3.2.2 تحديد المخاطر وتحليلها
| الرقم: 43028139 | التاريخ (م): 2021/11/4 | التاريخ (هـ): 1443/3/29 |
Effective from 2021-11-04 - Nov 03 2021
To view other versions open the versions tab on the right
المبدأ
يجب تحديد أصول المعلومات وتسجيلها والحفاظ عليها حتى يتسنى جمع المعلومات حول التهديدات ذات الصلة، ويجب تحليل الضوابط الحالية والمخاطر المرتبطة بها بناءً على احتمالية حدوثها والتأثير الناتج.
متطلبات الرقابة
| 1. | يجب أن يتم تحديد مخاطر تقنية المعلومات وتوثيقها وتحديثها بشكل دوري في سجل المخاطر المركزي الرسمي. | |
| 2. | يجب تحديث سجل مخاطر تقنية المعلومات بانتظام. | |
| 3. | يجب أن يتناول تحليل مخاطر تقنية المعلومات ما يلي، على سبيل المثال لا الحصر: | |
| أ. | وصف أصول المعلومات وتصنيفها؛ | |
| ب. | التهديد (التهديدات) المحتملة لأصول المعلومات؛ | |
| ج. | التأثير والاحتمالية؛ | |
| د. | ضوابط تقنية المعلومات الحالية؛ | |
| هـ. | مالك المخاطر (صاحب العمل أو العملية)؛ | |
| و. | مالك التنفيذ (جهة التحكم)؛ و | |
| ز. | المخاطر الكامنة والمتبقية المتعلقة بأصول المعلومات. | |