Program Tinjauan Risiko Siber Lini Kedua
Kontrol Tata Kelola: Tinjauan Independen Lini Kedua
1. Tujuan
Mendefinisikan program lini pertahanan kedua untuk meninjau dan menantang secara independen penilaian risiko siber, kegiatan kontrol, dan praktik manajemen risiko yang dilakukan oleh lini pertahanan pertama.
2. Ruang Lingkup
Program ini mencakup semua kegiatan tinjauan independen lini kedua yang terkait dengan manajemen risiko siber lini pertama, termasuk penilaian risiko, penilaian mandiri kontrol, keputusan penerimaan risiko, manajemen insiden, dan kegiatan kepatuhan.
3. Konten Program
3.1 Mandat dan Independensi Program
Fungsi [CUSTOMIZE: Cyber Risk Management / Enterprise Risk Management / Compliance], yang beroperasi sebagai lini pertahanan kedua, dimandatkan untuk menyediakan pengawasan independen atas kegiatan manajemen risiko siber lini pertama.
Independensi lini kedua dijaga melalui: garis pelaporan yang terpisah dari operasi lini pertama, otoritas untuk mengakses semua informasi dan personel yang relevan, dan kemampuan untuk melaporkan langsung ke [CUSTOMIZE: Executive Risk Committee / Board] tanpa penyaringan lini pertama.
Manajemen lini pertama harus bekerja sama dengan tinjauan lini kedua dan menyediakan akses tepat waktu ke personel, dokumentasi, dan sistem sesuai permintaan.
3.2 Lingkup dan Cakupan Tinjauan
Lini kedua harus melakukan jenis tinjauan berikut berdasarkan jadwal berbasis risiko:
| Jenis Tinjauan | Lingkup | Frekuensi | Keluaran |
|---|---|---|---|
| Tinjauan Kualitas Penilaian Risiko | Menilai kelengkapan, akurasi, dan kepatuhan metodologi penilaian risiko lini pertama | [CUSTOMIZE: Quarterly] | Kartu skor kualitas dan laporan temuan |
| Tinjauan Efektivitas Kontrol | Pengujian independen kontrol keamanan kritis untuk memvalidasi penilaian mandiri lini pertama | [CUSTOMIZE: Semi-annually] | Laporan efektivitas kontrol |
| Tinjauan Penerimaan Risiko | Meninjau keputusan penerimaan risiko untuk otoritas yang tepat, kelengkapan, dan validitas berkelanjutan | [CUSTOMIZE: Quarterly] | Laporan tinjauan penerimaan |
| Tinjauan Pemantauan Kepatuhan | Memverifikasi kepatuhan lini pertama terhadap kebijakan, standar, dan persyaratan regulasi | [CUSTOMIZE: Monthly/Quarterly] | Laporan status kepatuhan |
| Tinjauan Manajemen Insiden | Menilai kualitas penanganan insiden, analisis akar penyebab, dan implementasi pelajaran | [CUSTOMIZE: After major incidents / Quarterly] | Temuan tinjauan insiden |
| Tinjauan Tematik | Tinjauan mendalam domain risiko spesifik atau area risiko yang muncul | [CUSTOMIZE: 2-3 per year] | Laporan tinjauan tematik |
3.3 Metodologi Tinjauan
Tinjauan harus dilakukan menggunakan metodologi terdokumentasi yang mencakup: perencanaan dan penentuan lingkup tinjauan, pengumpulan dan analisis informasi, pengujian dan validasi independen, pengembangan temuan dan penilaian risiko, serta pelaporan dan rekomendasi.
Temuan harus dinilai menggunakan tingkat keparahan berikut: Kritis (kegagalan kontrol material atau pelanggaran regulasi yang memerlukan tindakan segera), Tinggi (kesenjangan signifikan yang memerlukan remediasi dalam [CUSTOMIZE: 60 days]), Sedang (perbaikan diperlukan dalam [CUSTOMIZE: 120 days]), Rendah (rekomendasi praktik terbaik dalam [CUSTOMIZE: 180 days]).
Semua temuan harus mencakup: deskripsi temuan, analisis akar penyebab, implikasi risiko, rekomendasi, dan rencana remediasi yang disepakati dengan pemilik dan tanggal target.
Manajemen lini pertama harus memberikan tanggapan formal terhadap semua temuan dalam [CUSTOMIZE: 15 business days] sejak penerbitan laporan.
3.4 Pelaporan
Lini kedua harus melaporkan hasil tinjauan ke [CUSTOMIZE: CISO / Executive Risk Committee] setidaknya [CUSTOMIZE: quarterly], termasuk: ringkasan tinjauan yang diselesaikan, temuan dan tema utama, status remediasi untuk temuan terbuka, dan penilaian efektivitas manajemen risiko lini pertama.
Laporan tahunan mengenai efektivitas keseluruhan manajemen risiko siber lini pertama harus dipresentasikan kepada [CUSTOMIZE: Board Risk Committee / Board Audit Committee].
Temuan Kritis harus dilaporkan ke [CUSTOMIZE: CISO / Executive Risk Committee] segera setelah identifikasi, tanpa menunggu siklus pelaporan reguler.
4. Kepatuhan
Kepatuhan terhadap program ini bersifat wajib bagi seluruh personel dan fungsi dalam ruang lingkupnya. Kepatuhan akan dipantau melalui audit berkala, tinjauan manajemen, dan pengawasan lini pertahanan kedua.
Pengecualian terhadap program ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [SESUAIKAN: CISO/Komite Risiko Eksekutif], dan ditinjau setidaknya setiap tahun.
5. Tinjauan dan Revisi
Program ini harus ditinjau setidaknya setiap tahun oleh [SESUAIKAN: CISO/Pemilik Dokumen] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, struktur organisasi, atau selera risiko.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Dokumen
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen