Formulir Permintaan Penerimaan Risiko dan Daftar
Kontrol Tata Kelola: Penerimaan Risiko Formal
1. Tujuan
Menyediakan formulir standar untuk mendokumentasikan dan meminta penerimaan risiko secara formal, dan struktur daftar untuk melacak semua risiko yang diterima melalui siklus hidupnya.
2. Ruang Lingkup
Formulir dan daftar ini berlaku untuk semua risiko siber di mana keputusan penanganan adalah menerima risiko residual, baik secara sementara maupun secara berkelanjutan.
3. Konten Formulir
3.1 Formulir Permintaan Penerimaan Risiko
Informasi berikut diperlukan untuk semua permintaan penerimaan risiko:
Informasi Permintaan: Nama pemohon, tanggal, unit bisnis, ID entri daftar risiko terkait.
Deskripsi Risiko: Deskripsi jelas tentang risiko yang diterima, termasuk kerentanan spesifik, ancaman, atau kesenjangan kontrol.
Penilaian Risiko: Peringkat risiko saat ini (skor kemungkinan dan dampak menggunakan metodologi yang disetujui), tingkat risiko residual setelah kontrol yang ada, dan aset atau proses yang terpengaruh.
Justifikasi Penerimaan: Alasan bisnis untuk menerima risiko daripada memitigasi, mentransfer, atau menghindarinya. Harus mencakup analisis biaya-manfaat yang membandingkan biaya penanganan terhadap eksposur kerugian potensial.
Kontrol Kompensasi: Deskripsi kontrol kompensasi yang ada yang sebagian mengurangi risiko, termasuk efektivitasnya dan persyaratan pemantauan apa pun.
Durasi Penerimaan: Periode penerimaan yang diminta (tidak boleh melebihi [CUSTOMIZE: 12 months] tanpa persetujuan ulang). Sertakan tanggal peninjauan yang diusulkan.
Kondisi Penerimaan: Kondisi apa pun di mana penerimaan menjadi tidak valid (misalnya, perubahan lanskap ancaman, proses bisnis, atau persyaratan regulasi yang akan mengubah penilaian risiko).
Informasi Penyetuju: Nama, jabatan, tanda tangan, dan tanggal. Otoritas persetujuan harus selaras dengan Matriks Otoritas Penerimaan Risiko dalam Pernyataan Selera Risiko.
3.2 Struktur Daftar Penerimaan Risiko
Daftar Penerimaan Risiko harus melacak hal-hal berikut untuk setiap risiko yang diterima:
| Kolom | Deskripsi |
|---|---|
| ID Penerimaan | Pengenal unik (format: RA-[YYYY]-[NNN]) |
| Referensi Daftar Risiko | Tautan ke entri terkait dalam daftar risiko siber |
| Deskripsi Risiko | Ringkasan risiko yang diterima |
| Peringkat Risiko Residual | Tingkat risiko residual saat ini (Kritis/Tinggi/Sedang/Rendah) |
| Pemohon | Nama dan unit bisnis individu yang meminta penerimaan |
| Penyetuju | Nama dan jabatan individu yang menyetujui penerimaan |
| Tanggal Persetujuan | Tanggal penerimaan disetujui |
| Tanggal Kedaluwarsa/Peninjauan | Tanggal di mana penerimaan harus ditinjau atau diperbarui |
| Kontrol Kompensasi | Deskripsi kontrol kompensasi yang ada |
| Kondisi | Kondisi yang akan membatalkan penerimaan |
| Status | Aktif / Dalam Peninjauan / Kedaluwarsa / Ditutup (risiko dimitigasi) |
| Tanggal Peninjauan Terakhir | Tanggal peninjauan terbaru dari penerimaan ini |
| Hasil Peninjauan | Perbarui / Remediasi / Eskalasi / Tutup |
3.3 Proses Manajemen Daftar
Daftar Penerimaan Risiko harus dipelihara oleh [CUSTOMIZE: Cyber Risk Management team] di [CUSTOMIZE: GRC tool/system].
Peringatan otomatis harus dihasilkan [CUSTOMIZE: 30 days] sebelum tanggal kedaluwarsa penerimaan, memberitahu pemilik risiko dan [CUSTOMIZE: Cyber Risk Management].
Penerimaan yang kedaluwarsa di mana peninjauan belum diselesaikan harus dieskalasi ke [CUSTOMIZE: CISO] dalam [CUSTOMIZE: 5 business days] setelah kedaluwarsa.
Daftar harus ditinjau secara keseluruhan oleh [CUSTOMIZE: CISO / Cyber Risk Committee] setidaknya [CUSTOMIZE: quarterly] untuk mengidentifikasi tren, konsentrasi, dan masalah penuaan.
Metrik ringkasan dari daftar (total penerimaan, tingkat risiko, penuaan, kepatuhan kedaluwarsa) harus dimasukkan dalam laporan risiko siber eksekutif [CUSTOMIZE: quarterly].
4. Kepatuhan
Kepatuhan terhadap formulir ini bersifat wajib bagi seluruh personel dan fungsi dalam ruang lingkupnya. Kepatuhan akan dipantau melalui audit berkala, tinjauan manajemen, dan pengawasan lini pertahanan kedua.
Pengecualian terhadap formulir ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [SESUAIKAN: CISO/Komite Risiko Eksekutif], dan ditinjau setidaknya setiap tahun.
5. Tinjauan dan Revisi
Formulir ini harus ditinjau setidaknya setiap tahun oleh [SESUAIKAN: CISO/Pemilik Dokumen] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, struktur organisasi, atau selera risiko.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Dokumen
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen