1. الغرض
تحديد المسؤوليات والتعيينات بوضوح عبر خطوط الدفاع الثلاثة لأنشطة إدارة المخاطر السيبرانية، مما يضمن عدم وجود فجوات أو تداخلات في المساءلة.
2. النطاق
تغطي هذه المصفوفة أنشطة إدارة المخاطر السيبرانية الرئيسية عبر وظائف الخطوط الأول والثاني والثالث وهيئات الحوكمة.
3. محتوى مصفوفة
3.1 وظائف الخط الأول (مالكو المخاطر)
يشمل الخط الأول: وحدات الأعمال وعمليات تقنية المعلومات وتطوير التطبيقات وإدارة الموردين وأي وظيفة تملك أو تشغل أصولاً أو عمليات تقنية.
3.2 وظائف الخط الثاني (الرقابة على المخاطر)
يشمل الخط الثاني: إدارة المخاطر السيبرانية / أمن المعلومات وإدارة المخاطر المؤسسية والامتثال والقانون.
3.3 وظائف الخط الثالث (الضمان المستقل)
يشمل الخط الثالث: التدقيق الداخلي ومزودو التدقيق الخارجي ومقيمو الجهات الخارجية.
3.4 هيئات الحوكمة
تشمل هيئات الحوكمة: لجنة المخاطر التابعة لمجلس الإدارة واللجنة التنفيذية للمخاطر ولجنة الأمن التوجيهية.
3.5 مبادئ تعيين RACI
مسؤول (R): ينفذ العمل. يجب أن يكون هناك R واحد على الأقل لكل نشاط.
محاسب (A): الموافق النهائي أو صانع القرار. يجب أن يكون هناك A واحد فقط لكل نشاط.
مُستشار (C): يوفر مدخلات قبل اتخاذ القرار. اتصال ثنائي الاتجاه.
مُبلّغ (I): يتم إبلاغه بعد اتخاذ القرار. اتصال أحادي الاتجاه.
3.6 المراجعة والصيانة
تتم مراجعة مصفوفة RACI سنوياً أو عند حدوث تغييرات تنظيمية كبيرة وتُعتمد من [CUSTOMIZE: CISO / Executive Committee].
4. الامتثال
الامتثال لهذا مصفوفة إلزامي لجميع الموظفين والوظائف ضمن نطاقه. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية ومراجعة الإدارة وإشراف خط الدفاع الثاني.
يجب توثيق الاستثناءات من هذا مصفوفة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/لجنة المخاطر التنفيذية]، ومراجعتها سنوياً على الأقل.
5. المراجعة والتنقيح
يُراجع هذا مصفوفة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك المستند] ويُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي أو مستوى تحمل المخاطر.
يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.
اعتماد المستند
اعتمد من قبل
المسمى الوظيفي
التاريخ
التحكم في المستند