bab 2 landasan teori
advertisement
BAB 2 LANDASAN TEORI 2.1 Penjelasan Sistem Informasi (Fuad, 2011), mengemukakan bahwa sistem informasi bisa didefinisikan secara teknikal yaitu sebuah kumpulan yang memiliki komponen yang terhubung satu sama lain dimana komponen – komponen tersebut mengumpulkan, memproses, menyimpan, dan mendistribusikan informasi untuk mendukung pembuatan keputusan dan pengendalian di sebuah organisasi. (Laudon & Laudon, 2012), mengemukakan bahwa sistem informasi adalah alat utama yang memungkinkan perusahaan untuk menciptakan produk dan layanan barum serta model bisnis yang sama sekali baru. 2.2 Komponen Sistem Informasi (Fuad, 2011), mengemukakan bahwa komponen dari sistem informasi terdiri dari sebagai berikut: 1. Sumber daya manusia: terdiri dari end user dan IS specialist, system analyst, programmer, data administrator, dan lain – lain. 2. Hardware: terdiri dari perlatan dan perangkat fisik computer, mesin dan media. 3. Software: terdiri dari program dan prosedur. 4. Data: terdiri dari data dan pusat pengetahuan. 5. Networks: terdiri dari komunikasi media dan network support. 9 10 Dimana komponen dari sistem informasi digambarkan sebagai berikut: Gambar 2. 1: Komponen Sistem Informasi (a) Sumber: Laudon, K., & Laudon, J (Laudon & Laudon, 2012), mengemukakan bahwa komponen sistem informasi terdiri dari hardaware, data management, dan telekomnukasi yang mana komponen sistem informasi digambarkan sebagai berikut: Gambar 2. 2: Komponen Sistem Informasi (b) Sumber: Laudon, K., & Laudon, J 11 2.3 Pengertian Data (Bourgeois, 2014), mengemukakan bahwa data adalah sebuah bit yang mentah dan potongan dari informasi tanpa konteks dimana data bisa berupa kuantitif ataupun kualitatif. Dimana data kuantitif biasanya berupa angka,hasil dari pengukuran, perhitungan atau perhitungan matematika lainnya dan data kualitatif biasanya berupa penjelasan dari sesuatu. (Wunder, Halbardier, & Waltermire, 2011), mengemukakan bahwa data adalah setiap bagian dari informasi yang cocok untuk digunakan dalam komputer. 2.4 Penjelasan Aset Informasi Teknologi (Kouns & Minoli, 2010), mengemukakan bahwa aset informasi teknologi adalah asset – asset yang terdiri dari: a. Aset fisik (termasuk hardware). b. Aset Logis (termasuk software dan data). c. Pelayanan (seperti kemampuan untuk mengoperasikan proses bisnis). d. Aset tak berwujud (seperti reputasi, merek). e. Manusia (pengetahuan karyawan). (Wunder, Halbardier, & Waltermire, 2011), mengemukakan bahwa aset adalah apa pun yang memiliki nilai untuk suatu organisasi seperti orang, perangkat komputasi, sistem teknologi informasi (TI), jaringan teknologi informasi (TI), sirkuit teknologi informasi (TI), perangkat lunak, virtual 12 komputasi Platform ( cloud dan komputasi virtual), dan perangkat keras yang terkait (misalnya, kunci, lemari, keyboard). 2.5 Pengertian Database (Bourgeois, 2014), mengemukakan bahwa database adalah sebuah koleksi terorganisir dari informasi terkait dimana semua data dijelaskan dan dikaitkan dengan data lain yang dibuat untuk mengelola informasi terkait. (Wunder, Halbardier, & Waltermire, 2011),mengemukakan bahwa database adalah sebuah repositori informasi atau data, yang mungkin menjadi sebuah traditional relational database system. 2.6 Sumber – Sumber Ancaman Aset – Aset Informasi Teknologi (Supardono, 2009), mengemukakan bahwa pada metode OCTAVE sumber-sumber ancaman terhadap aset-aset informasi dalam 4 sumber yakni: 1. Tidakan sengaja oleh manusia (Deliberate Action by People) baik dari dalam (inside) maupun dari luar (outside). 2. Tindakan tidak sengaja oleh manusia (Accidental Action by people) baik dari dalam (inside) maupun dari luar (outside). 3. Sistem yang bermasalah (systems ploblem) meliputi hardware dan software yang cacat, kode berbahaya (virus worm, trojan, back door). 4. Masalah-masalah lain (other problems) seperti padamnya arus listrik, ancaman bencana alam, ancaman lingkungan, gangguan telekomunikasi. 13 (Momani, 2010), mengemukakan ancaman – ancaman yang dapat terhadap aset – aset informasi disebabkan opleh 3 aspek yang antara lain sebagai berikut: 1. Teknologi: Menggunakan teknologi seperti internet, telekomunikasi untuk melakukan proses bisnis bisa gagal karena beberapa alasan yang disengaja atau tidak sengaja yang menyebabkan keterlambatan dan gangguan terhadap proses bisnis, kegiatan dan produk. 2. Manusia: kesalahan manusia atau sikap yang dapat merusak reputasi perusahaan dan hubungannya dengan pelanggan, klien dan pemasok. 3. Bencana Alam dan bencana buatan manusia: Bencana Alam (seperti gempa bumi, kebakaran hutan, badai, banjir, badai, tornado, badai salju) dan bencana buatan manusia bencana (seperti kecelakaan industri karena kesalahan manusia atau teknologi atau tindakan terorisme) bisa menyebabkan beberapa kerugian. (Brooks, Benderjak, Juran, & Merryman, 2002), mengemukakan bahwa tipe – tipe ancaman (bencana) digambarkan sebagai berikut: Gambar 2. 3: Tipe Bencana Sumber: Brooks, C., Benderjak, M., Juran, I., & Merryman, J 14 2.7 Pengertian Risiko (Berg, 2010), mengemukakan bahwa risiko adalah sebuah ketidakpastian yang mengelilingi peristiwa masa depan dan hasil, dimana hal ini adalah sebuah ekspresi dari kemungkinan dan dampak dari suatu peristiwa dengan potensi untuk mempengaruhi pencapaian tujuan organisasi. (Kouns & Minoli, 2010),mengemukakan bahwa risiko adalah kerugian yang diharapkan yang mana terdiri dari penjumlaha) dari kemungkinan dan kerugian yang terkait dengan setiap kemungkinan. 2.8 Penjelasan Manajemen Risiko (Talet, Mat-zin, & Houari, 2014), mengemukakan bahwa manajemen risiko adalah proses yang terdiri dari: a. Mengidentifikasi kerentanan dan ancaman terhadap sumber daya informasi yang digunakan oleh suatu organisasi dalam mencapai tujuan bisnis. b. Penilaian risiko dengan menetapkan probabilitas dan dampak produksi, menyusul ancaman dengan memanfaatkan kerentanan. c. Mengidentifikasi mungkin penanggulangan dan memutuskan mana yang dapat diterapkan, untuk mengurangi risiko ke tingkat yang dapat diterima, berdasarkan pada nilai sumber daya informasi bagi organisasi. (Kouns & Minoli, 2010), mengemukakan bahwa manajemen risiko adalah proses yang terdiri dari: a. Risk Identification b. Risk Assessment 15 c. Risk Mitigation Planning d. Risk Mitigation Implementation e. Evaluation of The Mitigation Effectiveness 2.9 Unsur – Unsur Keamanan Informasi (Supardono, 2009), mengemukakan bahwa aspek kebutuhan keamanan informasi harus memuat 3 unsur penting, yakni: 1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan. 2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin pihak yang berwenang (authorized), harus terjaga keakuratan dan keutuhan informasi. 3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait bilamana diperlukan. (Kouns & Minoli, 2010), mengemukakan bahwa kemanan informasi meliputi area Confidentiality, Integrity, dan Availability, dimana Confidentiality melindungi dari akses tidak diberi wewenang, pemberian atau penggunaan dari aset, Integrity melindungi dari manipulasi yang tidak sah, modifikasi dan kehilangan aset, dan Availability melindungi dari halangan, keterbatasan, atau pengurangan manfaat dari aset yang dimiliki. 16 2.10 Cara – Cara Menangani dan Mitigasi Risiko (Berg, 2010), mengemukakan bahwa cara – cara menangani risiko yaitu dengan cara sebagai berikut: a. Menghindari risiko, b. Mengurangi (mitigasi) resiko, c. Mentransfer (berbagi) risiko, dan d. Mempertahankan (menerima) risiko. Dimana cara menangani risiko digambarkan sebagai berikut: Gambar 2. 4: Cara – Cara Penanganan Risiko Sumber: Berg, H (Momani, 2010), mengemukakan bahwa cara melakukan penanganan risiko adalah sebagai berikut: 1. Jika penilaian risiko mengungkapkan bahwa potensi kerugian dari gangguan bisnis, mencoba untuk mentransfer kerugian salah satu kerugian tersebut kepada perusahaan asuransi yang memiliki asuransi risiko umum atau khusus. 17 2. Membuat tempat usaha yang lebih tahan bencana dengan membuat perubahan pada struktur dan penggunaan tempat seperti: a. Mengangkat barang-barang yang rentan dalam subjek bangunan banjir. b. Mengamankan barang di daerah rawan gempa untuk mencegah atau meminimalkan gerakan mereka yang bisa menghancurkan mereka atau menyebabkan kematian atau cedera bagi pekerja dan penghuni. c. Desain dan membangun bangunan sesuai dengan aturan yang berlaku. d. Memakai tindakan perlindungan seperti detektor asap dan pemadam kebakaran untuk mencegah atau mengurangi bahaya kebakaran. e. Mengamankan item yang bisa terbawa oleh angin yang kuat jika mengalami tornado. 3. Proses Perubahan bisnis untuk mengurangi konsekuensi bencana seperti mengurangi atau menghilangkan penggunaan dan penyimpanan bahan berbahaya yang menimbulkan ancaman lingkungan jika dirilis. 4. Siapkan rencana tanggap bencana untuk setiap jenis bencana bisnis mungkin mengharapkan, memiliki rencana mudah diakses. 5. Praktek rencana teratur melalui latihan yang sebenarnya atau meja untuk menguji penerapan dan membuat perubahan sesuai dengan bisnis dan kondisi lingkungan perubahan. 6. Dalam rencana penanggulangan bencana menetapkan tanggung jawab bencana untuk menjawab pertanyaan khas dalam kegiatan tanggap bencana seperti siapa yang melakukan? apa? Kapan? dan bagaimana? 18 Beberapa kegiatan dapat: menutup usaha, menutup proses produksi, mematikan utilitas, mengamankan jendela dan pintu, bergerak persediaan ke lantai dua, mengambil barang-barang berharga dari tempat penyimpanan. 7. Melatih karyawan dalam prosedur keselamatan yang akan membantu mereka menghindari cedera jika terjadi bencana. 2.11 Proses Manajemen dan Pengukuran Risiko (Supardono, 2009), mengemukakan bahwa dengan menggunakan metode OCTAVE terdapat 3 tahap dalam melakukan pengukuran risiko yaitu antara lain: Tahap 1: Membangun Aset Berbasis Ancaman Profil, dimana Output dalam tahap 1 ini meliputi: a. Aset-aset yang penting bagi organisasi b. Kebutuhan keamanan aset-aset penting yang tidak terlepas dari 3 aspek keamanan yaknik kerahasiaan, integritas dan ketersediaaan. c. Praktek-praktek keamanan terkini yang dimiliki organisasi atau upaya organisasi untuk melindungi aset informasi. d. Kelemahan kebijakkan organisasi terkini. Tahap 2: Identifikasi Infrastruktur Vulnerabilities Ini adalah evaluasi informasi infrastruktur jaringan komputer. Komponen operasional kunci dari infrastruktur teknologi informasi (server, PC, laptop dan perangkat jaringan) diidentifikasi kelemahannya baik dari sisi teknologi dan konfigurasi, yang dapat menimbulkan akses keamanan oleh yang tidak berhak menjadi mudah 19 Tahap 3: Mengembangkan Strategi Keamanan dan Perencanaannya, dimana output dari tahapan ini adalah: a. Risiko-risiko terhadap aset-aset penting. b. Mengukur tingkat risiko. c. Strategi proteksi. d. Rencana-rencana pengurangan/mitigasi risiko. (Berg, 2010), mengemukakan bahwa tahap – tahap manajemen risiko adalah sebagai berikut: 1. Menetapkan tujuan dan konteks (yaitu lingkungan risiko), 2. Mengidentifikasi risiko, 3. Menganalisis risiko yang teridentifikasi, 4. Menilai atau mengevaluasi risiko, 5. Menangani atau mengelola risiko, 6. Pemantauan dan meninjau risiko dan lingkungan risiko secara teratur, dan 7. Terus berkomunikasi, konsultasi dengan pemangku kepentingan dan pelaporan. 20 Dimana tahap pengelolaan risiko digambarkan sebagai berikut: Gambar 2. 5: Tahap – Tahap Pengelolaan Risiko Sumber: Berg, H Yang mana hasil dari proses manajemen risiko tersebut menghasilkan tingkat risiko yang mengacu pada matrix sebagai berikut: Gambar 2. 6: Matriks Risiko Sumber: Berg, H 21 2.12 Penjelasan Business Impact Analysis (BIA) (Svata, 2013), mengemukakan bahwa Business Impact Analysis (BIA) adalah dasar dari menejemen risiko dan manajemen kontinuituas dimana secara menganalisis dan mengindentifikasi secara keseluruhan sumber daya kritis dan kerangka waktu yang harus dikembalikan ketika gangguan terjadi yang mana hal ini memungkinkan pertimbangan strategi relistis terhadap strategi pemulihan bisnis, dimana pendekatan dalam melakukan Business Impact Analysis (BIA) untuk dapat menganilisi risiko mana yang diterima dan tidak diterima menggunakan dua parameter yaitu: a. Risk Appetite adalah jumlah risiko secara kelesuruhan pada perusahaan atau badan lain yang dapat atau bisa diterima dalam mencapai tujuan perusahaan. b. Risk Tolerance adalah sebuah variasi relatif yang dapat diterima dalam mencapai tujuan yang diukur dalam satuan yang sama yang digunakan untuk mengukur tujuan terkait. Output utama Business Impact Analysis (BIA) adalah persayaratan pemulihan untuk setiap fungsi / proses kritis. Dimana persyaratan pemulihan terdiri dari informasi terkait: a. Kebutuhan bisnis untung pemulihan fungsi penting. b. Persyaratan teknis untuk pemulihan fungsi kritis. Dimana persyaratan pemulihan tersebut diungkapkan dengan bantuan dua nilai: 1. Recovery Point Objective (RPO) adalah jumlah waktu yang dapat diterima dalam memulihkan data. 22 2. Recovery Time Objective (RTO) adalah jumlah waktu yang dapat diterima dalam mengembalikan fungsi. (Solehudin, 2005), mengemukakan bahwa Business Impact Analysis (BIA) adalah Proses yang dilakukan sebelum membuat Disaster Recovery Plan dimana Business Impact Analysis (BIA) digunakan untuk membantu unit bisnis memahami dampak dari bencana yang mana Tahap dari Business Impact Analysis (BIA) meliputi pelaksanaan analisa risiko dan menentukan dampak terhadap perusahaan jika potential loss yang teridentifikasi dari hasi analisa risiko sungguh-sungguh terjadi. Dimana tujuan utama dari Business Impact Analysis (BIA) adalah untuk membuat sebuah dokumen yang akan digunakan untuk membantu memahami dampak yang terjadi dari bencana terhadap proses bisnis suatu perusahaan dimana dampak yang ada bisa secara finansial (kuantitatif) atau operasional (kualitatif, seperti ketidak mampuan untuk merespon komplain dari pelanggan). Selain itu Business Impact Analysis (BIA) memiliki 3 tujuan utama antara lain: 1. Prioritas kritis. Dimana setiap proses unit bisnis yang kritis harus diidentifikasi, dibuat prioritasnya, dan dampak dari kejadian bencana harus dievaluasi. Lebih jelasnya, proses bisnis yang tidak terikat waktu akan diterapkan memiliki tingkat prioritas yang lebih rendah untuk dipulihkan dari pada proses bisnis yang terikat dengan waktu. 23 2. Perkiraan Downtime. Perkiraan Business Impact Analysis (BIA) digunakan untuk membantu memperkirakan Maximum Tolerable Downtime (MTD) atau maksimal lamanya waktu downtime yang dapat ditolerir dan dipraktekan oleh perusahaan. 3. Kebutuhan Sumberdaya. Kebutuhan sumber daya untuk proses yang vital juga bisa diidenfikisai pada Business Impact Analysis (BIA), proses yang sangat tergantung pada waktu akan lebih diutamakan untuk mendapatkan alokasi sumber daya. (St-Germain, Aliu, Dewez, & Dewez, 2012), mengemukakan bahwa Business Impact Analysis (BIA) adalah sebuah kegiatan yang memungkinkan organisasi untuk mengidentifikasi proses penting yang mendukung produk dan layanan utamanya, dimana adanya saling ketergantungan antara proses dan sumber daya yang diberikan yang diperlukan untuk mengoperasikan proses pada tingkat minimal yang dapat diterima. 24 2.13 Hal – Hal Yang Harus Dilakukan Dalam Business Impact Analysis (BIA) (Solehudin, 2005), mengemukakan bahwa hal – hal yang harus dilakukan dalam Business Impact Analysis (BIA) antara lain: 1. Mengumpulkan materi-materi assessment yang dibutuhkan Tahap awal dari Business Impact Analysis (BIA) adalah mengidentifikasi unit bisnis mana yang paling penting (kritikal) untuk tetap dijalankan pada tingkat operasi yang diperkenankan. Hal-hal yang perlu ditanyakan dalam BIA ini adalah meliputi: a. Informasi sumber daya yang penting bagi organisasi b. Proses bisnis yang kalau tidak berjalan akan memberikan dampak negatif yang fatal bagi perusahaan. Dimana setiap proses perlu diperhatikan criticality-nya, dengan indikasi antara lain: a. Proses yang berkaitan dengan nyawa seseorang b. Proses yang akan menyebabkan kerugian finansial yang luar biasa c. Proses yang harus mematuhi aturan yang berlaku, misalnya: sektor keuangan, atau Air Traffic Control. Setelah bahan-bahan terkumpulkan dan fungsi-fungsi operasai bisnis teridentifikasi, proses Business Impact Analysis (BIA) akan mencoba hubungan antar fungsi bisnis ini terhadap beberapa faktor seperti kesuksesan bisnis, skala prioritas antar unit bisnis, dan prosedure proses alternatif yang dapat digunakan. 25 2. Melakukan analisa risiko Fungsi dari analisa ini adalah untuk melakukan analisa terhadap dampak bencana dimana akan ada 2 bagian analisa yaitu secara finansial (kuantitatif) dan operasional (kualitatif). Secara kuantitatif akan meliputi: a. Kerugian secara finansial terhadap pendapatan, pengeluaran modal, atau tanggung jawab personal. b. Pengeluaran operasional tambahan dalam perbaikan dampak dari bencana. c. Kerugian finansial berkaita dengan persetujuan kontrak kerja. d. Kerugian finansial karena adanya tuntutan dari pihak lain e. Secara kualitatif analisa risiko meliputi: f. Kehilangan keunggulan kompetitif atau market share. g. Kehilangan kepercayaan public atau kredibilitas Selama melakukan analisa risiko, area-area pendukung yang utama harus bisa ditetapkan dalam rangka menilai dampak dari kejadian bencana. Area pendukung utama adalah unit atau fungsi bisnis yang harus ada untuk mempertahankan keberlanjutan proses bisnis, menjaga keselamatan jiwa, atau menghindari hubungan ke masyarakat yang memalukan. Area pendukung utama dapat berupa hal-hal berikut: a. Telekomunikasi, komunikasi data, atau area tehnologi informasi. b. Infrastruktur fisik atau fasilitas pabrik, layanan transportasi. c. Akunting, neraca pembayaran, proses transaksi, layanan pelanggan 26 Adapun klasifkasi dari analisa risiko adalah meliputi: 1. Critical Fungsi-fungsi ini tidak bisa bekerja kecuali digantikan oleh fungsi yang serupa. Tidak bisa digantikan dengan metode manual. 2. Vital Bisa dilakukan secara manual pada rentang waktu yang pendek sekali. Sebaiknya direstore dalam waktu tidak lebih dari 5 hari. 3. Sensitive Bisa dilakukan secara manual dalam waktu yang relatif lama, namun meskipun dilakukan secara manual pasti tetap sulit untuk melakukannya dan membutuhkan keterlibatan staf yang lebih banyak. 4. Noncritical Bisa diinterupsi sampai waktu yang lama, dengan sedikit beban atau tidak ada beban biaya bagi perusahaan. 3. Menganalisa informasi yang didapatkan Aktifitas yang dilakukan adalah mendokumentasikan proses yang dibutuhkan, identifikasi hubungan atau ketergantungan antar unit bisnis, dan menentukan lamanya waktu penundaan proses bisnis yang dapat diterima. Tujuan dari analisa informasi ini adalah untuk menggambarkan secara jelas mengenai dukungan apa yang dibutuhkan oleh fungsi-fungsi bisnis utama. Komponen analisa akan disusun berdasarkan unit-unit bisnis yang ada pada perusahaan. 27 4. Mendokumentasikan hasil dan mempresentasikan rekomendasi Tahap akhir Business Impact Analysis (BIA) adalah membuat sebuah dokumentasi lengkap dari semua proses, prosedur, analisa dan hasil serta presentasi rekomendasi kepada senior manajemen yang sesuai. Laporan akan berisikan bahan-bahan yang telah dikumpulkan, daftar dukungan kristis yang teridentifikasi, ringkasan analisa dampak kuantitatif dan kualitatif, dan memberikan rekomendasi prioritas pemulihan berdasarkan proses analisa tersebut. (Brooks, Benderjak, Juran, & Merryman, 2002), mengemukakan bahwa tahap – tahap yang harus dilakukan dalam melakukan Business Impact Analysis digambarkan sebagai berikut: Gambar 2. 7: Hal – Hal Yang Perlu Dilakukan Dalam Business Impact Analysis Sumber: Brooks, C., Benderjak, M., Juran, I., & Merryman, J Dimana penjelasan dari tahap – tahap berikut adalah: 1. Indentify Critical IT Resources, dimana pada proses ini terdapat kegiatan melakukan identifikasi hal – hal yang kritis dari bisnis proses dan sumber daya TI yang ada dimana proses identifikasi ini diperoleh dari pengguna, bisnis proses, aplikasi dan hal – hal lain yang berhubungan dengan kegiatan yang kita identifikasi. 28 2. Indentify Outage Impacts and Allowable Outage Times, dimana pada hal yang dianalisis dalam kegiatan ini yaitu membuat hal – hal sebagai berikut: a. Recovery Point Objective (RPO) dimana hal ini mendefinisikan jumlah data yang dapat dibuat selama pemulihan, dengan menentukan titik paling terbaru pada saat melakukan pemulihan data. b. Recovery Time Objective (RTO) dimana hal ini mendefinisikan jumlah waktu yang dibutuhkan untuk pulih dari bencana atau berapa lama bisnis dapat bertahan hidup tanpa sistem. c. Network Recovery Objective (NRO) dimana hal ini mendefinisikan rincian waktu untuk memulihkan atau operasi jaringan. Dimana pemulihan sistem tidak sepenuhnya lengkap dimana pelanggan tidak dapat mengakses layanan aplikasi melalui koneksi jaringan. 3. Develop Recovery Priorities, dimana pada hal ini yang dilakukan adalah mendefinisikan tingkat prioritas dari sumber daya kritis yang ada. 2.14 Penjelasan Business Continuity Plan (BCP) (Momani, 2010), mengemukakan bahwa Business Continuity Plan (BCP) adalah sebuah rencana untuk mempersiapkan diri untuk mencegah, menghindari, meminimalkan, dan mengurangi kerugian dari bencana alam dan bencana buatan mansuia yang dapat mengakibatkan kerugian bisnis. Dimana bisnis yang berbeda memiliki rencana yang berbeda untuk memenuhi kebutuhan perusahaan untuk itu perlu membangun Business Continuity Plan (BCP) yang efektif, yang mana rencana ini harus mempertimbangkan 11 poin berikut antara lain: 29 1. Persyaratan hukum 2. Kebijakan BCP 3. Business Risk Analysis 4. Tujuan dan target 5. Business Continuity Plan (BCP) 6. Struktur dan tanggung jawab 7. Sumber daya BCP 8. Pelatihan dan kesadaran 9. Dokumentasi BCP 10. Pengujian BCP 11. Ulasan manajemen (Svata, 2013), mengemukakan bahwa Business Continuity Plan (BCP) adalah kelompok proses dan intruksi perusahaan yang luas untuk meastikan proses bisnis pada saat gangguan terjadi. Dimana Business Continuity Plan (BCP) menyediakan rencana perusahaan untuk dapat pulih dari gangguan kecil (misalnya, gangguan lokal dari komponen bisnis) dan juga gangguan besar (misalnya, kebakaran, bencana alam, gagguan listrik yang sangat lama, kegagalan peralatan dan / atau telekomunikasi). (St-Germain, Aliu, Dewez, & Dewez, 2012), mengemukakan bahwa Business Continuity Plan (BCP) bagian dari Business Continuity Management (BCM) dimana Business Continuity Management (BCM) adalah proses manajemen holistik yang mengidentifikasi potensi ancaman pada perusahaan dan dampak untuk operasi bisnis ancaman tersebut yang menyediakan kerangka kerja untuk membangun ketahanan organisasi dengan kemampuan untuk melakukan 30 respon yang efektif dalam melindungi kepentingan stakeholder kunci, reputasi, brand, dan kegiatan penciptaan nilai. Diamana framework yang digunakan dalam melakukan Business Continuity Management (BCM) yaitu menggunakan ISO 22301, dimana ISO 22301 menetapkan persyaratan untuk merencanakan, menetapkan, menerapkan, mengoperasikan, memantau, review, mempertahankan dan terus meningkatkan sistem manajemen yang terdokumentasi untuk mempersiapkan, menanggapi dan pulih dari peristiwa mengganggu ketika mereka muncul. Dimana key of clause dari ISO 22301:2012 teridiri dari sebagai berikut: 1. Clause 4: Context of the organization Dimana pada clause ini perusahaan diharapkan menentukan masalah eksternal dan internal yang relevan dengan tujuan dan yang mempengaruhi kemampuannya untuk mencapai hasil yang diharapkan dari Business Continuity Management System (BCMS) seperti: a. Kegiatan organisasi, fungsi, layanan, produk, kemitraan, rantai pasokan, hubungan dengan pihak yang berkepentingan, dan dampak potensial terkait dengan insiden yang mengganggu, b. Hubungan antara kebijakan kelangsungan bisnis dan tujuan organisasi dan kebijakan lainnya, termasuk strategi manajemen risiko secara keseluruhan, c. Risk appetite organisasi, d. Kebutuhan dan harapan dari pihak berkepentingan yang relevan, 31 e. Hukum, peraturan dan persyaratan lainnya yang berlaku untuk diikuti organisasi. 2. Clause 5: Leadership Top management perlu menunjukkan komitmen terus menerus untuk Business Continuity Management System (BCMS). Melalui kepemimpinan dan tindakan, manajemen dapat menciptakan suatu lingkungan di mana aktor yang berbeda sepenuhnya terlibat dan di mana sistem manajemen dapat beroperasi secara efektif dalam sinergi dengan tujuan organisasi. Mereka bertanggung jawab untuk: a. Memastikan Business Continuity Management System (BCMS) kompatibel dengan arah strategis organisasi, b. Mengintegrasikan persyaratan Business Continuity Management System (BCMS) ke dalam proses bisnis organisasi; c. Menyediakan sumber daya yang diperlukan untuk Business Continuity Management System (BCMS), d. Mengkomunikasikan pentingnya manajemen kelangsungan bisnis yang efektif, e. Memastikan bahwa Business Continuity Management System (BCMS) mencapai hasil yang diharapkan, f. Mengarahkan dan mendukung perbaikan terus-menerus, g. Menetapkan dan mengkomunikasikan kebijakan kelangsungan bisnis, h. Memastikan tujuan dan rencana Business Continuity Management System (BCMS) yang ditetapkan, 32 i. Memastikan tanggung jawab dan kewenangan untuk peran yang ditugaskan. 3. Clause 6: Planning Klausa ini adalah tahap kritis yang berkaitan dengan menetapkan sasaran strategis dan prinsip-prinsip panduan untuk Business Continuity Management System (BCMS) secara keseluruhan. Tujuan dari Business Continuity Management System (BCMS) adalah ekspresi dari maksud organisasi untuk mengobati risiko dan/atau untuk memenuhi persyaratan kebutuhan organisasi. Tujuanya harus: a. Konsisten dengan kebijakan kelangsungan bisnis, b. Memperhitungkan tingkat minimum produk dan layanan yang dapat diterima oleh organisasi untuk mencapai tujuannya, c. Dapat diukur, d. Memperhitungkan persyaratan yang berlaku, e. Dipantau dan diperbarui sesuai dengan perkembangan yang ada. 4. Clause 7: Support Pengelolaan Business Continuity Management System (BCMS) yang efektif bergantung pada menggunakan sumber daya yang tepat untuk setiap tugas termasuk staf yang kompeten dengan pelatihan yang relevan dan layanan pendukung, kesadaran dan komunikasi. Ini harus didukung oleh informasi yang dikelola dan didokumentasikan dengan baik. Kedua komunikasi internal dan eksternal organisasi harus diperhatikan di daerah ini, termasuk format, isi dan 33 waktu yang tepat dari komunikasi tersebut. Persyaratan pada penciptaan, update dan kontrol informasi selain didokumentasikan juga ditentukan dalam klausul ini. 5. Clause 8: Operation Setelah merencanakan Business Continuity Management System (BCMS), sebuah organisasi harus meletakkannya pada operation yang mana klausa ini meliputi: a. Business Impact Analysis (BIA) b. Risk Assessment c. Business Continuity Strategy d. Business Continuity Procedures e. Exercise and Testing 6. Clause 9: Performance Evaluation Setelah Business Continuity Management System (BCMS) diimplementasikan, ISO 22301 membutuhkan pemantauan permanen dari sistem serta ulasan periodik untuk meningkatkan operasinya dimana hal – hal yang perlu dilakukan antara lain: a. Pemantauan sejauh mana kebijakan kelangsungan bisnis organisasi, tujuan dan sasaran terpenuhi, b. Mengukur kinerja proses, prosedur dan fungsi yang melindungi kegiatan yang diprioritaskan, c. Memantau kepatuhan dengan standar ini dan tujuan kelangsungan usaha, 34 d. Pemantauan bukti sejarah kinerja kekurangan Business Continuity Management System (BCMS) dan melakukan audit internal pada selang waktu yang terencana, dan e. Mengevaluasi semua dengan tinjauan manajemen pada interval yang direncanakan. 7. Clause 10: Improvement Continual improvement dapat didefinisikan sebagai semua tindakan yang diambil di seluruh organisasi untuk meningkatkan efektivitas (mencapai tujuan) dan efisiensi (biaya optimal / rasio manfaat), proses keamanan dan kontrol untuk membawa peningkatan manfaat bagi organisasi dan para pemangku kepentingan. Sebuah organisasi dapat terus meningkatkan efektivitas sistem manajemen melalui penggunaan kebijakan kelangsungan bisnis, tujuan, hasil audit, analisis kejadian yang dipantau, indikator, tindakan korektif dan pencegahan dan tinjauan manajemen. 2.15 Hal – Hal Yang Perlu Dilakukan Dalam Business Continuity Plan (BCP) (Momani, 2010), mengemukakan bahwa terdapat 10 elemen yang penting dilakukan terkait dengan Business Continuity Plan (BCP) antara lain: 1. Inisiasi dan pengelolaan program 2. Evaluasi dan pengendalian risiko 3. Businesss Impact Analysis (BIA) 4. Strategi keberlangsungan bisnis 35 5. Emergency response and operations 6. Business Continuity Plan (BCP) 7. Pelatihan dan kesadaran 8. Pelatihan, audit, dan pemeliharaan Business Continuity Plan (BCP) 9. Komunikasi 10. Koordinasi dengan agen eksternal (St-Germain, Aliu, Dewez, & Dewez, 2012), mengemukakan bahwa hal – hal yang harus dilakukan dalam dengan Business Continuity Plan (BCP) dengan menggunakan standar ISO 22301 adalah sebagai berikut: Gambar 2. 8: Hal – Hal Yang Harus Dilakukan Dalam Business Continuity Plan (BCP) dengan menggunakan standar ISO 22301 Sumber: St-Germain, R., Aliu, F., Dewez, & Dewez, P 36 (Humadia, 2010), mengemukakan bahwa hal – hal yang dilakukan dalam merancang sebuh Business Continuity Plan (BCP) digambarkan sebagai berikut: Gambar 2. 9: Hal - Hal Yang Harus Dilakukan Dalam Business Continuity Plan Sumber: Humadia 2.16 Penjelasan Disaster Recovery Plan (DRP) (Laudon & Laudon, 2012), mengemukakan bahwa Disaster Recovery Plan (DRP) adalah sebuah rencana untuk memulihkan pelayanan komputasi dan telekomunikasi setelah terjadi gangguan, dimana Disaster Recovery Plan (DRP) fokus pada masalah teknis terkait dengan menjaga sistem untuk tetap berjalan seperti backup file dan pemeliharaan sistem backup pada komputer atau pelayanan disaster recovery. (Solehudin, 2005), mengemukakan bahwa Disaster Recovery Plan (DRP) adalah prosedur yang dijalankan saat BCP berlangsung (in action) berupa langkah-langkah untuk penyelamatan dan pemulihan (recovery) khususnya 37 terhadap fasilitas IT dan sistem informasi, dimana Disaster Recovery Plan (DRP) merupakan pengaturan yang komprehensive berisikan tindakan-tindakan konsisten yang harus dilakukan sebelum, selama, dan setelah adanya kejadian (bencana) yang mengakibatkan hilangnya sumber daya sistem informasi secara bermakna. Disaster Recovery Plan (DRP) berisikan prosedur untuk merespon kejadian emergensi, menyediakan operasi backup cadangan selama sistem terhenti, dan mengelola proses pemulihan serta penyelamatan sehingga mampu meminimalisir kerugian yang dialami oleh organisasi. Tujuan utama dari Disaster Recovery Plan adalah untuk menyediakan kemampuan atau sumber daya untuk menjalankan proses vital pada lokasi cadangan sementara waktu dan mengembalikan fungsi lokasi utama menjadi normal dalam batasan waktu tetentu, dengan menjalankan prosedur pemulihan cepat, untuk meminimalisir kerugian organisasi. (Prazeres & Lopes, 2013), mengemukakan bawha kritikal poin yang harus diperhatikan pada disaster recovery adalah sebagai berikut: 1. Perlu untuk mengkonsolidasikan penyimpanan data, 2. Indetifikasi aplikasi yang dianggap kritis dan membutuhkan keberlangsungan bisnis terus menerus, 3. Indetifikasi kemungkinan lokasi dan studi kelayakan dari lokasi tersebut, 4. Indetifikasi seluruh stakeholder dari proyek, 5. Pembentukan pencapaian proyek, yang dikondisikan oleh keputusan untuk memperoleh materi yang lebih tinggi dan tawaran yang sama, 6. Indetifikasi teknologi yang dimaksudkan dan diperlukan, 38 7. Identifikasi infrastruktur yang dibutuhkan untuk instalasi data center baru dari rak, serta kebutuhan jaringan infrastruktur yang diperlukan untuk komunikasi dan replikasi data antar lokasi. Dimana infrastruktur yang telah terintegrasi dengan disaster recovery plan digambarkan sebagai berikut: Gambar 2. 10: Main Site dan Recovery Site Sumber: Prazeres, A., & Lopes, E 2.17 Hal – Hal Yang Perlu Dilakukan Dalam Disaster Recovery Plan (DRP) (Solehudin, 2005), mengemukakan bahwa hal – hal yang perlu dilakukan dalam Disaster Reovery Plan (DRP) antara lain : 1. Pemilihan strategi Disaster Reovery Plan (DRP) Pemilihan strategi Disaster Reovery Plan (DRP) meliputi dua hal yaitu: penentuan cara atau strategi untuk melakukan pemulihan fasilitas tehnologi 39 informasi dan aktifitas bisnis apa saja yang harus dilakukan selama fasilitas tehnologi informasi sedang dipulihkan. Perencanaan Keberlangsungan Pemrosesan Data adalah menentukan proses backup atau alternatif pemrosesan data saat terjadinya bencana yang menginterupsi aplikasi bisnis yang berjalan. Berikut adalah strategi yang dapat dipilh dalam menentukan alternatif data prosessing saat terjadi bencana: 1. Melakukan duplikasi terhadap fasilitas proses informasi, dimana terdapat komputer lain atau cadangan di lokasi tertentu yang memiliki fungsi yang sama dan selalu diupdate sesuai dengan transaksi yang berjalan. 2. Hot sites: Sepenuhnya dijalankan oleh fasilitas operasi dan data alternatif yang dilengkapi dengan perangkat keras dan perangkat lunak yang memadai selama dampak bencana masih berlangsung. Cara ini penting untuk aplikasi yang kritikal, namun biayanya sangat mahal. 3. Warm site: Fasiltas alternatif yang memiliki sarana yang lebih sedikit. Misalnya ada listrik, jaringan, telepon, meja-meja, printer, tetapi tanpa komputer yang mahal. Kadang-kadang ada komputer, tetapi less processing power. 4. Cold site: Fasilitas yang memiliki prasarana penunjang untuk operasi komputer, misalnya ruangan yang memiliki listrik dan AC. Tapi belum ada komputernya, namun siap dipasangi komputer. 5. Perjanjian dengan perusahaan lain (mutual aid agreement), yaitu bekerja sama dengan perusahaan lain yang memiliki kebutuhan sistem komputer yang sama seperti pada konfigurasi hardware atau software, atau kesamaan jaringan komunikasi data atau akses Internet. Dalam kerja sama 40 ini, ke dua perusahaan setuju untuk saling mendukung bila terjadi bencana 6. Multiple Center: Proses sistem dan data tersebar di masing-masing unit organisasi. Strategi ini hampir sama dengan mutual aid agreement, namum dilaksanakan secara internal dalam satu organisasi atau perusahaan, dan memerlukan regulasi atau standar internal yang disepakati dan dipatuhi bersama. 7. Out source: Organisasi melakukan kontrak dengan pihak ke tiga untuk memberikan alternatif layanan proses backup. Selain itu perusahaan juga perlu menentukan strategi dalam memulihkan telekomunikasi seperti, melalui: a. Network redundancy, memiliki kapasitas yang lebih atau ekstra gate gateway. b. Alternative routing, menggunakan media komunikasi alternatif, mis. kalau sebelumnya antar cabang menggunakan VSAT, maka dicoba alternatif menggunakan POST (plain old telephone system), juga jaringan fiber optik yang memiliki 2 jalur routing. c. Diverse routing, menggunakan kabel duplikat, dan menjamin bahwa kabel-kabel tersebut memiliki jalur/path yang berbeda. Kalau kabelkabel tersebut berada pada jalur yang sama persis, maka akan kena jenis ancaman yang sama. d. Long haul network diversity, sebuah recovery facility (off site alternate facility). Banyak yang memiliki banyak jalur keluar ke beberapa 41 penyelenggara jasa telekomunikasi. Hal ini untk menjamin tersedianya jasa telekomunikasi kalau yang satu crash. e. Protection of local loop (last mile circuit), menggunakan banyak metode akses komunikasi keluar, kalau ada bencana di off site facility. f. Voice recovery, pemulihan sarana telekomunikasi terutama untuk melakukan hubungan komunikasi suara, lewat telepon. 2. Integrasi strategi dengan backup dan recovery Pengendalian backup dan recovery diperlukan untuk berjaga-jaga bila file atau data base mengelami kerusakan atau kehilangan data. Backup adalah salinan dari file atau database di tempat yang terpisah dan recovery adalah file atau database yang telah dibetulkan dari kesalahan atau kerusakan. Karena file atau database dapat mengalami kerusakan atau kehilangan data, maka sangat perlu untuk membuat backup yang berfungsi sebagai cadangan bila yang asli mengalami kerusakan. File tersebut dapat disimpan di luar gedung utama, sebuah lokasi yang jauh dari pusat data perusahaan, yang kadang merupakan gudang penyimpanan di lokasi yang jauh. Dimana strategi backup dan recovery antara lain sebagai berikut: a. Strategi file bertingkat (kakek-bapak-anak), Strategi ini biasanya digunakan untuk file yang berada di media simpanan luar pita magnetik. Strategi ini dilakukan dengan menyimpan tiga generasi file induk bersama-sama dengan file transaksinya. Dimana strategi ini pemutakhirannya dilakukan setiap 1 minggu. Selama periode 3 minggu, maka akan didapatkan 3 buah file induk yang disimpan di tempat yang berbeda. Selama periode tersebut akan didapat file-file sebagai berikut: 42 a. File induk kakek (grand father) dan file transaksi 2 minggu yang lalu b. File induk bapak (father) dan file transaksi 1 minggu yang lalu c. File induk anak (son) dan file transaksi minggu ini Ketiga file induk dan transaksi tersebut akan disimpan secara terpisah. Bila terjadi kerusakan atau kehilangan data didalam file, maka akan dapat dibetulkan kembali. Misalnya kasus-kasus sebagai berikut: a. File induk anak mengalami kerusakan atau hilang, maka dapat dibetulkan dari file induk bapak yang diupdate ulang dengan file transaksi minggu kemarin. b. File induk anak dan file induk bapak, kedua-duanya mengalami kehilangan atau kerusakan, maka dapat dibetulkan dari file induk kakek yang diupdate ulang dari file transaksi 2 minggu lalu dan file transaksi minggu kemarin. b. Strategi pencatatan ganda, Strategi ini dilakukan dengan menyimpan dua buah salinan data base yang lengkap secara terpisah. Bila terjadi transaksi, keduanya diupdate secara bersamaan. Untuk mengatasi kegagalan dari perangkat keras, sebuah processor ke dua dapat dipergunakan. Processor ke dua ini akan menggantikan fungsi dari processor utama bila mengalami kerusakan. Kalau hal ini terjadi, yaitu prosessor utama tidak berfungsi, secara otomatis program akan merubah dari prosessor utama ke processor ke dua, dan data base ke dua menjadi data base utama. Dual recording sangat tepat untu aplikasi-aplikasi yag data base-nya tidak boleh terganggu dan harus selalu siap. Akan tetapi, sebagai pertimbangannya, strategi ini mahal, karena menggunakan dua buah processor dan dua buah data base. 43 c. strategi dumping Strategi dilakukan dengan menyalinkan semua atau sebagian dari data base ke media backup yang lain, dapat berupa pita magnetik atau disket (CD/DVD). Recovery pada strategi ini dapat dilakukan dengan merekam kembali (restore) hasil dari dumping kembali ke database di simpanan luar utama dan melakukan proses transaksi yang terakhir yang sudah mempengaruhi database sejak proses dumping trakhir. Misalnya dumping untuk membackup data base dilakukan seminggu sekali, yaitu pada hari sabtu. Pada hari Kamis berikutnya, diketahui bahwa data base mengalami kerusakan. Untuk membetulkannya dapat dilakukan dengan cara berikut ini; d. Backup database terakhir, yaitu pada hari Sabtu kemarin direkamkan kembali ke simpanan luar utama. e. Akan tetapi database hasil perekaman dari backup masih belum lengkap, karena sudah terjadi proses transaksi sejak hari Sabtu sampai dengan hari Kamis (saat terjadi kerusakan), sehingga transaksi-transaksi ini harus diupdatekan kembali ke database. 3. Pemilihan lokasi pemulihan dari bencana Dalam pemilihan lokasi alternatif untuk memulihkan bisnis dari bencana, maka perlu dipertimbangkan hal-hal berikut: a. Jarak dari Fasilitas Utama; pilihlah lokasi yang tidak terlalu dekat dan juga terlalu jauh dari gedung utama yaitu sekitar 30 kilo meter. b. Potensi Risiko dari Bencana: apakah lokasi tersebut juga memiliki risiko terkena bencana, carilah tempat yang minim terkena ancaman atau dampak bencana. 44 c. Ketersediaan staff setempat: apakah ada staff setempat yang bisa mengoperasikan proses bisnis utama. d. Ketersediaan dan kualitas tenaga listrik/baterai; apakah tenaga listrik atau baterai tersedia, dan apakah mencukupi untuk waktu lebih dari 27 jam. e. Nearby Fiber Routes: untuk kepentingan jaringan komunikasi data, alangkah lebih baik kalau tidak jauh dari jarul kabel fiber, dan kalau memungkinkan kita bisa minta ijin atau mendaftar menggunakan jalur kabel tersebut. f. Specific IT Criteria; Teknologi informasi dapat berfungsi pada lokasi tersebut, batasan jarak harus menjadi perhatian perlengkapan jaringan. g. Tax Incentive; Lokasi tertentu atau di luar perkotaan mungkin akan jauh lebih murah biayanya. 4. Pemeliharaan Rencana Pemulihan Data Pemeliharaan perlu direncanakan sebelumnya supaya Disaster Reovery Plan (DRP) selalu update dan berguna. Sangatlah penting untuk membuat prosedure pemeliharaaan Disaster Reovery Plan (DRP) dalam sebuah organisasi dengan menggunakan job description yang mensetralisasi tanggung jawab pengupdate-an. Mungkin juga diperlukan prosedur audit yang melaporkan secara periodik mengenai status dari perencanaan. Juga penting adalah jangan sampai berbagai versi rencana masih ada, in akan menimbulkan kebingungan dan bisa memperparah kondisi emergensi. Jangan lupa untuk selalu menganti versi yang lama dengan yang baru dan menuliskan teks versi pada tiap perencaaan. 45 5. Pengujian Disaster Reovery Plan (DRP) Pengujian Disaster Reovery Plan (DRP) sangatlah penting, Disaster Reovery Plan (DRP) memiliki banyak elemen yang berupa teori sampai mereka benar-benar diuji dan disahkan. Pengujian rencana harus dilaksanakan sesuai dengan urutannya, mengikuti standar yang ditetapkan, dan disimulasikan pada keadaan sebenarnya. Ada lima bentuk pengujian disaster recovery plan yaitu: 1. Check List test. Ini adalah preliminary step dari pengujian dimana setiap unit manajemen akan mereview apakah perencanaan sesuai dengan prosedur dan critical area dari organisasi. 2. Structured walk-through test. Tes dilakukan melalui pertemuan antar perwakilan dari tiap unit manajemen untuk membahas seluruh isi dari perencanaan. Tujuannya adalah untuk memastikan bahwa perencanaan secara akurat merefleksikan kemampuan organisasi dalam memulihkan diri dari bencana secara sukses, setidaknya on paper. 3. Simulation test. Selama pengujian dengan melakukan simulasi, semua orang dibagian operasional dan support harus memandang bahwa keadaan emergensi terjadi seperi sebenarnya agar sesuai dengan kenyataannya nanti. Simulasi tes ini bertujuan untuk melihat kesiapan personnel bila ada kejadian bencana. 4. Paralel test. Simulasi dilakukan pada semua rencana pemulihan dimana Parallel berarti proses pengujian berjalan secara paralel dengan proses sebenarnya. Tujuanya adalah memastika supaya sistem yang utama (critical) dapat tetap berjalan pada lokasi alternatif backup. 46 5. Full-interuption test. Ini adalah tes yang sangat berisiko karena kejadian bencana (dampak) benar-benar diterapkan. Namun ini adalah cara terbaik untuk menguji Disaster Reovery Plan (DRP), apakah dapat berjalan atau tidak. (Brooks, Benderjak, Juran, & Merryman, 2002), mengemukakan bahwa hal – hal yang dilakukan dalam Disaster Recovery Plan digambarkan sebagai berikut: Gambar 2. 11: Hal – Hal Perlu Dilakukan Dalam Disaster Recovery Plan Sumber: Brooks, C., Benderjak, M., Juran, I., & Merryman, J (Prazeres & Lopes, 2013), mengemukakan bahwa tahap – tahap dalam melakukan disaster recovery plan adalah sebagai berikut: a. Project initiation: memperoleh pemahaman tentang lingkungan TI masa depan yang ada dan direncanakan, menentukan ruang lingkup proyek, mengembangkan jadwal proyek, dan mengidentifikasi risiko proyek. 47 Selain itu, Sponsor dan Komite Pengarah Proyek harus ditetapkan pada tahap ini. b. Risk Assessment: penilaian lokasi geografis, lingkungan komputasi, terinstal perangkat keamanan, komputasi akses pengendalian sistem, praktek personil, praktek operasi, dan praktek cadangan, c. Impact Analysis: mengidentifikasi sistem dan fungsi yang penting untuk keberlangsungan bisnis, dan untuk menentukan lamanya waktu unit dapat bertahan hidup tanpa sistem kritis, d. Determintaion Requirement: Rencana harus dirinci dengan persyaratan pemulihan bisnis dan infrastruktur TI, dan persyaratan yang dihasilkan oleh hasil penilaian risiko, e. Project Planning: definisi proyek yang sedang dijalankan dan untuk mengurangi risiko bencana yang mungkin terjadi, f. Project execution: proyek harus melanjutkan sesuai dengan praktek standar manajemen proyek. Selama menjalankan proyek tersebut rencana pemulihan bencana akan dibangun dan diuji, g. Integration: mengintegrasikan kembali ke keseluruhan proses Business Continuity organisasi. Penting bagi organisasi untuk menyelaraskan DR dan BC, h. Maintenance: pemeliharaan dan pengujian upaya-upaya yang diperlukan untuk menjaga rencana up to date, serta mengurangi risiko masa depan seperti yang ditemui. 48 2.18 Synthesis dan Perbedaan Dari Penelitian Terdahulu Dibawa ini merupakan hasil dari sytnthesis dari penelitian terdahulu yang digunakan sebagai acuan dalam penyusunan penelitian ini: Tabel 2. 1 Sythesis Penelitian Terdahulu Judul Peneliti Disaster Recovery (Prazeres – a project & Lopes, planning case 2013) study in Portugal Metode - - - Business (Momani, 2010) Continuity Planning: Are We Prepared For Future Disasters - - - Perancangan (Humadia , 2010) Business Continuity Plan : Studi Kasus Pada PT.PAM - Hasil Observasi terhadap masalah yang ada Studi pustaka untuk mendukung proses yang dilakukan Menggunakan proses disaster recovery planning untuk penerpan DRP Menggunakan framework Project Management Institute untuk penerapan DRPnya. Penerapan BCP dan DRP pada perusahaan di Portugal dari hasil evaluasi sebuah aplikasi yang menjadi proses kritis pada organiasi dalam menangani kegagalan proses dengan menggunakan Vcloud dan Vshpere. Evaluasi dampak dari terjadinya bencana dan apa yang harus dipersiapkan untuk mengurangi dampak Business Risk Analyst untuk mengukur risiko yang kemungkinan terjadi. Business Continuity Mangement (BCM) Evaluasi dan modernisasi business continuity plan dengan tujuan membuat business continuity plan yang efektif dengan studi kasus bencana alam gempa bumi di Kobe, Jepang. Wawancara Studi Dokumen Business Continuity Plan yang terdiri dari: 1. Risk Assessment 2. Business Impact Perancangan dan rekomendasi business continuity plan sesuai dengan permasalahan yang 49 The value of a (Bjelmrot, business continuity 2007) management plan from a shareholders perspective - Assessment 3. Strategy Plan 4. Review ada pada PT. PAM. Observasi Kuesioner Interview Business continuity management Hubungan antara supply chain management dengan business continuity management dengan mengidentifikasi dampak positif dan negatif yang terhadap shareholder value pada gangguan dari supply chain management terjadi Perbedaan penelitian ini dengan penelitian terdahulu dimana pada penelitian ini menggunakan objek pada Lembaga Negara XYZ yang mana perancangan dan penerapan BCP & DRP menggunakan framework ISO 22301, dimana penyusunan framework tersebut disesuaikan dengan permasalahan dan kondisi pada Lembaga Negara XYZ selain itu penelitian ini juga menggunakan metode risk management, business impact analysis, dan disaster recovery plan untuk merancangan BCP dan DRP dimana seluruh dari proses penelitian ini tertuang pada kerangka pikir penelitian.
