4.2.3 الإبلاغ عن المخاطر/مراقبتها وتوصيفها
| الرقم: 43028139 | التاريخ (م): 2021/11/4 | التاريخ (هـ): 1443/3/29 | الحالة: نافذ |
هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
المبدأ
يجب التعامل مع مخاطر تقنية المعلومات وفقًا لخطط العلاج المحددة ويجب مراجعتها ومراقبتها والإبلاغ عنها بشكل فعال.
متطلبات الرقابة
| 1. | يجب توثيق نتائج تقييم مخاطر تقنية المعلومات رسميًا وإبلاغها إلى أصحاب الأعمال المعنيين والإدارة العليا. | |
| 2. | يجب أن تتضمن نتائج تقييم مخاطر تقنية المعلومات المخاطر والتأثير والاحتمالية والتخفيف من المخاطر وحالة المعالجة. | |
| 3. | يجب مراقبة مخاطر تقنية المعلومات من حيث، على سبيل المثال لا الحصر: | |
| أ. | تتبع التقدم وفقًا لخطة معالجة المخاطر؛ و | |
| ب. | يتم تنفيذ ضوابط تقنية المعلومات المختارة والمتفق عليها. | |
| 4. | يجب مراقبة التصميم والفعالية التشغيلية لضوابط تقنية المعلومات المنقحة أو المطبقة حديثًا ومراجعتها بشكل دوري. | |
| 5. | يجب على أصحاب الأعمال المعنيين قبول نتائج تقييم مخاطر تقنية المعلومات. | |
| 6. | يجب المصادقة على نتائج تقييم مخاطر تقنية المعلومات من قبل لجنة المخاطر. | |
| 7. | يجب تحديد مؤشرات المخاطر الرئيسية لتقنية المعلومات (KRIs) وتنفيذها ومراقبتها. | |
| 8. | يجب تقديم ملف تعريف مخاطر تقنية المعلومات والبيانات ذات الصلة كمدخل إلى قسم المخاطر التشغيلية لصياغة ملف تعريف المخاطر على مستوى المؤسسة. | |
| 9. | ينبغي صياغة ملف تعريف مخاطر تقنية المعلومات وتقديمه إلى الإدارة العليا واللجنة التوجيهية ومجلس الإدارة دوريًا. | |