Piagam Eksekutif Risiko Siber

[CUSTOMIZE: Board of Directors / CEO] dengan ini menunjuk [CUSTOMIZE: Name] sebagai [CUSTOMIZE: CISO / Head of Cyber Risk] dengan akuntabilitas eksekutif untuk program manajemen risiko siber [ORGANIZATION], efektif [CUSTOMIZE: date].

[CUSTOMIZE: CISO] melapor langsung ke [CUSTOMIZE: CEO / CRO / CIO] dengan garis pelaporan tidak langsung ke [CUSTOMIZE: Board Risk Committee / Board Audit Committee] untuk hal-hal tata kelola risiko siber.

[CUSTOMIZE: CISO] memiliki otoritas untuk menetapkan kebijakan, standar, dan prosedur risiko siber; mendefinisikan persyaratan keamanan untuk inisiatif teknologi; mengeskalasi risiko material ke kepemimpinan eksekutif dan Dewan; dan merekomendasikan alokasi sumber daya untuk manajemen risiko siber.

Mengembangkan, memelihara, dan melaksanakan Strategi Risiko Siber yang selaras dengan strategi bisnis dan teknologi perusahaan

Menetapkan, memelihara, dan mengelola Kerangka Kerja Risiko Siber termasuk semua kebijakan, standar, peran, dan proses komponennya

Memelihara kesadaran terhadap ancaman siber saat ini dan yang muncul yang relevan dengan [ORGANIZATION] dan memastikan kerangka kerja menangani lanskap ancaman yang berkembang

Menyediakan pelaporan rutin kepada [CUSTOMIZE: Executive Committee] dan [CUSTOMIZE: Board Risk Committee] mengenai postur risiko siber, kinerja program, dan insiden signifikan

Memastikan [ORGANIZATION] memelihara kepatuhan terhadap semua undang-undang, regulasi, dan kewajiban kontraktual keamanan siber yang berlaku

Memimpin kapabilitas respons insiden siber organisasi dan bertindak sebagai titik kontak eksekutif untuk kejadian siber signifikan

Mendorong kesadaran dan edukasi risiko siber di tingkat eksekutif dan Dewan, termasuk pengarahan rutin, latihan skenario, dan pelatihan

[CUSTOMIZE: CISO] harus memberikan pengarahan formal kepada [CUSTOMIZE: Board Risk Committee] setidaknya [CUSTOMIZE: quarterly], mencakup: postur risiko saat ini dan tren, insiden signifikan dan kejadian nyaris, perkembangan regulasi, kinerja program, dan ancaman yang muncul.

[CUSTOMIZE: CISO] harus memfasilitasi setidaknya [CUSTOMIZE: one annual] latihan tabletop atau simulasi risiko siber dengan partisipasi eksekutif dan/atau Dewan.

[CUSTOMIZE: CISO] harus memiliki akses langsung ke [CUSTOMIZE: Board Chair / Risk Committee Chair] untuk eskalasi hal-hal risiko siber material yang memerlukan perhatian Dewan segera.

[CUSTOMIZE: CISO] harus memberikan pengarahan ad hoc sesuai kebutuhan setelah insiden siber signifikan, perubahan regulasi, atau perkembangan ancaman yang muncul.

[CUSTOMIZE: CISO] memiliki otoritas anggaran atas anggaran program risiko siber sebesar [CUSTOMIZE: $X,XXX,XXX] untuk [CUSTOMIZE: current fiscal year].

[CUSTOMIZE: CISO] dapat meminta sumber daya tambahan melalui proses anggaran yang ditetapkan ketika penilaian risiko mengidentifikasi kesenjangan kapabilitas yang tidak dapat diterima.

[CUSTOMIZE: CISO] memiliki otoritas untuk melibatkan sumber daya eksternal (konsultan, penyedia layanan terkelola, perusahaan respons insiden) dalam anggaran yang disetujui dan kebijakan pengadaan.

[CUSTOMIZE: CISO] dapat menggunakan otoritas pengeluaran darurat hingga [CUSTOMIZE: $XX,XXX] untuk kegiatan respons insiden, dengan persetujuan selanjutnya dari [CUSTOMIZE: CFO/CEO] dalam [CUSTOMIZE: 5 business days].

Piagam ini harus ditinjau setidaknya [CUSTOMIZE: annually] oleh [CUSTOMIZE: Board Risk Committee / CEO] dan diperbarui sesuai kebutuhan untuk mencerminkan perubahan dalam struktur organisasi, persyaratan regulasi, atau kebutuhan manajemen risiko.

Kinerja [CUSTOMIZE: CISO] terhadap piagam ini harus dievaluasi secara tahunan sebagai bagian dari proses evaluasi kinerja eksekutif.

Piagam ini disetujui oleh [CUSTOMIZE: Board of Directors / CEO] pada [CUSTOMIZE: date].