1. الغرض
تحديد التفويض والصلاحية والمسؤوليات وعلاقات الإبلاغ للقيادة التنفيذية المسؤولة عن إدارة المخاطر السيبرانية رسمياً، مما يضمن وضوح المساءلة والتفويض الكافي للصلاحيات.
2. النطاق
يحدد هذا الميثاق دور [CUSTOMIZE: Chief Information Security Officer (CISO) / Chief Risk Officer (CRO) / VP of Information Security] وصلاحيته ومساءلته فيما يتعلق بجميع أنشطة إدارة المخاطر السيبرانية عبر [ORGANIZATION].
3. محتوى ميثاق
3.1 التعيين والصلاحية
يُعيّن [CUSTOMIZE: Board of Directors / CEO] بموجب هذا [CUSTOMIZE: Name] بصفته [CUSTOMIZE: CISO / CRO / VP of Security] مع الصلاحية الكاملة لإنشاء وإدارة وتنفيذ برنامج المخاطر السيبرانية لـ [ORGANIZATION].
يرفع [CUSTOMIZE: CISO] تقاريره مباشرة إلى [CUSTOMIZE: CEO / CRO / CIO] مع خط إبلاغ منقط إلى [CUSTOMIZE: Board Risk Committee / Audit Committee] لضمان الاستقلالية.
يملك [CUSTOMIZE: CISO] صلاحية التنسيق مع وطلب التعاون من أي وحدة أعمال أو قسم أو فرد داخل [ORGANIZATION] كما هو مطلوب لأداء مسؤوليات إدارة المخاطر السيبرانية.
3.2 المسؤوليات الأساسية
تطوير وصيانة وتنفيذ استراتيجية المخاطر السيبرانية بما يتوافق مع استراتيجيات المؤسسة التجارية والتقنية.
إنشاء وصيانة وحوكمة إطار المخاطر السيبرانية بما في ذلك جميع مكونات السياسات والمعايير والإجراءات والإرشادات.
الإشراف على تحديد وتقييم ومعالجة ومراقبة المخاطر السيبرانية عبر جميع العمليات التجارية والأصول التقنية.
تقديم تقارير منتظمة ودقيقة عن المخاطر السيبرانية إلى القيادة التنفيذية ومجلس الإدارة.
إدارة قدرات الاستجابة للحوادث وقيادة جهود الاستجابة للحوادث السيبرانية الكبرى.
ضمان الامتثال لمتطلبات الأمن السيبراني المعمول بها من خلال سجل الامتثال التنظيمي.
بناء والحفاظ على وعي أمني سيبراني تنظيمي من خلال التدريب وبرامج الاتصال.
3.3 المشاركة على مستوى مجلس الإدارة والإدارة التنفيذية
يقدم [CUSTOMIZE: CISO] إحاطات رسمية إلى [CUSTOMIZE: Board Risk Committee / Audit Committee] على الأقل [CUSTOMIZE: quarterly] تغطي الوضع الحالي للمخاطر وأداء البرنامج والحوادث الكبرى والمخاطر الناشئة.
يسهل [CUSTOMIZE: CISO] على الأقل [CUSTOMIZE: one annual] تمريناً أو إحاطة حول سيناريو المخاطر السيبرانية لأعضاء مجلس الإدارة لضمان الوعي الكافي على مستوى مجلس الإدارة.
يملك [CUSTOMIZE: CISO] وصولاً مباشراً إلى [CUSTOMIZE: Board Chair / Risk Committee Chair / Audit Committee Chair] لتصعيد المسائل العاجلة التي لا يمكن انتظارها حتى دورات الإبلاغ المجدولة.
يشارك [CUSTOMIZE: CISO] في جلسات التخطيط الاستراتيجي للمؤسسة لضمان مراعاة تداعيات المخاطر السيبرانية في القرارات التجارية.
3.4 صلاحية الموارد
يملك [CUSTOMIZE: CISO] صلاحية الميزانية على ميزانية برنامج المخاطر السيبرانية كما هو معتمد في خطة البرنامج السنوية.
يمكن لـ [CUSTOMIZE: CISO] طلب موارد إضافية من خلال عملية الميزانية المعتمدة عندما تتطلب المخاطر أو الحوادث المحددة الاستثمار خارج المعايير المخططة.
يملك [CUSTOMIZE: CISO] صلاحية التوظيف ضمن العدد المعتمد وقد يُشرك مستشارين ومتعاقدين خارجيين ضمن حدود الميزانية المعتمدة.
في حالات الطوارئ (حادث سيبراني نشط)، يملك [CUSTOMIZE: CISO] صلاحية تفويض إنفاق الطوارئ حتى [CUSTOMIZE: $XXX,XXX] مع إخطار [CUSTOMIZE: CEO/CFO] خلال [CUSTOMIZE: 24 hours].
3.5 المراجعة والتجديد
يتم مراجعة هذا الميثاق على الأقل [CUSTOMIZE: annually] من قبل [CUSTOMIZE: Board Risk Committee / CEO] للتأكد من أنه يظل متوافقاً مع احتياجات وتوقعات المؤسسة.
يتم تقييم أداء [CUSTOMIZE: CISO] مقابل هذا الميثاق سنوياً من قبل [CUSTOMIZE: CEO / Board Risk Committee] بمدخلات من أصحاب المصلحة الرئيسيين.
يتم إعادة تجديد الميثاق عند تعيين قيادة تنفيذية جديدة للمخاطر السيبرانية أو عند حدوث تغييرات هيكلية مؤسسية كبيرة.
4. الامتثال
الامتثال لهذا ميثاق إلزامي لجميع الموظفين والوظائف ضمن نطاقه. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية ومراجعة الإدارة وإشراف خط الدفاع الثاني.
يجب توثيق الاستثناءات من هذا ميثاق مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/لجنة المخاطر التنفيذية]، ومراجعتها سنوياً على الأقل.
5. المراجعة والتنقيح
يُراجع هذا ميثاق سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك المستند] ويُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي أو مستوى تحمل المخاطر.
يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.
اعتماد المستند
اعتمد من قبل
المسمى الوظيفي
التاريخ
التحكم في المستند