4. UUD 1945
Pasal 28F
Setiap orang berhak untuk
berkomunikasi dan memperoleh
informasi untuk mengembangkan
pribadi dan lingkungan sosialnya, serta
berhak untuk mencari, memperoleh,
memiliki, menyimpan, mengolah, dan
menyampaikan informasi dengan
menggunakan segala jenis saluran yang
tersedia.
LATAR BELAKANG
5. MEMBACA TUNTUTAN ZAMAN
Perubahan Pola Pikir Terhadap Informasi
Di era keterbukaan informasi ini;
Media massa dan media sosial adalah partner
pemerintah.
Informasi dari media ‘mau tak mau’ ikut
membentuk citra dan reputasi pemerintahan.
Perkuat fungsi humas sebagai saluran
penyampai informasi dari pemerintah kepada
masyarakat.
Humas sebagai ujung tombak, berperan penting
sebagai penyampai informasi, pembentuk opini
keberhasilan kinerja Pemprov Jawa Timur, dan
merespon aspirasi dari publik melalui media.
6. (Insight, Big Data Trends
for Media, 2015)
10
Perubahan Kultur dan Perilaku
7. Datangnya Tsunami Data
• Mobile Electronics market
– 5B mobile phones in use in 2010
– 150M tablets was sold in 2012 (IDC)
10
– 200M is global notebooks shipments in 2012 (Digitimes Research)
• Web and Social Networks generates amount
– Google processes 100 PB per day, 3 million servers
– Facebook has 300 PB of user data per day
– Youtube has 1000PB video storage
– 235 TBs data collected by the US Library of Congress
of data
– 15 out of 17 sectors in the US have more data stored per company than the US
Library of Congress
11
gigabyte (GB) 109
terabyte (TB) 1012
petabyte (PB) 1015
exabyte (EB) 1018
zettabyte (ZB) 1021
yottabyte (YB) 24
kilobyte (kB) 103
megabyte (MB) 106
8. Layanan TIK
–RTGS : Rp. 112 Ribu
Triliun
juta transaksi selama
tahun
–Transaksi e-Money: Rp.
5.3
2015 (BI)
dengan
11
2015 (BI)
T selama
–E-Commerce: Rp. 150 T pada tahun
2014
–E-Health:?
9. T
rends TIK
1. Infrastruktur
• T
eknologi Nirkabel
• Hotspot : Wifi
Devices : Iphone, Ipod, notebook
2. Aplikasi & Konten
e-Services : e-commerce, e-govt, e-health, e-pajak, e-education
Animasi , online game, Music, TV Mobile
3. Jejaring Sosial
FS
FB
B WiKi
10. JAN
2016 DIGIT
ALIN INDONESIA
ASNAPSHOTOFTHECOUNTR
Y’SKEYDIGITALSTAT
ISTICALINDICATORS
TOT
AL
POPULA
TION
ACTIVE
INTERNET USERS
ACTIVE SOCIAL
MEDIA USERS
MOBILE
CONNECTIONS
ACTIVE MOBILE
SOCIALUSERS
259.1
MILLION
URBANISATION: 55%
88.1
MILLION
PENETRATION: 34%
79.0
MILLION
PENETRATION: 30%
326.3
MILLION
vs POPULATION: 126%
66.0
MILLION
PENETRATION: 25%
FIGURE REPRESENTS TOTAL NATIO
NAL POPULATION, INCLUDING
CHILDREN
FIGURE INCLUDES ACCESS VIA
FIXED AND MOBILE CONNECTIO
NS
FIGURE BASED ON ACTIVE USER
ACCOUNTS, NOTUNIQUE
INDIVIDUALS
FIGURE REPRESENTS MOBILE
SUBSCRIPTIONS, NOTUNIQUE
USERS
FIGURE BASED ON ACTIVE USER
ACCOUNTS, NOTUNIQUE
INDIVIDUALS
Potret Lanskap Digital Indonesia
11. KASUS CYBER CRIME yang terjadi di Indonesia
antara lain :
1. Phising, yaitu pencurian data korban seperti
user id, password, dan lainnya.
2. Ddos yaitu serangan terhadap server dengan
menghabiskan resource yang ada di website
3. Pembajakan situs website melalui web
deface.
12. Dari Data ke Pengetahuan
Data harus kita olah menjadi pengetahuan
supaya bisa bermanfaat bagi manusia
•
• Dengan pengetahuan
tersebut, manusia dapat:
– Melakukan estimasi dan prediksi
apa yang terjadi di depan
Melakukan analisis tentang
asosiasi, korelasi dan
pengelompokan antar data dan atribut
Membantu pengambilan keputusan dan
pembuatan kebijakan
Dibutuhkanlah pengelolaan melalui ISO 27001 dan ISO 20000-1
–
–
39
14. Mengapa Kita Menerapkan
ISO 27001:2013
Memberikan perlindungan informasi terhadap pengungkapan
yang tidak sah, transfer, modifikasi, atau perusakan, apakah
disengaja atau tidak disengaja.
Membantu organisasi dalam mengelola semua jenis informasi,
untuk menentukan bagaimana informasi diproses, disimpan,
ditransfer, diarsipkan dan dimusnahkan.
15.
16.
17.
18. History ISO 27001
Over 1,000
Certificated Worldwide
2004
1st edition :
ISO 27001:2005
2nd edition :
ISO 27001:2013
•BS 7799-
2:2002
•Review Annex
•ISMS Requirements
Consistence with ISO 9001& ISO 14001
Adopted PDCA Model
3rd edition :
ISO 27001:2022
Oct 2022
Socialization
19. Apakah informasi itu?
•Dari perspektif Keamanan Informasi
•Informasi diartikan sebagai sebuah ‘aset’; merupakan
sesuatu yang memiliki nilai dan karenanya harus
dilindungi
•Nilai secara intrinsik melibatkan subyektivitas yang
membutuhkan penilaian dan pengambilan keputusan
Sebuah informasi yang aman adalah salah satu yang
menjamin KERAHASIAAN, INTEGRITAS, DAN KETERSEDIAAN.
20.
21.
22.
23.
24.
25.
26. Produk Hukum Terkait ITE
1. UU Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik
2. UU Nomor 14 Tahun 2008 Tentang Keterbukaan Informasi Publik
3. PP No 61 tahun 2010 tentang Pelaksanaan UU No 14 Tahun 2008 Tentang
Keterbukaan Informasi Publik
4. Keputusan Menteri Dalam Negeri Nomor 34 Tahun 2001 tentang
Pengamanan Berita Rahasia Melalui Proses Persandian dan Telekomunikasi
5. Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan
Sistem dan Transaksi Elektronik
27.
28.
29.
30. ASPEK DAMPAK KEAMANAN INFORMASI
• Confidentiality
• Apakah komunikasi saya pribadi?
• Memastikan bahwa data dibaca hanya oleh orang yang dituju
• Perlindungan data terhadap akses yang tidak sah atau
pengungkapan
• Mungkin melalui kontrol akses dan enkripsi
• Integrity
• Telah komunikasi saya telah diubah?
• Perlindungan data terhadap modifikasi yang tidak sah atau substitusi
• Jika integritas terganggu, tidak ada gunanya melindungi data
• Sebuah amplop transparan yang tamper jelas
• Availability
• Adalah sistem yang bertanggung jawab untuk pengiriman, penyimpanan dan
pengolahan
informasi yang dapat diakses bila diperlukan
• Adalah sistem di atas dapat diakses hanya mereka yang membutuhkannya
31.
32. Struktur ISO 27001:2013
ISO27001
ISO / IEC 27001: 2013 dapat diaudit Standard
Klausa: Proses Wajib Lampiran A: Kontrol Tujuan
4 Konteks organisasi
5 Kepemimpinan
6 Perencanaan
7 Dukungan
14 Domain
35 Kontrol Tujuan
114 kontrol
8 Operasi
Evaluasi 9 Kinerja
10 ISMS Perbaikan
33. Tambahan - Jumlah Domain dan Kontrol
Domain Kontrol Objective Kontrol
A5. Kebijakan Keamanan Informasi 1 2
A6. Organisasi keamanan informasi 2 7
A7. keamanan sumber daya manusia 3 6
A8. Manajemen aset 3 10
A.9 kontrol akses 4 14
A.10 kriptografi 1 2
A.11 fisik dan keamanan lingkungan 2 15
A.12. operasi Keamanan 7 14
A.13 Communications Security 2 7
A.14 Sistem akuisisi, pengembangan & Maint. 3 13
A.15 Supplier Relationship 2 5
Informasi A.16 manajemen insiden keamanan 1 7
Aspek A.17 Keamanan Informasi manajemen kontinuitas Bisnis 2 4
A.18 Kepatuhan 2 8
Total - 14 35 114
34. Struktur ISO 27001: 2013 Kontrol
A.5 kebijakan keamanan informasi - mengontrol bagaimana kebijakan ditulis dan
Ulasan
A.6 Organisasi keamanan informasi- mengontrol bagaimana tanggung jawab yang
ditugaskan; juga termasuk kontrol untuk perangkat mobile dan teleworking
A.7 keamanan sumber daya manusia - kontrol sebelum kerja, selama, dan setelah
pekerjaan tersebut
A.8 Manajemen aset - kontrol yang terkait dengan inventarisasi aset dan penggunaan
yang dapat diterima, juga untuk klasifikasi informasi dan penanganan media yang
A.9 kontrol akses - kontrol untuk kebijakan kontrol akses, manajemen akses
pengguna, sistem dan kontrol akses aplikasi, dan Tanggung Jawab pengguna
A.10 Kriptografi - kontrol terkait dengan enkripsi dan manajemen kunci
A.11 fisik dan keamanan lingkungan - kontrol mendefinisikan daerah aman, entri
kontrol, perlindungan terhadap ancaman, keamanan peralatan, pembuangan aman,
meja yang jelas dan kebijakan layar jelas, dll
14 Domain yang terdiri 35 Tujuan Pengendalian dan 114 Kontrol
35. Struktur ISO 27001: 2013 Kontrol
A.12 Keamanan operasional - banyak kontrol yang berhubungan dengan manajemen produksi TI:
manajemen perubahan, manajemen kapasitas, malware, backup, penebangan, pemantauan,
instalasi, kerentanan, dan lain-lain
A.13 keamanan Komunikasi - kontrol yang berkaitan dengan keamanan jaringan, segregasi,
layanan jaringan, transfer informasi, pesan, dll
A.14 Sistem akuisisi, pengembangan dan pemeliharaan - kontrol mendefinisikan
persyaratan keamanan dan keamanan dalam proses pengembangan dan dukungan
A.15 hubungan Pemasok - kontrol pada apa yang harus dimasukkan dalam perjanjian,
dan bagaimana untuk memantau pemasok
A.16 manajemen insiden keamanan - kontrol untuk acara pelaporan dan kelemahan,
tanggung jawab mendefinisikan, prosedur tanggap, dan pengumpulan bukti
A.17 manajemen kelangsungan bisnis - kontrol yang membutuhkan perencanaan
kelangsungan bisnis, prosedur, verifikasi dan meninjau, dan IT redundansi
A.18 Kepatuhan - kontrol yang memerlukan identifikasi hukum dan peraturan yang
berlaku, perlindungan kekayaan intelektual, perlindungan data pribadi, dan ulasan tentang
informasi keamanan
36.
37.
38.
39. Pihak Terkait Kebutuhan dan Harapan
Manajemen Tata Kelola, ketersediaan Sumber Daya, struktur organisasi, peran dan akuntabilitas,
Kebijakan, tujuan, dan strategi
Para karyawan
Pemenuhan komitmen, kepatuhan terhadap kebijakan organisasi, proses dan pedoman
dan untuk memastikan mulus / operasi tidak terganggu. Harapan karyawan dalam hal
komitmen yang dibuat oleh organisasi harus dipenuhi.
Pemegang saham Hubungan dengan, dan persepsi dan nilai-nilai internal stakeholder
Jaajaran direktur Mempertahankan komitmen kepada pelanggan, goodwill dan reputasi organisasi, dan
mempertahankan laba atas investasi yang dilakukan pada bisnis, dalam totalitas
Persyaratan perusahaan
Standar, pedoman dan model yang diadopsi oleh organisasi
Pengguna / Departemen
lain
Teknologi informasi terkait persyaratan organisasi seperti akses yang tepat, IT infra
ketersediaan kepada pengguna internal dan departemen lain.
HR
ketersediaan sumber daya, kompetensi sumber daya, pelatihan, verifikasi latar belakang
dll,
Keuangan Persetujuan komitmen keuangan
Hukum Pemeriksaan kontrak Hukum dan melindungi organisasi dari non-kepatuhan persyaratan
hukum, peraturan dan kontrak
Memahami Kebutuhan dan Harapan dari Pihak Tertarik
40. Memahami Kebutuhan dan Harapan dari Pihak Tertarik
Pihak Terkait Kebutuhan & Harapan
Vendor Penyediaan barang dan jasa untuk memungkinkan organisasi untuk
memenuhi kebutuhan pelanggan
Pengguna / Umum
Teknologi informasi terkait persyaratan organisasi seperti akses yang
tepat, IT infra ketersediaan kepada pengguna internal dan departemen
lain
Pemerintah (A.18)
Penyampaian laporan yang diinginkan dan pernyataan dan persetujuan
untuk melaksanakan bisnis. Memenuhi persyaratan hukum, dan
peraturan.
Masyarakat dan
lingkungan
Alam dan kompetitif lingkungan, drive Key dan tren memiliki dampak
pada tujuan organisasi, Politik, status keuangan negara.
41.
42.
43. Risiko
Diberikan di bawah ini berbagai risiko yang mungkin dihadapi oleh
sebuah organisasi. Pergi melalui daftar klausa dan peta mereka
terhadap risiko masing-masing.
Ancaman /
Kepedulian Dampak ancaman
Dampak
Penilaian Probabilitas
Probabilitas
Penilaian
Akses tidak sah Ini akan / dapat
mengubah fungsi Tinggi Biasa terjadi Medium
Kehilangan Source
code
Sytem breakdown / akses
Kompetitif Tinggi Kadang Medium
dukungan
pemeliharaan
Kurangnya kepuasan
pelanggan Tinggi Sering Tinggi
Pelatihan dan
kesadaran Salah / operasi error Medium Sering Tinggi
44.
45.
46.
47.
48.
49. Firewall adalah perangkat keamanan jaringan yang
memantau dan menyaring lalu lintas jaringan yang masuk
dan keluar berdasarkan aturan keamanan (security rules)
yang telah ditetapkan sebelumnya.
Firewall merupakan perangkat lunak yang diinstal di dalam
komputer dan digunakan untuk meningkatkan proteksi
keamanan perangkat yang terhubung ke jaringan internet.
Firewall sering diibaratkan seperti tembok api yang bertugas
sebagai pos keamanan jaringan yang mencegah akses tidak
sah masuk ke dalam jaringan pribadi.
Hal ini dilakukan untuk mencegahan ancaman dari berbagai
macam virus ataupun serangan siber yang dapat merusak
data dan menyebabkan kerugian yang cukup besar.
50. DDoS merupakan kependekan dari Distributed Denial of Service
atau dalam bahasa Indonesia dapat diartikan sebagai Penolakan
Layanan secara Terdistribusi.
DDoS adalah jenis serangan yang dilakukan dengan cara
membanjiri lalu lintas jaringan internet pada server, sistem, atau
jaringan.
Untuk mencegah serangan DDoS yang membuat sistem berhenti
bekerja.
Memperbarui sistem operasi ke versi terbaru untuk mengatasi
menutupi bagian-bagian rentan yang bisa saja dijadikan pintu
masuk akses ilegal.
Membatasi akses dari dan ke sistem sehingga bisa menyaring
trafik data yang masuk dan keluar pada komputer atau server
yang Anda gunakan.
51. IPS (Intrusion Prevention System) merupakan salah satu
metode atau tools yang digunakan sebagai suatu sistem
pengamanan pada sebuah server. IPS mampu memberikan
pengamanan dari suatu serangan dengan memanfaatkan fitur
dari IDS (Intrusion Detection System) dan firewall sebagai fitur
untuk memblokir akses pada lalu lintas jaringan.
Serangan Distributed Denial of Service (DDoS) merupakan
salah satu serangan yang digunakan dengan tujuan untuk
membuat server menjadi down. Dalam penelitian ini dilakukan
penerapan IPS Suricata yang mampu memberikan pengaman
dari serangan DDoS. Dan dari hasil penelitian ini bahwa IPS
Suricata mampu mendeteksi serangan DDoS dan mampu
memblokir akses serangan tersebut dengan memanfaatkan
fitur firewall yaitu IPTables.
52. Keamanan jaringan atau network security adalah sebuah
sistem yang bertugas untuk mengidentifikasi dan mencegah
akses tidak sah pada suatu jaringan.
Upaya ini bertujuan agar akses penyusup pada sistem jaringan
tersebut dapat segera dihentikan. Dengan kata lain, network
security mengantisipasi ancaman serangan yang berpotensi
merusak sistem keamanan jaringan, baik logic maupun fisik.
Network security sendiri mencakup berbagai jaringan perangkat,
baik pribadi maupun jaringan yang bersifat publik. Keamanan
jaringan melibatkan access authorization ke data yang ada di
dalam suatu jaringan.
Sebagai proteksi sumber daya atau network resource, cara paling
umum yang biasanya digunakan adalah
penggunaan username dan password.
53. Aplikasi Manajemen Log diperlukan oleh admin security untuk
mengetahui apa saja aktifitas yang terjadi pada jaringan
termasuk juga pada insiden keamanan, log juga diperlukan untuk
memahami insiden apa yang sedang terjadi. Kemudian analisa
log diperlukan juga dalam proses forensik untuk mengetahui
alamat IP penyerang, teknik yang digunakan penyerang dll.
Aplikasi log management yang baik juga dapat memberi notifikasi
maupun alert bila terjadi insiden maupun aktifitas yang
mencurigakan pada jaringan.
Graylog adalah aplikasi open source untuk manajemen log.
54. Vulnerability Management adalah proses mengidentifikasi,
mengevaluasi, menangani, dan melaporkan kerentanan keamanan
dalam sistem dan perangkat lunak yang ada untuk
memprioritaskan kemungkinan ancaman dan meminimalkan
“cyber attack”.
Vulnerability management mengacu pada kelemahan teknologi
yang memungkinkan penyerang untuk mengkompromikan produk
dan informasi yang dimilikinya. Proses ini perlu dilakukan terus
menerus untuk mengikuti sistem baru yang ditambahkan ke
jaringan, perubahan yang dibuat pada sistem, dan penemuan
kerentanan baru dari waktu ke waktu.
55. Penetration Testing adalah percobaan dengan usaha menyerang sebuah
sistem dengan tujuan untuk mengetahui kelemahan keamanan yang
terdapat pada sistem tersebut. Penetration bertujuan untuk mencari
kelemahan yang ada dan memastikan keamanan terhadap suatu sistem.
Usaha ini dapat dilakukan oleh cracker yang mencoba untuk menyerang
sistem dan ketika mendapatkan hasil dari dari usahanya tersebut akan
diberitahukan kepada pihak yang memiliki sistem agar dapat segera
memperbaikinya dan sistem menjadi lebih kebal lagi.
Contoh penetration testing: Microsoft melakukan sayembara kepada
siapapun yang dapat menemukan kelemahan dari sistem operasi yang baru
diluncurkannya, apabila ditemukan maka orang tersebot akan
mendapatkan hadiah dari Microsoft.
56.
57. We Served Professional Services 57
1. Kebijakan Perusahaan tentang Keamanan Informasi yang sudah
ditandatangani Direktur
2. Lingkup penerapan Keamanan Informasi
3. Informasi asset
Database informasi
Prosedur terkait penanganan database
4. Dokumen / paper :
Data-data perusahaan
Kontrak pekerjaan
Data pelanggan
.5. Aset fisik
Data komputer
Fax
AC
Server/jaringan
Building
DATA KEBUTUHAN AUDIT ISO 27001:2013
SISTEM MANAJEMEN KEAMANAN INFORMASI
(1)
58. We Served Professional Services 58
6. Aset Orang-orang :
Data karyawan
Data pelatihan
Data kontrak kerja karyawan
.7. Penggunaan Asset (Hak Akses)
Akses masuk
Akses approval
Akses jaringan
. 8. Identifikasi risiko dan pengendaliannya
9. Program Disaster Recovery Plan / Contingency Plan / Emergency Response
Plan
10. Communication customer
11. Catatan kerahasiaan
12. IT report
DATA KEBUTUHAN AUDIT ISO 27001:2013
SISTEM MANAJEMEN KEAMANAN INFORMASI
(2)
60. MENGAPA PERLU MELAKSANAKAN
SISTEM MANAJEMEN LAYANAN IT
ISO 20000-1:2018
60
Bertujuan agar organisasi dapat:
a. Membantu organisasi dalam mengelola pengembangan dan penerapan
layanan sistem informasi yang dioperasikan untuk meningkatkan
penjaminan mutu organisasi.
b. Menjamin dan menjadikan system manajemen sebagai proses standar
praktek yang baik untuk menunjukkan kemampuan layanan yang lebih baik
dan mempertahankan akan kebutuhan dan rencana bisnis pelanggan..
61. ITSM (IT Service Management)
adalah manajemen dari semua proses yang
bekerja sama untuk memastikan kualitas
layanan, sesuai dengan tingkat layanan yang
telah disepakati dengan pelanggan.
Seperti desain, organisasi, pengendalian,
pengadaan, dukungan dan peningkatan layanan
TI, disesuaikan dengan kebutuhan organisasi
62. Manajemen Layanan
IT Service Manajemen meliputi :
Service Support berfokus penggunaan dari
layanan TIK dan terkait dengan penjamin bahwa
akses layanan sesuai dengan fungsi bisnis.
Service Delivery terkait dengan pengembangan
layanan ke depan yang bisnis butuhkan dari
provider TIK untuk menyediakan dukungan bisnis
kepada user
62
63. Standar ISO/IEC 20000 Manajemen
Layanan Teknologi Informasi
Pengertian Standar ISO/IEC 20000
ISO/IEC 20000 adalah seri standar internasional mengenai
manajemen layanan teknologi informasi atau Information
Technology Service Management (ITSM) .
Standar tersebut dikeluarkan oleh 2 organisasi internasional
yaitu ISO/IEC sehingga penulisannya menjadi ISO/IEC
20000, atau juga ditulis menjadi ISO 20000 atau IEC
20000
64. Sejarah Standar ISO/IEC 20000
British Standards BS 15000, yang dikembangkan oleh
BSI Group.
Bulan Desember 2005 terbit Edisi 1 ISO/IEC 20000
disusun oleh ISO, IEC, JTC1 dan SC7 untuk
menggantikan standar sebelumnya.
Edisi 2 terbit pada tahun 2011, dengan nama ISO / IEC
20000-1: 2011 untuk menggantikan versi tahun 2005.
Edisi 3 terbit pada tahun 2018, dengan nama ISO / IEC
20000-1: 2018 (new standar)
65. ISO/IEC 20000-1 adalah seri standar
internasional mengenai manajemen
layanan teknologi informasi atau
Information Technology Service
Management (ITSM) .
67. ISO/IEC 20000 - Series
• ISO 20000-1:2018 Bagian 1: Spesifikasi
– Mendefinisikan persyaratan bagi penyedia layanan
untuk memberikan layanan terkelola dengan mutu
yang dapat diterima bagi pelanggannya.
• ISO 20000-2: 2019 Bagian 2: Kode praktik
– Menyediakan panduan untuk Auditor Internal untuk
audit terhadap ISO 2000-1
– Layanan bantuan penyedia merencanakan perbaikan
internal
69. ISO 20000-1 : 2018 merupakan sistem manajemen layanan IT
yang diakui secara internasional yang dapat membuat
perusahan menunjukan keunggulan serta praktik terbaiknya
dalam manajemen layanan IT.
ISO 20000-1 2018 menetapkan persyaratan pada organisasi
atau perusahaan untuk menerapkan, menjaga serta terus
meningkatkan service management system (SMS) dan
layanannya dalam suatu organisasi atau perusahaan.
Apa itu ISO 20000-1
70. Kata LAYANAN pada standar ISO 20000-1 : 2018
mencakup kegiatan yang dilakukan oleh
organisasi dalam memberikan layanan kepada
pelanggan internal maupun layanan yang menjadi
bagian organisasi yang lebih besar dengan
mengelola serta memberikan layanan eksternal
sehingga dapat disebut sebagai penyedia layanan.
Services dalam ISO 20000-1
74. 10 Klausul pada ISO 20000-1: 2018
High Level Structure
. .
Scope
Normative reference
2
1
3
Context of the organization
Leadership
Planning
4
5
6
Support
Operation
Performance Operation
8
7
9
Improvement
10
Term & definition
Normative reference
75. 1.Organisasi atau perusahaan, dalam meningkatkan serta
memaksimalkan mulai dari perencanaan, desain transisi, pengiriman
sampai pada peningkatan pelayanan dalam penerapan dan kegiatan
operasional sistem manajemen pelayanan IT yang efektif serta
efisien.
2.Organisasi atau perusahaan dalam menunjukan kelebihannya
serta sebagai alat untuk memantau dan mengukur sistem
manajemen layanan serta layanannya.
3.Perusahaan atau pihak lainnya dalam melakukan penilaian sesuai
dengan syarat yang berlaku dalam standar sistem manajemen
layanan ini (ISO 20000-1: 2018)
SIAPA SAJA YANG MENDAPAT MANFAAT DARI
STANDAR ISO 20000-1
76. 4. Pelanggan, yang membutuhkan layanan dan
menginginkan jaminan atas kualitas layanan yang
menginginkan pendekatan berkelanjutan terhadap semua
penyedia layanan termasuk didalamnya rantai pasok
layanan.
5. Organisasi atau perusahaan, sebagai kriteria penilaian
Sertifikasi Internasional terhadap pelayanan sesuai dengan
persyaratan dalam ISO 20000-1: 2018.
SIAPA SAJA YANG MENDAPAT MANFAAT DARI
STANDAR ISO 20000-1
77. Ruang lingkup ISO 20000-1: 2018 mencangkup persyaratan
untuk sistem manajemen seperti: merencanakan,
menerapkan, proses pengiriman layanan, sampai pada
proses pelepasan.
Standar ISO 20000-1: 2018 ini dirancang guna membentuk
konsistensi dalam pengelolaan layanan serta insfrastruktur
IT baik untuk internal perusahaan maupun eksternal
perusahaan yang dapat memberikan manfaat baik bagi
perusahaan maupun pihak lain yang berkaitan.
RUANG LINGKUP PENERAPAN ISO 20000-1:
2018
Standar ISO 20000-1: 2018 ini mengadopsi pendekatan pada
proses untuk menetapkan, menerapkan, mengoperasikan,
memantau, meninjau (PDCA) menjaga serta meningkatkan sistem
manajemen layanan IT pada suatu organisasi atau perusahaan.
78. 4. Context of the
organization
4. Context of the organization /
Kontek organisasi
4.1 Understanding the organization and its
context /
Memahami organisasi dan konteknya
4.2 Understanding the needs and expectations of
interested parties / mamahami kebutuhan dan
ekspektasi dari pihak yang berkepentingan
4.3 Determining the scope of the quality
management system / menetapkan lingkup dai
sistem manajemen mutu
4.4 Quality management system / Sistem
mamajemen mutu
Plan Do
Check
Action
KLAUSUL 4 KONTEKS ORGANISASI
79. Klausa 4 – KONTEKS ORGANISASI
Klausul ini mengharuskan menetapkan konteks Sistem
Manajemen Layanan TI dengan cara mengidentifikasi
semua masalah internal dan eksternal yang relevan, dan
dapat mempengaruhi, arah strategis organisasi dan SMS.
Termasuk juga perlu mengidentifikasi kebutuhan dan
harapan pelanggan dan pihak berkepentingan lainnya yang
relevan dengan sistem manajemen layanan IT di organisasi.
Adapun pihak-pihak yang berkepentingan dapat mencakup
pekerja, pemegang saham, sub-kontraktor, regulator,
holding, subholding.
80. STRONG WEAKNESS
Brand Telkom Belum tersertifikasi Standar
Internasional
Infrastruktur Network dan Data Center Pengembangan Layanan IT
Sertifikasi IT
ISU INTERNAL
OPPORTUNITY THREAT
Pemanfaatan data yang dikelola Serangan fraud terhadap sistem
Pengembangan aplikasi Permintaan aplikasi yang melebihi laju
pengembangan
ISU EKSTERNAL
81. Ruang lingkup dari penerapan sistem manajemen layanan
mencakup layanan Information System Development, Attendance
System dan Internet Services
Proses Bisnis Ketergantungan Layanan Pengguna
Pihak yang
berkepentingan
Penanggung Jawab
Tingkat
Kekritisan
Information System Development (ISO/IEC 20000)
Pengajuan
Kebutuhan Aplikasi
Aplikasi yang tertera pada
dokumen project plan
Sesuai yang tertera
pada dokumen project
plan untuk setiap aplikasi
Pemilik Proses
Unit ………..
Bagian Pengembangan
Produk TI Medium
Implementasi
1. Aplikasi yang tertera pada
dokumen project plan dan
2. Akun Admin
3. Jaringan internet
Sesuai yang tertera pada
dokumen project plan
untuk setiap aplikasi
Pemilik Proses
Unit …….
1. Bagian Pengembangan
Produk TI
2. Pemilik Proses Medium
Pengujian Aplikasi
1. Aplikasi yang tertera pada
Dokumen project
2. Akun Admin
3. Jaringan internet
Sesuai yang tertera
pada dokumen project
plan untuk setiap aplikasi
Pemilik Proses
Unit ……
1. Bagian
Pengembangan
Produk TI 2. Pemilik
Proses
Medium
Serah Terima
Aplikasi
1. Aplikasi yang tertera pada
dokumen project
2. Dokumen UAT, BAST dan
kepuasan pengguna
Sesuai yang tertera pada
dokumen project plan
untuk setiap aplikasi
Pemilik Proses
Unit …..
Bagian Pengembangan
Produk TI Medium
82. Ruang lingkup dari penerapan sistem manajemen layanan
mencakup layanan Information System Development, Attendance
System dan Internet Services
Proses Bisnis Ketergantungan Layanan Pengguna
Pihak yang
berkepentingan
Penanggung Jawab
Tingkat
Kekritisan
Attendance System (ISO/IEC 20000)
Keberfungsian
RFID Reader
1. Perangkat RFID Reader
2. Kabel
3. Switch
4. Server
5. Aplikasi ……..
1. Manajemen
2. Karyawan
1. Bagian Admin
2. Bagian HR
1. Perangkat:
Network Engineer
Unit
Infrastruktur TI
2. Sistem:
Bagian Aplikasi Database
– Unit Infrastruktur TI
Medium
Keberfungsian kartu
RFID
1. Kartu RFID
2. Perangkat RFID Reader
3. Kabel
4. Switch
5. Server
6. Aplikasi ………….
1. Manajemen
2. Karyawan 1. Bagian Admin
2. Bagian HR
Helpdesk
menyarankan pengguna
untuk ke bagian Admin
atau SDM jika kartu
HR tidak bisa
digunakan/rusak
Medium
Keberfungsian
Aplikasi Kehadiran
1. Aplikasi ……………..
2. Jaringan Internet
3. Akun Admin
1. Manajemen
2. Karyawan
1. Bagian Admin
2. Bagian HR
Bagian HR
Medium
83. Ruang lingkup dari penerapan sistem manajemen layanan
mencakup layanan Information System Development, Attendance
System dan Internet Services
Proses Bisnis Ketergantungan Layanan Pengguna
Pihak yang
berkepentingan
Penanggung Jawab
Tingkat
Kekritisan
Internet Services (ISO/IEC 20000 dan ISO/IEC 27000)
Keberfungsian Layanan
Internet Akses
1. Router
2. Switch
3. Access point
4. Kabel
5. Portal login
6. Server
1. Manajemen
2. Karyawan
3. Tamu Manajemen
Perangkat, Konfigurasi
dan Maintenance:
Unit Infrastruktur TI Low
Keberfungsian Layanan
Data Center Server
1. Manajemen
2. Karyawan
3. Tamu Manajemen
Perangkat,
Konfigurasi dan
Maintenance:
Unit Infrastruktur TI
Medium
Keamanan Informasi
1. Router
2. Server
3. Server User Management
1. Manajemen
2. Karyawan
3. Tamu
Manajemen
Instalasi, Konfigurasi
& Operasional:
Unit Infrastruktur TI
Review Access:
Unit Keamanan TI
High
84. Ruang lingkup dari penerapan sistem manajemen layanan mencakup layanan
Broadcast Services
Proses Bisnis Ketergantungan Layanan Pengguna
Pihak yang
berkepentingan Penanggung Jawab
Tingkat
Kekritisan
Broadcast Services
Pengajuan
Kebutuhan
Aplikasi
Aplikasi yang tertera pada
dokumen project plan
Customer
1. Customer/Head
of
Marketing/Head
of Business
Development/
Head of
Sales/Pihak
terkait
2. Manajemen
Head of Broadcast
Operation Medium
Implementasi
1. Jaringan internet
provider
2. Personalisasi konten
seperti memanggil nama,
memasukan file, gambar,
video, dan lokasi.
3. Chanel media sosial
Customer
Customer/Head of
Marketing/Head of
Business
Development/ Head
of Sales/Pihak
terkait
Officer, Project
Manager
Medium
Pengujian
Aplikasi
1. Jaringan internet
provider
2. Personalisasi konten
seperti memanggil nama,
memasukan file, gambar,
video, dan lokasi.
3. Chanel media sosial
Customer
Customer/Head of
Marketing/Head of
Business
Development/ Head
of Sales/Pihak
terkait
Officer, Project
Manager
Medium
85. Ruang lingkup dari penerapan sistem manajemen layanan mencakup layanan Content
Proses Bisnis Ketergantungan Layanan Pengguna
Pihak yang
berkepentingan Penanggung Jawab
Tingkat
Kekritisan
Content
Pengajuan
Kebutuhan
Aplikasi
Aplikasi yang tertera pada
dokumen project plan
Customer
1. Customer
2. Manajemen Head of Content
Medium
Implementasi
1. Jaringan internet provider
2. Personalisasi konten
seperti memanggil nama,
memasukan file, gambar,
video, dan lokasi.
3. Chanel media sosial
Customer
1. Customer
2. Manajemen
Officer, Content
Acquisition
Medium
Pengujian
Aplikasi
1. Jaringan internet provider
2. Personalisasi konten
seperti memanggil nama,
memasukan file, gambar,
video, dan lokasi.
3. Chanel media sosial
Customer
1. Customer
2. Manajemen
Head of Content
Medium
86. Application software merupakan program yang didesain untuk meningkatkan
kinerja user serta membantu user dalam menjalankan tugas-tugas di
perusahaan
Data Analytics (DA) merupakan proses inspeksi serangkaian
data yang berguna untuk mendapatkan kesimpulan dari
informasi yang ada dan meningkatkan sistem pada software.
Infrastructure merupakan segala sesuatu yg merupakan penunjang
utama terselenggaranya suatu proses IT sebagai sistem sebagai
layanan dan fasilitas yang diperlukan agar TI dapat berfungsi dengan
baik seperti platform untuk aplikasi sistem informasi perusahaan.
ICT mencakup dua aspek yaitu teknologi informasi dan teknologi
komunikasi. Teknologi informasi meliputi segala hal yang
berkaitan dengan proses & penggunaan sebagai alat bantu
pengelolaan informasi
4 POIN UTAMA DALAM TATA KELOLA ISO 20000-1
88. Kebijakan Penyelenggaran Manajemen Layanan
PT. XXXX berkomitmen menyelenggarakan layanan teknologi informasi dengan berpegang
kepada prinsip-prinsip berikut ini:
a) Menjamin berfungsinya layanan teknologi informasi sesuai harapan pengguna layanan
b) Menjamin layanan teknologi informasi yang dikembangkan sesuai dengan standar
pengembangan sistem.
b) Menjamin penyelenggaraan layanan teknologi sesuai dengan harapan pengguna layanan
c) Menjamin penyelenggaraan layanan teknologi informasi sesuai dengan standar
internasional.
d) Menjamin sistem manajemen keamanan informasi terkait layanan internet akses sesuai
dengan standar internasional.
Dalam upaya menjalankan prinsip-prinsip penyelenggaraan layanan tersebut, PT. Multimedia
Nusantara akan mengkomunikasikan pelaksanaan operasional sistem manajemen layanan
kepada para pihak yang berkepentingan.
89. Sasaran atas Layanan IT
No Sasaran Rencana Pencapaian
Penanggung
Jawab
Periode Pemantauan Sumber
Data
Information
System
Development
Attendance
System
Services
Internet Access
Services
1 Hasil pengukuran ketersediaan
sistem adalah 97% setiap bulan
1. Memastikan fitur redundancy /high
availability terpasang pada seluruh
service components (Teknologi)
2. Menyediakan SDM untuk melakukan
pemantauan ketersediaan layanan
berkala (SDM)
3. Menyusun rencana antisipasi
4. (tanggap darurat) atas kondisi
disruption (Proses)
Inftrastruktur
TI
N/A Bulanan
Bulanan Laporan
ketersediaan
layanan &
Sistem
Informasi
Data
2
Kapasitas Internet dengan rasio
bandwidth per karyawan
minimal KBPM >= 2 Kbps
1. Penerapan pembatasan bandwidth per
karyawan (teknologi).
2. Pemantauan rasio jumlah karyawan atas
kapasitas bandwidth;
Infrastruktur
TI
N/A N/A Tahunan
Laporan
layanan
pemakaian
internet
3
Penyelesaian keluhan
terhadap Attendance System
services, maksimal 3 hari kerja
(min 96%)
1. Pengembangan Aplikasi
Service Desk;
2. Penyediaan Data Kehadiran
3. Penyelesaian Komplain
Attendance System services
Layanan TI
Bulanan Bulanan Bulanan
Laporan
Helpdesk
System
4
Penyelesaian pengembangan
sistem informasi sesuai
kebutuhan
(min 93%)
1. Pengembangan Sistem Informasi
Layanan Terintegrasi
2. Pengembangan Layanan …………….
Developer TI
Setiap siklus
tahapan
N/A N/A
Laporan
Siklus
Pengembanga
n Sistem
Informasi
90. klausa 8 – PENGOPERASIAN SISTEM MANAJEMEN
LAYANAN
Klausul 8.1 – Perencanaan Dan Pengendalian Operasional
Bagian operasional utama dari standar dan berhubungan dengan
penyediaan layanan. Organisasi perlu merencanakan,
mengimplementasikan dan mengendalikan proses operasional
Klausul 8.2 – Portofolio layanan
Klausul 8.2.1 - Pengiriman layanan
Ini adalah pengelolaan seluruh siklus hidup semua layanan dalam
katalog layanan. Katalog layanan adalah persyaratan utama standar
dan sering dikutip dalam ruang lingkup.
91. Klausul 8.2.2 - Rencanakan layanan
Persyaratan layanan dari layanan yang ada harus
ditentukan dan didokumentasikan.
•Tentukan kekritisan layanan
•Menentukan dan mengelola dependensi
•Usulkan perubahan untuk menyelaraskan kebijakan,
tujuan, dan persyaratan layanan
•Prioritaskan permintaan untuk perubahan
92. Klausul 8.2.3 – Pengendalian pihak-pihak yang terlibat dalam siklus
hidup layanan
Organisasi mempertahankan akuntabilitas untuk layanan yang diberikan
termasuk menentukan dan menerapkan kriteria untuk evaluasi dan
harus menentukan & mendokumentasikan:
• Jasa yang diberikan oleh pihak lain
• Komponen layanan yang dipasok oleh pihak lain
• Proses atau bagian dari proses yang dipasok oleh pihak lain
Organisasi harus menetapkan dan menerapkan kontrol untuk pihak lain
untuk:
• Mengukur Dan Mengevaluasi Kinerja
• Mengukur Dan Mengevaluasi Efektivitas
Klausul 8.2.4 - Katalog manajemen layanan
Organisasi harus membuat dan memelihara katalog manajemen
layanan.
93. Klausul 8.2.5 - Manajemen Aset
Organisasi harus memastikan aset dikelola. Aset sebagai “barang,
benda atau entitas yang memiliki nilai potensial atau aktual bagi
suatu organisasi”.
Klausul 8.2.6 - Manajemen konfigurasi
Organisasi harus menetapkan dan mencatat informasi konfigurasi
termasuk:
• Identifikasi unik
• Jenis item konfigurasi
• Deskripsi item konfiguras
• Status
Manajemen konfigurasi harus:
•dapat dilacak dan diaudit
•diverifikasi untuk akurasi pada interval yang direncanakan
•tersedia sebagaimana mestinya
94. Pasal 8.3 – Hubungan Dan Kesepakatan
Klausul 8.3.1 - Umum
Organisasi dapat menggunakan pemasok atau pihak lain untuk
menyediakan bagian dari layanan tetapi tidak untuk menyediakan
atau mengoperasikan semua layanan, komponen layanan, atau
proses dalam ruang lingkup.
Klausul 8.3.2 - Manajemen hubungan bisnis
Pelanggan, pengguna dan pihak berkepentingan lainnya harus
diidentifikasi dan didokumentasikan.
Satu atau lebih individu yang ditunjuk harus bertanggung jawab
untuk mengelola hubungan pelanggan dan menjaga kepuasan
pelanggan.
Organisasi harus menetapkan pengaturan untuk
mengomunikasikan seluruh rangkaian komunikasi yang mereka
tentukan diperlukan untuk Sistem Manajemen Layanan mereka.
Kepuasan harus diukur pada interval yang direncanakan.
Pengaduan harus dicatat, dikelola untuk ditutup dan dilaporkan.
95. Pasal 8.3 – Hubungan Dan Kesepakatan
Klausul 8.3.3 - Manajemen tingkat layanan
Organisasi dan pelanggan harus menyetujui layanan yang akan
diberikan. Satu atau lebih SLA harus dibuat termasuk:
• Target tingkat layanan
• Batas beban kerja
• Pengecualian
Pada interval yang direncanakan, organisasi harus memantau, meninjau
dan melaporkan:
•Kinerja terhadap target tingkat layanan
•Perubahan aktual dan berkala pada beban kerja
Harus didokumentasikan.
96. Klausul 8.3.4 - Manajemen pemasok
Harus ada satu atau lebih individu yang ditunjuk yang bertanggung jawab
untuk mengelola hubungan. Kontrak harus didokumentasikan, dengan
menyatakan:
•lingkup layanan
•target tingkat layanan
•wewenang dan tanggung jawab
Organisasi harus menetapkan dan mengelola antarmuka antara Sistem
Manajemen Layanan dan pemasoknya.
Klausul 8.3.4.2 - Manajemen pemasok internal dan pelanggan bertindak
sebagai pemasok
Organisasi harus mengembangkan dan menetapkan kesepakatan. Kinerja
harus dipantau pada interval yang direncanakan.
Klausul 8.4 – Penawaran Dan Permintaan
Klausul 8.4.1 - Penganggaran & akuntansi untuk layanan
Organisasi harus memantau dan melaporkan biaya aktual pada interval
yang direncanakan.
97. Klausul 8.4.2 - Pengelolaan permintaan
Organisasi harus, pada interval yang direncanakan:
•Menentukan permintaan saat ini dan memperkirakan
permintaan
•Pantau dan laporkan sesuai permintaan
Klausul 8.4.3 - Manajemen kapasitas
Organisasi harus menentukan, mendokumentasikan dan
memelihara Rencana Kapasitas yang harus mencakup:
• Kapasitas saat ini dan perkiraan
•Dampak yang diharapkan
•Rentang waktu dan ambang batas
Organisasi harus memantau penggunaan kapasitas, menganalisis
data kapasitas dan kinerja.
98. Klausul 8.5 – Desain, Pembuatan, Dan Transisi Layanan
Klausul 8.5.1 - Ubah manajemen
Klausul 8.5.1.1 - Ubah kebijakan manajemen
Kebijakan manajemen perubahan adalah persyaratan utama
standar. Organisasi harus menetapkan dan mendokumentasikan
kebijakan untuk menetapkan:
• komponen layanan di bawah manajemen perubahan
• kategori perubahan termasuk keadaan darurat dan cara
mengelola
• kriteria untuk menentukan perubahan yang berdampak besar
Klausul 8.5.1.2 - Inisiasi manajemen perubahan
Organisasi harus menggunakan desain dan transisi layanan.
Dokumen harus dicatat dan diklasifikasikan.
Klausul 8.5.1.3 - Ubah aktivitas manajemen
Organisasi harus mempertimbangkan risiko dan dampak. Ini
harus dicatat.
99. Klausul 8.5.2 - Desain dan transisi layanan
Klausul 8.5.2.1 - Rencanakan layanan baru atau yang diubah
Organisasi harus merencanakan layanan baru dan yang diubah
termasuk:
• wewenang dan tanggung jawab
• kegiatan yang dilakukan
• sumber daya
• pengujian
• kriteria penerimaan
• hasil yang diinginkan
• berdampak pada SMS
Item ini diidentifikasi sebagai bagian dari Sistem Manajemen
Layanan harus ditentukan oleh organisasi.
100. Klausul 8.5.2.2 - Desain
Organisasi harus merancang &n mendokumentasikan layanan baru atau
yang diubah termasuk:
•wewenang dan tanggung jawab
•sumber daya
•pendidikan, pelatihan dan pengalaman
•SLA
•perubahan ke SMS
•berdampak pada layanan lain
•perbarui ke katalog layanan
Klausul 8.5.2.3 - Bangun dan transisi
Layanan baru perlu dibangun dan diuji serta penerapannya dikelola. Hasil
harus dilaporkan kepada pihak yang berkepentingan. Ini harus
didokumentasikan.
Klausul 8.5.3 - Manajemen rilis dan penerapan
Keberhasilan atau kegagalan rilis harus dipantau dan dianalisis dan
informasi mengenai hal ini tersedia.
101. Klausul 8.6 – Resolusi Dan Pemenuhan
Klausul 8.6.1 - Manajemen insiden
Insiden harus:
•direkam dan diklasifikasikan
•diprioritaskan
•meningkat
•terselesaikan
•tertutup
Insiden besar harus dikelola sesuai dengan prosedur yang
terdokumentasi.
Klausul 8.6.2 - Manajemen permintaan layanan
Permintaan layanan harus:
•direkam dan diklasifikasikan
•berlatih
•terpenuhi
•tertutup
102. Klausul 8.6.3 - Manajemen Masalah
Organisasi harus menganalisis data dan tren untuk mengidentifikasi
masalah. Masalah harus:
• Direkam dan diklasifikasikan
•Diprioritaskan
• Meningkat
•Terselesaikan
• Tertutup
Pada interval yang direncanakan, masalah harus dipantau, ditinjau dan
dilaporkan.
Pasal 8.7 – Jaminan layanan
Klausul 8.7.1 - Manajemen ketersediaan layanan
Organisasi harus menentukan persyaratan dan target yang
didokumentasikan, dipelihara dan dipantau.
Klausul 8.7.2 - Manajemen kontinuitas layanan
Risiko terhadap kesinambungan layanan harus dinilai dan
didokumentasikan pada interval yang direncanakan.
103. Klausul 8.7.3 - Manajemen Keamanan Informasi
Organisasi harus memiliki kebijakan Manajemen Sistem Keamanan
Informasi yang terdokumentasi.
Klausul 8.7.3.2 - Kontrol keamanan informasi
Seperti di atas, risiko terhadap keamanan informasi harus dinilai dan
didokumentasikan.
Klausul 8.7.3.3 - Insiden keamanan informasi
Insiden harus:
• Direkam dan diklasifikasikan
• Diprioritaskan
• Terselesaikan
104. • Membentuk Tim ISO 20000 dan menunjuk
MR/Penanggung Jawab ISO 20000-1:2018
• Pelatihan ke seluruh karyawan
• Identifikasi persyaratan ISO 20000-1:2018
• Susun dokumen perusahaan terhadap persyaratan
standar ISO 20000-1:2018
• Membangun penerapan / implementasikan sistem
manajemen mutu
• Lakukan audit internal dan tinjauan manajemen
• Komunikasikan dengan Certification Body for
rencana sertifikasi
104
STRATEGI MENERAPKAN SMLIT
ISO 20001:2018
105. Faktor keberhasilan
ISO/IEC 20000
Komitmen dan dukungan manajemen – alokasi
sumber daya dan kemampuan
Fokus pada implementasi aktivitas dalam bisnis
dalam organisasi
Libatkan orang / semua tim
Penggunaan alat yang memadai
Sertifikasi seharusnya tidak menjadi tujuan itu
sendiri