Kombinasi ITIL, COBIT, dan ISO / IEC 27002 dalam rangka merancang Kerangka Kerja TI yang Komprehensif di Organisasi

1.     Pengenalan

       Manajemen adalah usaha untuk mengarahkan dan mengendalikan satu kelompok atau lebih atau entitas untuk tujuan mengkoordinasikan dan menyelaraskannya untuk mencapai tujuan khusus. Saat ini Manajemen mencakup beberapa dimensi seperti sumber daya manusia, sumber daya finacial dan sumber daya teknologi. Salah satu bidang manajemen baru adalah manajemen teknologi informasi. Ini adalah kombinasi dari dua cabang studi, teknologi informasi dan manajemen.

       'Teknologi informasi' memiliki beberapa definisi dari perspektif yang berbeda:

Dari perspektif pertama, sistem TI adalah aplikasi dan infrastruktur yang merupakan komponen dari produk yang lebih besar. Mereka memungkinkan atau tertanam dalam proses dan layanan.

       Dari perspektif kedua, TI adalah organisasi dengan kemampuan dan sumber daya yang dimiliki sendiri. Organisasi TI dapat terdiri dari berbagai jenis seperti fungsi bisnis, unit layanan bersama dan unit inti tingkat perusahaan..

Dari perspektif ketiga, TI adalah kategori layanan yang digunakan oleh bisnis. Mereka biasanya aplikasi IT dan infrastruktur yang dikemas dan ditawarkan sebagai layanan oleh organisasi TI internal atau penyedia layanan eksternal. Dalam perspektif ini, biaya TI diperlakukan sebagai biaya bisnis.

       Dari perspektif keempat, TI adalah kategori aset bisnis yang memberikan arus keuntungan bagi pemiliknya, termasuk namun tidak terbatas pada pendapatan, pendapatan dan keuntungan. Dalam perspektif ini, biaya TI diperlakukan sebagai investasi.

       Semua definisi menekankan pentingnya TI dalam organisasi. Oleh karena itu sangat penting untuk mengelola dan mengimplementasikan TI dalam organisasi. Standar yang paling banyak tepat dan banyak digunakan adalah ISO / IEC 27002 dalam keamanan informasi, COBIT, ISO 20000 dan ITIL. Berdasarkan studi sebelumnya, kombinasi terbaik seharusnya antara peletakan ITIL, COBIT dan ISO / IEC17799 bersama-sama. Namun standar ITIL de facto dan standar ISO / IEC 17799 baru saja diperbaharui dan diubah.

2.    ITIL

       ITIL (Information Technology Infrastructure Library) adalah standar de facto yang diperkenalkan dan didistribusikan oleh Office of Government Commerce (OGC) di Inggris dan mencakup semua bagian organisasi TI. Saat ini ITIL adalah pendekatan Manajemen TI yang paling banyak diterima di dunia. Ini memiliki struktur bentuk berulang, multidimensi dan bentuk siklus hidup. ITIL memiliki pendekatan terpadu sesuai standar ISO / IEC 20000 dengan panduan sebagai berikut:

§  Strategi Layanan

       Strategi layanan memberikan panduan bagaimana merancang, mengembangkan dan menerapkan manajemen pelayanan dari perspektif kemampuan organisasi dan aset strategis. Strategi Layanan mencakup bagian-bagian sistem TI: pengembangan pasar, internal dan eksternal, aset layanan, katalog layanan, dan implementasi strategi melalui siklus hidup layanan.

         Strategi Layanan mencakup proses-proses ini:

·         ·         Manajemen keuangan

·         ·         Manajemen Portofolio Pelayanan

·         ·         Manajemen Deman.

§  Desain Layanan

       Ini adalah panduan untuk perancangan dan pengembangan proses pengelolaan layanan dan layanan, mencakup prinsip dan metode desain untuk mengubah sasaran strategis menjadi portofolio layanan dan aset layanan. Meliputi perubahan dan perbaikan yang diperlukan untuk meningkatkan atau mempertahankan nilai bagi pelanggan selama siklus hidup layanan, kelangsungan layanan, pencapaian tingkat layanan dan kesesuaian terhadap standar dan peraturan. Desain Layanan mencakup proses-proses ini:

·         ·         Manajemen Katalog Layanan

·         ·         Manajemen Tingkat Pelayanan

·         ·         Manajemen kapasitas

·         ·         Manajemen Ketersediaan

·         ·         Manajemen Kontinuitas TI

·         ·         Manajemen Pemasok Manajemen Keamanan Informasi, Manajemen Aplikasi

·         ·         Pengelolaan Manajemen Bisnis Data dan Informasi

§  Transisi Layanan

       Ini adalah panduan untuk pengembangan dan peningkatan kemampuan untuk mengubah layanan baru dan perubahan layanan menjadi operasi. Memberikan panduan tentang bagaimana persyaratan Strategi Layanan yang dikodekan dalam Desain Layanan terwujud secara efektif dalam Operasi Servis selagi mengendalikan risiko kegagalan dan gangguan.

         Proses Transisi Layanan adalah:

·         ·         Manajemen Perubahan

·         ·         Aset layanan dan Manajemen Konfigurasi

·         ·         Pelepasan dan penerapan Manajemen

·         ·         Manajemen Pengetahuan

·         ·         Manajemen pemangku kepentingan

·         ·         Perencanaan Transisi

·         ·         Dukungan dan Evaluasi Pelayanan.

§  Operasi Layanan

       Operasi Layanan mencoba menerapkan praktik pengelolaan Operasi Layanan. Ini termasuk panduan untuk mencapai efektivitas dan efisiensi dalam pengiriman dan dukungan layanan sehingga menjamin nilai bagi pelanggan dan penyedia layanan.

         Prosesnya adalah:

·         ·         Manajemen Acara

·         ·         Manajemen Insiden

·         ·         Manajemen Permintaan

·         ·         Manajemen Permasalahan

·         ·         Manajemen Akses

§  Perbaikan Layanan Berkelanjutan

Ini termasuk panduan instrumental dalam menciptakan dan mempertahankan nilai bagi pelanggan melalui disain, pengenalan dan pengoperasian layanan yang lebih baik. Ini menggabungkan prinsip, praktik dan metode dari manajemen mutu, Manajemen Perubahan dan peningkatan kemampuan.

Prosesnya adalah:

·         ·         Proses Peningkatan 7 Langkah

·         ·         Manajemen Tingkat Pelayanan

3.     COBIT

          The Control Objectives for Information and related Technology (COBIT) adalah seperangkat praktik terbaik (framework) untuk manajemen teknologi informasi yang dibuat oleh Information Systems Audit and Control Association (ISACA), dan IT Governance Institute (ITGI) pada tahun 1992.       

       Dalam edisi terbarunya, COBIT memiliki 34 tujuan tingkat tinggi yang mencakup 215 sasaran pengendalian yang dikategorikan dalam empat domain: Merencanakan dan Mengatur, Memperoleh dan Melaksanakan, Memberikan dan Mendukung, dan Memantau dan Mengevaluasi.

       Misi COBIT adalah untuk meneliti, mengembangkan, mempublikasikan, dan mempromosikan tujuan teknologi informasi terkini yang paling otoritatif dan terkini untuk penggunaan sehari-hari oleh para manajer bisnis dan auditor. COBIT mencakup empat domain:

§  Merencanakan dan Mengatur

       Domain Perencanaan dan Organisasi mencakup penggunaan teknologi dan cara terbaik yang dapat digunakan oleh perusahaan untuk membantu mencapai tujuan dan sasaran perusahaan. Berikut adalah daftar tujuan pengendalian tingkat tinggi untuk domain Perencanaan dan Organisasi.

·         Tentukan Rencana Strategis TI

·         Tentukan Arsitektur Informasi

·         Tentukan Arah Teknologi

·         Tentukan Proses, Organisasi, dan Hubungan TI

·         Kelola Investasi TI

·         Komunikasikan Manajemen Tujuan dan Arah

·         Mengelola Sumber Daya Manusia TI

·         Kelola Kualitas

·         Menilai dan Mengelola Risiko TI

·         Kelola Proyek

§  Memperoleh dan Melaksanakan

       Tujuannya adalah untuk mengidentifikasi persyaratan TI yang mengakuisisi teknologi dan menerapkannya dalam proses bisnis perusahaan saat ini. Berikut adalah daftar tujuan pengendalian tingkat tinggi untuk domain Akuisisi dan Implementasi.

·         Identifikasi Solusi Otomatis

·         Memperoleh dan Memelihara Perangkat Lunak Aplikasi

·         Memperoleh dan Menjaga Infrastruktur Teknologi

·         Aktifkan Operasi dan Penggunaan

·         Pengadaan IT Changes

·         Kelola Perubahan

·         Menginstal dan Mengakreditasi Solusi dan Perubahan

§  Pengiriman dan Dukungan

Domain ini mencoba mengelola layanan pengiriman yang meliputi:

·         Menentukan dan Mengelola Tingkat Layanan

·         Mengelola Layanan Pihak Ketiga

·         Mengelola Kinerja dan Kapasitas

·         Memastikan Layanan Berkelanjutan

·         Memastikan Keamanan Sistem

·         Mengidentifikasi dan Mengalokasikan Biaya

·         Mendidik dan Melatih Pengguna

·         Mengelola Meja Layanan dan Insiden

·         Mengelola Konfigurasi

·         Mengelola Masalah

·         Mengelola Data

·         Mengelola Lingkungan Fisik

·         Mengelola Operasional

§  Pantau dan Evaluasi

       Domain Pemantauan dan Evaluasi membahas strategi perusahaan dalam menilai kebutuhan perusahaan dan apakah sistem TI saat ini masih sesuai dengan tujuan yang dirancang dan pengendalian yang diperlukan untuk mematuhi persyaratan peraturan. Tabel berikut mencantumkan tujuan pengendalian tingkat tinggi untuk domain Pemantauan.

·         Memantau dan Mengevaluasi Proses TI

·         Memantau dan Mengevaluasi Pengendalian Internal

·         Memastikan Kepatuhan Regulasi

·         Menyediakan Tata Kelola TI

4.      ISO/IEC27002

       Ini adalah standar sistem manajemen keamanan informasi (JSMS) yang merupakan kode praktik pengelolaan tujuan keamanan informasi.
Ini mencantumkan tujuan pengendalian securuty dan merekomendasikan serangkaian kontrol keamanan tertentu.

5.     ITIL terkait dengan COBIT

       Kekuatan dalam ITIL adalah bagaimana proses dijelaskan dengan berbagai aktivitas dan flowchart yang akan digunakan untuk implementasi target.
Ketika ITIL mengacu pada COBIT, telah ditemukan bahwa mereka sesuai dengan proses COBIT berbasis ITIL seperti pada versi terbarunya.

Membandingkan ITIL dan COBIT :

ITIL	COBIT
Manajemen Insiden	Mengelola Masalah dan Insiden
Manajemen Masalah	Mengelola Masalah dan Insiden
Manajemen Rilis	Kelola Perubahan Tingkat Layanan
Manajemen Tingkat Pelayanan	Tentukan dan Kelola Tingkat Layanan
Manajemen Keuangan untuk Layanan IT	Mengidentifikasi dan Mengalokasikan Biaya
Manajemen Kapasitas	Kelola Kinerja
Service Continuity Manajemen	Pastikan layanan Terus-menerus
Manajemen Ketersediaan	Mengelola kinerja dan kapasitas

6.     ITIL direkonstruksi menjadi ISO ISO / IEC 27002

Seperti telah disebutkan, ISO / IEC 27002 digunakan untuk keamanan informasi dan bukan hanya masalah TI.
Manajemen Masalah dan Manajemen Konfigurasi di ITIL sama sekali tidak setara dengan ISO 27002.

Conclusion

Di setiap organisasi saat ini, layanan TI harus diberikan dengan biaya yang efisien, mengurangi risiko keamanan dan memenuhi persyaratan hukum.
ISO / IEC 27002 dapat bermanfaat bagi target organisasi, Pelaksana harus menggunakan ITIL untuk menentukan strategi, rencana dan proses, menggunakan COBIT untuk matrik

Penyesuaian ITIL dengan COBIT dan ISO / IEC 27002:

ITIL	COBIT	ISO/IEC 27002
Konsep/proses	Faktor Keberhasilan	Keamanan Informasi
Kegiatan	Metrik (CSF,KPI)
Biaya/Manfaat	Benchmarking(CMM)
Merencanakan Implementasi
	Audit