2.2.3 تحديد المخاطر وتحليلها
| الرقم: 43028139 | التاريخ (م): 2021/11/4 | التاريخ (هـ): 1443/3/29 | الحالة: نافذ |
هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
المبدأ
يجب تحديد أصول المعلومات وتسجيلها والحفاظ عليها حتى يتسنى جمع المعلومات حول التهديدات ذات الصلة، ويجب تحليل الضوابط الحالية والمخاطر المرتبطة بها بناءً على احتمالية حدوثها والتأثير الناتج.
متطلبات الرقابة
| 1. | يجب أن يتم تحديد مخاطر تقنية المعلومات وتوثيقها وتحديثها بشكل دوري في سجل المخاطر المركزي الرسمي. | |
| 2. | يجب تحديث سجل مخاطر تقنية المعلومات بانتظام. | |
| 3. | يجب أن يتناول تحليل مخاطر تقنية المعلومات ما يلي، على سبيل المثال لا الحصر: | |
| أ. | وصف أصول المعلومات وتصنيفها؛ | |
| ب. | التهديد (التهديدات) المحتملة لأصول المعلومات؛ | |
| ج. | التأثير والاحتمالية؛ | |
| د. | ضوابط تقنية المعلومات الحالية؛ | |
| هـ. | مالك المخاطر (صاحب العمل أو العملية)؛ | |
| و. | مالك التنفيذ (جهة التحكم)؛ و | |
| ز. | المخاطر الكامنة والمتبقية المتعلقة بأصول المعلومات. | |