Halaman 1
KERANGKA
Halaman 2
KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN
https://translate.googleusercontent.com/translate_f 1/250
Tentang ISACA
Mendekati tahun ke-50, ISACA ® (isaca.org) adalah asosiasi global yang membantu individu dan perusahaan mencapai
potensi positif dari teknologi. Teknologi memberdayakan dunia saat ini dan ISACA melengkapi para profesional dengan
pengetahuan, kredensial, pendidikan dan komunitas untuk memajukan karir mereka dan mengubah organisasi mereka. ISACA
memanfaatkan keahlian dari setengah juta profesional yang terlibat dalam keamanan informasi dan dunia maya, tata kelola,
jaminan, risiko dan inovasi, serta anak perusahaan kinerja perusahaannya, CMMI ® Institute, untuk membantu kemajuan
inovasi melalui teknologi. ISACA hadir di lebih dari 188 negara, termasuk lebih dari 217 cabang
dan kantor di Amerika Serikat dan Cina.
Penolakan
ISACA telah merancang dan membuat Kerangka COBIT ® 2019: Tujuan Tata Kelola dan Manajemen ("Pekerjaan") terutama
sebagai sumber daya pendidikan untuk tata kelola perusahaan TI (GEIT), jaminan, risiko, dan profesional keamanan. ISACA
tidak membuat klaim bahwa penggunaan salah satu Karya akan menjamin hasil yang sukses. Pekerjaan tidak harus dipertimbangkan
termasuk semua informasi yang tepat, prosedur dan tes atau eksklusif dari informasi lain, prosedur dan tes itu
diarahkan secara wajar untuk mendapatkan hasil yang sama. Dalam menentukan kepatutan informasi tertentu,
prosedur atau pengujian, tata kelola TI perusahaan (GEIT), jaminan, risiko, dan profesional keamanan harus menerapkannya sendiri
pertimbangan profesional untuk keadaan khusus yang disajikan oleh sistem atau informasi tertentu
lingkungan teknologi.
hak cipta
© 2018 ISACA. Seluruh hak cipta. Untuk pedoman penggunaan, lihat www.isaca.org/COBITuse .
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, AS
Telepon: +1.847.660.5505
Faks: +1.847.253.1755
Hubungi kami: https://support.isaca.org
Situs web: www.isaca.org
Twitter: http://twitter.com/ISACANews
LinkedIn: http://linkd.in/ISACAOfficial
Facebook: www.facebook.com/ISACAHQ
Instagram: www.instagram.com/isacanews/
Halaman 3
Didedikasikan untuk John Lainhart, Ketua Dewan ISACA 1984-1985. John berperan penting dalam penciptaan COBIT ®
kerangka kerja dan terakhir menjabat sebagai ketua kelompok kerja untuk COBIT ® 2019, yang memuncak dalam
penciptaan karya ini. Selama empat dekade bersama ISACA, John terlibat dalam berbagai aspek asosiasi
serta memegang sertifikasi CISA, CRISC, CISM dan CGEIT ISACA. John meninggalkan pribadi yang luar biasa
dan warisan profesional, dan usahanya berdampak signifikan terhadap ISACA.
3
Halaman 4
Halaman 5
Tim pengembangan
Steven De Haes, Ph.D., Sekolah Manajemen Antwerp, Universitas Antwerpen, Belgia
Matthias Goorden, PwC, Belgia
Stefanie Grijp, PwC, Belgia
Geert Poels, PhD, Universitas Ghent, Belgia
Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance, Belgia
Peninjau Ahli
Sarah Ahmad Abedin, CISA, CRISC, CGEIT, Grant Thornton LLP, AS
Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Belgia
Elisabeth Antonssen, Nordea Bank, Swedia
Krzystof Baczkiewicz, CHAMP, CITAM, CSAM, Transpectit, Polandia
Christopher M. Ballister, CRISC, CISM, CGEIT, Grant Thornton, AS
Gary Bannister, CGEIT, CGMA, FCMA, Austria
Graciela Braga, CGEIT, Auditor dan Penasihat, Argentina
Ricardo Bria, CISA, CRISC, CGEIT, COTO CICSA, Argentina
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapura
Peter T. Davis, CISA, CISM, CGEIT, Penilai COBIT 5, CISSP, CMA, CPA, PMI-RMP, PMP, Peter Davis + Associates, Kanada
James Doss, CISM, CGEIT, EMCCA, Ahli ITIL, PMP, SSGB, TOGAF 9, ITvalueQuickStart.com, AS
Yalcin Gerek, CISA, CRISC, CGEIT, Ahli ITIL, Prince2, ISO 20000LI, ISO27001LA, TAC AS., Turki
James L. Golden, Golden Consulting Associates, AS
J. Winston Hayden, CISA, CISM, CRISC, CGEIT, Afrika Selatan
Jimmy Heschl, CISA, CISM, CGEIT, Red Bull, Austria
Jorge Hidalgo, CISA, CISM, CGEIT, Chili
John Jasinski, CISA, CRISC, CISM, CGEIT, COBIT 5 Asesor, CSM, CSPO, IT4IT-F, Ahli ITIL, Lean IT-F, MOF,
SSBB, TOGAF-F, AS
Joanna Karczewska, CISA, Polandia
Glenn Keaveny, CEH, CISSP, Grant Thornton, AS
Eddy Khoo SK, CGEIT, Kuala Lumpur, Malaysia
Joao Souza Neto, CRISC, CGEIT, Universidade Católica de Brasília, Brasil
Tracey O'Brien, CISA, CISM, CGEIT, IBM Corp (pensiun), AS
Zachy Olorunojowon, CISA, CGEIT, PMP, BC Kementerian Kesehatan, Victoria, BC Kanada
Opeyemi Onifade, CISA, CISM, CGEIT, BRMP, CISSP, ISO 27001LA, M.IoD, Afenoid Enterprise Limited, Nigeria
Abdul Rafeq, CISA, CGEIT, FCA, Direktur Pelaksana, Wincer Infotech Limited, India
Dirk Reimers, Entco Deutschland GmbH, Perusahaan Fokus Mikro
Steve Reznik, CISA, CRISC, ADP, LLC., AS
Bruno Horta Soares, CISA, CRISC, CGEIT, PMP, GOVaaS - Penasihat Tata Kelola, as-a-Service, Portugal
Dr. Katalin Szenes, Ph.D., CISA, CISM, CGEIT, CISSP, John von Neumann Fakultas Informatika, Universitas Obuda, Hongaria
Mark Thomas, CRISC, CGEIT, Escoute, AS
John Thorp, CMC, ISP, ITCP, Jaringan Thorp, Kanada
Sapa Volders, CGEIT, Penilai COBIT, Voquals NV, Belgia
Halaman 6
Halaman 7
DAFTAR ISI
DAFTAR ISI
Bab 1. Pengantar COBIT ® 2019...................................................................... 9
1.1 COBIT sebagai Kerangka Tata Kelola Teknologi dan Informasi.....................................................................................................9
1.1.1 Apa Itu COBIT dan Apa Itu Bukan?.............................................................................................................................................9
1.2 Tinjauan COBIT ® 2019....................................................................................................................................................................10
1.3 Terminologi dan Konsep Utama Kerangka COBIT.................................................................................................................11
1.3.1 Tujuan Tata Kelola dan Manajemen...................................................................................................................................11
1.3.2 Komponen Sistem Tata Kelola.......................................................................................................................................12
1.3.3 Area Fokus...................................................................................................................................................................................14
Lampiran................................................................................................................... 297
5.1 Lampiran A: Kaskade Tujuan — Tabel Pemetaan..................................................................................................................................297
5.2 Lampiran B: Struktur Organisasi — Gambaran Umum dan Deskripsi..............................................................................................299
5.3 Apendiks C: Daftar Rinci Referensi...........................................................................................................................................300
Halaman 8
DAFTAR GAMBAR
Bab 1. Pengantar COBIT ® 2019
Gambar 1.1 — Tinjauan COBIT..........................................................................................................................................................................10
Gambar 1.2 — Model Inti COBIT........................................................................................................................................................................12
Gambar 1.3 — Komponen COBIT dari Sistem Tata Kelola..............................................................................................................................13
Lampiran
Gambar 5.1 — Memetakan Tujuan Perusahaan dan Alignment Goals.......................................................................................................................297
Gambar 5.2 — Memetakan Tujuan Tata Kelola dan Manajemen dengan Tujuan Penyelarasan..................................................................................298
Gambar 5.3 — Peran COBIT dan Struktur Organisasi.............................................................................................................................299
Halaman 9
BAB 1
PENGANTAR COBIT 2019
Bab 1
Pengantar COBIT ® 2019
Selama bertahun-tahun, kerangka kerja praktik terbaik telah dikembangkan dan dipromosikan untuk membantu dalam proses pemahaman, perancangan
dan menerapkan tata kelola perusahaan TI (EGIT). COBIT ® 2019 dibangun dan terintegrasi selama lebih dari 25 tahun pengembangan
di bidang ini, tidak hanya memasukkan wawasan baru dari sains, tetapi juga mengoperasionalkan wawasan ini sebagai praktik.
Berawal dari komunitas audit TI, COBIT ® telah berkembang menjadi informasi yang lebih luas dan komprehensif
serta kerangka tata kelola dan manajemen teknologi (I&T) dan terus memantapkan dirinya sebagai yang diterima secara umum
kerangka kerja untuk tata kelola I&T.
1.1.1 Apa Itu COBIT dan Apa Itu Bukan?
Sebelum menjelaskan kerangka kerja COBIT yang diperbarui, penting untuk menjelaskan apa itu COBIT dan bukan:
COBIT adalah kerangka kerja untuk tata kelola dan pengelolaan informasi dan teknologi, yang ditujukan untuk seluruh perusahaan.
I&T Perusahaan berarti semua teknologi dan pemrosesan informasi yang dilakukan perusahaan untuk mencapai tujuannya,
terlepas dari di mana hal ini terjadi di perusahaan. Dengan kata lain, I&T perusahaan tidak terbatas pada departemen TI
organisasi tetapi tentu saja memasukkannya.
Kerangka COBIT membuat perbedaan yang jelas antara tata kelola dan manajemen. Kedua disiplin ini mencakup
aktivitas yang berbeda, membutuhkan struktur organisasi yang berbeda dan melayani tujuan yang berbeda.
• Tata kelola memastikan bahwa:
▪ Kebutuhan, kondisi dan pilihan pemangku kepentingan dievaluasi untuk menentukan tujuan usaha yang disepakati dan seimbang.
▪ Kinerja dan kepatuhan dipantau terhadap arah dan tujuan yang disepakati.
Di kebanyakan perusahaan, tata kelola adalah tanggung jawab dewan direksi, di bawah kepemimpinan ketuanya.
Tanggung jawab tata kelola khusus dapat didelegasikan ke struktur organisasi khusus pada tingkat yang sesuai,
terutama di perusahaan yang lebih besar dan kompleks.
• Manajemen merencanakan, membangun, menjalankan dan memantau kegiatan, sejalan dengan arahan yang ditetapkan oleh badan tata kelola, untuk
mencapai tujuan perusahaan.
Di kebanyakan perusahaan, manajemen adalah tanggung jawab manajemen eksekutif di bawah kepemimpinan kepala
pejabat eksekutif (CEO).
COBIT mendefinisikan komponen untuk membangun dan mempertahankan sistem tata kelola: proses, struktur organisasi, kebijakan, dan
prosedur, arus informasi, budaya dan perilaku, keterampilan, dan infrastruktur. 1
COBIT menentukan faktor desain yang harus dipertimbangkan oleh perusahaan untuk membangun sistem tata kelola yang paling sesuai.
COBIT menangani masalah tata kelola dengan mengelompokkan komponen tata kelola yang relevan ke dalam tata kelola dan manajemen
tujuan yang dapat dikelola ke tingkat kemampuan yang dibutuhkan.
Halaman 10
Rangkaian produk COBIT ® 2019 terbuka dan dirancang untuk kustomisasi. Publikasi berikut saat ini tersedia. 2
• Kerangka COBIT ® 2019: Pengenalan dan Metodologi memperkenalkan konsep-konsep utama COBIT ® 2019.
• Kerangka COBIT ® 2019: Tujuan Tata Kelola dan Manajemen menjelaskan secara komprehensif 40 tata kelola inti
dan tujuan manajemen, proses yang terkandung di dalamnya, dan komponen terkait lainnya. Panduan ini juga referensi
standar dan kerangka kerja lainnya.
• COBIT ® 2019 Panduan Rancangan: Merancang Solusi Tata Kelola Teknologi dan Informasi mengeksplorasi faktor-faktor desain
yang dapat memengaruhi tata kelola dan menyertakan alur kerja untuk merencanakan sistem tata kelola yang disesuaikan untuk perusahaan.
• Panduan Penerapan COBIT ® 2019: Menerapkan dan Mengoptimalkan Tata Kelola Teknologi dan Informasi
Solusi merupakan evolusi daripanduan Implementasi COBIT ® 5 dan mengembangkan peta jalan untuk berkelanjutan
perbaikan tata kelola. Ini dapat digunakan dalam kombinasi dengan COBIT ® 2019 Panduan Desain.
Gambar 1.1 menunjukkan gambaran umum tingkat tinggi COBIT ® 2019 dan menggambarkan bagaimana publikasi yang berbeda dalam sampul set
aspek yang berbeda.
2 Pada saat publikasi dari COBIT 2019 Framework: Governance and Management Objectives judul ini, judul tambahan direncanakan untuk COBIT 2019
® ®
10
Halaman 11
BAB 1
PENGANTAR COBIT 2019
Konten yang diidentifikasi sebagai area fokus pada gambar 1.1 akan berisi panduan yang lebih rinci tentang tema tertentu. 3
Di masa depan, COBIT akan meminta komunitas penggunanya untuk mengusulkan pembaruan konten, untuk diterapkan sebagai kontribusi terkontrol
secara berkelanjutan, untuk menjaga COBIT tetap up-to-date dengan wawasan dan evolusi terbaru.
Bagian berikut menjelaskan konsep dan istilah utama yang digunakan dalam COBIT ® 2019.
Untuk informasi dan teknologi untuk berkontribusi pada tujuan perusahaan, sejumlah tujuan tata kelola dan manajemen
harus dicapai. Konsep dasar yang berkaitan dengan tujuan tata kelola dan manajemen adalah:
• Tujuan tata kelola atau manajemen selalu berkaitan dengan satu proses (dengan nama yang identik atau mirip) dan serangkaian proses
komponen terkait jenis lain untuk membantu mencapai tujuan.
• Tujuan tata kelola berkaitan dengan proses tata kelola (digambarkan dengan latar belakang biru tua pada gambar 1.2 ), sedangkan
a tujuan manajemen berkaitan dengan proses manajemen (digambarkan pada latar belakang biru muda pada gambar 1.2 ). Papan
dan manajemen eksekutif biasanya bertanggung jawab atas proses tata kelola, sedangkan proses manajemen adalah tanggung jawab
domain manajemen senior dan menengah.
Tujuan tata kelola dan manajemen di COBIT dikelompokkan menjadi lima domain. Domain memiliki nama dengan kata kerja
yang mengungkapkan tujuan utama dan bidang kegiatan dari tujuan yang terkandung di dalamnya:
• Tujuan tata kelola dikelompokkan dalam domain Evaluate, Direct and Monitor (EDM). Dalam domain ini, yang mengatur
badan mengevaluasi opsi-opsi strategis, mengarahkan manajemen senior pada opsi-opsi strategis yang dipilih dan memantau pencapaiannya
dari strategi tersebut.
• Tujuan pengelolaan dikelompokkan dalam empat domain.
▪ Sejajarkan, Rencanakan, dan Atur (APO) membahas keseluruhan organisasi, strategi, dan aktivitas pendukung untuk I&T.
▪ Build, Acquire and Implement (BAI) menangani definisi, akuisisi, dan implementasi solusi I&T serta solusi-solusi
tersebut integrasi dalam proses bisnis.
▪ Pengiriman , Layanan, dan Dukungan (DSS) membahas pengiriman operasional dan dukungan layanan I&T, termasuk
keamanan.
▪ Pantau, Evaluasi, dan Nilai (MEA) membahas pemantauan kinerja dan kesesuaian I&T dengan internal
target kinerja, tujuan pengendalian internal dan persyaratan eksternal.
3 Sejumlah panduan konten area fokus ini sudah dalam persiapan; yang lainnya sudah direncanakan. Kumpulan panduan area fokus terbuka dan akan terus berlanjut
berkembang. Untuk informasi terbaru tentang publikasi yang tersedia dan yang direncanakan saat ini serta konten lainnya, silakan kunjungi www.isaca.org/cobit .
11
Halaman 12
EDM01 —Pastikan
EDM04 —Pastikan EDM05 —Pastikan
Tata Kelola EDM02 —Pastikan EDM03 —Pastikan
Sumber Stakeholder
Pengaturan Kerangka Pengiriman Manfaat Optimasi Risiko
Optimasi Keterikatan
dan pemeliharaan
MEA02 —Dikelola
Sistem Internal
BAI03 —Dikelola BAI07 —Dikelola Kontrol
BAI01 —Dikelola BAI02 —Dikelola BAI04 —Dikelola BAI05 —Dikelola
Solusi BAI06 —Dikelola Perubahan TI
Program Persyaratan Ketersediaan Organisasi
Identifikasi Perubahan TI Penerimaan dan
Definisi dan Kapasitas Perubahan
dan Build Transisi
MEA03— Dikelola
BAI08 —Dikelola BAI09 —Dikelola BAI10 —Dikelola BAI11 —Dikelola Kepatuhan Dengan
Pengetahuan Aktiva Konfigurasi Proyek Luar
Persyaratan
Untuk memenuhi tujuan tata kelola dan manajemen, setiap perusahaan perlu menetapkan, menyesuaikan, dan mempertahankan sistem tata kelola
dibangun dari sejumlah komponen.
• Komponen adalah faktor yang, secara individu dan kolektif, berkontribusi pada operasi tata kelola perusahaan yang baik
sistem di atas I&T.
• Komponen berinteraksi satu sama lain, menghasilkan sistem tata kelola yang holistik untuk I&T.
• Komponen dapat dari berbagai jenis. Yang paling dikenal adalah proses. Bagaimanapun, komponen sistem pemerintahan
juga mencakup struktur organisasi; kebijakan dan prosedur; item informasi; budaya dan perilaku; keterampilan dan
kompetensi; dan layanan, infrastruktur dan aplikasi ( gambar 1.3 ).
▪ Proses menggambarkan serangkaian praktik dan kegiatan yang terorganisir untuk mencapai tujuan tertentu dan menghasilkan serangkaian
keluaran yang mendukung pencapaian tujuan terkait TI secara keseluruhan.
▪ Struktur organisasi adalah entitas pembuat keputusan utama dalam suatu perusahaan.
▪ Prinsip, kebijakan dan kerangka kerja menerjemahkan perilaku yang diinginkan menjadi pedoman praktis untuk pengelolaan sehari-hari.
▪ Informasi tersebar luas di seluruh organisasi dan mencakup semua informasi yang dihasilkan dan digunakan oleh
perusahaan. COBIT berfokus pada informasi yang diperlukan untuk berfungsinya sistem tata kelola secara efektif
perusahaan.
12
Halaman 13
BAB 1
PENGANTAR COBIT 2019
▪ Budaya, etika dan perilaku individu dan perusahaan sering diremehkan sebagai faktor keberhasilan
kegiatan tata kelola dan manajemen.
▪ Orang, keterampilan dan kompetensi dibutuhkan untuk keputusan yang baik, pelaksanaan tindakan korektif dan sukses
penyelesaian semua aktivitas.
▪ Layanan, infrastruktur dan aplikasi termasuk infrastruktur, teknologi dan aplikasi yang
menyediakan perusahaan dengan sistem tata kelola untuk pemrosesan I&T.
Proses
Jasa,
Infrastruktur Organisasi
dan Struktur
Aplikasi
Tata Kelola
Orang, Keterampilan Sistem Prinsip,
dan Kebijakan,
Kompetensi Prosedur
Budaya, Etika
dan Informasi
Tingkah laku
Komponen dari semua tipe bisa generik atau bisa jadi varian dari komponen generik:
• Generic komponen dijelaskan dalam model COBIT inti (lihat Gambar 1.2 ) dan menerapkan pada prinsipnya untuk situasi apa pun.
Namun, mereka bersifat umum dan umumnya membutuhkan penyesuaian sebelum diterapkan secara praktis.
• Varian didasarkan pada komponen umum tetapi disesuaikan untuk tujuan atau konteks tertentu dalam area fokus (mis.,
untuk keamanan informasi, DevOps, regulasi tertentu).
13
Halaman 14
Area fokus mendeskripsikan topik, domain, atau masalah tata kelola tertentu yang dapat ditangani oleh sekumpulan tata kelola
dan tujuan pengelolaan serta komponennya. Contoh area fokus termasuk usaha kecil dan menengah,
keamanan siber, transformasi digital, komputasi awan, privasi, dan DevOps. 4
Model inti COBIT adalah subjek dari publikasi ini, dan menyediakan komponen tata kelola generik. Area fokus
dapat berisi kombinasi komponen tata kelola umum dan varian pada komponen tertentu yang disesuaikan dengan fokus tersebut
topik area.
Jumlah area fokus hampir tidak terbatas. Itulah yang membuat COBIT terbuka. Area fokus baru dapat ditambahkan sebagai
diperlukan atau sebagai ahli materi pelajaran dan praktisi berkontribusi pada model COBIT terbuka.
Sejumlah panduan konten area fokus sedang dalam persiapan, dan set akan terus berkembang. Untuk informasi terbaru tentang
publikasi dan konten lain yang saat ini tersedia dan menunggu keputusan, silakan kunjungi www.isaca.org/cobit .
4 DevOps mencontohkan varian komponen dan area fokus. Mengapa? DevOps adalah tema terkini di pasar dan pasti membutuhkan panduan khusus,
menjadikannya area fokus. DevOps mencakup sejumlah tujuan tata kelola dan manajemen umum dari model COBIT inti, bersama dengan sejumlah varian
proses dan struktur organisasi yang terkait dengan pengembangan, operasional dan pemantauan.
14
Halaman
15
BAB 2
STRUKTUR PUBLIKASI INI DAN AUDIENS YANG DIMAKSUDKAN
Bab 2
Struktur Publikasi Ini dan Audiens yang Dituju
Publikasi ini memberikan deskripsi lengkap tentang 40 tujuan inti tata kelola dan manajemen yang didefinisikan dalam
model inti COBIT ( gambar 1.2 ), proses yang terkandung di dalamnya, komponen terkait lainnya, dan referensi terkait
pedoman seperti standar dan kerangka kerja lainnya. Daftar rinci dari sumber referensi yang disertakan terletak di
Lampiran C.
Panduan ini ditulis untuk para profesional di seluruh perusahaan, termasuk bisnis, audit, keamanan, manajemen risiko, TI
dan praktisi lain yang akan mendapatkan keuntungan dari panduan rinci tentang 40 tujuan tata kelola dan manajemen
Model inti COBIT. Tingkat pengalaman dan pemahaman tertentu tentang perusahaan diperlukan untuk menyesuaikan COBIT menjadi
praktik tata kelola yang disesuaikan dan terfokus untuk perusahaan.
15
Halaman 16
Halaman
17
BAGIAN 3
STRUKTUR TATA KELOLA COBIT DAN TUJUAN MANAJEMEN
bagian 3
Struktur Tata Kelola dan Tujuan Manajemen COBIT
3.1 Pendahuluan
Bab ini menjelaskan struktur yang digunakan untuk merinci masing-masing tujuan tata kelola dan manajemen COBIT. Untuk
setiap tujuan tata kelola dan manajemen, Bab 4 dari publikasi ini memberikan informasi yang terkait dengan masing-masing
komponen tata kelola yang berlaku untuk tujuan tata kelola atau manajemen itu:
• Proses
• Struktur organisasi
• Arus dan item informasi
• Orang, keterampilan dan kompetensi
• Kebijakan dan prosedur
• Budaya, etika dan perilaku
• Layanan, infrastruktur dan aplikasi
Seperti yang telah dijelaskan sebelumnya, COBIT ® 2019 mencakup 40 tujuan tata kelola dan manajemen, yang diatur ke dalam lima domain
(lihat gambar 1.2 ).
• Domain tata kelola
Informasi tingkat tinggi yang dirinci untuk setiap tujuan ( gambar 3.1 ) meliputi:
• Nama domain
• Area fokus (dalam hal publikasi ini, ini adalah model inti COBIT)
• Nama tujuan tata kelola atau manajemen
• Deskripsi
• Pernyataan tujuan
17
Halaman 18
Deskripsi
<TEXT>
Tujuan
<TEXT>
Setiap tujuan tata kelola atau manajemen mendukung pencapaian tujuan penyelarasan yang terkait dengan perusahaan yang lebih besar
tujuan (lihat Bagian 4.6 Kerangka COBIT ® 2019: Pengantar dan Metodologi untuk informasi lebih lanjut dan lihat tujuan
tabel pemetaan kaskade di Lampiran A sebagai contoh).
Tujuan keselarasan yang memiliki link utama untuk tata kelola atau manajemen tujuan di tangan tercantum di sebelah kanan - tangan
sisi dari bagian panduan rinci yang mencakup tujuan ( gambar 3.2 ).
Tujuan Perusahaan
• <EG REF> <GOAL DESCRIPTION>
➡ Tujuan Penyelarasan
• <AG REF> <GOAL DESCRIPTION>
Sasaran perusahaan yang memiliki tautan utama ke sasaran penyelarasan yang tercantum disertakan di sisi kiri detail
panduan di Bab 4 yang mencakup tujuan. Sasaran perusahaan meliputi:
• EG01: Portofolio produk dan layanan kompetitif
• EG02: Risiko bisnis yang dikelola
18
Halaman 19
BAGIAN 3
STRUKTUR TATA KELOLA COBIT DAN TUJUAN MANAJEMEN
Contoh metrik untuk tujuan perusahaan dan tujuan penyelarasan juga disediakan dalam tabel ( gambar 3.3 ).
Tujuan Perusahaan
<EG REF> <GOAL DESCRIPTION>
➡ Tujuan Penyelarasan
<AG REF> <GOAL DESCRIPTION>
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
Setiap tujuan tata kelola dan manajemen mencakup beberapa praktik proses. Setiap proses memiliki satu atau lebih aktivitas. SEBUAH
jumlah metrik contoh yang terbatas menyertai setiap praktik proses, untuk mengukur pencapaian praktik dan praktiknya
kontribusi terhadap pencapaian tujuan keseluruhan ( gambar 3.4 ).
1. <TEXT> <NR>
2. <TEXT> <NR>
n. <TEXT> <NR>
19
Halaman 20
Tingkat kemampuan ditetapkan ke semua aktivitas proses, memungkinkan definisi proses yang jelas pada tingkat kemampuan yang berbeda.
Suatu proses mencapai tingkat kemampuan tertentu segera setelah semua aktivitas tingkat itu dilakukan dengan sukses. COBIT ® 2019
mendukung Capability Maturity Model Integration ® (CMMI) - berdasarkan skema proses-kemampuan, mulai dari 0 sampai 5.
tingkat kapabilitas adalah ukuran seberapa baik suatu proses diimplementasikan dan dilakukan. Gambar 3.5 menggambarkan model, itu
meningkatkan tingkat kemampuan dan karakteristik umum masing-masing.
3 Proses mencapai tujuannya dengan cara yang jauh lebih terorganisir menggunakan
aset organisasi. Proses biasanya didefinisikan dengan baik.
Proses tersebut mencapai tujuannya melalui penerapan seperangkat dasar, namun lengkap
2 kegiatan yang dapat dicirikan sebagai dilakukan.
1 Proses tersebut kurang lebih mencapai tujuannya melalui penerapan serangkaian aktivitas yang tidak lengkap itu
dapat dicirikan sebagai awal atau intuitif — tidak terlalu terorganisir.
Lihat Bab 6 dari COBIT ® 2019 Kerangka: Pendahuluan dan Metodologi untuk rincian tambahan pada kinerja
manajemen dan pengukuran kapabilitas.
Jika relevan, referensi ke standar dan panduan lain juga disertakan dalam bagian ini (lihat gambar 3.4 ). Terkait
pedoman mengacu pada semua standar, kerangka kerja, persyaratan kepatuhan dan pedoman lain yang relevan untuk proses
tersebut di tangan. Area referensi terperinci mengutip bab atau bagian tertentu dalam panduan terkait. Daftar lengkap sumber untuk
pedoman terkait termasuk dalam Lampiran C.
Jika tidak ada panduan terkait yang terdaftar untuk komponen tertentu, tidak ada referensi yang berlaku yang diketahui dari sumber yang dipetakan.
Komunitas praktisi didorong untuk menyarankan panduan terkait.
Komponen tata kelola struktur organisasi menyarankan tingkat tanggung jawab dan akuntabilitas untuk proses
praktik ( gambar 3.6 ). Bagan tersebut mencakup peran individu serta struktur organisasi, baik dari bisnis maupun TI.
20
Halaman 21
BAGIAN 3
STRUKTUR TATA KELOLA COBIT DAN TUJUAN MANAJEMEN
Tata Kelola Utama / Praktik Manajemen Struktur OStrrguakntiusrasOSi t1rrguakntiusrasOSi t2rrguakntiusrasOSi t3rrguakntiusrasOSi t4rrguakntiusrasOSi
t5rrguakntiusrasOSi t6rrguakntiusrasOi 7rganisasi 8, dll.
HAI HAI HAI HAI HAI HAI HAI HAI
<REF> <NAME>
Peran dan struktur organisasi berikut telah didefinisikan dalam konteks COBIT ® 2019:
• Papan
• Komite Eksekutif
• Direktur Eksekutif
• Direktur Keuangan
• Direktur Operasional
• Kepala Pejabat Risiko
• Kepala Bagian Informasi
• Direktur Teknologi
• Kepala Bagian Digital
• Dewan Tata Kelola I&T
• Dewan Arsitektur
• Komite Risiko Perusahaan
• Kepala Petugas Keamanan Informasi
• Pemilik Proses Bisnis
• Manajer Portofolio
• Komite Pengarah (Program / Proyek)
• Manajer Program
• Manajer Proyek
• Kantor Manajemen Proyek
• Fungsi Manajemen Data
• Kepala Sumber Daya Manusia
• Manajer Hubungan
21
Halaman 22
• Kepala Arsitek
• Pengembangan Kepala
• Kepala Operasi TI
• Kepala Bagian Administrasi TI
• Manajer Layanan
• Manajer Keamanan Informasi
• Manajer Kontinuitas Bisnis
• Petugas Privasi
• Penasihat Hukum
• Kepatuhan
• Audit
Penjelasan rinci tentang masing-masing peran dan struktur organisasi ini tercakup dalam Lampiran B. Tingkatan yang berbeda dari
keterlibatan yang tercakup untuk struktur ini dapat dibagi menjadi tingkat yang bertanggung jawab dan dapat dipertanggungjawabkan.
• Peran bertanggung jawab (R) mengambil peran operasional utama dalam memenuhi praktik dan menciptakan hasil yang diinginkan. siapa yang
menyelesaikan tugas? Siapa yang menjalankan tugas itu?
• Akuntabel (A) peran membawa akuntabilitas secara keseluruhan. Prinsipnya, akuntabilitas tidak bisa dibagikan. Siapa yang menyumbang
keberhasilan dan pencapaian tugas?
Setiap domain menggambarkan struktur organisasi yang memiliki tanggung jawab dan / atau akuntabilitas dalam domain tersebut. A rinci
deskripsi masing-masing peran dan struktur organisasi disertakan. Struktur organisasi lain tanpa tanggung jawab atau
akuntabilitas telah dihilangkan untuk meningkatkan keterbacaan grafik.
Praktisi dapat melengkapi bagan dengan menambahkan dua tingkat keterlibatan untuk peran dan struktur organisasi. Sejak
atribusi peran yang dikonsultasikan dan diinformasikan tergantung pada konteks dan prioritas organisasi, mereka tidak termasuk dalam hal ini
panduan rinci.
• Peran berkonsultasi (C) memberikan masukan untuk praktek. Siapa yang memberikan masukan?
• Peran yang diinformasikan (I) diinformasikan tentang pencapaian dan / atau hasil dari praktik tersebut. Siapa yang menerima informasi?
Perusahaan harus meninjau tingkat tanggung jawab dan akuntabilitas, dikonsultasikan dan diinformasikan, dan memperbarui peran dan
struktur organisasi dalam bagan sesuai dengan konteks perusahaan, prioritas dan terminologi yang disukai.
Jika relevan, referensi ke standar lain dan panduan tambahan disertakan dalam struktur organisasi
bagian komponen. Panduan Terkait mengacu pada semua standar, kerangka kerja, persyaratan kepatuhan, dan lainnya
panduan yang relevan untuk struktur organisasi yang ada dan tingkat keterlibatan mereka dalam proses. Itu
area referensi rinci mengutip bab atau bagian tertentu dalam panduan terkait. Daftar lengkap sumber disertakan di
Lampiran C.
Komponen tata kelola ketiga memberikan panduan tentang arus informasi dan item yang terkait dengan praktik proses. Setiap
praktek termasuk masukan dan keluaran, dengan indikasi asal dan tujuan.
Secara umum, setiap output dikirim ke satu atau sejumlah tujuan, biasanya praktik proses COBIT lainnya. Bahwa
keluaran kemudian menjadi masukan ke tujuannya ( gambar 3.7 ).
22
Halaman 23
BAGIAN 3
STRUKTUR TATA KELOLA COBIT DAN TUJUAN MANAJEMEN
Sejumlah output, bagaimanapun, memiliki banyak tujuan (misalnya, semua proses COBIT atau semua proses dalam suatu domain). Untuk
alasan keterbacaan, keluaran ini tidak terdaftar sebagai masukan dalam proses target. Daftar lengkap dari keluaran tersebut disertakan
pada gambar 3.8 .
Untuk beberapa masukan / keluaran, "internal" disebut sebagai tujuan jika masukan dan keluaran dibagi antara kegiatan dalam proses yang sama.
APO13.02 Rencana penanganan risiko keamanan informasi Semua EDM, Semua APO; Semua BAI, Semua DSS;
Semua MEA
Dari Praktek Pemerintahan Deskripsi Keluaran Tujuan
EDM01.01 Prinsip pedoman tata kelola perusahaan Semua EDM
APO01.01 Desain sistem manajemen Semua APO; Semua BAI; Semua DSS; Semua MEA
APO01.01 Tata kelola prioritas dan tujuan manajemen Semua APO; Semua BAI; Semua DSS; Semua MEA
APO01.02 Komunikasi tentang tujuan I&T Semua APO; Semua BAI; Semua DSS; Semua MEA
APO01.02 Aturan dasar komunikasi Semua APO; Semua BAI; Semua DSS; Semua MEA
APO 01.03 Analisis kesenjangan model target Semua APO; Semua BAI; Semua DSS; Semua MEA
APO01.11 Peluang peningkatan proses Semua APO; Semua BAI; Semua DSS; Semua MEA
APO02.05 Strategi dan tujuan I&T Semua APO; Semua BAI; Semua DSS; Semua MEA
APO02.06 Paket komunikasi Semua APO; Semua BAI; Semua DSS; Semua MEA
APO11.03 Standar manajemen mutu Semua APO; Semua BAI; Semua DSS; Semua MEA
APO11.04 Kualitas proses tujuan dan metrik layanan Semua APO; Semua BAI; Semua DSS; Semua MEA
APO11.05 Komunikasi tentang peningkatan berkelanjutan dan praktik terbaik Semua APO; Semua BAI; Semua DSS; Semua MEA
APO11.05 Contoh praktik yang baik untuk dibagikan Semua APO; Semua BAI; Semua DSS; Semua MEA
APO11.05 Hasil benchmark review kualitas Semua APO; Semua BAI; Semua DSS; Semua MEA
23
Halaman 24
MEA01.02 Memantau target Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA01.04 Laporan kinerja Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA01.05 Tindakan perbaikan dan tugas Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA02.01 Hasil pemantauan dan tinjauan pengendalian internal Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA02.01 Hasil benchmarking dan evaluasi lainnya Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA02.03 Hasil review penilaian diri Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA02.03 Rencana dan kriteria penilaian diri sendiri Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA02.04 Kekurangan kontrol Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA02.04 Tindakan perbaikan Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA03.02 Komunikasi persyaratan kepatuhan yang diubah Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA04.02 Rencana jaminan Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA04.08 Laporan tinjauan jaminan Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA04.08 Hasil review jaminan Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA04.09 Tindakan perbaikan Semua APO; Semua BAI; Semua DSS; Semua MEA
Jika relevan, referensi ke standar lain dan panduan tambahan disertakan dalam arus dan item informasi
komponen. Panduan Terkait mengacu pada semua standar, kerangka kerja, persyaratan kepatuhan dan panduan lain itu
relevan untuk item informasi yang ada. Area referensi rinci mengutip bab atau bagian tertentu yang terkait
bimbingan. Daftar lengkap sumber disertakan dalam Lampiran C.
Komponen tata kelola orang, keterampilan dan kompetensi mengidentifikasi sumber daya manusia dan keterampilan yang dibutuhkan untuk mencapai
tujuan tata kelola atau manajemen. COBIT ® 2019 mendasarkan panduan ini pada Kerangka Keterampilan untuk Era Informasi
(SFIA ® ) V6 (versi 6). 5 Semua keterampilan yang terdaftar dijelaskan secara rinci dalam kerangka SFIA. Referensi Terperinci menyediakan
kode unik yang berhubungan dengan panduan SFIA pada keterampilan ( gambar 3.9 ). Selain itu, referensi disertakan untuk beberapa
tujuan tata kelola dan manajemen ke e-Competence Framework (e-CF) -A Kerangka umum Eropa untuk TIK
Profesional di semua sektor industri — Bagian 1: Kerangka 6 dan “Prinsip Inti untuk Lembaga Auditor Internal
Praktik Profesional Audit Internal. ” 7
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
<NAMA> Kerangka Keterampilan untuk Era Informasi, V6 (SFIA 6), 2015 <KODE SFIA>
<NAMA> Kerangka Keterampilan untuk Era Informasi, V6 (SFIA 6), 2015 <KODE SFIA>
5 SFIA Foundation, “SFIA V6, versi utama keenam dari Kerangka Keterampilan untuk Era Informasi.,” Https://www.sfia-online.org/en/framework/sfia-6
6 Komite Eropa untuk Standardisasi (CEN), Kerangka Kerja e-Kompetensi (e-CF) - Kerangka kerja umum Eropa untuk Profesional TIK di
semua sektor industri - Bagian 1: Kerangka, EN 16234-1: 2016, https://standards.cen.eu/dyn/www/f?
p=204:110i>::::FSP_PROJECT:41798&cs=13E00999DD92E702F0E171397CF76EC87
7 The Institute of Internal Auditing (IIA ), "Prinsip Inti untuk Praktik Profesional Audit Internal",
® ®
https://na.theiia.org/standards-guidance/mandatory-guidance/Pages/Core-Principles-for-the-Professional-Practice-of-Internal-Auditing.aspx
24
Halaman 25
BAGIAN 3
STRUKTUR TATA KELOLA COBIT DAN TUJUAN MANAJEMEN
3.8 Komponen: Kebijakan dan Prosedur
Komponen ini memberikan panduan rinci tentang kebijakan dan prosedur yang relevan untuk tata kelola atau manajemen
objektif. Nama kebijakan dan prosedur yang relevan disertakan, dengan deskripsi tujuan dan konten
kebijakan ( gambar 3.10 ).
Jika relevan, referensi ke standar lain dan panduan tambahan disertakan. Panduan Terkait mengutip secara spesifik
bab atau bagian dalam pedoman terkait di mana lebih banyak informasi dapat dikonsultasikan. Daftar lengkap sumbernya adalah
termasuk dalam Lampiran C.
Komponen tata kelola budaya, etika, dan perilaku memberikan panduan terperinci tentang elemen budaya yang diinginkan di dalamnya
organisasi yang mendukung pencapaian tujuan tata kelola atau manajemen ( gambar 3.11 ). Di mana relevan,
referensi ke standar lain dan panduan tambahan disertakan. Panduan Terkait mengutip bab atau bagian tertentu
dalam pedoman terkait di mana lebih banyak informasi dapat dikonsultasikan. Daftar lengkap sumber disertakan dalam Lampiran C.
Komponen tata kelola layanan, infrastruktur, dan aplikasi memberikan panduan terperinci tentang layanan pihak ketiga,
jenis infrastruktur dan kategori aplikasi yang dapat diterapkan untuk mendukung pencapaian suatu tata kelola atau
tujuan manajemen. Panduan bersifat umum (untuk menghindari penamaan vendor atau produk tertentu); namun, entri memang menyediakan
arahan bagi perusahaan untuk membangun sistem tata kelola mereka untuk I&T ( gambar 3.12 ).
25
Halaman 26
Halaman
27
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Bab 4
Tujuan Tata Kelola dan Manajemen COBIT — Panduan Terperinci
27
Halaman 28
Halaman
29
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Menganalisis dan mengartikulasikan persyaratan untuk tata kelola I&T perusahaan. Menempatkan dan memelihara komponen tata kelola dengan jelas
wewenang dan tanggung jawab untuk mencapai misi, tujuan dan sasaran perusahaan.
Tujuan
Memberikan pendekatan konsisten yang terintegrasi dan selaras dengan pendekatan tata kelola perusahaan. Keputusan terkait I & T dibuat sejalan dengan keputusan perusahaan
strategi dan tujuan dan nilai yang diinginkan direalisasikan. Untuk itu, pastikan bahwa proses terkait I & T diawasi secara efektif dan transparan;
kepatuhan terhadap persyaratan hukum, kontrak dan peraturan dipastikan; dan persyaratan tata kelola untuk anggota dewan dipenuhi.
Tujuan tata kelola mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG03 Kepatuhan terhadap hukum dan peraturan eksternal
➡ Tujuan Penyelarasan
• AG01 Kepatuhan I&T dan dukungan untuk kepatuhan bisnis
• EG08 Optimalisasi fungsi proses bisnis internal
hukum dan peraturan eksternal
• Program transformasi digital terkelola EG12
• AG03 Manfaat yang direalisasikan dari investasi dan layanan yang mendukung I & T
portofolio
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
EDM01.01 Mengevaluasi sistem tata kelola. Sebuah. Jumlah prinsip panduan yang ditetapkan untuk tata kelola I&T dan
Identifikasi dan libatkan secara berkelanjutan dengan pemangku kepentingan perusahaan, pengambilan keputusan
mendokumentasikan pemahaman tentang persyaratan, dan mengevaluasi b. Jumlah eksekutif senior yang terlibat dalam menetapkan arah tata kelola
desain tata kelola I&T perusahaan saat ini dan di masa mendatang. untuk itu
Kegiatan Tingkat Kemampuan
1. Menganalisis dan mengidentifikasi faktor lingkungan internal dan eksternal (kewajiban hukum, peraturan dan kontrak) dan tren di 2
lingkungan bisnis yang dapat mempengaruhi desain tata kelola.
3. Pertimbangkan peraturan eksternal, hukum dan kewajiban kontrak dan tentukan bagaimana mereka harus diterapkan dalam
tata kelola I&T perusahaan.
4. Tentukan implikasi dari lingkungan pengendalian perusahaan secara keseluruhan yang berkaitan dengan I&T.
5. Menyelaraskan penggunaan dan pemrosesan informasi secara etis dan dampaknya terhadap masyarakat, lingkungan alam, serta internal dan eksternal 3
kepentingan pemangku kepentingan dengan arah, sasaran dan sasaran perusahaan.
6. Mengartikulasikan prinsip-prinsip yang akan memandu desain tata kelola dan pengambilan keputusan I&T.
Halaman 30
CMMI Cybermaturity Platform, 2018 GE.AG Menerapkan Sistem Tata Kelola; GE.MG Memantau Sistem Tata Kelola
ISO / IEC 38500: 2015 (E) 5.2 Prinsip 1: Tanggung Jawab (Evaluasi)
ITIL V3, 2011 Strategi Pelayanan, 2.3 Tata kelola dan sistem manajemen
EDM01.02 Mengarahkan sistem tata kelola. Sebuah. Sejauh mana prinsip-prinsip tata kelola I&T yang disetujui terbukti
Memberi tahu para pemimpin tentang prinsip-prinsip tata kelola I&T dan mendapatkan dukupnrogsaensmdaenrepkraa,ktik (persentase proses dan praktik
dukungan dan komitmen. Pandu struktur, proses, dan praktik dapat dilacak ke prinsip)
untuk tata kelola I&T sejalan dengan prinsip-prinsip tata kelola yang telah disepakati, b. Frekuensi pelaporan tata kelola I&T kepada komite eksekutif
model pengambilan keputusan dan tingkat otoritas. Tentukan informasinya dan papan
diperlukan untuk pengambilan keputusan yang terinformasi. c. Jumlah peran, tanggung jawab dan wewenang untuk tata kelola I&T
yang ditentukan, ditetapkan dan diterima oleh bisnis yang sesuai dan
Manajemen I&T
Kegiatan Tingkat Kemampuan
1. Komunikasikan tata kelola prinsip-prinsip I&T dan setujui manajemen eksekutif tentang cara menetapkan dan 2
kepemimpinan yang berkomitmen.
2. Menetapkan atau mendelegasikan pembentukan struktur, proses, dan praktik tata kelola sejalan dengan desain yang telah
disepakati prinsip.
3. Membentuk dewan tata kelola I&T (atau yang setara) di tingkat dewan. Dewan ini harus memastikan bahwa tata kelola informasi
dan teknologi, sebagai bagian dari tata kelola perusahaan, ditangani secara memadai; memberi nasihat tentang arahan strategis; dan tentukan
memprioritaskan program investasi yang mendukung I & T sejalan dengan strategi dan prioritas bisnis perusahaan.
4. Mengalokasikan tanggung jawab, wewenang dan akuntabilitas untuk keputusan I&T sejalan dengan prinsip desain tata kelola yang telah disepakati, 3
model pengambilan keputusan dan pendelegasian.
5. Pastikan bahwa mekanisme komunikasi dan pelaporan menyediakan mereka yang bertanggung jawab atas pengawasan dan pengambilan keputusan
informasi yang sesuai.
6. Arahkan agar staf mengikuti pedoman yang relevan untuk perilaku etis dan profesional dan memastikan bahwa konsekuensi dari
ketidakpatuhan diketahui dan diberlakukan.
7. Mengarahkan pembentukan sistem penghargaan untuk mempromosikan perubahan budaya yang diinginkan.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SG1.1 Kerangka Tata Kelola Keamanan
ISO / IEC 38500: 2015 (E) 5.2 Prinsip 1: Tanggung Jawab (Langsung)
ISO / IEC 38502: 2017 (E) Tata Kelola TI - Kerangka kerja dan model (semua bab)
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 5.4: Area fungsional tata kelola - Prinsip 12
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.14 Perencanaan (PL-2, PL-10)
800-53, Revisi 5 (Draf), Agustus 2017
Praktek Tata Kelola Contoh Metrik
30
Halaman
31
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Menilai efektivitas dan kinerja para pemangku kepentingan yang diberikan tanggung jawab dan wewenang yang didelegasikan untuk tata kelola 3
perusahaan I&T.
2. Secara berkala menilai apakah tata kelola mekanisme I&T yang disepakati (struktur, prinsip, proses, dll.) Ditetapkan 4
dan beroperasi secara efektif.
3. Menilai keefektifan rancangan tata kelola dan mengidentifikasi tindakan untuk memperbaiki setiap penyimpangan yang ditemukan.
4. Menjaga pengawasan sejauh mana I&T memenuhi kewajiban (regulasi, undang-undang, common law, kontrak),
internal kebijakan, standar, dan pedoman profesional.
5. Menyediakan pengawasan atas keefektifan, dan kepatuhan terhadap, sistem pengendalian perusahaan.
6. Pantau mekanisme reguler dan rutin untuk memastikan bahwa penggunaan I&T sesuai dengan kewajiban yang relevan (peraturan,
undang-undang, hukum umum, kontrak), standar dan pedoman.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
ISO / IEC 38500: 2015 (E) 5.2 Prinsip 1: Tanggung Jawab (Monitor)
fficer
fficer
COSO Enterprise Risk Management, Juni 2017 6. Tata Kelola dan Budaya — Prinsip 2
ISO / IEC 38502: 2017 (E) 5.1 Tanggung jawab badan pengatur
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 2: Konsep dasar — Definisi tata kelola perusahaan;
Bagian 5.3: Struktur dan delegasi yang mengatur — Prinsip 6 & 7
31
Halaman 32
Mengevaluasi, Mengarahkan dan Memantau Di luar COBIT • Konstitusi / anggaran rumah tangga M/ odel pengambilan keputusan Semua EDM;
anggaran dasar organisasi APO01.01;
• Tata kelola / APO01.04
keputusan- membuat
Tingkat otoritas Semua EDM;
model
APO01.05
• Hukum / regulasi
• Lingkungan bisnis
tren
EDM01.02 Mengarahkan sistem tata kelola. Tata kelola perusahaan Semua EDM;
komunikasi APO01.02
MEA03.03 Pemenuhan
konfirmasi
32
Halaman
33
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Tata kelola IS e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
E. Kelola — E.9. Tata Kelola IS
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Tata kelola TI Kerangka Keterampilan untuk Era Informasi V6, 2015 PEMERINTAH
33
Halaman 34
Halaman
35
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Mengoptimalkan nilai bisnis dari investasi dalam proses bisnis, layanan I&T, dan aset I&T.
Tujuan
Mengamankan nilai optimal dari inisiatif, layanan, dan aset yang mendukung I & T; penyampaian solusi dan layanan yang hemat biaya; dan handal dan akurat
gambaran biaya dan kemungkinan keuntungan sehingga kebutuhan bisnis didukung secara efektif dan efisien.
Tujuan tata kelola mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG08 Optimalisasi fungsi proses bisnis internal
➡ Tujuan Penyelarasan
AG03 Manfaat yang disadari dari investasi dan layanan yang mendukung I & T
• Program transformasi digital terkelola EG12
portofolio
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Membuat dan memelihara portofolio program investasi yang mendukung I & T, layanan TI, dan aset TI, yang menjadi dasar untuk 2
anggaran TI saat ini dan mendukung rencana taktis dan strategis I&T.
2. Memperoleh pemahaman yang sama antara TI dan fungsi bisnis lainnya tentang potensi peluang yang dapat diaktifkan oleh TI
dan berkontribusi pada strategi perusahaan.
3. Mengidentifikasi kategori yang luas dari sistem informasi, aplikasi, data, layanan TI, infrastruktur, aset I&T, sumber daya, keterampilan,
praktik, kontrol, dan hubungan yang diperlukan untuk mendukung strategi perusahaan.
4. Setuju pada tujuan I&T, dengan mempertimbangkan hubungan timbal balik antara strategi perusahaan dan layanan I&T, aset dan
sumber daya lainnya. Identifikasi dan manfaatkan sinergi yang dapat dicapai.
5. Tentukan bauran investasi yang mencapai keseimbangan yang tepat di antara sejumlah dimensi, termasuk keseimbangan yang sesuai 3
keuntungan jangka pendek dan panjang, keuntungan finansial dan nonfinansial, dan investasi berisiko tinggi dan rendah.
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 5.5: Hubungan pemangku kepentingan — Prinsip 17
Arsitektur Referensi IT4IT Grup Terbuka, Versi 2.0 3.2 Rantai Nilai TI dan Arsitektur Referensi IT4IT
35
Halaman 36
2. Memahami elemen-elemen utama tata kelola yang diperlukan untuk penyampaian nilai optimal yang andal, aman, dan hemat biaya 3
penggunaan layanan, aset, dan sumber daya I&T yang sudah ada dan yang baru.
3. Memahami dan secara teratur mendiskusikan peluang yang dapat timbul untuk perusahaan dari perubahan yang dimungkinkan oleh saat ini, baru atau
teknologi baru, dan mengoptimalkan nilai yang tercipta dari peluang tersebut.
4. Pahami apa yang merupakan nilai bagi perusahaan, dan pertimbangkan seberapa baik nilai itu dikomunikasikan, dipahami dan diterapkan
di seluruh proses perusahaan.
5. Mengevaluasi seberapa efektif perusahaan dan strategi I&T telah diintegrasikan dan diselaraskan di dalam dan dengan perusahaan 4
tujuan perusahaan untuk memberikan nilai.
6. Pahami dan pertimbangkan seberapa efektif peran, tanggung jawab, akuntabilitas, dan badan pembuat keputusan saat ini
memastikan penciptaan nilai dari investasi, layanan, dan aset yang mendukung I & T.
7. Pertimbangkan seberapa baik manajemen investasi, layanan, dan aset yang mendukung I & T sejalan dengan manajemen nilai perusahaan
dan praktik manajemen keuangan.
8. Mengevaluasi portofolio investasi, layanan dan aset untuk menyelaraskan dengan tujuan strategis perusahaan; perusahaan
nilai, baik finansial maupun nonfinansial; risiko, baik risiko pengiriman maupun risiko manfaat; penyelarasan proses bisnis; efektivitas dalam
syarat kegunaan, ketersediaan dan daya tanggap; dan efisiensi dalam hal biaya, redundansi dan kesehatan teknis.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
COSO Enterprise Risk Management, Juni 2017 7. Penetapan Strategi dan Tujuan — Prinsip 8
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SG2.2 Penyerahan Nilai Pemangku Kepentingan
ISO / IEC 38500: 2015 (E) 5.3 Prinsip 2: Strategi (Evaluasi)
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 5.2: Strategi, kinerja dan pelaporan — Prinsip 4
Arsitektur Referensi IT4IT Grup Terbuka, Versi 2.0 5. Aliran Nilai Strategy to Portfolio (S2P)
1. Tentukan dan komunikasikan jenis portofolio dan investasi, kategori, kriteria dan bobot relatif dengan kriteria yang memungkinkan 2
skor nilai relatif keseluruhan.
2. Tentukan persyaratan untuk gerbang panggung dan tinjauan lain untuk signifikansi investasi bagi perusahaan dan risiko terkait, 3
jadwal program, rencana pendanaan, dan penyampaian kapabilitas dan manfaat utama serta kontribusi berkelanjutan terhadap nilai.
3. Mengarahkan manajemen untuk mempertimbangkan potensi penggunaan inovatif dari I&T yang memungkinkan perusahaan untuk menanggapi peluang baru atau
tantangan, menjalankan bisnis baru, meningkatkan daya saing, atau memperbaiki proses.
4. Mengarahkan setiap perubahan yang diperlukan dalam penugasan pertanggungjawaban dan tanggung jawab untuk melaksanakan portofolio investasi dan
memberikan nilai dari proses bisnis dan layanan.
5. Mengarahkan setiap perubahan yang diperlukan pada portofolio investasi dan layanan untuk menyelaraskan kembali dengan perusahaan saat ini dan yang diharapkan
tujuan dan / atau kendala.
6. Merekomendasikan pertimbangan inovasi potensial, perubahan organisasi atau perbaikan operasional yang dapat mendorong
peningkatan nilai bagi perusahaan dari inisiatif yang mendukung I & T.
7. Tetapkan dan komunikasikan tujuan penyampaian nilai tingkat perusahaan dan ukuran hasil untuk memungkinkan pemantauan yang efektif. 4
36
Halaman
37
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Tentukan seperangkat tujuan, metrik, target, dan tolok ukur kinerja yang seimbang. Metrik harus mencakup aktivitas dan hasil 4
langkah-langkah, termasuk indikator awal dan akhir untuk hasil, serta keseimbangan yang sesuai antara keuangan dan nonfinansial
Pengukuran. Tinjau dan sepakati mereka dengan TI dan fungsi bisnis lainnya, dan pemangku kepentingan terkait lainnya.
2. Kumpulkan data yang relevan, tepat waktu, lengkap, kredibel dan akurat untuk melaporkan kemajuan dalam memberikan nilai terhadap target. Memperoleh
tampilan portofolio, program, dan kinerja I&T (kemampuan teknis dan operasional) yang ringkas, tingkat tinggi, dan menyeluruh yang
mendukung pengambilan keputusan. Pastikan bahwa hasil yang diharapkan tercapai.
3. Dapatkan portofolio, program, dan laporan kinerja I&T (teknologi dan fungsional) yang teratur dan relevan. Tinjau
kemajuan perusahaan menuju tujuan yang diidentifikasi dan sejauh mana tujuan yang direncanakan telah tercapai, hasil
diperoleh, target kinerja terpenuhi dan risiko dimitigasi.
4. Setelah meninjau laporan, pastikan bahwa tindakan korektif manajemen yang tepat dimulai dan dikendalikan. 5
5. Setelah meninjau laporan, ambil tindakan manajemen yang sesuai sebagaimana diperlukan untuk memastikan bahwa nilai dioptimalkan.
fficer
fficer fficer
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 2: Konsep dasar — Definisi tata kelola perusahaan
37
Halaman 38
EDM02.02 Evaluasi pengoptimalan nilai. APO02.05 Peta jalan yang strategis Evaluasi strategis
penjajaran APO02.04;
APO05.02
APO05.01 Pengembalian investasi Evaluasi investasi APO05.02;
harapan dan portofolio layanan APO05.03;
APO05.02 Program terpilih dengan APO06.02
Tonggak ROI
APO05.05 Hasil manfaat dan
komunikasi terkait
BAI01.06 Hasil peninjauan gerbang panggung
EDM02.04 Pantau pengoptimalan nilai. APO05.03 Portofolio investasi Tindakan untuk meningkatkan niAlaPi O05.03;
laporan kinerja pengiriman APO06.02;
BAI01.01;
BAI11.01;
EDM05.01
Masukan tentang APO05.03;
portofolio dan program APO06,05;
kinerja BAI01.06
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Manajemen manfaat Kerangka Keterampilan untuk Era Informasi V6, 2015 BENM
38
Halaman
39
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Nilai yang ditambahkan I&T bergantung pada sejauh mana I&T disejajarkan
dengan bisnis dan memenuhi harapannya. Optimalkan nilai I&T dengan
membangun budaya di mana layanan I&T diberikan tepat waktu dan
sesuai anggaran, dengan kualitas yang sesuai.
Halaman 40
Halaman
41
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Pastikan bahwa selera dan toleransi risiko perusahaan dipahami, diartikulasikan dan dikomunikasikan, dan risiko terhadap nilai perusahaan terkait dengan
penggunaan I&T diidentifikasi dan dikelola.
Tujuan
Memastikan bahwa risiko perusahaan terkait I & T tidak melebihi selera risiko dan toleransi risiko perusahaan, dampak risiko I&T terhadap nilai perusahaan adalah
diidentifikasi dan dikelola, dan potensi kegagalan kepatuhan diminimalkan.
Tujuan tata kelola mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG02 Risiko bisnis yang dikelola
➡ Tujuan Penyelarasan
• AG02 Risiko terkait I & T yang dikelola
• EG06 Keberlanjutan dan ketersediaan layanan bisnis
• AG07 Keamanan informasi, infrastruktur pemrosesan dan
aplikasi, dan privasi
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
2. Tentukan selera risiko organisasi, yaitu, tingkat risiko terkait I & T yang bersedia diambil oleh perusahaan dalam
usahanya. tujuan perusahaan.
3. Tentukan tingkat toleransi risiko terhadap selera risiko, yaitu, penyimpangan yang dapat diterima untuk sementara dari selera risiko.
4. Menentukan sejauh mana penyelarasan strategi risiko I&T dengan strategi risiko perusahaan dan memastikan selera risiko di bawah
kapasitas risiko organisasi.
5. Secara proaktif mengevaluasi faktor risiko I&T sebelum keputusan strategis perusahaan yang tertunda dan memastikan pertimbangan risiko tersebut 3
adalah bagian dari proses keputusan perusahaan strategis.
6. Mengevaluasi aktivitas manajemen risiko untuk memastikan keselarasan dengan kapasitas perusahaan untuk kerugian dan kepemimpinan terkait I & T
toleransi itu.
7. Menarik dan mempertahankan keterampilan dan personel yang diperlukan untuk Manajemen Risiko I&T
COSO Enterprise Risk Management, Juni 2017 Penetapan Strategi dan Tujuan — Prinsip 6 dan 7; 9. Review dan
Revisi — Prinsip 16
41
Halaman 42
3. Penerapan langsung dari mekanisme yang sesuai untuk merespon dengan cepat terhadap perubahan risiko dan segera melaporkannya
tingkat manajemen yang sesuai, didukung oleh prinsip-prinsip eskalasi yang disepakati (apa yang harus dilaporkan, kapan, di mana, dan bagaimana).
4. Arahkan agar risiko, peluang, masalah, dan kekhawatiran dapat diidentifikasi dan dilaporkan oleh siapa pun kepada pihak yang sesuai di mana pun
waktu. Risiko harus dikelola sesuai dengan kebijakan dan prosedur yang dipublikasikan dan ditingkatkan ke keputusan yang relevan
pembuat.
5. Mengidentifikasi tujuan dan metrik utama dari tata kelola risiko dan proses manajemen yang akan dipantau, dan menyetujui 3
pendekatan, metode, teknik dan proses untuk menangkap dan melaporkan informasi pengukuran.
CMMI Cybermaturity Platform, 2018 RS.AS Menerapkan Strategi Manajemen Risiko; BC.RO Menentukan Risiko Strategis
Tujuan
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 IR1.1 Penilaian Risiko Informasi — Pendekatan Manajemen
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 5.4: Area fungsional tata kelola — Prinsip 11
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.5 Penilaian (Tugas 2)
800-37, Revisi 2 (Draf), Mei 2018
Praktek Tata Kelola Contoh Metrik
1. Laporkan masalah manajemen risiko apa pun kepada dewan atau komite eksekutif. 2
2. Pantau sejauh mana profil risiko dikelola dalam risk appetite dan ambang toleransi perusahaan. 3
3. Pantau tujuan utama dan metrik tata kelola risiko dan proses manajemen terhadap target, analisis penyebabnya 4
penyimpangan, dan memulai tindakan perbaikan untuk mengatasi penyebab yang mendasarinya.
4. Memungkinkan peninjauan pemangku kepentingan utama atas kemajuan perusahaan menuju tujuan yang diidentifikasi.
COSO Enterprise Risk Management, Juni 2017 9. Review dan Revisi — Prinsip 17
42
Halaman
43
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
fficer
fficer
fficer
NaikKomKiteepRaElikassiKkEekokeupsUSetaitkAlfaauYmtKIAinafofOTOmoKrimteepaaRsliiasOiPkeotuPgearsusKaehaamananan Informasi
EDM03.01 Evaluasi manajemen risiko. ARRRRRR
COSO Enterprise Risk Management, Juni 2017 6. Tata Kelola dan Budaya — Prinsip
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 2: Konsep dasar — Definisi tata kelola perusahaan
43
Halaman 44
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Manajemen risiko bisnis Kerangka Keterampilan untuk Era Informasi V6, 2015 BURM
Manajemen risiko e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
E. Kelola — E.3. Risiko
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Pengelolaan
44
Halaman
45
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Pastikan bahwa bisnis yang memadai dan memadai serta sumber daya terkait I & T (orang, proses, dan teknologi) tersedia untuk mendukung perusahaan
tujuan secara efektif dan, dengan biaya optimal.
Tujuan
Pastikan bahwa kebutuhan sumber daya perusahaan dipenuhi dengan cara yang optimal, biaya I&T dioptimalkan, dan ada kemungkinan peningkatan
realisasi manfaat dan kesiapan untuk perubahan di masa depan.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
AG09 Menyampaikan program tepat waktu, sesuai anggaran dan rapat
• EG08 Optimalisasi fungsi proses bisnis internal
persyaratan dan standar kualitas
• Program transformasi digital terkelola EG12
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Mulai dari strategi saat ini dan masa depan, periksa opsi potensial untuk menyediakan sumber daya terkait I & T (teknologi, 2
keuangan dan sumber daya manusia), dan mengembangkan kemampuan untuk memenuhi kebutuhan saat ini dan masa depan (termasuk opsi sumber).
2. Tetapkan prinsip-prinsip utama untuk alokasi sumber daya dan pengelolaan sumber daya dan kemampuan sehingga I&T dapat memenuhi
kebutuhan perusahaan sesuai dengan prioritas yang disepakati dan batasan anggaran. Misalnya, tentukan opsi sumber yang disukai untuk
layanan tertentu dan batasan keuangan per opsi sumber.
3. Meninjau dan menyetujui rencana sumber daya dan strategi arsitektur perusahaan untuk memberikan nilai dan mengurangi risiko dengan
sumber daya yang dialokasikan.
4. Memahami persyaratan untuk menyelaraskan manajemen sumber daya I&T dengan perencanaan keuangan dan sumber daya manusia (SDM) perusahaan.
CMMI Cybermaturity Platform, 2018 GR.DR Kebutuhan Manajemen Sumber Daya Langsung
45
Halaman 46
3. Komunikasikan dan dorong penerapan strategi, prinsip, dan rencana sumber daya yang disepakati dan 3
strategi arsitektur perusahaan.
4. Menyelaraskan manajemen sumber daya dengan perencanaan keuangan dan SDM perusahaan.
5. Tentukan tujuan, ukuran dan metrik utama untuk manajemen sumber daya. 4
CMMI Cybermaturity Platform, 2018 GR.ER Mengevaluasi Kebutuhan Manajemen Sumber Daya
COSO Enterprise Risk Management, Juni 2017 6. Tata Kelola dan Budaya — Prinsip 5
1. Pantau alokasi dan optimalisasi sumber daya sesuai dengan tujuan dan prioritas perusahaan menggunakan tujuan yang telah disepakati 4
dan metrik.
2. Pantau strategi sumber terkait I & T, strategi arsitektur perusahaan, dan kapabilitas terkait bisnis dan TI dan
sumber daya untuk memastikan bahwa kebutuhan dan tujuan perusahaan saat ini dan di masa depan dapat dipenuhi.
3. Pantau kinerja sumber daya terhadap target, analisis penyebab penyimpangan, dan lakukan tindakan perbaikan untuk mengatasi
penyebab yang mendasari.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
CMMI Cybermaturity Platform, 2018 GR.MR Memantau Kebutuhan Manajemen Sumber Daya
Halaman
47
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
fficer
ffice frficer
NaikKomKiteepKaElekapsKEeaklkeaupsSeOtaikAlfpauYetIrAinfafsOToirOmasi O
EDM04.01 Evaluasi manajemen sumber daya. ARRRRR
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 2: Konsep dasar — Definisi tata kelola perusahaan
47
Halaman 48
KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Manajemen portofolio Kerangka Keterampilan untuk Era Informasi V6, 2015 POMG
Sumber Daya Kerangka Keterampilan untuk Era Informasi V6, 2015 RESC
Sistem pengukuran kinerja (misalnya, kartu skor berimbang, alat manajemen keterampilan)
48
Halaman
49
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Pastikan bahwa pemangku kepentingan diidentifikasi dan dilibatkan dalam sistem tata kelola I&T serta kinerja dan kesesuaian I&T perusahaan tersebut
pengukuran dan pelaporan transparan, dengan pemangku kepentingan menyetujui tujuan dan metrik serta tindakan perbaikan yang diperlukan.
Tujuan
Memastikan bahwa pemangku kepentingan mendukung strategi dan peta jalan I&T, komunikasi dengan pemangku kepentingan efektif dan tepat waktu, dan dasar untuk
pelaporan dibuat untuk meningkatkan kinerja. Identifikasi area untuk perbaikan, dan konfirmasikan bahwa tujuan dan strategi terkait I & T sejalan
dengan strategi perusahaan.
Tujuan tata kelola mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG04 Kualitas informasi keuangan
• EG07 Kualitas informasi manajemen
➡ TuAjGua1n0 PKeunaylietalasriansfaonrmasi manajemen I&T
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
EDM05.01 Mengevaluasi keterlibatan pemangku kepentingan dan persyaratan pelaSpeobruaanh.. Tanggal revisi terakhir untuk persyaratan pelaporan
Secara terus menerus memeriksa dan mengevaluasi persyaratan saat ini dan masa depan ubn. tPuekrsentase pemangku kepentingan yang tercakup dalam persyaratan pelaporan
keterlibatan dan pelaporan pemangku kepentingan (termasuk mandat pelaporan
oleh persyaratan peraturan), dan komunikasi dengan pemangku kepentingan lainnya.
Tetapkan prinsip untuk terlibat dan berkomunikasi dengan pemangku kepentingan.
Kegiatan Tingkat Kemampuan
1. Identifikasi semua pemangku kepentingan I&T yang relevan di dalam dan di luar perusahaan. Kelompokkan pemangku kepentingan dalam kategori pemangku kep2entingan
dengan persyaratan serupa.
2. Memeriksa dan membuat penilaian tentang persyaratan pelaporan wajib saat ini dan masa depan yang berkaitan dengan penggunaan I&T dalam
perusahaan (regulasi, undang-undang, hukum umum, kontrak), termasuk jangkauan dan frekuensi.
3. Memeriksa dan membuat penilaian tentang komunikasi saat ini dan masa depan dan persyaratan pelaporan untuk pemangku kepentingan lainnya
terkait dengan penggunaan I&T dalam perusahaan, termasuk tingkat keterlibatan / konsultasi yang diperlukan dan luasnya
komunikasi / tingkat detail dan kondisi.
4. Menjaga prinsip komunikasi dengan pemangku kepentingan eksternal dan internal, termasuk format dan saluran komunikasi, 3
dan untuk penerimaan pemangku kepentingan dan penandatanganan pelaporan.
CMMI Cybermaturity Platform, 2018 SR.DR Direct Stakeholder Communication and Reporting
49
Halaman 50
EDM05.02 Keterlibatan langsung, komunikasi, dan pelaporan pemangku kepentingSaenb.uah. Jumlah pelanggaran persyaratan pelaporan wajib
Pastikan pembentukan keterlibatan pemangku kepentingan yang efektif, b. Kepuasan pemangku kepentingan dengan komunikasi dan pelaporan
komunikasi dan pelaporan, termasuk mekanisme untuk memastikan
kualitas dan kelengkapan informasi, mengawasi pelaporan wajib,
dan membuat strategi komunikasi untuk pemangku kepentingan.
Kegiatan Tingkat Kemampuan
Mengevaluasi, Mengarahkan dan Memantau
1. Mengarahkan pembentukan strategi konsultasi dan komunikasi bagi pemangku kepentingan eksternal dan internal. 2
2. Mengarahkan penerapan mekanisme untuk memastikan bahwa informasi memenuhi semua kriteria untuk pelaporan I&T wajib
persyaratan untuk perusahaan.
3. Menetapkan mekanisme untuk validasi dan persetujuan pelaporan wajib.
CMMI Cybermaturity Platform, 2018 SR.AR Menerapkan Persyaratan Pelaporan Pemangku Kepentingan
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 5.5: Hubungan pemangku kepentingan — Prinsip 16
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 5.2: Strategi, kinerja dan pelaporan — Prinsip 5
1. Secara berkala menilai keefektifan mekanisme untuk memastikan keakuratan dan keandalan pelaporan wajib. 4
2. Secara berkala menilai keefektifan mekanisme, dan hasil dari, keterlibatan dan komunikasi dengan
pemangku kepentingan eksternal dan internal.
3. Tentukan apakah persyaratan pemangku kepentingan yang berbeda dipenuhi dan nilai tingkat keterlibatan pemangku kepentingan.
fficer
fficer
fficer
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 2: Konsep dasar — Definisi tata kelola perusahaan
50
Halaman
51
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
EDM05.01 Mengevaluasi keterlibatan pemangku kepentingan dan Dari Deskripsi Deskripsi Untuk
persyaratan pelaporan.
EDM02.04 Tindakan untuk meningkatkan niPlaeilaporan MEA01.01
dan
pengiriman komunikasi
prinsip
EDM03.03 Masalah manajemen risiko Evaluasi perusahaan MEA01.01
untuk papan persyaratan pelaporan
EDM04.03 Umpan balik tentang alokasi
dan efektivitas
sumber daya dan
kemampuan
EDM05.02 Keterlibatan langsung pemangku kepentingan,
APO12.04 Analisis risiko dan risiko Aturan untuk memvalidasi dan MEA01.01;
komunikasi dan pelaporan. laporan profil untuk menyetujui wajib MEA03.04
pemangku kepentingan laporan
Pedoman eskalasi MEA01.05
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Manajemen hubungan e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
E. Kelola — E.4. Hubungan
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Pengelolaan
51
Halaman 52
Halaman
53
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
4 Inovasi Terkelola
5 Portofolio Terkelola
11 Kualitas Terkelola
53
Halaman 54
54
Halaman
55
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Rancang sistem manajemen untuk I&T perusahaan berdasarkan tujuan perusahaan dan faktor desain lainnya. Berdasarkan desain ini, terapkan semua yang dibutuhkan
komponen sistem manajemen.
Tujuan
Menerapkan pendekatan manajemen yang konsisten untuk memenuhi persyaratan tata kelola perusahaan, yang mencakup komponen tata kelola seperti
proses manajemen; struktur organisasi; peran dan tanggung jawab; aktivitas yang andal dan berulang; item informasi; kebijakan dan
Prosedur; keterampilan dan kompetensi; budaya dan perilaku; dan layanan, infrastruktur dan aplikasi.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG03 Kepatuhan terhadap hukum dan peraturan eksternal
➡ • EG08 Optimalisasi fungsi proses bisnis internal • EG11 Kepatuhan
terhadap kebijakan
internal Tujuan Penyelarasan Sejajarkan, Rencanakan, dan Atur
• AG03 Manfaat yang direalisasikan dari investasi dan layanan yang mendukung I & T
portofolio
• AG11 Kepatuhan I&T dengan kebijakan internal
• Program transformasi digital terkelola EG12
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
55
Halaman 56
A. Komponen: Proses
1. Memperoleh pemahaman tentang visi perusahaan, arah dan strategi serta konteks perusahaan saat ini dan 2
tantangan.
2. Pertimbangkan lingkungan internal perusahaan, termasuk budaya dan filosofi manajemen, toleransi risiko, keamanan dan
kebijakan privasi, nilai etika, kode etik, akuntabilitas, dan persyaratan untuk integritas manajemen.
3. Menerapkan kaskade tujuan COBIT dan faktor desain ke strategi dan konteks perusahaan untuk memutuskan prioritas untuk
sistem manajemen dan, dengan demikian, untuk implementasi prioritas tujuan manajemen.
4. Validasi prioritas yang dipilih untuk implementasi tujuan manajemen dengan praktik baik khusus industri atau 3
persyaratan (misalnya, peraturan khusus industri) dan dengan struktur tata kelola yang sesuai.
COSO Enterprise Risk Management, Juni 2017 7. Penetapan Strategi dan Tujuan — Prinsip 9
SejajarkISaOn,/ IREeCn2c7a0n01a:k2a0n1,3 d/ aKnorA.2:tu20r15 (E) Standar internasional untuk menetapkan, melaksanakan dan memelihara a
sistem manajemen (semua bab)
ITIL V3, 2011 Strategi Pelayanan, 2.3 Tata kelola dan sistem manajemen
1. Menyediakan sumber daya yang cukup dan terampil untuk mendukung proses komunikasi. 2
2. Tetapkan aturan dasar untuk komunikasi dengan mengidentifikasi kebutuhan komunikasi dan melaksanakan rencana berdasarkan kebutuhan tersebut, 3
mempertimbangkan komunikasi top-down, bottom-up dan horizontal.
3. Terus mengkomunikasikan tujuan dan arahan I&T. Pastikan komunikasi didukung oleh manajemen eksekutif di
tindakan dan kata-kata, menggunakan semua saluran yang tersedia.
4. Pastikan informasi yang dikomunikasikan mencakup misi yang diartikulasikan dengan jelas, tujuan layanan, kontrol internal,
kualitas, kode etik / perilaku, kebijakan dan prosedur, peran dan tanggung jawab, dll. Komunikasikan informasi di
tingkat detail yang sesuai untuk masing-masing audiens dalam perusahaan.
56
Halaman
57
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Mengembangkan model proses target tata kelola I&T khusus untuk organisasi, berdasarkan pemilihan manajemen prioritas 2
tujuan (keluaran dari kaskade tujuan dan latihan faktor desain).
2. Menganalisis kesenjangan antara model proses target untuk organisasi dan praktik serta aktivitas saat ini. 3
3. Menyusun peta jalan untuk implementasi praktik dan aktivitas proses yang hilang. Gunakan metrik latihan untuk menindaklanjuti
4
implementasi yang sukses.
Sejajarkan, Rencanakan, dan Atur
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
1. Mengidentifikasi keputusan yang diperlukan untuk pencapaian hasil perusahaan dan strategi I&T serta untuk manajemen dan 2
pelaksanaan layanan I&T.
2. Libatkan pemangku kepentingan yang penting untuk pengambilan keputusan (akuntabel, bertanggung jawab, berkonsultasi atau diinformasikan).
3. Tentukan ruang lingkup, fokus, mandat dan tanggung jawab masing-masing fungsi dalam organisasi terkait I & T, sejalan dengan
arah tata kelola.
4. Mendefinisikan ruang lingkup fungsi internal dan eksternal, peran internal dan eksternal, serta kapabilitas dan hak pengambilan keputusan yang diperlukan 3
mencakup semua praktik, termasuk yang dilakukan oleh pihak ketiga.
6. Membentuk komite pengarah I&T (atau setara) yang terdiri dari eksekutif, bisnis dan manajemen I&T untuk melacak status
proyek, menyelesaikan konflik sumber daya, dan memantau tingkat layanan dan peningkatan layanan.
7. Memberikan pedoman untuk setiap struktur manajemen (termasuk mandat, tujuan, peserta rapat, waktu, pelacakan,
supervisi dan pengawasan) serta masukan yang diperlukan dan hasil yang diharapkan dari pertemuan.
8. Secara teratur memverifikasi kecukupan dan efektivitas struktur organisasi. 4
Halaman 58
1. Tetapkan, setujui, dan komunikasikan peran dan tanggung jawab I & T terkait untuk semua personel di perusahaan, selaras dengan 2
kebutuhan dan tujuan bisnis. Gambarkan dengan jelas tanggung jawab dan akuntabilitas, terutama untuk pengambilan keputusan dan persetujuan.
2. Pertimbangkan persyaratan dari perusahaan dan kesinambungan layanan I&T saat menentukan peran, termasuk dukungan staf dan
persyaratan pelatihan.
3. Memberikan masukan untuk proses kesinambungan layanan I&T dengan mempertahankan informasi kontak terbaru dan deskripsi peran di
perusahaan.
4. Masukkan persyaratan khusus dalam deskripsi peran dan tanggung jawab terkait kepatuhan terhadap kebijakan manajemen dan
prosedur, kode etik, dan praktik profesional.
5. Pastikan bahwa akuntabilitas ditentukan melalui peran dan tanggung jawab.
6. Susun peran dan tanggung jawab untuk mengurangi kemungkinan peran tunggal mengganggu proses kritis.
7. Menerapkan praktik pengawasan yang memadai untuk memastikan bahwa peran dan tanggung jawab dilaksanakan dengan benar, untuk menilai apakah semua 3
personel memiliki kewenangan dan sumber daya yang cukup untuk menjalankan peran dan tanggung jawab mereka, dan umumnya untuk meninjau kinerja.
Tingkat pengawasan harus disesuaikan dengan sensitivitas posisi dan luas tanggung jawab yang diberikan.
Sejajarkan, Rencanakan, dan Atur
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
1. Memahami konteks penempatan fungsi TI, termasuk penilaian strategi perusahaan dan model operasi 3
(sentralisasi, federasi, desentralisasi, hybrid), pentingnya I&T, dan situasi dan opsi sumber.
2. Mengidentifikasi, mengevaluasi dan memprioritaskan pilihan untuk penempatan organisasi, sumber dan model operasi.
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 8.2 Klasifikasi informasi
1. Memberikan pedoman untuk memastikan klasifikasi item informasi yang sesuai dan konsisten di seluruh perusahaan. 3
2. Membuat dan memelihara inventaris informasi (sistem dan data) yang mencakup daftar pemilik, penjaga, dan
klasifikasi. Sertakan sistem yang dialihdayakan dan yang kepemilikannya harus tetap dalam perusahaan.
3. Menilai dan membedakan antara data, informasi, dan sistem kritis (bernilai tinggi) dan nonkritis. Pastikan sesuai
perlindungan untuk setiap kategori.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
58
Halaman
59 BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Mengidentifikasi keterampilan dan kompetensi yang dibutuhkan untuk mencapai tujuan pengelolaan yang dipilih. 2
2. Menganalisis kesenjangan antara keterampilan target dan kapabilitas untuk perusahaan dan keterampilan angkatan kerja saat ini. Mengacu pada
APO07 — Sumber Daya Manusia yang Dikelola untuk pengembangan keterampilan dan praktik manajemen.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Tidak ada panduan terkait untuk praktik manajemen ini Sejajarkan, Rencanakan, dan Atur
Praktek Manajemen Contoh Metrik
1. Buat serangkaian kebijakan untuk mendorong ekspektasi kontrol TI pada topik utama yang relevan seperti kualitas, keamanan, privasi, kontrol internal, 3
penggunaan aset I&T, etika dan hak kekayaan intelektual (IP).
2. Meluncurkan dan menegakkan kebijakan I&T secara seragam untuk semua staf yang relevan sehingga mereka dibangun ke dalam, dan menjadi bagian integral dari, perusahaan
operasi.
3. Mengevaluasi dan memperbarui kebijakan setidaknya setiap tahun untuk mengakomodasi perubahan lingkungan operasi atau bisnis. 4
APO01.10 Mendefinisikan dan mengimplementasikan infrastruktur, layanan dan Sebuah. Jumlah alat yang dipilih untuk mendukung proses prioritas
aplikasi untuk mendukung tata kelola dan sistem manajemen. b. Kecukupan / cakupan oleh alat proses I&T utama
Tentukan dan implementasikan infrastruktur, layanan, dan aplikasi ke c. Kepuasan penerima dengan keakuratan, kelengkapan dan
mendukung tata kelola dan sistem manajemen (misalnya, arsitektur ketepatan waktu informasi
repositori, sistem manajemen risiko, alat manajemen proyek, biaya- d. Persentase kepuasan pemangku kepentingan dengan alat yang dipilih untuk mendukung
alat pelacakan dan alat pemantauan insiden). kebutuhan - kebutuhan mereka
Kegiatan Tingkat Kemampuan
1. Mengidentifikasi tujuan manajemen prioritas yang dapat dicapai dengan mengotomatiskan layanan, aplikasi, atau infrastruktur. 2
2. Memilih dan menerapkan alat yang paling tepat dan berkomunikasi dengan pemangku kepentingan.
59
Halaman 60
1. Secara teratur menilai kinerja komponen kerangka kerja dan mengambil tindakan yang sesuai. 4
2. Mengidentifikasi proses bisnis penting berdasarkan kinerja dan penggerak kesesuaian dan risiko terkait. Menilai kemampuan dan
mengidentifikasi target perbaikan. Menganalisis kesenjangan dalam kemampuan dan kontrol. Identifikasi opsi untuk meningkatkan atau mendesain ulang proses.
3. Memprioritaskan inisiatif perbaikan berdasarkan potensi manfaat dan biaya. Menerapkan perbaikan yang disepakati, beroperasi sebagai 5
praktik bisnis normal, dan menetapkan sasaran dan metrik kinerja untuk memungkinkan pemantauan peningkatan.
4. Pertimbangkan cara untuk meningkatkan efisiensi dan efektivitas (misalnya, melalui pelatihan, dokumentasi, standardisasi dan / atau proses
otomatisasi).
5. Menerapkan praktik manajemen mutu untuk memperbarui proses.
6. Menghentikan komponen tata kelola yang sudah ketinggalan zaman (proses, item informasi, kebijakan, dll.).
SejajarkPaannd, uRaennTcearnkaaikt a(Snt,anddaanr, AKteurarngka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
ITIL V3, 2011 Peningkatan Layanan Berkelanjutan, 4.1 Proses Peningkatan 7 Langkah
fficefrficer wners
fficer
fficer
perations fficer
HAIAdministrasi
echnology O
Dewan Tata Kelola
Praktik Manajemen Kunci
KomRiitseiKkEoekpUsKeatklaeaupmKItainalfeafOpoSTarAmlaYaDAsieigTwOiKtaanolmOAKirteespiPtaRerlikaostisFPukeuerostnBuPKggiessearinpsuMiMasKlaaOaehnnaKSaaamaujejenmepamPrnabelaHeeannrugKA
DIbDenremuaaspfntiyoKbatagarelaeamknpMnMbgaaaslaaingnniuMbaKasanjiaegaenpTiMraaIPnjlaaeenTPrlaIrKjyievaeransKmainoOanntainuIintafosrBmisansis
APO01.01 Merancang sistem manajemen untuk perusahaan I&T. SEBUARHRRR
APO01.09 Mendefinisikan dan mengkomunikasikan kebijakan dan prosedur. SEBUARHRRRRR RRR RRRRRRRR
60
Halaman
61
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
COSO Enterprise Risk Management, Juni 2017 6. Tata Kelola dan Budaya — Prinsip 2
ISO / IEC 27001: 2013 / Kor.2: 2015 (E) 5.3 Peran, tanggung jawab dan wewenang organisasi
DSS04.01 Kebijakan dan tujuan untuk Komunikasi di I&T Semua APO; Semua
keberlangsungan bisnis tujuan BAI; Semua DSS;
Semua MEA
DSS05.01 Perangkat lunak berbahaya
kebijakan pencegahan
DSS05.02 Keamanan konektivitas
kebijakan
DSS05.03 Kebijakan keamanan untuk
perangkat titik akhir
EDM01.02 Tata kelola
perusahaan
komunikasi
61
Halaman 62
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
APO01.05 Menetapkan peran dan tanggung jawab. Dari Deskripsi Deskripsi Untuk
62
Halaman
63
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
C. Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
APO01.11 Mengelola peningkatan berkelanjutan dari I&T Dari Deskripsi Deskripsi Untuk
sistem manajemen.
APO 01.03 Tingkat kemampuan proses Peningkatan proses Semua APO; Semua
peluang BAI; Semua DSS;
Semua MEA
EDM01.03 Umpan balik tentang tata kelola Sasaran kinerja dan MEA01.02
efektivitas dan metrik untuk proses
kinerja pelacakan perbaikan
MEA03.02 Kebijakan yang diperbarui, Kemampuan memproses MEA01.03
prinsip, prosedur penilaian
dan standar
Sejajarkan, Rencanakan, dan Atur
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Tata kelola TI Kerangka Keterampilan untuk Era Informasi V6, 2015 PEMERINTAH
Halaman 64
64
Halaman
65
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Memberikan pandangan holistik tentang bisnis saat ini dan lingkungan I&T, arah masa depan, dan inisiatif yang diperlukan untuk bermigrasi ke masa depan yang diinginkan
lingkungan Hidup. Pastikan bahwa tingkat digitalisasi yang diinginkan merupakan bagian integral dari arah masa depan dan strategi I&T. Nilai organisasi saat ini
kematangan digital dan mengembangkan peta jalan untuk menutup kesenjangan. Dengan bisnis, pikirkan kembali operasi internal serta aktivitas yang dihadapi pelanggan.
Pastikan fokus pada perjalanan transformasi di seluruh organisasi. Memanfaatkan blok bangunan arsitektur perusahaan, komponen tata kelola, dan
ekosistem organisasi, termasuk layanan yang disediakan secara eksternal dan kapabilitas terkait, untuk memungkinkan respons yang andal namun gesit dan efisien
tujuan strategis.
Tujuan
Dukung strategi transformasi digital organisasi dan berikan nilai yang diinginkan melalui peta jalan perubahan tambahan. Gunakan
Sejajarkan, Rencanakan, dan Atur
pendekatan I&T holistik, memastikan bahwa setiap inisiatif terhubung dengan jelas ke strategi menyeluruh. Aktifkan perubahan di semua aspek berbeda dari
organisasi, dari saluran dan proses hingga data, budaya, keterampilan, model operasi, dan insentif.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
AG08 Mengaktifkan dan mendukung proses bisnis dengan mengintegrasikan
• EG05 Budaya layanan berorientasi pelanggan
aplikasi dan teknologi
• EG08 Optimalisasi fungsi proses bisnis internal
• Program transformasi digital terkelola EG12
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
65
Halaman 66
A. Komponen: Proses
2. Mengembangkan dan memelihara pemahaman tentang cara kerja saat ini, termasuk lingkungan operasional, perusahaan
arsitektur (domain bisnis, informasi, data, aplikasi dan teknologi), budaya perusahaan dan tantangan saat ini.
3. Mengembangkan dan memelihara pemahaman tentang arah perusahaan di masa depan, termasuk strategi, sasaran dan sasaran perusahaan.
Pahami tingkat ambisi perusahaan dalam hal digitalisasi, yang mungkin mencakup rentang yang semakin aspiratif
tujuan, dari memotong biaya, meningkatkan sentrisitas pelanggan, atau mencapai pasar lebih cepat dengan mendigitalkan operasi internal, hingga menciptakan
aliran pendapatan yang sama sekali baru dari model bisnis baru (misalnya, bisnis platform).
4. Identifikasi pemangku kepentingan utama dan dapatkan wawasan tentang kebutuhan mereka.
COSO Enterprise Risk Management, Juni 2017 7. Penetapan Strategi dan Tujuan — Prinsip 6
SejajarkParank,teRkeMncaannajaekmaenn, dan Atur
Contoh Metrik
APO02.02 Menilai kemampuan, kinerja, dan digital saat ini Sebuah. Persentase staf yang puas dengan kemampuan saat ini
kematangan perusahaan. b. Persentase kepuasan pemilik bisnis dengan investasi di dan
Menilai kinerja layanan I&T saat ini dan mengembangkan
pemanfaatan basis aset internal dan eksternal untuk memenuhi kebutuhan kritis
pemahaman tentang bisnis saat ini dan kemampuan I&T (keduanya internal
faktor sukses
dan eksternal). Menilai kematangan digital perusahaan saat ini dan nya
nafsu makan untuk perubahan.
Kegiatan Tingkat Kemampuan
1. Mengembangkan dasar dari bisnis saat ini dan kemampuan dan layanan I&T. Sertakan penilaian yang disediakan secara eksternal 2
layanan, tata kelola I&T, dan keterampilan dan kompetensi terkait I & T di seluruh dunia usaha.
2. Menilai kematangan digital di berbagai dimensi (misalnya, kemampuan kepemimpinan untuk memanfaatkan teknologi, tingkat penerimaan 3
risiko teknologi, pendekatan inovasi, budaya dan tingkat pengetahuan pengguna). Kaji nafsu makan untuk perubahan.
COSO Enterprise Risk Management, Juni 2017 7. Penetapan Strategi dan Tujuan — Prinsip 6; 9. Review dan
Revisi — Prinsip 15
Praktek Manajemen Contoh Metrik
1. Meringkas konteks dan arah perusahaan dan mengidentifikasi aspek I&T spesifik dari strategi perusahaan (misalnya, proses digitalisasi, 2
menerapkan teknologi baru, mendukung arsitektur legacy, menerapkan model bisnis digital baru, mengembangkan produk digital
portofolio, dll.).
2. Tetapkan tujuan dan sasaran I&T tingkat tinggi dan tentukan kontribusinya terhadap tujuan perusahaan.
3. Detail layanan dan produk I&T yang diperlukan untuk mewujudkan tujuan perusahaan. Pertimbangkan teknologi atau inovasi baru yang tervalidasi 3
ide, standar referensi, bisnis pesaing dan kemampuan I&T, tolok ukur komparatif dari praktik yang baik, dan yang sedang berkembang
Penyediaan layanan I&T.
4. Menentukan kapabilitas I&T, metodologi dan pendekatan organisasi yang diperlukan untuk merealisasikan produk I&T yang ditetapkan dan
portofolio layanan. Pertimbangkan metodologi pengembangan yang berbeda (Agile, scrum, waterfall, bimodal IT), bergantung pada bisnis
Persyaratan. Pertimbangkan bagaimana masing-masing dapat membantu mewujudkan tujuan I&T.
66
Halaman
67
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Identifikasi semua celah dan perubahan yang diperlukan untuk mewujudkan lingkungan sasaran. 3
2. Jelaskan perubahan tingkat tinggi dalam arsitektur perusahaan (bisnis, informasi, data, aplikasi, dan domain teknologi).
3. Pertimbangkan implikasi tingkat tinggi dari semua celah. Menilai dampak dari perubahan potensial pada bisnis dan model operasi I&T,
Kemampuan penelitian dan pengembangan I&T, dan program investasi I&T.
4. Pertimbangkan nilai potensi perubahan pada bisnis dan kapabilitas TI, layanan I&T dan arsitektur perusahaan, dan Sejajarkan, Rencanakan, dan Atur
implikasi jika tidak ada perubahan yang direalisasikan. 4
5. Sempurnakan definisi lingkungan sasaran dan siapkan pernyataan nilai yang menguraikan manfaat lingkungan sasaran.
APO02.05 Tentukan rencana strategis dan peta jalan. Kembangkan strategi digital holistik, bekerja sama dengan pihak terkait
Sebuah. Tingkat dukungan pemangku kepentingan untuk rencana transformasi
digital
b. Persentase inisiatif dalam strategi I&T yang mendanai sendiri
pemangku kepentingan, dan merinci peta jalan yang mendefinisikan langkah-langkah tamba(hdaenngan keuntungan finansial melebihi biaya)
dibutuhkan untuk mencapai tujuan dan sasaran. Pastikan fokus pada c. Tingkat korespondensi antara strategi perusahaan dan I&T
perjalanan transformasi melalui penunjukan orang yang membantu strategi dan tujuan
ujung tombak transformasi digital dan mendorong keselarasan di antaranya
bisnis dan I&T.
1. Tentukan inisiatif yang diperlukan untuk menutup kesenjangan antara lingkungan saat ini dan lingkungan target. Integrasikan inisiatif ke dalam I&T yang koheren3
strategi yang menyelaraskan I&T dengan semua aspek bisnis.
2. Merinci peta jalan yang mendefinisikan langkah-langkah tambahan yang diperlukan untuk mencapai tujuan dan sasaran dari strategi I&T. Memastikan
tindakan disertakan untuk melatih orang dengan keterampilan baru, mendukung adopsi teknologi baru, mempertahankan perubahan di seluruh
organisasi, dll.
3. Pertimbangkan ekosistem eksternal (mitra perusahaan, pemasok, perusahaan baru, dll.) Untuk membantu mendukung pelaksanaan peta jalan.
4. Kelompokkan tindakan ke dalam program dan / atau proyek dengan tujuan atau hasil yang jelas. Untuk setiap proyek, identifikasi sumber daya tingkat tinggi
persyaratan, jadwal, anggaran investasi / operasional, risiko, dampak perubahan, dll.
5. Menentukan ketergantungan, tumpang tindih, sinergi dan dampak antar proyek, dan membuat prioritas.
6. Finalisasi peta jalan, yang menunjukkan penjadwalan relatif dan saling ketergantungan proyek.
7. Pastikan fokus pada perjalanan transformasi. Menunjuk juara transformasi digital dan penyelarasan antara bisnis dan
I&T (chief digital officer [CDO] atau peran C-suite tradisional lainnya).
9. Terjemahkan tujuan menjadi hasil yang terukur yang diwakili oleh metrik (apa) dan target (seberapa banyak). Pastikan hasilnya 4
dan ukuran berkorelasi dengan keuntungan perusahaan.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SG2.1 Strategi Keamanan Informasi
ITIL V3, 2011 Strategi Layanan, 4.1 Manajemen strategi untuk layanan TI
67
Halaman 68
1. Mengembangkan rencana komunikasi yang mencakup pesan yang dibutuhkan, audiens sasaran, mekanisme / saluran komunikasi 3
dan jadwal.
2. Siapkan paket komunikasi yang menyampaikan rencana secara efektif, dengan menggunakan media dan teknologi yang tersedia.
3. Kembangkan dan pertahankan jaringan untuk mendukung, mendukung, dan mendorong strategi I&T.
4. Dapatkan umpan balik dan perbarui rencana komunikasi dan penyampaian sesuai kebutuhan. 4
ffice.dll
fficefrfice wners
r fficer
fficer
perations fficer
echnology O HAIAdministrasi
Dewan Tata Kelola
Praktik Manajemen Kunci KepKaleapKEalkeapsKeIankleafupotSTarifAmlaOYaPDAsrigoTOisMteasal
BnOFaiusjnneiMmgsseOainnMKaPeajrepnoPrayelHjeanekumgKAbOeeremunspniKbatDgelaeakanpntMbgaalagnnMibaKaanajegenpTMiraaaIPnjaleaenTPrlaarIKjyievearansKmainoOanntainuIintafosrBmisansis
APO02.01 Memahami konteks dan arah perusahaan. ARR RRRRRRRRRR
APO02.02 Menilai kemampuan saat ini, kinerja, dan kematangan digital dari
ARR R RRRRRRRR
perusahaan.
APO02.03 Tentukan kapabilitas digital target. RRA R RRRRRRRRRR
APO02.01 Memahami konteks dan arah perusahaan. Dari Deskripsi Deskripsi Untuk
68
Halaman
69
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
APO12.01 Masalah risiko yang muncul dan Sejajarkan, Rencanakan, dan Atur
faktor
69
Halaman 70
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
Praktek Manajemen Masukan Keluaran
APO02.05 Tentukan rencana strategis dan peta jalan. Dari Deskripsi Deskripsi Untuk
APO03.01 • Ruang lingkup yang ditentukanStrategi I&T dan Semua APO; Semua
Arsitektur tujuan BAI;
• Konsep arsitektur Semua DSS; Semua
kasus bisnis dan MEA
proposisi nilai
ITIL V3, 2011 Strategi layanan, 3.9 Masukan dan keluaran strategi layanan
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Pengembangan rencana bisnis e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
A. Rencana — A.3. Rencana bisnis
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Pengembangan
Pemantauan teknologi yang muncul Kerangka Keterampilan untuk Era Informasi V6, 2015 EMRG
Strategi dan perencanaan I&T Kerangka Keterampilan untuk Era Informasi V6, 2015 ITSP
Penyelarasan strategi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016 A. Rencana — A.1. IS dan Bisnis
Penyelarasan Strategi
70
Halaman 71
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Bangun budaya dan nilai-nilai dasar yang sesuai dengan bisnis secara keseluruhan
Kerangka Agile Berskala untuk Kerangka yang dapat dikonfigurasi yang membantu
strategi (yaitu, berorientasi pelanggan, didorong inovasi, berbasis produk). Temukan
Perusahaan Lean organisasi memberikan produk baru
cara untuk memasukkan kecepatan ke dalam proses dan memperkenalkan budaya pendukung dan solusi dalam waktu singkat
dan perilaku yang memungkinkan bergerak lebih cepat. Ini bisa dimulai dengan lead time yang berkelanjutan
mengubah kebiasaan dasar seperti memiliki kepemimpinan strategi yang lebih sering (semua bab)
rapat atau mengotomatiskan aktivitas tertentu.
• Analisis pelanggan
• Tolok ukur industri
• Sistem pengukuran kinerja (misalnya, kartu skor berimbang, alat manajemen keterampilan)
• Layanan dan peralatan jam tangan teknologi
71
Halaman 72
72
Halaman
73
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Membentuk arsitektur umum yang terdiri dari lapisan arsitektur proses bisnis, informasi, data, aplikasi, dan teknologi. Buat kunci
model dan praktik yang menggambarkan arsitektur baseline dan target, sejalan dengan strategi perusahaan dan I&T. Tentukan persyaratan untuk
taksonomi, standar, pedoman, prosedur, templat dan alat, dan menyediakan keterkaitan untuk komponen ini. Tingkatkan kesejajaran, tingkatkan kelincahan,
meningkatkan kualitas informasi dan menghasilkan penghematan biaya potensial melalui inisiatif seperti penggunaan kembali komponen blok bangunan.
Tujuan
Mewakili berbagai blok bangunan yang membentuk perusahaan dan keterkaitannya serta prinsip-prinsip yang memandu desain dan
evolusi dari waktu ke waktu, untuk memungkinkan penyampaian tujuan operasional dan strategis yang standar, responsif dan efisien.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan: Sejajarkan, Rencanakan, dan Atur
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
• AG06 Agility untuk mengubah persyaratan bisnis menjadi operasional
• EG05 Budaya layanan berorientasi pelanggan
solusi
• EG08 Optimalisasi fungsi proses bisnis internal
• AG08 Mengaktifkan dan mendukung proses bisnis dengan mengintegrasikan
• Program transformasi digital terkelola EG12
aplikasi dan teknologi
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
EG01 a. Persentase produk dan layanan yang memenuhi atau melebihi d. Saatnya memasarkan produk dan layanan baru
target pendapatan dan / atau pangsa pasar
b. Persentase produk dan layanan yang memenuhi atau melebihi
target kepuasan pelanggan
c. Persentase produk dan layanan yang menyediakan
keunggulan kompetitif
AG06 a. an eksekutif bisnis dengan I&T daya tanggap
Ti terhadap persyaratan baru
ng b. Waktu rata-rata untuk memasarkan layanan baru terkait I & T dan
kat aplikasi
ke c. Waktu rata-rata untuk mengubah tujuan I&T strategis menjadi
pu disepakati dan inisiatif yang disetujui
as d. Jumlah proses bisnis penting yang didukung oleh hingga
infrastruktur tanggal dan aplikasi
EG05 a. Jumlah gangguan layanan pelanggan AG08 a. Waktu untuk menjalankan layanan atau proses bisnis
b. Persentase pemangku kepentingan bisnis yang memuaskan pelanggan itu b. Jumlah program bisnis yang mendukung I & T tertunda atau
pemberian layanan memenuhi tingkat yang disepakati menimbulkan biaya tambahan karena masalah integrasi teknologi
c. Jumlah keluhan pelanggan c. Jumlah perubahan proses bisnis yang perlu ditunda
d. Tren hasil survei kepuasan pelanggan atau dikerjakan ulang karena masalah integrasi teknologi
d. Jumlah aplikasi atau infrastruktur penting yang beroperasi
EG08 a. Tingkat kepuasan dewan direksi dan manajemen eksekutif
dalam silo dan tidak terintegrasi
dengan kemampuan proses bisnis
b. Tingkat kepuasan pelanggan dengan penyampaian layanan
kemampuan
c. Tingkat kepuasan pemasok dengan rantai pasokan
kemampuan
EG12 a. Jumlah program tepat waktu dan sesuai anggaran
b. Persentase pemangku kepentingan yang puas dengan pelaksanaan program
c. Persen program transformasi bisnis dihentikan
d. Persentase program transformasi bisnis dengan
pembaruan status rutin yang dilaporkan
A. Komponen: Proses
73
Halaman 74
1. Identifikasi pemangku kepentingan utama dan perhatian / tujuan mereka. Tentukan juga persyaratan perusahaan utama yang akan ditangani 2
pandangan arsitektur yang akan dikembangkan untuk memenuhi persyaratan pemangku kepentingan.
2. Identifikasi tujuan perusahaan dan pendorong strategis. Tentukan kendala yang harus diatasi, termasuk di seluruh dunia usaha dan
kendala khusus proyek (misalnya, waktu, jadwal, sumber daya, dll.).
3. Menyelaraskan tujuan arsitektur dengan prioritas program strategis.
4. Memahami kapabilitas dan tujuan perusahaan, kemudian mengidentifikasi opsi untuk mewujudkan tujuan tersebut.
6. Mendefinisikan ruang lingkup arsitektur baseline dan arsitektur target. Hitung item yang berada dalam cakupan serta yang berada di luar cakupan.
(Arsitektur dasar dan target tidak perlu dijelaskan pada tingkat detail yang sama.)
7. Memahami tujuan dan sasaran strategis perusahaan saat ini. Bekerja dalam proses perencanaan strategis untuk memastikan bahwa I & T-
peluang arsitektur perusahaan yang terkait dimanfaatkan dalam pengembangan rencana strategis.
8. Berdasarkan perhatian pemangku kepentingan, persyaratan kemampuan bisnis, ruang lingkup, batasan dan prinsip, buat arsitektur
visi (yaitu, tampilan tingkat tinggi dari arsitektur baseline dan target).
9. Konfirmasi dan uraikan prinsip arsitektur, termasuk prinsip perusahaan. Pastikan bahwa definisi yang ada adalah yang terbaru. 3
Klarifikasi area ambiguitas apa pun.
10. Identifikasi risiko perubahan perusahaan yang terkait dengan visi arsitektur. Kaji tingkat risiko awal (misalnya kritis, marjinal atau
Sejajarkand, iRabeanikcaann).aKkeamnb,adngaknanAstturartegi mitigasi untuk setiap risiko yang signifikan.
11. Mengembangkan kasus bisnis konsep arsitektur perusahaan dan menguraikan rencana dan pernyataan pekerjaan arsitektur. Aman
persetujuan untuk memulai proyek yang selaras dan terintegrasi dengan strategi perusahaan.
1. Menjaga repositori arsitektur yang berisi standar, komponen yang dapat digunakan kembali, artefak pemodelan, hubungan, 3
dependensi dan tampilan, untuk memungkinkan keseragaman organisasi dan pemeliharaan arsitektural.
2. Pilih sudut pandang referensi dari repositori arsitektur yang memungkinkan arsitek untuk menunjukkan bagaimana pemangku kepentingan
kekhawatiran ditangani dalam arsitektur.
3. Untuk setiap sudut pandang, model tertentu yang diperlukan untuk mendukung tampilan tertentu yang diperlukan. Gunakan alat atau metode yang dipilih dan
tingkat dekomposisi yang sesuai.
4. Mengembangkan deskripsi domain arsitektural dasar, menggunakan ruang lingkup dan tingkat detail yang diperlukan untuk mendukung target
arsitektur dan, sejauh mungkin, mengidentifikasi blok bangunan arsitektur yang relevan dari repositori arsitektur.
5. Mempertahankan model arsitektur proses sebagai bagian dari baseline dan deskripsi domain target. Standarisasi
deskripsi dan dokumentasi proses. Tentukan peran dan tanggung jawab pembuat keputusan proses, pemilik proses,
proses pengguna, tim proses, dan pemangku kepentingan proses lainnya yang harus dilibatkan.
6. Menjaga model arsitektur informasi sebagai bagian dari baseline dan deskripsi domain target, konsisten dengan perusahaan
strategi untuk memperoleh, menyimpan dan menggunakan data secara optimal dalam mendukung pengambilan keputusan.
7. Verifikasi model arsitektur untuk konsistensi dan akurasi internal. Lakukan analisis kesenjangan antara baseline dan target.
Prioritaskan celah dan tentukan komponen baru atau yang dimodifikasi yang harus dikembangkan untuk arsitektur target. Menyelesaikan
inkompatibilitas, inkonsistensi, atau konflik dalam arsitektur target.
8. Melakukan tinjauan pemangku kepentingan formal dengan memeriksa arsitektur yang diusulkan terhadap maksud asli dari proyek arsitektur dan
pernyataan pekerjaan arsitektur.
9. Menyelesaikan bisnis, informasi, data, aplikasi dan arsitektur domain teknologi. Buat dokumen definisi arsitektur.
74
Halaman
75
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Model Maturitas Manajemen Data CMMI, 2014 Platform dan Arsitektur — Pendekatan Arsitektur; Platform dan
Arsitektur — Integrasi Data
ITIL V3, 2011 Strategi Layanan, 5.4 Strategi layanan TI dan arsitektur perusahaan
Open Group Standard TOGAF versi 9.2, 2018 7. Fase B: Arsitektur Bisnis; 8. Fase C: Sistem Informasi
Ilmu bangunan; 9. Fase C: Data Arsitektur Sistem Informasi
Arsitektur; 10. Tahap C: Aplikasi Arsitektur Sistem Informasi
Sejajarkan, Rencanakan, dan Atur
Arsitektur; 11. Fase D: Arsitektur Teknologi
Praktek Manajemen Contoh Metrik
2. Mengidentifikasi penggerak perusahaan yang akan membatasi urutan implementasi. Sertakan review dari perusahaan dan line-of-
strategi bisnis dan rencana bisnis. Pertimbangkan kematangan arsitektur perusahaan saat ini.
3. Meninjau dan mengkonsolidasikan hasil analisis kesenjangan antara arsitektur baseline dan target. Menilai implikasi dengan hormat
untuk solusi potensial, peluang, saling ketergantungan dan keselarasan dengan program yang mengaktifkan I & T saat ini.
4. Menilai kebutuhan, celah, solusi dan faktor lain untuk mengidentifikasi sekumpulan persyaratan fungsional minimal yang integrasinya
ke dalam paket kerja akan mengarah pada implementasi arsitektur target yang lebih efisien dan efektif.
5. Rekonsiliasi persyaratan konsolidasi dengan solusi potensial.
6. Perbaiki ketergantungan awal dan identifikasi kendala pada implementasi dan rencana migrasi. Kumpulkan laporan analisis ketergantungan.
7. Konfirmasikan kesiapan perusahaan untuk, dan risiko yang terkait dengan, transformasi perusahaan.
8. Merumuskan strategi tingkat tinggi untuk implementasi dan migrasi. Menerapkan arsitektur target (dan mengatur transisi apa pun
arsitektur) sesuai dengan strategi perusahaan secara keseluruhan, tujuan dan jadwal.
9. Identifikasi dan kelompokkan paket kerja utama ke dalam satu set program dan proyek yang koheren, dengan menghormati arahan dan pendekatannya
implementasi strategis perusahaan.
10. Mengembangkan arsitektur transisi di mana ruang lingkup perubahan yang diperlukan oleh arsitektur target memerlukan peningkatan
pendekatan.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Model Maturitas Manajemen Data CMMI, 2014 Platform dan Arsitektur — Pendekatan Arsitektur; Platform dan
Arsitektur — Integrasi Data
Open Group Standard TOGAF versi 9.2, 2018 12. Fase E: Peluang dan Solusi
75
Halaman 76
1. Menetapkan item yang diperlukan dalam implementasi dan rencana migrasi sebagai bagian dari perencanaan program dan proyek. Pastikan rencananya 3
selaras dengan persyaratan pembuat keputusan yang relevan.
2. Konfirmasikan kenaikan dan fase arsitektur transisi. Perbarui dokumen definisi arsitektur.
3. Tentukan dan selesaikan implementasi arsitektur dan rencana migrasi, termasuk persyaratan tata kelola yang relevan.
Integrasikan rencana, kegiatan dan ketergantungan ke dalam perencanaan program dan proyek.
4. Komunikasikan peta jalan arsitektural yang telah ditetapkan kepada pemangku kepentingan terkait. Beri tahu pemangku kepentingan tentang arsitektur target
definisi, pedoman dan prinsip arsitektur, portofolio layanan, dll.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Model Maturitas Manajemen Data CMMI, 2014 Platform dan Arsitektur — Pendekatan Arsitektur; Platform dan
Arsitektur — Integrasi Data
Open Group Standard TOGAF versi 9.2, 2018 13. Fase F: Perencanaan Migrasi
Sejajarkan, Rencanakan, dan Atur
Praktek Manajemen Contoh Metrik
1. Konfirmasikan ruang lingkup dan prioritas serta berikan panduan untuk pengembangan dan penerapan solusi (misalnya, dengan menggunakan berorientasi
layana3n Arsitektur).
2. Mengelola persyaratan arsitektur perusahaan dan mendukung bisnis dan TI dengan nasihat dan keahlian tentang prinsip-prinsip arsitektur,
model dan blok bangunan. Menjamin bahwa implementasi baru (serta perubahan pada arsitektur saat ini) selaras
prinsip dan persyaratan arsitektur perusahaan.
3. Mengelola portofolio layanan arsitektur perusahaan dan memastikan keselarasan dengan tujuan strategis dan pengembangan solusi.
4. Identifikasi prioritas arsitektur perusahaan. Selaraskan prioritas dengan penggerak nilai. Tentukan dan kumpulkan metrik nilai dan ukur dan 4
mengkomunikasikan nilai arsitektur perusahaan.
5. Membentuk forum teknologi untuk memberikan pedoman arsitektural, memberi saran proyek, dan memandu pemilihan teknologi. Mengukur 5
kepatuhan terhadap standar dan pedoman, termasuk kepatuhan terhadap persyaratan eksternal dan relevansi bisnis internal.
Model Maturitas Manajemen Data CMMI, 2014 Platform dan Arsitektur — Standar Arsitektur
Open Group Standard TOGAF versi 9.2, 2018 14. Fase G: Tata Kelola Implementasi; 15. Fase H:
Arsitektur Manajemen Perubahan
76
Halaman
77
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
B. Komponen: Struktur Organisasi
fficer
fficer
fficer
Petugas echnology
Dewan Tata Kelola
Praktik Manajemen Kunci
Open Group Standard TOGAF versi 9.2, 2018 41. Badan Arsitektur
77
Halaman 78
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
Di luar strategi COBIT Enterprise APO03.03 Pilih peluang dan solusi. APO02.03
Perusahaan yang
diusulkan perubahan
arsitektur Arsitektur transisi APO02.05
4/23/2021 Tujuan Tata Kelola dan Manajemen
COBIT luar • Pengemudi perusahaan
• Strategi perusahaan
B
A
I
0
2
.
0
2
;
B
A
I
0
3
.
0
2
;
B
A
I
0
3
.
1
2
Insti
3.1 Persiapan (Tugas 9): Input dan
tut
Output
Nas
iona
l
Stan
dar
dan
Pub
lika
si
Khu
sus
Tek
nolo
gi
800
-37,
Rev
isi
2,
Sept
emb
er
201
7
B
i
s
n
i
s
:
I
n
p
u
t
https://translate.googleusercontent.com/translate_f 65/250
4/23/2021 Tujuan Tata Kelola dan Manajemen
dan Output; 9. Fase C: Informasi Arsitektur Sistem an Solusi:
Arsitektur Data: Input dan Output; Masukan d
10. Arsitektur Aplikasi Arsitektur Sistem Informasi: Keluaran;
M Fase F:
a Perencana
s Migrasi: In
u dan Outpu
k Fase G: Ta
a Kelola
n Pelaksanaa
Masukan d
d Keluaran;
a Fase H:
n Manajeme
Perubahan
Arsitektur
k dan Outpu
e
l
u D. Komponen: Orang, Keterampilan dan Kompetensi
a
Ketrampilan Panduan Terkait (Standar,
r Kerangka Kerja, Persyaratan Kepatuhan)
a
n e-Competence Framework
(e-CF) - Kerangka kerja A. Rencana — A.5.
; Desain arsitektur
umum Eropa untuk TIK
1 Profesional di semua sektor
1 industri — Bagian 1:
. Kerangka, 2016
Analisis data Kerangka Keterampilan
F untuk Era Informasi V6, 2015 DTAN
a
Perus
s Kerangka Keterampilan untuk Era Informasi V6, 2015
ahaan
e
dan
bisnis
D
Arsite
:
ktur
A Perencanaan produk /
A
layanan
r .
Framework (e-CF) -
s Kerangka kerja umum Eropa
i untuk TIK R
t Profesional di e
e semua sektor n
k industri — c
t Bagian 1:
a
Kerangka,
u n
2016
r a
T —
e
k A
n .
o 4
l .
o
g P
i r
: o
d
I u
n k
p
u /
t
L
d a
a y
n a
n
K a
e n
l
u P
a e
r r
a e
n n
; c
a
1 n
2 a
. a
n
F
a Arsitektur solusi Kerangka Keterampilan
untuk Era Informasi V6, 2015 LENGKUNGAN
s
e
E
:
P
e
l
u
a
78
n
g
d
https://translate.googleusercontent.com/translate_f 66/250
4/23/2021 Tujuan Tata Kelola dan Manajemen
Halam
an 79 Sejajarkan,
BAB 4
Rencanaka
TATA KELOLA COBIT DAN TUJUAN n, dan Atur
MANAJEMEN — PANDUAN RINCI
F. Komponen: Budaya, Etika dan Perilaku
Kebijakan yang Relevan Deskripsi Kebijakan Panduan Terkait Ciptakan lingkungan di mana manajemen memahami arsitektur
Terperinci k
e
Prinsip arsitektur Mendefinisikan enggunaan dan interkoneksi I&T sumber daya b
20. Prinsip Arsitektur
prinsip-prinsip umum dan aset. Garis besar prinsip arsitektur untuk u
untukTOGAF Standar meningkatkan pengambilan keputusan. t
Grup Terbuka Memastikan keselarasan arus dan target u
menginformasikan arsitektur dengan perusahaan tujuan dan strategi. h
aturan dan 20. a
Arsitekturversi 9.2, n
2018
P r
e e
d l
o a
m t
a i
n f
p t
r e
i r
n h
s a
i d
p a
p
u
n t
t u
u j
k u
a
p n
r
o d
s a
e n
s
s
a a
r s
s a
i r
t a
e n
k
t b
u i
r s
, n
p i
r s
o .
s
e D
d o
u r
r o
, n
g
l
a l
p a
i t
s i
a h
n a
, n
d y
a a
n n
g
k
e e
s f
e e
l k
u t
r i
u f
h
a a
n r
s
p i
https://translate.googleusercontent.com/translate_f 67/250
4/23/2021 Tujuan Tata Kelola dan Manajemen
t l
e i
k s
t t
u i
r k
p y
e a
r n
u g
s
a m
h e
a n
a g
n h
u
d b
i u
n
s g
e k
l a
u n
r
u k
h o
m
o p
r o
g n
a e
n n
i
s l
a e
s b
i i
h
(
t m
i u
d l
a u
k s
h (
a m
n i
y s
a a
l
o n
l y
e a
h ,
a
r d
s e
i n
t g
e a
k n
p m
e e
r n
u j
s a
a u
h h
a
a d
n a
) r
. i
P t
a i
s m
t
i k
k h
a u
n s
u
p s
e
n d
d a
e r
k i
a spesialis aplikasi).
t
a
G. Komponen: Layanan, Infrastruktur dan Aplikasi
n
Repositori arsitektur
h
o
https://translate.googleusercontent.com/translate_f 68/250
79
Halaman 80
Halaman
81
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Pertahankan kesadaran tentang I&T dan tren layanan terkait serta pantau tren teknologi yang muncul. Secara proaktif mengidentifikasi peluang inovasi dan
merencanakan bagaimana memanfaatkan inovasi dalam kaitannya dengan kebutuhan bisnis dan strategi I&T yang ditetapkan. Menganalisis peluang apa untuk inovasi bisnis atau
peningkatan dapat dibuat dengan teknologi, layanan, atau inovasi bisnis yang mendukung I & T; melalui teknologi mapan yang ada; dan
oleh bisnis dan inovasi proses TI. Mempengaruhi perencanaan strategis dan keputusan arsitektur perusahaan.
Tujuan
Mencapai keunggulan kompetitif, inovasi bisnis, meningkatkan pengalaman pelanggan, dan meningkatkan efektivitas dan efisiensi operasional
mengeksploitasi perkembangan I&T dan teknologi baru.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan: Sejajarkan, Rencanakan, dan Atur
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
• AG06 Agility untuk mengubah persyaratan bisnis menjadi solusi operasional
• EG13 Produk dan inovasi bisnis
• AG13 Pengetahuan, keahlian dan inisiatif untuk inovasi bisnis
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Buat rencana inovasi yang mencakup selera risiko, anggaran yang diusulkan untuk inisiatif inovasi dan tujuan inovasi. 2
2. Menyediakan infrastruktur yang dapat menjadi komponen tata kelola untuk inovasi (misalnya, alat kolaborasi untuk meningkatkan pekerjaan
antara lokasi geografis dan / atau divisi).
3. Menjaga staf yang memungkinkan program untuk mengirimkan ide-ide inovasi dan membuat struktur pengambilan keputusan yang tepat untuk dinilai 3
dan memajukan ide.
Halaman 82
1. Menjaga pemahaman tentang industri dan penggerak bisnis, perusahaan dan strategi I&T, serta operasi perusahaan dan saat ini 2
tantangan. Menerapkan pemahaman untuk mengidentifikasi potensi teknologi nilai tambah dan berinovasi I&T.
2. Melakukan pertemuan rutin dengan unit bisnis, divisi dan / atau entitas pemangku kepentingan lainnya untuk memahami bisnis saat ini 3
masalah, kemacetan proses, atau kendala lain di mana teknologi baru atau inovasi I&T dapat menciptakan peluang.
3. Memahami parameter investasi perusahaan untuk inovasi dan teknologi baru sehingga strategi yang tepat dikembangkan.
1. Memahami selera perusahaan dan potensi inovasi teknologi. Fokuskan upaya kesadaran pada yang paling tepat 2
inovasi teknologi.
2. Menyiapkan proses pengawasan teknologi dan melakukan penelitian dan pemindaian lingkungan eksternal, termasuk yang sesuai
situs web, jurnal dan konferensi, untuk mengidentifikasi teknologi yang muncul dan nilai potensialnya bagi perusahaan.
3. Berkonsultasi dengan ahli pihak ketiga jika diperlukan untuk mengkonfirmasi penelitian atau memberikan informasi tentang teknologi yang muncul.
4. Tangkap ide-ide inovasi I & T dari staf dan kaji ulang untuk kemungkinan implementasi.
1. Mengevaluasi teknologi yang teridentifikasi, dengan mempertimbangkan aspek-aspek seperti waktu untuk mencapai kematangan, risiko yang melekat (termasuk p2otensi hukum
implikasi), sesuai dengan arsitektur perusahaan dan potensi nilai, sejalan dengan strategi perusahaan dan I&T.
2. Identifikasi masalah yang mungkin perlu diselesaikan atau divalidasi melalui inisiatif bukti konsep. 3
3. Cakupan inisiatif bukti konsep, termasuk hasil yang diinginkan, anggaran yang dibutuhkan, kerangka waktu dan tanggung jawab.
5. Melakukan inisiatif pembuktian konsep untuk menguji teknologi yang muncul atau ide inovasi lainnya. Identifikasi masalah dan tentukan
apakah implementasi atau peluncuran harus dipertimbangkan berdasarkan kelayakan dan potensi ROI.
82
Halaman
83
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Mendokumentasikan hasil bukti konsep, termasuk panduan dan rekomendasi untuk tren dan program inovasi. 3
2. Komunikasikan peluang inovasi yang layak ke dalam strategi I&T dan proses arsitektur perusahaan.
2. Pastikan bahwa inisiatif inovasi selaras dengan perusahaan dan strategi I&T. Pantau keselarasan secara terus menerus. Sesuaikan rencana inovasi,
jika diperlukan.
3. Menilai teknologi baru atau inovasi I&T yang diimplementasikan sebagai bagian dari strategi I&T dan pengembangan arsitektur perusahaan. 4
Evaluasi tingkat adopsi selama pengelolaan program inisiatif.
fficefrficer wners
fficer
perations
HAI
echnology O
APO04.04 Menilai potensi teknologi yang muncul dan ide-ide inovatif. ARRRRR RRRRR
83
Halaman 84
APO04.01 Menciptakan lingkungan yang kondusif untuk Dari Deskripsi Deskripsi Untuk
inovasi.
EDM03.01 Panduan selera risiko Pengakuan dan penghargaan APO07.04
program
APO04.03 Memantau dan memindai lingkungan teknologi. Di luar COBIT Teknologi yang sedang berkembang Analisis penelitian
BAI03.01
kemungkinan inovasi
APO04.04 Menilai potensi teknologi yang muncul
Ruang lingkup bukti konsep APO05.02;
dan ide-ide inovatif.
dan garis besar bisnis APO06.02
kasus
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Pengembangan rencana bisnis e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016 A. Rencana — A.3. Rencana bisnis
Pengembangan
Pemantauan teknologi yang muncul Kerangka Keterampilan untuk Era Informasi V6, 2015 EMRG
Berinovasi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
A. Rencana — A.9. Berinovasi
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Inovasi Kerangka Keterampilan untuk Era Informasi V6, 2015 INOV
Pemantauan tren teknologi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
A. Rencana — A.7. Tren Teknologi
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Pemantauan
84
Halaman
85
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
• Platform kolaborasi
• Tolok ukur industri
• Layanan dan peralatan jam tangan teknologi
85
Halaman 86
Halaman
87
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Jalankan arahan strategis yang ditetapkan untuk investasi sejalan dengan visi arsitektur perusahaan dan peta jalan I&T. Pertimbangkan kategori yang berbeda
investasi dan sumber daya dan kendala pendanaan. Mengevaluasi, memprioritaskan, dan menyeimbangkan program dan layanan, mengelola permintaan di dalamnya
kendala sumber daya dan pendanaan, berdasarkan keselarasannya dengan tujuan strategis, nilai dan risiko perusahaan. Pindahkan program yang dipilih ke
produk aktif atau portofolio layanan untuk dieksekusi. Pantau kinerja keseluruhan portofolio produk dan layanan dan program,
mengusulkan penyesuaian yang diperlukan dalam menanggapi kinerja program, produk atau layanan atau mengubah prioritas perusahaan.
Tujuan
Mengoptimalkan kinerja keseluruhan portofolio program dalam menanggapi kinerja program individu, produk dan layanan dan perubahan
prioritas dan permintaan perusahaan.
Sejajarkan, Rencanakan, dan Atur
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
• AG03 Manfaat yang direalisasikan dari investasi dan layanan yang mendukung I & T
• EG08 Optimalisasi fungsi proses bisnis internal
portofolio
• Program transformasi digital terkelola EG12
• AG05 Penyampaian layanan I&T sejalan dengan kebutuhan bisnis
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Pahami ketersediaan dan komitmen dana saat ini, pembelanjaan yang disetujui saat ini, dan pembelanjaan aktual hingga saat ini. 2
2. Mengidentifikasi opsi untuk pendanaan tambahan dari investasi yang mendukung I & T, dengan mempertimbangkan sumber internal dan eksternal.
87
Halaman 88
1. Mengidentifikasi dan mengklasifikasikan peluang investasi sesuai dengan kategori portofolio investasi. Tentukan perusahaan yang diharapkan 2
hasil, inisiatif yang diperlukan untuk mencapai hasil yang diharapkan, biaya tingkat tinggi, ketergantungan dan risiko. Tentukan metodologi
untuk mengukur hasil, biaya dan risiko.
2. Lakukan penilaian rinci atas semua kasus bisnis program. Mengevaluasi keselarasan strategis, keuntungan perusahaan, risiko dan 3
ketersediaan sumber daya.
3. Menilai dampak penambahan program potensial pada portofolio investasi secara keseluruhan, termasuk perubahan yang mungkin diperlukan pada lainnya
program.
4. Tentukan program kandidat mana yang harus dipindahkan ke portofolio investasi aktif. Putuskan apakah program harus ditolak
diadakan untuk pertimbangan di masa mendatang atau disediakan pendanaan awal untuk menentukan apakah kasus bisnis dapat ditingkatkan atau dibuang.
5. Tentukan tonggak yang diperlukan untuk setiap siklus hidup ekonomi penuh program yang dipilih. Alokasikan dan cadangkan total dana program
per tonggak. Pindahkan program ke dalam portofolio investasi aktif.
Sejajark6.aMn,enReteanpckaannparkoasend,udr uanntuAk tmuerngkomunikasikan aspek portofolio yang terkait dengan biaya, manfaat dan risiko untuk
dipertimbangkan dalam anggaran prioritas, manajemen biaya dan proses manajemen manfaat.
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 1.2.3 Hubungan proyek, program, portofolio dan operasi
pengelolaan
Praktek Manajemen Contoh Metrik
1. Meninjau portofolio secara teratur untuk mengidentifikasi dan memanfaatkan sinergi, menghilangkan duplikasi antar program, dan mengidentifikasi serta mengura3ngi risiko.
2. Saat terjadi perubahan, evaluasi ulang dan prioritaskan ulang portofolio untuk memastikan keselarasan dengan bisnis dan strategi I&T. Pertahankan target
campuran investasi sehingga portofolio mengoptimalkan nilai keseluruhan. Program dapat diubah, ditangguhkan atau dihentikan, dan baru
program dapat dimulai, untuk menyeimbangkan kembali dan mengoptimalkan portofolio.
3. Sesuaikan target perusahaan, prakiraan, anggaran dan, jika diperlukan, tingkat pemantauan untuk mencerminkan pengeluaran dan usaha
manfaat yang dapat diatribusikan pada program dalam portofolio investasi aktif. Mengisi kembali pengeluaran program. Tetapkan
fleksibel proses penganggaran sehingga proyek yang menjanjikan mendapatkan sumber daya untuk diskalakan dengan cepat.
4. Kembangkan metrik untuk mengukur kontribusi I&T bagi perusahaan. Tetapkan target kinerja yang sesuai dengan kebutuhan 4
I&T dan target kapabilitas perusahaan. Gunakan panduan dari pakar eksternal dan data tolok ukur untuk mengembangkan metrik.
5. Memberikan gambaran yang akurat tentang kinerja portofolio investasi kepada semua pemangku kepentingan.
6. Memberikan laporan untuk tinjauan manajemen senior atas kemajuan perusahaan menuju tujuan yang diidentifikasi, menyatakan apa yang masih perlu
dihabiskan dan dicapai selama kerangka waktu tertentu.
7. Dalam pemantauan kinerja rutin, termasuk informasi sejauh mana tujuan yang direncanakan telah tercapai, risiko
dimitigasi, kapabilitas dibuat, kiriman diperoleh dan target kinerja terpenuhi.
8. Identifikasi penyimpangan anggaran vs. pengeluaran aktual dan ROI yang diharapkan untuk investasi.
88
Halaman
89
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
2. Bekerja dengan manajer penyampaian layanan untuk memelihara portofolio layanan. Bekerja dengan manajer operasi, manajer produk, dan
arsitek untuk mempertahankan portofolio aset. Prioritaskan portofolio untuk mendukung keputusan investasi.
3. Hapus program dari portofolio investasi aktif ketika keuntungan perusahaan yang diinginkan telah tercapai atau ketika itu tercapai
jelas bahwa manfaat tidak akan tercapai dalam kriteria nilai yang ditetapkan untuk program tersebut. Sejajarkan, Rencanakan, dan Atur
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
1. Gunakan metrik yang disepakati dan lacak bagaimana manfaat dicapai, bagaimana manfaat tersebut berkembang sepanjang siklus hidup program dan 4
proyek, bagaimana mereka disampaikan dari produk dan layanan I&T, dan bagaimana mereka dibandingkan dengan internal dan industri
tolak ukur. Komunikasikan hasil kepada pemangku kepentingan.
2. Menerapkan tindakan korektif bila manfaat yang dicapai secara signifikan menyimpang dari manfaat yang diharapkan. Perbarui kasus bisnis untuk 5
inisiatif baru dan menerapkan proses bisnis dan peningkatan layanan sesuai kebutuhan.
3. Pertimbangkan untuk mendapatkan panduan dari pakar eksternal, pemimpin industri, dan data pembandingan komparatif untuk menguji dan meningkatkan
metrik dan target.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
89
Halaman 90
ffice.dll
fficer wner
s
fficer
Petugas echnology
Dewan Tata Kelola
Praktik Manajemen Kunci Manajer ortfolio
KepKaleapKBalaeagpKIiaanlenafpoSKTarAmleaYuaPDaAsrni
goTgOisPatea.nsl BOMisanniMsajOaenraPjermogernamProyek
O
APO05.01 Tentukan ketersediaan dan sumber dana. RR SEBUARH
90
Halaman
91
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
APO05.02 Mengevaluasi dan memilih program yang akan didanai. Dari Deskripsi Deskripsi Untuk
APO05.05 Kelola pencapaian manfaat. BAI01.04 Anggaran program dan Tindakan korektif untuk APO09.04;
daftar manfaat meningkatkan manfaat BAI01.06
realisasi
BAI01.05 Hasil manfaat Hasil manfaat dan APO09.04;
pemantauan realisasi terkait BAI01.06;
komunikasi EDM02.02
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
91
Halaman 92
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Manajemen manfaat Kerangka Keterampilan untuk Era Informasi V6, 2015 BENM
Manajemen portofolio Kerangka Keterampilan untuk Era Informasi V6, 2015 POMG
Perencanaan produk / layanan e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
A. Rencana — A.4. Produk / Layanan
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Perencanaan
Untuk mendukung kecepatan dan kelincahan, pastikan pemimpin mengevaluasi yang aktif
portofolio investasi secara meyakinkan. Jika prototipe tidak berfungsi, kepemimpinan
harus mengakhiri proyek dengan tegas, memasukkan pelajaran yang didapat dan bergerak
di. Cepat curahkan sumber daya tambahan untuk proyek yang berhasil
skala yang tepat.
Halaman
93
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Mengelola aktivitas keuangan terkait I & T baik dalam fungsi bisnis maupun TI, yang mencakup manajemen anggaran, biaya dan manfaat, serta prioritas
pengeluaran melalui penggunaan praktik penganggaran formal dan sistem yang adil dan merata dalam mengalokasikan biaya kepada perusahaan. Konsultasikan dengan pemangku kepentingan
untuk mengidentifikasi dan mengendalikan total biaya dan manfaat dalam konteks rencana strategis dan taktis I&T. Mulailah tindakan korektif jika diperlukan.
Tujuan
Membina kemitraan antara TI dan pemangku kepentingan perusahaan untuk memungkinkan penggunaan dan penyediaan sumber daya terkait I & T yang efektif dan efisien
transparansi dan akuntabilitas biaya dan nilai bisnis dari solusi dan layanan. Memungkinkan perusahaan untuk membuat keputusan yang tepat
mengenai penggunaan solusi dan layanan I&T.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
Sejajarkan, Rencanakan, dan Atur
• EG01 Portofolio produk dan layanan yang kompetitif ➡ Tujuan Penyelarasan
• AG04 Kualitas informasi keuangan terkait teknologi
• EG04 Kualitas informasi keuangan
• AG09 Menyampaikan program tepat waktu, sesuai anggaran dan rapat
• EG07 Kualitas informasi manajemen
persyaratan dan standar kualitas
• EG08 Optimalisasi fungsi proses bisnis internal
• EG09 Optimalisasi biaya proses bisnis
• Program transformasi digital terkelola EG12
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
93
Halaman 94
KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN
A. Komponen: Proses
1. Tentukan proses, masukan, keluaran, dan tanggung jawab untuk manajemen keuangan dan akuntansi I&T yang selaras dengan 2
kebijakan dan pendekatan penganggaran dan akuntansi biaya perusahaan. Tentukan cara menganalisis dan melaporkan (kepada siapa dan bagaimana)
proses pengendalian anggaran I&T.
2. Tetapkan skema klasifikasi untuk mengidentifikasi semua elemen biaya terkait I & T (belanja modal [capex] vs. biaya
operasional [opex], perangkat keras, perangkat lunak, orang, dll.). Identifikasi bagaimana mereka ditangkap.
3. Menggunakan informasi keuangan untuk memberikan masukan pada kasus bisnis untuk investasi baru dalam aset dan layanan I&T. 3
4. Pastikan bahwa biaya dipertahankan dalam aset I&T dan portofolio layanan.
5. Menetapkan dan memelihara praktik perencanaan keuangan dan optimalisasi biaya operasional berulang untuk mencapai hasil yang maksimal 4
nilai bagi perusahaan untuk pengeluaran paling sedikit.
1. Beri peringkat semua inisiatif I&T dan permintaan anggaran berdasarkan kasus bisnis dan prioritas strategis dan taktis. Tetapkan prosedur 2
untuk menentukan alokasi anggaran dan cutoff.
2. Mengalokasikan bisnis dan sumber daya TI (termasuk penyedia layanan eksternal) dalam alokasi anggaran tingkat tinggi untuk I & T-
program, layanan, dan aset yang diaktifkan. Pertimbangkan opsi untuk membeli atau mengembangkan aset dan layanan yang dikapitalisasi vs.
aset dan layanan yang digunakan secara eksternal atas dasar pembayaran untuk digunakan.
3. Menetapkan prosedur untuk mengkomunikasikan keputusan anggaran dan meninjaunya dengan pemegang anggaran unit bisnis.
4. Mengidentifikasi, mengkomunikasikan dan menyelesaikan dampak signifikan dari keputusan anggaran pada kasus bisnis, portofolio dan rencana strategi.
Misalnya, ini mungkin termasuk ketika anggaran memerlukan revisi karena keadaan perusahaan yang berubah atau ketika tidak
cukup untuk mendukung tujuan strategis atau tujuan kasus bisnis).
5. Dapatkan ratifikasi dari komite eksekutif untuk implikasi anggaran I&T yang berdampak negatif pada strategi atau entitas 3
rencana taktis. Sarankan tindakan untuk mengatasi dampak ini.
94
Halaman
95
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Menerapkan anggaran I&T formal, termasuk semua biaya I&T yang diharapkan dari program, layanan, dan aset yang mendukung I & T. 2
2. Saat membuat anggaran, pertimbangkan komponen berikut: keselarasan dengan bisnis; keselarasan dengan sumber
strategi; sumber pendanaan resmi; biaya sumber daya internal, termasuk personel, aset informasi dan akomodasi;
biaya pihak ketiga, termasuk kontrak outsourcing, konsultan dan penyedia layanan; biaya modal dan operasional; dan
elemen biaya yang bergantung pada beban kerja.
3. Dokumentasikan alasan untuk membenarkan kemungkinan dan meninjaunya secara teratur.
4. Instruksikan pemilik proses, layanan dan program, serta manajer proyek dan aset, untuk merencanakan anggaran.
5. Tinjau rencana anggaran dan buat keputusan tentang alokasi anggaran. Kumpulkan dan sesuaikan anggaran berdasarkan perubahan 3
kebutuhan perusahaan dan pertimbangan keuangan.
6. Catat, pertahankan, dan komunikasikan anggaran I&T saat ini, termasuk pengeluaran yang dilakukan dan pengeluaran saat ini, Sejajarkan, Rencanakan, dan Atur
mempertimbangkan proyek I&T yang dicatat dalam portofolio investasi yang mendukung I & T serta pengoperasian dan pemeliharaan aset dan layanan
portofolio.
7. Pantau efektivitas berbagai aspek penganggaran. 4
8. Menggunakan hasil pemantauan untuk melaksanakan perbaikan dan memastikan bahwa anggaran masa depan lebih akurat, andal, dan 5
hemat biaya.
ISO / IEC 20000-1: 2011 (E) 6.4 Penganggaran dan akuntansi untuk layanan
1. Tentukan model alokasi biaya yang memungkinkan alokasi biaya terkait I & T yang adil, transparan, dapat diulang, dan sebanding untuk 3
pengguna. Contoh model alokasi dasar adalah penyebaran merata dari biaya bersama I & T terkait. Ini adalah model alokasi yang sangat sederhana
itu mudah diterapkan; namun, tergantung pada konteks perusahaan, hal ini sering dianggap tidak adil dan tidak mendorong
penggunaan sumber daya yang bertanggung jawab. Skema penetapan biaya berbasis aktivitas, di mana biaya dialokasikan ke layanan TI dan dibebankan
pengguna layanan ini, memungkinkan alokasi biaya yang lebih transparan dan sebanding.
2. Periksa katalog definisi layanan untuk mengidentifikasi layanan yang tunduk pada tolak bayar pengguna dan layanan yang digunakan bersama.
3. Rancang model biaya agar cukup transparan untuk memungkinkan pengguna mengidentifikasi penggunaan dan biaya aktual mereka dengan menggunakan kategori
dan driver biaya yang masuk akal bagi pengguna (misalnya, biaya per panggilan help desk, biaya per lisensi perangkat lunak) dan untuk pengaktifan yang lebih baik
prediktabilitas biaya I&T dan pemanfaatan sumber daya I&T yang efisien dan efektif. Menganalisis pendorong biaya (waktu yang dihabiskan per aktivitas,
pengeluaran, porsi biaya tetap vs. biaya variabel, dll.). Tentukan diferensiasi yang sesuai (mis., Kategori pengguna yang berbeda dengan
bobot yang berbeda) dan gunakan perkiraan atau rata-rata biaya ketika biaya sebenarnya sangat bervariasi.
4. Jelaskan prinsip dan hasil model biaya kepada pemangku kepentingan utama. Dapatkan umpan balik mereka untuk penyempurnaan lebih lanjut menuju a
model transparan dan komprehensif.
5. Dapatkan persetujuan dari pemangku kepentingan utama dan komunikasikan model penetapan biaya I&T kepada manajemen departemen pengguna.
6. Komunikasikan perubahan penting dalam prinsip model biaya / tagihan balik kepada pemangku kepentingan utama dan manajemen pengguna
departemen.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
95
Halaman 96
1. Dapatkan persetujuan dari pemangku kepentingan utama dan komunikasikan model penetapan biaya I&T kepada manajemen departemen pengguna. 2
2. Tetapkan skala waktu untuk pengoperasian proses manajemen biaya sejalan dengan persyaratan penganggaran dan
akuntansi dan garis waktu.
3. Tentukan metode pengumpulan data yang relevan untuk mengidentifikasi penyimpangan dalam anggaran vs. aktual, ROI investasi, biaya layanan
tren, dll.
4. Tentukan bagaimana biaya dikonsolidasikan untuk tingkat yang sesuai di perusahaan (TI pusat vs. anggaran TI dalam bisnis 3
departemen) dan bagaimana mereka akan disajikan kepada para pemangku kepentingan. Laporan tersebut memberikan informasi tentang biaya per kategori biaya,
anggaran vs. status aktual, pengeluaran teratas, dll., untuk memungkinkan identifikasi tepat waktu dari tindakan korektif yang diperlukan.
5. Instruksikan mereka yang bertanggung jawab atas manajemen biaya untuk menangkap, mengumpulkan dan mengkonsolidasikan data, dan menyajikan serta melaporkan data
kepada pemilik anggaran yang sesuai. Analis anggaran dan pemilik bersama-sama menganalisis penyimpangan dan membandingkan kinerja dengan internal
dan tolok ukur industri. Mereka harus menetapkan dan memelihara metode alokasi biaya overhead. Hasil analisis
memberikan penjelasan tentang penyimpangan yang signifikan dan tindakan korektif yang disarankan.
Sejajarkan, Rencanakan, dan Atur
6. Pastikan bahwa tingkat manajemen yang sesuai meninjau hasil analisis dan menyetujui tindakan korektif yang disarankan.
7. Pastikan bahwa perubahan dalam struktur biaya dan kebutuhan usaha diidentifikasi dan anggaran serta prakiraan direvisi sesuai kebutuhan. 4
8. Secara berkala, dan terutama ketika anggaran dipotong karena kendala keuangan, identifikasi cara untuk mengoptimalkan biaya dan 5
memperkenalkan efisiensi tanpa membahayakan layanan.
fficefrficer
fficer
Administrasi
echnology O
96
Halaman
97
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
APO06.02 Memprioritaskan alokasi sumber daya. APO04.04 Ruang lingkup bukti konsep Alokasi anggaran
dan garis besar bisnis
kasus APO02,05
; Sejajarkan, Rencanakan, dan Atur
APO05.02
;
APO07,05
; BAI03.11
APO05.01 Pengembalian investasi
Prioritas dan peringkat APO05.02
harapan
inisiatif I&T
APO05.02 • Kasus bisnis program
• Kasus bisnis
penilaian
EDM02.02 Evaluasi investasi
dan portofolio layanan
Alokasi biaya
Intern
komunikasi
Model alokasi biaya Intern
Biaya I&T yang dikategorikan Intern
APO06.05 Mengelola biaya. BAI01.02 Manfaat program Optimalisasi biaya APO02.02
rencana realisasi peluang
BAI01.04 Anggaran program dan Konsolidasi biaya Intern
daftar manfaat metode
BAI01.05 Hasil manfaat Pengumpulan data biaya Intern
pemantauan realisasi metode
EDM02.04 Masukan tentang
portofolio dan program
kinerja
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 7. Manajemen biaya proyek: Input dan Output
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Manajemen keuangan Kerangka Keterampilan untuk Era Informasi V6, 2015 FMIT
97
Halaman 98
Halaman
99
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Memberikan pendekatan terstruktur untuk memastikan rekrutmen / akuisisi yang optimal, perencanaan, evaluasi dan pengembangan sumber daya manusia (baik internal
dan eksternal).
Tujuan
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
• AG12 Staf yang kompeten dan termotivasi dengan saling pengertian
• EG10 Keterampilan, motivasi dan produktivitas staf
teknologi dan bisnis
• EG13 Produk dan inovasi bisnis
• AG13 Pengetahuan, keahlian dan inisiatif untuk inovasi bisnis
Sejajarkan, Rencanakan, dan Atur
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
APO07.01 Memperoleh dan memelihara staf yang memadai dan sesuai. Sebuah. Durasi rata-rata lowongan
Menetapkan dan memelihara metode untuk mengelola dan memperhitungkan semua I & bT.-Persen posting TI kosong
biaya terkait, investasi dan penyusutan sebagai bagian yang tidak terpisahkan dari c. Persen dari pergantian staf
sistem dan akun keuangan perusahaan. Laporkan menggunakan perusahaan
sistem pengukuran keuangan.
Kegiatan Tingkat Kemampuan
1. Evaluasi kebutuhan staf secara teratur atau pada perubahan besar. Pastikan bahwa perusahaan dan IT berfungsi 2
memiliki sumber daya yang cukup untuk mendukung tujuan dan sasaran perusahaan, proses dan kontrol bisnis, dan yang mendukung I & T
inisiatif secara memadai dan tepat.
2. Menjaga proses rekrutmen dan retensi personel bisnis dan TI sejalan dengan kebijakan personalia perusahaan secara keseluruhan
dan prosedur.
3. Tetapkan pengaturan sumber daya yang fleksibel, seperti penggunaan transfer, kontraktor eksternal, dan layanan pihak ketiga
pengaturan, untuk mendukung kebutuhan bisnis yang berubah.
4. Sertakan pemeriksaan latar belakang dalam proses rekrutmen TI untuk karyawan, kontraktor, dan vendor. Luas dan frekuensi 3
pemeriksaan ini harus bergantung pada sensitivitas dan / atau kekritisan fungsi.
99
Halaman 100
COSO Enterprise Risk Management, Juni 2017 6. Tata Kelola dan Budaya — Prinsip 5
Kerangka Keterampilan untuk Era Informasi V6, 2015 SFIA dan manajemen keterampilan — Dapatkan
1. Sebagai tindakan pencegahan keamanan, berikan pedoman tentang waktu minimum liburan tahunan yang akan diambil oleh individu kunci. 2
2. Mengambil tindakan yang tepat terkait perubahan pekerjaan, terutama pemutusan hubungan kerja.
3. Gunakan pengumpulan pengetahuan (dokumentasi), berbagi pengetahuan, perencanaan suksesi, cadangan staf, pelatihan silang dan rotasi pekerjaan
inisiatif untuk meminimalkan ketergantungan pada satu individu yang menjalankan fungsi pekerjaan kritis.
4. Menguji rencana cadangan staf secara teratur. 3
CMMI Cybermaturity Platform, 2018 Identifikasi Peran dan Tanggung Jawab RI.RR
1. Mengidentifikasi keterampilan dan kompetensi sumber daya internal dan eksternal yang tersedia saat ini. 2
2. Mengidentifikasi kesenjangan antara keterampilan yang dibutuhkan dan yang tersedia. Mengembangkan rencana tindakan, seperti pelatihan (keterampilan teknis dan perilaku),
perekrutan, pemindahan dan perubahan strategi sumber, untuk mengatasi kesenjangan secara individu dan kolektif.
3. Tinjau materi dan program pelatihan secara teratur. Pastikan kecukupan sehubungan dengan perubahan persyaratan perusahaan 3
dan dampaknya terhadap pengetahuan, keterampilan, dan kemampuan yang diperlukan.
4. Menyediakan akses ke gudang pengetahuan untuk mendukung pengembangan keterampilan dan kompetensi.
5. Mengembangkan dan menyampaikan program pelatihan berdasarkan persyaratan organisasi dan proses, termasuk persyaratan untuk
perusahaan pengetahuan, pengendalian internal, perilaku etis, keamanan dan privasi.
6. Melakukan tinjauan berkala untuk menilai evolusi keterampilan dan kompetensi sumber daya internal dan eksternal. Ulasan 4
perencanaan suksesi.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 PM2.3 Pendidikan / Pelatihan Keamanan
ISO / IEC 27001: 2013 / Kor.2: 2015 (E) 7.2 Kompetensi
Institut Nasional Standar dan Kerangka Teknologi untuk Meningkatkan Kesadaran dan Pelatihan PR.AT
Cybersecurity Infrastruktur Kritis V1.1, April 2018
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.2 Kesadaran dan pelatihan (AT-3, AT-4)
800-53, Revisi 5 (Draf), Agustus 2017
Kerangka Keterampilan untuk Era Informasi V6, 2015 SFIA dan manajemen keterampilan — Terapkan
Kontrol Keamanan Kritis CIS untuk Versi Pertahanan Siber yang Efektif
6.1, Agustus 2016 CSC 17: Penilaian Keterampilan Keamanan dan Pelatihan yang Sesuai untuk
Mengisi kekosongan
100
Halaman 101
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Pertimbangkan tujuan fungsional / perusahaan sebagai konteks untuk menetapkan tujuan individu. 2
2. Tetapkan tujuan individu selaras dengan tujuan I&T dan perusahaan yang relevan. Mendasarkan tujuan pada spesifik, terukur, dapat dicapai, relevan
dan tujuan terikat waktu (SMART) yang mencerminkan kompetensi inti, nilai perusahaan, dan keterampilan yang diperlukan untuk peran tersebut.
Sejajarkan, Rencanakan, dan Atur
3. Memberikan umpan balik yang tepat waktu tentang kinerja terhadap tujuan individu.
4. Berikan instruksi khusus untuk penggunaan dan penyimpanan informasi pribadi dalam proses evaluasi, sesuai dengan
data pribadi yang berlaku dan undang-undang ketenagakerjaan.
5. Menyusun hasil evaluasi kinerja 360 derajat. 3
6. Memberikan perencanaan karir formal dan rencana pengembangan profesional berdasarkan hasil proses evaluasi kepada
mendorong pengembangan kompetensi dan peluang untuk kemajuan pribadi dan untuk mengurangi ketergantungan pada kunci
individu. Berikan pelatihan kepada karyawan tentang kinerja dan perilaku jika diperlukan.
7. Menerapkan proses remunerasi / pengakuan yang menghargai komitmen yang sesuai, pengembangan kompetensi dan
pencapaian tujuan kinerja yang sukses. Pastikan proses tersebut diterapkan secara konsisten dan sejalan dengan organisasi
kebijakan.
8. Menerapkan dan mengkomunikasikan proses disipliner.
Kerangka Keterampilan untuk Era Informasi V6, 2015 SFIA dan manajemen keterampilan — Kembangkan
1. Membuat dan memelihara inventaris bisnis dan sumber daya manusia TI. 2
2. Memahami permintaan sumber daya manusia saat ini dan di masa depan untuk mendukung pencapaian tujuan I&T dan untuk menyampaikannya 3
layanan dan solusi berdasarkan portofolio inisiatif terkait I & T saat ini, portofolio investasi masa depan, dan sehari-hari
kebutuhan operasional.
3. Mengidentifikasi kekurangan dan memberikan masukan ke dalam rencana sumber serta proses perekrutan perusahaan dan TI. Buat dan ulas
rencana kepegawaian, melacak penggunaan aktual.
4. Pertahankan informasi yang memadai tentang waktu yang dihabiskan untuk berbagai tugas, tugas, layanan, atau proyek. 4
Kerangka Keterampilan untuk Era Informasi V6, 2015 SFIA dan manajemen keterampilan — Menilai; Penghargaan
101
Halaman 102
2. Pada saat dimulainya kontrak, dapatkan persetujuan resmi dari kontraktor bahwa mereka diwajibkan untuk mematuhi
kerangka kerja kontrol I&T perusahaan, seperti kebijakan untuk izin keamanan, kontrol akses fisik dan logis, penggunaan fasilitas,
persyaratan kerahasiaan informasi, dan perjanjian kerahasiaan.
3. Memberi tahu kontraktor bahwa manajemen berhak memantau dan memeriksa semua penggunaan sumber daya TI, termasuk email, suara
komunikasi, dan semua program dan file data.
4. Sebagai bagian dari kontrak mereka, berikan kontraktor definisi yang jelas tentang peran dan tanggung jawab mereka, termasuk secara eksplisit
persyaratan untuk mendokumentasikan pekerjaan mereka dengan standar dan format yang disepakati.
5. Tinjau pekerjaan kontraktor dan dasarkan persetujuan pembayaran pada hasilnya.
6. Dalam kontrak formal dan tidak ambigu, jelaskan semua pekerjaan yang dilakukan oleh pihak eksternal. 3
7. Melakukan tinjauan berkala untuk memastikan bahwa staf kontrak telah menandatangani dan menyetujui semua perjanjian yang diperlukan. 4
8. Melakukan tinjauan berkala untuk memastikan bahwa peran kontraktor dan hak akses sudah sesuai dan sejalan dengan kesepakatan.
Kerangka Keterampilan untuk Era Informasi V6, 2015 SFIA dan manajemen keterampilan — Terapkan
ffice.dll
ffice frficer
fficer
fficer
perations fficer
HAIAdministrasi
echnology O
KepKaleapKBalaeagpKOiaalepnapeKIarnaleafspuoiMTarOmlnagnaKDasaniiejgepOiKmatalealpnOPSaPuelanrmogKAbyereemspkriKbatDOelaeakanpyMbgaaalaagnMniMbaKaanjaegenpTiuMraasIPnjliaaaeenTPrlarIKj
yievaePranaesKmaninoaOnsnetahinautIinhtafuoskrBumimsansis
APO07.01 Memperoleh dan memelihara staf yang memadai dan sesuai. ARRRRRRRRRRR
APO07.04 Menilai dan mengenali / menghargai prestasi kerja karyawan. SEBUAH RRRRRRRRR
APO07.05 Merencanakan dan melacak penggunaan TI dan sumber daya manusia bisnis. RARRRRRRRRRRRR
102
Halaman 103
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
APO07.01 Memperoleh dan memelihara yang memadai dan Dari Deskripsi Deskripsi Untuk
kepegawaian yang sesuai.
APO01.05 Definisi pengawasan Deskripsi pekerjaan dan Intern
praktek rencana sumber personel
APO06.03 • Anggaran TI Persyaratan kepegawaian Intern
• Komunikasi anggaran evaluasi
APO07.03 Mempertahankan keterampilan dan kompetensi APO01.08 Keterampilan target dan Keterampilan dan kompetensi APO01,05;
personil. kompetensi matriks matriks APO14.01
BAI01.02;
BAI01.04;
BAI03.12
BAI08.02 Pengetahuan yang dipublikasikanRencana pengembangan keteramApiPlaOn01,05;
repositori penyimpa
ngan
BAI08.03 Kesadaran pengetahuan
manajeme
dan skema pelatihan
n
DSS04.06 • Persyaratan pelatihan
Di luar
• Hasil pemantauan tujuan
keterampilan dan kompetensi COBIT
Enterprise
EDM01.02 Pendekatan sistem penghargaan
dan
EDM04.03 Tindakan perbaikan untuk tujuan
alamat sumber daya
EDM04.01
Halaman 104
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
APO07.05 Merencanakan dan melacak penggunaan TI dan bisnis APO06.02 Alokasi anggaran Inventaris bisnis
BAI01.04
sumber daya manusia. dan sumber daya manusia TI
Perusahaan
Saat ini dan masa depan
organisasi
portofolio
Di luar organisasi COBIT Enterprise
struktur
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 9. Manajemen sumber daya proyek: Input dan Output
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Penyediaan pendidikan dan pelatihan e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
D. Aktif — D.3. Pendidikan dan
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Ketentuan Pelatihan
Pembelajaran dan pengembangan
Kerangka Keterampilan untuk Era Informasi V6, 2015 ETMG
pengelolaan
Manajemen kinerja Kerangka Keterampilan untuk Era Informasi V6, 2015 PEMT
Pengembangan personel e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
D. Aktif — D.9. Personil
Profesional di semua sektor industri - Bagian 1: Kerangka, 2016
Pengembangan
Pengembangan profesional Kerangka Keterampilan untuk Era Informasi V6, 2015 PDSV
Sumber Daya Kerangka Keterampilan untuk Era Informasi V6, 2015 RESC
104
Halaman 105
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
105
Halaman 106
106
Halaman 107
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Kelola hubungan dengan pemangku kepentingan bisnis secara formal dan transparan yang memastikan rasa saling percaya dan fokus gabungan pada pencapaian
tujuan strategis dalam batasan anggaran dan toleransi risiko. Mendasarkan hubungan pada komunikasi yang terbuka dan transparan, yang umum
bahasa, dan kemauan untuk mengambil kepemilikan dan akuntabilitas untuk keputusan kunci di kedua sisi. Bisnis dan TI harus bekerja sama untuk menciptakan
hasil perusahaan yang sukses dalam mendukung tujuan perusahaan.
Tujuan
Memungkinkan pengetahuan, keterampilan, dan perilaku yang tepat untuk menciptakan hasil yang lebih baik, kepercayaan diri yang meningkat, rasa saling percaya, dan penggunaan sumber daya yang efektif
yang merangsang hubungan produktif dengan pemangku kepentingan bisnis.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
107
Halaman 108
A. Komponen: Proses
1. Identifikasi pemangku kepentingan bisnis, kepentingan mereka dan bidang tanggung jawab mereka. 2
2. Tinjau arah perusahaan saat ini, masalah, tujuan strategis, dan keselarasan dengan arsitektur perusahaan.
3. Memahami lingkungan bisnis saat ini, kendala atau masalah proses, perluasan atau kontraksi geografis, dan
industri / pengatur regulasi.
4. Menjaga kesadaran proses bisnis dan aktivitas terkait. Pahami pola permintaan yang berhubungan dengan layanan
volume dan penggunaan.
5. Kelola ekspektasi dengan memastikan bahwa unit bisnis memahami prioritas, ketergantungan, kendala keuangan, dan kebutuhan untuk 3
menjadwalkan permintaan.
6. Memperjelas ekspektasi bisnis untuk layanan dan solusi yang mendukung I & T. Pastikan bahwa persyaratan ditentukan dengan yang terkait 4
kriteria dan metrik penerimaan bisnis.
7. Konfirmasikan bahwa ada kesepakatan antara TI dan semua departemen bisnis tentang ekspektasi dan bagaimana ekspektasi itu akan diukur.
Pastikan perjanjian ini dikonfirmasi oleh semua pemangku kepentingan.
Sejajarkan, Rencanakan, dan Atur
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
APO08.02 Menyelaraskan strategi I&T dengan ekspektasi bisnis dan mengidentifikSaesibuah. Tingkat penyertaan peluang teknologi dalam proposal investasi
peluang bagi TI untuk meningkatkan bisnis. b. Survei pemangku kepentingan bisnis mengenai tingkat teknologi mereka
Selaraskan strategi I&T dengan tujuan dan ekspektasi bisnis saat ini kesadaran
untuk memungkinkan TI menjadi mitra nilai tambah bagi bisnis dan tata kelola
komponen untuk meningkatkan kinerja perusahaan.
Kegiatan Tingkat Kemampuan
1. Posisikan TI sebagai mitra bisnis. Berperan proaktif dalam mengidentifikasi dan berkomunikasi dengan pemangku kepentingan utama di 3
peluang, risiko dan kendala. Ini termasuk teknologi, layanan, dan model proses bisnis saat ini dan yang sedang berkembang.
2. Berkolaborasi dalam inisiatif baru yang besar dengan portofolio, program, dan manajemen proyek. Pastikan keterlibatan TI
organisasi dari awal inisiatif baru dengan memberikan saran dan rekomendasi bernilai tambah (misalnya, untuk kasus bisnis
pengembangan, definisi persyaratan, desain solusi) dan dengan mengambil kepemilikan untuk aliran kerja I&T.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
1. Tetapkan seorang manajer hubungan sebagai satu titik kontak untuk setiap unit bisnis yang signifikan. Pastikan bahwa satu mitra 3
diidentifikasi dalam organisasi bisnis dan mitra tersebut memiliki pemahaman bisnis, kesadaran teknologi yang memadai
dan tingkat otoritas yang sesuai.
2. Kelola hubungan secara formal dan transparan yang memastikan fokus pada pencapaian tujuan bersama dan bersama
hasil perusahaan yang sukses dalam mendukung tujuan strategis dan dalam batasan anggaran dan toleransi risiko.
3. Tentukan dan komunikasikan prosedur pengaduan dan eskalasi untuk menyelesaikan masalah hubungan apa pun.
4. Pastikan bahwa keputusan kunci disetujui dan disetujui oleh pemangku kepentingan yang bertanggung jawab.
5. Rencanakan interaksi dan jadwal khusus berdasarkan tujuan yang disepakati bersama dan bahasa yang sama (layanan dan kinerja 4
meninjau rapat, meninjau strategi atau rencana baru, dll.).
108
Halaman 109
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
APO08.04 Mengkoordinasikan dan berkomunikasi. Sebuah. Waktu sejak pembaruan terakhir dari rencana komunikasi ujung ke ujung ke bisnis
Bekerja dengan semua pemangku kepentingan yang relevan dan koordinasikan ujung ke bu.juPnegrsen kepuasan pemilik bisnis dengan koordinasi akhir
pengiriman layanan I&T dan solusi yang diberikan untuk bisnis. pengiriman akhir layanan dan solusi I&T
1. Mengkoordinasikan dan mengkomunikasikan perubahan dan aktivitas transisi seperti proyek atau rencana perubahan, jadwal, kebijakan rilis, 2
melepaskan kesalahan yang diketahui, dan kesadaran pelatihan.
2. Mengkoordinasikan dan mengkomunikasikan kegiatan operasional, peran dan tanggung jawab, termasuk definisi jenis permintaan, Sejajarkan, Rencanakan, dan Atur
eskalasi hierarkis, pemadaman besar (terencana dan tidak terencana), serta konten dan frekuensi laporan layanan.
3. Ambil tanggung jawab atas respons bisnis untuk peristiwa besar yang dapat memengaruhi hubungan dengan bisnis. Menyediakan
dukungan langsung jika diperlukan.
4. Menjaga rencana komunikasi ujung ke ujung yang menetapkan konten, frekuensi, dan penerima informasi penyampaian layanan, 3
termasuk status nilai yang dikirimkan dan setiap risiko yang teridentifikasi.
APO08.05 Memberikan masukan untuk peningkatan layanan yang berkelanjutan. Sebuah. Persentase penyelarasan layanan I&T dengan bisnis perusahaan
Terus meningkatkan dan mengembangkan layanan dan penyampaian layanan yang mendukuPnegrsIy&araTtan
kepada perusahaan untuk menyelaraskan dengan tujuan perusahaan yang berubah dan b. Persentase penyebab utama yang diidentifikasi dan diselesaikan untuk masalah apa pun
teknologi
Kegiatan Tingkat Kemampuan
1. Lakukan analisis kepuasan pelanggan dan penyedia. Pastikan bahwa masalah ditangani; melaporkan hasil dan status. 4
3. Bekerja dengan manajemen layanan dan pemilik proses untuk memastikan bahwa layanan yang mendukung I & T dan proses manajemen layanan
terus ditingkatkan dan akar penyebab setiap masalah diidentifikasi dan diselesaikan.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Halaman 110
fficer wner
fficer fficer s
ffice
r
perations fficer
Petugas echnology HAI
Dewan Tata Kelola
Praktik Manajemen Kunci KepKaleapKEalkeapsKeBaklaeaugptKOiaiaflepnaOpeKIarnaleafspuoiSTarOAmlnaYgaPDaAsnrigoTOisMteasal
BnOKaisejnepiPraselHOanugKAberemuspniMbatgelaaaknnMbgaajagnenMiraKaPnajeeenpTPrlaarIKjylieavaeranasKmainoOanntainnuIintafos rBmisansiis
APO08.01 Memahami ekspektasi bisnis. ARR RR RRRRRR
APO08.02 Menyelaraskan strategi I&T dengan ekspektasi bisnis dan mengidentifikasi peluang bagi TI
ARRRRRRRRR
meningkatkan bisnis.
APO08.03 Mengelola hubungan bisnis. RRRARR RR RRR
APO08.05 Memberikan masukan untuk peningkatan layanan yang berkelanjutan. ARR RR RRR
SejajarkPaannd, uRanenTcearknaaikt (aSnta, nddaanr, AKteurarngka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Tidak ada panduan terkait untuk komponen ini
APO08.02 Menyelaraskan strategi I&T dengan ekspektasi bisnis APO09.01 Kesenjangan yang teridentifikasiSdeatluajmu lTanIgkah selanjutnya dan Intern
dan mengidentifikasi peluang untuk meningkatkan TI layanan untuk bisnis rencana aksi
bisnis.
APO09.04 • Tingkat layanan
laporan kinerja
• Tindakan perbaikan
rencana dan perbaikan
110
Halaman 111
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
Praktek Manajemen Masukan Keluaran
APO08.04 Mengkoordinasikan dan berkomunikasi. Dari Deskripsi Deskripsi Untuk
APO08.05 Memberikan masukan untuk perbaikan berkelanjutan APO09.02 Katalog layanan Definisi potensi APO02.02;
jasa. proyek perbaikan BAI03.11
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Manajemen hubungan e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
E. Kelola — E.4. Hubungan
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Pengelolaan
Manajemen hubungan Kerangka Keterampilan untuk Era Informasi V6, 2015 RLMT
Bisnis — Hubungan TI
kebijakan manajemen Memberikan pedoman untuk membangun
dan menjaga hubungan antar
bisnis dan TI. Fosters
transparansi, saling percaya dan
fokus umum pada pencapaian
tujuan strategis dalam konteks
anggaran dan toleransi risiko.
111
Halaman 112
Membangun budaya yang dilandasi rasa saling percaya, komunikasi yang transparan,
istilah terbuka dan dapat dimengerti, bahasa yang sama, kepemilikan, dan
akuntabilitas. Hubungan yang baik harus ada antara bisnis dan
TI dalam perusahaan untuk mencapai tujuan bersama.
• Platform kolaborasi
• Pelatihan internal dan layanan peningkatan kesadaran
112
Halaman 113
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Menyelaraskan produk dan layanan yang mendukung I & T serta tingkat layanan dengan kebutuhan dan harapan perusahaan, termasuk identifikasi, spesifikasi, desain,
penerbitan, persetujuan, dan pemantauan produk dan layanan I&T, tingkat layanan dan indikator kinerja.
Tujuan
Pastikan bahwa produk, layanan, dan tingkat layanan I&T memenuhi kebutuhan perusahaan saat ini dan di masa depan.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
AG05 Penyampaian layanan I&T sejalan dengan kebutuhan bisnis
• EG08 Optimalisasi fungsi proses bisnis internal
Sejajarkan, Rencanakan, dan Atur
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
EG01 a. Persentase produk dan layanan yang memenuhi atau melebihi keunggulan kompetitif
target pendapatan dan / atau pangsa pasar d. Saatnya memasarkan produk dan layanan baru
b. Persentase produk dan layanan yang memenuhi atau melebihi
target kepuasan pelanggan
c. Persentase produk dan layanan yang menyediakan
AG05 a. Persen
pe
m
an
gk
u
ke
pe
nti
ng
an
bi
sn
is
pu
as
de
ng
an
la
ya
na
n
I
&
T
pe
ng
iri
m
an
m
e
m
en
uh
i
tin
gk
at
la
ya
na
n
ya
ng
di
se
pa
ka
ti
b. Jumlah gangguan bisnis karena insiden layanan I&T
c.
Per
sent
ase
pen
ggu
na
yan
g
pua
s
den
gan
kua
litas
laya
nan
I&
T
pen
giri
ma
n
EG08 a. Tingkat kepuasan dewan direksi dan manajemen eksekutif
dengan kemampuan proses bisnis
b. Tingkat kepuasan pelanggan dengan penyampaian layanan
kemampuan
c. Tingkat kepuasan pemasok dengan rantai pasokan
kemampuan
A. Komponen: Proses
1. Menilai layanan I&T saat ini dan tingkat layanan untuk mengidentifikasi kesenjangan antara layanan yang ada dan aktivitas bisnisnya 2
dukung. Identifikasi area untuk peningkatan layanan yang ada dan opsi tingkat layanan.
2. Menganalisis, mempelajari dan memperkirakan permintaan masa depan dan mengkonfirmasi kapasitas layanan yang mendukung I & T yang ada.
3. Menganalisis aktivitas proses bisnis untuk mengidentifikasi kebutuhan akan layanan I&T yang baru atau yang didesain ulang. 3
4. Bandingkan persyaratan yang teridentifikasi dengan komponen layanan yang ada dalam portofolio. Jika memungkinkan, kemas layanan yang ada
komponen (layanan I&T, opsi tingkat layanan, dan paket layanan) ke dalam paket layanan baru untuk memenuhi bisnis yang teridentifikasi
Persyaratan.
5. Secara teratur meninjau portofolio layanan I&T dengan manajemen portofolio dan manajemen hubungan bisnis untuk mengidentifikasi
layanan usang. Setuju saat pensiun dan usulkan perubahan.
6. Jika memungkinkan, sesuaikan permintaan dengan paket layanan dan ciptakan layanan standar untuk mendapatkan efisiensi secara keseluruhan. 4
113
Halaman 114
1. Publikasikan dalam katalog layanan yang mendukung I & T langsung yang relevan, paket layanan, dan opsi tingkat layanan dari portofolio. 2
2. Secara terus menerus memastikan bahwa komponen layanan dalam portofolio dan katalog layanan terkait sudah lengkap dan mutakhir. 3
3. Menginformasikan manajemen hubungan bisnis tentang pembaruan apa pun pada katalog layanan.
2. Draf perjanjian layanan pelanggan berdasarkan layanan, paket layanan, dan opsi tingkat layanan dalam layanan yang relevan
katalog.
3. Menyelesaikan perjanjian layanan pelanggan dengan manajemen hubungan bisnis.
4. Menentukan, menyetujui dan mendokumentasikan perjanjian operasional internal untuk mendukung perjanjian layanan pelanggan, jika berlaku. 3
5. Bekerja sama dengan manajemen pemasok untuk memastikan bahwa kontrak komersial yang sesuai dengan penyedia layanan eksternal mendukung
perjanjian layanan pelanggan, jika berlaku.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SY2.1 Perjanjian Tingkat Layanan
ISO / IEC 20000-1: 2011 (E) 4.5 Membuat dan meningkatkan SMS; 6.1 Manajemen tingkat layanan
1. Menetapkan dan memelihara langkah-langkah untuk memantau dan mengumpulkan data tingkat layanan. 4
2. Mengevaluasi kinerja dan memberikan pelaporan reguler dan formal kinerja perjanjian layanan, termasuk penyimpangan dari
nilai yang disepakati. Distribusikan laporan ini ke manajemen hubungan bisnis.
3. Lakukan tinjauan rutin untuk memperkirakan dan mengidentifikasi tren dalam kinerja tingkat layanan. Gabungkan praktik manajemen mutu
dalam pemantauan layanan.
4. Sediakan informasi manajemen yang tepat untuk membantu manajemen kinerja.
5. Menyetujui rencana tindakan dan perbaikan untuk setiap masalah kinerja atau tren negatif.
HITRUST CSF versi 9, September 2017 09.02 Mengontrol Penyampaian Layanan Pihak Ketiga
114
Halaman 115
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Tinjau perjanjian layanan secara teratur sesuai dengan ketentuan yang disepakati untuk memastikan bahwa perjanjian tersebut efektif dan mutakhir. Kapan 3
sesuai, pertimbangkan perubahan dalam persyaratan, layanan berkemampuan I & T, paket layanan, atau opsi tingkat layanan.
2. Jika perlu, revisi perjanjian layanan yang ada dengan penyedia layanan. Setuju dan perbarui operasional internal 4
perjanjian.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci Sejajarkan, Rencanakan, dan Atur
fficefrfice wners
r fficer
perations fficer
HAIAdministrasi
echnology O
Halaman 116
EDM04.02 Komunikasi
strategi sumber daya
116
Halaman 117
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
APO09.05 Tinjau perjanjian dan kontrak layanan. Dari Deskripsi Deskripsi Untuk
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 12. Manajemen pengadaan proyek: Input dan Output
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Manajemen tingkat layanan e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
A. Rencana — A.2. Tingkat Layanan
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Pengelolaan
Manajemen tingkat layanan Kerangka Keterampilan untuk Era Informasi V6, 2015 SLMO
117
Halaman 118
118
Halaman 119
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Kelola produk dan layanan terkait I & T yang disediakan oleh semua jenis vendor untuk memenuhi persyaratan perusahaan. Ini termasuk pencarian untuk dan
pemilihan vendor, pengelolaan hubungan, pengelolaan kontrak, serta peninjauan dan pemantauan kinerja vendor dan vendor
ekosistem (termasuk rantai pasokan hulu) untuk efektivitas dan kepatuhan.
Tujuan
Mengoptimalkan kemampuan I&T yang tersedia untuk mendukung strategi dan peta jalan I&T, meminimalkan risiko yang terkait dengan ketidaksesuaian atau ketidakpatuhan
vendor, dan memastikan harga yang kompetitif.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan Sejajarkan, Rencanakan, dan Atur
AG05 Penyampaian layanan I&T sejalan dengan kebutuhan bisnis
• EG08 Optimalisasi fungsi proses bisnis internal
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
EG01 a. Persentase produk dan layanan yang memenuhi atau melebihi EG08 a. Tingkat kepuasan dewan direksi dan manajemen eksekutif
target pendapatan dan / atau pangsa pasar
b. Persentase produk dan layanan yang memenuhi atau melebihi
target kepuasan pelanggan
c. Persentase produk dan layanan yang menyediakan
keunggulan kompetitif
d. Saatnya memasarkan produk dan layanan baru
AG05 a. Persen
pe
m
an
gk
u
ke
pe
nti
ng
an
bi
sn
is
pu
as
de
ng
an
la
ya
na
n
I
&
T
pe
ng
iri
m
an
m
e
m
en
uh
i
tin
gk
at
la
ya
na
n
ya
ng
di
se
pa
ka
ti
b. Jumlah gangguan bisnis karena insiden layanan I&T
c.
Per
sen
tase
pen
ggu
na
yan
g
pua
s
den
gan
kua
lita
s
lay
ana
n
I&
T
pen
giri
ma
n
dengan kemampuan proses bisnis
b. Tingkat kepuasan pelanggan dengan penyampaian layanan
kemampuan
c. Tingkat kepuasan pemasok dengan rantai pasokan
kemampuan
A. Komponen: Proses
1. Pindai lanskap perusahaan secara terus-menerus untuk mencari mitra dan vendor baru yang dapat memberikan pelengkap 3
kemampuan dan mendukung realisasi strategi I&T, peta jalan dan tujuan perusahaan.
2. Menetapkan dan memelihara kriteria yang berkaitan dengan jenis, signifikansi dan kekritisan vendor dan kontrak vendor, sehingga memungkinkan adanya fokus
vendor yang disukai dan penting.
3. Mengidentifikasi, mencatat dan mengkategorikan vendor dan kontrak yang ada sesuai dengan kriteria yang ditetapkan untuk memelihara daftar rinci
vendor pilihan yang perlu dikelola dengan hati-hati.
4. Menetapkan dan memelihara vendor dan kriteria evaluasi kontrak untuk memungkinkan tinjauan dan perbandingan kinerja vendor secara keseluruhan 4
secara konsisten.
5. Secara berkala mengevaluasi dan membandingkan kinerja vendor yang ada dan alternatif untuk mengidentifikasi peluang atau yang menarik 5
perlu mempertimbangkan kembali kontrak vendor saat ini.
119
Halaman 120
1. Tinjau semua permintaan informasi (RFI) dan permintaan proposal (RFP) untuk memastikan bahwa mereka secara jelas menetapkan persyaratan 2
(misalnya, persyaratan perusahaan untuk keamanan dan privasi informasi, bisnis operasional dan persyaratan pemrosesan I&T,
prioritas untuk pemberian layanan) dan mencakup prosedur untuk memperjelas persyaratan. RFI dan RFP harus mengizinkan vendor
waktu yang cukup untuk mempersiapkan proposal mereka dan harus dengan jelas mendefinisikan kriteria penghargaan dan proses keputusan.
2. Mengevaluasi RFI dan RFP sesuai dengan proses / kriteria evaluasi yang disetujui dan memelihara bukti dokumenter dari
evaluasi. Verifikasi referensi calon vendor.
3. Pilih vendor yang paling sesuai dengan RFP. Dokumentasikan dan komunikasikan keputusan, dan tanda tangani kontrak.
4. Dalam kasus khusus akuisisi perangkat lunak, sertakan dan tegakkan hak dan kewajiban semua pihak dalam kontrak 3
istilah. Hak dan kewajiban ini mungkin termasuk kepemilikan dan lisensi IP; pemeliharaan; jaminan; arbitrasi
Prosedur; persyaratan peningkatan; dan sesuai untuk tujuan, termasuk keamanan, privasi, escrow dan hak akses.
5. Dalam kasus khusus perolehan sumber daya pembangunan, sertakan dan tegakkan hak dan kewajiban semua pihak
dalam persyaratan kontrak. Hak dan kewajiban ini mungkin termasuk kepemilikan dan lisensi IP; cocok untuk tujuan, termasuk
metodologi pembangunan; pengujian; proses manajemen kualitas, termasuk kriteria kinerja yang disyaratkan; kinerja
Sejajarkaunl,asRane;ndcaasnarapkeamnb,aydaarann;Ajatmurinan; prosedur arbitrase; manajemen Sumber Daya
Manusia; dan kepatuhan dengan kebijakan perusahaan.
6. Mendapatkan nasihat hukum tentang perjanjian akuisisi pengembangan sumber daya terkait kepemilikan dan lisensi IP.
7. Dalam kasus khusus akuisisi infrastruktur, fasilitas dan layanan terkait, termasuk dan menegakkan hak dan
kewajiban semua pihak dalam persyaratan kontrak. Hak dan kewajiban ini dapat mencakup tingkat layanan, pemeliharaan
prosedur, kontrol akses, keamanan, privasi, tinjauan kinerja, dasar pembayaran dan prosedur arbitrase.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
1. Tetapkan pemilik hubungan untuk semua vendor dan buat mereka bertanggung jawab atas kualitas layanan yang diberikan. 3
2. Tentukan proses komunikasi dan tinjauan formal, termasuk interaksi dan jadwal vendor.
3. Setuju, kelola, pertahankan, dan perbarui kontrak formal dengan vendor. Pastikan kontrak sesuai dengan standar
perusahaan dan persyaratan hukum dan peraturan.
4. Menyertakan ketentuan dalam kontrak dengan vendor layanan utama untuk meninjau situs vendor serta praktik dan kontrol internal oleh
manajemen atau pihak ketiga independen. Setuju pada audit independen dan kontrol jaminan lingkungan operasional
vendor yang menyediakan layanan outsourcing untuk memastikan bahwa persyaratan yang disepakati telah ditangani secara memadai.
5. Gunakan prosedur yang telah ditetapkan untuk menangani sengketa kontrak. Jika memungkinkan, pertama-tama gunakan hubungan yang efektif dan
komunikasi untuk mengatasi masalah layanan.
6. Menentukan dan meresmikan peran dan tanggung jawab untuk setiap vendor layanan. Di mana beberapa vendor bergabung untuk menyediakan
layanan, pertimbangkan untuk mengalokasikan peran kontraktor utama ke salah satu vendor untuk bertanggung jawab atas keseluruhan kontrak.
7. Mengevaluasi efektivitas hubungan dan mengidentifikasi perbaikan yang diperlukan. 4
8. Tentukan, komunikasikan, dan sepakati cara-cara untuk menerapkan perbaikan yang diperlukan pada hubungan. 5
120
Halaman 121
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
APO10.04 Kelola risiko vendor. Sebuah. Frekuensi sesi manajemen risiko dengan pemasok
Identifikasi dan kelola risiko yang berkaitan dengan kemampuan vendor untuk terus menby.eJduiamklaanh peristiwa terkait risiko yang mengarah ke insiden layanan
penyampaian layanan yang aman, efisien dan efektif. Ini juga termasuk c. Persen insiden terkait risiko diselesaikan dengan dapat diterima (waktu dan biaya)
subkontraktor atau vendor hulu yang relevan dalam layanan
pengiriman vendor langsung.
Kegiatan Tingkat Kemampuan
1. Saat menyiapkan kontrak, sediakan kemungkinan risiko layanan dengan mendefinisikan persyaratan layanan secara jelas, termasuk perangkat lunak 3
perjanjian escrow, vendor alternatif atau perjanjian siaga untuk mengurangi kemungkinan kegagalan vendor; keamanan dan perlindungan
AKU P; pribadi; dan persyaratan hukum atau peraturan apa pun.
2. Mengidentifikasi, memantau dan, jika sesuai, mengelola risiko yang berkaitan dengan kemampuan vendor untuk memberikan layanan secara efisien, efektif, 4
dengan aman, rahasia, andal, dan berkelanjutan. Integrasikan proses manajemen TI internal yang penting dengan proses dari Sejajarkan, Rencanakan, dan Atur
penyedia layanan outsourcing, yang mencakup, misalnya, perencanaan kinerja dan kapasitas, manajemen perubahan, dan
manajemen konfigurasi.
3. Menilai ekosistem vendor yang lebih besar dan mengidentifikasi, memantau, dan, jika sesuai, mengelola risiko yang terkait dengan
subkontraktor dan vendor hulu yang memengaruhi kemampuan vendor untuk memberikan layanan secara efisien, efektif, aman, andal
dan terus menerus.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SC1.1 Proses Manajemen Pemasok Eksternal
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 15. Hubungan pemasok
Institut Nasional Standar dan Kerangka Teknologi untuk Meningkatkan D.SC Manajemen Risiko Rantai Pasokan
Cybersecurity Infrastruktur Kritis v1.1, April 2018
1. Meminta tinjauan independen atas praktik dan kontrol internal vendor, jika perlu. 3
2. Tentukan dan dokumentasikan kriteria untuk memantau kinerja vendor yang selaras dengan perjanjian tingkat layanan. Pastikan vendor itu 4
secara teratur dan transparan melaporkan kriteria yang disepakati.
3. Memantau dan meninjau penyampaian layanan untuk memastikan bahwa vendor memberikan kualitas layanan yang dapat diterima, rapat
persyaratan dan mematuhi ketentuan kontrak.
4. Tinjau kinerja vendor dan nilai uangnya. Pastikan vendor tersebut dapat diandalkan dan kompetitif, dibandingkan dengan
alternatif vendor dan kondisi pasar.
5. Pantau dan evaluasi informasi yang tersedia secara eksternal tentang vendor dan rantai pasokan vendor.
6. Catat dan nilai hasil review secara berkala dan diskusikan dengan vendor untuk mengidentifikasi kebutuhan dan peluang 5
perbaikan.
Halaman 122
fficer
fficer
fficer
perations fficer
HAIAdministrasi
Petugas echnology
Dewan Tata Kelola
Praktik Manajemen Kunci
RisiKkoepUKatlaeapmKIanaleafOpoSTarAmlaYaKDAsiiogTOmiPtiaetlneOgKReeimspiKbaklaoeanpPMbgaealraagnuniMbaKsaanjaeghenpTiPraaaIarPnjlinaeevTPrlaaIesKyniaeaOnasmaehnaantahnuIknufmormasi
APO10.01 Mengidentifikasi dan mengevaluasi hubungan dan kontrak vendor. RRRA R R
APO10.01 Mengidentifikasi dan mengevaluasi hubungan vendor dan Dari Deskripsi Deskripsi Untuk
kontrak.
Di luar kontrak Vendor COBIT Katalog vendor BAI02.02
APO10.02 Pilih vendor. BAI02.02 Akuisisi tingkat Vendor RFI dan RFP BAI02.01;
tinggi / rencana BAI02.02
pengembangan
Evaluasi RFI dan RFP BAI02.02
APO10.03 Mengelola hubungan dan kontrak vendor. BAI03.04 Akuisisi yang disetujui Hasil dan disarankan Intern
rencana perbaikan
Komunikasi dan Intern
proses peninjauan
Peran vendor dan Intern
tanggung jawab
APO10.04 Kelola risiko vendor. APO12.04 • Analisis risiko dan risiko Pengiriman vendor teridentifikasAi PO12.01;
laporan profil untuk risiko APO12.03;
pemangku kepentingan BAI01.01;
• Hasil pihak ketiga BAI 11.01
penilaian risiko
Kontrak teridentifikasi Intern
persyaratan untuk meminimalkan
risiko
APO10.05 Pantau kinerja dan kepatuhan vendor. Kepatuhan vendor
Intern
kriteria pemantauan
Kepatuhan vendor
MEA01.03
memantau hasil review
122
Halaman 123
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Manajemen kontrak e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
D. Aktif — D.8. Kontrak
Profesional di semua sektor industri - Bagian 1: Kerangka, 2016
Pengelolaan
Manajemen kontrak Kerangka Keterampilan untuk Era Informasi V6, 2015 ITCM
Pembelian e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
D. Aktif — D.4. Pembelian
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Sejajarkan, Rencanakan, dan Atur
Sourcing Kerangka Keterampilan untuk Era Informasi V6, 2015 SORC
123
Halaman 124
124
Halaman 125
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Tentukan dan komunikasikan persyaratan kualitas dalam semua proses, prosedur, dan hasil perusahaan terkait. Aktifkan kontrol, pemantauan berkelanjutan,
dan penggunaan praktik dan standar yang telah terbukti dalam upaya peningkatan dan efisiensi berkelanjutan.
Tujuan
Pastikan pengiriman solusi dan layanan teknologi yang konsisten untuk memenuhi persyaratan kualitas perusahaan dan memenuhi kebutuhan pemangku kepentingan.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
• AG09 Menyampaikan program tepat waktu, sesuai anggaran dan rapat
• EG04 Kualitas informasi keuangan
persyaratan dan standar kualitas
• EG07 Kualitas informasi manajemen
• AG10 Kualitas informasi manajemen I&T
Sejajarkan, Rencanakan, dan Atur
• EG08 Optimalisasi fungsi proses bisnis internal
• Program transformasi digital terkelola EG12
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
EG01 a. Persentase produk dan layanan yang memenuhi atau melebihi b. Biaya ketidakpatuhan terhadap peraturan terkait keuangan
target pendapatan dan / atau pangsa pasar
b. Persentase produk dan layanan yang memenuhi atau melebihi
target kepuasan pelanggan
c. Persentase produk dan layanan yang memberikan daya saing
keuntungan
d. Saatnya memasarkan produk dan layanan baru
125
Halaman 126
A. Komponen: Proses
1. Pastikan bahwa kerangka kerja pengendalian I&T serta proses bisnis dan TI mencakup pendekatan standar, formal dan berkelanjutan 3
untuk manajemen kualitas yang selaras dengan kebutuhan perusahaan. Dalam kerangka kerja kontrol I&T serta bisnis dan TI
proses, mengidentifikasi persyaratan kualitas dan kriteria (misalnya, berdasarkan persyaratan hukum dan persyaratan dari pelanggan).
2. Mendefinisikan peran, tugas, hak keputusan dan tanggung jawab untuk manajemen mutu dalam struktur organisasi.
3. Memperoleh masukan dari manajemen dan pemangku kepentingan eksternal dan internal tentang definisi persyaratan mutu dan mutu
kriteria manajemen.
4. Secara teratur memantau dan meninjau SMM terhadap kriteria penerimaan yang telah disepakati. Sertakan umpan balik dari pelanggan, pengguna dan 4
pengelolaan.
1. Fokus manajemen kualitas pada pelanggan dengan menentukan persyaratan pelanggan internal dan eksternal dan memastikan keselarasan 3
standar dan praktik I&T. Mendefinisikan dan mengkomunikasikan peran dan tanggung jawab mengenai resolusi konflik antara
pengguna / pelanggan dan organisasi TI.
2. Mengelola kebutuhan dan ekspektasi bisnis untuk setiap proses bisnis, layanan operasional TI, dan solusi baru. Mempertahankan
kriteria penerimaan kualitas mereka.
3. Komunikasikan persyaratan dan harapan pelanggan di seluruh bisnis dan organisasi TI.
4. Secara berkala mendapatkan pandangan pelanggan tentang proses bisnis dan penyediaan layanan serta penyampaian solusi TI. Tentukan dampaknya 4
tentang standar dan praktik I&T dan memastikan bahwa harapan pelanggan dipenuhi dan ditindaklanjuti.
A P O 1 1 . 0 3 M e n g e lo la s t a n d a r k u a li t a s,
m en g i n t e gr as i k a n m a n a j e m e n k u a l i ta Sb.ebJuumahl.ahJucmacl at yparnogsedsidteemnguaknanpesresbyealruamtanprkoudaulkitsais yang ditentukan
p r a k ti k da n p r o se d u r d a n
s k e d a l am p ro s e s d a n s ol u si utama. c. Jumlah layanan dengan rencana manajemen kualitas formal
Identifikasi dan pertahankan standar, prosedur, dan praktik untuk kunci d. Jumlah SLA yang mencakup kriteria penerimaan kualitas
proses untuk memandu perusahaan dalam memenuhi maksud yang disepakati
standar manajemen mutu (QMS). Aktivitas ini harus sejalan dengan
Persyaratan kerangka kerja kontrol I&T. Pertimbangkan sertifikasi untuk kunci
proses, unit organisasi, produk atau layanan.
126
Halaman 127
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Tentukan standar, praktik, dan prosedur manajemen mutu yang sejalan dengan persyaratan kerangka kerja pengendalian I&T dan 2
kriteria dan kebijakan manajemen mutu perusahaan.
2. Mengintegrasikan praktik manajemen mutu yang diperlukan dalam proses dan solusi utama di seluruh organisasi. 3
4. Mengkomunikasikan pendekatan manajemen mutu secara efektif (misalnya, melalui program pelatihan mutu formal dan reguler).
5. Rekam dan pantau data kualitas. Gunakan praktik industri yang baik sebagai referensi saat meningkatkan dan menyesuaikan praktik perusahaan 4
praktik kualitas.
6. Secara teratur meninjau relevansi, efisiensi dan efektivitas proses manajemen mutu tertentu. Pantau
pencapaian sasaran mutu.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci Sejajarkan, Rencanakan, dan Atur
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 8.2 Kelola kualitas
1. Mempersiapkan dan melakukan tinjauan kualitas untuk proses dan solusi organisasi utama. 3
2. Untuk proses dan solusi organisasi utama ini, pantau metrik kualitas yang digerakkan oleh tujuan yang selaras dengan sasaran kualitas secara keseluruhan. 4
3. Pastikan bahwa manajemen dan pemilik proses secara teratur meninjau kinerja manajemen kualitas terhadap metrik kualitas yang ditentukan.
5. Laporkan hasil tinjauan kinerja manajemen mutu dan lakukan perbaikan jika sesuai. 5
1. Menetapkan platform untuk berbagi praktik yang baik dan menangkap informasi tentang cacat dan kesalahan untuk memungkinkan pembelajaran dari praktik ters2ebut.
2. Mengidentifikasi contoh proses penyampaian kualitas yang sangat baik yang dapat bermanfaat bagi layanan atau proyek lain. Bagikan ini dengan 3
layanan dan tim pengiriman proyek untuk mendorong perbaikan.
3. Identifikasi contoh-contoh cacat kualitas yang berulang. Tentukan akar penyebabnya, evaluasi dampak dan hasilnya, dan
sepakati tindakan perbaikan dengan layanan dan / atau tim pengiriman proyek.
4. Memberikan pelatihan kepada karyawan tentang metode dan alat perbaikan berkelanjutan.
5. Tolok ukur hasil review kualitas terhadap data historis internal, pedoman industri, standar dan data dari 4
jenis perusahaan serupa.
Halaman 128
ffice.dll
ffice wner
fficer r s
ffice
r
fficer
perations
HAIAdministrasi
Petugas echnology
Dewan Tata Kelola
Praktik Manajemen Kunci Manajer ortfolio
KepRaliasiKkOoeppUeKartalaeaspmiKIaOnaleafOpoSTarAmlaYaPDAsrigoTOisPtea.sl
BOMisanniMsajOaenMraPjaernFroagupjrneraKmogmyseiepnkMPaPelaanrnoKgAayeejremepskmKiabtOleaeakpnMbagDalaa
gannitMbaKaanjagenTpiMraaaIPnjaleaenTrlaIKjyeaernaKmanoanntainuIintafosrBmisansis
APO11.01 Membangun sistem manajemen mutu (SMM). SEBUARH R RR
APO11.02 Fokuskan manajemen kualitas pada pelanggan. SEBUARH R R
SejajarkPaannd, uRanenTcearknaaikt (aSnta, nddaanr, AKteurarngka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Tidak ada panduan terkait untuk komponen ini
BAI02.01;
BAI02.02
128
Halaman 129
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
Praktek Manajemen Masukan Keluaran
APO11.03 Mengelola standar kualitas, praktik dan Dari Deskripsi Deskripsi Untuk
prosedur dan mengintegrasikan manajemen mutu
BAI02.04 Tinjauan kualitas yang disetujui Manajemen kualitas Semua APO;
ke dalam proses dan solusi utama.
standar Semua BAI;
Semua DSS;
Semua MEA
COBIT Luar • Tersedia kualitas Akar penyebab kualitas APO08.02;
sertifikasi kegagalan pengiriman APO09.04;
• Praktik industri yang baik BAI07.08;
MEA02.04;
MEA04.04
APO08,05;
Sejajarkan, Rencanakan, dan Atur
Hasil berkualitas
pemantauan APO09.04;
BAI07.08
APO11.04 Melakukan pemantauan kualitas, kontrol dan BAI03.06 • Rencana jaminan kualitas Kualitas proses Semua
APO;
ulasan. • Hasil review yang berkualitas, layanan Semua BAI;
pengecualian dan tujuan dan metrik Semua DSS;
koreksi Semua MEA
DSS02.07 • Status insiden dan Hasil review berkualitas APO08,05;
laporan tren dan audit APO09.04;
• Status permintaan APO09,05;
pemenuhan dan tren BAI07.08
melaporkan
APO11.05 Pertahankan peningkatan berkelanjutan. Ulasan kualitas
Semua APO;
patokan
Semua BAI;
hasil
Semua DSS;
Semua MEA
Contoh bagus
Semua APO;
praktek
Semua BAI;
untuk dibagikan
Semua DSS;
Semua MEA
Komunikasi aktif
Semua APO;
perbaikan berkelanjutan
Semua BAI;
dan praktik terbaik
Semua DSS;
Semua MEA
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 8. Manajemen kualitas proyek: Input dan Output
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Pengembangan strategi kualitas TIK e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
D. Aktif — D.2. Kualitas TIK
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Pengembangan Strategi
Kualitas asuransi Kerangka Keterampilan untuk Era Informasi V6, 2015 QUAS
Manajemen mutu Kerangka Keterampilan untuk Era Informasi V6, 2015 QUMG
Standar kualitas Kerangka Keterampilan untuk Era Informasi V6, 2015 QUST
129
Halaman 130
• QMS
• Layanan jaminan kualitas pihak ketiga
Sejajarkan, Rencanakan, dan Atur
130
Halaman 131
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Identifikasi, nilai, dan kurangi risiko terkait I & T secara terus-menerus dalam tingkat toleransi yang ditetapkan oleh manajemen eksekutif perusahaan.
Tujuan
Mengintegrasikan manajemen risiko perusahaan terkait I & T dengan manajemen risiko perusahaan (ERM) secara keseluruhan dan menyeimbangkan biaya dan manfaat
mengelola risiko perusahaan terkait I & T.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG02 Risiko bisnis yang dikelola
➡ Tujuan Penyelarasan
• AG02 Risiko terkait I & T yang dikelola
• EG06 Keberlanjutan dan ketersediaan layanan bisnis
• AG07 Keamanan informasi, infrastruktur pemrosesan dan
aplikasi, dan privasi
Sejajarkan, Rencanakan, dan Atur
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Menetapkan dan memelihara metode untuk pengumpulan, klasifikasi dan analisis data terkait risiko I&T. 2
2. Catat data terkait risiko I&T yang relevan dan signifikan di lingkungan operasi internal dan eksternal perusahaan.
3. Mengadopsi atau mendefinisikan taksonomi risiko untuk definisi yang konsisten dari skenario risiko dan kategori dampak dan kemungkinan. 3
4. Catat data tentang peristiwa risiko yang telah menyebabkan atau mungkin menyebabkan dampak bisnis sesuai dengan kategori dampak yang ditentukan dalam risiko
taksonomi. Tangkap data yang relevan dari masalah, insiden, masalah, dan investigasi terkait.
5. Survei dan analisis data risiko I&T historis dan pengalaman kerugian dari data dan tren yang tersedia secara eksternal, rekan-rekan industri 4
melalui log peristiwa berbasis industri, database, dan perjanjian industri untuk pengungkapan peristiwa umum.
6. Untuk kelas acara yang serupa, atur data yang dikumpulkan dan soroti faktor-faktor yang berkontribusi. Tentukan kontribusi umum
faktor di berbagai peristiwa.
7. Tentukan kondisi spesifik yang ada atau tidak ada saat peristiwa risiko terjadi dan bagaimana kondisi tersebut
terpengaruh frekuensi acara dan besarnya kerugian.
8. Lakukan peristiwa berkala dan analisis faktor risiko untuk mengidentifikasi masalah risiko baru atau yang muncul dan untuk mendapatkan pemahaman tentang
faktor risiko internal dan eksternal terkait.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung - Manajemen Risiko
ISO / IEC 27005: 2011 (E) 8.2 Identifikasi risiko; 12. Pemantauan dan peninjauan risiko keamanan informasi
131
Halaman 132
APO12.02 Analisis risiko. Sebuah. Jumlah skenario risiko I&T yang teridentifikasi
Kembangkan pandangan yang dibuktikan tentang risiko I&T aktual, untuk mendukung kebp. uWtuaskatnu rsiesjiakko.pembaruan terakhir dari skenario risiko I&T
1. Tentukan ruang lingkup yang tepat dari upaya analisis risiko, dengan mempertimbangkan semua faktor risiko dan / atau kekritisan bisnis aset. 3
2. Membangun dan memperbarui skenario risiko I&T secara teratur; Eksposur kerugian terkait I & T; dan skenario terkait risiko reputasi, termasuk
skenario gabungan dari jenis dan peristiwa ancaman berjenjang dan / atau kebetulan. Kembangkan ekspektasi untuk kendali khusus
aktivitas dan kemampuan untuk mendeteksi.
3. Perkirakan frekuensi (atau kemungkinan) dan besarnya kerugian atau keuntungan yang terkait dengan skenario risiko I&T. Mempertimbangkan semuanya
faktor risiko yang berlaku dan mengevaluasi pengendalian operasional yang diketahui.
4. Bandingkan risiko saat ini (eksposur kerugian terkait I & T) dengan selera risiko dan toleransi risiko yang dapat diterima. Identifikasi tidak dapat diterima atau
risiko tinggi.
5. Mengusulkan respons risiko untuk risiko yang melebihi selera risiko dan tingkat toleransi.
6. Tentukan persyaratan tingkat tinggi untuk proyek atau program yang akan menerapkan respons risiko yang dipilih. Identifikasi
persyaratan dan ekspektasi untuk pengendalian kunci yang tepat untuk respons mitigasi risiko.
7. Validasi hasil analisis risiko dan analisis dampak bisnis (BIA) sebelum digunakan dalam pengambilan keputusan. Konfirmasikan bahwa 4
analisis selaras dengan persyaratan perusahaan dan memverifikasi bahwa estimasi telah dikalibrasi dengan benar dan diteliti untuk mencari bias.
Sejajark8.aMn,enRgeannacliasnisabkiaayna,/ dmaannfAaattudrari opsi respons risiko potensial seperti menghindari, mengurangi / mengurangi, mentransfer / berbagi, dan menerima dan 5
mengeksploitasi / merebut. Konfirmasikan respons risiko yang optimal.
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung — Manajemen Risiko
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 IR2.1 Ruang Lingkup Penilaian Risiko; IR2.2 Penilaian Dampak Bisnis
ISO / IEC 27001: 2013 / Kor.2: 2015 (E) 8.2 Penilaian risiko keamanan informasi
1. Menginventarisir proses bisnis dan mendokumentasikan ketergantungannya pada proses manajemen layanan I&T dan infrastruktur TI 2
sumber daya. Identifikasi personel pendukung, aplikasi, infrastruktur, fasilitas, catatan manual penting, vendor, pemasok, dan
agen outsourcing.
2. Menentukan dan menyetujui layanan I&T dan sumber daya infrastruktur TI yang penting untuk menopang operasi bisnis
proses. Analisis ketergantungan dan identifikasi tautan lemah.
3. Mengumpulkan skenario risiko saat ini menurut kategori, lini bisnis, dan area fungsional.
4. Secara teratur menangkap semua informasi profil risiko dan menggabungkannya ke dalam profil risiko gabungan. 3
5. Menangkap informasi tentang status rencana tindakan risiko untuk dimasukkan ke dalam profil risiko I&T perusahaan.
6. Berdasarkan semua data profil risiko, tentukan seperangkat indikator risiko yang memungkinkan identifikasi dan pemantauan risiko saat ini secara cepat dan 4
tren risiko.
7. Menangkap informasi tentang peristiwa risiko I&T yang telah terwujud untuk dimasukkan dalam profil risiko TI perusahaan.
132
Halaman 133
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
COSO Enterprise Risk Management, Juni 2017 10. Informasi, Komunikasi, dan Pelaporan — Prinsip 19
ISO / IEC 27005: 2011 (E) 11. Komunikasi dan konsultasi risiko keamanan informasi
APO12.05 Mendefinisikan portofolio tindakan manajemen risiko. Sebuah. Jumlah insiden signifikan yang tidak teridentifikasi dan termasuk dalam risiko
Kelola peluang untuk mengurangi risiko ke tingkat yang dapat diterima sebagai portofolio. portofolio manajemen
b. Persentase proposal proyek manajemen risiko ditolak karena kekurangan
pertimbangan risiko terkait lainnya
1. Menjaga inventaris aktivitas pengendalian yang ada untuk memitigasi risiko dan memungkinkan pengambilan risiko sesuai dengan risiko 2
nafsu makan dan toleransi. Klasifikasikan aktivitas pengendalian dan petakan ke skenario risiko I&T spesifik dan agregasi risiko I&T
skenario.
2. Tentukan apakah setiap entitas organisasi memantau risiko dan menerima akuntabilitas untuk beroperasi dalam individu dan 3
tingkat toleransi portofolio.
3. Tentukan sekumpulan proposal proyek yang dirancang untuk mengurangi risiko dan / atau proyek yang memungkinkan usaha
strategis peluang, mempertimbangkan biaya, manfaat, efek pada profil risiko dan peraturan saat ini.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung — Manajemen Risiko
1. Mempersiapkan, memelihara, dan menguji rencana yang mendokumentasikan langkah-langkah spesifik yang harus diambil ketika peristiwa risiko dapat menyebab3kan operasional yang
signifikan atau insiden pengembangan dengan dampak bisnis yang serius. Pastikan bahwa rencana mencakup jalur eskalasi di seluruh perusahaan.
2. Menerapkan rencana respons yang tepat untuk meminimalkan dampak ketika insiden risiko terjadi.
3. Mengategorikan insiden dan membandingkan eksposur kerugian terkait I & T dengan ambang batas toleransi risiko. Komunikasikan bisnis 4
berdampak kepada pengambil keputusan sebagai bagian dari pelaporan dan memperbarui profil risiko.
4. Memeriksa kejadian buruk / kerugian masa lalu dan peluang yang hilang dan menentukan akar penyebabnya.
5. Komunikasikan akar masalah, persyaratan respons risiko tambahan, dan perbaikan proses kepada pengambil keputusan yang tepat. 5
Memastikan bahwa penyebab, persyaratan respons, dan perbaikan proses disertakan dalam proses tata kelola risiko.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 IR2.9 Penanganan Resiko
ISO / IEC 27001: 2013 / Kor.2: 2015 (E) 6.1 Tindakan untuk mengatasi risiko dan peluang
Sejajarkan, Rencanakan, dan Atur
ISO / IEC 27005: 2011 (E) 9. Perlakuan risiko keamanan informasi
ffice.dll
fficefrficer wners
fficer
fficer
perations fficer
HAIAdministrasi
echnology O
RisiKkoepUKatlaeapmKIanaleafOpoKTarmloamaKDsiitiegepOiPaRtarlialosiOsMPkeeosatBunPFgaieusajrnesuKmgsKsaeOiehpnMaPamPaelaanrnanogKAnayeajremenspkmiKbatIOelaeneaknnpfoMbgaDralamagnntiMba
aKaasnjaiegenpTiMraaIPnjlaaeenTPrlaIrKjyievaeransKmainoOanntainuIintafosrBmisansis
APO12.01 Kumpulkan data. ARRR RRRRRRRRRRRR
134
Halaman 135
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
135
Halaman 136
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
Praktek Manajemen Masukan Keluaran
APO12.05 Mendefinisikan portofolio tindakan manajemen risiko. Dari Deskripsi Deskripsi Untuk
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.1 Persiapan (Tugas 7): Masukan dan Keluaran; 3.6 Otorisasi
800-37, Revisi 2, September 2017 (Tugas 3, 4): Input dan Output
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 11. Manajemen risiko proyek: Input dan Output
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Manajemen risiko bisnis Kerangka Keterampilan untuk Era Informasi V6, 2015 BURM
Jaminan informasi Kerangka Keterampilan untuk Era Informasi V6, 2015 INAS
Manajemen risiko e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
E. Kelola — E.3. Risiko
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Pengelolaan
136
Halaman 137
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Halaman 138
Halaman 139
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Tentukan, operasikan, dan pantau sistem manajemen keamanan informasi.
Tujuan
Menjaga dampak dan terjadinya insiden keamanan informasi dalam tingkat selera risiko perusahaan.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG02 Risiko bisnis yang dikelola
➡ Tujuan Penyelarasan
AG07 Keamanan informasi, infrastruktur pemrosesan dan
• EG06 Keberlanjutan dan ketersediaan layanan bisnis
aplikasi, dan privasi
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
Sejajarkan, Rencanakan, dan Atur
EG02 a. Persen dari tujuan dan layanan bisnis penting
AG07 a. Jumlah insiden kerahasiaan yang menyebabkan kerugian finansial,
tercakup dalam penilaian risiko
gangguan bisnis atau rasa malu publik
b. Rasio insiden signifikan yang tidak teridentifikasi di
b. Jumlah insiden ketersediaan yang menyebabkan kerugian finansial,
penilaian risiko vs. insiden total
gangguan bisnis atau rasa malu publik
c. Frekuensi pemutakhiran profil risiko
c. Jumlah insiden integritas yang menyebabkan kerugian finansial,
EG06 a. Jumlah layanan pelanggan atau proses bisnis gangguan bisnis atau rasa malu publik
gangguan yang menyebabkan insiden signifikan
b. Biaya bisnis dari insiden
c. Jumlah jam pemrosesan bisnis yang hilang karena
gangguan layanan yang tidak direncanakan
d. Persentase pengaduan sebagai fungsi dari komitmen
target ketersediaan layanan
A. Komponen: Proses
1. Tentukan ruang lingkup dan batasan sistem manajemen keamanan informasi (SMKI) dalam kaitannya dengan karakteristik 2
perusahaan, organisasi, lokasinya, aset dan teknologinya. Sertakan detail, dan alasan untuk, pengecualian apa pun dari
ruang lingkup.
2. Mendefinisikan SMKI sesuai dengan kebijakan perusahaan dan konteks di mana perusahaan beroperasi.
3. Selaraskan SMKI dengan pendekatan perusahaan secara keseluruhan untuk manajemen keamanan.
4. Dapatkan otorisasi manajemen untuk menerapkan dan mengoperasikan atau mengubah SMKI.
5. Mempersiapkan dan memelihara pernyataan penerapan yang menggambarkan ruang lingkup SMKI.
6. Mendefinisikan dan mengkomunikasikan peran dan tanggung jawab manajemen keamanan informasi.
139
Halaman 140
HITRUST CSF versi 9, September 2017 0.01 Program Manajemen Keamanan Informasi
4. Memberikan masukan untuk desain dan pengembangan praktik manajemen dan solusi yang dipilih dari keamanan informasi
rencana perawatan risiko.
5. Melaksanakan pelatihan keamanan informasi dan privasi dan program kesadaran.
6. Mengintegrasikan perencanaan, desain, implementasi dan pemantauan keamanan informasi dan prosedur privasi dan lainnya
kontrol yang mampu mengaktifkan pencegahan cepat, deteksi peristiwa keamanan, dan respons terhadap insiden keamanan.
7. Tentukan bagaimana mengukur keefektifan praktek manajemen yang dipilih. Tentukan bagaimana pengukuran ini akan dilakukan 4
digunakan untuk menilai keefektifan untuk menghasilkan hasil yang sebanding dan dapat direproduksi.
140
Halaman 141
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Melakukan peninjauan berkala atas keefektifan SMKI. Sertakan memenuhi kebijakan dan tujuan ISMS dan meninjau keamanan 4
dan praktik privasi.
3. Melakukan tinjauan manajemen terhadap SMKI secara berkala untuk memastikan bahwa ruang lingkup tetap memadai dan ditingkatkan
dalam proses ISMS diidentifikasi.
4. Catat tindakan dan peristiwa yang dapat berdampak pada efektivitas atau kinerja SMKI.
5. Memberikan masukan untuk pemeliharaan rencana keamanan dengan mempertimbangkan temuan dari kegiatan pemantauan dan peninjauan. 5
ffice frficer
ffice.dll
wners
echnology O
perations fficer
HAIAdministrasi
KepKaleapKIanloafmoKTrimteepaPaRsrliiaosOisMPkeeosatBunPKgaieseajrnepsuiPmasKelaeOanehnagKAamPearemrnspaoiKbnatyelaeaknpkMbgaIOalnagnfnioMbaKaranjmaegenpTiMraaaIsPnjlaiaeenTPrlaIrKjy
ievaeransKmainoOanntainuIintafosrBmisansis
APO13.01 Membangun dan memelihara sistem manajemen keamanan informasi (ISMS). R RA R R
APO13.02 Tentukan dan kelola rencana penanganan risiko keamanan dan privasi informasi. R RA R R R
APO13.03 Memantau dan meninjau sistem manajemen keamanan informasi (ISMS). RR ARRRRRRRRRR
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SG1.2 Arah Keamanan
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 6.1 Organisasi internal
APO13.01 Membangun dan memelihara keamanan informasi Dari Deskripsi Deskripsi Untuk
sistem manajemen (ISMS).
Di luar keamanan COBIT Enterprise Pernyataan ruang lingkup ISMS APO01,05;
pendekatan DSS06.03
141
Halaman 142
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
APO13.03 Memantau dan meninjau keamanan informasi Dari Deskripsi Deskripsi Untuk
sistem manajemen (ISMS).
DSS02.02 Diklasifikasikan dan diprioritaskRanekomendasi Intern
untuk
insiden dan layanan
permintaan
Panduan
Terkait
(Standar,
Kerangka
Kerja,
Persyaratan
Kepatuhan)
meningkatkan informasi keamanan pengelolaan
sistem (ISMS) MEA02.01
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Informasi keamanan Kerangka Keterampilan untuk Era Informasi V6, 2015 SCTY
Strategi keamanan informasi
Sejajarkpeanng,emRbeanncgaannaka e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK D. Aktif — D.1. Informasi
n, dan Atur Profesional di semua sektor industri - Bagian 1: Kerangka, 2016 Pengembangan Strategi Keamanan
E. Komponen: Kebijakan dan Prosedur
142
Halaman 143
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Mencapai dan mempertahankan pengelolaan aset data perusahaan yang efektif di seluruh siklus hidup data, mulai dari pembuatan hingga pengiriman, pemeliharaan
dan pengarsipan.
Tujuan
Memastikan pemanfaatan yang efektif dari aset data penting untuk mencapai tujuan dan sasaran perusahaan.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG04 Kualitas informasi keuangan
➡ Tujuan Penyelarasan
AG10 Kualitas informasi manajemen I&T
• EG07 Kualitas informasi manajemen
Sejajarkan, Rencanakan, dan Atur
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Membentuk fungsi pengelolaan data dengan tanggung jawab mengelola kegiatan yang mendukung tujuan pengelolaan data. 2
2. Tentukan peran dan tanggung jawab untuk mendukung pengelolaan data dan interaksi antara tata kelola dan data
fungsi manajemen.
3. Memastikan bahwa bisnis dan teknologi secara kolaboratif mengembangkan strategi manajemen data organisasi. Pastikan data itu 3
tujuan manajemen, prioritas dan ruang lingkup mencerminkan tujuan perusahaan, konsisten dengan kebijakan manajemen data dan
regulasi, dan disetujui oleh semua pemangku kepentingan.
4. Mengkomunikasikan tujuan, prioritas dan ruang lingkup pengelolaan data dan menyesuaikannya sesuai kebutuhan, berdasarkan umpan balik.
5. Gunakan metrik untuk menilai dan memantau pencapaian tujuan pengelolaan data. 4
6. Pantau urutan rencana untuk implementasi strategi manajemen data. Perbarui sesuai kebutuhan, berdasarkan kemajuan
ulasan.
7. Gunakan statistik dan teknik kuantitatif lainnya untuk mengevaluasi keefektifan tujuan manajemen data strategis dalam
mencapai tujuan bisnis. Lakukan modifikasi sesuai kebutuhan, berdasarkan metrik.
8. Pastikan bahwa organisasi meneliti proses bisnis yang inovatif dan persyaratan peraturan yang muncul untuk memastikannya 5
Program manajemen data sesuai dengan kebutuhan bisnis di masa depan.
9. Memberikan kontribusi pada praktik terbaik industri untuk pengembangan dan implementasi strategi manajemen data.
143
Halaman 144
Model Maturitas Manajemen Data CMMI, 2014 Strategi Manajemen Data - Strategi Manajemen Data; Data
Tata Kelola — Manajemen Tata Kelola
ITIL V3, 2011 Desain Layanan, 5.2 Manajemen Data dan Informasi
Kontrol Keamanan Kritis CIS untuk Versi Pertahanan Siber yang Efektif
CSC 13: Perlindungan Data
6.1, Agustus 2016
Praktek Manajemen Contoh Metrik
APO14.02 Definisikan dan pertahankan glosarium bisnis yang konsisten. Sebuah. Tingkat penerimaan dan frekuensi penggunaan istilah glosarium bisnis
Membuat, menyetujui, memperbarui, dan mempromosikan persyaratan bisnis yang konsistednidsaenluruh organisasi
definisi untuk mendorong penggunaan data bersama di seluruh organisasi. b. Jumlah sinonim untuk terminologi glosarium bisnis yang didefinisikan itu
digunakan dalam upaya pengembangan baru
c. Tingkat perincian istilah glosarium bisnis yang ditentukan
1. Pastikan istilah bisnis standar tersedia dan dikomunikasikan kepada pemangku kepentingan terkait. 2
2. Pastikan bahwa setiap istilah bisnis yang ditambahkan ke glosarium bisnis memiliki nama yang unik dan definisi yang unik.
3. Gunakan istilah dan definisi bisnis industri standar, jika sesuai, dalam glosarium bisnis.
4. Menetapkan, mendokumentasikan, dan mengikuti proses untuk menentukan, mengelola, menggunakan, dan memelihara glosarium bisnis. Misalnya baru 3
Sejajarkainn,isRiaetinf chaarnuas kmaenne,rdapaknanAisttuilrah bisnis standar sebagai bagian dari proses definisi persyaratan data
untuk memastikan konsistensi bahasa. Ini akan membantu mencapai perbandingan konten dan memfasilitasi berbagi data di
seluruh organisasi.
5. Memastikan bahwa pengembangan baru, integrasi data dan upaya konsolidasi data menerapkan persyaratan bisnis standar sebagai bagian dari
proses definisi kebutuhan data.
6. Integrasikan glosarium bisnis ke dalam gudang metadata organisasi, dengan izin akses yang sesuai.
Model Maturitas Manajemen Data CMMI, 2014 Tata Kelola Data - Daftar Istilah Bisnis
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 IM1.1 Klasifikasi dan Penanganan Informasi
4. Mengembangkan dan menggunakan metadata untuk melakukan analisis dampak pada potensi perubahan data. 3
5. Isi gudang metadata organisasi dengan kategori tambahan dan klasifikasi metadata menurut a
rencana implementasi bertahap. Tautkan ke lapisan arsitektur.
6. Validasi metadata dan setiap perubahan metadata terhadap arsitektur yang ada.
7. Pastikan bahwa organisasi telah mengembangkan metamodel terintegrasi yang diterapkan di semua platform.
8. Pastikan bahwa jenis metadata dan definisi data mendukung praktik impor, langganan, dan konsumsi yang konsisten.
9. Gunakan ukuran dan metrik untuk mengevaluasi keakuratan dan adopsi metadata. 4
10. Mengevaluasi perubahan data yang direncanakan untuk dampak pada penyimpanan metadata. Terus tingkatkan pengambilan metadata, perubahan, dan 5
proses penyempurnaan.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Model Maturitas Manajemen Data CMMI, 2014 Tata Kelola Data — Manajemen Metadata
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 8.2 Klasifikasi informasi
144
Halaman 145
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
APO14.04 Tentukan strategi kualitas data. Sebuah. Jumlah upaya peningkatan kualitas data yang diidentifikasi dan dicatat di
Tentukan strategi yang terintegrasi dan di seluruh organisasi untuk dicapai dan dipelihara rencana urutan
tingkat kualitas data (seperti kompleksitas, integritas, akurasi, b. Persentase pemangku kepentingan yang puas dengan kualitas data
kelengkapan, validitas, ketertelusuran dan ketepatan waktu) yang diperlukan untuk mendukung
tujuan dan sasaran bisnis.
Kegiatan Tingkat Kemampuan
1. Menentukan strategi kualitas data bekerja sama dengan pemangku kepentingan bisnis dan teknologi, yang disetujui oleh manajemen eksekutif, 3
dan dikelola. Strategi tersebut harus memfasilitasi perpindahan dari keadaan saat ini ke keadaan sasaran. Itu juga harus secara eksplisit sejalan dengan
tujuan bisnis dan strategi manajemen data organisasi.
2. Pastikan bahwa strategi kualitas data diikuti di seluruh organisasi dan disertai dengan kebijakan yang sesuai,
proses dan pedoman. Sejajarkan, Rencanakan, dan Atur
3. Jangkar kebijakan, proses, dan tata kelola yang terkandung dalam strategi kualitas data di seluruh siklus hidup data. Mandat
proses yang sesuai dalam metodologi siklus hidup pengembangan sistem.
4. Mengembangkan, memantau dan memelihara rencana urutan untuk upaya peningkatan kualitas data di seluruh organisasi.
5. Untuk mengevaluasi kemajuan, pantau rencana untuk memenuhi tujuan dan sasaran strategi kualitas data. 4
6. Secara sistematis mengumpulkan laporan pemangku kepentingan tentang masalah kualitas data. Sertakan harapan mereka untuk meningkatkan kualitas data di
strategi kualitas data. Ukur dan pantau mereka.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
CMMI Cybermaturity Platform, 2018 DP.DR Menjaga Data Diam; DP.DT Mengamankan Data dalam Transit; DP.IP
Integritas dan Pencegahan Kebocoran Data
Model Maturitas Manajemen Data CMMI, 2014 Kualitas Data - Strategi Kualitas Data
1. Menentukan dan membakukan metodologi pembuatan profil data, proses, praktik, alat, dan templat hasil. Pastikan pembuatan profil itu 3
proses dapat digunakan kembali dan dimanfaatkan di beberapa penyimpanan data dan repositori data bersama.
2. Libatkan manajemen data untuk mengidentifikasi kumpulan data inti bersama yang secara teratur dibuat profil dan dipantau. 4
3. Dalam upaya pembuatan profil data, meliputi evaluasi kesesuaian isi data dengan metadata dan standar yang telah disetujui.
4. Selama aktivitas pembuatan profil data, bandingkan masalah aktual dengan masalah yang diprediksi secara statistik, berdasarkan hasil pembuatan profil historis.
5. Pastikan bahwa hasil disimpan secara terpusat, dipantau dan dianalisis secara sistematis sehubungan dengan statistik dan metrik. Menyediakan
wawasan yang dihasilkan untuk peningkatan kualitas data dari waktu ke waktu.
6. Membuat laporan profil otomatis real-time atau mendekati real-time untuk semua feed dan repositori data penting. 5
Model Maturitas Manajemen Data CMMI, 2014 Kualitas Data — Pembuatan Profil Data
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.20 Integritas sistem dan informasi (SI-1)
800-53, Revisi 5, Agustus 2017
Praktek Manajemen Contoh Metrik
145
Halaman 146
KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN
1. Melakukan penilaian kualitas data secara berkala, sesuai frekuensi yang disetujui sesuai dengan kebijakan penilaian kualitas data. 4
Pastikan bahwa tata kelola data menentukan kumpulan atribut utama menurut bidang subjek untuk penilaian kualitas data.
2. Memasukkan rekomendasi untuk remediasi, dengan alasan pendukung, dalam hasil penilaian kualitas data.
3. Menilai kualitas data, menggunakan ambang batas dan target yang ditetapkan untuk setiap dimensi kualitas yang dipilih.
4. Secara sistematis menghasilkan laporan pengukuran kualitas data, berdasarkan kekritisan atribut dan volatilitas data.
5. Secara terus menerus meninjau dan meningkatkan penilaian kualitas data dan proses pelaporan. 5
Model Maturitas Manajemen Data CMMI, 2014 Kualitas Data — Penilaian Kualitas Data
4. Dalam perjanjian tingkat layanan, sertakan kriteria kualitas data untuk meminta pertanggungjawaban penyedia data atas data yang telah dibersihkan.
2. Tentukan pemetaan proses-ke-data bisnis. Pertahankan dan tinjau kepatuhannya secara berkala. 3
3. Ikuti proses yang ditentukan untuk perjanjian kolaboratif sehubungan dengan data bersama dan penggunaan data dalam proses bisnis.
4. Menerapkan aliran data dan peta siklus hidup data-ke-proses lengkap untuk data bersama untuk setiap proses bisnis utama di
tingkat organisasi.
5. Memastikan bahwa perubahan pada kumpulan data bersama atau kumpulan data target untuk tujuan bisnis tertentu dikelola oleh tata kelola data
struktur, dengan keterlibatan pemangku kepentingan yang relevan.
6. Gunakan metrik untuk memperluas penggunaan kembali data bersama yang disetujui dan menghilangkan redundansi proses. 4
Model Maturitas Manajemen Data CMMI, 2014 Operasi Data — Manajemen Siklus Hidup Data
146
Halaman 147
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Memastikan bahwa kebijakan mewajibkan pengelolaan riwayat data, termasuk persyaratan penyimpanan, penghancuran, dan jejak audit. 2
2. Memastikan adanya metode yang ditentukan yang menjamin aksesibilitas ke data historis yang diperlukan untuk mendukung kebutuhan bisnis.
3. Menggunakan kebijakan dan proses untuk mengontrol akses, pengiriman dan modifikasi pada data historis dan arsip.
4. Pastikan bahwa organisasi memiliki tempat penyimpanan gudang data yang ditentukan yang menyediakan akses ke data historis untuk rapat 3
analitik membutuhkan proses bisnis pendukung.
Sejajarkan, Rencanakan, dan Atur
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Model Maturitas Manajemen Data CMMI, 2014 Platform dan Arsitektur — Data Historis, Retensi, dan Pengarsipan
1. Tentukan jadwal untuk memastikan pencadangan yang benar dari semua data penting. 2
2. Tentukan persyaratan untuk penyimpanan data cadangan di tempat dan di luar situs, dengan mempertimbangkan volume, kapasitas, dan periode penyimpanan,
sejalan dengan kebutuhan bisnis.
3. Buat jadwal pengujian untuk data cadangan. Pastikan data dapat dipulihkan dengan benar tanpa memengaruhi bisnis secara drastis.
Kontrol Keamanan Kritis CIS untuk Versi Pertahanan Siber yang Efektif
CSC 10: Kemampuan Pemulihan Data
6.1, Agustus 2016
fficer
fficer
fficer
RisiKkoepUKatlaeapmKIanaloafOmoKDrimtiegepaiFaRtsauliialsnOiOPgkseointuPMagesaaerhnsuasKatjeehhmaaumaeknaunmDaantaInformasi
APO14.01 Mendefinisikan dan mengkomunikasikan strategi dan peran serta tanggung jawab manajemen data organisasi. RAR RR
APO14.05 Menetapkan metodologi, proses, dan alat pembuatan profil data. RAR RR
147
Halaman 148
APO14.04 Tentukan strategi kualitas data. APO01.06 Prosedur integritas data Strategi kualitas data APO14.05;
APO14.06;
APO14.07
APO01.07 Keamanan dan kontrol data
Masalah kualitas data Intern
pedoman
laporan
APO11.01 Manajemen mutu
Kualitas data Intern
rencana
rencana perbaikan
APO14.05 Menetapkan metodologi profil data, APO14.04 Strategi kualitas data Pembuatan profil data Intern
proses dan alat. metodologi, proses,
praktik, alat, dan hasil
template
APO14.06 Pastikan pendekatan penilaian kualitas data. APO11.01 Manajemen mutu
Penilaian kualitas data Intern
rencana
hasil
APO14.04 Strategi kualitas data
APO14.07 Definisikan pendekatan pembersihan data. APO14.04 Strategi kualitas data Kualitas data
APO09.03
Persyaratan
APO14.08 Mengelola siklus hidup aset data. APO01.07 Keamanan dan kontrol data
pedoman
DSS04.07 Data cadangan
APO14.09 Mendukung pengarsipan dan penyimpanan data. DSS06.05 Persyaratan retensi Arsip data Intern
APO14.10 Mengelola pencadangan dan pemulihan data APO01.07 Keamanan dan kontrol data Rencana uji cadangan DSS04.07
pengaturan. pedoman
APO14.01 Manajemen data Rencana cadangan DSS04.07
strategi
148
Halaman 149
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Analisis data Kerangka Keterampilan untuk Era Informasi V6, 2015 DTAN
Manajemen data Kerangka Keterampilan untuk Era Informasi V6, 2015 DATM
Jaminan informasi Kerangka Keterampilan untuk Era Informasi V6, 2015 INAS
Manajemen informasi Kerangka Keterampilan untuk Era Informasi V6, 2015 IRMG
149
Halaman 150
Halaman 151
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
10 Konfigurasi Terkelola
151
Halaman 152
152
Halaman 153
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Kelola semua program dari portofolio investasi selaras dengan strategi perusahaan dan secara terkoordinasi, berdasarkan program standar
pendekatan manajemen. Memulai, merencanakan, mengontrol, dan menjalankan program, dan memantau nilai yang diharapkan dari program.
Tujuan
Sadarilah nilai bisnis yang diinginkan dan kurangi risiko penundaan yang tidak terduga, biaya dan erosi nilai. Untuk melakukannya, tingkatkan komunikasi ke dan
keterlibatan bisnis dan pengguna akhir, memastikan nilai dan kualitas hasil program dan tindak lanjut proyek dalam program, dan
memaksimalkan kontribusi program ke portofolio investasi.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ • EG08 Optimalisasi fungsi proses bisnis internal
• Program transformasi digital terkelola EG12 Tujuan Penyelarasan
• AG03 Manfaat yang direalisasikan dari investasi dan layanan yang mendukung I & T
portofolio
• AG09 Menyampaikan program tepat waktu, sesuai anggaran dan rapat
persyaratan dan standar kualitas
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Menjaga dan menegakkan pendekatan standar untuk manajemen program, selaras dengan lingkungan spesifik perusahaan dan 2
dengan praktik yang baik berdasarkan proses yang ditentukan dan penggunaan teknologi tepat guna. Pastikan bahwa pendekatan tersebut mencakup seluruh kehidupan
siklus dan disiplin ilmu yang harus diikuti, termasuk pengelolaan ruang lingkup, sumber daya, risiko, biaya, kualitas, waktu, komunikasi,
keterlibatan pemangku kepentingan, pengadaan, kontrol perubahan, integrasi dan realisasi manfaat.
2. Menempatkan kantor program atau kantor manajemen proyek (PMO) yang mempertahankan pendekatan standar untuk program dan 3
manajemen proyek di seluruh organisasi. PMO mendukung semua program dan proyek dengan membuat dan memelihara
templat dokumentasi proyek yang diperlukan, memberikan pelatihan dan praktik terbaik untuk manajer program / proyek, pelacakan
metrik penggunaan praktik terbaik untuk manajemen proyek, dll. Dalam beberapa kasus, PMO juga dapat melaporkan program / proyek
kemajuan ke manajemen senior dan / atau pemangku kepentingan, membantu memprioritaskan proyek, dan memastikan semua proyek mendukung keseluruhan
tujuan bisnis perusahaan.
3. Mengevaluasi pelajaran yang didapat berdasarkan penggunaan pendekatan manajemen program dan memperbarui pendekatan yang sesuai. 4
153
Halaman 154
BAI01.02 Memulai program. Sebuah. Persentase inisiatif / proyek I&T yang diperjuangkan oleh pemilik bisnis
Memulai program untuk memastikan manfaat yang diharapkan dan mendapatkan otorisasbi. Persentase inisiatif strategis dengan akuntabilitas yang ditetapkan
untuk melanjutkan. Ini termasuk menyetujui sponsor program, mengonfirmasi c. Persentase program yang dilakukan tanpa kasus bisnis yang disetujui
mandat program melalui persetujuan bisnis konseptual d. Persentase pemangku kepentingan yang menyetujui kebutuhan usaha, ruang lingkup, direncanakan
kasus, menunjuk dewan program atau anggota komite, menghasilkan hasil dan tingkat risiko program
pengarahan program, meninjau dan memperbarui kasus bisnis, mengembangkan
rencana realisasi manfaat, dan mendapatkan persetujuan dari sponsor untuk
memproses.
1. Setuju tentang sponsorship program. Menunjuk dewan / komite program dengan anggota yang memiliki kepentingan strategis dalam program, 2
tanggung jawab untuk pengambilan keputusan investasi, akan sangat dipengaruhi oleh program dan akan diminta untuk diaktifkan
pengiriman kembalian.
2. Menunjuk manajer yang berdedikasi untuk program tersebut, dengan kompetensi dan keterampilan yang sepadan untuk mengelola program
efektif dan efisien.
3. Konfirmasikan mandat program dengan sponsor dan pemangku kepentingan. Mengartikulasikan tujuan strategis untuk program, potensi 3
strategi untuk penyampaian, peningkatan dan manfaat yang diharapkan, dan bagaimana program tersebut sesuai dengan inisiatif lainnya.
4. Kembangkan kasus bisnis terperinci untuk sebuah program. Libatkan semua pemangku kepentingan utama untuk mengembangkan dan mendokumentasikan secara lengkap
pemahaman tentang hasil usaha yang diharapkan, bagaimana mereka akan diukur, ruang lingkup penuh inisiatif yang diperlukan,
risiko yang terlibat dan dampaknya pada semua aspek perusahaan. Mengidentifikasi dan menilai tindakan alternatif untuk mencapai
hasil usaha yang diinginkan.
5. Mengembangkan rencana realisasi manfaat yang akan dikelola di seluruh program untuk memastikan bahwa manfaat yang direncanakan selalu ada
pemilik dan dicapai, dipertahankan dan dioptimalkan.
6. Mempersiapkan kasus bisnis program awal (konseptual), memberikan informasi pengambilan keputusan penting mengenai tujuan,
kontribusi untuk tujuan bisnis, nilai yang diharapkan dibuat, kerangka waktu, dll. Kirimkan untuk persetujuan.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Tidak ada panduan terkait untuk praktik manajemen ini
1. Rencanakan bagaimana pemangku kepentingan di dalam dan di luar perusahaan akan diidentifikasi, dianalisis, dilibatkan, dan dikelola sepanjang hidup 3
siklus proyek.
2. Identifikasi, libatkan dan kelola pemangku kepentingan dengan menetapkan dan memelihara tingkat koordinasi, komunikasi yang sesuai
dan penghubung untuk memastikan bahwa mereka terlibat dalam program.
3. Menganalisis kepentingan dan persyaratan pemangku kepentingan.
4. Ikuti proses yang ditentukan untuk perjanjian kolaboratif sehubungan dengan data bersama dan penggunaan data dalam proses bisnis. 4
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 10. Manajemen komunikasi proyek
154
Halaman 155
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Tentukan pendanaan, biaya, jadwal dan saling ketergantungan dari beberapa proyek. 2
2. Tentukan dan dokumentasikan rencana program yang mencakup semua proyek. Sertakan apa yang dibutuhkan untuk membawa perubahan pada perusahaan; 3
tujuan, misi, visi, nilai, budaya, produk dan layanannya; proses bisnis; keterampilan dan angka orang;
hubungan dengan pemangku kepentingan, pelanggan, pemasok, dan lainnya; kebutuhan teknologi; dan restrukturisasi organisasi diperlukan
untuk mencapai hasil usaha yang diharapkan dari program tersebut.
3. Memastikan bahwa ada komunikasi yang efektif dari rencana program dan laporan kemajuan di antara semua proyek dan dengan keseluruhan
program. Pastikan bahwa setiap perubahan yang dibuat pada rencana individu tercermin dalam rencana program perusahaan lainnya.
4. Menjaga rencana program untuk memastikan bahwa itu mutakhir dan mencerminkan keselarasan dengan tujuan strategis saat ini, aktual
kemajuan dan perubahan material pada hasil, manfaat, biaya dan risiko. Minta bisnis mengarahkan tujuan dan memprioritaskan
bekerja untuk memastikan bahwa program, seperti yang dirancang, akan memenuhi persyaratan perusahaan. Tinjau kemajuan individu
proyek dan menyesuaikan proyek seperlunya untuk memenuhi tonggak dan rilis yang dijadwalkan.
5. Sepanjang kehidupan ekonomi program, perbarui dan pelihara kasus bisnis dan daftar manfaat untuk diidentifikasi dan ditentukan
manfaat utama yang timbul dari pelaksanaan program.
6. Siapkan anggaran program yang mencerminkan biaya siklus hidup ekonomi penuh dan terkait keuangan dan nonfinansial
manfaat.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
1. Merencanakan, mendayagunakan sumber daya dan menugaskan proyek yang diperlukan untuk mencapai hasil program, berdasarkan tinjauan pendanaan dan 3
persetujuan di setiap tinjauan tahap-gerbang.
2. Kelola setiap program atau proyek untuk memastikan bahwa pengambilan keputusan dan kegiatan pengiriman difokuskan pada nilai dengan pencapaian
manfaat untuk bisnis dan sasaran secara konsisten, menangani risiko, dan mencapai persyaratan pemangku kepentingan.
3. Tetapkan tahapan proses pengembangan yang disepakati (development checkpoints). Di akhir setiap tahap, fasilitasi formal
diskusi tentang kriteria yang disetujui dengan para pemangku kepentingan. Setelah berhasil menyelesaikan fungsionalitas, kinerja dan kualitas
tinjauan, dan sebelum menyelesaikan kegiatan tahap, dapatkan persetujuan resmi dan persetujuan dari semua pemangku kepentingan dan sponsor /
pemilik proses bisnis.
4. Melakukan proses realisasi manfaat di seluruh program untuk memastikan bahwa manfaat yang direncanakan selalu ada dan ada 4
kemungkinan besar akan dicapai, dipertahankan, dan dioptimalkan. Pantau pengiriman manfaat dan laporkan terhadap target kinerja pada tahap-
gerbang atau iterasi dan rilis ulasan. Lakukan analisis akar penyebab untuk penyimpangan dari rencana dan identifikasi serta atasi setiap
tindakan perbaikan yang diperlukan.
5. Rencanakan audit, tinjauan kualitas, tinjauan fase / tahap-gerbang dan tinjauan manfaat yang direalisasikan.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Tidak ada panduan terkait untuk praktik manajemen ini
155
Halaman 156
1. Perbarui portofolio I&T operasional untuk mencerminkan perubahan yang dihasilkan dari program dalam layanan, aset, atau sumber daya I&T yang relevan 3
portofolio.
2. Memantau dan mengontrol kinerja program secara keseluruhan dan proyek dalam program, termasuk kontribusi dari 4
bisnis dan TI untuk proyek. Laporkan secara tepat waktu, lengkap dan akurat. Pelaporan dapat mencakup jadwal, pendanaan,
fungsionalitas, kepuasan pengguna, pengendalian internal dan penerimaan akuntabilitas.
3. Memantau dan mengontrol kinerja terhadap strategi dan sasaran perusahaan dan I&T. Laporkan ke manajemen di perusahaan
perubahan yang diterapkan, manfaat yang direalisasikan terhadap rencana realisasi manfaat, dan kecukupan realisasi manfaat
proses.
4. Memantau dan mengontrol layanan TI, aset dan sumber daya yang dibuat atau diubah sebagai hasil dari program. Catatan implementasi dan
tanggal dalam layanan. Laporkan kepada manajemen tentang tingkat kinerja, pemberian layanan yang berkelanjutan, dan kontribusi terhadap nilai.
5. Mengelola kinerja program berdasarkan kriteria utama (misalnya, ruang lingkup, jadwal, kualitas, realisasi manfaat, biaya, risiko, kecepatan),
mengidentifikasi penyimpangan dari rencana dan mengambil tindakan perbaikan tepat waktu bila diperlukan.
6. Memantau kinerja proyek individu terkait dengan penyampaian kemampuan yang diharapkan, jadwal, realisasi manfaat, biaya, risiko
atau metrik lainnya. Identifikasi potensi dampak pada kinerja program dan ambil tindakan perbaikan tepat waktu bila diperlukan.
7. Sesuai dengan kriteria tahapan-gate, rilis atau iterasi review, lakukan review untuk melaporkan kemajuan program
sehingga manajemen dapat membuat keputusan go / no-go atau penyesuaian dan menyetujui pendanaan lebih lanjut hingga tahap-gate berikut,
rilis atau iterasi.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
1. Mengidentifikasi tugas dan praktik jaminan yang diperlukan untuk mendukung akreditasi sistem baru atau yang dimodifikasi selama program 3
perencanaan, dan memasukkannya ke dalam rencana terintegrasi. Pastikan bahwa tugas memberikan jaminan bahwa kontrol internal dan keamanan /
solusi privasi memenuhi persyaratan yang ditentukan.
2. Untuk memberikan jaminan kualitas untuk hasil program, mengidentifikasi kepemilikan dan tanggung jawab, proses tinjauan kualitas,
kriteria kesuksesan dan metrik kinerja.
3. Tentukan persyaratan untuk validasi independen dan verifikasi kualitas kiriman dalam rencana. 4
4. Melakukan kegiatan penjaminan dan pengendalian mutu sesuai dengan rencana manajemen mutu dan SMM.
156
Halaman 157
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
BAI01.08 Mengelola risiko program. Sebuah. Jumlah program tanpa penilaian risiko yang tepat
Menghilangkan atau meminimalkan risiko spesifik yang terkait dengan program melalui b. Persentase program yang diselaraskan dengan manajemen risiko perusahaan
proses perencanaan yang sistematis, mengidentifikasi, menganalisis, menanggapi kerangka
untuk, memantau dan mengendalikan area atau peristiwa yang berpotensi
menyebabkan perubahan yang tidak diinginkan. Tentukan dan catat setiap risiko yang dihadapi oleh program
pengelolaan.
Kegiatan Tingkat Kemampuan
1. Menetapkan pendekatan manajemen risiko formal yang selaras dengan kerangka kerja manajemen risiko perusahaan (ERM). Pastikan file 3
Pendekatan termasuk mengidentifikasi, menganalisis, menanggapi, memitigasi, memantau dan mengendalikan risiko.
2. Menugaskan kepada personel yang terampil dan bertanggung jawab untuk melaksanakan proses manajemen risiko perusahaan dalam a
program dan memastikan bahwa ini dimasukkan ke dalam praktik pengembangan solusi. Pertimbangkan untuk mengalokasikan peran ini ke
tim independen, terutama jika sudut pandang objektif diperlukan atau program dianggap kritis.
3. Melakukan penilaian risiko untuk mengidentifikasi dan mengukur risiko secara terus menerus sepanjang program. Kelola dan
mengkomunikasikan risiko secara tepat dalam struktur tata kelola program.
4. Identifikasi pemilik untuk tindakan menghindari, menerima atau mengurangi risiko.
1. Mengakhiri program dengan tertib, termasuk persetujuan formal, pembubaran organisasi program dan dukungan 3
fungsi, validasi kiriman, dan komunikasi pensiun.
2. Meninjau dan mendokumentasikan pembelajaran. Setelah program dihentikan, keluarkan dari portofolio investasi aktif. Pindahkan apapun 4
kemampuan yang dihasilkan untuk portofolio aset operasional untuk memastikan bahwa nilai terus diciptakan dan dipertahankan.
3. Letakkan akuntabilitas dan proses di tempat untuk memastikan bahwa perusahaan terus mengoptimalkan nilai dari layanan, aset atau 5
sumber daya. Investasi tambahan mungkin diperlukan di masa mendatang untuk memastikan hal ini terjadi.
157
Halaman 158
fficer
perations
HAI
KepRaliasiKkEokepsUSeatkAlaauYmtPIAinafrfoOTOosKremsomBaMsiisitaneOniMPsaejOaennKrgaaPejrepraPmoahgeleanr(naPgKAmPerremorspgoibatryelaaeaknmkbgOa/ gnPiraKoneypTeakIl)a
BAI01.01 Mempertahankan pendekatan standar untuk manajemen program. SEBUARHR R
BAI01.01 Mempertahankan pendekatan standar untuk program Dari Deskripsi Deskripsi Untuk
pengelolaan.
APO03.04 • Tahap implementasi Program diperbarui Intern
Bangun, Dapatkan, dan Terapkan deskripsi pendekatan manajemen
• Arsitektur
pemerintahan
Persyaratan
APO05.04 Portofolio yang diperbarui dari
program, layanan dan
aktiva
APO10.04 Pengiriman vendor teridentifikasi
risiko
158
Halaman 159
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
rencana
BAI01.04 Mengembangkan dan memelihara rencana program. APO05.02 Program terpilih dengan Anggaran program dan APO05,05;
Tonggak ROI daftar manfaat APO06.05
Hasil manfaat
APO05,05;
pemantauan realisasi
APO06.05
Rencana audit program MEA04.02
159
Halaman 160
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
BAI01.06 Memantau, mengontrol dan melaporkan program Dari Deskripsi Deskripsi Untuk
hasil.
APO05.01 Pengembalian investasi Hasil tinjauan gerbang panggung APO02.04;
harapan APO05.03;
EDM02.02
BAI05.04 Komunikasi
manfaat
BAI01.07 Mengelola kualitas program. APO11.01 Manajemen mutu Manajemen mutu BAI02.04;
rencana rencana BAI03.06;
BAI07.01
APO11.02 Kebutuhan pelanggan Persyaratan untuk BAI07.03
untuk verifikasi independen
Bangun, Dapatkan, dan Terapkan
manajemen mutu dari kiriman
BAI01.08 Mengelola risiko program. APO12.02 Hasil analisis risiko Daftar risiko program Intern
BAI02.03 • Risiko persyaratan Penilaian risiko program Intern
daftar hasil
• Tindakan mitigasi risiko
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4. Manajemen integrasi proyek: Input dan Output; Bagian 1: 6.
Manajemen jadwal proyek: Input dan Output; Bagian 1: 10. Proyek
manajemen komunikasi: Input dan Output; Bagian 1: 11. Risiko proyek
manajemen: Input dan Output
160
Halaman 161
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Manajemen manfaat Kerangka Keterampilan untuk Era Informasi V6, 2015 BENM
Pengembangan rencana bisnis e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
A. Rencana — A.3. Rencana bisnis
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Pengembangan
Manajemen program Kerangka Keterampilan untuk Era Informasi V6, 2015 PGMG
Halaman 162
162
Halaman 163
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Identifikasi solusi dan analisis persyaratan sebelum akuisisi atau pembuatan untuk memastikan bahwa solusi tersebut selaras dengan persyaratan strategis perusahaan
meliputi proses bisnis, aplikasi, informasi / data, infrastruktur dan layanan. Koordinasikan peninjauan opsi yang layak dengan yang terkena dampak
pemangku kepentingan, termasuk biaya dan manfaat relatif, analisis risiko, dan persetujuan persyaratan dan solusi yang diusulkan.
Tujuan
Ciptakan solusi optimal yang memenuhi kebutuhan perusahaan sekaligus meminimalkan risiko.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
• AG05 Penyampaian layanan I&T sejalan dengan kebutuhan bisnis
• EG08 Optimalisasi fungsi proses bisnis internal
• AG06 Agility untuk mengubah persyaratan bisnis menjadi solusi operasional
• Program transformasi digital terkelola EG12
• AG09 Menyampaikan program tepat waktu, sesuai anggaran dan rapat
persyaratan dan standar kualitas
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
163
Halaman 164
A. Komponen: Proses
BAI02.01 Mendefinisikan dan memelihara bisnis fungsional dan teknis informasi bisnis, persyaratan fungsional, teknis dan kontrol
Persyaratan.
Berdasarkan kasus bisnis, identifikasi, prioritaskan, tentukan, dan setujui
Sebuah. Persentase ketidaksesuaian dengan perusahaan kebutuhan dan harapan
persyaratan yang b. Persentase persyaratan yang divalidasi melalui pendekatan seperti rekan
dikerjakan ulang karena review, validasi model atau prototyping operasional
mencakup ruang lingkup / pemahaman dari semua inisiatif yang diperlukan untuk mencapai
hasil yang diharapkan dari solusi bisnis yang mendukung I & T yang diusulkan.
Kegiatan Tingkat Kemampuan
1. Pastikan bahwa semua persyaratan pemangku kepentingan, termasuk kriteria penerimaan yang relevan, dipertimbangkan, ditangkap, diprioritaskan dan 2
dicatat dengan cara yang dapat dimengerti oleh semua pemangku kepentingan, dengan menyadari bahwa persyaratan dapat berubah dan akan menjadi
lebih rinci saat diterapkan.
2. Ungkapkan kebutuhan bisnis dalam hal bagaimana kesenjangan antara kemampuan bisnis saat ini dan yang diinginkan perlu
ditujukan dan bagaimana pengguna (karyawan, klien, dll.) akan berinteraksi dengan dan menggunakan solusi.
3. Menentukan dan memprioritaskan informasi, persyaratan fungsional dan teknis, berdasarkan desain pengalaman pengguna dan dikonfirmasi
persyaratan pemangku kepentingan.
4. Pastikan persyaratan memenuhi kebijakan dan standar perusahaan, arsitektur perusahaan, rencana I&T strategis dan taktis, di- 3
rumah dan bisnis outsourcing dan proses TI, persyaratan keamanan, persyaratan peraturan, kompetensi orang,
struktur organisasi, kasus bisnis, dan teknologi pendukung.
5. Sertakan persyaratan kontrol informasi dalam proses bisnis, proses otomatis, dan lingkungan I&T untuk ditangani
risiko informasi dan untuk mematuhi hukum, peraturan dan kontrak komersial.
6. Konfirmasi penerimaan aspek kunci dari persyaratan, termasuk aturan perusahaan, pengalaman pengguna, kontrol informasi,
kelangsungan bisnis, kepatuhan hukum dan peraturan, kemampuan diaudit, ergonomi, pengoperasian dan kegunaan, keselamatan, kerahasiaan,
dan dokumentasi pendukung.
7. Melacak dan mengontrol ruang lingkup, persyaratan dan perubahan melalui siklus hidup solusi sebagai pemahaman solusi
berkembang.
8. Tentukan dan terapkan definisi persyaratan dan prosedur pemeliharaan serta repositori persyaratan yang sesuai
untuk ukuran, kompleksitas, tujuan dan risiko inisiatif yang sedang dipertimbangkan untuk dilakukan oleh perusahaan.
9. Validasi semua persyaratan melalui pendekatan seperti peer review, validasi model, atau pembuatan prototipe operasional.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SD2.1 Spesifikasi Persyaratan
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 14.1 Persyaratan keamanan sistem informasi
BangunI,TDILaVp3a,t2k0a1n1, dan
Desain Layanan, 5.1 Rekayasa persyaratan
Terapkan
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 5. Manajemen lingkup proyek
1. Mengidentifikasi tindakan yang diperlukan untuk akuisisi atau pengembangan solusi berdasarkan arsitektur perusahaan. Mempertimbangkan ruang lingkup 2
dan / atau batasan waktu dan / atau anggaran.
2. Tinjau solusi alternatif dengan semua pemangku kepentingan. Pilih yang paling sesuai berdasarkan kriteria kelayakan,
termasuk resiko dan biaya.
3. Terjemahkan tindakan yang diinginkan ke dalam rencana akuisisi / pengembangan tingkat tinggi yang mengidentifikasi sumber daya yang akan digunakan dan 3
tahapan yang membutuhkan keputusan pergi / tidak-pergi.
4. Tentukan dan laksanakan studi kelayakan, uji coba atau solusi kerja dasar yang menjelaskan alternatif secara jelas dan ringkas 4
solusi dan ukuran bagaimana ini akan memenuhi kebutuhan bisnis dan fungsional. Sertakan evaluasi mereka
kelayakan teknologi dan ekonomi.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
164
Halaman 165
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
BAI02.03 Mengelola risiko persyaratan. Sebuah. Persen dari persyaratan risiko tidak tercakup oleh risiko yang sesuai
Mengidentifikasi, mendokumentasikan, memprioritaskan dan mengurangi fungsional, teknistadnagngapan
risiko terkait pemrosesan informasi yang terkait dengan perusahaan b. Tingkat detail risiko persyaratan yang terdokumentasi
persyaratan, asumsi dan solusi yang diusulkan. c. Kelengkapan estimasi probabilitas dan dampak yang dicantumkan
persyaratan risiko dan respons risiko
Kegiatan Tingkat Kemampuan
1. Identifikasi risiko persyaratan kualitas, fungsional dan teknis (karena, misalnya, kurangnya keterlibatan pengguna, tidak realistis 3
harapan, pengembang menambahkan fungsionalitas yang tidak perlu, asumsi yang tidak realistis, dll.).
3. Menganalisis risiko yang teridentifikasi dengan memperkirakan probabilitas dan dampak pada anggaran dan jadwal. Evaluasi dampak anggaran dari 4
tindakan respons risiko yang tepat.
BAI02.04 Mendapatkan persetujuan persyaratan dan solusi. Sebuah. Tingkat kepuasan pemangku kepentingan dengan persyaratan
Koordinasikan umpan balik dari pemangku kepentingan yang terkena dampak. Di ditentubk.aJnumselbaehlupmenngyeacualian solusi untuk desain yang dicatat selama tinjauan tahap
tahapan utama, dapatkan persetujuan dan persetujuan dari sponsor bisnis atau pemilik produk mengenai persyaratan fungsional dan teknis,
c. Persentase
pemangku
kepenting
an yang
tidak
menyetuj
ui solusi
terkait
kasus
bisnis
studi kelayakan, analisis risiko dan solusi yang direkomendasikan.
Kegiatan Tingkat Kemampuan
1. Pastikan bahwa sponsor bisnis atau pemilik produk membuat pilihan akhir dari solusi, pendekatan akuisisi, dan tingkat tinggi 3
desain, sesuai dengan kasus bisnis. Dapatkan persetujuan yang diperlukan dari pemangku kepentingan yang terkena dampak (misalnya, pemilik proses bisnis, Bangun, Dapatkan, dan Terapkan
arsitek perusahaan, manajer operasi, keamanan, petugas privasi).
2. Dapatkan tinjauan kualitas sepanjang, dan di akhir, setiap tahap proyek utama, iterasi atau rilis. Nilai hasil terhadap 4
kriteria penerimaan asli. Minta sponsor bisnis dan pemangku kepentingan lainnya menandatangani setiap tinjauan kualitas yang sukses.
ffice.dll
fficewrners
fficer
perationffsicer
HAI
RARRR R
BAI02.03 Mengelola risiko persyaratan. RRRARRR RRRR
165
Halaman 166
BAI02.01 Mendefinisikan dan memelihara fungsi bisnis dan Dari Deskripsi Deskripsi Untuk
persyaratan teknis.
APO01.07 • Klasifikasi data Definisi persyaratan BAI03.01;
pedoman gudang BAI03.02;
• Keamanan data dan BAI03.12;
pedoman kontrol BAI04.01;
• Integritas data BAI05.01
Prosedur
APO03.01 Prinsip arsitektur Penerimaan dikonfirmasi
BAI03.01;
kriteria dari
BAI03.02;
pemangku kepentingan
BAI03.12;
BAI04.03;
BAI05.01;
BAI05.02
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 5. Lingkup manajemen proyek: Input dan Output
166
Halaman 167
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Desain aplikasi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
A. Rencana — A.6. Desain Aplikasi
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Analisa bisnis Kerangka Keterampilan untuk Era Informasi V6, 2015 BUAN
Perbaikan proses bisnis Kerangka Keterampilan untuk Era Informasi V6, 2015 BPRE
Membutuhkan identifikasi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016 D. Aktif — D.11.
Kebutuhan Identifikasi
Definisi persyaratan dan
Kerangka Keterampilan untuk Era Informasi V6, 2015 REQM
pengelolaan
Analisis pengalaman pengguna Kerangka Keterampilan untuk Era Informasi V6, 2015 UNAN
Halaman 168
168
Halaman 169
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Menetapkan dan memelihara produk dan layanan yang teridentifikasi (teknologi, proses bisnis, dan alur kerja) sejalan dengan persyaratan perusahaan
meliputi desain, pengembangan, pengadaan / pengadaan, dan bermitra dengan vendor. Kelola konfigurasi, persiapan tes, pengujian, persyaratan
pengelolaan dan pemeliharaan proses bisnis, aplikasi, informasi / data, infrastruktur dan layanan.
Tujuan
Pastikan pengiriman produk dan layanan digital yang gesit dan terukur. Menetapkan solusi tepat waktu dan hemat biaya (teknologi, proses bisnis
dan alur kerja) yang mampu mendukung tujuan strategis dan operasional perusahaan.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
• AG05 Penyampaian layanan I&T sejalan dengan kebutuhan bisnis
• EG08 Optimalisasi fungsi proses bisnis internal
• AG06 Agility untuk mengubah persyaratan bisnis menjadi solusi operasional
• Program transformasi digital terkelola EG12
• AG09 Menyampaikan program tepat waktu, sesuai anggaran dan rapat
persyaratan dan standar kualitas
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
169
Halaman 170
1. Menetapkan spesifikasi desain tingkat tinggi yang menerjemahkan solusi yang diusulkan menjadi desain tingkat tinggi untuk proses bisnis, 2
layanan pendukung, alur kerja, aplikasi, infrastruktur, dan repositori informasi yang mampu memenuhi bisnis dan
persyaratan arsitektur perusahaan.
2. Libatkan desainer pengalaman pengguna dan spesialis IT yang berkualifikasi dan berpengalaman dalam proses desain yang akan dibuat
yakin bahwa desain memberikan solusi yang secara optimal menggunakan kapabilitas I&T yang diusulkan untuk meningkatkan proses bisnis.
3. Buat desain yang sesuai dengan standar desain organisasi. Pastikan itu mempertahankan tingkat detail
sesuai untuk solusi dan metode pengembangan dan konsisten dengan strategi bisnis, perusahaan dan I&T,
arsitektur perusahaan, rencana keamanan / privasi dan hukum, peraturan, dan kontrak yang berlaku.
4. Setelah persetujuan jaminan kualitas, serahkan desain tingkat tinggi akhir kepada pemangku kepentingan proyek dan sponsor / bisnis
pemilik proses untuk mendapatkan persetujuan berdasarkan kriteria yang disepakati. Desain ini akan berkembang sepanjang proyek seiring berkembangnya pemahaman.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Desain Sistem SD2.2
BAI03.02 Rancang komponen solusi terperinci. Sebuah. Jumlah kekurangan tinjauan desain
Kembangkan, dokumentasikan dan uraikan desain rinci secara progresif. Menggunakan b. Jumlah perubahan desain dalam proses
teknik pengembangan Agile bertahap atau cepat yang disetujui dan sesuai,
menangani semua komponen (proses bisnis dan otomatis terkait
dan kontrol manual, mendukung aplikasi I&T, layanan infrastruktur
dan produk teknologi, dan mitra / pemasok). Pastikan file
desain rinci mencakup perjanjian tingkat layanan internal dan eksternal
(SLA) dan perjanjian tingkat operasional (OLA).
Kegiatan Tingkat Kemampuan
1. Mendesain secara progresif aktivitas proses bisnis dan alur kerja yang perlu dilakukan dalam hubungannya dengan yang baru 2
sistem aplikasi untuk memenuhi tujuan perusahaan, termasuk desain kegiatan pengendalian manual.
2. Mendesain langkah-langkah pemrosesan aplikasi. Langkah-langkah tersebut meliputi spesifikasi jenis transaksi dan proses bisnis
aturan, kontrol otomatis, definisi data / objek bisnis, kasus penggunaan, antarmuka eksternal, batasan desain, dan lainnya
persyaratan (misalnya, perizinan, hukum, standar dan internasionalisasi / lokalisasi).
3. Klasifikasikan input dan output data sesuai dengan standar arsitektur perusahaan. Tentukan desain pengumpulan data sumber.
Dokumentasikan input data (terlepas dari sumbernya) dan validasi untuk memproses transaksi serta metode untuk
validasi. Rancang keluaran yang diidentifikasi, termasuk sumber data.
4. Rancang antarmuka sistem / solusi, termasuk semua pertukaran data otomatis.
Bangun, Dapatkan, dan Terapkan
5. Desain penyimpanan data, lokasi, pengambilan dan pemulihan.
6. Rancang redundansi, pemulihan, dan pencadangan yang sesuai.
7. Rancang antarmuka antara pengguna dan aplikasi sistem agar mudah digunakan dan didokumentasikan sendiri. 3
8. Pertimbangkan dampak dari kebutuhan solusi untuk kinerja infrastruktur, peka terhadap jumlah aset
komputasi, intensitas bandwidth dan sensitivitas waktu informasi.
9. Secara proaktif mengevaluasi kelemahan desain (misalnya, inkonsistensi, kurangnya kejelasan, potensi kekurangan) selama siklus hidup.
Identifikasi peningkatan bila diperlukan.
10. Memberikan kemampuan untuk mengaudit transaksi dan mengidentifikasi akar penyebab kesalahan pemrosesan.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Desain Sistem SD2.2
170
Halaman 171
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Dalam lingkungan terpisah, kembangkan desain rinci yang diusulkan untuk proses bisnis, layanan pendukung, 2
aplikasi, infrastruktur dan repositori informasi.
2. Ketika penyedia pihak ketiga terlibat dengan pengembangan solusi, pastikan pemeliharaan, dukungan, pengembangan
standar dan lisensi ditangani dan ditaati dalam kewajiban kontrak.
3. Lacak permintaan perubahan dan tinjauan desain, kinerja dan kualitas. Pastikan partisipasi aktif dari semua pemangku kepentingan yang terkena dampak.
4. Dokumentasikan semua komponen solusi sesuai dengan standar yang ditentukan. Pertahankan kontrol versi atas semua komponen yang dikembangkan
dan dokumentasi terkait.
5. Menilai dampak penyesuaian dan konfigurasi solusi pada kinerja dan efisiensi solusi yang diperoleh dan seterusnya 3
interoperabilitas dengan aplikasi, sistem operasi, dan infrastruktur lain yang ada. Sesuaikan proses bisnis sesuai kebutuhan
memanfaatkan kemampuan aplikasi.
6. Pastikan bahwa tanggung jawab untuk menggunakan komponen infrastruktur dengan keamanan tinggi atau akses terbatas didefinisikan dengan jelas dan
dipahami oleh mereka yang mengembangkan dan mengintegrasikan komponen infrastruktur. Penggunaannya harus dipantau dan dievaluasi.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SD1.2 Lingkungan Pengembangan Sistem
Bangun, Dapatkan, dan Terapkan
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 14.2 Keamanan dalam proses pengembangan dan dukungan
ITIL V3, 2011 Strategi Layanan, 5.5 Strategi layanan TI dan pengembangan aplikasi
1. Membuat dan memelihara rencana akuisisi komponen solusi. Pertimbangkan fleksibilitas masa depan untuk penambahan kapasitas, 3
biaya transisi, risiko dan peningkatan selama masa proyek.
2. Tinjau dan setujui semua rencana akuisisi. Pertimbangkan risiko, biaya, manfaat, dan kesesuaian teknis dengan
perusahaan standar arsitektur.
3. Menilai dan mendokumentasikan sejauh mana solusi yang diperoleh membutuhkan adaptasi proses bisnis untuk meningkatkan keuntungan
dari solusi yang diperoleh.
4. Ikuti persetujuan yang diperlukan pada poin keputusan utama selama proses pengadaan.
5. Catat penerimaan semua infrastruktur dan akuisisi perangkat lunak dalam inventaris aset.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Akuisisi Perangkat Lunak SD2.3
171
Halaman 172
1. Mengintegrasikan dan mengkonfigurasi komponen solusi bisnis dan TI serta repositori informasi sesuai dengan spesifikasi yang terperinci 2
dan persyaratan kualitas. Pertimbangkan peran pengguna, pemangku kepentingan bisnis dan pemilik proses dalam konfigurasi
proses bisnis.
2. Lengkapi dan perbarui proses bisnis dan manual operasional, jika perlu, untuk memperhitungkan kustomisasi atau khusus
kondisi unik untuk implementasi.
3. Pertimbangkan semua persyaratan kontrol informasi yang relevan dalam integrasi dan konfigurasi komponen solusi. Sertakan
penerapan kontrol bisnis, jika sesuai, ke dalam kontrol aplikasi otomatis sehingga pemrosesan akurat,
lengkap, tepat waktu, resmi, dan dapat diaudit.
4. Menerapkan jejak audit selama konfigurasi dan integrasi perangkat keras dan perangkat lunak infrastruktur untuk melindungi sumber daya dan 3
memastikan ketersediaan dan integritas.
5. Pertimbangkan kapan efek kustomisasi dan konfigurasi kumulatif (termasuk perubahan kecil yang tidak dikenakan
spesifikasi desain formal) memerlukan penilaian ulang tingkat tinggi dari solusi dan fungsionalitas terkait.
6. Konfigurasi perangkat lunak aplikasi yang diperoleh untuk memenuhi persyaratan pemrosesan bisnis.
7. Tentukan katalog produk dan layanan untuk kelompok sasaran internal dan eksternal yang relevan, berdasarkan kebutuhan bisnis.
HITRUST CSF versi 9, September 2017 10.05 Keamanan dalam Proses Pengembangan & Dukungan
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Sistem SD2.4 Dibangun
BAI03.06 Lakukan jaminan kualitas (QA). Sebuah. Jumlah desain solusi yang dikerjakan ulang karena tidak selaras dengan
Kembangkan, sumber daya, dan jalankan rencana QA yang selaras dengan QMS untuk dipeProelreshyaratan
kualitas yang ditentukan dalam definisi persyaratan dan di perusahaan b. Jumlah dan kekuatan aktivitas monitor terdokumentasi yang dilakukan
Bangunk,eDbiajapkaantkdaann,prdoasenduTremrautpuk. an
Kegiatan Tingkat Kemampuan
1. Menentukan rencana dan praktik QA termasuk, misalnya, spesifikasi kriteria kualitas, proses validasi dan verifikasi, 3
definisi tentang bagaimana kualitas akan ditinjau, kualifikasi yang diperlukan dari pengulas kualitas, dan peran dan tanggung jawab untuk
pencapaian kualitas.
2. Sering memantau kualitas solusi berdasarkan persyaratan proyek, kebijakan perusahaan, kepatuhan terhadap pengembangan 4
metodologi, prosedur manajemen mutu dan kriteria penerimaan.
3. Mempekerjakan, jika sesuai, inspeksi kode, praktik pengembangan yang digerakkan oleh pengujian, pengujian otomatis, integrasi berkelanjutan, berjalan
melalui dan pengujian aplikasi. Laporkan hasil dari proses pemantauan dan pengujian ke perangkat lunak aplikasi
tim pengembangan dan manajemen TI.
4. Pantau semua pengecualian kualitas dan tangani semua tindakan korektif. Simpan catatan semua ulasan, hasil, pengecualian dan
koreksi. Ulangi tinjauan kualitas, jika sesuai, berdasarkan jumlah pengerjaan ulang dan tindakan korektif.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SD1.3 Jaminan Kualitas
172
Halaman 173
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
BAI03.07 Mempersiapkan pengujian solusi. Sebuah. Jumlah pengguna bisnis yang terlibat dalam membuat rencana pengujian
Tetapkan rencana pengujian dan lingkungan yang diperlukan untuk menguji individu danb. Jumlah dan ketahanan kasus penggunaan yang dibuat untuk pengujian
komponen solusi terintegrasi. Sertakan proses bisnis dan
layanan pendukung, aplikasi dan infrastruktur.
1. Buat rencana pengujian dan praktik terintegrasi yang sesuai dengan lingkungan perusahaan dan rencana teknologi strategis. 2
Pastikan bahwa rencana dan praktik pengujian terintegrasi akan memungkinkan pembuatan lingkungan pengujian dan simulasi yang sesuai untuk
membantu memverifikasi bahwa solusi akan berhasil beroperasi di lingkungan hidup dan memberikan hasil yang diinginkan dan kontrol itu
memadai.
2. Buat lingkungan pengujian yang mendukung cakupan penuh solusi. Pastikan bahwa lingkungan pengujian mencerminkan, sedekat mungkin
mungkin, kondisi dunia nyata, termasuk proses dan prosedur bisnis, jangkauan pengguna, jenis transaksi, dan
kondisi penyebaran.
3. Buat prosedur pengujian yang selaras dengan rencana dan praktik serta memungkinkan evaluasi pengoperasian solusi di dunia nyata 3
kondisi. Pastikan bahwa prosedur pengujian mengevaluasi kecukupan kontrol, berdasarkan standar seluruh perusahaan yang ditetapkan
peran, tanggung jawab dan kriteria pengujian, dan disetujui oleh pemangku kepentingan proyek dan sponsor / pemilik proses bisnis.
4. Dokumentasikan dan simpan prosedur pengujian, kasus, kontrol, dan parameter untuk pengujian aplikasi di masa mendatang.
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.10 Pemeliharaan (MA-2, MA-3)
800-53, Revisi 5 (Draf), Agustus 2017
Praktek Manajemen Contoh Metrik
Bangun, Dapatkan, dan Terapkan
BAI03.08 Jalankan pengujian solusi. Sebuah. Jumlah kesalahan yang ditemukan selama pengujian
Selama pengembangan, lakukan pengujian secara terus menerus (termasuk kontrol b. Waktu dan upaya untuk menyelesaikan tes
pengujian), sesuai dengan rencana dan pengembangan pengujian yang ditetapkan
praktek di lingkungan yang sesuai. Libatkan proses bisnis
pemilik dan pengguna akhir di tim pengujian. Identifikasi, catat, dan prioritaskan kesalahan
dan masalah yang teridentifikasi selama pengujian.
Kegiatan Tingkat Kemampuan
1. Melakukan pengujian solusi dan komponennya sesuai dengan rencana pengujian. Sertakan penguji independen dari 2
tim solusi, dengan perwakilan pemilik proses bisnis dan pengguna akhir. Pastikan pengujian hanya dilakukan di dalam
pengembangan dan pengujian lingkungan.
2. Gunakan instruksi tes yang didefinisikan dengan jelas, seperti yang didefinisikan dalam rencana tes. Pertimbangkan keseimbangan yang sesuai antara skrip otomatis
tes dan pengujian pengguna interaktif.
3. Lakukan semua tes sesuai dengan rencana dan praktik tes. Termasuk integrasi proses bisnis dan TI
komponen solusi dan persyaratan nonfungsional (misalnya, keamanan, privasi, interoperabilitas, kegunaan).
4. Identifikasi, catat, dan klasifikasikan (misalnya, kesalahan kecil, signifikan, dan kritis misi) selama pengujian. Ulangi tes sampai semuanya signifikan
kesalahan telah diselesaikan. Pastikan bahwa jejak audit dari hasil tes dipertahankan.
5. Catat hasil pengujian dan komunikasikan hasil pengujian kepada pemangku kepentingan sesuai dengan rencana pengujian.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Pengujian Sistem SD2.5; Pengujian Keamanan SD2.6
Halaman 174
1. Menilai dampak dari semua permintaan perubahan solusi pada pengembangan solusi, kasus bisnis asli, dan anggaran. 3
Kategorikan dan prioritaskan sesuai dengan itu.
2. Lacak perubahan persyaratan, memungkinkan semua pemangku kepentingan untuk memantau, meninjau dan menyetujui perubahan. Pastikan file
hasil dari proses perubahan sepenuhnya dipahami dan disepakati oleh semua pemangku kepentingan dan sponsor / bisnis
pemilik proses.
3. Menerapkan permintaan perubahan, menjaga integritas integrasi dan konfigurasi komponen solusi. Nilai dampaknya
setiap peningkatan solusi utama dan mengklasifikasikannya sesuai dengan kriteria obyektif yang disepakati (seperti persyaratan perusahaan), berdasarkan
pada hasil analisis risiko yang terlibat (seperti dampak pada sistem dan proses yang ada atau keamanan / privasi), biaya-
justifikasi manfaat dan persyaratan lainnya.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SD2.9 Review Pasca-implementasi
1. Mengembangkan dan melaksanakan rencana pemeliharaan komponen solusi. Sertakan tinjauan berkala terhadap kebutuhan bisnis dan 2
persyaratan operasional seperti manajemen patch, strategi peningkatan, risiko, privasi, penilaian kerentanan, dan keamanan
Persyaratan.
2. Menilai pentingnya aktivitas pemeliharaan yang diusulkan pada desain solusi saat ini, fungsionalitas dan / atau bisnis 3
proses. Pertimbangkan risiko, dampak pengguna, dan ketersediaan sumber daya. Pastikan bahwa pemilik proses bisnis memahami efek dari
menunjuk perubahan sebagai pemeliharaan.
3. Jika terjadi perubahan besar pada solusi yang ada yang mengakibatkan perubahan signifikan dalam desain dan / atau fungsionalitas saat ini
dan / atau proses bisnis, ikuti proses pengembangan yang digunakan untuk sistem baru. Untuk pembaruan pemeliharaan, gunakan perubahan
proses manajemen.
Bangun, Dapatkan, dan Terapkan
4. Pastikan pola dan volume kegiatan pemeliharaan dianalisa secara berkala untuk menunjukkan kecenderungan abnormal yang terjadi 4
masalah kualitas atau kinerja yang mendasari, biaya / manfaat peningkatan besar, atau penggantian sebagai pengganti pemeliharaan.
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 14.3 Uji data
BAI03.11 Mendefinisikan produk dan layanan TI serta memelihara layanan tersebuStebuah. Persentase pemangku kepentingan yang menandatangani layanan I&T baru
portofolio. b. Persentase definisi layanan dan tingkat layanan baru atau yang diubah
Tentukan dan setujui produk atau layanan dan layanan TI baru atau yang diubah opsi yang didokumentasikan dalam portofolio layanan.
opsi level. Dokumentasikan definisi produk dan layanan baru atau yang diubah c. Persentase definisi layanan dan tingkat layanan baru atau yang diubah
dan opsi tingkat layanan untuk diperbarui dalam produk dan layanan opsi diperbarui dalam portofolio layanan
portofolio.
174
Halaman 175
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
A.Komponen: Proses (lanjutan)
1. Mengusulkan definisi produk dan layanan TI baru atau yang diubah untuk memastikan bahwa definisi tersebut sesuai dengan tujuannya. Dokumentasikan 3
definisi yang diusulkan dalam daftar portofolio produk dan layanan yang akan dikembangkan.
2. Mengusulkan opsi tingkat layanan baru atau yang diubah (waktu layanan, kepuasan pengguna, ketersediaan, kinerja, kapasitas, keamanan,
privasi, kontinuitas, kepatuhan, dan kegunaan) untuk memastikan bahwa produk dan layanan TI sesuai untuk digunakan. Dokumentasikan yang diusulkan
pilihan layanan dalam portofolio.
3. Antarmuka dengan manajemen hubungan bisnis dan manajemen portofolio untuk menyetujui produk dan layanan yang diusulkan
definisi dan opsi tingkat layanan.
4. Jika perubahan produk atau layanan berada dalam otoritas persetujuan yang disepakati, buat produk dan layanan atau layanan TI yang baru atau diubah
opsi level. Jika tidak, teruskan perubahan tersebut ke manajemen portofolio untuk tinjauan investasi.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
1. Menganalisis dan menilai dampak pemilihan metodologi pengembangan (yaitu, waterfall, Agile, bimodal) pada ketersediaan
3
sumber daya, persyaratan arsitektur, pengaturan konfigurasi, dan kekakuan sistem.
2. Menetapkan metodologi pengembangan yang sesuai dan pendekatan organisasi yang memberikan solusi yang diusulkan secara efisien
dan secara efektif serta mampu memenuhi kebutuhan bisnis, arsitektur dan sistem. Sesuaikan proses sesuai kebutuhan Bangun, Dapatkan, dan Terapkan
strategi yang dipilih.
3. Membentuk tim proyek yang dibutuhkan sebagaimana ditentukan oleh metodologi pengembangan yang dipilih. Berikan pelatihan yang cukup.
4. Pertimbangkan untuk menerapkan sistem ganda, jika diperlukan, di mana kelompok lintas fungsi (pabrik digital) fokus pada pengembangannya
produk atau proses yang menggunakan teknologi, operasional, atau metodologi manajerial yang berbeda dari bagian perusahaan lainnya.
Menanamkan grup ini dalam unit bisnis memiliki keuntungan dalam menyebarkan budaya baru pengembangan dan pembuatan yang gesit
pabrik digital ini mendekati norma.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SD1.1 Metodologi Pengembangan Sistem
175
Halaman 176
ffice.dll
fficer wners
fficer
perations fficer
Petugas echnology HAIAdministrasi
BAI03.11 Mendefinisikan produk dan layanan TI serta memelihara portofolio layanan. SEBUAH RR R
176
Halaman 177
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
APO04.06 Penilaian
inovatif
pendekatan
177
Halaman 178
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
Praktek Manajemen Masukan Keluaran
BAI03.04 Pengadaan komponen solusi. Dari Deskripsi Deskripsi Untuk
BAI03.09 Kelola perubahan persyaratan. APO04.05 Hasil dan Rekam semua yang disetujui BAI06.03
rekomendasi dari dan menerapkan perubahan
bukti dari konsep permintaan
inisiatif
BAI02.01 Rekam kebutuhan
perubahan permintaan
178
Halaman 179
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci Bangun, Dapatkan, dan Terapkan
Pengembangan aplikasi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
B. Bangun — B.1. Aplikasi
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Pengembangan
Pengujian proses bisnis Kerangka Keterampilan untuk Era Informasi V6, 2015 BPTS
Integrasi komponen e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
B. Bangun — B.2. Komponen
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Integrasi
Desain database Kerangka Keterampilan untuk Era Informasi V6, 2015 DBDS
Produksi dokumentasi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016 B. Bangun — B.5. Dokumentasi
Produksi
Desain perangkat keras Kerangka Keterampilan untuk Era Informasi V6, 2015 HWDE
Porting / konfigurasi perangkat lunak Kerangka Keterampilan untuk Era Informasi V6, 2015 PELABUHAN
Arsitektur solusi Kerangka Keterampilan untuk Era Informasi V6, 2015 LENGKUNGAN
Penerapan solusi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
B. Bangun — B.4. Larutan
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Penyebaran
Desain sistem Kerangka Keterampilan untuk Era Informasi V6, 2015 DESN
Pengembangan sistem
pengelolaan Kerangka Keterampilan untuk Era Informasi V6, 2015 DLMG
Rekayasa sistem e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
B. Membangun — B.6. Sistem
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Teknik
179
Halaman 180
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Instalasi sistem /
Kerangka Keterampilan untuk Era Informasi V6, 2015 HSIN
penonaktifan
Integrasi sistem Kerangka Keterampilan untuk Era Informasi V6, 2015 SINT
Menguji e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016 B. Bangun — B.3. Menguji
Desain pengalaman pengguna Kerangka Keterampilan untuk Era Informasi V6, 2015 HCEV
Kebijakan pemeliharaan Mendefinisikan dukungan yang tepat dari peIrnanstgitkuattSlutannadkar Nasional dan 3.10 Pemeliharaan (MA-1)
dan komponen perangkat keras ke Publikasi Khusus Teknologi
memastikan umur aset lebih lama, meningka8t 00- 53, Revisi 5 (Draf),
produktivitas dan pemeliharaan karyawan Agustus 2017
pengalaman pengguna yang dapat diterima.
Kebijakan pengembangan perangkat lunak Standarisasi perangkat lunak
pengembangan di seluruh
organisasi dengan mencantumkan semua protokol
dan standar yang harus diikuti.
Akuisisi sistem dan layanan
Memberikan prosedur untuk menilai, Institut Standar Nasional dan 3.18 Sistem dan layanan
kebijakan
meninjau dan memvalidasi persyaratan Publikasi Khusus Teknologi akuisisi (SA-1)
untuk akuisisi sistem dan 800- 53, Revisi 5 (Draf),
jasa. Agustus 2017
• Layanan pabrik digital, memisahkan "TI cepat" (pabrik digital yang bertanggung jawab untuk mengembangkan aplikasi digital) dari TI inti yang lama
• Evaluasi solusi dan layanan seleksi
• Alat dan layanan pengujian
180
Halaman 181
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Menjaga ketersediaan layanan, manajemen sumber daya yang efisien dan optimalisasi kinerja sistem melalui prediksi kinerja masa depan
dan persyaratan kapasitas.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
AG05 Penyampaian layanan I&T sejalan dengan kebutuhan bisnis
• EG08 Optimalisasi fungsi proses bisnis internal
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Pertimbangkan hal-hal berikut (saat ini dan yang diperkirakan) dalam penilaian ketersediaan, kinerja dan kapasitas layanan dan 2
sumber daya: kebutuhan pelanggan, prioritas bisnis, tujuan bisnis, dampak anggaran, pemanfaatan sumber daya, kemampuan TI
dan tren industri.
2. Mengidentifikasi dan menindaklanjuti semua insiden yang disebabkan oleh kinerja atau kapasitas yang tidak memadai. 3
3. Pantau kinerja aktual dan penggunaan kapasitas terhadap ambang batas yang ditentukan, didukung, jika perlu, dengan otomatis 4
perangkat lunak.
4. Secara teratur mengevaluasi tingkat kinerja saat ini untuk semua tingkat pemrosesan (permintaan bisnis, kapasitas layanan, dan sumber daya
kapasitas) dengan membandingkannya dengan tren dan SLA. Pertimbangkan perubahan lingkungan.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SY2.2 Manajemen Kinerja dan Kapasitas
ISO / IEC 20000-1: 2011 (E) 6.5 Manajemen kapasitas
ITIL V3, 2011 Desain Layanan, 4.4 Manajemen Ketersediaan; 4.5 Manajemen Kapasitas
181
Halaman 182
1. Identifikasi hanya solusi atau layanan yang penting dalam proses manajemen ketersediaan dan kapasitas. 2
2. Petakan solusi atau layanan yang dipilih ke aplikasi dan infrastruktur (TI dan fasilitas) yang mereka andalkan untuk diaktifkan 3
fokus pada sumber daya penting untuk perencanaan ketersediaan.
3. Kumpulkan data tentang pola ketersediaan dari log kegagalan masa lalu dan pemantauan kinerja. Gunakan alat pemodelan yang membantu 4
memprediksi kegagalan berdasarkan tren penggunaan masa lalu dan ekspektasi manajemen terhadap lingkungan baru atau kondisi pengguna.
4. Berdasarkan data yang terkumpul, buat skenario yang menggambarkan situasi ketersediaan di masa depan untuk menggambarkan berbagai potensi
tingkat kapasitas yang diperlukan untuk mencapai obyektif kinerja ketersediaan.
5. Berdasarkan skenario, tentukan kemungkinan bahwa tujuan kinerja ketersediaan tidak akan tercapai.
6. Tentukan dampak skenario pada ukuran kinerja bisnis (misalnya, pendapatan, laba, layanan pelanggan).
Libatkan para pemimpin lini bisnis, fungsional (terutama keuangan) dan daerah untuk memahami evaluasi dampak mereka.
7. Pastikan bahwa pemilik proses bisnis sepenuhnya memahami dan menyetujui hasil analisis ini. Dari pemilik bisnis,
dapatkan daftar skenario risiko yang tidak dapat diterima yang memerlukan respons untuk mengurangi risiko ke tingkat yang dapat diterima.
ISO / IEC 20000-1: 2011 (E) 6.3 Manajemen kesinambungan dan ketersediaan layanan
1. Mengidentifikasi implikasi ketersediaan dan kapasitas dari perubahan kebutuhan bisnis dan peluang peningkatan. Gunakan pemodelan 3
teknik untuk memvalidasi ketersediaan, kinerja dan rencana kapasitas.
Bangun3,. DMaepmaatsktikaann, bdaahwn aTmeranaapjekmaenn melakukan perbandingan permintaan aktual pada sumber daya terhadap
perkiraan penawaran dan permintaan mengevaluasi teknik perkiraan saat ini dan melakukan perbaikan jika memungkinkan.
4. Prioritaskan perbaikan yang diperlukan dan buat rencana ketersediaan dan kapasitas yang dapat dipertanggungjawabkan. 5
5. Menyesuaikan kinerja dan rencana kapasitas dan SLA berdasarkan proses bisnis yang realistis, baru, diusulkan dan / atau diproyeksikan
dan layanan pendukung, aplikasi dan perubahan infrastruktur. Juga termasuk tinjauan kinerja dan kapasitas aktual
penggunaan, termasuk tingkat beban kerja.
ISO / IEC 20000-1: 2011 (E) 5. Desain dan transisi layanan baru yang diubah
182
Halaman 183
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
2. Menetapkan proses pengumpulan data untuk menyediakan manajemen dengan pemantauan dan pelaporan informasi untuk ketersediaan, 3
kinerja dan beban kerja kapasitas dari semua sumber daya terkait I & T.
3. Menyediakan pelaporan hasil secara teratur dalam bentuk yang sesuai untuk ditinjau oleh TI dan manajemen bisnis dan komunikasi 4
untuk manajemen perusahaan.
4. Mengintegrasikan pemantauan dan pelaporan kegiatan dalam kegiatan manajemen kapasitas berulang (pemantauan, analisis, penyetelan dan
implementasi).
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
1. Dapatkan panduan dari manual produk vendor untuk memastikan tingkat ketersediaan kinerja yang sesuai untuk pemrosesan puncak 3
dan beban kerja.
2. Tetapkan prosedur eskalasi untuk resolusi cepat jika kapasitas darurat dan masalah kinerja.
3. Mengidentifikasi kesenjangan kinerja dan kapasitas berdasarkan pemantauan kinerja saat ini dan yang diperkirakan. Gunakan ketersediaan yang diketahui, 4
kesinambungan dan spesifikasi pemulihan untuk mengklasifikasikan sumber daya dan memungkinkan pembuatan prioritas.
4. Tentukan tindakan korektif (misalnya, mengalihkan beban kerja, memprioritaskan tugas atau menambahkan sumber daya saat kinerja dan kapasitas bermasalah 5 Bangun, Dapatkan, dan Terapkan
diidentifikasi).
5. Mengintegrasikan tindakan korektif yang diperlukan ke dalam perencanaan yang sesuai dan proses manajemen perubahan.
fficefrficewr ners
perations
HAI
echnology O
KomKiteepKaElekapsPIeankrlafouosKTtreimfsepBaKasilsieanpOiMAaslrOasniMbtaeajakgeniraaPnjeeTrlaIKyaontinnuitas Bisnis
BAI04.01 Menilai ketersediaan, kinerja dan kapasitas saat ini dan membuat garis dasar. RAR RR
BAI04.05 Menyelidiki dan menangani masalah ketersediaan, kinerja dan kapasitas. RARRRRR
183
Halaman 184
BAI04.01 Menilai ketersediaan saat ini, kinerja dan Dari Deskripsi Deskripsi Untuk
kapasitas dan membuat baseline.
BAI02.01 Definisi persyaratan Evaluasi terhadap SLA APO09.05
gudang
BAI02.03 Risiko persyaratan
Ketersediaan, kinerja Intern
daftar
dan baseline kapasitas
BAI04.02 Menilai dampak bisnis. BAI03.02 Internal dan eksternal
Ketersediaan, kinerja Intern
Tingkatan Jasa
dan bisnis kapasitas
Persetujuan (SLA)
penilaian dampak
Ketersediaan, kinerja Intern
dan skenario kapasitas
BAI04.03 Merencanakan persyaratan layanan baru atau yang diubah. BAI02.01 Penerimaan dikonfirmasi
Performa dan APO02.02
kriteria dari
rencana kapasitas
pemangku kepentingan
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Manajemen ketersediaan Kerangka Keterampilan untuk Era Informasi V6, 2015 AVMT
Manajemen kapasitas Kerangka Keterampilan untuk Era Informasi V6, 2015 CPMG
184
Halaman 185
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
185
Halaman 186
186
Halaman 187
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Memaksimalkan kemungkinan berhasil menerapkan perubahan organisasi perusahaan yang berkelanjutan dengan cepat dan dengan risiko yang lebih rendah. Tutupi
menyelesaikan siklus hidup perubahan dan semua pemangku kepentingan yang terpengaruh dalam bisnis dan TI.
Tujuan
Mempersiapkan dan berkomitmen pemangku kepentingan untuk perubahan bisnis dan mengurangi risiko kegagalan.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
• AG03 Manfaat yang direalisasikan dari investasi dan layanan yang mendukung I & T
• EG05 Budaya layanan berorientasi pelanggan
portofolio
• EG08 Optimalisasi fungsi proses bisnis internal
• AG08 Mengaktifkan dan mendukung proses bisnis dengan mengintegrasikan
• Program transformasi digital terkelola EG12
aplikasi dan teknologi
• AG09 Menyampaikan program tepat waktu, sesuai anggaran dan rapat
persyaratan dan standar kualitas
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
187
Halaman 188
1. Menilai ruang lingkup dan dampak dari perubahan yang dibayangkan, berbagai pemangku kepentingan yang terkena dampak, sifat dari dampaknya 2
dan keterlibatan yang dibutuhkan dari setiap kelompok pemangku kepentingan, serta kesiapan dan kemampuan saat ini untuk mengadopsi perubahan.
2. Untuk membangun keinginan untuk mengubah, mengidentifikasi, memanfaatkan dan mengkomunikasikan poin rasa sakit saat ini, peristiwa negatif, risiko, pelanggan
ketidakpuasan dan masalah bisnis, serta manfaat awal, peluang dan penghargaan masa depan, dan persaingan
keuntungan.
3. Terbitkan komunikasi utama dari komite eksekutif atau CEO untuk menunjukkan komitmen terhadap perubahan.
4. Memberikan kepemimpinan yang terlihat dari manajemen senior untuk menetapkan arah dan untuk menyelaraskan, memotivasi dan menginspirasi para pemangku kepentingan untuk
menginginkan perubahan.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
PROSCI ® Proses Manajemen Perubahan 3-Fase Tahap 1. Mempersiapkan perubahan — Tentukan manajemen perubahan
Anda strategi
Praktek Manajemen Contoh Metrik
2. Ciptakan kepercayaan di dalam tim implementasi inti melalui acara yang direncanakan dengan cermat dengan komunikasi yang efektif dan aktivitas bersama.
PROSCI ® Proses Manajemen Perubahan 3-Fase Fase 1. Mempersiapkan untuk perubahan — Persiapkan tim manajemen perubahan Anda
1. Kembangkan rencana komunikasi visi untuk membahas kelompok audiens inti, profil perilaku, dan informasi mereka 3
persyaratan, saluran komunikasi, dan prinsip.
2. Menyampaikan komunikasi pada tingkat perusahaan yang sesuai, sesuai dengan rencana.
4. Buat semua tingkat kepemimpinan bertanggung jawab untuk mendemonstrasikan visi tersebut.
5. Periksa pemahaman tentang visi yang diinginkan dan tanggapi setiap masalah yang disoroti oleh staf. 4
188
Halaman 189
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
BAI05.04 Memberdayakan pemain peran dan mengidentifikasi kemenangan jangkaSepbeunadhe.kT.ingkat kepuasan para pemain peran yang mengoperasikan, menggunakan, dan
memelihara Berdayakan mereka yang memiliki peran implementasi dengan menetapkan akuntabilitas. perubahan
Memberikan pelatihan dan menyelaraskan struktur organisasi dan proses SDM. b. Persentase pemain peran yang dilatih
Identifikasi dan komunikasikan kemenangan jangka pendek yang penting dari a c. Persentase pemain peran dengan otoritas yang ditugaskan sesuai
perspektif perubahan-pemberdayaan. d. Umpan balik pemain peran pada tingkat pemberdayaan
e. Penilaian diri pemain peran atas kemampuan yang relevan
1. Rencanakan kesempatan pelatihan yang dibutuhkan staf untuk mengembangkan keterampilan dan sikap yang sesuai agar merasa diberdayakan. 2
2. Mengidentifikasi, memprioritaskan, dan memberikan peluang untuk kemenangan cepat. Ini bisa terkait dengan area kesulitan yang diketahui saat ini atau
faktor eksternal yang perlu segera ditangani.
3. Memanfaatkan keuntungan cepat dengan mengkomunikasikan manfaat kepada mereka yang terkena dampak untuk menunjukkan bahwa visi berada pada jalurnya. Sempurnakan
visi, pertahankan agar para pemimpin tetap bergabung dan bangun momentum.
4. Mengidentifikasi struktur organisasi yang sesuai dengan visi; jika perlu, lakukan perubahan untuk memastikan keselarasan. 3
5. Menyelaraskan proses SDM dan sistem pengukuran (misalnya, evaluasi kinerja, keputusan kompensasi, keputusan promosi,
perekrutan dan perekrutan) untuk mendukung visi.
6. Identifikasi dan kelola pemimpin yang terus menolak perubahan yang dibutuhkan.
1. Kembangkan rencana untuk pengoperasian dan penggunaan perubahan. Rencana tersebut harus dikomunikasikan dan dibangun di atas pencapaian cepat yang terw3ujud, alamat
aspek perilaku dan budaya dari transisi yang lebih luas, dan meningkatkan dukungan dan keterlibatan. Pastikan bahwa rencana tersebut mencakup a
pandangan holistik tentang perubahan dan menyediakan dokumentasi (misalnya, prosedur), pendampingan, pelatihan, pembinaan, transfer pengetahuan,
meningkatkan dukungan pasca-go-live segera dan dukungan berkelanjutan.
2. Menerapkan rencana operasi dan penggunaan. Tentukan dan lacak ukuran keberhasilan, termasuk ukuran dan persepsi bisnis yang sulit 4
ukuran yang menunjukkan bagaimana perasaan orang tentang suatu perubahan. Ambil tindakan perbaikan seperlunya.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
PROSCI ® Proses Manajemen Perubahan 3-Fase Fase 2. Mengelola perubahan
2. Rayakan kesuksesan dan terapkan program penghargaan dan pengakuan untuk memperkuat perubahan. 3
3. Memberikan kesadaran berkelanjutan melalui komunikasi reguler tentang perubahan dan penerapannya.
4. Gunakan sistem pengukuran kinerja untuk mengidentifikasi akar penyebab rendahnya adopsi. Lakukan tindakan korektif. 4
5. Lakukan audit kepatuhan untuk mengidentifikasi akar penyebab rendahnya adopsi. Rekomendasikan tindakan korektif.
189
Halaman 190
1. Mempertahankan dan memperkuat perubahan melalui komunikasi reguler yang menunjukkan komitmen manajemen puncak. 2
2. Memberikan pendampingan, pelatihan, pembinaan dan transfer pengetahuan kepada staf baru untuk mempertahankan perubahan. 3
3. Lakukan tinjauan berkala atas operasi dan penggunaan perubahan. Identifikasi perbaikan. 4
4. Menangkap pelajaran yang dipetik berkaitan dengan implementasi perubahan. Bagikan pengetahuan di seluruh perusahaan. 5
ffice.dll
fficefrfice wners
r fficefrficer
fficer
perations
echnology O HAI
Dewan Tata Kelola
Praktik Manajemen Kunci KomKiteepKaElekapsKEeaklkeaupsKeOtaiklfepaupetKIarinfaleafsOpoiSTarOAmlaYaPDAsrigoTOisMteasal
BnOMaisjaneniMrsaPjOaernKroagpejrepraPmoamyeleaennkgKSPeuemrmpoMbabylaeaeankrnMbgaDOajagneanMriyaKaaPnjaeeMnTrlaaaIKjylneaaerunasKmaianoanntainuIintafosrBmisansis
BAI05.01 Menetapkan keinginan untuk berubah. RA RRRRRRR R
Halaman 191
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Komunikasi
manfaat BAI01.06
Kesadaran
Intern
komunikasi
Hasil audit kepatuhan MEA02.02;
MEA03.03
191
Halaman 192
KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Manajemen perubahan bisnis e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
E. Kelola — E.7. Perubahan Bisnis
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Pengelolaan
Ubah perencanaan implementasi
Kerangka Keterampilan untuk Era Informasi V6, 2015 CIPM
dan manajemen
Desain organisasi dan
Kerangka Keterampilan untuk Era Informasi V6, 2015 ORDI
penerapan
Perubahan organisasi
Menyediakan kerangka kerja dan
kebijakan manajemen
menguraikan prinsip-prinsip untuk mengelola
perubahan organisasi. Merefleksikan
undang-undang saat ini dan menyediakan
manajemen orang yang baik
praktik; memastikan konsisten
pendekatan untuk mengelola perubahan
di seluruh organisasi.
Mewujudkan nilai dari investasi yang mendukung I & T membutuhkan lebih dari
memberikan solusi dan layanan I&T. Ini juga membutuhkan perubahan pada
proses bisnis, keterampilan dan kompetensi, budaya dan perilaku, dll.,
semuanya harus dimasukkan dalam kasus bisnis untuk investasi.
Kepemimpinan harus menciptakan budaya perubahan yang berkelanjutan melalui fleksibilitas,
keterbukaan dan kepercayaan diri serta membangun manajemen perubahan yang sesuai
dukungan dan komunikasi.
192
Halaman 193
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Kelola semua perubahan secara terkendali, termasuk perubahan standar dan pemeliharaan darurat yang berkaitan dengan proses bisnis, aplikasi
dan infrastruktur. Ini termasuk standar dan prosedur perubahan, penilaian dampak, penentuan prioritas dan otorisasi, perubahan darurat,
pelacakan, pelaporan, penutupan, dan dokumentasi.
Tujuan
Memungkinkan pengiriman perubahan bisnis yang cepat dan andal. Mengurangi risiko berdampak negatif pada stabilitas atau integritas lingkungan yang berubah.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
AG06 Kelincahan untuk mengubah persyaratan bisnis menjadi solusi operasional
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
BAI06.01 Mengevaluasi, memprioritaskan, dan mengotorisasi permintaan perubahaSneb. uah. Jumlah pengerjaan ulang yang disebabkan oleh perubahan yang Bangun, Dapatkan, dan Terapkan
gagal
Evaluasi semua permintaan perubahan untuk menentukan dampaknya pada bisnis b. Persentase perubahan yang tidak berhasil karena dampak yang tidak memadai
proses dan layanan I&T, dan untuk menilai apakah perubahan akan merugikan penilaian
mempengaruhi lingkungan operasional dan menimbulkan risiko yang tidak dapat diterima.
Pastikan bahwa perubahan dicatat, diprioritaskan, dikategorikan, dinilai,
disahkan, direncanakan dan dijadwalkan.
1. Gunakan permintaan perubahan formal untuk memungkinkan pemilik proses bisnis dan TI meminta perubahan pada proses bisnis, infrastruktur, 2
sistem atau aplikasi. Pastikan bahwa semua perubahan tersebut hanya muncul melalui proses manajemen permintaan perubahan.
2. Kategorikan semua perubahan yang diminta (misalnya, proses bisnis, infrastruktur, sistem operasi, jaringan, sistem
aplikasi, membeli / perangkat lunak aplikasi yang dikemas) dan menghubungkan item konfigurasi yang terpengaruh.
3. Memprioritaskan semua perubahan yang diminta berdasarkan persyaratan bisnis dan teknis; sumber daya yang dibutuhkan; dan hukum, peraturan
dan alasan kontrak untuk perubahan yang diminta.
4. Secara resmi menyetujui setiap perubahan oleh pemilik proses bisnis, manajer layanan dan pemangku kepentingan teknis TI, yang sesuai.
Perubahan yang berisiko rendah dan relatif sering harus disetujui sebelumnya sebagai perubahan standar.
5. Rencanakan dan jadwalkan semua perubahan yang disetujui.
6. Merencanakan dan mengevaluasi semua permintaan dengan cara yang terstruktur. Sertakan analisis dampak pada proses bisnis, infrastruktur, sistem 3
dan aplikasi, rencana kesinambungan bisnis (BCP) dan penyedia layanan untuk memastikan bahwa semua komponen yang terpengaruh telah
teridentifikasi. Menilai kemungkinan berdampak buruk pada lingkungan operasional dan risiko penerapan perubahan.
Pertimbangkan implikasi keamanan, privasi, hukum, kontrak, dan kepatuhan dari perubahan yang diminta. Pertimbangkan juga antar-
ketergantungan antar perubahan. Libatkan pemilik proses bisnis dalam proses penilaian, jika sesuai.
7. Mempertimbangkan dampak penyedia layanan yang dikontrak (misalnya, pemrosesan bisnis yang dialihdayakan, infrastruktur,
aplikasi pengembangan dan layanan bersama) pada proses manajemen perubahan. Sertakan integrasi manajemen perubahan organisasi
proses dengan proses manajemen perubahan penyedia layanan dan dampaknya pada persyaratan kontrak dan SLA.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SY2.4 Manajemen Perubahan
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4.6 Lakukan Kontrol Perubahan Terintegrasi
193
Halaman 194
2. Pastikan bahwa prosedur terdokumentasi ada untuk menyatakan, menilai, menyetujui lebih awal, memberi otorisasi setelah perubahan dan mencatat
perubahan darurat.
3. Pastikan bahwa semua pengaturan akses darurat untuk perubahan telah diotorisasi dengan tepat, didokumentasikan dan dicabut setelah 3
perubahan telah diterapkan.
4. Pantau semua perubahan darurat dan lakukan review pasca implementasi yang melibatkan semua pihak terkait. Review harus 4
mempertimbangkan dan memulai tindakan korektif berdasarkan akar penyebab seperti masalah dengan proses bisnis, sistem aplikasi
pengembangan dan pemeliharaan, lingkungan pengembangan dan pengujian, dokumentasi dan manual, dan integritas data.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
BAI06.03 Melacak dan melaporkan status perubahan. Sebuah. Jumlah dan usia permintaan perubahan yang ditunggak
Menjaga sistem pelacakan dan pelaporan untuk mendokumentasikan perubahan yang ditobl.aPkersentase status permintaan perubahan yang dilaporkan kepada pemangku kepentingan di a
dan mengkomunikasikan status disetujui, dalam proses dan selesai secara tepat waktu
perubahan. Pastikan bahwa perubahan yang disetujui diterapkan sebagai
berencana.
1. Kategorikan permintaan perubahan dalam proses pelacakan (misalnya, ditolak, disetujui tetapi belum dimulai, disetujui dan dalam proses, 4
dan ditutup).
2. Menerapkan laporan status perubahan dengan metrik kinerja untuk memungkinkan tinjauan manajemen dan pemantauan baik secara rinci
status perubahan dan keadaan keseluruhan (misalnya, analisis usia permintaan perubahan). Pastikan bahwa laporan status membentuk jejak audit
sehingga perubahan selanjutnya dapat dilacak dari awal hingga disposisi akhir.
3. Pantau perubahan terbuka untuk memastikan bahwa semua perubahan yang disetujui ditutup tepat waktu, tergantung pada prioritas.
1. Sertakan perubahan dalam dokumentasi dalam prosedur manajemen. Contoh dokumentasi termasuk bisnis dan 2
Prosedur operasional TI, kelanjutan bisnis dan dokumentasi pemulihan bencana, informasi konfigurasi, aplikasi
dokumentasi, layar bantuan, dan materi pelatihan.
2. Tentukan periode penyimpanan yang sesuai untuk dokumentasi perubahan dan sistem sebelum dan sesudah perubahan dan dokumentasi pengguna. 3
194
Halaman 195
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
fficewr ners
perations fficer
HAI
KepParlaosMIensafoBnMraimsjanenaiPrssaePijOneOrgKroegpemrpraMobamylaaennkMbgaajagneniMraKaPnjaeeenpTPrlaIrKjyliaevaeransKmainoOanntainuIintafosrBmisansis
BAI06.01 Mengevaluasi, memprioritaskan, dan mengotorisasi permintaan perubahan. AR RRRRRR
Halaman 196
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Ubah manajemen Kerangka Keterampilan untuk Era Informasi V6, 2015 CHMG
Ubah dukungan e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
Profesional di semua sektor industri - Bagian 1: Kerangka, 2016 C. Jalankan - C.2. Ubah Dukungan
Halaman 197
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Secara resmi menerima dan membuat solusi baru yang operasional. Termasuk perencanaan implementasi, sistem dan konversi data, pengujian penerimaan,
komunikasi, persiapan rilis, promosi ke produksi proses bisnis baru atau yang diubah dan layanan I&T, dukungan produksi awal, dan
tinjauan pasca-implementasi.
Tujuan
Menerapkan solusi dengan aman dan sesuai dengan harapan dan hasil yang disepakati.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
AG06 Kelincahan untuk mengubah persyaratan bisnis menjadi solusi operasional
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Membuat rencana implementasi yang mencerminkan strategi implementasi yang luas, urutan langkah-langkah implementasi, 2
kebutuhan sumber daya, ketergantungan, kriteria penerimaan manajemen dari pelaksanaan produksi, instalasi
persyaratan verifikasi, strategi transisi untuk dukungan produksi, dan pembaruan rencana kesinambungan bisnis.
2. Dari penyedia solusi eksternal, dapatkan komitmen atas keterlibatan mereka dalam setiap langkah implementasi.
4. Konfirmasikan bahwa semua rencana implementasi disetujui oleh pemangku kepentingan teknis dan bisnis dan ditinjau oleh audit internal, sebagaimana 3
sesuai.
5. Meninjau secara formal risiko teknis dan bisnis yang terkait dengan implementasi. Pastikan bahwa risiko utama dipertimbangkan dan
dibahas dalam proses perencanaan.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
ITIL V3, 2011 Transisi Layanan, 4.1 Perencanaan dan Dukungan Transisi
197
Halaman 198
KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN
A.Komponen: Proses (lanjutan)
1. Tentukan proses bisnis, data layanan I&T, dan rencana migrasi infrastruktur. Dalam mengembangkan rencana, pertimbangkan, misalnya, 2
perangkat keras, jaringan, sistem operasi, perangkat lunak, data transaksi, file master, backup dan arsip, antarmuka dengan lainnya
sistem (baik internal maupun eksternal), kemungkinan persyaratan kepatuhan, prosedur bisnis, dan dokumentasi sistem.
2. Dalam rencana konversi proses bisnis, pertimbangkan semua penyesuaian yang diperlukan untuk prosedur, termasuk peran yang direvisi dan
tanggung jawab dan prosedur pengendalian.
3. Pastikan bahwa rencana konversi data tidak memerlukan perubahan nilai data kecuali benar-benar diperlukan untuk bisnis
alasan. Perubahan dokumen dilakukan pada nilai data, dan mendapatkan persetujuan dari pemilik data proses bisnis.
4. Rencanakan penyimpanan data cadangan dan arsip agar sesuai dengan kebutuhan bisnis dan persyaratan peraturan atau kepatuhan.
6. Koordinasikan dan verifikasi waktu dan kelengkapan pengalihan konversi sehingga ada transisi yang mulus dan berkelanjutan
tidak ada kehilangan data transaksi. Jika perlu, jika tidak ada alternatif lain, bekukan operasi langsung.
7. Rencanakan untuk mencadangkan semua sistem dan data yang diambil pada titik sebelum konversi. Pertahankan jejak audit untuk memungkinkan terjadinya konversi
menelusuri kembali. Pastikan bahwa ada rencana pemulihan yang mencakup rollback migrasi dan fallback ke pemrosesan sebelumnya jika
migrasi gagal.
8. Dalam rencana konversi data, gabungkan metode untuk mengumpulkan, mengubah dan memverifikasi data yang akan dikonversi, dan mengidentifikasi 3
dan mengatasi kesalahan yang ditemukan selama konversi. Sertakan membandingkan data asli dan yang dikonversi untuk kelengkapan
dan integritas.
9. Mempertimbangkan risiko masalah konversi, perencanaan kesinambungan bisnis dan prosedur fallback dalam proses bisnis, data
dan rencana migrasi infrastruktur di mana terdapat manajemen risiko, kebutuhan bisnis atau persyaratan regulasi / kepatuhan.
ITIL V3, 2011 Transisi Layanan, 4.1 Perencanaan dan Dukungan Transisi
198
Halaman 199
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Mengembangkan dan mendokumentasikan rencana pengujian, yang sejalan dengan program, rencana kualitas proyek dan standar organisasi yang relevan. 2
Berkomunikasi dan berkonsultasi dengan pemilik proses bisnis dan pemangku kepentingan TI yang sesuai.
2. Pastikan bahwa rencana pengujian mencerminkan penilaian risiko dari proyek dan semua persyaratan fungsional dan teknis
diuji. Berdasarkan penilaian risiko kegagalan sistem dan kesalahan implementasi, termasuk dalam persyaratan rencana untuk
kinerja, stres, kegunaan, pilot, pengujian keamanan, dan privasi.
3. Pastikan bahwa rencana pengujian memenuhi kebutuhan potensial untuk akreditasi internal atau eksternal hasil dari proses pengujian
(misalnya, persyaratan keuangan atau peraturan).
4. Pastikan bahwa rencana pengujian mengidentifikasi sumber daya yang diperlukan untuk melaksanakan pengujian dan mengevaluasi hasil. Contoh sumber daya mungkin
menjadi konstruksi lingkungan pengujian dan penggunaan waktu staf untuk kelompok pengujian, termasuk potensi penggantian pengujian sementara
staf di lingkungan produksi atau pengembangan. Pastikan bahwa para pemangku kepentingan diajak berkonsultasi tentang implikasi sumber daya dari
rencana pengujian.
5. Pastikan bahwa rencana pengujian mengidentifikasi tahapan pengujian yang sesuai dengan persyaratan operasional dan lingkungan. Contoh dari
Tahapan pengujian tersebut meliputi uji unit, uji sistem, uji integrasi, uji penerimaan pengguna, uji kinerja, uji stres, data
uji konversi, uji keamanan, uji privasi, uji kesiapan operasional, dan uji cadangan dan pemulihan.
6. Konfirmasikan bahwa rencana pengujian mempertimbangkan persiapan ujian (termasuk persiapan lokasi), persyaratan pelatihan, pemasangan atau an
pembaruan lingkungan pengujian yang ditentukan, merencanakan / melakukan / mendokumentasikan / mempertahankan kasus pengujian, kesalahan dan penanganan masalah,
koreksi dan eskalasi, dan persetujuan formal.
7. Konfirmasikan bahwa semua rencana pengujian disetujui oleh pemangku kepentingan, termasuk pemilik proses bisnis dan TI, sebagaimana mestinya.
Pemangku kepentingan mungkin termasuk manajer pengembangan aplikasi, manajer proyek dan pengguna akhir proses bisnis.
8. Pastikan bahwa rencana pengujian menetapkan kriteria yang jelas untuk mengukur keberhasilan pelaksanaan setiap tahap pengujian. Konsultasikan 3
pemilik proses bisnis dan pemangku kepentingan TI dalam menentukan kriteria keberhasilan. Tentukan bahwa rencana tersebut menetapkan
perbaikan prosedur ketika kriteria sukses tidak terpenuhi. Misalnya, jika ada kegagalan yang signifikan dalam tahap pengujian, rencanakan
harus memberikan panduan apakah akan melanjutkan ke fase berikutnya, menghentikan pengujian, atau menunda implementasi.
Bangun, Dapatkan, dan Terapkan
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
1. Buat database data uji yang mewakili lingkungan produksi. Sanitasi data yang digunakan dalam pengujian 2
lingkungan dari lingkungan produksi sesuai dengan kebutuhan bisnis dan standar organisasi. Sebagai contoh,
pertimbangkan apakah kepatuhan atau persyaratan peraturan mewajibkan penggunaan data yang disterilkan.
2. Lindungi data dan hasil pengujian yang sensitif terhadap pengungkapan, termasuk akses, penyimpanan, penyimpanan, dan penghancuran. Pertimbangkan 3
pengaruh interaksi sistem organisasi dengan pihak ketiga.
3. Menerapkan proses untuk memungkinkan penyimpanan atau pembuangan hasil tes, media dan dokumentasi terkait lainnya yang sesuai
akan memungkinkan tinjauan yang memadai dan analisis selanjutnya atau pengujian ulang yang efisien seperti yang dipersyaratkan oleh rencana pengujian. Pertimbangkan efek dari
peraturan atau persyaratan kepatuhan.
4. Pastikan bahwa lingkungan pengujian mewakili lanskap bisnis dan operasional masa depan. Cantumkan proses bisnis
prosedur dan peran, kemungkinan tekanan beban kerja, sistem operasi, perangkat lunak aplikasi yang diperlukan, manajemen basis data
sistem, dan infrastruktur jaringan dan komputasi yang ditemukan di lingkungan produksi.
5. Pastikan bahwa lingkungan pengujian aman dan tidak dapat berinteraksi dengan sistem produksi.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
199
Halaman 200
BAI07.05 Lakukan tes penerimaan. Sebuah. Jumlah kesenjangan yang teridentifikasi antara hasil tes penerimaan dan
Perubahan pengujian secara independen, sesuai dengan rencana pengujian yang ditentukan, kriteria sukses yang ditentukan
sebelum migrasi ke lingkungan operasional hidup. b. Jumlah tes penerimaan yang berhasil
1. Tinjau log kesalahan yang dikategorikan yang ditemukan dalam proses pengujian oleh tim pengembangan. Verifikasi bahwa semua kesalahan telah terjadi 2
diperbaiki atau diterima secara resmi.
2. Mengevaluasi penerimaan akhir terhadap kriteria keberhasilan dan menafsirkan hasil pengujian penerimaan akhir. Sajikan dalam a 3
formulir yang dapat dipahami oleh pemilik proses bisnis dan TI, sehingga tinjauan dan evaluasi yang diinformasikan dapat dilakukan.
3. Menyetujui penerimaan, dengan persetujuan resmi oleh pemilik proses bisnis, pihak ketiga (sebagaimana mestinya) dan TI
pemangku kepentingan sebelum promosi.
4. Pastikan bahwa pengujian perubahan dilakukan sesuai dengan rencana pengujian. Pastikan pengujian dirancang dan
dilakukan oleh kelompok uji yang independen dari tim pengembangan. Perhatikan sejauh mana proses bisnisnya
pemilik dan pengguna akhir terlibat dalam grup pengujian. Pastikan pengujian hanya dilakukan di dalam lingkungan pengujian.
5. Pastikan bahwa pengujian dan hasil yang diharapkan sesuai dengan kriteria keberhasilan yang ditetapkan yang ditetapkan dalam rencana pengujian.
6. Pertimbangkan untuk menggunakan instruksi tes (skrip) yang didefinisikan dengan jelas untuk mengimplementasikan tes. Pastikan bahwa kelompok uji independen
menilai dan menyetujui setiap skrip pengujian untuk mengonfirmasi bahwa itu secara memadai memenuhi kriteria keberhasilan pengujian yang ditetapkan dalam rencana pengujian.
Pertimbangkan untuk menggunakan skrip untuk memverifikasi sejauh mana sistem memenuhi persyaratan keamanan dan privasi.
7. Pertimbangkan keseimbangan yang tepat antara pengujian skrip otomatis dan pengujian pengguna interaktif.
8. Lakukan pengujian keamanan sesuai dengan rencana pengujian. Ukur sejauh mana kelemahan atau celah keamanan. Mempertimbangkan
efek insiden keamanan sejak pembangunan rencana pengujian. Pertimbangkan efeknya pada akses dan kontrol batas.
Pertimbangkan privasi.
9. Melakukan pengujian kinerja sistem dan aplikasi sesuai dengan rencana pengujian. Pertimbangkan berbagai performa
metrik (misalnya, waktu respons pengguna akhir dan kinerja pembaruan sistem manajemen basis data).
10. Saat melakukan pengujian, pastikan bahwa elemen fallback dan rollback dari rencana pengujian telah ditangani.
11. Identifikasi, catat, dan klasifikasikan (mis., Kesalahan kecil, signifikan, kritis-misi) selama pengujian. Pastikan bahwa audit jejak hasil tes
tersedia. Sesuai dengan rencana pengujian, komunikasikan hasil pengujian kepada pemangku kepentingan untuk memfasilitasi perbaikan bug dan
peningkatan kualitas lebih lanjut.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
ITIL V3, 2011 Transisi Layanan, 4.5 Validasi dan Pengujian Layanan
Praktek Manajemen Contoh Metrik
Bangun, Dapatkan, dan Terapkan
BAI07.06 Mempromosikan ke produksi dan mengelola rilis. Sebuah. Jumlah dan persen rilis tidak siap untuk rilis sesuai jadwal
Mempromosikan solusi yang diterima untuk bisnis dan operasi. Dimana b. Persentase kepuasan pemangku kepentingan dengan solusi yang diterapkan
sesuai, jalankan solusi sebagai implementasi percontohan atau secara paralel dengan
solusi lama untuk jangka waktu tertentu dan membandingkan perilaku dan hasil.
Jika terjadi masalah yang signifikan, kembalikan ke lingkungan asli berdasarkan
rencana fallback / back-up. Kelola rilis komponen solusi.
Kegiatan Tingkat Kemampuan
1. Mempersiapkan pengalihan prosedur bisnis dan layanan pendukung, aplikasi dan infrastruktur dari pengujian ke 2
lingkungan produksi sesuai dengan standar manajemen perubahan organisasi.
2. Tentukan sejauh mana implementasi percontohan atau pemrosesan paralel dari sistem lama dan baru sejalan dengan
rencana implementasi.
3. Segera perbarui proses bisnis dan dokumentasi sistem yang relevan, informasi konfigurasi dan rencana kontinjensi
dokumen, sebagaimana mestinya.
4. Pastikan semua pustaka media diperbarui segera dengan versi komponen solusi yang ditransfer dari pengujian
ke lingkungan produksi. Arsipkan versi yang ada dan dokumentasi pendukungnya. Pastikan promosi itu ke
produksi sistem, perangkat lunak aplikasi, dan infrastruktur berada di bawah kendali konfigurasi.
5. Jika distribusi komponen solusi dilakukan secara elektronik, kontrol distribusi otomatis untuk memastikan bahwa pengguna melakukannya
diberitahukan, dan distribusi terjadi hanya untuk tujuan yang berwenang dan diidentifikasi dengan benar. Dalam proses rilis, sertakan
cadangan prosedur untuk memungkinkan distribusi perubahan ditinjau jika terjadi kegagalan fungsi atau kesalahan.
6. Di mana distribusi mengambil bentuk fisik, simpanlah catatan resmi tentang barang apa yang telah didistribusikan, kepada siapa, di mana mereka telah
diimplementasikan, dan ketika masing-masing telah diperbarui.
200
Halaman 201
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
ISO / IEC 20000-1: 2011 (E) 9.3 Manajemen rilis dan penyebaran
BAI07.07 Memberikan dukungan produksi awal. Sebuah. Jumlah sumber daya sistem I&T tambahan yang disediakan untuk dukungan
Untuk jangka waktu yang disepakati, berikan dukungan awal kepada pengguna dan I&T b. Jumlah sumber daya staf tambahan yang disediakan untuk dukungan
operasi untuk menyelesaikan masalah dan membantu menstabilkan solusi baru.
Kegiatan Tingkat Kemampuan
1. Sediakan sumber daya tambahan, sesuai kebutuhan, untuk pengguna akhir dan personel pendukung sampai rilis stabil. 3
2. Menyediakan sumber daya sistem I&T tambahan, sebagaimana diperlukan, hingga rilis berada dalam lingkungan operasional yang stabil.
1. Menetapkan prosedur untuk memastikan bahwa tinjauan pasca implementasi mengidentifikasi, menilai dan melaporkan sejauh mana
peristiwa berikut telah terjadi: persyaratan perusahaan telah terpenuhi; manfaat yang diharapkan telah terwujud; sistem 3
Bangun, Dapatkan, dan Terapkan
dianggap dapat digunakan; harapan pemangku kepentingan internal dan eksternal terpenuhi; dampak tak terduga pada perusahaan miliki
terjadi; risiko utama dimitigasi; dan manajemen perubahan, proses instalasi dan akreditasi dilakukan
efektif dan efisien.
2. Berkonsultasi dengan pemilik proses bisnis dan manajemen teknis TI dalam pemilihan metrik untuk pengukuran keberhasilan dan
pencapaian persyaratan dan manfaat. 4
3. Melakukan review pasca implementasi sesuai dengan proses manajemen perubahan organisasi. Libatkan bisnis
memproses pemilik dan pihak ketiga, sebagaimana mestinya.
4. Pertimbangkan persyaratan untuk tinjauan pasca-implementasi yang timbul dari bisnis luar dan TI (misalnya, audit internal, ERM,
kepatuhan).
5. Setuju dan terapkan rencana tindakan untuk mengatasi masalah yang diidentifikasi dalam tinjauan pasca-implementasi. Libatkan bisnis 5
pemilik proses dan manajemen teknis TI dalam pengembangan rencana tindakan.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Halaman 202
fficewr ners
perations fficer
HAI
ARRR RRR
BAI07.03 Tes penerimaan rencana. AR RR RRR
BAI07.02 Merencanakan proses bisnis, sistem dan data Rencana migrasi DSS06.02
konversi.
Halaman 203
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
Evaluasi penerimaan
hasil BAI01.06
BAI07.07 Memberikan dukungan produksi awal. APO11.02 Hasil kualitas Dukungan tambahan APO08.04;
layanan, termasuk rencana APO08,05;
Timbal balik pelanggan DSS02.04
BAI05.05 Ukuran keberhasilan dan
hasil
BAI07.08 Lakukan review pasca implementasi. APO11.03 • Hasil solusi dan
Rencana tindakan perbaikan BAI01.09; Bangun, Dapatkan, dan Terapkan
kualitas layanan pengiriman
BAI 11.09
pemantauan
• Akar penyebab kualitas
kegagalan pengiriman
APO11.04 Hasil review berkualitas
Pasca implementasi BAI01.09;
dan audit
meninjau laporan BAI 11.09
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Pengujian proses bisnis Kerangka Keterampilan untuk Era Informasi V6, 2015 BPTS
Rilis dan penerapan Kerangka Keterampilan untuk Era Informasi V6, 2015 RELM
Penerimaan layanan Kerangka Keterampilan untuk Era Informasi V6, 2015 SEAC
Menguji Kerangka Keterampilan untuk Era Informasi V6, 2015 UJI
Evaluasi pengalaman pengguna Kerangka Keterampilan untuk Era Informasi V6, 2015 USEV
203
Halaman 204
204
Halaman 205
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Menjaga ketersediaan pengetahuan dan informasi manajemen yang relevan, terkini, tervalidasi dan andal untuk mendukung semua aktivitas proses
dan untuk memfasilitasi pengambilan keputusan yang terkait dengan tata kelola dan manajemen I&T perusahaan. Rencanakan identifikasi, pengumpulan, pengorganisasian,
memelihara, menggunakan, dan menghentikan pengetahuan.
Tujuan
Memberikan pengetahuan dan informasi yang diperlukan untuk mendukung semua staf dalam tata kelola dan manajemen perusahaan I&T dan memungkinkan untuk diinformasikan
pengambilan keputusan.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
• AG12 Staf yang kompeten dan termotivasi dengan saling pengertian
• EG10 Keterampilan, motivasi dan produktivitas staf
teknologi dan bisnis
• EG13 Produk dan inovasi bisnis
• AG13 Pengetahuan, keahlian dan inisiatif untuk inovasi bisnis
https://translate.googleusercontent.com/translate_f 169/25
4/23/2021 Tujuan Tata Kelola dan Manajemen
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
EG01 a. Persentase produk dan layanan yang memenuhi atau melebihi AG12 a. Persentase pebisnis yang paham I & T (yaitu, mereka yang memiliki
target pendapatan dan / atau pangsa pasar pengetahuan dan pemahaman yang diperlukan tentang I&T untuk memandu,
b. Persentase produk dan layanan yang memenuhi atau melebihi mengarahkan, berinovasi, dan melihat peluang I&T di domain mereka
target kepuasan pelanggan keahlian bisnis)
c. Persentase produk dan layanan yang menyediakan b. Persentase orang I&T yang paham bisnis (yaitu, mereka yang memiliki ekstensi
keunggulan kompetitif pengetahuan dan pemahaman yang dibutuhkan tentang bisnis yang relevan
d. Saatnya memasarkan produk dan layanan baru domain untuk memandu, mengarahkan, berinovasi, dan melihat peluang I&T
untuk domain bisnis)
c. Jumlah atau persentase pebisnis yang memiliki teknologi
pengalaman manajemen Bangun, Dapatkan, dan Terapkan
EG10 a. Produktivitas staf dibandingkan dengan tolok ukur AG13 a. Tingkat kesadaran dan pemahaman eksekutif bisnis
b. Tingkat kepuasan pemangku kepentingan dengan keahlian staf kemungkinan inovasi I&T
dan keterampilan b. Jumlah inisiatif yang disetujui sebagai hasil dari inovasi
c. Persentase staf yang keterampilannya tidak mencukupi Ide I&T
kompetensi dalam peran mereka c. Jumlah juara inovasi yang diakui / diberikan
d. Persentase staf yang puas
205
Halaman 206
A. Komponen: Proses
BAI08.01 Mengidentifikasi dan mengklasifikasikan sumber informasi untuk tata keSloelbauah. Persentase informasi yang dikategorikan divalidasi
dan manajemen I&T. b. Persentase kesesuaian jenis konten, artefak, dan terstruktur
Mengidentifikasi, memvalidasi dan mengklasifikasikan beragam sumber internal dan eksterndan informasi tidak
terstruktur informasi yang diperlukan untuk memungkinkan tata kelola dan manajemen I&T,
termasuk dokumen strategi, laporan insiden, dan konfigurasi
informasi yang berkembang dari pengembangan ke operasi sebelumnya
akan hidup.
Kegiatan Tingkat Kemampuan
1. Identifikasi calon pengguna pengetahuan, termasuk pemilik informasi yang mungkin perlu menyumbangkan dan menyetujui pengetahuan. 2
Dapatkan persyaratan pengetahuan dan sumber informasi dari pengguna yang teridentifikasi.
2. Pertimbangkan jenis konten (prosedur, proses, struktur, konsep, kebijakan, aturan, fakta, klasifikasi), artefak
(dokumen, rekaman, video, suara), dan informasi terstruktur dan tidak terstruktur (pakar, media sosial, email, pesan suara, Rich
Umpan Ringkasan Situs (RSS)).
3. Klasifikasi sumber informasi berdasarkan skema klasifikasi konten (misalnya, model arsitektur informasi). Sumber peta 3
informasi ke skema klasifikasi.
4. Kumpulkan, susun, dan validasi sumber informasi berdasarkan kriteria validasi informasi (misalnya, dapat dimengerti, relevan, 4
kepentingan, integritas, akurasi, konsistensi, kerahasiaan, mata uang dan keandalan).
BAI08.02 Mengatur dan mengontekstualisasikan informasi menjadi pengetahuan. Sebuah. Jumlah hubungan yang teridentifikasi di antara sumber informasi
Atur informasi berdasarkan kriteria klasifikasi. Identifikasi dan ciptakan (penandaan)
hubungan yang bermakna di antara elemen informasi dan memungkinkan penggunaan b. Persentase kepuasan pemangku kepentingan dengan organisasi dan
informasi. Identifikasi pemilik, dan manfaatkan serta terapkan perusahaan- kontekstualisasi informasi menjadi pengetahuan
tingkat informasi yang ditentukan dari akses ke informasi manajemen dan
sumber pengetahuan.
Kegiatan Tingkat Kemampuan
1. Mengidentifikasi atribut bersama dan mencocokkan sumber informasi, menciptakan hubungan di antara kumpulan informasi (informasi 3
https://translate.googleusercontent.com/translate_f 170/25
penandaan).
2. Buat tampilan ke kumpulan data terkait, dengan mempertimbangkan pemangku kepentingan dan persyaratan organisasi.
3. Merancang dan menerapkan skema untuk mengelola pengetahuan tidak terstruktur yang tidak tersedia melalui sumber formal (misalnya, pengetahuan ahli).
Bangun, Dapatkan, dan Terapkan
4. Publikasikan dan buat pengetahuan dapat diakses oleh pemangku kepentingan terkait, berdasarkan peran dan mekanisme akses.
COSO Enterprise Risk Management, Juni 2017 10. Informasi, Komunikasi, dan Pelaporan - Prinsip 18
BAI08.03 Menggunakan dan berbagi pengetahuan. Sebuah. Persen dari pengetahuan yang tersedia benar-benar digunakan
Menyebarkan sumber daya pengetahuan yang tersedia kepada pemangku kepentingan terbk.aPitedrasenntase kepuasan pengguna pengetahuan
mengkomunikasikan bagaimana sumber daya ini dapat digunakan untuk memenuhi kebutuhan yang berbeda
(misalnya, pemecahan masalah, pembelajaran, perencanaan strategis dan pengambilan keputusan).
1. Tetapkan ekspektasi manajemen dan tunjukkan sikap yang sesuai mengenai kegunaan pengetahuan dan kebutuhan untuk 2
berbagi pengetahuan terkait tata kelola dan pengelolaan I&T perusahaan.
3. Mentransfer pengetahuan kepada pengguna pengetahuan, berdasarkan analisis kesenjangan kebutuhan dan teknik pembelajaran yang efektif. Buat 3
lingkungan, alat dan artefak yang mendukung berbagi dan transfer pengetahuan. Pastikan kontrol akses yang sesuai tersedia
tempat, sesuai dengan klasifikasi pengetahuan yang ditentukan.
4. Mengukur penggunaan alat dan elemen pengetahuan dan mengevaluasi dampaknya pada proses tata kelola. 4
5. Meningkatkan informasi dan pengetahuan untuk proses tata kelola yang menunjukkan kesenjangan pengetahuan. 5
206
Halaman 207
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
CMMI Cybermaturity Platform, 2018 PP.IS Menerapkan Berbagi Informasi; IR.ES Pastikan Berbagi informasi
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4.4 Mengelola pengetahuan proyek
1. Tentukan kontrol untuk pensiun pengetahuan dan pensiun pengetahuan yang sesuai. 3
2. Mengevaluasi kegunaan, relevansi dan nilai elemen pengetahuan. Perbarui informasi usang yang masih memiliki relevansi dan 4
nilai bagi organisasi. Identifikasi informasi terkait yang tidak lagi relevan dengan persyaratan pengetahuan perusahaan dan
pensiun atau arsipkan sesuai dengan kebijakan.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
fficer
perations fficer
HAIAdministrasi
echnology O
Halaman 208
BAI08.01 Mengidentifikasi dan mengklasifikasikan sumber informasi unDtuakri Deskripsi Deskripsi Untuk
tata kelola dan manajemen I&T.
Di luar persyaratan Pengetahuan COBIT Klasifikasi Intern
dan sumber sumber informasi
BAI08.02 Mengatur dan mengontekstualisasikan informasi ke dalamBAI03.03 Solusi terdokumentasi Pengetahuan yang dipublikasikanAPO07.03
pengetahuan. komponen repositori
BAI08.04 Mengevaluasi dan memperbarui atau menghentikan informasi. Aturan untuk Intern
pengetahuan pensiun
Penggunaan pengetahuan Intern
hasil evaluasi
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
• Platform kolaborasi
• Tempat penyimpanan pengetahuan
208
Halaman 209
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Kelola aset I&T melalui siklus hidupnya untuk memastikan bahwa penggunaannya memberikan nilai dengan biaya yang optimal, aset tersebut tetap beroperasi (sesuai dengan tujuan), dan
mereka diperhitungkan dan dilindungi secara fisik. Pastikan bahwa aset yang penting untuk mendukung kapabilitas layanan dapat diandalkan dan tersedia.
Kelola lisensi perangkat lunak untuk memastikan bahwa jumlah optimal diperoleh, dipertahankan, dan digunakan terkait dengan penggunaan bisnis yang diperlukan, dan
perangkat lunak yang diinstal sesuai dengan perjanjian lisensi.
Tujuan
Perhitungkan semua aset I&T dan optimalkan nilai yang diberikan oleh penggunaannya.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG04 Kualitas informasi keuangan
➡ Tujuan Penyelarasan
AG04 Kualitas informasi keuangan terkait teknologi
• EG07 Kualitas informasi manajemen
• EG09 Optimalisasi biaya proses bisnis
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Identifikasi semua aset yang dimiliki dalam daftar aset yang mencatat status saat ini. Aset dilaporkan di neraca; mereka 2
dibeli atau dibuat untuk meningkatkan nilai perusahaan atau menguntungkan operasi perusahaan (misalnya, perangkat keras dan perangkat lunak). Mengenali
semua aset yang dimiliki dan menjaga keselarasan dengan manajemen perubahan dan proses manajemen konfigurasi, itu
sistem manajemen konfigurasi, dan catatan akuntansi keuangan.
2. Identifikasi persyaratan hukum, peraturan atau kontrak yang perlu ditangani saat mengelola aset.
3. Verifikasikan bahwa aset tersebut sesuai dengan tujuannya (yaitu, dalam kondisi yang berguna).
5. Verifikasi keberadaan semua aset yang dimiliki dengan melakukan pemeriksaan dan rekonsiliasi inventaris fisik dan logis secara teratur. Sertakan 4
penggunaan alat penemuan perangkat lunak.
6. Tentukan secara rutin apakah setiap aset terus memberikan nilai. Jika demikian, perkirakan masa manfaat yang diharapkan untuk memberikan nilai.
209
Halaman 210
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 BA1.1 Daftar Aplikasi Bisnis
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 8.1 Tanggung jawab atas aset
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.13 Perlindungan fisik dan lingkungan (PE-9)
800-53, Revisi 5 (Draf), Agustus 2017
Kontrol Keamanan Kritis CIS untuk Versi Pertahanan Siber yang Efektif CSC 1: Inventaris Perangkat Resmi dan Tidak Resmi;
6.1, Agustus 2016 CSC 2: Inventaris Perangkat Lunak Resmi dan Tidak Resmi
Praktek Manajemen Contoh Metrik
1. Mengidentifikasi aset yang penting dalam memberikan kemampuan layanan dengan merujuk persyaratan dalam definisi layanan, SLA, dan 2
sistem manajemen konfigurasi.
2. Secara teratur, pertimbangkan risiko kegagalan atau kebutuhan penggantian setiap aset penting.
3. Komunikasikan kepada pelanggan dan pengguna yang terkena dampak yang diharapkan (misalnya, pembatasan kinerja) dari aktivitas pemeliharaan.
4. Gabungkan waktu henti yang direncanakan dalam jadwal produksi secara keseluruhan. Jadwalkan aktivitas pemeliharaan untuk meminimalkan kerugian 3
berdampak pada proses bisnis.
5. Menjaga ketahanan aset kritis dengan menerapkan pemeliharaan preventif secara berkala. Pantau kinerja dan, jika perlu,
memberikan alternatif dan / atau aset tambahan untuk meminimalkan kemungkinan kegagalan.
6. Buat rencana pemeliharaan preventif untuk semua perangkat keras, dengan mempertimbangkan analisis biaya / manfaat, rekomendasi vendor, risiko
pemadaman listrik, personel yang berkualifikasi dan faktor relevan lainnya.
7. Menetapkan perjanjian pemeliharaan yang melibatkan akses pihak ketiga ke fasilitas I&T organisasi untuk aktivitas di lokasi dan di luar lokasi (misalnya,
outsourcing). Buat kontrak layanan formal yang berisi atau mengacu pada semua kondisi keamanan dan privasi yang diperlukan, termasuk
mengakses prosedur otorisasi, untuk memastikan kepatuhan dengan kebijakan dan standar keamanan / privasi organisasi.
8. Pastikan bahwa layanan akses jarak jauh dan profil pengguna (atau cara lain yang digunakan untuk pemeliharaan atau diagnosis) hanya aktif
bila diperlukan.
9. Pantau kinerja aset penting dengan memeriksa tren insiden. Jika perlu, lakukan tindakan untuk memperbaiki atau mengganti. 4
210
Halaman 211
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Pengadaan semua aset berdasarkan permintaan yang disetujui dan sesuai dengan kebijakan dan praktik pengadaan perusahaan. 2
2. Sumber, terima, verifikasi, uji, dan catat semua aset dengan cara yang terkontrol, termasuk pelabelan fisik sesuai kebutuhan.
3. Setujui pembayaran dan selesaikan proses dengan pemasok sesuai dengan ketentuan kontrak yang disepakati.
4. Menyebarkan aset mengikuti siklus hidup penerapan standar, termasuk manajemen perubahan dan pengujian penerimaan. 3
5. Alokasikan aset kepada pengguna, dengan penerimaan tanggung jawab dan persetujuan, yang sesuai.
6. Jika memungkinkan, alokasikan kembali aset saat tidak lagi diperlukan karena perubahan peran pengguna, redundansi dalam
layanan, atau penghentian layanan.
7. Merencanakan, mengotorisasi dan melaksanakan aktivitas terkait pensiun, menyimpan catatan yang sesuai untuk memenuhi bisnis yang sedang berlangsung dan
kebutuhan regulasi.
8. Buang aset dengan aman, dengan mempertimbangkan, misalnya, penghapusan permanen setiap data yang direkam pada perangkat media dan
potensi kerusakan lingkungan.
9. Buang aset secara bertanggung jawab jika aset tersebut tidak memiliki tujuan berguna karena penghentian semua layanan terkait, teknologi usang 4
atau kurangnya pengguna terkait dengan dampak lingkungan.
Institut Nasional Standar dan Kerangka Teknologi untuk Meningkatkan Perawatan PR.MA
Cybersecurity Infrastruktur Kritis v1.1, April 2018
Praktek Manajemen Contoh Metrik Bangun, Dapatkan, dan Terapkan
BAI09.04 Mengoptimalkan nilai aset. Sebuah. Biaya patokan
Tinjau basis aset keseluruhan secara teratur untuk mengidentifikasi cara mengoptimalkanbn. iJluami lah aset yang tidak
digunakan sejalan dengan kebutuhan bisnis.
Kegiatan Tingkat Kemampuan
1. Secara teratur, tinjau keseluruhan basis aset, pertimbangkan apakah sesuai dengan persyaratan bisnis. 3
2. Kaji biaya pemeliharaan, pertimbangkan kewajaran, dan identifikasi opsi berbiaya rendah. Sertakan, jika perlu, penggantian 4
dengan alternatif baru.
3. Tinjau jaminan dan pertimbangkan nilai-untuk-uang dan strategi penggantian untuk menentukan pilihan biaya terendah. 5
4. Menggunakan statistik kapasitas dan pemanfaatan untuk mengidentifikasi aset yang kurang dimanfaatkan atau berlebihan yang dapat dipertimbangkan untuk dibuang atau
penggantian untuk mengurangi biaya.
5. Tinjau dasar keseluruhan untuk mengidentifikasi peluang untuk standardisasi, sumber tunggal, dan strategi lain yang mungkin lebih rendah
biaya pengadaan, dukungan dan pemeliharaan.
6. Tinjau keadaan keseluruhan untuk mengidentifikasi peluang untuk memanfaatkan teknologi yang muncul atau strategi sumber alternatif untuk
dikurangi biaya atau meningkatkan nilai-untuk-uang.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
211
Halaman 212
1. Menjaga daftar semua lisensi perangkat lunak yang dibeli dan perjanjian lisensi terkait. 2
2. Secara teratur, lakukan audit untuk mengidentifikasi semua contoh perangkat lunak berlisensi yang diinstal. 3
3. Bandingkan jumlah contoh perangkat lunak yang diinstal dengan jumlah lisensi yang dimiliki. Pastikan bahwa lisensi sesuai 4
metode pengukuran sesuai dengan lisensi dan persyaratan kontrak.
4. Jika instans lebih rendah dari jumlah yang dimiliki, putuskan apakah ada kebutuhan untuk mempertahankan atau menghentikan lisensi, pertimbangkan
potensi untuk menghemat biaya pemeliharaan, pelatihan, dan biaya lainnya yang tidak perlu.
5. Ketika instans lebih tinggi dari jumlah yang dimiliki, pertama-tama pertimbangkan kesempatan untuk menghapus instans yang tidak lagi
diperlukan atau dibenarkan, dan kemudian, jika perlu, beli lisensi tambahan untuk mematuhi perjanjian lisensi.
6. Secara teratur, pertimbangkan apakah nilai yang lebih baik dapat diperoleh dengan meningkatkan produk dan lisensi terkait. 5
ffice frficer
perations fficer
HAIAdministrasi
echnology O
KepKaleapKIanleafpoPTaremlanagKAseiremspOiKbatelaeaknpMbgaalaagnniMbaKaanjaegenpTiPraaIrPnjliaeevTrlaaIsKyiaeOnamananan Informasi
BAI09.01 Mengidentifikasi dan mencatat aset lancar. SEBUAH RR
212
Halaman 213
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
BAI09.01 Mengidentifikasi dan mencatat aset lancar. Dari Deskripsi Deskripsi Untuk
Hasil fisik
BAI10.03;
pemeriksaan inventaris
BAI10.04;
DSS05.03
BAI09.02 Mengelola aset penting. Komunikasi dari
APO08.04
pemeliharaan terencana
waktu henti
Perjanjian pemeliharaan Internal
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Manajemen aset Kerangka Keterampilan untuk Era Informasi V6, 2015 ASMG
Instalasi sistem /
penonaktifan Kerangka Keterampilan untuk Era Informasi V6, 2015 HSIN
213
Halaman 214
214
Halaman 215
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Tentukan dan pertahankan deskripsi dan hubungan antara sumber daya utama dan kemampuan yang diperlukan untuk memberikan layanan yang mendukung I & T. Sertakan mengumpulkan
informasi konfigurasi, menetapkan garis dasar, memverifikasi dan mengaudit informasi konfigurasi, dan memperbarui repositori konfigurasi.
Tujuan
Berikan informasi yang memadai tentang aset layanan agar layanan dapat dikelola secara efektif. Nilai dampak perubahan dan tangani
insiden layanan.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG02 Risiko bisnis yang dikelola
➡ Tujuan Penyelarasan
AG07 Keamanan informasi, infrastruktur pemrosesan dan
• EG06 Keberlanjutan dan ketersediaan layanan bisnis
aplikasi, dan privasi
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Tentukan dan sepakati ruang lingkup dan tingkat detail untuk manajemen konfigurasi (yaitu, layanan, aset, dan infrastruktur yang mana 3
item yang dapat dikonfigurasi untuk disertakan).
2. Menetapkan dan memelihara model logis untuk manajemen konfigurasi, termasuk informasi tentang jenis CI, atribut,
jenis hubungan, atribut hubungan dan kode status.
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung - Manajemen Konfigurasi
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Konfigurasi Sistem SY1
ITIL V3, 2011 Transisi Layanan, 4.3 Manajemen Aset dan Konfigurasi Layanan
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.5 Manajemen konfigurasi (CM-6)
800-53, Revisi 5 (Draf), Agustus 2017
215
Halaman 216
2. Untuk memastikan kelengkapan dan keakuratan, tinjau perubahan yang diusulkan untuk CI terhadap baseline.
4. Buat, tinjau, dan setujui secara resmi perubahan pada konfigurasi dasar kapan pun diperlukan. 3
2. Cocokkan semua perubahan konfigurasi dengan permintaan perubahan yang disetujui untuk mengidentifikasi setiap perubahan yang tidak sah. Laporkan tidak sah3
perubahan untuk mengubah manajemen.
3. Identifikasi persyaratan pelaporan dari semua pemangku kepentingan, termasuk konten, frekuensi dan media. Menghasilkan laporan menurut
persyaratan yang teridentifikasi.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
216
Halaman 217
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Secara berkala memverifikasi item konfigurasi langsung terhadap repositori konfigurasi dengan membandingkan fisik dan logis 4
konfigurasi dan menggunakan alat penemuan yang sesuai, sesuai kebutuhan.
2. Laporkan dan tinjau semua penyimpangan untuk koreksi yang disetujui atau tindakan untuk menghapus aset yang tidak sah.
3. Secara berkala memverifikasi bahwa semua item konfigurasi fisik, seperti yang didefinisikan dalam repositori, ada secara fisik. Laporkan jika ada penyimpangan
kepada manajemen.
4. Tetapkan dan tinjau secara berkala target kelengkapan konfigurasi repositori berdasarkan kebutuhan bisnis.
5. Secara berkala membandingkan tingkat kelengkapan dan keakuratan terhadap target dan mengambil tindakan perbaikan, jika perlu, untuk 5
meningkatkan kualitas data repositori.
fficefrficer
perations Bangun, Dapatkan, dan Terapkan
HAIAdministrasi
echnology O
217
Halaman 218
BAI10.01 Membangun dan memelihara model konfigurasi. Dari Deskripsi Deskripsi Untuk
BAI10.02 Membuat dan memelihara konfigurasi BAI09.05 Daftar perangkat lunak Garis dasar konfigurasi BAI03.11;
repositori dan baseline. lisensi BAI03.12
Repositori konfigurasi BAI09.01;
DSS02.01
BAI10.03 Menjaga dan mengontrol item konfigurasi. BAI06.03 Ubah status permintaan
Perubahan yang disetujui untuk BAI03.11
laporan
baseline
218
Halaman 219
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Halaman 220
220
Halaman 221
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Domain: Membangun, Memperoleh, dan Menerapkan
Tujuan manajemen: BAI11 - Proyek yang Dikelola Area Fokus: Model Inti COBIT
Deskripsi
Kelola semua proyek yang dimulai dalam perusahaan sejalan dengan strategi perusahaan dan dengan cara yang terkoordinasi berdasarkan standar
pendekatan manajemen proyek. Memulai, merencanakan, mengontrol dan melaksanakan proyek, dan menutup dengan tinjauan pasca-implementasi.
Tujuan
Sadarilah hasil proyek yang ditentukan dan kurangi risiko penundaan yang tidak terduga, biaya dan erosi nilai dengan meningkatkan komunikasi ke dan
keterlibatan bisnis dan pengguna akhir. Pastikan nilai dan kualitas hasil proyek dan maksimalkan kontribusinya pada program yang ditentukan
dan portofolio investasi.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
• AG03 Manfaat yang direalisasikan dari investasi yang mendukung I & T dan
• EG08 Optimalisasi fungsi proses bisnis internal
portofolio layanan
• Program transformasi digital terkelola EG12
• AG06 Agility untuk mengubah persyaratan bisnis menjadi solusi operasional
• AG09 Menyampaikan program tepat waktu, sesuai anggaran dan rapat
persyaratan dan standar kualitas
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
EG08 a. Tingkat kepuasan dewan direksi dan manajemen eksekutif Bangun, Dapatkan, dan Terapkan
dengan kemampuan proses bisnis AG06 a. Tingkat kepuasan eksekutif bisnis dengan I&T
b. Tingkat kepuasan pelanggan dengan penyampaian layanan daya tanggap terhadap persyaratan baru
kemampuan b. Waktu rata-rata untuk memasarkan layanan baru terkait I & T dan
c. Tingkat kepuasan pemasok dengan rantai pasokan aplikasi
kemampuan c. Waktu rata-rata untuk mengubah tujuan I&T strategis menjadi
disepakati dan inisiatif yang disetujui
d. Jumlah proses bisnis penting yang didukung oleh hingga
infrastruktur tanggal dan aplikasi
EG12 a. Jumlah program tepat waktu dan sesuai anggaran
AG09 a. Jumlah program / proyek tepat waktu dan sesuai anggaran
b. Persentase pemangku kepentingan yang puas dengan pelaksanaan program b. Jumlah program yang membutuhkan pengerjaan ulang yang signifikan karena kualitas
c. Persen program transformasi bisnis dihentikan cacat
d. Persentase program transformasi bisnis dengan c. Persentase pemangku kepentingan yang puas dengan kualitas program / proyek
pembaruan status rutin yang dilaporkan
221
Halaman 222
A. Komponen: Proses
1. Menjaga dan menegakkan pendekatan standar untuk manajemen proyek yang selaras dengan lingkungan spesifik perusahaan dan dengan 2
praktik yang baik berdasarkan proses yang ditentukan dan penggunaan teknologi tepat guna. Pastikan bahwa pendekatan tersebut mencakup seluruh kehidupan
siklus dan disiplin ilmu yang harus diikuti, termasuk pengelolaan ruang lingkup, sumber daya, risiko, biaya, kualitas, waktu, komunikasi,
keterlibatan pemangku kepentingan, pengadaan, kontrol perubahan, integrasi dan realisasi manfaat.
2. Berikan pelatihan manajemen proyek yang sesuai dan pertimbangkan sertifikasi untuk manajer proyek.
3. Menempatkan kantor manajemen proyek (PMO) yang mempertahankan pendekatan standar untuk program dan manajemen proyek 3
di seluruh organisasi. PMO mendukung semua proyek dengan membuat dan memelihara dokumentasi proyek yang diperlukan
template, memberikan pelatihan dan praktik terbaik untuk manajer proyek, melacak metrik tentang penggunaan praktik terbaik untuk proyek
manajemen, dll. Dalam beberapa kasus, PMO juga dapat melaporkan kemajuan proyek kepada manajemen senior dan / atau pemangku kepentingan,
membantu memprioritaskan proyek, dan memastikan semua proyek mendukung tujuan bisnis perusahaan secara keseluruhan.
4. Mengevaluasi pelajaran yang didapat tentang penggunaan pendekatan manajemen proyek. Perbarui praktik, alat, dan template yang baik 4
demikian.
1. Untuk menciptakan pemahaman bersama tentang ruang lingkup proyek di antara para pemangku kepentingan, berikan mereka pernyataan tertulis yang jelas yang
2menjelaskan sifat, ruang lingkup, dan hasil dari setiap proyek.
2. Pastikan bahwa setiap proyek memiliki satu atau lebih sponsor dengan kewenangan yang memadai untuk mengelola pelaksanaan proyek di dalam
Bangun, Dparopgaratmkaknes, edluarnuhTane.rapkan
3. Pastikan bahwa pemangku kepentingan utama dan sponsor dalam perusahaan (bisnis dan TI) setuju dan menerima persyaratan untuk
proyek, termasuk definisi kriteria keberhasilan (penerimaan) proyek dan indikator kinerja utama (KPI).
4. Menunjuk manajer yang berdedikasi untuk proyek tersebut. Pastikan bahwa individu tersebut memiliki pemahaman yang diperlukan tentang teknologi dan
bisnis dan kompetensi dan keterampilan yang sepadan untuk mengelola proyek secara efektif dan efisien.
5. Pastikan bahwa definisi proyek menjelaskan persyaratan untuk rencana komunikasi proyek yang mengidentifikasi internal dan
komunikasi proyek eksternal.
6. Dengan persetujuan pemangku kepentingan, pertahankan definisi proyek di seluruh proyek, yang mencerminkan persyaratan yang berubah.
7. Untuk melacak pelaksanaan proyek, siapkan mekanisme seperti pelaporan reguler dan gerbang panggung, rilis atau fase
review, dilakukan pada waktu yang tepat dan dengan persetujuan yang sesuai.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4.1 Mengembangkan piagam proyek; Bagian 1: 6. Jadwal proyek
pengelolaan
222
Halaman 223
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Rencanakan bagaimana pemangku kepentingan di dalam dan di luar perusahaan akan diidentifikasi, dianalisis, dilibatkan, dan dikelola sepanjang hidup 3
siklus proyek.
2. Identifikasi, libatkan dan kelola pemangku kepentingan dengan menetapkan dan memelihara tingkat koordinasi, komunikasi yang sesuai
dan penghubung untuk memastikan mereka terlibat dalam proyek.
3. Menganalisis kepentingan, persyaratan, dan keterlibatan pemangku kepentingan. Ambil tindakan perbaikan sesuai kebutuhan. 4
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 13. Manajemen pemangku kepentingan proyek
Bagian 1: 10. Manajemen komunikasi proyek
Praktek Manajemen Contoh Metrik
1. Mengembangkan rencana proyek yang memberikan informasi untuk memungkinkan manajemen mengendalikan proyek secara progresif. Itu Bangun, Dapatkan, dan Terapkan
2
rencana harus mencakup rincian hasil proyek dan kriteria penerimaan, sumber daya internal dan eksternal yang diperlukan dan
tanggung jawab, struktur rincian kerja yang jelas dan paket kerja, perkiraan sumber daya yang dibutuhkan, pencapaian / rilis
rencana / fase, ketergantungan utama, anggaran dan biaya, dan identifikasi jalur kritis.
2. Menjaga rencana proyek dan rencana yang bergantung (misalnya, rencana risiko, rencana kualitas, rencana realisasi manfaat). Pastikan bahwa rencananya
diperbarui dan mencerminkan kemajuan aktual dan perubahan materi yang disetujui.
3. Pastikan bahwa ada komunikasi yang efektif dari rencana proyek dan laporan kemajuan. Pastikan bahwa setiap perubahan dilakukan untuk individu
rencana tercermin dalam rencana lain.
4. Tentukan kegiatan, saling ketergantungan dan kolaborasi dan komunikasi yang dibutuhkan dalam proyek dan antar
banyak proyek dalam satu program.
5. Pastikan bahwa setiap pencapaian disertai dengan penyampaian yang signifikan yang membutuhkan tinjauan dan penandatanganan.
6. Tetapkan baseline proyek (misalnya, biaya, jadwal, ruang lingkup, kualitas) yang ditinjau, disetujui dan digabungkan dengan tepat
rencana proyek terintegrasi.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4.2 Mengembangkan rencana manajemen proyek
223
Halaman 224
1. Untuk memberikan jaminan kualitas untuk hasil proyek, mengidentifikasi kepemilikan dan tanggung jawab, proses tinjauan kualitas, 2
kriteria kesuksesan dan metrik kinerja.
2. Mengidentifikasi tugas dan praktik jaminan yang diperlukan untuk mendukung akreditasi sistem baru atau yang dimodifikasi selama proyek 3
perencanaan. Sertakan mereka dalam rencana terintegrasi. Pastikan bahwa tugas memberikan jaminan bahwa kontrol dan keamanan internal dan
solusi privasi memenuhi persyaratan yang ditentukan.
3. Tentukan persyaratan untuk validasi independen dan verifikasi kualitas kiriman dalam rencana.
4. Melakukan kegiatan penjaminan dan pengendalian mutu sesuai dengan rencana manajemen mutu dan SMM.
1. Menetapkan pendekatan manajemen risiko proyek formal yang selaras dengan kerangka ERM. Pastikan bahwa pendekatan tersebut termasuk 2
mengidentifikasi, menganalisis, menanggapi, memitigasi, memantau dan mengendalikan risiko.
2. Menugaskan kepada personel yang memiliki keterampilan yang sesuai tanggung jawab untuk melaksanakan proses manajemen risiko proyek perusahaan
dalam proyek dan memastikan bahwa ini dimasukkan ke dalam praktik pengembangan solusi. Pertimbangkan untuk mengalokasikan peran ini ke
tim independen, terutama jika sudut pandang objektif diperlukan atau proyek dianggap kritis.
4. Lakukan penilaian risiko proyek untuk mengidentifikasi dan mengukur risiko secara terus menerus sepanjang proyek. Kelola dan 3
mengkomunikasikan risiko dengan tepat dalam struktur tata kelola proyek.
5. Menilai kembali risiko proyek secara berkala, termasuk pada permulaan setiap fase proyek besar dan sebagai bagian dari permintaan perubahan besar
penilaian.
6. Menjaga dan meninjau daftar risiko proyek dari semua risiko proyek potensial dan log mitigasi risiko dari semua masalah proyek dan mereka
resolusi. Analisis log secara berkala untuk mengetahui tren dan masalah yang berulang untuk memastikan bahwa akar penyebabnya diperbaiki.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Bangun, Dapatkan, dan Terapkan
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.15 Manajemen program (PM-4)
800-53, Revisi 5 (Draf), Agustus 2017
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 11. Manajemen risiko proyek
224
Halaman 225
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Menetapkan dan menggunakan seperangkat kriteria proyek termasuk, tetapi tidak terbatas pada, ruang lingkup, manfaat bisnis yang diharapkan, jadwal, kualitas, b2iaya
dan tingkat resiko.
2. Melaporkan kemajuan proyek kepada pemangku kepentingan utama yang teridentifikasi dalam proyek, penyimpangan dari kinerja proyek utama yang telah ditetapkan
kriteria (seperti, tetapi tidak terbatas pada, manfaat bisnis yang diharapkan), dan potensi dampak positif dan negatif pada proyek.
3. Dokumentasikan dan serahkan perubahan yang diperlukan kepada pemangku kepentingan utama proyek untuk persetujuan mereka sebelum diadopsi.
Komunikasikan kriteria yang direvisi kepada manajer proyek untuk digunakan dalam laporan kinerja masa depan.
4. Untuk kiriman yang dihasilkan di setiap iterasi, rilis atau fase proyek, dapatkan persetujuan dan persetujuan dari manajer yang ditunjuk
dan pengguna di bisnis yang terpengaruh dan fungsi TI.
5. Mendasarkan proses persetujuan pada kriteria penerimaan yang didefinisikan dengan jelas yang disepakati oleh para pemangku kepentingan utama sebelum peker3jaan
dimulai fase proyek atau penyampaian iterasi.
6. Menilai proyek pada gerbang panggung utama yang disepakati, rilis atau iterasi. Buat keputusan resmi / tidak pergi berdasarkan
kriteria sukses kritis yang telah ditentukan sebelumnya.
7. Menetapkan dan mengoperasikan sistem kendali perubahan untuk proyek sehingga semua perubahan pada baseline proyek (misalnya, ruang lingkup, diharapkan
manfaat bisnis, jadwal, kualitas, biaya, tingkat risiko) ditinjau, disetujui dan digabungkan dengan tepat
rencana proyek sejalan dengan program dan kerangka kerja tata kelola proyek.
8. Mengukur kinerja proyek terhadap kriteria kinerja proyek utama. Analisis penyimpangan dari proyek utama yang sudah mapan 4
kriteria kinerja untuk sebab dan menilai efek positif dan negatif pada proyek.
9. Pantau perubahan proyek dan tinjau kriteria kinerja proyek utama yang ada untuk menentukan apakah mereka masih mewakili
ukuran kemajuan yang valid.
10. Merekomendasikan dan memantau tindakan perbaikan, jika diperlukan, sejalan dengan kerangka tata kelola proyek.
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4.5 Memantau dan mengontrol pekerjaan proyek
Bangun, Dapatkan, dan Terapkan
1. Identifikasi kebutuhan bisnis dan sumber daya TI untuk proyek dan petakan dengan jelas peran dan tanggung jawab yang sesuai, dengan eskalasi 2
dan otoritas pembuat keputusan setuju dan mengerti.
2. Mengidentifikasi keterampilan yang dibutuhkan dan persyaratan waktu untuk semua individu yang terlibat dalam fase proyek dalam kaitannya dengan peran yang ditentukan. Staf
peran berdasarkan informasi keterampilan yang tersedia (misalnya, matriks keterampilan TI).
3. Memanfaatkan sumber daya manajemen proyek dan pemimpin tim yang berpengalaman dengan keterampilan yang sesuai dengan ukuran, kompleksitas, dan risiko
proyek.
4. Mempertimbangkan dan mendefinisikan dengan jelas peran dan tanggung jawab pihak terkait lainnya, termasuk keuangan, hukum, pengadaan, SDM,
audit internal dan kepatuhan.
5. Mendefinisikan dengan jelas dan menyetujui tanggung jawab untuk pengadaan dan pengelolaan produk dan layanan pihak ketiga, dan
mengatur hubungan.
6. Identifikasi dan otorisasi pelaksanaan pekerjaan sesuai dengan rencana proyek.
7. Mengidentifikasi kesenjangan rencana proyek dan memberikan umpan balik kepada manajer proyek untuk memulihkan.
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4.3 Mengarahkan dan mengelola pekerjaan proyek
225
Halaman 226
1. Dapatkan penerimaan pemangku kepentingan atas hasil proyek dan transfer kepemilikan. 2
2. Tentukan dan terapkan langkah-langkah kunci untuk penutupan proyek, termasuk tinjauan pasca implementasi yang menilai apakah suatu proyek tercapai 3
hasil yang diinginkan.
3. Merencanakan dan melaksanakan tinjauan pasca-implementasi untuk menentukan apakah proyek memberikan hasil yang diharapkan. Tingkatkan proyek
manajemen dan metodologi proses pengembangan sistem.
4. Mengidentifikasi, menetapkan, mengkomunikasikan, dan melacak setiap kegiatan yang belum selesai yang diperlukan untuk memastikan proyek memberikan hasil yang diperlukan
dalam hal kapabilitas dan hasil yang diharapkan dapat memberikan manfaat program.
5. Secara teratur, dan setelah proyek selesai, kumpulkan pelajaran yang dipetik dari peserta proyek. Tinjau mereka dan kuncinya 4
aktivitas yang membawa manfaat dan nilai. Analisis data dan buat rekomendasi untuk meningkatkan arus
proyek dan metode manajemen proyek untuk proyek masa depan.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4.7 Tutup proyek atau fase
ffice.dll
fficefrficewr
fficer ners
Bangun, Dapatkan, dan Terapkan
fficer
echnology O
KepRaliasiKkEokepsUKeatklaeaupmtPIainafrlafoOosKTremsomBaMsiisitaneOniMPsaejOaennMrgaaPjarernaProahgepjnre(raPgMmomeryemaoenngkbraPaajrnemorgyaK/enPkerKaOomeypaeaknl)aan Informasi
BAI11.01 Mempertahankan pendekatan standar untuk manajemen proyek. SEBUARH RR
226
Halaman 227
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6)
Praktek Manajemen Masukan Keluaran
227
Halaman 228
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4. Manajemen integrasi proyek: Input dan Output; Bagian 1: 6.
Manajemen jadwal proyek: Input dan Output; Bagian 1: 10. Proyek
manajemen komunikasi: Input & Output; Bagian 1: 11. Risiko proyek
manajemen: Input dan Output
D. Komponen: Orang, Keterampilan dan Kompetensi
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
228
Halaman 229
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1 Operasi Terkelola
4 Kontinuitas Terkelola
Halaman 230
Halaman 231
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Mengkoordinasikan dan melaksanakan kegiatan dan prosedur operasional yang diperlukan untuk memberikan layanan I&T internal dan outsourcing. Sertakan eksekusi
prosedur operasi standar yang telah ditetapkan sebelumnya dan kegiatan pemantauan yang diperlukan.
Tujuan
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
AG05 Penyampaian layanan I&T sejalan dengan kebutuhan bisnis
• EG08 Optimalisasi fungsi proses bisnis internal
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Mengembangkan dan memelihara prosedur operasional dan kegiatan terkait untuk mendukung semua layanan yang diberikan. 2
3. Memverifikasi bahwa semua data yang diharapkan untuk diproses telah diterima dan diproses secara lengkap, akurat, dan tepat waktu. Kirim 3
keluaran sesuai dengan kebutuhan perusahaan. Dukungan restart dan kebutuhan pemrosesan ulang. Pastikan bahwa pengguna menerima
keluaran yang benar dengan cara yang aman dan tepat waktu.
4. Mengelola kinerja dan hasil dari kegiatan yang dijadwalkan. 4
5. Pantau insiden dan masalah yang berhubungan dengan prosedur operasional dan ambil tindakan yang tepat untuk meningkatkan keandalan 5
tugas operasional yang dilakukan.
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 12.1 Prosedur dan tanggung jawab operasional
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.13 Perlindungan fisik dan lingkungan (PE-13, PE-14, PE-15)
800-53, Revisi 5 (Draf), Agustus 2017
231
Halaman 232
1. Pastikan bahwa persyaratan perusahaan untuk keamanan proses informasi mematuhi kontrak dan SLA dengan pihak ketiga 3
menghosting atau menyediakan layanan.
2. Memastikan bahwa bisnis operasional perusahaan dan persyaratan pemrosesan TI dan prioritas untuk penyampaian layanan dipatuhi
kontrak dan SLA dengan pihak ketiga yang menghosting atau menyediakan layanan.
3. Mengintegrasikan proses manajemen TI internal yang penting dengan proses penyedia layanan outsourcing. Ini harus menutupi, untuk
Misalnya, perencanaan kinerja dan kapasitas, manajemen perubahan, manajemen konfigurasi, permintaan layanan dan insiden
manajemen, manajemen masalah, manajemen keamanan, kelangsungan bisnis, dan pemantauan kinerja proses
dan pelaporan.
4. Rencanakan audit independen dan penjaminan lingkungan operasional penyedia outsourcing untuk mengkonfirmasi bahwa disetujui 4
persyaratan ditangani secara memadai.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SC1.2 Pengalihdayaan
ISO / IEC 20000-1: 2011 (E) 4.2 Tata kelola proses yang dioperasikan oleh pihak lain
1. Catat peristiwa. Identifikasi tingkat informasi yang akan dicatat, berdasarkan pertimbangan risiko dan kinerja. 2
2. Mengidentifikasi dan memelihara daftar aset infrastruktur yang perlu dipantau, berdasarkan kekritisan layanan dan hubungannya 3
antara item konfigurasi dan layanan yang bergantung padanya.
3. Tentukan dan terapkan aturan yang mengidentifikasi dan mencatat pelanggaran ambang batas dan kondisi peristiwa. Temukan keseimbangan antara
menghasilkan peristiwa kecil yang palsu dan peristiwa penting sehingga log peristiwa tidak dibebani dengan informasi yang tidak perlu.
4. Menghasilkan log peristiwa dan menyimpannya untuk jangka waktu yang sesuai untuk membantu penyelidikan di masa mendatang.
Bangun, Dapatkan, dan Terapkan
5. Memastikan bahwa tiket insiden dibuat tepat waktu saat memantau penyimpangan yang teridentifikasi dari ambang batas yang ditentukan.
232
Halaman 233
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Mengidentifikasi bencana alam dan bencana akibat ulah manusia yang mungkin terjadi di area tempat fasilitas TI berada. Nilai potensinya 2
berpengaruh pada fasilitas IT.
2. Identifikasi bagaimana peralatan I&T, termasuk peralatan bergerak dan di luar lokasi, dilindungi dari ancaman lingkungan. Memastikan bahwa
kebijakan membatasi atau mengecualikan makan, minum dan merokok di area sensitif, dan melarang penyimpanan alat tulis dan lainnya
persediaan yang menimbulkan bahaya kebakaran di dalam ruang komputer.
3. Jaga situs TI dan ruang server bersih dan dalam kondisi aman setiap saat (mis., Tidak berantakan, tidak ada kertas atau kotak kardus, tidak
tempat sampah yang diisi, tidak ada bahan kimia atau bahan yang mudah terbakar).
4. Tempatkan dan bangun fasilitas TI untuk meminimalkan dan mengurangi kerentanan terhadap ancaman lingkungan (misalnya, pencurian, udara, kebakaran, asap,3
air, getaran, teror, vandalisme, bahan kimia, bahan peledak). Pertimbangkan zona keamanan tertentu dan / atau sel tahan api (mis., Mencari lokasi
produksi dan lingkungan pengembangan / server jauh dari satu sama lain).
5. Bandingkan langkah-langkah dan rencana darurat dengan persyaratan polis asuransi dan hasil laporan. Alamat poin dari
ketidakpatuhan pada waktu yang tepat.
6. Tanggapi alarm lingkungan dan pemberitahuan lainnya. Dokumen dan prosedur pengujian, yang harus mencakup
prioritas alarm dan kontak dengan otoritas tanggap darurat lokal. Latih personel dalam prosedur ini.
7. Pantau dan pelihara secara rutin perangkat yang secara proaktif mendeteksi ancaman lingkungan (misalnya, kebakaran, air, asap, kelembapan). 4
1. Memeriksa persyaratan fasilitas TI untuk perlindungan terhadap fluktuasi dan pemadaman listrik, dalam hubungannya dengan bisnis lain 2
persyaratan perencanaan kontinuitas. Dapatkan peralatan pasokan tak terputus yang sesuai (misalnya, baterai, generator) untuk mendukung
perencanaan kesinambungan bisnis.
2. Secara teratur menguji mekanisme catu daya yang tidak pernah terputus. Pastikan daya dapat dialihkan ke suplai tanpa apa pun
berpengaruh signifikan terhadap operasi bisnis.
3. Pastikan bahwa fasilitas yang menampung sistem I&T memiliki lebih dari satu sumber untuk utilitas yang bergantung (misalnya, daya,
telekomunikasi, air, gas). Pisahkan pintu masuk fisik setiap utilitas.
4. Konfirmasikan bahwa pemasangan kabel di luar situs TI terletak di bawah tanah atau memiliki perlindungan alternatif yang sesuai. Tentukan kabel itu
di dalam situs TI terdapat dalam saluran yang aman, dan akses ke lemari kabel dibatasi untuk personel yang berwenang.
Lindungi kabel dengan benar dari kerusakan yang disebabkan oleh kebakaran, asap, air, intersepsi, dan gangguan.
5. Pastikan bahwa pemasangan kabel dan penambalan fisik (data dan telepon) terstruktur dan teratur. Struktur kabel dan saluran
harus didokumentasikan (misalnya, denah bangunan cetak biru dan diagram pengkabelan).
6. Secara teratur, mendidik personel tentang kesehatan dan keselamatan hukum, peraturan, dan pedoman yang relevan. Mendidik personel tentang api
dan latihan penyelamatan untuk memastikan pengetahuan dan tindakan yang diambil jika terjadi kebakaran atau insiden serupa.
7. Pastikan bahwa situs dan peralatan IT dirawat sesuai dengan interval servis yang direkomendasikan pemasok dan 3
spesifikasi. Pastikan perawatan hanya dilakukan oleh personel yang berwenang.
8. Menganalisis sistem ketersediaan tinggi perumahan fasilitas untuk redundansi dan persyaratan pemasangan kabel fail-over (eksternal dan internal).
9. Memastikan bahwa situs dan fasilitas TI terus-menerus mematuhi undang-undang, peraturan, pedoman, dan kesehatan dan keselamatan yang relevan
spesifikasi vendor.
10. Catat, pantau, kelola dan selesaikan insiden fasilitas sejalan dengan proses manajemen insiden I&T. Sediakan 4
laporan tentang insiden fasilitas yang pengungkapannya diwajibkan oleh hukum dan peraturan.
11. Menganalisis perubahan fisik pada situs atau tempat TI untuk menilai kembali risiko lingkungan (misalnya, kebakaran atau kerusakan air). Melaporkan
hasil analisis ini untuk kelangsungan bisnis dan pengelolaan fasilitas.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
233
Halaman 234
fficer
fficer
perationffsicer
HAI
Petugas echnology
234
Halaman 235
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Administrasi database Kerangka Keterampilan untuk Era Informasi V6, 2015 DBAD
Manajemen fasilitas Kerangka Keterampilan untuk Era Informasi V6, 2015 DCMA
Metode dan alat Kerangka Keterampilan untuk Era Informasi V6, 2015 METL
Pengiriman layanan e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
C. Jalankan — C.3. Pengiriman Layanan
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Manajemen Penyimpanan Kerangka Keterampilan untuk Era Informasi V6, 2015 STMG
235
Halaman 236
Halaman 237
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Memberikan tanggapan yang tepat waktu dan efektif untuk permintaan pengguna dan penyelesaian semua jenis insiden. Kembalikan layanan normal; rekam dan penuhi pengguna
permintaan; dan merekam, menyelidiki, mendiagnosis, meningkatkan, dan menyelesaikan insiden.
Tujuan
Capai peningkatan produktivitas dan minimalkan gangguan melalui resolusi cepat atas kueri dan insiden pengguna. Menilai dampak perubahan dan
menangani insiden layanan. Selesaikan permintaan pengguna dan pulihkan layanan sebagai tanggapan atas insiden.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
AG05 Penyampaian layanan I&T sejalan dengan kebutuhan bisnis
• EG08 Optimalisasi fungsi proses bisnis internal
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Mendefinisikan insiden dan klasifikasi permintaan layanan dan skema prioritas, dan kriteria untuk registrasi masalah. Gunakan ini 3
informasi untuk memastikan pendekatan yang konsisten untuk menangani dan menginformasikan pengguna tentang masalah dan melakukan analisis tren.
2. Tentukan model insiden untuk kesalahan yang diketahui untuk memungkinkan penyelesaian yang efisien dan efektif.
3. Tentukan model permintaan layanan sesuai dengan jenis permintaan layanan untuk mengaktifkan layanan mandiri dan efisien untuk permintaan standar.
4. Tetapkan aturan dan prosedur eskalasi insiden, terutama untuk insiden besar dan insiden keamanan.
5. Definisikan sumber pengetahuan tentang insiden dan permintaan dan jelaskan bagaimana menggunakannya.
HITRUST CSF versi 9, September 2017 11.01 Melaporkan Insiden Keamanan Informasi dan Kelemahannya
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Manajemen Insiden Keamanan TM2
ISO / IEC 20000-1: 2011 (E) 8.1 Manajemen insiden dan permintaan layanan
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 16. Manajemen insiden keamanan informasi
237
Halaman 238
DSS02.02 Merekam, mengklasifikasikan dan memprioritaskan permintaan dan insiSdeebnu.ah. Jumlah jenis dan kategori yang ditentukan untuk permintaan layanan perekaman
Identifikasi, catat dan klasifikasikan permintaan dan insiden layanan dan tetapkan a dan insiden
prioritas sesuai dengan kekritisan bisnis dan perjanjian layanan. b. Jumlah permintaan layanan dan insiden yang tidak dikategorikan
Kegiatan Tingkat Kemampuan
1. Catat semua permintaan dan insiden layanan, catat semua informasi yang relevan, sehingga dapat ditangani secara efektif dan historis penuh 2
catatan dapat dipertahankan.
2. Untuk mengaktifkan analisis tren, klasifikasikan permintaan layanan dan insiden dengan mengidentifikasi jenis dan kategori.
3. Memprioritaskan permintaan layanan dan insiden berdasarkan definisi layanan SLA tentang dampak dan urgensi bisnis.
1. Verifikasi hak untuk permintaan layanan menggunakan, jika memungkinkan, aliran proses yang telah ditentukan sebelumnya dan perubahan standar. 2
2. Dapatkan persetujuan atau penandatanganan finansial dan fungsional, jika diperlukan, atau persetujuan yang telah ditentukan sebelumnya untuk perubahan standar yang disepakati.
3. Memenuhi permintaan dengan melakukan prosedur permintaan yang dipilih. Jika memungkinkan, gunakan menu otomatis bantuan mandiri dan 3
model permintaan yang telah ditentukan sebelumnya untuk item yang sering diminta.
1. Pilih dan terapkan resolusi insiden yang paling sesuai (solusi sementara dan / atau solusi permanen). 2
4. Mendokumentasikan resolusi insiden dan menilai apakah resolusi tersebut dapat digunakan sebagai sumber pengetahuan di masa mendatang.
238
Halaman 239
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Institut Nasional Standar dan Kerangka Teknologi untuk Meningkatkan Institut Nasional Standar dan Publikasi Khusus Teknologi 800-53, Revisi 5 (Draf), Agustus 2017
Cybersecurity Infrastruktur Kritis v1.1, April 2018
Perencanaan Pemulihan RC.RP 3.9 Respons insiden (IR-4, IR-5, IR-6)
Kontrol Keamanan Kritis CIS untuk Versi Pertahanan Siber yang Efektif CSC 19: Respons dan Manajemen Insiden
6.1, Agustus 201
Praktek Manajemen Contoh Metrik
1. Verifikasi dengan pengguna yang terpengaruh bahwa permintaan layanan telah dipenuhi dengan memuaskan atau insiden telah diselesaikan 2
secara memuaskan dan dalam jangka waktu yang disepakati / dapat diterima.
1. Memantau dan melacak eskalasi dan resolusi insiden dan meminta prosedur penanganan untuk maju menuju resolusi atau 2
penyelesaian.
2 Identifikasi informasi pemangku kepentingan dan kebutuhan mereka akan data atau laporan. Identifikasi frekuensi dan media pelaporan. 3
3. Menghasilkan dan mendistribusikan laporan tepat waktu atau memberikan akses terkontrol ke data online. 4
4. Menganalisis insiden dan permintaan layanan menurut kategori dan jenis. Menetapkan tren dan mengidentifikasi pola masalah yang berulang, SLA
pelanggaran atau ketidakefisienan.
5. Gunakan informasi sebagai masukan untuk perencanaan perbaikan berkelanjutan. 5
CMMI Cybermaturity Platform, 2018 MI.IM Pastikan Mitigasi Insiden; Pelaporan Insiden IR.IR
239
Halaman 240
wners
perations
Petugas
H A I
ech no lo gy
KepParlaosPTeesnBgKiesemnpiMbaslaOannMbgaajagneniraKaPnjeeepTrlaIKylaaenamananan Informasi
DSS02.01 Mendefinisikan skema klasifikasi untuk insiden dan permintaan layanan. SEBUARHRR
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 16.1.1 Tanggung jawab dan prosedur
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6)
DSS02.01 Mendefinisikan skema klasifikasi untuk insiden Dari Deskripsi Deskripsi Untuk
dan permintaan layanan.
APO09.03 SLA Kriteria masalah DSS03.01
Registrasi
BAI10.02 Aturan repositori konfigurasi untuk insiden Intern
eskalasi
240
Halaman 241
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
Praktek Manajemen Masukan Keluaran
DSS02.03 Verifikasi, setujui dan penuhi permintaan layanan. Dari Deskripsi Deskripsi Untuk
DSS02.04 Menyelidiki, mendiagnosis dan mengalokasikan insiden. BAI07.07 Dukungan tambahan Log masalah DSS03.01
rencana
Gejala insiden Intern
DSS02.05 Menyelesaikan dan memulihkan dari insiden. APO12.06 Insiden terkait risiko Resolusi insiden DSS03.03;
rencana tanggapan DSS03.04;
DSS03.03 Catatan kesalahan yang diketahui DSS03.05;
MEA04.07
DSS03.04 Komunikasi
pengetahuan yang dipelajari
DSS02.06 Tutup permintaan layanan dan insiden. DSS03.04 Catatan masalah tertutup Konfirmasi pengguna dari
APO08.03
pemenuhan yang memuaskan atau
resolusi
Permintaan layanan tertutup
APO08.03;
dan insiden
APO09.04;
DSS03.04
DSS02.07 Melacak status dan menghasilkan laporan. APO09.03 OLA Status dan tren insiden
APO08.03;
melaporkan
APO09.04;
APO11.04;
APO12.01;
MEA01.03 Kirim, Layanan, dan Dukungan
DSS03.01 Laporan status masalah Minta status pemenuhan
APO08.03;
Dukungan layanan pelanggan Kerangka Keterampilan untuk Era Informasi V6, 2015 CSMG
Manajemen insiden Kerangka Keterampilan untuk Era Informasi V6, 2015 USUP
Dukungan jaringan Kerangka Keterampilan untuk Era Informasi V6, 2015 NTAS
Dukungan pengguna e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
C. Jalankan — C.1. Dukungan Pengguna
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
241
Halaman 242
Memungkinkan karyawan untuk mengidentifikasi insiden secara benar dan tepat waktu dan
menerapkan jalur eskalasi yang sesuai. Dorong pencegahan. Menanggapi
untuk dan menyelesaikan insiden dengan segera. Hindari budaya pahlawan.
Halaman 243
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Identifikasi dan klasifikasikan masalah dan akar penyebabnya. Berikan resolusi tepat waktu untuk mencegah insiden berulang. Berikan rekomendasi untuk
perbaikan.
Tujuan
Meningkatkan ketersediaan, meningkatkan tingkat layanan, mengurangi biaya, meningkatkan kenyamanan dan kepuasan pelanggan dengan mengurangi jumlah operasional
masalah, dan mengidentifikasi akar penyebab sebagai bagian dari penyelesaian masalah.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
AG05 Penyampaian layanan I&T sejalan dengan kebutuhan bisnis
• EG08 Optimalisasi fungsi proses bisnis internal
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Mengidentifikasi masalah melalui korelasi laporan insiden, log kesalahan dan sumber daya identifikasi masalah lainnya. 2
2. Tangani semua masalah secara formal dengan akses ke semua data yang relevan. Sertakan informasi dari sistem manajemen perubahan TI dan
Konfigurasi TI / aset dan detail insiden.
3. Tentukan kelompok pendukung yang tepat untuk membantu identifikasi masalah, analisis akar penyebab dan penentuan solusi
untuk mendukung manajemen masalah. Tentukan kelompok dukungan berdasarkan kategori yang telah ditentukan, seperti perangkat keras, jaringan,
perangkat lunak, aplikasi dan perangkat lunak pendukung.
4. Tentukan tingkat prioritas melalui konsultasi dengan bisnis untuk memastikan identifikasi masalah dan analisis akar
penyebabnya ditangani tepat waktu sesuai dengan SLA yang disepakati. Mendasarkan tingkat prioritas pada dampak dan urgensi
bisnis.
5. Laporkan status masalah yang teridentifikasi ke meja layanan sehingga pelanggan dan manajemen TI dapat terus mendapat informasi.
6. Menjaga katalog manajemen masalah tunggal untuk mendaftarkan dan melaporkan masalah yang teridentifikasi. Gunakan katalog untuk melakukan audit
jejak proses manajemen masalah, termasuk status setiap masalah (yaitu, terbuka, dibuka kembali, dalam proses atau ditutup).
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
243
Halaman 244
KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN
1. Mengidentifikasi masalah kesalahan yang mungkin diketahui dengan membandingkan data insiden dengan database kesalahan yang diketahui dan dicurigai (misal3nya,
yang dikomunikasikan oleh vendor eksternal). Klasifikasikan masalah sebagai kesalahan yang diketahui.
3. Menghasilkan laporan untuk mengkomunikasikan kemajuan dalam menyelesaikan masalah dan untuk memantau dampak masalah yang tidak berkelanjutan
terpecahkan. Pantau status proses penanganan masalah sepanjang siklus hidupnya, termasuk masukan dari perubahan TI dan
manajemen konfigurasi.
1. Segera setelah akar penyebab masalah diidentifikasi, buat catatan kesalahan yang diketahui dan kembangkan solusi yang sesuai. 2
2. Mengidentifikasi, mengevaluasi, memprioritaskan, dan memproses (melalui manajemen perubahan TI) untuk kesalahan yang diketahui, berdasarkan biaya / manfa3at
kasus bisnis dan dampak dan urgensi bisnis.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
1. Tutup catatan masalah baik setelah konfirmasi untuk menghilangkan kesalahan yang diketahui atau setelah kesepakatan dengan 2
bisnis tentang bagaimana menangani masalah sebagai alternatif.
2. Beri tahu meja layanan tentang jadwal penutupan masalah (misalnya, jadwal untuk memperbaiki kesalahan yang diketahui, kemungkinan
solusi atau fakta bahwa masalah akan tetap ada sampai perubahan diterapkan) dan konsekuensi dari pendekatan tersebut
diambil. Terus beri tahu pengguna dan pelanggan yang terpengaruh sebagaimana mestinya.
3. Selama proses penyelesaian, dapatkan laporan rutin dari manajemen perubahan TI tentang kemajuan dalam menyelesaikan masalah 3
dan kesalahan.
4. Pantau dampak berkelanjutan dari masalah dan kesalahan yang diketahui pada layanan. 4
6. Pastikan pengetahuan yang dipelajari dari tinjauan tersebut dimasukkan ke dalam pertemuan tinjauan layanan dengan pelanggan bisnis. 5
244
Halaman 245
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Menangkap informasi masalah yang terkait dengan perubahan dan insiden I&T dan mengkomunikasikannya kepada pemangku kepentingan utama. Berkomunikas3i melalui
laporan dan pertemuan berkala antara insiden, masalah, perubahan dan konfigurasi pemilik proses manajemen untuk dipertimbangkan
masalah terkini dan tindakan korektif potensial.
3. Identifikasi dan mulai solusi berkelanjutan (perbaikan permanen) untuk mengatasi akar penyebabnya. Naikkan permintaan perubahan melalui
proses manajemen perubahan yang mapan.
4. Untuk memungkinkan perusahaan memantau total biaya masalah, menangkap upaya perubahan yang dihasilkan dari manajemen masalah 4
memproses aktivitas (misalnya, memperbaiki masalah dan kesalahan yang diketahui) dan melaporkannya.
5. Menghasilkan laporan untuk memantau penyelesaian masalah terhadap persyaratan bisnis dan SLA. Pastikan eskalasi yang tepat
masalah, seperti eskalasi ke tingkat manajemen yang lebih tinggi sesuai dengan kriteria yang disepakati, menghubungi vendor eksternal, atau
mengacu pada dewan penasihat perubahan untuk meningkatkan prioritas permintaan perubahan yang mendesak (RFC) untuk melaksanakan sementara
solusi.
6. Untuk mengoptimalkan penggunaan sumber daya dan mengurangi solusi, lacak tren masalah.
fficefrficer
perations
H A I
echnolo gy O
SEBUARHR
R
DSS03.04 Mengatasi dan menutup masalah. SEBUARHR
245
Halaman 246
DSS03.02 Menyelidiki dan mendiagnosis masalah. APO12.06 Akar penyebab terkait risiko Laporan resolusi masalah DSS02.07
DSS03.03 Meningkatkan kesalahan yang diketahui. APO12.06 Akar penyebab terkait risiko Solusi yang diusulkan untuk
BAI06.01
kesalahan yang diketahui
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Dukungan aplikasi Kerangka Keterampilan untuk Era Informasi V6, 2015 ASUP
Bangun, Dapatkan, dan Terapkan
Dukungan jaringan Kerangka Keterampilan untuk Era Informasi V6, 2015 NTAS
Manajemen masalah e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
C. Jalankan — C.4. Masalah
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Pengelolaan
Manajemen masalah Kerangka Keterampilan untuk Era Informasi V6, 2015 PBMG
Kebijakan resolusi masalah Dokumen dasar pemikiran dan penyediaan ITIL V3, 2011 Operasi Layanan, 3. Layanan
panduan untuk mengatasi masalah prinsip operasi
yang dihasilkan dari insiden dan
mengidentifikasi solusi yang divalidasi.
246
Halaman 247
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Halaman 248
Halaman 249
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Tetapkan dan pertahankan rencana untuk memungkinkan bisnis dan organisasi TI merespons insiden dan dengan cepat beradaptasi dengan gangguan. Ini akan memungkinkan
operasi berkelanjutan dari proses bisnis penting dan layanan I&T yang diperlukan serta menjaga ketersediaan sumber daya, aset, dan informasi di a
tingkat yang dapat diterima oleh perusahaan.
Tujuan
Beradaptasi dengan cepat, lanjutkan operasi bisnis dan pertahankan ketersediaan sumber daya dan informasi pada tingkat yang dapat diterima oleh perusahaan dalam acara tersebut
gangguan yang signifikan (misalnya, ancaman, peluang, permintaan).
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
• AG05 Penyampaian layanan I&T sejalan dengan kebutuhan bisnis
• EG02 Risiko bisnis yang dikelola
• AG07 Keamanan informasi, infrastruktur pemrosesan dan
• EG06 Keberlanjutan dan ketersediaan layanan bisnis
aplikasi, dan privasi
• EG08 Optimalisasi fungsi proses bisnis internal
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
249
Halaman 250
DSS04.01 Mendefinisikan kebijakan, tujuan dan ruang lingkup bisnis yang berkelanSjeubtuaanh.. Persentase tujuan dan ruang lingkup kelangsungan bisnis yang dikerjakan
ulang karena Tentukan kebijakan dan ruang lingkup kelangsungan bisnis, selaras dengan perusahaan dan proses dan aktivitas yang salah diidentifikasi
tujuan pemangku kepentingan, untuk meningkatkan ketahanan bisnis. b. Persentase pemangku kepentingan utama yang berpartisipasi, menentukan dan menyetujui
kebijakan dan cakupan kontinuitas
Kegiatan Tingkat Kemampuan
1. Mengidentifikasi proses bisnis internal dan outsourcing dan aktivitas layanan yang penting untuk operasi perusahaan atau 2
diperlukan untuk memenuhi kewajiban hukum dan / atau kontrak.
2. Mengidentifikasi pemangku kepentingan utama dan peran serta tanggung jawab untuk mendefinisikan dan menyetujui kebijakan dan ruang lingkup kontinuitas.
3. Tentukan dan dokumentasikan tujuan dan ruang lingkup kebijakan minimum yang disepakati untuk ketahanan bisnis.
4. Mengidentifikasi proses bisnis pendukung yang penting dan layanan I&T terkait.
HITRUST CSF versi 9, September 2017 12.01 Aspek Keamanan Informasi dari Business Continuity Management
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 BC1.1 Strategi Keberlanjutan Bisnis; BC1.2 Business Continuity Program
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 17. Aspek keamanan informasi dari manajemen kelangsungan bisnis
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.6 Perencanaan kontinjensi (CP-1)
800-53, Revisi 5 (Draf), Agustus 2017
Praktek Manajemen Contoh Metrik
1. Identifikasi skenario potensial yang kemungkinan besar akan menimbulkan peristiwa yang dapat menyebabkan insiden mengganggu yang signifikan. 2
2. Melakukan analisis dampak bisnis untuk mengevaluasi dampak dari waktu ke waktu dari gangguan terhadap fungsi bisnis penting dan
efek yang akan ditimbulkan gangguan pada mereka.
3. Tetapkan waktu minimum yang diperlukan untuk memulihkan proses bisnis dan mendukung I&T, berdasarkan jangka waktu yang dapat diterima
gangguan bisnis dan pemadaman maksimum yang dapat ditoleransi.
4. Tentukan kondisi dan pemilik keputusan kunci yang akan menyebabkan terciptanya rencana kesinambungan.
Bangun, Dapatkan, dan Terapkan
5. Menilai kemungkinan ancaman yang dapat menyebabkan hilangnya kelangsungan bisnis. Identifikasi tindakan yang akan mengurangi kemungkinan 3
dan dampak melalui peningkatan pencegahan dan peningkatan ketahanan.
6. Menganalisis persyaratan kontinuitas untuk mengidentifikasi kemungkinan bisnis strategis dan pilihan teknis.
7. Identifikasi kebutuhan sumber daya dan biaya untuk setiap opsi teknis strategis dan buat rekomendasi strategis.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 BC1.3 Lingkungan Teknis yang Tangguh
250
Halaman 251
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
DSS04.03 Mengembangkan dan menerapkan respons kelangsungan bisnis. Sebuah. Jumlah sistem bisnis penting yang tidak tercakup dalam rencana
Mengembangkan rencana kesinambungan bisnis (BCP) dan rencana pemulihan bencana b. Persentase pemangku kepentingan utama yang terlibat dalam pengembangan BCP dan DRP
(DRP) berdasarkan strategi. Dokumentasikan semua prosedur yang diperlukan untuk
perusahaan untuk melanjutkan aktivitas kritis jika terjadi insiden.
1. Tentukan tindakan respons insiden dan komunikasi yang akan diambil jika terjadi gangguan. Tentukan peran terkait dan 2
tanggung jawab, termasuk akuntabilitas untuk kebijakan dan implementasi.
2. Pastikan pemasok utama dan mitra outsourcing memiliki rencana kesinambungan yang efektif. Dapatkan bukti yang diaudit sesuai kebutuhan.
3. Tentukan kondisi dan prosedur pemulihan yang akan memungkinkan dimulainya kembali pemrosesan bisnis. Termasuk memperbarui
dan rekonsiliasi database informasi untuk menjaga integritas informasi.
4. Mengembangkan dan memelihara BCP dan DRP operasional yang berisi prosedur yang harus diikuti untuk memungkinkan kelanjutan pengoperasian
proses bisnis penting dan / atau pengaturan pemrosesan sementara. Sertakan tautan ke rencana penyedia layanan yang dialihdayakan.
5. Tentukan dan dokumentasikan sumber daya yang diperlukan untuk mendukung prosedur keberlanjutan dan pemulihan, dengan mempertimbangkan orang,
fasilitas dan infrastruktur TI.
6. Tentukan dan dokumentasikan persyaratan cadangan informasi yang diperlukan untuk mendukung rencana tersebut. Sertakan rencana dan dokumen kertas
serta file data. Pertimbangkan kebutuhan keamanan dan penyimpanan di luar situs.
7. Tentukan keterampilan yang dibutuhkan untuk individu yang terlibat dalam pelaksanaan rencana dan prosedur.
8. Distribusikan rencana dan dokumentasi pendukung secara aman kepada pihak berkepentingan yang berwenang. Pastikan rencananya 3
dan dokumentasi dapat diakses dalam semua skenario bencana.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 BC1.4 Manajemen Krisis; BC2.1 Perencanaan Kontinuitas Bisnis
Kirim, Layanan, dan Dukungan
Institut Nasional Standar dan Publikasi Khusus Teknologi
3.6 Perencanaan kontinjensi (CP-6, CP-9, CP-10)
800-53, Revisi 5 (Draf), Agustus 2017
Praktek Manajemen Contoh Metrik
1. Tentukan tujuan untuk melatih dan menguji bisnis, teknis, logistik, administratif, prosedural dan operasional 2
sistem rencana untuk memverifikasi kelengkapan BCP dan DRP dalam memenuhi risiko bisnis.
2. Tentukan dan sepakati latihan pemangku kepentingan yang realistis dan validasi prosedur kontinuitas. Sertakan peran dan
tanggung jawab dan pengaturan penyimpanan data yang menyebabkan gangguan minimum pada proses bisnis.
3. Tetapkan peran dan tanggung jawab untuk melakukan latihan dan pengujian rencana kesinambungan.
4. Jadwalkan latihan dan aktivitas pengujian sebagaimana ditentukan dalam rencana kontinuitas. 3
6. Berdasarkan hasil review, susun rekomendasi untuk perbaikan rencana kontinuitas saat ini. 5
CMMI Cybermaturity Platform, 2018 PP.RS Mengembangkan dan Menjaga Rencana Tanggapan; PP.RP Mengembangkan dan
Pertahankan Rencana Pemulihan
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 BC2.3 Pengujian Kontinuitas Bisnis
Kontrol Keamanan Kritis CIS untuk Versi Pertahanan Siber yang Efektif
CSC 20: Tes Penetrasi dan Latihan Tim Merah
6.1, Agustus 2016
251
Halaman 252
1. Secara teratur, meninjau rencana kesinambungan dan kapabilitas terhadap asumsi yang dibuat dan operasional bisnis saat ini 3
dan tujuan strategis.
2. Secara teratur, tinjau rencana kesinambungan untuk mempertimbangkan dampak perubahan baru atau besar terhadap organisasi
perusahaan, proses bisnis, pengaturan outsourcing, teknologi, infrastruktur, sistem operasi dan sistem aplikasi.
3. Pertimbangkan apakah penilaian dampak bisnis yang direvisi mungkin diperlukan, tergantung pada sifat perubahan.
4. Merekomendasikan perubahan kebijakan, rencana, prosedur, infrastruktur, serta peran dan tanggung jawab. Komunikasikan sebagai
sesuai untuk persetujuan dan pemrosesan manajemen melalui proses manajemen perubahan TI.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
2. Tentukan dan pertahankan persyaratan dan rencana pelatihan bagi mereka yang melakukan perencanaan kontinuitas, penilaian dampak, risiko 3
penilaian, komunikasi media dan respon insiden. Pastikan bahwa rencana pelatihan mempertimbangkan frekuensi pelatihan dan
mekanisme penyampaian pelatihan.
3. Mengembangkan kompetensi berdasarkan pelatihan praktik, termasuk keikutsertaan dalam latihan dan tes.
BangunI,nDstiatupt
3.6 Perencanaan kontinjensi (CP-4)
aNtaksaionn,aldSatnanTdaerrdaapnkPaunblikasi
Khusus Teknologi 800-53, Revisi 5 (Draf), Agustus 2017
1. Mencadangkan sistem, aplikasi, data dan dokumentasi sesuai jadwal yang telah ditentukan. Pertimbangkan frekuensi (bulanan, 2
mingguan, harian, dll.), mode pencadangan (mis., pencerminan disk untuk pencadangan waktu nyata vs. DVD-ROM untuk penyimpanan jangka panjang), jenis
backup (mis., full vs. incremental), dan jenis media. Pertimbangkan juga pencadangan online otomatis, jenis data (mis., Suara, optik),
pembuatan log, data komputasi pengguna akhir yang penting (misalnya, spreadsheet), lokasi fisik dan logis dari sumber data, keamanan
dan hak akses, dan enkripsi.
2. Tetapkan persyaratan untuk penyimpanan data cadangan di tempat dan di luar situs yang memenuhi persyaratan bisnis. Pertimbangkan
aksesibilitas diperlukan untuk mencadangkan data.
3. Menguji dan menyegarkan data arsip dan cadangan secara berkala.
4. Memastikan bahwa sistem, aplikasi, data, dan dokumentasi yang dikelola atau diproses oleh pihak ketiga dicadangkan secara memadai
atau diamankan. Pertimbangkan untuk meminta pengembalian cadangan dari pihak ketiga. Pertimbangkan escrow atau pengaturan deposit.
252
Halaman 253
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SY2.3 Pencadangan
2. Menentukan efektivitas rencana, kesinambungan kemampuan, peran dan tanggung jawab, keterampilan dan kompetensi, ketahanan
insiden, infrastruktur teknis, dan struktur organisasi dan hubungan.
3. Mengidentifikasi kelemahan atau kelalaian dalam rencana dan kapabilitas dan membuat rekomendasi untuk perbaikan. Memperoleh
5
persetujuan manajemen untuk setiap perubahan rencana dan menerapkan melalui proses pengendalian perubahan perusahaan.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Tidak ada panduan terkait untuk praktik manajemen ini Kirim, Layanan, dan Dukungan
fficefrfice wners
r fficer
perations
HAI
echnology O
253
Halaman 254
DSS04.03 Mengembangkan dan menerapkan kelangsungan bisnis APO09.03 OLA Tanggapan insiden DSS02.01
tanggapan. tindakan dan
komunikasi
BCP Intern
DSS04.06 Melakukan pelatihan rencana kesinambungan. HR Daftar personel Hasil pemantauan APO07.03
membutuhkan pelatihan keterampilan dan kompetensi
Persyaratan pelatihan APO07.03
DSS04.08 Melakukan tinjauan pasca-dimulainya kembali. Perubahan yang disetujui pada BAI06.01
rencana
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Manajemen kontinuitas Kerangka Keterampilan untuk Era Informasi V6, 2015 COPL
254
Halaman 255
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
255
Halaman 256
256
Halaman 257
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Lindungi informasi perusahaan untuk menjaga tingkat risiko keamanan informasi yang dapat diterima oleh perusahaan sesuai dengan kebijakan keamanan.
Tetapkan dan pertahankan peran keamanan informasi dan hak akses. Lakukan pemantauan keamanan.
Tujuan
Minimalkan dampak bisnis dari kerentanan dan insiden keamanan informasi operasional.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG02 Risiko bisnis yang dikelola
➡ Tujuan Penyelarasan
• AG02 Risiko terkait I & T yang dikelola
• EG06 Keberlanjutan dan ketersediaan layanan bisnis
• AG07 Keamanan informasi, infrastruktur pemrosesan dan
aplikasi, dan privasi
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
EG02 a. Persentase tujuan dan layanan bisnis penting yang tercakup b. Rasio insiden signifikan yang tidak teridentifikasi dalam risiko penilaian vs. insiden total
dengan penilaian risiko
AG02 a. Frekuensi pemutakhiran profil risiko
b.
P
e
r
s
e
n
p
e
n
il
a
i
a
n
r
i
s
i
k
o
p
e
r
u
s
a
h
a
a
n
t
e
r
m
a
s
u
k
I
&
T
-
r
i
s
i
k
o
t
e
r
k
a
it
c. Jumlah insiden signifikan terkait I & T yang tidak terkait
c. Frekuensi pemutakhiran profil risiko diidentifikasi dalam penilaian risiko
A. Komponen: Proses
1. Instal dan aktifkan alat perlindungan perangkat lunak berbahaya di semua fasilitas pemrosesan, dengan file definisi perangkat lunak berbahaya itu 2
diperbarui sesuai kebutuhan (secara otomatis atau semi-otomatis).
2. Filter lalu lintas masuk, seperti email dan unduhan, untuk melindungi dari informasi yang tidak diminta (misalnya, spyware, email phishing).
3. Komunikasikan kesadaran perangkat lunak berbahaya dan terapkan prosedur pencegahan dan tanggung jawab. Lakukan pelatihan berkala 3
tentang malware dalam email dan penggunaan Internet. Latih pengguna untuk tidak membuka, tetapi melaporkan, email yang mencurigakan dan untuk tidak menginstal bersama atau
perangkat lunak yang tidak disetujui.
4. Mendistribusikan semua perangkat lunak perlindungan secara terpusat (versi dan tingkat patch) menggunakan konfigurasi terpusat dan manajemen perubahan TI.
5. Secara teratur meninjau dan mengevaluasi informasi tentang potensi ancaman baru (misalnya, meninjau keamanan produk dan layanan vendor 4
nasihat).
CMMI Cybermaturity Platform, 2018 DP.DC Mendeteksi Kode Berbahaya; Kerentanan dan Ancaman RI.VT
Identifikasi
HITRUST CSF versi 9, September 2017 09.04 Perlindungan Terhadap Kode Berbahaya & Seluler
SF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Solusi Keamanan TS1
SO / IEC 27002: 2013 / Kor.2: 2015 (E) 12.2 Perlindungan terhadap malware
Kontrol Keamanan Kritis CIS untuk Versi Pertahanan Siber yang Efektif CSC 4: Penilaian dan Perbaikan Kerentanan Berkelanjutan; CSC 8:
6.1, Agustus 2016 Pertahanan Malware
257
Halaman 258
DSS05.02 Mengelola keamanan jaringan dan konektivitas. Sebuah. Jumlah pelanggaran firewall
Gunakan langkah-langkah keamanan dan prosedur manajemen terkait untuk melindungi b. Jumlah kerentanan yang ditemukan
informasi atas semua metode konektivitas. c. Persentase waktu jaringan dan sistem tidak tersedia karena keamanan
kejadian
Kegiatan Tingkat Kemampuan
1. Izinkan hanya perangkat yang diotorisasi untuk memiliki akses ke informasi perusahaan dan jaringan perusahaan. Konfigurasi perangkat ini untuk 2
paksa entri kata sandi.
2. Menerapkan mekanisme penyaringan jaringan, seperti firewall dan perangkat lunak pendeteksi intrusi. Terapkan kebijakan yang sesuai untuk
mengontrol lalu lintas masuk dan keluar.
3. Terapkan protokol keamanan yang disetujui ke konektivitas jaringan.
6. Berdasarkan penilaian risiko dan kebutuhan bisnis, menetapkan dan memelihara kebijakan keamanan konektivitas.
7. Menetapkan mekanisme tepercaya untuk mendukung transmisi dan penerimaan informasi yang aman.
8. Melakukan pengujian penetrasi secara berkala untuk mengetahui kecukupan proteksi jaringan. 4
9. Melakukan pengujian keamanan sistem secara berkala untuk menentukan kecukupan perlindungan sistem.
CMMI Cybermaturity Platform, 2018 AC.MI Mengelola Integritas & Pemisahan Jaringan; Monitor CM.MN
Jaringan; AC.CP Kelola Perlindungan Komunikasi
HITRUST CSF versi 9, September 2017 01.04 Kontrol Akses Jaringan
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 PA2.3 Konektivitas Perangkat Seluler; NC1.1 Konfigurasi Perangkat Jaringan
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 13.1 Manajemen keamanan jaringan
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.20 Integritas sistem dan informasi (SI-8)
800-53, Revisi 5 (Draf), Agustus 2017
Kontrol Keamanan Kritis CIS untuk Versi Pertahanan Siber yang Efektif CSC 9: Batasan dan Kontrol Port Jaringan, Protokol, dan Layanan;
6.1, Agustus 2016 CSC 11: Konfigurasi Aman untuk Perangkat Jaringan seperti Firewall,
Router, dan Sakelar
Praktek Manajemen Contoh Metrik
BangunD, SDSa0p5.a0t3kManen, gdealonlaTkeeraampaknaann titik akhir.
Sebuah. Jumlah insiden yang melibatkan perangkat titik akhir
Pastikan titik akhir (mis., Laptop, desktop, server, dan seluler lainnya b. Jumlah perangkat tidak sah yang terdeteksi di jaringan atau di
dan perangkat jaringan atau perangkat lunak) diamankan pada tingkat yang setara lingkungan pengguna akhir
atau lebih besar dari persyaratan keamanan yang ditetapkan untuk informasi tersebut c. Persentase individu yang menerima pelatihan kesadaran terkait penggunaan
diproses, disimpan atau dikirim. perangkat titik akhir
Kegiatan Tingkat Kemampuan
3. Kelola akses dan kontrol jarak jauh (mis., Perangkat seluler, teleworking).
9. Kelola akses jahat melalui email dan browser web. Misalnya, blokir situs web tertentu dan nonaktifkan klik-tayang
pada tautan untuk ponsel cerdas.
10. Mengenkripsi informasi dalam penyimpanan sesuai dengan klasifikasinya. 3
258
Halaman 259
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
CMMI Cybermaturity Platform, 2018 IP.MM Menerapkan Manajemen Perangkat Seluler; TP.MP Menerapkan Perlindungan Media;
DP.DP Mendeteksi Kode Seluler dan Perlindungan Browser
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 PM1.3 Kerja Jarak Jauh; PA2.1 Konfigurasi Perangkat Seluler; PA2.4
Perangkat Milik Karyawan; PA2.5 Perangkat Penyimpanan Portabel; NC1.6
Pemeliharaan Jarak Jauh
Institut Nasional Standar dan Publikasi Khusus Teknologi
3.4 Penilaian, otorisasi dan pemantauan (CA-8, CA-9); 3.19 Sistem
800-53, Revisi 5 (Draf), Agustus 2017
dan perlindungan komunikasi (SC-10)
Kontrol Keamanan Kritis CIS untuk Versi Pertahanan Siber yang Efektif
6.1, Agustus 2016 CSC 3: Konfigurasi Aman untuk Perangkat Keras dan Perangkat Lunak di Seluler
Perangkat, Laptop, Workstation, dan Server; CSC 7: Email dan Web
Perlindungan Browser
Praktek Manajemen Contoh Metrik
DSS05.04 Mengelola identitas pengguna dan akses logis. Sebuah. Waktu rata-rata antara perubahan dan pembaruan akun
Memastikan bahwa semua pengguna memiliki hak akses informasi yang sesuai dengan b. Jumlah akun (vs. jumlah pengguna / staf yang berwenang)
persyaratan bisnis. Berkoordinasi dengan unit bisnis yang mengelolanya c. Jumlah insiden yang berkaitan dengan akses tidak sah ke informasi
memiliki hak akses dalam proses bisnis.
Kegiatan Tingkat Kemampuan
1. Menjaga hak akses pengguna sesuai dengan fungsi bisnis, persyaratan proses, dan kebijakan keamanan. Sejajarkan 2
pengelolaan identitas dan hak akses ke peran dan tanggung jawab yang ditentukan, berdasarkan hak istimewa paling rendah, kebutuhan untuk memiliki dan
prinsip yang perlu diketahui.
2. Mengelola semua perubahan pada hak akses (pembuatan, modifikasi dan penghapusan) secara tepat waktu hanya berdasarkan persetujuan dan 3
transaksi terdokumentasi yang disahkan oleh individu manajemen yang ditunjuk.
3. Pisahkan, kurangi hingga jumlah minimum yang diperlukan dan secara aktif mengelola akun pengguna dengan hak istimewa. Pastikan pemantauan di semua
aktivitas di akun ini. Kirim, Layanan, dan Dukungan
4. Secara unik mengidentifikasi semua aktivitas pemrosesan informasi berdasarkan peran fungsional. Berkoordinasi dengan unit bisnis untuk memastikan bahwa semua peran
didefinisikan secara konsisten, termasuk peran yang ditentukan oleh bisnis itu sendiri dalam aplikasi proses bisnis.
5. Mengautentikasi semua akses ke aset informasi berdasarkan peran individu atau aturan bisnis. Berkoordinasi dengan unit bisnis
yang mengelola otentikasi dalam aplikasi yang digunakan dalam proses bisnis untuk memastikan bahwa kontrol otentikasi telah dilakukan
dikelola dengan benar.
6. Memastikan bahwa semua pengguna (internal, eksternal dan sementara) dan aktivitas mereka pada sistem TI (aplikasi bisnis, infrastruktur TI,
operasi sistem, pengembangan dan pemeliharaan) dapat diidentifikasi secara unik.
7. Menjaga jejak audit akses ke informasi tergantung pada sensitivitas dan persyaratan peraturannya. 4
8. Lakukan tinjauan manajemen rutin semua akun dan hak istimewa terkait.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 PM1.1 Siklus Hidup Kerja; Manajemen Akses SA1
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 7.3 Pemutusan hubungan kerja dan perubahan pekerjaan; 9. Kontrol akses
ITIL V3, 2011 Operasi Layanan, 4.5 Manajemen Akses
259
Halaman 260
1. Catat dan pantau semua titik masuk ke situs TI. Daftarkan semua pengunjung, termasuk kontraktor dan vendor, ke situs. 2
2. Pastikan semua personel menampilkan identifikasi yang disetujui dengan benar setiap saat.
4. Batasi dan pantau akses ke situs TI yang sensitif dengan menetapkan batasan perimeter, seperti pagar, dinding, dan
keamanan perangkat di pintu interior dan eksterior.
5. Kelola permintaan untuk mengizinkan akses resmi yang sesuai ke fasilitas komputasi. 3
6. Pastikan profil akses tetap terkini. Akses dasar ke situs IT (ruang server, gedung, area atau zona) pada fungsi
pekerjaan dan tanggung jawab.
7. Lakukan pelatihan kesadaran keamanan informasi fisik secara teratur.
CMMI Cybermaturity Platform, 2018 AC.MA Kelola Akses; ID.DI Menentukan Dampak
HITRUST CSF versi 9, September 2017 01.01 Persyaratan Bisnis untuk Kontrol Akses; 01.02 Resmi
Akses ke Sistem Informasi; 02.0 Keamanan Sumber Daya Manusia
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 NC1.2 Manajemen Jaringan Fisik
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 11. Keamanan fisik dan lingkungan
2. Pastikan kontrol kriptografi tersedia untuk melindungi informasi sensitif yang disimpan secara elektronik.
3. Tetapkan hak akses ke dokumen sensitif dan perangkat keluaran berdasarkan prinsip paling-hak istimewa, seimbangkan risiko dan 3
persyaratan bisnis.
4. Buat inventarisasi dokumen sensitif dan perangkat keluaran, dan lakukan rekonsiliasi secara teratur.
260
Halaman 261
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
HITRUST CSF versi 9, September 2017 01.06 Kontrol Akses Aplikasi & Informasi; 01.07 Ponsel
Komputasi & Teleworking; 08.0 Keamanan Fisik & Lingkungan; 10.03
Kontrol Kriptografi; 10.04 Keamanan File Sistem
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 IR2.3 Penilaian Dampak Bisnis - Persyaratan Kerahasiaan; IR2.4
Penilaian Dampak Bisnis - Persyaratan Integritas; IR2.5 Bisnis
Penilaian Dampak - Persyaratan Ketersediaan; IM2.2 Fisik Sensitif
Informasi; PA2.2 Enterprise Mobility Man
2. Tentukan dan komunikasikan skenario risiko, sehingga dapat dengan mudah dikenali, dan kemungkinan serta dampaknya dipahami.
4. Pastikan bahwa tiket insiden terkait keamanan dibuat tepat waktu saat pemantauan mengidentifikasi potensi insiden.
5. Catat peristiwa terkait keamanan dan simpan catatan untuk periode yang sesuai. 3
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 IR2.6 Profil Ancaman
261
Halaman 262
KepKaleapPIanrlafoosKPremesetpBuaPasgielsianOgiKSsKeueOmempaMbabmlaeanarnPbgnaDarjignaeviyraKIasKneiMfepTOoaaraImlmnauaanssiiaan Informasi
DSS05.01 Melindungi dari perangkat lunak berbahaya. ARRRRR
DSS05.07 Mengelola kerentanan dan memantau infrastruktur untuk kejadian terkait keamanan. SEBUAH RRR
DSS05.01 Melindungi dari perangkat lunak berbahaya. Dari Deskripsi Deskripsi Untuk
DSS05.02 Mengelola keamanan jaringan dan konektivitas. APO01.07 Klasifikasi data Keamanan konektivitas APO01.02
DSS05.04 Mengelola identitas pengguna dan akses logis. APO01.05 Definisi terkait I & T
Hasil tinjauan Intern
peran dan tanggung jawab
akun pengguna dan
hak istimewa
APO03.02 Arsitektur informasi
Akses pengguna yang disetujui Intern
model
hak
262
Halaman 263
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
Akses disetujui
Intern
permintaan
DSS05.06 Mengelola dokumen dan keluaran sensitif
APO03.02 Arsitektur informasi Hak akses Intern
perangkat. model
Inventaris sensitif Intern
dokumen dan perangkat
DSS05.07 Mengelola kerentanan dan memantau
Tiket insiden keamanan DSS02.02
infrastruktur untuk acara terkait keamanan.
Insiden keamanan
karakteristik Intern
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan)
Referensi Terperinci
Log peristiwa keamanan Intern
Tidak ada panduan terkait untuk komponen ini
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Informasi keamanan Kerangka Keterampilan untuk Era Informasi V6, 2015 SCTY Kirim, Layanan, dan Dukungan
Manajemen keamanan informasi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
E. Kelola— E.8. Informasi
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Manajemen keamanan
Pengujian penetrasi Kerangka Keterampilan untuk Era Informasi V6, 2015 TERPENDAM
Administrasi keamanan Kerangka Keterampilan untuk Era Informasi V6, 2015 JUMLAH BESAR
• Layanan direktori
• Sistem pemfilteran email
• Identitas dan sistem manajemen akses
• Layanan kesadaran keamanan
• Alat informasi keamanan dan manajemen acara (SIEM)
• Layanan pusat operasi keamanan (SOC)
• Layanan penilaian keamanan pihak ketiga
• Sistem pemfilteran URL
263
Halaman 264
Halaman 265
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Tentukan dan pertahankan kontrol proses bisnis yang tepat untuk memastikan bahwa informasi terkait dan diproses oleh in-house atau outsourcing
proses bisnis memenuhi semua persyaratan pengendalian informasi yang relevan. Identifikasi persyaratan pengendalian informasi yang relevan. Kelola dan
mengoperasikan kontrol input, throughput dan output yang memadai (kontrol aplikasi) untuk memastikan bahwa informasi dan pemrosesan informasi memenuhi ini
Persyaratan.
Tujuan
Menjaga integritas informasi dan keamanan aset informasi yang ditangani dalam proses bisnis di perusahaan atau operasi yang dialihdayakan.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
➡ Tujuan Penyelarasan
AG08 Mengaktifkan dan mendukung proses bisnis dengan mengintegrasikan
• EG05 Budaya layanan berorientasi pelanggan
aplikasi dan teknologi
• EG08 Optimalisasi fungsi proses bisnis internal
• Program transformasi digital terkelola EG12
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
DSS06.01 Menyelaraskan aktivitas pengendalian yang tertanam dalam proses bisnisSedbeunagha.nPersen dari inventaris yang diselesaikan dari proses kritis dan pengendalian kunci
tujuan perusahaan. b. Persentase kontrol pemrosesan yang selaras dengan kebutuhan bisnis
Secara terus menerus menilai dan memantau pelaksanaan proses bisnis
kegiatan dan pengendalian terkait (berdasarkan risiko perusahaan), untuk memastikannya
kontrol pemrosesan selaras dengan kebutuhan bisnis.
265
Halaman 266
1. Mengidentifikasi dan mendokumentasikan kegiatan pengendalian yang diperlukan untuk proses bisnis utama untuk memenuhi persyaratan pengendalian strategis,2
tujuan operasional, pelaporan dan kepatuhan.
2. Mengutamakan aktivitas pengendalian berdasarkan risiko yang melekat pada bisnis. Identifikasi kontrol kunci.
5. Secara terus menerus memonitor aktivitas pengendalian secara end-to-end untuk mengidentifikasi peluang perbaikan. 4
1. Otentikasi pencetus transaksi dan verifikasi bahwa individu memiliki kewenangan untuk memulai transaksi. 2
2. Memastikan pemisahan tugas yang memadai terkait awal dan persetujuan transaksi.
3. Verifikasi bahwa transaksi akurat, lengkap dan valid. Kontrol dapat mencakup urutan, batas, rentang, validitas, kewajaran, 3
pencarian tabel, keberadaan, verifikasi kunci, digit pemeriksa, kelengkapan, pemeriksaan hubungan duplikat dan logis, dan pengeditan waktu.
Kriteria dan parameter validasi harus tunduk pada tinjauan dan konfirmasi berkala. Validasi input data dan edit atau,
jika memungkinkan, kirim kembali untuk koreksi sedekat mungkin dengan titik asal.
4. Tanpa mengorbankan tingkat otorisasi transaksi asli, perbaiki dan kirim ulang data yang salah masukan. Dimana
sesuai untuk rekonstruksi, simpan dokumen sumber asli untuk jangka waktu yang sesuai.
5. Menjaga integritas dan validitas data selama siklus pemrosesan. Pastikan deteksi transaksi yang salah
tidak mengganggu pemrosesan transaksi yang valid.
Bangun6,. DTaanpgaantki kaenlu, adraanndTenegraanpckaraanyang sah, kirimkan ke penerima yang sesuai dan lindungi informasi selama transmisi.
Verifikasi akurasi dan kelengkapan output.
7. Menjaga integritas data selama gangguan tak terduga dalam pemrosesan bisnis. Konfirmasikan integritas data setelah diproses
kegagalan.
8. Sebelum menyampaikan data transaksi antara aplikasi internal dan fungsi bisnis / operasional (di dalam atau di luar
perusahaan), memeriksa pengalamatan yang tepat, keaslian asal dan integritas konten. Pertahankan keaslian dan integritas
selama transmisi atau transportasi.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
HITRUST CSF versi 9, September 2017 13.01 Keterbukaan dan Transparansi; 13.02 Pilihan Individu dan
Partisipasi
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 BA1.4 Validasi Informasi
266
Halaman 267
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Mengalokasikan peran dan tanggung jawab berdasarkan uraian tugas dan aktivitas proses bisnis yang disetujui. 2
2. Mengalokasikan tingkat otoritas untuk persetujuan transaksi, batasan transaksi dan keputusan lain yang berkaitan dengan bisnis
proses, berdasarkan peran pekerjaan yang disetujui.
3. Mengalokasikan peran untuk aktivitas sensitif sehingga ada pemisahan tugas yang jelas.
4. Alokasikan hak akses dan keistimewaan berdasarkan jumlah minimum yang diperlukan untuk melakukan aktivitas pekerjaan, berdasarkan pekerjaan yang telah di3tentukan
sebelumnya peran. Hapus atau revisi hak akses segera jika peran pekerjaan berubah atau anggota staf meninggalkan area proses bisnis.
Tinjau secara berkala untuk memastikan bahwa akses tersebut sesuai dengan ancaman, risiko, teknologi, dan kebutuhan bisnis saat ini.
5. Secara teratur, berikan penyadaran dan pelatihan tentang peran dan tanggung jawab sehingga semua orang mengerti
tanggung jawab; pentingnya kontrol; dan keamanan, integritas, kerahasiaan, dan privasi informasi perusahaan di semua
bentuknya.
6. Pastikan hak istimewa administratif cukup dan efektif diamankan, dilacak dan dikendalikan untuk mencegah penyalahgunaan.
7. Tinjau definisi kontrol akses, log, dan laporan pengecualian secara berkala. Pastikan bahwa semua hak akses valid dan
4
selaras dengan anggota staf saat ini dan peran mereka yang dialokasikan.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci Kirim, Layanan, dan Dukungan
HITRUST CSF versi 9, September 2017 13.04 Pengumpulan, Penggunaan dan Pengungkapan
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 7. Keamanan sumber daya manusia
Kontrol Keamanan Kritis CIS untuk Versi Pertahanan Siber yang Efektif
6.1, Agustus 2016 CSC 5: Penggunaan Hak Istimewa Administratif yang Terkendali
2. Menindaklanjuti, mengoreksi, menyetujui, dan mengirimkan kembali dokumen dan transaksi sumber.
4. Tentukan dan pertahankan prosedur untuk menetapkan kepemilikan atas kesalahan dan pengecualian, mengoreksi kesalahan, menimpa kesalahan dan menangani-3
kondisi keseimbangan.
5. Laporkan kesalahan proses informasi bisnis yang relevan secara tepat waktu untuk melakukan akar penyebab dan analisis tren. 4
267
Halaman 268
DSS06.05 Memastikan keterlacakan dan akuntabilitas untuk peristiwa informasi. Sebuah. Jumlah insiden di mana riwayat transaksi tidak dapat dipulihkan
Pastikan bahwa informasi bisnis dapat dilacak ke asalnya b. Persentase kelengkapan log transaksi yang dapat dilacak
acara bisnis dan terkait dengan pihak yang bertanggung jawab. Ini
kemampuan untuk dapat ditemukan memberikan jaminan bahwa informasi bisnis dapat diandalkan
dan telah diproses sesuai dengan tujuan yang ditetapkan.
Kegiatan Tingkat Kemampuan
1. Batasi penggunaan, distribusi dan akses fisik informasi sesuai dengan klasifikasinya. 2
3. Menerapkan klasifikasi data dan penggunaan yang dapat diterima serta kebijakan dan prosedur keamanan untuk melindungi aset informasi di bawah 3
kendali bisnis.
4. Mengidentifikasi dan menerapkan proses, alat, dan teknik untuk memverifikasi kepatuhan secara wajar.
5. Melaporkan kepada bisnis dan pemangku kepentingan lainnya tentang pelanggaran dan penyimpangan. 4
268
Halaman 269
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
fficer wners
KomKiteepSaEAlkaYsKIeAnkefuTpoPtarirmlfaoasFPesueistnOBuMggissaainsnMiMsKaajOaennaPraamePjjneeaemarlnasaKeeynhaeanaDItnmaafhntaouanrkmaunamsIinformasi
DSS06.01 Menyelaraskan aktivitas pengendalian yang tertanam dalam proses bisnis dengan tujuan perusahaan. R SEBUARH
DSS06.03 Mengelola peran, tanggung jawab, hak akses dan tingkat otoritas. RARR R
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) Kirim, Layanan, dan Dukungan
Praktek Manajemen Masukan Keluaran
DSS06.01 Menyelaraskan aktivitas pengendalian yang tertanam dalam bDisanrisi Deskripsi Deskripsi Untuk
proses dengan tujuan perusahaan.
APO01.07 • Klasifikasi data Analisis akar penyebab dan BAI06.01;
pedoman rekomendasi MEA02.04;
• Integritas data MEA04.04;
Prosedur MEA04.06;
MEA04.07
Hasil pengolahan MEA02.04
tinjauan efektivitas
DSS06.02 Mengontrol pemrosesan informasi. BAI05.05 Rencana operasi dan penggunaanKontrol pemrosesan Intern
laporan
BAI07.02 Rencana migrasi
DSS06.03 Mengelola peran, tanggung jawab, akses APO11.01 Manajemen mutu Tingkat yang dialokasikan dari APO01.05
hak istimewa dan tingkat otoritas. peran sistem (QMS), wewenang
tanggung jawab dan
hak keputusan
APO13.01 Informasi keamanan
Peran yang dialokasikan dan APO01.05
sistem manajemen
tanggung jawab
Pernyataan ruang lingkup (ISMS)
269
Halaman 270
C. Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Informasi keamanan Kerangka Keterampilan untuk Era Informasi V6, 2015 SCTY
Administrasi keamanan Kerangka Keterampilan untuk Era Informasi V6, 2015 JUMLAH BESAR
m
a
n
a
j
e
m
e
n
p
e
r
u
b
a
h
a
n
)
d
a
n
k
o
n
t
r
o
l
a
p
l
i
k
a
s
i
(
m
i
s
a
l
n
y
a
,
e
d
i
t
m
e
m
e
r
i
k
s
a
,
k
o
n
f
i
g
u
r
a
s
i
s
i
s
t
e
m
d
a
n
pengaturan keamanan).
Ciptakan budaya yang mencakup kebutuhan akan kontrol suara dalam bisnis
proses, membangunnya menjadi aplikasi dalam pengembangan atau membutuhkan
mereka dalam aplikasi yang dibeli atau diakses sebagai layanan. Dorong semua
karyawan memiliki kesadaran kontrol untuk melindungi semua aset
organisasi (misalnya, catatan kertas dan fasilitas).
270
Halaman 271
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
04 Jaminan Terkelola
Halaman 272
272
Halaman 273
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Domain: Pantau, Evaluasi, dan Nilai
Tujuan Manajemen: MEA01 - Kinerja Terkelola dan Pemantauan Kesesuaian Area Fokus: Model Inti COBIT
Deskripsi
Kumpulkan, validasi, dan evaluasi perusahaan serta tujuan dan metrik penyelarasan. Pantau bahwa proses dan praktik berjalan sesuai kesepakatan
kinerja dan kesesuaian tujuan dan metrik. Memberikan pelaporan yang sistematis dan tepat waktu.
Tujuan
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
273
Halaman 274
2. Terlibat dengan pemangku kepentingan dan mengkomunikasikan persyaratan dan tujuan perusahaan untuk pemantauan, agregasi dan
pelaporan, menggunakan definisi umum (misalnya, glosarium bisnis, metadata dan taksonomi), baseline dan benchmarking.
3. Sejajarkan dan pertahankan secara berkelanjutan pendekatan pemantauan dan evaluasi dengan pendekatan perusahaan dan alat yang akan digunakan
untuk pengumpulan data dan pelaporan perusahaan (misalnya, aplikasi intelijen bisnis).
4. Setuju pada jenis tujuan dan metrik (misalnya, kesesuaian, kinerja, nilai, risiko), taksonomi (klasifikasi dan
hubungan antara tujuan dan metrik) dan retensi data (bukti).
5. Meminta, memprioritaskan dan mengalokasikan sumber daya untuk memantau, mempertimbangkan kesesuaian, efisiensi, efektivitas, dan kerahasiaan.
6. Secara berkala memvalidasi pendekatan yang digunakan dan mengidentifikasi pemangku kepentingan baru atau yang berubah, persyaratan dan sumber daya. 3
7. Menyetujui manajemen siklus hidup dan proses pengendalian perubahan untuk pemantauan dan pelaporan. Sertakan peluang peningkatan
untuk pelaporan, metrik, pendekatan, garis dasar, dan pembandingan.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung - Pengukuran dan Analisis
SF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Kinerja Keamanan SI2
ISO / IEC 27001: 2013 / Kor.2: 2015 (E) 9.1 Pemantauan, pengukuran, analisis dan evaluasi
ISO / IEC 38500: 2015 (E) 5.5 Prinsip 4: Kinerja; 5.6 Prinsip 5: Kesesuaian
MEA01.02 Tetapkan target kinerja dan kesesuaian. Sebuah. Persentase tujuan dan metrik yang disetujui oleh pemangku kepentingan
Bekerja dengan pemangku kepentingan untuk menentukan, meninjau, memperbarui, dan bs.ecPaerrasebnetraksaelaproses dengan efektivitas tujuan dan metrik yang ditinjau
menyetujui kinerja dan target kesesuaian dalam kinerja dan ditingkatkan
sistem pengukuran.
Kegiatan Tingkat Kemampuan
1. Tentukan tujuan dan metrik. Tinjau secara berkala dengan pemangku kepentingan untuk mengidentifikasi item penting yang hilang dan menentukannya 2
kewajaran target dan toleransi.
2. Mengevaluasi apakah tujuan dan metrik sudah memadai, yaitu spesifik, terukur, dapat dicapai, relevan, dan terikat waktu (SMART).
3. Mengkomunikasikan perubahan yang diusulkan untuk kinerja dan kesesuaian target dan toleransi (terkait dengan metrik) dengan ketepatan kunci
pemangku kepentingan ketekunan (misalnya, hukum, audit, SDM, etika, kepatuhan, keuangan).
4. Publikasikan target dan toleransi yang diubah kepada pengguna informasi ini.
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung - Manajemen Proses
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.4 Penilaian, otorisasi dan pemantauan (CA-5)
800-53, Revisionv5 (Draft), Agustus 2017
Praktek Manajemen Contoh Metrik
274
Halaman 275
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
2. Menilai efisiensi (upaya dalam kaitannya dengan wawasan yang diberikan) dan kesesuaian (kegunaan dan makna) dari data yang dikumpulkan dan
memvalidasi integritas data (akurasi dan kelengkapan).
3. Mengumpulkan data untuk mendukung pengukuran metrik yang disepakati.
5. Gunakan alat dan sistem yang sesuai untuk pemrosesan dan analisis data. 4
1. Merancang laporan kinerja proses yang ringkas, mudah dipahami, dan disesuaikan dengan berbagai kebutuhan dan manajemen 3
audiens. Memfasilitasi pengambilan keputusan yang efektif dan tepat waktu (misalnya, kartu skor, laporan lampu lalu lintas). Pastikan sebab dan akibatnya
antara tujuan dan metrik dikomunikasikan dengan cara yang dapat dimengerti.
3. Menganalisis penyebab penyimpangan terhadap target, memulai tindakan perbaikan, menetapkan tanggung jawab untuk perbaikan, dan mengikuti 4
naik. Pada waktu yang tepat, tinjau semua penyimpangan dan cari akar penyebabnya, jika perlu. Dokumentasikan masalah lebih lanjut
panduan jika masalah berulang. Hasil dokumen.
4. Jika memungkinkan, integrasikan kinerja dan kepatuhan ke dalam tujuan dan tautan kinerja masing-masing anggota staf
pencapaian target kinerja untuk sistem kompensasi penghargaan organisasi.
5. Bandingkan nilai kinerja dengan target dan tolok ukur internal dan, jika memungkinkan, dengan tolok ukur eksternal (industri
dan pesaing utama).
6. Menganalisis tren kinerja dan kepatuhan dan mengambil tindakan yang sesuai.
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung - Pengukuran dan Analisis
1. Tinjau tanggapan, pilihan, dan rekomendasi manajemen untuk menangani masalah dan penyimpangan utama. 2
ITIL V3, 2011 Peningkatan Layanan Berkelanjutan, 4.1 Proses Peningkatan 7 Langkah
275
Halaman 276
fficer wners
fficer fficer
perations
HAI
KomKiteepKaElekapsKEeaklkeaupsKeBtaiklfaeaugptSOiaiafAlpnaOYePKIrAnraefosTuoisMareOmnsagBnaPasainesijneOgiKrseHeOmpuMbablaaunnbgagajagneniraKPneepTlaIylaanan
MEA01.01 Menetapkan pendekatan pemantauan. RARRRR
276
Halaman 277
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
MEA01.03 Mengumpulkan dan memproses kinerja dan Dari Deskripsi Deskripsi Untuk
data kesesuaian.
APO01.11 Kemampuan memproses Pemantauan yang diproses Intern
penilaian data
APO05.03 Portofolio investasi
laporan kinerja
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Tinjauan kesesuaian Kerangka Keterampilan untuk Era Informasi V6, 2015 INTI
Manajemen kualitas TIK e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
E. Kelola — E.6. Kualitas TIK
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Pengelolaan
Kualitas asuransi Kerangka Keterampilan untuk Era Informasi V6, 2015 QUAS
277
Halaman 278
• Sistem pengukuran kinerja (misalnya, kartu skor berimbang, alat manajemen keterampilan)
• Alat penilaian diri
278
Halaman 279
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Mendapatkan transparansi bagi pemangku kepentingan utama tentang kecukupan sistem pengendalian internal dan dengan demikian memberikan kepercayaan dalam operasi, kepercayaan pada
pencapaian tujuan perusahaan dan pemahaman yang memadai tentang risiko residual.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG03 Kepatuhan terhadap hukum dan peraturan eksternal
➡ Tujuan Penyelarasan
AG11 Kepatuhan I&T dengan kebijakan internal
• EG11 Kepatuhan terhadap kebijakan internal
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Identifikasi batasan sistem pengendalian internal. Misalnya, pertimbangkan bagaimana pengendalian internal organisasi dilakukan 3
akun yang dialihdayakan dan / atau kegiatan pengembangan atau produksi lepas pantai.
2. Menilai status pengendalian internal penyedia layanan eksternal. Konfirmasikan bahwa penyedia layanan mematuhi hukum dan
persyaratan regulasi dan kewajiban kontrak. Pantau, Evaluasi, dan Nilai
3. Melakukan kegiatan pemantauan dan evaluasi pengendalian internal berdasarkan standar tata kelola organisasi dan industri-
kerangka kerja dan praktik yang diterima. Juga mencakup pemantauan dan evaluasi efisiensi dan efektivitas manajerial
kegiatan pengawasan.
4. Pastikan bahwa pengecualian kontrol segera dilaporkan, ditindaklanjuti, dan dianalisis, dan tindakan korektif yang sesuai harus dilaporkan
diprioritaskan dan diterapkan sesuai profil manajemen risiko (misalnya, mengklasifikasikan pengecualian tertentu sebagai risiko utama dan lain-lain
sebagai risiko non-kunci).
5. Pertimbangkan evaluasi independen atas sistem pengendalian internal (misalnya, oleh audit internal atau rekan kerja).
6. Menjaga sistem pengendalian internal, dengan mempertimbangkan perubahan yang sedang berlangsung dalam bisnis dan risiko I&T, pengendalian organisasi 4
lingkungan, dan bisnis yang relevan serta proses I&T. Jika ada celah, evaluasi dan rekomendasikan perubahan.
7. Secara teratur mengevaluasi kinerja kerangka kontrol, melakukan benchmarking terhadap standar yang diterima industri dan baik 5
praktek. Pertimbangkan penerapan formal pendekatan perbaikan berkelanjutan untuk pemantauan pengendalian internal.
279
Halaman 280
ISO / IEC 38502: 2017 (E) 5.5 Tata kelola dan pengendalian internal
2. Identifikasi kontrol kunci dan kembangkan strategi yang sesuai untuk memvalidasi kontrol.
3. Mengidentifikasi informasi yang akan menunjukkan apakah lingkungan pengendalian internal beroperasi secara efektif.
5. Mengembangkan dan menerapkan prosedur hemat biaya untuk mendapatkan informasi ini sesuai dengan kriteria kualitas informasi yang berlaku.
1. Tetapkan pendekatan yang disepakati dan konsisten untuk melakukan penilaian diri pengendalian dan koordinasi dengan auditor internal dan eksternal. 3
2. Menjaga rencana evaluasi, dan lingkup serta mengidentifikasi kriteria evaluasi untuk melakukan penilaian diri. Rencanakan komunikasi
hasil proses penilaian diri untuk bisnis, TI dan manajemen umum dan dewan. Pertimbangkan audit internal
standar dalam desain penilaian diri.
3. Tentukan frekuensi penilaian diri secara berkala, dengan mempertimbangkan keseluruhan efektivitas dan efisiensi yang sedang
berlangsung pemantauan.
4. Tetapkan tanggung jawab untuk penilaian diri kepada individu yang sesuai untuk memastikan objektivitas dan kompetensi.
5. Menyediakan tinjauan independen untuk memastikan objektivitas penilaian diri dan memungkinkan pembagian barang pengendalian internal
praktik dari perusahaan lain.
6. Bandingkan hasil penilaian mandiri dengan standar industri dan praktik yang baik. 4
7. Meringkas dan melaporkan hasil penilaian diri dan tolok ukur untuk tindakan perbaikan. 5
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Pantau, Evaluasi, dan Nilai
ISO / IEC 27001: 2013 / Kor.2: 2015 (E) 9.3 Tinjauan manajemen
Institut Nasional Standar dan Publikasi Khusus Teknologi
3.7 Pemantauan (Tugas 2)
800-37, Revisi 2 (Draf), Mei 2018
280
Halaman 281
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
1. Komunikasikan prosedur untuk eskalasi pengecualian kontrol, analisis akar penyebab, dan pelaporan kepada pemilik proses dan I&T 3
pemangku kepentingan.
2. Mempertimbangkan risiko perusahaan terkait untuk menetapkan ambang batas untuk eskalasi pengecualian dan kerusakan kontrol.
3. Identifikasi, laporkan, dan catat pengecualian kontrol. Tetapkan tanggung jawab untuk menyelesaikannya dan melaporkan statusnya.
4. Putuskan pengecualian kontrol mana yang harus dikomunikasikan kepada individu yang bertanggung jawab atas fungsi dan pengecualian mana
harus ditingkatkan. Beri tahu pemilik proses dan pemangku kepentingan yang terpengaruh.
5. Tindak lanjuti semua pengecualian untuk memastikan bahwa tindakan yang disepakati telah ditangani. 4
6. Mengidentifikasi, memulai, melacak dan menerapkan tindakan perbaikan yang timbul dari penilaian kontrol dan pelaporan. 5
ffice.dll
ffice frficer wners
fficer perations
HAIAdministrasi
fficer
echnology O
Dewan Tata Kelola
Praktik Manajemen Kunci
KepRaliasiKkBoaegpUKiaatlaenapmSKIanaAleafYOuoPTarArmnoTgasMaesnisaOBnPaiesjnegiKmseeeOmpnKbaPlaearnpoMbgayaleaagnkniMbaKaOanjaegenpTiMraaIPnjlaaeenTPrlaIrKjyievaeransKmainoOann
tainuIintafosrBmisansis
MEA02.01 Memantau pengendalian internal. RAR RRRRRRRRR
281
Halaman 282
MEA02.04 Identifikasi dan laporkan kekurangan pengendalian. APO11.03 Akar penyebab kegagalan
Tindakan perbaikan Semua APO;
memberikan kualitas
Semua BAI;
Semua DSS;
Semua MEA
Manajemen risiko e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
Profesional di semua sektor industri —Bagian 1: Kerangka, 2016 E. Kelola — E.3. Risiko
Pengelolaan
282
Halaman 283
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
283
Halaman 284
284
Halaman 285
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Deskripsi
Evaluasi bahwa proses I&T dan proses bisnis yang didukung I & T sesuai dengan undang-undang, peraturan, dan persyaratan kontrak. Memperoleh
jaminan bahwa persyaratan telah diidentifikasi dan dipenuhi; mengintegrasikan kepatuhan TI dengan kepatuhan perusahaan secara keseluruhan.
Tujuan
Pastikan perusahaan mematuhi semua persyaratan eksternal yang berlaku.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
EG03 Kepatuhan terhadap hukum dan peraturan eksternal
➡ Tujuan Penyelarasan
AG01 Kepatuhan I&T dan dukungan untuk kepatuhan bisnis dengan
hukum dan peraturan eksternal
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Tetapkan tanggung jawab untuk mengidentifikasi dan memantau setiap perubahan hukum, peraturan, dan persyaratan kontrak eksternal lainnya 2
relevan dengan penggunaan sumber daya TI dan pemrosesan informasi dalam bisnis dan operasi TI perusahaan.
2. Mengidentifikasi dan menilai semua persyaratan kepatuhan potensial dan dampaknya pada kegiatan I&T di berbagai bidang seperti aliran data, privasi,
pengendalian internal, pelaporan keuangan, peraturan khusus industri, kekayaan intelektual, kesehatan dan keselamatan.
3. Menilai dampak persyaratan hukum dan peraturan terkait I & T pada kontrak pihak ketiga yang terkait dengan operasi, layanan TI
penyedia dan mitra dagang bisnis.
5. Dapatkan penasihat independen, jika sesuai, tentang perubahan pada hukum, peraturan, dan standar yang berlaku. 3
6. Menjaga catatan terbaru dari semua persyaratan hukum, peraturan dan kontrak yang relevan; dampaknya dan tindakan yang diperlukan. Pantau, Evaluasi, dan Nilai
7. Menjaga daftar keseluruhan yang harmonis dan terintegrasi dari persyaratan kepatuhan eksternal untuk perusahaan.
HITRUST CSF versi 9, September 2017 06.01 Kepatuhan dengan Persyaratan Hukum
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SM2.3 Kepatuhan Hukum dan Peraturan
285
Halaman 286
1. Secara teratur meninjau dan menyesuaikan kebijakan, prinsip, standar, prosedur dan metodologi untuk memastikan efektivitasnya 3
kepatuhan yang diperlukan dan menangani risiko perusahaan. Gunakan tenaga ahli internal dan eksternal, sesuai kebutuhan.
2. Komunikasikan persyaratan baru dan yang diubah kepada semua personel yang relevan.
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 5.4: Area fungsional tata kelola - Prinsip 13
2. Mengatasi kesenjangan kepatuhan dalam kebijakan, standar dan prosedur secara tepat waktu.
3. Secara berkala mengevaluasi proses dan aktivitas bisnis dan TI untuk memastikan kepatuhan terhadap hukum, peraturan, dan yang berlaku
persyaratan kontrak.
4. Secara teratur meninjau pola berulang dari kegagalan kepatuhan dan menilai pelajaran yang didapat. 4
5. Berdasarkan tinjauan dan pembelajaran, perbaiki kebijakan, standar, prosedur, metodologi, dan proses terkait dan 5
kegiatan.
1. Dapatkan konfirmasi rutin tentang kepatuhan terhadap kebijakan internal dari pemilik proses bisnis dan TI serta kepala unit. 2
2. Lakukan tinjauan internal dan eksternal secara teratur (dan, jika sesuai, independen) untuk menilai tingkat kepatuhan.
3. Jika diperlukan, dapatkan pernyataan dari penyedia layanan I&T pihak ketiga tentang tingkat kepatuhan mereka terhadap hukum yang berlaku dan
peraturan.
4. Jika diperlukan, dapatkan pernyataan dari mitra bisnis tentang tingkat kepatuhan mereka terhadap hukum dan peraturan yang berlaku saat mereka
terkait dengan transaksi elektronik antar perusahaan.
5. Mengintegrasikan pelaporan tentang persyaratan hukum, peraturan dan kontrak di tingkat perusahaan, yang melibatkan semua unit bisnis. 3
Pantau, Evaluasi, dan Nilai
6. Pantau dan laporkan masalah ketidakpatuhan dan, jika perlu, selidiki akar penyebabnya. 4
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung - Penjaminan Kualitas Proses
286
Halaman 287
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
ffice.dll
fficer wners
fficer fficer
perations fficer
HAIAdministrasi
EDM01.01
Kebijakan yang diperbarui, APO01.09
prinsip, prosedur ; Pantau, Evaluasi, dan Nilai
dan standar APO01.11
MEA03.03 Konfirmasi kepatuhan eksternal. BAI05.06 Hasil audit kepatuhan Kepatuhan
konfirmasi EDM01.03
MEA03.04 Mendapatkan jaminan kepatuhan eksternal. EDM05.02 Aturan untuk memvalidasi dan Jaminan kepatuhan EDM01.03
menyetujui wajib laporan
laporan
EDM05.03 Penilaian pelaporan Laporan dari EDM01.03;
efektivitas ketidakpatuhan MEA04.04
masalah dan akar penyebab
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
287
Halaman 288
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Informasi keamanan Kerangka Keterampilan untuk Era Informasi V6, 2015 SCTY
Halaman 289
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Merencanakan, mencakup, dan melaksanakan inisiatif jaminan untuk mematuhi persyaratan internal, undang-undang, peraturan, dan tujuan strategis. Aktifkan pengelolaan
untuk memberikan jaminan yang memadai dan berkelanjutan di perusahaan dengan melakukan tinjauan dan aktivitas jaminan independen.
Tujuan
Memungkinkan organisasi untuk merancang dan mengembangkan inisiatif penjaminan yang efisien dan efektif, memberikan panduan tentang perencanaan, pelingkupan, pelaksanaan dan
menindaklanjuti tinjauan jaminan, menggunakan peta jalan berdasarkan pendekatan jaminan yang diterima dengan baik.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG03 Kepatuhan terhadap hukum dan peraturan eksternal
➡ Tujuan Penyelarasan
AG11 Kepatuhan I&T dengan kebijakan internal
• EG11 Kepatuhan terhadap kebijakan internal
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
A. Komponen: Proses
1. Tetapkan kepatuhan terhadap kode etik dan standar yang berlaku (misalnya, Kode Etik Profesional ISACA) dan
2 Pantau, Evaluasi, dan Nilai
(industri- dan standar penjaminan khusus geografi (misalnya, Audit TI dan Standar Jaminan ISACA dan Internasional
Kerangka Kerja Internasional Dewan Standar Audit dan Jaminan [IAASB] untuk Keterlibatan Jaminan [IAASB Assurance
Kerangka]).
2. Membangun kemandirian penyedia jaminan.
HITRUST CSF versi 9, September 2017 06.03 Pertimbangan Audit Sistem Informasi
289
Halaman 290
KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN
2. Memahami konteks internal perusahaan. Pemahaman ini akan membantu profesional penjaminan untuk menilai dengan lebih baik
tujuan perusahaan dan kepentingan relatif perusahaan dan tujuan penyelarasan, serta ancaman yang paling penting untuk ini
tujuan. Pada gilirannya, ini akan membantu dalam menentukan ruang lingkup yang lebih baik dan lebih relevan untuk perikatan asurans.
3. Memahami konteks eksternal perusahaan. Pemahaman ini akan membantu profesional jaminan untuk lebih memahami
tujuan perusahaan dan kepentingan relatif perusahaan dan tujuan penyelarasan, serta ancaman yang paling penting
tujuan ini. Pada gilirannya, ini akan membantu dalam menentukan ruang lingkup yang lebih baik dan lebih relevan untuk perikatan asurans.
4. Mengembangkan rencana tahunan keseluruhan untuk inisiatif penjaminan yang berisi tujuan penjaminan yang terkonsolidasi. 3
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 5.4: Area fungsional tata kelola — Prinsip 15
1. Tentukan tujuan asurans dari prakarsa asurans dengan mengidentifikasi pemangku kepentingan prakarsa asurans dan 2
kepentingan mereka.
2. Setuju pada tujuan tingkat tinggi dan batasan organisasi dari perikatan asurans.
3. Pertimbangkan penggunaan COBIT Goals Cascade dan levelnya yang berbeda untuk mengekspresikan tujuan jaminan. 3
4. Pastikan bahwa tujuan perikatan asurans mempertimbangkan ketiga komponen tujuan nilai: memberikan manfaat
yang mendukung tujuan strategis, mengoptimalkan risiko tidak tercapainya tujuan strategis dan mengoptimalkan tingkat sumber daya
diperlukan untuk mencapai tujuan strategis.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung - Penjaminan Kualitas Proses
MEA04.04 Tentukan cakupan inisiatif jaminan. Sebuah. Jumlah rencana keterlibatan, berdasarkan ruang lingkup, yang dipertimbangkan
Tentukan dan sepakati dengan semua pemangku kepentingan tentang ruang lingkup jaminaninformasi yang akan dikumpulkan dan pemangku kepentingan yang akan diwawancarai
inisiatif, berdasarkan tujuan jaminan. b. Persentase kepuasan pemangku kepentingan dengan ruang lingkup jaminan
inisiatif, berdasarkan tujuan jaminan
Kegiatan Tingkat Kemampuan
1. Mendefinisikan semua komponen tata kelola dalam ruang lingkup tinjauan, yaitu prinsip, kebijakan dan kerangka kerja; proses; 2
struktur organisasi; budaya, etika dan perilaku; informasi; layanan, infrastruktur dan aplikasi; orang, keterampilan dan
kompetensi
2. Berdasarkan definisi ruang lingkup, tentukan rencana keterlibatan, dengan mempertimbangkan informasi yang akan dikumpulkan dan pemangku kepentingan 3
diwawancarai.
Pantau,3E. Mvaenlugoansfii,rmdaasni dNanilmaienyempurnakan ruang lingkup berdasarkan pemahaman tentang arsitektur perusahaan.
4. Sempurnakan ruang lingkup perikatan asurans, berdasarkan sumber daya yang tersedia.
CMMI Cybermaturity Platform, 2018 TP.LA Menerapkan Proses Logging dan Audit
290
Halaman 291
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
2. Memahami konteks tujuan manajemen dan pengendalian manajemen pendukung yang diterapkan.
Pahami bagaimana kontrol manajemen ini berkontribusi pada pencapaian tujuan penyelarasan dan tujuan perusahaan.
5. Jika kontrol manajemen lemah, tentukan praktik untuk mengidentifikasi risiko residual (dalam persiapan untuk pelaporan).
6. Memahami tahap siklus hidup pengendalian manajemen dan menyetujui nilai yang diharapkan.
3. Mengamati / menginspeksi dan mereview pendekatan pengendalian manajemen. Validasi desain dengan pemilik kontrol untuk kelengkapan,
3
relevansi, ketepatan waktu dan keterukuran.
4. Tanyakan kepada pemilik kendali apakah tanggung jawab atas komponen tata kelola dan akuntabilitas keseluruhan telah ada
ditugaskan. Konfirmasikan tanggapannya. Uji apakah akuntabilitas dan tanggung jawab dipahami dan diterima. Verifikasi bahwa
keterampilan yang tepat dan sumber daya yang diperlukan tersedia.
5. Mempertimbangkan kembali keseimbangan antara pencegahan vs. deteksi dan jenis koreksi kegiatan pengendalian manajemen.
6. Mempertimbangkan upaya yang dihabiskan untuk mempertahankan kontrol manajemen dan biaya / efektivitas terkait.
Pantau, Evaluasi, dan Nilai
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Audit Keamanan SI1
ISO / IEC 27001: 2013 / Kor.2: 2015 (E) 9.2 Audit internal
291
Halaman 292
1. Menilai apakah hasil yang diharapkan untuk setiap pengendalian manajemen dalam ruang lingkup tercapai. Artinya, nilai 3
efektivitas pengendalian manajemen (efektivitas pengendalian).
2. Pastikan bahwa profesional jaminan menguji hasil atau efektivitas pengendalian manajemen dengan mencari langsung
dan bukti tidak langsung tentang dampak tujuan pengendalian manajemen. Ini menyiratkan pembuktian langsung dan tidak langsung dari
kontribusi terukur dari tujuan manajemen ke tujuan penyelarasan, dengan demikian mencatat bukti langsung dan tidak langsung dari
benar-benar mencapai hasil yang diharapkan.
3. Tentukan apakah profesional jaminan memperoleh bukti langsung atau tidak langsung untuk item / periode yang dipilih dengan menerapkan seleksi
teknik pengujian untuk memastikan bahwa pengendalian manajemen yang ditinjau bekerja secara efektif. Pastikan jaminan itu
profesional juga melakukan tinjauan terbatas terhadap kecukupan hasil pengendalian manajemen dan menentukan tingkat
pengujian substantif dan pekerjaan tambahan yang diperlukan untuk memberikan jaminan bahwa kinerja pengendalian manajemen memadai.
4. Selidiki apakah pengendalian manajemen dapat dibuat lebih efisien dan apakah desainnya dapat lebih efektif dengan pengoptimalan
langkah-langkah atau mencari sinergi dengan kontrol manajemen lainnya.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Audit Keamanan SI1
2. Berkomunikasi dengan manajemen selama pelaksanaan inisiatif sehingga ada pemahaman yang jelas tentang pekerjaan yang dilakukan dan
persetujuan dan penerimaan temuan dan rekomendasi awal.
3. Memberikan laporan kepada manajemen (sejalan dengan kerangka acuan, ruang lingkup, dan standar pelaporan yang disepakati) yang mendukung 3
hasil dari inisiatif dan memungkinkan fokus yang jelas pada masalah utama dan tindakan penting.
4. Mengawasi aktivitas penjaminan dan memastikan pekerjaan yang dilakukan selesai, memenuhi tujuan, dan memiliki kualitas yang dapat diterima. 4
Merevisi pendekatan atau langkah-langkah rinci jika terjadi kesenjangan kualitas.
1. Menyetujui dan mengimplementasikan secara internal, dalam organisasi, tindakan yang diperlukan yang perlu diambil untuk menyelesaikan yang teridentifikasi 2
kelemahan dan celah.
2. Tindak lanjut, di dalam organisasi, untuk menentukan apakah telah dilakukan tindakan korektif dan kelemahan pengendalian internal
terselesaikan.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
292
Halaman 293
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
ffice wners
fficer r
fficer
perations
HAI
Petugas echnology
MEA04.06 Jalankan inisiatif jaminan, dengan fokus pada efektivitas desain. R RR RRRRRRRA
MEA04.07 Jalankan inisiatif jaminan, dengan fokus pada efektivitas operasi. R RR RRRRRRRA
MEA04.01 Memastikan bahwa penyedia jaminan tersedia Dari Deskripsi Deskripsi Untuk
mandiri dan berkualitas.
Hasil penjaminan Intern
evaluasi penyedia
MEA04.02 Mengembangkan perencanaan jaminan berbasis risiko BAI01.05 Rencana audit program Rencana jaminan Semua APO;
inisiatif. Semua BAI; Semua
Semua DSS;
Pantau, Evaluasi, dan Nilai
MEA;
EDM01.03
DSS01.02 Jaminan independen Kriteria penilaian Intern
rencana
Penilaian tingkat tinggi Intern
293
Halaman 294
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
MEA04.05 Tentukan program kerja untuk jaminan Dari Deskripsi Deskripsi Untuk
prakarsa.
APO12.04 Analisis risiko dan risiko Cakupan yang disempurnakan Intern
laporan profil untuk
Pekerjaan jaminan terperinci MEA04.06
pemangku kepentingan
program
MEA04.06 Jalankan inisiatif jaminan, dengan fokus pada
APO12.06 Akar penyebab terkait risiko Desain terdokumentasi dari MEA04.07
efektivitas desain.
pengendalian internal
MEA04.07 Jalankan inisiatif jaminan, dengan fokus pada DSS02.02 Insiden dan layanan Efektivitas kontrol MEA04.08;
efektivitas operasi. log permintaan pengujian MEA04.09
DSS02.05 Resolusi insiden
MEA04.09 Tindak lanjut atas rekomendasi dan tindakan. MEA04.07 Efektivitas kontrol
Tindakan perbaikan Semua APO;
pengujian
Semua BAI;
MEA04.08 Hasil review jaminan Semua DSS;
Semua MEA
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
Halaman 295
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
295
Halaman 296
Menciptakan budaya yang mencakup audit internal dan temuan asurans dan
rekomendasi, berdasarkan analisis akar penyebab. Pemimpin harus memastikan
bahwa audit internal dan jaminan terlibat dalam inisiatif strategis dan
mengenali kebutuhan (dan nilai) audit dan laporan asurans.
Pastikan budaya etika audit internal melalui kode yang sesuai
Kode Etik, The Institute of cfr. Situs web IIA — Standar &
etika.
Auditor Internal Panduan — Kode Etik
296
Halaman 297
BAB 5
LAMPIRAN
Lampiran
5.1 Lampiran A: Bertingkat Tujuan — Tabel Pemetaan
Tabel pemetaan di Lampiran A menginformasikan kaskade tujuan. Tabel pertama memetakan tujuan penyelarasan dengan tujuan perusahaan; itu
Tabel kedua memetakan tujuan tata kelola dan manajemen dengan tujuan penyelarasan. "P" dalam tabel mengacu pada primer dan
"S" mengacu pada sekunder.
297
Halaman 298
5.1.2 Tabel Pemetaan: Tujuan Penyelarasan — Tata Kelola dan Tujuan Manajemen
Gambar — 5.2 Memetakan Tujuan Tata Kelola dan Manajemen dengan Tujuan Penyelarasan
AG01 AG02 AG03 AG04 AG05 AG06 AG07 AG08 AG09 AG10 AG11 AG12 AG13
SAYA T
pemenuhan Mengaktifkan dan Menyampaikan
dan dukungan Keamanan pendukung program
untuk bisnis Menyadari Kelincahan untuk bisnis tepat waktu, pada Kompeten dan
beirnbfeolromkasi,
pemenuhan manfaat dari Kualitas dari Pengiriman bisnis pengolahan diproses anggaran dan staf termotivasi Pengetahuan,
oleh
dengan I & T diaktifkan teknologi- Layanan I&T Persyaratan infrastruktur mengintegrasikan pertemuan Kualitas SAYA T dengan saling mengkuenathulnigankadnan
luar Dikelola investasi terkai sejalan dengan ke dan aplikasi Persyarata dari I&T pemenuha pemahaman inisiatif
t n n
hukum dan Terkait I & T dan layanan keuangan bisnis operasional aplikasi, dan dan kualitas pengelolaan dengan internal teknologi untuk bisnis
peraturan risiko portofolio informasi Persyaratan solusi dan privasi teknologi standar informasi kebijakan dan bisnis inovasi
EDM01 Memastikan tata kelola
pengaturan kerangka kerja dan pemeliharaan P. S P. S S
EDM02 Memastikan pengiriman manfaat
298
Halaman 299
BAB 5
LAMPIRAN
Sepanjang panduan rinci di Bab 4, komponen struktur organisasi diambil dari peran dan struktur
diuraikan pada gambar 5.3 (lihat juga bagian 3.5 untuk gambaran umum dari komponen struktur organisasi).
Di seluruh perusahaan, nomenklatur yang diterapkan pada setiap peran atau struktur kemungkinan besar akan berbeda. Berdasarkan uraian di bawah ini,
setiap perusahaan dapat mengidentifikasi peran dan struktur yang sesuai — mengingat konteks bisnis, organisasi, dan operasinya sendiri
lingkungan — dan menetapkan tingkat akuntabilitas dan tanggung jawab yang sesuai.
Naik Kelompok eksekutif paling senior dan / atau direktur noneksekutif yang bertanggung jawab atas tata kelola dan kendali keseluruhan
sumber daya perusahaan
Komite Eksekutif Kelompok eksekutif senior yang ditunjuk oleh dewan untuk memastikan bahwa dewan terlibat dalam, dan terus mendapat informasi tentang, keputusan besar
(Komite eksekutif bertanggung jawab untuk mengelola portofolio I & T - diaktifkan investasi, I & T layanan dan I & T
aktiva; memastikan bahwa nilai diberikan; dan mengelola risiko. Komite biasanya diketuai oleh seorang anggota dewan.)
Ketua Pelaksana
Petugas Tertinggi - perwira didakwa dengan manajemen total perusahaan
Kepala Keuangan
Pejabat paling senior bertanggung jawab atas semua aspek manajemen keuangan, termasuk risiko dan pengendalian keuangan serta dapat diandalkan
Petugas
dan akun yang akurat
Kepala Operasi
Petugas Pejabat paling senior bertanggung jawab atas pengoperasian perusahaan
Chief Risk Officer Pejabat paling senior bertanggung jawab atas semua aspek manajemen risiko di seluruh perusahaan
(Fungsi petugas resiko Sebuah I & T dapat dibentuk untuk mengawasi I & T - . Risiko terkait)
Informasi Kepala Sebagian besar pejabat senior bertanggung jawab untuk menyelaraskan TI dan strategi bisnis serta bertanggung jawab atas perencanaan, sumber daya, dan
Petugas mengelola pengiriman layanan dan solusi I&T
Kepala Teknologi Sebagian besar pejabat senior bertugas dengan aspek teknis I&T, termasuk mengelola dan memantau keputusan yang terkait dengan I&T
Petugas layanan, solusi dan infrastruktur
Kepala Bagian Digital Sebagian besar pejabat senior yang ditugaskan untuk mempraktikkan ambisi digital perusahaan atau unit bisnis
(Peran ini dapat diambil oleh CIO atau anggota komite eksekutif lainnya.)
Tata Kelola I&T
Kelompok stakeholder dan pakar jawab untuk membimbing I & T - hal-hal terkait dan keputusan, termasuk mengelola I & T -
Naik
memungkinkan investasi, memberikan nilai, dan memantau risiko
Dewan Arsitektur
K lompok stakeholder dan pakar jawab untuk membimbing arsitektur enterprise - hal-hal terkait dan keputusan dan untuk menetapkan
e kebijakan dan standar arsitektur
Risiko Perusahaan
Komite Sekelompok eksekutif bertanggung jawab untuk perusahaan - tingkat kolaborasi dan konsensus yang diperlukan untuk mendukung risiko perusahaan
kegiatan dan keputusan manajemen (ERM)
(Dewan risiko I&T dapat dibentuk untuk mempertimbangkan risiko I&T secara lebih rinci dan menasihati komite risiko perusahaan.)
Informasi Kepala Pejabat paling senior bertanggung jawab atas semua aspek manajemen keamanan di seluruh perusahaan
Petugas keamanan
Proses bisnis Individu yang bertanggung jawab untuk melakukan proses dan / atau mewujudkan tujuan proses, mendorong perbaikan proses dan
Pemilik menyetujui perubahan proses
Manajer portofolio Individu yang bertanggung jawab untuk membimbing manajemen portofolio, memastikan pemilihan program dan proyek yang benar, mengelola dan
pemantauan program dan proyek untuk nilai optimal, dan menyadari panjang - tujuan strategis jangka efektif dan efisien
Kemudi (Program / Kelompok pemangku kepentingan dan ahli yang bertanggung jawab untuk memandu program dan proyek, termasuk mengelola dan memantau
Proyek) Komite merencanakan, mengalokasikan sumber daya, memberikan manfaat dan nilai, dan mengelola risiko program dan proyek
Manajer Program Individu yang bertanggung jawab untuk membimbing program tertentu, termasuk mengartikulasikan dan menindaklanjuti tujuan dan sasaran dari
program dan mengelola risiko dan dampak pada bisnis
299
Halaman 300
Manajer proyek Individu yang bertanggung jawab untuk memandu proyek tertentu, termasuk mengkoordinasikan dan mendelegasikan waktu, anggaran, sumber daya, dan tugas
di seluruh tim proyek
Manajemen proyek
Berfungsi bertanggung jawab untuk mendukung manajer program dan proyek dan untuk mengumpulkan, menilai dan melaporkan informasi
Kantor
tentang pelaksanaan program dan proyek konstituen
Manajemen data
Berfungsi bertanggung jawab untuk mendukung aset data perusahaan di seluruh siklus hidup data dan mengelola strategi data,
Fungsi
infrastruktur dan repositori
Kepala Manusia
Pejabat paling senior bertanggung jawab atas perencanaan dan kebijakan mengenai sumber daya manusia di perusahaan
Sumber daya
Relationship Manager Senior individu yang bertanggung jawab untuk mengawasi dan mengelola antarmuka internal dan komunikasi antara bisnis dan
Fungsi I&T
Kepala Arsitek Individu senior bertanggung jawab untuk proses arsitektur perusahaan
Pengembangan Kepala
Jawab individu senior untuk I & T - proses pembangunan solusi terkait
Kepala Operasi TI Individu senior yang bertanggung jawab atas lingkungan dan infrastruktur operasional TI
Kepala bagian TI
Administrasi -
Akuntabel Senior individu untuk I & T catatan -
terkait dan bertanggung jawab untuk mendukung I & T masalah administrasi terkait
Manajer Pelayanan Individu yang mengelola pengembangan, implementasi, evaluasi, dan pemeliharaan baru dan yang sudah ada
produk dan layanan untuk pelanggan tertentu (pengguna) atau sekelompok pelanggan (pengguna)
Informasi keamanan
Individu yang mengelola, merancang, mengawasi dan / atau menilai keamanan informasi perusahaan
Pengelola
Keberlangsungan bisnis
Individu yang mengelola, merancang, mengawasi dan / atau menilai kemampuan kelangsungan usaha suatu perusahaan, untuk memastikan bahwa
Pengelola
fungsi penting perusahaan terus beroperasi setelah kejadian yang mengganggu
Petugas Privasi Individu yang bertanggung jawab untuk memantau risiko dan dampak bisnis dari undang-undang privasi dan untuk membimbing dan mengoordinasikan
implementasi kebijakan dan aktivitas yang memastikan kepatuhan dengan arahan privasi
(Di beberapa perusahaan, posisi tersebut dapat dirujuk sebagai petugas perlindungan data.)
Penasehat hukum Fungsi bertanggung jawab untuk panduan tentang masalah hukum dan peraturan
Pemenuhan Fungsi bertanggung jawab atas semua panduan tentang kepatuhan eksternal
Audit Fungsi yang bertanggung jawab atas penyediaan audit internal
Standar dan pedoman berikut berkontribusi pada referensi rinci untuk COBIT 40 inti ® 2019 governance dan
tujuan manajemen.
• CIS ® Center for Internet Security ® , CIS Critical Security Controls for Effective Cyber Defense , Versi 6.1, Agustus 2016
• CMMI ® Cybermaturity Platform, 2018
• Model SM CMMI ® Data Management Maturity (DMM) , 2014
• Kerangka Kerja Committee of Sponsoring Organizations (COSO) Enterprise Risk Management (ERM), Juni 2017
• Komite Eropa untuk Standardisasi (CEN), Kerangka Kerja e - Kompetensi (e - CF) - Kerangka umum Eropa untuk
300
Halaman 301
BAB 5
LAMPIRAN
• Institute of Internal Auditing ® (IIA ® ), “Prinsip Inti untuk Praktik Profesional Audit Internal” • King IV
Report tentang Tata Kelola Perusahaan ™ , 2016
• King IV Report on Corporate Governance ™ , 2016
• Standar Institut Standar dan Teknologi Nasional AS (NIST)
▪ Kerangka Kerja untuk Meningkatkan Keamanan Siber Infrastruktur Kritis V1.1, April 2018
301
Halaman 302