مراجعة المخاطر والتصعيد للإدارة التنفيذية
الإشرافبيان الضابط
تتم مراجعة المخاطر السيبرانية للمؤسسة وبرامجها أو عملائها بانتظام وترتيبها حسب الأولوية وتصعيدها وشرحها للمسؤولين التنفيذيين أو الإدارة العليا المناسبة، ويتم ترتيب تلك المخاطر حسب الأولوية للتخفيف.
الوصف
تضمن عمليات مراجعة المخاطر والتصعيد المستمرة أن المخاطر السيبرانية لا تبقى مخفية على المستويات التشغيلية حيث لا يمكنها الحصول على الاهتمام والموارد المناسبة. يتطلب هذا الضابط نهجاً منهجياً لمراجعة سجل المخاطر السيبرانية للمؤسسة دورياً وإعادة تقييم مستويات المخاطر وترتيب المخاطر حسب الأولوية بناءً على التأثير المحتمل على المؤسسة وبرامجها وعملائها وضمان إبلاغ المخاطر الجوهرية بوضوح للمسؤولين التنفيذيين والإدارة العليا الذين لديهم صلاحية تخصيص الموارد واتخاذ قرارات معالجة المخاطر.
أنشطة التطبيق الرئيسية
- 1 إجراء مراجعات منتظمة (ربع سنوية على الأقل) لسجل المخاطر السيبرانية لإعادة تقييم مستويات المخاطر وتحديد مخاطر جديدة وإزالة المخاطر المعالجة
- 2 تطبيق منهجية ترتيب أولويات المخاطر متسقة تراعي الاحتمالية والتأثير والسرعة والمواءمة مع تحمل المخاطر المؤسسي
- 3 وضع معايير ومسارات تصعيد محددة تضمن وصول المخاطر السيبرانية الجوهرية إلى المستوى المناسب من الإدارة والحوكمة
- 4 إعداد تقارير مخاطر على المستوى التنفيذي تترجم المخاطر التقنية إلى لغة تأثير الأعمال المناسبة لصناع القرار
- 5 تتبع قرارات وإجراءات تخفيف المخاطر لضمان أن المخاطر ذات الأولوية تحصل على الموارد المخصصة وأن خطط التخفيف تتقدم كما هو مخطط
أمثلة على الأدلة
- سجل المخاطر السيبرانية الذي يُظهر إدخالات المخاطر مع تواريخ التقييم وتصنيفات الأولوية ومالكي المخاطر وحالات المعالجة
- محاضر اجتماعات مراجعة المخاطر ربع السنوية مع سجلات الحضور والقرارات الموثقة
- تقارير المخاطر التنفيذية أو لوحات معلومات المخاطر لمجلس الإدارة التي تُظهر المخاطر السيبرانية ذات الأولوية في سياق الأعمال
- سجلات التصعيد التي تُظهر أن المخاطر الجوهرية تم رفعها إلى هيئات الحوكمة المناسبة
- خطط معالجة المخاطر مع المعالم الرئيسية والمالكين وتتبع التقدم للمخاطر ذات الأولوية
مستويات النضج
مراجعات المخاطر غير رسمية وغير متسقة. يتلقى المسؤولون التنفيذيون تقارير محدودة أو تفاعلية عن المخاطر السيبرانية، عادةً فقط بعد الحوادث. ترتيب أولويات المخاطر يعتمد على الحكم الفردي بدلاً من منهجية محددة.
تُجرى مراجعات المخاطر المجدولة بمخرجات موثقة. يتلقى المسؤولون التنفيذيون تقارير مخاطر منتظمة مع تحليل سياق الأعمال. معايير التصعيد محددة والمخاطر يتم تتبعها خلال المعالجة حتى الحل.
مراجعات المخاطر مستمرة ومستنيرة باستخبارات التهديدات الآنية وتسجيل المخاطر الآلي. يتلقى المسؤولون التنفيذيون لوحات معلومات مخاطر ديناميكية مع تحليل الاتجاهات التنبؤية. يتم قياس فعالية معالجة المخاطر وتغذيتها مرة أخرى في ترتيب الأولويات.
قوالب المستندات
متطلبات الأدلة عرض جميع الأدلة
| النوع | عنصر الدليل | التكرار | المستوى |
|---|---|---|---|
| وثيقة | سجل المخاطر السيبرانية مع تواريخ التقييم وتصنيفات الأولوية والمالكين وحالة المعالجة | يُصان باستمرار | مطلوب |
| وثيقة | توثيق معايير ومسارات تصعيد المخاطر | يُراجع سنوياً | مطلوب |
| سجل | محاضر اجتماعات مراجعة المخاطر ربع السنوية مع الحضور والقرارات الموثقة | ربع سنوي | مطلوب |
| سجل | تقارير المخاطر التنفيذية أو لوحات معلومات مجلس الإدارة التي تُظهر المخاطر ذات الأولوية في سياق الأعمال | ربع سنوي | مطلوب |
| سجل | سجلات التصعيد التي تُظهر أن المخاطر الجوهرية تم رفعها بشكل مناسب | لكل حدث تصعيد | مطلوب |
| سجل | خطط معالجة المخاطر مع المعالم الرئيسية والمالكين وتتبع التقدم | لكل خطة معالجة | مطلوب |