المساءلة التنفيذية
الإشرافبيان الضابط
عينت المؤسسة مسؤولاً تنفيذياً مسؤولاً عن استراتيجية المخاطر السيبرانية وإطار عمل المخاطر السيبرانية وعن الوعي والمعرفة بالمخاطر السيبرانية على المستوى التنفيذي.
الوصف
يضمن تعيين مسؤول تنفيذي كبير بمساءلة صريحة عن حوكمة المخاطر السيبرانية أن يكون للأمن السيبراني تمثيل مناسب في اتخاذ القرارات الاستراتيجية. هذا المسؤول التنفيذي (عادةً CISO أو CRO أو ما يعادلهما) مسؤول عن تطوير وتنفيذ استراتيجية المخاطر السيبرانية وصيانة وفعالية إطار عمل المخاطر السيبرانية وضمان أن فريق القيادة التنفيذية ومجلس الإدارة يحافظان على وعي وفهم كافيين للمخاطر السيبرانية للوفاء بمسؤوليات الإشراف.
أنشطة التطبيق الرئيسية
- 1 تعيين رسمي لدور على المستوى التنفيذي بمسؤولية موثقة عن استراتيجية المخاطر السيبرانية والإطار وبرنامج التوعية التنفيذية
- 2 تحديد هيكل الإبلاغ لضمان وصول المسؤول التنفيذي عن المخاطر السيبرانية مباشرة إلى مجلس الإدارة أو لجنة تابعة له
- 3 إنشاء إحاطات دورية تنفيذية ولمجلس الإدارة حول وضع المخاطر السيبرانية والتهديدات الناشئة وفعالية البرنامج
- 4 ضمان أن المسؤول التنفيذي عن المخاطر السيبرانية لديه الصلاحية المناسبة لاتخاذ قرارات المخاطر والتأثير على تخصيص الموارد
- 5 توثيق تفويض الدور ونطاق الصلاحية والمساءلة في وثائق الحوكمة المؤسسية
أمثلة على الأدلة
- خطاب تعيين أو قرار مجلس إدارة يُسمي المسؤول التنفيذي عن المخاطر السيبرانية
- وصف الدور أو وثيقة الميثاق التي تحدد المسؤوليات والصلاحيات وعلاقات الإبلاغ
- محاضر اجتماعات مجلس الإدارة واللجنة التنفيذية التي تُظهر إحاطات دورية عن المخاطر السيبرانية من المسؤول المعين
- الهيكل التنظيمي الذي يُظهر منصب المسؤول التنفيذي عن المخاطر السيبرانية وخطوط الإبلاغ
- أدلة على أنشطة التوعية بالمخاطر السيبرانية على المستوى التنفيذي (الإحاطات والتدريب وتمارين المحاكاة)
مستويات النضج
توزع مسؤوليات المخاطر السيبرانية بشكل غير رسمي أو تقع على مستوى غير تنفيذي. لا يوجد مسؤول تنفيذي واحد بمساءلة واضحة عن برنامج المخاطر السيبرانية الشامل. مشاركة مجلس الإدارة في المخاطر السيبرانية ضئيلة.
تم تعيين مسؤول تنفيذي مسمى رسمياً مساءلاً عن استراتيجية وإطار المخاطر السيبرانية. تم إنشاء إبلاغ منتظم لمجلس الإدارة عن المخاطر السيبرانية. لدى المسؤول التنفيذي تفويض محدد وصلاحية تنظيمية مناسبة.
المسؤول التنفيذي عن المخاطر السيبرانية مدمج بعمق في اتخاذ القرارات الاستراتيجية المؤسسية. مشاركة مجلس الإدارة استباقية وتشمل تمارين قائمة على السيناريوهات. يدفع الدور ثقافة اتخاذ القرارات الواعية بالمخاطر عبر المؤسسة.
قوالب المستندات
متطلبات الأدلة عرض جميع الأدلة
| النوع | عنصر الدليل | التكرار | المستوى |
|---|---|---|---|
| وثيقة | خطاب تعيين تنفيذي أو قرار مجلس الإدارة أو ميثاق يُسمي المسؤول التنفيذي المعني | يُحدّث عند التغيير | مطلوب |
| وثيقة | ميثاق الدور الذي يحدد التفويض والصلاحيات والمسؤوليات وخطوط الإبلاغ | يُراجع سنوياً | مطلوب |
| سجل | الهيكل التنظيمي الذي يُظهر منصب المسؤول التنفيذي للمخاطر السيبرانية وهيكل الإبلاغ | محدّث | مطلوب |
| سجل | محاضر اجتماعات مجلس الإدارة واللجنة التنفيذية التي تُظهر إحاطات دورية عن المخاطر السيبرانية | لكل اجتماع (ربع سنوي على الأقل) | مطلوب |
| سجل | أنشطة التوعية بالمخاطر السيبرانية للإدارة التنفيذية/مجلس الإدارة (مواد الإحاطة، سجلات تمارين المحاكاة) | سنوياً على الأقل | مطلوب |
| سجل | اختصاصات لجنة المخاطر التابعة لمجلس الإدارة بما في ذلك مسؤوليات الإشراف على المخاطر السيبرانية | تُراجع سنوياً | متوقع |