Dokumen tersebut membahas enam prinsip tata kelola teknologi informasi menurut RSNI ISO/IEC 38500:2015 yaitu: 1) tanggung jawab, 2) strategi, 3) akuisisi, 4) kinerja, 5) kesesuaian, dan 6) perilaku manusia. Prinsip-prinsip tersebut dijelaskan secara singkat melalui model tata kelola TI yang terdiri dari sumber otoritas, harapan pemangku kepentingan, kebutuhan bisnis, dan l
Sesi 1_PPT Ruang Kolaborasi Modul 1.3 _ ke 1_PGP Angkatan 10.pptx
RSNI ISO/IEC 38500
1. Sosialisasi
RSNI ISO/IEC 38500:201x
Teknologi informasi - Tata kelola TI untuk organisasi
(ISO/IEC 38500:2015, IDT)
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM
Ketua WG Tata Kelola dan Layanan TI
PT35-01 Teknologi Informasi
Jakarta 15 Desember 2015
1
Tambahan:
SNI ISO/IEC 27014:2013 Tata Kelola Keamanan Informasi
2. Current:
• Cybersecurity Nexus (CSX) Liaison, ISACA Indonesia Chapter
• ISACA Academic Advocate at ITB
• Subject Matter Expert for Information Security Standard for ISO at ISACA HQ
• Associate Professor at School of Electrical Engineering and Informatics, Institut Teknologi Bandung
• Ketua WG Layanan dan Tata Kelola TI, anggota WG Keamanan Informasi serta Anggota Panitia Teknis 35-01 Program
Nasional Penetapan Standar bidang Teknologi Informasi, BSN – Kominfo.
• Asesor Kepala LSSMKI SNI ISO/IEC 27001 KAN
Past:
• Director of Certification – CRISC & CGEIT, ISACA Indonesia Chapter (2012-2014)
• Ketua Kelompok Kerja Evaluasi TIK Nasional, Dewan TIK Nasional (2007-2008)
• Plt Direktur Operasi Sistem PPATK (Indonesia Financial Transaction Reports and Analysis Center, INTRAC), April 2009 –
May 2011
Professional Certification:
• Professional Engineering (PE), the Principles and Practice of Electrical Engineering, College of Engineering, the University
of Texas at Austin. 2000
• IRCA Information Security Management System Lead Auditor Course, 2004
• ISACA Certified Information System Auditor (CISA). CISA Number: 0540859, 2005
• Brainbench Computer Forensic, 2006
• (ISC)2 Certified Information Systems Security Professional (CISSP), No: 118113, 2007
• ISACA Certified Information Security Manager (CISM). CISM Number: 0707414, 2007
Award:
• (ISC)2 Asia Pacific Information Security Leadership Achievements (ISLA) 2011 award in category Senior Information
Security Professional. http://isc2.org/ISLA
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM
5. Kerangka dan Standar – tinjauan
SNI ISO
38500
COSO
PP60/
2008 COBIT 5
ITIL v2
ITIL v3
SNI ISO
20000
SNI
ISO
2700x
SNI
ISO
900x
Common
Criteria
SNI ISO
15408
boardlevelmanagementtechnical
SNI ISO
27014
5 dari x 5
6. o Principle 1: Establish clearly understood responsibilities for IT
o Principle 2: Plan IT to best support the organization
o Principle 3: Acquire IT validly
o Principle 4: Ensure that IT performs well, whenever required
o Principle 5: Ensure IT conforms with formal rules
o Principle 6: Ensure IT use respects human factors
Principles of IT Governance
Source:
P.Weill & J.Ross, IT Governance, Harvard Business Press, 2004
6
8. SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of
ICT: January 2005
8 dari x 8
9. RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 9 dari x 9
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
10. RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 10 dari x 10
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Para penanggung jawab tata kelola
sebaiknya memeriksa dan membuat
penilaian tentang pemanfaatan TI saat ini
dan masa depan, termasuk perencanaan,
proposal dan pengaturan pasokan (baik
internal, eksternal, atau keduanya).
11. RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 11 dari x 11
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Para penanggung jawab tata kelola sebaiknya menetapkan
tanggung jawab serta memberikan arahan atas penyusunan
dan implementasi dari strategi dan kebijakan. Strategi
sebaiknya menetapkan arah investasi TI dan apa yang harus
dicapai TI. Kebijakan sebaiknya membentuk perilaku yang
baik dalam pemanfaatan TI.
12. RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 12 dari x 12
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Para penanggung jawab tata kelola sebaiknya memantau kinerja
TI melalui sistem pengukuran yang tepat. Mereka sebaiknya
meyakinkan diri mereka sendiri bahwa kinerja tersebut telah
sesuai dengan strategi, terutama yang berkaitan dengan tujuan
bisnis.
13. Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 13 dari x 13
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
14. Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 14 dari x 14
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 1: Tanggung jawab
Para individu dan berbagai kelompok dalam suatu organisasi memahami dan
menerima tanggung jawab mereka dalam hal penyediaan dan permintaan
atas TI. Mereka yang bertanggung jawab untuk melakukan berbagai
tindakan juga memiliki otoritas untuk melakukan berbagai tindakan
tersebut.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
15. Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 15 dari x 15
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 2: Strategi
Strategi bisnis organisasi memperhitungkan kemampuan TI saat ini dan di
masa depan; rencana pemanfaatan TI memenuhi kebutuhan saat ini dan
secara berkelanjutan dari strategi bisnis organisasi.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
16. Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 16 dari x 16
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 3: Akuisisi
Akuisisi TI dibuat berdasarkan alasan yang valid, melalui analisis yang tepat
dan secara berkelanjutan, dengan pengambilan keputusan yang jelas dan
transparan. Terdapat keseimbangan antara manfaat, peluang, biaya, dan
risiko, baik dalam jangka pendek maupun jangka panjang.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
17. Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 17 dari x 17
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawabPrinsip 4: Kinerja
TI digunakan untuk mendukung organisasi, menyediakan layanan, dengan
tingkat layanan dan kualitas layanan yang diperlukan untuk memenuhi
persyaratan bisnis saat ini dan di masa depan.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
18. Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 18 dari x 18
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 5: Kesesuaian
Pemanfaatan TI mematuhi semua peraturan perundangan yang wajib.
Kebijakan dan praktik dengan jelas didefinisikan, dilaksanakan, dan
ditegakkan.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
19. Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:2015 19 dari x 19
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku
kepentingan
Kebutuhan bisnis
Kewajiban peraturan
perundangan
Tekanan bisnis
Strategidan
Kebijakan
Proposaldanrencana
Kinerjadan
kesesuaian
Penanggung
Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 6: Perilaku Manusia
Kebijakan, praktik, dan keputusan TI menjunjung tinggi Perilaku Manusia,
termasuk kebutuhan saat ini dan perkembangannya dari semua orang yang
terkait dalam proses.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
20. Perbaikan konsep Tata Kelola di Keamanan Informasi
20
Source:
P.Weill & J.Ross, IT Governance, Harvard Business Press, 2004
SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008,
AS8015 Corporate Governance of ICT: January 2005
SNI ISO/IEC 27014:2013 Tata Kelola Keamanan Informasi,
ISO/IEC 27013:2013
21. Perbaikan konsep Tata Kelola di Keamanan Informasi
21
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Adopt a risk-based approach
Set direction of investment decisions
Ensure conformance with int & ext req
Foster a security-positive environment
Review performance in relation to
business outcomes
Establish organisation-wide infosec
Para pimpinan organisasi harus mengelola TI melalui tiga kegiatan utama:
Mengevaluasi pemanfaatan TI saat ini dan masa depan.
Mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.
Memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana.
Para pimpinan organisasi harus mengelola TI melalui tiga kegiatan utama:
Mengevaluasi pemanfaatan TI saat ini dan masa depan.
Mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.
Memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana.
Para pimpinan organisasi harus mengelola TI melalui tiga kegiatan utama:
Mengevaluasi pemanfaatan TI saat ini dan masa depan.
Mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.
Memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana.
Para pimpinan organisasi harus mengelola TI melalui tiga kegiatan utama:
Mengevaluasi pemanfaatan TI saat ini dan masa depan.
Mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.
Memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana.
Para pimpinan organisasi harus mengelola TI melalui tiga kegiatan utama:
Mengevaluasi pemanfaatan TI saat ini dan masa depan.
Mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.
Memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana.
Para pimpinan organisasi harus mengelola TI melalui tiga kegiatan utama:
Mengevaluasi pemanfaatan TI saat ini dan masa depan.
Mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.
Memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana.
Para pimpinan organisasi harus mengelola TI melalui tiga kegiatan utama:
Mengevaluasi pemanfaatan TI saat ini dan masa depan.
Mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.
Memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana.
Para pimpinan organisasi harus mengelola TI melalui tiga kegiatan utama:
Mengevaluasi pemanfaatan TI saat ini dan masa depan.
Mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.
Memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana.
Para pimpinan organisasi harus mengelola TI melalui tiga kegiatan utama:
Mengevaluasi pemanfaatan TI saat ini dan masa depan.
Mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.
Memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana.
Para pimpinan organisasi harus mengelola TI melalui tiga kegiatan utama:
Mengevaluasi pemanfaatan TI saat ini dan masa depan.
Mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.
Memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana.
Para pimpinan organisasi harus mengelola TI melalui tiga kegiatan utama:
Mengevaluasi pemanfaatan TI saat ini dan masa depan.
Mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.
Memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana.
Para pimpinan organisasi harus mengelola TI melalui tiga kegiatan utama:
Mengevaluasi pemanfaatan TI saat ini dan masa depan.
Mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.
Memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana.
Evaluasi
Para pemimpin organisasi harus mengevaluasi berbagai pilihan untuk menetapkan tanggung jawab sehubungan dengan pemanfaatan TI saat ini dan masa depan oleh organisasi. Dalam mengevaluasi berbagai pilihan, para pemimpin organisasi harus berusaha untuk memastikan pemanfaatan dan penyediaan TI yang efektif, efisien, dan layak untuk mendukung sasaran bisnis (pencapaian sasaran organisasi) saat ini dan masa depan.
Para pemimpin organisasi harus mengevaluasi kompetensi dari mereka yang diberikan tanggung jawab untuk mengambil keputusan tentang TI. Umumnya, mereka adalah para manajer (pejabat) yang juga bertanggung jawab atas sasaran dan kinerja organisasi, dibantu oleh tenaga ahli TI yang memahami nilai-nilai dan proses bisnis (pencapaian sasaran organisasi).
Arahkan
Para pemimpin organisasi harus mengarahkan bahwa berbagai rencana dilaksanakan sesuai dengan berbagai tanggung jawab TI yang telah ditetapkan.
Para pemimpin organisasi harus mengarahkan bahwa mereka menerima informasi yang mereka butuhkan untuk memenuhi tanggung jawab dan akuntabilitas mereka.
Pantau
Para pemimpin organisasi harus memantau bahwa mekanisme tata kelola TI yang tepat telah dijalankan.
Para pemimpin organisasi harus memantau bahwa mereka yang diberikan tanggung jawab menerima dan memahami tanggung jawab mereka.
Para pemimpin organisasi harus memantau kinerja mereka yang diberi tanggung jawab dalam tata kelola TI (misalnya, orang-orang yang duduk dalam komite pengarah atau dalam menyajikan proposal kepada para pemimpin organisasi).
Evaluasi
Para pemimpin organisasi harus mengevaluasi berbagai pengembangan TI dan proses bisnis (pencapaian sasaran organisasi) untuk memastikan bahwa TI dapat memberikan dukungan untuk kebutuhan bisnis (pencapaian sasaran organisasi) masa depan.
Dalam mempertimbangkan berbagai rencana dan kebijakan, para pemimpin organisasi harus mengevaluasi berbagai kegiatan TI untuk memastikan keselarasannya dengan sasaran organisasi dalam lingkungan yang berubah-ubah, dengan mempertimbangkan praktik yang lebih baik dan memenuhi persyaratan dari pemangku kepentingan utama lainnya.
Para pemimpin organisasi harus memastikan bahwa pemanfaatan TI sesuai dengan penilaian dan evaluasi risiko yang tepat, seperti yang dijelaskan dalam standar internasional dan nasional yang terkait.
Arahkan
Para pemimpin organisasi harus mengarahkan penyiapan dan pemanfaatan berbagai rencana dan kebijakan yang dapat memastikan bahwa organisasi tersebut mendapat manfaat dari pengembangan TI.
Para pemimpin organisasi juga harus mendorong pengajuan proposal untuk pemanfaatan TI yang inovatif yang memungkinkan organisasi untuk merespon peluang atau tantangan baru, melakukan usaha baru atau meningkatkan proses.
Pantau
Para pemimpin organisasi harus memantau kemajuan berbagai proposal TI yang telah disetujui untuk memastikan bahwa berbagai proposal TI tersebut dapat mencapai sasaran dalam jangka waktu yang ditentukan dengan menggunakan sumber daya yang telah dialokasikan.
Para pemimpin organisasi harus memantau penggunaanTI untuk memastikan pencapaian berbagai manfaat yang diinginkan
Evaluasi
Para pemimpin organisasi harus mengevaluasi berbagai pilihan TI dalam merealisasikan berbagai proposal yang telah disetujui, menyeimbangkan risiko dengan manfaat dari investasi yang diusulkan.
Arahkan
Para pemimpin organisasi harus mengarahkan bahwa aset TI (sistem dan infrastruktur) diperoleh dengan cara yang tepat, termasuk penyiapan dokumentasi yang sesuai, dengan tetap memastikan bahwa kapabilitas yang dibutuhkan dapat dipenuhi.
Para pemimpin organisasi harus mengarahkan bahwa pengaturan pasokan (termasuk pengaturan pasokan internal maupun eksternal) mendukung kebutuhan bisnis (pencapaian sasaran organisasi).
Pantau
Para pemimpin organisasi harus memantau berbagai investasi TI untuk memastikan bahwa investasi tersebut memberikan kapabilitas yang disyaratkan.
Para pemimpin organisasi harus memantau sejauh mana organisasi mereka dan para pemasok dapat memiliki pemahaman yang sama tentang tujuan organisasi dalam melakukan akuisisi TI.
Evaluasi
Para pemimpin organisasi harus mengevaluasi berbagai metode yang diusulkan oleh para manajer (pejabat) untuk memastikan bahwa TI akan mendukung proses bisnis (pencapaian sasaran organisasi) dengan kapabilitas dan kapasitas yang disyaratkan. Proposal ini harus membahas kelanjutan operasional normal dari bisnis dan perlakuan terhadap risiko yang terkait dengan pemanfaatan TI.
Para pemimpin organisasi harus mengevaluasi risiko kelanjutan operasi dari bisnis (pencapaian sasaran organisasi) yang timbul dari kegiatan TI.
Para pemimpin organisasi harus mengevaluasi risiko terhadap integritas informasi dan perlindungan aset TI, termasuk kekayaan intelektual dan pengetahuan organisasi yang terkait.
Para pemimpin organisasi harus mengevaluasi berbagai pilihan untuk menjamin keputusan yang efektif dan tepat waktu tentang pemanfaatan TI dalam mendukung tujuan bisnis (pencapaian sasaran organisasi)
.
Para pemimpin organisasi secara berkala harus mengevaluasi efektivitas dan kinerja dari sistem Tata Kelola TI organisasi.
Arahkan
Para pemimpin organisasi harus memastikan alokasi sumber daya yang cukup sehingga TI dapat memenuhi kebutuhan organisasi, sesuai dengan prioritas yang telah disetujui dan limitasi anggaran.
Para pemimpin organisasi harus mengarahkan mereka yang bertanggung jawab, untuk memastikan bahwa TI mendukung bisnis (pencapaian sasaran organisasi), dengan data yang benar dan mutakhir serta dilindungi dari kehilangan atau penyalahgunaan.
Pantau
Para pemimpin organisasi harus memantau sejauh mana TI mendukung bisnis (pencapaian sasaran organisasi).
Para pemimpin organisasi harus memantau sejauh mana alokasi sumber daya dan anggaran telah diprioritaskan sesuai dengan sasaran bisnis (pencapaian sasaran organisasi).
Para pemimpin organisasi harus memantau sejauh mana kebijakan, seperti untuk akurasi data dan efisiensi pemanfaatan TI, diikuti dengan benar.
Evaluasi
Para pemimpin organisasi secara berkala harus mengevaluasi sejauh mana TI memenuhi berbagai kewajiban (peraturan perundangan, hukum kebiasaan (common law), kontraktual), kebijakan internal, standar dan panduan profesional.
Para pemimpin organisasi secara berkala harus mengevaluasi kesesuaian internal organisasi terhadap sistem Tata Kelola TI organisasi tersebut.
Arahkan
Para pemimpin organisasi harus mengarahkan mereka yang bertanggung jawab untuk membentuk mekanisme berkala dan rutin untuk memastikan bahwa pemanfaatan TI mematuhi kewajiban yang relevan (peraturan perundangan, hukum kebiasaan (common law), kontraktual), standar dan pedoman.
Para pemimpin organisasi harus mengarahkan bahwa kebijakan ditetapkan dan ditegakkan untuk memungkinan organisasi memenuhi kewajiban internal dalam pemanfaatan TI.
Para pemimpin organisasi harus mengarahkan bahwa staf TI mengikuti pedoman yang relevan untuk perilaku profesional dan pengembangan profesional.
Para pemimpin organisasi harus mengarahkan bahwa semua tindakan yang berkaitan dengan TI harus sesuai dengan etika.
Pantau
Para pemimpin organisasi harus memantau kepatuhan dan kesesuaian TI melalui pelaksanaan pelaporan dan audit yang tepat, memastikan bahwa kajian dilakukan tepat waktu, komprehensif, dan sesuai untuk pelaksanaan evaluasi tingkat pemenuhan kebutuhan bisnis (pencapaian sasaran organisasi).
Para pemimpin organisasi harus memantau kegiatan TI, termasuk penghapusan aset dan data, untuk memastikan bahwa berbagai kewajiban terkait aspek lingkungan, privasi, manajemen pengetahuan strategis, pemeliharaan pengetahuan organisasi dan aspek terkait lainnya telah dipenuhi.
Evaluasi
Para pemimpin organisasi harus mengevaluasi kegiatan TI untuk memastikan bahwa perilaku manusia telah diidentifikasi dan dipertimbangkan dengan tepat.
Arahkan
Para pemimpin organisasi harus mengarahkan bahwa berbagai kegiatan TI konsisten dengan perilaku manusia yang telah diidentifikasi.
Para pemimpin organisasi harus mengarahkan bahwa berbagai risiko, peluang, permasalahan dan pertimbangan dapat diidentifikasi dan dilaporkan oleh siapa saja setiap saat. Berbagai risiko ini harus dikelola sesuai dengan kebijakan dan prosedur yang telah dipublikasikan dan dieskalasi ke pengambil keputusan yang sesuai.
Pantau
Para pemimpin organisasi harus memantau berbagai kegiatan TI untuk memastikan bahwa perilaku manusia yang diidentifikasi tetap relevan dan telah memperoleh perhatian yang tepat.
Para pemimpin organisasi harus memantau praktik kerja untuk memastikan bahwa mereka konsisten dengan pemanfaatan TI yang tepat.