You are on page 1of 13

PEDOMAN TATA KELOLA DAN

MANAJEMEN TEKNOLOGI INFORMASI

UNIVERSITAS TELKOM

BAB I

KETENTUAN UMUM

1. Pengertian Umum
a. Perusahaan yang dimaksud dibawah ini adalah Telkom University
b. Informasi adalah data dalam segala bentuknya (input, output, dan data terproses)
yang digunakan oleh aktivitas bisnis.
c. Information Security Management System (ISMS) adalah pendekatan sistem
manajemen keamanan aset informasi terutama dalam konteks confidentiality
(kerahasiaan), integrity (integritas) dan availability (ketersediaan).
d. Infrastruktur adalah teknologi dan fasilitas (hardware, sistem operasi, database
management system, networking, multimedia, beserta lingkungan yang memfasilitasi
dan mendukungnya) yang memungkinkan pemrosesan aplikasi-aplikasi
e. IT Governance atau Tata Kelola TI adalah kepemimpinan, struktur organisasi, dan
proses untuk memastikan bahwa pengelolaan teknologi informasi berjalan dengan
baik dan mendukung strategi dan tujuan Perusahaan.
f. IT Master Plan (ITMP) atau IT Strategic Plan (ITSP) atau Master Plan TI (MPTI) adalah
Rencana Jangka Panjang (3 s.d. 5 tahun) yang di dalamnya memuat kolaborasi antara
TI dan bisnis dengan mendeskripsikan bagaimana sumber daya TI akan memberi
kontribusi pada sasaran strategis organisasi.
g. IT Service Management System (IT SMS) atau Sistem Manajemen Layanan TI adalah
pendekatan sistem manajemen untuk menyelaraskan bisnis dengan TI melalui
pengaturan kontribusi layanan TI terhadap keberjalanan layanan Bisnis.
h. IT Steering Committee (ITSC) atau Komite Pengarah TI (KPTI) adalah komite gabungan
perwakilan direksi dan manajemen eksekutif disertai dengan tim support/ komite
kerjanya yang membantu pengambilan keputusan strategis TI, prioritisasi dan
pemantauan inisiatif strategis TI, serta clearing house untuk menyelesaikan masalah
strategis TI.
i. Manajemen adalah pejabat struktural dalam organisasi Perusahaan yang memiliki
suatu tugas dan tanggung jawab tertentu.
j. Network atau jaringan adalah kumpulan komputer dan perangkat yang dihubungkan
oleh kanal komunikasi, untuk memfasilitasi hubungan dan memungkinkan berbagi
sumber daya dan informasi di antara perangkat yang terhubung.
k. Divisi Terkait adalah suatu Divisi organisasi Perusahaan yang memiliki dan
bertanggung jawab dalam pengelolaan proses bisnis yang dijalankan melalui suatu
sistem aplikasi sesuai dengan lingkup kerjanya
l. Prosedur adalah suatu rangkaian aktivitas, tugas-tugas, tahapan, keputusan,
perhitungan, dan proses yang bila dilakukan dengan seksama akan memberikan hasil
atau tujuan sesuai dengan yang direncanakan.
m. Proses adalah suatu aktivitas yang terstruktur
n. Quality Assurance atau Jaminan mutu adalah pemantauan dan evaluasi secara
sistematik beberapa aspek dari proyek, produk, atau layanan untuk memastikan
bahwa probabilitas standar minimum kualitas dapat dicapai.
o. Risiko adalah segala kejadian dalam setiap aktivitas yang mungkin timbul karena
faktor ketidakpastian, yang mengandung potensi untuk menghambat pencapaian
tujuan Perusahaan.
p. Risk Management atau manajemen risiko adalah aktivitas terkoordinasi untuk
identifikasi, penilaian, dan penentuan prioritas risiko yang kemudian akan dikelola,
dipantau, dan dikontrol untuk mengurangi dampak dan/ atau kemungkinan terjadinya
risiko tersebut.
q. Service Desk / Help desk adalah titik kontak terpusat (central point of contact) antara
Divisi Pengelola Teknologi Informasi dengan Pelanggan dalam basis operasional
harian.
r. Sistem Informasi (SI) adalah suatu sistem terpadu yang terdiri dari aplikasi/ perangkat
lunak/ software, infrastruktur/ perangkat keras/ hardware, sumber data dan sumber
daya manusia/ brainware, serta prosedur untuk mengumpulkan,
mentransformasikan, dan menyebarkan informasi dalam suatu organisasi.
s. Teknologi Informasi (TI) adalah suatu teknologi yang mencakup perangkat keras
(hardware), perangkat lunak (software), network komunikasi, serta teknik
manajemen sumber data yang membantu mengumpulkan dan mentransformasikan
sumber data menjadi produk informasi serta menyebarkan informasi tersebut ke
pengguna.
t. Three Lines of Defenses (TLOD) adalah best practice pengendalian risiko dengan
menerapkan tiga lapisan pertahanan, pertama adalah risk owner, kedua adalah fungsi
manajemen risiko dan kepatuhan dan ketiga adalah audit internal.
u. Data Analyst adalah posisi di dalam perusahaan yang berperan untuk mengidentifikasi
dan menetapkan kebutuhan data di perusahaan
v. Business Data Stewards adalah orang yang bertanggung jawab terhadap manajemen
dan kesiapan dari elemen data
w. IT Operasional adalah orang yang bertanggung jawab untuk memastikan bahwa
kegiatan operational IT sudah berjalan dengan baik dan dapat memenuhi target yang
telah ditentukan
x. IT Security adalah orang yang bertanggung jawab untuk memastikan bahwa system
informasi yang terdapat di dalam perusahaan berada pada kondisi yang aman dan
tidak dapat di akses oleh pihak lain
y. Database Administrator adalah orang yang bertanggung jawab untuk desain,
pelaksanaan, pemeliharaan dan perbaikan database organisasi.

2. Maksud dan Tujuan


a. Maksud ditetapkannya kebijakan tata kelola data dan manajemen TI ini adalah untuk:
i. Menjalankan kewajiban dewan komisaris dalam memberikan arahan terkait
penerapan tata kelola TI
ii. Memberikan referensi kepada seluruh komponen pelaksana tata kelola data
dan manajemen TI perusahaan dalam menyusun dan menetapkan prosedur
operasional sehingga terjadi keselarasan pada tataran strategis, taktis dan
operasional dalam penyelenggaraan TI Perusahaan.
b. Tujuan ditetapkannya kebijakan tata kelola data dan manajemen TI ini adalah:
i. Tersedianya arahan untuk merealisasikan benefit terhadap pengelolaan data
yang baik serta mengoptimalkan risiko dan sumberdaya TI
ii. Tersedianya pedoman yang dapat menjadi standar dalam melakukan proses
tata kelola data dan manajemen TI.
3. Ruang Lingkup
Kebijakan tata kelola data dan manajemen TI ini dilakukan secara menyeluruh di semua
komponen organisasi perusahaan.

BAB II
KERANGKA KERJA PROSES DAN ORGANISASI

4. Model Referensi Proses Tata Kelola Data dan Manajemen TI


Model referensi proses yang menjadi acuan kebijakan tata kelola data dan manajemen TI ini
adalah standar dan best practice dalam mengelola data dan TI seperti COBIT, dan ISO 27001
yang relevan dengan peraturan tersebut yang didefinisikan berdasarkan keselaeasan dengan
tujuan perusahaan.

5. IT Steering Committee
a. Direksi harus membentuk IT Steering Committee (ITSC) yang bertugas pada beberapa
hal, namun tidak terbatas, sebagai berikut:
i. Review kebijakan tata kelola dan manajemen TI;
ii. Review peran strategis, Master Plan, serta RKAP TI beserta realisasinya;
iii. Review kualitas, kinerja dan kepatuhan TI;
iv. Penentuan prioritasi portofolio program dan proyek TI serta pengambilan
keputusan strategis TI.
b. Keanggotaan ITSC bersifat adhoc yang dipimpin oleh salah satu Direksi,
beranggotakan sebagian Direksi terkait serta pimpinan Divisi di bawah Direksi
Perusahaan.
c. Ketua ITSC adalah Direksi yang membawahi Divisi IT;
d. Wakil Ketua ITSC adalah Direksi yang lainnya;
e. Sekretaris ITSC adalah IT Eksekutive;
f. Anggota ITSC adalah seluruh Kepala Divisi.
g. ITSC perlu melaksanakan rapat minimal 3 bulan sekali dan dibantu persiapannya oleh
tim teknis di bawah koordinasi masing-masing anggota ITSC.
h. Pengaturan detail mengenai pembentukan, tugas pokok dan fungsi, keanggotaan
serta masa penugasan ITSC perlu ditetapkan oleh Surat Perintah Direktur Utama
tersendiri
6. Organisasi Tata Kelola Teknologi Informasi
a. Struktur organisasi Divisi Sisfo dibentuk atas dasar kebutuhan dukungan bidang-
bidang TI terkait beserta fungsi di dalamnya untuk mendukung pencapaian tujuan
Perusahaan.
b. Fungsi Perencanaan dan Aliansi Bisnis dengan peranan meliputi koordinasi
perencanaan dan pengendalian pelaksanaan inisiatif strategis, anggaran, pengadaan
dan kegiatannya, analisis bisnis serta optimalisasi komunikasi antara TI dengan unit
kerja lain dan pihak ketiga.
c. Fungsi IT Governance dan Quality Assurance dengan peranan meliputi koordinasi
pelaksanaan self-assessment dan monitoring risiko beserta kecukupan kendalinya,
perencanaan dan perancangan kendali yang memadai, termasuk tata kelola data,
serta pelaksanaan aktivitas penjaminan mutu atas proyek dan operasi TI sesuai
dengan internal best practice dan peraturan terkait.
d. Fungsi Operasi DC (Data Center), DRC (Disaster Recovery Center) dan jaringan
komputer dengan peranan meliputi operasi keberjalanan sistem dan fasilitas
pendukung, kesiapan sistem terhadap bencana dalam rangka keberlangsungan bisnis
juga monitoring kinerja aset TI dan pemeliharaannya.
e. Fungsi Database Administrator dengan peranan meliputi perencanaan, perancangan
dan pengembangan basis data, pemeliharaan dan monitoring kinerja, integritas,
kapasitas dan keamanan sistem basis data serta mengelola pengendalian akses dan
kewenangan terhadap data.
f. Fungsi IT Security dengan peranan meliputi perencanaan, perancangan, monitoring
dan pemeliharaan keamanan seluruh sistem TI, baik fisikal maupun logikal, baik
terhadap aset aplikasi, infrastruktur maupun informasi itu sendiri.
g. Fungsi IT Service Desk dan Technical Support dengan peranan sebagai single point of
contact meliputi pengelolaan insiden dan permintaan layanan TI, termasuk
penanganan keluhan dari pengguna maupun notifikasi insiden, memberikan
dukungan teknis terhadapnya lalu pelaksanaan eskalasi horisontal terhadap tim
terkait ataupun vertikal terhadap penanggung jawab di atasnya jika tidak dapat
ditangani oleh tim.
h. Jika salah satu fungsi tersebut di atas perlu dirangkap posisi oleh satu posisi tertentu
karena keterbatasan sumber daya maka perlu mempertimbangkan SOD (Segregation
of Duties) serta menerapkan kendali kompensasi jika memunculkan kelemahan.
i. Tanggung jawab dan kewenangan dalam organisasi TI harus dideskripsikan secara
jelas dalam dokumen deskripsi kerja dengan mempertimbangkan Segregation of
Duties.
j. Perusahaan perlu memiliki fungsi manajemen risiko, kepatuhan dan fungsi audit
internal TI.

7. Pola Pengambilan Keputusan Tata Kelola Data dan Teknologi Informasi.


a. Master Plan TI diajukan oleh Divisi TI, dapat dibantu oleh Pihak Ketiga yang relevan,
dikonsultasikan kepada Divisi Terkait dalam konteks perencanaan bersama, di-review
oleh ITSC, ditetapkan oleh Direksi.
b. Rencana Kerja dan Anggaran (RKA) TI, diajukan oleh Divisi IT, dikonsultasikan kepada
Divisi Terkait, di-review oleh ITSC, dikonsolidasi dengan RKA unit lain, di-review dan
disetujui oleh Direksi dan Komisaris
c. Rencana Pelaksanaan Kegiatan (Renlakgiat) TI diajukan oleh Divisi TI mengacu kepada
RKAP yang telah ditetapkan sebelumnya.
d. Pengembangan Sistem Informasi diusulkan oleh Divisi Terkait dan atau Divisi TI,
dilaksanakan oleh Divisi TI dan/atau pihak ketiga, dilaksanakan dengan keterlibatan
Divisi Terkait terkait, di-review oleh ITSC, didukung langsung oleh Direksi.
e. Implementasi Infrastruktur TI iusulkan oleh Divisi TI, dilaksanakan oleh Divisi TI dan/
atau pihak ketiga.
f. Pengoperasian dan Pelayanan TI dilaksanakan oleh Divisi TI ataupun pihak ketiga yang
terkait, dievaluasi secara berkala kinerjanya oleh ITSC.
g. Tata Kelola TI dilaksanakan berdasarkan best practice Three Line of Defenses (TLOD),
lapisan pertama oleh pemilik risiko/ penanggung jawab proses TI terkait, lapisan
kedua oleh fungsi Risiko dan Kepatuhan Perusahaan, dan terakhir oleh Auditor
Internal TI.
8. Tata Kelola dan Manajemen Teknologi Informasi
a. Penyusunan Kebijakan Tata Kelola dan Manajemen TI dilaksanakan untuk
mendefinisikan kerangka kerja kendali TI yang selaras dengan kendali internal
Perusahaan.
b. Direksi bertanggung jawab untuk menetapkan Kebijakan Tata Kelola dan Manajemen
TI.
c. Seluruh komponen Telkom University wajib menegakkan aturan yang tertera dalam
Kebijakan Tata Kelola dan Manajemen TI secara konsisten.
d. Kebijakan Tata Kelola dan Manajemen TI harus disosialisasikan dan disebarluaskan ke
seluruh Divisi organisasi terkait setelah ditetapkan.
e. Monitoring atas kepatuhan Kebijakan Tata Kelola dan Manajemen TI harus dilakukan
secara periodik setelah kebijakan diimplementasikan.
f. Kebijakan Tata Kelola dan Manajemen TI perlu ditinjau ulang setiap tahun sesuai
dengan perubahan proses bisnis dan kebutuhan Perusahaan atau jika ada perubahan
organisasi yang signifikan.
BAB III

MANAJEMEN RISIKO TI

9. Manajemen Risiko TI
a. Pengelolaan risiko TI harus terintegrasi dan selaras dengan kerangka kerja Enterprise
Risk Management (ERM) Perusahaan, termasuk penyelarasan dengan tingkat risk
appetite dan toleransi risiko Perusahaan.
b. Divisi Sisfo bertanggung jawab untuk mengindentifikasi setiap kejadian, baik
ancaman, kerentanan beserta dampaknya, di lingkungan TI yang dapat menghambat
pencapaian tujuan Perusahaan.
c. Risiko TI prioritas harus dikelola dengan baik untuk selanjutnya digunakan sebagai
dasar pengambilan keputusan pimpinan.
d. Divisi Sisfo bertanggung jawab untuk melaksanakan self assessment risiko TI
berdasarkan kerangka kerja pengelolaan risiko TI yang telah ditetapkan, beserta
penyusunan Risk Treatment Plan (RTP).
e. Fungsi IT Governance dan Quality Assurance TI Perusahaan harus melaksanakan
review hasil self-assessment risiko TI dan RTP untuk memastikan akurasi serta
keselarasannya dengan pendekatan manajemen risiko Perusahaan.
BAB IV

MANAJEMEN SDM TI

10. Manajemen SDM TI


a. Berdasarkan hasil analisis beban kerja, Divisi Sisfo perlu mengidentifikasi kebutuhan
SDM TI dengan menyusun rencana tahunan SDM TI untuk mendukung Divisi
Personalia Perusahaan.
b. Divisi Sisfo perlu mendukung Divisi Personalia dalam melaksanakan rekrutmen,
seleksi dan penerimaan, induksi serta penempatan yang sesuai dengan potensi dan
bakat masingmasing SDM TI.
c. Divisi Sisfo perlu mendukung Divisi Personalia dalam menyusun rencana
pengembangan karir beserta jalur karir yang memadai untuk SDM TI.
d. Divisi Sisfo perlu mendukung Divisi Personalia dalam melaksanakan assessment skill
dan kompetensi SDM TI terkait untuk mengidentifikasi kesenjangan saat ini.
e. Berdasarkan hasil analisis kesenjangan saat ini, Divisi Sisfo perlu menyusun rencana
pelatihan yang memadai untuk menutup kesenjangan yang ada, bekerja sama dengan
Divisi Personalia.
BAB V

MANAJEMEN DATA DAN KEAMANAN INFORMASI

11. Manajemen Data


a. Divisi Sisfo melalui Fungsi IT Governance dan Quality Assurance perlu menyusun/
memperbarui kebijakan, standar dan prosedur terkait Tata Kelola Data yang akan
ditetapkan oleh kewenangan terkait.
b. Perusahaan perlu memilih dan menugaskan perwakilan yang paling relevan sebagai
data owner/pemilik data, data user/ pengguna data, data steward bisnis yang
bertanggung jawab mengenai permasalahan dan perubahan data, serta data steward
TI yang bertanggung jawab meningkatkan kualitas data dan data cleansing/
perbaikan.
c. Fungsi IT Governance dan Quality Assurance perlu berkomunikasi dan mengelola
relasi secara formal dan transparan dengan data steward, baik TI maupun Bisnis,
untuk memahami isu dan harapan terkini serta kesepahaman mengenai persyaratan
data.
d. Fungsi IT Governance dan Quality Assurance perlu memiliki kapabilitas analisis data
untuk melaksanakan data profiling serta menyusun dan merilis laporan indeks mutu
data secara berkala.

12. Manajemen Keamanan Informasi


a. Divisi Sisfo melalui Fungsi Perencanaan dan Aliansi Bisnis serta Fungsi Security
Administrator bersama fungsi-fungsi terkait di dalam maupun luar TI bertanggung
jawab untuk menyusun Information Security Management System (ISMS)/ Sistem
Manajemen Keamanan Informasi (SMKI) yang standar, formal dan berkelanjutan
dengan mengacu kepada model referensi proses yang relevan yaitu ISO 27001.
b. Perusahaan perlu menugaskan 1 orang perwakilan Direksi untuk menempati posisi
adhoc sebagai Chief Information Security Officer (CISO) dengan accountability
terhadap keberjalanan ISMS.
c. ISMS/SMKI perlu meliputi semua aspek yang terkait, namun tidak terbatas kepada,
seperti: kebijakan keamanan, organisasi, SDM, aset, kendali akses, kriptografi, fisik
dan lingkungan, operasi, komunikasi, akuisisi, pengembangan dan pemeliharaan,
relasi pemasok, manajemen insiden serta kepatuhan.
d. Kebijakan keamanan informasi yang lebih rinci perlu disusun dan ditetapkan oleh
surat perintah direksi tersendiri.
e. Berdasarkan kebijakan dan prosedur manajemen risiko yang berlaku, Divisi Sisfo dan
fungsifungsi terkait di luar TI perlu melaksanakan assessment risiko yang akurat
dengan fokus kepada keamanan informasi di dalam ruang lingkup ISMS/SMKI yang
disepakati manajemen.
f. Berdasarkan profil risiko terkini, Divisi Sisfo dan fungsi-fungsi terkait di luar TI perlu
menyusun rancangan ISMS/SMKI yang dapat mengendalikan risiko yang ada, sesuai
dengan risk appetite dan tolerance Perusahaan, serta mengimplementasikan dan
mengoperasikan kendalinya sesuai dengan kebutuhan.
BAB VI

PENUTUP

13. Penutup
a. Dengan diberlakukannya pedoman ini maka pedoman sebelumnya yang
bertentangan dengan ini dinyatakan tidak berlaku lagi.
b. Pedoman ini mulai berlaku sejak tanggal ditetapkan.