مؤشرات المخاطر والأداء الرئيسية
الإشرافبيان الضابط
تم وضع مؤشرات المخاطر والأداء الرئيسية والحدود للمخاطر والضوابط السيبرانية الرئيسية للمؤسسة. يجب أن تتوافق مؤشرات المخاطر مع القابلية للمخاطر السيبرانية كما هو محدد في إطار عمل المخاطر السيبرانية.
الوصف
توفر مؤشرات المخاطر الرئيسية (KRIs) ومؤشرات الأداء الرئيسية (KPIs) مقاييس كمية ونوعية تمكن المؤسسة من مراقبة وضع مخاطرها السيبرانية وفعالية ضوابطها. تعمل KRIs كإشارات إنذار مبكر بأن مستويات المخاطر تقترب أو تتجاوز القابلية للمخاطر المحددة، بينما تقيس KPIs ما إذا كانت الضوابط والعمليات الأمنية تعمل كما هو مخطط. يُنشئ وضع حدود مرتبطة بالقابلية للمخاطر نقاط تفعيل للتصعيد والتحقيق والإجراء التصحيحي، مما يحول إدارة المخاطر من ممارسة دورية إلى قدرة مراقبة مستمرة.
أنشطة التطبيق الرئيسية
- 1 تحديد KRIs التي تقيس التعرض للمخاطر السيبرانية الرئيسية ومواءمة مستويات الحدود مع بيان القابلية للمخاطر المعتمد
- 2 تحديد KPIs التي تقيس فعالية الضوابط والعمليات الأمنية الحرجة مقابل مستويات الأداء المستهدفة
- 3 وضع حدود (أخضر/أصفر/أحمر أو ما يعادلها) تُفعّل أنشطة التصعيد والتحقيق والمعالجة
- 4 تنفيذ جمع البيانات الآلي وإعداد التقارير عن المؤشرات لتمكين الرؤية في الوقت المناسب لحالة المخاطر والضوابط
- 5 مراجعة وإعادة معايرة المؤشرات والحدود دورياً لضمان بقائها ذات صلة مع تطور مشهد المخاطر والقابلية للمخاطر
أمثلة على الأدلة
- سجل KRI وKPI يوثق كل مؤشر وتعريفه ومصدر بياناته ومالكه ومستويات الحدود ومواءمته مع القابلية للمخاطر
- لوحات معلومات أو تقارير تُظهر قيم المؤشرات الحالية مقابل الحدود المحددة
- سجلات التصعيد التي تُظهر أن تجاوز الحدود فعّل إجراءات الاستجابة المحددة
- أدلة على المراجعة الدورية وإعادة معايرة المؤشرات (محاضر الاجتماعات، تعريفات المؤشرات المحدثة)
- بيان القابلية للمخاطر مع الربط الصريح بحدود KRI
مستويات النضج
توجد KRIs/KPIs محدودة أو معدومة رسمياً للمخاطر السيبرانية. يتم جمع المقاييس بشكل عشوائي وغير مرتبطة بالقابلية للمخاطر. الحدود غير محددة.
تم وضع مجموعة محددة من KRIs وKPIs مواءمة مع القابلية للمخاطر ويتم الإبلاغ عنها للإدارة بشكل منتظم. الحدود تُفعّل إجراءات تصعيد واستجابة موثقة.
المؤشرات شاملة وآلية وتوفر رؤية شبه آنية. يتم استخدام التحليلات التنبؤية والاتجاهات لتوقع تجاوز الحدود. يتم تحسين المؤشرات باستمرار بناءً على تحليل الفعالية والتغيرات في القابلية للمخاطر.
متطلبات الأدلة عرض جميع الأدلة
| النوع | عنصر الدليل | التكرار | المستوى |
|---|---|---|---|
| وثيقة | سجل مؤشرات المخاطر الرئيسية/مؤشرات الأداء الرئيسية مع التعريفات ومصادر البيانات والحدود والمواءمة مع القابلية للمخاطر | يُراجع نصف سنوي | مطلوب |
| وثيقة | بيان القابلية للمخاطر الذي يُظهر الربط الصريح بحدود مؤشرات المخاطر الرئيسية | يُراجع سنوياً | مطلوب |
| سجل | لوحات المعلومات أو التقارير التي تُظهر قيم المؤشرات الحالية مقابل الحدود المحددة | شهري/ربع سنوي | مطلوب |
| سجل | سجلات التصعيد التي تُظهر إجراءات الاستجابة لتجاوز الحدود | لكل حدث تجاوز | مطلوب |
| سجل | سجلات مراجعة وإعادة معايرة المؤشرات | نصف سنوي | متوقع |
| سجل | تقارير تحليل الاتجاهات التي تُظهر حركة المؤشرات بمرور الوقت | ربع سنوي | متوقع |