بيان الرغبة في المخاطر

تدرك [ORGANIZATION] أن مستوى معيناً من المخاطر السيبرانية متأصل في تحقيق أهداف الأعمال والحفاظ على القدرة التنافسية. الرغبة في المخاطر لا تعني القبول بمخاطر غير ضرورية؛ بل تُنشئ حدوداً واعية.

يتم تحديد الرغبة في المخاطر على مستوى المؤسسة من قبل [CUSTOMIZE: Board of Directors / Board Risk Committee] ويتم تفعيلها من خلال عتبات تحمل المخاطر لكل فئة من فئات المخاطر.

يجب أن تكون قرارات الرغبة في المخاطر مستنيرة بالسياق التجاري وتأثير التهديدات والقدرة التنظيمية ومتطلبات الامتثال وتوقعات أصحاب المصلحة.

لدى [ORGANIZATION] رغبة إجمالية [CUSTOMIZE: LOW / LOW-TO-MODERATE] في المخاطر السيبرانية التي قد تؤثر مادياً على عملائها أو أصحاب المصلحة أو استمرارية العمليات أو السمعة أو الامتثال التنظيمي.

يتم تحديد مستويات الرغبة التالية حسب فئة المخاطر:

تُترجم عتبات تحمل المخاطر الرغبة النوعية إلى حدود قابلة للقياس تُحفز إجراءات الاستجابة والتصعيد:

أخضر (ضمن الرغبة): مستويات المخاطر مقبولة. الاستمرار في المراقبة وفقاً لخطة البرنامج المعتمدة.

أصفر (يقترب من حدود الرغبة): مستويات المخاطر تقترب من العتبات. يجب التحقيق وإبلاغ [CUSTOMIZE: CISO / Risk Committee] وبدء إجراءات المعالجة.

برتقالي (يتجاوز تحمل المخاطر): مستويات المخاطر تتجاوز الحدود المقبولة. التصعيد الفوري إلى [CUSTOMIZE: Executive Committee] مع خطة معالجة ذات جدول زمني.

أحمر (يتجاوز رغبة المخاطر): مستويات المخاطر تتجاوز الرغبة المؤسسية. التصعيد إلى [CUSTOMIZE: Board Risk Committee] والمعالجة الطارئة أو التحكم في النشاط المسبب للمخاطر.

يجب اتخاذ قرارات قبول المخاطر من قبل أفراد يملكون صلاحية تتناسب مع مستوى خطورة المخاطر، كما هو موثق في نموذج وسجل طلب قبول المخاطر.

تمت الموافقة على بيان الرغبة في المخاطر هذا من قبل [CUSTOMIZE: Board of Directors / Board Risk Committee] في [CUSTOMIZE: date].

يجب مراجعته على الأقل [CUSTOMIZE: annually] وتحديثه عندما تتغير استراتيجية الأعمال أو ملف المخاطر أو البيئة التنظيمية بشكل جوهري.

جميع التحديثات تتطلب موافقة [CUSTOMIZE: Board / Board Risk Committee] قبل السريان.