3.1.3 سياسة الأمن السيبراني
| الرقم: 381000091275 | التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28 | الحالة: نافذ |
Effective from May 24 2017 - May 23 2017
To view other versions open the versions tab on the right
المبدأ
يجب تحديد سياسة الأمن السيبراني واعتمادها والإبلاغ بها.
الهدف
توثيق التزام المؤسسة المالية وأهدافها المتعلقة بالأمن السيبراني، وإبلاغ أصحاب المصلحة المعنيين بذلك.
اعتبارات التحكم
| 1. | يجب تحديد سياسة الأمن السيبراني واعتمادها والإبلاغ بها. | |||
| 2. | يجب مراجعة سياسة الأمن السيبراني بشكل دوري وفقًا لعملية مراجعة منظمة ومحددة مسبقًا. | |||
| 3. | يجب أن تكون سياسة الأمن السيبراني: | |||
| أ. | بمثابة مدخلات للسياسات المؤسسية الأخرى للمؤسسة المالية (على سبيل المثال، سياسة الموارد البشرية، والسياسة المالية، وسياسة تقنية المعلومات)؛ | |||
| ب. | مدعومة بمعايير أمنية مفصلة (على سبيل المثال، معيار كلمة المرور، ومعيار جدار الحماية) والإجراءات؛ | |||
| ج. | قائمة على أفضل الممارسات والمعايير الوطنية (الدولية)؛ | |||
| د. | تم تبليغها إلى أصحاب المصلحة المعنيين. | |||
| 4. | يجب أن تتضمن سياسة الأمن السيبراني ما يلي: | |||
| أ. | تعريف الأمن السيبراني؛ | |||
| ب. | أهداف ونطاق الأمن السيبراني بوجه عام للمؤسسة المالية؛ | |||
| ج. | بيان مقصد مجلس الإدارة بما يدعم أهداف الأمن السيبراني؛ | |||
| د. | تعريف المسؤوليات العامة والخاصة للأمن السيبراني؛ | |||
| هـ. | الإشارة إلى دعم معايير وإجراءات الأمن السيبراني؛ | |||
| و. | تضمن متطلبات الأمن السيبراني الآتي: | |||
| 1. | تصنيف المعلومات بطريقة تشير إلى أهميتها بالنسبة للمؤسسة المالية؛ | |||
| 2. | حماية المعلومات فيما يتعلق بمتطلبات الأمن السيبراني، بما يتماشى مع تقبّل المخاطرة؛ | |||
| 3. | تعيين مالكي جميع أصول المعلومات؛ | |||
| 4. | إجراء تقييمات مخاطر الأمن السيبراني لأصول المعلومات؛ | |||
| 5. | توعية أصحاب المصلحة المعنيين بالأمن السيبراني وسلوكهم المتوقع (برنامج التوعية بالأمن السيبراني)؛ | |||
| 6. | الوفاء بالالتزامات التنظيمية والتعاقدية؛ | |||
| 7. | الإبلاغ عن انتهاكات الأمن السيبراني ونقاط ضعف الأمن السيبراني المشكوك فيها؛ | |||
| 8. | انعكاس الأمن السيبراني على إدارة استمرارية الأعمال. | |||