Professional Documents
Culture Documents
Surat Keputusan Dirjen Penguatan Riset dan Pengembangan Ristek Dikti No. 10/E/KPT/2019
masa berlaku mulai Vol. 1 No. 1 tahun 2017 s.d Vol. 5 No. 3 tahun 2021
JURNAL RESTI
(Rekayasa Sistem dan Teknologi Informasi)
Vol. 3 No. 2 (2019) 148 - 155 ISSN Media Elektronik: 2580-0760
Abstract
Ananda Purwokerto Hospital already has system such as hospital information system (SIRUS), website and
mobile application. but in the process of using information technology there are still many obstacles and
prevention of problems that have not been well documented resulting in losses. This research is about design
business continuity plan that functions to maintain the business continuity of the company so that it continues to
run when information technology in the company is disrupted, where this study uses the 22301 international
standard organization framework. This standard will greatly help the company in the process of develop
business continuity plan with an identification methodology and analysis of the use information technology and
the risks that will arise in the company. The evaluation results have not yet implemented the overall business
continuity plan and many employees have not yet realized the importance of business continuity plan in the use
of information technology. From the analysis, it turns out that there is no business continuity plan process
implemented so that business continuity plan is designed that refers to international standard organization
22301, cluase 4: context of organization, cluase 5: leadership, cluase 6: planning, clause 7: support.
Keywords: International Standard Organization22301, Information Technology
Abstrak
Rumah Sakit Ananda Purwokerto sudah memiliki sistem seperti sistem informasi rumah sakit (SIRUS), website
dan aplikasi mobile. namun dalam proses penggunaan teknologi informasi tersebut masih banyak kendala dan
pencegahan masalah belum terdokumentasi dengan baik sehingga mengakibatkan kerugian. Penelitian ini
tentang perancangan business continuity plan yang berfungsi untuk menjaga keberlangsungan bisnis perusahaan
agar terus berjalan pada saat teknologi informasi pada perusahaan mengalami gangguan, dimana penelitian ini
menggunakan framework international standard organization 22301. International standard organization
22301 merupakan sebuah standar internasional untuk mengatur manajemen kontinuitas bisnis. Standar ini akan
sangat membantu perusahaan dalam proses pengembangan rencana kesinambungan bisnis dengan metodologi
identifikasi dan analisa terhadap penggunaan teknologi informasi serta risiko yang akan muncul pada
perusahaan. Hasil evaluasi ternyata belum menerapkan busines scontinuity plan secara keseluruhan dan banyak
karyawan yang belum menyadari pentingnya sebuah business continuity plan dalam penggunaan teknologi
informasi. Dari hasil analisa ternyata belum terdapat proses business continuity plan yang diterapkan sehingga
dibuat sebuah perancangan business continuity plan yang mengacu pada international standard organization
22301 yaitu cluase 4 : context of the organization,cluase 5 : leadership, cluase 6 : planning, clause 7 : support.
Kata kunci: International Standard Organization 22301, Teknologi Informasi.
© 2019 Jurnal RESTI
Jurnal RESTI (Rekayasa Sistem dan Teknologi Informasi) Vol. 3 No. 2 (2019)148 – 155
149
Ito Setiawan, Retno Waluyo, Wahyu Aji Pambudi
Jurnal RESTI (Rekayasa Sistem dan Teknologi Informasi) Vol. 3 No. 2 (2019) 148 - 155
a. Rumusan Masalah
Rumusan masalah diperoleh dari proses studi Kesimpulan dan Perancangan Testing
Saran BCP dan DRP
kepustakaan seperti buku, jurnal, prosiding dan website
sedangkan studi lapangan dilakukan untuk memperoleh Gambar 1. Kerangka Pikir
permasalahan yang ada ditempat penelitian seperti
melakukan, wawancara, dokumentasi dan penyebaran 2.3 Metode Pengumpulan Data
kuesioner. Output dari proses ini adalah permasalahan
perusahaan, rumusan masalah, tujuan dan manfaat a. Studi Kepustakaan
penelitian, ruang lingkup, serta hasil literature review.. Studi kepustakaan berhubungan dengan kajian
teoritis dan referensi lain yang berkaitan dengan
b. Analisis Penelitian nilai, budaya dan norma yang berkembang kondisi
Proses dari analisis penelitian akan berfokus pada sosial yang diteliti[16]. Peneliti pencari referensi
bagian rancangan dari business continuity plan dan diperpustakaan dan jurnal-jurnal ilmiah terkait
disaster recovery plan terkait teknologi informasi yang dengan tema penelitian.
digunakan. hasil dari proses analisis penelitian ini yaitu b. Studi Lapangan
suatu gambaran kerangka kerja yang nantinya akan Studi lapangan dilakukan untuk mendapatkan data
dijadikan acuan dalam melakukan penelitian. mengenai semua hal yang terkait dengan tempat
penelitian. Studi ini digunakan beberapa metode
c. Kajian dan Evaluasi yaitu:
Proses dari kajian dan evaluasi akan menganalisis profil wawancara
perusahaan, struktur organisasi, proses bisnis Percakapan dengan maksud tertentu, percakapan itu
perusahaan, aset-aset TI perusahaan, infrastuktur dilakukan oleh dua belah pihak[17]. Wawancara
teknologi informasi perusahaan, topologi aplikasi yang dilakukan terhadap kepala IT dan pengguna
dimiliki, permasalahan yang pernah dialami oleh teknologi.
perusahaan. Output dari proses ini adalah identifikasi
risiko, rancangan BCP dan DRP. Dokumentasi
Metode pengumpulan data kualitatif sejumlah fakta
d. Kesimpulan dan Saran dan data tersimpan dalam bahan yang berbentuk
Proses kesimpulan adalah proses mengambil inti dari dokumen[18]. Dokumentasi yang diperoleh seperti
kajian dan evaluasi yang telah dilakukan sedangkan SOP penggunaan teknologi dan aset lainya.
proses saran adalah memberikan masukan dari hasil Kuesioner
temuan yang diperoleh dari kajian dan evaluasi. Teknik pengumpulan data yang dilakukan dengan
cara memberikan seperangkat pertanyaan atau
2.2 Kerangka pikir penelitian pernyataan kepada orang lain yang dijadikan
Penelitian ini akan merancang sebuah business responden untuk dijawab[19]. Kuesioner diberikan
continuity plan dan disaster recovery plan yang secara kepada pengguna teknologi dan kepala IT.
garis besar penelitian menggunakan lima tahap yaitu Pembuatan indikator kuesioner mengacu pada
pengumpulan permasalahan, pengumpulan data PDCA (Plan, Do, Check dan Act) standar ISO
pendukung, melakukan idenfikasi risiko, merancang 22301[20].
business continuity plan dan merancang disaster
recovery plan serta memberikan rekomendasi kepada 2.4 Metode analisis Penelitian
rumah sakit ananda purwokerto. Gambaran kerangka
pikir dapat dilihat pada gambar 1. Kelebihan framework ISO 22301 dalam melakukan
perancangan business continuity plan terdapat siklus
Analisis Kondisi dan Tujuan dan Manfaat agar perusahaan mampu meningkatkan secara continue
permasalahan yang ingin dicapai dalam melakukan proses membuat BCP dan DRP di
perusahaan, peningkatan secara continue tersebut
Pemetaan BCP Ruang lingkup merupakan hasil dari siklus yang terdapat pada ISO
dengan ISO 22301 Penelitian 22301 yaitu PDCA (Plan, Do, Check dan Act)[20].
Siklus ini dapat dilihat pada gambar 2.
Identifikasi Risiko Analisis Risiko
Penggunaan TI penggunaan TI Di International Standard Organization 22301 terdapat
10 klausal tetapi klausul yang akan dilakukan dalam
Perancangan Mitigasi Risiko penelitian ini mulai dari klausul 4 sampai dengan
Business Impact klausal 7. Klausal 10 tersebut yaitu:
Analisys
Peran dan Tugas Perancangan BCP
Manajemen dan DRP
Jurnal RESTI (Rekayasa Sistem dan Teknologi Informasi) Vol. 3 No. 2 (2019)148 – 155
150
Ito Setiawan, Retno Waluyo, Wahyu Aji Pambudi
Jurnal RESTI (Rekayasa Sistem dan Teknologi Informasi) Vol. 3 No. 2 (2019) 148 - 155
klausal 4: Kontek organisasi sumber daya manusia (SDM) yang proses BCP
klausal 5: Kepemimpinan diperlukan untuk proses BCP?
Apakah RS telah Mengkomunikasikan plan Belum ada
klausal 6: Perencanaan pentingnya manajemen kelangsungan proses BCP
klausal 7: Dukungan bisnis yang efektif?
klausal 8: Operasional Apakah RS telah memastikan bahwa plan Belum ada
klausal 9: Evaluasi kinerja BCP mencapai hasil yang diharapkan? proses BCP
klausal 10: Perbaikan berkelanjutan Apakah RS telah mendukung plan Belum ada
perbaikan secara continue dan proses BCP
Dalam kaitan dengan model PDCA (Plan–Do–Check– mengarahkan hal yang berhubungan
Act), maka: dalam Plan terdiri dari klausal 4, klausal 5, dengan BCP?
klausal 6, dan klausal 7, dalam Do terdiri dari klausal 8, Apakah RS telah mengkomunikasikan plan Belum ada
dalam Check terdiri dari klausal 9, dalam Act terdiri dan menetapkan kebijakan proses BCP
kelangsungan bisnis?
dari klausal 10. Apakah RS telah memastikan rencana plan Belum ada
dan tujuan BCP yang ditetapkan? proses BCP
Clause 6.Planning (perancanaan)
Apakah panduan untuk BCP yang ada plan Belum ada
sekarang memperhitungkan layanan proses BCP
yang dapat diterima oleh organisasi
untuk mencapai tujuannya?
Apakah panduan untuk BCP yang ada plan Belum ada
sekarang Konsisten dengan kebijakan proses BCP
kelangsungan bisnis?
Apakah panduan untuk BCP yang ada plan Belum ada
sekarang dipantau dan diperbarui proses BCP
sesuai dengan perkembangan yang
ada?
Apakah panduan untuk BCP yang plan Belum ada
ada sekarang dapat diukur? proses BCP
Clause 7. Support (dukungan)
Apakah Pengelolaan BCP plan Belum ada
menggunakan SDM yang tepat? BCP
Gambar 2. PDCA Model ISO 22301[10] Apakah staf mendukung adanya plan Mendukung
penerapan BCP di RS?
3. Hasil dan Pembahasan Clause 8. Operation (operasional)
Apakah RS sudah melakukan do Belum
Hasil pemetaan menggunakan ISO 22301 terhadap Business Impact Analysis? adanya BIA
business continuity plan dan disaster recovery plan Apakah RS sudah melakukan Risk do Belum
Assessment? adanya RA
pada rumah sakit ananda purwokerto terkait kondisi
teknologi informasi saat ini, hasil pemetaan yang Apakah RS sudah melakukan do Belum
Business Continuity Strategy? adanya BCS
sudah dilakukan dapat dilihat pada tabel 1.
Apakah RS sudah melakukan do Belum
Tabel 1. Pemetaan BCP di Rumah Sakit Ananda Purwokerto Business Continuity Procedures? adanya BCP
Clause 9. Performance Evaluation (evaluasi kinerja)
Siklus
ISO 22301 PDCA Keterangan Apakah RS telah melakukan check Belum ada
pemantauan kebijakan kelangsungan proses BCP
Clause 4.Context of the organization (konteks organisasi)
bisnis organisasi?
Apakah RS telah melakukan plan Belum ada
identifikasi terkait fungsi, kegiatan proses yang Apakah RS telah melindungi kegiatan check Belum ada
organisasi, kemitraan, layanan, menyeluruh yang diprioritaskan dan menilai proses BCP
hubungan dengan pihak yang kinerja prosedur dengan baik?
berkepentingan? Apakah kegiatan pemantauan bukti check Belum ada
Apakah RS telah melakukan plan Sudah sejarah kinerja kekurangan BCP dan proses BCP
identifikasi tentang hubungan antara memiliki melakukan audit internal pada waktu
tujuan organisasi, kebijakan kebijakan yang terencana?
kelangsungan bisnis, strategi Apakah RS memantau tujuan check Belum ada
manajemen dan kebijakan lainnya? kelangsungan usaha dan kepatuhan proses BCP
Apakah RS telah melakukan plan Sudah dengan standar?
identifikasi harapan dan kebutuhan melakukan
Apakah RS mengevaluasi semua check Belum ada
dari pihak yang terlibat? identifikasi
kegiatan BCP pada waktu yang proses BCP
Apakah RS sudah menaati peraturan, plan Sudah
direncanakan?
persyaratan, hukum yang berlaku? melakukan
Clause 10. Improvement (perbaikan berkelanjutan)
Clause 5.Leardership (kepemimpinan)
Apakah RS melakukan tindakan yang act Belum ada
Apakah RS telah memastikan BCP plan Belum ada
di rekomendasi dari evaluasi yang proses BCP
kompatibel dengan arah strategis RS? proses BCP
dilakukan?
Apakah RS telah mengintegrasikan plan Belum ada
Apakah RS melakukan kontrol serta act Belum ada
persyaratan BCP kedalam proses proses BCP
peningkatan proses keamanan dari proses BCP
bisnis organisasi?
hasil evaluasi yang dlakukan?
Apakah RS telah menyediakan plan Belum ada
Jurnal RESTI (Rekayasa Sistem dan Teknologi Informasi) Vol. 3 No. 2 (2019)148 – 155
151
Ito Setiawan, Retno Waluyo, Wahyu Aji Pambudi
Jurnal RESTI (Rekayasa Sistem dan Teknologi Informasi) Vol. 3 No. 2 (2019) 148 - 155
Dari hasil pemetaan diatas maka perancangan business Berdasarkan aset yang dimiliki rumah sakit diatas
continuity plan dan disaster recovery plan pada rumah berikut adalah ancaman yang mungkin terjadi dan
sakit ananda purwokerto adalah sebagai berikut: mengancam keberlangsungan dari rumah sakit ananda
purwokerto, dimana ancaman tersebut antara lain, lihat
1. Cluase 4 : Context of the Organization
tabel 3:
Tahap clause 4 ini akan berfokus pada proses
mengindentifikasi aset dan ancaman terhadap teknologi Tabel 3. Ancaman terhadap Aset TI
informasi yang ada pada rumah sakit ananda Kategori Contoh
purwokerto yang mana proses identifikasi aset yang Keandalan kegagalan fungsi server, Kegagalan
dimiliki dan ancaman yang mungkin terjadi digunakan fungsi software dan hardware,
untuk mendukung proses manajemen risiko. Tahap Aplikasi Error, kegagalan komunikasi
data dan Ketidaktersediaan SDM.
mengidentifikasi aset dan ancaman untuk menentukan Gangguan Lokal Kerusuhan, Kebakaran, Pencurian,
masalah eksternal dan internal yang relevan dengan Mati Listrik.
tujuan dan yang mempengaruhi kemampuannya untuk Bencana Luas Badai, Wabah Penyakit, Gempa Bumi,
mencapai hasil yang diharapkan dari business Banjir, Tsunami
Perusak Sistem Virus, malware
continuity management system (BCMS). Berdasarkan
Vendor Jaringan down, Kontrak habis, server
portofolio berikut adalah hasil identifikasi risiko down
terhadap aset terkait teknologi informasi yang dimiliki
oleh rumah sakit ananda purwokerto antara lain: Berdasarkan aset dan ancaman yang telah disebutkan
Tabel 2. Identifikasi Risiko Aset Terkait TI selanjutnya adalah mengidentifikasi risiko terhadap aset
dan ancaman tersebut dengan memperhatikan aspek
Kategori Sub kategori Contoh aset
aset integrity, availability dan confidentiality. Setelah
People Head Pimpinan melakukan identifikasi risiko berdasarkan aset
Supervisior Kepala Bagian. teknologi informasi yang dimiliki oleh rumah sakit
Staff staf ananda purwokerto selanjutnya dilakukan analisis
Operation System Windows, Linux risiko yang bertujuan untuk mengetahui level risiko
MS Office
Visual Studio
dari tiap-tiap risiko yang telah diidentifikasi. Penentuan
Office Application level risiko adalah sebagai berikut:
Visual Basic
SQL dan MYSQL
Si Pelayanan
a. Nilai 7-9 masuk kedalam level high.
SI Antrian b. Nilai 3-6 masuk kedalam level medium.
Software SI Daftar Online c. Nilai 1-2 masuk kedalam level low.
Business Aplication Fingerprint
SI Rekam Medis Dari hasil identifikasi risiko yang dilakuakan oleh
SI ECO Jantung rumah sakit ananda purwokerto yang masuk aset kritis
SI USG 4D atau aset yang memiliki level risiko tinggi ada 6 aset, 6
Email aset tersebut antara lain:
Support Application Data Management
Instant Messaging Tabel 4. Risk Level High
PC PC Operasional
Notebook Laptop, Netbook Sub Kategori Nilai
Server 8
Hardware Jaringan VPN, Router, Switch, Hub
Jaringan Internet 7
Keamanan Firewall
Data Softcopy 7
Server Server Production
Business Aplication 7
Genset
Kelistrikan Office Aplication 7
UPS
Pimpinan 8
CCTV
APAR
Keamanan sistem Hasil dari identifikasi risiko, aset yang memiliki level
Evacuation Sign
Emergency exit door lamp risiko menengah terdapat sebanyak 5 aset, 5 aset
Utiliy
Water Leakage tersebut antara lain:
Detector
Water Cooling Tabel 5. Risk Level Medium
Panel
Pendukung Sub Kategori nilai
Air Cooling
Kepala Bagian 5
Cooling Tower
Operation System 5
Hygrometer
Komputer 4
Termometer dll
Kelistrikan 5
Softcopy Data Pasien
Data Keamanan Sistem 5
Hardcopy Data Karyawan
Perawatan IS Vendor
Pelayanan Hasil dari identifikasi risiko, aset yang memiliki level
Pekerja Outsourcing Personal Vendor
Vendor
Koneksi Internet ISP Vendor risiko rendah sebanyak 7 aset yang mana aset tersebut
antara lain, lihat tabel 6:
Jurnal RESTI (Rekayasa Sistem dan Teknologi Informasi) Vol. 3 No. 2 (2019)148 – 155
152
Ito Setiawan, Retno Waluyo, Wahyu Aji Pambudi
Jurnal RESTI (Rekayasa Sistem dan Teknologi Informasi) Vol. 3 No. 2 (2019) 148 - 155
Tabel 6. Risk Level Low telah di rencanakan. Perancangan dari klausul tersebut
Sub Kategori nilai adalah sebagai berikut:
Staf IT 1 a. Dewan pimpinan sebagai pengambil keputusan
Support Application 2 utama dalam manajemen rumah sakit
Notebook 1 b. Memastikan BCP dan DRP selaras dengan arah
Keamanan Firewall 1
strategis organisasi kedepan.
Pendukung 2
Data Hardcopy 1 c. Mengintegrasikan persyaratan business continuity
Pelayanan Vendor 2 plan kedalam proses bisnis organisasi
d. Menyiapkan sumber daya manusia yang dibutuhkan
Dari hasil analisis yang telah lakukan selanjutnya untuk proses business continuity plan
manajemen melakukan sebuah mitigasi risiko. Mitigasi e. Mengkomunikasikan dengan semua bagian tentang
risiko dikelompokan berdasarkan level risiko, pentingnya efektivitas manajemen kelangsungan
pengelompokan level risiko tersebut bertujuan untuk bisnis.
menentukan prioritas mitigasi risiko yang akan f. Memastikan bahwa business continuity plan
dilakukan oleh manajemen rumah sakit. mencapai hasil yang direncanakan.
Mitigasi risiko diprioritaskan pada aset dengan level g. Menetapkan dan mengkomunikasikan kepada
risiko tinggi terlebih dahulu karena aset tersebut bisa seluruh bagian tentang kebijakan kelangsungan
dikatakan sebagai aset kritis yang dimiliki rumah sakit bisnis.
ananda purwokerto. Level risiko tinggi terhadap aset h. Memastikan tugas dan tanggung jawab untuk peran
tersebut apabila terkena risiko akan berdampak besar yang ditugaskan kepada masing masing bagian.
bagi keberlangsungan rumah sakit ananda purwokerto i. Bertanggung jawab terhadap seluruh kegiatan
dan menyebabkan terganggunya kegiatan operasional pengarahan dan pengawasan pengelolaan business
perusahaan. Level yang selanjutnya adalah risk level continuity plan
medium dan dilanjutkan dengan risk level low. j. Menginformasikan status darurat bencana
Selanjutnya adalah proses menyusun business impact berdasarkan analisis oleh tim hasil kajian awal
analysis. Penyusunan proses ini bertujuan untuk dampak dari bencana yang terjadi.
menentukan berapa lama waktu yang dibutuhkan oleh 3. Cluase 6 : Planning
layanan yang ada pada rumah sakit ananda purwokerto
bisa berlangsung kembali normal dalam menjalankan Pada tahap ini hal yang akan dikerjakan adalah prosedur
bisnisnya pada saat bencana atau ancaman melanda. panduan untuk business continuity plan dan disaster
Penyusunan business impact analysis berdasarkan dari recovery plan secara menyeluruh dan perancangan
kebutuhan yang terdapat pada rumah sakit ananda sasaran strategis, perancangan ini bertujuan untuk
purwokerto terkait dengan layanan dan kondisi memastikan kegiatan disaster recovery plan dan
teknologi yang sedang digunakan oleh rumah sakit business continuity plan dapat berjalan sesuai keinginan
ananda purwokerto saat ini. Perancangan business yang telah ditetapkan manajemen berjalan dengan baik.
impact analysis dari layanan-layanan yang ada dapat Perancangan bussines continuity plan procedure
dilihat pada tabel 7. dirancang dengan tujuan mampu menjelaskan
bagaimana proses deaktifasi dan aktifasi bussines
Tabel 7. Business Impact Analysis
continuity plan dan disaster recovery plan tersebut
Layanan RTO RPO MTD dilakukan dengan baik oleh manajemen rumah sakit
Layanan Pemeriksaan 7 5 12 ananda purwokerto. Langkah-langkah Bussines
Layanan Manajemen 8 6 12
continuity plan procedure terlihat pada gambar 3.
Layanan Penunjang 5 4 12
Jurnal RESTI (Rekayasa Sistem dan Teknologi Informasi) Vol. 3 No. 2 (2019)148 – 155
153
Ito Setiawan, Retno Waluyo, Wahyu Aji Pambudi
Jurnal RESTI (Rekayasa Sistem dan Teknologi Informasi) Vol. 3 No. 2 (2019) 148 - 155
Rancangan rencana pelatihan disusun agar proses continuity plan dimana call tree bertujuan untuk
bussines continuity plan bisa berjalan sesuai dengan memudahkan komunikasi pada saat bencana terjadi dan
yang diinginkan, rancangan tersebut mengacu pada setiap tahunnya call tree tersebut harus diperbahuri
business continuity strategy dan bussines continuity untuk mengatisipasi adanya pergantian nomor telepon.
plan procedure. Rencana pelatihan akan dilakukan Tabel 8. Pemetaan Peran Struktur Organisasi BCP
secara periodik satu tahun sekali pada seluruh staf
rumah sakit ananda purwokerto dimana proses pelatihan Bagian Pemetaan Peran
dilakukan kepada para staf rumah sakit dengan BC Steering Commitee Pimpinan RS
BC Coordinator Inpektorat Utama
memberikan sebuah security awareness dan sosialisasi Emergence Respone Team Kebag Umum dan TU
mengenai pentingnya business continuity plan dan Damage Assesment Inpektorat Utama
disaster recovery plan bila terjadi bencana. Team Kabag Umum dan TU
Kabag Pelayanan Non Medis
Rencana pengetesan harus dilakukan oleh manajemen Support Team Kabag Umum dan TU
rumah sakit agar skenario yang sudah dirancang dapat Kabag Kepegawaian
berjalan dengan lancar, selain itu pengetesan dilakukan Kabag Penunjang dan keuangan
Kabag Pelayanan Medis
agar manajemen rumah sakit mampu mengetahui Kabag Keperawatan dan k
lamanya waktu yang diperlukan untuk memastikan Recovery Team Inpektorat Utama
layanan tersebut dapat digunakan kembali secara Kabag Umum dan TU
semestinya. Kabag Pelayanan Non Medis
Jurnal RESTI (Rekayasa Sistem dan Teknologi Informasi) Vol. 3 No. 2 (2019)148 – 155
154
Ito Setiawan, Retno Waluyo, Wahyu Aji Pambudi
Jurnal RESTI (Rekayasa Sistem dan Teknologi Informasi) Vol. 3 No. 2 (2019) 148 - 155
Jurnal RESTI (Rekayasa Sistem dan Teknologi Informasi) Vol. 3 No. 2 (2019)148 – 155
155