GOV-3

Tinjauan Strategi dan Kerangka Kerja

Pengawasan

Pernyataan Kontrol

Organisasi melakukan tinjauan berkala terhadap strategi risiko siber dan kerangka kerja risiko siber, untuk memastikan kepatuhan terhadap persyaratan hukum dan peraturan.

Deskripsi

Tinjauan berkala terhadap strategi risiko siber dan kerangka kerja pendukungnya memastikan bahwa organisasi tetap patuh terhadap kewajiban hukum dan peraturan yang terus berkembang. Lanskap peraturan untuk keamanan siber bersifat dinamis, dengan persyaratan baru yang muncul dari undang-undang perlindungan data, peraturan spesifik industri, dan arahan pemerintah. Tinjauan sistematis memverifikasi bahwa strategi dan kerangka kerja telah memasukkan persyaratan terkini, mengidentifikasi kesenjangan, dan mendorong tindakan korektif sebelum kegagalan kepatuhan terwujud.

Aktivitas Implementasi Utama

  • 1 Menetapkan jadwal tinjauan formal untuk strategi dan kerangka kerja risiko siber, minimal setiap tahun dan dipicu oleh perubahan peraturan yang signifikan
  • 2 Memelihara inventaris peraturan yang melacak semua undang-undang, peraturan, dan kewajiban kontraktual keamanan siber dan perlindungan data yang berlaku
  • 3 Melakukan analisis kesenjangan yang membandingkan elemen strategi dan kerangka kerja saat ini dengan persyaratan peraturan
  • 4 Mendokumentasikan temuan tinjauan, tindakan remediasi, penanggung jawab, dan target tanggal penyelesaian
  • 5 Melibatkan tim hukum, kepatuhan, dan urusan peraturan dalam proses tinjauan untuk memastikan cakupan yang komprehensif

Contoh Bukti

  • Jadwal tinjauan dan bukti tinjauan yang dilakukan sesuai jadwal (risalah rapat, catatan persetujuan)
  • Inventaris atau daftar peraturan yang menunjukkan semua persyaratan yang berlaku dan pemetaannya ke komponen kerangka kerja
  • Laporan analisis kesenjangan dengan kekurangan yang teridentifikasi dan rencana remediasi
  • Dokumen strategi dan kerangka kerja yang diperbarui dengan kontrol versi yang menunjukkan revisi berdasarkan temuan tinjauan
  • Catatan partisipasi tim hukum dan kepatuhan dalam aktivitas tinjauan

Tingkat Kematangan

Level 1 Awal

Tinjauan dilakukan secara ad hoc, biasanya hanya dipicu oleh temuan audit atau insiden. Tidak ada pelacakan sistematis terhadap perubahan peraturan atau dampaknya terhadap kerangka kerja.

Level 2 Terkelola

Tinjauan dilakukan sesuai jadwal yang ditetapkan dengan prosedur terdokumentasi. Inventaris peraturan tersedia dan analisis kesenjangan dilakukan secara sistematis. Temuan dilacak melalui proses remediasi.

Level 3 Teroptimasi

Pemantauan peraturan secara terus-menerus mendorong pembaruan proaktif terhadap strategi dan kerangka kerja. Alat pelacakan kepatuhan otomatis memberikan visibilitas waktu nyata terhadap posisi kepatuhan peraturan. Hasil tinjauan langsung menjadi masukan perencanaan strategis.

Persyaratan Bukti Lihat semua bukti

Jenis Item Bukti Frekuensi Level
Dokumen Jadwal tinjauan yang ditetapkan untuk strategi dan kerangka kerja Ditetapkan setiap tahun Wajib
Dokumen Daftar Kepatuhan Peraturan dengan semua persyaratan yang berlaku yang dipetakan ke komponen kerangka kerja Diperbarui setiap kuartal Wajib
Catatan Agenda rapat tinjauan, risalah, dan catatan kehadiran Setiap tinjauan Wajib
Catatan Laporan analisis kesenjangan dengan temuan, rencana remediasi, dan penanggung jawab Setiap tinjauan Wajib
Catatan Pelacakan remediasi yang menunjukkan penutupan kesenjangan yang teridentifikasi Bulanan hingga terselesaikan Wajib
Catatan Dokumen strategi/kerangka kerja yang diperbarui dengan kontrol versi yang menunjukkan revisi berdasarkan tinjauan Setiap revisi Diharapkan
Catatan Catatan partisipasi tim hukum dan kepatuhan dalam aktivitas tinjauan Setiap tinjauan Diharapkan

Pemetaan Kerangka Kerja

NIST CSF 2.0

GV.OC-03 GV.OC-05 GV.RM-06

ISO 27001:2022

4.2 9.1 9.3 10.1 10.2

COBIT 2019

MEA03.01 MEA03.02 MEA03.03

FFIEC CAT

Governance - Regulatory Compliance