Indikator Risiko dan Kinerja Utama
PengawasanPernyataan Kontrol
Indikator risiko dan kinerja utama serta ambang batas telah ditetapkan untuk risiko dan kontrol siber utama organisasi. Indikator risiko harus selaras dengan selera risiko siber sebagaimana dinyatakan dalam kerangka kerja risiko siber.
Deskripsi
Key Risk Indicator (KRI) dan Key Performance Indicator (KPI) menyediakan ukuran kuantitatif dan kualitatif yang memungkinkan organisasi memantau postur risiko siber dan efektivitas kontrol. KRI berfungsi sebagai sinyal peringatan dini bahwa tingkat risiko mendekati atau melampaui selera risiko yang ditetapkan, sementara KPI mengukur apakah kontrol dan proses keamanan berjalan sebagaimana dimaksudkan. Menetapkan ambang batas yang dikaitkan dengan selera risiko menciptakan titik pemicu untuk eskalasi, investigasi, dan tindakan korektif, mengubah manajemen risiko dari latihan berkala menjadi kapabilitas pemantauan berkelanjutan.
Aktivitas Implementasi Utama
- 1 Mendefinisikan KRI yang mengukur paparan terhadap risiko siber utama dan menyelaraskan tingkat ambang batas dengan pernyataan selera risiko yang disetujui
- 2 Mendefinisikan KPI yang mengukur efektivitas kontrol dan proses keamanan kritis terhadap tingkat kinerja target
- 3 Menetapkan ambang batas (hijau/kuning/merah atau yang setara) yang memicu eskalasi, investigasi, dan aktivitas remediasi
- 4 Menerapkan pengumpulan dan pelaporan data indikator secara otomatis untuk memungkinkan visibilitas tepat waktu terhadap status risiko dan kontrol
- 5 Meninjau dan mengkalibrasi ulang indikator dan ambang batas secara berkala untuk memastikan tetap relevan seiring berkembangnya lanskap risiko dan selera risiko
Contoh Bukti
- Daftar KRI dan KPI yang mendokumentasikan setiap indikator, definisinya, sumber data, pemilik, tingkat ambang batas, dan keselarasan dengan selera risiko
- Dasbor atau laporan yang menunjukkan nilai indikator saat ini terhadap ambang batas yang ditetapkan
- Catatan eskalasi yang menunjukkan bahwa pelanggaran ambang batas memicu tindakan respons yang ditetapkan
- Bukti tinjauan dan kalibrasi ulang indikator secara berkala (risalah rapat, definisi indikator yang diperbarui)
- Pernyataan selera risiko dengan keterkaitan eksplisit terhadap ambang batas KRI
Tingkat Kematangan
KRI/KPI formal untuk risiko siber terbatas atau tidak ada. Metrik dikumpulkan secara ad hoc dan tidak terkait dengan selera risiko. Ambang batas tidak didefinisikan.
Seperangkat KRI dan KPI yang ditetapkan telah dibuat, diselaraskan dengan selera risiko, dan dilaporkan kepada manajemen secara berkala. Ambang batas memicu tindakan eskalasi dan respons yang terdokumentasi.
Indikator bersifat komprehensif, otomatis, dan memberikan visibilitas hampir waktu nyata. Analitik prediktif dan tren digunakan untuk mengantisipasi pelanggaran ambang batas. Indikator secara terus-menerus disempurnakan berdasarkan analisis efektivitas dan perubahan selera risiko.
Templat Dokumen
Persyaratan Bukti Lihat semua bukti
| Jenis | Item Bukti | Frekuensi | Level |
|---|---|---|---|
| Dokumen | Daftar KRI/KPI dengan definisi, sumber data, ambang batas, dan keselarasan selera risiko | Ditinjau setiap semester | Wajib |
| Dokumen | Pernyataan Selera Risiko yang menunjukkan keterkaitan eksplisit dengan ambang batas KRI | Ditinjau setiap tahun | Wajib |
| Catatan | Dasbor atau laporan yang menunjukkan nilai indikator saat ini terhadap ambang batas | Bulanan/Kuartalan | Wajib |
| Catatan | Catatan eskalasi yang menunjukkan tindakan respons atas pelanggaran ambang batas | Setiap kejadian pelanggaran | Wajib |
| Catatan | Catatan tinjauan dan kalibrasi ulang indikator | Setiap semester | Diharapkan |
| Catatan | Laporan analisis tren yang menunjukkan pergerakan indikator dari waktu ke waktu | Setiap kuartal | Diharapkan |