Tata Kelola Risiko Siber

Organisasi telah menerbitkan strategi risiko siber yang selaras dengan strategi teknologi dan strategi bisnis.

Organisasi memiliki kerangka kerja risiko siber yang mapan (misalnya, seperangkat elemen lengkap termasuk kebijakan, standar, peran dan tanggung jawab, proses manajemen risiko, taksonomi risiko, selera risiko serta ancaman dan teknologi yang berkembang) untuk mendukung strategi risiko siber, serta manajemen ancaman, risiko, dan insiden yang berkelanjutan.

Organisasi melakukan tinjauan berkala terhadap strategi risiko siber dan kerangka kerja risiko siber, untuk memastikan kepatuhan terhadap persyaratan hukum dan peraturan.

Organisasi mempertimbangkan persyaratan kepatuhan risiko siber, risiko yang teridentifikasi, ancaman saat ini dan yang berkembang, serta potensi dampak insiden terhadap operasi dan layanan, sebagai masukan untuk perencanaan dan prioritas proyek, program, dan anggaran risiko siber.

Organisasi telah menunjuk seorang eksekutif yang bertanggung jawab atas strategi risiko siber, kerangka kerja risiko siber, serta kesadaran dan pengetahuan risiko siber di tingkat eksekutif.

Organisasi memiliki kebijakan risiko siber yang terdokumentasi untuk menjelaskan peran, tanggung jawab, aturan, dan batasan bagi staf dan kontraktor, serta kemungkinan sanksi atas ketidakpatuhan.

Peran dan tanggung jawab dari masing-masing tiga lini pertahanan dan pemangku kepentingan lainnya dijelaskan secara jelas dalam kerangka kerja risiko siber.

Indikator risiko dan kinerja utama serta ambang batas telah ditetapkan untuk risiko dan kontrol siber utama organisasi. Indikator risiko harus selaras dengan selera risiko siber sebagaimana dinyatakan dalam kerangka kerja risiko siber.

Risiko siber terhadap organisasi serta program atau pelanggannya ditinjau secara berkala, diprioritaskan, dieskalasi, dan dijelaskan kepada eksekutif atau manajemen senior yang tepat, dan risiko tersebut diprioritaskan untuk mitigasi.

Lini pertahanan kedua secara berkala memberikan tinjauan independen terhadap berbagai penilaian risiko siber dan aktivitas kontrol lainnya yang dilakukan oleh lini pertahanan pertama.

Organisasi memastikan bahwa pemeriksaan latar belakang telah diterapkan untuk personel/kontraktor dan di penyedia pihak ketiga, sesuai dengan sensitivitas dan kebutuhan risiko siber dari aset organisasi yang dikelola.

Organisasi telah menerapkan proses formal untuk penerimaan risiko yang diukur, dilacak, dan dilaporkan.

Organisasi telah mengalokasikan sumber daya yang memadai dan terampil untuk keberlanjutan program, sistem, peran, dan layanan risiko siber.

Organisasi telah mengidentifikasi aset teknologi kritisnya dan telah menerapkan kontrol yang tepat untuk memastikan kerahasiaan, integritas, dan ketersediaan. Kontrol tersebut ditinjau dan diuji secara berkala.