DISASTER RECOVERY
MANAGEMENT
PT Hutama Karya Infrastruktur
1
LATAR BELAKANG
2
PT.MII - CONSULTING & ADVISORY SERVICES
Latar Belakang
PT Hutama Karya Infrastruktur (HKI) melalui divisi Information Technology berencana melakukan beberapa
pengembangan infrastruktur TI dan aplikasi di DRC sebagai pusat pemulihan sistem ketika terjadi bencana pada
lokasi Data Center (DC). Namun hal ini belum didukung dengan adanya beberapa perangkat TI dan dokumen
Disaster Recovery Management (DRM) yang komprehensif yang dapat dijadikan panduan untuk menentukan
strategi dan prosedur pada saat keadaan bencana.
Oleh karena itu, PT Hutama Karya Infrastruktur perlu mengembangkan IT Infrastruktur pendukung beserta dengan
dokumen dan prosedur DRP untuk memastikan bahwa DRC yang akan dibangun dapat memenuhi kebutuhan
perusahaan akan ketersediaan layanan.
5
PT.MII - CONSULTING & ADVISORY SERVICES
Kerangka Kerja
22301
ISO Business Continuity
Management System
1600
Standard on Disaster / Emergency
What BCM NFPA and BCM Program
(National Fire Protection
Standards are Association, USA)
Available ? - TR 19: Technical Reference for
BCM (Singapore)
- MS 1970: BCM Framework
Others (Department of Standards,
Malaysia)
- HB 221-2005: Handbook on
BCM (Australia)
POLICY
PROCEDURES
PROCESS
RESOURCES
People
Critical
Components Supplier
• Facilities
• Replication
• Backup Technology
ISO/IEC 20000-1:2018
ISO/IEC 27001:2013
Clause 8.7.2 Service
A.12.3 Backup
Continuity Management
IT
DRM
CONSULTING & ADVISORY SERVICES 9
Kerangka Kerja
Pada Information Technology Disaster Recovery Management atau dapat disingkat menjadi IT DRM mempunyai kerangka kerja dan metodologi
yang diadopsi oleh kami selaku konsultan guna melakukan standarisasi dalam pekerjaan.
Business Continuity Management (BCM) merupakan proses manajemen terpadu dan menyeluruh
untuk menjamin kegiatan operasional perusahaan tetap dapat berfungsi walaupun terdapat
gangguan atau bencana guna melindungi para pemangku kepentingan.
Business Continuity Management (BCM) adalah kemampuan organisasi untuk tetap dapat
memberikan penyediaan produk/layanan dalam waktu yang dapat diterima selama terjadi gangguan.
(ISO 22301:2019)
IT Service Impact Analysis perlu dilakukan untuk mengidentifikasi setiap fungsi kinerja dan potensi
dampak jika terjadi gangguan layanan teknologi informasi. Adapun penilaian parameter yang
ditetapkan berdasarkan ISO 22301, ISO 20000-1, ISO 27001, dan NIST SP 800-34 yang mencakup
investment value, information classification, process criticality, urgency, backup method, type of risk
(operational, reputation, strategy, compliance & law risk), human resources support, recovery time
objective serta recovery point objective. Hal ini memudahkan perusahaan dalam menentukan setiap
layanan yang bersifat high, medium, dan low.
IT Risk Assessment (RA) adalah proses terstruktur untuk menganalisis risiko dalam kaitannya dengan
konsekuensi (concequences) dan kemungkinan terjadinya risiko (likelihood) sebelum menentukan
tindakan lebih lanjut yang diperlukan terkait TI. Berdasarkan NIST SP 800-37 Risk Assessment (RA)
adalah proses mengidentifikasi risiko terhadap perusahaan (termasuk visi, misi, reputasi), asset dan
Cindividu
ONSULTINyang
G & Adihasilkan
D V I S O R Y S Edari
R V I C pengoperasian
ES suatu sistem. 10
Kerangka Kerja
ISO 22301 adalah standar internasional yang menentukan persyaratan untuk menerapkan business continuity management
system. Standar ini memberikan panduan bagi perusahaan dalam membangun dan meningkatkan sebuah sistem
keberlangsungan bisnis dalam mengurangi terjadinya sebuah peristiwa yang menggangu, merespon secara efektif ketika
terjadi gangguan, hingga proses pemulihan serta back to normal proses bisnis di organisasi.
Pada persyaratan ISO 22301:2019 terdapat beberapa clause yang akan dijadikan sebagai acuan dalam implementasi
sistem keberlangsungan bisnis. Secara garis besar, pada bagian clause ISO 22301:2019 memiliki 7 section yang terdiri
dari:
- Clause 4 - Context of the organization, mengenai pemahaman organisasi dalam penerapan sistem
keberlangsungan bisnis.
- Clause 5 - Leadership, mengenai komitmen dari top management dalam menetapkan kebijakan mengenai proses
keberlangsungan bisnis.
- Clause 6 - Planning, mengenai perencanaan dan identifikasi risiko serta peluang yang mungkin terjadi dari setiap
proses/layanan, sehingga organisasi dapat meminimalisir kemungkinan risiko.
- Clause 7 - Support, mengenai sumber daya, kompetensi, awareness, komunikasi dan dokumen yang berkaitan
dengan business continuity management system.
- Clause 8 - Operation, mengenai organisasi dalam melakukan proses analisa dampak bisnis, risk assessment,
identifikasi strategi ketika terjadi disaster, persyaratan sumber daya, proses respon hingga pemulihan, serta
evaluasi dari proses keberlangsungan bisnis yang telah dilakukan.
- Clause 9 - Perfomance Evaluation, mengenai pelaksanaan internal audit dari proses sistem keberlangsungan bisnis
serta pelaksanaan tinjauan manajemen.
- Clause 10 – Improvement, mengenai peningkatan yang perlu dilakukan organisasi berdasarkan corrective action
dari kegiatan internal audit maupun peningakatan keberlanjutan sesuai hasil rapat tinjauan manajemen.
CONSULTING & ADVISORY SERVICES 11
Kerangka Kerja
ISO/IEC 20000-1:2018 adalah standar yang dipergunakan untuk sertifikasi manajemen Teknologi Informasi (TI). Tujuannya
adalah untuk memungkinkan semua organisasi yang berpondasi pada teknologi informasi agar mampu menerapkan praktik
terbaik. Secara spesifik menentukan persyaratan bagi institusi (merujuk kepada BUMN, Swasta dan Government) penyedia
layanan TI untuk merencanakan, menetapkan, menerapkan, mengoperasikan, memantau, mereview, memelihara dan
meningkatkan sistem manajemen layanan TI.
Pada persyaratan standar tersebut terdapat beberapa clause yang akan dijadikan sebagai acuan dalam menerapkan
manajemen teknologi informasi. Secara garis besar, pada bagian clause memiliki 7 section yang terdiri dari:
- Clause 4 - Context of the organization, mengenai persyaratan yang diperlukan untuk menetapkan, menerapkan,
memelihara, dan terus meningkatkan sistem manajemen layanan.
- Clause 5 - Leadership, mengenai komitmen yang tepat dari top management memastikan bahwa kebijakan, proses,
sdm, alat, dan teknologi yang diperlukan tersedia untuk memeberikan layanan berkualitas bagi bisnis.
- Clause 6 - Planning, mengenai perencanaan dengan jelas mengidentifikasi tindakan yang diperlukan untuk
mencapai tujuan manajemen layanan organisasi.
- Clause 7 – Support of the service management system, mengenai pentingnya role yang dimainkan oleh beberapa
area organisasi dalam mendukung efektivitas sistem manajemen layanan.
- Clause 8 – Operation of the service management, mengenai operasional manajemen layanan untuk memastikan
bahwa kegiatan yang diperlukan dalam pengoperasian sistem manajemen layanan dilakukan secara efektif dan
efisien.
- Clause 9 - Perfomance Evaluation, mengenai pelaksanaan internal audit dari proses sistem manajemen layanan
untuk menilai kinerja sistem manajemen layanan melalui monitoring, pengukuran, analisis, dan evaluasi sistem.
- Clause 10 – Improvement, mengenai ketidaksesuaian, tindakan korektif, dan perbaikan berkelanjutan. Persyaratan
dalam clause ini menentukan tindakan korektif yang harus diambil ketika ketidaksesuaian ditemui oleh organisasi.
Tindakan ini mendukung filosofi perbaikan berkelanjutan dari manajemen layanan yang efektif.
CONSULTING & ADVISORY SERVICES 12
Kerangka Kerja
ISO/IEC 27001:2013 adalah persyaratan standar yang digunakan dalam membuat dan membangun Sistem Manajemen
Keamanan Informasi (SMKI) berdasarkan aspek keamanan informasi, yaitu kerahasiaan, integritas, dan ketersediaan.
Pada persyaratan standar tersebut terdapat bagian clause (klausa) serta annex (lampiran), dimana untuk clause yang
berjumlah 27 kontrol keamanan informasi bersifat wajib dilaksanakan (mandatory), sedangkan annex yang berjumlah
114 kontrol keamanan informasi dapat disesuaikan dengan ruang lingkup ISO/IEC 27001.
Secara garis besar, bagian clause pada persyaratan ISO/IEC 27001:2013 terdiri dari 7 section, yaitu konteks organisasi,
kepemimpinan, perencanaan, pendukung, operasional, kinerja dan evaluasi, serta perbaikan. Sedangkan untuk bagian
annex terdiri dari 14 section, yaitu kebijakan keamanan informasi, organisasi keamanan informasi, keamanan SDM,
manajemen aset, kontrol akses, kriptografi, keamanan fisik dan lingkungan, keamanan operasional, keamanan
komunikasi, akuisisi, pengembangan dan pemeliharaan sistem, hubungan supplier, manajemen insiden keamanan
informasi, manajemen keberlangsungan bisnis (BCM), dan compliance.
IT DRM mengadopsi bagian annex yaitu pada annex 17 mengenai manajemen keberlangsungan bisnis (Business
Continuity Management), berisi tentang perencanaan, implementasi, review dan evaluasi dari keberlangsungan
keamanan informasi, serta ketersediaan dari fasilitas pengolahan informasi.
Secara garis besar, hal-hal yang disampaikan dalam standar ini terkait perencanaan kontingensi yang mengacu
pada tindakan sementara untuk memulihkan sistem informasi setelah gangguan.
Tindakan sementara tersebut dapat mencakup relokasi sistem informasi dan operasi ke situs alternatif,
pemulihan fungsi sistem informasi menggunakan peralatan alternatif, atau kinerja fungsi sistem informasi
menggunakan metode manual.
NIST SP 800-34 menjelaskan tujuh langkah proses perencanaan kontingensi yang dapat diterapkan oleh
organisasi yang diintegrasikan ke dalam setiap siklus pengembangan sistem.
• Mengembangkan pernyataan kebijakan perencanaan kontingensi;
• Melakukan Business Impact Analysis (BIA);
• Identifikasi pengendalian preventif;
• Membuat strategi kontingensi;
• Mengembangkan rencana kontingensi sistem informasi;
• Memastikan rencana terkait pengujian dan pelatihan; dan
• Memastikan adanya pemeliharaan.
16
PT.MII - CONSULTING & ADVISORY SERVICES
Ruang Lingkup & Hasil Pekerjaan 1
1
7
7
Materi Workshop
Workshop IT Disaster Recovery Management (DRM)
Penyusunan dan pembaharuan dokumen laporan IT Service Impact Dokumen laporan IT Service
Analysis, serta termasuk laporan Application Criticality Impact Analysis
Closing
8 Closing Projek
a. Perusahaan penyedia jasa adalah perusahaan yang berpengalaman dalam melakukan proyek penyusunan disaster recovery plan (DRP) atau
Disaster Recovery Managment (DRM) minimal 1 (satu) proyek, disertai dengan copy kontrak atau Surat Perintah Kerja (SPK) atau Purchase Order
(PO);
b. Penyedia Jasa memiliki pengalaman melaksanakan pekerjaan terkait Implementasi Disaster Recovery Plan atau Disaster Recovery Management
di lingkup perusahaan lokal dan atau multinasional baik di lingkungan swasta maupun pemerintahan atau BUMN di Indonesia;
c. Perusahaan penyedia jasa diutamakan yang telah memiliki sertifikat ISO 9001:2015 dan ISO/IEC 27001:2013;
d. Diutamakan perusahaan yang memiliki tenaga ahli tetap di area IT Management, yaitu dengan sertifikasi Lead Auditor ISO 22301 atau EDRP,
serta dapat dibuktikan dengan bukti potong pajak, dan dengan tenaga ahli berkompeten dengan tingkat pengetahuan serta keahlian yang sesuai
dengan lingkup pekerjaan dan teknologi yang dikembangkan, dibuktikan dengan CV dan dokumen pendukung;
e. Konsultan penyedia jasa tidak diperbolehkan melakukan kerjasama (sub contract) dengan perusahaan dan / atau individu konsultan lain;
f. Staf tenaga ahli yang diusulkan bukan merupakan pegawai outsource dan bersedia memberikan laporan SPT untuk tenaga ahli; dan
g. Mempunyai kantor di Indonesia dan staf lokal berkewarganegaraan Indonesia. Pekerjaan ini perlu ditangani oleh mayoritas tenaga lokal agar
permasalahan yang berkaitan dengan budaya dan kondisi/situasi lokal dapat ditangani dengan baik.
CONSULTING & ADVISORY SERVICES 22
Sample of Deliverables
28
PT.MII - CONSULTING & ADVISORY SERVICES