1.1.3 حوكمة الأمن السيبراني

الرقم: 381000091275

التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28

الحالة: نافذ

Effective from May 24 2017 - May 23 2017
To view other versions open the versions tab on the right

المبدأ

يجب تحديد هيكل حوكمة الأمن السيبراني وتنفيذه، ويجب أن يعتمده مجلس الإدارة.

الهدف

توجيه النهج العام للأمن السيبراني والتحكم فيه داخل المؤسسة العضو.

اعتبارات التحكم

1.	يشكل مجلس الإدارة لجنة للأمن السيبراني ويكلفها بهذه الوظيفة.
2.	يرأس أحد كبار المديرين المستقلين من إحدى وظائف التحكم لجنة الأمن السيبراني.
3.	يجب تمثيل المناصب التالية في لجنة الأمن السيبراني:
	أ.	كبار المديرين من جميع الإدارات ذات الصلة (على سبيل المثال، الرئيس التنفيذي للعمليات، الرئيس التنفيذي للمعلومات، ومسؤول الامتثال، ورؤساء أقسام الأعمال ذات الصلة)؛
	ب.	الرئيس التنفيذي لأمن المعلومات؛
	ج.	ويجوز أن يحضر المدقق الداخلي بصفته "مراقب".
4.	تجب صياغة ميثاق لجنة الأمن السيبراني واعتماده وأن يتضمن ما يلي:
	أ.	أهداف اللجنة؛
	ب.	الأدوار والمسؤوليات؛
	ج.	الحد الأدنى لعدد المشاركين في الاجتماع؛
	د.	تواتر انعقاد الاجتماعات (الحد الأدنى على أساس ربع سنوي).
5.	يجب إنشاء وظيفة للأمن السيبراني.
6.	يجب أن تكون وظيفة الأمن السيبراني مستقلة عن وظيفة تقنية المعلومات. ولتجنب أي تضارب في المصالح، يجب فصل وظيفة الأمن السيبراني عن وظيفة تقنية المعلومات من حيث التسلسلات الإدارية والميزانيات والتقييمات للموظفين.
7.	ترفع وظيفة الأمن السيبراني تقاريرها مباشرة إلى الرئيس التنفيذي/العضو المنتدب للمؤسسة العضو أو إلى المدير العام لإحدى وظائف التحكم.
8.	يجب تعيين أحد كبار المديرين بدوام كامل في وظيفة الأمن السيبراني، يشار إليه باسم الرئيس التنفيذي لأمن المعلومات، على مستوى الإدارة العليا.
9.	يجب على المؤسسة العضو:
	أ.	التأكد من أن الرئيس التنفيذي لأمن المعلومات يحمل الجنسية السعودية؛
	ب.	التأكد من أن الرئيس التنفيذي لأمن المعلومات مؤهل بشكل كافٍ؛
	ج.	الحصول على عدم ممانعة من البنك المركزي لتعيين الرئيس التنفيذي لأمن المعلومات.
10.	يجب على مجلس إدارة المؤسسة العضو تخصيص ميزانية كافية لتنفيذ أنشطة الأمن السيبراني المطلوبة.