7.3.3 إدارة التغيير
| الرقم: 381000091275 | التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28 | الحالة: نافذ |
Effective from May 24 2017 - May 23 2017
To view other versions open the versions tab on the right
المبدأ
يجب على المؤسسة العضو تحديد واعتماد وتنفيذ عملية إدارة التغيير التي تتحكم في جميع التغييرات في أصول المعلومات. وتجب مراقبة الامتثال للعملية ويجب قياس الفعالية وتقييمها بشكل دوري.
الهدف
التأكد من أن جميع التغييرات في أصول المعلومات داخل المؤسسة العضو تجري وفق عملية صارمة للتحكم في التغييرات.
اعتبارات التحكم
| 1. | يجب تحديد عملية إدارة التغيير واعتمادها وتنفيذها. | |||
| 2. | تجب مراقبة الامتثال لعملية إدارة التغيير. | |||
| 3. | يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة التغيير وتقييمها بشكل دوري. | |||
| 4. | يجب أن تتضمن عملية إدارة التغيير ما يلي: | |||
| أ. | متطلبات الأمن السيبراني للتحكم في التغييرات المدخلة على أصول المعلومات، مثل تقييم تأثير التغييرات المطلوبة وتصنيف التغييرات ومراجعة التغييرات؛ | |||
| ب. | الاختبار الأمني، والذي يجب أن يشمل (عند الاقتضاء): | |||
| 1. | اختبار الاختراق؛ | |||
| 2. | مراجعة الأكواد إذا تم تطوير التطبيقات داخليًا؛ | |||
| 3. | مراجعة الأكواد الخاصة بالتطبيقات المطورة خارجيًا ومعرفة ما إذا كان كود المصدر متاحة أم لا | |||
| 4. | تقرير مراجعة الأكواد (أو ما يعادله، مثل بيان الضمان المستقل) في حالة عدم إمكانية توفير كود المصدر؛ | |||
| ج. | موافقة مالك العمل على التغييرات؛ | |||
| د. | الحصول على موافقة من وظيفة الأمن السيبراني قبل تقديمها إلى المجلس الاستشاري للتغيير (المجلس)؛ | |||
| هـ. | موافقة المجلس؛ | |||
| و. | مراجعة ما بعد التنفيذ لضوابط الأمن السيبراني ذات الصلة؛ | |||
| ز. | يتم فصل التطوير والاختبار والتنفيذ لكل من البيئة (الفنية) والأفراد المشاركين؛ | |||
| ح. | إجراءات التغييرات والإصلاحات الطارئة؛ | |||
| ط. | الإجراءات الاحتياطية وإجراءات التراجع. | |||