Persyaratan Bukti Tata Kelola
Persyaratan bukti per kontrol untuk menunjukkan kepatuhan terhadap 14 kontrol tata kelola. Bukti diklasifikasikan berdasarkan jenis, frekuensi, dan kekritisan.
14
Kontrol Tercakup
87
Total Item Bukti
0
Bukti Dokumen
0
Bukti Catatan
Legenda
Dokumen
Dokumen kebijakan, prosedur, rencana, atau kerangka kerja formal
Catatan
Notulen rapat, laporan, log, pengesahan, atau catatan pelacakan
Wajib
Harus diproduksi untuk kepatuhan
Diharapkan
Sangat direkomendasikan untuk kematangan
| Jenis | Item Bukti | Frekuensi | Kekritisan |
|---|---|---|---|
| Dokumen | Dokumen Strategi Risiko Siber yang disetujui dengan tanda tangan eksekutif/Dewan Direksi | Ditinjau setiap tahun | Wajib |
| Dokumen | Pemetaan keselarasan strategi bisnis dengan strategi risiko siber atau matriks ketertelusuran | Diperbarui setiap revisi strategi | Wajib |
| Dokumen | Pemetaan keselarasan strategi teknologi dengan strategi risiko siber | Diperbarui setiap revisi strategi | Wajib |
| Catatan | Risalah rapat Dewan Direksi atau Komite Eksekutif yang mendokumentasikan tinjauan dan persetujuan strategi | Setiap siklus tinjauan (minimal setiap tahun) | Wajib |
| Catatan | Catatan komunikasi strategi (email distribusi, kehadiran pengarahan, publikasi intranet) | Setiap pembaruan strategi | Diharapkan |
| Catatan | Dokumentasi pembaruan strategi tahunan yang menunjukkan masukan dari lanskap ancaman dan perubahan bisnis | Setiap tahun | Diharapkan |
| Jenis | Item Bukti | Frekuensi | Kekritisan |
|---|---|---|---|
| Dokumen | Dokumen Kerangka Kerja Risiko Siber yang lengkap dengan semua elemen komponen | Ditinjau setiap tahun | Wajib |
| Dokumen | Pernyataan Selera Risiko yang disetujui dengan ambang batas yang ditetapkan | Ditinjau setiap tahun | Wajib |
| Dokumen | Dokumen Taksonomi Risiko dengan skema kategorisasi | Ditinjau setiap tahun | Wajib |
| Dokumen | Inventaris kebijakan dan standar yang menunjukkan semua dokumen komponen kerangka kerja beserta tanggal tinjauan | Dipelihara secara berkelanjutan | Wajib |
| Dokumen | Dokumentasi proses manajemen risiko (identifikasi, penilaian, penanganan, pemantauan, pelaporan) | Ditinjau setiap tahun | Wajib |
| Catatan | Riwayat versi kerangka kerja yang menunjukkan pembaruan untuk ancaman dan teknologi yang berkembang | Setiap pembaruan | Diharapkan |
| Catatan | Daftar pantau ancaman yang berkembang dengan catatan tinjauan | Setiap kuartal | Diharapkan |
| Jenis | Item Bukti | Frekuensi | Kekritisan |
|---|---|---|---|
| Dokumen | Jadwal tinjauan yang ditetapkan untuk strategi dan kerangka kerja | Ditetapkan setiap tahun | Wajib |
| Dokumen | Daftar Kepatuhan Peraturan dengan semua persyaratan yang berlaku yang dipetakan ke komponen kerangka kerja | Diperbarui setiap kuartal | Wajib |
| Catatan | Agenda rapat tinjauan, risalah, dan catatan kehadiran | Setiap tinjauan | Wajib |
| Catatan | Laporan analisis kesenjangan dengan temuan, rencana remediasi, dan penanggung jawab | Setiap tinjauan | Wajib |
| Catatan | Pelacakan remediasi yang menunjukkan penutupan kesenjangan yang teridentifikasi | Bulanan hingga terselesaikan | Wajib |
| Catatan | Dokumen strategi/kerangka kerja yang diperbarui dengan kontrol versi yang menunjukkan revisi berdasarkan tinjauan | Setiap revisi | Diharapkan |
| Catatan | Catatan partisipasi tim hukum dan kepatuhan dalam aktivitas tinjauan | Setiap tinjauan | Diharapkan |
| Jenis | Item Bukti | Frekuensi | Kekritisan |
|---|---|---|---|
| Dokumen | Rencana Program Risiko Siber Tahunan dengan prioritas proyek berbasis risiko | Setiap tahun | Wajib |
| Dokumen | Metodologi prioritas berbasis risiko dan kriteria penilaian | Ditinjau setiap tahun | Wajib |
| Dokumen | Dokumentasi anggaran yang menghubungkan alokasi dengan risiko yang teridentifikasi dan persyaratan kepatuhan | Setiap tahun | Wajib |
| Catatan | Keluaran penilaian risiko yang digunakan sebagai masukan perencanaan (ekstrak daftar risiko, ringkasan intelijen ancaman) | Setiap siklus perencanaan | Wajib |
| Catatan | Keputusan prioritas ulang di tengah siklus dengan alasan yang terdokumentasi | Sesuai kejadian | Diharapkan |
| Catatan | Laporan eksekutif yang menunjukkan keselarasan investasi dengan pengurangan risiko | Setiap kuartal | Diharapkan |
| Jenis | Item Bukti | Frekuensi | Kekritisan |
|---|---|---|---|
| Dokumen | Surat penunjukan eksekutif, keputusan Dewan Direksi, atau piagam yang menyebutkan eksekutif yang bertanggung jawab | Diperbarui saat terjadi perubahan | Wajib |
| Dokumen | Piagam peran yang mendefinisikan mandat, wewenang, tanggung jawab, dan jalur pelaporan | Ditinjau setiap tahun | Wajib |
| Catatan | Bagan organisasi yang menunjukkan posisi eksekutif risiko siber dan struktur pelaporan | Terkini | Wajib |
| Catatan | Risalah rapat Dewan Direksi dan Komite Eksekutif yang menunjukkan pengarahan risiko siber berkala | Setiap rapat (minimal setiap kuartal) | Wajib |
| Catatan | Aktivitas kesadaran risiko siber eksekutif/Dewan Direksi (materi pengarahan, catatan latihan tabletop) | Minimal setiap tahun | Wajib |
| Catatan | Kerangka acuan Komite Risiko Dewan Direksi termasuk tanggung jawab pengawasan risiko siber | Ditinjau setiap tahun | Diharapkan |
| Jenis | Item Bukti | Frekuensi | Kekritisan |
|---|---|---|---|
| Dokumen | Seperangkat lengkap kebijakan risiko siber dengan tanda tangan persetujuan, tanggal efektif, dan kontrol versi | Ditinjau sesuai jadwal kebijakan | Wajib |
| Dokumen | Matriks RACI atau tanggung jawab yang memetakan peran risiko siber ke individu/posisi | Ditinjau setiap tahun | Wajib |
| Catatan | Catatan pengakuan kebijakan dengan tanda tangan staf dan kontraktor beserta tanggal | Pengakuan ulang tahunan | Wajib |
| Catatan | Catatan distribusi dan komunikasi kebijakan | Setiap pembaruan kebijakan | Wajib |
| Catatan | Tindakan penegakan ketidakpatuhan yang menunjukkan penerapan konsekuensi yang konsisten | Setiap insiden | Diharapkan |
| Catatan | Catatan tinjauan dan pembaruan kebijakan yang menunjukkan pembaruan berkala | Setiap siklus tinjauan kebijakan | Diharapkan |
| Jenis | Item Bukti | Frekuensi | Kekritisan |
|---|---|---|---|
| Dokumen | Dokumentasi kerangka kerja dengan delineasi tiga lini pertahanan yang jelas | Ditinjau setiap tahun | Wajib |
| Dokumen | Matriks RACI untuk aktivitas risiko siber di seluruh tiga lini | Ditinjau setiap tahun | Wajib |
| Dokumen | Piagam Audit Internal yang merujuk cakupan risiko siber dan mandat independensi | Ditinjau setiap tahun | Wajib |
| Catatan | Laporan pengawasan lini kedua yang menunjukkan tinjauan dan tantangan independen | Setiap kuartal | Wajib |
| Catatan | Laporan audit internal tentang risiko siber yang mencakup efektivitas lini pertama dan kedua | Setiap siklus audit | Wajib |
| Catatan | Dokumentasi tata kelola organisasi yang menunjukkan jalur pelaporan yang menjaga independensi | Terkini | Diharapkan |
| Jenis | Item Bukti | Frekuensi | Kekritisan |
|---|---|---|---|
| Dokumen | Daftar KRI/KPI dengan definisi, sumber data, ambang batas, dan keselarasan selera risiko | Ditinjau setiap semester | Wajib |
| Dokumen | Pernyataan Selera Risiko yang menunjukkan keterkaitan eksplisit dengan ambang batas KRI | Ditinjau setiap tahun | Wajib |
| Catatan | Dasbor atau laporan yang menunjukkan nilai indikator saat ini terhadap ambang batas | Bulanan/Kuartalan | Wajib |
| Catatan | Catatan eskalasi yang menunjukkan tindakan respons atas pelanggaran ambang batas | Setiap kejadian pelanggaran | Wajib |
| Catatan | Catatan tinjauan dan kalibrasi ulang indikator | Setiap semester | Diharapkan |
| Catatan | Laporan analisis tren yang menunjukkan pergerakan indikator dari waktu ke waktu | Setiap kuartal | Diharapkan |
| Jenis | Item Bukti | Frekuensi | Kekritisan |
|---|---|---|---|
| Dokumen | Daftar Risiko Siber dengan tanggal penilaian, peringkat prioritas, pemilik, dan status penanganan | Dipelihara secara berkelanjutan | Wajib |
| Dokumen | Dokumentasi kriteria dan jalur eskalasi risiko | Ditinjau setiap tahun | Wajib |
| Catatan | Risalah rapat tinjauan risiko kuartalan dengan kehadiran dan keputusan yang terdokumentasi | Setiap kuartal | Wajib |
| Catatan | Laporan risiko eksekutif atau dasbor Dewan Direksi yang menunjukkan risiko yang diprioritaskan dalam konteks bisnis | Setiap kuartal | Wajib |
| Catatan | Catatan eskalasi yang menunjukkan bahwa risiko material diangkat dengan tepat | Setiap kejadian eskalasi | Wajib |
| Catatan | Rencana penanganan risiko dengan tonggak pencapaian, pemilik, dan pelacakan kemajuan | Setiap rencana penanganan | Wajib |
| Jenis | Item Bukti | Frekuensi | Kekritisan |
|---|---|---|---|
| Dokumen | Piagam atau rencana program tinjauan lini kedua dengan ruang lingkup, metodologi, dan jadwal | Ditinjau setiap tahun | Wajib |
| Catatan | Laporan tinjauan lini kedua yang telah diselesaikan dengan temuan, peringkat, dan rekomendasi | Setiap tinjauan | Wajib |
| Catatan | Catatan respons lini pertama terhadap temuan lini kedua (rencana remediasi, tindakan korektif) | Setiap temuan | Wajib |
| Catatan | Catatan rapat komite tata kelola yang menunjukkan pelaporan lini kedua tentang efektivitas lini pertama | Setiap kuartal | Wajib |
| Catatan | Analisis tren temuan tinjauan dari waktu ke waktu dan tingkat remediasi | Setiap tahun | Diharapkan |
| Catatan | Bukti independensi lini kedua (struktur pelaporan, dokumentasi mandat) | Ditinjau setiap tahun | Diharapkan |
| Jenis | Item Bukti | Frekuensi | Kekritisan |
|---|---|---|---|
| Dokumen | Kebijakan pemeriksaan latar belakang yang mendefinisikan persyaratan penyaringan berdasarkan tingkat sensitivitas peran | Ditinjau setiap tahun | Wajib |
| Catatan | Catatan pemeriksaan latar belakang yang telah diselesaikan untuk karyawan dan kontraktor (disunting sebagaimana mestinya) | Setiap perekrutan/penugasan | Wajib |
| Catatan | Kontrak pihak ketiga yang memuat persyaratan penyaringan latar belakang | Setiap kontrak | Wajib |
| Catatan | Atestasi kepatuhan penyaringan pihak ketiga | Setiap tahun per penyedia | Wajib |
| Catatan | Catatan penyelesaian penyaringan ulang berkala untuk personel dengan sensitivitas tinggi | Setiap siklus penyaringan ulang | Diharapkan |
| Catatan | Dokumentasi proses yang menunjukkan penyediaan akses dikondisikan pada penyelesaian penyaringan | Ditinjau setiap tahun | Diharapkan |
| Jenis | Item Bukti | Frekuensi | Kekritisan |
|---|---|---|---|
| Dokumen | Kebijakan atau prosedur penerimaan risiko yang mendefinisikan proses, tingkat wewenang, dan standar dokumentasi | Ditinjau setiap tahun | Wajib |
| Catatan | Formulir penerimaan risiko yang telah diselesaikan dengan analisis, justifikasi, kontrol kompensasi, dan persetujuan | Setiap penerimaan | Wajib |
| Catatan | Daftar Penerimaan Risiko yang menunjukkan semua penerimaan saat ini dengan tanggal tinjauan dan status | Dipelihara secara berkelanjutan | Wajib |
| Catatan | Pelaporan tata kelola yang menunjukkan metrik penerimaan (volume, tingkat risiko, usia, tinjauan yang terlambat) | Setiap kuartal | Wajib |
| Catatan | Catatan tinjauan penerimaan risiko yang menunjukkan keputusan pembaruan, remediasi, atau eskalasi | Setiap tanggal tinjauan | Wajib |
| Catatan | Bukti bahwa wewenang penerimaan selaras dengan tingkat risiko residual sesuai matriks wewenang | Setiap penerimaan | Diharapkan |
| Jenis | Item Bukti | Frekuensi | Kekritisan |
|---|---|---|---|
| Dokumen | Penilaian kesenjangan sumber daya dan keahlian dengan temuan dan rekomendasi | Setiap tahun | Wajib |
| Dokumen | Bagan organisasi risiko siber yang menunjukkan peran yang terisi, lowongan, dan struktur pelaporan | Terkini | Wajib |
| Dokumen | Dokumentasi anggaran yang menunjukkan pendanaan khusus untuk personel, alat, dan layanan risiko siber | Setiap tahun | Wajib |
| Catatan | Catatan pelatihan dan sertifikasi untuk personel risiko siber | Dilacak secara berkelanjutan | Wajib |
| Catatan | Dokumentasi perencanaan tenaga kerja yang membahas suksesi dan transfer pengetahuan | Ditinjau setiap tahun | Diharapkan |
| Catatan | Persyaratan kompetensi berbasis peran dan deskripsi jabatan untuk posisi risiko siber | Ditinjau setiap tahun | Diharapkan |
| Jenis | Item Bukti | Frekuensi | Kekritisan |
|---|---|---|---|
| Dokumen | Inventaris aset kritis dengan klasifikasi, peringkat dampak bisnis, dan pemilik risiko | Ditinjau setiap semester | Wajib |
| Dokumen | Dokumentasi pemetaan kontrol yang menunjukkan kontrol kerahasiaan, integritas, dan ketersediaan yang ditetapkan untuk setiap aset kritis | Ditinjau setiap tahun | Wajib |
| Dokumen | Kriteria identifikasi aset kritis dan metodologi klasifikasi | Ditinjau setiap tahun | Wajib |
| Catatan | Catatan tinjauan kontrol yang menunjukkan penilaian berkala terhadap efektivitas kontrol | Sesuai jadwal tinjauan | Wajib |
| Catatan | Hasil pengujian: pemindaian kerentanan, pengujian penetrasi, uji pemulihan bencana untuk aset kritis | Sesuai jadwal pengujian | Wajib |
| Catatan | Pelacakan remediasi untuk kekurangan kontrol yang teridentifikasi melalui tinjauan dan pengujian | Setiap temuan | Wajib |
| Catatan | Ringkasan efektivitas kontrol tahunan yang dilaporkan ke tata kelola eksekutif | Setiap tahun | Diharapkan |