Anda di halaman 1dari 22

Business Continuity

Management

PT. Bank Mandiri (Persero) Tbk.

1
Business Continuity Management Framework BCM

 PENGERTIAN Risk & Threat


Assessment

Business
Sebuah proses manajemen untuk Training
Mengidentifikasikan
Impact
ancaman di lokasi unit
mengindentifikasi potensi ancaman terhadap kerja Analysis
suatu bisnis dan membuat rencana kelangsungan Pelatihan untuk meningkatkan mengidentifikasikan unit-unit
bisnis jika terjadi suatu kondisi bencana. pengetahuan Business Continuity kerja yang bersifat kritikal

Diagnostic & Recovery


Assessment Strategy

Mendapatkan gambaran Merumuskan pendekatan


tingkat maturity dalam proses pemulihan

Resource
Testing /
Acquisition &
Exercising Implementation
Mendapatkan gambaran Pemenuhan kebutuhan
kesiapan unit kerja/layanan IT pada lokasi alternatif

2
Why BCM ?

e a

Operational
Cycle
d b

c
Menjaga Meminimalisir Risiko
kelangsungan
operasional

3
Komponen BCM

Business Continuity Management

Emergency Response Business Continuity


Disaster Recovery Plan
Plan Plan

4
Emergency Response Plan

Emergency Response Plan (ERP)

Prosedur Deteksi, Deklarasi


Eskalasi dan Evakuasi/Isolasi

Pengelolaan Command Center

Emergency Response
Plan

Floor Warden

Testing dan Training

5
Emergency Response Plan

Prosedur deteksi, deklarasi, eskalasi dan evakuasi/isolasi

Proses deketsi, deklarasi eskalasi dan evakuasi dituangkan dalam dokumen ERP yang menggambarkan proses dan strategi dalam melakukan deteksi
bencana sampai dengan proses penyelesaian yang nantinya akan mempengaruhi tindakan selanjutnya

A B C D
Penerimaan laporan Pelaporan ke CMT (Jika Pengaktifan BCP (Jika Penyelesaian
Diperlukan) Diperlukan)

• Deteksi gangguan/bencana dari first ERT menentukan apakah Pengambilan keputusan Berkoordinasi dengan pihak
responder diperlukannya tindakan pengaktifan BCP oleh CMT satu terkait untuk proses
langsung dengan melapor ke tingkat diatas/CMT Kantor Pusat evakuasi/isolasi
• Penerimaan laporan
deteksi/gangguan CMT

Pihak terkait CMT, ERT, Floor Warden, Buddy System, Pengelola Gedung, Pihak terkait lainnya

6
Emergency Response Plan

Pengelolaan Command Center

Command Center (CC) berfungsi sebagai lokasi pusat komando CMT untuk mengkordinasi dan langkah evakuasi dan pengambilan keputusan dalam
keadan bencana

Command Center harus dapat mendukung kegiatan CMT Hal yang diperlukan oleh command center:
sebagai berikut : • Ketersediaan air bersih dan sanitasi
• Melakukan koordinasi kegiatan evakuasi • Peralatan Daya listrik cadangan
• Menjalankan fungsi pengambilan keputusan • Persediaan ATK
• Melakukan pengendalian dan pengawasan • Perlengkapan komunikasi
• Melaksanakan adiministrasi pelaksanaan • Perlengkapan Audio Visual
evakuasi • Perlengkapan Teknologi Informasi
• Persediaan makanan dan minuman
• Dokumen BCM termutakhir

7
Emergency Response Plan

Floor Warden

Floor Warden berfungsi sebagai tim reaksi cepat dalam memimpin, menanggulangi/mengendalikan bencana pada lantainya

Ketentuan terkait Floor Warden:


Penghuni/pegawai dari masing-masing lantai yang ditunjuk untuk melaksanakan tugas floor waden

Fungsi Floor Warden

Koordinator

Tim
Tim Tim Tim Tim Titik
Pengamanan Tim P3K
Pemadam Evakuasi Penyelamat Kumpul
Lokasi

8
Emergency Response Plan

04 Testing dan Training

Testing dan Training dilakukan untuk meningkatkan kemampuan penanganan pegawai dalam menangani kondisi darurat/bencana

Ketentuan terkait dengan testing dan training


Pelaksanaan testing ERP dilaksanakan minimal satu kali dalam satu tahun

Hal yang perlu dilakukan testing :

Pemadaman kebakaran Pelatihan Evakuasi Pelatihan P3K

9
Business Continuity Plan

Business Continuity Plan

Tahapan Penyusunan BCP


Risk and Threat Business Impact
Recovery Strategy Testing/Training
Assessment Analysis

 Disusun per lokasi unit kerja  Disusun per unit kerja  Memiliki keseimbangan  Dilakukan secara berkala
 Dimutakhirkan 1 (satu) tahun sekali  Pelaksanaanya harus antara biaya dengan  Melakukan tindakan korektif
bersama dengan pimpinan dampak gangguan dan pengulangan jika terjadi
unit kesalahan
Pihak terkait Pihak terkait Pihak terkait

• Unit kerja/ Risk Owner • Unit kerja/ Risk Owner • Kepala Unit Kerja
• BCM Supervisor • BCM Supervisor • BCM Supervisor
• Pejabat unit kerja • Pejabat unit kerja

10
Business Continuity Plan

Risk and Threat Assessment

Risk and Threat Assessment merupakan tahap awal dalam pembentukan Business Continuity Plan yang menilai besarnya potensi dampak suatu
ancaman, bahaya, hambatan atau bencana yang dapat terjadi di lokasi tertentu

Asumsi dalam pelaksanaan Risk


Kategori Ancaman
and Threat Assessment
• Ancaman/bencana yang disebabkan oleh Alam (natural) :
• Disusun per lokasi unit kerja Banjir, Gempa Bumi, Angin Topam, Tsunami
• Disusun oleh perwakilan unit kerja dan dikoordinasi oleh • Ancaman/bencana yang disebabkan oleh Perbuatan
BCM Supervisor/Local BCP Supervisor Manusia : Bom, Kebakaran, Kerusuhan
• Hasil Risk and Threat Assessment akan disosilaisasikan
kepada pihat-pihak yang berkepentingan Pemutakhiran
• Pejabat tertinggi di lokasi unit kerja setempat akan
memfasilitasi penyempurnaan mitigasi risiko Laporan Risk and Threat Assessment harus dimutakhirkan
• Risk and Threat Assessment harus dikinikan untuk secara berkala setiap satu tahun sekali atau apabila terdapat
masing-masing lokasi unit kerja perubahan yang signifikan terkait dengan ancaman/bencana
pada lokasi unit kerja tersebut

11
Business Continuity Plan

Business Impact Analysis

Business Impact Analysis merupakan tahapan yang tertuang dalam dokumen PTO BCP yang menggambarkan tahapan analisa
dampak dari terhentinya proses bisnis/operasional di suatu unit kerja

Langkah-langkah Pelaksanaan
Kategori Ancaman
Business Impact Analysis

• Mendefinisikan aktivitas suatu Unit Kerja Berdasarkan jenis risikonya Berdasarkan kategori dampak
• Identifikasi ketergantungan Unit Kerja dibagi menjadi 6 (enam) yaitu: yang ditimbulkan, dapat dibagi 5
• Menentukan persyaratan minimum Unit Kerja yang • Kerugian finansial (lima) yaitu :
• Pelayanan terhadap • Low
menjadi objek BIA
nasabah (reputasi & nama • Low to Medium
Proses BIA disusun per Unit Kerjadan pelaksanaannya harus baik) • Medium
dilakukan bersama dengan pimpinan unit kerja untuk • Posisi terhadap kompetitor • Medium to High
mendapatkan MAO, RTO dan RPO yang akurat. • Sanksi/denda dari regulator • High
• Aplikasi dan infrastruktur
teknologi
• Kepegawaian

12
Business Continuity Plan

Recovery Strategy

Recovery Strategy merupakan gambaran dari perumusan pemulihan kegiatan operasional bisnis yang tepat sehingga dapat
beroperasi atau memberikan layanan kembali secara minimal dalam jangka waktu tertentu setelah terjadi bencana/gangguan

Pertimbangan Dalam Penyusunan Tujuan Recovery


Recovery Strategy Strategy

• Hasil dari Risk and Threat Assessment berupa jenis • Memberikan panduan yang jelas untuk CMT dan Unit
ancaman / bencana dan perkiraan lama dampak Kerja dalam melakukan pemulihan kegiatan
terhadap kegiatan operasional operasional
• Hasil Business Impact Analysis, terutama pemenuhan • Sebagai panduan dalam proses pelatihan dan uji coba
atas kebutuhan sumber daya minimum yang • Membantu pengambilan keputusan pada saat
diperlukan dalam pemulihan kegiatan operasional deklarasi bencana

13
Business Continuity Plan

Resources Acquisition &


Implementation

Resource Acqusition & Implementation merupakan tahapan penyusunan langkah-langkah untuk membantu Recovery Strategy

A B C D
Inisiasi Perencanaan Pelaksanaan dan Monitoring Penyelesaian

• Pemenuhan dokumen • Penentuan lokasi Melaksanakan pemenuhan Semua kebutuhan sudah


• Pembahasan anggaran yang alternative kebutuhan dan secara terpenuhi
dipergunakan untuk pemenuhan • Melakukan simulasi periodik memutakhirkan
kebutuhan langkah Recovery daftar kebutuhan
Strategy berdasarkan pemenuhan
yang sudah ter-realisasi

14
Business Continuity Plan

Testing/Excercising

Uji coba merupakan tahapan akhir dalam implementasi Business Continuity Management yang berperan dalam menilai
keberhasilan dalam pengimenpletasian BCM dari Unit Kerja

Panduan Pelaksanaan
Tipe Testing
Testing

• Diperlukan adanya perencanaan dan koordinasi • Desk Check


• Harus dilakukan secara berkala • Tabletop/Walkthrough
• Wajib dilakukan tindakan korektif wajib dilakukan • Functional Simulation
pengujian ulang bila ada kesalahan • Full Blown Simulation

15
Disaster Recovery Plan

Disaster Recovery Plan

Teknis Pelaksanaan
Penentuan Penentuan Strategy Penentuan Prosedur
Pengujian DRP
Kritikalitas Recovery Pemulihan

 Disusun berdasarkan factor  Disusun berdasarkan  Disusun berdasarkan  Dilakukan secara berkala
ketersediaan kritikalitas aplikasi klasifikasi gangguan  Melakukan tindakan korektif
dan pengulangan jika terjadi
Pihak terkait Pihak terkait
kesalahan
• Unit kerja/ Risk Owner • Unit kerja/ Risk Owner
• BCM Supervisor • BCM Supervisor
• Pejabat unit kerja • Pejabat unit kerja

16
Disaster Recovery Plan

Penentuan Kritikalitas

Tingkat kritikalitas Sistem Aplikasi TI dipengaruhi oleh factor ketersediaan (availability) yang terdiri dari:

Kriteria Recovery Time


Tingkat Objective (RTO) max
System Kritikalitas
Regulatory Transactional
Alternative
Y/N Y N Very Critical <1 Jam
Y/N Y Y Critical 4 Jam
Y N N Critical 4 Jam
N N N Moderate 8 Jam
N N Y Non Critical 24 Jam

17
Disaster Recovery Plan

Strategi Penentuan Recovery


Dan Pemulihan Sistem
Strategi Penentuan Recovery dibuat berdasarkan dengan kritikalitas aplikasi

Aplikasi & Kapasitas Operasional RTO


Layanan
Aplikasi Very Infrastruktur Back-up setara dengan DC dan replikasi secara realtime <1 Jam
Critical
Aplikasi Infrastruktur Back-up setara atau dibawah DC dan replikasi secara realtime 4 Jam
Critical
Aplikasi Memiliki Backup dengan kapasitas infrastruktur minimal, penggunaan 8 Jam
Moderate perangkat secara bersamaan (resource pool) dan sistem tidak otomatis
berpindah

18
Disaster Recovery Plan

Prosedur Evakuasi Dalam Keadaan


Emergency
Prosedur evakuasi dalam keadaan emergency dituangkan dalam dokumen PTO DRP yang menggambarkan prosedur evakuasi pegawai dan
switching system dari DC ke DRC serta proses pemulihan disaster.

Proses Pemulihan
Prosedur Evakuasi
Disaster
• G1 : Infrastruktur IT tidak berfungsi namun pegawai tidak perlu
dievakuasi Identifikasi Konfirmasi Call Tree
Operasional system akan di switch ke DRC hanya untuk aplikasi yang
terganggu Penentuan
• G2 : Infrastruktur IT berfungsi namun pegawai perlu dievakuasi Eskalasi Konfirmasi
Status
Pegawai IT dialihkan ke DRC untuk melaksanakan
operasional/monitoring system di DC. Penentuan
Readiness Eksekusi
• G3 : Infrastruktur IT tidak berfungsi dan pegawai IT harus dievakuasi Switching
Operasional IT dan pegawai IT data center dialihkan ke DRC

Stabilisasi dan
Monitoring

19
Disaster Recovery Plan

Pengujian DRP

Prosedur evakuasi dalam keadaan emergency dituangkan dalam dokumen PTO DRP yang menggambarkan prosedur evakuasi pegawai dan
switching system dari DC ke DRC serta proses pemulihan disaster.

Pertimbangan
Tahapan Persiapan dan Pengujian DRP
Pengujian

• Pengalihan operasional dlakukan saat aplikasi tidak sedang • Pembuatan scenario pengujian termasuk jadwal, checklist,
beroperasi, sedangkan untuk aplikasi yang beroperasi 24 jam lingkup pengujian dan bahan sosialisasi
dilakukan pada saat frekuensi transaksi sedikit • Penunjukan PIC untuk setiap fungsi Disaster Recovery
• Proses recovery dilakukan dengan waktu yang singkat sesuai • Evaluasi Technical Recovery Procedure yang sesuai dengan
dengan RTO kondisi terkini
• Menentukan system yang akan diuji coba berdasarkan • Meminta persetujuan kepada SEVP Operation dengan
kebutuhan tembusan Kepada Direktur TIO mengenai rencana pengujian
• Lokasi eksekusi dapat dilakukan di DC, DRC atau lokasi lain • Dokumentasi pengujian (Daftar hadir, Berita Acara uji-coba dan
yang ditentukan SEVP Operation disahkan oleh unit kerja terkait)
• Setiap scenario pengujian harus mempersiapkan fall back plan • Mengevaluasi hasil uji coba dan melakukan tindak lanjut
perbaikan

20
Disaster Recovery Plan

Pengujian DRP

Jenis Pengujian Fall Back Plan

• Pengujian Simulasi Jika dalam proses pengujian terjadi kegagalan system, maka
Pengujian simulasi diterapkan pada aplikasi yang tidak beroperasi system tersebut diputuskan kembali ke DC dengan batasan waktu
24 jam 45 menit
• Pengujian Live (Operasional)
Pengujian live dilakukan dengan real transaction
• Pengujian Call Tree
Pengujian call tree dilakukan untuk memberi kejelasan tugas dan
tanggun jawab dalam flow of command

Skenario Pengujian DRP Evaluasi

• Pengujian Partial Disaster Apabil saat pengujian terjadi kendala yang meliputi:
Pengujian secara parsial dengan scenario sebagian system DC • Durasi melebihi RTO
tidak dapat beroperasi : Platform p7, Platform Tandem, Platform • Permasalahan saat pengujian
Midrange, Network atau kombinasi beberapa butir tersebut • Tindaklanjut perbaikan atas permasalahan
• Pengujian Full Disaster • Rekomendasi untuk pengujian
Pengujian secara full dengan scenario seluruh Platform di DC tidak
dapat beroperasi
21
© 2019

Thank You
22

Anda mungkin juga menyukai