يجب على المؤسسة المالية، من أجل تحقيق مستوى النضح الثالث، تحديد ضوابط تقنية المعلومات والموافقة عليها وتنفيذها. كما ينبغي لها مراقبة الامتثال لوثائق تقنية المعلومات. ويجب أن تشير وثائق تقنية المعلومات بوضوح إلى "سبب" و"ماهية" و"كيفية" تنفيذ ضوابط تقنية المعلومات. وتتكون وثائق تقنية المعلومات من سياسات ومعايير وإجراءات تقنية المعلومات.

الشكل 4 - هرم مستندات تقنية المعلومات

يجب أن تكون سياسة تقنية المعلومات معتمدة ومفوضة من قبل مجلس إدارة المؤسسة المالية وتوضح "سبب" أهمية تقنية المعلومات بالنسبة للمؤسسة المالية. يجب أن تسلط السياسة الضوء على أصول المعلومات التي ينبغي حمايتها و"ماهية" مبادئ وأهداف تقنية المعلومات التي ينبغي تحديدها.

وبناءً على سياسة تقنية المعلومات، ينبغي وضع معايير تقنية المعلومات. وتحدد هذه المعايير "ماهية" ضوابط تقنية المعلومات التي يجب تنفيذها، مثل الفصل بين الواجبات وقواعد النسخ الاحتياطي والاسترداد وما إلى ذلك. تدعم المعايير سياسة تقنية المعلومات وتعززها وتعتبر بمثابة خطوط أساس لتقنية المعلومات.

ويتم تفصيل المهام والأنشطة التي يجب أن يقوم بها موظفو المؤسسة المالية خطوة بخطوة في إجراءات تقنية المعلومات. وتصف هذه الإجراءات "كيفية" تنفيذ ضوابط ومهام وأنشطة تقنية المعلومات في بيئة التشغيل.

يتم تعريف العملية في سياق إطار العمل الماثل على أنها مجموعة منظمة من الأنشطة المصممة لتحقيق الهدف المحدد. وقد تتضمن العملية سياسات ومعايير وإرشادات وإجراءات وأنشطة وتعليمات عمل، بالإضافة إلى أي من الأدوار والمسؤوليات والأدوات والضوابط الإدارية المطلوبة لتقديم المخرجات بشكل موثوق.

يجب مراقبة التقدم الفعلي في التنفيذ والأداء والامتثال لضوابط تقنية المعلومات وتقييمها بشكل دوري باستخدام مؤشرات الأداء الرئيسية (KPIs).