Skip to main content
رجوع طباعة مخصصة Text Only Rich Text PDFطباعة / حفظ بصيغة
تحميل الوثيقة الأصلية

  • 4.2 نموذج نضج حوكمة تقنية المعلومات

    سيتم قياس مستوى نضج حوكمة تقنية المعلومات بمساعدة نموذج نضج محدد مسبقاً. ويميز نموذج نضج حوكمة تقنية المعلومات 6 مستويات للنضج (0 و1 و 2 و 3 و 4 و 5)، وهي ملخصة في الجدول أدناه. ومن أجل تحقيق المستويات 3 أو4 أو 5، يجب على المؤسسات المالية أولاً استيفاء جميع معايير مستويات النضج السابقة.

    مستوى النضجالتعريف والمعاييرإيضاح

    0

    غير موجود

    • لا توجد وثائق.

    • لا يوجد وعي أو اهتمام ببعض ضوابط تقنية المعلومات.

    • لا توجد ضوابط تقنية المعلومات مطبقة. لا يوجد وعي بمجال المخاطر المحدد أو خطط حالية لتنفيذ ضوابط تقنية المعلومات هذه.

    1

    مخصصة

    • ضوابط تقنية المعلومات غير محددة أو محددة جزئيا.

    • يتم تنفيذ ضوابط تقنية المعلومات بطريقة غير متناسقة.

    • لم يتم تحديد ضوابط تقنية المعلومات بشكل كامل.

    • يختلف تصميم وتنفيذ الرقابة على تقنية المعلومات باختلاف الإدارة أو المالك.

    • قد لا يخفف تصميم ضوابط تقنية المعلومات من المخاطر المحددة إلا جزئياً، وقد يكون التنفيذ غير متسق.

    2

    متكررة، ولكن غير رسمية

    • يعتمد تنفيذ ضوابط التحكم في تقنية المعلومات على ممارسة غير رسمية وغير مكتوبة، وإن كانت موحدة.

    • توجد ضوابط لتقنية المعلومات قابلة للتكرار. ومع ذلك، لم يتم تحديد أو اعتماد أهداف الرقابة وتصميمها بشكل رسمي.

    • هناك اعتبار محدود للمراجعة المنظمة أو اختبار التحكم.

    3

    منظم وذو طابع رسمي

    • ضوابط تقنية المعلومات محددة ومعتمدة ويتم تنفيذها بطريقة منظمة ورسمية.

    • يمكن إثبات تنفيذ ضوابط تقنية المعلومات.

    • وضع سياسات ومعايير وإجراءات تقنية المعلومات.

    • يتم مراقبة الامتثال لوثائق تقنية المعلومات، أي السياسات والمعايير والإجراءات، ويفضل باستخدام أداة الحوكمة والمخاطر والامتثال (GRC).

    • يتم تحديد مؤشرات الأداء الرئيسية ورصدها والإبلاغ عنها لتقييم التنفيذ.

    4

    مُدار وقابل للقياس

    • يتم تقييم فعالية ضوابط تقنية المعلومات دوريًا وتحسينها عند الضرورة.

    • يتم توثيق هذا القياس الدوري والتقييمات وفرص التحسين.

    • يتم قياس فعالية ضوابط تقنية المعلومات وتقييمها دوريًا.

    • يتم استخدام مؤشرات المخاطر الرئيسية وتقارير الاتجاهات لتحديد مدى فعالية ضوابط تقنية المعلومات.

    • يتم استخدام نتائج القياس والتقييم لتحديد فرص تحسين ضوابط تقنية المعلومات.

    5

    متكيّف

    • تخضع ضوابط تقنية المعلومات لخطة تحسين مستمر.

    • يركز برنامج حوكمة تقنية المعلومات على مستوى المؤسسة على الامتثال المستمر لضوابط تقنية المعلومات وفاعليتها وتحسينها.

    • يتم دمج ضوابط تقنية المعلومات مع إطار عمل وممارسات إدارة المخاطر المؤسسية.

    • يتم تقييم أداء ضوابط تقنية المعلومات باستخدام بيانات النظراء والقطاع.

     

    الجدول 1 - نموذج نضج حوكمة تقنية المعلومات

    • 1.4.2 مستوى النضج 3

      يجب على المؤسسة المالية، من أجل تحقيق مستوى النضح الثالث، تحديد ضوابط تقنية المعلومات والموافقة عليها وتنفيذها. كما ينبغي لها مراقبة الامتثال لوثائق تقنية المعلومات. ويجب أن تشير وثائق تقنية المعلومات بوضوح إلى "سبب" و"ماهية" و"كيفية" تنفيذ ضوابط تقنية المعلومات. وتتكون وثائق تقنية المعلومات من سياسات ومعايير وإجراءات تقنية المعلومات.


      الشكل 4 - هرم مستندات تقنية المعلومات

      يجب أن تكون سياسة تقنية المعلومات معتمدة ومفوضة من قبل مجلس إدارة المؤسسة المالية وتوضح "سبب" أهمية تقنية المعلومات بالنسبة للمؤسسة المالية. يجب أن تسلط السياسة الضوء على أصول المعلومات التي ينبغي حمايتها و"ماهية" مبادئ وأهداف تقنية المعلومات التي ينبغي تحديدها.

      وبناءً على سياسة تقنية المعلومات، ينبغي وضع معايير تقنية المعلومات. وتحدد هذه المعايير "ماهية" ضوابط تقنية المعلومات التي يجب تنفيذها، مثل الفصل بين الواجبات وقواعد النسخ الاحتياطي والاسترداد وما إلى ذلك. تدعم المعايير سياسة تقنية المعلومات وتعززها وتعتبر بمثابة خطوط أساس لتقنية المعلومات.

      ويتم تفصيل المهام والأنشطة التي يجب أن يقوم بها موظفو المؤسسة المالية خطوة بخطوة في إجراءات تقنية المعلومات. وتصف هذه الإجراءات "كيفية" تنفيذ ضوابط ومهام وأنشطة تقنية المعلومات في بيئة التشغيل.

      يتم تعريف العملية في سياق الدليل الماثل على أنها مجموعة منظمة من الأنشطة المصممة لتحقيق الهدف المحدد. وقد تتضمن العملية سياسات ومعايير وإرشادات وإجراءات وأنشطة وتعليمات عمل، بالإضافة إلى أي من الأدوار والمسؤوليات والأدوات والضوابط الإدارية المطلوبة لتقديم المخرجات بشكل موثوق.

      يجب مراقبة التقدم الفعلي في التنفيذ والأداء والامتثال لضوابط تقنية المعلومات وتقييمها بشكل دوري باستخدام مؤشرات الأداء الرئيسية (KPIs).

    • 2.4.2 مستوى النضج 4

      يجب على المؤسسات المالية، من أجل تحقيق مستوى النضج الرابع، قياس وتقييم فعالية ضوابط تقنية المعلومات المطبقة دوريًا. ويجب تحديد مؤشرات المخاطر الرئيسية (KRIs) من أجل قياس وتقييم ما إذا كانت ضوابط حوكمة تقنية المعلومات فعالة. يوضح مؤشر الخطر الرئيسي معيار قياس الفعالية، ويجب أن يحدد عتبات لتحديد ما إذا كانت النتيجة الفعلية للقياس أقل من المعيار المستهدف أو عنده أو أعلى منه. تُستخدم مؤشرات المخاطر الرئيسية للإبلاغ عن الاتجاهات وتحديد التحسينات المحتملة.

    • 3.4.2 مستوى النضج 5

      يركز مستوى النضج الخامس على التحسين المستمر لضوابط تقنية المعلومات. ويتحقق التحسين المستمر من خلال التحليل المستمر لأهداف وإنجازات حوكمة تقنية المعلومات وتحديد التحسينات الهيكلية. وينبغي دمج ضوابط تقنية المعلومات مع ممارسات إدارة المخاطر في المؤسسة ودعمها بالمراقبة الآلية في الوقت الفعلي. يجب أن يكون مالكو العمليات التجارية مسؤولين عن مراقبة الامتثال لضوابط تقنية المعلومات وقياس فعاليتها ودمجها ضمن إطار عمل إدارة المخاطر المؤسسية. إضافة إلى ذلك، ينبغي تقييم أداء ضوابط تقنية المعلومات باستخدام بيانات النظراء والقطاع.