Tujuan Tata Kelola Dan Manajemen-Dikonversi

4/23/2021 Tujuan Tata Kelola dan Manajemen
Halaman 1
KERANGKA
Tata Kelola dan

Tujuan Manajemen
Halaman 2
KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN
https://translate.googleusercontent.com/translate_f 1/250
Tentang ISACA
Mendekati tahun ke-50, ISACA ® (isaca.org) adalah asosiasi global yang membantu individu dan perusahaan mencapai
potensi positif dari teknologi. Teknologi memberdayakan dunia saat ini dan ISACA melengkapi para profesional dengan
pengetahuan, kredensial, pendidikan dan komunitas untuk memajukan karir mereka dan mengubah organisasi mereka. ISACA
memanfaatkan keahlian dari setengah juta profesional yang terlibat dalam keamanan informasi dan dunia maya, tata kelola,
jaminan, risiko dan inovasi, serta anak perusahaan kinerja perusahaannya, CMMI ® Institute, untuk membantu kemajuan
inovasi melalui teknologi. ISACA hadir di lebih dari 188 negara, termasuk lebih dari 217 cabang
dan kantor di Amerika Serikat dan Cina.
Penolakan
ISACA telah merancang dan membuat Kerangka COBIT ® 2019: Tujuan Tata Kelola dan Manajemen ("Pekerjaan") terutama
sebagai sumber daya pendidikan untuk tata kelola perusahaan TI (GEIT), jaminan, risiko, dan profesional keamanan. ISACA
tidak membuat klaim bahwa penggunaan salah satu Karya akan menjamin hasil yang sukses. Pekerjaan tidak harus dipertimbangkan
termasuk semua informasi yang tepat, prosedur dan tes atau eksklusif dari informasi lain, prosedur dan tes itu
diarahkan secara wajar untuk mendapatkan hasil yang sama. Dalam menentukan kepatutan informasi tertentu,
prosedur atau pengujian, tata kelola TI perusahaan (GEIT), jaminan, risiko, dan profesional keamanan harus menerapkannya sendiri
pertimbangan profesional untuk keadaan khusus yang disajikan oleh sistem atau informasi tertentu
lingkungan teknologi.
hak cipta
© 2018 ISACA. Seluruh hak cipta. Untuk pedoman penggunaan, lihat www.isaca.org/COBITuse .
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, AS
Telepon: +1.847.660.5505
Faks: +1.847.253.1755
Hubungi kami: https://support.isaca.org
Situs web: www.isaca.org
Berpartisipasi dalam Forum Online ISACA: https://engage.isaca.org/onlineforums
Twitter: http://twitter.com/ISACANews
LinkedIn: http://linkd.in/ISACAOfficial
Facebook: www.facebook.com/ISACAHQ
Instagram: www.instagram.com/isacanews/
Kerangka COBIT ® 2019: Tujuan Tata Kelola dan Manajemen

ISBN 978-1-60420-764-4
Halaman 3
DALAM KENANGAN: JOHN LAINHART (1946-2018)
In Memoriam: John Lainhart (1946-2018)
Didedikasikan untuk John Lainhart, Ketua Dewan ISACA 1984-1985. John berperan penting dalam penciptaan COBIT ®
kerangka kerja dan terakhir menjabat sebagai ketua kelompok kerja untuk COBIT ® 2019, yang memuncak dalam
penciptaan karya ini. Selama empat dekade bersama ISACA, John terlibat dalam berbagai aspek asosiasi
serta memegang sertifikasi CISA, CRISC, CISM dan CGEIT ISACA. John meninggalkan pribadi yang luar biasa
dan warisan profesional, dan usahanya berdampak signifikan terhadap ISACA.
3
Halaman 4
Halaman sengaja dikosongkan

4
Halaman 5
UCAPAN TERIMA KASIH
Ucapan Terima Kasih

ISACA ingin mengakui:
Kelompok Kerja COBIT (2017-2018)

John Lainhart, Chair, CISA, CRISC, CISM, CGEIT, CIPP / G, CIPP / US, Grant Thornton, AS
Matt Conboy, Cigna, AS
Ron Saull, CGEIT, CSP, Great-West Lifeco & IGM Financial (pensiun), Kanada
Tim pengembangan
Steven De Haes, Ph.D., Sekolah Manajemen Antwerp, Universitas Antwerpen, Belgia
Matthias Goorden, PwC, Belgia
Stefanie Grijp, PwC, Belgia
Geert Poels, PhD, Universitas Ghent, Belgia
Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance, Belgia
Peninjau Ahli
Sarah Ahmad Abedin, CISA, CRISC, CGEIT, Grant Thornton LLP, AS
Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Belgia
Elisabeth Antonssen, Nordea Bank, Swedia
Krzystof Baczkiewicz, CHAMP, CITAM, CSAM, Transpectit, Polandia
Christopher M. Ballister, CRISC, CISM, CGEIT, Grant Thornton, AS
Gary Bannister, CGEIT, CGMA, FCMA, Austria
Graciela Braga, CGEIT, Auditor dan Penasihat, Argentina
Ricardo Bria, CISA, CRISC, CGEIT, COTO CICSA, Argentina
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapura
Peter T. Davis, CISA, CISM, CGEIT, Penilai COBIT 5, CISSP, CMA, CPA, PMI-RMP, PMP, Peter Davis + Associates, Kanada
James Doss, CISM, CGEIT, EMCCA, Ahli ITIL, PMP, SSGB, TOGAF 9, ITvalueQuickStart.com, AS
Yalcin Gerek, CISA, CRISC, CGEIT, Ahli ITIL, Prince2, ISO 20000LI, ISO27001LA, TAC AS., Turki
James L. Golden, Golden Consulting Associates, AS
J. Winston Hayden, CISA, CISM, CRISC, CGEIT, Afrika Selatan
Jimmy Heschl, CISA, CISM, CGEIT, Red Bull, Austria
Jorge Hidalgo, CISA, CISM, CGEIT, Chili
John Jasinski, CISA, CRISC, CISM, CGEIT, COBIT 5 Asesor, CSM, CSPO, IT4IT-F, Ahli ITIL, Lean IT-F, MOF,
SSBB, TOGAF-F, AS
Joanna Karczewska, CISA, Polandia
Glenn Keaveny, CEH, CISSP, Grant Thornton, AS
Eddy Khoo SK, CGEIT, Kuala Lumpur, Malaysia
Joao Souza Neto, CRISC, CGEIT, Universidade Católica de Brasília, Brasil
Tracey O'Brien, CISA, CISM, CGEIT, IBM Corp (pensiun), AS
Zachy Olorunojowon, CISA, CGEIT, PMP, BC Kementerian Kesehatan, Victoria, BC Kanada
Opeyemi Onifade, CISA, CISM, CGEIT, BRMP, CISSP, ISO 27001LA, M.IoD, Afenoid Enterprise Limited, Nigeria
Abdul Rafeq, CISA, CGEIT, FCA, Direktur Pelaksana, Wincer Infotech Limited, India
Dirk Reimers, Entco Deutschland GmbH, Perusahaan Fokus Mikro
Steve Reznik, CISA, CRISC, ADP, LLC., AS
Bruno Horta Soares, CISA, CRISC, CGEIT, PMP, GOVaaS - Penasihat Tata Kelola, as-a-Service, Portugal
Dr. Katalin Szenes, Ph.D., CISA, CISM, CGEIT, CISSP, John von Neumann Fakultas Informatika, Universitas Obuda, Hongaria
Mark Thomas, CRISC, CGEIT, Escoute, AS
John Thorp, CMC, ISP, ITCP, Jaringan Thorp, Kanada
Sapa Volders, CGEIT, Penilai COBIT, Voquals NV, Belgia
Halaman 6
Ucapan Terima Kasih (lanjutan)

Peninjau Ahli (lanjutan)
Markus Walter, CISA, CISM, CISSP, ITIL, PMP, TOGAF, PwC Singapura / Swiss
David M. Williams, CISA, CAMS, Westpac, Selandia Baru
Greg Witte, CISM, G2 Inc., AS
Dewan Direksi ISACA

Rob Clyde, Ketua, CISM, Clyde Consulting LLC, AS
Brennan Baybeck, Wakil Ketua, CISA, CRISC, CISM, CISSP, Oracle Corporation, AS
Tracey Dedrick, Mantan Chief Risk Officer di Hudson City Bancorp, AS
Leonard Ong, CISA, CRISC, CISM, CGEIT, COBIT 5 Pelaksana dan Penilai, CFE, CIPM, CIPT, CISSP, CITBCM,
CPP, CSSLP, GCFA, GCIA, GCIH, GSNA, ISSMP-ISSAP, PMP, Merck & Co., Inc., Singapura
RV Raghu, CISA, CRISC, Konsultasi Serbaguna India Pvt. Ltd., India
Gabriela Reynaga, CISA, CRISC, COBIT 5 Foundation, GRCP, Holistics GRC, Meksiko
Gregory Touhill, CISM, CISSP, Cyxtera Federal Group, AS
Ted Wolff, CISA, Vanguard, Inc., AS
Tichaona Zororo, CISA, CRISC, CISM, CGEIT, Penilai COBIT 5, CIA, CRMA, EGIT, Tata Kelola Perusahaan TI,
Afrika Selatan
Theresa Grafenstine, CISA, CRISC, CGEIT, CGAP, CGMA, CIA, CISSP, CPA, Deloitte & Touche LLP, AS, ISACA
Ketua Dewan, 2017-2018
Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, INTRALOT, Yunani, Ketua Dewan ISACA, 2015-2017
Matt Loeb, CGEIT, CAE, FASAE, Direktur Eksekutif, ISACA, AS
Robert E Stroud (1965-2018), CRISC, CGEIT, XebiaLabs, Inc., AS, Ketua Dewan ISACA, 2014-2015
ISACA sangat berduka atas meninggalnya Robert E Stroud pada September 2018.
6
Halaman 7
DAFTAR ISI
DAFTAR ISI
Bab 1. Pengantar COBIT ® 2019...................................................................... 9
1.1 COBIT sebagai Kerangka Tata Kelola Teknologi dan Informasi.....................................................................................................9
1.1.1 Apa Itu COBIT dan Apa Itu Bukan?.............................................................................................................................................9
1.2 Tinjauan COBIT ® 2019....................................................................................................................................................................10
1.3 Terminologi dan Konsep Utama Kerangka COBIT.................................................................................................................11
1.3.1 Tujuan Tata Kelola dan Manajemen...................................................................................................................................11
1.3.2 Komponen Sistem Tata Kelola.......................................................................................................................................12
1.3.3 Area Fokus...................................................................................................................................................................................14
Bab 2. Struktur Publikasi Ini dan Audiens Yang Dituju.............................................................................................................15

2.1 Struktur Publikasi Ini..................................................................................................................................................................15
2.2 Audiens yang Dimaksud.................................................................................................................................................................................15
Bab 3. Struktur Tata Kelola dan Tujuan Manajemen COBIT............................................................................................17

3.1 Pendahuluan............................................................................................................................................................................................17 COBIT C
3.2 Tujuan Tata Kelola dan Manajemen.............................................................................................................................................17 ..............
3.3 Gol Bertingkat........................................................................................................................................................................................18 Evaluasi
3.4 Komponen: Proses...............................................................................................................................................................................19 27
3.5 Komponen: Struktur Organisasi.................................................................................................................................................20 Sejajarkan, P.
3.6 Komponen: Arus Informasi dan Item...........................................................................................................................................22 53
3.7 Komponen: Orang, Keterampilan dan Kompetensi.....................................................................................................................................24 ..............
3.8 Komponen: Kebijakan dan Prosedur....................................................................................................................................................25 Membangun sebuah
3.9 Komponen: Budaya, Etika dan Perilaku...........................................................................................................................................25 151
3.10 Komponen: Layanan, Infrastruktur dan Aplikasi......................................................................................................................25 ..............
Kirim,
229
Bab 4. Tata Kelola dan Manajemen COBIT Tujuan -
..............
Panduan Detail............................................................................................................................................................... 27
Monitor,
Model Inti COBIT......................................................................................................................................................................................27
271
4.1 Evaluasi, Langsung dan Monitor (EDM).............................................................................................................................................27
4.2 Menyelaraskan, Merencanakan dan Mengatur (APO).....................................................................................................................................................53
4.3 Build, Acquire and Implement (BAI)...........................................................................................................................................151
4.4 Deliver, Service and Support (DSS).............................................................................................................................................229
4.5 Memantau, Mengevaluasi dan Menilai (MEA)..........................................................................................................................................271
Lampiran................................................................................................................... 297
5.1 Lampiran A: Kaskade Tujuan — Tabel Pemetaan..................................................................................................................................297
5.2 Lampiran B: Struktur Organisasi — Gambaran Umum dan Deskripsi..............................................................................................299
5.3 Apendiks C: Daftar Rinci Referensi...........................................................................................................................................300
Halaman 8
DAFTAR GAMBAR
Bab 1. Pengantar COBIT ® 2019
Gambar 1.1 — Tinjauan COBIT..........................................................................................................................................................................10
Gambar 1.2 — Model Inti COBIT........................................................................................................................................................................12
Gambar 1.3 — Komponen COBIT dari Sistem Tata Kelola..............................................................................................................................13
Bab 3. Struktur Tata Kelola dan Tujuan Manajemen COBIT

Gambar 3.1 — Tampilan Tujuan Tata Kelola dan Manajemen...................................................................................................................18
Gambar 3.2 — Tampilan Perusahaan yang Berlaku dan Tujuan Keselarasan...............................................................................................................18
Gambar 3.3 — Tampilan Tujuan yang Berlaku dan Contoh Metrik.....................................................................................................................19
Gambar 3.4 — Tampilan Komponen Proses....................................................................................................................................................19
Gambar 3.5 — Tingkat Kemampuan untuk Proses....................................................................................................................................................20
Gambar 3.6 — Tampilan Komponen Struktur Organisasi........................................................................................................................21
Gambar 3.7 — Tampilan Arus Informasi dan Komponen Item..................................................................................................................23
Gambar 3.8 — Output ke Beberapa Proses........................................................................................................................................................23
Gambar 3.9 — Tampilan Komponen Orang, Keterampilan dan Kompetensi............................................................................................................24
Gambar 3.10 — Tampilan Komponen Kebijakan dan Prosedur........................................................................................................................25
Gambar 3.11 — Tampilan Komponen Budaya, Etika dan Perilaku................................................................................................................25
Gambar 3.12 — Tampilan Komponen Layanan, Infrastruktur, dan Aplikasi............................................................................................25
Lampiran
Gambar 5.1 — Memetakan Tujuan Perusahaan dan Alignment Goals.......................................................................................................................297
Gambar 5.2 — Memetakan Tujuan Tata Kelola dan Manajemen dengan Tujuan Penyelarasan..................................................................................298
Gambar 5.3 — Peran COBIT dan Struktur Organisasi.............................................................................................................................299
Halaman 9
BAB 1
PENGANTAR COBIT 2019
Bab 1
Pengantar COBIT ® 2019
1.1 COBIT sebagai Kerangka Tata Kelola Teknologi dan Informasi
Selama bertahun-tahun, kerangka kerja praktik terbaik telah dikembangkan dan dipromosikan untuk membantu dalam proses pemahaman, perancangan
dan menerapkan tata kelola perusahaan TI (EGIT). COBIT ® 2019 dibangun dan terintegrasi selama lebih dari 25 tahun pengembangan
di bidang ini, tidak hanya memasukkan wawasan baru dari sains, tetapi juga mengoperasionalkan wawasan ini sebagai praktik.
Berawal dari komunitas audit TI, COBIT ® telah berkembang menjadi informasi yang lebih luas dan komprehensif
serta kerangka tata kelola dan manajemen teknologi (I&T) dan terus memantapkan dirinya sebagai yang diterima secara umum
kerangka kerja untuk tata kelola I&T.
1.1.1 Apa Itu COBIT dan Apa Itu Bukan?
Sebelum menjelaskan kerangka kerja COBIT yang diperbarui, penting untuk menjelaskan apa itu COBIT dan bukan:
COBIT adalah kerangka kerja untuk tata kelola dan pengelolaan informasi dan teknologi, yang ditujukan untuk seluruh perusahaan.
I&T Perusahaan berarti semua teknologi dan pemrosesan informasi yang dilakukan perusahaan untuk mencapai tujuannya,
terlepas dari di mana hal ini terjadi di perusahaan. Dengan kata lain, I&T perusahaan tidak terbatas pada departemen TI
organisasi tetapi tentu saja memasukkannya.
Kerangka COBIT membuat perbedaan yang jelas antara tata kelola dan manajemen. Kedua disiplin ini mencakup
aktivitas yang berbeda, membutuhkan struktur organisasi yang berbeda dan melayani tujuan yang berbeda.
• Tata kelola memastikan bahwa:
▪ Kebutuhan, kondisi dan pilihan pemangku kepentingan dievaluasi untuk menentukan tujuan usaha yang disepakati dan seimbang.
▪ Arahan ditetapkan melalui pembuatan prioritas dan pengambilan keputusan.
▪ Kinerja dan kepatuhan dipantau terhadap arah dan tujuan yang disepakati.
Di kebanyakan perusahaan, tata kelola adalah tanggung jawab dewan direksi, di bawah kepemimpinan ketuanya.
Tanggung jawab tata kelola khusus dapat didelegasikan ke struktur organisasi khusus pada tingkat yang sesuai,
terutama di perusahaan yang lebih besar dan kompleks.
• Manajemen merencanakan, membangun, menjalankan dan memantau kegiatan, sejalan dengan arahan yang ditetapkan oleh badan tata kelola, untuk
mencapai tujuan perusahaan.
Di kebanyakan perusahaan, manajemen adalah tanggung jawab manajemen eksekutif di bawah kepemimpinan kepala
pejabat eksekutif (CEO).
COBIT mendefinisikan komponen untuk membangun dan mempertahankan sistem tata kelola: proses, struktur organisasi, kebijakan, dan
prosedur, arus informasi, budaya dan perilaku, keterampilan, dan infrastruktur. 1
COBIT menentukan faktor desain yang harus dipertimbangkan oleh perusahaan untuk membangun sistem tata kelola yang paling sesuai.
COBIT menangani masalah tata kelola dengan mengelompokkan komponen tata kelola yang relevan ke dalam tata kelola dan manajemen
tujuan yang dapat dikelola ke tingkat kemampuan yang dibutuhkan.
1 Komponen ini disebut enabler dalam COBIT 5.

®
Halaman 10
Beberapa kesalahpahaman tentang COBIT harus dihilangkan:

• COBIT bukanlah deskripsi lengkap dari seluruh lingkungan TI perusahaan.
• COBIT bukanlah kerangka kerja untuk mengatur proses bisnis.
• COBIT bukanlah kerangka kerja teknis (IT-) untuk mengelola semua teknologi.
• COBIT tidak membuat atau menentukan keputusan terkait TI. Itu tidak akan memutuskan apa strategi TI terbaik, apa
arsitektur terbaik, atau berapa banyak biaya yang dapat atau harus dikeluarkan oleh TI. Sebaliknya, COBIT mendefinisikan semua komponen yang menjelaskan yang mana
keputusan harus diambil, dan bagaimana serta oleh siapa keputusan itu harus diambil.
1.2 Tinjauan COBIT ® 2019
Rangkaian produk COBIT ® 2019 terbuka dan dirancang untuk kustomisasi. Publikasi berikut saat ini tersedia. 2
• Kerangka COBIT ® 2019: Pengenalan dan Metodologi memperkenalkan konsep-konsep utama COBIT ® 2019.
• Kerangka COBIT ® 2019: Tujuan Tata Kelola dan Manajemen menjelaskan secara komprehensif 40 tata kelola inti
dan tujuan manajemen, proses yang terkandung di dalamnya, dan komponen terkait lainnya. Panduan ini juga referensi
standar dan kerangka kerja lainnya.
• COBIT ® 2019 Panduan Rancangan: Merancang Solusi Tata Kelola Teknologi dan Informasi mengeksplorasi faktor-faktor desain
yang dapat memengaruhi tata kelola dan menyertakan alur kerja untuk merencanakan sistem tata kelola yang disesuaikan untuk perusahaan.
• Panduan Penerapan COBIT ® 2019: Menerapkan dan Mengoptimalkan Tata Kelola Teknologi dan Informasi
Solusi merupakan evolusi daripanduan Implementasi COBIT ® 5 dan mengembangkan peta jalan untuk berkelanjutan
perbaikan tata kelola. Ini dapat digunakan dalam kombinasi dengan COBIT ® 2019 Panduan Desain.
Gambar 1.1 menunjukkan gambaran umum tingkat tinggi COBIT ® 2019 dan menggambarkan bagaimana publikasi yang berbeda dalam sampul set
aspek yang berbeda.
Gambar 1.1 — Ringkasan COBIT

Masukan untuk COBIT 2019 COBIT 2019
• Peran TI
• Strategi perusahaan • Model sumber untuk TI
• Sasaran perusahaan • Persyaratan kepatuhan
• Ukuran perusahaan • Dll
COBIT 5 COBIT Core

Model Referensi Tata Kelola Faktor Desain
Standar, dan Tujuan Manajemen Perusahaan yang Disesuaikan
Kerangka, Tata Kelola
Regulasi EDM01 —Pastikan
PenTgataatuKraenloKlaerangka EDM02 —Pastikan EDM03 —Pastikan

dan pemeliharaan Pengiriman ManfaatOptimasi Risiko
—Pastikan
Sumber
EDM04 —Pastikan EDM05
StakeholderK Sistem untuk
Optimasi eterikatan
Masyarakat M an a je m e n I&T Strategi Perusahaan Inovasi
Informasi dan
Teknologi
K e ra n gk a Portofolio Anggaran dan
SBuimaybaerAdPaOya07m—anDusikiaelola
Kontribusi APO01 —Dik e lo la
A P O 02 —DikAelPolOa03 —DikAePloOla04 —DikAelPolOa05 —
DikAePloOla06 —Dikelola
MPeE rfAo0rm1 a—
Arsitektur
dDanikelola
APO09 —Dikelola KPeesmesaunatiaaunan
AHPuOb0u8ng—anDikeloLlayanan APVOen1d0o—r DikAePloOla11 —DikAelPolOa 12 —DikAePloOla13 —DikAePloOla014 —Dikelola
Kesepakatan Kualitas Risiko Keamanan Data Area fokus
MEA02 —Dikelola
BAI01 —DikBelAolIa02 —DikelBoAlaI03 —KeloB lAa I04 —DikBelAolIa05 —Dikelola BAI07 —
DikelolaSistKemontIrnotlernal
Tata kelola prioritas
Program PDeresfyianriastian IdSeonltuifsiikasi KdaenteKrsaepdaisaiatnasOrganisasi BAI06 —DikelolPaerubahan TI
dan Build Perubahan Perubahan
TIPTernaenrsiimsiaan dan dan manajemen
BAI08 —DikBelAolIa09 —DikeBloAlaI10 —Dikelola
Pengetahuan Aktiva Konfigurasi ProyekBAI11 —Dikelola
M E A 0 3 —
K ep a tu h • UKM tujuan
D i k e l o la
an d e n g a n
L u a r
Pe rs y a ratan • Keamanan Panduan khusus
• Resiko dari area fokus
DSS02 —Dikelola
DSS01 —Dikelola DSS05 —DikDelSoSla06 —
Dikelola Operasi
P er DSS03
m i n —DikDelSoSla04
t a a n LayaMn —
d a n I n s i d en asalah Kontinuitas KJaesa • DevOps Kemampuan target
Dikelola
anan B i s n is MEJaAm0i4n—an
Ko n t ro l Proses
Dikelola • Dll dan kinerja
pengelolaan
bimbingan
Kerangka COBIT ® 2019:

Pendahuluan dan Metodologi
COBIT Core
Publikasi
Panduan Penerapan COBIT ® 2019:
Kerangka COBIT ® 2019: Panduan Desain COBIT ® 2019:
Menerapkan dan Mengoptimalkan
Tata Kelola dan Merancang Informasi dan Teknologi
Informasi dan Teknologi
Tujuan Manajemen Solusi Tata Kelola
Solusi Tata Kelola
2 Pada saat publikasi dari COBIT 2019 Framework: Governance and Management Objectives judul ini, judul tambahan direncanakan untuk COBIT 2019
® ®
keluarga produk tetapi belum dirilis.
10
Halaman 11
BAB 1
Konten yang diidentifikasi sebagai area fokus pada gambar 1.1 akan berisi panduan yang lebih rinci tentang tema tertentu. 3
Di masa depan, COBIT akan meminta komunitas penggunanya untuk mengusulkan pembaruan konten, untuk diterapkan sebagai kontribusi terkontrol
secara berkelanjutan, untuk menjaga COBIT tetap up-to-date dengan wawasan dan evolusi terbaru.
Bagian berikut menjelaskan konsep dan istilah utama yang digunakan dalam COBIT ® 2019.
1.3 Terminologi dan Konsep Utama Kerangka COBIT
1.3.1 Tujuan Tata Kelola dan Manajemen
Untuk informasi dan teknologi untuk berkontribusi pada tujuan perusahaan, sejumlah tujuan tata kelola dan manajemen
harus dicapai. Konsep dasar yang berkaitan dengan tujuan tata kelola dan manajemen adalah:
• Tujuan tata kelola atau manajemen selalu berkaitan dengan satu proses (dengan nama yang identik atau mirip) dan serangkaian proses
komponen terkait jenis lain untuk membantu mencapai tujuan.
• Tujuan tata kelola berkaitan dengan proses tata kelola (digambarkan dengan latar belakang biru tua pada gambar 1.2 ), sedangkan
a tujuan manajemen berkaitan dengan proses manajemen (digambarkan pada latar belakang biru muda pada gambar 1.2 ). Papan
dan manajemen eksekutif biasanya bertanggung jawab atas proses tata kelola, sedangkan proses manajemen adalah tanggung jawab
domain manajemen senior dan menengah.
Tujuan tata kelola dan manajemen di COBIT dikelompokkan menjadi lima domain. Domain memiliki nama dengan kata kerja
yang mengungkapkan tujuan utama dan bidang kegiatan dari tujuan yang terkandung di dalamnya:
• Tujuan tata kelola dikelompokkan dalam domain Evaluate, Direct and Monitor (EDM). Dalam domain ini, yang mengatur
badan mengevaluasi opsi-opsi strategis, mengarahkan manajemen senior pada opsi-opsi strategis yang dipilih dan memantau pencapaiannya
dari strategi tersebut.
• Tujuan pengelolaan dikelompokkan dalam empat domain.
▪ Sejajarkan, Rencanakan, dan Atur (APO) membahas keseluruhan organisasi, strategi, dan aktivitas pendukung untuk I&T.
▪ Build, Acquire and Implement (BAI) menangani definisi, akuisisi, dan implementasi solusi I&T serta solusi-solusi
tersebut integrasi dalam proses bisnis.
▪ Pengiriman , Layanan, dan Dukungan (DSS) membahas pengiriman operasional dan dukungan layanan I&T, termasuk
keamanan.
▪ Pantau, Evaluasi, dan Nilai (MEA) membahas pemantauan kinerja dan kesesuaian I&T dengan internal
target kinerja, tujuan pengendalian internal dan persyaratan eksternal.
3 Sejumlah panduan konten area fokus ini sudah dalam persiapan; yang lainnya sudah direncanakan. Kumpulan panduan area fokus terbuka dan akan terus berlanjut
berkembang. Untuk informasi terbaru tentang publikasi yang tersedia dan yang direncanakan saat ini serta konten lainnya, silakan kunjungi www.isaca.org/cobit .
11
Halaman 12
Gambar 1.2 — Model Inti COBIT
EDM01 —Pastikan
EDM04 —Pastikan EDM05 —Pastikan
Tata Kelola EDM02 —Pastikan EDM03 —Pastikan
Sumber Stakeholder
Pengaturan Kerangka Pengiriman Manfaat Optimasi Risiko
Optimasi Keterikatan
dan pemeliharaan
APO01 —Dikelola APO03 —Dikelola

APO02 —Dikelola APO04 —Dikelola APO05 —Dikelola APO06 —Dikelola APO07 —Dikelola
Manajemen I&T Perusahaan
Strategi Inovasi Portofolio Anggaran dan Biaya Sumber daya manusia
Kerangka Arsitektur
MEA01 —Dikelola
Performa dan
Kesesuaian
Pemantauan
APO09 —Dikelola
APO08 —Dikelola APO10 —Dikelola APO11 —Dikelola APO12 —Dikelola APO13 —Dikelola APO014 —Dikelola
Layanan Keamanan Data
Hubungan Vendor Kualitas Risiko
Kesepakatan
MEA02 —Dikelola
Sistem Internal
BAI03 —Dikelola BAI07 —Dikelola Kontrol
BAI01 —Dikelola BAI02 —Dikelola BAI04 —Dikelola BAI05 —Dikelola
Solusi BAI06 —Dikelola Perubahan TI
Program Persyaratan Ketersediaan Organisasi
Identifikasi Perubahan TI Penerimaan dan
Definisi dan Kapasitas Perubahan
dan Build Transisi
MEA03— Dikelola
BAI08 —Dikelola BAI09 —Dikelola BAI10 —Dikelola BAI11 —Dikelola Kepatuhan Dengan
Pengetahuan Aktiva Konfigurasi Proyek Luar
Persyaratan
DSS02 —Dikelola DSS05 —Dikelola DSS06 —Dikelola

DSS01 —Dikelola DSS03 —Dikelola DSS04 —Dikelola
Permintaan Layanan Keamanan Bisnis MEA04— Dikelola
Operasi Masalah Kontinuitas
dan Insiden Jasa Kontrol Proses Jaminan
1.3.2 Komponen Sistem Tata Kelola
Untuk memenuhi tujuan tata kelola dan manajemen, setiap perusahaan perlu menetapkan, menyesuaikan, dan mempertahankan sistem tata kelola
dibangun dari sejumlah komponen.
• Komponen adalah faktor yang, secara individu dan kolektif, berkontribusi pada operasi tata kelola perusahaan yang baik
sistem di atas I&T.
• Komponen berinteraksi satu sama lain, menghasilkan sistem tata kelola yang holistik untuk I&T.
• Komponen dapat dari berbagai jenis. Yang paling dikenal adalah proses. Bagaimanapun, komponen sistem pemerintahan
juga mencakup struktur organisasi; kebijakan dan prosedur; item informasi; budaya dan perilaku; keterampilan dan
kompetensi; dan layanan, infrastruktur dan aplikasi ( gambar 1.3 ).
▪ Proses menggambarkan serangkaian praktik dan kegiatan yang terorganisir untuk mencapai tujuan tertentu dan menghasilkan serangkaian
keluaran yang mendukung pencapaian tujuan terkait TI secara keseluruhan.
▪ Struktur organisasi adalah entitas pembuat keputusan utama dalam suatu perusahaan.
▪ Prinsip, kebijakan dan kerangka kerja menerjemahkan perilaku yang diinginkan menjadi pedoman praktis untuk pengelolaan sehari-hari.
▪ Informasi tersebar luas di seluruh organisasi dan mencakup semua informasi yang dihasilkan dan digunakan oleh
perusahaan. COBIT berfokus pada informasi yang diperlukan untuk berfungsinya sistem tata kelola secara efektif
perusahaan.
12
Halaman 13
BAB 1
▪ Budaya, etika dan perilaku individu dan perusahaan sering diremehkan sebagai faktor keberhasilan
kegiatan tata kelola dan manajemen.
▪ Orang, keterampilan dan kompetensi dibutuhkan untuk keputusan yang baik, pelaksanaan tindakan korektif dan sukses
penyelesaian semua aktivitas.
▪ Layanan, infrastruktur dan aplikasi termasuk infrastruktur, teknologi dan aplikasi yang
menyediakan perusahaan dengan sistem tata kelola untuk pemrosesan I&T.
Gambar 1.3 — Komponen COBIT dari Sistem Tata Kelola
Proses
Jasa,
Infrastruktur Organisasi
dan Struktur
Aplikasi
Tata Kelola
Orang, Keterampilan Sistem Prinsip,
dan Kebijakan,
Kompetensi Prosedur
Budaya, Etika
dan Informasi
Tingkah laku
Komponen dari semua tipe bisa generik atau bisa jadi varian dari komponen generik:
• Generic komponen dijelaskan dalam model COBIT inti (lihat Gambar 1.2 ) dan menerapkan pada prinsipnya untuk situasi apa pun.
Namun, mereka bersifat umum dan umumnya membutuhkan penyesuaian sebelum diterapkan secara praktis.
• Varian didasarkan pada komponen umum tetapi disesuaikan untuk tujuan atau konteks tertentu dalam area fokus (mis.,
untuk keamanan informasi, DevOps, regulasi tertentu).
13
Halaman 14
1.3.3 Area Fokus
Area fokus mendeskripsikan topik, domain, atau masalah tata kelola tertentu yang dapat ditangani oleh sekumpulan tata kelola
dan tujuan pengelolaan serta komponennya. Contoh area fokus termasuk usaha kecil dan menengah,
keamanan siber, transformasi digital, komputasi awan, privasi, dan DevOps. 4
Model inti COBIT adalah subjek dari publikasi ini, dan menyediakan komponen tata kelola generik. Area fokus
dapat berisi kombinasi komponen tata kelola umum dan varian pada komponen tertentu yang disesuaikan dengan fokus tersebut
topik area.
Jumlah area fokus hampir tidak terbatas. Itulah yang membuat COBIT terbuka. Area fokus baru dapat ditambahkan sebagai
diperlukan atau sebagai ahli materi pelajaran dan praktisi berkontribusi pada model COBIT terbuka.
Sejumlah panduan konten area fokus sedang dalam persiapan, dan set akan terus berkembang. Untuk informasi terbaru tentang
publikasi dan konten lain yang saat ini tersedia dan menunggu keputusan, silakan kunjungi www.isaca.org/cobit .
4 DevOps mencontohkan varian komponen dan area fokus. Mengapa? DevOps adalah tema terkini di pasar dan pasti membutuhkan panduan khusus,
menjadikannya area fokus. DevOps mencakup sejumlah tujuan tata kelola dan manajemen umum dari model COBIT inti, bersama dengan sejumlah varian
proses dan struktur organisasi yang terkait dengan pengembangan, operasional dan pemantauan.
14
Halaman
15
BAB 2
STRUKTUR PUBLIKASI INI DAN AUDIENS YANG DIMAKSUDKAN
Bab 2
Struktur Publikasi Ini dan Audiens yang Dituju
2.1 Struktur Publikasi Ini
Publikasi ini memberikan deskripsi lengkap tentang 40 tujuan inti tata kelola dan manajemen yang didefinisikan dalam
model inti COBIT ( gambar 1.2 ), proses yang terkandung di dalamnya, komponen terkait lainnya, dan referensi terkait
pedoman seperti standar dan kerangka kerja lainnya. Daftar rinci dari sumber referensi yang disertakan terletak di
Lampiran C.
Sisa dari dokumen ini berisi bagian dan lampiran berikut:

• Bab 3 menjelaskan struktur yang digunakan untuk merinci panduan 40 tujuan tata kelola dan manajemen
lintas komponen.
• Bab 4 memberikan deskripsi komprehensif tentang 40 tujuan inti tata kelola dan manajemen yang didefinisikan dalam
Model inti COBIT ( gambar 1.2 ), proses yang terkandung di dalamnya, komponen terkait lainnya, dan referensi terkait
pedoman seperti standar dan kerangka kerja lainnya.
• Lampiran mencakup lebih detail tentang:
▪ Memetakan tabel yang menginformasikan kaskade tujuan
▪ Deskripsi struktur organisasi
▪ Daftar referensi sumber
2.2 Audiens yang Dituju
Panduan ini ditulis untuk para profesional di seluruh perusahaan, termasuk bisnis, audit, keamanan, manajemen risiko, TI
dan praktisi lain yang akan mendapatkan keuntungan dari panduan rinci tentang 40 tujuan tata kelola dan manajemen
Model inti COBIT. Tingkat pengalaman dan pemahaman tertentu tentang perusahaan diperlukan untuk menyesuaikan COBIT menjadi
praktik tata kelola yang disesuaikan dan terfokus untuk perusahaan.
15
Halaman 16

16
Halaman
17
BAGIAN 3
STRUKTUR TATA KELOLA COBIT DAN TUJUAN MANAJEMEN
bagian 3
Struktur Tata Kelola dan Tujuan Manajemen COBIT
3.1 Pendahuluan
Bab ini menjelaskan struktur yang digunakan untuk merinci masing-masing tujuan tata kelola dan manajemen COBIT. Untuk
setiap tujuan tata kelola dan manajemen, Bab 4 dari publikasi ini memberikan informasi yang terkait dengan masing-masing
komponen tata kelola yang berlaku untuk tujuan tata kelola atau manajemen itu:
• Proses
• Struktur organisasi
• Arus dan item informasi
• Orang, keterampilan dan kompetensi
• Kebijakan dan prosedur
• Budaya, etika dan perilaku
• Layanan, infrastruktur dan aplikasi
Struktur informasi ini dirincikan di bagian berikut.
3.2 Tujuan Tata Kelola dan Manajemen
Seperti yang telah dijelaskan sebelumnya, COBIT ® 2019 mencakup 40 tujuan tata kelola dan manajemen, yang diatur ke dalam lima domain
(lihat gambar 1.2 ).
• Domain tata kelola
▪ Evaluasi, Langsung dan Monitor (EDM)

• Domain manajemen
▪ Sejajarkan, Rencanakan, dan Atur (APO)

▪ Build, Acquire and Implement (BAI)
▪ Memberikan, Layanan dan Dukungan (DSS)
▪ Memantau, Mengevaluasi, dan Menilai (MEA)
Informasi tingkat tinggi yang dirinci untuk setiap tujuan ( gambar 3.1 ) meliputi:
• Nama domain
• Area fokus (dalam hal publikasi ini, ini adalah model inti COBIT)
• Nama tujuan tata kelola atau manajemen
• Deskripsi
• Pernyataan tujuan
17
Halaman 18
Gambar 3.1 — Tampilan Tujuan Tata Kelola dan Manajemen

Domain: <NAME>
Tujuan Tata Kelola / Manajemen: <NAME> Area Fokus: <NAME>
Deskripsi
<TEXT>
Tujuan
<TEXT>
3.3 Gol Bertingkat
Setiap tujuan tata kelola atau manajemen mendukung pencapaian tujuan penyelarasan yang terkait dengan perusahaan yang lebih besar
tujuan (lihat Bagian 4.6 Kerangka COBIT ® 2019: Pengantar dan Metodologi untuk informasi lebih lanjut dan lihat tujuan
tabel pemetaan kaskade di Lampiran A sebagai contoh).
Tujuan keselarasan yang memiliki link utama untuk tata kelola atau manajemen tujuan di tangan tercantum di sebelah kanan - tangan
sisi dari bagian panduan rinci yang mencakup tujuan ( gambar 3.2 ).
Gambar 3.2 — Tampilan Perusahaan yang Berlaku dan Tujuan Penyelarasan

Tujuan tata kelola / manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• <EG REF> <GOAL DESCRIPTION>
➡ Tujuan Penyelarasan
• <AG REF> <GOAL DESCRIPTION>
Tujuan penyelarasan meliputi:

• AG01: Kepatuhan I&T dan dukungan untuk kepatuhan bisnis terhadap hukum dan peraturan eksternal
• AG02: Risiko terkait I & T yang dikelola
• AG03: Manfaat yang direalisasikan dari investasi dan portofolio layanan yang mendukung I & T
• AG04: Kualitas informasi keuangan terkait teknologi
• AG05: Penyampaian layanan I&T sejalan dengan kebutuhan bisnis
• AG06: Kelincahan untuk mengubah persyaratan bisnis menjadi solusi operasional
• AG07: Keamanan informasi, infrastruktur pemrosesan dan aplikasi, dan privasi
• AG08: Mengaktifkan dan mendukung proses bisnis dengan mengintegrasikan aplikasi dan teknologi
• AG09: Menyampaikan program tepat waktu, sesuai anggaran dan memenuhi persyaratan dan standar kualitas
• AG10: Kualitas informasi manajemen I&T
• AG11: Kepatuhan I&T terhadap kebijakan internal
• AG12: Staf yang kompeten dan termotivasi dengan pemahaman bersama tentang teknologi dan bisnis
• AG13: Pengetahuan, keahlian dan inisiatif untuk inovasi bisnis
Sasaran perusahaan yang memiliki tautan utama ke sasaran penyelarasan yang tercantum disertakan di sisi kiri detail
panduan di Bab 4 yang mencakup tujuan. Sasaran perusahaan meliputi:
• EG01: Portofolio produk dan layanan kompetitif
• EG02: Risiko bisnis yang dikelola
18
Halaman 19
BAGIAN 3
• EG03: Kepatuhan terhadap hukum dan peraturan eksternal

• EG04: Kualitas informasi keuangan
• EG05: Budaya layanan berorientasi pelanggan
• EG06: Keberlanjutan dan ketersediaan layanan bisnis
• EG07: Kualitas informasi manajemen
• EG08: Optimalisasi fungsionalitas proses bisnis
• EG09: Optimalisasi biaya proses bisnis
• EG10: Keterampilan staf, motivasi dan produktivitas
• EG11: Kepatuhan terhadap kebijakan internal
• EG12: Program transformasi digital terkelola
• EG13: Inovasi produk dan bisnis
Contoh metrik untuk tujuan perusahaan dan tujuan penyelarasan juga disediakan dalam tabel ( gambar 3.3 ).
Gambar 3.3 — Tampilan Sasaran yang Berlaku dan Contoh Metrik

Tujuan tata kelola / manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
<EG REF> <GOAL DESCRIPTION>
<AG REF> <GOAL DESCRIPTION>
Contoh Metrik untuk Sasaran Perusahaan Contoh Metrik untuk Alignment Goals
<EG REF> • <METRIC> <AG REF> • <METRIC>
<EG REF> • <METRIC> <AG REF> • <METRIC>
3.4 Komponen: Proses
Setiap tujuan tata kelola dan manajemen mencakup beberapa praktik proses. Setiap proses memiliki satu atau lebih aktivitas. SEBUAH
jumlah metrik contoh yang terbatas menyertai setiap praktik proses, untuk mengukur pencapaian praktik dan praktiknya
kontribusi terhadap pencapaian tujuan keseluruhan ( gambar 3.4 ).
Gambar 3.4 — Tampilan Komponen Proses

A. Komponen: Proses
Tata Kelola / Praktek Manajemen Contoh Metrik
<REF> <NAME> <DESCRIPTION> <METRIC>
Kegiatan Tingkat Kemampuan
1. <TEXT> <NR>
2. <TEXT> <NR>
n. <TEXT> <NR>
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
<NAMA STANDAR> <TEXT>
19
Halaman 20
Tingkat kemampuan ditetapkan ke semua aktivitas proses, memungkinkan definisi proses yang jelas pada tingkat kemampuan yang berbeda.
Suatu proses mencapai tingkat kemampuan tertentu segera setelah semua aktivitas tingkat itu dilakukan dengan sukses. COBIT ® 2019
mendukung Capability Maturity Model Integration ® (CMMI) - berdasarkan skema proses-kemampuan, mulai dari 0 sampai 5.
tingkat kapabilitas adalah ukuran seberapa baik suatu proses diimplementasikan dan dilakukan. Gambar 3.5 menggambarkan model, itu
meningkatkan tingkat kemampuan dan karakteristik umum masing-masing.
Gambar 3.5 — Tingkat Kemampuan untuk Proses
Proses mencapai tujuannya, dengan baik

5 didefinisikan, kinerjanya diukur
meningkatkan kinerja dan terus menerus
perbaikan dikejar.
4 Proses mencapai tujuannya, didefinisikan dengan baik, dan itu

kinerja (secara kuantitatif) diukur.
3 Proses mencapai tujuannya dengan cara yang jauh lebih terorganisir menggunakan
aset organisasi. Proses biasanya didefinisikan dengan baik.
Proses tersebut mencapai tujuannya melalui penerapan seperangkat dasar, namun lengkap
2 kegiatan yang dapat dicirikan sebagai dilakukan.
1 Proses tersebut kurang lebih mencapai tujuannya melalui penerapan serangkaian aktivitas yang tidak lengkap itu
dapat dicirikan sebagai awal atau intuitif — tidak terlalu terorganisir.
• Kurangnya kemampuan dasar

0 • Pendekatan yang tidak lengkap untuk menangani tujuan tata kelola dan manajemen
• Mungkin atau mungkin tidak memenuhi maksud dari praktik proses apa pun
Lihat Bab 6 dari COBIT ® 2019 Kerangka: Pendahuluan dan Metodologi untuk rincian tambahan pada kinerja
manajemen dan pengukuran kapabilitas.
Jika relevan, referensi ke standar dan panduan lain juga disertakan dalam bagian ini (lihat gambar 3.4 ). Terkait
pedoman mengacu pada semua standar, kerangka kerja, persyaratan kepatuhan dan pedoman lain yang relevan untuk proses
tersebut di tangan. Area referensi terperinci mengutip bab atau bagian tertentu dalam panduan terkait. Daftar lengkap sumber untuk
pedoman terkait termasuk dalam Lampiran C.
Jika tidak ada panduan terkait yang terdaftar untuk komponen tertentu, tidak ada referensi yang berlaku yang diketahui dari sumber yang dipetakan.
Komunitas praktisi didorong untuk menyarankan panduan terkait.
3.5 Komponen: Struktur Organisasi
Komponen tata kelola struktur organisasi menyarankan tingkat tanggung jawab dan akuntabilitas untuk proses
praktik ( gambar 3.6 ). Bagan tersebut mencakup peran individu serta struktur organisasi, baik dari bisnis maupun TI.
20
Halaman 21
BAGIAN 3
Gambar 3.6 — Tampilan Komponen Struktur Organisasi

B. Komponen: Struktur
Organisasi
Tata Kelola Utama / Praktik Manajemen Struktur OStrrguakntiusrasOSi t1rrguakntiusrasOSi t2rrguakntiusrasOSi t3rrguakntiusrasOSi t4rrguakntiusrasOSi
t5rrguakntiusrasOSi t6rrguakntiusrasOi 7rganisasi 8, dll.
HAI HAI HAI HAI HAI HAI HAI HAI
<REF> <NAME>
Peran dan struktur organisasi berikut telah didefinisikan dalam konteks COBIT ® 2019:
• Papan
• Komite Eksekutif
• Direktur Eksekutif
• Direktur Keuangan
• Direktur Operasional
• Kepala Pejabat Risiko
• Kepala Bagian Informasi
• Direktur Teknologi
• Kepala Bagian Digital
• Dewan Tata Kelola I&T
• Dewan Arsitektur
• Komite Risiko Perusahaan
• Kepala Petugas Keamanan Informasi
• Pemilik Proses Bisnis
• Manajer Portofolio
• Komite Pengarah (Program / Proyek)
• Manajer Program
• Manajer Proyek
• Kantor Manajemen Proyek
• Fungsi Manajemen Data
• Kepala Sumber Daya Manusia
• Manajer Hubungan
21
Halaman 22
• Kepala Arsitek
• Pengembangan Kepala
• Kepala Operasi TI
• Kepala Bagian Administrasi TI
• Manajer Layanan
• Manajer Keamanan Informasi
• Manajer Kontinuitas Bisnis
• Petugas Privasi
• Penasihat Hukum
• Kepatuhan
• Audit
Penjelasan rinci tentang masing-masing peran dan struktur organisasi ini tercakup dalam Lampiran B. Tingkatan yang berbeda dari
keterlibatan yang tercakup untuk struktur ini dapat dibagi menjadi tingkat yang bertanggung jawab dan dapat dipertanggungjawabkan.
• Peran bertanggung jawab (R) mengambil peran operasional utama dalam memenuhi praktik dan menciptakan hasil yang diinginkan. siapa yang
menyelesaikan tugas? Siapa yang menjalankan tugas itu?
• Akuntabel (A) peran membawa akuntabilitas secara keseluruhan. Prinsipnya, akuntabilitas tidak bisa dibagikan. Siapa yang menyumbang
keberhasilan dan pencapaian tugas?
Setiap domain menggambarkan struktur organisasi yang memiliki tanggung jawab dan / atau akuntabilitas dalam domain tersebut. A rinci
deskripsi masing-masing peran dan struktur organisasi disertakan. Struktur organisasi lain tanpa tanggung jawab atau
akuntabilitas telah dihilangkan untuk meningkatkan keterbacaan grafik.
Praktisi dapat melengkapi bagan dengan menambahkan dua tingkat keterlibatan untuk peran dan struktur organisasi. Sejak
atribusi peran yang dikonsultasikan dan diinformasikan tergantung pada konteks dan prioritas organisasi, mereka tidak termasuk dalam hal ini
panduan rinci.
• Peran berkonsultasi (C) memberikan masukan untuk praktek. Siapa yang memberikan masukan?
• Peran yang diinformasikan (I) diinformasikan tentang pencapaian dan / atau hasil dari praktik tersebut. Siapa yang menerima informasi?
Perusahaan harus meninjau tingkat tanggung jawab dan akuntabilitas, dikonsultasikan dan diinformasikan, dan memperbarui peran dan
struktur organisasi dalam bagan sesuai dengan konteks perusahaan, prioritas dan terminologi yang disukai.
Jika relevan, referensi ke standar lain dan panduan tambahan disertakan dalam struktur organisasi
bagian komponen. Panduan Terkait mengacu pada semua standar, kerangka kerja, persyaratan kepatuhan, dan lainnya
panduan yang relevan untuk struktur organisasi yang ada dan tingkat keterlibatan mereka dalam proses. Itu
area referensi rinci mengutip bab atau bagian tertentu dalam panduan terkait. Daftar lengkap sumber disertakan di
Lampiran C.
3.6 Komponen: Arus Informasi dan Item
Komponen tata kelola ketiga memberikan panduan tentang arus informasi dan item yang terkait dengan praktik proses. Setiap
praktek termasuk masukan dan keluaran, dengan indikasi asal dan tujuan.
Secara umum, setiap output dikirim ke satu atau sejumlah tujuan, biasanya praktik proses COBIT lainnya. Bahwa
keluaran kemudian menjadi masukan ke tujuannya ( gambar 3.7 ).
22
Halaman 23
BAGIAN 3
Gambar 3.7 — Tampilan Arus Informasi dan Komponen Item

C. Komponen: Arus Informasi dan Item
Tata Kelola / Praktek Manajemen Masukan Keluaran
Dari Deskripsi Deskripsi Untuk

<REF> <NAME>
<REF> <TEXT> <TEXT> <REF>
Sejumlah output, bagaimanapun, memiliki banyak tujuan (misalnya, semua proses COBIT atau semua proses dalam suatu domain). Untuk
alasan keterbacaan, keluaran ini tidak terdaftar sebagai masukan dalam proses target. Daftar lengkap dari keluaran tersebut disertakan
pada gambar 3.8 .
Untuk beberapa masukan / keluaran, "internal" disebut sebagai tujuan jika masukan dan keluaran dibagi antara kegiatan dalam proses yang sama.
Gambar 3.8 — Hasil untuk Berbagai Proses

Hasil untuk Semua Proses
Dari Praktik Utama Deskripsi Keluaran Tujuan
APO13.02 Rencana penanganan risiko keamanan informasi Semua EDM, Semua APO; Semua BAI, Semua DSS;
Semua MEA
Dari Praktek Pemerintahan Deskripsi Keluaran Tujuan
EDM01.01 Prinsip pedoman tata kelola perusahaan Semua EDM
EDM01.01 Semua EDM

Keputusan - pembuatan model
EDM01.02 Komunikasi tata kelola perusahaan Semua EDM
EDM01.01 Tingkat otoritas Semua EDM

EDM01.03 Umpan balik tentang efektivitas dan kinerja tata kelola Semua EDM
Hasil untuk Semua Proses Manajemen

Dari Praktek Manajemen Deskripsi Keluaran Tujuan
APO01.01 Desain sistem manajemen Semua APO; Semua BAI; Semua DSS; Semua MEA
APO01.01 Tata kelola prioritas dan tujuan manajemen Semua APO; Semua BAI; Semua DSS; Semua MEA
APO01.02 Komunikasi tentang tujuan I&T Semua APO; Semua BAI; Semua DSS; Semua MEA
APO01.02 Aturan dasar komunikasi Semua APO; Semua BAI; Semua DSS; Semua MEA
APO 01.03 Analisis kesenjangan model target Semua APO; Semua BAI; Semua DSS; Semua MEA
APO01.11 Peluang peningkatan proses Semua APO; Semua BAI; Semua DSS; Semua MEA
APO02.05 Strategi dan tujuan I&T Semua APO; Semua BAI; Semua DSS; Semua MEA
APO02.06 Paket komunikasi Semua APO; Semua BAI; Semua DSS; Semua MEA
APO11.03 Standar manajemen mutu Semua APO; Semua BAI; Semua DSS; Semua MEA
APO11.04 Kualitas proses tujuan dan metrik layanan Semua APO; Semua BAI; Semua DSS; Semua MEA
APO11.05 Komunikasi tentang peningkatan berkelanjutan dan praktik terbaik Semua APO; Semua BAI; Semua DSS; Semua MEA
APO11.05 Contoh praktik yang baik untuk dibagikan Semua APO; Semua BAI; Semua DSS; Semua MEA
APO11.05 Hasil benchmark review kualitas Semua APO; Semua BAI; Semua DSS; Semua MEA
23
Halaman 24
Gambar 3.8 — Keluaran ke Beberapa Proses (lanjutan)

Hasil untuk Semua Proses Manajemen
Dari Praktek Manajemen Deskripsi Keluaran Tujuan
MEA01.02 Memantau target Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA01.04 Laporan kinerja Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA01.05 Tindakan perbaikan dan tugas Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA02.01 Hasil pemantauan dan tinjauan pengendalian internal Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA02.01 Hasil benchmarking dan evaluasi lainnya Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA02.03 Hasil review penilaian diri Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA02.03 Rencana dan kriteria penilaian diri sendiri Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA02.04 Kekurangan kontrol Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA02.04 Tindakan perbaikan Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA03.02 Komunikasi persyaratan kepatuhan yang diubah Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA04.02 Rencana jaminan Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA04.08 Laporan tinjauan jaminan Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA04.08 Hasil review jaminan Semua APO; Semua BAI; Semua DSS; Semua MEA
MEA04.09 Tindakan perbaikan Semua APO; Semua BAI; Semua DSS; Semua MEA
Jika relevan, referensi ke standar lain dan panduan tambahan disertakan dalam arus dan item informasi
komponen. Panduan Terkait mengacu pada semua standar, kerangka kerja, persyaratan kepatuhan dan panduan lain itu
relevan untuk item informasi yang ada. Area referensi rinci mengutip bab atau bagian tertentu yang terkait
bimbingan. Daftar lengkap sumber disertakan dalam Lampiran C.
3.7 Kompetensi: Orang, Keterampilan dan Kompetensi
Komponen tata kelola orang, keterampilan dan kompetensi mengidentifikasi sumber daya manusia dan keterampilan yang dibutuhkan untuk mencapai
tujuan tata kelola atau manajemen. COBIT ® 2019 mendasarkan panduan ini pada Kerangka Keterampilan untuk Era Informasi
(SFIA ® ) V6 (versi 6). 5 Semua keterampilan yang terdaftar dijelaskan secara rinci dalam kerangka SFIA. Referensi Terperinci menyediakan
kode unik yang berhubungan dengan panduan SFIA pada keterampilan ( gambar 3.9 ). Selain itu, referensi disertakan untuk beberapa
tujuan tata kelola dan manajemen ke e-Competence Framework (e-CF) -A Kerangka umum Eropa untuk TIK
Profesional di semua sektor industri — Bagian 1: Kerangka 6 dan “Prinsip Inti untuk Lembaga Auditor Internal
Praktik Profesional Audit Internal. ” 7
Gambar 3.9 — Tampilan Komponen Orang, Keterampilan dan Kompetensi

D. Komponen: Orang, Keterampilan dan Kompetensi
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
<NAMA> Kerangka Keterampilan untuk Era Informasi, V6 (SFIA 6), 2015 <KODE SFIA>
<NAMA> Kerangka Keterampilan untuk Era Informasi, V6 (SFIA 6), 2015 <KODE SFIA>
5 SFIA Foundation, “SFIA V6, versi utama keenam dari Kerangka Keterampilan untuk Era Informasi.,” Https://www.sfia-online.org/en/framework/sfia-6
6 Komite Eropa untuk Standardisasi (CEN), Kerangka Kerja e-Kompetensi (e-CF) - Kerangka kerja umum Eropa untuk Profesional TIK di
semua sektor industri - Bagian 1: Kerangka, EN 16234-1: 2016, https://standards.cen.eu/dyn/www/f?
p=204:110i>::::FSP_PROJECT:41798&cs=13E00999DD92E702F0E171397CF76EC87
7 The Institute of Internal Auditing (IIA ), "Prinsip Inti untuk Praktik Profesional Audit Internal",
® ®
https://na.theiia.org/standards-guidance/mandatory-guidance/Pages/Core-Principles-for-the-Professional-Practice-of-Internal-Auditing.aspx
24
Halaman 25
BAGIAN 3
3.8 Komponen: Kebijakan dan Prosedur
Komponen ini memberikan panduan rinci tentang kebijakan dan prosedur yang relevan untuk tata kelola atau manajemen
objektif. Nama kebijakan dan prosedur yang relevan disertakan, dengan deskripsi tujuan dan konten
kebijakan ( gambar 3.10 ).
Jika relevan, referensi ke standar lain dan panduan tambahan disertakan. Panduan Terkait mengutip secara spesifik
bab atau bagian dalam pedoman terkait di mana lebih banyak informasi dapat dikonsultasikan. Daftar lengkap sumbernya adalah
termasuk dalam Lampiran C.
Gambar 3.10 — Tampilan Komponen Kebijakan dan Prosedur

E. Komponen: Kebijakan dan Prosedur
Kebijakan yang Relevan Deskripsi Kebijakan Panduan Terkait Referensi Terperinci

<NAMA> <DESKRIPSI> <NAMA STANDAR> <TEXT>
3.9 Komponen: Budaya, Etika dan Perilaku
Komponen tata kelola budaya, etika, dan perilaku memberikan panduan terperinci tentang elemen budaya yang diinginkan di dalamnya
organisasi yang mendukung pencapaian tujuan tata kelola atau manajemen ( gambar 3.11 ). Di mana relevan,
referensi ke standar lain dan panduan tambahan disertakan. Panduan Terkait mengutip bab atau bagian tertentu
dalam pedoman terkait di mana lebih banyak informasi dapat dikonsultasikan. Daftar lengkap sumber disertakan dalam Lampiran C.
Gambar 3.11 — Tampilan Komponen Budaya, Etika, dan Perilaku

F. Komponen: Budaya, Etika dan Perilaku
Elemen Budaya Utama Panduan Terkait Referensi Terperinci
<NAMA> <NAMA STANDAR> <TEXT>
3.10 Komponen: Layanan, Infrastruktur dan Aplikasi
Komponen tata kelola layanan, infrastruktur, dan aplikasi memberikan panduan terperinci tentang layanan pihak ketiga,
jenis infrastruktur dan kategori aplikasi yang dapat diterapkan untuk mendukung pencapaian suatu tata kelola atau
tujuan manajemen. Panduan bersifat umum (untuk menghindari penamaan vendor atau produk tertentu); namun, entri memang menyediakan
arahan bagi perusahaan untuk membangun sistem tata kelola mereka untuk I&T ( gambar 3.12 ).
Gambar 3.12 — Tampilan Komponen Layanan, Infrastruktur, dan Aplikasi

G. Komponen: Layanan, Infrastruktur dan Aplikasi
<KATEGORI LAYANAN, INFRASTRUKTUR ATAU APLIKASI>
25
Halaman 26

26
Halaman
27
BAB 4
TATA KELOLA COBIT DAN TUJUAN MANAJEMEN — PANDUAN RINCI
Mengevaluasi, Mengarahkan dan M
Bab 4
Tujuan Tata Kelola dan Manajemen COBIT — Panduan Terperinci
Model Inti COBIT
4.1 Evaluasi, Langsung dan Monitor (EDM)
1 Memastikan Pengaturan dan Pemeliharaan Kerangka Tata Kelola

2 Pengiriman Manfaat yang Dijamin
3 Optimasi Risiko yang Dipastikan
4 Pengoptimalan Sumber Daya Terjamin
5 Memastikan Keterlibatan Pemangku Kepentingan
27
Halaman 28
Mengevaluasi, Mengarahkan dan Memantau

28
Halaman
29
BAB 4
Domain: Mengevaluasi, Mengarahkan dan Memantau

Tujuan Tata Kelola: EDM01 - Memastikan Pengaturan dan Pemeliharaan Kerangka Tata Kelola Area Fokus: Model Inti COBIT
Deskripsi
Menganalisis dan mengartikulasikan persyaratan untuk tata kelola I&T perusahaan. Menempatkan dan memelihara komponen tata kelola dengan jelas
wewenang dan tanggung jawab untuk mencapai misi, tujuan dan sasaran perusahaan.
Tujuan
Memberikan pendekatan konsisten yang terintegrasi dan selaras dengan pendekatan tata kelola perusahaan. Keputusan terkait I & T dibuat sejalan dengan keputusan perusahaan
strategi dan tujuan dan nilai yang diinginkan direalisasikan. Untuk itu, pastikan bahwa proses terkait I & T diawasi secara efektif dan transparan;
kepatuhan terhadap persyaratan hukum, kontrak dan peraturan dipastikan; dan persyaratan tata kelola untuk anggota dewan dipenuhi.
Tujuan tata kelola mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG03 Kepatuhan terhadap hukum dan peraturan eksternal
• AG01 Kepatuhan I&T dan dukungan untuk kepatuhan bisnis
• EG08 Optimalisasi fungsi proses bisnis internal
hukum dan peraturan eksternal
• Program transformasi digital terkelola EG12
• AG03 Manfaat yang direalisasikan dari investasi dan layanan yang mendukung I & T
portofolio
EG03 a. Biaya ketidakpatuhan peraturan, termasuk penyelesaian

AG01 a. Biaya ketidakpatuhan TI, termasuk penyelesaian dan denda,
dan denda
dan dampak hilangnya reputasi
b. Jumlah penyebab masalah ketidakpatuhan peraturan
b. Jumlah masalah ketidakpatuhan terkait TI yang dilaporkan ke
komentar publik atau publisitas negatif
c. Jumlah masalah ketidakpatuhan yang dicatat oleh regulator papan, atau menyebabkan komentar publik atau rasa malu
c. Jumlah masalah ketidakpatuhan yang terkait dengan kontrak
d. Jumlah masalah ketidakpatuhan peraturan yang berkaitan dengan
perjanjian kontrak dengan mitra bisnis perjanjian dengan penyedia layanan TI
EG08 a. Tingkat kepuasan dewan direksi dan manajemen eksekutif

AG03 a. Persentase investasi yang mendukung I & T yang diklaim
dengan kemampuan proses bisnis
manfaat dalam kasus bisnis terpenuhi atau terlampaui
b. Tingkat kepuasan pelanggan dengan penyampaian layanan
b. Persen dari layanan I&T yang mengharapkan manfaat (seperti
kemampuan
dinyatakan dalam perjanjian tingkat layanan) direalisasikan
c. Tingkat kepuasan pemasok dengan rantai pasokan
kemampuan
EG12 a. Jumlah program tepat waktu dan sesuai anggaran
b. Persentase pemangku kepentingan yang puas dengan pelaksanaan program
c. Persen program transformasi bisnis dihentikan
d. Persentase program transformasi bisnis dengan
pembaruan status rutin yang dilaporkan
A. Komponen: Proses
Praktek Tata Kelola Contoh Metrik
EDM01.01 Mengevaluasi sistem tata kelola. Sebuah. Jumlah prinsip panduan yang ditetapkan untuk tata kelola I&T dan
Identifikasi dan libatkan secara berkelanjutan dengan pemangku kepentingan perusahaan, pengambilan keputusan
mendokumentasikan pemahaman tentang persyaratan, dan mengevaluasi b. Jumlah eksekutif senior yang terlibat dalam menetapkan arah tata kelola
desain tata kelola I&T perusahaan saat ini dan di masa mendatang. untuk itu
1. Menganalisis dan mengidentifikasi faktor lingkungan internal dan eksternal (kewajiban hukum, peraturan dan kontrak) dan tren di 2
lingkungan bisnis yang dapat mempengaruhi desain tata kelola.
2. Tentukan signifikansi I&T dan perannya dalam kaitannya dengan bisnis.
3. Pertimbangkan peraturan eksternal, hukum dan kewajiban kontrak dan tentukan bagaimana mereka harus diterapkan dalam
tata kelola I&T perusahaan.
4. Tentukan implikasi dari lingkungan pengendalian perusahaan secara keseluruhan yang berkaitan dengan I&T.
5. Menyelaraskan penggunaan dan pemrosesan informasi secara etis dan dampaknya terhadap masyarakat, lingkungan alam, serta internal dan eksternal 3
kepentingan pemangku kepentingan dengan arah, sasaran dan sasaran perusahaan.
6. Mengartikulasikan prinsip-prinsip yang akan memandu desain tata kelola dan pengambilan keputusan I&T.
7. Tentukan model pengambilan keputusan yang optimal untuk I&T.

8. Tentukan tingkat pendelegasian wewenang yang sesuai, termasuk aturan ambang batas, untuk keputusan I&T.
29
Halaman 30
A.Komponen: Proses (lanjutan)
CMMI Cybermaturity Platform, 2018 GE.AG Menerapkan Sistem Tata Kelola; GE.MG Memantau Sistem Tata Kelola
ISO / IEC 38500: 2015 (E) 5.2 Prinsip 1: Tanggung Jawab (Evaluasi)
ITIL V3, 2011 Strategi Pelayanan, 2.3 Tata kelola dan sistem manajemen
Institut Nasional Standar dan Publikasi Khusus Teknologi

3.1 Persiapan (Tugas 2, 3, 4, 5)
800-37, Revisi 2 (Draf), Mei 2018
EDM01.02 Mengarahkan sistem tata kelola. Sebuah. Sejauh mana prinsip-prinsip tata kelola I&T yang disetujui terbukti
Memberi tahu para pemimpin tentang prinsip-prinsip tata kelola I&T dan mendapatkan dukupnrogsaensmdaenrepkraa,ktik (persentase proses dan praktik
dukungan dan komitmen. Pandu struktur, proses, dan praktik dapat dilacak ke prinsip)
untuk tata kelola I&T sejalan dengan prinsip-prinsip tata kelola yang telah disepakati, b. Frekuensi pelaporan tata kelola I&T kepada komite eksekutif
model pengambilan keputusan dan tingkat otoritas. Tentukan informasinya dan papan
diperlukan untuk pengambilan keputusan yang terinformasi. c. Jumlah peran, tanggung jawab dan wewenang untuk tata kelola I&T
yang ditentukan, ditetapkan dan diterima oleh bisnis yang sesuai dan
Manajemen I&T
1. Komunikasikan tata kelola prinsip-prinsip I&T dan setujui manajemen eksekutif tentang cara menetapkan dan 2
kepemimpinan yang berkomitmen.
2. Menetapkan atau mendelegasikan pembentukan struktur, proses, dan praktik tata kelola sejalan dengan desain yang telah
disepakati prinsip.
3. Membentuk dewan tata kelola I&T (atau yang setara) di tingkat dewan. Dewan ini harus memastikan bahwa tata kelola informasi
dan teknologi, sebagai bagian dari tata kelola perusahaan, ditangani secara memadai; memberi nasihat tentang arahan strategis; dan tentukan
memprioritaskan program investasi yang mendukung I & T sejalan dengan strategi dan prioritas bisnis perusahaan.
4. Mengalokasikan tanggung jawab, wewenang dan akuntabilitas untuk keputusan I&T sejalan dengan prinsip desain tata kelola yang telah disepakati, 3
model pengambilan keputusan dan pendelegasian.
5. Pastikan bahwa mekanisme komunikasi dan pelaporan menyediakan mereka yang bertanggung jawab atas pengawasan dan pengambilan keputusan
informasi yang sesuai.
6. Arahkan agar staf mengikuti pedoman yang relevan untuk perilaku etis dan profesional dan memastikan bahwa konsekuensi dari
ketidakpatuhan diketahui dan diberlakukan.
7. Mengarahkan pembentukan sistem penghargaan untuk mempromosikan perubahan budaya yang diinginkan.
CMMI Cybermaturity Platform, 2018 GE.DG Sistem Tata Kelola Langsung
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SG1.1 Kerangka Tata Kelola Keamanan
ISO / IEC 38500: 2015 (E) 5.2 Prinsip 1: Tanggung Jawab (Langsung)
ISO / IEC 38502: 2017 (E) Tata Kelola TI - Kerangka kerja dan model (semua bab)
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 5.4: Area fungsional tata kelola - Prinsip 12
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.14 Perencanaan (PL-2, PL-10)
800-53, Revisi 5 (Draf), Agustus 2017
EDM01.03 Memantau sistem tata kelola.

Sebuah. Waktu siklus aktual vs. target untuk keputusan penting
Pantau efektivitas dan kinerja perusahaan
b. Frekuensi tinjauan independen atas tata kelola I&T
tata kelola I&T. Menilai apakah sistem tata kelola dan
c. Tingkat kepuasan pemangku kepentingan (diukur melalui survei)
mekanisme yang diterapkan (termasuk struktur, prinsip dan
proses) beroperasi secara efektif dan memberikan pengawasan yang sesuai d. Jumlah masalah tata kelola I&T yang dilaporkan
I&T untuk mengaktifkan penciptaan nilai.
30
Halaman
31
BAB 4

1. Menilai efektivitas dan kinerja para pemangku kepentingan yang diberikan tanggung jawab dan wewenang yang didelegasikan untuk tata kelola 3
perusahaan I&T.
2. Secara berkala menilai apakah tata kelola mekanisme I&T yang disepakati (struktur, prinsip, proses, dll.) Ditetapkan 4
dan beroperasi secara efektif.
3. Menilai keefektifan rancangan tata kelola dan mengidentifikasi tindakan untuk memperbaiki setiap penyimpangan yang ditemukan.
4. Menjaga pengawasan sejauh mana I&T memenuhi kewajiban (regulasi, undang-undang, common law, kontrak),
internal kebijakan, standar, dan pedoman profesional.
5. Menyediakan pengawasan atas keefektifan, dan kepatuhan terhadap, sistem pengendalian perusahaan.
6. Pantau mekanisme reguler dan rutin untuk memastikan bahwa penggunaan I&T sesuai dengan kewajiban yang relevan (peraturan,
undang-undang, hukum umum, kontrak), standar dan pedoman.
ISO / IEC 38500: 2015 (E) 5.2 Prinsip 1: Tanggung Jawab (Monitor)
Institut Nasional Standar dan Teknologi Publikasi Khusus 800-

3.14 Perencanaan (PL-11)
53, Revisi 5 (Draf), Agustus 2017
B. Komponen: Struktur Organisasi
fficer
fficer
Dewan Tata Kelola

Praktik Tata Kelola Utama NaikKomKiteepKaElekapsSEeaAklkauYseItAinkffuTotrifmOasi O
EDM01.01 Mengevaluasi sistem tata kelola. ARRRR
EDM01.02 Mengarahkan sistem tata kelola. AR R
EDM01.03 Memantau sistem tata kelola. ARRRR
COSO Enterprise Risk Management, Juni 2017 6. Tata Kelola dan Budaya — Prinsip 2
ISO / IEC 38502: 2017 (E) 5.1 Tanggung jawab badan pengatur
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 2: Konsep dasar — Definisi tata kelola perusahaan;
Bagian 5.3: Struktur dan delegasi yang mengatur — Prinsip 6 & 7
31
Halaman 32
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6)
Praktek Tata Kelola Masukan Keluaran
EDM01.01 Mengevaluasi sistem tata kelola. Dari Deskripsi Deskripsi Untuk
MEA03.02 Komunikasi dari

Tata kelola Semua EDM;
berubah kepatuhan
Persyaratan perusahaan prinsip APO01.01;
panduan APO 01.03
APO01.04
Mengevaluasi, Mengarahkan dan Memantau Di luar COBIT • Konstitusi / anggaran rumah tangga M/ odel pengambilan keputusan Semua EDM;
anggaran dasar organisasi APO01.01;
• Tata kelola / APO01.04
keputusan- membuat
Tingkat otoritas Semua EDM;
model
APO01.05
• Hukum / regulasi
• Lingkungan bisnis
tren
EDM01.02 Mengarahkan sistem tata kelola. Tata kelola perusahaan Semua EDM;
komunikasi APO01.02
Pendekatan sistem penghargaan APO07.03;

APO07.04
Umpan balik tentangEDM01.03

tata kelolaMemantau sistem tata kelola.
Semua EDM; MEA01.04 Laporan kinerja
efektivitas dan APO01.11
kinerja
MEA01.05 Status dan hasil
tindakan
MEA02.01 • Hasil internal

pemantauan kontrol dan
ulasan
• Hasil dari
benchmarking dan
evaluasi lainnya
MEA02.03 Hasil tinjauan

penilaian diri sendiri
MEA03.03 Pemenuhan
konfirmasi
MEA03.04 • Jaminan kepatuhan

laporan
• Laporan
masalah ketidakpatuhan
dan akar penyebabnya
MEA04.02 Rencana jaminan
Di luar COBIT • Laporan audit

• Kewajiban

3.1 Persiapan (Tugas 2, 3, 4, 5): Input dan Output
800-37, Revisi 2, September 2017
32
Halaman
33
BAB 4
Tata kelola IS e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
E. Kelola — E.9. Tata Kelola IS
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016
Tata kelola TI Kerangka Keterampilan untuk Era Informasi V6, 2015 PEMERINTAH
Delegasi kebijakan otoritas Menentukan otoritas bahwa

(1) ISO / IEC 38500: 2015 (E); (1) 5.2 Prinsip 1: Tanggung jawab;
papan benar-benar dipertahankan untuk dirin(y2a) sIeSnOdi/riI.EC 38502: 2017 (E); (2) 5.3 Pendelegasian; (3) Bagian 5.3:
Menyebutkan prinsip-prinsip umum (3) Laporan Raja IV tentang Perusahaan Struktur yang mengatur dan
pendelegasian wewenang dan Tata Kelola untuk Afrika Selatan, 2016 Delegasi Prinsip — 8 dan 10
jadwal pendelegasian (termasuk
batas yang jelas). Mendefinisikan
struktur organisasi yang mana
dewan mendelegasikan otoritas.
Kebijakan tata kelola Memberikan prinsip-prinsip panduan Institut Standar Nasional dan 3.14 Perencanaan (PL-1)
tata kelola (misalnya, I&T Publikasi Khusus Teknologi
tata kelola sangat penting bagi perusahaan 800- 53, Revisi 5 (Draf),
keberhasilan; I&T dan bisnis Agustus 2017
menyelaraskan secara strategis; bisnis
persyaratan dan manfaat
menentukan prioritas; pelaksanaan
harus adil, tepat waktu dan
konsisten; praktik terbaik industri,
kerangka kerja dan standar harus
dinilai dan diterapkan sebagai
sesuai). Termasuk tata kelola
keharusan, seperti membangun kepercayaan
dan kemitraan, untuk menjadi sukses.
Menekankan bahwa tata kelola I&T
mpeernbcaeikrmanindkaannhsaurautsudpirsoesusa
iykaanng, berkelanjutan dipelihara dan diperbarui
untuk memastikan
relevansi.
Identifikasi dan komunikasikan budaya pengambilan keputusan, organisasi

etika dan perilaku individu yang mengandung nilai-nilai perusahaan. (1) Institut Standar Nasional (1) 3.14 Perencanaan (PL-4); (2) 4.1
Tunjukkan kepemimpinan etis dan atur nada di atas. dan Teknologi Khusus Prinsip; (3) Bagian 5.1: Kepemimpinan,
Publikasi 800-53, Revisi etika dan kewarganegaraan perusahaan -
5, Agustus 2017; (2) ISO / IEC Prinsip 2
38500: 2015 (E); (3) Laporan Raja IV
tentang Tata Kelola Perusahaan untuk
Afrika Selatan, 2016
• COBIT dan produk / alat terkait

• Kerangka dan standar yang setara
33
Halaman 34

34
Halaman
35
BAB 4

Tujuan Tata Kelola: EDM02 - Pengiriman Manfaat yang Dijamin Area Fokus: Model Inti COBIT
Deskripsi
Mengoptimalkan nilai bisnis dari investasi dalam proses bisnis, layanan I&T, dan aset I&T.
Tujuan
Mengamankan nilai optimal dari inisiatif, layanan, dan aset yang mendukung I & T; penyampaian solusi dan layanan yang hemat biaya; dan handal dan akurat
gambaran biaya dan kemungkinan keuntungan sehingga kebutuhan bisnis didukung secara efektif dan efisien.
Tujuan Perusahaan
AG03 Manfaat yang disadari dari investasi dan layanan yang mendukung I & T
portofolio

dengan kemampuan proses bisnis AG03 a. Persentase investasi yang mendukung I & T yang diklaim
kemampuan b. Persen dari layanan I&T yang mengharapkan manfaat (seperti
kemampuan
A. Komponen: Proses
EDM02.01 Menetapkan bauran investasi target.

Sebuah. Persentase investasi I&T yang dapat dilacak ke strategi perusahaan
Tinjau dan pastikan kejelasan strategi perusahaan dan I&T serta yang terkini
b. Persen investasi I&T berdasarkan biaya, keselarasan dengan strategi,
jasa. Tentukan campuran investasi yang tepat berdasarkan biaya,
keselarasan dengan strategi, jenis manfaat untuk program dalam portofolio, ukuran keuangan (misalnya, biaya dan ROI selama kehidupan ekonomi penuh
siklus), tingkat risiko dan jenis manfaat untuk program di
gelar
portofolio
risiko, dan ukuran keuangan seperti biaya dan pengembalian yang diharapkan
investasi (ROI) selama siklus hidup ekonomi penuh. Sesuaikan perusahaan
dan strategi I&T jika diperlukan.
1. Membuat dan memelihara portofolio program investasi yang mendukung I & T, layanan TI, dan aset TI, yang menjadi dasar untuk 2
anggaran TI saat ini dan mendukung rencana taktis dan strategis I&T.
2. Memperoleh pemahaman yang sama antara TI dan fungsi bisnis lainnya tentang potensi peluang yang dapat diaktifkan oleh TI
dan berkontribusi pada strategi perusahaan.
3. Mengidentifikasi kategori yang luas dari sistem informasi, aplikasi, data, layanan TI, infrastruktur, aset I&T, sumber daya, keterampilan,
praktik, kontrol, dan hubungan yang diperlukan untuk mendukung strategi perusahaan.
4. Setuju pada tujuan I&T, dengan mempertimbangkan hubungan timbal balik antara strategi perusahaan dan layanan I&T, aset dan
sumber daya lainnya. Identifikasi dan manfaatkan sinergi yang dapat dicapai.
5. Tentukan bauran investasi yang mencapai keseimbangan yang tepat di antara sejumlah dimensi, termasuk keseimbangan yang sesuai 3
keuntungan jangka pendek dan panjang, keuntungan finansial dan nonfinansial, dan investasi berisiko tinggi dan rendah.
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 5.5: Hubungan pemangku kepentingan — Prinsip 17
Arsitektur Referensi IT4IT Grup Terbuka, Versi 2.0 3.2 Rantai Nilai TI dan Arsitektur Referensi IT4IT
35
Halaman 36
EDM02.02 Evaluasi pengoptimalan nilai.

Sebuah. Penyimpangan antara target dan bauran investasi aktual
Evaluasi secara berkelanjutan portofolio investasi, layanan yang mendukung I & T
b. Persentase portofolio investasi yang mendukung I & T dengan kemungkinan sebesar
dan aset untuk menentukan kemungkinan pencapaian tujuan perusahaan
mencapai tujuan perusahaan dan memberikan nilai dengan biaya yang wajar
dan memberikan nilai. Identifikasi dan evaluasi setiap perubahan arah ke
manajemen yang akan mengoptimalkan penciptaan nilai.
1. Memahami persyaratan pemangku kepentingan; isu-isu strategis I&T, seperti ketergantungan pada I&T; dan wawasan teknologi dan 2
kapabilitas mengenai signifikansi aktual dan potensial I&T untuk strategi perusahaan.
2. Memahami elemen-elemen utama tata kelola yang diperlukan untuk penyampaian nilai optimal yang andal, aman, dan hemat biaya 3
penggunaan layanan, aset, dan sumber daya I&T yang sudah ada dan yang baru.
3. Memahami dan secara teratur mendiskusikan peluang yang dapat timbul untuk perusahaan dari perubahan yang dimungkinkan oleh saat ini, baru atau
teknologi baru, dan mengoptimalkan nilai yang tercipta dari peluang tersebut.
4. Pahami apa yang merupakan nilai bagi perusahaan, dan pertimbangkan seberapa baik nilai itu dikomunikasikan, dipahami dan diterapkan
di seluruh proses perusahaan.
5. Mengevaluasi seberapa efektif perusahaan dan strategi I&T telah diintegrasikan dan diselaraskan di dalam dan dengan perusahaan 4
tujuan perusahaan untuk memberikan nilai.
6. Pahami dan pertimbangkan seberapa efektif peran, tanggung jawab, akuntabilitas, dan badan pembuat keputusan saat ini
memastikan penciptaan nilai dari investasi, layanan, dan aset yang mendukung I & T.
7. Pertimbangkan seberapa baik manajemen investasi, layanan, dan aset yang mendukung I & T sejalan dengan manajemen nilai perusahaan
dan praktik manajemen keuangan.
8. Mengevaluasi portofolio investasi, layanan dan aset untuk menyelaraskan dengan tujuan strategis perusahaan; perusahaan
nilai, baik finansial maupun nonfinansial; risiko, baik risiko pengiriman maupun risiko manfaat; penyelarasan proses bisnis; efektivitas dalam
syarat kegunaan, ketersediaan dan daya tanggap; dan efisiensi dalam hal biaya, redundansi dan kesehatan teknis.
COSO Enterprise Risk Management, Juni 2017 7. Penetapan Strategi dan Tujuan — Prinsip 8
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SG2.2 Penyerahan Nilai Pemangku Kepentingan
ISO / IEC 38500: 2015 (E) 5.3 Prinsip 2: Strategi (Evaluasi)
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 5.2: Strategi, kinerja dan pelaporan — Prinsip 4
Arsitektur Referensi IT4IT Grup Terbuka, Versi 2.0 5. Aliran Nilai Strategy to Portfolio (S2P)
EDM02.03 Pengoptimalan nilai langsung.

Sebuah. Persentase inisiatif I&T dalam keseluruhan portofolio di mana nilainya berada
Prinsip dan praktik manajemen nilai langsung untuk memungkinkan optimal
dikelola melalui siklus hidup penuh
realisasi nilai dari investasi yang mendukung I & T secara penuh
b. Persentase inisiatif I&T yang menggunakan prinsip manajemen nilai dan
siklus hidup ekonomi.
praktek
1. Tentukan dan komunikasikan jenis portofolio dan investasi, kategori, kriteria dan bobot relatif dengan kriteria yang memungkinkan 2
skor nilai relatif keseluruhan.
2. Tentukan persyaratan untuk gerbang panggung dan tinjauan lain untuk signifikansi investasi bagi perusahaan dan risiko terkait, 3
jadwal program, rencana pendanaan, dan penyampaian kapabilitas dan manfaat utama serta kontribusi berkelanjutan terhadap nilai.
3. Mengarahkan manajemen untuk mempertimbangkan potensi penggunaan inovatif dari I&T yang memungkinkan perusahaan untuk menanggapi peluang baru atau
tantangan, menjalankan bisnis baru, meningkatkan daya saing, atau memperbaiki proses.
4. Mengarahkan setiap perubahan yang diperlukan dalam penugasan pertanggungjawaban dan tanggung jawab untuk melaksanakan portofolio investasi dan
memberikan nilai dari proses bisnis dan layanan.
5. Mengarahkan setiap perubahan yang diperlukan pada portofolio investasi dan layanan untuk menyelaraskan kembali dengan perusahaan saat ini dan yang diharapkan
tujuan dan / atau kendala.
6. Merekomendasikan pertimbangan inovasi potensial, perubahan organisasi atau perbaikan operasional yang dapat mendorong
peningkatan nilai bagi perusahaan dari inisiatif yang mendukung I & T.
7. Tetapkan dan komunikasikan tujuan penyampaian nilai tingkat perusahaan dan ukuran hasil untuk memungkinkan pemantauan yang efektif. 4
36
Halaman
37
BAB 4
ISO / IEC 38500: 2015 (E) 5.3 Prinsip 2: Strategi (Langsung)

EDM02.04 Pantau pengoptimalan nilai. Sebuah. Jumlah peluang usaha baru yang direalisasikan sebagai akibat langsung dari
Pantau tujuan utama dan metrik untuk menentukan apakah perusahaan Perkembangan I&T
menerima nilai dan manfaat yang diharapkan dari investasi yang mendukung I & T dan b. Persentase tujuan perusahaan strategis yang dicapai sebagai hasil dari
jasa. Identifikasi masalah signifikan dan pertimbangkan tindakan korektif. inisiatif I&T strategis
c. Tingkat kepuasan manajemen eksekutif dengan penyampaian nilai I&T
dan biaya
d. Tingkat kepuasan pemangku kepentingan dengan kemajuan menuju tujuan yang
diidentifikasi (pengiriman nilai berdasarkan survei)
e. Tingkat kepuasan pemangku kepentingan dengan kemampuan perusahaan untuk
mendapatkan nilai dari inisiatif yang mendukung I & T
f. Banyaknya insiden yang terjadi karena aktual atau percobaan
menghindari prinsip-prinsip manajemen nilai yang sudah mapan dan
praktek
g. Persen dari nilai yang diharapkan terealisasi
1. Tentukan seperangkat tujuan, metrik, target, dan tolok ukur kinerja yang seimbang. Metrik harus mencakup aktivitas dan hasil 4
langkah-langkah, termasuk indikator awal dan akhir untuk hasil, serta keseimbangan yang sesuai antara keuangan dan nonfinansial
Pengukuran. Tinjau dan sepakati mereka dengan TI dan fungsi bisnis lainnya, dan pemangku kepentingan terkait lainnya.
2. Kumpulkan data yang relevan, tepat waktu, lengkap, kredibel dan akurat untuk melaporkan kemajuan dalam memberikan nilai terhadap target. Memperoleh
tampilan portofolio, program, dan kinerja I&T (kemampuan teknis dan operasional) yang ringkas, tingkat tinggi, dan menyeluruh yang
mendukung pengambilan keputusan. Pastikan bahwa hasil yang diharapkan tercapai.
3. Dapatkan portofolio, program, dan laporan kinerja I&T (teknologi dan fungsional) yang teratur dan relevan. Tinjau
kemajuan perusahaan menuju tujuan yang diidentifikasi dan sejauh mana tujuan yang direncanakan telah tercapai, hasil
diperoleh, target kinerja terpenuhi dan risiko dimitigasi.
4. Setelah meninjau laporan, pastikan bahwa tindakan korektif manajemen yang tepat dimulai dan dikendalikan. 5
5. Setelah meninjau laporan, ambil tindakan manajemen yang sesuai sebagaimana diperlukan untuk memastikan bahwa nilai dioptimalkan.
ISO / IEC 38500: 2015 (E) 5.3 Prinsip 2: Strategi (Monitor)
A. Komponen: Struktur Organisasi
fficer
fficer fficer
Dewan Tata Kelola

Praktik Tata Kelola Utama Manajer ortfolio
NaikKomKiteepKaElekapsKEeaklkeaupsKeBtaiklfaeaugptSOiaiafAlpnaOYeP
KIrAn.aefsTuoiarOmngaasni O
EDM02.01 Menetapkan bauran investasi target. ARRRRRR
EDM02.02 Evaluasi pengoptimalan nilai. ARRRRRR
EDM02.03 Pengoptimalan nilai langsung. ARRRRRR
EDM02.04 Pantau pengoptimalan nilai. ARRRRRRR
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 2: Konsep dasar — Definisi tata kelola perusahaan
37
Halaman 38
B.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6)
EDM02.01 Menetapkan bauran investasi target. Dari Deskripsi Deskripsi Untuk
APO02.05 • Definisi strategis Umpan balik tentang strategi APO02.05

inisiatif dan tujuan
• Tugas beresiko
inisiatif
• Peta jalan strategis
APO09.01 Definisi standar Sumber daya teridentifikasi dan Intern
jasa kemampuan yang dibutuhkan untuk
strategi dukungan
BAI03.11 Definisi layanan Bauran investasi yang ditentukanIntern;
EDM02.03 Jenis investasi dan EDM02.03

kriteria
EDM02.02 Evaluasi pengoptimalan nilai. APO02.05 Peta jalan yang strategis Evaluasi strategis
penjajaran APO02.04;
APO05.02
APO05.01 Pengembalian investasi Evaluasi investasi APO05.02;
harapan dan portofolio layanan APO05.03;
APO05.02 Program terpilih dengan APO06.02
Tonggak ROI
APO05.05 Hasil manfaat dan
komunikasi terkait
BAI01.06 Hasil peninjauan gerbang panggung
EDM02.03 Pengoptimalan nilai langsung. APO05.03 Portofolio investasi

Persyaratan untuk BAI01.01;
laporan kinerja
ulasan panggung-gerbang BAI 11.01
EDM02.01 Bauran investasi yang ditentukanJenis investasi
dan EDM02.01;
kriteria APO05.02
EDM02.04 Pantau pengoptimalan nilai. APO05.03 Portofolio investasi Tindakan untuk meningkatkan niAlaPi O05.03;
laporan kinerja pengiriman APO06.02;
BAI01.01;
BAI11.01;
EDM05.01
Masukan tentang APO05.03;
portofolio dan program APO06,05;
kinerja BAI01.06
Tidak ada panduan terkait untuk komponen ini
C. Komponen: Orang, Keterampilan dan Kompetensi
Manajemen manfaat Kerangka Keterampilan untuk Era Informasi V6, 2015 BENM
38
Halaman
39
BAB 4
D. Komponen: Kebijakan dan Prosedur
Penganggaran dan pelaksanaan pengiriman Menetapkan pedoman untuk mengidentifikasi kebutuhan

kebijakan dan persyaratan untuk investasi,
pantau pemenuhan, dan pastikan
manfaat maksimal. Alamat
perumusan permintaan anggaran.
Pantau anggaran dan teknis
pelaksanaan kinerja untuk merencanakan.
Merekomendasikan realokasi atau
pemrograman ulang seperti yang dijamin.
Mengatasi pemantauan
kinerja terhadap layanan
perjanjian tingkat dan lainnya
metrik berbasis kinerja.
E. Komponen: Budaya, Etika dan Perilaku
Nilai yang ditambahkan I&T bergantung pada sejauh mana I&T disejajarkan
dengan bisnis dan memenuhi harapannya. Optimalkan nilai I&T dengan
membangun budaya di mana layanan I&T diberikan tepat waktu dan
sesuai anggaran, dengan kualitas yang sesuai.
F. Komponen: Layanan, Infrastruktur dan Aplikasi
• Sistem akuntansi biaya

• Alat manajemen program
39
Halaman 40

40
Halaman
41
BAB 4

Tujuan Tata Kelola: EDM03 - Memastikan Optimasi Risiko Area Fokus: Model Inti COBIT
Deskripsi
Pastikan bahwa selera dan toleransi risiko perusahaan dipahami, diartikulasikan dan dikomunikasikan, dan risiko terhadap nilai perusahaan terkait dengan
penggunaan I&T diidentifikasi dan dikelola.
Tujuan
Memastikan bahwa risiko perusahaan terkait I & T tidak melebihi selera risiko dan toleransi risiko perusahaan, dampak risiko I&T terhadap nilai perusahaan adalah
diidentifikasi dan dikelola, dan potensi kegagalan kepatuhan diminimalkan.
Tujuan Perusahaan
• EG02 Risiko bisnis yang dikelola
• AG02 Risiko terkait I & T yang dikelola
• EG06 Keberlanjutan dan ketersediaan layanan bisnis
• AG07 Keamanan informasi, infrastruktur pemrosesan dan
aplikasi, dan privasi
EG02 a. Persen dari tujuan dan layanan bisnis penting

AG02 a. Frekuensi pemutakhiran profil risiko
tercakup dalam penilaian risiko
b. Rasio insiden signifikan yang tidak teridentifikasi di b. Persen penilaian risiko perusahaan termasuk I & T-
penilaian risiko vs. insiden total risiko terkait
c. Frekuensi pemutakhiran profil risiko c. Jumlah insiden signifikan terkait I & T yang tidak terkait
diidentifikasi dalam penilaian risiko
EG06 a. Jumlah layanan pelanggan atau proses bisnis
gangguan yang menyebabkan insiden signifikan AG07 a. Jumlah insiden kerahasiaan yang menyebabkan kerugian finansial,
b. Biaya bisnis dari insiden gangguan bisnis atau rasa malu publik
c. Jumlah jam pemrosesan bisnis yang hilang karena b. Jumlah insiden ketersediaan yang menyebabkan kerugian finansial,
gangguan layanan yang tidak direncanakan gangguan bisnis atau rasa malu publik
d. Persentase pengaduan sebagai fungsi dari komitmen c. Jumlah insiden integritas yang menyebabkan kerugian finansial,
target ketersediaan layanan gangguan bisnis atau rasa malu publik
A. Komponen: Proses
EDM03.01 Evaluasi manajemen risiko.

Sebuah. Tingkat dampak perusahaan yang tidak terduga
Secara terus menerus memeriksa dan mengevaluasi pengaruh risiko pada saat ini dan
b. Persentase risiko I&T yang melebihi toleransi risiko perusahaan
penggunaan I&T di masa mendatang di perusahaan. Pertimbangkan apakah risiko perusach.aTaningkat penyegaran evaluasi faktor
risiko selera yang tepat dan memastikan bahwa risiko terkait dengan nilai perusahaan
penggunaan I&T diidentifikasi dan dikelola.
1. Memahami organisasi dan konteksnya terkait dengan risiko I&T. 2
2. Tentukan selera risiko organisasi, yaitu, tingkat risiko terkait I & T yang bersedia diambil oleh perusahaan dalam
usahanya. tujuan perusahaan.
3. Tentukan tingkat toleransi risiko terhadap selera risiko, yaitu, penyimpangan yang dapat diterima untuk sementara dari selera risiko.
4. Menentukan sejauh mana penyelarasan strategi risiko I&T dengan strategi risiko perusahaan dan memastikan selera risiko di bawah
kapasitas risiko organisasi.
5. Secara proaktif mengevaluasi faktor risiko I&T sebelum keputusan strategis perusahaan yang tertunda dan memastikan pertimbangan risiko tersebut 3
adalah bagian dari proses keputusan perusahaan strategis.
6. Mengevaluasi aktivitas manajemen risiko untuk memastikan keselarasan dengan kapasitas perusahaan untuk kerugian dan kepemimpinan terkait I & T
toleransi itu.
7. Menarik dan mempertahankan keterampilan dan personel yang diperlukan untuk Manajemen Risiko I&T
COSO Enterprise Risk Management, Juni 2017 Penetapan Strategi dan Tujuan — Prinsip 6 dan 7; 9. Review dan
Revisi — Prinsip 16
41
Halaman 42
EDM03.02 Manajemen risiko langsung.

Sebuah. Tingkat keselarasan antara risiko I&T dan risiko perusahaan
Mengarahkan pembentukan praktik manajemen risiko untuk menyediakan
b. Persentase proyek perusahaan yang mempertimbangkan risiko I&T
jaminan yang wajar bahwa praktik manajemen risiko I&T
sesuai dan risiko I&T aktual tidak melebihi risiko dewan
nafsu makan.
1. Mengarahkan penerjemahan dan integrasi strategi risiko I&T ke dalam praktik manajemen risiko dan kegiatan operasional. 2
2. Mengarahkan pengembangan rencana komunikasi risiko (mencakup semua tingkatan perusahaan).
3. Penerapan langsung dari mekanisme yang sesuai untuk merespon dengan cepat terhadap perubahan risiko dan segera melaporkannya
tingkat manajemen yang sesuai, didukung oleh prinsip-prinsip eskalasi yang disepakati (apa yang harus dilaporkan, kapan, di mana, dan bagaimana).
4. Arahkan agar risiko, peluang, masalah, dan kekhawatiran dapat diidentifikasi dan dilaporkan oleh siapa pun kepada pihak yang sesuai di mana pun
waktu. Risiko harus dikelola sesuai dengan kebijakan dan prosedur yang dipublikasikan dan ditingkatkan ke keputusan yang relevan
pembuat.
5. Mengidentifikasi tujuan dan metrik utama dari tata kelola risiko dan proses manajemen yang akan dipantau, dan menyetujui 3
pendekatan, metode, teknik dan proses untuk menangkap dan melaporkan informasi pengukuran.
CMMI Cybermaturity Platform, 2018 RS.AS Menerapkan Strategi Manajemen Risiko; BC.RO Menentukan Risiko Strategis
Tujuan
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 IR1.1 Penilaian Risiko Informasi — Pendekatan Manajemen
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 5.4: Area fungsional tata kelola — Prinsip 11
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.5 Penilaian (Tugas 2)
800-37, Revisi 2 (Draf), Mei 2018
EDM03.03 Memantau manajemen risiko.

Sebuah. Jumlah area risiko I&T potensial yang diidentifikasi dan dikelola
Pantau tujuan utama dan metrik proses manajemen risiko.
b. Persentase risiko kritis yang telah dimitigasi secara efektif
Tentukan bagaimana penyimpangan atau masalah akan diidentifikasi, dilacak dan
c. Persen dari rencana tindakan risiko I&T yang dilaksanakan tepat waktu
dilaporkan untuk remediasi.
1. Laporkan masalah manajemen risiko apa pun kepada dewan atau komite eksekutif. 2
2. Pantau sejauh mana profil risiko dikelola dalam risk appetite dan ambang toleransi perusahaan. 3
3. Pantau tujuan utama dan metrik tata kelola risiko dan proses manajemen terhadap target, analisis penyebabnya 4
penyimpangan, dan memulai tindakan perbaikan untuk mengatasi penyebab yang mendasarinya.
4. Memungkinkan peninjauan pemangku kepentingan utama atas kemajuan perusahaan menuju tujuan yang diidentifikasi.
COSO Enterprise Risk Management, Juni 2017 9. Review dan Revisi — Prinsip 17

800-37, Revisi 2 (Draf), Mei 2018 3.1 Persiapan (Tugas 7); 3.5 Penilaian (Tugas 1); 3.6 Otorisasi
(Tugas 1)
Arsitektur Referensi IT4IT Grup Terbuka, Versi 2.0 6. Nilai Stream Requirement to Deploy (R2D); 7. Permintaan untuk Memenuhi (R2F)
Value Stream
42
Halaman
43
BAB 4
fficer
fficer
fficer
Dewan Tata Kelola

Praktik Tata Kelola Utama
NaikKomKiteepRaElikassiKkEekokeupsUSetaitkAlfaauYmtKIAinafofOTOmoKrimteepaaRsliiasOiPkeotuPgearsusKaehaamananan Informasi
EDM03.01 Evaluasi manajemen risiko. ARRRRRR
EDM03.02 Manajemen risiko langsung. ARRRRRR
EDM03.03 Memantau manajemen risiko. ARRRRRRR
COSO Enterprise Risk Management, Juni 2017 6. Tata Kelola dan Budaya — Prinsip
EDM03.01 Evaluasi manajemen risiko. Dari Deskripsi Deskripsi Untuk
APO12.01 Masalah risiko yang muncul danPanduan selera risiko APO04.01;

faktor APO12.03
Di luar risiko COBIT Enterprise

manajemen (ERM) Evaluasi resiko APO12.01
prinsip kegiatan manajemen
Toleransi risiko yang disetujui APO12.03
level
EDM03.02 Manajemen risiko langsung. APO12.03 Profil risiko gabungan,
Proses yang disetujui untuk APO12.01
termasuk status risiko
mengukur risiko
tindakan manajemen
pengelolaan
Tujuan utama menjadi APO12.01
manajemen (ERM)
dimonitor untuk risiko
profil dan mitigasi
pengelolaan
rencana
Manajemen risiko APO12.01
kebijakan
EDM03.03 Memantau manajemen risiko. APO12.02 Hasil analisis risiko Tindakan perbaikan untuk
APO12.06
mengatasi risiko
pengelolaan
penyimpangan
APO12.04 • Analisis risiko dan risiko
Masalah manajemen risiko EDM05.01
laporan profil untuk
untuk papan
pemangku kepentingan
• Hasil pihak ketiga
penilaian risiko
• Peluang untuk
penerimaan yang lebih besar
risiko

800-37, Revisi 2, September 2017 3.1 Persiapan (Tugas 7): Masukan dan Keluaran; 3.5 Penilaian (Tugas 1, 2):
Input 2, dan Output; 3.6 Otorisasi (Tugas 1): Input dan Output
43
Halaman 44
Manajemen risiko bisnis Kerangka Keterampilan untuk Era Informasi V6, 2015 BURM
Manajemen risiko e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
E. Kelola — E.3. Risiko
Pengelolaan

Mengevaluasi,
MKenebgiajarkaahnkyaanngdRaenleMvaenma Deskripsi Kebijakan Panduan Terkait Referensi Terperinci
ntau
Kebijakan risiko perusahaan Mendefinisikan tata kelola dan
manajemen perusahaan Institut Standar Nasional dan 3.17 Penilaian risiko (RA-1)
Publikasi Khusus Teknologi
risiko strategis, taktis dan
800- 53, Revisi 5 (Draf), Agustus
tingkat operasional, berdasarkan
2017
tujuan bisnis. Menerjemahkan
tata kelola perusahaan menjadi risiko
prinsip dan kebijakan tata kelola
dan menguraikan manajemen risiko
kegiatan.

Mempromosikan budaya sadar risiko I&T di semua tingkat organisasi dan Risiko Perusahaan COSO 6. Tata Kelola dan Budaya—
mriseimkob,eprdelauyaankga,ndpaenrupsoatehnasaindsaemcapraakpbroisankitsi.fMunatnuakjemmeenngsideenniotirfikasi, melaporkan, dan
menMinagnkaajtekmanenI,&JuTni 2017 Prinsip 3 dan 4
menetapkan arah dan menunjukkan dukungan nyata dan nyata untuk risiko
praktek. Selain itu, manajemen harus mendefinisikan selera risiko dengan jelas
dan memastikan tingkat debat yang sesuai sebagai bagian dari bisnis-sebagai-
aktivitas biasa. Perilaku yang diinginkan termasuk mendorong karyawan
untuk mengangkat masalah atau hasil negatif dan menunjukkan transparansi dengan
terkait dengan risiko I&T. Pemilik bisnis harus menerima kepemilikan I&T
risiko jika berlaku dan menunjukkan komitmen yang tulus terhadap risiko I&T
manajemen dengan menyediakan tingkat sumber daya yang memadai.
Sistem manajemen resiko
44
Halaman
45
BAB 4

Tujuan Tata Kelola: EDM04 - Pengoptimalan Sumber Daya yang Terjamin Area Fokus: Model Inti COBIT
Deskripsi
Pastikan bahwa bisnis yang memadai dan memadai serta sumber daya terkait I & T (orang, proses, dan teknologi) tersedia untuk mendukung perusahaan
tujuan secara efektif dan, dengan biaya optimal.
Tujuan
Pastikan bahwa kebutuhan sumber daya perusahaan dipenuhi dengan cara yang optimal, biaya I&T dioptimalkan, dan ada kemungkinan peningkatan
realisasi manfaat dan kesiapan untuk perubahan di masa depan.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan:
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif
AG09 Menyampaikan program tepat waktu, sesuai anggaran dan rapat
persyaratan dan standar kualitas
EG01 a. Persentase produk dan layanan yang memenuhi atau melebihi

AG09 a. Jumlah program / proyek tepat waktu dan sesuai anggaran
target pendapatan dan / atau pangsa pasar
b. Persentase produk dan layanan yang memenuhi atau melebihi b. Jumlah program yang membutuhkan pengerjaan ulang yang signifikan karena
target kepuasan pelanggan cacat kualitas
c. Persentase pemangku kepentingan yang puas dengan kualitas program / proyek
c. Persentase produk dan layanan yang menyediakan
keunggulan kompetitif
d. Saatnya memasarkan produk dan layanan baru
kemampuan
kemampuan
A. Komponen: Proses

EDM04.01 Evaluasi manajemen sumber daya. Sebuah. Jumlah penyimpangan dari rencana sumber daya
Secara terus menerus memeriksa dan mengevaluasi kebutuhan bisnis saat ini dan masa debp. aPnersen dari rencana sumber daya dan strategi arsitektur perusahaan
dan sumber daya I&T (keuangan dan manusia), opsi untuk sumber daya (termasuk memberikan nilai dan mengurangi risiko dengan sumber daya yang dialokasikan
strategi sumber), dan alokasi dan prinsip-prinsip manajemen untuk memenuhi
kebutuhan perusahaan secara optimal.
1. Mulai dari strategi saat ini dan masa depan, periksa opsi potensial untuk menyediakan sumber daya terkait I & T (teknologi, 2
keuangan dan sumber daya manusia), dan mengembangkan kemampuan untuk memenuhi kebutuhan saat ini dan masa depan (termasuk opsi sumber).
2. Tetapkan prinsip-prinsip utama untuk alokasi sumber daya dan pengelolaan sumber daya dan kemampuan sehingga I&T dapat memenuhi
kebutuhan perusahaan sesuai dengan prioritas yang disepakati dan batasan anggaran. Misalnya, tentukan opsi sumber yang disukai untuk
layanan tertentu dan batasan keuangan per opsi sumber.
3. Meninjau dan menyetujui rencana sumber daya dan strategi arsitektur perusahaan untuk memberikan nilai dan mengurangi risiko dengan
sumber daya yang dialokasikan.
4. Memahami persyaratan untuk menyelaraskan manajemen sumber daya I&T dengan perencanaan keuangan dan sumber daya manusia (SDM) perusahaan.
5. Tetapkan prinsip-prinsip untuk pengelolaan dan pengendalian arsitektur perusahaan. 3
CMMI Cybermaturity Platform, 2018 GR.DR Kebutuhan Manajemen Sumber Daya Langsung
ISO / IEC 38500: 2015 (E) 5.4 Prinsip 3: Akuisisi (Evaluasi)
45
Halaman 46
EDM04.02 Manajemen sumber daya langsung.

Sebuah. Jumlah penyimpangan dari, dan pengecualian untuk, sumber daya
Pastikan penerapan prinsip-prinsip manajemen sumber daya untuk memungkinkan
prinsip manajemen
penggunaan yang optimal dari bisnis dan sumber daya I&T secara penuh
b. Persentase penggunaan kembali komponen arsitektur
siklus hidup ekonomi.
Mengev1a. lTueataspik, aMn teanngggaurnaghjkawaanbduantnukMmeemlakasnantaakuan manajemen sumber daya. 2
2. Tetapkan prinsip-prinsip yang berkaitan dengan pengamanan sumber daya.
3. Komunikasikan dan dorong penerapan strategi, prinsip, dan rencana sumber daya yang disepakati dan 3
strategi arsitektur perusahaan.
4. Menyelaraskan manajemen sumber daya dengan perencanaan keuangan dan SDM perusahaan.
5. Tentukan tujuan, ukuran dan metrik utama untuk manajemen sumber daya. 4
CMMI Cybermaturity Platform, 2018 GR.ER Mengevaluasi Kebutuhan Manajemen Sumber Daya
ISO / IEC 38500: 2015 (E) 5.4 Prinsip 3: Akuisisi (Langsung)

800-53, Revisi 5 (Draf), Agustus 2017 3.14 Perencanaan (PL-4)
EDM04.03 Pantau manajemen sumber daya.

Sebuah. Tingkat umpan balik pemangku kepentingan tentang pengoptimalan sumber daya
Pantau tujuan utama dan metrik pengelolaan sumber daya
b. Jumlah manfaat (misalnya, penghematan biaya) yang dicapai melalui optimal
proses. Tentukan bagaimana penyimpangan atau masalah akan diidentifikasi,
pemanfaatan sumber daya
dilacak dan dilaporkan untuk perbaikan.
c. Jumlah target kinerja pengelolaan sumber daya yang direalisasikan
d. Persentase proyek dan program dengan status berisiko menengah atau tinggi
karena masalah pengelolaan sumber daya
e. Persentase proyek dengan alokasi sumber daya yang sesuai
1. Pantau alokasi dan optimalisasi sumber daya sesuai dengan tujuan dan prioritas perusahaan menggunakan tujuan yang telah disepakati 4
dan metrik.
2. Pantau strategi sumber terkait I & T, strategi arsitektur perusahaan, dan kapabilitas terkait bisnis dan TI dan
sumber daya untuk memastikan bahwa kebutuhan dan tujuan perusahaan saat ini dan di masa depan dapat dipenuhi.
3. Pantau kinerja sumber daya terhadap target, analisis penyebab penyimpangan, dan lakukan tindakan perbaikan untuk mengatasi
penyebab yang mendasari.
CMMI Cybermaturity Platform, 2018 GR.MR Memantau Kebutuhan Manajemen Sumber Daya
ISO / IEC 38500: 2015 (E) 5.4 Prinsip 3: Akuisisi (Evaluasi)

46
Halaman
47
BAB 4
fficer
ffice frficer
Dewan Tata Kelola

Praktik Tata Kelola Utama
NaikKomKiteepKaElekapsKEeaklkeaupsSeOtaikAlfpauYetIrAinfafsOToirOmasi O
EDM04.01 Evaluasi manajemen sumber daya. ARRRRR
EDM04.02 Manajemen sumber daya langsung. ARRRRR
EDM04.03 Pantau manajemen sumber daya. ARRRRR
EDM04.01 Evaluasi manajemen sumber daya. Dari Deskripsi Deskripsi Untuk
APO02.04 Kesenjangan dan perubahan

Prinsip panduan untuk APO02.01;
dibutuhkan untuk merealisasikanatlaorkgaesti sumber daya APO07.01;
kemampuan dan kemampuan BAI03.11
APO07.03 Rencana pengembangan keteramRpielnacnana sumber daya yang disetujui APO02.05;

APO07.01;
APO09.02
APO10.02
Prinsip panduan untuk APO03.01
arsitektur perusahaan
Hasil keputusan
evaluasi vendor
EDM04.02 Manajemen sumber daya langsung. Prinsip untuk
APO01.02
menjaga sumber daya
Tanggung jawab yang ditetapkanAPO01,05;

untuk sumber daya DSS06.03
pengelolaan
Komunikasi APO02.06;
strategi sumber daya APO07,05;
APO09.02
EDM04.03 Pantau manajemen sumber daya. Tindakan perbaikan untuk APO02,05;
alamat sumber daya APO07.01;
penyimpangan manajemen APO07.03;
APO09.04
Umpan balik tentang alokasi EDM05.01;
dan efektivitas APO02.02;
sumber daya dan APO07,05;
kemampuan APO09.05
47
Halaman 48
Manajemen portofolio Kerangka Keterampilan untuk Era Informasi V6, 2015 POMG
Sumber Daya Kerangka Keterampilan untuk Era Informasi V6, 2015 RESC

Kebijakan pengukuran kinerja Mengidentifikasi kebutuhan untuk a
sistem pengukuran kinerja
di luar akuntansi konvensional.
Sistem ini mencakup
pengukuran hubungan dan
aset berbasis pengetahuan yang diperlukan
untuk bersaing di era informasi,
termasuk fokus pelanggan, proses
efisiensi dan kemampuan belajar
dan tumbuh (balanced scorecard).
Terjemahan Balanced Scorecard
strategi menjadi tindakan untuk mencapai
tujuan perusahaan, dengan mempertimbangkan
akun tidak berwujud seperti pelanggan
kepuasan, perampingan
fungsi internal, pembuatan
efisiensi operasional dan
pengembangan keterampilan staf. Ini
pandangan holistik operasi membantu
menghubungkan tujuan strategis jangka panjang
dan tindakan jangka pendek.
Bangun budaya di mana sumber daya dihargai dan investasi digunakan

dan alokasi sumber daya (baik orang, informasi, aplikasi,
teknologi atau fasilitas) selaras dengan kebutuhan organisasi. Ilustrasikan ini
nilai-nilai dengan memastikan bahwa metode yang tepat dan keterampilan yang memadai ada di
organisasi; misalnya, memastikan keuntungan dari pengadaan jasa
nyata dan dapat dicapai, dan menerapkan pengukuran kinerja suara
sistem (misalnya, kartu skor berimbang).
Sistem pengukuran kinerja (misalnya, kartu skor berimbang, alat manajemen keterampilan)
48
Halaman
49
BAB 4

Tujuan Tata Kelola: EDM05 - Memastikan Keterlibatan Pemangku Kepentingan Area Fokus: Model Inti COBIT
Deskripsi
Pastikan bahwa pemangku kepentingan diidentifikasi dan dilibatkan dalam sistem tata kelola I&T serta kinerja dan kesesuaian I&T perusahaan tersebut
pengukuran dan pelaporan transparan, dengan pemangku kepentingan menyetujui tujuan dan metrik serta tindakan perbaikan yang diperlukan.
Tujuan
Memastikan bahwa pemangku kepentingan mendukung strategi dan peta jalan I&T, komunikasi dengan pemangku kepentingan efektif dan tepat waktu, dan dasar untuk
pelaporan dibuat untuk meningkatkan kinerja. Identifikasi area untuk perbaikan, dan konfirmasikan bahwa tujuan dan strategi terkait I & T sejalan
dengan strategi perusahaan.
Tujuan Perusahaan
• EG04 Kualitas informasi keuangan
• EG07 Kualitas informasi manajemen
➡ TuAjGua1n0 PKeunaylietalasriansfaonrmasi manajemen I&T
EG04 a. Survei kepuasan pemangku kepentingan utama tentang

AG10 a. Tingkat kepuasan pengguna dengan kualitas, ketepatan waktu dan
transparansi, pemahaman dan akurasi perusahaan
informasi keuangan ketersediaan informasi manajemen terkait I & T, pengambilan
b. Biaya ketidakpatuhan terhadap peraturan terkait keuangan memperhitungkan sumber daya yang tersedia
b. Rasio dan luasnya keputusan bisnis yang keliru
EG07 a. Tingkat kepuasan dewan direksi dan manajemen eksekutif informasi terkait I & T yang salah atau tidak tersedia adalah a
dengan informasi pengambilan keputusan faktor utama
b. Jumlah insiden yang disebabkan oleh bisnis yang salah c. Persentase informasi yang memenuhi kriteria kualitas
keputusan berdasarkan informasi yang tidak akurat
c. Saatnya memberikan informasi yang mendukung bisnis yang efektif
keputusan
d. Ketepatan waktu informasi manajemen
A. Komponen: Proses
EDM05.01 Mengevaluasi keterlibatan pemangku kepentingan dan persyaratan pelaSpeobruaanh.. Tanggal revisi terakhir untuk persyaratan pelaporan
Secara terus menerus memeriksa dan mengevaluasi persyaratan saat ini dan masa depan ubn. tPuekrsentase pemangku kepentingan yang tercakup dalam persyaratan pelaporan
keterlibatan dan pelaporan pemangku kepentingan (termasuk mandat pelaporan
oleh persyaratan peraturan), dan komunikasi dengan pemangku kepentingan lainnya.
Tetapkan prinsip untuk terlibat dan berkomunikasi dengan pemangku kepentingan.
1. Identifikasi semua pemangku kepentingan I&T yang relevan di dalam dan di luar perusahaan. Kelompokkan pemangku kepentingan dalam kategori pemangku kep2entingan
dengan persyaratan serupa.
2. Memeriksa dan membuat penilaian tentang persyaratan pelaporan wajib saat ini dan masa depan yang berkaitan dengan penggunaan I&T dalam
perusahaan (regulasi, undang-undang, hukum umum, kontrak), termasuk jangkauan dan frekuensi.
3. Memeriksa dan membuat penilaian tentang komunikasi saat ini dan masa depan dan persyaratan pelaporan untuk pemangku kepentingan lainnya
terkait dengan penggunaan I&T dalam perusahaan, termasuk tingkat keterlibatan / konsultasi yang diperlukan dan luasnya
komunikasi / tingkat detail dan kondisi.
4. Menjaga prinsip komunikasi dengan pemangku kepentingan eksternal dan internal, termasuk format dan saluran komunikasi, 3
dan untuk penerimaan pemangku kepentingan dan penandatanganan pelaporan.
CMMI Cybermaturity Platform, 2018 SR.DR Direct Stakeholder Communication and Reporting
49
Halaman 50
EDM05.02 Keterlibatan langsung, komunikasi, dan pelaporan pemangku kepentingSaenb.uah. Jumlah pelanggaran persyaratan pelaporan wajib
Pastikan pembentukan keterlibatan pemangku kepentingan yang efektif, b. Kepuasan pemangku kepentingan dengan komunikasi dan pelaporan
komunikasi dan pelaporan, termasuk mekanisme untuk memastikan
kualitas dan kelengkapan informasi, mengawasi pelaporan wajib,
dan membuat strategi komunikasi untuk pemangku kepentingan.
1. Mengarahkan pembentukan strategi konsultasi dan komunikasi bagi pemangku kepentingan eksternal dan internal. 2
2. Mengarahkan penerapan mekanisme untuk memastikan bahwa informasi memenuhi semua kriteria untuk pelaporan I&T wajib
persyaratan untuk perusahaan.
3. Menetapkan mekanisme untuk validasi dan persetujuan pelaporan wajib.
4. Menetapkan mekanisme eskalasi pelaporan. 3
CMMI Cybermaturity Platform, 2018 SR.AR Menerapkan Persyaratan Pelaporan Pemangku Kepentingan
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 5.5: Hubungan pemangku kepentingan — Prinsip 16
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 5.2: Strategi, kinerja dan pelaporan — Prinsip 5
Institut Nasional Standar dan Kerangka Teknologi untuk Meningkatkan

3.3 Mengkomunikasikan Persyaratan Keamanan Siber dengan Pemangku Kepentingan
Cybersecurity Infrastruktur Kritis V1.1, April 2018
EDM05.03 Memantau keterlibatan pemangku kepentingan.

Sebuah. Tingkat keterlibatan pemangku kepentingan dengan I&T perusahaan
Pantau tingkat keterlibatan pemangku kepentingan dan efektivitas
b. Persentase laporan yang berisi ketidakakuratan
komunikasi pemangku kepentingan. Menilai mekanisme untuk memastikan akurasi,
c. Persentase laporan yang disampaikan tepat waktu
keandalan dan efektivitas, dan memastikan apakah persyaratan
pemangku kepentingan yang berbeda dalam hal pelaporan dan komunikasi terpenuhi.
1. Secara berkala menilai keefektifan mekanisme untuk memastikan keakuratan dan keandalan pelaporan wajib. 4
2. Secara berkala menilai keefektifan mekanisme, dan hasil dari, keterlibatan dan komunikasi dengan
pemangku kepentingan eksternal dan internal.
3. Tentukan apakah persyaratan pemangku kepentingan yang berbeda dipenuhi dan nilai tingkat keterlibatan pemangku kepentingan.
CMMI Cybermaturity Platform, 2018 SR.MC Memantau Komunikasi Pemangku Kepentingan
fficer
fficer
fficer
Praktik Tata Kelola Utama NaikKomKiteepRaElikassiKkEekokeupsUetaitklfaaumtIinaf fOOormasi

O
EDM05.01 Mengevaluasi keterlibatan pemangku kepentingan dan persyaratan pelaporan. ARRRR
EDM05.02 Komunikasi dan pelaporan keterlibatan langsung pemangku kepentingan. ARRRR
EDM05.03 Memantau keterlibatan pemangku kepentingan. ARRRR
50
Halaman
51
BAB 4
EDM05.01 Mengevaluasi keterlibatan pemangku kepentingan dan Dari Deskripsi Deskripsi Untuk
persyaratan pelaporan.
EDM02.04 Tindakan untuk meningkatkan niPlaeilaporan MEA01.01
dan
pengiriman komunikasi
prinsip
EDM03.03 Masalah manajemen risiko Evaluasi perusahaan MEA01.01
untuk papan persyaratan pelaporan
EDM04.03 Umpan balik tentang alokasi
dan efektivitas
sumber daya dan
kemampuan
EDM05.02 Keterlibatan langsung pemangku kepentingan,
APO12.04 Analisis risiko dan risiko Aturan untuk memvalidasi dan MEA01.01;
komunikasi dan pelaporan. laporan profil untuk menyetujui wajib MEA03.04
pemangku kepentingan laporan
Pedoman eskalasi MEA01.05
EDM05.03 Memantau keterlibatan pemangku kepentingan. MEA04.08 • Review jaminan

Penilaian pelaporan MEA01.01;
hasil
efektivitas MEA03.04
• Review jaminan
melaporkan
Manajemen hubungan e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
E. Kelola — E.4. Hubungan
Pengelolaan
Kebijakan transparansi Mengatasi pentingnya

komunikasi yang sering dan terbuka
dengan semua pemangku kepentingan untuk memastikan
bahwa mereka memahami strategi
pentingnya I&T bagi perusahaan
keberhasilan. Menjamin transparansi itu
mendukung risiko yang sesuai
mitigasi, menghubungkan transparansi
dan manajemen risiko yang efektif untuk
Nilai I&T dan pertumbuhan perusahaan.
Ciptakan budaya di mana komunikasi terbuka dan terstruktur disediakan

pemangku kepentingan utama, sesuai dengan kebutuhan mereka.
• Alat dan saluran komunikasi

• Dasbor TI
• Alat survei pemangku kepentingan
51
Halaman 52

52
Halaman
53
BAB 4
4.2 Sejajarkan, Rencanakan dan Atur (APO)

Sejajarkan, Rencanakan, dan Atur
1 Kerangka Kerja Manajemen I&T yang Dikelola
2 Strategi yang Dikelola
3 Arsitektur Perusahaan yang Dikelola
4 Inovasi Terkelola
5 Portofolio Terkelola
6 Anggaran dan Biaya yang Dikelola
07 Sumber Daya Manusia yang Dikelola
08 Hubungan yang Dikelola
09 Perjanjian Layanan Terkelola
10 Vendor yang Dikelola
11 Kualitas Terkelola
12 Risiko yang Dikelola
13 Keamanan yang Dikelola
14 Data yang Dikelola
53
Halaman 54

54
Halaman
55
BAB 4
Domain: Sejajarkan, Rencanakan, dan Atur

Tujuan Manajemen: APO01 - Kerangka Kerja Manajemen I&T yang Dikelola Area Fokus: Model Inti COBIT
Deskripsi
Rancang sistem manajemen untuk I&T perusahaan berdasarkan tujuan perusahaan dan faktor desain lainnya. Berdasarkan desain ini, terapkan semua yang dibutuhkan
komponen sistem manajemen.
Tujuan
Menerapkan pendekatan manajemen yang konsisten untuk memenuhi persyaratan tata kelola perusahaan, yang mencakup komponen tata kelola seperti
proses manajemen; struktur organisasi; peran dan tanggung jawab; aktivitas yang andal dan berulang; item informasi; kebijakan dan
Prosedur; keterampilan dan kompetensi; budaya dan perilaku; dan layanan, infrastruktur dan aplikasi.
Tujuan Perusahaan
➡ • EG08 Optimalisasi fungsi proses bisnis internal • EG11 Kepatuhan
terhadap kebijakan
internal Tujuan Penyelarasan Sejajarkan, Rencanakan, dan Atur
portofolio
• AG11 Kepatuhan I&T dengan kebijakan internal

dan denda
c. Jumlah masalah ketidakpatuhan yang dicatat oleh regulator dinyatakan dalam perjanjian tingkat layanan) direalisasikan
perjanjian kontrak dengan mitra bisnis
dengan kemampuan proses bisnis AG11 a. Jumlah insiden terkait ketidakpatuhan dengan I & T-
b. Tingkat kepuasan pelanggan dengan penyampaian layanan kebijakan terkait.
b. Jumlah pengecualian untuk kebijakan internal
kemampuan
c. Tingkat kepuasan pemasok dengan rantai pasokan c. Frekuensi tinjauan dan pembaruan kebijakan
kemampuan
EG11 a. Jumlah insiden yang terkait dengan ketidakpatuhan terhadap kebijakan
b. Persentase pemangku kepentingan yang memahami kebijakan
c. Persen kebijakan yang didukung oleh standar yang efektif dan
praktek kerja
55
Halaman 56
A. Komponen: Proses
Praktek Manajemen Contoh Metrik
APO01.01 Merancang sistem manajemen untuk perusahaan I&T.

Sebuah. Jumlah persetujuan resmi oleh struktur tata kelola yang berlaku dari
Merancang sistem manajemen yang disesuaikan dengan kebutuhan perusahaan.
tujuan prioritas untuk sistem manajemen I&T
Kebutuhan manajemen perusahaan ditentukan melalui penggunaan
b. Persentase komponen tata kelola yang terintegrasi dan selaras
kaskade tujuan dan dengan penerapan faktor desain. Pastikan
filosofi tata kelola dan manajemen perusahaan dan
komponen tata kelola terintegrasi dan selaras dengan perusahaan
gaya operasi
tata kelola dan filosofi manajemen dan gaya operasi.
1. Memperoleh pemahaman tentang visi perusahaan, arah dan strategi serta konteks perusahaan saat ini dan 2
tantangan.
2. Pertimbangkan lingkungan internal perusahaan, termasuk budaya dan filosofi manajemen, toleransi risiko, keamanan dan
kebijakan privasi, nilai etika, kode etik, akuntabilitas, dan persyaratan untuk integritas manajemen.
3. Menerapkan kaskade tujuan COBIT dan faktor desain ke strategi dan konteks perusahaan untuk memutuskan prioritas untuk
sistem manajemen dan, dengan demikian, untuk implementasi prioritas tujuan manajemen.
4. Validasi prioritas yang dipilih untuk implementasi tujuan manajemen dengan praktik baik khusus industri atau 3
persyaratan (misalnya, peraturan khusus industri) dan dengan struktur tata kelola yang sesuai.
SejajarkISaOn,/ IREeCn2c7a0n01a:k2a0n1,3 d/ aKnorA.2:tu20r15 (E) Standar internasional untuk menetapkan, melaksanakan dan memelihara a
sistem manajemen (semua bab)
ITIL V3, 2011 Strategi Pelayanan, 2.3 Tata kelola dan sistem manajemen
APO01.02 Mengkomunikasikan tujuan, arahan dan

keputusan dibuat. Sebuah. Frekuensi komunikasi tentang tujuan dan arahan manajemen
Komunikasikan kesadaran dan promosikan pemahaman tentang penyelarasan dan untuk itu
I&T bertujuan untuk para pemangku kepentingan di seluruh perusahaan. Menyampaikan b. Tanggung jawab yang diberikan untuk mengirimkan komunikasi reguler
secara berkala pada keputusan penting terkait I & T dan dampaknya
untuk organisasi.
1. Menyediakan sumber daya yang cukup dan terampil untuk mendukung proses komunikasi. 2
2. Tetapkan aturan dasar untuk komunikasi dengan mengidentifikasi kebutuhan komunikasi dan melaksanakan rencana berdasarkan kebutuhan tersebut, 3
mempertimbangkan komunikasi top-down, bottom-up dan horizontal.
3. Terus mengkomunikasikan tujuan dan arahan I&T. Pastikan komunikasi didukung oleh manajemen eksekutif di
tindakan dan kata-kata, menggunakan semua saluran yang tersedia.
4. Pastikan informasi yang dikomunikasikan mencakup misi yang diartikulasikan dengan jelas, tujuan layanan, kontrol internal,
kualitas, kode etik / perilaku, kebijakan dan prosedur, peran dan tanggung jawab, dll. Komunikasikan informasi di
tingkat detail yang sesuai untuk masing-masing audiens dalam perusahaan.
56
Halaman
57
BAB 4
APO01.03 Menerapkan proses manajemen (untuk mendukung

Sebuah. Jumlah proses prioritas yang akan dilaksanakan atau ditingkatkan untuk dipenuhi
pencapaian tujuan tata kelola dan manajemen).
tingkat kapabilitas target
Tentukan tingkat kemampuan proses target dan implementasi berbasis prioritas
b. Jumlah metrik yang ditentukan untuk menindaklanjuti proses yang berhasil
pada desain sistem manajemen.
penerapan
1. Mengembangkan model proses target tata kelola I&T khusus untuk organisasi, berdasarkan pemilihan manajemen prioritas 2
tujuan (keluaran dari kaskade tujuan dan latihan faktor desain).
2. Menganalisis kesenjangan antara model proses target untuk organisasi dan praktik serta aktivitas saat ini. 3
3. Menyusun peta jalan untuk implementasi praktik dan aktivitas proses yang hilang. Gunakan metrik latihan untuk menindaklanjuti
4
implementasi yang sukses.
Tidak ada panduan terkait untuk praktik manajemen ini
APO01.04 Mendefinisikan dan mengimplementasikan struktur organisasi.

Menempatkan organisasi internal dan perluasan yang diperlukan Sebuah. Tingkat kepuasan eksekutif dengan pengambilan keputusan manajemen
struktur (misalnya, komite) sesuai desain sistem manajemen, b. Jumlah keputusan yang tidak dapat diselesaikan dalam manajemen
memungkinkan pengambilan keputusan yang efektif dan efisien. Pastikan itu diperlukan struktur dan ditingkatkan ke struktur tata kelola
Teknologi dan pengetahuan informasi termasuk dalam komposisi
struktur manajemen.
1. Mengidentifikasi keputusan yang diperlukan untuk pencapaian hasil perusahaan dan strategi I&T serta untuk manajemen dan 2
pelaksanaan layanan I&T.
2. Libatkan pemangku kepentingan yang penting untuk pengambilan keputusan (akuntabel, bertanggung jawab, berkonsultasi atau diinformasikan).
3. Tentukan ruang lingkup, fokus, mandat dan tanggung jawab masing-masing fungsi dalam organisasi terkait I & T, sejalan dengan
arah tata kelola.
4. Mendefinisikan ruang lingkup fungsi internal dan eksternal, peran internal dan eksternal, serta kapabilitas dan hak pengambilan keputusan yang diperlukan 3
mencakup semua praktik, termasuk yang dilakukan oleh pihak ketiga.
5. Menyelaraskan organisasi terkait I & T dengan model organisasi arsitektur perusahaan.
6. Membentuk komite pengarah I&T (atau setara) yang terdiri dari eksekutif, bisnis dan manajemen I&T untuk melacak status
proyek, menyelesaikan konflik sumber daya, dan memantau tingkat layanan dan peningkatan layanan.
7. Memberikan pedoman untuk setiap struktur manajemen (termasuk mandat, tujuan, peserta rapat, waktu, pelacakan,
supervisi dan pengawasan) serta masukan yang diperlukan dan hasil yang diharapkan dari pertemuan.
8. Secara teratur memverifikasi kecukupan dan efektivitas struktur organisasi. 4

57
Halaman 58
APO01.05 Menetapkan peran dan tanggung jawab.

Sebuah. Jumlah peran terkait I & T yang ditugaskan ke individu
Tentukan dan komunikasikan peran dan tanggung jawab untuk I&T
b. Jumlah deskripsi peran yang diselesaikan
perusahaan, termasuk tingkat otoritas, tanggung jawab dan akuntabilitas.
1. Tetapkan, setujui, dan komunikasikan peran dan tanggung jawab I & T terkait untuk semua personel di perusahaan, selaras dengan 2
kebutuhan dan tujuan bisnis. Gambarkan dengan jelas tanggung jawab dan akuntabilitas, terutama untuk pengambilan keputusan dan persetujuan.
2. Pertimbangkan persyaratan dari perusahaan dan kesinambungan layanan I&T saat menentukan peran, termasuk dukungan staf dan
persyaratan pelatihan.
3. Memberikan masukan untuk proses kesinambungan layanan I&T dengan mempertahankan informasi kontak terbaru dan deskripsi peran di
perusahaan.
4. Masukkan persyaratan khusus dalam deskripsi peran dan tanggung jawab terkait kepatuhan terhadap kebijakan manajemen dan
prosedur, kode etik, dan praktik profesional.
5. Pastikan bahwa akuntabilitas ditentukan melalui peran dan tanggung jawab.
6. Susun peran dan tanggung jawab untuk mengurangi kemungkinan peran tunggal mengganggu proses kritis.
7. Menerapkan praktik pengawasan yang memadai untuk memastikan bahwa peran dan tanggung jawab dilaksanakan dengan benar, untuk menilai apakah semua 3
personel memiliki kewenangan dan sumber daya yang cukup untuk menjalankan peran dan tanggung jawab mereka, dan umumnya untuk meninjau kinerja.
Tingkat pengawasan harus disesuaikan dengan sensitivitas posisi dan luas tanggung jawab yang diberikan.
APO01.06 Mengoptimalkan penempatan fungsi TI.

Sebuah. Jumlah pemangku kepentingan utama yang telah menandatangani penempatan
Posisikan kapabilitas TI dalam struktur organisasi secara keseluruhan ke
fungsi TI
mencerminkan kepentingan strategis dan ketergantungan operasional TI di dalamnya
b. Persentase pemangku kepentingan yang berpendapat baik tentang penempatan
perusahaan. Garis pelaporan CIO dan representasi TI
fungsi TI
dalam manajemen senior harus sepadan dengan pentingnya
dari I&T dalam perusahaan.
1. Memahami konteks penempatan fungsi TI, termasuk penilaian strategi perusahaan dan model operasi 3
(sentralisasi, federasi, desentralisasi, hybrid), pentingnya I&T, dan situasi dan opsi sumber.
2. Mengidentifikasi, mengevaluasi dan memprioritaskan pilihan untuk penempatan organisasi, sumber dan model operasi.
3. Tentukan penempatan fungsi TI dan dapatkan persetujuan.
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 8.2 Klasifikasi informasi
APO01.07 Definisikan informasi (data) dan kepemilikan sistem.

Sebuah. Persentase aset data dengan pemilik yang ditentukan dengan jelas
Tentukan dan pertahankan tanggung jawab atas kepemilikan informasi (data)
b. Persentase sistem informasi dengan pemilik yang didefinisikan dengan jelas
dan sistem informasi. Pastikan bahwa pemilik mengklasifikasikan informasi dan
sistem dan melindunginya sesuai dengan klasifikasinya. c. Persentase item informasi yang diklasifikasikan menurut kesepakatan
tingkat klasifikasi
1. Memberikan pedoman untuk memastikan klasifikasi item informasi yang sesuai dan konsisten di seluruh perusahaan. 3
2. Membuat dan memelihara inventaris informasi (sistem dan data) yang mencakup daftar pemilik, penjaga, dan
klasifikasi. Sertakan sistem yang dialihdayakan dan yang kepemilikannya harus tetap dalam perusahaan.
3. Menilai dan membedakan antara data, informasi, dan sistem kritis (bernilai tinggi) dan nonkritis. Pastikan sesuai
perlindungan untuk setiap kategori.
58
Halaman
59 BAB 4
APO01.08 Definisikan keterampilan dan kompetensi sasaran.

Sebuah. Jumlah staf yang telah menghadiri pelatihan atau sesi kesadaran untuk
Tentukan keterampilan dan kompetensi yang dibutuhkan untuk mencapai yang relevan
keterampilan yang dipilih, kompetensi, perilaku yang diinginkan
tujuan manajemen.
b. Persentase staf dengan keterampilan dan kompetensi yang dibutuhkan yang diselaraskan
tujuan manajemen yang dipilih
1. Mengidentifikasi keterampilan dan kompetensi yang dibutuhkan untuk mencapai tujuan pengelolaan yang dipilih. 2
2. Menganalisis kesenjangan antara keterampilan target dan kapabilitas untuk perusahaan dan keterampilan angkatan kerja saat ini. Mengacu pada
APO07 — Sumber Daya Manusia yang Dikelola untuk pengembangan keterampilan dan praktik manajemen.
Tidak ada panduan terkait untuk praktik manajemen ini Sejajarkan, Rencanakan, dan Atur
APO01.09 Mendefinisikan dan mengkomunikasikan kebijakan dan prosedur.

Sebuah. Persentase kebijakan dan prosedur aktif yang didokumentasikan dan lebih tinggi
Menerapkan prosedur untuk menjaga kepatuhan dan kinerja
saat ini
pengukuran kebijakan dan komponen pengendalian lainnya
b. Jumlah staf yang sadar dan mampu menunjukkan kompetensi
kerangka. Menerapkan konsekuensi ketidakpatuhan atau tidak memadai
menghormati kebijakan dan prosedur
kinerja. Lacak tren dan kinerja dan pertimbangkan ini di
desain masa depan dan peningkatan kerangka kendali.
1. Buat serangkaian kebijakan untuk mendorong ekspektasi kontrol TI pada topik utama yang relevan seperti kualitas, keamanan, privasi, kontrol internal, 3
penggunaan aset I&T, etika dan hak kekayaan intelektual (IP).
2. Meluncurkan dan menegakkan kebijakan I&T secara seragam untuk semua staf yang relevan sehingga mereka dibangun ke dalam, dan menjadi bagian integral dari, perusahaan
operasi.
3. Mengevaluasi dan memperbarui kebijakan setidaknya setiap tahun untuk mengakomodasi perubahan lingkungan operasi atau bisnis. 4
APO01.10 Mendefinisikan dan mengimplementasikan infrastruktur, layanan dan Sebuah. Jumlah alat yang dipilih untuk mendukung proses prioritas
aplikasi untuk mendukung tata kelola dan sistem manajemen. b. Kecukupan / cakupan oleh alat proses I&T utama
Tentukan dan implementasikan infrastruktur, layanan, dan aplikasi ke c. Kepuasan penerima dengan keakuratan, kelengkapan dan
mendukung tata kelola dan sistem manajemen (misalnya, arsitektur ketepatan waktu informasi
repositori, sistem manajemen risiko, alat manajemen proyek, biaya- d. Persentase kepuasan pemangku kepentingan dengan alat yang dipilih untuk mendukung
alat pelacakan dan alat pemantauan insiden). kebutuhan - kebutuhan mereka
1. Mengidentifikasi tujuan manajemen prioritas yang dapat dicapai dengan mengotomatiskan layanan, aplikasi, atau infrastruktur. 2
2. Memilih dan menerapkan alat yang paling tepat dan berkomunikasi dengan pemangku kepentingan.
3. Berikan pelatihan tentang alat yang dipilih, sesuai kebutuhan.
59
Halaman 60

APO01.11 Mengelola peningkatan berkelanjutan dari manajemen I&T Sebuah. Tanggal pembaruan terakhir untuk kerangka kerja dan komponen
sistem.
Terus tingkatkan proses dan sistem manajemen lainnya b. Jumlah eksposur kerugian terkait I & T karena ketidakcukupan dalam
desain lingkungan pengendalian
komponen untuk memastikan bahwa mereka dapat memenuhi tata kelola dan
tujuan manajemen. Pertimbangkan panduan implementasi COBIT,
standar yang muncul, persyaratan kepatuhan, peluang otomatisasi
dan umpan balik dari para pemangku kepentingan.
1. Secara teratur menilai kinerja komponen kerangka kerja dan mengambil tindakan yang sesuai. 4
2. Mengidentifikasi proses bisnis penting berdasarkan kinerja dan penggerak kesesuaian dan risiko terkait. Menilai kemampuan dan
mengidentifikasi target perbaikan. Menganalisis kesenjangan dalam kemampuan dan kontrol. Identifikasi opsi untuk meningkatkan atau mendesain ulang proses.
3. Memprioritaskan inisiatif perbaikan berdasarkan potensi manfaat dan biaya. Menerapkan perbaikan yang disepakati, beroperasi sebagai 5
praktik bisnis normal, dan menetapkan sasaran dan metrik kinerja untuk memungkinkan pemantauan peningkatan.
4. Pertimbangkan cara untuk meningkatkan efisiensi dan efektivitas (misalnya, melalui pelatihan, dokumentasi, standardisasi dan / atau proses
otomatisasi).
5. Menerapkan praktik manajemen mutu untuk memperbarui proses.
6. Menghentikan komponen tata kelola yang sudah ketinggalan zaman (proses, item informasi, kebijakan, dll.).
SejajarkPaannd, uRaennTcearnkaaikt a(Snt,anddaanr, AKteurarngka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
ITIL V3, 2011 Peningkatan Layanan Berkelanjutan, 4.1 Proses Peningkatan 7 Langkah
fficefrficer wners
fficer
fficer
perations fficer
HAIAdministrasi
echnology O
Dewan Tata Kelola
Praktik Manajemen Kunci
KomRiitseiKkEoekpUsKeatklaeaupmKItainalfeafOpoSTarAmlaYaDAsieigTwOiKtaanolmOAKirteespiPtaRerlikaostisFPukeuerostnBuPKggiessearinpsuMiMasKlaaOaehnnaKSaaamaujejenmepamPrnabelaHeeannrugKA
DIbDenremuaaspfntiyoKbatagarelaeamknpMnMbgaaaslaaingnniuMbaKasanjiaegaenpTiMraaIPnjlaaeenTPrlaIrKjyievaeransKmainoOanntainuIintafosrBmisansis
APO01.01 Merancang sistem manajemen untuk perusahaan I&T. SEBUARHRRR
APO01.02 Komunikasikan tujuan, arahan dan keputusan manajemen

terbuat. ARRRRR R R
APO01.03 Menerapkan proses manajemen (untuk mendukung pencapaian

tujuan tata kelola dan manajemen). ARRRRR R
APO01.04 Mendefinisikan dan mengimplementasikan struktur organisasi. SEBUARHRRR R
APO01.05 Menetapkan peran dan tanggung jawab. SEBUARHRRR
APO01.06 Mengoptimalkan penempatan fungsi TI. SEBUARHRRR R
APO01.07 Definisikan informasi (data) dan kepemilikan sistem. SEBUARHRRR R RR R
APO01.08 Definisikan keterampilan dan kompetensi sasaran. SEBUARHRRR RRRR
APO01.09 Mendefinisikan dan mengkomunikasikan kebijakan dan prosedur. SEBUARHRRRRR RRR RRRRRRRR
APO01.10 Mendefinisikan dan mengimplementasikan infrastruktur, layanan dan aplikasi

SEBUARHRRR R RRRRRRRR
untuk mendukung tata kelola dan sistem manajemen.
APO01.11 Mengelola peningkatan berkelanjutan dari sistem manajemen I&T. SEBUAH RRRR RR RRRRRRRR
60
Halaman
61
BAB 4
B.Komponen: Struktur Organisasi (lanjutan)
ISO / IEC 27001: 2013 / Kor.2: 2015 (E) 5.3 Peran, tanggung jawab dan wewenang organisasi
Praktek Manajemen Masukan Keluaran
APO01.01 Merancang sistem manajemen untuk Dari Deskripsi Deskripsi Untuk

perusahaan I&T.
APO02.05 Peta jalan yang strategis Tata kelola prioritas dan Semua APO; Semua
tujuan manajemen BAI; Semua DSS;
Semua MEA
APO12.01 Masalah risiko yang muncul danSistem manajemen Semua APO;
Semua
faktor rancangan BAI; Semua DSS;
Semua MEA
APO12.02 Hasil analisis risiko
EDM01.01 • Tata kelola

perusahaan prinsip
panduan
• Model pengambilan keputusan

APO01.02 Komunikasikan tujuan pengelolaan, APO12.06 Dampak resiko Dasar komunikasi Semua APO; Semua
arah dan keputusan yang dibuat. komunikasi aturan BAI; Semua DSS;
Semua MEA
DSS04.01 Kebijakan dan tujuan untuk Komunikasi di I&T Semua APO; Semua
keberlangsungan bisnis tujuan BAI; Semua DSS;
Semua MEA
DSS05.01 Perangkat lunak berbahaya
kebijakan pencegahan
DSS05.02 Keamanan konektivitas
kebijakan
DSS05.03 Kebijakan keamanan untuk
perangkat titik akhir
EDM01.02 Tata kelola
perusahaan
komunikasi
EDM04.02 Prinsip untuk

menjaga sumber daya
APO01.03 Menerapkan proses manajemen

APO02.04 Kesenjangan dan perubahan Kesenjangan model target Semua APO; Semua
(untuk mendukung pencapaian tata kelola dan dibutuhkan untuk BAI; Semua DSS;
tujuan manajemen). merealisasikanatnaarlgiesits Semua MEA
kemampuan
EDM01.01 Tata kelola
Tingkat kemampuan proses APO01.11
perusahaan prinsip
panduan
APO01.04 Mendefinisikan dan mengimplementasikan organisasi
APO03.02 Arsitektur proses Operasional perusahaan APO03.02
struktur.
model pedoman
EDM01.01 Tata kelola Definisi APO03.02
perusahaan prinsip struktur organisasi
panduan dan fungsi
61
Halaman 62
C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
APO01.05 Menetapkan peran dan tanggung jawab. Dari Deskripsi Deskripsi Untuk
APO07.03 • Keterampilan dan

Definisi pengawasan APO07.01
kompetensi matriks
praktek
• Rencana pengembangan keterampilan
Definisi terkait I & T DSS05.04
APO11.01 Manajemen mutu peran dan tanggung jawab
peran sistem (QMS),
tanggung jawab dan
hak keputusan
APO13.01 Informasi keamanan

sistem manajemen
Pernyataan ruang lingkup (ISMS)
DSS06.03 • Peran yang dialokasikan dan

tanggung jawab
• Tingkat yang dialokasikan dari
wewenang
EDM01.01 Tingkat otoritas
EDM04.02 Tanggung jawab yang ditetapkan

untuk sumber daya
Sejajarkan, Rencanakan, dan Atur pengelolaan
APO01.06 Mengoptimalkan penempatan fungsi TI. COBIT luar • Strategi perusahaan
• Perusahaan A
PO01.07 Definisikan informasi (data) dan sistem
Operasional yang ditentukan APO03.02
kepemilikan.
penempatan fungsi TI
Evaluasi opsi untuk APO03.02
Organisasi TI
Klasifikasi data APO03.02;
pedoman APO14.01;
BAI02.01;
DSS05.02;
DSS06.01
Keamanan dan kontrol data APO14.04;
pedoman APO14.10;
BAI02.01
Prosedur integritas data APO14.04;
BAI02.01;
DSS06.01
APO01.08 Definisikan keterampilan dan kompetensi sasaran. Keterampilan target dan

APO07.03
kompetensi matriks
APO01.09 Definisikan dan komunikasikan kebijakan dan
DSS01.04 Kebijakan lingkungan Perbaikan ketidakpatuhan MEA01.05
Prosedur. tindakan
MEA03.02 Kebijakan yang diperbarui,
prinsip, prosedur
dan standar
APO01.10 Mendefinisikan dan mengimplementasikan infrastrukturA, PlaOy0a9n.a0n1 Kesenjangan yang teridentifikasiRdeinIc&aTna I&T ukuran yang tepat APO02.02;
dan aplikasi untuk mendukung tata kelola layanan untuk bisnis lanskap termasuk APO02.03
dan sistem manajemen. kemampuan I&T yang hilang,
Di luar lanskap COBIT I&T
layanan dan aplikasi
penilaian
termasuk layanan,
aplikasi dan
infrastruktur
62
Halaman
63
BAB 4
C. Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
APO01.11 Mengelola peningkatan berkelanjutan dari I&T Dari Deskripsi Deskripsi Untuk
sistem manajemen.
APO 01.03 Tingkat kemampuan proses Peningkatan proses Semua APO; Semua
peluang BAI; Semua DSS;
Semua MEA
EDM01.03 Umpan balik tentang tata kelola Sasaran kinerja dan MEA01.02
efektivitas dan metrik untuk proses
kinerja pelacakan perbaikan
MEA03.02 Kebijakan yang diperbarui, Kemampuan memproses MEA01.03
prinsip, prosedur penilaian
dan standar
Tata kelola TI Kerangka Keterampilan untuk Era Informasi V6, 2015 PEMERINTAH
Manajemen TI Kerangka Keterampilan untuk Era Informasi V6, 2015 ITMG
Kerangka manajemen I&T Menetapkan sistem manajemen

untuk perusahaan I&T
berdasarkan tujuan perusahaan dan
faktor desain lainnya.
Mempertimbangkan kebijakan rinci dan
prinsip untuk I&T
manajemen di semua
komponen.
Tetapkan budaya internal keselarasan antara bisnis dan TI, membangun

tujuan, struktur, proses, dan peran manajemen yang diperlukan
dan tanggung jawab yang memungkinkan pengambilan keputusan dan penciptaan nilai di
cara yang paling efektif dan efisien.

• Kerangka dan standar yang setara
63
Halaman 64
64
Halaman
65
BAB 4

Tujuan Manajemen: APO02 - Strategi Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Memberikan pandangan holistik tentang bisnis saat ini dan lingkungan I&T, arah masa depan, dan inisiatif yang diperlukan untuk bermigrasi ke masa depan yang diinginkan
lingkungan Hidup. Pastikan bahwa tingkat digitalisasi yang diinginkan merupakan bagian integral dari arah masa depan dan strategi I&T. Nilai organisasi saat ini
kematangan digital dan mengembangkan peta jalan untuk menutup kesenjangan. Dengan bisnis, pikirkan kembali operasi internal serta aktivitas yang dihadapi pelanggan.
Pastikan fokus pada perjalanan transformasi di seluruh organisasi. Memanfaatkan blok bangunan arsitektur perusahaan, komponen tata kelola, dan
ekosistem organisasi, termasuk layanan yang disediakan secara eksternal dan kapabilitas terkait, untuk memungkinkan respons yang andal namun gesit dan efisien
tujuan strategis.
Tujuan
Dukung strategi transformasi digital organisasi dan berikan nilai yang diinginkan melalui peta jalan perubahan tambahan. Gunakan
pendekatan I&T holistik, memastikan bahwa setiap inisiatif terhubung dengan jelas ke strategi menyeluruh. Aktifkan perubahan di semua aspek berbeda dari
organisasi, dari saluran dan proses hingga data, budaya, keterampilan, model operasi, dan insentif.
Tujuan Perusahaan
AG08 Mengaktifkan dan mendukung proses bisnis dengan mengintegrasikan
• EG05 Budaya layanan berorientasi pelanggan
aplikasi dan teknologi

target pendapatan dan / atau pangsa pasar AG08 a. Waktu untuk menjalankan layanan atau proses bisnis
b. Persentase produk dan layanan yang memenuhi atau melebihi b. Jumlah program bisnis yang mendukung I & T tertunda atau
target kepuasan pelanggan menimbulkan biaya tambahan karena integrasi teknologi
c. Persentase produk dan layanan yang menyediakan masalah
keunggulan kompetitif c. Jumlah perubahan proses bisnis yang perlu dilakukan
d. Saatnya memasarkan produk dan layanan baru tertunda atau dikerjakan ulang karena integrasi teknologi
masalah
EG05 a. Jumlah gangguan layanan pelanggan d. Jumlah aplikasi atau infrastruktur penting yang beroperasi
b. Persentase pemangku kepentingan bisnis yang memuaskan pelanggan itu dalam silo dan tidak terintegrasi
pemberian layanan memenuhi tingkat yang disepakati
c. Jumlah keluhan pelanggan
d. Tren hasil survei kepuasan pelanggan

kemampuan
kemampuan
65
Halaman 66
A. Komponen: Proses
APO02.01 Memahami konteks dan arah perusahaan.

Sebuah. Tingkat pemahaman dalam manajemen I&T perusahaan saat ini
Memahami konteks perusahaan (penggerak industri, peraturan terkait,
organisasi dan konteks
dasar persaingan), cara kerjanya saat ini, dan tingkat ambisinya
b. Tingkat pengetahuan dalam manajemen I&T untuk tujuan perusahaan dan
dalam hal digitalisasi.
arah
c. Tingkat pemahaman pemangku kepentingan utama untuk I&T dan
detailnya
Persyaratan
1. Mengembangkan dan memelihara pemahaman tentang lingkungan eksternal perusahaan. 2
2. Mengembangkan dan memelihara pemahaman tentang cara kerja saat ini, termasuk lingkungan operasional, perusahaan
arsitektur (domain bisnis, informasi, data, aplikasi dan teknologi), budaya perusahaan dan tantangan saat ini.
3. Mengembangkan dan memelihara pemahaman tentang arah perusahaan di masa depan, termasuk strategi, sasaran dan sasaran perusahaan.
Pahami tingkat ambisi perusahaan dalam hal digitalisasi, yang mungkin mencakup rentang yang semakin aspiratif
tujuan, dari memotong biaya, meningkatkan sentrisitas pelanggan, atau mencapai pasar lebih cepat dengan mendigitalkan operasi internal, hingga menciptakan
aliran pendapatan yang sama sekali baru dari model bisnis baru (misalnya, bisnis platform).
4. Identifikasi pemangku kepentingan utama dan dapatkan wawasan tentang kebutuhan mereka.
SejajarkParank,teRkeMncaannajaekmaenn, dan Atur
Contoh Metrik
APO02.02 Menilai kemampuan, kinerja, dan digital saat ini Sebuah. Persentase staf yang puas dengan kemampuan saat ini
kematangan perusahaan. b. Persentase kepuasan pemilik bisnis dengan investasi di dan
Menilai kinerja layanan I&T saat ini dan mengembangkan
pemanfaatan basis aset internal dan eksternal untuk memenuhi kebutuhan kritis
pemahaman tentang bisnis saat ini dan kemampuan I&T (keduanya internal
faktor sukses
dan eksternal). Menilai kematangan digital perusahaan saat ini dan nya
nafsu makan untuk perubahan.
1. Mengembangkan dasar dari bisnis saat ini dan kemampuan dan layanan I&T. Sertakan penilaian yang disediakan secara eksternal 2
layanan, tata kelola I&T, dan keterampilan dan kompetensi terkait I & T di seluruh dunia usaha.
2. Menilai kematangan digital di berbagai dimensi (misalnya, kemampuan kepemimpinan untuk memanfaatkan teknologi, tingkat penerimaan 3
risiko teknologi, pendekatan inovasi, budaya dan tingkat pengetahuan pengguna). Kaji nafsu makan untuk perubahan.
COSO Enterprise Risk Management, Juni 2017 7. Penetapan Strategi dan Tujuan — Prinsip 6; 9. Review dan
Revisi — Prinsip 15
APO02.03 Tentukan kapabilitas digital target.

Sebuah. Persentase tujuan perusahaan yang ditangani oleh sasaran / sasaran I&T
Berdasarkan pemahaman konteks dan arah perusahaan, definisikan
b. Persentase tujuan I&T yang mendukung strategi perusahaan
produk dan layanan I&T target serta kemampuan yang dibutuhkan.
Mempertimbangkan standar referensi, praktik terbaik, dan teknologi baru yang
divalidasi.
1. Meringkas konteks dan arah perusahaan dan mengidentifikasi aspek I&T spesifik dari strategi perusahaan (misalnya, proses digitalisasi, 2
menerapkan teknologi baru, mendukung arsitektur legacy, menerapkan model bisnis digital baru, mengembangkan produk digital
portofolio, dll.).
2. Tetapkan tujuan dan sasaran I&T tingkat tinggi dan tentukan kontribusinya terhadap tujuan perusahaan.
3. Detail layanan dan produk I&T yang diperlukan untuk mewujudkan tujuan perusahaan. Pertimbangkan teknologi atau inovasi baru yang tervalidasi 3
ide, standar referensi, bisnis pesaing dan kemampuan I&T, tolok ukur komparatif dari praktik yang baik, dan yang sedang berkembang
Penyediaan layanan I&T.
4. Menentukan kapabilitas I&T, metodologi dan pendekatan organisasi yang diperlukan untuk merealisasikan produk I&T yang ditetapkan dan
portofolio layanan. Pertimbangkan metodologi pengembangan yang berbeda (Agile, scrum, waterfall, bimodal IT), bergantung pada bisnis
Persyaratan. Pertimbangkan bagaimana masing-masing dapat membantu mewujudkan tujuan I&T.
66
Halaman
67
BAB 4
APO02.04 Melakukan analisis kesenjangan.

Sebuah. Jumlah perubahan berdampak tinggi yang diperlukan di perusahaan yang berbeda
Identifikasi kesenjangan antara lingkungan saat ini dan lingkungan target dan jelaskan
domain arsitektur
perubahan tingkat tinggi dalam arsitektur perusahaan.
b. Jumlah kesenjangan yang signifikan antara lingkungan saat ini dan barang
praktek
1. Identifikasi semua celah dan perubahan yang diperlukan untuk mewujudkan lingkungan sasaran. 3
2. Jelaskan perubahan tingkat tinggi dalam arsitektur perusahaan (bisnis, informasi, data, aplikasi, dan domain teknologi).
3. Pertimbangkan implikasi tingkat tinggi dari semua celah. Menilai dampak dari perubahan potensial pada bisnis dan model operasi I&T,
Kemampuan penelitian dan pengembangan I&T, dan program investasi I&T.
4. Pertimbangkan nilai potensi perubahan pada bisnis dan kapabilitas TI, layanan I&T dan arsitektur perusahaan, dan Sejajarkan, Rencanakan, dan Atur
implikasi jika tidak ada perubahan yang direalisasikan. 4
5. Sempurnakan definisi lingkungan sasaran dan siapkan pernyataan nilai yang menguraikan manfaat lingkungan sasaran.
APO02.05 Tentukan rencana strategis dan peta jalan. Kembangkan strategi digital holistik, bekerja sama dengan pihak terkait
Sebuah. Tingkat dukungan pemangku kepentingan untuk rencana transformasi
digital
b. Persentase inisiatif dalam strategi I&T yang mendanai sendiri
pemangku kepentingan, dan merinci peta jalan yang mendefinisikan langkah-langkah tamba(hdaenngan keuntungan finansial melebihi biaya)
dibutuhkan untuk mencapai tujuan dan sasaran. Pastikan fokus pada c. Tingkat korespondensi antara strategi perusahaan dan I&T
perjalanan transformasi melalui penunjukan orang yang membantu strategi dan tujuan
ujung tombak transformasi digital dan mendorong keselarasan di antaranya
bisnis dan I&T.
1. Tentukan inisiatif yang diperlukan untuk menutup kesenjangan antara lingkungan saat ini dan lingkungan target. Integrasikan inisiatif ke dalam I&T yang koheren3
strategi yang menyelaraskan I&T dengan semua aspek bisnis.
2. Merinci peta jalan yang mendefinisikan langkah-langkah tambahan yang diperlukan untuk mencapai tujuan dan sasaran dari strategi I&T. Memastikan
tindakan disertakan untuk melatih orang dengan keterampilan baru, mendukung adopsi teknologi baru, mempertahankan perubahan di seluruh
organisasi, dll.
3. Pertimbangkan ekosistem eksternal (mitra perusahaan, pemasok, perusahaan baru, dll.) Untuk membantu mendukung pelaksanaan peta jalan.
4. Kelompokkan tindakan ke dalam program dan / atau proyek dengan tujuan atau hasil yang jelas. Untuk setiap proyek, identifikasi sumber daya tingkat tinggi
persyaratan, jadwal, anggaran investasi / operasional, risiko, dampak perubahan, dll.
5. Menentukan ketergantungan, tumpang tindih, sinergi dan dampak antar proyek, dan membuat prioritas.
6. Finalisasi peta jalan, yang menunjukkan penjadwalan relatif dan saling ketergantungan proyek.
7. Pastikan fokus pada perjalanan transformasi. Menunjuk juara transformasi digital dan penyelarasan antara bisnis dan
I&T (chief digital officer [CDO] atau peran C-suite tradisional lainnya).
8. Dapatkan dukungan dan persetujuan formal dari para pemangku kepentingan.
9. Terjemahkan tujuan menjadi hasil yang terukur yang diwakili oleh metrik (apa) dan target (seberapa banyak). Pastikan hasilnya 4
dan ukuran berkorelasi dengan keuntungan perusahaan.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SG2.1 Strategi Keamanan Informasi
ITIL V3, 2011 Strategi Layanan, 4.1 Manajemen strategi untuk layanan TI
67
Halaman 68
APO02.06 Mengkomunikasikan strategi dan arahan I&T.

Sebuah. Frekuensi pembaruan rencana komunikasi strategi I&T
Ciptakan kesadaran dan pemahaman tentang bisnis dan tujuan I&T
b. Persentase pemangku kepentingan yang mengetahui arah dan strategi I&T
dan arahan, seperti yang ditangkap dalam strategi I&T, melalui komunikasi ke
pemangku kepentingan dan pengguna yang sesuai di seluruh perusahaan.
1. Mengembangkan rencana komunikasi yang mencakup pesan yang dibutuhkan, audiens sasaran, mekanisme / saluran komunikasi 3
dan jadwal.
2. Siapkan paket komunikasi yang menyampaikan rencana secara efektif, dengan menggunakan media dan teknologi yang tersedia.
3. Kembangkan dan pertahankan jaringan untuk mendukung, mendukung, dan mendorong strategi I&T.
4. Dapatkan umpan balik dan perbarui rencana komunikasi dan penyampaian sesuai kebutuhan. 4
ffice.dll
fficefrfice wners
r fficer
fficer
perations fficer
echnology O HAIAdministrasi
Dewan Tata Kelola
Praktik Manajemen Kunci KepKaleapKEalkeapsKeIankleafupotSTarifAmlaOYaPDAsrigoTOisMteasal
BnOFaiusjnneiMmgsseOainnMKaPeajrepnoPrayelHjeanekumgKAbOeeremunspniKbatDgelaeakanpntMbgaalagnnMibaKaanajegenpTMiraaaIPnjaleaenTPrlaarIKjyievearansKmainoOanntainuIintafosrBmisansis
APO02.01 Memahami konteks dan arah perusahaan. ARR RRRRRRRRRR
APO02.02 Menilai kemampuan saat ini, kinerja, dan kematangan digital dari
ARR R RRRRRRRR
perusahaan.
APO02.03 Tentukan kapabilitas digital target. RRA R RRRRRRRRRR
APO02.04 Melakukan analisis kesenjangan. RRRAR R RRRRRRRR

APO02.05 Tentukan rencana strategis dan peta jalan. RRRARRR RRRRRRRR
APO02.06 Mengkomunikasikan strategi dan arahan I&T. RRRRA
ISO / IEC 38502: 2017 (E) 5.4 Tanggung jawab manajer
APO02.01 Memahami konteks dan arah perusahaan. Dari Deskripsi Deskripsi Untuk
APO04.02 Peluang inovasi

Sumber dan prioritas untuk Intern
terkait dengan pendorong bisnis perubahan
EDM04.01 Prinsip panduan untuk

mengalokasikan sumber daya dan
kemampuan
Di luar strategi COBIT Enterprise dan
kekuatan Kelemahan,
peluang, ancaman
(SWOT)
68
Halaman
69
BAB 4
APO02.02 Menilai kapabilitas, kinerja, dan Dari Deskripsi Deskripsi Untuk

kematangan digital perusahaan.
APO06.05 Optimalisasi biaya Kesenjangan dan risiko terkait APO12.01
peluang kemampuan saat ini
APO08.05 Definisi potensi Kemampuan Analisis SWOT Internal
proyek perbaikan
APO09.01 Kesenjangan yang teridentifikasiBdaaslealmineTIarus Intern
layanan untuk bisnis kemampuan
APO09.04 Tindakan perbaikan
rencana dan perbaikan
APO12.01 Masalah risiko yang muncul dan Sejajarkan, Rencanakan, dan Atur
faktor
APO12.02 Hasil analisis risiko
APO12.03 Profil risiko gabungan,

termasuk status risiko
tindakan manajemen
APO12.05 Proposal proyek untuk
mengurangi resiko
BAI04.03 • Diprioritaskan
perbaikan
• Kinerja dan
rencana kapasitas
BAI04.05 Tindakan korektif
BAI09.01 Hasil fit-for-purpose

ulasan
BAI09.04 • Hasil biaya
ulasan pengoptimalan
• Peluang untuk mengurangi
biaya aset atau peningkatan
nilai
dan efektivitas
sumber daya dan
kemampuan
APO02.03 Tentukan kapabilitas digital target. APO04.05 • Hasil dan Perusahaan yang diusulkan APO03.03
rekomendasi perubahan arsitektur
dari bukti konsep
Bisnis dan TI yang dibutuhkan Intern
inisiatif
kemampuan
• Analisis ditolak
inisiatif Sasaran terkait I & T tingkat tinggi Internal
APO02.04 Melakukan analisis kesenjangan. APO04.06 Penilaian penggunaan
Kesenjangan dan perubahan APO01.03;
pendekatan inovatif
yg dibutuhkan APO13.02;
untuk merealisasikan target BAI03.11;
kemampuan EDM04.01
APO05.01 Pengembalian investasi
Pernyataan manfaat nilai BAI03.11
harapan
untuk lingkungan target
BAI01.05 Hasil dari tujuan program
pemantauan prestasi
BAI 11.09 Pasca implementasi
hasil review
EDM02.02 Evaluasi strategis

penjajaran
69
Halaman 70
APO02.05 Tentukan rencana strategis dan peta jalan. Dari Deskripsi Deskripsi Untuk
APO03.01 • Ruang lingkup yang ditentukanStrategi I&T dan Semua APO; Semua
Arsitektur tujuan BAI;
• Konsep arsitektur Semua DSS; Semua
kasus bisnis dan MEA
proposisi nilai
APO03.02 Arsitektur informasi Peta jalan yang strategis APO01.01;

model APO03.01;
APO08.01;
EDM02.01;
EDM02.02
APO03.03 Arsitektur transisi Definisi strategis EDM02.01

inisiatif
APO05.01 Opsi pendanaan Tugas beresiko EDM02.01,
APO06.02 Alokasi anggaran inisiatif APO12.01

APO06.03 Anggaran I&T
BAI09.05 Rencana tindakan untuk menyesuaikan

nomor lisensi dan
Sejajarkan, Rencanakan, dan Atur alokasi
DSS04.02 Strategis yang disetujui

pilihan
EDM02.01 Umpan balik tentang strategi
dan tujuan
EDM04.01 Rencana sumber daya yang disetujui
EDM04.03 Tindakan perbaikan untuk

alamat sumber daya
penyimpangan manajemen
APO02.06 Mengkomunikasikan strategi dan arahan I&T. EDM04.02 Komunikasi
Paket komunikasi Semua APO; Semua
strategi sumber daya
BAI; Semua DSS;
Semua MEA
Rencana komunikasi Intern

ITIL V3, 2011 Strategi layanan, 3.9 Masukan dan keluaran strategi layanan
Pengembangan rencana bisnis e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
A. Rencana — A.3. Rencana bisnis
Pengembangan
Pemantauan teknologi yang muncul Kerangka Keterampilan untuk Era Informasi V6, 2015 EMRG
Strategi dan perencanaan I&T Kerangka Keterampilan untuk Era Informasi V6, 2015 ITSP
Penyelarasan strategi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016 A. Rencana — A.1. IS dan Bisnis
Penyelarasan Strategi
70
Halaman 71
BAB 4
Prinsip-prinsip strategi layanan I&T Untuk detailnya, lihat terkait

ITIL V3, 2011 Strategi Pelayanan, 3. Pelayanan
bimbingan.
prinsip strategi
Kebijakan dan prinsip strategi I&T Memberikan pandangan holistik tentang arus
bisnis dan lingkungan I&T,
arahan dan inisiatif strategis
diperlukan untuk transisi ke yang diinginkan
lingkungan masa depan. Pastikan itu
bisnis dan strategi I&T mencerminkan
tingkat target digitalisasi.
F. Komponen: Budaya, Etika dan Perilaku Sejajarkan, Rencanakan, dan Atur

Bangun budaya dan nilai-nilai dasar yang sesuai dengan bisnis secara keseluruhan
Kerangka Agile Berskala untuk Kerangka yang dapat dikonfigurasi yang membantu
strategi (yaitu, berorientasi pelanggan, didorong inovasi, berbasis produk). Temukan
Perusahaan Lean organisasi memberikan produk baru
cara untuk memasukkan kecepatan ke dalam proses dan memperkenalkan budaya pendukung dan solusi dalam waktu singkat
dan perilaku yang memungkinkan bergerak lebih cepat. Ini bisa dimulai dengan lead time yang berkelanjutan
mengubah kebiasaan dasar seperti memiliki kepemimpinan strategi yang lebih sering (semua bab)
rapat atau mengotomatiskan aktivitas tertentu.
Dalam konteks model bisnis digital saat ini, ekosistem dan

gangguan, sangat penting bagi banyak organisasi untuk memprioritaskan digital
transformasi dalam strategi mereka. Bangun budaya yang menantang
status quo dan mengeksplorasi cara kerja baru (misalnya, berinvestasi dalam otomatisasi
untuk menanggapi pelanggan dengan cepat, mengembangkan pelaporan yang canggih dan
analitik untuk menafsirkan kebutuhan pelanggan, membangun antarmuka yang inovatif
mengumpulkan data pelanggan, membuat mekanisme untuk mengirimkan konten dan penawaran
di semua saluran yang relevan).
• Analisis pelanggan
• Tolok ukur industri
• Sistem pengukuran kinerja (misalnya, kartu skor berimbang, alat manajemen keterampilan)
• Layanan dan peralatan jam tangan teknologi
71
Halaman 72

72
Halaman
73
BAB 4

Tujuan Manajemen: APO03 - Arsitektur Perusahaan Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Membentuk arsitektur umum yang terdiri dari lapisan arsitektur proses bisnis, informasi, data, aplikasi, dan teknologi. Buat kunci
model dan praktik yang menggambarkan arsitektur baseline dan target, sejalan dengan strategi perusahaan dan I&T. Tentukan persyaratan untuk
taksonomi, standar, pedoman, prosedur, templat dan alat, dan menyediakan keterkaitan untuk komponen ini. Tingkatkan kesejajaran, tingkatkan kelincahan,
meningkatkan kualitas informasi dan menghasilkan penghematan biaya potensial melalui inisiatif seperti penggunaan kembali komponen blok bangunan.
Tujuan
Mewakili berbagai blok bangunan yang membentuk perusahaan dan keterkaitannya serta prinsip-prinsip yang memandu desain dan
evolusi dari waktu ke waktu, untuk memungkinkan penyampaian tujuan operasional dan strategis yang standar, responsif dan efisien.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan: Sejajarkan, Rencanakan, dan Atur
Tujuan Perusahaan
• AG06 Agility untuk mengubah persyaratan bisnis menjadi operasional
solusi
• AG08 Mengaktifkan dan mendukung proses bisnis dengan mengintegrasikan
EG01 a. Persentase produk dan layanan yang memenuhi atau melebihi d. Saatnya memasarkan produk dan layanan baru
b. Persentase produk dan layanan yang memenuhi atau melebihi
target kepuasan pelanggan
AG06 a. an eksekutif bisnis dengan I&T daya tanggap
Ti terhadap persyaratan baru
ng b. Waktu rata-rata untuk memasarkan layanan baru terkait I & T dan
kat aplikasi
ke c. Waktu rata-rata untuk mengubah tujuan I&T strategis menjadi
pu disepakati dan inisiatif yang disetujui
as d. Jumlah proses bisnis penting yang didukung oleh hingga
infrastruktur tanggal dan aplikasi
EG05 a. Jumlah gangguan layanan pelanggan AG08 a. Waktu untuk menjalankan layanan atau proses bisnis
b. Persentase pemangku kepentingan bisnis yang memuaskan pelanggan itu b. Jumlah program bisnis yang mendukung I & T tertunda atau
pemberian layanan memenuhi tingkat yang disepakati menimbulkan biaya tambahan karena masalah integrasi teknologi
c. Jumlah keluhan pelanggan c. Jumlah perubahan proses bisnis yang perlu ditunda
d. Tren hasil survei kepuasan pelanggan atau dikerjakan ulang karena masalah integrasi teknologi
d. Jumlah aplikasi atau infrastruktur penting yang beroperasi
dalam silo dan tidak terintegrasi
kemampuan
kemampuan
A. Komponen: Proses
APO03.01 Mengembangkan visi arsitektur perusahaan.

Sebuah. Tingkat umpan balik pelanggan arsitektur
Visi arsitektur memberikan deskripsi tingkat tinggi dan potongan pertama dari
b. Sejauh mana arsitektur baseline dan target mencakup
arsitektur dasar dan target, meliputi bisnis, informasi,
data, aplikasi, dan domain teknologi. Visi arsitektur domain bisnis, informasi, data, aplikasi dan teknologi dan
memberi sponsor alat utama untuk menjual manfaat yang diusulkan frekuensi pembaruan
kemampuan untuk pemangku kepentingan dalam perusahaan. Arsitektur
Visi menggambarkan bagaimana kapabilitas baru (sejalan dengan strategi I&T
dan tujuan) akan memenuhi tujuan perusahaan dan sasaran strategis dan
mengatasi masalah pemangku kepentingan saat diterapkan.
73
Halaman 74
1. Identifikasi pemangku kepentingan utama dan perhatian / tujuan mereka. Tentukan juga persyaratan perusahaan utama yang akan ditangani 2
pandangan arsitektur yang akan dikembangkan untuk memenuhi persyaratan pemangku kepentingan.
2. Identifikasi tujuan perusahaan dan pendorong strategis. Tentukan kendala yang harus diatasi, termasuk di seluruh dunia usaha dan
kendala khusus proyek (misalnya, waktu, jadwal, sumber daya, dll.).
3. Menyelaraskan tujuan arsitektur dengan prioritas program strategis.
4. Memahami kapabilitas dan tujuan perusahaan, kemudian mengidentifikasi opsi untuk mewujudkan tujuan tersebut.
5. Menilai kesiapan perusahaan untuk berubah.
6. Mendefinisikan ruang lingkup arsitektur baseline dan arsitektur target. Hitung item yang berada dalam cakupan serta yang berada di luar cakupan.
(Arsitektur dasar dan target tidak perlu dijelaskan pada tingkat detail yang sama.)
7. Memahami tujuan dan sasaran strategis perusahaan saat ini. Bekerja dalam proses perencanaan strategis untuk memastikan bahwa I & T-
peluang arsitektur perusahaan yang terkait dimanfaatkan dalam pengembangan rencana strategis.
8. Berdasarkan perhatian pemangku kepentingan, persyaratan kemampuan bisnis, ruang lingkup, batasan dan prinsip, buat arsitektur
visi (yaitu, tampilan tingkat tinggi dari arsitektur baseline dan target).
9. Konfirmasi dan uraikan prinsip arsitektur, termasuk prinsip perusahaan. Pastikan bahwa definisi yang ada adalah yang terbaru. 3
Klarifikasi area ambiguitas apa pun.
10. Identifikasi risiko perubahan perusahaan yang terkait dengan visi arsitektur. Kaji tingkat risiko awal (misalnya kritis, marjinal atau
Sejajarkand, iRabeanikcaann).aKkeamnb,adngaknanAstturartegi mitigasi untuk setiap risiko yang signifikan.
11. Mengembangkan kasus bisnis konsep arsitektur perusahaan dan menguraikan rencana dan pernyataan pekerjaan arsitektur. Aman
persetujuan untuk memulai proyek yang selaras dan terintegrasi dengan strategi perusahaan.
12. Tentukan proposisi nilai arsitektur target, sasaran dan metrik. 4

3.15 Manajemen program (PM-7)
Open Group Standard TOGAF versi 9.2, 2018 6. Fase A: Visi Arsitektur
APO03.02 Definisikan arsitektur referensi.

Sebuah. Tanggal pembaruan terakhir untuk domain dan / atau arsitektur federasi
Arsitektur referensi mendeskripsikan arsitektur saat ini dan arsitektur target
b. Jumlah pengecualian untuk standar arsitektur dan garis dasar yang diterapkan
untuk domain bisnis, informasi, data, aplikasi, dan teknologi.
untuk dan diberikan
1. Menjaga repositori arsitektur yang berisi standar, komponen yang dapat digunakan kembali, artefak pemodelan, hubungan, 3
dependensi dan tampilan, untuk memungkinkan keseragaman organisasi dan pemeliharaan arsitektural.
2. Pilih sudut pandang referensi dari repositori arsitektur yang memungkinkan arsitek untuk menunjukkan bagaimana pemangku kepentingan
kekhawatiran ditangani dalam arsitektur.
3. Untuk setiap sudut pandang, model tertentu yang diperlukan untuk mendukung tampilan tertentu yang diperlukan. Gunakan alat atau metode yang dipilih dan
tingkat dekomposisi yang sesuai.
4. Mengembangkan deskripsi domain arsitektural dasar, menggunakan ruang lingkup dan tingkat detail yang diperlukan untuk mendukung target
arsitektur dan, sejauh mungkin, mengidentifikasi blok bangunan arsitektur yang relevan dari repositori arsitektur.
5. Mempertahankan model arsitektur proses sebagai bagian dari baseline dan deskripsi domain target. Standarisasi
deskripsi dan dokumentasi proses. Tentukan peran dan tanggung jawab pembuat keputusan proses, pemilik proses,
proses pengguna, tim proses, dan pemangku kepentingan proses lainnya yang harus dilibatkan.
6. Menjaga model arsitektur informasi sebagai bagian dari baseline dan deskripsi domain target, konsisten dengan perusahaan
strategi untuk memperoleh, menyimpan dan menggunakan data secara optimal dalam mendukung pengambilan keputusan.
7. Verifikasi model arsitektur untuk konsistensi dan akurasi internal. Lakukan analisis kesenjangan antara baseline dan target.
Prioritaskan celah dan tentukan komponen baru atau yang dimodifikasi yang harus dikembangkan untuk arsitektur target. Menyelesaikan
inkompatibilitas, inkonsistensi, atau konflik dalam arsitektur target.
8. Melakukan tinjauan pemangku kepentingan formal dengan memeriksa arsitektur yang diusulkan terhadap maksud asli dari proyek arsitektur dan
pernyataan pekerjaan arsitektur.
9. Menyelesaikan bisnis, informasi, data, aplikasi dan arsitektur domain teknologi. Buat dokumen definisi arsitektur.
74
Halaman
75
BAB 4
Model Maturitas Manajemen Data CMMI, 2014 Platform dan Arsitektur — Pendekatan Arsitektur; Platform dan
Arsitektur — Integrasi Data
ITIL V3, 2011 Strategi Layanan, 5.4 Strategi layanan TI dan arsitektur perusahaan

800-37, Revisi 2 (Draf), Mei 2018 3.1 Persiapan (Tugas 9)

800-53, Revisi 5 (Draf), Agustus 2017 3.5 Manajemen konfigurasi (CM-8)
Open Group Standard TOGAF versi 9.2, 2018 7. Fase B: Arsitektur Bisnis; 8. Fase C: Sistem Informasi
Ilmu bangunan; 9. Fase C: Data Arsitektur Sistem Informasi
Arsitektur; 10. Tahap C: Aplikasi Arsitektur Sistem Informasi
Arsitektur; 11. Fase D: Arsitektur Teknologi
APO03.03 Pilih peluang dan solusi.

Sebuah. Jumlah celah yang teridentifikasi dalam model di seluruh perusahaan, informasi,
Merasionalisasi kesenjangan antara arsitektur baseline dan target,
data, aplikasi dan domain arsitektur teknologi
akuntansi untuk perspektif bisnis dan teknis, dan secara logis
b. Persentase pemangku kepentingan perusahaan utama dari bisnis dan TI yang akan dinilai
kelompokkan mereka ke dalam paket pekerjaan proyek. Integrasikan proyek dengan
kesiapan transformasi perusahaan, dan mengidentifikasi peluang,
terkait I & T-diaktifkan program investasi untuk memastikan bahwa arsitektural
solusi dan semua kendala implementasi
inisiatif selaras dengan dan memungkinkan inisiatif ini sebagai bagian dari
perubahan perusahaan secara keseluruhan. Jadikan ini upaya kolaboratif dengan kunci
pemangku kepentingan perusahaan dari bisnis dan TI untuk menilai perusahaan
kesiapan transformasi, dan mengidentifikasi peluang, solusi, dan semuanya
kendala implementasi.

1. Tentukan dan konfirmasi atribut perubahan utama perusahaan. Pertimbangkan budaya perusahaan, potensi dampak budaya 3
implementasi arsitektur dan kemampuan perusahaan untuk transisi.
2. Mengidentifikasi penggerak perusahaan yang akan membatasi urutan implementasi. Sertakan review dari perusahaan dan line-of-
strategi bisnis dan rencana bisnis. Pertimbangkan kematangan arsitektur perusahaan saat ini.
3. Meninjau dan mengkonsolidasikan hasil analisis kesenjangan antara arsitektur baseline dan target. Menilai implikasi dengan hormat
untuk solusi potensial, peluang, saling ketergantungan dan keselarasan dengan program yang mengaktifkan I & T saat ini.
4. Menilai kebutuhan, celah, solusi dan faktor lain untuk mengidentifikasi sekumpulan persyaratan fungsional minimal yang integrasinya
ke dalam paket kerja akan mengarah pada implementasi arsitektur target yang lebih efisien dan efektif.
5. Rekonsiliasi persyaratan konsolidasi dengan solusi potensial.
6. Perbaiki ketergantungan awal dan identifikasi kendala pada implementasi dan rencana migrasi. Kumpulkan laporan analisis ketergantungan.
7. Konfirmasikan kesiapan perusahaan untuk, dan risiko yang terkait dengan, transformasi perusahaan.
8. Merumuskan strategi tingkat tinggi untuk implementasi dan migrasi. Menerapkan arsitektur target (dan mengatur transisi apa pun
arsitektur) sesuai dengan strategi perusahaan secara keseluruhan, tujuan dan jadwal.
9. Identifikasi dan kelompokkan paket kerja utama ke dalam satu set program dan proyek yang koheren, dengan menghormati arahan dan pendekatannya
implementasi strategis perusahaan.
10. Mengembangkan arsitektur transisi di mana ruang lingkup perubahan yang diperlukan oleh arsitektur target memerlukan peningkatan
pendekatan.
Open Group Standard TOGAF versi 9.2, 2018 12. Fase E: Peluang dan Solusi
75
Halaman 76
APO03.04 Mendefinisikan implementasi arsitektur.

Sebuah. Definisi yang jelas dari tata kelola implementasi arsitektur
Buat implementasi yang layak dan rencana migrasi sejalan dengan
Persyaratan
portofolio program dan proyek. Pastikan rencana tersebut dikoordinasikan dengan erat
b. Persentase pemangku kepentingan yang mengetahui implementasi arsitektur dan
memberikan nilai dan bahwa sumber daya yang diperlukan tersedia untuk diselesaikan
migrasi
pekerjaan yang diperlukan.
1. Menetapkan item yang diperlukan dalam implementasi dan rencana migrasi sebagai bagian dari perencanaan program dan proyek. Pastikan rencananya 3
selaras dengan persyaratan pembuat keputusan yang relevan.
2. Konfirmasikan kenaikan dan fase arsitektur transisi. Perbarui dokumen definisi arsitektur.
3. Tentukan dan selesaikan implementasi arsitektur dan rencana migrasi, termasuk persyaratan tata kelola yang relevan.
Integrasikan rencana, kegiatan dan ketergantungan ke dalam perencanaan program dan proyek.
4. Komunikasikan peta jalan arsitektural yang telah ditetapkan kepada pemangku kepentingan terkait. Beri tahu pemangku kepentingan tentang arsitektur target
definisi, pedoman dan prinsip arsitektur, portofolio layanan, dll.
Open Group Standard TOGAF versi 9.2, 2018 13. Fase F: Perencanaan Migrasi
APO03.05 Menyediakan layanan arsitektur perusahaan.

Sebuah. Tingkat umpan balik pelanggan untuk layanan arsitektur
Menyediakan layanan arsitektur perusahaan dalam perusahaan yang termasuk
bimbingan dan pemantauan proyek implementasi, formalisasi b. Persentase proyek yang menggunakan kerangka kerja dan metodologi untuk
menggunakan kembali komponen yang ditentukan
cara bekerja melalui kontrak arsitektur, dan mengukur dan
c. Persentase proyek yang menggunakan layanan arsitektur perusahaan
mengkomunikasikan nilai arsitektur dan pemantauan kepatuhan.
d. Manfaat proyek terealisasi yang dapat ditelusuri kembali ke arsitektur
keterlibatan (misalnya, pengurangan biaya melalui penggunaan kembali)
1. Konfirmasikan ruang lingkup dan prioritas serta berikan panduan untuk pengembangan dan penerapan solusi (misalnya, dengan menggunakan berorientasi
layana3n Arsitektur).
2. Mengelola persyaratan arsitektur perusahaan dan mendukung bisnis dan TI dengan nasihat dan keahlian tentang prinsip-prinsip arsitektur,
model dan blok bangunan. Menjamin bahwa implementasi baru (serta perubahan pada arsitektur saat ini) selaras
prinsip dan persyaratan arsitektur perusahaan.
3. Mengelola portofolio layanan arsitektur perusahaan dan memastikan keselarasan dengan tujuan strategis dan pengembangan solusi.
4. Identifikasi prioritas arsitektur perusahaan. Selaraskan prioritas dengan penggerak nilai. Tentukan dan kumpulkan metrik nilai dan ukur dan 4
mengkomunikasikan nilai arsitektur perusahaan.
5. Membentuk forum teknologi untuk memberikan pedoman arsitektural, memberi saran proyek, dan memandu pemilihan teknologi. Mengukur 5
kepatuhan terhadap standar dan pedoman, termasuk kepatuhan terhadap persyaratan eksternal dan relevansi bisnis internal.
Model Maturitas Manajemen Data CMMI, 2014 Platform dan Arsitektur — Standar Arsitektur
ITIL V3, 2011 Desain Layanan, 3.9 Arsitektur Berorientasi Layanan
Open Group Standard TOGAF versi 9.2, 2018 14. Fase G: Tata Kelola Implementasi; 15. Fase H:
Arsitektur Manajemen Perubahan
76
Halaman
77
BAB 4
fficer
fficer
fficer
Petugas echnology
Dewan Tata Kelola
KepKaleapKOalepapeKIarnaleafspoiSTarOAmlaYaDAsieigTwOiFtaaunlnOAKgsreispiMtaelakantA uarj res mi te ek n D a t a

S e j a j a r k a n , Rencanakan, dan Atur
APO03.01 Mengembangkan visi arsitektur perusahaan. RRRRARR
APO03.02 Definisikan arsitektur referensi. RRRRARR
APO03.03 Pilih peluang dan solusi. RRRRARR
APO03.04 Mendefinisikan implementasi arsitektur. RRRRRARR
APO03.05 Menyediakan layanan arsitektur perusahaan. RRRRRA R
Open Group Standard TOGAF versi 9.2, 2018 41. Badan Arsitektur
APO03.01 Mengembangkan arsitektur perusahaan APO03.01 Dari Deskripsi Deskripsi Untuk

penglihatan.
APO02.05 Peta jalan yang strategis Cakupan yang ditentukan dari APO02.05
Arsitektur

Konsep arsitektur APO02,05;
arsitektur perusahaan
kasus bisnis dan nilai APO05.02
dalil
Di luar strategi COBIT Enterprise Prinsip arsitektur BAI02.01;
BAI03.01;
BAI03.02
APO03.02 Definisikan arsitektur referensi. APO01.04 • Definisi
Arsitektur proses APO01.04
struktur organisasi
model
dan fungsi
• Operasional perusahaan
pedoman
APO01.06 • Evaluasi opsi
Arsitektur informasi APO02,05;
untuk organisasi TI
model APO14.03;
• Operasional yang
BAI02.01;
ditentukan penempatan TI
BAI03.02;
fungsi
DSS05.03;
DSS05.04;
DSS05.06
77
Halaman 78
APO03.02 Definisikan arsitektur referensi. (lanjutan) Dari Deskripsi Deskripsi Untuk
APO01.07 Klasifikasi data

pedoman Domain dasar APO13.02;
deskripsi dan BAI02.01;
APO14.01 Manajemen data definisi arsitektur BAI03.01;
strategi BAI03.02;
APO14.03 Dokumentasi metadata BAI03.12
Di luar strategi COBIT Enterprise APO03.03 Pilih peluang dan solusi. APO02.03
Perusahaan yang
diusulkan perubahan
arsitektur Arsitektur transisi APO02.05
COBIT luar • Pengemudi perusahaan
• Strategi perusahaan
APO03.04 Mendefinisikan implementasi arsitektur. Fase implementasi BAI01.01;

deskripsi BAI01.02;
BAI 11.01
Tata kelola BAI01.01;

arsitektur BAI 11.01
Persyaratan Sej
aja Persyara
rka tan
n, sumber
Re
nca daya
na
ka BAI01.
n, 02
da
n
At
ur
Pengembangan solusi bimbingan
B
A
I
Panduan Terkait (Standar, 0
Kerangka Kerja, Persyaratan 2
Kepatuhan)
.
0
1
;
B
A
I
0
2
.
0
2
;
B
A
I
0
3
.
0
2
;
B
A
I
0
3
.
1
2
Insti
3.1 Persiapan (Tugas 9): Input dan
tut
Output
Nas
iona
l
Stan
dar
dan
Pub
lika
si
Khu
sus
Tek
nolo
gi
800
-37,
Rev
isi
2,
Sept
emb
er
201
7
B
i
s
n
i
s
:
I
n
p
u
t
dan Output; 9. Fase C: Informasi Arsitektur Sistem an Solusi:
Arsitektur Data: Input dan Output; Masukan d
10. Arsitektur Aplikasi Arsitektur Sistem Informasi: Keluaran;
M Fase F:
a Perencana
s Migrasi: In
u dan Outpu
k Fase G: Ta
a Kelola
n Pelaksanaa
Masukan d
d Keluaran;
a Fase H:
n Manajeme
Perubahan
Arsitektur
k dan Outpu
e
l
u D. Komponen: Orang, Keterampilan dan Kompetensi
a
Ketrampilan Panduan Terkait (Standar,
r Kerangka Kerja, Persyaratan Kepatuhan)
a
n e-Competence Framework
(e-CF) - Kerangka kerja A. Rencana — A.5.
; Desain arsitektur
umum Eropa untuk TIK
1 Profesional di semua sektor
1 industri — Bagian 1:
. Kerangka, 2016
Analisis data Kerangka Keterampilan
F untuk Era Informasi V6, 2015 DTAN
a
Perus
s Kerangka Keterampilan untuk Era Informasi V6, 2015
ahaan
e
dan
bisnis
D
Arsite
:
ktur
A Perencanaan produk /
A
layanan
r .
Framework (e-CF) -
s Kerangka kerja umum Eropa
i untuk TIK R
t Profesional di e
e semua sektor n
k industri — c
t Bagian 1:
a
Kerangka,
u n
2016
r a
T —
e
k A
n .
o 4
l .
o
g P
i r
: o
d
I u
n k
p
u /
t
L
d a
a y
n a
n
K a
e n
l
u P
a e
r r
a e
n n
; c
a
1 n
2 a
. a
n
F
a Arsitektur solusi Kerangka Keterampilan
untuk Era Informasi V6, 2015 LENGKUNGAN
s
e
E
:
P
e
l
u
a
78
n
g
d
Halam
an 79 Sejajarkan,
BAB 4
Rencanaka
TATA KELOLA COBIT DAN TUJUAN n, dan Atur
MANAJEMEN — PANDUAN RINCI
Elemen Budaya Utama

E. Komponen: Kebijakan dan Prosedur Terkait
Kebijakan yang Relevan Deskripsi Kebijakan Panduan Terkait Ciptakan lingkungan di mana manajemen memahami arsitektur
Terperinci k
e
Prinsip arsitektur Mendefinisikan enggunaan dan interkoneksi I&T sumber daya b
20. Prinsip Arsitektur
prinsip-prinsip umum dan aset. Garis besar prinsip arsitektur untuk u
untukTOGAF Standar meningkatkan pengambilan keputusan. t
Grup Terbuka Memastikan keselarasan arus dan target u
menginformasikan arsitektur dengan perusahaan tujuan dan strategi. h
aturan dan 20. a
Arsitekturversi 9.2, n
2018
P r
e e
d l
o a
m t
a i
n f
p t
r e
i r
n h
s a
i d
p a
p
u
n t
t u
u j
k u
a
p n
r
o d
s a
e n
s
s
a a
r s
s a
i r
t a
e n
k
t b
u i
r s
, n
p i
r s
o .
s
e D
d o
u r
r o
, n
g
l
a l
p a
i t
s i
a h
n a
, n
d y
a a
n n
g
k
e e
s f
e e
l k
u t
r i
u f
h
a a
n r
s
p i
t l
e i
k s
t t
u i
r k
p y
e a
r n
u g
s
a m
h e
a n
a g
n h
u
d b
i u
n
s g
e k
l a
u n
r
u k
h o
m
o p
r o
g n
a e
n n
i
s l
a e
s b
i i
h
(
t m
i u
d l
a u
k s
h (
a m
n i
y s
a a
l
o n
l y
e a
h ,
a
r d
s e
i n
t g
e a
k n
p m
e e
r n
u j
s a
a u
h h
a
a d
n a
) r
. i
P t
a i
s m
t
i k
k h
a u
n s
u
p s
e
n d
d a
e r
k i
a spesialis aplikasi).
t
a
n
Repositori arsitektur
h
o
79
Halaman 80

80
Halaman
81
BAB 4

Tujuan Manajemen: APO04 - Inovasi Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Pertahankan kesadaran tentang I&T dan tren layanan terkait serta pantau tren teknologi yang muncul. Secara proaktif mengidentifikasi peluang inovasi dan
merencanakan bagaimana memanfaatkan inovasi dalam kaitannya dengan kebutuhan bisnis dan strategi I&T yang ditetapkan. Menganalisis peluang apa untuk inovasi bisnis atau
peningkatan dapat dibuat dengan teknologi, layanan, atau inovasi bisnis yang mendukung I & T; melalui teknologi mapan yang ada; dan
oleh bisnis dan inovasi proses TI. Mempengaruhi perencanaan strategis dan keputusan arsitektur perusahaan.
Tujuan
Mencapai keunggulan kompetitif, inovasi bisnis, meningkatkan pengalaman pelanggan, dan meningkatkan efektivitas dan efisiensi operasional
mengeksploitasi perkembangan I&T dan teknologi baru.
Tujuan manajemen mendukung pencapaian serangkaian perusahaan utama dan tujuan penyelarasan: Sejajarkan, Rencanakan, dan Atur
Tujuan Perusahaan
• AG06 Agility untuk mengubah persyaratan bisnis menjadi solusi operasional
• EG13 Produk dan inovasi bisnis
• AG13 Pengetahuan, keahlian dan inisiatif untuk inovasi bisnis

AG06 a. Tingkat kepuasan eksekutif bisnis dengan I&T
daya tanggap terhadap persyaratan baru
b. Waktu rata-rata untuk memasarkan layanan baru terkait I & T dan
aplikasi
c. Waktu rata-rata untuk mengubah tujuan I&T strategis menjadi
d. Saatnya memasarkan produk dan layanan baru disepakati dan inisiatif yang disetujui
d. Jumlah proses bisnis penting yang didukung oleh hingga
EG13 a. Tingkat kesadaran dan pemahaman bisnis
AG13 a. Tingkat kesadaran dan pemahaman eksekutif bisnis
peluang inovasi
kemungkinan inovasi I&T
b. Kepuasan pemangku kepentingan dengan tingkat produk dan
b. Jumlah inisiatif yang disetujui sebagai hasil dari inovasi
keahlian dan ide inovasi
Ide I&T
c. Jumlah inisiatif produk dan layanan yang disetujui
c. Jumlah juara inovasi yang diakui / diberikan
dihasilkan dari ide-ide inovatif
A. Komponen: Proses
APO04.01 Menciptakan lingkungan yang kondusif untuk inovasi.

Ciptakan lingkungan yang kondusif untuk inovasi, pertimbangkan Sebuah. Persepsi pemangku kepentingan perusahaan dan umpan balik tentang inovasi I&T
metode seperti budaya, penghargaan, kolaborasi, forum teknologi, dan b. Dimasukkannya inovasi atau tujuan terkait teknologi yang muncul di
mekanisme untuk mempromosikan dan menangkap ide-ide karyawan. tujuan kinerja untuk staf yang relevan
1. Buat rencana inovasi yang mencakup selera risiko, anggaran yang diusulkan untuk inisiatif inovasi dan tujuan inovasi. 2
2. Menyediakan infrastruktur yang dapat menjadi komponen tata kelola untuk inovasi (misalnya, alat kolaborasi untuk meningkatkan pekerjaan
antara lokasi geografis dan / atau divisi).
3. Menjaga staf yang memungkinkan program untuk mengirimkan ide-ide inovasi dan membuat struktur pengambilan keputusan yang tepat untuk dinilai 3
dan memajukan ide.
4. Mendorong ide-ide inovasi dari pelanggan, pemasok dan mitra bisnis.

81
Halaman 82
APO04.02 Menjaga pemahaman tentang lingkungan perusahaan.

Sebuah. Persentase inisiatif yang diimplementasikan dengan keterkaitan yang jelas dengan perusahaan
Bekerja dengan pemangku kepentingan terkait untuk memahami tantangan mereka.
objektif
Pertahankan pemahaman yang memadai tentang strategi perusahaan, kompetitif
b. Persentase peluang yang dimungkinkan oleh teknologi baru teridentifikasi
lingkungan dan kendala lainnya, sehingga peluang dimungkinkan dengan yang baru
teknologi dapat diidentifikasi.
1. Menjaga pemahaman tentang industri dan penggerak bisnis, perusahaan dan strategi I&T, serta operasi perusahaan dan saat ini 2
tantangan. Menerapkan pemahaman untuk mengidentifikasi potensi teknologi nilai tambah dan berinovasi I&T.
2. Melakukan pertemuan rutin dengan unit bisnis, divisi dan / atau entitas pemangku kepentingan lainnya untuk memahami bisnis saat ini 3
masalah, kemacetan proses, atau kendala lain di mana teknologi baru atau inovasi I&T dapat menciptakan peluang.
3. Memahami parameter investasi perusahaan untuk inovasi dan teknologi baru sehingga strategi yang tepat dikembangkan.
APO04.03 Memantau dan memindai lingkungan teknologi.

Sebuah. Frekuensi penelitian dan pemindaian lingkungan dilakukan selama
Siapkan proses jam tangan teknologi untuk melakukan pemantauan sistematis
mengidentifikasi ide dan tren inovatif
dan pemindaian lingkungan eksternal perusahaan untuk mengidentifikasi
Sejajarkteaknno, lRogeinbcaraunyaaknganb,erdpaotnenAsitmuernciptakan b. Persentase pemangku kepentingan yang puas dengan upaya memantau pasar,
nilai lanskap kompetitif, sektor industri, dan hukum dan peraturan
(misalnya, dengan merealisasikan strategi perusahaan, mengoptimalkan biaya, menghindaritren untuk menganalisis teknologi yang muncul atau ide inovasi di
keusangan, dan proses perusahaan dan I&T yang memungkinkan lebih baik). konteks perusahaan
Pantau pasar, lanskap kompetitif, sektor industri, dan
tren hukum dan peraturan untuk dapat menganalisis teknologi yang muncul
atau ide inovasi dalam konteks perusahaan.
1. Memahami selera perusahaan dan potensi inovasi teknologi. Fokuskan upaya kesadaran pada yang paling tepat 2
inovasi teknologi.
2. Menyiapkan proses pengawasan teknologi dan melakukan penelitian dan pemindaian lingkungan eksternal, termasuk yang sesuai
situs web, jurnal dan konferensi, untuk mengidentifikasi teknologi yang muncul dan nilai potensialnya bagi perusahaan.
3. Berkonsultasi dengan ahli pihak ketiga jika diperlukan untuk mengkonfirmasi penelitian atau memberikan informasi tentang teknologi yang muncul.
4. Tangkap ide-ide inovasi I & T dari staf dan kaji ulang untuk kemungkinan implementasi.
APO04.04 Menilai potensi teknologi yang muncul dan

ide inovatif. Sebuah. Persentase inisiatif yang dilaksanakan yang mewujudkan manfaat yang dibayangkan
Menganalisis teknologi baru yang teridentifikasi dan / atau inovasi I&T lainnya b. Persentase dari inisiatif pembuktian konsep yang berhasil untuk diuji yang muncul
saran untuk memahami potensi bisnis mereka. Bekerja dengan teknologi atau ide inovasi lainnya
pemangku kepentingan untuk memvalidasi asumsi tentang potensi baru
teknologi dan inovasi.
1. Mengevaluasi teknologi yang teridentifikasi, dengan mempertimbangkan aspek-aspek seperti waktu untuk mencapai kematangan, risiko yang melekat (termasuk p2otensi hukum
implikasi), sesuai dengan arsitektur perusahaan dan potensi nilai, sejalan dengan strategi perusahaan dan I&T.
2. Identifikasi masalah yang mungkin perlu diselesaikan atau divalidasi melalui inisiatif bukti konsep. 3
3. Cakupan inisiatif bukti konsep, termasuk hasil yang diinginkan, anggaran yang dibutuhkan, kerangka waktu dan tanggung jawab.
4. Dapatkan persetujuan untuk inisiatif bukti konsep.
5. Melakukan inisiatif pembuktian konsep untuk menguji teknologi yang muncul atau ide inovasi lainnya. Identifikasi masalah dan tentukan
apakah implementasi atau peluncuran harus dipertimbangkan berdasarkan kelayakan dan potensi ROI.
82
Halaman
83
BAB 4

APO04.05 Merekomendasikan inisiatif lebih lanjut yang sesuai.
Mengevaluasi dan memantau hasil inisiatif pembuktian konsep dan, Sebuah. Jumlah inisiatif bukti konsep yang dievaluasi dan disetujui untuk
jika memungkinkan, buat rekomendasi untuk inisiatif lebih lanjut. Mendapatkan peluncuran lebih lanjut
dukungan pemangku kepentingan. b. Jumlah inisiatif bukti konsep yang telah dimanfaatkan
investasi sebenarnya
1. Mendokumentasikan hasil bukti konsep, termasuk panduan dan rekomendasi untuk tren dan program inovasi. 3
2. Komunikasikan peluang inovasi yang layak ke dalam strategi I&T dan proses arsitektur perusahaan.
3. Menganalisis dan mengkomunikasikan alasan penolakan inisiatif pembuktian konsep.
4. Tindak lanjuti inisiatif bukti konsep untuk mengukur investasi aktual. 4

APO04.06 Memantau implementasi dan penggunaan inovasi.

Sebuah. Peningkatan pangsa pasar atau daya saing karena inovasi
Pantau implementasi dan penggunaan teknologi baru dan
b. Jumlah pembelajaran dan peluang untuk perbaikan
inovasi selama adopsi, integrasi dan untuk kehidupan ekonomi penuh
ditangkap untuk digunakan di masa mendatang
siklus untuk memastikan bahwa manfaat yang dijanjikan direalisasikan dan untuk diidentifikasi
pelajaran yang dipetik.
1. Menangkap pelajaran yang dipetik dan peluang untuk perbaikan. 3
2. Pastikan bahwa inisiatif inovasi selaras dengan perusahaan dan strategi I&T. Pantau keselarasan secara terus menerus. Sesuaikan rencana inovasi,
jika diperlukan.
3. Menilai teknologi baru atau inovasi I&T yang diimplementasikan sebagai bagian dari strategi I&T dan pengembangan arsitektur perusahaan. 4
Evaluasi tingkat adopsi selama pengelolaan program inisiatif.
4. Mengidentifikasi dan menilai nilai potensial dari inovasi.
fficefrficer wners
fficer
perations
HAI
echnology O
Praktik Manajemen Kunci KomKiteepKaElekapsKIeankleafupoPTtarirmlfaoasFDesuisignOBiKgtiasseil

npMOiMaslaOannKSaaujejemepmPrabelHeeanrugKADbDeremuaspniyMb
atagaelaaaknMnMbgaajagneniuraKasPnjieaeepTrlaIKylaaenamananan
Informasi
APO04.01 Menciptakan lingkungan yang kondusif untuk inovasi. ARRRRRR RRRRR
APO04.02 Menjaga pemahaman tentang lingkungan perusahaan. ARRRRR RRRRRR
APO04.03 Memantau dan memindai lingkungan teknologi. ARRRRR RRRRR
APO04.04 Menilai potensi teknologi yang muncul dan ide-ide inovatif. ARRRRR RRRRR
APO04.05 Merekomendasikan inisiatif lebih lanjut yang sesuai. ARRRRR RRRRR
APO04.06 Memantau implementasi dan penggunaan inovasi. ARRRRR RRRRR

83
Halaman 84
APO04.01 Menciptakan lingkungan yang kondusif untuk Dari Deskripsi Deskripsi Untuk
inovasi.
EDM03.01 Panduan selera risiko Pengakuan dan penghargaan APO07.04
program
Rencana inovasi Intern
APO04.02 Menjaga pemahaman tentang perusahaan

lingkungan Hidup. Di luar strategi COBIT Enterprise dan Peluang inovasi 02.01
kekuatan Kelemahan, terkait dengan pendorong bisnis
peluang, ancaman
(SWOT)
APO04.03 Memantau dan memindai lingkungan teknologi. Di luar COBIT Teknologi yang sedang berkembang Analisis penelitian
BAI03.01
kemungkinan inovasi
APO04.04 Menilai potensi teknologi yang muncul
Ruang lingkup bukti konsep APO05.02;
dan ide-ide inovatif.
dan garis besar bisnis APO06.02
kasus
Evaluasi inovasi BAI03.01

ide ide
Sejajarkan, Rencanakan, dan Atur Hasil tes dari bukti- Intern

inisiatif konsep
APO04.05 Merekomendasikan inisiatif lebih lanjut yang sesuai. Analisis ditolak
APO02.03;
inisiatif
BAI03.08
Hasil dan
APO02.03;
rekomendasi dari
BAI03.09
bukti dari konsep
inisiatif
APO04.06 Memantau implementasi dan penggunaan
Penilaian penggunaan APO02.04;
inovasi.
pendekatan inovatif BAI03.02
Evaluasi inovasi APO05.03

manfaat
Inovasi yang disesuaikan Intern
rencana
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016 A. Rencana — A.3. Rencana bisnis
Pengembangan
Pemantauan teknologi yang muncul Kerangka Keterampilan untuk Era Informasi V6, 2015 EMRG
Berinovasi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
A. Rencana — A.9. Berinovasi
Inovasi Kerangka Keterampilan untuk Era Informasi V6, 2015 INOV
Penelitian Kerangka Keterampilan untuk Era Informasi V6, 2015 RSCH
Pemantauan tren teknologi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
A. Rencana — A.7. Tren Teknologi
Pemantauan
84
Halaman
85
BAB 4
Prinsip inovasi Mendefinisikan prinsip-prinsip umum yang memastikan

itulah ide-ide baru / inovatif
sepenuhnya dinilai saat mendefinisikan baru
tujuan dan keputusan strategis.
Ciptakan lingkungan yang kondusif untuk inovasi dengan memelihara

inisiatif SDM yang relevan, seperti pengakuan dan penghargaan inovasi
program, rotasi pekerjaan yang sesuai, dan waktu luang untuk
percobaan. Pastikan kolaborasi dan koordinasi yang erat Sejajarkan, Rencanakan, dan Atur
inisiatif di seluruh organisasi.
• Platform kolaborasi
• Tolok ukur industri
• Layanan dan peralatan jam tangan teknologi
85
Halaman 86

86
Halaman
87
BAB 4

Tujuan Manajemen: APO05 - Portofolio Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Jalankan arahan strategis yang ditetapkan untuk investasi sejalan dengan visi arsitektur perusahaan dan peta jalan I&T. Pertimbangkan kategori yang berbeda
investasi dan sumber daya dan kendala pendanaan. Mengevaluasi, memprioritaskan, dan menyeimbangkan program dan layanan, mengelola permintaan di dalamnya
kendala sumber daya dan pendanaan, berdasarkan keselarasannya dengan tujuan strategis, nilai dan risiko perusahaan. Pindahkan program yang dipilih ke
produk aktif atau portofolio layanan untuk dieksekusi. Pantau kinerja keseluruhan portofolio produk dan layanan dan program,
mengusulkan penyesuaian yang diperlukan dalam menanggapi kinerja program, produk atau layanan atau mengubah prioritas perusahaan.
Tujuan
Mengoptimalkan kinerja keseluruhan portofolio program dalam menanggapi kinerja program individu, produk dan layanan dan perubahan
prioritas dan permintaan perusahaan.
Tujuan Perusahaan
portofolio
• AG05 Penyampaian layanan I&T sejalan dengan kebutuhan bisnis

b. Persentase produk dan layanan yang memenuhi atau melebihi manfaat dalam kasus bisnis terpenuhi atau terlampaui
c. Persentase produk dan layanan yang menyediakan dinyatakan dalam perjanjian tingkat layanan) direalisasikan
dengan kemampuan proses bisnis AG05 a. Persen pemangku kepentingan bisnis puas dengan layanan I&T
b. Tingkat kepuasan pelanggan dengan penyampaian layanan pengiriman memenuhi tingkat layanan yang disepakati
kemampuan b. Jumlah gangguan bisnis karena insiden layanan I&T
c. Tingkat kepuasan pemasok dengan rantai pasokan c. Persentase pengguna yang puas dengan kualitas layanan I&T
kemampuan pengiriman

A. Komponen: Proses
APO05.01 Tentukan ketersediaan dan sumber dana.

Sebuah. Rasio antara dana yang dialokasikan dan dana yang digunakan
Tentukan sumber dana potensial, opsi pendanaan yang berbeda
dan implikasi sumber pendanaan terhadap hasil investasi b. Rasio antara laba ditahan dan dana yang dialokasikan
harapan.
1. Pahami ketersediaan dan komitmen dana saat ini, pembelanjaan yang disetujui saat ini, dan pembelanjaan aktual hingga saat ini. 2
2. Mengidentifikasi opsi untuk pendanaan tambahan dari investasi yang mendukung I & T, dengan mempertimbangkan sumber internal dan eksternal.
3. Menentukan implikasi sumber pendanaan terhadap ekspektasi hasil investasi.
87
Halaman 88
APO05.02 Mengevaluasi dan memilih program yang akan didanai.

Sebuah. Persentase proyek dalam portofolio proyek I&T yang bisa langsung
Berdasarkan persyaratan untuk bauran portofolio investasi secara keseluruhan dan
ditelusuri kembali ke strategi I&T
rencana strategis I&T dan peta jalan, mengevaluasi dan memprioritaskan program
b. Persentase unit bisnis yang terlibat dalam evaluasi dan pembuatan prioritas
kasus bisnis dan memutuskan proposal investasi. Alokasikan dana dan
memulai program. proses
1. Mengidentifikasi dan mengklasifikasikan peluang investasi sesuai dengan kategori portofolio investasi. Tentukan perusahaan yang diharapkan 2
hasil, inisiatif yang diperlukan untuk mencapai hasil yang diharapkan, biaya tingkat tinggi, ketergantungan dan risiko. Tentukan metodologi
untuk mengukur hasil, biaya dan risiko.
2. Lakukan penilaian rinci atas semua kasus bisnis program. Mengevaluasi keselarasan strategis, keuntungan perusahaan, risiko dan 3
ketersediaan sumber daya.
3. Menilai dampak penambahan program potensial pada portofolio investasi secara keseluruhan, termasuk perubahan yang mungkin diperlukan pada lainnya
program.
4. Tentukan program kandidat mana yang harus dipindahkan ke portofolio investasi aktif. Putuskan apakah program harus ditolak
diadakan untuk pertimbangan di masa mendatang atau disediakan pendanaan awal untuk menentukan apakah kasus bisnis dapat ditingkatkan atau dibuang.
5. Tentukan tonggak yang diperlukan untuk setiap siklus hidup ekonomi penuh program yang dipilih. Alokasikan dan cadangkan total dana program
per tonggak. Pindahkan program ke dalam portofolio investasi aktif.
Sejajark6.aMn,enReteanpckaannparkoasend,udr uanntuAk tmuerngkomunikasikan aspek portofolio yang terkait dengan biaya, manfaat dan risiko untuk
dipertimbangkan dalam anggaran prioritas, manajemen biaya dan proses manajemen manfaat.
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 1.2.3 Hubungan proyek, program, portofolio dan operasi
pengelolaan
APO05.03 Memantau, mengoptimalkan dan melaporkan portofolio investasi

kinerja. Sebuah. Tren ROI inisiatif termasuk dalam strategi I&T
Secara teratur, pantau dan optimalkan kinerja b. Tingkat kepuasan dengan laporan pemantauan portofolio
portofolio investasi dan program individu di seluruh c. Persentase program yang selaras dengan kebutuhan bisnis perusahaan
siklus hidup investasi. Pastikan tindak lanjut terus menerus pada keselarasan
portofolio dengan strategi I&T.
1. Meninjau portofolio secara teratur untuk mengidentifikasi dan memanfaatkan sinergi, menghilangkan duplikasi antar program, dan mengidentifikasi serta mengura3ngi risiko.
2. Saat terjadi perubahan, evaluasi ulang dan prioritaskan ulang portofolio untuk memastikan keselarasan dengan bisnis dan strategi I&T. Pertahankan target
campuran investasi sehingga portofolio mengoptimalkan nilai keseluruhan. Program dapat diubah, ditangguhkan atau dihentikan, dan baru
program dapat dimulai, untuk menyeimbangkan kembali dan mengoptimalkan portofolio.
3. Sesuaikan target perusahaan, prakiraan, anggaran dan, jika diperlukan, tingkat pemantauan untuk mencerminkan pengeluaran dan usaha
manfaat yang dapat diatribusikan pada program dalam portofolio investasi aktif. Mengisi kembali pengeluaran program. Tetapkan
fleksibel proses penganggaran sehingga proyek yang menjanjikan mendapatkan sumber daya untuk diskalakan dengan cepat.
4. Kembangkan metrik untuk mengukur kontribusi I&T bagi perusahaan. Tetapkan target kinerja yang sesuai dengan kebutuhan 4
I&T dan target kapabilitas perusahaan. Gunakan panduan dari pakar eksternal dan data tolok ukur untuk mengembangkan metrik.
5. Memberikan gambaran yang akurat tentang kinerja portofolio investasi kepada semua pemangku kepentingan.
6. Memberikan laporan untuk tinjauan manajemen senior atas kemajuan perusahaan menuju tujuan yang diidentifikasi, menyatakan apa yang masih perlu
dihabiskan dan dicapai selama kerangka waktu tertentu.
7. Dalam pemantauan kinerja rutin, termasuk informasi sejauh mana tujuan yang direncanakan telah tercapai, risiko
dimitigasi, kapabilitas dibuat, kiriman diperoleh dan target kinerja terpenuhi.
8. Identifikasi penyimpangan anggaran vs. pengeluaran aktual dan ROI yang diharapkan untuk investasi.
88
Halaman
89
BAB 4
APO05.04 Pertahankan portofolio.

Sebuah. Jumlah program dan proyek yang diselesaikan
Menjaga portofolio program dan proyek investasi, produk I&T
b. Waktu sejak pembaruan terakhir dari portofolio layanan
dan layanan, serta aset I&T.
1. Membuat dan memelihara portofolio program investasi yang mendukung I & T, layanan I&T dan aset I&T, yang menjadi dasar untuk 3
anggaran I&T saat ini dan mendukung rencana taktis dan strategis I&T.
2. Bekerja dengan manajer penyampaian layanan untuk memelihara portofolio layanan. Bekerja dengan manajer operasi, manajer produk, dan
arsitek untuk mempertahankan portofolio aset. Prioritaskan portofolio untuk mendukung keputusan investasi.
3. Hapus program dari portofolio investasi aktif ketika keuntungan perusahaan yang diinginkan telah tercapai atau ketika itu tercapai
jelas bahwa manfaat tidak akan tercapai dalam kriteria nilai yang ditetapkan untuk program tersebut. Sejajarkan, Rencanakan, dan Atur
ITIL V3, 2011 Strategi Layanan, 4.2 Manajemen portofolio layanan
APO05.05 Kelola pencapaian manfaat.

Sebuah. Persen perubahan dari program investasi tercermin dalam
Pantau manfaat dari menyediakan dan memelihara I&T yang sesuai
portofolio I&T yang relevan
produk, layanan dan kapabilitas, berdasarkan kesepakatan dan arus
b. Persentase pemangku kepentingan yang puas dengan upaya memantau manfaat
kasus bisnis.
menyediakan dan memelihara layanan dan kemampuan I&T yang sesuai,
berdasarkan kasus bisnis yang disepakati dan saat ini
1. Gunakan metrik yang disepakati dan lacak bagaimana manfaat dicapai, bagaimana manfaat tersebut berkembang sepanjang siklus hidup program dan 4
proyek, bagaimana mereka disampaikan dari produk dan layanan I&T, dan bagaimana mereka dibandingkan dengan internal dan industri
tolak ukur. Komunikasikan hasil kepada pemangku kepentingan.
2. Menerapkan tindakan korektif bila manfaat yang dicapai secara signifikan menyimpang dari manfaat yang diharapkan. Perbarui kasus bisnis untuk 5
inisiatif baru dan menerapkan proses bisnis dan peningkatan layanan sesuai kebutuhan.
3. Pertimbangkan untuk mendapatkan panduan dari pakar eksternal, pemimpin industri, dan data pembandingan komparatif untuk menguji dan meningkatkan
metrik dan target.
89
Halaman 90
ffice.dll
fficer wner
s
fficer
Petugas echnology
Dewan Tata Kelola
Praktik Manajemen Kunci Manajer ortfolio
KepKaleapKBalaeagpKIiaanlenafpoSKTarAmleaYuaPDaAsrni
goTgOisPatea.nsl BOMisanniMsajOaenraPjermogernamProyek
O
APO05.01 Tentukan ketersediaan dan sumber dana. RR SEBUARH
APO05.02 Mengevaluasi dan memilih program yang akan didanai. RRRRA RR
APO05.03 Memantau, mengoptimalkan dan melaporkan kinerja portofolio investasi. RRRA RR
APO05.04 Pertahankan portofolio. RRRA RRR
APO05.05 Kelola pencapaian manfaat. RRRRARRR

SejajarkTiadnak, Radeanpcaannduaaknatner,kdaiat nunAtutkukromponen ini
APO05.01 Tentukan ketersediaan dan sumber Dari Deskripsi Deskripsi Untuk

dana.
Pengembalian investasi APO02.04;
harapan APO06.02;
BAI01.06;
EDM02.02
Opsi pendanaan APO02.05
90
Halaman
91
BAB 4
APO05.02 Mengevaluasi dan memilih program yang akan didanai. Dari Deskripsi Deskripsi Untuk
APO03.01 Konsep arsitektur

kasus bisnis dan nilai Kasus bisnis program APO06.02;
BAI01.02
dalil
APO04.04 Ruang lingkup
Kasus bisnis APO06.02;
bukti konsep dan garis besar
penilaian BAI01.06
kasus bisnis
Program terpilih dengan BAI01.04;
APO06.02 • Alokasi anggaran
Tonggak ROI EDM02.02
• Prioritas dan
peringkat inisiatif I&T
APO06.03 • Anggaran TI
• Komunikasi anggaran
APO09.01 Kesenjangan yang teridentifikasi dalam TI

layanan untuk bisnis
APO09.03 Tingkatan Jasa
Persetujuan (SLA)
kasus bisnis
BAI01.02 • Manfaat program
rencana realisasi
• Konsep program
kasus bisnis
• Amanat program dan
singkat
EDM02.02 • Evaluasi strategi
penjajaran
• Evaluasi
investasi dan
portofolio layanan
EDM02.03 Jenis investasi dan

kriteria
APO05.03 Memantau, mengoptimalkan, dan melaporkan investasi APO04.06 Evaluasi inovasi

Portofolio investasi APO09.04;
kinerja portofolio. manfaat laporan kinerja BAI01.06;
EDM02.03;

EDM02.02 Evaluasi investasi EDM02.04;
dan portofolio layanan MEA01.03
EDM02.04 • Umpan balik tentang

portofolio dan program
kinerja
• Tindakan untuk meningkatkan
pengiriman nilai
APO05.04 Pertahankan portofolio. BAI01.09 Komunikasi Portofolio yang diperbarui dari APO09.02;
pensiun program dan program, layanan dan BAI01.01
akuntabilitas berkelanjutan aktiva
BAI03.11 Portofolio layanan diperbarui
APO05.05 Kelola pencapaian manfaat. BAI01.04 Anggaran program dan Tindakan korektif untuk APO09.04;
daftar manfaat meningkatkan manfaat BAI01.06
realisasi
BAI01.05 Hasil manfaat Hasil manfaat dan APO09.04;
pemantauan realisasi terkait BAI01.06;
komunikasi EDM02.02
91
Halaman 92
Manajemen portofolio Kerangka Keterampilan untuk Era Informasi V6, 2015 POMG
Perencanaan produk / layanan e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
A. Rencana — A.4. Produk / Layanan
Perencanaan
Prinsip portofolio Mendefinisikan prinsip-prinsip umum itu

memastikan benar dan beragam
pemilihan program dan proyek
untuk mencapai strategi I&T; mempertimbangkan
keselarasan dengan strategi bisnis,
bauran investasi yang tepat, dll.

Mempromosikan pengelolaan investasi I&T yang sistematis; mengukur dan
Sejajarkmaenng, eRvaelnuacsai nskaenaarnio, dinavnestAastiusrecara obyektif.
Untuk mendukung kecepatan dan kelincahan, pastikan pemimpin mengevaluasi yang aktif
portofolio investasi secara meyakinkan. Jika prototipe tidak berfungsi, kepemimpinan
harus mengakhiri proyek dengan tegas, memasukkan pelajaran yang didapat dan bergerak
di. Cepat curahkan sumber daya tambahan untuk proyek yang berhasil
skala yang tepat.
Portofolio / alat manajemen investasi

92
Halaman
93
BAB 4

Tujuan Manajemen: APO06 - Anggaran dan Biaya yang Dikelola Area Fokus: Model Inti COBIT
Deskripsi
Mengelola aktivitas keuangan terkait I & T baik dalam fungsi bisnis maupun TI, yang mencakup manajemen anggaran, biaya dan manfaat, serta prioritas
pengeluaran melalui penggunaan praktik penganggaran formal dan sistem yang adil dan merata dalam mengalokasikan biaya kepada perusahaan. Konsultasikan dengan pemangku kepentingan
untuk mengidentifikasi dan mengendalikan total biaya dan manfaat dalam konteks rencana strategis dan taktis I&T. Mulailah tindakan korektif jika diperlukan.
Tujuan
Membina kemitraan antara TI dan pemangku kepentingan perusahaan untuk memungkinkan penggunaan dan penyediaan sumber daya terkait I & T yang efektif dan efisien
transparansi dan akuntabilitas biaya dan nilai bisnis dari solusi dan layanan. Memungkinkan perusahaan untuk membuat keputusan yang tepat
mengenai penggunaan solusi dan layanan I&T.
Tujuan Perusahaan
• EG01 Portofolio produk dan layanan yang kompetitif ➡ Tujuan Penyelarasan
• AG04 Kualitas informasi keuangan terkait teknologi
• AG09 Menyampaikan program tepat waktu, sesuai anggaran dan rapat
• EG09 Optimalisasi biaya proses bisnis

AG04 a. Kepuasan pemangku kepentingan terkait tingkat
b. Persentase produk dan layanan yang memenuhi atau melebihi transparansi, pemahaman dan akurasi keuangan I&T
informasi
c. Persentase produk dan layanan yang menyediakan b. Persentase layanan I&T dengan definisi dan persetujuan
biaya operasional dan manfaat yang diharapkan
transparansi, pemahaman dan akurasi perusahaan AG09 a. Jumlah program / proyek tepat waktu dan sesuai anggaran
informasi keuangan b. Jumlah program yang membutuhkan pengerjaan ulang yang signifikan karena
b. Biaya ketidakpatuhan terhadap peraturan terkait keuangan cacat kualitas
c. Persentase pemangku kepentingan yang puas dengan kualitas program / proyek
dengan informasi pengambilan keputusan
b. Jumlah insiden yang disebabkan oleh bisnis yang salah
c. Saatnya memberikan informasi pendukung yang efektif
keputusan bisnis

kemampuan
kemampuan
EG09 a. Rasio biaya vs. tingkat layanan yang dicapai
b. Tingkat kepuasan dewan direksi dan manajemen eksekutif
dengan biaya pemrosesan bisnis

93
Halaman 94
A. Komponen: Proses
APO06.01 Mengelola keuangan dan akuntansi.

Sebuah. Jumlah penyimpangan antara anggaran yang diharapkan dan yang sebenarnya
Tetapkan dan pelihara metode untuk mengelola dan mempertanggungjawabkan semua
kategori
Biaya, investasi dan depresiasi terkait I & T sebagai bagian integral dari
b. Kegunaan informasi keuangan sebagai masukan untuk kasus bisnis baru
sistem dan akun keuangan perusahaan. Laporkan menggunakan perusahaan
investasi dalam aset dan layanan I&T
sistem pengukuran keuangan.
1. Tentukan proses, masukan, keluaran, dan tanggung jawab untuk manajemen keuangan dan akuntansi I&T yang selaras dengan 2
kebijakan dan pendekatan penganggaran dan akuntansi biaya perusahaan. Tentukan cara menganalisis dan melaporkan (kepada siapa dan bagaimana)
proses pengendalian anggaran I&T.
2. Tetapkan skema klasifikasi untuk mengidentifikasi semua elemen biaya terkait I & T (belanja modal [capex] vs. biaya
operasional [opex], perangkat keras, perangkat lunak, orang, dll.). Identifikasi bagaimana mereka ditangkap.
3. Menggunakan informasi keuangan untuk memberikan masukan pada kasus bisnis untuk investasi baru dalam aset dan layanan I&T. 3
4. Pastikan bahwa biaya dipertahankan dalam aset I&T dan portofolio layanan.
5. Menetapkan dan memelihara praktik perencanaan keuangan dan optimalisasi biaya operasional berulang untuk mencapai hasil yang maksimal 4
nilai bagi perusahaan untuk pengeluaran paling sedikit.

ITIL V3, 2011 Strategi Layanan, 4.3 Manajemen keuangan untuk layanan TI
APO06.02 Memprioritaskan alokasi sumber daya.

Sebuah. Jumlah masalah alokasi sumber daya meningkat
Menerapkan proses pengambilan keputusan untuk memprioritaskan alokasi
b. Persentase penyelarasan sumber daya I&T dengan inisiatif prioritas tinggi
sumber daya dan menetapkan aturan untuk investasi diskresioner oleh individu
unit bisnis. Sertakan potensi penggunaan penyedia layanan eksternal
dan pertimbangkan opsi beli, kembangkan, dan sewa.
1. Beri peringkat semua inisiatif I&T dan permintaan anggaran berdasarkan kasus bisnis dan prioritas strategis dan taktis. Tetapkan prosedur 2
untuk menentukan alokasi anggaran dan cutoff.
2. Mengalokasikan bisnis dan sumber daya TI (termasuk penyedia layanan eksternal) dalam alokasi anggaran tingkat tinggi untuk I & T-
program, layanan, dan aset yang diaktifkan. Pertimbangkan opsi untuk membeli atau mengembangkan aset dan layanan yang dikapitalisasi vs.
aset dan layanan yang digunakan secara eksternal atas dasar pembayaran untuk digunakan.
3. Menetapkan prosedur untuk mengkomunikasikan keputusan anggaran dan meninjaunya dengan pemegang anggaran unit bisnis.
4. Mengidentifikasi, mengkomunikasikan dan menyelesaikan dampak signifikan dari keputusan anggaran pada kasus bisnis, portofolio dan rencana strategi.
Misalnya, ini mungkin termasuk ketika anggaran memerlukan revisi karena keadaan perusahaan yang berubah atau ketika tidak
cukup untuk mendukung tujuan strategis atau tujuan kasus bisnis).
5. Dapatkan ratifikasi dari komite eksekutif untuk implikasi anggaran I&T yang berdampak negatif pada strategi atau entitas 3
rencana taktis. Sarankan tindakan untuk mengatasi dampak ini.
APO06.03 Membuat dan memelihara anggaran.

Sebuah. Jumlah perubahan anggaran karena kelalaian dan kesalahan
Siapkan anggaran yang mencerminkan prioritas investasi berdasarkan portofolio
b. Kegunaan anggaran I&T dalam mengidentifikasi semua biaya I&T yang diharapkan
program berkemampuan I & T dan layanan I&T.
Program, layanan, dan aset yang mendukung I & T
94
Halaman
95
BAB 4
1. Menerapkan anggaran I&T formal, termasuk semua biaya I&T yang diharapkan dari program, layanan, dan aset yang mendukung I & T. 2
2. Saat membuat anggaran, pertimbangkan komponen berikut: keselarasan dengan bisnis; keselarasan dengan sumber
strategi; sumber pendanaan resmi; biaya sumber daya internal, termasuk personel, aset informasi dan akomodasi;
biaya pihak ketiga, termasuk kontrak outsourcing, konsultan dan penyedia layanan; biaya modal dan operasional; dan
elemen biaya yang bergantung pada beban kerja.
3. Dokumentasikan alasan untuk membenarkan kemungkinan dan meninjaunya secara teratur.
4. Instruksikan pemilik proses, layanan dan program, serta manajer proyek dan aset, untuk merencanakan anggaran.
5. Tinjau rencana anggaran dan buat keputusan tentang alokasi anggaran. Kumpulkan dan sesuaikan anggaran berdasarkan perubahan 3
kebutuhan perusahaan dan pertimbangan keuangan.
6. Catat, pertahankan, dan komunikasikan anggaran I&T saat ini, termasuk pengeluaran yang dilakukan dan pengeluaran saat ini, Sejajarkan, Rencanakan, dan Atur
mempertimbangkan proyek I&T yang dicatat dalam portofolio investasi yang mendukung I & T serta pengoperasian dan pemeliharaan aset dan layanan
portofolio.
7. Pantau efektivitas berbagai aspek penganggaran. 4
8. Menggunakan hasil pemantauan untuk melaksanakan perbaikan dan memastikan bahwa anggaran masa depan lebih akurat, andal, dan 5
hemat biaya.
ISO / IEC 20000-1: 2011 (E) 6.4 Penganggaran dan akuntansi untuk layanan
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 7. Manajemen biaya proyek
APO06.04 Membuat model dan mengalokasikan biaya.

Sebuah. Persen dari keseluruhan biaya I&T yang dialokasikan sesuai kesepakatan
Menetapkan dan menggunakan model penetapan biaya I&T, misalnya, pada
model biaya
definisi layanan. Pendekatan ini memastikan alokasi biaya untuk
b. Jumlah tinjauan dan tolok ukur model biaya / tagihan balik
layanan dapat diidentifikasi, diukur dan diprediksi, dan mendorong
dan kesesuaiannya dengan bisnis yang berkembang dan aktivitas I&T
penggunaan sumber daya yang bertanggung jawab, termasuk yang disediakan oleh layanan
penyedia. Tinjau dan ukur model biaya / tagihan balik secara teratur
untuk mempertahankan relevansi dan kesesuaiannya untuk bisnis yang berkembang dan
Kegiatan IT.
1. Tentukan model alokasi biaya yang memungkinkan alokasi biaya terkait I & T yang adil, transparan, dapat diulang, dan sebanding untuk 3
pengguna. Contoh model alokasi dasar adalah penyebaran merata dari biaya bersama I & T terkait. Ini adalah model alokasi yang sangat sederhana
itu mudah diterapkan; namun, tergantung pada konteks perusahaan, hal ini sering dianggap tidak adil dan tidak mendorong
penggunaan sumber daya yang bertanggung jawab. Skema penetapan biaya berbasis aktivitas, di mana biaya dialokasikan ke layanan TI dan dibebankan
pengguna layanan ini, memungkinkan alokasi biaya yang lebih transparan dan sebanding.
2. Periksa katalog definisi layanan untuk mengidentifikasi layanan yang tunduk pada tolak bayar pengguna dan layanan yang digunakan bersama.
3. Rancang model biaya agar cukup transparan untuk memungkinkan pengguna mengidentifikasi penggunaan dan biaya aktual mereka dengan menggunakan kategori
dan driver biaya yang masuk akal bagi pengguna (misalnya, biaya per panggilan help desk, biaya per lisensi perangkat lunak) dan untuk pengaktifan yang lebih baik
prediktabilitas biaya I&T dan pemanfaatan sumber daya I&T yang efisien dan efektif. Menganalisis pendorong biaya (waktu yang dihabiskan per aktivitas,
pengeluaran, porsi biaya tetap vs. biaya variabel, dll.). Tentukan diferensiasi yang sesuai (mis., Kategori pengguna yang berbeda dengan
bobot yang berbeda) dan gunakan perkiraan atau rata-rata biaya ketika biaya sebenarnya sangat bervariasi.
4. Jelaskan prinsip dan hasil model biaya kepada pemangku kepentingan utama. Dapatkan umpan balik mereka untuk penyempurnaan lebih lanjut menuju a
model transparan dan komprehensif.
5. Dapatkan persetujuan dari pemangku kepentingan utama dan komunikasikan model penetapan biaya I&T kepada manajemen departemen pengguna.
6. Komunikasikan perubahan penting dalam prinsip model biaya / tagihan balik kepada pemangku kepentingan utama dan manajemen pengguna
departemen.
95
Halaman 96
APO06.05 Mengelola biaya.

Sebuah. Persentase perbedaan antara anggaran, prakiraan dan biaya aktual
Menerapkan proses manajemen biaya yang membandingkan biaya sebenarnya
b. Ketepatan waktu pemantauan dan pelaporan jika terjadi penyimpangan
bertentangan dengan anggaran. Biaya harus dipantau dan dilaporkan. Penyimpangan
dan dampak penyimpangan pada proses perusahaan dan
dari anggaran harus diidentifikasi secara tepat waktu dan dampaknya terhadap
layanan dinilai
proses dan layanan perusahaan dinilai.
1. Dapatkan persetujuan dari pemangku kepentingan utama dan komunikasikan model penetapan biaya I&T kepada manajemen departemen pengguna. 2
2. Tetapkan skala waktu untuk pengoperasian proses manajemen biaya sejalan dengan persyaratan penganggaran dan
akuntansi dan garis waktu.
3. Tentukan metode pengumpulan data yang relevan untuk mengidentifikasi penyimpangan dalam anggaran vs. aktual, ROI investasi, biaya layanan
tren, dll.
4. Tentukan bagaimana biaya dikonsolidasikan untuk tingkat yang sesuai di perusahaan (TI pusat vs. anggaran TI dalam bisnis 3
departemen) dan bagaimana mereka akan disajikan kepada para pemangku kepentingan. Laporan tersebut memberikan informasi tentang biaya per kategori biaya,
anggaran vs. status aktual, pengeluaran teratas, dll., untuk memungkinkan identifikasi tepat waktu dari tindakan korektif yang diperlukan.
5. Instruksikan mereka yang bertanggung jawab atas manajemen biaya untuk menangkap, mengumpulkan dan mengkonsolidasikan data, dan menyajikan serta melaporkan data
kepada pemilik anggaran yang sesuai. Analis anggaran dan pemilik bersama-sama menganalisis penyimpangan dan membandingkan kinerja dengan internal
dan tolok ukur industri. Mereka harus menetapkan dan memelihara metode alokasi biaya overhead. Hasil analisis
memberikan penjelasan tentang penyimpangan yang signifikan dan tindakan korektif yang disarankan.
6. Pastikan bahwa tingkat manajemen yang sesuai meninjau hasil analisis dan menyetujui tindakan korektif yang disarankan.
7. Pastikan bahwa perubahan dalam struktur biaya dan kebutuhan usaha diidentifikasi dan anggaran serta prakiraan direvisi sesuai kebutuhan. 4
8. Secara berkala, dan terutama ketika anggaran dipotong karena kendala keuangan, identifikasi cara untuk mengoptimalkan biaya dan 5
memperkenalkan efisiensi tanpa membahayakan layanan.
fficefrficer
fficer
Administrasi
echnology O

KepKaleapKBalaeagpKIiaanlenafpoPKTar.mleauaKDa
snieggpOiatalal Obagian TI
APO06.01 Mengelola keuangan dan akuntansi. SEBUAH RR
APO06.02 Memprioritaskan alokasi sumber daya. RARRRR
APO06.03 Membuat dan memelihara anggaran. RARR R
APO06.04 Membuat model dan mengalokasikan biaya. RA R
APO06.05 Mengelola biaya. RARR R
96
Halaman
97
BAB 4
C.Komponen: Alur dan Item Manajemen (lihat juga Bagian 3.6)

APO06.01 Mengelola keuangan dan akuntansi. Dari Deskripsi Deskripsi Untuk
BAI09.01 Daftar aset Perencanaan keuangan

praktek Intern
Klasifikasi biaya I&T

skema Intern
Proses akuntansi Intern
APO06.02 Memprioritaskan alokasi sumber daya. APO04.04 Ruang lingkup bukti konsep Alokasi anggaran
dan garis besar bisnis
kasus APO02,05
; Sejajarkan, Rencanakan, dan Atur
APO05.02
;
APO07,05
; BAI03.11
APO05.01 Pengembalian investasi
Prioritas dan peringkat APO05.02
harapan
inisiatif I&T
APO05.02 • Kasus bisnis program
• Kasus bisnis
penilaian
EDM02.02 Evaluasi investasi
dan portofolio layanan
EDM02.04 Tindakan untuk meningkatkan nilai

pengiriman
APO06.03 Membuat dan memelihara anggaran. Anggaran I&T APO02,05;
APO05.02;
APO07.01;
BAI03.11
Komunikasi anggaran APO05.02;
APO07.01;
BAI03.11
APO06.04 Membuat model dan mengalokasikan biaya. Prosedur operasional Intern
Alokasi biaya
Intern
komunikasi
Model alokasi biaya Intern
Biaya I&T yang dikategorikan Intern
APO06.05 Mengelola biaya. BAI01.02 Manfaat program Optimalisasi biaya APO02.02
rencana realisasi peluang
BAI01.04 Anggaran program dan Konsolidasi biaya Intern
daftar manfaat metode
BAI01.05 Hasil manfaat Pengumpulan data biaya Intern
pemantauan realisasi metode
EDM02.04 Masukan tentang
kinerja
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 7. Manajemen biaya proyek: Input dan Output
Manajemen keuangan Kerangka Keterampilan untuk Era Informasi V6, 2015 FMIT
97
Halaman 98
Kebijakan penganggaran Mengatasi persiapan dan

timeline untuk anggaran tahunan dan
peramalan keuangan tahunan
posisi. Garis besar diperlukan
proses pelaporan manajemen.
Menetapkan akuntabilitas dan
tanggung jawab atas rencana anggaran dan
dokumen keuangan lainnya.
Pengelolaan I&T yang efektif dan efisien didukung oleh budaya

transparansi anggaran, biaya dan manfaat di seluruh organisasi.
Manajemen harus memungkinkan budaya pengambilan keputusan berdasarkan fakta
melalui, misalnya, perkiraan biaya bisnis dan TI yang sebanding
dan manfaat untuk masukan bagi manajemen portofolio, alokasi biaya TI yang adil
aset dan sumber daya, dan penganggaran anggaran TI yang berulang.
G . K o m p on e n : L a y a na n , In fr a s truktur dan Aplikasi

Sejajark a n , R e n c a n a k a n , d a n A t u r
Sistem akuntansi biaya
98
Halaman
99
BAB 4

Tujuan Manajemen: APO07 - Sumber Daya Manusia yang Dikelola Area Fokus: Model Inti COBIT
Deskripsi
Memberikan pendekatan terstruktur untuk memastikan rekrutmen / akuisisi yang optimal, perencanaan, evaluasi dan pengembangan sumber daya manusia (baik internal
dan eksternal).
Tujuan
Mengoptimalkan kemampuan sumber daya manusia untuk memenuhi tujuan perusahaan.
Tujuan Perusahaan
• AG12 Staf yang kompeten dan termotivasi dengan saling pengertian
• EG10 Keterampilan, motivasi dan produktivitas staf
teknologi dan bisnis

target pendapatan dan / atau pangsa pasar AG12 a. Persentase pebisnis yang paham I & T (yaitu, mereka yang memiliki
pengetahuan dan pemahaman yang diperlukan tentang I&T untuk memandu,
target kepuasan pelanggan mengarahkan, berinovasi, dan melihat peluang I&T di domain mereka
keahlian bisnis)
keunggulan kompetitif b. Persentase orang I&T yang paham bisnis (yaitu, mereka yang memiliki ekstensi
d. Saatnya memasarkan produk dan layanan baru pengetahuan dan pemahaman yang dibutuhkan tentang bisnis yang relevan
domain untuk memandu, mengarahkan, berinovasi, dan melihat peluang I&T
untuk domain bisnis)
c. Jumlah atau persentase pebisnis yang memiliki teknologi
pengalaman manajemen
EG10 a. Produktivitas staf dibandingkan dengan tolok ukur
b. Tingkat kepuasan pemangku kepentingan dengan keahlian staf dan
keterampilan
c. Persentase staf yang keterampilannya tidak mencukupi
Ide I&T
kompetensi dalam peran mereka
d. Persentase staf yang puas

peluang inovasi
A. Komponen: Proses
APO07.01 Memperoleh dan memelihara staf yang memadai dan sesuai. Sebuah. Durasi rata-rata lowongan
Menetapkan dan memelihara metode untuk mengelola dan memperhitungkan semua I & bT.-Persen posting TI kosong
biaya terkait, investasi dan penyusutan sebagai bagian yang tidak terpisahkan dari c. Persen dari pergantian staf
sistem dan akun keuangan perusahaan. Laporkan menggunakan perusahaan
sistem pengukuran keuangan.
1. Evaluasi kebutuhan staf secara teratur atau pada perubahan besar. Pastikan bahwa perusahaan dan IT berfungsi 2
memiliki sumber daya yang cukup untuk mendukung tujuan dan sasaran perusahaan, proses dan kontrol bisnis, dan yang mendukung I & T
inisiatif secara memadai dan tepat.
2. Menjaga proses rekrutmen dan retensi personel bisnis dan TI sejalan dengan kebijakan personalia perusahaan secara keseluruhan
dan prosedur.
3. Tetapkan pengaturan sumber daya yang fleksibel, seperti penggunaan transfer, kontraktor eksternal, dan layanan pihak ketiga
pengaturan, untuk mendukung kebutuhan bisnis yang berubah.
4. Sertakan pemeriksaan latar belakang dalam proses rekrutmen TI untuk karyawan, kontraktor, dan vendor. Luas dan frekuensi 3
pemeriksaan ini harus bergantung pada sensitivitas dan / atau kekritisan fungsi.
99
Halaman 100

Kerangka Keterampilan untuk Era Informasi V6, 2015 SFIA dan manajemen keterampilan — Dapatkan
APO07.02 Identifikasi personel TI utama.

Identifikasi personel TI utama. Gunakan tangkap pengetahuan (dokumentasi), Sebuah. Persentase pekerjaan penting di mana perusahaan bergantung pada satu individu
berbagi pengetahuan, perencanaan suksesi dan cadangan staf untuk meminimalkan b. Jumlah rencana cadangan staf yang dilakukan
ketergantungan pada satu individu yang menjalankan fungsi pekerjaan penting.
1. Sebagai tindakan pencegahan keamanan, berikan pedoman tentang waktu minimum liburan tahunan yang akan diambil oleh individu kunci. 2
2. Mengambil tindakan yang tepat terkait perubahan pekerjaan, terutama pemutusan hubungan kerja.
3. Gunakan pengumpulan pengetahuan (dokumentasi), berbagi pengetahuan, perencanaan suksesi, cadangan staf, pelatihan silang dan rotasi pekerjaan
inisiatif untuk meminimalkan ketergantungan pada satu individu yang menjalankan fungsi pekerjaan kritis.
4. Menguji rencana cadangan staf secara teratur. 3
CMMI Cybermaturity Platform, 2018 Identifikasi Peran dan Tanggung Jawab RI.RR
SejajarkKaerna,ngRkeanKceatenraamkapinla,nduanntuAk EturarInformasi V6, 2015 SFIA dan manajemen keterampilan — Dapatkan

APO07.03 Menjaga keterampilan dan kompetensi personel.

Sebuah. Keterampilan dan kompetensi utama yang tidak ada dalam matriks sumber daya teridentifikasi
Tentukan dan kelola keterampilan dan kompetensi yang dibutuhkan personel.
b. Jumlah kesenjangan yang teridentifikasi antara keterampilan yang dibutuhkan dan yang tersedia
Verifikasi secara berkala bahwa personel memiliki kompetensi untuk memenuhi kompetecn.sJiummelraehkparogram pelatihan yang
disediakan peran berdasarkan pendidikan, pelatihan dan / atau pengalaman mereka. Memeriksa
bahwa kompetensi ini dipertahankan, menggunakan kualifikasi dan
program sertifikasi jika sesuai. Menyediakan karyawan
pembelajaran berkelanjutan dan kesempatan untuk mempertahankan pengetahuan, keterampilan mereka
dan kompetensi pada tingkat yang dibutuhkan untuk mencapai tujuan perusahaan.
1. Mengidentifikasi keterampilan dan kompetensi sumber daya internal dan eksternal yang tersedia saat ini. 2
2. Mengidentifikasi kesenjangan antara keterampilan yang dibutuhkan dan yang tersedia. Mengembangkan rencana tindakan, seperti pelatihan (keterampilan teknis dan perilaku),
perekrutan, pemindahan dan perubahan strategi sumber, untuk mengatasi kesenjangan secara individu dan kolektif.
3. Tinjau materi dan program pelatihan secara teratur. Pastikan kecukupan sehubungan dengan perubahan persyaratan perusahaan 3
dan dampaknya terhadap pengetahuan, keterampilan, dan kemampuan yang diperlukan.
4. Menyediakan akses ke gudang pengetahuan untuk mendukung pengembangan keterampilan dan kompetensi.
5. Mengembangkan dan menyampaikan program pelatihan berdasarkan persyaratan organisasi dan proses, termasuk persyaratan untuk
perusahaan pengetahuan, pengendalian internal, perilaku etis, keamanan dan privasi.
6. Melakukan tinjauan berkala untuk menilai evolusi keterampilan dan kompetensi sumber daya internal dan eksternal. Ulasan 4
perencanaan suksesi.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 PM2.3 Pendidikan / Pelatihan Keamanan
ISO / IEC 27001: 2013 / Kor.2: 2015 (E) 7.2 Kompetensi
Institut Nasional Standar dan Kerangka Teknologi untuk Meningkatkan Kesadaran dan Pelatihan PR.AT
Cybersecurity Infrastruktur Kritis V1.1, April 2018
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.2 Kesadaran dan pelatihan (AT-3, AT-4)
Kerangka Keterampilan untuk Era Informasi V6, 2015 SFIA dan manajemen keterampilan — Terapkan
Kontrol Keamanan Kritis CIS untuk Versi Pertahanan Siber yang Efektif
6.1, Agustus 2016 CSC 17: Penilaian Keterampilan Keamanan dan Pelatihan yang Sesuai untuk
Mengisi kekosongan
100
Halaman 101
BAB 4
APO07.04 Menilai dan mengenali / menghargai prestasi kerja karyawan.

Sebuah. Jumlah momen umpan balik resmi dan evaluasi 360 derajat
Melakukan evaluasi kinerja yang tepat waktu dan teratur terhadap individu
dilakukan
tujuan yang berasal dari tujuan perusahaan, standar yang ditetapkan,
b. Jumlah dan nilai penghargaan yang diberikan kepada staf
tanggung jawab pekerjaan tertentu, dan kerangka keterampilan dan kompetensi.
Menerapkan proses remunerasi / pengakuan yang menghargai keberhasilan
pencapaian tujuan kinerja.
1. Pertimbangkan tujuan fungsional / perusahaan sebagai konteks untuk menetapkan tujuan individu. 2
2. Tetapkan tujuan individu selaras dengan tujuan I&T dan perusahaan yang relevan. Mendasarkan tujuan pada spesifik, terukur, dapat dicapai, relevan
dan tujuan terikat waktu (SMART) yang mencerminkan kompetensi inti, nilai perusahaan, dan keterampilan yang diperlukan untuk peran tersebut.
3. Memberikan umpan balik yang tepat waktu tentang kinerja terhadap tujuan individu.
4. Berikan instruksi khusus untuk penggunaan dan penyimpanan informasi pribadi dalam proses evaluasi, sesuai dengan
data pribadi yang berlaku dan undang-undang ketenagakerjaan.
5. Menyusun hasil evaluasi kinerja 360 derajat. 3
6. Memberikan perencanaan karir formal dan rencana pengembangan profesional berdasarkan hasil proses evaluasi kepada
mendorong pengembangan kompetensi dan peluang untuk kemajuan pribadi dan untuk mengurangi ketergantungan pada kunci
individu. Berikan pelatihan kepada karyawan tentang kinerja dan perilaku jika diperlukan.
7. Menerapkan proses remunerasi / pengakuan yang menghargai komitmen yang sesuai, pengembangan kompetensi dan
pencapaian tujuan kinerja yang sukses. Pastikan proses tersebut diterapkan secara konsisten dan sejalan dengan organisasi
kebijakan.
8. Menerapkan dan mengkomunikasikan proses disipliner.
Kerangka Keterampilan untuk Era Informasi V6, 2015 SFIA dan manajemen keterampilan — Kembangkan
APO07.05 Merencanakan dan melacak penggunaan TI dan manusia bisnis

Sebuah. Jumlah kekurangan yang teridentifikasi dan keterampilan yang hilang dalam perencanaan
sumber daya.
Memahami dan melacak permintaan bisnis saat ini dan masa depan dan untuk kepegawaian
b. Waktu yang dihabiskan per setara waktu penuh (FTE) pada tugas dan proyek
Sumber daya manusia TI dengan tanggung jawab untuk I&T perusahaan. Mengenali
kekurangan dan memberikan masukan ke dalam rencana sumber, perusahaan dan TI
proses rekrutmen, dan proses rekrutmen bisnis dan TI.
1. Membuat dan memelihara inventaris bisnis dan sumber daya manusia TI. 2
2. Memahami permintaan sumber daya manusia saat ini dan di masa depan untuk mendukung pencapaian tujuan I&T dan untuk menyampaikannya 3
layanan dan solusi berdasarkan portofolio inisiatif terkait I & T saat ini, portofolio investasi masa depan, dan sehari-hari
kebutuhan operasional.
3. Mengidentifikasi kekurangan dan memberikan masukan ke dalam rencana sumber serta proses perekrutan perusahaan dan TI. Buat dan ulas
rencana kepegawaian, melacak penggunaan aktual.
4. Pertahankan informasi yang memadai tentang waktu yang dihabiskan untuk berbagai tugas, tugas, layanan, atau proyek. 4
Kerangka Keterampilan untuk Era Informasi V6, 2015 SFIA dan manajemen keterampilan — Menilai; Penghargaan
APO07.06 Mengelola staf kontrak.

Sebuah. Persentase kontraktor yang menandatangani kerangka kendali perusahaan
Pastikan bahwa konsultan dan personel kontrak yang mendukung
perusahaan dengan keterampilan I&T mengetahui dan mematuhi organisasi b. Frekuensi peninjauan berkala dilakukan untuk memastikan kebenaran dan
kepatuhan staf kontraktor
kebijakan dan memenuhi persyaratan kontrak yang disepakati.
101
Halaman 102
1. Menerapkan kebijakan dan prosedur staf kontrak. 2
2. Pada saat dimulainya kontrak, dapatkan persetujuan resmi dari kontraktor bahwa mereka diwajibkan untuk mematuhi
kerangka kerja kontrol I&T perusahaan, seperti kebijakan untuk izin keamanan, kontrol akses fisik dan logis, penggunaan fasilitas,
persyaratan kerahasiaan informasi, dan perjanjian kerahasiaan.
3. Memberi tahu kontraktor bahwa manajemen berhak memantau dan memeriksa semua penggunaan sumber daya TI, termasuk email, suara
komunikasi, dan semua program dan file data.
4. Sebagai bagian dari kontrak mereka, berikan kontraktor definisi yang jelas tentang peran dan tanggung jawab mereka, termasuk secara eksplisit
persyaratan untuk mendokumentasikan pekerjaan mereka dengan standar dan format yang disepakati.
5. Tinjau pekerjaan kontraktor dan dasarkan persetujuan pembayaran pada hasilnya.
6. Dalam kontrak formal dan tidak ambigu, jelaskan semua pekerjaan yang dilakukan oleh pihak eksternal. 3
7. Melakukan tinjauan berkala untuk memastikan bahwa staf kontrak telah menandatangani dan menyetujui semua perjanjian yang diperlukan. 4
8. Melakukan tinjauan berkala untuk memastikan bahwa peran kontraktor dan hak akses sudah sesuai dan sejalan dengan kesepakatan.
Kerangka Keterampilan untuk Era Informasi V6, 2015 SFIA dan manajemen keterampilan — Terapkan

ffice.dll
ffice frficer
fficer
fficer
perations fficer
HAIAdministrasi
echnology O
KepKaleapKBalaeagpKOiaalepnapeKIarnaleafspuoiMTarOmlnagnaKDasaniiejgepOiKmatalealpnOPSaPuelanrmogKAbyereemspkriKbatDOelaeakanpyMbgaaalaagnMniMbaKaanjaegenpTiuMraasIPnjliaaaeenTPrlarIKj
yievaePranaesKmaninoaOnsnetahinautIinhtafuoskrBumimsansis
APO07.01 Memperoleh dan memelihara staf yang memadai dan sesuai. ARRRRRRRRRRR
APO07.02 Identifikasi personel TI utama. ARRRRRRRRRRRRR
APO07.03 Menjaga keterampilan dan kompetensi personel. ARRRRRRRRRRR
APO07.04 Menilai dan mengenali / menghargai prestasi kerja karyawan. SEBUAH RRRRRRRRR
APO07.05 Merencanakan dan melacak penggunaan TI dan sumber daya manusia bisnis. RARRRRRRRRRRRR
APO07.06 Mengelola staf kontrak. ARRRRRRRRRRR R
102
Halaman 103
BAB 4
APO07.01 Memperoleh dan memelihara yang memadai dan Dari Deskripsi Deskripsi Untuk
kepegawaian yang sesuai.
APO01.05 Definisi pengawasan Deskripsi pekerjaan dan Intern
praktek rencana sumber personel
APO06.03 • Anggaran TI Persyaratan kepegawaian Intern
• Komunikasi anggaran evaluasi
EDM04.01 • Prinsip-prinsip panduan untuk Kompetensi dan karir Intern;

mengalokasikan sumber daya draenncana pengembangan APO07.02
kemampuan
• Rencana sumber daya yang disetujui
EDM04.03 Tindakan perbaikan untuk Sejajarkan, Rencanakan, dan Atur

alamat sumber daya
COBIT luar • Kebijakan SDM perusahaan
dan prosedur
• Sasaran perusahaan dan
tujuan
APO07.02 Identifikasi personel TI utama. APO07.01 Kompetensi dan karir
Tindakan penghentian pekerjaanIntern
rencana pengembangan
rencana
Jumlah minimal Intern
panduan liburan
APO07.03 Mempertahankan keterampilan dan kompetensi APO01.08 Keterampilan target dan Keterampilan dan kompetensi APO01,05;
personil. kompetensi matriks matriks APO14.01
BAI01.02;
BAI01.04;
BAI03.12
BAI08.02 Pengetahuan yang dipublikasikanRencana pengembangan keteramApiPlaOn01,05;
repositori penyimpa
ngan
BAI08.03 Kesadaran pengetahuan
manajeme
dan skema pelatihan
n
DSS04.06 • Persyaratan pelatihan
Di luar
• Hasil pemantauan tujuan
keterampilan dan kompetensi COBIT
Enterprise
EDM01.02 Pendekatan sistem penghargaan
dan
EDM04.03 Tindakan perbaikan untuk tujuan
alamat sumber daya
EDM04.01
Tinjau laporan Intern

103
Halaman 104
APO07.04 Menilai dan mengakui / menghargai pekerjaan karyawan kinerja.

APO04.01 Pengakuan dan penghargaan Rencana perbaikan Intern
program
BAI05.04 Kinerja SDM yang selaras Evaluasi kinerja Internal
tujuan
BAI05.06 Review kinerja SDM Sasaran personel Intern

hasil
DSS06.03 Hak akses yang dialokasikan

EDM01.02 Pendekatan sistem penghargaan
Di luar tujuan COBIT Enterprise dan
tujuan
APO07.05 Merencanakan dan melacak penggunaan TI dan bisnis APO06.02 Alokasi anggaran Inventaris bisnis
BAI01.04
sumber daya manusia. dan sumber daya manusia TI
BAI01.04 Persyaratan sumber daya Pemanfaatan sumber daya BAI01.06

dan peran catatan
BAI 11.08 Sumber daya proyek Kekurangan sumber daya BAI01.06
Sejajarkan, Rencanakan, dan Atur Persyaratan analisis
EDM04.02 Komunikasi

dan efektivitas
sumber daya dan
kemampuan
Perusahaan
Saat ini dan masa depan
organisasi
portofolio
Di luar organisasi COBIT Enterprise
struktur
APO07.06 Mengelola staf kontrak. BAI01.04 Persyaratan sumber daya

Perjanjian kontrak Intern
dan peran
ulasan
BAI01.09 Komunikasi
Perjanjian kontrak Intern
pensiun program dan
akuntabilitas berkelanjutan
BAI 11.08 Sumber daya proyek

Kebijakan staf kontrak Intern
Persyaratan
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 9. Manajemen sumber daya proyek: Input dan Output
Penyediaan pendidikan dan pelatihan e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
D. Aktif — D.3. Pendidikan dan
Ketentuan Pelatihan
Pembelajaran dan pengembangan
Kerangka Keterampilan untuk Era Informasi V6, 2015 ETMG
pengelolaan
Manajemen kinerja Kerangka Keterampilan untuk Era Informasi V6, 2015 PEMT
Pengembangan personel e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
D. Aktif — D.9. Personil
Profesional di semua sektor industri - Bagian 1: Kerangka, 2016
Pengembangan
Pengembangan profesional Kerangka Keterampilan untuk Era Informasi V6, 2015 PDSV
Sumber Daya Kerangka Keterampilan untuk Era Informasi V6, 2015 RESC
104
Halaman 105
BAB 4
Kebijakan staf kontrak Menyebutkan kriteria untuk menambah

Institut Standar Nasional dan 3.16 Keamanan personel (PS-1)
staf dengan konsultan pihak ketiga
dan / atau kontraktor sesuai
800-53, Revisi 5 (Draf),
dengan pengadaan TI perusahaan
Agustus 2017
kebijakan dan kontrol I&T
kerangka. Menentukan tipe apa
pekerjaan dapat dilakukan atau
ditambah oleh pihak ketiga, di bawah
kondisi apa, dan kapan.
Kebijakan sumber daya manusia (SDM) Menguraikan harapan bersama
perusahaan dan karyawannya.
Menyebutkan diterima dan Sejajarkan, Rencanakan, dan Atur
perilaku karyawan yang tidak dapat diterima
dalam kode etik untuk membantu
mengelola risiko yang berhubungan dengan manusia
tingkah laku.
Jelaskan peran dan tanggung jawab pengguna terhadap informasi,

penggunaan media dan jaringan, keamanan, dan privasi. Mendorong dan Institut Standar Nasional dan 3.14 Perencanaan (PL-4)
mengkomunikasikan budaya umum yang menentukan perilaku yang diharapkan
untuk semua individu dalam perusahaan dan menetapkan toleransi nol untuk 800- 53, Revisi 5, Agustus 2017
perilaku tidak etis.
• Sistem manajemen SDM

• Alat perencanaan sumber daya
105
Halaman 106

106
Halaman 107
BAB 4

Tujuan Manajemen: APO08 - Hubungan Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Kelola hubungan dengan pemangku kepentingan bisnis secara formal dan transparan yang memastikan rasa saling percaya dan fokus gabungan pada pencapaian
tujuan strategis dalam batasan anggaran dan toleransi risiko. Mendasarkan hubungan pada komunikasi yang terbuka dan transparan, yang umum
bahasa, dan kemauan untuk mengambil kepemilikan dan akuntabilitas untuk keputusan kunci di kedua sisi. Bisnis dan TI harus bekerja sama untuk menciptakan
hasil perusahaan yang sukses dalam mendukung tujuan perusahaan.
Tujuan
Memungkinkan pengetahuan, keterampilan, dan perilaku yang tepat untuk menciptakan hasil yang lebih baik, kepercayaan diri yang meningkat, rasa saling percaya, dan penggunaan sumber daya yang efektif
yang merangsang hubungan produktif dengan pemangku kepentingan bisnis.
Tujuan Perusahaan • EG13 Produk dan inovasi bisnis
• EG01 Portofolio produk dan layanan yang kompetitif ➡ Tujuan Penyelarasan

• AG05 Penyampaian layanan
• EG08 Optimalisasi fungsi proses bisnis internal I&T sejalan dengan kebutuhan
• EG10 Keterampilan, motivasi dan produktivitas staf bisnis
• AG06 Agility untuk mengubah persyaratan bisnis
menjadi solusi operasional Sejajarkan, Rencanakan, dan Atur
• AG12 Staf yang kompeten dan termotivasi
dengan saling pengertian teknologi
dan bisnis

AG05 a. Persen pemangku kepentingan bisnis puas dengan layanan I&T
pengiriman memenuhi tingkat layanan yang disepakati
b. Jumlah gangguan bisnis karena insiden layanan I&T
c. Persentase pengguna yang puas dengan kualitas layanan I&T
pengiriman

dengan kemampuan proses bisnis AG06 a. Tingkat kepuasan eksekutif bisnis dengan I&T
b. Tingkat kepuasan pelanggan dengan penyampaian layanan daya tanggap terhadap persyaratan baru
kemampuan b. Waktu rata-rata untuk memasarkan layanan baru terkait I & T dan
c. Tingkat kepuasan pemasok dengan rantai pasokan aplikasi
kemampuan c. Waktu rata-rata untuk mengubah tujuan I&T strategis menjadi
disepakati dan inisiatif yang disetujui
EG10 a. Produktivitas staf dibandingkan dengan tolok ukur
AG12 a. Persentase pebisnis yang paham I & T (yaitu, mereka yang memiliki
b. Tingkat kepuasan pemangku kepentingan dengan keahlian staf dan
pengetahuan dan pemahaman yang diperlukan tentang I&T untuk memandu,
keterampilan
mengarahkan, berinovasi, dan melihat peluang I&T di domain mereka
c. Persentase staf yang keterampilannya tidak mencukupi
keahlian bisnis)
kompetensi dalam peran mereka
d. Persentase staf yang puas b. Persentase orang I&T yang paham bisnis (yaitu, mereka yang memiliki
pengetahuan dan pemahaman yang dibutuhkan terkait
domain bisnis untuk memandu, mengarahkan, berinovasi, dan melihat I&T
peluang untuk domain bisnis)
pengalaman manajemen
peluang inovasi
Ide I&T
107
Halaman 108
A. Komponen: Proses

APO08.01 Memahami ekspektasi bisnis.
Sebuah. Jumlah masalah bisnis saat ini yang teridentifikasi
Pahami masalah bisnis saat ini, tujuan dan harapan untuk I&T.
b. Jumlah persyaratan bisnis yang ditentukan untuk layanan yang mendukung I & T
Pastikan bahwa persyaratan dipahami, dikelola, dan dikomunikasikan,
dan status mereka setuju dan disetujui.
1. Identifikasi pemangku kepentingan bisnis, kepentingan mereka dan bidang tanggung jawab mereka. 2
2. Tinjau arah perusahaan saat ini, masalah, tujuan strategis, dan keselarasan dengan arsitektur perusahaan.
3. Memahami lingkungan bisnis saat ini, kendala atau masalah proses, perluasan atau kontraksi geografis, dan
industri / pengatur regulasi.
4. Menjaga kesadaran proses bisnis dan aktivitas terkait. Pahami pola permintaan yang berhubungan dengan layanan
volume dan penggunaan.
5. Kelola ekspektasi dengan memastikan bahwa unit bisnis memahami prioritas, ketergantungan, kendala keuangan, dan kebutuhan untuk 3
menjadwalkan permintaan.
6. Memperjelas ekspektasi bisnis untuk layanan dan solusi yang mendukung I & T. Pastikan bahwa persyaratan ditentukan dengan yang terkait 4
kriteria dan metrik penerimaan bisnis.
7. Konfirmasikan bahwa ada kesepakatan antara TI dan semua departemen bisnis tentang ekspektasi dan bagaimana ekspektasi itu akan diukur.
Pastikan perjanjian ini dikonfirmasi oleh semua pemangku kepentingan.
APO08.02 Menyelaraskan strategi I&T dengan ekspektasi bisnis dan mengidentifikSaesibuah. Tingkat penyertaan peluang teknologi dalam proposal investasi
peluang bagi TI untuk meningkatkan bisnis. b. Survei pemangku kepentingan bisnis mengenai tingkat teknologi mereka
Selaraskan strategi I&T dengan tujuan dan ekspektasi bisnis saat ini kesadaran
untuk memungkinkan TI menjadi mitra nilai tambah bagi bisnis dan tata kelola
komponen untuk meningkatkan kinerja perusahaan.
1. Posisikan TI sebagai mitra bisnis. Berperan proaktif dalam mengidentifikasi dan berkomunikasi dengan pemangku kepentingan utama di 3
peluang, risiko dan kendala. Ini termasuk teknologi, layanan, dan model proses bisnis saat ini dan yang sedang berkembang.
2. Berkolaborasi dalam inisiatif baru yang besar dengan portofolio, program, dan manajemen proyek. Pastikan keterlibatan TI
organisasi dari awal inisiatif baru dengan memberikan saran dan rekomendasi bernilai tambah (misalnya, untuk kasus bisnis
pengembangan, definisi persyaratan, desain solusi) dan dengan mengambil kepemilikan untuk aliran kerja I&T.
ITIL V3, 2011 Strategi Pelayanan, 4.4 Manajemen permintaan
APO08.03 Mengelola hubungan bisnis.

Kelola hubungan antara organisasi layanan TI dan organisasi tersebut Sebuah. Penilaian survei kepuasan pengguna dan personel TI
mitra bisnis. Pastikan bahwa peran dan tanggung jawab hubungan b. Persen hubungan peran dan tanggung jawab ditentukan, ditugaskan,
ditentukan dan ditugaskan, dan komunikasi difasilitasi. dan dikomunikasikan
1. Tetapkan seorang manajer hubungan sebagai satu titik kontak untuk setiap unit bisnis yang signifikan. Pastikan bahwa satu mitra 3
diidentifikasi dalam organisasi bisnis dan mitra tersebut memiliki pemahaman bisnis, kesadaran teknologi yang memadai
dan tingkat otoritas yang sesuai.
2. Kelola hubungan secara formal dan transparan yang memastikan fokus pada pencapaian tujuan bersama dan bersama
hasil perusahaan yang sukses dalam mendukung tujuan strategis dan dalam batasan anggaran dan toleransi risiko.
3. Tentukan dan komunikasikan prosedur pengaduan dan eskalasi untuk menyelesaikan masalah hubungan apa pun.
4. Pastikan bahwa keputusan kunci disetujui dan disetujui oleh pemangku kepentingan yang bertanggung jawab.
5. Rencanakan interaksi dan jadwal khusus berdasarkan tujuan yang disepakati bersama dan bahasa yang sama (layanan dan kinerja 4
meninjau rapat, meninjau strategi atau rencana baru, dll.).
108
Halaman 109
BAB 4
ISO / IEC 20000-1: 2011 (E) 7.1 Manajemen hubungan bisnis
ITIL V3, 2011 Strategi Pelayanan, 4.5 Manajemen hubungan bisnis
APO08.04 Mengkoordinasikan dan berkomunikasi. Sebuah. Waktu sejak pembaruan terakhir dari rencana komunikasi ujung ke ujung ke bisnis
Bekerja dengan semua pemangku kepentingan yang relevan dan koordinasikan ujung ke bu.juPnegrsen kepuasan pemilik bisnis dengan koordinasi akhir
pengiriman layanan I&T dan solusi yang diberikan untuk bisnis. pengiriman akhir layanan dan solusi I&T
1. Mengkoordinasikan dan mengkomunikasikan perubahan dan aktivitas transisi seperti proyek atau rencana perubahan, jadwal, kebijakan rilis, 2
melepaskan kesalahan yang diketahui, dan kesadaran pelatihan.
2. Mengkoordinasikan dan mengkomunikasikan kegiatan operasional, peran dan tanggung jawab, termasuk definisi jenis permintaan, Sejajarkan, Rencanakan, dan Atur
eskalasi hierarkis, pemadaman besar (terencana dan tidak terencana), serta konten dan frekuensi laporan layanan.
3. Ambil tanggung jawab atas respons bisnis untuk peristiwa besar yang dapat memengaruhi hubungan dengan bisnis. Menyediakan
dukungan langsung jika diperlukan.
4. Menjaga rencana komunikasi ujung ke ujung yang menetapkan konten, frekuensi, dan penerima informasi penyampaian layanan, 3
termasuk status nilai yang dikirimkan dan setiap risiko yang teridentifikasi.
APO08.05 Memberikan masukan untuk peningkatan layanan yang berkelanjutan. Sebuah. Persentase penyelarasan layanan I&T dengan bisnis perusahaan
Terus meningkatkan dan mengembangkan layanan dan penyampaian layanan yang mendukuPnegrsIy&araTtan
kepada perusahaan untuk menyelaraskan dengan tujuan perusahaan yang berubah dan b. Persentase penyebab utama yang diidentifikasi dan diselesaikan untuk masalah apa pun
teknologi
1. Lakukan analisis kepuasan pelanggan dan penyedia. Pastikan bahwa masalah ditangani; melaporkan hasil dan status. 4
2. Bekerja sama untuk mengidentifikasi, mengkomunikasikan, dan mengimplementasikan inisiatif perbaikan. 5
3. Bekerja dengan manajemen layanan dan pemilik proses untuk memastikan bahwa layanan yang mendukung I & T dan proses manajemen layanan
terus ditingkatkan dan akar penyebab setiap masalah diidentifikasi dan diselesaikan.

109
Halaman 110
fficer wner
fficer fficer s
ffice
r
perations fficer
Petugas echnology HAI
Dewan Tata Kelola
Praktik Manajemen Kunci KepKaleapKEalkeapsKeBaklaeaugptKOiaiaflepnaOpeKIarnaleafspuoiSTarOAmlnaYgaPDaAsnrigoTOisMteasal
BnOKaisejnepiPraselHOanugKAberemuspniMbatgelaaaknnMbgaajagnenMiraKaPnajeeenpTPrlaarIKjylieavaeranasKmainoOanntainnuIintafos rBmisansiis
APO08.01 Memahami ekspektasi bisnis. ARR RR RRRRRR
APO08.02 Menyelaraskan strategi I&T dengan ekspektasi bisnis dan mengidentifikasi peluang bagi TI
ARRRRRRRRR
meningkatkan bisnis.
APO08.03 Mengelola hubungan bisnis. RRRARR RR RRR
APO08.04 Mengkoordinasikan dan berkomunikasi. RRRARR RR RRR
APO08.05 Memberikan masukan untuk peningkatan layanan yang berkelanjutan. ARR RR RRR
SejajarkPaannd, uRanenTcearknaaikt (aSnta, nddaanr, AKteurarngka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
APO08.01 Memahami ekspektasi bisnis. Dari Deskripsi Deskripsi Untuk
APO02.05 Peta jalan yang strategis Diklarifikasi dan disetujui

Intern
ekspektasi bisnis
APO08.02 Menyelaraskan strategi I&T dengan ekspektasi bisnis APO09.01 Kesenjangan yang teridentifikasiSdeatluajmu lTanIgkah selanjutnya dan Intern
dan mengidentifikasi peluang untuk meningkatkan TI layanan untuk bisnis rencana aksi
bisnis.
APO09.04 • Tingkat layanan
laporan kinerja
• Tindakan perbaikan
rencana dan perbaikan
APO11.03 Akar penyebab kegagalan

memberikan kualitas
APO08.03 Mengelola hubungan bisnis. DSS02.02 Diklasifikasikan dan diprioritaskKaneluhan dan eskalasi Intern
insiden dan layanan status
permintaan
DSS02.06 • Permintaan layanan tertutup Keputusan kunci yang disetujui Intern
dan insiden
• Konfirmasi pengguna dari
pemenuhan yang memuaskan
atau resolusi
DSS02.07 • Status insiden dan

laporan tren
• Minta pemenuhan
status dan laporan tren
110
Halaman 111
BAB 4
APO08.04 Mengkoordinasikan dan berkomunikasi. Dari Deskripsi Deskripsi Untuk
APO09.03 Tingkatan Jasa

Tanggapan pelanggan Intern
Persetujuan (SLA)
APO12.06 Dampak resiko
Komunikasi Intern
komunikasi
paket
BAI05.05 Rencana operasi dan penggunaanRencana komunikasi Intern
BAI07.07 Dukungan tambahan

rencana
BAI09.02 Komunikasi dari

pemeliharaan terencana Sejajarkan, Rencanakan, dan Atur
waktu henti
DSS03.04 Komunikasi
pengetahuan yang dipelajari
APO08.05 Memberikan masukan untuk perbaikan berkelanjutan APO09.02 Katalog layanan Definisi potensi APO02.02;
jasa. proyek perbaikan BAI03.11
APO11.02 • Kebutuhan pelanggan

Analisis kepuasan APO09.04
untuk manajemen kualitas
• Hasil kualitas
layanan, termasuk
Timbal balik pelanggan
APO11.03 Hasil berkualitas

memantau solusi
dan pengiriman layanan
APO11.04 Hasil review berkualitas

dan audit
BAI03.10 Rencana pemeliharaan
BAI05.05 Ukuran keberhasilan dan

hasil
BAI07.07 Dukungan tambahan
rencana
Manajemen hubungan e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
E. Kelola — E.4. Hubungan
Pengelolaan
Manajemen hubungan Kerangka Keterampilan untuk Era Informasi V6, 2015 RLMT
Bisnis — Hubungan TI
kebijakan manajemen Memberikan pedoman untuk membangun
dan menjaga hubungan antar
bisnis dan TI. Fosters
transparansi, saling percaya dan
fokus umum pada pencapaian
tujuan strategis dalam konteks
anggaran dan toleransi risiko.
111
Halaman 112
Membangun budaya yang dilandasi rasa saling percaya, komunikasi yang transparan,
istilah terbuka dan dapat dimengerti, bahasa yang sama, kepemilikan, dan
akuntabilitas. Hubungan yang baik harus ada antara bisnis dan
TI dalam perusahaan untuk mencapai tujuan bersama.
• Pelatihan internal dan layanan peningkatan kesadaran
112
Halaman 113
BAB 4

Tujuan Manajemen: APO09 - Perjanjian Layanan Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Menyelaraskan produk dan layanan yang mendukung I & T serta tingkat layanan dengan kebutuhan dan harapan perusahaan, termasuk identifikasi, spesifikasi, desain,
penerbitan, persetujuan, dan pemantauan produk dan layanan I&T, tingkat layanan dan indikator kinerja.
Tujuan
Pastikan bahwa produk, layanan, dan tingkat layanan I&T memenuhi kebutuhan perusahaan saat ini dan di masa depan.
Tujuan Perusahaan
AG05 Penyampaian layanan I&T sejalan dengan kebutuhan bisnis
EG01 a. Persentase produk dan layanan yang memenuhi atau melebihi keunggulan kompetitif
target pendapatan dan / atau pangsa pasar d. Saatnya memasarkan produk dan layanan baru
AG05 a. Persen
pe
m
an
gk
u
ke
pe
nti
ng
an
bi
sn
is
pu
as
de
ng
an
la
ya
na
n
I
&
T
pe
ng
iri
m
an
m
e
m
en
uh
i
tin
gk
at
la
ya
na
n
ya
ng
di
se
pa
ka
ti
c.
Per
sent
ase
pen
ggu
na
yan
g
pua
s
den
gan
kua
litas
laya
nan
I&
T
pen
giri
ma
n
kemampuan
kemampuan
A. Komponen: Proses
APO09.01 Mengidentifikasi layanan I&T.

Sebuah. Jumlah aktivitas bisnis yang tidak didukung oleh I&T mana pun
Analisis persyaratan bisnis dan sejauh mana I & T diaktifkan
layanan
layanan dan tingkat layanan mendukung proses bisnis. Bahas
b. Jumlah layanan usang yang diidentifikasi
dan setuju dengan bisnis tentang layanan potensial dan tingkat layanan.
Bandingkan tingkat layanan potensial dengan portofolio layanan saat ini;
mengidentifikasi layanan baru atau yang diubah atau opsi tingkat layanan.
1. Menilai layanan I&T saat ini dan tingkat layanan untuk mengidentifikasi kesenjangan antara layanan yang ada dan aktivitas bisnisnya 2
dukung. Identifikasi area untuk peningkatan layanan yang ada dan opsi tingkat layanan.
2. Menganalisis, mempelajari dan memperkirakan permintaan masa depan dan mengkonfirmasi kapasitas layanan yang mendukung I & T yang ada.
3. Menganalisis aktivitas proses bisnis untuk mengidentifikasi kebutuhan akan layanan I&T yang baru atau yang didesain ulang. 3
4. Bandingkan persyaratan yang teridentifikasi dengan komponen layanan yang ada dalam portofolio. Jika memungkinkan, kemas layanan yang ada
komponen (layanan I&T, opsi tingkat layanan, dan paket layanan) ke dalam paket layanan baru untuk memenuhi bisnis yang teridentifikasi
Persyaratan.
5. Secara teratur meninjau portofolio layanan I&T dengan manajemen portofolio dan manajemen hubungan bisnis untuk mengidentifikasi
layanan usang. Setuju saat pensiun dan usulkan perubahan.
6. Jika memungkinkan, sesuaikan permintaan dengan paket layanan dan ciptakan layanan standar untuk mendapatkan efisiensi secara keseluruhan. 4

ITIL V3, 2011 Strategi Pelayanan, 4.4 Manajemen permintaan
113
Halaman 114
APO09.02 Layanan yang mendukung Katalog I & T.

Sebuah. Persentase layanan dan paket layanan yang mendukung I & T langsung yang ditawarkan di
Tentukan dan pertahankan satu atau lebih katalog layanan untuk target yang relevan
perbandingan dengan portofolio
kelompok. Publikasikan dan pertahankan layanan yang mendukung I & T langsung dalamb.lWayaakntaunsejak pembaruan portofolio layanan
terakhir katalog.
1. Publikasikan dalam katalog layanan yang mendukung I & T langsung yang relevan, paket layanan, dan opsi tingkat layanan dari portofolio. 2
2. Secara terus menerus memastikan bahwa komponen layanan dalam portofolio dan katalog layanan terkait sudah lengkap dan mutakhir. 3
3. Menginformasikan manajemen hubungan bisnis tentang pembaruan apa pun pada katalog layanan.
ITIL V3, 2011 Desain Layanan, 4.2 Manajemen Katalog Layanan
APO09.03 Tentukan dan persiapkan perjanjian layanan.

Sebuah. Jumlah proses bisnis dengan perjanjian layanan yang tidak ditentukan
Tentukan dan persiapkan perjanjian layanan berdasarkan opsi dalam layanan
katalog. Sertakan perjanjian operasional internal. b. Persentase layanan TI langsung yang dicakup oleh perjanjian layanan

1. Menganalisis persyaratan untuk perjanjian layanan baru atau yang diubah yang diterima dari manajemen hubungan bisnis untuk memastikannya 2
Sejajarkapne,rRsyearnactaannnayakbainsa, ddiaconcoAktkuarn. Pertimbangkan aspek-aspek seperti waktu layanan, ketersediaan, kinerja,
kapasitas, keamanan, privasi, kontinuitas, masalah kepatuhan dan peraturan, kegunaan, kendala permintaan, dan kualitas data.
2. Draf perjanjian layanan pelanggan berdasarkan layanan, paket layanan, dan opsi tingkat layanan dalam layanan yang relevan
katalog.
3. Menyelesaikan perjanjian layanan pelanggan dengan manajemen hubungan bisnis.
4. Menentukan, menyetujui dan mendokumentasikan perjanjian operasional internal untuk mendukung perjanjian layanan pelanggan, jika berlaku. 3
5. Bekerja sama dengan manajemen pemasok untuk memastikan bahwa kontrak komersial yang sesuai dengan penyedia layanan eksternal mendukung
perjanjian layanan pelanggan, jika berlaku.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SY2.1 Perjanjian Tingkat Layanan
ISO / IEC 20000-1: 2011 (E) 4.5 Membuat dan meningkatkan SMS; 6.1 Manajemen tingkat layanan
ITIL V3, 2011 Desain Layanan, 4.3 Manajemen Tingkat Layanan

800-53, Revisi 5 (Draf), Agustus 2017 3.18 Akuisisi sistem dan layanan (SA-9)
APO09.04 Memantau dan melaporkan tingkat layanan.

Pantau tingkat layanan, laporkan pencapaian, dan identifikasi tren. Sebuah. Jumlah dan tingkat keparahan pelanggaran layanan
Berikan informasi manajemen yang tepat untuk membantu kinerja b. Persen pelanggan puas bahwa pemberian layanan memenuhi
pengelolaan. tingkat yang disepakati
c. Persentase target layanan terpenuhi
d. Persentase layanan yang dipantau hingga tingkat layanan
1. Menetapkan dan memelihara langkah-langkah untuk memantau dan mengumpulkan data tingkat layanan. 4
2. Mengevaluasi kinerja dan memberikan pelaporan reguler dan formal kinerja perjanjian layanan, termasuk penyimpangan dari
nilai yang disepakati. Distribusikan laporan ini ke manajemen hubungan bisnis.
3. Lakukan tinjauan rutin untuk memperkirakan dan mengidentifikasi tren dalam kinerja tingkat layanan. Gabungkan praktik manajemen mutu
dalam pemantauan layanan.
4. Sediakan informasi manajemen yang tepat untuk membantu manajemen kinerja.
5. Menyetujui rencana tindakan dan perbaikan untuk setiap masalah kinerja atau tren negatif.
HITRUST CSF versi 9, September 2017 09.02 Mengontrol Penyampaian Layanan Pihak Ketiga
ISO / IEC 20000-1: 2011 (E) 6.2 Pelaporan layanan
114
Halaman 115
BAB 4
APO09.05 Tinjau perjanjian dan kontrak layanan.

Sebuah. Jumlah tinjauan atas perjanjian layanan yang dilakukan
Melakukan tinjauan berkala atas perjanjian layanan dan merevisi kapan
b. Persentase target layanan terpenuhi
dibutuhkan.
c. Persentase pemangku kepentingan yang puas dengan kualitas layanan
perjanjian
d. Jumlah perjanjian layanan direvisi, sesuai kebutuhan
1. Tinjau perjanjian layanan secara teratur sesuai dengan ketentuan yang disepakati untuk memastikan bahwa perjanjian tersebut efektif dan mutakhir. Kapan 3
sesuai, pertimbangkan perubahan dalam persyaratan, layanan berkemampuan I & T, paket layanan, atau opsi tingkat layanan.
2. Jika perlu, revisi perjanjian layanan yang ada dengan penyedia layanan. Setuju dan perbarui operasional internal 4
perjanjian.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci Sejajarkan, Rencanakan, dan Atur
fficefrfice wners
r fficer
perations fficer
HAIAdministrasi
echnology O
Praktik Manajemen Kunci KepKaleapKOalepapeKIarnaloafsmoiPTrOirmtoeasKResisei

spOBiKakilsoeanpPiMbasealrOaguniMbasaanjaghenTiPraa
aIarPnjineevTPrlaaIesKyniaeaOnasmaehnaantahnuIknufmor
masi
APO09.01 Mengidentifikasi layanan I&T. RRA R R
APO09.02 Layanan yang mendukung Katalog I & T. RAR R
APO09.03 Tentukan dan persiapkan perjanjian layanan. RA RRRRRR
APO09.04 Memantau dan melaporkan tingkat layanan. RA R R R
APO09.05 Tinjau perjanjian dan kontrak layanan. RAR RRR

ISO / IEC 20000-1: 2011 (E) 4.1.1 Komitmen manajemen
115
Halaman 116
APO09.01 Mengidentifikasi layanan I&T. Dari Deskripsi Deskripsi Untuk
Kesenjangan yang teridentifikasiAdPi OI&0T1.10;

layanan untuk bisnis APO02.02;
APO05.02;
APO08.02
Definisi standar EDM02.01
jasa
APO09.02 Layanan yang mendukung Katalog I & T. APO05.04 Portofolio yang diperbarui dari Katalog layanan APO08.05
program, layanan dan
aktiva
EDM04.01 Rencana sumber daya yang disetujui
EDM04.02 Komunikasi
APO09.03 Tentukan dan persiapkan perjanjian layanan. APO11.02 Kebutuhan pelanggan

Tingkatan Jasa Persetujuan APO05.02;
(SLA) APO08.04;
DSS01.02;
DSS02.01;
Sejajarkan, Rencanakan, dan Atur DSS02.02;
DSS04.01;
DSS05.02;
DSS05.03
APO14.07 Kualitas data
Tingkat operasional DSS01.02;
Persyaratan
perjanjian (OLA) DSS02.07;
DSS04.03;
DSS05.03
APO09.04 Memantau dan melaporkan tingkat layanan. APO05.03 Portofolio investasi
Tindakan perbaikan APO02.02;
laporan kinerja
rencana dan perbaikan APO08.02
APO05.05 • Hasil manfaat
Tingkat layanan APO08.02;
dan terkait
laporan kinerja MEA01.03
komunikasi
• Tindakan korektif
untuk meningkatkan manfaat
realisasi
APO08.05 Analisis kepuasan
APO11.03 • Hasil yang berkualitas

memantau solusi
dan pengiriman layanan
• Akar penyebab kualitas
kegagalan pengiriman
dan audit
DSS02.02 Diklasifikasikan dan diprioritaskan
insiden dan layanan
permintaan
DSS02.06 Permintaan layanan tertutup
dan insiden
laporan tren
• Status permintaan
pemenuhan dan tren
melaporkan
EDM04.03 Tindakan perbaikan untuk
alamat sumber daya
116
Halaman 117
BAB 4
APO09.05 Tinjau perjanjian dan kontrak layanan. Dari Deskripsi Deskripsi Untuk
APO11.02 Hasil kualitas

SLA diperbarui Intern
layanan, termasuk
Timbal balik pelanggan

dan audit
BAI04.01 Evaluasi terhadap SLA

dan efektivitas
sumber daya dan
kemampuan Sejajarkan, Rencanakan, dan Atur
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 12. Manajemen pengadaan proyek: Input dan Output
Manajemen tingkat layanan e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
A. Rencana — A.2. Tingkat Layanan
Pengelolaan
Manajemen tingkat layanan Kerangka Keterampilan untuk Era Informasi V6, 2015 SLMO
Perjanjian tingkat layanan (SLA)

Menjelaskan standar umum
kebijakan
dan kriteria untuk menginformasikan secara spesifik
persyaratan dan ketentuan pengiriman
layanan, baik antara
entitas dalam perusahaan atau
antara perusahaan dan pihak ketiga
pesta.
Menetapkan kontrak antara penyedia layanan (internal atau eksternal)

dan pengguna akhir yang menentukan tingkat layanan yang diharapkan. Pastikan ini
tingkat layanan didasarkan pada keluaran, yang secara spesifik mendefinisikan apa yang pelanggan
akan diterima dalam tujuan SMART (spesifik, terukur, dapat dicapai,
realistis dan bertahap). Bangun budaya di mana tingkat layanan berada
dihormati. Mencegah ketidakpatuhan melalui sistem hukuman.
• Sistem manajemen kontrak

• Alat pemantauan tingkat layanan
117
Halaman 118

118
Halaman 119
BAB 4

Tujuan Manajemen: APO10 - Vendor yang Dikelola Area Fokus: Model Inti COBIT
Deskripsi
Kelola produk dan layanan terkait I & T yang disediakan oleh semua jenis vendor untuk memenuhi persyaratan perusahaan. Ini termasuk pencarian untuk dan
pemilihan vendor, pengelolaan hubungan, pengelolaan kontrak, serta peninjauan dan pemantauan kinerja vendor dan vendor
ekosistem (termasuk rantai pasokan hulu) untuk efektivitas dan kepatuhan.
Tujuan
Mengoptimalkan kemampuan I&T yang tersedia untuk mendukung strategi dan peta jalan I&T, meminimalkan risiko yang terkait dengan ketidaksesuaian atau ketidakpatuhan
vendor, dan memastikan harga yang kompetitif.
Tujuan Perusahaan
➡ Tujuan Penyelarasan Sejajarkan, Rencanakan, dan Atur
EG01 a. Persentase produk dan layanan yang memenuhi atau melebihi EG08 a. Tingkat kepuasan dewan direksi dan manajemen eksekutif
AG05 a. Persen
pe
m
an
gk
u
ke
pe
nti
ng
an
bi
sn
is
pu
as
de
ng
an
la
ya
na
n
I
&
T
pe
ng
iri
m
an
m
e
m
en
uh
i
tin
gk
at
la
ya
na
n
ya
ng
di
se
pa
ka
ti
c.
Per
sen
tase
pen
ggu
na
yan
g
pua
s
den
gan
kua
lita
s
lay
ana
n
I&
T
pen
giri
ma
n
kemampuan
kemampuan
A. Komponen: Proses
APO10.01 Mengidentifikasi dan mengevaluasi hubungan dan kontrak vendor.

Telusuri dan identifikasi vendor secara terus menerus dan kategorikan ke dalam Sebuah. Persentase kriteria evaluasi yang ditetapkan dicapai untuk pemasok yang ada
dan kontrak
jenis, signifikansi dan kekritisan. Tetapkan kriteria untuk mengevaluasi vendor
dan kontrak. Tinjau keseluruhan portofolio yang ada dan alternatif b. Persentase pemasok alternatif yang memberikan layanan setara
kontrak pemasok yang ada
vendor dan kontrak.
1. Pindai lanskap perusahaan secara terus-menerus untuk mencari mitra dan vendor baru yang dapat memberikan pelengkap 3
kemampuan dan mendukung realisasi strategi I&T, peta jalan dan tujuan perusahaan.
2. Menetapkan dan memelihara kriteria yang berkaitan dengan jenis, signifikansi dan kekritisan vendor dan kontrak vendor, sehingga memungkinkan adanya fokus
vendor yang disukai dan penting.
3. Mengidentifikasi, mencatat dan mengkategorikan vendor dan kontrak yang ada sesuai dengan kriteria yang ditetapkan untuk memelihara daftar rinci
vendor pilihan yang perlu dikelola dengan hati-hati.
4. Menetapkan dan memelihara vendor dan kriteria evaluasi kontrak untuk memungkinkan tinjauan dan perbandingan kinerja vendor secara keseluruhan 4
secara konsisten.
5. Secara berkala mengevaluasi dan membandingkan kinerja vendor yang ada dan alternatif untuk mengidentifikasi peluang atau yang menarik 5
perlu mempertimbangkan kembali kontrak vendor saat ini.
119
Halaman 120
APO10.02 Pilih vendor.

Sebuah. Jumlah celah yang teridentifikasi antara penawaran pemasok yang dipilih
Memilih pemasok sesuai dengan praktik yang adil dan formal untuk memastikan a
dan kebutuhan yang ditentukan dalam request for proposal (RFP)
paling sesuai yang layak berdasarkan persyaratan yang ditentukan. Persyaratan harus
b. Persentase pemangku kepentingan yang puas dengan pemasok
dioptimalkan dengan masukan dari pemasok potensial.
1. Tinjau semua permintaan informasi (RFI) dan permintaan proposal (RFP) untuk memastikan bahwa mereka secara jelas menetapkan persyaratan 2
(misalnya, persyaratan perusahaan untuk keamanan dan privasi informasi, bisnis operasional dan persyaratan pemrosesan I&T,
prioritas untuk pemberian layanan) dan mencakup prosedur untuk memperjelas persyaratan. RFI dan RFP harus mengizinkan vendor
waktu yang cukup untuk mempersiapkan proposal mereka dan harus dengan jelas mendefinisikan kriteria penghargaan dan proses keputusan.
2. Mengevaluasi RFI dan RFP sesuai dengan proses / kriteria evaluasi yang disetujui dan memelihara bukti dokumenter dari
evaluasi. Verifikasi referensi calon vendor.
3. Pilih vendor yang paling sesuai dengan RFP. Dokumentasikan dan komunikasikan keputusan, dan tanda tangani kontrak.
4. Dalam kasus khusus akuisisi perangkat lunak, sertakan dan tegakkan hak dan kewajiban semua pihak dalam kontrak 3
istilah. Hak dan kewajiban ini mungkin termasuk kepemilikan dan lisensi IP; pemeliharaan; jaminan; arbitrasi
Prosedur; persyaratan peningkatan; dan sesuai untuk tujuan, termasuk keamanan, privasi, escrow dan hak akses.
5. Dalam kasus khusus perolehan sumber daya pembangunan, sertakan dan tegakkan hak dan kewajiban semua pihak
dalam persyaratan kontrak. Hak dan kewajiban ini mungkin termasuk kepemilikan dan lisensi IP; cocok untuk tujuan, termasuk
metodologi pembangunan; pengujian; proses manajemen kualitas, termasuk kriteria kinerja yang disyaratkan; kinerja
Sejajarkaunl,asRane;ndcaasnarapkeamnb,aydaarann;Ajatmurinan; prosedur arbitrase; manajemen Sumber Daya
Manusia; dan kepatuhan dengan kebijakan perusahaan.
6. Mendapatkan nasihat hukum tentang perjanjian akuisisi pengembangan sumber daya terkait kepemilikan dan lisensi IP.
7. Dalam kasus khusus akuisisi infrastruktur, fasilitas dan layanan terkait, termasuk dan menegakkan hak dan
kewajiban semua pihak dalam persyaratan kontrak. Hak dan kewajiban ini dapat mencakup tingkat layanan, pemeliharaan
prosedur, kontrol akses, keamanan, privasi, tinjauan kinerja, dasar pembayaran dan prosedur arbitrase.
APO10.03 Mengelola hubungan dan kontrak vendor.

Sebuah. Persentase pemasok pihak ketiga yang memiliki kontrak yang menentukan kendali
Memformalkan dan mengelola hubungan pemasok untuk setiap pemasok.
Persyaratan
Kelola, pertahankan, dan pantau kontrak dan pemberian layanan. Memastikan
b. Jumlah perselisihan formal dengan pemasok
bahwa kontrak baru atau yang diubah sesuai dengan standar dan hukum perusahaan
c. Jumlah pertemuan tinjauan pemasok
dan persyaratan peraturan. Berurusan dengan perselisihan kontrak.
d. Persentase sengketa yang diselesaikan secara damai dalam jangka waktu yang wajar
1. Tetapkan pemilik hubungan untuk semua vendor dan buat mereka bertanggung jawab atas kualitas layanan yang diberikan. 3
2. Tentukan proses komunikasi dan tinjauan formal, termasuk interaksi dan jadwal vendor.
3. Setuju, kelola, pertahankan, dan perbarui kontrak formal dengan vendor. Pastikan kontrak sesuai dengan standar
perusahaan dan persyaratan hukum dan peraturan.
4. Menyertakan ketentuan dalam kontrak dengan vendor layanan utama untuk meninjau situs vendor serta praktik dan kontrol internal oleh
manajemen atau pihak ketiga independen. Setuju pada audit independen dan kontrol jaminan lingkungan operasional
vendor yang menyediakan layanan outsourcing untuk memastikan bahwa persyaratan yang disepakati telah ditangani secara memadai.
5. Gunakan prosedur yang telah ditetapkan untuk menangani sengketa kontrak. Jika memungkinkan, pertama-tama gunakan hubungan yang efektif dan
komunikasi untuk mengatasi masalah layanan.
6. Menentukan dan meresmikan peran dan tanggung jawab untuk setiap vendor layanan. Di mana beberapa vendor bergabung untuk menyediakan
layanan, pertimbangkan untuk mengalokasikan peran kontraktor utama ke salah satu vendor untuk bertanggung jawab atas keseluruhan kontrak.
7. Mengevaluasi efektivitas hubungan dan mengidentifikasi perbaikan yang diperlukan. 4
8. Tentukan, komunikasikan, dan sepakati cara-cara untuk menerapkan perbaikan yang diperlukan pada hubungan. 5
ISO / IEC 20000-1: 2011 (E) 7.2 Manajemen pemasok
ITIL V3, 2011 Desain Layanan, 4.8 Manajemen Pemasok
120
Halaman 121
BAB 4
APO10.04 Kelola risiko vendor. Sebuah. Frekuensi sesi manajemen risiko dengan pemasok
Identifikasi dan kelola risiko yang berkaitan dengan kemampuan vendor untuk terus menby.eJduiamklaanh peristiwa terkait risiko yang mengarah ke insiden layanan
penyampaian layanan yang aman, efisien dan efektif. Ini juga termasuk c. Persen insiden terkait risiko diselesaikan dengan dapat diterima (waktu dan biaya)
subkontraktor atau vendor hulu yang relevan dalam layanan
pengiriman vendor langsung.
1. Saat menyiapkan kontrak, sediakan kemungkinan risiko layanan dengan mendefinisikan persyaratan layanan secara jelas, termasuk perangkat lunak 3
perjanjian escrow, vendor alternatif atau perjanjian siaga untuk mengurangi kemungkinan kegagalan vendor; keamanan dan perlindungan
AKU P; pribadi; dan persyaratan hukum atau peraturan apa pun.
2. Mengidentifikasi, memantau dan, jika sesuai, mengelola risiko yang berkaitan dengan kemampuan vendor untuk memberikan layanan secara efisien, efektif, 4
dengan aman, rahasia, andal, dan berkelanjutan. Integrasikan proses manajemen TI internal yang penting dengan proses dari Sejajarkan, Rencanakan, dan Atur
penyedia layanan outsourcing, yang mencakup, misalnya, perencanaan kinerja dan kapasitas, manajemen perubahan, dan
manajemen konfigurasi.
3. Menilai ekosistem vendor yang lebih besar dan mengidentifikasi, memantau, dan, jika sesuai, mengelola risiko yang terkait dengan
subkontraktor dan vendor hulu yang memengaruhi kemampuan vendor untuk memberikan layanan secara efisien, efektif, aman, andal
dan terus menerus.
CMMI Cybermaturity Platform, 2018 RM.MP Kelola Partisipasi Eksternal
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SC1.1 Proses Manajemen Pemasok Eksternal
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 15. Hubungan pemasok
Institut Nasional Standar dan Kerangka Teknologi untuk Meningkatkan D.SC Manajemen Risiko Rantai Pasokan
Cybersecurity Infrastruktur Kritis v1.1, April 2018
APO10.05 Pantau kinerja dan kepatuhan vendor.

Sebuah. Jumlah pelanggaran layanan ke layanan terkait I & T yang disebabkan oleh
Tinjau secara berkala kinerja vendor secara keseluruhan, kepatuhan terhadap kontrak
pemasok
persyaratan dan nilai uang. Tangani masalah yang teridentifikasi.
b. Persentase pemasok yang memenuhi persyaratan yang disepakati
1. Meminta tinjauan independen atas praktik dan kontrol internal vendor, jika perlu. 3
2. Tentukan dan dokumentasikan kriteria untuk memantau kinerja vendor yang selaras dengan perjanjian tingkat layanan. Pastikan vendor itu 4
secara teratur dan transparan melaporkan kriteria yang disepakati.
3. Memantau dan meninjau penyampaian layanan untuk memastikan bahwa vendor memberikan kualitas layanan yang dapat diterima, rapat
persyaratan dan mematuhi ketentuan kontrak.
4. Tinjau kinerja vendor dan nilai uangnya. Pastikan vendor tersebut dapat diandalkan dan kompetitif, dibandingkan dengan
alternatif vendor dan kondisi pasar.
5. Pantau dan evaluasi informasi yang tersedia secara eksternal tentang vendor dan rantai pasokan vendor.
6. Catat dan nilai hasil review secara berkala dan diskusikan dengan vendor untuk mengidentifikasi kebutuhan dan peluang 5
perbaikan.

121
Halaman 122
fficer
fficer
fficer
perations fficer
HAIAdministrasi
Petugas echnology
Dewan Tata Kelola
RisiKkoepUKatlaeapmKIanaleafOpoSTarAmlaYaKDAsiiogTOmiPtiaetlneOgKReeimspiKbaklaoeanpPMbgaealraagnuniMbaKsaanjaeghenpTiPraaaIarPnjlinaeevTPrlaaIesKyniaeaOnasmaehnaantahnuIknufmormasi
APO10.01 Mengidentifikasi dan mengevaluasi hubungan dan kontrak vendor. RRRA R R
APO10.02 Pilih vendor. RRRA RRRRRR
APO10.03 Mengelola hubungan dan kontrak vendor. RRRA RRRR R
APO10.04 Kelola risiko vendor. RRRRARRRRRRR
APO10.05 Pantau kinerja dan kepatuhan vendor. RRRRARRRRR R

SejajarkTiadnak, Radeanpcaannduaaknatner,kdaiat nunAtutkukromponen ini
APO10.01 Mengidentifikasi dan mengevaluasi hubungan vendor dan Dari Deskripsi Deskripsi Untuk
kontrak.
Di luar kontrak Vendor COBIT Katalog vendor BAI02.02
Potensi revisi untuk

kontrak vendor Intern
Signifikansi vendor dan

kriteria evaluasi Intern
APO10.02 Pilih vendor. BAI02.02 Akuisisi tingkat Vendor RFI dan RFP BAI02.01;
tinggi / rencana BAI02.02
pengembangan
Evaluasi RFI dan RFP BAI02.02
Hasil keputusan penjaja

evaluasi vendor evaluasi
BAI02.02;
EDM04.01
APO10.03 Mengelola hubungan dan kontrak vendor. BAI03.04 Akuisisi yang disetujui Hasil dan disarankan Intern
rencana perbaikan
Komunikasi dan Intern
proses peninjauan
Peran vendor dan Intern
tanggung jawab
APO10.04 Kelola risiko vendor. APO12.04 • Analisis risiko dan risiko Pengiriman vendor teridentifikasAi PO12.01;
laporan profil untuk risiko APO12.03;
pemangku kepentingan BAI01.01;
• Hasil pihak ketiga BAI 11.01
penilaian risiko
Kontrak teridentifikasi Intern
persyaratan untuk meminimalkan
risiko
APO10.05 Pantau kinerja dan kepatuhan vendor. Kepatuhan vendor
Intern
kriteria pemantauan
Kepatuhan vendor
MEA01.03
memantau hasil review
122
Halaman 123
BAB 4
Manajemen kontrak e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
D. Aktif — D.8. Kontrak
Profesional di semua sektor industri - Bagian 1: Kerangka, 2016
Pengelolaan
Manajemen kontrak Kerangka Keterampilan untuk Era Informasi V6, 2015 ITCM
Pembelian e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
D. Aktif — D.4. Pembelian
Sourcing Kerangka Keterampilan untuk Era Informasi V6, 2015 SORC
Kebijakan pengadaan IT Menguraikan prinsip dan prosedur

untuk pengadaan perangkat keras TI,
solusi perangkat lunak dan hosting.
Detail standar untuk pengoperasian
sistem, jaringan komputer,
spesifikasi perangkat keras, dll.
Memberikan pedoman untuk kontrak
manajemen (misalnya, persyaratan
dan kondisi, pemantauan
kontrak).
Penyampaian layanan TI pihak ketiga
Menetapkan pedoman untuk mengelola risiko
kebijakan manajemen
terkait dengan layanan pihak ketiga.
Menetapkan kerangka kerja
harapan untuk perilaku dan
menyebutkan tindakan pencegahan keamanan
diperlukan dari layanan pihak ketiga
penyedia dalam mengelola risiko terkait
untuk memberikan layanan.
Membangun dan mengelola ekosistem vendor yang dapat membantu

organisasi dalam transformasi dan inovasi digitalnya. Terus menerus
memindai lanskap untuk mencari mitra baru dan efektif.
Manajemen menentukan nada dan mencontohkan perilaku yang benar kapan

berkomunikasi dengan vendor untuk menyetujui dan menerapkan yang diperlukan
perbaikan. Pastikan bahwa kontrak sesuai dengan standar perusahaan,
dan persyaratan hukum dan peraturan.
• Sistem manajemen kontrak

• Layanan jaminan pihak ketiga
123
Halaman 124

124
Halaman 125
BAB 4

Tujuan Manajemen: APO11 - Kualitas Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Tentukan dan komunikasikan persyaratan kualitas dalam semua proses, prosedur, dan hasil perusahaan terkait. Aktifkan kontrol, pemantauan berkelanjutan,
dan penggunaan praktik dan standar yang telah terbukti dalam upaya peningkatan dan efisiensi berkelanjutan.
Tujuan
Pastikan pengiriman solusi dan layanan teknologi yang konsisten untuk memenuhi persyaratan kualitas perusahaan dan memenuhi kebutuhan pemangku kepentingan.
Tujuan Perusahaan
• AG10 Kualitas informasi manajemen I&T
EG01 a. Persentase produk dan layanan yang memenuhi atau melebihi b. Biaya ketidakpatuhan terhadap peraturan terkait keuangan
c. Persentase produk dan layanan yang memberikan daya saing
keuntungan

informasi keuangan
AG09 a. Jumlah program / proyek tepat waktu dan sesuai anggaran pemangku kepentingan yang puas dengan program / proyek kualitas
b. Jumlah program
yang membutuhkan
pengerjaan ulang
yang signifikan
ketersediaan informasi manajemen terkait I & T, pengambilan
karena cacat kualitas
memperhitungkan sumber daya yang tersedia
c. Persentase

informasi terkait I & T yang salah atau tidak tersedia adalah kuncinya
dengan informasi pengambilan keputusan faktor
keputusan

kemampuan
kemampuan

125
Halaman 126
A. Komponen: Proses
APO11.01 Membangun sistem manajemen mutu (SMM).

Sebuah. Persentase efektivitas tinjauan manajemen mutu
Membangun dan memelihara sistem manajemen mutu (QMS) itu
b. Persentase kepuasan pemangku kepentingan utama dengan manajemen kualitas
memberikan pendekatan standar, formal dan berkelanjutan terhadap kualitas
review program
pengelolaan informasi. QMS harus mengaktifkan teknologi dan
proses bisnis untuk menyelaraskan dengan kebutuhan bisnis dan perusahaan
manajemen mutu.
1. Pastikan bahwa kerangka kerja pengendalian I&T serta proses bisnis dan TI mencakup pendekatan standar, formal dan berkelanjutan 3
untuk manajemen kualitas yang selaras dengan kebutuhan perusahaan. Dalam kerangka kerja kontrol I&T serta bisnis dan TI
proses, mengidentifikasi persyaratan kualitas dan kriteria (misalnya, berdasarkan persyaratan hukum dan persyaratan dari pelanggan).
2. Mendefinisikan peran, tugas, hak keputusan dan tanggung jawab untuk manajemen mutu dalam struktur organisasi.
3. Memperoleh masukan dari manajemen dan pemangku kepentingan eksternal dan internal tentang definisi persyaratan mutu dan mutu
kriteria manajemen.
4. Secara teratur memantau dan meninjau SMM terhadap kriteria penerimaan yang telah disepakati. Sertakan umpan balik dari pelanggan, pengguna dan 4
pengelolaan.
5. Menanggapi ketidaksesuaian hasil review untuk terus menyempurnakan QMS. 5

SejajarkPaannd,uRanePnMcaBnOaKkEandi,sidKaenenAamtu, r2017 Bagian 1: 8.1 Rencanakan manajemen kualitas
APO11.02 Fokuskan manajemen kualitas pada pelanggan.

Sebuah. Persen kepuasan pelanggan
Fokuskan manajemen kualitas pada pelanggan dengan menentukan mereka
persyaratan dan memastikan integrasi dalam praktik manajemen mutu. b. Persentase persyaratan dan harapan pelanggan yang dikomunikasikan
di seluruh bisnis dan organisasi TI
1. Fokus manajemen kualitas pada pelanggan dengan menentukan persyaratan pelanggan internal dan eksternal dan memastikan keselarasan 3
standar dan praktik I&T. Mendefinisikan dan mengkomunikasikan peran dan tanggung jawab mengenai resolusi konflik antara
pengguna / pelanggan dan organisasi TI.
2. Mengelola kebutuhan dan ekspektasi bisnis untuk setiap proses bisnis, layanan operasional TI, dan solusi baru. Mempertahankan
kriteria penerimaan kualitas mereka.
3. Komunikasikan persyaratan dan harapan pelanggan di seluruh bisnis dan organisasi TI.
4. Secara berkala mendapatkan pandangan pelanggan tentang proses bisnis dan penyediaan layanan serta penyampaian solusi TI. Tentukan dampaknya 4
tentang standar dan praktik I&T dan memastikan bahwa harapan pelanggan dipenuhi dan ditindaklanjuti.
5. Menangkap kriteria penerimaan kualitas untuk dimasukkan dalam SLA.
A P O 1 1 . 0 3 M e n g e lo la s t a n d a r k u a li t a s,
m en g i n t e gr as i k a n m a n a j e m e n k u a l i ta Sb.ebJuumahl.ahJucmacl at yparnogsedsidteemnguaknanpesresbyealruamtanprkoudaulkitsais yang ditentukan
p r a k ti k da n p r o se d u r d a n
s k e d a l am p ro s e s d a n s ol u si utama. c. Jumlah layanan dengan rencana manajemen kualitas formal
Identifikasi dan pertahankan standar, prosedur, dan praktik untuk kunci d. Jumlah SLA yang mencakup kriteria penerimaan kualitas
proses untuk memandu perusahaan dalam memenuhi maksud yang disepakati
standar manajemen mutu (QMS). Aktivitas ini harus sejalan dengan
Persyaratan kerangka kerja kontrol I&T. Pertimbangkan sertifikasi untuk kunci
proses, unit organisasi, produk atau layanan.
126
Halaman 127
BAB 4
1. Tentukan standar, praktik, dan prosedur manajemen mutu yang sejalan dengan persyaratan kerangka kerja pengendalian I&T dan 2
kriteria dan kebijakan manajemen mutu perusahaan.
2. Mengintegrasikan praktik manajemen mutu yang diperlukan dalam proses dan solusi utama di seluruh organisasi. 3
3. Pertimbangkan manfaat dan biaya sertifikasi mutu.
4. Mengkomunikasikan pendekatan manajemen mutu secara efektif (misalnya, melalui program pelatihan mutu formal dan reguler).
5. Rekam dan pantau data kualitas. Gunakan praktik industri yang baik sebagai referensi saat meningkatkan dan menyesuaikan praktik perusahaan 4
praktik kualitas.
6. Secara teratur meninjau relevansi, efisiensi dan efektivitas proses manajemen mutu tertentu. Pantau
pencapaian sasaran mutu.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci Sejajarkan, Rencanakan, dan Atur
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 8.2 Kelola kualitas
APO11.04 Melakukan pemantauan, kontrol dan tinjauan kualitas.

Sebuah. Persentase solusi dan layanan yang diberikan dengan sertifikasi formal
Pantau kualitas proses dan layanan secara berkelanjutan, di
b. Rata-rata peringkat kepuasan pemangku kepentingan atas solusi dan layanan
sejalan dengan standar manajemen mutu. Tentukan, rencanakan, dan terapkan
pengukuran untuk memantau kepuasan pelanggan dengan kualitas serta c. Jumlah proses dengan laporan penilaian kualitas formal
nilai yang diberikan oleh sistem manajemen mutu (QMS). Informasi d. Persentase proyek yang ditinjau yang memenuhi sasaran kualitas dan
yang dikumpulkan harus digunakan oleh pemilik proses untuk meningkatkan kualitas. tujuan
e. Jumlah, ketahanan, dan ketepatan waktu analisis risiko
1. Mempersiapkan dan melakukan tinjauan kualitas untuk proses dan solusi organisasi utama. 3
2. Untuk proses dan solusi organisasi utama ini, pantau metrik kualitas yang digerakkan oleh tujuan yang selaras dengan sasaran kualitas secara keseluruhan. 4
3. Pastikan bahwa manajemen dan pemilik proses secara teratur meninjau kinerja manajemen kualitas terhadap metrik kualitas yang ditentukan.
4. Menganalisis hasil kinerja manajemen mutu secara keseluruhan.
5. Laporkan hasil tinjauan kinerja manajemen mutu dan lakukan perbaikan jika sesuai. 5
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 8.3 Kontrol kualitas
APO11.05 Pertahankan peningkatan berkelanjutan.

Sebuah. Jumlah analisis akar penyebab yang dilakukan
Menjaga dan secara teratur mengkomunikasikan rencana kualitas keseluruhan itu
b. Persentase layanan dan produk tepat waktu dan lengkap
mempromosikan peningkatan berkelanjutan. Rencana tersebut harus menentukan kebutuhan untuk,
dan manfaat, perbaikan berkelanjutan. Kumpulkan dan analisis data tentang
sistem manajemen mutu (QMS) dan meningkatkan efektivitasnya.
Perbaiki ketidaksesuaian untuk mencegah terulangnya kembali.
1. Menetapkan platform untuk berbagi praktik yang baik dan menangkap informasi tentang cacat dan kesalahan untuk memungkinkan pembelajaran dari praktik ters2ebut.
2. Mengidentifikasi contoh proses penyampaian kualitas yang sangat baik yang dapat bermanfaat bagi layanan atau proyek lain. Bagikan ini dengan 3
layanan dan tim pengiriman proyek untuk mendorong perbaikan.
3. Identifikasi contoh-contoh cacat kualitas yang berulang. Tentukan akar penyebabnya, evaluasi dampak dan hasilnya, dan
sepakati tindakan perbaikan dengan layanan dan / atau tim pengiriman proyek.
4. Memberikan pelatihan kepada karyawan tentang metode dan alat perbaikan berkelanjutan.
5. Tolok ukur hasil review kualitas terhadap data historis internal, pedoman industri, standar dan data dari 4
jenis perusahaan serupa.

Proses Deteksi DE.DP
127
Halaman 128
ffice.dll
ffice wner
fficer r s
ffice
r
fficer
perations
HAIAdministrasi
Petugas echnology
Dewan Tata Kelola
KepRaliasiKkOoeppUeKartalaeaspmiKIaOnaleafOpoSTarAmlaYaPDAsrigoTOisPtea.sl
BOMisanniMsajOaenMraPjaernFroagupjrneraKmogmyseiepnkMPaPelaanrnoKgAayeejremepskmKiabtOleaeakpnMbagDalaa
gannitMbaKaanjagenTpiMraaaIPnjaleaenTrlaIKjyeaernaKmanoanntainuIintafosrBmisansis
APO11.01 Membangun sistem manajemen mutu (SMM). SEBUARH R RR
APO11.02 Fokuskan manajemen kualitas pada pelanggan. SEBUARH R R
APO11.03 Mengelola standar kualitas, praktik dan prosedur dan mengintegrasikan

ARR RRRRRRRRRRRRR
manajemen kualitas ke dalam proses dan solusi utama.
APO11.04 Melakukan pemantauan, kontrol dan tinjauan kualitas. RA RRR R
APO11.05 Pertahankan peningkatan berkelanjutan. SEBUAH RRRRR RRRRRRR
APO11.01 Membangun sistem manajemen mutu Dari Deskripsi Deskripsi Untuk

(QMS).
Di luar COBIT Kualitas perusahaan yang luas Manajemen mutu APO01,05;
sistem peran sistem (QMS), DSS06.03
tanggung jawab dan
hak keputusan
Manajemen mutu APO14.04;
rencana APO14.06;
BAI01.07;
BAI 11.05
Hasil QMS BAI03.06
tinjauan efektivitas
APO11.02 Fokuskan manajemen kualitas pada pelanggan. Di luar Bisnis COBIT dan pelanggan
Kebutuhan pelanggan APO08,05;
persyaratan kualitas
untuk manajemen kualitas APO09.03;
BAI01.07;
BAI 11.06
Hasil kualitas APO08,05;

layanan, termasuk APO09,05;
Timbal balik pelanggan BAI05.01;
BAI07.07
Kriteria penerimaan
BAI02.01;
BAI02.02
128
Halaman 129
BAB 4
APO11.03 Mengelola standar kualitas, praktik dan Dari Deskripsi Deskripsi Untuk
prosedur dan mengintegrasikan manajemen mutu
BAI02.04 Tinjauan kualitas yang disetujui Manajemen kualitas Semua APO;
ke dalam proses dan solusi utama.
standar Semua BAI;
Semua DSS;
Semua MEA
COBIT Luar • Tersedia kualitas Akar penyebab kualitas APO08.02;
sertifikasi kegagalan pengiriman APO09.04;
• Praktik industri yang baik BAI07.08;
MEA02.04;
MEA04.04
APO08,05;
Hasil berkualitas
pemantauan APO09.04;
BAI07.08
APO11.04 Melakukan pemantauan kualitas, kontrol dan BAI03.06 • Rencana jaminan kualitas Kualitas proses Semua
APO;
ulasan. • Hasil review yang berkualitas, layanan Semua BAI;
pengecualian dan tujuan dan metrik Semua DSS;
koreksi Semua MEA
DSS02.07 • Status insiden dan Hasil review berkualitas APO08,05;
laporan tren dan audit APO09.04;
• Status permintaan APO09,05;
pemenuhan dan tren BAI07.08
melaporkan
APO11.05 Pertahankan peningkatan berkelanjutan. Ulasan kualitas
Semua APO;
patokan
Semua BAI;
hasil
Semua DSS;
Semua MEA
Contoh bagus
Semua APO;
praktek
Semua BAI;
untuk dibagikan
Semua DSS;
Semua MEA
Komunikasi aktif
Semua APO;
perbaikan berkelanjutan
Semua BAI;
dan praktik terbaik
Semua DSS;
Semua MEA
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 8. Manajemen kualitas proyek: Input dan Output
Pengembangan strategi kualitas TIK e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
D. Aktif — D.2. Kualitas TIK
Pengembangan Strategi
Kualitas asuransi Kerangka Keterampilan untuk Era Informasi V6, 2015 QUAS
Manajemen mutu Kerangka Keterampilan untuk Era Informasi V6, 2015 QUMG
Standar kualitas Kerangka Keterampilan untuk Era Informasi V6, 2015 QUST
Kebijakan manajemen mutu Menangkap visi manajemen

tujuan kualitas perusahaan,
tingkat kualitas yang dapat diterima, dan
tugas tim tertentu dan
entitas untuk memastikan kualitas.
129
Halaman 130
Mempromosikan budaya kualitas dan peningkatan berkelanjutan. Mempertahankan

dan secara teratur mengkomunikasikan kebutuhan, dan manfaat, kualitas dan
perbaikan terus-menerus.
• QMS
• Layanan jaminan kualitas pihak ketiga
130
Halaman 131
BAB 4

Tujuan Manajemen: APO12 - Risiko yang Dikelola Area Fokus: Model Inti COBIT
Deskripsi
Identifikasi, nilai, dan kurangi risiko terkait I & T secara terus-menerus dalam tingkat toleransi yang ditetapkan oleh manajemen eksekutif perusahaan.
Tujuan
Mengintegrasikan manajemen risiko perusahaan terkait I & T dengan manajemen risiko perusahaan (ERM) secara keseluruhan dan menyeimbangkan biaya dan manfaat
mengelola risiko perusahaan terkait I & T.
Tujuan Perusahaan

tercakup dalam penilaian risiko AG02 a. Frekuensi pemutakhiran profil risiko
b. Rasio insiden signifikan yang tidak teridentifikasi di b. Persen penilaian risiko perusahaan termasuk
penilaian risiko vs. insiden total Risiko terkait I & T
c. Frekuensi pemutakhiran profil risiko c. Jumlah insiden signifikan terkait I & T yang tidak terkait
diidentifikasi dalam penilaian risiko
A. Komponen: Proses

APO12.01 Kumpulkan data. Sebuah. Jumlah peristiwa kerugian dengan karakteristik utama yang ditangkap dalam repositori
Identifikasi dan kumpulkan data yang relevan untuk mengaktifkan risiko terkait I & T yabn.gPeefresketniftase audit, peristiwa, dan tren yang ditangkap di repositori
identifikasi, analisis dan pelaporan. c. Persentase sistem kritis dengan masalah yang diketahui
1. Menetapkan dan memelihara metode untuk pengumpulan, klasifikasi dan analisis data terkait risiko I&T. 2
2. Catat data terkait risiko I&T yang relevan dan signifikan di lingkungan operasi internal dan eksternal perusahaan.
3. Mengadopsi atau mendefinisikan taksonomi risiko untuk definisi yang konsisten dari skenario risiko dan kategori dampak dan kemungkinan. 3
4. Catat data tentang peristiwa risiko yang telah menyebabkan atau mungkin menyebabkan dampak bisnis sesuai dengan kategori dampak yang ditentukan dalam risiko
taksonomi. Tangkap data yang relevan dari masalah, insiden, masalah, dan investigasi terkait.
5. Survei dan analisis data risiko I&T historis dan pengalaman kerugian dari data dan tren yang tersedia secara eksternal, rekan-rekan industri 4
melalui log peristiwa berbasis industri, database, dan perjanjian industri untuk pengungkapan peristiwa umum.
6. Untuk kelas acara yang serupa, atur data yang dikumpulkan dan soroti faktor-faktor yang berkontribusi. Tentukan kontribusi umum
faktor di berbagai peristiwa.
7. Tentukan kondisi spesifik yang ada atau tidak ada saat peristiwa risiko terjadi dan bagaimana kondisi tersebut
terpengaruh frekuensi acara dan besarnya kerugian.
8. Lakukan peristiwa berkala dan analisis faktor risiko untuk mengidentifikasi masalah risiko baru atau yang muncul dan untuk mendapatkan pemahaman tentang
faktor risiko internal dan eksternal terkait.
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung - Manajemen Risiko
COSO Enterprise Risk Management, Juni 2017 8. Kinerja — Prinsip 10
ISO / IEC 27005: 2011 (E) 8.2 Identifikasi risiko; 12. Pemantauan dan peninjauan risiko keamanan informasi

3.1 Persiapan (Tugas 7)
800-37, Revisi 2 (Draf), Mei 2018
131
Halaman 132
APO12.02 Analisis risiko. Sebuah. Jumlah skenario risiko I&T yang teridentifikasi
Kembangkan pandangan yang dibuktikan tentang risiko I&T aktual, untuk mendukung kebp. uWtuaskatnu rsiesjiakko.pembaruan terakhir dari skenario risiko I&T
1. Tentukan ruang lingkup yang tepat dari upaya analisis risiko, dengan mempertimbangkan semua faktor risiko dan / atau kekritisan bisnis aset. 3
2. Membangun dan memperbarui skenario risiko I&T secara teratur; Eksposur kerugian terkait I & T; dan skenario terkait risiko reputasi, termasuk
skenario gabungan dari jenis dan peristiwa ancaman berjenjang dan / atau kebetulan. Kembangkan ekspektasi untuk kendali khusus
aktivitas dan kemampuan untuk mendeteksi.
3. Perkirakan frekuensi (atau kemungkinan) dan besarnya kerugian atau keuntungan yang terkait dengan skenario risiko I&T. Mempertimbangkan semuanya
faktor risiko yang berlaku dan mengevaluasi pengendalian operasional yang diketahui.
4. Bandingkan risiko saat ini (eksposur kerugian terkait I & T) dengan selera risiko dan toleransi risiko yang dapat diterima. Identifikasi tidak dapat diterima atau
risiko tinggi.
5. Mengusulkan respons risiko untuk risiko yang melebihi selera risiko dan tingkat toleransi.
6. Tentukan persyaratan tingkat tinggi untuk proyek atau program yang akan menerapkan respons risiko yang dipilih. Identifikasi
persyaratan dan ekspektasi untuk pengendalian kunci yang tepat untuk respons mitigasi risiko.
7. Validasi hasil analisis risiko dan analisis dampak bisnis (BIA) sebelum digunakan dalam pengambilan keputusan. Konfirmasikan bahwa 4
analisis selaras dengan persyaratan perusahaan dan memverifikasi bahwa estimasi telah dikalibrasi dengan benar dan diteliti untuk mencari bias.
Sejajark8.aMn,enRgeannacliasnisabkiaayna,/ dmaannfAaattudrari opsi respons risiko potensial seperti menghindari, mengurangi / mengurangi, mentransfer / berbagi, dan menerima dan 5
mengeksploitasi / merebut. Konfirmasikan respons risiko yang optimal.
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung — Manajemen Risiko
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 IR2.1 Ruang Lingkup Penilaian Risiko; IR2.2 Penilaian Dampak Bisnis
ISO / IEC 27001: 2013 / Kor.2: 2015 (E) 8.2 Penilaian risiko keamanan informasi
ISO / IEC 27005: 2011 (E) 8.3 Analisis risiko

Cybersecurity Infrastruktur Kritis v1.1, April 2018 ID.RA Risk Assessment

800-37, Revisi 2 (Draf), Mei 2018 3.6 Otorisasi (Tugas 3)

800-53, Revisi 5 (Draf), Agustus 2017 3.17 Penilaian risiko (RA-3)
APO12.03 Mempertahankan profil risiko.

Sebuah. Kelengkapan atribut dan nilai dalam profil risiko
Menjaga inventaris risiko yang diketahui dan atribut risiko, termasuk
b. Persentase proses bisnis utama yang termasuk dalam profil risiko
frekuensi yang diharapkan, potensi dampak dan tanggapan. Dokumen terkait
sumber daya, kapabilitas, dan aktivitas pengendalian saat ini yang terkait dengan item risiko.
1. Menginventarisir proses bisnis dan mendokumentasikan ketergantungannya pada proses manajemen layanan I&T dan infrastruktur TI 2
sumber daya. Identifikasi personel pendukung, aplikasi, infrastruktur, fasilitas, catatan manual penting, vendor, pemasok, dan
agen outsourcing.
2. Menentukan dan menyetujui layanan I&T dan sumber daya infrastruktur TI yang penting untuk menopang operasi bisnis
proses. Analisis ketergantungan dan identifikasi tautan lemah.
3. Mengumpulkan skenario risiko saat ini menurut kategori, lini bisnis, dan area fungsional.
4. Secara teratur menangkap semua informasi profil risiko dan menggabungkannya ke dalam profil risiko gabungan. 3
5. Menangkap informasi tentang status rencana tindakan risiko untuk dimasukkan ke dalam profil risiko I&T perusahaan.
6. Berdasarkan semua data profil risiko, tentukan seperangkat indikator risiko yang memungkinkan identifikasi dan pemantauan risiko saat ini secara cepat dan 4
tren risiko.
7. Menangkap informasi tentang peristiwa risiko I&T yang telah terwujud untuk dimasukkan dalam profil risiko TI perusahaan.
132
Halaman 133
BAB 4
CMMI Cybermaturity Platform, 2018 RS.DT Definisikan Toleransi Risiko Organisasi

3.17 Penilaian risiko (RA-7)
APO12.04 Mengartikulasikan risiko.

Sebuah. Tingkat kepuasan pemangku kepentingan dengan pelaporan risiko yang disediakan
Komunikasikan informasi tentang status saat ini dari eksposur terkait I & T
b. Kelengkapan pelaporan profil risiko (termasuk informasi yang sejalan
dan peluang secara tepat waktu untuk semua pemangku kepentingan yang dibutuhkan
dengan persyaratan pemangku kepentingan)
respon yang tepat.
c. Penggunaan pelaporan risiko dalam pengambilan keputusan manajemen
Kegiatan Tingkat Kemampuan Sejajarkan, Rencanakan, dan Atur
1. Laporkan hasil analisis risiko kepada semua pemangku kepentingan yang terkena dampak dalam istilah dan format yang berguna untuk mendukung keputusan per3usahaan.
Jika memungkinkan, sertakan probabilitas dan kisaran kerugian atau keuntungan bersama dengan tingkat kepercayaan, untuk memungkinkan manajemen
menyeimbangkan pengembalian risiko.
2. Memberi para pembuat keputusan pemahaman tentang skenario terburuk dan skenario paling mungkin, eksposur kerugian terkait I & T dan
reputasi yang signifikan, pertimbangan hukum dan peraturan, atau kategori dampak lainnya sesuai taksonomi risiko.
3. Laporkan profil risiko saat ini kepada semua pemangku kepentingan. Termasuk informasi tentang efektivitas proses manajemen risiko,
efektivitas pengendalian, kesenjangan, inkonsistensi, pengulangan, status perbaikan dan dampaknya terhadap profil risiko.
4. Secara berkala, untuk area dengan risiko relatif dan kesamaan kapasitas risiko, identifikasi peluang terkait I & T yang akan memungkinkan
penerimaan risiko yang lebih besar dan peningkatan pertumbuhan dan pengembalian.
5. Meninjau hasil penilaian pihak ketiga yang obyektif dan audit internal dan tinjauan jaminan kualitas. Sertakan mereka di 4
profil risiko. Tinjau kesenjangan yang teridentifikasi dan eksposur kerugian terkait I & T untuk menentukan kebutuhan analisis risiko tambahan.
CMMI Cybermaturity Platform, 2018 RS.CR Tentukan Persyaratan Infrastruktur Kritis
COSO Enterprise Risk Management, Juni 2017 10. Informasi, Komunikasi, dan Pelaporan — Prinsip 19
ISO / IEC 27005: 2011 (E) 11. Komunikasi dan konsultasi risiko keamanan informasi

Strategi Manajemen Risiko ID.RM
800-53, Revisi 5 (Draf), Agustus 2017 3.15 Manajemen program (PM-32)
APO12.05 Mendefinisikan portofolio tindakan manajemen risiko. Sebuah. Jumlah insiden signifikan yang tidak teridentifikasi dan termasuk dalam risiko
Kelola peluang untuk mengurangi risiko ke tingkat yang dapat diterima sebagai portofolio. portofolio manajemen
b. Persentase proposal proyek manajemen risiko ditolak karena kekurangan
pertimbangan risiko terkait lainnya
1. Menjaga inventaris aktivitas pengendalian yang ada untuk memitigasi risiko dan memungkinkan pengambilan risiko sesuai dengan risiko 2
nafsu makan dan toleransi. Klasifikasikan aktivitas pengendalian dan petakan ke skenario risiko I&T spesifik dan agregasi risiko I&T
skenario.
2. Tentukan apakah setiap entitas organisasi memantau risiko dan menerima akuntabilitas untuk beroperasi dalam individu dan 3
tingkat toleransi portofolio.
3. Tentukan sekumpulan proposal proyek yang dirancang untuk mengurangi risiko dan / atau proyek yang memungkinkan usaha
strategis peluang, mempertimbangkan biaya, manfaat, efek pada profil risiko dan peraturan saat ini.
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung — Manajemen Risiko
HITRUST CSF versi 9, September 2017 03.01 Program Manajemen Risiko

133
Halaman 134
APO12.06 Menanggapi risiko.

Sebuah. Jumlah tindakan yang tidak mengurangi risiko sisa
Menanggapi secara tepat waktu kejadian risiko yang terwujud dengan efektif
b. Persen dari rencana tindakan risiko I&T yang dilaksanakan seperti yang dirancang
langkah-langkah untuk membatasi besarnya kerugian.
1. Mempersiapkan, memelihara, dan menguji rencana yang mendokumentasikan langkah-langkah spesifik yang harus diambil ketika peristiwa risiko dapat menyebab3kan operasional yang
signifikan atau insiden pengembangan dengan dampak bisnis yang serius. Pastikan bahwa rencana mencakup jalur eskalasi di seluruh perusahaan.
2. Menerapkan rencana respons yang tepat untuk meminimalkan dampak ketika insiden risiko terjadi.
3. Mengategorikan insiden dan membandingkan eksposur kerugian terkait I & T dengan ambang batas toleransi risiko. Komunikasikan bisnis 4
berdampak kepada pengambil keputusan sebagai bagian dari pelaporan dan memperbarui profil risiko.
4. Memeriksa kejadian buruk / kerugian masa lalu dan peluang yang hilang dan menentukan akar penyebabnya.
5. Komunikasikan akar masalah, persyaratan respons risiko tambahan, dan perbaikan proses kepada pengambil keputusan yang tepat. 5
Memastikan bahwa penyebab, persyaratan respons, dan perbaikan proses disertakan dalam proses tata kelola risiko.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 IR2.9 Penanganan Resiko
ISO / IEC 27001: 2013 / Kor.2: 2015 (E) 6.1 Tindakan untuk mengatasi risiko dan peluang
ISO / IEC 27005: 2011 (E) 9. Perlakuan risiko keamanan informasi

3.6 Otorisasi (Tugas 4)
800-37, Revisi 2 (Draf), Mei 2018
800-53, Revisi 5 (Draf), Agustus 2017 3.15 Manajemen program (PM-9, PM-31)
ffice.dll
fficefrficer wners
fficer
fficer
perations fficer
HAIAdministrasi
echnology O
RisiKkoepUKatlaeapmKIanaleafOpoKTarmloamaKDsiitiegepOiPaRtarlialosiOsMPkeeosatBunPFgaieusajrnesuKmgsKsaeOiehpnMaPamPaelaanrnanogKAnayeajremenspkmiKbatIOelaeneaknnpfoMbgaDralamagnntiMba
aKaasnjaiegenpTiMraaIPnjlaaeenTPrlaIrKjyievaeransKmainoOanntainuIintafosrBmisansis
APO12.01 Kumpulkan data. ARRR RRRRRRRRRRRR
APO12.02 Analisis risiko. AR R R
APO12.03 Mempertahankan profil risiko. AR R R
APO12.04 Mengartikulasikan risiko. AR R R
APO12.05 Mendefinisikan portofolio tindakan manajemen risiko. AR R R
APO12.06 Menanggapi risiko. RARR RRR RRRRRRRR

3.1 Persiapan (Tugas 1); Lampiran A: Peran dan Tanggung Jawab
134
Halaman 135
BAB 4

APO12.01 Kumpulkan data. Dari Deskripsi Deskripsi Untuk

APO02.02 Kkeemseanmjapnugaannsdaat irnisiko terkait Mfakatsoarlah risiko yang muncul danAPO012.012;
EDM03.01
APO02.05 Tugas beresiko

inisiatif Data tentang peristiwa risiko danIntern
faktor kontribusi
APO10.04 Pengiriman vendor teridentifikasDi ata operasi Intern

risiko lingkungan yang berkaitan dengan
DSS02.07 Status insiden dan risiko
tren Sejajarkan, Rencanakan, dan Atur
melaporkan
EDM03.01 Evaluasi resiko

kegiatan manajemen
EDM03.02 • Manajemen risiko
kebijakan
• Tujuan utama yang akan dicapai
dimonitor untuk risiko
pengelolaan
• Proses yang disetujui
untuk mengukur risiko
pengelolaan
APO12.02 Analisis risiko. DSS04.02 Dampak bisnis
Hasil analisis risiko APO01.01;
analisis (BIA)
APO02.02;
EDM03.03;
BAI01.08;
BAI 11.06
DSS05.01 Evaluasi potensi
Skenario risiko I&T Intern
ancaman
Penasihat Ancaman COBIT di luar Lingkup analisis risiko
Intern
upaya
APO12.03 Mempertahankan profil risiko. APO10.04 Pengiriman vendor teridentifikasPi rofil risiko
gabungan, APO02.02;
risiko termasuk status risiko EDM03.02
tindakan manajemen
DSS05.01 Evaluasi potensi Risiko yang terdokumentasi Intern
ancaman skenario
berdasarkan lini bisnis dan
EDM03.01 • Panduan selera risiko fungsi
• Toleransi risiko yang disetujui
level
APO12.04 Mengartikulasikan risiko. Analisis risiko dan risiko
APO10.04;
EDM03.03;
EDM05.02;
MEA04.05
Hasil dari risiko pihak ketiga
APO10.04;
penilaian
EDM03.03;
MEA02.01
Peluang untuk
EDM03.03
penerimaan risiko yang lebih besar
135
Halaman 136
APO12.05 Mendefinisikan portofolio tindakan manajemen risiko. Dari Deskripsi Deskripsi Untuk
Proposal proyek untuk APO02.02;

mengurangi resiko APO13.02
APO12.06 Menanggapi risiko. EDM03.03 Tindakan perbaikan Dampak resiko APO01.02;

untuk mengatasi risiko komunikasi APO08.04;
penyimpangan manajemen DSS04.02
Akar penyebab terkait risiko DSS02.03;

DSS03.01;
DSS03.02;
DSS03.03;
DSS03.05;
DSS04.02;
MEA02.04;
MEA04.04;
MEA04.06
Insiden terkait risiko rencana ta

DSS02.05
COSO Enterprise Risk Management, Juni 2017 10. Informasi, Komunikasi, dan Pelaporan — Prinsip 20
SF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 IR1.3 Penilaian Risiko Informasi — Materi Pendukung
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.1 Persiapan (Tugas 7): Masukan dan Keluaran; 3.6 Otorisasi
800-37, Revisi 2, September 2017 (Tugas 3, 4): Input dan Output
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 11. Manajemen risiko proyek: Input dan Output
Manajemen risiko bisnis Kerangka Keterampilan untuk Era Informasi V6, 2015 BURM
Jaminan informasi Kerangka Keterampilan untuk Era Informasi V6, 2015 INAS
Pengelolaan
Kebijakan risiko perusahaan Mendefinisikan tata kelola dan

Institut Standar Nasional dan 3.17 Penilaian risiko (RA-1)
manajemen perusahaan
risiko strategis, taktis dan
800- 53, Revisi 5 (Draf),
tingkat operasional, berdasarkan
Agustus 2017
tujuan bisnis. Menerjemahkan
tata kelola perusahaan menjadi risiko
prinsip dan kebijakan tata kelola
dan menguraikan manajemen risiko
kegiatan.
Kebijakan risiko penipuan Menginformasikan perlindungan perusahaanInstitut Standar Nasional dan
merek, reputasi dan aset di Publikasi Khusus Teknologi
peristiwa kerugian atau kerusakan yang diaki8b0a0tk- a3n7, Revisi 2 (Draf),
dari penipuan atau kesalahan. Panduan Mei 2018
karyawan dalam melaporkan yang mencurigakan
aktivitas dan penanganan sensitif
informasi dan bukti.
Mendorong budaya antifraud dan
menumbuhkan kesadaran akan risiko.
136
Halaman 137
BAB 4
Untuk mendukung budaya risiko yang transparan dan partisipatif, senior

ISF, Standar Praktik yang Baik IR1.2 Risiko Informasi
manajemen harus menetapkan arahan dan menunjukkan terlihat dan asli
untuk Keamanan Informasi 2016 Penilaian
dukungan untuk penggabungan praktik risiko di seluruh perusahaan.
Manajemen harus mendorong komunikasi dan bisnis terbuka
kepemilikan untuk risiko bisnis terkait I & T. Perilaku yang diinginkan termasuk
menyelaraskan kebijakan dengan selera risiko yang ditentukan, melaporkan tren risiko ke
manajemen senior dan badan pengelola risiko, menghargai risiko yang efektif
manajemen, dan secara proaktif memantau risiko dan kemajuan risiko
rencana aksi.

• Layanan manajemen krisis
• Perangkat tata kelola, risiko dan kepatuhan (GRC)
• Alat analisis risiko
• Badan intelijen risiko
137
Halaman 138

138
Halaman 139
BAB 4

Tujuan Manajemen: APO13 - Keamanan Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Tentukan, operasikan, dan pantau sistem manajemen keamanan informasi.
Tujuan
Menjaga dampak dan terjadinya insiden keamanan informasi dalam tingkat selera risiko perusahaan.
Tujuan Perusahaan
AG07 Keamanan informasi, infrastruktur pemrosesan dan
AG07 a. Jumlah insiden kerahasiaan yang menyebabkan kerugian finansial,
gangguan bisnis atau rasa malu publik
b. Rasio insiden signifikan yang tidak teridentifikasi di
b. Jumlah insiden ketersediaan yang menyebabkan kerugian finansial,
penilaian risiko vs. insiden total
gangguan bisnis atau rasa malu publik
c. Frekuensi pemutakhiran profil risiko
c. Jumlah insiden integritas yang menyebabkan kerugian finansial,
EG06 a. Jumlah layanan pelanggan atau proses bisnis gangguan bisnis atau rasa malu publik
gangguan yang menyebabkan insiden signifikan
b. Biaya bisnis dari insiden
c. Jumlah jam pemrosesan bisnis yang hilang karena
gangguan layanan yang tidak direncanakan
d. Persentase pengaduan sebagai fungsi dari komitmen
target ketersediaan layanan
A. Komponen: Proses
APO13.01 Membangun dan memelihara manajemen keamanan informasi

Sebuah. Tingkat kepuasan pemangku kepentingan dengan rencana keamanan di seluruh
sistem (ISMS).
Membangun dan memelihara sistem manajemen keamanan informasi perusahaan
(ISMS) yang menyediakan pendekatan standar, formal dan berkelanjutan
manajemen keamanan informasi, memungkinkan teknologi yang aman dan
proses bisnis yang selaras dengan kebutuhan bisnis.
1. Tentukan ruang lingkup dan batasan sistem manajemen keamanan informasi (SMKI) dalam kaitannya dengan karakteristik 2
perusahaan, organisasi, lokasinya, aset dan teknologinya. Sertakan detail, dan alasan untuk, pengecualian apa pun dari
ruang lingkup.
2. Mendefinisikan SMKI sesuai dengan kebijakan perusahaan dan konteks di mana perusahaan beroperasi.
3. Selaraskan SMKI dengan pendekatan perusahaan secara keseluruhan untuk manajemen keamanan.
4. Dapatkan otorisasi manajemen untuk menerapkan dan mengoperasikan atau mengubah SMKI.
5. Mempersiapkan dan memelihara pernyataan penerapan yang menggambarkan ruang lingkup SMKI.
6. Mendefinisikan dan mengkomunikasikan peran dan tanggung jawab manajemen keamanan informasi.
7. Komunikasikan pendekatan ISMS.
139
Halaman 140
HITRUST CSF versi 9, September 2017 0.01 Program Manajemen Keamanan Informasi
ISO / IEC 20000-1: 2011 (E) 6.6 Manajemen keamanan informasi
ITIL V3, 2011 Desain Layanan, 4.7 Manajemen Keamanan Informasi

800-37, Revisi 2 (Draf), Mei 2018 3.3 Seleksi (Tugas 1); 3.4 Implementasi (Tugas 1)

800-53, Revisi 5 (Draf), Agustus 2017 3.17 Penilaian risiko (RA-2)
APO13.02 Definisikan dan kelola risiko keamanan dan privasi informasi

Sebuah. Persentase simulasi skenario risiko keamanan yang berhasil
rencana perawatan.
Menjaga rencana keamanan informasi yang menjelaskan bagaimana informasi b. Jumlah karyawan yang telah berhasil melengkapi informasi
risiko keamanan harus dikelola dan diselaraskan dengan strategi perusahaan dan pelatihan kesadaran keamanan
arsitektur perusahaan. Pastikan bahwa rekomendasi untuk diterapkan
peningkatan keamanan didasarkan pada kasus bisnis yang disetujui,
diimplementasikan sebagai bagian integral dari pengembangan layanan dan solusi,
dan dioperasikan sebagai bagian integral dari operasi bisnis.
Sejajark1.aMn,erRumenusckaannadkananm,edmaenlihAartaurrencana perlakuan risiko keamanan informasi selaras dengan tujuan strategis dan perusahaan 3
Arsitektur. Pastikan bahwa rencana tersebut mengidentifikasi praktik manajemen dan solusi keamanan yang tepat dan optimal, dengan
sumber daya terkait, tanggung jawab dan prioritas untuk mengelola risiko keamanan informasi yang teridentifikasi.
2. Menjaga sebagai bagian dari arsitektur perusahaan inventaris komponen solusi yang ada untuk mengelola keamanan-
risiko terkait.
3. Mengembangkan proposal untuk mengimplementasikan rencana perlakuan risiko keamanan informasi, didukung oleh kasus bisnis yang sesuai yang mencakup
pertimbangan pendanaan dan alokasi peran dan tanggung jawab.
4. Memberikan masukan untuk desain dan pengembangan praktik manajemen dan solusi yang dipilih dari keamanan informasi
rencana perawatan risiko.
5. Melaksanakan pelatihan keamanan informasi dan privasi dan program kesadaran.
6. Mengintegrasikan perencanaan, desain, implementasi dan pemantauan keamanan informasi dan prosedur privasi dan lainnya
kontrol yang mampu mengaktifkan pencegahan cepat, deteksi peristiwa keamanan, dan respons terhadap insiden keamanan.
7. Tentukan bagaimana mengukur keefektifan praktek manajemen yang dipilih. Tentukan bagaimana pengukuran ini akan dilakukan 4
digunakan untuk menilai keefektifan untuk menghasilkan hasil yang sebanding dan dapat direproduksi.
APO13.03 Memantau dan meninjau manajemen keamanan informasi

Sebuah. Frekuensi tinjauan keamanan terjadwal
sistem (ISMS).
Menjaga dan secara teratur mengkomunikasikan kebutuhan dan manfaat dari, b. Jumlah temuan dalam tinjauan keamanan yang dijadwalkan secara teratur
peningkatan berkelanjutan dalam keamanan informasi. Kumpulkan dan analisis c. Tingkat kepuasan pemangku kepentingan dengan rencana keamanan
data tentang sistem manajemen keamanan informasi (ISMS), dan d. Jumlah insiden terkait keamanan yang disebabkan oleh kegagalan untuk mematuhi
rencana keamanan
meningkatkan efektivitasnya. Perbaiki ketidaksesuaian untuk mencegah terulangnya kembali.
140
Halaman 141
BAB 4
1. Melakukan peninjauan berkala atas keefektifan SMKI. Sertakan memenuhi kebijakan dan tujuan ISMS dan meninjau keamanan 4
dan praktik privasi.
2. Lakukan audit SMKI pada interval yang direncanakan.
3. Melakukan tinjauan manajemen terhadap SMKI secara berkala untuk memastikan bahwa ruang lingkup tetap memadai dan ditingkatkan
dalam proses ISMS diidentifikasi.
4. Catat tindakan dan peristiwa yang dapat berdampak pada efektivitas atau kinerja SMKI.
5. Memberikan masukan untuk pemeliharaan rencana keamanan dengan mempertimbangkan temuan dari kegiatan pemantauan dan peninjauan. 5

3.3 Seleksi (Tugas 3) Sejajarkan, Rencanakan, dan Atur
800-37, Revisi 2 (Draf), Mei 2018
ffice frficer
ffice.dll
wners
echnology O
perations fficer
HAIAdministrasi
KepKaleapKIanloafmoKTrimteepaPaRsrliiaosOisMPkeeosatBunPKgaieseajrnepsuiPmasKelaeOanehnagKAamPearemrnspaoiKbnatyelaeaknpkMbgaIOalnagnfnioMbaKaranjmaegenpTiMraaaIsPnjlaiaeenTPrlaIrKjy
ievaeransKmainoOanntainuIintafosrBmisansis
APO13.01 Membangun dan memelihara sistem manajemen keamanan informasi (ISMS). R RA R R
APO13.02 Tentukan dan kelola rencana penanganan risiko keamanan dan privasi informasi. R RA R R R
APO13.03 Memantau dan meninjau sistem manajemen keamanan informasi (ISMS). RR ARRRRRRRRRR
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SG1.2 Arah Keamanan
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 6.1 Organisasi internal
APO13.01 Membangun dan memelihara keamanan informasi Dari Deskripsi Deskripsi Untuk
sistem manajemen (ISMS).
Di luar keamanan COBIT Enterprise Pernyataan ruang lingkup ISMS APO01,05;
pendekatan DSS06.03
Kebijakan ISMS Intern
APO13.02 Definisikan dan kelola keamanan informasi

APO02.04 Kesenjangan dan perubahan Risiko keamanan informasi Semua APO;
rencana perawatan risiko. dibutuhkan untuk merealisasikanretanrcgaenta Semua BAI;
perawatan kemampuan Semua DSS; Semua
MEA; SEMUA EDM
APO03.02 Domain dasar
Informasi keamanan APO05.02
deskripsi dan
kasus bisnis
definisi arsitektur
APO12.05 Proposal proyek untuk
mengurangi resiko
141
Halaman 142
APO13.03 Memantau dan meninjau keamanan informasi Dari Deskripsi Deskripsi Untuk
sistem manajemen (ISMS).
DSS02.02 Diklasifikasikan dan diprioritaskRanekomendasi Intern
untuk
insiden dan layanan
permintaan
Panduan
Terkait
(Standar,
Kerangka
Kerja,
Persyaratan
Kepatuhan)
meningkatkan informasi keamanan pengelolaan
sistem (ISMS) MEA02.01
Informasi keamanan sistem manajemen

(ISMS) laporan audit

3.3 Seleksi (Tugas 1, 3): Input dan Output; 3.4 Implementasi
(Tugas 1): Input dan Output
Informasi keamanan Kerangka Keterampilan untuk Era Informasi V6, 2015 SCTY
Strategi keamanan informasi
Sejajarkpeanng,emRbeanncgaannaka e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK D. Aktif — D.1. Informasi
n, dan Atur Profesional di semua sektor industri - Bagian 1: Kerangka, 2016 Pengembangan Strategi Keamanan
Keamanan dan privasi informasi

kebijakan Menetapkan pedoman perilaku menjadi (1) ISO / IEC 27001: 2013 / (1) 5.2 Kebijakan; (2) 5. Informasi
melindungi informasi perusahaan, Kor.2: 2015 (E); (2) ISO / IEC kebijakan keamanan; (3) 3.2 Kesadaran
sistem dan infrastruktur. 27002: 2013 / Kor. 2: 2015 (E); (3) dan pelatihan (AT-1); (4) 04.01
Mengingat kebutuhan bisnis itu Institut Standar Nasional dan Kebijakan Keamanan Informasi; (5)
terkait keamanan dan penyimpanan Publikasi Khusus Teknologi SM1.1 Keamanan Informasi
lebih dinamis daripada risiko I&T 800-53, Revisi 5 (Draf), Agustus Kebijakan
manajemen dan privasi, mereka 2017; (4) Versi CSF HITRUST
tata kelola harus ditangani 9, September 2017; (5) ISF, The
terpisah dari risiko I&T dan Standar Praktik yang Baik untuk
pribadi. Untuk efisiensi operasional, Keamanan Informasi 2016
menyinkronkan keamanan informasi
kebijakan dengan risiko I&T dan privasi
kebijakan.
Membangun budaya kesadaran keamanan dan privasi yang positif

(1) ISO / IEC 27001: 2013 / 1) 7.3 Kesadaran; (2) Kerangka
mempengaruhi perilaku yang diinginkan dan implementasi keamanan yang sebenarnya daKnor.2: 2015 (E); (2) Membuat a untuk mencapai keamanan yang disengaja
kebijakan privasi dalam praktik sehari-hari. Berikan keamanan dan privasi yang memadaiBudaya Keamanan, ISACA, 2011 budaya sadar (semua bab)
panduan, tunjukkan pendukung keamanan dan privasi (termasuk level C.
eksekutif, pemimpin HR, dan profesional keamanan dan / atau privasi) dan
secara proaktif mendukung dan mengkomunikasikan program keamanan dan privasi,
inovasi dan tantangan.
• Alat manajemen konfigurasi

• Layanan kesadaran keamanan dan privasi
• Layanan penilaian keamanan pihak ketiga
142
Halaman 143
BAB 4

Tujuan Manajemen: APO14 - Data Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Mencapai dan mempertahankan pengelolaan aset data perusahaan yang efektif di seluruh siklus hidup data, mulai dari pembuatan hingga pengiriman, pemeliharaan
dan pengarsipan.
Tujuan
Memastikan pemanfaatan yang efektif dari aset data penting untuk mencapai tujuan dan sasaran perusahaan.
Tujuan Perusahaan
AG10 Kualitas informasi manajemen I&T
EG04 Sebuah. Survei kepuasan pemangku kepentingan utama tentang

memperhitungkan sumber daya yang tersedia
b. Biaya ketidakpatuhan terhadap peraturan terkait keuangan
EG07 Sebuah. Gelar dewan dan manajemen eksekutif informasi terkait I & T yang salah atau tidak tersedia adalah a
kepuasan dengan informasi pengambilan keputusan faktor utama
c. Saatnya memberikan informasi pendukung yang efektif
keputusan bisnis
A. Komponen: Proses
APO14.01 Mendefinisikan dan mengkomunikasikan data organisasi

strategi dan peran serta tanggung jawab manajemen. Sebuah. Jumlah pelanggaran manajemen data dibandingkan dengan
strategi yang ditentukan
Tentukan cara mengelola dan meningkatkan aset data organisasi,
sejalan dengan strategi dan tujuan perusahaan. Komunikasikan b. Persentase peran dan tanggung jawab yang diidentifikasi untuk mendukung
strategi pengelolaan data kepada semua pemangku kepentingan. Tetapkan peran dan tata kelola manajemen data dan interaksi antara
tata kelola dan fungsi manajemen data
tanggung jawab untuk memastikan bahwa data perusahaan dikelola sebagai hal yang penting
aset dan strategi manajemen data diimplementasikan dan
dipertahankan secara efektif dan berkelanjutan.
1. Membentuk fungsi pengelolaan data dengan tanggung jawab mengelola kegiatan yang mendukung tujuan pengelolaan data. 2
2. Tentukan peran dan tanggung jawab untuk mendukung pengelolaan data dan interaksi antara tata kelola dan data
fungsi manajemen.
3. Memastikan bahwa bisnis dan teknologi secara kolaboratif mengembangkan strategi manajemen data organisasi. Pastikan data itu 3
tujuan manajemen, prioritas dan ruang lingkup mencerminkan tujuan perusahaan, konsisten dengan kebijakan manajemen data dan
regulasi, dan disetujui oleh semua pemangku kepentingan.
4. Mengkomunikasikan tujuan, prioritas dan ruang lingkup pengelolaan data dan menyesuaikannya sesuai kebutuhan, berdasarkan umpan balik.
5. Gunakan metrik untuk menilai dan memantau pencapaian tujuan pengelolaan data. 4
6. Pantau urutan rencana untuk implementasi strategi manajemen data. Perbarui sesuai kebutuhan, berdasarkan kemajuan
ulasan.
7. Gunakan statistik dan teknik kuantitatif lainnya untuk mengevaluasi keefektifan tujuan manajemen data strategis dalam
mencapai tujuan bisnis. Lakukan modifikasi sesuai kebutuhan, berdasarkan metrik.
8. Pastikan bahwa organisasi meneliti proses bisnis yang inovatif dan persyaratan peraturan yang muncul untuk memastikannya 5
Program manajemen data sesuai dengan kebutuhan bisnis di masa depan.
9. Memberikan kontribusi pada praktik terbaik industri untuk pengembangan dan implementasi strategi manajemen data.
143
Halaman 144
Model Maturitas Manajemen Data CMMI, 2014 Strategi Manajemen Data - Strategi Manajemen Data; Data
Tata Kelola — Manajemen Tata Kelola
ITIL V3, 2011 Desain Layanan, 5.2 Manajemen Data dan Informasi
CSC 13: Perlindungan Data
6.1, Agustus 2016
APO14.02 Definisikan dan pertahankan glosarium bisnis yang konsisten. Sebuah. Tingkat penerimaan dan frekuensi penggunaan istilah glosarium bisnis
Membuat, menyetujui, memperbarui, dan mempromosikan persyaratan bisnis yang konsistednidsaenluruh organisasi
definisi untuk mendorong penggunaan data bersama di seluruh organisasi. b. Jumlah sinonim untuk terminologi glosarium bisnis yang didefinisikan itu
digunakan dalam upaya pengembangan baru
c. Tingkat perincian istilah glosarium bisnis yang ditentukan
1. Pastikan istilah bisnis standar tersedia dan dikomunikasikan kepada pemangku kepentingan terkait. 2
2. Pastikan bahwa setiap istilah bisnis yang ditambahkan ke glosarium bisnis memiliki nama yang unik dan definisi yang unik.
3. Gunakan istilah dan definisi bisnis industri standar, jika sesuai, dalam glosarium bisnis.
4. Menetapkan, mendokumentasikan, dan mengikuti proses untuk menentukan, mengelola, menggunakan, dan memelihara glosarium bisnis. Misalnya baru 3
Sejajarkainn,isRiaetinf chaarnuas kmaenne,rdapaknanAisttuilrah bisnis standar sebagai bagian dari proses definisi persyaratan data
untuk memastikan konsistensi bahasa. Ini akan membantu mencapai perbandingan konten dan memfasilitasi berbagi data di
seluruh organisasi.
5. Memastikan bahwa pengembangan baru, integrasi data dan upaya konsolidasi data menerapkan persyaratan bisnis standar sebagai bagian dari
proses definisi kebutuhan data.
6. Integrasikan glosarium bisnis ke dalam gudang metadata organisasi, dengan izin akses yang sesuai.
Model Maturitas Manajemen Data CMMI, 2014 Tata Kelola Data - Daftar Istilah Bisnis
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 IM1.1 Klasifikasi dan Penanganan Informasi
APO14.03 Menetapkan proses dan infrastruktur untuk metadata

pengelolaan. Sebuah. Jumlah ketidakakuratan yang teridentifikasi dalam metadata
Tetapkan proses dan infrastruktur untuk menentukan dan memperluas b. Persentase metadata yang berisi ukuran dan metrik untuk mengevaluasi
metadata tentang aset data organisasi, pembinaan dan penunjang akurasi dan adopsi metadata
berbagi data, memastikan penggunaan data yang sesuai, meningkatkan daya tanggap
untuk perubahan bisnis dan mengurangi risiko terkait data.
1. Buat dan ikuti proses manajemen metadata. 2
2. Pastikan bahwa dokumentasi metadata menangkap saling ketergantungan data.
3. Tetapkan dan ikuti kategori metadata, properti dan standar.
4. Mengembangkan dan menggunakan metadata untuk melakukan analisis dampak pada potensi perubahan data. 3
5. Isi gudang metadata organisasi dengan kategori tambahan dan klasifikasi metadata menurut a
rencana implementasi bertahap. Tautkan ke lapisan arsitektur.
6. Validasi metadata dan setiap perubahan metadata terhadap arsitektur yang ada.
7. Pastikan bahwa organisasi telah mengembangkan metamodel terintegrasi yang diterapkan di semua platform.
8. Pastikan bahwa jenis metadata dan definisi data mendukung praktik impor, langganan, dan konsumsi yang konsisten.
9. Gunakan ukuran dan metrik untuk mengevaluasi keakuratan dan adopsi metadata. 4
10. Mengevaluasi perubahan data yang direncanakan untuk dampak pada penyimpanan metadata. Terus tingkatkan pengambilan metadata, perubahan, dan 5
proses penyempurnaan.
Model Maturitas Manajemen Data CMMI, 2014 Tata Kelola Data — Manajemen Metadata
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 8.2 Klasifikasi informasi
144
Halaman 145
BAB 4
APO14.04 Tentukan strategi kualitas data. Sebuah. Jumlah upaya peningkatan kualitas data yang diidentifikasi dan dicatat di
Tentukan strategi yang terintegrasi dan di seluruh organisasi untuk dicapai dan dipelihara rencana urutan
tingkat kualitas data (seperti kompleksitas, integritas, akurasi, b. Persentase pemangku kepentingan yang puas dengan kualitas data
kelengkapan, validitas, ketertelusuran dan ketepatan waktu) yang diperlukan untuk mendukung
tujuan dan sasaran bisnis.
1. Menentukan strategi kualitas data bekerja sama dengan pemangku kepentingan bisnis dan teknologi, yang disetujui oleh manajemen eksekutif, 3
dan dikelola. Strategi tersebut harus memfasilitasi perpindahan dari keadaan saat ini ke keadaan sasaran. Itu juga harus secara eksplisit sejalan dengan
tujuan bisnis dan strategi manajemen data organisasi.
2. Pastikan bahwa strategi kualitas data diikuti di seluruh organisasi dan disertai dengan kebijakan yang sesuai,
proses dan pedoman. Sejajarkan, Rencanakan, dan Atur
3. Jangkar kebijakan, proses, dan tata kelola yang terkandung dalam strategi kualitas data di seluruh siklus hidup data. Mandat
proses yang sesuai dalam metodologi siklus hidup pengembangan sistem.
4. Mengembangkan, memantau dan memelihara rencana urutan untuk upaya peningkatan kualitas data di seluruh organisasi.
5. Untuk mengevaluasi kemajuan, pantau rencana untuk memenuhi tujuan dan sasaran strategi kualitas data. 4
6. Secara sistematis mengumpulkan laporan pemangku kepentingan tentang masalah kualitas data. Sertakan harapan mereka untuk meningkatkan kualitas data di
strategi kualitas data. Ukur dan pantau mereka.
CMMI Cybermaturity Platform, 2018 DP.DR Menjaga Data Diam; DP.DT Mengamankan Data dalam Transit; DP.IP
Integritas dan Pencegahan Kebocoran Data
Model Maturitas Manajemen Data CMMI, 2014 Kualitas Data - Strategi Kualitas Data
APO14.05 Menetapkan metodologi, proses, dan alat pembuatan profil data.

Menerapkan metodologi pembuatan profil data standar, proses, Sebuah. Jumlah template data yang ditentukan dan diimplementasikan beserta
praktik, alat, dan templat yang dapat diterapkan di berbagai data persentase penggunaan
repositori dan penyimpanan data. b. Jumlah kumpulan data bersama dengan profil data yang ditentukan
1. Menentukan dan membakukan metodologi pembuatan profil data, proses, praktik, alat, dan templat hasil. Pastikan pembuatan profil itu 3
proses dapat digunakan kembali dan dimanfaatkan di beberapa penyimpanan data dan repositori data bersama.
2. Libatkan manajemen data untuk mengidentifikasi kumpulan data inti bersama yang secara teratur dibuat profil dan dipantau. 4
3. Dalam upaya pembuatan profil data, meliputi evaluasi kesesuaian isi data dengan metadata dan standar yang telah disetujui.
4. Selama aktivitas pembuatan profil data, bandingkan masalah aktual dengan masalah yang diprediksi secara statistik, berdasarkan hasil pembuatan profil historis.
5. Pastikan bahwa hasil disimpan secara terpusat, dipantau dan dianalisis secara sistematis sehubungan dengan statistik dan metrik. Menyediakan
wawasan yang dihasilkan untuk peningkatan kualitas data dari waktu ke waktu.
6. Membuat laporan profil otomatis real-time atau mendekati real-time untuk semua feed dan repositori data penting. 5
Model Maturitas Manajemen Data CMMI, 2014 Kualitas Data — Pembuatan Profil Data
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.20 Integritas sistem dan informasi (SI-1)
800-53, Revisi 5, Agustus 2017
APO14.06 Pastikan pendekatan penilaian kualitas data.

Sebuah. Jumlah masalah yang teridentifikasi dalam hasil penilaian kualitas data
Memberikan pendekatan sistematis untuk mengukur dan mengevaluasi kualitas data
menurut proses dan teknik, dan bertentangan dengan aturan kualitas data. b. Banyaknya hasil penilaian kualitas data yang meliputi
rekomendasi untuk remediasi
145
Halaman 146
1. Melakukan penilaian kualitas data secara berkala, sesuai frekuensi yang disetujui sesuai dengan kebijakan penilaian kualitas data. 4
Pastikan bahwa tata kelola data menentukan kumpulan atribut utama menurut bidang subjek untuk penilaian kualitas data.
2. Memasukkan rekomendasi untuk remediasi, dengan alasan pendukung, dalam hasil penilaian kualitas data.
3. Menilai kualitas data, menggunakan ambang batas dan target yang ditetapkan untuk setiap dimensi kualitas yang dipilih.
4. Secara sistematis menghasilkan laporan pengukuran kualitas data, berdasarkan kekritisan atribut dan volatilitas data.
5. Secara terus menerus meninjau dan meningkatkan penilaian kualitas data dan proses pelaporan. 5
Model Maturitas Manajemen Data CMMI, 2014 Kualitas Data — Penilaian Kualitas Data
APO14.07 Definisikan pendekatan pembersihan data.

Sebuah. Persen data dibersihkan dengan benar
Tentukan mekanisme, aturan, proses, dan metode untuk memvalidasi dan
b. Persentase SLA yang mencakup kriteria kualitas data dan menyimpan data
mengoreksi data sesuai dengan aturan bisnis yang telah ditentukan sebelumnya.
penyedia bertanggung jawab atas data yang dibersihkan
1. Menetapkan dan memelihara kebijakan pembersihan data. 2
2. Menjaga riwayat perubahan data melalui kegiatan pembersihan. 3

Sejajark3.aTne,taRpkeanncmanetaokdeanun, tdukanmeAngtuorreksi data dan tentukan metode tersebut dalam sebuah rencana. Metode dapat mencakup banyak repositori 4
perbandingan, verifikasi terhadap sumber yang valid, pemeriksaan logika, integritas referensial, atau toleransi rentang.
4. Dalam perjanjian tingkat layanan, sertakan kriteria kualitas data untuk meminta pertanggungjawaban penyedia data atas data yang telah dibersihkan.

Model Maturitas Manajemen Data CMMI, 2014 Kualitas Data — Pembersihan Data
APO14.08 Mengelola siklus hidup aset data.

Sebuah. Jumlah persyaratan dari konsumen data yang tidak dapat dipetakan
Pastikan organisasi memahami, peta, inventaris, dan kontrol
ke sumber data
datanya mengalir melalui proses bisnis selama siklus hidup data, dari
b. Jumlah kumpulan data bersama
penciptaan atau akuisisi hingga pensiun.
c. Waktu sejak pemeriksaan kepatuhan terakhir tentang pemetaan bisnis
proses ke data
1. Memetakan dan menyelaraskan kebutuhan data konsumen dan produsen. 2
2. Tentukan pemetaan proses-ke-data bisnis. Pertahankan dan tinjau kepatuhannya secara berkala. 3
3. Ikuti proses yang ditentukan untuk perjanjian kolaboratif sehubungan dengan data bersama dan penggunaan data dalam proses bisnis.
4. Menerapkan aliran data dan peta siklus hidup data-ke-proses lengkap untuk data bersama untuk setiap proses bisnis utama di
tingkat organisasi.
5. Memastikan bahwa perubahan pada kumpulan data bersama atau kumpulan data target untuk tujuan bisnis tertentu dikelola oleh tata kelola data
struktur, dengan keterlibatan pemangku kepentingan yang relevan.
6. Gunakan metrik untuk memperluas penggunaan kembali data bersama yang disetujui dan menghilangkan redundansi proses. 4
Model Maturitas Manajemen Data CMMI, 2014 Operasi Data — Manajemen Siklus Hidup Data
146
Halaman 147
BAB 4
APO14.09 Mendukung pengarsipan dan penyimpanan data.

Sebuah. Persentase upaya yang tidak berhasil mentransfer data ke arsip
Pastikan bahwa pemeliharaan data memenuhi organisasi dan peraturan
persyaratan ketersediaan data historis. Pastikan bahwa legal dan b. Persentase pemeliharaan data yang memenuhi organisasi dan peraturan
persyaratan peraturan untuk pengarsipan dan penyimpanan data dipenuhi. persyaratan untuk ketersediaan data historis dan hukum dan peraturan
persyaratan untuk pengarsipan dan penyimpanan data
1. Memastikan bahwa kebijakan mewajibkan pengelolaan riwayat data, termasuk persyaratan penyimpanan, penghancuran, dan jejak audit. 2
2. Memastikan adanya metode yang ditentukan yang menjamin aksesibilitas ke data historis yang diperlukan untuk mendukung kebutuhan bisnis.
3. Menggunakan kebijakan dan proses untuk mengontrol akses, pengiriman dan modifikasi pada data historis dan arsip.
4. Pastikan bahwa organisasi memiliki tempat penyimpanan gudang data yang ditentukan yang menyediakan akses ke data historis untuk rapat 3
analitik membutuhkan proses bisnis pendukung.
Model Maturitas Manajemen Data CMMI, 2014 Platform dan Arsitektur — Data Historis, Retensi, dan Pengarsipan
APO14.10 Mengelola pengaturan pencadangan dan pemulihan data.

Sebuah. Persentase upaya yang gagal untuk mencadangkan data
Kelola ketersediaan data penting untuk memastikan kelangsungan operasional.
b. Persentase upaya yang berhasil untuk memulihkan data cadangan
1. Tentukan jadwal untuk memastikan pencadangan yang benar dari semua data penting. 2
2. Tentukan persyaratan untuk penyimpanan data cadangan di tempat dan di luar situs, dengan mempertimbangkan volume, kapasitas, dan periode penyimpanan,
sejalan dengan kebutuhan bisnis.
3. Buat jadwal pengujian untuk data cadangan. Pastikan data dapat dipulihkan dengan benar tanpa memengaruhi bisnis secara drastis.
CSC 10: Kemampuan Pemulihan Data
6.1, Agustus 2016
fficer
fficer
fficer
RisiKkoepUKatlaeapmKIanaloafOmoKDrimtiegepaiFaRtsauliialsnOiOPgkseointuPMagesaaerhnsuasKatjeehhmaaumaeknaunmDaantaInformasi
APO14.01 Mendefinisikan dan mengkomunikasikan strategi dan peran serta tanggung jawab manajemen data organisasi. RAR RR
APO14.02 Definisikan dan pertahankan glosarium bisnis yang konsisten. RAR RR
APO14.03 Menetapkan proses dan infrastruktur untuk manajemen metadata. RAR RR
APO14.04 Tentukan strategi kualitas data. RAR RR
APO14.05 Menetapkan metodologi, proses, dan alat pembuatan profil data. RAR RR
APO14.06 Pastikan pendekatan penilaian kualitas data. RAR RR
APO14.07 Definisikan pendekatan pembersihan data. RAR RR
APO14.08 Mengelola siklus hidup aset data. RARRRRR
APO14.09 Mendukung pengarsipan dan penyimpanan data. RARRRRR
APO14.10 Mengelola pengaturan pencadangan dan pemulihan data. RAR RRR
147
Halaman 148
B.Komponen: Struktur Organisasi (lanjutan)
APO14.01 Mendefinisikan dan mengkomunikasikan organisasi Dari Deskripsi Deskripsi Untuk

strategi dan peran manajemen data dan
APO01.06 Klasifikasi data Manajemen data APO03.02;
tanggung jawab.
pedoman strategi APO14.10
APO07.03 Keterampilan dan kompetensi Peran yang disetujui dan Intern
matriks tanggung jawab untuk data
manajemen dan data
pemerintahan
COBIT luar • Strategi perusahaan Publikasi Eksternal dan Intern

• Manajemen data presentasi tentang yang terbaik
kebijakan dan regulasi praktek di industri
konferensi
Rencana implementasi untuk Intern

manajemen data
Sejajarkan, Rencanakan, dan Atur strategi
APO14.02 Definisikan dan pertahankan bisnis yang konsisten
Glosarium bisnis APO14.03;
Glosarium.
BAI02.01
APO14.03 Menetapkan proses dan infrastruktur untuk

APO03.02 Arsitektur informasi Dokumentasi metadata APO03.02
manajemen metadata.
model
APO14.02 Glosarium bisnis
APO14.04 Tentukan strategi kualitas data. APO01.06 Prosedur integritas data Strategi kualitas data APO14.05;
APO14.06;
APO14.07
APO01.07 Keamanan dan kontrol data
Masalah kualitas data Intern
pedoman
laporan
APO11.01 Manajemen mutu
Kualitas data Intern
rencana
rencana perbaikan
APO14.05 Menetapkan metodologi profil data, APO14.04 Strategi kualitas data Pembuatan profil data Intern
proses dan alat. metodologi, proses,
praktik, alat, dan hasil
template
APO14.06 Pastikan pendekatan penilaian kualitas data. APO11.01 Manajemen mutu
Penilaian kualitas data Intern
rencana
hasil
APO14.04 Strategi kualitas data
APO14.07 Definisikan pendekatan pembersihan data. APO14.04 Strategi kualitas data Kualitas data
APO09.03
Persyaratan
APO14.08 Mengelola siklus hidup aset data. APO01.07 Keamanan dan kontrol data
pedoman
DSS04.07 Data cadangan
APO14.09 Mendukung pengarsipan dan penyimpanan data. DSS06.05 Persyaratan retensi Arsip data Intern
APO14.10 Mengelola pencadangan dan pemulihan data APO01.07 Keamanan dan kontrol data Rencana uji cadangan DSS04.07
pengaturan. pedoman
APO14.01 Manajemen data Rencana cadangan DSS04.07
strategi
148
Halaman 149
BAB 4
Analisis data Kerangka Keterampilan untuk Era Informasi V6, 2015 DTAN
Manajemen data Kerangka Keterampilan untuk Era Informasi V6, 2015 DATM
Jaminan informasi Kerangka Keterampilan untuk Era Informasi V6, 2015 INAS
Manajemen informasi Kerangka Keterampilan untuk Era Informasi V6, 2015 IRMG

Kebijakan pembersihan data Menguraikan manajemen
Kematangan Manajemen Data CMMI Pembersihan data
komitmen untuk pembersihan data.
Menentukan frekuensi, pedoman
Model, 2014 Sejajarkan, Rencanakan, dan Atur
dan akuntabilitas; dokumen
metode, solusi yang tersedia dan
alat.
Kebijakan manajemen data Menjelaskan organisasi

komitmen untuk mengelola data
aset di seluruh siklus hidup data,
dari penciptaan sampai pengiriman,
pemeliharaan dan pengarsipan.
Kebijakan penilaian kualitas data Menjelaskan data organisasi
penilaian jaminan kualitas (1) Manajemen Data CMMI (1) Penilaian Kualitas Data;
filosofi untuk memastikan Model Maturitas, 2014; (2) Nasional (2) 3.20 Sistem dan informasi
integritas data yang digunakan Institut Standar dan integritas (SI-1)
untuk membuat keputusan yang berdampak 800- 53, Revisi 5 (Draf),
organisasi. Tugas Agustus 2017
frekuensi, pedoman dan
akuntabilitas untuk kualitas data
penilaian. Garis besar tersedia
metode, solusi, dan alat.
Kebijakan pribadi Mendokumentasikan koleksi, gunakan,
pengungkapan dan pengelolaan
data pribadi. Data pribadi bisa
menjadi data apa pun yang mungkin digunakan
mengidentifikasi seseorang, termasuk,
tetapi tidak terbatas pada, nama, alamat,
tanggal lahir, status perkawinan,
informasi kontak, masalah ID dan
tanggal kadaluwarsa, catatan keuangan,
informasi kredit, riwayat kesehatan,
tujuan perjalanan, dan niat untuk
memperoleh barang atau jasa. Itu
kebijakan privasi menentukan bagaimana sebuah
perusahaan mengumpulkan, menyimpan dan
melepaskan informasi pribadi;
bagaimana dan kapan kliennya
diinformasikan tentang informasi spesifik
yang dikumpulkan dan apakah
itu dijaga kerahasiaannya, dibagikan
dengan mitra, atau dijual ke orang lain
perusahaan atau perusahaan. Kebijakan
mandat kepatuhan dengan
undang-undang yang relevan terkait dengan data
perlindungan.
149
Halaman 150
Ciptakan budaya tanggung jawab bersama atas data organisasi

Kematangan Manajemen Data CMMI Tata Kelola Data
aktiva; mengakui nilai potensial dari aset data dan memastikannya
Model, 2014
peran dan tanggung jawab jelas untuk tata kelola dan pengelolaan
aset data.
Ciptakan kesadaran seputar integritas data, akurasi, kelengkapan dan
Kematangan Manajemen Data CMMI Kualitas data
perlindungan untuk membangun budaya kualitas data. Hubungkan kualitas data dengan fiMle odel,
2014 nilai-nilai inti perusahaan. Terus komunikasikan dampak dan risikonya
kehilangan data. Pastikan bahwa karyawan memahami biaya sebenarnya dari kegagalan
menerapkan budaya kualitas data.
• Alat pemodelan data

• Repositori data

150
Halaman 151
BAB 4
4.3 Membangun, Memperoleh, dan Menerapkan (BAI
1 Program yang Dikelola
2 Definisi Persyaratan yang Dikelola
3 Identifikasi dan Pembuatan Solusi Terkelola
4 Ketersediaan dan Kapasitas yang Dikelola
5 Perubahan Organisasi yang Dikelola
6 Perubahan TI yang Dikelola Bangun, Dapatkan, dan Terapkan
7 Penerimaan dan Transisi Perubahan TI yang Dikelola
8 Pengetahuan yang Dikelola
9 Aset yang Dikelola
10 Konfigurasi Terkelola
11 Proyek yang Dikelola
151
Halaman 152

Bangun, Dapatkan, dan Terapkan
152
Halaman 153
BAB 4
Domain: Membangun, Memperoleh, dan Menerapkan

Tujuan Manajemen: BAI01 - Program Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Kelola semua program dari portofolio investasi selaras dengan strategi perusahaan dan secara terkoordinasi, berdasarkan program standar
pendekatan manajemen. Memulai, merencanakan, mengontrol, dan menjalankan program, dan memantau nilai yang diharapkan dari program.
Tujuan
Sadarilah nilai bisnis yang diinginkan dan kurangi risiko penundaan yang tidak terduga, biaya dan erosi nilai. Untuk melakukannya, tingkatkan komunikasi ke dan
keterlibatan bisnis dan pengguna akhir, memastikan nilai dan kualitas hasil program dan tindak lanjut proyek dalam program, dan
memaksimalkan kontribusi program ke portofolio investasi.
Tujuan Perusahaan
➡ • EG08 Optimalisasi fungsi proses bisnis internal
• Program transformasi digital terkelola EG12 Tujuan Penyelarasan
portofolio

target pendapatan dan / atau pangsa pasar AG03 a. Persentase investasi yang mendukung I & T yang diklaim
target kepuasan pelanggan b. Persen dari layanan I&T yang mengharapkan manfaat (seperti

AG09 a. Jumlah program / proyek tepat waktu dan sesuai anggaran Bangun, Dapatkan, dan Terapkan
dengan kemampuan proses bisnis b. Jumlah program yang membutuhkan pengerjaan ulang yang signifikan karena kualitas
b. Tingkat kepuasan pelanggan dengan penyampaian layanan cacat
kemampuan c. Persentase pemangku kepentingan yang puas dengan kualitas program / proyek
kemampuan
A. Komponen: Proses
BAI01.01 Mempertahankan pendekatan standar untuk manajemen program.

Sebuah. Persentase program yang berhasil berdasarkan standar yang ditentukan
Pertahankan pendekatan standar untuk manajemen program yang memungkinkan
tinjauan tata kelola dan manajemen, pengambilan keputusan dan pengiriman- pendekatan
b. Persentase pemangku kepentingan yang puas dengan pengelolaan program
kegiatan manajemen. Kegiatan ini harus difokuskan secara konsisten
nilai dan tujuan bisnis (yaitu, persyaratan, risiko, biaya, jadwal dan
target kualitas).
1. Menjaga dan menegakkan pendekatan standar untuk manajemen program, selaras dengan lingkungan spesifik perusahaan dan 2
dengan praktik yang baik berdasarkan proses yang ditentukan dan penggunaan teknologi tepat guna. Pastikan bahwa pendekatan tersebut mencakup seluruh kehidupan
siklus dan disiplin ilmu yang harus diikuti, termasuk pengelolaan ruang lingkup, sumber daya, risiko, biaya, kualitas, waktu, komunikasi,
keterlibatan pemangku kepentingan, pengadaan, kontrol perubahan, integrasi dan realisasi manfaat.
2. Menempatkan kantor program atau kantor manajemen proyek (PMO) yang mempertahankan pendekatan standar untuk program dan 3
manajemen proyek di seluruh organisasi. PMO mendukung semua program dan proyek dengan membuat dan memelihara
templat dokumentasi proyek yang diperlukan, memberikan pelatihan dan praktik terbaik untuk manajer program / proyek, pelacakan
metrik penggunaan praktik terbaik untuk manajemen proyek, dll. Dalam beberapa kasus, PMO juga dapat melaporkan program / proyek
kemajuan ke manajemen senior dan / atau pemangku kepentingan, membantu memprioritaskan proyek, dan memastikan semua proyek mendukung keseluruhan
tujuan bisnis perusahaan.
3. Mengevaluasi pelajaran yang didapat berdasarkan penggunaan pendekatan manajemen program dan memperbarui pendekatan yang sesuai. 4
153
Halaman 154
BAI01.02 Memulai program. Sebuah. Persentase inisiatif / proyek I&T yang diperjuangkan oleh pemilik bisnis
Memulai program untuk memastikan manfaat yang diharapkan dan mendapatkan otorisasbi. Persentase inisiatif strategis dengan akuntabilitas yang ditetapkan
untuk melanjutkan. Ini termasuk menyetujui sponsor program, mengonfirmasi c. Persentase program yang dilakukan tanpa kasus bisnis yang disetujui
mandat program melalui persetujuan bisnis konseptual d. Persentase pemangku kepentingan yang menyetujui kebutuhan usaha, ruang lingkup, direncanakan
kasus, menunjuk dewan program atau anggota komite, menghasilkan hasil dan tingkat risiko program
pengarahan program, meninjau dan memperbarui kasus bisnis, mengembangkan
rencana realisasi manfaat, dan mendapatkan persetujuan dari sponsor untuk
memproses.
1. Setuju tentang sponsorship program. Menunjuk dewan / komite program dengan anggota yang memiliki kepentingan strategis dalam program, 2
tanggung jawab untuk pengambilan keputusan investasi, akan sangat dipengaruhi oleh program dan akan diminta untuk diaktifkan
pengiriman kembalian.
2. Menunjuk manajer yang berdedikasi untuk program tersebut, dengan kompetensi dan keterampilan yang sepadan untuk mengelola program
efektif dan efisien.
3. Konfirmasikan mandat program dengan sponsor dan pemangku kepentingan. Mengartikulasikan tujuan strategis untuk program, potensi 3
strategi untuk penyampaian, peningkatan dan manfaat yang diharapkan, dan bagaimana program tersebut sesuai dengan inisiatif lainnya.
4. Kembangkan kasus bisnis terperinci untuk sebuah program. Libatkan semua pemangku kepentingan utama untuk mengembangkan dan mendokumentasikan secara lengkap
pemahaman tentang hasil usaha yang diharapkan, bagaimana mereka akan diukur, ruang lingkup penuh inisiatif yang diperlukan,
risiko yang terlibat dan dampaknya pada semua aspek perusahaan. Mengidentifikasi dan menilai tindakan alternatif untuk mencapai
hasil usaha yang diinginkan.
5. Mengembangkan rencana realisasi manfaat yang akan dikelola di seluruh program untuk memastikan bahwa manfaat yang direncanakan selalu ada
pemilik dan dicapai, dipertahankan dan dioptimalkan.
6. Mempersiapkan kasus bisnis program awal (konseptual), memberikan informasi pengambilan keputusan penting mengenai tujuan,
kontribusi untuk tujuan bisnis, nilai yang diharapkan dibuat, kerangka waktu, dll. Kirimkan untuk persetujuan.
BAI01.03 Mengelola keterlibatan pemangku kepentingan.

Kelola keterlibatan pemangku kepentingan untuk memastikan pertukaran aktif Sebuah. Tingkat kepuasan pemangku kepentingan dengan keterlibatan
Bangun, Dapatkan, dan Terapkan b. Persentase pemangku kepentingan yang terlibat secara efektif
informasi yang akurat, konsisten dan tepat waktu untuk semua pemangku kepentingan terkait.
Ini termasuk perencanaan, identifikasi dan pelibatan pemangku kepentingan dan
mengelola ekspektasi mereka.
1. Rencanakan bagaimana pemangku kepentingan di dalam dan di luar perusahaan akan diidentifikasi, dianalisis, dilibatkan, dan dikelola sepanjang hidup 3
siklus proyek.
2. Identifikasi, libatkan dan kelola pemangku kepentingan dengan menetapkan dan memelihara tingkat koordinasi, komunikasi yang sesuai
dan penghubung untuk memastikan bahwa mereka terlibat dalam program.
3. Menganalisis kepentingan dan persyaratan pemangku kepentingan.
4. Ikuti proses yang ditentukan untuk perjanjian kolaboratif sehubungan dengan data bersama dan penggunaan data dalam proses bisnis. 4
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 10. Manajemen komunikasi proyek
BAI01.04 Mengembangkan dan memelihara rencana program.

Sebuah. Frekuensi tinjauan status program yang tidak memenuhi kriteria nilai
Merumuskan program untuk meletakkan dasar awal. Posisikan untuk sukses
b. Persentase program aktif dilakukan tanpa valid dan diperbarui
eksekusi dengan memformalkan ruang lingkup pekerjaan dan mengidentifikasi kiriman
peta nilai program
yang akan memuaskan tujuan dan memberikan nilai. Pertahankan dan perbarui program
rencana dan kasus bisnis sepanjang siklus hidup ekonomi penuh dari
program, memastikan keselarasan dengan tujuan strategis dan mencerminkan
status saat ini dan wawasan yang diperoleh hingga saat ini.
154
Halaman 155
BAB 4
1. Tentukan pendanaan, biaya, jadwal dan saling ketergantungan dari beberapa proyek. 2
2. Tentukan dan dokumentasikan rencana program yang mencakup semua proyek. Sertakan apa yang dibutuhkan untuk membawa perubahan pada perusahaan; 3
tujuan, misi, visi, nilai, budaya, produk dan layanannya; proses bisnis; keterampilan dan angka orang;
hubungan dengan pemangku kepentingan, pelanggan, pemasok, dan lainnya; kebutuhan teknologi; dan restrukturisasi organisasi diperlukan
untuk mencapai hasil usaha yang diharapkan dari program tersebut.
3. Memastikan bahwa ada komunikasi yang efektif dari rencana program dan laporan kemajuan di antara semua proyek dan dengan keseluruhan
program. Pastikan bahwa setiap perubahan yang dibuat pada rencana individu tercermin dalam rencana program perusahaan lainnya.
4. Menjaga rencana program untuk memastikan bahwa itu mutakhir dan mencerminkan keselarasan dengan tujuan strategis saat ini, aktual
kemajuan dan perubahan material pada hasil, manfaat, biaya dan risiko. Minta bisnis mengarahkan tujuan dan memprioritaskan
bekerja untuk memastikan bahwa program, seperti yang dirancang, akan memenuhi persyaratan perusahaan. Tinjau kemajuan individu
proyek dan menyesuaikan proyek seperlunya untuk memenuhi tonggak dan rilis yang dijadwalkan.
5. Sepanjang kehidupan ekonomi program, perbarui dan pelihara kasus bisnis dan daftar manfaat untuk diidentifikasi dan ditentukan
manfaat utama yang timbul dari pelaksanaan program.
6. Siapkan anggaran program yang mencerminkan biaya siklus hidup ekonomi penuh dan terkait keuangan dan nonfinansial
manfaat.
BAI01.05 Meluncurkan dan menjalankan program.

Sebuah. Persentase persetujuan pemangku kepentingan untuk tinjauan tahap-gerbang atas aktif
Luncurkan dan jalankan program untuk memperoleh dan mengarahkan sumber daya
program
yang diperlukan untuk mencapai tujuan dan manfaat program seperti yang didefinisikan b. Jumlah analisis akar penyebab untuk penyimpangan dari rencana dan
dalam rencana program. Sesuai dengan gerbang panggung atau tinjauan rilis tindakan perbaikan yang perlu ditangani Bangun, Dapatkan, dan Terapkan
kriteria, mempersiapkan gerbang panggung, iterasi atau rilis tinjauan untuk melaporkan
maju dan membuat kasus untuk pendanaan sampai tahap-gerbang berikut atau
rilis ulasan.
1. Merencanakan, mendayagunakan sumber daya dan menugaskan proyek yang diperlukan untuk mencapai hasil program, berdasarkan tinjauan pendanaan dan 3
persetujuan di setiap tinjauan tahap-gerbang.
2. Kelola setiap program atau proyek untuk memastikan bahwa pengambilan keputusan dan kegiatan pengiriman difokuskan pada nilai dengan pencapaian
manfaat untuk bisnis dan sasaran secara konsisten, menangani risiko, dan mencapai persyaratan pemangku kepentingan.
3. Tetapkan tahapan proses pengembangan yang disepakati (development checkpoints). Di akhir setiap tahap, fasilitasi formal
diskusi tentang kriteria yang disetujui dengan para pemangku kepentingan. Setelah berhasil menyelesaikan fungsionalitas, kinerja dan kualitas
tinjauan, dan sebelum menyelesaikan kegiatan tahap, dapatkan persetujuan resmi dan persetujuan dari semua pemangku kepentingan dan sponsor /
pemilik proses bisnis.
4. Melakukan proses realisasi manfaat di seluruh program untuk memastikan bahwa manfaat yang direncanakan selalu ada dan ada 4
kemungkinan besar akan dicapai, dipertahankan, dan dioptimalkan. Pantau pengiriman manfaat dan laporkan terhadap target kinerja pada tahap-
gerbang atau iterasi dan rilis ulasan. Lakukan analisis akar penyebab untuk penyimpangan dari rencana dan identifikasi serta atasi setiap
tindakan perbaikan yang diperlukan.
5. Rencanakan audit, tinjauan kualitas, tinjauan fase / tahap-gerbang dan tinjauan manfaat yang direalisasikan.
155
Halaman 156
BAI01.06 Memantau, mengontrol dan melaporkan hasil program.

Sebuah. Persen dari manfaat program yang diharapkan tercapai
Pantau dan kendalikan kinerja terhadap rencana secara keseluruhan
siklus hidup ekonomi investasi, yang mencakup pengiriman solusi pada b. Persentase program yang kinerjanya dipantau dan tepat waktu
tingkat program dan nilai / hasil di tingkat perusahaan. Melaporkan tindakan perbaikan yang diambil bila diperlukan
kinerja kepada panitia pengarah program dan sponsor.
1. Perbarui portofolio I&T operasional untuk mencerminkan perubahan yang dihasilkan dari program dalam layanan, aset, atau sumber daya I&T yang relevan 3
portofolio.
2. Memantau dan mengontrol kinerja program secara keseluruhan dan proyek dalam program, termasuk kontribusi dari 4
bisnis dan TI untuk proyek. Laporkan secara tepat waktu, lengkap dan akurat. Pelaporan dapat mencakup jadwal, pendanaan,
fungsionalitas, kepuasan pengguna, pengendalian internal dan penerimaan akuntabilitas.
3. Memantau dan mengontrol kinerja terhadap strategi dan sasaran perusahaan dan I&T. Laporkan ke manajemen di perusahaan
perubahan yang diterapkan, manfaat yang direalisasikan terhadap rencana realisasi manfaat, dan kecukupan realisasi manfaat
proses.
4. Memantau dan mengontrol layanan TI, aset dan sumber daya yang dibuat atau diubah sebagai hasil dari program. Catatan implementasi dan
tanggal dalam layanan. Laporkan kepada manajemen tentang tingkat kinerja, pemberian layanan yang berkelanjutan, dan kontribusi terhadap nilai.
5. Mengelola kinerja program berdasarkan kriteria utama (misalnya, ruang lingkup, jadwal, kualitas, realisasi manfaat, biaya, risiko, kecepatan),
mengidentifikasi penyimpangan dari rencana dan mengambil tindakan perbaikan tepat waktu bila diperlukan.
6. Memantau kinerja proyek individu terkait dengan penyampaian kemampuan yang diharapkan, jadwal, realisasi manfaat, biaya, risiko
atau metrik lainnya. Identifikasi potensi dampak pada kinerja program dan ambil tindakan perbaikan tepat waktu bila diperlukan.
7. Sesuai dengan kriteria tahapan-gate, rilis atau iterasi review, lakukan review untuk melaporkan kemajuan program
sehingga manajemen dapat membuat keputusan go / no-go atau penyesuaian dan menyetujui pendanaan lebih lanjut hingga tahap-gate berikut,
rilis atau iterasi.
BAI01.07 Mengelola kualitas program.

Sebuah. Persentase build-to-package tanpa error
Mempersiapkan dan melaksanakan rencana, proses, dan manajemen mutu
praktik yang sejalan dengan standar manajemen mutu (QMS). Menggambarkan b. Persentase hasil program yang disetujui di setiap tinjauan gerbang
pendekatan kualitas dan implementasi program. Rencananya harus
ditinjau secara resmi dan disetujui oleh semua pihak terkait dan
Bangund,imDaaspukaktaknakne, ddaalanmTreenrcaapnka apnrogram
terintegrasi.
1. Mengidentifikasi tugas dan praktik jaminan yang diperlukan untuk mendukung akreditasi sistem baru atau yang dimodifikasi selama program 3
perencanaan, dan memasukkannya ke dalam rencana terintegrasi. Pastikan bahwa tugas memberikan jaminan bahwa kontrol internal dan keamanan /
solusi privasi memenuhi persyaratan yang ditentukan.
2. Untuk memberikan jaminan kualitas untuk hasil program, mengidentifikasi kepemilikan dan tanggung jawab, proses tinjauan kualitas,
kriteria kesuksesan dan metrik kinerja.
3. Tentukan persyaratan untuk validasi independen dan verifikasi kualitas kiriman dalam rencana. 4
4. Melakukan kegiatan penjaminan dan pengendalian mutu sesuai dengan rencana manajemen mutu dan SMM.
156
Halaman 157
BAB 4
BAI01.08 Mengelola risiko program. Sebuah. Jumlah program tanpa penilaian risiko yang tepat
Menghilangkan atau meminimalkan risiko spesifik yang terkait dengan program melalui b. Persentase program yang diselaraskan dengan manajemen risiko perusahaan
proses perencanaan yang sistematis, mengidentifikasi, menganalisis, menanggapi kerangka
untuk, memantau dan mengendalikan area atau peristiwa yang berpotensi
menyebabkan perubahan yang tidak diinginkan. Tentukan dan catat setiap risiko yang dihadapi oleh program
pengelolaan.
1. Menetapkan pendekatan manajemen risiko formal yang selaras dengan kerangka kerja manajemen risiko perusahaan (ERM). Pastikan file 3
Pendekatan termasuk mengidentifikasi, menganalisis, menanggapi, memitigasi, memantau dan mengendalikan risiko.
2. Menugaskan kepada personel yang terampil dan bertanggung jawab untuk melaksanakan proses manajemen risiko perusahaan dalam a
program dan memastikan bahwa ini dimasukkan ke dalam praktik pengembangan solusi. Pertimbangkan untuk mengalokasikan peran ini ke
tim independen, terutama jika sudut pandang objektif diperlukan atau program dianggap kritis.
3. Melakukan penilaian risiko untuk mengidentifikasi dan mengukur risiko secara terus menerus sepanjang program. Kelola dan
mengkomunikasikan risiko secara tepat dalam struktur tata kelola program.
4. Identifikasi pemilik untuk tindakan menghindari, menerima atau mengurangi risiko.
BAI01.09 Tutup program.

Sebuah. Persentase program yang berhasil ditutup yang mencapai nilai yang diinginkan
Hapus program dari portofolio investasi aktif bila ada
b. Waktu antara peluncuran program dan deteksi pencapaian nilai
kesepakatan bahwa nilai yang diinginkan telah tercapai atau jika sudah jelas
tidak akan tercapai dalam kriteria nilai yang ditetapkan untuk program.
1. Mengakhiri program dengan tertib, termasuk persetujuan formal, pembubaran organisasi program dan dukungan 3
fungsi, validasi kiriman, dan komunikasi pensiun.
2. Meninjau dan mendokumentasikan pembelajaran. Setelah program dihentikan, keluarkan dari portofolio investasi aktif. Pindahkan apapun 4
kemampuan yang dihasilkan untuk portofolio aset operasional untuk memastikan bahwa nilai terus diciptakan dan dipertahankan.
3. Letakkan akuntabilitas dan proses di tempat untuk memastikan bahwa perusahaan terus mengoptimalkan nilai dari layanan, aset atau 5
sumber daya. Investasi tambahan mungkin diperlukan di masa mendatang untuk memastikan hal ini terjadi.

Perbaikan RS.IM
157
Halaman 158

ffice.dll
ffice wners
fficer r
fficer
perations
HAI
Dewan Tata Kelola

KepRaliasiKkEokepsUSeatkAlaauYmtPIAinafrfoOTOosKremsomBaMsiisitaneOniMPsaejOaennKrgaaPejrepraPmoahgeleanr(naPgKAmPerremorspgoibatryelaaeaknmkbgOa/ gnPiraKoneypTeakIl)a
BAI01.01 Mempertahankan pendekatan standar untuk manajemen program. SEBUARHR R
BAI01.02 Memulai program. R RARR
BAI01.03 Mengelola keterlibatan pemangku kepentingan. RARR
BAI01.04 Mengembangkan dan memelihara rencana program. ARR
BAI01.05 Meluncurkan dan menjalankan program. R RARR
BAI01.06 Memantau, mengontrol dan melaporkan hasil program. R ARRRRR
BAI01.07 Mengelola kualitas program. RARR
BAI01.08 Mengelola risiko program. R RARR R
BAI01.09 Tutup program. R RARR R
BAI01.01 Mempertahankan pendekatan standar untuk program Dari Deskripsi Deskripsi Untuk
pengelolaan.
APO03.04 • Tahap implementasi Program diperbarui Intern
Bangun, Dapatkan, dan Terapkan deskripsi pendekatan manajemen
• Arsitektur
pemerintahan
Persyaratan
APO05.04 Portofolio yang diperbarui dari
program, layanan dan
aktiva
APO10.04 Pengiriman vendor teridentifikasi
risiko
EDM02.03 Persyaratan untuk

pintu panggung
ulasan
EDM02.04 Tindakan untuk meningkatkan nilai
pengiriman
158
Halaman 159
BAB 4

BAI01.02 Memulai program. Dari Deskripsi Deskripsi Untuk
APO03.04 • Persyaratan sumber daya Amanat program dan APO05.02

• Tahap implementasi singkat
deskripsi
APO05.02 Kasus bisnis program Konsep program APO05.02

kasus bisnis
APO07.03 Keterampilan dan kompetensi Manfaat program APO05.02;

matriks rencana realisasi APO06.05
BAI05.02 Visi umum dan

tujuan
BAI01.03 Mengelola keterlibatan pemangku kepentingan. Hasil dari pemangku kepentinganIntern

keterikatan
efektivitas
penilaian
Keterlibatan pemangku kepentingInatnern
rencana
BAI01.04 Mengembangkan dan memelihara rencana program. APO05.02 Program terpilih dengan Anggaran program dan APO05,05;
Tonggak ROI daftar manfaat APO06.05
APO07.03 Keterampilan dan kompetensi Persyaratan sumber daya APO07,05;

matriks dan peran APO07.06
APO07.05 Inventaris bisnis
Rencana program Intern
dan sumber daya manusia TI
BAI05.02 Tim implementasi
dan peran
BAI05.03 Komunikasi visi

rencana
BAI05.04 Kemenangan cepat teridentifikasi
BAI07.03 Penerimaan disetujui

rencana pengujian
BAI07.05 Penerimaan disetujui
dan lepaskan untuk
produksi
BAI01.05 Meluncurkan dan menjalankan program. BAI05.03 Komunikasi visi Hasil dari tujuan program
APO02.04
pemantauan prestasi
Hasil manfaat
APO05,05;
pemantauan realisasi
APO06.05
Rencana audit program MEA04.02
159
Halaman 160
BAI01.06 Memantau, mengontrol dan melaporkan program Dari Deskripsi Deskripsi Untuk
hasil.
APO05.01 Pengembalian investasi Hasil tinjauan gerbang panggung APO02.04;
harapan APO05.03;
EDM02.02
APO05.02 Kasus bisnis Hasil program MEA01.03

penilaian ulasan kinerja
APO05.03 Portofolio investasi

laporan kinerja
APO05.05 • Hasil manfaat

dan terkait
komunikasi
• Tindakan korektif
untuk meningkatkan manfaat
realisasi
APO07.05 • Kekurangan sumber daya

analisis
• Pemanfaatan sumber daya
catatan
BAI05.04 Komunikasi
manfaat
BAI06.03 Ubah status permintaan

laporan
BAI07.05 Evaluasi penerimaan

hasil
EDM02.04 Masukan tentang

kinerja
BAI01.07 Mengelola kualitas program. APO11.01 Manajemen mutu Manajemen mutu BAI02.04;
rencana rencana BAI03.06;
BAI07.01
APO11.02 Kebutuhan pelanggan Persyaratan untuk BAI07.03
untuk verifikasi independen
manajemen mutu dari kiriman
BAI01.08 Mengelola risiko program. APO12.02 Hasil analisis risiko Daftar risiko program Intern
BAI02.03 • Risiko persyaratan Penilaian risiko program Intern
daftar hasil
• Tindakan mitigasi risiko

Risiko program Intern
manajemen (ERM)
kerangka rencana manajemen
BAI01.09 Tutup program. BAI07.08 • Pasca implementasi

meninjau laporan Komunikasi APO05.04;
• Rencana tindakan perbaikan pensiun program dan APO07.06
akuntabilitas berkelanjutan
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4. Manajemen integrasi proyek: Input dan Output; Bagian 1: 6.
Manajemen jadwal proyek: Input dan Output; Bagian 1: 10. Proyek
manajemen komunikasi: Input dan Output; Bagian 1: 11. Risiko proyek
manajemen: Input dan Output
160
Halaman 161
BAB 4
A. Rencana — A.3. Rencana bisnis
Pengembangan
Manajemen program Kerangka Keterampilan untuk Era Informasi V6, 2015 PGMG
Proyek dan portofolio

pengelolaan e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK E. Kelola — E.2. Proyek dan
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016 Manajemen portofolio
Manajemen program / proyek

Memandu manajemen risiko PMBOK Guide Edisi Keenam, 2017 Bagian 1: 2.3.1 Proses, kebijakan
kebijakan
terkait dengan program dan proyek. dan prosedur
Rincian posisi manajemen dan
harapan tentang program
dan manajemen proyek.
Memperlakukan akuntabilitas, tujuan dan
tujuan mengenai kinerja,
anggaran, analisis risiko, pelaporan dan
mitigasi kejadian buruk selama
pelaksanaan program / proyek.

Pastikan organisasi memahami dan mendukung nilai
manajemen program perusahaan di seluruh dunia. Mendirikan perusahaan di seluruh dunia
budaya yang mendukung implementasi program yang konsisten
manajemen, dengan mempertimbangkan struktur organisasi dan bisnis
lingkungan Hidup. Pastikan kantor program memiliki pandangan sentral dari semua
program dalam portofolio perusahaan.
Alat manajemen program

161
Halaman 162
162
Halaman 163
BAB 4

Tujuan Manajemen: BAI02 - Definisi Persyaratan Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Identifikasi solusi dan analisis persyaratan sebelum akuisisi atau pembuatan untuk memastikan bahwa solusi tersebut selaras dengan persyaratan strategis perusahaan
meliputi proses bisnis, aplikasi, informasi / data, infrastruktur dan layanan. Koordinasikan peninjauan opsi yang layak dengan yang terkena dampak
pemangku kepentingan, termasuk biaya dan manfaat relatif, analisis risiko, dan persetujuan persyaratan dan solusi yang diusulkan.
Tujuan
Ciptakan solusi optimal yang memenuhi kebutuhan perusahaan sekaligus meminimalkan risiko.
Tujuan Perusahaan

pengiriman

b. Jumlah program yang membutuhkan pengerjaan ulang yang signifikan karena
cacat kualitas
c. Persentase pemangku kepentingan yang puas dengan program / proyek
kualitas
163
Halaman 164
A. Komponen: Proses
BAI02.01 Mendefinisikan dan memelihara bisnis fungsional dan teknis informasi bisnis, persyaratan fungsional, teknis dan kontrol
Persyaratan.
Berdasarkan kasus bisnis, identifikasi, prioritaskan, tentukan, dan setujui
Sebuah. Persentase ketidaksesuaian dengan perusahaan kebutuhan dan harapan
persyaratan yang b. Persentase persyaratan yang divalidasi melalui pendekatan seperti rekan
dikerjakan ulang karena review, validasi model atau prototyping operasional
mencakup ruang lingkup / pemahaman dari semua inisiatif yang diperlukan untuk mencapai
hasil yang diharapkan dari solusi bisnis yang mendukung I & T yang diusulkan.
1. Pastikan bahwa semua persyaratan pemangku kepentingan, termasuk kriteria penerimaan yang relevan, dipertimbangkan, ditangkap, diprioritaskan dan 2
dicatat dengan cara yang dapat dimengerti oleh semua pemangku kepentingan, dengan menyadari bahwa persyaratan dapat berubah dan akan menjadi
lebih rinci saat diterapkan.
2. Ungkapkan kebutuhan bisnis dalam hal bagaimana kesenjangan antara kemampuan bisnis saat ini dan yang diinginkan perlu
ditujukan dan bagaimana pengguna (karyawan, klien, dll.) akan berinteraksi dengan dan menggunakan solusi.
3. Menentukan dan memprioritaskan informasi, persyaratan fungsional dan teknis, berdasarkan desain pengalaman pengguna dan dikonfirmasi
persyaratan pemangku kepentingan.
4. Pastikan persyaratan memenuhi kebijakan dan standar perusahaan, arsitektur perusahaan, rencana I&T strategis dan taktis, di- 3
rumah dan bisnis outsourcing dan proses TI, persyaratan keamanan, persyaratan peraturan, kompetensi orang,
struktur organisasi, kasus bisnis, dan teknologi pendukung.
5. Sertakan persyaratan kontrol informasi dalam proses bisnis, proses otomatis, dan lingkungan I&T untuk ditangani
risiko informasi dan untuk mematuhi hukum, peraturan dan kontrak komersial.
6. Konfirmasi penerimaan aspek kunci dari persyaratan, termasuk aturan perusahaan, pengalaman pengguna, kontrol informasi,
kelangsungan bisnis, kepatuhan hukum dan peraturan, kemampuan diaudit, ergonomi, pengoperasian dan kegunaan, keselamatan, kerahasiaan,
dan dokumentasi pendukung.
7. Melacak dan mengontrol ruang lingkup, persyaratan dan perubahan melalui siklus hidup solusi sebagai pemahaman solusi
berkembang.
8. Tentukan dan terapkan definisi persyaratan dan prosedur pemeliharaan serta repositori persyaratan yang sesuai
untuk ukuran, kompleksitas, tujuan dan risiko inisiatif yang sedang dipertimbangkan untuk dilakukan oleh perusahaan.
9. Validasi semua persyaratan melalui pendekatan seperti peer review, validasi model, atau pembuatan prototipe operasional.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SD2.1 Spesifikasi Persyaratan
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 14.1 Persyaratan keamanan sistem informasi
BangunI,TDILaVp3a,t2k0a1n1, dan
Desain Layanan, 5.1 Rekayasa persyaratan
Terapkan
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 5. Manajemen lingkup proyek
BAI02.02 Melakukan studi kelayakan dan merumuskan solusi alternatif.

Sebuah. Persentase tujuan kasus bisnis yang dipenuhi oleh solusi yang diusulkan
Lakukan studi kelayakan solusi alternatif potensial, nilai mereka
kelangsungan hidup dan pilih opsi yang disukai. Jika sesuai, terapkan b. Persen persyaratan dipenuhi oleh solusi yang diusulkan
pilihan yang dipilih sebagai percontohan untuk menentukan kemungkinan perbaikan.
1. Mengidentifikasi tindakan yang diperlukan untuk akuisisi atau pengembangan solusi berdasarkan arsitektur perusahaan. Mempertimbangkan ruang lingkup 2
dan / atau batasan waktu dan / atau anggaran.
2. Tinjau solusi alternatif dengan semua pemangku kepentingan. Pilih yang paling sesuai berdasarkan kriteria kelayakan,
termasuk resiko dan biaya.
3. Terjemahkan tindakan yang diinginkan ke dalam rencana akuisisi / pengembangan tingkat tinggi yang mengidentifikasi sumber daya yang akan digunakan dan 3
tahapan yang membutuhkan keputusan pergi / tidak-pergi.
4. Tentukan dan laksanakan studi kelayakan, uji coba atau solusi kerja dasar yang menjelaskan alternatif secara jelas dan ringkas 4
solusi dan ukuran bagaimana ini akan memenuhi kebutuhan bisnis dan fungsional. Sertakan evaluasi mereka
kelayakan teknologi dan ekonomi.
164
Halaman 165
BAB 4
BAI02.03 Mengelola risiko persyaratan. Sebuah. Persen dari persyaratan risiko tidak tercakup oleh risiko yang sesuai
Mengidentifikasi, mendokumentasikan, memprioritaskan dan mengurangi fungsional, teknistadnagngapan
risiko terkait pemrosesan informasi yang terkait dengan perusahaan b. Tingkat detail risiko persyaratan yang terdokumentasi
persyaratan, asumsi dan solusi yang diusulkan. c. Kelengkapan estimasi probabilitas dan dampak yang dicantumkan
persyaratan risiko dan respons risiko
1. Identifikasi risiko persyaratan kualitas, fungsional dan teknis (karena, misalnya, kurangnya keterlibatan pengguna, tidak realistis 3
harapan, pengembang menambahkan fungsionalitas yang tidak perlu, asumsi yang tidak realistis, dll.).
2. Menentukan respon risiko yang sesuai dengan risiko persyaratan.
3. Menganalisis risiko yang teridentifikasi dengan memperkirakan probabilitas dan dampak pada anggaran dan jadwal. Evaluasi dampak anggaran dari 4
tindakan respons risiko yang tepat.
BAI02.04 Mendapatkan persetujuan persyaratan dan solusi. Sebuah. Tingkat kepuasan pemangku kepentingan dengan persyaratan
Koordinasikan umpan balik dari pemangku kepentingan yang terkena dampak. Di ditentubk.aJnumselbaehlupmenngyeacualian solusi untuk desain yang dicatat selama tinjauan tahap
tahapan utama, dapatkan persetujuan dan persetujuan dari sponsor bisnis atau pemilik produk mengenai persyaratan fungsional dan teknis,
c. Persentase
pemangku
kepenting
an yang
tidak
menyetuj
ui solusi
terkait
kasus
bisnis
studi kelayakan, analisis risiko dan solusi yang direkomendasikan.
1. Pastikan bahwa sponsor bisnis atau pemilik produk membuat pilihan akhir dari solusi, pendekatan akuisisi, dan tingkat tinggi 3
desain, sesuai dengan kasus bisnis. Dapatkan persetujuan yang diperlukan dari pemangku kepentingan yang terkena dampak (misalnya, pemilik proses bisnis, Bangun, Dapatkan, dan Terapkan
arsitek perusahaan, manajer operasi, keamanan, petugas privasi).
2. Dapatkan tinjauan kualitas sepanjang, dan di akhir, setiap tahap proyek utama, iterasi atau rilis. Nilai hasil terhadap 4
kriteria penerimaan asli. Minta sponsor bisnis dan pemangku kepentingan lainnya menandatangani setiap tinjauan kualitas yang sukses.
ffice.dll
fficewrners
fficer
perationffsicer
HAI
Praktik Manajemen Kunci RisiKkoepUPatrlaaomsKIenasofOmoBMriimstanenaiMPssaiejOaenOn

MrgaaPjarernaMroahgpjare(rnaPKmoamryejoeepngkPrarPelHaanrmu
BAI02.01 Mendefinisikan dan memelihara persyaratan fungsional dan teknis bisnis.
ogKAybe/remuspPkniMbartgOeloaakynnPebgakarj)igneviraKsKnei
BAI02.02 Melakukan studi kelayakan dan merumuskan solusi alternatif. epTOaaImlaanan Informasi
RARRRRRR RR
RARRR R
BAI02.03 Mengelola risiko persyaratan. RRRARRR RRRR
BAI02.04 Mendapatkan persetujuan persyaratan dan solusi. RARRR RR

165
Halaman 166
BAI02.01 Mendefinisikan dan memelihara fungsi bisnis dan Dari Deskripsi Deskripsi Untuk
persyaratan teknis.
APO01.07 • Klasifikasi data Definisi persyaratan BAI03.01;
pedoman gudang BAI03.02;
• Keamanan data dan BAI03.12;
pedoman kontrol BAI04.01;
• Integritas data BAI05.01
Prosedur
APO03.01 Prinsip arsitektur Penerimaan dikonfirmasi
BAI03.01;
kriteria dari
BAI03.02;
BAI03.12;
BAI04.03;
BAI05.01;
BAI05.02
APO03.02 • Domain dasar

Rekam kebutuhan BAI03.09
deskripsi dan
perubahan permintaan
definisi arsitektur
• Informasi
model arsitektur
APO03.05 Pengembangan solusi
bimbingan
APO10.02 Vendor meminta
informasi (RFI) dan
permintaan proposal
(RFP)
APO11.02 Kriteria penerimaan
APO14.02 Glosarium bisnis
BAI02.02 Melakukan studi kelayakan dan merumuskannya

solusi alternatif. APO03.05 Pengembangan solusi Akuisisi tingkat tinggi / APO10.02;
bimbingan rencana pengembangan BAI03.01
APO10.01 Katalog vendor Laporan studi kelayakan BAI03.02;
BAI03.03;
BAI03.12
APO10.02 • Vendor meminta
Bangun, Dapatkan, dan Terapkan informasi (RFI) dan
permintaan proposal
(RFP)
• Evaluasi RFI dan RFP
• Hasil keputusan
evaluasi vendor
APO11.02 Kriteria penerimaan
BAI02.03 Mengelola risiko persyaratan. Risiko persyaratan

daftar BAI01.08;
BAI03.02;
BAI04.01;
BAI05.01;
BAI 11.06
Tindakan mitigasi risiko BAI01.08;
BAI03.02;
BAI05.01
BAI02.04 Mendapatkan persetujuan persyaratan dan solusi. BAI01.07 Rencana manajemen kualitas Tinjauan kualitas yang disetujui APO11.03
BAI 11.05 Kualitas proyek

Persetujuan sponsor dari BAI03.02;
rencana manajemen
persyaratan dan BAI03.03;
solusi yang diusulkan BAI03.04
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 5. Lingkup manajemen proyek: Input dan Output
166
Halaman 167
BAB 4
Desain aplikasi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
A. Rencana — A.6. Desain Aplikasi
Analisa bisnis Kerangka Keterampilan untuk Era Informasi V6, 2015 BUAN
Perbaikan proses bisnis Kerangka Keterampilan untuk Era Informasi V6, 2015 BPRE
Membutuhkan identifikasi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016 D. Aktif — D.11.
Kebutuhan Identifikasi
Definisi persyaratan dan
Kerangka Keterampilan untuk Era Informasi V6, 2015 REQM
pengelolaan
Analisis pengalaman pengguna Kerangka Keterampilan untuk Era Informasi V6, 2015 UNAN
Kebijakan pengembangan perangkat lunak Standarisasi perangkat lunak

pengembangan di seluruh
organisasi dengan mencantumkan semua protokol
dan standar yang harus diikuti.
Bangun budaya yang memastikan proses yang konsisten dan kuat

untuk menentukan persyaratan. Pastikan prosesnya selaras dengan jelas
persyaratan pengembangan dengan persyaratan strategis perusahaan.
Definisi persyaratan dan alat dokumentasi

167
Halaman 168
168
Halaman 169
BAB 4

Tujuan Manajemen: BAI03 - Identifikasi dan Pembuatan Solusi Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Menetapkan dan memelihara produk dan layanan yang teridentifikasi (teknologi, proses bisnis, dan alur kerja) sejalan dengan persyaratan perusahaan
meliputi desain, pengembangan, pengadaan / pengadaan, dan bermitra dengan vendor. Kelola konfigurasi, persiapan tes, pengujian, persyaratan
pengelolaan dan pemeliharaan proses bisnis, aplikasi, informasi / data, infrastruktur dan layanan.
Tujuan
Pastikan pengiriman produk dan layanan digital yang gesit dan terukur. Menetapkan solusi tepat waktu dan hemat biaya (teknologi, proses bisnis
dan alur kerja) yang mampu mendukung tujuan strategis dan operasional perusahaan.
Tujuan Perusahaan

pengiriman

b. Jumlah program yang membutuhkan pengerjaan ulang yang signifikan karena
cacat kualitas
c. Persentase pemangku kepentingan yang puas dengan program / proyek
kualitas
A. Komponen: Proses
BAI03.01 Rancang solusi tingkat tinggi.

Sebuah. Jumlah kekurangan tinjauan desain
Kembangkan dan dokumentasikan desain tingkat tinggi untuk solusi tersebut
b. Persentase partisipasi pemangku kepentingan dalam desain dan penandatanganan persetujuan
teknologi, proses bisnis, dan alur kerja. Gunakan setuju dan
teknik pengembangan Agile bertahap atau cepat yang sesuai. Memastikan dari setiap versi
keselarasan dengan strategi I&T dan arsitektur perusahaan. Tinjau kembali
dan memperbarui desain ketika masalah signifikan terjadi selama perincian
fase desain atau pembangunan, atau seiring berkembangnya solusi. Terapkan pengguna-
pendekatan sentris; memastikan bahwa pemangku kepentingan berpartisipasi aktif dalam
merancang dan menyetujui setiap versi.
169
Halaman 170
1. Menetapkan spesifikasi desain tingkat tinggi yang menerjemahkan solusi yang diusulkan menjadi desain tingkat tinggi untuk proses bisnis, 2
layanan pendukung, alur kerja, aplikasi, infrastruktur, dan repositori informasi yang mampu memenuhi bisnis dan
persyaratan arsitektur perusahaan.
2. Libatkan desainer pengalaman pengguna dan spesialis IT yang berkualifikasi dan berpengalaman dalam proses desain yang akan dibuat
yakin bahwa desain memberikan solusi yang secara optimal menggunakan kapabilitas I&T yang diusulkan untuk meningkatkan proses bisnis.
3. Buat desain yang sesuai dengan standar desain organisasi. Pastikan itu mempertahankan tingkat detail
sesuai untuk solusi dan metode pengembangan dan konsisten dengan strategi bisnis, perusahaan dan I&T,
arsitektur perusahaan, rencana keamanan / privasi dan hukum, peraturan, dan kontrak yang berlaku.
4. Setelah persetujuan jaminan kualitas, serahkan desain tingkat tinggi akhir kepada pemangku kepentingan proyek dan sponsor / bisnis
pemilik proses untuk mendapatkan persetujuan berdasarkan kriteria yang disepakati. Desain ini akan berkembang sepanjang proyek seiring berkembangnya pemahaman.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Desain Sistem SD2.2
BAI03.02 Rancang komponen solusi terperinci. Sebuah. Jumlah kekurangan tinjauan desain
Kembangkan, dokumentasikan dan uraikan desain rinci secara progresif. Menggunakan b. Jumlah perubahan desain dalam proses
teknik pengembangan Agile bertahap atau cepat yang disetujui dan sesuai,
menangani semua komponen (proses bisnis dan otomatis terkait
dan kontrol manual, mendukung aplikasi I&T, layanan infrastruktur
dan produk teknologi, dan mitra / pemasok). Pastikan file
desain rinci mencakup perjanjian tingkat layanan internal dan eksternal
(SLA) dan perjanjian tingkat operasional (OLA).
1. Mendesain secara progresif aktivitas proses bisnis dan alur kerja yang perlu dilakukan dalam hubungannya dengan yang baru 2
sistem aplikasi untuk memenuhi tujuan perusahaan, termasuk desain kegiatan pengendalian manual.
2. Mendesain langkah-langkah pemrosesan aplikasi. Langkah-langkah tersebut meliputi spesifikasi jenis transaksi dan proses bisnis
aturan, kontrol otomatis, definisi data / objek bisnis, kasus penggunaan, antarmuka eksternal, batasan desain, dan lainnya
persyaratan (misalnya, perizinan, hukum, standar dan internasionalisasi / lokalisasi).
3. Klasifikasikan input dan output data sesuai dengan standar arsitektur perusahaan. Tentukan desain pengumpulan data sumber.
Dokumentasikan input data (terlepas dari sumbernya) dan validasi untuk memproses transaksi serta metode untuk
validasi. Rancang keluaran yang diidentifikasi, termasuk sumber data.
4. Rancang antarmuka sistem / solusi, termasuk semua pertukaran data otomatis.
5. Desain penyimpanan data, lokasi, pengambilan dan pemulihan.
6. Rancang redundansi, pemulihan, dan pencadangan yang sesuai.
7. Rancang antarmuka antara pengguna dan aplikasi sistem agar mudah digunakan dan didokumentasikan sendiri. 3
8. Pertimbangkan dampak dari kebutuhan solusi untuk kinerja infrastruktur, peka terhadap jumlah aset
komputasi, intensitas bandwidth dan sensitivitas waktu informasi.
9. Secara proaktif mengevaluasi kelemahan desain (misalnya, inkonsistensi, kurangnya kejelasan, potensi kekurangan) selama siklus hidup.
Identifikasi peningkatan bila diperlukan.
10. Memberikan kemampuan untuk mengaudit transaksi dan mengidentifikasi akar penyebab kesalahan pemrosesan.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Desain Sistem SD2.2
170
Halaman 171
BAB 4
BAI03.03 Mengembangkan komponen solusi.

Sebuah. Jumlah pengecualian solusi untuk desain yang dicatat selama tinjauan tahap
Kembangkan komponen solusi secara progresif di lingkungan terpisah, di
b. Jumlah desain rinci untuk proses bisnis, pendukung
sesuai dengan desain rinci mengikuti standar dan persyaratan
layanan, aplikasi dan infrastruktur, dan repositori informasi
untuk pengembangan dan dokumentasi, jaminan kualitas (QA), dan
persetujuan. Pastikan bahwa semua persyaratan kontrol dalam proses bisnis,
mendukung aplikasi I&T dan layanan infrastruktur, layanan dan
produk teknologi, dan layanan mitra / vendor ditangani.
1. Dalam lingkungan terpisah, kembangkan desain rinci yang diusulkan untuk proses bisnis, layanan pendukung, 2
aplikasi, infrastruktur dan repositori informasi.
2. Ketika penyedia pihak ketiga terlibat dengan pengembangan solusi, pastikan pemeliharaan, dukungan, pengembangan
standar dan lisensi ditangani dan ditaati dalam kewajiban kontrak.
3. Lacak permintaan perubahan dan tinjauan desain, kinerja dan kualitas. Pastikan partisipasi aktif dari semua pemangku kepentingan yang terkena dampak.
4. Dokumentasikan semua komponen solusi sesuai dengan standar yang ditentukan. Pertahankan kontrol versi atas semua komponen yang dikembangkan
dan dokumentasi terkait.
5. Menilai dampak penyesuaian dan konfigurasi solusi pada kinerja dan efisiensi solusi yang diperoleh dan seterusnya 3
interoperabilitas dengan aplikasi, sistem operasi, dan infrastruktur lain yang ada. Sesuaikan proses bisnis sesuai kebutuhan
memanfaatkan kemampuan aplikasi.
6. Pastikan bahwa tanggung jawab untuk menggunakan komponen infrastruktur dengan keamanan tinggi atau akses terbatas didefinisikan dengan jelas dan
dipahami oleh mereka yang mengembangkan dan mengintegrasikan komponen infrastruktur. Penggunaannya harus dipantau dan dievaluasi.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SD1.2 Lingkungan Pengembangan Sistem
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 14.2 Keamanan dalam proses pengembangan dan dukungan
ITIL V3, 2011 Strategi Layanan, 5.5 Strategi layanan TI dan pengembangan aplikasi

3.18 Akuisisi sistem dan layanan (SA-3)
BAI03.04 Pengadaan komponen solusi.

Sebuah. Persentase pemasok bersertifikat
Pengadaan komponen solusi, berdasarkan rencana akuisisi, di
b. Persentase pemasok yang terlibat dalam desain kolaboratif
sesuai dengan kebutuhan dan detail desain, arsitektur
prinsip dan standar, dan pengadaan perusahaan secara keseluruhan dan
prosedur kontrak, persyaratan QA, dan standar persetujuan. Memastikan
bahwa semua persyaratan hukum dan kontrak diidentifikasi dan ditangani
oleh vendor.
1. Membuat dan memelihara rencana akuisisi komponen solusi. Pertimbangkan fleksibilitas masa depan untuk penambahan kapasitas, 3
biaya transisi, risiko dan peningkatan selama masa proyek.
2. Tinjau dan setujui semua rencana akuisisi. Pertimbangkan risiko, biaya, manfaat, dan kesesuaian teknis dengan
perusahaan standar arsitektur.
3. Menilai dan mendokumentasikan sejauh mana solusi yang diperoleh membutuhkan adaptasi proses bisnis untuk meningkatkan keuntungan
dari solusi yang diperoleh.
4. Ikuti persetujuan yang diperlukan pada poin keputusan utama selama proses pengadaan.
5. Catat penerimaan semua infrastruktur dan akuisisi perangkat lunak dalam inventaris aset.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Akuisisi Perangkat Lunak SD2.3

3.4 Keputusan Membeli
53, Revisi 5 (Draf), Agustus 2017 3.18 Akuisisi sistem dan layanan (SA-4)
171
Halaman 172
BAI03.05 Membangun solusi.

Sebuah. Kesenjangan antara perkiraan dan upaya pengembangan akhir
Instal dan konfigurasikan solusi dan integrasikan dengan proses bisnis
b. Jumlah masalah perangkat lunak yang dilaporkan
kegiatan. Selama konfigurasi dan integrasi perangkat keras dan
perangkat lunak infrastruktur, kontrol implementasi, keamanan, privasi, dan c. Jumlah kesalahan tinjauan
tindakan auditabilitas untuk melindungi sumber daya dan memastikan ketersediaan dan
integritas data. Perbarui katalog produk atau layanan untuk mencerminkan
solusi baru.
1. Mengintegrasikan dan mengkonfigurasi komponen solusi bisnis dan TI serta repositori informasi sesuai dengan spesifikasi yang terperinci 2
dan persyaratan kualitas. Pertimbangkan peran pengguna, pemangku kepentingan bisnis dan pemilik proses dalam konfigurasi
proses bisnis.
2. Lengkapi dan perbarui proses bisnis dan manual operasional, jika perlu, untuk memperhitungkan kustomisasi atau khusus
kondisi unik untuk implementasi.
3. Pertimbangkan semua persyaratan kontrol informasi yang relevan dalam integrasi dan konfigurasi komponen solusi. Sertakan
penerapan kontrol bisnis, jika sesuai, ke dalam kontrol aplikasi otomatis sehingga pemrosesan akurat,
lengkap, tepat waktu, resmi, dan dapat diaudit.
4. Menerapkan jejak audit selama konfigurasi dan integrasi perangkat keras dan perangkat lunak infrastruktur untuk melindungi sumber daya dan 3
memastikan ketersediaan dan integritas.
5. Pertimbangkan kapan efek kustomisasi dan konfigurasi kumulatif (termasuk perubahan kecil yang tidak dikenakan
spesifikasi desain formal) memerlukan penilaian ulang tingkat tinggi dari solusi dan fungsionalitas terkait.
6. Konfigurasi perangkat lunak aplikasi yang diperoleh untuk memenuhi persyaratan pemrosesan bisnis.
7. Tentukan katalog produk dan layanan untuk kelompok sasaran internal dan eksternal yang relevan, berdasarkan kebutuhan bisnis.
8. Pastikan interoperabilitas komponen solusi dengan pengujian pendukung, sebaiknya otomatis.
HITRUST CSF versi 9, September 2017 10.05 Keamanan dalam Proses Pengembangan & Dukungan
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Sistem SD2.4 Dibangun
BAI03.06 Lakukan jaminan kualitas (QA). Sebuah. Jumlah desain solusi yang dikerjakan ulang karena tidak selaras dengan
Kembangkan, sumber daya, dan jalankan rencana QA yang selaras dengan QMS untuk dipeProelreshyaratan
kualitas yang ditentukan dalam definisi persyaratan dan di perusahaan b. Jumlah dan kekuatan aktivitas monitor terdokumentasi yang dilakukan
Bangunk,eDbiajapkaantkdaann,prdoasenduTremrautpuk. an
1. Menentukan rencana dan praktik QA termasuk, misalnya, spesifikasi kriteria kualitas, proses validasi dan verifikasi, 3
definisi tentang bagaimana kualitas akan ditinjau, kualifikasi yang diperlukan dari pengulas kualitas, dan peran dan tanggung jawab untuk
pencapaian kualitas.
2. Sering memantau kualitas solusi berdasarkan persyaratan proyek, kebijakan perusahaan, kepatuhan terhadap pengembangan 4
metodologi, prosedur manajemen mutu dan kriteria penerimaan.
3. Mempekerjakan, jika sesuai, inspeksi kode, praktik pengembangan yang digerakkan oleh pengujian, pengujian otomatis, integrasi berkelanjutan, berjalan
melalui dan pengujian aplikasi. Laporkan hasil dari proses pemantauan dan pengujian ke perangkat lunak aplikasi
tim pengembangan dan manajemen TI.
4. Pantau semua pengecualian kualitas dan tangani semua tindakan korektif. Simpan catatan semua ulasan, hasil, pengecualian dan
koreksi. Ulangi tinjauan kualitas, jika sesuai, berdasarkan jumlah pengerjaan ulang dan tindakan korektif.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SD1.3 Jaminan Kualitas
172
Halaman 173
BAB 4
BAI03.07 Mempersiapkan pengujian solusi. Sebuah. Jumlah pengguna bisnis yang terlibat dalam membuat rencana pengujian
Tetapkan rencana pengujian dan lingkungan yang diperlukan untuk menguji individu danb. Jumlah dan ketahanan kasus penggunaan yang dibuat untuk pengujian
komponen solusi terintegrasi. Sertakan proses bisnis dan
layanan pendukung, aplikasi dan infrastruktur.
1. Buat rencana pengujian dan praktik terintegrasi yang sesuai dengan lingkungan perusahaan dan rencana teknologi strategis. 2
Pastikan bahwa rencana dan praktik pengujian terintegrasi akan memungkinkan pembuatan lingkungan pengujian dan simulasi yang sesuai untuk
membantu memverifikasi bahwa solusi akan berhasil beroperasi di lingkungan hidup dan memberikan hasil yang diinginkan dan kontrol itu
memadai.
2. Buat lingkungan pengujian yang mendukung cakupan penuh solusi. Pastikan bahwa lingkungan pengujian mencerminkan, sedekat mungkin
mungkin, kondisi dunia nyata, termasuk proses dan prosedur bisnis, jangkauan pengguna, jenis transaksi, dan
kondisi penyebaran.
3. Buat prosedur pengujian yang selaras dengan rencana dan praktik serta memungkinkan evaluasi pengoperasian solusi di dunia nyata 3
kondisi. Pastikan bahwa prosedur pengujian mengevaluasi kecukupan kontrol, berdasarkan standar seluruh perusahaan yang ditetapkan
peran, tanggung jawab dan kriteria pengujian, dan disetujui oleh pemangku kepentingan proyek dan sponsor / pemilik proses bisnis.
4. Dokumentasikan dan simpan prosedur pengujian, kasus, kontrol, dan parameter untuk pengujian aplikasi di masa mendatang.
CMMI Cybermaturity Platform, 2018 AD.DE Safeguard Development Environment
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.10 Pemeliharaan (MA-2, MA-3)
BAI03.08 Jalankan pengujian solusi. Sebuah. Jumlah kesalahan yang ditemukan selama pengujian
Selama pengembangan, lakukan pengujian secara terus menerus (termasuk kontrol b. Waktu dan upaya untuk menyelesaikan tes
pengujian), sesuai dengan rencana dan pengembangan pengujian yang ditetapkan
praktek di lingkungan yang sesuai. Libatkan proses bisnis
pemilik dan pengguna akhir di tim pengujian. Identifikasi, catat, dan prioritaskan kesalahan
dan masalah yang teridentifikasi selama pengujian.
1. Melakukan pengujian solusi dan komponennya sesuai dengan rencana pengujian. Sertakan penguji independen dari 2
tim solusi, dengan perwakilan pemilik proses bisnis dan pengguna akhir. Pastikan pengujian hanya dilakukan di dalam
pengembangan dan pengujian lingkungan.
2. Gunakan instruksi tes yang didefinisikan dengan jelas, seperti yang didefinisikan dalam rencana tes. Pertimbangkan keseimbangan yang sesuai antara skrip otomatis
tes dan pengujian pengguna interaktif.
3. Lakukan semua tes sesuai dengan rencana dan praktik tes. Termasuk integrasi proses bisnis dan TI
komponen solusi dan persyaratan nonfungsional (misalnya, keamanan, privasi, interoperabilitas, kegunaan).
4. Identifikasi, catat, dan klasifikasikan (misalnya, kesalahan kecil, signifikan, dan kritis misi) selama pengujian. Ulangi tes sampai semuanya signifikan
kesalahan telah diselesaikan. Pastikan bahwa jejak audit dari hasil tes dipertahankan.
5. Catat hasil pengujian dan komunikasikan hasil pengujian kepada pemangku kepentingan sesuai dengan rencana pengujian.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan)
CMMI Cybermaturity Platform, 2018 Pengujian Pengembangan Aman AD.ST
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Pengujian Sistem SD2.5; Pengujian Keamanan SD2.6

173
Halaman 174
BAI03.09 Kelola perubahan persyaratan.

Sebuah. Jumlah perubahan terlacak dan disetujui yang menghasilkan kesalahan baru
Lacak status persyaratan individu (termasuk semua yang ditolak
b. Persentase pemangku kepentingan yang puas dengan proses manajemen perubahan
persyaratan) selama siklus hidup proyek. Kelola persetujuan
perubahan persyaratan.
1. Menilai dampak dari semua permintaan perubahan solusi pada pengembangan solusi, kasus bisnis asli, dan anggaran. 3
Kategorikan dan prioritaskan sesuai dengan itu.
2. Lacak perubahan persyaratan, memungkinkan semua pemangku kepentingan untuk memantau, meninjau dan menyetujui perubahan. Pastikan file
hasil dari proses perubahan sepenuhnya dipahami dan disepakati oleh semua pemangku kepentingan dan sponsor / bisnis
pemilik proses.
3. Menerapkan permintaan perubahan, menjaga integritas integrasi dan konfigurasi komponen solusi. Nilai dampaknya
setiap peningkatan solusi utama dan mengklasifikasikannya sesuai dengan kriteria obyektif yang disepakati (seperti persyaratan perusahaan), berdasarkan
pada hasil analisis risiko yang terlibat (seperti dampak pada sistem dan proses yang ada atau keamanan / privasi), biaya-
justifikasi manfaat dan persyaratan lainnya.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SD2.9 Review Pasca-implementasi
BAI03.10 Menjaga solusi.

Sebuah. Banyaknya tuntutan perawatan yang tidak dipenuhi
Mengembangkan dan melaksanakan rencana pemeliharaan solusi dan
komponen infrastruktur. Sertakan tinjauan berkala terhadap bisnis b. Durasi tuntutan perawatan yang puas dan yang jalan
tidak puas
kebutuhan dan persyaratan operasional.
1. Mengembangkan dan melaksanakan rencana pemeliharaan komponen solusi. Sertakan tinjauan berkala terhadap kebutuhan bisnis dan 2
persyaratan operasional seperti manajemen patch, strategi peningkatan, risiko, privasi, penilaian kerentanan, dan keamanan
Persyaratan.
2. Menilai pentingnya aktivitas pemeliharaan yang diusulkan pada desain solusi saat ini, fungsionalitas dan / atau bisnis 3
proses. Pertimbangkan risiko, dampak pengguna, dan ketersediaan sumber daya. Pastikan bahwa pemilik proses bisnis memahami efek dari
menunjuk perubahan sebagai pemeliharaan.
3. Jika terjadi perubahan besar pada solusi yang ada yang mengakibatkan perubahan signifikan dalam desain dan / atau fungsionalitas saat ini
dan / atau proses bisnis, ikuti proses pengembangan yang digunakan untuk sistem baru. Untuk pembaruan pemeliharaan, gunakan perubahan
proses manajemen.
4. Pastikan pola dan volume kegiatan pemeliharaan dianalisa secara berkala untuk menunjukkan kecenderungan abnormal yang terjadi 4
masalah kualitas atau kinerja yang mendasari, biaya / manfaat peningkatan besar, atau penggantian sebagai pengganti pemeliharaan.
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 14.3 Uji data
BAI03.11 Mendefinisikan produk dan layanan TI serta memelihara layanan tersebuStebuah. Persentase pemangku kepentingan yang menandatangani layanan I&T baru
portofolio. b. Persentase definisi layanan dan tingkat layanan baru atau yang diubah
Tentukan dan setujui produk atau layanan dan layanan TI baru atau yang diubah opsi yang didokumentasikan dalam portofolio layanan.
opsi level. Dokumentasikan definisi produk dan layanan baru atau yang diubah c. Persentase definisi layanan dan tingkat layanan baru atau yang diubah
dan opsi tingkat layanan untuk diperbarui dalam produk dan layanan opsi diperbarui dalam portofolio layanan
portofolio.
174
Halaman 175
BAB 4
1. Mengusulkan definisi produk dan layanan TI baru atau yang diubah untuk memastikan bahwa definisi tersebut sesuai dengan tujuannya. Dokumentasikan 3
definisi yang diusulkan dalam daftar portofolio produk dan layanan yang akan dikembangkan.
2. Mengusulkan opsi tingkat layanan baru atau yang diubah (waktu layanan, kepuasan pengguna, ketersediaan, kinerja, kapasitas, keamanan,
privasi, kontinuitas, kepatuhan, dan kegunaan) untuk memastikan bahwa produk dan layanan TI sesuai untuk digunakan. Dokumentasikan yang diusulkan
pilihan layanan dalam portofolio.
3. Antarmuka dengan manajemen hubungan bisnis dan manajemen portofolio untuk menyetujui produk dan layanan yang diusulkan
definisi dan opsi tingkat layanan.
4. Jika perubahan produk atau layanan berada dalam otoritas persetujuan yang disepakati, buat produk dan layanan atau layanan TI yang baru atau diubah
opsi level. Jika tidak, teruskan perubahan tersebut ke manajemen portofolio untuk tinjauan investasi.
BAI03.12 Solusi desain berdasarkan pengembangan yang ditentukan

metodologi. Sebuah. Persentase proyek pengembangan solusi yang menerapkan terpilih
metodologi pengembangan
Merancang, mengembangkan dan menerapkan solusi dengan tepat
b. Persentase proses yang disesuaikan dengan strategi yang dipilih
metodologi pengembangan (yaitu, air terjun, I&T Agile atau bimodal), di
sesuai dengan keseluruhan strategi dan persyaratan.
1. Menganalisis dan menilai dampak pemilihan metodologi pengembangan (yaitu, waterfall, Agile, bimodal) pada ketersediaan
3
sumber daya, persyaratan arsitektur, pengaturan konfigurasi, dan kekakuan sistem.
2. Menetapkan metodologi pengembangan yang sesuai dan pendekatan organisasi yang memberikan solusi yang diusulkan secara efisien
dan secara efektif serta mampu memenuhi kebutuhan bisnis, arsitektur dan sistem. Sesuaikan proses sesuai kebutuhan Bangun, Dapatkan, dan Terapkan
strategi yang dipilih.
3. Membentuk tim proyek yang dibutuhkan sebagaimana ditentukan oleh metodologi pengembangan yang dipilih. Berikan pelatihan yang cukup.
4. Pertimbangkan untuk menerapkan sistem ganda, jika diperlukan, di mana kelompok lintas fungsi (pabrik digital) fokus pada pengembangannya
produk atau proses yang menggunakan teknologi, operasional, atau metodologi manajerial yang berbeda dari bagian perusahaan lainnya.
Menanamkan grup ini dalam unit bisnis memiliki keuntungan dalam menyebarkan budaya baru pengembangan dan pembuatan yang gesit
pabrik digital ini mendekati norma.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SD1.1 Metodologi Pengembangan Sistem
175
Halaman 176
ffice.dll
fficer wners
fficer
perations fficer
Petugas echnology HAIAdministrasi

KepKaleapKIanleafpoPTarrmlaoasPDes.isigOBiKtiasolnmOiMsitOaenMPaejaennMrgaaPjarernaMroahgpjare(rnaPKmoa
mryejoeepngkPrarPelHaanrmuogKAybe/remuspPkniKbartgOeloaeakynpnMebgakala)gnniMbaKaanjaegenpTiMraaIPnjlaa
eenTPrlaIrKjyievaeransKmainoOanntainuIintafosrBmisansis
BAI03.01 Rancang solusi tingkat tinggi. R R ARRRR R R
BAI03.02 Rancang komponen solusi terperinci. R R ARRR R
BAI03.03 Mengembangkan komponen solusi. R R ARRR R
BAI03.04 Pengadaan komponen solusi. R R SEBUAH RRR
BAI03.05 Membangun solusi. R R ARRR R R
BAI03.06 Lakukan jaminan kualitas (QA). R R ARRR R
BAI03.07 Mempersiapkan pengujian solusi. R R SEBUAH RR RRRR
BAI03.08 Jalankan pengujian solusi. R R SEBUAH RR R R
BAI03.09 Kelola perubahan persyaratan. R R ARRR RR R R
BAI03.10 Menjaga solusi. AR R RRR R R R
BAI03.11 Mendefinisikan produk dan layanan TI serta memelihara portofolio layanan. SEBUAH RR R
BAI03.12 Solusi desain berdasarkan metodologi pengembangan yang ditentukan. R RR

SEBUARH Panduan
Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
176
Halaman 177
BAB 4
BAI03.01 Rancang solusi tingkat tinggi. Dari Deskripsi Deskripsi Untuk
APO03.01 Prinsip arsitektur Tingkat tinggi yang disetujui BAI04.03;
APO03.02 Domain dasar spesifikasi desain BAI05.01

deskripsi dan
definisi arsitektur
APO04.03 Analisis penelitian

kemungkinan inovasi
APO04.04 Evaluasi inovasi
ide ide
BAI02.01 • Definisi persyaratan
gudang
• Penerimaan dikonfirmasi
kriteria dari
BAI02.02 Akuisisi tingkat tinggi /

rencana pengembangan
BAI03.02 Rancang komponen solusi terperinci. APO03.01 Prinsip arsitektur Internal dan eksternal
BAI04.02
SLA
APO03.02 • Domain dasar ujui spesifikasi

Des
deskripsi dan
definisi arsitektur ain
detai
• Informasi
model arsitektur l
yang
APO03.05 Pengembangan solusi diset
BAI04.03; BAI05.01 Bangun, Dapatkan, dan Terapkan
APO04.06 Penilaian
inovatif
pendekatan

gudang
kriteria dari
BAI02.02 Laporan studi kelayakan
BAI02.03 • Risiko persyaratan

daftar
BAI02.04 Persetujuan dari

persyaratan dan
solusi yang diusulkan oleh
sponsor
BAI03.03 Mengembangkan komponen solusi. BAI02.02 Laporan studi kelayakan Solusi terdokumentasi BAI04.03;
BAI02.04 Persetujuan dari komponen BAI05.05;

persyaratan dan BAI08.02;
solusi yang diusulkan oleh BAI08.03
sponsor
177
Halaman 178
BAI03.04 Pengadaan komponen solusi. Dari Deskripsi Deskripsi Untuk
BAI02.04 Persetujuan dari

Akuisisi yang disetujui APO10.03
persyaratan dan
solusi yang diusulkan oleh rencana
sponsor Pembaruan pada aset BAI09.01
inventaris
BAI03.05 Membangun solusi. Terintegrasi dan BAI06.01

dikonfigurasi
komponen solusi
BAI03.06 Lakukan jaminan kualitas (QA). APO11.01 Hasil QMS
Hasil review berkualitas, APO11.04
pengecualian dan
koreksi
BAI01.07 Manajemen mutu
Rencana jaminan kualitas APO11.04
rencana
rencana manajemen
BAI03.07 Mempersiapkan pengujian solusi. Prosedur pengujian BAI07.03
Rencana uji BAI07.03

BAI03.08 Jalankan pengujian solusi. APO04.05 Analisis ditolak Hasil tes BAI07.03
inisiatif komunikasi
Log hasil pengujian dan audit BAI07.03
jalan setapak
BAI03.09 Kelola perubahan persyaratan. APO04.05 Hasil dan Rekam semua yang disetujui BAI06.03
rekomendasi dari dan menerapkan perubahan
bukti dari konsep permintaan
inisiatif
BAI02.01 Rekam kebutuhan
perubahan permintaan
BAI03.10 Menjaga solusi. Rencana pemeliharaan APO08.05
Solusi yang diperbarui BAI05.05

komponen dan terkait
Bangun, Dapatkan, dan Terapkan dokumentasi
BAI03.11 Mendefinisikan dan memelihara produk dan layanan TI APO02.04 • Kesenjangan dan perubahan Portofolio layanan yang diperbarui APO05.04
portofolio layanan. diperlukan untuk menyadari
kemampuan target
• Pernyataan manfaat nilai
u tuk lingkungan target
n
APO06.02 Alokasi anggaran Definisi layanan EDM02.01;
APO06.03 • Anggaran I&T DSS01.03

• Anggaran
komunikasi
APO08.05 Definisi potensi
proyek perbaikan
BAI10.02 Garis dasar konfigurasi
BAI10.03 Perubahan yang disetujui untuk

baseline
BAI10.04 Status konfigurasi
laporan
mengalokasikan sumber daya dan
kemampuan
178
Halaman 179
BAB 4
BAI03.12 Solusi desain berdasarkan yang ditentukan

metodologi pengembangan.
APO03.02 Domain dasar
deskripsi dan
definisi arsitektur
APO03.05 Pengembangan solusi
bimbingan
APO07.03 Keterampilan dan kompetensi

matriks
BAI02.01 • Penerimaan dikonfirmasi
kriteria dari
• Definisi persyaratan
gudang
BAI02.02 Laporan studi kelayakan
BAI10.02 Garis dasar konfigurasi
Ketrampilan Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci Bangun, Dapatkan, dan Terapkan
Pengembangan aplikasi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
B. Bangun — B.1. Aplikasi
Pengembangan
Pengujian proses bisnis Kerangka Keterampilan untuk Era Informasi V6, 2015 BPTS
Integrasi komponen e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
B. Bangun — B.2. Komponen
Integrasi
Desain database Kerangka Keterampilan untuk Era Informasi V6, 2015 DBDS
Produksi dokumentasi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016 B. Bangun — B.5. Dokumentasi
Produksi
Desain perangkat keras Kerangka Keterampilan untuk Era Informasi V6, 2015 HWDE
Porting / konfigurasi perangkat lunak Kerangka Keterampilan untuk Era Informasi V6, 2015 PELABUHAN
Pemrograman / perangkat lunak

Kerangka Keterampilan untuk Era Informasi V6, 2015 PROG
pengembangan
Rilis dan penerapan Kerangka Keterampilan untuk Era Informasi V6, 2015 RELM
Arsitektur solusi Kerangka Keterampilan untuk Era Informasi V6, 2015 LENGKUNGAN
Penerapan solusi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
B. Bangun — B.4. Larutan
Penyebaran
Desain sistem Kerangka Keterampilan untuk Era Informasi V6, 2015 DESN
Pengembangan sistem
pengelolaan Kerangka Keterampilan untuk Era Informasi V6, 2015 DLMG
Rekayasa sistem e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
B. Membangun — B.6. Sistem
Teknik
179
Halaman 180
D.Komponen: Orang, Keterampilan dan Kompetensi (lanjutan)
Instalasi sistem /
Kerangka Keterampilan untuk Era Informasi V6, 2015 HSIN
penonaktifan
Integrasi sistem Kerangka Keterampilan untuk Era Informasi V6, 2015 SINT
Menguji Kerangka Keterampilan untuk Era Informasi V6, 2015 UJI
Menguji e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016 B. Bangun — B.3. Menguji
Desain pengalaman pengguna Kerangka Keterampilan untuk Era Informasi V6, 2015 HCEV
Kebijakan pemeliharaan Mendefinisikan dukungan yang tepat dari peIrnanstgitkuattSlutannadkar Nasional dan 3.10 Pemeliharaan (MA-1)
dan komponen perangkat keras ke Publikasi Khusus Teknologi
memastikan umur aset lebih lama, meningka8t 00- 53, Revisi 5 (Draf),
produktivitas dan pemeliharaan karyawan Agustus 2017
pengalaman pengguna yang dapat diterima.
Kebijakan pengembangan perangkat lunak Standarisasi perangkat lunak
pengembangan di seluruh
organisasi dengan mencantumkan semua protokol
dan standar yang harus diikuti.
Akuisisi sistem dan layanan
Memberikan prosedur untuk menilai, Institut Standar Nasional dan 3.18 Sistem dan layanan
kebijakan
meninjau dan memvalidasi persyaratan Publikasi Khusus Teknologi akuisisi (SA-1)
untuk akuisisi sistem dan 800- 53, Revisi 5 (Draf),
jasa. Agustus 2017
Memastikan pengiriman layanan digital yang gesit dan terukur; terlibat

ekosistem mitra yang dapat bekerja atau didirikan oleh organisasi
struktur TI bimodal dengan pabrik digital, pemimpin dan tim yang gesit,
aliran berkelanjutan, dan pola pikir menuju perbaikan.
BangunC, iDptaakpaantbkuadna,yadyaanngTteerrbaupkkaadnan tidak bias yang

mengevaluasi secara adil dan obyektif alternatif ketika menyelidiki solusi baru yang
potensial (termasuk
apakah akan membangun atau membeli).
• Layanan pabrik digital, memisahkan "TI cepat" (pabrik digital yang bertanggung jawab untuk mengembangkan aplikasi digital) dari TI inti yang lama
• Evaluasi solusi dan layanan seleksi
• Alat dan layanan pengujian
180
Halaman 181
BAB 4

Tujuan Manajemen: BAI04 - Ketersediaan dan Kapasitas yang Dikelola Area Fokus: Model Inti COBIT
Deskripsi
Seimbangkan kebutuhan saat ini dan masa depan akan ketersediaan, kinerja, dan kapasitas dengan penyediaan layanan yang hemat biaya. Sertakan penilaian arus
kapabilitas, peramalan kebutuhan masa depan berdasarkan kebutuhan bisnis, analisis dampak bisnis, dan penilaian risiko untuk merencanakan dan
menerapkan tindakan untuk memenuhi persyaratan yang diidentifikasi.
Tujuan
Menjaga ketersediaan layanan, manajemen sumber daya yang efisien dan optimalisasi kinerja sistem melalui prediksi kinerja masa depan
dan persyaratan kapasitas.
Tujuan Perusahaan

pengiriman

kemampuan Bangun, Dapatkan, dan Terapkan
kemampuan
A. Komponen: Proses
BAI04.01 Menilai ketersediaan, kinerja dan kapasitas saat ini dan

Sebuah. Persen dari penggunaan kapasitas sebenarnya
buat garis dasar.
Menilai ketersediaan, kinerja dan kapasitas layanan dan sumber daya b. Persen ketersediaan aktual
c. Persen kinerja sebenarnya
untuk memastikan bahwa kapasitas dan kinerja dengan biaya yang dapat dipertanggungjawabkan tersedia
untuk mendukung kebutuhan bisnis dan memenuhi perjanjian tingkat layanan
(SLA). Buat baseline ketersediaan, kinerja, dan kapasitas untuk masa depan
perbandingan.
1. Pertimbangkan hal-hal berikut (saat ini dan yang diperkirakan) dalam penilaian ketersediaan, kinerja dan kapasitas layanan dan 2
sumber daya: kebutuhan pelanggan, prioritas bisnis, tujuan bisnis, dampak anggaran, pemanfaatan sumber daya, kemampuan TI
dan tren industri.
2. Mengidentifikasi dan menindaklanjuti semua insiden yang disebabkan oleh kinerja atau kapasitas yang tidak memadai. 3
3. Pantau kinerja aktual dan penggunaan kapasitas terhadap ambang batas yang ditentukan, didukung, jika perlu, dengan otomatis 4
perangkat lunak.
4. Secara teratur mengevaluasi tingkat kinerja saat ini untuk semua tingkat pemrosesan (permintaan bisnis, kapasitas layanan, dan sumber daya
kapasitas) dengan membandingkannya dengan tren dan SLA. Pertimbangkan perubahan lingkungan.
CMMI Cybermaturity Platform, 2018 Perencanaan Kapasitas DP.CP
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SY2.2 Manajemen Kinerja dan Kapasitas
ISO / IEC 20000-1: 2011 (E) 6.5 Manajemen kapasitas
ITIL V3, 2011 Desain Layanan, 4.4 Manajemen Ketersediaan; 4.5 Manajemen Kapasitas

3.14 Perencanaan (PL-10, PL-11)
181
Halaman 182
BAI04.02 Menilai dampak bisnis.

Sebuah. Jumlah skenario yang dibuat untuk menilai situasi ketersediaan di masa depan
Identifikasi layanan penting bagi perusahaan. Layanan peta dan sumber daya
b. Persentase pemilik proses bisnis yang menandatangani hasil analisis
untuk proses bisnis dan mengidentifikasi ketergantungan bisnis. Memastikan bahwa
dampak dari sumber daya yang tidak tersedia sepenuhnya disetujui dan diterima
oleh pelanggan. Untuk fungsi bisnis yang vital, pastikan ketersediaan itu
persyaratan dapat dipenuhi sesuai perjanjian tingkat layanan (SLA).
1. Identifikasi hanya solusi atau layanan yang penting dalam proses manajemen ketersediaan dan kapasitas. 2
2. Petakan solusi atau layanan yang dipilih ke aplikasi dan infrastruktur (TI dan fasilitas) yang mereka andalkan untuk diaktifkan 3
fokus pada sumber daya penting untuk perencanaan ketersediaan.
3. Kumpulkan data tentang pola ketersediaan dari log kegagalan masa lalu dan pemantauan kinerja. Gunakan alat pemodelan yang membantu 4
memprediksi kegagalan berdasarkan tren penggunaan masa lalu dan ekspektasi manajemen terhadap lingkungan baru atau kondisi pengguna.
4. Berdasarkan data yang terkumpul, buat skenario yang menggambarkan situasi ketersediaan di masa depan untuk menggambarkan berbagai potensi
tingkat kapasitas yang diperlukan untuk mencapai obyektif kinerja ketersediaan.
5. Berdasarkan skenario, tentukan kemungkinan bahwa tujuan kinerja ketersediaan tidak akan tercapai.
6. Tentukan dampak skenario pada ukuran kinerja bisnis (misalnya, pendapatan, laba, layanan pelanggan).
Libatkan para pemimpin lini bisnis, fungsional (terutama keuangan) dan daerah untuk memahami evaluasi dampak mereka.
7. Pastikan bahwa pemilik proses bisnis sepenuhnya memahami dan menyetujui hasil analisis ini. Dari pemilik bisnis,
dapatkan daftar skenario risiko yang tidak dapat diterima yang memerlukan respons untuk mengurangi risiko ke tingkat yang dapat diterima.
ISO / IEC 20000-1: 2011 (E) 6.3 Manajemen kesinambungan dan ketersediaan layanan
BAI04.03 Merencanakan persyaratan layanan baru atau yang diubah.

Sebuah. Jumlah peningkatan kapasitas, kinerja, atau ketersediaan yang tidak direncanakan
Merencanakan dan memprioritaskan implikasi ketersediaan, kinerja dan kapasitas
mengubah kebutuhan bisnis dan persyaratan layanan. b. Persentase dimana manajemen melakukan perbandingan terhadap permintaan aktual
sumber daya terhadap perkiraan penawaran dan permintaan
1. Mengidentifikasi implikasi ketersediaan dan kapasitas dari perubahan kebutuhan bisnis dan peluang peningkatan. Gunakan pemodelan 3
teknik untuk memvalidasi ketersediaan, kinerja dan rencana kapasitas.
2. Meninjau implikasi ketersediaan dan kapasitas dari analisis tren layanan. 4
Bangun3,. DMaepmaatsktikaann, bdaahwn aTmeranaapjekmaenn melakukan perbandingan permintaan aktual pada sumber daya terhadap
perkiraan penawaran dan permintaan mengevaluasi teknik perkiraan saat ini dan melakukan perbaikan jika memungkinkan.
4. Prioritaskan perbaikan yang diperlukan dan buat rencana ketersediaan dan kapasitas yang dapat dipertanggungjawabkan. 5
5. Menyesuaikan kinerja dan rencana kapasitas dan SLA berdasarkan proses bisnis yang realistis, baru, diusulkan dan / atau diproyeksikan
dan layanan pendukung, aplikasi dan perubahan infrastruktur. Juga termasuk tinjauan kinerja dan kapasitas aktual
penggunaan, termasuk tingkat beban kerja.
ISO / IEC 20000-1: 2011 (E) 5. Desain dan transisi layanan baru yang diubah
BAI04.04 Memantau dan meninjau ketersediaan dan kapasitas.

Sebuah. Jumlah peristiwa yang melebihi batas kapasitas yang direncanakan
Pantau, ukur, analisis, laporkan dan tinjau ketersediaan, kinerja
b. Jumlah puncak transaksi yang melebihi kinerja target
dan kapasitas. Identifikasi penyimpangan dari baseline yang ditetapkan. Ulasan
laporan analisis tren yang mengidentifikasi masalah dan varians yang signifikan.
Memulai tindakan jika perlu dan memastikan bahwa semua masalah yang belum diselesaikan
ditangani.
182
Halaman 183
BAB 4
1. Memberikan laporan kapasitas untuk proses penganggaran. 2
2. Menetapkan proses pengumpulan data untuk menyediakan manajemen dengan pemantauan dan pelaporan informasi untuk ketersediaan, 3
kinerja dan beban kerja kapasitas dari semua sumber daya terkait I & T.
3. Menyediakan pelaporan hasil secara teratur dalam bentuk yang sesuai untuk ditinjau oleh TI dan manajemen bisnis dan komunikasi 4
untuk manajemen perusahaan.
4. Mengintegrasikan pemantauan dan pelaporan kegiatan dalam kegiatan manajemen kapasitas berulang (pemantauan, analisis, penyetelan dan
implementasi).
BAI04.05 Menyelidiki dan menangani ketersediaan, kinerja dan

Sebuah. Jumlah dan persentase ketersediaan, kinerja, dan
masalah kapasitas.
masalah kapasitas
Mengatasi penyimpangan dengan menyelidiki dan menyelesaikan ketersediaan yang teridbe.nJtuifmiklahi,insiden
ketersediaan masalah kinerja dan kapasitas.
1. Dapatkan panduan dari manual produk vendor untuk memastikan tingkat ketersediaan kinerja yang sesuai untuk pemrosesan puncak 3
dan beban kerja.
2. Tetapkan prosedur eskalasi untuk resolusi cepat jika kapasitas darurat dan masalah kinerja.
3. Mengidentifikasi kesenjangan kinerja dan kapasitas berdasarkan pemantauan kinerja saat ini dan yang diperkirakan. Gunakan ketersediaan yang diketahui, 4
kesinambungan dan spesifikasi pemulihan untuk mengklasifikasikan sumber daya dan memungkinkan pembuatan prioritas.
4. Tentukan tindakan korektif (misalnya, mengalihkan beban kerja, memprioritaskan tugas atau menambahkan sumber daya saat kinerja dan kapasitas bermasalah 5 Bangun, Dapatkan, dan Terapkan
diidentifikasi).
5. Mengintegrasikan tindakan korektif yang diperlukan ke dalam perencanaan yang sesuai dan proses manajemen perubahan.

fficefrficewr ners
perations
HAI
echnology O
KomKiteepKaElekapsPIeankrlafouosKTtreimfsepBaKasilsieanpOiMAaslrOasniMbtaeajakgeniraaPnjeeTrlaIKyaontinnuitas Bisnis
BAI04.01 Menilai ketersediaan, kinerja dan kapasitas saat ini dan membuat garis dasar. RAR RR
BAI04.02 Menilai dampak bisnis. SEBUAH R RR
BAI04.03 Merencanakan persyaratan layanan baru atau yang diubah. RAR RR
BAI04.04 Memantau dan meninjau ketersediaan dan kapasitas. SEBUAH R RR
BAI04.05 Menyelidiki dan menangani masalah ketersediaan, kinerja dan kapasitas. RARRRRR
183
Halaman 184
C. Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6)
BAI04.01 Menilai ketersediaan saat ini, kinerja dan Dari Deskripsi Deskripsi Untuk
kapasitas dan membuat baseline.
BAI02.01 Definisi persyaratan Evaluasi terhadap SLA APO09.05
gudang
BAI02.03 Risiko persyaratan
Ketersediaan, kinerja Intern
daftar
dan baseline kapasitas
BAI04.02 Menilai dampak bisnis. BAI03.02 Internal dan eksternal
Tingkatan Jasa
dan bisnis kapasitas
Persetujuan (SLA)
penilaian dampak
dan skenario kapasitas
BAI04.03 Merencanakan persyaratan layanan baru atau yang diubah. BAI02.01 Penerimaan dikonfirmasi
Performa dan APO02.02
kriteria dari
rencana kapasitas
BAI03.01 Tingkat tinggi yang disetujui

Perbaikan yang diprioritaskan APO02.02
spesifikasi desain
BAI03.02 Desain detail yang disetujui
spesifikasi
BAI03.03 Solusi terdokumentasi
komponen
BAI04.04 Memantau dan meninjau ketersediaan dan kapasitas. Ketersediaan, kinerja
MEA01.03
dan pemantauan kapasitas
meninjau laporan
BAI04.05 Menyelidiki dan menangani ketersediaan,
Tindakan korektif APO02.02
masalah kinerja dan kapasitas.
Eskalasi darurat DSS02.02
prosedur
Performa dan Intern
kesenjangan kapasitas

Manajemen ketersediaan Kerangka Keterampilan untuk Era Informasi V6, 2015 AVMT
Manajemen kapasitas Kerangka Keterampilan untuk Era Informasi V6, 2015 CPMG
Kebijakan manajemen ketersediaan Menginformasikan perencanaan infrastruktur

dalam hal ketersediaan, skalabilitas,
keandalan dan potensi ketahanan.
Termasuk pedoman untuk mengidentifikasi
bandwidth, kapasitas dan ketersediaan
layanan (sebelum desain dan
penyediaan), membangun layanan
perjanjian tingkat (SLA), dan
menerapkan pemantauan terus menerus
sirkuit, lalu lintas dan respon
waktu.
184
Halaman 185
BAB 4
Untuk perusahaan yang bergantung pada informasi, ketersediaan dan kapasitas

manajemen sangat penting untuk operasi yang sukses. Bangun budaya di
ketersediaan dan kapasitas produk dan layanan mana yang diprioritaskan (sejalan
dengan persyaratan bisnis) dan didukung oleh proses dan perilaku
yang tidak hanya mengidentifikasi ketersediaan dan kapasitas yang dibutuhkan sebelum desain,
tapi juga pertimbangkan mereka dalam penyediaan. Mendefinisikan SLA cerdas secara konsisten;
terus memantau sirkuit, lalu lintas, dan waktu respons; tampil secara teratur
pengujian kelangsungan bisnis dan pemulihan bencana infrastruktur.
• Alat perencanaan kapasitas

• Penyediaan layanan dan alat
185
Halaman 186
186
Halaman 187
BAB 4

Tujuan Manajemen: BAI05 - Perubahan Organisasi yang Dikelola Area Fokus: Model Inti COBIT
Deskripsi
Memaksimalkan kemungkinan berhasil menerapkan perubahan organisasi perusahaan yang berkelanjutan dengan cepat dan dengan risiko yang lebih rendah. Tutupi
menyelesaikan siklus hidup perubahan dan semua pemangku kepentingan yang terpengaruh dalam bisnis dan TI.
Tujuan
Mempersiapkan dan berkomitmen pemangku kepentingan untuk perubahan bisnis dan mengurangi risiko kegagalan.
Tujuan Perusahaan
portofolio
• AG08 Mengaktifkan dan mendukung proses bisnis dengan mengintegrasikan

EG05 a. Jumlah gangguan layanan pelanggan

b. Persentase pemangku kepentingan bisnis yang memuaskan pelanggan itu AG08 a. Waktu untuk menjalankan layanan atau proses bisnis
pemberian layanan memenuhi tingkat yang disepakati b. Jumlah program bisnis yang mendukung I & T tertunda atau
c. Jumlah keluhan pelanggan menimbulkan biaya tambahan karena masalah integrasi teknologi
c. Jumlah perubahan proses bisnis yang perlu ditunda
atau dikerjakan ulang karena masalah integrasi teknologi
d. Jumlah aplikasi atau infrastruktur penting yang beroperasi
dengan kemampuan proses bisnis b. Jumlah program yang membutuhkan pengerjaan ulang yang signifikan karena kualitas
b. Tingkat kepuasan pelanggan dengan penyampaian layanan cacat
kemampuan c. Persentase pemangku kepentingan yang puas dengan kualitas program / proyek
kemampuan
A. Komponen: Proses
BAI05.01 Menetapkan keinginan untuk berubah.

Sebuah. Tingkat keterlibatan manajemen senior
Pahami ruang lingkup dan dampak dari perubahan yang diinginkan. Menilai
b. Tingkat keinginan pemangku kepentingan untuk perubahan
kesiapan dan keinginan pemangku kepentingan untuk berubah. Identifikasi tindakan itu
akan memotivasi penerimaan dan partisipasi pemangku kepentingan untuk membuat
ubah pekerjaan dengan sukses.
187
Halaman 188
1. Menilai ruang lingkup dan dampak dari perubahan yang dibayangkan, berbagai pemangku kepentingan yang terkena dampak, sifat dari dampaknya 2
dan keterlibatan yang dibutuhkan dari setiap kelompok pemangku kepentingan, serta kesiapan dan kemampuan saat ini untuk mengadopsi perubahan.
2. Untuk membangun keinginan untuk mengubah, mengidentifikasi, memanfaatkan dan mengkomunikasikan poin rasa sakit saat ini, peristiwa negatif, risiko, pelanggan
ketidakpuasan dan masalah bisnis, serta manfaat awal, peluang dan penghargaan masa depan, dan persaingan
keuntungan.
3. Terbitkan komunikasi utama dari komite eksekutif atau CEO untuk menunjukkan komitmen terhadap perubahan.
4. Memberikan kepemimpinan yang terlihat dari manajemen senior untuk menetapkan arah dan untuk menyelaraskan, memotivasi dan menginspirasi para pemangku kepentingan untuk
menginginkan perubahan.
PROSCI ® Proses Manajemen Perubahan 3-Fase Tahap 1. Mempersiapkan perubahan — Tentukan manajemen perubahan
Anda strategi
BAI05.02 Membentuk tim implementasi yang efektif.

Sebuah. Jumlah masalah keterampilan atau kapasitas yang teridentifikasi dalam tim pelaksana
Membentuk tim pelaksana yang efektif dengan menyusun yang sesuai
b. Peringkat kepuasan pemangku kepentingan dari tim implementasi
anggota, menciptakan kepercayaan, dan menetapkan tujuan bersama dan
ukuran efektivitas.
1. Mengidentifikasi dan mengumpulkan tim implementasi inti yang efektif yang mencakup anggota yang sesuai dari bisnis dan TI dengan 3
kapasitas untuk menghabiskan jumlah waktu yang dibutuhkan dan menyumbangkan pengetahuan dan keahlian, pengalaman, kredibilitas, dan otoritas.
Pertimbangkan untuk menyertakan pihak eksternal seperti konsultan untuk memberikan pandangan independen atau untuk mengatasi kesenjangan keterampilan. Mengenali
agen perubahan potensial dalam berbagai bagian perusahaan dengan siapa tim inti dapat bekerja untuk mendukung visi dan
perubahan kaskade.
2. Ciptakan kepercayaan di dalam tim implementasi inti melalui acara yang direncanakan dengan cermat dengan komunikasi yang efektif dan aktivitas bersama.
3. Kembangkan visi dan tujuan bersama yang mendukung tujuan perusahaan.
PROSCI ® Proses Manajemen Perubahan 3-Fase Fase 1. Mempersiapkan untuk perubahan — Persiapkan tim manajemen perubahan Anda
BAI05.03 Komunikasikan visi yang diinginkan.

Sebuah. Jumlah pertanyaan terkait perubahan tersebut
Komunikasikan visi yang diinginkan untuk perubahan dalam bahasa
b. Umpan balik pemangku kepentingan tentang tingkat pemahaman tentang perubahan
mereka yang terpengaruh olehnya. Komunikasi harus dilakukan oleh senior
Bangun , D a p at k a n , d a n T e r a p k a n
m a n aj em e n d a n m e ma s u k ka n a la san untuk, dan
manfaat dari, perubahan tersebut;
dampak tidak melakukan perubahan; dan visi, peta jalan dan
keterlibatan yang dibutuhkan dari berbagai pemangku kepentingan.
1. Kembangkan rencana komunikasi visi untuk membahas kelompok audiens inti, profil perilaku, dan informasi mereka 3
persyaratan, saluran komunikasi, dan prinsip.
2. Menyampaikan komunikasi pada tingkat perusahaan yang sesuai, sesuai dengan rencana.
3. Memperkuat komunikasi melalui berbagai forum dan pengulangan.
4. Buat semua tingkat kepemimpinan bertanggung jawab untuk mendemonstrasikan visi tersebut.
5. Periksa pemahaman tentang visi yang diinginkan dan tanggapi setiap masalah yang disoroti oleh staf. 4
188
Halaman 189
BAB 4
BAI05.04 Memberdayakan pemain peran dan mengidentifikasi kemenangan jangkaSepbeunadhe.kT.ingkat kepuasan para pemain peran yang mengoperasikan, menggunakan, dan
memelihara Berdayakan mereka yang memiliki peran implementasi dengan menetapkan akuntabilitas. perubahan
Memberikan pelatihan dan menyelaraskan struktur organisasi dan proses SDM. b. Persentase pemain peran yang dilatih
Identifikasi dan komunikasikan kemenangan jangka pendek yang penting dari a c. Persentase pemain peran dengan otoritas yang ditugaskan sesuai
perspektif perubahan-pemberdayaan. d. Umpan balik pemain peran pada tingkat pemberdayaan
e. Penilaian diri pemain peran atas kemampuan yang relevan
1. Rencanakan kesempatan pelatihan yang dibutuhkan staf untuk mengembangkan keterampilan dan sikap yang sesuai agar merasa diberdayakan. 2
2. Mengidentifikasi, memprioritaskan, dan memberikan peluang untuk kemenangan cepat. Ini bisa terkait dengan area kesulitan yang diketahui saat ini atau
faktor eksternal yang perlu segera ditangani.
3. Memanfaatkan keuntungan cepat dengan mengkomunikasikan manfaat kepada mereka yang terkena dampak untuk menunjukkan bahwa visi berada pada jalurnya. Sempurnakan
visi, pertahankan agar para pemimpin tetap bergabung dan bangun momentum.
4. Mengidentifikasi struktur organisasi yang sesuai dengan visi; jika perlu, lakukan perubahan untuk memastikan keselarasan. 3
5. Menyelaraskan proses SDM dan sistem pengukuran (misalnya, evaluasi kinerja, keputusan kompensasi, keputusan promosi,
perekrutan dan perekrutan) untuk mendukung visi.
6. Identifikasi dan kelola pemimpin yang terus menolak perubahan yang dibutuhkan.

BAI05.05 Mengaktifkan operasi dan penggunaan. Sebuah. Persentase pengguna yang diberdayakan secara tepat untuk perubahan tersebut
Merencanakan dan menerapkan semua aspek teknis, operasional dan penggunaan jadi semb.uPaersentase rencana yang dikembangkan untuk pengoperasian dan penggunaan Bangun, Dapatkan, dan Terapkan
perubahan mereka yang terlibat dalam lingkungan negara masa depan dapat menjalankannya
tanggung jawab.
1. Kembangkan rencana untuk pengoperasian dan penggunaan perubahan. Rencana tersebut harus dikomunikasikan dan dibangun di atas pencapaian cepat yang terw3ujud, alamat
aspek perilaku dan budaya dari transisi yang lebih luas, dan meningkatkan dukungan dan keterlibatan. Pastikan bahwa rencana tersebut mencakup a
pandangan holistik tentang perubahan dan menyediakan dokumentasi (misalnya, prosedur), pendampingan, pelatihan, pembinaan, transfer pengetahuan,
meningkatkan dukungan pasca-go-live segera dan dukungan berkelanjutan.
2. Menerapkan rencana operasi dan penggunaan. Tentukan dan lacak ukuran keberhasilan, termasuk ukuran dan persepsi bisnis yang sulit 4
ukuran yang menunjukkan bagaimana perasaan orang tentang suatu perubahan. Ambil tindakan perbaikan seperlunya.
PROSCI ® Proses Manajemen Perubahan 3-Fase Fase 2. Mengelola perubahan
BAI05.06 Menanamkan pendekatan baru.

Sebuah. Tingkat kepuasan pengguna dengan penerapan perubahan
Sematkan pendekatan baru dengan melacak perubahan yang diterapkan, menilai
b. Persentase audit kepatuhan yang mengidentifikasi akar penyebab rendahnya
efektivitas operasi dan rencana penggunaan, dan keberlanjutan berkelanjutan
adopsi
kesadaran melalui komunikasi reguler. Ambil tindakan korektif sebagai
sesuai (yang mungkin termasuk menegakkan kepatuhan). c. Jumlah audit kepatuhan yang dilakukan untuk mengidentifikasi akar penyebabnya
adopsi rendah dan tindakan korektif yang direkomendasikan
1. Buatlah pemilik proses bertanggung jawab atas operasi normal sehari-hari. 2
2. Rayakan kesuksesan dan terapkan program penghargaan dan pengakuan untuk memperkuat perubahan. 3
3. Memberikan kesadaran berkelanjutan melalui komunikasi reguler tentang perubahan dan penerapannya.
4. Gunakan sistem pengukuran kinerja untuk mengidentifikasi akar penyebab rendahnya adopsi. Lakukan tindakan korektif. 4
5. Lakukan audit kepatuhan untuk mengidentifikasi akar penyebab rendahnya adopsi. Rekomendasikan tindakan korektif.
PROSCI ® Proses Manajemen Perubahan 3-Fase Fase 3. Memperkuat perubahan
189
Halaman 190
BAI05.07 Mempertahankan perubahan.

Sebuah. Jumlah pelatihan dan transfer pengetahuan yang dilakukan
Mempertahankan perubahan melalui pelatihan staf baru yang efektif, berkelanjutan
b. Persentase keterlibatan manajemen puncak untuk memperkuat
kampanye komunikasi, komitmen berkelanjutan dari manajemen puncak,
perubahan
pemantauan adopsi dan berbagi pelajaran yang diperoleh di seluruh
perusahaan.
1. Mempertahankan dan memperkuat perubahan melalui komunikasi reguler yang menunjukkan komitmen manajemen puncak. 2
2. Memberikan pendampingan, pelatihan, pembinaan dan transfer pengetahuan kepada staf baru untuk mempertahankan perubahan. 3
3. Lakukan tinjauan berkala atas operasi dan penggunaan perubahan. Identifikasi perbaikan. 4
4. Menangkap pelajaran yang dipetik berkaitan dengan implementasi perubahan. Bagikan pengetahuan di seluruh perusahaan. 5
PROSCI ® Proses Manajemen Perubahan 3-Fase Fase 3. Memperkuat perubahan
ffice.dll
fficefrfice wners
r fficefrficer
fficer
perations
echnology O HAI
Dewan Tata Kelola
Praktik Manajemen Kunci KomKiteepKaElekapsKEeaklkeaupsKeOtaiklfepaupetKIarinfaleafsOpoiSTarOAmlaYaPDAsrigoTOisMteasal
BnOMaisjaneniMrsaPjOaernKroagpejrepraPmoamyeleaennkgKSPeuemrmpoMbabylaeaeankrnMbgaDOajagneanMriyaKaaPnjaeeMnTrlaaaIKjylneaaerunasKmaianoanntainuIintafosrBmisansis
BAI05.01 Menetapkan keinginan untuk berubah. RA RRRRRRR R
BAI05.02 Membentuk tim implementasi yang efektif. SEBUAH RRR RRR R
BAI05.03 Komunikasikan visi yang diinginkan. SEBUAH RRRR RR

BAI05.04 Memberdayakan pemain peran dan mengidentifikasi kemenangan jangka pendek. SEBUAH RRR RR R
BAI05.05 Mengaktifkan operasi dan penggunaan. SEBUARHRRR R R RRRRR
BAI05.06 Menanamkan pendekatan baru. SEBUARHRRR R R RRRRR
BAI05.07 Mempertahankan perubahan. SEBUARHRRR RRRR RRRRR

190
Halaman 191
BAB 4
BAI05.01 Menetapkan keinginan untuk berubah. Dari Deskripsi Deskripsi Untuk
APO11.02 Hasil kualitas

layanan, termasuk Komunikasi dari Intern
Timbal balik pelanggan manajemen eksekutif
berkomitmen untuk berubah
Komunikasi dari Intern
gudang
pengemudi untuk perubahan
kriteria dari

daftar
BAI03.01 Tingkat tinggi yang disetujui

spesifikasi desain
BAI03.02 Desain detail yang disetujui
spesifikasi
BAI05.02 Membentuk tim implementasi yang efektif. BAI02.01 Penerimaan dikonfirmasi
kriteria dari Visi umum dan BAI01.02
pemangku kepentingan tujuan
Tim implementasi BAI01.04
dan peran
BAI05.03 Komunikasikan visi yang diinginkan. Komunikasi visi BAI01.04

rencana
Komunikasi visi BAI01.05
BAI05.04 Memberdayakan pemain peran dan mengidentifikasi

Di luar organisasi COBIT Kinerja SDM yang selaras APO07.04
kemenangan jangka pendek.
Enterprise tujuan
struktur
Kemenangan cepat teridentifikasBi AI01.04
Komunikasi
manfaat BAI01.06
BAI05.05 Mengaktifkan operasi dan penggunaan. BAI03.03 Solusi terdokumentasi

Rencana operasi dan penggunaanAPO08.04;
komponen
BAI08.03;
DSS01.01;
DSS01.02;
DSS06.02
BAI03.10 Solusi yang diperbarui
Ukuran keberhasilan dan APO08,05;
komponen dan terkait
hasil BAI07.07;
dokumentasi
BAI07.08;
MEA01.03
BAI05.06 Menanamkan pendekatan baru. Review kinerja SDM
APO07.04
hasil
Kesadaran
Intern
komunikasi
Hasil audit kepatuhan MEA02.02;
MEA03.03
BAI05.07 Mempertahankan perubahan. Rencana transfer pengetahuan BAI08.02;

BAI08.03
Komunikasi dari Intern

manajemen
komitmen
Review operasional MEA02.02
menggunakan
191
Halaman 192
Manajemen perubahan bisnis e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
E. Kelola — E.7. Perubahan Bisnis
Pengelolaan
Ubah perencanaan implementasi
Kerangka Keterampilan untuk Era Informasi V6, 2015 CIPM
dan manajemen
Desain organisasi dan
Kerangka Keterampilan untuk Era Informasi V6, 2015 ORDI
penerapan
Perubahan organisasi
Menyediakan kerangka kerja dan
kebijakan manajemen
menguraikan prinsip-prinsip untuk mengelola
perubahan organisasi. Merefleksikan
undang-undang saat ini dan menyediakan
manajemen orang yang baik
praktik; memastikan konsisten
pendekatan untuk mengelola perubahan
di seluruh organisasi.
Mewujudkan nilai dari investasi yang mendukung I & T membutuhkan lebih dari
memberikan solusi dan layanan I&T. Ini juga membutuhkan perubahan pada
proses bisnis, keterampilan dan kompetensi, budaya dan perilaku, dll.,
semuanya harus dimasukkan dalam kasus bisnis untuk investasi.
Kepemimpinan harus menciptakan budaya perubahan yang berkelanjutan melalui fleksibilitas,
keterbukaan dan kepercayaan diri serta membangun manajemen perubahan yang sesuai
dukungan dan komunikasi.
• Alat dan saluran komunikasi

• Alat survei
192
Halaman 193
BAB 4

Tujuan Manajemen: BAI06 - Perubahan TI yang Dikelola Area Fokus: Model Inti COBIT
Deskripsi
Kelola semua perubahan secara terkendali, termasuk perubahan standar dan pemeliharaan darurat yang berkaitan dengan proses bisnis, aplikasi
dan infrastruktur. Ini termasuk standar dan prosedur perubahan, penilaian dampak, penentuan prioritas dan otorisasi, perubahan darurat,
pelacakan, pelaporan, penutupan, dan dokumentasi.
Tujuan
Memungkinkan pengiriman perubahan bisnis yang cepat dan andal. Mengurangi risiko berdampak negatif pada stabilitas atau integritas lingkungan yang berubah.
Tujuan Perusahaan
EG01 Portofolio produk dan layanan yang kompetitif
AG06 Kelincahan untuk mengubah persyaratan bisnis menjadi solusi operasional

AG06 a. Tingkat kepuasan eksekutif bisnis dengan I&T
b. Persentase produk dan layanan yang memenuhi atau melebihi daya tanggap terhadap persyaratan baru
b. Waktu rata-rata untuk memasarkan layanan baru terkait I & T dan
c. Persentase produk dan layanan yang menyediakan aplikasi
c. Waktu rata-rata untuk mengubah tujuan I&T strategis menjadi
A. Komponen: Proses
BAI06.01 Mengevaluasi, memprioritaskan, dan mengotorisasi permintaan perubahaSneb. uah. Jumlah pengerjaan ulang yang disebabkan oleh perubahan yang Bangun, Dapatkan, dan Terapkan
gagal
Evaluasi semua permintaan perubahan untuk menentukan dampaknya pada bisnis b. Persentase perubahan yang tidak berhasil karena dampak yang tidak memadai
proses dan layanan I&T, dan untuk menilai apakah perubahan akan merugikan penilaian
mempengaruhi lingkungan operasional dan menimbulkan risiko yang tidak dapat diterima.
Pastikan bahwa perubahan dicatat, diprioritaskan, dikategorikan, dinilai,
disahkan, direncanakan dan dijadwalkan.
1. Gunakan permintaan perubahan formal untuk memungkinkan pemilik proses bisnis dan TI meminta perubahan pada proses bisnis, infrastruktur, 2
sistem atau aplikasi. Pastikan bahwa semua perubahan tersebut hanya muncul melalui proses manajemen permintaan perubahan.
2. Kategorikan semua perubahan yang diminta (misalnya, proses bisnis, infrastruktur, sistem operasi, jaringan, sistem
aplikasi, membeli / perangkat lunak aplikasi yang dikemas) dan menghubungkan item konfigurasi yang terpengaruh.
3. Memprioritaskan semua perubahan yang diminta berdasarkan persyaratan bisnis dan teknis; sumber daya yang dibutuhkan; dan hukum, peraturan
dan alasan kontrak untuk perubahan yang diminta.
4. Secara resmi menyetujui setiap perubahan oleh pemilik proses bisnis, manajer layanan dan pemangku kepentingan teknis TI, yang sesuai.
Perubahan yang berisiko rendah dan relatif sering harus disetujui sebelumnya sebagai perubahan standar.
5. Rencanakan dan jadwalkan semua perubahan yang disetujui.
6. Merencanakan dan mengevaluasi semua permintaan dengan cara yang terstruktur. Sertakan analisis dampak pada proses bisnis, infrastruktur, sistem 3
dan aplikasi, rencana kesinambungan bisnis (BCP) dan penyedia layanan untuk memastikan bahwa semua komponen yang terpengaruh telah
teridentifikasi. Menilai kemungkinan berdampak buruk pada lingkungan operasional dan risiko penerapan perubahan.
Pertimbangkan implikasi keamanan, privasi, hukum, kontrak, dan kepatuhan dari perubahan yang diminta. Pertimbangkan juga antar-
ketergantungan antar perubahan. Libatkan pemilik proses bisnis dalam proses penilaian, jika sesuai.
7. Mempertimbangkan dampak penyedia layanan yang dikontrak (misalnya, pemrosesan bisnis yang dialihdayakan, infrastruktur,
aplikasi pengembangan dan layanan bersama) pada proses manajemen perubahan. Sertakan integrasi manajemen perubahan organisasi
proses dengan proses manajemen perubahan penyedia layanan dan dampaknya pada persyaratan kontrak dan SLA.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SY2.4 Manajemen Perubahan
ISO / IEC 20000-1: 2011 (E) 9.2 Manajemen perubahan
ITIL V3, 2011 Transisi Layanan, 4.2 Manajemen Perubahan
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4.6 Lakukan Kontrol Perubahan Terintegrasi
193
Halaman 194
BAI06.02 Mengelola perubahan darurat.

Sebuah. Jumlah perubahan darurat yang tidak diizinkan setelah kejadian
Kelola perubahan darurat dengan hati-hati untuk meminimalkan insiden lebih lanjut.
b. Persen dari total perubahan yang merupakan perbaikan darurat
Pastikan perubahan darurat terkontrol dan dilakukan dengan aman.
Verifikasi bahwa perubahan darurat dinilai dengan tepat dan
diotorisasi setelah perubahan.
1. Tentukan apa yang termasuk dalam perubahan darurat. 2
2. Pastikan bahwa prosedur terdokumentasi ada untuk menyatakan, menilai, menyetujui lebih awal, memberi otorisasi setelah perubahan dan mencatat
perubahan darurat.
3. Pastikan bahwa semua pengaturan akses darurat untuk perubahan telah diotorisasi dengan tepat, didokumentasikan dan dicabut setelah 3
perubahan telah diterapkan.
4. Pantau semua perubahan darurat dan lakukan review pasca implementasi yang melibatkan semua pihak terkait. Review harus 4
mempertimbangkan dan memulai tindakan korektif berdasarkan akar penyebab seperti masalah dengan proses bisnis, sistem aplikasi
pengembangan dan pemeliharaan, lingkungan pengembangan dan pengujian, dokumentasi dan manual, dan integritas data.
BAI06.03 Melacak dan melaporkan status perubahan. Sebuah. Jumlah dan usia permintaan perubahan yang ditunggak
Menjaga sistem pelacakan dan pelaporan untuk mendokumentasikan perubahan yang ditobl.aPkersentase status permintaan perubahan yang dilaporkan kepada pemangku kepentingan di a
dan mengkomunikasikan status disetujui, dalam proses dan selesai secara tepat waktu
perubahan. Pastikan bahwa perubahan yang disetujui diterapkan sebagai
berencana.
1. Kategorikan permintaan perubahan dalam proses pelacakan (misalnya, ditolak, disetujui tetapi belum dimulai, disetujui dan dalam proses, 4
dan ditutup).
2. Menerapkan laporan status perubahan dengan metrik kinerja untuk memungkinkan tinjauan manajemen dan pemantauan baik secara rinci
status perubahan dan keadaan keseluruhan (misalnya, analisis usia permintaan perubahan). Pastikan bahwa laporan status membentuk jejak audit
sehingga perubahan selanjutnya dapat dilacak dari awal hingga disposisi akhir.
3. Pantau perubahan terbuka untuk memastikan bahwa semua perubahan yang disetujui ditutup tepat waktu, tergantung pada prioritas.
4. Menjaga sistem pelacakan dan pelaporan untuk semua permintaan perubahan.

Bangun , D a p a tk a n , d a n T e r a p k a n
P a n du a n T er k a it ( St an d a r , K e rangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci
CMMI Cybermaturity Platform, 2018 IP.CC Terapkan Kontrol Perubahan
BAI06.04 Tutup dan dokumentasikan perubahannya.

Sebuah. Jumlah kesalahan tinjauan yang ditemukan dalam dokumentasi
Setiap kali perubahan diterapkan, perbarui solusinya, pengguna
b. Persentase dokumentasi pengguna dan pembaruan prosedur yang dilakukan di
dokumentasi dan prosedur yang terpengaruh oleh perubahan tersebut.
secara tepat waktu
1. Sertakan perubahan dalam dokumentasi dalam prosedur manajemen. Contoh dokumentasi termasuk bisnis dan 2
Prosedur operasional TI, kelanjutan bisnis dan dokumentasi pemulihan bencana, informasi konfigurasi, aplikasi
dokumentasi, layar bantuan, dan materi pelatihan.
2. Tentukan periode penyimpanan yang sesuai untuk dokumentasi perubahan dan sistem sebelum dan sesudah perubahan dan dokumentasi pengguna. 3
3. Subjek dokumentasi ke tingkat tinjauan yang sama dengan perubahan aktual.
194
Halaman 195
BAB 4
fficewr ners
perations fficer
HAI
KepParlaosMIensafoBnMraimsjanenaiPrssaePijOneOrgKroegpemrpraMobamylaaennkMbgaajagneniMraKaPnjaeeenpTPrlaIrKjyliaevaeransKmainoOanntainuIintafosrBmisansis
BAI06.01 Mengevaluasi, memprioritaskan, dan mengotorisasi permintaan perubahan. AR RRRRRR
BAI06.02 Mengelola perubahan darurat. SEBUAH RRRR R
BAI06.03 Melacak dan melaporkan status perubahan. ARRRRRR
BAI06.04 Tutup dan dokumentasikan perubahannya. ARRRRRR R
BAI06.01 Mengevaluasi, memprioritaskan, dan mengotorisasi perubahanDari Deskripsi Deskripsi Untuk

permintaan. Bangun, Dapatkan, dan Terapkan
BAI03.05 Terintegrasi dan Ubah rencana dan BAI07.01
BAI06.02 Mengelola perubahan darurat. dikonfigurasi susunan
Pasca acara
implementasi
komponen solusi review keadaan darurat Intern
perubahan
DSS02.03 Layanan yang disetujui Permintaan yang disetujui untuk BAI07.01
BAI06.03 Melacak dan melaporkan status perubahan. BAI03.09 Rekam semua yang disetujui
permintaan perubahan
Ubah status permintaan BAI01.06;
dan menerapkan perubahan
DSS03.03 Solusi yang diusulkan untuk laporan
Penilaian dampak BAI10.03
Intern
permintaan
kesalahan yang diketahui
BAI06.04 Tutup dan dokumentasikan perubahannya. Ubah dokumentasi Intern
DSS03.05 Teridentifikasi berkelanjutan
solusi
DSS04.08 Perubahan yang disetujui pada
Tidak ada panduan terkait untuk komponen ini rencana
DSS06.01 Analisis akar penyebab dan

rekomendasi
195
Halaman 196
Ubah manajemen Kerangka Keterampilan untuk Era Informasi V6, 2015 CHMG
Ubah dukungan e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
Profesional di semua sektor industri - Bagian 1: Kerangka, 2016 C. Jalankan - C.2. Ubah Dukungan
Kebijakan manajemen perubahan TI Mengkomunikasikan maksud manajemen

bahwa semua berubah menjadi TI perusahaan
dikelola dan diterapkan
untuk meminimalkan risiko dan dampak
kepada pemangku kepentingan. Meliputi dalam ruang lingkup
aset dan perubahan standar
proses manajemen.
Pemimpin harus menciptakan budaya perbaikan berkelanjutan dalam solusi TI

dan layanan, menyadari bahwa peningkatan menuntut mereka untuk memahami
dampak perubahan teknologi pada perusahaan, risiko yang melekat dan
mitigasi terkait, serta biayanya. Pemimpin harus menyeimbangkan
dampak perubahan terhadap manfaat dan kontribusinya yang diharapkan untuk I&T
strategi dan tujuan perusahaan.
• Alat manajemen konfigurasi

• Alat manajemen perubahan TI

196
Halaman 197
BAB 4

Tujuan Manajemen: BAI07 - Penerimaan dan Transisi Perubahan TI yang Dikelola Area Fokus: Model Inti COBIT
Deskripsi
Secara resmi menerima dan membuat solusi baru yang operasional. Termasuk perencanaan implementasi, sistem dan konversi data, pengujian penerimaan,
komunikasi, persiapan rilis, promosi ke produksi proses bisnis baru atau yang diubah dan layanan I&T, dukungan produksi awal, dan
tinjauan pasca-implementasi.
Tujuan
Menerapkan solusi dengan aman dan sesuai dengan harapan dan hasil yang disepakati.
Tujuan Perusahaan
EG01 Portofolio produk dan layanan yang kompetitif
AG06 Kelincahan untuk mengubah persyaratan bisnis menjadi solusi operasional

target pendapatan dan / atau pangsa pasar AG06 a. Tingkat kepuasan eksekutif bisnis dengan I&T
daya tanggap terhadap persyaratan baru
target kepuasan pelanggan b. Waktu rata-rata untuk memasarkan layanan baru terkait I & T dan
aplikasi
keunggulan kompetitif c. Waktu rata-rata untuk mengubah tujuan I&T strategis menjadi
A. Komponen: Proses

BAI07.01 Menyusun rencana implementasi. Sebuah. Jumlah dan kategori pemangku kepentingan yang menandatangani
Menetapkan rencana implementasi yang mencakup sistem dan data rencana implementasi
konversi, kriteria pengujian penerimaan, komunikasi, pelatihan, b. Jumlah rencana implementasi yang kuat dan berisi semua
persiapan rilis, promosi ke produksi, dukungan produksi awal, komponen yang dibutuhkan
rencana cadangan / cadangan, dan tinjauan pasca penerapan. Memperoleh
persetujuan dari pihak terkait.
1. Membuat rencana implementasi yang mencerminkan strategi implementasi yang luas, urutan langkah-langkah implementasi, 2
kebutuhan sumber daya, ketergantungan, kriteria penerimaan manajemen dari pelaksanaan produksi, instalasi
persyaratan verifikasi, strategi transisi untuk dukungan produksi, dan pembaruan rencana kesinambungan bisnis.
2. Dari penyedia solusi eksternal, dapatkan komitmen atas keterlibatan mereka dalam setiap langkah implementasi.
3. Identifikasi dan dokumentasikan proses fallback dan pemulihan.
4. Konfirmasikan bahwa semua rencana implementasi disetujui oleh pemangku kepentingan teknis dan bisnis dan ditinjau oleh audit internal, sebagaimana 3
sesuai.
5. Meninjau secara formal risiko teknis dan bisnis yang terkait dengan implementasi. Pastikan bahwa risiko utama dipertimbangkan dan
dibahas dalam proses perencanaan.
ITIL V3, 2011 Transisi Layanan, 4.1 Perencanaan dan Dukungan Transisi
197
Halaman 198
BAI07.02 Merencanakan proses bisnis, sistem dan konversi data.

Sebuah. Persen konversi yang berhasil
Mempersiapkan proses bisnis, data dan infrastruktur layanan I&T
b. Persen dari penyesuaian yang diperlukan untuk prosedur (termasuk
migrasi sebagai bagian dari metode pengembangan perusahaan. Sertakan audit
peran dan tanggung jawab yang direvisi dan prosedur kontrol)
jalur dan rencana pemulihan jika migrasi gagal.
1. Tentukan proses bisnis, data layanan I&T, dan rencana migrasi infrastruktur. Dalam mengembangkan rencana, pertimbangkan, misalnya, 2
perangkat keras, jaringan, sistem operasi, perangkat lunak, data transaksi, file master, backup dan arsip, antarmuka dengan lainnya
sistem (baik internal maupun eksternal), kemungkinan persyaratan kepatuhan, prosedur bisnis, dan dokumentasi sistem.
2. Dalam rencana konversi proses bisnis, pertimbangkan semua penyesuaian yang diperlukan untuk prosedur, termasuk peran yang direvisi dan
tanggung jawab dan prosedur pengendalian.
3. Pastikan bahwa rencana konversi data tidak memerlukan perubahan nilai data kecuali benar-benar diperlukan untuk bisnis
alasan. Perubahan dokumen dilakukan pada nilai data, dan mendapatkan persetujuan dari pemilik data proses bisnis.
4. Rencanakan penyimpanan data cadangan dan arsip agar sesuai dengan kebutuhan bisnis dan persyaratan peraturan atau kepatuhan.
5. Berlatih dan uji konversi sebelum mencoba konversi langsung.
6. Koordinasikan dan verifikasi waktu dan kelengkapan pengalihan konversi sehingga ada transisi yang mulus dan berkelanjutan
tidak ada kehilangan data transaksi. Jika perlu, jika tidak ada alternatif lain, bekukan operasi langsung.
7. Rencanakan untuk mencadangkan semua sistem dan data yang diambil pada titik sebelum konversi. Pertahankan jejak audit untuk memungkinkan terjadinya konversi
menelusuri kembali. Pastikan bahwa ada rencana pemulihan yang mencakup rollback migrasi dan fallback ke pemrosesan sebelumnya jika
migrasi gagal.
8. Dalam rencana konversi data, gabungkan metode untuk mengumpulkan, mengubah dan memverifikasi data yang akan dikonversi, dan mengidentifikasi 3
dan mengatasi kesalahan yang ditemukan selama konversi. Sertakan membandingkan data asli dan yang dikonversi untuk kelengkapan
dan integritas.
9. Mempertimbangkan risiko masalah konversi, perencanaan kesinambungan bisnis dan prosedur fallback dalam proses bisnis, data
dan rencana migrasi infrastruktur di mana terdapat manajemen risiko, kebutuhan bisnis atau persyaratan regulasi / kepatuhan.
ITIL V3, 2011 Transisi Layanan, 4.1 Perencanaan dan Dukungan Transisi
BAI07.03 Tes penerimaan rencana.

Sebuah. Persentase pemangku kepentingan yang puas dengan kelengkapan
Tetapkan rencana pengujian berdasarkan standar seluruh perusahaan yang
proses pengujian
ditetapkan peran, tanggung jawab, dan kriteria masuk dan keluar. Pastikan
b. Jumlah rencana pengujian yang terdokumentasi yang mencakup semua fase pengujian
rencananya
dan skenario pengujian yang kuat dan sesuai untuk operasional
Bangund,isDetaupjuai tokleahnp, idhaaknteTrkeariat.pkan
persyaratan dan lingkungan
198
Halaman 199
BAB 4
1. Mengembangkan dan mendokumentasikan rencana pengujian, yang sejalan dengan program, rencana kualitas proyek dan standar organisasi yang relevan. 2
Berkomunikasi dan berkonsultasi dengan pemilik proses bisnis dan pemangku kepentingan TI yang sesuai.
2. Pastikan bahwa rencana pengujian mencerminkan penilaian risiko dari proyek dan semua persyaratan fungsional dan teknis
diuji. Berdasarkan penilaian risiko kegagalan sistem dan kesalahan implementasi, termasuk dalam persyaratan rencana untuk
kinerja, stres, kegunaan, pilot, pengujian keamanan, dan privasi.
3. Pastikan bahwa rencana pengujian memenuhi kebutuhan potensial untuk akreditasi internal atau eksternal hasil dari proses pengujian
(misalnya, persyaratan keuangan atau peraturan).
4. Pastikan bahwa rencana pengujian mengidentifikasi sumber daya yang diperlukan untuk melaksanakan pengujian dan mengevaluasi hasil. Contoh sumber daya mungkin
menjadi konstruksi lingkungan pengujian dan penggunaan waktu staf untuk kelompok pengujian, termasuk potensi penggantian pengujian sementara
staf di lingkungan produksi atau pengembangan. Pastikan bahwa para pemangku kepentingan diajak berkonsultasi tentang implikasi sumber daya dari
rencana pengujian.
5. Pastikan bahwa rencana pengujian mengidentifikasi tahapan pengujian yang sesuai dengan persyaratan operasional dan lingkungan. Contoh dari
Tahapan pengujian tersebut meliputi uji unit, uji sistem, uji integrasi, uji penerimaan pengguna, uji kinerja, uji stres, data
uji konversi, uji keamanan, uji privasi, uji kesiapan operasional, dan uji cadangan dan pemulihan.
6. Konfirmasikan bahwa rencana pengujian mempertimbangkan persiapan ujian (termasuk persiapan lokasi), persyaratan pelatihan, pemasangan atau an
pembaruan lingkungan pengujian yang ditentukan, merencanakan / melakukan / mendokumentasikan / mempertahankan kasus pengujian, kesalahan dan penanganan masalah,
koreksi dan eskalasi, dan persetujuan formal.
7. Konfirmasikan bahwa semua rencana pengujian disetujui oleh pemangku kepentingan, termasuk pemilik proses bisnis dan TI, sebagaimana mestinya.
Pemangku kepentingan mungkin termasuk manajer pengembangan aplikasi, manajer proyek dan pengguna akhir proses bisnis.
8. Pastikan bahwa rencana pengujian menetapkan kriteria yang jelas untuk mengukur keberhasilan pelaksanaan setiap tahap pengujian. Konsultasikan 3
pemilik proses bisnis dan pemangku kepentingan TI dalam menentukan kriteria keberhasilan. Tentukan bahwa rencana tersebut menetapkan
perbaikan prosedur ketika kriteria sukses tidak terpenuhi. Misalnya, jika ada kegagalan yang signifikan dalam tahap pengujian, rencanakan
harus memberikan panduan apakah akan melanjutkan ke fase berikutnya, menghentikan pengujian, atau menunda implementasi.
BAI07.04 Membangun lingkungan pengujian.

Sebuah. Tingkat perbandingan antara lingkungan pengujian dan bisnis masa depan
Tentukan dan buat perwakilan lingkungan pengujian yang aman dari
dan lanskap operasional
proses bisnis yang direncanakan dan lingkungan operasi TI dalam hal
b. Tingkat data uji yang disterilkan (dan / atau database) yang representatif
kinerja, kapasitas, keamanan, pengendalian internal, praktik operasional,
dari lingkungan produksi
kualitas data, persyaratan privasi, dan beban kerja.
1. Buat database data uji yang mewakili lingkungan produksi. Sanitasi data yang digunakan dalam pengujian 2
lingkungan dari lingkungan produksi sesuai dengan kebutuhan bisnis dan standar organisasi. Sebagai contoh,
pertimbangkan apakah kepatuhan atau persyaratan peraturan mewajibkan penggunaan data yang disterilkan.
2. Lindungi data dan hasil pengujian yang sensitif terhadap pengungkapan, termasuk akses, penyimpanan, penyimpanan, dan penghancuran. Pertimbangkan 3
pengaruh interaksi sistem organisasi dengan pihak ketiga.
3. Menerapkan proses untuk memungkinkan penyimpanan atau pembuangan hasil tes, media dan dokumentasi terkait lainnya yang sesuai
akan memungkinkan tinjauan yang memadai dan analisis selanjutnya atau pengujian ulang yang efisien seperti yang dipersyaratkan oleh rencana pengujian. Pertimbangkan efek dari
peraturan atau persyaratan kepatuhan.
4. Pastikan bahwa lingkungan pengujian mewakili lanskap bisnis dan operasional masa depan. Cantumkan proses bisnis
prosedur dan peran, kemungkinan tekanan beban kerja, sistem operasi, perangkat lunak aplikasi yang diperlukan, manajemen basis data
sistem, dan infrastruktur jaringan dan komputasi yang ditemukan di lingkungan produksi.
5. Pastikan bahwa lingkungan pengujian aman dan tidak dapat berinteraksi dengan sistem produksi.
199
Halaman 200
BAI07.05 Lakukan tes penerimaan. Sebuah. Jumlah kesenjangan yang teridentifikasi antara hasil tes penerimaan dan
Perubahan pengujian secara independen, sesuai dengan rencana pengujian yang ditentukan, kriteria sukses yang ditentukan
sebelum migrasi ke lingkungan operasional hidup. b. Jumlah tes penerimaan yang berhasil
1. Tinjau log kesalahan yang dikategorikan yang ditemukan dalam proses pengujian oleh tim pengembangan. Verifikasi bahwa semua kesalahan telah terjadi 2
diperbaiki atau diterima secara resmi.
2. Mengevaluasi penerimaan akhir terhadap kriteria keberhasilan dan menafsirkan hasil pengujian penerimaan akhir. Sajikan dalam a 3
formulir yang dapat dipahami oleh pemilik proses bisnis dan TI, sehingga tinjauan dan evaluasi yang diinformasikan dapat dilakukan.
3. Menyetujui penerimaan, dengan persetujuan resmi oleh pemilik proses bisnis, pihak ketiga (sebagaimana mestinya) dan TI
pemangku kepentingan sebelum promosi.
4. Pastikan bahwa pengujian perubahan dilakukan sesuai dengan rencana pengujian. Pastikan pengujian dirancang dan
dilakukan oleh kelompok uji yang independen dari tim pengembangan. Perhatikan sejauh mana proses bisnisnya
pemilik dan pengguna akhir terlibat dalam grup pengujian. Pastikan pengujian hanya dilakukan di dalam lingkungan pengujian.
5. Pastikan bahwa pengujian dan hasil yang diharapkan sesuai dengan kriteria keberhasilan yang ditetapkan yang ditetapkan dalam rencana pengujian.
6. Pertimbangkan untuk menggunakan instruksi tes (skrip) yang didefinisikan dengan jelas untuk mengimplementasikan tes. Pastikan bahwa kelompok uji independen
menilai dan menyetujui setiap skrip pengujian untuk mengonfirmasi bahwa itu secara memadai memenuhi kriteria keberhasilan pengujian yang ditetapkan dalam rencana pengujian.
Pertimbangkan untuk menggunakan skrip untuk memverifikasi sejauh mana sistem memenuhi persyaratan keamanan dan privasi.
7. Pertimbangkan keseimbangan yang tepat antara pengujian skrip otomatis dan pengujian pengguna interaktif.
8. Lakukan pengujian keamanan sesuai dengan rencana pengujian. Ukur sejauh mana kelemahan atau celah keamanan. Mempertimbangkan
efek insiden keamanan sejak pembangunan rencana pengujian. Pertimbangkan efeknya pada akses dan kontrol batas.
Pertimbangkan privasi.
9. Melakukan pengujian kinerja sistem dan aplikasi sesuai dengan rencana pengujian. Pertimbangkan berbagai performa
metrik (misalnya, waktu respons pengguna akhir dan kinerja pembaruan sistem manajemen basis data).
10. Saat melakukan pengujian, pastikan bahwa elemen fallback dan rollback dari rencana pengujian telah ditangani.
11. Identifikasi, catat, dan klasifikasikan (mis., Kesalahan kecil, signifikan, kritis-misi) selama pengujian. Pastikan bahwa audit jejak hasil tes
tersedia. Sesuai dengan rencana pengujian, komunikasikan hasil pengujian kepada pemangku kepentingan untuk memfasilitasi perbaikan bug dan
peningkatan kualitas lebih lanjut.
ITIL V3, 2011 Transisi Layanan, 4.5 Validasi dan Pengujian Layanan
BAI07.06 Mempromosikan ke produksi dan mengelola rilis. Sebuah. Jumlah dan persen rilis tidak siap untuk rilis sesuai jadwal
Mempromosikan solusi yang diterima untuk bisnis dan operasi. Dimana b. Persentase kepuasan pemangku kepentingan dengan solusi yang diterapkan
sesuai, jalankan solusi sebagai implementasi percontohan atau secara paralel dengan
solusi lama untuk jangka waktu tertentu dan membandingkan perilaku dan hasil.
Jika terjadi masalah yang signifikan, kembalikan ke lingkungan asli berdasarkan
rencana fallback / back-up. Kelola rilis komponen solusi.
1. Mempersiapkan pengalihan prosedur bisnis dan layanan pendukung, aplikasi dan infrastruktur dari pengujian ke 2
lingkungan produksi sesuai dengan standar manajemen perubahan organisasi.
2. Tentukan sejauh mana implementasi percontohan atau pemrosesan paralel dari sistem lama dan baru sejalan dengan
rencana implementasi.
3. Segera perbarui proses bisnis dan dokumentasi sistem yang relevan, informasi konfigurasi dan rencana kontinjensi
dokumen, sebagaimana mestinya.
4. Pastikan semua pustaka media diperbarui segera dengan versi komponen solusi yang ditransfer dari pengujian
ke lingkungan produksi. Arsipkan versi yang ada dan dokumentasi pendukungnya. Pastikan promosi itu ke
produksi sistem, perangkat lunak aplikasi, dan infrastruktur berada di bawah kendali konfigurasi.
5. Jika distribusi komponen solusi dilakukan secara elektronik, kontrol distribusi otomatis untuk memastikan bahwa pengguna melakukannya
diberitahukan, dan distribusi terjadi hanya untuk tujuan yang berwenang dan diidentifikasi dengan benar. Dalam proses rilis, sertakan
cadangan prosedur untuk memungkinkan distribusi perubahan ditinjau jika terjadi kegagalan fungsi atau kesalahan.
6. Di mana distribusi mengambil bentuk fisik, simpanlah catatan resmi tentang barang apa yang telah didistribusikan, kepada siapa, di mana mereka telah
diimplementasikan, dan ketika masing-masing telah diperbarui.
200
Halaman 201
BAB 4
ISO / IEC 20000-1: 2011 (E) 9.3 Manajemen rilis dan penyebaran
ITIL V3 2011 Transisi Layanan, 4.4 Manajemen Rilis dan Penerapan
BAI07.07 Memberikan dukungan produksi awal. Sebuah. Jumlah sumber daya sistem I&T tambahan yang disediakan untuk dukungan
Untuk jangka waktu yang disepakati, berikan dukungan awal kepada pengguna dan I&T b. Jumlah sumber daya staf tambahan yang disediakan untuk dukungan
operasi untuk menyelesaikan masalah dan membantu menstabilkan solusi baru.
1. Sediakan sumber daya tambahan, sesuai kebutuhan, untuk pengguna akhir dan personel pendukung sampai rilis stabil. 3
2. Menyediakan sumber daya sistem I&T tambahan, sebagaimana diperlukan, hingga rilis berada dalam lingkungan operasional yang stabil.
BAI07.08 Lakukan review pasca implementasi.

Sebuah. Jumlah dan persentase analisis akar masalah selesai
Melakukan tinjauan pasca implementasi untuk mengkonfirmasi hasil dan hasil,
b. Jumlah atau persen rilis yang gagal distabilkan dalam file
mengidentifikasi pelajaran yang didapat, dan mengembangkan rencana tindakan. Evaluasi apketuriaolde yang dapat diterima
kinerja dan hasil dari layanan baru atau yang diubah terhadap c. Persentase rilis yang menyebabkan waktu henti
kinerja yang diharapkan dan hasil yang diantisipasi oleh pengguna atau
pelanggan.
1. Menetapkan prosedur untuk memastikan bahwa tinjauan pasca implementasi mengidentifikasi, menilai dan melaporkan sejauh mana
peristiwa berikut telah terjadi: persyaratan perusahaan telah terpenuhi; manfaat yang diharapkan telah terwujud; sistem 3
dianggap dapat digunakan; harapan pemangku kepentingan internal dan eksternal terpenuhi; dampak tak terduga pada perusahaan miliki
terjadi; risiko utama dimitigasi; dan manajemen perubahan, proses instalasi dan akreditasi dilakukan
efektif dan efisien.
2. Berkonsultasi dengan pemilik proses bisnis dan manajemen teknis TI dalam pemilihan metrik untuk pengukuran keberhasilan dan
pencapaian persyaratan dan manfaat. 4
3. Melakukan review pasca implementasi sesuai dengan proses manajemen perubahan organisasi. Libatkan bisnis
memproses pemilik dan pihak ketiga, sebagaimana mestinya.
4. Pertimbangkan persyaratan untuk tinjauan pasca-implementasi yang timbul dari bisnis luar dan TI (misalnya, audit internal, ERM,
kepatuhan).
5. Setuju dan terapkan rencana tindakan untuk mengatasi masalah yang diidentifikasi dalam tinjauan pasca-implementasi. Libatkan bisnis 5
pemilik proses dan manajemen teknis TI dalam pengembangan rencana tindakan.
ITIL V3, 2011 Transisi Layanan, 4.6 Evaluasi Perubahan

201
Halaman 202
fficewr ners
perations fficer
HAI
Praktik Manajemen Kunci KepParlaosFIenusfnoBPgrisemsinaMgiKseieaOmpOn

MbalajaaennmMbgaaejagneniMraKDaPnjaeaeenpTtP
BAI07.01 Menyusun rencana implementasi.
rlaaIrKjyliaevaeransKmainoOanntainuIintafosrBmisa
BAI07.02 Merencanakan proses bisnis, sistem dan konversi data. nsis
AR R RRR
ARRR RRR
BAI07.03 Tes penerimaan rencana. AR RR RRR
BAI07.04 Membangun lingkungan pengujian. AR RR RR
BAI07.05 Lakukan tes penerimaan. AR RR RRR
BAI07.06 Mempromosikan ke produksi dan mengelola rilis. AR RRR R
BAI07.07 Memberikan dukungan produksi awal. AR RRR
BAI07.08 Lakukan review pasca implementasi. AR RRR

BAI07.01 Menyusun rencana implementasi. Dari Deskripsi Deskripsi Untuk
BAI01.07 Manajemen mutu

Pengembalian implementasi Intern
rencana
dan proses pemulihan
BAI06.01 • Permintaan yang disetujui untukDisetujui Intern

perubahan rencana implementasi
• Ubah rencana dan
Bangun, Dapatkan, dan Terapkan susunan acara
rencana manajemen
BAI07.02 Merencanakan proses bisnis, sistem dan data Rencana migrasi DSS06.02
konversi.
BAI07.03 Tes penerimaan rencana. BAI01.07 Persyaratan untuk

verifikasi independen Penerimaan disetujui BAI01.04;
dari kiriman rencana pengujian BAI11.04
BAI03.07 • Rencana uji

• Prosedur pengujian
BAI03.08 • Log hasil tes dan

jejak audit
• Hasil tes
komunikasi
BAI 11.05 Persyaratan untuk
verifikasi independen
hasil proyek
202
Halaman 203
BAB 4
BAI07.04 Membangun lingkungan pengujian. Dari Deskripsi Deskripsi Untuk
Uji data Intern
BAI07.05 Lakukan tes penerimaan. Penerimaan disetujui

BAI01.04
dan lepaskan untuk
produksi
Evaluasi penerimaan
hasil BAI01.06
Log hasil tes Intern
BAI07.06 Mempromosikan ke produksi dan mengelola rilis. Rencana rilis BAI10.01
Log rilis Intern
BAI07.07 Memberikan dukungan produksi awal. APO11.02 Hasil kualitas Dukungan tambahan APO08.04;
layanan, termasuk rencana APO08,05;
Timbal balik pelanggan DSS02.04
hasil
BAI07.08 Lakukan review pasca implementasi. APO11.03 • Hasil solusi dan
Rencana tindakan perbaikan BAI01.09; Bangun, Dapatkan, dan Terapkan
kualitas layanan pengiriman
BAI 11.09
pemantauan
• Akar penyebab kualitas
kegagalan pengiriman
Pasca implementasi BAI01.09;
dan audit
meninjau laporan BAI 11.09

hasil
Pengujian proses bisnis Kerangka Keterampilan untuk Era Informasi V6, 2015 BPTS
Rilis dan penerapan Kerangka Keterampilan untuk Era Informasi V6, 2015 RELM
Penerimaan layanan Kerangka Keterampilan untuk Era Informasi V6, 2015 SEAC
Menguji Kerangka Keterampilan untuk Era Informasi V6, 2015 UJI
Evaluasi pengalaman pengguna Kerangka Keterampilan untuk Era Informasi V6, 2015 USEV
203
Halaman 204

Kebijakan manajemen perubahan TI Mengkomunikasikan maksud manajemen
bahwa semua berubah menjadi TI perusahaan
dikelola dan diterapkan
untuk meminimalkan risiko dan dampak
kepada pemangku kepentingan. Meliputi dalam ruang lingkup
aset dan perubahan standar
proses manajemen.
Membangun budaya yang memastikan komunikasi tepat waktu dari perubahan TI

permintaan untuk kelompok yang terkena dampak; berkonsultasi dengan kelompok yang terkena dampak tentang
implementasi dan pengujian perubahan.
• Alat manajemen perubahan TI

• Alat manajemen rilis
• Alat dan layanan pengujian
204
Halaman 205
BAB 4

Tujuan Manajemen: BAI08 - Pengetahuan yang Dikelola Area Fokus: Model Inti COBIT
Deskripsi
Menjaga ketersediaan pengetahuan dan informasi manajemen yang relevan, terkini, tervalidasi dan andal untuk mendukung semua aktivitas proses
dan untuk memfasilitasi pengambilan keputusan yang terkait dengan tata kelola dan manajemen I&T perusahaan. Rencanakan identifikasi, pengumpulan, pengorganisasian,
memelihara, menggunakan, dan menghentikan pengetahuan.
Tujuan
Memberikan pengetahuan dan informasi yang diperlukan untuk mendukung semua staf dalam tata kelola dan manajemen perusahaan I&T dan memungkinkan untuk diinformasikan
pengambilan keputusan.
Tujuan Perusahaan
• AG12 Staf yang kompeten dan termotivasi dengan saling pengertian
• EG10 Keterampilan, motivasi dan produktivitas staf
EG01 a. Persentase produk dan layanan yang memenuhi atau melebihi AG12 a. Persentase pebisnis yang paham I & T (yaitu, mereka yang memiliki
target pendapatan dan / atau pangsa pasar pengetahuan dan pemahaman yang diperlukan tentang I&T untuk memandu,
b. Persentase produk dan layanan yang memenuhi atau melebihi mengarahkan, berinovasi, dan melihat peluang I&T di domain mereka
target kepuasan pelanggan keahlian bisnis)
c. Persentase produk dan layanan yang menyediakan b. Persentase orang I&T yang paham bisnis (yaitu, mereka yang memiliki ekstensi
keunggulan kompetitif pengetahuan dan pemahaman yang dibutuhkan tentang bisnis yang relevan
d. Saatnya memasarkan produk dan layanan baru domain untuk memandu, mengarahkan, berinovasi, dan melihat peluang I&T
untuk domain bisnis)
pengalaman manajemen Bangun, Dapatkan, dan Terapkan
EG10 a. Produktivitas staf dibandingkan dengan tolok ukur AG13 a. Tingkat kesadaran dan pemahaman eksekutif bisnis
b. Tingkat kepuasan pemangku kepentingan dengan keahlian staf kemungkinan inovasi I&T
dan keterampilan b. Jumlah inisiatif yang disetujui sebagai hasil dari inovasi
c. Persentase staf yang keterampilannya tidak mencukupi Ide I&T
kompetensi dalam peran mereka c. Jumlah juara inovasi yang diakui / diberikan
d. Persentase staf yang puas

peluang inovasi
205
Halaman 206
A. Komponen: Proses
BAI08.01 Mengidentifikasi dan mengklasifikasikan sumber informasi untuk tata keSloelbauah. Persentase informasi yang dikategorikan divalidasi
dan manajemen I&T. b. Persentase kesesuaian jenis konten, artefak, dan terstruktur
Mengidentifikasi, memvalidasi dan mengklasifikasikan beragam sumber internal dan eksterndan informasi tidak
terstruktur informasi yang diperlukan untuk memungkinkan tata kelola dan manajemen I&T,
termasuk dokumen strategi, laporan insiden, dan konfigurasi
informasi yang berkembang dari pengembangan ke operasi sebelumnya
akan hidup.
1. Identifikasi calon pengguna pengetahuan, termasuk pemilik informasi yang mungkin perlu menyumbangkan dan menyetujui pengetahuan. 2
Dapatkan persyaratan pengetahuan dan sumber informasi dari pengguna yang teridentifikasi.
2. Pertimbangkan jenis konten (prosedur, proses, struktur, konsep, kebijakan, aturan, fakta, klasifikasi), artefak
(dokumen, rekaman, video, suara), dan informasi terstruktur dan tidak terstruktur (pakar, media sosial, email, pesan suara, Rich
Umpan Ringkasan Situs (RSS)).
3. Klasifikasi sumber informasi berdasarkan skema klasifikasi konten (misalnya, model arsitektur informasi). Sumber peta 3
informasi ke skema klasifikasi.
4. Kumpulkan, susun, dan validasi sumber informasi berdasarkan kriteria validasi informasi (misalnya, dapat dimengerti, relevan, 4
kepentingan, integritas, akurasi, konsistensi, kerahasiaan, mata uang dan keandalan).
BAI08.02 Mengatur dan mengontekstualisasikan informasi menjadi pengetahuan. Sebuah. Jumlah hubungan yang teridentifikasi di antara sumber informasi
Atur informasi berdasarkan kriteria klasifikasi. Identifikasi dan ciptakan (penandaan)
hubungan yang bermakna di antara elemen informasi dan memungkinkan penggunaan b. Persentase kepuasan pemangku kepentingan dengan organisasi dan
informasi. Identifikasi pemilik, dan manfaatkan serta terapkan perusahaan- kontekstualisasi informasi menjadi pengetahuan
tingkat informasi yang ditentukan dari akses ke informasi manajemen dan
sumber pengetahuan.
1. Mengidentifikasi atribut bersama dan mencocokkan sumber informasi, menciptakan hubungan di antara kumpulan informasi (informasi 3
penandaan).
2. Buat tampilan ke kumpulan data terkait, dengan mempertimbangkan pemangku kepentingan dan persyaratan organisasi.
3. Merancang dan menerapkan skema untuk mengelola pengetahuan tidak terstruktur yang tidak tersedia melalui sumber formal (misalnya, pengetahuan ahli).
4. Publikasikan dan buat pengetahuan dapat diakses oleh pemangku kepentingan terkait, berdasarkan peran dan mekanisme akses.
COSO Enterprise Risk Management, Juni 2017 10. Informasi, Komunikasi, dan Pelaporan - Prinsip 18
BAI08.03 Menggunakan dan berbagi pengetahuan. Sebuah. Persen dari pengetahuan yang tersedia benar-benar digunakan
Menyebarkan sumber daya pengetahuan yang tersedia kepada pemangku kepentingan terbk.aPitedrasenntase kepuasan pengguna pengetahuan
mengkomunikasikan bagaimana sumber daya ini dapat digunakan untuk memenuhi kebutuhan yang berbeda
(misalnya, pemecahan masalah, pembelajaran, perencanaan strategis dan pengambilan keputusan).
1. Tetapkan ekspektasi manajemen dan tunjukkan sikap yang sesuai mengenai kegunaan pengetahuan dan kebutuhan untuk 2
berbagi pengetahuan terkait tata kelola dan pengelolaan I&T perusahaan.
2. Mengidentifikasi pengguna pengetahuan potensial berdasarkan klasifikasi pengetahuan.
3. Mentransfer pengetahuan kepada pengguna pengetahuan, berdasarkan analisis kesenjangan kebutuhan dan teknik pembelajaran yang efektif. Buat 3
lingkungan, alat dan artefak yang mendukung berbagi dan transfer pengetahuan. Pastikan kontrol akses yang sesuai tersedia
tempat, sesuai dengan klasifikasi pengetahuan yang ditentukan.
4. Mengukur penggunaan alat dan elemen pengetahuan dan mengevaluasi dampaknya pada proses tata kelola. 4
5. Meningkatkan informasi dan pengetahuan untuk proses tata kelola yang menunjukkan kesenjangan pengetahuan. 5
206
Halaman 207
BAB 4
CMMI Cybermaturity Platform, 2018 PP.IS Menerapkan Berbagi Informasi; IR.ES Pastikan Berbagi informasi
ITIL V3, 2011 Transisi Layanan, 4.7 Manajemen Pengetahuan
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4.4 Mengelola pengetahuan proyek
BAI08.04 Mengevaluasi dan memperbarui atau menghentikan informasi.

Ukur penggunaan dan evaluasi mata uang dan relevansi informasi. Sebuah. Frekuensi pembaruan
Perbarui informasi atau hentikan informasi usang. b. Tingkat kepuasan pengguna
1. Tentukan kontrol untuk pensiun pengetahuan dan pensiun pengetahuan yang sesuai. 3
2. Mengevaluasi kegunaan, relevansi dan nilai elemen pengetahuan. Perbarui informasi usang yang masih memiliki relevansi dan 4
nilai bagi organisasi. Identifikasi informasi terkait yang tidak lagi relevan dengan persyaratan pengetahuan perusahaan dan
pensiun atau arsipkan sesuai dengan kebijakan.

fficefrficer wners
fficer
perations fficer
HAIAdministrasi
echnology O

KepKaleapKIanleafpoPTarrmlaoasPDes.isigOBiMtiasalnnOMisaajOenFrauPjnerKgrosegpiprMPoaeylaanenK
gkAaeejrmpesKmiabtleaeapknMbagDlaaagnanMbitaKaajgenMiTrpaaIPajleneaPTrlaraIKjiyevPearaanesKmni
aonaOansnetahinnautIinhtafuoskrBumimsansiis
BAI08.01 Mengidentifikasi dan mengklasifikasikan sumber informasi untuk tata kelola dan manajemen I&T. SEBUAH R R RR R
BAI08.02 Mengatur dan mengontekstualisasikan informasi menjadi pengetahuan. SEBUAH R RRR

BAI08.03 Menggunakan dan berbagi pengetahuan. ARRRRRRR R R
BAI08.04 Mengevaluasi dan memperbarui atau menghentikan informasi. SEBUAH R RRRRRRRRRRR

207
Halaman 208
BAI08.01 Mengidentifikasi dan mengklasifikasikan sumber informasi unDtuakri Deskripsi Deskripsi Untuk
tata kelola dan manajemen I&T.
Di luar persyaratan Pengetahuan COBIT Klasifikasi Intern
dan sumber sumber informasi
BAI08.02 Mengatur dan mengontekstualisasikan informasi ke dalamBAI03.03 Solusi terdokumentasi Pengetahuan yang dipublikasikanAPO07.03
pengetahuan. komponen repositori
BAI05.07 Rencana transfer pengetahuan
BAI08.03 Menggunakan dan berbagi pengetahuan. BAI03.03 Solusi terdokumentasi

Kesadaran pengetahuan APO07.03
komponen
dan skema pelatihan
BAI05.05 Rencana operasi dan penggunaanDatabase pengguna pengetahuan
Internal BAI05.07 Rencana transfer pengetahuan
BAI08.04 Mengevaluasi dan memperbarui atau menghentikan informasi. Aturan untuk Intern
pengetahuan pensiun
Penggunaan pengetahuan Intern
hasil evaluasi
Informasi dan pengetahuan

pengelolaan e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK D. Mengaktifkan — D.10. Informasi dan
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016 Manajemen Pengetahuan

Kebijakan penggunaan pengetahuan tata keloPlanduan pembuatan dan penggunaan

aset pengetahuan yang berkaitan dengan I&T
pemerintahan. Aset pengetahuan I&T
harus dapat diakses dengan mudah
Bangun, Dapatkan, dan Terapkan sebagai referensi.
Tanamkan budaya berbagi pengetahuan di perusahaan. Secara proaktif

mengkomunikasikan nilai pengetahuan untuk mendorong penciptaan pengetahuan,
gunakan, gunakan kembali, dan berbagi. Mendorong berbagi dan transfer pengetahuan
dengan mengidentifikasi dan memanfaatkan faktor motivasi.
• Tempat penyimpanan pengetahuan
208
Halaman 209
BAB 4

Tujuan Manajemen: BAI09 - Aset yang Dikelola Area Fokus: Model Inti COBIT
Deskripsi
Kelola aset I&T melalui siklus hidupnya untuk memastikan bahwa penggunaannya memberikan nilai dengan biaya yang optimal, aset tersebut tetap beroperasi (sesuai dengan tujuan), dan
mereka diperhitungkan dan dilindungi secara fisik. Pastikan bahwa aset yang penting untuk mendukung kapabilitas layanan dapat diandalkan dan tersedia.
Kelola lisensi perangkat lunak untuk memastikan bahwa jumlah optimal diperoleh, dipertahankan, dan digunakan terkait dengan penggunaan bisnis yang diperlukan, dan
perangkat lunak yang diinstal sesuai dengan perjanjian lisensi.
Tujuan
Perhitungkan semua aset I&T dan optimalkan nilai yang diberikan oleh penggunaannya.
Tujuan Perusahaan
AG04 Kualitas informasi keuangan terkait teknologi
• EG09 Optimalisasi biaya proses bisnis

AG04 a. Kepuasan pemangku kepentingan terkait tingkat
transparansi, pemahaman dan akurasi keuangan I&T
informasi keuangan
b. Biaya ketidakpatuhan terhadap peraturan terkait keuangan informasi
b. Persentase layanan I&T dengan definisi dan persetujuan
EG07 a. Tingkat kepuasan dewan direksi dan manajemen eksekutif biaya operasional dan manfaat yang diharapkan
dengan informasi pengambilan keputusan
b. Jumlah insiden yang disebabkan oleh bisnis yang salah
keputusan Bangun, Dapatkan, dan Terapkan
EG09 a. Rasio biaya vs. tingkat layanan yang dicapai

b. Tingkat kepuasan dewan direksi dan manajemen eksekutif
dengan biaya pemrosesan bisnis
A. Komponen: Proses
BAI09.01 Mengidentifikasi dan mencatat aset lancar.

Sebuah. Persentase aset yang dicatat secara akurat dalam daftar aset
Menjaga catatan terbaru dan akurat dari semua aset I&T yang diperlukan
b. Persentase aset yang sesuai dengan tujuan
untuk memberikan layanan dan yang dimiliki atau dikendalikan oleh organisasi
dengan harapan manfaat di masa depan (termasuk sumber daya dengan c. Persentase aset yang diinventarisasi dan dipertahankan saat ini
nilai ekonomis, seperti perangkat keras atau perangkat lunak). Pastikan keselarasan dengan
manajemen konfigurasi dan manajemen keuangan.
1. Identifikasi semua aset yang dimiliki dalam daftar aset yang mencatat status saat ini. Aset dilaporkan di neraca; mereka 2
dibeli atau dibuat untuk meningkatkan nilai perusahaan atau menguntungkan operasi perusahaan (misalnya, perangkat keras dan perangkat lunak). Mengenali
semua aset yang dimiliki dan menjaga keselarasan dengan manajemen perubahan dan proses manajemen konfigurasi, itu
sistem manajemen konfigurasi, dan catatan akuntansi keuangan.
2. Identifikasi persyaratan hukum, peraturan atau kontrak yang perlu ditangani saat mengelola aset.
3. Verifikasikan bahwa aset tersebut sesuai dengan tujuannya (yaitu, dalam kondisi yang berguna).
4. Pastikan akuntansi untuk semua aset. 3
5. Verifikasi keberadaan semua aset yang dimiliki dengan melakukan pemeriksaan dan rekonsiliasi inventaris fisik dan logis secara teratur. Sertakan 4
penggunaan alat penemuan perangkat lunak.
6. Tentukan secara rutin apakah setiap aset terus memberikan nilai. Jika demikian, perkirakan masa manfaat yang diharapkan untuk memberikan nilai.
209
Halaman 210
CMMI Cybermaturity Platform, 2018 Penemuan & Identifikasi Aset RI.AD
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 BA1.1 Daftar Aplikasi Bisnis
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 8.1 Tanggung jawab atas aset
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.13 Perlindungan fisik dan lingkungan (PE-9)
Kontrol Keamanan Kritis CIS untuk Versi Pertahanan Siber yang Efektif CSC 1: Inventaris Perangkat Resmi dan Tidak Resmi;
6.1, Agustus 2016 CSC 2: Inventaris Perangkat Lunak Resmi dan Tidak Resmi
BAI09.02 Mengelola aset penting.

Sebuah. Jumlah aset penting
Identifikasi aset yang penting dalam memberikan kemampuan layanan. Maksimalkan
keandalan dan ketersediaannya untuk mendukung kebutuhan bisnis. b. Waktu henti rata-rata per aset penting
c. Jumlah tren insiden yang teridentifikasi
1. Mengidentifikasi aset yang penting dalam memberikan kemampuan layanan dengan merujuk persyaratan dalam definisi layanan, SLA, dan 2
sistem manajemen konfigurasi.
2. Secara teratur, pertimbangkan risiko kegagalan atau kebutuhan penggantian setiap aset penting.
3. Komunikasikan kepada pelanggan dan pengguna yang terkena dampak yang diharapkan (misalnya, pembatasan kinerja) dari aktivitas pemeliharaan.
4. Gabungkan waktu henti yang direncanakan dalam jadwal produksi secara keseluruhan. Jadwalkan aktivitas pemeliharaan untuk meminimalkan kerugian 3
berdampak pada proses bisnis.
5. Menjaga ketahanan aset kritis dengan menerapkan pemeliharaan preventif secara berkala. Pantau kinerja dan, jika perlu,
memberikan alternatif dan / atau aset tambahan untuk meminimalkan kemungkinan kegagalan.
6. Buat rencana pemeliharaan preventif untuk semua perangkat keras, dengan mempertimbangkan analisis biaya / manfaat, rekomendasi vendor, risiko
pemadaman listrik, personel yang berkualifikasi dan faktor relevan lainnya.
7. Menetapkan perjanjian pemeliharaan yang melibatkan akses pihak ketiga ke fasilitas I&T organisasi untuk aktivitas di lokasi dan di luar lokasi (misalnya,
outsourcing). Buat kontrak layanan formal yang berisi atau mengacu pada semua kondisi keamanan dan privasi yang diperlukan, termasuk
mengakses prosedur otorisasi, untuk memastikan kepatuhan dengan kebijakan dan standar keamanan / privasi organisasi.
8. Pastikan bahwa layanan akses jarak jauh dan profil pengguna (atau cara lain yang digunakan untuk pemeliharaan atau diagnosis) hanya aktif
bila diperlukan.
9. Pantau kinerja aset penting dengan memeriksa tren insiden. Jika perlu, lakukan tindakan untuk memperbaiki atau mengganti. 4
BangunP, aDnadupaantkTaernk,adita(nStTanedraarp, kKaenrangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci

Institut Nasional Standar dan Kerangka Teknologi untuk Meningkatkan ID.AM Asset Management
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.13 Perlindungan fisik dan lingkungan (PE-20)
BAI09.03 Mengelola siklus hidup aset.

Sebuah. Persentase aset yang dikelola dari pengadaan hingga pelepasan
Kelola aset dari pengadaan hingga pembuangan. Pastikan aset itu
b. Persentase pemanfaatan per aset
dimanfaatkan seefektif dan seefisien mungkin serta dipertanggungjawabkan
dan dilindungi secara fisik sampai pensiun. c. Persentase aset yang digunakan setelah penerapan standar
lingkaran kehidupan
210
Halaman 211
BAB 4
1. Pengadaan semua aset berdasarkan permintaan yang disetujui dan sesuai dengan kebijakan dan praktik pengadaan perusahaan. 2
2. Sumber, terima, verifikasi, uji, dan catat semua aset dengan cara yang terkontrol, termasuk pelabelan fisik sesuai kebutuhan.
3. Setujui pembayaran dan selesaikan proses dengan pemasok sesuai dengan ketentuan kontrak yang disepakati.
4. Menyebarkan aset mengikuti siklus hidup penerapan standar, termasuk manajemen perubahan dan pengujian penerimaan. 3
5. Alokasikan aset kepada pengguna, dengan penerimaan tanggung jawab dan persetujuan, yang sesuai.
6. Jika memungkinkan, alokasikan kembali aset saat tidak lagi diperlukan karena perubahan peran pengguna, redundansi dalam
layanan, atau penghentian layanan.
7. Merencanakan, mengotorisasi dan melaksanakan aktivitas terkait pensiun, menyimpan catatan yang sesuai untuk memenuhi bisnis yang sedang berlangsung dan
kebutuhan regulasi.
8. Buang aset dengan aman, dengan mempertimbangkan, misalnya, penghapusan permanen setiap data yang direkam pada perangkat media dan
potensi kerusakan lingkungan.
9. Buang aset secara bertanggung jawab jika aset tersebut tidak memiliki tujuan berguna karena penghentian semua layanan terkait, teknologi usang 4
atau kurangnya pengguna terkait dengan dampak lingkungan.

CMMI Cybermaturity Platform, 2018 DP.ML Kelola Siklus Hidup Aset
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Manajemen Dokumen IM2.1; PA1.1 Manajemen Siklus Hidup Perangkat Keras
ITIL V3, 2011 Transisi Layanan, 4.3 Manajemen Aset dan Konfigurasi Layanan
Institut Nasional Standar dan Kerangka Teknologi untuk Meningkatkan Perawatan PR.MA
Praktek Manajemen Contoh Metrik Bangun, Dapatkan, dan Terapkan
BAI09.04 Mengoptimalkan nilai aset. Sebuah. Biaya patokan
Tinjau basis aset keseluruhan secara teratur untuk mengidentifikasi cara mengoptimalkanbn. iJluami lah aset yang tidak
digunakan sejalan dengan kebutuhan bisnis.
1. Secara teratur, tinjau keseluruhan basis aset, pertimbangkan apakah sesuai dengan persyaratan bisnis. 3
2. Kaji biaya pemeliharaan, pertimbangkan kewajaran, dan identifikasi opsi berbiaya rendah. Sertakan, jika perlu, penggantian 4
dengan alternatif baru.
3. Tinjau jaminan dan pertimbangkan nilai-untuk-uang dan strategi penggantian untuk menentukan pilihan biaya terendah. 5
4. Menggunakan statistik kapasitas dan pemanfaatan untuk mengidentifikasi aset yang kurang dimanfaatkan atau berlebihan yang dapat dipertimbangkan untuk dibuang atau
penggantian untuk mengurangi biaya.
5. Tinjau dasar keseluruhan untuk mengidentifikasi peluang untuk standardisasi, sumber tunggal, dan strategi lain yang mungkin lebih rendah
biaya pengadaan, dukungan dan pemeliharaan.
6. Tinjau keadaan keseluruhan untuk mengidentifikasi peluang untuk memanfaatkan teknologi yang muncul atau strategi sumber alternatif untuk
dikurangi biaya atau meningkatkan nilai-untuk-uang.
BAI09.05 Kelola lisensi.

Sebuah. Persentase lisensi bekas terhadap lisensi yang dibeli
Kelola lisensi perangkat lunak untuk mempertahankan jumlah lisensi yang optimal
b. Persentase lisensi yang masih dibayar tetapi tidak digunakan
dan mendukung kebutuhan bisnis. Pastikan jumlah lisensi
yang dimiliki cukup untuk menutupi perangkat lunak yang diinstal yang digunakan. c. Persentase produk dan lisensi yang harus ditingkatkan untuk mencapai
nilai yang lebih baik
211
Halaman 212
1. Menjaga daftar semua lisensi perangkat lunak yang dibeli dan perjanjian lisensi terkait. 2
2. Secara teratur, lakukan audit untuk mengidentifikasi semua contoh perangkat lunak berlisensi yang diinstal. 3
3. Bandingkan jumlah contoh perangkat lunak yang diinstal dengan jumlah lisensi yang dimiliki. Pastikan bahwa lisensi sesuai 4
metode pengukuran sesuai dengan lisensi dan persyaratan kontrak.
4. Jika instans lebih rendah dari jumlah yang dimiliki, putuskan apakah ada kebutuhan untuk mempertahankan atau menghentikan lisensi, pertimbangkan
potensi untuk menghemat biaya pemeliharaan, pelatihan, dan biaya lainnya yang tidak perlu.
5. Ketika instans lebih tinggi dari jumlah yang dimiliki, pertama-tama pertimbangkan kesempatan untuk menghapus instans yang tidak lagi
diperlukan atau dibenarkan, dan kemudian, jika perlu, beli lisensi tambahan untuk mematuhi perjanjian lisensi.
6. Secara teratur, pertimbangkan apakah nilai yang lebih baik dapat diperoleh dengan meningkatkan produk dan lisensi terkait. 5
ffice frficer
perations fficer
HAIAdministrasi
echnology O
KepKaleapKIanleafpoPTaremlanagKAseiremspOiKbatelaeaknpMbgaalaagnniMbaKaanjaegenpTiPraaIrPnjliaeevTrlaaIsKyiaeOnamananan Informasi
BAI09.01 Mengidentifikasi dan mencatat aset lancar. SEBUAH RR
BAI09.02 Mengelola aset penting. ARRRR RR
BAI09.03 Mengelola siklus hidup aset. SEBUAH RRR

BAI09.04 Mengoptimalkan nilai aset. ARRRRRR
BangunB, ADIa09p.a05tkKaenlo, lda alinsenTsei.rapkan

Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci AR RRR
212
Halaman 213
BAB 4
BAI09.01 Mengidentifikasi dan mencatat aset lancar. Dari Deskripsi Deskripsi Untuk
BAI03.04 Pembaruan pada aset

Hasil fit-for-purpose APO02.02
inventaris
ulasan
BAI10.02 Repositori konfigurasi Daftar aset APO06.01;
BAI10.03
Hasil fisik
BAI10.03;
pemeriksaan inventaris
BAI10.04;
DSS05.03
BAI09.02 Mengelola aset penting. Komunikasi dari
APO08.04
pemeliharaan terencana
waktu henti
Perjanjian pemeliharaan Internal
BAI09.03 Mengelola siklus hidup aset. Aset resmi

BAI10.03
pensiun
Daftar aset diperbarui BAI10.03

Aset yang disetujui
Intern
permintaan pengadaan
BAI09.04 Mengoptimalkan nilai aset. Peluang untuk dikurangi
biaya aset atau peningkatan APO02.02
nilai
Hasil dari
pengoptimalan biaya APO02.02
ulasan
BAI09.05 Kelola lisensi. Rencana tindakan untuk menyesuAaPikOa0n2.05
nomor lisensi dan
alokasi
Daftar perangkat lunak
BAI10.02
lisensi
Hasil dari penginstalan MEA03.03

audit lisensi
Manajemen aset Kerangka Keterampilan untuk Era Informasi V6, 2015 ASMG
Instalasi sistem /
penonaktifan Kerangka Keterampilan untuk Era Informasi V6, 2015 HSIN
213
Halaman 214
Kebijakan manajemen aset Memberikan pedoman untuk aset

manajemen siklus hidup, aset
tindakan perlindungan, sistem
klasifikasi dan kepemilikan, data
kepemilikan, dan klasifikasi data
Kebijakan kekayaan intelektual (IP) Mengatasi risiko terkait penggunaan,
kepemilikan, penjualan dan distribusi
keluaran materi iklan terkait I & T
usaha keras karyawan
(misalnya, pengembangan perangkat lunak).
Mandat yang sesuai
dokumentasi, tingkat detail, dll.,
dari awal bekerja.
Ciptakan budaya yang mengidentifikasi, menilai, dan melaporkan kerabat

nilai ekonomi dan strategis dari setiap aset bagi perusahaan secara terbuka,
secara konsisten dan transparan.
Alat manajemen aset
214
Halaman 215
BAB 4

Tujuan Manajemen: BAI10 - Konfigurasi Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Tentukan dan pertahankan deskripsi dan hubungan antara sumber daya utama dan kemampuan yang diperlukan untuk memberikan layanan yang mendukung I & T. Sertakan mengumpulkan
informasi konfigurasi, menetapkan garis dasar, memverifikasi dan mengaudit informasi konfigurasi, dan memperbarui repositori konfigurasi.
Tujuan
Berikan informasi yang memadai tentang aset layanan agar layanan dapat dikelola secara efektif. Nilai dampak perubahan dan tangani
insiden layanan.
Tujuan Perusahaan
AG07 Keamanan informasi, infrastruktur pemrosesan dan

AG07 a. Jumlah insiden kerahasiaan yang menyebabkan kerugian finansial,
b. Rasio insiden signifikan yang tidak teridentifikasi di gangguan bisnis atau rasa malu publik
b. Jumlah insiden ketersediaan yang menyebabkan kerugian finansial,
penilaian risiko vs. insiden total
c. Frekuensi pemutakhiran profil risiko gangguan bisnis atau rasa malu publik
target ketersediaan layanan Bangun, Dapatkan, dan Terapkan
A. Komponen: Proses
BAI10.01 Membangun dan memelihara model konfigurasi.

Sebuah. Jumlah pemangku kepentingan yang menandatangani model konfigurasi
Menetapkan dan memelihara model logis dari layanan, aset,
infrastruktur dan pencatatan item konfigurasi (CI), termasuk file b. Persen keakuratan hubungan item konfigurasi
hubungan di antara mereka. Sertakan CI yang dianggap perlu
mengelola layanan secara efektif dan memberikan satu deskripsi yang andal
dari aset dalam suatu layanan.
1. Tentukan dan sepakati ruang lingkup dan tingkat detail untuk manajemen konfigurasi (yaitu, layanan, aset, dan infrastruktur yang mana 3
item yang dapat dikonfigurasi untuk disertakan).
2. Menetapkan dan memelihara model logis untuk manajemen konfigurasi, termasuk informasi tentang jenis CI, atribut,
jenis hubungan, atribut hubungan dan kode status.
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung - Manajemen Konfigurasi
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Konfigurasi Sistem SY1
ISO / IEC 20000-1: 2011 (E) 9.1 Manajemen konfigurasi
ITIL V3, 2011 Transisi Layanan, 4.3 Manajemen Aset dan Konfigurasi Layanan
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.5 Manajemen konfigurasi (CM-6)
215
Halaman 216
BAI10.02 Menetapkan dan memelihara repositori dan baseline konfigurasi.

Sebuah. Jumlah item konfigurasi (CI) yang terdaftar di repositori
Membangun dan memelihara repositori manajemen konfigurasi dan
b. Persen keakuratan baseline konfigurasi suatu layanan,
membuat baseline konfigurasi terkontrol.
aplikasi atau infrastruktur
1. Identifikasi dan klasifikasikan CI dan isi repositori. 2

2. Membuat, meninjau, dan menyetujui secara resmi garis dasar konfigurasi layanan, aplikasi, atau infrastruktur. 3
CMMI Cybermaturity Platform, 2018 IP.CB Menerapkan Dasar-dasar Konfigurasi

800-37, Revisi 2 (Draf), Mei 2018 3.4 Implementasi (Tugas 2)

BAI10.03 Menjaga dan mengontrol item konfigurasi.

Sebuah. Frekuensi perubahan / pembaruan repositori
Pertahankan repositori terbaru item konfigurasi (CI) dengan
mengisi perubahan konfigurasi apa pun. b. Persen akurasi dan kelengkapan repositori CI
1. Identifikasi secara teratur semua perubahan pada CI. 2
2. Untuk memastikan kelengkapan dan keakuratan, tinjau perubahan yang diusulkan untuk CI terhadap baseline.
3. Perbarui detail konfigurasi untuk perubahan yang disetujui pada CI.
4. Buat, tinjau, dan setujui secara resmi perubahan pada konfigurasi dasar kapan pun diperlukan. 3

3.5 Manajemen konfigurasi (CM-2)
BAI10.04 Menghasilkan laporan status dan konfigurasi.

Sebuah. Jumlah perubahan tidak sah yang teridentifikasi
Tentukan dan buat laporan konfigurasi tentang perubahan status
b. Persentase akurasi perubahan status CI terhadap baseline
item konfigurasi.
BangunK, eDgaiaptaantkan, dan Terapkan
Tingkat Kemampuan
1. Identifikasi perubahan status CI dan laporkan terhadap baseline. 2
2. Cocokkan semua perubahan konfigurasi dengan permintaan perubahan yang disetujui untuk mengidentifikasi setiap perubahan yang tidak sah. Laporkan tidak sah3
perubahan untuk mengubah manajemen.
3. Identifikasi persyaratan pelaporan dari semua pemangku kepentingan, termasuk konten, frekuensi dan media. Menghasilkan laporan menurut
persyaratan yang teridentifikasi.

BAI10.05 Memverifikasi dan meninjau integritas repositori konfigurasi.

Sebuah. Jumlah deviasi antara repositori konfigurasi dan live
Tinjau repositori konfigurasi secara berkala dan verifikasi kelengkapan
konfigurasi
dan ketepatan terhadap target yang diinginkan.
b. Jumlah ketidaksesuaian terkait yang tidak lengkap atau hilang
informasi konfigurasi
216
Halaman 217
BAB 4
1. Secara berkala memverifikasi item konfigurasi langsung terhadap repositori konfigurasi dengan membandingkan fisik dan logis 4
konfigurasi dan menggunakan alat penemuan yang sesuai, sesuai kebutuhan.
2. Laporkan dan tinjau semua penyimpangan untuk koreksi yang disetujui atau tindakan untuk menghapus aset yang tidak sah.
3. Secara berkala memverifikasi bahwa semua item konfigurasi fisik, seperti yang didefinisikan dalam repositori, ada secara fisik. Laporkan jika ada penyimpangan
kepada manajemen.
4. Tetapkan dan tinjau secara berkala target kelengkapan konfigurasi repositori berdasarkan kebutuhan bisnis.
5. Secara berkala membandingkan tingkat kelengkapan dan keakuratan terhadap target dan mengambil tindakan perbaikan, jika perlu, untuk 5
meningkatkan kualitas data repositori.

fficefrficer
perations Bangun, Dapatkan, dan Terapkan
HAIAdministrasi
echnology O
Praktik Manajemen Kunci KepKaleapKIanleafpoPTaremlanagKAseiremspOiKbatel

aeaknpMbgaalaagnniMbaKaanjaegenpTiraaIPnjlaeeTrla
IKyaenamananan Informasi
BAI10.01 Membangun dan memelihara model konfigurasi. SEBUAH RRR
BAI10.02 Menetapkan dan memelihara repositori dan baseline konfigurasi. SEBUARHRRRR
BAI10.03 Menjaga dan mengontrol item konfigurasi. AR RRR
BAI10.04 Menghasilkan laporan status dan konfigurasi. SEBUAH RR
BAI10.05 Memverifikasi dan meninjau integritas repositori konfigurasi. ARRR R

217
Halaman 218
BAI10.01 Membangun dan memelihara model konfigurasi. Dari Deskripsi Deskripsi Untuk
BAI07.06 Rencana rilis Konfigurasi logis

Intern
model
Lingkup konfigurasi
model manajemen Intern
BAI10.02 Membuat dan memelihara konfigurasi BAI09.05 Daftar perangkat lunak Garis dasar konfigurasi BAI03.11;
repositori dan baseline. lisensi BAI03.12
Repositori konfigurasi BAI09.01;
DSS02.01
BAI10.03 Menjaga dan mengontrol item konfigurasi. BAI06.03 Ubah status permintaan
Perubahan yang disetujui untuk BAI03.11
laporan
baseline
BAI09.01 • Daftar aset

Repositori diperbarui DSS02.01
• Hasil fisik
dengan CI
BAI09.03 • Daftar aset yang diperbarui
• Aset resmi
pensiun
BAI10.04 Menghasilkan laporan status dan konfigurasi. BAI09.01 Hasil fisik
pemeriksaan inventaris Status konfigurasi BAI03.11;
laporan DSS02.01
BAI10.05 Memverifikasi dan meninjau integritas konfigurasi
Hasil repositori Intern
gudang.
ulasan kelengkapan
Hasil fisik Intern
verifikasi CI
Penyimpangan lisensi MEA03.03

800-37, Revisi 2, September 2017 3.4 Implementasi (Tugas 2): Input dan Output

Manajemen konfigurasi Kerangka Keterampilan untuk Era Informasi V6, 2015 CFMG
Kebijakan manajemen konfigurasi Mengkomunikasikan panduan

untuk membangun dan menggunakan a
konfigurasi yang komprehensif
repositori, termasuk semua teknologi
komponen, terkait
definisi konfigurasi dan
saling ketergantungan satu sama lain
komponen teknologi. Membantu
memastikan sistem dan perangkat lunak tersebut
perubahan mengganggu minimal
ke layanan. Pastikan itu berubah
dikoordinasikan antara yang berlaku
kelompok, jadi konflik atau duplikasi
upaya tidak terjadi.
218
Halaman 219
BAB 4
Tetapkan budaya yang mendukung pendekatan terstruktur untuk konfigurasi

manajemen lintas departemen tempat pengguna mengenali nilainya
manajemen konfigurasi yang ketat (misalnya, menghindari konflik versi atau
upaya duplikat) dan menerapkan aturan dan prosedur yang telah ditetapkan
tempat.
Repositori dan alat manajemen konfigurasi

219
Halaman 220
220
Halaman 221
BAB 4
Tujuan manajemen: BAI11 - Proyek yang Dikelola Area Fokus: Model Inti COBIT
Deskripsi
Kelola semua proyek yang dimulai dalam perusahaan sejalan dengan strategi perusahaan dan dengan cara yang terkoordinasi berdasarkan standar
pendekatan manajemen proyek. Memulai, merencanakan, mengontrol dan melaksanakan proyek, dan menutup dengan tinjauan pasca-implementasi.
Tujuan
Sadarilah hasil proyek yang ditentukan dan kurangi risiko penundaan yang tidak terduga, biaya dan erosi nilai dengan meningkatkan komunikasi ke dan
keterlibatan bisnis dan pengguna akhir. Pastikan nilai dan kualitas hasil proyek dan maksimalkan kontribusinya pada program yang ditentukan
dan portofolio investasi.
Tujuan Perusahaan
• AG03 Manfaat yang direalisasikan dari investasi yang mendukung I & T dan
portofolio layanan

target pendapatan dan / atau pangsa pasar AG03 a. Persentase investasi yang mendukung I & T yang diklaim
target kepuasan pelanggan b. Persen dari layanan I&T yang mengharapkan manfaat (seperti
keuntungan
EG08 a. Tingkat kepuasan dewan direksi dan manajemen eksekutif Bangun, Dapatkan, dan Terapkan
b. Persentase pemangku kepentingan yang puas dengan pelaksanaan program b. Jumlah program yang membutuhkan pengerjaan ulang yang signifikan karena kualitas
c. Persen program transformasi bisnis dihentikan cacat
d. Persentase program transformasi bisnis dengan c. Persentase pemangku kepentingan yang puas dengan kualitas program / proyek
221
Halaman 222
A. Komponen: Proses
BAI11.01 Mempertahankan pendekatan standar untuk manajemen proyek.

Sebuah. Persentase proyek yang berhasil berdasarkan pendekatan standar yang ditentukan
Pertahankan pendekatan standar untuk manajemen proyek yang memungkinkan
tinjauan tata kelola dan manajemen, pengambilan keputusan dan pengiriman- b. Jumlah pembaruan pada pendekatan manajemen proyek, praktik yang baik,
kegiatan manajemen. Kegiatan ini harus difokuskan secara konsisten alat dan template
nilai dan tujuan bisnis (yaitu, persyaratan, risiko, biaya, jadwal dan
target kualitas).
1. Menjaga dan menegakkan pendekatan standar untuk manajemen proyek yang selaras dengan lingkungan spesifik perusahaan dan dengan 2
praktik yang baik berdasarkan proses yang ditentukan dan penggunaan teknologi tepat guna. Pastikan bahwa pendekatan tersebut mencakup seluruh kehidupan
siklus dan disiplin ilmu yang harus diikuti, termasuk pengelolaan ruang lingkup, sumber daya, risiko, biaya, kualitas, waktu, komunikasi,
keterlibatan pemangku kepentingan, pengadaan, kontrol perubahan, integrasi dan realisasi manfaat.
2. Berikan pelatihan manajemen proyek yang sesuai dan pertimbangkan sertifikasi untuk manajer proyek.
3. Menempatkan kantor manajemen proyek (PMO) yang mempertahankan pendekatan standar untuk program dan manajemen proyek 3
di seluruh organisasi. PMO mendukung semua proyek dengan membuat dan memelihara dokumentasi proyek yang diperlukan
template, memberikan pelatihan dan praktik terbaik untuk manajer proyek, melacak metrik tentang penggunaan praktik terbaik untuk proyek
manajemen, dll. Dalam beberapa kasus, PMO juga dapat melaporkan kemajuan proyek kepada manajemen senior dan / atau pemangku kepentingan,
membantu memprioritaskan proyek, dan memastikan semua proyek mendukung tujuan bisnis perusahaan secara keseluruhan.
4. Mengevaluasi pelajaran yang didapat tentang penggunaan pendekatan manajemen proyek. Perbarui praktik, alat, dan template yang baik 4
demikian.

3.15 Manajemen program (PM-2)
BAI11.02 Memulai dan memulai proyek.

Sebuah. Persentase pemangku kepentingan yang menyetujui kebutuhan usaha, ruang lingkup, direncanakan
Tentukan dan dokumentasikan sifat dan ruang lingkup proyek untuk mengonfirmasi dan
hasil dan tingkat risiko proyek
mengembangkan pemahaman bersama tentang ruang lingkup proyek di antara para pemabn.gPkeurskeenpteansteinpgraony.ek di mana pemangku kepentingan menerima tulisan yang jelas
Definisi tersebut harus disetujui secara resmi oleh sponsor proyek. pernyataan yang menjelaskan sifat, ruang lingkup dan manfaat proyek
1. Untuk menciptakan pemahaman bersama tentang ruang lingkup proyek di antara para pemangku kepentingan, berikan mereka pernyataan tertulis yang jelas yang
2menjelaskan sifat, ruang lingkup, dan hasil dari setiap proyek.
2. Pastikan bahwa setiap proyek memiliki satu atau lebih sponsor dengan kewenangan yang memadai untuk mengelola pelaksanaan proyek di dalam
Bangun, Dparopgaratmkaknes, edluarnuhTane.rapkan
3. Pastikan bahwa pemangku kepentingan utama dan sponsor dalam perusahaan (bisnis dan TI) setuju dan menerima persyaratan untuk
proyek, termasuk definisi kriteria keberhasilan (penerimaan) proyek dan indikator kinerja utama (KPI).
4. Menunjuk manajer yang berdedikasi untuk proyek tersebut. Pastikan bahwa individu tersebut memiliki pemahaman yang diperlukan tentang teknologi dan
bisnis dan kompetensi dan keterampilan yang sepadan untuk mengelola proyek secara efektif dan efisien.
5. Pastikan bahwa definisi proyek menjelaskan persyaratan untuk rencana komunikasi proyek yang mengidentifikasi internal dan
komunikasi proyek eksternal.
6. Dengan persetujuan pemangku kepentingan, pertahankan definisi proyek di seluruh proyek, yang mencerminkan persyaratan yang berubah.
7. Untuk melacak pelaksanaan proyek, siapkan mekanisme seperti pelaporan reguler dan gerbang panggung, rilis atau fase
review, dilakukan pada waktu yang tepat dan dengan persetujuan yang sesuai.
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4.1 Mengembangkan piagam proyek; Bagian 1: 6. Jadwal proyek
pengelolaan
222
Halaman 223
BAB 4
BAI11.03 Mengelola keterlibatan pemangku kepentingan.

Sebuah. Tingkat kepuasan pemangku kepentingan dengan keterlibatan
Kelola keterlibatan pemangku kepentingan untuk memastikan pertukaran aktif
b. Persentase pemangku kepentingan yang terlibat secara efektif
informasi yang akurat, konsisten dan tepat waktu yang menjangkau semua yang relevan
pemangku kepentingan. Ini termasuk perencanaan, identifikasi dan keterlibatan
pemangku kepentingan dan mengelola harapan mereka.
1. Rencanakan bagaimana pemangku kepentingan di dalam dan di luar perusahaan akan diidentifikasi, dianalisis, dilibatkan, dan dikelola sepanjang hidup 3
siklus proyek.
2. Identifikasi, libatkan dan kelola pemangku kepentingan dengan menetapkan dan memelihara tingkat koordinasi, komunikasi yang sesuai
dan penghubung untuk memastikan mereka terlibat dalam proyek.
3. Menganalisis kepentingan, persyaratan, dan keterlibatan pemangku kepentingan. Ambil tindakan perbaikan sesuai kebutuhan. 4
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 13. Manajemen pemangku kepentingan proyek
Bagian 1: 10. Manajemen komunikasi proyek
BAI11.04 Mengembangkan dan memelihara rencana proyek.

Sebuah. Persen proyek aktif dilakukan tanpa valid dan diperbarui
Tetapkan dan pertahankan rencana proyek yang formal, disetujui, dan terintegrasi
peta nilai proyek
(mencakup bisnis dan sumber daya TI) untuk memandu pelaksanaan proyek dan
b. Persentase pencapaian atau penyelesaian tugas vs. rencana
kontrol sepanjang masa proyek. Ruang lingkup proyek harus
didefinisikan dengan jelas dan terkait dengan pembangunan atau peningkatan kemampuan bisnis.
1. Mengembangkan rencana proyek yang memberikan informasi untuk memungkinkan manajemen mengendalikan proyek secara progresif. Itu Bangun, Dapatkan, dan Terapkan
2
rencana harus mencakup rincian hasil proyek dan kriteria penerimaan, sumber daya internal dan eksternal yang diperlukan dan
tanggung jawab, struktur rincian kerja yang jelas dan paket kerja, perkiraan sumber daya yang dibutuhkan, pencapaian / rilis
rencana / fase, ketergantungan utama, anggaran dan biaya, dan identifikasi jalur kritis.
2. Menjaga rencana proyek dan rencana yang bergantung (misalnya, rencana risiko, rencana kualitas, rencana realisasi manfaat). Pastikan bahwa rencananya
diperbarui dan mencerminkan kemajuan aktual dan perubahan materi yang disetujui.
3. Pastikan bahwa ada komunikasi yang efektif dari rencana proyek dan laporan kemajuan. Pastikan bahwa setiap perubahan dilakukan untuk individu
rencana tercermin dalam rencana lain.
4. Tentukan kegiatan, saling ketergantungan dan kolaborasi dan komunikasi yang dibutuhkan dalam proyek dan antar
banyak proyek dalam satu program.
5. Pastikan bahwa setiap pencapaian disertai dengan penyampaian yang signifikan yang membutuhkan tinjauan dan penandatanganan.
6. Tetapkan baseline proyek (misalnya, biaya, jadwal, ruang lingkup, kualitas) yang ditinjau, disetujui dan digabungkan dengan tepat
rencana proyek terintegrasi.
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4.2 Mengembangkan rencana manajemen proyek
BAI11.05 Mengelola kualitas proyek.

Mempersiapkan dan melaksanakan rencana, proses, dan manajemen mutu Sebuah. Persentase build-to-product tanpa kesalahan
praktik yang sejalan dengan standar manajemen mutu (QMS). Menggambarkan b. Jumlah proyek yang dibatalkan
pendekatan kualitas dan implementasi proyek. Rencananya harus
ditinjau secara resmi dan disetujui oleh semua pihak terkait dan
dimasukkan ke dalam rencana proyek terintegrasi.
223
Halaman 224
1. Untuk memberikan jaminan kualitas untuk hasil proyek, mengidentifikasi kepemilikan dan tanggung jawab, proses tinjauan kualitas, 2
kriteria kesuksesan dan metrik kinerja.
2. Mengidentifikasi tugas dan praktik jaminan yang diperlukan untuk mendukung akreditasi sistem baru atau yang dimodifikasi selama proyek 3
perencanaan. Sertakan mereka dalam rencana terintegrasi. Pastikan bahwa tugas memberikan jaminan bahwa kontrol dan keamanan internal dan
solusi privasi memenuhi persyaratan yang ditentukan.
3. Tentukan persyaratan untuk validasi independen dan verifikasi kualitas kiriman dalam rencana.
4. Melakukan kegiatan penjaminan dan pengendalian mutu sesuai dengan rencana manajemen mutu dan SMM.
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 8. Manajemen kualitas proyek

BAI11.06 Mengelola risiko proyek.

Sebuah. Jumlah penundaan dan masalah yang teridentifikasi
Hilangkan atau minimalkan risiko spesifik yang terkait dengan proyek melalui
b. Jumlah proyek dengan pendekatan manajemen risiko proyek formal
proses perencanaan yang sistematis, mengidentifikasi, menganalisis, menanggapi
selaras dengan kerangka ERM
untuk, memantau dan mengendalikan area atau peristiwa yang berpotensi
menyebabkan perubahan yang tidak diinginkan. Tentukan dan catat setiap risiko yang dihadapi oleh proyek
pengelolaan.
1. Menetapkan pendekatan manajemen risiko proyek formal yang selaras dengan kerangka ERM. Pastikan bahwa pendekatan tersebut termasuk 2
mengidentifikasi, menganalisis, menanggapi, memitigasi, memantau dan mengendalikan risiko.
2. Menugaskan kepada personel yang memiliki keterampilan yang sesuai tanggung jawab untuk melaksanakan proses manajemen risiko proyek perusahaan
dalam proyek dan memastikan bahwa ini dimasukkan ke dalam praktik pengembangan solusi. Pertimbangkan untuk mengalokasikan peran ini ke
tim independen, terutama jika sudut pandang objektif diperlukan atau proyek dianggap kritis.
3. Identifikasi pemilik untuk tindakan menghindari, menerima atau mengurangi risiko.
4. Lakukan penilaian risiko proyek untuk mengidentifikasi dan mengukur risiko secara terus menerus sepanjang proyek. Kelola dan 3
mengkomunikasikan risiko dengan tepat dalam struktur tata kelola proyek.
5. Menilai kembali risiko proyek secara berkala, termasuk pada permulaan setiap fase proyek besar dan sebagai bagian dari permintaan perubahan besar
penilaian.
6. Menjaga dan meninjau daftar risiko proyek dari semua risiko proyek potensial dan log mitigasi risiko dari semua masalah proyek dan mereka
resolusi. Analisis log secara berkala untuk mengetahui tren dan masalah yang berulang untuk memastikan bahwa akar penyebabnya diperbaiki.
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.15 Manajemen program (PM-4)
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 11. Manajemen risiko proyek
BAI11.07 Memantau dan mengendalikan proyek.

Sebuah. Persentase kegiatan yang disesuaikan dengan ruang lingkup dan hasil yang diharapkan
Ukur kinerja proyek terhadap kriteria kinerja proyek utama
b. Persentase penyimpangan dari rencana yang ditangani
seperti jadwal, kualitas, biaya dan risiko. Identifikasi penyimpangan dari
target yang diharapkan. Menilai dampak penyimpangan pada proyek dan c. Frekuensi tinjauan status proyek
program secara keseluruhan dan melaporkan hasil kepada pemangku kepentingan utama.
224
Halaman 225
BAB 4
1. Menetapkan dan menggunakan seperangkat kriteria proyek termasuk, tetapi tidak terbatas pada, ruang lingkup, manfaat bisnis yang diharapkan, jadwal, kualitas, b2iaya
dan tingkat resiko.
2. Melaporkan kemajuan proyek kepada pemangku kepentingan utama yang teridentifikasi dalam proyek, penyimpangan dari kinerja proyek utama yang telah ditetapkan
kriteria (seperti, tetapi tidak terbatas pada, manfaat bisnis yang diharapkan), dan potensi dampak positif dan negatif pada proyek.
3. Dokumentasikan dan serahkan perubahan yang diperlukan kepada pemangku kepentingan utama proyek untuk persetujuan mereka sebelum diadopsi.
Komunikasikan kriteria yang direvisi kepada manajer proyek untuk digunakan dalam laporan kinerja masa depan.
4. Untuk kiriman yang dihasilkan di setiap iterasi, rilis atau fase proyek, dapatkan persetujuan dan persetujuan dari manajer yang ditunjuk
dan pengguna di bisnis yang terpengaruh dan fungsi TI.
5. Mendasarkan proses persetujuan pada kriteria penerimaan yang didefinisikan dengan jelas yang disepakati oleh para pemangku kepentingan utama sebelum peker3jaan
dimulai fase proyek atau penyampaian iterasi.
6. Menilai proyek pada gerbang panggung utama yang disepakati, rilis atau iterasi. Buat keputusan resmi / tidak pergi berdasarkan
kriteria sukses kritis yang telah ditentukan sebelumnya.
7. Menetapkan dan mengoperasikan sistem kendali perubahan untuk proyek sehingga semua perubahan pada baseline proyek (misalnya, ruang lingkup, diharapkan
manfaat bisnis, jadwal, kualitas, biaya, tingkat risiko) ditinjau, disetujui dan digabungkan dengan tepat
rencana proyek sejalan dengan program dan kerangka kerja tata kelola proyek.
8. Mengukur kinerja proyek terhadap kriteria kinerja proyek utama. Analisis penyimpangan dari proyek utama yang sudah mapan 4
kriteria kinerja untuk sebab dan menilai efek positif dan negatif pada proyek.
9. Pantau perubahan proyek dan tinjau kriteria kinerja proyek utama yang ada untuk menentukan apakah mereka masih mewakili
ukuran kemajuan yang valid.
10. Merekomendasikan dan memantau tindakan perbaikan, jika diperlukan, sejalan dengan kerangka tata kelola proyek.
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4.5 Memantau dan mengontrol pekerjaan proyek

BAI11.08 Mengelola sumber daya proyek dan paket kerja.
Sebuah. Jumlah masalah sumber daya (misalnya, keterampilan, kapasitas)
Kelola paket pekerjaan proyek dengan menempatkan persyaratan formal
b. Jumlah peran, tanggung jawab, dan hak prerogatif yang jelas
tentang otorisasi dan penerimaan paket kerja dan penugasan dan
manajer proyek, staf yang ditugaskan dan pihak lain yang terlibat
mengoordinasikan bisnis yang sesuai dan sumber daya TI.
1. Identifikasi kebutuhan bisnis dan sumber daya TI untuk proyek dan petakan dengan jelas peran dan tanggung jawab yang sesuai, dengan eskalasi 2
dan otoritas pembuat keputusan setuju dan mengerti.
2. Mengidentifikasi keterampilan yang dibutuhkan dan persyaratan waktu untuk semua individu yang terlibat dalam fase proyek dalam kaitannya dengan peran yang ditentukan. Staf
peran berdasarkan informasi keterampilan yang tersedia (misalnya, matriks keterampilan TI).
3. Memanfaatkan sumber daya manajemen proyek dan pemimpin tim yang berpengalaman dengan keterampilan yang sesuai dengan ukuran, kompleksitas, dan risiko
proyek.
4. Mempertimbangkan dan mendefinisikan dengan jelas peran dan tanggung jawab pihak terkait lainnya, termasuk keuangan, hukum, pengadaan, SDM,
audit internal dan kepatuhan.
5. Mendefinisikan dengan jelas dan menyetujui tanggung jawab untuk pengadaan dan pengelolaan produk dan layanan pihak ketiga, dan
mengatur hubungan.
6. Identifikasi dan otorisasi pelaksanaan pekerjaan sesuai dengan rencana proyek.
7. Mengidentifikasi kesenjangan rencana proyek dan memberikan umpan balik kepada manajer proyek untuk memulihkan.
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4.3 Mengarahkan dan mengelola pekerjaan proyek
225
Halaman 226
BAI11.09 Menutup proyek atau iterasi.

Sebuah. Tingkat kepuasan pemangku kepentingan yang diungkapkan pada tinjauan penutupan proyek
Di akhir setiap proyek, rilis atau iterasi, membutuhkan proyek
b. Persentase hasil dengan penerimaan pertama kali
pemangku kepentingan untuk memastikan apakah proyek, rilis atau iterasi
menyampaikan hasil yang dibutuhkan dalam hal kapabilitas dan kontribusi
seperti yang diharapkan untuk manfaat program. Identifikasi dan komunikasikan apa pun
kegiatan luar biasa yang diperlukan untuk mencapai hasil proyek yang direncanakan
dan / atau manfaat program. Identifikasi dan dokumentasikan pelajaran yang didapat
untuk proyek, rilis, iterasi, dan program di masa mendatang.
1. Dapatkan penerimaan pemangku kepentingan atas hasil proyek dan transfer kepemilikan. 2
2. Tentukan dan terapkan langkah-langkah kunci untuk penutupan proyek, termasuk tinjauan pasca implementasi yang menilai apakah suatu proyek tercapai 3
hasil yang diinginkan.
3. Merencanakan dan melaksanakan tinjauan pasca-implementasi untuk menentukan apakah proyek memberikan hasil yang diharapkan. Tingkatkan proyek
manajemen dan metodologi proses pengembangan sistem.
4. Mengidentifikasi, menetapkan, mengkomunikasikan, dan melacak setiap kegiatan yang belum selesai yang diperlukan untuk memastikan proyek memberikan hasil yang diperlukan
dalam hal kapabilitas dan hasil yang diharapkan dapat memberikan manfaat program.
5. Secara teratur, dan setelah proyek selesai, kumpulkan pelajaran yang dipetik dari peserta proyek. Tinjau mereka dan kuncinya 4
aktivitas yang membawa manfaat dan nilai. Analisis data dan buat rekomendasi untuk meningkatkan arus
proyek dan metode manajemen proyek untuk proyek masa depan.
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4.7 Tutup proyek atau fase
ffice.dll
fficefrficewr
fficer ners
fficer
echnology O
KepRaliasiKkEokepsUKeatklaeaupmtPIainafrlafoOosKTremsomBaMsiisitaneOniMPsaejOaennMrgaaPjarernaProahgepjnre(raPgMmomeryemaoenngkbraPaajrnemorgyaK/enPkerKaOomeypaeaknl)aan Informasi
BAI11.01 Mempertahankan pendekatan standar untuk manajemen proyek. SEBUARH RR
BAI11.02 Memulai dan memulai proyek. R RRARRRR
BAI11.03 Mengelola keterlibatan pemangku kepentingan. R SEBUARH
BAI11.04 Mengembangkan dan memelihara rencana proyek. SEBUARHR
BAI11.05 Mengelola kualitas proyek. RR SEBUARH R
BAI11.06 Mengelola risiko proyek. R SEBUARH R
BAI11.07 Memantau dan mengendalikan proyek. RA RRR
BAI11.08 Mengelola sumber daya proyek dan paket kerja. RAR RR
BAI11.09 Menutup proyek atau iterasi. SEBUARHR
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 3. Peran manajer proyek
226
Halaman 227
BAB 4
BAI11.01 Mempertahankan pendekatan standar untuk proyek

pengelolaan. Dari Deskripsi Deskripsi Untuk
APO03.04 • Arsitektur Proyek diperbarui Intern
pemerintahan pendekatan manajemen
Persyaratan
• Tahap implementasi
deskripsi
APO10.04 Vendor teridentifikasi
risiko pengiriman
EDM02.03 Persyaratan untuk

ulasan panggung-gerbang
EDM02.04 Tindakan untuk meningkatkan nilai pengiriman

BAI11.02 Memulai dan memulai proyek. Definisi proyek Intern
Ruang lingkup proyek

Intern
pernyataan
BAI11.03 Mengelola keterlibatan pemangku kepentingan. Hasil dari pemangku kepentinganIntern
keterikatan
efektivitas
penilaian
Keterlibatan pemangku
kepentingInatnern rencana
BAI11.04 Mengembangkan dan memelihara rencana proyek. BAI07.03 Penerimaan disetujui
Laporan proyek dan Intern Bangun, Dapatkan, dan Terapkan
rencana pengujian
komunikasi
Garis dasar proyek Intern
Rencana proyek Intern
BAI11.05 Mengelola kualitas proyek. APO11.01 Manajemen mutu

Kualitas proyek BAI02.04;
rencana
rencana manajemen BAI03.06;
BAI07.01
APO11.02 Kebutuhan pelanggan
Persyaratan untuk BAI07.03
verifikasi independen
hasil proyek
BAI11.06 Mengelola risiko proyek. APO12.02 Hasil analisis risiko Daftar risiko proyek Intern

Penilaian risiko proyek Intern
daftar
• Tindakan mitigasi risiko hasil

Manajemen risiko proyek Intern
manajemen (ERM)
rencana
kerangka
BAI11.07 Memantau dan mengendalikan proyek. Perubahan yang disetujui pada proyek Internal
Laporan kemajuan proyek Intern
Kinerja proyek Intern

kriteria
BAI11.08 Mengelola sumber daya proyek dan paket kerja. Sumber daya proyek APO07,05;
Persyaratan APO07.06
Kesenjangan dalam perencanaanIpnrtoerynek
Peran proyek dan

tanggung jawab Intern
227
Halaman 228
BAI11.09 Menutup proyek atau iterasi. Dari Deskripsi Deskripsi Untuk
BAI07.08 • Pasca implementasi

meninjau laporan Pasca implementasi APO02.04
hasil review
• Rencana tindakan perbaikan
Proyek pemangku kepentingan Intern
konfirmasi penerimaan
Pelajaran proyek yang dipelajari Intern
Panduan PMBOK Edisi Keenam, 2017 Bagian 1: 4. Manajemen integrasi proyek: Input dan Output; Bagian 1: 6.
Manajemen jadwal proyek: Input dan Output; Bagian 1: 10. Proyek
manajemen komunikasi: Input & Output; Bagian 1: 11. Risiko proyek
manajemen: Input dan Output
Portofolio, program dan proyek

dukung Kerangka Keterampilan untuk Era Informasi V6, 2015 PROF
Proyek dan portofolio

e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK E. Kelola — E.2. Proyek dan
pengelolaan
Profesional di semua sektor industri — Bagian 1: Kerangka, 2016 Manajemen portofolio
Manajemen proyek Kerangka Keterampilan untuk Era Informasi V6, 2015 PRMG
Manajemen program / proyek

Memandu manajemen risiko Panduan PMBOK Edisi keenam, 2017 Bagian 1: 2.3.1 Proses, kebijakan
kebijakan
terkait dengan program dan proyek. dan prosedur
Rincian posisi manajemen dan
harapan tentang program
dan manajemen proyek.
Memperlakukan akuntabilitas, tujuan dan
tujuan mengenai kinerja,
anggaran, analisis risiko, pelaporan dan
mitigasi kejadian buruk selama
pelaksanaan program / proyek.
Ciptakan budaya manajemen proyek yang menjamin kewirausahaan

implementasi yang konsisten dan optimal dari manajemen proyek di seluruh
perusahaan, dengan mempertimbangkan struktur organisasi dan bisnis
lingkungan Hidup. Pastikan bahwa semua inisiatif diterjemahkan ke dalam proyek (atau
perubahan, jika lingkupnya kecil); memastikan bahwa tidak ada tindakan ad hoc yang terjadi
di luar lingkup manajemen proyek.
Alat manajemen proyek
228
Halaman 229
BAB 4
4.4 Pengiriman, Layanan dan Dukungan (DSS)
1 Operasi Terkelola
2 Permintaan dan Insiden Layanan yang Dikelola
3 Masalah yang Dikelola
4 Kontinuitas Terkelola
5 Layanan Keamanan Terkelola

Kirim, Layanan, dan Dukungan
6 Kontrol Proses Bisnis yang Dikelola
229
Halaman 230

230
Halaman 231
BAB 4
Domain: Mengirim, Layanan, dan Dukungan

Tujuan Manajemen: DSS01 - Operasi Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Mengkoordinasikan dan melaksanakan kegiatan dan prosedur operasional yang diperlukan untuk memberikan layanan I&T internal dan outsourcing. Sertakan eksekusi
prosedur operasi standar yang telah ditetapkan sebelumnya dan kegiatan pemantauan yang diperlukan.
Tujuan
Memberikan hasil produk dan layanan operasional I&T sesuai rencana.
Tujuan Perusahaan

pengiriman
keuntungan

kemampuan
kemampuan
A. Komponen: Proses
DSS01.01 Melakukan prosedur operasional.

Sebuah. Jumlah insiden yang disebabkan oleh masalah operasional
Menjaga dan menjalankan prosedur operasional dan tugas operasional
b. Jumlah prosedur operasional tidak standar yang dilaksanakan
andal dan konsisten.
1. Mengembangkan dan memelihara prosedur operasional dan kegiatan terkait untuk mendukung semua layanan yang diberikan. 2
2. Menjaga jadwal kegiatan operasional dan melaksanakan kegiatan.
3. Memverifikasi bahwa semua data yang diharapkan untuk diproses telah diterima dan diproses secara lengkap, akurat, dan tepat waktu. Kirim 3
keluaran sesuai dengan kebutuhan perusahaan. Dukungan restart dan kebutuhan pemrosesan ulang. Pastikan bahwa pengguna menerima
keluaran yang benar dengan cara yang aman dan tepat waktu.
4. Mengelola kinerja dan hasil dari kegiatan yang dijadwalkan. 4
5. Pantau insiden dan masalah yang berhubungan dengan prosedur operasional dan ambil tindakan yang tepat untuk meningkatkan keandalan 5
tugas operasional yang dilakukan.
CMMI Cybermaturity Platform, 2018 Lingkungan Operasional Pengamanan TP.SE
HITRUST CSF versi 9, September 2017 09.01 Prosedur Operasi Dokumen
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 12.1 Prosedur dan tanggung jawab operasional
ITIL V3, 2011 Operasi Layanan, 4.1 Manajemen Acara
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.13 Perlindungan fisik dan lingkungan (PE-13, PE-14, PE-15)
231
Halaman 232
DSS01.02 Mengelola layanan I&T yang dialihdayakan.

Sebuah. Jumlah KPI spesifik / cerdas yang termasuk dalam kontrak outsourcing
Kelola pengoperasian layanan I&T yang dialihdayakan untuk memelihara
b. Frekuensi kegagalan mitra outsourcing untuk memenuhi KPI
perlindungan informasi perusahaan dan keandalan pemberian layanan.
1. Pastikan bahwa persyaratan perusahaan untuk keamanan proses informasi mematuhi kontrak dan SLA dengan pihak ketiga 3
menghosting atau menyediakan layanan.
2. Memastikan bahwa bisnis operasional perusahaan dan persyaratan pemrosesan TI dan prioritas untuk penyampaian layanan dipatuhi
kontrak dan SLA dengan pihak ketiga yang menghosting atau menyediakan layanan.
3. Mengintegrasikan proses manajemen TI internal yang penting dengan proses penyedia layanan outsourcing. Ini harus menutupi, untuk
Misalnya, perencanaan kinerja dan kapasitas, manajemen perubahan, manajemen konfigurasi, permintaan layanan dan insiden
manajemen, manajemen masalah, manajemen keamanan, kelangsungan bisnis, dan pemantauan kinerja proses
dan pelaporan.
4. Rencanakan audit independen dan penjaminan lingkungan operasional penyedia outsourcing untuk mengkonfirmasi bahwa disetujui 4
persyaratan ditangani secara memadai.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SC1.2 Pengalihdayaan
ISO / IEC 20000-1: 2011 (E) 4.2 Tata kelola proses yang dioperasikan oleh pihak lain
DSS01.03 Memantau infrastruktur I&T.

Sebuah. Persentase jenis peristiwa operasional kritis yang dicakup oleh otomatis
Pantau infrastruktur I&T dan acara terkait. Simpan secukupnya
sistem deteksi
informasi kronologis dalam log operasi untuk direkonstruksi dan ditinjau
b. Persentase aset infrastruktur yang dipantau berdasarkan kekritisan layanan
urutan waktu operasi dan aktivitas lain di sekitar atau
mendukung operasi. dan hubungan antara item konfigurasi dan layanan itu
bergantung pada mereka
1. Catat peristiwa. Identifikasi tingkat informasi yang akan dicatat, berdasarkan pertimbangan risiko dan kinerja. 2
2. Mengidentifikasi dan memelihara daftar aset infrastruktur yang perlu dipantau, berdasarkan kekritisan layanan dan hubungannya 3
antara item konfigurasi dan layanan yang bergantung padanya.
3. Tentukan dan terapkan aturan yang mengidentifikasi dan mencatat pelanggaran ambang batas dan kondisi peristiwa. Temukan keseimbangan antara
menghasilkan peristiwa kecil yang palsu dan peristiwa penting sehingga log peristiwa tidak dibebani dengan informasi yang tidak perlu.
4. Menghasilkan log peristiwa dan menyimpannya untuk jangka waktu yang sesuai untuk membantu penyelidikan di masa mendatang.
5. Memastikan bahwa tiket insiden dibuat tepat waktu saat memantau penyimpangan yang teridentifikasi dari ambang batas yang ditentukan.
6. Tetapkan prosedur untuk memantau log peristiwa. Lakukan tinjauan rutin. 4

800-53, Revisi 5 (Draf), Agustus 2017 3.10 Pemeliharaan (MA-2, MA-3)
DSS01.04 Mengelola lingkungan.

Sebuah. Jumlah orang yang dilatih untuk menanggapi alarm lingkungan
Pertahankan tindakan untuk perlindungan terhadap faktor lingkungan.
Prosedur
Pasang peralatan dan perangkat khusus untuk memantau dan mengontrol
b. Jumlah skenario risiko yang ditentukan untuk ancaman lingkungan
lingkungan Hidup.
232
Halaman 233
BAB 4
1. Mengidentifikasi bencana alam dan bencana akibat ulah manusia yang mungkin terjadi di area tempat fasilitas TI berada. Nilai potensinya 2
berpengaruh pada fasilitas IT.
2. Identifikasi bagaimana peralatan I&T, termasuk peralatan bergerak dan di luar lokasi, dilindungi dari ancaman lingkungan. Memastikan bahwa
kebijakan membatasi atau mengecualikan makan, minum dan merokok di area sensitif, dan melarang penyimpanan alat tulis dan lainnya
persediaan yang menimbulkan bahaya kebakaran di dalam ruang komputer.
3. Jaga situs TI dan ruang server bersih dan dalam kondisi aman setiap saat (mis., Tidak berantakan, tidak ada kertas atau kotak kardus, tidak
tempat sampah yang diisi, tidak ada bahan kimia atau bahan yang mudah terbakar).
4. Tempatkan dan bangun fasilitas TI untuk meminimalkan dan mengurangi kerentanan terhadap ancaman lingkungan (misalnya, pencurian, udara, kebakaran, asap,3
air, getaran, teror, vandalisme, bahan kimia, bahan peledak). Pertimbangkan zona keamanan tertentu dan / atau sel tahan api (mis., Mencari lokasi
produksi dan lingkungan pengembangan / server jauh dari satu sama lain).
5. Bandingkan langkah-langkah dan rencana darurat dengan persyaratan polis asuransi dan hasil laporan. Alamat poin dari
ketidakpatuhan pada waktu yang tepat.
6. Tanggapi alarm lingkungan dan pemberitahuan lainnya. Dokumen dan prosedur pengujian, yang harus mencakup
prioritas alarm dan kontak dengan otoritas tanggap darurat lokal. Latih personel dalam prosedur ini.
7. Pantau dan pelihara secara rutin perangkat yang secara proaktif mendeteksi ancaman lingkungan (misalnya, kebakaran, air, asap, kelembapan). 4

800-37, Revisi 2 (Draf), Mei 2018 2.1 Elemen sistem dan sistem; 3.2 Kategorisasi (Tugas 5, 6)
DSS01.05 Mengelola fasilitas.

Sebuah. Waktu sejak tes terakhir catu daya tak terputus
Mengelola fasilitas, termasuk peralatan listrik dan komunikasi, di
b. Jumlah orang yang dilatih tentang pedoman kesehatan dan keselamatan
sejalan dengan hukum dan peraturan, persyaratan teknis dan bisnis, Kirim, Layanan, dan Dukungan
spesifikasi vendor, serta pedoman kesehatan dan keselamatan.
1. Memeriksa persyaratan fasilitas TI untuk perlindungan terhadap fluktuasi dan pemadaman listrik, dalam hubungannya dengan bisnis lain 2
persyaratan perencanaan kontinuitas. Dapatkan peralatan pasokan tak terputus yang sesuai (misalnya, baterai, generator) untuk mendukung
perencanaan kesinambungan bisnis.
2. Secara teratur menguji mekanisme catu daya yang tidak pernah terputus. Pastikan daya dapat dialihkan ke suplai tanpa apa pun
berpengaruh signifikan terhadap operasi bisnis.
3. Pastikan bahwa fasilitas yang menampung sistem I&T memiliki lebih dari satu sumber untuk utilitas yang bergantung (misalnya, daya,
telekomunikasi, air, gas). Pisahkan pintu masuk fisik setiap utilitas.
4. Konfirmasikan bahwa pemasangan kabel di luar situs TI terletak di bawah tanah atau memiliki perlindungan alternatif yang sesuai. Tentukan kabel itu
di dalam situs TI terdapat dalam saluran yang aman, dan akses ke lemari kabel dibatasi untuk personel yang berwenang.
Lindungi kabel dengan benar dari kerusakan yang disebabkan oleh kebakaran, asap, air, intersepsi, dan gangguan.
5. Pastikan bahwa pemasangan kabel dan penambalan fisik (data dan telepon) terstruktur dan teratur. Struktur kabel dan saluran
harus didokumentasikan (misalnya, denah bangunan cetak biru dan diagram pengkabelan).
6. Secara teratur, mendidik personel tentang kesehatan dan keselamatan hukum, peraturan, dan pedoman yang relevan. Mendidik personel tentang api
dan latihan penyelamatan untuk memastikan pengetahuan dan tindakan yang diambil jika terjadi kebakaran atau insiden serupa.
7. Pastikan bahwa situs dan peralatan IT dirawat sesuai dengan interval servis yang direkomendasikan pemasok dan 3
spesifikasi. Pastikan perawatan hanya dilakukan oleh personel yang berwenang.
8. Menganalisis sistem ketersediaan tinggi perumahan fasilitas untuk redundansi dan persyaratan pemasangan kabel fail-over (eksternal dan internal).
9. Memastikan bahwa situs dan fasilitas TI terus-menerus mematuhi undang-undang, peraturan, pedoman, dan kesehatan dan keselamatan yang relevan
spesifikasi vendor.
10. Catat, pantau, kelola dan selesaikan insiden fasilitas sejalan dengan proses manajemen insiden I&T. Sediakan 4
laporan tentang insiden fasilitas yang pengungkapannya diwajibkan oleh hukum dan peraturan.
11. Menganalisis perubahan fisik pada situs atau tempat TI untuk menilai kembali risiko lingkungan (misalnya, kebakaran atau kerusakan air). Melaporkan
hasil analisis ini untuk kelangsungan bisnis dan pengelolaan fasilitas.
233
Halaman 234
fficer
fficer
perationffsicer
HAI
Petugas echnology
Praktik Manajemen Kunci KepKaleapKOalepapeKIarnaleafspoiMTarOmlanaPbsaarijigeOvirasKni

eTOaImanan Informasi
DSS01.01 Melakukan prosedur operasional. RARR
DSS01.02 Mengelola layanan I&T yang dialihdayakan. ARRRR
DSS01.03 Memantau infrastruktur I&T. RARR
DSS01.04 Mengelola lingkungan. RARR

DSS01.05 Mengelola fasilitas. RARR
DSS01.01 Melakukan prosedur operasional. Dari Deskripsi Deskripsi Untuk
BAI05.05 Rencana operasi dan penggunaanLog cadangan Intern
Jadwal operasional Intern
DSS01.02 Mengelola layanan I&T yang dialihdayakan. APO09.03 • SLA

Jaminan independen MEA04.02
• OLA
rencana
BAI05.05 Rencana operasi dan penggunaan
DSS01.03 Memantau infrastruktur I&T. BAI03.11 Definisi layanan Aturan pemantauan aset DSS02.01;
dan kondisi acara DSS02.02
Tiket insiden DSS02.02
Log acara Intern
DSS01.04 Mengelola lingkungan. Kebijakan lingkungan APO01.09
Laporan polis asuransi MEA03.03
DSS01.05 Mengelola fasilitas. Kesehatan dan

keselamatan Intern
kesadaran
Penilaian fasilitas MEA01.03

laporan

3.2 Kategorisasi (Tugas 5, 6): Input dan Output
37, Revisi 2, September 2017
234
Halaman 235
BAB 4
Administrasi database Kerangka Keterampilan untuk Era Informasi V6, 2015 DBAD
Manajemen fasilitas Kerangka Keterampilan untuk Era Informasi V6, 2015 DCMA
Infrastruktur TI Kerangka Keterampilan untuk Era Informasi V6, 2015 ITOP
Metode dan alat Kerangka Keterampilan untuk Era Informasi V6, 2015 METL
Pengiriman layanan e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
C. Jalankan — C.3. Pengiriman Layanan
Manajemen Penyimpanan Kerangka Keterampilan untuk Era Informasi V6, 2015 STMG
Kebijakan manajemen layanan Memberikan arahan dan bimbingan untuk

(1) ISO / IEC 20000-1: 2011 (E); (2) (1) 4.1.2 Manajemen layanan
memastikan manajemen yang efektif dan
ITIL V3, 2011 kebijakan; (2) Strategi Pelayanan, 3.
implementasi dari semua layanan I&T
Prinsip strategi pelayanan
untuk bertemu bisnis dan pelanggan
persyaratan, dalam suatu kerangka kerja
pengukuran kinerja.
Meliputi manajemen risiko
terkait dengan layanan I&T. (ITIL
Kerangka V3 menawarkan detail
panduan tentang manajemen layanan
dan optimalisasi risiko terkait
jasa.)
Ciptakan budaya keunggulan kebiasaan di seluruh organisasi.

Dorong karyawan untuk berprestasi. Ciptakan lingkungan di mana
prosedur operasional memberikan (lebih dari) layanan yang diperlukan sementara
juga memungkinkan karyawan untuk mempertanyakan status quo dan mencoba ide-ide baru.
Kelola keunggulan operasional melalui keterlibatan karyawan dan
perlabnagikgaann tienrtuesr-nmalednaenruesk. sTteranpakl)a.n pendekatan yang berpusat pada pelanggan (untuk keduanya
• Layanan cloud hosting

• Alat pemantauan infrastruktur
235
Halaman 236

236
Halaman 237
BAB 4

Tujuan Manajemen: DSS02 - Insiden dan Permintaan Layanan Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Memberikan tanggapan yang tepat waktu dan efektif untuk permintaan pengguna dan penyelesaian semua jenis insiden. Kembalikan layanan normal; rekam dan penuhi pengguna
permintaan; dan merekam, menyelidiki, mendiagnosis, meningkatkan, dan menyelesaikan insiden.
Tujuan
Capai peningkatan produktivitas dan minimalkan gangguan melalui resolusi cepat atas kueri dan insiden pengguna. Menilai dampak perubahan dan
menangani insiden layanan. Selesaikan permintaan pengguna dan pulihkan layanan sebagai tanggapan atas insiden.
Tujuan Perusahaan

pengiriman
keuntungan

kemampuan
kemampuan
A. Komponen: Proses
DSS02.01 Mendefinisikan skema klasifikasi untuk insiden dan

permintaan layanan. Sebuah. Jumlah total permintaan layanan dan insiden per tingkat prioritas
Tentukan skema klasifikasi dan model untuk insiden dan b. Jumlah total insiden meningkat
permintaan layanan.
1. Mendefinisikan insiden dan klasifikasi permintaan layanan dan skema prioritas, dan kriteria untuk registrasi masalah. Gunakan ini 3
informasi untuk memastikan pendekatan yang konsisten untuk menangani dan menginformasikan pengguna tentang masalah dan melakukan analisis tren.
2. Tentukan model insiden untuk kesalahan yang diketahui untuk memungkinkan penyelesaian yang efisien dan efektif.
3. Tentukan model permintaan layanan sesuai dengan jenis permintaan layanan untuk mengaktifkan layanan mandiri dan efisien untuk permintaan standar.
4. Tetapkan aturan dan prosedur eskalasi insiden, terutama untuk insiden besar dan insiden keamanan.
5. Definisikan sumber pengetahuan tentang insiden dan permintaan dan jelaskan bagaimana menggunakannya.
CMMI Cybermaturity Platform, 2018 IA.IP Melaksanakan Proses Investigasi Insiden
HITRUST CSF versi 9, September 2017 11.01 Melaporkan Insiden Keamanan Informasi dan Kelemahannya
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Manajemen Insiden Keamanan TM2
ISO / IEC 20000-1: 2011 (E) 8.1 Manajemen insiden dan permintaan layanan
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 16. Manajemen insiden keamanan informasi
237
Halaman 238
DSS02.02 Merekam, mengklasifikasikan dan memprioritaskan permintaan dan insiSdeebnu.ah. Jumlah jenis dan kategori yang ditentukan untuk permintaan layanan perekaman
Identifikasi, catat dan klasifikasikan permintaan dan insiden layanan dan tetapkan a dan insiden
prioritas sesuai dengan kekritisan bisnis dan perjanjian layanan. b. Jumlah permintaan layanan dan insiden yang tidak dikategorikan
1. Catat semua permintaan dan insiden layanan, catat semua informasi yang relevan, sehingga dapat ditangani secara efektif dan historis penuh 2
catatan dapat dipertahankan.
2. Untuk mengaktifkan analisis tren, klasifikasikan permintaan layanan dan insiden dengan mengidentifikasi jenis dan kategori.
3. Memprioritaskan permintaan layanan dan insiden berdasarkan definisi layanan SLA tentang dampak dan urgensi bisnis.
DSS02.03 Verifikasi, setujui dan penuhi permintaan layanan.

Sebuah. Rata-rata waktu yang berlalu untuk menangani setiap jenis permintaan layanan
Pilih prosedur permintaan yang sesuai dan verifikasi bahwa layanan tersebut
b. Persentase permintaan layanan yang memenuhi kriteria permintaan yang ditentukan
permintaan memenuhi kriteria permintaan yang ditentukan. Dapatkan persetujuan, jika diperlukan, dan
memenuhi permintaan.
1. Verifikasi hak untuk permintaan layanan menggunakan, jika memungkinkan, aliran proses yang telah ditentukan sebelumnya dan perubahan standar. 2
2. Dapatkan persetujuan atau penandatanganan finansial dan fungsional, jika diperlukan, atau persetujuan yang telah ditentukan sebelumnya untuk perubahan standar yang disepakati.
3. Memenuhi permintaan dengan melakukan prosedur permintaan yang dipilih. Jika memungkinkan, gunakan menu otomatis bantuan mandiri dan 3
model permintaan yang telah ditentukan sebelumnya untuk item yang sering diminta.
ITIL V3, 2011 Operasi Layanan, 4.3 Pemenuhan Permintaan
DSS02.04 Menyelidiki, mendiagnosis dan mengalokasikan insiden.

Identifikasi dan catat gejala insiden, tentukan kemungkinan penyebabnya, dan Sebuah. Jumlah gejala insiden yang teridentifikasi dan tercatat
alokasikan untuk resolusi. b. Jumlah penyebab gejala yang ditentukan dengan benar
c. Jumlah masalah duplikat di log referensi
1. Identifikasi dan jelaskan gejala yang relevan untuk menetapkan penyebab insiden yang paling mungkin terjadi. Referensi tersedia 2
Bangun, Dsuampbaetrkdaany,a dpeanngeTtaehruaapnk(taenrmasuk kesalahan dan masalah yang diketahui) untuk mengidentifikasi kemungkinan
resolusi insiden (solusi sementara dan / atau solusi permanen).
2. Jika masalah terkait atau kesalahan yang diketahui belum ada dan jika insiden memenuhi kriteria yang disepakati untuk pendaftaran masalah,
mencatat masalah baru.
3. Tetapkan insiden ke fungsi spesialis jika dibutuhkan keahlian yang lebih dalam. Libatkan tingkat manajemen yang sesuai, di mana dan
jika diperlukan.
DSS02.05 Menyelesaikan dan memulihkan dari insiden.

Dokumentasikan, terapkan, dan uji solusi atau solusi yang diidentifikasi. Sebuah. Persen insiden diselesaikan dalam SLA yang disepakati
Lakukan tindakan pemulihan untuk memulihkan layanan terkait I & T. b. Persentase kepuasan pemangku kepentingan dengan resolusi dan pemulihan
dari insiden
1. Pilih dan terapkan resolusi insiden yang paling sesuai (solusi sementara dan / atau solusi permanen). 2
2. Catat apakah solusi digunakan untuk resolusi insiden.
3. Lakukan tindakan pemulihan, jika diperlukan.
4. Mendokumentasikan resolusi insiden dan menilai apakah resolusi tersebut dapat digunakan sebagai sumber pengetahuan di masa mendatang.
238
Halaman 239
BAB 4
ITIL V3, 2011 Operasi Layanan, 4.2 Manajemen Insiden
Institut Nasional Standar dan Kerangka Teknologi untuk Meningkatkan Institut Nasional Standar dan Publikasi Khusus Teknologi 800-53, Revisi 5 (Draf), Agustus 2017
Perencanaan Pemulihan RC.RP 3.9 Respons insiden (IR-4, IR-5, IR-6)
Kontrol Keamanan Kritis CIS untuk Versi Pertahanan Siber yang Efektif CSC 19: Respons dan Manajemen Insiden
6.1, Agustus 201
DSS02.06 Tutup permintaan layanan dan insiden.

Sebuah. Tingkat kepuasan pengguna atas pemenuhan permintaan layanan
Verifikasi penyelesaian insiden yang memuaskan dan / atau pemenuhan
permintaan, dan tutup. b. Persentase insiden diselesaikan dalam periode yang disepakati / dapat diterima
waktu
1. Verifikasi dengan pengguna yang terpengaruh bahwa permintaan layanan telah dipenuhi dengan memuaskan atau insiden telah diselesaikan 2
secara memuaskan dan dalam jangka waktu yang disepakati / dapat diterima.
2. Tutup permintaan layanan dan insiden.
DSS02.07 Melacak status dan menghasilkan laporan.

Sebuah. Waktu rata-rata antara insiden untuk layanan yang mengaktifkan I &
Lacak, analisis, dan laporkan insiden dan pemenuhan permintaan secara teratur.
T
Periksa tren untuk memberikan informasi untuk perbaikan berkelanjutan. Kirim, Layanan, dan Dukungan
b. Jumlah dan persen insiden yang menyebabkan gangguan
proses bisnis-kritis
1. Memantau dan melacak eskalasi dan resolusi insiden dan meminta prosedur penanganan untuk maju menuju resolusi atau 2
penyelesaian.
2 Identifikasi informasi pemangku kepentingan dan kebutuhan mereka akan data atau laporan. Identifikasi frekuensi dan media pelaporan. 3
3. Menghasilkan dan mendistribusikan laporan tepat waktu atau memberikan akses terkontrol ke data online. 4
4. Menganalisis insiden dan permintaan layanan menurut kategori dan jenis. Menetapkan tren dan mengidentifikasi pola masalah yang berulang, SLA
pelanggaran atau ketidakefisienan.
5. Gunakan informasi sebagai masukan untuk perencanaan perbaikan berkelanjutan. 5
CMMI Cybermaturity Platform, 2018 MI.IM Pastikan Mitigasi Insiden; Pelaporan Insiden IR.IR

800-53, Revisi 5 (Draf), Agustus 2017 3.9 Respons insiden (IR-7, IR-8)
239
Halaman 240
wners
perations
Petugas
H A I
ech no lo gy
KepParlaosPTeesnBgKiesemnpiMbaslaOannMbgaajagneniraKaPnjeeepTrlaIKylaaenamananan Informasi
DSS02.01 Mendefinisikan skema klasifikasi untuk insiden dan permintaan layanan. SEBUARHRR
DSS02.02 Merekam, mengklasifikasikan dan memprioritaskan permintaan dan insiden. SEBUAH RR
DSS02.03 Verifikasi, setujui dan penuhi permintaan layanan. ARRRR
DSS02.04 Menyelidiki, mendiagnosis dan mengalokasikan insiden. AR RR
DSS02.05 Menyelesaikan dan memulihkan dari insiden. SEBUARHRRR

DSS02.06 Tutup permintaan layanan dan insiden. SEBUAH RRR
DSS02.07 Melacak status dan menghasilkan laporan. SEBUAH RR
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 16.1.1 Tanggung jawab dan prosedur
DSS02.01 Mendefinisikan skema klasifikasi untuk insiden Dari Deskripsi Deskripsi Untuk
dan permintaan layanan.
APO09.03 SLA Kriteria masalah DSS03.01
Registrasi
BAI10.02 Aturan repositori konfigurasi untuk insiden Intern
eskalasi
BAI10.03 Repositori diperbarui dengan Insiden dan layanan Intern

item konfigurasi klasifikasi permintaan
skema dan model
BAI10.04 Status konfigurasi
Bangun, Dapatkan, dan Terapkan laporan
DSS01.03 Aturan pemantauan aset
dan kondisi acara
DSS03.01 Klasifikasi masalah

skema
DSS04.03 Tanggapan insiden
tindakan dan
komunikasi
DSS02.02 Merekam, mengklasifikasikan dan memprioritaskan permAiPnOta0a9n.0d3an SLA Diklasifikasikan dan diprioritaskAanPO08.03;
insiden. insiden dan layanan APO09.04;
permintaan APO13.03;
DSS03.05
BAI04.05 Eskalasi darurat Insiden dan layanan Intern;

prosedur log permintaan MEA04.07
DSS01.03 • Aturan pemantauan aset

dan kondisi acara
• Tiket insiden
DSS05.07 Insiden terkait keamanan

tiket
240
Halaman 241
BAB 4
DSS02.03 Verifikasi, setujui dan penuhi permintaan layanan. Dari Deskripsi Deskripsi Untuk
APO12.06 Akar penyebab terkait risiko Layanan yang disetujui

BAI06.01
permintaan
Permintaan layanan terpenuhi Internal
DSS02.04 Menyelidiki, mendiagnosis dan mengalokasikan insiden. BAI07.07 Dukungan tambahan Log masalah DSS03.01
rencana
Gejala insiden Intern
DSS02.05 Menyelesaikan dan memulihkan dari insiden. APO12.06 Insiden terkait risiko Resolusi insiden DSS03.03;
rencana tanggapan DSS03.04;
DSS03.03 Catatan kesalahan yang diketahui DSS03.05;
MEA04.07
DSS03.04 Komunikasi
DSS02.06 Tutup permintaan layanan dan insiden. DSS03.04 Catatan masalah tertutup Konfirmasi pengguna dari
APO08.03
pemenuhan yang memuaskan atau
resolusi
Permintaan layanan tertutup
APO08.03;
dan insiden
APO09.04;
DSS03.04
DSS02.07 Melacak status dan menghasilkan laporan. APO09.03 OLA Status dan tren insiden
APO08.03;
melaporkan
APO09.04;
APO11.04;
APO12.01;
MEA01.03 Kirim, Layanan, dan Dukungan
DSS03.01 Laporan status masalah Minta status pemenuhan
APO08.03;
DSS03.02 Penyelesaian masalah dan laporan tren APO09.04;

laporan APO11.04;
DSS03.05 Penyelesaian masalah MEA01.03
laporan pemantauan

Dukungan aplikasi Kerangka Keterampilan untuk Era Informasi V6, 2015 ASUP
Dukungan layanan pelanggan Kerangka Keterampilan untuk Era Informasi V6, 2015 CSMG
Manajemen insiden Kerangka Keterampilan untuk Era Informasi V6, 2015 USUP
Dukungan jaringan Kerangka Keterampilan untuk Era Informasi V6, 2015 NTAS
Dukungan pengguna e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
C. Jalankan — C.1. Dukungan Pengguna
Kebijakan permintaan layanan Menyatakan alasan dan menyediakan

ITIL V3, 2011 Operasi Layanan, 3. Layanan
panduan untuk layanan dan insiden
prinsip operasi
permintaan dan dokumentasinya.
241
Halaman 242
Memungkinkan karyawan untuk mengidentifikasi insiden secara benar dan tepat waktu dan
menerapkan jalur eskalasi yang sesuai. Dorong pencegahan. Menanggapi
untuk dan menyelesaikan insiden dengan segera. Hindari budaya pahlawan.
Alat dan sistem pelacakan insiden

242
Halaman 243
BAB 4

Tujuan Manajemen: DSS03 - Masalah yang Dikelola Area Fokus: Model Inti COBIT
Deskripsi
Identifikasi dan klasifikasikan masalah dan akar penyebabnya. Berikan resolusi tepat waktu untuk mencegah insiden berulang. Berikan rekomendasi untuk
perbaikan.
Tujuan
Meningkatkan ketersediaan, meningkatkan tingkat layanan, mengurangi biaya, meningkatkan kenyamanan dan kepuasan pelanggan dengan mengurangi jumlah operasional
masalah, dan mengidentifikasi akar penyebab sebagai bagian dari penyelesaian masalah.
Tujuan Perusahaan

pengiriman
keuntungan

kemampuan
kemampuan
A. Komponen: Proses
DSS03.01 Mengidentifikasi dan mengklasifikasikan masalah.

Sebuah. Persentase insiden besar yang masalah-masalahnya dicatat
Tentukan dan laksanakan kriteria dan prosedur untuk mengidentifikasi dan
b. Persen insiden diselesaikan sesuai dengan SLA yang disepakati
laporkan masalah. Termasuk klasifikasi masalah, kategorisasi dan
prioritas. c. Persentase masalah yang diidentifikasi dengan tepat, termasuk klasifikasi,
kategorisasi dan prioritas
1. Mengidentifikasi masalah melalui korelasi laporan insiden, log kesalahan dan sumber daya identifikasi masalah lainnya. 2
2. Tangani semua masalah secara formal dengan akses ke semua data yang relevan. Sertakan informasi dari sistem manajemen perubahan TI dan
Konfigurasi TI / aset dan detail insiden.
3. Tentukan kelompok pendukung yang tepat untuk membantu identifikasi masalah, analisis akar penyebab dan penentuan solusi
untuk mendukung manajemen masalah. Tentukan kelompok dukungan berdasarkan kategori yang telah ditentukan, seperti perangkat keras, jaringan,
perangkat lunak, aplikasi dan perangkat lunak pendukung.
4. Tentukan tingkat prioritas melalui konsultasi dengan bisnis untuk memastikan identifikasi masalah dan analisis akar
penyebabnya ditangani tepat waktu sesuai dengan SLA yang disepakati. Mendasarkan tingkat prioritas pada dampak dan urgensi
bisnis.
5. Laporkan status masalah yang teridentifikasi ke meja layanan sehingga pelanggan dan manajemen TI dapat terus mendapat informasi.
6. Menjaga katalog manajemen masalah tunggal untuk mendaftarkan dan melaporkan masalah yang teridentifikasi. Gunakan katalog untuk melakukan audit
jejak proses manajemen masalah, termasuk status setiap masalah (yaitu, terbuka, dibuka kembali, dalam proses atau ditutup).
ISO / IEC 20000-1: 2011 (E) 8.2 Manajemen masalah
243
Halaman 244
DSS03.02 Menyelidiki dan mendiagnosis masalah.

Sebuah. Jumlah masalah yang diidentifikasi diklasifikasikan sebagai kesalahan yang diketahui
Selidiki dan diagnosis masalah menggunakan ahli materi pelajaran yang relevan
untuk menilai dan menganalisis akar penyebab. b. Persentase masalah yang diselidiki dan didiagnosis sepanjang masalah tersebut
lingkaran kehidupan
1. Mengidentifikasi masalah kesalahan yang mungkin diketahui dengan membandingkan data insiden dengan database kesalahan yang diketahui dan dicurigai (misal3nya,
yang dikomunikasikan oleh vendor eksternal). Klasifikasikan masalah sebagai kesalahan yang diketahui.
2. Mengaitkan item konfigurasi yang terpengaruh ke kesalahan yang ditetapkan / diketahui.
3. Menghasilkan laporan untuk mengkomunikasikan kemajuan dalam menyelesaikan masalah dan untuk memantau dampak masalah yang tidak berkelanjutan
terpecahkan. Pantau status proses penanganan masalah sepanjang siklus hidupnya, termasuk masukan dari perubahan TI dan
manajemen konfigurasi.
DSS03.03 Meningkatkan kesalahan yang diketahui.

Sebuah. Banyaknya masalah dengan resolusi memuaskan yang ditangani
Segera setelah akar penyebab masalah diidentifikasi, buat kesalahan yang diketahui
akar permasalahan
merekam, mendokumentasikan solusi yang sesuai, dan mengidentifikasi potensi
b. Persentase kepuasan pemangku kepentingan dengan identifikasi akar penyebab,
solusi.
pembuatan catatan kesalahan yang diketahui dan solusi yang sesuai, dan
identifikasi solusi potensial
1. Segera setelah akar penyebab masalah diidentifikasi, buat catatan kesalahan yang diketahui dan kembangkan solusi yang sesuai. 2
2. Mengidentifikasi, mengevaluasi, memprioritaskan, dan memproses (melalui manajemen perubahan TI) untuk kesalahan yang diketahui, berdasarkan biaya / manfa3at
kasus bisnis dan dampak dan urgensi bisnis.
DSS03.04 Mengatasi dan menutup masalah.

Sebuah. Penurunan jumlah insiden berulang yang disebabkan oleh tidak terselesaikan
Identifikasi dan mulai solusi berkelanjutan untuk mengatasi akar penyebabnya.
masalah
Naikkan permintaan perubahan melalui proses manajemen perubahan yang telah ditetapkba.nP, ersen solusi yang ditentukan untuk masalah
terbuka jika diperlukan, untuk mengatasi kesalahan. Pastikan bahwa personel yang terkena dampak
m e n ya d a r i t in d a ka n y an g di a m b il dan rencana yang
Bangundikembangkan
, D a p auntuk
t k mencegah
a n , dmasa
a depan
n T insiden
e ra terjadi.
pk a n
1. Tutup catatan masalah baik setelah konfirmasi untuk menghilangkan kesalahan yang diketahui atau setelah kesepakatan dengan 2
bisnis tentang bagaimana menangani masalah sebagai alternatif.
2. Beri tahu meja layanan tentang jadwal penutupan masalah (misalnya, jadwal untuk memperbaiki kesalahan yang diketahui, kemungkinan
solusi atau fakta bahwa masalah akan tetap ada sampai perubahan diterapkan) dan konsekuensi dari pendekatan tersebut
diambil. Terus beri tahu pengguna dan pelanggan yang terpengaruh sebagaimana mestinya.
3. Selama proses penyelesaian, dapatkan laporan rutin dari manajemen perubahan TI tentang kemajuan dalam menyelesaikan masalah 3
dan kesalahan.
4. Pantau dampak berkelanjutan dari masalah dan kesalahan yang diketahui pada layanan. 4
5. Tinjau dan konfirmasi keberhasilan penyelesaian masalah utama.
6. Pastikan pengetahuan yang dipelajari dari tinjauan tersebut dimasukkan ke dalam pertemuan tinjauan layanan dengan pelanggan bisnis. 5
244
Halaman 245
BAB 4
DSS03.05 Lakukan manajemen masalah secara proaktif.

Sebuah. Persentase masalah yang dicatat sebagai bagian dari masalah proaktif
Mengumpulkan dan menganalisis data operasional (terutama insiden dan perubahan
aktivitas manajemen
catatan) untuk mengidentifikasi tren yang muncul yang mungkin menunjukkan masalah. bC.aPtaetrasnentase kepuasan pemangku kepentingan utama dengan komunikasi
catatan masalah untuk memungkinkan penilaian. informasi masalah terkait dengan perubahan dan insiden TI
1. Menangkap informasi masalah yang terkait dengan perubahan dan insiden I&T dan mengkomunikasikannya kepada pemangku kepentingan utama. Berkomunikas3i melalui
laporan dan pertemuan berkala antara insiden, masalah, perubahan dan konfigurasi pemilik proses manajemen untuk dipertimbangkan
masalah terkini dan tindakan korektif potensial.
2. Pmaestnidkiasnkubsaihkwana mpeamsailaikh pyraonsgesddikaentamhauni adjaenr dpaeruibnashidaneny,amngasdailraehn,cpaenraukbaanhadni

mdaansamdaenpaajne.men konfigurasi bertemu secara teratur
3. Identifikasi dan mulai solusi berkelanjutan (perbaikan permanen) untuk mengatasi akar penyebabnya. Naikkan permintaan perubahan melalui
proses manajemen perubahan yang mapan.
4. Untuk memungkinkan perusahaan memantau total biaya masalah, menangkap upaya perubahan yang dihasilkan dari manajemen masalah 4
memproses aktivitas (misalnya, memperbaiki masalah dan kesalahan yang diketahui) dan melaporkannya.
5. Menghasilkan laporan untuk memantau penyelesaian masalah terhadap persyaratan bisnis dan SLA. Pastikan eskalasi yang tepat
masalah, seperti eskalasi ke tingkat manajemen yang lebih tinggi sesuai dengan kriteria yang disepakati, menghubungi vendor eksternal, atau
mengacu pada dewan penasihat perubahan untuk meningkatkan prioritas permintaan perubahan yang mendesak (RFC) untuk melaksanakan sementara
solusi.
6. Untuk mengoptimalkan penggunaan sumber daya dan mengurangi solusi, lacak tren masalah.
CMMI Cybermaturity Platform, 2018 MI.IC Pastikan Penahanan Insiden

ITIL V3, 2011 Operasi Layanan, 4.4 Manajemen Masalah
fficefrficer
perations
H A I
echnolo gy O
Praktik Manajemen Kunci KomKiteepKaElekapsPIeankelafnuogKTtriemfempa

MbaslaianOnMbgaajagneniraKaPnjeeepTrlaIKylaae
DSS03.01 Mengidentifikasi dan mengklasifikasikan masalah.
namananan Informasi
DSS03.02 Menyelidiki dan mendiagnosis masalah. RARRR
DSS03.03 Meningkatkan kesalahan yang diketahui. SEBUARHR
SEBUARHR
R
DSS03.04 Mengatasi dan menutup masalah. SEBUARHR
DSS03.05 Lakukan manajemen masalah secara proaktif. R SEBUARHR

245
Halaman 246
DSS03.01 Mengidentifikasi dan mengklasifikasikan masalah. Dari Deskripsi Deskripsi Untuk
APO12.06 Akar penyebab terkait risiko Klasifikasi masalah

DSS02.01
skema
DSS02.01 Kriteria masalah

Laporan status masalah DSS02.07
Registrasi
DSS02.04 Log masalah Masalah register Intern
DSS03.02 Menyelidiki dan mendiagnosis masalah. APO12.06 Akar penyebab terkait risiko Laporan resolusi masalah DSS02.07
Akar penyebab masalah Internal;

DSS03.05
DSS03.03 Meningkatkan kesalahan yang diketahui. APO12.06 Akar penyebab terkait risiko Solusi yang diusulkan untuk
BAI06.01
kesalahan yang diketahui
DSS02.05 Resolusi insiden Catatan kesalahan yang diketahuDi SS02.05
DSS03.04 Mengatasi dan menutup masalah. DSS02.05 Resolusi insiden Komunikasi

APO08.04;
DSS02.05
DSS02.06 Permintaan layanan tertutup

Catatan masalah tertutup DSS02.06
dan insiden
DSS03.05 Lakukan manajemen masalah secara proaktif. APO12.06 Akar penyebab terkait risiko Teridentifikasi berkelanjutan
BAI06.01
solusi
DSS02.02 • Diklasifikasikan dan

insiden yang diprioritaskan Penyelesaian masalah DSS02.07,
dan permintaan layanan laporan pemantauan MEA04.07
• Resolusi insiden
DSS03.04 Akar penyebab masalah

Dukungan aplikasi Kerangka Keterampilan untuk Era Informasi V6, 2015 ASUP
Dukungan jaringan Kerangka Keterampilan untuk Era Informasi V6, 2015 NTAS
Manajemen masalah e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
C. Jalankan — C.4. Masalah
Pengelolaan
Manajemen masalah Kerangka Keterampilan untuk Era Informasi V6, 2015 PBMG
Kebijakan resolusi masalah Dokumen dasar pemikiran dan penyediaan ITIL V3, 2011 Operasi Layanan, 3. Layanan
panduan untuk mengatasi masalah prinsip operasi
yang dihasilkan dari insiden dan
mengidentifikasi solusi yang divalidasi.
246
Halaman 247
BAB 4
Dukung budaya manajemen masalah yang proaktif (deteksi, tindakan

dan pencegahan) dengan peran dan tanggung jawab yang jelas. Pastikan a
lingkungan transparan dan terbuka untuk melaporkan masalah dengan menyediakan
mekanisme pelaporan independen dan / atau memberi penghargaan kepada orang yang membawa
masalah ke depan.
Sistem pelacakan / resolusi masalah

247
Halaman 248

248
Halaman 249
BAB 4

Tujuan Manajemen: DSS04 - Kontinuitas Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Tetapkan dan pertahankan rencana untuk memungkinkan bisnis dan organisasi TI merespons insiden dan dengan cepat beradaptasi dengan gangguan. Ini akan memungkinkan
operasi berkelanjutan dari proses bisnis penting dan layanan I&T yang diperlukan serta menjaga ketersediaan sumber daya, aset, dan informasi di a
tingkat yang dapat diterima oleh perusahaan.
Tujuan
Beradaptasi dengan cepat, lanjutkan operasi bisnis dan pertahankan ketersediaan sumber daya dan informasi pada tingkat yang dapat diterima oleh perusahaan dalam acara tersebut
gangguan yang signifikan (misalnya, ancaman, peluang, permintaan).
Tujuan Perusahaan

pengiriman
keuntungan
tercakup dalam penilaian risiko AG07 a. Jumlah insiden kerahasiaan yang menyebabkan kerugian finansial,
gangguan bisnis atau rasa malu publik Kirim, Layanan, dan Dukungan
b. Rasio insiden signifikan yang tidak teridentifikasi di
penilaian risiko vs. insiden total b. Jumlah insiden ketersediaan yang menyebabkan kerugian finansial,
c. Frekuensi pemutakhiran profil risiko gangguan bisnis atau rasa malu publik
target ketersediaan layanan
kemampuan
kemampuan
249
Halaman 250

A. Komponen: Proses
DSS04.01 Mendefinisikan kebijakan, tujuan dan ruang lingkup bisnis yang berkelanSjeubtuaanh.. Persentase tujuan dan ruang lingkup kelangsungan bisnis yang dikerjakan
ulang karena Tentukan kebijakan dan ruang lingkup kelangsungan bisnis, selaras dengan perusahaan dan proses dan aktivitas yang salah diidentifikasi
tujuan pemangku kepentingan, untuk meningkatkan ketahanan bisnis. b. Persentase pemangku kepentingan utama yang berpartisipasi, menentukan dan menyetujui
kebijakan dan cakupan kontinuitas
1. Mengidentifikasi proses bisnis internal dan outsourcing dan aktivitas layanan yang penting untuk operasi perusahaan atau 2
diperlukan untuk memenuhi kewajiban hukum dan / atau kontrak.
2. Mengidentifikasi pemangku kepentingan utama dan peran serta tanggung jawab untuk mendefinisikan dan menyetujui kebijakan dan ruang lingkup kontinuitas.
3. Tentukan dan dokumentasikan tujuan dan ruang lingkup kebijakan minimum yang disepakati untuk ketahanan bisnis.
4. Mengidentifikasi proses bisnis pendukung yang penting dan layanan I&T terkait.
HITRUST CSF versi 9, September 2017 12.01 Aspek Keamanan Informasi dari Business Continuity Management
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 BC1.1 Strategi Keberlanjutan Bisnis; BC1.2 Business Continuity Program
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 17. Aspek keamanan informasi dari manajemen kelangsungan bisnis
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.6 Perencanaan kontinjensi (CP-1)
DSS04.02 Menjaga ketahanan bisnis.

Sebuah. Total waktu henti akibat insiden atau gangguan besar
Evaluasi pilihan ketahanan bisnis dan pilih yang hemat biaya dan
b. Persentase pemangku kepentingan utama yang terlibat dalam analisis dampak bisnis
strategi yang layak yang akan memastikan kelangsungan usaha, pemulihan bencana
mengevaluasi dampak gangguan terhadap bisnis kritis dari waktu ke waktu
dan tanggap insiden saat menghadapi bencana atau kejadian besar lainnya
fungsi dan efek gangguan pada mereka
atau gangguan.
1. Identifikasi skenario potensial yang kemungkinan besar akan menimbulkan peristiwa yang dapat menyebabkan insiden mengganggu yang signifikan. 2
2. Melakukan analisis dampak bisnis untuk mengevaluasi dampak dari waktu ke waktu dari gangguan terhadap fungsi bisnis penting dan
efek yang akan ditimbulkan gangguan pada mereka.
3. Tetapkan waktu minimum yang diperlukan untuk memulihkan proses bisnis dan mendukung I&T, berdasarkan jangka waktu yang dapat diterima
gangguan bisnis dan pemadaman maksimum yang dapat ditoleransi.
4. Tentukan kondisi dan pemilik keputusan kunci yang akan menyebabkan terciptanya rencana kesinambungan.
5. Menilai kemungkinan ancaman yang dapat menyebabkan hilangnya kelangsungan bisnis. Identifikasi tindakan yang akan mengurangi kemungkinan 3
dan dampak melalui peningkatan pencegahan dan peningkatan ketahanan.
6. Menganalisis persyaratan kontinuitas untuk mengidentifikasi kemungkinan bisnis strategis dan pilihan teknis.
7. Identifikasi kebutuhan sumber daya dan biaya untuk setiap opsi teknis strategis dan buat rekomendasi strategis.
8. Dapatkan persetujuan bisnis eksekutif untuk opsi strategis yang dipilih.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 BC1.3 Lingkungan Teknis yang Tangguh
ITIL V3, 2011 Desain Layanan, 4.6 Manajemen Kontinuitas TI

800-53, Revisi 5 (Draf), Agustus 2017 3.6 Perencanaan kontinjensi (CP-2)
250
Halaman 251
BAB 4
DSS04.03 Mengembangkan dan menerapkan respons kelangsungan bisnis. Sebuah. Jumlah sistem bisnis penting yang tidak tercakup dalam rencana
Mengembangkan rencana kesinambungan bisnis (BCP) dan rencana pemulihan bencana b. Persentase pemangku kepentingan utama yang terlibat dalam pengembangan BCP dan DRP
(DRP) berdasarkan strategi. Dokumentasikan semua prosedur yang diperlukan untuk
perusahaan untuk melanjutkan aktivitas kritis jika terjadi insiden.
1. Tentukan tindakan respons insiden dan komunikasi yang akan diambil jika terjadi gangguan. Tentukan peran terkait dan 2
tanggung jawab, termasuk akuntabilitas untuk kebijakan dan implementasi.
2. Pastikan pemasok utama dan mitra outsourcing memiliki rencana kesinambungan yang efektif. Dapatkan bukti yang diaudit sesuai kebutuhan.
3. Tentukan kondisi dan prosedur pemulihan yang akan memungkinkan dimulainya kembali pemrosesan bisnis. Termasuk memperbarui
dan rekonsiliasi database informasi untuk menjaga integritas informasi.
4. Mengembangkan dan memelihara BCP dan DRP operasional yang berisi prosedur yang harus diikuti untuk memungkinkan kelanjutan pengoperasian
proses bisnis penting dan / atau pengaturan pemrosesan sementara. Sertakan tautan ke rencana penyedia layanan yang dialihdayakan.
5. Tentukan dan dokumentasikan sumber daya yang diperlukan untuk mendukung prosedur keberlanjutan dan pemulihan, dengan mempertimbangkan orang,
fasilitas dan infrastruktur TI.
6. Tentukan dan dokumentasikan persyaratan cadangan informasi yang diperlukan untuk mendukung rencana tersebut. Sertakan rencana dan dokumen kertas
serta file data. Pertimbangkan kebutuhan keamanan dan penyimpanan di luar situs.
7. Tentukan keterampilan yang dibutuhkan untuk individu yang terlibat dalam pelaksanaan rencana dan prosedur.
8. Distribusikan rencana dan dokumentasi pendukung secara aman kepada pihak berkepentingan yang berwenang. Pastikan rencananya 3
dan dokumentasi dapat diakses dalam semua skenario bencana.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 BC1.4 Manajemen Krisis; BC2.1 Perencanaan Kontinuitas Bisnis
3.6 Perencanaan kontinjensi (CP-6, CP-9, CP-10)
DSS04.04 Latihan, uji dan review rencana kesinambungan bisnis (BCP)

Sebuah. Frekuensi pengujian
dan rencana tanggap bencana (DRP).
Uji kontinuitas secara teratur untuk menjalankan rencana b. Jumlah latihan dan tes yang mencapai tujuan pemulihan
hasil yang telah ditentukan, menjunjung tinggi ketahanan bisnis dan memungkinkan
solusi inovatif untuk dikembangkan.
1. Tentukan tujuan untuk melatih dan menguji bisnis, teknis, logistik, administratif, prosedural dan operasional 2
sistem rencana untuk memverifikasi kelengkapan BCP dan DRP dalam memenuhi risiko bisnis.
2. Tentukan dan sepakati latihan pemangku kepentingan yang realistis dan validasi prosedur kontinuitas. Sertakan peran dan
tanggung jawab dan pengaturan penyimpanan data yang menyebabkan gangguan minimum pada proses bisnis.
3. Tetapkan peran dan tanggung jawab untuk melakukan latihan dan pengujian rencana kesinambungan.
4. Jadwalkan latihan dan aktivitas pengujian sebagaimana ditentukan dalam rencana kontinuitas. 3
5. Melakukan pembekalan dan analisis pasca latihan untuk mempertimbangkan pencapaiannya. 4
6. Berdasarkan hasil review, susun rekomendasi untuk perbaikan rencana kontinuitas saat ini. 5
CMMI Cybermaturity Platform, 2018 PP.RS Mengembangkan dan Menjaga Rencana Tanggapan; PP.RP Mengembangkan dan
Pertahankan Rencana Pemulihan
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 BC2.3 Pengujian Kontinuitas Bisnis
CSC 20: Tes Penetrasi dan Latihan Tim Merah
6.1, Agustus 2016
251
Halaman 252
DSS04.05 Meninjau, memelihara dan meningkatkan rencana kontinuitas.

Sebuah. Persentase perbaikan yang disepakati terhadap rencana yang telah direfleksikan
Melakukan tinjauan manajemen atas kemampuan kontinuitas secara berkala
dalam rencana
interval untuk memastikan kesesuaian, kecukupan, dan efektivitasnya yang berkelanjutanb.. Persentase dari rencana kesinambungan dan penilaian dampak bisnis yang ada
Kelola perubahan rencana sesuai dengan kontrol perubahan up to date
proses untuk memastikan bahwa rencana kesinambungan selalu diperbarui dan
mencerminkan kebutuhan bisnis yang sebenarnya.
1. Secara teratur, meninjau rencana kesinambungan dan kapabilitas terhadap asumsi yang dibuat dan operasional bisnis saat ini 3
dan tujuan strategis.
2. Secara teratur, tinjau rencana kesinambungan untuk mempertimbangkan dampak perubahan baru atau besar terhadap organisasi
perusahaan, proses bisnis, pengaturan outsourcing, teknologi, infrastruktur, sistem operasi dan sistem aplikasi.
3. Pertimbangkan apakah penilaian dampak bisnis yang direvisi mungkin diperlukan, tergantung pada sifat perubahan.
4. Merekomendasikan perubahan kebijakan, rencana, prosedur, infrastruktur, serta peran dan tanggung jawab. Komunikasikan sebagai
sesuai untuk persetujuan dan pemrosesan manajemen melalui proses manajemen perubahan TI.
DSS04.06 Melakukan pelatihan rencana kesinambungan.

Sebuah. Persentase pemangku kepentingan internal dan eksternal yang menerima pelatihan
Memberikan pelatihan rutin kepada semua pihak internal dan eksternal terkait
b. Persentase pihak internal dan eksternal terkait yang memiliki keterampilan dan
sesi mengenai prosedur dan peran serta tanggung jawab mereka dalam
kasus gangguan. kompetensi terkini
1. Meluncurkan kesadaran dan pelatihan BCP dan DRP. 2
2. Tentukan dan pertahankan persyaratan dan rencana pelatihan bagi mereka yang melakukan perencanaan kontinuitas, penilaian dampak, risiko 3
penilaian, komunikasi media dan respon insiden. Pastikan bahwa rencana pelatihan mempertimbangkan frekuensi pelatihan dan
mekanisme penyampaian pelatihan.
3. Mengembangkan kompetensi berdasarkan pelatihan praktik, termasuk keikutsertaan dalam latihan dan tes.
4. Berdasarkan hasil latihan dan tes, pantau keterampilan dan kompetensi. 4
BangunI,nDstiatupt
3.6 Perencanaan kontinjensi (CP-4)
aNtaksaionn,aldSatnanTdaerrdaapnkPaunblikasi
Khusus Teknologi 800-53, Revisi 5 (Draf), Agustus 2017
DSS04.07 Mengelola pengaturan backup.

Sebuah. Persentase media cadangan yang ditransfer dan disimpan dengan aman
Menjaga ketersediaan informasi bisnis penting.
b. Persentase pemulihan yang berhasil dan tepat waktu dari cadangan atau alternatif
salinan media
1. Mencadangkan sistem, aplikasi, data dan dokumentasi sesuai jadwal yang telah ditentukan. Pertimbangkan frekuensi (bulanan, 2
mingguan, harian, dll.), mode pencadangan (mis., pencerminan disk untuk pencadangan waktu nyata vs. DVD-ROM untuk penyimpanan jangka panjang), jenis
backup (mis., full vs. incremental), dan jenis media. Pertimbangkan juga pencadangan online otomatis, jenis data (mis., Suara, optik),
pembuatan log, data komputasi pengguna akhir yang penting (misalnya, spreadsheet), lokasi fisik dan logis dari sumber data, keamanan
dan hak akses, dan enkripsi.
2. Tetapkan persyaratan untuk penyimpanan data cadangan di tempat dan di luar situs yang memenuhi persyaratan bisnis. Pertimbangkan
aksesibilitas diperlukan untuk mencadangkan data.
3. Menguji dan menyegarkan data arsip dan cadangan secara berkala.
4. Memastikan bahwa sistem, aplikasi, data, dan dokumentasi yang dikelola atau diproses oleh pihak ketiga dicadangkan secara memadai
atau diamankan. Pertimbangkan untuk meminta pengembalian cadangan dari pihak ketiga. Pertimbangkan escrow atau pengaturan deposit.
252
Halaman 253
BAB 4
CMMI Cybermaturity Platform, 2018 IP.BP Menerapkan Proses Pencadangan
HITRUST CSF versi 9, September 2017 09.05 Pencadangan Informasi
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SY2.3 Pencadangan
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 12.3 Pencadangan

3.6 Perencanaan kontinjensi (CP-3)
6.1, Agustus 2016 CSC 10: Kemampuan Pemulihan Data
DSS04.08 Melakukan tinjauan pasca-dimulainya kembali.

Sebuah. Persentase masalah yang diidentifikasi dan selanjutnya ditangani dalam rencana
Menilai kecukupan rencana kesinambungan bisnis (BCP) dan bencana
response plan (DRP) setelah bisnis berhasil dilanjutkan b. Persentase masalah yang diidentifikasi dan selanjutnya ditangani dalam pelatihan
proses dan layanan setelah gangguan. bahan
1. Menilai kepatuhan terhadap BCP dan DRP yang terdokumentasi. 4
2. Menentukan efektivitas rencana, kesinambungan kemampuan, peran dan tanggung jawab, keterampilan dan kompetensi, ketahanan
insiden, infrastruktur teknis, dan struktur organisasi dan hubungan.
3. Mengidentifikasi kelemahan atau kelalaian dalam rencana dan kapabilitas dan membuat rekomendasi untuk perbaikan. Memperoleh
5
persetujuan manajemen untuk setiap perubahan rencana dan menerapkan melalui proses pengendalian perubahan perusahaan.
Tidak ada panduan terkait untuk praktik manajemen ini Kirim, Layanan, dan Dukungan
fficefrfice wners
r fficer
perations
HAI
echnology O

KomKiteepKaElekapsKOeaklepaupeKItarinalfeafspoiPTarOrmlaoasFPesueistnOBuKggisseainpsMiPasKelaOanenagKAamejremespamiMbnatelaeaknnMbgDIaanjaagnefntioMraKarPnjmaeeenpTrlaaIsKjyliaeaerna
KmanoanntainuIintafosrBmisansis
DSS04.01 Mendefinisikan kebijakan, tujuan dan ruang lingkup bisnis yang berkelanjutan. RAR RR RR R
DSS04.02 Menjaga ketahanan bisnis. RAR R R R RR

DSS04.03 Mengembangkan dan menerapkan respons kelangsungan bisnis. RR R R RA
DSS04.04 Melatih, menguji dan meninjau rencana kesinambungan bisnis (BCP) dan rencana tanggap bencana (DRP). RR R R RA
DSS04.05 Meninjau, memelihara dan meningkatkan rencana kontinuitas. ARRRR R R

DSS04.06 Melakukan pelatihan rencana kesinambungan. RR R RR RA
DSS04.07 Mengelola pengaturan backup. SEBUAH R R RR
DSS04.08 Melakukan tinjauan pasca-dimulainya kembali. RRRR R SEBUAH

253
Halaman 254
DSS04.01 Mendefinisikan kebijakan kelangsungan bisnis, Dari Deskripsi Deskripsi Untuk

tujuan dan ruang lingkup.
APO09.03 SLA Kebijakan dan tujuan untuk APO01.02
keberlangsungan bisnis
Penilaian saat ini Intern
kemampuan kontinuitas
dan celah
Insiden yang mengganggu Intern

skenario
DSS04.02 Menjaga ketahanan bisnis. APO12.06 • Dampak risiko
Strategis yang disetujui APO02.05
komunikasi
pilihan
• Akar terkait risiko
BIA APO12.02
penyebab
Persyaratan kontinuitas Intern
DSS04.03 Mengembangkan dan menerapkan kelangsungan bisnis APO09.03 OLA Tanggapan insiden DSS02.01
tanggapan. tindakan dan
komunikasi
BCP Intern
DSS04.04 Latihan, uji dan ulas bisnis

Hasil tes dan Intern
rencana kesinambungan (BCP) dan tanggap bencana
rekomendasi
rencana (DRP).
Latihan tes Intern
Tujuan pengujian Intern
DSS04.05 Review, pertahankan dan tingkatkan kontinuitas Perubahan yang direkomendasikaIntern

rencana. untuk rencana
Hasil tinjauan Intern
rencana
DSS04.06 Melakukan pelatihan rencana kesinambungan. HR Daftar personel Hasil pemantauan APO07.03
membutuhkan pelatihan keterampilan dan kompetensi
Persyaratan pelatihan APO07.03
DSS04.07 Mengelola pengaturan backup. APO14.10 • Rencana cadangan

Hasil uji backup Intern
• Rencana uji cadangan
data
Bangun, Dapatkan, dan Terapkan Data cadangan Intern;
APO14.08
DSS04.08 Melakukan tinjauan pasca-dimulainya kembali. Perubahan yang disetujui pada BAI06.01
rencana
Tinjauan pasca-dimulainya kembIanltiern

melaporkan
Manajemen kontinuitas Kerangka Keterampilan untuk Era Informasi V6, 2015 COPL
254
Halaman 255
BAB 4
Kebijakan kelangsungan bisnis Menguraikan manajemen

komitmen untuk bisnis
penilaian dampak (BIA), bisnis
rencana kontingensi (termasuk
pemulihan tepercaya), pemulihan
persyaratan untuk sistem kritis,
ambang batas dan pemicu yang ditentukan
untuk kontinjensi, rencana eskalasi,
rencana pemulihan data, pelatihan dan
pengujian.
Kebijakan manajemen krisis Menetapkan pedoman dan urutan
respons krisis di bidang risiko utama.
Bersama dengan keamanan I&T, jaringan
manajemen, dan keamanan data
dan privasi, manajemen krisis
adalah salah satu level operasional
kebijakan yang harus dipertimbangkan
untuk manajemen risiko I&T lengkap.
Tanamkan kebutuhan akan ketahanan bisnis dalam budaya perusahaan.

Secara teratur dan sering perbarui karyawan tentang nilai-nilai inti, yang diinginkan
perilaku dan tujuan strategis untuk menjaga ketenangan perusahaan
dan citra dalam setiap situasi. Uji kelangsungan bisnis secara teratur Kirim, Layanan, dan Dukungan
prosedur dan pemulihan bencana.
• Layanan hosting eksternal

• Alat pemantauan insiden
• Layanan fasilitas penyimpanan jarak jauh
255
Halaman 256

256
Halaman 257
BAB 4

Tujuan Manajemen: DSS05 - Layanan Keamanan Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Lindungi informasi perusahaan untuk menjaga tingkat risiko keamanan informasi yang dapat diterima oleh perusahaan sesuai dengan kebijakan keamanan.
Tetapkan dan pertahankan peran keamanan informasi dan hak akses. Lakukan pemantauan keamanan.
Tujuan
Minimalkan dampak bisnis dari kerentanan dan insiden keamanan informasi operasional.
Tujuan Perusahaan
EG02 a. Persentase tujuan dan layanan bisnis penting yang tercakup b. Rasio insiden signifikan yang tidak teridentifikasi dalam risiko penilaian vs. insiden total
dengan penilaian risiko
AG02 a. Frekuensi pemutakhiran profil risiko
b.
P
e
r
s
e
n
p
e
n
il
a
i
a
n
r
i
s
i
k
o
p
e
r
u
s
a
h
a
a
n
t
e
r
m
a
s
u
k
I
&
T
-
r
i
s
i
k
o
t
e
r
k
a
it
c. Jumlah insiden signifikan terkait I & T yang tidak terkait
c. Frekuensi pemutakhiran profil risiko diidentifikasi dalam penilaian risiko

A. Komponen: Proses
DSS05.01 Melindungi dari perangkat lunak berbahaya.

Sebuah. Jumlah serangan perangkat lunak berbahaya yang berhasil
Menerapkan dan memelihara tindakan pencegahan, detektif dan korektif
b. Persentase karyawan yang gagal dalam tes pada serangan jahat (misalnya, tes
(terutama patch keamanan terbaru dan kontrol virus) di file
email phishing)
perusahaan untuk melindungi sistem informasi dan teknologi dari kejahatan
perangkat lunak (mis., ransomware, malware, virus, worm, spyware, spam).
1. Instal dan aktifkan alat perlindungan perangkat lunak berbahaya di semua fasilitas pemrosesan, dengan file definisi perangkat lunak berbahaya itu 2
diperbarui sesuai kebutuhan (secara otomatis atau semi-otomatis).
2. Filter lalu lintas masuk, seperti email dan unduhan, untuk melindungi dari informasi yang tidak diminta (misalnya, spyware, email phishing).
3. Komunikasikan kesadaran perangkat lunak berbahaya dan terapkan prosedur pencegahan dan tanggung jawab. Lakukan pelatihan berkala 3
tentang malware dalam email dan penggunaan Internet. Latih pengguna untuk tidak membuka, tetapi melaporkan, email yang mencurigakan dan untuk tidak menginstal bersama atau
perangkat lunak yang tidak disetujui.
4. Mendistribusikan semua perangkat lunak perlindungan secara terpusat (versi dan tingkat patch) menggunakan konfigurasi terpusat dan manajemen perubahan TI.
5. Secara teratur meninjau dan mengevaluasi informasi tentang potensi ancaman baru (misalnya, meninjau keamanan produk dan layanan vendor 4
nasihat).
CMMI Cybermaturity Platform, 2018 DP.DC Mendeteksi Kode Berbahaya; Kerentanan dan Ancaman RI.VT
Identifikasi
HITRUST CSF versi 9, September 2017 09.04 Perlindungan Terhadap Kode Berbahaya & Seluler
SF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Solusi Keamanan TS1
SO / IEC 27002: 2013 / Kor.2: 2015 (E) 12.2 Perlindungan terhadap malware
Kontrol Keamanan Kritis CIS untuk Versi Pertahanan Siber yang Efektif CSC 4: Penilaian dan Perbaikan Kerentanan Berkelanjutan; CSC 8:
6.1, Agustus 2016 Pertahanan Malware
257
Halaman 258
DSS05.02 Mengelola keamanan jaringan dan konektivitas. Sebuah. Jumlah pelanggaran firewall
Gunakan langkah-langkah keamanan dan prosedur manajemen terkait untuk melindungi b. Jumlah kerentanan yang ditemukan
informasi atas semua metode konektivitas. c. Persentase waktu jaringan dan sistem tidak tersedia karena keamanan
kejadian
1. Izinkan hanya perangkat yang diotorisasi untuk memiliki akses ke informasi perusahaan dan jaringan perusahaan. Konfigurasi perangkat ini untuk 2
paksa entri kata sandi.
2. Menerapkan mekanisme penyaringan jaringan, seperti firewall dan perangkat lunak pendeteksi intrusi. Terapkan kebijakan yang sesuai untuk
mengontrol lalu lintas masuk dan keluar.
3. Terapkan protokol keamanan yang disetujui ke konektivitas jaringan.
4. Konfigurasi peralatan jaringan dengan cara yang aman.
5. Mengenkripsi informasi dalam perjalanan sesuai dengan klasifikasinya. 3
6. Berdasarkan penilaian risiko dan kebutuhan bisnis, menetapkan dan memelihara kebijakan keamanan konektivitas.
7. Menetapkan mekanisme tepercaya untuk mendukung transmisi dan penerimaan informasi yang aman.
8. Melakukan pengujian penetrasi secara berkala untuk mengetahui kecukupan proteksi jaringan. 4
9. Melakukan pengujian keamanan sistem secara berkala untuk menentukan kecukupan perlindungan sistem.
CMMI Cybermaturity Platform, 2018 AC.MI Mengelola Integritas & Pemisahan Jaringan; Monitor CM.MN
Jaringan; AC.CP Kelola Perlindungan Komunikasi
HITRUST CSF versi 9, September 2017 01.04 Kontrol Akses Jaringan
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 PA2.3 Konektivitas Perangkat Seluler; NC1.1 Konfigurasi Perangkat Jaringan
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 13.1 Manajemen keamanan jaringan
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.20 Integritas sistem dan informasi (SI-8)
Kontrol Keamanan Kritis CIS untuk Versi Pertahanan Siber yang Efektif CSC 9: Batasan dan Kontrol Port Jaringan, Protokol, dan Layanan;
6.1, Agustus 2016 CSC 11: Konfigurasi Aman untuk Perangkat Jaringan seperti Firewall,
Router, dan Sakelar
BangunD, SDSa0p5.a0t3kManen, gdealonlaTkeeraampaknaann titik akhir.
Sebuah. Jumlah insiden yang melibatkan perangkat titik akhir
Pastikan titik akhir (mis., Laptop, desktop, server, dan seluler lainnya b. Jumlah perangkat tidak sah yang terdeteksi di jaringan atau di
dan perangkat jaringan atau perangkat lunak) diamankan pada tingkat yang setara lingkungan pengguna akhir
atau lebih besar dari persyaratan keamanan yang ditetapkan untuk informasi tersebut c. Persentase individu yang menerima pelatihan kesadaran terkait penggunaan
diproses, disimpan atau dikirim. perangkat titik akhir
1. Konfigurasi sistem operasi dengan cara yang aman. 2
2. Menerapkan mekanisme penguncian perangkat.
3. Kelola akses dan kontrol jarak jauh (mis., Perangkat seluler, teleworking).
4. Kelola konfigurasi jaringan dengan cara yang aman.
5. Menerapkan pemfilteran lalu lintas jaringan pada perangkat titik akhir.
6. Lindungi integritas sistem.
7. Memberikan perlindungan fisik perangkat titik akhir.
8. Buang perangkat titik akhir dengan aman.
9. Kelola akses jahat melalui email dan browser web. Misalnya, blokir situs web tertentu dan nonaktifkan klik-tayang
pada tautan untuk ponsel cerdas.
10. Mengenkripsi informasi dalam penyimpanan sesuai dengan klasifikasinya. 3
258
Halaman 259
BAB 4
CMMI Cybermaturity Platform, 2018 IP.MM Menerapkan Manajemen Perangkat Seluler; TP.MP Menerapkan Perlindungan Media;
DP.DP Mendeteksi Kode Seluler dan Perlindungan Browser
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 PM1.3 Kerja Jarak Jauh; PA2.1 Konfigurasi Perangkat Seluler; PA2.4
Perangkat Milik Karyawan; PA2.5 Perangkat Penyimpanan Portabel; NC1.6
Pemeliharaan Jarak Jauh
3.4 Penilaian, otorisasi dan pemantauan (CA-8, CA-9); 3.19 Sistem
dan perlindungan komunikasi (SC-10)
6.1, Agustus 2016 CSC 3: Konfigurasi Aman untuk Perangkat Keras dan Perangkat Lunak di Seluler
Perangkat, Laptop, Workstation, dan Server; CSC 7: Email dan Web
Perlindungan Browser
DSS05.04 Mengelola identitas pengguna dan akses logis. Sebuah. Waktu rata-rata antara perubahan dan pembaruan akun
Memastikan bahwa semua pengguna memiliki hak akses informasi yang sesuai dengan b. Jumlah akun (vs. jumlah pengguna / staf yang berwenang)
persyaratan bisnis. Berkoordinasi dengan unit bisnis yang mengelolanya c. Jumlah insiden yang berkaitan dengan akses tidak sah ke informasi
memiliki hak akses dalam proses bisnis.
1. Menjaga hak akses pengguna sesuai dengan fungsi bisnis, persyaratan proses, dan kebijakan keamanan. Sejajarkan 2
pengelolaan identitas dan hak akses ke peran dan tanggung jawab yang ditentukan, berdasarkan hak istimewa paling rendah, kebutuhan untuk memiliki dan
prinsip yang perlu diketahui.
2. Mengelola semua perubahan pada hak akses (pembuatan, modifikasi dan penghapusan) secara tepat waktu hanya berdasarkan persetujuan dan 3
transaksi terdokumentasi yang disahkan oleh individu manajemen yang ditunjuk.
3. Pisahkan, kurangi hingga jumlah minimum yang diperlukan dan secara aktif mengelola akun pengguna dengan hak istimewa. Pastikan pemantauan di semua
aktivitas di akun ini. Kirim, Layanan, dan Dukungan
4. Secara unik mengidentifikasi semua aktivitas pemrosesan informasi berdasarkan peran fungsional. Berkoordinasi dengan unit bisnis untuk memastikan bahwa semua peran
didefinisikan secara konsisten, termasuk peran yang ditentukan oleh bisnis itu sendiri dalam aplikasi proses bisnis.
5. Mengautentikasi semua akses ke aset informasi berdasarkan peran individu atau aturan bisnis. Berkoordinasi dengan unit bisnis
yang mengelola otentikasi dalam aplikasi yang digunakan dalam proses bisnis untuk memastikan bahwa kontrol otentikasi telah dilakukan
dikelola dengan benar.
6. Memastikan bahwa semua pengguna (internal, eksternal dan sementara) dan aktivitas mereka pada sistem TI (aplikasi bisnis, infrastruktur TI,
operasi sistem, pengembangan dan pemeliharaan) dapat diidentifikasi secara unik.
7. Menjaga jejak audit akses ke informasi tergantung pada sensitivitas dan persyaratan peraturannya. 4
8. Lakukan tinjauan manajemen rutin semua akun dan hak istimewa terkait.
HITRUST CSF versi 9, September 2017 10.03 Kontrol Kriptografi
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 PM1.1 Siklus Hidup Kerja; Manajemen Akses SA1
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 7.3 Pemutusan hubungan kerja dan perubahan pekerjaan; 9. Kontrol akses
ITIL V3, 2011 Operasi Layanan, 4.5 Manajemen Akses

3.1 Kontrol akses (AC-11, AC-12); 3.11 Perlindungan media
(MP-2, MP-4, MP-7); 3.13 Perlindungan fisik dan lingkungan
(PE-2, PE-3, PE-6)
CSC 1: Inventaris Perangkat Resmi dan Tidak Resmi; CSC 2:
6.1, Agustus 2016
Inventaris Perangkat Lunak Resmi dan Tidak Resmi; CSC 5: Terkendali
Penggunaan Hak Istimewa Administratif; CSC 16: Pemantauan Akun dan
Kontrol
259
Halaman 260
DSS05.05 Mengelola akses fisik ke aset I&T.

Sebuah. Peringkat rata-rata untuk penilaian keamanan fisik
Tentukan dan terapkan prosedur (termasuk prosedur darurat)
b. Jumlah insiden terkait keamanan informasi fisik
untuk memberikan, membatasi dan mencabut akses ke tempat, bangunan dan area,
sesuai dengan kebutuhan bisnis. Akses ke gedung, gedung dan area
harus dibenarkan, diotorisasi, dicatat dan dipantau. Persyaratan ini
berlaku untuk semua orang yang memasuki lokasi, termasuk staf, sementara
staf, klien, vendor, pengunjung, atau pihak ketiga lainnya.
1. Catat dan pantau semua titik masuk ke situs TI. Daftarkan semua pengunjung, termasuk kontraktor dan vendor, ke situs. 2
2. Pastikan semua personel menampilkan identifikasi yang disetujui dengan benar setiap saat.
3. Mengharuskan pengunjung untuk didampingi setiap saat saat berada di lokasi.
4. Batasi dan pantau akses ke situs TI yang sensitif dengan menetapkan batasan perimeter, seperti pagar, dinding, dan
keamanan perangkat di pintu interior dan eksterior.
5. Kelola permintaan untuk mengizinkan akses resmi yang sesuai ke fasilitas komputasi. 3
6. Pastikan profil akses tetap terkini. Akses dasar ke situs IT (ruang server, gedung, area atau zona) pada fungsi
pekerjaan dan tanggung jawab.
7. Lakukan pelatihan kesadaran keamanan informasi fisik secara teratur.
CMMI Cybermaturity Platform, 2018 AC.MA Kelola Akses; ID.DI Menentukan Dampak
HITRUST CSF versi 9, September 2017 01.01 Persyaratan Bisnis untuk Kontrol Akses; 01.02 Resmi
Akses ke Sistem Informasi; 02.0 Keamanan Sumber Daya Manusia
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 NC1.2 Manajemen Jaringan Fisik
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 11. Keamanan fisik dan lingkungan
DSS05.06 Mengelola dokumen sensitif dan perangkat keluaran.

Sebuah. Jumlah perangkat keluaran yang dicuri
Tetapkan pengamanan fisik yang sesuai, praktik akuntansi dan
manajemen inventaris terkait aset I&T sensitif, seperti khusus b. Persentase dokumen sensitif dan perangkat keluaran yang diidentifikasi
dalam persediaan
formulir, instrumen yang dapat dinegosiasikan, printer tujuan khusus atau token keamanan.
1. Tetapkan prosedur untuk mengatur penerimaan, penggunaan, penghapusan dan pembuangan dokumen sensitif dan perangkat keluaran ke, dalam, 2
dan di luar perusahaan.
2. Pastikan kontrol kriptografi tersedia untuk melindungi informasi sensitif yang disimpan secara elektronik.
3. Tetapkan hak akses ke dokumen sensitif dan perangkat keluaran berdasarkan prinsip paling-hak istimewa, seimbangkan risiko dan 3
persyaratan bisnis.
4. Buat inventarisasi dokumen sensitif dan perangkat keluaran, dan lakukan rekonsiliasi secara teratur.
5. Tetapkan perlindungan fisik yang sesuai atas dokumen sensitif.
260
Halaman 261
BAB 4
CMMI Cybermaturity Platform, 2018 CM.Ph Monitor Fisik
HITRUST CSF versi 9, September 2017 01.06 Kontrol Akses Aplikasi & Informasi; 01.07 Ponsel
Komputasi & Teleworking; 08.0 Keamanan Fisik & Lingkungan; 10.03
Kontrol Kriptografi; 10.04 Keamanan File Sistem
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 IR2.3 Penilaian Dampak Bisnis - Persyaratan Kerahasiaan; IR2.4
Penilaian Dampak Bisnis - Persyaratan Integritas; IR2.5 Bisnis
Penilaian Dampak - Persyaratan Ketersediaan; IM2.2 Fisik Sensitif
Informasi; PA2.2 Enterprise Mobility Man
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 10. Kriptografi

800-53, Revisi 5 (Draf), Agustus 2017 3.1 Kontrol akses (AC-2, AC-3, AC-4, AC-5, AC-6, AC-13, AC-24); 3.7
Identifikasi dan otentikasi (IA-2, IA-10, IA-11)
6.1, Agustus 2016 CSC 15: Kontrol Akses Nirkabel
DSS05.07 Mengelola kerentanan dan memantau infrastruktur untuk

Sebuah. Jumlah uji kerentanan yang dilakukan pada perangkat perimeter
acara terkait keamanan.
Menggunakan portofolio alat dan teknologi (misalnya, deteksi intrusi b. Jumlah kerentanan yang ditemukan selama pengujian
alat), mengelola kerentanan dan memantau infrastruktur c. Waktu yang dibutuhkan untuk memulihkan kerentanan apa pun
akses yang tidak sah. Pastikan bahwa alat keamanan, teknologi dan d. Persentase tiket yang dibuat tepat waktu saat pemantauan
Deteksi terintegrasi dengan pemantauan dan insiden kejadian umum sistem mengidentifikasi potensi insiden keamanan
pengelolaan.
1. Secara terus-menerus menggunakan portofolio teknologi, layanan, dan aset yang didukung (misalnya, pemindai kerentanan, fuzzers dan sniffer, 2
penganalisis protokol) untuk mengidentifikasi kerentanan keamanan informasi.
2. Tentukan dan komunikasikan skenario risiko, sehingga dapat dengan mudah dikenali, dan kemungkinan serta dampaknya dipahami.
3. Tinjau log peristiwa secara teratur untuk mengetahui potensi insiden.
4. Pastikan bahwa tiket insiden terkait keamanan dibuat tepat waktu saat pemantauan mengidentifikasi potensi insiden.
5. Catat peristiwa terkait keamanan dan simpan catatan untuk periode yang sesuai. 3
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 IR2.6 Profil Ancaman

3.7 Identifikasi dan otentikasi (IA-3); 3.11 Perlindungan media
(MP-1); 3.13 Perlindungan fisik dan lingkungan (PE-5);
3.19 Perlindungan sistem dan komunikasi (SC-15)
Pemeliharaan, Pemantauan, dan Analisis Log Audit
6.1, Agustus 2016
261
Halaman 262

fficer wners
perationffsicer
HAI
KepKaleapPIanrlafoosKPremesetpBuaPasgielsianOgiKSsKeueOmempaMbabmlaeanarnPbgnaDarjignaeviyraKIasKneiMfepTOoaaraImlmnauaanssiiaan Informasi
DSS05.01 Melindungi dari perangkat lunak berbahaya. ARRRRR
DSS05.02 Mengelola keamanan jaringan dan konektivitas. SEBUAH RRR
DSS05.03 Mengelola keamanan titik akhir. SEBUAH RRR
DSS05.04 Mengelola identitas pengguna dan akses logis. AR RRR
DSS05.05 Mengelola akses fisik ke aset I&T. SEBUAH RRR
DSS05.06 Mengelola dokumen sensitif dan perangkat keluaran. SEBUAH R R
DSS05.07 Mengelola kerentanan dan memantau infrastruktur untuk kejadian terkait keamanan. SEBUAH RRR
DSS05.01 Melindungi dari perangkat lunak berbahaya. Dari Deskripsi Deskripsi Untuk
Perangkat lunak berbahaya APO01.02

kebijakan pencegahan
Evaluasi potensi APO12.02;
ancaman APO12.03
DSS05.02 Mengelola keamanan jaringan dan konektivitas. APO01.07 Klasifikasi data Keamanan konektivitas APO01.02
Bangun, Dapatkan, dan Terapkan pedoman kebijakan

APO09.03 SLA Hasil penetrasi MEA04.07
tes
DSS05.03 Mengelola keamanan titik akhir. APO03.02 Arsitektur informasi
Kebijakan keamanan untuk APO01.02
model
perangkat titik akhir
APO09.03 • SLA
• OLA
BAI09.01 Hasil fisik

DSS06.06 Laporan pelanggaran
DSS05.04 Mengelola identitas pengguna dan akses logis. APO01.05 Definisi terkait I & T
Hasil tinjauan Intern
peran dan tanggung jawab
akun pengguna dan
hak istimewa
APO03.02 Arsitektur informasi
Akses pengguna yang disetujui Intern
model
hak
262
Halaman 263
BAB 4

DSS05.05 Mengelola akses fisik ke aset I&T. Dari Deskripsi Deskripsi Untuk
Akses log DSS06.03,

MEA04.07
Akses disetujui
Intern
permintaan
DSS05.06 Mengelola dokumen dan keluaran sensitif
APO03.02 Arsitektur informasi Hak akses Intern
perangkat. model
Inventaris sensitif Intern
dokumen dan perangkat
DSS05.07 Mengelola kerentanan dan memantau
Tiket insiden keamanan DSS02.02
infrastruktur untuk acara terkait keamanan.
Insiden keamanan
karakteristik Intern
Referensi Terperinci
Log peristiwa keamanan Intern
Informasi keamanan Kerangka Keterampilan untuk Era Informasi V6, 2015 SCTY Kirim, Layanan, dan Dukungan
Manajemen keamanan informasi e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
E. Kelola— E.8. Informasi
Manajemen keamanan
Pengujian penetrasi Kerangka Keterampilan untuk Era Informasi V6, 2015 TERPENDAM
Administrasi keamanan Kerangka Keterampilan untuk Era Informasi V6, 2015 JUMLAH BESAR
Kebijakan keamanan informasi Menetapkan pedoman untuk melindungi

informasi perusahaan dan
sistem terkait dan
infrastruktur.
Ciptakan budaya kesadaran tentang tanggung jawab pengguna untuk memelihara

1) HITRUST CSF versi 9, (1) 01.03 Tanggung Jawab Pengguna;
praktik keamanan dan privasi.
September 2017; (2) ISF, The (2) PM2.1 Kesadaran Keamanan
Standar Praktik yang Baik untuk Program
Keamanan Informasi 2016
• Layanan direktori
• Sistem pemfilteran email
• Identitas dan sistem manajemen akses
• Layanan kesadaran keamanan
• Alat informasi keamanan dan manajemen acara (SIEM)
• Layanan pusat operasi keamanan (SOC)
• Layanan penilaian keamanan pihak ketiga
• Sistem pemfilteran URL
263
Halaman 264

264
Halaman 265
BAB 4

Tujuan Manajemen: DSS06 - Kontrol Proses Bisnis Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Tentukan dan pertahankan kontrol proses bisnis yang tepat untuk memastikan bahwa informasi terkait dan diproses oleh in-house atau outsourcing
proses bisnis memenuhi semua persyaratan pengendalian informasi yang relevan. Identifikasi persyaratan pengendalian informasi yang relevan. Kelola dan
mengoperasikan kontrol input, throughput dan output yang memadai (kontrol aplikasi) untuk memastikan bahwa informasi dan pemrosesan informasi memenuhi ini
Persyaratan.
Tujuan
Menjaga integritas informasi dan keamanan aset informasi yang ditangani dalam proses bisnis di perusahaan atau operasi yang dialihdayakan.
Tujuan Perusahaan
AG08 Mengaktifkan dan mendukung proses bisnis dengan mengintegrasikan

AG08 a. Waktu untuk menjalankan layanan atau proses bisnis
b. Persentase produk dan layanan yang memenuhi atau melebihi b. Jumlah program bisnis yang mendukung I & T tertunda atau
target kepuasan pelanggan menimbulkan biaya tambahan karena masalah integrasi teknologi
c. Jumlah perubahan proses bisnis yang perlu ditunda
keuntungan atau dikerjakan ulang karena masalah integrasi teknologi
d. Saatnya memasarkan produk dan layanan baru d. Jumlah aplikasi atau infrastruktur penting yang beroperasi
EG05 a. Jumlah gangguan layanan pelanggan
b. Persentase pemangku kepentingan bisnis yang memuaskan pelanggan itu Kirim, Layanan, dan Dukungan
pemberian layanan memenuhi tingkat yang disepakati
c. Jumlah keluhan pelanggan

kemampuan
kemampuan
A. Komponen: Proses
DSS06.01 Menyelaraskan aktivitas pengendalian yang tertanam dalam proses bisnisSedbeunagha.nPersen dari inventaris yang diselesaikan dari proses kritis dan pengendalian kunci
tujuan perusahaan. b. Persentase kontrol pemrosesan yang selaras dengan kebutuhan bisnis
Secara terus menerus menilai dan memantau pelaksanaan proses bisnis
kegiatan dan pengendalian terkait (berdasarkan risiko perusahaan), untuk memastikannya
kontrol pemrosesan selaras dengan kebutuhan bisnis.
265
Halaman 266
1. Mengidentifikasi dan mendokumentasikan kegiatan pengendalian yang diperlukan untuk proses bisnis utama untuk memenuhi persyaratan pengendalian strategis,2
tujuan operasional, pelaporan dan kepatuhan.
2. Mengutamakan aktivitas pengendalian berdasarkan risiko yang melekat pada bisnis. Identifikasi kontrol kunci.
3. Pastikan kepemilikan aktivitas pengendalian kunci.
4. Menerapkan kendali otomatis. 3
5. Secara terus menerus memonitor aktivitas pengendalian secara end-to-end untuk mengidentifikasi peluang perbaikan. 4
6. Terus meningkatkan desain dan pengoperasian kontrol proses bisnis. 5

3.1 Persiapan (Tugas 10, 11)
800-37, Revisi 2 (Draf), Mei 2018
6.1, Agustus 2016 CSC 14: Akses Terkendali Berdasarkan Kebutuhan untuk Diketahui
DSS06.02 Mengontrol pemrosesan informasi.

Sebuah. Jumlah insiden dan temuan laporan audit yang menunjukkan kegagalan
Mengoperasikan pelaksanaan kegiatan proses bisnis dan terkait
kontrol kunci
kontrol, berdasarkan risiko perusahaan. Pastikan bahwa pemrosesan informasi
b. Persentase cakupan pengendalian kunci dalam rencana pengujian
valid, lengkap, akurat, tepat waktu dan aman (yaitu, mencerminkan sah dan
penggunaan bisnis resmi).
1. Otentikasi pencetus transaksi dan verifikasi bahwa individu memiliki kewenangan untuk memulai transaksi. 2
2. Memastikan pemisahan tugas yang memadai terkait awal dan persetujuan transaksi.
3. Verifikasi bahwa transaksi akurat, lengkap dan valid. Kontrol dapat mencakup urutan, batas, rentang, validitas, kewajaran, 3
pencarian tabel, keberadaan, verifikasi kunci, digit pemeriksa, kelengkapan, pemeriksaan hubungan duplikat dan logis, dan pengeditan waktu.
Kriteria dan parameter validasi harus tunduk pada tinjauan dan konfirmasi berkala. Validasi input data dan edit atau,
jika memungkinkan, kirim kembali untuk koreksi sedekat mungkin dengan titik asal.
4. Tanpa mengorbankan tingkat otorisasi transaksi asli, perbaiki dan kirim ulang data yang salah masukan. Dimana
sesuai untuk rekonstruksi, simpan dokumen sumber asli untuk jangka waktu yang sesuai.
5. Menjaga integritas dan validitas data selama siklus pemrosesan. Pastikan deteksi transaksi yang salah
tidak mengganggu pemrosesan transaksi yang valid.
Bangun6,. DTaanpgaantki kaenlu, adraanndTenegraanpckaraanyang sah, kirimkan ke penerima yang sesuai dan lindungi informasi selama transmisi.
Verifikasi akurasi dan kelengkapan output.
7. Menjaga integritas data selama gangguan tak terduga dalam pemrosesan bisnis. Konfirmasikan integritas data setelah diproses
kegagalan.
8. Sebelum menyampaikan data transaksi antara aplikasi internal dan fungsi bisnis / operasional (di dalam atau di luar
perusahaan), memeriksa pengalamatan yang tepat, keaslian asal dan integritas konten. Pertahankan keaslian dan integritas
selama transmisi atau transportasi.
HITRUST CSF versi 9, September 2017 13.01 Keterbukaan dan Transparansi; 13.02 Pilihan Individu dan
Partisipasi
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 BA1.4 Validasi Informasi
266
Halaman 267
BAB 4
DSS06.03 Mengelola peran, tanggung jawab, hak akses dan level

Sebuah. Jumlah insiden dan temuan audit karena akses atau pemisahan-
otoritas.
pelanggaran tugas
Kelola peran bisnis, tanggung jawab, tingkat otoritas dan
b. Persentase peran proses bisnis dengan hak akses yang ditetapkan dan
pemisahan tugas yang diperlukan untuk mendukung proses bisnis
tingkat otoritas
tujuan. Izinkan akses ke semua aset informasi yang terkait dengan
c. Persentase peran proses bisnis dengan pemisahan tugas yang jelas
proses informasi bisnis, termasuk yang berada di bawah pengawasan
bisnis, TI, dan pihak ketiga. Ini memastikan bahwa bisnis tersebut tahu
lokasi data dan siapa yang menangani data atas namanya.
1. Mengalokasikan peran dan tanggung jawab berdasarkan uraian tugas dan aktivitas proses bisnis yang disetujui. 2
2. Mengalokasikan tingkat otoritas untuk persetujuan transaksi, batasan transaksi dan keputusan lain yang berkaitan dengan bisnis
proses, berdasarkan peran pekerjaan yang disetujui.
3. Mengalokasikan peran untuk aktivitas sensitif sehingga ada pemisahan tugas yang jelas.
4. Alokasikan hak akses dan keistimewaan berdasarkan jumlah minimum yang diperlukan untuk melakukan aktivitas pekerjaan, berdasarkan pekerjaan yang telah di3tentukan
sebelumnya peran. Hapus atau revisi hak akses segera jika peran pekerjaan berubah atau anggota staf meninggalkan area proses bisnis.
Tinjau secara berkala untuk memastikan bahwa akses tersebut sesuai dengan ancaman, risiko, teknologi, dan kebutuhan bisnis saat ini.
5. Secara teratur, berikan penyadaran dan pelatihan tentang peran dan tanggung jawab sehingga semua orang mengerti
tanggung jawab; pentingnya kontrol; dan keamanan, integritas, kerahasiaan, dan privasi informasi perusahaan di semua
bentuknya.
6. Pastikan hak istimewa administratif cukup dan efektif diamankan, dilacak dan dikendalikan untuk mencegah penyalahgunaan.
7. Tinjau definisi kontrol akses, log, dan laporan pengecualian secara berkala. Pastikan bahwa semua hak akses valid dan
4
selaras dengan anggota staf saat ini dan peran mereka yang dialokasikan.
Panduan Terkait (Standar, Kerangka Kerja, Persyaratan Kepatuhan) Referensi Terperinci Kirim, Layanan, dan Dukungan
HITRUST CSF versi 9, September 2017 13.04 Pengumpulan, Penggunaan dan Pengungkapan
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 7. Keamanan sumber daya manusia
6.1, Agustus 2016 CSC 5: Penggunaan Hak Istimewa Administratif yang Terkendali
DSS06.04 Mengelola kesalahan dan pengecualian.

Sebuah. Frekuensi inefisiensi pemrosesan karena entri data yang tidak lengkap
Kelola pengecualian dan kesalahan proses bisnis dan fasilitasi
b. Jumlah kesalahan yang terdeteksi secara tepat waktu
remediasi, melaksanakan tindakan korektif yang ditentukan dan meningkatkannya sebagaci. Jumlah kesalahan pemrosesan data yang diperbaiki secara efisien
perlu. Perlakuan pengecualian dan kesalahan ini memberikan jaminan
akurasi dan integritas proses informasi bisnis.
1. Tinjau kesalahan, pengecualian, dan penyimpangan. 2
2. Menindaklanjuti, mengoreksi, menyetujui, dan mengirimkan kembali dokumen dan transaksi sumber.
3. Menjaga bukti tindakan perbaikan.
4. Tentukan dan pertahankan prosedur untuk menetapkan kepemilikan atas kesalahan dan pengecualian, mengoreksi kesalahan, menimpa kesalahan dan menangani-3
kondisi keseimbangan.
5. Laporkan kesalahan proses informasi bisnis yang relevan secara tepat waktu untuk melakukan akar penyebab dan analisis tren. 4
267
Halaman 268
DSS06.05 Memastikan keterlacakan dan akuntabilitas untuk peristiwa informasi. Sebuah. Jumlah insiden di mana riwayat transaksi tidak dapat dipulihkan
Pastikan bahwa informasi bisnis dapat dilacak ke asalnya b. Persentase kelengkapan log transaksi yang dapat dilacak
acara bisnis dan terkait dengan pihak yang bertanggung jawab. Ini
kemampuan untuk dapat ditemukan memberikan jaminan bahwa informasi bisnis dapat diandalkan
dan telah diproses sesuai dengan tujuan yang ditetapkan.
1. Menangkap informasi sumber, bukti pendukung dan catatan transaksi. 2

2. Tetapkan persyaratan retensi, berdasarkan persyaratan bisnis, untuk memenuhi kebutuhan operasional, pelaporan keuangan, dan kepatuhan. 3
3. Buang informasi sumber, bukti pendukung dan catatan transaksi sesuai dengan kebijakan retensi.
DSS06.06 Mengamankan aset informasi.

Sebuah. Kasus data transaksi sensitif dikirim ke penerima yang salah
Amankan aset informasi yang dapat diakses oleh bisnis melalui disetujui
b. Frekuensi integritas data penting yang dikompromikan
metode, termasuk informasi dalam bentuk elektronik (misalnya, media portabel
perangkat, aplikasi pengguna dan perangkat penyimpanan, atau metode lain
yang menciptakan aset baru dalam bentuk apapun), informasi dalam bentuk fisik
(misalnya, dokumen sumber atau laporan keluaran) dan informasi selama
transit. Ini menguntungkan bisnis dengan menyediakan pengamanan ujung ke ujung
informasi.
1. Batasi penggunaan, distribusi dan akses fisik informasi sesuai dengan klasifikasinya. 2
2. Memberikan kesadaran dan pelatihan penggunaan yang dapat diterima.
3. Menerapkan klasifikasi data dan penggunaan yang dapat diterima serta kebijakan dan prosedur keamanan untuk melindungi aset informasi di bawah 3
kendali bisnis.
4. Mengidentifikasi dan menerapkan proses, alat, dan teknik untuk memverifikasi kepatuhan secara wajar.
5. Melaporkan kepada bisnis dan pemangku kepentingan lainnya tentang pelanggaran dan penyimpangan. 4
CMMI Cybermaturity Platform, 2018 AC.MP Kelola Izin Akses

Kontrol Keamanan Kritis CIS untuk Versi Pertahanan Siber yang Efektif CSC 18: Keamanan Perangkat Lunak Aplikasi
6.1, Agustus 2016
268
Halaman 269
BAB 4
fficer wners
Dewan Tata Kelola

KomKiteepSaEAlkaYsKIeAnkefuTpoPtarirmlfaoasFPesueistnOBuMggissaainsnMiMsKaajOaennaPraamePjjneeaemarlnasaKeeynhaeanaDItnmaafhntaouanrkmaunamsIinformasi
DSS06.01 Menyelaraskan aktivitas pengendalian yang tertanam dalam proses bisnis dengan tujuan perusahaan. R SEBUARH
DSS06.02 Mengontrol pemrosesan informasi. RARRR R
DSS06.03 Mengelola peran, tanggung jawab, hak akses dan tingkat otoritas. RARR R
DSS06.04 Mengelola kesalahan dan pengecualian. R RA R
DSS06.05 Memastikan keterlacakan dan akuntabilitas untuk peristiwa informasi. R RA
DSS06.06 Mengamankan aset informasi. R RA

C.Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) Kirim, Layanan, dan Dukungan
DSS06.01 Menyelaraskan aktivitas pengendalian yang tertanam dalam bDisanrisi Deskripsi Deskripsi Untuk
proses dengan tujuan perusahaan.
APO01.07 • Klasifikasi data Analisis akar penyebab dan BAI06.01;
pedoman rekomendasi MEA02.04;
• Integritas data MEA04.04;
Prosedur MEA04.06;
MEA04.07
Hasil pengolahan MEA02.04
DSS06.02 Mengontrol pemrosesan informasi. BAI05.05 Rencana operasi dan penggunaanKontrol pemrosesan Intern
laporan
BAI07.02 Rencana migrasi
DSS06.03 Mengelola peran, tanggung jawab, akses APO11.01 Manajemen mutu Tingkat yang dialokasikan dari APO01.05
hak istimewa dan tingkat otoritas. peran sistem (QMS), wewenang
tanggung jawab dan
hak keputusan
Peran yang dialokasikan dan APO01.05
sistem manajemen
tanggung jawab
Pernyataan ruang lingkup (ISMS)
DSS05.05 Akses log Hak akses yang dialokasikan APO07.04
EDM04.02 Tanggung jawab yang ditetapkan

untuk manajemen sumber daya
269
Halaman 270
C. Komponen: Arus Informasi dan Item (lihat juga Bagian 3.6) (lanjutan)
DSS06.04 Mengelola kesalahan dan pengecualian. Dari Deskripsi Deskripsi Untuk
Laporan kesalahan dan root

Intern
analisis penyebab
Bukti kesalahan
koreksi dan MEA02.04
remediasi
DSS06.05 Memastikan keterlacakan dan akuntabilitas

acara informasi. Rekam transaksi Intern
Persyaratan retensi Intern;

APO14.09
DSS06.06 Mengamankan aset informasi. Laporan pelanggaran DSS05.03

3.1 Persiapan (Tugas 10, 11): Input dan Output
Administrasi keamanan Kerangka Keterampilan untuk Era Informasi V6, 2015 JUMLAH BESAR
Panduan kontrol bisnis Mendefinisikan kontrol proses bisnis

untuk memastikan kontrol yang tepat dan
mengurangi risiko penipuan dan kesalahan.
Mengidentifikasi kontrol manual untuk
melindungi dokumen (misalnya, sumber,
masukan, pemrosesan dan keluaran
dokumen); mengidentifikasi pengawasan
kontrol untuk meninjau aliran
dokumen dan pastikan benar
Bangun, Dapatkan, dan Terapkan pengolahan. Termasuk I&T general
kontrol (misalnya, keamanan fisik,
akses dan otentikasi,
d
a
n
m
a
n
a
j
e
m
e
n
p
e
r
u
b
a
h
a
n
)
d
a
n
k
o
n
t
r
o
l
a
p
l
i
k
a
s
i
(
m
i
s
a
l
n
y
a
,
e
d
i
t
m
e
m
e
r
i
k
s
a
,
k
o
n
f
i
g
u
r
a
s
i
s
i
s
t
e
m
d
a
n
pengaturan keamanan).
Ciptakan budaya yang mencakup kebutuhan akan kontrol suara dalam bisnis
proses, membangunnya menjadi aplikasi dalam pengembangan atau membutuhkan
mereka dalam aplikasi yang dibeli atau diakses sebagai layanan. Dorong semua
karyawan memiliki kesadaran kontrol untuk melindungi semua aset
organisasi (misalnya, catatan kertas dan fasilitas).
• Kontrol aplikasi otomatis

• Alat audit log peristiwa
270
Halaman 271
BAB 4
4.5 Memantau, Mengevaluasi dan Menilai (MEA)

01 Kinerja Terkelola dan Pemantauan Kesesuaian
02 Sistem Pengendalian Internal yang Dikelola
03 Kepatuhan Dikelola Dengan Persyaratan Eksternal
04 Jaminan Terkelola
Pantau, Evaluasi, dan Nilai

271
Halaman 272
272
Halaman 273
BAB 4
Domain: Pantau, Evaluasi, dan Nilai
Tujuan Manajemen: MEA01 - Kinerja Terkelola dan Pemantauan Kesesuaian Area Fokus: Model Inti COBIT
Deskripsi
Kumpulkan, validasi, dan evaluasi perusahaan serta tujuan dan metrik penyelarasan. Pantau bahwa proses dan praktik berjalan sesuai kesepakatan
kinerja dan kesesuaian tujuan dan metrik. Memberikan pelaporan yang sistematis dan tepat waktu.
Tujuan
Memberikan transparansi kinerja dan kesesuaian serta mendorong pencapaian tujuan.
Tujuan Perusahaan

• AG10 Kualitas informasi manajemen I&T

pengiriman

transparansi, pemahaman dan akurasi perusahaan AG10 a. Tingkat kepuasan pengguna dengan kualitas, ketepatan waktu dan
b. Biaya ketidakpatuhan terhadap peraturan terkait keuangan memperhitungkan sumber daya yang tersedia
EG07 a. Tingkat kepuasan dewan direksi dan manajemen eksekutif informasi terkait I & T yang salah atau tidak tersedia adalah a
dengan informasi pengambilan keputusan faktor utama
keputusan

kemampuan
kemampuan
A. Komponen: Proses
MEA01.01 Menetapkan pendekatan pemantauan.

Sebuah. Persentase proses dengan tujuan dan metrik yang ditentukan
Libatkan pemangku kepentingan untuk membangun dan memelihara pemantauan
b. Persentase integrasi pendekatan pemantauan dalam perusahaan
pendekatan untuk menentukan tujuan, ruang lingkup dan metode pengukuran
sistem manajemen kinerja
solusi bisnis dan penyampaian layanan dan kontribusi untuk perusahaan
tujuan. Integrasikan pendekatan ini dengan kinerja perusahaan
sistem manajemen.
273
Halaman 274
1. Identifikasi pemangku kepentingan (misalnya, manajemen, pemilik proses dan pengguna). 2
2. Terlibat dengan pemangku kepentingan dan mengkomunikasikan persyaratan dan tujuan perusahaan untuk pemantauan, agregasi dan
pelaporan, menggunakan definisi umum (misalnya, glosarium bisnis, metadata dan taksonomi), baseline dan benchmarking.
3. Sejajarkan dan pertahankan secara berkelanjutan pendekatan pemantauan dan evaluasi dengan pendekatan perusahaan dan alat yang akan digunakan
untuk pengumpulan data dan pelaporan perusahaan (misalnya, aplikasi intelijen bisnis).
4. Setuju pada jenis tujuan dan metrik (misalnya, kesesuaian, kinerja, nilai, risiko), taksonomi (klasifikasi dan
hubungan antara tujuan dan metrik) dan retensi data (bukti).
5. Meminta, memprioritaskan dan mengalokasikan sumber daya untuk memantau, mempertimbangkan kesesuaian, efisiensi, efektivitas, dan kerahasiaan.
6. Secara berkala memvalidasi pendekatan yang digunakan dan mengidentifikasi pemangku kepentingan baru atau yang berubah, persyaratan dan sumber daya. 3
7. Menyetujui manajemen siklus hidup dan proses pengendalian perubahan untuk pemantauan dan pelaporan. Sertakan peluang peningkatan
untuk pelaporan, metrik, pendekatan, garis dasar, dan pembandingan.
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung - Pengukuran dan Analisis
SF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Kinerja Keamanan SI2
ISO / IEC 27001: 2013 / Kor.2: 2015 (E) 9.1 Pemantauan, pengukuran, analisis dan evaluasi
ISO / IEC 27004: 2016 (E) 6. Karakteristik; 7. Jenis tindakan; 8. Proses
ISO / IEC 38500: 2015 (E) 5.5 Prinsip 4: Kinerja; 5.6 Prinsip 5: Kesesuaian

3.1 Persiapan (Tugas 13); 3.3 Seleksi (Tugas 2); 3.7 Pemantauan (Tugas 1)
800-37, Revisi 2 (Draf), Mei 2018
800-53, Revisi 5 (Draf), Agustus 2017 3.4 Penilaian, otorisasi dan pemantauan (CA-2, CA-7); 3.20 Sistem
dan integritas informasi (SI-4)
MEA01.02 Tetapkan target kinerja dan kesesuaian. Sebuah. Persentase tujuan dan metrik yang disetujui oleh pemangku kepentingan
Bekerja dengan pemangku kepentingan untuk menentukan, meninjau, memperbarui, dan bs.ecPaerrasebnetraksaelaproses dengan efektivitas tujuan dan metrik yang ditinjau
menyetujui kinerja dan target kesesuaian dalam kinerja dan ditingkatkan
sistem pengukuran.
1. Tentukan tujuan dan metrik. Tinjau secara berkala dengan pemangku kepentingan untuk mengidentifikasi item penting yang hilang dan menentukannya 2
kewajaran target dan toleransi.
2. Mengevaluasi apakah tujuan dan metrik sudah memadai, yaitu spesifik, terukur, dapat dicapai, relevan, dan terikat waktu (SMART).
3. Mengkomunikasikan perubahan yang diusulkan untuk kinerja dan kesesuaian target dan toleransi (terkait dengan metrik) dengan ketepatan kunci
pemangku kepentingan ketekunan (misalnya, hukum, audit, SDM, etika, kepatuhan, keuangan).
4. Publikasikan target dan toleransi yang diubah kepada pengguna informasi ini.
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung - Manajemen Proses
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.4 Penilaian, otorisasi dan pemantauan (CA-5)
800-53, Revisionv5 (Draft), Agustus 2017
MEA01.03 Mengumpulkan dan memproses data kinerja dan kesesuaian.

Sebuah. Persentase proses kritis yang dipantau
Pantau,KEumvapluulkaasni,ddananproNseilsadiata tepat waktu dan akurat yang b. Persentase lingkungan kontrol yang dipantau, diukur, dan
selaras dengan perusahaan pendekatan.
ditingkatkan untuk memenuhi tujuan organisasi
274
Halaman 275
BAB 4
1. Kumpulkan data dari proses yang ditentukan (otomatis, jika memungkinkan). 2
2. Menilai efisiensi (upaya dalam kaitannya dengan wawasan yang diberikan) dan kesesuaian (kegunaan dan makna) dari data yang dikumpulkan dan
memvalidasi integritas data (akurasi dan kelengkapan).
3. Mengumpulkan data untuk mendukung pengukuran metrik yang disepakati.
4. Menyelaraskan data gabungan dengan pendekatan dan tujuan pelaporan perusahaan. 3
5. Gunakan alat dan sistem yang sesuai untuk pemrosesan dan analisis data. 4

3.20 Integritas sistem dan informasi (SI-2)
MEA01.04 Menganalisis dan melaporkan kinerja.

Sebuah. Persentase tujuan dan metrik yang selaras dengan sistem pemantauan perusahaan
Tinjau dan laporkan kinerja secara berkala terhadap target. Gunakan
b. Persentase laporan kinerja yang dikirim sesuai jadwal
metode yang memberikan tampilan ringkas tentang kinerja I&T dan
cocok dengan sistem pemantauan perusahaan. c. Persentase proses dengan target pertemuan keluaran yang terjamin di dalamnya
toleransi
1. Merancang laporan kinerja proses yang ringkas, mudah dipahami, dan disesuaikan dengan berbagai kebutuhan dan manajemen 3
audiens. Memfasilitasi pengambilan keputusan yang efektif dan tepat waktu (misalnya, kartu skor, laporan lampu lalu lintas). Pastikan sebab dan akibatnya
antara tujuan dan metrik dikomunikasikan dengan cara yang dapat dimengerti.
2. Mendistribusikan laporan kepada pemangku kepentingan terkait.
3. Menganalisis penyebab penyimpangan terhadap target, memulai tindakan perbaikan, menetapkan tanggung jawab untuk perbaikan, dan mengikuti 4
naik. Pada waktu yang tepat, tinjau semua penyimpangan dan cari akar penyebabnya, jika perlu. Dokumentasikan masalah lebih lanjut
panduan jika masalah berulang. Hasil dokumen.
4. Jika memungkinkan, integrasikan kinerja dan kepatuhan ke dalam tujuan dan tautan kinerja masing-masing anggota staf
pencapaian target kinerja untuk sistem kompensasi penghargaan organisasi.
5. Bandingkan nilai kinerja dengan target dan tolok ukur internal dan, jika memungkinkan, dengan tolok ukur eksternal (industri
dan pesaing utama).
6. Menganalisis tren kinerja dan kepatuhan dan mengambil tindakan yang sesuai.
7. Merekomendasikan perubahan pada tujuan dan metrik, jika sesuai. 5
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung - Pengukuran dan Analisis

800-53, Revisi 5 (Draf), Agustus 2017 3.3 Audit dan akuntabilitas (AU-6)
MEA01.05 Memastikan penerapan tindakan korektif. Sebuah. Jumlah anomali berulang

Membantu pemangku kepentingan dalam mengidentifikasi, memulai, dan melacak perbaibk.aJnumlah tindakan korektif yang diterapkan
tindakan untuk mengatasi anomali.
1. Tinjau tanggapan, pilihan, dan rekomendasi manajemen untuk menangani masalah dan penyimpangan utama. 2
2. Pastikan bahwa penugasan tanggung jawab untuk tindakan korektif dipertahankan.
3. Melacak hasil tindakan yang dilakukan.
4. Laporkan hasilnya kepada pemangku kepentingan.
ITIL V3, 2011 Peningkatan Layanan Berkelanjutan, 4.1 Proses Peningkatan 7 Langkah

3.7 Pemantauan (Tugas 3)
800-37, Revisi 2 (Draf), Mei 2018
800-53, Revisi 5 (Draf), Agustus 2017 3.3 Audit dan akuntabilitas (AU-5)
275
Halaman 276
fficer wners
fficer fficer
perations
HAI
Dewan Tata Kelola

KomKiteepKaElekapsKEeaklkeaupsKeBtaiklfaeaugptSOiaiafAlpnaOYePKIrAnraefosTuoisMareOmnsagBnaPasainesijneOgiKrseHeOmpuMbablaaunnbgagajagneniraKPneepTlaIylaanan
MEA01.01 Menetapkan pendekatan pemantauan. RARRRR
MEA01.02 Tetapkan target kinerja dan kesesuaian. SEBUAH RRRRR

MEA01.03 Mengumpulkan dan memproses data kinerja dan kesesuaian.
SEBUARHRRRR
MEA01.04 Menganalisis dan melaporkan kinerja. SEBUARHRRRR
MEA01.05 Memastikan penerapan tindakan korektif. SEBUARHRRRR
MEA01.01 Menetapkan pendekatan pemantauan. Dari Deskripsi Deskripsi Untuk
EDM05.01 • Evaluasi usaha

persyaratan pelaporan Pemantauan yang disetujui Intern
tujuan dan metrik
• Pelaporan dan p
komunikasi e
prinsip l
a
EDM05.02 Aturan untuk memvalidasi dan
c
menyetujui wajib
a
laporan
k
EDM05.03 Penilaian pelaporan a
efektivitas n
p
MEA01.02 Tetapkan target kinerja dan kesesuaian. APO01.11 Sasaran kinerja dan
e
metrik untuk proses
rbaikan
Persyaratan pemantauan Internal
Memantau target Semua APO;

Semua BAI;
Semua DSS;
Semua MEA
276
Halaman 277
BAB 4
MEA01.03 Mengumpulkan dan memproses kinerja dan Dari Deskripsi Deskripsi Untuk
data kesesuaian.
APO01.11 Kemampuan memproses Pemantauan yang diproses Intern
penilaian data
APO05.03 Portofolio investasi
laporan kinerja
APO09.04 Tingkat layanan

laporan kinerja
APO10.05 Hasil dari
kepatuhan vendor
review pemantauan
BAI01.06 Hasil program

ulasan kinerja
BAI04.04 Ketersediaan, kinerja
dan pemantauan kapasitas
meninjau laporan
hasil
DSS01.05 Penilaian fasilitas
laporan
laporan tren
• Minta pemenuhan
status dan laporan tren
MEA01.04 Menganalisis dan melaporkan kinerja. Laporan kinerja Semua APO;
Semua BAI;
Semua DSS; Semua
MEA;
EDM01.03
MEA01.05 Memastikan penerapan korektif

tindakan. APO01.09 Perbaikan ketidakpatuhan Tindakan perbaikan dan Semua APO;
tindakan tugas Semua BAI;
Semua DSS;
Semua MEA
EDM05.02 Pedoman eskalasi Status dan hasil
EDM01.03
tindakan
Institut Nasional Standar dan Publikasi Khusus Teknologi 3.1 Persiapan (Tugas 13): Masukan dan Keluaran; 3.3 Seleksi (Tugas 2):
800-37, Revisi 2, September 2017 Masukan dan keluaran; 3.7 Pemantauan (Tugas 1, Tugas 3): Input dan Output
Tinjauan kesesuaian Kerangka Keterampilan untuk Era Informasi V6, 2015 INTI
Manajemen kualitas TIK e-Competence Framework (e-CF) - Kerangka kerja umum Eropa untuk TIK
E. Kelola — E.6. Kualitas TIK
Pengelolaan
Kualitas asuransi Kerangka Keterampilan untuk Era Informasi V6, 2015 QUAS
277
Halaman 278
Kebijakan penilaian diri Memberikan panduan untuk

tanggung jawab manajemen
dalam menilai operasi sebagai bagian
perbaikan berkelanjutan
program. Sering digunakan untuk reportase
secara internal kepada eksekutif atau dewan
kemampuan saat ini, kemajuan dan
perbaikan, berdasarkan bisnis
Persyaratan. Penilaian mungkin
digunakan selama atau setelah proses
program peningkatan (mis., ke
menilai kemajuan setelah menyelesaikan
perbaikan).
Kebijakan whistle-blower Mendorong karyawan untuk meningkatkan
kekhawatiran dan pertanyaan secara lengkap
kepercayaan. Menjamin karyawan
bahwa mereka akan menerima tanggapan
dan dapat meningkatkan kekhawatiran
jika mereka tidak puas dengan
tanggapan. Yakinkan karyawan itu
dilindungi saat mereka membesarkan
masalah dan tidak takut pembalasan.
Untuk mencapai tujuan organisasi dan mengoptimalkan kinerja, promosikan a

budaya peningkatan berkelanjutan dari bisnis dan proses I&T.
• Alat penilaian diri
278
Halaman 279
BAB 4

Tujuan Manajemen: MEA02 - Sistem Pengendalian Internal yang Dikelola Area Fokus: Model Inti COBIT
Deskripsi
Pantau dan evaluasi lingkungan pengendalian secara terus menerus, termasuk penilaian diri dan kesadaran diri. Aktifkan manajemen untuk mengidentifikasi kontrol
kekurangan dan ketidakefisienan dan untuk memulai tindakan perbaikan. Merencanakan, mengatur dan memelihara standar untuk penilaian pengendalian internal dan
efektivitas pengendalian proses.
Tujuan
Mendapatkan transparansi bagi pemangku kepentingan utama tentang kecukupan sistem pengendalian internal dan dengan demikian memberikan kepercayaan dalam operasi, kepercayaan pada
pencapaian tujuan perusahaan dan pemahaman yang memadai tentang risiko residual.
Tujuan Perusahaan
AG11 Kepatuhan I&T dengan kebijakan internal
• EG11 Kepatuhan terhadap kebijakan internal

dan denda AG11 a. Jumlah insiden terkait ketidakpatuhan dengan I & T-
kebijakan terkait
c. Jumlah masalah ketidakpatuhan yang dicatat oleh regulator c. Frekuensi tinjauan dan pembaruan kebijakan
EG11 a. Jumlah insiden yang terkait dengan ketidakpatuhan terhadap
kebijakan
praktek kerja
A. Komponen: Proses

MEA02.01 Memantau pengendalian internal.
Sebuah. Jumlah pelanggaran kontrol internal utama
Pantau, tolok ukur, dan tingkatkan kontrol I&T secara terus menerus
b. Persentase lingkungan kontrol dan kerangka kerja terus menerus
lingkungan dan kerangka pengendalian untuk memenuhi tujuan organisasi.
dipantau, diukur dan ditingkatkan untuk memenuhi organisasi
tujuan
1. Identifikasi batasan sistem pengendalian internal. Misalnya, pertimbangkan bagaimana pengendalian internal organisasi dilakukan 3
akun yang dialihdayakan dan / atau kegiatan pengembangan atau produksi lepas pantai.
2. Menilai status pengendalian internal penyedia layanan eksternal. Konfirmasikan bahwa penyedia layanan mematuhi hukum dan
persyaratan regulasi dan kewajiban kontrak. Pantau, Evaluasi, dan Nilai
3. Melakukan kegiatan pemantauan dan evaluasi pengendalian internal berdasarkan standar tata kelola organisasi dan industri-
kerangka kerja dan praktik yang diterima. Juga mencakup pemantauan dan evaluasi efisiensi dan efektivitas manajerial
kegiatan pengawasan.
4. Pastikan bahwa pengecualian kontrol segera dilaporkan, ditindaklanjuti, dan dianalisis, dan tindakan korektif yang sesuai harus dilaporkan
diprioritaskan dan diterapkan sesuai profil manajemen risiko (misalnya, mengklasifikasikan pengecualian tertentu sebagai risiko utama dan lain-lain
sebagai risiko non-kunci).
5. Pertimbangkan evaluasi independen atas sistem pengendalian internal (misalnya, oleh audit internal atau rekan kerja).
6. Menjaga sistem pengendalian internal, dengan mempertimbangkan perubahan yang sedang berlangsung dalam bisnis dan risiko I&T, pengendalian organisasi 4
lingkungan, dan bisnis yang relevan serta proses I&T. Jika ada celah, evaluasi dan rekomendasikan perubahan.
7. Secara teratur mengevaluasi kinerja kerangka kontrol, melakukan benchmarking terhadap standar yang diterima industri dan baik 5
praktek. Pertimbangkan penerapan formal pendekatan perbaikan berkelanjutan untuk pemantauan pengendalian internal.
279
Halaman 280
HITRUST CSF versi 9, September 2017 09.10 Pemantauan
ISO / IEC 38502: 2017 (E) 5.5 Tata kelola dan pengendalian internal

3.3 Audit dan akuntabilitas (AU-2)
MEA02.02 Meninjau efektivitas pengendalian proses bisnis.

Sebuah. Jumlah kelemahan yang diidentifikasi oleh kualifikasi eksternal dan
Tinjau operasi pengendalian, termasuk pemantauan dan pengujian bukti,
laporan sertifikasi
untuk memastikan bahwa kontrol dalam proses bisnis beroperasi secara efektif.
b. Jumlah kontrol yang dipantau dan diuji untuk memastikan kontrol itu
Sertakan aktivitas untuk memelihara bukti operasi yang efektif
dalam proses bisnis beroperasi secara efektif
pengendalian melalui mekanisme seperti pengujian berkala, kontinyu
pemantauan, penilaian independen, pusat komando dan kendali,
dan pusat operasi jaringan. Bukti ini meyakinkan perusahaan itu
kontrol memenuhi persyaratan yang terkait dengan bisnis, regulasi, dan sosial
tanggung jawab.
1. Memahami dan memprioritaskan risiko untuk tujuan organisasi. 3
2. Identifikasi kontrol kunci dan kembangkan strategi yang sesuai untuk memvalidasi kontrol.
3. Mengidentifikasi informasi yang akan menunjukkan apakah lingkungan pengendalian internal beroperasi secara efektif.
4. Menjaga bukti efektivitas pengendalian. 4
5. Mengembangkan dan menerapkan prosedur hemat biaya untuk mendapatkan informasi ini sesuai dengan kriteria kualitas informasi yang berlaku.
MEA02.03 Lakukan penilaian diri kontrol.

Sebuah. Jumlah penilaian diri yang dilakukan
Mendorong manajemen dan pemilik proses untuk meningkatkan kontrol
b. Jumlah kesenjangan yang teridentifikasi dalam penilaian mandiri vs. standar industri
secara proaktif melalui program penilaian diri yang berkelanjutan
atau praktik yang baik
mengevaluasi kelengkapan dan efektivitas pengendalian manajemen
atas proses, kebijakan, dan kontrak.
1. Tetapkan pendekatan yang disepakati dan konsisten untuk melakukan penilaian diri pengendalian dan koordinasi dengan auditor internal dan eksternal. 3
2. Menjaga rencana evaluasi, dan lingkup serta mengidentifikasi kriteria evaluasi untuk melakukan penilaian diri. Rencanakan komunikasi
hasil proses penilaian diri untuk bisnis, TI dan manajemen umum dan dewan. Pertimbangkan audit internal
standar dalam desain penilaian diri.
3. Tentukan frekuensi penilaian diri secara berkala, dengan mempertimbangkan keseluruhan efektivitas dan efisiensi yang sedang
berlangsung pemantauan.
4. Tetapkan tanggung jawab untuk penilaian diri kepada individu yang sesuai untuk memastikan objektivitas dan kompetensi.
5. Menyediakan tinjauan independen untuk memastikan objektivitas penilaian diri dan memungkinkan pembagian barang pengendalian internal
praktik dari perusahaan lain.
6. Bandingkan hasil penilaian mandiri dengan standar industri dan praktik yang baik. 4
7. Meringkas dan melaporkan hasil penilaian diri dan tolok ukur untuk tindakan perbaikan. 5
ISO / IEC 27001: 2013 / Kor.2: 2015 (E) 9.3 Tinjauan manajemen
3.7 Pemantauan (Tugas 2)
800-37, Revisi 2 (Draf), Mei 2018
280
Halaman 281
BAB 4
MEA02.04 Identifikasi dan laporkan kekurangan pengendalian.

Sebuah. Waktu antara terjadinya defisiensi pengendalian internal dan pelaporan
Identifikasi kekurangan kontrol dan analisis serta identifikasi yang mendasarinya
b. Waktu antara identifikasi pengecualian dan tindakan yang disepakati ditangani
akar permasalahan. Tingkatkan kekurangan kontrol dan laporkan ke pemangku kepentingca.nP.ersentase pelaksanaan tindakan perbaikan yang timbul dari pengendalian
penilaian
1. Komunikasikan prosedur untuk eskalasi pengecualian kontrol, analisis akar penyebab, dan pelaporan kepada pemilik proses dan I&T 3
pemangku kepentingan.
2. Mempertimbangkan risiko perusahaan terkait untuk menetapkan ambang batas untuk eskalasi pengecualian dan kerusakan kontrol.
3. Identifikasi, laporkan, dan catat pengecualian kontrol. Tetapkan tanggung jawab untuk menyelesaikannya dan melaporkan statusnya.
4. Putuskan pengecualian kontrol mana yang harus dikomunikasikan kepada individu yang bertanggung jawab atas fungsi dan pengecualian mana
harus ditingkatkan. Beri tahu pemilik proses dan pemangku kepentingan yang terpengaruh.
5. Tindak lanjuti semua pengecualian untuk memastikan bahwa tindakan yang disepakati telah ditangani. 4
6. Mengidentifikasi, memulai, melacak dan menerapkan tindakan perbaikan yang timbul dari penilaian kontrol dan pelaporan. 5
ffice.dll
ffice frficer wners
fficer perations
HAIAdministrasi
fficer
echnology O
Dewan Tata Kelola
KepRaliasiKkBoaegpUKiaatlaenapmSKIanaAleafYOuoPTarArmnoTgasMaesnisaOBnPaiesjnegiKmseeeOmpnKbaPlaearnpoMbgayaleaagnkniMbaKaOanjaegenpTiMraaIPnjlaaeenTPrlaIrKjyievaeransKmainoOann
tainuIintafosrBmisansis
MEA02.01 Memantau pengendalian internal. RAR RRRRRRRRR
MEA02.02 Meninjau efektivitas pengendalian proses bisnis. R ARRR
MEA02.03 Lakukan penilaian diri kontrol. RAR RRRRRRRRR

MEA02.04 Identifikasi dan laporkan kekurangan pengendalian. AR RRRRRRRRR
281
Halaman 282
MEA02.01 Memantau pengendalian internal. Dari Deskripsi Deskripsi Untuk
APO12.04 Hasil dari risiko pihak ketiga

Hasil benchmarking Semua APO;
penilaian
dan evaluasi lainnya Semua BAI;
Semua DSS;
Semua MEA;
EDM01.03
Hasil internal Semua APO;
sistem manajemen
pemantauan kontrol dan Semua BAI;
(ISMS) laporan audit
ulasan Semua DSS;
Di luar standar Industri COBIT dan Semua MEA;
Latihan yang baik EDM01.03
MEA02.02 Meninjau efektivitas proses bisnis

BAI05.06 Hasil audit kepatuhan Bukti pengendalian Intern
kontrol. efektivitas
BAI05.07 Review operasional
menggunakan
MEA02.03 Lakukan penilaian diri kontrol. Rencana penilaian diri
Semua APO;
dan kriteria
Semua BAI;
Semua DSS;
Semua MEA
Hasil tinjauan
Semua APO;
Semua BAI;
Semua DSS;
Semua MEA;
EDM01.03
Hasil dari
Intern
MEA02.04 Identifikasi dan laporkan kekurangan pengendalian. APO11.03 Akar penyebab kegagalan
Tindakan perbaikan Semua APO;
memberikan kualitas
Semua BAI;
Semua DSS;
Semua MEA
APO12.06 Akar penyebab terkait risiko Kekurangan kontrol Semua APO;

Semua BAI;
Semua DSS;
DSS06.01 • Hasil pengolahan Semua MEA
• Analisis akar penyebab
dan rekomendasi
DSS06.04 Bukti kesalahan
koreksi dan
remediasi

3.7 Pemantauan (Tugas 2): Input dan Output
Profesional di semua sektor industri —Bagian 1: Kerangka, 2016 E. Kelola — E.3. Risiko
Pengelolaan
282
Halaman 283
BAB 4
Kebijakan pengendalian internal Mengkomunikasikan manajemen

tujuan pengendalian internal.
Menetapkan standar untuk
desain dan pengoperasian
sistem perusahaan internal
kontrol untuk mengurangi paparan
semua resiko. Memberikan panduan untuk
terus memantau dan
mengevaluasi lingkungan pengendalian,
termasuk kesadaran diri dan
penilaian.
Penilaian diri pengendalian internal

Merekomendasikan terus menerus
bimbingan
pemantauan pengendalian internal untuk
mengidentifikasi kekurangan dan kesenjangan
efektivitas, tentukan akarnya
penyebab, dan memulai rencana tindakan
dan tonggak korektif untuk
melaporkan kepada pemangku kepentingan.
Tingkatkan kesadaran akan pentingnya pengendalian yang efektif

lingkungan Hidup. Mendorong budaya sadar diri dan risiko yang proaktif, termasuk
komitmen untuk penilaian diri dan tinjauan jaminan independen.

• Layanan penilaian pengendalian internal pihak ketiga
283
Halaman 284
284
Halaman 285
BAB 4

Tujuan Manajemen: MEA03 - Kepatuhan yang Dikelola Dengan Persyaratan Eksternal Area Fokus: Model Inti COBIT
Deskripsi
Evaluasi bahwa proses I&T dan proses bisnis yang didukung I & T sesuai dengan undang-undang, peraturan, dan persyaratan kontrak. Memperoleh
jaminan bahwa persyaratan telah diidentifikasi dan dipenuhi; mengintegrasikan kepatuhan TI dengan kepatuhan perusahaan secara keseluruhan.
Tujuan
Pastikan perusahaan mematuhi semua persyaratan eksternal yang berlaku.
Tujuan Perusahaan
EG03 Kepatuhan terhadap hukum dan peraturan eksternal
AG01 Kepatuhan I&T dan dukungan untuk kepatuhan bisnis dengan
hukum dan peraturan eksternal

AG01 a. Biaya ketidakpatuhan TI, termasuk penyelesaian dan denda,
dan denda
dan dampak hilangnya reputasi
b. Banyaknya masalah ketidakpatuhan regulasi yang menyebabkan publik
b. Jumlah masalah ketidakpatuhan terkait TI yang dilaporkan ke
komentar atau publisitas negatif
c. Jumlah masalah ketidakpatuhan yang dicatat oleh regulator papan, atau menyebabkan komentar publik atau rasa malu
c. Jumlah masalah ketidakpatuhan yang terkait dengan kontrak
perjanjian kontrak dengan mitra bisnis perjanjian dengan penyedia layanan TI
A. Komponen: Proses
MEA03.01 Identifikasi persyaratan kepatuhan eksternal.

Sebuah. Frekuensi tinjauan persyaratan kepatuhan
Secara terus menerus, pantau perubahan hukum lokal dan internasional,
peraturan dan persyaratan eksternal lainnya dan mengidentifikasi mandat untuk b. Persentase kepuasan pemangku kepentingan utama dalam tinjauan peraturan
proses kepatuhan
kepatuhan dari perspektif I&T.
1. Tetapkan tanggung jawab untuk mengidentifikasi dan memantau setiap perubahan hukum, peraturan, dan persyaratan kontrak eksternal lainnya 2
relevan dengan penggunaan sumber daya TI dan pemrosesan informasi dalam bisnis dan operasi TI perusahaan.
2. Mengidentifikasi dan menilai semua persyaratan kepatuhan potensial dan dampaknya pada kegiatan I&T di berbagai bidang seperti aliran data, privasi,
pengendalian internal, pelaporan keuangan, peraturan khusus industri, kekayaan intelektual, kesehatan dan keselamatan.
3. Menilai dampak persyaratan hukum dan peraturan terkait I & T pada kontrak pihak ketiga yang terkait dengan operasi, layanan TI
penyedia dan mitra dagang bisnis.
4. Jelaskan konsekuensi dari ketidakpatuhan.
5. Dapatkan penasihat independen, jika sesuai, tentang perubahan pada hukum, peraturan, dan standar yang berlaku. 3
6. Menjaga catatan terbaru dari semua persyaratan hukum, peraturan dan kontrak yang relevan; dampaknya dan tindakan yang diperlukan. Pantau, Evaluasi, dan Nilai
7. Menjaga daftar keseluruhan yang harmonis dan terintegrasi dari persyaratan kepatuhan eksternal untuk perusahaan.
CMMI Cybermaturity Platform, 2018 BC.RR Menentukan Persyaratan Hukum / Peraturan
HITRUST CSF versi 9, September 2017 06.01 Kepatuhan dengan Persyaratan Hukum
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 SM2.3 Kepatuhan Hukum dan Peraturan
285
Halaman 286
MEA03.02 Mengoptimalkan respons terhadap persyaratan eksternal.

Sebuah. Waktu rata-rata antara mengidentifikasi masalah kepatuhan eksternal
Tinjau dan sesuaikan kebijakan, prinsip, standar, prosedur, dan
dan resolusi
metodologi untuk memastikan bahwa hukum, peraturan dan kontrak
b. Persentase kepuasan personel yang relevan dengan komunikasi
persyaratan ditangani dan dikomunikasikan. Pertimbangkan untuk mengadopsi dan
persyaratan kepatuhan regulasi baru dan yang diubah
mengadaptasi standar industri, kode praktik yang baik, dan praktik yang baik
bimbingan.
1. Secara teratur meninjau dan menyesuaikan kebijakan, prinsip, standar, prosedur dan metodologi untuk memastikan efektivitasnya 3
kepatuhan yang diperlukan dan menangani risiko perusahaan. Gunakan tenaga ahli internal dan eksternal, sesuai kebutuhan.
2. Komunikasikan persyaratan baru dan yang diubah kepada semua personel yang relevan.
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 5.4: Area fungsional tata kelola - Prinsip 13
MEA03.03 Konfirmasi kepatuhan eksternal.

Sebuah. Jumlah masalah ketidakpatuhan kritis yang diidentifikasi per tahun
Konfirmasikan kepatuhan kebijakan, prinsip, standar, prosedur dan
metodologi dengan persyaratan hukum, peraturan dan kontrak. b. Persentase pemilik proses yang keluar, mengonfirmasi kepatuhan

1. Secara teratur mengevaluasi kebijakan, standar, prosedur dan metodologi organisasi di semua fungsi perusahaan untuk memastikan 3
kepatuhan terhadap persyaratan hukum dan peraturan terkait dengan pemrosesan informasi.
2. Mengatasi kesenjangan kepatuhan dalam kebijakan, standar dan prosedur secara tepat waktu.
3. Secara berkala mengevaluasi proses dan aktivitas bisnis dan TI untuk memastikan kepatuhan terhadap hukum, peraturan, dan yang berlaku
persyaratan kontrak.
4. Secara teratur meninjau pola berulang dari kegagalan kepatuhan dan menilai pelajaran yang didapat. 4
5. Berdasarkan tinjauan dan pembelajaran, perbaiki kebijakan, standar, prosedur, metodologi, dan proses terkait dan 5
kegiatan.
MEA03.04 Mendapatkan jaminan kepatuhan eksternal.

Sebuah. Jumlah laporan kepatuhan yang diperoleh
Mendapatkan dan melaporkan jaminan kepatuhan dan kepatuhan terhadap kebijakan,
b. Persentase kepatuhan penyedia layanan berdasarkan tinjauan independen
prinsip, standar, prosedur dan metodologi. Konfirmasi itu
tindakan korektif untuk mengatasi kesenjangan kepatuhan ditutup tepat waktu c. Waktu antara identifikasi kesenjangan kepatuhan dan tindakan korektif
cara. d. Jumlah laporan tindakan korektif yang menangani kesenjangan kepatuhan
ditutup tepat waktu
1. Dapatkan konfirmasi rutin tentang kepatuhan terhadap kebijakan internal dari pemilik proses bisnis dan TI serta kepala unit. 2
2. Lakukan tinjauan internal dan eksternal secara teratur (dan, jika sesuai, independen) untuk menilai tingkat kepatuhan.
3. Jika diperlukan, dapatkan pernyataan dari penyedia layanan I&T pihak ketiga tentang tingkat kepatuhan mereka terhadap hukum yang berlaku dan
peraturan.
4. Jika diperlukan, dapatkan pernyataan dari mitra bisnis tentang tingkat kepatuhan mereka terhadap hukum dan peraturan yang berlaku saat mereka
terkait dengan transaksi elektronik antar perusahaan.
5. Mengintegrasikan pelaporan tentang persyaratan hukum, peraturan dan kontrak di tingkat perusahaan, yang melibatkan semua unit bisnis. 3
6. Pantau dan laporkan masalah ketidakpatuhan dan, jika perlu, selidiki akar penyebabnya. 4
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung - Penjaminan Kualitas Proses
ISO / IEC 27002: 2013 / Kor.2: 2015 (E) 18. Kepatuhan
286
Halaman 287
BAB 4
ffice.dll
fficer wners
fficer fficer
perations fficer
HAIAdministrasi
Dewan Tata Kelola

Praktik Manajemen Kunci udit
KepKaleapKEalkeapsKeBaklaeaugptSOiaiafAlpnaOYePKIrAnraefosTuoisMareOmnsagBnaPasainesijneOgiKms
eeeOmpnKbaPlaearnpoMbgayaleaagnkniMbaKaOanjaegenpTiMraaIPnjlaaeenTPrlaIrKjyievaePranesKmaninoa
POansneetmahinSaeuEntIinBuhtafhuUosakrABnumHimsansis
MEA03.01 Identifikasi persyaratan kepatuhan eksternal. R R RRAR
MEA03.02 Mengoptimalkan respons terhadap persyaratan eksternal. RRRRRRRRRRRRRRRRA
MEA03.03 Konfirmasi kepatuhan eksternal. RRRRRR RRA
MEA03.04 Mendapatkan jaminan kepatuhan eksternal. R RA
MEA03.01 Identifikasi persyaratan kepatuhan eksternal. Dari Deskripsi Deskripsi Untuk
Di luar COBIT Hukum dan peraturan

persyaratan kepatuhan Log wajib diisi Intern
tindakan kepatuhan
Pemenuhan Intern
Persyaratan
daftar
MEA03.02 Mengoptimalkan respons terhadap persyaratan eksternal. Komunikasi dari
Semua APO;
berubah kepatuhan
Semua BAI;
Persyaratan
Semua DSS;
Semua MEA;
EDM01.01
Kebijakan yang diperbarui, APO01.09
prinsip, prosedur ; Pantau, Evaluasi, dan Nilai
dan standar APO01.11
MEA03.03 Konfirmasi kepatuhan eksternal. BAI05.06 Hasil audit kepatuhan Kepatuhan
konfirmasi EDM01.03
BAI09.05 Hasil dari penginstalan

Kepatuhan teridentifikasi MEA04.08
audit lisensi
celah
BAI10.05 Penyimpangan lisensi
DSS01.04 Laporan polis asuransi
MEA03.04 Mendapatkan jaminan kepatuhan eksternal. EDM05.02 Aturan untuk memvalidasi dan Jaminan kepatuhan EDM01.03
menyetujui wajib laporan
laporan
EDM05.03 Penilaian pelaporan Laporan dari EDM01.03;
efektivitas ketidakpatuhan MEA04.04
masalah dan akar penyebab
287
Halaman 288
Kebijakan kepatuhan Mengidentifikasi regulasi, kontraktual

dan kepatuhan internal
Persyaratan. Menjelaskan
proses untuk menilai kepatuhan
dengan regulasi, kontrak dan
persyaratan internal. Mencantumkan peran
dan tanggung jawab untuk yang berbeda
kegiatan dalam proses dan
memberikan panduan tentang metrik untuk
mengukur kepatuhan. Memperoleh
laporan kepatuhan dan konfirmasi
kepatuhan atau tindakan korektif untuk
mengatasi remediasi kepatuhan
celah pada waktu yang tepat.
Mempromosikan budaya sadar kepatuhan, termasuk tanpa toleransi terhadap

ketidakpatuhan terhadap persyaratan hukum dan peraturan.
• Layanan Regulatory Watch

• Layanan penilaian kepatuhan pihak ketiga
288
Halaman 289
BAB 4

Tujuan Manajemen: MEA04 - Jaminan Terkelola Area Fokus: Model Inti COBIT
Deskripsi
Merencanakan, mencakup, dan melaksanakan inisiatif jaminan untuk mematuhi persyaratan internal, undang-undang, peraturan, dan tujuan strategis. Aktifkan pengelolaan
untuk memberikan jaminan yang memadai dan berkelanjutan di perusahaan dengan melakukan tinjauan dan aktivitas jaminan independen.
Tujuan
Memungkinkan organisasi untuk merancang dan mengembangkan inisiatif penjaminan yang efisien dan efektif, memberikan panduan tentang perencanaan, pelingkupan, pelaksanaan dan
menindaklanjuti tinjauan jaminan, menggunakan peta jalan berdasarkan pendekatan jaminan yang diterima dengan baik.
Tujuan Perusahaan
AG11 Kepatuhan I&T dengan kebijakan internal
• EG11 Kepatuhan terhadap kebijakan internal

AG11 a. Jumlah insiden terkait ketidakpatuhan dengan I & T-
dan denda
kebijakan terkait
b. Banyaknya masalah ketidakpatuhan regulasi yang menyebabkan publik
komentar atau publisitas negatif
c. Jumlah masalah ketidakpatuhan yang dicatat oleh regulator c. Frekuensi tinjauan dan pembaruan kebijakan
EG11 a. Jumlah insiden yang terkait dengan ketidakpatuhan terhadap kebijakan
praktek kerja
A. Komponen: Proses
MEA04.01 Memastikan bahwa penyedia jaminan independen dan

memenuhi syarat. Sebuah. Persentase proses yang menerima tinjauan independen
Memastikan bahwa entitas yang melakukan asurans independen b. Persentase kualifikasi dan kompetensi yang dipenuhi oleh penyedia layanan
dari fungsi, kelompok atau organisasi dalam lingkupnya. Entitas
melakukan jaminan harus menunjukkan sikap yang sesuai dan
penampilan, kompetensi dalam keterampilan dan pengetahuan yang diperlukan
melakukan penjaminan, dan kepatuhan terhadap kode etik dan profesional
standar.
1. Tetapkan kepatuhan terhadap kode etik dan standar yang berlaku (misalnya, Kode Etik Profesional ISACA) dan
2 Pantau, Evaluasi, dan Nilai
(industri- dan standar penjaminan khusus geografi (misalnya, Audit TI dan Standar Jaminan ISACA dan Internasional
Kerangka Kerja Internasional Dewan Standar Audit dan Jaminan [IAASB] untuk Keterlibatan Jaminan [IAASB Assurance
Kerangka]).
2. Membangun kemandirian penyedia jaminan.
3. Menetapkan kompetensi dan kualifikasi pemberi jaminan.
HITRUST CSF versi 9, September 2017 06.03 Pertimbangan Audit Sistem Informasi
289
Halaman 290
MEA04.02 Mengembangkan perencanaan inisiatif penjaminan berbasis risiko.

Sebuah. Persentase inisiatif jaminan setelah jaminan yang disetujui
Tentukan tujuan asurans berdasarkan penilaian internal
standar program dan rencana
dan lingkungan dan konteks eksternal, risiko tidak tercapai
b. Persentase inisiatif rencana penjaminan berdasarkan risiko
tujuan perusahaan, dan peluang yang terkait dengan pencapaian
tujuan yang sama.
1. Pahami strategi dan prioritas perusahaan. 2
2. Memahami konteks internal perusahaan. Pemahaman ini akan membantu profesional penjaminan untuk menilai dengan lebih baik
tujuan perusahaan dan kepentingan relatif perusahaan dan tujuan penyelarasan, serta ancaman yang paling penting untuk ini
tujuan. Pada gilirannya, ini akan membantu dalam menentukan ruang lingkup yang lebih baik dan lebih relevan untuk perikatan asurans.
3. Memahami konteks eksternal perusahaan. Pemahaman ini akan membantu profesional jaminan untuk lebih memahami
tujuan perusahaan dan kepentingan relatif perusahaan dan tujuan penyelarasan, serta ancaman yang paling penting
tujuan ini. Pada gilirannya, ini akan membantu dalam menentukan ruang lingkup yang lebih baik dan lebih relevan untuk perikatan asurans.
4. Mengembangkan rencana tahunan keseluruhan untuk inisiatif penjaminan yang berisi tujuan penjaminan yang terkonsolidasi. 3
Laporan Raja IV tentang Tata Kelola Perusahaan untuk Afrika Selatan, 2016 Bagian 5.4: Area fungsional tata kelola — Prinsip 15
MEA04.03 Tentukan tujuan dari inisiatif jaminan.

Sebuah. Persentase tujuan yang dicapai melalui inisiatif penjaminan
Tentukan dan sepakati dengan semua pemangku kepentingan tentang tujuan jaminan
prakarsa. b. Persentase kepuasan pemangku kepentingan dengan inisiatif jaminan
tujuan
1. Tentukan tujuan asurans dari prakarsa asurans dengan mengidentifikasi pemangku kepentingan prakarsa asurans dan 2
kepentingan mereka.
2. Setuju pada tujuan tingkat tinggi dan batasan organisasi dari perikatan asurans.
3. Pertimbangkan penggunaan COBIT Goals Cascade dan levelnya yang berbeda untuk mengekspresikan tujuan jaminan. 3
4. Pastikan bahwa tujuan perikatan asurans mempertimbangkan ketiga komponen tujuan nilai: memberikan manfaat
yang mendukung tujuan strategis, mengoptimalkan risiko tidak tercapainya tujuan strategis dan mengoptimalkan tingkat sumber daya
diperlukan untuk mencapai tujuan strategis.
Model Maturitas Manajemen Data CMMI, 2014 Proses Pendukung - Penjaminan Kualitas Proses
MEA04.04 Tentukan cakupan inisiatif jaminan. Sebuah. Jumlah rencana keterlibatan, berdasarkan ruang lingkup, yang dipertimbangkan
Tentukan dan sepakati dengan semua pemangku kepentingan tentang ruang lingkup jaminaninformasi yang akan dikumpulkan dan pemangku kepentingan yang akan diwawancarai
inisiatif, berdasarkan tujuan jaminan. b. Persentase kepuasan pemangku kepentingan dengan ruang lingkup jaminan
inisiatif, berdasarkan tujuan jaminan
1. Mendefinisikan semua komponen tata kelola dalam ruang lingkup tinjauan, yaitu prinsip, kebijakan dan kerangka kerja; proses; 2
struktur organisasi; budaya, etika dan perilaku; informasi; layanan, infrastruktur dan aplikasi; orang, keterampilan dan
kompetensi
2. Berdasarkan definisi ruang lingkup, tentukan rencana keterlibatan, dengan mempertimbangkan informasi yang akan dikumpulkan dan pemangku kepentingan 3
diwawancarai.
Pantau,3E. Mvaenlugoansfii,rmdaasni dNanilmaienyempurnakan ruang lingkup berdasarkan pemahaman tentang arsitektur perusahaan.
4. Sempurnakan ruang lingkup perikatan asurans, berdasarkan sumber daya yang tersedia.
CMMI Cybermaturity Platform, 2018 TP.LA Menerapkan Proses Logging dan Audit
290
Halaman 291
BAB 4
MEA04.05 Tentukan program kerja untuk inisiatif penjaminan.

Sebuah. Persentase pengendalian manajemen yang diidentifikasi sebagai lemah tanpa ditentukan
Tentukan program kerja terperinci untuk inisiatif penjaminan,
praktik untuk mengurangi risiko sisa
terstruktur sesuai dengan tujuan manajemen dan komponen tata kelola
b. Jumlah kontrol yang ditinjau
dalam lingkup.
c. Persentase kepuasan pemangku kepentingan terhadap program kerja PT
inisiatif jaminan
1. Tetapkan langkah-langkah rinci untuk mengumpulkan dan mengevaluasi informasi dari pengendalian manajemen dalam ruang lingkup. Fokus pada penilaian 2
definisi dan penerapan praktik yang baik, terkait dengan desain pengendalian, dan pencapaian tujuan pengendalian, terkait dengan
efektivitas pengendalian.
2. Memahami konteks tujuan manajemen dan pengendalian manajemen pendukung yang diterapkan.
Pahami bagaimana kontrol manajemen ini berkontribusi pada pencapaian tujuan penyelarasan dan tujuan perusahaan.
3. Memahami semua pemangku kepentingan dan kepentingan mereka.
4. Setuju tentang praktik baik yang diharapkan untuk pengendalian manajemen. 3
5. Jika kontrol manajemen lemah, tentukan praktik untuk mengidentifikasi risiko residual (dalam persiapan untuk pelaporan).
6. Memahami tahap siklus hidup pengendalian manajemen dan menyetujui nilai yang diharapkan.

MEA04.06 Jalankan inisiatif jaminan, dengan fokus pada desain

efektivitas. Sebuah. Persentase inisiatif penjaminan yang mempertimbangkan efektivitas biaya
Jalankan inisiatif jaminan yang direncanakan. Validasi dan konfirmasi desain
desain pengendalian internal yang diterapkan. Selain itu, dan secara khusus b. Persentase kepuasan pemangku kepentingan dengan desain jaminan
dalam penugasan audit internal, pertimbangkan efektivitas biaya prakarsa
desain komponen tata kelola.
1. Pertajam pemahaman tentang subjek jaminan TI. 2
2. Sempurnakan ruang lingkup subjek jaminan TI.
3. Mengamati / menginspeksi dan mereview pendekatan pengendalian manajemen. Validasi desain dengan pemilik kontrol untuk kelengkapan,
3
relevansi, ketepatan waktu dan keterukuran.
4. Tanyakan kepada pemilik kendali apakah tanggung jawab atas komponen tata kelola dan akuntabilitas keseluruhan telah ada
ditugaskan. Konfirmasikan tanggapannya. Uji apakah akuntabilitas dan tanggung jawab dipahami dan diterima. Verifikasi bahwa
keterampilan yang tepat dan sumber daya yang diperlukan tersedia.
5. Mempertimbangkan kembali keseimbangan antara pencegahan vs. deteksi dan jenis koreksi kegiatan pengendalian manajemen.
6. Mempertimbangkan upaya yang dihabiskan untuk mempertahankan kontrol manajemen dan biaya / efektivitas terkait.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Audit Keamanan SI1
ISO / IEC 27001: 2013 / Kor.2: 2015 (E) 9.2 Audit internal
MEA04.07 Jalankan inisiatif jaminan, dengan fokus pada pengoperasian

Sebuah. Persentase inisiatif jaminan yang menguji hasil kunci, dalam cakupan
efektivitas.
Jalankan inisiatif jaminan yang direncanakan. Uji apakah internal tujuan manajemen
b. Persentase kepuasan pemangku kepentingan dengan pelaksanaan
kontrol yang ada sudah sesuai dan memadai. Uji hasil dari
tujuan manajemen utama dalam lingkup inisiatif penjaminan. inisiatif jaminan
291
Halaman 292
1. Menilai apakah hasil yang diharapkan untuk setiap pengendalian manajemen dalam ruang lingkup tercapai. Artinya, nilai 3
efektivitas pengendalian manajemen (efektivitas pengendalian).
2. Pastikan bahwa profesional jaminan menguji hasil atau efektivitas pengendalian manajemen dengan mencari langsung
dan bukti tidak langsung tentang dampak tujuan pengendalian manajemen. Ini menyiratkan pembuktian langsung dan tidak langsung dari
kontribusi terukur dari tujuan manajemen ke tujuan penyelarasan, dengan demikian mencatat bukti langsung dan tidak langsung dari
benar-benar mencapai hasil yang diharapkan.
3. Tentukan apakah profesional jaminan memperoleh bukti langsung atau tidak langsung untuk item / periode yang dipilih dengan menerapkan seleksi
teknik pengujian untuk memastikan bahwa pengendalian manajemen yang ditinjau bekerja secara efektif. Pastikan jaminan itu
profesional juga melakukan tinjauan terbatas terhadap kecukupan hasil pengendalian manajemen dan menentukan tingkat
pengujian substantif dan pekerjaan tambahan yang diperlukan untuk memberikan jaminan bahwa kinerja pengendalian manajemen memadai.
4. Selidiki apakah pengendalian manajemen dapat dibuat lebih efisien dan apakah desainnya dapat lebih efektif dengan pengoptimalan
langkah-langkah atau mencari sinergi dengan kontrol manajemen lainnya.
ISF, Standar Praktik yang Baik untuk Keamanan Informasi 2016 Audit Keamanan SI1
SO / IEC 27001: 2013 / Kor. 2: 2015 (E) 9.2 Audit internal
MEA04.08 Laporkan dan tindak lanjuti inisiatif jaminan.

Sebuah. Penerimaan pemangku kepentingan atas laporan jaminan
Memberikan pendapat jaminan positif, jika sesuai, dan
b. Penerimaan pemangku kepentingan atas rekomendasi untuk perbaikan
rekomendasi perbaikan yang berkaitan dengan operasional yang teridentifikasi
terkait dengan kinerja operasional yang teridentifikasi, kepatuhan eksternal
kelemahan kinerja, kepatuhan eksternal dan pengendalian internal.
dan kelemahan pengendalian internal
1. Mendokumentasikan dampak kelemahan pengendalian. 2
2. Berkomunikasi dengan manajemen selama pelaksanaan inisiatif sehingga ada pemahaman yang jelas tentang pekerjaan yang dilakukan dan
persetujuan dan penerimaan temuan dan rekomendasi awal.
3. Memberikan laporan kepada manajemen (sejalan dengan kerangka acuan, ruang lingkup, dan standar pelaporan yang disepakati) yang mendukung 3
hasil dari inisiatif dan memungkinkan fokus yang jelas pada masalah utama dan tindakan penting.
4. Mengawasi aktivitas penjaminan dan memastikan pekerjaan yang dilakukan selesai, memenuhi tujuan, dan memiliki kualitas yang dapat diterima. 4
Merevisi pendekatan atau langkah-langkah rinci jika terjadi kesenjangan kualitas.
MEA04.09 Tindak lanjut atas rekomendasi dan tindakan.

Sebuah. Jumlah kelemahan yang berulang
Setuju, tindak lanjuti, dan terapkan rekomendasi yang diidentifikasi untuk
b. Jumlah kelemahan yang teridentifikasi diselesaikan
perbaikan.
1. Menyetujui dan mengimplementasikan secara internal, dalam organisasi, tindakan yang diperlukan yang perlu diambil untuk menyelesaikan yang teridentifikasi 2
kelemahan dan celah.
2. Tindak lanjut, di dalam organisasi, untuk menentukan apakah telah dilakukan tindakan korektif dan kelemahan pengendalian internal
terselesaikan.

292
Halaman 293
BAB 4
ffice wners
fficer r
fficer
perations
HAI
Petugas echnology
Praktik Manajemen Kunci udit

KepRaliasiKkOoeppUeKartalaeaspmiKIaOnaloafOmoPTrirmtoeasFResuisisnOBiKgkissoeinpPMi
MaselarOanunMbasaajjaeghenmiMraaaaPenjaneenTPrlDaIeKjyaneaetaSranasEKmaeBhnoaaUn
nttAaihnHuuIkintuafmosrBmisansis
MEA04.01 Memastikan bahwa penyedia jaminan independen dan berkualitas. RRRR RA
MEA04.02 Mengembangkan perencanaan inisiatif penjaminan berbasis risiko. RRRR R RA
MEA04.03 Tentukan tujuan dari inisiatif jaminan. RRRR R RA
MEA04.04 Tentukan cakupan inisiatif jaminan. RRRR R RA
MEA04.05 Tentukan program kerja untuk inisiatif penjaminan. R RR R RA
MEA04.06 Jalankan inisiatif jaminan, dengan fokus pada efektivitas desain. R RR RRRRRRRA
MEA04.07 Jalankan inisiatif jaminan, dengan fokus pada efektivitas operasi. R RR RRRRRRRA
MEA04.08 Laporkan dan tindak lanjuti inisiatif jaminan. R RR R RA
MEA04.09 Tindak lanjut atas rekomendasi dan tindakan. RRAR R R RR
MEA04.01 Memastikan bahwa penyedia jaminan tersedia Dari Deskripsi Deskripsi Untuk
mandiri dan berkualitas.
Hasil penjaminan Intern
evaluasi penyedia
MEA04.02 Mengembangkan perencanaan jaminan berbasis risiko BAI01.05 Rencana audit program Rencana jaminan Semua APO;
inisiatif. Semua BAI; Semua
Semua DSS;
MEA;
EDM01.03
DSS01.02 Jaminan independen Kriteria penilaian Intern
rencana
Penilaian tingkat tinggi Intern
MEA04.03 Tentukan tujuan jaminan

prakarsa. MEA04.02 Rencana jaminan Tujuan jaminan Intern
dan manfaat yang diharapkan
MEA04.04 Tentukan cakupan inisiatif jaminan. APO11.03 Akar penyebab kegagalan
Review jaminan Intern
memberikan kualitas
praktek
APO12.06 Akar penyebab terkait risiko Rencana keterlibatan Intern

rekomendasi
MEA03.04 Laporan dari
Ruang lingkup tinjauan jaminan Intern
masalah ketidakpatuhan
dan akar penyebabnya
293
Halaman 294
MEA04.05 Tentukan program kerja untuk jaminan Dari Deskripsi Deskripsi Untuk
prakarsa.
APO12.04 Analisis risiko dan risiko Cakupan yang disempurnakan Intern
Pekerjaan jaminan terperinci MEA04.06
program
MEA04.06 Jalankan inisiatif jaminan, dengan fokus pada
APO12.06 Akar penyebab terkait risiko Desain terdokumentasi dari MEA04.07
efektivitas desain.
pengendalian internal

rekomendasi
MEA04.05 Pekerjaan jaminan
terperinci program
MEA04.07 Jalankan inisiatif jaminan, dengan fokus pada DSS02.02 Insiden dan layanan Efektivitas kontrol MEA04.08;
efektivitas operasi. log permintaan pengujian MEA04.09
DSS02.05 Resolusi insiden
DSS03.05 Penyelesaian masalah

laporan pemantauan
DSS05.02 Hasil penetrasi
tes
DSS05.05 Akses log

rekomendasi
MEA04.06 Desain terdokumentasi dari
MEA04.08 Laporkan dan tindak lanjuti jaminan

MEA03.03 Kepatuhan teridentifikasi Laporan review jaminan Semua APO;
prakarsa.
celah Semua BAI;
Semua DSS;
Semua MEA;
EDM05.03
MEA04.07 Efektivitas kontrol Hasil Review Assurance Semua APO;
pengujian Semua BAI;
Semua DSS;
Semua MEA;
EDM05.03;
MEA04.09
MEA04.09 Tindak lanjut atas rekomendasi dan tindakan. MEA04.07 Efektivitas kontrol
Tindakan perbaikan Semua APO;
pengujian
Semua BAI;
MEA04.08 Hasil review jaminan Semua DSS;
Semua MEA

294
Halaman 295
BAB 4
Sejumlah prinsip inti,

Prinsip Inti untuk Praktik Profesional Audit Internal, The cfr. Situs web IIA — Standar &
dijelaskan oleh Institute of
Institut Auditor Internal Panduan - Prinsip Inti
Auditor Internal ® , mendukung
efektivitas dan efisiensi
dari fungsi audit (internal).
Prinsip-prinsip ini meliputi,
antara lain pentingnya
kemerdekaan, efektif
kemampuan berkomunikasi,
proaktif, dll.
Pengelolaan
Panduan jaminan Memberikan panduan dalam melakukan

kegiatan jaminan. Mengaktifkan
pembangunan yang efisien dan efektif
inisiatif penjaminan I&T,
termasuk perencanaan, pelingkupan dan
melaksanakan tinjauan jaminan,
berdasarkan jaminan yang diterima dengan baik
pendekatan. Memberikan jaminan
langkah-langkah untuk menguji desain kontrol,
menguji hasil operasional
efektivitas pengendalian, dan
kelemahan kontrol dokumen dan
dampaknya.
Piagam audit internal Memberikan kemandirian untuk
melakukan tinjauan dan laporan audit
temuan dan rekomendasi
langsung ke manajemen puncak. Itu
fungsi audit internal harus a
entitas yang terpisah melaporkan baik ke
kepala eksekutif atau kepala
petugas operasi. Dengan hormat
I&T, harus ditetapkan dalam piagam
bahwa fungsinya bertanggung jawab
untuk meninjau umum dan
kontrol aplikasi untuk menentukan Pantau, Evaluasi, dan Nilai
apakah kontrol telah dilakukan
dirancang sesuai dengan
arah manajemen, ditetapkan
standar dan prosedur, dan
persyaratan hukum yang diketahui, dan
apakah kontrol beroperasi
efektif untuk memberikan keandalan
dan keamanan atas data tersebut
diproses (yaitu, kerahasiaan,
integritas dan ketersediaan). Itu
piagam harus menetapkan itu
fungsi audit internal
bertanggung jawab untuk meninjau
desain, pengembangan, dan
implementasi sistem baru
atau modifikasi besar yang sudah ada
sistem.
295
Halaman 296

Menciptakan budaya yang mencakup audit internal dan temuan asurans dan
rekomendasi, berdasarkan analisis akar penyebab. Pemimpin harus memastikan
bahwa audit internal dan jaminan terlibat dalam inisiatif strategis dan
mengenali kebutuhan (dan nilai) audit dan laporan asurans.
Pastikan budaya etika audit internal melalui kode yang sesuai
Kode Etik, The Institute of cfr. Situs web IIA — Standar &
etika.
Auditor Internal Panduan — Kode Etik
• Alat keterlibatan jaminan

• Alat audit log peristiwa
• Layanan penyediaan jaminan pihak ketiga
296
Halaman 297
BAB 5
LAMPIRAN
Lampiran
5.1 Lampiran A: Bertingkat Tujuan — Tabel Pemetaan
Tabel pemetaan di Lampiran A menginformasikan kaskade tujuan. Tabel pertama memetakan tujuan penyelarasan dengan tujuan perusahaan; itu
Tabel kedua memetakan tujuan tata kelola dan manajemen dengan tujuan penyelarasan. "P" dalam tabel mengacu pada primer dan
"S" mengacu pada sekunder.
5.1.1 Tabel Pemetaan: Sasaran Perusahaan — Sasaran Penyelarasan
Gambar 5.1 — Memetakan Sasaran Perusahaan dan Sasaran Penyelarasan

EG01 EG02 EG03 EG04 EG05 EG06 EG07 EG08 EG09 EG10 EG11 EG12 EG13
Portofolio dari Bisnis Optimasi
kompetitif Pemenuhan Pelanggan- layanan dari internal Optimasi Keterampilan staf, Dikelola Produk
produk Dikelola dengan eksternal Kualitas dari berorientasi kontinuita Kualitas dari bisnis bisni motivas Pemenuhan digital dan
s s i
dan bisnis hukum dan keuangan layanan dan pengelolaan proses proses dan dengan internal transformasi bisnis
jasa risiko peraturan informasi budaya ketersediaan informasi Kegunaan biaya produktifitas kebijakan program inovasi
AG01 Kepatuhan I&T dan

dukungan untuk bisnis
kepatuhan dengan eksternal
S P. S
Hukum dan regulasi
AG02 Risiko terkait I & T yang dikelola P. S
AG03 Manfaat yang disadari dari
Investasi yang mendukung I & T S S S S P.
dan portofolio layanan
AG04 Kualitas teknologi-

keuangan terkait P. P. P.
informasi
AG05 Penyampaian layanan I&T
sejalan dengan bisnis P. S S S S
Persyaratan
AG06 Kelincahan untuk mengubah bisnis

persyaratan menjadi P. S S S S
solusi operasional
AG07 Keamanan informasi,

infrastruktur pemrosesan
dan aplikasi, dan
P. P.
pribadi
AG08 Mengaktifkan dan mendukung

proses bisnis oleh
mengintegrasikan aplikasi
P. P. S S P. S
dan teknologi
AG09 Menyampaikan program
tepat waktu, sesuai anggaran dan
memenuhi persyaratan dan P. S S S P. S
standar kualitas
AG10 Kualitas I&T

informasi manajemen P. P. S
AG11 Kepatuhan I&T dengan S P. P.
kebijakan internal
AG12 Kompeten dan

staf termotivasi dengan
saling pengertian tentang
S P.
AG13 Pengetahuan, Keahlian dan
inisiatif untuk bisnis P. S S P.
inovasi
297
Halaman 298
5.1.2 Tabel Pemetaan: Tujuan Penyelarasan — Tata Kelola dan Tujuan Manajemen
Gambar — 5.2 Memetakan Tujuan Tata Kelola dan Manajemen dengan Tujuan Penyelarasan
AG01 AG02 AG03 AG04 AG05 AG06 AG07 AG08 AG09 AG10 AG11 AG12 AG13
SAYA T
pemenuhan Mengaktifkan dan Menyampaikan
dan dukungan Keamanan pendukung program
untuk bisnis Menyadari Kelincahan untuk bisnis tepat waktu, pada Kompeten dan
beirnbfeolromkasi,
pemenuhan manfaat dari Kualitas dari Pengiriman bisnis pengolahan diproses anggaran dan staf termotivasi Pengetahuan,
oleh
dengan I & T diaktifkan teknologi- Layanan I&T Persyaratan infrastruktur mengintegrasikan pertemuan Kualitas SAYA T dengan saling mengkuenathulnigankadnan
luar Dikelola investasi terkai sejalan dengan ke dan aplikasi Persyarata dari I&T pemenuha pemahaman inisiatif
t n n
hukum dan Terkait I & T dan layanan keuangan bisnis operasional aplikasi, dan dan kualitas pengelolaan dengan internal teknologi untuk bisnis
peraturan risiko portofolio informasi Persyaratan solusi dan privasi teknologi standar informasi kebijakan dan bisnis inovasi
EDM01 Memastikan tata kelola
pengaturan kerangka kerja dan pemeliharaan P. S P. S S
EDM02 Memastikan pengiriman manfaat
EDM03 Memastikan optimalisasi risiko

P. S S S S
EDM04 Sumber daya yang dijamin

S P. P. S
optimasi
S S S S P. S
EDM05 Memastikan pemangku kepentingan
keterikatan
S P. S
APO01 I&T Terkelola
kerangka manajemen
S S P. S S S S S P.
Strategi yang Dikelola APO02
S S S P. S S
APO03 Perusahaan yang dikelola
Arsitektur
S S P. S P.
APO04 Inovasi terkelola
APO05 Portofolio yang dikelola

S P. S S P.
APO06 Anggaran terkelola dan

P. P. S S S
biaya
S P. P. S
APO07 Manusia yang dikelola
sumber daya
S S S P. P.
APO08 Hubungan terkelola
Layanan yang Dikelola APO09 S P. P. S S P. P.

perjanjian
P. S
P. S S
S S S P. P.
Vendor yang Dikelola APO10
Kualitas APO11 Terkelola
APO12 Risiko yang dikelola

P. P.
APO13 Keamanan terkelola S S P.
APO14 Data yang dikelola S S S S P.
BAI01 Program yang dikelola P. S S P.
Persyaratan BAI02 Dikelola
definisi S P. P. S P. S
BAI03 Solusi terkelola
identifikasi dan pembangunan S P. P. S P.
BAI04 Ketersediaan terkelola dan
kapasitas P. S S
BAI05 Organisasi yang dikelola
perubahan P. S S P. P. S
BAI06 Perubahan TI yang dikelola S S P. S
BAI07 Perubahan TI yang dikelola
penerimaan dan S P. S
transisi
BAI08 Pengetahuan yang dikelola S S S S P. P.

BAI09 Aset yang dikelola P. S
BAI10 Konfigurasi terkelola S P.
BAI11 Proyek yang dikelola P. S P. P.
DSS01 Operasi terkelola P. S
Permintaan layanan Terkelola DSS02
dan insiden S P. S
DSS03 Masalah yang dikelola S P. S
DSS04 Kontinuitas terkelola S P. P.
DSS05 Layanan keamanan terkelola S P S P. S
DSS06 Bisnis yang dikelola . S S P. S
kontrol proses
S
MEA01 Kinerja terkelola
dan kesesuaian S S P. S P. S
pemantauan
Sistem Terkelola MEA02 dari S S S S S S S P.
MEA03 Kepatuhan yang dikelola dengan

persyaratan eksternal P. S
MEA04 Jaminan terkelola S S S S S S P.
298
Halaman 299
BAB 5
LAMPIRAN
5.2 Lampiran B: Struktur Organisasi — Gambaran Umum dan Deskripsi
Sepanjang panduan rinci di Bab 4, komponen struktur organisasi diambil dari peran dan struktur
diuraikan pada gambar 5.3 (lihat juga bagian 3.5 untuk gambaran umum dari komponen struktur organisasi).
Di seluruh perusahaan, nomenklatur yang diterapkan pada setiap peran atau struktur kemungkinan besar akan berbeda. Berdasarkan uraian di bawah ini,
setiap perusahaan dapat mengidentifikasi peran dan struktur yang sesuai — mengingat konteks bisnis, organisasi, dan operasinya sendiri
lingkungan — dan menetapkan tingkat akuntabilitas dan tanggung jawab yang sesuai.
Gambar 5.3 — Peran COBIT dan Struktur Organisasi

Peran / Struktur Deskripsi
Naik Kelompok eksekutif paling senior dan / atau direktur noneksekutif yang bertanggung jawab atas tata kelola dan kendali keseluruhan
sumber daya perusahaan
Komite Eksekutif Kelompok eksekutif senior yang ditunjuk oleh dewan untuk memastikan bahwa dewan terlibat dalam, dan terus mendapat informasi tentang, keputusan besar
(Komite eksekutif bertanggung jawab untuk mengelola portofolio I & T - diaktifkan investasi, I & T layanan dan I & T
aktiva; memastikan bahwa nilai diberikan; dan mengelola risiko. Komite biasanya diketuai oleh seorang anggota dewan.)
Ketua Pelaksana
Petugas Tertinggi - perwira didakwa dengan manajemen total perusahaan
Kepala Keuangan
Pejabat paling senior bertanggung jawab atas semua aspek manajemen keuangan, termasuk risiko dan pengendalian keuangan serta dapat diandalkan
Petugas
dan akun yang akurat
Kepala Operasi
Petugas Pejabat paling senior bertanggung jawab atas pengoperasian perusahaan
Chief Risk Officer Pejabat paling senior bertanggung jawab atas semua aspek manajemen risiko di seluruh perusahaan
(Fungsi petugas resiko Sebuah I & T dapat dibentuk untuk mengawasi I & T - . Risiko terkait)
Informasi Kepala Sebagian besar pejabat senior bertanggung jawab untuk menyelaraskan TI dan strategi bisnis serta bertanggung jawab atas perencanaan, sumber daya, dan
Petugas mengelola pengiriman layanan dan solusi I&T
Kepala Teknologi Sebagian besar pejabat senior bertugas dengan aspek teknis I&T, termasuk mengelola dan memantau keputusan yang terkait dengan I&T
Petugas layanan, solusi dan infrastruktur
(Peran ini juga dapat diambil oleh CIO.)
Kepala Bagian Digital Sebagian besar pejabat senior yang ditugaskan untuk mempraktikkan ambisi digital perusahaan atau unit bisnis
(Peran ini dapat diambil oleh CIO atau anggota komite eksekutif lainnya.)
Tata Kelola I&T
Kelompok stakeholder dan pakar jawab untuk membimbing I & T - hal-hal terkait dan keputusan, termasuk mengelola I & T -
Naik
memungkinkan investasi, memberikan nilai, dan memantau risiko
Dewan Arsitektur
K lompok stakeholder dan pakar jawab untuk membimbing arsitektur enterprise - hal-hal terkait dan keputusan dan untuk menetapkan
e kebijakan dan standar arsitektur
Risiko Perusahaan
Komite Sekelompok eksekutif bertanggung jawab untuk perusahaan - tingkat kolaborasi dan konsensus yang diperlukan untuk mendukung risiko perusahaan
kegiatan dan keputusan manajemen (ERM)
(Dewan risiko I&T dapat dibentuk untuk mempertimbangkan risiko I&T secara lebih rinci dan menasihati komite risiko perusahaan.)
Informasi Kepala Pejabat paling senior bertanggung jawab atas semua aspek manajemen keamanan di seluruh perusahaan
Petugas keamanan
Proses bisnis Individu yang bertanggung jawab untuk melakukan proses dan / atau mewujudkan tujuan proses, mendorong perbaikan proses dan
Pemilik menyetujui perubahan proses
Manajer portofolio Individu yang bertanggung jawab untuk membimbing manajemen portofolio, memastikan pemilihan program dan proyek yang benar, mengelola dan
pemantauan program dan proyek untuk nilai optimal, dan menyadari panjang - tujuan strategis jangka efektif dan efisien
Kemudi (Program / Kelompok pemangku kepentingan dan ahli yang bertanggung jawab untuk memandu program dan proyek, termasuk mengelola dan memantau
Proyek) Komite merencanakan, mengalokasikan sumber daya, memberikan manfaat dan nilai, dan mengelola risiko program dan proyek
Manajer Program Individu yang bertanggung jawab untuk membimbing program tertentu, termasuk mengartikulasikan dan menindaklanjuti tujuan dan sasaran dari
program dan mengelola risiko dan dampak pada bisnis
299
Halaman 300
Gambar 5.3 — Peran COBIT dan Struktur Organisasi (lanjutan)

Peran / Struktur Deskripsi
Manajer proyek Individu yang bertanggung jawab untuk memandu proyek tertentu, termasuk mengkoordinasikan dan mendelegasikan waktu, anggaran, sumber daya, dan tugas
di seluruh tim proyek
Manajemen proyek
Berfungsi bertanggung jawab untuk mendukung manajer program dan proyek dan untuk mengumpulkan, menilai dan melaporkan informasi
Kantor
tentang pelaksanaan program dan proyek konstituen
Manajemen data
Berfungsi bertanggung jawab untuk mendukung aset data perusahaan di seluruh siklus hidup data dan mengelola strategi data,
Fungsi
infrastruktur dan repositori
Kepala Manusia
Pejabat paling senior bertanggung jawab atas perencanaan dan kebijakan mengenai sumber daya manusia di perusahaan
Sumber daya
Relationship Manager Senior individu yang bertanggung jawab untuk mengawasi dan mengelola antarmuka internal dan komunikasi antara bisnis dan
Fungsi I&T
Kepala Arsitek Individu senior bertanggung jawab untuk proses arsitektur perusahaan
Pengembangan Kepala
Jawab individu senior untuk I & T - proses pembangunan solusi terkait
Kepala Operasi TI Individu senior yang bertanggung jawab atas lingkungan dan infrastruktur operasional TI
Kepala bagian TI
Administrasi -
Akuntabel Senior individu untuk I & T catatan -
terkait dan bertanggung jawab untuk mendukung I & T masalah administrasi terkait
Manajer Pelayanan Individu yang mengelola pengembangan, implementasi, evaluasi, dan pemeliharaan baru dan yang sudah ada
produk dan layanan untuk pelanggan tertentu (pengguna) atau sekelompok pelanggan (pengguna)
Informasi keamanan
Individu yang mengelola, merancang, mengawasi dan / atau menilai keamanan informasi perusahaan
Pengelola
Keberlangsungan bisnis
Individu yang mengelola, merancang, mengawasi dan / atau menilai kemampuan kelangsungan usaha suatu perusahaan, untuk memastikan bahwa
Pengelola
fungsi penting perusahaan terus beroperasi setelah kejadian yang mengganggu
Petugas Privasi Individu yang bertanggung jawab untuk memantau risiko dan dampak bisnis dari undang-undang privasi dan untuk membimbing dan mengoordinasikan
implementasi kebijakan dan aktivitas yang memastikan kepatuhan dengan arahan privasi
(Di beberapa perusahaan, posisi tersebut dapat dirujuk sebagai petugas perlindungan data.)
Penasehat hukum Fungsi bertanggung jawab untuk panduan tentang masalah hukum dan peraturan
Pemenuhan Fungsi bertanggung jawab atas semua panduan tentang kepatuhan eksternal
Audit Fungsi yang bertanggung jawab atas penyediaan audit internal
5.3 Lampiran C: Daftar Rujukan Terperinci
Standar dan pedoman berikut berkontribusi pada referensi rinci untuk COBIT 40 inti ® 2019 governance dan
tujuan manajemen.
• CIS ® Center for Internet Security ® , CIS Critical Security Controls for Effective Cyber Defense , Versi 6.1, Agustus 2016
• CMMI ® Cybermaturity Platform, 2018
• Model SM CMMI ® Data Management Maturity (DMM) , 2014
• Kerangka Kerja Committee of Sponsoring Organizations (COSO) Enterprise Risk Management (ERM), Juni 2017
• Komite Eropa untuk Standardisasi (CEN), Kerangka Kerja e - Kompetensi (e - CF) - Kerangka umum Eropa untuk
300
Halaman 301
BAB 5
LAMPIRAN
Profesional TIK di semua sektor industri - Bagian 1: Kerangka , EN 16234 - 1: 2016

• Kerangka Kerja Keamanan Umum HITRUST ® , versi 9, September 2017
• Forum Keamanan Informasi (ISF), Standar Praktik yang Baik untuk Keamanan Informasi 2016
• Organisasi Internasional untuk Standardisasi / Standar Komisi Elektroteknik Internasional (ISO / IEC)
▪ ISO / IEC 20000 - 1: 2011 (E)
▪ ISO / IEC 27001: 2013 / Kor.2: 2015 (E)
▪ ISO / IEC 27002: 2013 / Kor.2: 2015 (E)
▪ ISO / IEC 27004: 2016 (E)
▪ ISO / IEC 27005: 2011 (E)
▪ ISO / IEC 38500: 2015 (E)
▪ ISO / IEC 38502: 2017 (E)

• Perpustakaan Infrastruktur Teknologi Informasi (ITIL ® ) v3, 2011
• Institute of Internal Auditing ® (IIA ® ), “Prinsip Inti untuk Praktik Profesional Audit Internal” • King IV
Report tentang Tata Kelola Perusahaan ™ , 2016
• King IV Report on Corporate Governance ™ , 2016
• Standar Institut Standar dan Teknologi Nasional AS (NIST)
▪ Kerangka Kerja untuk Meningkatkan Keamanan Siber Infrastruktur Kritis V1.1, April 2018
▪ Publikasi Khusus 800 - 37, Revisi 2 (Draf), Mei 2018
▪ Publikasi Khusus 800 - 53, Revisi 5 (Draf), Agustus 2017

• Sebuah Panduan untuk PMBOK: PMBOK ® Panduan Edisi Keenam , 2017
• PROSCI ® 3 - Proses Manajemen Perubahan Fase

• Kerangka Agile Berskala untuk Perusahaan Lean (SAFe ® )
• Kerangka Keterampilan untuk Era Informasi (SFIA ® ) V6, 2015
• The Open Group IT4IT ® Referensi Arsitektur, versi 2.0
• Open Group Standard TOGAF ® versi 9.2, 2018
301
Halaman 302

302

Tujuan Tata Kelola Dan Manajemen-Dikonversi

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Tujuan Tata Kelola Dan Manajemen-Dikonversi

Diunggah oleh

Hak Cipta:

Format Tersedia

4/23/2021 Tujuan Tata Kelola dan Manajemen

Tata Kelola dan

Berpartisipasi dalam Forum Online ISACA: https://engage.isaca.org/onlineforums

Kerangka COBIT ® 2019: Tujuan Tata Kelola dan Manajemen

DALAM KENANGAN: JOHN LAINHART (1946-2018)

In Memoriam: John Lainhart (1946-2018)

KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN

Halaman sengaja dikosongkan

UCAPAN TERIMA KASIH

Ucapan Terima Kasih

Kelompok Kerja COBIT (2017-2018)

KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN

Ucapan Terima Kasih (lanjutan)

Dewan Direksi ISACA

Bab 2. Struktur Publikasi Ini dan Audiens Yang Dituju.............................................................................................................15

Bab 3. Struktur Tata Kelola dan Tujuan Manajemen COBIT............................................................................................17

KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN

Bab 3. Struktur Tata Kelola dan Tujuan Manajemen COBIT

1.1 COBIT sebagai Kerangka Tata Kelola Teknologi dan Informasi

▪ Arahan ditetapkan melalui pembuatan prioritas dan pengambilan keputusan.

1 Komponen ini disebut enabler dalam COBIT 5.

KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN

Beberapa kesalahpahaman tentang COBIT harus dihilangkan:

1.2 Tinjauan COBIT ® 2019

Gambar 1.1 — Ringkasan COBIT

COBIT 5 COBIT Core

PenTgataatuKraenloKlaerangka EDM02 —Pastikan EDM03 —Pastikan

Kerangka COBIT ® 2019:

keluarga produk tetapi belum dirilis.

1.3 Terminologi dan Konsep Utama Kerangka COBIT

1.3.1 Tujuan Tata Kelola dan Manajemen

KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN

Gambar 1.2 — Model Inti COBIT

APO01 —Dikelola APO03 —Dikelola

DSS02 —Dikelola DSS05 —Dikelola DSS06 —Dikelola

1.3.2 Komponen Sistem Tata Kelola

Gambar 1.3 — Komponen COBIT dari Sistem Tata Kelola

KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN

1.3.3 Area Fokus

2.1 Struktur Publikasi Ini

Sisa dari dokumen ini berisi bagian dan lampiran berikut:

▪ Memetakan tabel yang menginformasikan kaskade tujuan

▪ Deskripsi struktur organisasi

▪ Daftar referensi sumber

2.2 Audiens yang Dituju

KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN

Halaman sengaja dikosongkan

Struktur informasi ini dirincikan di bagian berikut.

3.2 Tujuan Tata Kelola dan Manajemen

▪ Evaluasi, Langsung dan Monitor (EDM)

▪ Sejajarkan, Rencanakan, dan Atur (APO)

KERANGKA COBIT® 2019: TUJUAN TATA KELOLA DAN MANAJEMEN

Gambar 3.1 — Tampilan Tujuan Tata Kelola dan Manajemen

3.3 Gol Bertingkat

Gambar 3.2 — Tampilan Perusahaan yang Berlaku dan Tujuan Penyelarasan

Tujuan penyelarasan meliputi:

• EG03: Kepatuhan terhadap hukum dan peraturan eksternal

Gambar 3.3 — Tampilan Sasaran yang Berlaku dan Contoh Metrik

<EG REF> • <METRIC> <AG REF> • <METRIC>

<EG REF> • <METRIC> <AG REF> • <METRIC>

3.4 Komponen: Proses

Gambar 3.4 — Tampilan Komponen Proses

Tata Kelola / Praktek Manajemen Contoh Metrik