PEMBUATAN PROSEDUR PENANGANAN INSIDEN INFRASTUKTUR JARINGAN DENGAN COBIT 4.1 DAN ITIL V3 PADA BIDANG PENGELOLAAN INFRASTUKTUR TEKNOLOGI INFORMASI DAN KOMUNIKASI DISKOMINFO R. Okky Ganinda Priotomo Abstrak Network Operation Center (NOC) DISKOMINFO JATIM merupakan titik backbone yang relatif sangat sibuk dan mengcover serta melayani jaringan beberapa SKPD yang di PEMPROV JATIM. Manajemen insiden infratuktur jaringan perlu dilakukan untuk mengurangi dan menanggulangi insiden yang mungkin terjadi dalam pelaksanaan proses bisnisnya. Penanganan insiden infrastuktur jaringan dalam tugas akhir ini berdasar pada framework COBIT 4.1 dan ITIL V3 adalah framework yang digunakan dalam proses pengelolaan insiden. Dokumentasi tata laksana pembuatan dokumen prosedur penanganan insiden diperlukan untuk menjadi standar acuan dalam penanganan insiden, mengurangi kesalah pahaman antar pihak yang menangani insiden, dan memiminalkan waktu penanganan insiden. Selain itu dokumen ini memberik kemudahan bagi pihak manajemen untuk mengukur capaian setiap aktifitas dalam program manajemen insiden dengan menggunakan KPI dan pembuatan prosedur. Kata kunci : framework ITIL, Manajemen Insiden, Tata laksana 1. Pendahuluan. Dilihat dari perkembangan teknologi yang sekarang ini sudah semakin meningkat, kebutuhan mengenai segala hal yang berbau efektif, cepat dan efisien tentnya tidak jauh – jauh dari pengaruh perkembangan teknologi. Selain hal tersebut, banyak tentunya aktifitas yang bergantung dengan kemudahan yang ditawarkan oleh teknologi infromasi. Dengan adanya teknologi informasi (TI), banyak hal yang dapat digunakan dalam membantu permasalahan serta banyak insiden yang terjadi. Dengan Proses penanganan insiden atau manajemen insiden semakin besar porsi pengerjaannya dalam lingkungan Diskominfo.. Hal ini dikarenakan pada saat ini sumber daya TI yang dikelola Diskominfo bidang PTIK semakin banyak, dan saat ini hampir semua proses bisnis di pemprov memerlukan TI sebagai pendukung. Pada saat ini hampir seluruh proses bisnis pemprov jatim terkait erat dengan TI sebagai pendukungnya, baik itu aplikasi sistem informasi maupun perangkat keras komputer dan sumber daya network. Sehingga jika terjadi suatu insiden maka proses bisnis dapat menjadi terganggu. suatu organisasi. pengelolaan data tentunya menjadi acuan dalam menjaga kemanan data. 2. Latar Belakang. Pembahasan mengenai jaringan komputer tidak dapat dilepaskan dari perkembangan teknologi komputer dewasa ini Penggunaan jaringan internet pada sebuah organisasi sangat membantu dalam proses pengolahan data yang melibatkan banyak pengguna komputer. Dalam mensukseskan kinerja operasional Dinas Komunikasi Dan Informatika Jawa Timur, tidak terlepaskan dengan peran serta perkembangan Teknologi Informasi (TI) baik sebagai pendukung ataupun sebagai kegiatan inti operasional. Kini semakin pesatnya perkembangan Teknologi Informasi (TI) di dunia manyebabkan semakin banyak pula aspek kehidupan yang bergantung kepadanya. Fungsi-fungsi layanan yang disediakan pun semakin beragam. Oleh karena itu TI kini bukan saja hanya dimiliki, dipakai, dan dimanfaatkan oleh kalangan tertentu, namun lebih meluas kepada banyak industri dan kalangan operator. Kegiatan pelayanan publik tidak dapat terhindar dari adanya gangguan/kerusakan yang disebabkan oleh alam dan manusia. Kerusakan yang terjadi tidak hanya berdampak pada kemampuan teknologi yang digunakan, tetapi juga berdampak pada kegiatan operasional pelayanan publik. Bila tidak ditangani secara khusus, selain akan menghadapi risiko operasional, juga akan mempengaruhi risiko reputasi dan berdampak pada menurunnya tingkat kepercayaan publik. Oleh sebab itu perlu dilakukan pengelolaan terhadap insiden sehingga dapat mereduksi insiden yang mungkin muncul. Dengan demikian, penyelarasan bisnis dan TI akan mengarahkan pada pemenuhan nilai bisnis adalah elemen kunci dari Tata laksana TI. Untuk meminimalisasi insiden tersebut, setiap instansi pemerintah daerah diharapkan dapat menyusun langkah-langkah terpadu untuk menjamin keberlangsungan layanan agar tetap dapat berfungsi dengan baik terutama dalam penggunaan layanan TI. Beberapa bentuk ancaman seperti: kerusakan infrastuktur, kerusakan kabel, putusnya jaringan penggandaan dan perusakan terhadap data yang penting bagi perusahaan akan berdampak serius pada gangguan proses bisnis yang dijalankan dalam perusahaan. Keadaan diatas merupakan nilai penting kebutuhan bagi Dinas Komunikasi Dan Informatika Jawa Timur akan adanya suatu pengelolaan insiden terkait pengembangan dan pemeliharaan jaringan NOC Dinas Komunikasi Dan Informatika Jawa Timur. Framework ITIL (Information Technology Infrastructure Library) sebagai suatu kerangka kerja manajemen layanan (IT Service) dapat digunakan sebagai panduan dalam perancangan pedoman manajemen insiden. Dengan kerangka kerja ITIL diharapkan insiden-insiden yang mungkin terjadi dapat diminimalisasi supaya menjaga keberlangsungan layanan TI 3. aktifitas-aktifitas dalam manajemen insiden (incident management) menurut framework ITIL v3 seperti yang juga ditampilkan pada gambar 2. Framework ITIL Framework ITIL (Information Technology Infrastructure Library) adalah sebuah framework tata kelola TI yang berisi best practice secara khusus dalam manajemen service TI [ITIL07]. Pada saat ini framework ITIL sudah dikembangkan hingga versi 3. Pada versi ini, seperti yang tertuang dalam gambar 1., framework ITIL dijelaskan tahapan-tahapan pengelolaan manajemen layanan TI yaitu sebagai service lifecycle. Ada 5 proses service lifecycle dalam ITIL yaitu: 1. Service Strategy: Pada tahap ini dilakukan pengembangan strategi untuk mengubah manajemen service TI menjadi sebuah aset strategis dari organisasi. 2. Service Design: Pada tahap ini dilakukan pembangunan panduan manajemen layanan TI berdasarkan strategi yang sudah dikembangkan sebelumnya pada tahap Service Strategy. Selain itu panduan dibangun berdasarkan policy yang berlaku dalam organisasi dan untuk pemenuhan kepuasan pelanggan. 3. Service Transition: Pada tahap ini dilakukan proses transisi dari tata kelola yang lama kepada tata kelola yang baru yang sudah dikembangkan dalam tahap Service Design. 4. Service Operation: Pada bagian ini berisi langkahlangkah best practice untuk melakukan manajemen service TI. 5. Continual Service Improvement: Pada bagian ini dilakukan pengelolaan masukan dari pelanggan yang kemudian dikolaborasikan kedalam empat tahap diatas. Hal ini bertujuan untuk meningkatkan hasil keluaran dari kegiatan Service Strategy, Service Design, Service Transition, dan Service Operation. Gambar 2.1 ITIL Incident Management Jaringan Komputer 1. Identifikasi insiden (incident identification) Proses manajemen insiden (incident management) dimulai dengan identifikasi. Identifikasi yang paling umum dilakukan adalah melalui layanan service desk dan laporan dari staf teknisi. Selain itu identifikasi insiden dapat dilakukan secara otomatis oleh tool event management yang dipasang pada perangkatperangkat utama. Kondisi ideal dari langkah identifikasi adalah insiden dapat teridentifikasi sebelum terjadi implikasi terhadap user. 2. Pencatatan insiden (incident logging) Langkah ini wajib dilakukan untuk setiap jenis insiden baik yang berskala besar maupun kecil. Beberapa informasi yang harus dicatat terkait suatu insiden adalah ID, kategori insiden, waktu terjadi, deskripsi insiden, nama orang/grup yang bertanggungjawab atas penanganan, implikasi insiden, dan waktu penutupan kasus. 3. Pengkategorisasian insiden (incident categorization) Dalam membuat kategori insiden dibutuhkan sebuah proses khusus antara pengelola TI dan pihak manajemen organisasi. Hal ini bertujuan untuk menghasilkan kategori insiden dan prioritas penanganannya sejalan dengan proses bisnis organisasi. Kategori insiden dapat dibuat berdasarkan perkiraan lamanya penanganan, implikasi terhadap proses bisnis organisasi, dan jumlah staf teknis terkait. 7. 4. Prioritas insiden (incident priorization) Langkah prioritas insiden dilakukan berdasarkan kategorisasi yang telah dibuat sebelumnya. Prioritas penanganan insiden dapat dilakukan berdasarkan besarnya implikasi insiden terhadap kegiatan bisnis utama organisasi, ataupun berdasarkan lamanya penanganan insiden. Investigasi (investigation and diagnosis) Tindakan investigasi dilakukan untuk menemukan sumber masalah dari insiden. Dalam melakukan investigasi, setiap tindakan wajib dilaporkan juga ke dalam formulir insiden. Hal ini berguna sebagai data historis tindakan penanganan suatu insiden. 8. Resolusi (resolution and recovery) Langkah ini merupakan tindakan yang diambil untuk menyelesaikan suatu insiden. Langkah resolusi dapat dilakukan oleh service desk sebagai pihak yang pertama menemukan insiden dari user, staf teknisi yang sedang mengerjakan kegiatan konfigurasi, maupun oleh supplier terhadap perangkat yang masih dalam garansi. 9. Penutupan (incident closure) Langkah penutupan adalah langkah yang dilakukan oleh service desk maupun staf teknisi terkait untuk memastikan apakah insiden telah benar selesai ditangani. Yang harus diperhatikan dalam langkah penutupan ini adalah dokumentasi proses penanganan insiden, perkiraan terhadap perulangan insiden, dan survei kepuasan user atas penanganan insiden. 4. Definisi Standard Operating Procedures (SOP) 5. Diagnosa awal (initial diagnosis) Diagnosa awal terhadap insiden wajib dilakukan oleh setiap pihak yang pertama kali berhubungan dengan insiden baik itu service desk, staf teknis, maupun perangkat otomatis seperti event management. Jika insiden ditemukan oleh service desk melalui telepon dari user, maka diusahakan service desk tersebut yang menyelesaikan insiden selama user masih berhubungan telepon. 6. Eskalasi insiden (incident escalation) Eskalasi insiden adalah tindakan menaikkan level penanganan insiden. Hal ini berkaitan erat dengan hasil diagnosa awal terhadap insiden. Jika dari diagnosa ditemukan insiden yang tidak dapat ditangani, maka wajib dilakukan eskalasi insiden. Eskalasi insiden ada 2 macam, yaitu eskalasi fungsi dan eskalasi hierarki. Eskalasi fungsi adalah tindakan menaikkan level penanganan kepada satu level diatasnya. Sedangkan eskalasi hierarki adalah tindakan menaikkan level penanganan melintasi hirarki organisasi misalnya kepada manajer IT atau manajer bisnis yang terkait. Untuk dapat membuat suatu prosedur operasi yang standar, yang harus dilakukan terlebih dahulu adalah mengetahui definisi, fungsi dan tujuan Standard Operating Procedure (SOP), manfaat SOP, bentuk SOP yang dapat dipilih, dan cara implementasi serta pengembangan SOP. Berikut ini adalah uraian mengenai masing-masing bagian tersebut diatas.Berikut ini beberapa definisi tentang Standard Operating Procedures (SOP), yaitu(Gasperz, 2002): • SOP adalah serangkaian instruksi yang menggambarkan pendokumentasian dari yang dilakukan secara berulang pada sebuah organisasi. • SOP adalah panduan yang menjelaskan secara terperinci bagaimana suatu proses harus dilaksanakan. • SOP adalah serangkaian instruksi yang digunakan untuk memecahkan suatu masalah. 4.1 Fungsi dan Tujuan Operating Procedures (SOP) Standard Fungsi Standard Operating Procedures (SOP) adalah untuk mendefinisikan semua konsep dan teknik yang penting serta persyaratan yang dibutuhkan, yang ada dalam setiap kegiatan yang dituangkan ke dalam suatu bentuk yang langsung dapat digunakan oleh karyawan dalam pelaksanaan kegiatan sehari-hari (Gasperz, 2002). Setiap penjelasan yang harus tercantum dalam SOP merupakan suatu hal yang mungkin sulit dibuat, karena dalam prosedur yang dibuat harus mencantumkan setiap langkah kegiatan yang penting dan harus dijalankan oleh semua karyawan dengan cara yang sama. 4.2 Manfaat Standard Operating Procedures (SOP) Dengan membuat Standard Operating Procedures(SOP), ada beberapa manfaat yang dapat diperoleh yaitu : • Dapat menjelaskan secara detail semua kegiatan dari proses yang dijalankan. • Dapat menstandarkan semua aktivitas yang dilakukan pihak yang bersangkutan. • Membantu untuk menyederhanakan semua syarat yang diperlukan dalam proses pengambilan keputusan. • Dapat meningkatkan komunikasi antara pihak-pihak yang terkait, terutama pekerja dengan pihak manajemen. 5. Perbedaan ITIL V3 dan COBIT 4.1 ITIL V3 Framework ITIL (Information Technology Infrastructure Library) adalahsebuah framework tata kelola TI yang berisi best practice secara khusus dalammanajemen service TI Pada saat ini framework ITIL sudahdikembangkan hingga versi 3. Pada versi ini, seperti yang tertuang dalam gambar 1., framework ITIL dijelaskan tahapan-tahapan pengelolaan manajemen layanan TI yaitu sebagai service lifecycle. ITIL memiliki 5 proses yang sifatnya teknis, 5.1 COBIT 4.1 COBIT 4.1memposisikan dirinya sebagai alat untuk tata kelola teknologi informasi (ITGI, Control Objectives for Information and Related Technologies (COBIT), 2000). Oleh karena itu, COBIT 4.1 tidak ekslusif untuk keamanan informasi dimana dapat dialamatkan tata kelola teknologi informasi, dan dapat mencakup beberapa masalah yang berkaitan dengan keamanan informasi. COBIT 4.1 membagi tata kelola teknologi informasi menjadi 34 proses dan menunjang kontrol objektif tingkat tinggi (CO) untuk setiap 34 proses. Sisi baik menggunakan COBIT 4.1 sebagai kerangka kerangka tata kelola teknologi informasipada keamanan informasi adalah 'terintegrasi' menjadi lebih besar atau lebih luas.Kerangka tata kelola teknologi informasi disediakan dalam 33 proses lainnya. Bahkan jika COBIT 4.1hanya digunakan untuk keamanan informasi, makamasih menyediakan sisa kerangka lainnya jikaperusahaan kemudian memutuskan untuk menjadikannya sebagai dasar tata kelola teknologi informasipemerintahan juga didefinisikan olehCOBIT 4.1(ITGI, Control Objectives for Information and Related Technologies (COBIT), 2000). Kekurangannya penggunaan COBIT 4.1 tata kelola teknologi informasitidak selalu rinci dalam kondisi 'bagaimana' untuk melakukan hal-hal tertentu. TheDCO lebih ditujukan kepada 'apa' harusdilakukan. Dalam kebanyakan kasus beberapa pedoman yang lebih rinciuntuk merinci tepatnya hal-hal 'bagaimana' harus dilakukan,akan dibutuhkan. Karena sejarah COBIT 4.1 yang sering digunakan oleh TIauditor, COBIT 4.1 dalam banyak kasus juga disukai oleh TIauditor dan manajer risiko TI sebagai kerangkapilihan. 5.2 Pemetaan antara ITIL V3 dan COBIT 4.1 Dalam Pemetaan COBIT 4.1 antara ITIL V3, pemetaan rinci antara COBIT 4.1dan ITIL V3 disediakan.Setiap kontrol objective pada COBIT 4.1disesuaikan denganITIL V3 tujuan dan atausub-tujuan ditunjukkan kesesuaiannya.Pemetaan hanya dilakukan satu arah,dari COBIT 4.1dengan ITIL V3 , dan tidak memberikanpemetaan dariITIL V3 kembali ke COBIT 4.1(ITGI, Control Objectives for Information and Related Technologies (COBIT), 2000). Pemetaan tersebut akan berguna, tetapi dapatcukup mudah untuk menelusuri kembali pemetaan yang disediakan. 6. Observasi Kebijakan Dukungan TI Pada tahap observasi dilakukan dengan pengamatan secara langsung situasi dan kondisi infrastuktur jaringan teknologi informasi pada DinasKomunikasi dan Informatika Jawa Timur Tujuan dari observasi ini adalah untuk mencari informasi mengenai insiden yang sering terjadi di lingkungan Diskominfo..Hal-hal yang diamati langsung adalah hal-hal yang berkaitan dengan kinerja teknologi informasi yang digunakan dalam mendukung pelayanan pada DinasKomunikasi dan Infomatika Jatim.Dan juga dalam observasi ini penulis merekomendasikan kebijakan mengenai insiden infrastuktur jaringan. Kebijakan Dukungan TI untuk menjamin bahwa seluruh kerangka penanganan insiden itu sendiri telah berdasarkan prosedur-prosedur yang jelas.berikut ini penulis menyusun sebuah rekomendasi kebijakanmanajemen insiden berdasarkan analisa dan observasi yang dilakukan di Bidang Infrastuktur TI sebagai rencana perbaikan yang dapat diimplementasikan pada institusi dalam bentuk sebuah dokumen tata laksana TI. 6.1 Kebijakan mengenai penanggung jawab insiden Berdasarkan hasil wawancara yang telah dilakukan oleh penulis terkait penanganan insiden infrastuktur jaringan yang ada di lingkungan Diskominfo jawa timur penulis menapatkan hasil analisa bahwa di kominfo jatim khusunya di Bidang Infrastuktur TIterdapat : Dampak insiden Tidak berpengaruh Minor Signifikan Merusak Serius Derajat dampak akan tetapi kinerjanya masi belum maksimal dan di tiap SKPD belum memiliki team teknis yang handal. 6.2 Kebijakan mengenai kategori insiden Berdasarkan wawancara dan analisa dan juga berdasarkan dokumen ITIL V3 (incident management) Kategori insiden dapat dibuat berdasarkan perkiraan lamanya penanganan, implikasi terhadap proses bisnis organisasi, dan jumlah staf teknis terkait. Nilai Tidak mempunyai dampak. 0 Tidak perlu usaha lebih untuk memperbaiki. Dampak dapat diukur, perlu usaha lebih untuk memperbaiki. Merusak reputasi dan keyakinan perusahaan. Memerlukan sumber daya lebih untuk memperbaiki Kehilangan konektivitas. Kehilangan banyak data atau layanan. 1 2 3 4 Gambar 4.1Team teknis Kominfo Gambar diatas menjelaskan Kominfo jatim khusunya Bidang Pengelolaan Infrastuktur TI terdapat team teknis yang menangani insiden, Gambar 4.2 Kategori insiden 6.3 Kebijakan mengenai prioritas insiden Berdasar wawancara mengenai insiden yang terjadi di lingkungan diskominfo jatim Prioritas penanganan insiden dapat dilakukan berdasarkan besarnya implikasi insiden terhadap kegiatan bisnis utama organisasi, ataupun berdasarkan lamanya penanganan insiden Klasifikasinya : - Dampak Mencerminkan kekritisan dalam bisnis Mencerminkan sejauh mana dampak insiden bagi proses bisnis - Keadaan yang mendesak Kecepatan/ waktu yang diperlukan dalam penyelesaian sebuah insiden - Beban kerja Usaha yang diharapkan dalam memecahkan insiden - Prioritas Urutan dalam penyelesaian insiden Dan akan dijelaskan pada lampiran C1.4 Prioritas diukur berdasarkan : Dampak insiden (Impact) x Keadaan yang mendesak (Urgency) bisnis yang terkait. Dan akan dijelaskan di prosedur eskalasi insidenlampiran C.1.5 , 6.6 Kebijakan mengenai pengukuran kinerja penanganan insiden Ukuran dari capaian yang dicapai dituliskan dalam indicator kinerja, Dengan adanya indicator kinerja tersebut, diharapkan proses yang berlangsung dalam aktivitas terkait bisa diukur sehingga dapat diketahui posisinya sejauh manaaktivitas tersebut telah diimplementasikan. No Aktivitas 1 Identifikasi insiden gambar 4. 3Prioritas insiden Dampak insiden Tidak berpengaruh Minor Signifikan Merusak Serius Derajat dampak Tidak mempunyai dampak. Nilai 0 Tidak perlu usaha lebih untuk memperbaiki. Dampak dapat diukur, perlu usaha lebih untuk memperbaiki. Merusak reputasi dan keyakinan perusahaan. Memerlukan sumber daya lebih untuk memperbaiki Kehilangan konektivitas. Kehilangan banyak data atau layanan. 1 2 Pencatatan Insiden 3 Kategorisasi Insiden 4 Prioritas Insiden 2 3 4 6.4 Kebijakan mengenai penanganan insiden penanganan insiden melalui helpdesk yang kemudian pihak helpdesk akan mengidentivikasi permasalahan,dan jika helpdesk mampu, maka helpdesk bisa langsung memberikan solusi atas masalah, namun jika helpdesk tidak bisa melaksanakan akan dibahas pada Lampiran C 6.5 Kebijakan mengenai eskalasi insiden Eskalasi insiden ada 2 macam, yaitu eskalasi fungsi dan eskalasi hierarki. Eskalasi fungsi adalah tindakan menaikkan level penanganan kepada satu leveldiatasnya. Sedangkan eskalasi hierarki adalah tindakan menaikkan level penanganan melintasi hirarki organisasi misalnya kepada manajer IT atau manajer Tujuan 1.1 Memastikan setiap insiden dapat diidentifikasi sebelum menimbulkan dampak negatif pada proses bisnis yang berlangsung 2.1 Memastikan telah dilakukan pencatatan informasi dari laporan insiden yang telah masuk sebagai dasar dalam pelaksanaan penanganan insiden 2.2 Memastikan bahwa informasi dicatat secara lengkap dan telah di verifikasi 2.3 Memastikan dibuatnya ringkasan insiden dan diberikan kata kunci pencarian insiden 3.1 Memastikan kategori laporan insiden telah tepat dan telah dilakukan secara singkat 4.1 Memastikan laporan insiden yang masuk mendapat prioritas penanganan yang tepat dan dilakukan dalam waktu singkat. 4.2 Memastikan pendelegasian penanganan insiden mendapat staf yang tepat untuk menanganinya. 3. Aktifitas-aktifitas yang dikembangkan dari framework ITIL, pelaksanaannya dilakukan secara kontinu dan terus menerus. 8. Saran 5 Diagnosa awal 5.1 Memastikan helpdesk 6 Investigasi dan diagnosa No Aktivitas 7 Penutup telah melakukan diagnosa awal 5.2 Memastikan staff/kepala melakukan diagnosa insiden on site 5.3 Memastikan tindakan diagnosa awal dapat memberikan penanganan pertama dalam insiden, dan jika dimungkinkan member solusi atas insiden 6.1 Memastikan Investigasi dan diagnose dilakukan secara seksama untuk mencari sumber permasalahan insiden Tujuan 6.2 Memastikan solusi yang diberikan sudah tepat sasaran 7.1 Memastikan aktifitas penutupan insiden telah dilakukan 7.2 Memastikan komplain dari user diterima oleh helpdesk 7.Kesimpulan Kesimpulan yang dapat diambil dari pengerjaan tugas akhir antara lain: 1. Dokumen Tata Laksana mempunyai tujuh buah dokumen prosedur aktivitas dalam penanganan insiden, KPI untuk mengetahui indicator pencapaian kinerja dan rekomendasi kebijakan untuk mendukung. 2. Dalam pelaksanaan dokumen tatalaksana banyak pihak yang terlibat antara lain: Kepala tim teknis jaringan (KTT), Staff teknis (ST), Teknisi (Tk), Helpdesk (HD),adapun pihak yang paling banyak terlibat adalah ST dan HD. Berikut beberapa saran yang dapat dijadikan masukan dalam pengembangan tugas akhir ini kedepannya adalah sebagai berikut: 1. Agar manajemen insiden lebih optimal sebaiknya dibuat sebuah perangkat audit untuk mendukung kinerja manajemen insiden 2. Manajemen insiden dapat lebih dikembangkan dengan adanya identifikasi dari resiko untuk mempermudah dalam penyelesain masalah dalam menangani insiden. 9.. Referensi. IT Service Management Forum, An Introductory Overview of ITIL V3 , USA Office of Government Commerce, ITIL V3:Service Operation, England Detiknas. (2007). Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional. Jakarta: Depkominfo. Peterson, R. (2003). Information strategies and tactics for infomation technology governance. Proceedings of the 34th HICSS Conference. PA: Idea Group Publishing. Van Grembergen, W. (2002). Introduction to the Minitrack: IT governance and its mechanisms. Proceedings of the 35th Hawaii International Conference on System Sciences ITGI. (2000). Control Objectives for Information and Related Technologies (COBIT) (3 ed.). USA. ITGI. (2001). Board Briefing on IT Governance. Dipetik December 28, 2010, dari www.itgi.org Hardyansyah, Wilis. 2011. Perancangan Model Tata Kelola Teknologi Informasi berdasarkan ISO/IEC 17799: 2000 pada Proses Pengamanan Sistem Informasi Studi Kasus: Dinas Komunikasi dan Informatika Jawa Timur : Tugas Akhir Sistem Informasi IT ISACA, (2007) The IT Governance Institute, Cobit 4.1, USA.