Telkom - Integrated Management System

1. Proficiency Level 3
I Nyoman Wisnu Wardhana
Senior Advisor II – PT. Telkom

2. • Objectif modul: Peserta
mengerti konsep Business
Continuity dan Information
Security Management
System. Mampu menyusun
BIA dan RA dalam scope
Witel dan Regional.
• Durasi: 2 JP
• Pre-requisite Modul : NA

3. Enjoy the variety of
our best mobile digital services

4. BCMS’s Context
Business Impact Analysis
Key Business Activities
Resulting Impact
RTO® -
RPO MTPD – MBCO
Dependencies
Risk Assessment®
ISMS (Identification – Analysis – Appetite – Profiling - Treatment)
BCMS (Description – Existing Control – Pre Treatment – Profiling – Treatment)

5. Business Impact Analysis (BIA)





6. Key Business Activities Identification
Merupakan kegiatan analisis dan evaluasi yang dilakukan dengan memperhatikan
misi, penyampaian dan cara kerja (deliverables), serta keputusan apa saja yang
berhubungan secara langsung dengan hasil yang diharapkan oleh perusahaan
(business objectives).
KEY BUSINESS ACTIVITIES IDENTIFICATIONS
Identify each process and all other details for your process based on the parameters mentioned below.

7. Impact Result of Disruption
RESULTING IMPACT OF DISRUPTION
The impact of unavailabilityover time in each area

8. MTPD dan RTO

9. MBCO dan RPO

10. In Table

11. Business
as usual
Business
as usual
In Matrix

12. Dependencies and Resources Recovery Needs
Dependencies and Resources Recovery Needs, adalah salah satu bagian penting dari
proses BIA secara keseluruhan yang digunakan sebagai dasar dalam menentukan
treatment dan action-plan pada proses berikutnya (setelah dilakukan risk asessment).
DEPENDENCIES AND RESOURCES RECOVERY NEEDS
List the Dependencies after Each Time Period and Whether Any Business Continuity Arrangement are Currently in Place

13. Expanding global footprints
to become the global player

14. Risk Assessment
 
 
 

15. Risk Assessment - ISMS
Secara umum jenis asset utama pendukung key
business activities dapat dikelompokkan dalam
kategori:
1. Data & Information (Hardcopy & Softcopy)
2. Software
3. Hardware & Infrastructure Network
4. Fasilitas Pendukung
5. HR (SDM) & Pihak Ketiga (Third Party)
Selanjutnya asset dapat di-valuasi
menggunakan Information Security Aspect
yaitu:
1. Confidentiality (C)
2. Integrity (I)
3. Availability (A)
Level Confidentiality,
Integrity , dan Availability, yaitu:
Very Low= 1
Low= 2
Medium= 3
High= 4
Very High= 5
Selanjutnya Asset value dapat ditentukan
dengan menjumlahkan ketiga Information
Security (C, I, A) sebagaimana matrix di
bawah ini.

16. Risk Assessment – ISMS…..cont.’
EY Global Risk Survey of 441 Corporate CEOs, CFOs and FinancialExecutives, March 2006
 
 
 


 

17. VALUE THREAT VULNERABILITY

18. The severity value matrix (Impact) will be mathematical=
Asset Value * Severity of Threat Value * Severity of
Vulnerability Value
Distribution of Impact is
based on Severity
Matrix:
The probability values
are taken as follows:
ISMS Risk Map
To show the profile risk of ISMS Assessment
Untuk menempatkan risiko-risiko hasil evaluasi ke dalam
risk map, maka langkah-langkah yang dilakukan adalah:
 Menentukan posisi impact sebagai hasil akumulasi
perkalian dari asset value, severity of threat, dan
severity of vulnerability.
 Menentukan posisi likelihood sesuai dengan value-
nya.

19. Urutan langkah di dalam risk assessment BCMS adalah:
 Menentukan Risk Of Business atau key business activities yang
menjadi fokus risk assessment
 Menentukan jenis asset yang terkait dengan key business
activities tersebut
 Menentukan risiko kelangsungan bisnis melalui identifikasi
ancaman (threats), vulnerability dan risk owner
 Mengevaluasi existing control yang telah dijalankan selama ini
 Menentukan tingkat risiko pada kondisi Pre-Treatment
 Menentukan treatment option dan control yang diperlukan untuk
meresponse risiko tersebut

20. RISK ASSESSMENT AND TREATMENT WORKSHEET - BCMS
Risk Description
Existing
Control
Pre Treatment Treatment
Ref Risk Of
Business
Asset Threat Vulnerability Risk Owner Likelihood Rational Impact Rational Risk level Treatment
Option
Control
Requirement
 Risk Description –
mengidentifikasi jenis risiko
yang bisa membuat aset
pendukung key business
activities terganggu
(disruption)
 Existing Control –
mengevaluasi langkah
pengendalian existing yang
telah dilakukan
 Pre Treatment –
menganalisa tingkat risiko
sebelum dilakukan
treatment terhadap risiko
tersebut
 Treatment – menentukan
generic treatment option
dan control yang diperlukan

21. Pre Treatment pada dasarnya adalah Risk
Evaluation untuk menentukan tingkat risiko
BCMS berdasarkan tingkat probabilitas
terjadinya (Likelihood) dan dampak (Impact)
yang bisa timbul jika risiko tersebut terjadi.
Penentuan tingkat Likelihood mengacu kepada
Tabel Likelihood BCMS pada lampiran. Demikian
juga dengan tingkat Impact ditentukan
berdasarkan Tabel Impact BSMC pada lampiran.

22. Risk Acceptance
(Retention)
Merupakan treatment
yang akan diambil apabila
terpenuhi kondisi bahwa,
biaya (cost) yang
dibutuhkan melebihi nilai
risiko (impact) yang
ditimbulkan.
Dalam hal ini, perusahaan
berarti akan menerima
risiko tersebut termasuk
segala konsekuensinya,
sehingga dalam common
practice disebut sebagai
langkah ‘self insurance’.
Note: Cost > Risk
Risk Transfer (Sharing Risk)
Dikonotasikan dengan
langkah men-tansfer risiko
kepada pihak ketiga.
Contoh: dengan melibatkan
perusahaan asuransi
(pihak-pihak penanggung
lainnya) atau penggunaan
‘outsources’ terhadap
potensi risiko yang ada.
Dalam konteks ini disebut
sebagai ‘a post-event
compensatory mechanism’.
Note: Risk > Cost
Risk Reduction (Limitation)
Biasa disebut sebagai
langkah ‘optimization’
merupakan langkah yang
diambil untuk mengurangi
severity yang ditimbulkan
oleh potensi risiko yang
ada.
Misal: pembelian alat
pemadam api ringan
(APAR) atau membuat fire
alarm protection (FAP)
untuk mengurangi potensi
risiko kebakaran, dsb.
Note: Risk > Cost
Risk Avoidance (Elimination)
Menghindari terjadinya risiko ,
merupakan
response/treatment yang
dipilih apabila suatu langkah
(inisiatif, mitigasi, rencana
bisnis, dll) akan dilakukan
dengan mempertimbangkan
potensi risiko.
Misalnya: tidak membeli
property yang berpotensi
menimbulkan risiko legal, dsb.
Menghindari risiko dapat
diartikan pula sebagai
meniadakan potensi ‘gain’,
karena kehilangan
kesempatan dalam
mengenerate potensi bisnis.
Note: Risk > Cost

23. Expanding global footprints
to become the global player

24. Divisi Regional I - Sumatera
No. Nama Witel
1 Pekanbaru
2 Batam
3 Palembang
4 Lampung
5 Jambi
6 Bangka Belitung
7 Medan
8 Padang
9 Pematang Siantar
10 Aceh
11 Bengkulu
Divisi Regional II – Jakarta
No. Nama Witel
1 Tangerang
2 Jakarta Barat
3 Jakarta Selatan
4 Jakarta Timur
5 Bogor
6 Serang
7 Jakarta Pusat
8 Jakarta Utara
9 Bekasi
Divisi Regional III – Jawa Barat
No. Nama Witel
1 Bandung
2 Cirebon
3 Karawang
4 Sukabumi
5 Tasikmalaya
Divisi Regional IV – Jawa Tengah
No. Nama Witel
1 Semarang
2 Yogyakarta
3 Solo
4 Purwokerto
5 Pekalongan
6 Kudus
7 Magelang
Divisi Regional V – Jatim &
Nusra
No. Nama Witel
1 Surabaya
2 Sidoarjo
3 Malang
4 Kediri
5 Gresik
6 Pasuruan
7 Madiun
8 Jember
9 Denpasar
10 Singaraja
11 Mataram
12 Kupang
Divisi Regional VI –
Kalimantan
No. Nama Witel
1 Pontianak
2 Palangkaraya
3 Banjarmasin
4 Samarinda
5 Balikpapan
6 Tarakan
Divisi Regional VII – KTI
No. Nama Witel
1 Makassar
2 Pare-Pare
3 Manado
4 Jayapura
5 Sorong
6 Palu
7 Kendari
8 AMbon
There are 58 WITEL
in T-Regional

25. Penyusunan Business Impact
Analysis menggunakan
beberapa langkah, yang
terdiri atas:
 Key Business Activities
Identification
 Resulting Impact of
Disruption
 Recovery Time Objectives
(RTO), and Maximum
Tolerable Period of
Disruption (MTPD)
 Dependencies and
Resources Recovery Needs
Nothing New,
Just do it!
Pada saat penentuan
RID (Resulting Impact),
secara intuitive, impact
suatu risiko merupakan
rata-rata, pemilihan
significant location,
atau agregasi dari suatu
potential disruption
(the biggest incident)
yang terjadi pada suatu
lokasi yang signifikan
memberikan dampak
pada Telkom Regional.
Divisi Regional II –
Jakarta
N
o.
Nama Witel
1 Tangerang
2 Jakarta Barat
3 Jakarta Selatan
4 Jakarta Timur
5 Bogor
6 Serang
7 Jakarta Pusat
8 Jakarta Utara
9 Bekasi

26. Penyusunan Risk Assessment
menggunakan beberapa langkah, yang
terdiri atas:
 Risk Identification, adalah proses
mengidentifikasi potensi kejadian yang
disebabkan oleh faktor internal maupun faktor
eksternal dan jika terjadi dapat menimbulkan
dampak negatif terhadap aktivitas pencapaian
tujuan perusahaan.
 Risk Analysis/Calculation, adalah proses
penilaian tingkat risiko berdasarkan berbagai
aspek, misalnya berdasarkan probabilitas dan
impact, atau berdasarkan perhitungan Risk
Score melalui metode perhitungan tertentu yang
disepakati di dalam perusahaan.
 Risk Treatment, adalah proses response terhadap
potensi risiko berupa rencana mitigasi yang
diperlukan untuk mengurangi kemungkinan
terjadinya risiko atau mengurangi dampak yang
ditimbulkan jika risiko tersebut benar-benar
terjadi.
 Menilai impact= Asset Value * Threat * Vulnerability
 Menilai probability= Likelihood
pemilihan
significant location,
Aggregation or
Average?
Diterapkan pada potential Threat
atau Vulnerability yang akan
berdampak pada suatu asset,
dengan mengacu pada list of threat
and vulnerability (annex A)

27. Divisi Regional II – Jakarta
No. Nama Witel Asset Value So.
Threat
So.
Vulnerabili
ty
Impac
t
Probabili
ty
Impact Probability
C I A Total Average Aggregatio
n
Average Aggregatio
n
1 Tangerang 3 3 1 7 5 4 140 4
101 913 3 30
2 Jakarta Barat 5 5 4 14 4 3 168 3
3 Jakarta
Selatan
4 2 5 11 3 2 66 5
4 Jakarta
Timur
5 5 5 15 5 2 150 4
5 Bogor 3 4 2 9 2 4 72 2
6 Serang 2 3 3 8 4 5 160 2
7 Jakarta
Pusat
4 5 4 13 1 5 65 5
8 Jakarta
Utara
5 4 3 12 3 2 72 2
9 Bekasi 2 3 5 10 2 1 20 3
Berdasarkan contoh di atas, terlihat bahwa model aggregation tidak tepat untuk diterapkan dalam menghitung (melakukan
penilaian Risk Score) risk level dalam ISMS Regional scope, karena menghasilkan nilai yang sangat besar. Sehingga, model
average atau pemilihan significant location, mungkin lebih tepat untuk diimplementasikan.

28. Telkom Corporate University