4.2.3 الإبلاغ عن المخاطر/مراقبتها وتوصيفها
| الرقم: 43028139 | التاريخ (م): 2021/11/4 | التاريخ (هـ): 1443/3/29 | الحالة: نافذ |
Effective from 2021-11-04 - Nov 03 2021
To view other versions open the versions tab on the right
المبدأ
يجب التعامل مع مخاطر تقنية المعلومات وفقًا لخطط العلاج المحددة ويجب مراجعتها ومراقبتها والإبلاغ عنها بشكل فعال.
متطلبات الرقابة
| 1. | يجب توثيق نتائج تقييم مخاطر تقنية المعلومات رسميًا وإبلاغها إلى أصحاب الأعمال المعنيين والإدارة العليا. | |
| 2. | يجب أن تتضمن نتائج تقييم مخاطر تقنية المعلومات المخاطر والتأثير والاحتمالية والتخفيف من المخاطر وحالة المعالجة. | |
| 3. | يجب مراقبة مخاطر تقنية المعلومات من حيث، على سبيل المثال لا الحصر: | |
| أ. | تتبع التقدم وفقًا لخطة معالجة المخاطر؛ و | |
| ب. | يتم تنفيذ ضوابط تقنية المعلومات المختارة والمتفق عليها. | |
| 4. | يجب مراقبة التصميم والفعالية التشغيلية لضوابط تقنية المعلومات المنقحة أو المطبقة حديثًا ومراجعتها بشكل دوري. | |
| 5. | يجب على أصحاب الأعمال المعنيين قبول نتائج تقييم مخاطر تقنية المعلومات. | |
| 6. | يجب المصادقة على نتائج تقييم مخاطر تقنية المعلومات من قبل لجنة المخاطر. | |
| 7. | يجب تحديد مؤشرات المخاطر الرئيسية لتقنية المعلومات (KRIs) وتنفيذها ومراقبتها. | |
| 8. | يجب تقديم ملف تعريف مخاطر تقنية المعلومات والبيانات ذات الصلة كمدخل إلى قسم المخاطر التشغيلية لصياغة ملف تعريف المخاطر على مستوى المؤسسة. | |
| 9. | ينبغي صياغة ملف تعريف مخاطر تقنية المعلومات وتقديمه إلى الإدارة العليا واللجنة التوجيهية ومجلس الإدارة دوريًا. | |