Tiga Lini Pertahanan
PengawasanPernyataan Kontrol
Peran dan tanggung jawab dari masing-masing tiga lini pertahanan dan pemangku kepentingan lainnya dijelaskan secara jelas dalam kerangka kerja risiko siber.
Deskripsi
Model tiga lini pertahanan adalah struktur tata kelola yang membedakan antara kepemilikan risiko (lini pertama), pengawasan risiko (lini kedua), dan jaminan independen (lini ketiga). Dalam konteks risiko siber, lini pertama terdiri dari manajemen operasional dan tim yang memiliki dan mengelola risiko siber sehari-hari. Lini kedua mencakup fungsi manajemen risiko dan kepatuhan yang memberikan pengawasan, menetapkan standar, dan menantang lini pertama. Lini ketiga adalah audit internal, yang memberikan jaminan independen atas efektivitas lini pertama dan kedua. Mendokumentasikan peran-peran ini dengan jelas dalam kerangka kerja risiko siber mencegah kesenjangan, tumpang tindih, dan kegagalan akuntabilitas.
Aktivitas Implementasi Utama
- 1 Mendokumentasikan peran, tanggung jawab, dan batas akuntabilitas untuk setiap lini pertahanan dalam kerangka kerja risiko siber
- 2 Mendefinisikan tanggung jawab lini pertama untuk mengimplementasikan kontrol, mengelola risiko, dan melaporkan efektivitas kontrol
- 3 Menetapkan mandat lini kedua untuk penilaian risiko independen, pengawasan kebijakan, pemantauan kepatuhan, dan menantang aktivitas lini pertama
- 4 Memastikan lini ketiga (audit internal) memiliki mandat independen untuk menilai efektivitas aktivitas risiko siber baik lini pertama maupun kedua
- 5 Mendefinisikan mekanisme koordinasi dan alur informasi antara ketiga lini, termasuk protokol eskalasi dan persyaratan pelaporan
Contoh Bukti
- Dokumentasi kerangka kerja dengan delineasi tanggung jawab tiga lini pertahanan yang jelas untuk risiko siber
- Matriks RACI yang menunjukkan kepemilikan aktivitas di ketiga lini untuk proses risiko siber utama
- Piagam atau mandat audit internal yang merujuk cakupan risiko siber dan persyaratan independensi
- Laporan pengawasan lini kedua yang menunjukkan tinjauan dan tantangan independen terhadap aktivitas lini pertama
- Dokumentasi tata kelola organisasi yang menunjukkan jalur pelaporan yang menjaga independensi lini kedua dan ketiga
Tingkat Kematangan
Lini pertahanan tidak didefinisikan secara formal untuk risiko siber. Tanggung jawab tumpang tindih atau memiliki kesenjangan. Lini kedua mungkin tidak memiliki independensi atau mandat yang memadai untuk menantang lini pertama.
Model tiga lini secara formal didokumentasikan dan diterapkan untuk risiko siber. Setiap lini memiliki tanggung jawab, persyaratan pelaporan, dan akuntabilitas yang jelas. Independensi lini kedua dan ketiga didukung secara struktural.
Ketiga lini beroperasi secara harmonis dengan mekanisme koordinasi yang mapan. Efektivitas setiap lini diukur dan dilaporkan. Model secara berkala dinilai dan disesuaikan dengan perubahan struktur organisasi dan profil risiko.
Templat Dokumen
Persyaratan Bukti Lihat semua bukti
| Jenis | Item Bukti | Frekuensi | Level |
|---|---|---|---|
| Dokumen | Dokumentasi kerangka kerja dengan delineasi tiga lini pertahanan yang jelas | Ditinjau setiap tahun | Wajib |
| Dokumen | Matriks RACI untuk aktivitas risiko siber di seluruh tiga lini | Ditinjau setiap tahun | Wajib |
| Dokumen | Piagam Audit Internal yang merujuk cakupan risiko siber dan mandat independensi | Ditinjau setiap tahun | Wajib |
| Catatan | Laporan pengawasan lini kedua yang menunjukkan tinjauan dan tantangan independen | Setiap kuartal | Wajib |
| Catatan | Laporan audit internal tentang risiko siber yang mencakup efektivitas lini pertama dan kedua | Setiap siklus audit | Wajib |
| Catatan | Dokumentasi tata kelola organisasi yang menunjukkan jalur pelaporan yang menjaga independensi | Terkini | Diharapkan |