AWARENESS

BCMS
ISO 22301:2019

Sistem Manajemen Keberlangsungan Bisnis

Business Continuity Management System
Mengapa perlu ISO 22301:2016

o Memberikan panduan untuk mengurangi

terjadinya suatu peristiwa yang
mengganggu operasional perusahaan

o Mampu merespons secara efektif ketika

terjadi gangguan, dan cepat pulih jika
kasus peristiwa serupa itu muncul.
 Standar ISO 22301 :2019 Manajemen Kelangsungan Bisnis

Pengertian Standar ISO 22301

ISO 22301 adalah standar internasional yang berisi persyaratan untuk

penerapan sistem BCM (Business Continuity Management).

Tujuan dari adanya standar ini adalah untuk memberikan panduan bagi
organisasi untuk membangun dan terus meningkatkan sebuah sistem yang
bisa menjaga kelangsungan bisnisnya dengan cara :
 Mengurangi terjadinya suatu peristiwa yang mengganggu
 Merespons secara efektif ketika terjadi gangguan
 Cepat pulih jika kasus peristiwa gangguan yang serupa itu muncul
kembali
 Persyaratan Umum Standar ISO 22301

 Memahami kebutuhan organisasi dan kebutuhan untuk

menetapkan kebijakan manajemen kelangsungan bisnis dan
tujuan,
 Menerapkan dan operasi kontrol dan langkah-langkah untuk
mengelola kemampuan keseluruhan organisasi untuk
mengelola insiden mengganggu,
 Pemantauan dan meninjau kinerja dan efektivitas sistem
kelangsungan bisnis, dan
 Perbaikan berkelanjutan berdasarkan pengukuran yang
objektif.
 Purpose of BCMS

Sebuah organisasi yang berhasil menerapkan standar ini akan secara

drastis mengurangi potensi kerusakan suatu peristiwa yang
mengganggu. Cara yang dilakukan sesuai dengan standar ini :

 Mengidentifikasi dan mengelola segala jenis ancaman saat ini dan

masa depan.
 Meminimalkan dampak dari insiden, dan menjaga fungsi kritis siap
dan berjalan selama masa krisis.
 Meningkatkan kapasitas untuk meminimalkan downtime setelah
insiden apapun.
 Meningkatkan waktu pemulihan dan menunjukkan perlawanan
mereka kepada pelanggan, pemasok dan penawaran tender.
KLUAUSUL STANDAR ISO 22301:2019 - HLS

1
1 Scope 6
6 Planning

22 Normative references 7
7 Support

3 8
3 Terms and 8
definitions Operation

4 9
4 Context of the 9 Performance
organization evaluation

55 Leadership
10
10 Improvement
STANDAR ISO 22301
 Apa yang berubah dari ISO 22301:2012
dengan ISO 22301:2019
 Konten dalam klausa 8 telah disusun ulang, duplikasi dihapus dan terminologi
disederhanakan dan lebih konsisten
 Referensi terhadap selera risiko telah dihapus
 Informasi panduan pengantar telah dihapus dan ditempatkan di ISO 22313 Panduan
BCMS
 Fokus yang lebih spesifik pada perencanaan perubahan BCMS
 Prosedur dan persyaratan dokumentasi yang kurang preskriptif
 Strategi kesinambungan bisnis lebih jelas dinyatakan sebagai “Strategi dan solusi
kesinambungan bisnis”
 Rencana kesinambungan bisnis sekarang jelas terkait dengan mendukung tim dan
orang-orang yang akan menanggapi gangguan
Apa yang dihapus dalam ISO 22301:2019 ?

Istilah “Risk Appetite” telah dihapus dari standar. Dalam versi

2012, “Risk Appetite” didefinisikan sebagai “jumlah dan jenis
risiko yang ingin dicapai atau dipertahankan oleh suatu
organisasi”.

Standar baru, bagaimanapun, adalah benar untuk menghapuskan

istilah tersebut.
Bukan hanya “risk appetite” yang merupakan isu yang agak
subyektif, itu juga pada akhirnya tidak relevan: yang penting
bukanlah risiko yang bersedia diambil oleh organisasi, tetapi
tingkat di mana dampak dari tidak melanjutkan kegiatan akan
menjadi tidak dapat diterima oleh suatu organisasi.
 Definisi BCMS

Business Continuity (BC) didefinisikan sebagai kemampuan

organisasi untuk melanjutkan pengiriman produk atau jasa pada tingkat
yang telah ditetapkan dan dapat diterima menyusul insiden yang
mengganggu.

(Sumber: ISO 22301:2012)

 Business Continuity Management

Business Continuity Management (BCM) adalah manajemen

holistik mulai dari menyediakan langkah-langkah kebijakan,
identifikasi risiko, struktur organisasi dan tanggung jawab,
mekanisme kerja serta prosedur operasional dalam
upaya pemulihan organisasi dan aktivitasnya.
 Mengapa perlu Business Countinuity Management
System (BCMS)?

Business Continuity Management System (BCMS) proses

identifikasi, perencanaan, implementasi, pemeliharaan, peningkatan
dalam rangka mempersiapkan perusahaan agar mempunyai ketahanan
dalam operasional bisnis kritikal, sehingga apabila terjadi bencana atau
gangguan proses operasional bisnis tersebut akan tetap berjalan.

BCMS perusahaan bisa bekerja dengan baik pada saat disaster

apabila semua faktor penting dari pendukungnya siap pada tempatnya
kapansaja. Untuk mencapai hal tersebut perusahaan harus terus
menerus memperbaiki BCMS lewat proses perencanaan, dokumentasi,
testing, reviewing, maintaining dan auditing.
 Business Continuity Penting :
1. Tidak ada jaminan kondisi selalu ideal untuk menjalankan
kegiatan bisnis perusahaan.
2. Kondisi diluar normal tidak dapat dikendalikan sehingga
seringkali menyebabkan “Sudden & massive lost”
3. Terdapat cukup banyak hal yang tidak dapat dicegah,
namun yang bisa dilakukan adalah mengurangi
dampaknya.
4. Sebagai pemenuhan prasyaratan dari stakeholder
organisasi (stakeholder : pemerintah, principle, customer,
dsb)
 Kondisi diluar normal (abnormal) ?

Kondisi diluar normal adalah kondisi dimana organisasi /

perusahaan tidak dapat mengantisipasi kondisi tersebut.
Contohnya adalah :
 Natural Disaster : banjir, gempa bumi, gunung meletus.
 Man-made disaster : sabotase, peperangan, serangan teroris.
 Main Facility Failure : kegagalan supplay listrik, kegagalan system
pendingin dan lain sebagainnya.
 GovernmentalIssue : Pemohokan, embargo ekonomi, dan
sebagainya
 Penyebaran Penyakit Menular.
 Dan sebagainnya
 Bila terjadi kondisi diluar normal
Kondisi di luar normal (kondisi bahaya) adalah kondisi-kondisi yang
tidak direncanakan dan berpotensi menimbulkan kerugian yang cukup
besar bagi perusahaan.
Jika terjadi kondisi ini maka hal yang perlu dilakukan adalah
menentukan nilai Maximum Tolerable Disruption Periode. (MTDP).

Maximum Tolerable Disruption Periode (MTDP) adalah berapa lama

waktu layanan tidak berfungsi dan bisa ditoleransi oleh pengguna.

Karena MTDP adalah waktu yang bisa ditoreransi oleh pengguna,

maka penentapan MTDP harus dilakukan bersama-sama dengan
(persetujuan) pengguna.
MTDL adalah obyektif yang dilihat dari sudut pandang unit
pengguna/user yang melakukan kegiatan operasional.
 Tahapan MTDP
1. Recovery Time Objectives (RTO) adalah lama waktu yang
dibutuhkan untuk pemulihan sistem dan data. Jika antar komponen
layanan atau service component terjadi dependency, maka waktu
recovery dihitung secara serial untuk komponen-komponen yang
interdepencency. Jika antar komponen layanan tidak saling
bergantung, recovery time dapat dihitung secara paralel antara
komponen layanan. Maksimum RTO adalah 80% dari maksimum
waktu layanan tidak befungsi yang ditoleransi atau MTDL.

2. Recovery Point Objectives (RPO) adalah ambang berapa banyak

data yang boleh hilang sejak terakhir backup dilakukan. Jika backup
dilakukan sekali sehari pada malam hari, sementara kerusakan
sistem/storage dapat terjadi beberapa menit sebelum proses backup
dijalankan, maka nilai RPO adalah 24 jam. Dengan kata lain RPO
merupakan pernyataan berapa lama suatu informasi/data boleh hilang.
 Menyusun Business Countinuity
Management System (BCMS)?

Dokumentasi Business Countinuity Management System

(BCMS) terdiri atas dua dokumentasi yaitu :

a. Dokumen BCM Strategy yaitu suatu dokumen yang memuat

segala asumsi dan analisa yang diperlukan, yang menjadi
acuan bagi pembuatan dokumen BCP.
b. Dokumen Business Continuity Plan (BCP) yaitu suatu
panduan operasional untuk kondisi sebelum /saat/sesudah
kondisi di luar normal terjadi.
Langkah-langkah untuk penyusunan BCMS Strategy : (1)

1. Kebijakan Pembentukan dan Penetapan Ruang Lingkup

Kebijakan Business Countinuity Management System (BCMS) dibuat untuk

menggambarkan komitmen dan prinsip-prinsip dasar dari BCMS.

Penetapan ruang lingkup, penetapan ruang lingkup ini dilakukan untuk

membatasi effort dan “Proof on concept”.
Prinsip penentuan scope disarankan adalah area yang paling kritikal namun
paling mudah dilakukan.
Hal-hal yang menjadi batasan dalam scope adalah :
– Physical Area
– Proses Bisnis
– Organisasi
– Asset
Langkah-langkah untuk penyusunan BCMS Strategy : (2)

2. Pendefinisian Kondisi Abnormal

Setelah menentukan ruang lingkup dari BCMS lakukan analisa untuk

menentukan kondisi abnormal yang mungkin dari ruang lingkup BCM
yang telah ditetapkan.
Kondisi abnormal ini ditentukan untuk memudahkan dalam melakukan
BIA (Business Impact Analysis) pada tahapan BCMS selanjutnya.
Langkah-langkah untuk penyusunan BCMS Strategy : (3)

3. Melakukan Business Impact Analysis (BIA)

Analisa dampak bisnis/business impact analysis (BIA) merupakan salah

satu bagian dari rencana kelanjutan bisnis/business continuity planning
(BCP) organisasi yang menggambarkan potensi risiko organisasi.

Analisa dampak bisnis/business impact analysis (BIA) adalah proses

mengidentikasi, menganalisa, dan menentukan dampak yang terjadi pada
kelangsungan bisnis proses di organisasi seandainya terjadi
gangguan/bencana yang menimbulkan terhentinya operasional dari bisnis
proses tersebut.
Langkah-langkah untuk penyusunan BCMS Strategy : (3A)

Tahapan Penyusunan Business Impact Analysis (BIA)

Efektifitas dari suatu BCP tergantung hasil Business Impact Analysis (BIA)
karena merupakan dasar dari penyusunan keseluruhan BCP.

Hal-hal yang harus dianalisis dalam BIA meliputi:

1) Tingkat kepentingan (criticality) masing-masing proses bisnis dan

ketergantungan antar proses bisnis serta prioritisasi yang diperlukan.

2) Tingkat Maximum Tolerable Outage/Recovery Time Objective (berapa

lama usaha dapat bekerja tanpa sistem atau fasilitas yang mengalami
gangguan dan atau berapa cepat sistem atau fasilitas tersebut harus
berfungsi kembali).
Langkah-langkah untuk penyusunan BCMS Strategy : (3A)

Hal-hal yang harus dianalisis dalam BIA meliputi:

3) Tingkat Minimum Resources Requirement (personil, data dan

kelengkapan sistem serta fasilitas yang diperlukan secara minimal
agar bisnis bisa pulih dan berjalan).
4) Dampak potensial dari kejadian yang bersifat tidak spesifik dan tidak
dapat dikontrol terhadap proses bisnis dan pelayanan kepada
nasabah.
5) Dampak disaster terhadap seluruh departemen dan fungsi bisnis,
bukan hanya terhadap data processing.
6) Estimasi downtime maksimum yang dapat ditoleransi dan tingkat
toleransi atas kehilangan data dan terhentinya proses bisnis serta
dampak downtime terhadap kerugian finansial.
Langkah-langkah untuk penyusunan BCMS Strategy : (3B)

Hal-hal yang harus dianalisis dalam BIA meliputi:

7) Jalur komunikasi yang dibutuhkan untuk berjalannya pemulihan.

8) Kemampuan dan pengetahuan petugas mengenai Contingency Plan dan
ketersediaan petugas pengganti di tempat pemulihan.
9) Dampak hukum dan pemenuhan ketentuan yang terkait, seperti ketentuan
mengenai kerahasiaan data.

Dalam melakukan BIA, masing-masing unit bisnis perlu memperhatikan bahwa

BCP yang disusun untuk berbagai situasi bencana dan gangguan mulai dari
yang minor, major sampai dengancatastrophic.

Dampak dapat diukur dengan jelas (tangible impact) seperti penalti akibat
keterlambatan pembayaran bunga atau biaya lembur pegawai, atau juga yang
tidak dapat diukur secara jelas (intangible impact) seperti kesulitan konsumen
memperoleh pelayanan.
Langkah-langkah untuk penyusunan BCMS Strategy : (4)

4. Identifikasi Risk Assessment adalah metode yang sistematis untuk

menentukan apakah suatu organisasi memiliki resiko yang dapat diterima atau
tidak.

Risk assessment merupakan kunci dalam perencanan pemulihan

bencanayang mencakup risk identification, risk analysis dan risk evaluation.

a) Risk identification adalah mengidentifikasi resiko yang mungkin terjad, risk

identification bertujuan untuk mengkategorikan resiko – resiko yang dapat
mempengaruhi organisasi. . Hasil dari risk identification adalah sebuah daftar
resiko yang dapat memudahkan management resiko pada tahap selanjutnya
Langkah-langkah untuk penyusunan BCMS Strategy : (5)

Risk assessment merupakan kunci dalam perencanan pemulihan bencana yang

mencakup risk identification, risk analysis dan risk evaluation.

b) Risk Analysis adalah menganalisis resiko yang mungkin terjadi pada suatu
organisasi yang ditimbulkan oleh potensi alam maupun manusia. Risk analysis
menghasilkan sebuah laporan analisis resiko untuk menentukan efek samping,
kerugian, ancaman dan digunakan untuk menyusun penanggulangan terhadap
serangan atau bencana yang mungkin terjadi.

c) Risk Evaluation adalah pembentukan hubungan antara resiko dan manfaat dari
potensi bahaya yang ditimbulkan.Meliputi evaluasi dari semua informasi yang
dikumpulkan untuk menentukan besarnya kerugian yang ditimbulkan bencana.
Risk evaluation mengevaluasi langkah apa yang akan diambil untuk mengatasi
dampak dari suatu bencana.
Langkah-langkah untuk penyusunan BCMS Strategy : (6)

Jenis bencana berdasarkan kerusakan yang ditimbulkan dibagi menjadi 2 :

1. Minor Disaster
Bencana kecil yang ditimbulkan baik dari alam ataupun dari kesalahan manusia.
Contoh : gempa kecil, mouse rusak, gangguan listrik, serangan penyakit yang
menyebabkan karyawan yang memegang posisi penting, perampokan, operator
error, kebocoran, pemadaman listrik, dll

2. Mayor Disaster
Bencana besar yang menyebabkan sistem informasi benar – benar terhenti tanpa
toleransi.
Contoh : gempa bumi, tsunami, kebakaran, kerusakan hardware pada server,
kerusakan jaringan, serangan hacker, perang, terorisme, kegagalan telekomunikasi,
ledakan, dll
Langkah-langkah untuk penyusunan BCMS Strategy : (7)

5. Formulasi Strategi Keberlangsungan

Penyusunan strategi keberlangsungan dilakukan dengan cara :

a) Petakan komponen-komponen pendukung suatu sumber daya

yang akan dikelola keberlangsungannya.

b) Tentukan Recovery Time objective (RTO) dan khusus untuk

komponen yang berupa informasi, tentukan juga Recovery Point
Objective (RPO), sehingga MTDP dari sumber daya yang akan
dikelola dapat tercapai.
Langkah-langkah untuk penyusunan BCMS Strategy : (8)

6. Business Continuity Plan (BCP)

Business Continuity Plan (BCP) adalah suatu kreasi dan validasi

perencanaan logistik tentang bagaimana organisasi dapat
mengembalikan atau memulihkan fungsi dari bagian organisasinya uang
rusak setelah terjadinya bencana atau gangguan.
BCP adalah rencana bagaimana suatu organisasi bertahan dalam
menghadapi bencana yang terjadi. BCP menjadi salah satu perencanaan
yang bertujuan meminimalkan dampak terjadinya bencana tersebut.
Langkah-langkah untuk penyusunan BCMS Strategy : (9)

Tahapan Penyusunan Business Continuity Plan :

1. Mengorganisasi Proyek Penyusunan BCP

Pada tahap ini dilakukan perencanaan pembuatan dokumen Business
Continuity Plan (BCP) yang meliputi :
• Tujuan BCP
• Ruang Lingkup
• Struktur Organisasi Proyek
• Jadwal Pelaksanaan BCP

2. Mengidentifikasi dan Menganalisa Dampak Resiko

Pada tahap ini dilakukan identifikasi dan analisa dampak potensial apa sajakah
yang dapat terjadi serta bagaimana akibatnya terhadap operasional bisnis.
Langkah-langkah untuk penyusunan BCMS Strategy : (10)
Tahapan Penyusunan Business Continuity Plan :
3. Mempersiapkan Kondisi Darurat
Persiapan kondisi darurat dilakukan dengan :
• Menentukan strateti back-up (penyelamatan) dan recovery (pemulihan) untuk
setiap prediksi bencana
• Menentukan prosedur untuk menghadapi kondisi darurat.

4. Menentukan Tindakan Pemulihan Bisnis

Tindakan pemulihan bisnis dilakukan dengan cara menentukan personil / tim
yang bertanggung jawab dan menentukan prosedur yang dilakukan untuk
pemulihan bisnis.

5. Melakukan Pengujian BCP

Pengujian terhadap BCP ini dilakukan dengan menguji sistem BCP yang disusun
serta melakukan evaluasi dan perbaikan sistem BCP
Langkah-langkah untuk penyusunan BCMS Strategy : (11)

Tahapan Penyusunan Business Continuity Plan :

6. Melakukan Pelatihan BCP

Pelatihan dilakukan dengan sosialisasi dan pelatihan BCP kepada seluruh
pegawai khususnya serta mengevaluasi hasil pelatihan tersebut.

7. Melakukan Pemeliharaan Sistem BCP

Pada tahap ini dilakukan dengan peninjauan ulang BCP yang dibuat dan
membuat prosedur kebijakan untuk melakukan perubahan.

Business Continuity Plan berfookus utama adalah pada persyaratan pemulihan

bisnis. Pemangku Kepentingan Bisnis bekerjasama untuk melaksanakan rencana
darurat dan pengaturan yang sesuai dengan kebutuhan mereka.
All rights reserved ISBN 211-87-61-10648-9
© personal copy f or Mulyanto,PhDcd

iso.org