![Kebijakan Tata Kelola Dan Manajemen Ti [PDF]](https://pdfs.asia/img/200x200/kebijakan-tata-kelola-dan-manajemen-ti.jpg)
5 0 638 KB
PEDOMAN TATA KELOLA DAN MANAJEMEN TEKNOLOGI INFORMASI UNIVERSITAS TELKOM
BAB I KETENTUAN UMUM 1. Pengertian Umum a. Perusahaan yang dimaksud dibawah ini adalah Telkom University b. Informasi adalah data dalam segala bentuknya (input, output, dan data terproses) yang digunakan oleh aktivitas bisnis. c. Information Security Management System (ISMS) adalah pendekatan sistem manajemen keamanan aset informasi terutama dalam konteks confidentiality (kerahasiaan), integrity (integritas) dan availability (ketersediaan). d. Infrastruktur adalah teknologi dan fasilitas (hardware, sistem operasi, database management system, networking, multimedia, beserta lingkungan yang memfasilitasi dan mendukungnya) yang memungkinkan pemrosesan aplikasi-aplikasi e. IT Governance atau Tata Kelola TI adalah kepemimpinan, struktur organisasi, dan proses untuk memastikan bahwa pengelolaan teknologi informasi berjalan dengan baik dan mendukung strategi dan tujuan Perusahaan. f.
IT Master Plan (ITMP) atau IT Strategic Plan (ITSP) atau Master Plan TI (MPTI) adalah Rencana Jangka Panjang (3 s.d. 5 tahun) yang di dalamnya memuat kolaborasi antara TI dan bisnis dengan mendeskripsikan bagaimana sumber daya TI akan memberi kontribusi pada sasaran strategis organisasi.
g. IT Service Management System (IT SMS) atau Sistem Manajemen Layanan TI adalah pendekatan sistem manajemen untuk menyelaraskan bisnis dengan TI melalui pengaturan kontribusi layanan TI terhadap keberjalanan layanan Bisnis. h. IT Steering Committee (ITSC) atau Komite Pengarah TI (KPTI) adalah komite gabungan perwakilan direksi dan manajemen eksekutif disertai dengan tim support/ komite kerjanya yang membantu pengambilan keputusan strategis TI, prioritisasi dan pemantauan inisiatif strategis TI, serta clearing house untuk menyelesaikan masalah strategis TI.
i.
Manajemen adalah pejabat struktural dalam organisasi Perusahaan yang memiliki suatu tugas dan tanggung jawab tertentu.
j.
Network atau jaringan adalah kumpulan komputer dan perangkat yang dihubungkan oleh kanal komunikasi, untuk memfasilitasi hubungan dan memungkinkan berbagi sumber daya dan informasi di antara perangkat yang terhubung.
k. Divisi Terkait adalah suatu Divisi organisasi Perusahaan yang memiliki dan bertanggung jawab dalam pengelolaan proses bisnis yang dijalankan melalui suatu sistem aplikasi sesuai dengan lingkup kerjanya l.
Prosedur adalah suatu rangkaian aktivitas, tugas-tugas, tahapan, keputusan, perhitungan, dan proses yang bila dilakukan dengan seksama akan memberikan hasil atau tujuan sesuai dengan yang direncanakan.
m. Proses adalah suatu aktivitas yang terstruktur n. Quality Assurance atau Jaminan mutu adalah pemantauan dan evaluasi secara sistematik beberapa aspek dari proyek, produk, atau layanan untuk memastikan bahwa probabilitas standar minimum kualitas dapat dicapai. o. Risiko adalah segala kejadian dalam setiap aktivitas yang mungkin timbul karena faktor ketidakpastian, yang mengandung potensi untuk menghambat pencapaian tujuan Perusahaan. p. Risk Management atau manajemen risiko adalah aktivitas terkoordinasi untuk identifikasi, penilaian, dan penentuan prioritas risiko yang kemudian akan dikelola, dipantau, dan dikontrol untuk mengurangi dampak dan/ atau kemungkinan terjadinya risiko tersebut. q. Service Desk / Help desk adalah titik kontak terpusat (central point of contact) antara Divisi Pengelola Teknologi Informasi dengan Pelanggan dalam basis operasional harian. r.
Sistem Informasi (SI) adalah suatu sistem terpadu yang terdiri dari aplikasi/ perangkat lunak/ software, infrastruktur/ perangkat keras/ hardware, sumber data dan sumber daya
manusia/
brainware,
serta
prosedur
untuk
mengumpulkan,
mentransformasikan, dan menyebarkan informasi dalam suatu organisasi. s. Teknologi Informasi (TI) adalah suatu teknologi yang mencakup perangkat keras (hardware), perangkat lunak (software), network komunikasi, serta teknik manajemen sumber data yang membantu mengumpulkan dan mentransformasikan sumber data menjadi produk informasi serta menyebarkan informasi tersebut ke pengguna.
t.
Three Lines of Defenses (TLOD) adalah best practice pengendalian risiko dengan menerapkan tiga lapisan pertahanan, pertama adalah risk owner, kedua adalah fungsi manajemen risiko dan kepatuhan dan ketiga adalah audit internal.
u. Data Analyst adalah posisi di dalam perusahaan yang berperan untuk mengidentifikasi dan menetapkan kebutuhan data di perusahaan v. Business Data Stewards adalah orang yang bertanggung jawab terhadap manajemen dan kesiapan dari elemen data w. IT Operasional adalah orang yang bertanggung jawab untuk memastikan bahwa kegiatan operational IT sudah berjalan dengan baik dan dapat memenuhi target yang telah ditentukan x. IT Security adalah orang yang bertanggung jawab untuk memastikan bahwa system informasi yang terdapat di dalam perusahaan berada pada kondisi yang aman dan tidak dapat di akses oleh pihak lain y. Database Administrator adalah orang yang bertanggung jawab untuk desain, pelaksanaan, pemeliharaan dan perbaikan database organisasi.
2. Maksud dan Tujuan a. Maksud ditetapkannya kebijakan tata kelola data dan manajemen TI ini adalah untuk: i. Menjalankan kewajiban dewan komisaris dalam memberikan arahan terkait penerapan tata kelola TI ii. Memberikan referensi kepada seluruh komponen pelaksana tata kelola data dan manajemen TI perusahaan dalam menyusun dan menetapkan prosedur operasional sehingga terjadi keselarasan pada tataran strategis, taktis dan operasional dalam penyelenggaraan TI Perusahaan. b. Tujuan ditetapkannya kebijakan tata kelola data dan manajemen TI ini adalah: i. Tersedianya arahan untuk merealisasikan benefit terhadap pengelolaan data yang baik serta mengoptimalkan risiko dan sumberdaya TI ii. Tersedianya pedoman yang dapat menjadi standar dalam melakukan proses tata kelola data dan manajemen TI.
3. Ruang Lingkup Kebijakan tata kelola data dan manajemen TI ini dilakukan secara menyeluruh di semua komponen organisasi perusahaan.
BAB II
KERANGKA KERJA PROSES DAN ORGANISASI 4. Model Referensi Proses Tata Kelola Data dan Manajemen TI Model referensi proses yang menjadi acuan kebijakan tata kelola data dan manajemen TI ini adalah standar dan best practice dalam mengelola data dan TI seperti COBIT, dan ISO 27001 yang relevan dengan peraturan tersebut yang didefinisikan berdasarkan keselaeasan dengan tujuan perusahaan.
5. IT Steering Committee a. Direksi harus membentuk IT Steering Committee (ITSC) yang bertugas pada beberapa hal, namun tidak terbatas, sebagai berikut: i. Review kebijakan tata kelola dan manajemen TI; ii. Review peran strategis, Master Plan, serta RKAP TI beserta realisasinya; iii. Review kualitas, kinerja dan kepatuhan TI; iv. Penentuan prioritasi portofolio program dan proyek TI serta pengambilan keputusan strategis TI. b. Keanggotaan ITSC bersifat adhoc yang dipimpin oleh salah satu Direksi, beranggotakan sebagian Direksi terkait serta pimpinan Divisi di bawah Direksi Perusahaan. c. Ketua ITSC adalah Direksi yang membawahi Divisi IT; d. Wakil Ketua ITSC adalah Direksi yang lainnya; e. Sekretaris ITSC adalah IT Eksekutive; f.
Anggota ITSC adalah seluruh Kepala Divisi.
g. ITSC perlu melaksanakan rapat minimal 3 bulan sekali dan dibantu persiapannya oleh tim teknis di bawah koordinasi masing-masing anggota ITSC. h. Pengaturan detail mengenai pembentukan, tugas pokok dan fungsi, keanggotaan serta masa penugasan ITSC perlu ditetapkan oleh Surat Perintah Direktur Utama tersendiri
6. Organisasi Tata Kelola Teknologi Informasi a. Struktur organisasi Divisi Sisfo dibentuk atas dasar kebutuhan dukungan bidangbidang TI terkait beserta fungsi di dalamnya untuk mendukung pencapaian tujuan Perusahaan. b. Fungsi Perencanaan dan Aliansi Bisnis dengan peranan meliputi koordinasi perencanaan dan pengendalian pelaksanaan inisiatif strategis, anggaran, pengadaan dan kegiatannya, analisis bisnis serta optimalisasi komunikasi antara TI dengan unit kerja lain dan pihak ketiga. c. Fungsi IT Governance dan Quality Assurance dengan peranan meliputi koordinasi pelaksanaan self-assessment dan monitoring risiko beserta kecukupan kendalinya, perencanaan dan perancangan kendali yang memadai, termasuk tata kelola data, serta pelaksanaan aktivitas penjaminan mutu atas proyek dan operasi TI sesuai dengan internal best practice dan peraturan terkait. d. Fungsi Operasi DC (Data Center), DRC (Disaster Recovery Center) dan jaringan komputer dengan peranan meliputi operasi keberjalanan sistem dan fasilitas pendukung, kesiapan sistem terhadap bencana dalam rangka keberlangsungan bisnis juga monitoring kinerja aset TI dan pemeliharaannya. e. Fungsi Database Administrator dengan peranan meliputi perencanaan, perancangan dan pengembangan basis data, pemeliharaan dan monitoring kinerja, integritas, kapasitas dan keamanan sistem basis data serta mengelola pengendalian akses dan kewenangan terhadap data. f.
Fungsi IT Security dengan peranan meliputi perencanaan, perancangan, monitoring dan pemeliharaan keamanan seluruh sistem TI, baik fisikal maupun logikal, baik terhadap aset aplikasi, infrastruktur maupun informasi itu sendiri.
g. Fungsi IT Service Desk dan Technical Support dengan peranan sebagai single point of contact meliputi pengelolaan insiden dan permintaan layanan TI, termasuk penanganan keluhan dari pengguna maupun notifikasi insiden, memberikan dukungan teknis terhadapnya lalu pelaksanaan eskalasi horisontal terhadap tim terkait ataupun vertikal terhadap penanggung jawab di atasnya jika tidak dapat ditangani oleh tim. h. Jika salah satu fungsi tersebut di atas perlu dirangkap posisi oleh satu posisi tertentu karena keterbatasan sumber daya maka perlu mempertimbangkan SOD (Segregation of Duties) serta menerapkan kendali kompensasi jika memunculkan kelemahan.
i.
Tanggung jawab dan kewenangan dalam organisasi TI harus dideskripsikan secara jelas dalam dokumen deskripsi kerja dengan mempertimbangkan Segregation of Duties.
j.
Perusahaan perlu memiliki fungsi manajemen risiko, kepatuhan dan fungsi audit internal TI.
7. Pola Pengambilan Keputusan Tata Kelola Data dan Teknologi Informasi. a. Master Plan TI diajukan oleh Divisi TI, dapat dibantu oleh Pihak Ketiga yang relevan, dikonsultasikan kepada Divisi Terkait dalam konteks perencanaan bersama, di-review oleh ITSC, ditetapkan oleh Direksi. b. Rencana Kerja dan Anggaran (RKA) TI, diajukan oleh Divisi IT, dikonsultasikan kepada Divisi Terkait, di-review oleh ITSC, dikonsolidasi dengan RKA unit lain, di-review dan disetujui oleh Direksi dan Komisaris c. Rencana Pelaksanaan Kegiatan (Renlakgiat) TI diajukan oleh Divisi TI mengacu kepada RKAP yang telah ditetapkan sebelumnya. d. Pengembangan Sistem Informasi diusulkan oleh Divisi Terkait dan atau Divisi TI, dilaksanakan oleh Divisi TI dan/atau pihak ketiga, dilaksanakan dengan keterlibatan Divisi Terkait terkait, di-review oleh ITSC, didukung langsung oleh Direksi. e. Implementasi Infrastruktur TI iusulkan oleh Divisi TI, dilaksanakan oleh Divisi TI dan/ atau pihak ketiga. f.
Pengoperasian dan Pelayanan TI dilaksanakan oleh Divisi TI ataupun pihak ketiga yang terkait, dievaluasi secara berkala kinerjanya oleh ITSC.
g. Tata Kelola TI dilaksanakan berdasarkan best practice Three Line of Defenses (TLOD), lapisan pertama oleh pemilik risiko/ penanggung jawab proses TI terkait, lapisan kedua oleh fungsi Risiko dan Kepatuhan Perusahaan, dan terakhir oleh Auditor Internal TI.
8. Tata Kelola dan Manajemen Teknologi Informasi a. Penyusunan Kebijakan Tata Kelola dan Manajemen TI dilaksanakan untuk mendefinisikan kerangka kerja kendali TI yang selaras dengan kendali internal Perusahaan. b. Direksi bertanggung jawab untuk menetapkan Kebijakan Tata Kelola dan Manajemen TI. c. Seluruh komponen Telkom University wajib menegakkan aturan yang tertera dalam Kebijakan Tata Kelola dan Manajemen TI secara konsisten. d. Kebijakan Tata Kelola dan Manajemen TI harus disosialisasikan dan disebarluaskan ke seluruh Divisi organisasi terkait setelah ditetapkan. e. Monitoring atas kepatuhan Kebijakan Tata Kelola dan Manajemen TI harus dilakukan secara periodik setelah kebijakan diimplementasikan. f.
Kebijakan Tata Kelola dan Manajemen TI perlu ditinjau ulang setiap tahun sesuai dengan perubahan proses bisnis dan kebutuhan Perusahaan atau jika ada perubahan organisasi yang signifikan.
BAB III MANAJEMEN RISIKO TI 9. Manajemen Risiko TI a. Pengelolaan risiko TI harus terintegrasi dan selaras dengan kerangka kerja Enterprise Risk Management (ERM) Perusahaan, termasuk penyelarasan dengan tingkat risk appetite dan toleransi risiko Perusahaan. b. Divisi Sisfo bertanggung jawab untuk mengindentifikasi setiap kejadian, baik ancaman, kerentanan beserta dampaknya, di lingkungan TI yang dapat menghambat pencapaian tujuan Perusahaan. c. Risiko TI prioritas harus dikelola dengan baik untuk selanjutnya digunakan sebagai dasar pengambilan keputusan pimpinan. d. Divisi Sisfo bertanggung jawab untuk melaksanakan self assessment risiko TI berdasarkan kerangka kerja pengelolaan risiko TI yang telah ditetapkan, beserta penyusunan Risk Treatment Plan (RTP). e. Fungsi IT Governance dan Quality Assurance TI Perusahaan harus melaksanakan review hasil self-assessment risiko TI dan RTP untuk memastikan akurasi serta keselarasannya dengan pendekatan manajemen risiko Perusahaan.
BAB IV MANAJEMEN SDM TI 10. Manajemen SDM TI a. Berdasarkan hasil analisis beban kerja, Divisi Sisfo perlu mengidentifikasi kebutuhan SDM TI dengan menyusun rencana tahunan SDM TI untuk mendukung Divisi Personalia Perusahaan. b. Divisi Sisfo perlu mendukung Divisi Personalia dalam melaksanakan rekrutmen, seleksi dan penerimaan, induksi serta penempatan yang sesuai dengan potensi dan bakat masingmasing SDM TI. c. Divisi Sisfo perlu mendukung Divisi Personalia dalam menyusun rencana pengembangan karir beserta jalur karir yang memadai untuk SDM TI. d. Divisi Sisfo perlu mendukung Divisi Personalia dalam melaksanakan assessment skill dan kompetensi SDM TI terkait untuk mengidentifikasi kesenjangan saat ini. e. Berdasarkan hasil analisis kesenjangan saat ini, Divisi Sisfo perlu menyusun rencana pelatihan yang memadai untuk menutup kesenjangan yang ada, bekerja sama dengan Divisi Personalia.
BAB V MANAJEMEN DATA DAN KEAMANAN INFORMASI 11. Manajemen Data a. Divisi Sisfo melalui Fungsi IT Governance dan Quality Assurance perlu menyusun/ memperbarui kebijakan, standar dan prosedur terkait Tata Kelola Data yang akan ditetapkan oleh kewenangan terkait. b. Perusahaan perlu memilih dan menugaskan perwakilan yang paling relevan sebagai data owner/pemilik data, data user/ pengguna data, data steward bisnis yang bertanggung jawab mengenai permasalahan dan perubahan data, serta data steward TI yang bertanggung jawab meningkatkan kualitas data dan data cleansing/ perbaikan. c. Fungsi IT Governance dan Quality Assurance perlu berkomunikasi dan mengelola relasi secara formal dan transparan dengan data steward, baik TI maupun Bisnis, untuk memahami isu dan harapan terkini serta kesepahaman mengenai persyaratan data. d. Fungsi IT Governance dan Quality Assurance perlu memiliki kapabilitas analisis data untuk melaksanakan data profiling serta menyusun dan merilis laporan indeks mutu data secara berkala.
12. Manajemen Keamanan Informasi a. Divisi Sisfo melalui Fungsi Perencanaan dan Aliansi Bisnis serta Fungsi Security Administrator bersama fungsi-fungsi terkait di dalam maupun luar TI bertanggung jawab untuk menyusun Information Security Management System (ISMS)/ Sistem Manajemen Keamanan Informasi (SMKI) yang standar, formal dan berkelanjutan dengan mengacu kepada model referensi proses yang relevan yaitu ISO 27001. b. Perusahaan perlu menugaskan 1 orang perwakilan Direksi untuk menempati posisi adhoc sebagai Chief Information Security Officer (CISO) dengan accountability terhadap keberjalanan ISMS. c. ISMS/SMKI perlu meliputi semua aspek yang terkait, namun tidak terbatas kepada, seperti: kebijakan keamanan, organisasi, SDM, aset, kendali akses, kriptografi, fisik dan lingkungan, operasi, komunikasi, akuisisi, pengembangan dan pemeliharaan, relasi pemasok, manajemen insiden serta kepatuhan. d. Kebijakan keamanan informasi yang lebih rinci perlu disusun dan ditetapkan oleh surat perintah direksi tersendiri.
e. Berdasarkan kebijakan dan prosedur manajemen risiko yang berlaku, Divisi Sisfo dan fungsifungsi terkait di luar TI perlu melaksanakan assessment risiko yang akurat dengan fokus kepada keamanan informasi di dalam ruang lingkup ISMS/SMKI yang disepakati manajemen. f.
Berdasarkan profil risiko terkini, Divisi Sisfo dan fungsi-fungsi terkait di luar TI perlu menyusun rancangan ISMS/SMKI yang dapat mengendalikan risiko yang ada, sesuai dengan risk appetite dan tolerance Perusahaan, serta mengimplementasikan dan mengoperasikan kendalinya sesuai dengan kebutuhan.
BAB VI PENUTUP 13. Penutup a. Dengan diberlakukannya pedoman ini maka pedoman sebelumnya yang bertentangan dengan ini dinyatakan tidak berlaku lagi. b. Pedoman ini mulai berlaku sejak tanggal ditetapkan.
