1) Dokumen tersebut membahas pentingnya melakukan latihan dan pengujian rencana kesinambungan bisnis secara teratur untuk memvalidasi efektivitas strategi dan solusinya.
2) Metodologi yang tepat harus diikuti dalam merencanakan dan mengelola latihan agar efektif dan efisien.
3) Laporan pasca-latihan formal perlu disusun untuk mengevaluasi hasil latihan, memberikan rekomendasi perbaikan, dan mem
2. Introduction
• Satu-satunya cara agar organisasi dapat memastikan
bahwa business continuity plan-nya berhasil adalah
melalui latihan yang direncanakan. Sangatlah penting
bahwa semua orang yang diharapkan untuk berperan
dalam pengaturan business continuity management
memahami peran mereka dan merasa cukup nyaman
dengannya. Ini hanya bisa dicapai dengan latihan.
• Desain dan manajemen latihan harus mengikuti
metodologi struktur yang benar agar efektif dan efisien.
Yang sangat penting untuk desain dan manajemen latihan
adalah partisipasi aktif dari pimpinan tingkat strategis
organisasi.
3. Klausa PDCA
Continual Improvement of Business
Continuity Management System (BCMS)
• Clause 4 – Context Organization
• Clause 5 – Leadership
• Clause 6 – Planning
• Clause 7 – Support
Interested
Parties
Interested
Parties
Requirements
for Business
Continuity
Managed
Business
Continuity
Establish
(PLAN)
Implement
& Operate
(DO)
Monitor &
Review
(CHECK)
Maintain &
Improve
(ACT) Clause 8 –
Operation
Clause 10 –
Improvement
Clause 9 – Performance
Evaluation
5. 8.5 Exercise programm
Organisasi harus menerapkan dan memelihara
program latihan dan pengujian untuk memvalidasi
efektivitas strategi dan solusi kesinambungan
bisnisnya dari waktu ke waktu.
Organisasi harus melakukan latihan dan pengujian
yang:
a) konsisten dengan tujuan kelangsungan bisnis;
b) didasarkan pada skenario yang sesuai yang
direncanakan dengan baik dengan maksud dan
tujuan yang jelas;
Exercising dan Testing BCP
6. 8.5 Exercise programm …
c) mengembangkan kerja tim, kompetensi, kepercayaan
diri dan pengetahuan bagi mereka yang memiliki peran
untuk dilakukan terkait dengan gangguan;
d) dilakukan bersama dari waktu ke waktu, memvalidasi
strategi dan solusi kelangsungan bisnis;
e) menghasilkan laporan pasca-latihan formal yang berisi
hasil, rekomendasi dan tindakan untuk melaksanakan
perbaikan;
f) ditinjau dalam konteks mempromosikan perbaikan
berkelanjutan;
g) dilakukan pada interval yang direncanakan dan bila
ada perubahan signifikan dalam organisasi atau
konteks operasinya.
Organisasi harus bertindak berdasarkan hasil
pelaksanaan dan pengujiannya untuk
mengimplementasikan perubahan dan peningkatan.
8. Methodology & Process for
Planning Exercises
1. Review previous exercises
2. Identify exercise objective and scope
3. Assess exercise constraints
4. Designing the exercise strategy
5. Exercise logistics
6. Development of exercise schedule
7. Exercise risk identification
8. Post exercise written report
9. 1. Review previous exercises
• Saat merencanakan pelatihan, hasil latihan sebelumnya harus
selalu dipertimbangkan. Harus selalu ada perkembangan
alami dari latihan sederhana ke latihan kompleks.
• Informasi dari latihan sebelumnya sangat berguna dalam
mengidentifikasi tujuan latihan saat ini. Beberapa masalah
terpenting dalam tinjauan latihan sebelumnya dapat
membantu menentukan:
Komponen dan area rencana keberlangsungan bisnis yang
belum menjadi bagian dari latihan.
Komponen dan proses rencana keberlangsungan bisnis
yang tidak berjalan.
• Tantangan dan kendala yang dihadapi selama pelaksanaan
latihan sebelumnya dapat membantu mengidentifikasi risiko
dalam rencana latihan yang baru.
10. 2. Identify exercise objective and
scope
• Tujuan latihan dapat menentukan kriteria kesuksesan
pelaksanaannya nanti. Penting untuk menentukan
tujuan latihan secara tepat dan terukur.
• Biasanya waktu yang dialokasikan dan anggaran yang
tersedia untuk latihan terbatas, jadi akan sangat
membantu untuk membagi tujuan latihan menjadi
sasaran dasar dan sekunder.
• Sasaran dasar adalah vital. Berfokus pada area rencana
kesinambungan bisnis yang harus dicapai untuk
mempertimbangkan keberhasilan latihan.
11. Beberapa contoh tujuan dasar:
• Mentukan kesesuaian rencana kelangsungan bisnis.
• Mentukan kecukupan sumber daya yang tersedia.
• Mentukan efektivitas rencana cadangan.
• Memulihkan aplikasi penting yang diidentifikasi dalam
rencana kesinambungan bisnis.
12. 2. Identify exercise objective and
scope …
• Tujuan sekunder mencakup bidang-bidang rencana
kesinambungan bisnis lainnya yang diinginkan, namun
kegagalan untuk melakukannya tidak membuat latihan
tersebut dianggap tidak berhasil.
• Tujuan sekunder diberi prioritas yang lebih rendah
dibandingkan dengan tujuan dasar, dan oleh karena itu,
tujuan sekunder tersebut hanya diupayakan jika waktu
dan sumber dayanya memang tersedia.
13. ilustrasi tentang apa tujuan sekunder, sbb:
• Memulihkan aplikasi terdistribusi tertentu.
• Mengubah rute komunikasi ke fasilitas
pemulihan.
• Menguji Uji transisi ke situasi yang original
setelah situasi pemulihan alternatif selesai.
14. Ruang lingkup latihan:
Biasanya ruang lingkup latihan menjelaskan:
• Tahapan, kegiatan dan prosedur rencana kesinambungan
usaha yang akan dilaksanakan.
• Unit bisnis dan tim latihan kelangsungan bisnis yang
diperlukan untuk melakukan latihan.
• Mitra bisnis, vendor, dan pemasok yang akan membantu
terlaksananya latihan.
Ruang lingkup latihan juga harus secara eksplisit
menguraikan area utama dari rencana kesinambungan
bisnis yang tidak akan diuji.
15. 3. Assess exercise constraints
• Batasan latihan adalah elemen yang membatasi untuk
melakukan latihan. Pemahaman yang jelas tentang kendala
latihan dan potensi efeknya pada latihan sangat penting
untuk mengembangkan strategi, logistik, dan jadwal tes
yang layak.
• Beberapa contoh kemungkinan kendala latihan adalah:
Kendala finansial. Anggaran latihan yang terbatas dapat
mempengaruhi pelaksanaan latihan.
Pembatasan keamanan. Latihan tersebut mungkin
memerlukan akses ke data dan transaksi rahasia serta
sistem dan fasilitas yang sensitif.
Ketersediaan anggota tim penguji kelangsungan bisnis
dapat menjadi kendala dalam pelaksanaan latihan.
16. 4. Designing the exercise strategy
• Langkah ini menetapkan strategi untuk
mencapai tujuan pengujian yang telah
ditentukan pada Langkah 2.
• Informasi strategi yang terkait dengan tujuan
pengujian dari latihan sebelumnya dapat
digunakan sebagai dasar untuk
mengembangkan strategi pengujian saat ini.
• Salah satu tujuan dari langkah ini adalah untuk
memastikan bahwa rencana latihan konsisten
dengan kendala pengujian yang diidentifikasi
pada Langkah 3.
17. Komponen yang perlu dipertimbangkan dalam
pengembangan strategi pengujian ini adalah:
a) Waktu. Menetapkan tanggal, waktu dan durasi
latihan membutuhkan pertimbangan yang cermat
terhadap batasan pengujian dan ketersediaan
sumber daya yang diperlukan. Perlu dievaluasi
kesiapan dan ketersediaan berbagai sumber daya,
seperti:
1) perangkat lunak pengujian dan data,
2) alat uji khusus,
3) tim latihan kelangsungan bisnis, 4) perangkat
keras pemulihan.
18. b) Metode latihan. Beberapa metode latihan:
• Talk through.
• Walk through.
• Role play scenario.
• Full interruption exercise.
Program latihan untuk kelangsungan bisnis
harus menggabungkan metode latihan yang
diumumkan dan yang tidak diumumkan.
19. 3) Skenario latihan. Skenario latihan menggambarkan
gangguan bisnis dalam komponen berikut:
(1)Jenis gangguan: jenis gangguan yang dipilih untuk
menguji pengaturan kelangsungan bisnis harus
realistis dan kredibel. Jenis gangguan harus sesuai
dengan peristiwa kehidupan nyata yang relevan
dengan perusahaan dan lingkungannya;
(2)Narasi mengganggu: narasi gangguan menggambarkan
peristiwa gangguan bisnis dan kondisi terkait dengan
skenario pengujian. Narasi gangguan biasanya
mencakup dua elemen: tanggal dan waktu bencana
dan urutan kejadian dan kondisi setelah gangguan,
yang menjelaskan bagaimana gangguan tersebut
berdampak pada kegiatan penting bisnis.
20. 5. Exercise logistics
Logistik latihan adalah proses yang terutama
berhubungan dengan empat bidang berikut:
• Formation of business continuity test teams
(Pembentukan tim uji kesinambungan bisnis):
ukuran, struktur, dan anggota tim bergantung
pada tujuan dan cakupan pengujian. Tim
penguji dipilih jika peran dan tanggung
jawabnya dianggap penting untuk mencapai
tujuan pengujian.
21. • Test resource procuremen (Pengadaan sumber
daya uji): untuk dapat memastikan
ketersediaan sumber daya yang diperlukan
tepat waktu, daftar terperinci tugas
pengadaan sumber daya disiapkan dan
dilaksanakan dengan baik sebelum tanggal
pengujian. Persiapan yang matang adalah
kunci untuk meminimalkan biaya dan dampak
pada waktu pengujian.
22. • Mobilization of personnel (Mobilisasi personel):
pengujian rencana kesinambungan bisnis
umumnya memerlukan mobilisasi tim penguji ke
lokasi terpencil seperti fasilitas penyimpanan di
luar lokasi, fasilitas pemulihan TI alternatif,
fasilitas produksi dan produksi alternatif, area
kerja kantor pengganti, dan fasilitas manajemen
krisis. Perencanaan dan pelaksanaan kegiatan
logistik sangat penting untuk memobilisasi tim
penguji kelangsungan bisnis.
23. • Test facilities provisioning (Penyediaan fasilitas
pengujian): rencana pengujian keberlanjutan
bisnis mencakup aktivitas logistik untuk
memastikan ketersediaan fasilitas pengujian
yang dapat mendukung persyaratan pengujian
secara memadai.
24. 6. Development of exercise schedule
• Jadwal uji, menuntut perencanaan yang cermat dan
keterampilan manajemen. Jadwal tes merinci daftar aktivitas
pemulihan, prosedur, tugas, prioritas, penugasan, tanggal dan
waktu mulai dan berakhir, serta dependensi.
• Biasanya jadwal tes membagi aktivitas menjadi tiga fase:
Tahap persiapan (dimulai setelah dokumen rencana
pengujian dikembangkan),
Tahap pelaksanaan (selama fase eksekusi pada tanggal
dan waktu yang ditentukan), dan
Tahap evaluasi uji.
• Tujuan utama dari kegiatan evaluasi adalah untuk mengetahui
sejauh mana keberhasilan dalam mencapai tujuan pengujian,
kinerja tim, masalah yang dihadapi selama pengujian, dan
kesenjangan serta kelemahan yang diamati dalam pengaturan
keberlangsungan bisnis.
25. 7. Exercise risk identification
• Dilakukan untuk mengidentifikasi dan
mengendalikan potensi risiko kegagalan
pengujian berdasarkan tinjauan menyeluruh dari
semua informasi yang dikumpulkan pada langkah
sebelumnya.
• Setelah risiko teridentifikasi, tim harus meninjau
risiko, menentukan solusi yang mungkin untuk
meminimalkan risiko, dan memasukkan solusi
yang diterima ke dalam rencana pengujian
keberlangsungan bisnis.
26. 8. Post exercise written report
• Setelah latihan selesai, organisasi akan
menginvestasikan sumber daya yang cukup besar
dalam desain dan pelaksanaan latihan.
• Perusahaan perlu mengembangkan proses yang
akan menghasilkan informasi untuk menilai
efektivitas latihan dan yang akan memungkinkan
perusahaan untuk memulai tindakan perbaikan.
• Standar ISO 22301: 2012 menyatakan dalam klausul
4.4.2 (f) “organisasi harus melakukan tinjauan pasca
latihan dari setiap latihan yang akan menilai
pencapaian tujuan dan sasaran latihan dan dalam
4.4.2 (g) menyatakan bahwa "organisasi harus
membuat laporan tertulis tentang latihan, hasil dan
umpan balik termasuk tindakan yang diperlukan".
27. • Untuk menyesuaikan dengan standar, diperlukan laporan
yang komprehensif, yang harus mencerminkan dengan
jelas apa yang terjadi dan dihubungkan dengan maksud
dan tujuan latihan.
• Setelah laporan selesai, laporan harus memberikan bukti
obyektif untuk:
Mengidentifikasi amandemen rencana manajemen
insiden yang ada, prosedur dan proses pendukung.
Mengidentifikasi persyaratan untuk menghasilkan
rencana baru.
Mengidentifikasi dan menjustifikasi persyaratan
pelatihan di masa depan untuk individu dan tim.
Mengidentifikasi dan menjustifikasi sumber daya
tambahan untuk meningkatkan kemampuan saat ini.
Mengidentifikasi tujuan untuk latihan masa depan.
Memberikan bukti audit tentang efektivitas
pendekatan perusahaan terhadap manajemen insiden.
28. Struktur laporan
Laporan harus memiliki bagian berikut:
• Executive summary (Ringkasan Executif)
Pertanyaan dasar yang harus dijawab oleh ringkasan
eksekutif:
Apakah latihan tersebut mencapai maksud dan
tujuan? Sebuah pernyataan singkat direkomendasikan
yang akan meringkas latihan, kinerja tim secara
keseluruhan dan efektivitas rencana.
Apa temuan utamanya? Di sini disarankan untuk
memilih dua atau tiga tema utama yang muncul
selama analisis pasca latihan.
Apa rekomendasi utamanya? Rekomendasi haruslah
yang akan didukung oleh tingkat strategis sehingga
peningkatan kemampuan saat ini di masa mendatang
dapat terjadi.
29. • Executive summary (Ringkasan Executif) ….
Berisikan inti dari laporan. Seluruh informasi
yang ada dalam laporan harus disampaikan
dalam esensinya.
Ringkasan harus menyampaikan hasil
keseluruhan.
Bagian ini harus bisa menarik para pembaca
tentang apa yang ingin mereka ketahui
dengan segera (misalnya tentang hasil suatu
kegiatan).
Idealnya, paragraf pertama harus mampu
menuntun keingintahuan pembaca.
Harus tepat dan jelas. Sebaiknya
menggunakan bahasa non-teknis.
30. • Main body (Bagian utama/Isi)
Bagian utama dari laporan harus mencakup
pengamatan yang mengenai kinerja tim selama
latihan.
Bagian ini membahas tentang kegiatan yang
dilakukan secara mendetil dan lengkap dengan
penjelasan-penjelasannya. Meliputi juga
langkah-langkah yang diambil atas suatu
aktivitas, kegiatan yang sesungguhnya
dilakukan, dan data dikumpulkan dan digunakan
dalam kegiatan tersebut.
Isi laporan tidak bersifat fiksi, atau penekanan
utama pada opini tertentu.
31. Pengumpulan data yang dilakukan melalui sesi tanya
jawab dengan peserta latihan pada dasarnya
merupakan kegiatan evaluasi, yang adalah sesi singkat
di mana sekelompok kecil peserta latihan berkumpul,
idealnya dilakukan dalam seminggu setelah latihan,
untuk membahas secara rinci pengalaman latihan
mereka. Sesi ini biasanya dilakukan oleh ketua sesi
pembekalan yang merupakan salah satu anggota tim
evaluasi, yang tidak boleh menjadi pemain latihan
tetapi harus hadir untuk mengamati seluruh kegiatan
latihan.
Dalam hal data, harus diperhatikan: Dalam hal data
tersebut tidak terlalu banyak, dapat dimasukkan dalam
bagian utama laporan. Namun jika data tersebut banyak,
dapat dimasukkan sebagai lampiran.
32. • Action plan (Rencana aksi)
Di bagian ini, temuan dan rekomendasi
untuk perbaikan disajikan ke pimpinan
strategis organisasi, sebagai rekomendasi.
Sebuah rencana aksi : merangkum temuan,
menetapkan persyaratan, dan membuat
rekomendasi yang jelas untuk tindakan dan
rincian kepemilikan.
Rencana aksi merinci langkah-langkah yang
harus diikuti pada acara yang akan
dilaksanakan berikutnya.