Test Auditing Training BCP DRP Sesi4

Sesi 4
g, Auditing,
Testing, g, Training,
g, and Maintaining
g
Your Business Continuity
and Disaster Recovery Planning
B i
Business C
Continuity
i i andd Disaster
Di Recovery
R
Framework
Business Impact
Risk Assessment Strategy Plan
Analysis
Audit Testing
Testing Procedures
Training Maintenance
2 of 37 Testing, Auditing, Training, and Maintaining Your Business Continuity and Disaster Recovery Planning
Frekuensi Pengujian
Pengujian DRP harus dilakukan pada setiap interval tertentu
(minimal sekali dalam setahun atau jika terjadi perubahan yang signifikan)
Frequency of testing BCP by industry group
• Financial Services (FS)

• Consumer & Industrial Market (CIM)
• Infrastructure & Government (I&G)
• Information, Communication,
and Entertainment (ICE)
• Energy & Natural Resources (ENR)
KPMG’s Asia-Pacific BCM Benchmarking Survey

November 2003
Strategi dalam Pengujian
Pengujian diperlukan untuk mendapatkan sebuah kombinasi strategi dari elemen – elemen berikut :
T i l
Trial : Memastikan bahwa semua komponen (resources) dapat
me-generate hasil seperti yang diharapkan dan prosedur yang
digunakan adalah prosedur yang efisien
Training : Memastikan bahwa personil yang ditunjuk

untuk bertanggung jawab terhadap proses pemulihan telah
memahami dan siap untuk melakukan tugasnya
Exercise : Melatih implementasi DRP dengan

menggabungkan semua komponen, prosedur dan
personil yang berkaitan dengan upaya pemulihan
Tipe Pengujian
Orientation/walk-through
Tabletop/Mini-drill
F
Functional
ti lTTesting
ti
Full scale Exercise
Full-scale
Orientation/Walk-Through
Tujuan utama : memastikan bahwa personil utama dari seluruh bagian telah
mengenal BCP dan DRP dengan baik
Untuk individual
Diskusi
dan tim interaktif
Kelompok
K l k
Mengutamakan kecil
pengetahuan
dibanding ketrampilan Karakteristik Fokus :
“team building”
Menitikberatkan pada
elemen
l perencanaan Tidak
Tid k ada
d mobilisasi
bili i
kritis resources
Tabletop Mini-Drill
Melakukan percobaan
dalam bermacam-macam
Fokus pada demonstrasi kondisi
Mobilisasi Sistem
pengontrolan
p g yyang
g Melakukan tugas
beberapa anggota baik d
dengan simulasi
i l i
Tim Pemulihan
Melakukan praktek
Evaluasi performansi dan validasi
dan kemampuan
kemampuan respon
fungsional tertentu
Functional Testing
Karakteristik
Demonstrasi kemampuan Memberikan respon ke lokasi
alternatif (aktual maupun simulasi)
Mencoba berbagai macam
kondisi, bentuk notifikasi dan Mobilisasi personil dan sumber
mobilisasi sumber daya
daya ke beberapa lokasi berbeda
Adanya pengontrol,
evaluator dan pengamat Evaluasi performasi individu & tim
Melibatkan pihak-pihak yang terkait dengan penanggulangan

k di i darurat
kondisi d t (misalkan
( i lk petugas
t pemadam
d k b k
kebakaran)
)
Full-Scale Exercise
Karakteristik Metode paling komprehensif

Menguji seluruh bagian DRP
Adanya
y sistem kontrol
Demonstrasi pengetahuan
Teliti Melibatkan dan ketrampilan yang
semua
se ua elemen
ee e dimiliki
Validasi Keterlibatan dan Pada lokasi/fasilitas

tindakan interaksi manajemen
j sesungguhnya
internal dan eksternal
Dibutuhkannya
Evaluasi performansi
Mobilisasi semua koordinasi lapangan
perusahaan secara keseluruhan elemen Tim Pemulihan dan “aturan bermain”
Evaluasi Tes dan Pengujian
Sebuah pengujian yang sukses adalah pengujian yang memunculkan masalah
Evaluasi dilaksanakan dalam satu sampai tiga

minggu setelah pengujian
Evaluasi masukan :
¾ Pembahasan kehandalan
¾ Pembelajaran Dokumen
¾ Mengukur
e gu u kemampuan
e a pua pe
personel
so e
¾ Mengukur kecukupan perangkat
¾ Identifikasi kekurangan pada DRP
B i
Business C
Continuity
i i andd Disaster
Di Recovery
R
Framework
Business Impact
Analysis
Audit
Audit Testing Procedures
Auditing Disaster Management Standards
ISO 27001
COBIT
NFPA 1600
Internal Framework
Case :
Sharing VisionTM DRP/DRC
I l Audit
Internal A di
Standar 1 – ISO 27001
Security
Policy
Organization
Of Asset
Information Management
Security Human
Resources Standar
d
Physical &
Security
Communications
Kebijakan
Environmental & Operations DRP
Security Management Information
Access Security
Information Control Incident
Systems Business Management
Acquisition, Continuity D
Domain
i ISO 27001
Development & Management
Maintenance
Compliance
Standar 1 – ISO 27001
Business Continuity Management
Menyusun
y p
proses manajemen
j continuityy 1
Membangun proses manajemen continuity perusahaan 2
Melakukan analisis ancaman dan analisis pengaruh 3
M
Mengembangkan
b k Business
B i Continuity
C ti it Pl Plan perusahaan
h 4
Memelihara framework plan continuity 5
Menguji dan meng-update plan manajemen continuity 6
St d 2 – National
Standar N ti l Fi
Fire P
Protection
t ti A
Association
i ti
(NFPA) 1600 (USA)
Mengembangkan strategi untuk

mencegah peristiwa yang
mengancam people, properti, dan
lingkungan
Menentukan tindakan
jangka pendek dan Prevention
j
jangka
k panjang
j untuk
k Memiliki sebuah
mengurangi risiko dan sistem untuk
menggunakan teknik Mitigation Preparedness memonitor bahaya
– teknik informasi yyangg teridentifikasi
dan intelligence untuk dan mengadaptasinya
mempertahankan untuk mengubah
tindakan – tindakan
Response Recovery tingkat risiko
tsb
b
Sistem dan peralatan perlindungan dapat

digunakan untuk mengurangi akibat suatu
*NFPA 1600: a Disaster Management
Management, Emergency
bencana
Management, and Business Continuity Standard
Standar 3 – CoBIT
• CoBIT (Control Objectives for Information and related

Technology) is a framework for Information Technology (IT)
security and internal controls.
• One of the control objectives within CoBIT deals with the topic
off business
b i i i
continuity.
Planningg and Organisation

g
Acquisition & Implementation
Delivery & Support
Monitor
Standar
St d 3 – CoBIT
C BIT
Disaster Management
DS1 define and manage service levels
DS2 manage third-party services
DS3 manage performance and capacity
DS4 ensure continuous service
DS5 ensure systems security
DS6 identify and allocate costs 1. IT Continuity Framework
2. IT Continuityy Plan Strategy
gy and
DS7 educate and train users
Philosophy
DS8 assist and advise customers 3. IT Continuity Plan Contents
DS9 manage the configuration 4. Minimising IT Continuity Requirements
DS10 manageg pproblems and incidents 5. Maintaining the IT Continuity Plan
DS11 manage data 6. Testing the IT Continuity Plan
DS12 manage facilities 7. IT Continuity Plan Training
DS 13 manage operations 8. IT Continuity Plan Distribution
9 User Department Alternative Processing
9.
Back-up Procedures
10.Critical IT Resources
*CoBIT: Control Objectives for Information 11. Back-up Site and Hardware
and
d related
l d Technology
h l 12 Off site Back-up
12.Off-site Back up Storage
13.Wrap-up Procedures
Internal Framework
Process People
Kelengkapan DRP Awareness
Organisasi
Pengujian
Technology
Site Assessment
Security
SHARING VISION TM
Scalability
Langkah-langkah
L k hl k h Audit
A dit / R
Review
i
Kelengkapan Framework DRP/BCP
Document Field Assessment Interview
Assessment
Benchmark
Best Practice
Gap Analysis
Reporting Recommendation
Assessment
Benchmark
p Analysis
Gap y
Best Practice Assessment Risk
Apakah perusahaan pernah melakukan identifikasi terhadap:

9 Aset perusahaan
h
9 Ancaman yang dihadapi perusahaan
9 R ik asett terkena
Resiko t k bencana
b
9 Operasi/proses bisnis yang berlangsung di perusahaan
9 Dampak jika proses bisnis terkena bencana
secara keseluruhan?
Assessment
Benchmark
p Analysis
Gap y
Best Practice Assessment BIA
Apakah pernah melakukan assessment/penilaian

seluruh aset dan operasi/proses bisnis yang
berlangsung di perusahaan?
9 Apakah penilaian dilakukan secara periodik?

9 Apakah
k h ada
d tindak
i d k lanjut
l j terhadap
h d h hasil
il penilaian?
il i
9 Apakah orang yang melakukan assessment
(penilaian) aset perusahaan dan analisis dampak bisnis
benar-benar menguasai bidang tersebut?
Assessment
Benchmark
p Analysis
Gap y
Best Practice Assessment Strategi (1)
Apakah perusahaan memiliki strategi berkaitan dengan:
Media backup
Metode backup
Periode backup
Penyimpanan
y p backupp
Pengujian backup
Penanggung jawab backup
Lokasi pengalihan/lokasi pemulihan
Alternatif sistem telekomunikasi
Alternatif sumber energi perusahaan
Assessment
Benchmark
p Analysis
Gap y
Best Practice Assessment Strategi (2)
Apakah strategi yang terpilih adalah hasil assessment

sehingga merupakan strategi yang paling optimal bagi
perusahaan?
Angka
k MAOT O terpenuhi hi
Memiliki resiko paling kecil
Dampak bisnis paling minimal
Spesifikasi sesuai dengan kondisi perusahaan
g
Tingkat availabilityy tinggi
gg
Apakah saat ini perusahaan telah merealisasikan strategi
tersebut?
Assessment
Benchmark
p Analysis
Gap y
Best Practice Assessment Prosedur (1)
Struktur Organisasi:
9 Apakah perusahaan memiliki struktur organisasi yang khusus
menangani penanggulangan bencana yang memiliki deskripsi kerja
dan alur tanggung jawab yang jelas?
9 Apakah setiap anggota tim telah ditunjuk dengan tepat sesuai
kapabilitas masing-masing?
9 Apakah setiap anggota tim telah memahami tugas dan tanggung jawab
masing-masing (baik ketika tidak terjadi bencana maupun saat
bencana dan pasca bencana)?
Assessment
Benchmark
p Analysis
Gap y
Best Practice Assessment Prosedur (2)
Prosedur:
9 Apakah perusahaan memiliki prosedur pra-bencana, saat terjadi bencana
dan setelah bencana?
9 Apakah prosedur mudah dipahami?
9 Apakah prosedur sudah tersosialisasi?
9 Apakah prosedur mudah dilaksanakan (tidak berbelit-belit)?
9 Apakah sudah pernah dilakukan pengujian terhadap prosedur tersebut?
Assessment
Benchmark
p Analysis
Gap y
Best Practice Assessment Pengujian
9 Apakah
p p
perusahaan sudah p
pernah melakukan p
pengujian
g j terhadap
p DRP?
9 Apakah pengujian telah dilakukan untuk semua bagian DRP?
9 Apakah pengujian dilaksanakan secara reguler?
9 Apakah perusahaan pernah melakukan pengujian dengan mensimulasikan
bencana yang sesungguhnya?
9 Apakah pengujian melibatkan seluruh tim pemulihan dan seluruh
komponen perusahaan?
9 Apakah pengujian berjalan sesuai dengan yang telah direncanakan?
9 Apakah perusahaan telah memiliki rencana pengujian DRP untuk jangka
p j g
panjang?
Assessment
Benchmark
p Analysis
Gap y
Best Practice Assessment Evaluasi Pengujian
Evaluasi Hasil Pengujian
Apakah
p p
pengujian
g j yyang
g dilakukan mencapai
p tujuan
j yyang
g telah
ditetapkan?
Apakah ada evaluasi terhadap hasil pengujian yang telah dilakukan?
Ketika dalam pengujian ditemukan hal-hal yang tidak sesuai dengan
kondisi perusahaan, apakah akan mempengaruhi DRP?
Jika terjadi perubahan pada dokumen DRP apakah dilakukan

pengujian kembali?
Assessment
Benchmark
Gap Analysis
Best Practice Gap Analysis
Analisa gap
(Current Vs
Target)
Non-existent Initial Repeatable Defined Managed Optimised

0 1 2 3 4 5
Management’s
Target Goal
Penjelasan Ranking yang Digunakan

Penjelasan Simbol yang Digunakan
0 - Plan tidak dibuat sama sekali
Status perusahaan terbaru 1 - Plan bersifat ad-hoc dan tidak diorganisir
2 - Plan mengikuti pola reguler
Rata-rata Industri 3 - Plan didokumentasikan dan dibicarakan
4 - Plan dimonitor dan diukur
Target perusahaan 5 - Plan yang bagus diikuti
Reporting and Recommendation
Reporting Recommendation
Komponen Level Prioritas Rekomendasi

T
Temuan R k
Rekomendasi
d i
Evaluasi Rendah Sedang Tinggi
• Menyusun
• Tidak memiliki prosedur
prosedur dan
p
dan kebijakan backup dan
kebijakan backup √
recovery
dan recovery
Audit Prosedur
• Menyusun
• Belum dibuatnya
manajemen
manajemen keterlanjutan
keberlanjutan √
bisnis
bisnis
B i
Business C
Continuity
i i andd Disaster
Di Recovery
R
Framework
Business Impact
Analysis
Training
Pelatihan
Initial Training
• Identifikasi kemampuan Perancangan pelatihan :
• Identifikasi kebutuhan pengalaman
Peserta Pelatihan
Metode Pelatihan
Refresher Training Waktu
Observer/pengamat
/p g
• Diadakan secara reguler
• Rotasi agar mendapatkan pengalaman yang sama
• Penilaian
il i terhadap
h d hasil
h il pelatihan
l ih
• Jika terjadi perubahan besar pada DRP, pelatihan tambahan lebih baik
diadakan secepatnya daripada menunggu sesi reguler selanjutnya
B i
Business C
Continuity
i i andd Disaster
Di Recovery
R
Framework
Business Impact
Analysis
Maintenance
Maintain The Business Continuity Plan
Menerapkan prosedur kontrol perubahan untuk memperbaharui BCP
Menetapkan tanggung jawab untuk maintenance pada setiap bagian

BCP
Menguji semua perubahan pada BCP
Menunjuk penanggung jawab perubahan training BCP
Faktor-Faktor Yang Mempengaruhi Perubahan BCP
Perubahan fisik/ fasilitas

Perubahan prosedur
Perubahan teknologi
Perubahan struktur
organisasi
Perubahan
requirement recovery
Perubahan personil
Masalah pengujian
Maintenance Frequency
Terjadwal
Contoh :
• Prosedur recovery diperbaharui minimum
dalam basis satu tahunan
• Daftar telepon dan inventaris diperbaharui
tiap
i kuartal
k l
Tidak Terjadwal
Contoh :
Perubahan besar pada perusahaan,
perusahaan
operasional bisnis, proses, fungsi, konfigurasi
hardware, jaringan, dll.
Penutup
¾ Kunci kesuksesan terdelivery-nya BCP dan DRP apabila

terjadi
j bencana adalah kelengkapan
g p dokumen,,
ketersediaan resource, dan awareness pada setiap
person di semua lini dalam perusahaan baik tim pemulihan
bencana top eksekutif,
bencana, eksekutif manager maupun staf.
staf
¾ Testing, auditing, training, dan maintaining harus

di
diagendakan
d k oleh
l h perusahaan
h secara periodik
i dik untuk
t k
menjaga agar BCP dan DRP telah dipahami sepenuhnya oleh
semua komponen perusahaan.
¾ BCP dan DRP yang tidak pernah diujicobakan akan

menjadi tumpukan dokumen belaka.
Merci bien
Arigatoo
Matur Nuwun
Hatur Nuhun
Matur se Kelangkong
Syukron
Kheili Mamnun
Danke
Terima Kasih

Test Auditing Training BCP DRP Sesi4

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Test Auditing Training BCP DRP Sesi4

Diunggah oleh

Hak Cipta:

Format Tersedia

Sesi 4

• Financial Services (FS)

KPMG’s Asia-Pacific BCM Benchmarking Survey

Training : Memastikan bahwa personil yang ditunjuk

Exercise : Melatih implementasi DRP dengan

Melibatkan pihak-pihak yang terkait dengan penanggulangan

Karakteristik Metode paling komprehensif

Validasi Keterlibatan dan Pada lokasi/fasilitas

Sebuah pengujian yang sukses adalah pengujian yang memunculkan masalah

Evaluasi dilaksanakan dalam satu sampai tiga

Membangun proses manajemen continuity perusahaan 2

Melakukan analisis ancaman dan analisis pengaruh 3

Memelihara framework plan continuity 5

Menguji dan meng-update plan manajemen continuity 6

Mengembangkan strategi untuk

Sistem dan peralatan perlindungan dapat

• CoBIT (Control Objectives for Information and related

Planningg and Organisation

Apakah perusahaan pernah melakukan identifikasi terhadap:

Apakah pernah melakukan assessment/penilaian

9 Apakah penilaian dilakukan secara periodik?

Apakah perusahaan memiliki strategi berkaitan dengan:

Apakah strategi yang terpilih adalah hasil assessment

9 Apakah prosedur mudah dipahami?

9 Apakah prosedur sudah tersosialisasi?

9 Apakah prosedur mudah dilaksanakan (tidak berbelit-belit)?

9 Apakah sudah pernah dilakukan pengujian terhadap prosedur tersebut?

Evaluasi Hasil Pengujian

Jika terjadi perubahan pada dokumen DRP apakah dilakukan

Non-existent Initial Repeatable Defined Managed Optimised

Penjelasan Ranking yang Digunakan

Komponen Level Prioritas Rekomendasi

Audit Testing Procedures

Audit Testing Procedures

Menerapkan prosedur kontrol perubahan untuk memperbaharui BCP

Menetapkan tanggung jawab untuk maintenance pada setiap bagian

Menguji semua perubahan pada BCP

Menunjuk penanggung jawab perubahan training BCP

Perubahan fisik/ fasilitas

¾ Kunci kesuksesan terdelivery-nya BCP dan DRP apabila

¾ Testing, auditing, training, dan maintaining harus

¾ BCP dan DRP yang tidak pernah diujicobakan akan

Anda mungkin juga menyukai