Dokumen tersebut membahas enam prinsip tata kelola teknologi informasi menurut RSNI ISO/IEC 38500:2015 yaitu: 1) tanggung jawab, 2) strategi, 3) akuisisi, 4) kinerja, 5) kesesuaian, dan 6) perilaku manusia. Prinsip-prinsip tersebut dijelaskan secara singkat melalui model tata kelola TI yang terdiri dari sumber otoritas, harapan pemangku kepentingan, kebutuhan bisnis, dan l

1. Sosialisasi
RSNI ISO/IEC 38500:201x
Teknologi informasi - Tata kelola TI untuk organisasi
(ISO/IEC 38500:2015, IDT)
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM
Ketua WG Tata Kelola dan Layanan TI
PT35-01 Teknologi Informasi
Jakarta 15 Desember 2015
1
Tambahan:
SNI ISO/IEC 27014:2013 Tata Kelola Keamanan Informasi

2. Current:
• Cybersecurity Nexus (CSX) Liaison, ISACA Indonesia Chapter
• ISACA Academic Advocate at ITB
• Subject Matter Expert for Information Security Standard for ISO at ISACA HQ
• Associate Professor at School of Electrical Engineering and Informatics, Institut Teknologi Bandung
• Ketua WG Layanan dan Tata Kelola TI, anggota WG Keamanan Informasi serta Anggota Panitia Teknis 35-01 Program
Nasional Penetapan Standar bidang Teknologi Informasi, BSN – Kominfo.
• Asesor Kepala LSSMKI SNI ISO/IEC 27001 KAN
Past:
• Director of Certification – CRISC & CGEIT, ISACA Indonesia Chapter (2012-2014)
• Ketua Kelompok Kerja Evaluasi TIK Nasional, Dewan TIK Nasional (2007-2008)
• Plt Direktur Operasi Sistem PPATK (Indonesia Financial Transaction Reports and Analysis Center, INTRAC), April 2009 –
May 2011
Professional Certification:
• Professional Engineering (PE), the Principles and Practice of Electrical Engineering, College of Engineering, the University
of Texas at Austin. 2000
• IRCA Information Security Management System Lead Auditor Course, 2004
• ISACA Certified Information System Auditor (CISA). CISA Number: 0540859, 2005
• Brainbench Computer Forensic, 2006
• (ISC)2 Certified Information Systems Security Professional (CISSP), No: 118113, 2007
• ISACA Certified Information Security Manager (CISM). CISM Number: 0707414, 2007
Award:
• (ISC)2 Asia Pacific Information Security Leadership Achievements (ISLA) 2011 award in category Senior Information
Security Professional. http://isc2.org/ISLA
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM

3. Bloom’s Taxonomy of Educational Objectives
Apply
Comprehend
Remember
list, recite
explain, paraphrase
calculate, solve,
determine, apply
Analyze
compare, contrast, classify,
categorize, derive, model
Synthesize
create, construct, design,
improve, produce, propose
Evaluate
judge, critique, justify,
verify, assess, recommend
3

4. Kategori Kontrol berbasis Risiko
Source: Transforming Cybersecurity: Using COBIT 5, ISACA, 2013
4

5. Kerangka dan Standar – tinjauan
SNI ISO
38500
COSO
PP60/
2008 COBIT 5
ITIL v2
ITIL v3
SNI ISO
20000
SNI
ISO
2700x
SNI
ISO
900x
Common
Criteria
SNI ISO
15408
boardlevelmanagementtechnical
SNI ISO
27014
5 dari x 5

6. o Principle 1: Establish clearly understood responsibilities for IT
o Principle 2: Plan IT to best support the organization
o Principle 3: Acquire IT validly
o Principle 4: Ensure that IT performs well, whenever required
o Principle 5: Ensure IT conforms with formal rules
o Principle 6: Ensure IT use respects human factors
Principles of IT Governance
Source:
P.Weill & J.Ross, IT Governance, Harvard Business Press, 2004
6

7. Model lain: Pemisahan Governance dan Management
7

8. SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of
ICT: January 2005
8 dari x 8

9. RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 9 dari x 9
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI

10. RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 10 dari x 10
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Para penanggung jawab tata kelola
sebaiknya memeriksa dan membuat
penilaian tentang pemanfaatan TI saat ini
dan masa depan, termasuk perencanaan,
proposal dan pengaturan pasokan (baik
internal, eksternal, atau keduanya).

11. RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 11 dari x 11
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Para penanggung jawab tata kelola sebaiknya menetapkan
tanggung jawab serta memberikan arahan atas penyusunan
dan implementasi dari strategi dan kebijakan. Strategi
sebaiknya menetapkan arah investasi TI dan apa yang harus
dicapai TI. Kebijakan sebaiknya membentuk perilaku yang
baik dalam pemanfaatan TI.

12. RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 12 dari x 12
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Para penanggung jawab tata kelola sebaiknya memantau kinerja
TI melalui sistem pengukuran yang tepat. Mereka sebaiknya
meyakinkan diri mereka sendiri bahwa kinerja tersebut telah
sesuai dengan strategi, terutama yang berkaitan dengan tujuan
bisnis.

13. Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 13 dari x 13
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab

14. Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 14 dari x 14
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 1: Tanggung jawab
Para individu dan berbagai kelompok dalam suatu organisasi memahami dan
menerima tanggung jawab mereka dalam hal penyediaan dan permintaan
atas TI. Mereka yang bertanggung jawab untuk melakukan berbagai
tindakan juga memiliki otoritas untuk melakukan berbagai tindakan
tersebut.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi

15. Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 15 dari x 15
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 2: Strategi
Strategi bisnis organisasi memperhitungkan kemampuan TI saat ini dan di
masa depan; rencana pemanfaatan TI memenuhi kebutuhan saat ini dan
secara berkelanjutan dari strategi bisnis organisasi.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi

16. Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 16 dari x 16
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 3: Akuisisi
Akuisisi TI dibuat berdasarkan alasan yang valid, melalui analisis yang tepat
dan secara berkelanjutan, dengan pengambilan keputusan yang jelas dan
transparan. Terdapat keseimbangan antara manfaat, peluang, biaya, dan
risiko, baik dalam jangka pendek maupun jangka panjang.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi

17. Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 17 dari x 17
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawabPrinsip 4: Kinerja
TI digunakan untuk mendukung organisasi, menyediakan layanan, dengan
tingkat layanan dan kualitas layanan yang diperlukan untuk memenuhi
persyaratan bisnis saat ini dan di masa depan.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi

18. Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 18 dari x 18
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 5: Kesesuaian
Pemanfaatan TI mematuhi semua peraturan perundangan yang wajib.
Kebijakan dan praktik dengan jelas didefinisikan, dilaksanakan, dan
ditegakkan.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi

19. Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 19 dari x 19
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 6: Perilaku Manusia
Kebijakan, praktik, dan keputusan TI menjunjung tinggi Perilaku Manusia,
termasuk kebutuhan saat ini dan perkembangannya dari semua orang yang
terkait dalam proses.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi

20. Perbaikan konsep Tata Kelola di Keamanan Informasi
20
Source:
P.Weill & J.Ross, IT Governance, Harvard Business Press, 2004
SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008,
AS8015 Corporate Governance of ICT: January 2005
SNI ISO/IEC 27014:2013 Tata Kelola Keamanan Informasi,
ISO/IEC 27013:2013

21. Perbaikan konsep Tata Kelola di Keamanan Informasi
21
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Adopt a risk-based approach
Set direction of investment decisions
Ensure conformance with int & ext req
Foster a security-positive environment
Review performance in relation to
business outcomes
Establish organisation-wide infosec

22. Diskusi
28