Perencanaan dan Penganggaran Berbasis Risiko
StrategiPernyataan Kontrol
Organisasi mempertimbangkan persyaratan kepatuhan risiko siber, risiko yang teridentifikasi, ancaman saat ini dan yang berkembang, serta potensi dampak insiden terhadap operasi dan layanan, sebagai masukan untuk perencanaan dan prioritas proyek, program, dan anggaran risiko siber.
Deskripsi
Manajemen risiko siber yang efektif mengharuskan keputusan investasi didasarkan pada pemahaman komprehensif tentang lanskap risiko. Kontrol ini memastikan bahwa prioritas proyek, pengembangan program, dan alokasi anggaran didorong oleh data risiko aktual, bukan pengambilan keputusan secara ad hoc. Dengan secara sistematis memasukkan persyaratan kepatuhan, hasil penilaian risiko, intelijen ancaman, dan analisis dampak insiden ke dalam proses perencanaan, organisasi dapat mengarahkan sumber daya yang terbatas menuju aktivitas pengurangan risiko dengan prioritas tertinggi.
Aktivitas Implementasi Utama
- 1 Mengintegrasikan keluaran dari penilaian risiko, intelijen ancaman, dan analisis kesenjangan kepatuhan ke dalam proses perencanaan dan penganggaran keamanan siber tahunan
- 2 Mengembangkan metodologi prioritas berbasis risiko untuk proyek dan program risiko siber yang mempertimbangkan kemungkinan, dampak, dan kecepatan risiko yang teridentifikasi
- 3 Mengkuantifikasi potensi dampak operasional dan finansial dari insiden siber untuk mendukung pengembangan kasus bisnis bagi investasi pengurangan risiko
- 4 Menetapkan proses untuk memprioritaskan ulang proyek dan mengalokasikan kembali anggaran sebagai respons terhadap perubahan signifikan dalam lanskap ancaman atau postur risiko
- 5 Melaporkan kepada pimpinan eksekutif tentang bagaimana investasi risiko siber dipetakan ke hasil pengurangan risiko dan kewajiban kepatuhan
Contoh Bukti
- Rencana program risiko siber tahunan yang menunjukkan inisiatif yang diprioritaskan dengan justifikasi berbasis risiko
- Dokumentasi anggaran yang menghubungkan alokasi pendanaan dengan risiko yang teridentifikasi, persyaratan kepatuhan, atau mitigasi ancaman
- Dokumentasi kriteria prioritas dan metodologi penilaian berbasis risiko
- Bukti keputusan prioritas ulang di tengah siklus yang didorong oleh ancaman yang berkembang atau dampak insiden
- Pelaporan eksekutif yang menunjukkan keselarasan investasi risiko siber dengan tujuan pengurangan risiko
Tingkat Kematangan
Keputusan anggaran dan proyek didorong oleh proposal vendor, temuan audit, atau permintaan eksekutif daripada analisis risiko yang sistematis. Hubungan antara penilaian risiko dan alokasi sumber daya terbatas.
Proses yang ditetapkan ada untuk memasukkan hasil penilaian risiko, persyaratan kepatuhan, dan intelijen ancaman ke dalam perencanaan. Anggaran dibenarkan dengan rasional berbasis risiko dan ditinjau oleh pimpinan.
Investasi risiko siber secara terus-menerus dioptimalkan menggunakan analisis risiko kuantitatif, intelijen ancaman waktu nyata, dan hasil pengurangan risiko yang terukur. Mekanisme realokasi dinamis merespons perubahan dalam lanskap ancaman.
Templat Dokumen
Persyaratan Bukti Lihat semua bukti
| Jenis | Item Bukti | Frekuensi | Level |
|---|---|---|---|
| Dokumen | Rencana Program Risiko Siber Tahunan dengan prioritas proyek berbasis risiko | Setiap tahun | Wajib |
| Dokumen | Metodologi prioritas berbasis risiko dan kriteria penilaian | Ditinjau setiap tahun | Wajib |
| Dokumen | Dokumentasi anggaran yang menghubungkan alokasi dengan risiko yang teridentifikasi dan persyaratan kepatuhan | Setiap tahun | Wajib |
| Catatan | Keluaran penilaian risiko yang digunakan sebagai masukan perencanaan (ekstrak daftar risiko, ringkasan intelijen ancaman) | Setiap siklus perencanaan | Wajib |
| Catatan | Keputusan prioritas ulang di tengah siklus dengan alasan yang terdokumentasi | Sesuai kejadian | Diharapkan |
| Catatan | Laporan eksekutif yang menunjukkan keselarasan investasi dengan pengurangan risiko | Setiap kuartal | Diharapkan |