Robere &  Associates

enid

Pentingya penyusunan BIA dalam implementasi BCMS

page-title

Business Continuity Management System (BCMS) adalah bagian dari keseluruhan sistem manajemen yang menetapkan, menerapkan, mengoperasikan, memantau, meninjau, memelihara dan meningkatkan kelangsungan bisnis (ISO 22301). Dalam hal ini peningkatan kemampuan Organisasi untuk memastikan keberlangsungan proses dan layanannya pada tingkat yang telah ditentukan apabila terjadi insiden yang disrupsi.

Berdasarakan survey pada 2011 oleh Business Continuity Management (BCM) bahwa 80% Organisasi yang mengalami kondisi disrupsi akan tutup dalam kurun waktu 18 bulan jika tidak memeiliki BCMS yang baik. Merujuk pada ISO 22301 (klausul 8.2) bahwa dalam mengimplementasikan BCM, Organisasi harus melakukan Analisa Dampak Bisnis atau yang sering disebut sebagai Business Impact Analysis (BIA).

BIA adalah kegiatan untuk melakukan identifikasi, analisis, dan menentukan dampak dari tidak beroperasinya satu atau lebih fungsi di Organisasi akibat terjadinya disrupsi dan BIA menjadi salah satu kunci untuk memastikan penerapan BCM dapat dilakukan dengan optimal.

 

Sumber: ISO 22317:2015

Beberapa tahapan dalam mengidentifikasikan dampak dan sensitivitas waktu terhadap sasaran Organisasi dalam implementasi BIA, yaitu:

  1. Identifikasi dampak apabila salah satu proses atau layanan di Organisasi tidak dapat beroperasi secara normal
  2. Menetapkan parameter dan mengukur besarnya dampak yang ditimbulkan dari proses atau layanan di Organisasi tidak berjalan
  3. Menentukan tingkat kritikalitas dampak misalkan dari segi waktu.
  4. Penetapan:
    1. Maximum Tolerable Period of Disruption (MTPD), adalah jangka waktu maksimal yang dapat diterima oleh Organisasi terhadap suatu proses atau layanan yang boleh tidak beroperasi akibat bencana.
    2. Recovery Time Objective (RTO), adalah waktu maksimal yang dapat diterima oleh Organisasi untuk pemulihan.
    3. Recovery Point Objective (RPO) adalah durasi waktu yang dapat diterima oleh Organisasi terhadap data yang hilang.

Dalam menentukan MTPD Organisasi harus mempertimbangkan aspek RTO dan RPO misalkan:

  1. RTO aplikasi XYZ selama 1 jam yang artinya layanan aplikasi XYZ harus hidup kembali dalam waktu 1 jam setelah kejadian disrupsi terjadi, maka Organisasi wajib memastikan sistem dan seluruh perangkat penunjangnya misal redudansi sistem elektrikal, server, dll yang dapat memastikan aplikasi XYZ hidup kembali dapat menunjang waktu yang dibutuhkan.
  2. RPO data aplikasi XYZ selama 24 jam yang artinya data backup aplikasi XYZ tersedia 24 jam terkahir setelah kejadian disrupsi terjadi, maka Organisasi wajib memastikan perangkat pendukung seperti storage, server, dll dapat melaksanakan redudansi data atau back up data dilakukan setiap 24 jam.

Dapat disimpulkan bahwa penentuan MTPD, RTO dan RPO suatu layanan atau proses harus mengedepankan kebutuhan dan harapan pihak berkepentingan serta kemampuan Organisasi dalam memastikan pemenuhan seluruh aspek yang telah ditentukan. Standar internasional ISO 22301 dan 22317 dapat digunakan sebagai referensi penerapan BIA dan BCMS.

 

Aditya Prayogotomo
Consultant at Robere & Associates (Indonesia)

www.robere.co.id