Tinjauan Independen Lini Kedua
PengawasanPernyataan Kontrol
Lini pertahanan kedua secara berkala memberikan tinjauan independen terhadap berbagai penilaian risiko siber dan aktivitas kontrol lainnya yang dilakukan oleh lini pertahanan pertama.
Deskripsi
Independensi lini pertahanan kedua sangat penting untuk memastikan bahwa penilaian risiko dan aktivitas kontrol lini pertama kredibel, lengkap, dan konsisten dengan kerangka kerja risiko organisasi. Kontrol ini mengharuskan fungsi lini kedua (seperti manajemen risiko perusahaan, kepatuhan, atau tim pengawasan risiko siber khusus) secara aktif meninjau, menantang, dan memvalidasi pekerjaan yang dilakukan oleh lini pertama. Ini termasuk memeriksa kualitas penilaian risiko, kelengkapan pengujian kontrol, akurasi pelaporan risiko, dan efektivitas aktivitas remediasi.
Aktivitas Implementasi Utama
- 1 Menetapkan program tinjauan lini kedua yang formal dengan ruang lingkup, frekuensi, dan metodologi yang ditetapkan untuk meninjau aktivitas risiko siber lini pertama
- 2 Melakukan penilaian independen terhadap kualitas, kelengkapan, dan akurasi penilaian risiko dan peringkat risiko lini pertama
- 3 Meninjau dan menantang hasil pengujian kontrol, rencana remediasi, dan keputusan penerimaan risiko yang dibuat oleh lini pertama
- 4 Memberikan temuan dan rekomendasi formal kepada manajemen lini pertama dan badan tata kelola, serta melacak remediasi atas masalah yang teridentifikasi
- 5 Melaporkan efektivitas keseluruhan aktivitas manajemen risiko siber lini pertama kepada pimpinan eksekutif dan komite tata kelola
Contoh Bukti
- Piagam atau rencana program tinjauan lini kedua yang mendefinisikan ruang lingkup, metodologi, dan jadwal
- Laporan tinjauan lini kedua yang telah diselesaikan dengan temuan, peringkat risiko, dan rekomendasi
- Bukti respons lini pertama terhadap temuan lini kedua (rencana remediasi, tindakan korektif yang diambil)
- Catatan rapat yang menunjukkan pelaporan lini kedua ke komite tata kelola tentang efektivitas lini pertama
- Analisis tren yang menunjukkan temuan tinjauan lini kedua dari waktu ke waktu dan tingkat remediasi
Tingkat Kematangan
Lini kedua memiliki keterlibatan terbatas dalam meninjau aktivitas risiko siber. Tinjauan, jika ada, bersifat ad hoc dan tidak memiliki metodologi formal. Aktivitas lini pertama sebagian besar dinilai sendiri tanpa tantangan independen.
Program tinjauan lini kedua yang terstruktur ada dengan tinjauan berkala terhadap penilaian risiko dan aktivitas kontrol lini pertama. Temuan didokumentasikan secara formal dan dilacak. Lini kedua melaporkan ke komite tata kelola.
Tinjauan lini kedua bersifat komprehensif, berbasis risiko, dan memanfaatkan alat otomatis untuk pengawasan berkelanjutan. Metodologi tinjauan terus ditingkatkan. Lini kedua secara proaktif mengidentifikasi masalah sistemik dan tren risiko yang berkembang.
Templat Dokumen
Persyaratan Bukti Lihat semua bukti
| Jenis | Item Bukti | Frekuensi | Level |
|---|---|---|---|
| Dokumen | Piagam atau rencana program tinjauan lini kedua dengan ruang lingkup, metodologi, dan jadwal | Ditinjau setiap tahun | Wajib |
| Catatan | Laporan tinjauan lini kedua yang telah diselesaikan dengan temuan, peringkat, dan rekomendasi | Setiap tinjauan | Wajib |
| Catatan | Catatan respons lini pertama terhadap temuan lini kedua (rencana remediasi, tindakan korektif) | Setiap temuan | Wajib |
| Catatan | Catatan rapat komite tata kelola yang menunjukkan pelaporan lini kedua tentang efektivitas lini pertama | Setiap kuartal | Wajib |
| Catatan | Analisis tren temuan tinjauan dari waktu ke waktu dan tingkat remediasi | Setiap tahun | Diharapkan |
| Catatan | Bukti independensi lini kedua (struktur pelaporan, dokumentasi mandat) | Ditinjau setiap tahun | Diharapkan |