Sumber Daya dan Keahlian Risiko Siber
Sumber DayaPernyataan Kontrol
Organisasi telah mengalokasikan sumber daya yang memadai dan terampil untuk keberlanjutan program, sistem, peran, dan layanan risiko siber.
Deskripsi
Efektivitas seluruh program manajemen risiko siber bergantung pada ketersediaan sumber daya manusia, keuangan, dan teknis yang memadai dengan keahlian dan ketrampilan yang diperlukan. Kontrol ini mengharuskan organisasi untuk menilai kebutuhan sumber daya terhadap persyaratan program, mengatasi kesenjangan keahlian melalui perekrutan, pelatihan, atau layanan terkelola, dan memastikan bahwa tingkat sumber daya cukup untuk menopang operasi yang berkelanjutan, bukan hanya implementasi awal. Kekurangan sumber daya merupakan akar penyebab umum kegagalan kontrol dan insiden keamanan.
Aktivitas Implementasi Utama
- 1 Melakukan penilaian sumber daya dan keahlian yang membandingkan kemampuan tim risiko siber saat ini dengan persyaratan program dan lanskap ancaman
- 2 Mengembangkan strategi penyediaan sumber daya yang mengatasi kesenjangan yang teridentifikasi melalui kombinasi perekrutan, peningkatan keterampilan, pelatihan silang, dan penggunaan strategis layanan terkelola atau konsultan
- 3 Menetapkan persyaratan kompetensi berbasis peran dan program pengembangan profesional berkelanjutan untuk personel risiko siber
- 4 Memantau pemanfaatan sumber daya dan kapasitas untuk mengidentifikasi risiko kelelahan, titik kegagalan tunggal, dan area di mana permintaan melebihi kapasitas
- 5 Memasukkan pertimbangan keberlanjutan sumber daya dalam siklus perencanaan dan anggaran tahunan, memastikan bahwa kebutuhan operasional berkelanjutan didanai, bukan hanya proyek
Contoh Bukti
- Dokumentasi penilaian kesenjangan sumber daya dan keahlian dengan temuan dan rekomendasi
- Bagan organisasi risiko siber yang menunjukkan peran yang terisi, lowongan, dan struktur pelaporan
- Catatan pelatihan dan sertifikasi untuk personel risiko siber yang menunjukkan pengembangan profesional berkelanjutan
- Dokumentasi anggaran yang menunjukkan pendanaan khusus untuk personel, alat, dan layanan risiko siber
- Dokumentasi perencanaan tenaga kerja yang membahas suksesi, retensi, dan transfer pengetahuan
Tingkat Kematangan
Tanggung jawab risiko siber diberikan kepada personel dengan keahlian terbatas yang relevan atau sebagai tugas tambahan. Anggaran tidak memadai untuk persyaratan program. Kesenjangan keahlian tidak ditangani.
Sumber daya risiko siber khusus dialokasikan dengan peran dan persyaratan kompetensi yang ditetapkan. Anggaran mendukung keberlanjutan program. Program pelatihan dan pengembangan mengatasi kesenjangan keahlian yang teridentifikasi.
Perencanaan sumber daya bersifat dinamis, didukung oleh analisis beban kerja dan perubahan lanskap ancaman. Organisasi berinvestasi dalam pengembangan keahlian lanjutan, manajemen pengetahuan, dan program retensi. Kecukupan sumber daya diukur terhadap metrik kinerja program.
Templat Dokumen
Persyaratan Bukti Lihat semua bukti
| Jenis | Item Bukti | Frekuensi | Level |
|---|---|---|---|
| Dokumen | Penilaian kesenjangan sumber daya dan keahlian dengan temuan dan rekomendasi | Setiap tahun | Wajib |
| Dokumen | Bagan organisasi risiko siber yang menunjukkan peran yang terisi, lowongan, dan struktur pelaporan | Terkini | Wajib |
| Dokumen | Dokumentasi anggaran yang menunjukkan pendanaan khusus untuk personel, alat, dan layanan risiko siber | Setiap tahun | Wajib |
| Catatan | Catatan pelatihan dan sertifikasi untuk personel risiko siber | Dilacak secara berkelanjutan | Wajib |
| Catatan | Dokumentasi perencanaan tenaga kerja yang membahas suksesi dan transfer pengetahuan | Ditinjau setiap tahun | Diharapkan |
| Catatan | Persyaratan kompetensi berbasis peran dan deskripsi jabatan untuk posisi risiko siber | Ditinjau setiap tahun | Diharapkan |