حوكمة المخاطر السيبرانية
14 ضابط حوكمة يغطي الاستراتيجية والإطار والإشراف والعمليات والموارد وإدارة الأصول الحيوية.
استراتيجية المخاطر السيبرانية
الاستراتيجيةنشرت المؤسسة استراتيجية للمخاطر السيبرانية تتوافق مع استراتيجيات التكنولوجيا والأعمال.
إطار عمل المخاطر السيبرانية
الإطارأنشأت المؤسسة إطار عمل للمخاطر السيبرانية (مثل مجموعة كاملة من العناصر بما في ذلك السياسات والمعايير والأدوار والمسؤوليات وعمليات إدارة المخاطر وتصنيف المخاطر والقابلية للمخاطر والتهديدات والتقنيات الناشئة) لدعم استراتيجية المخاطر السيبرانية والإدارة المستمرة للتهديدات والمخاطر والحوادث.
مراجعات الاستراتيجية والإطار
الإشرافتجري المؤسسة مراجعات منتظمة لاستراتيجية المخاطر السيبرانية وإطار عمل المخاطر السيبرانية لضمان الامتثال للمتطلبات القانونية والتنظيمية.
التخطيط والميزانية المبنية على المخاطر
الاستراتيجيةتراعي المؤسسة متطلبات الامتثال للمخاطر السيبرانية والمخاطر المحددة والتهديدات الحالية والناشئة والتأثيرات المحتملة للحوادث على العمليات والخدمات كمدخلات للتخطيط وترتيب أولويات مشاريع وبرامج وميزانيات المخاطر السيبرانية.
المساءلة التنفيذية
الإشرافعينت المؤسسة مسؤولاً تنفيذياً مسؤولاً عن استراتيجية المخاطر السيبرانية وإطار عمل المخاطر السيبرانية وعن الوعي والمعرفة بالمخاطر السيبرانية على المستوى التنفيذي.
سياسات المخاطر السيبرانية
الإطاروثقت المؤسسة سياسات المخاطر السيبرانية لتوضيح أدوار ومسؤوليات وقواعد وقيود الموظفين والمتعاقدين بالإضافة إلى العقوبات المحتملة لعدم الامتثال.
خطوط الدفاع الثلاثة
الإشرافيتم وصف أدوار ومسؤوليات كل من خطوط الدفاع الثلاثة وأصحاب المصلحة الآخرين بوضوح ضمن إطار عمل المخاطر السيبرانية.
مؤشرات المخاطر والأداء الرئيسية
الإشرافتم وضع مؤشرات المخاطر والأداء الرئيسية والحدود للمخاطر والضوابط السيبرانية الرئيسية للمؤسسة. يجب أن تتوافق مؤشرات المخاطر مع القابلية للمخاطر السيبرانية كما هو محدد في إطار عمل المخاطر السيبرانية.
مراجعة المخاطر والتصعيد للإدارة التنفيذية
الإشرافتتم مراجعة المخاطر السيبرانية للمؤسسة وبرامجها أو عملائها بانتظام وترتيبها حسب الأولوية وتصعيدها وشرحها للمسؤولين التنفيذيين أو الإدارة العليا المناسبة، ويتم ترتيب تلك المخاطر حسب الأولوية للتخفيف.
المراجعة المستقلة للخط الثاني
الإشرافيوفر خط الدفاع الثاني بانتظام مراجعة مستقلة لتقييمات المخاطر السيبرانية المختلفة وأنشطة الرقابة الأخرى التي يجريها خط الدفاع الأول.
فحص الخلفيات للأفراد
العملياتتضمن المؤسسة تنفيذ فحوصات الخلفية للأفراد/المتعاقدين ولدى مزودي الأطراف الثالثة، بما يتناسب مع حساسية واحتياجات المخاطر السيبرانية لأصول المؤسسة المُدارة.
القبول الرسمي للمخاطر
العملياتنفذت المؤسسة عملية رسمية لقبول المخاطر يتم قياسها وتتبعها والإبلاغ عنها.
موارد ومهارات المخاطر السيبرانية
المواردخصصت المؤسسة موارد كافية وماهرة لاستدامة برامج وأنظمة وأدوار وخدمات المخاطر السيبرانية.
ضوابط الأصول الحرجة
الأصولحددت المؤسسة أصولها التكنولوجية الحرجة ونفذت ضوابط مناسبة لضمان السرية والنزاهة والتوافر. تتم مراجعة الضوابط واختبارها بانتظام.