Klausul 6 -

Peíencanaan
Tujuan Pembelajaran

Setelah mengikuti pelatihan ini, peserta diharapkan

mampu menganalisis Tindakan untuk menangani
risiko dan peluang serta sasaran manajemen
keamanan informasi dan perencanaan untuk
mencapainya.
 Perencanaan

• Perencanaan menurut Newman, dikutip oleh Manullang : “Planning is deciding in advance what is to be done.” Jadi, perencanaan adalah
penentuan terlebih dahulu apa yang akan dikerjakan. [1]
• Sedangkan Beishline menyatakan bahwa fungsi perencanaan memberi jawaban atas pertanyaan-pertanyaan tentang siapa, apa, apabila,
dimana, bagaimana, dan mengapa. [2]
• Robbins dan Coulter dikutip dari Ernie Tisnawati mendefinisikan perencanaan sebagai sebuah proses yang dimulai dari penetapan tujuan
organisasi, menentukan strategi untuk pencapaian tujuan organisasi tersebut secara menyeluruh, serta merumuskan sistem perencanaan
yang menyeluruh untuk mengintegrasikan dan mengoordinasikan seluruh pekerjaan organisasi hingga tercapainya tujuan organisasi. [3]
• Sebelum manajer dapat mengorganisasi, mengarahkan atau mengawasi, mereka harus membuat rencana-rencana yang memberikan
tujuan dan arah organisasi. Dalam perencanaan, manajer memutuskan “apa yang harus dilakukan, kapan melakukannya, bagaimana
melakukannya, dan siapa yang melakukannya.” [4]

1 Manullang, Dasar-dasar Manajemen, 39.

2 Ibid., 39-40.
3 Ernie Trisnawati dan Kurniawan Sule, Pengantar Manajemen, 96.
4 Hani Handoko, Manajemen, 77.
Klausul 6 -Perencanaan
6.1 Tindakan untuk Menangani Risiko dan Peluang

Merujuk ke ISO 31000:2009 untuk manajemen risiko

namun untuk dokumennya sebaiknya terpisah karena jika
menerapkan lebih dari 1 sistem manajemen SML fokus
pada manajemen risiko terhadap layanannya
PENGERTIAN MANAJEMEN RISIKO
 Melacak sumber-sumber risiko.

Menyediakan informasi risiko bagi perusahaan.

Meminimalkan kerugian akibat terjadinya risiko.

Untuk memprediksi bahaya
atau risiko yang nantinya Memberikan rasa aman bagi stakeholder.
akan dihadapi dengan segala
petimbangan yang matang Menjaga stabilitas dan pertumbuhan organisasi.
dan menghindari kerugian.
6.1.1 Saat Merencanakan SML, organisasi harus mempertimbangkan masalah yang disebutkan
dalam 4.1 dan persyaratan dalam 4.2, serta menentukan risiko dan peluang yang harus
ditangani untuk:

a) memberikan jaminan bahwa SML

dapat mencapai manfaat yang diinginkan;

b) mencegah, atau mengurangi, efek

yang tidak diinginkan;

c) mencapai peningkatan berkelanjutan

dari SML dan layanan.
6.1.2 Organisasi harus menentukan dan mendokumentasikan:

a. Risiko yang berkaitan dengan:

1) organisasi;
2) tidak memenuhi persyaratan layanan;
3) keterlibatan para pihak lain dalam siklus hidup
layanan;

b. dampak pada pelanggan dari risiko dan

peluang untuk SML dan layanan
c. kriteria penerimaan risiko;
d. pendekatan yang akan diambil untuk
manajemen risiko.
Kemungkinan Terjadinya Resiko
kemungkinan terjadinya Risiko (likelihood/ frequency), yaitu besarnya peluang
atau frekuensi suatu Risiko akan terjadi. Pengukurannya bisa menggunakan
pendekatan statistik (probability), frekuensi kejadian persatuan waktu (hari,
minggu, bulan, tahun) , atau dengan expert judgement
Tabel Kategori Resiko
NO Kategori Risiko Definisi
Risiko yang disebabkan oleh menurunnya tingkat kepercayaan pemangku
1 Reputasi kepentingan ekstemal yang bersumber dari persepsi negatif terhadap
organisasi.
Risiko yang disebabkan kerugian berupa sejumlah biaya yang harus di
2 FInansial
keluarkan, di tanggung,atau yang hilang dalam bentuk rupiah.
Risiko yang disebabkan:
- ketidakcukupan dan/atau tidak berfungsinya proses internal, kesalahan
3 Operasional manusia, dan kegagalan sistem.
-adanya kejadian ekstemal yang mempengaruhi operasional organisasi.
-adanya tuntutan hukum dari luar kepada organisasi
Risiko yang di sebabkan turunnya performa atau capaian terhadap suatu
4 Kinerja
ketetapan waktu.
Kategori Risiko berupa aspek yang berkaitan dengan peraturan perundang-
Hukum dan Regulasi
5 undangan dan kebijakan
dampak Risiko berupa aspek yang berkaitan dengan fisik dan mental
Sumber Daya
6 pegawai
Risiko berupa aspek yang berkaitan dengan pemenuhan kebutuhan atau
Layanan Organisasi
7 jasa kepada pemangku kepentingan
Dampak Terjadinya Risiko
Dampak Risiko adalah suatu efek yang timbul pada sebuah organisasi yang menyebabkan
terhambatnya suatu layanan atau tujuan/Capai pada sebuah Organisasi. Berikut ini adalah
5 level tingkatan dampak :
Tabel Kriteria Dampak Risiko
Level Dampak
Area Dampak 1 2 3 4 5
Tidak Signifikan Kurang Signifikan Cukup Signifikan Signifikan Sangat Signifikan
terdapat kerugian/biaya yang terdapat kerugian/biaya
terdapat kerugian/biaya yang harus
terdapat kerugian/biaya yang harus harus dikeluarkan Rp. yang harus dikeluarkan Rp.
Finansial Tidak terdapat kerugian finansial dikeluarkan lebih dari Rp.
dikeluarkan hingga Rp. 50.000.000,- 50.000.000,-hingga Rp. 250.000.000,-Rp.
500.000.000,-
250.000.000,- 500.000.000,-

Terdapat pemberitaan negatif
Reputasi namun tidak mengakibat
penurunan kepercayaan
Terdapat pemberitaan negatif yang
dapat mempengaruhi tingkat
kepercayaan stakeholder
terdapat pemberitaan negatif
hilangnya kepercayaan Stakeholder sama sekali tidak
yang terus menurunkan
stakeholder percaya
kepercayaan stakeholder

Tidak Menimbulkan penurunan Penurunan kinerja sampai

Kinerja Penurunan kinerja sampai 30% Penurunan kinerja sampai 50% Penurunan kinerja sampai 90%
kinerja 70%

Terdapat gangguan namun tidak terdapat gangguan yang terdapat gangguan yang terdapat gangguan yang
Operasional dan Aset terjadi kelumpuhan pada proses
mengakibatkan proses bisnis menyebabkan 1 mata rantai proses menyebabkan lebih dari 1 mata menyebabkan seluruh
TIK bisnis
teraganggu bisnis terganggu rantai proses bisnis terganggu proses bisnis terganggu

Tidak Menimbulkan dampak Menimbulkan dampak hukum menimbulkan dampak hukum menimbulkan dampak Menimbulkan kasus Hukum Tindak
Hukum dan Regulasi hukum kategori ringan kategori sedang hukum kategori berat pidana

SDM belum sesuai / 30%

Seluruh SDM telah sesuai dengan Sebagaian Besar / 90% SDM telah sebagian kecil / 60% SDM telah
Sumber Daya dengan kebutuhan dan SDM tidak sesuai dengan kebutuhan
kebutuhan dan pengembangan sesuai dengan kebutuhan dan sesuai dengan kebutuhan dan
Manusia pengembangan kapasitas dan pengembangan kapasitas SDM
kapasitas SDM pengembangan kapasitas SDM pengembangan kapasitas SDM
SDM

Menimbulkan penundaan Menimbulkan penundaan Menimbulkan penundaan

Menimbulkan penundaan layanan Menimbulkan penundaan layanan
Layanan Organisasi layanan organisasi maksimal 24 layanan organisasi maksimal 3 x layanan organisasi maksimal
organisasi maksimal 2 x 24 jam organisasi lebih dari 5 x 24 jam
jam 24 jam 5 x 24 jam
Perkalian Mengikat

Given
Matrik Analisis Resiko
Level Dampak
Matriks Analisis Risiko

1 2 3 4 5

Tidak Kurang Cukup Sangat

5x5 Signifikan
Signifikan Signifikan Signifikan Signifikan

5 Hampir Pasti Terjadi 9 15 18 23 25

Level Kemungkinan Risiko

4 Sering Terjadi 6 12 16 19 24

3 Kadang-Kadang Terjadi 4 10 14 17 22

2 Jarang Terjadi 2 7 11 13 21

1 Hampir Tidak Terjadi 1 3 5 8 20

Rentang Nilai Resiko
Selera Risiko
NO Kategori Risiko Besaran Risiko yang harus di tindak lanjuti

1 Reputasi > 10

2 FInansial >8

3 Operasional > 12

4 Kinerja > 10
Penilaian Risiko dilakukan melalui proses identifikasi, analisis, dan evaluasi Risiko. Penilaian Risiko bertujuan
untuk memahami penyebab, kemungkinan, dan dampak Risiko yang dapat terjadi di Sebuah Layanan
Organisasi. Tahapan penilaian Risiko meliputi:
a. Identifikasi Risiko
b. Analisa Risiko
c. Evaluasi Risiko
 FORM – 07 : IDENTIFIKASI RISIKO SMLTI

IDENTIFIKASI
No Layanan Uraian Kegiatan Pernyataan Risiko Penyebab Dampak
Layanan Internet dan Putusnya koneksi internet dari Pegawai tidak dapat
1 Pengelolaan koneksi internet Koneksi internet terganggu
jaringan provider mengakses internet
Terjadi Keterbatasan peralatan Gangguan Terhadap Layanan
Layanan pertemuan jarak
2 Verifikasi permohonan permintaan/permohonan teleconverence yang di miliki Organisasi
jauh (tele conference)
layanan di hari yang sama Bidang IT
3
dst dst dst dst dst dst
 FORM-07 : ANALISA RISIKO SMLTI

ANALISA
Level
Kategori Risiko Level Dampak Nilai Risiko
Kemungkinan
1.Operasional
5 4 23
2.Reputasi

Operasional 3 3 14

dst dst dst dst

EVALUASIRISIKO
 Evaluasi Risiko dilakukan untuk mengambil keputusan mengenai perlu tidaknya dilakukan upaya
penanganan Risiko lebih lanjut serta penentuan prioritas penanganannya. Pengambilan keputusan
mengacu pada Selera Risiko yang telah ditentukan sebelumnya.

 Prioritas penanganan Risiko diurutkan berdasarkan Besaran Risiko. Apabila terdapat lebih dari satu Risiko
yang memiliki besaran yang sama maka cara penentuan prioritas berdasarkan expert judgement.

FORM-07 Evaluasi Risiko

EVALUASI
Keputusan Penanganan Prioritas Penanganan
Risiko (Ya/Tidak) Risiko
Ya 1

Tidak -

dst dst
 PENILAIAN RISIKO SMLTI
FORM-07 PENILAIAN RISIKO
IDENTIFIKASI ANALISA EVALUASI
Level Keputusan Prioritas
Kategori Level Nilai
No Layanan Uraian Kegiatan Pernyataan Risiko Penyebab Dampak Kemungkin Penanganan Risiko Penanganan
Risiko Dampak Risiko
an (Ya/Tidak) Risiko
Pegawai tidak
Layanan Putusnya koneksi
Pengelolaan Koneksi internet dapat 1.Operasional
1 Internet dan internet dari 5 4 23 Ya 1
koneksi internet terganggu mengakses 2.Reputasi
jaringan provider
internet
Layanan Gangguan
Terjadi Keterbatasan
pertemuan Terhadap
Verifikasi permintaan/permoho peralatan
2 jarak jauh Layanan Operasional 3 3 14 Tidak -
permohonan nan layanan di hari teleconverence yang
(tele Organisasi
yang sama di miliki Bidang IT
conference)
3
dst dst dst dst dst dst dst dst dst dst dst dst
6.1.3 Organisasi harus merencanakan:

a. Tindakan untuk menangani risiko dan

peluang beserta prioritasnya;

b. Bagaimana cara:
1)mengintegrasikan dan menerapkan tindakan
ke dalam proses SML-nya;
2)mengevaluasi efektivitas tindakan-tindakan
tersebut.
PENANGANA
Opsi penanganan Risiko, berisikan alternatif yang dipilih untuk menangani
Risiko. Opsi penanganan Risiko dilakukan dengan mengidentifikasi berbagai

N RISIKO
opsi yang mungkin untuk diterapkan. Adapun opsi yang ditentukan pada
pedoman ini meliputi:

Ekskalasi Mitigasi 1. Eskalasi risiko, dipilih jika Risiko berada di luar atau melampaui
Risiko Risiko wewenang. Opsi ini dilakukan dengan memindahkan tanggung
jawab penanganan Risiko ke unit kerja yang lebih tinggi.
Transfer
2. Mitigasi Risiko, Mitigasi risiko dilakukan dengan cara mengurangi
Risiko level kemungkinan dan/atau level dampak dari Risiko.
3. Transfer Risiko, Transfer risiko dipilih jika terdapat kekurangan
sumber daya untuk mengelola Risiko. Opsi ini dilakukan dengan
Menghindari
cara mengalihkan kepemilikan risiko kepada pihak lain untuk
Risiko melakukan pengelolaan dan pertanggungjawaban terhadap Risiko.
4. Penghindaran Risiko, Penghindaran risiko dilakukan dengan
mengubah perencanaan, penganggaran, program, dan kegiatan,
atau aspek lainnya untuk mencapai sasaran.
Menerima
Risiko 5. Penerimaan Risiko, Penerimaan risiko dipilih jika biaya dan usaha
penanganan lebih tinggi dibandingkan manfaat yang didapat,
kemungkinan terjadinya sangat kecil atau dampak sangat tidak
signifikan. Opsi ini dilakukan dengan cara membiarkan risiko terjadi
apa adanya.
 FORM RENCANA PENANGANAN

FORM-08 RENCANA PENANGANAN

RencanaPenanganan Risiko
RencanaTindak Penanganan Jadwal Penanggung
No Opsi Penanganan Risiko Target Output
Risiko Implementasi Jawab
Organisasi
Menyiapkan Sumber Daya Dilakukan Monitoring Berkala Dilakukan Monitoring
1 Januari sd Desember Penerap : misal
tambahan terkait backup ISP (Bulanan) Berkala (Bulanan)
BSN

Melakukan perencanaan Pengadaan Peralatan

Terjadi Organisasi
pengadaan barang atau tiap Video Conference Sesuai
2 permintaan/permohonan Mei - Desember Penerap : misal
unit agar memiliki perangkat standard referensi
layanan di hari yang sama BSN
Conference sendiri Pusdatin/Dinas Kominfo

3
dst dst dst dst dst
6.2 Sasaran Manajemen Layanan dan Perencanaan
untuk Mencapainya
6.2.1 Menetapkan Sasaran

Organisasi harus menetapkan sasaran manajemen layanan pada fungsi dan level
yang relevan. Sasaran manajemen layanan harus:
a) konsisten dengan kebijakan manajemen layanan;
b) dapat diukur;
c) mempertimbangkan persyaratan yang berlaku;
d) dipantau;
e) dikomunikasikan;
f) diperbarui sesuai kebutuhan.
Organisasi harus menyimpan informasi terdokumentasi tentang sasaran
manajemen layanan.
6.2 Sasaran Manajemen Layanan dan Perencanaan
untuk Mencapainya
6.2.2 Rencanakan untuk Mencapai Sasaran
Saat merencanakan bagaimana mencapai sasaran manajemen layanan, organisasi
harus menentukan:
a) apa yang akan dilakukan;
b) sumber daya apa yang dibutuhkan;
c) siapa yang akan bertanggung jawab;
d) kapan akan selesai;
e) bagaimana hasil akan dievaluasi.
Sasaran Manajemen Layanan
No Sasaran Target Indikator

1. Software Adobe Terinstall dengan

1 Tersedianya fasilitas Software license adobe 90%
lisensi yang berlaku

1. Aplikasi terinstall di server dan memiliki

2
Tersedianya fasilitas Server dan Hosting Domain 90% domain aktif

SMART : Specific (Spesifik), Measurable (terukur), Achievable (dapat

dicapai), Relevant (relevan), Time-Bound (Batas waktu)
Rencana Pencapaian
Sasaran Manajemen Layanan
No Sasaran Target Indikator Rencana Kerja

1. Melakukan Pengecekan kuota

1. Software Adobe Terinstall
1 Tersedianya fasilitas Software license adobe 90% lisensi
dengan lisensi yang berlaku
2. Melakukan Instalasi software

1. Melakukan instalasi ke server

2 Tersedianya layanan Server dan Hosting 1. Aplikasi terinstall di server dan 2. Melakukan registrasi domain
Domain 90% memiliki domain aktif 3. Mengaktifkan domain
6.2 Sasaran Manajemen Layanan dan Perencanaan untuk Mencapainya
6.2.3 Rencanakan Sistem Manajemen Layanan
Organisasi harus membuat, menerapkan, dan memelihara rencana manajemen
layanan. Perencanaan harus mempertimbangkan kebijakan manajemen layanan,
sasaran manajemen layanan, risiko dan peluang, persyaratan layanan, dan
persyaratan yang ditentukan dalam dokumen ini.
Rencana manajemen layanan harus mencakup atau memuat acuan untuk:
a) daftar layanan;
b) keterbatasan yang diketahui yang dapat berdampak pada SML dan layanan;
c)kewajiban seperti kebijakan, standar, persyaratan hukum, perundangan, dan
persyaratan kontrak yang relevan, serta bagaimana kewajiban ini berlaku untuk
SML dan layanan;
d) otoritas dan tanggung jawab untuk SML dan layanan;
e) sumber daya manusia, teknis, informasi dan keuangan yang dibutuhkan untuk
mengoperasikan SML dan layanan;
f) pendekatan yang akan diambil untuk bekerja bersama para pihak yang terlibat
dalam siklus hidup layanan;
g) teknologi yang digunakan untuk mendukung SML;
h) bagaimana efektivitas SML dan layanan akan diukur, diaudit, dilaporkan, dan
ditingkatkan.
 Rencana SIstemManajemen layanan
Wewenang RencanaPengukuran,Pemantauandan Evaluasi
Persyaratan Sumber
No Layanan & tanggung Teknologi Keterbatasan
Yang di acu Daya Pemantauan Pengukuran Evaluasi
Jawab
(PIC)
Hasil
• Kebijakan
1. wifi Hanya Hasil yang evaluasi
Layana SMLTI / Manual/
Kapusdatin Keuangan 2.jaringan Menggunakan berasal dari pengukuran
1 n SMKI Menggunaka
/ & kabel 1 Internet tools / layanan
Akses • Peratura n Tools
Kadiskominf Teknologi (fiber Service pengukuran Penyediaan
Interne n
o optik) Provider (ISP) manual internet
t Kominfo
oleh Pihak
• Dll.
ke 3
2 dst….
Tugas Perencanaan SML:
1. Diskusikan dengan kelompok: Rencanakan sebuah sistem manajemen
layanan (SML). Beri nama SML tersebut.
2. Susunlah daftar risiko atas layanan dan tindakan untuk menangani risiko
dan peluang beserta prioritasnya;
3. Tetapkan sasaran dan rencana untuk mencapai sasaran SML tersebut.
4. Serta Buatlah Rencana Rencana Sistem Manajemen Layanan
5. Lalu Beri nama NamaKelompok_Perencanaan SML.pdf

 Waktu Diskusi :45 menit (breakout room)

1. Setelah Diskusi kelompok, peserta kembali ke mainroom.

2. Perwakilan kelompok mempresentasikan hasil diskusi @10 menit (termasuk tanggapan dari
peserta lain)