سجل مؤشرات المخاطر الرئيسية/مؤشرات الأداء الرئيسية للمخاطر السيبرانية

GOV-8 سجل

ضابط الحوكمة: مؤشرات المخاطر والأداء الرئيسية

1. الغرض

تحديد وتوثيق مؤشرات المخاطر الرئيسية ومؤشرات الأداء الرئيسية المستخدمة لقياس فعالية برنامج المخاطر السيبرانية وتتبع التعرض للمخاطر مقابل حدود الرغبة.

2. النطاق

يغطي هذا السجل جميع مقاييس المخاطر السيبرانية المُبلغ عنها إلى القيادة التنفيذية ومجلس الإدارة مع تعريفات ومصادر بيانات وعتبات ومسؤوليات إبلاغ واضحة.

3. محتوى سجل

3.1 تعريفات وعتبات مؤشرات المخاطر الرئيسية

3.1.1

تقيس مؤشرات المخاطر الرئيسية التعرض لمخاطر الأمن السيبراني وتوفر إنذاراً مبكراً عند اقتراب مستويات المخاطر من حدود الرغبة أو تجاوزها.

3.1.2

يتضمن كل KRI: الاسم، والتعريف، ومصدر البيانات، وتكرار الجمع، والعتبات (أخضر/أصفر/برتقالي/أحمر)، والمالك، والجمهور المستهدف للتقرير.

3.1.3

[CUSTOMIZE: Insert KRI definitions table]

3.2 تعريفات وأهداف مؤشرات الأداء الرئيسية

3.2.1

تقيس مؤشرات الأداء الرئيسية فعالية وكفاءة برنامج الأمن السيبراني ونضج الضوابط.

3.2.2

يتضمن كل KPI: الاسم، والتعريف، وطريقة الحساب، والهدف، ومصدر البيانات، وتكرار القياس، والمالك.

3.2.3

[CUSTOMIZE: Insert KPI definitions table]

3.3 جمع البيانات وإعداد التقارير

3.3.1

يتم جمع بيانات KRI/KPI وفقاً للجدول الزمني المحدد لكل مقياس. يكون مالكو البيانات مسؤولين عن الدقة والتقديم في الوقت المناسب.

3.3.2

يتم تجميع لوحة معلومات KRI/KPI [CUSTOMIZE: monthly] وتقديمها إلى [CUSTOMIZE: CISO] للمراجعة قبل التوزيع الأوسع.

3.3.3

يتم تضمين KRIs/KPIs في حزمة إبلاغ المخاطر السيبرانية ربع السنوية لـ [CUSTOMIZE: Board Risk Committee / Executive Committee].

3.4 حوكمة السجل

3.4.1

تتم مراجعة سجل KRI/KPI على الأقل [CUSTOMIZE: annually] لضمان بقاء المقاييس ذات صلة ومتوافقة مع الأهداف الاستراتيجية والعتبات المعايرة بشكل مناسب.

3.4.2

يتم اقتراح التغييرات من قبل [CUSTOMIZE: Cyber Risk Management team] والموافقة عليها من قبل [CUSTOMIZE: CISO / Executive Committee].

4. الامتثال

4.1

الامتثال لهذا سجل إلزامي لجميع الموظفين والوظائف ضمن نطاقه. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية ومراجعة الإدارة وإشراف خط الدفاع الثاني.

4.2

يجب توثيق الاستثناءات من هذا سجل مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/لجنة المخاطر التنفيذية]، ومراجعتها سنوياً على الأقل.

5. المراجعة والتنقيح

5.1

يُراجع هذا سجل سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك المستند] ويُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي أو مستوى تحمل المخاطر.

5.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد المستند

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

العودة إلى GOV-8 دليل الأدلة