1. الغرض
إنشاء عملية لصيانة سجل شامل للمتطلبات التنظيمية المعمول بها في مجال الأمن السيبراني وإجراء مراجعات منتظمة لاستراتيجية وإطار المخاطر السيبرانية مقابل المتطلبات التنظيمية المتطورة.
2. النطاق
ينطبق هذا الإجراء على جميع المتطلبات القانونية والتنظيمية المتعلقة بالأمن السيبراني وحماية البيانات والتقنية المعمول بها في [ORGANIZATION] عبر جميع مناطق العمل.
3. محتوى إجراء
3.1 صيانة جرد اللوائح التنظيمية
يحتفظ فريق [CUSTOMIZE: Legal/Compliance/Cyber Risk] بسجل الامتثال التنظيمي كوثيقة حية تُحدّث عند تحديد متطلبات جديدة أو عند تغيير المتطلبات الحالية.
يجب أن يتضمن السجل كحد أدنى: اسم اللائحة/القانون، والاختصاص القضائي، وتاريخ السريان، ووحدات الأعمال المتأثرة، ومتطلبات الضوابط الرئيسية، وحالة الامتثال الحالية، والمالك المسؤول، وتاريخ المراجعة التالي.
يراقب فريق [CUSTOMIZE: Legal/Compliance] بشكل فعال التطورات التنظيمية من خلال [CUSTOMIZE: legal subscriptions, industry groups, regulatory body notifications] ويُحدّث السجل خلال [CUSTOMIZE: 30 days] من تحديد المتطلبات الجديدة.
يتم إجراء مراجعة شاملة للسجل بالكامل على الأقل [CUSTOMIZE: semi-annually] لضمان الدقة والاكتمال.
3.2 جدول مراجعة الاستراتيجية والإطار
تُجرى مراجعات شاملة لاستراتيجية المخاطر السيبرانية وإطار المخاطر السيبرانية مقابل سجل الامتثال التنظيمي على الأقل [CUSTOMIZE: annually].
تحدث المراجعات المُحفزة خلال [CUSTOMIZE: 60 days] من أي مما يلي: لوائح جديدة أو معدلة تؤثر على [ORGANIZATION]، أو إجراءات إنفاذ تنظيمية كبيرة في القطاع، أو نتائج تدقيق تنظيمي، أو تغييرات مادية في هيكل الأعمال أو الخدمات.
يتم تعيين المسؤولية عن المراجعة لـ [CUSTOMIZE: CISO / Head of Cyber Risk] مع المدخلات المطلوبة من [CUSTOMIZE: Legal, Compliance, Business Units].
3.3 عملية تحليل الفجوات
تتضمن كل مراجعة تحليل فجوات رسمي يقارن الاستراتيجية والإطار والبرنامج الحالي بالمتطلبات التنظيمية.
تُصنف الفجوات حسب الخطورة: حرجة (عدم الامتثال لمتطلبات تنظيمية ملزمة مع إمكانية فرض عقوبات)، عالية (امتثال جزئي مع فجوات كبيرة)، متوسطة (بسيطة أو توصيات أفضل الممارسات)، منخفضة (تحسينات تعزز الوضع ولكنها غير مطلوبة).
يتم توثيق تحليل الفجوات في تنسيق موحد يتضمن: المتطلب التنظيمي، والوضع الحالي، والفجوة المحددة، وتصنيف الخطورة، وخطة المعالجة الموصى بها، والجدول الزمني.
تُعرض نتائج تحليل الفجوات على [CUSTOMIZE: CISO / Executive Committee] خلال [CUSTOMIZE: 30 days] من اكتمال المراجعة.
3.4 تتبع المعالجة
يتم تتبع جميع الفجوات المحددة في [CUSTOMIZE: GRC tool/remediation tracking system] مع مالكين مُعيّنين وجداول زمنية ومعالم محددة.
يتم الإبلاغ عن الفجوات الحرجة والعالية إلى [CUSTOMIZE: CISO/Executive Committee] شهرياً حتى إغلاقها.
يتم الإبلاغ عن الفجوات المتأخرة عن الموعد تلقائياً وتصعيدها إلى المستوى التالي من الإدارة.
يتم التحقق من إغلاق الفجوات من خلال اختبار أو مراجعة مستقلة قبل وضع علامة الاكتمال.
3.5 السجلات والأدلة
يجب الحفاظ على السجلات التالية كدليل على الامتثال لهذا الإجراء:
سجل الامتثال التنظيمي الحالي مع جميع الحقول المطلوبة مُعبأة
تقارير المراجعة مع وثائق تحليل الفجوات
خطط وسجلات تتبع المعالجة
أدلة التحقق من الإغلاق
وثائق تدفق التغييرات من المتطلبات الجديدة إلى تحديثات الاستراتيجية/الإطار
يتم الاحتفاظ بالسجلات لمدة لا تقل عن [CUSTOMIZE: 7 years] أو كما تتطلب اللوائح المعمول بها أيهما أطول.
4. الامتثال
الامتثال لهذا إجراء إلزامي لجميع الموظفين والوظائف ضمن نطاقه. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية ومراجعة الإدارة وإشراف خط الدفاع الثاني.
يجب توثيق الاستثناءات من هذا إجراء مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/لجنة المخاطر التنفيذية]، ومراجعتها سنوياً على الأقل.
5. المراجعة والتنقيح
يُراجع هذا إجراء سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك المستند] ويُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي أو مستوى تحمل المخاطر.
يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.
اعتماد المستند
اعتمد من قبل
المسمى الوظيفي
التاريخ
التحكم في المستند