Transforming Business through AI, GRC & Enterprise Solutions
Get started

NIST CSF 2.0: Fungsi Govern dan Cara Implementasinya

Diagram enam fungsi NIST CSF 2.0 termasuk Govern

Dalam lanskap ancaman siber yang terus berkembang, banyak organisasi merasa bahwa standar keamanan mereka kurang tanggap terhadap risiko strategis dan kepemimpinan. Versi terbaru dari NIST CSF, yakni CSF 2.0, memperkenalkan fungsi baru yang disebut Govern untuk mengatasi kekosongan governance di framework sebelumnya.

Bagi manajer dan pimpinan organisasi, memahami dan mengimplementasikan fungsi Govern dengan cepat akan menjadi kunci untuk memperkuat pengelolaan risiko keamanan siber. Artikel ini membahas apa itu NIST CSF 2.0, fitur terbaru, bagaimana fungsi Govern bekerja, dan langkah konkret yang dapat dilakukan dalam 30 hari untuk memulai fungsi ini.

NIST CSF 2.0

NIST Cybersecurity Framework (CSF) 2.0 resmi diterbitkan pada Februari 2024, memperluas jangkauan dan mempertegas aspek governance dalam manajemen risiko siber. Versi ini menambahkan fungsi keenam—Govern—di samping fungsi sebelumnya: Identify, Protect, Detect, Respond, dan Recover

Beberapa perubahan utama dari versi 1.x ke 2.0 termasuk cakupan yang lebih luas, sumber referensi yang lebih banyak, profil organisasi (Organizational Profiles), penggunaan tiers untuk menunjukkan tingkat kematangan, serta penekanan terhadap peran pimpinan dan kepemilikan risiko (risk ownership). 

Fungsi Inti NIST CSF 2.0

Untuk memahami peran Govern secara utuh, manajer juga perlu melihat bagaimana ia terintegrasi dengan lima fungsi inti lain yang sudah lebih dulu ada dalam NIST CSF. Fungsi ini membentuk siklus menyeluruh yang menjadi dasar pengelolaan risiko siber dan kelangsungan bisnis modern.

  1. Identify (Mengidentifikasi)
    Fungsi ini membantu organisasi memahami konteks, aset, sistem, data, dan risiko yang dimilikinya. Dengan identifikasi yang tepat, organisasi dapat mengetahui apa yang paling kritikal untuk dilindungi.
  2. Protect (Melindungi)
    Fungsi Protect berfokus pada langkah-langkah proaktif untuk mengamankan sistem, termasuk kontrol akses, pelatihan kesadaran, keamanan data, serta perlindungan infrastruktur. Tujuannya adalah mengurangi dampak dari potensi serangan sebelum terjadi.
  3. Detect (Mendeteksi)
    Deteksi adalah kemampuan mengenali aktivitas anomali atau kejadian siber secara cepat. Fungsi ini mencakup monitoring jaringan, penggunaan sensor keamanan, serta sistem peringatan dini untuk mengidentifikasi ancaman.
  4. Respond (Merespons)
    Fungsi ini mengatur bagaimana organisasi menanggapi insiden yang terjadi. Respon yang baik mencakup rencana komunikasi, mitigasi dampak, investigasi, dan koordinasi dengan tim internal maupun eksternal.
  5. Recover (Memulihkan)
    Setelah insiden, organisasi harus segera memulihkan layanan penting dan memastikan keberlangsungan operasi. Fungsi Recover meliputi rencana pemulihan, pembelajaran dari insiden, dan peningkatan kapasitas agar serangan serupa tidak berulang.
  6. Govern (Mengatur dan Mengarahkan)
    Fungsi terbaru ini menekankan kepemimpinan, kebijakan, akuntabilitas, dan strategi risiko siber di tingkat manajemen puncak. Govern menjadi fondasi yang memastikan kelima fungsi lain berjalan selaras dengan misi, nilai, dan ekspektasi pemangku kepentingan organisasi.

Govern NIST CSF 2.0

Fungsi Govern adalah jantung kontrol strategis dalam CSF 2.0—ia mengatur landasan bagaimana fungsi keamanan siber lainnya dijalankan dalam organisasi. 

Govern mencakup pengaturan kebijakan, peran dan tanggung jawab, strategi risiko, serta pengawasan dan akuntabilitas yang harus dilaksanakan oleh pimpinan perusahaan dan tim keamanan.

  • Organizational Context (GV.OC): menetapkan konteks organisasi seperti misi, ekspektasi stakeholder, persyaratan peraturan, dan lingkungan risiko.
  • Risk Management Strategy (GV.RM): menetapkan risk appetite, toleransi risiko, asumsi dasar, serta prioritas terhadap risiko yang dihadapi organisasi. Organisasi harus mendokumentasikan dan mengkomunikasikan strategi ini kepada seluruh pemangku kepentingan. 
  • Roles, Responsibilities, and Authorities (GV.RR): kejelasan siapa yang bertanggung jawab atas keputusan dan tindakan keamanan siber; siapa pemilik risiko; siapa yang mengawasi; siapa yang bertindak dalam situasi darurat. 
  • Policy, Processes, and Procedures (GV.PP): kebijakan keamanan yang formal, interaksi proses, prosedur operasional. Kebijakan harus diperbarui sesuai perkembangan ancaman dan teknologi.
  • Oversight (GV.OV): pengawasan berkelanjutan oleh manajemen senior atau dewan direksi: review rutin, metrik kinerja keamanan, audit, pelaporan risiko. 
  • Cybersecurity Supply Chain Risk Management (GV.SC): pemantauan dan mitigasi risiko dari pihak ketiga dan rantai pasok, kontrak keamanan, ketepatan audit vendor.

Baca juga : NIST Cybersecurity Framework: Implementasi & Manfaat untuk Bisnis

Langkah Menggunakan Govern NIST CSF 2.0 

Implementasi fungsi Govern tidak harus lambat dan rumit; dalam 30 hari pertama, manajer dapat memulai dengan langkah-terstruktur agar fondasi governance dapat terbentuk:

  1. Hari 1–5: Penilaian Kondisi Saat Ini dan Komitmen Pimpinan
    • Identifikasi apakah organisasi sudah memiliki dokumentasi kebijakan keamanan, siapa pemilik risiko, serta bagaimana pengawasan dilakukan saat ini.
    • Amankan komitmen dari eksekutif atau dewan bahwa keamanan siber dan governance akan menjadi prioritas, termasuk alokasi sumber daya.
  2. Hari 6–10: Menetapkan Risk Appetite & Toleransi Risiko
    • Diskusikan dengan pimpinan dan pemangku kepentingan untuk menentukan seberapa besar risiko yang bisa ditoleransi organisasi.
    • Dokumentasikan risk appetite & risk tolerance, serta komunikasikan kepada tim keamanan dan unit-unit terkait.
  3. Hari 11–15: Mendefinisikan Peran dan Tanggung Jawab (Roles & Authorities)
    • Tetapkan siapa yang bertanggung jawab atas fungsi govern, siapa pemilik risiko untuk domain-domain utama.
    • Buat skema pelaporan dan akuntabilitas, termasuk pengawasan rutin oleh manajemen puncak.
  4. Hari 16–20: Menyusun Kebijakan, Proses, dan Prosedur Utama
    • Susun atau perbarui kebijakan keamanan siber yang mencakup kebutuhan regulasi, supply chain, serta penerapan strategi keamanan dan penggunaan framework lain.
    • Tentukan proses operasional, prosedur eskalasi insiden, serta audit dan pemantauan.
  5. Hari 21-25: Implementasi Supply Chain Risk Management
    • Identifikasi vendor/mitra pihak ketiga, nilai risiko siber mereka, dan sertakan kontrol keamanan dalam kontrak.
    • Lakukan review terhadap vendor kritikal dan monitoring rutin terhadap kepatuhan keamanan mereka.
  6. Hari 26-30: Pengawasan, Review, dan Komunikasi
    • Atur mekanisme oversight: laporan rutin kepada pimpinan, metrik keamanan, dan audit internal.
    • Komunikasikan status governance kepada seluruh organisasi—termasuk unit non-teknis—agar risiko keamanan menjadi diketahui dan dimengerti oleh semua.

Baca juga : Mapping Komprehensif NIST CSF 2.0, COBIT, ISO 27001: Satu Kerangka untuk Strategi Keamanan Siber yang Holistik

Kesimpulan

Dalam menghadapi kompleksitas ancaman siber 2025, perusahaan tidak cukup hanya mengandalkan teknologi, tetapi juga membutuhkan kerangka kerja yang jelas dan terarah. NIST CSF 2.0 dengan fungsi baru Govern memberi pondasi strategis agar tata kelola keamanan siber sejalan dengan tujuan bisnis dan kepentingan pemangku kepentingan.

Penerapan NIST CSF 2.0 membantu organisasi membangun sistem pertahanan yang lebih adaptif, proaktif, dan berkelanjutan. Dengan memahami enam fungsi inti — Identify, Protect, Detect, Respond, Recover, dan Govern — manajer dapat memulai transformasi keamanan siber yang realistis dalam 30 hari pertama, sekaligus memastikan bahwa strategi ini benar-benar mendukung kelangsungan bisnis jangka panjang.

FAQ: NIST CSF 2.0 & Fungsi Govern

1) Apa itu NIST CSF 2.0?
 NIST Cybersecurity Framework (CSF) 2.0 adalah versi terbaru dari kerangka kerja keamanan siber yang dirilis Februari 2024. Framework ini menambahkan fungsi baru Govern di samping lima fungsi lama (Identify, Protect, Detect, Respond, Recover) untuk memperkuat tata kelola risiko siber di tingkat manajemen.

2) Apa perbedaan utama NIST CSF 1.x dan 2.0?
 Perbedaannya mencakup penambahan fungsi Govern, cakupan yang lebih luas ke berbagai sektor, penggunaan organizational profiles, tier kematangan, serta penekanan lebih besar pada kepemimpinan, akuntabilitas, dan kepemilikan risiko (risk ownership).

3) Mengapa fungsi Govern penting bagi manajer?
 Karena Govern menjadi fondasi yang memastikan kebijakan, strategi risiko, dan akuntabilitas keamanan siber selaras dengan tujuan bisnis dan ekspektasi stakeholder. Tanpa governance, lima fungsi lainnya sulit dijalankan secara konsisten.

4) Apa saja komponen utama dalam fungsi Govern?
 Enam komponen penting:

  • GV.OC: Organizational Context
  • GV.RM: Risk Management Strategy
  • GV.RR: Roles, Responsibilities, and Authorities
  • GV.PP: Policy, Processes, and Procedures
  • GV.OV: Oversight
  • GV.SC: Supply Chain Risk Management

5) Bagaimana langkah memulai implementasi Govern dalam 30 hari?

  • Hari 1–5: Penilaian awal & komitmen pimpinan
  • Hari 6–10: Menetapkan risk appetite & toleransi risiko
  • Hari 11–15: Mendefinisikan peran & tanggung jawab
  • Hari 16–20: Menyusun kebijakan & prosedur
  • Hari 21–25: Menerapkan manajemen risiko rantai pasok
  • Hari 26–30: Oversight, review, & komunikasi ke seluruh organisasi

6) Apakah NIST CSF 2.0 wajib diadopsi di Indonesia?
 Tidak wajib, tetapi sangat direkomendasikan. Banyak perusahaan global dan nasional mulai mengadopsi framework ini untuk memperkuat governance, memenuhi standar internasional, serta meningkatkan kepercayaan regulator dan mitra bisnis.

7) Apa manfaat bisnis nyata dari implementasi fungsi Govern?
 Manfaat utamanya adalah:

  • Meningkatkan ketahanan organisasi terhadap serangan siber.
  • Memberikan kejelasan akuntabilitas risiko di level manajemen.
  • Mendukung kepatuhan regulasi.
  • Menjaga reputasi dan kepercayaan stakeholder.
  • Memastikan keamanan siber menjadi bagian strategi bisnis jangka panjang.

Ingin Membahas Lebih Lanjut tentang Keamanan Siber dan Sertifikasi NIST CSF 2.0?
Kami siap membantu Anda memahami lebih dalam tentang fungsi NIST CSF dan bagaimana implementasinya dalam organisasi Anda. Jangan ragu untuk menghubungi kami untuk konsultasi langsung!

Jadwalkan Konsultasi Sekarang:
Klik di sini untuk mengatur waktu konsultasi

Leave a Reply

Your email address will not be published. Required fields are marked *