Rencana Program Risiko Siber
Kontrol Tata Kelola: Perencanaan dan Penganggaran Berbasis Risiko
1. Tujuan
Mendokumentasikan proyek, program, dan alokasi anggaran risiko siber [ORGANIZATION] yang diprioritaskan untuk periode perencanaan, dengan keterkaitan eksplisit terhadap risiko yang teridentifikasi, persyaratan kepatuhan, intelijen ancaman, dan dampak insiden potensial.
2. Ruang Lingkup
Rencana ini mencakup semua proyek, program, dan kegiatan operasional risiko siber yang didanai dan diusulkan untuk [CUSTOMIZE: FY2025 / the current planning period], di seluruh unit bisnis dan lingkungan teknologi.
3. Konten Rencana
3.1 Input Perencanaan
Rencana program ini dikembangkan menggunakan input berikut:
Tujuan dan prioritas strategis Strategi Risiko Siber (disetujui [CUSTOMIZE: date])
Daftar Risiko Siber saat ini termasuk [CUSTOMIZE: number] risiko aktif yang dinilai Tinggi atau di atasnya
Temuan analisis kesenjangan Daftar Kepatuhan Regulasi dari peninjauan [CUSTOMIZE: date]
Penilaian intelijen ancaman untuk [CUSTOMIZE: current year] yang mengidentifikasi [CUSTOMIZE: top threat trends]
Analisis tren insiden yang mencakup periode [CUSTOMIZE: date range] yang mengidentifikasi [CUSTOMIZE: key incident patterns/impacts]
Analisis dampak bisnis yang mengidentifikasi [CUSTOMIZE: number] proses bisnis kritis dan ketergantungan teknologi terkait
Laporan kinerja program tahun sebelumnya yang menunjukkan [CUSTOMIZE: completion rate and key outcomes]
3.2 Metodologi Prioritas Berbasis Risiko
Proyek dan program diprioritaskan menggunakan model penilaian tertimbang yang mencakup kriteria berikut:
Dampak Pengurangan Risiko (Bobot: [CUSTOMIZE: 30%]): Sejauh mana inisiatif mengurangi eksposur terhadap risiko Tinggi dan Kritis yang teridentifikasi
Kewajiban Kepatuhan (Bobot: [CUSTOMIZE: 25%]): Apakah inisiatif menangani persyaratan regulasi yang mengikat atau temuan pemeriksaan
Relevansi Ancaman (Bobot: [CUSTOMIZE: 20%]): Keselarasan dengan tren ancaman saat ini dan yang muncul yang relevan dengan sektor [ORGANIZATION]
Dampak Bisnis (Bobot: [CUSTOMIZE: 15%]): Dampak operasional dan finansial potensial jika risiko terwujud tanpa inisiatif
Kelayakan Implementasi (Bobot: [CUSTOMIZE: 10%]): Ketersediaan sumber daya, kompleksitas teknis, dan kesiapan organisasi
Proyek dengan skor [CUSTOMIZE: 7.0] atau di atas pada skala 10 poin diklasifikasikan sebagai Prioritas 1. Proyek dengan skor [CUSTOMIZE: 5.0-6.9] adalah Prioritas 2. Proyek di bawah [CUSTOMIZE: 5.0] ditunda kecuali diwajibkan oleh persyaratan regulasi.
3.3 Program dan Proyek yang Didanai
Tabel berikut merangkum program dan proyek yang disetujui untuk periode perencanaan saat ini:
[CUSTOMIZE: Insert program/project table with columns: Project Name | Priority | Risk(s) Addressed | Budget | Timeline | Owner | Status]
| Program/Proyek | Prioritas | Risiko yang Ditangani | Anggaran | Jadwal | Pemilik |
|---|---|---|---|---|---|
| [CUSTOMIZE: Project 1] | P1 | [CUSTOMIZE: Risk IDs] | [CUSTOMIZE: $] | [CUSTOMIZE: Q1-Q3] | [CUSTOMIZE: Owner] |
| [CUSTOMIZE: Project 2] | P1 | [CUSTOMIZE: Risk IDs] | [CUSTOMIZE: $] | [CUSTOMIZE: Q1-Q4] | [CUSTOMIZE: Owner] |
| [CUSTOMIZE: Project 3] | P2 | [CUSTOMIZE: Risk IDs] | [CUSTOMIZE: $] | [CUSTOMIZE: Q2-Q4] | [CUSTOMIZE: Owner] |
| [CUSTOMIZE: Project 4] | P2 | [CUSTOMIZE: Risk IDs] | [CUSTOMIZE: $] | [CUSTOMIZE: Q3-Q4] | [CUSTOMIZE: Owner] |
3.4 Ringkasan Anggaran
Total anggaran risiko siber yang disetujui untuk [CUSTOMIZE: FY2025]: [CUSTOMIZE: $X,XXX,XXX]
Alokasi anggaran berdasarkan kategori: Personel [CUSTOMIZE: XX%], Teknologi/Alat [CUSTOMIZE: XX%], Layanan Pihak Ketiga [CUSTOMIZE: XX%], Pelatihan [CUSTOMIZE: XX%], Kontingensi [CUSTOMIZE: XX%]
Alokasi anggaran berdasarkan prioritas strategis: [CUSTOMIZE: list priorities with allocated amounts]
Keputusan realokasi anggaran pertengahan tahun akan dibuat oleh [CUSTOMIZE: CISO/Executive Committee] berdasarkan perubahan postur risiko, ancaman yang muncul, atau perkembangan regulasi. Realokasi yang melebihi [CUSTOMIZE: $XX,XXX / 10%] memerlukan persetujuan [CUSTOMIZE: CFO/Executive Committee].
3.5 Pengukuran Kinerja
Kinerja program akan diukur secara triwulanan terhadap kriteria berikut:
Tingkat penyelesaian tonggak proyek terhadap jadwal yang direncanakan
Pemanfaatan anggaran versus alokasi yang direncanakan
Pengurangan risiko terukur yang dicapai (peningkatan KRI, peringkat risiko yang berkurang)
Tingkat penutupan kesenjangan kepatuhan
Laporan kinerja program harus diberikan ke [CUSTOMIZE: Executive Risk Committee] secara triwulanan dan ke [CUSTOMIZE: Board Risk Committee] per semester.
3.6 Proses Repriorisasi
Rencana program dapat diprioritaskan ulang selama periode perencanaan sebagai respons terhadap perubahan signifikan dalam postur risiko, lanskap ancaman, persyaratan regulasi, atau dampak insiden.
Otoritas repriorisasi: Penyesuaian minor (dalam anggaran dan jadwal yang ada) dapat disetujui oleh [CUSTOMIZE: CISO]. Perubahan material (realokasi anggaran, penambahan/pembatalan proyek) memerlukan persetujuan [CUSTOMIZE: Executive Committee].
Semua keputusan repriorisasi harus didokumentasikan dengan alasan dan dikomunikasikan kepada pemangku kepentingan yang terpengaruh dalam [CUSTOMIZE: 5 business days].
4. Kepatuhan
Kepatuhan terhadap rencana ini bersifat wajib bagi seluruh personel dan fungsi dalam ruang lingkupnya. Kepatuhan akan dipantau melalui audit berkala, tinjauan manajemen, dan pengawasan lini pertahanan kedua.
Pengecualian terhadap rencana ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [SESUAIKAN: CISO/Komite Risiko Eksekutif], dan ditinjau setidaknya setiap tahun.
5. Tinjauan dan Revisi
Rencana ini harus ditinjau setidaknya setiap tahun oleh [SESUAIKAN: CISO/Pemilik Dokumen] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, struktur organisasi, atau selera risiko.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Dokumen
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen