Akuntabilitas Eksekutif
PengawasanPernyataan Kontrol
Organisasi telah menunjuk seorang eksekutif yang bertanggung jawab atas strategi risiko siber, kerangka kerja risiko siber, serta kesadaran dan pengetahuan risiko siber di tingkat eksekutif.
Deskripsi
Penunjukan eksekutif senior dengan akuntabilitas eksplisit untuk tata kelola risiko siber memastikan bahwa keamanan siber memiliki representasi yang tepat dalam pengambilan keputusan strategis. Eksekutif ini (umumnya CISO, CRO, atau yang setara) bertanggung jawab atas pengembangan dan pelaksanaan strategi risiko siber, pemeliharaan dan efektivitas kerangka kerja risiko siber, serta memastikan bahwa tim pimpinan eksekutif dan dewan direksi mempertahankan kesadaran dan pemahaman yang memadai tentang risiko siber untuk memenuhi tanggung jawab pengawasan mereka.
Aktivitas Implementasi Utama
- 1 Secara formal menunjuk peran tingkat eksekutif dengan tanggung jawab terdokumentasi untuk strategi risiko siber, kerangka kerja, dan program kesadaran eksekutif
- 2 Mendefinisikan struktur pelaporan untuk memastikan eksekutif risiko siber memiliki akses langsung ke dewan direksi atau komite dewan
- 3 Menetapkan pengarahan rutin bagi eksekutif dan dewan direksi mengenai postur risiko siber, ancaman yang berkembang, dan efektivitas program
- 4 Memastikan eksekutif risiko siber memiliki wewenang yang memadai untuk membuat keputusan risiko dan memengaruhi alokasi sumber daya
- 5 Mendokumentasikan mandat, ruang lingkup kewenangan, dan akuntabilitas peran tersebut dalam dokumentasi tata kelola organisasi
Contoh Bukti
- Surat penunjukan atau keputusan dewan direksi yang menyebutkan eksekutif yang bertanggung jawab atas risiko siber
- Deskripsi peran atau dokumen piagam yang mendefinisikan tanggung jawab, wewenang, dan hubungan pelaporan
- Risalah rapat dewan direksi dan komite eksekutif yang menunjukkan pengarahan risiko siber berkala oleh eksekutif yang ditunjuk
- Bagan organisasi yang menunjukkan posisi dan jalur pelaporan eksekutif risiko siber
- Bukti aktivitas kesadaran risiko siber di tingkat eksekutif (pengarahan, pelatihan, latihan tabletop)
Tingkat Kematangan
Tanggung jawab risiko siber didistribusikan secara informal atau berada di tingkat non-eksekutif. Tidak ada satu eksekutif pun yang memiliki akuntabilitas jelas atas program risiko siber secara keseluruhan. Keterlibatan dewan direksi terhadap risiko siber minimal.
Seorang eksekutif yang ditunjuk secara formal bertanggung jawab atas strategi dan kerangka kerja risiko siber. Pelaporan rutin ke dewan direksi mengenai risiko siber telah ditetapkan. Eksekutif tersebut memiliki mandat yang jelas dan kewenangan organisasi yang memadai.
Eksekutif risiko siber terintegrasi secara mendalam dalam pengambilan keputusan strategis perusahaan. Keterlibatan dewan direksi bersifat proaktif dan mencakup latihan berbasis skenario. Peran tersebut mendorong budaya pengambilan keputusan yang sadar risiko di seluruh organisasi.
Templat Dokumen
Persyaratan Bukti Lihat semua bukti
| Jenis | Item Bukti | Frekuensi | Level |
|---|---|---|---|
| Dokumen | Surat penunjukan eksekutif, keputusan Dewan Direksi, atau piagam yang menyebutkan eksekutif yang bertanggung jawab | Diperbarui saat terjadi perubahan | Wajib |
| Dokumen | Piagam peran yang mendefinisikan mandat, wewenang, tanggung jawab, dan jalur pelaporan | Ditinjau setiap tahun | Wajib |
| Catatan | Bagan organisasi yang menunjukkan posisi eksekutif risiko siber dan struktur pelaporan | Terkini | Wajib |
| Catatan | Risalah rapat Dewan Direksi dan Komite Eksekutif yang menunjukkan pengarahan risiko siber berkala | Setiap rapat (minimal setiap kuartal) | Wajib |
| Catatan | Aktivitas kesadaran risiko siber eksekutif/Dewan Direksi (materi pengarahan, catatan latihan tabletop) | Minimal setiap tahun | Wajib |
| Catatan | Kerangka acuan Komite Risiko Dewan Direksi termasuk tanggung jawab pengawasan risiko siber | Ditinjau setiap tahun | Diharapkan |