Framework Penunjang COBIT 5.0 - ABU BAKAR M.A (1204180016)
Framework Penunjang COBIT 5.0
ISO 31000
Pada Februari 2018, organisasi standar internasional
ISO menerbitkan ISO 31000:2018 Risk management — Guidelines.
Standar ini menggantikan ISO 31000:2009 Risk management —
Principles and guidelines yang diterbitkan pada November 2009. Revisi
ini merupakan bagian dari proses peninjauan sistematis yang diterapkan pada
semua standar ISO. Tulisan ini secara ringkas mengulas perubahan yang
diterapkan ISO 31000 versi 2018 terhadap versi 2009.
ISO 31000 adalah panduan penerapan risiko yang terdiri
atas tiga elemen: prinsip (principle), kerangka kerja (framework),
dan proses (process). Prinsip manajemen risiko adalah dasar praktik atau
filosofi manajemen risiko. Kerangka kerja adalah pengaturan sistem manajemen
risiko secara terstruktur dan sistematis di seluruh organisasi. Proses adalah
aktivitas pengelolaan risiko yang berurutan dan saling terkait.
Secara umum, ISO 31000:2018 menyederhanakan versi
2009. Hal itu langsung terlihat antara lain dari nama yang berubah dari “principles
and guidelines” menjadi hanya “guidelines” serta dari jumlah halaman
yang menyusut dari 24 halaman menjadi 16 halaman. Diagram yang menggambarkan
hubungan prinsip, kerangka kerja, dan proses manajemen proses pun berubah. Pada
versi 2009, prinsip, kerangka kerja, dan proses digambarkan sebagai rangkaian
unsur yang berurutan, sedangkan pada versi 2018 ketiga bagian ini digambarkan
sebagai sistem terbuka yang saling berkaitan.
Prinsip manajemen risiko berubah dari 11 prinsip pada
versi 2009 menjadi 1 tujuan (purpose) dan 8 prinsip pada versi 2018.
Satu prinsip, yaitu “penciptaan dan pelindungan nilai”, diubah menjadi tujuan
manajemen risiko. Dua prinsip, yaitu “bagian pengambilan keputusan” dan “secara
eksplisit menangani ketidakpastian”, dihapus. Delapan prinsip lain
disederhanakan pernyataannya menjadi (1) terintegrasi, (2) terstruktur dan
komprehensif, (3) disesuaikan, (4) inklusif, (5) dinamis, (6) informasi terbaik
yang tersedia, (7) faktor manusia dan budaya, serta (8) peningkatan sinambung.
Kerangka manajemen risiko berubah dari 5 komponen pada
versi 2009 menjadi 6 komponen pada versi 2018. Komponen “mandat dan komitmen”
diubah menjadi “kepemimpinan dan komitmen” dan dipindahkan letaknya menjadi di
pusat komponen lainnya. Komponen “integrasi” ditambahkan sebagai komponen yang
mengawali komponen lain. Empat komponen lain disederhanakan pernyataannya
menjadi (1) perancangan, (2) implementasi, (3) evaluasi, dan (4) perbaikan.
Proses manajemen risiko relatif tidak berubah. Proses
“penetapan konteks” diubah namanya menjadi “lingkup, konteks, dan kriteria”.
Proses “pencatatan dan pelaporan” dicantumkan secara eksplisit di dalam diagram
setelah sebelumnya hanya ada pada bagian teks pada versi 2009
ISO 31000:2018 menekankan tujuan manajemen risiko,
yaitu menciptakan dan melindungi nilai. Tujuan itu diwujudkan dengan (1)
meningkatkan kinerja, (2) mendorong inovasi, dan (3) mendukung pencapaian
sasaran. Manajemen risiko adalah bagian dari tata kelola (governance)
dan harus terintegrasi di dalam proses organisasi. Penerapan manajemen risiko
memerlukan kepemimpinan dan komitmen dari manajemen puncak, serta keterlibatan
aktif dari semua anggota organisasi.
ISO / IEC 38500
ISO / IEC 38500 memberikan prinsip, definisi, dan model
untuk membantu badan pemerintahan memahami pentingnya Teknologi Informasi (TI).
Standar ini dimaksudkan untuk membantu semua jenis organisasi dalam
mengevaluasi, mengarahkan, dan memantau penggunaan Teknologi Informasi (TI). ),
terlepas dari tingkat penggunaan TI.
Manfaat ISO / IEC 38500 – Tata Kelola TI
Dengan menjadi
profesional bersertifikat ISO / IEC 38500, Anda akan memiliki kesempatan untuk:
·
Mengelola investasi TI dengan benar
·
Meningkatkan kinerja organisasi
·
Meningkatkan tata kelola proyek
·
Meningkatkan posisi kompetitif organisasi
·
Minimalkan risiko TI
·
Meyakinkan tingkat keberhasilan proyek yang lebih besar
ISO 27000
ISO 27001 merupakan suatu standar
Internasional dalam menerapkan sistem manajemen kemanan informasi atau lebih
dikenal dengan Information Security
Management Systems (ISMS).
Menerapkan standar ISO 27001 akan membantu organisasi atau perusahaan Anda
dalam membangun dan memelihara sistem manajemen keamanan informasi (ISMS). ISMS
merupakan seperangkat unsur yang saling terkait dengan organisasi atau
perusahaan yang digunakan untuk mengelola dan mengendalikan risiko keamanan
informasi dan untuk melindungi serta menjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) informasi.
ISO 27001: 2013 memiliki sepuluh klausa
pendek, ditambah lampiran yang panjang, yang meliputi:
- Lingkup standar
- Bagaimana dokumen direferensikan
- Istilah dan definisi dalam ISO / IEC 27000
- Hubungan organisasi dan stakeholder
- Kepemimpinan keamanan informasi dan dukungan
tingkat tinggi untuk kebijakan
- Perencanaan sistem manajemen keamanan
informasi; perkiraan risiko; kontrol terhadap resiko
- Mendukung sistem manajemen keamanan informasi
- Membuat operasional sistem manajemen keamanan
informasi
- Meninjau kinerja sistem
- Tindakan korektif
ISO 27001 adalah standar internasional yang
diakui secara global untuk mengelola risiko terhadap keamanan informasi yang
Anda pegang. Sertifikasi ISO 27001 memungkinkan Anda untuk membuktikan kepada
klien Anda dan pemangku kepentingan lainnya bahwa Anda mengelola keamanan
informasi dalam possesion Anda. ISO 27001: 2013 (versi saat ini ISO 27001)
menyediakan satu set persyaratan standar untuk sistem manajemen keamanan
informasi (ISMS). Standar ini mengadopsi pendekatan proses untuk menetapkan,
menerapkan, operasi, pemantauan, pengkajian, memelihara, dan meningkatkan ISMS
Anda
Manfaat ISO 27001:
- melindungi klien dan informasi karyawan
- mengelola risiko keamanan informasi secara
efektif
- mencapai kepatuhan
- melindungi citra merek perusahaan
Hal ini sebagian karena ada beberapa organisasi internasional dengan
infrastruktur untuk membangun disiplin baru, seperti arsitektur enterprise. Dan
sebagian lagi karena tidak ada pendekatan tunggal sepakat untuk arsitektur
enterprise sampai TOGAF tiba adegan.
Di jantung TOGAF adalah ADM (Arsitektur Metode Pengembangan). ADM merupakan
hasil kontribusi terus menerus dari sejumlah besar praktisi arsitektur. Ini
menggambarkan sebuah metode untuk mengembangkan perusahaan dan membentuk inti
dari TOGAF.
Apa Itu Framework TOGAF Kelebihan dan
Kekurangannya
Kelebihan
Togaf
- Sifatnya yang fleksibel dan bersifat open source.
- Sistematis
- Focus pada siklus implementasi (ADM) dan proses
- Kaya akan area teknis arsitektur
- Recource base menyediakan banyak material
referensi
- Karena melibatkan banyak pihak terutama industri,
di TOGAF banyak memberikan best practice atau kejadian riil di dunia nyata
Kekurangan
Togaf
- Tidak ada templates standart untuk seluruh domain
(misalnya untuk membuat blok diagram)
- Tidak ada artefak yang dapat digunakan ulang
(ready made)
PRINCE2 adalah metode manajemen proyek TI yang terstruktur dan
efektif untuk semua pekerjaaan. PRINCE2 merupakan pendekatan manajemen proyek yang
paling umum digunakan di Eropa. Kelebihan dari adalah PRINCE2 mudah untuk menyesuaikan pada proyek dan lingkungan
yang berbeda.
Project Management Body of
Knowledges (PMBOK ®) adalah standar defacto yang diakui secara
internasional (IEEE, ANSI dan ISO 21500) yang berhubungan dengan penerapan
pengetahuan, keterampilan, peralatan, dan teknik untuk memenuhi persyaratan
proyek.
OGC menerbitkan versi ketiga ITIL (ITIL v3) yang intinya
terdiri dari lima bagian dan lebih menekankan pada pengelolaan siklus hidup
layanan yang disediakan oleh teknologi informasi. Kelima bagian tersebut
adalah:
- Service Strategy
- Service Design
- Service Transition
- Service Operation
- Continual Service Improvement
Kelima bagian tersebut dikemas dalam bentuk buku, atau biasa disebut
sebagai core guidance publications. Setiap buku dalam kelompok
utama ini berisi :
1. Practice fundamentals
menjelaskan latar belakang tahapan lifecycle serta
kontribusinya terhadap pengelolaan layanan TI secara keseluruhan.
2. Practice principles
menjelaskan konsep-konsep kebijakan serta tata kelola tahanan lifecycle yang
menjadi acuan setiap proses terkait dalam tahapan ini.
3. Lifecycle processes and activities
menjelaskan berbagai proses maupun aktivitas yang menjadi kegiatan utama
tahapan lifecycle. Misalnya proses financial management dan demand management
dalam tahapan Service Strategy.
4. Supporting organization structures and
roles
proses-proses ITIL tidak akan dapat berjalan dengan baik tanpa
definsi roles dan responsibilities. Bagian ini
menjelaskan semua aspek yang terkait dengan kesiapan model dan struktur
organisasi.
5. Technology considerations
menjelaskan solusi-solusi otomatisasi atau software ITIL yang dapat
digunakan pada tahapan lifecycle, serta persyaratannya.
6. Practice Implementation
berisi acuan/panduan bagi organisasi TI yang ingin mengimplementasikan atau
yang ingin meningkatkan proses-proses ITIL.
7. Complementary guideline
berisi acuan model-model best practice lain selain ITIL yang dapat
digunakan sebagai referensi bagian tahapan lifecycle.
8. Examples and templates
berisi template maupun contoh-contoh pengaplikasian proses.
Di samping buku-buku dalam core guidance publications, ada
juga complementary guidance. Dimana buku-buku dalam kategori
nantinya dimaksudkan untuk memberikan model, acuan dan panduan bagi penerapan
ITIL pada sektor-sektor tertentu seperti jenis industri tertentu, tipe
organisasi serta arsitektur teknologi. Dengan demikian, ITIL akan dapat lebih
diterima serta diadaptasi sesuai dengan lingkungan serta behaviour dari setiap
organisasi TI.
Capability Maturity Model
Integration atau CMMI (bahasa Indonesia: Integrasi Model
Kematangan Kemampuan) adalah suatu pendekatan perbaikan proses yang memberikan
unsur-unsur penting proses efektif bagi organisasi.
Komentar
Posting Komentar