Pengertian, Domain, Prinsip Dalam Cobit5

 

Pada saat ini sistem informasi merupakan dasar bagi jalannya bisnis pada suatu perusahaan industri maupun organisasi. Di banyak industri, kelangsungan hidup dan penigkatan bisnis perusahaan sangatlah sulit tanpa adanya penggunaan dari teknologi informasi yang luas. Sistem informasi menjadi lebih penting dalam membantu jalannya perusahaan dalam ekonomi global. Organisasi mencoba untuk menjadi lebih kompetitif dan efisien dengan mengubah dirinya menjadi perusahaan digital yang menggunakan teknologi digital dalam proses bisnis. 

Information Systems Audit and Control Association (ISACA) mengembangkan kerangka Control Objective for Information and Related Technology (COBIT). COBIT menggabungkan standar-standar pengendalian dari banyak sumber berbeda ke dalam  sebuah kerangka tunggal yang memungkinkan  manajemen untuk membuat tolok ukur dalam menentukan sesuatu. Kerangka COBIT 5 menjelaskan praktik-praktik terbaik untuk tata kelola dan manajemen TI yang efektif.

Apa pengertian COBIT 5?

Pengertian COBIT 5 adalah sebuah framework atau kerangka kerja yang memberikan layanan kepada enterprise, baik itu sebuah perusahaan, organisasi, maupun pemerintahan dalam mengelola dan memanajemen aset atau sumber daya IT untuk mencapai tujuan enterprise tersebut.

Pada COBIT 5, proses-proses seperti APO13 Manage Security, DSS04Manage Continuity dan DSS05 Manage Security Services memberikan panduan dasar dalam mengidentifikasi, mengoperasikan dan memonitor sistem untuk manajemen keamanan secara umum.

Prinsip COBIT 5

COBIT 5 didasarkan pada lima prinsip kunci untuk tata kelola dan manajemen IT perusahaan. Kelima  prinsip ini memungkinkan perusahaan untuk membangun sebuah kerangka tata kelola dan manajemen yang efektif, yang dapat mengoptimalkan investasi dan penggunaan IT untuk mendapatkan keuntungan bagi para stakeholder.

Gambar 2. Prinsip Cobit 5

Prinsip 1. Meeting Stakeholder Needs

Keberadaan sebuah perusahaan untuk menciptakan nilai kepada stakeholdernya – termasuk stakeholders untuk keamanan informasi – didasarkan pada pemeliharaan keseimbangan antara realisasi keuntungan dan optimalisasi risiko dan penggunaan sumber daya yang ada. Optimalisasi risiko dianggap paling relevan untuk keamanan informasi. Setiap perusahaan memiliki tujuan yang berbeda-beda sehingga perusahaan tersebut harus mampu menyesuaikan atau melakukan customize COBIT 5 ke konteks perusahaan yang dimiliki.

Prinsip 2. Covering the Enterprise End-to-End

COBIT 5 mengintegrasikan IT enterprise pada organisasi pemerintahan dengan cara: Mengakomodasi seluruh fungsi dan proses yang terdapat pada enterprise. COBIT 5 tidak hanya fokus pada ‘fungsi IT’, namun termasuk pada pemeliharaan informasi dan teknologi terkait sebagai aset layaknya aset-aset yang terdapat pada enterprise. Mengakomodasi seluruh stakeholders, fungsi dan proses yang relevan dengan keamanan informasi.

Prinsip 3. Applying a Single, Integrated Network

COBIT 5 dapat disesuaikan dengan standar dan framework lain, serta mengizinkan perusahaan untuk menggunakan standar dan framework lain sebagai lingkup manajemen kerangka kerja untuk IT enterprise. COBIT 5 for Information Security membawa pengetahuan dari versi ISACA sebelumnya seperti COBIT, BMIS, Risk IT, Val IT dengan panduan dari standar ISO/IEC 27000 yang merupakan standar ISF untuk keamanan informasi dan U.S. National Institute of Standars and Technology (NIST) SP800-53A.

Prinsip 4.Enabling a Holistic Approach

Pemerintahan dan manajemen perusahaan IT yang efektif dan efisien membutuhkan pendekatan secara holistik atau menyeluruh. COBIT 5 merupakan enabler yang berfungsi untuk mendukung implementasi pemerintahan yang komprehensif dan manajemen sistem perusahaan IT dan informasi. Enablers adalah faktor individual dan kolektif yang mempengaruhi sesuatu agar dapat berjalan atau bekerja. Kerangka kerja COBIT 5 mendefinisikan 7 kategori enablers.

Gambar 3. Cobit 5 Enabler

7 enablers yang digunakan pada COBIT 5 meliputi:

  •           Principles, Policies and Frameworks.
  •           Processes.
  •           Organisational Strucutres.
  •           Culture, Ethics and Behaviour.
  •           Information.
  •           Services, Infrastructure and Applications.
  •           People, Skills and Competencies.

Prinsip 5. Separating Governance from Management

COBIT 5 dengan tegas membedakan pemerintahan dan manajemen. Kedua disiplin ini memiliki tipe aktivitas yang berbeda, membutuhkan struktur organisasi yang berbeda dan memiliki tujuan yang berbeda.


Domain COBIT 5

COBIT 5 framework dirancang dengan 5 domain yang masing-masing mencakup penjelasan rinci dan termasuk panduan secara luas dan bertujuan sebagai tata kelola dan manajemen TI perusahaan. Lima domain yang ada pada COBIT 5 adalah :

- EDM (Evaluate, Direct and Monitor)

- APO (Align, Plan and Organise)

- BAI (Build, Acquire and Implement)

- DSS (Deliver, Service, and Support)

- MEA (Monitor, Evaluate and Assess)

Kelima domain tersebut dikelompokkan ke dalam dua area, yaitu Area Tata Kelola (domain EDM) dan 

Area Manajemen (domain APO,BAI,DSS dan MEA)

.

Gambar 4. Area Cobit 5

Nah disini saya hanya membahas 2 domain saja karena sisanya akan diulas oleh teman saya diblog lain hehehe, jadi saya hanya mengulas tentang Domain DSS dan Domain MEA. Sebenernya apasih fungsi dari mereka berdua ini ? 

Domain DSS memiliki fungsi menjalankan dan memelihara hasil implementasi program TI agar dapat digunakan secara terus menerus dan aman, serta memberikan dukungan kepada pengguna yang membutuhkan dan mendapatkan masalah ketika menggunakan fasilitas TI perusahaan. Domain DSS memiliki 6 proses, yaitu: DSS01 Manage Operations, DSS02 Manage Service Request and Incident, DSS03 Manage Problem, DSS04 Manage Continuity, DSS05 Manage Security Services, dan DSS06 Manage Business Process Controls.

DSS01 Manage Operations

- Koordinasikan dan jalankan aktivitas dan prosedur operasional yang diperlukan untuk memberikan layanan IT internal dan yang dialihdayakan, termasuk pelaksanaan prosedur operasi standar yang telah ditentukan dan kegiatan pemantauan yang diperlukan.

- Memberikan hasil layanan operasional IT sesuai rencana.

 

DSS02 Manage Service Requests and Incidents

- Berikan tanggapan yang tepat waktu dan efektif terhadap permintaan pengguna dan resolusi semua jenis insiden.

 - Capai peningkatan produktivitas dan meminimalkan gangguan melalui resolusi cepat atas pertanyaan dan insiden pengguna.

 

DSS03 Manage Problems

- Identifikasi dan klasifikasikan masalah dari akar penyebabnya dan berikan resolusi tepat waktu untuk mencegah insiden berulang.

- Tingkatkan ketersediaan, tingkatkan layanan, mengurangi biaya, dan tingkatkan kenyamanan serta kepuasan pelanggan dengan mengurangi jumlah masalah operasional.

 

DSS04 Manage Continuity

- Menetapkan dan memelihara rencana untuk memungkinkan bisnis dan IT untuk menanggapi insiden dan gangguan dalam rangka melanjutkan operasi proses bisnis penting dan layanan IT yang dibutuhkan dan mempertahankan ketersediaan informasi pada tingkat yang dapat diterima oleh perusahaan.

- Lanjutkan operasi bisnis yang penting dan pertahankan ketersediaan informasi pada tingkat yang dapat diterima oleh perusahaan jika terjadi gangguan yang signifikan.

 

DSS05 Manage Security Services

- Lindungi informasi perusahaan untuk menjaga tingkat risiko keamanan informasi yang dapat diterima oleh perusahaan sesuai dengan kebijakan keamanan.

- Menetapkan dan memelihara peran keamanan informasi dan hak akses dan melakukan pemantauan keamanan.

- Meminimalkan dampak bisnis dari kerentanan dan insiden keamanan informasi operasional.

 

DSS06 Manage Business Process Controls

- Identifikasi persyaratan kontrol informasi yang relevan dan mengelola dan mengoperasikan kontrol yang memadai untuk memastikan bahwa informasi dan pemrosesan informasi memenuhi persyaratan ini.

- Menjaga integritas informasi dan keamanan aset informasi yang ditangani dalam proses bisnis di perusahaan.

Domain MEA berfungsi untuk monitor, evaluasi dan assesment terhadap performa dan kesesuaian dari sistem TI yang berjalan, kegiatan pengontrolan sistem TI yang dilakukan oleh perusahaan, dan kesesuainnya dengan kebutuhan dan peraturan eksternal perusahaan. Proses pada domain ini ada 3, antara lain MEA01 Monitor, Evaluate, and Assess Performance and Conformance, MEA02 Monitor, Evaluate, and Assess the System of Internal Control, dan MEA03 Monitor, Evaluate, and Assess Compliance with External.

MEA01 Monitor, Evaluate and Assess Performance and Conformance

- Kumpulkan, validasi, dan evaluasi bisnis, IT, dan target dan metrik proses.

- Pantau bahwa proses dilakukan terhadap kinerja yang disepakati dan sasaran kesesuaian metrik dan memberikan laporan yang sistematis dan tepat waktu.

- Memberikan transparansi kinerja dan kesesuaian dan mendorong pencapaian tujuan.

 

MEA02 Monitor, Evaluate and Asses the System of Internal Control

- Memungkinkan manajemen untuk mengidentifikasi kekurangan kontrol dan ketidakefisienan dan untuk memulai tindakan perbaikan.

- Merencanakan, mengatur, dan memelihara standar untuk penilaian pengendalian internal dan aktivitas jaminan.

- Dapatkan transparansi untuk stakeholder utama tentang kecukupan sistem pengendalian internal dan memberikan kepercayaan dalam operasi, kepercayaan dalam pencapaian tujuan perusahaan, dan pemahaman yang memadai tentang risiko.

 

MEA03 Evaluate and Assess Compliance with External Requirements

- Evaluasi bahwa proses IT dan proses bisnis yang didukung IT telah sesuai dengan peraturan hukum dan persyaratan kontrak.

- Dapatkan jaminan bahwa persyaratan telah diidentifikasi, dan dintegrasikan dengan IT agar kepatuhan perusahaan dapat diterapkan secara keseluruhan.

- Memastikan bahwa perusahaan mematuhi semua persyaratan eksternal yang berlaku..

Mungkin sekian yang bisa saya sampaikan dalam ulasan kali ini. Mohon maaf bila ada kekurangan dalam ulasan ini. Semoga ulasan ini bisa memberikan manfaat kepada pembaca. Terima kasih. 

Komentar

Posting Komentar