18
MANAJEMEN KEAMANAN INFORMASI DAN MANAJEMEN AKSES
(SD 4.7, SO 4,5)
PENDAHULUAN DAN RUANG LINGKUP
Keamanan data dan informasi sangat penting bagi organisasi manapun dan oleh
karena itu merupakan keputusan bisnis mengenai informasi apa yang harus dilindungi
dan tingkatnya. Pendekatan bisnis terhadap perlindungan dan penggunaan data
harus dimuat dalam kebijakan keamanan dimana setiap orang di dalam organisasi
harus memiliki akses dan konten yang harus diketahui setiap orang. Sistem di
tempat untuk memberlakukan kebijakan keamanan dan memastikan bahwa tujuan
keamanan TI bisnis terpenuhi dikenal sebagai sistem manajemen keamanan
informasi (ISMS). Manajemen keamanan informasi mendukung tata kelola perusahaan
dengan memastikan bahwa risiko keamanan informasi dikelola dengan baik.
Manajemen
keamanan informasi dan manajemen akses adalah proses terpisah di ITIL di
berbagai bagian siklus hidup layanan namun dibahas bersama dalam bab ini karena
tujuan bersama mereka.
MAKSUD
DAN TUJUAN
Kedua
proses, manajemen keamanan informasi dan manajemen akses memiliki tujuan
bersama karena keduanya prihatin dengan memastikan bahwa hanya orang yang tepat
yang bisa melihat informasi, namun manajemen keamanan informasi, yang merupakan
bagian mendasar dari kerangka tata kelola, memiliki banyak Mengirimnya lebih
luas.
Tujuan
dari proses manajemen keamanan informasi adalah memastikannya
Keamanan TI konsisten dengan keamanan bisnis, memastikan informasi tersebut
Keamanan dikelola secara efektif dalam semua aktivitas pengelolaan layanan dan
layanan dan sumber informasi memiliki pengelolaan yang efektif dan benar
digunakan. Ini termasuk identifikasi dan pengelolaan risiko keamanan informasi.
Tujuan
pengelolaan keamanan informasi terutama menjadi focal point bagi pengelolaan
semua kegiatan yang berkaitan dengan keamanan informasi. Ini bukan hanya
tentang melindungi sumber informasi hari ini. Ini tentang menempatkan di
tempat, memelihara dan menerapkan kebijakan keamanan informasi yang efektif.
Ini adalah tentang memahami bagaimana bisnis akan berkembang, mengantisipasi
risiko yang akan dihadapinya, mengartikulasikan bagaimana undang-undang dan
peraturan akan mempengaruhi persyaratan keamanan dan memastikan bahwa manajemen
keamanan informasi dapat menghadapi tantangan masa depan ini.
Manajemen
keamanan informasi memastikan adanya kebijakan keamanan informasi yang efektif
dan diterapkan melalui kontrol keamanan yang terdokumentasi dan terdokumentasi
yang tidak hanya diterapkan pada karyawan internal, tetapi juga kepada pemasok
dan pihak lain yang memiliki bisnis / kontak dengan organisasi. Ini harus
memastikan bahwa setiap pelanggaran keamanan dikelola dengan segera dan
efektif, dan bahwa risiko diidentifikasi dan didokumentasikan dan pelajaran
dipelajari karenanya.
Manajemen akses berkaitan dengan pengelolaan hak akses masyarakat terhadap
informasi, dan karena itu memiliki tujuan bersama tidak hanya dengan manajemen
keamanan informasi, namun juga dengan manajemen ketersediaan, memberikan efek
praktis terhadap kebijakan dan persyaratan kedua proses tersebut. Tujuannya
adalah untuk memastikan kerahasiaan, integritas dan ketersediaan informasi
secara efektif
Dikelola di seluruh organisasi. Data dan informasi tidak hanya harus
Dilindungi dari akses yang tidak sah dan kemungkinan dicuri atau diubah. Ini
juga harus tersedia bagi mereka yang diberi wewenang untuk mengaksesnya.
Bagian penting dari manajemen akses adalah pengelolaan hak-hak masyarakat untuk
mengakses
Informasi dan layanan. Orang yang memiliki hak, dalam hal kebijakan dan
kebutuhan bisnis, untuk mengakses informasi harus memiliki hak yang
diimplementasikan melalui akses
Kontrol. Hak-hak ini harus konsisten dengan undang-undang yang relevan, seperti
undang-undang perlindungan data, dan harus terus dikaji dan diubah atau dicabut
bila status seseorang berubah dalam organisasi, atau bila ada risiko material
diidentifikasi.
CONTOH
Seorang dokter memerlukan akses ke catatan pasien untuk membantu mendiagnosis
kemungkinan penyebab penyakit dan memberikan resep obat yang sesuai, namun
kerahasiaan catatan ini perlu dilindungi terhadap akses oleh pengguna yang
tidak berwenang. Namun, pasien mungkin memiliki hak legal untuk mencadangkan
akses terhadap informasi tertentu kepada individu tertentu
(Misalnya status HIV, aborsi, penyakit jiwa dan sebagainya).
Agar hak akses memiliki efek dan nilai yang benar, manajemen akses harus
memastikan bahwa orang dapat diidentifikasi dengan benar: bahwa setiap orang
memiliki identitas unik dimana hak mereka dapat dilampirkan dan kegiatan,
legitimasi atau lainnya dapat ditelusuri. Manajemen identitas sangat penting
untuk manajemen akses yang efektif, mencegah, misalnya satu orang berpura-pura
menjadi orang lain dan membajak hak mereka untuk mengakses dan mengubah
informasi atau, beberapa orang akan mengatakan lebih penting lagi, untuk
menciptakan informasi baru. Organisasi harus mengambil tindakan untuk mengelola
keadaan di mana kontrol akses dapat dilewati, misalnya di mana pengembang
perangkat lunak memerlukan akses ke sistem live selama manajemen insiden.
CONTOH
Dalam satu organisasi, akses terhadap informasi penggajian sangat dikontrol
ketat, namun pengembang perangkat lunak memperbaiki kesalahan pada bagian
perangkat lunak yang sangat tua
Akses ke semua bagian sistem, dengan kemampuan untuk mengakses, mengubah dan
membuat catatan.
Tujuan
keamanan suatu organisasi biasanya dianggap terpenuhi bila ketersediaan,
kerahasiaan, integritas dan keaslian dan penolakan tidak terkendali. Ini
didefinisikan di bawah ini:
•
Ketersediaan: Informasi dapat diakses dan dapat digunakan bila diperlukan dan
sistem host dapat menahan serangan dan pulih dari atau mencegah kegagalan.
• † "Kerahasiaan: Informasi dicatat atau diungkapkan hanya kepada mereka
yang memiliki hak untuk mengetahui."
Integritas: Informasi lengkap, akurat dan terlindungi dari modifikasi yang
tidak sah.
• † "Keaslian: Keaslian memperhatikan pelabelan atau atribusi informasi
yang benar untuk mencegah, misalnya penggagas email sehingga tampak bahwa email
tersebut berasal dari orang lain. Keaslian adalah tentang memastikan bahwa
transaksi bisnis, serta pertukaran informasi antara perusahaan atau dengan
mitra kerja, dapat dipercaya. "
• † "Non-penolakan: Mekanisme yang mencegah penggagas transaksi salah
menyalahartikan bahwa mereka berasal atau mencegah penerima menolaknya karena
telah menerimanya."
KEBIJAKAN
KEAMANAN INFORMASI
Kebijakan
keamanan informasi harus mendukung dan disesuaikan dengan kebijakan keamanan
bisnis. Ini harus mencakup kebijakan yang mencakup penggunaan aset TI, email,
internet, dokumen penting, akses jarak jauh, akses oleh pihak ketiga (seperti
pemasok) dan pembuangan aset. Selain itu, ia mendefinisikan pendekatan untuk
mengatur ulang kata sandi, menjaga kontrol anti-virus dan mengklasifikasikan
informasi. Kebijakan ini harus tersedia bagi semua pelanggan dan pengguna serta
staf TI, dan kepatuhan terhadap kebijakan harus dirujuk dalam semua perjanjian
internal dan kontrak eksternal. Kebijakan tersebut harus ditinjau dan direvisi
setidaknya setiap tahun.
SISTEM
MANAJEMEN KEAMANAN INFORMASI
Sistem manajemen
keamanan informasi (ISMS - juga disebut sebagai kerangka keamanan) membantu
membangun program keamanan hemat biaya untuk mendukung tujuan bisnis. Gambar
18.1 menunjukkan kerangka contoh yang banyak digunakan dan berdasarkan standar
ISO 27001 yang memberikan lima tahap ISMS dan ruang lingkup masing-masing
tahap.
Tujuan
ISMS adalah untuk memastikan bahwa kontrol, alat dan prosedur yang tepat
ditetapkan untuk mendukung kebijakan keamanan informasi.
MANAJEMEN
AKSES
Manajemen akses adalah proses pengendalian akses terhadap data dan informasi
Untuk memastikan pengguna yang berwenang memiliki akses yang tepat waktu
sekaligus mencegah akses oleh
Gambar
18.1 Kerangka ISMS (Sumber: Kantor Kabinet ITIL Service Design ISBN
978-0-113313-05-1)
Pengguna tidak sah Proses pengelolaan akses mungkin menjadi tanggung jawab
Dari fungsi khusus tapi biasanya dilakukan oleh semua fungsi manajemen teknis
dan aplikasi.
Jika
meja layanan beroperasi sebagai satu-satunya kontak, biasanya harus menerima
permintaan layanan untuk hak akses baru atau yang telah diubah dan mungkin juga
diizinkan oleh pemilik kebijakan keamanan untuk memberikan hak-hak ini.
Biasanya hal ini terjadi ketika orang baru bergabung dengan organisasi atau
pemasok baru terlibat, tetapi mungkin juga terjadi ketika seseorang berpindah
dari satu departemen ke departemen lainnya atau mengubah perannya. Hak akses
harus ditarik saat seseorang meninggalkan organisasi.
Proses
pengelolaan akses harus mencakup pemantauan akses terhadap keamanan
Informasi sehingga jika terjadi insiden terkait keamanan, penyebabnya dapat
ditelusuri dan risiko keamanan yang ditemukan dapat dilepaskan. Pemantauan juga
akan mengidentifikasi upaya akses yang tidak sah dan contoh kesalahan kata
sandi sebagai indikasi kemungkinan ancaman keamanan.
MANAJEMEN
FASILITAS - PENGENDALIAN AKSES FISIK
Manajemen
keamanan informasi mendefinisikan kebijakan pengendalian akses, dan
mengidentifikasi tindakan pengamanan fisik yang diperlukan dan siapa yang harus
memiliki akses ke situs mana (misalnya pusat data). Manajemen fasilitas
bertanggung jawab untuk menegakkan kebijakan ini. Komponen utama kontrol akses
fisik adalah:
•
instalasi, pemeliharaan dan pengelolaan keamanan akses fisik
Kontrol seperti kunci dan penghalang dan peralatan pengawas;
• pemantauan akses fisik ke kawasan lindung;
• staf keamanan fisik;
• pemeliharaan denah lantai yang menunjukkan area akses terbatas dan kontrol
keamanan yang relevan.
Salah satu cara paling umum untuk melanggar keamanan fisik adalah dengan
'rekayasa sosial': istilah yang agak muluk yang biasanya merujuk hanya untuk
berbicara dengan cara Anda ke fasilitas yang aman (misalnya dengan berpose
sebagai kontraktor yang sah, berpose sebagai orang lain atau hanya mengikuti
Orang yang sah melalui pintu yang terbuka). Untuk alasan ini, akses keamanan
tidak hanya dikendalikan dengan tepat namun juga terus dipantau sehingga
pelanggaran tersebut dapat dideteksi dan kontrol keamanan membaik.
HUBUNGAN DENGAN PROSES MANAJEMEN LAYANAN LAINNYA
Untuk satu tingkat atau lain, semua proses lainnya berinteraksi dengan
manajemen keamanan.
Manajemen ketersediaan
Manajemen keamanan informasi dan akses merupakan kontributor utama manajemen
ketersediaan karena tanpa tingkat perlindungan yang tepat, ketersediaan dan
integritas data dan sistem terganggu.
Meja pelayanan
Meja layanan biasanya memiliki wewenang untuk menanggapi permintaan perubahan Untuk mengakses hak
dan password dan karena itu berkontribusi pada pengelolaan keamanan
operasional.
Proses lainnya
Antarmuka proses lainnya adalah dengan:
• manajemen insiden dan masalah (respon terhadap dan resolusi isu-isu terkait
keamanan);
• Manajemen kontinuitas layanan TI (pertimbangan desain dan risiko selama
pengujian);
• manajemen perubahan (penilaian dampak pada kontrol keamanan);
• manajemen konfigurasi (bantuan dengan klasifikasi keamanan untuk CI);
• manajemen kapasitas (saat mengenalkan teknologi baru);
• manajemen pemasok (untuk memastikan pemeliharaan kontrol keamanan untuk
kegiatan operasional yang dilakukan oleh pihak ketiga).
METRICS
Metrik pengelolaan keamanan diperlukan untuk memastikan bahwa organisasi dapat
memenuhi persyaratan keamanan internal dan eksternal yang ditemukan di SLA,
kontrak, undang-undang dan tata kelola. Metrik yang bisa digunakan untuk tujuan
ini meliputi:
•
jumlah insiden terkait keamanan per unit waktu;
• persentase insiden terkait keamanan yang mempengaruhi layanan atau pengguna;
• jumlah masalah audit keamanan dan risiko yang teridentifikasi;
• Persentase masalah dan risiko audit keamanan diselesaikan;
• jumlah perubahan dan rilis mundur karena masalah keamanan;
• waktu rata-rata untuk menginstal patch keamanan.
PERAN
Manajer keamanan TI bertanggung jawab untuk menentukan keamanan informasi
Kebijakan dan pembentukan ISMS. Begitu ada di tempat ini, adalah tugas manajer
keamanan TI untuk memastikan bahwa semua kontrol yang tepat ada, orang-orang
mengetahui kebijakan dan tanggung jawab mereka dan bahwa sistem keamanan
berfungsi dengan benar. Manajer keamanan TI adalah titik fokus untuk semua
masalah keamanan.
Tim operasi layanan bertanggung jawab untuk melakukan kegiatan sehari-hari
untuk mengelola keamanan operasional. Penting agar peran ini tetap terpisah
dari manajemen keamanan untuk mencegah konflik kepentingan. Peran operasi
meliputi:
• pemolisian dan pelaporan;
• memberikan dukungan teknis dan bantuan;
• mengelola kontrol keamanan;
• skrining dan pemeriksaan individu;
• memberikan pelatihan dan kesadaran;
• memastikan bahwa kontrol keamanan dirujuk secara tepat dalam dokumentasi
operasional.
Manajer fasilitas bertanggung jawab atas keamanan fisik di lokasi organisasi
dan fasilitas komputer.
TEST PERTANYAAN UNTUK BAB 18
SD 14, SD 24, SD 25
SO 04, SO 10, SO 16, SO 20
A 18
19. PERENCANAAN DAN DUKUNGAN TRANSISI
(ST 4.1)
PENDAHULUAN DAN RUANG LINGKUP
Mengingat
pentingnya transisi layanan dengan benar ke lingkungan hidup, tidak
mengherankan bahwa salah satu proses utama dalam tahap ini melibatkan
perencanaan semua aktivitas secara menyeluruh dan memastikan bahwa semua sumber
daya yang diperlukan tersedia dan sesuai kebutuhan mereka.
Masukan
kunci untuk perencanaan transisi adalah paket desain layanan, yang berisi semua
rincian yang relevan tentang perubahan tersebut.
Meskipun
tidak bertanggung jawab atas perencanaan aktivitas terperinci dalam perubahan
atau pelepasan individual, perencanaan dan dukungan transisi memiliki cakupan
luas yang mencakup:
•
menetapkan kebijakan, standar dan model untuk kegiatan dan proses transisi layanan;
•
mengawasi kemajuan perubahan besar melalui semua proses transisi layanan;
•
mengkoordinasikan dan memprioritaskan sumber daya untuk memungkinkan banyak
transisi dikelola tanpa konflik;
•
penganggaran untuk persyaratan masa depan untuk transisi layanan;
•
meninjau dan memperbaiki kinerja perencanaan transisi dan kegiatan pendukung;
•
memastikan bahwa transisi layanan dikoordinasikan dengan program dan manajemen
proyek, desain layanan dan pengembangan layanan.
TUJUAN, OBJEKTIF DAN NILAI
Tujuan dari proses ini adalah merencanakan dan mengkoordinasikan
transisi layanan dan sumber daya yang dibutuhkan.
Tujuan perencanaan dan dukungan transisi adalah untuk:
• merencanakan dan mengkoordinasikan sumber daya untuk
memastikan bahwa persyaratan strategis yang dirancang dicapai dalam operasi;
• mengkoordinasikan kegiatan transisi lintas proyek, pemasok dan
tim layanan;
• memastikan layanan baru atau berubah diperkenalkan sesuai
anggaran, tepat waktu dan dengan kualitas yang tepat;
• memastikan bahwa arsitektur baru, teknologi, proses dan metode
pengukuran diterapkan dengan benar;
• memastikan bahwa kerangka umum dari proses yang dapat
digunakan ulang dan sistem pendukung standar diadopsi oleh semua;
• menyediakan rencana yang jelas dan menyeluruh yang memungkinkan
proyek perubahan pelanggan dan bisnis menyesuaikan kegiatan mereka dengan
rencana transisi layanan;
• mengidentifikasi, mengelola dan mengendalikan risiko,
meminimalkan kemungkinan kegagalan dan gangguan dalam kegiatan transisi;
• Melaporkan masalah transisi layanan, risiko dan penyimpangan
kepada pemangku kepentingan dan pengambil keputusan yang tepat;
• memantau dan memperbaiki kinerja kegiatan transisi.
Sebagian besar nilai berasal dari perubahan individu atau
layanan baru yang digunakan. Perencanaan transisi yang efektif memungkinkan
penyedia layanan untuk mendukung perubahan bersamaan dan memastikan koordinasi
kegiatan dan sumber daya yang efisien di banyak proyek dan tim.
KEGIATAN UTAMA
Keluaran dari tahap perancangan layanan adalah paket desain layanan
(service design package / SDP), yang mencakup sebagian besar informasi yang
dibutuhkan oleh tim transisi layanan. Ini termasuk:
• piagam layanan, menjelaskan utilitas dan garansi yang
diharapkan;
• garis besar anggaran dan rentang waktu;
• spesifikasi dan model layanan;
• Desain arsitektur yang dipilih, termasuk kendala yang
diketahui;
• definisi dan desain masing-masing pelepasan;
• bagaimana komponen servis akan dirakit dan diintegrasikan ke
dalam paket pelepasan;
• rencana pengelolaan rilis dan penerapan;
• kriteria penerimaan layanan.
Layanan tahap transisi siklus hidup
Setiap SDP harus menentukan tahapan siklus hidup untuk transisi
layanan ini, dan gerakan melalui itu harus tunduk pada pemeriksaan formal
(sering kali sebagai 'gerbang berkualitas') terhadap kriteria masuk dan keluar
yang ditentukan. Tahapan umum meliputi:
• Mendapatkan dan menguji item konfigurasi baru (configuration
items / CIs) dan komponen;
• uji bangun dan komponen;
• uji pelepasan layanan;
• uji kesiapan operasional layanan;
• penyebaran;
• dukungan awal kehidupan;
• meninjau dan menutup transisi layanan.
Mempersiapkan transisi layanan
Kegiatan persiapan transisi layanan meliputi:
• meninjau dan menerima masukan dari tahap siklus hidup layanan
lainnya;
• meninjau dan memeriksa kiriman masukan (misal: perubahan
proposal, SDP,
Kriteria penerimaan layanan dan laporan evaluasi);
• mengidentifikasi, meningkatkan dan menjadwalkan permintaan
perubahan (requests for change
/ RFCs);
• memeriksa bahwa baseline konfigurasi dicatat dalam sistem
manajemen konfigurasi (configuration management system / CMS)
sebelum dimulainya transisi layanan;
• memeriksa kesiapan transisi
Merencanakan transisi layanan individual
Rencana
transisi layanan menggambarkan tugas dan aktivitas yang diperlukan untuk melepaskan
dan menerapkan pelepasan ke lingkungan pengujian dan produksi, termasuk:
•
lingkungan kerja dan infrastruktur untuk transisi layanan;
•
jadwal tonggak, tanggal penyerahan dan pengiriman;
•
kegiatan dan tugas yang harus dilakukan;
•
kepegawaian, persyaratan sumber daya, anggaran dan rentang waktu pada setiap
tahap;
•
isu dan risiko yang harus dikelola;
•
lead time dan kontinjensi.
Perencanaan terpadu
Perencanaan
dan pengelolaan yang baik sangat penting untuk penyebaran sukses dari pelepasan
ke produksi di lingkungan dan lokasi terdistribusi. Penting untuk
mempertahankan seperangkat rencana transisi terpadu yang terkait dengan rencana
tingkat rendah, seperti rencana pembuatan dan uji coba rilis. Rencana ini harus
diintegrasikan dengan rencana perubahan dan rencana pengelolaan rilis dan
penerapan. Menetapkan rencana kualitas yang baik pada awalnya memungkinkan
transisi layanan untuk mengelola dan mengkoordinasikan sumber daya transisi
layanan (misalnya alokasi sumber daya, pemanfaatan, penganggaran dan
akuntansi).
Meninjau rencana
Semua
rencana harus ditinjau ulang. Bila memungkinkan, unsur kontingensi harus
disertakan berdasarkan pengalaman, termasuk pengetahuan tentang variasi musiman
dan faktor geografis, daripada mengandalkan pernyataan pemasok. Hal ini berlaku
lebih untuk pemasok internal dimana tidak ada kontrak formal.
Sebelum
memulai pelepasan, peran perencanaan transisi layanan harus memverifikasi
rencana dan memeriksa apakah sudah mutakhir, telah disetujui dan disahkan oleh
semua pihak terkait, dan mencakup semua detail yang relevan (tanggal, kiriman
dll). Hal ini juga diperlukan untuk memeriksa bahwa semua biaya, dan aspek
organisasi, teknis dan komersial telah dipertimbangkan dan bahwa keseluruhan
risiko telah dinilai. Item konfigurasi perlu diperiksa kompatibilitas satu sama
lain dan lingkungan target. Orang harus mengerti dan bisa melaksanakan rencana.
Akhirnya, pemeriksaan harus dilakukan untuk memastikan tidak ada perubahan
bisnis atau desain yang membuat pelepasan tersebut tidak sesuai.
Memberikan dukungan proses transisi
Kegiatan
utama meliputi:
•
menyediakan, atau mengatur agar tersedia, saran dan panduan yang relevan untuk
tim proyek dan mereka yang melakukan tugas pokok;
•
administrasi untuk mengelola perubahan transisi layanan dan perintah kerja,
isu, risiko, penyimpangan dan keringanan, dukungan untuk alat dan proses
transisi layanan, serta kinerja;
•
Mengelola komunikasi dengan melaksanakan rencana komunikasi yang menentukan
tujuan komunikasi, pemangku kepentingan yang didefinisikan, konten untuk setiap
jenis, frekuensi (yang mungkin berbeda untuk setiap kelompok pemangku
kepentingan pada tahap yang berbeda), format (buletin, poster, email, laporan,
presentasi dll. ) Dan bagaimana keberhasilan akan diukur.
Kemajuan pemantauan dan pelaporan
Kegiatan
transisi layanan harus dipantau terhadap maksud yang ditetapkan dalam model
transisi dan rencana untuk memastikan kesesuaian. Laporan manajemen mengenai
status setiap transisi akan membantu mengidentifikasi kapan ada varians yang
signifikan dari rencana sehingga, misalnya, manajemen proyek dan organisasi
manajemen layanan dapat meresponsnya dengan tepat.
Rencana
transisi mungkin memerlukan amandemen untuk membawa mereka sesuai dengan
kenyataan yang telah berubah sejak disain. Ini tidak sama dengan desain atau
kesalahan buruk dalam memilih model transisi, tapi hanya cerminan lingkungan
yang dinamis.
Pemicu, input, output dan antarmuka
Pemicu
utama untuk merencanakan transisi tunggal adalah diterimanya perubahan yang
diotorisasi, walaupun perencanaan jangka panjang dapat dipicu dengan menerima
usulan perubahan. Penganggaran untuk persyaratan transisi masa depan akan
dipicu oleh siklus perencanaan anggaran organisasi.
Masukan
utama adalah paket desain layanan, yang mencakup definisi paket rilis dan
spesifikasi desain, rencana uji dan penggelaran, dan kriteria penerimaan
layanan (service acceptance criteria / SAC).
Keluarannya
akan menjadi strategi transisi, anggaran dan seperangkat rencana transisi
layanan terpadu.
HUBUNGAN DENGAN PROSES MANAJEMEN LAYANAN LAINNYA
Perencanaan
dan dukungan transisi memiliki antarmuka ke tim program dan proyek, dan
pelanggan, serta hampir di semua area pengelolaan layanan lainnya termasuk:
•
manajemen portofolio layanan (service portfolio
management / SPM) dan manajemen permintaan, yang harus memberikan informasi
jangka panjang mengenai usulan masa depan dan persyaratan sumber daya yang
mungkin;
•
SPM dan manajemen hubungan bisnis, untuk membantu mengelola komunikasi dua arah
yang sesuai dengan pelanggan dan kegiatan perencanaan strategis;
•
semua bidang desain layanan, meskipun ini terutama akan melalui kontribusi
mereka terhadap paket desain layanan;
•
manajemen pemasok, untuk memastikan bahwa kontrak yang tepat tersedia;
•
Proses transisi layanan lainnya yang dikoordinasikan oleh perencanaan dan
dukungan transisi;
•
fungsi operasi layanan untuk mengkoordinasikan pilot, penyerahan dan dukungan
awal;
•
manajemen teknis dan manajemen aplikasi, yang akan menyediakan personil yang
dibutuhkan untuk melakukan banyak aspek transisi layanan (mis., Untuk meninjau
perubahan atau rencana penerapan).
Proses
perencanaan dan dukungan transisi membuat penggunaan sistem manajemen
pengetahuan layanan yang tinggi untuk menyediakan akses ke berbagai informasi
yang dibutuhkan untuk perencanaan jangka pendek, menengah dan panjang.
METRIK
Setiap organisasi perlu mengembangkan faktor keberhasilan kritisnya
sendiri (critical success factors / CSFs) dan
indikator kinerja utama (key performance indicators / KPIs)
berdasarkan tujuan mereka. Tak perlu dikatakan lagi, mereka perlu dipantau dan
ditindaklanjuti bila diperlukan. Tabel 19.1 mencakup beberapa sampel CSF dan
sejumlah kecil KPI khas yang mendukung CSF.
TEST
PERTANYAAN UNTUK BAB 19
SD 30
ST 26, ST 27
20.
PENGELOLAAN PENGETAHUAN (ST 4.7)
PENDAHULUAN DAN RUANG LINGKUP
Kemampuan
untuk memberikan layanan berkualitas secara langsung dipengaruhi oleh
orang-orang yang terlibat dalam pengiriman, terutama oleh pemahaman mereka
tentang situasi, kemungkinan pilihan respons, dan konsekuensi dan manfaat dari
pilihan tersebut (yaitu pengetahuan mereka). Ini berlaku di semua fase siklus
hidup.
Insiden
yang sebenarnya berhubungan dengan masalah mendasar yang umum mungkin muncul
dengan gejala yang berbeda. Tidak realistis untuk mengharapkan bahwa semua staf
meja layanan akan memiliki pengetahuan yang sama tentang hubungan antara gejala
dan penyebab yang mungkin, dan karenanya secara otomatis menawarkan respons
yang sesuai. Mampu menyimpan dan mengkorelasikan informasi tentang hal-hal
seperti itu dan sekarang
Pengetahuan
bersama kembali ke staf meja layanan akan memungkinkan mereka untuk menjadi
lebih efektif.
Biasanya,
manajemen pengetahuan ditampilkan dalam model
Data-to-Information-to-Knowledge-to-Wisdom (DIKW) seperti yang diilustrasikan
pada Gambar 20.1 dan di mana istilahnya didefinisikan sebagai:
• Data:
Kumpulan fakta diskrit.
• Informasi:
Data ditetapkan dalam konteks.
• Pengetahuan:
Menggunakan informasi, namun mencakup dimensi ekstra yang berasal dari
pengalaman.
• Kebijaksanaan:
Menggunakan pengetahuan untuk membuat keputusan dan keputusan yang benar.
Tidak
realistis mengharapkan setiap individu memiliki pengetahuan yang dalam dan
luas, namun memungkinkan untuk merekam, menyimpan dan membuat data, informasi
dan pengetahuan tersedia bagi orang-orang.
MAKSUD DAN TUJUAN
Tujuan manajemen pengetahuan adalah untuk memastikan bahwa orang
yang tepat memiliki pengetahuan yang tepat pada waktu yang tepat untuk
memungkinkan mereka membuat keputusan yang masuk akal tentang tindakan.
Gambar 20.1 Model DIKW
(Sumber: Kantor Kabinet ITIL Continual Service Improvement ISBN
978-0-113313-08-2)
Tujuannya adalah untuk menyediakan:
• Pelayanan yang lebih efisien dengan peningkatan kualitas,
peningkatan kepuasan dan pengurangan biaya;
• pemahaman yang jelas dan umum tentang nilai yang diberikan oleh
layanan dan bagaimana nilai tersebut direalisasikan;
• informasi yang relevan tentang penggunaan, konsumsi sumber daya,
kendala dan kesulitan yang selalu tersedia.
KEGIATAN UTAMA
Kegiatan utama manajemen pengetahuan adalah mengumpulkan,
menganalisis, menyimpan dan berbagi pengetahuan dan informasi dalam suatu
organisasi. Untuk tujuan ini, sebuah organisasi perlu menerapkan sistem
manajemen pengetahuan layanan (SKMS), sebagaimana ditunjukkan dalam bentuk dasar
pada Gambar 20.2.
SKMS adalah seperangkat alat dan database yang digunakan untuk
mengelola pengetahuan dan informasi. Ini termasuk sistem manajemen konfigurasi,
serta alat dan database lainnya. SKMS menyimpan, mengelola, memperbarui dan
menyajikan semua informasi yang dibutuhkan oleh penyedia layanan TI untuk
mengelola siklus penuh layanan TI.
SKMS didukung oleh sistem manajemen konfigurasi (CMS), database
manajemen konfigurasi (CMDB) dan database manajemen layanan lainnya. Dalam
konteks yang lebih luas, ia juga memegang pengetahuan dari sumber lain seperti:
• pengalaman staf teknis;
• catatan masalah perifer yang diminati (misalnya cuaca, nomor
pengguna dan
Perilaku, kondisi pasar);
• persyaratan dan kemampuan pemasok dan mitra, kemampuan dan
keterampilan;
• tingkat keterampilan pengguna (misalnya penggunaan PC atau
internet).
Gambar 20.2 Sistem
manajemen pengetahuan layanan (Sumber: Kantor Kabinet ITIL Service
Transisi ISBN 978-0-113313-06-8)
KEGIATAN, METODE DAN TEKNIK
Strategi
pengelolaan pengetahuan menyeluruh diperlukan, termasuk bagaimana
mengidentifikasi, menangkap, dan memelihara pengetahuan dan data yang
mendukung. Hal ini juga penting untuk mempertimbangkan transfer pengetahuan
(yaitu mengambil dan berbagi pengetahuan untuk memecahkan masalah), dan
mendukung pembelajaran dinamis, perencanaan strategis dan pengambilan
keputusan. Evaluasi dan perbaikan penting seperti proses manajemen pelayanan
lainnya. Kita harus mengukur penggunaan data, mengevaluasi kegunaannya dan
mengidentifikasi perbaikan.
TANTANGAN
Menetapkan
manajemen pengetahuan yang efektif bisa sangat menantang. Membuat pilihan yang
salah di daerah tertentu dapat menyebabkan, pada ekstrem, kelumpuhan oleh data
yang berlebihan atau informasi yang sangat jarang sehingga tidak berguna. Adalah
penting bahwa semua sumber data dapat dipercaya, akurat dan mutakhir, seperti
halnya data manajemen konfigurasi. Aspek utamanya adalah:
•
memahami pengetahuan apa yang diperlukan untuk mendukung keputusan yang harus
dibuat;
•
memahami kondisi mana yang perlu dipantau (mengubah keadaan eksternal dan
eksternal, mulai dari permintaan pengguna akhir, kebutuhan hukum sampai
prakiraan cuaca);
•
biaya menangkap dan memelihara data, dan nilai yang dapat dibawa oleh data,
mengingat dampak negatif dari kelebihan data pada pengetahuan yang efektif;
•
hak kekayaan intelektual dan masalah hak cipta;
•
memastikan bahwa informasi tidak mudah terbuka untuk salah tafsir
HUBUNGAN DENGAN PROSES MANAJEMEN LAYANAN LAINNYA
Hampir
berdasarkan definisi, antarmuka manajemen pengetahuan dengan semua proses
manajemen layanan lainnya, namun juga berinteraksi dengan semua orang di dalam
bisnis dan pemasok, pelanggan dan sumber informasi eksternal.
METRIK
Metrik
yang menunjukkan keberhasilan ditemukan di lingkup manajemen layanan yang lebih
luas:
•
Mengurangi waktu dan usaha yang dibutuhkan untuk mendukung dan memelihara
layanan.
•
Mengurangi waktu untuk menemukan informasi untuk mendiagnosis dan memperbaiki
insiden dan masalah.
•
Perubahan dan rilis diimplementasikan pada waktu yang tepat.
•
Mengurangi ketergantungan pada personil untuk pengetahuan.
•
Lebih sedikit kesalahan dibuat karena informasi yang tersedia tidak digunakan.
PERAN
Tanggung
jawab manajer pengetahuan meliputi:
•
memastikan bahwa penyedia layanan dapat mengumpulkan, menganalisis, menyimpan
dan mengetahui pengetahuan dan informasi;
•
meningkatkan efisiensi dengan mengurangi kebutuhan untuk menemukan kembali
pengetahuan.
TEST PERTANYAAN UNTUK BAB 20
ST
02, ST 04, ST 07, ST 08
SS
20
Tidak ada komentar:
Posting Komentar