Managing and Controlling 'Big Data': Using COBIT® 5 for ... SNI ISO-IEC... · Tata Kelola...
-
Upload
vuongnguyet -
Category
Documents
-
view
214 -
download
0
Transcript of Managing and Controlling 'Big Data': Using COBIT® 5 for ... SNI ISO-IEC... · Tata Kelola...
1
Sosialisasi SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM Ketua WG Tata Kelola dan Layanan TI PT35-01 Teknologi Informasi
Makasar 7 Mei 2014
Current:
• Director of Certification – CRISC & CGEIT, ISACA Indonesia Chapter • ISACA Academic Advocate at ITB • SME for Information Security Standard for ISO at ISACA HQ • Associate Professor at School of Electrical Engineering and Informatics, Institut Teknologi Bandung • Ketua WG Layanan dan Tata Kelola TI, anggota WG Keamanan Informasi serta Anggota Panitia Teknis 35-01
Program Nasional Penetapan Standar bidang Teknologi Informasi, BSN – Kominfo. Past: • Ketua Kelompok Kerja Evaluasi TIK Nasional, Dewan TIK Nasional (2007-2008) • Plt Direktur Operasi Sistem PPATK (Indonesia Financial Transaction Reports and Analysis Center, INTRAC), April
2009 – May 2011 Professional Certification:
• Professional Engineering (PE), the Principles and Practice of Electrical Engineering, College of Engineering, the University of Texas at Austin. 2000
• IRCA Information Security Management System Lead Auditor Course, 2004 • ISACA Certified Information System Auditor (CISA). CISA Number: 0540859, 2005 • Brainbench Computer Forensic, 2006 • (ISC)2 Certified Information Systems Security Professional (CISSP), No: 118113, 2007 • ISACA Certified Information Security Manager (CISM). CISM Number: 0707414, 2007 Award:
• (ISC)2 Asia Pacific Information Security Leadership Achievements (ISLA) 2011 award in category Senior Information Security Professional. http://isc2.org/ISLA
2
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM
Bloom’s Taxonomy of Educational Objectives
Apply
Comprehend
Remember list, recite
explain, paraphrase
calculate, solve,
determine, apply
Analyze
compare, contrast, classify,
categorize, derive, model
Synthesize
create, construct, design,
improve, produce, propose
Evaluate
judge, critique, justify,
verify, assess, recommend
Kerangka dan Standar – tinjauan
SNI ISO
38500
COSO
PP60/
2008 COBIT 5 ITIL v2 ITIL v3
SNI ISO
20000
SNI
ISO
2700x
SNI
ISO
900x
Common
Criteria
SNI ISO
15408
board
level
managem
ent
technic
al
o Principle 1: Establish clearly understood responsibilities for IT
o Principle 2: Plan IT to best support the organization
o Principle 3: Acquire IT validly
o Principle 4: Ensure that IT performs well, whenever required
o Principle 5: Ensure IT conforms with formal rules
o Principle 6: Ensure IT use respects human factors
Principles of IT Governance
6
Source:
P.Weill & J.Ross, IT Governance, Harvard Business Press, 2004
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
8 Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of
ICT: January 2005
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
9 Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of
ICT: January 2005
Pimpinan mengevaluasi
pemanfaatan TI saat ini dan
masa depan
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
10 Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of
ICT: January 2005
Pimpinan mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
11 Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of
ICT: January 2005
Pimpinan memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana
SNI ISO/IEC 38500:2013
Enam Prinsip
12
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
SNI ISO/IEC 38500:2013
Enam Prinsip
13
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 1: Tanggung jawab Individu dan kelompok dalam suatu organisasi memahami dan menerima tanggung jawab mereka dalam hal penyediaan dan permintaan atas TI. Mereka yang bertanggung jawab untuk melakukan berbagai tindakan juga memiliki kewenangan untuk melakukan berbagai tindakan tersebut.
SNI ISO/IEC 38500:2013
Enam Prinsip
14
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 2: Strategi Strategi bisnis suatu organisasi memperhitungkan kemampuan TI saat ini dan di masa depan; rencana strategis TI memenuhi kebutuhan saat ini dan berkelanjutan dari strategi bisnis organisasi.
SNI ISO/IEC 38500:2013
Enam Prinsip
15
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 3: Akuisisi Akuisisi TI dibuat untuk alasan yang valid, atas dasar analisis yang tepat dan berkelanjutan, dengan pengambilan keputusan yang jelas dan transparan. Terdapat keseimbangan antara manfaat, peluang, biaya, dan risiko, baik dalam jangka pendek maupun jangka panjang.
SNI ISO/IEC 38500:2013
Enam Prinsip
16
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab Prinsip 4: Kinerja TI sesuai dengan tujuan untuk mendukung organisasi, untuk menyediakan layanan, dengan tingkat layanan dan kualitas layanan yang diperlukan untuk memenuhi persyaratan bisnis saat ini dan masa yang akan datang.
SNI ISO/IEC 38500:2013
Enam Prinsip
17
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 5: Kesesuaian TI mematuhi semua perundangan dan peraturan yang wajib. Kebijakan dan praktik dengan jelas didefinisikan, dilaksanakan, dan ditegakkan.
SNI ISO/IEC 38500:2013
Enam Prinsip
18
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 6: Perilaku Manusia Kebijakan, praktik, dan keputusan TI menunjukkan penghargaan terhadap Perilaku Manusia, termasuk kebutuhan saat ini dan perkembangannya dari semua 'orang dalam proses'.
Prinsip 1: Tanggung jawab Evaluasi
Para pemimpin organisasi harus mengevaluasi berbagai pilihan untuk menetapkan tanggung jawab
sehubungan dengan pemanfaatan TI saat ini dan masa depan oleh organisasi. Dalam
mengevaluasi berbagai pilihan, para pemimpin organisasi harus berusaha untuk memastikan
pemanfaatan dan penyediaan TI yang efektif, efisien, dan layak untuk mendukung sasaran bisnis
(pencapaian sasaran organisasi) saat ini dan masa depan.
Para pemimpin organisasi harus mengevaluasi kompetensi dari mereka yang diberikan tanggung
jawab untuk mengambil keputusan tentang TI. Umumnya, mereka adalah para manajer (pejabat)
yang juga bertanggung jawab atas sasaran dan kinerja organisasi, dibantu oleh tenaga ahli TI
yang memahami nilai-nilai dan proses bisnis (pencapaian sasaran organisasi).
Arahkan
Para pemimpin organisasi harus mengarahkan bahwa berbagai rencana dilaksanakan sesuai dengan
berbagai tanggung jawab TI yang telah ditetapkan.
Para pemimpin organisasi harus mengarahkan bahwa mereka menerima informasi yang mereka
butuhkan untuk memenuhi tanggung jawab dan akuntabilitas mereka.
Pantau
Para pemimpin organisasi harus memantau bahwa mekanisme tata kelola TI yang tepat telah
dijalankan.
Para pemimpin organisasi harus memantau bahwa mereka yang diberikan tanggung jawab menerima
dan memahami tanggung jawab mereka.
Para pemimpin organisasi harus memantau kinerja mereka yang diberi tanggung jawab dalam tata
kelola TI (misalnya, orang-orang yang duduk dalam komite pengarah atau dalam menyajikan
proposal kepada para pemimpin organisasi). 19
Prinsip 2: Strategi Evaluasi
Para pemimpin organisasi harus mengevaluasi berbagai pengembangan TI dan proses bisnis
(pencapaian sasaran organisasi) untuk memastikan bahwa TI dapat memberikan dukungan untuk
kebutuhan bisnis (pencapaian sasaran organisasi) masa depan.
Dalam mempertimbangkan berbagai rencana dan kebijakan, para pemimpin organisasi harus
mengevaluasi berbagai kegiatan TI untuk memastikan keselarasannya dengan sasaran
organisasi dalam lingkungan yang berubah-ubah, dengan mempertimbangkan praktik yang lebih
baik dan memenuhi persyaratan dari pemangku kepentingan utama lainnya.
Arahkan
Para pemimpin organisasi harus mengarahkan penyiapan dan pemanfaatan berbagai rencana dan
kebijakan yang dapat memastikan bahwa organisasi tersebut mendapat manfaat dari
pengembangan TI.
Para pemimpin organisasi juga harus mendorong pengajuan proposal untuk pemanfaatan TI yang
inovatif yang memungkinkan organisasi untuk merespon peluang atau tantangan baru, melakukan
usaha baru atau meningkatkan proses.
Pantau
Para pemimpin organisasi harus memantau kemajuan berbagai proposal TI yang telah disetujui untuk
memastikan bahwa berbagai proposal TI tersebut dapat mencapai sasaran dalam jangka waktu
yang ditentukan dengan menggunakan sumber daya yang telah dialokasikan.
Para pemimpin organisasi harus memantau penggunaanTI untuk memastikan pencapaian berbagai
manfaat yang diinginkan
20
Prinsip 3: Akuisisi Evaluasi
Para pemimpin organisasi harus mengevaluasi berbagai pilihan TI dalam merealisasikan berbagai
proposal yang telah disetujui, menyeimbangkan risiko dengan manfaat dari investasi yang
diusulkan.
Arahkan
Para pemimpin organisasi harus mengarahkan bahwa aset TI (sistem dan infrastruktur) diperoleh
dengan cara yang tepat, termasuk penyiapan dokumentasi yang sesuai, dengan tetap
memastikan bahwa kapabilitas yang dibutuhkan dapat dipenuhi.
Para pemimpin organisasi harus mengarahkan bahwa pengaturan pasokan (termasuk pengaturan
pasokan internal maupun eksternal) mendukung kebutuhan bisnis (pencapaian sasaran
organisasi).
Pantau
Para pemimpin organisasi harus memantau berbagai investasi TI untuk memastikan bahwa investasi
tersebut memberikan kapabilitas yang disyaratkan.
Para pemimpin organisasi harus memantau sejauh mana organisasi mereka dan para pemasok dapat
memiliki pemahaman yang sama tentang tujuan organisasi dalam melakukan akuisisi TI.
21
Prinsip 4: Kinerja Evaluasi
Para pemimpin organisasi harus mengevaluasi berbagai metode yang diusulkan oleh para
manajer (pejabat) untuk memastikan bahwa TI akan mendukung proses bisnis
(pencapaian sasaran organisasi) dengan kapabilitas dan kapasitas yang disyaratkan.
Proposal ini harus membahas kelanjutan operasional normal dari bisnis dan perlakuan
terhadap risiko yang terkait dengan pemanfaatan TI.
Para pemimpin organisasi harus mengevaluasi risiko kelanjutan operasi dari bisnis
(pencapaian sasaran organisasi) yang timbul dari kegiatan TI.
Arahkan
Para pemimpin organisasi harus memastikan alokasi sumber daya yang cukup sehingga TI
dapat memenuhi kebutuhan organisasi, sesuai dengan prioritas yang telah disetujui dan
limitasi anggaran.
Para pemimpin organisasi harus mengarahkan mereka yang bertanggung jawab, untuk
memastikan bahwa TI mendukung bisnis (pencapaian sasaran organisasi), dengan data
yang benar dan mutakhir serta dilindungi dari kehilangan atau penyalahgunaan.
Pantau
Para pemimpin organisasi harus memantau sejauh mana TI mendukung bisnis (pencapaian
sasaran organisasi).
Para pemimpin organisasi harus memantau sejauh mana alokasi sumber daya dan anggaran
telah diprioritaskan sesuai dengan sasaran bisnis (pencapaian sasaran organisasi).
Para pemimpin organisasi harus memantau sejauh mana kebijakan, seperti untuk akurasi
data dan efisiensi pemanfaatan TI, diikuti dengan benar.
22
Prinsip 5: Kesesuaian Evaluasi
Para pemimpin organisasi secara berkala harus mengevaluasi sejauh mana TI memenuhi
berbagai kewajiban (peraturan perundangan, hukum kebiasaan (common law),
kontraktual), kebijakan internal, standar dan panduan profesional.
Para pemimpin organisasi secara berkala harus mengevaluasi kesesuaian internal organisasi
terhadap sistem Tata Kelola TI organisasi tersebut.
Arahkan
Para pemimpin organisasi harus mengarahkan mereka yang bertanggung jawab untuk
membentuk mekanisme berkala dan rutin untuk memastikan bahwa pemanfaatan TI
mematuhi kewajiban yang relevan (peraturan perundangan, hukum kebiasaan (common
law), kontraktual), standar dan pedoman.
Para pemimpin organisasi harus mengarahkan bahwa kebijakan ditetapkan dan ditegakkan
untuk memungkinan organisasi memenuhi kewajiban internal dalam pemanfaatan TI.
Pantau
Para pemimpin organisasi harus memantau kepatuhan dan kesesuaian TI melalui
pelaksanaan pelaporan dan audit yang tepat, memastikan bahwa kajian dilakukan tepat
waktu, komprehensif, dan sesuai untuk pelaksanaan evaluasi tingkat pemenuhan
kebutuhan bisnis (pencapaian sasaran organisasi).
Para pemimpin organisasi harus memantau kegiatan TI, termasuk penghapusan aset dan
data, untuk memastikan bahwa berbagai kewajiban terkait aspek lingkungan, privasi,
manajemen pengetahuan strategis, pemeliharaan pengetahuan organisasi dan aspek
terkait lainnya telah dipenuhi.
23
Prinsip 6: Perilaku Manusia
Evaluasi
Para pemimpin organisasi harus mengevaluasi kegiatan TI untuk memastikan bahwa
perilaku manusia telah diidentifikasi dan dipertimbangkan dengan tepat.
Arahkan
Para pemimpin organisasi harus mengarahkan bahwa berbagai kegiatan TI konsisten
dengan perilaku manusia yang telah diidentifikasi.
Para pemimpin organisasi harus mengarahkan bahwa berbagai risiko, peluang,
permasalahan dan pertimbangan dapat diidentifikasi dan dilaporkan oleh siapa saja
setiap saat. Berbagai risiko ini harus dikelola sesuai dengan kebijakan dan prosedur
yang telah dipublikasikan dan dieskalasi ke pengambil keputusan yang sesuai.
Pantau
Para pemimpin organisasi harus memantau berbagai kegiatan TI untuk memastikan
bahwa perilaku manusia yang diidentifikasi tetap relevan dan telah memperoleh
perhatian yang tepat.
Para pemimpin organisasi harus memantau praktik kerja untuk memastikan bahwa
mereka konsisten dengan pemanfaatan TI yang tepat.
24