ضوابط الأصول الحرجة
الأصولبيان الضابط
حددت المؤسسة أصولها التكنولوجية الحرجة ونفذت ضوابط مناسبة لضمان السرية والنزاهة والتوافر. تتم مراجعة الضوابط واختبارها بانتظام.
الوصف
تدعم الأصول التكنولوجية الحرجة أهم العمليات التجارية والبيانات والخدمات في المؤسسة. يتطلب هذا الضابط نهجاً منهجياً لتحديد الأصول التكنولوجية الحرجة (بناءً على دورها في دعم الوظائف التجارية الأساسية وحساسية البيانات التي تعالجها وتأثير اختراقها أو عدم توافرها) وتنفيذ ضوابط تحمي سريتها ونزاهتها وتوافرها وضمان بقاء تلك الضوابط فعالة من خلال المراجعة والاختبار المنتظمين. بدون هذا الانضباط، تخاطر المؤسسات بعدم حماية أصولها الأكثر قيمة بشكل كافٍ مع احتمال الإفراط في الاستثمار في مجالات أقل أولوية.
أنشطة التطبيق الرئيسية
- 1 تحديد وصيانة جرد للأصول التكنولوجية الحرجة بناءً على تحليل الأثر على الأعمال وتصنيف البيانات وخرائط التبعية
- 2 تنفيذ ضوابط متعددة الطبقات تعالج السرية (التشفير، ضوابط الوصول) والنزاهة (إدارة التغيير، مراقبة النزاهة) والتوافر (التكرار، النسخ الاحتياطي، التعافي من الكوارث) لكل أصل حرج
- 3 إنشاء دورة مراجعة منتظمة لتقييم ما إذا كانت الضوابط تظل مناسبة نظراً للتغيرات في مشهد التهديدات وبيئة التكنولوجيا ومتطلبات الأعمال
- 4 إجراء اختبار دوري للضوابط من خلال تقييمات الثغرات واختبارات الاختراق وتمارين التعافي من الكوارث ومراجعات فعالية الضوابط
- 5 صيانة توثيق يربط الأصول الحرجة بالضوابط المعينة لها ومالكي المخاطر وجداول الاختبار
أمثلة على الأدلة
- جرد الأصول الحرجة مع التصنيف وتقييمات الأثر على الأعمال ومالكي المخاطر المعينين
- توثيق ربط الضوابط الذي يُظهر الضوابط الوقائية المعينة لكل أصل حرج عبر أبعاد CIA
- سجلات مراجعة الضوابط التي تُظهر التقييم المنتظم لملاءمة وفعالية الضوابط
- نتائج الاختبارات (تقارير فحص الثغرات وتقارير اختبار الاختراق ونتائج اختبار التعافي من الكوارث) لضوابط الأصول الحرجة
- تتبع معالجة أوجه القصور في الضوابط المحددة من خلال أنشطة المراجعة والاختبار
مستويات النضج
يتم التعرف على الأصول الحرجة بشكل غير رسمي ولكن لا يتم تحديدها أو تصنيفها بشكل منهجي. تُطبق الضوابط بشكل غير متسق ونادراً ما تُختبر. لا يوجد ربط رسمي بين أهمية الأصول وعمق الضوابط.
يتم تحديد الأصول الحرجة وتصنيفها وجردها رسمياً. يتم تنفيذ الضوابط التي تعالج CIA وربطها بالأصول. يتم إنشاء وتوثيق دورات المراجعة والاختبار المنتظمة.
توفر المراقبة المستمرة رؤية آنية لفعالية ضوابط الأصول الحرجة. يتم أتمتة الاختبار حيثما أمكن ويشمل المحاكاة العدائية. يتم تعديل استثمار الضوابط ديناميكياً بناءً على استخبارات التهديدات وتغيرات أهمية الأصول.
قوالب المستندات
متطلبات الأدلة عرض جميع الأدلة
| النوع | عنصر الدليل | التكرار | المستوى |
|---|---|---|---|
| وثيقة | جرد الأصول الحرجة مع التصنيف وتقييمات الأثر على الأعمال ومالكي المخاطر | يُراجع نصف سنوي | مطلوب |
| وثيقة | توثيق ربط الضوابط الذي يُظهر ضوابط السرية والنزاهة والتوافر المعينة لكل أصل حرج | يُراجع سنوياً | مطلوب |
| وثيقة | معايير تحديد الأصول الحرجة ومنهجية التصنيف | تُراجع سنوياً | مطلوب |
| سجل | سجلات مراجعة الضوابط التي تُظهر التقييم الدوري لفعالية الضوابط | وفق جدول المراجعة | مطلوب |
| سجل | نتائج الاختبارات: فحص الثغرات واختبارات الاختراق واختبارات التعافي من الكوارث للأصول الحرجة | وفق جدول الاختبار | مطلوب |
| سجل | تتبع معالجة أوجه القصور في الضوابط المحددة من خلال المراجعة والاختبار | لكل نتيجة | مطلوب |
| سجل | ملخص فعالية الضوابط السنوي المقدم إلى الحوكمة التنفيذية | سنوياً | متوقع |