II TINJAUAN PUSTAKA 2.1 Sistem Informasi Manajemen

Transkripsi

1 II TINJAUAN PUSTAKA 2.1 Sistem Informasi Manajemen Perkembangan sistem informasi manajemen telah menyebabkan terjadinya perubahan yang cukup signifikan dalam pola pengambilan keputusan yang dilakukan oleh manajemen baik pada tingkat operasional (pelaksana teknis) maupun pimpinan pada semua jenjang. Perkembangan ini juga telah menyebabkan perubahan-perubahan peran dari para manajer dalam pengambilan keputusan, mereka dituntut untuk selalu dapat memperoleh informasi yang paling akurat dan terkini yang dapat digunakannya dalam proses pengambilan keputusan. Meningkatnya penggunaan teknologi informasi, khususnya internet, telah membawa setiap orang dapat melaksanakan berbagai aktivitas dengan lebih akurat, berkualitas, dan tepat waktu. Informasi harus dikelola dengan baik dan memadai agar memberikan manfaat yang maksimal. Penerapan sistem informasi di dalam suatu organisasi dimaksudkan untuk memberikan dukungan informasi yang dibutuhkan, khususnya oleh para pengguna informasi dari berbagai tingkatan manajemen. Sistem informasi yang digunakan oleh para pengguna dari berbagai tingkatan manajemen ini biasa disebut sebagai: Sistem Informasi Manajemen (Sutono 2007). Kristanto (2003) menjelaskan bahwa sistem informasi manajemen merupakan suatu sistem yang biasanya diterapkan dalam suatu organisasi untuk mendukung pengambilan keputusan dan informasi yang dihasilkan dibutuhkan oleh semua tingkatan manajemen atau dengan kata lain teknik pengelolan informasi dalam suatu organisasi. Silver et al. (1995) menyatakan bahwa Sistem informasi diimplementasikan dalam sebuah organisasi untuk tujuan meningkatkan efektivitas dan efisiensi dari organisasi tersebut. Kemampuan sistem informasi dan karakteristik organisasi, sistem yang bekerja, orang-orangnya, dan pengembangan serta pelaksanaan metodologi bersama-sama menentukan sejauh mana tujuan itu tercapai.

2 8 2.2 Audit Tools Di dalam dunia IT terdapat berbagai audit tools yang sudah siap digunakan saat ini. Berikut ini adalah sebagian dari standard tools/framework yang banyak digunakan di dunia: 1. COBIT (Control Objectives for Information and related Technology) 2. COSO (Committee of Sponsoring Organisations of the Treadway Commission) Internal Control Integrated Framework 3. ISO/IEC 17799:2005 Code of Practice for Information Security Management 4. ITIL (Information Technology Infrastructure Library) Pada tahun 1998 ITGI (IT Governance Institute) didirikan dengan tujuan untuk untuk memajukan pemikiran dan standar internasional dalam memimpin dan mengendalikan teknologi informasi dalam sebuah perusahaan. IT yang efektif dapat membantu memastikan bahwa TI mendukung tujuan bisnis, mengoptimalkan bisnis melalui investasi di IT, dan mengelola resiko dan peluang yang berkaitan dengan IT. ITGI menawarkan penelitian, sumber daya elektronik dan studi kasus untuk membantu para pemimpin perusahaan dan dewan direksi di dalam tata kelola IT mereka. ITGI telah merancang dan menciptakan sebuah publikasi berjudul COBIT (Control Objectives for Information and related Technology) sebagai sarana dan sumber daya edukasi untuk Chief Information Officer (CIO), manajemen senior, manajemen TI dan para profesional yang bertugas melakukan kendali (ITGI, 2007). COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). Tema utama dari COBIT adalah orientasi bisnis. COBIT dirancang untuk digunakan tidak hanya oleh pengguna dan auditor, tetapi juga, dan yang lebih penting, sebagai pedoman yang komprehensif bagi manajemen dan pemilik business process. Semakin praktik bisnis melibatkan pemberdayaan yang penuh dari pemilik business process, mereka memiliki tanggung jawab penuh untuk semua aspek dari business process, khususnya termasuk melakukan pengawasan yang memadai (ITGI and OGC 2005). Framework ini dimulai dari premis sederhana dan pragmatis: untuk memberikan informasi yang diperlukan organisasi

3 9 untuk mencapai tujuannya, sumber daya TI harus dikelola oleh serangkaian proses alami yang telah dikelompokkan (ITGI and OGC 2005). Pedoman tata kelola IT juga disediakan di dalam framework Cobit. Tata kelola IT menyediakan struktur yang menghubungkan proses TI, sumber daya TI dan informasi untuk strategi dan tujuan perusahaan. Tata kelola TI mengintegrasikan cara yang optimal dari : planning and organizing, acquiring and implementing, delivering and supporting serta monitoring and evaluating dari kinerja TI. Tata kelola TI memungkinkan perusahaan untuk mengambil keuntungan penuh dari informasi yang dimilikinya, sehingga memaksimalkan keuntungan, memanfaatkan peluang dan mendapatkan keuntungan kompetitif (ITGI and OGC 2005). Sementara itu, menurut Gondodiyoto (2007), Control Objectives for Information and related Technology (COBIT) adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen dan pengguna (user) untuk menjembatani kesenjangan antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis (Gambar 1) Gambar 1 COBIT Framework. ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan framework/best practice bagi IT service management untuk menciptakan layanan teknologi informasi yang bermutu tinggi. ITIL terdiri atas delapan buku berseri yang disusun dan diterbitkan oleh Central Computer and Telecommunications Agency (CCTA) yang sekarang dikenal sebagai the British Office of Government Commerce (OGC). Delapan serial buku ITIL tersebut terdiri atas:

4 10 o Software Asset Management o Service Support o Service Delivery o Planning to Implement Service Management o ICT Infrastructure Management o Application Management o Security Management o Business Perspective ISO/IEC 17799:2005 Code of Practice for Information Security Management adalah standar internasional. Tujuan utama dari penyusunan standar ini adalah penerapan keamanan informasi dalam organisasi. Framework ini diarahkan untuk mengembangkan dan memelihara standar keamanan dan praktek manajemen dalam organisasi untuk meningkatkan ketahanan (reliability) bagi keamanan informasi dalam hubungan antar organisasi. Dalam framework ini didefinisikan 11 (sebelas) bagian besar yang dibagi dalam 132 (seratus tigapuluh dua) strategi kontrol keamanan. Standar ini lebih menekankan pada pentingnya manajemen resiko dan tidak menuntut penerapan pada setiap komponen tapi dapat memilih pada bagian-bagian yang terkait saja ((ITGI, 2006). Edisi pertama dari ISO/IEC 17799:2005 Code of Practice for Information Security Management diterbitkan pada tahun 2000 dan edisi keduanya terbit pada tahun Sejak edisi kedua tersebut ISO/IEC 17799:2005 Code of Practice for Information Security Management menjadi standar resmi ISO yang berdampak pada diperlukannya revisi dan pemutakhiran setiap tiga hingga lima tahun sekali. Pada bulan April 2007, ISO memasukkan framework ini ke dalam ISO 2700x series, Information Security Management System sebagai ISO Standar tersebut dapat digolongkan dalam best practice termutakhir dalam lingkup sistem manajemen keamanan informasi ((ITGI, 2006). COSO adalah organisasi swasta yang menyusun Internal Control Integrated Network bagi peningkatan kualitas penyampaian laporan keuangan dan pengawasan internal untuknya yang lebih efektif. Tujuan dari penyusunan framework ini adalah peningkatan sistem pengawasan terpadu untuk pengendalian

5 11 perusahaan/organisasi dalam beberapan langkah. Hal ini diarahkan untuk memberikan para pemegang kebijakan di organisasi dapat melakukan pengawasan internal dalam pelaksanaan tugas kepada para eksekutif, mencapai laba yang menguntungkan serta mengelola resiko-resiko yang timbul. Internal Control Integrated Framework yang disusun oleh COSO diterbitkan pertama kali pada tahun 1992 dan masih diperbarui hingga saat ini. Hingga saat ini COSO maupun organisasi lainnya tidak melakukan/menerbitkan sertifikasi keahlian/profesional bagi framework ini (ITGI, 2006). Lingkup kriteria informasi yang sering menjadi perhatian dalam Internal Control Integrated Framework COSO adalah: o Effectiveness o Efficiency o Confidentiality o Integrity o Availability o Compliance o Reliability Jika dilihat dari lingkup kriteria informasi di atas maka dapat dilihat bahwa komponen-komponen yang menjadi perhatian dalam Internal Control Integrated Framework COSO identik dengan COBIT. Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi pun dalam Internal Control Integrated Framework COSO identik dengan COBIT. Tabel 1 menunjukkan bahwa ITIL sangat fokus kepada proses desain dan implementasi TI, serta pelayanan pelanggan (customer service), hal ini diperlihatkan bahwa hampir seluruh proses pada domain AI dan DS COBIT dilakukan. Tabel 1 Matriks Proses COBIT vs Standar ITIL Proses dan Domain COBIT PO AI DS M Addressed - Not or rarely addressed (COBIT Mapping, Overview of International IT Guidance 2 nd, 2006)

6 12 Sebagian proses PO dilakukan, ini menunjukkan bahwa ITIL tidak terlalu fokus pada proses penyelarasan strategi perusahaan dengan pengelolaan TI. Proses pada domain M sama sekali tidak dilakukan oleh ITIL, hal ini menunjukkan ITIL tidak melakukan pengawasan yang akan memastikan kesesuaian pengelolaan TI dengan keadaan perusahaan di masa yang akan datang. Tabel 2 menunjukkan bahwa ISO/IEC melakukan sebagian prosesproses pada seluruh domain COBIT. Tabel 2 Matriks Proses COBIT vs Standar ISO/IEC Proses dan Domain COBIT PO AI DS M Addressed - Not or rarely addressed (COBIT Mapping, Overview of International IT Guidance 2 nd, 2006) Hal ini menunjukkan ISO/IEC mempunyai spektrum yang luas dalam hal pengelolaan TI sebagaimana halnya COBIT, namun ISO/IEC tidak sedalam COBIT dalam hal detail proses-proses yang dilakukan dalam domain-domain tersebut. Tabel 3 menunjukkan bahwa COSO melakukan sebagian proses di domain PO, AI, dan DS, namun tidak satupun proses pada domain M dilakukan. Hal ini menunjukkan bahwa COSO fokus kepada proses penyelarasan TI dengan strategi perusahaan, dan sangat fokus dalam hal desain dan implementasi TI. Tabel 3 Matriks Proses COBIT vs Standar COSO Proses dan Domain COBIT PO AI DS M Addressed - Not or rarely addressed (COBIT Mapping, Overview of International IT Guidance 2 nd, 2006)

7 13 Tabel 4 memperlihatkan bahwa model-model standar selain COBIT tidak mempunyai range spektrum yang seluas COBIT. Model-model tersebut hanya melakukan sebagian dari proses-proses pengelolaan yang ada di dalam COBIT Tabel 4 Matriks Domain COBIT vs ITIL, ISO/IEC 17799, dan COSO Standar Domain COBIT PO AI DS M ITIL ISO/IEC COSO Frequently addressed Moderately addressed - Not or rarely addressed (COBIT Mapping, Overview of International IT Guidance 2 nd, 2006) 2.3 IT Governance Bagi banyak perusahaan, teknologi informasi adalah pendukung utama yang paling berharga mereka, namun sangat sedikit yang menyadari dan memahami hal ini. Perusahaan yang sukses menyadari manfaat dari teknologi informasi dan akan menggunakannya agar mereka mendapatkan nilai. Kebutuhan kepastian tentang nilai TI, manajemen risiko terkait TI dan persyaratan peningkatan kontrol atas informasi sekarang dipahami sebagai elemen kunci dari tata kelola perusahaan. Nilai, resiko dan kontrol merupakan inti dari tata kelola IT (IT Governance). Untuk mencapai keberhasilan, manajemen harus mendefinisikan sebuah strategi dan menyediakan tata kelola perusahaan yang efektif. Strategi didefinisikan sebagai sebuah penyesuaian perilaku atau struktur dengan rencana kerja yang rumit dan sistematis. Tata kelola perusahaan dapat diartikan sebagai perilaku etis para eksekutif perusahaan terhadap pemegang saham dan para pemangku kepentingan untuk memaksimalkan pengembalian investasi keuangan. (Cannon et al. 2006) Untuk menjamin bahwa sistem informasi telah berjalan, diperlukan suatu pengukuran yang efektif dan efisien terhadap peningkatan bisnis perusahaan melalui struktur yang mengkolaborasikan proses-proses IT, sumberdaya IT dan informasi ke arah dan tujuan perusahaan, yaitu yang dikenal dengan IT

8 14 governance. IT Governance memadukan best practices dari proses perencanaan, pengelolaan, penerapan, pelaksanaan, dan pendukung serta pengawasan kinerja TI, untuk memastikan informasi dan teknologi yang terkait lainnya benar-benar menjadi pendukung bagi pencapaian sasaran perusahaan (Gondodiyoto 2007). Tata kelola TI adalah tanggung jawab dari eksekutif dan Board of Director, yang terdiri dari kepemimpinan, struktur organisasi dan proses proses yang memastikan bahwa IT di sebuah perusahaan menopang dan memperluas strategi dan tujuan organisasi.tata kelola IT mengintegrasikan best practices untuk memastikan bahwa IT sebuah perusahaan mendukung kepada tujuan bisnis. Tata kelola TI memungkinkan perusahaan untuk mengambil keuntungan penuh dari informasi yang dimilikinya, sehingga memaksimalkan keuntungan, memanfaatkan peluang dan mendapatkan keuntungan kompetitif. (ITGI 2007) Lemahnya sistem informasi (SI) tidak memungkinkan terjadinya deteksi dini (warning sign) atas kecurangan kecil yang mulanya dilakukan secara cobacoba. Kecurangan kecil meningkat menjadi kecurangan besar karena pelaku mempunyai kesempatan dan mengetahui kelemahan sistem pengendalian intern yang ada dalam organisasi,disamping faktor keserakahan. Menurut Fox dan Zonneveld (2003), membangun kontrol internal yang kuat dalam TI dapat membantu organisasi untuk meningkatkan pemahaman tentang TI di kalangan eksekutif, membuat keputusan bisnis yang lebih baik dalam kualitas yang lebih tinggi dan informasi lebih tepat waktu, menyelaraskan berbagai inisiatif proyek dengan kebutuhan bisnis, mencegah hilangnya sumber daya dan kemungkinan pelanggaran sistem. Kontrol internal dalam IT juga dapat membantu organisasi untuk meningkatkan pemahaman tentang TI mengenai berkontribusi pada kepatuhan persyaratan peraturan lainnya, seperti untuk privasi, mendapatkan keuntungan kompetitif melalui operasi yang lebih efisien dan efektif, mengoptimalkan operasi dengan pendekatan terpadu untuk integritas keamanan, ketersediaan, dan pengolahan, meningkatkan kompetensi manajemen risiko dan prioritas inisiatif. Dengan adanya IT governance proses bisnis perusahaan akan menjadi transparan, dapat dipertanggungjawabkan, dan akuntabilitas setiap fungsi atau individu menjadi semakin jelas. IT governance bukan hanya penting bagi personil

9 15 IT saja, namun juga terutama untuk mereka pengambil keputusan yang bertanggung jawab dalam penentuan investasi dan pengelolaan resiko perusahaan (Gondodiyoto 2007). Weill dan Ross (2004) mendefinisikan IT governance sebagai aktifitas menetapkan hak pengambilan keputusan dan kerangka kerja yang dapat dipertanggungjawabkan (accountability framework) untuk mendorong perilaku pengunaan TI yang diharapkan. Dalam hal ini dapat disimpulkan dalam tatakelola yang baik, peranan IT Governance (tatakelola TI) merupakan hal yang sangat penting, dalam konteks organisasi bisnis yang berkembang kebutuhan akan TI bukan merupakan barang yang langka. 2.4 COBIT Framework COBIT (Control Objectives for Information and Related Technology) merupakan sebuah model framework tata kelola yang representatif dan menyeluruh yang merupakan salah satu standar dunia dalam pengelolaan IT. COBIT mencakup kepada masalah perencanaan, implementasi, operasional dan pengawasan terhadap seluruh proses TI yang dikembangkan oleh IT Governance Institute (ITGI) yang berbasis di Amerika Serikat.. COBIT dapat digunakan sebagai tools yang digunakan untuk mengefektifkan implementasi IT Governance, yakni sebagai management guideline dengan menerapkan seluruh domain yang terdapat dalam COBIT. Gambar 2 The COBIT Cube (ITGI 2007).

10 16 Prinsip dasar framework secara ringkas adalah: IT resources dikelola oleh IT processes untuk mencapai IT goals yang menjawab persyaratan bisnis. Di dalam kerangka kerja COBIT terdapat tujuh persyaratan atau kriteria informasi bisnis, yaitu: effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability. COBIT kemudian menjelaskan bahwa sumber daya IT yang harus disediakan untuk memberikan kebutuhan bisnis oleh proses bisnis, yaitu: applications, information, infrastructure dan people seperti tampak dalam Gambar 2. COBIT mendefinisikan aktivitas individual di dalam lingkungan IT ke dalam 34 proses dan kemudian mengelompokkan proses tersebut menjadi empat domain seperti tampak dalam Gambar 3. Keempat domain tersebut adalah: Planning and Organization (10 proses), Acquisition and Implementation (7 proses), Delivery and Support (13 proses), dan Monitoring and Evaluation (4 proses). Framework COBIT disusun dengan karakteristik berfokus pada bisnis (business-focused), berorientasi pada proses (process-oriented), berbasis pada pengendalian (controls-based) dan terarah kepada pengukuran (measurementdriven). Model Kematangan (Maturity Models) adalah alat bantu yang dapat digunakan untuk melakukan benchmarking dan self-assessment oleh manajemen TI untuk menilai kematangan proses TI. Dengan Model Kematangan, manajemen bisa mengidentifikasi: 1. Kinerja aktual dari perusahaan di mana posisi perusahaan saat ini. 2. Status industri saat ini perbandingan. 3. Target perbaikan bagi perusahaan ke mana perusahaan ingin dibawa. 4. Jalur pertumbuhan yang diperlukan antara as-is dan to-be. Secara umum, tingkat kematangan proses TI dibagi menjadi enam tingkat, mulai dari tingkat kematangan 0 sampai dengan tingkat kematangan 5 (Tabel 5). Selain keenam tingkat tersebut, Tingkat Kedewasaan disusun oleh atributatribut sebagai berikut: 1. Awareness and Communication (AC) 2. Policies, Standards and Procedures (PSP) 3. Tools and Automation (TA)

11 17 4. Skills and Expertise (SE) 5. Responsibility and Accountability (RA) 6. Goal Setting and Measurement (GSM) Gambar 3 Domain dalam COBIT (ITGI 2007) Tabel 5 Tingkat Kedewasaan Umum dalam COBIT Level Kriteria Kedewasaan 0 Non Existent Perusahaan bahkan tidak mengetahui bahwa terdapat permasalahan yang harus diatasi. 1 Initial / Tidak terdapat proses standar, namun menggunakan Ad Hoc pendekatan ad hoc yang cenderung diperlakukan secara individu atau per kasus. 2 Repeatable but Intituitive Proses dikembangkan ke dalam tahapan dimana prosedur yang serupa diikuti oleh pihak-pihak yang berbeda untuk pekerjaan yang sama. 3 Defined Prosedur distandarisasi dan didokumentasikan kemudian 4 Managed and Measurable dikomunikasikan melalui pelatihan. Manajemen mengawasi dan mengukur kepatutan terhadap prosedur dan mengambil tindakan jika proses tidak dapat dikerjakan secara efektif. 5 Optimised Proses telah dipilih ke dalam tingkat praktek yang baik, berdasarkan hasil dari perbaikan berkelanjutan dan permodelan kedewasaan dengan perusahaan lain. Sumber: ITGI (2007) Plan and Organize Domain ini melingkupi area strategi, taktik dan memberikan perhatian dalam mengidentifikasi bagaiamana IT dapat memberikan kontribusi terbaik kepada tujuan bisnis. Realisasi dari strategi harus direncanakan, dikomunikasikan dan di atur dalam perspektif yang berbeda. Domain ini memiliki pertanyaan dalam perspektif manajemen yaitu : a. Apakah IT dan strategi bisnis sudah selaras?

12 18 b. Apakah pencapaian perusahaan sudah optimal dengan menggunakan sumberdaya yang ada? c. Apakah semua karyawan di dalam perusahaan sudah memahami tujuan dari IT? d. Apakah resiko IT sudah dipahami dan dikelola? e. Apakah kualitas dari sistem IT sesuai dengan kebutuhan bisnis? Acquire and Implement Untuk mewujudkan strategi IT, solusi IT harus diidentifikasi, dibangun atau dimiliki sebaik mungkin, untuk diimplementasikan dan diintegrasikan dalam proses bisnis. Selain itu, perubahan dan pemeliharaan sistem yang telah ada dan digunakan, merupakan hal yang diperhatikan di dalam domain ini. Domain ini memiliki pertanyaan dalam perspektif manajemen yaitu : a. Apakah proyek memberikan solusi yang memenuhi kebutuhan bisnis? b. Apakah proyek baru dapat diselesaikan tepat waktu sesuai budget? c. Apakah sistem baru dapat bekerja sempurna setelah diimplementasikan? d. Apakah perubahan dapat dilakukan tanpa mengganggu operasional bisnis yang sudah berjalan? Deliver and Support Domain ini memiliki topik mengenai layanan yang diberikan dibandingkan merujuk kepada layanan yang diminta, termasuk pengaturan security, layanan support untuk pengguna, pemantauan internal control, dan pengelolaan data termasuk fasilitas operasional. Biasanya domain ini membahas mengenai pertanyaan manajemen : a. Apakah layanan IT yang diberikan selaras dengan prioritas bisnis? b. Apakah biaya IT sudah optimal? c. Apakah para pekerja mampu untuk menggunakan sistem IT secara produktif dan aman? d. Apakah keamanan, integritas dan ketersediaan sudah pada tempatnya?

13 Monitor and Evaluate Domain ini memiliki topik mengenai perlunya proses IT untuk dinilai kualitasnya dan sesuai dengan persyaratan yang dikontrol secara berkala dari waktu ke waktu. Selain itu dinilai pula kualitas kinerja manajemen, pemantauan dari internal control serta kepatuhan terhadap peraturan dan tata kelola. Biasanya domain ini membahas mengenai pertanyaan manajemen : a. Apakah kinerja IT dapat diukur untuk mendeteksi masalah sebelum terlambat? b. Apakah manajemen telah memastikan bahwa pengawasan internal efektif dan efisien c. Dapatkah kinerja IT dihubungkan dengan dengan tujuan bisnis? d. Apakah keamanan, integritas dan ketersediaan sudah pada tempatnya? 2.5 Domain dari Delivery and Support DS1 Define and Manage Service Levels Komunikasi yang efektif antara manajemen TI dan bisnis pelanggan mengenai layanan yang diminta diaktifkan oleh agreement IT mengenai layanan IT dan service level yang telah didokumentasikan. Proses ini juga termasuk pemonitoran dan laporan secara berkala kepada pemegang saham untuk pencapaian service level Proses ini memungkinkan keselarasan antara layanan TI dan persyaratan bisnis yang terkait DS2 Manage Third-Party Services Memastikan bahwa layanan yang diberikan oleh pihak ketiga (pemasok, vendor dan mitra) memenuhi persyaratan bisnis membutuhkan manajemen proses efektif dari pihak ketiga. Proses ini dicapai dengan mendefinisikan secara jelas peran, tanggung jawab dan harapan dalam perjanjian pihak ketiga serta melakukan review dan pemantauan perjanjian tersebut untuk efektivitas dan kepatuhannya. Manajemen layanan yang efektif dari pihak ketiga meminimalkan risiko usaha yang terkait dengan pemasuk, vendor, mitra yang tidak berhasil memberikan layanan yang baik.

14 DS3 Manage Performance and Capacity Kebutuhan untuk mengelola kinerja dan kapasitas dari sumberdaya IT membutuhkan sebuah proses yang secara berkala meninjau kinerja dan kapasitas dari sumberdaya IT. Proses ini termasuk peramalan akan kebutuhan beban kerja, penyimpanan dan persyaratan kondisi kontingensi. Proses ini menyediakan kepastian bahwa sumberdaya informasi yang mendukung permintaan bisnis tersedia secara terus menerus DS4 Ensure Continuous Services Menyediakan layanan IT yang berkesinambungan membutuhkan pengembangan, pemeliharaan, dan pengujian rencana kontinuitas IT, pemanfaatan cadangan penyimpanan offsite, dan menyediakan pelatihan rencana berkesinambungan secara berkala. Layanan yang berkelanjutan yang efektif meminimalkan kemungkinan dan efek samping dari gangguan layanan IT berskala besar dalam fungsi dan proses yang utama dari bisnis DS5 Ensure Systems Security Kebutuhan untuk memelihara integritas dari informasi dan melindungi asset IT membutuhkan sebuah proses pengelolaan security. Proses ini termasuk di dalamnya membuat dan memelihara peraturan mengenai IT security, tanggungjawab, kebijakan, standarisasi dan prosedur. Manajemen security juga termasuk di dalamnya pemantauan security dan uji security secara berkala dan melakukan perbaikan atas kelemahan security. Manajemen security yang efektif akan melindungi semua asset IT dan meminimalkan dampak kepada bisnis karena disebabkan kerentanan dan insiden yang terjadi DS7 Educate and Train Users Edukasi yang efektif untuk semua pengguna layanan IT termasuk di dalamnya adalah IT, membutuhkan identifikasi kebutuhan training

15 21 untuk setiap kelompok pengguna layanan IT. Selain untuk mengidentifikasi kebutuhan, didalam proses ini juga termasuk mendefinisikan dan mengeksekusi strategi training yang efektif dan dapat diukur hasilnya. Sebuah program training yang efektif akan meningkatkan penggunaan teknologi yang efektif dengan mengurangi kesalahan penggunaan oleh pengguna layanan IT, meningkatkan produktifitas dan kepatuhan terhadap key control seperti langkahlangkah keamanan dalam penggunaan layanan IT DS8 Manage Service Desk and Incidents Respon yang tepat waktu dan efektif terhadap pertanyaan dan masalah yang dihadapi oleh pengguna layanan IT memerlukan sebuah service desk dan manajemen insiden yang di desain dan dilaksanakan dengan baik. Termasuk di dalamnya pengaturan fungsi service desk seperti pendaftaran komplain, eskalasi, analisa kecenderungan dan akar permasalahan dan pemecahannya. Bisnis diuntungkan juga dengan peningkatan produktivitas melalui respon yang cepat terhadap permasalahan di pengguna layanan IT DS10 Manage Problems Pengelolaan problem yang efektif membutuhkan identifikasi dan klasifikasi dari permasalahannya, analisa penyebab dan penyelesaian dari masalah. Pengelolaan masalah juga termasuk formulasi dan rekomendasi untuk pernyempurnaan, pemeliharaan dari pencatatan masalah, dan review status tindakan perbaikan. Proses pengelolaan permasalahan yang efektif akan memaksimalkan ketersediaan sistem, penyempurnaan service level, penghematan biaya dan peningkatan kenyamanan dan kepuasan pengguna layanan IT DS11 Manage Data Pengelolaan data yang efektif membutuhkan pengidentifikasian data yang dibutuhkan. Proses pengelolaan data juga termasuk pembuatan

16 22 prosedur yang efektif untuk mengelola media library, backup dan pemulihan/pengembalian data serta penghancuran media yang tepat. Manajemen data yang efektif membantu untuk menjamin kualitas, ketepatan waktu dan ketersediaan data bisnis DS12 Manage the Physical Environment Perlindungan terhadap peralatan komputer dan personel memerlukan fasilitas fisik yang didesain dan dikelola dengan baik. Proses dari pengelolaan fisik lingkungan termasuk mendefinisikan persyaratan fisik site, memilih fasilitas yang sesuai dan mendisain proses yang efektif untuk pemantauan faktor lingkungan dan pengelolaan akses fisik. Pengelolaan yang efektif dari fisik lingkungan akan mengurangi gangguan terhadap bisnis dari kerusakan komputer maupun personel DS13 Manage Operations Pemrosesan data yang lengkap dan akurat memerlukan prosedur pengelolaan pemrosesan data yang efektif dan pemeliharaan perangkat keras yang teratur. Proses ini termasuk di dalamnya pendefinisian kebijakan dan prosedur pengoperasian untuk pengelolaan pemrosesan yang sudah dijadwalkan yang efektif, perlindungan output yang sensitif, pemantauan kinerja infrastruktur dan memastikan pemeliharaan perangkat keras secara preventif. Pengelolaan operasi yang efektif membantu pemeliharaan integritas data dan mengurangi keterlambatan bisnis dan biaya operasional IT. 2.6 Control Objective dari Domain Delivery and Support DS1 Define and Manage Service Levels DS1.1 - Service Level Management Framework (Kerangka Service level Management) Merupakan sebuah kerangka kerja yang memberikan proses formal dari sebuah manajeman layanan (service level management) antara pelanggan dengan provider layanan. Kerangka kerja tersebut harus mengatur secara

17 23 berkesinambungan serta sejajar antara kepentingan bisnis dengan prioritas, serta memfasilitasi pemahaman umum (common understanding) antara pelanggan dengan provider. Kerangka kerja ini juga harus mencakup proses pembuatan keperluan layanan (service requirement), definisi servis, Service Level Agreement (SLA), Operational Level Agreement (OLA) dan sumber pendanaan. Perangkatperangkat tersebut harus tersusun rapi dalam sebuah katalog pelayanan. Kerangka kerja harus menjelaskan mengenai struktur organisasi dalam service level management beserta peranannya masing-masing, tujuan dan tanggung jawab, baik internal maupun eksternal antara pelanggan dengan provider DS1.2 Definition of Services Definisi dasar dari servis IT dalam karakteristik servis dan keperluan bisnis. Hal tersebut harus dipastikan terorganisir dan tersimpan secara sentral lewat implementasi katalog servis dengan pendekatan portofolio DS1.3 Service Level Agreement Service Level Agreement untuk semua pelayanan IT, ditetapkan dan disepakati berdasarkan kebutuhan pelanggan dan kemampuan IT. Hal ini harus meliputi komitmen pelanggan; kebutuhan pendukung layanan; ukuran kualitatif dan kuantitatif untuk mengukur service signed off on oleh para stakeholder; pendanaan dan aturan komersial, jika dapat diterapkan; serta peranan dan tanggungjawab, termasuk oversight dari SLA. Item-item lain yang harus dipertimbangkan meliputi availabilitas, reliabilitas (masuk akal), performa, kapasitas, kekuatan pendukung, perencanaan yang kontinu, keamanan dan kendala permintaan ( demand constraints).

18 DS1.4 Operating Level Agreements Menentukan Operating Level Agreements yang menjelaskan bagaimana servis yang secara teknis akan mendukung SLA secara optimal. OLA harus merinci proses teknis secara bermakna pada provider, dan dapat mendukung beberapa SLA Monitoring and Reporting of Service Level Agreements Secara kontinu mengawasi kriteria tertentu dari performa service level (service level performa). Pelaporan hasil harus dilakukan dalam format yang dapat dimengerti oleh stakeholder. Statistik pemonitoran harus dianalisa dan ditindaklanjuti segera untuk mengidentifikasi tren positif dan negatif, baik dalam servis individu maupun secara keseluruhan Review of Service Level Agreements and Contracts Secara teratur mengulas SLA dan underpinning contracts (UC) dengan provider internal dan external untuk memastikan keefektifan serta selalu diperbarui sesuai kebutuhan DS2 Manage Third Party Services DS2.1 Identification of All Supplier Relationship a. Mengidentifikasi semua layanan supplier dan mengkategorikan mereka menurut jenis supplier, signifkansi dan kritis. b. Menjaga dokumentasi formal dari hubungan teknis dan organisasi yang meliputi peranan serta tanggungjawab, tujuan, pemberian layanan yang diharapkan (expected deliverables), dan credentials of representatives dari supplier- supplier tersebut.

19 DS2.2 Supplier Relationship Management Memformalkan proses manajemen hubungan supplier untuk tiap-tiap supplier. Pemilik hubungan harus mewakili isu mengenai pelanggan dan supplier, dan memastikan bahwa kualitas hubungan tersebut berdasarkan pada kepercayaan dan transparansi (misalnya melalui SLA) DS2.3 Supplier Risk Management Mengidentifikasi dan mengurangi resiko yang berkaitan dengan kemampuan supplier untuk menjalankan servis efektif dengan cara yang aman dan efisien secara terus menerus. Memastikan bahwa kontrak-kontrak yang ada sesuai dengan standar bisnis universal, ditinjau dari hukum dan peraturan yang berlaku Manajemen resiko juga harus mempertimbangkan lebih lanjut mengenai. Non-disclosure agreements (NDAs), surat wasiat (escrow contracts), kelangsungan supplier di masa depan, kesesuaian dengan kebutuhan keamanan, supplier alternatif, sanksi dan penghargaan DS2.4 Supplier Performance Monitoring Membangun sebuah proses untuk mengawasi pemberian pelayanan untuk memastikan bahwa supplier memperoleh kebutuhan bisnis serta selalu mematuhi kesepakatan kontrak dan SLA, dan bahwa performa supplier kompetitif dengan supplier lain serta kondisi pasar DS3 Manage Performance and Capacity DS3.1 Performance and Capacity Planning Menyusun perencanaan proses untuk mengulas performa dan kapasitas dari sumber IT untk memastikan bahwa kapasitas biaya dapat diterima dan performa mampu memproses beban

20 26 kerja yang sudah disepakati dan ditentukan oleh SLA. Perencanaan kapasitas dan performa harus meliputi teknik model yang tepat untuk menghasilkan bentuk performa saat ini dan di masa datang, kapasitas dan throughput dari sumber-sumber IT DS3.2 Current Performance and Capacity Menilai performa dan kapasitas yang sedang berjalan dari sumber IT untuk menentukan apakah kapasitas dan performa yang ada sudah layak dan sesuai dengan tingkat pelayanan yang disepakati DS3.3 Future Performance and Capacity Memperkirakan performa dan kapasitas dari sumber IT dengan interval yang teratur untuk meminimalisir resiko gangguan layanan akibat kapasitas yang tidak memadai atau penurunan performa, dan mengidentifikasi kelebihan kapasitas untuk mencari kemungkinan penarikan kembali. Mengidentifikasi tren beban kerja dan menentukan kemungkinan yang akan dijadikan perencanaan performa dan kapasitas DS3.4 Resources Availability Menyediakan kapasitas dan performa yang diperlukan, mempertimbangkan aspek-aspek seperti beban kerja normal, contingencies, kebutuhan penyimpanan dan siklus sumber IT. Ketentuan-ketentuan seperti memprioritaskan pekerjaan, mekanisme toleransi kesalahan dan alokasi sumber harus dibuat. Manajemen harus memastikan bahwa rencana kontinyensi megarah pada ketersediaan, kapasitas dan performa sumber IT invidual.

21 DS3.5 Monitoring and Reporting Pengawasan performa dan kapasitas sumber IT secara berkesinambungan. Data yang dikumpulkan harus mencakup dua tujuan : Untuk menjaga performa IT yang sedang berjalan dan mengarahkan isu seperti ketahanan, kontinyensi, beban kerja yang sedang berjalan dan sudah diarahkan, rencana penyimpanan, dan sumber akuisisi. Untuk melaporkan ketersediaan layanan yang diberikan, seperti yang diminta oleh SLA. Bersama dengan semua laporan pengecualian dengan rekomendasi untuk koreksi DS4 Ensure Continuous Service DS4.1 IT Continuity Framework (Kerangka Kerja IT Jangka Panjang) Melakukan pengembangan kerangka untuk keberlanjutan IT untuk mendukung keberlanjutan manajemen enterprisewide business menggunakan sebuah proses yang konsisten. Objektifitas dari kerangka kerja harus bisa membantu menentukan ketahanan infrastruktur yang diperlukan, dan untuk mengendalikan perkembangan dari pemulihan kerusakan dan rencana kontinjensi IT. Kerangka kerja harus mengarahkan struktur organisasi untuk kelanjutan manajemen, melindungi peran, tujuan dan tanggung jawab dari provider layanan internal dan eksternal, manajemen dan pelanggan mereka, serta proses perencanaan yang membuat peraturan dan struktur kedalam dokumen, menguji dan melaksanakan pemulihan (recovery) kerusakan serta rencana kontinjensi IT. Rencana tersebut juga harus mengarahkan item-item seperti identifikasi dari sumber-sumber yang penting, mencatat key dependencies, pengawasan dan

22 28 pelaporan ketersediaan sumber sumber penting, proses alternatif, dan prinsip-prinsip backup dan recovery (pemulihan) DS4.2 IT Continuity Plans Mengembangkan rencana IT secara kontinu berdasarkan kerangka kerja dan dirancang untuk mengurangi dampak gangguan besar pada fungsi kunci bisnis serta proses. Rencana tersebut harus berdasarkan pada pemahaman terhadap resiko dari dampak bisnis potensial dan mengarahkan kebutuhan pada ketahanan, proses alternatif dan kemampuan pemulihan dari semua layanan IT yang penting. Rencana rencana tersebut juga harus meliputi penggunaan panduan, peranan dan tanggungjawab, prosedur, proses komunikasi dan tes DS4.3 Critical IT Resources Memusatkan perhatian pada item-item yang dispesifikasikan sebagai item paling penting dalam rencana kesinambungan IT untuk membangun ketahanan dan menetapkan prioritas dalam pemulihan situasi. Hindari gangguan dalam pemulihan item-item yang tidak terlalu penting dan memastikan respon serta pemulihan sejalan dengan prioritas kebutuhan dalam bisnis, sambil memastikan biaya tetap dapat diterima, dan sesuai dengan peraturan dan kontrak serta mempertimbangkan ketahanan, respon dan pemulihan untuk tingkatan yang berbeda-beda, misalnya 1-4 jam, 4-24 jam, lebih dari 24 jam, dan periode-periode penting dalam operasional bisnis.

23 DS4.4 Maintenance of The IT Continuity Plan Mendorong manajemen IT untuk menetapkan dan melaksanakan perubahan prosedur kontrol, untuk memastikan bahwa rencana IT yang berkelanjutan tetap up to date dan secara terus menerus merefleksikan keperluan bisnis yang sebenarnya dan mengkomunikasikan perubahan prosedur dan tanggung jawab secara jelas dan berkala DS4.5 Testing of The IT Continuity Plan Menguji rencana IT secara teratur untuk memastikan bahwa sistem IT dapat dipulihkan secara efektif, kekurangan/ kritikan diarahkan dan rencana tetap relevan. Hal ini memerlukan persiapan yang lebih hati-hati, dokumentasi, pelaporan hasil tes, dan berdasarkan pada hasil, implementasi dari pelaksanaan rencana. Mempertimbangkan jangkauan uji pemulihan dari aplikasi tunggal untuk mengintegrasikan skenario test hingga end-to-end testing dan uji vendor yang terintegrasi DS4.6 IT Continuity Plan Training Memberikan pelatihan teratur kepada semua pihak terkait, mengenai prosedur, peranan dan tanggung jawab jika terjadi insiden, kerusakan atau bencana. Verifikasi dan menambah pelatihan berdasarkan hasil dari uji kontinjensi DS4.7 Distribution of The IT Continuity Plan Terdapat sebuah strategi distribusi yang telah ditentukan dan diatur untuk memastikan bahwa rencana-rencana yang ada layak dan terdistribusi secara aman, serta tersedia secara sesuai kapan dan di mana pun diperlukan oleh pihak-pihak yang berkepentingan. Perhatian harus diberikan agar rencana dapat berjalan dalam semua kondisi bencana atau kerusakan.

24 DS4.8 IT Services Recovery and Resumption Melakukan penyusunan rencana tindakan yang akan diambil selama layanan IT dipulihkan sampai dilaksanakan kembali. Ini dapat meliputi aktivasi backup sites, insisiasi proses alternatif, komunikasi pelanggan dan stakeholder, serta melaksanakan kembali prosedur. Memastikan bahwa bisnis dapat memahami waktu yang diperlukan untuk pemulihan IT, dan perangkat teknologi yang diperlukan untuk mendukung pemulihan bisnis dan keperluan untuk memulai kembali DS4.9 Offsite Backup Storage (Tempat Penyimpanan Cadangan) a. Menyimpan offsite dari semua backup media yang penting, dokumentasi dan sumber IT lain yang diperlukan untuk pemulihan IT dan rencana bisnis yang berkelanjutan. b. Menentukan isi dari penyimpanan backup, dengan kolaborasi antara pemilik proses bisnis dan personel IT. Manajemen fasilitas penyimpanan offsite harus merespon kebijakan klasifikasi data dan the enterprise s media storage practices. Manajemen IT harus memastikan bahwa pengaturan offsite dinilai secara periodic, setidaknya tiap tahun, dalam hal isi, perlindungan terhadap lingkungan dan keamanan. c. Memastikan kesesuaian antara hardware dan software untuk menyimpan data, dan secara periodik menguji dan memperbaharui (refresh) data DS4.10 Post-Resumption Review Menjelaskan apakah manajemen IT telah membuat prosedur untuk menilai apakah rencana untuk melanjutkan kembali fungsi IT setelah bencana sudah memadai, serta memperbaharui rencana jika diperlukan.

25 DS5 Ensure Systems Security DS5.1 Management of IT Security Mengatur keamanan IT dan menempatkannya di posisi yang cukup tinggi dalam organisasi, sehingga pelaksananaan manajemen keamanan ini sejalan dengan kepentingan bisnis DS5.2 IT Security Plan Menerjemahkan bisnis, resiko dan pemenuhan kepentingan kedalam rencana keamanan IT secara keseluruhan, mempertimbangkan infrastruktur IT dan kultur keamanan. Memastikan bahwa rencana diimplementasikan ke dalam kebijakan keamanan dan prosedur bersama dengan penyediaan perlengkapan layanan, personil, hardware dan software secara tepat. Mengkomunikasikan kebijakan keamanan dan prosedur kepada stakeholder dan user DS5.3 Identity Management a. Memastikan bahwa semua user (internal, external dan sementara) dan aktivitasnya dalam sistem IT (aplikasi bisnis, lingkungan IT, sistem operasi, perkembangan dan pemeliharaan) dapat diidentifikasi. Menampilkan identitas user lewat mekanisme pembuktian. b. Mengkonfirmasi bahwa hak user untuk mengakses sistem dan data sejalan dengan keperluan bisnis yang telah ditentukan dan didokumentasikan, dan pekerjaan tersebut tercantum dalam identitas user. c. Memastikan bahwa hak user diatur oleh manajeman, diterima oleh pemilik sistem, dan diterapkan oleh orang yang bertanggung jawab terhadap keamanan. d. Menjaga identitas user dan hak akses di tempat penyimpanan pusat.

26 32 e. Menerapkan teknik efektif biaya dan langkah langkah procedural, dan menjaga agar tetap diperlukan identifikasi user, menerapkan otentifikasi, dan menegakkan hak akses DS5.4 User Account Management Permintaan alamat, membuat, mengeluarkan, penangguhan, modifikasi dan penutupan akun user dan haknya dapat dilakukan dengan perangkat manajemen akun user. Meliputi sebuah prosedur penguraian data yang bisa diterima atau pemilik sistem yang memberi hak akses. Prosedur tersebut harus diaplikasikan pada semua user, baik administrator maupun user internal dan eksernal, pada kondisi normal mapun darurat. Hak dan obligasi yang berkaitan dengan akses ke sistem perusahaan serta informasi, harus diatur dalam kontrak untuk semua jenis pengguna. Melakukan ulasan manajemen secara teratur untuk semua akun dan hakhak terkait DS5.5 Security Testing, Surveillance and Monitoring Menguji dan mengawasai pelaksanaan keamanan IT secara proaktif. Keamanan IT harus di akreditasi ulang secara berkala untuk memastikan bahwa informasi perusahaan tetap terjaga. Fungsi pendataan dan pengawasan dapat menjadi cara pencegahan awal dan/atau deteksi dan pelaporan bila terjadi aktifitas yang tidak biasa yang mungkin ditemukan DS5.6 Security Incident Definition Secara jelas mendefinisikan dan mengkomunikasikan karakteristik dari hal-hal yang potensial menimbulkan insiden keamanan, sehingga dapat diklasifikasikan dan

27 33 ditindaklanjuti berdasarkan manajemen proses insiden dan masalah DS5.7 Protection of Security Technology Membuat teknologi yang berkaitan dengan keamanan tahan terhadap ganguan, dan tidak membocorkan dokumentasi keamanan jika tidak diperlukan DS5.8 Cryptographic Key Management Menetapkan kebijakan dan prosedur pada tempatnya untuk mengatur kelompok, merubah, membatalkan, kerusakan, distribusi, sertifikasi, penyimpanan, memasukkan dan mengarsipkan Cryptographic Key untuk memastikan perlindungan kunci terhadap modifikasi dan kebocoran oleh pihak yang tidak berwenang DS5.9 Malicious Software Prevention, Detection and Correction Meletakkan tindakan preventif, detektif dan korektif pada tempatnya (terutama pola kemanan yang up to date dan kontrol virus) dalam organisasi, untuk melindungi sistem informasi dan teknologi dari malware (misal virus, worms, spyware, spam) DS5.10 Network Security Menggunakan teknik keamanan dan prosedur keamanan yang terkait (misal firewalls, aplikasi sekuriti, segmentasi jaringan deteksi gangguan) untuk memberi akses dan mengkontrol aliran informasi dari dan ke jaringan DS5.11 Exchange of SensitiveData Pertukaran transaksi data positif hanya melalui jalur atau media yang bisa dipercaya, dengan kontrol untuk menjaga

28 34 keaslian data, bukti penyerahan, bukti penerimaan dan nonrepudiation of origin DS7 Educate and Train Users DS7.1 Identification of Education and Training Needs Membuat dan secara teratur memperbaharui kurikulum untuk tiap-tiap target kelompok karyawan dengan mempertimbangkan aspek-aspek : Kebutuhan bisnis serta strategi saat ini dan dimasa depan Nilai informasi sebagai asset Nilai nilai perusahaan (nilai etika, kebiasaan kontrol dan keamanan yang berlaku) Implementasi dari infrastruktur dan software baru (misal pengemasan, aplikasi) Kemampuan saat ini dan dimasa depan, profil kompetensi, dan sertifikasi dan/ atau keperluan pembuatan surat (credentialing needs) yang diperlukan untuk reakreditasi DS7.2 Delivery of Training and Education Berdasarkan hasil identifikasi kebutuhan pendidikan dan pelatihan, serta mengidentifikasi target kelompok dan anggotanya, diperoleh mekanisme penyampaian yang efisien, guru, pelatih dan mentor. Menunjuk pelatih dan mengatur waktu sesi pelatihan. Mencatat registrasi (termasuk prasyarat), kehadiran, dan sesi evaluasi pelatihan DS7.3 Evaluation of Training Received Mengevaluasi materi yang disampaikan dalam pendidikan dan pelatihan, mengenai relevansi, kualitas, efektifitas, nilai dan biaya. Hasil dari evaluasi ini harus dijadikan masukan

29 35 untuk dalam pembuatan kurikulum dan penyampaian pelatihan yang akan datang DS8 Manage Service Desk and Incidents DS8.1 Service Desk Menentukan fungsi dari service desk, dengan user interface dilengkapi IT, untuk mencatat, mengkomunikasikan, menelpon dan menerima serta menganalisa semua telepon masuk. melaporkan insiden, melayani permintaan dan memberikan informasi. Harus ada pengawasan dan peningkatan prosedur berdasarkan service level yang disepakati, berkaitan dengan SLA yang tepat yang memungkinkan dilakukannya klasifikasi dan penentuan prioritas dari isu-isu yang dilaporkan sebagai insiden, melayani permintaan dan informasi. Mengukur kepuasan end user dengan kualitas meja layanan dan layanan IT DS8.2 Registration of Customer Queries Membuat sebuah sistem dan fungsi yang memungkinkan untuk mendata dan melacak telepon, insiden, permintaan layanan dan informasi yang diperlukan. Harus berjalan berdampingan dengan proses-proses seperti manajeman insiden, manajemen masalah, perubahan manajemen, kapasitas manajemen dan ketersediaan manajemen. Insiden harus diklasifikasikan menurut prioritas bisnis dan layanan dan mencakup tim manajemen pemecahan masalah, jika diiperlukan. Pelanggan harus tetap diberi informasi mengenai status permintaan mereka DS8.3 Incident Escalation Membuat prosedur meja layanan, sehinggan permasalahan yang tidak bisa segera diselesaikan, meningkat sesuai dengan

30 36 batas yang dijelaskan dalam SLA, dan jika memungkinkan disediakan workarounds. Memastikan bahwa kepemilikan insiden dan siklusnya tetap terawasi, dengan meja layanan sebagai user-based incidents, tanpa menghiraukan kelompok IT mana yang mengerjakan resolusinya DS8.4 Incident Closure Membuat prosedur untuk pengawasan secara berkala dari pemenuhan permintaan pelanggan. Ketika insiden berhasil diselesaikan, pastikan bahwa meja layanan mencatat tahaptahap penyelesaian, dan mengkonfirmasi bahwa tindakan yang dilakukan telah disetujui oleh pelanggan. Catat dan laporkan juga mengenai insiden yang tidak terselesaikan (dikenal dengan error dan workaround), sebagai bahan informasi untuk menjalankan manajemen masalah dengan baik DS8.5 Reporting and Trend Analysis) Membuat laporan aktifitas meja layanan, agar manajemen dapat menilai performa dan waktu dalam pemberian layanan untuk mengidentifikasi kecenderungan yang terjadi, atau memecahkan masalah, sehingga layanan dapat terus menjadi lebih baik DS10 Manage Problems DS10.1 Identification and Classification of Problems Menjalankan proses untuk melaporkan dan mengklasifikasikan masalah yang telah diketahui sebagai bagian dari manajemen insiden. Langkah-langkah yang termasuk dalam klasifikasi masalah sama dengan langkahlangkah mengklasifikasi insiden; dimana harus

31 37 dikelompokkan berdasarkan kategori, dampak, urgensi dan prioritas. Mengkategorikan masalah menjadi kelompok-kelompok atau domain (misalnya hardware, software, software pendukung). Kelompok-kelompok tersebut sebaiknya sesuai dengan tanggungjawab organisasional dari user dan pelanggan, dan harus menjadi dasar alokasi masalah untuk mendukung personil DS10.2 Problem Tracking and Resolution Memastikan bahwa sistem manajemen masalah memberikan fasilitas audit yang memadai yang memungkinkan untuk dilakukan pelacakan, analisa dan penentuan akar masalah dari semua permasalahan yang dilaporkan, meliputi : Semua item konfigurasi yang terkait Permasalahan dan insiden besar Eror yang sudah diketahui atau diduga eror Melacak arah permasalahan Mengidentifikasi dan mulai mencari solusi yang mengarah pada akar permasalahan, menungkinkan adanya permintaan untuk proses perubahan manajemen. Lewat proses penyelesaian, manajemen masalah harus memberkan laporan secara teratur dari perubahan manajemen yang sedang berjalan seiring dengan pemecahan masalah. Manajemen masalah harus mengawasi dampak yang terjadi akibat masalah dan error terhadap layanan user. Jika dampak ini semakin berat, manajemen masalah harus ditingkatkan untuk mengatasi masalah tersebut, mungkin dengan merujuk ke pihak yang tepat, untuk meningkatkan prioritas dari RFC, atau untuk melaksanakan perubahan segera. Mengawasi perkembangan pemecahan masalah yang bertentangan dengan SLA

32 DS10.3 Problem Closure Membuat sebuah prosedur pemecahan masalah, baik setelah berhasil diselesaikan atau diketahui sebagai error, setelah disesuaikan dengan bisnis, mengenai bagaimana mengatasi masalah tersebut DS10.4 Integration of Configuration, Incident and Problem Management Mengintegrasikan proses-proses konfigurasi yang terkait, manajemen masalah dan insiden untuk memastikan bahwa manajemen masalahn sudah cukup efektif dan dapat dikembangkan DS11 Manage Data DS11.1 Business Requirement for Data Management Verifikasi bahwa semua data yang diperlukan untuk prosesing diperoleh dan diproses secara lengkap, akurat dan tepat pada waktunya, dan semua output diberikan sesuai dengan kepentingan bisnis. Mendukung keperluan restart dan reprocessing DS11.2 Storage and Retention Arrangements Menentukan dan menjalankan prosedur penyimpanan data yang efektif dan efisien, tahan dan dapat diarsipkan untuk kepentingan bisnis, kebijakan organisasi dan regulasi DS11.3 Media Library Management System Menentukan dan menjalankan prosedur untuk menjaga media yang sudah disimpan dan diarsipkan, untuk memastikan bahwa media tersebut dapat digunakan.