متطلبات أدلة الحوكمة
متطلبات الأدلة لكل ضابط لإثبات الامتثال بضوابط الحوكمة الـ 14. الأدلة مصنفة حسب النوع والتكرار ومستوى الأهمية.
14
ضوابط مغطاة
87
إجمالي عناصر الأدلة
33
أدلة مستندية
54
أدلة سجلات
دليل الرموز
وثيقة
مستند رسمي: سياسة أو إجراء أو خطة أو إطار عمل
سجل
محاضر اجتماعات أو تقارير أو سجلات أو شهادات أو سجلات تتبع
مطلوب
يجب تقديمه للامتثال
متوقع
يُوصى به بشدة للنضج
| النوع | عنصر الدليل | التكرار | الأهمية |
|---|---|---|---|
| وثيقة | وثيقة استراتيجية المخاطر السيبرانية المعتمدة بتوقيع الإدارة التنفيذية/مجلس الإدارة | تُراجع سنوياً | مطلوب |
| وثيقة | مصفوفة مواءمة استراتيجية الأعمال مع استراتيجية المخاطر السيبرانية أو مصفوفة التتبع | تُحدّث مع كل مراجعة للاستراتيجية | مطلوب |
| وثيقة | خارطة مواءمة استراتيجية التكنولوجيا مع استراتيجية المخاطر السيبرانية | تُحدّث مع كل مراجعة للاستراتيجية | مطلوب |
| سجل | محاضر اجتماعات مجلس الإدارة أو اللجنة التنفيذية التي توثق مراجعة الاستراتيجية واعتمادها | لكل دورة مراجعة (سنوياً على الأقل) | مطلوب |
| سجل | سجلات التواصل بشأن الاستراتيجية (رسائل التوزيع البريدية، حضور الإحاطات، النشر على الشبكة الداخلية) | لكل تحديث للاستراتيجية | متوقع |
| سجل | وثائق تحديث الاستراتيجية السنوية التي تُظهر مدخلات من مشهد التهديدات والتغيرات في الأعمال | سنوياً | متوقع |
| النوع | عنصر الدليل | التكرار | الأهمية |
|---|---|---|---|
| وثيقة | وثيقة إطار عمل المخاطر السيبرانية الكاملة بجميع عناصرها المكونة | تُراجع سنوياً | مطلوب |
| وثيقة | بيان القابلية للمخاطر المعتمد مع الحدود المحددة | يُراجع سنوياً | مطلوب |
| وثيقة | وثيقة تصنيف المخاطر مع مخطط التصنيف | تُراجع سنوياً | مطلوب |
| وثيقة | سجل السياسات والمعايير الذي يُظهر جميع وثائق مكونات الإطار مع تواريخ المراجعة | يُصان باستمرار | مطلوب |
| وثيقة | توثيق عمليات إدارة المخاطر (التحديد والتقييم والمعالجة والمراقبة والإبلاغ) | تُراجع سنوياً | مطلوب |
| سجل | سجل إصدارات الإطار الذي يُظهر التحديثات لمواجهة التهديدات والتقنيات الناشئة | لكل تحديث | متوقع |
| سجل | قائمة مراقبة التهديدات الناشئة مع سجلات المراجعة | ربع سنوي | متوقع |
| النوع | عنصر الدليل | التكرار | الأهمية |
|---|---|---|---|
| وثيقة | جدول مراجعة محدد للاستراتيجية والإطار | يُحدد سنوياً | مطلوب |
| وثيقة | سجل الامتثال التنظيمي بجميع المتطلبات المعمول بها المربوطة بمكونات الإطار | يُحدّث ربع سنوي | مطلوب |
| سجل | جداول أعمال اجتماعات المراجعة والمحاضر وسجلات الحضور | لكل مراجعة | مطلوب |
| سجل | تقارير تحليل الفجوات مع النتائج وخطط المعالجة والمسؤولين | لكل مراجعة | مطلوب |
| سجل | تتبع المعالجة الذي يُظهر إغلاق الفجوات المحددة | شهرياً حتى الحل | مطلوب |
| سجل | وثائق الاستراتيجية/الإطار المحدثة مع التحكم بالإصدارات الذي يُظهر المراجعات المبنية على نتائج المراجعة | لكل مراجعة | متوقع |
| سجل | سجلات مشاركة الفريق القانوني وفريق الامتثال في أنشطة المراجعة | لكل مراجعة | متوقع |
| النوع | عنصر الدليل | التكرار | الأهمية |
|---|---|---|---|
| وثيقة | خطة برنامج المخاطر السيبرانية السنوية مع ترتيب أولويات المشاريع على أساس المخاطر | سنوياً | مطلوب |
| وثيقة | منهجية ترتيب الأولويات على أساس المخاطر ومعايير التقييم | تُراجع سنوياً | مطلوب |
| وثيقة | وثائق الميزانية التي تربط المخصصات بالمخاطر المحددة ومتطلبات الامتثال | سنوياً | مطلوب |
| سجل | مخرجات تقييم المخاطر المستخدمة كمدخلات للتخطيط (مستخلصات سجل المخاطر، ملخصات استخبارات التهديدات) | لكل دورة تخطيط | مطلوب |
| سجل | قرارات إعادة ترتيب الأولويات أثناء الدورة مع المبررات الموثقة | حسب الحدوث | متوقع |
| سجل | تقارير تنفيذية تُظهر مواءمة الاستثمار مع تقليل المخاطر | ربع سنوي | متوقع |
| النوع | عنصر الدليل | التكرار | الأهمية |
|---|---|---|---|
| وثيقة | خطاب تعيين تنفيذي أو قرار مجلس الإدارة أو ميثاق يُسمي المسؤول التنفيذي المعني | يُحدّث عند التغيير | مطلوب |
| وثيقة | ميثاق الدور الذي يحدد التفويض والصلاحيات والمسؤوليات وخطوط الإبلاغ | يُراجع سنوياً | مطلوب |
| سجل | الهيكل التنظيمي الذي يُظهر منصب المسؤول التنفيذي للمخاطر السيبرانية وهيكل الإبلاغ | محدّث | مطلوب |
| سجل | محاضر اجتماعات مجلس الإدارة واللجنة التنفيذية التي تُظهر إحاطات دورية عن المخاطر السيبرانية | لكل اجتماع (ربع سنوي على الأقل) | مطلوب |
| سجل | أنشطة التوعية بالمخاطر السيبرانية للإدارة التنفيذية/مجلس الإدارة (مواد الإحاطة، سجلات تمارين المحاكاة) | سنوياً على الأقل | مطلوب |
| سجل | اختصاصات لجنة المخاطر التابعة لمجلس الإدارة بما في ذلك مسؤوليات الإشراف على المخاطر السيبرانية | تُراجع سنوياً | متوقع |
| النوع | عنصر الدليل | التكرار | الأهمية |
|---|---|---|---|
| وثيقة | مجموعة كاملة من سياسات المخاطر السيبرانية مع توقيعات الموافقة وتواريخ السريان والتحكم بالإصدارات | تُراجع وفق جدول السياسات | مطلوب |
| وثيقة | مصفوفة RACI أو مصفوفة المسؤوليات التي تربط أدوار المخاطر السيبرانية بالأفراد/المناصب | تُراجع سنوياً | مطلوب |
| سجل | سجلات الإقرار بالسياسات مع توقيعات الموظفين والمتعاقدين وتواريخها | إعادة الإقرار سنوياً | مطلوب |
| سجل | سجلات توزيع السياسات والتواصل بشأنها | لكل تحديث للسياسة | مطلوب |
| سجل | إجراءات إنفاذ عدم الامتثال التي تُظهر التطبيق المتسق للعواقب | لكل حادثة | متوقع |
| سجل | سجلات مراجعة وتحديث السياسات التي تُظهر التحديث الدوري | لكل دورة مراجعة للسياسات | متوقع |
| النوع | عنصر الدليل | التكرار | الأهمية |
|---|---|---|---|
| وثيقة | توثيق الإطار مع تحديد واضح لخطوط الدفاع الثلاثة | يُراجع سنوياً | مطلوب |
| وثيقة | مصفوفة RACI لأنشطة المخاطر السيبرانية عبر خطوط الدفاع الثلاثة | تُراجع سنوياً | مطلوب |
| وثيقة | ميثاق التدقيق الداخلي الذي يشير إلى نطاق تغطية المخاطر السيبرانية وتفويض الاستقلالية | يُراجع سنوياً | مطلوب |
| سجل | تقارير إشراف الخط الثاني التي تُظهر المراجعة والتحدي المستقل | ربع سنوي | مطلوب |
| سجل | تقارير التدقيق الداخلي حول المخاطر السيبرانية التي تغطي فعالية الخط الأول والثاني | لكل دورة تدقيق | مطلوب |
| سجل | وثائق الحوكمة المؤسسية التي تُظهر خطوط الإبلاغ التي تحافظ على الاستقلالية | محدّث | متوقع |
| النوع | عنصر الدليل | التكرار | الأهمية |
|---|---|---|---|
| وثيقة | سجل مؤشرات المخاطر الرئيسية/مؤشرات الأداء الرئيسية مع التعريفات ومصادر البيانات والحدود والمواءمة مع القابلية للمخاطر | يُراجع نصف سنوي | مطلوب |
| وثيقة | بيان القابلية للمخاطر الذي يُظهر الربط الصريح بحدود مؤشرات المخاطر الرئيسية | يُراجع سنوياً | مطلوب |
| سجل | لوحات المعلومات أو التقارير التي تُظهر قيم المؤشرات الحالية مقابل الحدود المحددة | شهري/ربع سنوي | مطلوب |
| سجل | سجلات التصعيد التي تُظهر إجراءات الاستجابة لتجاوز الحدود | لكل حدث تجاوز | مطلوب |
| سجل | سجلات مراجعة وإعادة معايرة المؤشرات | نصف سنوي | متوقع |
| سجل | تقارير تحليل الاتجاهات التي تُظهر حركة المؤشرات بمرور الوقت | ربع سنوي | متوقع |
| النوع | عنصر الدليل | التكرار | الأهمية |
|---|---|---|---|
| وثيقة | سجل المخاطر السيبرانية مع تواريخ التقييم وتصنيفات الأولوية والمالكين وحالة المعالجة | يُصان باستمرار | مطلوب |
| وثيقة | توثيق معايير ومسارات تصعيد المخاطر | يُراجع سنوياً | مطلوب |
| سجل | محاضر اجتماعات مراجعة المخاطر ربع السنوية مع الحضور والقرارات الموثقة | ربع سنوي | مطلوب |
| سجل | تقارير المخاطر التنفيذية أو لوحات معلومات مجلس الإدارة التي تُظهر المخاطر ذات الأولوية في سياق الأعمال | ربع سنوي | مطلوب |
| سجل | سجلات التصعيد التي تُظهر أن المخاطر الجوهرية تم رفعها بشكل مناسب | لكل حدث تصعيد | مطلوب |
| سجل | خطط معالجة المخاطر مع المعالم الرئيسية والمالكين وتتبع التقدم | لكل خطة معالجة | مطلوب |
| النوع | عنصر الدليل | التكرار | الأهمية |
|---|---|---|---|
| وثيقة | ميثاق أو خطة برنامج مراجعة الخط الثاني مع النطاق والمنهجية والجدول الزمني | يُراجع سنوياً | مطلوب |
| سجل | تقارير مراجعة الخط الثاني المكتملة مع النتائج والتصنيفات والتوصيات | لكل مراجعة | مطلوب |
| سجل | سجلات استجابة الخط الأول لنتائج الخط الثاني (خطط المعالجة، الإجراءات التصحيحية) | لكل نتيجة | مطلوب |
| سجل | سجلات اجتماعات لجنة الحوكمة التي تُظهر إبلاغ الخط الثاني عن فعالية الخط الأول | ربع سنوي | مطلوب |
| سجل | تحليل اتجاهات نتائج المراجعة بمرور الوقت ومعدلات المعالجة | سنوياً | متوقع |
| سجل | أدلة على استقلالية الخط الثاني (هيكل الإبلاغ، توثيق التفويض) | يُراجع سنوياً | متوقع |
| النوع | عنصر الدليل | التكرار | الأهمية |
|---|---|---|---|
| وثيقة | سياسة فحص الخلفيات التي تحدد متطلبات الفحص حسب مستوى حساسية الدور | تُراجع سنوياً | مطلوب |
| سجل | سجلات فحص الخلفيات المكتملة للموظفين والمتعاقدين (مع التنقيح المناسب) | لكل توظيف/تعاقد | مطلوب |
| سجل | عقود الأطراف الثالثة التي تتضمن متطلبات فحص الخلفيات | لكل عقد | مطلوب |
| سجل | شهادات امتثال الأطراف الثالثة بمتطلبات الفحص | سنوياً لكل مزود | مطلوب |
| سجل | سجلات إعادة الفحص الدوري المكتملة للأفراد ذوي الحساسية العالية | لكل دورة إعادة فحص | متوقع |
| سجل | توثيق العمليات الذي يُظهر أن منح الوصول مشروط بإتمام الفحص | يُراجع سنوياً | متوقع |
| النوع | عنصر الدليل | التكرار | الأهمية |
|---|---|---|---|
| وثيقة | سياسة أو إجراء قبول المخاطر الذي يحدد العملية ومستويات الصلاحية ومعايير التوثيق | يُراجع سنوياً | مطلوب |
| سجل | نماذج قبول المخاطر المكتملة مع التحليل والمبررات والضوابط التعويضية والموافقات | لكل قبول | مطلوب |
| سجل | سجل قبول المخاطر الذي يُظهر جميع حالات القبول الحالية مع تواريخ المراجعة والحالة | يُصان باستمرار | مطلوب |
| سجل | تقارير الحوكمة التي تُظهر مقاييس القبول (الحجم، مستويات المخاطر، التقادم، المراجعات المتأخرة) | ربع سنوي | مطلوب |
| سجل | سجلات مراجعة قبول المخاطر التي تُظهر قرارات التجديد أو المعالجة أو التصعيد | لكل تاريخ مراجعة | مطلوب |
| سجل | أدلة على أن صلاحية القبول تتوافق مع مستوى المخاطر المتبقية وفق مصفوفة الصلاحيات | لكل قبول | متوقع |
| النوع | عنصر الدليل | التكرار | الأهمية |
|---|---|---|---|
| وثيقة | تقييم فجوات الموارد والمهارات مع النتائج والتوصيات | سنوياً | مطلوب |
| وثيقة | الهيكل التنظيمي للمخاطر السيبرانية الذي يُظهر الأدوار المشغولة والشواغر وهيكل الإبلاغ | محدّث | مطلوب |
| وثيقة | وثائق الميزانية التي تُظهر التمويل المخصص لموظفي وأدوات وخدمات المخاطر السيبرانية | سنوياً | مطلوب |
| سجل | سجلات التدريب والشهادات لموظفي المخاطر السيبرانية | يُتتبع باستمرار | مطلوب |
| سجل | وثائق تخطيط القوى العاملة التي تتناول التعاقب ونقل المعرفة | تُراجع سنوياً | متوقع |
| سجل | متطلبات الكفاءة القائمة على الأدوار والوصف الوظيفي لمناصب المخاطر السيبرانية | تُراجع سنوياً | متوقع |
| النوع | عنصر الدليل | التكرار | الأهمية |
|---|---|---|---|
| وثيقة | جرد الأصول الحرجة مع التصنيف وتقييمات الأثر على الأعمال ومالكي المخاطر | يُراجع نصف سنوي | مطلوب |
| وثيقة | توثيق ربط الضوابط الذي يُظهر ضوابط السرية والنزاهة والتوافر المعينة لكل أصل حرج | يُراجع سنوياً | مطلوب |
| وثيقة | معايير تحديد الأصول الحرجة ومنهجية التصنيف | تُراجع سنوياً | مطلوب |
| سجل | سجلات مراجعة الضوابط التي تُظهر التقييم الدوري لفعالية الضوابط | وفق جدول المراجعة | مطلوب |
| سجل | نتائج الاختبارات: فحص الثغرات واختبارات الاختراق واختبارات التعافي من الكوارث للأصول الحرجة | وفق جدول الاختبار | مطلوب |
| سجل | تتبع معالجة أوجه القصور في الضوابط المحددة من خلال المراجعة والاختبار | لكل نتيجة | مطلوب |
| سجل | ملخص فعالية الضوابط السنوي المقدم إلى الحوكمة التنفيذية | سنوياً | متوقع |