Tujuan Cobit 5

Tujuan utama pengembangan COBIT 5 for Information Security:

1. Menggambarkan keamanan informasi pada enterprise termasuk:

 Responsibilities terhadap fungsi IT pada keamanan informasi.
 Aspek-aspek yang akan meningkatkan efektivitas kepemimpinan dan manajemen
keamanan informasi seperti struktur organisasi, aturan-aturan dan kultur.
 Hubungan dan jaringan keamanan informasi terhadap tujuan enterprise.
2. Memenuhi kebutuhan enterprise untuk:
 Menjaga risiko keamanan pada level yang berwenang dan melindungi informasi
terhadap orang yang tidak berkepentingan atau tidak berwenang untuk melakukan
modifikasi yang dapat mengakibatkan kekacauan.
 Memastikan layanan dan sistem secara berkelanjutan dapat digunakan oleh
internal dan eksternal stakeholders.
 Mengikuti hukum dan peraturan yang relevan.
3. Memberikan fakta bahwa keamanan informasi merupakan salah satu aspek penting
dalam operasional sehari-hari pada enterprise.

Berikut sub proses dari domain APO01 Manage the IT Management Framework

1. APO01.01 Define the organisational structure (Mendefinisikan struktur

organisasi)

Membentuk struktur organisasi internal yang diperluas untuk mencerminkan

kebutuhan bisnis dan prioritas TI. Menempatkan struktur yang diperlukan manajemen
(misalnya, komite) yang memungkinkan pengambilan keputusan manajemen untuk
mengambil tempat dengan cara yang paling efektif dan efisien.

2. APO01.02 Establish roles and responsibilities (Menetapkan peran dan

tanggung jawab)

Menetapkan, menyetujui dan mengkomunikasikan peran dan tanggung jawab personil

TI, serta pemangku kepentingan lainnya dengan tanggung jawab untuk perusahaan IT, yang
merefleksikan dengan jelas kebutuhan bisnis secara keseluruhan dan tujuan TI dan tanggung
jawab, otoritas dan akuntabilitas personel terkait.
 3. APO01.03 Maintain the enabelers of the management system (Memelihara
enabler sistem manajemen)

Mempertahankan enabler dari sistem manajemen dan kontrol lingkungan untuk

perusahaan IT, dan memastikan bahwa hal tersebut terintegrasi dan sejalan dengan tata kelola
perusahaan dan filosofi manajemen dan gaya operasional. Enabler ini termasuk komunikasi
yang jelas mengenai ekspektasi/kebutuh an. Sistem manajemen harus memaksadivisi-divisi
yang berlainan untuk kooperatif dan bekerja sama, meningkatkan kepatuhan dan perbaikan
terusmenerus, dan menangani penyimpangan proses (termasuk kegagalan).

4. APO01.04 Communicate Management Objectives and Direction

(Mengkomunikasi kan tujuan dan arahan manajemen)

Mengkomunikasikan kesadaran dan pemahaman akan tujuan dan arah dari TI kepada
stakeholders terkait dan pengguna pada perusahaan.

5. APO01.05 Optimisation the Placement of the IT Function (Mengoptimalkan

penempatan fungsional TI)\

Posisikan kemampuan IT dalam struktur organisasi secara keseluruhan untuk

mencerminkan model perusahaan yang relevan dengan pentingnya IT dalam perusahaan,
khususnya kekritisan terhadap strategi perusahaan dan tingkat ketergantungan operasional TI.
Jalur pelaporan CIO harus disesuaikan dengan pentingnya IT dalam perusahaan

6. APO01.07 Define Information (data) and System Ownership (Mendefinisikan

kepemilikan informasi(data) dan sistem)

Mendefinisikan dan memelihara tanggung jawab untuk kepemilikan informasi (data)

dan sistem informasi. Memastikan bahwa pemilik membuat keputusan tentang klasifikasi
informasi dan sistem dan melindungi mereka sesuai dengan klasifikasi ini

7. APO01.07 Manage Continual Improvement of Processes (Mengelola

keberlangsungan peningkatan proses)

Menilai, merencanakan dan melaksanakan perbaikan berkesinambungan dari proses

dan kematangan mereka untuk memastikan bahwa mereka mampu memberikan terhadap
tujuan perusahaan, tata kelola, manajemen dan kontrol. Pertimbangkan bimbingan
pelaksanaan, munculnya standar, persyaratan kepatuhan, peluang otomatisasi, dan umpan
balik dari pengguna proses, tim proses dan pemangku kepentingan lainnya pada proses
COBIT. Perbarui proses dan pertimbangkan dampak terhadap enabler proses.

8. APO01.08 Ensure Compliance with Policies and Procedures (Menjaga

kepatuhan terhadap kebijakan dan prosedur)

Masukkan prosedur tempat untuk menjaga kepatuhan dan pengukuran kinerja

kebijakan dan enabler lain dari kerangka kontrol, dan menegakkan konsekuensi dari
ketidakpatuhan atau kinerja yang tidak memadai. Lacak tren dan kinerja dan pertimbangkan
hal tersebut dalam desain masa depan dan perbaikan kerangka kontrol

a. APO02 Manage Strategy (Mengelola Strategi)

Menurut ISACA (2012) deskripsi dari proses APO02 adalah menyediakan gambaran
bisnis dan lingkungan TI terkini, tujuan yang akan datang, dan memulai untuk berusaha
untuk melihat lingkungan di masa yang akan datang.

Tujuan dari proses ini adalah menyelaraskan rencana strategi TI dengan tujuan bisnis.
Dengan komunikasi tujuana tersebut dengan baik maka akan dimengerti oleh semuany,
dengan pilihan strategi TI telah diidentifikasi, terstruktur dan terintegrasi dengan rencana
bisnis.

Pada proses ini memberikan pandangan yang menyeluruh dari aktifitas saat ini dan
lingkungan TI, arah masa depan dan inisiatif yang diperlukan untuk lingkungan di masa
depan. Tujuannya adalah menyelaraskan rencana strategis TI dengan tujuan organisasi.
Berkomunikasi dengan tujuan yang jelas dan akuntabilitas terkait, sehingga mereka dipahami
oleh semua dengan pilihan strategis TI diidentifikasi, terstruktur dan terintegrasi dengan
rencana organisasi(ISACA, 2012).

1. APO02.01 Understand enterprise direction (Memahami Arahan Organisasi)

Pertimbangkan lingkungan organisasi saat ini dan proses bisnis, serta strategi
organisasi dan tujuan masa depan. Perhatikan juga lingkungan eksternal organisasi
(penggerak industri, peraturan yang relevan, dasar kompetisi).

2. APO02.02 Assess the current environment, capabilities and performance

(Menilai Kemampuan dan Kinerja Saat ini)

Menilai kinerja bisnis internal saat ini, kemampuan TI dan layanan TI eksternal, dan
mengembangkan pemahaman tentang arsitektur enterprise hubungannya dengan TI.
Mengidentifikasi isu-isu saat ini yang sedang dialami dan mengembangkan rekomendasi di
daerah yang bisa memberi manfaat dari perbaikan. Pertimbangkan pilihan penyedia layanan,
dampak keuangan dan potensi biaya dan manfaat menggunakan layanan eksternal.

3. APO02.03 Define the target IT capabilities (Mendefinisikan Sasaran

Kemampuan)

Tentukan target bisnis, kemampuan TI yang diperlukan dan layanan TI.

Hal ini harus didasarkan pada pemahaman tentang lingkungan organisasi dan persyaratan,
penilaian proses bisnis dan lingkungan TI saat ini dan masalah pertimbangan standar
referensi praktek terbaik dan teknologi yang tersedia.

4. APO02.04 Conduct a gap analysis (Melakukan Analisis Gap)

Mengidentifikasi kesenjangan antara arus dan sasaran lingkungan dan

mempertimbangkan keselarasan aset (kemampuan yang mendukung layanan) dengan bisnis
untuk mengoptimalkan hasil investasi dan pemanfaatan basis aset internal dan eksternal.
Pertimbangkan faktor kritis keberhasilan untuk mendukung pelaksanaan strategi.

5. APO02.05 Define the strategic plan and road map (Menentukan Rencana

Strategis)

Mendefinisikan rencana strategi dalam Kerjasama dengan stakeholder terkait dan cara
menghubungkan tujuan TI yang akan memberikan kontribusi untuk tujuan strategis
organisasi. Tujuan TI mendukung program investasi TI, proses bisnis, layanan TI dan aset TI.
Road map digunakan untuk menentukan inisiatif dan memantau pencapaian tujuan, kemudian
memprioritaskan inisiatif dan menggabungkan mereka dalam peta jalan tingkat tinggi.

6. APO02.06 Communicate the IT strategy and direction (Mengkomunikasikan

Strategi TI dan Arah)

Menciptakan kesadaran dan pemahaman tentang bisnis, tujuan dan arah, seperti yang
tertuang dalam strategi TI, melalui komunikasi yang tepat untuk Stakeholders dan pengguna
di seluruh organisasi.

b. APO03 Manage Enterprise Architecture

Menurut ISACA (2012), deskripsi dari proses APO03 adalah membangun arsitektur
pada umumnya yang terdiri dari proses bisnis, informasi, data, aplikasi, dan layer arsitektur
teknologi dengan tujuan mewujudkan strategi perusahaan dan strategi TI secara efektif dan
efisien dengan cara menciptakan model kunci dan praktek-praktek yang mendeskripsikan
arsitektur saat ini dan target arsitektur. Menetapkan persyaratan dalam taksonomi, standar,
pedoman, prosedur, template, dan alat, dan menghubungkan komponen-komponen.
Meningkatkan keterpaduan, ketangkasan, kualitas informasi, dan menghasilkan penghematan
biaya potensial melalui inisiatif seperti penggunaan kembali komponen-komponen building
block.

Tujuan dari proses tersebut adalah merepresentasikan building block yang berbeda

yang membentuk perusahaan dan antar-hubungannya serta prinsip-prinsip dalam
memandu design dan evolusi mereka dari waktu ke waktu, memungkinkan perwujudan
tujuan operasional dan strategis yang terstandarisasi, responsif, dan efisien.

1. APO03.01 Develop the enterprise architechture vision (Mengembangkan visi

arsitektur perusahaan)
2. APO03.02 Define reference architechture (Mendefinisikan referensi
arsitektur)

Referensi arsitektur jaringan menggambarkan arsitektur jaringan saat ini dan target
yang ingin dicapai untuk bisnis, informasi, data, aplikasi dan teknologi.

3. APO03.03 Select opportunities and solutions (Memilih kesempatan dan

solusi)

Menganalisa gap antara standar yang diterapkan saat ini dengan target arstektur
jaringan yang ingin dicapai, bisnis dan perspektif teknis, dan menggolongkannya ke dalam
satu kesatuan paket kerja proyek. Mengintegrasikan proyek tersebut dan menghubungkan
program investasi IT untuk memastikan bahwa inisiatif tersebut sebagai bagian dari
perubahan. Membuat usaha kolaborasi dengan kunci stakeholder perusahaan dari bisnis dan
IT untuk menilai kesiapan transformasi perusahaan, dan mengidentifikasi kesempatan, solusi
dan batasan implementasi.

4. APO03.04 Define architechture implementation (Mendefinisikan

implementasi arsitektur)

Membuat perencanaan implementasi dan migrasi dalam penyelarasan dengan program

dan portofolio proyek. Memastikan bahwa perencanaan telah dikoordinasikan sehingga nilai-
nilai tersampaikan dan kebutuhan sumber daya disediakan untuk melengkapi kebutuhan
kerja.
 5. APO03.05 Provide enterprise architechture services (Menyediakan pelayanan
arsitektur perusahaan)

Terdapat arahan kerja dan pemantauan dari pelayanan arsitektur jaringan JSI yang
diimplementasikan, membuat kontrak kerja dari keseluruhan arsitektur secara formal,
mengukur dan mengomunikasikan nilai tambahan arsitektur dan pemantauan yang sesuai.

c. APO04 Manage Innovation

Menurut ISACA (2012), deskripsi dari proses APO04 adalah menjaga kesadaran akan
tren mengenai TI dan layanan sejenis, mengidentifikasi kesempatan inovasi, dan
merencanakan bagaimana caranya untuk mendapatkan keuntungan dari inovasi dalam
kaitannya dengan kebutuhan bisnis. Analisa kesempatan apa yang ada untuk inovasi bisnis
atau perbaikan yang bisa dibuat dengan teknologi baru, layanan atau inovasi dibidang TI
bisnis, analisa pula teknologi yang sudah ada dan inovasi bisnis dan proses TI yang
mempengaruhi perencanaan strategis dan keputusan arsitektural perusahaan.

Tujuan dari proses tersebut adalah mencapai keunggulan kompetitif, inovasi bisnis,
dan peningkatan efektifitas dan efisiensi operasional dengan mengeksploitasi perkembangan
TI.

1. APO04.01 Create an environment conducive to innovation (Menciptakan

lingkungan yang kondusif untuk inovasi)
1) APO04.01.01 Membuat rencana inovasi yang meliputi risk appetite,
anggaran yang akan digunakan untuk inisiatif inovasi, dan tujuan inovasi
2) APO04.01.02 Menyediakan infrastruktur yang dapat menjadi enabler
untuk berinovasi, seperti tools kolaborasi untuk meningkatkan kinerja
antar divisi dan geografis yang berbeda
3) APO04.01.03 Membuat lingkungan yang kondusif untuk melakukan
inovasi dengan cara mengelola insiatif dari HR, seperti program reward
dan penghargaan inovasi , rotasi pekerjaan yang sesuai, serta
kebijaksanaan waktu eksperimen
4) APO04.01.04 Mengelola program yang memungkinkan staff untuk
mengirimkan ide-ide inovasi dan menciptakan struktur pengambilan
keputusan yang sesuai untuk menilai dan membawa ide inovasi tersebut ke
tingkat lebih lanjut
 5) APO04.01.05 Menggali ide inovasi dari customer, supplier, dan mitra
bisnis
2. APO04.02 Maintain an understanding of the enterprise environment
(Pertahankan pemahaman tentang lingkungan perusahaan)
1) APO04.02.01 Memelihara pemahaman dari pelaku bisnis, strategi
perusahaan, operasional perusahaan, pelaku industri, dan isuisu lainnya
yang berpotensi sebagai nilai tambah identifikasi teknologi atau inovasi IT
2) APO04.02.02 Melakukan pertemuan rutin dengan unit bisnis, divisi dan
entitas stakeholder yang lainnya untuk memahami masalah bisnis saat ini,
hambatan proses, dan kendala lain yang dapat dimanfaatkan untuk
kesempatan inovasi IT.
3) APO04.02.03 Memahami parameter investasi perusahaan untuk inovasi
dan teknologi baru sehingga strategi yang sesuai dapat dikembangkan.
3. APO04.03 Monitor and scan the technology environment (Monitor dan pindai
teknologinya lingkungan Hidup)
1) APO04.03.01 Memahami keinginan dan potensial perusahaan untuk
mengadaptasi inovasi teknologi baru dan fokus terhadap inovasi teknologi
yang paling menguntungkan.
2) APO04.03.02 Melakukan riset dan pemindaian terhadap lingkungan luar,
termasuk website yang cocok, jurnal dan konferensi, untuk
mengidentifikasi perkembangan teknologi.
3) APO04.03.03 Berkonsultasi dengan ahli pihak ketiga jika diperlukan untuk
mengkonfirmasi temuan penelitian atau sebagai sumber informasi tentang
teknologi yang sedang berkembang
4) APO04.03.04 Menangkap ide-ide inovasi dari staff TI dan
menganalisisnya untuk potensi implementasi.
4. APO04.04 Assess the potential of emerging technologies and innovation ideas
(Menilai potensi teknologi yang muncul dan ide-ide inovasi)
1) APO04.04.01 Mengevaluasi teknologi yang telah diidentifikasi,
mempertimbangkan aspek seperti waktu untuk mencapai maturity, risiko
yang melekat pada teknologi baru (termasuk potensi implikasi hukum),
sesuai dengan arsitektur perusahaan, dan potensi untuk memberikan nilai
tambah.
 2) APO04.04.02 Mengidentifikasi masalah yang mungkin perlu diselesaikan
atau yang perlu dibuktikan melalui bukti konsep inisiatif.
3) APO04.04.03 Scope bukti konsep inisiatif, termasuk hasil yang
diinginkan, anggaran yang dibutuhkan, kerangka waktu dan tanggung
jawab
4) APO04.04.04 Memperoleh persetujuan untuk bukti konsep inisiatif.
5) APO04.04.05 Melakukan pembuktian konsep inisiatif untuk menguji
teknologi baru atau ide-ide inovasi lain, mengidentifikasi masalah, dan
menentukan apakah pelaksanaan lebih lanjut atau roll-out harus
dipertimbangkan berdasarkan kelayakan dan potensi ROI
5. APO04.05 Recommend appropriate further initiatives (Merekomendasikan
inisiatif lebih lanjut yang sesuai)
1) APO04.05.01 Dokumentasi hasil pembuktian konsep, termasuk panduan
dan rekomendasi untuk tren dan program inovasi.
2) APO04.05.02 Mengkomunikasikan peluang inovasi yang layak ke dalam
strategi IT dan proses arsitektur perusahaan
3) APO04.05.03 Menindaklanjuti bukti konsep inisiatif untuk mengukur
sejauh mana mereka telah memanfaatkan investasi yang sebenarnya.
4) APO04.05.04 Menganalisa dan mengkomunikasikan alasan dari penolakan
pembuktian konsep inisiatif
6. APO04.06 Monitor the implementation and use of innovation (Pantau
implementasi dan penggunaan inovasi)
1) APO04.06.01 Menilai pelaksanaan teknologi baru atau inovasi TI yang
diadopsi sebagai bagian dari strategi TI dan perkembangan arsitektur
perusahaan, serta realisasi selama pengelolaan program inisiatif
2) APO04.06.02 Menangkap pembelajaran dan peluang untuk perbaikan.
3) APO04.06.03 Mengatur rencana inovasi, jika diperlukan.
4) APO04.06.04 Mengidentifikasi dan mengevaluasi nilai potensial untuk
direalisasikan dari kegunaan inovasi.
d. APO05 Manage Portfolio

Menurut ISACA (2012), deskripsi dari proses APO05 adalah mengeksekusi arahan
strategis untuk investasi sejalan dengan visi arsitektur perusahaan dan karakteristik yang
diinginkan atas investasi tersebut dan portofolio layanan terkait, dan mempertimbangkan
kategori-kategori inestasi berbeda dan sumber daya dan tantangan-tantangan pendanaan,
berdasarkan kesesuainnya dengan tujuan strategis, dan risiko bagi perusahaan. Memindahkan
program yang terpilih kedalam portofolio layanan aktif untuk eksekusi. Mengawasi performa
dari semua layanan dan program, mengajukan penyesuaian apabila dibutuhkan sebagai
respon dari performa layanan dan program atau perubahan dalam prioritas perusahaan.

Tujuan dari proses tersebut adalah mengoptimalkan performa dari portofolio

program-program dalam respon terhadap performa program dan layanan, dan perubahan
dalam proritas dan permintaan perusahaan.

1. APO05.01 Establish Target Investment Mix (Menetapkan sasaran sekumpulan

investasi)

Tidak termasuk dalam cakupan topik dan merupakah wewenang pihak internal
organisasi untuk menetapkan sasaran investasi TI.

2. APO05.02 Determine The Availability and Source of Funds (Menentukan

ketersediaan dan sumber dana)

Menentukkan ketersedian sumber dana tidak termasuk dalam cakupan topik untuk
melakukan prioritasi dan pengelolaan aplikasi portfolio. Sumber dana ditentukan oleh pihak
internal organisasi yang bergantung pada anggaran yang dialokasikan untuk investasi TI.

3. APO05.03 Evaluate and Select Programmes to Fund (Mengevaluasi dan

memilih program untuk didanai)

Menentukan calon program yang harus dipindahkan ke portfolio investasi yang aktif.
Proses diperlukan karena dalam menentukan prioritasi aplikasi portfolio dibutuhkan
pendataan dan pemilihan aplikasi yang disesuaikan dengan kriteria penilaian yang telah
ditentukan.

4. APO05.04 Monitor, Optimise and Report on Investment Portfolio Investment

(Memantau, mengoptimalkan dan melaporkan kinerja portfolio investasi)

Proses ini diperlukan karena dalam menentukan prioritasi aplikasi portfolio

dibutuhkan proses pengoptimalan dan pemantauan kinerja dari portfolio investasi tersebut.
Ketika perubahan terjadi, evaluasi kembali dan prioritaskan kembali portfolio untuk
memastikan bahwa portfolio sejalan dengan strategi bisnis. Memberikan laporan manajemen
untuk tinjauan manajemen senior pada kemajuan perusahaan terhadap identifikasi tujuan,
menyatakan apa yang masih perlu dikerjakan dan dicapai selama waktu tertentu.

5. APO05.05 Maintain Portfolios (Memelihara portfolio)

Proses diperlukan karena dalam menentukan prioritasi aplikasi harus dilakukan

tahapan pemeliharaan portfolio yang masih aktif. Membuat dan memelihara portfolio dari
investasi program, layanan TI dan aset TI, yang membentuk dasar untuk anggaran TI saat ini
dan mendukung rencana taktis dan strategis TI.

6. APO05.06 Manage Benefits Achievement (Mengelola pencapaian yang

memberi manfaat atau keuntungan)

Tidak termasuk kedalam cakupan topik karena tidak menyangkut prioritasi portfolio
aktif. Hal ini juga dikelola oleh bagian internal untuk mengetahui ketercapaian manfaat yang
diberikan.