Skip to main content
رجوع طباعة مخصصة Text Only Rich Text PDFطباعة / حفظ بصيغة
تحميل الوثيقة الأصلية

  • 2.3 إدارة مخاطر تقنية المعلومات

    إدارة مخاطر تقنية المعلومات عملية مستمرة لتحديد المخاطر المتعلقة بتقنية المعلومات وتحليلها والاستجابة لها ومراقبتها ومراجعتها من منظور العمليات والتكنولوجيا والأفراد. ويجب على المؤسسات المالية، من أجل إدارة مخاطر تقنية المعلومات، أن تقوم باستمرار بتحديد وتقييم وتقليل مخاطر تقنية المعلومات ضمن مستويات التسامح التي تحددها الإدارة العليا للمؤسسة المالية.

    • 1.2.3 إدارة مخاطر تقنية المعلومات

      المبدأ

      ينبغي تحديد عملية إدارة مخاطر تقنية المعلومات والموافقة عليها وتنفيذها وإبلاغها ومواءمتها مع عملية إدارة مخاطر تقنية المعلومات في المؤسسة المالية، بما في ذلك تحديد مخاطر تقنية المعلومات وتحليلها ومعالجتها ومراقبتها ومراجعتها على فترات زمنية مناسبة.

      متطلبات الرقابة

      1.يجب تحديد عملية إدارة مخاطر تقنية المعلومات والموافقة عليها وتنفيذها والإبلاغ عنها.
       
      2.ينبغي قياس فعالية عملية إدارة مخاطر تقنية المعلومات وتقييمها دوريًا.
       
      3.يجب أن تتماشى عملية إدارة مخاطر تقنية المعلومات مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.
       
      4.يجب أن تتناول عملية إدارة مخاطر تقنية المعلومات العمليات الفرعية التالية بوضوح، بما في ذلك على سبيل المثال لا الحصر:
       
       أ. تحديد المخاطر وتحليلها وتصنيفها؛
       
       ب. معالجة المخاطر؛
       
       ج. الإبلاغ عن المخاطر؛ و
       
       د. مراقبة المخاطر وتوصيفها.
       
      5.يجب أن تعالج عملية إدارة مخاطر تقنية المعلومات الأصول المعلوماتية للمؤسسة المالية، بما في ذلك على سبيل المثال لا الحصر:
       
       أ. العمليات التجارية والبيانات ذات الصلة؛
       
       ب. تطبيقات الأعمال؛
       
       ج. مكونات البنية التحتية؛ و
       
       د. علاقات الأطراف الخارجية والمخاطر المرتبطة بها.
       
      6.يجب أن تعالج عملية إدارة مخاطر تقنية المعلومات الجانب البشري في المؤسسة المالية (أي الموظفين الدائمين، والموظفين المتعاقدين، والأطراف الخارجية).
       
      7.يجب أن تبدأ عملية إدارة مخاطر تقنية المعلومات ، على سبيل المثال لا الحصر، في:
       
       أ. مرحلة مبكرة من تنفيذ البرنامج والمشروع؛
       
       ب. قبل الشروع في إجراء تغييرات حرجة وكبيرة على أصول المعلومات؛
       
       ج. وقت الاستعانة بمصادر خارجية للخدمات؛ و
       
       د. قبل شراء الأنظمة والأدوات والتقنيات الناشئة الجديدة (مثل تقنية دفتر الأستاذ الموزع 
      ((DTL، وضمان العمليات الآلية (RPA) وما إلى ذلك)
       
      8.يجب أن تخضع أصول المعلومات الحالية لتقييم دوري لمخاطر تقنية المعلومات بناءً على مدى أهميتها، على سبيل المثال:
       
       أ. يجب تقييم جميع أصول المعلومات الحرجة والحساسة للمهام مرة واحدة على الأقل في السنة؛ و
       
       ب. يجب تقييم أصول المعلومات غير الحرجة بناء على أهميتها للأعمال.
       
      9.يجب أن تشتمل أنشطة إدارة مخاطر تقنية المعلومات أصحاب المصلحة التاليين، على سبيل المثال لا الحصر:
       
       أ. أصحاب الأعمال والمستخدمون؛
       
       ب. رؤساء أقسام/وظائف تقنية المعلومات؛
       
       ج. الإداريون الفنيون؛ و
       
       د. المتخصصون في الأمن السيبراني.
       
      10.يجب على المؤسسات المالية وضع وتنفيذ الاستجابة لمخاطر تقنية المعلومات (أي التجنب والتخفيف والنقل والقبول) وكذلك استراتيجيات التحكم التي تتوافق مع قيمة أصول المعلومات ورغبة المؤسسات المالية في المخاطرة.
       
      11.يجب تحديد مؤشرات المخاطر الرئيسية لتقنية المعلومات (KRIs) وتنفيذها ومراقبتها.
       

    • 2.2.3 تحديد المخاطر وتحليلها

      المبدأ

      يجب تحديد أصول المعلومات وتسجيلها والحفاظ عليها حتى يتسنى جمع المعلومات حول التهديدات ذات الصلة، ويجب تحليل الضوابط الحالية والمخاطر المرتبطة بها بناءً على احتمالية حدوثها والتأثير الناتج.

      متطلبات الرقابة

      1.يجب أن يتم تحديد مخاطر تقنية المعلومات وتوثيقها وتحديثها بشكل دوري في سجل المخاطر المركزي الرسمي.
       
      2.يجب تحديث سجل مخاطر تقنية المعلومات بانتظام.
       
      3.يجب أن يتناول تحليل مخاطر تقنية المعلومات ما يلي، على سبيل المثال لا الحصر:
       
       أ. وصف أصول المعلومات وتصنيفها؛
       
       ب. التهديد (التهديدات) المحتملة لأصول المعلومات؛
       
       ج. التأثير والاحتمالية؛
       
       د. ضوابط تقنية المعلومات الحالية؛
       
       هـ. مالك المخاطر (صاحب العمل أو العملية)؛
       
       و. مالك التنفيذ (جهة التحكم)؛ و
       
       ز. المخاطر الكامنة والمتبقية المتعلقة بأصول المعلومات.
       

    • 3.2.3 معالجة المخاطر

      المبدأ

      ينبغي معالجة مخاطر تقنية المعلومات المرتبطة بأصول المعلومات الخاصة بالمؤسسة المالية بشكل مناسب بناءً على المعايير المعمول بها (أي قبولها أو تجنبها أو نقلها أو تخفيفها).

      متطلبات الرقابة

      1.يجب تحديد خطة معالجة مخاطر تقنية المعلومات والموافقة عليها والإبلاغ بها.
             		 
      2.يجب تنفيذ خطة معالجة مخاطر تقنية المعلومات وتقييمها دوريًا.
             		 
      3.يجب التعامل مع مخاطر تقنية المعلومات وفقًا لرغبة المؤسسة المالية في المخاطرة والتي حددها صاحب وظيفة الحوكمة ذات الصلة ووافقت عليها اللجنة التوجيهية.
             		 
      4.يجب أن تتضمن خطة معالجة مخاطر تقنية المعلومات التصميم والتنفيذ التفصيلي للضوابط اللازمة للتخفيف من المخاطر المحددة.
             		 
      5.يجب أن تضمن خطة معالجة مخاطر تقنية المعلومات أن قائمة خيارات معالجة المخاطر موثقة رسميًا (أي قبول المخاطر أو تجنبها أو نقلها أو تخفيفها من خلال تطبيق ضوابط تقنية المعلومات).
             		 
      6.يجب أن يكون قبول المخاطر هو الأقل تفضيلاً على تخفيف المخاطر من خلال تنفيذ الضوابط الأولية.
             		 
      7.يجب أن يتم توثيق قبول مخاطر تقنية المعلومات رسميًا واعتماده وتوقيعه من قبل صاحب العمل وإبلاغه إلى لجنة المخاطر، مما يضمن ما يلي:
             		 
       أ. تقديم مبرر تفصيلي لقبول المخاطر، بما في ذلك على سبيل المثال لا الحصر ما يلي:
       
        1.أثر عدم تطبيق الضوابط الرئيسية (أي من الناحية التشغيلية والمالية والمتعلق بالسمعة)؛ و
             		 
        2.الضوابط التعويضية بدلاً من الضوابط الأولية لتخفيف المخاطر.
             		 
       ب. مخاطر تقنية المعلومات مقبولة ضمن حدود رغبة المؤسسة المالية في المخاطرة؛
       
       ج. عدم تعارض مخاطر تقنية المعلومات المقبولة مع لوائح البنك المركزي؛
       
       د. توثيق استثناء منفصل لكل خطر فريد؛
       
       هـ. تجديد قبول المخاطر بشكل دوري؛ و
       
       و.عرض قبول المخاطر على لجنة المخاطر وإبلاغها به.
       
      8.يجب أن يتضمن تجنب مخاطر تقنية المعلومات قرارًا من صاحب العمل ولجنة المخاطر بإلغاء أو تأجيل نشاط أو مشروع معين يؤدي إلى مخاطر غير مقبولة في مجال تقنية المعلومات على الشركة.
             		 
      9.يجب أن يتوفر في نقل أو مشاركة مخاطر تقنية المعلومات ما يلي:
             		 
       أ. مشاركة مخاطر تقنية المعلومات مع مقدمي الخدمات ذوي الصلة (الداخليين أو الخارجيين)؛ و
       
       ب. الموافقة عليه من قبل مقدمي الخدمات المتلقيين (الداخليين أو الخارجيين).
       
      10.يجب أن يتضمن تطبيق ضوابط تقنية المعلومات بغرض التخفيف من مخاطر تقنية المعلومات ما يلي:
             		 
       أ. تحديد الضوابط المناسبة لتقنية المعلومات؛
       
       ب. تقييم نقاط القوة والضعف في ضوابط تقنية المعلومات؛
       
       ج. اختيار الضوابط المناسبة لتقنية المعلومات؛ و
       
       د. توثيق أي مخاطر متبقية والحصول على الموافقة على صاحب العمل ولجنة المخاطر عليها.
       
      11.يجب توثيق إجراءات معالجة مخاطر تقنية المعلومات في خطة معالجة المخاطر.
             		 

    • 4.2.3 الإبلاغ عن المخاطر/مراقبتها وتوصيفها

      المبدأ

      يجب التعامل مع مخاطر تقنية المعلومات وفقًا لخطط العلاج المحددة ويجب مراجعتها ومراقبتها والإبلاغ عنها بشكل فعال.

      متطلبات الرقابة

      1.يجب توثيق نتائج تقييم مخاطر تقنية المعلومات رسميًا وإبلاغها إلى أصحاب الأعمال المعنيين والإدارة العليا.
       
      2.يجب أن تتضمن نتائج تقييم مخاطر تقنية المعلومات المخاطر والتأثير والاحتمالية والتخفيف من المخاطر وحالة المعالجة.
       
      3.يجب مراقبة مخاطر تقنية المعلومات من حيث، على سبيل المثال لا الحصر:
       
       أ. تتبع التقدم وفقًا لخطة معالجة المخاطر؛ و
       
       ب. يتم تنفيذ ضوابط تقنية المعلومات المختارة والمتفق عليها.
       
      4.يجب مراقبة التصميم والفعالية التشغيلية لضوابط تقنية المعلومات المنقحة أو المطبقة حديثًا ومراجعتها بشكل دوري.
       
      5.يجب على أصحاب الأعمال المعنيين قبول نتائج تقييم مخاطر تقنية المعلومات.
       
      6.يجب المصادقة على نتائج تقييم مخاطر تقنية المعلومات من قبل لجنة المخاطر.
       
      7.يجب تحديد مؤشرات المخاطر الرئيسية لتقنية المعلومات (KRIs) وتنفيذها ومراقبتها.
       
      8.يجب تقديم ملف تعريف مخاطر تقنية المعلومات والبيانات ذات الصلة كمدخل إلى قسم المخاطر التشغيلية لصياغة ملف تعريف المخاطر على مستوى المؤسسة.
       
      9.ينبغي صياغة ملف تعريف مخاطر تقنية المعلومات وتقديمه إلى الإدارة العليا واللجنة التوجيهية ومجلس الإدارة دوريًا.