![Kuesioner Maturity Level COBIT [PDF]](https://pdfs.asia/img/200x200/kuesioner-maturity-level-cobit.jpg)
12 0 486 KB
PO1 - Define Strategic IT Plan
Deskripsi
Mendefinisikan perencanaan strategis TI mencakup Pengelolaan Nilai TI, Keselarasan bisnis TI, Menilai kemampuan saat ini dan kinerja yang dihasilkan, perencanaan strategic TI, perencanaan taktis TI dan Pengelolaan portofolio TI.
PO1 - Define Strategic IT Plan PERNYATAAN ID No. STATEMENT Perencanaan strategis TI tidak dilakukan PO1.0.1 IT strategic planning is not performed. There is no management awareness that IT Tidak ada kesadaran manajemen bahwa PO1.0.2 strategic planning is needed to support business perencanaan strategis TI diperlukan untuk goals. mendukung tujuan bisnis.
Ya
Y/R
Ragu
T/R Tidak
The need for IT strategic planning is known by IT Manajemen TI mengetahui kebutuhan PO1.1.1 management. perencanaan strategis TI IT planning is performed on an as‐needed basis in Perencanaan TI dilakukan atas dasar untuk PO1.1.2 response to a specific business requirement. memenuhi kebutuhan bisnis yang spesifik. IT strategic planning is occasionally discussed at PO1.1.3 IT management meetings
Perencanaan strategis TI dibahas pada pertemuan manajemen TI.
The alignment of business requirements, applications and technology takes place PO1.1.4 reactively rather than by an organisation wide strategy
Penyelarasan kebutuhan bisnis, aplikasi dan teknologi berlangsung reaktif dibanding strategi organisasi secara keseluruhan.
The strategic risk position is identified informally Resiko strategik diidentifikasi secara informal PO1.1.5 on a project-by-project basis berdasarkan proyek demi proyek. IT strategic planning is shared with business PO1.2.1 management on an as-needed basis
Perencanaan strategis TI adalah bagian dari manajemen bisnis sebagai kebutuhan dasar.
Updating of the IT plans occurs in response to PO1.2.2 requests by management
Memperbarui rencana TI terjadi dalam menanggapi permintaan manajemen.
Strategic decisions are driven on a project-byKeputusan strategis dibuat atas dasar proyek PO1.2.3 project basis without consistency with an overall demi proyek tanpa konsistensi terhadap strategi organisation strategy organisasi secara keseluruhan. The risks and user benefits of major strategic PO1.2.4 decisions are recognised in an intuitive way.
Risiko dan manfaat oleh pengguna atas keputusan strategis utama diketahui secara intuitif.
A policy defines when and how to perform IT PO1.3.1 strategic planning
Sebuah kebijakan menentukan kapan dan bagaimana perencanaan strategis TI dilakukan.
IT strategic planning follows a structured PO1.3.2 approach that is documented and known to all staff
Perencanaan strategis TI mengikuti pendekatan terstruktur bagaimana didokumentasikan dan diketahui oleh semua staf.
The IT planning process is reasonably sound and PO1.3.3 ensures that appropriate planning is likely to be performed
Proses perencanaan TI cukup baik dan menjamin bahwa perencanaan sesuai dan mungkin untuk dilakukan.
However, discretion is given to individual managers with respect to implementation of the PO1.3.4 process, and there are no procedures to examine the process
Bagaimanapun,kebijaksanaan diberikan kepada manajer secara individual sehubungan dengan pelaksanaan proses, dan tidak ada prosedur untuk memeriksa proses tersebut.
The overall IT strategy includes a consistent PO1.3.5 definition of risks that the organisation is willing to take as an innovator or follower
Strategi TI secara keseluruhan mencakup definisi yang konsisten tentang resiko yang akan organisasi ambil sebagai inovator atau pengikut
The IT financial, technical and human resources TI Keuangan, teknis dan sumber daya manusia PO1.3.6 strategies increasingly influence the acquisition of semakin mempengaruhi perolehan produk dan new products and technologies teknologi baru. IT strategic planning is discussed at business PO1.3.7 management meetings
Perencanaan strategis TI dibahas pada rapat manajemen bisnis.
IT strategic planning is standard practice and PO1.4.1 exceptions would be noticed by management
Perencanaan strategis TI merupakan praktek standar dan jika ada pengecualian akan mendapat perhatian manajemen.
Copyright ASK Consulting 2021
PO1 - Define Strategic IT Plan PERNYATAAN STATEMENT IT strategic planning is a defined management Perencanaan strategis TI didefinisikan sebagai fungsi manajemen dengan tanggung jawab PO1.4.2 function with senior-level responsibilities tingkat senior. ID No.
Ya
Y/R
Ragu
T/R Tidak
Management is able to monitor the IT strategic Manajemen dapat memantau proses planning process, make informed decisions based perencanaan strategis TI, membuat keputusan PO1.4.3 on it and measure its effectiveness berdasarkan perencanaan tersebut dan mengukur efektivitasnya. Both short-range and long-range IT planning PO1.4.4 occurs and is cascaded down into the organisation, with updates done as needed
Perencanaan TI jangka pendek dan jangka panjang diinfokan ke dalam organisasi, dengan update yang dilakukan sesuai kebutuhan.
The IT strategy and organisationwide strategy are Strategi TI dan strategi organisasi secara increasingly becoming more co-ordinated by keseluruhan semakin meningkat dan addressing business processes and value-added terkoordinasi dengan mengatasi proses bisnis dan PO1.4.5 capabilities and leveraging the use of applications memiliki nilai tambah dalam meningkatkan and technologies through business process repenggunaan aplikasi dan teknologi melalui proses engineering bisnis re-engineering. There is a well-defined process for determining the usage of internal and external resources PO1.4.6 required in system development and operations
Ada sebuah proses yang jelas untuk menentukan penggunaan sumber daya internal dan eksternal yang diperlukan dalam pengembangan sistem dan operasi.
IT strategic planning is a documented, living process; is continuously considered in business goal setting; and results in discernible business PO1.5.1 value through investments in IT
Proses perencanaan strategis TI didokumentasikan,terus berproses; berkesinambungan dipertimbangkan dalam menetapkan tujuan bisnis dan hasil dalam bisnis dilihat melalui investasi di bidang TI.
Risk and value-added considerations are Resiko dan pertimbangan nilai tambah terus PO1.5.2 continuously updated in the IT strategic planning diperbarui dalam proses perencanaan strategis TI process Realistic long-range IT plans are developed and constantly updated to reflect changing PO1.5.3 technology and business-related developments
Perencanaan realistis TI jangka panjang dikembangkan dan terus diperbarui untuk mencerminkan perubahan teknologi dan perkembangan yang terkait dengan bisnis.
Benchmarking against well-understood and Perbandingan terhadap norma-norma industri reliable industry norms takes place and is dipahami dengan baik dan terintegrasi dengan PO1.5.4 integrated with the strategy formulation process proses perumusan strategi. The strategic plan includes how new technology developments can drive the creation of new business capabilities and improve the competitive PO1.5.5 advantage of the organisation
Rencana strategis meliputi bagaimana perkembangan teknologi baru dapat mendorong terciptanya kemampuan bisnis baru dan meningkatkan keunggulan kompetitif organisasi.
Copyright ASK Consulting 2021
PO2 - Define The Information Architecture
Deskripsi
Mendefinisikan arsitektur informasi, mencakup model informasi dari arsitektur enterprise, kamus data perusahaa Klasifikasi Data Skema dan pengelolaan integritas,
PO2 - Define The Information Architecture PERNYATAAN ID No. STATEMENT There is no awareness of the importance of the Tidak ada kesadaran akan pentingnya arsitektur PO2.0.1 information architecture for the organisation. informasi bagi organisasi. The knowledge, expertise and responsibilities Pengetahuan, keahlian dan tanggung jawab necessary to develop this architecture do not exist diperlukan untuk mengembangkan arsitektur PO2.0.2 in the organisation. informasi yang tidak ada di dalam organisasi. Management recognises the need for an PO2.1.1 information architecture.
Manajemen mengakui perlunya arsitektur informasi.
Development of some components of an Pengembangan beberapa komponen dari information architecture is occurring on an ad hoc arsitektur informasi dilakukan atas dasar PO2.1.2 basis. kebutuhan sesaat. The definitions address data, rather than PO2.1.3 information, and are driven by application software vendor offerings.
Definisi mengenai data, bukanlah informasi, dan didorong oleh penawaran penjual aplikasi perangkat lunak.
There is inconsistent and sporadic communication Adanya komunikasi yang tidak konsisten dan sporadis mengenai kebutuhan untuk arsitektur PO2.1.4 of the need for an information architecture. informasi. An information architecture process emerges and similar, though informal and intuitive, procedures PO2.2.1 are followed by different individuals within the organisation.
Munculnya sebuah proses arsitektur informasi dan yang sejenisnya baik informal atau intuitif,prosedur diikuti oleh individu yang berbeda dalam organisasi.
Staff obtain their skills in building the information Staf memperoleh keahlian mereka dalam architecture through hands-on experience and membangun arsitektur informasi melalui PO2.2.2 repeated application of techniques. pengalaman langsung dan berulang-ulang melakukan aplikasi teknik . Tactical requirements drive the development of PO2.2.3 information architecture components by individual staff members.
Persyaratan taktis mendorong pengembangan komponen arsitektur informasi oleh individu anggota staf.
The importance of the information architecture is Pentingnya arsitektur informasi dipahami dan understood and accepted, and responsibility for diterima, dan tanggung jawab untuk pengiriman PO2.3.1 its delivery is assigned and clearly communicated. ditugaskan dan dikomunikasikan secara jelas.
Related procedures, tools and techniques, although not sophisticated, have been PO2.3.2 standardised and documented and are part of informal training activities.
Prosedur, alat dan teknik terkait, meskipun tidak canggih, telah distandarisasi dan didokumentasikan dan merupakan bagian dari kegiatan pelatihan informal.
Basic information architecture policies have been developed, including some strategic PO2.3.3 requirements, but compliance with policies, standards and tools is not consistently enforced.
Kebijakan arsitektur informasi dasar telah dikembangkan, termasuk beberapa persyaratan strategis, tetapi kesesuaian dengan kebijakan, standar dan alat tidak konsisten dilakukan.
A formally defined data administration function is in place, setting organisationwide standards, and is beginning to report on the delivery and use of PO2.3.4 the information architecture.
Fungsi administrasi data yang didefinisikan secara formal di tempat, menetapkan standar organisasi yang luas, dan mulai melaporkan pengiriman dan penggunaan arsitektur informasi.
Automated tools are beginning to be employed, PO2.3.5 but the processes and rules used are defined by database software vendor offerings.
Alat otomatis mulai digunakan, tetapi proses dan aturan yang digunakan didefinisikan oleh vendor yang menawarkan software database.
A formal training plan has been developed, but PO2.3.6 formalised training is still based on individual initiatives.
Sebuah rencana pelatihan formal telah dikembangkan, tetapi formalisasi pelatihan tersebut masih berdasarkan inisiatif individu.
The development and enforcement of the PO2.4.1 information architecture are fully supported by formal methods and techniques.
Pengembangan dan penegakan arsitektur informasi sepenuhnya didukung oleh metode formal dan teknik.
Accountability for the performance of the Akuntabilitas kinerja proses pengembangan architecture development process is enforced and arsitektur ditegakkan dan keberhasilan arsitektur PO2.4.2 success of the information architecture is being informasi yang sedang diukur. measured. Supporting automated tools are widespread, but Alat pendukung otomatis tersebar luas, namun PO2.4.3 are not yet integrated. belum terintegrasi. Basic metrics have been identified and a PO2.4.4 measurement system is in place.
Dasar metrik telah diidentifikasi dan sistem pengukuran di tempat.
The information architecture definition process is Informasi definisi proses arsitektur adalah proaktif dan terfokus pada menangani kebutuhan PO2.4.5 proactive and focused on addressing future business needs. bisnis masa depan. The data administration organisation is actively Organisasi data administrasi secara aktif terlibat PO2.4.6 involved in all application development efforts, to dalam semua upaya pengembangan aplikasi, ensure consistency. untuk memastikan konsistensi. PO2.4.7
An automated repository is fully implemented.
Sebuah repositori otomatis diimplementasikan sepenuhnya.
More complex data models are being Model data yang lebih kompleks yang sedang implemented to leverage the information content dilaksanakan untuk meningkatkan kandungan PO2.4.8 of the databases. informasi dari database. Executive information systems and decision PO2.4.9 support systems are leveraging the available information.
Sistem informasi eksekutif dan sistem pendukung keputusan yang memanfaatkan informasi yang tersedia.
The information architecture is consistently PO2.5.1 enforced at all levels.
Arsitektur informasi secara konsisten ditegakkan di semua tingkatan.
The value of the information architecture to the PO2.5.2 business is continually stressed.
Nilai arsitektur informasi untuk bisnis terus ditekankan.
IT personnel have the expertise and skills necessary to develop and maintain a robust and responsive information architecture that reflects PO2.5.3 all the business requirements.
Personil TI memiliki keahlian dan keterampilan yang diperlukan untuk mengembangkan dan memelihara arsitektur informasi yang kuat dan responsif yang mencerminkan semua kebutuhan bisnis.
The information provided by the information PO2.5.4 architecture is consistently and extensively applied.
Informasi yang diberikan oleh arsitektur informasi secara konsisten dan diterapkan secara luas.
Extensive use is made of industry good practices in the development and maintenance of the PO2.5.5 information architecture, including a continuous improvement process.
Penggunaan ekstensif terbuat dari praktik industri yang baik dalam pengembangan dan pemeliharaan arsitektur informasi, termasuk proses perbaikan terus-menerus.
The strategy for leveraging information through Strategi untuk memanfaatkan informasi melalui PO2.5.6 data warehousing and data mining technologies data warehousing dan data mining teknologi is defined. didefinisikan. The information architecture is continuously improving and takes into consideration nonPO2.5.7 traditional information on processes, organisations and systems.
Arsitektur informasi terus memperbaiki dan mempertimbangkan informasi non-tradisional pada proses, organisasi dan sistem.
e, kamus data perusahaan dan aturan syntax, tas,
Ya
Y/R
Ragu
T/R
Tidak
PO3 - Determine Technological Direction
Deskripsi
Menentukan arah tehnologi yang mencakup/membahas tentang perencanaan arah tehnologi, perencanaan infra pemantauan trend di masa yang akan datang dan aturan-aturannya, menetapkan standar tehnologi dan penentua
PO3 - Determine Technological Direction PERNYATAAN ID No. STATEMENT There is no awareness of the importance of Tidak ada kesadaran akan pentingnya technology infrastructure planning for the entity. perencanaan infrastruktur teknologi untuk PO3.0.1 entitas. The knowledge and expertise necessary to Pengetahuan dan keahlian yang diperlukan untuk PO3.0.2 develop such a technology infrastructure plan do mengembangkan rencana infrastruktur teknologi not exist. tersebut tidak ada. There is a lack of understanding that planning for Ada kurangnya pemahaman bahwa perencanaan technological change is critical to effectively untuk perubahan teknologi sangat penting untuk secara efektif mengalokasikan sumber daya. PO3.0.3 allocate resources.
Management recognises the need for technology Manajemen mengakui perlunya perencanaan PO3.1.1 infrastructure planning. infrastruktur teknologi. Technology component developments and Perkembangan komponen teknologi dan emerging technology implementations are ad hoc munculnya implementasi teknologi yang ad hoc PO3.1.2 and isolated. dan terisolasi. There is a reactive and operationally focused PO3.1.3 approach to infrastructure planning.
Ada pendekatan reaktif dan operasional terfokus untuk perencanaan infrastruktur.
Technology directions are driven by the often contradictory product evolution plans of PO3.1.4 hardware, systems software and applications software vendors.
Arah teknologi didorong oleh seringnya rencana evolusi produk yang kontradiktif dari hardware, sistem software dan vendor aplikasi perangkat lunak.
Communication of the potential impact of PO3.1.5 changes in technology is inconsistent.
Komunikasi dari dampak potensial dari perubahan teknologi tidak konsisten.
The need for and importance of technology PO3.2.1 planning are communicated.
Kebutuhan dan pentingnya perencanaan teknologi dikomunikasikan.
Planning is tactical and focused on generating solutions to technical problems, rather than on PO3.2.2 the use of technology to meet business needs.
Perencanaan taktis dan terfokus pada menghasilkan solusi untuk masalah teknis, bukan pada penggunaan teknologi untuk memenuhi kebutuhan bisnis.
Evaluation of technological changes is left to PO3.2.3 different individuals who follow intuitive, but similar, processes.
Evaluasi perubahan teknologi yang tersisa untuk individu yang berbeda yang mengikuti intuitif, tapi mirip, berproses.
People obtain their skills in technology planning through hands-on learning and repeated PO3.2.4 application of techniques.
Orang-orang mendapatkan keterampilan mereka dalam perencanaan teknologi melalui belajar langsung dan berulang-ulang melakukan aplikasi teknik.
Common techniques and standards are emerging Teknik umum dan standar muncul untuk pengembangan komponen infrastruktur. PO3.2.5 for the development of infrastructure components. Management is aware of the importance of the PO3.3.1 technology infrastructure plan.
Manajemen menyadari pentingnya rencana infrastruktur teknologi.
The technology infrastructure plan development Proses pengembangan rencana infrastruktur PO3.3.2 process is reasonably sound and aligned with the teknologi cukup beralasan dan selaras dengan IT strategic plan. rencana strategis TI. There is a defined, documented and wellPO3.3.3 communicated technology infrastructure plan, but it is inconsistently applied.
Rencana infrastruktur teknologi didefinisikan, didokumentasikan dan dikomunikasikan dengan baik, tetapi tidak diterapkan secara konsisten.
The technology infrastructure direction includes an understanding of where the organisation wants to lead or lag in the use of technology, PO3.3.4 based on risks and alignment with the organisation’s strategy.
Arah infrastruktur teknologi meliputi pemahaman tentang di mana organisasi ingin memimpin atau tertinggal dalam penggunaan teknologi, berdasarkan risiko dan sejalan dengan strategi organisasi.
Key vendors are selected based on the understanding of their long-term technology and PO3.3.5 product development plans, consistent with the organisation’s direction.
Vendor utama dipilih berdasarkan pemahaman mereka tentang rencana pengembangan produk dan teknologi jangka panjang yang konsisten dengan pengarahan organisasi.
Formal training and communication of roles and Pelatihan formal dan komunikasi dari peran dan PO3.3.6 responsibilities exist. tanggung jawab ada. Management ensures the development and PO3.4.1 maintenance of the technology infrastructure plan.
Manajemen menjamin pengembangan dan pemeliharaan rencana infrastruktur teknologi.
IT staff members have the expertise and skills Anggota staf TI memiliki keahlian dan necessary to develop a technology infrastructure keterampilan yang diperlukan untuk PO3.4.2 plan. mengembangkan rencana infrastruktur teknologi. The potential impact of changing and emerging PO3.4.3 technologies is taken into account.
Dampak potensial dari perubahan dan munculnya teknologi diperhitungkan.
Management can identify deviations from the PO3.4.4 plan and anticipate problems.
Manajemen dapat mengidentifikasi penyimpangan dari rencana dan mengantisipasi masalah.
Responsibility for the development and Tanggung jawab untuk pengembangan dan maintenance of a technology infrastructure plan pemeliharaan rencana infrastruktur teknologi PO3.4.5 has been assigned. telah ditetapkan. The process of developing the technology PO3.4.6 infrastructure plan is sophisticated and responsive to change.
Proses pengembangan rencana infrastruktur teknologi harus canggih dan responsif terhadap perubahan.
Internal good practices have been introduced into Praktek yang baik di internal telah diperkenalkan PO3.4.7 the process. ke dalam proses. The human resources strategy is aligned with the Strategi sumber daya manusia sejalan dengan technology direction, to ensure that IT staff arah teknologi, untuk memastikan bahwa PO3.4.8 members can manage technology changes. anggota staf TI dapat mengelola perubahan teknologi. Migration plans for introducing new technologies Rencana migrasi untuk memperkenalkan PO3.4.9 are defined. teknologi baru didefinisikan. Outsourcing and partnering are being leveraged Outsourcing dan kemitraan sedang dimanfaatkan untuk mengakses keahlian dan keterampilan yang PO3.4.10 to access necessary expertise and skills. diperlukan. Management has analysed the acceptance of risk regarding the lead or lag use of technology in PO3.4.11 developing new business opportunities or operational efficiencies.
Manajemen telah menganalisis penerimaan risiko mengenai memimpin atau ketinggalan penggunaan teknologi dalam mengembangkan peluang bisnis baru atau efisiensi operasional.
A research function exists to review emerging and Fungsi penelitian ada untuk meninjau muncul dan berkembangnya teknologi dan patokan organisasi PO3.5.1 evolving technologies and benchmark the organisation against industry norms. terhadap norma-norma industri. The direction of the technology infrastructure Arah rencana infrastruktur teknologi dipandu plan is guided by industry and international oleh perkembangan standar industri dan PO3.5.2 standards and developments, rather than driven internasional, daripada oleh vendor teknologi. by technology vendors. The potential business impact of technological Dampak potensial bisnis dari perubahan change is reviewed at senior management levels. teknologi ditinjau pada tingkat manajemen PO3.5.3 senior. There is formal executive approval of new and PO3.5.4 changed technological directions.
Ada persetujuan eksekutif formal tentang panduan perubahan teknologi baru
The entity has a robust technology infrastructure plan that reflects the business requirements, is responsive and can be modified to reflect changes PO3.5.5 in the business environment.
Entitas memiliki rencana infrastruktur teknologi yang kuat dan mencerminkan kebutuhan bisnis, responsif dan dapat dimodifikasi untuk mencerminkan perubahan dalam lingkungan bisnis.
There is a continuous and enforced process in PO3.5.6 place to improve the technology infrastructure plan.
Ada proses yang berkesinambungan dan diberlakukan di tempat untuk memperbaiki rencana infrastruktur teknologi.
Industry good practices are extensively used in PO3.5.7 determining the technological direction.
Praktik industri yang baik secara luas digunakan dalam menentukan arah teknologi.
nologi, perencanaan infrastruktur tehnologi, r tehnologi dan penentuan dewan arsitektur TI
Ya
Y/R
Ragu
T/R
Tidak
PO4 - Define the IT Processes, Organisation and Relationships
Deskripsi
Mendefinisikan proses TI, organisasi dan hubungannya yang mencakup kerangka kerja proses TI, strategy komite IT, strategi komite pen organisasi dari fungsi TI, struktur organisasi TI, Pembentukan Peran dan tanggung Jawab, tanggung jawab terhadap jaminan kualitas TI, Tang Keamanan dan kepatuhan, kepemilikan data dan sistem, penyelia, pemisahan tugas dan kepegawaian TI, personel kunci TI, Kebijakan staff k hubungannya
PO4 - Define the IT Processes, Organisation and Relationships PERNYATAAN ID No. STATEMENT The IT organisation is not effectively established Organisasi TI tidak efektif didirikan untuk fokus pada pencapaian tujuan bisnis. PO4.0.1 to focus on the achievement of business objectives. IT activities and functions are reactive and PO4.1.1 inconsistently implemented
Kegiatan dan fungsi TI bersifat reaktif dan tidak konsisten dilaksanakan.
IT is involved in business projects only in later PO4.1.2 stages
TI dilibatkan dalam proyek bisnis hanya dalam tahap selanjutnya.
The IT function is considered a support function, PO4.1.3 without an overall organisation perspective
Fungsi TI dianggap sebagai fungsi pendukung, tanpa perspektif organisasi secara keseluruhan.
There is an implicit understanding of the need for Ada pemahaman implisit dari kebutuhan untuk an IT organisation; however, roles and organisasi TI; Namun, peran dan tanggung jawab tidak diformalkan atau ditegakkan PO4.1.4 responsibilities are neither formalised nor enforced
The IT function is organised to respond tactically, Fungsi TI diatur untuk merespon taktis, tapi tidak PO4.2.1 but inconsistently, to customer needs and vendor konsisten untuk kebutuhan pelanggan dan relationships hubungannya dengan vendor. The need for a structured organisation and vendor management is communicated, but decisions are still dependent on the knowledge PO4.2.2 and skills of key individuals
Kebutuhan untuk sebuah organisasi yang terstruktur dan manajemen vendor dikomunikasikan, namun keputusan masih tergantung pada pengetahuan dan keterampilan individu penentu.
There is an emergence of common techniques to Ada munculnya teknik umum untuk mengelola hubungan organisasi TI dan penjual. PO4.2.3 manage the IT organisation and vendor relationships Defined roles and responsibilities for the IT PO4.3.1 organisation and third parties exist
Telah didefinisiskan peran dan tanggung jawab organisasi TI dan pihak ketiga.
The IT organisation is developed, documented, PO4.3.2 communicated and aligned with the IT strategy
Organisasi TI dikembangkan, didokumentasikan, dikomunikasikan dan selaras dengan strategi IT.
PO4.3.3 The internal control environment is defined There is formalisation of relationships with other PO4.3.4 parties, including steering committees, internal audit and vendor management
Pengendalian internal lingkungan didefinisikan Ada formalisasi hubungan dengan pihak lain, termasuk komite pengarah, audit internal dan manajemen vendor.
PO4.3.5 The IT organisation is functionally complete
Organisasi TI secara fungsional lengkap.
There are definitions of the functions to be PO4.3.6 performed by IT personnel and those to be performed by users
Ada definisi fungsi yang harus dilakukan oleh pekerjaTI dan itu dilakukan oleh pengguna.
Essential IT staffing requirements and expertise PO4.3.7 are defined and satisfied
Pentingnya didefinisikan secara memuaskan persyaratan dan keahlian staf TI.
There is a formal definition of relationships with PO4.3.8 users and third parties
Ada definisi formal dari hubungan antara pengguna dan pihak ketiga.
The division of roles and responsibilities is defined Pembagian peran dan tanggung jawab PO4.3.9 and implemented didefinisikan dan diimplementasikan. The IT organisation proactively responds to PO4.4.1 change and includes all roles necessary to meet business requirements
Organisasi TI secara proaktif merespon untuk mengubah dan mencakup semua peran yang diperlukan untuk memenuhi kebutuhan bisnis.
IT management, process ownership, accountability and responsibility are defined and balanced. Internal good practices have been PO4.4.2 applied in the organisation of the IT functions
Manajemen TI, proses kepemilikan, akuntabilitas dan tanggung jawab didefinisikan secara seimbang. Praktek yang baik di internal telah diterapkan dalam organisasi oleh fungsi TI.
IT management has the appropriate expertise and skills to define, implement and monitor the PO4.4.3 preferred organisation and relationships
Manajemen TI memiliki keahlian dan keterampilan yang sesuai dengan yang ditentukan, melaksanakan dan memantau organisasi yang disukai dan hubungannya.
Measurable metrics to support business PO4.4.4 objectives and user-defined critical success factors (CSFs) are standardised
Metrik terukur untuk mendukung tujuan bisnis dan faktor penentu keberhasilan yang ditetapkan pengguna (CSF) dibakukan.
Skill inventories are available to support project PO4.4.5 staffing and professional development
Persediaan tenaga terampil harus tersedia untuk mendukung staf proyek dan pengembangan profesional.
The balance between the skills and resources available internally and those needed from PO4.4.6 external organisations is defined and enforced
Keseimbangan antara keterampilan dan sumber daya yang tersedia secara internal dan itu dibutuhkan dari organisasi eksternal hal ini didefinisikan dan ditegakkan.
The IT organisational structure appropriately reflects the business needs by providing services aligned with strategic business processes, rather PO4.4.7 than with isolated technologies
Struktur organisasi TI secara tepat mencerminkan kebutuhan bisnis dengan menyediakan layanan yang sesuai dengan proses bisnis strategis, daripada dengan teknologi terisolasi.
The IT organisational structure is flexible and PO4.5.1 adaptive
Struktur organisasi TI yang fleksibel dan adaptif.
PO4.5.2 Industry good practices are deployed There is extensive use of technology to assist in PO4.5.3 monitoring the performance of the IT organisation and processes
Praktik industri yang baik dikerahkan. Ada pengggunaan teknologi yang ekstensif untuk membantu dalam memantau kinerja organisasi TI dan prosesnya.
Technology is leveraged in line to support the PO4.5.4 complexity and geographic distribution of the organisation
Teknologi mengangkat dan sejalan untuk mendukung kompleksitas dan distribusi geografis dari organisasi.
There is a continuous improvement process in PO4.5.5 place
Ada proses perbaikan yang terus menerus di tempat.
ationships
y komite IT, strategi komite pengendali, penempatan hadap jaminan kualitas TI, Tanggung jawab untuk Risiko, sonel kunci TI, Kebijakan staff kontrak dan prosedur dan
onships Ya
Y/R
Ragu
T/R
Tidak
PO5 - Manage the IT Investment
Deskripsi
Mengelola investasi TI yang mencakup, kerangka kerja pengelolaan keuangan, pemilihan prioritas terhadap budg pengelolaan biaya dan pengelolaan manfaat.
PO5 - Manage the IT Investment PERNYATAAN ID No. STATEMENT There is no awareness of the importance of IT Tidak ada kesadaran akan pentingnya PO5.0.1 investment selection and budgeting menganggarkan dan memilih investasi TI. There is no tracking or monitoring of IT PO5.0.2 investments and expenditures
Tidak ada pelacakan atau pemantauan dalam pengeluaran investasi TI.
The organisation recognises the need for PO5.1.1 managing the IT investment, but this need is communicated inconsistently
Organisasi menyadari perlunya untuk mengelola investasi TI, tapi kebutuhan ini dikomunikasikan secara tidak konsisten.
Allocation of responsibility for IT investment Alokasi tanggung jawab untuk pemilihan investasi selection and budget development is done on an TI dan pengembangan anggaran dilakukan secara PO5.1.2 ad hoc basis ad hoc. Isolated implementations of IT investment PO5.1.3 selection and budgeting occur, with informal documentation
Penerapan terisolasi dari seleksi investasi TI dan penganggaran terjadi dengan dokumentasi tidak resmi.
PO5.1.4 IT investments are justified on an ad hoc basis Reactive and operationally focused budgeting PO5.1.5 decisions occur
Investasi TI dibenarkan atas dasar ad hoc. Terjadi keputusan reaktif dan penganggaran operasional terfokus.
There is an implicit understanding of the need for Ada pemahaman implisit dari kebutuhan PO5.2.1 IT investment selection and budgeting pemilihan investasi TI dan penganggarannya. The need for a selection and budgeting process is Kebutuhan untuk pemilihan dan proses PO5.2.2 communicated penganggarannya dikomunikasikan. Compliance is dependent on the initiative of PO5.2.3 individuals in the organisation
Pemenuhan tergantung pada inisiatif individu dalam organisasi.
There is an emergence of common techniques to Munculnya teknik umum untuk mengembangkan PO5.2.4 develop components of the IT budget komponen dari anggaran TI. PO5.2.5
Reactive and tactical budgeting decisions occur
Policies and processes for investment and budgeting are defined, documented and PO5.3.1 communicated, and cover key business and technology issues
Terjadi keputusan penganggaran reaktif dan taktis Kebijakan dan proses untuk investasi dan penganggaran didefinisikan, didokumentasikan dan dikomunikasikan, dan mencakup masalahmasalah bisnis dan teknologi penentu.
The IT budget is aligned with the strategic IT and Anggaran TI sejalan dengan rencana strategis TI PO5.3.2 business plans dan bisnis.
The budgeting and IT investment selection PO5.3.3 processes are formalised, documented and communicated
Penganggaran dan proses seleksi investasi TI diformalkan, didokumentasikan dan dikomunikasikan.
Formal training is emerging but is still based PO5.3.4 primarily on individual initiatives
Pelatihan formal yang muncul masih berdasarkan terutama pada inisiatif individual.
Formal approval of IT investment selections and PO5.3.5 budgets is taking place
Persetujuan resmi dari pilihan investasi TI dan anggaran berlangsung.
IT staff members have the expertise and skills necessary to develop the IT budget and PO5.3.6 recommend appropriate IT investments
Anggota staf TI memiliki keahlian dan keterampilan diperlukan untuk mengembangkan anggaran TI dan merekomendasikan investasi TI yang sesuai.
Responsibility and accountability for investment Tanggung jawab dan akuntabilitas untuk seleksi PO5.4.1 selection and budgeting are assigned to a specific investasi dan penganggaran ditugaskan pada individual seseorang. PO5.4.2 Budget variances are identified and resolved Formal costing analysis is performed, covering direct and indirect costs of existing operations, as well as proposed investments, considering all PO5.4.3 costs over a total life cycle.
Varians anggaran diidentifikasi dan diselesaikan. Analisis biaya formal dilakukan, meliputi biaya langsung dan tidak langsung dari operasi yang ada, serta investasi yang diusulkan, mempertimbangkan semua biaya selama keseluruhan siklus hidup.
A proactive and standardised process for PO5.4.4 budgeting is used
Sebuah proses proaktif dan standar untuk penganggaran digunakan.
The impact of shifting in development and operating costs from hardware and software to systems integration and IT human resources is PO5.4.5 recognised in the investment plans
Dampak perubahan dalam pengembangan dan biaya operasional dari perangkat keras dan perangkat lunak untuk integrasi sistem dan sumber daya manusia TI diakui dalam rencana investasi.
Benefits and returns are calculated in financial PO5.4.6 and non-financial terms.
Manfaat dan profit dihitung secara finansial dan non-finansial.
Industry good practices are used to benchmark PO5.5.1 costs and identify approaches to increase the effectiveness of investments
Praktik industri yang baik digunakan sebagai patokan biaya dan mengidentifikasi pendekatan untuk meningkatkan efektivitas investasi.
Analysis of technological developments is used in Analisis perkembangan teknologi digunakan PO5.5.2 the investment selection and budgeting process dalam proses seleksi investasi dan penganggaran. The investment management process is continuously improved based on lessons learned PO5.5.3 from the analysis of actual investment performance
Proses manajemen investasi terus menerus ditingkatkan berdasarkan pelajaran yang didapat dari analisis kinerja investasi aktual.
Investment decisions incorporate PO5.5.4 price/performance improvement trends
Keputusan investasi menggabungkan tren peningkatan harga / kinerja.
Funding alternatives are formally investigated and evaluated within the context of the PO5.5.5 organisation’s existing capital structure, using formal evaluation methods
Alternatif pendanaan secara resmi diselidiki dan dievaluasi dalam konteks struktur modal yang ada dalam organisasi, menggunakan metode evaluasi formal.
PO5.5.6 There is proactive identification of variances An analysis of the long-term cost and benefits of PO5.5.7 the total life cycle is incorporated in the investment decisions
Ada identifikasi proaktif varians. Analisis biaya dan manfaat jangka panjang dari siklus hidup keseluruhan tergabung dalam keputusan investasi.
an prioritas terhadap budget TI, anggaran TI, t.
Ya
Y/R
Ragu
T/R
Tidak
PO6 - Communicate Management Aims and Direction
Pengkomunikasian arah dan tujuan manajemen yang mencakup, kebijakan TI dan pengontrolan lingkungan, peng Deskripsi kerja dan pengontrolan resiko TI korporasi, pengelolaan kebijakan TI, pengikutsertaan kebijakan, standar dan proc staff yang berkepentingan, mengkomunikasikan sasaran dan tujuan TI.
PO6 - Communicate Management Aims and Direction PERNYATAAN ID No. STATEMENT Management has not established a positive IT Manajemen belum menetapkkan kendali PO6.0.1 control environment lingkungan TI secara positif. There is no recognition of the need to establish a Tidak ada kesadaran akan kebutuhan untuk membuat suatu rangkaian kebijakan, rencana dan PO6.0.2 set of policies, plans and procedures, and compliance processes prosedur dan proses pemenuhannya. Management is reactive in addressing the PO6.1.1 requirements of the information control environment
Manajemen secara aktif menangani kebutuhan pengendalian informasi lingkungan.
Policies, procedures and standards are developed Kebijakan, prosedur dan standar yang PO6.1.2 and communicated on an ad hoc basis as driven dikembangkan dan dikomunikasikan secara ad by issues hoc didorong oleh adanya masalah-masalah. The development, communication and PO6.1.3 compliance processes are informal and inconsistent
Pengembangan, komunikasi dan proses pemenuhannya bersifat informal dan tidak konsisten.
The needs and requirements of an effective information control environment are implicitly PO6.2.1 understood by management, but practices are largely informal
Kebutuhan dan persyaratan dari suatu pengendalian informasi lingkungan yang efektif secara implisit dipahami oleh manajemen, namun praktiknya sebagian besar tidak resmi.
The need for control policies, plans and procedures is communicated by management, but development is left to the discretion of PO6.2.2 individual managers and business areas
Kebutuhan untuk mengkontrol kebijakan, rencana dan prosedur dikomunikasikan oleh manajemen, namun pengembangannya diserahkan kepada kebijaksanaan individu manajer dan area bisnisnya.
Quality is recognised as a desirable philosophy to Kualitas diakui sebagai filosofi yang diinginkan untuk diikuti, tetapi prakteknya diserahkan PO6.2.3 be followed, but practices are left to the discretion of individual managers kepada kebijaksanaan indivudu manajer. Training is carried out on an individual, asPO6.2.4 required basis
Pelatihan dilakukan secara individual berdasarkan kebutuhan.
A complete information control and quality management environment is developed, documented and communicated by management PO6.3.1 and includes a framework for policies, plans and procedures
Pengendalian informasi yang lengkap dan lingkungan manajemen mutu dikembangkan, didokumentasikan dan dikomunikasikan oleh manajemen dan mencakup suatu kerangka kerja dari kebijakan, rencana dan prosedur.
The policy development process is structured, maintained and known to staff, and the existing PO6.3.2 policies, plans and procedures are reasonably sound and cover key issues
Proses pengembangan kebijakan terstruktur, dipelihara dan diketahui oleh staf, dan kebijakan, rencana dan prosedur saat ini cukup layak dan mencakup isu-isu kunci.
Management addresses the importance of IT PO6.3.3 security awareness and initiates awareness programmes
Manajemen membahas pentingnya kesadaran keamanan TI dan memulai program kesadaran tersebut.
Formal training is available to support the PO6.3.4 information control environment but is not rigorously applied
Pelatihan formal yang tersedia untuk mendukung lingkungan pengendalian informasi tetapi tidak ketat diterapkan.
Whilst there is an overall development framework Sementara ada pengembangan kerangka kerja for control policies and procedures, there is secara keseluruhan untuk pengendalian kebijakan inconsistent monitoring of compliance with these dan prosedur,ada pemenuhan pemantauan yang PO6.3.5 policies and procedures tidak konsisten dengan kebijakan dan prosedur ini. PO6.3.6
There is an overall development framework
Ada kerangka kerja pengembangan secara keseluruhan.
Techniques for promoting security awareness PO6.3.7 have been standardised and formalised
Teknik untuk meningkatkan kesadaran keamanan telah dibakukan dan diformalkan.
Management accepts responsibility for communicating internal control policies and delegates responsibility and allocates sufficient PO6.4.1 resources to maintain the environment in line with significant changes
Manajemen menerima tanggung jawab untuk mengkomunikasikan kebijakan pengendalian internal dan melimpahkan tanggung jawab dan mengalokasikan sumber daya yang cukup untuk menjaga lingkungan yang sejalan dengan perubahan signifikan.
A positive, proactive information control Sebuah pengendalian informasi lingkungan yang environment, including a commitment to quality positif,proaktif, termasuk komitmen terhadap PO6.4.2 and IT security awareness, is established kualitas dan kesadaran keamanan TI telah dilakukan. A complete set of policies, plans and procedures is Sebuah kerangka kebijakan , rencana dan developed, maintained and communicated and is prosedur yang lengkap dikembangkan, dipelihara PO6.4.3 a composite of internal good practices dan dikomunikasikan dan merupakan bagian dari praktek-praktek internal yang baik. A framework for rollout and subsequent PO6.4.4 compliance checks is established
Sebuah kerangka kerja untuk peluncuran dan pemeriksaan kepatuhan berikutnya dilaksanakan.
The information control environment is aligned with the strategic management framework and PO6.5.1 vision and is frequently reviewed, updated and continuously improved
Lingkungan pengendalian informasi sejalan dengan kerangka kerja strategis manajemen dan visi sering ditinjau, diperbarui dan terus menerus ditingkatkan.
Internal and external experts are assigned to ensure that industry good practices are being PO6.5.2 adopted with respect to control guidance and communication techniques
Ahli internal dan eksternal yang ditugaskan untuk memastikan bahwa praktik industri yang baik sedang diadopsi dengan menghormati panduan pengendalian dan teknik komunikasi.
Monitoring, self-assessment and compliance PO6.5.3 checking are pervasive within the organisation
Pemantauan,penilaian sendiri dan pemeriksaan kepatuhan meresap dalam organisasi.
Technology is used to maintain policy and awareness knowledge bases and to optimise communication, using office automation and PO6.5.4 computer-based training tools
Teknologi digunakan untuk mempertahankan kebijakan dan dasar kesadaran pengetahuan serta mengoptimalkan komunikasi dengan menggunakan otomatisasi kantor dan alat pelatihan berbasis komputer.
ection
ontrolan lingkungan, pengendalian kerangka bijakan, standar dan procedur kepada semua dan tujuan TI.
tion Ya
Y/R
Ragu
T/R
Tidak
PO7 - Manage IT Human Resources
Deskripsi
Mengelola sumber daya manusia TI mencakup, perekrutan personil dan retensi , kompetensi personel, aturan bag personel, ketergantungan terhadap individu, prosedur perijinan personil, evaluasi kinerja personil, perubah pemberhentian.
PO7 - Manage IT Human Resources PERNYATAAN ID No. STATEMENT There is no awareness about the importance of Tidak adanya kesadaran atas pentingnya aligning IT human resources management with keselarasan antara manajemen SDM TI dengan PO7.0.1 the technology planning process for the proses perencanaan teknologi untuk organisasi. organisation There is no person or group formally responsible PO7.0.2 for IT human resources management
Tidak adanya orang atau grup yang secara formal bertanggung jawab untuk manajemen SDM TI.
Management recognises the need for IT human PO7.1.1 resources management
Manajemen mengenali kebutuhan atas manajemen SDM TI.
The IT human resources management process is PO7.1.2 informal and reactive
Proses manajemen SDM TI adalah informal dan reaktif.
The IT human resources process is operationally PO7.1.3 focused on the hiring and managing of IT personnel
Proses SDM TI secara operasional difokuskan pada memperkerjakan dan mengelola personil TI.
Awareness is developing concerning the impact that rapid business and technology changes and increasingly complex solutions have on the need PO7.1.4 for new skills and competence levels
Kesadaran berkembang mengenai dampak bahwa bisnis dan perubahan teknologi yang semakin cepat dan solusi yang semakin kompleks sehingga perlu adanya keterampilan dan tingkat kompetensi yang baru.
There is a tactical approach to hiring and managing IT personnel, driven by project-specific needs, rather than by an understood balance of PO7.2.1 internal and external availability of skilled staff
Adanya pendekatan taktis untuk memperkerjakan dan mengelola personil TI, berdasarkan kebutuhan spesifik proyek, dibandingkan atas pengertian keseimbangan atas tersedianya staf ahli baik secara internal dan eksternal.
Informal training takes place for new personnel, Pelatihan informal dilakukan untuk personil baru, PO7.2.2 who then receive training on an as-required basis yang kemudian mendapat pelatihan berdasarkan permintaan. There is a defined and documented process for PO7.3.1 managing IT human resources
Adanya proses yang sudah ditetapkan dan didokumentasikan untuk mengelola SDM TI.
PO7.3.2 An IT human resources management plan exists There is a strategic approach to hiring and PO7.3.3 managing IT personnel
Adanya rencana manajemen SDM TI. Ada pendekatan strategis untuk memperkerjakan dan mengelola personil TI.
A formal training plan is designed to meet the PO7.3.4 needs of IT human resources
Perencanan pelatihan formal dibuat untuk memenuhi kebutuhan akan SDM TI.
A rotational programme, designed to expand PO7.3.5 technical and business management skills, is established
Sebuah program rotasi, dirancang untuk mengembangkan keahlian teknis dan manajemen bisnis telah dilakukan.
Responsibility for the development and maintenance of an IT human resources management plan is assigned to a specific PO7.4.1 individual or group with the requisite expertise and skills necessary to develop and maintain the plan
Tanggung jawab untuk pengembangan dan pemeliharaan rencana manajemen SDM TI ditugaskan kepada individu atau grup tertentu dengan syarat keahlian dan kemampuan yang dibutuhkan untuk mengembangkan dan memelihara rencana.
The process of developing and managing the IT Proses pengembangan dan pengelolaan rencana PO7.4.2 human resources management plan is responsive manajemen SDM TI responsif terhadap to change perubahan. Standardised measures exist in the organisation to allow it to identify deviations from the IT human resources management plan, with specific PO7.4.3 emphasis on managing IT personnel growth and turnover
Pengukuran standar ada dalam organisasi untuk dapat mengenali penyimpangan dari perencanaan manajemen SDM TI, dengan penekanan spesifik atas pengelolaan pertumbuhan dan turn over atas personil TI.
Compensation and performance reviews are PO7.4.4 being established and compared to other IT organisations and industry good practice
Kompensasi dan penilaian kinerja ditetapkan dan dibandingkan dengan organisasi TI yang lain dan praktik industri yang baik.
IT human resources management is proactive, PO7.4.5 taking into account career path development
Manajemen SDM TI pro aktif dalam mempertimbangkan pengembangan jenjang karir.
The IT human resources management plan is PO7.5.1 continuously being updated to meet changing business requirements
Perencanaan manajemen SDM TI diperbaharui secara berkesinambungan untuk memenuhi perubahan tuntutan bisnis.
IT human resources management is integrated with technology planning, ensuring optimum PO7.5.2 development and use of available IT skills
Manajemen SDM TI terintegrasi dengan perencanaan teknologi memastikan pengembangan optimal dan penggunaan keahlian TI yang ada.
IT human resources management is integrated PO7.5.3 with and responsive to the entity’s strategic direction
Manajemen SDM TI terintegrasi dengan dan responsif terhadap tujuan strategis perusahaan.
Components of IT human resources management are consistent with industry good practices, such as compensation, performance reviews, PO7.5.4 participation in industry forums, transfer of knowledge, training and mentoring
Komponen manajemen SDM TI konsisten dengan praktik industri yang baik, seperti penggajian, penilaian kinerja, partisipasi dalam forum industri, transfer pengetahuan, pelatihan dan bimbingan.
Training programmes are developed for all new Program pelatihan dikembangkan untuk semua PO7.5.5 technology standards and products prior to their standar teknologi terbaru dan sebelum deployment in the organisation penempatan mereka dalam organisasi.
ensi personel, aturan bagi personel, pelatihan i kinerja personil, perubahan kerja dan
Ya
Y/R
Ragu
T/R
Tidak
PO8 - Manage Quality
Deskripsi
Pengelolaan kualitas mencakup, sistem pengelolaan kualitas, pelatihan standar dan kualitas TI, dasar pengembang terhadap customer, pengembangan berkelanjutan,dan pengukuran kualitas, pengamatan dan eval
ID No.
STATEMENT The organisation lacks a QMS planning process PO8.0.1 and a system development life cycle (SDLC) methodology
PO8 - Manage Quality PERNYATAAN Organisasi tidak memiliki suatu proses perencanaan QMS dan suatu metodologi system development life cycle (SDLC).
Senior management and IT staff members do not Manajemen senior dan staf TI tidak mengenali PO8.0.2 recognise that a quality programme is necessary bahwa suatu program berkualitas dibutuhkan. Projects and operations are never reviewed for PO8.0.3 quality
Proyek dan operasional tidak pernah dinilai untuk kualitas.
There is a management awareness of the need PO8.1.1 for a QMS
Ada suatu kesadaran manajemen akan kebutuhan untuk sebuah QMS.
The QMS is driven by individuals where it takes PO8.1.2 place
QMS dilakukan oleh individu saat dibutuhkan.
Management makes informal judgements on PO8.1.3 quality
Manajemen membuat penilaian informal atas kualitas.
A programme is being established to define and PO8.2.1 monitor QMS activities within IT
Program ditetapkan untuk menjelaskan dan mengawasi aktivitas QMS dalam TI.
QMS activities that do occur are focused on IT project- and process-oriented initiatives, not on PO8.2.2 organisationwide processes
Aktivitas QMS yang terjadi berfokus pada proyek TI dan inisiatif yang berorientasi pada proses, bukan pada proses organisasi secara keseluruhan.
A defined QMS process is communicated PO8.3.1 throughout the enterprise by management and involves IT and end-user management
Proses QMS yang ditetapkan dikomunikasikan kepada seluruh organisasi oleh manajemen dan melibatkan TI dan manajemen pengguna akhir.
An education and training programme is PO8.3.2 emerging to teach all levels of the organisation about quality
Program pelatihan dan pendidikan diadakan untuk mendidik semua level dalam organisasi atas pentingnya kualitas.
Basic quality expectations are defined and are PO8.3.3 shared amongst projects and within the IT organisation
Harapan atas kualitas dasar ditetapkan dan dibagikan di antara proyek dan di dalam organisasi TI.
Common tools and practices for quality PO8.3.4 management are emerging
Perangkat umum dan pelatihan untuk manajemen kualitas diterapkan.
Quality satisfaction surveys are planned and PO8.3.5 occasionally conducted
Survey atas kepuasan kualitas direncanakan dan dilakukan sewaktu-waktu.
The QMS is addressed in all processes, including PO8.4.1 processes with reliance on third parties
QMS diterapkan dalam seluruh proses, termasuk proses yang berhubungan dengan pihak ketiga.
A standardised knowledge base is being PO8.4.2 established for quality metrics
Pengetahuan dasar berstandar ditetapkan untuk metrik kualitas.
Cost-benefit analysis methods are used to justify Metode analisa biaya-keuntungan digunakan PO8.4.3 QMS initiatives untuk menegaskan insiatif QMS. Benchmarking against the industry and PO8.4.4 competitors is emerging
Penetapan tolak ukur atas industri dan pesaing.
An education and training programme is PO8.4.5 instituted to teach all levels of the organisation about quality
Program pelatihan dan pendidikan dilembagakan untuk mendidik semua level organisasi atas pentingnya kualitas.
Tools and practices are being standardised, and PO8.4.6 root cause analysis is periodically applied
Standarisasi peralatan dan cara kerja, serta analisa pokok masalah diterapkan secara berkala.
Quality satisfaction surveys are consistently PO8.4.7 conducted
Survey kepuasan atas kualitas dilakukan secara konsisten.
A standardised programme for measuring quality Standarisasi program untuk pengukuran kualitas PO8.4.8 is in place and well structured dibuat dan terstruktur dengan baik. IT management is building a knowledge base for Manajemen TI membangun pusat informasi PO8.4.9 quality metrics untuk metrik kualitas. The QMS is integrated and enforced in all IT PO8.5.1 activities
QMS terintegrasi dan diterapkan dalam semua aktifitas TI.
QMS processes are flexible and adaptable to PO8.5.2 changes in the IT environment
Proses QMS sangat fleksibel dan dapat beradaptasi dengan perubahan dalam lingkungan TI.
The knowledge base for quality metrics is PO8.5.3 enhanced with external good practices
Pusat informasi untuk metrik kualitas diperkuat dengan praktik yang baik dari luar.
Benchmarking against external standards is PO8.5.4 routinely performed
Tolak ukur atas standar eksternal dilakukan secara rutin.
Quality satisfaction surveying is an ongoing PO8.5.5 process and leads to root cause analysis and improvement actions
Survey kepuasan kualitas merupakan proses berkelanjutan dan menuju pada analisa akar masalah dan tindakan perbaikan.
There is formal assurance on the level of the PO8.5.6 quality management process
Adanya kepastian formal pada setiap proses tingkatan manajemen kualitas.
as TI, dasar pengembangan dan akuisisi, fokus tas, pengamatan dan evaluasi.
Ya
Y/R
Ragu
T/R
Tidak
PO9 - Assess and Manage IT Risks
Deskripsi
Menilai dan mengelola resiko TI yang mencakup, kerangka kerja pengelolaan resiko TI, pembentukan konteks r kegiatan, penilaian resiko, respon terhadap resiko, pengamatan dan perawatan dari rencana aksi terhad
PO9 - Assess and Manage IT Risks PERNYATAAN ID No. STATEMENT Risk assessment for processes and business Penilaian resiko untuk proses dan keputusan PO9.0.1 decisions does not occur bisnis tidak terjadi. The organisation does not consider the business PO9.0.2 impacts associated with security vulnerabilities and development project uncertainties
Organisasi tidak mempertimbangkan dampak bisnis yang terkait dengan kerapuhan keamanan dan ketidak stabilan pengembangan proyek.
Risk management is not identified as relevant to Manajemen resiko tidak di identifikasi sebagai relevansi untuk memperoleh solusi TI dan PO9.0.3 acquiring IT solutions and delivering IT services menyampaikan layanan TI. IT risks are considered in an ad hoc manner. Resiko TI dipertimbangkan dalam sikap ad hoc. PO9.1.1 Informal assessments of project risk take place as Penilaian informal atas resiko proyek ditetapkan determined by each project berdasarkan kebutuhan tiap proyek. Risk assessments are sometimes identified in a PO9.1.2 project plan but are rarely assigned to specific managers
Penilaian resiko kadang-kadang diidentifikasi dalam rencana proyek tetapi jarang ditugaskan kepada manajer khusus.
Specific IT-related risks, such as security, availability and integrity, are occasionally PO9.1.3 considered on a project-by-project basis
Resiko yang berhubungan khusus dengan TI, seperti keamanan, ketersediaan dan kepastian, seringkali dipertimbangkan berdasarkan kebutuhan tiap proyek.
IT-related risks affecting day-to-day operations PO9.1.4 are seldom discussed at management meetings
Resiko yang berhubungan dengan operasional TI sehari-hari jarang dibahas pada rapat manajemen.
Where risks have been considered, mitigation is PO9.1.5 inconsistent
Ketika resiko sudah dipertimbangkan, kelonggaran menjadi tidak konsisten.
There is an emerging understanding that IT risks Adanya pengertian dasar bahwa resiko TI adalah PO9.1.6 are important and need to be considered penting dan harus dipertimbangkan. A developing risk assessment approach exists and Adanya pengembangan pendekatan terhadap penilaian TI dan diterapkan atas kebijakan PO9.2.1 is implemented at the discretion of the project managers manajer proyek. The risk management is usually at a high level and is typically applied only to major projects or PO9.2.2 in response to problems
Manajemen resiko biasanya terdapat pada tingkat tinggi dan biasanya diterapkan hanya untuk proyek besar atau sebagai respon terhadap masalah.
Risk mitigation processes are starting to be PO9.2.3 implemented where risks are identified
Proses penilaian resiko mulai diterapkan ketika resiko teridentifikasi.
An organisation wide risk management policy PO9.3.1 defines when and how to conduct risk assessments
Ada kebijakan manajemen resiko di seluruh organisasi yang menetapkan kapan dan bagaimana pelaksanaan penilaian resiko.
Risk management follows a defined process that Manajemen resiko mengikuti proses yang telah PO9.3.2 is documented ditetapkan dan didokumentasikan. Risk management training is available to all staff Pelatihan manajemen resiko tersedia untuk PO9.3.3 members semua anggota staf. Decisions to follow the risk management process Keputusan untuk mengikuti proses manajemen resiko dan menerima pelatihan bergantung pada PO9.3.4 and receive training are left to the individual’s discretion kebijakan masing-masing. The methodology for the assessment of risk is PO9.3.5 convincing and sound and ensures that key risks to the business are identified
Metodologi untuk penilaian resiko meyakinkan dan jelas serta memastikan bahwa resiko inti bisnis sudah teridentifikasi.
A process to mitigate key risks is usually instituted Proses untuk melonggarkan resiko inti biasanya PO9.3.6 once the risks are identified dibuat saat resiko sudah teridentifikasi. Job descriptions consider risk management PO9.3.7 responsibilities
Penjabaran pekerjaan mempertimbangkan tanggung jawab manajemen resiko.
The assessment and management of risk are PO9.4.1 standard procedures
Penilaian dan manajemen resiko merupakan proses standar.
Exceptions to the risk management process are PO9.4.2 reported to IT management
Pengecualian atas proses manajemen resiko dilaporkan kepada manajemen TI.
IT risk management is a senior management-level Manajemen resiko TI merupakan tingkat PO9.4.3 responsibility tanggung jawab manajemen senior. Risk is assessed and mitigated at the individual Resiko dinilai dan diberi kelonggaran pada tiap project level and also regularly with regard to the tingkat proyek individu dan secara berkala PO9.4.4 overall IT operation dilakukan pada seluruh operasi TI. Management is advised on changes in the business and IT environment that could PO9.4.5 significantly affect the IT-related risk scenarios.
Manajemen diberi saran atas perubahan bisnis dan lingkungan TI yang dapat berdampak secara signifikan terhadap skenario resiko berhubungan dengan TI.
Management is able to monitor the risk position PO9.4.6 and make informed decisions regarding the exposure it is willing to accept
Manajemen dapat mengawasi posisi resiko dan membuat keputusan apakah penyebar luasan dapat diterima.
All identified risks have a nominated owner, and senior management and IT management PO9.4.7 determine the levels of risk that the organisation will tolerate
Semua resiko yang sudah didentifikasi memiliki penyebab, dan manajemen senior & TI menetapkan tingkat resiko yang dapat ditoleransi oleh organisasi.
IT management develops standard measures for Manajemen TI mengembangkan ukuran standar dalam menilai resiko dan menetapkan rasio PO9.4.8 assessing risk and defining risk/return ratios resiko/pengembalian. Management budgets for an operational risk PO9.4.9 management project to reassess risks on a regular basis
Manajemen mengganggarkan untuk sebuah manajemen operasi resiko untuk menilai ulang resiko secara berkala.
A risk management database is established, and Menetapkan basis data untuk manajemen resiko dan sebagian proses manajemen resiko mulai PO9.4.10 part of the risk management processes is beginning to be automated diotomatisasi. IT management considers risk mitigation PO9.4.11 strategies
Manajemen TI mempertimbangkan strategi kelonggaran.
Risk management develops to the stage where a Manajemen strategi berkembang kepada tahap structured, organisationwide process is enforced dimana proses terstruktur dan secara luas dalam PO9.5.1 and well managed. organisasi diterapkan dan dikelola dengan baik. Good practices are applied across the entire PO9.5.2 organisation
Praktek yang baik diterapkan diseluruh organisasi.
The capture, analysis and reporting of risk PO9.5.3 management data are highly automated
Perolehan, analisa dan pelaporan data manajemen resiko sudah terotomatisasi.
Guidance is drawn from leaders in the field, and the IT organisation takes part in peer groups to PO9.5.4 exchange experiences
Pedoman diperoleh dari pimpinan lapangan dan organisasi TI mengambil bagian dalam kelompok yang sama untuk bertukar pengalaman.
Risk management is truly integrated into all business and IT operations, is well accepted and PO9.5.5 extensively involves the users of IT services.
Manajemen resiko sudah terintegrasi dalam seluruh bisnis dan kegiatan TI, diterima dengan baik dan melibatkan secara luas seluruh pengguna layanan TI.
Management detects and acts when major IT operational and investment decisions are made PO9.5.6 without consideration of the risk management plan
Manajemen mendeteksi dan bertindak saat kegiatan TI besar dan keputusan investasi dibuat tanpa mempertimbangkan resiko atas rencana manajemen.
Management continually assesses risk mitigation Manajemen secara berkesinambungan menilai PO9.5.7 strategies strategi kelonggaran resiko.
, pembentukan konteks resiko, identifikasi n dari rencana aksi terhadap resiko.
Ya
Y/R
Ragu
T/R
Tidak
PO10 - Manage Projects
Deskripsi
Mengelola proyek mencakup, rencana kerja pengelolaan program , kerangka kerja pengelolaan proyek, pendekatan manajemen proyek, ko pernyataan lingkup proyek, tahap inisiasi proyek, rencana proyek terintegrasi, sumber daya proyek, perencanaan kualitas proyek, pengend metode jaminan perencanaan proyek,pengawasan, pelaporan dan pengukuran kinerja proyek dan penutupan proye
PO10 - Manage Projects PERNYATAAN ID No. STATEMENT Project management techniques are not used and Teknik manajemen proyek tidak digunakan dan the organisation does not consider business organisasi tidak mempertimbangkan dampak impacts associated with project bisnis yang berhubungan dengan kesalahan PO10.0.1 mismanagement and development project menajemen proyek dan kegagalan failures. pengembangan proyek.
The use of project management techniques and PO10.1.1 approaches within IT is a decision left to individual IT managers.
Penggunaan teknik manajemen proyek dan pendekatan terhadap TI merupakan keputusan dari manajer TI pribadi.
There is a lack of management commitment to PO10.1.2 project ownership and project management.
Kurangnya komitmen manajemen akan kepemilikan dan manajemen proyek.
Critical decisions on project management are PO10.1.3 made without user management or customer input.
Keputusan penting atas manajemen proyek dibuat tanpa manajemen pengguna atau masukan dari pengguna.
There is little or no customer and user PO10.1.4 involvement in defining IT projects.
Kurang atau tidak adanya keterlibatan pengguna dalam menentukan proyek TI.
There is no clear organisation within IT for the PO10.1.5 management of projects.
Tidak adanya organisasi yang jelas dalam TI untuk manajemen proyek.
Roles and responsibilities for the management of Peran dan tanggung jawab atas manajemen proyek tidak ditetapkan secara jelas. PO10.1.6 projects are not defined. Projects, schedules and milestones are poorly PO10.1.7 defined, if at all.
Proyek, jadwal, dan pencapaian tidak ditetapkan atau bahkan tidak ada.
Project staff time and expenses are not tracked PO10.1.8 and compared to budgets.
Waktu pengerjaan dan pengeluaran tidak terlacak dan tidak dibandingkan dengan anggaran.
Senior management gains and communicates an Manajemen senior memperoleh dan PO10.2.1 awareness of the need for IT project management mengkomunikasikan kebutuhan akan manajemen proyek TI. The organisation is in the process of developing Organisasi dalam tahap pengembangan dan PO10.2.2 and utilising some techniques and methods from penggunaan beberapa teknik dan metode dalam project to project. tiap proyek. IT projects have informally defined business and PO10.2.3 technical objectives.
Proyek TI telah menetapkan secara formal tujuan bisnis dan teknis.
There is limited stakeholder involvement in IT PO10.2.4 project management.
Ada keterlibatan pemangku kepentingan secara terbatas dalam manajemen proyek TI.
Initial guidelines are developed for many aspects Pedoman awal dikembangkan untuk berbagai PO10.2.5 of project management. aspek manajemen proyek. Application of project management guidelines is Penerapan pedoman manajemen proyek diserahkan kepada manajer proyek secara PO10.2.6 left to the discretion of the individual project manager. pribadi. The IT project management process and Proses dan metodologi manajemen proyek TI methodology are established and communicated. telah ditetapkan dan dikomunikasikan. PO10.3.1 IT projects are defined with appropriate business Proyek TI ditetapkan sesuai dengan bisnis dan PO10.3.2 and technical objectives. tujuan teknis yang tepat. Senior IT and business management are PO10.3.3 beginning to be committed and involved in the management of IT projects.
Senior TI dan manajemen atas mulai berkomitmen dan terlibat dalam manajemen proyek TI.
A project management office is established within Sebuah pusat manajemen proyek dibentuk dalam PO10.3.4 IT, with initial roles and responsibilities defined. TI, dengan penetapan peran dan tanggung jawab dari awal. IT projects are monitored, with defined and PO10.3.5 updated milestones, schedules, budget and performance measurements.
Proyek TI diawasi, dengan pencapaian, penjadwalan, anggaran yang ditetapkan dan diperbaharui dan pengukuran kinerja.
Project management training is available and is PO10.3.6 primarily a result of individual staff initiatives.
Pelatihan manajemen proyek tersedia dan merupakan hasil inisatif utama staf secara pribadi.
QA procedures and post-system implementation Prosedur QA dan sistem paska implementasi PO10.3.7 activities are defined, but are not broadly applied ditetapkan, tetapi tidak diterapkan secara luas by IT managers. oleh manajer TI. Projects are beginning to be managed as PO10.3.8 portfolios.
Proyek-proyek mulai dikelola sebagai portofolio.
Management requires formal and standardised project metrics and lessons learned to be PO10.4.1 reviewed following project completion.
Manajemen mengharuskan matriks proyek yang formal dan terstandarisasi sebagai pembelajaran untuk penyelesaian proyek selanjutnya.
Project management is measured and evaluated Manajemen proyek diukur dan dievaluasi di PO10.4.2 throughout the organisation and not just within seluruh organisasi dan tidak hanya dalam TI. IT. Enhancements to the project management Penyempurnaan terhadap proses manajemen process are formalised and communicated with proyek diformalkan dan dikomunikasikan dengan PO10.4.3 project team members trained on enhancements. anggota terlatih tim proyek dalam penyempurnaan. IT management implements a project PO10.4.4 organisation structure with documented roles, responsibilities and staff performance criteria.
Manajemen TI menerapkan stuktur organisasi proyek dengan peran yang terdokumentasi, kriteria tanggung jawab dan kinerja staf.
Criteria for evaluating success at each milestone Kriteria pengevaluasian keberhasilan dalam PO10.4.5 are established. setiap tahap ditetapkan.
Value and risk are measured and managed prior Nilai dan resiko diukur dan dikelola pada awal, PO10.4.6 to, during and after the completion of projects. selama dan setelah penyelesaian proyek. Projects increasingly address organisation goals, Proyek secara meningkat menyatakan tujuan organisasi, dibandingkan hanya spesfik terhadap PO10.4.7 rather than only IT-specific ones. TI saja. There is strong and active project support from PO10.4.8 senior management sponsors as well as stakeholders.
Adanya dukungan proyek yang kuat dan aktif dari manajemen senior dan dari pemangku kepentingan.
Relevant project management training is planned Pelatihan manajemen proyek yang relevan direncanakan untuk staf dalam pusat manajemen PO10.4.9 for staff in the project management office and across the IT function. proyek dan di seluruh fungsi TI. A proven, full life cycle project and programme methodology is implemented, enforced and PO10.5.1 integrated into the culture of the entire organisation.
Program metodologi yang sudah terbukti dan lengkap secara siklus proyek sudah diterapkan, dilakukan dan terintegrasi kedalam budaya seluruh organisasi.
An ongoing initiative to identify and PO10.5.2 institutionalise best project management practices is implemented.
Pelaksanaan inisatif berkelanjutan untuk mengidentifikasi dan melembagakan praktik manajemen proyek terbaik.
An IT strategy for sourcing development and Strategi TI untuk pengembangan dari luar dan operational projects is defined and implemented. operasional proyek ditetapkan dan diterapkan. PO10.5.3 An integrated project management office is responsible for projects and programmes from PO10.5.4 inception to post-implementation.
PO10.5.5
Organisationwide planning of programmes and projects ensures that user and IT resources are best utilised to support strategic initiatives.
Sebuah pusat manajemen proyek yang terintegrasi bertanggung jawab atas proyek dan program dari tahap perencanaan hingga paska penerapan. Perencanaan atas program dan proyek dari organisasi secara luas memastikan bahwa pengguna dan sumber daya TI digunakan dengan optimal untuk mendukung strategi insiatif.
ekatan manajemen proyek, komitmen dari stake holder, anaan kualitas proyek, pengendalian perubahan proyek, a proyek dan penutupan proyek.
Ya
Y/R
Ragu
T/R
Tidak
AI1 - Identify Automated Solutions
Deskripsi
Mengidentifikasi solusi otomatis yang mencakup, mendefinisikan dan memelihara bisnis fungsional dan persyara analisa resiko, studi kelayakan dan penyusunan program alternatif, persetujuan dan kelayakan keputusan da
AI1 - Identify Automated Solutions PERNYATAAN ID No. STATEMENT The organisation does not require the Organisasi tidak mengharuskan identifikasi atas identification of functional and operational kebutuhan fungsional dan operasional untuk requirements for development, implementation pengembangan, implementasi atau modifikasi AI1.0.1 or modification of solutions, such as system, solusi, seperti sistem, layanan, infrastruktur, service, infrastructure, software and data. perangkat lunak dan data. The organisation does not maintain an awareness Organisasi tidak mempertahankan kesadaran atas solusi teknologi yang tersedia yang relevan AI1.0.2 of available technology solutions potentially relevant to its business. dengan bisnis organisasi. There is an awareness of the need to define AI1.1.1 requirements and identify technology solutions.
Ada kesadaran atas kebutuhan untuk menetapkan kebutuhan dan mengidentifikasi solusi teknologi
Individual groups meet to discuss needs AI1.1.2 informally, and requirements are sometimes documented.
Grup-grup individu bertemu dan membahas kebutuhan secara informal dan kebutuhan kadang-kadang didokumentasikan.
Solutions are identified by individuals based on AI1.1.3 limited market awareness or in response to vendor offerings.
Solusi diidentifikasi oleh individu berdasarkan kesadaran atas pasar yang terbatas atau atas respon dari penawaran vendor
There is minimal structured research or analysis AI1.1.4 of available technology
Ada penelitian terstruktur secara minimal atau analisa atas teknologi yang tersedia.
Some intuitive approaches to identify IT solutions Adanya beberapa pendekatan intuitif untuk mengidentifikasi solusi IT dan bervariasi di AI1.2.1 exist and vary across the business. seluruh bagian bisnis. Solutions are identified informally based on the AI1.2.2 internal experience and knowledge of the IT function.
Solusi diidentifikasi secara informal berdasarkan pengalaman internal dan pengetahuan dari fungsi IT.
The success of each project depends on the AI1.2.3 expertise of a few key individuals.
Kesuksesan tiap proyek bergantung pada keahlian dari beberapa individu kunci.
The quality of documentation and decision AI1.2.4 making varies considerably
Kualitas dokumentasi dan keputusan yang telah dibuat bervariasi secara luas.
Unstructured approaches are used to define AI1.2.5 requirements and identify technology solutions.
Pendekataan tidak terstruktur digunakan untuk menetapkan kebutuhan dan mengidentifikasi solusi teknologi
Clear and structured approaches in determining AI1.3.1 IT solutions exist
Ada pendekatan secara jelas dan terstruktur dalam menentukan solusi TI.
The approach to the determination of IT solutions requires the consideration of alternatives evaluated against business or user requirements, AI1.3.2 technological opportunities, economic feasibility, risk assessments, and other factors.
Pendekatan penentuan solusi TI membutuhkan pertimbangan atas evaluasi alternatif terhadap bisnis atau kebutuhan pengguna, kesempatan teknologi, kemampuan ekonomi, penilaian resiko dan faktor lain.
The process for determining IT solutions is applied for some projects based on factors such as the decisions made by the individual staff members AI1.3.3 involved, the amount of management time committed, and the size and priority of the original business requirement.
Proses untuk menentukan solusi TI diterapkan untuk beberapa proyek berdasarkan faktor-faktor seperti keputusan yang dibuat oleh anggota staf individu yang terlibat, jumlah waktu manajemen yang dilakukan, dan ukuran dan prioritas kebutuhan bisnis asli.
Structured approaches are used to define AI1.3.4 requirements and identify IT solutions.
Pendekatan terstruktur digunakan untuk menetapkan kebutuhan dan mengidentifikasi solusi TI
An established methodology for identification and Ada penetapan metedeologi untuk identifikasi AI1.4.1 assessment of IT solutions exists and is used for dan pelaksanaan solusi TI dan digunakan untuk most projects sebagian besar proyek. Project documentation is of good quality, and AI1.4.2 each stage is properly approved.
Dokumentasi proyek dalam kualitas baik dan setiap tahap disetujui secara tepat.
Requirements are well articulated and in AI1.4.3 accordance with predefined structures.
Kebutuhan diartikulasikan secara baik dan sesuai dengan struktur yang telah ditetapkan.
Solution alternatives are considered, including the Solusi alternatif dipertimbangkan, termasuk AI1.4.4 analysis of costs and benefits. analisa biaya dan keuntungan. The methodology is clear, defined, generally AI1.4.5 understood and measurable
Metodologi yang digunakan telah jelas, telah ditetapkan, dimengerti secara umum dan dapat diukur.
There is a clearly defined interface between IT AI1.4.6 management and business in the identification and assessment of IT solutions.
Ada penetapan secara jelas antara manajemen TI dan bisnis dalam identifikasi dan penerapan solusi TI.
The methodology for identification and AI1.5.1 assessment of IT solutions is subjected to continuous improvement.
Metodologi untuk indentifikasi dan penerapan solusi TI disiapkan untuk pengembangan lebih lanjut.
The acquisition and implementation methodology Akuisisi dan penerapan metodologi memiliki fleksibilitas untuk proyek skala besar dan kecil. AI1.5.2 has the flexibility for large- and small-scale projects. The methodology is supported by internal and AI1.5.3 external knowledge databases containing reference materials on technology solutions.
Metodologi didukung oleh basis data pengetahuan baik internal maupun external yang berisi materi acuan dalam solusi teknologi.
The methodology itself produces documentation Metodologi itu sendiri menghasilkan in a predefined structure that makes production dokumentasi dalam struktur yang telah AI1.5.4 and maintenance efficient. ditetapkan yang menghasilkan efisiensi produksi dan pemeliharaan.
New opportunities are often identified to utilise technology to gain competitive advantage, influence business process re-engineering and AI1.5.5 improve overall efficiency.
Kesempatan baru sering kali diidentifikasi untuk memanfaatkan teknologi untuk memperoleh keuntungan kompetitif, mempengaruhi proses reengineering bisnis dan meningkatkan efisiensi secara keseluruhan.
Management detects and acts if IT solutions are approved without consideration of alternative AI1.5.6 technologies or business functional requirements.
Manajemen mendeteksi dan bertindak jika solusi TI disetujui tanpa pertimbangan teknologi alternatif atau persyaratan fungsional bisnis.
s fungsional dan persyaratan teknis, laporan n kelayakan keputusan dan persyaratan.
Ya
Y/R
Ragu
T/R
Tidak
AI2 - Acquire and Maintain Application Software
Deskripsi
Memperoleh dan Memelihara Aplikasi Perangkat Lunak yang mencakup, desain tingkat tinggi, detail desain, pengendalian aplikasi dan m aplikasi dan ketersediaannya, konfigurasi dan penerapan dari aplikasi software yang disyaratkan, perubahan major untuk terhadap system software aplikasi, jaminan kualitas perangkat lunak, pengelolaan persyaratan aplikasi dan perawatan aplikasi perangkat
AI2 - Acquire and Maintain Application Software PERNYATAAN ID No. STATEMENT There is no process for designing and specifying Tidak ada proses desain dan spesifikasi aplikasi. AI2.0.1 applications. Typically, applications are obtained based on vendor-driven offerings, brand recognition or IT staff familiarity with specific products, with little AI2.0.2 or no consideration of actual requirements.
Biasanya, aplikasi didapat berdasarkan penawaran vendor, pengenalan akan merk atau kefamiliaran staff TI dengan produk spesifik, dengan sedikit atau tidak adanya pertimbangan atas kebutuhan aktual.
There is an awareness that a process for AI2.1.1 acquiring and maintaining applications is required.
Adanya kesadaran bahwa proses perolehan dan pemeliharaan aplikasi sudah dibutuhkan.
Approaches to acquiring and maintaining Pendekatan untuk perolehan dan pemeliharaan AI2.1.2 application software vary from project to project. aplikasi perangkat lunak bervariasi dari proyek ke proyek. Some individual solutions to particular business requirements are likely to have been acquired independently, AI2.1.3 resulting in inefficiencies with maintenance and support.
Beberapa solusi individu untuk kebutuhan bisnis tertentu seringkali diperoleh secara mandiri, sehingga menghasilkan inefisiensi dengan pemeliharaan dan dukungan.
There are different, but similar, processes for Ada perbedaan, tetapi sama atas proses acquiring and maintaining applications based on perolehan dan pemeliharaan aplikasi berdasarkan AI2.2.1 the expertise within the IT function. keahlian dalam fungsi TI. The success rate with applications depends AI2.2.2 greatly on the in-house skills and experience levels within IT
Tingkat kesuksesan dengan aplikasi sangat bergantung pada keterampilan internal dan tingkat keahlian dalam TI.
Maintenance is usually problematic and suffers AI2.2.3 when internal knowledge is lost from the organisation.
Pemeliharaan biasanya menemui kendala dan bermasalah saat pengetahuan internal hilang dari organisasi.
There is little consideration of application security Adanya sedikit pertimbangan atas keamanan aplikasi dan ketersediaan atas desain atau AI2.2.4 and availability in the design or acquisition of application software. perolehan aplikasi perangkat lunak. A clear, defined and generally understood process Ada proses secara jelas, telah ditetapkan dan dimengerti secara umum atas perolehan dan AI2.3.1 exists for the acquisition and maintenance of application software. pemeliharaan aplikasi perangkat lunak.
This process is aligned with IT and business AI2.3.2 strategy.
Proses yang ada telah diselaraskan dengan strategi TI dan bisnis.
An attempt is made to apply the documented AI2.3.3 processes consistently across different applications and projects.
Adanya usaha yang dilakukan untuk mendokumentasikan proses secara konsisten di seluruh aplikasi dan proyek yang berbeda.
The methodologies are generally inflexible and Metodologi yang ada tidak fleksibel secara umum difficult to apply in all cases, so steps are likely to dan sulit untuk diaplikasikan dalam setiap kasus, AI2.3.4 be bypassed. sehingga seringkali langkah-langkah yang ada dan harus dilakukan dilewati. Maintenance activities are planned, scheduled AI2.3.5 and co-ordinated.
Kegiatan pemeliharaan telah direncanakan, terjadwal dan terkoordinasi.
There is a formal and well-understood methodology that includes a design and specification process, criteria for acquisition, a AI2.4.1 process for testing and requirements for documentation.
Adanya metodologi formal dan dimengerti dengan baik yang mencakup desain dan spesifikasi proses, kriteria perolehan, proses uji coba dan kebutuhan dokumentasi.
Documented and agreed-upon approval AI2.4.2 mechanisms exist to ensure that all steps are followed and exceptions are authorised.
Terdokumentasi dan ada tingkat mekanisme persetujuan untuk memastikan bahwa setiap langkah diikuti dan pengecualian disahkan.
Practices and procedures evolve and are well suited to the organisation, used by all staff and AI2.4.3 applicable to most application requirements.
Praktek dan prosedur berkembang dan sangat sesuai untuk organisasi, digunakan oleh semua staf dan dapat diaplikasikan untuk sebagian besar kebutuhan aplikasi.
Application software acquisition and AI2.5.1 maintenance practices are aligned with the defined process.
Perolehan aplikasi perangkat lunak dan praktek pemeliharaan diselaraskan dengan penetapan proses.
The approach is componentbased, with Pendekatan dilakukan berbasis komponen, yang AI2.5.2 predefined, standardised applications matched to ditetapkan, dengan standarisasi aplikasi yang business needs. disesuaikan dengan kebutuhan bisnis. AI2.5.3 The approach is enterprisewide. The acquisition and maintenance methodology is well advanced and enables rapid deployment, allowing for high responsiveness and flexibility in AI2.5.4 responding to changing business requirements.
Pendekatan dilakukan secara enterprisewide. Metodologi perolehan dan pemeliharaan ditingkatkan dengan baik dan memungkinkan penyebaran secara cepat, memungkinkan untuk respon yang tinggi dan fleksibilitas dalam merespon perubahan kebutuhan bisnis.
The application software acquisition and implementation methodology is subjected to continuous improvement and is supported by AI2.5.5 internal and external knowledge databases containing reference materials and good practices.
Perolehan aplikasi perangkat lunak dan penerapan metodologi ditekankan untuk pengembangan berkelanjutan dan didukung oleh basis data pengetahuan internal dan eksternal berisi materi referensi dan praktek yang baik.
The methodology creates documentation in a AI2.5.6 predefined structure that makes production and maintenance efficient.
Metodologi menciptakan dokumentasi dalam struktur yang telah ditetapkan yang mengefisienkan produksi dan pemeliharaan.
are
n, pengendalian aplikasi dan mampu audit, keamanan n major untuk terhadap system saat ini, pengembangan perawatan aplikasi perangkat lunak.
e Ya
Y/R
Ragu
T/R
Tidak
AI3 - Acquire and Maintain Technology Infrastructure
Deskripsi
Memperoleh dan Memelihara Infrastruktur Teknologi mencakup, rencana akuisisi infrastruktur teknologi, Perlind Infrastruktur dan Ketersediaan, perawatan infrastruktur dan test kelayakan lingkungan.
AI3 - Acquire and Maintain Technology Infrastructure PERNYATAAN ID No. STATEMENT Managing the technology infrastructure is not Mengelola infrastruktur teknologi tidak dianggap recognised as a sufficiently important topic to be sebagai topik yang cukup penting untuk AI3.0.1 addressed. diperhatikan. There are changes made to infrastructure for AI3.1.1 every new application, without any overall plan.
Ada perubahan yang dilakukan pada infrastruktur untuk setiap aplikasi baru, tanpa rencana secara keseluruhan.
Although there is an awareness that the IT Meskipun ada kesadaran bahwa infrastruktur TI AI3.1.2 infrastructure is important, there is no consistent penting, tidak ada pendekatan keseluruhan overall approach. secara konsisten. AI3.1.3
Maintenance activity reacts to short-term needs. Aktivitas pemeliharaan muncul akibat kebutuhan jangka pendek.
The production environment is the test AI3.1.4 environment.
Lingkungan produksi sebagai hasil dari test lingkungan.
There is a consistency amongst tactical Ada konsistensi diantara pendekatan taktis saat AI3.2.1 approaches when acquiring and maintaining the memperoleh dan memelihara infrastruktur TI. IT infrastructure. Acquisition and maintenance of IT infrastructure are not based on any defined strategy and do not AI3.2.2 consider the needs of the business applications that must be supported
Perolehan dan pemeliharaan infrastruktur TI tidak didasarkan pada penetapan strategi apapun dan tidak mempertimbangkan kebutuhan aplikasi bisnis yang harus didukung.
There is an understanding that the IT AI3.2.3 infrastructure is important, supported by some formal practices
Ada pengertian bahwa infrastruktur TI adalah penting, dan didukung oleh praktik resmi.
Some maintenance is scheduled, but it is not fully Beberapa pemeliharaan dijadwalkan, tetapi tidak secara keseluruhan dan tidak terkoordinasi AI3.2.4 scheduled and co-ordinated. For some environments, a separate test AI3.2.5 environment exists
Ada lingkungan test terpisah, untuk beberapa lingkungan.
A clear, defined and generally understood process Ada proses secara jelas, telah ditetapkan dan dimengerti secara umum atas perolehan dan AI3.3.1 exists for acquiring and maintaining IT infrastructure pemeliharaan infrastruktur TI.
The process supports the needs of critical business applications and is aligned to IT and AI3.3.2 business strategy, but it is not consistently applied
Proses yang ada mendukung aplikasi bisnis yang penting dan diselaraskan dengan TI dan strategi bisnis, tapi tidak diterapkan secara konsisten.
Maintenance is planned, scheduled and coAI3.3.3 ordinated.
Pemeliharaan sudah direncanakan, dijadwalkan dan dikoordinasikan.
There are separate environments for test and AI3.3.4 production
Ada pemisahan lingkungan antara test dan produksi.
The acquisition and maintenance process for technology infrastructure has developed to the point where it works well for most situations, is AI3.4.1 followed consistently and is focused on reusability.
Proses perolehan dan pemeliharaan untuk infrastruktur teknologi telah dikembangkan sampai pada titik dimana hal tersebut berjalan baik untuk hampir semua situasi, diikuti secara konsisten dan berfokus pada penggunaan kembali.
The IT infrastructure adequately supports the AI3.4.2 business applications.
Infrastruktur TI secara memadai mendukung aplikasi bisnis.
AI3.4.3
The process is well organised and proactive.
Proses yang ada di organisir secara baik dan proaktif.
The cost and lead time to achieve the expected AI3.4.4 level of scalability, flexibility and integration are partially optimised.
Biaya dan waktu untuk mencapai tingkat skalabilitas, fleksibilitas dan integrasi dioptimalkan secara sebagian.
The acquisition and maintenance process for technology infrastructure is proactive and closely AI3.5.1 aligned with critical business applications and the technology architecture.
Proses perolehan dan pemeliharaan untuk infrastruktur teknologi aktif dan diselaraskan secara dekat dengan aplikasi bisnis dan arsitektur teknologi.
Good practices regarding technology solutions Praktik yang sehubungan dengan solusi teknologi are followed, and the organisation is aware of the diikuti, dan organisasi menyadari pengembangan AI3.5.2 latest platform developments and management platform terbaru dan perangkat manajemen. tools. Costs are reduced by rationalising and AI3.5.3 standardising infrastructure components and by using automation.
Biaya dikurangi dengan merasionalisasi dan menstandarisasi komponen infrastruktur dengan otomatisasi.
A high level of technical awareness can identify optimum ways to proactively improve AI3.5.4 performance, including consideration of outsourcing options
Kesadaran teknis tingkat tinggi dapat mengidentifikasi langkah optimal untuk meningkatkan prestasi, termasuk pertimbangan pilihan outsourcing.
The IT infrastructure is seen as the key enabler to Infrastruktur TI dilihat sebagai kunci yang memungkinkan peningkatan penggunaan TI. AI3.5.5 leveraging the use of IT.
ucture
truktur teknologi, Perlindungan Sumber Daya kelayakan lingkungan.
ure Ya
Y/R
Ragu
T/R
Tidak
AI4 - Enable Operation and Use
Deskripsi
Menjalankan operasi dan menggunakannya mencakup, perencanaan untuk solusi operasional, transfer pengetahu bisnis, transfer pengetahuan kepada pengguna, serta transfer pengetahuan kepada staff operasi dan pe
AI4 - Enable Operation and Use PERNYATAAN ID No. STATEMENT There is no process in place with regard to the Tidak ada proses yang berhubungan dengan production of user documentation, operations pembuatan dokumentasi penggunaan, manual AI4.0.1 manuals and training material. operasional dan materi pelatihan. The only materials that exist are those supplied AI4.0.2 with purchased products.
Materi yang ada hanya yang disediakan pada saat pembelian produk.
There is awareness that process documentation is Ada kesadaran bahwa proses dokumentasi AI4.1.1 needed. dibutuhkan. Documentation is occasionally produced and is AI4.1.2 inconsistently distributed to limited groups.
Dokumentasi kadang-kadang dibuat dan didistribusikan secara konsisten kepada grup terbatas.
Much of the documentation and many of the AI4.1.3 procedures are out of date.
Banyak dari dokumentasi dan prosedur sudah tidak berlaku.
Training materials tend to be one-off schemes AI4.1.4 with variable quality
Materi pelatihan cenderung menggunakan skema tunggal dengan kualitas bervariasi.
There is virtually no integration of procedures AI4.1.5 across different systems and business units.
Hampir tidak ada integrasi prosedur diantara sistem yang berbeda dan unit bisnis.
There is no input from business units in the design Tidak ada masukan dari unit bisnis dalam AI4.1.6 of training programmes. mendesain program pelatihan Similar approaches are used to produce procedures and documentation, but they are not AI4.2.1 based on a structured approach or framework.
Pendekatan yang sama dilakukan untuk menghasilkan prosedur dan dokumentasi, tetapi tidak didasarkan pada pendekatan terstruktur atau kerangka kerja.
There is no uniform approach to the development Tidak ada pendekatan secara seragam untuk mengembangkan pengguna dan prosedur AI4.2.2 of user and operating procedures. operasional. Training materials are produced by individuals or Materi pelatihan dihasilkan oleh individual atau tim proyek, sehingga kualitas bergantung pada AI4.2.3 project teams, and quality depends on the individuals involved. keterlibatan individual. Procedures and quality of user support vary from Prosedur dan kualitas layanan pengguna poor to very good, with very little consistency and bervariasi mulai dari buruk hingga sangat baik, AI4.2.4 integration across the organisation. dengan sangat sedikit konsistensi dan integrasi antar organisasi.
Training programmes for the business and users Program pelatihan untuk bisnis dan pengguna are provided or facilitated, but there is no overall disediakan atau difasilitasi, tetapi tidak ada perencanaan atau pemberian pelatihan secara AI4.2.5 plan for training rollout or delivery keseluruhan.
There is a clearly defined, accepted and understood framework for user documentation, AI4.3.1 operations manuals and training materials
Ada kerangka kerja yang ditetapkan secara jelas, diterima dan dimengerti untuk dokumentasi pengguna, manual operasional dan materi pelatihan.
Procedures are stored and maintained in a formal Prosedur disimpan dan dipelihara dalam sebuah AI4.3.2 library and can be accessed by anyone who needs unit penyimpanan formal yang dapat diakses oleh to know them setiap orang yang membutuhkan. Corrections to documentation and procedures are Pembetulan terhadap dokumentasi dan prosedur AI4.3.3 made on a reactive basis. dibuat secara reaktif. Procedures are available offline and can be AI4.3.4 accessed and maintained in case of disaster.
Prosedur tersedia secara offlinedan dapat di akses serta dipelihara jika terjadi musibah.
A process exists that specifies procedure updates Ada proses untuk menspesifikasi pengkinian prosedur dan materi pelatihan sebagai AI4.3.5 and training materials to be an explicit deliverable of a change project. penyampaian eksplisit dari perubahan proyek. Despite the existence of defined approaches, the actual content varies because there is no control AI4.3.6 to enforce compliance with standards. AI4.3.7
Users are informally involved in the process.
Meskipun ada pendekatan yang ditetapkan, konten sebenarnya bervariasi karena tidak adanya pengawasan untuk melaksanakan standar secara utuh. Pengguna biasanya terlibat secara informal dalam proses.
Automated tools are increasingly used in the AI4.3.8 generation and distribution of procedures.
Otomatisasi digunakan secara meningkat dalam pembuatan dan pendistribusian prosedur.
Business and user training is planned and AI4.3.9 scheduled
Pelatihan bisnis dan pengguna direncanakan dan dijadwalkan.
There is a defined framework for maintaining AI4.4.1 procedures and training materials that has IT management support.
Adanya kerangka kerja yang ditetapkan untuk memelihara prosedur dan materi training yang memiliki dukungan manajemen TI.
The approach taken for maintaining procedures and training manuals covers all systems and AI4.4.2 business units, so that processes can be viewed from a business perspective.
Pendekatan yang diambil untuk memelihara prosedur dan materi pelatihan mencakup seluruh sistem dan unit bisnis, sehingga proses dapat dilihat dari perspektif bisnis.
Procedures and training materials are integrated Prosedur dan materi pelatihan diintegrasikan untuk menyertakan adanya saling AI4.4.3 to include interdependencies and interfaces. ketergantungan dan tatap muka. Controls exist to ensure adherence to standards, Pengawasan ada untuk memastikan kepatuhan AI4.4.4 and procedures are developed and maintained for terhadap standar, dan prosedur dikembangkan all processes. dan dipelihara untuk semua proses.
Business and user feedback on documentation Umpan balik dari bisnis dan pengguna atas and training is collected and assessed as part of a dokumentasi dan pelatihan dikumpulkan dan AI4.4.5 continuous improvement process. digunakan sebagai bagian dari proses pengembangan berkelanjutan. Documentation and training materials are usually Dokumentasi dan materi pelatihan biasanya telah AI4.4.6 at a predictable and good level of reliability and dapat diperkirakan dan dalam tingkat yang baik availability. dalam kehandalan dan ketersediaan. An emerging process for using automated AI4.4.7 procedure documentation and management is implemented.
Pengimplementasian atas proses yang timbul akibat pengotomatisasian dokumentasi prosedur dan manajemen.
Automated procedure development is increasingly integrated with application system development facilitating AI4.4.8 consistency and user access.
Pengembangan otomatisasi prosedur diintegrasikan secara bertingkat dengan mengembangkan sistem aplikasi yang memfasilitasi konsistensi dan akses untuk pengguna.
Business and user training is responsive to the AI4.4.9 needs of the business
Pelatihan bisnis dan pengguna sebagai respon akan kebutuhan bisnis.
IT management is developing metrics for the AI4.4.10 development and delivery of documentation, training materials and training programmes.
Manajemen TI mengembangkan metriks untuk pengembangan dan penyampaian dokumentasi, materi dan program pelatihan.
The process for user and operational AI4.5.1 documentation is constantly improved through the adoption of new tools or methods.
Proses untuk dokumentasi pengguna dan operasional ditingkatkan secara konstan melalui penggunaan perangkat dan metode baru.
The procedure materials and training materials Materi prosedur dan pelatihan diperlakukan are treated as a constantly evolving knowledge sebagai pusat pengetahuan yang terus base that is maintained electronically using up-to- berkembang dan di pelihara secara elektronik date knowledge management, workflow and dengan menggunakan manajemen pengetahuan AI4.5.2 distribution technologies, making it accessible yang up-to-date, alur kerja dan penyebaran and easy to maintain. teknologi, menjadikannya mudah untuk di akses dan dipelihara. Documentation and training material is updated Dokumentasi dan materi pelatihan diperbaharui untuk merefleksikan perubahan organisasi, AI4.5.3 to reflect organisational, operational and software changes. operasional dan penggunaan perangkat lunak The development of documentation and training materials and the delivery of training programmes are fully integrated with the AI4.5.4 business and business process definitions, thus supporting organisationwide requirements, rather than only IT-oriented procedures.
Pengembangan dokumentasi dan materi pelatihan dan penyampaian program pelatihan terintegrasi secara utuh dengan bisnis dan definisi bisnis proses, sehingga mendukung kebutuhan organisasi secara luas, dibandingkan dengan prosedur berorientasi TI saja.
ional, transfer pengetahuan kepada pengelola epada staff operasi dan pendukung.
Ya
Y/R
Ragu
T/R
Tidak
AI5 - Procure IT Resources
Deskripsi
Pengadaan sumber daya IT yang mencakup, pengendalian pengadaan, pengelolaan kontrak suplier, pemilihan sumber daya TI.
AI5 - Procure IT Resources PERNYATAAN ID No. STATEMENT There is no defined IT resource procurement Tidak ada proses penyediaan sumber daya TI. AI5.0.1 process in place. The organisation does not recognise the need for Organisasi tidak mengenali kebutuhan atas clear procurement kebijakan dan prosedur penyediaan yang jelas polices and procedures to ensure that all IT untuk memastikan bahwa semua sumber daya TI AI5.0.2 resources are available in a timely and costtersedia secara tepat waktu dan dalam efisiensi efficient manner. biaya.
The organisation recognises the need to have documented policies and procedures that link IT AI5.1.1 acquisition to the business organisation’s overall procurement process.
Organisasi mengenali kebutuhan atas kebijakan dan prosedur yang terdokumentasi yang menghubungkan proses penyediaan IT ke dalam bisnis organisasi secara keseluruhan.
Contracts for the acquisition of IT resources are Kontrak atas pembelian sumber daya TI developed and managed by project managers dikembangkan dan di kelola oleh manajer and other individuals exercising their proyek dan individu lain berdasarkan penilaian AI5.1.2 professional judgement rather than as a result of profesional mereka dibandingkan dengan formal procedures and policies. sebagai hasil dari prosedur dan kebijakan formal. There is only an ad hoc relationship between Hanya ada hubungan ad-hoc antara pembelian corporate acquisition and contract management perusahaan dan proses kontrak manajemen dan AI5.1.3 processes and IT TI. Contracts for acquisition are managed at the AI5.1.4 conclusion of projects rather than on a continuous basis.
Kontrak pembelian dikelola pada hasil akhir proyek dibandingkan dilakukan secara berkesinambungan.
There is organisational awareness of the need to Ada kesadaran organisasi atas kebutuhan untuk memiliki dasar kebijakan dan prosedur atas AI5.2.1 have basic policies and procedures for IT acquisition. pembelian TI. Policies and procedures are partially integrated Kebijakan dan prosedur TI terintegrasi secara sebagian dengan keseluruhan proses penyediaan AI5.2.2 with the business organisation’s overall procurement process. dalam bisnis organisasi. Procurement processes are mostly utilised for AI5.2.3 large and highly visible projects.
Proses penyediaan lebih banyak digunakan untuk proyek berskala besar dan jelas terlihat.
Responsibilities and accountabilities for IT procurement and contract management are AI5.2.4 determined by the individual contract manager’s experience.
Tanggung jawab dan akuntabilitas atas penyediaan TI dan manajemen kontrak ditentukan oleh pengalaman pribadi manajer kontrak.
The importance of supplier management and relationship management is recognised; AI5.2.5 however, it is addressed based on individual initiative.
Pentingnya manajemen penyediaan dan manajemen hubungan diketahui; tetapi bagaimanapun juga, tetap didasarkan atas insiatif individu.
Contract processes are mostly utilised by large or Proses kontrak lebih banyak digunakan untuk AI5.2.6 highly visible projects. proyek berskala besar atau jelas terlihat. Management institutes policies and procedures Kebijakan dan prosedur institusi manajemen AI5.3.1 for IT acquisition. atas pembelian TI. Policies and procedures are guided by the AI5.3.2 business organisation’s overall procurement process.
Kebijakan dan prosedur dibimbing oleh proses penyediaan secara keseluruhan dalam bisnis organisasi.
IT acquisition is largely integrated with overall AI5.3.3 business procurement systems.
pembelian TI terintegrasi secara luas dengan sistem penyediaan bisnis secara keseluruhan.
IT standards for the acquisition of IT resources AI5.3.4 exist.
Adanya standar TI atas pembelian sumber daya TI.
Suppliers of IT resources are integrated into the Penyedia sumber daya TI terintegrasi ke dalam organisation’s project management mechanisms mekasnisme manajemen proyek organisasi dari AI5.3.5 from a contract management perspective. perspektif manajemen kontrak. IT management communicates the need for AI5.3.6 appropriate acquisitions and contract management throughout the IT function.
Pengelolaan TI mengkomunikasikan kebutuhan atas pembelian yang tepat dan manajemen kontrak dalam seluruh fungsi TI.
IT acquisition is fully integrated with overall AI5.4.1 business procurement systems.
pembelian TI terintegrasi secara luas dengan sistem penyediaan bisnis secara keseluruhan.
IT standards for the acquisition of IT resources AI5.4.2 are used for all procurements
Standar TI atas pembelian sumber daya TI digunakan dalam seluruh pengadaan.
Measurements on contract and procurement Pengukuran atas kontrak dan manajemen management are taken relevant to the business pengadaan dibuat secara relevan dengan kasus AI5.4.3 cases for IT acquisition. bisnis untuk pembelian TI. Reporting on IT acquisition activity that supports Ketersediaan laporan atas pembelian TI yang AI5.4.4 business objectives is available. mendukung tujuan bisnis. Management is usually aware of exceptions to AI5.4.5 the policies and procedures for IT acquisition.
Manajemen sadar dengan pengecualian dalam kebijakan dan prosedur atas pembelian TI.
Strategic management of relationships is AI5.4.6 developing.
Pengembangan manajemen hubungan strategis.
IT management enforces the use of the acquisition and contract management process AI5.4.7 for all acquisitions by reviewing performance measurement.
Manajemen TI memberlakukan penggunaan proses pembelian dan manajemen kontrak untuk semua pembelian dengan mereview ukuran kinerja.
Management institutes resources’ procurement Proses pengadaan menyeluruh atas sumber daya lembaga manajemen untuk pembelian TI. AI5.5.1 thorough processes for IT acquisition. Management enforces compliance with policies Manajemen memberlakukan penyesuaian dengan kebijakan dan prosedur untuk AI5.5.2 and procedures for IT acquisition. pembelian TI. Measurements on contract and procurement Pengukuran atas kontrak dan manajemen management are taken that are relevant to the pengadaan dibuat secara relevan dengan kasus AI5.5.3 business cases for IT acquisitions. bisnis untuk pembelian TI. Good relationships are established over time with most suppliers and partners, and the AI5.5.4 quality of relationships is measured and monitored.
Hubungan baik ditetapkan seiring waktu dengan penyedia dan partner, dan kualitas hubungan tersebut diukur dan dimonitor.
AI5.5.5 Relationships are managed strategically. IT standards, policies and procedures for the acquisition of IT resources are managed AI5.5.6 strategically and respond to measurement of the process.
Hubungan dikelola secara strategis. Standar TI, kebijakan dan prosedur atas pembelian sumber daya TI dikelola secara strategis dan sebagai respon atas pengukuran proses.
IT management communicates the strategic importance of appropriate acquisition and AI5.5.7 contract management throughout the IT function.
Manajemen TI mengkomunikasikan kepentingan strategis atas pembelian yang tepat serta manajemen kontrak kepada seluruh fungsi TI.
ntrak suplier, pemilihan suplier dan akuisisi
Ya
Y/R
Ragu
T/R
Tidak
AI6 - Manage Changes
Deskripsi
Mengelola perubahan mencakup, perubahan aturan dan prosedur, Penilaian Dampak, Prioritas dan Otorisasi, p perubahan status pelacakan dan pelaporan, perubahan closure dan dokumentasi.
AI6 - Manage Changes PERNYATAAN ID No. STATEMENT There is no defined change management process, Tidak adanya proses perubahan tata kelola, dan perubahan dapat dilakukan secara langsung AI6.0.1 and changes can be made with virtually no control. tanpa adanya pengawasan. There is no awareness that change can be disruptive for IT and business operations, and no AI6.0.2 awareness of the benefits of good change management.
Tidak adanya kesadaran bahwa perubahan dapat berbahaya untuk TI dan operasi bisnis, serta tidak adanya kesadaran atas keuntungan akan perubahan tata kelola yang baik.
It is recognised that changes should be managed Adanya pengakuan bahwa perubahan harus AI6.1.1 and controlled. dikelola dan di awasi. Practices vary, and it is likely that unauthorised AI6.1.2 changes take place.
Praktek bervariasi dan ada kemungkinan bahwa perubahan yang tidak sah terjadi.
There is poor or non-existent documentation of AI6.1.3 change, and configuration documentation is incomplete and unreliable.
Rendahnya atau tidak adanya data perubahan, dan konfigurasi dokumen tidak lengkap dan tidak dapat diandalkan.
Errors are likely to occur together with AI6.1.4 interruptions to the production environment caused by poor change management.
Kesalahan sering terjadi serta adanya gangguan atas lingkungan produksi akibat dari rendahnya perubahan tata kelola.
There is an informal change management process in place and most changes follow this approach; however, it is unstructured, AI6.2.1 rudimentary and prone to error.
Adanya proses perubahan manajemen secara informal dan sebagian besar perubahan mengikuti pendekatan ini; tetapi hal tersebut tetap tidak terstruktur, belum sempurna dan rentan terhadap kesalahan.
Configuration documentation accuracy is Ketepatan dokumentasi konfigurasi tidak inconsistent, and only limited planning and impact konsisten, dan hanya terbatas pada dampak perencanaan dan penilaian yang berlangsung AI6.2.2 assessment take place prior to a change. sebelum perubahan.
There is a defined formal change management process in place, including categorisation, prioritisation, emergency procedures, AI6.3.1 change authorisation and release management, and compliance is emerging.
Adanya proses perubahan secara formal yang ditetapkan, meliputi kategorisasi, prioritas, prosedur darurat, perubahan kewenangan dan manajemen rilis, dan munculnya kepatuhan.
Workarounds take place, and processes are often Pada saat penyelesaian masalah, proses yang ada AI6.3.2 bypassed. seringkali dilewati.
Errors may occur and unauthorised changes AI6.3.3 occasionally occur.
Kesalahan dapat terjadi dan perubahan yang tidak sah kadang-kadang terjadi.
The analysis of the impact of IT changes on business operations is becoming formalised, to AI6.3.4 support planned rollouts of new applications and technologies
Analisa dampak perubahan TI pada operasional bisnis telah diresmikan untuk mendukung pelaksanaan rencana dari aplikasi dan teknologi terbaru.
The change management process is well developed and consistently followed for all AI6.4.1 changes, and management is confident that there are minimal exceptions.
Proses perubahan tata kelola berkembang dengan baik dan diikuti secara konsisten untuk semua perubahan, manajemen juga yakin akan minimalnya pengecualian yang ada ada.
The process is efficient and effective, but relies on Proses terjadi dengan efisien dan efektif, tetapi considerable manual procedures and controls to bergantung pada prosedur manual dan AI6.4.2 ensure that quality is achieved. pengawasan untuk memastikan tercapianya kualitas. All changes are subject to thorough planning and Semua perubahan begantung pada perencanaan impact assessment to minimise the likelihood of menyeluruh dan penilaian dampak untuk AI6.4.3 post-production problems. meminimalkan kemungkinan masalah paska produksi. AI6.4.4 An approval process for changes is in place. Change management documentation is current AI6.4.5 and correct, with changes formally tracked.
Adanya proses persetujuan atas tiap perubahan. Dokumentasi perubahan manajemen tepat dan sesuai kondisi saat ini, dengan terlacaknya perubahan secara formal.
Configuration documentation is generally AI6.4.6 accurate.
Dokumentasi konfigurasi umumnya akurat.
IT change management planning and implementation are becoming more integrated with changes in the business processes, to ensure AI6.4.7 that training, organisational changes and business continuity issues are addressed.
Perencanaan dan implementasi perubahan manajemen TI semakin terintegrasi dengan proses bisnis, untuk memastikan bahwa pelatihan, perubahan organisasi dan kesinambungan bisnis tertangani.
There is increased co-ordination between IT AI6.4.8 change management and business process redesign.
Ada peningkataan koordinasi antara perubahan tata kelola TI dan redesign proses bisnis.
There is a consistent process for monitoring the AI6.4.9 quality and performance of the change management process.
Konsistensi untuk pengawasan atas kualitas dan prestasi atas proses perubahan manajemen.
The change management process is regularly AI6.5.1 reviewed and updated to stay in line with good practices.
Proses perubahan manajemen di kaji ulang secara berkala dan diperbaharui agar selaras dengan good practices.
The review process reflects the outcome of AI6.5.2 monitoring.
Proses tinjauan merefleksikan hasil dari pengawasan.
Configuration information is computer-based and Konfigurasi informasi sudah berbasis komputer AI6.5.3 provides version control. dan menyediakan versi pengawasan. Tracking of changes is sophisticated and includes Pelacakan atas perubahan sudah canggih dan termasuk alat pendeteksi perangkat lunak yang AI6.5.4 tools to detect unauthorised and unlicensed software. tidak sah dan tidak berlisensi.
IT change management is integrated with business change management to ensure that IT is an enabler in increasing productivity and creating AI6.5.5 new business opportunities for the organisation.
Manajemen perubahan TI berintegrasi dengan manajemen perubahan bisnis untuk memastikan bahwa TI berperan dalam meningkatkan produktifitas dan menciptakan peluang bisnis untuk organisasi.
Prioritas dan Otorisasi, perubahan darurat, e dan dokumentasi.
Ya
Y/R
Ragu
T/R
Tidak
AI7 - Install and Accredit Solutions and Changes
Deskripsi
Menempatkan, Mengakreditasi Solusi dan Perubahan terhadap suatu sistem mencakup, pelatihan, rencana uji, ren uji lingkungan, konversi sisten dan data, pengujian untuk perubahan, pengujian penerimaan akhir, dukungan un tinjauan pasca implementasi.
AI7 - Install and Accredit Solutions and Changes PERNYATAAN ID No. STATEMENT There is a complete lack of formal installation or Kurang lengkapnya instalasi formal dan proses accreditation processes, and neither senior akreditasi, serta tidak adanya anggota management nor IT staff members manajemen senior atau staf TI yang menyadari AI7.0.1 recognise the need to verify that solutions are fit kebutuhan untuk memastikan apakah solusi for the intended purpose. sudah tepat dengan tujuan yang diinginkan.
There is an awareness of the need to verify and AI7.1.1 confirm that implemented solutions serve the intended purpose.
Adanya kesadaran akan kebutuhan untuk memastikan bahwa solusi yang dijalankan sesuai dengan tujuan yang diinginkan.
Testing is performed for some projects, but the Uji coba dilakukan untuk beberapa proyek, tetapi initiative for testing is left to the individual project insiatif untukmelakukan uji coba bergantung AI7.1.2 teams, and the approaches taken vary. pada individu tim proyek tersebut, serta pendekatan yang digunakan bervariasi. Formal accreditation and sign-off are rare or non- Penilaian formal dan penanda tanganan sangat AI7.1.3 existent. jarang atau bahkan tidak ada. There is some consistency amongst the testing AI7.2.1 and accreditation approaches, but typically they are not based on any methodology.
Ada beberapa konsistensi di antara uji coba dan pendekatan penilaian, tetapi biasanya tidak berdasar pada metodologi apapun.
The individual development teams normally Tim Pengembangan individual biasanya decide the testing approach, and there is usually memutuskan pendekatan uji coba, dan biasanya AI7.2.2 an absence of integration testing. uji coba integrasi tidak dilakukan. AI7.2.3 There is an informal approval process.
Ada proses persetujuan secara informal.
A formal methodology relating to installation, Adanya metodologi formal sehubungan dengan migration, conversion and acceptance is in place. instalasi, pemindahan, perubahan dan AI7.3.1 penerimaan. IT installation and accreditation processes are AI7.3.2 integrated into the system life cycle and automated to some extent.
Pemasangan TI dan proses penilaian terintegrasi dengan siklus hidup sistem dan otomatisasi hingga batas tertentu.
Training, testing and transition to production status and accreditation are likely to vary from AI7.3.3 the defined process, based on individual decisions.
Pelatihan, uji coba, dan transisi hingga statu produksi dan penilaian seringkali bervariasi antara proses yang sudah ditentukan, tergantung pada keputusan individual.
The quality of systems entering production is Kualitas produksi sistem tidak konsisten, dengan inconsistent, with new systems often generating a sistem baru yang sering kali menghasilkan tingkat tertentu dari masalah implementasi. AI7.3.4 significant level of post-implementation problems.
The procedures are formalised and developed to be well organised and practical with defined test AI7.4.1 environments and accreditation procedures.
Prosedur telah diresmikan dan dikembangkan sehingga lebih teroganisir dan praktis dengan lingkungan uji coba yang sudah ditetapkan dan prosedur penilaian.
In practice, all major changes to systems follow AI7.4.2 this formalised approach.
Pada prakteknya, semua perubahan besar terhadap sistem mengikuti pendekatan yang sudah diresmikan.
Evaluation of meeting user requirements is standardised and measurable, producing metrics AI7.4.3 that can be effectively reviewed and analysed by management.
Evaluasi pemenuhan permintaan pengguna sudah terstandarisasi dan dapat diukur, menghasilkan metrik yang dapat dinilai secara efektif & di analisa oleh manajemen.
The quality of systems entering production is satisfactory to management even with AI7.4.4 reasonable levels of post-implementation problems.
Kualitas produksi sistem memuaskan untuk manajemen bahkan dengan tingkat wajar dari masalah paska implementasi.
Automation of the process is ad hoc and project- Otomatisasi dari proses adalah ad-hoc dan AI7.4.5 dependent. bergantung proyek. Management may be satisfied with the current level of efficiency AI7.4.6 despite the lack of post-implementation evaluation.
Manajemen cukup puas dengan tingkat efisiensi saat ini meski ada kekurangan dari evaluasi paska implementasi.
The test system adequately reflects the live AI7.4.7 environment.
Sistem uji coba cukup mencerminkan lingkungan sebenarnya.
Stress testing for new systems and regression Stress test untuk sistem baru dan regresi testing for existing systems are applied for major pengujian untuk sistem yang sudah ada AI7.4.8 projects. diterapkan untuk proyek besar. The installation and accreditation processes have been refined to a level of good practice, based on AI7.5.1 the results of continuous improvement and refinement.
Proses pemasangan dan penilaian telah disempurnakan ke tingkat yang lebih baik, berdasarkan dari hasil pengembangan berkelanjutan dan perbaikan.
IT installation and accreditation processes are fully integrated into the system life cycle and automated when appropriate, facilitating the AI7.5.2 most efficient training, testing and transition to production status of new systems.
Proses pemasangan dan penilaian TI diintegrasikan secara utuh kepada siklus hidup sistem dan di otomatisasi jika diperlukan, memfasilitasi efektifitas pelatihan, uji coba dan transisi atas status produksi sistem baru.
Well-developed test environments, problem registers and fault resolution processes ensure efficient and effective transition to the AI7.5.3 production environment.
Lingkungan uji coba yang semakin berkembang, pencatatan permasalahan dan proses pemecahan masalah untuk memastikan transisi yang efisien dan efektif dari lingkungan produksi.
Accreditation usually takes place with no rework, Penilaian biasanya terjadi tanpa penilaian ulang, AI7.5.4 and post-implementation problems are normally dan masalah paska implementasi terbatas kepada limited to minor corrections. pembetulan kecil. Post-implementation reviews are standardised, with lessons learned channelled back into the process to ensure continuous quality AI7.5.5 improvement.
Penilaian paska implementasi telah terstandarisasi, dengan pembelajaran yang disalurkan kembali kedalam proses untuk memastikan pengembangan kualitas yang berkesinambungan.
Stress testing for new systems and regression AI7.5.6 testing for modified systems are consistently applied.
Stress test untuk sistem baru dan regresi pengujian untuk sistem yang dimodifikasi diterapkan secara konsisten.
ges
pelatihan, rencana uji, rencana implementasi, imaan akhir, dukungan untuk produksi dan
s Ya
Y/R
Ragu
T/R
Tidak
DS1 - Define and Manage Service Levels
Deskripsi
Mendefinisikan dan Mengelola Tingkat Layanan mencakup, kerangka kerja pengelolaan service level, mendefi kesepakatan terhadap service level, kesepakatan terhadap tingkat operasi, pemantauan dan pelaporan dari prest peninjauan kembali kontrak dan kesepakatan service level.
DS1 - Define and Manage Service Levels PERNYATAAN ID No. STATEMENT Management has not recognised the need for a Manajemen tidak mengetahui perlunya proses DS1.0.1 process for defining service levels. untuk menentukan tingkat layanan. Accountabilities and responsibilities for DS1.0.2 monitoring them are not assigned.
Belum ada penugasan untuk akuntabilitas dan tanggung jawab untuk pemantauan tingkat layanan
There is awareness of the need to manage service Adanya kesadaran akan kebutuhan untuk mengelola tingkat layanan, namun proses ini DS1.1.1 levels, but the process is informal and reactive. informal dan reaktif. The responsibility and accountability for defining Tanggung jawab dan akuntabilitas untuk mendefinisikan dan mengelola layanan tidak DS1.1.2 and managing services are not defined. didefinisikan. If performance measurements exist, they are DS1.1.3 qualitative only with imprecisely defined goals.
Jika terdapat pengukuran kinerja , itu hanya kualitatif dengan tujuan mendefinisikan goal.
Reporting is informal, infrequent and DS1.1.4 inconsistent.
Pelaporan informal, jarang dan tidak konsisten.
There are agreed‐upon service levels, but they are Ada yang disepakati dalam tingkat layanan, tetapi DS1.2.1 informal and not reviewed. informal dan tidak dipantau. Service level reporting is incomplete and may be DS1.2.2 irrelevant or misleading for customers.
Pelaporan service level tidak lengkap dan mungkin tidak relevan atau menyesatkan bagi pelanggan.
Service level reporting is dependent on the skills DS1.2.3 and initiative of individual managers.
Pelaporan service level tergantung pada keterampilan dan inisiatif dari tiap manajer.
A service level co‐ordinator is appointed with DS1.2.4 defined responsibilities, but limited authority.
Kordinator tingkat layanan ditunjuk dengan tanggung jawab yang telah ditetapkan, namun dengan otoritas terbatas .
If a process for compliance to SLAs exists, it is DS1.2.5 voluntary and not enforced.
Jika ada suatu proses untuk pemenuhan SLA, itu bersifat sukarela dan tidak ditetapkan.
Responsibilities are well defined, but with DS1.3.1 discretionary authority.
Tanggung jawab telah didefinisikan dengan baik, tapi dengan kewenangan diskresioner.
The SLA development process is in place with DS1.3.2 checkpoints for reassessing service levels and customer satisfaction.
Proses pengembangan SLA ditempatkan dengan pos-pos pemeriksaan untuk menilai kembali tingkat layanan dan kepuasan pelanggan.
Services and service levels are defined, DS1.3.3 documented and agreed upon using a standard process.
Tingkat layanan jasa dan didefinisikan, didokumentasikan dan disepakati menggunakan proses standar.
Service level shortfalls are identified, but DS1.3.4 procedures on how to resolve shortfalls are informal.
Kekurangan dalam service level sudah diidentifikasi, tetapi prosedur tentang cara mengatasi kekurangan masih informal.
There is a clear linkage between expected service Ada hubungan yang jelas antara prestasi tingkat layanan yang diharapkan dan dana yang DS1.3.5 level achievement and the funding provided. disediakan. Service levels are agreed to, but they may not DS1.3.6 address business needs.
Tingkat layanan dapat disepakati, tetapi mungkin tidak memenuhi kebutuhan bisnis.
Service levels are increasingly defined in the system requirements definition phase and DS1.4.1 incorporated into the design of the application and operational environments.
Tingkat pelayanan semakin didefinisikan dalam tahap definisi persyaratan sistem dan dimasukkan ke dalam desain dari aplikasi dan lingkungan operasional.
Customer satisfaction is routinely measured and DS1.4.2 assessed.
Kepuasan pelanggan secara rutin diukur dan dinilai.
Performance measures reflect customer needs, DS1.4.3 rather than IT goals.
Ukuran kinerja lebih mencerminkan kebutuhan pelanggan, dibanding dengan tujuan TI.
The measures for assessing service levels are DS1.4.4 becoming standardised and reflect industry norms.
Pengukuran untuk menilai tingkat pelayanan akan menjadi terstandarisasi dan mencerminkan norma-norma industri.
The criteria for defining service levels are based on business criticality and include availability, reliability, performance,growth capacity, user DS1.4.5 support, continuity planning and security considerations.
Kriteria untuk menentukan tingkat layanan didasarkan pada kekritisan bisnis dan termasuk ketersediaan, keandalan, kinerja, kapasitas pertumbuhan, dukungan pengguna, keberlanjutan perencanaan dan pertimbangan keamanan .
Root cause analysis is routinely performed when DS1.4.6 service levels are not met.
Analisis akar penyebab yang rutin dilakukan ketika tingkat layanan tidak terpenuhi.
The reporting process for monitoring service DS1.4.7 levels is becoming increasingly automated.
Proses pelaporan untuk tingkat layanan monitoring menjadi semakin otomatis.
DS1.4.8
Levels are defined and clearly understood.
Operational and financial risks associated with DS1.4.9 not meeting agreed‐upon service.
Tingkat dapat didefinisikan dan dipahami dengan jelas. Risiko operasional dan risiko keuangan yang terkait tidak memenuhi dengan disepakati dalam layanan.
A formal system of measurement is instituted and Sebuah sistem pengukuran formal dilembagakan DS1.4.10 maintained. dan dipelihara. Service levels are continuously re‐evaluated to ensure alignment of IT and business objectives, DS1.5.1 whilst taking advantage of technology, including the cost‐benefit ratio.
Tingkat layanan terus dievaluasi kembali untuk memastikan keselarasan TI dan tujuan bisnis, sementara keuntungan dapat diperoleh dari teknologi, termasuk rasio biaya-manfaat.
All service level management processes are DS1.5.2 subject to continuous improvement.
Semua proses manajemen tingkat layanan tunduk pada perbaikan terus-menerus.
Customer satisfaction levels are continuously DS1.5.3 monitored and managed.
Tingkat kepuasan pelanggan terus dipantau dan dikelola.
Expected service levels reflect strategic goals of Tingkat layanan yang diharapkan mencerminkan DS1.5.4 business units and are evaluated against industry tujuan strategis unit bisnis dan dievaluasi norms. terhadap norma-norma industri. IT management has the resources and accountability needed to meet service level targets, and compensation is structured to DS1.5.5 provide incentives for meeting these targets.
Manajemen TI memiliki sumber daya dan akuntabilitas yang diperlukan untuk memenuhi target tingkat pelayanan, dan kompensasi ini disusun untuk memberikan insentif dalam memenuhi target tersebut.
Senior management monitors performance DS1.5.6 metrics as part of a continuous improvement process.
Manajemen senior memonitor metrik kinerja sebagai bagian dari proses perbaikan terusmenerus.
aan service level, mendefinisikan layanan, dan pelaporan dari prestasi service level dan ce level.
Ya
Y/R
Ragu
T/R
Tidak
DS2 - Manage Third-party Services
Deskripsi
Pengelolaan pihak ketiga mencakup, mengidentifikasi terhadap semua hubungan suplier, pengelolaan hubungan risiko suplier, dan pemantauan kinerja suplier.
DS2 - Manage Third-party Services PERNYATAAN ID No. STATEMENT Responsibilities and accountabilities are not Tanggung jawab dan akuntabilitas tidak DS2.0.1 defined. terdefinisikan. There are no formal policies and procedures DS2.0.2 regarding contracting with third parties.
Tidak ada kebijakan dan prosedur formal tentang kontrak dengan pihak ketiga.
Third‐party services are neither approved nor DS2.0.3 reviewed by management.
Layanan pihak ketiga belum disetujui atau ditinjau oleh manajemen.
There are no measurement activities and no DS2.0.4 reporting by third parties.
Tidak ada kegiatan pengukuran dan tidak ada pelaporan oleh pihak ketiga.
In the absence of a contractual obligation for Dengan tidak adanya kewajiban kontraktual DS2.0.5 reporting, senior management is not aware of the untuk pelaporan, manajemen senior tidak quality of the service delivered. menyadari kualitas layanan yang disampaikan. Management is aware of the need to have documented policies and procedures for third‐ DS2.1.1 party management, including signed contracts.
Manajemen menyadari kebutuhan untuk memiliki kebijakan yang terdokumentasi dan prosedur pengelolaan pihak ketiga, termasuk penandatanganan kontrak.
There are no standard terms of agreement with DS2.1.2 service providers.
Tidak ada persyaratan perjanjian standar dengan penyedia layanan.
Measurement of the services provided is informal Pengukuran layanan yang diberikan bersifat DS2.1.3 and reactive. informal dan reaktif. Practices are dependent on the experience (e.g., DS2.1.4 on demand) of the individual and the supplier.
Praktek tergantung pada pengalaman (misalnya, on demand) dari individu dan pemasok.
The process for overseeing third‐party service DS2.2.1 providers, associated risks and the delivery of services is informal.
Proses untuk mengawasi penyedia layanan pihak ketiga, risiko yang terkait dan penyediaan jasa adalah informal.
A signed, pro forma contract is used with DS2.2.2 standard vendor terms and conditions (e.g., the description of services to be provided).
Penandatanganan, pro forma kontrak menggunakan kondisi standar vendor (misalnya, deskripsi layanan yang akan diberikan).
Reports on the services provided are available, DS2.2.3 but do not support business objectives.
Laporan pada layanan yang diberikan sudah tersedia, tetapi tidak mendukung tujuan bisnis.
Well‐documented procedures are in place to govern third‐party services, with clear processes DS2.3.1 for vetting and negotiating with vendors.
Prosedur terdokumentasi dengan baik menyatu di tempat untuk mengatur layanan pihak ketiga, dengan proses yang jelas untuk pemeriksaan dan bernegosiasi dengan vendor.
When an agreement for the provision of services Ketika kesepakatan untuk penyediaan jasa dibuat, hubungan dengan pihak ketiga adalah DS2.3.2 is made, the relationship with the third party is purely a contractual one. murni satu kontrak. The nature of the services to be provided is DS2.3.3 detailed in the contract and includes legal, operational and control requirements.
Sifat dari layanan yang akan diberikan adalah secara rinci dalam kontrak dan termasuk persyaratan hukum, operasional dan kontrol.
The responsibility for oversight of third‐party DS2.3.4 services is assigned.
Tanggung jawab untuk mengawasi layanan pihak ketiga diberikan.
Contractual terms are based on standardised DS2.3.5 templates.
Persyaratan kontrak didasarkan pada template standar.
The business risk associated with the third‐party DS2.3.6 services is assessed and reported.
Risiko bisnis terkait dengan layanan pihak ketiga yang dinilai dan dilaporkan.
Formal and standardised criteria are established Kriteria formal dan standar ditetapkan untuk for defining the terms of engagement, including mendefinisikan persyaratan keterlibatan, scope of work, termasuk lingkup pekerjaan, jasa / kiriman yang services/deliverables to be provided, assumptions, akan diberikan, asumsi, jadwal, biaya, DS2.4.1 schedule, costs, billing arrangements and kesepakatan penagihan dan tanggung jawab. responsibilities. Responsibilities for contract and vendor DS2.4.2 management are assigned.
Sudah ada penugasan untuk yang bertanggung jawab terhadap kontrak dan manajemen vendor.
Vendor qualifications, risks and capabilities are DS2.4.3 verified on a continual basis.
Kualifikasi vendor, resiko dan kemampuan diverifikasi secara terus menerus.
Service requirements are defined and linked to DS2.4.4 business objectives.
Persyaratan layanan didefinisikan dan terkait dengan tujuan bisnis.
A process exists to review service performance against contractual terms, providing input to DS2.4.5 assess current and future third‐party services.
Terdapat sebuah proses untuk meninjau kinerja pelayanan terhadap persyaratan kontrak, memberikan masukan untuk menilai layanan pihak ketiga saat ini dan masa depan.
Transfer pricing models are used in the DS2.4.6 procurement process.
Transfer pricing model digunakan dalam proses pengadaan.
All parties involved are aware of service, cost and Semua pihak yang terlibat menyadari ekspektasi DS2.4.7 milestone expectations. layanan, biaya dan tonggak. Agreed‐upon goals and metrics for the oversight Disepakati tujuan dan metrik untuk mengawasi DS2.4.8 of service providers exist. penyedia layanan yang ada. Contracts signed with third parties are reviewed DS2.5.1 periodically at predefined intervals.
Kontrak yang ditandatangani dengan pihak ketiga tersebut ditinjau secara berkala pada interval yang telah ditentukan.
The responsibility for managing suppliers and the Tanggung jawab untuk mengelola pemasok dan kualitas layanan yang diberikan telah ditetapkan. DS2.5.2 quality of the services provided is assigned.
Evidence of contract compliance to operational, DS2.5.3 legal and control provisions is monitored, and corrective action is enforced.
Bukti kepatuhan kontrak dengan ketentuan operasional, hukum dan kontrol dimonitor, dan tindakan korektif diberlakukan.
The third party is subject to independent periodic Pihak ketiga secara independen akan dilakukan review, and feedback on performance is provided peninjauan berkala , dan umpan balik pada DS2.5.4 and used to improve service delivery. kinerja disediakan dan digunakan untuk meningkatkan layanan. Measurements vary in response to changing DS2.5.5 business conditions.
Pengukuran bervariasi dalam respon terhadap perubahan kondisi bisnis.
Measures support early detection of potential DS2.5.6 problems with third‐party services.
Tindakan mendukung deteksi dini potensi masalah dengan layanan pihak ketiga.
Comprehensive, defined reporting of service level Komprehensif, pelaporan didefinisikan sebagai prestasi tingkat layanan dikaitkan dengan DS2.5.7 achievement is linked to the third‐party compensation. kompensasi pihak ketiga. Management adjusts the process of third‐party DS2.5.8 service acquisition and monitoring based on the measurers.
Manajemen menyesuaikan proses akuisisi layanan pihak ketiga dan pemantauan berdasarkan pengukuran.
, pengelolaan hubungan suplier, pengelolaan r.
Ya
Y/R
Ragu
T/R
Tidak
DS3 - Manage Performance and Capacity
Deskripsi
Pengelolaan kinerja dan kapasitas mencakup, perencanaan kinerja dan kapasitas, kinerja dan kapasitas saat ini, k saat yang akan datang, ketersediaan sumber daya TI dan pemantauan dan pelaporan.
DS3 - Manage Performance and Capacity PERNYATAAN ID No. STATEMENT Management does not recognise that key Manajemen tidak menyadari bahwa proses bisnis business processes may require high levels of utama mungkin memerlukan tingkat kinerja yang performance from IT or that the overall tinggi dari TI atau kebutuhan bisnis secara DS3.0.1 business need for IT services may exceed capacity. keseluruhan untuk layanan TI dapat melebihi kapasitas. DS3.0.2
There is no capacity planning process in place.
Tidak ada proses perencanaan kapasitas di tempat.
Users devise workarounds for performance and DS3.1.1 capacity constraints.
Pengguna merancang workarounds untuk kinerja dan kendala kapasitas.
There is very little appreciation of the need for DS3.1.2 capacity and performance planning by the owners of the business processes.
Ada sangat sedikit apresiasi terhadap kebutuhan kapasitas dan perencanaan kinerja oleh pemilik proses bisnis.
Action taken toward managing performance and Tindakan yang dilakukan terhadap pengelolaan DS3.1.3 capacity is typically reactive. kinerja dan kapasitas biasanya reaktif. The process for planning capacity and DS3.1.4 performance is informal.
Proses perencanaan kapasitas dan kinerja adalah informal.
The understanding of current and future capacity Pemahaman kapasitas saat ini dan masa depan dan kinerja sumber daya TI adalah terbatas. DS3.1.5 and performance of IT resources is limited.
Business and IT management are aware of the DS3.2.1 impact of not managing performance and capacity.
Bisnis dan manajemen TI menyadari dampak dari tidak mengelola kinerja dan kapasitas.
Performance needs are generally met based on DS3.2.2 assessments of individual systems and the knowledge of support and project teams.
Kebutuhan kinerja umumnya dipenuhi berdasarkan penilaian sistem individu dan dukungan pengetahuan dan tim proyek.
Some individual tools may be used to diagnose performance and capacity problems, but the DS3.2.3 consistency of results is dependent on the expertise of key individuals.
Beberapa alat individu dapat digunakan untuk mendiagnosa kinerja dan masalah kapasitas , tapi konsistensi hasil tergantung pada keahlian kunci individu .
There is no overall assessment of the IT DS3.2.4 performance capability or consideration of peak and worst-case loading situations.
Tidak ada penilaian secara keseluruhan dari kemampuan kinerja IT atau pertimbangan puncak dan situasi terburuk pemuatan.
Availability problems are likely to occur in an unexpected and random fashion and take DS3.2.5 considerable time to diagnose and correct.
Ketersediaan masalah yang mungkin terjadi dengan cara yang tak terduga dan acak dan memakan waktu yang cukup untuk mendiagnosa dan koreksi.
Any performance measurement is based primarily Setiap pengukuran kinerja didasarkan terutama pada kebutuhan TI dan bukan pada kebutuhan DS3.2.6 on IT needs and not on customer needs. pelanggan. Performance and capacity requirements are DS3.3.1 defined throughout the system life cycle.
Kinerja dan persyaratan kapasitas ditetapkan di seluruh siklus hidup sistem.
There are defined service level requirements DS3.3.2 and metrics that can be used to measure operational performance.
Terdapat pendefinisian persyaratan tingkat layanan dan metrik yang dapat digunakan untuk mengukur kinerja operasional.
Future performance and capacity requirements DS3.3.3 are modelled following a defined process.
Kinerja dan kebutuhan kapasitas masa depan dimodelkan mengikuti proses yang ditetapkan.
Reports are produced giving performance DS3.3.4 statistics.
Laporan yang dihasilkan memberikan statistik kinerja.
Performance- and capacity-related problems are Kinerja dan masalah kapasitas yang terkait masih mungkin terjadi dan memakan waktu dilakukan DS3.3.5 still likely to occur and be time-consuming to correct. perbaikan. Despite published service levels, users and DS3.3.6 customers may feel sceptical about the service capability.
Meskipun tingkat layanan diterbitkan, pengguna dan pelanggan mungkin merasa skeptis tentang kemampuan layanan.
Processes and tools are available to measure system usage, performance and capacity, and DS3.4.1 results are compared to defined goals.
Proses dan alat yang tersedia untuk mengukur penggunaan sistem, kinerja dan kapasitas, dan hasilnya dibandingkan dengan tujuan yang ditetapkan.
Up-to-date information is available, giving standardised performance statistics and alerting DS3.4.2 incidents caused by insufficient performance and capacity.
Up-to-date informasi tersedia, memberikan statistik kinerja standar dan mengingatkan penyebab insiden karena tidak mencukupinya kinerja dan kapasitas.
Insufficient performance and capacity issues are Kinerja cukup dan masalah kapasitas ditangani DS3.4.3 dealt with according to defined and standardised sesuai dengan definisi dan prosedur standar. procedures. Automated tools are used to monitor specific DS3.4.4 resources, such as disk space, networks, servers and network gateways.
Alat otomatis digunakan untuk memantau sumber daya yang spesifik, seperti ruang disk, jaringan, server dan gateway jaringan.
Performance and capacity statistics are reported Kinerja dan statistik kapasitas dilaporkan dalam DS3.4.5 in business process terms, so users and customers syarat proses bisnis, sehingga pengguna dan understand IT service levels. pelanggan memahami tingkat layanan TI. Users feel generally satisfied with the current service capability and may demand new and DS3.4.6 improved availability levels.
Pengguna pada umumnya merasa puas dengan kemampuan layanan saat ini dan mungkin meminta tingkat ketersediaan yang baru dan lebih baik.
Metrics for measuring IT performance and DS3.4.7 capacity are agreed upon but may be only sporadically and inconsistently applied.
Metrik untuk mengukur kinerja dan kapasitas IT disepakati tetapi mungkin hanya secara sporadis dan penerapannya tidak konsisten.
The performance and capacity plans are fully Kinerja dan rencana kapasitas sepenuhnya synchronised with the business demand forecasts. disinkronkan dengan perkiraan permintaan DS3.5.1 bisnis. The IT infrastructure and business demand are subject to regular reviews to ensure that DS3.5.2 optimum capacity is achieved at the lowest possible cost.
Infrastruktur TI dan permintaan bisnis akan dikaji teratur untuk memastikan bahwa kapasitas optimum tercapai dengan biaya serendah mungkin.
Tools for monitoring critical IT resources are standardised and used across platforms and DS3.5.3 linked to an organisationwide incident management system.
Alat untuk memantau sumber daya kritis TI dibakukan dan digunakan di seluruh platform dan terkait dengan sistem manajemen insiden di seluruh organisasi.
Monitoring tools detect and can automatically Alat monitor mendeteksi dan bisa secara DS3.5.4 correct performance- and capacity-related issues. otomatis memperbaiki kinerja dan isu yang berhubungan dengan masalah kapasitas. Trend analysis is performed and shows imminent performance problems caused by increased business volumes, enabling planning and DS3.5.5 avoidance of unexpected issues.
Analisis Trend dilakukan dan segera menunjukkan masalah kinerja yang disebabkan oleh volume bisnis yang meningkat, memungkinkan perencanaan dan menghindari masalah-masalah yang tak terduga.
Metrics for measuring IT performance and capacity have been fine-tuned into outcome measures and performance indicators for all DS3.5.6 critical business processes and are consistently measured.
Metrik untuk mengukur kinerja dan kapasitas TI telah disesuaikan ke hasil ukuran dan indikator kinerja untuk semua proses bisnis kritis dan secara konsisten diukur.
Management adjusts the planning for DS3.5.7 performance and capacity following analysis of these measures.
Manajemen menyesuaikan perencanaan kinerja dan kapasitas analisis mengikuti pengukuranpengukuran ini.
a dan kapasitas saat ini, kinerja dan kapasitas tauan dan pelaporan.
Ya
Y/R
Ragu
T/R
Tidak
DS4 - Ensure Continuous Service
Deskripsi
Memastikan layanan berkelanjutan yang mencakup, kerangka kerja TI yang berkelanjutan, perencanaan TI yang berkelanjutan, sumber daya perencanaan TI yang berkelanjutan, pengujian dari perencanaan TI berkelanjutan, Pelatihan perencanaan TI berkelanjutan, pendistribusi berkelanjutan, pemulihan dan pengaktifan kembali layanan TI, penyimpanan cadangan di luar dan peninjauan kembali pasca pengaktif
DS4 - Ensure Continuous Service PERNYATAAN ID No. STATEMENT There is no understanding of the risks, Tidak ada pemahaman tentang risiko, kerentanan vulnerabilities and threats to IT operations or the dan ancaman terhadap operasi TI atau dampak DS4.0.1 impact of loss of IT services to the business. dari hilangnya layanan TI bagi bisnis. Service continuity is not considered to need DS4.0.2 management attention.
Kelangsungan pelayanan tidak dianggap membutuhkan perhatian manajemen.
Responsibilities for continuous service are informal, and the authority to execute DS4.1.1 responsibilities is limited.
Tanggung jawab untuk pelayanan yang berkesinambungan adalah informal, dan kewenangan untuk melaksanakan tanggung jawab terbatas.
Management is becoming aware of the risks DS4.1.2 related to and the need for continuous service.
Manajemen menjadi sadar akan risiko yang terkait dengan dan kebutuhan untuk pelayanan yang berkesinambungan.
The focus of management attention on Fokus perhatian manajemen pada layanan terus DS4.1.3 continuous service is on infrastructure resources, menerus pada sumber daya infrastruktur, rather than on the IT services. dibanding dengan layanan TI. Users implement workarounds in response to DS4.1.4 disruptions of services.
Pengguna menerapkan workarounds sebagai respon dalam menanggapi gangguan pelayanan.
The response of IT to major disruptions is reactive Respon gangguan utama TI adalah reaktif dan DS4.1.5 and unprepared. tidak dipersiapkan. Planned outages are scheduled to meet IT needs Penghentian dalam pekerjaaan yang but do not consider business requirements. direncanakan dijadwalkan untuk memenuhi kebutuhan IT tetapi tidak mempertimbangkan DS4.1.6 kebutuhan bisnis.
Responsibility for ensuring continuous service is DS4.2.1 assigned.
Tanggung jawab untuk memastikan pelayanan yang berkesinambungan diberikan.
The approaches to ensuring continuous service DS4.2.2 are fragmented.
Pendekatan untuk memastikan pelayanan yang berkesinambungan terfragmentasi.
Reporting on system availability is sporadic, may Pelaporan ketersediaan sistem sifatnya sporadis, DS4.2.3 be incomplete and does not take business impact mungkin tidak lengkap dan tidak mengambil into account. dampak bisnis ke rekening.
There is no documented IT continuity plan, although there is commitment to continuous DS4.2.4 service availability and its major principles are known.
Tidak ada rencana kesinambungan TI didokumentasikan, meskipun ada komitmen untuk ketersediaan layanan secara kontinu dan prinsip-prinsip utama diketahui.
An inventory of critical systems and components Inventarisasi sistem kritis dan komponen ada, DS4.2.5 exists, but it may not be reliable. tetapi mungkin tidak dapat diandalkan. Continuous service practices are emerging, but DS4.2.6 success relies on individuals.
Praktek pelayanan yang berkesinambungan muncul, tetapi sukses bergantung pada individu.
Accountability for the management of continuous Akuntabilitas pengelolaan layanan secara kontinu DS4.3.1 service is unambiguous. adalah jelas. Responsibilities for continuous service planning DS4.3.2 and testing are clearly defined and assigned.
Tanggung jawab untuk perencanaan layanan secara kontinu dan pengujian secara jelas didefinisikan dan ditugaskan.
The IT continuity plan is documented and based DS4.3.3 on system criticality and business impact.
Rencana kesinambungan TI didokumentasikan dan berdasarkan sistem kekritisan dan dampak bisnis.
There is periodic reporting of continuous service DS4.3.4 testing.
Ada laporan periodik pengujian layanan secara kontinu.
Individuals take the initiative for following DS4.3.5 standards and receiving training to deal with major incidents or a disaster.
Individu mengambil inisiatif untuk mengikuti standar dan menerima pelatihan untuk menangani insiden besar atau bencana.
Management communicates consistently the need to plan for ensuring continuous service. DS4.3.6
Manajemen berkomunikasi secara konsisten untuk merencanakan kebutuhan untuk memastikan pelayanan yang berkesinambungan.
High-availability components and system DS4.3.7 redundancy are being applied.
Komponen ketersediaan tinggi dan redundansi sistem sedang diterapkan.
An inventory of critical systems and components Inventarisasi sistem kritis dan komponen DS4.3.8 is maintained. dipertahankan. Responsibilities and standards for continuous DS4.4.1 service are enforced.
Tanggung jawab dan standar pelayanan yang berkesinambungan ditegakkan.
The responsibility to maintain the continuous DS4.4.2 service plan is assigned.
Tanggung jawab untuk mempertahankan rencana layanan secara kontinu diberikan.
Maintenance activities are based on the results of continuous service testing, internal good DS4.4.3 practices, and the changing IT and business environment.
Kegiatan pemeliharaan didasarkan pada hasil pengujian terus menerus layanan, good practise internal dan dan berubahnya lingkungan bisnis dan TI.
Structured data about continuous service are DS4.4.4 being gathered, analysed, reported and acted upon.
Data terstruktur tentang layanan berkelanjutan sedang dikumpulkan, dianalisis, dilaporkan dan ditindaklanjuti .
Formal and mandatory training is provided on DS4.4.5 continuous service processes.
Pelatihan formal dan wajib disediakan pada proses pelayanan yang berkesinambungan.
System availability good practices are being DS4.4.6 consistently deployed.
Sistem ketersediaan praktek yang baik sedang konsisten dikerahkan.
Availability practices and continuous service DS4.4.7 planning influence each other.
Ketersediaan pelatihan dan perencanaan layanan secara kontinu mempengaruhi satu sama lain.
Discontinuity incidents are classified, and the Insiden diskontinuitas diklasifikasikan, dan increasing escalation path for each is well known meningkatnya eskalasi jalan untuk masing-masing DS4.4.8 to all involved. sudah diketahui untuk semua yang terlibat. Goals and metrics for continuous service have DS4.4.9 been developed and agreed upon but may be inconsistently measured.
Tujuan dan metrik untuk layanan secara kontinu telah dikembangkan dan disepakati tetapi mungkin tidak konsisten diukur.
Integrated continuous service processes take into Proses pelayanan yang berkesinambungan yang terintegrasi memperhitungkan akun DS4.5.1 account benchmarking and best external practices. benchmarking dan best external practices. The IT continuity plan is integrated with the DS4.5.2 business continuity plans and is routinely maintained.
Rencana kesinambungan TI terintegrasi dengan rencana kesinambungan bisnis dan secara rutin dipertahankan.
The requirement for ensuring continuous service Persyaratan untuk memastikan pelayanan yang berkesinambungan dijamin dari vendor dan DS4.5.3 is secured from vendors and major suppliers. pemasok utama. Global testing of the IT continuity plan occurs, DS4.5.4 and test results are input for updating the plan.
Pengujian global dari rencana kesinambungan TI terjadi, dan hasil tes adalah masukan untuk memperbarui rencana.
The gathering and analysis of data are used for DS4.5.5 continuous improvement of the process.
Pengumpulan dan analisis data yang digunakan untuk perbaikan terus-menerus dari proses.
Availability practices and continuous service DS4.5.6 planning are fully aligned.
Ketersediaan praktek dan perencanaan layanan secara kontinu sepenuhnya selaras.
Management ensures that a disaster or major Manajemen memastikan bahwa bencana atau incident will not occur as a result of a single point kejadian besar tidak akan terjadi sebagai akibat DS4.5.7 of failure. dari satu titik kegagalan. Escalation practices are understood and DS4.5.8 thoroughly enforced.
Praktek Eskalasi dipahami dan benar-benar ditegakkan.
Goals and metrics on continuous service DS4.5.9 achievement are measured in a systematic fashion.
Tujuan dan metrik pada pencapaian layanan secara kontinu diukur dengan cara yang sistematis.
Management adjusts the planning for continuous Manajemen menyesuaikan perencanaan untuk layanan berkelanjutan dalam menanggapi DS4.5.10 service in response to the measures. tindakan.
ng berkelanjutan, sumber daya TI kritikal, perawatan dari TI berkelanjutan, pendistribusian dari perencanaan TI njauan kembali pasca pengaktifan kembali layanan.
Ya
Y/R
Ragu
T/R
Tidak
DS5 - Ensure Systems Security
Deskripsi
Memastikan sistem keamanan mencakup, pengelolaan keamanan TI, perencanaan keamanan TI, Pengelolaan identitas, pengelolaan aku keamanan, pengawasan dan pemantauan, mendefinisikan insiden keamanan, perlindungan terhadap tehnologi keamanan, pengelolaan perlindungan, pendeteksian dan perbaikan terhadap software tidak dikenal, keamanan jaringan dan pertukaran data se
DS5 - Ensure Systems Security PERNYATAAN ID No. STATEMENT The organisation does not recognise the need for Organisasi tidak menyadari kebutuhan untuk DS5.0.1 IT security. keamanan IT. Responsibilities and accountabilities are not DS5.0.2 assigned for ensuring security.
Tanggung jawab dan akuntabilitas tidak ditugaskan untuk memastikan keamanan.
Measures supporting the management of IT DS5.0.3 security are not implemented.
Mengukur dukungan manajemen terhadap keamanan TI tidak diimplementasikan.
There is no IT security reporting and no response Tidak ada laporan keamanan TI dan tidak ada DS5.0.4 process for IT security breaches. proses respon untuk pelanggaran keamanan IT. There is a complete lack of a recognisable system Ada banyak kekurangan dalam proses DS5.0.5 security administration process. pengenalan sistem keamanan. The organisation recognises the need for IT DS5.1.1 security.
Organisasi menyadari kebutuhan dari keamanan TI
Awareness of the need for security depends DS5.1.2 primarily on the individual.
Kesadaran terhadap kebutuhan keamanan terutama bergantung pada individu.
DS5.1.3 IT security is addressed on a reactive basis. DS5.1.4 IT security is not measured. Detected IT security breaches invoke finger‐ DS5.1.5 pointing responses, because responsibilities are unclear.
Keamanan TI ditujukan secara reaktif Keamanan TI tidak diukur Pelanggaran keamanan yang terdeteksi harus ditunjuk, karena tanggung jawab yang tidak jelas.
Responses to IT security breaches are DS5.1.6 unpredictable.
Respon untuk pelanggaran keamanan TI tidak bisa diprediksi.
Responsibilities and accountabilities for IT security are assigned to an IT security co‐ DS5.2.1 ordinator, although the management authority of the co‐ordinator is limited.
Tanggung jawab dan akuntabilitas untuk keamanan IT ditugaskan ke keamanan IT coordinator, meskipun kewenangan pengelolaan co-ordinator terbatas.
Awareness of the need for security is fragmented Kesadaran akan kebutuhan untuk keamanan DS5.2.2 and limited. terfragmentasi dan terbatas. Although security‐relevant information is DS5.2.3 produced by systems, it is not analysed.
Meskipun informasi yang relevan keamanan diproduksi oleh sistem, namun tidak dianalisis.
Services from third parties may not address the DS5.2.4 specific security needs of the organisation.
Layanan dari pihak ketiga mungkin tidak memenuhi kebutuhan keamanan spesifik dari organisasi.
Security policies are being developed, but skills DS5.2.5 and tools are inadequate.
Kebijakan keamanan sedang dikembangkan, tetapi keterampilan dan alat-alat tidak memadai.
IT security reporting is incomplete, misleading or Pelaporan keamanan TI tidak lengkap, DS5.2.6 not pertinent. menyesatkan atau tidak relevan. Security training is available but is undertaken DS5.2.7 primarily at the initiative of the individual.
Pelatihan keamanan tersedia tetapi dilakukan terutama atas inisiatif individu.
IT security is seen primarily as the responsibility Keamanan IT dipandang terutama sebagai DS5.2.8 and domain of IT and the business does not see IT tanggung jawab dan domain TI dan bisnis tidak security as within its domain. melihat keamanan TI dalam domainnya. Security awareness exists and is promoted by DS5.3.1 management.
Kesadaran keamanan ada dan dipromosikan oleh manajemen.
IT security procedures are defined and aligned DS5.3.2 with IT security policy.
Prosedur keamanan IT didefinisikan dan selaras dengan kebijakan keamanan IT.
Responsibilities for IT security are assigned and DS5.3.3 understood, but not consistently enforced.
Tanggung jawab untuk keamanan IT ditugaskan dan dipahami, tetapi tidak konsisten ditegakkan.
An IT security plan and security solutions exist as Sebuah rencana keamanan TI dan solusi DS5.3.4 driven by risk analysis. keamanan ada didorong oleh analisis risiko. Reporting on security does not contain a clear DS5.3.5 business focus.
Pelaporan keamanan tidak mengandung fokus bisnis yang jelas.
Ad hoc security testing (e.g., intrusion testing) is DS5.3.6 performed.
Dilakukan Ad hoc pengujian keamanan (misalnya, pengujian intrusi).
Security training is available for IT and the DS5.3.7 business, but is only informally scheduled and managed.
Pelatihan keamanan tersedia untuk IT dan bisnis, tetapi dijadwalkan dan dikelola hanya secara informal .
Responsibilities for IT security are clearly DS5.4.1 assigned, managed and enforced.
Tanggung jawab untuk keamanan IT ditugaskan secara jelas, dikelola dan ditegakkan.
IT security risk and impact analysis is consistently Resiko keamanan IT dan analisis dampak secara DS5.4.2 performed. konsisten dilakukan. Security policies and procedures are completed DS5.4.3 with specific security baselines.
Kebijakan dan prosedur keamanan dilengkapi dengan baseline keamanan tertentu.
Exposure to methods for promoting security DS5.4.4 awareness is mandatory.
Paparan metode untuk mempromosikan kesadaran keamanan adalah wajib.
User identification, authentication and DS5.4.5 authorisation are standardised.
Identifikasi pengguna, otentikasi dan otorisasi dibakukan.
Security certification is pursued for staff members Sertifikasi keamanan diberikan untuk anggota staf yang bertanggung jawab untuk audit dan DS5.4.6 who are responsible for the audit and management of security. manajemen keamanan. Security testing is completed using standard and Keamanan pengujian selesai menggunakan DS5.4.7 formalised processes, leading to improvements of proses standar dan diformalkan, yang mengarah security levels. ke perbaikan tingkat keamanan. IT security processes are co‐ordinated with an DS5.4.8 overall organisation security function.
Proses keamanan TI dikoordinasikan dengan fungsi keamanan organisasi secara keseluruhan.
IT security reporting is linked to business DS5.4.9 objectives.
Pelaporan keamanan TI terkait dengan tujuan bisnis.
IT security training is conducted in both the DS5.4.10 business and IT.
Pelatihan keamanan TI dilakukan baik dalam bisnis dan TI.
IT security training is planned and managed in a manner that responds to business needs and DS5.4.11 defined security risk profiles.
Pelatihan keamanan TI direncanakan dan dikelola dengan cara yang tanggap terhadap kebutuhan bisnis dan profil resiko keamanan yang ditetapkan.
Goals and metrics for security management have Tujuan dan metrik untuk manajemen keamanan DS5.4.12 been defined but are not yet measured. telah didefinisikan tetapi belum diukur. IT security is a joint responsibility of business and Keamanan TI adalah tanggung jawab bersama DS5.5.1 IT management and is integrated with corporate bisnis dan manajemen TI dan terintegrasi dengan security business objectives. tujuan bisnis keamanan perusahaan. IT security requirements are clearly defined, DS5.5.2 optimised and included in an approved security plan.
Persyaratan keamanan TI didefinisikan dengan jelas, dioptimalkan dan termasuk dalam rencana keamanan yang disetujui.
Users and customers are increasingly accountable for defining security requirements, and security DS5.5.3 functions are integrated with applications at the design stage.
Pengguna dan pelanggan semakin bertanggung jawab untuk mendefinisikan persyaratan keamanan, dan fungsi keamanan yang terintegrasi dengan aplikasi pada tahap desain.
Security incidents are promptly addressed with DS5.5.4 formalised incident response procedures supported by automated tools.
Insiden keamanan yang segera ditangani dengan prosedur penanganan insiden formal didukung oleh alat otomatis.
Periodic security assessments are conducted to Penilaian keamanan periodik dilakukan untuk evaluate the effectiveness of the implementation mengevaluasi efektivitas pelaksanaan rencana DS5.5.5 of the security plan. keamanan. Information on threats and vulnerabilities is DS5.5.6 systematically collected and analysed.
Informasi tentang ancaman dan kerentanan secara sistematis dikumpulkan dan dianalisis.
Adequate controls to mitigate risks are promptly Kontrol yang memadai untuk memitigasi resiko dikomunikasikan dan diimplementasikan secara DS5.5.7 communicated and implemented. tepat
DS5.5.8 Security testing, root cause analysis of security incidents and proactive identification of risk are used for continuous process improvements. DS5.5.9 Security processes and technologies are integrated organisationwide.
Pengujian Keamanan, analisis akar penyebab insiden keamanan dan identifikasi proaktif risiko digunakan untuk perbaikan proses yang berkesinambungan. Proses keamanan dan teknologi yang organisationwide terintegrasi.
DS5.5.10 Metrics for security management are measured, Metrik untuk manajemen keamanan diukur, dikumpulkan dan dikomunikasikan. collected and communicated. Management uses these measures to adjust the DS5.5.11 security plan in a continuous improvement process.
Manajemen menggunakan langkah-langkah ini untuk menyesuaikan rencana keamanan dalam proses perbaikan terus-menerus.
aan identitas, pengelolaan akun pengguna, pengujian hnologi keamanan, pengelolaan kunci Cryptographic, ringan dan pertukaran data sensitif.
Ya
Y/R
Ragu
T/R
Tidak
DS6 - Identify and Allocate Costs
Deskripsi
Identifikasi dan mengalokasikan biaya mencakup, pendefinisaian layanan, akuntansi TI, pengisian dan biaya pemod model biaya.
DS6 - Identify and Allocate Costs PERNYATAAN ID No. STATEMENT There is a complete lack of any recognisable Terdapat seluruh kekurangan dari setiap proses process for identifying and allocating costs with yang dikenali untuk mengidentifikasi dan DS6.0.1 respect to information services provided. mengalokasikan biaya sehubungan dengan layanan informasi yang diberikan. The organisation does not even recognise that there is an issue to be addressed with respect to DS6.0.2 cost accounting, and there is no communication about the issue.
Organisasi bahkan tidak menyadari bahwa ada masalah yang harus diatasi sehubungan dengan akuntansi biaya, dan tidak ada komunikasi tentang masalah ini.
There is a general understanding of the overall costs for information services, but there is no breakdown of costs per user, customer, DS6.1.1 department, groups of users, service functions, projects or deliverables.
Ada pemahaman umum tentang biaya keseluruhan untuk layanan informasi, tetapi tidak ada rincian biaya per pengguna, pelanggan, departemen, kelompok pengguna, fungsi layanan, proyek atau kiriman.
There is virtually no cost monitoring, with only DS6.1.2 aggregate cost reporting to management.
Hampir tidak ada pemantauan biaya, hanya ada pelaporan biaya agregat kepada manajemen.
DS6.1.3
IT costs are allocated as an operational overhead. Biaya TI dialokasikan sebagai overhead operasional.
Business is provided with no information on the DS6.1.4 cost or benefits of service provision.
Bisnis disediakan dengan tidak ada informasi mengenai biaya atau manfaat dari penyediaan layanan.
There is overall awareness of the need to identify Ada kesadaran keseluruhan kebutuhan untuk DS6.2.1 and allocate costs. mengidentifikasi dan mengalokasikan biaya. Cost allocation is based on informal or rudimentary cost assumptions, e.g., hardware DS6.2.2 costs, and there is virtually no linking to value drivers.
Alokasi biaya didasarkan padaa asumsi biaya yang belum sempurna dan tidak resmi, misalnya, biaya perangkat keras, dan hampir tidak ada link untuk menilai driver.
DS6.2.3 Cost allocation processes are repeatable. There is no formal training or communication on DS6.2.4 standard cost identification and allocation procedures.
Proses alokasi biaya yang berulang. Tidak ada pelatihan formal atau komunikasi terhadap identifikasi biaya standar dan prosedur alokasi.
Responsibility for the collection or allocation of DS6.2.5 costs is not assigned.
Tidak ada penugasan terhadap tanggung jawab untuk koleksi atau alokasi biaya.
There is a defined and documented information DS6.3.1 services cost model.
Terdapat pendefinisian dan dokumentasi model biaya layanan informasi.
A process for relating IT costs to the services DS6.3.2 provided to users is defined.
Ada pendefinisian sebuah proses untuk menghubungkan biaya TI untuk layanan yang diberikan kepada pengguna.
An appropriate level of awareness exists DS6.3.3 regarding the costs attributable to information services.
Terdapat tingkat kesesuaian dari kesadaran berkaitan dengan biaya atribut ke layanan informasi.
The business is provided with rudimentary DS6.3.4 information on costs.
Bisnis ini dilengkapi dengan informasi biaya yang belum sempurna.
Information services cost management responsibilities and accountabilities are defined DS6.4.1 and fully understood at all levels and are supported by formal training.
Tanggung jawab manajemen biaya jasa informasi dan akuntabilitas didefinisikan dan dipahami secara penuh pada semua tingkatan dan didukung oleh pelatihan formal.
Direct and indirect costs are identified and Biaya langsung dan tidak langsung diidentifikasi reported in a timely and automated manner to dan dilaporkan secara tepat waktu dan secara DS6.4.2 management, business process owners and users. otomatis untuk manajemen, pemilik proses bisnis dan pengguna. Generally, there is cost monitoring and DS6.4.3 evaluation, and actions are taken if cost deviations are detected.
Secara umum, ada monitoring dan evaluasi biaya, dan tindakan yang diambil jika terjadi penyimpangan biaya dapat terdeteksi.
Information services cost reporting is linked to Pelaporan biaya layanan informasi terkait dengan business objectives and SLAs and is monitored by tujuan bisnis dan SLA dan dipantau oleh pemilik DS6.4.4 business process owners. proses bisnis. A finance function reviews the reasonableness of Fungsi keuangan mengkaji kewajaran proses DS6.4.5 the cost allocation process. alokasi biaya. An automated cost accounting system exists, but Sistem akuntansi biaya otomatis ada, tetapi difokuskan pada fungsi pelayanan informasi DS6.4.6 is focused on the information services function rather than on business processes. dibanding dengan pada proses bisnis. Goals and metrics are agreed to for cost DS6.4.7 measurement but are inconsistently measured.
Tujuan dan metrik disepakati untuk pengukuran biaya tetapi tidak konsisten diukur.
Costs of services provided are identified, captured, summarised and reported to DS6.5.1 management, business process owners and users.
Biaya layanan yang diberikan diidentifikasi, ditangkap, dirangkum dan dilaporkan kepada manajemen, pemilik proses bisnis dan pengguna.
Costs are identified as chargeable items and could Biaya diidentifikasi sebagai barang dikenakan support a chargeback system that appropriately biaya dan dapat mendukung sistem chargeback DS6.5.2 bills users for services provided, based on dimana tagihan pengguna sesuai untuk layanan utilisation. yang diberikan, berdasarkan utilisasi. Rincian biaya mendukung SLA. DS6.5.3 Cost details support SLAs. The monitoring and evaluation of costs of services Pemantauan dan evaluasi biaya layanan digunakan untuk mengoptimalkan biaya sumber DS6.5.4 are used to optimise the cost of IT resources. daya TI.
Cost figures obtained are used to verify benefit DS6.5.5 realisation in the organisation’s budgeting process.
Angka biaya yang diperoleh digunakan untuk memverifikasi realisasi manfaat dalam proses penganggaran organisasi.
Information services cost reporting provides early Pelaporan biaya layanan informasi menyediakan warning of changing business requirements peringatan dini terhadap perubahan kebutuhan DS6.5.6 through intelligent reporting systems. bisnis melalui sistem pelaporan cerdas. A variable cost model is utilised, derived from DS6.5.7 volumes processed for each service provided.
Sebuah model biaya variabel digunakan, berasal dari proses volume untuk setiap layanan yang disediakan.
Cost management is refined to a level of industry practice, based on the result of continuous DS6.5.8 improvement and benchmarking with other organisations.
Biaya manajemen disempurnakan untuk praktek tingkat industri, berdasarkan hasil dari perbaikan terus-menerus dan benchmarking dengan organisasi lain.
DS6.5.9
Cost optimisation is an ongoing process.
Management reviews goals and metrics as part of a continuous improvement process in DS6.5.10 redesigning cost measurement systems.
Optimalisasi biaya adalah proses yang berkelanjutan. Manajemen mereview tujuan dan metrik sebagai bagian dari proses perbaikan terus-menerus dalam mendesain ulang sistem pengukuran biaya.
engisian dan biaya pemodelan dan perawatan
Ya
Y/R
Ragu
T/R
Tidak
DS7 - Educate and Train Users
Deskripsi
Mendidik dan Melatih Pengguna mencakup, pengidentifikasian kebutuhan pendidikan dan pelatihan bagi peng pelatihan dan pendidikan dan melakukan evaluasi dari pelatihan yang diterima.
ID No.
STATEMENT There is a complete lack of a training and DS7.0.1 education programme.
DS7 - Educate and Train Users PERNYATAAN Ada kurangnya lengkap program pelatihan dan pendidikan.
The organisation does not even recognise that there is an issue to be addressed with respect to DS7.0.2 training, and there is no communication on the issue.
Organisasi bahkan tidak menyadari bahwa ada masalah yang harus diatasi sehubungan dengan pelatihan, dan tidak ada komunikasi tentang masalah ini.
There is evidence that the organisation has Ada bukti bahwa organisasi telah menyadari recognised the need for a training and education kebutuhan untuk pelatihan dan program DS7.1.1 programme, but there are no standardised pendidikan, tetapi tidak ada proses standar. processes. In the absence of an organised programme, Dengan tidak adanya suatu program yang employees identify and attend training courses on terorganisir, karyawan mengidentifikasi dan DS7.1.2 their own. mengikuti kursus pelatihan dengan kemauan mereka sendiri. Some of these training courses address the issues Beberapa program pelatihan ini mengatasi DS7.1.3 of ethical conduct, system security awareness and masalah kode etik, kesadaran keamanan sistem security practices. dan praktik keamanan. The overall management approach lacks any cohesion, and there is only sporadic and inconsistent communication on issues and DS7.1.4 approaches to address training and education.
Pendekatan manajemen secara keseluruhan tidak memiliki kohesi apapun, dan hanya ada sporadis dan tidak konsistennya komunikasi tentang isuisu dan pendekatan untuk mengatasi pelatihan dan pendidikan.
There is awareness of the need for a training and Ada kesadaran akan kebutuhan untuk pelatihan dan program pendidikan dan untuk proses yang DS7.2.1 education programme and for associated processes throughout the organisation. terkait di seluruh organisasi. Training is beginning to be identified in the DS7.2.2 individual performance plans of employees.
Pelatihan mulai diidentifikasi dalam rencana kinerja individu karyawan.
Processes are developed to the stage where informal training and education classes are taught by different instructors, whilst covering DS7.2.3 the same subject matter with different approaches.
Proses dikembangkan ke tahap di mana pelatihan dan pendidikan kelas informal diajarkan oleh instruktur yang berbeda, sementara yang mencakup materi pelajaran sama dengan pendekatan yang berbeda.
Some of the classes address the issues of ethical DS7.2.4 conduct and system security awareness and practices.
Beberapa kelas mengatasi masalah perilaku etis dan kesadaran keamanan sistem dan praktek.
There is high reliance on the knowledge of DS7.2.5 individuals.
Ada ketergantungan yang tinggi pada pengetahuan individu.
However, there is consistent communication on DS7.2.6 the overall issues and the need to address them.
Namun, ada komunikasi yang konsisten pada isuisu secara keseluruhan dan kebutuhan untuk mengatasi mereka.
A training and education programme is instituted Program pelatihan dan pendidikan dilembagakan and communicated, and employees and dan dikomunikasikan, dan karyawan dan manajer DS7.3.1 managers identify and document training needs. mengidentifikasi dan mendokumentasikan kebutuhan pelatihan . Training and education processes are DS7.3.2 standardised and documented.
Proses pelatihan dan pendidikan dibakukan dan didokumentasikan.
Budgets, resources, facilities and trainers are DS7.3.3 being established to support the training and education programme.
Anggaran, sumber daya, fasilitas dan pelatih sedang dibentuk untuk mendukung program pelatihan dan pendidikan.
Formal classes are given to employees on ethical Kelas formal diberikan kepada karyawan pada perilaku etis dan kesadaran terhadap keamanan DS7.3.4 conduct and system security awareness and practices. sistem dan praktek. Most training and education processes are DS7.3.5 monitored, but not all deviations are likely to be detected by management.
Sebagian besar proses pelatihan dan pendidikan dipantau, tetapi tidak semua penyimpangan mungkin terdeteksi oleh manajemen.
Analysis of training and education problems is DS7.3.6 only occasionally applied.
Analisis terhadap masalah pelatihan dan pendidikan hanya terkadang diterapkan.
There is a comprehensive training and education Ada program pelatihan dan pendidikan yang komprehensif yang menghasilkan hasil yang DS7.4.1 programme that yields measurable results. dapat diukur. Responsibilities are clear, and process ownership Tanggung jawab jelas, dan kepemilikan proses DS7.4.2 is established. didirikan. Training and education are components of DS7.4.3 employee career paths.
Pelatihan dan pendidikan merupakan komponen dari jalur karir karyawan.
Management supports and attends training and DS7.4.4 educational sessions.
Manajemen mendukung dan menghadiri sesi pelatihan dan pendidikan.
All employees receive ethical conduct and system Semua karyawan menerima perilaku etis dan DS7.4.5 security awareness training. pelatihan kesadaran keamanan sistem. All employees receive the appropriate level of system security practices training in protecting against harm from failures affecting availability, DS7.4.6 confidentiality and integrity.
Semua karyawan menerima tingkat yang tepat dari pelatihan praktik sistem keamanan dalam melindungi terhadap bahaya dari kegagalan yang mempengaruhi ketersediaan, kerahasiaan dan integritas.
Management monitors compliance by constantly Manajemen memonitor kepatuhan dengan terusmenerus meninjau dan memperbarui program DS7.4.7 reviewing and updating the training and education programme and processes. pelatihan dan pendidikan dan proses.
Processes are under improvement and enforce DS7.4.8 best internal practices.
Proses berada di bawah perbaikan dan menegakkan praktik internal yang terbaik.
Training and education result in an improvement Pelatihan dan pendidikan menghasilakn DS7.5.1 of individual performance. peningkatan dalam kinerja individu. Training and education are critical components of Pelatihan dan pendidikan merupakan komponen DS7.5.2 the employee career paths. penting dari jalur karir karyawan. Sufficient budgets, resources, facilities and instructors are provided for the training and DS7.5.3 education programmes.
Anggaran yang memadai, sumber daya, fasilitas dan instruktur disediakan untuk programprogram pelatihan dan pendidikan.
Processes are refined and are under continuous improvement, taking advantage of best external practices and maturity DS7.5.4 modelling with benchmarking against other organisations.
Proses yang diperhalus dan berada didalam perbaikan terus-menerus, mengambil keuntungan dari praktik terbaik eksternal dan pemodelan jatuh tempo dengan benchmarking terhadap organisasi lainnya.
All problems and deviations are analysed for root Semua masalah dan penyimpangan dianalisa akar causes, and efficient action is expediently penyebabnya, dan tindakan yang efisien segera DS7.5.5 identified and taken. diidentifikasi dan diambil. There is a positive attitude with respect to ethical Ada sikap positif terhadap perilaku dan sistem DS7.5.6 conduct and system security principles. keamanan prinsip-prinsip etika. IT is used in an extensive, integrated and TI digunakan secara luas, terintegrasi dan optimised manner to automate and provide tools dioptimalkan untuk mengotomatisasi dan DS7.5.7 for the training and education programme. menyediakan alat untuk pelatihan dan program pendidikan. External training experts are leveraged, and DS7.5.8 benchmarks are used for guidance.
Ada pengaruh dari ahli pelatihan eksternal, dan tolok ukur digunakan untuk memberi petunjuk.
n dan pelatihan bagi pengguna, pemberian han yang diterima.
Ya
Y/R
Ragu
T/R
Tidak
DS8 - Manage Service Desk and Incidents
Deskripsi
Mengelola service desk dan insiden mencakup, service desk, Pendaftaran Pertanyaan Pelanggan, eskalasi inside pelaporan dan analisa trend.
DS8 - Manage Service Desk and Incidents PERNYATAAN ID No. STATEMENT There is no support to resolve user questions and Tidak ada dukungan untuk menyelesaikan DS8.0.1 issues. pertanyaan-pertanyaan pengguna dan isu-isu. There is a complete lack of an incident DS8.0.2 management process.
Terdapat kekuranglengkapan proses manajemen insiden.
The organisation does not recognise that there is Organisasi tidak menyadari bahwa ada masalah DS8.0.3 an issue to be addressed. yang harus ditangani. Management recognises that a process supported by tools and personnel is required to DS8.1.1 respond to user queries and manage incident resolution.
Manajemen mengakui bahwa proses didukung oleh alat dan personel, diperlukan untuk menanggapi permintaan pengguna dan mengelola resolusi insiden.
No standardised process, and only reactive DS8.1.2 support is provided.
Tidak ada proses standar, dan hanya disediakan dukungan reaktif .
Management does not monitor user queries, DS8.1.3 incidents or trends.
Manajemen tidak memonitor permintaan pengguna, insiden atau tren.
There is no escalation process to ensure that DS8.1.4 problems are resolved.
Tidak ada proses eskalasi untuk memastikan bahwa masalah diselesaikan.
There is organisational awareness of the need for Ada kesadaran organisasi tentang perlunya fungsi service desk dan proses manajemen insiden. DS8.2.1 a service desk function and an incident management process. Assistance is available on an informal basis Bantuan tersedia secara informal melalui jaringan through a network of knowledgeable individuals. individu yang memiliki pengetahuan. DS8.2.2 These individuals have some common tools DS8.2.3 available to assist in incident resolution.
Individu ini memiliki beberapa alat umum yang tersedia untuk membantu dalam penyelesaian insiden.
There is no formal training and communication on Tidak ada pelatihan formal dan komunikasi pada DS8.2.4 standard procedures, and responsibility is left to prosedur standar, dan tanggung jawab the individual. diserahkan kepada individu. The need for a service desk function and incident Kebutuhan untuk fungsi service desk dan proses DS8.3.1 management process is recognised and accepted. manajemen insiden diakui dan diterima.
Procedures have been standardised and DS8.3.2 documented, and informal training is occurring.
Prosedur telah distandarisasi dan didokumentasikan, dan pelatihan informal dilakukan.
Frequently asked questions (FAQs) and user guidelines are developed, but individuals must DS8.3.3 find them and may not follow them.
Pertanyaan yang sering diajukan (FAQ) dan pedoman pengguna dikembangkan, tetapi individu harus mencari sendiri dan mungkin tidak mengerti.
Queries and incidents are tracked on a manual DS8.3.4 basis and individually monitored, but a formal reporting system does not exist.
Pertanyaan dan insiden dilacak secara manual dan secara individual dipantau, namun sistem pelaporan formal tidak ada.
The timely response to queries and incidents is DS8.3.5 not measured and incidents may go unresolved.
Tanggapan yang tepat terhadap pertanyaan dan insiden tidak diukur dan insiden dapat tidak terselesaikan.
Users have received clear communications on DS8.3.6 where and how to report on problems and incidents.
Pengguna telah menerima komunikasi yang jelas tentang di mana dan bagaimana untuk melaporkan masalah dan insiden.
There is a full understanding of the benefits of an incident management process at all levels of the organisation, and the service desk function is DS8.4.1 established in appropriate organisational units.
Ada pemahaman penuh tentang manfaat dari proses manajemen insiden di semua tingkatan organisasi, dan fungsi service desk didirikan pada unit organisasi yang tepat.
The tools and techniques are automated with a DS8.4.2 centralised knowledge base.
Alat dan teknik dilakukan secara otomatis dengan basis pengetahuan terpusat.
The service desk staff members closely interact DS8.4.3 with the problem management staff members.
Layanan anggota staf meja berinteraksi erat dengan anggota staf manajemen masalah.
The responsibilities are clear, and effectiveness is Tanggung jawab jelas, dan efektivitas dipantau. DS8.4.4 monitored. Procedures for communicating, escalating and DS8.4.5 resolving incidents are established and communicated.
Prosedur untuk berkomunikasi, eskalasi dan menyelesaikan insiden ditetapkan dan dikomunikasikan.
Service desk personnel are trained, and processes Personil service desk dilatih, dan prosesnya ditingkatkan melalui penggunaan software-tugas DS8.4.6 are improved through the use of task-specific software. tertentu. Management develops metrics for the DS8.4.7 performance of the service desk.
Manajemen mengembangkan metrik kinerja service desk.
The incident management process and service desk function are established and well organised and take on a customer service orientation by DS8.5.1 being knowledgeable, customer-focused and helpful.
Proses manajemen insiden dan layanan service desk ditetapkan dan terorganisasi dengan baik dan mengambil orientasi layanan pelanggan dengan memiliki pengetahuan, berfokus pada pelanggan dan suka membantu.
Metrics are systematically measured and DS8.5.2 reported.
Metrik secara sistematis diukur dan dilaporkan.
Extensive, comprehensive FAQs are an integral DS8.5.3 part of the knowledge base.
Secara luas, FAQ komprehensif merupakan bagian integral dari basis pengetahuan.
Tools are in place to enable a user to selfDS8.5.4 diagnose and resolve incidents.
Alat-alat berada di tempat untuk memungkinkan pengguna untuk mendiagnosa sendiri dan mengatasi insiden.
Advice is consistent, and incidents are resolved DS8.5.5 quickly within a structured escalation process.
Saran diberikan secara konsisten, dan insiden diselesaikan dengan cepat dalam proses eskalasi terstruktur.
Management utilises an integrated tool for performance statistics of the incident DS8.5.6 management process and the service desk function.
Manajemen menggunakan alat yang terintegrasi untuk statistik kinerja proses manajemen insiden dan fungsi service desk.
Processes have been refined to the level of best industry practices, based on the results of analysing performance indicators, continuous DS8.5.7 improvement and benchmarking with other organisations.
Proses telah disempurnakan ke tingkat praktik industri terbaik, berdasarkan hasil analisis indikator kinerja, perbaikan terus-menerus dan benchmarking dengan organisasi lain.
Pelanggan, eskalasi insiden, klosure insiden,
Ya
Y/R
Ragu
T/R
Tidak
DS9 - Manage the Configuration
Deskripsi
Mengelola konfigurasi mencakup, Konfigurasi Repositori dan Baseline, mengidentifikasi dan merawat item konfig kembali integritas dari konfigurasi.
DS9 - Manage the Configuration PERNYATAAN ID No. STATEMENT Management does not have an appreciation of Manajemen tidak memiliki apresiasi terhadap the benefits of having a process in place that is manfaat memiliki proses di tempat yang mampu capable of reporting on and managing the IT melaporkan dan mengelola infrastruktur TI, baik DS9.0.1 infrastructure, for either hardware or software untuk konfigurasi perangkat keras atau configurations. perangkat lunak.
The need for configuration management is DS9.1.1 recognised.
Kebutuhan untuk manajemen konfigurasi diakui.
Basic configuration management tasks, such as DS9.1.2 maintaining inventories of hardware and software, are performed on an individual basis.
Tugas manajemen konfigurasi dasar, seperti memelihara persediaan hardware dan software, dilakukan secara individual.
DS9.1.3 No standard practices are defined.
Tidak ada pendefinisian praktik standar.
Management is aware of the need for controlling the IT configuration and understands the benefits of accurate and complete configuration DS9.2.1 information, but there is implicit reliance on technical personnel knowledge and expertise.
Manajemen menyadari kebutuhan untuk mengendalikan konfigurasi IT dan memahami manfaat dari informasi konfigurasi yang akurat dan lengkap, tapi ada ketergantungan implisit terhadap pengetahuan tenaga teknis dan keahliannya.
Configuration management tools are being Alat manajemen konfigurasi sedang digunakan employed to a certain degree, but differ amongst untuk tingkat tertentu, tetapi berbeda antara DS9.2.2 platforms. platform. DS9.2.3
No standard working practices are defined.
Configuration data content is limited and not used by interrelated processes, such as change DS9.2.4 management and problem management.
Tidak ada praktek kerja standar yang ditetapkan. Isi data konfigurasi terbatas dan tidak digunakan oleh proses-proses yang saling terkait, seperti manajemen perubahan dan manajemen masalah.
The procedures and working practices are Prosedur dan praktek kerja didokumentasikan, documented, standardised and communicated, dibakukan dan dikomunikasikan, tetapi pelatihan DS9.3.1 but training and application of the standards is up dan penerapan standar sampai ke individu. to the individual. Similar configuration management tools are DS9.3.2 being implemented across platforms.
Alat manajemen konfigurasi yang sama sedang diimplementasikan di seluruh platform.
Deviations from procedures are unlikely to be DS9.3.3 detected, and physical verifications are performed inconsistently.
Penyimpangan dari prosedur tidak mungkin untuk dideteksi, dan verifikasi fisik dilakukan secara tidak konsisten.
Some automation occurs to assist in tracking DS9.3.4 equipment and software changes.
Beberapa otomatisasi terjadi untuk membantu dalam pelacakan peralatan dan perubahan perangkat lunak .
Configuration data are being used by interrelated Data konfigurasi digunakan oleh proses yang DS9.3.5 processes. saling berkaitan. The need to manage the configuration is DS9.4.1 recognised at all levels of the organisation, and good practices continue to evolve.
Kebutuhan untuk mengelola konfigurasi diakui di semua tingkat organisasi, dan praktek-praktek yang baik terus berkembang.
Procedures and standards are communicated and Prosedur dan standar dikomunikasikan dan incorporated into training, and deviations are dimasukkan ke dalam pelatihan, dan DS9.4.2 monitored, tracked and reported. penyimpangan dimonitor, dilacak dan dilaporkan. Automated tools, such as push technology, are DS9.4.3 utilised to enforce standards and improve stability.
Alat otomatis, seperti push teknology, yang digunakan untuk menegakkan standar dan meningkatkan stabilitas.
Configuration management systems do cover Sistem manajemen konfigurasi menutupi most of the IT assets and allow for proper release sebagian besar aset TI dan memungkinkan DS9.4.4 management and distribution control. manajemen rilis dan distribusi kontrol yang tepat. Exception analyses, as well as physical DS9.4.5 verifications, are consistently applied and their root causes are investigated.
Exception analisis, serta verifikasi fisik, diterapkan secara konsisten dan akar penyebabnya diselidiki.
All IT assets are managed within a central configuration management system that contains all necessary information about DS9.5.1 components, their interrelationships and events.
Semua aset TI yang dikelola dalam sistem manajemen konfigurasi pusat yang berisi semua informasi yang diperlukan tentang komponen, antar hubungan mereka dan kegiatan.
The configuration data are aligned with vendor DS9.5.2 catalogues.
Data konfigurasi selaras dengan vendor katalog.
There is full integration of interrelated processes, Ada integrasi penuh dari proses yang saling and they use and update configuration data in an terkait, dan mereka menggunakan dan DS9.5.3 automated fashion. memperbarui data konfigurasi dalam mode otomatis. Baseline audit reports provide essential hardware and software data for repair, service, warranty, DS9.5.4 upgrade and technical assessments of each individual unit.
Laporan audit awal menyediakan data penting dari perangkat keras dan perangkat lunak untuk perbaikan, layanan, garansi, upgrade dan penilaian teknis dari setiap unit individu.
Rules for limiting installation of unauthorised DS9.5.5 software are enforced.
Aturan untuk membatasi instalasi perangkat lunak yang tidak sah diberlakukan.
Management forecasts repairs and upgrades from analysis reports, providing scheduled DS9.5.6 upgrades and technology refreshment capabilities.
Manajemen memperkirakan perbaikan dan upgrade dari laporan analisis, menyediakan perubahan penjadwalan dan kemampuan penyegaran teknologi.
Asset tracking and monitoring of individual IT DS9.5.7 assets protect them and prevent theft, misuse and abuse.
Pelacakan aset dan pemantauan aset TI individu melindungi mereka dan mencegah pencurian, penyalahgunaan dan perusakan.
dan merawat item konfigurasi dan meninjau
Ya
Y/R
Ragu
T/R
Tidak
DS10 - Manage Problems
Deskripsi
Pengelolaan masalah mencakup, identifikasi dan klasifikasi masalah, pelacakan masalah dan solusinya, closure m dari konfigurasi, insiden dan pengelolaan masalah.
DS10 - Manage Problems PERNYATAAN ID No. STATEMENT There is no awareness of the need for managing Tidak ada kesadaran akan kebutuhan untuk mengelola masalah, karena tidak ada diferensiasi DS10.0.1 problems, as there is no differentiation of problems and incidents. masalah dan insiden. There is no attempt made to identify the root DS10.0.2 cause of incidents.
Tidak ada upaya yang dilakukan untuk mengidentifikasi akar penyebab insiden.
Personnel recognise the need to manage DS10.1.1 problems and resolve underlying causes.
Personil menyadari kebutuhan untuk mengelola masalah dan menyelesaikan penyebab.
Key knowledgeable personnel provide some assistance with problems relating to their area of expertise, but the responsibility for problem DS10.1.2 management is not assigned.
Personil yang memiliki pengetahuan kunci memberikan beberapa bantuan dengan masalah yang berkaitan dengan bidang keahlian mereka, tetapi tanggung jawab pengelolaan masalah tidak ditugaskan.
Information is not shared, resulting in additional Informasi tidak dibagi, sehingga menciptakan masalah tambahan dan kehilangan waktu DS10.1.3 problem creation and loss of productive time while searching for answers. produktif ketika mencari jawaban. There is a wide awareness of the need for and benefits of managing IT-related problems within DS10.2.1 both the business units and information services function.
Ada kesadaran tinggi macam kebutuhan dan manfaat pengelolaan IT yang berhubungan dengan masalah dalam kedua unit bisnis dan fungsi pelayanan informasi.
The resolution process is evolved to a point where Proses resolusi berkembang ke titik di mana seorang individu kunci bertanggung jawab untuk DS10.2.2 a few key individuals are responsible for identifying and resolving problems. mengidentifikasi dan memecahkan masalah. Information is shared amongst staff in an DS10.2.3 informal and reactive way.
Informasi dibagi di antara staf dengan cara yang informal dan reaktif.
The service level to the user community varies and is hampered by insufficient, structured DS10.2.4 knowledge available to the problem manager.
Tingkat layanan kepada masyarakat pengguna bervariasi dan terhambat oleh tidak cukup, pengetahuan terstruktur yang tersedia untuk manajer masalah.
The need for an effective integrated problem DS10.3.1 management system is accepted and evidenced by management support, and budgets for the Problem resolution staffing and trainingand areescalation available.processes have DS10.3.2 been standardised.
Kebutuhan terhadap sistem manajemen masalah efektif yang terpadu, diterima dan dibuktikan dengan dukungan manajemen, dan anggaran Penyelesaian dan proses eskalasi telah untuk staf danmasalah pelatihan yang tersedia. dibakukan.
The recording and tracking of problems and their resolutions are fragmented within the response DS10.3.3 team, using the available tools without centralisation.
Pencatatan dan pelacakan masalah dan resolusinya terpecah-pecah dalam tim tanggap, dengan menggunakan alat yang tersedia tanpa sentralisasi.
Deviations from established norms or standards DS10.3.4 are likely to be undetected.
Penyimpangan dari norma-norma atau standar yang ditetapkan kemungkinan akan terdeteksi.
Information is shared among staff in a proactive DS10.3.5 and formal manner.
Informasi dibagi di antara staf secara proaktif dan formal.
Management review of incidents and analysis of Tinjauan manajemen insiden dan analisis DS10.3.6 problem identification and resolution are limited identifikasi masalah dan resolusi, terbatas dan and informal. informal. The problem management process is understood Proses pengelolaan masalah dipahami di semua DS10.4.1 at all levels within the organisation. tingkatan dalam organisasi. Responsibilities and ownership are clear and DS10.4.2 established.
Tanggung jawab dan kepemilikan jelas dan ada.
Methods and procedures are documented, DS10.4.3 communicated and measured for effectiveness.
Metode dan prosedur didokumentasikan, dikomunikasikan dan diukur untuk efektivitas.
The majority of problems are identified, recorded Sebagian besar masalah diidentifikasi, dicatat dan dilaporkan, dan resolusi dilaksanakan. DS10.4.4 and reported, and resolution is initiated. Knowledge and expertise are cultivated, maintained and developed to higher levels, as the function is viewed as an asset and major DS10.4.5 contributor to the achievement of IT objectives and improvement of IT services.
Pengetahuan dan keahlian yang dibudidayakan, dipelihara dan dikembangkan ke tingkat yang lebih tinggi, karena fungsi ini dipandang sebagai aset dan kontributor utama terhadap pencapaian tujuan TI dan peningkatan layanan TI.
Problem management is well integrated with interrelated processes, such as incident, change, availability and configuration DS10.4.6 management, and assists customers in managing data, facilities and operations.
Masalah manajemen yang terintegrasi dengan baik dengan proses yang saling terkait, seperti kejadian, perubahan, ketersediaan dan manajemen konfigurasi, dan membantu pelanggan dalam mengelola data, fasilitas dan operasi.
Goals and metrics have been agreed upon for the Tujuan dan metrik telah disepakati untuk proses DS10.4.7 problem management process. manajemen masalah. The problem management process is evolved into Proses pengelolaan masalah berevolusi menjadi DS10.5.1 a forward-looking and proactive one, contributing berwawasan ke depan dan proaktif, berkontribusi to the IT objectives. terhadap tujuan TI. DS10.5.2 Problems are anticipated and prevented. Knowledge regarding patterns of past and future DS10.5.3 problems is maintained through regular contacts with vendors and experts.
Masalah diantisipasi dan dicegah. Pengetahuan tentang pola masalah masa lalu dan masa depan dipertahankan melalui kontak teratur dengan vendor dan ahli.
The recording, reporting and analysis of problems Rekaman, pelaporan dan analisis masalah dan and resolutions are automated and fully resolusi adalah otomatis dan terintegrasi penuh DS10.5.4 integrated with configuration data management. dengan pengelolaan data konfigurasi.
DS10.5.5 Goals are measured consistently. Most systems have been equipped with DS10.5.6 automatic detection and warning mechanisms, which are continuously tracked and evaluated.
Gol diukur secara konsisten. Kebanyakan sistem telah dilengkapi dengan pendeteksi dan peringatan mekanisme otomatis, yang terus dilacak dan dievaluasi.
The problem management process is analysed for Proses pengelolaan masalah dianalisis untuk continuous improvement based on analysis of perbaikan terus-menerus berdasarkan analisis pengukuran dan dilaporkan kepada pemangku DS10.5.7 measures and is reported to stakeholders. kepentingan.
dan solusinya, closure masalah dan integrasi lah.
Ya
Y/R
Ragu
T/R
Tidak
DS11 - Manage Data
Deskripsi
Pengelolaan data mencakup, persyaratan bisnis untuk pengelolaan data, penyimpanan dan perjanjian retensi, p perpustakaan media, pembuangan, backup dan restorasi, dan persyaratan keamanan untuk pengelola
ID No.
STATEMENT Data are not recognised as corporate resources DS11.0.1 and assets.
DS11 - Manage Data PERNYATAAN Data tidak dikenal sebagai sumber daya perusahaan dan aset.
There is no assigned data ownership or individual Tidak ada penugasan kepemilikan data atau DS11.0.2 accountability for data management. akuntabilitas individu untuk pengelolaan data. Data quality and security are poor or non‐ DS11.0.3 existent.
Kualitas data dan keamanan sedikit sekali atau tidak ada.
The organisation recognises a need for effective DS11.1.1 data management.
Organisasi mengakui kebutuhan untuk manajemen data yang efektif.
There is an ad hoc approach for specifying security requirements for data management, but DS11.1.2 no formal communications procedures are in place.
Ada pendekatan ad hoc untuk menentukan persyaratan keamanan untuk manajemen data, tetapi tidak ada prosedur komunikasi formal di tempat.
No specific training on data management takes DS11.1.3 place.
Tidak ada pelatihan khusus tentang pengelolaan data yang terjadi.
DS11.1.4
Responsibility for data management is not clear. Tanggung jawab untuk manajemen data tidak jelas.
Backup/restoration procedures and disposal DS11.1.5 arrangements are in place.
Prosedur backup / restorasi dan pengaturan pembuangan berada di tempat.
The awareness of the need for effective data Kesadaran akan kebutuhan manajemen data management exists throughout the organisation. yang efektif ada di seluruh organisasi. DS11.2.1 DS11.2.2
Data ownership at a high level begins to occur.
Kepemilikan data pada tingkat tinggi mulai terjadi.
Security requirements for data management are Persyaratan Keamanan untuk pengelolaan data DS11.2.3 documented by key individuals. didokumentasikan oleh individu kunci. Some monitoring within IT is performed on data DS11.2.4 management key activities (e.g., backup, restoration, disposal).
Beberapa monitoring dalam IT dilakukan pada kegiatan utama manajemen data (misalnya, backup, restorasi, pembuangan).
Responsibilities for data management are DS11.2.5 informally assigned for key IT staff members.
Tanggung jawab untuk manajemen data secara informal ditugaskan untuk anggota kunci staf IT.
The need for data management within IT and DS11.3.1 across the organisation is understood and accepted.
Kebutuhan manajemen data dalam TI dan seluruh organisasi dipahami dan diterima.
Responsibility for data management is DS11.3.2 established.
Tanggung jawab untuk manajemen data didirikan.
Data ownership is assigned to the responsible DS11.3.3 party who controls integrity and security.
Data kepemilikan ditugaskan untuk pihak yang bertanggung jawab mengontrol integritas dan keamanan.
Data management procedures are formalised Prosedur manajemen data diformalkan dalam IT, within IT, and some tools for backup/restoration dan beberapa alat untuk backup / pemulihan dan DS11.3.4 and disposal of equipment are used. pembuangan peralatan digunakan. Some monitoring over data management is in DS11.3.5 place.
Beberapa pemantauan atas pengelolaan data berada di tempat.
Basic performance metrics are defined. Training Metrik kinerja dasar didefinisikan. Pelatihan DS11.3.6 for data management staff members is emerging. untuk anggota staf pengelolaan data muncul.
The need for data management is understood, DS11.4.1 and required actions are accepted within the organisation.
Kebutuhan manajemen data dipahami, dan tindakan yang diperlukan diterima dalam organisasi.
Responsibility for data ownership and DS11.4.2 management are clearly defined, assigned and communicated within the organisation.
Tanggung jawab untuk kepemilikan data dan manajemen jelas didefinisikan, ditugaskan dan dikomunikasikan dalam organisasi.
Procedures are formalised and widely known, and Prosedur diformalkan dan dikenal secara luas, DS11.4.3 knowledge is shared. dan pengetahuan di share. DS11.4.4 Usage of current tools is emerging. Goal and performance indicators are agreed to DS11.4.5 with customers and monitored through a well‐ defined process.
Penggunaan alat saat ini muncul. Indikator tujuan dan kinerja disepakati dengan pelanggan dan dipantau melalui proses yang terdefinisi dengan baik.
Formal training for data management staff DS11.4.6 members is in place.
Pelatihan formal untuk anggota staf pengelolaan data ada di tempat.
The need for data management and the Kebutuhan manajemen data dan pemahaman understanding of all required actions is semua tindakan yang diperlukan dipahami dan DS11.5.1 understood and accepted within the organisation. diterima dalam organisasi. Future needs and requirements are explored in a Kebutuhan masa depan dan persyaratan DS11.5.2 proactive manner. dieksplorasi secara proaktif. The responsibilities for data ownership and data management are clearly established, widely DS11.5.3 known across the organisation and updated on a timely basis.
Tanggung jawab untuk kepemilikan data dan manajemen data secara jelas ditetapkan, secara luas dikenal di seluruh organisasi dan diperbarui secara tepat waktu.
Procedures are formalised and widely known, and Prosedur diformalkan dan dikenal luas, dan berbagi pengetahuan merupakan praktek DS11.5.4 knowledge sharing is standard practice. standar. Sophisticated tools are used with maximum DS11.5.5 automation of data management.
Alat-alat canggih yang digunakan dengan otomatisasi maksimum manajemen data.
Goal and performance indicators are agreed to with customers, linked to business objectives and DS11.5.6 consistently monitored using a well‐defined process.
Indikator tujuan dan kinerja yang disepakati dengan pelanggan, terkait dengan tujuan bisnis dan secara konsisten dimonitor menggunakan proses didefinisikan dengan baik.
Opportunities for improvement are constantly DS11.5.7 explored.
Peluang untuk perbaikan terus-menerus dieksplorasi.
Training for data management staff members is DS11.5.8 instituted.
Pelatihan untuk anggota staf manajemen data dilembagakan.
dan perjanjian retensi, pemgelolaan sistem eamanan untuk pengelolaan data.
Ya
Y/R
Ragu
T/R
Tidak
DS12 - Manage the Physical Environment
Deskripsi
Pengelolaan lingkungan fisik mencakup, pemilihan denah dan lokasi, pengukuran keamanan fisik, akses fisik, perl aspek lingkungan, dan pengelolaan aktifitas fisik.
DS12 - Manage the Physical Environment PERNYATAAN ID No. STATEMENT There is no awareness of the need to protect the Tidak ada kesadaran akan kebutuhan untuk melindungi fasilitas atau investasi sumber daya DS12.0.1 facilities or the investment in computing resources. komputasi. Environmental factors, including fire protection, Faktor-faktor lingkungan, termasuk perlindungan dust, power, and excessive heat and humidity, are api, debu, listrik, dan panas yang berlebihan dan kelembaban, tidak dimonitor atau dikontrol. DS12.0.2 neither monitored nor controlled.
The organisation recognises a business requirement to provide a suitable physical environment that protects the resources and DS12.1.1 personnel against man-made and natural hazards.
Organisasi mengakui kebutuhan bisnis untuk menyediakan lingkungan fisik yang sesuai yang melindungi sumber daya dan personel terhadap buatan manusia dan bencana alam.
The management of facilities and equipment is DS12.1.2 dependent upon the skills and abilities of key individuals.
Pengelolaan fasilitas dan peralatan tergantung pada keterampilan dan kemampuan individu kunci.
Personnel can move within the facilities without DS12.1.3 restriction.
Personil dapat bergerak dalam fasilitas tanpa pembatasan.
Management does not monitor the facility DS12.1.4 environmental controls or the movement of personnel.
Manajemen tidak memonitor kontrol lingkungan fasilitas atau pergerakan personil.
Environmental controls are implemented and DS12.2.1 monitored by the operations personnel.
Pengawasan lingkungan dilaksanakan dan diawasi oleh personil operasi.
Physical security is an informal process, driven by a small group of employees possessing a high DS12.2.2 level of concern about securing the physical facilities.
Keamanan fisik adalah sebuah proses informal, didorong oleh sekelompok kecil karyawan yang memiliki kekhawatiran tingkat tinggi tentang mengamankan fasilitas fisik.
The facilities maintenance procedures are not Fasilitas prosedur perawatan tidak well documented and rely upon good practices of didokumentasikan dengan baik dan bergantung pada praktek-praktek yang baik dari beberapa DS12.2.3 a few individuals. individu. The physical security goals are not based on any DS12.2.4 formal standards, and management does not ensure that security objectives are achieved.
Tujuan keamanan fisik tidak didasarkan pada standar formal, dan manajemen tidak menjamin bahwa tujuan keamanan tercapai.
The need to maintain a controlled computing DS12.3.1 environment is understood and accepted within the organisation.
Kebutuhan untuk menjaga lingkungan komputasi yang dikendalikan dipahami dan diterima dalam organisasi.
Environmental controls, preventive maintenance Pengendalian lingkungan, pemeliharaan preventif and physical security are budget items approved dan keamanan fisik merupakan item anggaran DS12.3.2 and tracked by management. yang disetujui dan dilacak oleh manajemen. Access restrictions are applied, with only DS12.3.3 approved personnel allowed access to the computing facilities.
Pembatasan akses diterapkan, dengan hanya personil yang disetujui diperbolehkan akses ke fasilitas komputasi.
Visitors are logged and escorted, depending on DS12.3.4 the individual.
Pengunjung akan dicatat dan didampingi, tergantung pada individu.
The physical facilities are low-profile and not DS12.3.5 readily identifiable.
Fasilitas fisik low-profile dan tidak mudah diidentifikasi.
Civil authorities monitor compliance with health DS12.3.6 and safety regulations.
Otoritas sipil memonitor kepatuhan terhadap peraturan kesehatan dan keselamatan.
The risks are insured with minimal effort to DS12.3.7 optimise the insurance costs.
Risiko diasuransikan dengan sedikit usaha untuk mengoptimalkan biaya asuransi.
The need to maintain a controlled computing Kebutuhan untuk menjaga lingkungan komputasi environment is fully understood, as evident in the dikendalikan, sepenuhnya dipahami, seperti DS12.4.1 organisational structure and budget allocations. terlihat dalam struktur organisasi dan alokasi anggaran. Environmental and physical security requirements Persyaratan keamanan lingkungan dan fisik DS12.4.2 are documented, and access is strictly controlled didokumentasikan, dan akses secara ketat and monitored. dikontrol dan dimonitor. Responsibility and ownership are established and Tanggung jawab dan kepemilikan ditetapkan dan DS12.4.3 communicated. dikomunikasikan. The facilities staff members are fully trained in DS12.4.4 emergency situations, as well as in health and safety practices.
Anggota staf fasilitas sepenuhnya terlatih dalam situasi darurat, sama halnya dalam praktik kesehatan dan keselamatan.
Standardised control mechanisms are in place for Mekanisme kontrol standarisasi berada di tempat untuk membatasi akses ke fasilitas dan mengatasi DS12.4.5 restricting access to facilities and addressing environmental and safety factors. faktor lingkungan dan keselamatan. Management monitors the effectiveness of DS12.4.6 controls and compliance with established standards.
Manajemen memantau efektivitas pengendalian dan kepatuhan terhadap standar yang ditetapkan.
Management has established goals and metrics DS12.4.7 for measuring management of the computing environment.
Manajemen memiliki tujuan pendirian dan metrik untuk mengukur pengelolaan lingkungan komputasi.
The recoverability of computing resources is DS12.4.8 incorporated into an organisational risk management process.
Pemulihan sumber daya komputasi yang dimasukkan ke dalam proses manajemen risiko organisasi.
The integrated information is used to optimise DS12.4.9 insurance coverage and related costs.
Informasi yang terintegrasi digunakan untuk mengoptimalkan perlindungan asuransi dan biaya terkait.
There is an agreed-upon, long-term plan for the DS12.5.1 facilities required to support the organisation’s computing environment.
Ada, rencana jangka panjang yang disepakati untuk fasilitas yang diperlukan untuk mendukung lingkungan komputasi organisasi.
Standards are defined for all facilities, covering site selection, construction, guarding, personnel safety, mechanical and electrical systems, and DS12.5.2 protection against environmental factors (e.g., fire, lighting, flooding).
Standar yang ditetapkan untuk semua fasilitas, meliputi pemilihan lokasi, konstruksi, menjaga, keamanan personel, sistem mekanik dan listrik, dan perlindungan terhadap faktor-faktor lingkungan (misalnya, kebakaran, pencahayaan, banjir).
All facilities are inventoried and classified DS12.5.3 according to the organisation’s ongoing risk management process.
Semua fasilitas dicatat dan diklasifikasikan menurut proses manajemen risiko organisasi yang sedang berlangsung.
Access is strictly controlled on a job-need basis DS12.5.4 and monitored continuously, and all visitors are escorted at all times.
Akses secara ketat dikontrol berbasis kebutuhan pekerjaan dan dipantau terus menerus, dan semua pengunjung dikawal setiap saat.
The environment is monitored and controlled DS12.5.5 through specialised equipment, and equipment rooms have become ‘unmanned’.
Lingkungan dipantau dan dikendalikan melalui peralatan khusus, dan ruang peralatan telah menjadi 'tak berawak'.
DS12.5.6 Goals are consistently measured and evaluated. Preventive maintenance programmes enforce a DS12.5.7 strict adherence to schedules, and regular tests are applied to sensitive equipment.
Tujuan secara konsisten diukur dan dievaluasi. Program pemeliharaan preventif menegakkan ketaatan pada jadwal, dan tes rutin diterapkan untuk peralatan yang sensitif.
The facilities strategy and standards are aligned with IT services availability targets and integrated DS12.5.8 with business continuity planning and crisis management.
Strategi dan standar fasilitas selaras dengan target ketersediaan layanan TI dan terintegrasi dengan perencanaan kelangsungan bisnis dan manajemen krisis.
Management reviews and optimises the facilities using goals and metrics on a continual basis, DS12.5.9 capitalising on opportunities to improve the business contribution.
Manajemen meninjau dan mengoptimalkan fasilitas menggunakan goal dan metrik secara terus menerus, memanfaatkan peluang untuk meningkatkan kontribusi bisnis.
anan fisik, akses fisik, perlindungan terhadap sik.
Ya
Y/R
Ragu
T/R
Tidak
DS13 - Manage Operations
Deskripsi
Pengelolaan operasi mencakup, petunjuk dan prosedur operasi, penjadwalan kerja, pemantauan infrastruktur TI dan perangkat output, dan perawatan preventif untuk perangkat keras.
DS13 - Manage Operations PERNYATAAN ID No. STATEMENT The organisation does not devote time and Organisasi tidak mencurahkan waktu dan sumber resources to the establishment of basic IT support daya untuk pembentukan dukungan dasar TI dan DS13.0.1 and operations activities. kegiatan operasi . The organisation recognises the need for DS13.1.1 structuring the IT support functions.
Organisasi ini mengakui perlunya penataan fungsi dukungan TI.
Few standard procedures are established, and the Beberapa prosedur standar ditetapkan, dan DS13.1.2 operations activities are reactive in nature. kegiatan operasi secara alami bersifat reaktif. The majority of operational processes are Sebagian besar proses operasional secara informally scheduled, and processing requests are informal dijadwalkan, dan pemrosesan DS13.1.3 accepted without prior validation. permintaan diterima tanpa validasi sebelumnya. Computers, systems and applications supporting Komputer, sistem dan aplikasi yang mendukung DS13.1.4 the business processes are frequently interrupted, proses bisnis sering terganggu, tertunda dan tidak delayed and unavailable. tersedia. DS13.1.5
Time is lost while employees wait for resources.
Waktu hilang sementara karyawan menunggu sumber daya.
Output media sometimes show up in DS13.1.6 unexpected places or not at all.
Output media kadang-kadang muncul di tempattempat tak terduga atau tidak sama sekali.
The organisation is aware of the key role that IT DS13.2.1 operations activities play in providing IT support functions.
Organisasi ini menyadari peran kunci dimana kegiatan operasional IT berperan dalam menyediakan fungsi pendukung TI.
Budgets for tools are being allocated on a caseDS13.2.2 by-case basis.
Anggaran untuk alat-alat dialokasikan berdasarkan pada kasus-per-kasus.
DS13.2.3
IT support operations are informal and intuitive.
There is a high dependence on the skills and DS13.2.4 abilities of individuals.
Dukungan operasi TI bersifat informal dan intuitif. Ada ketergantungan yang tinggi pada keterampilan dan kemampuan individu.
The instructions covering what to do, when and in Instruksi meliputi apa yang harus dilakukan, kapan dan dalam rangka apa tidak DS13.2.5 what order are not documented. didokumentasikan. Some operator training exists, and there are some Ada beberapa pelatihan operator, dan ada DS13.2.6 formal operating standards. beberapa standar operasional formal.
The need for computer operations management DS13.3.1 is understood and accepted within the organisation.
Kebutuhan manajemen operasi komputer dipahami dan diterima dalam organisasi.
Resources are allocated and some on-the-job DS13.3.2 training occurs.
Sumber daya dialokasikan dan terjadi beberapa pelatihan on-the-job .
Repeatable functions are formally defined, DS13.3.3 standardised, documented and communicated.
Fungsi pengulangan secara resmi ditetapkan, distandarisasi, didokumentasikan dan dikomunikasikan.
The events and completed task results are Peristiwa dan hasil tugas selesai dicatat, dengan recorded, with limited reporting to management. pelaporan terbatas pada manajemen. DS13.3.4 The use of automated scheduling and other tools Penggunaan penjadwalan otomatis dan alat-alat lain diperkenalkan untuk membatasi intervensi DS13.3.5 is introduced to limit operator intervention. operator. Controls are introduced for the placement of new Kontrol diperkenalkan untuk penempatan DS13.3.6 jobs in operations. pekerjaan baru dalam operasi. A formal policy is developed to reduce the DS13.3.7 number of unscheduled events.
Sebuah kebijakan formal dikembangkan untuk mengurangi jumlah kejadian tidak terjadwal.
Maintenance and service agreements with DS13.3.8 vendors are still informal in nature.
Perjanjian pemeliharaan dan layanan dengan vendor masih bersifat informal.
The computer operations and support Operasi komputer dan tanggung jawab dukungan responsibilities are clearly defined and ownership jelas didefinisikan dengan jelas dan ada DS13.4.1 is assigned. penugasan kepemilikan. Operations are supported through resource DS13.4.2 budgets for capital expenditures and human resources.
Operasi didukung melalui anggaran sumber daya untuk belanja modal dan sumber daya manusia.
DS13.4.3 Training is formalised and ongoing. Schedules and tasks are documented and DS13.4.4 communicated, both internally to the IT function and to the business customers.
Pelatihan diformalkan dan berkelanjutan. Jadwal dan tugas didokumentasikan dan dikomunikasikan, baik secara internal ke fungsi TI dan pelanggan bisnis.
It is possible to measure and monitor the daily DS13.4.5 activities with standardised performance agreements and established service levels.
Dimungkinkan untuk mengukur dan memantau kegiatan sehari-hari dengan perjanjian kinerja standar dan tingkat pelayanan yang ditetapkan.
Any deviations from established norms are quickly Setiap penyimpangan dari norma-norma dengan DS13.4.6 addressed and corrected. cepat diatasi dan diperbaiki. Management monitors the use of computing DS13.4.7 resources and completion of work or assigned tasks.
Manajemen memonitor penggunaan sumber daya komputasi dan penyelesaian pekerjaan atau tugas yang diberikan.
An ongoing effort exists to increase the level of DS13.4.8 process automation as a means of continuous improvement.
Upaya berkesinambungan ada untuk meningkatkan tingkat otomatisasi proses sebagai sarana perbaikan terus-menerus.
Formal maintenance and service agreements are Perjanjian pemeliharaan dan layanan formal DS13.4.9 established with vendors. didirikan dengan vendor.
There is full alignment with problem, capacity and Ada keselarasan penuh dengan masalah, availability management processes, supported by kapasitas dan ketersediaan proses manajemen, didukung oleh analisis penyebab kesalahan dan DS13.4.10 an analysis of the causes of errors and failures. kegagalan.
IT support operations are effective, efficient and sufficiently flexible to meet service level needs DS13.5.1 with minimal lost productivity.
Mendukung operasi TI yang efektif, efisien dan cukup fleksibel untuk memenuhi tingkat layanan kebutuhan dengan minimal produktivitas hilang.
Operational IT management processes are Proses manajemen TI operasional distandarisasi standardised and documented in a knowledge dan didokumentasikan dalam basis pengetahuan DS13.5.2 base and are subject to continuous improvement. dan tunduk pada perbaikan terus-menerus. Automated processes that support systems DS13.5.3 operate seamlessly and contribute to a stable environment.
Proses otomatis yang mendukung sistem beroperasi mulus dan berkontribusi terhadap lingkungan yang stabil.
All problems and failures are analysed to identify Semua masalah dan kegagalan dianalisis untuk DS13.5.4 the root cause. mengidentifikasi akar penyebab. Regular meetings with change management DS13.5.5 ensure timely inclusion of changes in production schedules.
Pertemuan rutin dengan manajemen perubahan memastikan inklusi tepat waktu dari perubahan dalam jadwal produksi.
In co-operation with vendors, equipment is Dalam kerjasama dengan vendor, peralatan analysed for age and malfunction symptoms, and dianalisis untuk usia dan gejala kerusakan, dan DS13.5.6 maintenance is mainly preventive in nature. pemeliharaan dilakukan preventif secara alami.
mantauan infrastruktur TI, Dokumen sensitive rangkat keras.
Ya
Y/R
Ragu
T/R
Tidak
ME1 - Monitor and Evaluate IT Performance
Deskripsi
Pemantauan dan evaluasi kinerja TI mencakup, pendekatan pemantauan, definisi dan pengumpulan data pem pemantauan, penilaian kinerja, laporan dewan dan eksekutif dan tindakan perbaikan.
ME1 - Monitor and Evaluate IT Performance PERNYATAAN ID No. STATEMENT The organisation has no monitoring process Organisasi tidak memiliki pemantauan proses ME1.0.1 implemented. implementasi . IT does not independently perform monitoring of TI tidak independen melakukan monitoring proyek atau proses. ME1.0.2 projects or processes. Useful, timely and accurate reports are not ME1.0.3 available.
Laporan yang berguna, tepat waktu dan akurat tidak tersedia.
The need for clearly understood process ME1.0.4 objectives is not recognised.
Kebutuhan pemahaman yang jelas untuk proses tujuan tidak diakui.
Management recognises a need to collect and ME1.1.1 assess information about monitoring processes.
Manajemen mengakui kebutuhan untuk mengumpulkan dan menilai informasi tentang proses pemantauan.
Standard collection and assessment processes ME1.1.2 have not been identified.
Pengumpulan dan penilaian proses standar belum teridentifikasi.
Monitoring is implemented and metrics are chosen on a case‐bycase basis, according to the ME1.1.3 needs of specific IT projects and processes.
Pemantauan dilaksanakan dan metrik dipilih secara kasus per kasus , sesuai dengan kebutuhan proyek-proyek spesifik dan proses TI.
Monitoring is generally implemented reactively to an incident that has caused some loss or ME1.1.4 embarrassment to the organisation.
Pemantauan umumnya dilaksanakan reaktif untuk sebuah insiden yang telah menyebabkan beberapa kerugian atau mempermalukan organisasi.
The accounting function monitors basic financial Fungsi akuntansi memantau langkah-langkah ME1.1.5 measures for IT. keuangan dasar untuk IT. Basic measurements to be monitored are ME1.2.1 identified.
Pengukuran dasar yang harus dipantau diidentifikasi.
Collection and assessment methods and ME1.2.2 techniques exist, but the processes are not adopted across the entire organisation.
Metode pengumpulan dan penilaian dan teknik yang ada, tetapi proses tidak diadopsi di seluruh organisasi.
Interpretation of monitoring results is based on ME1.2.3 the expertise of key individuals.
Interpretasi hasil pemantauan didasarkan pada keahlian individu kunci.
Limited tools are chosen and implemented for gathering information, but the gathering is not ME1.2.4 based on a planned approach.
Alat-alat terbatas dipilih dan dilaksanakan untuk mengumpulkan informasi, tetapi pengumpulan itu tidak didasarkan pada pendekatan yang direncanakan.
Management communicates and institutes ME1.3.1 standard monitoring processes.
Manajemen berkomunikasi dan lembaga standar memantau proses .
Educational and training programmes for ME1.3.2 monitoring are implemented.
Program pendidikan dan pelatihan untuk pemantauan dilaksanakan.
A formalised knowledge base of historical ME1.3.3 performance information is developed.
Sebuah formalisasi basis pengetahuan dari historis informasi kinerja dikembangkan.
Assessment is still performed at the individual IT ME1.3.4 process and project level and is not integrated amongst all processes.
Penilaian masih dilakukan pada proses TI individu dan tingkat proyek dan tidak terintegrasi diantara semua proses.
Tools for monitoring IT processes and service ME1.3.5 levels are defined.
Alat untuk memantau proses dan tingkat layanan TI didefinisikan.
Measurements of the contribution of the information services function to the performance of the organisation are defined, ME1.3.6 using traditional financial and operational criteria.
Pengukuran dari kontribusi fungsi pelayanan informasi kepada kinerja organisasi didefinisikan, menggunakan kriteria keuangan tradisional dan operasional .
IT‐specific performance measurements, non‐ Pengukuran spesifik kinerja TI, pengukuran-non financial measurements, strategic measurements, keuangan, pengukuran strategis, pengukuran kepuasan pelanggan dan tingkat pelayanan ME1.3.7 customer satisfaction measurements and service levels are defined. ditetapkan. A framework is defined for measuring ME1.3.8 performance.
Kerangka didefinisikan untuk mengukur kinerja.
Management defines the tolerances under which Manajemen mendefinisikan toleransi di mana ME1.4.1 processes must operate. proses harus beroperasi. Reporting of monitoring results is being ME1.4.2 standardised and normalised.
Pelaporan hasil pemantauan sedang distandarisasi dan dinormalisasi.
There is integration of metrics across all IT ME1.4.3 projects and processes.
Ada integrasi metrik di semua proyek TI dan proses.
The IT organisation’s management reporting ME1.4.4 systems are formalised.
Sistem pelaporan organisasi manajemen TI diformalkan.
Automated tools are integrated and leveraged organisationwide to collect and monitor ME1.4.5 operational information on applications,systems and processes.
Alat otomatis yang terintegrasi dan digunakan seluruh organisasi untuk mengumpulkan dan memantau informasi operasional pada aplikasi, sistem dan proses.
Management is able to evaluate performance ME1.4.6 based on agreed upon criteria approved by stakeholders.
Manajemen dapat mengevaluasi kinerja berdasarkan kriteria yang disepakati yang disetujui oleh para pemangku kepentingan.
Measurements of the IT function align with ME1.4.7 organisationwide goals.
Pengukuran fungsi TI selaras dengan tujuan seluruh organisasi.
A continuous quality improvement process is developed for updating organisationwide monitoring standards and policies ME1.5.1 and incorporating industry good practices.
Proses peningkatan mutu berkelanjutan dikembangkan untuk memperbarui standar pemantauan seluruh organisasi dan kebijakan dan menggabungkan praktek-praktek industri yang baik.
All monitoring processes are optimised and ME1.5.2 support organisationwide objectives.
Semua proses pemantauan dioptimalkan dan mendukung tujuan seluruh organisasi.
Business driven metrics are routinely used to measure performance and are integrated into ME1.5.3 strategic assessment frameworks, such as the IT balanced scorecard.
Metrik bisnis didorong secara rutin digunakan untuk mengukur kinerja dan diintegrasikan ke dalam kerangka penilaian strategis, seperti balanced scorecard IT.
Process monitoring and ongoing redesign are ME1.5.4 consistent with organisationwide business process improvement plans.
Proses monitoring dan redesign berkelanjutan sejalan dengan rencana perbaikan proses bisnis seluruh organisasi.
Benchmarking against industry and key ME1.5.5 competitors becomes formalised, with well‐ understood comparison criteria.
Benchmarking terhadap industri dan pesaing utama menjadi diformalkan, dengan kriteria perbandingan dipahami dengan baik.
e
n pengumpulan data pemantauan, metode n tindakan perbaikan.
Ya
Y/R
Ragu
T/R
Tidak
ME2 - Monitor and Evaluate Internal Control
Deskripsi
Pemantauan dan evaluasi pengendalian internal mencakup, pemantauan kerangka kerja pengendalian internal, pengendalian yang dikecualikan, pengendalian penilaian sendiri, jaminan terhadap pengendalian internal, peng terhadap pihak ketiga, dan tindakan perbaikan.
ME2 - Monitor and Evaluate Internal Control PERNYATAAN ID No. STATEMENT The organisation lacks procedures to monitor the Organisasi tidak memiliki prosedur untuk ME2.0.1 effectiveness of internal controls. memantau efektivitas pengendalian internal. Management internal control reporting methods Metode pelaporan pengendalian internal ME2.0.2 are absent. manajemen tidak ada. There is a general unawareness of IT operational Ada ketidaksadaran umum keamanan operasional TI dan jaminan pengendalian ME2.0.3 security and internal control assurance. internal. Management and employees have an overall lack Manajemen dan karyawan memiliki keseluruhan ME2.0.4 of awareness of internal controls. kurangnya kesadaran pengendalian internal. Management recognises the need for regular IT ME2.1.1 management and control assurance.
Manajemen mengakui perlunya manajemen TI reguler dan kontrol jaminan.
Individual expertise in assessing internal control ME2.1.2 adequacy is applied on an ad hoc basis.
Keahlian individu dalam menilai kecukupan pengendalian intern diterapkan secara ad hoc.
IT management has not formally assigned ME2.1.3 responsibility for monitoring the effectiveness of internal controls.
Manajemen TI belum secara resmi diberi tanggung jawab untuk memantau efektivitas pengendalian internal.
IT internal control assessments are conducted as part of traditional financial audits, with methodologies and skill sets that do not reflect ME2.1.4 the needs of the information services function.
Penilaian pengendalian internal TI dilakukan sebagai bagian dari audit keuangan tradisional, dengan metodologi dan keahlian yang tidak mencerminkan kebutuhan dari fungsi pelayanan informasi.
The organisation uses informal control reports to Organisasi menggunakan laporan pengendalian informal untuk memulai inisiatif tindakan ME2.2.1 initiate corrective action initiatives. korektif. Internal control assessment is dependent on the ME2.2.2 skill sets of key individuals.
Penilaian pengendalian internal bergantung pada keahlian individu kunci.
The organisation has an increased awareness of ME2.2.3 internal control monitoring.
Organisasi memiliki peningkatan kesadaran pemantauan pengendalian intern.
Information service management performs monitoring over the effectiveness of what it ME2.2.4 believes are critical internal controls on a regular basis.
Manajemen layanan informasi melakukan pemantauan atas efektivitas dari apa yang dipercaya merupakan pengendalian internal kritis secara teratur.
Methodologies and tools for monitoring internal Metodologi dan alat untuk memantau ME2.2.5 controls are starting to be used, but not based on pengendalian internal mulai digunakan, tetapi a plan. tidak didasarkan pada rencana. Risk factors specific to the IT environment are ME2.2.6 identified based on the skills of individuals.
Faktor risiko khusus untuk lingkungan TI diidentifikasi berdasarkan pada keterampilan individu.
Management supports and institutes internal ME2.3.1 control monitoring.
Manajemen mendukung dan melembagakan pemantauan pengendalian internal.
Policies and procedures are developed for assessing and reporting on internal control ME2.3.2 monitoring activities.
Kebijakan dan prosedur yang dikembangkan untuk menilai dan melaporkan kegiatan pemantauan pengendalian intern.
An education and training programme for ME2.3.3 internal control monitoring is defined.
Sebuah program pendidikan dan pelatihan untuk pemantauan pengendalian intern didefinisikan.
A process is defined for self-assessments and Sebuah proses didefinisikan untuk penilaian diri internal control assurance reviews, with roles for dan mereview jaminan pengendalian internal, dengan peran untuk bisnis yang bertanggung ME2.3.4 responsible business and IT managers. jawab dan manajer TI. Tools are being utilised but are not necessarily ME2.3.5 integrated into all processes.
Peralatan sedang digunakan tetapi tidak perlu terintegrasi ke dalam semua proses.
IT process risk assessment policies are being used Kebijakan penilaian risiko proses IT yang within control frameworks developed specifically digunakan dalam kerangka kontrol dikembangkan ME2.3.6 for the IT organisation. secara khusus untuk organisasi TI. Process-specific risks and mitigation policies are ME2.3.7 defined.
Proses risiko tertentu dan kebijakan mitigasi didefinisikan.
Management implements a framework for IT ME2.4.1 internal control monitoring.
Manajemen menerapkan kerangka kerja untuk pemantauan pengendalian intern TI.
The organisation establishes tolerance levels for ME2.4.2 the internal control monitoring process.
Organisasi menetapkan tingkat toleransi untuk proses pemantauan pengendalian intern.
Tools are implemented to standardise ME2.4.3 assessments and automatically detect control exceptions.
Alat dilaksanakan untuk membakukan penilaian dan secara otomatis mendeteksi pengecualian kontrol.
A formal IT internal control function is established, with specialised and certified ME2.4.4 professionals utilising a formal control framework endorsed by senior management.
Sebuah fungsi pengendalian internal TI resmi didirikan, dengan spesialisasi dan profesional bersertifikat memanfaatkan kerangka kontrol formal yang didukung oleh manajemen senior.
Skilled IT staff members are routinely ME2.4.5 participating in internal control assessments.
Anggota staf TI yang terampil secara rutin berpartisipasi dalam penilaian pengendalian internal.
A metrics knowledge base for historical ME2.4.6 information on internal control monitoring is established.
Sebuah metrik pengetahuan dasar untuk informasi historis pada pemantauan pengendalian internal didirikan.
Peer reviews for internal control monitoring are ME2.4.7 established.
Peer review untuk pemantauan pengendalian intern ditetapkan.
Management establishes an organisationwide continuous improvement programme that takes into account lessons learned and industry good ME2.5.1 practices for internal control monitoring.
Manajemen menetapkan program perbaikan terus-menerus di seluruh organisasi yang mengambil memjadi pembelajaran dan praktik industri yang baik untuk pemantauan pengendalian intern.
The organisation uses integrated and updated tools, where appropriate, that allow effective assessment of critical IT controls and rapid ME2.5.2 detection of IT control monitoring incidents.
Organisasi menggunakan alat yang terintegrasi dan diperbarui, bila sesuai, yang memungkinkan penilaian yang efektif kritis mengontrol TI dan mendeteksi cepat dari insiden pemantauan kontrol TI.
Knowledge sharing specific to the information ME2.5.3 services function is formally implemented.
Berbagi pengetahuan spesifik ke fungsi layanan informasi secara formal diimplementasikan.
Benchmarking against industry standards and ME2.5.4 good practices is formalised.
Benchmarking terhadap standar industri dan praktek-praktek yang baik diformalkan.
ol
ja pengendalian internal, tinjauan penyelia, ngendalian internal, pengendalian internal n.
Ya
Y/R
Ragu
T/R
Tidak
ME3 - Ensure Compliance With External Requirements
Deskripsi
Memastikan compliance dengan persyaratan eksternal mencakup, Identifikasi Hukum Eksternal, Peraturan dan Pe Kontrak, Optimalisasi Respon Kebutuhan Eksternal, jaminan positif terhadap compliance, pelaporan ter
ME3 - Ensure Compliance With External Requirements PERNYATAAN ID No. STATEMENT There is little awareness of external requirements Ada sedikit kesadaran tentang persyaratan that affect IT, with no process regarding eksternal yang mempengaruhi IT, dengan tidak compliance with regulatory, legal and contractual adanya proses mengenai kepatuhan dengan ME3.0.1 requirements. persyaratan peraturan, hukum dan perjanjian kontrak.
There is awareness of regulatory, contractual and Ada kesadaran peraturan, kontrak dan persyaratan kepatuhan hukum berdampak ME3.1.1 legal compliance requirements impacting the organisation. kepada organisasi. Informal processes are followed to maintain compliance, but only as the need arises in new ME3.1.2 projects or in response to audits or reviews.
Proses informal diikuti untuk menjaga kepatuhan, tetapi hanya sebagai kebutuhan dalam proyekproyek baru atau sebagai respons terhadap audit atau review.
There is an understanding of the need to comply Ada pemahaman tentang kebutuhan untuk memenuhi persyaratan eksternal, dan kebutuhan ME3.2.1 with external requirements, and the need is communicated. dikomunikasikan. Where compliance is a recurring requirement, as in financial regulations or privacy legislation, individual compliance procedures have been ME3.2.2 developed and are followed on a year-to-year basis.
Dimana kepatuhan merupakan kebutuhan berulang, seperti dalam peraturan keuangan atau undang-undang privasi, prosedur kepatuhan individu telah dikembangkan dan diikuti pada basis tahun-ke tahun.
Tidak ada pendekatan standar. ME3.2.3 There is no standard approach. There is high reliance on the knowledge and Ada ketergantungan yang tinggi pada responsibility of individuals, and errors are likely. pengetahuan dan tanggung jawab individu, dan ME3.2.4 kemungkinan kesalahan. There is informal training regarding external ME3.2.5 requirements and compliance issues.
Ada pelatihan informal mengenai persyaratan eksternal dan masalah kepatuhan.
Policies, plans and procedures are developed, documented and communicated to ensure compliance with regulations and contractual and legal obligations, but some may not always be ME3.3.1 followed, and some may be out of date or impractical to implement.
Kebijakan, perencanaan dan prosedur dikembangkan, didokumentasikan dan dikomunikasikan untuk memastikan kepatuhan terhadap peraturan dan kewajiban kontrak dan hukum, tetapi beberapa mungkin tidak selalu diikuti, dan beberapa mungkin ketinggalan zaman atau tidak praktis untuk diterapkan.
There is little monitoring performed and there are Ada sedikit pemantauan yang dilakukan dan ada persyaratan kepatuhan yang belum ditangani. ME3.3.2 compliance requirements that have not been addressed. Training is provided in external legal and regulatory requirements affecting the ME3.3.3 organisation and the defined compliance processes.
Pelatihan diberikan dalam hukum eksternal dan peraturan persyaratan yang mempengaruhi organisasi dan mendefinisikan proses kepatuhan .
Standard pro forma contracts and legal processes Standard pro forma kontrak dan proses hukum yang ada untuk meminimalkan risiko yang terkait ME3.3.4 exist to minimise the risks associated with contractual liability. dengan kewajiban kontraktual. Issues and exposures from external requirements Isu dan eksposur dari persyaratan eksternal dan kebutuhan untuk memastikan kepatuhan pada ME3.4.1 and the need to ensure compliance at all levels are fully understood. semua tingkatan sepenuhnya dipahami. A formal training scheme is in place to ensure ME3.4.2 that all staff members are aware of their compliance obligations.
Sebuah skema pelatihan formal di tempat untuk memastikan bahwa semua anggota staf menyadari kewajiban kepatuhan mereka.
Responsibilities are clear and process ownership ME3.4.3 is understood.
Tanggung jawab jelas dan kepemilikan proses dipahami.
The process includes a review of the environment Proses ini mencakup kajian lingkungan untuk mengidentifikasi kebutuhan eksternal dan ME3.4.4 to identify external requirements and ongoing changes. perubahan yang sedang berlangsung. There is a mechanism in place to monitor noncompliance with external requirements, enforce ME3.4.5 internal practices and implement corrective action.
Ada mekanisme di tempat untuk memantau ketidakpatuhan terhadap persyaratan eksternal, menegakkan praktik internal dan melaksanakan tindakan korektif.
Non-compliance issues are analysed for root causes in a standard manner, with the objective ME3.4.6 to identify sustainable solutions.
Isu-isu ketidakpatuhan dianalisis untuk akar penyebab dengan cara yang standar, dengan tujuan untuk mengidentifikasi solusi yang berkelanjutan.
Standardised internal good practices are utilised Praktek standarisasi intern yang baik digunakan untuk kebutuhan tertentu, seperti peraturan ME3.4.7 for specific needs, such as standing regulations and recurring service contracts. berdiri dan kontrak layanan berulang. A well-organised, efficient and enforced process is in place for complying with external requirements, based on a single central function ME3.5.1 that provides guidance and co-ordination to the whole organisation.
Terorganisir dengan baik, efisien dan penegakkan proses di tempat untuk memenuhi persyaratan eksternal, didasarkan pada fungsi pusat tunggal yang memberikan bimbingan dan koordinasi untuk seluruh organisasi.
Extensive knowledge of the applicable external requirements, including their future trends and anticipated changes, and the need for new ME3.5.2 solutions exist.
Pengetahuan luas tentang kebutuhan eksternal yang dapat diplikasikan, termasuk tren masa depan mereka dan perubahan yang dapat diantisipasi, dan adanya kebutuhan untuk solusi baru.
The organisation takes part in external discussions with regulatory and industry groups to understand and influence external ME3.5.3 requirements affecting them.
Organisasi mengambil bagian dalam diskusi eksternal dengan peraturan dan kelompok industri untuk memahami dan mempengaruhi persyaratan eksternal yang mempengaruhi mereka.
Good practices are developed ensuring efficient Praktek yang baik dikembangkan untuk compliance with external requirements, resulting memastikan kepatuhan efisien dengan ME3.5.4 in very few cases of compliance exceptions. persyaratan eksternal, sehingga sangat sedikit kasus pengecualian kepatuhan. A central, organisationwide tracking system exists, enabling management to document the workflow and to measure and ME3.5.5 improve the quality and effectiveness of the compliance monitoring process.
Pusat sistem pelacakan seluruh organisasi ada, memungkinkan manajemen untuk mendokumentasikan alur kerja dan untuk mengukur dan meningkatkan kualitas dan efektivitas proses pemantauan kepatuhan.
An external requirements self-assessment process Sebuah persyaratan proses self-assessment eksternal dilaksanakan dan disempurnakan untuk ME3.5.6 is implemented and refined to a level of good practice. tingkat praktik yang baik. The organisation’s management style and culture relating to compliance are sufficiently strong, and processes are developed well enough for training ME3.5.7 to be limited to new personnel and whenever there is a significant change.
Gaya manajemen organisasi dan budaya yang berkaitan dengan kepatuhan cukup kuat, dan proses yang dikembangkan cukup baik untuk pelatihan terbatas pada personil baru dan setiap kali ada perubahan yang signifikan.
ments
sternal, Peraturan dan Persyaratan Kepatuhan ompliance, pelaporan terintegrasi.
ents Ya
Y/R
Ragu
T/R
Tidak
ME4 - Provide IT Governance
Deskripsi
Penyediaan IT Governance yang mencakup Pembentukan Kerangka IT Governance, Keselarasan strategis, value d sumber daya, pengukuran kinerja, dan jaminan independen.
ME4 - Provide IT Governance PERNYATAAN ID No. STATEMENT There is a complete lack of any recognisable IT Terdapat kekuranglengkapan dari setiap proses ME4.0.1 governance process. tata kelola TI yang dikenali. The organisation does not even recognise that ME4.0.2 there is an issue to be addressed; hence, there is no communication about the issue.
Organisasi bahkan tidak menyadari bahwa ada masalah yang harus ditangani; oleh karena itu, tidak ada komunikasi tentang masalah ini.
There is recognition that IT governance issues ME4.1.1 exist and need to be addressed.
Ada pengakuan bahwa isu-isu tata kelola TI ada dan perlu ditangani.
There are ad hoc approaches applied on an ME4.1.2 individual or case‐bycase basis.
Ada pendekatan ad hoc diterapkan secara individu atau dasar kasus per kasus
Management’s approach is reactive, and there is only sporadic, inconsistent communication on ME4.1.3 issues and approaches to address them.
Pendekatan manajemen adalah reaktif, dan hanya ada sporadis, komunikasi tidak konsisten pada isu-isu dan pendekatan untuk mengatasinya.
Management has only an approximate indication Manajemen hanya memiliki indikasi perkiraan bagaimana TI berkontribusi terhadap kinerja ME4.1.4 of how IT contributes to business performance. bisnis. Management only reactively responds to an ME4.1.5 incident that has caused some loss or embarrassment to the organisation.
Manajemen hanya reaktif merespon sebuah insiden yang telah menyebabkan beberapa kerugian atau mempermalukan organisasi.
ME4.2.1 There is awareness of IT governance issues. IT governance activities and performance indicators, which include IT planning, delivery and ME4.2.2 monitoring processes, are under development.
Ada kesadaran akan masalah tata kelola TI. Kegiatan tata kelola TI dan indikator kinerja, yang meliputi perencanaan IT, pengiriman dan pemantauan proses, sedang dalam pengembangan.
Selected IT processes are identified for ME4.2.3 improvement based on individuals’ decisions.
Proses TI yang dipilih diidentifikasi untuk perbaikan berdasarkan keputusan individu.
Management identifies basic IT governance measurements and assessment methods and ME4.2.4 techniques; however, the process is not adopted across the organisation.
Manajemen mengidentifikasi pengukuran dasartata kelola TI dan metode penilaian dan teknik; Namun, proses ini tidak diadopsi di seluruh organisasi.
Communication on governance standards and ME4.2.5 responsibilities is left to the individual.
Komunikasi pada standar tata kelola dan tanggung jawab diserahkan kepada individu.
Individuals drive the governance processes within Individu mendorong proses tata kelola dalam ME4.2.6 various IT projects and processes. berbagai proyek TI dan proses.
The processes, tools and metrics to measure IT governance are limited and may not be used to ME4.2.7 their full capacity due to a lack of expertise in their functionality.
Proses, alat dan metrik untuk mengukur tata kelola TI terbatas dan tidak dapat digunakan untuk kapasitas penuh mereka karena kurangnya keahlian dalam fungsi mereka.
The importance of and need for IT governance ME4.3.1 are understood by management and communicated to the organisation.
Pentingnya dan kebutuhan tata kelola TI yang dipahami oleh manajemen dan dikomunikasikan kepada organisasi.
A baseline set of IT governance indicators is developed where linkages between outcome ME4.3.2 measures and performance indicators are defined and documented.
Satu set awal indikator tata kelola TI dikembangkan di mana hubungan antara ukuran hasil dan indikator kinerja yang ditetapkan dan didokumentasikan.
Procedures are ME4.3.3 standardised and documented.
Prosedur standar dan didokumentasikan.
Management communicates standardised ME4.3.4 procedures, and training is established.
Manajemen mengkomunikasikan prosedur standar, dan pelatihan didirikan.
Tools are identified to assist with overseeing IT ME4.3.5 governance.
Alat diidentifikasi untuk membantu mengawasi tata kelola TI.
Dashboards are defined as part of the IT balanced Dashboards didefinisikan sebagai bagian dari IT ME4.3.6 business scorecard. balanced business scorecard. It is left to the individual to get training, ME4.3.7 follow the standards and apply them.
Hal ini diserahkan kepada individu untuk mendapatkan pelatihan, mengikuti standar dan menerapkannya.
Processes may be monitored, but deviations, while mostly being acted upon by individual ME4.3.8 initiative, are unlikely to be detected by management.
Proses dapat dimonitor, namun penyimpangan, sementara sebagian besar sedang ditindaklanjuti oleh inisiatif individu, tidak mungkin untuk dideteksi oleh manajemen.
There is full understanding of IT governance ME4.4.1 issues at all levels.
Ada pemahaman penuh tentang isu-isu tata kelola IT di semua tingkatan.
There is a clear understanding of who the ME4.4.2 customer is, and responsibilities are defined and monitored through SLAs.
Ada pemahaman yang jelas tentang siapa pelanggan, dan tanggung jawab ditetapkan dan dipantau melalui SLA.
Responsibilities are clear and process ownership ME4.4.3 is established.
Tanggung jawab jelas dan kepemilikan proses didirikan.
IT processes and IT governance are aligned with ME4.4.4 and integrated into the business and the IT strategy.
Proses TI dan tata kelola TI selaras dan diintegrasikan ke dalam bisnis dan strategi TI.
Improvement in IT processes is based primarily upon a quantitative understanding, and it is possible to monitor and measure compliance with ME4.4.5 procedures and process metrics.
Peningkatan proses TI didasarkan terutama pada pemahaman kuantitatif, dan adalah mungkin untuk memonitor dan mengukur kepatuhan terhadap prosedur dan metrik proses.
All process stakeholders are aware of risks, the ME4.4.6 importance of IT and the opportunities it can offer.
Semua pemangku kepentingan proses menyadari risiko, pentingnya TI dan peluang yang dapat ditawarkan.
Management defines tolerances under which ME4.4.7 processes must operate.
Manajemen mendefinisikan toleransi di mana proses harus beroperasi.
There is limited, primarily tactical, use of technology, based on mature techniques and ME4.4.8 enforced standard tools.
Ada penggunaan yang terbatas, terutama taktikal, pengunaan teknologi, didasarkan pada teknik yang matang dan penegakkan alat standar.
IT governance has been integrated into strategic IT governance telah diintegrasikan ke dalam perencanaan strategi dan operasional dan proses ME4.4.9 and operational planning and monitoring processes. pemantauan. Performance indicators over all IT governance Indikator kinerja atas semua kegiatan activities are being recorded and tracked, leading pengelolaan TI sedang direkam dan dilacak, yang ME4.4.10 to enterprisewide improvements. mengarah ke perbaikan seluruh perusahaan. Overall accountability of key process performance Secara keseluruhan akuntabilitas kinerja proses ME4.4.11 is clear, and management is rewarded based on kunci jelas, dan manajemen dihargai berdasarkan key performance measures. ukuran kinerja kunci. There is an advanced and forward‐looking ME4.5.1 understanding of IT governance issues and solutions.
Ada pemahaman maju dan memandang ke depan tentang isu tata kelola TI dan solusi.
Training and communication are supported by ME4.5.2 leading‐edge concepts and techniques.
Pelatihan dan komunikasi didukung oleh konsep dan teknik terdepan.
Processes are refined to a level of industry good practice, based on results of continuous ME4.5.3 improvement and maturity modelling with other organisations.
Proses yang disempurnakan untuk tingkat praktik industri yang baik, berdasarkan hasil perbaikan terus-menerus dan pemodelan maturity dengan organisasi lain.
The implementation of IT policies leads to an organisation, people and processes that are quick ME4.5.4 to adapt and fully support IT governance requirements.
Pelaksanaan kebijakan TI mengarah ke sebuah organisasi, orang dan proses yang cepat untuk beradaptasi dan sepenuhnya mendukung kebutuhan tata kelola TI.
All problems and deviations are root cause ME4.5.5 analysed, and efficient action is expediently identified and initiated.
Semua masalah dan penyimpangan menganalisis akar penyebab masalah, dan tindakan yang efisien diidentifikasi dan diinisiasi.
IT is used in an extensive, integrated and optimised manner to automate the workflow and ME4.5.6 provide tools to improve quality and effectiveness.
TI digunakan secara luas, terintegrasi dan dioptimalkan untuk mengotomatisasi alur kerja dan menyediakan alat-alat untuk meningkatkan kualitas dan efektivitas.
The risks and returns of the IT processes are Risiko dan imbalan dari proses TI didefinisikan, defined, balanced and communicated across the diseimbangkan dan dikomunikasikan di seluruh ME4.5.7 enterprise. perusahaan. External experts are leveraged and benchmarks ME4.5.8 are used for guidance.
Ahli eksternal sebagai pengaruh dan tolok ukur yang digunakan untuk bimbingan.
Monitoring, self‐assessment and communication about governance expectations are pervasive within the organisation, and there is optimal use ME4.5.9 of technology to support measurement, analysis, communication and training.
Pemantauan, self-assessment dan komunikasi tentang harapan tata kelola yang meresap dalam organisasi, dan ada penggunaan optimal teknologi untuk mendukung pengukuran, analisis, komunikasi dan pelatihan.
Enterprise governance and IT governance are strategically linked, leveraging technology and human and financial resources to increase the ME4.5.10 competitive advantage of the enterprise.
Perusahaan pemerintahan dan tata kelola TI secara strategis terkait, memanfaatkan teknologi dan sumber daya manusia dan keuangan untuk meningkatkan keunggulan kompetitif perusahaan.
IT governance activities are integrated with the ME4.5.11 enterprise governance process.
Kegiatan tata kelola TI terintegrasi dengan proses tata kelola perusahaan.
larasan strategis, value delivery, pengelolaan penden.
Ya
Y/R
Ragu
T/R
Tidak
