GR 4.2.2 Alat bantu analisis statistik
(GR)
Menganalisis hasil pengukuran proses dan produk untuk mengidentifikasi variasi dalam
0% GP 4.2.3 kinerja proses. Hasil pengukuran kontrol proses dianalisis untuk menentukan isu dan
(GP)
diteruskan untuk tindakan.
c) Pengukuran data dianalisis untuk penyebab khusus Generic Work Rekaman kinerja proses yang memberikan rincian pengukuran yang dikumpulkan dan
variasi. Product (GWP) dianalisis
proses secara kuantitatif berhasil
mampu dan dapat diprediksi dalam batas
yang ditentukan.
c) Pengukuran data dianalisis untuk penyebab khusus

0%
variasi.
Generic Resource GR 4.2.1 Teknik kontrol dan analisis proses not achieved
0%
(GR)
GR 4.2.2 Alat bantu analisis statistik not achieved
Mengidentifikasi dan mengimplementasi tindakan korektif untuk mengatasi penyebab
0% GP 4.2.4 khusus. Tindakan korektif diambil untuk mengatasi masalah pengendalian proses serta
d) Tindakan perbaikan dilakukan untuk mengatasi (GP)
0% hasilnya dipantau dan dievaluasi.
penyebab khusus variasi. Generic Work Rekaman kinerja proses yang memberikan rincian pengukuran yang dikumpulkan dan
Product (GWP) dianalisis serta tindakan korektif yang diambil
0% GR 4.2.3 Alat bantu kontrol proses
(GR)
Generic Practices Membangun kembali batas kontrol beserta tindakan korektifnya. Batas kontrol proses not achieved
0% GP 4.2.5
(GP) secara tepat diubah setelah tindakan korektif diambil.
e) Batas kontrol disusun ulang (jika diperlukan) untuk Generic Work Rencana kontrol proses yang ada untuk menspesifikasikan batas kontrol untuk kinerja not achieved
0% GWP 8.0
0% Product (GWP) normal
melakukan tindakan koreksi.
Generic Resource GR 4.2.2 Alat bantu analisis statistik not achieved
0%
(GR)
GR 4.2.3 Alat bantu kontrol proses not achieved
5 - Optimizing PA 5.1 Inovasi Proses - Ukuran sejauh mana Generic Practices Mendefinisikan tujuan perbaikan proses untuk proses yang mendukung tujuan bisnis yang not achieved
0% GP 5.1.1
perubahan untuk proses teridentifikasi dari (GP) relevan. Arah inovasi proses ditetapkan.
analisis penyebab umum dari variasi dalam a) Tujuan peningkatan proses terdefinisikan untuk Generic Work Rencana perbaikan proses yang memberikan rincian tujuan perbaikan proses dan tindakan
kinerja, dan dari penyelidikan pendekatan mendukung tujuan bisnis yang relevan. Product (GWP) perbaikan yang diusulkan
inovatif untuk definisi dan penyebaran Generic Resource not achieved
0% GR 5.1.1 Kerangka kerja perbaikan proses
proses. (GR)
Generic Practices Menganalisis data pengukuran proses untuk mengidentifikasi variasi yang sebenarnya dan not achieved
0% GP 5.1.2
(GP) potensial dalam kinerja proses.
b) Data yang tepat dianalisis untuk mengidentifikasi Generic Work Rekaman kinerja proses yang memberikan rincian pengukuran yang dikumpulkan dan
penyebab umum dari variasi dalam kinerja proses. Product (GWP) dianalisis
0% GR 5.1.2 Umpan balik proses dan sistem analisis (data pengukuran, hasil analisis kausal dll)
(GR)
Mengidentifikasi peluang perbaikan proses berbasis pada inovasi dan best practice.
0% GP 5.1.3 Peluang perbaikan proses diidentifikasi berdasarkan perbandingan dengan base pratice
(GP)
industri.
c) Appropriate data are analysed to identify opportunities Generic Work Rencana perbaikan proses yang memberikan rincian analisis dibandingkan dengan best
for best practice and innovation. Product (GWP) practice
Generic Resource GR 5.1.2 Umpan balik proses dan sistem analisis (data pengukuran, hasil analisis kausal dll) not achieved
0%
(GR)
GR 5.1.3 Mekanisme percontohan dan percobaan not achieved
0% GP 5.1.4 Menurunkan peluang perbaikan proses dari teknologi dan konsep proses baru.
(GP)
d) Peluang perbaikan yang diturunkan dari teknologi dan Generic Work not achieved
0% 0% GWP 6.0 Rencana perbaikan proses yang memberikan rincian analisis peluang perbaikan teknologi
konsep proses yang baru teridentifikasi. Product (GWP)
Generic Resource GR 5.1.1 Kerangka kerja perbaikan proses not achieved
0%
(GR) GR 5.1.3 Mekanisme percontohan dan percobaan not achieved
Mendefinisikan strategi implementasi berdasarkan visi dan tujuan perbaikan jangka
0% GP 5.1.5 panjang. Strategi perbaikan proses didefinisikan dan divalidasi berdasarkan tujuan dan
(GP)
e) Strategi implementasi dibangun untuk mencapai tujuan sasaran perbaikan jangka panjang.
0% Generic Work Rencana perbaikan proses yang memberikan rincian strategi implementasi perbaikan
perbaikan proses. 0% GWP 6.0 not achieved
Product (GWP) proses
(GR)
PA 5.2 Optimalisasi Proses - Ukuran sejauh Generic Practices Menilai dampak dari setiap perubahan yang diusulkan terhadap tujuan dari proses yang not achieved
0% GP 5.2.1
mana perubahan definisi, manajemen dan (GP) didefinisikan dan standar.
kinerja hasil proses dalam dampak yang a) Dampak semua perubahan usulan dinilai sesuai dengan Generic Work Rencana perbaikan proses yang memberikan rincian perbaikan proses yang diperlukan dan not achieved
0% 0% GWP 6.0
efektif untuk mencapai tujuan perbaikan tujuan proses yang terdefinisi dan proses standar. Product (GWP) pendekatan kualitas proyek
proses yang relevan. Generic Resource GR 5.2.1 Sistem manajemen perubahan not achieved
0%
(GR) GR 5.2.2 Sistem evaluasi proses (analisis dampak dll) not achieved
Generic Practices Mengelola implementasi perubahan yang disepakati untuk area tertentu dari proses yang not achieved
0% GP 5.2.2
(GP) didefinisikan dan standar sesuai dengan strategi implementasi.
b) Implementasi dari semua perubahan yang telah Rencana perbaikan proses yang memberikan rincian strategi implementasi untuk
disepakati agar dikelola untuk memastikan bahwa setiap perbaikan proses dan bukti perubahan dalam:
0% Generic Work
gangguan terhadap kinerja proses dipahami dan 0% GWP 6.0 • GWP 1.0 Dokumentasi proses not achieved
ditindaklanjuti. Product (GWP)
• GWP 3.0 Rencana kualitas
• GWP 5.0 Kebijakan dan standar
0% GR 5.2.1 Sistem manajemen perubahan
(GR)
Generic Practices Berdasarkan kinerja aktual, mengevaluasi efektivitas proses perubahan terhadap kinerja not achieved
0% GP 5.2.3
c) Berdasarkan kinerja aktual, efektivitas dari perubahan (GP) proses, tujuan kemampuan dan tujuan bisnis.
proses dievaluasi sesuai dengan persyaratan produk yang Generic Work Rencana perbaikan proses yang memberikan rincian perbaikan proses yang diperlukan dan not achieved
0% 0% GWP 6.0
terdefinisi dan tujuan proses untuk menentukan apakah Product (GWP) pendekatan kualitas proyek
hasilnya disebabkan oleh penyebab umum atau khusus. Generic Resource GR 5.2.1 Sistem manajemen perubahan not achieved
0%
(GR) GR 5.2.2 Sistem evaluasi proses (dampak analisis dll) not achieved
Rekapitulasi

Nama Memastikan pemberian manfaat Saat Ini - - - - - - - - - -
Deskripsi Mengoptimalkan kontribusi nilai untuk bisnis dari proses bisnis, layanan TI dan aset TI yang dihasilkan dari investasi yang dilakukan oleh TI dengan biaya yang pantas. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Mengamankan nilai optimal dari inisiatif, layanan dan aset TI; pemberian solusi dan dan layanan yang hemat biaya, perhitungan biaya dan manfaat yang dapat diandalkan dan akurat sehingga kebutuhan bisnis dapat didukung secara efektif dan efisien. Kemampuan
yang Dicapai
Outcome Component
0 - Incomplete 0%
mencapai tujuannya.
1 - Performed PA 1.1 Proses yang diimplementasikan
Evaluasi optimalisasi nilai.
mencapai tujuannya.
Mengevaluasi portofolio investasi TI, layanan dan aset secara kontinu untuk menentukan 1. Mengidentifikasi dan mencatat persyaratan pemangku kepentingan (seperti pemegang
EDM02-BP1 kemungkinan pencapaian tujuan organisasi dan memberikan nilai dengan biaya yang Di luar COBIT 5 for IS: Evaluasi keselarasan strategi saham, regulator, auditor dan pelanggan) untuk melindungi kepentingannya dan not achieved
wajar. Mengidentifikasi dan membuat penilaian pada setiap perubahan yang perlu memberikan nilai melalui aktivitas keamanan informasi. Mengatur arah yang sesuai.
diberikan kepada pihak manajemen untuk mengoptimalkan penciptaan nilai.
1. Membentuk metode pendemonstrasian nilai keamanan informasi (termasuk

mendefinisikan dan mengumpulkan data yang relevan) untuk memastikan penggunaan not achieved
Arahkan optimalisasi nilai. yang efisien dari aset yang berhubungan dengan keamanan informasi yang ada.
Base Practices (BP) 0%
Manfaat, biaya dan risiko investasi keamanan EDM02-BP2 Mengarahkan prinsip dan praktek manajemen nilai mengoptimalkan realisasi nilai dari Di luar COBIT 5 for IS: Tipe dan kriteria investasi
investasi TI sepanjang siklusnya. 2. Memastikan penggunaan ukuran finansial dan non-finansial untuk mendeskripsikan nilai not achieved
EDM02-O1 informasi dapat dikelola, seimbang dan 0% tambah dari inisiatif keamanan informasi.
memberi kontribusi nilai yang optimal. 3. Menggunakan metode pelaporan yang berfokus bisnis pada nilai tambah suatu inisiatif not achieved
keamanan informasi.
Pantau optimalisasi nilai.
Memantau tujuan utama dan metrik untuk menentukan sejauh mana bisnis dapat 1. Melacak outcome dari inisiatif keamanan informasi dan membandingkan dengan not achieved
EDM02-BP3
menghasilkan nilai yang diharapkan dan manfaat bagi organisasi dari investasi dan layanan ekspektasi untuk memastikan pemberian nilai terhadap tujuan bisnis.
TI. Mengidentifikasi isu signifikan dan mempertimbangkan tindakan korektif.
EDM02-WP1 Portofolio yang terbaru not achieved

Work Product (WP)
0% EDM02-WP2 Tipe dan kriteria investasi yang terbaru not achieved
Keluaran
EDM02-WP3 Umpan balik dari pemberian nilai suatu inisiatif keamanan informasi not achieved
2 - Managed PA 2.1 Manajemen Kinerja - ukuran sejauh
Generic Practices Mengidentifikasi tujuan kinerja proses. Tujuan kinerja bersama dengan asumsi dan not achieved
mana kinerja proses dikelola. 0% GP 2.1.1
(GP) kendala dapat ditetapkan dan dikomunikasikan.
a. Tujuan kinerja proses teridentifikasi. 0% Generic Work GWP 1.0 Dokumentasi proses yang menguraikan lingkup proses not achieved
0%
0%
0% GP 2.1.2
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
yang tepat.
c. Kinerja proses dapat disesuaikan sesuai rencana. 0% Generic Work Rekaman kualitas yang memberikan rincian tindakan yang diambil ketika kinerja tidak
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
0% GWP 3.0
(GR)
(GP)
persyaratan.
Generic Work
0%
0%
0% GP 2.2.3
0%
(GP)
yang direncanakan dan masalah yang timbul dapat diselesaikan.
d) Work product dikaji berdasarkan perjanjian yang
0% Generic Work Quality records should provide an jejak audit dari kajian yang dilakukan not achieved
direncanakan dan diatur agar dapat memenuhi persyaratan. 0% GWP 4.0
0%
3 - Established PA 3.1 Definisi Proses - Ukuran sejauh mana Mendefinisikan proses standar yang akan mendukung penyebaran proses yang
proses standar dipertahankan untuk 0% GP 3.1.1 didefinisikan. Sebuah proses standar didefinisikan untuk mengidentifikasi elemen proses
(GP)
mendukung penyebaran dari proses yang fundamental serta memberikan pedoman dan prosedur.
didefinisikan. a) Proses standar, termasuk pedoman yang dibuat sendiri Generic Work Kebijakan dan standar yang memberikan rincian tujuan organisasi untuk proses, standar
secara tepat, menggambarkan unsur mendasar yang harus 0% 0% GWP 5.0 not achieved
Product (GWP) minimum kinerja, prosedur standar, pelaporan dan persyaratan pemantauan.
dimasukkan ke dalam sebuah proses yang terdefinisi.
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
f) Data yang tepat dikumpulkan dan dianalisis sebagai dasar 0% GWP 4.0
Product (GWP) yang dilakukan untuk setiap instance proses)
0%
dan keefektifan proses, mengevaluasi perbaikan proses not achieved
GR 3.2.5 Sistem manajemen masalah dan perubahan
yang kontinu dapat dibuat. Generic Resource
0% GR 3.2.7 Sistem analisis pengumpulan data not achieved
(GR)
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0% GP 4.1.2
(GP) pengukuran didasarkan pada tujuan pengukuran proses yang didefinisikan.
b) Tujuan pengukuran proses diturunkan dari kebutuhan
0% Generic Work
informasi proses. 0% GWP 7.0 Rencana pengukuran proses yang memberikan rincian tujuan pengukuran yang diusulkan not achieved
Product (GWP)
(GR)
0% GP 4.1.3
c) Tujuan kuantitatif untuk kinerja proses dalam Generic Work Rencana pengukuran proses yang memberikan rincian langkah pengukuran dan indikator
mendukung tujuan bisnis yang relevan tersusun. Product (GWP) yang diusulkan
GR 4.1.1
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0%

(GP)
Generic Work
0%
e) Hasil pengukuran dikumpulkan, dianalisis dan dilaporkan Product (GWP) Rekaman kinerja proses yang memberikan rincian pengukuran yang dikumpulkan dan
GWP 9.0 not achieved
untuk memantau sejauh mana tujuan kuantitatif untuk 0% dianalisis
kinerja proses terpenuhi. Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko not achieved
GR 4.1.1
dll)
(GR)

(GP)
kinerja proses.
GR 4.1.1
0%

0% Generic Work
proses
(GR)
(GP)
b) Batas kontrol variasi ditetapkan untuk kinerja proses kontrol yang dibentuk.
0% Generic Work Rencana kontrol proses yang ada untuk menspesifikasikan setiap batas kontrol untuk
normal. 0% GWP 8.0 not achieved
(GR)
(GP)
0% Generic Work Rekaman kinerja proses yang memberikan rincian pengukuran yang dikumpulkan dan not achieved
variasi. 0% GWP 9.0
Product (GWP) dianalisis
0%
(GR) GR 4.2.2 Alat bantu analisis statistik not achieved
yang ditentukan.

(GP)
d) Tindakan perbaikan dilakukan untuk mengatasi hasilnya dipantau dan dievaluasi.
0% Generic Work Rekaman kinerja proses yang memberikan rincian pengukuran yang dikumpulkan dan
penyebab khusus variasi. 0% GWP 9.0 not achieved
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
melakukan tindakan koreksi. Product (GWP) normal
0%
(GR) GR 4.2.3 Alat bantu kontrol proses not achieved
0% GP 5.1.1
proses. (GR)
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
0% Generic Work not achieved
gangguan terhadap kinerja proses dipahami dan 0% GWP 6.0 • GWP 1.0 Dokumentasi proses
Product (GWP)
ditindaklanjuti. • GWP 3.0 Rencana kualitas
(GR)
0% GP 5.2.3
proses dievaluasi sesuai dengan persyaratan produk yang
0% Generic Work Rencana perbaikan proses yang memberikan rincian perbaikan proses yang diperlukan dan not achieved
terdefinisi dan tujuan proses untuk menentukan apakah 0% GWP 6.0
Product (GWP) pendekatan kualitas proyek
hasilnya disebabkan oleh penyebab umum atau khusus.
Generic Resource GR 5.2.1 Sistem manajemen perubahan not achieved
0%
Rekapitulasi

Nama Memastikan optimalisasi risiko Saat Ini - - - - - - - - - -
Deskripsi Memastikan bahwa selera risiko organisasi dan toleransi dipahami, diartikulasikan dan dikomunikasikan, dan risiko terhadap nilai organisasi yang terkait dengan penggunaan TI diidentifikasi dan dikelola. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Memastikan bahwa risiko organisasi terkait TI tidak melebihi selera risiko dan toleransi risiko, dampak risiko TI untuk nilai organisasi diidentifikasi dan dikelola, dan potensi kegagalan terhadap kepatuhan dapat diminimalkan. Kemampuan
yang Dicapai
Outcome Component
0 - Incomplete 0%
mencapai tujuannya.
1 - Performed PA 1.1 Proses yang diimplementasikan Evaluasi manajemen risiko.
1. Menentukan selesar risiko enterprise pada level dewan direksi not achieved
mencapai tujuannya. Memeriksa dan membuat penilaian secara kontinu tentang pengaruh risiko pada
• Outside COBIT 5 for IS: Indikator risiko utama enterprise
EDM03-BP1 penggunaan TI saat ini dan masa depan di enterprise. Mempertimbangkan apakah selera
• Outside COBIT 5 for IS: Panduan selera risiko enterprise
risiko organisasi tepat dan risiko terhadap nilai organisasi terkait dengan penggunaan TI not achieved
2. Mengukur level integrasi manajemen risiko informasi terhadap model ERM keseluruhan.
dapat diidentifikasi dan dikelola.
Base Practices (BP) 0% Arahkan manajemen risiko.

• EDM03-WP1: Keselarasan antara indikator risiko utama enterprise dan keamanan
Mengarahkan pembentukan praktik manajemen risiko untuk memberikan keyakinan yang not achieved
EDM03-BP2 informasi 1. Mengintegrasikan manajemen risiko informasi dengan model ERMkeseluruhan.
memadai bahwa praktik manajemen risiko TI telah tepat dalam rangka menjamin bahwa
Manajemen risiko informasi sebagai bagian • EDM03-WP2: Level risiko keamanan informasi yang dapat diterima
risiko TI yang sebenarnya tidak melebihi selera risiko yang telah didefinisikan.
EDM03-O1 dari keseluruhan manajemen risiko 0%
enterprise. Pantau manajemen risiko. 1. Memantau profil risiko atau selera risiko informasi enterprise untuk mencapai not achieved
• EDM03-WP2: Level risiko keamanan informasi yang dapat diterima keseimbangan optimal antara risiko bisnis dan peluang.
EDM03-BP3 Memantau tujuan utama dan metrik proses manajemen risiko dan menetapkan bagaimana
• Kebijakan yang terkait keamanan informasi 2. Menyertakan outcome proses manajemen risiko informasi sebagai masukan untuk
penyimpangan atau masalah akan diidentifikasi, dilacak dan dilaporkan untuk perbaikan. not achieved
keseluruhan dashboard risiko bisnis.
EDM03-WP1 Keselarasan antara indikator risiko utama enterprise dan keamanan informasi not achieved
Work Product (WP) EDM03-WP2 Level risiko keamanan informasi yang dapat diterima not achieved
0%
Keluaran EDM03-WP3 Kebijakan manajemen risiko yang terbaru not achieved
EDM03-WP4 Aksi perbaikan untuk mengatasi penyimpangan atau masalah manajemen risiko not achieved

0%
0%
0% GP 2.1.2
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
yang tepat.
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
0% GWP 3.0
(GR)
(GP)
persyaratan.
Generic Work
0%
0%
0% GP 2.2.3
0%
(GP)
0%
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0% GP 4.1.2
0% Generic Work
Product (GWP)
(GR)
0% GP 4.1.3
GR 4.1.1
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0%

(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

(GP)
kinerja proses.
GR 4.1.1
0%

0% Generic Work
proses
(GR)
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
(GP)
0%
penyebab khusus variasi.
yang ditentukan.
d) Tindakan perbaikan dilakukan untuk mengatasi

(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
proses. (GR)
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi

Nama Memastikan optimalisasi sumber daya Saat Ini - - - - - - - - - -
Deskripsi Memastikan bahwa kecukupan kemampuan TI (orang, proses dan teknologi) tersedia untuk mendukung tujuan enterprise secara efektif dengan biaya yang optimal. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Memastikan bahwa kebutuhan sumber daya dari enterprise terpenuhi dengan cara yang optimal, biaya TI yang optimal, dan terdapat kemungkinan peningkatan realisasi manfaat dan kesiapan untuk perubahan di masa depan. Kemampuan
yang Dicapai
Outcome Component
0 - Incomplete 0%
mencapai tujuannya.
Evaluasi manajemen sumber daya.
mencapai tujuannya.
Memeriksa dan membuat penilaian secara kontinu pada kebutuhan sumber daya TI saat ini 1. Mengevaluasi efektivitas sumber daya informasi keamanan dalam hal penyediaan,
EDM04-BP1 dan masa depan, pilihan untuk pengadaan sumber daya (termasuk strategi sumber daya), Outside COBIT 5 for IS: Perencanaan sumber daya yang disetujui pelatihan, kesadaran dan kompetensi sumber daya yang diperlukan dibandingkan dengan not achieved
Base Practices (BP) 0% dan prinsip alokasi dan manajemen untuk memenuhi kebutuhan enterprise dengan cara kebutuhan bisnis.
Sumber daya keamanan informasi yang optimal.
EDM04-O1 0%
teroptimalkan
Arahkan manajemen sumber daya.
1. Memastikan bahwa manajemen sumber daya keamanan informasi sejalan dengan not achieved
EDM04-BP2 Memastikan adopsi prinsip manajemen sumber daya untuk mengoptimalkan penggunaan Outside COBIT 5 for IS: Tanggung jawab yang telah diberikan pada manajemen sumber daya
kebutuhan bisnis.
sumber daya TI sepanjang siklusnya.
Work Product (WP) not achieved
0% EDM04-WP1 Sumber daya keamanan informasi yang terbaru
Keluaran
Pantau manajemen sumber daya.
Base Practices (BP) Memantau tujuan utama dan metrik proses manajemen sumber daya dan menetapkan 1. Mengukur efektivitas, efisiensi dan kapasitas sumber daya keamanan informasi not achieved
Sumber daya keamanan informasi selaras 0% EDM04-BP3
EDM04-O2 0% bagaimana penyimpangan atau masalah akan diidentifikasi, dilacak dan dilaporkan untuk terhadap kebutuhan bisnis.
dengan persyaratan bisnis perbaikan.
0% EDM04-WP2 Aksi perbaikan untuk mengatasi penyimpangan atau masalah manajemen sumber daya
Keluaran
0%
0%
0% GP 2.1.2
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
yang tepat.
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
0% GWP 3.0
(GR)
(GP)
persyaratan.
Generic Work
0%
0%
0% GP 2.2.3
0%
(GP)
0%
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0% GP 4.1.2
0% Generic Work
Product (GWP)
(GR)
0% GP 4.1.3
GR 4.1.1
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0%

(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

(GP)
kinerja proses.
GR 4.1.1
0%

0% Generic Work
proses
(GR)
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
proses. (GR)
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi

Nama Memastikan tranparansi pemangku kepentingan Saat Ini - - - - - - - - - -
Deskripsi Memastikan bahwa kinerja TI, pengukuran kesesuaian dan pelaporan dilakukan secara transparan. Hal ini sesuai dengan tujuan, metrik dan aksi perbaikan yang disetujui oleh para pemangku kepentingan. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Memastikan bahwa komunikasi dengan para stakeholders dilakukan secara efektif, tepat waktu dan dijadikan dasar pelaporan untuk meningkatkan kinerja, mengidentifikasi area perbaikan, dan memastikan bahwa tujuan dan strategi TI sejalan dengan strategi perusahaan. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
mencapai tujuannya.
1 - Performed PA 1.1 Proses yang diimplementasikan 1. Menentukan audiensi, termasuk individu atau kelompok internal dan eksternal, untuk not achieved
mencapai tujuannya. Evaluasi persyaratan pelaporan untuk para pemangku kepentingan. komunikasi dan pelaporan.
Memeriksa dan membuat penilaian secara kontinu mengenai persyaratan saat ini dan masa 2. Mengidentifikasi persyaratan untuk pelaporan keamanan informasi kepada para
EDM05-BP1 depan untuk komunikasi dan pelaporan pemangku kepentingan, termasuk persyaratan • Outside COBIT 5 for IS: Evaluasi persyaratan pelaporan enterprise pemangku kepentingan (misalnya: informasi apa yang dibutuhkan, jika diperlukan, not achieved
pelaporan wajib (misalnya, peraturan) dan komunikasi kepada para pemangku bagaimana hal tersebut disajikan).
kepentingan lainnya. Menetapkan prinsip-prinsip untuk komunikasi. 3. Mengidentifikasi sarana dan saluran untuk berkomunikasi mengenai isu keamanan not achieved
informasi.
Base Practices (BP) 0% 1. Memprioritaskan laporan isu keamanan informasi kepada para pemangku kepentingan. not achieved
Tersusunnya laporan keamanan informasi
EDM05-O1 0% Arahkan komunikasi dan pelaporan pemangku kepentingan.
yang lengkap, tepat waktu dan akurat 2. Melakukan audit internal dan eksternal untuk menilai efektivitas program tata kelola not achieved
Memastikan terjalinnya komunikasi dan pelaporan kepada pemangku kepentingan yang keamanan informasi.
EDM05-BP2 efektif, termasuk mekanisme untuk memastikan kualitas dan kelengkapan informasi,
pengawasan pelaporan wajib dan menciptakan strategi komunikasi bagi para pemangku 3. Menghasilkan laporan status keamanan informasi untuk para pemangku kepentingan
kepentingan. secara reguler yang meliputi kegiatan keamanan informasi, kinerja, prestasi, profil risiko, not achieved
manfaat bisnis, 'topik yang hangat' (misalnya: cloud computing, produk konsumen), risiko
luar biasa (termasuk kepatuhan dan pemeriksaan) dan kesenjangan kemampuan.
Work Product (WP) EDM05-WP1 Persyaratan pelaporan dan saluran komunikasi keamanan informasi not achieved
0%
Keluaran EDM05-WP2 Laporan status keamanan informasi not achieved
1. Menentukan audiensi, termasuk individu atau kelompok internal dan eksternal, untuk not achieved
Evaluasi persyaratan pelaporan untuk para pemangku kepentingan. komunikasi dan pelaporan.
Memeriksa dan membuat penilaian secara kontinu mengenai persyaratan saat ini dan masa 2. Mengidentifikasi persyaratan untuk pelaporan keamanan informasi kepada para
EDM05-BP1 depan untuk komunikasi dan pelaporan pemangku kepentingan, termasuk persyaratan • Outside COBIT 5 for IS: Evaluasi persyaratan pelaporan enterprise pemangku kepentingan (misalnya: informasi apa yang dibutuhkan, jika diperlukan, not achieved
pelaporan wajib (misalnya, peraturan) dan komunikasi kepada para pemangku bagaimana hal tersebut disajikan).
kepentingan lainnya. Menetapkan prinsip-prinsip untuk komunikasi. 3. Mengidentifikasi sarana dan saluran untuk berkomunikasi mengenai isu keamanan not achieved
informasi.
1. Memprioritaskan laporan isu keamanan informasi kepada para pemangku kepentingan. not achieved
Arahkan komunikasi dan pelaporan pemangku kepentingan. 2. Melakukan audit internal dan eksternal untuk menilai efektivitas program tata kelola
Base Practices (BP) not achieved
Terinformasikannya para pemangku 0% Memastikan terjalinnya komunikasi dan pelaporan kepada pemangku kepentingan yang keamanan informasi.
kepentingan mengenai status keamanan EDM05-BP2 efektif, termasuk mekanisme untuk memastikan kualitas dan kelengkapan informasi,
EDM05-O2 0% pengawasan pelaporan wajib dan menciptakan strategi komunikasi bagi para pemangku 3. Menghasilkan laporan status keamanan informasi untuk para pemangku kepentingan
informasi dan risiko informasi yang terdapat secara reguler yang meliputi kegiatan keamanan informasi, kinerja, prestasi, profil risiko,
dalam enterprise kepentingan. not achieved
manfaat bisnis, 'topik yang hangat' (misalnya: cloud computing, produk konsumen), risiko
luar biasa (termasuk kepatuhan dan pemeriksaan) dan kesenjangan kemampuan.
Pantau komunikasi pemangku kepentingan.

1. Membentuk pemantauan dan pelaporan keamanan informasi (misalnya: dengan
Memantau efektivitas komunikasi pemangku kepentingan. Menilai mekanisme untuk not achieved
EDM05-BP3 menggunakan indikator kinerja utama atau KPI untuk keamanan informasi dan manajemen
memastikan akurasi, keandalan, efektivitas dan memastikan apakah persyaratan para
risiko informasi yang didasarkan pada metrik dan pengukuran dalam domain MEA).
pemangku kepentingan telah terpenuhi.
EDM05-WP1 Persyaratan pelaporan dan saluran komunikasi keamanan informasi not achieved
Work Product (WP)
0% EDM05-WP2 Laporan status keamanan informasi not achieved
Keluaran
EDM05-WP3 Pengawasan dan pelapoan keamanan informasi not achieved
0%
0%
0% GP 2.1.2
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
yang tepat.
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
0% GWP 3.0
(GR)
(GP)
persyaratan.
Generic Work
0%
0%
0% GP 2.2.3
0%
(GP)
0%
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0% GP 4.1.2
0% Generic Work
Product (GWP)
(GR)
0% GP 4.1.3
GR 4.1.1
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0%

(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

(GP)
kinerja proses.
GR 4.1.1
0%

mampu dan dapat diprediksi dalam batas a) Teknik analisis dan kontrol ditentukan dan diterapkan
0%
yang ditentukan. jika memungkinkan.
0% Generic Work
proses
(GR)
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
proses. (GR)
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi
No. Proses APO01 Target

Nama Mengelola kerangka kerja manajemen TI Saat Ini - - - - - - - - - -
Deskripsi Memperjelas dan mempertahankan tata kelola TI. Menerapkan dan memelihara mekanisme dan otoritas untuk mengelola informasi dan penggunaan TI di enterprise dalam rangka mendukung tujuan tata kelola yang sejalan dengan prinsip dan kebijakan panduan. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Menyediakan pendekatan manajemen yang konsisten untuk memenuhi persyaratan tata kelola enterprise, meliputi proses manajemen, struktur organisasi, peran dan tanggung jawab, kegiatan handal dan berulang, serta keterampilan dan kompetensi. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
mencapai tujuannya.
1 - Performed PA 1.1 Proses yang diimplementasikan Mendefinisikan struktur organisasi. 1. Menyelaraskan organisasi keamanan informasi dengan model organisasi arsitektur not achieved
mencapai tujuannya. Membentuk struktur organisasi internal dan diperluas yang mencerminkan kebutuhan bisnis • EDM01-WP1: Prinsip panduan keamanan informasi enterprise .
APO01-BP1 dan prioritas TI. Menempatkan struktur manajemen yang diperlukan (misalnya, komite) yang • Di luar COBIT 5 for IS: Strategi TI
2. Membentuk Komite Pengarah Keamanan Informasi (atau yang setara) not achieved
mendukung manajemen pengambilan keputusan manajemen dengan cara yang paling efektif • Di luar COBIT 5 for IS: Standar dan panduan keamanan informasi
dan efisien. 3. Menentukan fungsi keamanan informasi, termasuk peran internal dan eksternal, not achieved
kemampuan dan hak keputusan yang diperlukan.
Menyusun peran dan tanggung jawab. 1. Menyusun, menyetujui dan mengkomunikasikan peran CISO dan Manajer Keamanan
• APO13-WP1: Pernyataan lingkup Sistem Manajemen Keamanan Informasi (SMKI) not achieved
Menetapkan, menyetujui dan mengkomunikasikan peran dan tanggung jawab personil TI, Informasi (atau yang setara).
• Di luar COBIT 5 for IS: Regulasi yang berlaku
APO01-BP2 serta tanggung jawab pemangku kepentingan lainnya terhadap IT, yang jelas mencerminkan
• Di luar COBIT 5 for IS: Standar dan penduan keamanan informasi
keseluruhan kebutuhan bisnis dan tujuan TI serta wewenang personil yang relevan, tanggung
• Model enabler "Prinsip dan Kebijakan": SDM dan kebijakan hukum 2. Menentukan sejauh mana peran organisasi lainnya memiliki kewajiban keamanan informasi
jawab dan akuntabilitas. not achieved
dan menambahkan kewajiban tersebut kepada deskripsi pekerjaan yang relevan.
1. Mempertimbangkan lingkungan internal enterprise, termasuk budaya manajemen dan
filsafat, toleransi risiko, nilai etika, kode etik, akuntabilitas dan persyaratan untuk keamanan not achieved
Mempertahankan pendukung sistem manajemen. informasi .
Menjaga pendukung sistem manajemen dan lingkungan pengendalian TI, memastikan bahwa
• EDM01-WP1: Prinsip panduan keamanan informasi 2. Menyelaraskan dengan standar keamanan informasi nasional dan internasional yang berlaku
sistem tersbut terintegrasi dan selaras dengan tata kelola dan manajemen enterprise. not achieved
APO01-BP3 • Di luar COBIT 5 for IS: Peraturan dan regulasi yang terkait keamanan informasi dan code of practice dan mengevaluasi good practice keamanan informasi yang ada.
Pendukung tersebut termasuk komunikasi yang jelas mengenai harapan/persyaratan. Sistem
• Di luar COBIT 5 for IS: Standar dan panduan keamanan informasi
manajemen harus mendorong kerja sama lintas-divisi dan tim, meningkatkan kepatuhan,
3. Mengembangkan kebijakan keamanan informasi dan kebijakan lain yang terkait,
perbaikan berkelanjutan dan menangani penyimpangan proses (termasuk kegagalan). not achieved
memasukannya ke dalam bisnis dan persyaratan hukum atau peraturan dan kewajiban
keamanan kontraktual, kebijakan organisasi high-level dan lingkungan internal enterprise.
• EDM01-WP1: Prinsip panduan keamanan informasi 1. Mendefinisikan harapan yang berkaitan dengan keamanan informasi, termasuk etika not achieved
Mengkomunikasikan tujuan ada arah manajemen. • APO02-WP8: Komunikasi tentang tujuan keamanan informasi organisasi tertentu dan budaya.
APO01-BP4 Mengkomunikasikan kesadaran dan pemahaman tentang tujuan dan arah TI kepada para • DSS05-WP1: Kebijakan pencegahan perangkat lunak yang berbahaya 2. Mengembangkan program kesadaran keamanan informasi. not achieved
pemangku kepentingan dan pengguna yang terdapat dalam enterprise. • DSS05-WP3: Kebijakan keamanan koneksi
Base Practices (BP) 0% 3. Membangun metrik untuk mengukur perilaku mengenai keamanan informasi. not achieved
• DSS05-WP5: Kebijakan keamanan mengenai perangkat endpoint
Mengoptimalkan penempatan fungsi TI.
Memposisikan kemampuan TI dalam struktur organisasi untuk menjelaskan pentingnya TI 1. Mendefinisikan fungsi keamanan informasi dan semua aktivitas dan atribut yang relevan. not achieved
APO01-BP5 dalam enterprise, terutama pada tingkat kepentingannya dalam strategi enterprise dan
ketergantungan operasional pada TI. Garis pelaporan CIO harus sepadan dengan pentingnya TI 2. Mendefinisikan penempatan fungsi keamanan informasi di enterprise dan memperoleh not achieved
dalam enterprise. persetujuan dari semua pihak terkait.
Keselarasan keamanan informasi dengan
kerangka kerja bisnis dan TI yang beroperasi
APO01-O1 0% Mendefinisikan informasi/data dan kepemilikan sistem.
dalam enterprise diimplementasikan dan 1. Mendefinisikan sistem level enterprise dan kepemilikan data di dalam proses manajemen not achieved
Mendefinisikan dan memelihara tanggung jawab terhadap kepemilikan informasi (data) dan keamanan informasi.
dikomunikasikan secara efektif. APO01-BP6 APO01-WP6: Definisi dan penempatan fungsi keamanan informasi pada enterprise
sistem informasi. Memastikan bahwa pemilik informasi membuat keputusan tentang klasifikasi
informasi dan melindunginya sesuai dengan klasifikasi tersebut.
2. Menetapkan data penjaga keamanan informasi dalam proses manajemen keamanan not achieved
informasi.
Mengelola perbaikan proses yang berkelanjutan.

Menilai, merencanakan dan melaksanakan perbaikan proses dan kematangannya secara 1. Mempertimbangkan cara untuk meningkatkan efisiensi dan efektivitas fungsi keamanan
informasi, misalnya: melalui pelatihan staf keamanan informasi, dokumentasi proses, teknologi not achieved
berkelanjutan untuk memastikan bahwa mampu mencapai tujuan perusahaan, tata kelola,
APO01-BP7 manajemen dan kontrol. Mempertimbangkan panduan implementasi proses COBIT, standar MEA01-WP5: Laporan dan aksi perbaikan keamanan informasi yang terbaru dan aplikasi, dan standardisasi dan otomatisasi proses.
yang ada, persyaratan kepatuhan, peluang otomatisasi, dan umpan balik dari pengguna
proses, tim proses dan pemangku kepentingan lainnya. Memperbarui proses dan
2. Meninjau laporan (seperti laporan audit atau penilaian risiko) yang mengandung informasi not achieved
mempertimbangkan dampak terhadap pendukung proses.
detil dari kontrol keamanan informasi dan kelemahan proses.
Mempertahankan kepatuhan terhadap kebijakan dan prosedur. • APO02-WP6: Strategi keamanan informasi
Memasukkan prosedur untuk menjaga kepatuhan dan pengukuran kinerja kebijakan dan • APO02-WP9: Rencana keamanan informasi
1. Menjadwalkan dan melakukan penilaian secara teratur untuk menentukan kepatuhan not achieved
APO01-BP8 enabler yang lainnya, menegakkan konsekuensi dari ketidakpatuhan atau kinerja yang tidak • Di luar COBIT 5 for IS: Tujuan organisasi
terhadap kebijakan dan prosedur keamanan informasi.
memadai. Melacak tren dan kinerja serta mempertimbangkannya untuk desain masa depan • Di luar COBIT 5 for IS: Peraturan dan regulasi yang terkait keamanan informasi
dan perbaikan kerangka kerja pengendalian. • Di luar COBIT 5 for IS: Standar dan panduan keamanan informasi
APO01-WP1 Mandat dan struktur Komite Pengarah Keamanan Informasi not achieved
APO01-WP2 Definisi peran dan tanggung jawab yang terkait TI not achieved
APO01-WP3 Definisi pekerjaan Chief Information Security Officer (CISO) dan Manajer Keamanan Informasi not achieved
APO01-WP4 Kebijakan terkait keamanan informasi not achieved

APO01-WP5 Pelatihan dan program keamanan informasi not achieved
Work Product (WP)
0%
Keluaran APO01-WP6 Definisi fungsi dan penempatan fungsi keamanan informasi pada enterprise not achieved
APO01-WP7 Peran dan tanggung jawab keamanan informasi not achieved

APO01-WP8 Panduan klasifikasi data not achieved
APO01-WP9 Dokumentasi proses, teknologi, aplikasi dan standar yang digunakan not achieved
APO01-WP10 Pelatihan untuk staf keamanan informasi not achieved
APO01-WP11 Penilaian kepatuhan terhadap keamanan informasi not achieved
Generic Practices Mengidentifikasi tujuan kinerja proses. Tujuan kinerja bersama dengan asumsi dan kendala not achieved
(GP) dapat ditetapkan dan dikomunikasikan.
0%
0% GP 2.1.2
Perencanaan layanan, manajemen dan alat kontrol, termasuk waktu dan biaya pelaporan dan not achieved
Generic Resource GR 2.1.3
0% umpan balik
(GR)
(GP)
yang tepat.
c. Kinerja proses dapat disesuaikan sesuai rencana. 0% Generic Work not achieved
0% GWP 4.0 Rekaman kualitas yang memberikan rincian tindakan yang diambil ketika kinerja tidak tercapai
Product (GWP)
Perencanaan layanan, manajemen dan alat kontrol, termasuk waktu dan biaya pelaporan dan not achieved
0% umpan balik
(GR)
Mendefinisikan tanggung jawab dan wewenang untuk melakukan proses. Tanggung jawab dan
0% GP 2.1.4 wewenang utama untuk melakukan kegiatan utama dari proses dapat didefinisikan,
(GP)
Dokumentasi proses yang memberikan rincian pemilik proses dan siapa yang memiliki peran not achieved
0% responsible, accountable, consulted dan/atau informed (RACI).
d. Responsibilities and authorities for performing the process Product (GWP)
0% Rencana proses yang memasukkan rincian rencana komunikasi proses sama baiknya dengan
are defined, assigned and communicated. GWP 2.0 not achieved
pengalaman kinerja proses, persyaratan keahlian.
0%
(GP)
e. Sumber daya dan informasi penting untuk melaksanakan Generic Work Rencana proses yang memberikan rincian rencana pelatihan proses dan rencana pencarian
0% not achieved
proses teridentifikasi, tersedia, dialokasikan dan digunakan. 0% GWP 2.0
Product (GWP) sumber daya proses.
Generic Resource
(GR)
Mengelola antarmuka antara pihak yang terlibat. Individu dan kelompok yang terlibat dengan
0% GP 2.1.6 proses tersebut teridentifikasi, tanggung jawab didefinisikan dan mekanisme komunikasi yang
(GP)
efektif ditempatkan.
f. Antarmuka antara pihak yang terlibat dikelola untuk 0% responsible, accountable, consulted dan/atau informed (RACI).
Product (GWP)
menjamin komunikasi yang efektif dan penugasan tanggung 0%
jawab secara jelas.
0%
sejauh mana work product yang dihasilkan oleh (GP)
proses dikelola secara tepat. Work produt a) Persyaratan work product dari proses terdefinisi. 0% Generic Work not achieved
0% GWP 3.0 Rencana kualitas yang memberikan detil kriteria kualitas serta isi dan struktur work product.
(atau output dari proses) didefinisikan dan Product (GWP)
dikendalikan. Generic Resource not achieved
(GR)
Generic Practices Mendefinisikan persyaratan untuk dokumentasi dan kontrol work product. Hal ini seharusnya not achieved
0% GP 2.2.2
(GP) mengandung identifikasi ketergantungan, persetujuan dan ketertelusuran persyaratan.
Generic Work
0%
b) Persyaratan dokumentasi dan kontrol work product Product (GWP) Rencana kualitas yang memberikan rincian work product, kriteria kualitas, persyaratan not achieved
0% GWP 3.0
0%
0% GP 2.2.3
0%
(GP)
0%
3 - Established PA 3.1 Definisi Proses - Ukuran sejauh mana Mendefinisikan proses standar yang akan mendukung penyebaran proses yang didefinisikan.
proses standar dipertahankan untuk 0% GP 3.1.1 Sebuah proses standar didefinisikan untuk mengidentifikasi elemen proses fundamental serta
(GP)
mendukung penyebaran dari proses yang memberikan pedoman dan prosedur.
secara tepat, menggambarkan unsur mendasar yang harus 0% Product (GWP) minimum kinerja, prosedur standar, pelaporan dan persyaratan pemantauan.
Generic Resource
(GR)
Generic Practices Menentukan urutan dan interaksi antar proses sehingga dapat bekerja sebagai suatu sistem not achieved
0% GP 3.1.2
(GP) yang terintegrasi dari proses.
0% GWP 5.0
b) Urutan dan interaksi proses standar dengan proses lainnya Product (GWP) serta urutan dan interkasi yang diharapkan
0% not achieved
telah ditentukan. GR 3.1.1 Metode/alat bantu pemodelan proses
0%
(GP)
Generic Resource
(GR)
Mengidentifikasi infrastruktur dan lingkungan kerja yang diperlukan untuk melakukan proses
0% GP 3.1.4 standar. Infrastruktur (fasilitas, alat, metode, dll) dan lingkungan kerja untuk melakukan proses
standar teridentifikasi.
melaksanakan proses teridentifikasi sebagai bagain proses 0% Generic Work Kebijakan dan standar yang mengidentifikasi infrastruktur dan lingkungan kerja minimum yang
standar. Product (GWP) diperlukan untuk menjalankan proses
(GR)
0% GP 3.1.5 Menentukan metode yang cocok untuk memantau keefektifan dan kecocokan proses standar.
(GP)
0% Product (GWP)
GWP 4.0
yang dilakukan)
0%
mana proses standar efektif digunakan sebagai (GP)
proses yang ditetapkan untuk mencapai a) Proses yang terdefinisi disebarkan berdasarkan standar Generic Work Kebijakan dan standar yang mendefinisikan standar yang harus diikuti oleh semua
outcome prosesnya. proses terpilih yang dibuat sendiri secara tepat. Product (GWP) implementasi proses
(GR)
0% GP 3.2.2
untuk melakukan proses yang terdefinisi telah ditentukan dan 0% 0% GWP 5.0
dikomunikasikan.
0%
(GP)
Generic Work
orang berkompetensi di bidang dasar pendidikan, pelatihan 0% 0%
dan pengalaman yang tepat. GWP 2.0 not achieved

(GR)
0% GP 3.2.4 Memberikan sumber daya dan informasi untuk mendukung kinerja proses yang didefinisikan.
(GP)
d) Sumber daya dan informasi penting yang diperlukan untuk
Generic Work Rencana proses yang mencakup rincian rencana perolehan sumber daya untuk setiap instance not achieved
melaksanakan proses yang terdefinisi dibuat tersedia, 0% 0% GWP 2.0
dialokasikan dan digunakan. not achieved
Generic Resource GR 3.2.3 Sistem manajemen sumber daya
0%
0% GP 3.2.5
melakukan proses yang terdefinisi dibuat tersedia, dikelola 0% Generic Work Rencana proses yang mencakup rincian infrastruktur proses dan lingkungan kerja untuk setiap not achieved
0% GWP 2.0
dan dipelihara. Product (GWP) instance proses
(GR)
0% GP 3.2.6
pemahaman berperilaku, mendemonstrasikan kecocokan dan GR 3.2.1 Mekanisme umpan balik (pelanggan, staf dan pemangku kepentingan lainnya) not achieved
0%
keefektifan proses, mengevaluasi perbaikan proses yang not achieved
kontinu dapat dibuat. Generic Resource
(GR)
Mengidentifikasi kebutuhan informasi proses, dalam kaitannya dengan tujuan bisnis. Tujuan
mana hasil pengukuran yang digunakan untuk Generic Practices not achieved
0% GP 4.1.1 bisnis dan kebutuhan informasi proses pemangku kepentingan telah ditetapkan sebagai dasar
memastikan bahwa kinerja proses mendukung a) Kebutuhan informasi proses dalam mendukung tujuan bisnis (GP)
untuk menentukan tujuan pengukuran kinerja proses.
pencapaian tujuan kinerja proses yang relevan yang relevan tersusun. 0%
dalam mendukung tujuan bisnis yang Generic Work Rencana peningkatan proses yang memberikan tujuan peningkatan proses dan tindakan not achieved
0% GWP 6.0
didefinisikan. Product (GWP) perbaikan yang diusulkan
0% GR 4.1.1 Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko dll)
(GR)
Generic Practices Menurunkan tujuan pengukuran proses dari kebutuhan informasi proses. Tujuan pengukuran not achieved
0% GP 4.1.2
(GP) didasarkan pada tujuan pengukuran proses yang didefinisikan.
0% Generic Work
Product (GWP)
(GR)
0% GP 4.1.3
c) Tujuan kuantitatif untuk kinerja proses dalam mendukung Generic Work Rencana pengukuran proses yang memberikan rincian langkah pengukuran dan indikator yang
tujuan bisnis yang relevan tersusun. Product (GWP) diusulkan
Generic Resource GR 4.1.1 Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko dll) not achieved
0%
(GR)
0% GP 4.1.4
Generic Work Rencana pengukuran proses yang memberikan rincian langkah dan indikator yang diusulkan not achieved
0% GWP 7.0
Product (GWP) serta prosedur pengumpulan data dan prosedur analitis
ditetapkan sesuai dengan tujuan pengukuran proses dan 0% GR 4.1.1 Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko dll) not achieved
Generic Resource
0%

0% GP 4.1.5 didefinisikan. Hasil pengukuran produk dan proses dikumpulkan, dianalisis dan dilaporkan sesuai
(GP)
dengan rencana yang didefinisikan.
Generic Work
0%
e) Hasil pengukuran dikumpulkan, dianalisis dan dilaporkan Product (GWP)
GWP 9.0 Rekaman kinerja proses yang memberikan rincian pengukuran yang dikumpulkan dan dianalisis not achieved
untuk memantau sejauh mana tujuan kuantitatif untuk kinerja 0%
proses terpenuhi. not achieved
GR 4.1.1 Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko dll)
(GR)

(GP)
f) Hasil pengukuran digunakan untuk menggambarkan kinerja

0%
proses.
Generic Work not achieved
f) Hasil pengukuran digunakan untuk menggambarkan kinerja 0% GWP 9.0 Rekaman kinerja proses yang memberikan rincian pengukuran yang dikumpulkan dan dianalisis
0% Product (GWP)
proses.
GR 4.1.1 Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko dll) not achieved
Generic Resource
0% not achieved
(GR) GR 4.1.3 Alat bantu pengukuran layanan dan proses serta database yang dihasilkan

Generic Practices Menentukan teknis analisis dan kontrol yang tepat untuk mengontrol kinerja proses. Metode not achieved
proses secara kuantitatif berhasil menghasilkan 0% GP 4.2.1
(GP) pengukuran keefektifan proses pengendalian didefinisikan dan divalidasi.
sebuah proses yang stabil, mampu dan dapat
diprediksi dalam batas yang ditentukan. a) Teknik analisis dan kontrol ditentukan dan diterapkan jika GWP 1.0 Dokumentasi proses yang memberikan rincian kontrol (matriks kontrol) not achieved
0% Generic Work
memungkinkan. 0%
Product (GWP) Rencana kontrol proses yang ada untuk menspesifikasikan setiap pendekatan pengukuran not achieved
GWP 8.0
proses
(GR)
0% GP 4.2.2 standar dimodifikasi untuk menyertakan metode untuk pengendalian proses dan batas kontrol
(GP)
b) Batas kontrol variasi ditetapkan untuk kinerja proses yang dibentuk.
0% Generic Work Rencana kontrol proses yang ada untuk menspesifikasikan setiap batas kontrol untuk kinerja
Product (GWP) normal
(GR)
Menganalisis hasil pengukuran proses dan produk untuk mengidentifikasi variasi dalam kinerja
0% GP 4.2.3 proses. Hasil pengukuran kontrol proses dianalisis untuk menentukan isu dan diteruskan untuk
(GP)
tindakan.
c) Pengukuran data dianalisis untuk penyebab khusus variasi. 0% Generic Work not achieved
0% GWP 9.0 Rekaman kinerja proses yang memberikan rincian pengukuran yang dikumpulkan dan dianalisis
Product (GWP)
0%
Mengidentifikasi dan mengimplementasi tindakan korektif untuk mengatasi penyebab khusus.
0% GP 4.2.4 Tindakan korektif diambil untuk mengatasi masalah pengendalian proses serta hasilnya
(GP)
d) Tindakan perbaikan dilakukan untuk mengatasi penyebab dipantau dan dievaluasi.
0% Generic Work Rekaman kinerja proses yang memberikan rincian pengukuran yang dikumpulkan dan dianalisis
khusus variasi. 0% GWP 9.0 not achieved
Product (GWP) serta tindakan korektif yang diambil
(GR)
Generic Practices Membangun kembali batas kontrol beserta tindakan korektifnya. Batas kontrol proses secara not achieved
0% GP 4.2.5
(GP) tepat diubah setelah tindakan korektif diambil.
e) Batas kontrol disusun ulang (jika diperlukan) untuk Generic Work not achieved
0% 0% GWP 8.0 Rencana kontrol proses yang ada untuk menspesifikasikan batas kontrol untuk kinerja normal
melakukan tindakan koreksi. Product (GWP)
0%
0% GP 5.1.1
analisis penyebab umum dari variasi dalam a) Tujuan peningkatan proses terdefinisikan untuk mendukung Generic Work Rencana perbaikan proses yang memberikan rincian tujuan perbaikan proses dan tindakan
kinerja, dan dari penyelidikan pendekatan tujuan bisnis yang relevan. Product (GWP) perbaikan yang diusulkan
inovatif untuk definisi dan penyebaran proses. Generic Resource not achieved
(GR)
0% GP 5.1.2
b) Data yang tepat dianalisis untuk mengidentifikasi penyebab Generic Work
0% 0% GWP 9.0 Rekaman kinerja proses yang memberikan rincian pengukuran yang dikumpulkan dan dianalisis not achieved
umum dari variasi dalam kinerja proses. Product (GWP)
(GR)
Generic Practices Mengidentifikasi peluang perbaikan proses berbasis pada inovasi dan best practice. Peluang not achieved
0% GP 5.1.3
(GP) perbaikan proses diidentifikasi berdasarkan perbandingan dengan base pratice industri.
c) Appropriate data are analysed to identify opportunities for Generic Work Rencana perbaikan proses yang memberikan rincian analisis dibandingkan dengan best
best practice and innovation. Product (GWP) practice
0%
(GR)
(GP)
0%
Mendefinisikan strategi implementasi berdasarkan visi dan tujuan perbaikan jangka panjang.
0% GP 5.1.5 Strategi perbaikan proses didefinisikan dan divalidasi berdasarkan tujuan dan sasaran
(GP)
e) Strategi implementasi dibangun untuk mencapai tujuan perbaikan jangka panjang.
0% Generic Work
perbaikan proses. 0% GWP 6.0 Rencana perbaikan proses yang memberikan rincian strategi implementasi perbaikan proses not achieved
Product (GWP)
(GR)
0% GP 5.2.1
kinerja hasil proses dalam dampak yang efektif a) Dampak semua perubahan usulan dinilai sesuai dengan Generic Work Rencana perbaikan proses yang memberikan rincian perbaikan proses yang diperlukan dan not achieved
0% 0% GWP 6.0
untuk mencapai tujuan perbaikan proses yang tujuan proses yang terdefinisi dan proses standar. Product (GWP) pendekatan kualitas proyek
relevan. Generic Resource GR 5.2.1 Sistem manajemen perubahan not achieved
0%
0% GP 5.2.2
Rencana perbaikan proses yang memberikan rincian strategi implementasi untuk perbaikan
b) Implementasi dari semua perubahan yang telah disepakati proses dan bukti perubahan dalam:
agar dikelola untuk memastikan bahwa setiap gangguan 0% Generic Work not achieved
0% GWP 6.0 • GWP 1.0 Dokumentasi proses
terhadap kinerja proses dipahami dan ditindaklanjuti. Product (GWP)
• GWP 3.0 Rencana kualitas
(GR)
0% GP 5.2.3
hasilnya disebabkan oleh penyebab umum atau khusus. not achieved
Generic Resource GR 5.2.1 Sistem manajemen perubahan
0%
Rekapitulasi

Nama Mengelola Strategi Saat Ini - - - - - - - - - -
Deskripsi Memberikan pandangan menyeluruh dari bisnis dan lingkungan TI saat ini, arah masa depan dan inisiatif yang diperlukan untuk bermigrasi ke lingkungan masa depan yang diinginkan. Memberdayagunakan arsitektur enterprise dan komponennya, termasuk layanan eksternal yang diberikan dan kemampuan terkait untuk mendukung respons yang handal, gesit dan efisien untuk tujuan strategis. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Menyelaraskan rencana strategis TI dengan tujuan bisnis. Mengkomunikasikan secara jelas mengenai tujuan dan akuntabilitas TI sehingga dapat dipahami oleh semua pihak, dengan pilihan strategis TI yang teridentifikasi, terstruktur dan terintegrasi dengan rencana bisnis. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
mencapai tujuannya.
1. Memahami bagaimana keamanan informasi harus mendukung tujuan enterprise secara
mencapai tujuannya. Memahami arah enterprise. keseluruhan dan melindungi kepentingan pemangku kepentingan dengan memperhatikan not achieved
Base Practices (BP) Mempertimbangkan lingkungan dan proses bisnis enterprise saat ini, serta strategi kebutuhan untuk mengelola risiko informasi seiring memenuhi persyaratan kepatuhan
0% APO02-BP1 EDM01-WP1: Prinsip panduan keamanan informasi
Terdefinisinya dan terpeliharanya kerangka enterprise dan tujuan masa depan. Mempertimbangkan juga lingkungan eksternal hukum dan peraturan serta memberikan nilai tambah bagi enterprise.
APO02-O1 0%
kebijakan keamanan informasi enterprise (industri, peraturan yang relevan, kompetisi).
2. Memahami arsitektur enterprise saat ini dan mengidentifikasi kesenjangan keamanan not achieved
informasi yang potensial.
Work Product (WP) Sumber daya high-level dan prioritas perubahan not achieved
0% APO02-WP1
Keluaran
Menilai lingkungan, kemampuan dan kinerja saat ini.

Menilai kinerja bisnis internal, kemampuan TI dan layanan TI eksternal saat ini, serta
mengembangkan pemahaman tentang arsitektur enterprise dalam kaitannya dengan IT. 1. Mengembangkan dasar kemampuan keamanan informasi. not achieved
• APO01-WP11: Penilaian kepatuhan keamanan informasi
APO02-BP2 Mengidentifikasi isu yang sedang dialami saat ini dan mengembangkan rekomendasi
• APO02-WP1: Sumber daya high-level dan prioritas perubahan
dalam area yang dapat memberikan manfaat dari perbaikan. Mempertimbangkan penyedia
layanan, pilihan, dampak keuangan, potensi biaya dan manfaat penggunaan layanan
eksternal.
2. Membuat kriteria keamanan informasi yang relevan dan jelas untuk mengidentifikasi not achieved
risiko dan memprioritaskan kesenjangan.
Base Practices (BP) Mendefinisikan target kemampuan TI. 1. Memastikan bahwa persyaratan keamanan informasi dimasukkan ke dalam definisi not achieved
0%
Menentukan target bisnis, kemampuan TI dan layanan TI yang dibutuhkan. Hal ini harus • APO02-WP2: Kemampuan keamanan informasi target kemampuan TI.
Strategi keamanan informasi yang
komprehensif ditempatkan dan diselaraskan APO02-BP3 didasarkan pada pemahaman tentang lingkungan enterprise dan persyaratannya, penilaian • BAI02-WP1: Persyaratan keamanan informasi
APO02-O2 0% proses bisnis, lingkungan TI dan isu saat ini, pertimbangan standar referensi, best pratices • Di luar COBIT 5 for IS: Standar dan regulasi keamanan informasi
dengan strategi bisnis dan TI secara 2. Mendefinisikan status target untuk keamanan informasi. not achieved
keseluruhan dan teknologi yang muncul atau proposal inovasi yang telah divalidasi.
3. Mendefinisikan dan setuju pada dampak persyaratan keamanan informasi pada not achieved
arsitektur enterprise dan pengakuan pemangku kepentingan yang relevan.
Melakukan analisis kesenjangan. 1. Mengidentifikasi semua celah yang harus ditutup dan perubahan yang diperlukan untuk not achieved
Mengidentifikasi kesenjangan antara lingkungan saat ini dan target, dan mewujudkan target lingkungan.
mempertimbangkan keselarasan aset (kemampuan yang mendukung layanan) dengan 2. Membandingkan keamanan informasi terhadap norma industri yang dipahami dengan
APO02-BP4 APO02-WP3: Persyaratan keamanan informasi dalam target kemampuan TI not achieved
outcome bisnis untuk mengoptimalkan investasi dan pemanfaatan basis aset internal dan baik dan dapat diandalkan.
eksternal. Mempertimbangkan faktor penentu keberhasilan untuk mendukung 3. Memeriksa lingkungan saat ini sehubungan dengan persyaratan peraturan dan not achieved
pelaksanaan strategi. kepatuhan.
APO02-WP2 Kemampuan keamanan informasi not achieved
APO02-WP3 Persyaratan keamanan informasi dalam target kemampuan TI not achieved
Work Product (WP)
0% not achieved
Keluaran APO02-WP4 Perbandingan kemampuan keamanan informasi
Kesenjangan yang diperkecil dan perubahan yang diperlukan untuk merealisasikan not achieved
APO02-WP5
kemampuan target
Mendefinisikan target kemampuan TI. 1. Memastikan bahwa persyaratan keamanan informasi dimasukkan ke dalam definisi not achieved
Menentukan target bisnis, kemampuan TI dan layanan TI yang dibutuhkan. Hal ini harus • APO02-WP2: Kemampuan keamanan informasi target kemampuan TI.
APO02-BP3 didasarkan pada pemahaman tentang lingkungan enterprise dan persyaratannya, penilaian • BAI02-WP1: Persyaratan keamanan informasi
proses bisnis, lingkungan TI dan isu saat ini, pertimbangan standar referensi, best pratices • Di luar COBIT 5 for IS: Standar dan regulasi keamanan informasi
2. Mendefinisikan status target untuk keamanan informasi. not achieved
dan teknologi yang muncul atau proposal inovasi yang telah divalidasi.
3. Mendefinisikan dan setuju pada dampak persyaratan keamanan informasi pada not achieved
arsitektur enterprise dan pengakuan pemangku kepentingan yang relevan.
Base Practices (BP) Melakukan analisis kesenjangan. 1. Mengidentifikasi semua celah yang harus ditutup dan perubahan yang diperlukan untuk
0% not achieved
Strategi keamanan informasi menjadi hemat APO02-BP4 APO02-WP3: Persyaratan keamanan informasi dalam target kemampuan TI not achieved
APO02-O3 biaya, tepat, realistis, dapat dicapai, berfokus 0% eksternal. Mempertimbangkan faktor penentu keberhasilan untuk mendukung 3. Memeriksa lingkungan saat ini sehubungan dengan persyaratan peraturan dan
pada enterprise dan seimbang not achieved
1. Mengembangkan rencana keamanan informasi, menguraikan konsekuensi praktis not achieved
Mengkomunikasikan strategi dan arah TI. keamanan informasi untuk enterprise.
Membuat kesadaran dan pemahaman tentang tujuan dan arah bisnis/TI, seperti yang 2. Mengkomunikasikan strategi keamanan informasi dan rencana keamanan informasi
APO02-BP6 APO01-WP5: Pelatihan dan program kesadaran terhadap keamanan informasi not achieved
tertuang dalam strategi TI, melalui komunikasi kepada pemangku kepentingan dan kepada enterprise dan semua pihak terkait.
pengguna yang ada di enterprise. 3. Mempromosikan fungsi keamanan informasi dalam maupun di luar enterprise, jika not achieved
relevan.
APO02-WP3 Persyaratan keamanan informasi dalam target kemampuan TI not achieved
APO02-WP4 Perbandingan kemampuan keamanan informasi not achieved
Work Product (WP) Kesenjangan yang diperkecil dan perubahan yang diperlukan untuk merealisasikan
0% APO02-WP5 not achieved
Keluaran kemampuan target
APO02-WP8 Komunikasi untuk pencapaian tujuan keamanan informasi not achieved
APO02-WP9 Rencana keamanan informasi not achieved
Melakukan analisis kesenjangan. 1. Mengidentifikasi semua celah yang harus ditutup dan perubahan yang diperlukan untuk not achieved
APO02-BP4 APO02-WP3: Persyaratan keamanan informasi dalam target kemampuan TI not achieved
eksternal. Mempertimbangkan faktor penentu keberhasilan untuk mendukung 3. Memeriksa lingkungan saat ini sehubungan dengan persyaratan peraturan dan not achieved
Mendefinisikan rencana strategis dan road map. 1. Mendefinisikan strategi keamanan informasi dan sejajarkan dengan strategi TI dan bisnis not achieved
Base Practices (BP) 0% serta tujuan keseluruhan enterprise.
Membuat rencana strategis yang mendefinisikan, dalam kerjasama dengan pihak terkait,
bagaimana tujuan TI dapat memberikan kontribusi untuk tujuan strategis enterprise.
Strategi keamanan informasi selaras dengan Termasuk bagaimana TI dapat mendukung program investasi TI, proses bisnis, layanan TI • EDM01-WP1: Prinsip panduan keamanan informasi 2. Memastikan bahwa rencana strategis TI saat ini dan road map memperhitungkan not achieved
APO02-O4 0% APO02-BP5
tujuan strategis enterprise jangka panjang dan aset TI. Mengarahkan TI untuk menentukan inisiatif yang dibutuhkan untuk • APO13-WP3: Business cases keamanan informasi persyaratan keamanan informasi.
memperkecil kesenjangan, strategi pemberdayaan dan pengukuran yang akan digunakan
untuk memantau pencapaian tujuan, kemudian memprioritaskan inisiatif dan 3. Membuat road map yang meliputi penjadwalan relatif, ketergantungan antar inisiatif,
metrik (apa) dan target (berapa banyak) yang dapat dikaitkan not achieved
menggabungkannya dalam high-level road map.
ke manfaat enterprise.
APO02-WP4 Perbandingan kemampuan keamanan informasi not achieved
Work Product (WP) Kesenjangan yang diperkecil dan perubahan yang diperlukan untuk merealisasikan not achieved
APO02-WP5
0% kemampuan target
Keluaran
APO02-WP6 Strategi keamanan informasi not achieved
APO02-WP7 Road map strategis keamanan informasi not achieved
0%
0%
0% GP 2.1.2
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
yang tepat.
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
0% GWP 3.0
(GR)
(GP)
persyaratan.
Generic Work
0%
0%
0% GP 2.2.3
0%
(GP)
0%
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0% GP 4.1.2
0% Generic Work
Product (GWP)
(GR)
mana hasil pengukuran yang digunakan
untuk memastikan bahwa kinerja proses
mendukung pencapaian tujuan kinerja
proses yang relevan dalam mendukung
tujuan bisnis yang didefinisikan.
0% GP 4.1.3
GR 4.1.1
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0%

(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

(GP)
kinerja proses.
GR 4.1.1
0%

0% Generic Work
proses
(GR)
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
proses. (GR)
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi

Nama Mengelola arsitektur enterprise Saat Ini - - - - - - - - - -
Membangun arsitektur umum yang terdiri atas lapisan arsitektur proses bisnis, informasi, data, aplikasi dan teknologi untuk mewujudkan perusahaan dan strategi TI yang efektif dan efisien dengan menciptakan model kunci dan praktik yang menggambarkan batas dan target arsitektur. Menetapkan persyaratan bagi taksonomi, standar, pedoman, prosedur, template, alat dan menyediakan keterhubungan antar komponennya. Nilai
Deskripsi Meningkatkan keterpaduan, meningkatkan kelincahan, meningkatkan kualitas informasi dan menghasilkan potensi penghematan biaya melalui inisiatif seperti penggunaan kembali komponen yang ada. -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Memrepresentasikan komponen yang berbeda untuk membentuk enterprise dan hubungan timbal baliknya serta prinsip desain dan evolusi dari waktu ke waktu, membuat standar, pemberian tujuan operasional dan strategis yang responsif dan efisien. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
Proses tidak diimplementasikan
0 - Incomplete atau gagal mencapai 0% not achieved
tujuannya.
1 - Performed PA 1.1 Proses yang
diimplementasikan mencapai Mendukung visi arsitektur enterprise.
Visi arsitektur menyediakan deskripsi singkat, tingkat tinggi dari arsitektur baseline dan 1. Mendefinisikan tujuan keamanan informasi dan persyaratan untuk arsitektur enterprise. not achieved
tujuannya.
sasaran, meliputi domain bisnis, informasi, data, aplikasi dan teknologi. Visi arsitektur
• APO02-WP4: Perbandingan kemampuan keamanan informasi
APO03-BP1 menyediakan sponsor dengan alat kunci untuk mempromosikan manfaat dari kemampuan
• APO02-WP6: Strategi keamanan informasi
yang diusulkan kepada pemangku kepentingan dalam enterprise. Visi arsitektur not achieved
2. Mendefinisikan proposisi nilai keamanan informasi dan tujuan terkait dan metrik.
menjelaskan bagaimana kemampuan baru dapat memenuhi tujuan enterprise dan tujuan
strategis dan mengatasi masalah pemangku kepentingan ketika diimplementasikan. 3. Mempertimbangkan base practice industri dalam membangun visi arsitektur keamanan not achieved
Base Practices (BP) 0% informasi.
Mendefinisikan arsitektur referensi. 1. Memastikan masuknya artefak keamanan informasi, kebijakan dan standar dalam not achieved
Persyaratan keamanan informasi APO03-BP2 Arsitektur referensi menggambarkan arsitektur saat ini dan target untuk domain bisnis, Di luar COBIT 5 for IS: Arsitektur enterprise repositori arsitektur.
tertanam di dalam arsitektur enterprise informasi, data, aplikasi dan teknologi domain. 2. Memastikan bahwa keamanan informasi terintegrasi di semua domain arsitektur not achieved
APO03-O1 0% (misalnya: bisnis, informasi, data, aplikasi, teknologi).
dan ditranslasikan ke dalam arsitektur
Menyediakan layanan arsitektur enterprise. 1. Mengembangkan standar keamanan informasi dan pola desain untuk mendukung not achieved
keamanan informasi yang formal
Menyediakan layanan arsitektur enterprise meliputi panduan dan pemantauan arsitektur enterprise.
APO03-BP5 2. Memastikan bahwa setiap akuisisi teknologi dan aktivitas perubahan bisnis meliputi
pelaksanaan proyek, meresmikan cara kerja melalui kontrak arsitektur, mengukur dan
kajian keamanan informasi untuk mengkonfirmasi bahwa persyaratan keamanan informasi not achieved
mengkomunikasikan nilai-tambah dan pemantauan kepatuhan arsitektur.
terpenuhi.
APO03-WP1 Visi arsitektur keamanan informasi not achieved
APO03-WP2 Rencana, tujuan dan metrik nilai keamanan informasi not achieved
Work Product (WP) APO03-WP3 Definisi arsitektur keamanan informasi target not achieved
0%
Keluaran APO03-WP4 Deskripsi domain baseline domain dan definisi arsitektur not achieved
APO03-WP5 Model arsitektur informasi not achieved
APO03-WP8 Panduan implementasi layanan arsitektur keamanan informasi not achieved
Mendefinisikan arsitektur referensi. 1. Memastikan masuknya artefak keamanan informasi, kebijakan dan standar dalam not achieved
APO03-BP2 Arsitektur referensi menggambarkan arsitektur saat ini dan target untuk domain bisnis, Di luar COBIT 5 for IS: Arsitektur enterprise repositori arsitektur.
informasi, data, aplikasi dan teknologi domain. 2. Memastikan bahwa keamanan informasi terintegrasi di semua domain arsitektur not achieved
(misalnya: bisnis, informasi, data, aplikasi, teknologi).
Merasionalisasikan kesenjangan antara arsitektur baseline dan target, mengambil
Base Practices (BP) 0% perspektif bisnis dan teknis, dan secara logis mengelompokkannya ke dalam paket
Arsitektur keamanan informasi dipahami pekerjaan proyek. Mengintegrasikan proyek dengan program investasi TI untuk
1. Memastikan masuknya persyaratan keamanan informasi ketika menganalisis
APO03-O2 sebagai bagian dari keseluruhan 0% APO03-BP3 memastikan bahwa inisiatif arsitektur selaras dengan inisiatif sebagai bagian dari APO03-WP3: Definisi arsitektur target untuk keamanan informasi not achieved
kesenjangan dan memilih solusi untuk enterprise.
arsitektur enterprise perubahan enterprise secara keseluruhan. Menjadikan upaya kolaborasi dengan
pemangku kepentingan kunci enterprise dari bisnis dan TI untuk menilai kesiapan
transformasi enterprise, mengidentifikasi peluang, solusi dan semua kendala
implementasi.
APO03-WP3 Definisi arsitektur keamanan informasi target not achieved
Work Product (WP) APO03-WP4 Deskripsi domain baseline domain dan definisi arsitektur not achieved
0%
Keluaran APO03-WP5 Model arsitektur informasi not achieved
APO03-WP6 Implementasi arsitektur keamanan informasi dan strategi implementasi not achieved

Merasionalisasikan kesenjangan antara arsitektur baseline dan target, mengambil
perspektif bisnis dan teknis, dan secara logis mengelompokkannya ke dalam paket
pekerjaan proyek. Mengintegrasikan proyek dengan program investasi TI untuk
1. Memastikan masuknya persyaratan keamanan informasi ketika menganalisis not achieved
APO03-BP3 memastikan bahwa inisiatif arsitektur selaras dengan inisiatif sebagai bagian dari APO03-WP3: Definisi arsitektur target untuk keamanan informasi
kesenjangan dan memilih solusi untuk enterprise.
perubahan enterprise secara keseluruhan. Menjadikan upaya kolaborasi dengan
Arsitektur keamanan informasi Base Practices (BP) 0% pemangku kepentingan kunci enterprise dari bisnis dan TI untuk menilai kesiapan
diselaraskan dan dikembangkan transformasi enterprise, mengidentifikasi peluang, solusi dan semua kendala
APO03-O3 0%
terhadap perubahan dalam arsitektur implementasi.
enterprise
Menyediakan layanan arsitektur enterprise. 1. Mengembangkan standar keamanan informasi dan pola desain untuk mendukung not achieved
Menyediakan layanan arsitektur enterprise meliputi panduan dan pemantauan arsitektur enterprise.
APO03-BP5 2. Memastikan bahwa setiap akuisisi teknologi dan aktivitas perubahan bisnis meliputi
pelaksanaan proyek, meresmikan cara kerja melalui kontrak arsitektur, mengukur dan
kajian keamanan informasi untuk mengkonfirmasi bahwa persyaratan keamanan informasi not achieved
mengkomunikasikan nilai-tambah dan pemantauan kepatuhan arsitektur.
terpenuhi.
Work Product (WP) APO03-WP6 Implementasi arsitektur keamanan informasi dan strategi implementasi not achieved
0%
Keluaran APO03-WP8 Panduan implementasi layanan arsitektur keamanan informasi not achieved
Mendefinisikan implementasi asitektur.

Kerangka arsitektur dan metodologi Membuat implementasi yang layak dan rencana migrasi yang sejalan dengan program dan
keamanan informasi dapat digunakan Base Practices (BP) APO03-WP6: Implementasi arsitektur keamanan informasi dan not achieved
0% APO03-BP4 portofolio proyek. Memastikan bahwa rencana tersebut terkoordinasi secara kuat untuk 1. Menyelaraskan keamanan informasi dan arsitektur TI
APO03-O4 secara berulang oleh komponen 0% strategi migrasi
memastikan nilai yang disampaikan dan sumber daya yang diperlukan tersedia untuk
keamanan informasi yang ada di menyelesaikan pekerjaan yang diperlukan.
enterprise
0% APO03-WP7 Arsitektur keamanan informasi yang lengkap dan rencana implementasi layanan
Keluaran
2 - Managed PA 2.1 Manajemen Kinerja -
Generic Practices Mengidentifikasi tujuan kinerja proses. Tujuan kinerja bersama dengan asumsi dan
ukuran sejauh mana kinerja 0% GP 2.1.1 not achieved
proses dikelola.
0%
0%
Generic Practices Merencanakan dan memantau kinerja proses untuk memenuhi tujuan yang teridentifikasi.
0% GP 2.1.2 not achieved
0% GR 2.1.3
dan umpan balik
(GR)
Mengatur kinerja proses. Tindakan diambil ketika kinerja yang direncanakan tidak
0% GP 2.1.3 tercapai. Tindakan meliputi identifikasi masalah kinerja proses dan penyesuaian rencana
(GP)
dan jadwal yang tepat.
Perencanaan layanan, manajemen dan alat kontrol, termasuk waktu dan biaya pelaporan not achieved
0% dan umpan balik
(GR)
Generic Practices
0% GP 2.1.4 dan wewenang utama untuk melakukan kegiatan utama dari proses dapat didefinisikan, not achieved
(GP)
0%
0% GP 2.1.5 rencana. Sumber daya dan informasi yang diperlukan untuk melakukan kegiatan utama
(GP)
dari proses teridentifikasi, tersedia, teralokasikan dan digunakan.
e. Sumber daya dan informasi penting untuk
melaksanakan proses teridentifikasi, tersedia, 0% Generic Work Rencana proses yang memberikan rincian rencana pelatihan proses dan rencana not achieved
0% GWP 2.0
dialokasikan dan digunakan. Product (GWP) pencarian sumber daya proses.
Generic Resource
(GR)
Generic Practices
0% GP 2.1.6 dengan proses tersebut teridentifikasi, tanggung jawab didefinisikan dan mekanisme not achieved
(GP)
Product (GWP)
0%
PA 2.2 Manajemen Work Generic Practices not achieved
Product - Ukuran sejauh mana (GP)
work product yang dihasilkan a) Persyaratan work product dari proses terdefinisi. 0% Generic Work Rencana kualitas yang memberikan detil kriteria kualitas serta isi dan struktur work not achieved
0% GWP 3.0
oleh proses dikelola secara Product (GWP) product.
tepat. Work produt (atau output Generic Resource not achieved
dari proses) didefinisikan dan (GR)
dikendalikan. Mendefinisikan persyaratan untuk dokumentasi dan kontrol work product. Hal ini
Generic Practices
0% GP 2.2.2 seharusnya mengandung identifikasi ketergantungan, persetujuan dan ketertelusuran not achieved
(GP)
persyaratan.
Generic Work
0%
0%
0% GP 2.2.3
0%
Generic Practices
0% GP 2.2.4 Work product sebagai subyek untuk mengkaji persyaratan yang sesuai dengan pengaturan not achieved
(GP)
direncanakan dan diatur agar dapat memenuhi 0% Generic Work Quality records should provide an jejak audit dari kajian yang dilakukan not achieved
0% GWP 4.0
persyaratan. Product (GWP) Rekaman berkualitas yang memberikan
0%
3 - Established PA 3.1 Definisi Proses - Ukuran Mendefinisikan proses standar yang akan mendukung penyebaran proses yang
Generic Practices
sejauh mana proses standar 0% GP 3.1.1 didefinisikan. Sebuah proses standar didefinisikan untuk mengidentifikasi elemen proses not achieved
(GP)
dipertahankan untuk fundamental serta memberikan pedoman dan prosedur.
a) Proses standar, termasuk pedoman yang dibuat
mendukung penyebaran dari Generic Work Kebijakan dan standar yang memberikan rincian tujuan organisasi untuk proses, standar
sendiri secara tepat, menggambarkan unsur mendasar 0% GWP 5.0 not achieved
proses yang didefinisikan. 0% Product (GWP) minimum kinerja, prosedur standar, pelaporan dan persyaratan pemantauan.
yang harus dimasukkan ke dalam sebuah proses yang
terdefinisi. not achieved
GR 3.1.1 Metode/alat bantu pemodelan proses
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
melaksanakan proses teridentifikasi sebagai bagian 0% Product (GWP)
proses standar. GR 3.1.1 Metode/alat bantu pemodelan proses not achieved
Generic Resource
(GR)
Generic Practices
0% GP 3.1.4 proses standar. Infrastruktur (fasilitas, alat, metode, dll) dan lingkungan kerja untuk not achieved
d) Infrastruktur dan lingkungan kerja yang diperlukan (GP)
untuk melaksanakan proses teridentifikasi sebagai 0% Generic Work Kebijakan dan standar yang mengidentifikasi infrastruktur dan lingkungan kerja minimum
bagain proses standar. Product (GWP) yang diperlukan untuk menjalankan proses
(GR)
0% GP 3.1.5
(GP) standar.
Kebijakan dan standar yang memberikan rincian tujuan organisasi untuk proses, standar
e) Metode yang tepat untuk memantau keefektifan Generic Work minimum kinerja, prosedur standar, persyaratan pelaporan dan pemantauan
0% 0%
dan kecocokan proses terdefinisi. Product (GWP)
GWP 4.0
yang dilakukan)
0%
PA 3.2 Deployment Proses - Generic Practices not achieved
Ukuran sejauh mana proses a) Proses yang terdefinisi disebarkan berdasarkan (GP)
standar efektif digunakan standar proses terpilih yang dibuat sendiri secara 0% Generic Work Kebijakan dan standar yang mendefinisikan standar yang harus diikuti oleh semua not achieved
0% GWP 5.0
sebagai proses yang ditetapkan tepat. Product (GWP) implementasi proses
untuk mencapai outcome Generic Resource not achieved
prosesnya. (GR)
0% GP 3.2.2
b) Peran, tanggung jawab dan wewenang yang
diperlukan untuk melakukan proses yang terdefinisi 0% 0% GWP 5.0
telah ditentukan dan dikomunikasikan.
0%
(GP)
c) Personil yang melakukan proses yang terdefinisi
Generic Work
adalah orang berkompetensi di bidang dasar 0% 0%
pendidikan, pelatihan dan pengalaman yang tepat. GWP 2.0 not achieved
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
e) Infrastruktur dan lingkungan kerja yang diperlukan (GP) didefinisikan.
untuk melakukan proses yang terdefinisi dibuat 0% Generic Work Rencana proses yang mencakup rincian infrastruktur proses dan lingkungan kerja untuk not achieved
0% GWP 2.0
tersedia, dikelola dan dipelihara. Product (GWP) setiap instance proses
(GR)
0% GP 3.2.6
f) Data yang tepat dikumpulkan dan dianalisis sebagai 0% GWP 4.0
dasar pemahaman berperilaku, mendemonstrasikan GR 3.2.1 Mekanisme umpan balik (pelanggan, staf dan pemangku kepentingan lainnya) not achieved
0%
kecocokan dan keefektifan proses, mengevaluasi not achieved
perbaikan proses yang kontinu dapat dibuat. Generic Resource
(GR)
4 - Predictable PA 4.1 Pengukuran Proses -
Ukuran sejauh mana hasil Generic Practices
0% GP 4.1.1 Tujuan bisnis dan kebutuhan informasi proses pemangku kepentingan telah ditetapkan not achieved
pengukuran yang digunakan a) Kebutuhan informasi proses dalam mendukung (GP)
untuk memastikan bahwa tujuan bisnis yang relevan tersusun. 0%
kinerja proses mendukung Generic Work Rencana peningkatan proses yang memberikan tujuan peningkatan proses dan tindakan not achieved
0% GWP 6.0
pencapaian tujuan kinerja Product (GWP) perbaikan yang diusulkan
proses yang relevan dalam Generic Resource Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko not achieved
0% GR 4.1.1
mendukung tujuan bisnis yang (GR) dll)
didefinisikan. Generic Practices Menurunkan tujuan pengukuran proses dari kebutuhan informasi proses. Tujuan
b) Tujuan pengukuran proses diturunkan dari
0% Generic Work
kebutuhan informasi proses. 0% GWP 7.0 Rencana pengukuran proses yang memberikan rincian tujuan pengukuran yang diusulkan not achieved
Product (GWP)
(GR)
Generic Practices Menyusun tujuan kuantitatif untuk kinerja proses yang didefinisikan, sesuai dengan
Ukuran sejauh mana hasil
pengukuran yang digunakan
untuk memastikan bahwa
kinerja proses mendukung
pencapaian tujuan kinerja
proses yang relevan dalam
mendukung tujuan bisnis yang
didefinisikan.
c) Tujuan kuantitatif untuk kinerja proses dalam

0%
mendukung tujuan bisnis yang relevan tersusun.
0% GR 4.1.1
dll)
(GR)
0% GP 4.1.4
Generic Work Rencana pengukuran proses yang memberikan rincian langkah dan indikator yang
d) Langkah dan frekuensi pengukuran diidentifikasi Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko
dan ditetapkan sesuai dengan tujuan pengukuran 0% GR 4.1.1 not achieved
dll)
proses dan tujuan kuantitatif untuk kinerja proses. not achieved
Generic Resource
0%

(GP)
Generic Work
0%
e) Hasil pengukuran dikumpulkan, dianalisis dan Product (GWP) Rekaman kinerja proses yang memberikan rincian pengukuran yang dikumpulkan dan
dilaporkan untuk memantau sejauh mana tujuan 0% dianalisis
kuantitatif untuk kinerja proses terpenuhi. Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko not achieved
GR 4.1.1
dll)
(GR)

Generic Practices
0% GP 4.1.6 pencapaian tujuan kinerja proses. Hasil pengukuran terdefinisikan dianalisis untuk not achieved
(GP)
kinerja proses.
GR 4.1.1
0%

PA 4.2 Kontrol Proses - Ukuran
sejauh mana proses secara 0% GP 4.2.1
kuantitatif berhasil
menghasilkan sebuah proses a) Teknik analisis dan kontrol ditentukan dan GWP 1.0 Dokumentasi proses yang memberikan rincian kontrol (matriks kontrol) not achieved
0% Generic Work
yang stabil, mampu dan dapat diterapkan jika memungkinkan. 0% Rencana kontrol proses yang ada untuk menspesifikasikan setiap pendekatan pengukuran
diprediksi dalam batas yang proses
ditentukan. Generic Resource
0% GR 4.2.1 Teknik kontrol dan analisis proses not achieved
(GR)
Generic Practices
0% GP 4.2.2 standar dimodifikasi untuk menyertakan metode untuk pengendalian proses dan batas not achieved
(GP)
b) Batas kontrol variasi ditetapkan untuk kinerja kontrol yang dibentuk.
proses normal. 0% GWP 8.0 not achieved
(GR)
(GP)
variasi. 0% GWP 9.0
0%
Generic Practices
0% GP 4.2.4 khusus. Tindakan korektif diambil untuk mengatasi masalah pengendalian proses serta not achieved
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
5 - Optimizing PA 5.1 Inovasi Proses - Ukuran Generic Practices Mendefinisikan tujuan perbaikan proses untuk proses yang mendukung tujuan bisnis yang not achieved
0% GP 5.1.1
sejauh mana perubahan untuk (GP) relevan. Arah inovasi proses ditetapkan.
proses teridentifikasi dari a) Tujuan peningkatan proses terdefinisikan untuk Generic Work Rencana perbaikan proses yang memberikan rincian tujuan perbaikan proses dan tindakan
analisis penyebab umum dari mendukung tujuan bisnis yang relevan. Product (GWP) perbaikan yang diusulkan
variasi dalam kinerja, dan dari Generic Resource not achieved
penyelidikan pendekatan (GR)
inovatif untuk definisi dan Generic Practices Menganalisis data pengukuran proses untuk mengidentifikasi variasi yang sebenarnya dan not achieved
0% GP 5.1.2
penyebaran proses. (GP) potensial dalam kinerja proses.
(GR)
Generic Practices
0% GP 5.1.3 Peluang perbaikan proses diidentifikasi berdasarkan perbandingan dengan base pratice not achieved
(GP)
industri.
c) Appropriate data are analysed to identify Generic Work Rencana perbaikan proses yang memberikan rincian analisis dibandingkan dengan best
opportunities for best practice and innovation. Product (GWP) practice
0%
(GR)
(GP)
d) Peluang perbaikan yang diturunkan dari teknologi Generic Work not achieved
dan konsep proses yang baru teridentifikasi. Product (GWP)
0%
Generic Practices
0% GP 5.1.5 panjang. Strategi perbaikan proses didefinisikan dan divalidasi berdasarkan tujuan dan not achieved
(GP)
e) Strategi implementasi dibangun untuk mencapai sasaran perbaikan jangka panjang.
tujuan perbaikan proses. 0% GWP 6.0 not achieved
(GR)
PA 5.2 Optimalisasi Proses - Generic Practices Menilai dampak dari setiap perubahan yang diusulkan terhadap tujuan dari proses yang not achieved
0% GP 5.2.1
Ukuran sejauh mana perubahan (GP) didefinisikan dan standar.
a) Dampak semua perubahan usulan dinilai sesuai
definisi, manajemen dan Generic Work Rencana perbaikan proses yang memberikan rincian perbaikan proses yang diperlukan dan not achieved
dengan tujuan proses yang terdefinisi dan proses 0% 0% GWP 6.0
kinerja hasil proses dalam Product (GWP) pendekatan kualitas proyek
standar.
dampak yang efektif untuk Generic Resource GR 5.2.1 Sistem manajemen perubahan not achieved
0%
mencapai tujuan perbaikan (GR) GR 5.2.2 Sistem evaluasi proses (analisis dampak dll) not achieved
proses yang relevan. Generic Practices Mengelola implementasi perubahan yang disepakati untuk area tertentu dari proses yang
disepakati agar dikelola untuk memastikan bahwa perbaikan proses dan bukti perubahan dalam:
setiap gangguan terhadap kinerja proses dipahami 0% GWP 6.0 • GWP 1.0 Dokumentasi proses
Product (GWP)
dan ditindaklanjuti. • GWP 3.0 Rencana kualitas
(GR)
c) Berdasarkan kinerja aktual, efektivitas dari 0% GP 5.2.3
(GP) proses, tujuan kemampuan dan tujuan bisnis.
perubahan proses dievaluasi sesuai dengan
persyaratan produk yang terdefinisi dan tujuan proses 0% Generic Work Rencana perbaikan proses yang memberikan rincian perbaikan proses yang diperlukan dan not achieved
0% GWP 6.0
untuk menentukan apakah hasilnya disebabkan oleh Product (GWP) pendekatan kualitas proyek
penyebab umum atau khusus. Generic Resource GR 5.2.1 Sistem manajemen perubahan not achieved
0%
Rekapitulasi

Nama Mengelola inovasi Saat Ini - - - - - - - - - -
Menjaga kesadaran teknologi informasi dan tren layanan terkait, mengidentifikasi peluang inovasi dan merencanakan bagaimana mendapatkan manfaat dari inovasi dalam kaitannya dengan kebutuhan bisnis. Menganalisis peluang apa yang dapat dibuat untuk inovasi bisnis atau perbaikan dengan teknologi yang sedang berkembang, jasa atau inovasi bisnis TI, serta melalui teknologi yang ada melalui Nilai
Deskripsi inovasi proses TI. Mempengaruhi perencanaan strategis dan keputusan arsitektur enterprise. -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Mencapai keunggulan kompetitif, inovasi bisnis, meningkatkan efektivitas dan efisiensi operasional dengan memanfaatkan perkembangan teknologi informasi. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
Proses tidak
0 - Incomplete diimplementasikan atau gagal 0% not achieved
mencapai tujuannya.
Menciptakan lingkungan yang kondusif untuk membuat inovasi. 1. Memelihara prinsip dan kebijakan keamanan informasi untuk mendukung
diimplementasikan mencapai not achieved
Menciptakan lingkungan yang kondusif untuk membuat inovasi, mempertimbangkan isu inovasi yang sejalan dengan mengelola risiko informasi.
tujuannya. APO04-BP1
seperti budaya, penghargaan, kolaborasi, forum teknologi, mekanisme untuk
mempromosikan dan menangkap ide dari karyawan. 2. Membentuk konekesi ke riset dan layanan pemberian nasihat keamanan not achieved
lainnya.
Memelihara pemahaman tentang lingkungan enterprise.
1. Memelihara pemahaman terhadap arahan keamanan informasi untuk not achieved
Bekerja dengan pemangku kepentingan yang relevan untuk memahami tantangan
mengidentifikasi peluang dan batasan inovasi teknologi.
APO04-BP2 mereka. Menjaga pemahaman yang memadai dari strategi enterprise dan lingkungan Di luar COBIT 5 for IS: Riset eksternal
yang kompetitif atau kendala lain sehingga peluang yang diaktifkan oleh teknologi baru 2. Menentukan efek dan dampak inovasi terhadap teknologi, lingkungan dan not achieved
dapat diidentifikasi. keamanan informasi.
Base Practices (BP) 0% Memantau dan mengamati lingkungan teknologi.

Melakukan pemantauan sistematis dan pemindaian lingkungan eksternal enterprise 1. Melakukan riset dan pemeriksaan lingkungan eksternal untuk not achieved
untuk mengidentifikasi kemunculan teknologi yang memiliki potensi untuk menciptakan mengidentifikasi tren yang muncul dalam keamanan informasi.
Inovasi dipromosikan dalam program
APO04-O1 0% APO04-BP3 nilai (misalnya, dengan menyadari strategi enterprise, mengoptimalkan biaya, Di luar COBIT 5 for IS: Riset eksternal
keamanan informasi
menghindari usang, menjalankan enterprise dan proses TI). Memantau pasar, lanskap
kompetitif, sektor industri, tren hukum dan peraturan untuk dapat menganalisis 2. Mendorong umpan balik pemangku kepentingan pada inovasi keamanan not achieved
kemunculan teknologi atau ide inovasi dalam konteks enterprise. informasi.
Menilai kemunculan teknologi dan ide inovasi yang potensial. 1. Mengevaluasi inovasi yang teridentifikasi berdasarkan arahan keamanan not achieved
• APO02-WP2: Kemampuan keamanan informasi informasi.
Menganalisis kemunculan teknologi yang teridentifikasi dan/atau saran inovasi TI.
APO04-BP4 • BAI02-WP1: Persyaratan keamanan informasi 2. Membantu aktivitas proof-of-consept untuk inisiatif inovasi untuk
Bekerja dengan para pemangku kepentingan untuk memvalidasi asumsi tentang potensi
• APO02-WP9: Rencana keamanan informasi memastikan cakupan persyaratan keamanan informasi. Mengevaluasi not achieved
teknologi baru dan inovasi.
kepatuhan terhadap persyaratan tersebut.
APO04-WP1 Rencana inovasi keamanan informasi not achieved
Work Product (WP) APO04-WP2 Penilaian dampak keamanan informasi dari inisiatif baru not achieved
0%
Keluaran APO04-WP3 Tren muncul yang teridentifikasi dalam keamanan informasi not achieved
APO04-WP4 Penilaian kepatuhan terhadap persyaratan keamanan informasi not achieved
Merekomendasi inisiatif lebih lanjut yang sesuai.
• APO02-WP9: Rencana keamanan informasi
Mengevaluasi dan memonitor hasil proof-of-consept dari inisiatif, apabila 1. Memberikan saran keamanan informasi berdasarkan proof-of-consept hasil not achieved
APO04-BP5 • APO04-WP4: Penilaian kepatuhan terhadap
menguntungkan maka buat rekomendasi untuk inisiatif lebih lanjut dan dapatkan inisiatif inovasi TI.
persyaratan keamanan informasi
dukungan pemangku kepentingan.
Persyaratan keamanan informasi Base Practices (BP) 0%
Mengawasi implementasi dan penggunaan inovasi.
APO04-O2 dimasukkan ke dalam bagian inovasi ketika 0% 1. Mengukur manfaat dan risiko keamanan selama dilakukannya proof-of-
Memantau implementasi dan penggunaan teknologi baru dan inovasi selama integrasi, not achieved
diimplementasikan APO04-BP6 APO04-WP1: Rencana inovasi keamanan informasi consept dan aktivitas inovasi lainnya.
adopsi dan siklusnya untuk memastikan bahwa manfaat yang dijanjikan terealisasi dan
untuk mengidentifikasi pelajaran yang dapat diambil.
Work Product (WP) APO04-WP5 Petunjuk keamanan informasi pada hasil pengujian proof-of-concept not achieved
0%
Keluaran APO04-WP6 Rencana inovasi yang telah disesuaikan not achieved
ukuran sejauh mana kinerja 0% GP 2.1.1
proses dikelola.
0%
0%
Merencanakan dan memantau kinerja proses untuk memenuhi tujuan yang
0% GP 2.1.2 teridentifikasi. Langkah dasar dari kinerja proses yang terkait tujuan bisnis terbentuk
(GP)
dan terpantau.
Perencanaan layanan, manajemen dan alat kontrol, termasuk waktu dan biaya not achieved
0% pelaporan dan umpan balik
(GR)
(GP)
c. Kinerja proses dapat disesuaikan sesuai rencana. 0% Generic Work Rekaman kualitas yang memberikan rincian tindakan yang diambil ketika kinerja tidak not achieved
0% GWP 4.0
(GR)
Mendefinisikan tanggung jawab dan wewenang untuk melakukan proses. Tanggung
0% GP 2.1.4 jawab dan wewenang utama untuk melakukan kegiatan utama dari proses dapat
(GP)
didefinisikan, ditugaskan dan dikomunikasikan.
0%
Mengidentifikasi dan membuat sumber daya yang tersedia untuk melakukan proses
0% GP 2.1.5 sesuai rencana. Sumber daya dan informasi yang diperlukan untuk melakukan kegiatan
(GP)
utama dari proses teridentifikasi, tersedia, teralokasikan dan digunakan.
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
Product - Ukuran sejauh mana (GP)
work product yang dihasilkan a) Persyaratan work product dari proses terdefinisi. 0% Generic Work Rencana kualitas yang memberikan detil kriteria kualitas serta isi dan struktur work not achieved
0% GWP 3.0
oleh proses dikelola secara Product (GWP) product.
tepat. Work produt (atau Generic Resource not achieved
output dari proses) (GR)
didefinisikan dan dikendalikan. Mendefinisikan persyaratan untuk dokumentasi dan kontrol work product. Hal ini
(GP)
persyaratan.
Generic Work
0% dokumentasi dan kontrol perubahan
terdefinisi.
0%
Mengidentifikasi, mendokumentasi dan mengontrol work product. Work product
0% GP 2.2.3 sebagai subyek untuk mengontrol perubahan, versioning dan manajemen konfigurasi
(GP)
yang tepat.
0%
Mengkaji dan menyesuaikan work product untuk memenuhi persyaratan yang
0% GP 2.2.4 ditentukan. Work product sebagai subyek untuk mengkaji persyaratan yang sesuai
(GP)
d) Work product dikaji berdasarkan perjanjian yang dengan pengaturan yang direncanakan dan masalah yang timbul dapat diselesaikan.
0% GWP 4.0
0%
sejauh mana proses standar 0% GP 3.1.1 didefinisikan. Sebuah proses standar didefinisikan untuk mengidentifikasi elemen proses
(GP)
dipertahankan untuk fundamental serta memberikan pedoman dan prosedur.
mendukung penyebaran dari Generic Work Kebijakan dan standar yang memberikan rincian tujuan organisasi untuk proses, standar
secara tepat, menggambarkan unsur mendasar yang 0% GWP 5.0 not achieved
proses yang didefinisikan. 0% Product (GWP) minimum kinerja, prosedur standar, pelaporan dan persyaratan pemantauan.
harus dimasukkan ke dalam sebuah proses yang
terdefinisi. GR 3.1.1 Metode/alat bantu pemodelan proses not achieved
Generic Resource
(GR)
0% GP 3.1.2
Generic Work Kebijakan dan standar yang memberika pemetaan proses terhadap rincian proses not achieved
0% GWP 5.0
b) Urutan dan interaksi proses standar dengan proses Product (GWP) standar serta urutan dan interkasi yang diharapkan
0%
(GP)
c) Kompetensi dan peran yang diperlukan dalam Generic Work Kebijakan dan standar yang memberikan rincian peran dan kompetensi untuk not achieved
0% GWP 5.0
melaksanakan proses teridentifikasi sebagai bagian 0% Product (GWP) pelaksanaan
Generic Resource
(GR)
untuk melaksanakan proses teridentifikasi sebagai bagain 0% Generic Work Kebijakan dan standar yang mengidentifikasi infrastruktur dan lingkungan kerja
proses standar. Product (GWP) minimum yang diperlukan untuk menjalankan proses
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
kecocokan proses terdefinisi. Rekaman berkualitas dan GWP 9.0 (Rekaman kinerja proses yang memberikan bukti
kajian yang dilakukan)
0%
Ukuran sejauh mana proses (GP)
standar efektif digunakan a) Proses yang terdefinisi disebarkan berdasarkan standar Generic Work Kebijakan dan standar yang mendefinisikan standar yang harus diikuti oleh semua
sebagai proses yang ditetapkan proses terpilih yang dibuat sendiri secara tepat. Product (GWP) implementasi proses
untuk mencapai outcome Generic Resource not achieved
prosesnya. (GR)
0% GP 3.2.2
dan dikomunikasikan. not achieved
Generic Resource GR 3.2.2 Penampung proses
0%
(GP)
Generic Work
Product (GWP) Rencana proses yang mencakup rincian rencana komunikasi proses, rencana pelatihan
dan rencana perolehan sumber daya untuk setiap instance proses
(GR)
0% GP 3.2.4
(GP) didefinisikan.
tersedia, dialokasikan dan digunakan. not achieved
0%
0% GP 3.2.5
untuk melakukan proses yang terdefinisi dibuat tersedia, 0% Generic Work Rencana proses yang mencakup rincian infrastruktur proses dan lingkungan kerja untuk not achieved
0% GWP 2.0
dikelola dan dipelihara. Product (GWP) setiap instance proses
(GR)
Generic Practices Mengumpulkan dan menganalisis kinerja proses untuk mendemonstrasikan kecocokan not achieved
0% GP 3.2.6
(GP) dan keefektifannya.
Generic Work Rekaman berkualitas dan GWP 9.0 (Rekaman kinerja proses yang memberikan bukti not achieved
0% GWP 4.0
f) Data yang tepat dikumpulkan dan dianalisis sebagai Product (GWP) kajian yang dilakukan untuk setiap instance proses)
0%
kecocokan dan keefektifan proses, mengevaluasi GR 3.2.5 Sistem manajemen masalah dan perubahan not achieved
(GR)
Ukuran sejauh mana hasil Generic Practices not achieved
pengukuran yang digunakan a) Kebutuhan informasi proses dalam mendukung tujuan (GP)
untuk memastikan bahwa bisnis yang relevan tersusun. 0%
kinerja proses mendukung Generic Work Rencana peningkatan proses yang memberikan tujuan peningkatan proses dan tindakan not achieved
0% GWP 6.0
pencapaian tujuan kinerja Product (GWP) perbaikan yang diusulkan
proses yang relevan dalam Generic Resource Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko not achieved
0% GR 4.1.1
mendukung tujuan bisnis yang (GR) dll)
didefinisikan. Generic Practices Menurunkan tujuan pengukuran proses dari kebutuhan informasi proses. Tujuan
0% Generic Work Rencana pengukuran proses yang memberikan rincian tujuan pengukuran yang
informasi proses. 0% GWP 7.0 not achieved
Product (GWP) diusulkan
(GR)
0% GP 4.1.3
c) Tujuan kuantitatif untuk kinerja proses dalam Generic Work Rencana pengukuran proses yang memberikan rincian langkah pengukuran dan
mendukung tujuan bisnis yang relevan tersusun. Product (GWP) indikator yang diusulkan
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
d) Langkah dan frekuensi pengukuran diidentifikasi dan Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko
ditetapkan sesuai dengan tujuan pengukuran proses dan 0% GR 4.1.1 not achieved
dll)
tujuan kuantitatif untuk kinerja proses. GR 4.1.2 Teknik pengukuran yang berlaku not achieved
Generic Resource
0% not achieved

0% GP 4.1.5 didefinisikan. Hasil pengukuran produk dan proses dikumpulkan, dianalisis dan
(GP)
dilaporkan sesuai dengan rencana yang didefinisikan.
Generic Work
0%
GR 4.1.1
dll)
(GR)

(GP)
kinerja proses.
GR 4.1.1
0% not achieved

kuantitatif berhasil
menghasilkan sebuah proses a) Teknik analisis dan kontrol ditentukan dan diterapkan GWP 1.0 Dokumentasi proses yang memberikan rincian kontrol (matriks kontrol) not achieved
0% Generic Work
yang stabil, mampu dan dapat jika memungkinkan. 0% Rencana kontrol proses yang ada untuk menspesifikasikan setiap pendekatan
diprediksi dalam batas yang pengukuran proses
ditentukan. Generic Resource not achieved
(GR)
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
5 - Optimizing PA 5.1 Inovasi Proses - Ukuran Generic Practices Mendefinisikan tujuan perbaikan proses untuk proses yang mendukung tujuan bisnis not achieved
0% GP 5.1.1
sejauh mana perubahan untuk (GP) yang relevan. Arah inovasi proses ditetapkan.
proses teridentifikasi dari a) Tujuan peningkatan proses terdefinisikan untuk Generic Work Rencana perbaikan proses yang memberikan rincian tujuan perbaikan proses dan
analisis penyebab umum dari mendukung tujuan bisnis yang relevan. Product (GWP) tindakan perbaikan yang diusulkan
variasi dalam kinerja, dan dari Generic Resource not achieved
penyelidikan pendekatan (GR)
inovatif untuk definisi dan Generic Practices Menganalisis data pengukuran proses untuk mengidentifikasi variasi yang sebenarnya not achieved
0% GP 5.1.2
penyebaran proses. (GP) dan potensial dalam kinerja proses.
(GR)
(GP)
industri.
0%
(GR)
(GP)
d) Peluang perbaikan yang diturunkan dari teknologi dan Generic Work Rencana perbaikan proses yang memberikan rincian analisis peluang perbaikan not achieved
0% 0% GWP 6.0
konsep proses yang baru teridentifikasi. Product (GWP) teknologi
0%
(GP)
(GR)
0% GP 5.2.1
Ukuran sejauh mana (GP) didefinisikan dan standar.
perubahan definisi, manajemen a) Dampak semua perubahan usulan dinilai sesuai dengan Generic Work Rencana perbaikan proses yang memberikan rincian perbaikan proses yang diperlukan not achieved
0% 0% GWP 6.0
dan kinerja hasil proses dalam tujuan proses yang terdefinisi dan proses standar. Product (GWP) dan pendekatan kualitas proyek
dampak yang efektif untuk Generic Resource GR 5.2.1 Sistem manajemen perubahan not achieved
0%
mencapai tujuan perbaikan (GR) GR 5.2.2 Sistem evaluasi proses (analisis dampak dll) not achieved
proses yang relevan. Generic Practices Mengelola implementasi perubahan yang disepakati untuk area tertentu dari proses
(GP) yang didefinisikan dan standar sesuai dengan strategi implementasi.
Product (GWP)
(GR)
0% GP 5.2.3
0% Generic Work Rencana perbaikan proses yang memberikan rincian perbaikan proses yang diperlukan not achieved
Product (GWP) dan pendekatan kualitas proyek
0%
Rekapitulasi

Nama Mengelola portofolio Saat Ini - - - - - - - - - -
Nilai
Menjalankan kumpulan arah strategis untuk investasi yang sejalan dengan visi arsitektur enterprise dan karakteristik yang diinginkan dari investasi dan portofolio layanan terkait, mempertimbangkan berbagai kategori investasi, sumber daya dan batasan pendanaan. Mengevaluasi, memprioritaskan dan menyeimbangkan program dan layanan, pengelolaan permintaan dalam sumber daya dan batasan
Deskripsi pendanaan, berdasarkan keselarasannya dengan tujuan strategis, layak dan risiko enterprise. Memindahkan program yang dipilih ke dalam portofolio layanan aktif untuk eksekusi. Memantau kinerja portofolio layanan dan program secara keseluruhan, mengusulkan penyesuaian yang diperlukan dalam menanggapi program dan kinerja layanan atau mengubah prioritas enterprise. -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Mengoptimalkan kinerja keseluruhan portofolio program dalam menanggapi program dan kinerja layanan dan mengubah prioritas enterprise dan permintaan. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
Proses tidak
0 - Incomplete diimplementasikan atau 0% not achieved
gagal mencapai tujuannya.
1 - Performed PA 1.1 Proses yang Menyusun target investasi.
diimplementasikan Mengkaji dan memastikan kejelasan dari strategi enterprise dan TI serta layanan saat ini.
mencapai tujuannya. 1. Mengembangkan target campuran investasi keamanan informasi, dengan
Mendefinisikan campuran investasi yang tepat berdasarkan biaya, sejalan dengan not achieved
APO05-BP1 Di luar COBIT 5 for IS: Penilaian risiko mempertimbangkan risiko enterprise, keuntungan finansial dan non-finansial, dan laba
strategi, langkah keuangan seperti biaya dan ROI yang diharapkan selama siklusnya,
potensial atas inisiatif.
tingkat risiko, jenis manfaat dan untuk program dalam portofolio. Sesuaikan strategi
enterprise dan TI jika diperlukan.
Menentukan ketersediaan dan sumber pendanaan.
APO05-WP1: Campuran investasi target 1. Meninjau kemungkinan internal dan eksternal untuk menutupi sumber keamanan not achieved
APO05-BP2 Menentukan sumber pendanaan yang potensial, opsi pendanaan yang berbeda dan
keamanan informasi informasi yang diperlukan.
implikasi dari sumber pendanaan terhadap ROI.
Base Practices (BP) 0% Mengevaluasi dan memilih program yang akan didanai.
Berdasarkan persyaratan campuran portofolio investasi secara keseluruhan, evaluasi not achieved
APO05-BP3 APO05-WP2: Pilihan pendanaan 1. Memastikan adanya program keamanan informasi.
Investasi keamanan informasi dialokasikan dan prioritaskan business case program dan memutuskan proposal investasi.
APO05-O1 0% Mengalokasikan dana dan memulai program.
sesuai dengan selera risiko
APO05-BP4 Secara teratur, memantau dan mengoptimalkan kinerja portofolio investasi dan tidak relevan
program individu di seluruh siklus investasi.
Manage benefits achievement. 1. Memberikan masukan pada pencapaian kerahasiaan, integritas dan ketersediaan not achieved
APO05-BP6 Monitor the benefits of providing and maintaining appropriate IT services and Di luar COBIT 5 for IS: Anggaran program informasi untuk melakukan manajemen pencapaian manfaat.
capabilities, based on the agreed-on and current business case. 2. Untuk menggambarkan pencapaian manfaat, nilai perubahan dalam profil risiko not achieved
keamanan informasi.
APO05-WP1 Campuran investasi target keamanan informasi not achieved
Work Product (WP) APO05-WP2 Pilihan pendanaan not achieved
0%
Keluaran APO05-WP3 Program keamanan informasi not achieved
APO05-WP4 Profil risiko keamanan informasi yang terbaru not achieved
APO05-BP4 Secara teratur, memantau dan mengoptimalkan kinerja portofolio investasi dan tidak relevan
program individu di seluruh siklus investasi.
Memelihara portofolio.
APO05-BP5 tidak relevan
Perubahan program keamanan informasi Base Practices (BP) 0% Memelihara portofolio dari program investasi dan proyek, layanan TI dan aset TI.
APO05-O2 direfleksikan ke dalam layanan TI yang 0%
relevan, aset dan portofolio sumber daya Mengelola pencapaian manfaat. 1. Memberikan masukan pada pencapaian kerahasiaan, integritas dan ketersediaan not achieved
APO05-BP6 Memantau manfaat penyediaan dan pemeliharaan layanan TI dan kemampuan yang Di luar COBIT 5 for IS: Anggaran program informasi untuk melakukan manajemen pencapaian manfaat.
tepat, berdasarkan business case saat ini dan yang disetujui. 2. Untuk menggambarkan pencapaian manfaat, nilai perubahan dalam profil risiko not achieved
keamanan informasi.
0% APO05-WP4 Profil risiko keamanan informasi yang terbaru
Keluaran
ukuran sejauh mana kinerja 0% GP 2.1.1
proses dikelola.
0%
0%
(GP)
dan terpantau.
(GR)
(GP)
0% GWP 4.0
(GR)
(GP)
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
Product - Ukuran sejauh (GP)
mana work product yang a) Persyaratan work product dari proses terdefinisi. 0% Generic Work Rencana kualitas yang memberikan detil kriteria kualitas serta isi dan struktur work not achieved
0% GWP 3.0
dihasilkan oleh proses Product (GWP) product.
dikelola secara tepat. Work Generic Resource not achieved
produt (atau output dari (GR)
proses) didefinisikan dan Mendefinisikan persyaratan untuk dokumentasi dan kontrol work product. Hal ini
dikendalikan. 0% GP 2.2.2 seharusnya mengandung identifikasi ketergantungan, persetujuan dan ketertelusuran
(GP)
persyaratan.
Generic Work
terdefinisi.
0%
(GP)
yang tepat.
0%
(GP)
0% GWP 4.0
0%
3 - Established PA 3.1 Definisi Proses - Mendefinisikan proses standar yang akan mendukung penyebaran proses yang
Ukuran sejauh mana proses 0% GP 3.1.1 didefinisikan. Sebuah proses standar didefinisikan untuk mengidentifikasi elemen proses
(GP)
standar dipertahankan fundamental serta memberikan pedoman dan prosedur.
untuk mendukung Generic Work Kebijakan dan standar yang memberikan rincian tujuan organisasi untuk proses, standar
penyebaran dari proses 0% Product (GWP) minimum kinerja, prosedur standar, pelaporan dan persyaratan pemantauan.
yang didefinisikan.
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
0% GWP 5.0
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
0%
standar efektif digunakan a) Proses yang terdefinisi disebarkan berdasarkan standar Generic Work Kebijakan dan standar yang mendefinisikan standar yang harus diikuti oleh semua
sebagai proses yang proses terpilih yang dibuat sendiri secara tepat. Product (GWP) implementasi proses
ditetapkan untuk mencapai Generic Resource not achieved
outcome prosesnya. (GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0% GWP 4.0
0%
(GR)
pengukuran yang a) Kebutuhan informasi proses dalam mendukung tujuan (GP)
digunakan untuk bisnis yang relevan tersusun. 0%
memastikan bahwa kinerja Generic Work Rencana peningkatan proses yang memberikan tujuan peningkatan proses dan tindakan not achieved
0% GWP 6.0
proses mendukung Product (GWP) perbaikan yang diusulkan
pencapaian tujuan kinerja Generic Resource Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko not achieved
0% GR 4.1.1
proses yang relevan dalam (GR) dll)
mendukung tujuan bisnis Generic Practices Menurunkan tujuan pengukuran proses dari kebutuhan informasi proses. Tujuan
yang didefinisikan. (GP) pengukuran didasarkan pada tujuan pengukuran proses yang didefinisikan.
(GR)
0% GP 4.1.3
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0% not achieved

ditetapkan sesuai dengan tujuan pengukuran proses dan 0%
tujuan kuantitatif untuk kinerja proses.
Generic Resource
0%
(GR)
(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

(GP)
kinerja proses.
GR 4.1.1
0% not achieved

PA 4.2 Kontrol Proses -
Ukuran sejauh mana proses 0% GP 4.2.1
secara kuantitatif berhasil
menghasilkan sebuah a) Teknik analisis dan kontrol ditentukan dan diterapkan GWP 1.0 Dokumentasi proses yang memberikan rincian kontrol (matriks kontrol) not achieved
0% Generic Work
proses yang stabil, mampu jika memungkinkan. Product (GWP)
0% Rencana kontrol proses yang ada untuk menspesifikasikan setiap pendekatan
dan dapat diprediksi dalam pengukuran proses
batas yang ditentukan. Generic Resource not achieved
(GR)
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
5 - Optimizing PA 5.1 Inovasi Proses - Generic Practices Mendefinisikan tujuan perbaikan proses untuk proses yang mendukung tujuan bisnis not achieved
0% GP 5.1.1
Ukuran sejauh mana (GP) yang relevan. Arah inovasi proses ditetapkan.
perubahan untuk proses a) Tujuan peningkatan proses terdefinisikan untuk Generic Work Rencana perbaikan proses yang memberikan rincian tujuan perbaikan proses dan
teridentifikasi dari analisis mendukung tujuan bisnis yang relevan. Product (GWP) tindakan perbaikan yang diusulkan
penyebab umum dari Generic Resource not achieved
variasi dalam kinerja, dan (GR)
dari penyelidikan Generic Practices Menganalisis data pengukuran proses untuk mengidentifikasi variasi yang sebenarnya not achieved
0% GP 5.1.2
pendekatan inovatif untuk (GP) dan potensial dalam kinerja proses.
definisi dan penyebaran 0% 0% GWP 9.0 not achieved
proses.
(GR)
(GP)
industri.
0%
(GR)
(GP)
0% 0% GWP 6.0
0%
(GP)
(GR)
0% GP 5.2.1
Ukuran sejauh mana (GP) didefinisikan dan standar.
perubahan definisi, a) Dampak semua perubahan usulan dinilai sesuai dengan Generic Work Rencana perbaikan proses yang memberikan rincian perbaikan proses yang diperlukan not achieved
0% 0% GWP 6.0
manajemen dan kinerja tujuan proses yang terdefinisi dan proses standar. Product (GWP) dan pendekatan kualitas proyek
hasil proses dalam dampak Generic Resource GR 5.2.1 Sistem manajemen perubahan not achieved
0%
yang efektif untuk (GR) GR 5.2.2 Sistem evaluasi proses (analisis dampak dll) not achieved
mencapai tujuan perbaikan Generic Practices Mengelola implementasi perubahan yang disepakati untuk area tertentu dari proses
proses yang relevan. (GP) yang didefinisikan dan standar sesuai dengan strategi implementasi.
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi

Nama Mengelola anggaran dan biaya Saat Ini - - - - - - - - - -
Mengelola kegiatan keuangan yang berkaitan dengan TI dalam bisnis dan fungsi IT, yang meliputi anggaran, biaya dan manfaat manajemen, memprioritaskan pengeluaran melalui penggunaan praktik penganggaran formal dan sistem yang adil dan merata dalam mengalokasikan biaya untuk enterprise. Berkonsultasi dengan pemangku kepentingan untuk mengidentifikasi dan mengendalikan total biaya dan manfaat Nilai
Deskripsi dalam konteks rencana strategis dan taktis TI dan memulai tindakan korektif jika diperlukan. -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Mengembangkan kemitraan antara TI dan pemangku kepentingan enterprise dalam rangka menggunakan sumber daya TI yang efektif dan efisien, memberikan transparansi dan akuntabilitas biaya dan nilai bisnis dari solusi dan layanan. Menjalankan enterprise untuk membuat keputusan mengenai penggunaan solusi dan layanan TI. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
mencapai tujuannya.
Mengelola keuangan dan akuntansi.
mencapai tujuannya. Membangun dan memelihara metode untuk memperhitungkan semua biaya yang
berkaitan dengan IT, investasi dan depresiasi sebagai bagian integral dari sistem
keuangan enterprise untuk mengelola investasi dan biaya TI. Menangkap dan
mengalokasikan biaya yang sebenarnya, menganalisis varians antara perkiraan dan biaya
aktual dan melaporkan penggunaan sistem pengukuran keuangan enterprise.
Memprioritaskan alokasi sumber daya.

Mengimplementasikan proses pengambilan keputusan untuk memprioritaskan alokasi
1. Memastikan bahwa kriteria prioritas sesuai dengan profil risiko informasi yang not achieved
APO06-BP2 sumber daya dan aturan untuk investasi pengecualian oleh unit bisnis individu.
diperhitungkan ketika memprioritaskan alokasi sumber daya.
Memasukkan penggunaan penyedia layanan eksternal yang potensial dan
mempertimbangkan pembelian, mengembangkan sendiri atau memilih untuk menyewa.
Membuat dan memelihara anggaran.

Base Practices (BP) 0% APO06-BP3 Menyiapkan anggaran yang merefleksikan prioritas investasi yang mendukung tujuan APO06-WP1: Prioritas inisiatif 1. Mengembangkan anggaran keamanan informasi. not achieved
Pengalokasian anggaran dan biaya keamanan
APO06-O1 0% strategis berdasarkan portofolio program TI dan layanan TI.
informasi diprioritaskan secara efektif
Momodelkan dan mengalokasikan biaya.
Membangun dan menggunakan model pembiayaan TI berdasarkan definisi layanan,
memastikan bahwa alokasi biaya untuk layanan dapat diidentifikasi, terukur dan dapat
APO06-BP4 diprediksi, untuk mendorong penggunaan sumber daya yang bertanggung jawab termasuk tidak relevan
yang disediakan oleh penyedia layanan. Secara teratur meninjau dan menilai kelayakan
model pembiayaan/chargeback untuk mempertahankan relevansi dan kesesuaian dengan
kegiatan bisnis dan TI.
Mengelola biaya.
Mengimplementasikan proses manajemen biaya dan membandingkannya dengan biaya
APO06-BP5 aktual. Biaya harus dipantau dan dilaporkan (untuk menghindari kasus penyimpangan), tidak relevan
diidentifikasi secara tepat waktu dan dampaknya terhadap proses dan layanan enterprise
yang dinilai.
Work Product (WP) APO06-WP1 Prioritas inisiatif not achieved
0%
Keluaran APO06-WP2 Anggaran keamanan informasi not achieved
0%
0%
0% GP 2.1.2
0% dan umpan balik
(GR)
Generic Practices
0% GP 2.1.3 tercapai. Tindakan meliputi identifikasi masalah kinerja proses dan penyesuaian rencana not achieved
(GP)
0% GR 2.1.3
dan umpan balik
(GR)
(GP)
Dokumentasi proses yang memberikan rincian pemilik proses dan siapa yang memiliki
Generic Work peran responsible, accountable, consulted dan/atau informed (RACI).
0%
0%
Generic Practices
0% GP 2.1.5 rencana. Sumber daya dan informasi yang diperlukan untuk melakukan kegiatan utama not achieved
(GP)
proses teridentifikasi, tersedia, dialokasikan dan 0% Generic Work Rencana proses yang memberikan rincian rencana pelatihan proses dan rencana not achieved
0% GWP 2.0
digunakan. Product (GWP) pencarian sumber daya proses.
Generic Resource
(GR)
(GP)
Generic Work GWP 1.0 not achieved
Product (GWP)
0%
0% GWP 3.0
produt (atau output dari proses) didefinisikan Product (GWP) product.
dan dikendalikan. Generic Resource not achieved
(GR)
(GP)
persyaratan.
Generic Work
terdefinisi.
0%
0% GP 2.2.3
0%
(GP)
0% GWP 4.0
0%
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
Generic Practices
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
kecocokan dan keefektifan proses, mengevaluasi perbaikan not achieved
proses yang kontinu dapat dibuat. Generic Resource
(GR)
mana hasil pengukuran yang digunakan Generic Practices
mendukung pencapaian tujuan kinerja proses bisnis yang relevan tersusun. 0%
yang relevan dalam mendukung tujuan bisnis Generic Work Rencana peningkatan proses yang memberikan tujuan peningkatan proses dan tindakan not achieved
0% GWP 6.0
yang didefinisikan. Product (GWP) perbaikan yang diusulkan
0% GR 4.1.1
(GR) dll)
0% GP 4.1.2
0% Generic Work
Product (GWP)
(GR)
GR 4.1.1
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0%

Generic Practices
0% GP 4.1.5 didefinisikan. Hasil pengukuran produk dan proses dikumpulkan, dianalisis dan dilaporkan not achieved
(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

Generic Practices
(GP)
kinerja proses.
GR 4.1.1
0%

0% Generic Work
proses
(GR)
Generic Practices
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
Generic Practices
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
proses. (GR)
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
Generic Practices Berdasarkan kinerja aktual, mengevaluasi efektivitas proses perubahan terhadap kinerja
0%
Rekapitulasi

Nama Mengelola SDM Saat Ini - - - - - - - - - -
Deskripsi Memberikan pendekatan yang terstruktur untuk memastikan struktur yang optimal, penempatan, hak memutuskan dan keterampilan sumber daya manusia. Hal ini termasuk mengkomunikasikan peran dan tanggung jawab yang ditetapkan, pembelajaran dan rencana pertumbuhan dan ekspektasi kinerja yang didukung dengan orang-orang yang kompeten dan termotivasi. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Mengoptimalkan kemampuan sumber daya manusia untuk mencapai tujuan enterprise. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
mencapai tujuannya.
Memelihara staf yang cukup dan tepat.
mencapai tujuannya.
Mengevaluasi persyaratan staf secara teratur atau pada perubahan besar pada enterprise, • Di luar COBIT 5 for IS: Regulasi lokal
1. Memastikan bahwa persyaratan keamanan informasi dalam proses staffing SDM not achieved
APO07-BP1 operasional atau lingkungan TI untuk memastikan bahwa enterprise memiliki sumber daya • APO02-WP9: Rencana keamanan informasi
digabungkan dalam proses rekrutmen TI untuk karyawan, kontraktor dan vendor.
manusia yang memadai untuk mendukung tujuan dan sasaran enterprise. Staf yang • APO01-WP4: Kebijakan yang terkait keamanan informasi
dimaksud meliputi sumber daya internal dan eksternal.
• Di luar COBIT 5 for IS: Daftar peraturan internal dan eksternal yang
mempengaruhi liburan dan hak dan kewajiban personil lainnya
Mengidentifikasi personil TI yang utama.
• Di luar COBIT 5 for IS: Business impact analysis (BIA) dari proses bisnis
Mengidentifikasi personil TI yang utama dan meminimalkan ketergantungan pada satu not achieved
APO07-BP2 • Di luar COBIT 5 for IS: Daftar peraturan internal dan eksternal yang 1. Memastikan pemisahan tugas dalam posisi kritis.
individu dalam melakukan fungsi pekerjaan kritis melalui pendokumentasian
mempengaruhi pemisahan tugas, kebijakan SDM atau keamanan personil
pengetahuan, berbagi pengetahuan, perencanaan suksesi dan staf cadangan.
• Di luar COBIT 5 for IS: Daftar fungsi bisnis, peran dan tanggung jawab
terhadap bisnis proses
Memelihara keahlian dan kompetensi personil. not achieved

1. Memberikan pelatihan pengembangan profesional dan program keamanan informasi.
Mendefinisikan dan mengelola keahlian dan kompetensi yang dibutuhkan personil.
Memverifikasi secara teratur bahwa personel memiliki kompetensi untuk memenuhi
• Di luar COBIT 5 for IS: Daftar personil
Base Practices (BP) perannya berdasarkan pendidikan, pelatihan dan/atau pengalaman, memverifikasi bahwa
0% APO07-BP3 • Di luar COBIT 5 for IS: Daftar kontraktor 2. Menggunakan sertifikasi untuk memastikan kualitas profesional keamanan informasi. not achieved
kompetensi tersebut sedang dipertahankan, menggunakan kualifikasi dan program
• Di luar COBIT 5 for IS: Keahlian personil
sertifikasi yang sesuai. Menyediakan karyawan dengan cara memberikan pembelajaran
dan kesempatan untuk mempertahankan pengetahuan, keterampilan dan kompetensi
3. Membangun pendidikan, pelatihan dan program kesadaran keamanan informasi secara not achieved
pada tingkat yang diperlukan untuk mencapai tujuan enterprise.
luas di enterprise.
Kemampuan SDM dan proses diselaraskan
APO07-O1 0% Mengevaluasi kinerja dari pekerjaan karyawan.
dengan persyaratan keamanan informasi
Melakukan evaluasi kinerja tepat waktu secara teratur terhadap tujuan individual yang • APO07-WP4: Rencana pelatihan keamanan informasi
APO07-BP4 berasal dari tujuan enterprise, standar yang ditetapkan, tanggung jawab pekerjaan • MEA01-WP2: Metrik dan target keamanan informasi yang disetujui 1. Memasukkan kriteria keamanan informasi dalam proses evaluasi personil. not achieved
tertentu, keterampilan dan kerangka kompetensi. Karyawan harus menerima pelatihan • Di luar COBIT 5 for IS: Kebijakan SDM
peningkatan kinerja dan melakukannya kapanpun pada saat yang tepat.
Merencanakan dan melacak penggunaan SDM TI dan bisnis.
• Di luar COBIT 5 for IS: Persyaratan sumber daya proses
Memahami dan melacak permintaan SDM TI dan bisnis untuk saat ini dan masa depan yang not achieved
APO07-BP5 • Di luar COBIT 5 for IS: Alokasi anggaran 1. Mengelola alokasi staf keamanan informasi sesuai dengan kebutuhan bisnis.
bertanggung jawab untuk enterprise TI. Mengidentifikasi kekurangan dan memberikan
• Di luar COBIT 5 for IS: Daftar personil
masukan ke dalam rencana pemberdayaan, rencana proses perekrutan SDM TI dan bisnis.
• Di luar COBIT 5 for IS: Keahlian personil
Mengelola staf kontrak.
Memastikan bahwa konsultan dan karyawan kontrak yang mendukung enterprise dengan 1. Mendapatkan persetujuan resmi dari staf pada kebijakan dan persyaratan keamanan not achieved
APO07-BP6 • APO01-WP4: Kebijakan yang terkait keamanan informasi
kemampuan TI mengetahui dan mematuhi kebijakan organisasi dan memenuhi informasi.
• BAI02-WP1: Persyaratan keamanan informasi
kesepakatan yang terdapat pada persyaratan kontrak.
APO07-WP1 Persyaratan keamanan informasi untuk proses penentuan staf not achieved
APO07-WP2 Daftar kontak darurat not achieved
APO07-WP3 Rencana suksesi not achieved
APO07-WP4 Rencana pelatihan keamanan informasi not achieved
Work Product (WP) APO07-WP5 Pelatihan kesadaran keamanan informasi not achieved
0%
Keluaran
APO07-WP6 Evaluasi keamanan informasi personil not achieved
APO07-WP7 Rencana dan indikator pelacakan kinerja sumber daya not achieved
APO07-WP8 Rencana alokasi sumber daya not achieved
APO07-WP9 Perjanjian non-disclosure dan kebijakan lainnya yang ditandatangani oleh pihak lain not achieved

0%
0%
0% GP 2.1.2
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
yang tepat.
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
0% GWP 3.0
(GR)
(GP)
persyaratan.
Generic Work
0%
0%
0% GP 2.2.3
0%
(GP)
0%
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0% GP 4.1.2
0% Generic Work
Product (GWP)
(GR)
0% GP 4.1.3
GR 4.1.1
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0%

(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

(GP)
f) Hasil pengukuran digunakan untuk menggambarkan

0%
kinerja proses.
kinerja proses.
GR 4.1.1
0%

0% Generic Work
proses
(GR)
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
proses. (GR)
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi

Nama Mengelola relasi Saat Ini - - - - - - - - - -
Mengelola relasi antara bisnis dan TI secara formal dan transparan yang menjamin fokus pada pencapaian tujuan enterprise secara bersama dan berbagi untuk mencapai kesuksesan dalam rangka mendukung tujuan strategis dengan keterbatasan anggaran dan toleransi risiko. Mendasarkan relasi saling percaya, menggunakan istilah yang terbuka dan dimengerti, menggunakan bahasa yang sama dan Nilai
Deskripsi kemauan untuk bertanggung jawab atas keputusan penting.
-100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Membuat outcome yang lebih baik, meningkatkan kepercayaan diri, kepercayaan terhadap TI dan penggunaan sumber daya yang efektif. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
Proses tidak
diimplementasikan atau not achieved
0 - Incomplete 0%
gagal mencapai
tujuannya.
1 - Performed PA 1.1 Proses yang Memahami ekspektasi bisnis.
diimplementasikan Memahami masalah, tujuan dan ekspektasi bisnis terhadap TI saat ini. Memastikan not achieved
APO08-BP1 Di luar COBIT 5 for IS: Tujuan dan sasaran bisnis 1. Memahami bisnis dan bagaimana keamanan informasi mempengaruhinya.
mencapai tujuannya. bahwa persyaratan dipahami, dikelola dan dikomunikasikan dan statusnya disetujui dan
disahkan.
• APO08-WP1: Pemahaman terhadap proses bisnis
Mengelola relasi bisnis. enterprise
Base Practices (BP) 0% 1. Membentuk pendekatan yang mempengaruhi pihak kunci yang terkait not achieved
Koordinasi, komunikasi dan struktur APO08-BP3 Mengelola relasi dengan pelanggan (perwakilan bisnis). Memastikan bahwa peran dan • APO08-WP2: Inovasi keamanan informasi
keamanan informasi.
penghubung ditetapkan antara fungsi tanggung jawab relasi didefinisikan, ditugaskan dan komunikasi difasilitasi. • DSS02-WP2: Insiden keamanan informasi dan permintaan
APO08-O1 0% layanan yang terklasifikasi dan terprioritas
keamanan informasi dan berbagai pemangku
kepentingan lainnya. 1. Membentuk saluran komunikasi yang tepat antara fungsi keamanan
Mengkoordinasikan dan mengkomunikasikan. not achieved
APO08-BP4 Bekerja dengan para pemangku kepentingan dan mengkoordinasikan pemberian layanan Di luar COBIT 5 for IS: Rencana komunikasi enterprise informasi dan bisnis.
dan solusi TI untuk bisnis secara end-to-end. 2. Membentuk pelaporan dan metrik yang tepat untuk keamanan informasi. not achieved
APO08-WP1 Pemahaman terhadap proses bisnis enterprise not achieved

Work Product (WP)
0% APO08-WP3 Strategi untuk memperoleh komitmen pemangku kepentingan not achieved
Keluaran
APO08-WP4 Strategi komunikasi keamanan informasi not achieved
Memahami ekspektasi bisnis.
Memahami masalah, tujuan dan ekspektasi bisnis terhadap TI saat ini. Memastikan not achieved
APO08-BP1 Di luar COBIT 5 for IS: Tujuan dan sasaran bisnis 1. Memahami bisnis dan bagaimana keamanan informasi mempengaruhinya.
bahwa persyaratan dipahami, dikelola dan dikomunikasikan dan statusnya disetujui dan
disahkan.
• APO04-WP3: Tren muncul yang teridentifikasi dalam
Mengidentifikasi peluang, risiko dan batasan pada TI untuk meningkatkan bisnis. 1. Memahami tren keamanan informasi dan teknologi baru, serta bagaimana
Base Practices (BP) 0% keamanan informasi not achieved
APO08-BP2 Mengidentifikasi peluang potensial TI untuk menjadi penggerak bagi peningkatan kinerja hal tersebut dapat diterapkan secara inovatif untuk meningkatkan kinerja
Pemangku kepentingan memahami bahwa • APO08-WP1: Pemahaman terhadap proses bisnis
enterprise. proses bisnis.
APO08-O2 keamanan informasi sebagai bagian dari 0% enterprise
penggerak bisnis. Memberikan masukan untuk perbaikan layanan secara berkelanjutan.
Meningkatkan dan mengembangkan layanan TI dan pemberian layanan secara kontinu • APO02-WP2: Kemampuan keamanan informasi 1. Memasukkan persyaratan keamanan informasi ke dalam proses perbaikan not achieved
APO08-BP5
kepada enterprise untuk menyesuaikan dengan perubahan enterprise dan persyaratan • BAI02-WP1: Persyaratan keamanan informasi yang berkelanjutan.
teknologi.
APO08-WP1 Pemahaman terhadap proses bisnis enterprise not achieved
Work Product (WP)
0% APO08-WP2 Inovasi keamanan informasi not achieved
Keluaran
APO08-WP5 Integrasi keamanan informasi pada perbaikan proses yang berkelanjutan not achieved
2 - Managed PA 2.1 Manajemen
Kinerja - ukuran sejauh 0% GP 2.1.1
mana kinerja proses
dikelola. a. Tujuan kinerja proses teridentifikasi. 0% Generic Work GWP 1.0 Dokumentasi proses yang menguraikan lingkup proses not achieved
0%
0%
(GP)
dan terpantau.
(GR)
(GP)
0% GWP 4.0
(GR)
(GP)
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
PA 2.2 Manajemen Generic Practices not achieved
Work Product - Ukuran (GP)
sejauh mana work a) Persyaratan work product dari proses terdefinisi. 0% Generic Work Rencana kualitas yang memberikan detil kriteria kualitas serta isi dan struktur work not achieved
0% GWP 3.0
product yang dihasilkan Product (GWP) product.
oleh proses dikelola Generic Resource not achieved
secara tepat. Work (GR)
produt (atau output dari Mendefinisikan persyaratan untuk dokumentasi dan kontrol work product. Hal ini
proses) didefinisikan 0% GP 2.2.2 seharusnya mengandung identifikasi ketergantungan, persetujuan dan ketertelusuran
(GP)
dan dikendalikan. persyaratan.
Generic Work
terdefinisi.
0%
(GP)
yang tepat.
0%
(GP)
0% GWP 4.0
0%
3 - Established PA 3.1 Definisi Proses - Mendefinisikan proses standar yang akan mendukung penyebaran proses yang
Ukuran sejauh mana 0% GP 3.1.1 didefinisikan. Sebuah proses standar didefinisikan untuk mengidentifikasi elemen proses
(GP)
proses standar fundamental serta memberikan pedoman dan prosedur.
dipertahankan untuk Generic Work Kebijakan dan standar yang memberikan rincian tujuan organisasi untuk proses, standar
mendukung penyebaran 0% Product (GWP) minimum kinerja, prosedur standar, pelaporan dan persyaratan pemantauan.
dari proses yang
didefinisikan.
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
0% GWP 5.0
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
0%
PA 3.2 Deployment Generic Practices not achieved
Proses - Ukuran sejauh (GP)
mana proses standar a) Proses yang terdefinisi disebarkan berdasarkan standar Generic Work Kebijakan dan standar yang mendefinisikan standar yang harus diikuti oleh semua
efektif digunakan proses terpilih yang dibuat sendiri secara tepat. Product (GWP) implementasi proses
sebagai proses yang Generic Resource not achieved
ditetapkan untuk (GR)
mencapai outcome Generic Practices Menetapkan dan mengkomunikasikan peran, tanggung jawab dan wewenang untuk not achieved
0% GP 3.2.2
prosesnya. (GP) melakukan proses yang didefinisikan.
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0% GWP 4.0
0%
(GR)
4 - Predictable PA 4.1 Pengukuran
Proses - Ukuran sejauh Generic Practices not achieved
mana hasil pengukuran a) Kebutuhan informasi proses dalam mendukung tujuan (GP)
yang digunakan untuk bisnis yang relevan tersusun. 0%
memastikan bahwa Generic Work Rencana peningkatan proses yang memberikan tujuan peningkatan proses dan tindakan not achieved
0% GWP 6.0
kinerja proses Product (GWP) perbaikan yang diusulkan
mendukung pencapaian Generic Resource Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko not achieved
0% GR 4.1.1
tujuan kinerja proses (GR) dll)
yang relevan dalam Generic Practices Menurunkan tujuan pengukuran proses dari kebutuhan informasi proses. Tujuan
mendukung tujuan (GP) pengukuran didasarkan pada tujuan pengukuran proses yang didefinisikan.
bisnis yang b) Tujuan pengukuran proses diturunkan dari kebutuhan
didefinisikan. informasi proses. 0% GWP 7.0 not achieved
(GR)
0% GP 4.1.3
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0% not achieved
(GP)
Generic Work
0%
kuantitatif untuk kinerja proses terpenuhi.
e) Hasil pengukuran dikumpulkan, dianalisis dan
dilaporkan untuk memantau sejauh mana tujuan 0%
GR 4.1.1
dll)
(GR)

(GP)
kinerja proses.
GR 4.1.1
0% not achieved

PA 4.2 Kontrol Proses -
Ukuran sejauh mana 0% GP 4.2.1
proses secara kuantitatif
berhasil menghasilkan a) Teknik analisis dan kontrol ditentukan dan diterapkan GWP 1.0 Dokumentasi proses yang memberikan rincian kontrol (matriks kontrol) not achieved
0% Generic Work
sebuah proses yang jika memungkinkan. 0% Rencana kontrol proses yang ada untuk menspesifikasikan setiap pendekatan
stabil, mampu dan pengukuran proses
dapat diprediksi dalam Generic Resource not achieved
batas yang ditentukan. (GR)
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
5 - Optimizing PA 5.1 Inovasi Proses - Generic Practices Mendefinisikan tujuan perbaikan proses untuk proses yang mendukung tujuan bisnis not achieved
0% GP 5.1.1
Ukuran sejauh mana (GP) yang relevan. Arah inovasi proses ditetapkan.
perubahan untuk proses a) Tujuan peningkatan proses terdefinisikan untuk 0% Generic Work
0% GWP 7.0
Rencana perbaikan proses yang memberikan rincian tujuan perbaikan proses dan not achieved
teridentifikasi dari mendukung tujuan bisnis yang relevan. Product (GWP) tindakan perbaikan yang diusulkan
analisis penyebab Generic Resource not achieved
umum dari variasi (GR)
dalam kinerja, dan dari Generic Practices Menganalisis data pengukuran proses untuk mengidentifikasi variasi yang sebenarnya not achieved
0% GP 5.1.2
penyelidikan (GP) dan potensial dalam kinerja proses.
pendekatan inovatif 0% 0% GWP 9.0 not achieved
untuk definisi dan
penyebaran proses. 0% GR 5.1.2 Umpan balik proses dan sistem analisis (data pengukuran, hasil analisis kausal dll)
(GR)
(GP)
industri.
0%
(GR)
(GP)
0% 0% GWP 6.0
0%
(GP)
(GR)
PA 5.2 Optimalisasi Generic Practices Menilai dampak dari setiap perubahan yang diusulkan terhadap tujuan dari proses yang not achieved
0% GP 5.2.1
Proses - Ukuran sejauh (GP) didefinisikan dan standar.
mana perubahan a) Dampak semua perubahan usulan dinilai sesuai dengan Generic Work Rencana perbaikan proses yang memberikan rincian perbaikan proses yang diperlukan not achieved
0% 0% GWP 6.0
definisi, manajemen dan tujuan proses yang terdefinisi dan proses standar. Product (GWP) dan pendekatan kualitas proyek
kinerja hasil proses Generic Resource GR 5.2.1 Sistem manajemen perubahan not achieved
0%
dalam dampak yang (GR) GR 5.2.2 Sistem evaluasi proses (analisis dampak dll) not achieved
efektif untuk mencapai Generic Practices Mengelola implementasi perubahan yang disepakati untuk area tertentu dari proses
tujuan perbaikan proses (GP) yang didefinisikan dan standar sesuai dengan strategi implementasi.
yang relevan. Rencana perbaikan proses yang memberikan rincian strategi implementasi untuk
b) Implementasi dari semua perubahan yang telah
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi

Nama Mengelola perjanjian layanan Saat Ini - - - - - - - - - -
Nilai
Deskripsi Menyelaraskan layanan TI dan tingkat layanan dengan kebutuhan dan harapan enterprise, termasuk identifikasi, spesifikasi, desain, penerbitan, persetujuan, pemantauan layanan TI, tingkat layanan dan indikator kinerja. -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Memastikan bahwa layanan TI dan tingkat layanannya memenuhi kebutuhan enterprise saat ini dan masa depan. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
Proses tidak diimplementasikan not achieved
0 - Incomplete 0%
atau gagal mencapai tujuannya.
Mengidentifikasi layanan TI.
diimplementasikan mencapai 1. Mengidentifikasi persyaratan keamanan informasi pada layanan TI yang teridentifikasi. not achieved
Menganalisis persyaratan bisnis dan cara layanan TI serta tingkat layanannya mendukung
tujuannya.
APO09-BP1 proses bisnis. Membahas dan menyepakati layanan potensial dan tingkat layanannya
dengan pihak bisnis, membandingkannya dengan portofolio layanan saat ini untuk
mengidentifikasi layanan baru, perubahan atau pilihan tingkat layanan. 2. Mengembangkan dan memverifikasi portofolio layanan keamanan informasi. not achieved
Katalog layanan TI.

Mendefinisikan dan memelihara satu atau lebih katalog layanan untuk kelompok target APO09-WP1: Persyaratan keamanan informasi pada layanan TI yang not achieved
APO09-BP2 1. Mempublikasikan katalog layanan keamanan informasi.
yang relevan. Menerbitkan dan mempertahankan layanan TI yang aktif dalam katalog teridentifikasi
layanan.
Base Practices (BP) 0% Mendefinisikan dan mempersiapkan perjanjian layanan.
APO09-BP3 Mendefinisikan dan mempersiapkan perjanjian layanan berdasarkan pilihan yang ada BAI03-WP11: Layanan keamanan informasi 1. Memasukkan persyaratan keamanan informasi pada seluruh SLA. not achieved
dalam katalog layanan. Termasuk perjanjian operasional internal.
Service level agreements (SLAs) dimasukkan
APO09-O1 0% Mengawasi dan melaporkan tingkat layanan.
ke dalam persyaratan keamanan informasi • BAI03-WP11: Layanan keamanan informasi
APO09-BP4 Memantau tingkat layanan, melaporkan pencapaiannya dan mengidentifikasi tren. 1. Memantau efektivitas keamanan informasi dalam pemantauan level layanan. not achieved
• APO09-WP3: SLA
Memberikan informasi manajemen yang tepat untuk membantu manajemen kinerja.
• APO02-WP2: Kemampuan keamanan informasi

Mengkaji perjanjian dan kontrak layanan. • APO02-WP9: Rencana keamanan informasi 1. Mengkajai persyaratan keamanan informasi secara periodik berdasarkan kebutuhan not achieved
APO09-BP5
Melakukan kajian berkala terhadap perjanjian layanan dan merevisi apabila diperlukan. • APO09-WP5: Laporan kinerja tingkat layanan keamanan informasi bisnis yang tebaru.
APO09-WP1 Persyaratan keamanan informasi pada layanan TI yang teridentifikasi not achieved
APO09-WP2 Katalog layanan keamanan informasi not achieved
Work Product (WP) APO09-WP3 SLA not achieved
0%
Keluaran APO09-WP4 Operating level agreements (OLA) not achieved
APO09-WP5 Laporan kinerja tingkat layanan keamanan informasi not achieved
APO09-WP6 SLA yang terbaru not achieved
2 - Managed PA 2.1 Manajemen Kinerja - ukuran
sejauh mana kinerja proses 0% GP 2.1.1
dikelola.
0%
0%
0% GP 2.1.2
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
yang tepat.
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
PA 2.2 Manajemen Work Product - Generic Practices not achieved
Ukuran sejauh mana work product (GP)
yang dihasilkan oleh proses a) Persyaratan work product dari proses terdefinisi. 0% Generic Work Rencana kualitas yang memberikan detil kriteria kualitas serta isi dan struktur work not achieved
0% GWP 3.0
dikelola secara tepat. Work produt Product (GWP) product.
(atau output dari proses) Generic Resource not achieved
didefinisikan dan dikendalikan. (GR)
(GP)
persyaratan.
Generic Work
0%
0%
0% GP 2.2.3
0%
(GP)
0%
(GP)
dipertahankan untuk mendukung fundamental serta memberikan pedoman dan prosedur.
penyebaran dari proses yang a) Proses standar, termasuk pedoman yang dibuat sendiri Generic Work Kebijakan dan standar yang memberikan rincian tujuan organisasi untuk proses, standar
didefinisikan. secara tepat, menggambarkan unsur mendasar yang harus 0% 0% GWP 5.0 not achieved
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
GWP 4.0
yang dilakukan)
0%
PA 3.2 Deployment Proses - Ukuran Generic Practices not achieved
sejauh mana proses standar efektif (GP)
digunakan sebagai proses yang a) Proses yang terdefinisi disebarkan berdasarkan standar Generic Work Kebijakan dan standar yang mendefinisikan standar yang harus diikuti oleh semua
ditetapkan untuk mencapai proses terpilih yang dibuat sendiri secara tepat. Product (GWP) implementasi proses
outcome prosesnya. Generic Resource not achieved
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
4 - Predictable PA 4.1 Pengukuran Proses - Ukuran
sejauh mana hasil pengukuran yang Generic Practices not achieved
digunakan untuk memastikan a) Kebutuhan informasi proses dalam mendukung tujuan (GP)
bahwa kinerja proses mendukung bisnis yang relevan tersusun. 0%
pencapaian tujuan kinerja proses Generic Work Rencana peningkatan proses yang memberikan tujuan peningkatan proses dan tindakan not achieved
0% GWP 6.0
yang relevan dalam mendukung Product (GWP) perbaikan yang diusulkan
tujuan bisnis yang didefinisikan. Generic Resource Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko not achieved
0% GR 4.1.1
(GR) dll)
0% GP 4.1.2
0% Generic Work
Product (GWP)
(GR)
0% GP 4.1.3
GR 4.1.1
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0%

(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

(GP)
kinerja proses.
GR 4.1.1
0%

kuantitatif berhasil menghasilkan
sebuah proses yang stabil, mampu a) Teknik analisis dan kontrol ditentukan dan diterapkan GWP 1.0 Dokumentasi proses yang memberikan rincian kontrol (matriks kontrol) not achieved
0% Generic Work
dan dapat diprediksi dalam batas jika memungkinkan. 0% Rencana kontrol proses yang ada untuk menspesifikasikan setiap pendekatan pengukuran
yang ditentukan. proses
(GR)
(GP)
sejauh mana proses secara
sebuah proses yang stabil, mampu
dan dapat diprediksi dalam batas
yang ditentukan.
b) Batas kontrol variasi ditetapkan untuk kinerja proses

0%
normal.

(GR)
(GP)
variasi. 0% GWP 9.0
0%
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
proses teridentifikasi dari analisis a) Tujuan peningkatan proses terdefinisikan untuk 0% Generic Work Rencana perbaikan proses yang memberikan rincian tujuan perbaikan proses dan tindakan not achieved
0% GWP 7.0
penyebab umum dari variasi dalam mendukung tujuan bisnis yang relevan. Product (GWP) perbaikan yang diusulkan
kinerja, dan dari penyelidikan Generic Resource not achieved
pendekatan inovatif untuk definisi (GR)
dan penyebaran proses. Generic Practices Menganalisis data pengukuran proses untuk mengidentifikasi variasi yang sebenarnya dan not achieved
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
PA 5.2 Optimalisasi Proses - Ukuran Generic Practices Menilai dampak dari setiap perubahan yang diusulkan terhadap tujuan dari proses yang not achieved
0% GP 5.2.1
sejauh mana perubahan definisi, (GP) didefinisikan dan standar.
manajemen dan kinerja hasil a) Dampak semua perubahan usulan dinilai sesuai dengan Generic Work Rencana perbaikan proses yang memberikan rincian perbaikan proses yang diperlukan dan not achieved
0% 0% GWP 6.0
proses dalam dampak yang efektif tujuan proses yang terdefinisi dan proses standar. Product (GWP) pendekatan kualitas proyek
untuk mencapai tujuan perbaikan Generic Resource GR 5.2.1 Sistem manajemen perubahan not achieved
0%
proses yang relevan. (GR) GR 5.2.2 Sistem evaluasi proses (analisis dampak dll) not achieved
0% GP 5.2.2
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi

Nama Mengelola pemasok Saat Ini - - - - - - - - - -
Deskripsi Mengelola layanan TI yang diberikan oleh semua jenis pemasok untuk memenuhi kebutuhan enterprise, termasuk pemilihan pemasok, manajemen relasi, manajemen kontrak, meninjau dan memantau kinerja pemasok untuk keefektifan dan kepatuhan. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Meminimalkan risiko yang terkait dengan pemasok yang tidak berkualitas dan memastikan harga yang kompetitif. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
1 - Performed PA 1.1 Proses yang Mengidentifikasi dan mengevaluasi relasi dan kontrak pemasok.
1. Melakukan penilaian risiko informasi dan mendefinisikan profil risiko not achieved
diimplementasikan mencapai Mengidentifikasi pemasok dan kontrak terkait serta mengkategorikannya ke dalam
informasi.
tujuannya. APO10-BP1 jenis, arti dan tingkat kekritisan. Menetapkan kriteria evaluasi pemasok dan kontrak, Di luar COBIT 5 for IS: Analisis risiko vendor
mengevaluasi portofolio pemasok dan kontrak yang ada dan alternatif secara 2. Mendefinisikan relasi dan persyaratan pemasok berdasarkan profil risiko not achieved
keseluruhan. informasi.
Memilih pemasok.
Memilih pemasok sesuai dengan praktik yang adil dan formal untuk memastikan
kesesuaian dan yang terbaik berdasarkan persyaratan yang ditentukan. Persyaratan
harus dioptimalkan dengan masukan dari pemasok potensial.
Mengelola relasi dan kontrak pemasok.
Base Practices (BP) 0% Memformalkan dan mengelola relasi untuk setiap pemasok. Mengelola, memelihara dan
Pemasok dan kontrak dinilai secara reguler APO10-BP3 memantau kontrak dan pemberian layanan. Memastikan bahwa kontrak baru atau tidak relevan
APO10-O1 dan rencana mitigasi risiko yang tepat 0% perubahan sesuai dengan standar enterprise, persyaratan hukum dan peraturan.
tersedia. Menangani perselisihan kontrak.
Mengelola risiko pemasok.
1. Penilaian ulang profil risiko pemasok secara periodik berdasarkan not achieved
APO10-BP4 Mengidentifikasi dan mengelola risiko yang berkaitan dengan kemampuan pemasok APO10-WP1: Katalog pemasok
persyaratan keamanan informasi dan persyaratan lainnya.
untuk terus memberikan layanan yang aman, efisien dan efektif.
Mengawasi kinerja dan kepatuhan pemasok. • APO10-WP1: Katalog pemasok

1. Memantau jaminan pemasok memberikan layanan yang aman, efisien not achieved
APO10-BP5 Mengkaji kinerja keseluruhan pemasok secara periodik, kepatuhan terhadap kontrak • APO10-WP2: Pemeringkatan risiko vendor yang
dan efektif.
persyaratan, nilai uang dan menangani isu yang teridentifikasi. terbaru
APO10-WP1 Katalog pemasok not achieved

Work Product (WP)
0% APO10-WP2 Pemeringkatan risiko vendor yang terbaru not achieved
Keluaran
APO10-WP3 Hasil kajian pengawasan kepatuhan pemasok not achieved
Mengidentifikasi dan mengevaluasi relasi dan kontrak pemasok.
1. Melakukan penilaian risiko informasi dan mendefinisikan profil risiko not achieved
Mengidentifikasi pemasok dan kontrak terkait serta mengkategorikannya ke dalam
informasi.
APO10-BP1 jenis, arti dan tingkat kekritisan. Menetapkan kriteria evaluasi pemasok dan kontrak, Di luar COBIT 5 for IS: Analisis risiko vendor
mengevaluasi portofolio pemasok dan kontrak yang ada dan alternatif secara 2. Mendefinisikan relasi dan persyaratan pemasok berdasarkan profil risiko not achieved
Pemasok memahami keamanan informasi Base Practices (BP) 0% keseluruhan. informasi.
APO10-O2 sebagai bagian penggerak bisnis yang 0% Mengawasi kinerja dan kepatuhan pemasok. • APO10-WP1: Katalog pemasok
penting. 1. Memantau jaminan pemasok memberikan layanan yang aman, efisien not achieved
APO10-BP5 Mengkaji kinerja keseluruhan pemasok secara periodik, kepatuhan terhadap kontrak • APO10-WP2: Pemeringkatan risiko vendor yang
dan efektif.
persyaratan, nilai uang dan menangani isu yang teridentifikasi. terbaru
Work Product (WP) APO10-WP1 Katalog pemasok not achieved
0%
Keluaran APO10-WP3 Hasil kajian pengawasan kepatuhan pemasok not achieved
sejauh mana kinerja proses dikelola. 0% GP 2.1.1
0%
0%
(GP)
dan terpantau.
(GR)
(GP)
0% GWP 4.0
(GR)
(GP)
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
yang dihasilkan oleh proses dikelola a) Persyaratan work product dari proses terdefinisi. 0% Generic Work Rencana kualitas yang memberikan detil kriteria kualitas serta isi dan struktur work not achieved
0% GWP 3.0
secara tepat. Work produt (atau Product (GWP) product.
output dari proses) didefinisikan Generic Resource not achieved
dan dikendalikan. (GR)
(GP)
persyaratan.
Generic Work
terdefinisi.
0%
(GP)
yang tepat.
0%
(GP)
0% GWP 4.0
0%
(GP)
penyebaran dari proses yang Generic Work Kebijakan dan standar yang memberikan rincian tujuan organisasi untuk proses, standar
didefinisikan. 0% Product (GWP) minimum kinerja, prosedur standar, pelaporan dan persyaratan pemantauan.
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
0% GWP 5.0
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0% GWP 4.0
0%
(GR)
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0% GP 4.1.2
(GR)
0% GP 4.1.3
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0% not achieved

(GP)
Generic Work
0%
e) Hasil pengukuran dikumpulkan, dianalisis dan Product (GWP)
dilaporkan untuk memantau sejauh mana tujuan 0%
kuantitatif untuk kinerja proses terpenuhi.
Generic Work
0%
GR 4.1.1
dll)
(GR)

(GP)
kinerja proses.
GR 4.1.1
0% not achieved
0% Generic Work
dan dapat diprediksi dalam batas jika memungkinkan. 0% Rencana kontrol proses yang ada untuk menspesifikasikan setiap pendekatan
yang ditentukan. pengukuran proses
(GR)
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
proses teridentifikasi dari analisis a) Tujuan peningkatan proses terdefinisikan untuk Generic Work Rencana perbaikan proses yang memberikan rincian tujuan perbaikan proses dan
penyebab umum dari variasi dalam mendukung tujuan bisnis yang relevan. Product (GWP) tindakan perbaikan yang diusulkan
dan penyebaran proses. Generic Practices Menganalisis data pengukuran proses untuk mengidentifikasi variasi yang sebenarnya not achieved
0% GP 5.1.2
(GP) dan potensial dalam kinerja proses.
(GR)
(GP)
industri.
0%
(GR)
(GP)
0% 0% GWP 6.0
0%
(GP)
(GR)
0% GP 5.2.1
manajemen dan kinerja hasil proses a) Dampak semua perubahan usulan dinilai sesuai dengan Generic Work Rencana perbaikan proses yang memberikan rincian perbaikan proses yang diperlukan not achieved
0% 0% GWP 6.0
dalam dampak yang efektif untuk tujuan proses yang terdefinisi dan proses standar. Product (GWP) dan pendekatan kualitas proyek
mencapai tujuan perbaikan proses Generic Resource GR 5.2.1 Sistem manajemen perubahan not achieved
0%
yang relevan. (GR) GR 5.2.2 Sistem evaluasi proses (analisis dampak dll) not achieved
Generic Practices Mengelola implementasi perubahan yang disepakati untuk area tertentu dari proses not achieved
0% GP 5.2.2
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi

Nama Mengelola kualitas Saat Ini - - - - - - - - - -
Deskripsi Mendefinisikan dan mengkomunikasikan persyaratan kualitas dalam semua proses, prosedur dan outcome terkait, termasuk kontrol, pengawasan berkelanjutan, penggunaan praktik yang umum digunakan dan standar dalam perbaikan berkelanjutan dan upaya efisiensi. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Memastikan pemberian solusi dan layanan yang konsisten untuk memenuhi persyaratan kualitas enterprise dan memenuhi kebutuhan pemangku kepentingan. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
Membangun sistem manajemen kualitas.
diimplementasikan mencapai • APO01-WP7: Peran dan tanggung jawab keamanan informasi
Membangun dan memelihara sistem manajemen kualitas yang menyediakan standar, not achieved
tujuannya. APO11-BP1 • APO02-WP2: Kemampuan keamanan informasi 1. Menentukan base practices keamanan informasi.
pendekatan formal dan berkelanjutan pada manajemen mutu untuk informasi, teknologi
dan proses bisnis yang selaras dengan kebutuhan bisnis dan manajemen mutu enterprise.
Mendefinisikan dan mengelola standar kualitas, praktik dan prosedur.

Mengidentifikasi dan mempertahankan persyaratan, standar, prosedur dan praktek untuk
proses kunci dalam rangka memandu enterprise dalam memenuhi maksud dari sistem APO11-WP1: Best practices dan standar keamanan informasi not achieved
APO11-BP2 1. Menyelaraskan praktik keamanan informasi dengan sistem manajemen kualitas.
manajemen kualitas yang disetujui. Hal ini harus sejalan dengan persyaratan kerangka yang relevan
kontrol TI. Mempertimbangkan sertifikasi untuk proses kunci, unit organisasi, produk atau
layanan.
Memfokuskan manajemen kualitas pada pelanggan.

1. Memperoleh perjanjian dengan pelanggan pada persyaratan SLA keamanan not achieved
APO11-BP3 Memfokuskan manajemen kualitas pada pelanggan dengan menentukan kebutuhan APO11-WP2: Standar kualitas keamanan informasi
informasi.
mereka dan memastikan keselarasan dengan praktik manajemen kualitas.
1. Mendefinisikan metrik kualitas keamanan informasi untuk mengukur
Melakukan pengawasan, pengendalian dan pengkajian kualitas.
pencapaian persyaratan keamanan informasi dan efisiensi fungsi kontrol not achieved
Base Practices (BP) 0% Memantau kualitas proses dan layanan secara terus-menerus seperti yang didefinisikan
keamanan informasi.
oleh sistem manajemen kualitas. Mendefinisikan, merencanakan dan APO11-WP3: SLA dan klausal kontrak kualitas keamanan
APO11-BP4
mengimplementasikan pengukuran untuk memantau kepuasan pelanggan dengan kualitas informasi yang disetujui dan tepat 2. Memantau metrik kualitas keamanan informasi. not achieved
Persyaratan kualitas operasional keamanan serta nilai yang diberikan oleh sistem manajemen kualitas. Informasi yang dikumpulkan
APO11-O1 informasi untuk layanan keamanan informasi 0% harus digunakan oleh pemilik proses untuk meningkatkan kualitas. 3. Mengambil tindakan korektif untuk mengatasi isu kualitas pada fungsi not achieved
didefinisikan dan diimplementasikan. keamanan informasi.
Mengintegrasikan manajemen kualitas ke dalam solusi pengembangan dan
pemberian layanan. 1. Mengidentifikasi, mendokumentasikan dan mengkomunikasikan penyebab
not achieved
APO11-WP4: Metrik kualitas keamanan informasi yang masalah pada isu keamanan informasi dengan metrik kualitas.
APO11-BP5 Menggabungkan praktik manajemen kualitas yang relevan ke dalam pendefinisian,
diimplementasikan sejalan dengan best practices
pengawasan, pelaporan dan manajemen pengembangan solusi yang berkelanjutan dan
2. Menerapkan praktik korektif untuk memulihkan isu kualitas. not achieved
penawaran layanan.
Menjaga perbaikan yang berkelanjutan.

Menjaga dan berkomunikasi secara teratur mengenai rencana pengelolaan kualitas secara
keseluruhan yang mempromosikan perbaikan yang berkelanjutan. Hal ini harus mencakup
APO11-BP6 kebutuhan, manfaat dan perbaikan yang berkelanjutan. Mengumpulkan dan menganalisis tidak relevan
data terkait sistem manajemen kualitas dan meningkatkan efektivitasnya. Memperbaiki
ketidaksesuaian untuk mencegah terulang kembali. Mempromosikan budaya kualitas dan
perbaikan berkelanjutan.
APO11-WP1 Best practices dan standar keamanan informasi yang relevan not achieved
APO11-WP2 Standar kualitas keamanan informasi not achieved
Work Product (WP) APO11-WP3 SLA dan klausal kontrak kualitas keamanan informasi yang disetujui dan tepat not achieved
0%
Keluaran
Metrik kualitas keamanan informasi yang diimplementasikan sejalan dengan best not achieved
APO11-WP4
practices
APO11-WP5 Penghubung proses pelaporan insiden keamanan informasi not achieved
proses dikelola.
0%
0%
0% GP 2.1.2
0% dan umpan balik
(GR)
Generic Practices
(GP)
0% dan umpan balik
(GR)
Generic Practices
(GP)
0%
Generic Practices
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
0% GWP 3.0
(GP)
persyaratan.
Generic Work
b) Persyaratan dokumentasi dan kontrol work product Product (GWP) not achieved
0% GWP 3.0
0%
Generic Practices Mengidentifikasi, mendokumentasi dan mengontrol work product. Work product sebagai
0%
Generic Practices
(GP)
0% GWP 4.0
0%
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
e) Metode yang tepat untuk memantau keefektifan dan Generic Work minimum kinerja, prosedur standar, persyaratan pelaporan dan pemantauan
0% 0%
kecocokan proses terdefinisi. Product (GWP)
GWP 4.0
yang dilakukan)
0%
standar efektif digunakan sebagai a) Proses yang terdefinisi disebarkan berdasarkan standar 0% Generic Work Kebijakan dan standar yang mendefinisikan standar yang harus diikuti oleh semua not achieved
proses terpilih yang dibuat sendiri secara tepat. 0% GWP 5.0
proses yang ditetapkan untuk Product (GWP) implementasi proses
mencapai outcome prosesnya. Generic Resource not achieved
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
pengukuran yang digunakan untuk a) Kebutuhan informasi proses dalam mendukung tujuan (GP)
memastikan bahwa kinerja proses bisnis yang relevan tersusun. 0%
mendukung pencapaian tujuan Generic Work Rencana peningkatan proses yang memberikan tujuan peningkatan proses dan tindakan not achieved
0% GWP 6.0
kinerja proses yang relevan dalam Product (GWP) perbaikan yang diusulkan
mendukung tujuan bisnis yang Generic Resource Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko not achieved
0% GR 4.1.1
didefinisikan. (GR) dll)
0% GP 4.1.2
0% Generic Work
Product (GWP)
(GR)
0% GP 4.1.3
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0%

Generic Practices
(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)
Generic Practices
(GP)
kinerja proses.
GR 4.1.1
0%

Generic Practices Menentukan teknis analisis dan kontrol yang tepat untuk mengontrol kinerja proses.
sejauh mana proses secara 0% GP 4.2.1 not achieved
sebuah proses yang stabil, mampu a) Teknik analisis dan kontrol ditentukan dan diterapkan 0% Generic Work GWP 1.0 Dokumentasi proses yang memberikan rincian kontrol (matriks kontrol) not achieved
(GR)
Generic Practices
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
Generic Practices
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
proses teridentifikasi dari analisis a) Tujuan peningkatan proses terdefinisikan untuk Generic Work Rencana perbaikan proses yang memberikan rincian tujuan perbaikan proses dan tindakan
penyebab umum dari variasi mendukung tujuan bisnis yang relevan. Product (GWP) perbaikan yang diusulkan
dalam kinerja, dan dari Generic Resource not achieved
penyelidikan pendekatan inovatif (GR)
untuk definisi dan penyebaran Generic Practices Menganalisis data pengukuran proses untuk mengidentifikasi variasi yang sebenarnya dan not achieved
0% GP 5.1.2
proses. (GP) potensial dalam kinerja proses.
(GR)
Generic Practices
(GP)
industri.
0%
(GR)
(GP)
0%
Generic Practices
(GP)
(GR)
0% GP 5.2.1
definisi, manajemen dan kinerja a) Dampak semua perubahan usulan dinilai sesuai dengan Generic Work Rencana perbaikan proses yang memberikan rincian perbaikan proses yang diperlukan dan not achieved
0% 0% GWP 6.0
hasil proses dalam dampak yang tujuan proses yang terdefinisi dan proses standar. Product (GWP) pendekatan kualitas proyek
efektif untuk mencapai tujuan Generic Resource GR 5.2.1 Sistem manajemen perubahan not achieved
0%
perbaikan proses yang relevan. (GR) GR 5.2.2 Sistem evaluasi proses (analisis dampak dll) not achieved
0% GP 5.2.2
Product (GWP)
(GR)
0%
Rekapitulasi

Nama Mengelola risiko Saat Ini - - - - - - - - - -
Deskripsi Mengidentifikasi, menilai dan mengurangi risiko terkait TI secara terus-menerus dalam tingkat toleransi yang ditetapkan oleh manajemen eksekutif enterprise. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Mengintegrasikan manajemen risiko enterprises terkait TI dengan ERM secara keseluruhan, menyeimbangkan biaya dan manfaat pengelolaan risiko enterprise terkait TI. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
Proses tidak diimplementasikan atau not achieved
0 - Incomplete 0%
1 - Performed PA 1.1 Proses yang • APO01-WP4: Kebijakan yang terkait dengan keamanan
diimplementasikan mencapai informasi
tujuannya. Mengumpulkan data. 1. Mengidentifikasi dan mengumpulkan data yang relevan untuk
• APO01-WP10: Penilaian kepatuhan terhadap not achieved
APO12-BP1 Mengidentifikasi dan mengumpulkan data yang relevan untuk mengidentifikasi, menjalankan identifikasi risiko terkait keamanan informasi, menganalisis
keamanan informasi
menganalisis dan melaporkan risiko terkait TI secara efektif. dan melaporkan.
• DSS02-WP2: Insiden keamanan informasi dan
permintaan layanan yang terklasifikasi dan terprioritas
Menganalisis risiko.
• APO12-WP1: Data risiko keamanan informasi not achieved
APO12-BP2 Mengembangkan informasi yang bermanfaat untuk mendukung keputusan risiko yang 1. Mengidentifikasi, menganalisis dan mengevaluasi risiko informasi
• DSS05-WP2: Evaluasi ancaman yang potensial
terdapat dalam faktor risiko bisnis yang relevan.
• EDM01-WP1: Prinsip panduan keamanan informasi
Memelihara profil risiko.
Profil risiko informasi lengkap yang ada saat • APO12-WP1: Data risiko keamanan informasi
Memelihara inventaris risiko yang diketahui dan atributnya (termasuk frekuensi yang 1. Membuat profil risiko informasi yang memasukkan aspek keamanan not achieved
APO12-O1 ini pada teknologi, aplikasi dan infrastruktur 0% APO12-BP3 • APO12-WP2: Hasil analisis risiko keamanan informasi
diharapkan, dampak yang potensial dan respons) serta sumber daya terkait, informasi.
dalam enterprise. • APO12-WP3: Skenario risiko keamanan informasi
kemampuan dan kegiatan pengendalian.
• DSS05-WP2: Evaluasi ancaman yang potensial
Membahas risiko.
1. Mendefinisikan dan mengimplementasikan evaluasi risiko dan strategi not achieved
APO12-BP4 Memberikan informasi tentang keadaan TI saat ini dengan tepat waktu kepada semua APO12-WP4: Profil risiko keamanan informasi
respons.
pemangku kepentingan yang diperlukan untuk respons yang tepat.
APO12-WP1 Data risiko keamanan informasi not achieved

APO12-WP2 Hasil analisis risiko keamanan informasi not achieved
Work Product (WP)
0% APO12-WP3 Skenario risiko keamanan informasi not achieved
Keluaran
APO12-WP4 Profil risiko keamanan informasi not achieved
APO12-WP5 Strategi respons risiko keamanan informasi not achieved
Membahas risiko.
1. Mendefinisikan dan mengimplementasikan evaluasi risiko dan strategi not achieved
APO12-BP4 Memberikan informasi tentang keadaan TI saat ini dengan tepat waktu kepada semua APO12-WP4: Profil risiko keamanan informasi
respons.
pemangku kepentingan yang diperlukan untuk respons yang tepat.
Mendefinisikan portofolio aksi manajemen risiko.
Base Practices (BP) 0% APO12-BP5 Mengelola peluang untuk mengurangi dampak risiko pada tingkat yang dapat diterima APO12-WP4: Profil risiko keamanan informasi 1. Memant TI dan level risiko informasi secara terus-menerus. not achieved
Respons insiden keamanan informasi
terintegrasi dengan proses manajemen risiko sebagai portofolio.
APO12-O2 secara keseluruhan untuk memberikan 0% Menanggapi risiko.
APO12-WP6: Proposal proyek untuk mengurangi risiko not achieved
kemampuan dalam rangka memperbarui APO12-BP6 Menanggapi risiko secara tepat waktu dengan langkah yang efektif untuk membatasi 1. Menerapkan praktik mitigasi keamanan informasi yang dipilih.
keamanan informasi
portofolio manajemen risiko. besarnya kerugian yang ditimbulkan oleh risiko suatu kejadian.
APO12-WP5 Strategi respons risiko keamanan informasi not achieved

Work Product (WP) APO12-WP6 Proposal proyek untuk mengurangi risiko keamanan informasi not achieved
0%
Keluaran APO12-WP7 Proposal proyek untuk mengurangi risiko not achieved
APO12-WP8 Praktik mitigasi risiko keamanan informasi not achieved
0%
0%
(GP)
dan terpantau.
(GR)
(GP)
0% GWP 4.0
(GR)
(GP)
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
0% GWP 3.0
output dari proses) didefinisikan dan Generic Resource not achieved
dikendalikan. (GR)
(GP)
persyaratan.
Generic Work
terdefinisi.
0%
(GP)
yang tepat.
0%
(GP)
0% GWP 4.0
0%
(GP)
penyebaran dari proses yang Generic Work Kebijakan dan standar yang memberikan rincian tujuan organisasi untuk proses, standar
didefinisikan. 0% Product (GWP) minimum kinerja, prosedur standar, pelaporan dan persyaratan pemantauan.
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
0% GWP 5.0
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
0%
ditetapkan untuk mencapai outcome proses terpilih yang dibuat sendiri secara tepat. Product (GWP) implementasi proses
prosesnya. Generic Resource not achieved
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0% GWP 4.0
0%
(GR)
digunakan untuk memastikan bahwa a) Kebutuhan informasi proses dalam mendukung tujuan (GP)
kinerja proses mendukung bisnis yang relevan tersusun. 0%
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0% GP 4.1.2
(GR)
0% GP 4.1.3
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0% not achieved

Generic Resource
0%
(GR)
(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

(GP)
kinerja proses.
GR 4.1.1
0% not achieved

0% Generic Work
dan dapat diprediksi dalam batas jika memungkinkan. 0% Rencana kontrol proses yang ada untuk menspesifikasikan setiap pendekatan
yang ditentukan. pengukuran proses
(GR)
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
proses teridentifikasi dari analisis a) Tujuan peningkatan proses terdefinisikan untuk Generic Work Rencana perbaikan proses yang memberikan rincian tujuan perbaikan proses dan
penyebab umum dari variasi dalam mendukung tujuan bisnis yang relevan. Product (GWP) tindakan perbaikan yang diusulkan
dan penyebaran proses. Generic Practices Menganalisis data pengukuran proses untuk mengidentifikasi variasi yang sebenarnya not achieved
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0% 0% GWP 6.0
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi

Nama Mengelola keamanan Saat Ini - - - - - - - - - -
Deskripsi Mendefinisikan, mengoperasikan dan mengawasi sistem manajemen keamanan informasi. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Mengatasi dampak dan kejadian suatu insiden keamanan informasi dalam tingkatan selera risiko enterprise. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
1 - Performed PA 1.1 Proses yang 1. Menentukan ruang lingkup dan batasan SMKI dalam hal karakteristik enterprise,
diimplementasikan mencapai organisasi, lokasi, aset dan teknologi. Sertakan rincian dan justifikasi dari setiap not achieved
tujuannya. pengecualian dari ruang lingkup.
2. Mendefinisikan SMKI sesuai dengan kebijakan enterprise dan selaras dengan not achieved
enterprise, organisasi, lokasi, aset dan teknologi.
Membangun dan memelihara Sistem Manajemen Keamanan Informasi (SMKI). 3. Menyelaraskan SMKI dengan pendekatan enterprise secara keseluruhan untuk not achieved
Membangun dan memelihara SMKI yang menyediakan standar, pendekatan formal dan pengelolaan keamanan.
Base Practices (BP) 0% APO13-BP1 Di luar COBIT 5 for IS: Pendekatan keamanan enterprise
Sistem yang mempertimbangkan persyaratan berkesinambungan untuk manajemen keamanan informasi, teknologi dan bisnis proses 4. Mendapatkan otorisasi manajemen untuk mengimplementasikan dan mengoperasikan
APO13-O1 0% not achieved
keamanan informasi enterprise secara efektif. yang aman serta sesuai dengan kebutuhan bisnis dan manajemen keamanan enterprise. atau mengubah SMKI.
5. Mempersiapkan dan mempertahankan pernyataan penerapan yang menggambarkan not achieved
ruang lingkup SMKI.
6. Mendefinisikan dan mengkomunikasikan peran dan tanggung jawab manajemen not achieved
keamanan informasi.
7. Mengkomunikasikan pendekatan SMKI. not achieved
Work Product (WP) APO13-WP1 Pernyataan lingkup SMKI not achieved
0%
Keluaran APO13-WP2 Kebijakan SMKI not achieved
1. Merumuskan dan memelihara rencana perlakuan risiko keamanan informasi sesuai

dengan tujuan strategis dan arsitektur enterprise. Pastikan bahwa rencana tersebut
mengidentifikasi praktik manajemen dan solusi keamanan yang tepat dan optimal, dengan not achieved
sumber daya yang terkait, tanggung jawab dan prioritas untuk mengelola risiko keamanan
informasi yang teridentifikasi.
2. Memelihara, sebagai bagian dari arsitektur enterprise, inventarisasi komponen solusi

not achieved
yang berada di tempat untuk mengelola risiko yang berhubungan dengan keamanan.
3. Mengembangkan proposal untuk mengimplementasikan rencana perlakuan risiko

Mendefinisikan dan mengelola rencana penanganan risiko keamanan informasi. • APO02-WP5: Kesenjangan yang diperkecil dan keamanan informasi, didukung oleh business case yang cocok, yang mencakup not achieved
Memelihara rencana keamanan informasi yang menggambarkan bagaimana risiko perubahan yang diperlukan untuk merealisasikan pertimbangan pendanaan dan alokasi peran dan tanggung jawab.
keamanan informasi dikelola dan diselaraskan dengan strategi dan arsitektur enterprise. kemampuan target
Rencana keamanan telah dibangun, diterima Base Practices (BP) 0% APO13-BP2
Memastikan bahwa rekomendasi untuk implemtasi perbaikan keamanan didasarkan pada • APO03-WP4: Deskripsi domain dasar dan definisi 4. Memberikan masukan untuk desain dan pengembangan praktik manajemen dan solusi
APO13-O2 dan dikomunikasikan ke seluruh bagian 0% not achieved
business case yang disetujui dan dilaksanakan sebagai bagian integral dari layanan dan arsitektur yang dipilih dari rencana perlakuan risiko keamanan informasi.
enterprise.
pengembangan solusi, kemudian dioperasikan sebagai bagian integral dari operasi bisnis. • APO12-WP7: Proposal proyek untuk mengurangi risiko
5. Mendefinisikan bagaimana mengukur efektivitas dari praktik manajemen yang dipilih
dan menentukan bagaimana pengukuran ini akan digunakan untuk menilai efektivitas not achieved
untuk menghasilkan hasil yang sebanding dan dapat direproduksi.
6. Merekomendasikan pelatihan dan program kesadaran keamanan informasi. not achieved
7. Mengintegrasikan perencanaan, desain, implementasi dan monitoring prosedur

keamanan informasi dan kontrol lainnya yang mampu melakukan pencegahan, deteksi not achieved
cepat kejadian keamanan dan respon terhadap insiden keamanan.
0% APO13-WP3 Business case keamanan informasi
Keluaran
1. Melakukan pengkajian efektivitas SMKI secara reguler, termasuk pertemuan kebijakan
dan tujuan SMKI dan mengkaji praktik keamanan. Memperhitungkan hasil audit keamanan, not achieved
insiden, hasil dari pengukuran efektivitas, saran dan masukan dari semua pihak yang
Mengawasi dan mengkaji SMKI. berkepentingan.
Memelihara dan berkomunikasi secara teratur mengenai kebutuhan dan manfaat 2. Melakukan audit SMKI internal pada selang waktu yang direncanakan. not achieved
peningkatan keamanan informasi secara terus-menerus. Mengumpulkan dan menganalisis DSS02-WP2: Insiden dan permintaan layanan yang
Solusi keamanan informasi Base Practices (BP) 0% APO13-BP3 3. Melakukan tinjauan manajemen SMKI secara teratur untuk memastikan bahwa ruang
data mengenai SMKI dan meningkatkan efektivitasnya. Memperbaiki ketidaksesuaian terklasifikasi dan terprioritas not achieved
APO13-O3 diimplementasikan dan dioperasikan secara 0% untuk mencegah terulang kembali. Mempromosikan budaya keamanan dan perbaikan lingkup tetap memadai dan perbaikan dalam proses SMKI teridentifikasi.
konsisten ke seluruh bagian enterprise. berkelanjutan. 4. Memberikan masukan kepada pemeliharaan rencana keamanan untuk mendapatkan not achieved
temuan dari aktivitas pemantauan dan pengkajian.
5. Merekam tindakan dan peristiwa yang dapat berdampak pada efektivitas atau kinerja not achieved
SMKI.
Work Product (WP) APO13-WP4 Rekomendasi untuk perbaikan SMKI not achieved
0%
Keluaran APO13-WP5 Laporan audit SMKI not achieved
proses dikelola.
0%
0%
GR 2.1.3
0% dan umpan balik
(GR)
Generic Practices
(GP)
0% dan umpan balik
(GR)
Generic Practices
(GP)
0%
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
Generic Practices
(GP)
Product (GWP)
0%
0% GWP 3.0
(GP)
persyaratan.
Generic Work
terdefinisi.
0%
0% GP 2.2.3
0%
(GP)
0% GWP 4.0
0%
Generic Practices
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0% not achieved
lainnya telah ditentukan. GR 3.1.1 Metode/alat bantu pemodelan proses
0%
(GP)
Generic Resource
(GR)
Generic Practices
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
GWP 4.0
yang dilakukan)
0%
standar efektif digunakan sebagai a) Proses yang terdefinisi disebarkan berdasarkan standar 0% Generic Work Kebijakan dan standar yang mendefinisikan standar yang harus diikuti oleh semua not achieved
proses terpilih yang dibuat sendiri secara tepat. 0% GWP 5.0
proses yang ditetapkan untuk Product (GWP) implementasi proses
mencapai outcome prosesnya. Generic Resource not achieved
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
pengukuran yang digunakan untuk a) Kebutuhan informasi proses dalam mendukung tujuan (GP)
memastikan bahwa kinerja proses bisnis yang relevan tersusun. 0%
mendukung pencapaian tujuan Generic Work Rencana peningkatan proses yang memberikan tujuan peningkatan proses dan tindakan not achieved
0% GWP 6.0
kinerja proses yang relevan dalam Product (GWP) perbaikan yang diusulkan
mendukung tujuan bisnis yang Generic Resource Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko not achieved
0% GR 4.1.1
didefinisikan. (GR) dll)
0% GP 4.1.2
0% Generic Work
Product (GWP)
(GR)
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0%
(GR)
Generic Resource
0%

(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

(GP)
kinerja proses.
GR 4.1.1
0%

(GR)
Generic Practices
(GP)
(GR)
Generic Practices
0% GP 4.2.3 kinerja proses. Hasil pengukuran kontrol proses dianalisis untuk menentukan isu dan not achieved
(GP)
variasi. 0% GWP 9.0
0%
Generic Practices
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
penyebab umum dari variasi mendukung tujuan bisnis yang relevan. Product (GWP) perbaikan yang diusulkan
dalam kinerja, dan dari Generic Resource not achieved
penyelidikan pendekatan inovatif (GR)
untuk definisi dan penyebaran Generic Practices Menganalisis data pengukuran proses untuk mengidentifikasi variasi yang sebenarnya dan not achieved
0% GP 5.1.2
proses. (GP) potensial dalam kinerja proses.
(GR)
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
0%
Rekapitulasi
No. Proses BAI01 Target

Nama Mengelola program dan proyek Saat Ini - - - - - - - - - -
Nilai
Deskripsi Mengelola semua program dan proyek dari portofolio investasi agar sejalan dengan strategi enterprise dan dengan cara yang terkoordinasi. Memulai, merencanakan, mengontrol, melaksanakan program dan proyek dan mengkajinya pasca-implementasi. -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Menyadari manfaat bisnis dan mengurangi risiko penundaan yang tak terduga, biaya dan pengurangan nilai dengan meningkatkan komunikasi dan keterlibatan bisnis dan pengguna, memastikan nilai dan kualitas deliverable proyek serta memaksimalkan kontribusinya terhadap portofolio investasi dan layanan. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
Memelihara pendekatan yang standar untuk manajemen program dan proyek. • APO01-WP4: Kebijakan yang terkait keamanan informasi 1. Memasukkan persyaratan keamanan informasi dalam studi kelayakan untuk setiap
diimplementasikan mencapai not achieved
Memelihara pendekatan yang standar untuk manajemen program dan proyek yang dapat • APO02-WP2: Kemampuan keamanan informasi proyek dalam program.
tujuannya.
BAI01-BP1 mengkaji tata kelola, manajemen, pengambilan keputusan dan manajemen pemberian • APO02-WP9: Rencana keamanan informasi
kegiatan yang difokuskan pada pencapaian nilai dan tujuan (persyaratan, risiko, biaya, • APO12-WP4: Profil risiko keamanan informasi 2. Membentuk proses untuk memastikan bahwa semua informasi yang terkait dengan
jadwal, kualitas) untuk bisnis secara konsisten. • BAI02-WP1: Persyaratan keamanan informasi not achieved
proyek yang dikumpulkan atau diproduksi sebagai bagian dari proyek dapat diamankan.
Menginisiasi program.
Menginisiasi program untuk mengkonfirmasi manfaat yang diharapkan dan mendapatkan
otorisasi untuk melanjutkan. Hal ini termasuk persetujuan program sponsor, menegaskan
BAI01-WP1: Persyaratan keamanan informasi pada studi 1. Merencanakan aktivitas keamanan informasi untuk setiap proyek dalam program secara
BAI01-BP2 mandat program melalui persetujuan dari business case konseptual, menunjuk dewan not achieved
kelayakan keseluruhan.
direksi program atau anggota komite, memproduksi program singkat, meninjau dan
memperbarui business case, mengembangkan rencana realisasi manfaat, dan
memperoleh persetujuan dari sponsor untuk melanjutkan.
Mengelola keterlibatan pemangku kepentingan.
Mengelola keterlibatan pemangku kepentingan untuk memastikan pertukaran aktif yang
BAI01-BP3 akurat, informasi yang konsisten dan tepat waktu. Hal ini termasuk perencanaan, tidak relevan
pengidentifikasian dan melibatkan para pemangku kepentingan dan mengelola
ekspektasinya.
Mengembangkan dan memelihara rencana program. 1. Mengembangkan rencana keamanan informasi yang mengidentifikasi lingkungan
keamanan informasi dan kontrol untuk diimplementasikan oleh tim proyek untuk not achieved
Merumuskan program untuk meletakkan langkah awal untuk mencapai kesuksesan dengan
• APO02-WP9: Rencana keamanan informasi melindungi aset organisasi.
meresmikan ruang lingkup pekerjaan yang harus dicapai dan mengidentifikasi deliverable
BAI01-BP4 • BAI01-WP2: Business case konsep dari program termasuk di
tujuan dan memberikan nilai. Memelihara dan memperbarui rencana program dan
dalamnya aktivitas keamanan informasi yang mandatory
business case yang ada di dalam siklus program, memastikan keselarasan dengan tujuan 2. Menyertakan sumber daya yang diperlukan pada proyek untuk mengidentifikasi dan not achieved
strategis dan menjelaskan status yang telah dicapai saat ini. mengimplementasikan secara efektif persyaratan keamanan informasi.
Meluncurkan dan mengeksekusi program.

Meluncurkan dan mengeksekusi program untuk memperoleh dan mengarahkan sumber
BAI01-BP5 tidak relevan
daya yang dibutuhkan dalam rangka mencapai tujuan dan manfaat program sebagaimana
didefinisikan dalam rencana program.
Mengawasi, mengontrol dan melaporkan outcome program.
Memantau dan mengontrol kinerja program (pemberian solusi) dan enterprise
(nilai/outcome) terhadap siklus rencana investasi. Melaporkan kinerjanya kepada komite
pengarah program dan sponsor.
Memulai dan menginisiasi proyek dalam suatu program.
Mendefinisikan dan mendokumentasikan sifat dan ruang lingkup proyek untuk
mengkonfirmasi dan mengembangkan pemahaman para pemangku kepentingan tentang
BAI01-BP7 not relevant
ruang lingkup proyek dan bagaimana kaitannya dengan proyek-proyek lain dalam program
investasi TI secara keseluruhan. Definisi tersebut harus secara resmi disetujui oleh
sponsor program dan proyek.
Merencanakan proyek. • APO02-WP9: Rencana keamanan informasi
Membangun dan memelihara rencana proyek yang formal, disetujui dan terintegrasi • BAI01-WP2: Business case konsep dari program termasuk di
BAI01-BP8 (meliputi bisnis dan sumber daya TI) untuk memandu pelaksanaan proyek dan dalamnya aktivitas keamanan informasi yang mandatory 1. Mengintegrasikan keamanan informasi manajemen proyek TI dan bisnis. not achieved
pengontrolan sepanjang siklus proyek. Ruang lingkup proyek harus didefinisikan secara • BAI01-WP3: Rencana konsep dari program termasuk di
Persyaratan keamanan informasi dipahami jelas dan terikat untuk membangun atau meningkatkan kemampuan bisnis. dalamnya aktivitas keamanan informasi yang mandatory
BAI01-O1 dan dimasukkan ke dalam seluruh program 0%
dan proyek.
Mengelola kualitas program dan proyek.
Menyiapkan dan mengeksekusi rencana manajemen kualitas, proses dan praktik yang
sejalan dengan sistem manajemen kualitas yang menggambarkan pendekatan kualitas
program dan proyek serta bagaimana hal tersebut akan dilaksanakan. Rencana tersebut
harus ditinjau secara formal dan disepakati oleh semua pihak yang berkepentingan dan
kemudian dimasukkan ke dalam rencana program dan proyek terintegrasi.
Mengelola risiko program dan proyek. 1. Membentuk log risiko informasi dan tindakan perbaikan unutk risiko yang teridentifikasi. not achieved
Menghilangkan atau meminimalkan risiko spesifik yang terkait dengan program dan Meninjau secara berkala dan memperbarui log risiko.
proyek melalui proses perencanaan yang sistematis, pengidentifikasian, penganalisisan, BAI01-WP4: Rencana proyek yang termasuk di dalamnya tujuan,
BAI01-BP10
penanganan, pengawasan dan pengendalian area atau kejadian yang memiliki potensi sasaran dan persyaratan keamanan informasi
untuk menyebabkan perubahan yang tidak diinginkan. Risiko yang dihadapi oleh 2. Mengintegrasikan proyek keamanan informasi dalam program enterprise dan proses not achieved
manajemen program dan proyek harus ditetapkan dan didokumentasikan secara terpusat. manajemen proyek.
Mengawasi dan mengontrol proyek.

Mengukur kinerja proyek terhadap kriteria kinerja utama dari proyek seperti jadwal, • APO01-WP4: Kebijakan yang terkait keamanan informasi
1. Melakukan penilaian independen secara berkala dari proyek untuk memastikan bahwa not achieved
BAI01-BP11 kualitas, biaya dan risiko. Mengidentifikasi penyimpangan dari yang diharapkan. Menilai • APO02-WP9: Rencana keamanan informasi
persyaratan keamanan informasi diimplementasikan secara efektif.
dampak dari penyimpangan pada proyek dan program secara keseluruhan dan melaporkan • APO12-WP4: Profil risiko keamanan informasi
hasilnya kepada pemangku kepentingan utama.
Mengelola sumber daya proyek dan paket pekerjaan.

BAI01-BP12 Mengelola paket pekerjaan proyek dengan menempatkan persyaratan formal pada tidak relevan
otorisasi, menugaskan dan mengkoordinasi bisnis dan sumber daya TI yang tepat.
Menyelesaikan proyek atau iterasi.

Pada akhir setiap proyek, rilis atau iterasi, membutuhkan pemangku kepentingan proyek
untuk memastikan apakah proyek perlu dirilis atau diiterasi kembali. Mengidentifikasi dan
mengkomunikasikan kegiatan luar biasa yang diperlukan untuk mencapai hasil yang
direncanakan proyek dan manfaat dari program tersebut, mengidentifikasi dan
mempelajari dokumen yang digunakan pada proyek masa depan.
Menyelesaikan program.
Menghapus program dari portofolio investasi aktif apabila ada kesepakatan bahwa nilai
yang diinginkan telah tercapai atau ketika jelas tidak akan tercapai dalam kriteria nilai
yang ditetapkan untuk program tersebut.
BAI01-WP1 Persyaratan keamanan informasi pada studi kelayakan not achieved
Business case konsep dari program termasuk di dalamnya aktivitas keamanan informasi not achieved
BAI01-WP2
yang mandatory
Rencana konsep dari program termasuk di dalamnya aktivitas keamanan informasi yang not achieved
BAI01-WP3
mandatory
Work Product (WP) Rencana proyek yang termasuk di dalamnya tujuan, sasaran dan persyaratan keamanan
0% BAI01-WP4 not achieved
Keluaran informasi
BAI01-WP5 Log risiko keamanan informasi sebagai bagian log risiko proyek keseluruhan not achieved
Laporan penilaian proyek keamanan informasi yang mengidentifikasi kontrol kelemahan not achieved
BAI01-WP6
dan rencana tindakan perbaikan yang direkomendasikan
sejauh mana kinerja proses 0% GP 2.1.1 not achieved
dikelola.
0%
0%
0% GP 2.1.2
GR 2.1.3
0% dan umpan balik
(GR)
Generic Practices
(GP)
0% GR 2.1.3
(GR) dan umpan balik
(GP)
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
0% GWP 3.0
(GP)
persyaratan.
Generic Work
terdefinisi.
0%
0%
(GP)
0% GWP 4.0
0%
Generic Practices
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0% not achieved
0%
(GP)
Generic Resource
(GR)
Generic Practices
(GR)
0% GP 3.1.5
(GP) standar.
0% 0%
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
f) Data yang tepat dikumpulkan dan dianalisis sebagai

dasar pemahaman berperilaku, mendemonstrasikan
0%
kecocokan dan keefektifan proses, mengevaluasi perbaikan
proses yang kontinu dapat dibuat.
0%
(GR)
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
Generic Practices Menurunkan tujuan pengukuran proses dari kebutuhan informasi proses. Tujuan
0% Generic Work
Product (GWP)
(GR)
0% GR 4.1.1
(GR) dll)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0%

(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

(GP)
kinerja proses.
GR 4.1.1
0%

0% Generic Work
(GR)
Generic Practices
(GP)
(GR)
Generic Practices
(GP)
variasi. 0% GWP 9.0
0%
Generic Practices
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
0% GP 5.2.1
manajemen dan kinerja hasil proses a) Dampak semua perubahan usulan dinilai sesuai dengan Generic Work Rencana perbaikan proses yang memberikan rincian perbaikan proses yang diperlukan dan not achieved
0% 0% GWP 6.0
dalam dampak yang efektif untuk tujuan proses yang terdefinisi dan proses standar. Product (GWP) pendekatan kualitas proyek
0%
0% GP 5.2.2
Product (GWP)
(GR)
0%
Rekapitulasi

Nama Mengelola definisi persyaratan Saat Ini - - - - - - - - - -
Nilai
Deskripsi Mengidentifikasi solusi dan menganalisis persyaratan sebelum akuisisi atau pembuatan untuk memastikan kesesuaian dengan persyaratan strategis enterprise yang meliputi proses bisnis, aplikasi, data/informasi, infrastruktur dan layanan. Koordinasi dengan pemangku kepentingan yang terpengaruh dalam kajian pilihan yang layak untuk biaya, manfaat, analisis risiko, persetujuan persyaratan dan solusi yang diusulkan. -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Menciptakan solusi optimal yang layak dan memenuhi kebutuhan enterprise seiring dengan meminimalkan risiko. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
1. Meneliti, mendefinisikan dan mendokumentasikan persyaratan keamanan informasi, not achieved
diimplementasikan mencapai Mendefinisikan dan memelihara fungsi bisnis dan persyaratan teknikal.
• APO01-WP4: Kebijakan yang terkait keamanan informasi seperti: persyaratan kerahasiaan, persyaratan integritas dan persyaratan ketersediaan.
tujuannya. Berdasarkan business case, mengidentifikasi, memprioritaskan, menentukan dan
• APO02-WP2: Kemampuan keamanan informasi
BAI02-BP1 menyetujui informasi bisnis, persyaratan fungsional, teknis dan kontrol yang mencakup 2. Meneliti dan menganalisis persyaratan keamanan informasi dengan para pemangku
• APO02-WP9: Rencana keamanan informasi not achieved
ruang lingkup/pemahaman semua inisiatif yang diperlukan untuk mencapai outcome yang kepentingan, sponsor bisnis dan personil implementasi teknis.
• MEA03-WP1: Persyaratan kepatuhan ekternal terhadap keamanan informasi
Semua aspek keamanan informasi yang Base Practices (BP) diharapkan dari solusi bisnis TI yang diusulkan.
0% 3. Memastikan bahwa persyaratan bisnis mengambil peran dalam memenuhi kebutuhan
relevan untuk fungsi bisnis dan persyaratan not achieved
BAI02-O1 0% untuk melindungi keamanan informasi.
teknikal diidentifikasi dan
diimplementasikan. Melakukan studi kelayakan dan merumuskan solusi alternatif.
Melakukan studi kelayakan pada solusi alternatif yang potensial, menilai kelangsungan 1. Memastikan bahwa persyaratan keamanan informasi dimasukkan ke dalam studi not achieved
BAI02-BP2 BAI01-WP1: Persyaratan keamanan informasi dalam kelayakan studi
hidupnya dan memilih pilihan yang lebih baik. Jika sesuai, mengimplementasikan opsi kelayakan.
yang dipilih sebagai percontohan untuk menentukan perbaikan yang mungkin diterapkan.
Work Product (WP) BAI02-WP1 Pesyaratan keamanan informasi not achieved
0%
Keluaran BAI02-WP2 Laporan studi kelayakan not achieved
Mengelola risiko persyaratan. 1. Melakukan penilaian risiko informasi untuk mengidentifikasi kontrol keamanan
informasi terhadap aktivitas bisnis yang relevan (termasuk manajemen program dan not achieved
Mengidentifikasi, mengdokumentasikan, memprioritaskan dan memitigasi risiko
BAI02-BP3 APO12-WP4: Profil risiko keamanan informasi proyek).
fungsional, teknis dan pemrosesan informasi yang terkait dengan persyaratan enterprise
dan solusi yang diusulkan. 2. Bekerja sama dengan bagian pengelola risiko untuk mengelola risiko informasi. not achieved
Risiko informasi yang berhubungan dengan Memperoleh persetujuan terhadap persyaratan dan solusi.
BAI02-O2 fungsi bisnis dan persyaratan teknikal 0% Koordinasi untuk mendapatkan umpan balik dari pemangku kepentingan yang
1. Memvalidasi persyaratan keamanan informasi dengan pemangku kepentingan, sponsor not achieved
direkam dan ditangani. BAI02-BP4 terpengaruh, memperoleh sponsor bisnis atau persetujuan pemilik produk dan sign-off BAI02-WP1: Persyaratan keamanan informasi
bisnis dan personil implementasi teknis.
dari persyaratan fungsional dan teknis, studi kelayakan, analisis risiko dan solusi yang
direkomendasikan.
BAI02-WP3 Tindakan mitigasi risiko not achieved
Work Product (WP)
0%
Keluaran
BAI02-WP4 Persetujuan pada persyaratan keamanan informasi not achieved

sejauh mana kinerja proses 0% GP 2.1.1
dikelola.
0%
0%
0% GP 2.1.2
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
yang tepat.
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
0% GWP 3.0
(GP)
persyaratan.
Generic Work
0%
0%
0% GP 2.2.3
0%
(GP)
0%
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0% GP 4.1.2
0% Generic Work
Product (GWP)
(GR)
0% GP 4.1.3
GR 4.1.1
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0%

(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

(GP)
kinerja proses.
GR 4.1.1
0%

0% Generic Work
(GR)
(GP)
(GR)
sejauh mana proses secara
sebuah proses yang stabil, mampu
dan dapat diprediksi dalam batas
yang ditentukan.
(GP)
variasi. 0% GWP 9.0
0%
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi

Nama Mengelola identifikasi dan pembangunan solusi Saat Ini - - - - - - - - - -
Nilai
Deskripsi Membangun dan memelihara solusi yang teridentifikasi agar sesuai dengan kebutuhan enterprise yang meliputi desain, pengembangan, pengadaan/pemberdayaan dan kerja sama dengan pemasok/vendor. Mengelola konfigurasi, persiapan uji coba, pengujian, manajemen persyaratan dan pemeliharaan proses bisnis, aplikasi, informasi/ data, infrastruktur dan layanan. -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Membangun solusi yang tepat waktu dan hemat biaya dan mampu mendukung tujuan strategis dan operasional enterprise. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
Proses tidak diimplementasikan atau
1 - Performed PA 1.1 Proses yang Merancang komponen solusi secara rinci
diimplementasikan mencapai Mengembangkan, mendokumentasikan dan merinci desain secara progresif dengan teknik
tujuannya.
pengembangan rapid agile, menangani semua komponen (proses bisnis dan kontrol BAI03-WP1: Spesifikasi keamanan informasi sejalan not achieved
BAI03-BP2 1. Mengintegrasikan desain keamanan informasi ke dalam komponen solusi.
otomatis/manual yang terkait, mendukung aplikasi TI, layanan infrastruktur, produk dengan desain high-level
teknologi dan mitra/pemasok). Memastikan bahwa desain rinci sudah termasuk SLA dan
OLA pihak internal dan eksternal.
Langkah keamanan informasi dimasukkan ke Base Practices (BP) 0%
BAI03-O1 dalam solusi dan mendukung tujuan bisnis 0% Membangun solusi.
dan operasional yang strategis. Memasang dan mengkonfigurasi solusi dan mengintegrasikan dengan kegiatan proses
bisnis. Mengimplementasikan langkah pengendalian, keamanan dan audit selama proses 1. Memverifikasi bahwa aspek keamanan informasi dimasukkan ke dalam not achieved
BAI03-BP5
konfigurasi/integrasi hardware dan software infrastruktur, untuk melindungi sumber daya pembangunan solusi.
dan memastikan ketersediaan dan integritas data. Memperbarui katalog layanan untuk
mencerminkan solusi baru.
Work Product (WP) BAI03-WP2 Desain keamanan informasi dalam komponen solusi not achieved
0%
Keluaran BAI03-WP5 Solusi yang aman not achieved
Merancang solusi high-level.

Mengembangkan dan mendokumentasikan desain tingkat tinggi menggunakan teknik
pengembangan rapid agile. Memastikan keselarasan dengan strategi TI dan arsitektur • BAI01-WP1: Persyaratan keamanan informasi pada studi
1. Mendefinisikan spesifikasi keamanan informasi agar sejalan dengan desain
BAI03-BP1 enterprise. Menilai kembali dan memperbarui desain ketika isu signifikan terjadi selama kelayakan not achieved
high-level.
desain rinci atau fase pembangunan atau disebut sebagai evolusi solusi. Memastikan • BAI02-WP1: Persyaratan keamanan informasi
bahwa pemangku kepentingan secara aktif berpartisipasi dalam desain dan menyetujui
setiap versi.
Mengembangkan komponen solusi.

Mengembangkan komponen solusi secara progresif sesuai dengan desain rinci termasuk
metode pengembangan, standar dokumentasi, persyaratan jaminan kualitas (QA) dan BAI03-WP2: Desain keamanan informasi dalam komponen 1. Memastikan bahwa komponen solusi mengintegrasikan praktik coding yang not achieved
BAI03-BP3
standar persetujuan. Memastikan bahwa semua persyaratan kontrol dalam proses bisnis solusi aman dan libraries infrastruktur yang aman.
mendukung penanganan aplikasi TI, layanan infrastruktur, layanan dan produk teknologi
dan mitra/pemasok TI.
Mengadakan komponen solusi.

Mengadakan komponen solusi berdasarkan rencana akuisisi sesuai dengan persyaratan
Base Practices (BP) 0% • BAI02-WP1: Persyaratan keamanan informasi 1. Memastikan bahwa persyaratan keamanan informasi sebagai bagian rencana not achieved
BAI03-BP4 dan desain rinci, prinsip dan standar arsitektur, prosedur pengadaan dan kontrak
• APO10-WP1: Kalatog pemasok pembelian dan penilaian keamanan informasi yang harus dilakukan.
enterprise secara keseluruhan, persyaratan QA dan standar persetujuan. Memastikan
bahwa semua persyaratan hukum dan kontrak diidentifikasi dan ditangani oleh pemasok.
Solusi keamanan informasi diterima dan telah

BAI03-O2 0% Melakukan penjaminan kualitas (QA)
diuji coba dengan sukses.
Mengembangkan, mengumpulkan sumber daya dan melaksanakan rencana QA yang 1. Memverifikasi bahwa aspek keamanan informasi dimasukkan ke dalam not achieved
BAI03-BP6 APO11-WP2: Standar kualitas keamanan informasi
selaras dengan sistem manajemen kualitas untuk mendapatkan mutu yang ditentukan jaminan kualitas.
dalam definisi persyaratan, kebijakan dan prosedur kualitas enterprise.
Mempersiapkan pengujian solusi.
Menetapkan rencana uji dan lingkungan yang dibutuhkan untuk menguji komponen solusi not achieved
BAI03-BP7 BAI02-WP1: Persyaratan keamanan informasi 1. Memasukkan kasus uji coba keamanan informasi ke dalam rencana pengujian.
individual dan terintegrasi, termasuk proses bisnis dan layanan pendukung, aplikasi dan
infrastruktur.
Mengeksekusi pengujian solusi.
Mengeksekusi pengujian selama masa pengembangan secara kontinu, termasuk 1. Memastikan keamanan informasi dari berbagai data produksi digunakan
APO01-WP4: Kebijakan terkait dengan keamanan not achieved
BAI03-BP8 pengujian kontrol. Melibatkan pemilik proses bisnis dan pengguna di tim pengujian. dalam kasus uji coba, termasuk penggunaan proses yang aman untuk
informasi
Mengidentifikasi, memasukkan ke dalam log dan memprioritaskan kesalahan dan masalah memprivatisasi data yang sensitif sebelum digunakan.
yang teridentifikasi selama pengujian.
BAI03-WP1 Spesifikasi keamanan informasi sejalan dengan desain high-level not achieved
BAI03-WP3 Praktik pemrograman dan libraries infrastruktur yang aman not achieved
Work Product (WP) BAI03-WP4 Persyaratan keamanan informasi dalam perencanaan pengadaan not achieved
0%
Keluaran
BAI03-WP6 Hasil kajian kualitas keamanan informasi, ekspektasi dan tindakan koreksi not achieved
BAI03-WP7 Uji petik keamanan informasi not achieved

BAI03-WP8 Laporan penerimaan keamanan not achieved
Mengelola perubahan pada persyaratan.

BAI03-BP9 Melacak status persyaratan individu (termasuk semua persyaratan yang ditolak) BAI02-WP1: Persyaratan keamanan informasi 1. Mengelola perubahan pada aspek keamanan informasi dan persyaratan. not achieved
sepanjang siklusnya dan mengelola persetujuan terhadap perubahan persyaratan.
Memelihara solusi.
Mengembangkan dan mengeksekusi rencana pemeliharaan solusi dan komponen 1. Memastikan bahwa pengubahan pada persyaratan keamanan informasi
Base Practices (BP) BAI03-BP10 not achieved
0% infrastruktur. Menyertakan kajian periodik terhadap kebutuhan bisnis dan persyaratan direfleksikan dalam pemeliharaan pengubahan solusi.
Perubahan dalam persyaratan keamanan operasional.
BAI03-O3 informasi digabungkan dalam solusi secara 0% Mendefinisikan layanan TI dan memelihara portofolio layanan. • Model enabler struktur organisasi: Peran dan tanggung 1. Mendefinisikan layanan keamanan informasi sesuai dengan kebutuhan bisnis
not achieved
benar. Mendefinisikan dan menyepakati layanan TI baru atau perubahan pada pilihan tingkat jawab dan kepatuhan terhadap peraturan.
BAI03-BP11
layanan. Mendokumentasikan definisi layanan baru atau perubahan yang terdapat dalam • Di luar COBIT 5 for IS: Visi/misi bisnis
portofolio layanan. • Di luar COBIT 5 for IS: Tujuan dan sasaran bisnis 2. Mendefinisikan proses keamanan informasi dalam layanan TI. not achieved
BAI03-WP9 Rekaman seluruh permintaan perubahan yang disetujui dan diaplikasikan not achieved
Work Product (WP)
0%
Keluaran BAI03-WP10 Solusi aman yang terbaru not achieved
BAI03-WP11 Layanan keamanan informasi not achieved
sejauh mana kinerja proses dikelola. 0% GP 2.1.1 not achieved
0%
0%
0% GR 2.1.3
dan umpan balik
(GR)
(GP)
0% dan umpan balik
(GR)
Generic Practices
(GP)
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
Generic Practices
(GP)
Product (GWP)
0%
0% GWP 3.0
dikendalikan. (GR)
Generic Practices
(GP)
persyaratan.
Generic Work
0%
0%
0% GP 2.2.3
0%
Generic Practices
(GP)
0% GWP 4.0
0%
Generic Practices
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
Generic Practices
(GR)
0% GP 3.1.5
(GP) standar.
0% 0%
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
c) Personil yang melakukan proses yang terdefinisi adalah GWP 1.0 Dokumentasi proses yang memberikan rincian kompetensi dan persyaratan pelatihan not achieved
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
sejauh mana hasil pengukuran yang Generic Practices
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0%
informasi proses.
sejauh mana hasil pengukuran yang
digunakan untuk memastikan bahwa
kinerja proses mendukung
pencapaian tujuan kinerja proses
yang relevan dalam mendukung

0% Generic Work
Product (GWP)
(GR)
GR 4.1.1
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0%

Generic Practices
(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

Generic Practices
(GP)
kinerja proses.
GR 4.1.1
0%

0% Generic Work
(GR)
Generic Practices
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
Generic Practices
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
0% GP 5.1.2
(GR)
Generic Practices
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
0%
Rekapitulasi

Nama Mengelola ketersediaan dan kapasitas Saat Ini - - - - - - - - - -
Nilai
Deskripsi Menyeimbangkan kebutuhan saat ini dan masa depan untuk ketersediaan, kinerja dan kapasitas dengan penyediaan layanan hemat biaya. Mencakup penilaian kemampuan saat ini, perkiraan kebutuhan masa depan berdasarkan kebutuhan bisnis, analisis dampak bisnis, penilaian risiko untuk merencanakan dan melaksanakan tindakan untuk memenuhi persyaratan yang teridentifikasi. -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Memelihara ketersediaan layanan, manajemen sumber daya yang efisien dan optimalisasi kinerja sistem melalui prediksi kinerja dan kapasitas kebutuhan masa depan. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
Proses tidak diimplementasikan
1 - Performed PA 1.1 Proses yang Menilai ketersediaan, kinerja dan kapasitas saat ini serta membuat dasar
diimplementasikan mencapai
pengembangannya.
tujuannya.
Menilai ketersediaan, kinerja dan kapasitas layanan dan sumber daya untuk memastikan 1. Mengidentifikasi isu keamanan informasi teknikal dan prosedural yang terkait not achieved
BAI04-BP1 APO02-WP2: Kemampuan keamanan informasi
bahwa kapasitas biaya dan kinerja yang tersedia dapat mendukung dan memberikan ketersediaan, kinerja dan kapasitas.
kebutuhan bisnis sesuai SLA. Membuat dasar pengembangan ketersediaan, kinerja dan
kapasitas untuk masa depan.
Base Practices (BP) 0% Mengawasi dan mengkaji ketersediaan dan kapasitas.

Persyaratan keamanan informasi dimasukkan
Mengawasi, mengukur, menganalisis, melaporkan dan mengkaji ketersediaan, kinerja dan
BAI04-O1 ke dalam rencana manajemen ketersediaan, 0%
BAI04-BP4 kapasitas. Mengidentifikasi penyimpangan dari baseline yang telah ditentukan. Mengkaji tidak relevan
kinerja dan kapasitas.
laporan analisis tren, isu dan varians yang signikan, memulai tindakan jika diperlukan dan
memastikan bahwa semua isu yang beredar ditindaklanjuti.
Menginvestigasi dan mengatasi isu ketersediaan, kinerja dan kapasitas.
1. Menilai dan menginvestigasu isu keamanan informasi yang berdampak pada
BAI04-BP5 Mengatasi penyimpangan dengan cara menginvestigasi dan mengatasi isu ketersediaan, not achieved
ketersediaan, kinerja dan kapasitas.
kinerja dan kapasitas yang teridentifikasi.
Work Product (WP) Daftar isu teknis dan prosedural keamanan informasi yang terkait dengan ketersediaan, not achieved
0% BAI04-WP1
kinerja dan kapasitas
Keluaran
BAI04-WP4 Tindakan perbaikan untuk mengurangi isu kapasitas yang terbaru not achieved
Menilai dampak bisnis.

Mengidentifikasi layanan yang penting bagi enterprise, memetakan layanan dan sumber
BAI04-WP1: Daftar isu teknis dan prosedural
daya untuk proses bisnis dan mengidentifikasi ketergantungan bisnis. Memastikan bahwa 1. Menilai dampak keamanan informasi pada ketidaktersediaan, ketidakkinerjaan not achieved
BAI04-BP2 keamanan informasi yang terkait dengan ketersediaan,
dampak dari tidak tersedianya sumber daya diterima dan disepakati oleh pelanggan dan kekurangan kapasitas yang potensial.
kinerja dan kapasitas
sepenuhnya. Memastikan bahwa persyaratan ketersediaan sesuai SLA dapat dipenuhi
Dampak keamanan informasi pada untuk fungsi bisnis yang vital.
BAI04-O2 ketersediaan, kinerja dan kapasitas diawasi 0%
dan dioptimalkan. Merencanakan persyaratan layanan yang baru atau perubahan. • BAI02-WP1: Persyaratan keamanan informasi
1. Menilai dampak persyaratan layanan baru atau perubahan pada keamanan not achieved
BAI04-BP3 Merencanakan dan memprioritaskan implikasi perubahan kebutuhan bisnis dan • BAI04-WP2: Penilaian dampak keamana informasi
informasi.
persyaratan layanan terhadap ketersediaan, kinerja dan kapasitas. terhadap ketersediaan, kinerja dan kapasitas
Work Product (WP) BAI04-WP2 Penilaian dampak keamana informasi terhadap ketersediaan, kinerja dan kapasitas not achieved
0%
Keluaran
BAI04-WP3 Persyaratan keamanan informasi yang terbaru not achieved
sejauh mana kinerja proses 0% GP 2.1.1 not achieved
dikelola.
0%
0%
0% GR 2.1.3
(GP)
0% dan umpan balik
(GR)
Generic Practices
(GP)
0%
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
Generic Practices
(GP)
Product (GWP)
0%
0% GWP 3.0
(GP)
persyaratan.
Generic Work
0%
0%
0% GP 2.2.3
0%
(GP)
0% GWP 4.0
0%
Generic Practices
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
sejauh mana hasil pengukuran Generic Practices
yang digunakan untuk memastikan a) Kebutuhan informasi proses dalam mendukung tujuan (GP)
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0% GP 4.1.2
0% Generic Work
Product (GWP)
(GR)
GR 4.1.1
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0%

Generic Practices
(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

Generic Practices
(GP)
kinerja proses.
GR 4.1.1
0%
(GR)
0%
kinerja proses.
Generic Resource
0%

(GR)
Generic Practices
(GP)
(GR)
Generic Practices
(GP)
variasi. 0% GWP 9.0
0%
Generic Practices
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
proses teridentifikasi dari analisis a) Tujuan peningkatan proses terdefinisikan untuk 0% Generic Work Rencana perbaikan proses yang memberikan rincian tujuan perbaikan proses dan tindakan not achieved
0% GWP 7.0
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi

Nama Mengelola pemberdayaan perubahan organisasi Saat Ini - - - - - - - - - -
Memaksimalkan kemungkinan berhasil menerapkan perubahan organisasi lingkup enterprise secara berkelanjutan dengan cepat dan dengan penurunan risiko, mencakup siklus perubahan dan semua pemangku kepentingan yang terkena dampak dalam bisnis dan TI. Nilai
Deskripsi -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Menyiapkan dan mendapatkan komitmen pemangku kepentingan untuk perubahan bisnis dan mengurangi risiko kegagalan. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
1 - Performed PA 1.1 Proses yang diimplementasikan Mengkomunikasikan visi yang diinginkan.
mencapai tujuannya.
Mengkomunikasikan visi yang diinginkan untuk perubahan dalam bahasa yang mudah
• APO02-WP9: Rencana keamanan informasi 1. Mengkomunikasikan visi keamanan informasi dalam rangka mendukung visi not achieved
BAI05-BP3 dipahami. Komunikasi harus dibuat oleh manajemen senior dan termasuk alasan dan
• Di luar COBIT 5 for IS: Pernyataan visi/misi organisasi organisasi.
manfaat perubahan serta dampak tidak membuat perubahan serta keterlibatan yang
diperlukan dari berbagai pemangku kepentingan.
Mengoperasikan dan gunakan.

Peringatan keamanan informasi dan tren Base Practices (BP) 0% Merencanakan dan mengimplementasikan semua aspek teknis, operasional dan
digunakan secara efektif untuk menerapkan BAI05-BP5 BAI05-WP5: Daftar kesuksesan jangka pendek yang potensial 1. Mengembangkan langkah keamanan informasi yang praktis. not achieved
penggunaan sedemikian rupa sehingga semua orang yang terlibat dalam lingkungan masa
BAI05-O1 perubahan dalam enterprise dan 0%
depan enterprise dapat melaksanakan tanggung jawabnya.
mempengaruhi budaya enterprise pada
budaya keamanan informasi. Mempertahankan perubahan.
Mempertahankan perubahan melalui pelatihan yang efektif untuk staf baru, kampanye 1. Menginformasikan dan melatih pegawai baru dan memberikan sesi not achieved
BAI05-BP7
komunikasi yang sedang berlangsung, dilanjutkan dengan komitmen manajemen puncak, pengingat ulang mengenai kesadaran keamanan informasi.
adopsi pengawasan dan berbagi pengetahuan di seluruh bagian enterprise.
BAI05-WP4 Rencana komunikasi visi keamanan informasi not achieved
Work Product (WP)
0% BAI05-WP6 Langkah keamanan informasi yang praktis not achieved
Keluaran
BAI05-WP8 Kajian penggunaan operasional not achieved
1. Membangun budaya keamanan informasi yang proaktif. not achieved
Membangun keinginan untuk berubah. 2. Mengidentifikasi dan mengkomunikasikan titik pantau atau kritis dan
Memahami ruang lingkup dan dampak rencana perubahan dan kesiapan/kesediaan perilaku yang diinginkan, memasukkan perubahan yang dibutuhkan untuk not achieved
• APO01-WP4: Kebijakan yang terkait keamanan informasi
BAI05-BP1 pemangku kepentingan untuk berubah. Mengidentifikasi tindakan untuk memotivasi para mengatasi titik tersebut.
pemangku kepentingan untuk menerima dan ingin membuat perubahan pekerjaan dengan 3. Memberikan kepemimpinan yang visioner melalui komitmen eksekutif (level
sukses. chief, level pimpinan) terhadap keamanan informasi dalam rangka memberikan not achieved
perubahan.
1. Merancang profesional keamanan informasi yang berkualitas untuk melayani
Membentuk tim implementasi yang efektif not achieved
tim implementasi.
BAI05-BP2 Membentuk tim implementasi yang efektif dengan menggabungkan anggota yang tepat, Di luar COBIT 5 for IS: Keahlian personil
menciptakan kepercayaan, menetapkan tujuan umum dan langkah-langkah yang efektif. not achieved
2. Mengembangkan visi yang umum untuk tim keamanan informasi.
Memberdayakan peran dan mengidentifikasi kesuksesan jangka pendek.

1. Menyelaraskan praktik keamanan informasi demi mendukung visi. not achieved
Base Practices (BP) Memberdayakan peran yang terlibat dalam implementasi dengan memastikan • APO02-WP9: Rencana keamanan informasi
0%
BAI05-BP4 akuntabilitas, memberikan pelatihan, menyelaraskan struktur organisasi dan proses SDM. • APO02-WP7: Road map strategis keamanan informasi
Mengidentifikasi dan mengkomunikasikan kesuksesan jangka pendek yang dapat • BAI05-WP4: Rencana komunikasi visi keamanan informasi 2. Menetapkan tanggung jawab yang jelas untuk setiap orang yang berada
direalisasikan. not achieved
Protokol keamanan informasi direvisi dan dalam tim dan memasukkan kriteria kinerja untuk membentuk akuntabilitas.
BAI05-O2 disempurnakan sebagai perubahan enterprise 0%
melalui kesadaran keamanan informasi. Mengoperasikan dan gunakan.
Merencanakan dan mengimplementasikan semua aspek teknis, operasional dan not achieved
BAI05-BP5 BAI05-WP5: Daftar kesuksesan jangka pendek yang potensial 1. Mengembangkan langkah keamanan informasi yang praktis.
penggunaan sedemikian rupa sehingga semua orang yang terlibat dalam lingkungan masa
depan enterprise dapat melaksanakan tanggung jawabnya.
Menanamkan pendekatan baru.

Menanamkan pendekatan baru dengan pelacakn perubahan yang diimplementasikan,
1. Menindaklanjuti kesadaran keamanan informasi dalam aktivitas sehari-hari not achieved
BAI05-BP6 menilai efektivitas rencana operasi dan penggunaan dan mempertahankan kesadaran BAI05-WP6: Langkah keamanan informasi yang praktis
dan mengadaptasi langkah-langkah yang perlu dilakukan.
yang sedang berlangsung melalui komunikasi yang teratur. Mengambil tindakan korektif
yang sesuai, termasuk menegakkan kepatuhan.
BAI05-WP1 Rencana komunikasi dengan manajemen senior not achieved
BAI05-WP2 Proses kontrol perubahan yang disetujui dan sejalan dengan pedoman best practice not achieved
0% BAI05-WP3 Tim implementasi keamanan informasi
Keluaran
BAI05-WP5 Daftar kesuksesan jangka pendek yang potensial not achieved
BAI05-WP6 Langkah keamanan informasi yang praktis not achieved
BAI05-WP7 Praktik operasinal keamanan infomasi not achieved
0%
0%
0% GR 2.1.3
(GP)
0% dan umpan balik
(GR)
Generic Practices
(GP)
0%
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
0% GWP 3.0
secara tepat. Work produt (atau output Product (GWP) product.
dari proses) didefinisikan dan Generic Resource not achieved
dikendalikan. (GR)
Generic Practices
(GP)
persyaratan.
Generic Work
0% GWP 3.0
0%
0% GP 2.2.3
0%
Generic Practices
(GP)
0% GWP 4.0
0%
3 - Established PA 3.1 Definisi Proses - Ukuran sejauh Mendefinisikan proses standar yang akan mendukung penyebaran proses yang
Generic Practices
mana proses standar dipertahankan 0% GP 3.1.1 didefinisikan. Sebuah proses standar didefinisikan untuk mengidentifikasi elemen proses not achieved
(GP)
untuk mendukung penyebaran dari fundamental serta memberikan pedoman dan prosedur.
proses yang didefinisikan. a) Proses standar, termasuk pedoman yang dibuat sendiri Generic Work Kebijakan dan standar yang memberikan rincian tujuan organisasi untuk proses, standar
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0% not achieved
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% 0%
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
kinerja proses mendukung pencapaian bisnis yang relevan tersusun. 0%
tujuan kinerja proses yang relevan Generic Work Rencana peningkatan proses yang memberikan tujuan peningkatan proses dan tindakan not achieved
0% GWP 6.0
dalam mendukung tujuan bisnis yang Product (GWP) perbaikan yang diusulkan
didefinisikan. Generic Resource Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko not achieved
0% GR 4.1.1
(GR) dll)
0% Generic Work
Product (GWP)
(GR)
0% GP 4.1.3
0% dll)
(GR)
0% GP 4.1.4
dll)
Generic Resource
0%

Generic Resource
0%
(GR)
(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

Generic Practices
(GP)
kinerja proses.
GR 4.1.1
0%

PA 4.2 Kontrol Proses - Ukuran sejauh
mana proses secara kuantitatif 0% GP 4.2.1 not achieved
berhasil menghasilkan sebuah proses
yang stabil, mampu dan dapat a) Teknik analisis dan kontrol ditentukan dan diterapkan GWP 1.0 Dokumentasi proses yang memberikan rincian kontrol (matriks kontrol) not achieved
0% Generic Work
diprediksi dalam batas yang jika memungkinkan. 0% Rencana kontrol proses yang ada untuk menspesifikasikan setiap pendekatan pengukuran
ditentukan. proses
(GR)
Generic Practices
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
Generic Practices
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
5 - Optimizing PA 5.1 Inovasi Proses - Ukuran sejauh Generic Practices Mendefinisikan tujuan perbaikan proses untuk proses yang mendukung tujuan bisnis yang not achieved
0% GP 5.1.1
mana perubahan untuk proses (GP) relevan. Arah inovasi proses ditetapkan.
teridentifikasi dari analisis penyebab a) Tujuan peningkatan proses terdefinisikan untuk Generic Work Rencana perbaikan proses yang memberikan rincian tujuan perbaikan proses dan tindakan
umum dari variasi dalam kinerja, dan mendukung tujuan bisnis yang relevan. Product (GWP) perbaikan yang diusulkan
dari penyelidikan pendekatan inovatif Generic Resource not achieved
untuk definisi dan penyebaran proses. (GR)
0% GP 5.1.2
(GR)
Generic Practices
(GP)
industri.
0%
(GR)
(GP)
0%
Generic Practices
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi

Nama Mengelola perubahan Saat Ini - - - - - - - - - -
Mengelola semua perubahan dalam cara yang terkontrol, termasuk perubahan standar dan pemeliharaan darurat yang berkaitan dengan proses bisnis, aplikasi dan infrastruktur. Hal ini termasuk standar perubahan dan prosedur, penilaian dampak, prioritas dan otorisasi, perubahan darurat, pelacakan, pelaporan, penutupan dan dokumentasi. Nilai
Deskripsi -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Memberikan perubahan secara cepat dan handal pada bisnis dan mitigasi risiko yang berdampak negatif pada stabilitas atau integritas lingkungan yang berubah. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
1 - Performed PA 1.1 Proses yang diimplementasikan 1. Memastikan bahwa penilaian dampak yang potensial dari perubahan not achieved
mencapai tujuannya. pada keamanan informasi dilakukan.
Mengevaluasi, memprioritaskan dan mengotorisasi permintaan perubahan.
Mengevaluasi semua permintaan perubahan untuk menentukan dampak pada proses 2. Memastikan bahwa kebijakan keamanan informasi mudah diadaptasi
not achieved
bisnis dan layanan TI, menilai apakah perubahan akan mempengaruhi lingkungan untuk mencapai tujuan bisnis dalam enterprise.
BAI06-BP1 APO01-WP4: Kebijakan yang terkait keamanan informasi
operasional dan memperkenalkan risiko yang tidak dapat diterima. Memastikan bahwa 3. Memastikan bahwa perubahan sesu dengan kebijakan keamanan not achieved
perubahan akan tercatat, diprioritaskan, dikategorikan, dinilai, diotorisasi, direncanakan informasi.
dan dijadwalkan.
4. Mengembangkan praktik untuk mempertimbangka dampak keamanan not achieved
Persyaratan keamanan informasi dimasukkan Base Practices (BP) 0% informasi pada tren dan teknologi yang muncul.
BAI06-O1 ke dalam penilaian dampak proses, aplikasi 0%
Melacak dan melaporkan status perubahan.
dan infrastruktur.
Memelihara sistem pelacakan dan pelaporan untuk mendokumentasikan perubahan yang
1. Mengatasi isu kinerja dan kapasitas potensial yang dihasilkan dari not achieved
BAI06-BP3 ditolak, mengkomunikasikan status perubahan yang disetujui, dalam proses dan lengkap.
perubahan keamanan informasi yang diusulkan.
Memastikan bahwa perubahan yang disetujui dapat diimplementasikan sesuai yang
direncanakan.
Menyelesaikan dan mendokumentasikan perubahan.
BAI06-BP4 Kapanpun perubahan diimplementasikan, perbarui dokumentasi dan prosedur solusi untuk tidak relevan
pengguna yang terpengaruh oleh perubahan.
Work Product (WP) BAI06-WP1 Penilaian dampak not achieved
0%
Keluaran BAI06-WP3 Laporan status permintaan perubahan yang terbaru not achieved
1. Mengembangkan langkah-langkah yang dapat mengatasi perubahan
Mengelola perubahan yang darurat. dan pemeliharaan darurat tanpa membahayakan aspek keamanan not achieved
Base Practices (BP) Mengelola perubahan darurat dengan hari-hati untuk meminimalkan insiden lebih lanjut informasi.
Perubahan yang darurat dimasukkan ke dalam 0% BAI06-BP2
dan pastikan perubahan tersebut dikendalikan dan berlangsung aman. Memastikan bahwa 2. Untuk memastikan tindakan lanjutan yang tepat, pelihara register
BAI06-O2 persyaratan keamanan informasi yang 0%
perubahan darurat dinilai dan disahkan secara tepat setelah perubahan. risiko informasi ketika risiko baru ditunjukkan dalam perubahan yang not achieved
penting.
darurat
0% BAI06-WP2 Kajian keamanan informasu pasca implementasi dari perubahan darurat
Keluaran
0%
0%
0% dan umpan balik
(GR)
Generic Practices
(GP)
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
0%
Generic Practices
(GP)
0% GWP 2.0
Generic Resource
(GR)
Generic Practices
(GP)
Product (GWP)
0%
0% GWP 3.0
dikendalikan. (GR)
(GP)
persyaratan.
Generic Work
0% GWP 3.0
0%
0% GP 2.2.3
0%
Generic Practices
(GP)
0% GWP 4.0
0%
mana proses standar dipertahankan 0% GP 3.1.1 didefinisikan. Sebuah proses standar didefinisikan untuk mengidentifikasi elemen proses
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% 0%
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0% Generic Work
Product (GWP)
(GR)
0% dll)
(GR)
0% GP 4.1.4
dll)
Generic Resource
0%

Generic Practices
(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

Generic Practices
(GP)
f) Hasil pengukuran digunakan untuk menggambarkan Generic Work Rekaman kinerja proses yang memberikan rincian pengukuran yang dikumpulkan dan not achieved
0% GWP 9.0
kinerja proses.
GR 4.1.1
0%

mana proses secara kuantitatif 0% GP 4.2.1
0% Generic Work
ditentukan. proses
(GR)
Generic Practices
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
Generic Practices
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
teridentifikasi dari analisis penyebab a) Tujuan peningkatan proses terdefinisikan untuk 0% Generic Work Rencana perbaikan proses yang memberikan rincian tujuan perbaikan proses dan tindakan not achieved
0% GWP 7.0
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
0%
Rekapitulasi

Nama Mengelola penerimaan dan transisi perubahan Saat Ini - - - - - - - - - -
Deskripsi Secara resmi menerima dan membuat solusi baru operasional, termasuk perencanaan implementasi, konversi sistem dan data, pengujian penerimaan, komunikasi, persiapan rilis, promosi untuk produksi proses bisnis baru atau perubahan dan layanan TI, dukungan produksi awal dan kajian pasca implementasi. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Mengimplemtasikan solusi secara aman dan sejalan dengan ekspektasi dan outcome yang disetujui. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
Membangun rencana implementasi.
mencapai tujuannya.
Membangun rencana implementasi yang meliputi konversi sistem dan data, kriteria
1. Memasukkan aspek keamanan informasi pada rencana implementasi penerimaan dan not achieved
BAI07-BP1 pengujian penerimaan, komunikasi, pelatihan, persiapan rilis, promosi produksi, dukungan Di luar COBIT 5 for IS: Rencana implementasi TI
transisi.
produksi awal, rencana kegagalan dan kajian pasca implementasi. Memperoleh
persetujuan dari pihak-pihak terkait.
Merencanakan uji coba penerimaan.
Menyusun rencana uji coba berdasarkan standar enterprise yang mendefinisikan peran, 1. Memastikan bahwa uji coba penerimaan keamanan informasi sebagai bagian dari not achieved
BAI07-BP3 Di luar COBIT 5 for IS: Rencana uji coba
tanggung jawab, kriteria masuk dan keluar. Memastikan bahwa rencana tersebut disetujui rencana pengujian.
Base Practices (BP) 0% oleh pihak terkait.
Membentuk lingkungan uji coba.
Pengujian keamanan informasi sebagai bagian Mendefinisikan dan membangun perwakilan lingkungan uji coba yang aman dari proses
BAI07-O1 0% 1. Memastikan bahwa keamanan informasi yang tepat ditempatkan pada lingkungan
integral pengujian penerimaan. BAI07-BP4 bisnis yang direncanakan dan lingkungan operasional TI, kinerja dan kapasitas, keamanan, Di luar COBIT 5 for IS: Arsitektur data dan lingkungan uji coba not achieved
pengujian (seperti: data sensitif)
pengendalian internal, praktek operasional, kualitas data dan persyaratan privasi, serta
beban kerja.
Melakukan uji coba penerimaan.
BAI07-BP5 Menguji perubahan secara independen sesuai dengan rencana uji coba yang telah Di luar COBIT 5 for IS: Uji coba penerimaan 1. Mengembangkan dan melakukan uji coba penerimaan keamanan informasi. not achieved
ditentukan sebelum migrasi ke lingkungan operasional atau live.
BAI07-WP1 Rencana implementasi TI yang terbaru not achieved

Work Product (WP) BAI07-WP2 Langkah penerapan keamanan informasi dalam lingkungan uji coba not achieved
0%
Keluaran BAI07-WP3 Lingkungan uji coba yang aman not achieved
BAI07-WP4 Uji coba penerimaan yang terbaru not achieved
Merencanakan konversi proses bisnis, sistem dan data.
Mempersiapkan migrasi proses bisnis, layanan TI, data dan infrastruktur sebagai bagian
dari metode pengembangan enterprise, termasuk audit dan rencana pemulihan ketika
terjadi kegagalan.
Mempromosikan siap untuk status production dan mengelola rilis.
Mempromosikan solusi yang diterima terhadap bisnis dan operasi. Apabila diperlukan,
jalankan solusi baru sebagai implementasi percontohan dan membandingkannya dengan 1. Memastikan bahwa keamanan informasi dikelola selama tahap promosi kepada not achieved
BAI07-BP6 Di luar COBIT 5 for IS: Rencana rilis
solusi lama secara paralel untuk melihat perbandingkan perilaku dan hasil. Jika masalah manajemen produksi dan rilis.
yang signifikan terjadi maka kembalikan ke lingkungan yang lama berdasarkan rencana
kegagalan. Mengelola rilis komponen solusi.
Bbase Practices (BP) 0%
Pengujian keamanan informasi sebagai bagian
BAI07-O2 0% Menyediakan dukungan produksi awal.
integral pengujian penerimaan.
BAI07-BP7 Menyediakan dukungan awal untuk pengguna dan operasi TI dalam jangka waktu yang tidak relevan
telah disepakati untuk menangani masalah dan membantu menstabilkan solusi baru.
Melakukan kajian pasca implementasi.

Melakukan kajian pasca implementasi untuk mengkonfirmasi hasil dan outcome,
mengidentifikasi pelajaran yang dapat diambil dan mengembangkan rencana tindakan. not achieved
BAI07-BP8 Di luar COBIT 5 for IS: Laporan kajian pasca implementasi 1. Memastikan bahwa keamanan informasi dimasukkan dalam kajian pasca impementasi.
Mengevaluasi dan memeriksa kinerja aktual dan outcome dari layanan baru atau
perubahan terhadap kinerja dan outcome yang diprediksi (yaitu, pelayanan yang
diharapkan oleh pengguna atau pelanggan).
Work Product (WP) BAI07-WP5 Rencana rilis yang terbaru not achieved
0%
Keluaran BAI07-WP6 Laporan kajian pasca implementasi yang terbaru not achieved
0%
0%
0% GP 2.1.2
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
yang tepat.
GR 2.1.3
0% dan umpan balik
(GR)
(GP)
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
Ukuran sejauh mana work product yang (GP)
dihasilkan oleh proses dikelola secara a) Persyaratan work product dari proses terdefinisi. 0% Generic Work Rencana kualitas yang memberikan detil kriteria kualitas serta isi dan struktur work not achieved
0% GWP 3.0
tepat. Work produt (atau output dari Product (GWP) product.
proses) didefinisikan dan dikendalikan. Generic Resource not achieved
(GR)
(GP)
persyaratan.
Generic Work
0%
0%
0% GP 2.2.3
0%
(GP)
0%
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0% GP 4.1.2
0% Generic Work
Product (GWP)
(GR)
0% GP 4.1.3
GR 4.1.1
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0%

(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

(GP)
kinerja proses.
GR 4.1.1
0%

mana proses secara kuantitatif berhasil 0% GP 4.2.1
mampu dan dapat diprediksi dalam a) Teknik analisis dan kontrol ditentukan dan diterapkan GWP 1.0 Dokumentasi proses yang memberikan rincian kontrol (matriks kontrol) not achieved
0% Generic Work
batas yang ditentukan. jika memungkinkan. 0% Rencana kontrol proses yang ada untuk menspesifikasikan setiap pendekatan pengukuran
proses
(GR)
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
mencapai tujuan perbaikan proses yang Generic Resource GR 5.2.1 Sistem manajemen perubahan not achieved
0%
relevan. (GR) GR 5.2.2 Sistem evaluasi proses (analisis dampak dll) not achieved
0% GP 5.2.2
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi

Nama Mengelola pengetahuan Saat Ini - - - - - - - - - -
Deskripsi Memelihara ketersediaan pengetahuan yang relevan, terkini, tervalidasi dan dapat diandalkan untuk menunjang aktivitas proses dan untuk memfasilitasi pengambilan keputusan. Merencanakan untuk pengidentifikasian, pengumpulan, pengaturan, pemeliharaan, penggunaan dan penonaktifan pengetahuan. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Memberikan pengetahuan yang diperlukan untuk mendukung semua staf dalam aktivitas kerja dan untuk pengambilan keputusan serta meningkatkan produktivitas. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
1 - Performed PA 1.1 Proses yang 1. Memastikan bahwa langkah-langkah yang tepat untuk pencegahan not achieved
diimplementasikan mencapai Memelihara dan memfasilitasi budaya berbagi pengetahuan. kehilangan data ditempatkan dengan benar.
tujuannya. APO01-WP5: Pelatihan dan program kesadaran keamanan 2. Memberikan pelatihan kesadaran keamanan informasi dibandingkan dengan
BAI08-BP1 Menyusun dan mengimplementasikan skema untuk memelihara dan memfasilitasi budaya not achieved
informasi berbagi informasi.
berbagi pengetahuan.
3. Memasukkan pertimbangan keamanan informasi ke dalam siklus hidup not achieved
informasi enterprise.
Mengidentifikasi dan mengklasifikasi sumber informasi. 1. Mendukung penggunaan dan berbagi informasi dengan memperhatikan not achieved
Mengidentifikasi, memvalidasi dan mengklasifikasikan berbagai sumber informasi internal klasifikasi dan sensitivitasnya.
BAI08-BP2
dan eksternal yang diperlukan untuk penggunaan dan pengoperasian yang efektif dari 2. Mengembangkan struktur untuk mengkategorikan sistem. not achieved
proses bisnis dan layanan TI. 3. Mengembangkan struktur untuk mengklasifikasikan informasi. not achieved
Mengatur dan mengubah informasi menjadi pengetahuan.
Mengatur informasi berdasarkan kriteria klasifikasi. Mengidentifikasi dan menciptakan
1. Memetakan peran untuk bidang pengetahuan dan memastikan bahwa not achieved
BAI08-BP3 hubungan yang bermakna antara unsur informasi dan penggunaan informasi.
kontrol akses yang tepat ditempatkan pada informasi yang relevan.
Mengidentifikasi pemilik, mendefinisikan dan mengimplementasikan tingkat akses ke
sumber pengetahuan.
Menggunakan dan berbagi pengetahuan.
Berbagi pengetahuan didukung dengan 1. Memastikan langkah yang tepat untuk mencegah kehilangan data. not achieved
BAI08-O1 0% Menyebarkan sumber daya pengetahuan yang tersedia untuk pemangku kepentingan yang
perlindungan yang tepat. BAI08-BP4 relevan dan berkomunikasi bagaimana sumber daya tersebut dapat digunakan untuk
memenuhi kebutuhan yang berbeda (misalnya: pemecahan masalah, pembelajaran, 2. Menerapkan kontrol akses melalui penggunaan kebijakan dan proses untuk not achieved
perencanaan strategis dan pengambilan keputusan). membatasi penggunaan yang tidak sah dan berbagi informasi.
1. Membuang informasi secara aman. Termasuk penghapusan ketertelusuran not achieved
(isu data pribadi / privasi).
Mengevaluasi dan menonaktifkan informasi. 2. Memelihara dan mendokumentasikan jejak audit untuk informasi yang not achieved
BAI08-BP5 Mengukur penggunaan dan mengevaluasi informasi yang ada dan relevan. Menonaktifkan padat/dapat diterima.
informasi yang usang. 3. Menyelaraskan langkah-langkah keamanan informasi yang relevan dengan not achieved
klasifikasi.
4. Mengembangkan kebijakan dan proses penghancuran informasi yang aman. not achieved
BAI08-WP1 Langkah pencegahan kehilangan data not achieved

BAI08-WP2 Klasifikasi sumber informasi yang terbaru not achieved
Work Product (WP)
0% BAI08-WP3 Penampung pengetahuan yang dipublikasikan not achieved
Keluaran
BAI08-WP4 Kontrol akses yang terbaru not achieved
BAI08-WP5 Aturan penonaktifan pengetahuan yang terbaru not achieved
0%
0%
GR 2.1.3
0% dan umpan balik
(GR)
Generic Practices
(GP)
0% dan umpan balik
(GR)
Generic Practices
(GP)
0%
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
Generic Practices
(GP)
Product (GWP)
0%
0% GWP 3.0
dikendalikan. (GR)
(GP)
persyaratan.
Generic Work
terdefinisi.
0%
0% GP 2.2.3
0%
(GP)
0% GWP 4.0
0%
Generic Practices
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0% not achieved
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0% Generic Work
Product (GWP)
(GR)
0% dll)
(GR)
0% GP 4.1.4
dll)
Generic Resource
0%

Generic Practices
(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

Generic Practices
(GP)
kinerja proses.
GR 4.1.1
0%
(GR)
0%
kinerja proses.
Generic Resource
0%

0% Generic Work
ditentukan. proses
(GR)
Generic Practices
(GP)
(GR)
Generic Practices
(GP)
variasi. 0% GWP 9.0
0%
Generic Practices
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
0% GWP 7.0
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi

Nama Mengelola aset Saat Ini - - - - - - - - - -
Mengelola aset TI melalui siklusnya untuk memastikan bahwa penggunaannya memberikan nilai pada biaya yang optimal, beroperasi sesuai tujuan, dilindungi secara fisik dan aset yang sangat penting mendukung kemampuan layanan yang dapat diandalkan dan tersedia . Mengelola lisensi perangkat lunak untuk memastikan bahwa jumlahnya optimal, dipertahankan dan digunakan sesuai dengan Nilai
Deskripsi penggunaan bisnis yang diperlukan dan perangkat lunak yang dipasang sesuai dengan perjanjian lisensi. -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Menghitung seluruh aset TI dan mengoptimalkan nilai yang dapat diberikan. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
1 - Performed PA 1.1 Proses yang Mengidentifikasi dan merekam aset yang ada saat ini. 1. Mengidentifikasi ketergantungan antar aset. not achieved
diimplementasikan mencapai Memelihara rekaman seluruh aset TI yang terbaru dan akurat serta yang dibutuhkan 2. Mengidentifikasi persyaratan keamanan informasi untuk aset saat ini dan
BAI09-BP1 Di luar COBIT 5 for IS: Inventori aset not achieved
tujuannya. untuk memberikan layanan dan memastikan keselarasan dengan manajemen memperhitungkan ketergantungan.
konfigurasi dan manajemen keuangan. 3. Mendefinisikan keamanan informasi untuk aset TI, data dan formulir, dll. not achieved
Mengelola aset yang kritikal. 1. Mendefinisikan tingkat kekritisan dan mengidentifikasi kekritisan aset not achieved
Mengidentifikasi aset yang kritikal dalam pemberian kemampuan layanan dan BAI09-WP1: Persyaratan keamanan informasi untuk dalam daftar aset.
BAI09-BP2
mengambil langkah untuk memaksimalkan keandalan dan ketersediaannya demi aset TI
2. Menerapkan persyaratan keamanan informasi pada aset. not achieved
mendukung kebutuhan bisnis.
Mengelola siklus aset. 1. Mengidentifikasi dan mengkomunikasikan risiko keamanan informasi not achieved
BAI09-BP3 Mengelola aset dari pengadaan sampai dengan pemusnahan agar aset dimanfaatkan BAI09-WP3: Tingkat kekritisan aset TI karena ketidakpatuhan terkait dengan siklus hidup aset.
seefektif dan seefisien mungkin, dicatat dan dilindungi secara fisik. 2. Memastikan bahwa langkah-langkah keamanan informasi dan not achieved
persyaratan terpenuhi sepanjang siklus hidup.
Seluruh aset yang diperoleh sesuai dengan
BAI09-O1 0% Mengoptimalkan biaya aset.
persyaratan keamanan informasi.
BAI09-BP4 Meninjau basis aset keseluruhan Secara teratur untuk mengidentifikasi cara tidak relevan
pengoptimalan biaya dan menjaga keselarasan dengan kebutuhan bisnis.
Mengelola lisensi. 1. Menetapkan prosedur untuk mengendalikan instalasi perangkat lunak not achieved
Mengelola lisensi perangkat lunak sehingga jumlah optimal lisensi dipertahankan untuk dan aset TI lainnya.
BAI09-BP5
mendukung kebutuhan bisnis dan jumlah lisensi yang dimiliki cukup untuk mengatasi
kebutuhan perangkat lunak yang diperlukan. 2. Melakukan pemeriksaan jaringan secara reguler untuk perangkat lunak not achieved
yang tidak sah.
BAI09-WP1 Persyaratan keamanan informasi untuk aset TI not achieved
BAI09-WP2 Hasil pemeriksaan fisik penampungan aset not achieved
Work Product (WP)
0% BAI09-WP3 Tingkat kekritisan aset TI not achieved
Keluaran
BAI09-WP4 Prosedur manajemen aset yang terbaru not achieved
BAI09-WP5 Registrasi lisensi perangkat lunak yang terbaru not achieved
Base Practices (BP) 0% BAI09-BP3 Mengelola aset dari pengadaan sampai dengan pemusnahan agar aset dimanfaatkan BAI09-WP3: Tingkat kekritisan aset TI karena ketidakpatuhan terkait dengan siklus hidup aset.
Seluruh aset diperuntukkan bagi peran dan 2. Memastikan bahwa langkah-langkah keamanan informasi dan
BAI09-O2 0% seefektif dan seefisien mungkin, dicatat dan dilindungi secara fisik. not achieved
tanggung jawab tertentu. persyaratan terpenuhi sepanjang siklus hidup.
0% BAI09-WP4 Prosedur manajemen aset yang terbaru
Keluaran
BAI09-BP3 Mengelola aset dari pengadaan sampai dengan pemusnahan agar aset dimanfaatkan BAI09-WP3: Tingkat kekritisan aset TI karena ketidakpatuhan terkait dengan siklus hidup aset.
seefektif dan seefisien mungkin, dicatat dan dilindungi secara fisik. 2. Memastikan bahwa langkah-langkah keamanan informasi dan not achieved
persyaratan terpenuhi sepanjang siklus hidup.
Mekanisme keamanan informasi Base Practices (BP) 0%
Mengelola lisensi. 1. Menetapkan prosedur untuk mengendalikan instalasi perangkat lunak
BAI09-O3 ditempatkan secara tepat untuk mencegah 0% not achieved
Mengelola lisensi perangkat lunak sehingga jumlah optimal lisensi dipertahankan untuk dan aset TI lainnya.
penggunaan aset yang tidak sah. BAI09-BP5
mendukung kebutuhan bisnis dan jumlah lisensi yang dimiliki cukup untuk mengatasi
kebutuhan perangkat lunak yang diperlukan. 2. Melakukan pemeriksaan jaringan secara reguler untuk perangkat lunak not achieved
yang tidak sah.
Work Product (WP) BAI09-WP4 Prosedur manajemen aset yang terbaru not achieved
0%
Keluaran BAI09-WP5 Registrasi lisensi perangkat lunak yang terbaru not achieved
0%
0%
(GP)
dan terpantau.
(GR)
(GP)
0% GWP 4.0
(GR)
(GP)
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
0% GWP 3.0
dikendalikan. (GR)
(GP)
persyaratan.
Generic Work
terdefinisi.
0%
(GP)
yang tepat.
0%
(GP)
0% GWP 4.0
0%
(GP)
proses yang didefinisikan. Generic Work Kebijakan dan standar yang memberikan rincian tujuan organisasi untuk proses, standar
0% Product (GWP) minimum kinerja, prosedur standar, pelaporan dan persyaratan pemantauan.
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
0% GWP 5.0
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0% GWP 4.0
0%
(GR)
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0% GP 4.1.2
(GR)
0% GP 4.1.3
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0% not achieved

(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

(GP)
kinerja proses.
GR 4.1.1
0% not achieved
0% Generic Work
diprediksi dalam batas yang jika memungkinkan. 0% Rencana kontrol proses yang ada untuk menspesifikasikan setiap pendekatan
ditentukan. pengukuran proses
(GR)
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
5 - Optimizing PA 5.1 Inovasi Proses - Ukuran sejauh Generic Practices Mendefinisikan tujuan perbaikan proses untuk proses yang mendukung tujuan bisnis not achieved
0% GP 5.1.1
mana perubahan untuk proses (GP) yang relevan. Arah inovasi proses ditetapkan.
teridentifikasi dari analisis penyebab a) Tujuan peningkatan proses terdefinisikan untuk 0% Generic Work
0% GWP 7.0
Rencana perbaikan proses yang memberikan rincian tujuan perbaikan proses dan not achieved
umum dari variasi dalam kinerja, dan mendukung tujuan bisnis yang relevan. Product (GWP) tindakan perbaikan yang diusulkan
untuk definisi dan penyebaran (GR)
proses. Generic Practices Menganalisis data pengukuran proses untuk mengidentifikasi variasi yang sebenarnya not achieved
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0% 0% GWP 6.0
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi

Nama Mengelola konfigurasi Saat Ini - - - - - - - - - -
Nilai
Deskripsi Mendefinisikan dan memelihara deskripsi dan hubungan antara sumber daya kunci dan kemampuan yang diperlukan untuk memberikan layanan TI, termasuk mengumpulkan informasi konfigurasi, menetapkan baseline, memverifikasi dan mengaudit informasi konfigurasi dan memperbarui penampungan konfigurasi. -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Memberikan informasi yang memadai tentang aset layanan untuk memberikan layanan yang dikelola secara efektif, menilai dampak perubahan dan menangani insiden layanan. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%

Membangun dan memelihara model konfigurasi.
mencapai tujuannya.
Membangun dan memelihara model logis dari layanan, aset, infrastruktur dan cara
BAI10-BP1 merekam configuration item (CI) dan hubungan di antaranya. Memasukkan CI yang dianggap tidak relevan
perlu untuk mengelola layanan secara efektif dan untuk memberikan gambaran tunggal
yang dapat diandalkan oleh aset dalam layanan.
1. Menyertakan konfigurasi keamanan informasi untuk item yang dapat dikonfigurasi not achieved
Membangun dan memelihara penampung dan dasar konfigurasi. seperti server/perangkat keras, perangkat jaringan dan perangkat endpoint.
BAI10-BP2 Membangun dan memelihara penampung manajemen konfigurasi dan menciptakan 2. Mengidentifikasi persyaratan keamanan informasi untuk aset saat ini dan not achieved
Base Practices (BP) baseline konfigurasi yang dapat dikendalikan. memperhitungkan ketergantungan.
0%
Dasar konfigurasi keamanan informasi yang 3. Memantau kepatuhan terhadap baseline konfigurasi yang aman, terbentuk dan not achieved
BAI10-O1 ada di dalam enterprise disetujui, 0% disetujui serta memperbaruinya.
diimplementasikan dan diperlihara. Memelihara dan mengontrol CI.
BAI10-BP3 Memelihara penampung CI yang terbaru dengan cara mengelompokkannya beserta tidak relevan
perubahan.
Memproduksi status dan laporan konfigurasi.
Mendefinisikan dan memproduksi laporan konfigurasi dengan status perubahan CI.
Memverifikasi dan mengkaji integritas penampung konfigurasi.
BAI10-BP5 Mengkaji secara periodik penampung konfigurasi dan memverifikasi kelengkapan dan tidak relevan
kebenarannya sesuai dengan target yang diinginkan.
BAI10-WP1 Peringatan keamanan informasi not achieved
Work Product (WP)
0% BAI10-WP2 Laporan penilaian kelemahan keamanan not achieved
Keluaran
BAI10-WP3 Rencana manajemen konfigurasi not achieved
Generic Practices Mengidentifikasi tujuan kinerja proses. Tujuan kinerja bersama dengan asumsi dan kendala not achieved
(GP) dapat ditetapkan dan dikomunikasikan.
0%
0% GP 2.1.2
0% dan umpan balik
(GR)
(GP)
yang tepat.
0% GWP 4.0
0% dan umpan balik
(GR)
(GP)
0% responsible, accountable, consulted dan/atau informed (RACI).
0% Rencana proses yang memasukkan rincian rencana komunikasi proses sama baiknya dengan
pengalaman kinerja proses, persyaratan keahlian.
0%
(GP)
e. Sumber daya dan informasi penting untuk melaksanakan Generic Work Rencana proses yang memberikan rincian rencana pelatihan proses dan rencana pencarian
proses teridentifikasi, tersedia, dialokasikan dan digunakan. Product (GWP) sumber daya proses.
Generic Resource
(GR)
(GP)
f. Antarmuka antara pihak yang terlibat dikelola untuk 0% responsible, accountable, consulted dan/atau informed (RACI).
Product (GWP)
menjamin komunikasi yang efektif dan penugasan tanggung 0%
jawab secara jelas.
0%
yang dihasilkan oleh proses dikelola a) Persyaratan work product dari proses terdefinisi. 0% Generic Work not achieved
0% GWP 3.0 Rencana kualitas yang memberikan detil kriteria kualitas serta isi dan struktur work product.
secara tepat. Work produt (atau Product (GWP)
dikendalikan. (GR)
(GP)
persyaratan.
Generic Work
terdefinisi.
0%
0% GP 2.2.3
0%
(GP)
0%
3 - Established PA 3.1 Definisi Proses - Ukuran sejauh Mendefinisikan proses standar yang akan mendukung penyebaran proses yang didefinisikan.
mana proses standar dipertahankan 0% GP 3.1.1 Sebuah proses standar didefinisikan untuk mengidentifikasi elemen proses fundamental
(GP)
untuk mendukung penyebaran dari serta memberikan pedoman dan prosedur.
Generic Resource
(GR)
Generic Practices Menentukan urutan dan interaksi antar proses sehingga dapat bekerja sebagai suatu sistem not achieved
0% GP 3.1.2
(GP) yang terintegrasi dari proses.
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% Product (GWP)
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
untuk melaksanakan proses yang terdefinisi dibuat tersedia, 0% 0% GWP 2.0
dialokasikan dan digunakan. not achieved
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0% GWP 4.0
f) Data yang tepat dikumpulkan dan dianalisis sebagai dasar Product (GWP) yang dilakukan untuk setiap instance proses)
0%
dan keefektifan proses, mengevaluasi perbaikan proses yang GR 3.2.5 Sistem manajemen masalah dan perubahan not achieved
kontinu dapat dibuat. Generic Resource
(GR)
Mengidentifikasi kebutuhan informasi proses, dalam kaitannya dengan tujuan bisnis. Tujuan
0% GP 4.1.1 bisnis dan kebutuhan informasi proses pemangku kepentingan telah ditetapkan sebagai
dasar untuk menentukan tujuan pengukuran kinerja proses.
0% GWP 6.0
didefinisikan. Generic Resource not achieved
0% GR 4.1.1 Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko dll)
(GR)
0% GP 4.1.2
0% Generic Work
Product (GWP)
(GR)
0% GP 4.1.3
c) Tujuan kuantitatif untuk kinerja proses dalam mendukung Generic Work Rencana pengukuran proses yang memberikan rincian langkah pengukuran dan indikator
tujuan bisnis yang relevan tersusun. Product (GWP) yang diusulkan
Generic Resource GR 4.1.1 Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko dll) not achieved
0%
(GR)
0% GP 4.1.4
Generic Work Rencana pengukuran proses yang memberikan rincian langkah dan indikator yang diusulkan not achieved
0% GWP 7.0
Product (GWP) serta prosedur pengumpulan data dan prosedur analitis
Generic Resource
0% not achieved

(GP)
e) Hasil pengukuran dikumpulkan, dianalisis dan dilaporkan

untuk memantau sejauh mana tujuan kuantitatif untuk 0%
Generic Work
0%
kinerja proses terpenuhi. GR 4.1.1 Informasi manajemen (biaya, waktu, kehandalan, keuntungan, manfaat pelanggan, risiko dll) not achieved

(GR)

(GP)
kinerja proses.
Generic Resource
0% not achieved

yang stabil, mampu dan dapat a) Teknik analisis dan kontrol ditentukan dan diterapkan jika GWP 1.0 Dokumentasi proses yang memberikan rincian kontrol (matriks kontrol) not achieved
0% Generic Work
diprediksi dalam batas yang memungkinkan. 0% Rencana kontrol proses yang ada untuk menspesifikasikan setiap pendekatan pengukuran
ditentukan. proses
(GR)
(GP)
0% Generic Work Rencana kontrol proses yang ada untuk menspesifikasikan setiap batas kontrol untuk kinerja
Product (GWP) normal
(GR)
(GP)
variasi. 0% GWP 9.0
0%
(GP)
d) Tindakan perbaikan dilakukan untuk mengatasi penyebab hasilnya dipantau dan dievaluasi.
khusus variasi. 0% GWP 9.0 not achieved
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
0% GP 5.1.2
(GR)
Generic Practices Mengidentifikasi peluang perbaikan proses berbasis pada inovasi dan best practice. Peluang not achieved
0% GP 5.1.3
(GP) perbaikan proses diidentifikasi berdasarkan perbandingan dengan base pratice industri.
0%
(GR)
(GP)
0%
Mendefinisikan strategi implementasi berdasarkan visi dan tujuan perbaikan jangka panjang.
0% GP 5.1.5 Strategi perbaikan proses didefinisikan dan divalidasi berdasarkan tujuan dan sasaran
(GP)
e) Strategi implementasi dibangun untuk mencapai tujuan perbaikan jangka panjang.
0% Generic Work
perbaikan proses. 0% GWP 6.0 Rencana perbaikan proses yang memberikan rincian strategi implementasi perbaikan proses not achieved
Product (GWP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
b) Implementasi dari semua perubahan yang telah Rencana perbaikan proses yang memberikan rincian strategi implementasi untuk perbaikan
disepakati agar dikelola untuk memastikan bahwa setiap proses dan bukti perubahan dalam:
Product (GWP)
(GR)
0% GP 5.2.3
0%
Rekapitulasi
No. Proses DSS01 Target

Nama Mengelola operasi Saat Ini - - - - - - - - - -
Deskripsi Mengkoordinasikan dan mengeksekusi aktivitas dan prosedur operasional yang dibutuhkan untuk memberikan layanan TI internal dan outsourcing, termasuk pelaksanaan SOP dan aktivitas pemantauan yang diperlukan. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Memberikan outcome layanan operasional TI seperti yang telah direncanakan. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
1 - Performed PA 1.1 Proses yang 1. Memverifikasi bahwa prosedur operasi keamanan informasi yang relevan not achieved
diimplementasikan mencapai dimasukkan ke dalam prosedur operasi reguler.
tujuannya. 2. Memastikan bahwa siklus hidup pemrosesan informasi (menerima, memproses,
menyimpan dan mengeluarkan) sesuai dengan kebijakan dan persyaratan peraturan not achieved
Melakukan prosedur operasi. APO03-WP8: Pedoman implementasi layanan arsitektur
DSS01-BP1 keamanan informasi.
Memelihara dan melakukan tugas prosedur dan operasi secara handal dan konsisten. keamanan informasi
3. Memastikan bahwa operasi keamanan informasi direncanakan, dilakukan dan not achieved
dikontrol sejalan dengan rencana operasi.
4 . Menerapkan keamanan informasi dan hak akses terhadap seluruh data. not achieved
Mengelola layanan TI outsourced. 1. Memastikan dan memantau secara aktif kepatuhan pihak ketiga terhadap
Base Practices (BP) 0% not achieved
DSS01-BP2 Mengelola operasi layanan TI outsourced untuk memelihara perlindungan informasi APO01-WP4: Kebijakan yang terkait keamanan informasi kebijakan keamanan informasi enterprise, standar dan persyaratan keamanan
Operasi keamanan informasi dilakukan enterprise dan kehandalan pemberian layanan. informasi.
berdasarkan rencana operasi keamanan
DSS01-O1 0% Mengawasi infrastruktur TI.
informasi yang sejalan dengan strategi
keamanan informasi. Mengawasi infrastruktur TI dan kejadian terkait. Menyimpan informasi kronologis yang Di luar COBIT 5 for IS: Aturan pengawasan aset dan kondisi 1. Memastikan bahwa bagian TI memantau secara aktif aspek keamanan informasi not achieved
DSS01-BP3
memadai dalam log operasi untuk merekonstruksi, mengkaji dan memeriksa urutan waktu kejadian dari infrastruktur TI seperti: konfigurasi, operasi, akses dan penggunaan.
operasi dan aktivitas lain di sekitarnya atau mendukung operasi.
Mengelola lingkungan.
1. Memastikan bahwa manajemen lingkungan melekat pada persyaratan keamanan
DSS01-BP4 Memelihara langkah perlindungan terhadap faktor lingkungan. Memasang peralatan Di luar COBIT 5 for IS: Kebijakan lingkungan not achieved
informasi.
khusus dan perangkat untuk mengawasi dan mengontrol lingkungan.
DSS01-WP1 Prosedur operasi keamanan informasi not achieved
Work Product (WP) DSS01-WP2 Rencana jaminan pihak ketiga not achieved
0%
Keluaran DSS01-WP3 Aturan pengawasan aset yang terbaru not achieved
DSS01-WP4 Kebijakan lingkungan yang terbaru not achieved
1. Memverifikasi bahwa prosedur operasi keamanan informasi yang relevan not achieved
dimasukkan ke dalam prosedur operasi reguler.
2. Memastikan bahwa siklus hidup pemrosesan informasi (menerima, memproses,
menyimpan dan mengeluarkan) sesuai dengan kebijakan dan persyaratan peraturan not achieved
Melakukan prosedur operasi. APO03-WP8: Pedoman implementasi layanan arsitektur
DSS01-BP1 keamanan informasi.
Memelihara dan melakukan tugas prosedur dan operasi secara handal dan konsisten. keamanan informasi
3. Memastikan bahwa operasi keamanan informasi direncanakan, dilakukan dan not achieved
dikontrol sejalan dengan rencana operasi.
Base Practices (BP) 0% 4 . Menerapkan keamanan informasi dan hak akses terhadap seluruh data. not achieved
Standar keamanan informasi yang dapat Mengelola layanan TI outsourced. 1. Memastikan dan memantau secara aktif kepatuhan pihak ketiga terhadap
DSS01-O2 0%
digunakan teridentifikasi dan sesuai. not achieved
DSS01-BP2 Mengelola operasi layanan TI outsourced untuk memelihara perlindungan informasi APO01-WP4: Kebijakan yang terkait keamanan informasi kebijakan keamanan informasi enterprise, standar dan persyaratan keamanan
enterprise dan kehandalan pemberian layanan. informasi.
Mengelola fasilitas.
Mengelola fasilitas, termasuk tenaga dan peralatan komunikasi, sesuai dengan peraturan 1. Memastikan bahwa manajemen fasilitas melekat pada pesyaratan keamanan not achieved
DSS01-BP5 Di luar COBIT 5 for IS: Laporan penilaian fasilitas
perundang-undangan, persyaratan teknis dan bisnis, spesifikasi vendor, pedoman informasi.
kesehatan dan keselamatan.
DSS01-WP1 Prosedur operasi keamanan informasi not achieved
Work Product (WP)
0% DSS01-WP2 Rencana jaminan pihak ketiga not achieved
Keluaran
DSS01-WP5 Laporan penilaian faslitas yang terbaru not achieved
0%
0%
0% dan umpan balik
(GR)
Generic Practices
(GP)
0% dan umpan balik
(GR)
Generic Practices
(GP)
0%
0%
Generic Practices
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
0% GWP 3.0
dikendalikan. (GR)
Generic Practices
(GP)
persyaratan.
Generic Work
terdefinisi.
0%
0%
(GP)
0% GWP 4.0
0%
Generic Practices
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% 0%
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0% GP 4.1.2
0% Generic Work
Product (GWP)
(GR)
0% GP 4.1.3
0% dll)
(GR)
0% GP 4.1.4
0% GWP 7.0
dll)
Generic Resource
0%

Generic Practices
(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)
e) Hasil pengukuran dikumpulkan, dianalisis dan dilaporkan
untuk memantau sejauh mana tujuan kuantitatif untuk 0%
Generic Resource
0%
(GR)

Generic Practices
(GP)
kinerja proses.
GR 4.1.1
0%

0% Generic Work
ditentukan. proses
(GR)
Generic Practices
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
Generic Practices
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
0% GWP 7.0
0% GP 5.1.2
(GR)
Generic Practices
(GP)
industri.
0%
(GR)
(GP)
0%
Generic Practices
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
0%
Rekapitulasi

Nama Mengelola permintaan layanan dan insiden Saat Ini - - - - - - - - - -
Deskripsi Memberikan respon yang tepat waktu dan efektif untuk permintaan pengguna dan resolusi semua jenis insiden. Mengembalikan layanan normal, merekam dan memenuhi permintaan pengguna, merekam, menyelidiki, mendiagnosa dan menyelesaikan insiden meningkat. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Memberikan respon yang tepat waktu dan efektif untuk permintaan pengguna dan resolusi semua jenis insiden. Mengembalikan layanan normal, merekam dan memenuhi permintaan pengguna, merekam, menyelidiki, mendiagnosa dan menyelesaikan insiden meningkat. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
1. Mendefinisikan dan mengkomunikasikan sifat dasar dan karakteristik dari insiden
mencapai tujuannya. Mendefinisikan insiden dan skema klasifikasi permintaan layanan. not achieved
DSS02-BP1 APO01-WP4: Kebijakan yang terkait keamanan informasi potensial yang terkait keamanan sehingga hal tersebut dapat dengan mudah dikenali dan
Mendefinisikan insiden, skema dan model klasifikasi permintaan layanan.
dampaknya dipahami agar dapat diberikan respons yang sepadan.
1. Memelihara investigasi insiden keamanan dan prosedur respons. Memastikan bahwa
Merekam, mengklasifikasi dan memprioritaskan permintaan dan insiden.
• DSS02-WP1: Skema klasifikasi insiden keamanan informasi langkah yang diperlukan telah diambil untuk melindungi kerahasiaan informasi yang
DSS02-BP2 Mengidentifikasi, mencatat dan mengklasifikasikan permintaan layanan dan insiden, not achieved
• DSS05-WP12: Tiket insiden keamanan terkait insiden keamanan dan seluruh staf dibuat menjadi sadar akan perlu prosedur
menetapkan prioritas sesuai dengan kekritisan bisnis dan perjanjian layanan.
pengananan.
Memverifikasi, menyetujui dan memenuhi permintaan layanan.
Memilih prosedur permintaan yang tepat dan memverifikasi bahwa permintaan layanan
DSS02-BP3 tidak relevan
telah memenuhi kriteria permintaan yang didefinisikan. Mendapatkan persetujuan dan
memenuhi permintaan.
Menginvestigasi, mendiagnosis dan mengalokasikan insiden. 1. Memelihara prosedur untuk pengumpulan bukti yang sejalan dengan aturan bukti
Base Practices (BP) DSS02-BP4 Mengidentifikasi dan merekam gejala insiden, menentukan kemungkinan penyebab dan forensik setempat dan memastikan bahwa seluruh staf dibuat menjadi sadar terhadap not achieved
0%
mengalokasikan sumber daya untuk resolusi. persyaratan keamanan.
Program renspons insiden keamanan Mengatasi dan memulihkan insiden.

Di luar COBIT 5 for IS: Penilaian dampak bisnis, kebijakan not achieved
DSS02-O1 informasi yang efektif dibangun dan 0% DSS02-BP5 Mendokumentasikan, menerapkan dan menguji solusi yang teridentifikasi atau 1. Mendefinisikan rencana respons insiden keamanan informasi.
manajemen risiko organisasi dan skema klasifikasi insiden
dipelihara. workarounds dan melakukan tindakan pemulihan untuk memulihkan layanan TI.
Menutup permintaan layanan dan insinden.
DSS02-BP6 Memverifikasi kepuasan resolusi insiden dan/atau pemenuhan permintaan dan kemudian tidak relevan
menutupnya.
1. Melaporkan outcome dari investigasi insiden keamanan kepada para pemangku
Melacak status dan membuat laporan. • DSS02-WP2: Klasifikasi dan prioritas insiden keamanan informasi not achieved
kepentingan yang tepat, termasuk laporan periodik untuk manajemen eksekutif.
DSS02-BP7 Melacak, menganalisis dan melaporkan insiden dan pemenuhan permintaan secara dan permintaan layanan
reguler untuk memberikan informasi yang bermanfaat bagi perbaikan yang berkelanjutan. • DSS02-WP4: Rencana respons insiden 2. Memastikan bahwa insiden keamanan dan tindakan lanjutan yang tepat, termasuk
analisis penyebab masalah, mengikuti proses manajemen insiden dan masalah yang ada not achieved
saat ini.
DSS02-WP1 Skema klasifikasi insiden keamanan informasi not achieved
DSS02-WP2 Klasifikasi dan prioritas insiden keamanan informasi dan permintaan layanan not achieved
Work Product (WP)
0%
Keluaran DSS02-WP3 Prosedur pengumpulan bukti not achieved
DSS02-WP4 Rencana respons insiden not achieved
DSS02-WP5 Pelajaran yang dapat diambil not achieved
0%
0%
0% dan umpan balik
(GR)
Generic Practices
(GP)
0% dan umpan balik
(GR)
Generic Practices
(GP)
0%
0%
(GP)
0% GWP 2.0
Generic Resource
(GR)
Generic Practices
(GP)
Product (GWP)
0%
0% GWP 3.0
(GR)
Generic Practices
(GP)
persyaratan.
Generic Work
0%
0%
0%
(GP)
0% GWP 4.0
0%
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
Generic Practices
(GR)
0% GP 3.1.5
(GP) standar.
0% 0%
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
tujuan kinerja proses yang relevan dalam Generic Work Rencana peningkatan proses yang memberikan tujuan peningkatan proses dan tindakan not achieved
0% GWP 6.0
mendukung tujuan bisnis yang Product (GWP) perbaikan yang diusulkan
0% GR 4.1.1
(GR) dll)
0% Generic Work
Product (GWP)
(GR)
GR 4.1.1
0% dll)
(GR)
0% GP 4.1.4
dll)
Generic Resource
0%

Generic Practices
(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

Generic Practices
(GP)
0% GWP 9.0
kinerja proses.
GR 4.1.1
0%
0%
kinerja proses.
Generic Resource
0%
(GR)

mana proses secara kuantitatif berhasil 0% GP 4.2.1
mampu dan dapat diprediksi dalam batas a) Teknik analisis dan kontrol ditentukan dan diterapkan 0% Generic Work GWP 1.0 Dokumentasi proses yang memberikan rincian kontrol (matriks kontrol) not achieved
proses
(GR)
Generic Practices
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
Generic Practices
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
0% GP 5.1.2
(GR)
(GP)
industri.
0%
(GR)
(GP)
0%
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
mencapai tujuan perbaikan proses yang Generic Resource GR 5.2.1 Sistem manajemen perubahan not achieved
0%
relevan. (GR) GR 5.2.2 Sistem evaluasi proses (analisis dampak dll) not achieved
0% GP 5.2.2
Product (GWP)
(GR)
0%
Rekapitulasi

Nama Mengelola masalah Saat Ini - - - - - - - - - -
Deskripsi Mengidentifikasi dan mengklasifikasikan masalah dan akar penyebabnya serta memberikan resolusi tepat waktu untuk mencegah insiden berulang. Memberikan rekomendasi untuk perbaikan. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Meningkatkan ketersediaan, meningkatkan tingkat layanan, mengurangi biaya, meningkatkan kenyamanan dan kepuasan pelanggan dengan mengurangi jumlah masalah operasional. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
Mengidentifikasi dan mengklasifikasi masalah.
mencapai tujuannya. 1. Mengklasifikasikan, mengkategorikan dan memprioritaskan masalah keamanan not achieved
DSS03-BP1 Mendefinisikan dan mengimplementasikan kriteria dan prosedur untuk melaporkan Di luar COBIT 5 for IS: Penilaian kelemahan keamanan
informasi.
masalah yang diidentifikasi, termasuk klasifikasi masalah, kategorisasi dan prioritas.
Menginvestigasi dan mendiagnosis masalah.
DSS03-BP2 Menginvestigasi dan mendiagnosis masalah menggunakan ahli yang relevan untuk 1. Menginvestigasi masalah keamanan informasi. not achieved
menilai dan menganalisis akar penyebabnya.
Mengangkat error yang diketahui.
DSS03-BP3 Segera setelah akar penyebab masalah diidentifikasi, buat catatan error yang diketahui 1. Mengeskalasi masalah keamanan informasi jika diperlukan. not achieved
dan solusi yang tepat dan mengidentifikasi solusi yang potensial.
Menyelesaikan dan menutup masalah.
Mengidentifikasi dan memulai solusi berkelanjutan menangani akar penyebab,
1. Melakukan analisis akar penyebab masalah, mengatasi masalah keamanan informasi
Masalah keamanan informasi diselesaikan meningkatkan permintaan perubahan melalui proses manajemen perubahan yang not achieved
DSS03-O1 0% DSS03-BP4 DSS03-WP1: Skema klasifikasi masalah keamanan informasi dan memperbarui rencana respons insiden. Melacak ata membuat log masalah keamanan
dengan cara yang berkelanjutan. ditetapkan jika diperlukan untuk mengatasi kesalahan. Memastikan bahwa personil yang
informasi.
terpengaruh agar menyadari tindakan yang diambil dan rencana yang dikembangkan untuk
mencegah terjadinya insiden di masa depan.
Melakukan manajemen masalah yang proaktif.

Mengumpulkan dan menganalisis data operasional (terutama insiden dan catatan not achieved
DSS03-BP5 DSS03-WP4: Akar penyebab masalah 1. Melakukan dan mengambil pelajaran terhadap hal yang telah dipelajari.
perubahan) untuk mengidentifikasi tren baru yang mungkin menunjukkan masalah. Catat
masalah yang terjadi untuk melakukan penilaian.
DSS03-WP1 Skema klasifikasi masalah keamanan informasi not achieved

DSS03-WP2 Akar penyebab masalah yang terbaru not achieved
Work Product (WP) DSS03-WP3 Rekaman error diketahui yang terbaru not achieved
0%
Keluaran not achieved
DSS03-WP4 Akar penyebab masalah
Implementasi kebijakan, prosedur dan rencana tindakan keamanan informasi untuk not achieved
DSS03-WP5
mengatasi akar penyebab masalah
0%
0%
0% GP 2.1.2
0% dan umpan balik
(GR)
Generic Practices
(GP)
0% GR 2.1.3
dan umpan balik
(GR)
(GP)
0%
0%
Generic Practices
(GP)
0% GWP 2.0
Generic Resource
(GR)
(GP)
Product (GWP)
0%
0% GWP 3.0
(GR)
(GP)
persyaratan.
Generic Work
terdefinisi.
0%
0% GP 2.2.3
0%
(GP)
0% GWP 4.0
0%
(GP)
Generic Resource
(GR)
0% GP 3.1.2
0% GWP 5.0
0%
(GP)
Generic Resource
(GR)
(GR)
0% GP 3.1.5
(GP) standar.
0% 0%
GWP 4.0
yang dilakukan)
0%
(GR)
0% GP 3.2.2
0%
(GP)
Generic Work
(GR)
0% GP 3.2.4
(GP) didefinisikan.
0%
0% GP 3.2.5
0% GWP 2.0
(GR)
0% GP 3.2.6
0%
(GR)
0% GWP 6.0
0% GR 4.1.1
(GR) dll)
0% Generic Work
Product (GWP)
(GR)
0% GP 4.1.3
GR 4.1.1
0% dll)
(GR)
0% GP 4.1.4
dll)
Generic Resource
0%

(GP)
Generic Work
0%
GR 4.1.1
dll)
(GR)

Generic Practices
(GP)
0% GWP 9.0
kinerja proses.
GR 4.1.1
0%

yang stabil, mampu dan dapat a) Teknik analisis dan kontrol ditentukan dan diterapkan
0%
diprediksi dalam batas yang jika memungkinkan.
ditentukan.
mana proses secara kuantitatif
0% Generic Work
ditentukan. proses
(GR)
Generic Practices
(GP)
(GR)
(GP)
variasi. 0% GWP 9.0
0%
Generic Practices
(GP)
(GR)
0% GP 4.2.5
0% 0% GWP 8.0
0%
0% GP 5.1.1
0% GP 5.1.2
(GR)
Generic Practices
(GP)
industri.
0%
(GR)
(GP)
0%
Generic Practices
(GP)
(GR)
0% GP 5.2.1
0% 0% GWP 6.0
0%
0% GP 5.2.2
Product (GWP)
(GR)
0%
Rekapitulasi

Nama Mengelola keberlangsungan Saat Ini - - - - - - - - - -
Deskripsi Membangun dan memelihara rencana menjalankan bisnis dan TI untuk menanggapi insiden dan gangguan dalam rangka, melanjutkan pengoperasian proses bisnis penting dan layanan TI yang diperlukan dan menjaga ketersediaan informasi pada tingkat yang dapat diterima bagi enterprise. Nilai -100% -100% -100% -100% -100% -100% -100% -100% -100% -100%
Level
Melanjutkan operasi bisnis kritis dan menjaga ketersediaan informasi pada tingkat yang dapat diterima oleh enterprise ketika terjadi gangguan yang signifikan. Kemampuan
Tujuan 0 0 - - - - - - - -
yang Dicapai
Outcome Component
0 - Incomplete 0%
1 - Performed PA 1.1 Proses yang diimplementasikan Mendefinisikan kebijakan, tujuan dan lingkup keberlangsungan bisnis.
mencapai tujuannya. DSS04-BP1 Mendefinisikan kebijakan dan lingkup keberlangsungan bisnis yang sejalan dengan tujuan Di luar COBIT 5 for IS: Kebijakan untuk keberlangsungan bisnis 1. Memastikan bahwa keamanan informasi sebagai bagian siklus keberlangsungan bisnis. not achieved
enterprise dan pemangku kepentingan.
Memelihara strategi keberlangsungan.
Mengevaluasi pilihan manajemen keberlangsungan bisnis dan memilih strategi
DSS04-BP2 kelangsungan yang hemat biaya dan layak dan memastikan pemulihan dan Di luar COBIT 5 for IS: BIA 1. Memasukkan skenario keamanan informasi. not achieved
kesinambungan enterprise dalam menghadapi bencana, kejadian besar lainnya atau
gangguan.
Mengembangkan dan mengimplementasikan respons keberlangsungan bisnis.
DSS04-BP3 Mengembangkan business continuity plan (BCP) berdasarkan strategi yang tercantum di Di luar COBIT 5 for IS: BCP 1. Memasukkan persyaratan keamanan informasi dalam BCP. not achieved
prosedur dan informasi dalam kesiapan menghadapi insiden.
Berlatih, uji coba dan mengkaji BCP.

Menguji pengaturan kontinuitas secara teratur untuk melaksanakan rencana pemulihan
DSS04-BP4 terhadap outcome yang telah ditentukan dan solusi inovatif untuk dikembangkan serta tidak relevan
Base Practices (BP) 0% membantu dalam pemverifikasian rencana pemulihan dari waktu ke waktu agar sistem
dapat bekerja seperti yang diharapkan.
Risiko informasi diidentifikasi dan diatasi
Mengkaji, memelihara dan memperbaiki rencana keberlangsungan.
DSS04-O1 dengan benar dalan rencana keberlangsungan 0%
Melakukan kajian manajemen terhadap kemampuan kontinuitas secara berkala untuk
teknologi informasi dan komunikasi. 1. Mempertimbangkan insiden keamanan informasi sebagai pemicu yang penting untuk
DSS04-BP5 memastikan kelanjutan sistem yang sesuai, cukup dan efektif. Mengelola perubahan Di luar COBIT 5 for IS: BCP not achieved
memperbaiki BCP.
rencana sesuai dengan proses perubahan kontrol untuk memastikan bahwa rencana
kesinambungan tetap aktual dan terus mencerminkan kebutuhan bisnis yang sebenarnya.
Melaksanakan pelatihan rencana keberlangsungan.

DSS04-BP6 Menyediakan semua pihak internal dan eksternal yang berkaitan dengan sesi pelatihan tidak relevan
rutin mengenai prosedur, peran dan tanggung jawabnya ketika terjadi gangguan.
Mengelola pengaturan backup. 1. Memastikan bahwa persyaratan keamanan informasi dimasukkan ke dalam pengaturan not achieved
DSS04-BP7 Di luar COBIT 5 for IS: Hasil pengujian backup data
Memelihara ketersediaan informasi bisnis yang kritikal. backup dan restore.
Melakukan kajian pasca pemulihan.
DSS04-BP8 Menilai kecukupan BCP ketika pemulihan proses bisnis dan layanan sukses dilakukan Di luar COBIT 5 for IS: Laporan kajian pasca pemulihan 1. Memastikan bahwa keamanan informasi dimasukkan ke dalam kajian pasca pemulihan. not achieved
setelah terjadinya gangguan.
DSS04-WP1 Updated policy for business continuity not achieved
DSS04-WP2 Updated BIA not achieved
Work Product (WP)
0% DSS04-WP3 Updated BCP not achieved
Keluaran
DSS04-WP4 Updated test results of backup data not achieved
DSS04-WP5 Updated post-resumption review reports not achieved
0%
0%
0% GR 2.1.3
dan umpan balik
(GR)
(GP)
0% dan umpan balik
(GR)
Generic Practices
(GP)
0%
Generic Practices
(GP)
0% GWP 2.0
Generic Resource
(GR)
Generic Practices
(GP)
Product (GWP)
Generic Resource GR 2.1.2 Sumber daya fasilitas dan infrastruktur

Penyusunan Proses Tata Kelola Keamanan Informasi Dan Manajemen Layanan Ti Berbasis Cobit 5

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Penyusunan Proses Tata Kelola Keamanan Informasi Dan Manajemen Layanan Ti Berbasis Cobit 5

Diunggah oleh

Hak Cipta:

Format Tersedia

Buku ini disebarluaskan secara gratis, mengutip sebagian atau secara

keseluruhan dari buku ini diharapkan untuk mencantumkan nama penulis

Penerobosan keamanan informasi terhadap sistem teknologi informasi dan

Kata keamanan informasi, tujuan organisasi, tujuan TI, risiko, sistem

Bandung, Februari 2014

KATA PENGANTAR ........................................................................................... iii

LAMPIRAN A MODEL REFERENSI PROSES ............................................... A-1

Gambar II-1Security framework for EPU[19]. .......................................................... 6

Tabel III.1 Tujuan organisasi[58]............................................................................ 14

SINGKATAN Nama Pemakaian Pertama

1.1 Latar Belakang

Penerobosan keamanan informasi terhadap sistem teknologi informasi dan

Permasalahan keamanan informasi yang telah dibahas dalam beberapa penelitian

Batasan masalah pada penyusunan buku ini adalah sebagai berikut.

1.3 Keluaran Penyusunan TKKI

Buku ini memberikan panduan penyusunan TKKI yang meliputi:

Governance adalah proses pembentukan dan pemeliharaan suatu framework,

Penerapan governance dapat memberikan manfaat yang besar terhadap TI dan

Hubungan keempat bagian di atas dapat ditunjukkan oleh Gambar II-1.

Gambar II-1Security framework for EPU[19].

Risiko dapat diartikan sebagai kemungkinan ancaman menggunakan kelemahan

Contoh framework yang digunakan untuk menerapkan manajemen risiko adalah

2.5 SDM, Proses dan Teknologi

Proses yang dibutuhkan untuk menerapkan keamanan pada service yaitu[34]:

2.8 Kebijakan dan Prinsip

Komponen kebijakan keamanan informasi terdiri atas[31]:

Gambar II-2 Level kebijakan[40].

Kebijakan disusun untuk mendefinisikan siapa yang melakukan, kapan dan

Menurut Waly dkk.[8], faktor yang mempengaruhi penerobosan keamanan adalah

Pelatihan dapat membantu pengguna untuk mengeksplorasi informasi yang

Manajemen keamanan informasi dapat diartikan sebagai cara menyimpan informasi

COBIT 5 memberikan framework yang komprehensif untuk membantu enterprise

COBIT 5 memiliki enablers yang merupakan faktor yang mempengaruhi

3. Organisational 4. Culture, Ethics

1. Principles, Policies and Frameworks

6. Services, 7. People, Skills

Gambar III-1 COBIT 5 enablers[58].

COBIT 5 telah merumuskan tujuan organisasi (enterprise goals/EG) dan tujuan

Tabel III.1 Tujuan organisasi[58].

BSC No. Enterprise Goals

Tabel III.2 Tujuan terkait TI[58].

BSC No. IT-Related Goals

Gambar III-2 Pemetaan enablers dan tujuan organisasi[58].

Direct Management Monitor

Plan Build Run Monitor

Gambar III-3 Proses governance dan management[58].

3.2 COBIT 5 Enabling Process

COBIT 5 Enabling Process[59] merupakan pelengkap COBIT 5 yang

3.3 COBIT 5 for Risk

COBIT 5 for Risk[60] membahas risiko yang terkait dengan TI dan

Tabel III.5 Skenario risiko[60].

3.4 Process Assessment Model (PAM)

Process Reference Model

Gambar III-4 Kerangka kerja PAM[61].

PA tersebut dapat dinilai berdasarkan selang interval sebagai berikut[62]:

Indikator kapabilitas proses terdiri atas:

Indikator kinerja proses terdiri atas:

Struktur penilaian indikator tersebut ditunjukkan oleh Gambar III-5. Model

- Level 5: Optimizing (2 attributes)

- Base Practice (BP)

Gambar III-5 Indikator penilaian[63].

- Level 5: Optimizing (2 attributes)

- Level 4: Predictable (2 attributes)