1. Tujuan
Mendefinisikan dan mendokumentasikan Indikator Risiko Utama (KRI) dan Indikator Kinerja Utama (KPI) yang digunakan untuk memantau postur risiko siber dan efektivitas kontrol [ORGANIZATION], termasuk tingkat ambang batas yang selaras dengan selera risiko yang disetujui.
2. Ruang Lingkup
Daftar ini mencakup semua indikator risiko siber dan kinerja kontrol yang dilaporkan kepada manajemen, kepemimpinan eksekutif, dan Dewan sebagai bagian dari program pelaporan risiko siber.
3. Konten Daftar
3.1 Indikator Risiko Utama (KRI)
KRI mengukur eksposur terhadap risiko siber dan memberikan peringatan dini ketika tingkat risiko mendekati atau melebihi selera risiko yang ditetapkan.
| ID KRI | Nama Indikator | Deskripsi | Ambang Hijau | Ambang Kuning | Ambang Merah | Sumber Data | Frekuensi | Pemilik |
|---|---|---|---|---|---|---|---|---|
| KRI-01 | Eksposur kerentanan kritis | Jumlah kerentanan kritis/tinggi yang belum ditambal pada aset dalam lingkup | [CUSTOMIZE: <50] | [CUSTOMIZE: 50-100] | [CUSTOMIZE: >100] | [CUSTOMIZE: Vuln scanner] | Mingguan | [CUSTOMIZE] |
| KRI-02 | Tingkat klik phishing | Persentase personel yang mengklik tautan phishing simulasi | [CUSTOMIZE: <3%] | [CUSTOMIZE: 3-8%] | [CUSTOMIZE: >8%] | [CUSTOMIZE: SAT platform] | Per kampanye | [CUSTOMIZE] |
| KRI-03 | Waktu rata-rata deteksi (MTTD) | Waktu rata-rata dari intrusi hingga deteksi di seluruh insiden | [CUSTOMIZE: <24hrs] | [CUSTOMIZE: 24-72hrs] | [CUSTOMIZE: >72hrs] | [CUSTOMIZE: SIEM/SOAR] | Bulanan | [CUSTOMIZE] |
| KRI-04 | Eksposur risiko pihak ketiga | Persentase vendor kritis dengan penilaian risiko yang terlambat | [CUSTOMIZE: <5%] | [CUSTOMIZE: 5-15%] | [CUSTOMIZE: >15%] | [CUSTOMIZE: TPRM tool] | Bulanan | [CUSTOMIZE] |
| KRI-05 | Anomali akun istimewa | Jumlah kejadian akses istimewa di luar pola normal | [CUSTOMIZE: <10/month] | [CUSTOMIZE: 10-25/month] | [CUSTOMIZE: >25/month] | [CUSTOMIZE: PAM/SIEM] | Mingguan | [CUSTOMIZE] |
| KRI-06 | Backlog temuan regulasi | Jumlah temuan regulasi/audit terbuka yang melewati tenggat remediasi | [CUSTOMIZE: 0] | [CUSTOMIZE: 1-3] | [CUSTOMIZE: >3] | [CUSTOMIZE: GRC tool] | Bulanan | [CUSTOMIZE] |
| KRI-07 | Kejadian kehilangan data | Jumlah kejadian kehilangan atau paparan data yang terkonfirmasi | [CUSTOMIZE: 0] | [CUSTOMIZE: 1-2] | [CUSTOMIZE: >2] | [CUSTOMIZE: DLP/incident log] | Bulanan | [CUSTOMIZE] |
| KRI-08 | Penuaan penerimaan risiko | Persentase penerimaan risiko yang melewati tanggal peninjauan | [CUSTOMIZE: <5%] | [CUSTOMIZE: 5-15%] | [CUSTOMIZE: >15%] | [CUSTOMIZE: Risk register] | Bulanan | [CUSTOMIZE] |
3.2 Indikator Kinerja Utama (KPI)
KPI mengukur efektivitas dan efisiensi kontrol dan proses keamanan.
| ID KPI | Nama Indikator | Deskripsi | Target | Minimum yang Dapat Diterima | Sumber Data | Frekuensi | Pemilik |
|---|---|---|---|---|---|---|---|
| KPI-01 | Tingkat kepatuhan patch | Persentase aset yang ditambal dalam SLA | [CUSTOMIZE: >95%] | [CUSTOMIZE: 90%] | [CUSTOMIZE: Patch mgmt] | Bulanan | [CUSTOMIZE] |
| KPI-02 | Penyelesaian pelatihan keamanan | Persentase personel dengan pelatihan terkini | [CUSTOMIZE: >98%] | [CUSTOMIZE: 95%] | [CUSTOMIZE: LMS] | Bulanan | [CUSTOMIZE] |
| KPI-03 | Waktu respons insiden | Persentase insiden yang direspons dalam SLA | [CUSTOMIZE: >95%] | [CUSTOMIZE: 90%] | [CUSTOMIZE: SOAR/ticketing] | Bulanan | [CUSTOMIZE] |
| KPI-04 | Cakupan MFA | Persentase akun pengguna dengan MFA diaktifkan | [CUSTOMIZE: 100%] | [CUSTOMIZE: 98%] | [CUSTOMIZE: IAM system] | Bulanan | [CUSTOMIZE] |
| KPI-05 | Tingkat keberhasilan pencadangan | Persentase penyelesaian pencadangan yang berhasil | [CUSTOMIZE: >99%] | [CUSTOMIZE: 97%] | [CUSTOMIZE: Backup system] | Mingguan | [CUSTOMIZE] |
| KPI-06 | Cakupan penilaian risiko | Persentase sistem dalam lingkup dengan penilaian risiko terkini | [CUSTOMIZE: >90%] | [CUSTOMIZE: 80%] | [CUSTOMIZE: GRC tool] | Triwulanan | [CUSTOMIZE] |
| KPI-07 | Tingkat pengakuan kebijakan | Persentase personel dengan pengakuan kebijakan terkini | [CUSTOMIZE: >98%] | [CUSTOMIZE: 95%] | [CUSTOMIZE: GRC/HR system] | Bulanan | [CUSTOMIZE] |
| KPI-08 | SLA remediasi kerentanan | Persentase kerentanan yang diremediasi dalam SLA yang ditetapkan | [CUSTOMIZE: >90%] | [CUSTOMIZE: 80%] | [CUSTOMIZE: Vuln scanner] | Bulanan | [CUSTOMIZE] |
3.3 Pelaporan dan Eskalasi
Semua KRI dan KPI harus dilaporkan ke [CUSTOMIZE: CISO/Security Leadership] setidaknya [CUSTOMIZE: monthly].
Dasbor KRI dan KPI harus diberikan ke [CUSTOMIZE: Executive Risk Committee] setidaknya [CUSTOMIZE: quarterly].
Setiap KRI yang memasuki ambang Merah harus dieskalasi ke [CUSTOMIZE: CISO] dalam [CUSTOMIZE: 24 hours] dengan rencana tindakan dalam [CUSTOMIZE: 5 business days].
Setiap KRI yang memasuki ambang Merah selama [CUSTOMIZE: two consecutive reporting periods] harus dieskalasi ke [CUSTOMIZE: Executive Risk Committee / Board Risk Committee].
KPI yang secara konsisten di bawah tingkat Minimum yang Dapat Diterima harus memicu analisis akar penyebab dan rencana remediasi dalam [CUSTOMIZE: 30 days].
3.4 Peninjauan dan Kalibrasi
Daftar ini harus ditinjau setidaknya [CUSTOMIZE: semi-annually] oleh [CUSTOMIZE: CISO/Cyber Risk Team] untuk memastikan indikator tetap relevan, ambang batas dikalibrasi dengan tepat, dan sumber data dapat diandalkan.
Ambang batas harus dikalibrasi ulang ketika Pernyataan Selera Risiko diperbarui atau ketika indikator secara konsisten menunjukkan bahwa ambang batas terlalu longgar atau terlalu ketat.
Indikator baru harus ditambahkan ketika perubahan dalam lanskap ancaman, lingkungan regulasi, atau operasi bisnis menciptakan kesenjangan pemantauan.
Indikator yang dihentikan harus didokumentasikan dengan alasan penghapusan.
4. Kepatuhan
Kepatuhan terhadap daftar ini bersifat wajib bagi seluruh personel dan fungsi dalam ruang lingkupnya. Kepatuhan akan dipantau melalui audit berkala, tinjauan manajemen, dan pengawasan lini pertahanan kedua.
Pengecualian terhadap daftar ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [SESUAIKAN: CISO/Komite Risiko Eksekutif], dan ditinjau setidaknya setiap tahun.
5. Tinjauan dan Revisi
Daftar ini harus ditinjau setidaknya setiap tahun oleh [SESUAIKAN: CISO/Pemilik Dokumen] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, struktur organisasi, atau selera risiko.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Dokumen
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen