3.2.3 معالجة المخاطر
| الرقم: 43028139 | التاريخ (م): 2021/11/4 | التاريخ (هـ): 1443/3/29 |
Effective from 2021-11-04 - Nov 03 2021
To view other versions open the versions tab on the right
المبدأ
ينبغي معالجة مخاطر تقنية المعلومات المرتبطة بأصول المعلومات الخاصة بالمؤسسة العضو بشكل مناسب بناءً على المعايير المعمول بها (أي قبولها أو تجنبها أو نقلها أو تخفيفها).
متطلبات الرقابة
| 1. | يجب تحديد خطة معالجة مخاطر تقنية المعلومات والموافقة عليها والإبلاغ بها. | |||
| 2. | يجب تنفيذ خطة معالجة مخاطر تقنية المعلومات وتقييمها دوريًا. | |||
| 3. | يجب التعامل مع مخاطر تقنية المعلومات وفقًا لرغبة المؤسسة العضو في المخاطرة والتي حددها صاحب وظيفة الحوكمة ذات الصلة ووافقت عليها اللجنة التوجيهية. | |||
| 4. | يجب أن تتضمن خطة معالجة مخاطر تقنية المعلومات التصميم والتنفيذ التفصيلي للضوابط اللازمة للتخفيف من المخاطر المحددة. | |||
| 5. | يجب أن تضمن خطة معالجة مخاطر تقنية المعلومات أن قائمة خيارات معالجة المخاطر موثقة رسميًا (أي قبول المخاطر أو تجنبها أو نقلها أو تخفيفها من خلال تطبيق ضوابط تقنية المعلومات). | |||
| 6. | يجب أن يكون قبول المخاطر هو الأقل تفضيلاً على تخفيف المخاطر من خلال تنفيذ الضوابط الأولية. | |||
| 7. | يجب أن يتم توثيق قبول مخاطر تقنية المعلومات رسميًا واعتماده وتوقيعه من قبل صاحب العمل وإبلاغه إلى لجنة المخاطر، مما يضمن ما يلي: | |||
| أ. | تقديم مبرر تفصيلي لقبول المخاطر، بما في ذلك على سبيل المثال لا الحصر ما يلي: | |||
| 1. | أثر عدم تطبيق الضوابط الرئيسية (أي من الناحية التشغيلية والمالية والمتعلق بالسمعة)؛ و | |||
| 2. | الضوابط التعويضية بدلاً من الضوابط الأولية لتخفيف المخاطر. | |||
| ب. | مخاطر تقنية المعلومات مقبولة ضمن حدود رغبة المؤسسة العضو في المخاطرة؛ | |||
| ج. | عدم تعارض مخاطر تقنية المعلومات المقبولة مع لوائح ساما؛ | |||
| د. | توثيق استثناء منفصل لكل خطر فريد؛ | |||
| هـ. | تجديد قبول المخاطر بشكل دوري؛ و | |||
| و. | عرض قبول المخاطر على لجنة المخاطر وإبلاغها به. | |||
| 8. | يجب أن يتضمن تجنب مخاطر تقنية المعلومات قرارًا من صاحب العمل ولجنة المخاطر بإلغاء أو تأجيل نشاط أو مشروع معين يؤدي إلى مخاطر غير مقبولة في مجال تقنية المعلومات على الشركة. | |||
| 9. | يجب أن يتوفر في نقل أو مشاركة مخاطر تقنية المعلومات ما يلي: | |||
| أ. | مشاركة مخاطر تقنية المعلومات مع مقدمي الخدمات ذوي الصلة (الداخليين أو الخارجيين)؛ و | |||
| ب. | الموافقة عليه من قبل مقدمي الخدمات المتلقيين (الداخليين أو الخارجيين). | |||
| 10. | يجب أن يتضمن تطبيق ضوابط تقنية المعلومات بغرض التخفيف من مخاطر تقنية المعلومات ما يلي: | |||
| أ. | تحديد الضوابط المناسبة لتقنية المعلومات؛ | |||
| ب. | تقييم نقاط القوة والضعف في ضوابط تقنية المعلومات؛ | |||
| ج. | اختيار الضوابط المناسبة لتقنية المعلومات؛ و | |||
| د. | توثيق أي مخاطر متبقية والحصول على الموافقة على صاحب العمل ولجنة المخاطر عليها. | |||
| 11. | يجب توثيق إجراءات معالجة مخاطر تقنية المعلومات في خطة معالجة المخاطر. | |||