Tiga Lini Pertahanan - Matriks RACI Risiko Siber
Kontrol Tata Kelola: Tiga Lini Pertahanan
1. Tujuan
Menggambarkan dengan jelas peran dan tanggung jawab setiap lini pertahanan dan pemangku kepentingan utama untuk semua kegiatan manajemen risiko siber inti, memastikan tidak ada kesenjangan atau tumpang tindih akuntabilitas yang tidak diinginkan.
2. Ruang Lingkup
Matriks ini mencakup semua proses dan kegiatan manajemen risiko siber di seluruh tiga lini pertahanan (manajemen operasional, pengawasan risiko, dan penjaminan independen) serta badan tata kelola Dewan dan eksekutif.
3. Konten Matriks
3.1 Definisi RACI
R (Responsible/Bertanggung Jawab): Peran yang melaksanakan kegiatan atau melakukan pekerjaan. Beberapa peran dapat berbagi tanggung jawab.
A (Accountable/Akuntabel): Peran tunggal yang pada akhirnya bertanggung jawab atas penyelesaian kegiatan yang benar. Hanya satu peran yang akuntabel per kegiatan.
C (Consulted/Dikonsultasikan): Peran yang pendapatnya diminta sebelum atau selama kegiatan. Komunikasi dua arah.
I (Informed/Diinformasikan): Peran yang diberitahu tentang hasil atau keputusan. Komunikasi satu arah.
3.2 Identifikasi dan Penilaian Risiko
RACI berikut berlaku untuk kegiatan identifikasi dan penilaian risiko:
| Kegiatan | Lini 1 (Operasi) | Lini 2 (Risiko/Kepatuhan) | Lini 3 (Audit Internal) | Eksekutif/Dewan |
|---|---|---|---|---|
| Melakukan penilaian risiko operasional | R/A | C | I | I |
| Memelihara daftar risiko siber | R | A | I | I |
| Melakukan penilaian ancaman dan kerentanan | R | C/A | I | I |
| Melakukan penilaian risiko independen | C | R/A | I | I |
| Melaporkan hasil penilaian risiko ke tata kelola | C | R/A | I | A |
| Mengaudit kualitas dan kelengkapan penilaian risiko | I | C | R/A | I |
3.3 Implementasi dan Pemantauan Kontrol
RACI berikut berlaku untuk implementasi kontrol dan pemantauan berkelanjutan:
| Kegiatan | Lini 1 (Operasi) | Lini 2 (Risiko/Kepatuhan) | Lini 3 (Audit Internal) | Eksekutif/Dewan |
|---|---|---|---|---|
| Mengimplementasikan kontrol keamanan | R/A | C | I | I |
| Melakukan penilaian mandiri kontrol | R/A | C | I | I |
| Memantau efektivitas kontrol (operasional) | R/A | I | I | I |
| Melakukan pengujian kontrol independen | C | R/A | I | I |
| Mengaudit desain dan efektivitas operasi kontrol | C | C | R/A | I |
| Meremediasi defisiensi kontrol | R/A | C | I | I |
| Melacak dan melaporkan kemajuan remediasi | R | A | C | I |
3.4 Tata Kelola Kebijakan dan Kerangka Kerja
RACI berikut berlaku untuk kegiatan tata kelola kebijakan dan kerangka kerja:
| Kegiatan | Lini 1 (Operasi) | Lini 2 (Risiko/Kepatuhan) | Lini 3 (Audit Internal) | Eksekutif/Dewan |
|---|---|---|---|---|
| Mengembangkan dan memelihara kebijakan risiko siber | C | R/A | I | A (persetujuan) |
| Mengimplementasikan persyaratan kebijakan secara operasional | R/A | C | I | I |
| Memantau kepatuhan kebijakan | R | A | I | I |
| Mengaudit kepatuhan kebijakan | I | C | R/A | I |
| Meninjau dan memperbarui kerangka kerja risiko siber | C | R/A | C | A (persetujuan) |
| Melaporkan efektivitas kerangka kerja | C | R/A | C | I |
3.5 Manajemen Insiden
RACI berikut berlaku untuk manajemen insiden siber:
| Kegiatan | Lini 1 (Operasi) | Lini 2 (Risiko/Kepatuhan) | Lini 3 (Audit Internal) | Eksekutif/Dewan |
|---|---|---|---|---|
| Mendeteksi dan melakukan triase kejadian keamanan | R/A | I | I | I |
| Melaksanakan prosedur respons insiden | R/A | C | I | I (insiden besar) |
| Menilai risiko dan dampak insiden | R | A | I | I (insiden besar) |
| Memberitahu regulator dan pihak eksternal | C | R/A | I | A |
| Melakukan tinjauan pasca-insiden | R | C/A | C | I |
| Mengaudit efektivitas respons insiden | I | C | R/A | I |
3.6 Pelaporan dan Eskalasi Risiko
RACI berikut berlaku untuk pelaporan dan eskalasi risiko:
| Kegiatan | Lini 1 (Operasi) | Lini 2 (Risiko/Kepatuhan) | Lini 3 (Audit Internal) | Eksekutif/Dewan |
|---|---|---|---|---|
| Melaporkan metrik risiko operasional | R/A | I | I | I |
| Menyusun laporan risiko siber perusahaan | C | R/A | I | I |
| Mengeskalasi risiko material ke tata kelola | R | A | I | I |
| Menyediakan laporan penjaminan independen | I | I | R/A | I |
| Meninjau dan menindaklanjuti laporan risiko | I | C | I | R/A |
| Menyetujui perubahan selera dan toleransi risiko | I | C | I | R/A |
4. Kepatuhan
Kepatuhan terhadap matriks ini bersifat wajib bagi seluruh personel dan fungsi dalam ruang lingkupnya. Kepatuhan akan dipantau melalui audit berkala, tinjauan manajemen, dan pengawasan lini pertahanan kedua.
Pengecualian terhadap matriks ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [SESUAIKAN: CISO/Komite Risiko Eksekutif], dan ditinjau setidaknya setiap tahun.
5. Tinjauan dan Revisi
Matriks ini harus ditinjau setidaknya setiap tahun oleh [SESUAIKAN: CISO/Pemilik Dokumen] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, struktur organisasi, atau selera risiko.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Dokumen
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen