9 0 2 MB
Proses Model Assessment (PAM): Menggunakan COBIT ® 5
Process SEBUAHssessment model (Pam)
SEBUAHcknowled gements
ISACA Dengan lebih dari 100.000 konstituen di 180 negara, ISACA (www.isaca.org) Adalah penyedia global terkemuka pengetahuan, sertifikasi, masyarakat, advokasi dan pendidikan tentang sistem informasi (IS) jaminan dan keamanan, pemerintahan perusahaan dan manajemen TI, dan risiko yang berkaitan dengan IT dan kepatuhan. Didirikan pada tahun 1969, non-profit, ISACA independen tuan rumah konferensi internasional, menerbitkan ISACA yang ® majalah, Dan mengembangkan internasional IS audit dan kontrol standar, yang membantu konstituennya memastikan kepercayaan, dan nilai dari, sistem informasi. Hal ini juga kemajuan dan membuktikan kemampuan IT dan pengetahuan melalui global dihormati Bersertifikat Sistem Informasi Auditor® (CISA®), Bersertifikat Manajer Keamanan Informasi® (CISM®), Bersertifikat di Pemerintahan Enterprise IT® (CGEIT®) Dan Certified di Risiko dan Sistem Informasi PengendalianTM (CRISCTM) Sebutan. ®
ISACA terus update dan memperluas bimbingan dan produk keluarga praktis berdasarkan COBIT yang® kerangka. COBIT membantu profesional TI dan pemimpin perusahaan memenuhi tanggung jawab tata kelola TI dan manajemen mereka, khususnya di bidang jaminan, keamanan, risiko dan pengendalian, dan memberikan nilai bagi bisnis. Penolakan ISACA telah dirancang dan dibuat COBIT® Proses Penilaian Model (PAM): Menggunakan COBIT® 5 (Para 'Kerja') terutama sebagai sumber pendidikan bagi pemerintahan perusahaan IT (GEIT), jaminan, risiko dan keamanan profesional. ISACA tidak membuat klaim bahwa penggunaan salah Kerja akan menjamin hasil yang sukses. Kerja tidak harus dianggap termasuk semua informasi yang tepat, prosedur dan tes atau eksklusif informasi lainnya, prosedur dan tes yang cukup diarahkan untuk memperoleh hasil yang sama. Dalam menentukan kepatutan dari setiap informasi yang spesifik, prosedur atau tes, pembaca harus menerapkan pertimbangan profesional mereka sendiri dengan keadaan spesifik yang disajikan oleh sistem tertentu atau lingkungan teknologi informasi. hak cipta © 2013 ISACA. Seluruh hak cipta. Untuk pedoman penggunaan melihatwww.isaca.org/COBITuse. ISACA 3701 Algonquin Road, Suite 1010 Schaumburg 60.008 USA Telepon: +1.847.253.1545 Fax: +1.847.253.1443 E-mail: [email protected] Situs web: www.isaca.org umpan balik: www.isaca.org/cobit Berpartisipasi dalam Knowledge Center ISACA: www.isaca.org/knowledge-center Ikuti ISACA di Twitter: https://twitter.com/ISACANews Bergabung dengan percakapan COBIT di Twitter: #COBIT Bergabung ISACA di LinkedIn: ISACA (Official), http://linkd.in/ISACAOfficial Seperti ISACA di Facebook: www.facebook.com/ISACAHQ
COBIT® Proses Penilaian Model (PAM): Menggunakan COBIT® 5 ISBN 978-1-60420-264-9 2
2
1
3
Process SEBUAHssessment model (Pam)
SEBUAHcknowled gements
3
SEBUAHcknowledgements ISACA ingin mengenali: Tim pengembangan
Gary Allan Banister, CGEIT, CGMA, FCMA, Austria Barry D. Lewis, CISM, CGEIT, CRISC, CISSP, Cerberus ISC Inc., Kanada ahli Peninjau
David Cau, ISO, ITIL, MSP, Prince2, France Sushil Chatterji, CGEIT, EduTech Enterprises, Singapura Stuart Cooke, Konsultan Independen, UK Ferdinand Glatzl, cert. ITSM-Praktisi (Release and Control), BAWAG PSK, Austria Debra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente, USA Wil Nixon, CISA, Kanada Max Shanahan, CISA, CGEIT, FCPA, MACS, Miia (Aust.), Max Shanahan & Associates, Australia Roger Southgate, CISA, CISM, UK Menyapa Volders, CGEIT, Voquals NV, Belgia ISACA Direksi
Gregory T. Grocholski, CISA, The Dow Chemical Co, Amerika Serikat, Presiden International Allan Boardman, CISA, CISM, CGEIT, CRISC, ACA, CA (SA), CISSP, Morgan Stanley, UK, Wakil Presiden Juan Luis Carselle, CISA, CGEIT, CRISC, Wal-Mart, Meksiko, Wakil Presiden Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT SA, Yunani, Wakil Presiden Ramses Gallego, CISM, CGEIT, CCSK, CISSP, SCPM, 6 Sigma, Quest Software, Spanyol, Wakil Presiden Tony Hayes, CGEIT,AFCHSE, CHE, FACS, FCPA, FIIA, Pemerintah Queensland,Australia, Wakil Presiden Jeff Spivey, CRISC, CPP, PSP, Security Risk Management Inc, USA, Wakil Presiden Marc Vael, Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo, Belgia, Wakil Presiden Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (pensiun), Amerika Serikat, Past President International Emil D'Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd (pensiunan), Amerika Serikat, Past President International John Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Singapura, Direktur Krysten McCabe, CISA, The Home Depot, Amerika Serikat, Direktur Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, BRM Holdich, Australia, Direktur Dewan pengetahuan
Marc Vael, Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo, Belgia, Ketua Rosemary M. Amato, CISA, CMA, CPA, Deloitte Touche Tohmatsu Ltd, Belanda Steven A. Babb, CGEIT, CRISC , Betfair, UK Thomas E. Borton, CISA, CISM, CRISC, CISSP, Cost Plus, USA Phil J. Lageschulte, CGEIT, CPA, KPMG LLP, USA Jamie Pasfield, CGEIT, ITIL V3, MSP, PRINCE 2, Pfizer, USA Salomon Rico, CISA, CISM, CGEIT, Deloitte LLP, Meksiko Komite kerangka
Steven A. Babb, CGEIT, CRISC, Betfair, UK, Ketua Charles Betz, Enterprise Management Associates, Amerika Serikat David Cau, ISO, ITIL, MSP, Prince2, France Sushil Chatterji, CGEIT, EduTech Enterprises, Singapura Frank J. Cindrich, CGEIT, CIPP, CIPP / G, Deloitte & Touche LLP, USA Jimmy Heschl, CISA, CISM, CGEIT, ITIL Expert, bwin.party plc hiburan digital, Austria Anthony P. Noble, CISA, Viacom, USA Andre Pitkowski, CGEIT, CRISC, APIT Informatica, Brasil Paras Kesharichand Shah, CISA, CGEIT, CRISC, CA, Australia
SEBUAHcknowledgements (cont.) ISACA dan IT Governance Institute® (ITGI®) Afiliasi dan Sponsor
Forum Keamanan Informasi Institut bab ISACA Akuntan Manajemen Inc. ITGI France ITGI Jepang Norwich University Socitum Grup Manajemen Kinerja Solvay Brussels Sekolah Ekonomi dan Manajemen Strategis Manajemen Institut Teknologi (STMI) dari National University of Singapore Universitas Sekolah Manajemen Antwerp ASIS International Hewlett-Packard IBM Symantec Corp.
Process SEBUAHssessment model (Pam)
Tmampu dari ConTenTs
tmampu dari contents 1.0 Pendahuluan .................................................. .................................................. .................................................. .................... 7 1.1 Tujuan ................................................ .................................................. .................................................. ........................ 7 1.2 Ruang Lingkup ................................................ .................................................. .................................................. ........................... 7 1.3 Penilaian Domain ............................................... .................................................. .................................................. ..... 7 1.4 Referensi Normatif ............................................... .................................................. .................................................. .. 7 1.5 COBIT 5 Proses Penilaian Model ........................................... .................................................. ......................... 7 1.6 Perbandingan COBIT 4.1 PAM ke COBIT 5 PAM ...................................... .................................................. .... 8 1,7 Syarat dan Definisi .............................................. .................................................. .................................................. ... 9 2.0 Sekilas tentang COBIT 5 Proses Penilaian Model .................................................. .................................................. 11 2.1 Pendahuluan ................................................ .................................................. .................................................. ............... 11 2.2 Proses Dimensi-COBIT 5 Proses .......................................... .................................................. ................. 11 2.3 Kemampuan Dimensi .............................................. .................................................. ............................................ 13 2.4 Indikator Penilaian ............................................... .................................................. .................................................. 14 2,5 Rating Scale ............................................... .................................................. .................................................. ............... 14 Dimensi dan Proses Indikator Kinerja 3.0 Proses .................................................. ............................................. 15 3.1 Evaluasi, langsung dan Monitor (EDM) ......................................... .................................................. ................................ 17 3.2 Align, Rencana dan Mengatur (APO) ......................................... .................................................. ........................................ 29 3.3 Membangun, Memperoleh dan Melaksanakan (BAI) ......................................... .................................................. ................................. 65 3.4 Memberikan, Layanan dan Dukungan (DSS) ......................................... .................................................. .................................. 91 3,5 Monitor, Evaluasi dan Menilai (MEA) ......................................... .................................................. .............................. 105 Indikator Kemampuan 4.0 Proses .................................................. .................................................. .................................... 115 4.1 Level 1-Dilakukan Proses ............................................ .................................................. ......................................... 115 4.2 Level 2-Managed Proses ............................................ .................................................. ........................................... 115 4.3 Level 3-Didirikan Proses ............................................ .................................................. ....................................... 117 4.4 Tingkat Proses 4-diprediksi ............................................ .................................................. ........................................ 120 4.5 Level 5-Mengoptimalkan Proses ............................................ .................................................. ........................................ 121 Lampiran A. Kesesuaian dari COBIT 5 Proses Penilaian Model .................................................. ........................... 125 A.1 Pendahuluan .............................................. .................................................. .................................................. .............. 125 Persyaratan A.2 untuk Model Proses Assessment (Dari ISO / IEC 15.504-2) ................................. ............................... 125 Lampiran B. Generik dan Level 1 Keluaran Produk Kerja .................................................. ............................................... 127 B.1 Generik Kerja Produk (GWPs) ......................................... .................................................. ...................................... 127 1 Keluaran B.2 Tingkat Kerja Produk .......................................... .................................................. ........................................ 130
Halaman sengaja dikosongkan
Process SEBUAHssessment model (Pam)
1.0 sayaP endahuluan
1.0 sayaP endahuluan 1.1 Tujuan Publikasi ini menguraikan model penilaian proses (PAM) berdasarkan COBIT 5 yang sesuai dengan International Organisasi untuk Standardisasi (ISO) / International Electrotechnical Commission (IEC) 15504. Model adalah dasar untuk penilaian kemampuan proses TI suatu perusahaan terhadap COBIT 5 dan program pelatihan dan sertifikasi untuk penilai. Proses penilaian ini dibuktikan berbasis untuk memungkinkan proses penilaian diandalkan, konsisten dan berulang di bidang tata kelola dan manajemen TI. Model penilaian memungkinkan penilaian oleh perusahaan untuk mendukung proses perbaikan. Bimbingan diberikan dalam panduan penilai terpisah pada pendekatan scoping untuk memilih proses yang akan dinilai, termasuk penggunaan ISACA diterbitkan COBIT 5 pemetaan untuk menentukan proses yang akan dinilai. pemetaan ini meliputi: • Menghubungkan tujuan perusahaan untuk tujuan yang berkaitan dengan IT perusahaan • Menghubungkan tujuan yang berkaitan dengan IT perusahaan untuk proses TI • Sebuah alat diagnostik untuk memilih area scoping
1.2 Ruang Lingkup Dokumen ini mendefinisikan COBIT 5 PAM yang mendukung kinerja penilaian dengan memberikan indikator untuk bimbingan pada interpretasi dari tujuan proses dan hasil sebagaimana didefinisikan dalam COBIT 5 dan proses atribut seperti yang didefinisikan dalam ISO / IEC 15.504-2. The COBIT 5 PAM terdiri dari seperangkat indikator kinerja proses dan kemampuan proses. Indikator yang digunakan sebagai dasar untuk mengumpulkan bukti obyektif yang memungkinkan penilai untuk menetapkan peringkat.
1.3 Penilaian Domain The COBIT 5 penilaian proses meliputi penilaian proses-proses yang diperlukan untuk tata kelola dan manajemen TI dan layanan terkait seperti yang dijelaskan dalam COBIT 5.
1.4 Referensi Normatif Dokumen-dokumen berikut yang direferensikan dalam publikasi ini: • ISACA, COBIT 5, USA, 2012 • ISO / IEC 15.504-1: 2004, Teknologi informasi-Proses penilaian-Bagian 1: Konsep dan kosa kata • ISO / IEC 15.504-2: 2003, Teknologi informasi-Proses assessment-Bagian 2: Melakukan penilaian
1.5 COBIT 5 Model Proses Assessment Sebuah komponen penting dari program penilaian COBIT adalah COBIT PAM, seperti yang ditunjukkan pada gambar 1. Ini memberikan dasar untuk: • Proses model referensi, yang mendefinisikan level 1 persyaratan dasar • Menentukan tingkat kemampuan (kerangka pengukuran)
Gambar 1-The COBIT PAM dan Panduan penilai
INPUT AWAL • Tujuan • Ling kup • Kendala • Identitas • Pendekatan • penilai Kriteria kompetensi • Additional informaiton
• Ling kup • Indikat or • Pemeta an • Terjema han
P A M SEBUAH S S
KELUARAN • Tanggal
E• Penilaian Masukan • Identifikasi
S PROSES PENILAIAN • Perencanaan • Pengumpul an data • Validasi data • Penilaian Atribut Proses • Pelaporan
Bukti • Penilaian proses Digunakan • Profil Proses • Informasi tambahan
S H A
R
Peran dan Tanggung Jawab
G UI D E
• Sponsor • penilai Kompeten • Penilai Sumber: Angka ini direproduksi dari ISO / IEC 15.504-2, dengan izin dari ISO / IEC di www.iso.org. Hak cipta tetap dengan ISO / IEC.
PAM menggabungkan rincian COBIT 5 proses dengan ISO / IEC 15.504-2 dan menyediakan dasar untuk kuat, pendekatan penilaian diandalkan. COBIT® Panduan penilai: Menggunakan COBIT 5 adalah publikasi pendamping yang menjelaskan secara rinci bagaimana untuk melakukan penilaian berdasarkan ISO / IEC 15.504-2. COBIT® Panduan penilaian diri: Menggunakan COBIT 5 adalah panduan penilaian alternatif menggambarkan pendekatan yang kurang ketat, sebagai entry point sederhana untuk jenis kegiatan penilaian.
1.6 Perbandingan COBIT 4.1 PAM ke COBIT 5 PAM Salah satu perbedaan utama antara COBIT 4.1 PAM dan COBIT 5 PAM menyangkut perbedaan yang dibuat antara tata kelola dan manajemen. COBIT 5 didasarkan pada model referensi proses revisi dengan domain pemerintahan baru dan beberapa proses baru dan dimodifikasi yang sekarang mencakup kegiatan perusahaan end-to-end-yaitu, bisnis dan TI area fungsional. Dalam COBIT 5 setiap perusahaan diharapkan untuk melaksanakan sejumlah proses pemerintahan dan sejumlah proses manajemen. Semua proses membutuhkan 'perencanaan', 'bangunan', 'berjalan' dan 'pemantauan'. The COBIT 5 Proses model referensi membagi praktek yang berhubungan dengan IT dan kegiatan perusahaan menjadi dua utama daerahgovernance dan manajemen dengan manajemen dibagi lagi menjadi domain dari proses. Menambahkan domain governance memberikan COBIT 5 satu domain lebih dari COBIT 4.1. COBIT 5 memiliki domain governance dengan lima proses tata kelola baru dan empat domain manajemen dengan tiga puluh dua proses manajemen.
COBIT 5 menggabungkan ISACA ini Val IT 2.0 dan Risiko proses TI ke dalam kerangka kerja, membuatnya menjadi versi yang lebih komprehensif daripada COBIT 4.1. Angka 15 dan 16 di COBIT® 5: Mengaktifkan Proses garis besar di mana setiap Val IT dan Risiko berlatih IT dapat ditemukan. Selain itu, COBIT 5 menambahkan pemangku kepentingan perlu konsep untuk tujuan kaskade, yang berhubungan langsung dengan satu set tujuan perusahaan generik. The COBIT 5 gol cascade diterjemahkan pemangku kepentingan perlu menjadi gol yang spesifik, dapat dicapai dan disesuaikan dalam konteks perusahaan dan tujuan yang berkaitan dengan IT, dan model enabler menyediakan kerangka kerja untuk menghubungkan tujuan-tujuan ini untuk Enabler gol.
Ada beberapa proses baru dan dimodifikasi yang mencerminkan pemikiran saat ini, khususnya: • APO03 Mengelola arsitektur enterprise. • APO04 Mengelola inovasi. • APO05 Mengelola portofolio. • APO06 Mengelola anggaran dan biaya. • APO08 Mengelola hubungan. • APO13 Mengelola keamanan. • BAI05 Mengelola organisasi pemberdayaan perubahan. • BAI08 Mengelola pengetahuan. • BAI09 Mengelola aset. • DSS05 Mengelola layanan keamanan. • DSS06 Mengelola kontrol proses bisnis. COBIT 5 mengikuti tujuan yang sama dan konsep metrik sebagai COBIT 4.1, Val IT dan Risiko IT, tetapi ini berganti nama menjadi tujuan perusahaan, tujuan yang berkaitan dengan IT dan tujuan proses mencerminkan pandangan tingkat perusahaan. COBIT 5 juga menyediakan gol cascade direvisi berdasarkan tujuan perusahaan mengemudi tujuan yang berkaitan dengan IT dan kemudian didukung oleh proses kritis. Selain itu, COBIT 5 menyediakan contoh tujuan dan metrik di tingkat perusahaan dan proses. Ini adalah perubahan dari COBIT 4.1, Val IT dan Risiko IT; COBIT 5 pergi satu tingkat lebih rendah ke tingkat praktik manajemen dan menyediakan input dan output. Akhirnya, COBIT 5 menyediakan input dan output untuk setiap praktek manajemen, sedangkan COBIT 4.1 yang disediakan ini hanya pada tingkat proses.
1,7 Syarat dan Definisi Untuk tujuan dokumen ini, istilah dan definisi yang diberikan dalam ISO / IEC 15.504-1 berlaku. definisi utama meliputi: • Atribut Indikator-Indikator penilaian yang mendukung penghakiman tingkat pencapaian atribut proses tertentu (ISO / IEC 15504: 1, 3.16) • praktek-An Basis kegiatan yang, ketika secara konsisten dilakukan, memberikan kontribusi untuk mencapai tujuan proses tertentu (ISO / IEC 15504: 1, 3.17) • Kemampuan dimensi-Himpunan elemen dalam model proses penilaian secara eksplisit terkait dengan Pengukuran tersebut Kerangka Kemampuan Proses (ISO / IEC 15504: 1, 3.18) • Kemampuan Indikator-Indikator penilaian yang mendukung penghakiman kemampuan proses proses tertentu (ISO / IEC 15504: 1, 3.19) • Generic praktek-An kegiatan yang, ketika secara konsisten dilakukan, memberikan kontribusi terhadap pencapaian atribut proses tertentu (ISO / IEC 15504: 1, 3.22) • Kinerja Indikator-Indikator penilaian yang mendukung penilaian kinerja proses proses tertentu (ISO / IEC 15504: 1, 3 26) catatan: Indikator kinerja merupakan indikator atribut untuk Proses Atribut 1.1 untuk proses tertentu. (ISO / IEC 15504: 2) • Model-A Penilaian proses model yang cocok untuk tujuan kemampuan proses menilai, berdasarkan satu atau lebih model referensi proses (ISO / IEC 15504: 1, 3.33) • Atribut-A Proses karakteristik terukur dari kemampuan proses yang berlaku untuk setiap proses (ISO / IEC 15504: 1, 3,31) • Peringkat-A atribut Proses penilaian dari tingkat pencapaian atribut proses untuk proses yang dinilai (ISO / IEC 15504: 1, 3,32) • Kemampuan-A Proses karakterisasi kemampuan proses untuk memenuhi tujuan bisnis saat ini atau proyeksi (ISO / IEC 15504: 1, 3.33) • tingkat-A Kemampuan Proses titik pada enam titik skala ordinal (kemampuan proses) yang mewakili kemampuan proses, setiap bangunan tingkat pada kemampuan tingkat bawah (ISO / IEC 15504: 1, 3.36) • Peringkat-A tingkat kemampuan Proses representasi dari tingkat kemampuan proses yang dicapai berasal dari proses atribut peringkat untuk proses dinilai (ISO / IEC 15504: 1, 3.37) • Proses hasil-An hasil diamati dari sebuah proses (ISO / IEC 15504: 1, 3,44) catatan: Hasil adalah artefak, perubahan yang signifikan dari negara atau pertemuan kendala yang ditentukan. • Proses tujuan-The tinggi tingkat tujuan yang terukur melakukan proses dan kemungkinan hasil dari pelaksanaan yang efektif dari proses (ISO / IEC 15504: 1, 3,47) • Model-A referensi Proses Model terdiri dari definisi proses dalam siklus hidup dijelaskan dalam hal tujuan proses dan hasil, bersama-sama dengan arsitektur yang menggambarkan hubungan antara proses (ISO / IEC 15504: 1, 3,48)
• produk-An Kerja artefak terkait dengan pelaksanaan proses (ISO / IEC 15504: 1, 3.55)
Halaman sengaja dikosongkan
Process 2,0 Okhtisar SEBUAH Dari ssessment COBIT 5 Process SEBUAHssessment modelm(Pam) Odel
2,0 okhtisar dari COBIT 5 Process SEBUAHssessment model 2.1 Pendahuluan Gambar 2-Ikhtisar Model Proses Assessment (PAM)
Model proses penilaian adalah Model dua dimensi dari kemampuan proses, seperti yang ditunjukkan pada gambar 2. Dalam satu dimensi, dimensi proses, proses didefinisikan dan diklasifikasikan dalam kategori proses. Dalam dimensi lain, dimensi kemampuan, satu set atribut proses dikelompokkan ke dalam tingkat kemampuan didefinisikan. Atribut proses memberikan karakteristik terukur dari kemampuan proses.
Proses Model Assessment level 5 Mengoptimalkan Proses (2 atribut) ke ma mp ua n Di me nsi
level 4 Proses diprediksi (2 atribut)
Berdasarkan ISO / IEC 15.504-2
Tingkat 3 Didirikan Proses (2 atribut) Level 2 Dikelola Proses (2 atribut) Tingkat 1 Proses dilakukan (1attribute) level 0 Proses lengkap
Model proses penilaian didefinisikan dalam dokumen ini sesuai dengan ISO / IEC 15.504-2 persyaratan untuk model penilaian proses dan dapat
EDM Mengevaluasi, langsung dan Memantau
proses Dimensi APO Menyelaraskan, Rencana dan Mengatur BAI
digunakan sebagai dasar untuk melakukan penilaian terhadap kemampuan setiap proses COBIT 5.
Membangun, Memperoleh dan Melaksanakan DSS Kirim
COBIT 5 Proses
2.2 Proses DimensionCOBIT 5 Proses
MEA Memantau, Evaluasi dan Menilai
Sumber: Angka ini diadaptasi dari ISO / IEC 15.504-2: 2003 dengan izin dari ISO di www.iso.org. Hak cipta tetap dengan ISO.
Dimensi Proses menggunakan COBIT 5 sebagai model referensi proses. COBIT 5 memberikan definisi proses dalam siklus hidup (proses referensi model), bersama-sama dengan arsitektur yang menggambarkan hubungan antara proses. The COBIT 5 Proses model referensi (PRM) terdiri dari 37 proses menggambarkan siklus hidup untuk tata kelola dan manajemen perusahaan IT, seperti yang ditunjukkan pada gambar 3. Gambar 3-COBIT 5 Ikhtisar
Proses untuk Pemerintahan Enterprise IT Mengevaluasi, langsung dan Memantau EDM01 Pastikan Tata Pengaturan Kerangka dan Pemeliharaan
EDM02 Memastikan manfaat Pengiriman
EDM04 Pastikan Optimasi Sumber Daya
EDM03 Memastikan Optimasi risiko
EDM05 Pastikan Stakeholder Transparansi
Menyelaraskan, Rencana dan Mengatur Monitor, Evaluasi dan Menilai APO01 Mengelola Management Framework IT
APO08 Mengelola Hubungan
APO02 Mengelola Strategi
APO03 Mengelola Enterprise Architecture
APO04 Mengelola Inovasi
APO05 Mengelola portofolio
APO09 Mengelola Perjanjian Layanan
APO10 Mengelola Pemasok
APO11 Mengelola Kualitas
APO12 Mengelola Risik o
BAI04 Mengelola Ketersedia an dan Kapasitas
BAI05 Mengelola Perubahan Organisasi Pemberdayaan
Membangun, Memperoleh dan Melaksanakan BAI01 Mengelola Program dan Proyek
BAI08 Mengelola Pengetahuan
BAI02 Mengelola Persyaratan Definisi
BAI03 Mengelola Identifikasi Solusi dan Membangun
BAI09 Mengelola Aktiva
BAI10 Mengelola Konfigurasi
APO06 Mengelola Anggaran dan Biaya
APO07 Mengelola Sumber daya manusia
MEA01 Memantau, Evaluasi dan Menilai Kinerja dan Conformance
APO13 Mengelola Keaman an
BAI06 Mengelola Perubaha n
BAI07 Mengelola Perubahan Penerimaan dan Transisi
MEA02 Monitor, Evaluasi dan Menilai Sistem Pengendalian Intern
Menyampaikan, Layanan dan Dukungan DSS02 Mengelola
DSS05 Mengelola
DSS06 Mengelola
Process 2,0 Okhtisar SEBUAH Dari ssessment COBIT 5 Process SEBUAHssessment modelm(Pam) Odel
MEA03 Memantau, Evaluasi dan Menilai DSS01 Mengelola Operasi
Permintaan layanan dan Insiden
DSS03 Mengelola masalah
DSS04 Mengelola Kontinuitas
Keaman an Jasa
Proses Pengelolaan Enterprise IT
Bisnis proses Kontrol
kepatuhan Dengan Persyaratan eksternal
The COBIT 5 Proses model referensi membagi proses TI perusahaan menjadi dua bidang utama activitytata kelola dan manajemen dibagi ke dalam domain proses: • Tata-ini domain berisi lima proses tata kelola; dalam setiap proses, evaluasi, langsung dan memantau (EDM) praktek didefinisikan. • Manajemen-ini daerah berisi empat domain yang sejalan dengan bidang tanggung jawab merencanakan, membangun, menjalankan dan memantau (PBRM), dan mereka menyediakan cakupan end-to-end dari IT. Setiap domain mengandung sejumlah proses, seperti di COBIT 4.1 dan versi sebelumnya. Meskipun sebagian besar proses memerlukan 'perencanaan', 'bangunan', 'berjalan' dan 'Monitoring' kegiatan dalam proses atau dalam isu tertentu ditangani-misalnya, kualitas, keamanan mereka ditempatkan dalam domain sejalan dengan apa yang umumnya daerah yang paling relevan aktivitas ketika mengenai IT di tingkat perusahaan. Domain adalah: • Evaluasi, proses tata kelola -ini Langsung dan Monitor (EDM) berurusan dengan pengiriman pemerintahan pemangku kepentingan tujuan-nilai, optimasi risiko dan sumber daya optimasi-dan termasuk praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan untuk IT dan pemantauan hasilnya. • Align, Rencana dan Mengatur (APO)-Menyediakan arah untuk pengiriman solusi (BAI) dan pengiriman layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan kekhawatiran mengidentifikasi cara terbaik TI dapat memberikan kontribusi pada pencapaian tujuan bisnis. Realisasi dari visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda. Sebuah organisasi yang tepat, serta infrastruktur teknologi, harus diletakkan di tempat. • Membangun, Memperoleh dan Melaksanakan (BAI)-Menyediakan solusi dan melewati mereka untuk berubah menjadi layanan. Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan dan diintegrasikan ke dalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga dijamin oleh domain ini, untuk memastikan bahwa solusi terus memenuhi tujuan bisnis. • Memberikan, Layanan dan Dukungan (DSS) -Receives solusi dan membuat mereka dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan pengiriman aktual dan dukungan layanan yang dibutuhkan, yang meliputi pelayanan, pengelolaan keamanan dan kontinuitas, dukungan layanan untuk pengguna, dan pengelolaan data dan fasilitas operasional. • Monitor, Evaluasi dan Menilai (MEA) -Monitors semua proses untuk memastikan bahwa arah disediakan diikuti. Semua proses TI perlu dinilai secara berkala dari waktu ke waktu untuk kualitas dan kepatuhan mereka dengan persyaratan kontrol. domain ini membahas manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola. Di lima domain ada 37 didefinisikan proses TI. The COBIT 5 proses adalah sebagai berikut: • EDM01 Pastikan governance framework pengaturan dan pemeliharaan. • EDM02 Memastikan pengiriman manfaat. • EDM03 Pastikan optimasi risiko. • EDM04 Pastikan optimalisasi sumber daya. • EDM05 Pastikan transparansi stakeholder. • APO01 Mengelola kerangka manajemen TI. • APO02 Mengelola strategi. • APO03 Mengelola arsitektur enterprise. • APO04 Mengelola inovasi. • APO05 Mengelola portofolio. • APO06 Mengelola anggaran dan biaya. • APO07 Mengelola sumber daya manusia. • APO08 Mengelola hubungan. • APO09 Mengelola perjanjian layanan. • APO10 Mengelola pemasok. • APO11 Mengelola kualitas. • APO12 Mengelola risiko. • APO13 Mengelola keamanan. • BAI01 Mengelola program dan proyek. • BAI02 Mengelola definisi persyaratan. • BAI03 Mengelola identifikasi solusi dan membangun. • BAI04 Mengelola ketersediaan dan kapasitas. • BAI05 Mengelola organisasi pemberdayaan perubahan. • BAI06 Mengelola perubahan. • BAI07 Mengelola perubahan penerimaan dan transisi. • BAI08 Mengelola pengetahuan. • BAI09 Mengelola aset.
• BAI10 Mengelola konfigurasi.
• DSS01 Mengelola operasi. • DSS02 Mengelola permintaan layanan dan insiden. • DSS03 Mengelola masalah. • DSS04 Mengelola kontinuitas. • DSS05 Mengelola layanan keamanan. • DSS06 Mengelola kontrol proses bisnis. • MEA01 Monitor, mengevaluasi dan menilai kinerja dan kesesuaian. • MEA02 Monitor, mengevaluasi dan menilai sistem pengendalian intern. • MEA03 Monitor, mengevaluasi dan menilai kepatuhan dengan persyaratan eksternal.
2.3 Kemampuan Dimensi Dimensi kemampuan memberikan ukuran kemampuan proses untuk memenuhi saat ini atau proyeksi tujuan bisnis suatu perusahaan untuk proses itu. Kemampuan proses dinyatakan dalam hal atribut proses dikelompokkan ke dalam tingkat kemampuan, seperti yang ditunjukkan pada gambar 4. Tingkat kemampuan proses ditentukan atas dasar pencapaian proses tertentu atribut sesuai dengan ISO / IEC 15.504-2: 2003.
Tingkat Gambar 4-Kemampuan dan Atribut Proses
PA 1.1
Skala penilaian melibatkan enam tingkat kemampuan sebagai berikut. PA 2.1 • Level 0 proses-The lengkap proses tidak dilaksanakan atau gagal untuk mencapai tujuan PA 2.2 proses nya. Pada tingkat ini, ada sedikit atau tidak ada bukti dari setiap pencapaian yang sistematis PA 3.1 dari tujuan proses. PA 3.2 • Proses Level 1 Performed (satu atribut) -The proses diimplementasikan mencapai tujuan prosesnya. PA 4.1 • Level 2 proses Managed (dua atribut) -The proses PA 4.2 sebelumnya dijelaskan dilakukan sekarang dilaksanakan secara berhasil (direncanakan, dimonitor dan disesuaikan) dan produk kerja PA 5.1 yang tepat didirikan, dikendalikan dan PA 5.2 dipelihara. Sumber: Angka ini diadaptasi dari ISO / IEC 15.504-2: 2003 dengan izin dari ISO di • Level 3 proses Didirikan (dua atribut) - Proses www.iso.org. Hak cipta tetap dengan ISO. yang sebelumnya dijelaskan dikelola kini diimplementasikan menggunakan proses didefinisikan yang mampu mencapai hasil prosesnya. • Tingkat 4 proses ditebak (dua atribut) -The proses yang ditetapkan dijelaskan sebelumnya sekarang beroperasi dalam batas-batas yang ditetapkan untuk mencapai hasil prosesnya. • Level 5 Proses Mengoptimalkan (dua atribut) -The dijelaskan sebelumnya proses diprediksi terus ditingkatkan untuk memenuhi tujuan bisnis saat ini dan proyeksi yang relevan.
Gambar Indikator 5-Assessment
2.4 Indikator Penilaian indikator penilaian, yang ditunjukkan pada Gambar 5, yang digunakan untuk menilai apakah atribut proses telah dicapai. Ada dua jenis indikator penilaian: • Indikator proses atribut kemampuan, yang berlaku untuk tingkat kemampuan 1 sampai 5 • indikator kinerja Proses, yang berlaku secara eksklusif untuk tingkat kemampuan 1
PA 5.2 Optimalisasi proses PA 5.1 Inovasi proses PA 4.2 Pengendalian proses PA 4.1 Proses Pengukuran PA 3.2 Proses Deployment PA 3.1 proses Definisi
ke ma mp PA 2.1 Manajemen kinerja ua PA 2.2 Manajemen pekerjaan Produk n Di me PA 1.1 Kinerja proses nsi
Berdasarkan Proses Indikator kemampuan Atribut
Praktek generik Generik Kerja Produk basis Praktek
Berdasarkan Indikator Kinerja Proses
Produk kerja
indikator kinerja proses (praktik dasar dan produk kerja) yang spesifik untuk setiap proses dan digunakan untuk menentukan apakah suatu proses berada pada tingkat kemampuan 1. indikator kinerja ini terdiri dari praktek dasar dan produk kerja dan eksklusif untuk level 1. Dasar praktek dan produk kerja untuk setiap proses COBIT 5
EDM Mengevaluasi, langsung dan Memantau
ditunjukkan pada bagian 3.0. Ini didasarkan pada COBIT 5 konten.
Sumber: Angka ini diadaptasi dari ISO / IEC 15.504-2: 2003 dengan izin dari ISO di www.iso.org. Hak cipta tetap dengan ISO.
APO Menyelaraskan, Rencana dan Mengatur BAI Membangun, Memperoleh dan Melaksanakan DSS Menyampaikan, Layanan dan Dukungan
COBIT 5 Proses
MEA Memantau, Evaluasi dan Menilai
Indikator atribut kemampuan proses generik untuk setiap atribut proses untuk tingkat kemampuan 1 sampai 5. Level 1, bagaimanapun, hanya memiliki indikator praktek generik tunggal untuk kemampuan yang sejalan langsung dengan pencapaian indikator kinerja spesifik yang diuraikan dalam model referensi proses di bagian 3.0. Indikator atribut kemampuan proses yang digunakan dalam proses penilaian kemampuan COBIT 5 adalah: • praktek Generic (GP) • produk kerja Generic (GWP) Ini ditunjukkan pada bagian 4.0.
2,5 Rating Scale Setiap atribut berperingkat menggunakan skala penilaian standar yang ditetapkan dalam ISO / IEC 15504 standar. Peringkat ini terdiri dari: • N-Tidak tercapai. Ada sedikit atau tidak ada bukti pencapaian atribut didefinisikan dalam proses dinilai. • P-sebagian dicapai. Ada beberapa bukti dari pendekatan, dan beberapa pencapaian, atribut didefinisikan dalam proses dinilai. Beberapa aspek pencapaian atribut mungkin tak terduga. • L-Sebagian besar dicapai. Ada bukti dari pendekatan sistematis untuk, dan prestasi yang signifikan, atribut didefinisikan dalam proses dinilai. Beberapa kelemahan yang terkait dengan atribut ini mungkin ada dalam proses yang dinilai. • F-Fully dicapai. Ada bukti dari pendekatan lengkap dan sistematis untuk, dan prestasi penuh, atribut didefinisikan dalam proses dinilai. Tidak ada kelemahan yang signifikan terkait dengan atribut ini ada dalam proses yang dinilai. Ada kebutuhan untuk memastikan tingkat yang konsisten penafsiran saat memutuskan Peringkat untuk menetapkan. Tabel pada Gambar 6 menggambarkan Peringkat dari segi persentase yang dicapai. Gambar 6-Penilaian Tingkat
Singkata N P L
F Sumber: Angka ini direproduksi dari ISO / IEC 15.504-2: 2003, dengan izin dari ISO / IEC di www.iso.org. Hak cipta tetap dengan ISO / IEC.
penilai menggunakan skala ini untuk menentukan tingkat kemampuan yang dicapai. Diterapkan secara konsisten, kriteria ini memungkinkan setiap penilaian harus didasarkan pada tingkat terstruktur formalitas dan memungkinkan perbandingan penilaian seluruh organisasi atau bahkan di perusahaan yang berbeda.
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators
3.0 Process dImensIon Dan Process Performance sayandIcAtors Bagian ini mendefinisikan proses dan indikator kinerja proses, juga dikenal sebagai dimensi proses, model proses penilaian. Proses dalam dimensi proses dapat langsung dipetakan ke proses didefinisikan dalam model referensi proses. Proses individu dijelaskan dalam hal nama proses, tujuan dan hasil (Os), berdasarkan COBIT 5. Selain itu, dimensi proses model penilaian proses menyediakan informasi dalam bentuk: • praktek Base (BPs) untuk proses, memberikan definisi tugas dan kegiatan yang diperlukan untuk mencapai tujuan proses dan memenuhi hasil proses. Setiap BP secara eksplisit terkait dengan hasil proses. Ini telah diturunkan langsung dari COBIT 5 proses proses panduan referensi hasil-hasil gol. • produk Input dan output kerja (WP) yang terkait dengan setiap proses dan berhubungan dengan satu atau lebih dari hasil yang • Karakteristik yang terkait dengan setiap WP Proses tujuan, Os, BPs dan WP terkait dengan proses termasuk dalam bagian ini. Para WPS didefinisikan dalam lampiran B, bagian B.2. The BPs dan WPS merupakan seperangkat indikator kinerja proses. WP terkait yang tercantum dalam klausul ini dapat digunakan ketika meninjau input potensial dan output dari pelaksanaan proses organisasi. The WPS terkait memberikan bimbingan tujuan untuk mencari masukan potensial dan output, dan bukti objektif untuk mendukung penilaian proses tertentu. Sebuah proses penilaian didokumentasikan dan penghakiman penilai diperlukan untuk memastikan bahwa proses konteks (domain aplikasi, tujuan bisnis, metodologi pengembangan, ukuran perusahaan, dll) secara eksplisit dipertimbangkan ketika menggunakan informasi ini. Ini daftar WP tidak harus dianggap sebagai daftar dari apa yang harus memiliki masing-masing organisasi, melainkan sebagai contoh dan titik awal untuk mempertimbangkan apakah, mengingat konteks, WPS diperlukan dan memberikan kontribusi untuk tujuan yang dimaksudkan dari proses. Perlu dicatat bahwa WP untuk beberapa proses memberikan persyaratan kemampuan yang lebih tinggi untuk proses lainnya. Hal ini akan mengakibatkan implementasi progresif proses. Fokus awal pada setiap proses penilaian akan menjadi inti (kadang-kadang disebut primer) proses, yang terutama bagian dari BAI dan DSS domain. Proses di APO dan MEA domain akan diperlukan untuk mendukung peningkatan kemampuan proses-proses inti masa lalu tingkat 1. Contohnya adalah APO01 Mengelola kerangka manajemen TI, yang diperlukan sebagai bagian dari membangun kerangka proses IT, untuk mendokumentasikan peran dan tanggung jawab yang dibutuhkan oleh proses di kemampuan level 2. The COBIT 5 input dan output adalah produk proses kerja / artefak dianggap perlu untuk mendukung operasi dari proses. Mereka memungkinkan keputusan kunci, memberikan catatan dan jejak audit dari kegiatan proses, dan memungkinkan tindak lanjut dalam hal insiden. Mereka didefinisikan pada level kunci praktek tata kelola / manajemen, dapat mencakup beberapa produk kerja hanya digunakan dalam proses, dan sering masukan penting untuk proses lainnya. Sementara proses input dan output yang ditampilkan dan digunakan untuk membantu memastikan operasi yang sesuai dari proses, produk kerja output dapat dianggap sebagai aspek yang paling penting. Bagian berikut ini dengan PRM, yang secara khusus dikembangkan untuk tujuan tingkat 1 kinerja. Tingkat 2 sampai 5 kurang spesifik dan ditandai sebagai GWPs.
Masukan dan keluaran Deskripsi proses rinci mengandung-pada tingkat tata kelola dan manajemen praktek-input dan output. Secara umum, setiap output dikirim ke satu atau sejumlah tujuan, biasanya lain praktek proses COBIT. output yang kemudian menjadi masukan ke tujuannya. Namun, ada sejumlah output yang memiliki banyak tujuan, misalnya, semua proses COBIT, atau semua proses dalam sebuah domain. Untuk alasan dibaca, output ini tidak terdaftar sebagai masukan dalam proses ini. Daftar lengkap output tersebut termasuk dalam angka 7. Untuk beberapa input / output, tujuan 'internal' disebutkan. Ini berarti bahwa input / output antara kegiatan dalam proses yang sama.
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Gambar 7-Output Output untuk semua Proses dari Key Praktek APO13.02
Rencana pengobatan informasi risiko keamanan Output untuk semua Proses Governance
dari Key Praktek EDM01.01
governance perusahaan prinsip panduan
EDM01.01
Pengambilan keputusan Model
EDM01.01
tingkat otoritas
EDM01.02
komunikasi pemerintahan perusahaan
EDM01.03
Umpan balik pada efektivitas pemerintahan dan kinerja Output untuk semua Proses Manajemen
dari Key Praktek APO01.01
aturan komunikasi dasar
APO01.03
kebijakan terkait IT
APO01.04
Komunikasi pada tujuan IT
APO01.07
peluang perbaikan proses
APO02.06
paket komunikasi
APO11.02
standar manajemen mutu
APO11.04
kualitas proses gol layanan dan metrik
APO11.06
Komunikasi pada perbaikan berkelanjutan dan praktik
APO11.06
Contoh praktek yang baik untuk dibagikan
APO11.06
Kualitas hasil tinjauan patokan
MEA01.02
target pemantauan
MEA01.04
laporan kinerja
MEA01.05
tindakan perbaikan dan tugas
MEA02.01
Hasil pemantauan pengendalian internal dan ulasan
MEA02.01
Hasil benchmarking dan evaluasi lainnya
MEA02.03
rencana penilaian diri dan kriteria
MEA02.03
Hasil review dari penilaian diri
MEA02.04
kontrol kekurangan
MEA02.04
tindakan perbaikan
MEA02.06
rencana jaminan
MEA02.08
lingkup Refined
MEA02.08
tinjauan jaminan hasil
MEA02.08
laporan review Jaminan
MEA03.02
Komunikasi dari persyaratan kepatuhan berubah
16
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators
3.1 evaluate, direct Dan monitor (Edm)
17
01
Pastikan pemerintahan kerangka pengaturan dan pemeliharaan.
02
Memastikan pengiriman manfaat.
03
Pastikan optimasi risiko.
04
Pastikan optimalisasi sumber daya.
05
Menjamin transparansi stakeholder.
17
Halaman sengaja dikosongkan
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID EDM01 Nama Proses Pastikan Tata Pengaturan Kerangka dan Pemeliharaan Proses Deskripsi
Menganalisis dan men
proses Tujuan Pernyataan
Menyediakan pendeka
Hasil (Os) Jumlah EDM01-O1
Pengambilan keputusa
EDM01-O2
Sistem pemerintahan u
EDM01-O3
Jaminan diperoleh bah
Praktek dasar (BPs) Jumlah EDM01-BP1
Mengevaluasi sistem Terus mengidentifikas
EDM01-BP2
Mengarahkan sistem Menginformasikan kep
EDM01-BP3
Memonitor sistem pe Memantau efektivitas
Kerja Produk (WP) input Jumlah Di luar COBIT
• • • •
MEA03-WP4
Komunikasi dari persy
Di luar COBIT
• Kewajiban • Laporan Aud
MEA01-WP5
laporan kinerja
MEA01-WP7
Status dan hasil tindak
MEA02-WP2
Hasil pemantauan pen
MEA02-WP3
Hasil benchmarking da
MEA02-WP6
Hasil review dari penil
MEA02-WP7
Jaminan tinjauan lingk
MEA03-WP6
konfirmasi kepatuhan
MEA03-WP7
Laporan jaminan kepa
MEA03-WP8
Laporan dari isu-isu no
Konstitusi / Pemerintaha Peraturan tren Lingkun
19
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID EDM01 (cont.) Nama Proses Pastikan Tata Pengaturan Kerangka dan Pemeliharaan output Jumlah EDM01-WP1
governance perusahaan prin
EDM01-WP2
Pengambilan keputusan Mo
EDM01-WP3
tingkat otoritas
EDM01-WP4
komunikasi pemerintahan pe
EDM01-WP5
Pendekatan sistem reward
EDM01-WP6
Umpan balik pada efektivitas p
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
20
20
Proses ID EDM02 Nama Proses Pastikan Manfaat Pengiriman Proses Deskripsi
Optimalkan kontribusi
proses Tujuan Pernyataan
Mengamankan nilai op
Hasil (Os) Jumlah EDM02-O1
perusahaan adalah me
EDM02-O2
Nilai optimal berasal da
EDM02-O3
Individu investasi IT-en
Praktek dasar (BPs) Jumlah EDM02-BP1
Mengevaluasi optima Terus mengevaluasi po
EDM02-BP2
nilai langsung optim prinsip-prinsip manaje IT-enabled investasi se
EDM02-BP3
Memonitor optimasi Memantau tujuan utam
Kerja Produk (WP) input Jumlah APO02-WP12
Peta jalan strategis
APO05-WP5
harapan hasil investas
APO05-WP8
program yang dipilih d
APO05-WP11
Manfaat hasil dan kom
BAI01-WP13
Tahap-gerbang hasil r
APO05-WP9
laporan kinerja portofo output
Jumlah EDM02-WP1
Evaluasi keselarasan s
EDM02-WP2
Evaluasi investasi dan
EDM02-WP3
jenis investasi dan krite
EDM02-WP4
Persyaratan untuk ula
EDM02-WP5
Umpan balik pada porto
EDM02-WP6
Tindakan untuk menin
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
Halaman sengaja dikosongkan
Proses ID EDM03 Nama Proses Pastikan Optimization Risiko Proses Deskripsi
Pastikan bahwa risk ap
proses Tujuan Pernyataan
Memastikan bahwa ris
Hasil (Os) Jumlah EDM03-O1
Ambang batas resiko d
EDM03-O2
perusahaan adalah me
EDM03-O3
risiko perusahaan IT te
Praktek dasar (BPs) Jumlah EDM03-BP1
Evaluasi manajemen Terus memeriksa dan IT di perusahaan. Pert
EDM03-BP2
manajemen risiko la Langsung pembentuka
EDM03-BP3
Memonitor manajem Memantau tujuan utam
Kerja Produk (WP) input Jumlah Di luar COBIT
prinsip-prinsip manaje
APO12-WP3
Muncul isu-isu risiko d
Di luar COBIT
profil manajemen risik
APO12-WP9
analisis risiko dan prof
APO12-WP6
Hasil analisis risiko
APO12-WP9
analisis risiko dan prof
APO12-WP10
Hasil review penilaian
APO12-WP11
Peluang untuk penerim output
Jumlah EDM03-WP1
bimbingan risk appetite
EDM03-WP2
tingkat toleransi risiko
EDM03-WP3
Evaluasi kegiatan man
EDM03-WP4
kebijakan manajemen
EDM03-WP5
tujuan utama dipantau
EDM03-WP6
Proses disetujui untuk
EDM03-WP7
tindakan perbaikan un
EDM03-WP8
isu-isu manajemen risi
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
Halaman sengaja dikosongkan
Proses ID EDM04 Nama Proses Pastikan Optimization Sumber Daya Proses Deskripsi
Pastikan bahwa yang m
proses Tujuan Pernyataan
Memastikan bahwa ke
Hasil (Os) Jumlah EDM04-O1
Kebutuhan sumber da
EDM04-O2
Sumber daya yang dia
EDM04-O3
penggunaan sumber d
Praktek dasar (BPs) Jumlah EDM04-BP1
Evaluasi pengelolaan Terus memeriksa dan
EDM04-BP2
pengelolaan sumber Memastikan penerapa
EDM04-BP3
Memonitor pengelola Memantau tujuan utam
Kerja Produk (WP) input Jumlah APO10-WP1
Pemasok penting dan
APO07-WP5
rencana pengembang
APO02-WP8
Kesenjangan dan peru output
Jumlah EDM04-WP1
Prinsip-prinsip pandua
EDM04-WP2
prinsip-prinsip pandua
EDM04-WP3
Rencana sumber dise
EDM04-WP4
Komunikasi strategi re
EDM04-WP5
tanggung jawab yang
EDM04-WP6
Prinsip untuk menjaga
EDM04-WP7
Tanggapan tentang alok
EDM04-WP8
tindakan perbaikan un
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
Halaman sengaja dikosongkan
Proses ID EDM05 Nama Proses Pastikan Stakeholder Transparansi Proses Deskripsi
Memastikan bahwa kin
proses Tujuan Pernyataan
Pastikan bahwa komu
Hasil (Os) Jumlah EDM05-O1
pelaporan Stakeholde
EDM05-O2
Pelaporan selesai, tep
EDM05-O3
Komunikasi efektif dan
Praktek dasar (BPs) Jumlah EDM05-BP1
Mengevaluasi persya Terus memeriksa dan
EDM05-BP2
komunikasi pemangk Menjamin terjalinnya k
EDM05-BP3
Memonitor komunika Memantau efektivitas k
Kerja Produk (WP) input Jumlah EDM02-WP6
Tindakan untuk menin
EDM03-WP4
kebijakan manajemen
EDM04-WP7
Tanggapan tentang alok
MEA02-WP10
lingkup Refined
APO12-WP9
analisis risiko dan prof
MEA02-WP11
tinjauan jaminan hasil
MEA02-WP12
laporan review Jamina output
Jumlah EDM05-WP1
Evaluasi persyaratan p
EDM05-WP2
prinsip-prinsip pelapor
EDM05-WP3
Aturan untuk memvalid
EDM05-WP4
pedoman eskalasi
EDM05-WP5
Penilaian efektivitas pe
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
Halaman sengaja dikosongkan
3.2 ALign, PLAN HairgAnIse (APo) 01
Mengelola kerangka kerja manajemen TI.
02
Mengatur strategi.
03
Mengelola arsitektur.
04
Mengelola inovasi.
05
Mengelola portofolio.
06
Mengelola anggaran dan biaya.
07
Mengelola sumber daya manusia.
08
Mengelola hubungan.
09
Mengelola perjanjian layanan.
10
Mengelola pemasok.
11
Mengelola kualitas.
12
Mengelola risiko.
13
Mengelola keamanan.
dan
Halaman sengaja dikosongkan
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO01 Nama Proses Mengelola Management Framework IT Proses Deskripsi
Memperjelas dan mempe
proses Tujuan Pernyataan
Memberikan pendekat
Hasil (Os) Jumlah APO01-O1
Set efektif kebijakan di
APO01-O2
Semua orang menyad
Praktek dasar (BPs) Jumlah APO01-BP1
Menentukan struktur Membentuk struktur or
APO01-BP2
Membangun peran d Menetapkan, menyetu
APO01-BP3
Menjaga enabler dar Menjaga enabler dari s operasi co- dan kerja s
APO01-BP4
Berkomunikasi tujua Berkomunikasi kesada
APO01-BP5
Optimalkan penempa Posisi kemampuan IT d
APO01-BP6
Mendefinisikan infor Menentukan dan mem
APO01-BP7
Mengelola perbaikan Menilai, merencanakan
APO01-BP8
Menjaga kepatuhan Dimasukkan ke dalam
31
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO01 (cont.) Nama Proses Mengelola Management Framework IT Kerja Produk (WP) input Jumlah EDM01-WP1
Pengambilan keputusan Mo
EDM01-WP2
governance perusahaan prin
APO03-WP5
Model arsitektur proses
EDM01-WP3
tingkat otoritas
EDM04-WP5
tanggung jawab yang dituga
APO07-WP4
Keterampilan dan kompeten
APO07-WP5
rencana pengembangan ke
APO11-WP1
sistem manajemen mutu pera
DSS06-WP4
peran dan tanggung jawab y
DSS06-WP5
tingkat Dialokasikan otoritas
EDM01-WP4
governance perusahaan prin
APO02-WP12
Peta jalan strategis
APO12-WP3
Muncul isu-isu risiko dan fak
APO12-WP6
Hasil analisis risiko
EDM01-WP4
komunikasi pemerintahan pe
EDM04-WP6
Prinsip untuk menjaga sumb
APO12-WP15
komunikasi dampak risiko
BAI08-WP7
Komunikasi pada nilai penge
DSS04-WP1
Kebijakan dan tujuan untuk k
DSS05-WP1
kebijakan pencegahan pera
DSS05-WP3
kebijakan keamanan konekt
DSS05-WP5
kebijakan keamanan untuk
Di luar COBIT
• model operasi P • Strategi Perusah
EDM01-WP6
Umpan balik pada efektivitas p
MEA03-WP3
Diperbarui kebijakan, prinsip
DSS01-WP6
kebijakan lingkungan
32
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO01 (cont.) Nama Proses Mengelola Management Framework IT output Jumlah APO01-WP1
kebijakan terkait IT
APO01-WP2
Ketidakpatuhan tindak
APO01-WP3
Evaluasi pilihan untuk
APO01-WP4
Ditetapkan penempata
APO01-WP5
Definisi struktur organ
APO01-WP6
pedoman operasional
APO01-WP7
aturan komunikasi das
APO01-WP8
Definisi peran dan tan
APO01-WP9
Definisi praktek penga
APO01-WP10
penilaian kemampuan
APO01-WP11
peluang perbaikan pro
APO01-WP12
tujuan kinerja dan metr
APO01-WP13
Komunikasi pada tujuan
APO01-WP14
pedoman klasifikasi da
APO01-WP15
panduan keamanan da
APO01-WP16
Prosedur integritas da
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
33
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Halaman sengaja dikosongkan
34
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO02 Nama Proses Mengelola Strategi Proses Deskripsi
Memberikan pandanga
proses Tujuan Pernyataan
Menyelaraskan strateg
Hasil (Os) Jumlah APO02-O1
Semua aspek dari stra
APO02-O2
Strategi TI adalah biay
APO02-O3
tujuan jangka pendek y
APO02-O4
IT adalah sopir nilai ba
APO02-O5
Ada kesadaran dari str
Praktek dasar (BPs) Jumlah APO02-BP1
Memahami arah peru Mempertimbangkan lin
APO02-BP2
Menilai lingkungan sa Menilai kinerja bisnis d dan mengembangkan
APO02-BP3
Tentukan kemampua Tentukan target bisnis pemahaman lingkunga
APO02-BP4
Melakukan analisis k Mengidentifikasi kesen
APO02-BP5
Tentukan rencana st Membuat rencana stra
APO02-BP6
Mengkomunikasikan Menciptakan kesadaran strategi TI, melalui komun
35
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO02 (cont.) Nama Proses Mengelola Strategi Kerja Produk (WP) input Jumlah EDM04-WP2
prinsip-prinsip panduan untu
APO04-WP1
peluang inovasi terkait deng
Di luar COBIT
strategi perusahaan dan per
APO06-WP13
peluang optimasi biaya
APO08-WP9
Definisi proyek perbaikan p
APO09-WP1
kesenjangan yang diidentifik
APO09-WP9
rencana aksi perbaikan dan
APO12-WP3
Muncul isu-isu risiko dan fak
APO12-WP6
Hasil analisis risiko
APO12-WP8
profil risiko agregat, termasu
APO12-WP13
proposal proyek untuk meng
BAI04-WP3
perbaikan diprioritaskan
BAI04-WP4
Kinerja dan kapasitas rencan
BAI04-WP7
Tindakan korektif
BAI09-WP3
Hasil fit-untuk-tujuan ulasan
BAI09-WP9
Hasil tinjauan optimasi biaya
BAI09-WP10
Peluang untuk mengurangi b
EDM02-WP1
Evaluasi keselarasan strateg
APO04-WP6
Hasil dan rekomendasi dari
APO04-WP7
Analisis inisiatif ditolak
APO04-WP10
Penilaian dari penggunaan p
APO05-WP5
harapan hasil investasi
BAI01-WP11
Hasil monitoring pencapaian
BAI01-WP13
Tahap-gerbang hasil review
BAI01-WP30
Pasca implementasi hasil re
APO06-WP4
anggaran TI dan rencana
EDM04-WP3
Rencana sumber disetujui
EDM04-WP7
Tanggapan tentang alokasi da
EDM04-WP8
tindakan perbaikan untuk me
APO03-WP1
Ditetapkan lingkup arsitektur
APO03-WP3
kasus bisnis konsep arsitekt
APO03-WP6
Model arsitektur informasi
APO03-WP7
pelaksanaan tingkat tinggi d
APO03-WP8
arsitektur transisi
APO05-WP3
Umpan balik pada strategi dan
APO05-WP4
Pilihan pendanaan
APO06-WP5
komunikasi anggaran
APO06-WP7
alokasi anggaran
DSS04-WP6
pilihan strategis disetujui
EDM04-WP4
Komunikasi strategi resourc
36
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO02 (cont.) Nama Proses Mengelola Strategi output Jumlah APO02-WP1
Sumber dan prioritas u
APO02-WP2
Dasar dari kemampua
APO02-WP3
Kesenjangan dan risiko
APO02-WP4
Kemampuan analisis SW
APO02-WP5
tujuan tingkat tinggi ya
APO02-WP6
bisnis dan TI diperlukan
APO02-WP7
perubahan arsitektur e
APO02-WP8
Kesenjangan dan peru
APO02-WP9
pernyataan manfaat nila
APO02-WP10
Definisi inisiatif strateg
APO02-WP11
Tugas beresiko
APO02-WP12
Peta jalan strategis
APO02-WP13
Rencana komunikasi
APO02-WP14
paket komunikasi
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
37
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Halaman sengaja dikosongkan
38
Proses ID APO03 Nama Proses Mengelola Enterprise Architecture Proses Deskripsi
Membangun arsitektur linkage untuk kompon
proses Tujuan Pernyataan
Mewakili blok yang ber
Hasil (Os) Jumlah APO03-O1
Arsitektur dan standar
APO03-O2
Sebuah portofolio laya
APO03-O3
arsitektur yang tepat d
APO03-O4
Sebuah perusahaan u
Praktek dasar (BPs) Jumlah APO03-BP1
Mengembangkan visi Visi arsitektur menyedia
APO03-BP2
Mendefinisikan refere Arsitektur referensi me
APO03-BP3
Pilih peluang dan sol Merasionalisasi kesen
APO03-BP4
Mendefinisikan imple Membuat implementas
APO03-BP5
Menyediakan layanan Penyediaan jasa arsite
Kerja Produk (WP) input Jumlah EDM04-WP2
prinsip-prinsip pandua
APO02-WP12
Peta jalan strategis
Di luar COBIT
strategi perusahaan
APO01-WP3
Evaluasi pilihan untuk
APO01-WP4
Ditetapkan penempata
APO01-WP5
Definisi struktur organ
APO01-WP6
pedoman operasional
APO01-WP14
pedoman klasifikasi da
Di luar COBIT
strategi perusahaan
APO02-WP7
perubahan arsitektur e
Di luar COBIT
• Strategi Peru • Driver Perus
39
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO03 (cont.) Nama Proses Mengelola Enterprise Architecture output Jumlah APO03-WP1
Ditetapkan lingkup arsitektur
APO03-WP2
prinsip-prinsip arsitektur
APO03-WP3
kasus bisnis konsep arsitekt
APO03-WP4
deskripsi domain dasar dan
APO03-WP5
Model arsitektur proses
APO03-WP6
Model arsitektur informasi
APO03-WP7
pelaksanaan tingkat tinggi d
APO03-WP8
arsitektur transisi
APO03-WP9
kebutuhan sumber daya
APO03-WP10
deskripsi tahap implementas
APO03-WP11
persyaratan tata arsitektur
APO03-WP12
pengembangan solusi dan b
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
40
Proses ID APO04 Nama Proses Mengelola Inovasi Proses Deskripsi
Menjaga kesadaran te
proses Tujuan Pernyataan
Mencapai keunggulan
Hasil (Os) Jumlah APO04-O1
nilai perusahaan dicipt
APO04-O2
tujuan perusahaan ter
APO04-O3
Inovasi dipromosikan
Praktek dasar (BPs) Jumlah APO04-BP1
Menciptakan lingkun Menciptakan lingkunga
APO04-BP2
Menjaga pemahaman Bekerja dengan stakeh
APO04-BP3
Memantau dan memi Lakukan pemantauan s
APO04-BP4
Menilai potensi tekno Menganalisis muncul t
APO04-BP5
Merekomendasikan i Mengevaluasi dan me
APO04-BP6
Memantau pelaksana Memantau pelaksanaa
Kerja Produk (WP) input Jumlah Di luar COBIT
strategi perusahaan dan muncul teknologi
41
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO04 (cont.) Nama Proses Mengelola Inovasi output Jumlah APO04-WP1
peluang inovasi terkait deng
APO04-WP2
Penelitian analisis kemungki
APO04-WP3
Evaluasi ide untuk inovasi
APO04-WP4
Bukti dari konsep ruang lingk
APO04-WP5
Hasil pengujian dari bukti-of-kons
APO04-WP6
Hasil dan rekomendasi dari
APO04-WP7
Analisis inisiatif ditolak
APO04-WP8
rencana inovasi
APO04-WP9
Pengakuan dan penghargaa
APO04-WP10
Penilaian dari penggunaan p
APO04-WP11
Evaluasi manfaat inovasi
APO04-WP12
rencana inovasi Disesuaikan
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
42
Proses ID APO05 Nama Proses Mengelola Portofolio Proses Deskripsi
Mengeksekusi arah str
proses Tujuan Pernyataan
Mengoptimalkan kiner
Hasil (Os) Jumlah APO05-O1
Campuran investasi ya
APO05-O2
Sumber pendanaan in
APO05-O3
kasus bisnis Program
APO05-O4
Sebuah pandangan ya
APO05-O5
perubahan program in
APO05-O6
Manfaat telah terwujud
Praktek dasar (BPs) Jumlah APO05-BP1
Membangun campur Meninjau dan memast sebagai biaya dan ROI y
APO05-BP2
Menentukan ketersed Menentukan potensi s
APO05-BP3
Mengevaluasi dan m Berdasarkan persyara
APO05-BP4
Memantau, mengopti Secara teratur, meman
APO05-BP5
Menjaga portofolio. Menjaga portofolio pro
APO05-BP6
Mengelola prestasi m Memantau manfaat me
43
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO05 (cont.) Nama Proses Mengelola Portofolio Kerja Produk (WP) input Jumlah EDM02-WP3
jenis investasi dan kriteria
APO02-WP10
Definisi inisiatif strategis
APO02-WP11
Tugas beresiko
APO02-WP12
Peta jalan strategis
APO06-WP6
Prioritas dan peringkat inisia
APO09-WP2
Definisi standar pelayanan
APO09-WP3
definisi layanan
EDM02-WP1
Evaluasi keselarasan strateg
EDM02-WP2
Evaluasi investasi dan layan
EDM02-WP3
jenis investasi dan kriteria
APO03-WP3
kasus bisnis konsep arsitekt
APO04-WP4
Bukti dari konsep ruang lingk
APO06-WP4
anggaran TI dan rencana
APO06-WP5
komunikasi anggaran
APO06-WP7
alokasi anggaran
APO09-WP1
kesenjangan yang diidentifik
APO09-WP6
perjanjian tingkat layanan (S
BAI01-WP4
Konsep Program kasus bisn
BAI01-WP5
mandat Program dan singka
BAI01-WP6
Rencana realisasi manfaat P
EDM02-WP2
Evaluasi investasi dan layan
EDM02-WP5
Umpan balik pada portofolio d
EDM02-WP6
Tindakan untuk meningkatka
APO04-WP11
Evaluasi manfaat inovasi
BAI01-WP13
Tahap-gerbang hasil review
APO09-WP4
portofolio layanan diperbaru
BAI01-WP33
Komunikasi pensiun Progra
BAI01-WP8
anggaran program dan man
BAI01-WP10
Hasil pemantauan realisasi
44
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO05 (cont.) Nama Proses Mengelola Portofolio output Jumlah APO05-WP1
Ditetapkan campuran
APO05-WP2
sumber daya diidentifi
APO05-WP3
Umpan balik pada strate
APO05-WP4
Pilihan pendanaan
APO05-WP5
harapan hasil investas
APO05-WP6
kasus bisnis Program
APO05-WP7
penilaian kasus bisnis
APO05-WP8
program yang dipilih d
APO05-WP9
laporan kinerja portofo
APO05-WP10
portofolio update progr
APO05-WP11
Manfaat hasil dan kom
APO05-WP12
tindakan korektif untuk
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
45
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Halaman sengaja dikosongkan
46
Proses ID APO06 Nama Proses Mengelola Anggaran dan Biaya Proses Deskripsi
Mengelola kegiatan ke
proses Tujuan Pernyataan
Foster kemitraan antara
Hasil (Os) Jumlah APO06-O1
Sebuah anggaran yan
APO06-O2
Alokasi sumber daya T
APO06-O3
Biaya untuk layanan di
APO06-O4
Anggaran dapat secar
Praktek dasar (BPs) Jumlah APO06-BP1
Mengelola keuangan Membangun dan mem
APO06-BP2
Prioritaskan alokasi s Menerapkan proses p
APO06-BP3
Menciptakan dan me Menyiapkan anggaran
APO06-BP4
Model dan mengalok Membangun dan meng kesesuaian biaya mo
APO06-BP5
Mengelola biaya. Melaksanakan proses
47
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO06 (cont.) Nama Proses Mengelola Anggaran dan Biaya Kerja Produk (WP) input Jumlah BAI09-WP1
aset mendaftar
APO04-WP4
Bukti dari konsep ruang lingk
APO05-WP5
harapan hasil investasi
APO05-WP7
penilaian kasus bisnis
EDM02-WP2
Evaluasi investasi dan layan
EDM02-WP6
Tindakan untuk meningkatka
APO05-WP6
kasus bisnis Program
BAI01-WP6
Rencana realisasi manfaat P
EDM02-WP5
Umpan balik pada portofolio d
BAI01-WP8
anggaran program dan man
BAI01-WP10
Hasil pemantauan realisasi output
Jumlah APO06-WP1
proses akuntansi
APO06-WP2
IT skema klasifikasi biaya
APO06-WP3
praktek perencanaan keuang
APO06-WP4
anggaran TI dan rencana
APO06-WP5
komunikasi anggaran
APO06-WP6
Prioritas dan peringkat inisia
APO06-WP7
alokasi anggaran
APO06-WP8
Dikategorikan biaya TI
APO06-WP9
Model alokasi biaya
APO06-WP10
komunikasi alokasi biaya
APO06-WP11
Metode pengumpulan data b
APO06-WP12
metode konsolidasi biaya
APO06-WP13
peluang optimasi biaya
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
48
Proses ID APO07 Nama Proses Mengelola Sumber Daya Manusia Proses Deskripsi
Memberikan pendekat
proses Tujuan Pernyataan
Optimalkan kemampu
Hasil (Os) Jumlah APO07-O1
Struktur organisasi TI d
APO07-O2
sumber daya manusia
Praktek dasar (BPs) Jumlah APO07-BP1
Mempertahankan sta Mengevaluasi kebutuh
APO07-BP2
Mengidentifikasi pers Mengidentifikasi perso
APO07-BP3
Mempertahankan ket Mendefinisikan dan me
APO07-BP4
Mengevaluasi kinerja Lakukan evaluasi kinerj
APO07-BP5
Merencanakan dan m Memahami dan melaca
APO07-BP6
Mengelola staf kontr Pastikan bahwa konsu
49
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO07 (cont.) Nama Proses Mengelola Sumber Daya Manusia Kerja Produk (WP) input Jumlah EDM04-WP1
Prinsip-prinsip panduan untu
EDM04-WP3
Rencana sumber disetujui
EDM04-WP8
tindakan perbaikan untuk me
APO01-WP9
Definisi praktek pengawasan
APO06-WP4
anggaran TI dan rencana
APO06-WP5
komunikasi anggaran
Di luar COBIT
• Perusahaan sum • tujuan Enterpris
Di luar COBIT
tujuan perusahaan dan tujua
EDM01-WP5
Pendekatan sistem reward
EDM04-WP8
tindakan perbaikan untuk me
BAI08-WP2
Diterbitkan repositori penget
BAI08-WP4
kesadaran pengetahuan dan
DSS04-WP14
kebutuhan pelatihan
DSS04-WP15
Pemantauan hasil keteramp
EDM01-WP5
Pendekatan sistem reward
APO04-WP9
Pengakuan dan penghargaa
BAI05-WP14
kinerja HR tinjauan hasil
BAI05-WP7
tujuan kinerja HR selaras
DSS06-WP6
hak akses dialokasikan
Di luar COBIT
tujuan perusahaan dan tujua
EDM04-WP4
Komunikasi strategi resourc
EDM04-WP7
Tanggapan tentang alokasi da
APO06-WP7
alokasi anggaran
BAI01-WP9
kebutuhan sumber daya dan
BAI01-WP27
kebutuhan sumber daya pro
BAI01-WP9
kebutuhan sumber daya dan
BAI01-WP33
Komunikasi pensiun Program
Di luar COBIT
• Saat ini dan mas • Struktur organis
50
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO07 (cont.) Nama Proses Mengelola Sumber Daya Manusia output Jumlah APO07-WP1
evaluasi persyaratan S
APO07-WP2
rencana pengembanga
APO07-WP3
rencana personil sumbe
APO07-WP4
Keterampilan dan kom
APO07-WP5
rencana pengembang
APO07-WP6
laporan Ulasan
APO07-WP7
tujuan personil
APO07-WP8
evaluasi kinerja
APO07-WP9
rencana perbaikan
APO07-WP10
Persediaan bisnis dan
APO07-WP11
analisis Resourcing ke
APO07-WP12
catatan pemanfaatan s
APO07-WP13
kebijakan tenaga kont
APO07-WP14
perjanjian kontrak
APO07-WP15
ulasan kesepakatan ko
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
51
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Halaman sengaja dikosongkan
52
Proses ID APO08 Nama Proses Mengelola Hubungan Proses Deskripsi
Mengelola hubungan a
proses Tujuan Pernyataan
Buat hasil yang lebih b
Hasil (Os) Jumlah APO08-O1
strategi bisnis, rencana
APO08-O2
Hubungan yang baik ad
APO08-O3
pemangku kepentinga
Praktek dasar (BPs) Jumlah APO08-BP1
Memahami ekspektas Memahami isu-isu bisn
APO08-BP2
Mengidentifikasi pelu Mengidentifikasi poten
APO08-BP3
Mengelola hubungan Mengelola hubungan d
APO08-BP4
Koordinasi dan berk Bekerja dengan stakeh
APO08-BP5
Memberikan masuka Terus meningkatkan da
Kerja Produk (WP) input Jumlah APO02-WP12
Peta jalan strategis
APO09-WP1
kesenjangan yang diid
APO09-WP8
Layanan laporan kiner
APO09-WP9
rencana aksi perbaika
APO11-WP11
akar penyebab kegaga
BAI05-WP10
rencana operasi dan p
BAI07-WP11
rencana dukungan tam
DSS02-WP5
Diklasifikasikan dan di
DSS02-WP11
permintaan layanan te
DSS02-WP12
konfirmasi pengguna p
DSS02-WP13
status dan kecenderun
DSS02-WP14
Permintaan status pem
APO09-WP5
katalog layanan
APO09-WP6
SLA
APO11-WP7
Hasil peninjauan kuali
APO12-WP15
komunikasi dampak ris
BAI09-WP4
Komunikasi direncana
DSS03-WP9
Komunikasi pengetahu
53
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO08 (cont.) Nama Proses Mengelola Hubungan Kerja Produk (WP) input Jumlah APO11-WP5
kebutuhan pelanggan untuk
APO11-WP8
Hasil tinjauan kualitas dan a
APO11-WP10
Hasil solusi dan layanan pem
BAI03-WP14
Rencana pemeliharaan
BAI05-WP11
langkah-langkah keberhasila
BAI07-WP11
rencana dukungan tambaha output
Jumlah APO08-WP1
Diklarifikasi dan disetujui-on
APO08-WP2
Setuju-on langkah selanjutny
APO08-WP3
Setuju-keputusan kunci
APO08-WP4
Pengaduan dan eskalasi Sta
APO08-WP5
Rencana komunikasi
APO08-WP6
paket komunikasi
APO08-WP7
tanggapan pelanggan
APO08-WP8
analisis kepuasan
APO08-WP9
Definisi proyek perbaikan p
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
54
Proses ID APO09 Nama Proses Mengelola Perjanjian Layanan Proses Deskripsi
Menyelaraskan layana
proses Tujuan Pernyataan
Memastikan bahwa lay
Hasil (Os) Jumlah APO09-O1
perusahaan dapat seca
APO09-O2
perjanjian layanan men
APO09-O3
Layanan TI tampil seba
Praktek dasar (BPs) Jumlah APO09-BP1
Mengidentifikasi laya Menganalisis kebutuha
APO09-BP2
Katalog IT-enabled la Mendefinisikan dan me
APO09-BP3
Mendefinisikan dan m Mendefinisikan dan me
APO09-BP4
Memantau dan melap Memantau tingkat laya
APO09-BP5
Tinjau perjanjian laya Melakukan tinjauan be
Kerja Produk (WP) input Jumlah EDM04-WP1
Prinsip-prinsip pandua
EDM04-WP3
Rencana sumber dise
EDM04-WP4
Komunikasi strategi re
APO02-WP8
Kesenjangan dan perub
APO02-WP9
pernyataan manfaat nila
APO05-WP10
portofolio update progr
APO06-WP4
anggaran TI dan rencan
APO06-WP5
komunikasi anggaran
APO06-WP7
alokasi anggaran
APO08-WP9
Definisi proyek perbaik
BAI10-WP4
dasar konfigurasi
BAI10-WP6
Perubahan disetujui u
BAI10-WP7
laporan status konfigu
APO11-WP5
kebutuhan pelanggan
55
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO09 (cont.) Nama Proses Mengelola Perjanjian Layanan Kerja Produk (WP) (cont.) input Jumlah EDM04-WP8
tindakan perbaikan untuk me
APO05-WP9
laporan kinerja portofolio inv
APO05-WP11
Manfaat hasil dan komunika
APO05-WP12
tindakan korektif untuk meni
APO08-WP8
analisis kepuasan
APO11-WP8
Hasil tinjauan kualitas dan a
APO11-WP11
akar penyebab kegagalan ku
APO11-WP10
Hasil solusi dan layanan pem
EDM04-WP7
Tanggapan tentang alokasi da
APO11-WP7
Hasil peninjauan kualitas lay
APO11-WP8
Hasil tinjauan kualitas dan a
BAI04-WP2
Evaluasi terhadap SLA output
Jumlah APO09-WP1
kesenjangan yang diidentifik
APO09-WP2
Definisi standar pelayanan
APO09-WP3
definisi layanan
APO09-WP4
portofolio layanan diperbarui
APO09-WP5
katalog layanan
APO09-WP6
SLA
APO09-WP7
perjanjian tingkat operasiona
APO09-WP8
Layanan laporan kinerja ting
APO09-WP9
rencana aksi perbaikan dan
APO09-WP10
SLA diperbarui
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
56
Proses ID APO10 Nama Proses Mengelola Pemasok Proses Deskripsi
Mengelola TI terkait la
proses Tujuan Pernyataan
Meminimalkan risiko y
Hasil (Os) Jumlah APO10-O1
Pemasok perform yang
APO10-O2
risiko pemasok dinilai d
APO10-O3
hubungan pemasok be
Praktek dasar (BPs) Jumlah APO10-BP1
Mengidentifikasi dan Mengidentifikasi pema
APO10-BP2
Pilih pemasok. Pilih pemasok sesuai d
APO10-BP3
Mengelola hubungan Meresmikan dan meng
APO10-BP4
Mengelola risiko pem Mengidentifikasi dan m
APO10-BP5
Memantau kinerja pe Berkala meninjau kiner
Kerja Produk (WP) input Jumlah Di luar COBIT
kontrak pemasok
BAI03-WP4
rencana akuisisi disetu output
Jumlah APO10-WP1
Pemasok penting dan
APO10-WP2
Katalog pemasok
APO10-WP3
Potensi revisi kontrak p
APO10-WP4
peran dan tanggung ja
APO10-WP5
Komunikasi dan penin
APO10-WP6
Hasil review dan perba
APO10-WP7
risiko pengiriman pem
APO10-WP8
Diidentifikasi persyara
APO10-WP9
Kriteria pemantauan P
APO10-WP10
Pemasok pemantauan
APO10-WP11
permintaan pemasok u
APO10-WP12
RFI dan RFP evaluasi
APO10-WP13
Hasil keputusan evalu
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses. 57
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Halaman sengaja dikosongkan
58
Proses ID APO11 Nama Proses Mengelola Kualitas Proses Deskripsi
Mendefinisikan dan be
proses Tujuan Pernyataan
Memastikan pengirima
Hasil (Os) Jumlah APO11-O1
Stakeholder puas den
APO11-O2
Proyek dan pelayanan
APO11-O3
persyaratan kualitas d
Praktek dasar (BPs) Jumlah APO11-BP1
Membangun sistem m Menetapkan dan meme
APO11-BP2
Mendefinisikan dan m Mengidentifikasi dan m atau jasa.
APO11-BP3
manajemen mutu fok Fokus manajemen mut
APO11-BP4
Lakukan pemantauan Memantau kualitas pros
APO11-BP5
Mengintegrasikan ma
APO11-BP6
Menjaga perbaikan te Menjaga dan secara te Data tentang SMM, dan
Kerja Produk (WP) input Jumlah Di luar COBIT
sistem mutu enterprise
Di luar COBIT
• praktek Indu • sertifikasi m
BAI02-WP9
ulasan kualitas disetu
BAI03-WP7
rencana jaminan kualit
BAI03-WP8
meninjau kualitas hasi
59
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO11 (cont.) Nama Proses Mengelola Kualitas output Jumlah APO11-WP1
peran QMS, tanggung jawab
APO11-WP2
rencana pengelolaan kualita
APO11-WP3
Hasil tinjauan SMM efektivita
APO11-WP4
standar manajemen mutu
APO11-WP5
kebutuhan pelanggan untuk
APO11-WP6
Kriteria penerimaan
APO11-WP7
Hasil peninjauan kualitas lay
APO11-WP8
Hasil tinjauan kualitas dan a
APO11-WP9
kualitas proses gol layanan d
APO11-WP10
Hasil solusi dan layanan pem
APO11-WP11
akar penyebab kegagalan ku
APO11-WP12
Komunikasi pada perbaikan
APO11-WP13
Contoh praktek yang baik un
APO11-WP14
Kualitas hasil tinjauan patok
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
60
Proses ID APO12 Nama Proses Mengelola Risiko Proses Deskripsi
Terus mengidentifikasi
proses Tujuan Pernyataan
Mengintegrasikan mana Yang berkaitan denga
Hasil (Os) Jumlah APO12-O1
resiko yang berkaitan
APO12-O2
Sebuah profil risiko sa
APO12-O3
Semua tindakan mana
APO12-O4
tindakan manajemen r
Praktek dasar (BPs) Jumlah APO12-BP1
Mengumpulkan data. Mengidentifikasi dan m
APO12-BP2
Menganalisis risiko. Mengembangkan infor
APO12-BP3
Mempertahankan pr Menjaga inventarisasi
APO12-BP4
risiko mengartikulas Memberikan informasi
APO12-BP5
Mendefinisikan porto Mengelola peluang un
APO12-BP6
Menanggapi risiko. Menanggapi secara te Terkait IT peristiwa.
Kerja Produk (WP) input Jumlah EDM03-WP3
Evaluasi kegiatan man
EDM03-WP4
kebijakan manajemen
EDM03-WP5
tujuan utama dipantau
EDM03-WP6
Proses disetujui untuk
DSS02-WP13
status dan kecenderun
Di luar COBIT
advisories ancaman
DSS04-WP4
analisis dampak bisnis
DSS05-WP2
Evaluasi potensi ancam
EDM03-WP1
bimbingan risk appetite
EDM03-WP2
tingkat toleransi risiko
APO10-WP7
risiko pengiriman pem
DSS05-WP2
Evaluasi potensi ancam
EDM03-WP7
tindakan perbaikan un
61
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID APO12 (cont.) Nama Proses Mengelola Risiko output Jumlah APO12-WP1
Data pada lingkungan opera
APO12-WP2
Data pada peristiwa risiko da
APO12-WP3
Muncul isu-isu risiko dan fak
APO12-WP4
Lingkup usaha analisis risiko
APO12-WP5
skenario risiko IT
APO12-WP6
Hasil analisis risiko
APO12-WP7
skenario risiko didokumenta
APO12-WP8
profil risiko agregat, termasu
APO12-WP9
analisis risiko dan profil risik
APO12-WP10
Hasil review penilaian risiko
APO12-WP11
Peluang untuk penerimaan
APO12-WP12
proposal proyek untuk meng
APO12-WP13
rencana respon insiden terk
APO12-WP14
komunikasi dampak risiko
APO12-WP15
akar penyebab yang berhub
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
62
62
Proses ID APO13 Nama Proses Mengelola Keamanan Proses Deskripsi
Tentukan beroperasi d
proses Tujuan Pernyataan
Jauhkan dampak dan
Hasil (Os) Jumlah APO13-O1
Sebuah sistem di tem
APO13-O2
Sebuah rencana keam
APO13-O3
solusi keamanan infor
Praktek dasar (BPs) Jumlah APO13-BP1
Membangun dan mem Membangun dan mem
APO13-BP2
Mendefinisikan dan m Menjaga rencana keam
APO13-BP3
Memantau dan menin Menjaga dan secara te ISMS. Benar ketidakse
Kerja Produk (WP) input Jumlah Di luar COBIT
Pendekatan keamana
APO02-WP8
Kesenjangan dan peru
APO03-WP4
deskripsi domain dasa
APO12-WP13
proposal proyek untuk
DSS02-WP5
Diklasifikasikan dan di output
Jumlah APO13-WP1
kebijakan ISMS
APO13-WP2
pernyataan lingkup ISM
APO13-WP3
Rencana pengobatan
APO13-WP4
kasus bisnis keamana
APO13-WP5
laporan audit ISMS
APO13-WP6
Rekomendasi untuk m
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
Halaman sengaja dikosongkan
3.3 build, SEBUAHcquIre Dan sayamplement (BAI) 01
Mengelola program dan proyek.
02
Mengelola definisi persyaratan.
03
Mengelola identifikasi solusi dan membangun.
04
Mengelola ketersediaan dan kapasitas.
05
Mengelola organisasi pemberdayaan perubahan.
06
Mengelola perubahan.
07
Mengelola perubahan penerimaan dan transisi.
08
Mengelola pengetahuan.
09
Mengelola aset.
10
Mengelola konfigurasi.
Halaman sengaja dikosongkan
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID BAI01 Nama Proses Mengelola Program dan Proyek Proses Deskripsi
Mengelola semua prog
proses Tujuan Pernyataan
Menyadari manfaat bis
Hasil (Os) Jumlah BAI01-O1
stakeholder terkait terli
BAI01-O2
Ruang lingkup dan has
BAI01-O3
rencana program dan
BAI01-O4
Kegiatan program dan
BAI01-O5
Ada sumber daya prog
BAI01-O6
Manfaat program dan
Praktek dasar (BPs) Jumlah BAI01-BP1
Mempertahankan pe Mempertahankan pend
BAI01-BP2
Memulai sebuah pro Memulai program untu program singkat, meni
BAI01-BP3
Mengelola keterlibat Mengelola keterlibatan
BAI01-BP4
Mengembangkan da Merumuskan program
BAI01-BP5
Peluncuran dan men Peluncuran dan melak Tahap-gate atau revie Tahap-gate atau review
BAI01-BP6
Monitor, kontrol dan Memantau dan progra
BAI01-BP7
Start up dan memula Menetapkan dan mend
BAI01-BP8
rencana proyek. Membangun dan mem
67
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID BAI01 (cont.) Nama Proses Mengelola Program dan Proyek Basis Praktek (BPs) (cont.) Jumlah BAI01-BP9
Mengelola program dan ku Menyiapkan dan melaksanak
BAI01-BP10
Mengelola program dan ri Menghilangkan atau memin
BAI01-BP11
Memantau dan kontrol pro Mengukur kinerja proyek ter dan program secara keselur
BAI01-BP12
Mengelola sumber daya p Mengelola proyek dengan p
BAI01-BP13
Menutup proyek atau itera Pada akhir setiap proyek, rili program, dan mengidentifika
BAI01-BP14
Menutup program. Menghapus program dari po
Kerja Produk (WP) input Jumlah EDM02-WP4
Persyaratan untuk ulasan ta
EDM02-WP6
Tindakan untuk meningkatka
APO03-WP10
deskripsi tahap implementas
APO03-WP11
persyaratan tata arsitektur
APO05-WP10
portofolio update program, la
APO10-WP7
risiko pengiriman pemasok d
APO03-WP9
kebutuhan sumber daya
APO03-WP10
deskripsi tahap implementas
APO05-WP6
kasus bisnis Program
APO07-WP4
Keterampilan dan kompeten
BAI05-WP4
visi dan tujuan bersama
APO05-WP8
program yang dipilih dengan
APO07-WP10
Persediaan bisnis dan TI sum
BAI05-WP3
tim implementasi dan peran
BAI05-WP5
rencana komunikasi visi
BAI05-WP8
Diidentifikasi quick wins
BAI07-WP4
Menyetujui rencana tes pen
BAI07-WP8
penerimaan disetujui dan ri
BAI05-BP3
Mengkomunikasikan visi yan
68
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID BAI01 (cont.) Nama Proses Mengelola Program dan Proyek Kerja Produk (WP) (cont.) input Jumlah EDM02-WP5
Umpan balik pada porto
APO05-WP5
harapan hasil investas
APO05-WP7
penilaian kasus bisnis
APO05-WP9
laporan kinerja portofo
APO05-WP11
Manfaat hasil dan kom
APO05-WP12
tindakan korektif untuk
APO07-WP11
analisis Resourcing ke
APO07-WP12
catatan pemanfaatan s
BAI05-WP9
Komunikasi manfaat
BAI06-WP5
laporan status perubah
BAI07-WP7
Evaluasi hasil
BAI07-WP4
Menyetujui rencana te
APO11-WP2
rencana pengelolaan k
APO11-WP5
kebutuhan pelanggan
APO12-WP6
Hasil analisis risiko
BAI02-WP6
risiko persyaratan men
BAI02-WP7
tindakan mitigasi risiko
Di luar COBIT
kerangka kerja manaje
BAI07-WP12
tinjauan pasca implem
BAI07-WP13
rencana tindakan perb output
Jumlah BAI01-WP1
program diperbarui da
BAI01-WP2
Rencana keterlibatan p
BAI01-WP3
Hasil dari penilaian efe
BAI01-WP4
Konsep Program kasu
BAI01-WP5
mandat Program dan s
BAI01-WP6
Rencana realisasi man
BAI01-WP7
rencana program
BAI01-WP8
anggaran program dan
BAI01-WP9
kebutuhan sumber day
BAI01-WP10
Hasil pemantauan rea
BAI01-WP11
Hasil monitoring penca
BAI01-WP12
Hasil tinjauan kinerja p
BAI01-WP13
Tahap-gerbang hasil r
69
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID BAI01 (cont.) Nama Proses Mengelola Program dan Proyek Output (cont.) Jumlah BAI01-WP14
rencana proyek
BAI01-WP15
baseline proyek
BAI01-WP16
laporan dan komunikasi proy
BAI01-WP17
Rencana manajemen mutu
BAI01-WP18
Persyaratan untuk verifikasi
BAI01-WP19
pernyataan lingkup proyek
BAI01-WP20
definisi proyek
BAI01-WP21
rencana pengelolaan risiko
BAI01-WP22
Hasil penilaian risiko proyek
BAI01-WP23
Proyek risk register
BAI01-WP24
kriteria kinerja proyek
BAI01-WP25
laporan kemajuan proyek
BAI01-WP26
Setuju-perubahan untuk pro
BAI01-WP27
kebutuhan sumber daya pro
BAI01-WP28
peran dan tanggung jawab p
BAI01-WP29
Kesenjangan dalam perenca
BAI01-WP30
Pasca implementasi hasil re
BAI01-WP31
pelajaran proyek belajar
BAI01-WP32
konfirmasi penerimaan proye
BAI01-WP33
Komunikasi pensiun Progra
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
70
Proses ID BAI02 Nama Proses Mengelola Persyaratan Definisi Proses Deskripsi
Mengidentifikasi solus
proses Tujuan Pernyataan
Menciptakan solusi op
Hasil (Os) Jumlah BAI02-O1
kebutuhan fungsional d
BAI02-O2
bisnis solusi memenuh
BAI02-O3
Risiko yang terkait den
BAI02-O4
Persyaratan dan solus
Praktek dasar (BPs) Jumlah BAI02-BP1
Mendefinisikan dan m Berdasarkan kasus bis
BAI02-BP2
Melakukan studi kelay Melakukan studi kelaya
BAI02-BP3
Mengelola risiko per Mengidentifikasi, doku
BAI02-BP4
Mendapatkan persetu Co-ordinat umpan bali
Kerja Produk (WP) input Jumlah APO01-WP14
pedoman klasifikasi da
APO01-WP15
panduan keamanan da
APO01-WP16
Prosedur integritas da
APO03-WP2
prinsip-prinsip arsitekt
APO03-WP4
deskripsi domain dasa
APO03-WP6
Model arsitektur inform
APO03-WP12
bimbingan pengemban
APO10-WP11
Pemasok RFIs dan RFP
APO11-WP6
Kriteria penerimaan
APO03-WP12
bimbingan pengemban
APO10-WP2
Katalog pemasok
APO10-WP12
RFI dan RFP evaluasi
APO10-WP13
Hasil keputusan evalu
APO11-WP6
Kriteria penerimaan
BAI01-WP17
Rencana manajemen
71
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID BAI02 (cont.) Nama Proses Mengelola Persyaratan Definisi output Jumlah BAI02-WP1
repositori persyaratan defini
BAI02-WP2
penerimaan dikonfirmasi pe
BAI02-WP3
Rekaman permintaan perub
BAI02-WP4
laporan studi kelayakan
BAI02-WP5
akuisisi tingkat tinggi / renca
BAI02-WP6
risiko persyaratan mendafta
BAI02-WP7
tindakan mitigasi risiko
BAI02-WP8
persetujuan dari persyaratan
BAI02-WP9
ulasan kualitas disetujui
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
72
Proses ID BAI03 Nama Proses Mengelola Identifikasi Solusi dan Membangun Proses Deskripsi
Membangun dan mem
proses Tujuan Pernyataan
Membangun solusi tep
Hasil (Os) Jumlah BAI03-O1
Desain solusi, termasuk
BAI03-O2
Solusinya sesuai deng
BAI03-O3
Solusinya adalah dari
BAI03-O4
Perubahan disetujui u
BAI03-O5
kegiatan pemeliharaan
Praktek dasar (BPs) Jumlah BAI03-BP1
Merancang solusi tin Mengembangkan dan
BAI03-BP2
Merancang kompone Mengembangkan, dok dan terkait otomatis da
BAI03-BP3
Mengembangkan kom Mengembangkan kom
BAI03-BP4
Pengadaan kompone Pengadaan komponen
BAI03-BP5
Membangun solusi. Menginstal dan mengk
BAI03-BP6
Lakukan jaminan kua Mengembangkan, sumb
BAI03-BP7
Siapkan untuk pengu Menetapkan rencana u
BAI03-BP8
Jalankan pengujian s Jalankan pengujian ter
BAI03-BP9
Mengelola perubaha Melacak status kebutuhan
73
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID BAI03 (cont.) Nama Proses Mengelola Identifikasi Solusi dan Membangun Basis Praktek (BPs) (cont.) Jumlah BAI03-BP10
Menjaga solusi. Mengembangkan dan melak
BAI03-BP11
Mendefinisikan layanan TI Mendefinisikan dan menyep
Kerja Produk (WP) input Jumlah APO03-WP2
prinsip-prinsip arsitektur
APO03-WP4
deskripsi domain dasar dan
APO04-WP2
Penelitian analisis kemungki
APO04-WP3
Evaluasi ide untuk inovasi
BAI02-WP1
repositori persyaratan defini
BAI02-WP2
penerimaan dikonfirmasi pe
BAI02-WP5
akuisisi tingkat tinggi / renca
APO03-WP6
Model arsitektur informasi
APO03-WP12
bimbingan pengembangan s
APO04-WP10
Penilaian dari penggunaan p
BAI02-WP1
repositori persyaratan defini
BAI02-WP2
penerimaan dikonfirmasi pe
BAI02-WP6
risiko persyaratan mendafta
BAI02-WP7
tindakan mitigasi risiko
BAI02-WP8
persetujuan dari persyaratan
BAI02-WP4
laporan studi kelayakan
APO11-WP3
Hasil tinjauan SMM efektivita
BAI01-WP17
Rencana manajemen mutu
APO04-WP7
Analisis inisiatif ditolak
APO04-WP6
Hasil dan rekomendasi dari
BAI02-WP3
Rekaman permintaan perub
EDM04-WP1
Prinsip-prinsip panduan untu
APO02-WP9
pernyataan manfaat nilai untu
APO06-WP5
komunikasi anggaran
APO06-WP7
alokasi anggaran
APO08-WP9
Definisi proyek perbaikan p
BAI10-WP4
dasar konfigurasi
BAI10-WP6
Perubahan disetujui untuk d
BAI10-WP7
laporan status konfigurasi
74
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID BAI03 (cont.) Nama Proses Mengelola Identifikasi Solusi dan Membangun output Jumlah BAI03-WP1
Disetujui spesifikasi d
BAI03-WP2
Disetujui spesifikasi d
BAI03-WP3
Didokumentasikan kom
BAI03-WP4
rencana akuisisi diset
BAI03-WP5
Update inventarisasi a
BAI03-WP6
Terpadu dan dikonfigu
BAI03-WP7
rencana jaminan kualit
BAI03-WP8
meninjau kualitas hasi
BAI03-WP9
rencana uji
BAI03-WP10
prosedur pengujian
BAI03-WP11
Hasil uji log dan jejak audit
BAI03-WP12
komunikasi hasil tes
BAI03-WP13
Mencatat semua perm
BAI03-WP14
Rencana pemeliharaa
BAI03-WP15
Diperbarui solusi komp
BAI03-WP16
analisis pemeliharaan p
BAI03-WP17
definisi layanan
BAI03-WP18
portofolio layanan dipe
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
75
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Halaman sengaja dikosongkan
76
Proses ID BAI04 Nama Proses Mengelola Ketersediaan dan Kapasitas Proses Deskripsi
Menyeimbangkan keb
proses Tujuan Pernyataan
Menjaga ketersediaan
Hasil (Os) Jumlah BAI04-O1
Rencana ketersediaan
BAI04-O2
Kapasitas, kinerja dan
BAI04-O3
Ketersediaan, kinerja d
Praktek dasar (BPs) Jumlah BAI04-BP1
Menilai ketersediaan Menilai ketersediaan, k
BAI04-BP2
Menilai dampak bisni Mengidentifikasi layan
BAI04-BP3
Rencana untuk kebu Merencanakan dan me
BAI04-BP4
Memantau dan keter Memantau, mengukur, masalah dan varians, m
BAI04-BP5
Menyelidiki dan kete Alamat penyimpangan
Kerja Produk (WP) input Jumlah BAI02-WP1
repositori persyaratan
BAI02-WP6
risiko persyaratan men
BAI02-WP2
penerimaan dikonfirma
BAI03-WP1
Disetujui spesifikasi d
BAI03-WP2
Disetujui spesifikasi d
BAI03-WP3
Didokumentasikan kom
77
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID BAI04 (cont.) Nama Proses Mengelola Ketersediaan dan Kapasitas output Jumlah BAI04-WP1
Ketersediaan, kinerja dan ka
BAI04-WP2
Evaluasi terhadap SLA
BAI04-WP3
perbaikan diprioritaskan
BAI04-WP4
Kinerja dan kapasitas rencan
BAI04-WP5
Ketersediaan, kinerja dan pe
BAI04-WP6
Kinerja dan kapasitas kesenja
BAI04-WP7
Tindakan korektif
BAI04-WP8
Prosedur eskalasi darurat
BAI04-WP9
Ketersediaan, kinerja dan ka
BAI04-WP10
Ketersediaan, kinerja dan ka
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
78
Proses ID BAI05 Nama Proses Mengelola Perubahan Organisasi Pemberdayaan Proses Deskripsi
Memaksimalkan kemu
proses Tujuan Pernyataan
Mempersiapkan dan m
Hasil (Os) Jumlah BAI05-O1
keinginan stakeholder
BAI05-O2
Tim Implementasi kom
BAI05-O3
perubahan yang diingi
BAI05-O4
pemain peran diberday
BAI05-O5
pemain peran diaktifka
BAI05-O6
Perubahan ini tertanam
Praktek dasar (BPs) Jumlah BAI05-BP1
Membangun keingina Memahami ruang lingk bekerja dengan sukse
BAI05-BP2
Membentuk tim impl Membentuk tim implem
BAI05-BP3
Mengkomunikasikan Mengkomunikasikan v
BAI05-BP4
Memberdayakan pem Memberdayakan mere menang jangka pende
BAI05-BP5
Aktifkan operasi dan Merencanakan dan me
BAI05-BP6
Menanamkan pendek Menanamkan pendeka
BAI05-BP7
Sustain perubahan. Mempertahankan peru
79
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Proses ID BAI05 (cont.) Nama Proses Mengelola Perubahan Organisasi Pemberdayaan Kerja Produk (WP) input Jumlah APO11-WP7
Hasil peninjauan kualitas lay
BAI02-WP1
repositori persyaratan defini
BAI02-WP2
penerimaan dikonfirmasi pe
BAI02-WP6
risiko persyaratan mendafta
BAI02-WP7
tindakan mitigasi risiko
BAI03-WP1
Disetujui spesifikasi desain
BAI03-WP2
Disetujui spesifikasi desain
Di luar COBIT
Struktur organisasi perusaha
BAI03-WP3
Didokumentasikan kompone
BAI03-WP15
Diperbarui solusi komponen output
Jumlah BAI05-WP1
Komunikasi driver untuk per
BAI05-WP2
Komunikasi dari manajemen
BAI05-WP3
tim implementasi dan peran
BAI05-WP4
visi dan tujuan bersama
BAI05-WP5
rencana komunikasi visi
BAI05-WP6
komunikasi visi
BAI05-WP7
tujuan kinerja HR selaras
BAI05-WP8
Diidentifikasi quick wins
BAI05-WP9
Komunikasi manfaat
BAI05-WP10
rencana operasi dan penggu
BAI05-WP11
langkah-langkah keberhasila
BAI05-WP12
Hasil audit kepatuhan
BAI05-WP13
komunikasi kesadaran
BAI05-WP14
kinerja HR tinjauan hasil
BAI05-WP15
rencana transfer pengetahu
BAI05-WP16
Komunikasi komitmen mana
BAI05-WP17
Ulasan penggunaan operasi
Catatan: Lihat mencari 7 untuk daftar lengkap dari output umum untuk semua proses.
80
Proses ID BAI06 Nama Proses Mengelola Perubahan Proses Deskripsi
Manage all changes in
Process Purpose Statement
Enable fast and reliable
Outcomes (Os) Number BAI06-O1
Authorised changes a
BAI06-O2
Impact assessments r
BAI06-O3
All emergency change
BAI06-O4
Key stakeholders are k
Base Practices (BPs) Number BAI06-BP1
Evaluate, prioritise an Evaluate all requests fo
BAI06-BP2
Manage emergency Carefully manage eme
BAI06-BP3
Track and report change Maintain a tracking an
BAI06-BP4
Close and document Whenever changes are
Work Products (WPs) Inputs Number BAI03-WP6
Integrated and configu
DSS03-WP7
Proposed solutions to
DSS03-WP11
Identified sustainable s
DSS04-WP19
Approved changes to
DSS06-WP2
Root cause analyses a
BAI03-WP13
Record of all approved Outputs
Number BAI06-WP1
Impact assessments
BAI06-WP2
Approved requests for
BAI06-WP3
Change plan and sche
BAI06-WP4
Post-implementation re
BAI06-WP5
Change request status
BAI06-WP6
Change documentation
Note: Refer to figure 7 for a complete listing of outputs common to all processes. 81
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Page intentionally left blank
82
Process ID
BAI07
Process Name
Manage Change Acceptance and Transitioning
Process Description
Formally accept and m
Process Purpose Statement
Implement solutions sa
Outcomes (Os) Number BAI07-O1
Acceptance testing me
BAI07-O2
Releases are ready for
BAI07-O3
Releases are promoted
BAI07-O4
Lessons learned contr
Base Practices (BPs) Number BAI07-BP1
Establish an impleme Establish an implemen
BAI07-BP2
Plan business proces Prepare for business p
BAI07-BP3
Plan acceptance test Establish a test plan ba
BAI07-BP4
Establish a test envir Define and establish a
BAI07-BP5
Perform acceptance t Test changes independen
BAI07-BP6
Promote to productio Promote the accepted
BAI07-BP7
Provide early produc Provide early support t
BAI07-BP8
Perform a post-imple Conduct a post-implem and develop an action
83
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Process ID
BAI07 (cont.)
Process Name
Manage Change Acceptance and Transitioning
Work Products (WPs) Inputs Number BAI01-WP17
Quality management plan
BAI06-WP2
Approved requests for chan
BAI06-WP3
Change plan and schedule
BAI01-WP18
Requirements for independe
BAI03-WP9
Test plan
BAI03-WP10
Test procedures
BAI03-WP11
Test result logs and audit trails
BAI03-WP12
Test result communications
APO11-WP7
Review results of quality of s
BAI05-WP11
Success measures and resu
APO11-WP8
Results of quality reviews an
APO11-WP10
Results of solution and servi
APO11-WP11
Root causes of quality delive Outputs
Number BAI07-WP1
Approved implementation p
BAI07-WP2
Implementation fallback and
BAI07-WP3
Migration plan
BAI07-WP4
Approved acceptance test p
BAI07-WP5
Test data
BAI07-WP6
Test results log
BAI07-WP7
Evaluation of results
BAI07-WP8
Approved acceptance and r
BAI07-WP9
Release plan
BAI07-WP10
Release log
BAI07-WP11
Supplemental support plan
BAI07-WP12
Post-implementation review
BAI07-WP13
Remedial action plan
Note: Refer to figure 7 for a complete listing of outputs common to all processes.
84
84
Process ID
BAI08
Process Name
Manage Knowledge
Process Description
Maintain the availabilit
Process Purpose Statement
Provide the knowledge
Outcomes (Os) Number BAI08-O1
Sources of information
BAI08-O2
Knowledge is used and
BAI08-O3
Knowledge sharing is
BAI08-O4
Knowledge is updated
Base Practices (BPs) Number BAI08-BP1
Nurture and facilitate Devise and implement
BAI08-BP2
Identify and classify Identify, validate and c
BAI08-BP3
Organise and contex Organise information b
BAI08-BP4
Use and share knowl Propagate available kn
BAI08-BP5
Evaluate and retire in Measure the use and e
Work Products (WPs) Inputs Number Outside COBIT
Knowledge requiremen
BAI03-WP3
Documented solution c
BAI05-WP15
Knowledge transfer pla
BAI05-WP10
Operation and use plan Outputs
Number BAI08-WP1
Classification of inform
BAI08-WP2
Published knowledge r
BAI08-WP3
Knowledge user datab
BAI08-WP4
Knowledge awareness
BAI08-WP5
Knowledge use evalua
BAI08-WP6
Rules for knowledge re
BAI08-WP7
Communications on va
Note: Refer to figure 7 for a complete listing of outputs common to all processes.
Page intentionally left blank
Process ID
BAI09
Process Name
Manage Assets
Process Description
Manage IT assets thro
Process Purpose Statement
Account for all IT asse
Outcomes (Os) Number BAI09-O1
Licences are complian
BAI09-O2
Assets are maintained
Base Practices (BPs) Number BAI09-BP1
Identify and record c Maintain an up-to-date
BAI09-BP2
Manage critical asse Identify assets that are
BAI09-BP3
Manage the asset life Manage assets from p
BAI09-BP4
Optimise asset costs Regularly review the o
BAI09-BP5
Manage licences. Manage software licen
Work Products (WPs) Inputs Number BAI03-WP5
Updates to asset inven
BAI10-WP3
Configuration reposito Outputs
Number BAI09-WP1
Asset register
BAI09-WP2
Results of physical inv
BAI09-WP3
Results of fit-for-purpo
BAI09-WP4
Communication of pla
BAI09-WP5
Maintenance agreeme
BAI09-WP6
Approved asset procu
BAI09-WP7
Updated asset register
BAI09-WP8
Authorised asset retire
BAI09-WP9
Results of cost optimis
BAI09-WP10
Opportunities to reduc
BAI09-WP11
Register of software lic
BAI09-WP12
Results of installed lice
Note: Refer to figure 7 for a complete listing of outputs common to all processes.
Page intentionally left blank
Process ID
BAI10
Process Name
Manage Configuration
Process Description
Define and maintain de
Process Purpose Statement
Provide sufficient inform
Outcomes (Os) Number BAI10-O1
Configuration reposito
Base Practices (BPs) Number BAI10-BP1
Establish and mainta Establish and maintain
BAI10-BP2
Establish and mainta Establish and maintain
BAI10-BP3
Maintain and control Maintain an up-to-date
BAI10-BP4
Produce status and c Define and produce co
BAI10-BP5
Verify and review inte Periodically review the
Work Products (WPs) Inputs Number BAI07-WP9
Release plan
BAI09-WP11
Register of software lic
BAI06-WP5
Change request status
BAI09-WP2
Results of physical inv
BAI09-WP8
Authorised asset retire
BAI09-WP2
Results of physical inv Outputs
Number BAI10-WP1
Scope of configuration
BAI10-WP2
Logical configuration m
BAI10-WP3
Configuration reposito
BAI10-WP4
Configuration baseline
BAI10-WP5
Updated repository wit
BAI10-WP6
Approved changes to
BAI10-WP7
Configuration status re
BAI10-WP8
Results of physical ver
BAI10-WP9
Licence deviations
BAI10-WP10
Results of repository c
Note: Refer to figure 7 for a complete listing of outputs common to all processes.
Page intentionally left blank
3.4 delIver, servIce (dss)
And
01
Manage operations.
02
Manage service requests and incidents.
03
Manage problems.
04
Manage continuity.
05
Manage security services.
06
Manage business process controls.
suPPort
Page intentionally left blank
Process ID
DSS01
Process Name
Manage Operations
Process Description Process Purpose Statement
Co-ordinate and execu
Deliver IT operational s
Outcomes (Os) Number DSS01-O1 DSS01-O2 Base Practices (BPs) Number DSS01-BP1
Operational activities a Operations are monitor
Perform operational p Maintain and perform o Manage outsourced I Manage the operation
DSS01-BP2
DSS01-BP3
Monitor IT infrastruct Monitor the IT infrastru
DSS01-BP4
Manage the environm Maintain measures for
DSS01-BP5
Manage facilities. Manage facilities, inclu
Work Products (WPs) Inputs Number BAI05-WP10
Operation and use plan
APO09-WP6 APO09-WP7 APO09-WP3
SLAs OLAs Service definitions Outputs
Number DSS01-WP1 DSS01-WP2 DSS01-WP3
Operational schedule Backup log Asset monitoring rules
DSS01-WP4 DSS01-WP5 DSS01-WP6 DSS01-WP7 DSS01-WP8 DSS01-WP9 DSS01-WP10
Event logs Incident tickets Environmental policies Insurance policy report Facilities assessment re Health and safety awar Independent assurance
Note: Refer to figure 7 for a complete listing of outputs common to all processes.
Page intentionally left blank
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Process ID
DSS02
Process Name
Manage Service Requests and Incidents
Process Description
Provide timely and effe
Process Purpose Statement
Achieve increased pro
Outcomes (Os) Number DSS02-O1
IT-related services are
DSS02-O2
Incidents are resolved
DSS02-O3
Service requests are d
Base Practices (BPs) Number DSS02-BP1
Define incident and s Define incident and se
DSS02-BP2
Record, classify and Identify, record and cla
DSS02-BP3
Verify, approve and fu Select the appropriate
DSS02-BP4
Investigate, diagnose Identify and record inc
DSS02-BP5
Resolve and recover Document, apply and
DSS02-BP6
Close service reques Verify satisfactory incid
DSS02-BP7
Track status and produc Regularly track, analys
Work Products (WPs) Inputs Number APO09-WP6
SLAs
BAI10-WP3 BAI10-WP5 BAI10-WP7 DSS01-WP3 DSS03-WP1 DSS04-WP7 BAI10-WP3
Configuration repositor Updated repository with Configuration status re Asset monitoring rules Problem classification Incident response actio Configuration repositor
DSS05-WP12
Security Incident ticket
APO12-WP16
Risk-related root cause
BAI10-WP3
Configuration repositor
APO12-WP14 DSS03-WP6 DSS03-WP9 DSS03-WP8
Risk-related incident re Known-error records Communication of kno Closed problem record
APO09-WP7 DSS03-WP2
OLAs Problem status reports
DSS03-WP5 DSS03-WP10
Problem resolution rep Problem resolution mo
95
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Process ID
DSS02 (cont.)
Process Name
Manage Service Requests and Incidents Outputs
Number DSS02-WP1
Incident and service request
DSS02-WP2
Rules for incident and reque
DSS02-WP3
Criteria for problem registrat
DSS02-WP4
Incident and service request
DSS02-WP5
Classified and prioritised inc
DSS02-WP6
Approved service requests
DSS02-WP7
Fulfilled service requests
DSS02-WP8
Incident symptoms
DSS02-WP9
Problem log
DSS02-WP10
Incident resolutions
DSS02-WP11
Closed service requests and
DSS02-WP12
User confirmation of satisfac
DSS02-WP13
Incident status and trends re
DSS02-WP14
Request fulfilment status and
Note: Refer to figure 7 for a complete listing of outputs common to all processes.
96
Process ID
DSS03
Process Name
Manage Problems
Process Description
Identify and classify pr
Process Purpose Statement
Increase availability, im
Outcomes (Os) Number DSS03-O1
IT-related problems are
Base Practices (BPs) Number DSS03-BP1
Identify and classify Define and implement
DSS03-BP2
Investigate and diagn Investigate and diagno
DSS03-BP3
Raise known errors. As soon as the root ca
DSS03-BP4
Resolve and close pr Identify and initiate sus from occurring.
DSS03-BP5
Perform proactive pro Collect and analyse op
Work Products (WPs) Inputs Number APO12-WP16
Risk-related root caus
DSS02-WP3
Criteria for problem re
DSS02-WP9
Problem log
DSS02-WP10
Incident resolutions
DSS02-WP11
Closed service reques Outputs
Number DSS03-WP1
Problem classification
DSS03-WP2
Problem status reports
DSS03-WP3
Problem register
DSS03-WP4
Root causes of problem
DSS03-WP5
Problem resolution rep
DSS03-WP6
Known-error records
DSS03-WP7
Proposed solutions to
DSS03-WP8
Closed problem record
DSS03-WP9
Communication of kno
DSS03-WP10
Problem resolution mo
DSS03-WP11
Identified sustainable s
Note: Refer to figure 7 for a complete listing of outputs common to all processes.
97
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Page intentionally left blank
98
Process ID
DSS04
Process Name
Manage Continuity
Process Description
Establish and maintain
Process Purpose Statement
Continue critical busin
Outcomes (Os) Number DSS04-O1
Business-critical inform
DSS04-O2
Sufficient resilience is
DSS04-O3
Service continuity test
DSS04-O4
An up-to-date continui
DSS04-O5
Internal and external p
Base Practices (BPs) Number DSS04-BP1
Define the business c Define business contin
DSS04-BP2
Maintain a continuity Evaluate business con
DSS04-BP3
Develop and impleme Develop a business co
DSS04-BP4
Exercise, test and rev Test the continuity arrangem
DSS04-BP5
Review, maintain and Conduct a manageme
DSS04-BP6
Conduct continuity p Provide all concerned
DSS04-BP7
Manage backup arra Maintain availability of
DSS04-BP8
Conduct post-resump Assess the adequacy o
Work Products (WPs) Inputs Number APO09-WP6
SLAs
APO12-WP15
Risk impact communic
APO12-WP16
Risk-related root caus
APO09-WP7
OLAs
99
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Process ID
DSS04 (cont.)
Process Name
Manage Continuity Outputs
Number DSS04-WP1
Policy and objectives for busi
DSS04-WP2
Disruptive incident scenario
DSS04-WP3
Assessments of current cont
DSS04-WP4
Business impact analyses
DSS04-WP5
Continuity requirements
DSS04-WP6
Approved strategic options
DSS04-WP7
Incident response actions an
DSS04-WP8
Business continuity plan
DSS04-WP9
Test objectives
DSS04-WP10
Test exercises
DSS04-WP11
Test results and recommendation
DSS04-WP12
Results of reviews of plans
DSS04-WP13
Recommended changes to p
DSS04-WP14
Training requirements
DSS04-WP15
Monitoring results of skills a
DSS04-WP17
Test results of backup data
DSS04-WP18
Post-resumption review repo
DSS04-WP19
Approved changes to the pl
Note: Refer to figure 7 for a complete listing of outputs common to all processes.
100
Process ID
DSS05
Process Name
Manage Security Services
Process Description
Protect enterprise info
Process Purpose Statement
Minimise the business
Outcomes (Os) Number DSS05-O1
Network and commun
DSS05-O2
Information processed
DSS05-O3
All users are uniquely
DSS05-O4
Physical measures ha
DSS05-O5
Electronic information
Base Practices (BPs) Number DSS05-BP1
Protect against malw Implement and maintai
DSS05-BP2
Manage network and Use security measures
DSS05-BP3
Manage endpoint sec Ensure that endpoints
DSS05-BP4
Manage user identity Ensure that all users h
DSS05-BP5
Manage physical acc Define and implement
DSS05-BP6
Manage sensitive doc Establish appropriate p
DSS05-BP7
Monitor the infrastru Using intrusion detectio
101
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Process ID
DSS05 (cont.)
Process Name
Manage Security Services
Work Products (WPs) Inputs Number APO09-WP6
SLAs
APO01-WP14
Data classification guidelines
APO03-WP6
Information architecture mo
APO09-WP7
OLAs
BAI09-WP2
Results of physical inventory
DSS06-WP10
Records of transactions
APO01-WP8
Definition of IT-related roles
APO03-WP6
Information architecture mo Outputs
Number DSS05-WP1
Malicious software preventio
DSS05-WP2
Evaluations of potential threa
DSS05-WP3
Connectivity security policy
DSS05-WP4
Results of penetration tests
DSS05-WP5
Security policies for endpoin
DSS05-WP6
Approved user access right
DSS05-WP7
Results of reviews of user ac
DSS05-WP8
Approved access requests
DSS05-WP9
Access logs
DSS05-WP10
Security incident characteris
DSS05-WP11
Security event logs
DSS05-WP12
Security incident tickets
DSS05-WP13
Inventory of sensitive docum
DSS05-WP14
Access privileges
Note: Refer to figure 7 for a complete listing of outputs common to all processes.
102
Process ID
DSS06
Process Name
Manage Business Process Controls
Process Description
Define and maintain a
Process Purpose Statement
Maintain information in
Outcomes (Os) Number DSS06-O1
Coverage and effective
DSS06-O2
The inventory of roles,
DSS08-O3
Business transactions
Base Practices (BPs) Number DSS06-BP1
Align control activitie
DSS06-BP2
Control the processin Operate the execution
DSS06-BP3
Manage roles, respon Manage the business r its behalf.
DSS06-BP4
Manage errors and e Manage business proc
DSS06-BP5
Ensure traceability o Ensure that business i
DSS06-BP6
Secure information a Secure information ass
Work Products (WPs) Inputs Number APO01-WP14
Data classification guid
APO01-WP16
Data integrity procedu
BAI05-WP10
Operation and use plan
BAI07-WP3
Migration plan
EDM04-WP5
Assigned responsibiliti
APO11-WP1
QMS roles, responsibil
APO13-WP2
ISMS scope statement
DSS05-WP9
Access logs
103
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Process ID
DSS06 (cont.)
Process Name
Manage Business Process Controls Outputs
Number DSS06-WP1
Results of processing effecti
DSS06-WP2
Root cause analyses and rec
DSS06-WP3
Processing control reports
DSS06-WP4
Allocated roles and responsi
DSS06-WP5
Allocated levels of authority
DSS06-WP6
Allocated access rights
DSS06-WP7
Evidence of error correction
DSS06-WP8
Error reports and root cause
DSS06-WP9
Retention requirements
DSS06-WP10
Record of transactions
DSS06-WP11
Reports of violations
Note: Refer to figure 7 for a complete listing of outputs common to all processes.
104
3.5 monItor, evAluAte And Assess (meA) 01
Monitor, evaluate and assess performance and conformance.
02
Monitor, evaluate and assess the system of internal control.
03
Monitor, evaluate and assess compliance with external requirements.
105
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Page intentionally left blank
106
Process ID
MEA01
Process Name
Monitor, Evaluate and Assess Performance and Conformance
Process Description
Collect, validate and e
Process Purpose Statement
Provide transparency o
Outcomes (Os) Number MEA01-O1
Goals and metrics are
MEA01-O2
Processes are measur
MEA01-O3
The enterprise monitor
MEA01-O4
Goals and metrics are
MEA01-O5
Process reporting on p
Base Practices (BPs) Number MEA01-BP1
Establish a monitorin Engage with stakehold
MEA01-BP2
Set performance and Work with the stakehol
MEA01-BP3
Collect and process p Collect and process tim
MEA01-BP4
Analyse and report p Periodically review and
MEA01-BP5
Ensure the implemen Assist stakeholders in
Work Products (WPs) Inputs Number EDM05-WP1
Evaluation of enterpris
EDM05-WP2
Reporting and commu
EDM05-WP3
Rules for validating and
EDM05-WP5
Assessment of reportin
APO01-WP12
Performance goals and
APO05-WP9
Investment portfolio pe
APO09-WP8
Service level performa
APO10-WP10
Supplier compliance m
BAI01-WP12
Results of programme
BAI04-WP5
Availability, performan
BAI05-WP11
Success measures and
DSS01-WP8
Facilities assessment re
DSS02-WP13
Incident status and tre
EDM05-WP4
Escalation guidelines
APO01-WP2
Non-compliance reme
107
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Process ID
MEA01 (cont.)
Process Name
Monitor, Evaluate and Assess Performance and Conformance Outputs
Number MEA01-WP1
Monitoring requirements
MEA01-WP2
Approved monitoring goals
MEA01-WP3
Monitoring targets
MEA01-WP4
Processed monitoring data
MEA01-WP5
Performance reports
MEA01-WP6
Remedial actions and assign
MEA01-WP7
Status and results of actions
Note: Refer to figure 7 for a complete listing of outputs common to all processes.
108
Process ID
MEA02
Process Name
Monitor, Evaluate and Assess the System of Internal Control
Process Description
Continuously monitor a
Process Purpose Statement
Obtain transparency fo
Outcomes (Os) Number MEA02-O1
Processes, resources a
MEA02-O2
All assurance initiative
MEA02-O3
Independent assuranc
MEA02-O4
Internal control is esta
Base Practices (BPs) Number MEA02-BP1
Monitor internal cont Continuously monitor,
MEA02-BP2
Review business pro Review the operation
MEA02-BP3
Perform control self-a Encourage manageme
MEA02-BP4
Identify and report co Identify control deficien
MEA02-BP5
Ensure that assuranc Ensure that the entities
MEA02-BP6
Plan assurance initia Plan assurance initiativ
MEA02-BP7
Scope assurance init Define and agree with
MEA02-BP8
Execute assurance in Execute the planned a
109
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Process ID
MEA02 (cont.)
Process Name
Monitor, Evaluate and Assess the System of Internal Control
Work Products (WPs) Inputs Number Outside COBIT
Industry standards and good
APO12-WP10
Review results of third-party
APO13-WP5
ISMS audit reports
BAI05-WP12
Compliance audit results
BAI05-WP17
Reviews of operational use
APO11-WP11
Root cause of quality deliver
APO12-WP16
Risk-related root causes
DSS06-WP1
Results of processing effecti
DSS06-WP2
Root cause analyses and rec
DSS06-WP7
Evidence of error correction
BAI01-WP7
Programme plans
DSS01-WP10
Independent assurance plan
APO11-WP11
Root causes of quality delive
APO12-WP16
Risk-related root causes
DSS06-WP2
Root cause analyses and rec
MEA03-WP8
Reports of non-compliance i
APO12-WP9
Risk analysis and risk profile
DSS05-WP4
Results of penetration tests
MEA03-WP5
Identified compliance gaps Outputs
Number MEA02-WP1
Evidence of control effectiven
MEA02-WP2
Results of internal control m
MEA02-WP3
Results of benchmarking an
MEA02-WP4
Self-assessment plans and c
MEA02-WP5
Results of self-assessments
MEA02-WP6
Results of reviews of self-as
MEA02-WP7
Assurance review scope
MEA02-WP8
Engagement plan
MEA02-WP9
Assurance review practices
110
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Process ID
MEA02 (cont.)
Process Name
Monitor, Evaluate and Assess the System of Internal Control Outputs (cont.)
Number MEA02-WP10
Refined scope
MEA02-WP11
Assurance review resu
MEA02-WP12
Assurance review repo
Note: Refer to figure 7 for a complete listing of outputs common to all processes.
111
Process 3.0 Process SEBUAH Dssessment imension dan Process Performance model saya (Pam) nDicators Page intentionally left blank
112
Process ID
MEA03
Process Name
Monitor, Evaluate and Assess Compliance With External Requirements
Process Description
Evaluate that IT proces
Process Purpose Statement
Ensure that the enterp
Outcomes (Os) Number MEA03-O1
All external compliance
MEA03-O2
External compliance re
Base Practices (BPs) Number MEA03-BP1
Identify external com On a continuous basis,
MEA03-BP2
Optimise response to Review and adjust poli
MEA03-BP3
Confirm external com Confirm compliance o
MEA03-BP4
Obtain assurance of Obtain and report assu
Work Products (WPs) Inputs Number Outside COBIT
Legal and regulatory c
BAI05-WP12
Compliance audit resu
BAI09-WP12
Results of installed lice
BAI10-WP9
Licence deviations
DSS01-WP7
Insurance policy repor
EDM05-WP3
Rules for validating and
EDM05-WP5
Assessment of reportin
113
Process SEBUAHssessment 4.0 Process capability model (Pam) sayandicators Process ID
MEA03 (cont.)
Process Name
Monitor, Evaluate and Assess Compliance With External Requirements Outputs
Number MEA03-WP1
Compliance requirements re
MEA03-WP2
Log of required compliance a
MEA03-WP3
Updated policies, principles,
MEA03-WP4
Communications of changed
MEA03-WP5
Identified compliance gaps
MEA03-WP6
Compliance confirmations
MEA03-WP7
Compliance assurance repo
MEA03-WP8
Reports of non-compliance i
Note: Refer to figure 7 for a complete listing of outputs common to all processes.
114
114
4.0 Process cAPAbIlIty IndIcAtors This section presents the process capability indicators related to the process attributes (PAs) associated with capability levels 1 to 5 defined in the capability dimension of the process assessment model. Process capability indicators are the means of achieving the capabilities addressed by the process attributes. Evidence of process capability indicators supports the judgement of the degree of achievement of the process attribute. The capability dimension of the process assessment model consists of six capability levels matching the capability levels defined in section 2.3 of this process assessment model. This section describes the process capability indicators for the nine process attributes included in the capability dimension for levels 1 to 5. Level 0 does not include any type of indicators. Level 0 reflects a non-implemented process or a process that fails, even partially, to achieve its outcomes.
4.1 Level 1—Performed Process PA1.1ProcessPerformance—A measure of the extent to which the process purpose is achieved. Full achievement of this attribute results in the process achieving its defined outcomes, as shown in figure 8. Figure 8—PA 1.1 Process Performance Result of Full Achievement of the Attribute The process achieves its defined outcomes.
4.2 Level 2—Managed Process Process Performance is now implemented in a managed fashion (planned, monitored and adjusted) and its work products are appropriately established, controlled and maintained. PA2.1PerformanceManagement—A measure of the extent to which the performance of the process is managed. As a result of full achievement of this attribute: a. Objectives for the performance of the process are identified. b. Performance of the process is planned and monitored. c. Performance of the process is adjusted to meet plans. d. Responsibilities and authorities for performing the process are defined, assigned and communicated. e. Resources and information necessary for performing the process are identified, made available, allocated and used. f. Interfaces between the involved parties are managed to ensure effective communication and clear assignment of responsibility.
The GPs and GWPs that provide evidence of achievement of the attribute are shown in figure 9. Figure 9—PA 2.1 Performance Management Result of Full Achievement of the Attribute a. Objectives for the performance of the process are identified.
b. Performance of the process is planned and monitored.
c. Performance of the process is adjusted to meet plans.
d. Responsibilities and authorities for performing the process are defined, assigned and communicated.
e. Resources and information necessary for performing the process are identified, made available, allocated and used.
f. Interfaces between the involved parties are managed to ensure effective communication and clear assignment of responsibility.
PA2.2WorkProductManagement—A measure of the extent to which the work products produced by the process are appropriately managed. The work products referred to in this clause are those that result from the achievement of the process outcomes. As a result of full achievement of this attribute: a. Requirements for the work products of the process are defined. b. Requirements for documentation and control of the work products are defined. c. Work products are appropriately identified, documented and controlled. d. Work products are reviewed in accordance with planned arrangements and adjusted as necessary to meet requirements. Note: Requirements for documentation and control of work products may include requirements for the identification of changes and revision status, approval and re-approval of work products, and the creation of relevant versions of applicable work products available at points of use.
The GPs and GWPs that provide evidence of achievement of the attribute are shown in figure 10. Figure 10—PA 2.2 Work Product Management Result of Full Achievement of the Attribute a. Requirements for the work products of the process are defined.
b. Requirements for documentation and control of the work products are defined.
c. Work products are appropriately identified, documented and controlled.
d. Work products are reviewed in accordance with planned arrangements and adjusted as necessary to meet requirements.
4.3 Level 3—Established Process Managed Process is now implemented using a defined process that is capable of achieving its process outcomes. PA3.1ProcessDefinition—A measure of the extent to which a standard process is maintained to support the deployment of the defined process. As a result of full achievement of this attribute: a. A standard process, including appropriate tailoring guidelines, is defined that describes the fundamental elements that must be incorporated into a defined process. b. The sequence and interaction of the standard process with other processes are determined. c. Required competencies and roles for performing a process are identified as part of the standard process. d. Required infrastructure and work environment for performing a process are identified as part of the standard process. e. Suitable methods for monitoring the effectiveness and suitability of the process are determined. Note: A standard process may be used as is when deploying a defined process, in which case tailoring guidelines would not be necessary.
The GPs and GWPs that provide evidence of achievement of the attribute are shown in figure 11. Figure 11—PA 3.1 Process Definition Result of Full Achievement of the Attribute a. A standard process, including appropriate tailoring guidelines, is defined that describes the fundamental elements that must be incorporated into a defined process.
b. The sequence and interaction of the standard process with other processes are determined.
c. Required competencies and roles for performing a process are identified as part of the standard process.
d. Required infrastructure and work environment for performing a process are identified as part of the standard process.
e. Suitable methods for monitoring the effectiveness and suitability of the process are determined.
PA3.2ProcessDeployment—A measure of the extent to which the standard process is effectively deployed as a defined process to achieve its process outcomes. As a result of full achievement of this attribute: a. A defined process is deployed based on an appropriately selected and/or tailored standard process. b. Required roles, responsibilities and authorities for performing the defined process are assigned and communicated. c. Personnel performing the defined process are competent on the basis of appropriate education, training and experience. d. Required resources and information necessary for performing the defined process are made available, allocated and used. e. Required infrastructure and work environment for performing the defined process are made available, managed and maintained. f. Appropriate data are collected and analysed as a basis for understanding the behaviour of the process, to demonstrate its suitability and effectiveness, and to evaluate where continuous improvement of the process can be made. Note: Competency results from a combination of knowledge, skills and personal attributes that are gained through education, training and experience.
The GPs and GWPs that provide evidence of achievement of the attribute are shown in figure 12. Figure 12—PA 3.2 Process Deployment Result of Full Achievement of the Attribute a. A defined process is deployed based on an appropriately selected and/or tailored standard process.
b. Required roles, responsibilities and authorities for performing the defined process are assigned and communicated.
c. Personnel performing the defined process are competent on the basis of appropriate education, training and experience.
d. Required resources and information necessary for performing the defined process are made available, allocated and used.
e. Required infrastructure and work environment for performing the defined process are made available, managed and maintained.
f. Appropriate data are collected and analysed as a basis for understanding the behaviour of the process to demonstrate its suitability and effectiveness, an
4.4 Level 4—Predictable Process Established Process now operates within defined limits to achieve its process outcomes. PA4.1ProcessMeasurement—A measure of the extent to which measurement results are used to ensure that performance of the process supports the achievement of relevant process performance objectives in support of defined business goals. Measures may be either process measures or product measures or both. As a result of full achievement of this attribute: a. Process information needs in support of relevant defined business goals are established. b. Process measurement objectives are derived from process information needs. c. Quantitative objectives for process performance in support of relevant business goals are established. d. Measures and frequency of measurement are identified and defined in line with process measurement objectives and quantitative objectives for process performance. e. Results of measurement are collected, analysed and reported in order to monitor the extent to which the quantitative objectives for process performance are met. f. Measurement results are used to characterise process performance. Note: Information needs may typically reflect management, technical, project, process or product needs. The GPs and GWPs that provide evidence of achievement of the attribute are shown in figure 13. Figure 13—PA 4.1 Process Measurement Result of Full Achievement of the Attribute a. Process information needs in support of relevant defined business goals are established.
b. Process measurement objectives are derived from process information needs.
c. Quantitative objectives for process performance in support of relevant business goals are established.
d. Measures and frequency of measurement are identified and defined in line with process measurement objectives and quantitative objectives for process performance.
e. Results of measurement are collected, analysed and reported in order to monitor the extent to which the quantitative objectives for process performance are met.
f. Measurement results are used to characterise process performance.
PA4.2ProcessControl—A measure of the extent to which the process is quantitatively managed to produce a process that is stable, capable and predictable within defined limits. As a result of full achievement of this attribute: a. Analysis and control techniques are determined and applied where applicable. b. Control limits of variation are established for normal process performance. c. Measurement data are analysed for special causes of variation. d. Corrective actions are taken to address special causes of variation. e. Control limits are re-established (as necessary) following corrective action. The GPs and GWPs that provide evidence of achievement of the attribute are shown in figure 14. Figure 14—PA 4.2 Process Control Result of Full Achievement of the Attribute a. Analysis and control techniques are determined and applied where applicable.
b. Control limits of variation are established for normal process performance.
c. Measurement data are analysed for special causes of variation.
d. Corrective actions are taken to address special causes of variation.
e. Control limits are re-established (as necessary) following corrective action.
4.5 Level 5—Optimising Process Predictable Process is continuously improved to meet relevant current and projected business goals. PA5.1ProcessInnovation—A measure of the extent to which changes to the process are identified from analysis of common causes of variation in performance, and from investigations of innovative approaches to the definition and deployment of the process. As a result of full achievement of this attribute: a. Process improvement objectives for the process are defined that support the relevant business goals. b. Appropriate data are analysed to identify common causes of variations in process performance. c. Appropriate data are analysed to identify opportunities for best practice and innovation. d. Improvement opportunities derived from new technologies and process concepts are identified. e. An implementation strategy is established to achieve the process improvement objectives.
The GPs and GWPs that provide evidence of achievement of the attribute are shown in figure 15. Figure 15—PA 5.1 Process Innovation Result of Full Achievement of the Attribute a. Process improvement objectives for the process are defined that support the relevant business goals.
b. Appropriate data are analysed to identify common causes of variations in process performance.
c. Appropriate data are analysed to identify opportunities for best practice and innovation.
d. Improvement opportunities derived from new technologies and process concepts are identified.
e. An implementation strategy is established to achieve the process improvement objectives.
PA5.2ProcessOptimisation—A measure of the extent to which changes to the definition, management and performance of the process result in effective impact that achieves the relevant process improvement objectives. As a result of full achievement of this attribute: a. Impact of all proposed changes is assessed against the objectives of the defined process and standard process. b. Implementation of all agreed changes is managed to ensure that any disruption to the process performance is understood and acted on. c. Based on actual performance, effectiveness of process change is evaluated against the defined product requirements and process objectives to determine whether results are due to common or special causes.
The GPs and GWPs that provide evidence of achievement of the attribute are shown in figure 16. Figure 16—PA 5.2 Process Optimisation Result of Full Achievement of the Attribute a. Impact of all proposed changes is assessed against the objectives of the defined process and standard process.
b. Implementation of all agreed changes is managed to ensure that any disruption to the process performance is understood and acted on.
c. Based on actual performance, effectiveness of process change is evaluated against the defined product requirements and process objectives to determine whether results
Page intentionally left blank
SEBUAH Process ppendix A. SEBUAH Conformity ssessment dari COBIT 5 process SEBUAH model ssessment (Pam)model
APPendIx A. conformIty of the cobIt 5 Process Assessment model A.1 Introduction This part of the COBIT 5 process assessment is the statement of conformance to the requirements defined in ISO/IEC 15504-2. For ease of reference, the requirements from Clause 6.3 of ISO/IEC 15504-2 are embedded verbatim in the text of this action.
A.2 Requirements for Process Assessment Models (From ISO/IEC 15504-2) A.2.1 Introduction In order to assure that assessment results are translatable into an ISO/IEC 15504 process profile in a repeatable and reliable manner, Process Assessment Models shall adhere to certain requirements. A Process Assessment Model shall contain a definition of its purpose, scope and elements; its mapping to the Measurement Framework and specified Process Reference Model(s); and a mechanism for consistent expression of results. A Process Assessment Model is considered suitable for the purpose of assessing process capability by conforming to 6.3.2, 6.3.3, and 6.3.4. ISO/IEC 15504:2, 6.3.1 The purpose of the COBIT 5 process assessment model is to support assessment of process capability in accordance with the requirements of ISO/IEC 15504:2 (refer to Clause 1).
A.2.2 Process Assessment Model Scope 6.3.2.1 A Process Assessment Model shall relate to at least one process from the specified Process Reference Model(s). 6.3.2.2 A Process Assessment Model shall address, for a given process, all, or a continuous subset, of the levels (starting at level 1) of the Measurement Framework for process capability for each of the processes within its scope. Note: It would be permissible for a model, for example, to address solely level 1, or to address levels 1, 2 and 3, but it would not be permissible to address levels 2 and 3 without level 1. 6.3.2.3 A Process Assessment Model shall declare its scope of coverage in the terms of: a) the selected Process Reference Model(s); b) the selected processes taken from the Process Reference Model(s); ISO/IEC 15504:2, 6.3.2 c) the capability levels selected from the Measurement Framework. This process assessment model is based on COBIT 5, which serves as its ‘process reference model’. In the process dimension of this process assessment model, the model provides coverage of all processes in the process reference model. In the capability dimension of this process assessment model, the model addresses all of the capability levels defined in the Measurement Framework in ISO/IEC 15504-2, Clause 5.
A.2.3 Process Assessment Model Elements and Indicators A Process Assessment Model shall be based on a set of indicators that explicitly addresses the purposes and outcomes, as defined in the selected Process Reference Model, of all the processes within the scope of the Process Assessment Model; and that demonstrates the achievement of the process attributes within the capability level scope of the Process Assessment Model. The indicators focus attention on the implementation of the processes in the scope of the model. ISO/IEC 15504:2, 6.3.3 The COBIT 5 process assessment model provides a two-dimensional view of process capability for the processes in the process reference model, through the inclusion of assessment indicators as shown in figure 5. The assessment indicators used are: • Base practices (BPs) and work products (WPs) • Generic practices (GPs) and generic work products (GWPs) They support the judgement of the performance and capability of an implemented process. Note: The assessment indicators for COBIT 5 process assessment model do not include resources.
A.2.4 Mapping Process Assessment Models to Process Reference Models A Process Assessment Model shall provide an explicit mapping from the relevant elements of the model to the processes of the selected Process Reference Model and to the relevant process attributes of the Measurement Framework. The mapping shall be complete, clear and unambiguous. The mapping of the indicators within the Process Assessment Model shall be to: a) the purposes and outcomes of the processes in the specified Process Reference Model b) the process attributes (including all of the results of achievements listed for each process attribute) in the Measurement Framework. This enables Process Assessment Models that are structurally different to be related to the same Process Reference Model. ISO/IEC 15504:2, 6.3.4 Each of the processes in this COBIT 5 process assessment model is identical in scope to the process defined in the process reference model. Each base practice and work product is cross-referenced to the process outcomes it addresses. All work products relate as inputs or outputs to the process as a whole—see the mappings in ISO/IEC 15504-2, Clause 5. Each of the process attributes in this process assessment model is identical to the process attribute defined in the measurement framework. The GPs address the characteristics from each process attribute. The generic resources and GWPs relate to the process attribute as a whole. The mappings of the GPs to the achievements associated with each process attribute are shown in section 4.0.
A.2.5 Expression of Assessment Results A Process Assessment Model shall provide a formal and verifiable mechanism for representing the results of an assessment as a set of process attribute ratings for each process selected from the specified Process Reference Model(s). Note: The expression of results may involve a direct translation of Process Assessment Model ratings into a process profile as defined in this international standard, or the conversion of the data collected during the assessment (with the possible inclusion of additional information) through further judgment on the part of the assessor. ISO/IEC 15504:2, 6.3.5 The processes in this process assessment model are identical to those defined in the process reference model. The process attributes and the process attributes rating in this process assessment model are identical to those defined in the ISO/IEC 15504-2 Measurement Framework. As a consequence, results of assessments based on this process assessment model are expressed directly as a set of process attribute ratings for each process within the scope of the assessment. No form of translation or conversion is required.
Process SEBUAH SEBUAH ppendix ssessment B. Generic Dan LEvel 1 Output Work model (Pam) pAPERS
APPendIx b. generIc
And
level 1 outPut work Products
B.1 Generic Work Products (GWPs) The GWPs are those work products required to support the management of a process. As outlined in section 4, their existence, together with GPs, provides evidence for the achievement of specific process capability attributes. The evidence includes such things as process objectives, responsibilities, performance requirements, improvement plans and outcomes required at various levels of process capability. They are called ‘generic’ because similar work products would be expected for each process. They are indicative of the types of work products and content that will be introduced to support increased process capability. Figure 17 lists the GWPs and the capability levels at which they would be required for evidential purposes. Figure 17—Generic Work Products and Relation to Capability Level Level 5: Optimising Process The process is continuously improved to meet relevant current and projected business goals.
Level 4: Predictable Process The process is executed consistently within defined limits.
Level 3: Established Process A defined process is used based on a standard process.
Level 2: Managed Process The process is managed and work products are established, controlled and maintained.
Level 1: Performed Process The process is implemented and achieves its process purpose.
GWP 6.0 Performance Improvement Plan GWP 9.0 Process Performance Records
GWP 1.0 Process Documentation GWP 6.0 Performance Improvement Plan GWP 7.0 Process Measurement Plan GWP 8.0 Process Control Plan GWP 9.0 Process Performance Records GWP 1.0 Process Documentation GWP 2.0 Process Plan GWP 4.0 Quality Records GWP 5.0 Policies and Standards GWP 9.0 Process Performance Records
GWP 1.0 Process Documentation GWP 2.0 Process Plan GWP 3.0 Quality Plan GWP 4.0 Quality Records
It is not expected that every organisation will use GWPs with the exact description and content as shown in figure 18. Figure 18—Generic Work Products (GWPs) GWP ID
GWP
1.0
Process Documentation
2.0
Process Plan
3.0
Quality Plan
4.0
Quality Records
Process SEBUAH SEBUAH ppendix ssessment B. Generic Dan LEvel 1 Output Work model (Pam) pAPERS Figure 18—Generic Work Products (GWPs) (cont.) GWP ID
GWP
5.0
Policies and Standards
6.0
Performance Improvement Plan
7.0
Process Measurement Plan
8.0
Process Control Plan
9.0
Process Performance Records
129
Process SEBUAH SEBUAH ppendix ssessment B. Generic Dan LEvel 1 Output Work model (Pam) pAPERS B.2 Level 1 Output Work Products Figure 19 provides level 1 output WPs. It was compiled from ISO/IEC 15504:1, 15504:7, COBIT 5 and this publication. For a general introduction to the concepts of process assessment, refer to section 4 of ISO/IEC 15504:1. Figure 19—Level 1 Output Work Products WP ID EDM01-WP1
Enterprise governance guiding principles
EDM01-WP2
Decision-making model
EDM01-WP3
Authority levels
EDM01-WP4
Enterprise governance communications
EDM01-WP5
Reward system approach
EDM01-WP6
Feedback on governance effectiveness and performance
EDM02-WP1
Evaluation of strategic alignment
EDM02-WP2
Evaluation of investment and services portfolios
EDM02-WP3
Investment types and criteria
EDM02-WP4
Requirements for stage-gate reviews
EDM02-WP5
Feedback on portfolio and programme performance
EDM02-WP6
Actions to improve value delivery
EDM03-WP1
Risk appetite guidance
EDM03-WP2
Approved risk tolerance levels
EDM03-WP3
Evaluation of risk management activities
EDM03-WP4
Risk management policies
EDM03-WP5
Key objectives to be monitored for risk management
EDM03-WP6
Approved process for measuring risk management
EDM03-WP7
Remedial actions to address risk management deviations
EDM03-WP8
Risk management issues for the board
EDM04-WP1
Guiding principles for allocation of resources and capabiliti
EDM04-WP2
Guiding principles for enterprise architecture
EDM04-WP3
Approved resources plan
EDM04-WP4
Communication of resourcing strategies
EDM04-WP5
Assigned responsibilities for resource management
EDM04-WP6
Principles for safeguarding resources
130
Figure 19—Level 1 Output Work Products (cont.) WP ID EDM04-WP7
Feedback on allocation and effectiveness of resources a
EDM04-WP8
Remedial actions to address resource management d
EDM05-WP1
Evaluation of enterprise reporting requirements
EDM05-WP2
Reporting and communications principles
EDM05-WP3
Rules for validating and approving mandatory reports
EDM05-WP4
Escalation guidelines
EDM05-WP5
Assessment of reporting effectiveness
APO01-WP1
IT-related policies
APO01-WP2
Non-compliance remedial actions
APO01-WP3
Evaluation of options for IT organisation
APO01-WP4
Defined operational placement of IT function
APO01-WP5
Definition of organisation structure and functions
APO01-WP6
Organisation operational guidelines
APO01-WP7
Communication ground rules
APO01-WP8
Definition of IT-related roles and responsibilities
APO01-WP9
Definition of supervisory practices
APO01-WP10
Process capability assessments
APO01-WP11
Process improvement opportunities
APO01-WP12
Performance goals and metrics for process improvement tracking
APO01-WP13
Communications on IT objectives
APO01-WP14
Data classification guidelines
APO01-WP15
Data security and control guidelines
APO01-WP16
Data integrity procedures
APO02-WP1
Sources and priorities for changes
APO02-WP2
Baseline of current capabilities
APO02-WP3
Gaps and risk related to current capabilities
APO02-WP4
Capability SWOT analysis
APO02-WP5
High-level IT-related goals
APO02-WP6
Required business and IT capabilities
APO02-WP7
Proposed enterprise architecture changes
APO02-WP8
Gaps and changes required to realise target capability
131
Process SEBUAH SEBUAH ppendix ssessment B. Generic Dan LEvel 1 Output Work model (Pam) pAPERS Figure 19—Level 1 Output Work Products (cont.) WP ID APO02-WP9
Value benefit statement for target environment
APO02-WP10
Definition of strategic initiatives
APO02-WP11
Risk assessment
APO02-WP12
Strategic road map
APO02-WP13
Communication plan
APO02-WP14
Communications package
APO03-WP1
Defined scope of architecture
APO03-WP2
Architecture principles
APO03-WP3
Architecture concept business case and value proposition
APO03-WP4
Baseline domain descriptions and architecture definition
APO03-WP5
Process architecture model
APO03-WP6
Information architecture model
APO03-WP7
High-level implementation and migration strategy
APO03-WP8
Transition architectures
APO03-WP9
Resource requirements
APO03-WP10
Implementation phase descriptions
APO03-WP11
Architecture governance requirements
APO03-WP12
Solution development guidance
APO04-WP1
Innovation opportunities linked to business drivers
APO04-WP2
Research analyses of innovation possibilities
APO04-WP3
Evaluations of ideas for innovation
APO04-WP4
Proof of concept scope and outline business case
APO04-WP5
Test results from proof-of-concept initiatives
APO04-WP6
Results and recommendations from proof-of-concept initiativ
APO04-WP7
Analysis of rejected initiatives
APO04-WP8
Innovation plan
APO04-WP9
Recognition and reward programme
APO04-WP10
Assessments of the use of innovative approaches
APO04-WP11
Evaluation of innovation benefits
APO04-WP12
Adjusted innovation plans
APO05-WP1
Defined investment mix
APO05-WP2
Identified resources and capabilities required to support str
APO05-WP3
Feedback on strategy and goals
APO05-WP4
Funding options
132
Process SEBUAH SEBUAH ppendix ssessment B. Generic Dan LEvel 1 Output Work model (Pam) pAPERS Figure 19—Level 1 Output Work Products (cont.) WP ID APO05-WP5
Investment return expectations
APO05-WP6
Programme business case
APO05-WP7
Business case assessments
APO05-WP8
Selected programmes with ROI milestones
APO05-WP9
Investment portfolio performance reports
APO05-WP10
Updated portfolios of programmes, services and asse
APO05-WP11
Benefit results and related communications
APO05-WP12
Corrective actions to improve benefit realisation
APO06-WP1
Accounting processes
APO06-WP2
IT cost classification scheme
APO06-WP3
Financial planning practices
APO06-WP4
IT budget and plan
APO06-WP5
Budget communications
APO06-WP6
Prioritisation and ranking of IT initiatives
APO06-WP7
Budget allocations
APO06-WP8
Categorised IT costs
APO06-WP9
Cost allocation model
APO06-WP10
Cost allocation communications
APO06-WP11
Cost data collection method
APO06-WP12
Cost consolidation method
APO06-WP13
Cost optimisation opportunities
APO07-WP1
Staffing requirement evaluations
APO07-WP2
Competency and career development plans
APO07-WP3
Personnel sourcing plans
APO07-WP4
Skills and competencies matrix
APO07-WP5
Skills development plans
APO07-WP6
Review reports
APO07-WP7
Personnel goals
APO07-WP8
Performance evaluations
APO07-WP9
Improvement plans
APO07-WP10
Inventory of business and IT human resources
APO07-WP11
Resourcing shortfall analyses
133
Process SEBUAH SEBUAH ppendix ssessment B. Generic Dan LEvel 1 Output Work model (Pam) pAPERS Figure 19—Level 1 Output Work Products (cont.) WP ID APO07-WP12
Resource utilisation records
APO07-WP13
Contract staff policies
APO07-WP14
Contract agreements
APO07-WP15
Contract agreement reviews
APO08-WP1
Clarified and agreed-on business expectations
APO08-WP2
Agreed-on next steps and action plans
APO08-WP3
Agreed-on key decisions
APO08-WP4
Complaint and escalation status
APO08-WP5
Communication plan
APO08-WP6
Communication packages
APO08-WP7
Customer responses
APO08-WP8
Satisfaction analyses
APO08-WP9
Definition of potential improvement projects
APO09-WP1
Identified gaps in IT services to the business
APO09-WP2
Definitions of standard services
APO09-WP3
Service definitions
APO09-WP4
Updated service portfolio
APO09-WP5
Service catalogues
APO09-WP6
SLAs
APO09-WP7
OLAs
APO09-WP8
Service level performance reports
APO09-WP9
Improvement action plans and remediations
APO09-WP10
Updated SLAs
APO10-WP1
Supplier significance and evaluation criteria
APO10-WP2
Supplier catalogue
APO10-WP3
Potential revisions to supplier contracts
APO10-WP4
Supplier roles and responsibilities
APO10-WP5
Communication and review process
APO10-WP6
Review results and suggested improvements
APO10-WP7
Identified supplier delivery risk
APO10-WP8
Identified contract requirements to minimise risk
APO10-WP9
Supplier compliance monitoring criteria
134
Process SEBUAH SEBUAH ppendix ssessment B. Generic Dan LEvel 1 Output Work model (Pam) pAPERS Figure 19—Level 1 Output Work Products (cont.) WP ID APO10-WP10
Supplier compliance monitoring review results
APO10-WP11
Supplier RFIs and RFPs
APO10-WP12
RFI and RFP evaluations
APO10-WP13
Decision results of supplier evaluations
APO11-WP1
QMS roles, responsibilities and decision rights
APO11-WP2
Quality management plans
APO11-WP3
Results of QMS effectiveness reviews
APO11-WP4
Quality management standards
APO11-WP5
Customer requirements for quality management
APO11-WP6
Acceptance criteria
APO11-WP7
Review results of quality of service, including custom
APO11-WP8
Results of quality reviews and audits
APO11-WP9
Process quality of service goals and metrics
APO11-WP10
Results of solution and service delivery quality monito
APO11-WP11
Root causes of quality delivery failures
APO11-WP12
Communications on continual improvement and best
APO11-WP13
Examples of good practice to be shared
APO11-WP14
Quality review benchmark results
APO12-WP1
Data on the operating environment relating to risk
APO12-WP2
Data on risk events and contributing factors
APO12-WP3
Emerging risk issues and factors
APO12-WP4
Scope of risk analysis efforts
APO12-WP5
IT risk scenarios
APO12-WP6
Risk analysis results
APO12-WP7
Documented risk scenarios by line of business and fu
APO12-WP8
Aggregated risk profile, including status of risk manag
APO12-WP9
Risk analysis and risk profile reports for stakeholders
135
Process SEBUAH SEBUAH ppendix ssessment B. Generic Dan LEvel 1 Output Work model (Pam) pAPERS Figure 19—Level 1 Output Work Products (cont.) WP ID APO12-WP10
Review results of third-party risk assessments
APO12-WP11
Opportunities for acceptance of greater risk
APO12-WP12
Project proposals for reducing risk
APO12-WP13
Risk-related incident response plans
APO12-WP14
Risk impact communications
APO12-WP15
Risk-related root causes
APO13-WP1
ISMS policy
APO13-WP2
ISMS scope statement
APO13-WP3
Information security risk treatment plan
APO13-WP4
Information security business cases
APO13-WP5
ISMS audit reports
APO13-WP6
Recommendations for improving the ISMS
BAI01-WP1
Updated programme and project management approaches
BAI01-WP2
Stakeholder engagement plan
BAI01-WP3
Results of stakeholder engagement effectiveness assessm
BAI01-WP4
Programme concept business case
BAI01-WP5
Programme mandate and brief
BAI01-WP6
Programme benefit realisation plan
BAI01-WP7
Programme plan
BAI01-WP8
Programme budget and benefits register
BAI01-WP9
Resource requirements and roles
BAI01-WP10
Results of benefit realisation monitoring
BAI01-WP11
Results of programme goal achievement monitoring
BAI01-WP12
Results of programme performance reviews
BAI01-WP13
Stage-gate review results
BAI01-WP14
Project plans
136
Process SEBUAH SEBUAH ppendix ssessment B. Generic Dan LEvel 1 Output Work model (Pam) pAPERS Figure 19—Level 1 Output Work Products (cont.) WP ID BAI01-WP15
Project baseline
BAI01-WP16
Project reports and communications
BAI01-WP17
Quality management plan
BAI01-WP18
Requirements for independent verification of delivera
BAI01-WP19
Project scope statements
BAI01-WP20
Project definitions
BAI01-WP21
Project risk management plan
BAI01-WP22
Project risk assessment results
BAI01-WP23
Project risk register
BAI01-WP24
Project performance criteria
BAI01-WP25
Project progress reports
BAI01-WP26
Agreed-on changes to project plan
BAI01-WP27
Project resource requirements
BAI01-WP28
Project roles and responsibilities
BAI01-WP29
Gaps in project planning
BAI01-WP30
Post-implementation review results
BAI01-WP31
Project lessons learned
BAI01-WP32
Stakeholder project acceptance confirmations
BAI01-WP33
Communication of programme retirement and ongoin
BAI02-WP1
Requirements definition repository
BAI02-WP2
Confirmed acceptance of requirements from stakehol
BAI02-WP3
Record of requirement change requests
BAI02-WP4
Feasibility study report
BAI02-WP5
High-level acquisition/ development plan
BAI02-WP6
Requirements risk register
BAI02-WP7
Risk mitigation actions
BAI02-WP8
Sponsor approvals of requirements and proposed solu
BAI02-WP9
Approved quality reviews
BAI03-WP1
Approved high-level design specification
BAI03-WP2
Approved detailed design specification
BAI03-WP3
Documented solution components
BAI03-WP4
Approved acquisition plans
137
Process SEBUAH SEBUAH ppendix ssessment B. Generic Dan LEvel 1 Output Work model (Pam) pAPERS Figure 19—Level 1 Output Work Products (cont.) WP ID BAI03-WP5
Updates to asset inventory
BAI03-WP6
Integrated and configured solution components
BAI03-WP7
Quality assurance plan
BAI03-WP8
Quality review results, exceptions and corrections
BAI03-WP9
Test plan
BAI03-WP10
Test procedures
BAI03-WP11
Test result logs and audit trails
BAI03-WP12
Test result communications
BAI03-WP13
Record of all approved and applied change requests
BAI03-WP14
Maintenance plan
BAI03-WP15
Updated solution components and related documentation
BAI03-WP16
Periodic maintenance analyses
BAI03-WP17
Service definitions
BAI03-WP18
Updated service portfolio
BAI04-WP1
Availability, performance and capacity baselines
BAI04-WP2
Evaluations against SLAs
BAI04-WP3
Prioritised improvements
BAI04-WP4
Performance and capacity plans
BAI04-WP5
Availability, performance and capacity monitoring review re
BAI04-WP6
Performance and capacity gaps
BAI04-WP7
Corrective actions
BAI04-WP8
Emergency escalation procedure
BAI04-WP9
Availability, performance and capacity scenarios
BAI04-WP10
Availability, performance and capacity business impact ass
BAI05-WP1
Communications of drivers for change
BAI05-WP2
Communications from executive management committing
BAI05-WP3
Implementation team and roles
BAI05-WP4
Common vision and goals
BAI05-WP5
Vision communication plan
BAI05-WP6
Vision communications
BAI05-WP7
Aligned HR performance objectives
138
Process SEBUAH SEBUAH ppendix ssessment B. Generic Dan LEvel 1 Output Work model (Pam) pAPERS Figure 19—Level 1 Output Work Products (cont.) WP ID BAI05-WP8
Identified quick wins
BAI05-WP9
Communications of benefits
BAI05-WP10
Operation and use plan
BAI05-WP11
Success measures and results
BAI05-WP12
Compliance audit results
BAI05-WP13
Awareness communications
BAI05-WP14
HR performance review results
BAI05-WP15
Knowledge transfer plans
BAI05-WP16
Communications of management’s commitment
BAI05-WP17
Reviews of operational use
BAI06-WP1
Impact assessments
BAI06-WP2
Approved requests for change
BAI06-WP3
Change plan and schedule
BAI06-WP4
Post-implementation review of emergency changes
BAI06-WP5
Change request status reports
BAI06-WP6
Change documentation
BAI07-WP1
Approved implementation plan
BAI07-WP2
Implementation fallback and recovery process
BAI07-WP3
Migration plan
BAI07-WP4
Approved acceptance test plan
BAI07-WP5
Test data
BAI07-WP6
Test results log
BAI07-WP7
Evaluation of results
BAI07-WP8
Approved acceptance and release to production
BAI07-WP9
Release plan
BAI07-WP10
Release log
BAI07-WP11
Supplemental support plan
BAI07-WP12
Post-implementation review
BAI07-WP13
Remedial action plan
BAI08-WP1
Classification of information sources
139
Process SEBUAH SEBUAH ppendix ssessment B. Generic Dan LEvel 1 Output Work model (Pam) pAPERS Figure 19—Level 1 Output Work Products (cont.) WP ID BAI08-WP2
Published knowledge repositories
BAI08-WP3
Knowledge user database
BAI08-WP4
Knowledge awareness and training schemes
BAI08-WP5
Knowledge use evaluation results
BAI08-WP6
Rules for knowledge retirement
BAI08-WP7
Communications on value of knowledge
BAI09-WP1
Asset register
BAI09-WP2
Results of physical inventory checks
BAI09-WP3
Results of fit-for-purpose reviews
BAI09-WP4
Communication of planned maintenance downtime
BAI09-WP5
Maintenance agreements
BAI09-WP6
Approved asset procurement requests
BAI09-WP7
Updated asset register
BAI09-WP8
Authorised asset retirements
BAI09-WP9
Results of cost optimisation reviews
BAI09-WP10
Opportunities to reduce asset costs or increase value
BAI09-WP11
Register of software licences
BAI09-WP12
Results of installed licence audits
BAI10-WP1
Scope of configuration management model
BAI10-WP2
Logical configuration model
BAI10-WP3
Configuration repository
BAI10-WP4
Configuration baseline
BAI10-WP5
Updated repository with configuration items
BAI10-WP6
Approved changes to baseline
BAI10-WP7
Configuration status reports
BAI10-WP8
Results of physical verification of configuration items
BAI10-WP9
Licence deviations
BAI10-WP10
Results of repository completeness reviews
DSS01-WP1
Operational schedule
140
Process SEBUAH SEBUAH ppendix ssessment B. Generic Dan LEvel 1 Output Work model (Pam) pAPERS Figure 19—Level 1 Output Work Products (cont.) WP ID DSS01-WP2
Backup log
DSS01-WP3
Asset monitoring rules and event conditions
DSS01-WP4
Event logs
DSS01-WP5
Incident tickets
DSS01-WP6
Environmental policies
DSS01-WP7
Insurance policy reports
DSS01-WP8
Facilities assessment reports
DSS01-WP9
Health and safety awareness
DSS01-WP10
Independent assurance plans
DSS02-WP1
Incident and service request classification schemes a
DSS02-WP2
Rules for incident escalation
DSS02-WP3
Criteria for problem registration
DSS02-WP4
Incident and service request log
DSS02-WP5
Classified and prioritised incidents and service reque
DSS02-WP6
Approved service requests
DSS02-WP7
Fulfilled service requests
DSS02-WP8
Incident symptoms
DSS02-WP9
Problem log
DSS02-WP10
Incident resolutions
DSS02-WP11
Closed service requests and incidents
DSS02-WP12
User confirmation of satisfactory fulfillment or resolutio
DSS02-WP13
Incident status and trends report
DSS02-WP14
Request fulfilment status and trends report
DSS03-WP1
Problem classification scheme
DSS03-WP2
Problem status reports
DSS03-WP3
Problem register
DSS03-WP4
Root causes of problems
DSS03-WP5
Problem resolution reports
DSS03-WP6
Known-error records
DSS03-WP7
Proposed solutions to known errors
DSS03-WP8
Closed problem records
DSS03-WP9
Communication of knowledge learned
DSS03-WP10
Problem resolution monitoring reports
DSS03-WP11
Identified sustainable solutions
DSS04-WP1
Policy and objectives for business continuity
DSS04-WP2
Disruptive incident scenarios
141
Process SEBUAH SEBUAH ppendix ssessment B. Generic Dan LEvel 1 Output Work model (Pam) pAPERS Figure 19—Level 1 Output Work Products (cont.) WP ID DSS04-WP3
Assessments of current continuity capabilities and gaps
DSS04-WP4
Business impact analyses
DSS04-WP5
Continuity requirements
DSS04-WP6
Approved strategic options
DSS04-WP7
Incident response actions and communications
DSS04-WP8
Business continuity plan
DSS04-WP9
Test objectives
DSS04-WP10
Test exercises
DSS04-WP11
Test results and recommendations
DSS04-WP12
Results of reviews of plans
DSS04-WP13
Recommended changes to plans
DSS04-WP14
Training requirements
DSS04-WP15
Monitoring results of skills and competencies
DSS04-WP16
Test results of backup data
DSS04-WP17
Post-resumption review report
DSS04-WP18
Approved changes to the plans
DSS05-WP1
Malicious software prevention policy
DSS05-WP2
Evaluations of potential threats
DSS05-WP3
Connectivity security policy
DSS05-WP4
Results of penetration tests
DSS05-WP5
Security policies for endpoint devices
DSS05-WP6
Approved user access rights
DSS05-WP7
Results of reviews of user accounts and privileges
DSS05-WP8
Approved access requests
DSS05-WP9
Access logs
DSS05-WP10
Security incident characteristics
DSS05-WP11
Security event logs
DSS05-WP12
Security incident tickets
DSS05-WP13
Inventory of sensitive documents and devices
DSS05-WP14
Access privileges
DSS06-WP1
Results of processing effectiveness reviews
DSS06-WP2
Root cause analyses and recommendations
DSS06-WP3
Processing control reports
DSS06-WP4
Allocated roles and responsibilities
DSS06-WP5
Allocated levels of authority
DSS06-WP6
Allocated access rights
142
Process SEBUAH SEBUAH ppendix ssessment B. Generic Dan LEvel 1 Output Work model (Pam) pAPERS Figure 19—Level 1 Output Work Products (cont.) WP ID DSS06-WP7
Evidence of error correction and remediation
DSS06-WP8
Error reports and root cause analysis
DSS06-WP9
Retention requirements
DSS06-WP10
Record of transactions
DSS06-WP11
Reports of violations
MEA01-WP1
Monitoring requirements
MEA01-WP2
Approved monitoring goals and metrics
MEA01-WP3
Monitoring targets
MEA01-WP4
Processed monitoring data
MEA01-WP5
Performance reports
MEA01-WP6
Remedial actions and assignments
MEA01-WP7
Status and results of actions
MEA02-WP1
Evidence of control effectiveness
MEA02-WP2
Results of internal control monitoring and reviews
MEA02-WP3
Results of benchmarking and other evaluations
MEA02-WP4
Self-assessment plans and criteria
MEA02-WP5
Results of self-assessments
MEA02-WP6
Results of reviews of self- assessments
MEA02-WP7
Assurance review scope
MEA02-WP8
Engagement plan
MEA02-WP9
Assurance review practices
MEA02-WP10
Refined scope
MEA02-WP11
Assurance review results
MEA02-WP12
Assurance review report
MEA03-WP1
Compliance requirements register
MEA03-WP2
Log of required compliance actions
MEA03-WP3
Updated policies, principles, procedures and standard
MEA03-WP4
Communications of changed compliance requiremen
MEA03-WP5
Identified compliance gaps
MEA03-WP6
Compliance confirmations
MEA03-WP7
Compliance assurance reports
MEA03-WP8
Reports of non-compliance issues and root causes
143
Process SEBUAHssessment model (Pam) Page intentionally left blank
144
Process SEBUAHssessment model (Pam)