SOP Manajemen Perubahan

1. Tujuan

Prosedur ini bertujuan untuk memberikan panduan dalam pengendalian perubahan terhadap fasilitas maupun perangkat informasi.

2. Ruang lingkup

Ruang lingkup prosedur ini meliputi perubahan perangkat keras, perubahan perangkat lunak dan perubahan proses/sistem operasi yang dapat mempengaruhi keamanan informasi.

3. Tanggung jawab

Setiap unit kerja bertanggung jawab atas perubahan di bagiannya masing-masing

4. Definisi

4.1. Perubahan Rutin adalah perubahan yang dilakukan secara rutin atau berulang-ulang sesuai jadwal yang telah ditetapkan. Contohnya pemeliharaan database, update anti virus, software patch, dan sebagainya.

4.2. Perubahan Terencana adalah perubahan yang dilakukan sesuai jadwal yang telah ditentukan, namun bukan merupakan rutinitas. Contohnya dekomisioning sistem operasi komputer, upgrade perangkat keras, upgrade perangkat lunak dan sebagainya.

4.3. Perubahan Darurat adalah perubahan yang dilakukan secara tiba-tiba akibat adanya kejadian tertentu yang membutuhkan tanggapan segera. Contohnya perangkat lunak tidak bekerja, virus baru menyebar dan mengganggu operasi, perangkat keras tidak bekerja, dan sebagainya.

4.4. Contingency plan adalah rencana tindakan yang harus dilakukan jika teridentifikasi adanya peristiwa risiko

4.5. Fallback plan adalah rencana tindakan yang akan dilakukan jika usaha untuk mereduksi risiko negatif tidak berjalan dengan baik, padahal risiko tersebut mempunyai pengaruh besar pada keberhasilan proyek.

5. Referensi

ISO/IEC 27001:2022, A.8.32 Manajemen Perubahan

6. Prosedur

6.1 Identifikasi Jenis Perubahan

Personil yang mengajukan perubahan menganalisa jenis perubahan yang akan diajukan, mendeskripsikan perubahan-perubahan yang diminta beserta alasannya.

6.2 Mengajukan Permintaan Perubahan

Personil yang mengajukan perubahan membuat laporan kepada manajer masing-masing. Pengajuan perubahan rutin hanya dilakukan satu kali pada saat penetapan jadwal frekuensi perubahan rutin dilakukan, bukan setiap akan beraktifitas. Setiap ada perubahan jadwal perubahan rutin, personil yang bersangkutan juga membuat pengajuan secara formal.

6.3 Mereview Pengajuan Perubahan

Manager yang bersangkutan mereview dan menganalisa alasan, tahap-tahap proses perubahan, serta manfaat dan risikonya. Review terhadap pengajuan perubahan juga mencakup apakah perubahan tersebut ada keterkaitan dengan bagian-bagian lain yang terkena dampak atau akan terlibat proses perubahan. Jika ada keterkaitan maka segera dikoordinasikan dengan pihak yang bersangkutan.

Manager yang bersangkutan berhak mengganti penetapan jenis perubahan yang diajukan, misalnya pengajuan perubahan darurat dapat diturunkan menjadi kategori perubahan terencana setelah melalui hasil analisa yang seksama.

6.4 Menetapkan Rencana Perubahan

Manager menetapkan rencana tahap-tahap dan proses perubahan, penanggung jawab, resiko-resiko, jadwal pelaksanaan, sosialisasi/ pengumuman, dan masa uji coba atau testing. Apabila proses atau dampak perubahan melibatkan unit kerja lain, maka penetapan rencana harus dilakukan secara terkoordinasi oleh unit kerja atau jabatan yang lebih tinggi. Perencanaan harus mencakup contingency plan dan Fallback plans.

6.5 Backup, Verifikasi, Review, dan Validasi

Personil yang bertanggung jawab dalam melaksanakan perubahan harus memastikan bahwa data, aplikasi, atau perangkat yang ada sudah di-backup untuk mengantisipasi kemungkinan adanya kegagalan atau pembatalan perubahan. Jika memungkinkan, perubahan yang sudah disiapkan harus diverifikasi, direview dan divalidasi sebelum diaplikasikan sebagai uji coba perubahan.

6.6 Testing

Pihak yang bertanggung jawab wajib melakukan testing terhadap perubahan yang telah dilaksanakan untuk memastikan bahwa perubahan yang telah dilakukan sesuai dengan yang diinginkan.

6.7 Pelaksanaan Perubahan

Setelah masa uji coba selesai, perubahan permanen dapat diterapkan.

6.8 Contingency plan dan rencana cadangan

Tindakan harus diambill bila hasil perubahan tidak sesuai dengan yang diinginkan. Rencana cadangan (fallback plan) harus tersedia bila hasil perubahan yang diperoleh tidak sesuai dengan yang direncanakan.

6.9 Penyesuaian Dokumen dan Proses Kerja

Semua prosedur, instruksi kerja, rekaman, dan dokumen lain yang terkait adanya perubahan harus dimutakhirkan dan disosialisasikan serta disimpan sesuai dengan perubahan yang ada.

7. Dokumen Pendukung