A.
MANAJEMEN KONTINUITAS LAYANAN
TEKNOLOGI INFORMASI
1.
PENGENALAN DAN RUANG LINGKUP
Kebanyakan
organisasi ketergantungan pada sistem
mereka itu menunjukkan bahwa kehilangan kunci aplikasi atau infrastruktur dapat
menyebabkan perusahaan gagal dalam beberapa hari jika tidak sebelumnya. Oleh
karena itu , organisasi harus mengatur bagaimana mereka telah pulih kunci
sistem dalam tenggang waktu yang tepat dalam hal kegagalan. Ini adalah fokus
layanan manajemen kesinambungan ( itscm ) proses.
Organisasi
tentu dapat menderita kehilangan sistem selain sistem TI dan karena itu harus
punya rencana kesinambungan bisnis umum yang melindungi terhadap segala
kemungkinan yang bisa mengancam fungsi penting bisnis (VBFs). ITSCM karena itu
harus mendukung dan menyelaraskan dengan organisasi bisnis Businness Continue
management (BCM) proses dimana ini ada.
2.
MAKSUD DAN TUJUAN
Tujuan ITSCM adalah untuk mendukung
bisnis kontinuitas manajemen dengan memastikan bahwa sumber daya itu, sistem
dan layanan dapat dipulihkan dalam skala waktu yang disepakati dalam peristiwa
utama. Hal ini dicapai dengan menciptakan dan menjaga fasilitas yang diperlukan
dan kemampuan pemulihan.
Tujuan
proses adalah:
•
untuk
menciptakan dan memelihara rencana kesinambungan layanan IT dan rencana
pemulihan;
•
untuk
melaksanakan latihan (BIA) analisis dampak bisnis reguler untuk memastikan
bahwa rencana tetap selaras dengan mengubah kebutuhan bisnis;
•
melaksanakan
latihan analisis dan manajemen risiko yang teratur untuk menentukan potensi
kegagalan dan mengidentifikasi dan melaksanakan penanganan yang sesuai yang
setuju memenuhi target kesinambungan bisnis;
•
untuk
menilai dampak perubahan dan mengambil tindakan yang tepat untuk terus
memberikan tingkat yang diperlukan perlindungan;
•
untuk
memastikan bahwa sesuai pihak ketiga kontrak dan perjanjian di tempat dan terus
terbaru untuk menjaga kesinambungan dan rencana pemulihan;
•
untuk secara
proaktif meningkatkan kemampuan pemulihan yang mana biaya-efektif untuk
melakukannya;
•
memberikan
saran dan bimbingan kontinuitas dan isu-isu yang berhubungan dengan pemulihan.
3.
KEGIATAN UTAMA
a.
Layanan kontinuitas manajemen siklus
hidup
Membangun
dan memelihara ITSCM adalah proses siklus yang menjamin terus sejalan dengan
rencana kesinambungan bisnis dan prioritas bisnis. Proses ini ditunjukkan dalam
gambar 17.1.
Dua langkah,
inisiasi dan kemudian persyaratan dan strategi, terutama berhubungan dengan
BCM. ITSCM dimulai dengan memproduksi ITSCM strategi untuk mendukung strategi BCM.
Strategi ITSCM harus memastikan bahwa efektif rencana ada untuk memulihkan
layanan dan apapun infrastruktur TI yang diperlukan untuk mempertahankan VBFs.
Dalam
situasi lebih kompleks dimana beberapa atau semua layanan IT subkontrak lain
organisasi. Dalam kasus ini, manajer ITSCM harus memastikan bahwa pemilik
kontinuitas dan pemulihan rencana memenuhi tujuan dan skala waktu bisnis.
b.
Analisa dampak terhadap bisnis
Analisa
dampak terhadap bisnis (BIA) adalah kegiatan yang dilakukan oleh ITSCM, sering bersama
dengan manajemen ketersediaan, yang bekerja dengan bisnis untuk memahami dampak
pada organisasi Layanan penderitaan yang rusak atau kehilangan IT layanan atau
komponen. Analisis
akan mengidentifikasi fungsi bisnis yang sangat penting untuk keberhasilan
organisasi (VBFs) dan itu adalah fungsi-fungsi ini yang ITSCM harus melindungi
dari dampak kegagalan IT itu. Bisnis akan menentukan kebutuhan pemulihan fungsi yang ITSCM harus
mengatasi melalui rencana kesinambungan IT. Seiring waktu, pentingnya fungsi
bisnis dapat mengubah dan yang baru muncul, sehingga ITSCM harus melakukan
latihan teratur BIA dan umpan hasil kembali ke rencana kesinambungan untuk
memastikan mereka tetap sesuai dan terbaru.
c.
Analisis dan manajemen risiko
Langkah
pertama dalam melindungi VBFs adalah untuk memahami ketergantungan mereka pada
layanan IT dan infrastruktur. Informasi ini dapat ditemukan dari sistem
manajemen konfigurasi. Selanjutnya, ITSCM harus mempertimbangkan beberapa
faktor:
• Apa yang bisa menyebabkan layanan
atau komponen gagal? Contoh dapat berupa api, banjir dan keamanan selain itu
sederhana kegagalan mekanis atau listrik.
• Apakah kemungkinan ini terjadi?
Dengan kata lain, apa kemungkinan bahwa setiap peristiwa yang didefinisikan di
atas bisa terjadi?
• Apa dampak dari kejadian seperti
itu? Jika salah satu peristiwa yang terjadi, apa efek ini akan memiliki bisnis?
Ini mungkin dapat dinyatakan dalam dampak pada reputasinya, pelanggan,
keuangannya atau hukum yang atau kepatuhan persyaratan, misalnya.
Hasil
pertimbangan ini akan menentukan tindakan tepat yang ITSCM harus mengambil
untuk mengurangi risiko yang memadai dan biaya-efektif. Biasanya, semakin besar
kemungkinan kegagalan dan dampak yang lebih besar, semakin besar tingkat
perlindungan yang diperlukan dan semakin besar pembenaran untuk biaya yang
diperlukan.
Di atas
menggaris bawahi pentingnya analisis risiko dan manajemen untuk ITSCM.
RISIKO
Mungkin peristiwa yang bisa menyebabkan kerusakan atau
kerugian, atau mempengaruhi kemampuan untuk mencapai tujuan. Risiko yang diukur
dengan probabilitas ancaman, kerentanan aset terhadap ancaman itu, dan dampak
itu akan memiliki jika itu terjadi.
Tahap
pertama dari analisis dan manajemen risiko adalah untuk mengidentifikasi
potensi ancaman terhadap aset atau layanan, memperkirakan probabilitas bahwa
ancaman mungkin diwujudkan , menilai bagaimana rentan aset atau layanan
terhadap ancaman ini dan untuk menilai dampak ancaman yang diwujudkan. Sebagai
contoh, seperti yang dijelaskan di atas, banjir adalah salah satu contoh dari
ancaman yang mungkin relevan untuk sebuah aset seperti pusat data. Kami akan
menentukan probabilitas bahwa pusat mungkin banjir, menilai kerentanan pusat
data untuk banjir dan dampaknya terhadap organisasi jika terjadi banjir.
Menempatkan semua ini bersama-sama akan memberikan kita suatu ukuran risiko.
Bagian kedua
dari manajemen risiko melakukan sesuatu tentang risiko yang diidentifikasi.
Umumnya, kita dapat melakukan beberapa hal tentang risiko:
•
Beberapa
risiko hanya dapat diterima dan ketentuan yang dibuat dalam kasus terburuk.
Jika kami tidak dapat menjamin pusat data kami karena letaknya di dataran
banjir, kita dapat memutuskan untuk mengadakan sebuah kontingensi dana dalam
kasus banjir.
•
Kita dapat
menghindari atau menghilangkan risiko; sebagai contoh, kita bisa menghilangkan
risiko untuk pusat data kami memutuskan untuk pergi kembali ke pengolahan
manual. Hal ini tidak selalu solusi praktis.
•
Kami dapat
mentransfer risiko ke orang lain, misalnya dengan mengambil asuransi atau oleh
outsourcing pemulihan data pusat dan bencana.
•
Kita dapat
mengurangi risiko dengan mengurangi kemungkinan ancaman atau mengurangi keparahan
jika risiko terjadi. Untuk pusat data kami kita bisa memindahkannya ke atas
bukit untuk mengurangi kemungkinan banjir atau mengurangi dampak dari banjir
dengan mengganti di bawah lantai kabel dengan serat optik.
Dalam banyak
kasus, respon terhadap risiko akan menjadi kombinasi dari semua atau sebagian
dari pilihan ini, dengan keseimbangan yang sedang didirikan antara bisnis
toleransi risiko dan biaya langkah-langkah penanggulangan.
Isu kunci
untuk Layanan Manajemen IT, dan ITSCM secara khusus, adalah untuk memiliki
beberapa cara untuk menganalisis dan mengelola risiko, dan pendekatan yang
terbaik dan teraman adalah mencoba menggunakan kerangka dan Zgelolaan risiko
(M_o_R®), Bagian dari portofolio panduan praktik terbaik yang diterbitkan oleh
Kantor Kabinet merupakan suatu kerangka yang direkomendasikan.
4.
HUBUNGAN DENGAN PROSES MANAJEMEN
LAYANAN LAINNYA
a.
Ketersediaan manajemen
Ada jelas
tumpang tindih antara proses ITSCM dan proses manajemen ketersediaan.
Perbedaannya adalah bahwa ketersediaan manajemen terutama yang bersangkutan
dengan menjaga ketersediaan VBFs, sedangkan ITSCM menyediakan kontingensi jika
terjadi kegagalan baik manajemen ketersediaan tak dapat mencegah atau dari IT
tidak dapat dengan cepat pulih.
b.
Perubahan Manajemen
Perubahan
perlu dinilai untuk dampaknya terhadap kesinambungan rencana dan konsekuen
perubahan yang dimasukkan ke dalam perencanaan perubahan. Rencana kesinambungan
itu sendiri adalah tunduk pada perubahan kontrol.
c.
Manajemen tingkat layanan
Manajemen
tingkat layanan akan memberikan nasihat pada definisi VBFs dan harapan bisnis
berkaitan dengan penundaan waktu diperbolehkan dalam pemulihan layanan.
d.
Kapasitas manajemen
Kapasitas
manajemen membantu untuk memastikan sumber daya yang memadai tersedia untuk
mengakomodasi layanan setelah rencana kesinambungan dipanggil dan yang
disepakati tingkat pelayanan yang dapat dipertahankan dalam situasi ini.
e.
Manajemen aset dan konfigurasi
Manajemen
konfigurasi mempertahankan catatan pemulihan CIs, status dan spesifikasi mereka.
f.
Manajemen keamanan informasi
Potensi pelanggaran keamanan menyebabkan peristiwa utama berarti bahwa manajemen
keamanan informasi memberikan kontribusi untuk kegiatan analisis BIA dan
risiko.
5.
METRIK
Metrik yang dapat digunakan untuk mengukur kinerja ITSCM layanan dan proses
dalam hal efektivitas dan kesiapsiagaan organisasi adalah sebagai berikut:
•
Jumlah layanan yang tidak dicakup oleh rencana kesinambungan dan pemulihan(yang harus ditutupi).
•
Jumlah isu-isu
yang diidentifikasi dalam tes kontinuitas terakhir yang tetap untuk diatasi.
•
Jumlah kesalahan
yang ditemukan dalam audit informasi dalam daftar kunci orang-orang, mereka tanggung
jawab dan detil kontak.
6.
PERAN
Manajer kontinuitas layanan bertanggung jawab untuk memastikan bahwa tujuanproses
terpenuhi. Kegiatan mereka karena itu meliputi:
•
Melakukan latihan
manajemen BIA dan risiko untuk layanan yang ada dan baru;
•
Melaksanakan
dan mempertahankan ITSCM proses dan kelangsungan strategi dan menjaga keselarasan
dengan perencanaan kelangsungan bisnis;
•
Mempersiapkan
dan mempertahankan rencana kesinambungan dan pemulihan dan memastikan bahwa terus
mendukung organisasi strategi kontinuitas bisnis dan rencana;
•
Secara teratur
pengujian rencana untuk efektivitas, meninjau hasil dan mengambiltindakan untuk
mengatasi setiap kekurangan yang diidentifikasi;
•
Memastikan bahwa
setiap personil yang dalam transisi dari
satu lokasi lain sepenuhnya terlatih dan menyadari tanggungjawab mereka;
•
Mengelola pemasok
pihak ketiga pemulihan peralatan dan Fasilitas untuk mempertahankan integritas kontinuitas
dan rencana pemulihan;
•
Menghadiri mengubah
pertemuan Dewan (CAB) sebagai dan menilai perubahan untuk dampaknya pada rencana
dan memperbarui rencana sesuai;
•
Mengelola rencana
yang sedang berlangsung selama permohonan dan pemulihan layanan kembali ke
utama atau fasilitas yang ditunjuk lainya.
