إجراءات الإبلاغ والتصعيد للمخاطر السيبرانية
ضابط الحوكمة: مراجعة المخاطر والتصعيد للإدارة التنفيذية
1. الغرض
تحديد المحتوى والتكرار وقنوات ومعايير التصعيد لإبلاغ المخاطر السيبرانية، مما يضمن حصول مجلس الإدارة والإدارة التنفيذية وأصحاب المصلحة على معلومات مخاطر دقيقة وفي الوقت المناسب وقابلة للتنفيذ.
2. النطاق
يغطي هذا الإجراء جميع أنشطة إبلاغ المخاطر السيبرانية من العمليات التشغيلية إلى التقارير على مستوى مجلس الإدارة بما في ذلك التقارير المنتظمة والمحفزة بالأحداث.
3. محتوى إجراء
3.1 تكرار ومحتوى التقارير
الإبلاغ على مستوى مجلس الإدارة: على الأقل [CUSTOMIZE: quarterly] إلى [CUSTOMIZE: Board Risk Committee / Audit Committee]. يتضمن: ملخص وضع المخاطر ضد الرغبة، والحوادث المادية، وأداء البرنامج ضد الاستراتيجية، والمخاطر الناشئة، وحالة الامتثال التنظيمي.
الإبلاغ التنفيذي: على الأقل [CUSTOMIZE: monthly] إلى [CUSTOMIZE: Executive Committee / CRO / CEO]. يتضمن: لوحة معلومات KRI/KPI، وتقدم المشاريع، وملخص الحوادث، وتحديثات المعالجة.
الإبلاغ التشغيلي: [CUSTOMIZE: weekly/bi-weekly] ضمن فريق إدارة المخاطر السيبرانية. يتضمن: المقاييس التشغيلية، وحالة الاستجابة للحوادث، ومعلومات الثغرات، والمراجعات المعلقة.
التقارير المحفزة بالأحداث: فوراً عند حدوث حوادث كبرى أو اختراقات تنظيمية أو مخاطر مادية جديدة مُحددة. يتبع بروتوكول التصعيد الموضح أدناه.
يجب مراجعة جميع التقارير للدقة من قبل [CUSTOMIZE: CISO / deputy] قبل التوزيع.
3.2 معايير وعملية التصعيد
المستوى 1 - المعالجة التشغيلية: الحوادث ضمن الإجراءات المعتمدة والمخاطر ضمن الرغبة. يُعالج بواسطة العمليات التشغيلية.
المستوى 2 - تصعيد إداري: الحوادث التي تتطلب تنسيقاً خارج العمليات العادية والمخاطر التي تقترب من عتبات الرغبة. يُصعد إلى [CUSTOMIZE: CISO / Security Manager].
المستوى 3 - تصعيد تنفيذي: الحوادث ذات التأثير التجاري والمخاطر التي تتجاوز عتبات الرغبة ونتائج التدقيق الحرجة. يُصعد إلى [CUSTOMIZE: Executive Committee / CEO].
المستوى 4 - تصعيد لمجلس الإدارة: الحوادث المادية التي تؤثر على العملاء أو العمليات أو المخاطر التي تتجاوز رغبة المؤسسة أو الاختراقات التنظيمية. يُصعد إلى [CUSTOMIZE: Board Risk Committee / Board Chair].
يجب التصعيد خلال الإطارات الزمنية المحددة: المستوى 2 خلال [CUSTOMIZE: 4 hours]، المستوى 3 خلال [CUSTOMIZE: 2 hours]، المستوى 4 خلال [CUSTOMIZE: 1 hour] من التحديد.
يتم توثيق جميع قرارات التصعيد مع المبررات والتوقيت والإجراءات المتخذة.
3.3 قنوات الاتصال
القنوات الأساسية: [CUSTOMIZE: secure email, GRC platform, encrypted messaging]
القنوات الثانوية (للاستخدام عندما تكون القنوات الأساسية مخترقة أو غير متاحة): [CUSTOMIZE: phone tree, out-of-band communication]
تُختبر جميع القنوات على الأقل [CUSTOMIZE: semi-annually] للتأكد من أنها تعمل وأن جميع المتلقين يمكنهم الاستلام والاستجابة.
3.4 قوالب التقارير
توجد قوالب تقارير موحدة لكل مستوى إبلاغ ويتم الحفاظ عليها في [CUSTOMIZE: GRC platform / shared document repository].
[CUSTOMIZE: List specific templates - Board Cyber Risk Report, Executive Dashboard, Monthly Risk Report, Incident Report, etc.]
3.5 حوكمة الإجراء
تتم مراجعة هذا الإجراء سنوياً أو بعد أي حادث تصعيد كبير لتحديد فرص التحسين.
يملك [CUSTOMIZE: CISO / Head of Cyber Risk] هذا الإجراء ويوافق على جميع التغييرات.
يتم التحقق من الالتزام بالإجراء من خلال الاختبار الدوري ومراجعات ما بعد الحادث.
4. الامتثال
الامتثال لهذا إجراء إلزامي لجميع الموظفين والوظائف ضمن نطاقه. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية ومراجعة الإدارة وإشراف خط الدفاع الثاني.
يجب توثيق الاستثناءات من هذا إجراء مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/لجنة المخاطر التنفيذية]، ومراجعتها سنوياً على الأقل.
5. المراجعة والتنقيح
يُراجع هذا إجراء سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك المستند] ويُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي أو مستوى تحمل المخاطر.
يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.
اعتماد المستند
اعتمد من قبل
المسمى الوظيفي
التاريخ
التحكم في المستند