نموذج وسجل طلب قبول المخاطر

يُبدأ طلب قبول المخاطر من قبل مالك المخاطر الذي يوثق: وصف المخاطر، وسبب عدم إمكانية التخفيف أو النقل الكامل، والضوابط الحالية المطبقة، ومستوى المخاطر المتبقية، وأثر الأعمال إذا تحققت المخاطر.

يقدم فريق المخاطر السيبرانية تقييماً مستقلاً لمستوى المخاطر ومدى كفاية الضوابط الحالية وصحة المبررات.

يجب أن يتضمن الطلب: تاريخ انتهاء مقترح (لا يتجاوز [CUSTOMIZE: 12 months]) ومعايير إعادة المراجعة.

لا يُعتبر أي قبول للمخاطر سارياً حتى يتم توقيعه من قبل صاحب صلاحية الموافقة المناسب.

المخاطر المنخفضة: يوافق عليها [CUSTOMIZE: Department Head / IT Director].

المخاطر المتوسطة: يوافق عليها [CUSTOMIZE: CISO / VP of Security].

المخاطر العالية: يوافق عليها [CUSTOMIZE: Executive Committee / CRO].

المخاطر الحرجة: يوافق عليها [CUSTOMIZE: Board Risk Committee].

يتم تقييم قرارات الموافقة مقابل: المواءمة مع بيان الرغبة في المخاطر، وكفاية المبررات، واكتمال التوثيق، ومعقولية فترة القبول.

يجب توثيق جميع الرفض مع المبررات وتوصيات التخفيف البديلة.

يتم الحفاظ على جميع قبولات المخاطر النشطة في سجل قبول المخاطر المُدار في [CUSTOMIZE: GRC tool / central register].

يُراجع السجل [CUSTOMIZE: quarterly] من قبل [CUSTOMIZE: CISO / Cyber Risk team] لتحديد القبولات المنتهية أو المتغيرة.

يتم تضمين ملخص لقبولات المخاطر النشطة في حزمة تقارير المخاطر ربع السنوية لـ [CUSTOMIZE: Executive Committee / Board Risk Committee].

يتم أرشفة القبولات المنتهية مع السجل الكامل للقرارات لمدة [CUSTOMIZE: 7 years].

يتم مراجعة القبولات القريبة من انتهاء الصلاحية [CUSTOMIZE: 60 days] قبل الانتهاء ويجب إعادة تقديمها إذا لزم الأمر.