Compliance Management | Miftah Rahman (Go)-Blog

Step selanjutnya dari Service Strategy, yaitu Service Design

“ok, budget udah ada nih buat bikin menu baru NasGor, apa dulu nih step2 yang harus dilakukan”

“BoD sudah approve untuk bikin DaCen, next planning-nya apa nih”

Inti dari Service Design adalah untuk merealisasikan strategy yang sudah dibuat, gimana caranya service yang akan dibuat ini bisa beradaptasi kedalam sistem yang ada, dan cost effective

Jadi kita sebagai tim IT bisa menyiapkan service yang “layak di konsumsi” untuk customer dari segala sisi

Nah, tahapan2 atau proses yang masuk dalam fase Service Design adalah:

Banyak amat ya…wkwkw

Ya, memang klo ga begitu…pas service kita masuk ke operational state, pasti acak2an…ga jelas service nya kek apa, siapa yang dapet ini service, berapa banyak/lama ini service bisa didapat, dll

Yuk kita bahas satu2…

————————————–

Service Catalog Management

“masa café ga ada daftar menu-nya…bikin lah”

“bikin daftar IT services yang bisa customer pake untuk DaCen”

Inti dari Service Catalog Management adalah…BIKIN MENU

Pentingnya membuat “menu” alias IT Catalog adalah…Menghindari IT Superman

Alias lu semua yang ngerjain, padahal bukan kerjaan dan tanggung jawab lu

“bos, benerin printer gue dong…benerin HaPe gue dong“…lu bisa jawab “tugas gue cuma ping, install software, sama setting router”

Isi dalam list (menu) yang akan dipublish ke customer tersebut adalah services2 yang sedang “live” alias sedang berjalan

Yang pernah berjalan (retired services) tidak akan ditampilkan di menu tapi hanya ada di Service Portfolio (supaya bisa jadi track record alias sejarah yang barangkali mau kita ulang lagi)

Dalam IT Services, Service Catalog ini hanya akan disediakan kepada customer yang ter-authorisasi (klo customer café cuma liat2 ruangan doang jgn dikasi menu dulu, begitu mereka duduk baru kasih menu)

Karakteristik dari Catalog yang akan kita buat ada 4:

Deliverables…memastikan ketika customer request akan langsung bisa di deliver
Prices…pastikan harga-nya tercantum…WALAUPUN tercantumnya FREE
Contacts…untuk request service ini harus ngomong ke siapa
HOW to order and request…cara order service ini gimana (handling request ini akan dibahas detil di Service Operation phase)

Ada 2 tipe katalog

Business Service Catalog (BSC): catalog ke customer
- Cost of services: untuk gunain service ini harganya brp
- SLA Information: standard acuan ini service bagus apa engga apa
- User Group: user yang make services ini masuk group apa (user, admin, operator,dll)
- KPI: reporting and monitoring SLA
Technical Service Catalog (TSC): ke orang teknis
- Link and References to other services which essential for delivery of this service
- Configuration items (hardware, software, etc.)
- Startup and Shutdown procedures
- Recovery and Fallback Information
- Key Contact Person

BSC itu kek semacam “what”nya, TSC itu kek “how”nya…

BSC buat customer, TSC itu buat orang2 teknis yang akan deliver servis-nya ke customer

————————————————

Supplier Management

“bikin NasGor artinya kita perlu list supplier beras siapa aja, siapa main supplier dan siapa backupnya”

“mau bangun DaCen berarti kita harus kontak SI/Vendor untuk bantuin implementasi alat2nya”

Supplier: 3^rd party that help Us to deliver services (kek Vendor dan SI)

Inti dari supplier management adalah memastikan setiap kontrak dengan 3^rd party sesuai dengan komitment pas kontraknya

Dalam ITIL, dokumen2 tentang kontrak kerja disebut Underpinning Contract

Pastikan dalam dokumen tersebut tercatat detil2 kontrak (pas kerjasama…vendor itu ngerjain apa, masang apa, responsibilities-nya apa)…isinya berkisar:

Basic Term and Condition: berapa lama kontraknya, siapa kontak person-nya
Service Scope and Description: kerjanya apa, dimana, ngapain aja
Service Standard: tolak ukur kinerjanya nya apa
Workload Range: simple-nya…”Which service for which price”
Management Information: men-define data2 yang secara berkala harus dikirim dari 3^rd Party ke kita…kek KPI (Key Performance Indicator), seperti contoh dibawah ini:
Responsibilities and Dependencies: taro orang vendor di Kantor, biar klo ada apa2 bisa langsung di-handle, trus define juga…kerjanya apa, sampe jam berapa

Supplier pun ada kategorisasi-ya berdasarkan Value, Importance, Risk, dan Impact-nya

Strategic – critical supplier…contoh-nya Supplier beras dan kopi buat café, ISP buat DaCen
Tactical – important supplier…supplier bumbu2 NasGor buat café, vendor2 kek Cisco, HP, dll buat Dacen
Operational – common supplier…supplier saos, cabe, dll yg non-essential..supplier software license
Commodity – non-important supplier…tanpa dia pun kita bisa sendiri, kek courier alias tukang kirim barang2 fisik

——————————————————–

Service Level Management

“bagaimana cara mengetahui agar NasGor ini tergolong sukses dan laku ketika di launching”

“klo DaCen ini di launching, parameter apa yang bisa kita liat untuk menentukan worth apa engga ini Service dimata customer”

Inti dari Service Level Management adalah menentukan SLA (Service Level Agreement)

SLA: menentukan parameter2 agar service bisa dikatakan berjalan lancar

“denger2 café lu jual menu baru NasGor ya, bikinnya ga pake telor dan ga pake lama ya…”

“ok…gue akan sediain bandwidth untuk ke DaCen, minimum 512kbps”

Klo 2 kalimat diatas tidak terpenuhi bagaimana? berarti ga sesuai dong dengan yang dijanjikan…ini berarti SLA-nya buruk

Karena SLA ini harus sesuai dengan kebutuhan customer maka klo bisa ada semacam SLR (service level requirement)

Isinya apa? penyataan dari customer ke kita…

“eh, bikin NasGor dong, bosen French fries terus, klo bisa masak-nya jangan lama2”

“bikin DaCen yang bisa diakses darimana pun dan kapan pun dong, user kita banyak yang mobile, trus security-nya juga ya, pake VPN”

Pernyataan ini akan diterjemahkan ke sudut pandang teknis dan organisasi, namanya SDP (Service Design Packages)

So, contoh…kita punya SDP dengan nama “XYZ” yang isinya user dapet minimum koneksi 512kbps, storage 1 Gbps, plus userpass VPN selama 1 minggu

Berarti klo ada customer request “XYZ”…dia dapet itu semua yang dijanjikan (minimum…sukur2 dapet 1mbps klo lagi lancar)

Apa aja sih yang biasanya dijadiin SLA, contohnya:

Introduction and Description: ini service buat apa dan nama service-nya apa
Mutual Responsibilities: tim IT sediain DaCen, customer yang tanggung jawab isi storage di DaCen
Scope: ruang lingkup dari service yang ditawarkan, biar ga ngerjain apa yang bukan tugas lu
Service Hours: kek restoran, ini service buka dari kapan sampe kapan
Service Availability: ketika service ini ready dan ada yang request…pastikan service-nya bisa bekerja
Customer Support Information: contact person klo ada yang mau make service
Contacts and Escalation Policy: klo kenapa2 ini service, siapa yang bisa dihubungi dan apa langkah2 antisipasinya
Security: tentukan klo service ini melindungi privasi pengguna (klo memang pake security)
Cost and Charging Method: biaya…apa lagi

Jadi klo ada yang nanya…”kok file di server gue error sih“, sementara tim IT DaCen cuma nyediain “jatah” storage aja…lu bisa ngomong bahwa itu bukan bagian dari tanggung jawab tim IT DaCen

Untuk bisa improve SLA, mungkin gara2 banyak yang request lebih dari SLA yang kita kasih…maka diperlukan Service Improvement Plan (SIP), adanya di topik/fase Continual Service Improvement (tahun 2011, namanya diganti jadi CSI Register)

SLA juga terdiri menjadi bbrp tipe:

Service-based SLA: 1 service untuk 1 hal saja, contoh…DaCen kita menyediakan storage space
Customer-based SLA: all type of service untuk 1 customer…DaCen kita menyediakan storage, security, plus pengaturan QoS-nya kepada perusahaan tertentu
Multilevel SLA: 1 service tapi beda customer…ini pun dibagi 3
- Corporate-level SLA: hal2 umum kek service DaCen bisa diakses kapanpun, tapi tiap minggu jam 1 sampe jam 2 ada maintenance
- Customer-level SLA: SLA untuk group dari customer, user dari Dept. IT berbeda perlakuan service-nya dari user dari Dept. non-IT…member café dan bukan member dapet NasGor beda harga
- Service-level SLA: untuk isu2 khusus untuk user group tertentu yang butuh modifikasi SLA, ada user minta NasGor rasa Martabak misal wkwkwk

Supaya tim IT dan supplier bisa bersama2 memberikan service terbaik kepada customer…maka dibentuklah OLA (Operational Level Agreement)

“eh…lu punya vendor ngerjain network buat konek ke DaCen ya, nanti maintain-nya dari orang lu, klo ada perubahan2 config jangan langsung diganti…rapat dulu sama kita”

Biasanya kita bikin SLAM Chart (SLA Monitoring Chart) untuk ngawasin SLA yang sudah dibikin

So…dari SLR ke SLA ke SDP ke SIP…yang semuanya dimanage dengan kesepakatan dari OLA

—————

Capacity Management

“ni kita sanggup handle berapa banyak request NasGor sih?”

“storage untuk DaCen cukup ga? Bandwidth gede ga?”

Capacity: the maximum amount of delivery ability that an IT can produce

Inti dari Capacity Management adalah bagaimana kita tuning storage, partisi, QoS, adjust bandwidth, dan segala hal yang bisa di “sizing”

Cakupan Capacity Management adalah:

Business Capacity Management: gimana caranya kita mentranslate kebutuhan bisnis menjadi service yang ada kaitannya dengan kapasitas dan performa

“kek-nya mulai banyak nih yang mesen Nasgor, sanggup berapa banyak ya kita proses nasgor secara bersamaan?”
Service Capacity Management: manage kapasitas service, termasuk memprediksi supaya ga overused sehingga kita bisa melakukan inisiasi sebelum kapasitas yang ada kepenuhan

“dalam sehari ada request 10 nasgor nih, sedangkan panci nasgor cuma 1, artinya kita harus beli lagi“
Component Capacity Management: manage performa resource yang dibutuhkan oleh service

“klo pake panci biasa, nasgor-nya jadi dalam waktu 10 menit, kita harus mempertimbangkan pake panci Teflon nih…biar masaknya cepet“
Capacity Management Reporting: pastinya harus ada reportase ke IT Management

Alat untuk ngeliat kapasitas storage ataupun bandwidth (kek Solarwind dkk) didalam ITIL itu disebut CMIS (Capacity Management Information System)

———————————————–

Availability Management

“ketika pelanggan request NasGor, maka item tersebut harus ada/ready”

“gimana caranya agar DaCen kita mencapai 99,999% uptime per-tahun”

Inti dari Availability adalah ketika customer request service kita, maka service itu harus ada dan harus siap disajikan

Availability: kemampuan dari IT Service untuk perform sebagaimana fungsi yang telah disepakati ketika dibutuhkan

Ada 2 tipe penanganan ketika Availability tidak ada: Reactive vs Proactive

Reactive means ketika suatu service down, tim langsung mencari alternative solusi lain
Proactive means ketika suatu service down, service yang lain langsung mengambil alih

Ini artinya…proses Reactive lebih kearah instant solution dibandingkan dengan Proactive yang lebih membutuhkan proper planning sebelumnya

Ada beberapa istilah dalam Availability Management

MTBF (mean time between failures): bahasa ITIL dari UPTIME
MTRS (mean time to restore services): bahasa ITIL dari DOWNTIME, fase-nya pun didefinisikan
- Detection Time: berapa lama trouble ini akhirnya ke-detect
- Diagnosis Time: berapa lama waktu untuk nge-cek problemnya dimana
- Repair Time: berapa lama waktu untuk benerin
- Restoration Time: berapa lama waktu untuk bikin service kembali normal
MTBSI (mean time between system incidents): jeda waktu dari incident pertama ke incident berikutnya, semakin lama jeda-nya semakin bagus

Karena Availability berkaitan dengan incident…maka diperlukan namanya Maintenance Plan (Bahasa ITIL untuk S.O.P-standard Operation Procedure) sebelum service ini di launching

———————————-

Information Security Management

“yang boleh mesen NasGor hanya yang exclusive membership café aja”

“yang bisa akses DaCen siapa aja, prerequisite-nya apa, ngapain aja”

Inti dari InfoSec Management adalah bagaimana service CIA* kita yang kita kasih sesuai dengan kesepakatan

*CIA: Confidentiality, Integrity, and Availability

Ada beberapa hal yang harus diperhatikan dari segi InfoSec ketika kita merancang service sebelum masuk ke tahap operational

Design of Security Control: design alur sekuriti-nya, user group siapa yg bisa akses ini itu
Security Testing: ya testing
Security Incidents Management: kita harus ngapain klo ada incident di IT service, minimize impact-nya gimana
Security Review: setiap quarter ato annual/yearly…harus di review policy sekuriti-nya

———————————-

Risk Management

“klo kita kehabisan NasGor gimana?”

“klo DaCen kita down apa yang harus dilakukan?”

Inti dari Risk Management adalah mengidentifikasi, menilai, dan mengontrol resiko yang akan muncul

Risk = Threat X Vulnerability X Asset

Termasuk menganalisa value dari assets2 bisnis perusahaan, ancaman2nya, seberapa vulnerable-nya asset2 itu

ISO 27005 dan NIST SP 800 30 adalah salah satu sumber yang membahas tentang Risk Management

Ada beberapa hal yang di perhatikan dalam Risk Management

Risk Management Support: mendefinisikan resiko2 yang ada dan siapa yang handle
BIA (Business Impact and Risk Analysis): menganalisa resiko2 yang ada, mana yang impact-mya paling tinggi, hasil dari BIA ini adalah Risk Register (Risk Log)
- Risk Register adalah kumpulan2 resiko yang sudah teridentifikasi dan bagaimana countermeasure nya
Asessment of Required Risk Mitigation: menilai mana resiko2 yang perlu penanganan dan siapa yang bertanggung jawab atas resiko itu
Risk Monitoring: monitor seberapa efektifkah countermeasure resiko yang diterapkan, dan melakukan “corrective” action klo diperlukan

Untuk recovery dari resiko, ITIL mengkategorikan menjadi 4 hal

Immediate: hot swap, hot standby, semua yang langsung ada redundancy dan failover-nya
Fast: contohnya Rapid Spanning-Tree untuk menangani resiko traffic LAN looping
Intermediate: warm standby…mungkin 1-2 hari downtime
Gradual: cold standby, biasanya replacement device…tanpa device tsb. pun, Perusahaan masih bisa jalan

———————————-

IT Service Continuity Management (ITSCM)

“pastikan nasi selalu ada ketika ada yang pesen NasGor”

“pastikan koneksi ke DaCen di reserve 1mb biar jaga2 klo bottleneck”

Inti dari ITSCM adalah memastikan tim IT tetap bisa mendeliver service dalam kondisi yang paling tidak menguntungkan (minimum agreed service) a.k.a Business Continuity yang jadi perencana Disaster Recovery Plan (DRP)

Ada 4 hal yang dibahas di ITSCM

ITSCM Support: memastikan setiap personel tim IT tahu tugasnya masing2 dan semua dokumentasi2 tentang system/service harus tersedia ketika ada disaster
Design Service Continuity: merancang recovery plan untuk service2 vital
ITSCM Training and Testing: personel harus dilatih biar siap klo ada disaster harus ngapain
ITSCM Review: setiap recovery plan, disaster prevention, ataupun tugas personel2 IT harus di review secara berkala

———————————-

Compliance Management

“kita mau bikin NasGor pake ala apa? Chef hotel bintang 5? Atau ala warteg?”

“bikin DaCen pake standard apa? ISO? PCI? ANSI/TIA?”

Inti dari Compliance Management adalah menyesuaikan service dengan standard2 yang berlaku di dunia international, baik secara legal/hukum maupun tidak (best practice, framework, etc.)

———————————-

Architecture Management

“we aiming for best NasGor experience, pastikan bumbu2 dan alat2 dapur dipilih yang best quality”

“alat2 DaCen harus yang paling canggih (klo kuat bayarnya)”

Inti dari Architecture Management itu simple….pastikan up to date…infrastructure-nya

———————————-

Design Coordination

“yang ngurus membership siapa? Yang handle supplier siapa? Yang tanggung jawab menu siapa?”

“yang tanggung jawab InfoSec policy siapa? Yang handle maintenance siapa?”

New topic in ITILv3 2011, inti dari Design Coordination adalah maintain seluruh sub-proses dari Service Design diatas biar konsisten

Ada beberapa yang dibahas dalam Design Coordination

Design Coor. Support: mengkoordinasikan resource dan kapabilitas dari masing2 topik diservice design agar konsisten dan lancar pas masuk operational state
Service Design Planning: bagaimana cara agar kita make sistem/pendekatan design yang sama di seluruh fase service design, jadi ga asal maen ganti responsible person atau maen ganti compliance (ISO 27000, dll) sembarangan
Service Design Coor. And Monitoring: untuk koordinasi klo customer request minta service -nya aga di “modif” tertentu apakah bisa dipenuhi apa engga, termasuk dalam sisi ekonomi, namanya RFC (Request for Change)
- RFC – Request for Change of service, dibahas di ITIL fase berikutnya, Service Transition
Technical and Organizational Service Design: mendefinisikan bagimana service ini akan “dihidangkan” alias di-provide dari sudut pandang IT
Review and RFC submission: nge-review SDP untuk terakhir kali dan membuat suatu dokumen formal untuk RFC klo2 ada perubahan2 service yang di request oleh customer