1. Tujuan
Menetapkan rangkaian elemen struktural yang komprehensif yang mengatur bagaimana [ORGANIZATION] mengidentifikasi, menilai, mengelola, dan memantau risiko siber, menyediakan fondasi operasional untuk mengimplementasikan Strategi Risiko Siber.
2. Ruang Lingkup
Kerangka kerja ini berlaku untuk seluruh kegiatan manajemen risiko siber yang dilakukan oleh atau atas nama [ORGANIZATION], mencakup seluruh personel, proses, teknologi, dan hubungan pihak ketiga yang menciptakan, mengelola, atau memitigasi risiko siber.
3. Konten Kerangka Kerja
3.1 Gambaran Umum Kerangka Kerja
Kerangka Kerja Risiko Siber ini mengoperasionalkan Strategi Risiko Siber [ORGANIZATION] dengan mendefinisikan kebijakan, standar, peran dan tanggung jawab, proses manajemen risiko, taksonomi risiko, dan selera risiko yang secara kolektif mengatur manajemen risiko siber.
Kerangka kerja ini disusun berdasarkan [CUSTOMIZE: e.g., NIST CSF 2.0 / ISO 27001 / COBIT] sebagai kerangka referensi utama, dilengkapi dengan persyaratan khusus industri termasuk [CUSTOMIZE: applicable regulations/standards].
Semua komponen kerangka kerja ini tunduk pada proses tata kelola dan peninjauan yang ditetapkan dalam Bagian 8.
3.2 Komponen Kerangka Kerja
Kerangka Kerja Risiko Siber terdiri dari komponen-komponen yang saling terkait berikut:
Kebijakan: Rangkaian lengkap kebijakan risiko siber yang mendefinisikan ekspektasi dan persyaratan organisasi. Inventaris kebijakan saat ini dikelola di [CUSTOMIZE: location/system].
Standar: Standar teknis dan prosedural yang menentukan bagaimana persyaratan kebijakan diimplementasikan. Standar dikelola oleh [CUSTOMIZE: role/team].
Prosedur: Prosedur operasional langkah demi langkah yang memastikan pelaksanaan standar secara konsisten. Prosedur dimiliki oleh tim operasional dalam lini pertahanan pertama.
Peran dan Tanggung Jawab: Ditetapkan menggunakan model tiga lini pertahanan sebagaimana didokumentasikan dalam Bagian 4 kerangka kerja ini.
Proses Manajemen Risiko: Proses untuk mengidentifikasi, menilai, menangani, memantau, dan melaporkan risiko siber sebagaimana ditetapkan dalam Bagian 5.
Taksonomi Risiko: Kategorisasi standar risiko siber sebagaimana ditetapkan dalam Bagian 6.
Selera Risiko: Toleransi organisasi terhadap risiko siber sebagaimana ditetapkan dalam Pernyataan Selera Risiko (Lampiran A).
3.3 Arsitektur Kebijakan
Arsitektur kebijakan risiko siber [ORGANIZATION] mengikuti struktur berjenjang:
Tingkat 1 - Kebijakan Risiko Siber: Kebijakan utama yang disetujui oleh [CUSTOMIZE: Board/Executive] yang menetapkan mandat untuk manajemen risiko siber.
Tingkat 2 - Kebijakan Domain: Kebijakan yang menangani domain spesifik termasuk namun tidak terbatas pada: penggunaan yang dapat diterima, kontrol akses, perlindungan data, respons insiden, manajemen risiko pihak ketiga, dan kelangsungan bisnis.
Tingkat 3 - Standar dan Pedoman: Standar teknis dan prosedural yang menentukan persyaratan implementasi untuk setiap kebijakan domain.
Tingkat 4 - Prosedur dan Buku Pedoman: Prosedur operasional terperinci yang dikelola oleh pemilik kontrol.
Inventaris kebijakan lengkap, termasuk kepemilikan, tanggal peninjauan, dan status persetujuan, dikelola di [CUSTOMIZE: GRC tool/document management system].
3.4 Peran dan Tanggung Jawab - Tiga Lini Pertahanan
Lini Pertahanan Pertama (Kepemilikan Risiko): Unit bisnis dan operasi TI bertanggung jawab untuk mengidentifikasi dan mengelola risiko siber dalam area tanggung jawab mereka, mengimplementasikan kontrol, melakukan penilaian mandiri, dan melaporkan efektivitas kontrol. Peran lini pertama meliputi: [CUSTOMIZE: e.g., Business Unit Managers, IT Operations, Application Owners, Data Owners].
Lini Pertahanan Kedua (Pengawasan Risiko): Fungsi [CUSTOMIZE: Cyber Risk Management / Enterprise Risk Management / Compliance] menyediakan pengawasan independen, menetapkan standar, melakukan penilaian risiko independen, menantang aktivitas lini pertama, dan melaporkan postur risiko siber keseluruhan organisasi. Peran lini kedua meliputi: [CUSTOMIZE: e.g., CISO, Cyber Risk Managers, Compliance Officers].
Lini Pertahanan Ketiga (Penjaminan Independen): Audit Internal memberikan penjaminan independen atas efektivitas aktivitas lini pertama dan kedua. Piagam Audit Internal mencakup risiko siber dalam lingkup dan mandatnya.
Pengawasan Dewan dan Eksekutif: [CUSTOMIZE: Board Risk Committee / Audit Committee] menyediakan pengawasan tata kelola atas kerangka kerja risiko siber. [CUSTOMIZE: Executive Risk Committee] memberikan arahan tingkat eksekutif dan alokasi sumber daya.
3.5 Proses Manajemen Risiko
Identifikasi Risiko: Risiko siber diidentifikasi melalui pemantauan intelijen ancaman, penilaian kerentanan, analisis kesenjangan kontrol, tinjauan insiden, penilaian pihak ketiga, dan penilaian dampak perubahan bisnis. Semua risiko yang teridentifikasi dicatat dalam Daftar Risiko Siber yang dikelola di [CUSTOMIZE: GRC tool/system].
Penilaian Risiko: Risiko dinilai menggunakan metodologi [CUSTOMIZE: qualitative/semi-quantitative/quantitative] yang mengevaluasi kemungkinan dan dampak di seluruh dimensi [CUSTOMIZE: confidentiality, integrity, availability, financial, regulatory, and reputational]. Kriteria penilaian ditetapkan dalam Metodologi Penilaian Risiko (Lampiran B).
Penanganan Risiko: Untuk setiap risiko yang dinilai, salah satu dari empat opsi penanganan dipilih: Mitigasi (menerapkan kontrol untuk mengurangi risiko), Transfer (membagi risiko melalui asuransi atau pengaturan kontraktual), Terima (menerima secara formal dalam selera risiko), atau Hindari (menghentikan aktivitas yang menciptakan risiko). Keputusan penanganan harus diotorisasi sesuai Matriks Otoritas Penerimaan Risiko (Lampiran C).
Pemantauan Risiko: Risiko dipantau melalui Indikator Risiko Utama (KRI), pengujian kontrol, analisis insiden, dan penilaian ulang berkala. Frekuensi pemantauan ditetapkan per tingkat risiko: Risiko Kritis dipantau [CUSTOMIZE: continuously/monthly], Risiko Tinggi [CUSTOMIZE: monthly/quarterly], dan Risiko Sedang/Rendah [CUSTOMIZE: quarterly/semi-annually].
Pelaporan Risiko: [CUSTOMIZE: CISO/CRO] menyediakan laporan risiko kepada [CUSTOMIZE: Executive Risk Committee] setidaknya [CUSTOMIZE: monthly/quarterly] dan kepada [CUSTOMIZE: Board Risk Committee] setidaknya [CUSTOMIZE: quarterly]. Laporan mencakup postur risiko saat ini, tren, pelanggaran ambang batas, dan kemajuan penanganan.
3.6 Taksonomi Risiko
[ORGANIZATION] menggunakan taksonomi risiko siber standar berikut untuk memastikan kategorisasi dan komunikasi risiko yang konsisten:
Kategori 1 - Ancaman Eksternal: Malware, phishing, ransomware, DDoS, ancaman persisten tingkat lanjut, kompromi rantai pasokan, eksploitasi zero-day.
Kategori 2 - Ancaman Orang Dalam: Orang dalam yang jahat, orang dalam yang lalai, kredensial yang dikompromikan, penyalahgunaan hak istimewa.
Kategori 3 - Risiko Teknologi: Kesalahan konfigurasi, kerentanan yang belum ditambal, sistem warisan, arsitektur yang tidak memadai, risiko khusus cloud.
Kategori 4 - Risiko Pihak Ketiga: Pelanggaran vendor, kegagalan penyedia layanan, integritas rantai pasokan, risiko konsentrasi.
Kategori 5 - Risiko Kepatuhan: Ketidakpatuhan terhadap regulasi, ketidakpatuhan kontraktual, pelanggaran kebijakan.
Kategori 6 - Risiko Data: Pelanggaran data, kehilangan data, kompromi integritas data, pelanggaran privasi.
Kategori 7 - Risiko Operasional: Gangguan layanan, kegagalan pemulihan bencana, kendala kapasitas, kegagalan manajemen perubahan.
[CUSTOMIZE: Add or modify categories to align with the organization's enterprise risk taxonomy]
3.7 Ancaman dan Teknologi yang Muncul
Kerangka kerja ini mencakup proses untuk memantau dan menilai implikasi risiko dari ancaman dan teknologi yang muncul termasuk namun tidak terbatas pada:
Kecerdasan buatan dan pembelajaran mesin (AI adversarial, deepfake, serangan berbantuan AI)
Implikasi komputasi kuantum terhadap kontrol kriptografi
Risiko konvergensi IoT dan teknologi operasional
Arsitektur cloud-native dan risiko komputasi serverless
Tim [CUSTOMIZE: Cyber Threat Intelligence / Security Architecture] mengelola Daftar Pantau Risiko yang Muncul, ditinjau [CUSTOMIZE: quarterly] oleh [CUSTOMIZE: CISO / Security Leadership Team], dengan temuan yang dimasukkan ke dalam daftar risiko dan pembaruan kerangka kerja sesuai kebutuhan.
3.8 Tata Kelola dan Peninjauan Kerangka Kerja
Kerangka kerja ini harus ditinjau secara komprehensif setidaknya [CUSTOMIZE: annually] oleh [CUSTOMIZE: CISO/Cyber Risk Team] dengan persetujuan dari [CUSTOMIZE: Executive Risk Committee].
Pembaruan sementara dapat dipicu oleh perubahan regulasi yang signifikan, insiden material, restrukturisasi organisasi, atau perubahan signifikan terhadap lanskap ancaman.
Semua komponen kerangka kerja (kebijakan, standar, prosedur) mengikuti jadwal peninjauan yang ditetapkan dalam Standar Tata Kelola Kebijakan.
Efektivitas kerangka kerja diukur melalui indikator berikut: [CUSTOMIZE: e.g., maturity assessment scores, audit findings, incident metrics, risk assessment completion rates].
4. Kepatuhan
Kepatuhan terhadap kerangka kerja ini bersifat wajib bagi seluruh personel dan fungsi dalam ruang lingkupnya. Kepatuhan akan dipantau melalui audit berkala, tinjauan manajemen, dan pengawasan lini pertahanan kedua.
Pengecualian terhadap kerangka kerja ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [SESUAIKAN: CISO/Komite Risiko Eksekutif], dan ditinjau setidaknya setiap tahun.
5. Tinjauan dan Revisi
Kerangka Kerja ini harus ditinjau setidaknya setiap tahun oleh [SESUAIKAN: CISO/Pemilik Dokumen] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, struktur organisasi, atau selera risiko.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Dokumen
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen