سجل الأصول التقنية الحيوية ومصفوفة الضوابط

GOV-14 سجل

ضابط الحوكمة: ضوابط الأصول الحرجة

1. الغرض

تحديد وتوثيق أصول التقنية الحيوية التي تدعم العمليات التجارية الأساسية، وربطها بالضوابط المطلوبة والمسؤوليات، مما يمكّن من إدارة المخاطر المُركزة على الأصول الأكثر أهمية للمؤسسة.

2. النطاق

يغطي هذا السجل جميع أصول التقنية المُصنفة على أنها حيوية بناءً على تحليل تأثير الأعمال ومنهجية تقييم المخاطر في [ORGANIZATION].

3. محتوى سجل

3.1 معايير تحديد الأصول

3.1.1

يُصنف الأصل التقني على أنه حيوي إذا كان تعطله أو اختراقه سيؤدي إلى: تأثير مادي على الإيرادات أو العمليات، أو اختراق لبيانات العملاء أو البيانات المنظمة، أو عدم الامتثال التنظيمي، أو ضرر كبير بالسمعة.

3.1.2

يستند التصنيف إلى نتائج تحليل تأثير الأعمال وتقييم المخاطر ويتم التحقق منه من قبل مالكي الأعمال والتقنية.

3.1.3

يتم مراجعة معايير التصنيف سنوياً أو عند حدوث تغييرات تجارية جوهرية.

3.2 هيكل السجل

3.2.1

يوثق السجل لكل أصل حيوي: اسم الأصل، والوصف، ومالك الأعمال، ومالك التقنية، والتصنيف، والعمليات التجارية المدعومة، وRTO/RPO، والضوابط المطبقة.

3.2.2

[CUSTOMIZE: Insert register template or reference to GRC tool]

3.3 ربط الضوابط

3.3.1

يتم ربط كل أصل حيوي بالضوابط المطلوبة بناءً على: تصنيف الأصل، والمتطلبات التنظيمية، وسياسات المؤسسة، ونتائج تقييم المخاطر.

3.3.2

يتم تتبع حالة تنفيذ الضوابط: مُنفذ بالكامل، أو مُنفذ جزئياً مع خطة، أو غير مُنفذ مع قبول المخاطر.

3.3.3

يتم اختبار فعالية الضوابط على الأقل [CUSTOMIZE: annually] لجميع الأصول الحيوية.

3.4 عملية المراجعة والتحديث

3.4.1

يتم مراجعة السجل [CUSTOMIZE: quarterly] من قبل [CUSTOMIZE: Cyber Risk team] مع مدخلات من مالكي التقنية والأعمال.

3.4.2

تتم إضافة الأصول الجديدة أو التغييرات خلال [CUSTOMIZE: 30 days] من التحديد.

3.4.3

يتم تتبع فجوات الضوابط في خطة المعالجة المؤسسية مع الأولوية للأصول الحيوية.

3.5 التكامل مع العمليات الأخرى

3.5.1

يُغذي السجل عمليات تقييم المخاطر وتخطيط اختبار الاختراق وتخطيط الاستجابة للحوادث وتخطيط استمرارية الأعمال.

3.5.2

تُعطى الأصول الحيوية الأولوية في عمليات مسح الثغرات وجداول التصحيح والمراقبة.

3.5.3

يتم تقديم ملخصات السجل إلى [CUSTOMIZE: Executive Committee / Board Risk Committee] كجزء من تقارير المخاطر ربع السنوية.

3.6 حوكمة وملكية السجل

3.6.1

يملك [CUSTOMIZE: CISO / Head of IT] السجل ويضمن دقته واكتماله.

3.6.2

يتم تقييم جودة السجل كجزء من برنامج مراجعة الخط الثاني.

4. الامتثال

4.1

الامتثال لهذا سجل إلزامي لجميع الموظفين والوظائف ضمن نطاقه. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية ومراجعة الإدارة وإشراف خط الدفاع الثاني.

4.2

يجب توثيق الاستثناءات من هذا سجل مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/لجنة المخاطر التنفيذية]، ومراجعتها سنوياً على الأقل.

5. المراجعة والتنقيح

5.1

يُراجع هذا سجل سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك المستند] ويُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي أو مستوى تحمل المخاطر.

5.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد المستند

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]
تاريخ السريان: [CUSTOMIZE]
آخر مراجعة: [CUSTOMIZE]
المراجعة القادمة: [CUSTOMIZE]
التصنيف: داخلي
العودة إلى GOV-14 دليل الأدلة