1. Tujuan
Mendefinisikan dan mengkomunikasikan toleransi [ORGANIZATION] terhadap risiko siber di berbagai kategori risiko dan domain bisnis, menyediakan batasan kuantitatif dan kualitatif di mana keputusan manajemen risiko dibuat.
2. Ruang Lingkup
Pernyataan ini berlaku untuk semua keputusan manajemen risiko siber di seluruh [ORGANIZATION], dari prioritas investasi strategis hingga penerimaan risiko operasional.
3. Konten Kebijakan
3.1 Prinsip Selera Risiko
[ORGANIZATION] mengakui bahwa tingkat risiko siber tertentu melekat dalam pencapaian tujuan bisnis dan bahwa menghilangkan semua risiko tidak layak maupun diinginkan.
Selera risiko ditetapkan di tingkat perusahaan oleh [CUSTOMIZE: Board of Directors / Board Risk Committee] dan diturunkan melalui tingkat toleransi risiko ke unit bisnis dan fungsi operasional.
Batasan selera risiko tidak statis dan harus ditinjau setidaknya [CUSTOMIZE: annually] atau ketika dipicu oleh perubahan signifikan terhadap lingkungan bisnis, lanskap ancaman, atau persyaratan regulasi.
3.2 Selera Risiko Siber Perusahaan
[ORGANIZATION] memiliki selera keseluruhan [CUSTOMIZE: LOW / LOW-TO-MODERATE] terhadap risiko siber, mencerminkan kewajibannya kepada [CUSTOMIZE: customers, regulators, shareholders, and the public].
Tingkat selera berikut ditetapkan berdasarkan kategori risiko:
| Kategori Risiko | Tingkat Selera | Alasan |
|---|---|---|
| Kerahasiaan Data Nasabah | [CUSTOMIZE: Very Low] | Kewajiban regulasi dan persyaratan kepercayaan nasabah |
| Integritas Sistem | [CUSTOMIZE: Low] | Keandalan proses bisnis dan akurasi pelaporan regulasi |
| Ketersediaan Layanan | [CUSTOMIZE: Low-to-Moderate] | Kekritisan layanan dan dampak gangguan terhadap nasabah |
| Kepatuhan Regulasi | [CUSTOMIZE: Very Low] | Toleransi nol terhadap ketidakpatuhan yang disengaja; selera rendah terhadap kesenjangan kepatuhan |
| Risiko Pihak Ketiga | [CUSTOMIZE: Low] | Ketergantungan pada pihak ketiga untuk layanan kritis |
| Ancaman Orang Dalam | [CUSTOMIZE: Low] | Akses ke data sensitif dan sistem kritis |
| Teknologi yang Muncul | [CUSTOMIZE: Moderate] | Kebutuhan seimbang antara inovasi dan profil risiko yang belum diketahui |
| Dampak Reputasi | [CUSTOMIZE: Very Low] | Nilai merek dan kepercayaan pemangku kepentingan |
3.3 Ambang Batas Toleransi Risiko
Ambang batas toleransi risiko menerjemahkan selera kualitatif menjadi batasan terukur yang memicu eskalasi dan tindakan:
HIJAU (Dalam Selera): Tingkat risiko dapat diterima. Lanjutkan pemantauan sesuai frekuensi yang ditetapkan. Tidak diperlukan eskalasi.
KUNING (Mendekati Batas Selera): Tingkat risiko mengarah ke batas selera. Diperlukan pemantauan yang ditingkatkan. Pemilik risiko harus mengembangkan rencana penanganan dalam [CUSTOMIZE: 30 days].
MERAH (Melebihi Selera): Tingkat risiko telah melebihi selera yang ditetapkan. Diperlukan eskalasi segera ke [CUSTOMIZE: CISO/Executive Risk Committee]. Rencana penanganan dengan jadwal diperlukan dalam [CUSTOMIZE: 5 business days].
KRITIS (Pelanggaran Material): Tingkat risiko merepresentasikan ancaman langsung terhadap organisasi. Diperlukan eskalasi segera ke [CUSTOMIZE: CEO/Board]. Prosedur respons darurat diaktifkan.
3.4 Otoritas Penerimaan Risiko
Keputusan penerimaan risiko harus dibuat oleh individu dengan otoritas yang sepadan dengan tingkat risiko residual:
| Tingkat Risiko Residual | Otoritas Penerimaan | Durasi Maksimum | Frekuensi Peninjauan |
|---|---|---|---|
| Rendah | [CUSTOMIZE: Department Manager] | 12 bulan | Tahunan |
| Sedang | [CUSTOMIZE: VP / Senior Director] | 12 bulan | Per Semester |
| Tinggi | [CUSTOMIZE: CISO / CRO] | 6 bulan | Triwulanan |
| Kritis | [CUSTOMIZE: Executive Committee / Board] | 3 bulan | Bulanan |
3.5 Persetujuan dan Peninjauan
Pernyataan Selera Risiko ini disetujui oleh [CUSTOMIZE: Board of Directors / Board Risk Committee].
Pernyataan ini harus ditinjau setidaknya [CUSTOMIZE: annually] dan diperbarui ketika strategi bisnis, lingkungan regulasi, atau lanskap ancaman berubah secara material mempengaruhi profil risiko organisasi.
Perubahan terhadap selera risiko memerlukan persetujuan pada tingkat otoritas yang sama dengan pernyataan aslinya.
4. Kepatuhan
Kepatuhan terhadap kebijakan ini bersifat wajib bagi seluruh personel dan fungsi dalam ruang lingkupnya. Kepatuhan akan dipantau melalui audit berkala, tinjauan manajemen, dan pengawasan lini pertahanan kedua.
Pengecualian terhadap kebijakan ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [SESUAIKAN: CISO/Komite Risiko Eksekutif], dan ditinjau setidaknya setiap tahun.
5. Tinjauan dan Revisi
Kebijakan ini harus ditinjau setidaknya setiap tahun oleh [SESUAIKAN: CISO/Pemilik Dokumen] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, struktur organisasi, atau selera risiko.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Dokumen
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen