4.1.3 أدوار ومسؤوليات الأمن السيبراني
| الرقم: 381000091275 | التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28 |
Effective from May 24 2017 - May 23 2017
To view other versions open the versions tab on the right
المبدأ
يجب تحديد مسؤوليات تنفيذ وصون ودعم وتعزيز الأمن السيبراني في المؤسسة العضو بأكملها. إضافة إلى ذلك، يجب على جميع الأطراف المشاركة في الأمن السيبراني أن تفهم الأدوار والمسؤوليات المنوطة بها.
الهدف
التأكد من أن أصحاب المصلحة المعنيين على دراية بالمسؤوليات المتعلقة بالأمن السيبراني وتطبيق ضوابط الأمن السيبراني في المؤسسة العضو بأكملها.
اعتبارات التحكم
| 1. | يتحمل مجلس الإدارة المسؤولية النهائية عن الأمن السيبراني، بما في ذلك: | |||
| أ. | ضمان تخصيص ميزانية كافية للأمن السيبراني؛ | |||
| ب. | اعتماد ميثاق لجنة الأمن السيبراني؛ | |||
| ج. | المصادقة (بعد اعتماده من لجنة الأمن السيبراني): | |||
| 1. | حوكمة الأمن السيبراني؛ | |||
| 2. | استراتيجية الأمن السيبراني؛ | |||
| 3. | سياسة الأمن السيبراني. | |||
| 2. | تتولى لجنة الأمن السيبراني المسؤولية عن: | |||
| أ. | مراقبة ومراجعة وإبلاغ مدى رغبة المؤسسة العضو في مخاطر الأمن السيبراني بشكل دوري أو عند حدوث تغيير جوهري في مقدار تقبل المخاطر؛ | |||
| ب. | مراجعة استراتيجية الأمن السيبراني للتأكد من أنها تدعم أهداف المؤسسة العضو؛ | |||
| ج. | الاعتماد، والتبليغ، والدعم، والمراقبة: | |||
| 1. | حوكمة الأمن السيبراني؛ | |||
| 2. | استراتيجية الأمن السيبراني؛ | |||
| 3. | سياسة الأمن السيبراني؛ | |||
| 4. | برامج الأمن السيبراني (على سبيل المثال، برنامج التوعية، برنامج تصنيف البيانات، خصوصية البيانات، منع تسريب البيانات، تحسينات الأمن السيبراني الرئيسية)؛ | |||
| 5. | عملية إدارة مخاطر الأمن السيبراني؛ | |||
| 6. | مؤشرات المخاطر الرئيسية ومؤشرات الأداء الرئيسية للأمن السيبراني. | |||
| 3. | تتولى الإدارة العليا المسؤولية عن: | |||
| أ. | التأكد من أن المعايير والعمليات والإجراءات تفي بالمتطلبات الأمنية (إن وجدت)؛ | |||
| ب. | التأكد من قبول الأفراد لسياسة الأمن السيبراني والامتثال لها، ودعم المعايير والإجراءات عند إصدارها وتحديثها؛ | |||
| ج. | التأكد من تضمين مسؤوليات الأمن السيبراني في التوصيفات الوظيفية للمناصب الرئيسية ولموظفي الأمن السيبراني. | |||
| 4. | يتولى الرئيس التنفيذي لأمن المعلومات المسؤولية عن: | |||
| أ. | صياغة وصون: | |||
| 1. | استراتيجية الأمن السيبراني؛ | |||
| 2. | سياسة الأمن السيبراني؛ | |||
| 3. | هيكلية الأمن السيبراني؛ | |||
| 4. | عملية إدارة مخاطر الأمن السيبراني؛ | |||
| ب. | التأكد من وضع المعايير والإجراءات الأمنية التفصيلية واعتمادها وتنفيذها؛ | |||
| ج. | تقديم حلول الأمن السيبراني القائمة على المخاطر والتي تتناول الأشخاص والعمليات والتقنية؛ | |||
| د. | تطوير مهارات موظفي الأمن السيبراني لتقديم حلول الأمن السيبراني في سياق الأعمال؛ | |||
| هـ. | مباشرة أنشطة الأمن السيبراني في المؤسسة العضو بأكملها، بما في ذلك: | |||
| 1. | مراقبة أنشطة الأمن السيبراني (مراقبة مركز العمليات الأمنية)؛ | |||
| 2. | مراقبة الامتثال للوائح وسياسات ومعايير وإجراءات الأمن السيبراني؛ | |||
| 3. | الإشراف على التحقيق في حوادث الأمن السيبراني؛ | |||
| 4. | جمع وتحليل استخبارات التهديدات من المصادر الداخلية والخارجية؛ | |||
| 5. | إجراء مراجعات الأمن السيبراني؛ | |||
| و. | إجراء تقييمات لمخاطر الأمن السيبراني على أصول المعلومات الخاصة بالمؤسسات الأعضاء؛ | |||
| ز. | الدعم الاستباقي للوظائف الأخرى المعنية بالأمن السيبراني، بما في ذلك: | |||
| 1. | إجراء تصنيفات للمعلومات وللأنظمة؛ | |||
| 2. | تحديد متطلبات الأمن السيبراني للمشاريع المهمة؛ | |||
| 3. | إجراء مراجعات الأمن السيبراني. | |||
| ح. | تحديد برامج التوعية بالأمن السيبراني وتنفيذها؛ | |||
| ط. | قياس مؤشرات المخاطر الرئيسية ومؤشرات الأداء الرئيسية والإبلاغ عنها بشأن: | |||
| 1. | استراتيجية الأمن السيبراني؛ | |||
| 2. | الامتثال لسياسة الأمن السيبراني؛ | |||
| 3. | معايير الأمن السيبراني وإجراءاته؛ | |||
| 4. | برامج الأمن السيبراني (مثل برنامج التوعية، برنامج تصنيف البيانات، تحسينات الأمن السيبراني الرئيسية). | |||
| 5. | تتولى وظيفة التدقيق الداخلي المسؤولية عن: | |||
| أ. | إجراء عمليات تدقيق الأمن السيبراني. | |||
| 6. | يتولى جميع موظفي المؤسسة العضو المسؤولية عن: | |||
| أ. | الامتثال لسياسة ومعايير وإجراءات الأمن السيبراني. | |||