GOV-9

Tinjauan Risiko dan Eskalasi ke Eksekutif

Pengawasan

Pernyataan Kontrol

Risiko siber terhadap organisasi serta program atau pelanggannya ditinjau secara berkala, diprioritaskan, dieskalasi, dan dijelaskan kepada eksekutif atau manajemen senior yang tepat, dan risiko tersebut diprioritaskan untuk mitigasi.

Deskripsi

Proses tinjauan dan eskalasi risiko yang berkelanjutan memastikan bahwa risiko siber tidak tetap tersembunyi di tingkat operasional di mana mereka tidak dapat menerima perhatian dan sumber daya yang memadai. Kontrol ini mengharuskan pendekatan sistematis untuk meninjau daftar risiko siber organisasi secara berkala, menilai ulang tingkat risiko, memprioritaskan risiko berdasarkan potensi dampak terhadap organisasi, programnya, dan pelanggannya, serta memastikan bahwa risiko signifikan dikomunikasikan secara jelas kepada eksekutif dan manajemen senior yang memiliki wewenang untuk mengalokasikan sumber daya dan membuat keputusan penanganan risiko.

Aktivitas Implementasi Utama

  • 1 Melakukan tinjauan berkala (minimal setiap kuartal) terhadap daftar risiko siber untuk menilai ulang tingkat risiko, mengidentifikasi risiko baru, dan menutup risiko yang telah dimitigasi
  • 2 Menerapkan metodologi prioritas risiko yang konsisten dengan mempertimbangkan kemungkinan, dampak, kecepatan, dan keselarasan dengan toleransi risiko organisasi
  • 3 Menetapkan kriteria dan jalur eskalasi yang terdefinisi untuk memastikan risiko siber material sampai ke tingkat manajemen dan tata kelola yang tepat
  • 4 Menyiapkan laporan risiko tingkat eksekutif yang menerjemahkan risiko teknis ke dalam bahasa dampak bisnis yang sesuai untuk pengambil keputusan
  • 5 Melacak keputusan dan tindakan mitigasi risiko untuk memastikan bahwa risiko yang diprioritaskan menerima sumber daya yang dialokasikan dan rencana mitigasi berjalan sesuai rencana

Contoh Bukti

  • Daftar risiko siber yang menunjukkan entri risiko dengan tanggal penilaian, peringkat prioritas, pemilik risiko, dan status penanganan
  • Risalah rapat tinjauan risiko kuartalan dengan catatan kehadiran dan keputusan yang didokumentasikan
  • Laporan risiko eksekutif atau dasbor risiko dewan direksi yang menunjukkan risiko siber yang diprioritaskan dalam konteks bisnis
  • Catatan eskalasi yang menunjukkan bahwa risiko material diangkat ke badan tata kelola yang tepat
  • Rencana penanganan risiko dengan tonggak pencapaian, pemilik, dan pelacakan kemajuan untuk risiko yang diprioritaskan

Tingkat Kematangan

Level 1 Awal

Tinjauan risiko bersifat informal dan tidak konsisten. Eksekutif menerima pelaporan terbatas atau reaktif mengenai risiko siber, biasanya hanya setelah insiden. Prioritas risiko didasarkan pada penilaian individu dan bukan metodologi yang ditetapkan.

Level 2 Terkelola

Tinjauan risiko terjadwal dilakukan dengan keluaran terdokumentasi. Eksekutif menerima laporan risiko berkala dengan analisis konteks bisnis. Kriteria eskalasi ditetapkan dan risiko dilacak melalui penanganan hingga resolusi.

Level 3 Teroptimasi

Tinjauan risiko bersifat kontinu dan didukung oleh intelijen ancaman waktu nyata serta penilaian risiko otomatis. Eksekutif menerima dasbor risiko dinamis dengan analisis tren prediktif. Efektivitas penanganan risiko diukur dan menjadi umpan balik untuk prioritas.

Persyaratan Bukti Lihat semua bukti

Jenis Item Bukti Frekuensi Level
Dokumen Daftar Risiko Siber dengan tanggal penilaian, peringkat prioritas, pemilik, dan status penanganan Dipelihara secara berkelanjutan Wajib
Dokumen Dokumentasi kriteria dan jalur eskalasi risiko Ditinjau setiap tahun Wajib
Catatan Risalah rapat tinjauan risiko kuartalan dengan kehadiran dan keputusan yang terdokumentasi Setiap kuartal Wajib
Catatan Laporan risiko eksekutif atau dasbor Dewan Direksi yang menunjukkan risiko yang diprioritaskan dalam konteks bisnis Setiap kuartal Wajib
Catatan Catatan eskalasi yang menunjukkan bahwa risiko material diangkat dengan tepat Setiap kejadian eskalasi Wajib
Catatan Rencana penanganan risiko dengan tonggak pencapaian, pemilik, dan pelacakan kemajuan Setiap rencana penanganan Wajib

Pemetaan Kerangka Kerja

NIST CSF 2.0

GV.RM-05 GV.RM-06 GV.RM-07 ID.RA-05 ID.RA-06

ISO 27001:2022

5.1 6.1.2 8.2 8.3 9.3

COBIT 2019

APO12.02 APO12.04 APO12.06 EDM03.02

FFIEC CAT

Governance - Risk Reporting