1.2.3 إدارة مخاطر الأمن السيبراني

الرقم: 381000091275

التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28

الحالة: نافذ

Effective from May 24 2017 - May 23 2017
To view other versions open the versions tab on the right

المبدأ

يجب تحديد عملية إدارة مخاطر الأمن السيبراني واعتمادها وتنفيذها، ويجب أن تتماشى مع عملية إدارة المخاطر المؤسسية في المؤسسة العضو.

الهدف

ضمان إدارة مخاطر الأمن السيبراني على نحو صحيح لحماية سرية وسلامة وتوافر أصول المعلومات الخاصة بالمؤسسة العضو، وضمان توافق عملية إدارة مخاطر الأمن السيبراني مع عملية إدارة المخاطر المؤسسية للمؤسسة العضو.

اعتبارات التحكم

1.	يجب تحديد عملية إدارة مخاطر الأمن السيبراني واعتمادها وتنفيذها.
2.	يجب أن تركز عملية إدارة مخاطر الأمن السيبراني على حماية سرية وسلامة وتوافر أصول المعلومات.
3.	يجب أن تتماشى عملية إدارة مخاطر الأمن السيبراني مع عملية إدارة المخاطر المؤسسية الحالية.
4.	يجب توثيق عملية إدارة مخاطر الأمن السيبراني ويجب أن تشمل:
	أ.	تحديد المخاطر؛
	ب.	تحليل المخاطر؛
	ج.	الاستجابة للمخاطر؛
	د.	مراقبة المخاطر ومراجعتها.
5.	يجب أن تتناول عملية إدارة مخاطر الأمن السيبراني أصول المعلومات الخاصة بالمؤسسة العضو، بما في ذلك (على سبيل المثال لا الحصر):
	أ.	العمليات التجارية؛
	ب.	تطبيقات الأعمال؛
	ج.	مكونات البنية التحتية.
6.	يجب البدء في عملية إدارة مخاطر الأمن السيبراني:
	أ.	في مرحلة مبكرة من المشروع؛
	ب.	قبل التغيير الحرج؛
	ج.	عند النظر في اسناد المهام إلى طرف ثالث؛
	د.	عند إطلاق منتجات وتقنيات جديدة.
7.	يجب أن تخضع أصول المعلومات الموجودة بشكل دوري لتقييم مخاطر الأمن السيبراني بناءً على تصنيفها أو على طبيعة المخاطر الخاصة بها.
8.	يجب أن تتضمن أنشطة إدارة مخاطر الأمن السيبراني ما يلي:
	أ.	مالكي الأعمال؛
	ب.	متخصصي تقنية المعلومات؛
	ج.	متخصصي الأمن السيبراني؛
	د.	ممثلي المستخدمين الرئيسيين.
9.	يجب إبلاغ مالك العمل المعني (أي مالك المخاطر) بنتيجة تقييم المخاطر داخل المؤسسة العضو؛
10.	يجب على مالك العمل المعني (أي مالك المخاطر) داخل المؤسسة العضو قبول نتائج تقييم المخاطر واعتمادها.
11.	يجب تحديد مدى تقبل المؤسسة العضو لمخاطر الأمن السيبراني وتحملها للمخاطر بشكل واضح واعتمادها رسميًا.