Scope of Work

DISASTER RECOVERY
MANAGEMENT
PT Hutama Karya Infrastruktur

1
LATAR BELAKANG

2
PT.MII - CONSULTING & ADVISORY SERVICES
Latar Belakang
PT Hutama Karya Infrastruktur (HKI) melalui divisi Information Technology berencana melakukan beberapa
pengembangan infrastruktur TI dan aplikasi di DRC sebagai pusat pemulihan sistem ketika terjadi bencana pada
lokasi Data Center (DC). Namun hal ini belum didukung dengan adanya beberapa perangkat TI dan dokumen
Disaster Recovery Management (DRM) yang komprehensif yang dapat dijadikan panduan untuk menentukan
strategi dan prosedur pada saat keadaan bencana.
Oleh karena itu, PT Hutama Karya Infrastruktur perlu mengembangkan IT Infrastruktur pendukung beserta dengan
dokumen dan prosedur DRP untuk memastikan bahwa DRC yang akan dibangun dapat memenuhi kebutuhan
perusahaan akan ketersediaan layanan.

CONSULTING & ADVISORY SERVICES 3

 Maksud dan Tujuan
1. Melakukan penyediaan jasa konsultansi untuk melakukan pengkajian, penyusunan, dan pengujian Disaster
Recovery Strategy, Disaster Recovery Plan yang sesuai dengan kebutuhan perusahaan;
2. Mengidentifikasi risiko terhadap layanan teknologi dan sistem informasi yang ada di Divisi Teknologi Informasi;
3. Mengidentifikasi layanan yang bersifat kritikal atau prioritas;
4. Memilih strategi pemulihan layanan teknologi dan sistem informasi;
5. Mengembangkan mekanisme dan aturan untuk pengujian DRP yang akan dijadikan pedoman dalam melakukan
pengujian DRP secara berkala;
6. Mengumpulkan data layanan teknologi dan sistem informasi;
7. Mendokumentasikan rencana pemulihan layanan teknologi dan sistem informasi; dan
8. Melakukan pengembangan kriteria dan prosedur pengujian.

CONSULTING & ADVISORY SERVICES 4

KERANGKA KERJA

5
PT.MII - CONSULTING & ADVISORY SERVICES
Kerangka Kerja

22301
ISO Business Continuity
Management System

1600
Standard on Disaster / Emergency
What BCM NFPA and BCM Program
(National Fire Protection
Standards are Association, USA)
Available ? - TR 19: Technical Reference for
BCM (Singapore)
- MS 1970: BCM Framework
Others (Department of Standards,
Malaysia)
- HB 221-2005: Handbook on
BCM (Australia)

CONSULTING & ADVISORY SERVICES 6

 Kerangka Kerja
Disaster Recovery Management:
“Struktur yang akan merancang, mengembangkan, menerapkan, dan
INFRASTRUCTURE
memelihara infrastruktur, sumber daya, proses, kebijakan, dan strategi
untuk merespons, memulihkan, melanjutkan, memulihkan, dan
menormalkan operasi kritis misi suatu organisasi secara efektif”

POLICY

PROCEDURES

PROCESS

RESOURCES

CONSULTING & ADVISORY SERVICES 7

Kerangka Kerja
Process

People

Critical
Components Supplier

• Facilities
• Replication
• Backup Technology

CONSULTING & ADVISORY SERVICES 8

Kerangka Kerja
IT DRM Collaboration With ITSM and ISMS
ISO/IEC 20000-1:2018 ISO/IEC 27001:2013
Clause 8.7.1 Service Availability A.17 Information Security
Management Aspects of Business
Continuity Management

ISO/IEC 20000-1:2018
ISO/IEC 27001:2013
Clause 8.7.2 Service
A.12.3 Backup
Continuity Management

IT
DRM
CONSULTING & ADVISORY SERVICES 9
 Kerangka Kerja
Pada Information Technology Disaster Recovery Management atau dapat disingkat menjadi IT DRM mempunyai kerangka kerja dan metodologi
yang diadopsi oleh kami selaku konsultan guna melakukan standarisasi dalam pekerjaan.
Business Continuity Management (BCM) merupakan proses manajemen terpadu dan menyeluruh
untuk menjamin kegiatan operasional perusahaan tetap dapat berfungsi walaupun terdapat
gangguan atau bencana guna melindungi para pemangku kepentingan.
Business Continuity Management (BCM) adalah kemampuan organisasi untuk tetap dapat
memberikan penyediaan produk/layanan dalam waktu yang dapat diterima selama terjadi gangguan.
(ISO 22301:2019)

IT Disaster Recovery Management membahas sebuah struktur yang akan merancang,

mengembangkan, menerapkan, dan memelihara terkait infrastruktur, sumber daya, business process,
policy, procedure , records dan strategi untuk merespons, memulihkan, melanjutkan, serta
menormalkan operasional, memulihkan, melanjutkan dan mengembalikan ke keadaan normal secara
efektif.

IT Service Impact Analysis perlu dilakukan untuk mengidentifikasi setiap fungsi kinerja dan potensi
dampak jika terjadi gangguan layanan teknologi informasi. Adapun penilaian parameter yang
ditetapkan berdasarkan ISO 22301, ISO 20000-1, ISO 27001, dan NIST SP 800-34 yang mencakup
investment value, information classification, process criticality, urgency, backup method, type of risk
(operational, reputation, strategy, compliance & law risk), human resources support, recovery time
objective serta recovery point objective. Hal ini memudahkan perusahaan dalam menentukan setiap
layanan yang bersifat high, medium, dan low.

IT Risk Assessment (RA) adalah proses terstruktur untuk menganalisis risiko dalam kaitannya dengan
konsekuensi (concequences) dan kemungkinan terjadinya risiko (likelihood) sebelum menentukan
tindakan lebih lanjut yang diperlukan terkait TI. Berdasarkan NIST SP 800-37 Risk Assessment (RA)
adalah proses mengidentifikasi risiko terhadap perusahaan (termasuk visi, misi, reputasi), asset dan
Cindividu
ONSULTINyang
G & Adihasilkan
D V I S O R Y S Edari
R V I C pengoperasian
ES suatu sistem. 10
 Kerangka Kerja
ISO 22301 adalah standar internasional yang menentukan persyaratan untuk menerapkan business continuity management
system. Standar ini memberikan panduan bagi perusahaan dalam membangun dan meningkatkan sebuah sistem
keberlangsungan bisnis dalam mengurangi terjadinya sebuah peristiwa yang menggangu, merespon secara efektif ketika
terjadi gangguan, hingga proses pemulihan serta back to normal proses bisnis di organisasi.

Pada persyaratan ISO 22301:2019 terdapat beberapa clause yang akan dijadikan sebagai acuan dalam implementasi
sistem keberlangsungan bisnis. Secara garis besar, pada bagian clause ISO 22301:2019 memiliki 7 section yang terdiri
dari:
- Clause 4 - Context of the organization, mengenai pemahaman organisasi dalam penerapan sistem
keberlangsungan bisnis.
- Clause 5 - Leadership, mengenai komitmen dari top management dalam menetapkan kebijakan mengenai proses
keberlangsungan bisnis.
- Clause 6 - Planning, mengenai perencanaan dan identifikasi risiko serta peluang yang mungkin terjadi dari setiap
proses/layanan, sehingga organisasi dapat meminimalisir kemungkinan risiko.
- Clause 7 - Support, mengenai sumber daya, kompetensi, awareness, komunikasi dan dokumen yang berkaitan
dengan business continuity management system.
- Clause 8 - Operation, mengenai organisasi dalam melakukan proses analisa dampak bisnis, risk assessment,
identifikasi strategi ketika terjadi disaster, persyaratan sumber daya, proses respon hingga pemulihan, serta
evaluasi dari proses keberlangsungan bisnis yang telah dilakukan.
- Clause 9 - Perfomance Evaluation, mengenai pelaksanaan internal audit dari proses sistem keberlangsungan bisnis
serta pelaksanaan tinjauan manajemen.
- Clause 10 – Improvement, mengenai peningkatan yang perlu dilakukan organisasi berdasarkan corrective action
dari kegiatan internal audit maupun peningakatan keberlanjutan sesuai hasil rapat tinjauan manajemen.
CONSULTING & ADVISORY SERVICES 11
 Kerangka Kerja
ISO/IEC 20000-1:2018 adalah standar yang dipergunakan untuk sertifikasi manajemen Teknologi Informasi (TI). Tujuannya
adalah untuk memungkinkan semua organisasi yang berpondasi pada teknologi informasi agar mampu menerapkan praktik
terbaik. Secara spesifik menentukan persyaratan bagi institusi (merujuk kepada BUMN, Swasta dan Government) penyedia
layanan TI untuk merencanakan, menetapkan, menerapkan, mengoperasikan, memantau, mereview, memelihara dan
meningkatkan sistem manajemen layanan TI.
Pada persyaratan standar tersebut terdapat beberapa clause yang akan dijadikan sebagai acuan dalam menerapkan
manajemen teknologi informasi. Secara garis besar, pada bagian clause memiliki 7 section yang terdiri dari:
- Clause 4 - Context of the organization, mengenai persyaratan yang diperlukan untuk menetapkan, menerapkan,
memelihara, dan terus meningkatkan sistem manajemen layanan.
- Clause 5 - Leadership, mengenai komitmen yang tepat dari top management memastikan bahwa kebijakan, proses,
sdm, alat, dan teknologi yang diperlukan tersedia untuk memeberikan layanan berkualitas bagi bisnis.
- Clause 6 - Planning, mengenai perencanaan dengan jelas mengidentifikasi tindakan yang diperlukan untuk
mencapai tujuan manajemen layanan organisasi.
- Clause 7 – Support of the service management system, mengenai pentingnya role yang dimainkan oleh beberapa
area organisasi dalam mendukung efektivitas sistem manajemen layanan.
- Clause 8 – Operation of the service management, mengenai operasional manajemen layanan untuk memastikan
bahwa kegiatan yang diperlukan dalam pengoperasian sistem manajemen layanan dilakukan secara efektif dan
efisien.
- Clause 9 - Perfomance Evaluation, mengenai pelaksanaan internal audit dari proses sistem manajemen layanan
untuk menilai kinerja sistem manajemen layanan melalui monitoring, pengukuran, analisis, dan evaluasi sistem.
- Clause 10 – Improvement, mengenai ketidaksesuaian, tindakan korektif, dan perbaikan berkelanjutan. Persyaratan
dalam clause ini menentukan tindakan korektif yang harus diambil ketika ketidaksesuaian ditemui oleh organisasi.
Tindakan ini mendukung filosofi perbaikan berkelanjutan dari manajemen layanan yang efektif.
CONSULTING & ADVISORY SERVICES 12
 Kerangka Kerja
ISO/IEC 27001:2013 adalah persyaratan standar yang digunakan dalam membuat dan membangun Sistem Manajemen
Keamanan Informasi (SMKI) berdasarkan aspek keamanan informasi, yaitu kerahasiaan, integritas, dan ketersediaan.

Pada persyaratan standar tersebut terdapat bagian clause (klausa) serta annex (lampiran), dimana untuk clause yang
berjumlah 27 kontrol keamanan informasi bersifat wajib dilaksanakan (mandatory), sedangkan annex yang berjumlah
114 kontrol keamanan informasi dapat disesuaikan dengan ruang lingkup ISO/IEC 27001.

Secara garis besar, bagian clause pada persyaratan ISO/IEC 27001:2013 terdiri dari 7 section, yaitu konteks organisasi,
kepemimpinan, perencanaan, pendukung, operasional, kinerja dan evaluasi, serta perbaikan. Sedangkan untuk bagian
annex terdiri dari 14 section, yaitu kebijakan keamanan informasi, organisasi keamanan informasi, keamanan SDM,
manajemen aset, kontrol akses, kriptografi, keamanan fisik dan lingkungan, keamanan operasional, keamanan
komunikasi, akuisisi, pengembangan dan pemeliharaan sistem, hubungan supplier, manajemen insiden keamanan
informasi, manajemen keberlangsungan bisnis (BCM), dan compliance.

IT DRM mengadopsi bagian annex yaitu pada annex 17 mengenai manajemen keberlangsungan bisnis (Business
Continuity Management), berisi tentang perencanaan, implementasi, review dan evaluasi dari keberlangsungan
keamanan informasi, serta ketersediaan dari fasilitas pengolahan informasi.

CONSULTING & ADVISORY SERVICES 13

 Kerangka Kerja
NIST SP 800.34 adalah standar yang digunakan sebagai acuan dalam memberikan instruksi, rekomendasi dan
pertimbangan terkait perencanaan kontingensi sistem informasi.

Secara garis besar, hal-hal yang disampaikan dalam standar ini terkait perencanaan kontingensi yang mengacu
pada tindakan sementara untuk memulihkan sistem informasi setelah gangguan.
Tindakan sementara tersebut dapat mencakup relokasi sistem informasi dan operasi ke situs alternatif,
pemulihan fungsi sistem informasi menggunakan peralatan alternatif, atau kinerja fungsi sistem informasi
menggunakan metode manual.

NIST SP 800-34 menjelaskan tujuh langkah proses perencanaan kontingensi yang dapat diterapkan oleh
organisasi yang diintegrasikan ke dalam setiap siklus pengembangan sistem.
• Mengembangkan pernyataan kebijakan perencanaan kontingensi;
• Melakukan Business Impact Analysis (BIA);
• Identifikasi pengendalian preventif;
• Membuat strategi kontingensi;
• Mengembangkan rencana kontingensi sistem informasi;
• Memastikan rencana terkait pengujian dan pelatihan; dan
• Memastikan adanya pemeliharaan.

CONSULTING & ADVISORY SERVICES 14

Kerangka Kerja

Recovery Time Objective (RTO) adalah batas

waktu pemulihan antara terjadinya gangguan
hingga mulai dapat berlangsungnya kembali
proses inti yang didukung oleh layanan teknologi
dan sistem informasi utama.

Recovery Point Objective (RTO) adalah batas

waktu kehilangan data yang dapat diterima
antara waktu backup terakhir hingga terjadinya
keadaan darurat. Semakin kecil (cepat) RPO
semakin tinggi frekuensi sinkronisasi data atau
aplikasi yang berdampak kepada pemilihan
teknologi dan biaya.

CONSULTING & ADVISORY SERVICES 15

RUANG LINGKUP PEKERJAAN

16
PT.MII - CONSULTING & ADVISORY SERVICES
Ruang Lingkup & Hasil Pekerjaan 1
1
7
7

Aktivitas Hasil Pekerjaan

Project Charter & Materi KoM

Kick off Meeting

Materi Workshop
Workshop IT Disaster Recovery Management (DRM)

Dokumen laporan IT Risk

Melakukan Assessment (IT Risk Assesment) serta rekomendasi Assessment

Penyusunan dan pembaharuan dokumen laporan IT Service Impact Dokumen laporan IT Service
Analysis, serta termasuk laporan Application Criticality Impact Analysis

Penyusunan dan pembaharuan dokumen DR Strategy atau kebijakan

Disaster Recovery Management (DRM) Dokumen kebijakan IT DRM

Penyusunan dan pembaharuan dokumen DR Plan atau prosedur

Disaster Recovery Management (DRM) Dokumen prosedur IT DRM

CONSULTING & ADVISORY SERVICES 17

Ruang Lingkup Pekerjaan
Aktivitas Hasil Pekerjaan

Dokumen DRP yang mencakup

Melakukan pengujian dan menyusun dokumen hasil pengujian DRP
test

Melakukan penyusunan laporan akhir pekerjaan Dokumen laporan akhir pekerjaan

Closing

CONSULTING & ADVISORY SERVICES 18

Out of Scope
Melakukan proses formalisasi DRP,
Melakukan penyusunan desain pengesahan struktur organisasi/ Tim
dan estimasi biaya/manfaat DRP

Melakukan penyusunan Cost Benefit

Melakukan penyusunan instruksi Analysis atau Risiko berdasarkan
kerja/working instruction) aspek finansial

Melakukan Penyusunan kebijakan MII tidak melakukan Analisis Laporan

dan prosedur diluar pekerjaan DRP EBITDA (Earnings Before Interest),
dan IT Risk Taxes, Depreciation, and Amortization)

CONSULTING & ADVISORY SERVICES 19

Project Timeline
Bulan 1 Bulan 2 Bulan 3 Bulan 4 Bulan 5
No Aktivitas
W1W2W3 W4 W1 W2 W3 W4 W1 W2 W3 W4 W1 W2 W3 W4 W1 W2 W3 W4
1 Kick of Meeting
2 Permintaan Data & Analisis Data
Melakukan assessment dan menyusun
3 dokumen laporan IT Risk Assessment
serta rekomendasi
Penyusunan atau pembaharuan
4 dokumen laporan IT Service Impact
Analysis
Penyusunan atau pembaruan dokumen
5 kebijakan IT Disaster Recovery
Management
Penyusunan atau pembaruan dokumen
6 prosedur IT Disaster Recovery
Management (DRM)
7 Persiapan dan Pengujian untuk IT DRM

8 Closing Projek

CONSULTING & ADVISORY SERVICES 20

Kualifikasi Tenaga Ahli
No Tenaga Ahli Kualifikasi
1 Project Manager a. Pendidikan minimal S1 dengan pengalaman bekerja minimal 2 Tahun; dan

b. Memiliki sertifikasi untuk project manager certified sejenis.

2 Subject Metter Expert a. Pendidikan minimal S2 dengan pengalaman minimal 10 Tahun;

b. Pernah menjadi Lead Consultant untuk minimal 10 proyek Jasa Konsultansi;

dan

c. Memiliki sertifikasi Lead Auditor ISO 22301

2 Lead Consultant ISO/IEC 27001 a. Pendidikan minimal S1 dengan pengalaman minimal 8 Tahun;

b. Pernah menjadi Lead Consultant untuk minimal 10 proyek Jasa Konsultansi;

dan

c. Memiliki sertifikasi Lead Auditor ISO 27001 dan CISA.

3 Consultant ISO/IEC 27001 a. Pendidikan minimal S1 dengan pengalaman 3 Tahun di bidang Teknologi
Informasi; dan

b. Memiliki sertifikasi Incident Handler atau sejenis bidang pekerjaan ini.

CONSULTING & ADVISORY SERVICES 21

 Kualifikasi Perusahaan
Untuk melakukan pekerjaan terkait hal ini, maka perusahaan Penyedia Jasa wajib memiliki kualifikasi teknis sebagai berikut:

a. Perusahaan penyedia jasa adalah perusahaan yang berpengalaman dalam melakukan proyek penyusunan disaster recovery plan (DRP) atau
Disaster Recovery Managment (DRM) minimal 1 (satu) proyek, disertai dengan copy kontrak atau Surat Perintah Kerja (SPK) atau Purchase Order
(PO);

b. Penyedia Jasa memiliki pengalaman melaksanakan pekerjaan terkait Implementasi Disaster Recovery Plan atau Disaster Recovery Management
di lingkup perusahaan lokal dan atau multinasional baik di lingkungan swasta maupun pemerintahan atau BUMN di Indonesia;

c. Perusahaan penyedia jasa diutamakan yang telah memiliki sertifikat ISO 9001:2015 dan ISO/IEC 27001:2013;

d. Diutamakan perusahaan yang memiliki tenaga ahli tetap di area IT Management, yaitu dengan sertifikasi Lead Auditor ISO 22301 atau EDRP,
serta dapat dibuktikan dengan bukti potong pajak, dan dengan tenaga ahli berkompeten dengan tingkat pengetahuan serta keahlian yang sesuai
dengan lingkup pekerjaan dan teknologi yang dikembangkan, dibuktikan dengan CV dan dokumen pendukung;

e. Konsultan penyedia jasa tidak diperbolehkan melakukan kerjasama (sub contract) dengan perusahaan dan / atau individu konsultan lain;

f. Staf tenaga ahli yang diusulkan bukan merupakan pegawai outsource dan bersedia memberikan laporan SPT untuk tenaga ahli; dan

g. Mempunyai kantor di Indonesia dan staf lokal berkewarganegaraan Indonesia. Pekerjaan ini perlu ditangani oleh mayoritas tenaga lokal agar
permasalahan yang berkaitan dengan budaya dan kondisi/situasi lokal dapat ditangani dengan baik.
CONSULTING & ADVISORY SERVICES 22
Sample of Deliverables

CONSULTING & ADVISORY SERVICES 23

Sample of Deliverables

CONSULTING & ADVISORY SERVICES 24

Project Portofolio
Customer Logo Project Year

PT PLN Batubara Disaster Recovery Management 2021

Pengadaan Jasa Lainnya Pekerjaan Peningkatan

PT Pelabuhan Indonesia II
Kapasitas Dan Kapabilitas Teknologi Informasi 2021
(Persero)
Untuk Menanggulangi Keadaan Bencana

PT Jasa Marga (Persero) Penyusunan IT DRM 2020

PT PAM Lyonnaise Jaya

Penyusunan DRP 2020
(Palyja)

Universitas Katolik Indonesia

ITMP dan DRP 2019
(Unika Atma Jaya)

CONSULTING & ADVISORY SERVICES

Project Portofolio
Customer Logo Project Year

PT Semen Indonesia Tbk Business Continuity Plan - DRP 2018

ISMS (ISO/IEC 27001) Implementation &
PT Jasa Marga (Persero), Tbk 2020
Certification (Pendampingan DRP testing)
ISMS (ISO/IEC 27001) Implementation &
Kitabisa.com 2020
Certification (Pendampingan DRP testing)
- ISMS (ISO/IEC 27001) Implementation &
Bank Sulselbar Certification (Pendampingan DRP testing) 2019-2020
- IT Risk Management & Disaster Recovery Plan
ISMS (ISO/IEC 27001) Implementation &
Pertamina Hulu Energi 2019-2020
Certification (Pendampingan DRP Testing)
ISMS (ISO/IEC 27001) Implementation &
Bank Mantap 2019-2020
Certification (Pendampingan DRP Testing)
PT Pembangkitan Jawa Bali ISMS (ISO/IEC 27001) Implementation &
2019
(PJB) Certification (Pendampingan DRP testing)
CONSULTING & ADVISORY SERVICES
Project Portofolio
Customer Logo Project Year

ISMS (ISO/IEC 27001) Implementation &

PT Global Tiket Network 2019
Certification (Pendampingan DRP testing)
PT Finansial Integrasi ISMS (ISO/IEC 27001) Implementation &
2018
Teknologi Certification (Pendampingan DRP testing)
ISMS (ISO/IEC 27001) Implementation &
Kredivo 2018
Certification (Pendampingan DRP testing)
PT Pelabuhan Indonesia III ISMS (ISO/IEC 27001) Implementation &
2017-2019
(Persero) Certification (Pendampingan DRP Testing)
ISMS (ISO/IEC 27001) Implementation &
PT GarudaFood 2018
Certification (Pendampingan DRP Testing)
PT Sarana Multi ISMS (ISO/IEC 27001) Implementation &
2018
Infrastruktur (Persero) Certification (Pendampingan DRP Testing)
PT Pembangkitan Jawa Bali ISMS (ISO/IEC 27001) Implementation &
2016
(PJB) Certification (Pendampingan DRP Testing)
CONSULTING & ADVISORY SERVICES
 Terima Kasih

28
PT.MII - CONSULTING & ADVISORY SERVICES