Daftar Kepatuhan Regulasi dan Prosedur Peninjauan

Tim [CUSTOMIZE: Legal/Compliance/Cyber Risk] harus memelihara Daftar Kepatuhan Regulasi yang mendokumentasikan semua undang-undang, regulasi, kewajiban kontraktual, dan standar industri yang berlaku yang memberlakukan persyaratan terkait keamanan siber pada [ORGANIZATION].

Daftar tersebut harus mencakup, minimal: nama regulasi/undang-undang, yurisdiksi, tanggal efektif, unit bisnis yang berlaku, komponen kerangka kerja yang dipetakan, pemilik kepatuhan, tanggal penilaian terakhir, dan status kepatuhan.

Daftar tersebut harus ditinjau kelengkapannya tidak kurang dari [CUSTOMIZE: quarterly] dan diperbarui dalam [CUSTOMIZE: 30 days] setelah identifikasi persyaratan regulasi baru atau yang diubah.

Sumber yang dipantau untuk perubahan regulasi meliputi: [CUSTOMIZE: e.g., regulatory agency publications, legal counsel updates, industry association alerts, subscription services].

Peninjauan komprehensif Strategi Risiko Siber dan Kerangka Kerja Risiko Siber terhadap Daftar Kepatuhan Regulasi harus dilakukan setidaknya [CUSTOMIZE: annually].

Peninjauan yang dipicu harus dilakukan dalam [CUSTOMIZE: 60 days] setelah salah satu dari kejadian berikut: pengesahan undang-undang keamanan siber baru di yurisdiksi yang berlaku, penerbitan panduan regulasi baru, penerimaan temuan pemeriksaan regulasi, perubahan organisasi yang material, atau perubahan signifikan terhadap lanskap ancaman.

Peninjauan harus dipimpin oleh [CUSTOMIZE: CISO/Head of Cyber Risk] bekerja sama dengan [CUSTOMIZE: Legal, Compliance, Internal Audit, and affected business units].

Setiap peninjauan harus mencakup analisis kesenjangan formal yang membandingkan elemen strategi dan kerangka kerja saat ini dengan persyaratan regulasi yang berlaku.

Kesenjangan harus diklasifikasikan berdasarkan tingkat keparahan: Kritis (ketidakpatuhan terhadap persyaratan regulasi yang mengikat dengan risiko penegakan), Tinggi (ketidakpatuhan terhadap ekspektasi regulasi atau praktik terbaik), Sedang (kepatuhan parsial yang memerlukan peningkatan), Rendah (peluang perbaikan minor).

Untuk setiap kesenjangan yang teridentifikasi, hal-hal berikut harus didokumentasikan: deskripsi kesenjangan, regulasi yang berlaku, komponen kerangka kerja yang terpengaruh, peringkat risiko, pemilik remediasi, tanggal target remediasi, dan kontrol kompensasi sementara (jika ada).

Temuan analisis kesenjangan harus dilaporkan ke [CUSTOMIZE: Executive Risk Committee/Board Audit Committee] dalam [CUSTOMIZE: 30 days] setelah penyelesaian peninjauan.

Semua kesenjangan yang teridentifikasi harus dilacak di [CUSTOMIZE: GRC tool/remediation tracking system] dengan pelaporan kemajuan secara berkala.

Kesenjangan Kritis dan Tinggi harus dilaporkan ke [CUSTOMIZE: CISO/Executive Committee] setidaknya [CUSTOMIZE: monthly] sampai terselesaikan.

Tanggal target remediasi harus berbasis risiko: Kesenjangan Kritis dalam [CUSTOMIZE: 30 days], Tinggi dalam [CUSTOMIZE: 90 days], Sedang dalam [CUSTOMIZE: 180 days], Rendah dalam [CUSTOMIZE: 365 days].

Perpanjangan jadwal remediasi memerlukan persetujuan dari [CUSTOMIZE: CISO/Executive Risk Committee] dengan justifikasi yang didokumentasikan.

Catatan-catatan berikut harus dipelihara sebagai bukti kepatuhan terhadap prosedur ini:

Daftar Kepatuhan Regulasi terkini dengan semua kolom yang diperlukan terisi

Agenda rapat peninjauan, notulen, dan catatan kehadiran

Laporan analisis kesenjangan dengan temuan dan rencana remediasi

Laporan pelacakan remediasi yang menunjukkan kemajuan dan bukti penutupan

Dokumen strategi dan kerangka kerja yang diperbarui dengan kontrol versi yang menunjukkan revisi yang didorong oleh regulasi

Semua catatan harus disimpan selama minimal [CUSTOMIZE: 7 years] sesuai jadwal retensi catatan.