1.2.3 إدارة مخاطر الأمن السيبراني
| الرقم: 381000091275 | التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28 | الحالة: نافذ |
هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
المبدأ
يجب تحديد عملية إدارة مخاطر الأمن السيبراني واعتمادها وتنفيذها، ويجب أن تتماشى مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.
الهدف
ضمان إدارة مخاطر الأمن السيبراني على نحو صحيح لحماية سرية وسلامة وتوافر أصول المعلومات الخاصة بالمؤسسة المالية، وضمان توافق عملية إدارة مخاطر الأمن السيبراني مع عملية إدارة المخاطر المؤسسية للمؤسسة المالية.
اعتبارات التحكم
| 1. | يجب تحديد عملية إدارة مخاطر الأمن السيبراني واعتمادها وتنفيذها. | |
| 2. | يجب أن تركز عملية إدارة مخاطر الأمن السيبراني على حماية سرية وسلامة وتوافر أصول المعلومات. | |
| 3. | يجب أن تتماشى عملية إدارة مخاطر الأمن السيبراني مع عملية إدارة المخاطر المؤسسية الحالية. | |
| 4. | يجب توثيق عملية إدارة مخاطر الأمن السيبراني ويجب أن تشمل: | |
| أ. | تحديد المخاطر؛ | |
| ب. | تحليل المخاطر؛ | |
| ج. | الاستجابة للمخاطر؛ | |
| د. | مراقبة المخاطر ومراجعتها. | |
| 5. | يجب أن تتناول عملية إدارة مخاطر الأمن السيبراني أصول المعلومات الخاصة بالمؤسسة المالية، بما في ذلك (على سبيل المثال لا الحصر): | |
| أ. | العمليات التجارية؛ | |
| ب. | تطبيقات الأعمال؛ | |
| ج. | مكونات البنية التحتية. | |
| 6. | يجب البدء في عملية إدارة مخاطر الأمن السيبراني: | |
| أ. | في مرحلة مبكرة من المشروع؛ | |
| ب. | قبل التغيير الحرج؛ | |
| ج. | عند النظر في اسناد المهام إلى طرف ثالث؛ | |
| د. | عند إطلاق منتجات وتقنيات جديدة. | |
| 7. | يجب أن تخضع أصول المعلومات الموجودة بشكل دوري لتقييم مخاطر الأمن السيبراني بناءً على تصنيفها أو على طبيعة المخاطر الخاصة بها. | |
| 8. | يجب أن تتضمن أنشطة إدارة مخاطر الأمن السيبراني ما يلي: | |
| أ. | مالكي الأعمال؛ | |
| ب. | متخصصي تقنية المعلومات؛ | |
| ج. | متخصصي الأمن السيبراني؛ | |
| د. | ممثلي المستخدمين الرئيسيين. | |
| 9. | يجب إبلاغ مالك العمل المعني (أي مالك المخاطر) بنتيجة تقييم المخاطر داخل المؤسسة المالية؛ | |
| 10. | يجب على مالك العمل المعني (أي مالك المخاطر) داخل المؤسسة المالية قبول نتائج تقييم المخاطر واعتمادها. | |
| 11. | يجب تحديد مدى قابلية المؤسسة المالية لمخاطر الأمن السيبراني وتحملها للمخاطر بشكل واضح واعتمادها رسميًا. | |