المبدأ 14: تفصيل طلبات الحصول على المعلومات وتقييمات التهديدات المخصصة
| الرقم: 43065348 | التاريخ (م): 2022/2/27 | التاريخ (هـ): 1443/7/26 | الحالة: نافذ |
هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
يجب أن تكون المؤسسات المالية قادرة على توفير، عند الطلب، معلومات مفصلة (مثل التهديدات السيبرانية والاتجاهات والأحداث والبرمجيات الخبيثة أو الأدوات) المتعلقة بالهجمات السيبرانية المحتملة التي يمكن أن تستهدفها. ويمكن أن تكون تلك المعلومات، على سبيل المثال، في صورة ملفات تعريفية عن جهات التهديد، أو ملفات تعريفية عن البلدان، أو تحليلات للبرمجيات الخبيثة أو الأدوات، أو دراسات الاتجاهات السيبرانية.
ويجب أن تكون المؤسسات المالية، استناداً إلى الاستخبارات التي يتم إنتاجها، قادرة على إجراء تقييمات مخصصة للتهديدات لتحديد مدى صلة التهديدات المحتملة ومستواها، فضلاً عن احتمالية وقوع هجمات.
ويتحمل الرئيس التنفيذي لأمن المعلومات مسؤولية التحقق من جودة المعلومات ومدى ملاءمتها. ويمكن أن تكون هذه المعلومات ذات أهمية خاصة للإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي أصول المعلومات وغيرهم. وتتمتع هذه المعلومات بقيمة خاصة على سبيل المثال عند تحديد استراتيجيات العمل، أو التخطيط للتدخلات الأمنية، أو في أعقاب الحوادث السيبرانية الكبيرة في القطاع أو في الدولة.