Prosedur Pelaporan dan Eskalasi Risiko Siber

Tinjauan Risiko Operasional: Tinjauan [CUSTOMIZE: Weekly] yang dilakukan oleh [CUSTOMIZE: Security Operations / IT Operations] untuk menilai risiko baru, memperbarui peringkat risiko yang ada, dan meninjau kemajuan penanganan.

Tinjauan Risiko Manajemen: Tinjauan [CUSTOMIZE: Monthly] yang dilakukan oleh [CUSTOMIZE: CISO / Cyber Risk Team] untuk mengkonsolidasikan input operasional, menilai tren risiko, dan menyiapkan pelaporan manajemen.

Tinjauan Risiko Eksekutif: Tinjauan [CUSTOMIZE: Quarterly] yang dilakukan dengan [CUSTOMIZE: Executive Risk Committee] untuk meninjau postur risiko siber perusahaan, menyetujui keputusan penanganan, dan mengalokasikan sumber daya.

Tinjauan Risiko Dewan: Pengarahan [CUSTOMIZE: Quarterly] kepada [CUSTOMIZE: Board Risk Committee] tentang postur risiko siber, perkembangan signifikan, dan pertimbangan risiko strategis.

Tinjauan Ad Hoc: Dipicu oleh insiden signifikan, intelijen ancaman yang mengindikasikan risiko segera, atau perubahan material terhadap lingkungan risiko.

Risiko harus diprioritaskan menggunakan kriteria berikut yang dievaluasi secara kombinasi:

Tingkat Risiko Residual: Berdasarkan metodologi penilaian risiko (kemungkinan x dampak setelah kontrol), risiko dengan peringkat Kritis atau Tinggi mendapat perhatian prioritas.

Kecepatan: Risiko dengan potensi onset cepat (dapat terwujud dalam [CUSTOMIZE: 30 days]) dieskalasi terlepas dari tingkat risiko keseluruhan.

Dampak Bisnis: Risiko yang mempengaruhi [CUSTOMIZE: customer-facing services, regulatory compliance, financial operations] mendapat prioritas yang ditingkatkan.

Arah Tren: Risiko dengan tren yang memburuk (kemungkinan atau dampak yang meningkat) selama [CUSTOMIZE: two or more] periode pelaporan ditandai untuk perhatian yang ditingkatkan.

Agregasi: Risiko terkait yang secara individual tampak sedang tetapi secara kolektif merepresentasikan eksposur material diidentifikasi dan dilaporkan sebagai risiko teragregasi.

Kriteria eskalasi berikut berlaku:

Laporan risiko eksekutif harus mencakup bagian standar berikut:

1. Ringkasan Postur Risiko: Status risiko keseluruhan (HIJAU/KUNING/MERAH), perubahan dari periode sebelumnya, dan pendorong utama perubahan.

2. Risiko Teratas: [CUSTOMIZE: top 10] risiko siber teratas yang diurutkan berdasarkan prioritas dengan peringkat saat ini, indikator tren, dan status penanganan.

3. Dasbor KRI/KPI: Nilai saat ini terhadap ambang batas dengan indikator tren.

4. Ringkasan Insiden: Jumlah dan klasifikasi insiden dalam periode pelaporan dengan insiden penting yang dirinci.

5. Status Kepatuhan: Ringkasan postur kepatuhan regulasi dengan temuan terbuka dan kemajuan remediasi.

6. Kemajuan Penanganan: Status inisiatif penanganan risiko yang disetujui terhadap tonggak yang direncanakan.

7. Risiko yang Muncul: Risiko baru atau yang berkembang yang diidentifikasi selama periode yang mungkin memerlukan perhatian strategis.

8. Status Sumber Daya dan Anggaran: Pemanfaatan sumber daya program risiko siber dan status anggaran.

9. Keputusan yang Diperlukan: Keputusan penanganan risiko spesifik atau permintaan alokasi sumber daya untuk tindakan eksekutif.

Semua keputusan penanganan risiko yang dibuat oleh badan tata kelola harus didokumentasikan di [CUSTOMIZE: GRC tool/risk register] dalam [CUSTOMIZE: 5 business days] setelah keputusan.

Setiap catatan keputusan harus mencakup: ID risiko, tanggal keputusan, pembuat keputusan, opsi penanganan yang dipilih, pemilik yang ditunjuk, tanggal target penyelesaian, dan kondisi atau kontrol kompensasi apa pun.

Kemajuan penanganan harus dilaporkan pada setiap rapat tata kelola berikutnya sampai penanganan selesai dan divalidasi.

Penanganan yang tertinggal dari jadwal lebih dari [CUSTOMIZE: 30 days] harus secara otomatis dieskalasi ke tingkat tata kelola berikutnya.