Kerangka Kerja Risiko Siber
Kerangka KerjaPernyataan Kontrol
Organisasi memiliki kerangka kerja risiko siber yang mapan (misalnya, seperangkat elemen lengkap termasuk kebijakan, standar, peran dan tanggung jawab, proses manajemen risiko, taksonomi risiko, selera risiko serta ancaman dan teknologi yang berkembang) untuk mendukung strategi risiko siber, serta manajemen ancaman, risiko, dan insiden yang berkelanjutan.
Deskripsi
Kerangka kerja risiko siber yang komprehensif menyediakan fondasi struktural untuk semua aktivitas tata kelola keamanan siber. Kerangka kerja ini menerjemahkan strategi risiko siber tingkat tinggi menjadi komponen yang dapat ditindaklanjuti: kebijakan yang menetapkan ekspektasi, standar yang mendefinisikan persyaratan, peran yang menetapkan akuntabilitas, proses yang memungkinkan manajemen risiko yang konsisten, taksonomi yang memastikan bahasa yang seragam, dan pernyataan selera risiko yang memandu pengambilan keputusan. Kerangka kerja ini juga harus memperhitungkan sifat dinamis lingkungan ancaman, termasuk ancaman yang berkembang dan teknologi baru yang dapat memperkenalkan atau mengubah profil risiko.
Aktivitas Implementasi Utama
- 1 Mengembangkan dan memelihara seperangkat kebijakan, standar, dan prosedur risiko siber yang komprehensif yang secara kolektif mengimplementasikan strategi risiko siber
- 2 Mendefinisikan dan mendokumentasikan taksonomi risiko siber yang menyediakan bahasa umum untuk mengkategorikan, menilai, dan mengkomunikasikan risiko di seluruh organisasi
- 3 Menetapkan pernyataan selera risiko formal yang disetujui oleh pimpinan eksekutif yang mendefinisikan tingkat risiko siber yang dapat diterima di berbagai area bisnis
- 4 Menerapkan proses manajemen risiko yang mencakup identifikasi, penilaian, penanganan, pemantauan, dan pelaporan risiko
- 5 Mengintegrasikan pemantauan ancaman dan teknologi yang berkembang ke dalam kerangka kerja untuk memastikan kerangka kerja tetap terkini dan berorientasi ke depan
Contoh Bukti
- Dokumentasi kerangka kerja risiko siber yang lengkap termasuk semua kebijakan, standar, dan prosedur komponen
- Pernyataan selera risiko yang disetujui dengan ambang batas dan kriteria eskalasi yang ditetapkan
- Dokumen taksonomi risiko yang menunjukkan skema kategorisasi dan keselarasan dengan manajemen risiko perusahaan
- Dokumentasi proses untuk pemantauan ancaman, penilaian risiko, dan alur kerja manajemen insiden
- Bukti siklus tinjauan kerangka kerja dan riwayat versi yang menunjukkan pembaruan untuk ancaman dan teknologi yang berkembang
Tingkat Kematangan
Kebijakan atau prosedur individual mungkin ada tetapi tidak terorganisir dalam kerangka kerja yang kohesif. Selera risiko bersifat informal atau tidak terdefinisi. Tidak ada taksonomi risiko standar yang digunakan.
Kerangka kerja komprehensif telah didokumentasikan dan disetujui, mencakup kebijakan, standar, peran, proses risiko, taksonomi, dan selera risiko. Ancaman yang berkembang dipantau dan kerangka kerja ditinjau sesuai jadwal yang ditetapkan.
Kerangka kerja terintegrasi penuh dengan manajemen risiko perusahaan, diperbarui secara terus-menerus berdasarkan intelijen ancaman dan perubahan teknologi, dan efektivitasnya diukur melalui indikator utama yang terkait dengan selera risiko.
Persyaratan Bukti Lihat semua bukti
| Jenis | Item Bukti | Frekuensi | Level |
|---|---|---|---|
| Dokumen | Dokumen Kerangka Kerja Risiko Siber yang lengkap dengan semua elemen komponen | Ditinjau setiap tahun | Wajib |
| Dokumen | Pernyataan Selera Risiko yang disetujui dengan ambang batas yang ditetapkan | Ditinjau setiap tahun | Wajib |
| Dokumen | Dokumen Taksonomi Risiko dengan skema kategorisasi | Ditinjau setiap tahun | Wajib |
| Dokumen | Inventaris kebijakan dan standar yang menunjukkan semua dokumen komponen kerangka kerja beserta tanggal tinjauan | Dipelihara secara berkelanjutan | Wajib |
| Dokumen | Dokumentasi proses manajemen risiko (identifikasi, penilaian, penanganan, pemantauan, pelaporan) | Ditinjau setiap tahun | Wajib |
| Catatan | Riwayat versi kerangka kerja yang menunjukkan pembaruan untuk ancaman dan teknologi yang berkembang | Setiap pembaruan | Diharapkan |
| Catatan | Daftar pantau ancaman yang berkembang dengan catatan tinjauan | Setiap kuartal | Diharapkan |