3.2.1 إدارة مخاطر تقنية المعلومات
| الرقم: 43028139 | التاريخ (م): 2021/11/4 | التاريخ (هـ): 1443/3/29 |
Effective from 2021-11-04 - Nov 03 2021
To view other versions open the versions tab on the right
المبدأ
ينبغي تحديد عملية إدارة مخاطر تقنية المعلومات والموافقة عليها وتنفيذها وإبلاغها ومواءمتها مع عملية إدارة مخاطر تقنية المعلومات في المؤسسة العضو، بما في ذلك تحديد مخاطر تقنية المعلومات وتحليلها ومعالجتها ومراقبتها ومراجعتها على فترات زمنية مناسبة.
متطلبات الرقابة
| 1. | يجب تحديد عملية إدارة مخاطر تقنية المعلومات والموافقة عليها وتنفيذها والإبلاغ عنها. | |
| 2. | ينبغي قياس فعالية عملية إدارة مخاطر تقنية المعلومات وتقييمها دوريًا. | |
| 3. | يجب أن تتماشى عملية إدارة مخاطر تقنية المعلومات مع عملية إدارة المخاطر المؤسسية في المؤسسة العضو. | |
| 4. | يجب أن تتناول عملية إدارة مخاطر تقنية المعلومات العمليات الفرعية التالية بوضوح، بما في ذلك على سبيل المثال لا الحصر: | |
| أ. | تحديد المخاطر وتحليلها وتصنيفها؛ | |
| ب. | معالجة المخاطر؛ | |
| ج. | الإبلاغ عن المخاطر؛ و | |
| د. | مراقبة المخاطر وتوصيفها. | |
| 5. | يجب أن تعالج عملية إدارة مخاطر تقنية المعلومات الأصول المعلوماتية للمؤسسة العضو، بما في ذلك على سبيل المثال لا الحصر: | |
| أ. | العمليات التجارية والبيانات ذات الصلة؛ | |
| ب. | تطبيقات الأعمال؛ | |
| ج. | مكونات البنية التحتية؛ و | |
| د. | علاقات الأطراف الخارجية والمخاطر المرتبطة بها. | |
| 6. | يجب أن تعالج عملية إدارة مخاطر تقنية المعلومات الجانب البشري في المؤسسة العضو (أي الموظفين الدائمين، والموظفين المتعاقدين، والأطراف الخارجية). | |
| 7. | يجب أن تبدأ عملية إدارة مخاطر تقنية المعلومات ، على سبيل المثال لا الحصر، في: | |
| أ. | مرحلة مبكرة من تنفيذ البرنامج والمشروع؛ | |
| ب. | قبل الشروع في إجراء تغييرات حرجة وكبيرة على أصول المعلومات؛ | |
| ج. | وقت الاستعانة بمصادر خارجية للخدمات؛ و | |
| د. | قبل شراء الأنظمة والأدوات والتقنيات الناشئة الجديدة (مثل تقنية دفتر الأستاذ الموزع ((DTL، وضمان العمليات الآلية (RPA) وما إلى ذلك) | |
| 8. | يجب أن تخضع أصول المعلومات الحالية لتقييم دوري لمخاطر تقنية المعلومات بناءً على مدى أهميتها، على سبيل المثال: | |
| أ. | يجب تقييم جميع أصول المعلومات الحرجة والحساسة للمهام مرة واحدة على الأقل في السنة؛ و | |
| ب. | يجب تقييم أصول المعلومات غير الحرجة بناء على أهميتها للأعمال. | |
| 9. | يجب أن تشتمل أنشطة إدارة مخاطر تقنية المعلومات أصحاب المصلحة التاليين، على سبيل المثال لا الحصر: | |
| أ. | أصحاب الأعمال والمستخدمون؛ | |
| ب. | رؤساء أقسام/وظائف تقنية المعلومات؛ | |
| ج. | الإداريون الفنيون؛ و | |
| د. | المتخصصون في الأمن السيبراني. | |
| 10. | يجب على المؤسسات الأعضاء وضع وتنفيذ الاستجابة لمخاطر تقنية المعلومات (أي التجنب والتخفيف والنقل والقبول) وكذلك استراتيجيات التحكم التي تتوافق مع قيمة أصول المعلومات ورغبة المؤسسات الأعضاء في المخاطرة. | |
| 11. | يجب تحديد مؤشرات المخاطر الرئيسية لتقنية المعلومات (KRIs) وتنفيذها ومراقبتها. | |