Tinjauan Risiko dan Eskalasi ke Eksekutif
PengawasanPernyataan Kontrol
Risiko siber terhadap organisasi serta program atau pelanggannya ditinjau secara berkala, diprioritaskan, dieskalasi, dan dijelaskan kepada eksekutif atau manajemen senior yang tepat, dan risiko tersebut diprioritaskan untuk mitigasi.
Deskripsi
Proses tinjauan dan eskalasi risiko yang berkelanjutan memastikan bahwa risiko siber tidak tetap tersembunyi di tingkat operasional di mana mereka tidak dapat menerima perhatian dan sumber daya yang memadai. Kontrol ini mengharuskan pendekatan sistematis untuk meninjau daftar risiko siber organisasi secara berkala, menilai ulang tingkat risiko, memprioritaskan risiko berdasarkan potensi dampak terhadap organisasi, programnya, dan pelanggannya, serta memastikan bahwa risiko signifikan dikomunikasikan secara jelas kepada eksekutif dan manajemen senior yang memiliki wewenang untuk mengalokasikan sumber daya dan membuat keputusan penanganan risiko.
Aktivitas Implementasi Utama
- 1 Melakukan tinjauan berkala (minimal setiap kuartal) terhadap daftar risiko siber untuk menilai ulang tingkat risiko, mengidentifikasi risiko baru, dan menutup risiko yang telah dimitigasi
- 2 Menerapkan metodologi prioritas risiko yang konsisten dengan mempertimbangkan kemungkinan, dampak, kecepatan, dan keselarasan dengan toleransi risiko organisasi
- 3 Menetapkan kriteria dan jalur eskalasi yang terdefinisi untuk memastikan risiko siber material sampai ke tingkat manajemen dan tata kelola yang tepat
- 4 Menyiapkan laporan risiko tingkat eksekutif yang menerjemahkan risiko teknis ke dalam bahasa dampak bisnis yang sesuai untuk pengambil keputusan
- 5 Melacak keputusan dan tindakan mitigasi risiko untuk memastikan bahwa risiko yang diprioritaskan menerima sumber daya yang dialokasikan dan rencana mitigasi berjalan sesuai rencana
Contoh Bukti
- Daftar risiko siber yang menunjukkan entri risiko dengan tanggal penilaian, peringkat prioritas, pemilik risiko, dan status penanganan
- Risalah rapat tinjauan risiko kuartalan dengan catatan kehadiran dan keputusan yang didokumentasikan
- Laporan risiko eksekutif atau dasbor risiko dewan direksi yang menunjukkan risiko siber yang diprioritaskan dalam konteks bisnis
- Catatan eskalasi yang menunjukkan bahwa risiko material diangkat ke badan tata kelola yang tepat
- Rencana penanganan risiko dengan tonggak pencapaian, pemilik, dan pelacakan kemajuan untuk risiko yang diprioritaskan
Tingkat Kematangan
Tinjauan risiko bersifat informal dan tidak konsisten. Eksekutif menerima pelaporan terbatas atau reaktif mengenai risiko siber, biasanya hanya setelah insiden. Prioritas risiko didasarkan pada penilaian individu dan bukan metodologi yang ditetapkan.
Tinjauan risiko terjadwal dilakukan dengan keluaran terdokumentasi. Eksekutif menerima laporan risiko berkala dengan analisis konteks bisnis. Kriteria eskalasi ditetapkan dan risiko dilacak melalui penanganan hingga resolusi.
Tinjauan risiko bersifat kontinu dan didukung oleh intelijen ancaman waktu nyata serta penilaian risiko otomatis. Eksekutif menerima dasbor risiko dinamis dengan analisis tren prediktif. Efektivitas penanganan risiko diukur dan menjadi umpan balik untuk prioritas.
Templat Dokumen
Persyaratan Bukti Lihat semua bukti
| Jenis | Item Bukti | Frekuensi | Level |
|---|---|---|---|
| Dokumen | Daftar Risiko Siber dengan tanggal penilaian, peringkat prioritas, pemilik, dan status penanganan | Dipelihara secara berkelanjutan | Wajib |
| Dokumen | Dokumentasi kriteria dan jalur eskalasi risiko | Ditinjau setiap tahun | Wajib |
| Catatan | Risalah rapat tinjauan risiko kuartalan dengan kehadiran dan keputusan yang terdokumentasi | Setiap kuartal | Wajib |
| Catatan | Laporan risiko eksekutif atau dasbor Dewan Direksi yang menunjukkan risiko yang diprioritaskan dalam konteks bisnis | Setiap kuartal | Wajib |
| Catatan | Catatan eskalasi yang menunjukkan bahwa risiko material diangkat dengan tepat | Setiap kejadian eskalasi | Wajib |
| Catatan | Rencana penanganan risiko dengan tonggak pencapaian, pemilik, dan pelacakan kemajuan | Setiap rencana penanganan | Wajib |