Professional Documents
Culture Documents
Daftar isi
Ruang lingkup.................................................................................................................. 1
Proses hubungan........................................................................................................... 21
10 Proses Rilis.................................................................................................................... 33
Bibliografi............................................................................................................................. 35
Gambar 1 Proses Manajemen Layanan.............................................................................. 1
Gambar 2 Metodologi Perencanaan-Pelaksanaan-Memonitor-Mengambil Tindakan untuk
proses manajemen layanan ...................................................................................................9
Gambar 3 Contoh hubungan antara penyedia layanan dan pemasok............................... 25
Prakata
Standar Nasional Indonesia (SNI) ini disusun dengan mengadopsi secara identik melalui
metode terjemahan dari ISO/IEC 20000-1:2005 (E) Information technology - Service
management Part 1: Specification versi bahasa Inggris.
SNI ini dirumuskan oleh Subpanitia Teknis 35-01-S5, Manajemen Layanan Teknologi
Informasi dari Panitia Teknis 35-01, Transaksi Informasi Melalui Media Elektronik melalui
forum konsensus yang telah diselenggarakan pada tanggal 10 September 2008 di Jakarta.
Konsensus dihadiri oleh para pemangku kepentingan (stakeholder) terkait yaitu perwakilan
dari produsen, konsumen, pakar dan pemerintah. Standar ini juga telah melalui Konsultasi
Nasional Pemungutan Suara yang dilaksanakan pada tanggal 30 Oktober sampai dengan
tanggal 14 Agustus 2009 sampai dengan 14 September 2009, dengan hasil akhir disetujui
menjadi SNI.
Apabila pengguna menemukan keraguan dalam standar ini maka disarankan untuk melihat
standar aslinya yaitu ISO/IEC 20000-1:2005 (E) dan/atau dokumen terkait lain yang
menyertainya.
SNI ISO/IEC 20000 terdiri atas bagian sebagai berikut, dibawah judul umum Manajemen
Layanan- Teknologi Informasi :
Bagian 1 : Spesifikasi
Bagian 2 : Aturan Praktik
SNI ISO/IEC 20000-1:2009 ini merupakan bagian pertama dari seri tersebut.
ii
Pendahuluan
Bagian 1 dari SNI ISO/IEC 20000 ini memajukan adopsi sebuah pendekatan proses
terintegrasi secara efektif menyampaikan layanan yang teratur guna mempertemukan bisnis
dan keperluan pelanggan. Untuk sebuah organisasi agar berfungsi secara efektif, organisasi
tersebut harus mengenal dan mengelola berbagai macam aktivitas yang saling berkaitan.
Sebuah aktivitas menggunakan sumber daya, dan diatur, dalam rangka memungkinkan
perubahan dari masukan menjadi keluaran, dapat dianggap sebagai sebuah proses.
Seringkali keluaran dari sebuah proses menjadi masukan bagi proses yang lain.
Penggabungan dan pelaksanaan yang terkoordinasi dari proses manajemen layanan
menyediakan kontrol secara terus menerus, efisiensi yang lebih baik dan kesempatan untuk
penyempurnaan berkelanjutan. Penyelenggaraan aktivitas dan proses memerlukan orang
dalam bagian layanan, penunjang layanan, penyampaian layanan dan kelompok kerja yang
diorganisir dan dikoordinasikan secara baik. Alat yang tepat juga diperlukan untuk
memastikan bahwa proses berjalan secara efektif dan efisien.
Diasumsikan bahwa pelaksanaan ketentuan dari bagian SNI ISO/IEC 20000 ini ditugaskan
secara tepat pada orang yang kompeten dan memenuhi syarat.
Sebuah Standar Nasional Indonesia tidak bermaksud untuk memasukan seluruh ketentuan
yang diperlukan sebuah kontrak. Pengguna Standar Nasional Indonesia bertanggung jawab
untuk menerapkan secara benar.
Kepatuhan dengan sebuah Standar Nasional Indonesia tidak memberikan kekebalan dari
kewajiban hukum.
iii
Ruang lingkup
Bagian dari SNI ISO/IEC 20000 ini mendefinisikan persyaratan untuk sebuah penyedia
layanan untuk menyampaikan layanan yang dikelola dengan kualitas yang dapat diterima
untuk para pelanggannya.
Dokumen ini dapat digunakan:
a) Oleh bisnis yang akan melakukan lelang untuk layanannya;
b) Oleh bisnis yang memerlukan sebuah pendekatan konsisten bagi semua penyedia layanan
dalam sebuah rantai pasok;
c) Oleh penyedia layanan untuk mengukur manajemen layanan teknologi informasi mereka;
d) Sebagai dasar untuk sebuah penilaian independen;
e) Oleh sebuah organisasi yang perlu menunjukkan kemampuan dalam menyediakan layanan
yang memenuhi persyaratan pelanggan ; dan
f) Oleh sebuah organisasi yang bertujuan untuk meningkatkan layanan melalui penerapan
proses yang efektif dalam mengawasi dan meningkatkan mutu layanan.
Scope
This part of ISO/IEC 20000 defines the requirements for a service provider to deliver managed
services of an acceptable quality for its customers.
It may be used:
a) by businesses that are going out to tender for their services;
b) by businesses that require a consistent approach by all service providers in a supply chain;
c) by service providers to benchmark their IT service management;
d) as the basis for an independent assessment;
e) by an organization which needs to demonstrate the ability to provide services that meet
customer requirements; and
f) by an organization which aims to improve service through the effective application of
processes to monitor and improve service quality.
2 dari 35
Daftar tujuan dan kendali yang ada pada bagian SNI ISO/IEC 20000 ini tidak menyeluruh
dan sebuah organisasi dapat mempertimbangkan tujuan dan kendali tambahan yang
diperlukan untuk memenuhi keperluan bisnis yang bersifat khusus. Sifat dasar hubungan
bisnis antara penyedia layanan dan bisnis akan menentukan bagaimana persyaratan di
dalam bagian SNI ISO/IEC 20000 ini dilaksanakan dalam rangka memenuhi tujuan
keseluruhan
Sebagai standar berbasiskan proses, bagian SNI ISO/IEC 20000 ini tidak dimaksudkan
untuk penilaian produk. Tetapi organisasi yang membuat alat, produk, dan sistem
manajemen layanan dapat menggunakan bagian SNI ISO/IEC 20000 ini dan kode praktik
untuk membantu mereka dalam pengembangan alat, produk dan sistem yang menunjang
tercapainya praktik manajemen layanan terbaik.
2
Untuk kegunaan dokumen ini, berikut definisi dan istilah yang dipakai.
2.1
Ketersediaan
Kemampuan sebuah komponen atau layanan untuk melakukan fungsi yang diperlukan pada
saat yang ditetapkan atau selama periode waktu yang ditetapkan.
CATATAN Ketersediaan biasanya dinyatakan sebagai sebuah rasio waktu dimana layanan tersedia
secara aktual untuk digunakan oleh bisnis sampai dengan waktu layanan yang disepakati.
2.2
Garis dasar
Potret keadaan sebuah layanan atau alat konfigurasi individual pada suatu waktu (lihat 2.4).
2.3
Rekaman perubahan
Rekaman yang berisi detil dari jenis barang konfigurasi (lihat 2.4) yang terpengaruh dan
bagaimana mereka terpengaruh oleh sebuah perubahan resmi.
2.4
Jenis barang konfigurasi (JBK)
Komponen sebuah infrastruktur atau sebuah alat yang, atau akan, berada di bawah
pengendalian manajemen konfigurasi
CATATAN Barang konfigurasi bervariasi secara luas dalam hal kerumitan, ukuran dan tipe, mulai dari
keseluruhan sitem termasuk seluruh perangkat keras, perangkat lunak dan dokumentasi hingga ke
satu modul tunggal atau sebuah komponen perangkat keras yang kecil.
2.5
Basis data manajemen konfigurasi (BDMK)
Basis data yang berisikan semua rincian yang relevan dengan tiap jenis barang konfigurasi
dan rincian hubungan penting antar mereka.
2.6
Dokumen
Informasi dan media penunjangnya
CATATAN 1 Dalam standar ini, rekaman (lihat 2.9) dibedakan dari dokumen oleh fakta bahwa mereka
berfungsi lebih sebagai bukti kegiatan daripada bukti maksud.
3 dari 35
The list of objectives and controls contained in this part of ISO/IEC 20000 are not exhaustive,
and an organization may consider that additional objectives and controls are necessary to
meet their particular business needs. The nature of the business relationship between the
service provider and business will determine how the requirements in this part of ISO/IEC
20000 are implemented in order to meet the overall objective.
As a process based standard this part of ISO/IEC 20000 is not intended for product
assessment. However, organizations developing service management tools, products and
systems may use both this part of ISO/IEC 20000 and the code of practice to help them
develop tools, products and systems that support best practice service management.
2
For the purposes of this document, the following terms and definitions apply.
2.1
Availability
Ability of a component or service to perform its required function at a stated instant or over a
stated period of time.
NOTE Availability is usually expressed as a ratio of the time that the service is actually
available for use by the business to the agreed service hours.
2.2
Baseline
Snapshot of the state of a service or individual configuration items at a point in time (see
2.4).
2.3
Change record
Record containing details of which configuration items (see 2.4) are affected and how they
are affected by an authorized change.
2.4
Configuration item (CI)
component of an infrastructure or an item which is, or will be, under the control of
configuration management
NOTE Configuration items may vary widely in complexity, size and type, ranging from an
entire system including all hardware, software and documentation, to a single module or a
minor hardware component.
2.5
Configuration management database (CMDB)
Database containing all the relevant details of each configuration item and details of the
important relationships between them
2.6
Document
Information and its supporting medium
NOTE 1 In this standard, records (see 2.9) are distinguished from documents by the fact that
they function as evidence of activities, rather than evidence of intentions.
4 dari 35
CATATAN 2 Contoh dokumen termasuk pernyataan kebijakan, rencana, prosedur, perjanjian tingkat
layanan dan kontrak.
2.7
Insiden
Tiap kejadian yang bukan merupakan bagian operasi standar sebuah layanan dan yang
mengakibatkan atau dapat mengakibatkan gangguan pada atau penurunan dalam, kualitas
layanan.
CATATAN Ini mungkin termasuk pertanyaan permintaan seperti telepon Bagaimana saya
2.8
Masalah
Penyebab utama dari satu atau lebih insiden.
2.9
Rekaman
Dokumen yang menyatakan hasil yang telah dicapai atau memberikan bukti kegiatan yang
telah dilakukan
CATATAN 1 Dalam standar ini, rekaman dibedakan dari dokumen oleh fakta bahwa mereka berfungsi
lebih sebagai bukti kegiatan daripada bukti maksud
CATATAN 2 Contoh rekaman termasuk laporan audit, permintaan perubahan, laporan insiden,
rekaman pelatihan individu dan faktur yang dikirimkan ke pelanggan.
2.10
Rilis
Kumpulan barang konfigurasi baru dan/atau yang diubah yang diuji dan dimasukan ke dalam
lingkungan yang sebenarnya secara bersamaan.
2.11
Permintaan Perubahan
Formulir atau tampilan yang digunakan untuk merekam rincian sebuah permintaan untuk
sebuah perubahan pada tiap jenis barang konfigurasi di dalam sebuah layanan atau
infrastruktur.
2.12
Bagian layanan
Grup penunjang yang berhadapan dengan pelanggan dan mengerjakan bagian terbesar dari seluruh
kegiatan penunjang.
2.13
Perjanjian Tingkat Layanan (PTL)
Perjanjian tertulis antara penyedia layanan dan pelanggan yang mendokumentasikan
layanan dan tingkat layanan yang disetujui.
2.14
Manajemen layanan
Manajemen layanan untuk memenuhi persyaratan bisnis.
2.15
Penyedia layanan
Organisasi yang bertujuan untuk mencapai SNI ISO/IEC 20000.
5 dari 35
NOTE 2 Examples of documents include policy statements, plans, procedures, service level
agreements and contracts.
2.7
Incident
Any event which is not part of the standard operation of a service and which causes or may
cause an interruption to, or a reduction in, the quality of that service
NOTE This may include request questions such as How do I...? calls.
2.8
Problem
Unknown underlying cause of one or more incidents
2.9
Record
Document stating results achieved or providing evidence of activities performed
NOTE 1 In this standard, records are distinguished from documents by the fact that they
function as evidence of activities, rather than evidence of intentions.
NOTE 2 Examples of records include audit reports, requests for change, incident reports,
individual training records and invoices sent to customers.
2.10
Release
Collection of new and/or changed configuration items which are tested and introduced into
the live environment together
2.11
Request for change
Form or screen used to record details of a request for a change to any configuration item
within a service or infrastructure
2.12
Service desk
Customer facing support group who do a high proportion of the total support work
2.13
Service level agreement (SLA)
Written agreement between a service provider and a customer that documents services and
agreed service levels
2.14
Service management
Management of services to meet the business requirements
2.15
Service provider
The organization aiming to achieve ISO/IEC 20000.
6 dari 35
Tujuan : Untuk menyediakan sebuah sistem manajemen termasuk kebijakan dan kerangka
kerja untuk memungkinkan manajemen dan pelaksanaan seluruh layanan TI yang efektif.
3.1
Persyaratan Dokumentasi
3.3
Seluruh posisi dan tanggung jawab manajemen layanan harus ditetapkan dan dipelihara
bersamaan dengan kompetensi yang diperlukan untuk melaksanakan hal tersebut secara
efektif.
Kompetensi dan kebutuhan pelatihan pegawai harus dikaji dan dikelola sehingga
memungkinkan pegawai untuk bekerja pada posisi mereka secara efektif.
Manajemen tingkat atas harus memastikan bahwa pekerjanya sadar akan perlu dan
pentingnya kegiatan mereka dan bagaimana mereka berkontribusi bagi pencapaian tujuan
manajemen layanan.
7 dari 35
Management responsibility
Through leadership and actions, top/executive management shall provide evidence of its
commitment to developing, implementing and improving its service management capability
within the context of the organizations business and customers requirements.
Management shall:
a) Establish the service management policy, objectives and plans;
b) Communicate the importance of meeting the service management objectives and the need
for continual improvement;
c) Ensure that customer requirements are determined and are met with the aim of improving
customer satisfaction;
d) Appoint a member of management responsible for the co-ordination and management of
all services;
e) Determine and provide resources to plan, implement, monitor, review and improve service
delivery and management e.g. recruit appropriate staff, manage staff turnover;
f) Manage risks to the service management organization and services; and
g) Conduct reviews of service management, at planned intervals, to ensure continuing
suitability, adequacy and effectiveness.
3.2
Documentation requirements
Service providers shall provide documents and records to ensure effective planning, operation
and control of service management.
This shall include:
a) Documented service management policies and plans;
b) Documented service level agreements;
c) Documented processes and procedures required by this standard; and
d) Records required by this standard.
Procedures and responsibilities shall be established for the creation, review, approval,
maintenance, disposal and control of the various types of documents and records.
NOTE: The documentation can be in any form or type of medium.
3.3
All service management roles and responsibilities shall be defined and maintained together
with the competencies required to execute them effectively.
Staff competencies and training needs shall be reviewed and managed to enable staff to
perform their role effectively.
Top management shall ensure that its employees are aware of the relevance and importance
of their activities and how they contribute to the achievement of the service management
objectives.
8 dari 35
10 dari 35
Tujuan : Untuk mengawasi, mengukur dan mengkaji bahwa tujuan dan rencana manajemen
layanan telah tercapai.
Penyedia layanan harus menerapkan cara yang sesuai untuk memonitor dan, jika dapat
dilaksanakan mengukur proses manajemen layanan. Cara-cara ini harus menunjukkan
kemampuan proses untuk mencapai hasil yang direncanakan.
Manajemen harus mengadakan pengkajian pada selang waktu yang direncanakan untuk
menentukan apakah persyaratan manajemen layanan:
a. Sesuai dengan rencana manajemen layanan dan persyaratan standar ini; dan
b. Dilaksanakan dan dipelihara secara efektif.
Sebuah program audit harus direncanakan, dengan memperhitungkan status dan tingkat
kepentingan proses dan bagian yang diaudit serta hasil dari audit sebelumnya.
Kriteria, ruang lingkup, frekuensi dan cara audit harus ditetapkan dalam sebuah prosedur.
Pemilihan auditor dan tatalaksana audit harus memastikan keobyektifan dan
ketidakberpihakan proses audit. Auditor tidak boleh mengaudit pekerjaan mereka sendiri.
Tujuan peninjauan, pengakajian dan audit manajemen layanan harus direkam bersamaan
dengan temuan audit dan peninjauan, serta tindakan perbaikan yang diidentifikasi. Tiap
bagian penting yang tidak memenuhi atau mengkhawatirkan harus dikomunikasikan pada
pihak yang berwenang.
11 dari 35
g)
h)
i)
j)
The approach for interfacing to projects that are creating or modifying services;
The resources, facilities and budget necessary to achieve the defined objectives;
Tools as appropriate to support the processes; and
How the quality of the service will be managed, audited and improved.
There shall be clear management direction and documented responsibilities for reviewing,
authorising, communicating, implementing and maintaining the plans. Any process specific
plans produced shall be compatible with this service management plan.
4.2
Objective: To monitor, measure and review that the service management objectives and plan
are being achieved.
The service provider shall apply suitable methods for monitoring and, where applicable,
measurement of the service management processes. These methods shall demonstrate the
ability of the processes to achieve planned results.
Management shall conduct reviews at planned intervals to determine whether the service
management requirements:
a) Conform with the service management plan and to the requirements of this standard;
and
b) Are effectively implemented and maintained.
An audit programme shall be planned, taking into consideration the status and importance of
the processes and areas to be audited, as well as the results of previous audits.
The audit criteria, scope, frequency and methods shall be defined in a procedure.
The selection of auditors and conduct of audits shall ensure objectivity and impartiality of the
audit process. Auditors shall not audit their own work.
The objective of service management reviews, assessments and audits shall be recorded
together with the findings of such audits and reviews and any remedial actions identified. Any
significant areas of noncompliance or concern shall be communicated to relevant parties.
12 dari 35
4.4
Penyempurnaan berkelanjutan
Kebijakan
Harus ada sebuah kebijakan yang diterbitkan tentang penyempurnaan layanan. Tiap
ketidaksesuaian dengan standar atau rencana manajemen layanan harus diperbaiki. Posisi
dan tanggung jawab untuk kegiatan penyempurnaan layanan harus ditetapkan secara jelas.
4.4.2
Manajemen penyempurnaan
Semua saran untuk penyempurnaan layanan harus dinilai, direkam, diberi urutan prioritas,
dan disetujui. Sebuah rencana harus digunakan untuk mengendalikan kegiatan.
Penyedia layanan harus mempunyai sebuah proses yang disediakan untuk mengenali,
mengukur, melaporkan dan mengelola kegiatan penyempurnaan berkelanjutan.
Hal ini harus meliputi:
a) Penyempurnaan pada proses individual yang dapat dilaksanakan oleh pemilik proses
dengan sumber daya pegawai biasanya, seperti melakukan tindakan pencegahan dan
perbaikan individual; dan
b) Penyempurnaan lintas organisasi atau lintas lebih dari satu proses.
4.4.3
Kegiatan
Tujuan : Untuk memastikan bahwa layanan baru dan perubahan pada layanan dapat
dilaksanakan dan dapat dikelola dengan biaya dan kualitas layanan yang disetujui.
Usulan untuk layanan baru atau perubahan layanan harus mempertimbangkan dampak
biaya, organisasi, teknis dan komersial dari manajemen dan penyampaian layanan.
Pelaksanaan layanan baru atau perubahan layanan, termasuk penutupan sebuah layanan,
harus direncanakan dan disetujui melalui manajemen perubahan yang resmi.
Perencanaan dan pelaksanaan harus termasuk pembiayaan dan sumber daya yang cukup
untuk membuat perubahan yang diperlukan bagi manajemen dan penyampaian layanan.
13 dari 35
Policy
There shall be a published policy on service improvement. Any non-compliance with the
standard or the service management plans shall be remedied. Roles and responsibilities for
service improvement activities shall be clearly defined.
4.4.2
Management of improvements
All suggested service improvements shall be assessed, recorded, prioritized and authorized.
A plan shall be used to control the activity.
The service provider shall have a process in place to identify, measure, report and manage
improvement activities on an ongoing basis.
This shall include:
a) Improvements to an individual process that can be implemented by the process owner
with the usual staff resources, e.g. Performing individual corrective and preventive
actions; and
b) Improvements across the organization or across more than one process.
4.4.3
Activities
Objective: To ensure that new services and changes to services will be deliverable and
manageable at the agreed cost and service quality.
Proposals for new or changed services shall consider the cost, organizational, technical and
commercial impact that could result from service delivery and management.
The implementation of new or changed services, including closure of a service, shall be
planned and approved through formal change management.
The planning and implementation shall include adequate funding and resources to make the
changes needed for service delivery and management.
14 dari 35
Pelaporan layanan
Tujuan: untuk menghasilkan laporan yang akurat, andal, tepat waktu, disetujui untuk
pembuatan keputusan yang cerdas dan komunikasi yang efektif.
Harus ada gambaran yang jelas untuk tiap laporan layanan termasuk identitias, tujuan,
pembaca dan detil sumber data.
15 dari 35
Service reporting
Objective: To produce agreed, timely, reliable, accurate reports for informed decision making
and effective communication.
There shall be a clear description of each service report including its identity, purpose,
audience and details of the data source.
16 dari 35
Laporan layanan harus dibuat untuk memenuhi kebutuhan yang diidentifikasi dan
persyaratan pelanggan. Laporan layanan harus memasukkan:
a) Kinerja terhadap target tingkat layanan;
b) Ketidaksesuaian dan masalah seperti terhadap ptl, pelanggaran sistem keamanan;
c) Karakteristik beban kerja seperti volume, penggunaan sumber daya.
d) Hasil laporan mengenai kejadian besar seperti insiden dan perubahan besar;
e) Tren informasi;
f) Analisa pemenuhan.
Keputusan manajemen dan tindakan perbaikan harus diambil dengan mempertimbangkan
temuan dalam laporan layanan dan harus dikomunikasikan pada pihak yang terkait.
6.3
Tujuan : untuk memastikan bahwa kelanjutan layanan dan komitmen ketersediaan pada
pelanggan yang disetujui dapat dipenuhi dalam segala keadaan.
Persyaratan ketersediaan dan kelanjutan layanan harus diidentifikasi berdasarkan rencana
bisnis, PTL dan penilaian risiko.
Persyaratan harus termasuk hak akses dan waktu tanggapan serta ketersediaan komponen
sistem yang tanpa henti.
Ketersediaan dan rencana kelanjutan layanan harus dibuat dan ditinjau setidaknya setahun
sekali untuk memastikan bahwa persyaratan telah dipenuhi sebagaimana disetujui dalam
segala keadaan dari kondisi normal sampai kehilangan layanan yang besar.
Rencana ini harus dipelihara untuk memastikan bahwa rencana tersebut mencerminkan
perubahan yang telah disetujui dan diperlukan oleh bisnis.
Rencana ketersediaan dan kelanjutan layanan harus diuji ulang setiap terjadi perubahan
besar dalam lingkungan bisnis.
Proses manajemen perubahan harus menilai dampak tiap perubahan pada rencana
ketersediaan dan kelanjutan layanan.
Ketersediaan harus diukur dan direkam. Ketidaktersediaan yang tidak direncanakan harus
diselidiki dan tindakan yang tepat harus diambil.
CATATAN Kalau memungkinkan, masalah potensial harus diantisipasi dan tindakan pencegahan
dilakukan.
Rencana kelanjutan layanan, daftar kontak dan basis data manajemen konfigurasi harus
tersedia ketika akses kantor yang normal dihalangi. Rencana kelanjutan layanan harus
termasuk pengembalian pada kondisi normal.
Rencana kelanjutan layanan harus diuji sesuai dengan keperluan bisnis.
Seluruh uji kelanjutan harus direkam dan kegagalan uji harus dirumuskan kedalam rencana
tindakan.
17 dari 35
Service reports shall be produced to meet identified needs and customer requirements.
Service reporting shall
include:
a) Performance against service level targets;
b) Non-compliance and issues, e.g. Against the sla, security breech;
c) Workload characteristics, e.g. Volume, resource utilization;
d) Performance reporting following major events, e.g. Major incidents and changes;
e) Trend information;
f) Satisfaction analysis.
Management decisions and corrective actions shall take into consideration the findings in the
service reports and shall be communicated to relevant parties.
6.3
18 dari 35
6.4
Dalam praktiknya, banyak penyedia layanan terlibat dalam penagihan untuk layanan
semacam ini. Tetapi, karena penagihan adalah sebuah kegiatan pilihan, hal ini tidak dibahas
oleh standar ini.
Penyedia layanan direkomendasikan bahwa ketika penagihan digunakan, mekanisme
kerjanya ditetapkan secara menyeluruh dan dimengerti oleh semua pihak.
Semua praktik akuntansi yang digunakan harus sesuai dengan praktik akuntansi yang
digunakan secara luas oleh organisasi penyedia layanan.
Harus ada kebijakan dan proses yang jelas untuk:
a) Penganggaran dan akuntansi untuk semua komponen termasuk aset TI, sumber daya
yang dibagi dengan pihak lain, pengeluaran tambahan, layanan yang dipasok secara
eksternal, orang-orang, asuransi dan lisensi;
b) Pembagian antara biaya tidak langsung dan biaya langsung yang ditentukan untuk
layanan;
c) Pengendalian dan otorisasi keuangan yang efektif.
Biaya harus dianggarkan dalam detil yang cukup untuk memungkinkan kontrol keuangan
dan pembuatan keputusan yang efektif.
Penyedia layanan harus mengawasi dan melaporkan biaya terhadap anggaran, meninjau
ramalan keuangan dan mengelola biaya secara sesuai.
Perubahan layanan harus dikenakan biaya dan disetujui melalui proses manajemen
perubahan.
6.5 Manajemen kapasitas
Tujuan : Untuk memastikan bahwa penyedia layanan mempunyai, setiap saat, kapasitas
yang cukup untuk memenuhi permintaan kebutuhan bisnis pelanggan yang telah disetujui
baik pada saat ini maupun saat mendatang.
Manajemen kapasitas harus membuat dan memelihara sebuah rencana kapasitas.
Manajemen kapasitas harus ditujukan pada keperluan bisnis dan termasuk:
a) Kapasitas saat ini dan yang diperkirakan, serta persyaratan kinerja;
b) Mengenali waktu yang diperlukan, ambang batas dan biaya untuk peningkatan layanan;
c) Evaluasi mengenai akibat peningkatan layanan yang diharapkan, permintaan perubahan,
teknologi baru, dan teknik pada kapasitas;
d) Perkiraan dampak akibat perubahan eksternal, seperti faktor politik;
e) Data dan proses untuk memungkinkan analisa perkiraan.
Cara, prosedur dan teknik harus diidentifikasi untuk memonitor kapasitas layanan, perbaikan
kinerja layanan dan penyediaan kapasitas yang cukup.
19 dari 35
Capacity management
Objective: To ensure that the service provider has, at all times, sufficient capacity to meet the
current and future agreed demands of the customers business needs
Capacity management shall produce and maintain a capacity plan.
Capacity management shall address the business needs and include:
a) Current and predicted capacity and performance requirements;
b) Identified time-scales, thresholds and costs for service upgrades;
c) Evaluation of effects of anticipated service upgrades, requests for change, new
technologies and techniques on capacity;
d) Predicted impact of external changes, e.g. legislative;
e) Data and processes to enable predictive analysis.
Methods, procedures and techniques shall be identified to monitor service capacity, tune
service performance and provide adequate capacity.
20 dari 35
6.6
Tujuan : Untuk mengelola keamanan informasi secara efektif didalam seluruh kegiatan
layanan.
CATATAN ISO/IEC 17799, teknologi informasi teknik keamanan aturan praktis untuk manajemen
keamanan informasi menyediakan pedoman mengenai manajemen keamanan informasi.
Manajemen dengan wewenang yang tepat harus menyetujui sebuah kebijakan keamanan
informasi yang harus dikomunikasikan pada seluruh orang yang bersangkutan dan
pelanggan yang tepat.
Kendali keamanan yang tepat harus bekerja untuk:
a) Melaksanakan persyaratan kebijakan keamanan informasi;
b) Mengelola risiko yang berhubungan dengan akses pada layanan atau sistem.
Kendali keamanan harus didokumentasikan. Dokumentasi harus menggambarkan risiko
yang berhubungan dengan kendali, dan cara kerja dan pemeliharaan kendali.
Dampak perubahan pada kendali harus dinilai sebelum perubahan dilaksanakan.
Pengaturan yang melibatkan organisasi eksternal yang mempunyai akses pada sistem
informasi dan layanan harus berdasarkan pada sebuah perjanjian formal yang menetapkan
seluruh persyaratan keamanan yang diperlukan.
Insiden keamanan harus dilaporkan dan direkam dalam hubungannya dengan prosedur
manajemen insiden secepat mungkin. Prosedur harus dipersiapkan untuk memastikan
bahwa seluruh insiden keamanan telah diselidiki, dan tindakan manajemen telah dilakukan.
Mekanisme harus dipersiapkan untuk memungkinkan tipe, volume, dan dampak insiden
keamanan dan kegagalan pemakaian diukur dan dimonitor.
Tindakan untuk perbaikan dan penyempurnaan diidentifikasi selama proses ini harus
direkam dan menjadi masukan bagi sebuah rencana untuk peningkatan layanan.
7
Proses hubungan
7.1 Umum
Proses hubungan digambarkan sebagai dua aspek yang berhubungan antara Manajemen
Pemasok dan Manajemen Hubungan Bisnis.
21 dari 35
6.6
Relationship processes
7.1
General
Relationship processes describe the two related aspects of Supplier Management and
Business Relationship Management.
22 dari 35
7.2
Tujuan : Untuk membuat dan mempertahankan sebuah hubungan baik antara penyedia
layanan dan pelanggan berdasarkan pemahaman mengenai pelanggan dan penggerak
bisnisnya.
Penyedia layanan harus mengenali dan mendokumentasikan para pemangku kepetingan
Para pemangku kepentingan dan pelanggan layanan.
Penyedia layanan dan pelanggan harus menghadiri sebuah tinjauan layanan untuk
mendiskusikan tiap perubahan pada ruang lingkup layanan,
PTL, kontrak (jika ada) atau keperluan bisnis paling sedikit tiap tahun dan harus
mengadakan rapat antar waktu pada selang waktu yang disetujui untuk mendiskusikan
kinerja pelaksanaan, pencapaian, masalah dan rencana tindakan. Rapat ini harus
didokumentasikan.
Para pemangku kepentingan lainnya dalam layanan dapat juga diundang untuk menghadiri
rapat tersebut.
Perubahan kontrak, jika ada, dan PTL harus mengikuti hasil dari rapat ini selama sesuai.
Perubahan tersebut harus menjadi subyek untuk proses manajemen perubahan.
Penyedia layanan harus tetap menyadari akan keperluan bisnis dan perubahan besar dalam
rangka mempersiapkan untuk menanggapi keperluan tersebut.
Harus ada sebuah proses pengaduan. Ketetapan sebuah pengaduan layanan formal harus
disetujui dengan pelanggan.
Seluruh pengaduan layanan formal harus direkam oleh penyedia layanan, diselidiki,
melakukan tindakan, dilaporkan dan ditutup secara formal. Ketika sebuah pengaduan tidak
diselesaikan melalui saluran formal, jalur yang lebih tinggi harus tersedia untuk pelanggan.
Penyedia layanan harus seorang atau beberapa orang yang bertanggung jawab untuk
mengelola kepuasan pelanggan dan keseluruhan proses hubungan bisnis. Sebuah proses
harus ada untuk mendapatkan dan bertindak berdasarkan umpan balik dari pengukuran
kepuasan pelanggan regular. Tindakan untuk penyempurnaan perbaikan diidentifikasi
selama proses ini harus direkam dan menjadi masukan kedalam sebuah rencana untuk
peningkatan layanan.
23 dari 35
7.2
Objective: To establish and maintain a good relationship between the service provider and
the customer based on understanding the customer and their business drivers.
The service provider shall identify and document the stakeholders and customers of the
services.
The service provider and customer shall attend a service review to discuss any changes to
the service scope,
SLA, contract (if present) or the business needs at least annually and shall hold interim
meetings at agreed intervals to discuss performance, achievements, issues and action plans.
These meetings shall be documented.
Other stakeholders in the service may also be invited to the meetings.
Changes to the contract(s), if present, and SLA(s) shall follow from these meetings as
appropriate. These changes shall be subject to the change management process.
The service provider shall remain aware of business needs and major changes in order to
prepare to respond to these needs.
There shall be a complaints process.
The definition of a formal service complaint shall be agreed with the customer.
All formal service complaints shall be recorded by the service provider, investigated, acted
upon, reported and formally closed. Where a complaint is not resolved through the normal
channels, escalation shall be available to the customer. The service provider shall have a
named individual or individuals who are responsible for managing customer satisfaction and
the whole business relationship process. A process shall exist for obtaining and acting upon
feedback from regular customer satisfaction measurements. Actions for improvement
identified during this process shall be recorded and input into a plan for improving the
service.
24 dari 35
Adalah penyedia layanan yang harus menunjukkan kesesuaian bagi proses manajemen
layanan ini.
Hubungan yang rumit mungkin ada sebagaimana ditunjukkan dalam diagram di bawah ini
yang digunakan sebagai sebuah contoh:
26 dari 35
8
8.1
Proses Resolusi
Latar Belakang
Manajemen insiden dan masalah adalah proses yang terpisah, walaupun mereka berkaitan
secara erat.
8.2
Manajemen Insiden
Tujuan : untuk mengembalikan layanan yang dijanjikan untuk bisnis secepat mungkin atau
untuk menanggapi permintaan layanan.
Seluruh insiden harus direkam. Prosedur harus dipakai untuk mengelola dampak insiden.
Prosedur harus menetapkan perekaman, urutan prioritas, dampak bisnis, klasifikasi,
pemutakhiran data, perluasan, pemecahan dan penutupan seluruh insiden secara formal.
Pelanggan harus tetap diberikan informasi kemajuan dari insiden yang dilaporkan atau
permintaan layanan oleh mereka dan diberikan peringatan awal jika tingkat layanan mereka
tidak sesuai dan sebuah tindakan disetujui.
Seluruh pegawai yang dilibatkan dalam manajemen insiden harus mempunyai akses pada
informasi yang terkait seperti kesalahan yang diketahui, pemecahan masalah dan
Basis Data Manajemen Konfigurasi (BDMK).
Insiden besar harus diklasifikasikan dan diatur berdasarkan pada sebuah proses
8.3 Manajemen Masalah
Tujuan : Untuk meminimalkan gangguan pada bisnis dengan mengenali dan menganalisis
secara proaktif akibat insiden dan dengan mengatasi masalah hingga selesai.Seluruh
masalah yang diidentifikasi harus direkam.
Prosedur harus dipakai untuk mengenali, meminimalkan atau menghindari dampak insiden
dan masalah. Prosedur harus menetapkan rekaman, klasifikasi, pemutakhiran data,
perluasan, pemecahan dan penutupan seluruh masalah.
Tindakan pencegahan harus diambil untuk mengurangi masalah potensial seperti mengikuti
analisis gejala tipe dan volume insiden.
Perubahan yang diperlukan dalam rangka memperbaiki akibat pokok masalah harus diberikan
pada proses manajemen perubahan. Pemecahan masalah harus diawasi, dimonitor, dan
dilaporkan keefektifannya.
Manajemen masalah harus bertanggung jawab untuk memastikan informasi temutakhir
mengenai kesalahan yang diketahui dan masalah yang sudah diperbaiki tersedia bagi
manajemen insiden.
Tindakan untuk perbaikan dan penyempurnaan yang diidentifikasi selama proses ini harus
direkam dan menjadi masukan dalam sebuah rencana untuk peningkatan layanan.
27 dari 35
Resolution processes
8.1 Background
Incident and problem management are separate processes, although they are closely linked.
8.2 Incident management
Objective: To restore agreed service to the business as soon as possible or to respond to
service requests.
All incidents shall be recorded. Procedures shall be adopted to manage the impact of
incidents. Procedures shall define the recording, prioritization, business impact,
classification, updating, escalation, resolution and formal closure of all incidents.
The customer shall be kept informed of the progress of their reported incident or service
request and alerted in advance if their service levels cannot be met and an action agreed.
All staff involved in incident management shall have access to relevant information such as
known errors, problem resolutions and the configuration management database (CMDB).
Major incidents shall be classified and managed according to a process
8.3 Problem management
Objective: To minimize disruption to the business by proactive identification and analysis of
the cause of incidents and by managing problems to closure.
All identified problems shall be recorded.
Procedures shall be adopted to identify, minimize or avoid the impact of incidents and
problems. They shall define the recording, classification, updating, escalation, resolution and
closure of all problems.
Preventive action shall be taken to reduce potential problems, e.g. following trend analysis of
incident volumes and types.
Changes required in order to correct the underlying cause of problems shall be passed to the
change management process. Problem resolution shall be monitored, reviewed and reported
on for effectiveness.
Problem management shall be responsible for ensuring up-to-date information on known
errors and corrected problems is available to incident management.
Actions for improvement identified during this process shall be recorded and input into a plan
for improving the service
28 dari 35
9
9.1
Proses Kontrol
Manajemen konfigurasi
Tujuan : Untuk menetapkan dan mengendalikan komponen layanan dan infrastruktur dan
menjaga keakuratan informasi konfigurasi.
Harus ada sebuah pendekatan terintegrasi untuk perencanaan dan perubahan manajemen
konfigurasi .
Penyedia layanan harus menetapkan antarmuka untuk proses akuntansi aset keuangan.
CATATAN akuntansi aset keuangan berada di luar ruang lingkup bagian ini
Harus ada sebuah kebijakan tentang apa yang ditetapkan sebagai sebuah jenis barang
konfigurasi dan komponen pokoknya.
Informasi yang direkam untuk tiap jenis barang harus ditentukan dan harus mencakup
hubungan dan dokumentasi yang diperlukan untuk manajemen layanan yang efektif.
Manajemen konfigurasi harus menyediakan mekanisme untuk mengidentifikasi,
mengendalikan, dan mengikuti versi dari komponen yang dapat diidentifikasi dari konfigurasi
layanan dan infrastruktur. Hal ini harus dipastikan bahwa tingkat pengendalian cukup untuk
memenuhi keperluan bisnis, risiko kegagalan dan layanan yang kritis.
Manajemen konfigurasi harus menyediakan informasi untuk proses manajemen perubahan
mengenai dampak sebuah perubahan yang diminta pada konfigurasi layanan dan
infrastruktur.
Perubahan pada jenis barang konfigurasi harus dapat diikuti dan diaudit selama sesuai,
seperti pada perubahan dan pemindahan perangkat lunak dan perangkat keras.
Prosedur kontrol konfigurasi harus memastikan bahwa integritas sistem, layanan dan
komponen layanan dipelihara.
Sebuah ukuran dasar bagi jenis barang konfigurasi yang tepat harus ditetapkan sebelum
penggunaan pada lingkungan yang sebenarnya.
Duplikat induk dari jenis barang kofigurasi digital harus dikendalikan dalam perpustakaan
elektronik atau fisik yang aman dan dirujuk pada rekaman konfigurasi, seperti perangkat
lunak, produk uji, dokumen penunjang.
Seluruh jenis barang konfigurasi harus diidentifikasi secara unik dan direkam dalam BDMK
dimana pemutakhiran akses harus dikendalikan secara ketat.
BDMK harus secara aktif dikelola dan diverifikasi untuk memastikan keandalan dan
keakuratannya. Status jenis barang konfigurasi, versi , lokasi, perubahan dan masalah serta
dokumentasi terkait harus dapat dilihat untuk mereka yang memerlukannya.
Prosedur audit konfigurasi harus mencakup perekaman kekurangan, pengajuan tindakan
perbaikan, dan pelaporan hasil.
29 dari 35
Control processes
30 dari 35
9.1
Manajemen Perubahan
Tujuan : Untuk memastikan semua perubahan telah dikaji, disetujui, dilaksanakan, dan
ditinjau dalam sebuah cara yang terkendali.
Perubahan layanan dan infrastruktur harus mempunyai ruang lingkup yang terdokumentasi
dan ditetapkan secara jelas.
Semua permintaan untuk perubahan harus direkam dan diklasifikasikan, seperti penting,
darurat, besar, kecil. Permintaan untuk perubahan harus dinilai berdasarkan risiko, dampak
dan keuntungan bisnisnya.
Proses manajemen perubahan harus mencakup aturan dimana perubahan harus dapat
dikembalikan seperti semula atau diperbaiki jika tidak berhasil.
Perubahan harus disetujui dan kemudian diperiksa, dan harus dilaksanakan dalam sebuah
cara yang terkontrol.
Semua perubahan harus ditinjau keberhasilannya dan tiap tindakan yang diambil setelah
dilaksanakan.
Harus ada kebijakan dan prosedur untuk mengendalikan otorisasi dan pelaksanaan
perubahan darurat.
Waktu pelaksanaan perubahan yang dijadwalkan harus digunakan sebgai dasar untuk
perubahan dan penjadwalan rilis.
Sebuah jadwal yang berisikan detail seluruh perubahan yang disetujui untuk pelaksanaan
dan waktu pelaksanaan yang diusulkan harus dipelihara dan dikomunikasikan pada pihak
terkait.
Rekaman perubahan harus dianalisa secara reguler untuk mendeteksi kenaikan tingkat
perubahan, tipe perubahan yang sering terjadi, kecenderungan yang berkembang dan
informasi lain yang terkait. Hasil dan kesimpulan yang diambil dari analisis perubahan harus
direkam.
Tindakan untuk penyempurnaan diidentifikasi dari manajemen perubahan harus direkam dan
menjadi masukan ke dalam sebuah rencana untuk peningkatan layanan.
31 dari 35
9.1
Change management
Objective: To ensure all changes are assessed, approved, implemented and reviewed in a
controlled manner.
Service and infrastructure changes shall have a clearly defined and documented scope.
All requests for change shall be recorded and classified, e.g. urgent, emergency, major,
minor. Requests for changes shall be assessed for their risk, impact and business benefit.
The change management process shall include the manner in which the change shall be
reversed orremedied if unsuccessful.
Changes shall be approved and then checked, and shall be implemented in a controlled
manner.
All changes shall be reviewed for success and any actions taken after implementation.
There shall be policies and procedures to control the authorization and implementation of
emergency changes.
The scheduled implementation dates of changes shall be used as the basis for change and
release scheduling.
A schedule that contains details of all the changes approved for implementation and their
proposed implementation dates shall be maintained and communicated to relevant parties.
Change records shall be analysed regularly to detect increasing levels of changes, frequently
recurring types, emerging trends and other relevant information. The results and conclusions
drawn from change analysis shall be recorded.
Actions for improvement identified from change management shall be recorded and input
into a plan for improving the service.
32 dari 35
10
Proses Rilis
Kebijakan rilis yang menyatakan frekuensi dan tipe rilis harus didokumentasikan dan
disetujui. Penyedia layanan harus merencanakan dengan pihak bisnis mengenai rilis
layanan, sistem, perangkat lunak dan perangkat keras.
Rencana tentang bagaimana mengeluarkan rilis harus disetujui dan disahkan oleh seluruh
pihak terkait, seperti pelanggan, pengguna, pegawai pelaksana dan penunjang.
Proses harus mencakup cara dimana rilis harus dapat dikembalikan seperti semula atau
diperbaiki jika tidak berhasil.
Rencana harus merekam waktu rilis dan penyampaian dan merujuk pada permintaan
perubahan, kesalahan yang diketahui, dan masalah terkait. Proses manajemen rilis harus
memberikan informasi yang sesuai kepada proses manajemen insiden.
Permintaan perubahan harus dikaji berdasarkan dampaknya pada rencana rilis. Prosedur
manajemen rilis harus mencakup pemutakhiran dan perubahan informasi konfigurasi dan
rekaman perubahan.
Rilis darurat harus dikelola sesuai dengan sebuah proses yang ditetapkan yang
berantarmuka dengan proses manajemen perubahan darurat.
Lingkungan uji penerimaan terkontrol harus diciptakan untuk membuat dan menguji seluruh
rilis sebelum didistribusikan.
Rilis dan distribusi harus didesain dan dilaksanakan sehingga integritas perangkat keras dan
perangkat lunak terpelihara selama instalasi, penanganan, pengemasan dan penyampaian.
Keberhasilan dan kegagalan rilis harus diukur. Pengukuran harus termasuk insiden yang
terkait dengan sebuah rilis dalam periode yang mengikuti sebuah rilis.
Analisis harus mencakup pengkajian dampak pada bisnis, operasional TI dan sumber daya
pegawai penunjang, dan harus menyediakan masukan untuk sebuah rencana peningkatan
layanan.
33 dari 35
10
10.1
Release process
Release management process
Objective: To deliver, distribute and track one or more changes in a release into the live
environment.
NOTE The release management process should be integrated with the configuration and
change management processes.
The release policy stating the frequency
and type of releases shall be documented and agreed. The service provider shall plan with
the business the release of services, systems, software and hardware.
Plans on how to roll out the release shall be agreed and authorized by all relevant parties,
e.g. customers, users, operations and support staff.
The process shall include the manner in which the release shall be reversed or remedied if
unsuccessful.
Plans shall record the release dates and deliverables and refer to related change requests,
known errors and problems.
The release management process shall pass suitable information to the incident
management process.
Requests for change shall be assessed for their impact on release plans. Release
management procedures shall include the updating and changing of configuration
information and change records.
Emergency releases shall be managed according to a defined process that interfaces to the
emergency change management process.
A controlled acceptance test environment shall be established to build and test all releases
prior to distribution.
Release and distribution shall be designed and implemented so that the integrity of hardware
and software is maintained during installation, handling, packaging and delivery.
Success and failure of releases shall be measured. Measurements shall include incidents
related to a release in the period following a release.
Analysis shall include assessment of the impact on the business, IT operations and support
staff resources, and shall provide input to a plan for improving the service
34 dari 35
Bibliografi
35 dari 35