برنامج مراجعة المخاطر السيبرانية للخط الثاني

GOV-10 برنامج

ضابط الحوكمة: المراجعة المستقلة للخط الثاني

1. الغرض

إنشاء برنامج مراجعة منظم يمكّن وظيفة المخاطر السيبرانية للخط الثاني من إجراء تقييمات وضمانات مستقلة لفعالية ضوابط المخاطر السيبرانية للخط الأول.

2. النطاق

يغطي هذا البرنامج جميع أنشطة المراجعة والتقييم التي تجريها وظيفة المخاطر السيبرانية للخط الثاني عبر عمليات وضوابط الخط الأول.

3. محتوى برنامج

3.1 نطاق المراجعة والصلاحية

3.1.1

تملك وظيفة المخاطر السيبرانية للخط الثاني صلاحية مراجعة أي عملية أو نظام أو ضابط أو وثيقة من الخط الأول ذات صلة بإدارة المخاطر السيبرانية.

3.1.2

يحق لها الوصول غير المقيد إلى المعلومات والموظفين والأنظمة المطلوبة لأداء وظيفة المراجعة.

3.1.3

تُجرى المراجعات وفق خطة سنوية قائمة على المخاطر معتمدة من [CUSTOMIZE: CISO / Executive Committee].

3.2 عملية المراجعة

3.2.1

تتبع المراجعات منهجية موحدة تشمل: التخطيط، وتحديد النطاق، والاختبار، وتوثيق النتائج، والإبلاغ، والتحقق من المتابعة.

3.2.2

تُقيّم النتائج بتصنيفات خطورة (حرجة، عالية، متوسطة، منخفضة) مع جداول زمنية محددة للمعالجة.

3.2.3

يُطلب من ملاك الخط الأول تقديم خطط عمل لمعالجة النتائج خلال [CUSTOMIZE: 30 days] من صدور التقرير.

3.3 الإبلاغ والمتابعة

3.3.1

يتم تقديم ملخصات نتائج المراجعة إلى [CUSTOMIZE: CISO / Executive Committee] [CUSTOMIZE: quarterly].

3.3.2

يتم تتبع النتائج المفتوحة حتى إغلاقها مع التحقق من فعالية المعالجة.

3.3.3

تُحفظ النتائج المتأخرة والتصعيد في سجل منفصل للمراجعة التنفيذية.

3.4 حوكمة البرنامج

3.4.1

يتم تقييم البرنامج سنوياً لتحديد فعاليته وتحديث منهجيته والخطة القائمة على المخاطر.

3.4.2

يُقدم تقرير سنوي شامل إلى [CUSTOMIZE: Board Risk Committee / Executive Committee] يلخص أنشطة المراجعة والموضوعات الرئيسية والتوصيات.

4. الامتثال

4.1

الامتثال لهذا برنامج إلزامي لجميع الموظفين والوظائف ضمن نطاقه. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية ومراجعة الإدارة وإشراف خط الدفاع الثاني.

4.2

يجب توثيق الاستثناءات من هذا برنامج مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/لجنة المخاطر التنفيذية]، ومراجعتها سنوياً على الأقل.

5. المراجعة والتنقيح

5.1

يُراجع هذا برنامج سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك المستند] ويُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي أو مستوى تحمل المخاطر.

5.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد المستند

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

العودة إلى GOV-10 دليل الأدلة