Strategi Risiko Siber
StrategiPernyataan Kontrol
Organisasi telah menerbitkan strategi risiko siber yang selaras dengan strategi teknologi dan strategi bisnis.
Deskripsi
Strategi risiko siber formal menetapkan pendekatan organisasi dalam mengelola risiko siber sebagai dukungan langsung terhadap tujuan bisnis dan arah teknologi. Strategi ini mengartikulasikan bagaimana organisasi akan mengidentifikasi, menilai, memitigasi, dan memantau ancaman serta kerentanan siber dengan cara yang mendukung kerangka kerja manajemen risiko perusahaan yang lebih luas. Strategi ini memastikan bahwa investasi keamanan siber, prioritas, dan keputusan toleransi risiko didorong oleh kebutuhan bisnis, bukan beroperasi secara terisolasi.
Aktivitas Implementasi Utama
- 1 Mendefinisikan dan mendokumentasikan strategi risiko siber yang secara eksplisit merujuk dan mendukung strategi bisnis perusahaan serta peta jalan teknologi
- 2 Menetapkan tujuan strategis risiko siber dengan hasil terukur yang terkait dengan pelestarian dan pemberdayaan nilai bisnis
- 3 Memastikan strategi risiko siber membahas lanskap ancaman organisasi, termasuk risiko geopolitik, spesifik industri, dan yang didorong oleh teknologi
- 4 Mengkomunikasikan strategi kepada seluruh pemangku kepentingan terkait termasuk pimpinan eksekutif, dewan direksi, dan tim operasional
- 5 Menyelaraskan prioritas investasi keamanan siber dengan proses bisnis kritis dan area berisiko tertinggi yang teridentifikasi dalam strategi
Contoh Bukti
- Dokumen strategi risiko siber yang disetujui dengan tanda tangan eksekutif dan tanggal publikasi
- Dokumen pemetaan yang menunjukkan keselarasan antara tujuan strategi risiko siber dan strategi bisnis/teknologi perusahaan
- Risalah rapat dewan direksi atau komite eksekutif yang mendokumentasikan tinjauan dan persetujuan strategi
- Dokumentasi pembaruan strategi tahunan yang menunjukkan pembaruan berdasarkan perubahan arah bisnis atau lanskap ancaman
Tingkat Kematangan
Aktivitas risiko siber ada tetapi bersifat reaktif dan tidak dipandu oleh strategi formal. Tidak ada keselarasan terdokumentasi dengan tujuan bisnis atau teknologi.
Strategi risiko siber formal telah didokumentasikan, disetujui oleh pimpinan eksekutif, dan secara eksplisit diselaraskan dengan strategi bisnis dan teknologi. Strategi dikomunikasikan kepada pemangku kepentingan dan ditinjau secara berkala.
Strategi risiko siber secara terus-menerus disempurnakan berdasarkan intelijen ancaman, perubahan bisnis, dan metrik kinerja. Strategi ini terintegrasi secara mendalam dengan siklus perencanaan strategis perusahaan dan menjadi dasar keputusan alokasi sumber daya.
Templat Dokumen
Persyaratan Bukti Lihat semua bukti
| Jenis | Item Bukti | Frekuensi | Level |
|---|---|---|---|
| Dokumen | Dokumen Strategi Risiko Siber yang disetujui dengan tanda tangan eksekutif/Dewan Direksi | Ditinjau setiap tahun | Wajib |
| Dokumen | Pemetaan keselarasan strategi bisnis dengan strategi risiko siber atau matriks ketertelusuran | Diperbarui setiap revisi strategi | Wajib |
| Dokumen | Pemetaan keselarasan strategi teknologi dengan strategi risiko siber | Diperbarui setiap revisi strategi | Wajib |
| Catatan | Risalah rapat Dewan Direksi atau Komite Eksekutif yang mendokumentasikan tinjauan dan persetujuan strategi | Setiap siklus tinjauan (minimal setiap tahun) | Wajib |
| Catatan | Catatan komunikasi strategi (email distribusi, kehadiran pengarahan, publikasi intranet) | Setiap pembaruan strategi | Diharapkan |
| Catatan | Dokumentasi pembaruan strategi tahunan yang menunjukkan masukan dari lanskap ancaman dan perubahan bisnis | Setiap tahun | Diharapkan |