UNIVERSITAS INDONESIA PERANCANGAN DISASTER RECOVERY PLAN INSTANSI PEMERINTAH: STUDI KASUS KEMENTERIAN AGAMA KARYA AKHIR NANI NURAINI

UNIVERSITAS INDONESIA

PERANCANGAN DISASTER RECOVERY PLAN PADA INSTANSI PEMERINTAH: STUDI KASUS KEMENTERIAN AGAMA

KARYA AKHIR

NANI NURAINI 1406522355

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2016

Perancangan disaster…, Nani Nuraini, Fasilkom UI, 2015

UNIVERSITAS INDONESIA

PERANCANGAN DISASTER RECOVERY PLAN PADA INSTANSI PEMERINTAH: STUDI KASUS KEMENTERIAN AGAMA HALAMAN JUDUL

KARYA AKHIR Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi

NANI NURAINI 1406522355

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2016


HALAAN PERNYATAAN ORISINALITAS

ii


Universitas Indonesia

HALAMAN PENGESAHAN

iii



KATA PENGANTAR Puji dan syukur kita panjatkan kehadirat Allah SWT dan shalawat serta salam semoga selalu tercurah kepada panutan kita Nabi Muhammad SAW, atas kasih sayang dan rahmat-Nya penulis dapat menyelesaikan Karya Akhir ini yang berjudul ”Perancangan Disaster Recovery Plan pada Instansi Pemerintah: Studi Kasus Kementerian Agama”. Penulisan Karya Akhir ini dilakukan untuk memenuhi salah satu syarat dalam mencapai gelar Magister Teknologi Informasi di Universitas Indonesia. Penulis menyadari bahwa penelitian karya akhir ini tidak akan dapat terlaksana dengan baik tanpa bantuan dan bimbingan serta doa dari berbagai pihak. Pada kesempatan ini perkenankan penulis mengucapkan terima kasih kepada: 1.

Bapak Setiadi Yazid, Ph.D. dan Bapak Amril Syalim, S.Kom., M.Eng., selaku dosen pembimbing karya akhir, yang telah menyediakan waktunya untuk membimbing dan memberikan kritik dan saran serta masukan dalam menyelesaikan karya akhir ini;

2.

Bapak Rizal Fathoni Aji S.Kom., M.Kom. dan Bapak Yudho Giri Sucahyo M.Kom., Ph.D., selaku dosen penguji, yang telah memberikan masukan untuk perbaikan karya akhir ini;

3.

Seluruh dosen, karyawan dan staf Sekretariat Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer, Universitas Indonesia;

4.

Bapak Dr. H. Rudi Subiyantoro, M.Pd., selaku Kepala Pusat Informasi dan Hubungan Masyarakat Kementerian Agama dan Bapak A. Gufron, S.Kom, MM., selaku Kepala Bidang Teknologi Informasi dan Komunikasi, PINMAS, Kementerian Agama yang telah menjadi narasumber dan memberikan masukan bagi penyusunan karya akhir ini;

5.

Bapak Irfan Sembiring, ST selaku Kepala Sub Bidang Pengembangan TIK, Bidang Teknologi Informasi dan Komunikasi, PINMAS, Kementerian Agama yang telah menjadi narasumber, yang telah memberikan penjelasan, masukan dan dukungan dalam penyusunan karya akhir ini;

6.

Kedua Orang tua “Babeh dan Ema”, “Babeh dan Nyai” dan kakak-kakakku yang selalu mendoakan dan mendukung penulis sehingga bisa menyelesaikan karya akhir ini; iv



7.

Suami tercinta “Abah Dayat” dan anak-anakku “Fa-Faw” yang selalu memberikan kebahagiaan dan keceriaan dalam kehidupan ini.

8.

Teman-teman MTI UI khususnya kelas MTI GCIO 2014SA yang sama-sama berjuang dan berusaha di MTI ini, semoga ilmu yang kita dapat menjadi keberkahan dan kesuksesan kita selanjutnya.

9.

Dan semua pihak yang tidak bisa disebutkan satu persatu, semoga bantuan dan dukungan dari kalian selalu dibalas kebaikan oleh Allah SWT.

Amiin yaa Robbal Alamiin.

Jakarta, 08 Januari 2016

Penulis

v



HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI

vi



KARYA ILMIAH UNTUK KEPENTINGAN AKADEMIS ABSTRAK Nama Program Studi Judul

: Nani Nuraini : Magister Teknologi Informasi : Perancangan Disaster Recovery Plan pada Instansi Pemerintah: Studi Kasus Kementerian Agama

Kementerian Agama telah memanfaatkan teknologi informasi dan komunikasi (TIK) sebagai sarana untuk memberikan pelayanan kepada masyarakat, yaitu dengan dikembangkan Sistem Komputerisasi Haji Terpadu (SISKOHAT), Education Management Information System (EMIS), portal Kementerian Agama dan Sistem Pengadaaan Barang/Jasa secara Elektronik (SPSE). Dengan penggunaan sistem informasi yang semakin meningkat maka perlu adanya jaminan kelangsungan bisnis dari data center Kementerian Agama, namun sampai saat ini Kementerian Agama belum memiliki perencanaan khusus terkait kontingensi data center. Pusat Informasi dan Hubungan Masyarakat (Pinmas) merupakan unit pengelola TIK di Kementerian Agama. Pinmas menyusun rencana strategis (Renstra) TIK 2015-2019, salah satunya memuat tentang penyusunan dokumen disaster recovery plan (DRP). DRP disusun untuk meminimalkan dampak risiko yang terjadi dan menjamin availabilitas kelangsungan bisnis organisasi apabila terjadi gangguan atau bencana. Penelitian ini bertujuan untuk menyusun dokumen disaster recovery plan untuk Kementerian Agama dengan menggunakan metodologi yang mengacu pada NIST SP 800-34 Rev.1 dan NIST SP 800-30 Rev.1. Framework ini memiliki langkahlangkah yang harus dilakukan sebagai acuan dalam penyusunan disaster recovery plan yang sesuai dengan kondisi organisasi. Dalam dokumen disaster recovery plan ini dilakukan penilaian terhadap terjadinya risiko untuk mengetahui tingkat dampak risiko. Selain itu, dalam dokumen ini juga dilakukan analisis dampak bisnis untuk mengetahui tingkat kritis sistem informasi yang dimiliki organisasi. Hasil dari penelitian ini adalah usulan dokumen disaster recovery plan sebagai masukan untuk Kementerian Agama.

Kata kunci: DRP, Kementerian Agama, Pinmas, data center xiii +94 halaman; 9 gambar; 21 tabel; 18 lampiran

vii



ABSTRACT Name Study Programme Title

: Nani Nuraini : Magister of Information Technology : Design of Disaster Recovery Plan in Government Agencies: A Case Study of Ministry of Religious Affairs

Ministry of Religious Affairs has been utilizing information and communication technology (ICT) as a means to provide services to the public, has developed Integrated and Computerized Hajj Information System (SISKOHAT), Education Management of Information System (EMIS), the portal of the Ministry of Religion and Electronic Procurement of Goods/Services System (SPSE). Furthermore, the utilization of information systems has increased the need for business continuity assurance of the data center of the Ministry of Religious Affairs, but to date they do not have specific plans related to contingency data center. Information and Public Relations Center (Pinmas) is a management unit of ICT in the Ministry of Religion. Pinmas develop a strategic plan ICT 2015 to 2019, one of which includes the preparation of a document on disaster recovery plan (DRP). DRP is structured to minimize the impact of the risk occurring and ensure the availability of organization's business continuity in case of disruption or disaster. The aim of this study is to develop a disaster recovery plan document to the Ministry of Religion by using a methodology which refers to the NIST SP 800-34 and NIST SP 800-30 Rev.1 Rev.1. This framework has the steps that must be undertaken as a reference in the preparation of a disaster recovery plan in accordance with the conditions of the organization. In a disaster recovery plan document was conducted on the occurrence of a risk assessment to determine the level of risk impact. In addition, this document also conducted a business impact analysis to determine the level of critical information systems of the organization. The result of this research is proposed documents disaster recovery plan as input for Ministry of Religious Affairs.

Keyword: DRP, Ministry of Religious Affairs, Pinmas, data center xiii +94 pages; 9 figures; 21 tables; 18 appendix

viii



DAFTAR ISI HALAMAN JUDUL ............................................................................................. ii HALAMAN PERNYATAAN ORISINALITAS................................................. ii HALAMAN PENGESAHAN .............................................................................. iii KATA PENGANTAR .......................................................................................... iv HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI......................... vi ABSTRAK............................................................................................................ vii ABSTRACT ......................................................................................................... viii DAFTAR ISI ......................................................................................................... ix DAFTAR GAMBAR ............................................................................................ xi DAFTAR TABEL................................................................................................ xii DAFTAR LAMPIRAN ...................................................................................... xiii BAB 1 PENDAHULUAN.......................................................................................1 1.1 Latar Belakang.........................................................................................1 1.2 Perumusan Masalah .................................................................................6 1.3 Tujuan dan Manfaat Penelitian................................................................7 1.4 Ruang Lingkup Penelitian .......................................................................7 1.5 Sistematika Penulisan ..............................................................................7 BAB 2 TINJAUAN PUSTAKA ............................................................................9 2.1 Pengertian Bencana (Disaster) ................................................................9 2.2 Pengertian Pemulihan Bencana (Disaster Recovery) ............................10 2.3 Rencana Pemulihan Bencana (Disaster Recovery Plan/DRP) ..............10 2.4 Rencana Kontingensi (Contingency Plan) ............................................11 2.5 Perancangan Disaster Recovery ............................................................12 2.6 Penelitian Sebelumnya ..........................................................................17 2.6.1 Information Technology Disaster Recovery Plan: Case Study .18 2.6.2 Evaluating Disaster Recovery Plans Using the Cloud ..............18 2.6.3 Artificial Intelligence Applications for Risk Analysis, Risk Prediction and ...........................................................................18 2.6.4 Perbandingan Penelitian sebelumnya ........................................19 2.7 Standar Rencana Kontingensi/Contingency Plan ..................................23 2.7.1 NIST Special Publication 800-34 Rev.1....................................23 2.7.2 ISO/IEC 24762:2008 .................................................................23 2.7.3 NFPA 1600 ................................................................................24 2.7.4 Perbandingan NIST, ISO/IEC, dan NFPA ................................24 2.8 Kerangka Teoritis (Theoretical Framework) ........................................26 BAB 3 METODOLOGI PENELITIAN ............................................................28 3.1 Metodologi Penelitian............................................................................28 3.2 Tahapan Penelitian ................................................................................30 3.3 Metode Pemilihan Narasumber .............................................................33 BAB 4 PROFIL ORGANISASI .........................................................................34 4.1 Kementerian Agama ..............................................................................34 4.1.1 Visi, Misi Organisasi .................................................................34 4.1.2 Tujuan dan Sasaran....................................................................36 4.1.3 Sasaran Strategis ........................................................................37 4.1.4 Struktur Organisasi Kemenag....................................................39 4.2 Pusat Informasi dan Hubungan Masyarakat (Pinmas) ..........................40 ix Universitas Indonesia


4.2.1 Visi dan Misi Pinmas.................................................................41 4.2.2 Tujuan dan Sasaran....................................................................41 4.2.3 Aktivitas/Kegiatan .....................................................................44 4.2.4 Struktur Organisasi ....................................................................45 BAB 5 ANALISIS DAN PEMBAHASAN.........................................................47 5.1 Identifikasi Perangkat Kemenag............................................................47 5.1.1 Data Center Kemenag ...............................................................47 5.1.2 Identifikasi Jaringan...................................................................47 5.1.3 Identifikasi Sistem Informasi.....................................................49 5.2 Identifikasi dan Penilaian Risiko...........................................................54 5.3 Analisis Dampak Bisnis (BIA) ..............................................................67 5.3.1 Menentukan Pemulihan dan Bisnis Proses yang Kritis .............67 5.3.2 Identifikasi Prioritas Pemulihan Sistem Informasi ....................72 5.4 Identifikasi Kontrol Pencegahan ...........................................................74 5.4.1 Kontrol Pencegahan Data center...............................................74 5.4.2 Kontrol Pencegahan terhadap Risiko Berdasarkan Kecenderungan dan Dampak .....................................................75 5.5 Pengembangan Strategi Kontingensi.....................................................77 5.5.1 Backup dan Recovery.................................................................77 5.5.2 Metode Backup dan Storage Offsite ..........................................78 5.5.3 Site Alternatif.............................................................................79 5.5.4 Peralatan Pengganti ...................................................................80 5.5.5 Pertimbangan Biaya...................................................................81 5.5.6 Peranan dan Tanggung Jawab ...................................................82 5.6 Penyusunan Dokumen DRP ..................................................................88 BAB 6 KESIMPULAN DAN SARAN ...............................................................90 6.1 Kesimpulan............................................................................................90 6.2 Saran ......................................................................................................90 DAFTAR PUSTAKA ...........................................................................................92 LAMPIRAN ..........................................................................................................95

x



DAFTAR GAMBAR Gambar 2.1. Komponen Rencana Kontingensi..................................................... 12 Gambar 2.2. Timeline Rencana Kontingensi......................................................... 12 Gambar 2.3 Langkah-langkah perancangan disaster recovery ............................. 13 Gambar 2.4 Kerangka Teoritis.............................................................................. 27 Gambar 3.1 Tahapan Penelitian Rancangan DRP................................................. 30 Gambar 4.1 Struktur Organisasi Kementerian Agama ......................................... 39 Gambar 4.2 Struktur Organisasi Pinmas............................................................... 45 Gambar 5.1 Topologi Jaringan Kemenag ............................................................. 48 Gambar 5.2 Struktur Organisasi Tim Disaster Recovery Data Center................. 83

xi



DAFTAR TABEL Tabel 1.1 Data Penggunaan e-mail ......................................................................... 2 Tabel 2.1 Perbandingan dengan Penelitian Sebelumnya ...................................... 20 Tabel 2.2 Perbandingan Standar Rencana Kontingensi ........................................ 25 Tabel 5.1 Infrastruktur Jaringan Kemenag............................................................ 49 Tabel 5.2 Jumlah Pengguna pada Sistem Informasi ............................................. 53 Tabel 5.3 Identifikasi Risiko terhadap Aset.......................................................... 56 Tabel 5.4 Identifikasi Kecenderungan dari Setiap Ancaman................................ 59 Tabel 5.5 Definisi Tingkat Kecenderungan Risiko............................................... 59 Tabel 5.6 Identifikasi Dampak dari Setiap Ancaman ........................................... 60 Tabel 5.7 Definisi Tingkat Dampak Risiko .......................................................... 60 Tabel 5.8 Matriks Nilai Risiko.............................................................................. 61 Tabel 5.9 Penilaian Risiko Berdasarkan Kecenderungan dan Dampak ................ 62 Tabel 5.10 Definisi Tingkat Nilai Risiko.............................................................. 66 Tabel 5.11 Pemetaan Ancaman terhadap Sistem Informasi.................................. 66 Tabel 5.12 Pemetaan Layanan Kemenag dari Sistem informasi........................... 67 Tabel 5.13 Analisis Dampak Bisnis ...................................................................... 70 Tabel 5.14 Identifikasi RTO dan RPO Sistem Informasi ..................................... 72 Tabel 5.15 Prioritas Pemulihan Sistem Informasi................................................. 73 Tabel 5.16 Rekomendasi Kontrol Berdasarkan Risiko ......................................... 75 Tabel 5.17 Usulan Strategi Backup/Recovery dan Strategi Site Alternatif ........... 79 Tabel 5.18 Usulan Perkiraan Biaya Pengadaan Perangkat DRC .......................... 81

xii



DAFTAR LAMPIRAN Lampiran 1 Hasil Wawancara Kepala Pusat Informasi dan Humas ..................... 95 Lampiran 2 Hasil Wawancara Kabid TIK ............................................................ 96 Lampiran 3 Hasil Wawancara dengan Kasubbid Pengembangan TIK ................. 98 Lampiran 4 Laman Resmi Kemenag diserang Hacker ....................................... 100 Lampiran 5 Laporan Gangguan Layanan Telkom .............................................. 101 Lampiran 6 Surat Edaran Sekretaris Jenderal tentang Pemanfaatan Email ........ 103 Lampiran 7 Rencana Strategis Kemenag 2015-2019.......................................... 104 Lampiran 8 Identifikasi kontrol ANSI/TIA 942 – Data Center Kemenag ......... 106 Lampiran 9 Aset data center Siskohat – Realita Haji Edisi III-Juli 2015 .......... 109 Lampiran 10 Wawancara dengan Kabag SISKOHAT........................................ 110 Lampiran 11 Wawancara dengan Kasubbag SI Bimas Islam ............................. 111 Lampiran 12 Wawancara dengan Kasubbag Pengembangan Database Haji...... 113 Lampiran 13 Wawancara dengan Staff pengguna Sistem Informasi Bimas Islam ................................................................................................................... 114 Lampiran 14 Wawancara dengan Kasubbid Pengembangan TIK ...................... 115 Lampiran 15 Rekapitulasi RTO, RPO dan Tingkat Dampak terhadap SI .......... 117 Lampiran 16 Wawancara dengan Kasubbid Pengembangan TIK ...................... 118 Lampiran 17 Usulan Dokumen DRP Data Center Kemenag ............................. 122 Lampiran 18 Surat Keterangan Penelitian .......................................................... 156

xiii



BAB 1 PENDAHULUAN Bab ini menjelaskan uraian mengenai latar belakang penelitian dengan mengidentifikasi rumusan masalah yang ada. Identifikasi permasalahan yang terjadi pada organisasi akan disimpulkan pada rumusan masalah menjadi suatu Research Question pada penelitian ini. Tujuan dan manfaat penelitian menjelaskan mengenai manfaat dari penelitian yang dilakukan bagi instansi. Bab ini juga menjelaskan ruang lingkup penelitian dan sistematika penulisan. 1.1

Latar Belakang

Menurut Omar, Alijani, & Mason (2011) bahwa data yang terkomputerisasi menjadi hal yang penting untuk kelangsungan hidup suatu organisasi. Organisasi yang bergantung pada teknologi informasi (TI) dalam melakukan pekerjaan sehari-hari dan membantu dalam proses pengambilan keputusan telah berkembang dengan pesat dan masih akan terus berkembang. Organisasi perusahaan, baik swasta maupun pemerintahan, harus memiliki strategi yang sesuai untuk memulihkan data mereka manakala terjadi bencana seperti kebakaran, badai, atau bencana alam lainnya yang menyebabkan kerusakan pada data center utama. Perencanaan untuk pemulihan dari bencana ini menjadi suatu kebutuhan organisasi. Kementerian Agama (Kemenag) merupakan organisasi pemerintah yang menyelenggarakan pemerintahan khusus di bidang keagamaan. Sesuai Peraturan Menteri Agama Nomor 10 Tahun 2010 tentang Organisasi dan Tata Kerja Kemenag, Pusat Informasi dan Hubungan Masyarakat (Pinmas) merupakan unit setingkat eselon II yang menangani data, informasi dan hubungan masyarakat. Pinmas memiliki tugas melaksanakan perumusan dan pelaksanaan kebijakan, standarisasi dan bimbingan teknis serta evaluasi di bidang informasi dan hubungan masyarakat. Pinmas membawahi 3 (tiga) bidang kerja yaitu bidang data, bidang teknologi informasi dan komunikasi (TIK), dan bidang hubungan masyarakat. Kemenag telah memanfaatkan TIK sebagai sarana untuk memberikan pelayanan kepada masyarakat baik secara langsung maupun tidak langsung. Dimulai tahun 1996 dengan nama Sistem Komputerisasi Haji Terpadu 1



2

(SISKOHAT).

Dalam

perkembangannya,

pemanfaatan

TIK

mendorong

terwujudnya e-government pada Kemenag, baik secara internal maupun pelayanan publik. Sementara itu, Kemenag telah mengembangkan Sistem Informasi yang berbasis web service, antara lain portal Kemenag (www.kemenag.go.id) yang telah berjalan lebih dari 10 tahun dan saat ini telah mengintegrasikan 146 sub domain dari seluruh satker. Sistem informasi yang telah terintegrasi antara lain Sistem Informasi Manajemen Pendidikan (EMIS), Sistem Informasi Manajemen Nikah (SIMKAH), Sistem Informasi Masjid (SIMAS), Sistem Informasi Wakaf (SIWAK), Layanan Pengadaan Secara Elektronik (LPSE), Sistem Informasi Manajemen Kepegawaian (Simpeg), Elektronik Monitoring Pelaksanaan Anggaran (e-MPA), e-Dokumen, Sertifikasi Dosen, serta SIM-BOS dan Beasiswa. Pemanfaatan e-mail Kemenag (webmail.kemenag.go.id) untuk kepentingan internal yang telah teregistrasi berjumlah 16.602 alamat email atas satker dan pegawai. Setiap hari, pegawai menggunakan aplikasi-aplikasi tersebut dalam proses kerjanya, sehingga ketersediaan layanan tersebut menjadi faktor yang mempengaruhi kegiatan bisnis di satuan kerja Kemenag. Sesuai surat edaran Sekretaris Jenderal Kementerian Agama Nomor: SJ/B.VIII/2/HM.00/513/2015, tanggal 23 Januari 2015, tentang Pemanfaatan surat elektronik (e-mail) pada Kemenag yang mewajibkan para pegawai menggunakan email dinas Kemenag untuk kepentingan dinas (lampiran 6). Tabel 1.1 memperlihatkan data penggunaan aplikasi e-mail Kemenag yang aktif meningkat dari bulan Maret 2014 sampai bulan Februari 2015. Tabel 1.1 Data Penggunaan e-mail Bulan

Email Aktif

Kapasitas Storage (GB)

Maret 2014

11.532

220

April 2014

11.760

300

Mei 2014

11.960

400

Juni 2014

12.023

490

Juli 2014

12.223

605 Universitas Indonesia


3

Tabel 1.1 Data Penggunaan e-mail (sambungan) Bulan

Email Aktif

Kapasitas Storage (GB)

Agustus 2014

12.304

700

September 2014

12.504

770

Oktober 2014

12.600

880

Nopember 2014

12.703

903

Desember 2014

13.900

1.008

Januari 2015

14.000

1.100

Februari 2015

14.664

1.200

Sumber: Pinmas Kemenag (2015)

Dalam Renstra Kemenag 2015-2019 disebutkan bahwa komunikasi publik menjadi bagian yang perlu menjadi perhatian utama. Posisi Kemenag tidak sekedar sebagai lembaga birokrasi yang menjalankan fungsi legislator, administrator, dan fasilitator pembangunan bidang agama, lebih dari itu merupakan institusi moral yang notebene menjadi barometer moralitas institusi yang lain. Penguatan citra lembaga melalui komunikasi publik yang baik menjadi salah satu solusinya. Masyarakat tidak hanya melulu dijejali informasi negatif dari media yang cenderung membidik berita dengan logika oplah, tetapi perlu ada keseimbangan informasi dari internal Kemenag dengan mengedapankan aspek akuntabilitas, transparansi, kecepatan dan akurasi. Sepadan dengan itu, perlu dikembangkan penyediaan informasi keagamaan yang lebih luas melalui display information system, sebagai penyedia informasi Kemenag yang disiarkan melalui TV media. Dalam paparan Sekretaris Jenderal Kemenag pada acara sosialisasi internal reformasi birokrasi Kemenag Pusat disebutkan bahwa program percepatan layanan unggulan (quick wins) yang ditujukan untuk membangun kepercayaan masyarakat

dalam

waktu

singkat

terhadap

citra

Kemenag

melalui

penyelenggaraan layanan yang berkualitas. Layanan yang dipersiapkan untuk quick wins ini antara lain: pendaftaran haji, penerimaan Calon Pengawai Negeri Sipil (CPNS), administrasi nikah, sertifikasi guru dan dosen, dan beasiswa. Berdasarkan quick wins yang ada, Kemenag telah memiliki sistem informasi Universitas Indonesia


4

untuk memudahkan layanan tersebut, yaitu SISKOHAT untuk layanan pendaftaran haji, SIMKAH untuk administrasi nikah, dan EMIS. Penyediaan informasi juga merupakan bagian dari partisipasi Kemenag dalam gerakan membangun pemerintahan yang lebih terbuka dan partisipatif. Kemenag akan terus mengembangkan keterbukaan informasi publik terkait dengan tugas pelayanan Kemenag kepada masyarakat dalam bidang agama dan bidang pendidikan. Pengembangan pengelolaan informasi publik telah dan akan terus ditingkatkan kualitasnya, antara lain melalui partisipasi aktif dalam gerakan Open Goverment Indonesia (OGI) dan penguatan peran Pejabat Pengelola Informasi dan Dokumentasi (PPID) Kemenag sesuai dengan Keputusan Menteri Agama No. 200 Tahun 2012. Pada SISKOHAT, bermula dari rencana aksi OGI, pemerintah dalam hal ini Kemenag menargetkan layanan estimasi keberangkatan jamaah haji pada web haji www.haji.kemenag.go.id. Laman ini juga dilengkapi dengan estimasi Biaya Penyelenggaraan Ibadah Haji (BPIH) melalui informasi berbasis peserta individual. Sebagai tindak lanjutnya, Direktorat Jenderal Penyelenggaraan Haji dan Umrah (Ditjen PHU) meluncurkan layanan baru pada menu estimasi keberangkatan. Menu baru ini telah ditambah dengan estimasi BPIH. Estimasi ini bersifat asumsi atau gambaran saja. Karena BPIH ditetapkan setiap tahun berdasarkan hasil putusan Keputusan bersama dengan DPR-RI dan ditetapkan melalui Keputusan/Peraturan Presiden. Menurut Sekretaris Direktur Jenderal PHU dan Kepala Bagian Sistem Informasi Haji Terpadu yang ditulis pada majalah realita haji dan umrah edisi III Juli 2015, untuk menghadapi berbagai bencana alam yang dapat merusak data center, Kemenag berencana membangun sistem TI yang terkoneksi dengan disaster recovery center (DRC) yang diharapkan mampu menyelamatkan data center haji yang memuat data berupa setoran awal para jamaah dan memiliki nilai kisaran Rp74 triliun, jika data itu rusak maka akan sulit mengembalikannya seperti semula. (Lampiran 9).



5

Menurut penjelasan Kepala sub bidang (Kasubbid) Pengembangan TIK, data center Kemenag sebagian besar sudah dilengkapi infrastruktur yang sesuai dengan yang disaratkan untuk sebuah data center. Dari segi keamanan fisik, untuk masuk ke data center harus melewati 3 pintu yang sudah memiliki keamanan. Sudah dilengkapi dengan CCTV dan lantai sudah menggunakan raise floor, sehingga sudah menggunakan pipa khusus dalam perkabelan. AC presisi sudah disediakan untuk menjaga suhu dan kelembapan udara dalam ruangan. Genset dan UPS sudah disediakan jika sewaktu-waktu listrik padam, dan fire suppression sudah menggunakan zat kimia khusus. Namun di sisin lain, Kemenag belum memiliki perangkat cadangan, baik server maupun perangkat jaringan lain, sehingga membutuhkan waktu jika terjadi kerusakan atau server down. Mirroring data sudah dilakukan untuk mengatasi masalah jika terjadi kerusakan data dengan membangun co-location, namun sayangnya co-location ini hanya untuk data portal kemenag dan Layanan Pengadaan Secara Elektronik (LPSE). (lampiran 3). Selain itu, server pada DC Pinmas pernah down karena terjadinya gangguan putusnya kabel fiber optic di lokasi sekitar Gambir pada tanggal 01 Februari 2015 pukul 11.52 WIB (lampiran 5). Gangguan pada server tersebut menyebabkan availability DC menjadi turun dan para pegawai tidak dapat melakukan pekerjaannya, yang berkaitan dengan kontingensi proses bisnis dan operasional di Kemenag, pada saat terjadinya server down tersebut. Pada Peraturan Pemerintah Republik Indonesia Nomor 82 tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, menjelaskan bahwa bagi instansi publik wajib memiliki rencana kontingensi kegiatan, yang tercantum pada pasal 17 ayat (1): “Penyelenggara Sistem Elektronik untuk pelayanan publik wajib memiliki rencana kontingensi kegiatan untuk menanggulangi gangguan atau bencana sesuai dengan risiko dari dampak yang ditimbulkannya”. Menurut Whitman dan Mattord (2010, hal. 211-212), contingency plan/rencana kontingensi adalah rencana yang disiapkan oleh organisasi untuk mengantisipasi, bereaksi dan memulihkan terhadap peristiwa yang mengancam keamanan informasi dan aset informasi dalam organisasi kemudian mengembalikan proses bisnis dan operasional menjadi keadaan yang normal. Rencana kontingensi memiliki 3 macam komponen yaitu: incident response plan (IRP), disaster Universitas Indonesia


6

recovery plan, dan business continuity plan. IRP berfokus pada respon langsung terhadap insiden, namun jika insiden itu meningkat dan menjadi suatu bencana maka akan berpindah ke disaster recovery plan dan business continuity plan. Dengan melihat kondisi yang ada, Pinmas merencanakan penyusunan dokumen disaster recovery plan (DRP) sebagai langkah awal pembuatan fasilitas DRC yang telah tercantum pada rencana strategis (Renstra) TIK 2015-2019 (lampiran 7). Penyusunan dokumen ini dilakukan sebagai langkah awal dalam pembangunan disaster recovery center (DRC) yang akan dilaksanakan pada tahun selanjutnya. Dengan adanya DRC diharapkan tingkat availabity data center dapat terjaga untuk mendukung layanan informasi yang ada. Layanan informasi ini digunakan bukan hanya untuk kepentingan internal saja namun juga untuk menjaga kepercayaan publik terhadap layanan online yang disediakan oleh Kemenag. Berdasarkan hal tersebut, maka penelitian ini akan membahas mengenai penyusunan dokumen DRP pada Kemenag untuk menjaga kontingensi proses bisnis dan operasional organisasi. 1.2

Perumusan Masalah

Pinmas sebagai unit pengelola TI di Kemenag memiliki Renstra TIK 2015-2019, yang memuat mengenai penyusunan dokumen disaster recovery plan (DRP). Harapan yang ingin dicapai oleh pengelola TIK di Kemenag adalah dilakukannya penyusunan dokumen DRP ini dengan tujuan agar dapat menanggulangi gangguan atau bencana sesuai dengan risiko dari dampak yang ditimbulkannya. Menurut hasil wawancara dengan Kepala bidang (Kabid) TIK dan Kasubbid Pengembangan TIK, penyusunan dokumen DRP ini telah tercantum pada Renstra TIK 2015-2016 namun pelaksanaannya belum dilakukan, sehingga penulis menemukan masalah yaitu belum adanya dokumen DRP di Kemenag, dan penelitian ini berfokus pada penyusunan dokumen DRP yang akan menjadi acuan dan langkah awal dalam pembangunan DRC. Berdasarkan hal tersebut pertanyaan yang akan dijawab melalui penelitian ini adalah: “Bagaimana rancangan disaster recovery plan yang sesuai dengan kondisi lingkungan Kementerian Agama?” Universitas Indonesia


7

1.3

Tujuan dan Manfaat Penelitian

Tujuan dari penelitian ini adalah mendapatkan hasil rancangan DRP yang sesuai dengan kondisi di Kemenag. Sedangkan manfaat dari penelitian ini agar mengetahui bagaimana cara menimimalkan risiko bila terjadi bencana pada DC, dan sebagai bahan acuan/masukan serta langkah awal untuk membangun DRC pada Kemenag. 1.4

Ruang Lingkup Penelitian

Ruang lingkup penelitian ini adalah pada rancangan DRP di Kemenag, dimana infrastruktur yang dikelola oleh Pinmas sebagai pengelola TIK organisasi dan dan layanan aplikasi yang berada di Kemenag. Penelitian ini tidak membahas bencana/gangguan akibat kegagalan/keterlambatan dalam proses pengadaan barang dan jasa Sistem Informasi/Teknologi Informasi. 1.5

Sistematika Penulisan

Sistematika dalam penulisan karya ilmiah ini disusun sebagai berikut: BAB 1

PENDAHULUAN Pada bab ini berisi tentang latar belakang, perumusan masalah, manfaat dan tujuan penelitian, ruang lingkup penelitian, dan sistematika penulisan.

BAB 2

TINJAUAN PUSTAKA Bab ini berisi teori, metode, proses, prosedur, maupun alat (tools) terkait dengan penelitian. Selain itu juga terdapat kajian mengenai penelitian-penelitian sebelumnya terkait dengan penelitian ini.

BAB 3

METODOLOGI PENELITIAN Pada bab ini dijelaskan mengenai langkah-langkah penelitian dimulai dari masukan, proses, metode dan keluaran yang digunakan.

BAB 4

PROFIL ORGANISASI Bab ini berisikan gambaran sekilas tentang profil organisasi Kemenag dan Pinmas.

BAB 5

PEMBAHASAN DAN ANALISIS Pada bab ini diuraikan mengenai penilaian risiko, analisis dampak terhadap organisasi, penentuan prioritas, analisis kontrol pencegahan,



8

serta strategi kontingensi dalam penyusunan disaster recovery plan yang akan diterapkan pada organisasi. BAB 6

KESIMPULAN DAN SARAN Bab ini berisi kesimpulan dan saran dari penelitian yang dilakukan.



BAB 2 TINJAUAN PUSTAKA

Pada bab ini dijelaskan mengenai teori-teori yang berkaitan dengan rancangan disaster recovery planning (DRP), penelitian mengenai DRP yang telah dilakukan sebelumnya, dan metodologi yang digunakan dalam penelitian ini, serta theoretical framework yang dirumuskan dari teori-teori serta penelitian sebelumnya tentang DRP. 2.1

Pengertian Bencana (Disaster)

Menurut Parker & Handmer (1992, hal.6) bencana adalah sebuah kejadian yang tidak biasa terjadi disebabkan oleh alam maupun ulah manusia, termasuk di dalamnya peristiwa yang disebabkan oleh kegagalan sistem teknologi yang memicu respon dari individu, komunitas, masyarakat, maupun lingkungan yang menyebabkan kerusakan besar, kerugian ekonomi, gangguan, cedera, dan/atau hilangnya nyawa. Bencana juga diartikan sebagai keadaan di mana struktur sosial terganggu dan menjadi tidak berfungsi ke tingkat yang lebih besar atau lebih kecil (Fritz, 1961). Menurut Landesman (2001) bencana adalah kejadian apapun yang biasanya terjadi secara tiba-tiba, yang menyebabkan kerusakan, gangguan ekologis, hilangnya kehidupan manusia memburuknya kesehatan dan pelayanan kesehatan, dan melebihi kapasitas masyarakat yang terkena dampak untuk mendapatkan bantuan dari luar. Sejalan dengan Undang-undang nomor 24 tahun 2007 tentang penanggulangan bencana dan Peraturan Pemerintah nomor 21 tahun 2008 tentang penyelenggaraan penanggulangan bencana, pada bab 1 pasal 1 ayat 1 menyebutkan bencana adalah peristiwa atau rangkaian peristiwa yang mengancam dan mengganggu kehidupan dan penghidupan masyarakat yang disebabkan, baik oleh faktor alam dan/atau nonalam maupun faktor manusia sehingga mengakibatkan timbulnya korban jiwa manusia, kerusakan lingkungan, kerugian harta benda, dan dampak psikologis. Dari beberapa definisi di atas, dapat dikatakan bahwa bencana adalah segala peristiwa yang terjadi karena alam, manusia maupun peristiwa yang disebabkan 9



10

oleh kegagalan sistem teknologi yang digunakan sehingga menyebabkan terganggunya proses bisnis yang mengakibatkan tatanan organisasi terganggu sehingga tidak dapat menjalankan fungsi bisnis. 2.2

Pengertian Pemulihan Bencana (Disaster Recovery)

Disaster Recovery adalah proses membawa organisasi atau proyek, yang telah mengalami kerusakan karena bencana, ke kondisi sebelum kecelakaan/bencana itu terjadi (Nigg, 1995). Disaster recovery adalah bagian dari kelangsungan bisnis (business continuity), yang didefinisikan sebagai rencana pencegahan dan rehabilitasi terhadap ancaman internal maupun eksternal organisasi untuk mengamankan integritas bisnis dan daya saing (Anthopoulus, Kostavara & Pantouvakis. 2012). Disaster recovery terkait berbagai kegiatan, mulai dari backup data yang diambil dari sumber-sumber data, memperbaiki kinerja jaringan, dan membangun kembali tempat kerja utama untuk seluruh organisasi (Clark. P, 2010). The National Academies menjelaskan bahwa disaster recovery meliputi dua kegiatan yaitu kegiatan jangka pendek untuk mengembalikan operasional yang kritis pada sistem fisik maupun sosial, dan kegiatan jangka panjang yang dirancang untuk memulihkan sistem–sistem tersebut dalam skala negara (The National Academies, 2007, hal. 17). Dari beberapa pengertian tentang disaster recovery, dapat disimpulkan bahwa disaster recovery adalah proses pemulihan kembali setelah kecelakaan/bencana terjadi baik internal maupun eksternal kemudian membangun kembali fungsi bisnis organisasi dalam waktu sesingkat mungkin dan kehilangan data seminimal mungkin. 2.3

Rencana Pemulihan Bencana (Disaster Recovery Plan/DRP)

Menurut Bryson, Millar, Anito Joseph dan Mobolurin (2001), disaster recovery plan merupakan sistem untuk pengendalian dan keamanan internal yang berfokus bagaimana memulihkan secara cepat layanan pada proses bisnis yang kritis ketika ada kegagalan secara operasional karena bencana yang disebabkan oleh alam atau buatan manusia. Menurut Whitman dan Mattord (2010, hal. 231) disaster recovery plan adalah proses persiapan organisasi untuk menangani dan memulihkan keadaan dari bencana yang terjadi, baik yang disebabkan oleh alam Universitas Indonesia


11

atau buatan manusia. Penekanan utama dari disaster recovery plan adalah untuk membangun kembali operasi di lokasi utama, lokasi di mana organisasi melakukan bisnis. Tujuannya adalah untuk membuat hal-hal secara keseluruhan yang berkaitan dengan proses bisnis dan operasional organisasi agar berjalan secara normal seperti sebelum terjadinya bencana. Menurut Maiwald dan Sieglein (2002, hal. 179) disaster recovery plan adalah rencana yang bertujuan untuk mendefinisikan proses bisnis, dukungan terhadap infrastruktur dan toleransi pada interupsi yang terjadi, dan perumusan strategi untuk mengurangi kemungkinan gangguan atau konsekuensinya. Berdasarkan definisi-definisi yang telah dijabarkan, dapat disimpulkan bahwa disaster recovery plan adalah dokumen perumusan dan sistem perencanaan yang ditujukan untuk proses bisnis suatu organisasi dengan memanfaatkan infrastruktur sebagai sarana dan prasarana yang mendukung dalam menstabilkan dan memulihkan fungsi bisnis kritis suatu organisasi organisasi agar dapat berjalan secara normal seperti sebelum terjadinya bencana. 2.4

Rencana Kontingensi (Contingency Plan)

Menurut Whitman dan Mattord (2010, hal. 211-212), rencana kontingensi adalah rencana yang disiapkan oleh organisasi untuk mengantisipasi, bereaksi dan memulihkan terhadap peristiwa yang mengancam keamanan informasi dan aset informasi dalam organisasi kemudian mengembalikan proses bisnis dan operasional menjadi keadaan yang normal. Ada 3 macam komponen yang terkait rencana kontingensi yang ditampilkan pada gambar 2.1, yaitu: incident response plan (IRP), disaster recovery plan (DRP), dan business continuity plan (BCP). Pada beberapa organisasi, rencana kontingensi ini disusun dalam satu rencana yang terintegrasi. Pada organisasi skala besar, setiap rencana dibuat secara terpisah namun fungsi perencanaan saling terkait dan dibedakan dalam ruang lingkup, desain dan penerapannya.



12

Gambar 2.1. Komponen Rencana Kontingensi Sumber: Principles of Information Security, 4th ed. (2010)

Gambar 2.2, menunjukkan tentang contoh urutan kejadian ketika insiden terjadi maka dilakukan reaksi terhadap insiden hingga pemulihannya. Kemudian ketika insiden diklasifikasikan sebagai bencana, maka disaster recovery dilakukan. Selanjutnya jika bencana membutuhkan operasi off-site maka dilakukan reaksi kontinuitas dengan pemilihan lokasi alternatif.

Gambar 2.2. Timeline Rencana Kontingensi Sumber: Principles of Information Security, 4th ed. (2010)

2.5

Perancangan Disaster Recovery

Menurut Whitman (2010, hal.93) peran penting dari DRP adalah mendefinisikan bagaimana membangun kembali pengoperasion suatu organisasi pada lokasi dimana organisasi ini biasanya terletak. Sedangkan menurut Krutz dan Vines Universitas Indonesia


13

(2003, hal. 388), tujuan utama dari DRP adalah untuk memberikan cara yang terorganisir bagi suatu organisasi untuk membuat keputusan jika terjadi peristiwa yang mengganggu. Tujuan dari DRP adalah untuk mengurangi kebingungan organisasi dan meningkatkan kemampuan organisasi untuk menangani krisis yang terjadi. Adapun manfaat DRP adalah melindungi suatu organisasi dari kegagalan layanan komputer utama, meminimalkan risiko organisasi dari keterlambatan dalam memberikan pelayanan, menjamin keandalan sistem siaga melalui pengujian dan simulasi, dan meminimalkan pengambilan keputusan yang diperlukan oleh personil pada saat terjadi bencana. Dari tujuan dan manfaat tersebut, maka suatu organisasi memerlukan cara untuk merancang DRP yang sesuai dengan kondisi organisasi. Pada gambar 2.3 menjelaskan langkah-langkah business continuity dan DRP menurut Snedaker (2007, hal. 33), sebagai berikut:

Gambar 2.3 Langkah-langkah perancangan disaster recovery (Sumber: Snedaker, 2007 hal. 33) 1. Project Initiation Inisiasi proyek adalah salah satu elemen yang paling penting dalam perancangan disaster recovery (DR), karena tanpa dukungan penuh dari organisasi terutama dukungan dari pihak eksekutif, rencana tersebut tidak akan dapat berjalan. Selain dukungan, inisiasi proyek ini perlu menentukan kebutuhan-kebutuhan dan tujuan dari perancangan disaster recovery (DR). 2. Risk Assesssment Penilaian risiko merupakan proses untuk menilai dan melihat potensi risiko yang dihadapi perusahaan. Risiko yang terjadi mulai dari risiko Universitas Indonesia


14

yang biasa hingga risiko yang luar biasa, dari kebakaran atau banjir di ruang server sampai bencana seperti gempa bumi atau badai besar dan segala sesuatu di antara bencana tersebut yang harus didiskusikan cara penanganannya dengan unit bisnis terkait. Menurut Jones & Ashenden (2005, hal. 186), suatu risiko dapat berasal dari dalam maupun dari luar organisasi, dan perlu dipertimbangkan juga ada kalanya risiko berdampak positif bagi organisasi sehingga organisasi bisa bersifat proaktif daripada reaktif dalam mencapai keunggulan kompetitifnya. Lebih jauh lagi mereka mendefinisikan risiko sebagai kemungkinan adanya sebuah ancaman yang memanfaatkan kerentanan dan menyebabkan kerugian pada suatu aset. Risk = threat x vulnerability x impact (asset Value) Risiko didefinisikan sebagai fungsi dari nilai aset, ancaman dan kerentanan. Tanpa adanya pelaku ancaman, kerentanan atau dampak maka tidak ada risiko yang terjadi. Gangguan atau bencana yang diidentifikasi dalam penilaian risiko dapat diklasifikasikan menjadi 3 (tiga) kelompok besar, yaitu: a. gangguan atau bencana yang berasal dari alam, seperti banjir, gempa bumi, badai besar, tsunami, dan letusan gunung berapi; b. gangguan atau bencana yang terjadi akibat ulah manusia, seperti kebakaran, pencurian, dan bom/ledakan. c. gangguan atau bencana yang berasal dari teknologi, seperti kegagalan sistem, kerusakan infrastruktur, internet mati, dan jaringan putus. 3. Business Impact Analysis (BIA) Setelah mendefinisikan risiko dan melakukan penilaian terhadap risiko tersebut, langkah selanjutnya adalah mengalisa dampak potensial berbagai risiko tersebut. Tahapan ini dilakukan untuk memperoleh pemahaman atas proses bisnis mana yang merupakan proses bisnis kritis pada organisasi dan juga pemahaman atas dampak yang akan dialami oleh organisasi jika terjadi gangguan atau bencana pada proses bisnis tersebut. 4. Mitigation Strategy Development Universitas Indonesia


15

Tahapan berikutnya adalah risk mitigation yaitu langkah-langkah yang dilakukan untuk mengurangi dampak yang dialami oleh organisasi akibat terjadinya gangguan atau bencana. Pada tahapan ini, strategi risk mitigation yang dikembangkan untuk proses bisnis kritis dan fungsi TI dengan masukan yang berasal dari data risk assessment dan BIA. Tipe-tipe strategi risk mitigation yang dikembangkan dapat berupa: a. Risk acceptance Merupakan strategi yang dilakukan oleh organisasi untuk menerima konsekuensi atas potensi risiko yang dihasilkan. Strategi ini biasanya memiliki biaya yang sangat rendah terkait dengan pengelolaan risiko, namun memiliki biaya yang sangat tinggi pada masa setelah terjadi gangguan atau bencana. b. Risk avoidance Merupakan strategi yang dilakukan oleh organisasi untuk menghindari risiko secara keseluruhan. Hal ini dilakukan dengan memutus proses bisnis kritis dan memindahkannya sebelum terjadi gangguan atau bencana. Strategi ini memiliki biaya pengelolaan risiko yang sangat tinggi namun biaya pemulihannya sangat rendah. c. Risk limitation Merupakan strategi yang dilakukan oleh organisasi dengan cara melakukan pembatasan risiko yang dapat diterima. Strategi ini biasanya yang dipilih oleh organisasi khususnya dalam bidang TI. d. Risk transference Merupakan strategi yang dilakukan oleh organisasi dengan mentransfer risiko yang terjadi kepada pihak ketiga, biasanya untuk transaksi keuangan. Membeli asuransi adalah metode yang biasanya dilakukan pada strategi ini. Beberapa alternate site yang dapat dipilih untuk strategi risk mitigation adalah sebagai berikut: a. Fully

mirrored

site,

merupakan

fully

redundant

site

yang

menggambarkan apapun yang berada di site utama yang berlangsung ada ada site ini. Untuk beberapa perusahaan solusi ini mungkin masuk Universitas Indonesia


16

akal, dimana solusi memberikan tingkat ketersediaan tertinggi karena setiap transaksi yang terjadi pada site utama juga diproses pada mirrored site secara bersamaan. b. Hot site, merupakan site yang disediakan oleh vendor untuk tujuan darurat. Vendor akan menjamin konfigurasi teknis dengan komunikasi yang memungkinkan organisasi untuk melakukan peralihan kegiatan TI pada site komersial tersebut dalam jangka waktu tertentu, biasanya dalam waktu 1-4 jam. Site ini biasanya memberikan ruang yang cukup untuk hardware, infrastruktur pendukung seperti rak server, kabel, telepon, printer, dan personil pendukung. c. Warm site, merupakan site yang biasanya digunakan selama operasi normal untuk fungsi yang kurang kritis yang diambil alih untuk fungsi TI kritis selama terjadinya gangguan atau bencana. Jika terjadi gangguan atau bencana pada site utama, maka site sekunder menjadi server, melakukan restore backup terakhir, dan melakukan operasi kritis dalam beberapa jam. d. Mobile site, merupakan unit mandiri yang diangkut untuk membentuk site komputasi alternatif. Biasanya hal ini dilakukan oleh mobile container yang diangkut oleh truk ke lokasi yang telah ditentukan. e. Cold site, merupakan site yang mempunyai waktu respons yang paling lama untuk dapat menjalankan operasi bisnis setelah terjadinya gangguan atau bencana, namun memerlukan biaya yang paling sedikit. 5. DRP Development Tahap selanjutnya adalah menyusun rencana yang diinginkan sesuai dengan metodologi yang telah ditentukan sehingga meningkatkan peluang kesuksesan dan mengurangi peluang kesalahan dan kesenjangan. Tahapan ini merupakan tahapan yang dilakukan organisasi menentukan strategi risk mitigation yang dipilih. Pada tahapan ini dilakukan identifikasi metode yang digunakan untuk menerapkan strategi tersebut, penentuan sumber daya personil maupun non personil dan pembagian tugas yang dibutuhkan. 6. Training, Testing, and Auditing



17

Setelah DRP dibangun, maka personil/pegawai membutuhkan pelatihan tentang bagaimana cara menerapkannya. Uji coba dan simulasi akan sangat membantu dalam menghadapi bencana atau kejadian yang berat. Pemeriksaan

terhadap

DRP

akan

membantu

pendekatan

dalam

perancangan dan bagaimana cara pengoperasiannya. 7. DRP Maintenance Merupakan tahapan terakhir dalam pembuatan DRP. Jika DRP yang telah dibuat tidak dipelihara, diupdate dan divalidasi ulang dari waktu ke waktu maka suatu saat DRP ini tidak akan berguna ketika terjadi gangguan atau bencana pada organisasi dan hanya menjadi sebuah dokumen yang tidak berguna untuk menghadapi dan menyelesaikan suatu bencana atau gangguan. Menurut Snedaker (2007, hal 218-219), waktu pemulihan atau recovery time berhubungan dengan dampak kritis yang ditimbulkan akibat gangguan. Waktu pemulihan ini bisa dikategorikan sebagai berikut: 1. Maximum Tolerable Downtime (MTD): maksimal waktu yang ditolerir untuk ketidaktersediaannya fungsi bisnis. 2. Recovery Time Objective (RTO): waktu yang tersedia untuk memulihkan sistem dan sumber daya yang terganggu. Secara definisi RTO harus lebih kecil dari MTD. 3. Recovery Point Objective (RPO): banyaknya jumlah kehilangan data yang dapat ditoleransi oleh sistem bisnis kritis organisasi. Sebagai contoh, jika suatu organisasi melakukan backup data secara secara realtime, maka dapat disimpulkan bahwa toleransi hilangnya data organisasi tersebut itu tidak ada, dan jika suatu organisasi melakukan backup setiap satu minggu sekali maka toleransi hilangnya data organisasi tersebut adalah satu minggu. 2.6

Penelitian Sebelumnya

Penelitian sebelumnya yang digunakan pada penelitian ini adalah penilitian yang terkait dengan disaster recovery plan. Penelitian yang digunakan berupa penelitian mengenai pemilihan site alternatif, penelitian yang mirip dengan penelitian yang akan dilakukan yaitu menyusun DRP dan juga penelitian mengenai evaluasi studi kasus mengenai disaster recovery plan. Universitas Indonesia


18

2.6.1 Information Technology Disaster Recovery Plan: Case Study Pada tahun 2011, Adnan Omar, David Alijani dan Roosevelt Mason melakukan penelitian yang diberi judul Information Technology Disaster Recovery: Case Study. Dalam penelitiannya, Adnan Omar dkk, menjelaskan konsep dari disaster recovery plan dan data replication yang berisi langkah-langkah disaster recovery solution yang digunakan oleh Houston Community College (HCC) yaitu melakukan assessment, planning, implementation dan testing. Penerapan DRP oleh HCC menggunakan Oracle DataGuard pada data center CyrusOne yang memastikan bahwa replikasi data dan proses TI serta prosedur aplikasi yang kritis dapat berhasil. Dengan Oracle DataGuard, jumlah data yang hilang menjadi sedikit, kemampuan replikasi data menjadi lebih efisien, dan lebih murah serta lebih baik dioptimalkan untuk perlindungan data dan disaster recovery daripada solusi tape backup secara tradisional. 2.6.2 Evaluating Disaster Recovery Plans Using the Cloud Penelitian yang dilakukan oleh Omar H. Alhazmi dan Yashwant K.Malaiya (2013), yang berjudul Evaluating Disaster Recovery Plans Using the Cloud, lebih menekankan pada cloud sebagai sistem backupnya dan membandingkan penggunaan cloud (seperti amazon web services) dengan sistem backup on site dan remote co-location site (colo). Dalam penelitian ini, peneliti melihat kondisi teknologi yang sedang berkembang di era sistem informasi, yaitu teknologi cloud, dimana merupakan alternatif baru yang dapat diusulkan dalam pembuatan disaster recovery center. Perusahaan kecil yang memiliki anggaran kecil, dapat memilih teknologi ini. Namun, penggunaan teknologi cloud ini sangat rentan dengan isu keamanan informasi, sehingga banyak organisasi yang tetap memilih cara tradisional untuk membuat backup site walaupun dengan biaya yang besar. 2.6.3 Artificial Intelligence Applications for Risk Analysis, Risk Prediction and Decision Making in Disaster Recovery Planning Masoud Mohammadian (2012) melakukan penelitian yang berjudul Artificial intelligence application for risk analysis, risk prediction and decision making in disaster recovery planning. Dalam penelitiannya dijelaskan bagaimana penerapan Fuzzy Cognitive Maps (FCM) yang menyediakan fasilitas menangkap dan mewakili hubungan yang kompleks dalam melaksanakan DRP untuk sistem TI Universitas Indonesia


19

dan proses bisnis yang terkait dengan tujuan meningkatkan pemahaman CIO (Chief Information Officer) tentang sistem dan risiko terkait. 2.6.4 Perbandingan Penelitian sebelumnya Berdasarkan ketiga penelitan di atas, peneliti menganalisis kelebihan dan kekurangan dari penelitian-penelitian tersebut. Pada penelitian Omar H. Alhazmi, dan Yashwant K. Malaiya (2013) lebih menekankan pada penggunaan teknologi cloud sebagai strategi backup-nya dalam memulihkan kondisi asset TI/SI jika terjadi gangguan atau bencana dengan membandingkan penggunaan cloud dengan sistem backup on-site dan co-location. Sedangkan penelitian Adnan Omar, David Alijani dan Roosevelt Mason menggunakan Oracle DataGuard ke CyrusOne Data Center memastikan bahwa tujuan untuk proses replikasi data dan prosedur aplikasi TI berhasil jika terjadi bencana. Dengan Oracle DataGuard, jumlah kehilangan data menjadi terbatas, kemampuan data replikasi lebih efisien, lebih murah, dan lebih baik dioptimalkan untuk perlindungan data dan disaster recovery daripada menggunakan solusi tape backup tradisional. Dan penelitian Masoud Mohammadian menggunakan metode Fuzzy Cognitive Maps (FCM) yang menyediakan fasilitas menangkap dan mewakili hubungan yang kompleks dalam melaksanakan DRP untuk sistem TI dan proses bisnis yang terkait. Pada penelitian Masoud juga dijelaskan langkah-langkah penyusunan DRP, yaitu yaitu: membentuk tim pemulihan, melakukan penilaian risiko pada organisasi, membuat kebijakan dan prosedur pada organisasi, dan membuat dokumen prosedur disaster recovery dalam persiapan dalam menangani bencana yang terjadi. Dengan melihat penjelasan ketiga penelitian sebelumnya, maka peneliti mengambil langkah-langkah dalam penyusunan disaster recovery plan yaitu: membentuk tim disaster recovery, melakukan penilaian risiko gangguan atau bencana yang terjadi pada organisasi, membuat kebijakan pada organisasi, dan membuat dokumen prosedur disaster recovery.



20

Tabel 2.1 Perbandingan dengan Penelitian Sebelumnya Penulis &

Judul

Tujuan

Methodologi &

Tahun

Hasil Penelitan

Metode

Perbandingan/

Relevansi

critisize

dengan penelitian

Adnan Omar, Information

Penerapan

DRP Dalam

David Alijani Technology

oleh

HCC Omar,

dan Roosevelt Disaster

menggunakan

Mason (2011)

Oracle DataGuard dikembangkan oleh menjadi

Recovery

penelitian Dengan

Oracle Penelitian Omar Penelitian

HCC DataGuard, jumlah menggunakan

memilih solusi yang data

yang

hilang langkah-langkah sedikit, disaster

Plan: Case pada data center Oracle Data Guard kemampuan Study

CyrusOne

yang untuk

mengelola replikasi

memastikan bahwa DRP. Dengan fitur menjadi

akan menerapkan langkah-langkah yang

recovery

dilakukan,

yaitu: assessment,

data solution

yang planning

prosedur

TI

serta HCC

akan

dapat murah serta lebih Community

aplikasi memanfaatkan

baik

yang kritis dapat database berhasil

pengiriman menjaga

dioptimalkan College

(HCC)

log untuk perlindungan yaitu melakukan untuk data

dan

database recovery

utama dan siaga.

disaster assessment,

daripada planning,

solusi tape backup implementation secara tradisional.

dan testing.



dan

lebih digunakan oleh implementation.

replikasi data dan Oracle Data Guard, efisien, dan lebih Houston proses

ini

21

Tabel 2.1 Perbandingan dengan Penelitian Sebelumnya (sambungan) Omar Alhazmi

H. Evaluating dan Disaster

Menjelaskan

Penelitian Alhazmi Teknologi

berbagai teknologi ini

Yashwant

Recovery

virtualisasi

K.Malaiya

Plans Using dimanfaatkan

(2013)

the Cloud

melakukan colo

cloud Alhazmi

efisiensi Malaiya, hanya analisis

dan sumber daya secara

aktif fisik

penyimpanan

DRP infrastruktur

untuk

aplikasi dalam

kritis berdasarkan harus prioritas bisnis.

hal

untuk

lokasi disaster

dibadingkan dengan lokasi alternatif recovery plan

jaringan penilaian kuantitatif on-site, terkait situs jika

terhadap

ini

dan akan menerapkan

untuk biaya lebih rendah mengevaluasi

untuk memulihkan memungkinkan server,

atau

yang pendekatan evaluasi memiliki biaya

server Pada penelitian Penelitian

terjadi

dan bencana dengan

waktu bersama.

perhitungan RTO, dan RPO

memulihkan

layanan

(terkait

dengan RTO) dan kemungkinan hilangnya (terkait

data dengan

RPO). Masoud

Artificial

Menjelaskan

Dalam makalah ini Dengan

Mohammadian intelligence

penerapan

(2012)

Cognitive Maps

application

Fuzzy FCM

disarankan menggunakan

sebagai metode

model FCM yang

Penelitian

Penelitian

Masoud

ini akan mengadopsi

menggunakan

beberapa langkah-



ini

22

Tabel 2.1 Perbandingan dengan Penelitian Sebelumnya (sambungan) for

risk

(FCM)

yang untuk

pemantauan penelitian ini, DRP proses

dalam langkah

analysis,

menyediakan

dan analisis risiko dapat secara teratur penyusunan

risk

fasilitas

untuk DRP. FCM dipantau,

prediction

menangkap

dan dapat

and decision mewakili

menangkap dan

dan

direviu DRP,

making

in hubungan

yang hubungan

disaster

kompleks

dalam kompleks

recovery

melaksanakan

planning

DRP untuk sistem pelaksanaan

DRP untuk

TI

yang kerentanan

dan

dalam yang

proses

terkait.

the organizing

team, assessing team, dapat risk

in

the risk

yang melakukan analisis enterprise,

terlibat

proses dan

bisnis yang terkait

yang keputusan

penyusunan DRP,

yaitu: seperti:

ditingkatkan. organizing

mewakili Pengambil

lebih

menggunakan

DRP mereka.

in

developing

dalam organizations,

procedures

developing

meninjau

procedures,

and

meningkatkan

documenting DR

disaster

procedures, and

plan mereka secara

preparing

teratur.

handle disasters.

to



the

dan

dan departments and documenting DR

policies

recovery

assessing

across procedures

FCM, CIO dapat dan

the

enterprise,

baik establishing

memahami roles

Dengan perangkap

dalam

23

2.7

Standar Rencana Kontingensi/Contingency Plan

Ada banyak standar atau metodologi yang berhubungan dengan rencana kontingensi. Beberapa di antaranya adalah: 2.7.1 NIST Special Publication 800-34 Rev.1 NIST SP 800-34 Rev.1, Contingency Planning Guide for Federal Information Systems, adalah sebuah panduan yang memberikan instruksi, rekomendasi dan keputusan dalam pembuatan perencanaan pemulihan sistem informasi setelah terjadinya bencana atau gangguan. Penyusunan disaster recovery plan mengacu pada langkah-langkah sementara untuk memulihkan layanan sistem informasi setelah terjadi bencana atau gangguan. Langkah-langkah tersebut adalah sebagai berikut: 1. Develop the contingency planning policy statement 2. Conduct the business impact analysis 3. Identify preventive controls 4. Create contingency strategies 5. Develop an information system contingency plan 6. Ensure plan testing, training, and exercise 7. Ensure plan maintenance Selain standar NIST SP 800-34 Rev.1, penulis juga menggunakan NIST SP 80030 Rev.1 untuk tahapan Risk Assessment dalam perencanaan pemulihan ini. 2.7.2 ISO/IEC 24762:2008 ISO/IEC 24762: 2008 Information technology – Security techniques- Guidelines for information and communication technology disaster recovery services memberikan panduan pada jasa penyediaan disaster recovery teknologi informasi dan komunikasi (TIK) sebagai bagian dari manajemen kelangsungan bisnis, yang berlaku untuk keduanya pihak yaitu organisasi yang memiliki bisnis dan pihak ketiga sebagai outsourcing sebagai penyedia fasilitas fisik dan jasa layanan disaster recovery teknologi informasi dan komunikasi. ISO/IEC 24762: 2008 memiliki spesifikasi sebagai berikut: 1.

persyaratan untuk melaksanakan, mengoperasikan, memonitoring dan mempertahankan layanan dan fasilitas disaster recovery TIK; Universitas Indonesia


24

2.

kemampuan yang harus dimiliki oleh pihak ketiga sebagai outsourcing penyedia layanan disaster recovery TIK dan panduan praktis yang harus mereka ikuti, sehingga memberikan lingkungan dasar operasional yang aman dan memfasilitasi upaya disaster recovery terhadap organisasi;

3.

Panduan untuk memilih tempat atau lokasi pemulihan; dan

4.

Panduan untuk penyedia layanan disaster recovery TIK supaya terus meningkatkan layanan disaster recovery TIK yang mereka miliki.

2.7.3 NFPA 1600 NFPA 1600, Standard on Disaster/Emergency Management and Business Continuity Programs, merupakan standar untuk manajemen bencana dan darurat serta program Business Continuity. Hal ini ditujukan untuk banyak entitas yang berbeda, termasuk pemerintah di tingkat yang berbeda, bisnis komersial dan industri, warga negara, dan untuk organisasi non-profit dan organisasi non pemerintahan. masing-masing entitas ini memiliki fokus sendiri, misi yang unik dan memiliki tanggung jawab, sumber daya bervariasi dan memiliki kemampuan, dan prinsip-prinsip operasi dan prosedur. Ini mencakup seluruh siklus hidup Business Continuity, meskipun pengujian dan pertahanan kondisi BCP tidak dibahas secara mendalam. Bagian utama dari standar adalah membahas secara umum. Langkah-langkah yang termasuk dalam standar ini adalah sebagai berikut: 1. Program Management 2. Planning 3. Implementation 4. Training and Education 5. Exercise and Tests 6. Program Maintenance and Improvement 2.7.4 Perbandingan NIST, ISO/IEC, dan NFPA Berdasarkan penjelasan standar-standar yang berhubungan dengan strategi kontingensi, pada Tabel 2.2 ditampilkan perbandingan standar rencana kontingensi.



25

Tabel 2.2 Perbandingan Standar Rencana Kontingensi No 1

Uraian Judul Lengkap

2

Negara

3

Penerbit

4 5

Tanggal Rilis Deskripsi

6

Sasaran Organisasi

7

Ketersediaan tools/contoh/t emplate Sasaran pengguna

8

NIST NIST SP 800-34 Rev.1, Contingency Planning Guide for Federal Information Systems.

ISO/IEC NFPA ISO/IEC NFPA 1600 24762:2008 Standard on Information Disaster/Emergency technology - Management and Security Business Continuity techniques – Programs. Guidelines for information and communication technology disaster recovery services. United States of UK United States of America America National Institute British Standards National Fire of Standards and Institute and the Protection Technology. International Association. Standards Organization. Mei 2010 29 February 2008 1995 Panduan yang Panduan layanan Panduan untuk disaster recovery manajemen bencana komprehensif TIK sebagai bagian dan darurat serta untuk dari BCM. Dan program pengembangan Business juga ada panduan BCP, berfokus Continuity, namun pada kontingensi tentang pemilihan pengujian dan lokasi pemulihan layanan TI. pertahanan kondisi dan rekomendasi BCP tidak dibahas perbaikan layanan secara mendalam. secara kontinu.  Pemerintahan  Perusahaan besar  Pemerintahan  Perusahaan besar  Perusahaan  Perusahaan besar Komersial  SME  SME  Perusahaan  Perusahaan Komersial Komersial  Perusahaan non Perusahaan nonkomersial komersial. Tersedia. Tidak tersedia. Tersedia.  Manajemen  Operasional  Teknikal

 Manajemen  Operasional

 Manajemen: Medium  Operasional: Medium  Teknikal: Low Universitas Indonesia


26

Tabel 2.2 Perbandingan Standar Rencana Kontingensi (sambungan) 9

Official http://csrc.nist.gov/index. website html

www.iso.org www.bsiglobal.com

www.nfpa.org

Sumber: NIST SP 800-34 Rev.1 (2010), ISO/IEC 24762:2008, NFPA 1600 (2013) (telah diolah kembali)

Berdasarkan pada penelitian sebelumnya dan standar yang telah dijelaskan maka metodologi yang digunakan oleh peneliti adalah metodologi perancangan DRP dari NIST, yaitu NIST Special Publication 800-34 Rev.1 untuk tahap analisis dampak bisnis, kontrol pencegahan, strategi mitigasi dan perancangan DRP, dan NIST Special Publication 800-30 Rev.1 untuk penilaian risiko, karena dokumen ini dianggap sebagai best practice, dan dapat digunakan pada organisasi pemerintahan dalam hal ini Kemenag tempat penelitian dilakukan, sehingga tahapan pada penelitian ini adalah: membentuk tim disaster recovery, melakukan penilaian risiko gangguan atau bencana yang terjadi pada organisasi, membuat kebijakan pada organisasi, analisis dampak bisnis, kontrol pencegahan, strategi mitigasi dan membuat dokumen prosedur disaster recovery. 2.8

Kerangka Teoritis (Theoretical Framework)

Dari teori-teori, metodologi, dan penelitian sejenis yang pernah dilakukan para peneliti sebelumnya tentang DRP, maka penulis menuangkan dalam theoretical framework seperti gambar 2.4. Dari gambar 2.4 terlihat bahwa dalam perancangan DRP dipengaruhi oleh beberapa faktor: teori, kebijakan yang berlaku, penelitian sejenis yang dilakukan sebelumnya, standarisasi yang ada dan kondisi serta kharakteristik Kemenag. Perancangan DRP ini didasari oleh kebutuhan pengelola teknologi informasi dan komunikasi (TIK) pada Kemenag, ditambah adanya tuntutan dari Peraturan Pemerintah dan Perudang-undangan yang berlaku tentang penyelenggaraan penanggulangan bencana (UU Nomor 24 tahun 2007 dan PP Nomor 21 tahun 2008) dan Peraturan Pemerintah tentang penyelenggaraan sistem transaksi elektronik untuk membuat suatu rencana kontingensi keadaan darurat (PP No. 82 tahun 2012). Dalam perancangan DRP ini harus mempertimbangkan kondisi dan keunikan yang dimiliki oleh Kemenag (kondisi internal). Namun juga



27

dibutuhkan teori-teori serta standar yang relevan dengan kondisi yang ada untuk melakukan perancangan DRP yang sesuai dengan kebutuhan. Berikut ini ditampilkan gambar kerangka teoritis penelitian DRP.

Gambar 2.4 Kerangka Teoritis



BAB 3 METODOLOGI PENELITIAN

Pada bab ini dijelaskan mengenai tahapan penelitian yang akan dilakukan dalam rangka menghasilkan rancangan disaster recovery plan untuk diterapkan pada Kemenag. Tahapan penelitian yang akan dilakukan mengacu pada standar yang telah dijelaskan pada bab sebelumnya dan disesuaikan dengan kebutuhan organisasi. 3.1

Metodologi Penelitian

Penelitian ini dilakukan untuk memperoleh hasil rancangan disaster recovery plan (DRP) untuk Kemenag dengan

menggunakan metode

kualitatif

untuk

mendapatkan gambaran mengenai proses bisnis organisasi dan kondisi aset SI/TI yang dimiliki organisasi. Penelitian ini menggunakan metode penelitian action research dan case study research. John Elliott (1991) mendefinisikan action research sebagai berikut: “proses kolaborasi guru dan peserta didik dalam mengevaluasi praktek bersama-sama; meningkatkan kesadaran teori masing-masing, mengartikulasikan nilai konsep secara bersama, mencoba strategi baru untuk membuat nilai-nilai dalam praktek tersebut agar lebih konsisten dengan nilai-nilai pendidikan yang mereka miliki, merekam karya mereka dalam bentuk yang sudah tersedia dan dipahami oleh guru lainnya, dan mengembangkan teori bersama dalam praktek penelitian. Model action research menunjukkan proses yang berulang atau siklus di alam yang melibatkan beberapa siklus. Siklus pertama bergerak melalui langkahlangkah utama dari perencanaan, tindakan, observasi dan refleksi, yang kemudian digunakan untuk merevisi proses dalam siklus berikutnya (Kemmis dan McTaggart, 1990). Menurut Mc Taggart (1997), action research (penelitian tindakan) adalah penelitian collective self-reflective yang dilakukan oleh partisipan dalam ilmu sosial dan pendidikan untuk memperbaiki pemahaman dan pelaksanaan pekerjaannya sendiri, dan juga membawa dampak pada lingkungan di sekitarnya. Lebih jauh Mc Taggart dalam artikelnya yang berjudul menjelaskan bahwa action research dapat dilakukan oleh manager, direktur, dosen, guru, atau pekerja sosial lainnya, dan dapat mengandung unsur-unsur: (a) memperbaiki 28



29

pekerjaannya sendiri, (b) kolaboratif dengan orang atau kelompok lainnya untuk memperbaiki pekerjaan mereka, (c) kolaboratif dengan instansi lain secara terpisah untuk memunculkan proyek atau mengembangkan sistem baru. Suryabrata (1983) menjelaskan bahwa ada empat ciri penelitian tindakan, yaitu: 1. Praktis dan langsung relevan untuk situasi aktual dalam dunia kerja 2. Menyediakan rangka kerja yang teratur untuk pemecahan masalah dan perkembangan

baru

yang

lebih

baik

daripada

cara

pendekatan

impresionistikdan fragmentaris. Cara penelitian ini juga empiris dalam artian bahwa penelitian tersebut mendasarkan diri pada observasi aktual dan data mengenai tingkah laku, dan tidak berdasarkan pada pendapat subyektif yang didasarkan pada pengalaman masa lampau. 3. Fleksibel, adaptif, membolehkan perubahan-perubahan selama penelitian dan mengorbankan kontrol untuk kepentingan on the spot experimentation dan inovasi. 4. Walaupun berusaha supaya sitematis namun penelitian kurang tertib secara ilmiah, karena itu validitas internal dan eksternalnya lemah. Creswell (2007) menyatakan bahwa fokus studi kasus adalah spesifikasi kasus dalam suatu kejadian baik itu yang mencakup individu, kelompok budaya ataupun suatu potret kehidupan. Lebih lanjut Creswell mengemukakan beberapa karakteristik dari suatu studi kasus yaitu: (1) mengidentifikasi “kasus” untuk suatu studi; (2) Kasus tersebut merupakan sebuah “sistem yang terikat” oleh waktu dan tempat; (3) Studi kasus menggunakan berbagai sumber informasi dalam pengumpulan datanya untuk memberikan gambaran secara terinci dan mendalam tentang respons dari suatu peristiwa dan (4) Menggunakan pendekatan studi kasus, peneliti akan “menghabiskan waktu” dalam menggambarkan konteks atau setting untuk suatu kasus yang hasilnya hanya berlaku pada suatu lokasi tertentu. Dalam penelitian ini metodologi yang digunakan berdasarkan action research dan case study research. Alasan pemilihan action research dalam penelitian ini adalah karena dalam rancangan DRP ini unsur-unsur yang dilibatkan dalam penyusunan rancangan ini adalah kolaborasi antara peneliti dengan orang atau kelompok lainnya untuk memperbaiki pekerjaan mereka, dalam hal ini para pengelola TIK Universitas Indonesia


30

di Pinmas Kemenag dan kolaborasi antara peneliti dengan instansi lain, untuk meyusun rancangan DRP sebagai langkah awal dalam pembangunan disaster recovery center (DRC). Dan pemilihan case study research dalam penelitian ini karena hasil rancangan DRP ini hanya akan diterapkan pada Kemenag sebagai tempat penelitian yang dilakukan oleh peneliti, bukan diterapkan secara universal. 3.2

Tahapan Penelitian

Tahapan penelitian dapat dilihat pada gambar 3.1.

Gambar 3.1 Tahapan Penelitian Rancangan DRP Universitas Indonesia


31

Tahapan tersebut dimulai dengan pengumpulan data awal, perumusan masalah, tinjauan

pustaka, evaluasi kondisi organisaasi saat ini, melakukan penilaian

risiko, melakukan analisis dampak terhadap bisnis, mengidentifikasi kontrol pencegahan, pengembangan strategi mitigasi dan penyusunan dokumen DRP. Penjelasan mengenai metodologi penelitian adalah sebagai berikut: 1.

Pengumpulan data awal Dalam menyusun rencana disaster recovery plan yang baik, dibutuhkan metodologi, teori dan data yang baik. Dalam penelitian ini ada 2 jenis data yang digunakan, yakni data kualitatif dan data kuantitatif. Data yang bersifat kualitatif, yaitu data aset-aset SI/TI organisasi, digunakan untuk melakukan penilaian terhadap risiko dan analisis dampak bisnis, sedangkan data yang bersifat kuantitatif, yaitu penentuan RTO dan RPO, merupakan hasil dari wawancara dari masing-masing unit pengguna sistem informasi, yang digunakan untuk menentukan strategi yang digunakan untuk masing-masing sistem informasi yang ada. Dalam mengumpulkan data tersebut, peneliti melakukan wawancara secara langsung kepada narasumber. Setelah pengumpulan data selesai dilakukan, maka data tersebut digunakan sebagai bahan dalam melakukan analisis yang dibutuhkan dalam penyusunan disaster recovery plan.

2.

Perumusan Masalah Perumusan masalah dilakukan mulai dari menganalisa kebijakan, peraturan yang berkaitan dengan penyelenggaraan penanggulangan bencana, serta rencana strategis dari Kemenag dan rencana strategis TIK yang memuat tentang penyusunan disaster recovery plan (DRP). Melalui metode wawancara dan observasi lapangan dapat diketahui sumber-sumber masalah sehingga dijadikan sebagai pertanyaan penelitian.

3.

Tinjauan Pustaka Berdasarkan pertanyaan penelitian, kemudian dilakukan tinjauan pustaka dengan mempelajari teori-teori yang berhubungan dengan penelitian, jurnal penelitian terdahulu yang relevan, serta penelitian tentang metodologi yang Universitas Indonesia


32

akan digunakan sehingga dihasilkan kerangka teoritis yang digunakan untuk menjawab pertanyaan penelitian. 4.

Evaluasi kondisi organisasi saat ini Evaluasi kondisi organisasi ini dimulai dengan memetakan proses bisnis dan aset SI/TI yang dimiliki dari masing-masing unit kerja organisasi, kemudian aset SI/TI yang ada dilakukan analisis dan pemetaan atribut aset untuk sistem informasi yang digunakan pada tiap unit kerja, sehingga dihasilkan proses bisnis organisasi, dan aset kritis SI/TI.

5.

Identifikasi dan Penilaian Risiko Penilaian risiko dilakukan dengan mengidentifikasi dan mengetahui ancaman-ancaman yang pernah menjadi gangguan atau bencana bagi organisasi dan kemungkinan dapat terjadi. Bencana yang dianalisis antara lain kebakaran, kesalahan manusia (human error), gempa, kegagalan sistem, serta mengetahui kerentanan sistem yang ada, seperti kurangnya daya cadangan yang mengakibatkan terjadi ancaman dan kerentanan pada asetaset informasi yang ada dengan metode pengolahan literatur, hasil wawancara, dan observasi. Pengukuran akan dilakukan secara kualitatif dan pendekatan scoring.

6.

Melakukan Analisis Dampak Bisnis (BIA) BIA merupakan tahapan dalam proses perencanaan kontingensi secara keseluruhan yang tujuannya untuk mengetahui dan memahami proses bisnis organisasi apa saja yang merupakan proses bisnis yang kritis dan juga memahami atas dampak yang akan dialami oleh organisasi jika terjadi bencana/gangguan terhadap proses bisnis tersebut. Hasil dari BIA dapat digunakan untuk menentukan prioritas dan persyaratan dalam rencana kontingensi dan harus tepat disertakan ke dalam analisis dan pengembangan strategi disaster recovery plan. Teknik yang digunakan adalah pengolahan data serta hasil wawancara dan observasi.

7.

Identifikasi Kontrol Pencegahan



33

Dalam beberapa kasus, dampak pemadaman diidentifikasi dalam BIA dapat dikurangi atau dihilangkan melalui tindakan preventif yang dapat mencegah, mendeteksi, atau mengurangi dampak ke sistem. Tujuan dari kontrol pencegahan ini adalah memberikan rekomendasi pada insrastruktur data center dan rekomendasi kontrol terhadap risiko yang mengganggu kinerja aset-aset pada data center Kemenag. Identifikasi kontrol pada infrastruktur ini mengikuti standar ANSI/TIA-942 sebagai standarisasi data center. 8.

Pengembangan Strategi Kontingensi Pada pengembangan strategi kontingensi yang dikembangkan ini untuk proses bisnis kritis dan fungsi TI dengan masukan yang berasal dari data risk assessment dan BIA, menentukan strategi yang akan dipilih oleh organisasi setelah melihat analisis penilaian risiko dan analisis dampak bisnis disesuaikan dengan kondisi organisasi.

9.

Menyusun dokumen DRP Penyusunan dokumen strategi dan teknologi rancangan pemulihan dilakukan berdasarkan data kontingensi risiko, yaitu langkah-langkah yang dilakukan untuk mengurangi dampak akibat terjadinya gangguan atau bencana, dan prioritas pemulihan pada sumber daya sistem, serta dapat dihasilkan draft disaster recovery plan. Teknik yang digunakan adalah analisis data dan pengolahan terhadap analisis data tersebut.

3.3

Metode Pemilihan Narasumber

Narasumber untuk wawancara dalam penelitian ini adalah pejabat eselon 2, pejabat eselon 3, pejabat eselon 4, pegawai yang sudah berpengalaman menggunakan sistem informasi pada Kemenag. Proses pemilihan narasumber yang diwawancara pada penelitian ini berada pada unit-unit yang bersinggungan langsung dengan proses bisnis Kemenag, yaitu Pinmas sebagai pengelola TIK Kemenag, dan unit-unit kerja lainnya yang terkait dalam menangani sistem informasi di Kemenag, yaitu Direktorat Jenderal Penyelenggaraan Haji dan Umrah (Ditjen PHU), Direktorat Jenderal Bimbingan Masyarakat Islam (Ditjen Bimas Islam), dan Direktorat Jenderal Pendidikan Islam (Ditjen Pendis).



BAB 4 PROFIL ORGANISASI

Pada bab ini akan dijelaskan mengenai profil singkat Kemenag dan profil Pusat Informasi dan Hubungan Masyarakat sebagai pengelola Teknologi Informasi dan Komunikasi (TIK) di Kemenag sebagai tempat dilakukan penelitian. 4.1

Kementerian Agama

Berdasarkan Peraturan Menteri Agama Republik Indonesia Nomor 10 tahun 2010 tentang Organisasi dan Tata Kerja Kementerian Agama, Kemenag merupakan salah satu unsur pelaksana pemerintah dipimpin oleh Menteri yang berada di bawah dan bertanggung jawab kepada Presiden. Kemenag memiliki tugas menyelenggarakan urusan di bidang keagamaan dalam pemerintahan untuk membantu Presiden dalam menyelenggarakan pemeritahan negara. Dalam melaksanakan tugas, Kemenag menyelenggarakan fungsi sebagai berikut: 1.

perumusan, penetapan, dan pelaksanaan kebijakan di bidang keagamaan;

2.

pengelolaan barang milik/kekayaan negara yang menjadi tanggung jawab Kementerian Agama;

3.

pengawasan atas pelaksanaan tugas di lingkungan Kementerian Agama;

4.

pelaksanaan bimbingan teknis dan supervisi atas pelaksanaan urusan Kementerian Agama di daerah;

5.

pelaksanaan kegiatan teknis yang berskala nasional; dan

6.

pelaksanaan kegiatan teknis dari pusat sampai ke daerah.

4.1.1 Visi, Misi Organisasi Berdasarkan Keputusan Menteri Agama Republik Indonesia nomor 39 tahun 2015, bahwa visi Kemenag adalah terwujudnya masyarakat indonesia yang taat beragama, rukun, cerdas, dan sejahtera lahir batin dalam rangka mewujudkan indonesia yang berdaulat, mandiri dan berkepribadian berlandaskan gotong royong. Taat memiliki pengertian tunduk dan patuh, sehingga taat beragama dapat didefinisikan bahwa setiap umat beragama mampu menjalankan kegiatan 34



35

beragamanya sesuai dengan ajaran agamanya masing-masing. Sejalan dengan visi nasional maka hal ini akan memunculkan salah satu kepribadian bangsa Indonesia yaitu kepribadian bangsa Indonesia yang taat beragama. Rukun memiliki pengertian baik dan damai, sehingga rukun dapat didefinisikan bahwa terciptanya kehidupan inter dan antar umat beragama di Indonesia secara baik dan damai. Sejalan dengan visi nasional maka hal ini akan mendorong munculnya rasa toleransi sesama umat beragama, rasa saling menghargai dan sikap kegotong-royongan. Kecerdasan mencakup kecerdasan inteIektual, emosional, dan spiritual, yang masing-masing indikatornya sebagai berikut: 1.

Kecerdasan

intelektual:

memiliki

kemampuan

untuk

mempelajari,

memahami, dan menguasai ilmu agama, serta sains dan teknologi sesuai dengan jenjang pendidikan; berfikir rasionala abstrak, inovatif dan kreatif; serta mampu mengaplikasikan pengetahuan dalam rangka memecahkan masalah (problem solving). 2.

Kecerdasan emosional: memiliki kemampuan untuk mengenali dan mengelola emosi diri dan orang lain, dapat memotivasi diri, serta berinteraksi dan bersosialisasi dengan orang lain.

3.

Kecerdasan

spiritual:

yaitu

mampu

memahami,

menghayati,

dan

mengamalkan akhlak mulia dan nilai-nilai agama Islam, serta menempatkan perilaku hidup dalam konteks makna yang luas. Sejahtera mengandung pengertian aman sentosa, makmur, serta selamat, terlepas dari berbagai gangguan. Sehingga sejahtera lahir dan batin dalam konteks agama dapat diartikan bahwa setiap umat beragama di Indonesia dapat menjalankan kegiatan beragama secara bebas tanpa ada gangguan dari pihak manapun, serta tersedia sarana dan prasarana beribadah yang memadai bagi seluruh umat beragama di Indonesia. Agama merupakan salah satu hak dasar bagi seluruh masyarakat Indonesia dan Undang-Undang telah menjamin bahwa setiap umat beragama dijamin kebebasannya dalam melaksanakan kegiatan beragamanya. Untuk itu perlu diwujudkan rasa keselamatan, kesusilaan dan ketentraman lahir batin, tersedianya lingkungan yang bersih, aman dan nyaman bagi kegiatan Universitas Indonesia


36

beragama seluruh masyarakat Indonesia serta adanya keserasian dan saling menghormati tidak hanya sesama manusia tetapi juga dengan lingkungan sekitarnya. Dari sisi ekonomi, kesejahteraan lahir dan batin diwujudkan dengan upaya pemanfaatan dan pengelolaan potensi ekonomi keagamaan seperti Zakat, Wakaf, Dana Kolekte, Dana Punia, Dana Paramita sehingga mampu memberikan kontribusi dalam meningkatkan kesejahteraan umat beragama. Sejalan dengan visi nasional, dengan memiliki kecerdasan dan kesejahteraan lahir dan bathin maka bangsa Indonesia akan mampu menjadi bangsa yang mandiri dan berdaulat serta sejajar dengan bangsa–bangsa lain. Untuk mewujudkan visi tersebut, maka misi yang diemban Kementerian Agama adalah: 1.

Meningkatkan pemahaman dan pengamalan ajaran agama.

2.

Memantapkan kerukunan intra dan antar umat beragama.

3.

Menyediakan pelayanan kehidupan beragama yang merata dan berkualitas.

4.

Meningkatkan pemanfaatan dan kualitas pengelolaan potensi ekonomi keagamaan.

5.

Mewujudkan penyelenggaraan ibadah haji dan umrah yang berkualitas dan akuntabel.

6.

Meningkatkan akses dan kualitas pendidikan umum berciri agama, pendidikan agama pada satuan pendidikan umum, dan pendidikan keagamaan.

7.

Mewujudkan tatakelola pemerintahan yang bersih, akuntabel, dan terpercaya.

4.1.2 Tujuan dan Sasaran Kementerian Agama merupakan kementerian yang mengemban tugas dan fungsi pembangunan bidang agama serta bidang pendidikan. Secara lebih khusus pembangunan bidang pendidikan yang menjadi tugas Kementerian Agamaadalah pendidikan umum berciri agama, pendidikan agama, dan pendidikan keagamaan. Sebagai penjabaran dari Visi dan Misi, Kementerian Agama menetapkan tujuan sesuai dengan kedua tugas dan fungsi yang diembannya. Tujuan pembangunan bidang agama (TA) untuk periode 2015- 2019 adalah: Universitas Indonesia


37

TA.1 Meningkatkan kualitas pemahaman dan pengamalan ajaran agama dalam rangka meningkatkan kualitas kehidupan beragama. TA.2 Memperkukuh kerukunan hidup umat beragama sebagai salah satu pilar kerukunan nasional. TA.3 Memenuhi kebutuhan akan pelayanan kehidupan beragama yang berkualitas dan merata. TA.4 Meningkatkan pemanfaatan dan kualitas pengelolaan potensi ekonomi keagamaan guna memberi kontribusi pada peningkatan kesejahteraan masyarakat dan percepatan pembangunan bidang agama. TA.5 Meningkatkan kualitas penyelenggaraan ibadah haji dan akuntabilitas pengelolaan keuangan haji. TA.6 Meningkatkan kualitas tatakelola pembangunan bidang agama. Adapun tujuan pembangunan bidang pendidikan (TP) adalah: TP.1 Melaksanakan Wajib Belajar 12 Tahun. TP.2 Meningkatkan akses pendidikan. TP.3 Meningkatkan keberlanjutan partisipasi pendidikan. TP.4 Meningkatkan pemerataan akses pendidikan. TP.5 Meningkatkan kualitas, relevansi dan daya saing pendidikan. TP.6 Meningkatkan kualitas penyelenggaraan pendidikan agama pada satuan pendidikan umum. TP.7 Meningkatkan profesionalisme pendidik dan tenaga kependidikan. TP.8 Meningkatkan akses pendidikan keagamaan. 4.1.3 Sasaran Strategis Dalam rangka mencapai tujuan bidang agama dan pendidikan yang menjadi tugas Kementerian Agama, maka Kementerian Agama telah menetapkan sasaran strategis yang akan dicapai dalam masa waktu lima tahun ke depan. Sasaran strategis Kementerian Agama merupakan bagian yang tidak terpisahkan sasaran strategis nasional dan ditetapkan untuk dapat menjamin suksesnya pelaksanaan jangka menengah yang bersifat menyeluruh, serta untuk memudahkan pengendalian dan pemantauan kinerja organisasi.Sesuai tugas dan fungsinya, Kementerian Agama memiliki dua bidang sasaran, yaitu sasaran terkait bidang agama dan sasaran bidang pendidikan. Universitas Indonesia


38

Sasaran strategis Kementerian Agama terkait bidang agama adalah sebagai berikut: 1. Sasaran terkait peningkatan kualitas pemahaman dan pengamalan ajaran agama (TA.1) adalah meningkatnya kualitas dan ketersediaan bimbingan dan fasilitasi keagamaan. 2. Sasaran terkait pengukuhan kerukunan hidup umat beragama yang harmonis (TA.2) adalah meningkatnya harmoni sosial dan kerukunan antar umat beragama. 3. Sasaran terkait pemenuhan pelayanan kehidupan beragama yang berkualitas (TA.3) adalah meningkatnya kualitas pelayanan kehidupan beragama. 4. Sasaran terkait peningkatan pemanfaatan dan perbaikan kualitas pengelolaan potensi ekonomi keagamaan (TA.4) adalah meningkatnya kualitas dan akuntabilitas pengelolaan potensi ekonomi keagamaan. 5. Sasaran terkait peningkatan kualitas penyelenggaraan ibadah haji dan umrah (TA.5) adalah meningkatnya kualitas penyelenggaraan ibadah haji dan umrah yang transparan dan akuntabel. 6. Sasaran terkait peningkatan kualitas tatakelola pembangunan bidang agama (TA.6) adalah terselenggaranya tatakelola pembangunan bidang agama yang efektif, efisien, transparan, dan akuntabel Sedangkan sasaran strategis Kementerian Agama terkait fungsi pendidikan adalah sebagai berikut: 1. Sasaran terkait peningkatan akses pendidikan yang setara bagi masyarakat tidak mampu (TP.1) adalah meningkatnya akses masyarakat tidak mampu terhadap Program Indonesia Pintar pada pendidikan dasar-menengah melalui manfaat Kartu Indonesia Pintar (KIP). 2. Sasaran terkait peningkatan akses pendidikan bagi seluruh lapisan masyarakat pada berbagai jenjang pendidikan (TP.2) adalah meningkatnya angka partisipasi pendidikan dasar, menengah, dan tinggi. 3. Sasaran terkait penurunan tingkatkegagalan masyarakat dalam menyelesaikan pendidikan (TP.3) adalah menurunnya jumlah siswa yang tidak melanjutkan pendidikan. Universitas Indonesia


39

4. Sasaran terkait peningkatan kualitaspenyelenggaraan pendidikan pada semua jenjang pendidikan (TP.4) adalah meningkatnya jaminan kualitas pelayanan pendidikan. 5. Sasaran terkait peningkatan kualitas pendidik dan tenaga kependidikan (TP.5) adalah meningkatnya proporsi pendidik yangkompeten dan professional pada pendidikan umum berciri khas agama 6. Sasaran terkait peningkatan akses masyarakat terhadap penyelenggaraan pendidikan agama pada satuan pendidikan umum yang berkualitas (TP.6) adalah meningkatnya proporsi guru agama yang professional. 7. Sasaran terkait peningkatan akses masyarakat terhadap pendidikan keagamaan yang berkualitas (TP.7) adalah meningkatnya akses pendidikan keagamaan sesuai aspirasi umat beragama. 4.1.4 Struktur Organisasi Kemenag

Gambar 4.1 Struktur Organisasi Kementerian Agama



40

4.2

Pusat Informasi dan Hubungan Masyarakat (Pinmas)

Pinmas adalah unsur pendukung pelaksanaan tugas Kementerian Agama yang berada di bawah dan bertanggung jawab kepada Menteri Agama melalui Sekretaris Jenderal. Pinmas memiliki tugas melaksanakan perumusan dan pelaksanaan kebijakan, standarisasi, dan bimbingan teknis serta evaluasi di bidang informasi dan hubungan masyarakat. Dalam melaksanakan tugasnya, Pinmas menyelenggarakan fungsi sebagai berikut: 1.

Perumusan kebijakan di bidang data, teknologi informasi dan komunikasi, serta hubungan masyarakat.

2.

Pelaksanaan kebijakan di bidang data, teknologi informasi dan komunikasi, serta hubungan masyarakat.

3.

Penyusunan norma, standar, prosedur, dan kriteria di bidang data, teknologi informasi dan komunikasi, serta hubungan masyarakat

4.

Pemberian bimbingan teknis dan evaluasi di bidang data, teknologi informasi dan komunikasi, serta hubungan masyarakat.

5.

Pelaksanaan urutan tata usaha dan rumah tangga pusat.

Pinmas sebagai subunit dari Sekretariat Jenderal Kementerian Agama bersentuhan langsung dengan pemberian pelayanan informasi kepada masyarakat. Pinmas dituntut untuk melakukan pelayanan prima yang sesuai dengan perubahan lingkungan baik internal maupun eksternal. Pelayanan tersebut dengan mempertimbangkan prinsip-prinsip sebagai berikut: 1. Fokus pada kebutuhan dan keinginan serta harapan masyarakat Pinmas berfungsi memberikan pelayanan informasi bagi seluruh satuan kerja di lingkungan Kementerian Agama dan instansi pemerintah lainnya serta masyarakat. 2. Melakukan pelayanan prima Dalam memberikan pelayanan, harus dilakukan dengan baik sesuai dengan standar dan prosedur yang telah ditetapkan. Selain itu harus juga menjaga mutu layanan tersebut. 3. Pelayanan yang berkelanjutan Pemberian

pelayanan

kepada

publik

harus

dilakukan

secara

berkelanjutan dengan mengikuti perkembangan yang ada dalam Universitas Indonesia


41

masyarakat. Kualitas layanan tersebut harus terus menerus di tingkatkan sehingga pandangan atau image masyarakat terhadap Kementerian Agama akan semakin baik. 4. Kepuasan publik Salah satu hal yang penting dalam melakukan pelayanan prima adalah dengan memperhatikan kepuasan publik dalam menerima layanan yang telah diberikan. Kepuasan tersebut merupakan aset yang berharga dalam membangun citra publik Kementerian Agama. 4.2.1 Visi dan Misi Pinmas Dengan berkembangnya zaman dan bergulirnya era reformasi, di mana Pinmas dituntut untuk berperan lebih dalam menciptakan kepemerintahan yang baik yang ditandai dengan adanya transparansi, partisipasi, dan akuntabilitas, maka Pinmas harus berbenah diri serta siap untuk berubah memenuhi tuntutan tersebut. Visi Pinmas Kementerian Agama adalah terwujudnya layanan informasi dan pengembangan teknologi informasi dan komunikasi yang handal. Adapun misi yang telah dirumuskan oleh Pinmas adalah sebagai berikut: 1.

Meningkatkan pelayanan informasi publik;

2.

Meningkatkan citra publik Kementerian Agama yang positif;

3.

Meningkatkan kerjasama antar kementerian, lembaga negara, dan Organisasi Kemasyarakatan;

4.

Meningkatkan kemitraan dengan Media Masa;

5.

Meningkatkan ketersediaan data keagamaan dan pendidikan agama/ keagamaan;

6.

Meningkatkan kualitas penyajian data berbasis teknologi informasi;

7.

Meningkatkan dan mengembangkan Sistem Teknologi Informasi dan komunikasi yang terintegrasi;

8.

Meningkatkan pemanfaatan Teknologi informasi dan komunikasi dalam tata kelola pemerintahan;

9.

Meningkatkan kualitas pelayanan ketatausahaan Pusat.

4.2.2 Tujuan dan Sasaran Pernyataan tujuan merupakan penjabaran dari misi dan bersifat lebih nyata yang Universitas Indonesia


42

mengarah pada pencapaian hasil akhir pada suatu periode tertentu misalnya satu sampai lima tahun. Untuk menjamin keberadaan dan perkembangan organisasi tersebut dalam kondisi lingkungan yang selalu berubah, organisasi dituntut untuk meningkatkan kemampuannya secara terus menerus serta memanfaatkan faktorfaktor kunci keberhasilan seoptimal mungkin dalam menjawab tuntutan perubahan tersebut. Tujuan yang hendak dicapai Pinmas meliputi: 1.

Meningkatnya pelayanan informasi publik.

2.

Meningkatnya kepercayaan masyarakat terhadap Kementerian Agama.

3.

Meningkatnya kualitas hubungan antar lembaga.

4.

Meningkatnya kualitas kerjasama dengan media massa.

5.

Meningkatnya kualitas dan kuantitas data dan informasi.

6.

Meningkatnya kualitas analisis data.

7.

Meningkatnya kualitas penyajian dan diseminasi data dan informasi.

8.

Meningkatnya jangkauan dan kualitas jaringan sistem informasi dan komunikasi.

9.

Meningkatnya pemanfaatan teknologi informasi dan komunikasi.

10. Meningkatnya kualitas sumber daya manusia di bidang Humas. 11. Meningkatnya kualitas sumber daya manusia di bidang pengelolaan data dan informasi. 12. Meningkatnya kualitas sumber daya manusia di bidang teknologi informasi dan komunikasi. 13. Meningkatnya pelayanan di bidang administrasi. 14. Meningkatnya koordinasi pelaksanaan tugas. Sasaran organisasi merupakan bagian yang integral dalam proses perencanaan strategik organisasi, sehingga harus disusun konsisten dengan perumusan visi, misi dan tujuan organisasi. Fokus utama penentuan sasaran adalah tindakan dan alokasi sumber daya organisasi dalam kaitannya dengan pencapaian kinerja yang diinginkan. Sasaran adalah penjabaran dari tujuan dalam bentuk kualitatif yang akan dicapai atau dihasilkan dalam jangka waktu tahunan, semesteran, triwulanan atau bulanan. Sasaran merupakan penjabaran dari tujuan dan akan fokus pada penyusunan kegiatan, maka sasaran harus menggambarkan hal-hal yang ingin Universitas Indonesia


43

dicapai melalui tindakan yang akan dilakukan dan bersifat spesifik, terinci, dapat diukur dan dapat dicapai. Agar sasaran mampu memberikan peranan positif bagi keberhasilan

organisasi

secara

keseluruhan,

penetapan

sasaran

perlu

memperhatikan antara lain keterkaitannya dengan tujuan, memiliki tolok ukur; dan merupakan skala prioritas. Sasaran yang telah ditetapkan Pinmas meliputi: 1.

Tersedianya informasi keagamaan yang valid, akurat dan mutakhir.

2.

Terpenuhinya kemudahan akses informasi.

3.

Terlaksananya publikasi kebijakan Kementerian Agama.

4.

Tercapainya citra positif Kementerian Agama.

5.

Terjalinnya kerjasama antar kementerian/ lembaga.

6.

Terbangunnya koordinasi lintas sektoral.

7.

Terjalinnya kemitraan Kementerian Agama dengan media massa.

8.

Terpenuhinya sosialisasi kebijakan dan program Kementerian Agama melalui media massa.

9.

Terpenuhinya pemberitaan yang berimbang melalui media massa.

10. Tersedianya data keagamaan yang valid, akurat dan mutakhir. 11. Tersedianya instrumen pengumpulan data yang standar. 12. Terpenuhinya sarana/ prasarana analisis data. 13. Terpenuhinya SDM analisis data yang kompeten. 14. Terpenuhinya media penyajian dan diseminasi data yang berkualitas. 15. Terlaksananya diseminasi data, informasi publik dan stakeholder lainnya. 16. Terpenuhinya infrastruktur jaringan di seluruh provinsi. 17. Terpenuhinya jaringan internal dan eksternal yang optimal. 18. Terbangunnya Network Operation Center (NOC) dan data center yang terintegrasi di Kementerian Agama. 19. Terintegrasinya pengelolaan sistem jaringan intranet dan internet. 20. Terpenuhinya integrasi situs web di Kementerian Agama Pusat dan daerah. 21. Terpenuhinya pengelolaan surat elektronik (e-mail) Kementerian Agama yang optimal. 22. Terpenuhinya SDM yang kompeten di bidang kehumasan. 23. Terpenuhinya SDM yang kompeten di bidang pengelolaan data dan Universitas Indonesia


44

informasi. 24. Terpenuhinya SDM yang kompeten di bidang Teknologi informasi dan komunikasi. 25. Terpenuhinya kebutuhan sarana dan prasarana kerja disetiap bidang. 26. Terbangunnya budaya kerja yang kondusif. 27. Terbangunnya kinerja sistem yang akuntabel. 28. Terlaksananya koordinasi internal antar unit kerja. 29. Terlaksananya koordinasi antar Kementerian/ lembaga. 4.2.3 Aktivitas/Kegiatan Tugas dan fungsi organisasi sebagaimana yang telah dijabarkan dalam visi, misi, tujuan dan sasaran yang telah ditetapkan sebelumnya dapat diwujudkan apabila organisasi tersebut mampu mengelola secara baik seluruh sumber daya yang dimiliki. Dengan demikian, pencapaian tujuan dan sasaran dapat terwujud apabila alokasi secara optimal atas seluruh sumber daya yang ada kepada berbagai jenis kegiatan atau aktivitas juga harus dilakukan. Aktivitas/kegiatan Pinmas untuk tahun 2015-2019 yang termasuk dalam perencanaan strategik mencakup: 1.

Pengembangan Data Center Pusat

2.

Pengembangan Jaringan VPN-IP

3.

Pengadaan Bandwith Internet

4.

Pengembangan Infrastruktur Data Center (Gedung Kemenag Thamrin)

5.

Operasional Tim Penilai Jabatan Fungsional Pranata Komputer

6.

Sosialisasi Jabatan Fungsional Pranata Komputer

7.

Bimbingan Teknis SDM Pengelolaan TIK

8.

Monitoring dan Bimtek Pengelolaan Jaringan dan Portal Kementerian Agama

9.

Operasional Layanan Pengadaan Barang/Jasa Secara Elektronik (LPSE) Kementerian Agama

10. Penyempurnaan dan Pencetakan buku petunjuk penggunaan SPSE 11. Penyusunan Grand Desain TIK 12. Penyusunan PMA Tata Kelola TIK 13. Penyusunan Standar Keamanan Sistem Informasi Universitas Indonesia


45

14. Penyusunan PMA Pengelolaan LPSE 15. Integrasi Sistem Informasi 16. Pembuatan Aplikasi Internal dan Aplikasi Layanan Publik 17. Pembangunan Call Center Kementerian Agama 18. Penyusunan Disaster Recovery Plan (DRP) 19. Pembangunan Disaster Recovery Center (DRC) 4.2.4 Struktur Organisasi

Gambar 4.2 Struktur Organisasi Pinmas Pinmas memiliki susunan organisasi yang terdiri atas: 1.

Bidang Data Bidang Data mempunyai tugas melaksanakan perumusan dan pelaksanaan kebijakan, penyusunan norma, standar, prosedur, kriteria, dan bimbingan teknis serta evaluasi di bidang pengelolaan data keagamaan dan pendidikan. Bidang Data terdiri atas: a.

Subbidang Data Keagamaan, memiliki tugas melakukan penyiapan perumusan dan pelaksanaan kebijakan, penyusunan norma, standar, prosedur, kriteria, dan bimbingan teknis serta evaluasi data keagamaan

b.

Subbidang Data Pendidikan, memiliki tugas melakukan penyiapan perumusan dan pelaksanaan kebijakan, penyusunan norma, standar, prosedur, kriteria, dan bimbingan teknis serta evaluasi data pendidikan. Universitas Indonesia


46

2.

Bidang Teknologi Informasi dan Komunikasi Bidang

Teknologi

Informasi

dan

Komunikasi

mempunyai

tugas

melaksanakan perumusan dan pelaksanaan kebijakan, penyusunan norma, standar, prosedur, kriteria, dan bimbingan teknis serta evaluasi di bidang pengelolaan teknologi informasi dan komunikasi. Bidang Teknologi Informasi dan Komunikasi terdiri atas; a.

Subbidang Pengembangan Teknologi Informasi dan Komunikasi, memiliki tugas melakukan penyiapan perumusan dan pelaksanaan kebijakan, penyusunan norma, standar, prosedur, kriteria, dan bimbingan teknis serta evaluasi pengembangan teknologi informasi dan komunikasi.

b.

Subbidang Media Informasi Elektronik, memiliki tugas melakukan penyiapan perumusan dan pelaksanaan kebijakan, penyusunan norma, standar, prosedur, kriteria, dan bimbingan teknis serta evaluasi pelayanan media informasi elektronik.

3.

Bidang Hubungan Masyarakat Bidang Hubungan Masyarakat mempunyai tugas melaksanakan perumusan dan pelaksanaan kebijakan, penyusunan norma, standar, prosedur, kriteria, dan bimbingan teknis serta evaluasi di bidang hubungan masyarakat. Bidang Hubungan Masyarakat terdiri atas: a.

Subbidang Hubungan Kelembagaan Negara, memiliki tugas melakukan penyiapan perumusan dan pelaksanaan kebijakan, penyusunan norma, standar, prosedur, kriteria, dan bimbingan teknis serta evaluasi hubungan kelembagaan negara.

b.

Subbidang Layanan Informasi Publik, memiliki tugas melakukan penyiapan perumusan dan pelaksanaan kebijakan, penyusunan norma, standar, prosedur, kriteria, dan bimbingan teknis serta evaluasi pelayanan informasi publik

4.

Subbagian Tata Usaha Pusat Subbagian Tata Usaha Pusat mempunyai tugas melakukan urusan kepegawaian,

keuangan,

perlengkapan,

persuratan,

kearsipan,

dan

dokumentasi serta urusan tata usaha dan rumah tangga pusat.



BAB 5 ANALISIS DAN PEMBAHASAN

Pada bab ini akan dijelaskan mengenai analisis yang digunakan untuk menentukan strategi dan teknologi apa saja yang digunakan dalam menyusun disaster recovery plan pada Kemenag. 5.1

Identifikasi Perangkat Kemenag

5.1.1 Data Center Kemenag Data center Kemenag sebagian besar sudah dilengkapi infrastruktur yang sesuai dengan yang disaratkan untuk sebuah data center. Penjelasan mengenai data center yang berada di Kemenag, sebagai berikut: 

Dari segi keamanan fisik, untuk masuk ke data center terdapat 3 pintu, pintu pertama dengan akses finger print untuk masuk ke ruang tunggu, pintu kedua akses kunci manual untuk masuk ke Network Operation Center (NOC) data center, dan pintu ketiga dengan akses finger print untuk masuk ke data center.



Data center sudah di lengkapi dengan 4 CCTV yang berfungsi selama 24 jam, dimulai dari pintu pertama pertama masuk kemudian ruang tunggu, ruang NOC dan terakhir pada ruang data center.



Untuk lantai sudah menggunakan raise floor, sehingga semua perkabelan diletakkan di bawah lantai dengan dilapisi pipa khusus.



Dari segi suhu dan kelembapan, sudah terdapat AC presisi yang menjaga suhu dan kelembapan, ada pemberitahuan otomatis bila suhu tidak sesuai dengan kondisi yang dibutuhkan data center.



Untuk kelistrikan sudah menggunakan listrik mandiri, terpisah dari ruangan lain. Listrik beroperasi selama 24 jam, di backup dengan genset dan UPS.



Untuk fire suppression sudah menggunakan zat kimia khusus, bukan air atau foam.

5.1.2 Identifikasi Jaringan Kemenag memiliki infrastruktur jaringan dimana koneksi jaringan tersebut 47



48

menggunakan penyedia jasa internet PT. Telkom dengan spresifikasi bandwidth sebesar 120 Mbps primary link international (IX), secondary link international (IX) sebesar 30 Mbps, dan domestic link (IIX) 500 Mbps. Selain itu, PT Telkom juga menyediakan Backhaul Metro Ethernet sebesar 175 Mbps. Kemenag memiliki topologi jaringan yang dapat dilihat pada gambar 5.1.

Gambar 5.1 Topologi Jaringan Kemenag Universitas Indonesia


49

Dari gambar di atas, lokasi server-server untuk menyimpan sistem informasi terbagi menjadi 4 lokasi, yaitu: 1.

Lokasi 1 terdiri dari sistem informasi: E-MPA, web portal, SPSE, Rupawan, email, Sistem perpustakaan, SIMPEG, dan kliping berita online.

2.

Lokasi 2 terdiri dari SISKOHAT.

3.

Lokasi 3 terdiri dari sistem informasi pendidikan yaitu EMIS

4.

Lokasi 4 terdiri dari SIMKAH, SIWAK, dan SIMAS.

Keterangan dari masing-masing sistem informasi akan dijelaskan pada penjabaran selanjutnya. Dari koneksi jaringan yang disediakan oleh penyedia jasa internet PT. Telkom, maka Kemenag melakukan pembagian infrastruktur jaringan yang dapat dilihat pada Tabel 5.1. Tabel 5.1 Infrastruktur Jaringan Kemenag No

Lokasi

Infrastruktur Jaringan

1 Pusdiklat

Metro Ethernet (FO) Telkom 10 Mbps

2 Itjen


3 Gedung MH. Thamrin


4 Lajnah Pentashihan Mushaf Al- Metro Ethernet (FO) Telkom 10 Mbps Quran (LPMA) 5 Kanwil 29 Provinsi

VPNIP (FO) Telkom, total: 78 Mbps

6 Rumah Dinas 5 Lokasi


7 Balai Diklat 5 Provinsi


8 Kantor Kemenag 8 Kab/Kota


Sumber: Pinmas Kemenag (2015)

5.1.3 Identifikasi Sistem Informasi Dalam dokumen renstra Kemenag dijelaskan bawa Kemenag telah memanfaatkan Teknologi Informasi dan Komunikasi (TIK) sebagai sarana untuk memberikan pelayanan kepada masyarakat baik secara langsung maupun tidak langsung. Dimulai tahun 1996 dengan nama Sistem Komputerisasi Haji Terpadu (Siskohat) yang digunakan untuk mengendalikan setoran Biaya Penyelenggaraan Ibadah Haji (BPIH).

Pembangunan

sistem

informasi

selanjutnya

adalah

Education

Management Information System (Emis), dimana pada awalnya Emis hanya Universitas Indonesia


50

mendata Madrasah Tsanawiyah Model. Pendataan dilanjutkan untuk Madrasah Ibtidaiyah, dan Madrasah Tsanawiyah Negeri dan Swasta diseluruh Indonesia (1998- April 2002), sedangkan Madrasah Aliyah dan Pondok Pesantren menjadi bagian yang tidak dapat dielakan, sebagai akibat samping dari kegiatan EMIS dalam mendata lembaga pendidikan Islam, disamping data dan informasi tentang lembaga-lembaga tersebut memang sangat dibutuhkan. Bahkan terus berkembang hingga pendataan Perguruan Tinggi Agama Islam, Guru Agama Islam pada sekolah umum, lembaga-lembaga pendidikan Islam lainnya, serta lembagalembaga pendidikan Islam non formal, TPA/TKA. Dalam perkembangannya, pemanfaatan TIK mendorong terwujudnya egovernment pada Kemenag, baik secara internal maupun pelayanan publik. Untuk itu, Kemenag telah mengembangkan sistem informasi yang berbasis web service, antara lain portal Kemenag (www.kemenag.go.id) yang telah berjalan lebih dari 10 tahun dan saat ini telah mengintegrasikan 146 sub domain dari seluruh satker dan beberapa aplikasi lain yang telah berbasis web service yaitu EMIS, SPSE, dan SISKOHAT. Namun di samping itu masih ada beberapa sistem aplikasi yang berbasis desktop, seperti sistem inventarisasi aset, dan tata persuratan. Sistem informasi yang membantu Kemenag dalam melakukan pelayanan kepada masyarakat, sesuai dengan wawancara dengan Kasubbid Pengembangan TIK Kemenag (lampiran 3) adalah sebagai berikut: 1.

Situs web Kemenag Situs web Kemenag merupakan portal utama yang dimiliki oleh Kemenag. Situs ini memberikan tautan ke satuan/unit kerja di Kemenag. Pengguna situs web kemenag adalah pegawai Kemenag di seluruh Indonesia dan masyarakat umum yang ingin mengetahui informasi mengenai Kemenag.

2.

Sistem Monitoring Anggaran (e-mpa) Sistem informasi ini merupakan sistem yang memantau atau mengontrol anggaran di Kemenag. Pengguna e-mpa adalah pegawai bagian perencanaan Kemenag dan operator e-mpa pada tiap satker yang telah ditunjuk sebagai Person In Charge (PIC) dalam menangani sistem ini.

3.

Sistem Informasi Kepegawaian (Simpeg) Universitas Indonesia


51

Sistem ini merupakan sistem yang memiliki data-data kepegawaian yang bekerja di Kemenag. Pengguna Simpeg adalah pegawai bagian Kepegawaian Kemenag di masing-masing satuan/unit kerja Kemenag. 4.

Sistem Informasi Manajemen Nikah (Simkah) Sistem yang digunakan untuk mengumpulkan data-data nikah dari seluruh Kantor Urusan Agama (KUA) di wilayah Republik Indonesia secara online yang dikumpulkan di masing-masing UPT di daerah kemudian dikirim ke pusat, yaitu pada Direktorat Jenderal Bimas Islam. Data akan tersimpan di KUA setempat, kabupaten/kota, kantor wilayah provinsi dan Bimas Islam. Data tersebut berguna untuk membuat analisa dan laporan sesuai dengan berbagai tujuan. Pengguna sistem ini adalah pegawai di Kantor Urusan Agama (KUA) di seluruh Indonesia yang bertugas sebagai penghulu ataupun menunjuk operator tersendiri untuk mengoperasikan sistem ini.

5.

Sistem Informasi Wakaf (Siwak) Sistem yang mendata benda-benda yang diwakafkan baik berupa benda tetap seperti: rumah dan bangunan maupun wakaf uang. Pengguna pada Siwak ini adalah pegawai pada bagian wakaf di masing-masing satuan/unit kerja Kemenag terutama di KUA.

6.

Layanan e-mail dinas kemenag Layanan ini dibuat khusus untuk karyawan/karyawati Kemenag yang sudah memiliki NIP. Dalam Surat Edaran Nomor: SJ/B. VIII/2/HM.00/513/2015 disebutkan bahwa bagi satuan/unit kerja dan pegawai Kemenag yang aktif wajib memanfaatkan email dinas untuk kepentingan dinas. Pengguna layanan email ini adalah seluruh pegawai Kemenag yang berstatus sebagai Pegawai Negeri Sipil, bukan sebagai pegawai honorer.

7.

Aplikasi Ruang Penyimpanan Awan Aplikasi ini merupakan aplikasi yang menyajikan ruang penyimpanan awan yang bisa diakses dari jaringan Pinmas dan jaringan internet. Aplikasi ini ditujukan untuk berbagi file/berkas secara aman dan cepat. Pengguna aplikasi ini adalah para pegawai Kemenag yang telah memiliki account email Kemenag dan telah disetujui statusnya oleh pengelola TIK Kemenag.

8.

Sistem Informasi Perpustakaan Universitas Indonesia


52

Sistem ini dibangun untuk memudahkan petugas perpustakaan dalam mengelola perpustakaan. Keberadaannya di Badan Litbang dan Diklat Kemenag. Pengguna sistem ini adalah pegawai Kemenag di masing-masing satuan/unit kerja Kemenag dan masyarakat yang ingin meminjam atau membaca literatur yang ada di Perpustakaan Kemenag. 9.

Sistem Pengadaan Barang/Jasa Secara Elektronik (SPSE). Sistem e-procurement yang dikembangkan oleh LKPP untuk diterapkan oleh instansi-instansi pemerintah di seluruh Indonesia. SPSE dikembangkan sejak tahun 2006 dengan mengacu business process yang tertuang pada Kepres nomor 80 tahun 2003 tentang pengadaan barang dan jasa pemerintah. Pengguna SPSE ini adalah pegawai Kemenag sebagai operator SPSE yang ditunjuk sebagai PIC selain itu juga masyarakat yang bertindak sebagai pihak ketiga dalam pengadaan barang/jasa.

10. Sistem Kliping Berita Online. Sistem ini digunakan untuk menyimpan berita dan informasi terkait dengan tugas dan fungsi Kemenag dari berbagai sumber berita baik cetak maupun online dalam satu wadah yang terintegrasi, dalam bentuk dokumen digital yang dapat dimanfaatkan oleh seluruh jajaran di lingkungan Kemenag. Pengguna kliping berita online kemenag adalah pegawai Kemenag di seluruh Indonesia dan masyarakat umum yang ingin mengetahui informasi mengenai Kemenag. 11. Sistem Komputerisasi Haji Terpadu (Siskohat) SISKOHAT menjadi data center keseluruhan penyelenggaraan haji. Dalam SISKOHAT terdapat data calon jamaah haji, Bank Penerima Setoran (BPS), dan data lainnya yang terkait dengan instansi terkait lain. SISKOHAT merupakan jantung dan urat nadi dalam penyelenggaraan ibadah haji karena seluruh proses pengolahan data untuk kepentingan pembuatan paspor, penerbangan, pemberangkatan dan pemulangan, perbankan dan biodata calon haji bergantung pada sistem ini. Pengguna Siskohat ini antara lain pegawaipegawai yang berada pada satuan kerja eselon II Ditjen PHU, pegawai kanwil agama Provinsi bidang penyelenggaraan haji, pegawai pada embarkasi,



53

pegawai Kankemenag Kab/Kota, pegawai Bank Penerima Setoran (BPS) dan PPIH di Arab Saudi. 12. Sistem Informasi Manajemen Pendidikan (Emis) EMIS merupakan pusat pendataan pendidikan Islam satu pintu yang sangat berperan dalam menunjang proses perencanaan dan pengambilan kebijakan program Direktorat Jenderal Pendidikan Islam. Sejauh ini, 87% data EMIS menentukan kualitas perencanaan, sehingga harus terus ditingkatkan dengan meminimalisir berbagai kelemahan yang terjadi selama ini. Pengguna sistem informasi ini adalah pegawai yang berada di lembaga Raudahatul Athfal (RA)/ Bustanul Athfal (BA), Madrasah Diniyah, Madrasah Tsanawiyah, dan Madrasah Aliyah, jumlah penggunanya disesuaikan dengan jumlah lembaga pendidikan sebanyak 75000. 13. Sistem Informasi Masjid (Simas) SIMAS merupakan sistem yang dikembangkan untuk merencanakan, mengelola dan memonitoring pengelolaan bantuan dan pengelolaan data masjid/musholla di Indonesia. Selain itu, sistem informasi ini juga dapat mempermudah proses inventarisasi data masjid dan musholla di Indonesia dan dapat membantu melakukan proses seleksi bantuan terhadap proposal permohonan bantuan yang masuk ke bidang kemasjidan. Pengguna pada sistem ini adalah pegawai pada urusan agama islam di masing-masing satuan/unit kerja Kemenag terutama di KUA, dan jumlah penggunanya sudah mencapai 2000 orang. Dari daftar sistem informasi yang ada, sistem informasi memiliki jumlah pengguna dan dapat dilihat pada Tabel 5.2. Tabel 5.2 Jumlah Pengguna pada Sistem Informasi No Sistem Informasi

Jumlah Pengguna (instansi/lembaga)

1

Situs web Kemenag

8000

2

E-mpa

4092

3

Simpeg

10238

4

Simkah

2000

5

Siwak

2000 Universitas Indonesia


54

Tabel 5.2 Jumlah Pengguna pada Sistem Informasi (sambungan) No Sistem Informasi

Jumlah Pengguna (instansi/lembaga)

6

Layanan e-mail

9558

7

Aplikasi Rupawan

9558

8

Sistem Informasi Perpustakaan

9

SPSE

10

Sistem Kliping Berita Online

11

Siskohat

12

Emis

75000

13

Simas

2000

800 35500 50 7461

Sumber: Unit Pengelola Sistem Informasi (2015)

Sesuai dengan kuesioner Pemeringkatan e-government Indonesia (PEGI) tahun 2015 yang diadakan oleh Kementerian Komunikasi dan Informatika, Pinmas sedang menyiapkan rencana pengembangan sistem informasi yang meliputi dan melibatkan satuan kerja yang telah memiliki sistem informasi secara parsial, model integrasi yang sedang dipersiapkan adalah dengan menggunakan pola single-sign on (SSO). Aplikasi yang sudah menerapkan interoperabilitas dengan aplikasi lainnya adalah aplikasi e-mail dengan aplikasi ruang penyimpanan awan dan aplikasi, dan juga aplikasi e-mpa dan aplikasi e-data. 5.2

Identifikasi dan Penilaian Risiko

Identifikasi risiko ini difokuskan terhadap ancaman apa saja yang dapat mempengaruhi aset-aset yang berkaitan dalam penyelenggaraan pelayanan pada masyarakat. Identifikasi risiko berguna untuk menetukan langkah yang optimal untuk memitigasi risiko tersebut. Risiko ini dapat terjadi karena dua faktor, yaitu ancaman (threat) dan kerentanan (vulnerability). Ancaman adalah segala sesuatu yang dapat merusak atau menghancurkan aset organisasi, sedangkan kerentanan adalah kelemahan yang dimanfaatkan oleh ancaman sehingga dapat melemahkan, merusak, atau menghancurkan aset organisasi. Ancaman yang tidak dibarengi dengan kerentanan tidak menjadi risiko bagi aset, begitu juga sebaliknya. Sesuai dengan topologi jaringan yang dimiliki Kemenag pada gambar 5.1, risiko yang terjadi pada data center yang memiliki server-server dari sistem informasi Universitas Indonesia


55

yang berjalan dapat mengakibatkan proses pelayanan baik secara internal maupun eksternal kepada masyarakat terganggu atau tidak berjalan sama sekali. Risiko pada data center dapat terjadi pada dua sisi, yaitu: 1.

Secara eksternal, data center adalah gedung yang secara menyeluruh sebagai tempat menyimpan aset organisasi yang berharga, oleh karena itu keamananannya harus diperketat, baik pengamanan secara fisik maupun nonfisik. Risiko yang dapat merusak atau menghancurkan aset pada data center sebagian atau secara keseluruhan, adalah: aliran listrik mati dari PLN, gempa bumi, banjir, kebakaran. Menurut data yang didapat dari pengelola Pinmas, bahwa gedung data center dapat menahan gempa bumi hanya sampai 5 skala richter. Risiko kebakaran memiliki kerentanan yang cukup tinggi karena masih terdapat material yang mudah terbakar, yaitu meja kerja kayu dan kursi kerja kayu yang terdapat pada ruang Network Monitoring System (NMS). Banjir pernah terjadi dan merusak genset yang terletak pada lantai dasar dan di samping kali, sehingga jika terjadi banjir akan mengganggu operasional data center.

2.

Secara internal, data center memiliki berbagai server-server di dalamnya yang menangani sistem informasi untuk pelayanan, risiko dapat terjadi pada seluruh server secara serentak ataupun pada masing-masing server. Risiko yang dapat merusak atau menghancurkan aset pada data center yang memiliki server-server aplikasi, antara lain: jaringan mati, serangan virus, worm dan malware, server serta storage rusak, dan cyber threat. Berdasarkan wawancara Kasubbid Pengelola TIK, gangguan pada jaringan komputer pernah terjadi dari PT Telkom karena ada kabel fiber optic yang terputus di sekitar lokasi Gambir dan kejadian cyber threat pada web portal Kemenag walaupun hanya berupa deface. Sementara itu serangan virus, worm atau malware mungkin terjadi melalui email, akan tetapi sekarang sudah dilengkapi dengan mail security untuk meminimalisasi penyebaran malware melalui email. Server dan storage data memiliki kerentanan risiko yang cukup signifikan, untuk itu perlu dilakukan pendataan secara berkala terhadap peralatan tersebut, sehingga dapat diketahui server atau storage yang sudah absolete atau memiliki nilai buku 0 (null). Universitas Indonesia


56

Identifikasi risiko terhadap aset dapat dilihat pada Tabel 5.3. Tabel 5.3 Identifikasi Risiko terhadap Aset No. 1

2

Ancaman

Threat Event

Aliran Listrik  Aliran listrik dari PLN PLN terputus  Menyebabkan fluktuasi listrik, kerusakan perangkat listrik/komunikasi/jaring an dan pemadam kebakaran. Gempa bumi Gempa bisa merusak data center dan infrastruktur yang ada di dalamnya, jika melebihi 5 scala richter

3

Kebakaran

4

Banjir

Vulnerability

Critical Asset

Consequence

data Kerusakan perangkat  Data center membutuhkan Komputer, center, peralatan listrik dan jaringan aliran listrik kantor  Perangkat listrik/komunikasi /jaringan tidak dapat berfungsi

Data center terletak dalam Gedung dan asset Berhentinya kegiatan gedung yang tahan gempa kantor operasional karena hanya sampai 5 skala richter kerusakan fasilitas alat-alat kantor dan infrastruktur data center. Gedung dan aset Berhentinya kegiatan  Timbulnya api dengan  Ruangan data center; dapat kantor operasional karena berbagai macam saja terbakar atau menjadi kerusakan fasilitas penyebab/sumber bagian dari kebakaran alat-alat kantor dan Gedung  Api; baik yang berasal infrastruktur data dari hubungan arus  Di ruang NOC data center center. pendek ataupun sumber masih ada material yang api lainnya mudah terbakar Banjir dapat merusak Data center membutuhkan Pegawai, gedung  Sistem komputer genset yang terletak di aliran listrik yang berasal dari dan aset kantor dan komunikasi lantai dasar dan di genset terpaksa samping kali, akibatnya dihentikan Universitas Indonesia


57

Tabel 5.3 Identifikasi Risiko terhadap Aset (sambungan) No.

5

6

Ancaman

Threat Event

data center tidak mendapatkan aliran listrik dari genset sehingga tidak dapat beroperasi seperti biasa. Jaringan  Ada peralatan jaringan komputer mati yang rusak; kerusakan terjadi dimalam hari atau dihari libur; Vendor tidak bersedia memperbaiki kerusakan dimalam hari atau dihari libur  Beban kerja peralatan jaringan telah mendekati atau melebihi kemampuan peralatan jaringan karena log peralatan jaringan tidak direview oleh admin jaringan. Serangan virus,  Adanya serangan virus, worm, atau worm atau malware yang malware mengeksploitasi bugs pada operating system atau aplikasi  Virus, worm atau

Vulnerability

Critical Asset

Consequence

Data center membutuhkan Pegawai, gedung  Ketidakhadiran aliran listrik yang berasal dari dan aset kantor pegawai karena genset sulit transportasi  Semua peralatan memiliki  Peralatan jaringan potensi rusak komputer, komputer  Beban kerja ideal mempengaruhi kinerja peralatan jaringan, perubahan yang terjadi pada log peralatan jaringan tidak diketahui oleh admin jaringan.

 Kerusakan perangkat jaringan

 Sistem operasi ataupun aplikasi yang dipakai masih memiliki bugs  Attachment email dapat ditumpangi oleh virus  Kinerja server email akan

 Kehilangan data dan rekaman.

 Informasi



58

Tabel 5.3 Identifikasi Risiko terhadap Aset (sambungan) No.

7

8

Ancaman

Threat Event

Vulnerability

Critical Asset

malware menyebar menurun sesuai peningkatan melalui email beban email yang harus dikelola  Adanya virus yang melakukan serangan mail bomb Server dan Beban kerja server dan Server dan storage memiliki Informasi, komputer Storage failure storage telah mendekati batasan dalam melakukan atau melebihi kemampuan aktivitas data processing server

Cyber Threat

Terdapat celah keamanan Penyalahgunaan akun karena Informasi, reputasi, di jaringan komputer yang penggunaan password yang diekploitasi oleh hacker lemah untuk masuk dan mengambil informasi rahasia organisasi

Consequence

Kerusakan server dan storage sehingga sistem informasi tidak bisa dijalankan karena tidak bisa dibackup  Bocornya informasi rahasia organisasi  Rusaknya reputasi organisasi

Sumber: Pinmas Kemenag (telah diolah kembali)



59

Selanjutnya perlu juga dilakukan identifikasi tingkat kecenderungan (likelihood) dan dampak (impact) dari risiko pada setiap aset-aset yang ada. Pada Tabel 5.4 merupakan hasil identifikasi kecenderungan (likelihood) dari setiap ancaman yang terjadi, dengan melakukan pengolahan data yang sudah didapatkan dari organisasi dan wawancara dengan Kasubbid Pengembangan TIK Pinmas (lampiran 16), dan definisi tingkat kecenderungan risiko dapat dilihat pada Tabel 5.5. Tabel 5.4 Identifikasi Kecenderungan dari Setiap Ancaman No.

Ancaman

Tingkat Kecenderungan (likelihood) VH

M H

L

VL



1

Aliran Listrik PLN

2

Gempa bumi

3

Kebakaran

4

Banjir

5

Jaringan komputer mati



6

Serangan virus, worm, atau malware



7

Server dan Storage failure



8

Cyber Threat

  



Tabel 5.5 Definisi Tingkat Kecenderungan Risiko Tingkat Kecenderungan Very High

Nilai Kuantitatif 10

High

8

Moderate

5

Low

2

Very Low

0

Deskripsi Tingkat Kecenderungan Bencana alam, kecelakaan ataupun gangguan yang hampir pasti terjadi, atau jika terjadi lebih dari 100 kali dalam setahun Bencana alam, kecelakaan ataupun gangguan sangat mungkin terjadi, atau terjadi rentang antara 10-100 kali dalam setahun. Bencana alam, kecelakaan ataupun gangguan agak mungkin terjadi, atau terjadi antara 1-10 kali dalam setahun. Bencana alam, kecelakaan ataupun gangguan tidak mungkin terjadi; atau terjadi kurang dari sekali setahun, tapi lebih dari sekali setiap 10 tahun. Bencana alam, kecelakaan ataupun gangguan sangat tidak mungkin terjadi; atau terjadi kurang dari sekali setiap 10 tahun. Universitas Indonesia


60

Selanjutnya dilakukan identifikasi dampak dari setiap ancaman yang terjadi. Identifikasi ini dilakukan untuk mengetahui seberapa besar dampak yang disebabkan oleh setiap ancaman. Teknik yang digunakan dengan pengolahan data dan wawancara. Hasil identifikasi dampak ini dapat dilihat pada Tabel 5.6. Penggunaan ukuran tingkat dampak dari risiko dapat dilihat pada Tabel 5.7 Tabel 5.6 Identifikasi Dampak dari Setiap Ancaman No.

Ancaman

Tingkat dampak (impact) VH

M H

L

VL



1

Aliran Listrik PLN

2

Gempa bumi



3

Kebakaran



4

Banjir



5




6

Serangan virus, worm, atau malware

7

Server dan Storage failure



8

Cyber Threat





Tabel 5.7 Definisi Tingkat Dampak Risiko Tingkat Dampak Very High

Nilai kuantitatif 10

High

8

Moderate

5

Low

2

Very Low

0

Deskripsi Tingkat Dampak Ancaman yang mengakibatkan seluruh unit bisnis terganggu Ancaman yang mengakibatkan dua atau lebih unit bisnis terganggu selama 1-2 hari Ancaman yang mengakibatkan dua atau lebih unit bisnis terganggu selama 4-6 jam Ancaman yang mengakibatkan satu atau lebih unit bisnis terganggu selama 1-2 jam Ancaman yang mengakibatkan satu unit bisnis terganggu selama kurang dari 1 jam

Dari hasil identifikasi dan evaluasi terhadap kecenderungan dan dampak risiko dari setiap ancaman yang terjadi akan didapatkan nilai risiko untuk masingmasing ancaman yang terjadin. Kemudian menentukan tingkat prioritas risiko dan kontrol apa saja yang telah dilakukan terhadap risiko-risiko yang ada di organisasi. Tingkat prioritas ditentukan berdasarkan pada nilai risiko dan sistem informasi yang memiliki nilai risiko tinggi. Apabila ada sistem informasi yang Universitas Indonesia


61

memiliki nilai risiko yang sama, maka penentuan prioritasnya adalah dengan melihat sistem informasi yang memiliki dampak yang lebih tinggi dan yang sangat berpengaruh terhadap kontingensi kegiatan operasional Kemenag. Pada Tabel 5.8 disajikan matriks nilai risiko dari tingkat kecenderungan dan tingkat dampak yang terjadi dan Tabel 5.10 menyajikan definisi dari tingkat risiko yang terjadi. Sedangkan Tabel 5.9 dapat dilihat penilaian risiko berdasarkan pada kecenderungan dan dampak.

Tingkat

Tabel 5.8 Matriks Nilai Risiko Tingkat Dampak

Kecenderungan

Very Low

Low

Moderate

High

Very High

Very High

Very Low

Low

Moderate

High

Very High

High

Very Low

Low

Moderate

High

Very High

Moderate

Very Low

Low

Moderate

Moderate

High

Low

Very Low

Low

Low

Low

Moderate

Very Low

Very Low

Very Low

Very Low

Low

Low



62

Tabel 5.9 Penilaian Risiko Berdasarkan Kecenderungan dan Dampak No.

Ancaman

Kerentanan

Sumber Ancaman

Kecenderungan

Dampak

Risiko

Kontrol yang tersedia

1

2

3

Aliran Listrik  Aliran listrik dari PLN PLN terputus  Menyebabkan fluktuasi listrik, kerusakan perangkat listrik/komunikasi/jari ngan dan pemadam kebakaran. Gempa bumi Gempa bisa merusak data center dan infrastruktur yang ada di dalamnya, jika melebihi 5 scala richter Kebakaran

 Data center Moderate (5) membutuhkan aliran listrik  Perangkat listrik/ komunikasi/ jaringan tidak dapat berfungsi

High (8)

Data center terletak Low (2) dalam gedung yang tahan gempa hanya sampai 5 skala richter

Very High Moderate (10) (5)

 Timbulnya api dengan  Ruangan data berbagai macam center; dapat saja penyebab/sumber terbakar atau menjadi bagian  Api; baik yang dari kebakaran berasal dari hubungan Gedung arus pendek ataupun sumber api lainnya  Di ruang NOC data center masih ada material yang mudah terbakar

Moderate (5)

Moderate (5)

Very High High (8) (10)

Genset tersedia

Data center masih dalam gedung yang lama dan masih menyatu dengan gedung utama  Memasang alat deteksi api dan pemadam otomatis  masih ada beberapa bahan yang mudah terbakar  memasang pendeteksi api otomatis di NOC



sudah

63

Tabel 5.9 Penilaian Risiko Berdasarkan Kecenderungan dan Dampak (sambungan) 4

5

6

Banjir

Jaringan kompute r mati

Serangan virus, worm,

Banjir dapat merusak genset yang terletak di lantai dasar dan di samping kali, akibatnya data center tidak mendapatkan aliran listrik dari genset sehingga tidak dapat beroperasi seperti biasa.  Ada peralatan jaringan yang rusak; kerusakan terjadi dimalam hari atau dihari libur; Vendor tidak bersedia memperbaiki kerusakan dimalam hari atau dihari libur  Beban kerja peralatan jaringan telah mendekati atau melebihi kemampuan peralatan jaringan karena log peralatan jaringan tidak direview oleh admin jaringan.  Adanya serangan

Data center Low(2) membutuhkan aliran listrik yang berasal dari genset

High (8)

Moderate (5)  Semua peralatan memiliki potensi rusak  Beban kerja ideal mempengaruhi kinerja peralatan jaringan, perubahan yang terjadi pada log peralatan jaringan tidak diketahui oleh admin jaringan.

High (8)

 Sistem opera

Moderate (5)

Moderate (5)

Low (9)

 

Data center sudah di lantai atas Genset masih di lantai dasar

Moderate (5)

 Memperbaharui

Moderate (5)

 Menerapkan

kontrak kepada pihak ketiga agar bisa melakukan perbaikan pada hari libur / malam hari  Menerapkan Network monitoring tools untuk mengetahui peralatan yang bermasalah

patching terhadap



64

Tabel 5.9 Penilaian Risiko Berdasarkan Kecenderungan dan Dampak (sambungan) atau malware

7

8

virus, worm atau malware yang mengeksploitasi bugs pada sistem operasi atau aplikasi  Virus, worm atau malware menyebar melalui email  Adanya virus yang melakukan serangan mail bomb

Server dan Beban kerja server dan Storage failure storage telah mendekati atau melebihi kemampuan server

Cyber Threat

ataupun aplikasi yang dipakai masih memiliki bugs  Attachment email dapat ditumpangi oleh virus  Kinerja server email akan menurun sesuai peningkatan beban email yang harus dikelola Server dan storage Moderate (5) memiliki batasan dalam melakukan aktivitas proses data

Terdapat celah Penyalahgunaan Low (2) keamanan di jaringan akun karena komputer yang penggunaan diekploitasi oleh password yang

sistem operasi secara berkala  Antivirus yang terinstal sudah ter-update  Menerapkan email Scanning dan email filtering sebelum diproses oleh Email Server High (8)

High (8)

Moderate (5)

Low (2)

 Menerapkan

Server Monitoring tool untuk memberikan alert secara otomatis jika server bermasalah  Terdapat server mirroring untuk meletakkan data penting di gedung lain  Penggunaan password dengan kombinasi angka,



65

Tabel 5.9 Penilaian Risiko Berdasarkan Kecenderungan dan Dampak (sambungan) hacker untuk masuk lemah dan mengambil informasi rahasia organisasi

huruf besar dan huruf kecil dan prosedur penggantian password secara berkala  Penggunaan SSL untuk sistem yang diakses melalui jaringan publik.  Logging, monitoring, pemasangan IPS, IDS, dan firewall



66

Tabel 5.10 Definisi Tingkat Nilai Risiko Tingkat Risiko Very High High

Moderate

Low

Very Low

Nilai Semi- Deskripsi Tingkat Risiko Kuantitatif 10 Risiko yang sangat tinggi, dimana ancaman mengakibatkan seluruh unit bisnis terganggu 8 Risiko yang tinggi, dimana ancaman yang mengakibatkan dua atau lebih unit bisnis terganggu selama 1-2 hari 5 Risiko moderat, dimana ancaman yang mengakibatkan dua atau lebih unit bisnis terganggu selama 4-6 jam 2 Risiko rendah, dimana ancaman yang mengakibatkan satu atau lebih unit bisnis terganggu selama 1-2 jam 0 Risiko sangat rendah, dimana ancaman yang mengakibatkan satu unit bisnis terganggu selama kurang dari 1 jam

Jenis ancaman seperti aliran listrik PLN, gempa bumi, kebakaran dan banjir dapat dialami oleh semua sistem informasi yang ada, kemudian dibedakan dengan ancaman terhadap jaringan, virus, kapasitas server dan storage, dan cyber threat. Selanjutnya pada Tabel 5.11 dapat dilihat pemetaan ancaman terhadap sistem informasi yang ada di Kemenag. . Tabel 5.11 Pemetaan Ancaman terhadap Sistem Informasi No

Sistem Informasi

Ancaman

1

Situs web Kemenag

Jaringan, virus, cyber threat

2

E-mpa

Jaringan, server dan storage, cyber threat

3

Simpeg

Jaringan, server dan storage, cyber threat

4

Simkah

Jaringan, server dan storage

5

Siwak

Jaringan, server dan storage

6

Layanan e-mail

Jaringan, virus, server dan storage, cyber threat

7

Aplikasi Rupawan


8


Jaringan, virus, server dan storage. Universitas Indonesia


67

Tabel 5.11 Pemetaan Ancaman terhadap Sistem Informasi (sambungan) 9

SPSE


10


Jaringan, virus

11

Siskohat


12

Emis

Jaringan, virus, cyber threat

13

Simas

jaringan, virus, server dan storage

5.3

Analisis Dampak Bisnis (BIA)

Analisis dampak bisnis merupakan tahapan yang dilakukan untuk memperoleh pemahaman mengenai proses bisnis mana yang merupakan proses bisnis yang kritis dalam organisasi dan juga pemahaman atas dampak yang akan dialami oleh organisasi jika terjadi gangguan atau bencana pada proses bisnis tersebut. 5.3.1 Menentukan Pemulihan dan Bisnis Proses yang Kritis Tujuan utama dari analisis dampak bisnis ini adalah untuk mendapatkan pemahaman atas tingkat prioritas dari sistem informasi yang ada di organisasi, analisis ini juga bertujuan untuk memberikan informasi kepada pemangku kepentingan dari organisasi terhadap dampak yang akan dialami oleh sistem informasi apabila mengalami gangguan atau bencana yang mengakibatkan sistem informasi ini down/mati, sehingga pemangku kepentingan dapat menentukan tingkat RTO (Recovery Time Objective) dan RPO yang sesuai dengan kondisi yang berlangsung. Selain itu, agar dapat menentukan prioritas pemulihan terhadap sistem informasi jika gangguan atau bencana terjadi. Pemetaan layanan sistem informasi dilakukan untuk mengetahui apa saja layanan yang diberikan sistem informasi dalam melakukan pelayanan baik kepada internal organisasi ataupun kepada masyarakat. Pemetaan layanan sistem informasi ini dapat dilihat pada Tabel 5.12. Tabel 5.12 Pemetaan Layanan Kemenag dari Sistem informasi No Sistem Informasi

Layanan Kemenag

1

Media Informasi

Situs web Kemenag



68

Tabel 5.12 Pemetaan Layanan Kemenag dari Sistem informasi (sambungan) 2 3

Pengaduan Masyarakat e-MPA

Rencana dan Realisasi Fisik

4

Realisasi Output DIPA

5

Pengiriman data ADK SAI

6

Dokumen Pencairan Anggaran

7

SIMPEG

Manajemen Data Pegawai

8 9

Membuat Laporan Absensi SIMKAH

Pendaftaran nikah online

10

Pengumuman kehendak nikah

11

Pencarian akta nikah

12

Direktori KUA

13

SIWAK

Informasi tanah wakaf

14

15

Informasi jumlah wakaf uang SISKOHAT

Pendaftaran jamaah haji

16

Pelunasan Biaya jamaah haji

17

Pembatalan jamaah haji

18

Pemroresan Dokumen

19

Pemberangkatan calon jamaah haji

20

Operasional Arab Saudi

21

Pemulangan jamaah haji

22

EMIS

Penerbitan NPSN dan NISN

23

Pendataan Peserta Ujian Nasional

24

Digitalisasi Lembaga Pendidikan

25


Manajamen buku perpustakaan

26

Manajemen anggota perpustakaan

27

Penelusuran informasi

28

Penyebaran informasi ilmiah terbaru

29

Pelayanan multimedia

30 31

SPSE

Manajemen Pengadaan Barang/Jasa Katalog elektronik pengadaan Universitas Indonesia


69

Tabel 5.12 Pemetaan Layanan Kemenag dari Sistem informasi (sambungan) 32

Evaluasi dan Monitoring Pengadaan

33

Pengaduan Masyarakat

34

e-mail

Manajemen email

35


Digitalisasi Berita dan Informasi

36

Aplikasi Rupawan

Penyimpanan data berbasis cloud

37

SIMAS

Perekaman Digitalisasi data masjid

38

Layanan seleksi bantuan masjid

39

Data Permohonan bantuan

40

Data Penerima bantuan Sumber: Unit Pengelola Sistem Informasi

Kemenag sebagai salah satu lembaga pemerintahan yang memiliki tugas memberikan pelayanan kepada masyarakat, dalam hal menentukan tingkat kritis suatu sistem informasi yang berada di Kemenag berdasarkan pada regulasi, reputasi organisasi dan kebutuhan dari setiap pemangku kepentingan. Berdasarkan wawancara dengan Kepala Pinmas mengenai penentuan tingkat kritis suatu sistem informasi atau layanan yang ada di Kemenag itu berdasarkan pada kuantitas dari masyarakat yang merasakan dampak dari sistem informasi atau layanan tersebut. Berdasarkan

hasil

wawancara

dengan

Kepala

Pinmas

dan

Kasubbid

Pengembangan TIK (lampiran 16) yang telah diolah, berikut ini merupakan kategori tingkat dampak gangguan atau bencana terhadap bisnis, yaitu: 1. Tinggi Sistem informasi berpengaruh terhadap kelangsungan organisasi yang mengakibatkan efek samping

yang parah terhadap organisasi

dan

berhubungan dengan kuantitas pengguna pihak luar secara luas seperti masyarakat. 2. Sedang Sistem informasi berpengaruh pada aktivitas utama unit kerja dalam organisasi dan mengakibatkan efek samping yang serius terhadap organisasi dan berhubungan dengan pihak luar dalam lingkup yang kecil seperti instansi pemerintah di luar organisasi. 3. Rendah Universitas Indonesia


70

Sistem informasi berpengaruh pada aktivitas penunjang atau memberikan dampak negatif yang terbatas terhadap organisasi dan hanya digunakan untuk internal organisasi saja. Selanjutnya, hasil analisis dampak bisnis dapat dilihat pada Tabel 5.13. Tabel 5.13 Analisis Dampak Bisnis No 1

2

3

4

5

6

Sistem Dampak yang dialami jika SI down Tingkat Informasi (SI) dampak Situs web Pengguna tidak bisa mengakses informasi Sedang Kemenag mengenai Kemenag, dan reputasi Kemenag akan dipertanyakan. Sistem Satker tidak bisa menginput laporan Sedang monitoring pelaksanaan anggaran, sehinggga laporan anggaran (E- mengenai pelaksanaan anggaran akan MPA) terhambat disampaikan ke pimpinan dan realisasi anggaran untuk bulan berikutnya tidak dapat tergambar dengan optimal sehingga bisa menimbulkan informasi yang keliru mengenai anggaran. Sistem Bagian kepegawaian tidak dapat melihat dan Sedang informasi merubah data pegawai, data pegawai baru kepegawaian tidak bisa dientri, informasi absensi pegawai (SIMPEG) tidak dapat diketahui sehingga perhitungan uang makan dan tunjangan kinerja pegawai tidak dapat dilaksanakan, dan sebanyak 10200 satker tidak dapat mengakses sistem layanan ini. Sistem 2000 Petugas operator/penghulu KUA di Sedang Informasi seluruh Indonesia tidak bisa mengirimkan Manajemen data pernikahan. Nikah (SIMKAH) Sistem 2000 petugas operator di KUA tidak bisa Sedang Informasi menginput data wakaf, masyarakat tidak Wakaf dapat melihat data wakaf (SIWAK) Tinggi Sistem Sekitar 7500 instansi yang menggunakan Komputerisasi sistem ini tidak dapat menginput data jamaah Haji Terpadu haji dan masayarakat umum tidak dapat (SISKOHAT) melihat perkiraan berangkat haji. Reputasi Kemenag akan tercemar. Apabila terjadi pada masa operasional yaitu musim haji hal ini akan lebih memperburuk citra Kemenag dan akan menghambat semua kegiatan operasional yang berhubungan dengan haji. Selain itu, sistem ini juga menyimpan data Universitas Indonesia


71

Tabel 5.13 Analisis Dampak Bisnis (sambungan)

7

8

9

10

11

12

13

mengenai dana setoran awal jamaah haji yang memiliki nilai kisaran Rp 74 triliun, maka jika terjadi kerusakan akan sulit untuk mengembalikannya. Sedang Sistem Sebanyak 75000 instansi yang terdiri dari Informasi lembaga pendidikan dari Raudhatul Athfal Manajemen sampai dengan pendidikan menengah Pendidikan (Madrasah Aliyah) tidak dapat menyakini (EMIS) data terkait dengan data pendidikan. Sistem Sebanyak 800 instansi pengguna sistem Sedang Informasi perpustakaan ini tidak dapat menginput data Perpustakaan buku baru ke dalam sistem dan masyarakat umum tidak dapat mengakses data perpustakaan. Sistem Pengadaan barang/jasa secara elektronik tidak Tinggi Pengadaan bisa di laksanakan, dan reputasi Kemenag Secara akan tercemar karena pengadaan ini Elektronik berhubungan dengan masyarakat umum (SPSE) sebagai pihak ketiga dalam proses pengadaan barang dan jasa. Layanan e- Layanan email tidak bisa digunakan, sehingga Rendah mail para pegawai tidak dapat mengirim email menggunakan email dinas. Masih bisa menggunakan email lain seperti gmail, yahoo dan lain-lain, namun tingkat keamanannya menjadi rentan. Sistem Kliping Kliping berita tidak bisa di sajikan, sehingga Sedang Berita Online masyarakat umum tidak dapat mengakses berita terkait Kemenag Aplikasi Penyimpanan data berbasis cloud tidak bisa di Rendah Rupawan laksanakan (Ruang Penyimpanan Awan) Sistem Perekaman data tentang kemasjidan tidak Sedang informasi dapat dilakukan sebanyak 2000 instansi Masjid sebagai operator di KUA, seleksi bantuan (SIMAS) masjid tidak dapat dilakukan secara otomatis Sumber: Pinmas (2015)

Selanjutnya yang perlu dilakukan dalam analisis dampak bisnis ini adalah menentukan Recovery Time Objective (RTO) dan Recovery Point Objective (RPO) dari masing-masing sistem informasi. Penentuan dan kebutuhan terhadap RTO dan RPO ini diperoleh dari wawancara dengan para pengelola sistem informasi, dan hasil dari wawancara tersebut dapat disajikan pada Tabel 5.14. Universitas Indonesia


72

Dari hasil RTO dan RPO yang ada maka dapat dilakukan tingkat prioritas dari sistem informasi yang ada. Tabel 5.14 Identifikasi RTO dan RPO Sistem Informasi No

Sistem Informasi

RTO

RPO

Tingkat Dampak

1

Situs web Kemenag

1-6 jam

< 1 jam

Sedang

2

E-mpa

1-6 jam

1-6 jam

Sedang

3

Simpeg

1-6 jam

1-6 jam

Sedang

4

Simkah

1-6 jam

1-6 jam

Sedang

5

Siwak

> 24 jam

12-24 jam

Rendah

6

Layanan e-mail

1-6 jam

1-6 jam

Sedang

7

Aplikasi Rupawan

> 24 jam

> 24 jam

Rendah

8

Sistem Informasi perpustakaan

1-6 jam

> 24 jam

Rendah

9

SPSE

< 1 jam

< 1 jam

Tinggi

10


1-6 jam

> 24 jam

Rendah

11

Siskohat

< 1 jam

< 1 jam

Tinggi

12

Emis

1-6 jam

1-6 jam

Sedang

13

Simas

> 24 jam

12-24 jam

Rendah

Sumber: Unit Pengelola Sistem Informasi Kemenag

5.3.2 Identifikasi Prioritas Pemulihan Sistem Informasi Langkah terakhir dalam analisis ini adalah menentukan prioritas pemulihan dari sistem informasi Kemenag. Penentuan prioritas ini dilakukan dengan cara mengolah hasil analisis dampak risiko terhadap bisnis organisasi dan penentuan nilai RTO dan RPO dari masing-masing sistem informasi serta diperkuat dengan hasil wawancara dengan Kepala Pusat Informasi dan Humas dan Kepala Bagian TIK Kemenag maka didapatkan prioritas pemulihan sistem informasi yang dapat dilihat pada Tabel 5.15. Siskohat menjadi sistem informasi yang memiliki nilai prioritas tertinggi dalam Kemenag, karena sebagai sistem yang menunjang pelayanan internal dan juga masyarakat. Selain itu sistem ini juga menyimpan data mengenai dana setoran awal jamaah, mulai tahun 1996 sampai sekarang, yang harus perhatikan keamanan datanya. Setelah itu Sistem informasi Pengadaan Barang/Jasa Secara elektronik yang dimiliki oleh Kemenag, karena juga Universitas Indonesia


73

berhubungan dengan pelayanan kepada publik. Setelah itu sistem informasi yang berhubungan dengan pendidikan yang melayani sekitar 75000 pengguna yang berasal dari lembaga-lembaga pendidikan di Indonesia. Selanjutnya, sistem monitoring anggaran menjadi prioritas selanjutnya karena berhubungan dengan pelaksanaan anggaran di Kemenag. Jika sistem ini terganggu maka laporan mengenai pelaksanaan anggaran akan terhambat disampaikan ke pimpinan dan realisasi anggaran untuk bulan berikutnya tidak dapat tergambar dengan optimal. Simkah menjadi prioritas sistem informasi selanjutnya, karena sistem ini dijadikan sebagai Rencana Kerja Pemerintah (RKP) dalam melayani masyarakat yang akan melakukan pernikahan di seluruh Indonesia. Selanjutnya penentuan prioritas sistem informasi mengikuti hasil penilaian risiko dan penentuan dampak sistem terhadap organisasi. Tabel 5.15 Prioritas Pemulihan Sistem Informasi Prioritas

Sistem Informasi

Urutan prioritas

Tinggi-sedang Rendah

SISKOHAT

1

SPSE

2

EMIS

3

E-MPA

4

SIMKAH

5

Layanan e-mail

6

Situs web Kemenag

7

SIMPEG

8


9

SIMAS

10

SIWAK

11


12

Aplikasi Rupawan

13



74

5.4

Identifikasi Kontrol Pencegahan

5.4.1 Kontrol Pencegahan Data center Langkah ini dilakukan untuk mengidentifikasi

pada data center untuk

mengurangi tingkat risiko yang terjadi terhadap aset-aset yang ada di data center Kemenag sebagai aset infrastruktur yang mendukung kegiatan operasional data center dengan langkah-langkah memeriksa, mendeteksi dan/atau mengurangi dampak terhadap sistem informasi yang ada. Kontrol yang sudah disediakan untuk sistem informasi yang ada sebagai berikut: 1. Pemasangan web security dan firewall. 2. Pemasangan anti virus pada setiap server. Selanjutnya, standar yang digunakan untuk memeriksa, mendeteksi dan/atau mengurangi dampak terhadap sistem informasi yang ada adalah dengan mengadopsi ANSI/TIA 942, dengan memberikan checklist terhadap kontrol yang telah dimiliki data center dan memberikan rekomendasi jika belum dilengkapi dalam data center. Identifikasi mengenai kontrol ANSI/TIA 942 terhadap data center Kemenag, sesuai dengan hasil wawancara dari Kasubbid Pengembangan TIK, ditampilkan pada lampiran 8. Rekomendasi yang diberikan berkaitan dengan kontrol data center adalah sebagai berikut: 1. Membangun dinding ruangan data center menjadi dinding yang solid tertutup dengan materi yang tahan terhadap api. 2. Membuat pintu yang terbuat dari kayu solid dengan frame besi dilengkapi dengan lubang intip. 3. Gedung data center belum dilengkapi dengan detektor kebocoran dan air, sehingga harus menyediakan detektor kebocoran dan air, jika pada musim hujan ada dinding yg bocor dan masuk air ke dalam data center dapat diatasi. 4. Menyediakan generator listrik khusus yang terpisah dari generator yang menangani gedung. 5. Menyediakan panel yang khusus menangani emergency power off (EPO).



75

6. Menyediakan akses sekaligus petunjuk arah akses keluar bila terjadi keadaan darurat. 7. Belum tersedianya fasilitas komunikasi darurat, sehingga harus menyediakan fasilitas tersebut jika terjadi keadaan darurat dapat cepat ditangani. 5.4.2 Kontrol Pencegahan terhadap Risiko Berdasarkan Kecenderungan dan Dampak Sesuai dengan Tabel 5.16 mengenai penilaian risiko berdasarkan kecenderungan dan dampak telah diketahui kontrol yang ada saat ini, maka diberikan rekomendasi kontrol alternatif terhadap risiko yang terjadi sebagai berikut: Tabel 5.16 Rekomendasi Kontrol Berdasarkan Risiko No.

Ancaman

Risiko

1

Aliran Listrik Moderate (5) PLN

2

Gempa bumi

Moderate (5)

3

Kebakaran

High (8)

Kontrol yang Rekomendasi tersedia Kontrol Alternatif Genset sudah  Menyediakan tersedia genset cadangan yang bisa mensuplai kebutuhan listrik data center  Asuransi terhadap peralatan keras data center  Melakukan perawatan secara berkala terhadap peralatan listrik Data center Mengasuransikan masih dalam data center gedung yang lama dan masih menyatu dengan gedung utama  Memasang  Membuang alat deteksi api semua bahan dan pemadam yang bisa otomatis menghantarkan  masih ada api dengan beberapa cepat bahan yang  Asuransi mudah Universitas Indonesia


76

Tabel 5.16 Rekomendasi Kontrol Berdasarkan Risiko (sambungan) terbakar  memasang

4

Banjir

High (8)

5

Jaringan Moderate (5) komputer mati

6

Serangan Moderate (5) virus, worm, atau malware

7

Server dan Moderate (5) Storage failure

pendeteksi api otomatis di NOC  Data center sudah di lantai atas  Genset masih di lantai dasar  Memperbahar ui kontrak kepada pihak ketiga agar bisa melakukan perbaikan pada hari libur / malam hari  Menerapkan Network monitoring tools untuk mengetahui peralatan yang bermasalah  Menerapkan patching terhadap sistem operasi secara berkala  Antivirus yang terinstal sudah ter-update  Menerapkan email Scanning dan email filtering sebelum diproses oleh Email Server  Menerapkan Server Monitoring tool untuk bisa memberikan

 Relokasi genset ke ruangan yang lebih tinggi  Asuransi  Perawatan berkala terhadap peralatan jaringan

 Menerapkan patching terhadap OS secara berkala  Memastikan Antivirus yang terinstal di Server sudah update signature  Antivirus  Penggunaan Secure Security Gateway.  Melakukan perawatan secara berkala terhadap server dan storage.



77

Tabel 5.16 Rekomendasi Kontrol Berdasarkan Risiko (sambungan)

8

5.5

Cyber Threat

alert secara otomatis jika server bermasalah  Terdapat server mirroring untuk meletakkan data penting di gedung lain Penggunaan  Penggunaan password SSL untuk dengan sistem yang kombinasi diakses melalui angka, huruf jaringan publik. besar dan huruf  Logging, kecil dan monitoring, prosedur pemasangan penggantian IPS, IDS, dan password secara firewall berkala

Low (2)

Pengembangan Strategi Kontingensi

Strategi kontingensi dibuat untuk mengurangi risiko dari kontrol perencanaan strategi kontingensi pada Kemenag yang menggunakan sistem informasi untuk memberikan

layanan

publik,

mencakup

backup,

recovery,

perencanaan

kontingensi, pengujian dan pemeliharaan. 5.5.1 Backup dan Recovery Metode dan strategi backup dan recovery merupakan cara untuk memulihkan sistem operasi dengan cepat dan efektif setelah terjadinya gangguan pada layanan. Metode dan strategi ini harus mengatasi dampak gangguan dan waktu downtime yang telah diidentifikasi dalam BIA. Perjanjian dengan pihak ketiga harus dipertimbangkan service level agreement (SLA) yang diberikan oleh vendor. Selain itu, teknologi RAID, failover otomatis, UPS, server clustering, dan sistem mirrored juga dipertimbangkan dalam mengembangkan strategi pemulihan.



78

5.5.2 Metode Backup dan Storage Offsite Data pada sistem harus di-backup secara rutin. Kebijakan yang ada harus menentukan frekuensi minimum dan lingkup backup, seperti backup harian atau mingguan, backup secara incremental atau full, berdasarkan kritisnya data dan informasi frekuensi yang baru. Kebijakan backup data juga harus menunjuk lokasi data yang tersimpan, kesepakatan penamanaan file, frekuensi rotasi media dan metode mengirimkan data offsite. Data dapat di-backup pada magnetic disk, tape, atau optical disk seperti CD. Metode tertentu yang dipilih untuk melakukan backup harus didasarkan pada kebutuhan akan ketersediaan dan integritas dari sistem dan data. Dalam memilih fasilitas dan vendor dalam penyimpanan offsite, kriteria ini menjadi pertimbangan dalam pemilihannya, yaitu: lokasi geografis, kemampuan akses, keamanan, lingkungan dan terakhir biaya. Berikut ini beberapa usulan yang dapat dilakukan berkaitan dengan metode backup pada Kemenag, yaitu: 

Backup yang dilakukan secara incremental dimana hanya melakukan backup data yang berubah sejak data tersebut terakhir di-backup.



Backup harian dilakukan secara rutin dan terjadwal, berdasarkan nilai RPO yang dimiliki oleh masing-masing sistem.



Backup bulanan dilakukan secara full backup, dimana data dibackup secara lengkap.



Penyimpanan media backup dilakukan di dua tempat, secara on-site dan offsite.



Terkait penyimpanan offsite, Pinmas memanfaatkan sistem mirroring data, yang berada di duren tiga, namun belum semua sistem yang termasuk dalam backup dan recovery, sehingga jika terjadi bencana maka risiko terhadap kerentanan dan dampaknya masih tinggi.



Backup yang telah dilakukan harus dilakukan uji coba dengan melakukan restore minimal 1 minggu sekali untuk memberikan jaminan bahwa hasil backup dapat terbukti seperti yang diharapkan.



79

5.5.3 Site Alternatif Penentuan site alternatif menjadi hal yang cukup penting dalam pemilihan offsite backup. Mengacu pada kriteria yang telah disebutkan di atas, maka secara umum ada tiga jenis site alternatif yang ada, yaitu: dimiliki dan dioperasikan sendiri oleh organisasi, bekerja sama dan membuat perjanjian dengan entitas internal atau eksternal, dan menyewa kepada pihak ketiga sebagai vendor. Tiga site alternatif secara umum dikategorikan sebagai cold site, warm site, dan hot site. Kategori lainnya yang dapat dilakukan yaitu mobile site dan mirrored site. Penentuan penggunaan site alternatif disesuaikan dengan kategori dampak risiko yang ditimbulkan pada sistem informasi atau layanan yang tersedia. Usulan strategi backup/recovery dari site alternatif secara lengkap dapat dilihat pada Tabel 5.17. Tabel 5.17 Usulan Strategi Backup/Recovery dan Strategi Site Alternatif No

Sistem Informasi

Strategi Backup/Recovery

Strategi Site Alternatif

1

Situs web Kemenag

CD, Harddisk

Warm site

2

E-MPA

CD, Harddisk

Warm site

3

SIMPEG

CD, Harddisk

Warm site

4

SIMKAH

CD, Harddisk

Warm site

5

SIWAK

CD, Harddisk

Warm site

6

E-MAIL

CD, Harddisk

Warm site

7

Aplikasi Rupawan

CD, Harddisk

Warm site

8

Sistem

Informasi CD, Harddisk

Warm site

Perpustakaan 9

SPSE

CD, Harddisk, Mirrored system

10

Sistem Kliping Berita CD, Harddisk

Hot site Warm site

Online 11

SISKOHAT


Hot site

12

EMIS


Warm site

13

SIMAS

CD, Harddisk

Warm site



80

Usulan strategi backup/recovery dilakukan dengan menggunakan compact disk (CD) dan harddisk eksternal. Berdasarkan analisis dampak bisnis, SISKOHAT dan SPSE perlu tambahan menggunakan mirrored system agar sistem informasi dapat langsung beroperasi kembali ketika terjadi gangguan. EMIS juga menggunakan mirrored system, karena pengguna sistem informasi ini berasal dari lembaga pendidikan yang berada di seluruh Indonesia, sehingga apabila sistem ini mengalami gangguan atau bencana maka sistem ini harus secara cepat beroperasi kembali. 5.5.4 Peralatan Pengganti Jika site utama terganggu yang mengakibatkan tidak berfungsi sehingga sistem informasi menjadi rusak atau failure, maka perangkat keras maupun perangkat lunak yang diperlukan untuk menunjang layanan yang ada harus diganti aatau diperoleh dengan cepat dan dikirim ke site alternatif. Ada tiga strategi dasar yang dapat dipersiapkan untuk penggantian komponen-komponen yang mengalami kerusakan, yaitu: 

Vendor Agreements Strategi melakukan kerjasama dan membuat kesepakatan dengan pihak ketiga/vendor dengan memperhatikan SLA yang diberikan vendor kepada organisasi.



Equipment Inventory Peralatan yang dibutuhkan dapat dibeli terlebih dahulu, sebagai persediaan peralatan cadangan, kemudian disimpan secara aman pada site alternatif, seperti warm site atau mobile site.



Existing Compatible Equipment Peralatan lain yang kompatibel yang ditempatkan pada site alternatif yaitu hot site. Perjanjian yang dibuat di hot site menetapkan peralatan yang sama dan kompatibel siap dipakai telah tersedia untuk strategi kontingensi dan dapat langsung digunakan oleh organisasi.



81

5.5.5 Pertimbangan Biaya Pertimbangan biaya harus ditentukan oleh pimpinan disaster recovery untuk mengetahui berapa anggaran yang akan dikeluarkan oleh organisasi. Biaya yang diusulkan harus mencakup perangkat-perangkat yang diperlukan di lokasi offsite. Berikut usulan perhitungan biaya dalam pembangunan disaster recovery center: Tabel 5.18 Usulan Perkiraan Biaya Pengadaan Perangkat DRC No

Uraian

Satuan

Jumlah

Harga

Jumlah Harga Satua n

1

Server Monitoring

Management Unit dan

1

63.674.600

63.674.600

Recovery

Manager Spesifikasi: 2 x Xeon E52609v3, 16GB (2 x 8GB) PC4-17000

2133Mhz,

300GB SAS 2.5" HDD, VGA Matrox G200eR2 16MB, 4 x GbE NIC, Rackmount 2U Case 2

Server Platform Virtualisasi

Unit

4

70.749.800

282.999.200

Area Unit

1

104.760.001

104.760.001

4

11.935.000

47.740.000

Spesifikasi: Xeon 2x E52620v3, 2 x 8GB PC4-17000 2133Mhz, 300GB SAS 10K 2.5" HDD, VGA Matrox G200eR2 16MB, 4 x GbE NIC, Rackmount 2U Case 3

Perangkat

Storage

Network (SAN) Spesifikasi:

SFF

Control

Enclosure, SFF 2.5" Disk Drives, Cache per controller 6GB, Rackmount 2U 4

Rack Server

Unit

Spesifikasi: 19" closed rack Universitas Indonesia


82

Tabel 5.18 Usulan Perkiraan Biaya Pengadaan Perangkat DRC (sambungan) 32U

depth

900mm

+

perforated front door + steel rear door + 2 side door with lock, incl: 1unit 6 outlet with switch, 2 Fan, 1 unit Fix Shelf and 50 Set Cagenuts and Screws, 4pcs adjustable foot, 4pcs Castors 5

Link

Replikasi

dan Bulan

6

16.950.000

101.700.000

12

9.995.000

119.940.000

Operasional 50 Mbps DC ke DRC 6

Bandwidth

Internet

20 Bulan

Mbps/bulan Total

720.813.801

Server yang diusulkan yaitu untuk mengelola pemantauan dan pemulihan dan server virtualisasi untuk 4 bagian yaitu: sistem informasi yang berada di lokasi server 1 sampai lokasi server 4. Dan anggaran yang dibutuhkan pada usulan biaya pada pembangunan disaster recovery center Kemenag sebesar Rp. 720.813.801. 5.5.6 Peranan dan Tanggung Jawab Setelah memilih strategi backup dan recovery, maka perlu dibentuk tim untuk menjalankan strategi tersebut. Setiap personil tim perlu memahami dengan jelas tujuan tim pemulihan, prosedur-prosedur yang dijalankan, dan memahami ketergantungan antar tim pemulihan yang dapat mempengaruhi strategi secara keseluruhan. Berikut ini usulan struktur organisasi tim disaster recovery data center, ditampilkan pada gambar 5.2.



83

Gambar 5.2 Struktur Organisasi Tim Disaster Recovery Data Center Selanjutnya pembagian peranan dan tanggung tangung sesuai dengan usulan struktur organisasi tim disaster recovery data center, sebagai berikut: 1.

Disaster Recovery Lead – Kepala Pinmas Disaster Recovery Lead bertanggung jawab untuk membuat semua keputusan yang berkaitan dengan upaya pemulihan sistem informasi yang diakibatkan oleh bencana. Kegiatan yang dilakukan oleh personel ini adalah: a.

Menentukan bencana telah terjadi dan mengaktifkan disaster recovery serta proses yang terkait

b.

Melakukan call tree disaster recovery.

c.

Menjadi satu titik kontak untuk mengawasi semua tim disaster recovery.

d.

Mengatur dan memimpin tim disaster recovery secara keseluruhan.

e.

Hadir dan berada dengan tim manajemen dan membuat keputusan yang diperlukan organisasi pada saat terjadi bencana.

f.

Mengatur, mengawasi dan mengelola semua pengujian disaster recovery secara berkala.

2.

Disaster Management Team - Kepala Bidang TIK a.

Mengatur aktivasi disaster recovery setelah disaster recovery lead menyatakan bencana telah terjadi.

b.

Menentukan tingkatan bencana.

c.

Menentukan sistem dan proses apa yang telah terkena dampak bencana.

d.

Menginformasikan bencana kepada seluruh tim disaster recovery. Universitas Indonesia


84

e.

Menentukan langkah pertama yang harus dilakukan oleh tim disaster recovery.

f.

Mengkoordinasikan semua tim disaster recovery.

g.

Menyimpan semua catatan mengenai pembelian dan pengeluaran sumber daya yang dihabiskan selama disaster recovery.

h.

Memastikan bahwa semua keputusan yang dibuat mematuhi prosedur dan kebijakan disaster recovery yang telah ditetapkan oleh organisasi.

i.

Menentukan site alternatif untuk mengembalikan kegiatan operasional organisasi dan memastikan bahwa site alternatif berfungsi dan aman.

j.

Membuat laporan secara rinci dari semua langkah yang dilakukan dalam proses disaster recovery.

k.

Menginformasikan pihak-pihak terkait setelah bencana berakhir dan fungsi bisnis telah dipulihkan secara normal.

l.

Memberikan laporan kepada disaster recovery lead setiap kegiatan yang telah dilakukan selama bencana terjadi.

3.

Damage Assessment Team – Kepala Bidang Data a.

Menentukan titik kerusakan yang terjadi dan akses yang tidak terkena kerusakan.

b.

Menentukan nilai dan tingkat kerusakan yang terjadi pada sumber daya organisasi dan aset organisasi.

c.

Menilai kontrol pencegahan yang ada.

d.

Membuat estimasi waktu untuk disaster recovery sesuai dengan nilai dan tingkat kerusakan yang telah dilakukan pada sumber daya dan aset organisasi.

e.

Mengumpulkan informasi mengenai perangkat keras dan infrastruktur lainnya yang masih dapat diselamatkan dan mempertahankan terhadap peralatan yang masih bisa diperbaiki.

f.

Menginformasikan kepada tim disaster recovery mengenai tingkat kerusakan, perkiraan waktu pemulihan, dan peralatan yang dapat diselamatkan untuk diperbaiki.

g.

Memberikan dukungan untuk membersihkan lokasi yang mengalami kerusakan. Universitas Indonesia


85

h.


4.

Network Team – Kasubbid Pengembangan TIK a.

Menentukan koneksi jaringan tidak berfungsi di lokasi utama terkait bencana yang terjadi.

b.

Menentukan koneksi jaringan di lokasi alternatif.

c.

Jika beberapa layanan jaringan terkena dampak bencana, maka tim akan memprioritaskan pemulihan layanan dengan cara dan urutan yang memiliki dampak terhadap bisnis.

d.

Jika layanan jaringan yang disediakan oleh pihak ketiga, maka tim akan berkoordinasi dan berkomunikasi dengan pihak ketiga tersebut untuk memastikan pemulihan konektivitas.

e.

Memasang dan menerapkan semua peralatan, perangkat keras, perangkat lunak dan sistem yang diperlukan dalam lokasi alternatif.

f.

Memasang dan menerapkan semua peralatan, perangkat keras, perangkat lunak dan sistem yang diperlukan dalam lokasi utama.

g.


5. Facilities Team – Kasubbid Media Informasi Elektronik a.

Memastikan lokasi alternatif dipertahankan dalam perintah kerja.

b.

Memastikan transportasi disediakan untuk semua karyawan yang bekerja di fasilitas siaga.

c.

Memastikan semua akomodasi untuk semua karyawan yang bekerja di fasilitas siaga.

d.

Menilai atau berpartisipasi dalam penilaian terkait kerusakan fisik pada fasilitas utama.

e.

Memastikan langkah-langkah yang diambil untuk mencegah kerusakan lebih lanjut pada fasilitas utama.

f.

Berkoordinasi dengan perusahaan asuransi dalam hal kerusakan, kehancuran atau kerugian untuk setiap aset yang dimiliki oleh organisasi.

g.

Memastikan sumber daya yang tepat untuk membangun kembali atau memperbaiki fasilitas utama yang hancur atau rusak. Universitas Indonesia


86

h.


6.

Server Team – Kasubbid Data Pendidikan a.

Menentukan server tidak berfungsi di lokasi utama terkait bencana yang terjadi.

b.

Menentukan server di lokasi alternatif.

c.

Jika beberapa layanan server terkena dampak bencana, maka tim akan memprioritaskan pemulihan layanan dengan cara dan urutan yang memiliki dampak terhadap bisnis. Pemulihan akan mencakup tugas-tugas berikut: menilai kerusakan setiap server dan melakukan restart atau refresh server jika diperlukan.

d.

Memastikan server sekunder yang berada di lokasi alternatif tetap up-todate dengan sistem patch.

e.

Memastikan server yang tepat pada lokasi alternatif dan semua server di lokasi alternatif mematuhi kebijakan server organisasi.

f.


g.


h.


7.

Application Team – Kasubbid Data Keagamaan a.

Menentukan aplikasi tidak berfungsi di lokasi utama terkait bencana yang terjadi.

b.

Menentukan aplikasi di lokasi alternatif.

c.

Jika beberapa layanan aplikasi terkena dampak bencana, maka tim akan memprioritaskan pemulihan layanan dengan cara dan urutan yang memiliki dampak terhadap bisnis. Pemulihan akan mencakup tugas-tugas berikut: menilai dampak untuk proses aplikasi, melakukan restart aplikasi yang diperlukan dan melakukan patch, record atau menulis ulang aplikasi yang diperlukan



87

d.

Memastikan server sekunder yang berada di lokasi alternatif tetap up-todate dengan salinan data.

e.


f.


g.


8.

Communication Team – Kasubbid Layanan Informasi Publik a.

Menginformasikan terjadinya bencana dan dampaknya kepada semua karyawan organisasi.

b.

Menginformasikan terjadinya bencana dan dampaknya kepada pihak darurat pada lokasi setempat.

c.

Menginformasikan terjadinya bencana dan dampaknya kepada semua mitra atau pihak ketiga organisasi.

d.

Melakukan koordinasi dengan pihak media dan siaran pers.

e.


9.

Operation Team – Kasubbag Tata Usaha a.

Menjaga semua daftar perlengkapan penting yang diperlukan organisasi.

b.

Memastikan komputer cadangan yang cukup dan laptop sehingga kegiatan operasional organisasi secara signifikan tidak terganggu saat terjadi bencana.

c.

Memastikan setiap komputer cadangan dan laptop memiliki perangkat lunak yang diperlukandan patch.

d.

Memastikan peralatan pendukung komputer cadangan dan laptop telah tersedia dengan tepat. Jika tidak cukup komputer cadangan dan laptop serta perlengkapan pendukungnya maka tim akan memprioritaskan distribusi dengan cara dan urutan yang memiliki dampak terhadap bisnis.

e.

Menjaga log semua perlengkapan dan peralatan yang digunakan.

f.

Memberikan laporan kepada disaster recovery lead setiap kegiatan yang telah dilakukan selama bencana terjadi. Universitas Indonesia


88

5.6

Penyusunan Dokumen DRP

Langkah selanjutnya adalah penyusunan dokumen DRP untuk data center Kemenag. Langkah pertama yang dilakukan menyusun kerangka dokumen yang akan disusun terlebih dahulu. Berikut kerangka dokumen yang diusulkan adalah sebagai berikut: I. PENDAHULUAN A. Latar Belakang B. Ruang Lingkup C. Tujuan D. Dasar Pembuatan DRP II. STUDI LITERATUR A. Disaster Recovery Plan B. Framework NIST SP 800-34 Rev.1 III. GAMBARAN UMUM DRP DATA CENTER A. Pengkajian dan Pembaharuan Berkala B. Penyimpanan DRP data center C. Respon Terhadap Keadaan Darurat D. Lampiran IV. RESPON TERHADAP KEADAAN DARURAT A. Assembly Point B. Disaster Recovery Team (DRT) C. Tugas dan Tanggung Jawab D. Staff Cadangan E. Relokasi Data Center F. Penanganan Media V. AKTIVITAS RECOVERY A. Identifikasi Sistem B. Penanggung Jawab Sistem C. Analisa Risiko D. Fase-fase dalam DRP Data Center E. Alur Pemulihan F. Call Tree Disaster Recovery Universitas Indonesia


89

G. Anggota DRT Disertai dengan lampiran-lampiran yang berisi tentang gambaran teknis setiap peralatan dan operasionalnya Usulan DRP secara lengkap dapat dilihat pada lampiran 17.



BAB 6 KESIMPULAN DAN SARAN

Bab ini berisi tentang kesimpulan dan saran hasil dari penelitian yang telah dilakukan. Secara umum, penelitian ini menghasilkan dokumen DRP data center yang akan dijadikan usulan pada data center Kemenag. 6.1

Kesimpulan

Dari penelitian yang telah dilakukan, ada beberapa kesimpulan yang dapat diambil sebagai berikut: 1. Pada saat ini Pinmas sudah memanfaatkan sistem mirroring data yang berlokasi di Duren Tiga, namun sayangnya hanya untuk data portal kemenag dan Layanan Pengadaan Secara Elektronik (LPSE). Dengan melihat semakin meningkatnya penggunaan sistem informasi yang ada di Kemenag maka perlu segera menerapkan sistem backup dan recovery untuk setiap sistem informasi yang ada di Kemenag sehingga jika terjadi gangguan atau bencana maka risiko terhadap kerentanan dan dampaknya dapat diminimalisir. 2. Komponen-komponen berupa kontrol preventif pada data center perlu ditambahkan sebagai upaya pencegahan awal dari gangguan yang akan terjadi. 3. Perlu dilakukan diskusi antara tim kontingensi dalam menyusun SOP dan instruksi yang berkaitan dengan proses pemulihan gangguan atau bencana. 4. Usulan dokumen DRP ini dapat dijadikan sebagai masukan dalam pembuatan dan penerapan rencana pemulihan di Kemenag. 6.2

Saran

Dari penelitian yang telah dilakukan maka ada beberapa saran sebagai berikut: 1. Perlu direncanakan untuk melakukan kerja sama dengan pihak ketiga terkait penerapan DRP di Kemenag, karena masih minimnya SDM dalam menangani operasional data center. 2. Sesuai dengan standar NIST SP 800-34 Rev. 1, perlu dilanjutkan hasil dari penelitian ini dengan melakukan pelatihan terhadap personil dan pengujian terhadap dokumen DRP secara keseluruhan. Selain itu perlu dilakukan pemeliharaan secara berkala terhadap dokumen DRP jika sudah sesuai dengan 90



91

kondisi Kemenag. 3. Dengan berkembangnya unit kerja di Kemenag, maka perlu dilakukan analisis dampak bisnis secara berkala apabila ada perubahan atau penambahan proses bisnis pada internal Kemenag.



DAFTAR PUSTAKA Alhazmi, Omar., H., & Malaiya, K.Y., (2013). Evaluating disaster recovery plans using the cloud. Reliability and Maintainability Symposium (RAMS) 2013 Proceedings – Anual, p.1-6. Anthopoulos, Leonidas G., Kostavara, Efrosini., & Pantouvakis, John-Paris (2012). An effective disaster recovery model for construction projects. 26 th IPMA World Congress, Crete, Greece, 2012. Procedia - Social and Behavioral Sciences 74 (2013) 21 – 30. (diakses tanggal 27 Maret 2015). http://www.sciencedirect.com/science/article/pii/S1877042813004552. Ashenden, Debi, and Jones, Andy. (2005). Risk Management for Computer Security: Protecting Your Network and Information Assets. Burlington, MA, USA: Butterworth-Heinemann. ProQuest ebrary. Web. 30 November 2015. Copyright © 2005. Butterworth-Heinemann. All rights reserved Badrun KW. (2005). Dasar-dasar penelitian tindakan. Makalah disampaikan dalam penyegaran penelitian tindakan bagi dosen IKIP PGRI Yogyakarta pada tanggal 12 April 2005. Bryson, Kweku-Muata (Noel)., Millar, Harvey., Joseph, Anito., & Mabolurin, Ayodele.,(2001). Using formal MS/OR modeling to support disaster recovery planning. European Journal of Operational Research 141 (2002) 679–688. Received 19 April 2000; accepted 15 July 2001. Clark, P., (2010). Contingency planning and strategies. Kennesaw State University1000 Chastain Rd, MS 1101. Fritz CE (1961). Disaster. In: Merton RK and Nisbet RA (eds) Contemporary Social Problems. New York: Harcourt, Brace and World, 651–694. Elliott, J. (1991). Action Research for Educational Change, Open University Press, Milton Keynes. Info-Tech Research Group. Disaster Recovery Plan Template. Disaster Recovery Teams & Responsibilities. (diakses tanggal 11 Desember 2015). https://www.sfmsdc.org/pdfs/DisasterRecoveryPlanTemplate.docx. John W. Creswell. (1998). Qualitative inquiry and research design: Choosing among

five

traditions.

London:

SAGE

92


Publications.


93

Landesman, Y.L., (2001). Public health management of disasters: The practice guide. American Public Health Association, 800 I Street, NW, Washington, DC. Lastyono Putra, Endi. Information Technology Disaster Recovery Plan. Dokumen Panduan Pemulihan Bencana. (diakses tanggal 11 Desember 2015) http://javadrp.weebly.com/uploads/2/5/9/1/25919811/java_disaster_recover y_template.docx. Maiwald, Eric., and Sieglein, William., (2002). Security planning and disaster recovery. McGraw-Hill/Osborne. Berkeley, California – USA. Mohammadian, Masoud.(2012). Artificial Intelligence Applications for Risk Analysis, Risk Prediction and Decision Making in Disaster Recovery Planning. L. Iliadis et al. (Eds.): AIAI 2012 Workshops, IFIP AICT 382, pp. 155–165, 2012. IFIP International Federation for Information Processing 2012 National Fire Protection Association (NFPA 1600). (2013). NFPA 1600 standar on disaster/emergency management and business continuity programs. National Institute of Standards and Technology (NIST), (May 2010). NIST special publication 800-34 Rev.1. Contingency planning guide for federal information systems. USA: U.S. Department of Commerce. Nigg, J. M. (1995). Disaster recovery as a social process. Wellington after the quake: The challenge of rebuilding (pp. 91-92). Wellington, New Zealand: the Earthquake Commission. Omar, A., Alijani, D., & Mason, R. (2011). Information technology disaster recovery plan: Case Study. Academy of Strategic Management Journal, 10 Number

2,

127-141.

Retrieved

from

http://search.proquest.com/

docview/886538620?accountid=17242. Parker, D. & Handmer, John (1992). Hazard management and emergency planning: perspective on Britain. James & James, London. Peraturan Menteri Agama Nomor 10 Tahun 2010, tentang Organisasi dan Tata Kerja Kementerian Agama, Jakarta: 2010.



94

Peraturan

Pemerintah

No.

21

tahun

2008.

tentang

Penyelengaraan

Penanggulangan Bencana. Kementerian Hukum dan Hak Asasi Manusia. 2008. Peraturan Pemerintah No. 82 tahun 2012. Tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Kementerian Hukum dan Hak Asasi Manusia. 2012. Ratna Puspitasari, Agustina.(2011). Perancangan kebijakan business continuity. eIndonesia Initiative 2011 (eII2011). Konferensi Teknologi Informasi dan Komunikasi untuk Indonesia 14-15 Juni 2011, Bandung. (diakses tanggal 1 Desember 2015). http://tif.bakrie.ac.id/pub/proc/eii2011/REG/REG-01.pdf. Snedaker, S. (2007). Business continuity & disaster recovery for IT professionals. Syngress Publishing, Inc. Surat

Edaran

Sekretaris

Jenderal

Kementerian

Agama,

Nomor

SJ/B.VIII/3/HM.01/861/2010 tentang perubahan nama domain situs web www.depag.go.id menjadi www.kemenag.go.id Surat

Edaran

Sekretaris

Jenderal

Kementerian

Agama,

Nomor

SJ/B.VIII/2/HM.00/513/2015, tentang pemanfaatan surat elektronik (e-mail) pada Kementerian Agama The National Academies. (2007). Improving Disaster Management: The Role Of It In Mitigation, Preparedness, Response, And Recovery. (Ramesh R. Rao, Jon Eisenberg, and Ted Schmitt, Editors). Washington D.C. United States of America. The National Academies Press. Undang-Undang Nomor 24 tahun 2007. Tentang Penanggulangan Bencana. Kementerian Hukum dan Hak Asasi Manusia. 2007. Wahle, Thomas., Beatty, Gregg. (1993). Federal Emergency Management Agency -FEMA 141. (1993). Emergency Management Guide for Business and Industry. Whitman & Mattord. (2010). Principles f information security. Fourth Edition. Course Technology Cengage Learning. Boston MA-USA. .



95

LAMPIRAN

Lampiran 1 Hasil Wawancara Kepala Pusat Informasi dan Humas



96

Lampiran 2 Hasil Wawancara Kabid TIK



97

Lampiran 2 Hasil Wawancara Kabid TIK (lanjutan)



98

Lampiran 3 Hasil Wawancara dengan Kasubbid Pengembangan TIK



99

Lampiran 3 Hasil Wawancara dengan Kasubbid Pengembangan TIK (lanjutan)



100

Lampiran 4 Laman Resmi Kemenag diserang Hacker



101

Lampiran 5 Laporan Gangguan Layanan Telkom

Penyebab Gangguan: * Terjadi putus kabel fiber optik di lokasi sekitar gambir * Waktu terjadi 01 Februari 2015 Pukul: 11:52 WIB Tindakan yang dilakukanTelkom: * Pemindahan jalur akses optik CPE ke jalur cadangan * Penggantian patchcord FO di modem layanan IP transit Jangka waktu gangguan dan data dukungnya: 1.

Layanan IP Transit

Down Pukul: 11:52 Up Pukul: 14:31 Durasi downtime: 26 jam 39 menit

2. Layanan metro Open IX Down pukul: 11:52 Up pukul: 12:56 Durasi: 25 jam 04menit



102

Lampiran 5 Laporan Gangguan Layanan Telkom (lanjutan)

3. Layanan Backhaul Metro Down Pukul: 11:52 Up Pukul: 13:50 Durasi: 25 jam 58menit

4. Layanan Backhaul VPN IP Down Pukul: 11:52 Up Pukul: 13:50 Durasi: 25 jam 58menit



103

Lampiran 6 Surat Edaran Sekretaris Jenderal tentang Pemanfaatan Email



104

Lampiran 7 Rencana Strategis Kemenag 2015-2019



105

Lampiran 7 Rencana Strategis Kemenag 2015-2019 (lanjutan)



106

Lampiran 8 Identifikasi kontrol ANSI/TIA 942 – Data Center Kemenag NIST 800-34 dan ANSI/TIA-942

Data Center Baru

Menggunakan lantai panggung (raised floor) Dinding ruangan merupakan dinding solid tertutup dengan materi yang tahan api Pintu terbuat dari kayu solid dengan frame besi dilengkapi dengan lubang intip

Menggunakan lantai panggung (raised floor) Dinding ruangan merupakan dinding solid tertutup dengan materi yang tahan api Pintu terbuat dari kayu solid dengan frame besi dilengkapi dengan lubang intip

a.

Detektor asap dan api

Dilengkapi detektor asap dan api

Dilengkapi detektor asap dan api

b.

Detektor kebocoran air

Dilengkapi detektor kebocoran dan air

Dilengkapi detektor kebocoran dan air

Dilengkapi detektor Detektor suhu suhu Dilengkapi monitoring sistem untuk memantau dan memberikan notifikasi kepada Monitoring sistem pengelola Kelistrikan Uninterruptible Power Supply UPS dapat bertahan (UPS) minimum 15 Menit UPS mempunyai cadangan minimal Redundancy UPS N+1

Dilengkapi detektor suhu Dilengkapi monitoring sistem untuk memantau dan memberikan notifikasi kepada pengelola

No 1

Kontrol Ruangan

a.

Kondisi lantai

b.

Dinding ruangan data center

Pintu ruangan c. data center Detektor dan 2 Monitoring

c.

d. 3

a.

b.

c.

Penangkal petir

d.

Jalur pasokan listrik utama

Bangunan dilengkapi dengan penangkal petir Jalur pasokan listrik gedung berasal dari dua sumber yang berbeda

UPS dapat bertahan minimum 15 Menit UPS mempunyai cadangan minimal N+1 Bangunan dilengkapi dengan penangkal petir Jalur pasokan listrik gedung berasal dari dua sumber yang berbeda

Cheklist

          



107

Lampiran 8 Identifikasi kontrol ANSI/TIA 942 – Data Center Kemenag (lanjutan) No

Kontrol

NIST 800-34 dan ANSI/TIA-942

Data Center Baru Tersedia generator listrik khusus yang terpisah dari generator gedung

Cheklist

e.

Generator listrik

Tersedia generator listrik khusus yang terpisah dari generator gedung Tersedia panel emergency power off (EPO)

Tersedia panel emergency power off (EPO)



f.

Emergency Power Off (EPO)

Tersedia redundancy server minimal N+1 Tersedia redundancy storage minimal N+1 Tersedia redundancy core switch minimal N+1 Tersedia redundancy router minimal N+1

Tersedia redundancy server minimal N+1 Tersedia redundancy storage minimal N+1 Tersedia redundancy core switch minimal N+1 Tersedia redundancy router minimal N+1



Label diberikan pada kedua ujung kabel Kabel diletakkan baik di atas atau di bawah lantai ruangan data center

Label diberikan pada kedua ujung kabel Kabel diletakkan baik di atas atau di bawah lantai ruangan data center



Menggunakan AC presisi Tersedia redundancy AC minimal N+1

Menggunakan AC presisi Tersedia redundancy AC minimal N+1

Menggunakan jalur listrik yang terpisah dari jalur listrik data center Batasan suhu standar 20-25 derajat Celcius

Menggunakan jalur listrik yang terpisah dari jalur listrik data center Batasan suhu standar 20-25 derajat Celcius

4



Perangkat

a.

Redundancy server

b.

Redundancy storage

c.

Redundancy care switch

d. 5

a.

Redundancy router Pengkabelan

Pemberian label

Penempatan kabel b. dalam ruangan Sistem pengatur udara

  



6 a.

b.

Penggunaan AC

Redundancy AC

c.

Jalur listrik AC

d.

Batasan suhu standar

   



108

Lampiran 8 Identifikasi kontrol ANSI/TIA 942 – Data Center Kemenag (lanjutan) No

Kontrol

Pengatur e. kelembaban Sistem pelindung 7 keselamatan

NIST 800-34 dan ANSI/TIA-942

Data Center Baru

Dilengkapi dengan pengatur kelembaban udara

Dilengkapi dengan pengatur kelembaban udara

Cheklist

 

a.

Water suppression

menggunakan FM seri 2xx,3xx

menggunakan FM seri 2xx,3xx

b.

Gaseous suppression

menggunakan standar NFPA

menggunakan standar NFPA

c.

Handheld fire extinguishers

d.

Akses darurat

Menggunakan standar NFPA Tersedia akses bila terjadi keadaan darurat

Menggunakan standar NFPA Tersedia akses bila terjadi keadaan darurat

Tanda petunjuk arah keluar

Tersedia petunjuk arah akses keluar bila terjadi keadaan darurat

Tersedia petunjuk arah akses keluar bila terjadi keadaan darurat



Penerangan darurat

Terjadi fasilitas penerangan darurat bila terjadi pemadaman listrik

Terjadi fasilitas penerangan darurat bila terjadi pemadaman listrik



Tersedia fasilitas komunikasi darurat bila terjadi keadaan darurat

Tersedia fasilitas komunikasi darurat bila terjadi keadaan darurat



e.

f.

g. 8

Komunikasi darurat Keamanan

a.

Pemantauan keamanan

b.

Akses masuk ruangan

  

 Tersedia CCTV Menggunakan sistem akses kartu, akses bioketric atau intrusion detection

Tersedia CCTV Menggunakan sistem akses kartu, akses bioketric atau intrusion detection





109

Lampiran 9 Aset data center Siskohat – Realita Haji Edisi III-Juli 2015



110

Lampiran 10 Wawancara dengan Kabag SISKOHAT



111

Lampiran 11 Wawancara dengan Kasubbag SI Bimas Islam



112

Lampiran 11 Wawancara dengan Kasubbag SI Bimas Islam (lanjutan)



113

Lampiran 12 Wawancara dengan Kasubbag Pengembangan Database Haji



114

Lampiran 13 Wawancara dengan Staff pengguna Sistem Informasi Bimas Islam



115

Lampiran 14 Wawancara dengan Kasubbid Pengembangan TIK



116

Lampiran 14 Wawancara dengan Kasubbid Pengembangan TIK (lanjutan)



117

Lampiran 15 Rekapitulasi RTO, RPO dan Tingkat Dampak terhadap SI



118

Lampiran 16 Wawancara dengan Kasubbid Pengembangan TIK



119




120




121




122

Lampiran 17 Usulan Dokumen DRP Data Center Kemenag USULAN DOKUMEN DISASTER RECOVERY PLAN DATA CENTER KEMENAG I

PENDAHULUAN A. Latar Belakang Dokumen ini merupakan dokumen perencanaan dan pedoman dalam menghadapi sebuah bencana atau gangguan yang dapat mengganggu seluruh aktifitas operasional organisasi, dalam hal ini Kementerian Agama (Kemenag), dari segi teknologi informasi (IT) dalam Kemenag agar kegiatan operasional Kemenag dapat tetap berjalan ketika terjadi bencana atau gangguan tersebut. Bencana (Disaster) adalah suatu kejadian yang tidak dapat diprediksi waktu terjadinya dan bersifat sangat merusak. Bencana dapat menyebabkan kehilangan informasi, melukai pengguna atau pegawai, kerusakan aset, dan efek lain yang dapat merugikan organisasi. Oleh karena itu, dengan pembuatan dokumen disaster recovery plan teknologi informasi ini, diharapkan Kemenag dapat mempersiapkan langkah-langkah yang harus dilakukan sehingga kegiatan operasional dapat terus berjalan dan mengurangi kerugian dari segi TI jika bencana melanda Kemenag DRP data center ini dimaksudkan untuk memberikan kerangka kerja dalam menyusun rencana menghadapi gangguan atau bencana, guna memastikan keselamatan pegawai serta pemulihan kembali operasi dan layanan yang kritis terhadap waktu dalam keadaan darurat dan/atau bencana (aliran listrik, gempa bumi, banjir, kebakaran, jaringan mati, serangan virus dan server serta storage yang rusak). Walaupun DRP data center ini menyediakan panduan dan dokumen yang menjadi acuan pada keadaan darurat dan upaya pemulihan gangguan atau bencana yang terjadi, namun bukan menjadi pengganti dalam pengambilan keputusan dalam organisasi. Pimpinan organisasi harus mengidentifikasi layanan yang mengalami gangguan atau bencana terutama yang mengakibatkan kerugian pada layanan masyarakat ataupun gangguan terhadap kegiatan operasional yang signifikan.



123

DRP data center ini bukanlah dokumen yang sekali jadi namun DRP ini adalah living document dimana kegiatan yang berlangsung secara berkelanjutan dan dianggarkan untuk menyediakan sumber daya dan informasi yang diperlukan. B. Ruang Lingkup Ruang lingkup dari dokumen perencanaan ini hanya sebatas perencanaan penanganan bencana dalam TI organisasi dalam hal ini data center milik Kemenag, termasuk infrastruktur penunjang dan personel tim penanggulangan bencana. Dan dokumen ini merupakan dokumen perencanaan penanggulangan bencana, bukan sebagai dokumen pedoman kegiatan operasional yang dapat digunakan sehari-hari. Dengan kata lain, dokumen ini hanya digunakan ketika suatu keadaan dinyatakan sebagai bencana setelah tim penanganan bencana melakukan penilaian dan menyatakan kondisi tersebut sebagai suatu bencana. C. Tujuan Tujuan dari pembuatan DRP data center ini adalah sebagai pedoman untuk: 1. Memastikan bahwa seluruh pegawai dapat mengerti tugas mereka ketika terjadi suatu bencana. 2. Memastikan bahwa kegiatan operasional dapat tetap berjalan ketika terjadi suatu bencana. 3. Memastikan bahwa tidak menimbulkan dampak yang buruk di luar lingkungan Kemenag. D. Dasar Pembuatan DRP Dokumen DRP data center ini dibuat dengan dasar kerangka kerja (framework) tertentu dan peraturan perundang-undangan yang berlaku, yaitu: 1. Peraturan Pemerintah Nomor 82 tahun 2012 Pasal 17 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. 2. National Institute for Standards and Technology (NIST) Special Publication (SP) 800-34 Rev.1. 3. Rencana Strategis TIK 2015-2019. II STUDI LITERATUR A. Disaster Recovery Plan Disaster recovery plan (DRP) merupakan program yang tertulis dan telah disetujui,

diimplementasikan,

serta

dievaluasi

secara

periodik,

yang



124

menfokuskan pada semua kegiatan yang perlu dilakukan sebelum, ketika, dan setelah bencana. Rencana ini disusun berdasarkan mengkaji secara menyeluruh terhadap bencana-bencana yang potensial, yang mencakup lingkup fasilitas, atau lokasi geografis. Rencana ini juga merupakan pernyataan dari tanggapan yang tepat untuk proses pemulihan yang bersifat efektif terhadap biaya dan cepat. DRP juga harus mencakup prosedur untuk merespons suatu keadaan darurat, menyediakan backup operasi selama gangguan terjadi, dan mengelola pemulihan dan menyelamatkan proses sesudahnya. Sasaran pokok disaster recover plan adalah untuk menyediakan kemampuan dalam menerapkan proses kritis di lokasi lain dan mengembalikannya ke lokasi dan kondisi semula dalam suatu batasan waktu yang memperkecil kerugian kepada organisasi, dengan pelaksanaan prosedur recovery yang cepat. B. Framework NIST SP 800-34 Rev.1 National Institute for Standards and Technology (NIST) Special Publication (SP) 800-34 Rev.1 adalah sebuah panduan yang berisi instruksi, rekomendasi, dan keputusan dalam pembuatan perencanaan tentang pemulihan sistem informasi setelah terjadinya bencana atau gangguan. NIST SP 800-34 dipublikasikan pada tahun 2010 bulan Mei. Dalam NIST SP 800-34 Rev.1, proses disaster recovery dibagi menjadi tiga bagian utama, yaitu: 1. Tahapan Aktivasi dan Notifikasi Tahap ini merupakan tahap pengambilan keputusan ketika terjadi bencana serta memberitahukan kejadian tersebut pada anggota recovery team untuk menerapkan DRP. Pada akhir tahap ini, recovery team sudah harus siap menjalankan proses pemulihan yang telah direncanakan 2. Tahapan Pemulihan Ini merupakan tahap melakukan pemulihan terhadap layanan TI secara keseluruhan agar proses bisnis dapat berjalan kembali. Pada akhir dari tahap ini, sistem TI telah berjalan dengan lancar dan sesuai dengan yang telah direncanakan. 3. Tahapan Rekonstitusi



125

Tahap ini merupakan tahap dimana ketika semua sistem telah berhasil dijalankan kembali meskipun secara sementara. Dan di dalam tahap ini, seluruh aktifitas operasional dikembalikan ke kondisi awal sebelum terjadinya bencana. Jika fasilitas awal tersebut tidak bisa dipulihkan, maka menyiapkan fasilitas dan tempat baru sesuai dengan aktifitas yang direncanakan pula pada tahap ini. III GAMBARAN UMUM DRP DATA CENTER A. Pengkajian dan Pembaharuan berkala Kegiatan pengkajian dan pembaharuan DRP data center harus dilakukan secara terstruktur dan terkontrol. Setiap perubahan yang dilakukan dalam DRP data center harus diuji secara penuh sesuai dengan kondisi organisasi. Sehingga seluruh perubahan yang dilakukan dalam DRP data center ini harus dikontrol dan dengan persetujuan dari Pimpinan organisasi, dalam hal ini Kepala Pusat Informasi dan Hubungan Masyarakat selaku disaster recovery lead. B. Penyimpanan DRP data center Salinan dari DRP data center, CD, dan hard copy akan disimpan di dalam lokasi aman yang ditentukan oleh organisasi. Setiap anggota dari manajer senior harus memiliki salinan dari DRP data center yang harus disimpan di dalam tempat tinggal setiap anggota. Selain itu setiap anggota Disaster Recovery Team (DRT) harus memiliki salinan dari DRP data center tersebut. C. Respon Terhadap Keadaan Darurat Merupakan prosedur-prosedur yang harus dilakukan ketika terjadi suatu bencana mendadak. Hal ini ditujukan agar ketika terjadi bencana tersebut, tim dapat menyediakan baik pertolongan pertama maupun prosedur evakuasi. D. Lampiran Sesuai dengan standar NIST SP 800-34 Rev. 1, maka dalam dokumen ini akan dilampirkan formulir yang berisi tentang gambaran teknis setiap peralatan dan operasionalnya. IV RESPON TERHADAP KEADAAN DARURAT A. Assembly Point Universitas Indonesia


126

Ketika terjadi suatu bencana, sangat penting bagi organisasi untuk melakukan evakuasi pegawai dengan cara mengumpulkan mereka pada titik kumpul untuk memudahkan dalam proses evakuasi. Titik kumpul tersebut harus memiliki jarak aman dari gedung atau lokasi yang dilanda bencana tersebut. Titik kumpul tersebut berada pada : 1. Primary

: Gedung ABC

2. Secondary

: Gedung HIJ

3. Alternate

: Gedung XYZ

B. Disaster Recovery Team (DRT) Tahap pra kontingensi menekankan pada apa yang harus dan wajib dilakukan sebelum terjadinya gangguan atau bencana. Berikut ini adalah kegiatankegiatan yang harus dilakukan DRT sebelum tahapan aktivasi terkait rencana kontingensi dijalankan: 1. Melakukan pemantauan untuk memastikan bahwa koneksi antara lokasi utama dengan lokasi alternatif bekerja dan berfungsi dengan baik. 2. Konfigurasi server pada lokasi utama dan lokasi alternatif sehingga dapat melakukan proses backup otomatis untuk setiap sistem informasi. 3. Memastikan bahwa proses backup setiap sistem informasi berjalan dan data backup terkirim ke lokasi alternatif. 4. Melakukan tes restore data dari lokasi alternatif secara berkala. 5. Melakukan pemeliharaan secara berkala terhadap lokasi alternatif. 6. Membuat dan memperbaharui prosedur operasi standar ataupun instruksi kerja terkait disaster recovery. 7. Melakukan pelatihan dan pengembangan kemampuan SDM. 8. Melakukan pengujian berkala dokumen disaster recovery. Pada saat keadaan darurat, DRT merupakan pihak yang menerapkan DRP sebagai upaya untuk menanggulangi keadaan darurat tersebut. Berikut ini tugas-tugas yang dijalankan ketika gangguan atau bencana terjadi, yaitu: 1. Menghubungi pihak darurat dari lingkungan setempat (pemadam kebakaran, polisi, ambulan, PLN, dll). 2. Mendirikan fasilitas pertolongan darurat dengan bantuan pihak keamanan dan medis setempat dalam jangka waktu 2 jam. Universitas Indonesia


127

3. Memulihkan layanan internal organisasi dalam jangka waktu 4 jam. 4. Memulihkan layanan keseluruhan organisasi dalam jangka waktu 24 jam. C. Tugas dan Tanggung Jawab Disaster Recovery Team (DRT) merupakan personil inti dari DRP yang bekerja dibawah pengawasan CIO atau Manajer TI Senior organisasi. DRT bertugas untuk menerapkan DRP ketika terjadi bencana dalam organisasi, dan memastikan bahwa DRP diterapkan secara menyeluruh. Setiap orang yang terlibat dalam DRP data center Kemenag harus memahami tujuan dengan sangat jelas tentang perannya tersebut. Berikut adalah berbagai tim personel yang terlibat. 1. Disaster Recovery Lead – Kepala Pinmas Disaster Recovery Lead bertanggung jawab untuk membuat semua keputusan yang berkaitan dengan upaya pemulihan sistem informasi yang diakibatkan oleh bencana. Kegiatan yang dilakukan oleh personel ini adalah: a. Menentukan bencana telah terjadi dan mengaktifkan disaster recovery serta proses yang terkait b. Melakukan call tree disaster recovery. c. Menjadi satu titik kontak untuk mengawasi semua tim disaster recovery. d. Mengatur dan memimpin tim disaster recovery secara keseluruhan. e. Hadir dan berada dengan tim manajemen dan membuat keputusan yang diperlukan organisasi pada saat terjadi bencana. f. Mengatur, mengawasi dan mengelola semua pengujian disaster recovery secara berkala. 2. Disaster Management Team - Kepala Bidang TIK a. Mengatur aktivasi disaster recovery setelah disaster recovery lead menyatakan bencana telah terjadi. b. Menentukan tingkatan bencana. c. Menentukan sistem dan proses apa yang telah terkena dampak bencana. d. Menginformasikan bencana kepada seluruh tim disaster recovery. e. Menentukan langkah pertama yang harus dilakukan oleh tim disaster recovery. f. Mengkoordinasikan semua tim disaster recovery. Universitas Indonesia


128

g. Menyimpan semua catatan mengenai pembelian dan pengeluaran sumber daya yang dihabiskan selama disaster recovery. h. Memastikan bahwa semua keputusan yang dibuat mematuhi prosedur dan kebijakan disaster recovery yang telah ditetapkan oleh organisasi. i. Menentukan site alternatif untuk mengembalikan kegiatan operasional organisasi dan memastikan bahwa site alternatif berfungsi dan aman. j. Membuat laporan secara rinci dari semua langkah yang dilakukan dalam proses disaster recovery. k. Menginformasikan pihak-pihak terkait setelah bencana berakhir dan fungsi bisnis telah dipulihkan secara normal. l. Memberikan laporan kepada disaster recovery lead setiap kegiatan yang telah dilakukan selama bencana terjadi. 3. Damage Assessment Team – Kepala Bidang Data a. Menentukan titik kerusakan yang terjadi dan akses yang tidak terkena kerusakan b. Menentukan nilai dan tingkat kerusakan yang terjadi pada sumber daya organisasi dan aset organisasi. c. Menilai kontrol pencegahan yang ada. d. Membuat estimasi waktu untuk disaster recovery sesuai dengan nilai dan tingkat kerusakan yang telah dilakukan pada sumber daya dan aset organisasi. e. Mengumpulkan informasi mengenai perangkat keras dan infrastruktur lainnya yang masih dapat diselamatkan dan mempertahankan terhadap peralatan yang masih bisa diperbaiki. f. Menginformasikan kepada tim disaster recovery mengenai tingkat kerusakan, perkiraan waktu pemulihan, dan peralatan yang dapat diselamatkan untuk diperbaiki. g. Memberikan dukungan untuk membersihkan lokasi yang mengalami kerusakan h. Memberikan laporan kepada disaster recovery lead setiap kegiatan yang telah dilakukan selama bencana terjadi. 4. Network Team – Kasubbid Pengembangan TIK Universitas Indonesia


129

a. Menentukan koneksi jaringan tidak berfungsi di lokasi utama terkait bencana yang terjadi. b. Menentukan koneksi jaringan di lokasi alternatif. c. Jika beberapa layanan jaringan terkena dampak bencana, maka tim akan memprioritaskan pemulihan layanan dengan cara dan urutan yang memiliki dampak terhadap bisnis. d. Jika layanan jaringan yang disediakan oleh pihak ketiga, maka tim akan berkoordinasi dan berkomunikasi dengan pihak ketiga tersebut untuk memastikan pemulihan konektivitas. e. Memasang dan menerapkan semua peralatan, perangkat keras, perangkat lunak dan sistem yang diperlukan dalam lokasi alternatif. f. Memasang dan menerapkan semua peralatan, perangkat keras, perangkat lunak dan sistem yang diperlukan dalam lokasi utama. g. Memberikan laporan kepada disaster recovery lead setiap kegiatan yang telah dilakukan selama bencana terjadi. 5. Facilities Team – Kasubbid Media Informasi Elektronik a. Memastikan lokasi alternatif dipertahankan dalam perintah kerja. b. Memastikan transportasi disediakan untuk semua karyawan yang bekerja di fasilitas siaga. c. Memastikan semua akomodasi untuk semua karyawan yang bekerja di fasilitas siaga. d. Menilai atau berpartisipasi dalam penilaian terkait kerusakan fisik pada fasilitas utama. e. Memastikan langkah-langkah yang diambil untuk mencegah kerusakan lebih lanjut pada fasilitas utama. f. Berkoordinasi dengan perusahaan asuransi dalam hal kerusakan, kehancuran atau kerugian untuk setiap aset yang dimiliki oleh organisasi. g. Memastikan sumber daya yang tepat untuk membangun kembali atau memperbaiki fasilitas utama yang hancur atau rusak. h. Memberikan laporan kepada disaster recovery lead setiap kegiatan yang telah dilakukan selama bencana terjadi. 6. Server Team – Kasubbid Data Pendidikan Universitas Indonesia


130

a. Menentukan server tidak berfungsi di lokasi utama terkait bencana yang terjadi. b. Menentukan server di lokasi alternatif. c. Jika beberapa layanan server terkena dampak bencana, maka tim akan memprioritaskan pemulihan layanan dengan cara dan urutan yang memiliki dampak terhadap bisnis. Pemulihan akan mencakup tugas-tugas berikut: menilai kerusakan setiap server dan melakukan restart atau refresh server jika diperlukan. d. Memastikan server sekunder yang berada di lokasi alternatif tetap up-todate dengan sistem patch. e. Memastikan server yang tepat pada lokasi alternatif dan semua server di lokasi alternatif mematuhi kebijakan server organisasi. f. Memasang dan menerapkan semua peralatan, perangkat keras, perangkat lunak dan sistem yang diperlukan dalam lokasi alternatif. g. Memasang dan menerapkan semua peralatan, perangkat keras, perangkat lunak dan sistem yang diperlukan dalam lokasi utama. h. Memberikan laporan kepada disaster recovery lead setiap kegiatan yang telah dilakukan selama bencana terjadi. 7. Application Team – Kasubbid Data Keagamaan a. Menentukan aplikasi tidak berfungsi di lokasi utama terkait bencana yang terjadi. b. Menentukan aplikasi di lokasi alternatif. c. Jika beberapa layanan aplikasi terkena dampak bencana, maka tim akan memprioritaskan pemulihan layanan dengan cara dan urutan yang memiliki dampak terhadap bisnis. Pemulihan akan mencakup tugas-tugas berikut: menilai dampak untuk proses aplikasi, melakukan restart aplikasi yang diperlukan dan melakukan patch, record atau menulis ulang aplikasi yang diperlukan. d. Memastikan server sekunder yang berada di lokasi alternatif tetap up-todate dengan salinan data. e. Memasang dan menerapkan semua peralatan, perangkat keras, perangkat lunak dan sistem yang diperlukan dalam lokasi alternatif. Universitas Indonesia


131

f. Memasang dan menerapkan semua peralatan, perangkat keras, perangkat lunak dan sistem yang diperlukan dalam lokasi utama. g. Memberikan laporan kepada disaster recovery lead setiap kegiatan yang telah dilakukan selama bencana terjadi. 8. Communication Team – Kasubbid Layanan Informasi Publik a. Menginformasikan terjadinya bencana dan dampaknya kepada semua karyawan organisasi. b. Menginformasikan terjadinya bencana dan dampaknya kepada pihak darurat pada lokasi setempat. c. Menginformasikan terjadinya bencana dan dampaknya kepada semua mitra atau pihak ketiga organisasi. d. Melakukan koordinasi dengan pihak media dan siaran pers. e. Memberikan laporan kepada disaster recovery lead setiap kegiatan yang telah dilakukan selama bencana terjadi. 9. Operation Team – Kasubbag Tata Usaha a. Menjaga semua daftar perlengkapan penting yang diperlukan organisasi. b. Memastikan komputer cadangan yang cukup dan laptop sehingga kegiatan operasional organisasi secara signifikan tidak terganggu saat terjadi bencana. c. Memastikan setiap komputer cadangan dan laptop memiliki perangkat lunak yang diperlukandan patch. d. Memastikan peralatan pendukung komputer cadangan dan laptop telah tersedia dengan tepat. Jika tidak cukup komputer cadangan dan laptop serta perlengkapan pendukungnya maka tim akan memprioritaskan distribusi dengan cara dan urutan yang memiliki dampak terhadap bisnis. e. Menjaga log semua perlengkapan dan peralatan yang digunakan. f. Memberikan laporan kepada disaster recovery lead setiap kegiatan yang telah dilakukan selama bencana terjadi. D. Staff Cadangan Setiap organisasi perlu membentuk staff cadangan sebagai bentuk antisipasi jika terjadi bencana dan staff inti dari organisasi mengalami cedera dan tidak



132

dapat bekerja. Hal ini perlu dilakukan terutama dalam sisi manajerial. Staff cadangan memiliki jabatan yang sama dengan jabatan yang digantikannya. Berikut ini adalah daftar staff pengganti serta jabatannya: No

Nama

Jabatan Awal

Jabatan Pengganti

1

Bapak A

Cadangan network team

Network team pengganti

2

Bapak B

Cadangan facilities team

Facilities team pengganti

3

Bapak C

Cadangan server team

Server team pengganti

4

Bapak D

Cadangan

5

6

Bapak E

Bapak F

application Application

team

pengganti

Cadangan

Communication

communication team

pengganti

Cadangan team

operation Operation

team

team

team

pengganti

E. Relokasi Data Center Informasi merupakan bagian yang sangat penting untuk operasional organisasi. Seiring dengan meningkatnya kebergantungan bisnis terhadap teknologi informasi maka meningkat juga risiko ancaman akibatbencana terhadap kontingensi bisnis. Sehingga organisasi perlu memiliki tempat penyimpanan data cadangan yang digunakan ketika keadaan darurat. Data center cadangan tersebut harus jauh dari lokasi utama organisasi guna menghindari kejadian yang terjadi bersamaan di lokasi utama. Selain itu data center cadangan harus mampu diakses kapan saja jika organisasi membutuhkannya. Berikut ini adalah lokasi dari data center cadangan yang digunakan oleh organisasi: Data Center Cadangan Kemenag Alamat

: Jl. XXX

Tlp

: 111222333

Email

: [email protected]

(peta lokasi)



133

F. Penanganan Media Dalam keadaan darurat, pihak organisasi perlu berkoordinasi dengan pihak media sesuai dengan yang disepakati dengan pihak direksi organisasi guna menghindari publikasi yang merugikan di masyarakat. Dalam keadaan seperti ini organisasi harus mampu menjawab pertanyaan seperti bagaimana bisa terjadi?Apa yang organisasi akan lakukan? Berikut ini adalah tim juru bicara organisasi untuk media: No

Nama

Jabatan

1

Bapak AAA

Kepala Pusat Informasi dan Humas

2

Bapak XXX

Kepala Bidang Humas

3

Bapak YYY

Kepala Bidang Data

4

Bapak ZZZ

Kasubbid Layanan Informasi Publik

V AKTIFITAS RECOVERY A. Identifikasi Sistem Data center Kemenag merupakan pusat dari jaringan komunikasi data antara Kemenag di Jakarta dengan UPT Kemenag di seluruh Indonesia. Data center ini melayani berbagai proses bisnis baik dari internal Kemenag maupun pengguna data dari luar organisasi Kemenag. Sistem informasi/layanan yang tersedia di data center Kemenag antara lain adalah: 1.

Situs web Kemenag.

2.

Sistem Monitoring Anggaran (e-mpa).

3.

Sistem Informasi Kepegawaian (Simpeg).

4.

Sistem Informasi Manajemen Nikah (Simkah).

5.

Sistem Informasi Wakaf (Siwak).

6.

Layanan e-mail dinas kemenag.

7.

Aplikasi Ruang Penyimpanan Awan.

8.

Sistem Informasi Perpustakaan (Simpus).

9.

Sistem Pengadaan Barang/Jasa Secara Elektronik (SPSE).

10. Sistem Kliping Berita Online. 11. Sistem Komputerisasi Haji Terpadu (Siskohat). Universitas Indonesia


134

12. Sistem Informasi Manajemen Pendidikan (Emis). 13. Sistem Informasi Masjid (Simas) B. Penanggung Jawab Data Center Data center yang berada di Kemenag dikelola oleh Pusat Informasi dan Hubungan Masyarakat (Pinmas) dibantu dengan pengelola sistem informasi di masing-masing unit kerja Kemenag. C. Analisa Risiko Diperlukan identifikasi dan analisa risiko untuk dapat menentukan klasifikasi dampak dan penyebab kejadian bencana yang mungkin terjadi. Analisa risiko disajikan sebagai berikut: No

Kejadian

1

Aliran Listrik PLN

2

Gempa bumi

3

Kebakaran

Penyebab

Dampak

 Aliran listrik dari Kerusakan perangkat PLN terputus listrik dan  Menyebabkan jaringan fluktuasi listrik, kerusakan perangkat listrik/komunikasi /jaringan dan pemadam kebakaran. Gempa bisa Berhentinya merusak data kegiatan center dan operasional infrastruktur yang karena ada di dalamnya, kerusakan jika melebihi 5 fasilitas alatscala richter alat kantor dan infrastruktur data center. Berhentinya  Timbulnya api kegiatan dengan berbagai operasional macam penyebab/sumber karena kerusakan  Api; baik yang fasilitas alatberasal dari alat kantor hubungan arus dan pendek ataupun infrastruktur sumber api data center. lainnya

Mitigasi

Genset tersedia

Unit yang Bertanggung Jawab sudah Tim DR

Data center Tim DR masih dalam gedung yang lama dan masih menyatu dengan gedung utama  Memasang

Tim DR

alat deteksi api dan pemadam otomatis  masih ada beberapa bahan yang mudah terbakar Universitas Indonesia


135  memasang

4

Banjir

5


6

Banjir dapat merusak genset yang terletak di lantai dasar dan di samping kali, akibatnya data center tidak mendapatkan aliran listrik dari genset sehingga tidak dapat beroperasi seperti biasa.

pendeteksi api otomatis di NOC Tim DR  Sistem  Data komputer center dan sudah di komunikas lantai atas i terpaksa  Genset dihentikan masih di lantai dasar  Ketidakha diran pegawai karena sulit transportas i

 Ada peralatan  Kerusakan jaringan yang perangkat rusak; kerusakan jaringan terjadi dimalam hari atau dihari libur; Vendor tidak bersedia memperbaiki kerusakan dimalam hari atau dihari libur  Beban kerja peralatan jaringan telah mendekati atau melebihi kemampuan peralatan jaringan karena log peralatan jaringan tidak direview oleh admin jaringan. Serangan  Adanya serangan  Kehilangan virus, virus, worm atau data dan worm dan malware yang rekaman. trojan mengeksploitasi bugs pada operating system atau aplikasi  Virus, worm atau

 Memperbaha

Tim DR

rui kontrak kepada pihak ketiga agar bisa melakukan perbaikan pada hari libur / malam hari  Menerapkan Network monitoring tools untuk mengetahui peralatan yang bermasalah

 Menerapkan patching terhadap sistem operasi secara berkala  Antivirus

Tim DR



136

malware menyebar melalui email  Adanya virus yang melakukan serangan mail bomb

7

Server dan Beban kerja server Storage dan storage telah rusak mendekati atau melebihi kemampuan server

8

Cyber Threat

Terdapat celah keamanan di jaringan komputer yang diekploitasi oleh hacker untuk masuk dan mengambil informasi rahasia organisasi

yang terinstal sudah terupdate  Menerapkan email Scanning dan email filtering sebelum diproses oleh Email Server Kerusakan  Menerapkan Tim DR server dan Server storage Monitoring sehingga tool untuk sistem bisa informasi memberikan tidak bisa alert secara dijalankan otomatis jika karena tidak server bisa bermasalah dibackup  Terdapat server mirroring untuk meletakkan data penting di gedung lain  Bocornya  Penggunaan informasi password rahasia dengan organisasi kombinasi angka, huruf  Rusaknya besar dan reputasi huruf kecil organisasi dan prosedur penggantian password secara berkala  Penggunaan SSL untuk sistem yang diakses melalui jaringan publik. Universitas Indonesia


137  Logging, monitoring, pemasangan IPS, IDS, dan firewall D. Fase-fase Dalam DRP Data Center Fase Penilaian Dalam tahapan ini, DRT melakukan pemeriksaan dan penilaian terhadap suatu kejadian yang dilaporkan atau terdeteksi untuk memastikan bahwa kejadian tersebut adalah bencana atau bukan. Kriteria suatu kejadian dinyatakan sebagai bencana adalah: 1. Kerusakan besar yang disebabkan oleh alam seperti gemba bumi. 2. Data Center tidak beroperasi selama lebih dari 1 hari 3. Jaringan terputus selama lebih dari 1 hari 4. Kebakaran dalam gedung organisasi 5. Pencurian/perampokan 6. Banjir 7. Wabah penyakit Fase Aktivasi DRP Data Center Ketika suatu keadaan dinyatakan sebagai bencana, maka DRT akan menerapkan DRP data center yang telah dibuat untuk menanggulangi bencana tersebut. Dalam tahapan ini, DRT menjalankan DRP data center sesuai dengan kejadian yang terjadi dalam kondisi saat itu dengan tujuan agar kegiatan operasinal organisasi tidak terganggu dengan adanya kejadian tersebut. DRP ini tidak mengidentifikasi strategi untuk setiap skenario yang mungkin terjadi. Pada prinsipnya tidak semua gangguan membutuhkan penanganan kontingensi secara menyeluruh. Berikut strategi kontingensi untuk setiap sistem informasi jika terjadi gangguan atau bencana: No Sistem Informasi 1

Situs web Kemenag

Strategi Kontingensi Mengambil backup dari file backup, kemudian meng-copy backup data ke Universitas Indonesia


138

offsite yang telah disediakan. (Warm site) 2

E-mpa

Mengambil backup dari file backup, kemudian meng-copy backup data ke offsite yang telah disediakan. (Warm site)

3

Simpeg


4

Simkah

Mengambil backup dari file backup yang ada di masing-masing server unit kerja, jika belum dikirim ke pusat maka kirim untuk digabung ke data pusat, kemudian meng-copy backup data ke offsite yang telah disediakan.

5

Siwak


6

Layanan e-mail


7

Aplikasi Rupawan


8

Sistem

Informasi Mengambil backup dari file backup,

Perpustakaan

kemudian meng-copy backup data ke offsite yang telah disediakan. (Warm site) Universitas Indonesia


139

9

SPSE

Aktifkan dan jalankan offsite dalam hal ini hot site, agar sistem informasi ini dapat aktif secara real-time. (Hot site)

10



11

Siskohat

Aktifkan dan jalankan offsite dalam hal ini hot site, agar sistem informasi ini dapat aktif secara real-time. (Hot site)

12

Emis


13

Simas


Fase Pengembalian Tahap ini merupakan tahap dimana ketika suatu kejadian yang dinyatakan sebagai bencana, sudah berakhir. Dalam tahap ini, kegiatan operasional yang semulanya dijalankan dengan kebijakan tertentu ketika dalam kondisi bencana, akan dikembalikan ke dalam kondisi semula seperti pada saat sebelum bencana.



140

E. Alur Pemulihan Berikut ini adalah alur dari kegiatan-kegiatan yang harus dilakukan oleh DRT ketika terjadi suatu bencana dalam organisasi:



141

F. Call Tree Disaster Recovery Berikut ini adalah flowchart dari proses disaster recovery tree untuk mempermudah dalam memahami arus komunikasi dalam aktifasi DRP data center tersebut.

G. Anggota DRT Berikut ini adalah informasi kontak dari anggota DRT yang dapat dihubungi jika terjadi bencana dalam organisasi: No 1

Nama Kepala Pinmas

Divisi/Jabatan Disaster

Pilihan Kontak Handphone 1

Nomor Kontak 11223344



142

Recovery Lead

2

Handphone 2

12341234

Email

[email protected]

Kepala Bidang Disaster

Handphone 1

22334455

TIK

Management

Handphone 2

23452345

Team

Email

[email protected] om

3

Kepala Bidang Damage

Handphone 1

30405060

Data

Assessment

Handphone 2

34560000

Team

Email

[email protected] m

4

5

Kasubbid

Handphone 1

33445566

Pengembangan

Handphone 2

34563456

TIK

Email

[email protected]

Handphone 1

44556677

Media

Handphone 2

45674567

Informasi

Email

[email protected]

Kasubbid

Network Team

Facilities Team

Elektronik 6

7

8

m

Kasubbid Data Server Team

Handphone 1

55667788

Pendidikan

Handphone 2

56785678

Email

[email protected]

Kasubbid Data Application

Handphone 1

66778899

Keagamaan

Handphone 2

67896789

Email

[email protected]

Team

Kasubbid

Communication Handphone 1

77889911

Layanan

Team

Handphone 2

78917891

Email

[email protected]

Kasubbag Tata Operation

Handphone 1

88991122

Usaha

Handphone 2

89128912

Email

[email protected]

Informasi Publik 9

Team



143

Sedangkan berikut ini adalah informasi kontak dari vendor atau pihak eksternal organisasi yang dapat dihubungi ketika terjadi bencana: No

Nama

Kontak

Nomor Kontak

1

Listrik PLN

Call Center

123

2

Telekomunikasi

Call Center

Xxxxxx

3

Rumah Sakit

Call Center

118

4

Kantor Polisi

Call Center

110

5

Pemadam Kebakaran

Call Center

113

6

Supplier Hardware

Telepon Kantor

12341234

7

Supplier Server

Telepon Kantor

23452345

8

Keamanan Setempat

Telepon Kantor

34563456

H. Tim Pembangunan DRC Kemenag Susunan Keanggotan Tim Koordinasi Strategis Pembangunan Disaster Recovery Center (DRC) Kemenag Pengarah

: Menteri Agama RI

Penanggung Jawab : Sekretaris Jenderal Kementerian Agama Tim Pelaksana Ketua

: Kepala Pusat Informasi dan Hubungan Masyarakat

Wakil Ketua

: Kepala Bidang Teknologi Informasi dan Komunikasi

Sekretaris

: Kepala Subbidang Pengembangan Teknologi Informasi dan Komunikasi

Anggota

: 1. Kepala Bidang Data Universitas Indonesia


144

2. Kepala Bidang Humas 3. Kepala Bagian Perencanaan dan Sistem Informasi Pendidikan Islam 4. Kepala Bagian Perencanaan dan Sistem Informasi Bimas Islam 5. Kepala Bagian Perencanaan dan Sistem Informasi Bimas Kristen 6. Kepala Bagian Perencanaan dan Sistem Informasi Bimas Katholik 7. Kepala Bagian Perencanaan dan Sistem Informasi Bimas Buddha 8. Kepala Bagian Perencanaan dan Sistem Informasi Bimas Hindu 9. Kepala Bagian Perencanaan dan Sistem Informasi Badan Litbang dan Diklat 10.Kepala Bagian Sistem Informasi Haji Terpadu Penyelenggaraan Haji dan Umrah Tenaga Pendukung: 1. Kepala Subbidang Data Keagamaan 2. Kepala Subbidang Data Pendidikan 3. Kepala Subbidang Media Informasi Elektronik 4. Kepala Subbidang Hubungan Kelembagaan Negara 5. Kepala Subbidang Layanan Informasi Publik



145

LAMPIRAN A – TEMPLATE PEMULIHAN IT Disaster Recovery Plan (sistem 1) SYSTEM

OVERVIEW SERVER

Location :

SPECIFICATION

Server Model : Operationg System : CPU(s) : Memory : Disk Capacity : System Handle : DNS Entry : IP Address : Other :

HOT SITE SERVER ASSOCIATED SERVERS

KEY CONTACTS Hardware Vendor System Owners Database Owners Application Owner Software Vendors Offsite Storage

BACKUP STRATEGIES Daily Monthly Quarterly



146

DISASTER RECOVERY PROCEDURES Scenario 1 : (contoh: Data lost) Scenario 2 : Scenario 3 :

Disaster Recovery Plan (sistem 2) SYSTEM

OVERVIEW SERVER

Location :

SPECIFICATION






147



Disaster Recovery Plan untuk Local Area Network (LAN) SYSTEM

OVERVIEW SERVER

Location :

SPECIFICATION



KEY CONTACTS Hardware Vendor



148

System Owners Database Owners Application Owner Software Vendors Offsite Storage



Disaster Recovery Plan untuk Wide Area Network (WAN) SYSTEM

OVERVIEW SERVER

Location :

SPECIFICATION




149







150

LAMPIRAN B – DAMAGE ASSESMENT FORM

Proses bisnis yang

Deskripsi masalah

Penjelasan kerusakan

terganggu



151

LAMPIRAN C – LOG KEJADIAN BENCANA  

Semua kejadian yang terjadi harus direkap dalam log ini Log ini harus dikaji secara berkala oleh pimpinan DRT

Deskripsi Bencana : Tanggal Pelaksanaan : Tanggal DRT Dimobilisasikan :

Aktifitas yang

Tanggal dan

dilakukan

Hasil

Waktu

oleh DRT

Aktifitas lanjutan (post disaster)

Aktifitas DRT selesai pada tanggal :



152

LAMPIRAN D – LOG AKTIFITAS RECOVERY  

Dalam proses pemulihan, segala aktifitas ditetapkan dengan menggunakan struktru standar Setiap kegiatan yang dilakukan harus direkap dalam log ini

Nama Aktifitas : Nomor Aktifitas : Deskripsi Singkat :

Tanggal

Tanggal

Sumber Daya

Pihak yang

Pelaksanaan

Penyelesaian

yang Digunakan

Bertanggung Jawab



153

LAMPIRAN E – LOG MOBILISASI DRT 

Log ini berisi tentang detail dari proses aktifasi DRT

Deskripsi Kejadian :

Tanggal Kejadian : Tanggal Tugas DRT Selesai :

Nama

Detail

Dihubungi pada

Anggota

Kontak

(Tanggal/Waktu)

Oleh

Tanggapan

DRT

Waktu Kegiatan Yang Diharuskan



154

LAMPIRAN F – PROGRESS DISASTER RECOVERY 

Proses pemulihan harus direkap untuk mengetahui kinerja dari aktifitas tersebut

Aktifitas

Pihak yang

Pemulihan

Bertanggung

Tanggal Penyelesaian Perkiraan

Milestone

Informasi

yang

lain yang

dicapai

relevan

Kenyataan

Jawab



155

LAMPIRAN

G

–

BUSINESS

PROCESS/FUNCTION

RECOVERY

COMPLETION  

Log ini berisi tentang detail aktifitas penyelesaian pemulihan proses bisnis atau fungsi dalam organisasi. Satu log, digunakan untuk satu proses bisnis atau fungsi yang telah dipulihkan

Nama Proses Bisnis/Fungsi : Tanggal Penyelesaian : Tanggal Transisi ke Kondisi Semula :

Dengan ini kami sebagai DRT menyatakan bahwa kami telah menyelesaikan tugas pemulihan kami pada proses bisnis/fungsi yang telah disebutkan sebelumnya, dan kegiatan operasional normal telah dapat dijalankan kembali

Pimpinan DRT :

(tanda tangan) Tanggal

(informasi tambahan jika diperlukan)

Dengan ini saya konfirmasi bahwa proses bisnis/fungsi yang telah disebutkan sebelumnya dapat beroperasi kembali secara normal. Nama : Jabatan :

(tanda tangan) Tanggal



156

Lampiran 18 Surat Keterangan Penelitian



UNIVERSITAS INDONESIA PERANCANGAN DISASTER RECOVERY PLAN INSTANSI PEMERINTAH: STUDI KASUS KEMENTERIAN AGAMA KARYA AKHIR NANI NURAINI

Recommend Documents