إطار عمل المخاطر السيبرانية
الإطاربيان الضابط
أنشأت المؤسسة إطار عمل للمخاطر السيبرانية (مثل مجموعة كاملة من العناصر بما في ذلك السياسات والمعايير والأدوار والمسؤوليات وعمليات إدارة المخاطر وتصنيف المخاطر والقابلية للمخاطر والتهديدات والتقنيات الناشئة) لدعم استراتيجية المخاطر السيبرانية والإدارة المستمرة للتهديدات والمخاطر والحوادث.
الوصف
يوفر إطار عمل المخاطر السيبرانية الشامل الأساس الهيكلي لجميع أنشطة حوكمة الأمن السيبراني. يترجم استراتيجية المخاطر السيبرانية العالية المستوى إلى مكونات قابلة للتنفيذ: سياسات تحدد التوقعات، ومعايير تحدد المتطلبات، وأدوار تُسند المساءلة، وعمليات تمكن إدارة المخاطر المتسقة، وتصنيف يضمن لغة مشتركة، وبيان القابلية للمخاطر الذي يوجه اتخاذ القرارات. يجب أن يراعي الإطار أيضاً الطبيعة الديناميكية لبيئة التهديدات، بما في ذلك التهديدات الناشئة والتقنيات الجديدة التي قد تُدخل أو تُغير ملفات المخاطر.
أنشطة التطبيق الرئيسية
- 1 تطوير وصيانة مجموعة شاملة من سياسات ومعايير وإجراءات المخاطر السيبرانية التي تنفذ بشكل جماعي استراتيجية المخاطر السيبرانية
- 2 تحديد وتوثيق تصنيف المخاطر السيبرانية الذي يوفر لغة مشتركة لتصنيف وتقييم وإبلاغ المخاطر عبر المؤسسة
- 3 وضع بيان رسمي للقابلية للمخاطر معتمد من القيادة التنفيذية يحدد المستويات المقبولة للمخاطر السيبرانية عبر مجالات الأعمال المختلفة
- 4 تنفيذ عمليات إدارة المخاطر التي تغطي تحديد المخاطر وتقييمها ومعالجتها ومراقبتها والإبلاغ عنها
- 5 دمج مراقبة التهديدات والتقنيات الناشئة في الإطار لضمان بقائه محدثاً واستشرافياً
أمثلة على الأدلة
- توثيق كامل لإطار عمل المخاطر السيبرانية بما في ذلك جميع السياسات والمعايير والإجراءات المكونة
- بيان القابلية للمخاطر المعتمد مع حدود محددة ومعايير تصعيد
- وثيقة تصنيف المخاطر التي تُظهر مخطط التصنيف والمواءمة مع إدارة المخاطر المؤسسية
- توثيق العمليات لسير عمل مراقبة التهديدات وتقييم المخاطر وإدارة الحوادث
- أدلة على دورات مراجعة الإطار وسجل الإصدارات الذي يُظهر التحديثات للتهديدات والتقنيات الناشئة
مستويات النضج
قد توجد سياسات أو إجراءات فردية ولكنها ليست منظمة في إطار متماسك. القابلية للمخاطر غير رسمية أو غير محددة. لا يوجد تصنيف مخاطر موحد قيد الاستخدام.
تم توثيق واعتماد إطار شامل يشمل السياسات والمعايير والأدوار وعمليات المخاطر والتصنيف والقابلية للمخاطر. يتم مراقبة التهديدات الناشئة ومراجعة الإطار وفق جدول محدد.
الإطار مدمج بالكامل مع إدارة المخاطر المؤسسية، ويتم تحديثه باستمرار بناءً على استخبارات التهديدات وتغيرات التكنولوجيا، ويتم قياس فعاليته من خلال مؤشرات رئيسية مرتبطة بالقابلية للمخاطر.
قوالب المستندات
متطلبات الأدلة عرض جميع الأدلة
| النوع | عنصر الدليل | التكرار | المستوى |
|---|---|---|---|
| وثيقة | وثيقة إطار عمل المخاطر السيبرانية الكاملة بجميع عناصرها المكونة | تُراجع سنوياً | مطلوب |
| وثيقة | بيان القابلية للمخاطر المعتمد مع الحدود المحددة | يُراجع سنوياً | مطلوب |
| وثيقة | وثيقة تصنيف المخاطر مع مخطط التصنيف | تُراجع سنوياً | مطلوب |
| وثيقة | سجل السياسات والمعايير الذي يُظهر جميع وثائق مكونات الإطار مع تواريخ المراجعة | يُصان باستمرار | مطلوب |
| وثيقة | توثيق عمليات إدارة المخاطر (التحديد والتقييم والمعالجة والمراقبة والإبلاغ) | تُراجع سنوياً | مطلوب |
| سجل | سجل إصدارات الإطار الذي يُظهر التحديثات لمواجهة التهديدات والتقنيات الناشئة | لكل تحديث | متوقع |
| سجل | قائمة مراقبة التهديدات الناشئة مع سجلات المراجعة | ربع سنوي | متوقع |