17.3.3 إدارة الثغرات الأمنية
| الرقم: 381000091275 | التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28 | الحالة: نافذ |
هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
المبدأ
يجب على المؤسسة المالية تحديد عملية إدارة الثغرات الأمنية، واعتمادها، وتنفيذها لتحديد الثغرات الأمنية الموجودة في التطبيقات والبنية التحتية والحد من تأثيرها. ويجب قياس فعالية هذه العملية ويجب تقييم الفعالية بشكل دوري.
الهدف
ضمان التحديد في الوقت المناسب والتخفيف الفعال من الثغرات الأمنية الموجودة في التطبيقات والبنية التحتية من أجل تقليل احتمالية التعرض لها والحد من التأثير على أعمال المؤسسة المالية.
اعتبارات التحكم
| 1. | يجب تحديد عملية إدارة الثغرات الأمنية واعتمادها وتنفيذها. | |
| 2. | يجب قياس فعالية عملية إدارة الثغرات الأمنية وتقييمها بشكل دوري. | |
| 3. | يجب أن تتضمن عملية إدارة الثغرات الأمنية ما يلي: | |
| أ. | جميع أصول المعلومات؛ | |
| ب. | تكرار إجراء فحص الثغرات الأمنية (القائم على المخاطر)؛ | |
| ج. | تصنيف الثغرات الأمنية؛ | |
| د. | جداول زمنية محددة للتخفيف المخاطر (حسب التصنيف)؛ | |
| هـ. | تحديد الأولويات لأصول المعلومات المصنفة؛ | |
| و. | إدارة حزم التحديثات والإصلاحات وطريقة النشر. | |