Tinjauan Strategi dan Kerangka Kerja
PengawasanPernyataan Kontrol
Organisasi melakukan tinjauan berkala terhadap strategi risiko siber dan kerangka kerja risiko siber, untuk memastikan kepatuhan terhadap persyaratan hukum dan peraturan.
Deskripsi
Tinjauan berkala terhadap strategi risiko siber dan kerangka kerja pendukungnya memastikan bahwa organisasi tetap patuh terhadap kewajiban hukum dan peraturan yang terus berkembang. Lanskap peraturan untuk keamanan siber bersifat dinamis, dengan persyaratan baru yang muncul dari undang-undang perlindungan data, peraturan spesifik industri, dan arahan pemerintah. Tinjauan sistematis memverifikasi bahwa strategi dan kerangka kerja telah memasukkan persyaratan terkini, mengidentifikasi kesenjangan, dan mendorong tindakan korektif sebelum kegagalan kepatuhan terwujud.
Aktivitas Implementasi Utama
- 1 Menetapkan jadwal tinjauan formal untuk strategi dan kerangka kerja risiko siber, minimal setiap tahun dan dipicu oleh perubahan peraturan yang signifikan
- 2 Memelihara inventaris peraturan yang melacak semua undang-undang, peraturan, dan kewajiban kontraktual keamanan siber dan perlindungan data yang berlaku
- 3 Melakukan analisis kesenjangan yang membandingkan elemen strategi dan kerangka kerja saat ini dengan persyaratan peraturan
- 4 Mendokumentasikan temuan tinjauan, tindakan remediasi, penanggung jawab, dan target tanggal penyelesaian
- 5 Melibatkan tim hukum, kepatuhan, dan urusan peraturan dalam proses tinjauan untuk memastikan cakupan yang komprehensif
Contoh Bukti
- Jadwal tinjauan dan bukti tinjauan yang dilakukan sesuai jadwal (risalah rapat, catatan persetujuan)
- Inventaris atau daftar peraturan yang menunjukkan semua persyaratan yang berlaku dan pemetaannya ke komponen kerangka kerja
- Laporan analisis kesenjangan dengan kekurangan yang teridentifikasi dan rencana remediasi
- Dokumen strategi dan kerangka kerja yang diperbarui dengan kontrol versi yang menunjukkan revisi berdasarkan temuan tinjauan
- Catatan partisipasi tim hukum dan kepatuhan dalam aktivitas tinjauan
Tingkat Kematangan
Tinjauan dilakukan secara ad hoc, biasanya hanya dipicu oleh temuan audit atau insiden. Tidak ada pelacakan sistematis terhadap perubahan peraturan atau dampaknya terhadap kerangka kerja.
Tinjauan dilakukan sesuai jadwal yang ditetapkan dengan prosedur terdokumentasi. Inventaris peraturan tersedia dan analisis kesenjangan dilakukan secara sistematis. Temuan dilacak melalui proses remediasi.
Pemantauan peraturan secara terus-menerus mendorong pembaruan proaktif terhadap strategi dan kerangka kerja. Alat pelacakan kepatuhan otomatis memberikan visibilitas waktu nyata terhadap posisi kepatuhan peraturan. Hasil tinjauan langsung menjadi masukan perencanaan strategis.
Templat Dokumen
Persyaratan Bukti Lihat semua bukti
| Jenis | Item Bukti | Frekuensi | Level |
|---|---|---|---|
| Dokumen | Jadwal tinjauan yang ditetapkan untuk strategi dan kerangka kerja | Ditetapkan setiap tahun | Wajib |
| Dokumen | Daftar Kepatuhan Peraturan dengan semua persyaratan yang berlaku yang dipetakan ke komponen kerangka kerja | Diperbarui setiap kuartal | Wajib |
| Catatan | Agenda rapat tinjauan, risalah, dan catatan kehadiran | Setiap tinjauan | Wajib |
| Catatan | Laporan analisis kesenjangan dengan temuan, rencana remediasi, dan penanggung jawab | Setiap tinjauan | Wajib |
| Catatan | Pelacakan remediasi yang menunjukkan penutupan kesenjangan yang teridentifikasi | Bulanan hingga terselesaikan | Wajib |
| Catatan | Dokumen strategi/kerangka kerja yang diperbarui dengan kontrol versi yang menunjukkan revisi berdasarkan tinjauan | Setiap revisi | Diharapkan |
| Catatan | Catatan partisipasi tim hukum dan kepatuhan dalam aktivitas tinjauan | Setiap tinjauan | Diharapkan |