BUSINESS CONTINUITY PLAN AND DISASTER RECOVERY
OVERVIEW IS Business continuity planning Auditing business continuity Process Policy Incident management Components Plan test Auditing business continuity
Business Continuity Planning (BCP) BCP/ Disaster Recovery Plan (DRP) bertujuan untuk memungkinkan bisnis terus memberikan layanan, bahkan saat terjadi kegagalan sistem IS BCP berfokus pada layanan SI, yang berkaitan erat dengan keberlangsungan bisnis yang didukungnya Bencana dapat berupa: Bencana alam, mis. Gempa, banjir, tornado, api, dll Kegagalan sistem Insiden dari sisi pengguna, mis. Tidak sengaja menghapus file
BCP Life Cycle
BCP Processes (1) BC Policy BCP Incident Management Dokumen yang disetujui top management yang mendefinisikan lingkup business continuity effort (pada proyek/ program tertentu) dalam organisasi BCP Incident Management
BCP Processes (2) Business Impact Analysis (BIA) Langkah penting dalam BC strategy dan implementasi penanganan resikonya Pertanyaan utama: Apa saja proses bisnis yang ada? Sumber daya informasi apa saja yang terkait dengan proses bisnis utama? Berapa lama waktu yang tersedia untuk recovery informasi tanpa menimbulkan kerugian bisnis? BC Strategy Development Dibangun berdasarkan BIA, analisis kritikalitas, dan strategi recovery yang dipilih. BCP Development Berisi: continuity of operations plan, DRP, business resumption plan Dapat berupa prosedur penanganan recovery SI
BCP Component (NIST)
BCP Processes (3) BC Plan Testing Tes harus dijadwalkan pada waktu yang tidak mengganggu operasional, misalnya pada akhir pekan Tes dilakukan untuk verifikasi kelengkapan dan presisi BCP, evaluasi personel, evaluasi koordinasi tim, mengukur kemampuan dan kapasitas backup site, menilai kapasitas akses rekaman, evaluasi status, serta mengukur performansi secara menyeluruh Hasil tes didokumentasikan dan dianalisis untuk mengetahui keberhasilan BCP dalam mencapai sasaran BCP Monitoring, Maintenance, and Updating Review dilakukan terjadwal untuk mengantisipasi perubahan kebutuhan yang mempengaruhi rencana dan strategi
Auditing business continuity (1) Auditor perlu: Mengetahui dan mengevaluasi BC strategy dan hubungannya dengan sasaran bisnis Mengevaluasi BCP untuk menentukan kelengkapan dan kebaruannya Verifikasi efektivitas BCP, berdasarkan hasil tes sebelumnya oleh tim SI dan end-user Mengevaluasi kemampuan personel untuk merespon situasi darurat secara efektif, berdasarkan prosedur dan pelatihan Memastikan proses penyusunan rencana telah sesuai dan dapat mengatasi revisi periodik dan tidak terjadwal Mengevaluasi apakah BC manuals dan prosedur telah ditulis secara sederhana dan mudah dipahami
Auditing business continuity (2) Auditor perlu me-review: Dokumen terkait (kebijakan, strategi, manual, dll) Aplikasi yang tercakup dalam rencana Tim BC (anggota, kesepakatan, kontak, wawancara) Rencana pengujian (prosedur, pelaksanaan prosedur) Sebagai tambahan: Evaluasi apakah prosedur darurat telah lengkap, tepat, akurat, dan mudah dipahami Identifikasi apakah transaksi harus diinputkan ulang ke sistem pada proses recovery dan terpisah dari transaksi normal Tentukan apakah seluruh tim memiliki prosedur tertulis untuk dilaksanakan pada saat terjadi bencana