7.3.3 إدارة التغيير
| الرقم: 381000091275 | التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28 | الحالة: نافذ |
هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ عملية إدارة التغيير التي تتحكم في جميع التغييرات في أصول المعلومات. وتجب مراقبة الامتثال للعملية ويجب قياس الفعالية وتقييمها بشكل دوري.
الهدف
التأكد من أن جميع التغييرات في أصول المعلومات داخل المؤسسة المالية تجري وفق عملية صارمة للتحكم في التغييرات.
اعتبارات التحكم
| 1. | يجب تحديد عملية إدارة التغيير واعتمادها وتنفيذها. | |||
| 2. | تجب مراقبة الامتثال لعملية إدارة التغيير. | |||
| 3. | يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة التغيير وتقييمها بشكل دوري. | |||
| 4. | يجب أن تتضمن عملية إدارة التغيير ما يلي: | |||
| أ. | متطلبات الأمن السيبراني للتحكم في التغييرات المدخلة على أصول المعلومات، مثل تقييم تأثير التغييرات المطلوبة وتصنيف التغييرات ومراجعة التغييرات؛ | |||
| ب. | الاختبار الأمني، والذي يجب أن يشمل (عند الاقتضاء): | |||
| 1. | اختبار الاختراق؛ | |||
| 2. | مراجعة الأكواد إذا تم تطوير التطبيقات داخليًا؛ | |||
| 3. | مراجعة الأكواد الخاصة بالتطبيقات المطورة خارجيًا ومعرفة ما إذا كان كود المصدر متاحة أم لا | |||
| 4. | تقرير مراجعة الأكواد (أو ما يعادله، مثل بيان الضمان المستقل) في حالة عدم إمكانية توفير كود المصدر؛ | |||
| ج. | موافقة مالك العمل على التغييرات؛ | |||
| د. | الحصول على موافقة من وظيفة الأمن السيبراني قبل تقديمها إلى المجلس الاستشاري للتغيير (المجلس)؛ | |||
| هـ. | موافقة المجلس؛ | |||
| و. | مراجعة ما بعد التنفيذ لضوابط الأمن السيبراني ذات الصلة؛ | |||
| ز. | يتم فصل التطوير والاختبار والتنفيذ لكل من البيئة (الفنية) والأفراد المشاركين؛ | |||
| ح. | إجراءات التغييرات والإصلاحات الطارئة؛ | |||
| ط. | الإجراءات الاحتياطية وإجراءات التراجع. | |||