MODUL AUDIT SISTEM INFORMASI

PERTEMUAN 7 & 8:
KONTINUITAS BISNIS & PEMULIHAN BENCANA

A. TUJUAN PEMBELAJARAN
Pada bab ini akan dijelaskan mengenai kontinuitas bisnis dan
pemulihan bencana. Melalui makalah ini, anda harus mampu:
1.1 Mampu menjelaskan kontinuitas bisnis
1.2 Mampu menjelaskan cara meminimalkan resiko
1.3 Mampu menjelaskan BCP (Business Continuity Plan)

B. URAIAN MATERI
Bencana (disaster) merupakan resiko yang tidak diharapkan untuk terjadi,
terlebih bencana yang menimbulkan dampak negatif signifikan bagi
keberlangsungan organisasi. Timbulnya resiko bencana dapat mengakibatkan
terganggunya operasional bisnis, berdampak pada peningkatan biaya, munculnya
permasalahan penyediaan layanan ke pengguna, turunnya produktivitas
lingkungan kerja, hingga memburuknya citra perusahaan di mata customer.
Timbulnya bencana memang tidak dapat diperkirakan secara pasti. Akan tetapi
untuk mencegah dan meminimalisasi dampak negatif di atas, organisasi dapat
melakukan upaya persiapan untuk dapat bertahan hidup dalam keadaan darurat.

Dalam konteks teknologi informasi, diantara upaya persiapan yang

dimaksud adalah mengkondisikan sistem IT (information technology) untuk
senantiasa tersedia ketika dibutuhkan oleh proses bisnis organisasi. Sistem IT
perlu dipersiapkan untuk tetap dapat menunjang bisnis, bahkan ketika dampak
yang ditimbulkan bencana mengancam operasional sistem dan layanan IT itu
sendiri. Rencana Pemulihan Bencana atau dikenal pula sebagai Disaster Recovery
Plan (DRP), hadir sebagai solusi komprehensif untuk membantu organisasi
melakukan antisipasi dan penanggulangan terhadap bencana yang berpotensi
mengganggu operasional sistem IT yang menunjang operasional bisnis penting
dalam organisasi. Lebih lanjut, solusi DRP menjawab kebutuhan organisasi untuk:

40
SSJM-0916
 MODUL AUDIT SISTEM INFORMASI

 Meningkatkan kemampuan / kapabilitas dalam menghadapi bencana dan

hal-hal lain yang tidak terduga dengan mempersiapkan seluruh aspek yang
terkait dengan sistem IT.

 Meminimalisasi kerusakan atau kerugian terhadap operasional organisasi,
yang ditimbulkan oleh resiko bencana, baik oleh faktor alam maupun
faktor manusia.

 Menunjang pemulihan proses bisnis pasca bencana dalam waktu yang
terukur.

 Melindungi organisasi terhadap kejadian yang menyebabkan tidak dapat
beroperasinya sebagian atau seluruh sistem IT pada data center.

 Memastikan kestabilan organisasi ketika terjadi bencana pada tingkat yang
masih dapat diterima (tolerable), sekaligus memberikan rasa aman kepada
stakeholder.

 Menjamin dijalankannya tahapan upaya pemulihan pasca terjadinya
bencana, termasuk kehandalan sistem IT cadangan (alternate system)
ketika dibutuhkan.

 Meminimalkan aktivitas pengambilan keputusan saat terjadi disaster, yang
dapat mengakibatkan tertundanya upaya pemulihan atau bahkan kerugian
yang lebih besar.

Sebuah rencana pemulihan bencana yang komprehensif meliputi:

 analisis resiko dan dampak bencana,


 strategi penyediaan sistem IT dalam keadaan darurat,

 rumusan prosedur antisipasi dan penanggulangan bencana terhadap sistem

IT

 serta perencanaan kebutuhan disaster recovery center (DRC).

Untuk memastikan setiap strategi maupun prosedur dalam DRP sesuai

dengan kondisi organisasi dan untuk memastikannya dapat berfungsi optimal
ketika bencana terjadi, DRP juga dilengkapi dengan kebijakan review,
pemutakhiran, pengujian, serta pelatihan yang berkelanjutan.Seiring dengan

41
SSJM-0916
MODUL AUDIT SISTEM INFORMASI

meningkatnya dependensi proses bisnis terhadap sistem IT, kebutuhan terhadap

DRP semakin meningkat dan menjadi sebuah keniscayaan untuk mendukung
keberlangsungan aktivitas bisnis organisasi. Berbagai framework dan best practice
internasional terkait IT management, memasukkan konsep kontinuitas layanan IT
untuk menghadapi berbagai macam kemungkinan resiko interupsi sistem. Control
objective for Information and related technology (COBIT) memasukkan “Ensure
Continuous Service” sebagai proses keempat dalam domain “Deliver and
Support”. IT Infrastructure Library (ITIL) memasukkan proses “IT Service
Continuity Management” baik dalam publikasi Service Delivery (versi 2) maupun
dalam publikasi Service Operation (versi 3). ISO 27000 sebagai standar
internasional manajemen keamanan informasi mempersyaratkan pula kebutuhan
sistem informasi dalam rencana kontinuitas bisnis.

Business Continuity Planning (BCP), merupakan keadaan dimana kondisi

bisnis harus dapat terus berjalan pasca terjadinya bencana. BCP dikaitkan dengan
bagaimana posisi suatu organisasi dalam merencanakan dan membuat rencana
kerja untuk mengantisipasi kondisi organisasi tersebut saat terjadinya bencana dan
memastikan bisnis dapat berjalan minimal organisasi masih dapat memberikan
layanannya setelah pasca bencana terjadi. Pada dasarnya BCP di rancang pada
posisi pencegahan (preventive), dimana bencana dapat timbul sewaktu-waktu
sehingga proses bisnis akan terhambat. Menurut standar CISSP (Certified
Information System Security Proffesional), proses BCP meliputi 4 fase, yaitu :

1. Penetapan Ruang lingkup dan perencanaan

2. Penetapan Business Impact Assessment (BIA)
3. Pengembangan Business Continuity Plan
4. Persetujuan rencana dan implementasi

Proses penyusunan BCP terdiri dari: pembentukan kebijakan kontinuitas

bisnis dan pemulihan bencana, analisis dampak bisnis, klasifikasi analisis dampak
bisnis, klasifikasi analisis operasional dan kritis, pengembangan prosedur
kontinuitas bisnis dan pemulihan bencana, program pelatihan, pengetesan dan
rencana implementasi serta pengawasan.

42
SSJM-0916
MODUL AUDIT SISTEM INFORMASI

C. SOAL LATIHAN/TUGAS
1. Jelaskan apa pengertian dari BCP?
2. Sebutkan dan jelaskan proses penyusunan BCP?
3. Sebutkan peran audit dalam BCP?

43
SSJM-0916