Professional Documents
Culture Documents
dict-qap018-v2.0 - sys - dr - lmkhtr جديد
dict-qap018-v2.0 - sys - dr - lmkhtr جديد
October 2020
سياسة أدارة املخاطر
Risk Management Policy
جدول احملتويات
Page 2 of 15
سياسة أدارة املخاطر
Risk Management Policy
معلومات ذات ملكية فكرية
هذه الوثيقة هي عبارة عن معلومات خاصة بعمادة االتصاالت وتقنية املعلومات في جامعة اإلمام عبد الرحمن بن فيصل.
وهي وثيقة موجهة للجهات املعنية فقط حيث ال يتم توزيعها أو الكشف عنها أو نشرها أو نسخها دون إذن كتابي من عمادة
Page 3 of 15
سياسة أدارة املخاطر
Risk Management Policy
الرقابة على الوثيقة
معلومات عن الوثيقة
مراجعة التاريخ
قائمة التوزيع
املستفيد الرقم
إدارة الشؤون القانونية 1
املوقع االلكتروني للجامعة 2
قسم ضمان الجودة بالعمادة 3
اإلعتماد
8th October 2020 عميد االتصاالت وتقنية املعلومات د .خالد عدنان العيس ى
Page 4 of 15
سياسة أدارة املخاطر
Risk Management Policy
نظرة عامة على السياسة
يستعرض هذا الجزء بالتفصيل الغرض من هذه السياسة ونطاقها وتعريف مصطلحاتها ،وتغييرها ،ومراجعتها وتحديثها،
الغرض
تحديد مجاالت ضعف أمن املعلومات والتهديدات داخل بيئة جامعة اإلمام عبد الرحمن بن فيصل وبدء العالج املناسب لها.
النطاق
تنطبق بيانات السياسة املكتوبة في هذه الوثيقة على جميع موارد جامعة اإلمام عبد الرحمن بن فيصل بجميع مستويات
جميع املوظفين بدوام كامل وبدوام جزئي واملوظفين املؤقتين الذين يعملون لدى جامعة اإلمام عبد الرحمن بن
املقاولون واالستشاريون الذين يعملون لصالح جامعة اإلمام عبد الرحمن بن فيصل أو نيابة عنها.
جميع األفراد والجماعات األخرى الذين حصلوا على حق الوصول إلى أنظمة املعلومات واالتصاالت في جامعة اإلمام
تغطي هذه السياسة جميع أصول املعلومات املحددة في وثيقة نطاق تقييم املخاطر وسيتم استخدامها كأساس إلدارة
أمن املعلومات.
Page 5 of 15
سياسة أدارة املخاطر
Risk Management Policy
تعريف املصطلحات
التعريف املصطلح
مبدأ أمني يشير إلى ضرورة التعرف على األفراد وتحميلهم مسؤولية أفعالهم. املساءلة
املعلومات التي تعتبر ذات قيمة للمؤسسة مثل النماذج والوسائط والشبكات واألجهزة والبرامج ونظام املعلومات. األصول
فحص الحقائق إلبداء الرأي وقد يشتمل هذا الفحص على دليل اختباري يؤيد الرأي. املراجعة
مصرح لها بذلك وقابلة ألن تستخدمها أيضا.الحالة التي يكون فيها األصل أو الخدمة قابلة ألن تصلها جهة ّ توفر
حالة األصل أو الخدمة القابلة للوصول وقابلة لالستخدام عند الطلب من ِقبل جهة معتمدة. السرية
وسيلة إلدارة املخاطر ،تشمل السياسات واإلجراءات واإلرشادات التي يمكن أن تكون ذات طبيعة إدارية عليا أو تقنية أو الرقابة
إدارية أو قانونية.
وصف يوضح ما يجب عمله لتحقيق األهداف املحددة في السياسات والطريقة التي تحقق بها تلك األهداف. اإلرشاد
ّ ّ
التحقق واملساءلة وعدم التنصل الحفاظ على سرية املعلومات وسالمتها وتوفرها .ويشمل أمن املعلومات وسائل أخرى مثل أمن املعلومات
واملوثوقية.
ّ
الحفاظ على األصول والتأكد من دقتها وتناسقها طوال دورة حياتها بأكملها. السالمة
أي شخص أو مجموعة من األشخاص حددتهم اإلدارة لتحمل مسؤولية الحفاظ على سرية األصول وتوفرها وسالمتها .وقد املالك
يتغير املالك أثناء دورة حياة األصل.
خطة عمل يسترشد بها عند اتخاذ القرارات واإلجراءات .وتشتمل السياسة على تحديد البدائل املختلفة مثل البرامج أو السياسة
أولويات اإلنفاق ،واالختيار بينها على أساس التأثير الذي ستحدثه.
مزيج من عواقب الحدث واحتماالت حدوثها (بما في ذلك التغييرات في الظروف). الخطر
استخدام املعلومات بطريقة منهجية لتحديد املصادر وتقدير املخاطر. تحليل املخاطر
ّ
يعرف تحليل املخاطر بأنه الطريقة النظامية لتحديد مدى ّ
العملية الشاملة لتحليل املخاطر وتقويمها ،حيث ّ
تعرض املنظمة تقديراملخاطر
لحالة عدم يقين وتقدير املخاطر الناشئة عن ذلك.
عملية مقارنة املخاطر املقدرة بمعايير مخاطرة موضوعة سلفا لتحديد حجم املخاطرة. تقويم الخطر
تنسيق األنشطة إلدارة املنظمة والسيطرة عليها في حال وجود مخاطر .وهي عادة تشمل تقييم املخاطر ومعالجتها وقبولها إدارة املخاطر
ونقلها.
عملية اختيار تدابير لتغيير املخاطر أو تعديلها أو تقليلها وتنفيذ تلك التدابير معالجة املخاطر
الشخص أو الجهة املعترف بها على أنها مستقلة عن األطراف املعنية ،فيما يتعلق باملسألة قيد النظر. الجهة الثالثة
احتمال التسبب في حادثة غير مرغوب فيها قد تؤدي إلى إلحاق الضرر بنظام من األنظمة ومن أمثلة ذلك الكشف بطريقة التهديد
غير مصرح بها عن معلومات حساسة أو أصول أو خدمات أو إتالفها أو إزالتها أو تعديلها أو قطعها أو احتمال التسبب في
إصابة أشخاص .وقد يكون التهديد متعمدا أو عرضيا أو طبيعي األصل.
ضعف في اإلجراءات األمنية أو العمليات أو الضوابط أو أصول املعلومات (النظام والتطبيق) حيث يمكن استغالل هذا الهشاشة
الضعف عن طريق اللجوء إلى التهديد بالوصول غير املصرح به إلى املعلومات أو تعطيل املعالجة املهمة لها.
ُ
جهاز أو نظام مترابط أو أنظمة فرعية تتكون من أجهزة تستخدم في الحصول على البيانات أو تخزينها أو معالجتها أو إدارتها النظام
أو التحكم فيها أو عرضها أو تبديلها أو تبادلها أو نقلها أو استقبالها ،بما في ذلك برامج الحاسب اآللي والبرامج الثابتة واألجهزة.
الجدول :1املصطلحات والتعاريف
Page 6 of 15
سياسة أدارة املخاطر
Risk Management Policy
التغييرواملراجعة والتحديث
يجب مراجعة هذه السياسة مرة واحدة كل عام ما لم يعتبر املالك إجراء مراجعة سابقة ضرورية لضمان استمرار
السياسة الحالية .يجب إجراء التغييرات في هذه السياسة بشكل حصري من قبل ضابط أمن املعلومات واملوافقة عليها من قبل
اإلدارة .يجب أن يظل سجل التغيير محدثا ويتم تحديثه بمجرد إجراء أي تغيير.
اإلنفاذ واالمتثال
يعد االلتزام بهذه السياسة إلزاميا ويجب مراجعته بشكل دوري من قبل ضابط أمن املعلومات .يجب على جميع وحدات
جامعة اإلمام عبد الرحمن بن فيصل (العمادة ،اإلدارة ،الكلية ،القسم واملركز) ضمان مراقبة االمتثال املستمر للسياسة في حدود
دائرة اختصاصها.
في حالة تجاهل أو انتهاك توجيهات أمن املعلومات ،قد تتضرر بيئة جامعة اإلمام عبد الرحمن بن فيصل (على سبيل
املثال ،يحدث فقدان للثقة في الجامعة وتتضرر سمعتها ،أو تتعطل عملياتها أو تحدث انتهاكات قانونية فيها) ،ويكون األشخاص
املخطئون مسؤولين عن تجاهل توجيهات األمن ومخالفتها مما يؤدي إلى اتخاذ إجراءات تأديبية أو تصحيحية بحقهم (مثل الفصل
يجب ضمان معاملة صحيحة وعادلة للموظفين الذين يشتبه في انتهاكهم لألوامر األمنية (مثل اإلجراءات التأديبية) .يجب
إبالغ إدارة املوارد البشرية والتعامل مع انتهاكات السياسة ملعالجة انتهاكات السياسة.
االستثناءات
يجب أن ينظر أمن املعلومات في االستثناءات من هذه السياسة على أساس فردي .ويجب أن يشفع كل طلب استثناء من
االمتثال لهذه السياسة باملبررات املنطقية التي دعت لتقديمه على أن يوافق ضابط أمن املعلومات على هذا االستثناء وتعتمده
عمادة االتصاالت وتقنية املعلومات .ويجب أن يشمل كل طلب استثناء املبررات واملزايا التي تنسب إليه.
تبلغ فترة االستثناء أربعة أشهر كحد أقص ى .ويجوز تمديد االستثناء ملدة أقصاها ثالث فترات متتالية وذلك بعد إعادة
Page 7 of 15
سياسة أدارة املخاطر
Risk Management Policy
األدوارواملسؤوليات (مصفوفة املهام )RACI
يوضح الجدول 2مصفوفة املهام )RACI( 1التي تحدد من هو املساءل أو املسؤول أو الذي يتم استشارته أو إبالغه بكل
مهمة تحتاج إلى القيام بها .هناك بعض األدوار املشاركة في هذه السياسة على التوالي :اإلدارة ،عمادة االتصاالت وتقنية املعلومات،
األدوار
املعلومات
املعلومات
ضابط أم
اإلدارة
املالك
تقنية
املسؤوليات
إنفاذ سي ييياسي ييات أمن املعلومات داخل بيئة جامعة اإلمام عبد الرحمن بن فيصي ييل لحماية
C,I C C R,A
األصول الهامة.
C,I C C R,A مراجعة واعتماد تقارير تقييم املخاطر وخطة معالجة املخاطر وتقارير املراجعة.
C,I C C R,A مراجعة واعتماد معايير قبول املخاطر (املستوى املقبول للمخاطر) واملخاطر املتبقية.
إجراء وإدارة أنشطة إدارة املخاطر )على سبيل املثال ،تحديد التهديدات ونقاط الضعف
C R,A R I
وتقييم .) BIA
C R,A R I مراجعة والحفاظ على إجراءات إدارة املخاطر ومنهجيتها على أساس سنوي.
C R,A R I وضع خطة سنوية للتدقيق الداخلي ملراقبة تنفيذ إجراءات إدارة املخاطر.
إجراء تقييمات دورية للمخاطر تحدد نقاط الضعف األمنية الحالية واملستقبلية،
C R,A R I وتحديد مستوى املخاطر وتحديد أفضل الطرق لتقليل املخاطر إلى مستوى مقبول
(خطة معالجة املخاطر).
I C R,A تطبيق الضوابط املناسبة لحماية سرية وسالمة وصحة املعلومات الحساسة.
I C R,A تطبيق الضوابط املناسبة لحماية النظم .
R,A C C I تصنيف األصول بناء على سياسة وإجراءات إدارة األصول.
R,A C C I تحديد قيمة لألصول.
الجدول :2األدوار واملسؤوليات املخصصة بناء على مصفوفة RACI
1
تصف مصفوفة املهام ( )RACIالخاصة بتحديد املسؤوليات واألدوار املختلفة التي يشارك بها أعضاء الفريق في إنجاز مهام العمل .وهي مفيدة بشكل خاص في توضيح األدوار
واملسؤوليات عند تنفيذ عمليات تتعدد فيها الوظائف أو اإلدارات .يرمز الحرف ( )Rإلى املوظف الذي ينفذ مهمة من املهام ،أما الحرف (ِ )Aفيرمز للشخص املسؤول (أو جهة االعتماد)
حيث يوقع هذا الشخص أو يعتمد املهمة املناطة إلى املوظف (ٌ )Rأما الحرف ( )Cفيرمز إلى املستشار الذي يقدم رأيا حول ما هو مراد تنفيذه ،ويرمز الحرف ( )Iإلى الشخص الذي يكون
على علم ودراية باملهمة وهو الذي تصله أحدث املعلومات عن سير املهمة.
Page 8 of 15
سياسة أدارة املخاطر
Risk Management Policy
الوثائق ذات الصلة
امللكية
هذه الوثيقة مملوكة لعمادة االتصاالت وتقنية املعلومات بجامعة اإلمام عبد الرحمن بن فيصل وهي التي تحافظ عليها.
Page 9 of 15
سياسة أدارة املخاطر
Risk Management Policy
بيانات السياسية
تقدم األجزاء الفرعية التالية بيانات السياسة في سبع جوانب رئيسة هي:
سجل املخاطر
تقييم املخاطر
إدارة املخاطر
ّ
.1تتأكد اإلدارة من تحديد املخاطر وإدارتها بطريقة فعالة وكفؤة وفي الوقت املناسب مع مراعاة تأثيرها على أعمال جامعة
.2يجب تقييم املخاطر وإدارتها باعتبارها جزءا من جميع أنشطة جامعة اإلمام عبد الرحمن بن فيصل ذات الصلة (مثل
وظائف األعمال ،والعمليات اليومية ،واقتناء النظم ،وتطويرها وتنفيذها ،وتشغيل النظم وغيرها) ،من خالل ضمان
التنفيذ الفعال لسياسات وإجراءات أمن املعلومات الخاصة بي جامعة اإلمام عبد الرحمن بن فيصل.
.1يجب على مسؤول أمن املعلومات تحديد وتنفيذ إدارة املخاطر لضمان وجود حماية ذات تكلفة معقولة لجميع أنظمة
.2تقوم إدارة املخاطر بتقييم التأثير املحتمل لألعمال ،وتقييم التهديدات ونقاط الضعف واختيار الضوابط املناسبة لتلبية
Page 10 of 15
سياسة أدارة املخاطر
Risk Management Policy
.3يجب إكمال عملية إدارة املخاطر بطريقة منسقة تشمل جميع أصحاب املصلحة بما في ذلك أصحاب األعمال ومالكي
.5يجب إجراء عمليات تقييم مستقلة بواسطة موظفين مستقلين أو مقاولين أو بائعين بغرض تطبيق معايير تقييم دقيقة
على األصول حيثما اقتض ى األمر (مثل اإلدارة املستقلة للمخاطر ،ومراجعة الرموز بصورة مستقلة ،واعتماد االختبار
.1يجب على ضابط أمن املعلومات إعداد منهجية إدارة املخاطر واإلشراف عليها وعلى سياساتها وإجراءاتها لحماية أنظمة
جامعة اإلمام عبد الرحمن بن فيصل بشكل مستمر .والبد أن تستند منهجية إدارة املخاطر وسياساتها وإجراءاتها إلى
معايير وإرشادات مقبولة دوليا (مثل ISO / IEC 27001: 2013و)ISO / IEC 27005: 2011.
.2يجب على إدارة جامعة اإلمام عبد الرحمن بن فيصل القيام بما يلي:
دعم تدابير إدارة املخاطر واستراتيجيتها بهيكل تنظيمي مناسب؛ والتأكد من أن املسؤوليات املرتبطة بإدارة .iii
ُ
املخاطر محددة بوضوح وتبلغ إلى جميع املستويات.
ّ ّ
تأكد من ّ
أن املخاطر يبلغ عنها من خالل هيكل تقارير واضح وقوي. ال .iv
دمج أنشطة إدارة املخاطر الجارية مع أنشطة إدارة املخاطر األخرى في أعمال جامعة اإلمام عبد الرحمن بن .v
فيصل.
Page 11 of 15
سياسة أدارة املخاطر
Risk Management Policy
.3تشمل منهجية إدارة املخاطر الجوانب التالية:
تحديد وتقييم التهديدات العملية على البنية التحتية لجامعة اإلمام عبد الرحمن بن فيصل وبيئتها. .iii
تحديد الخطر (أي العواقب املتوقعة الناجمة عن أنواع محددة من الهجمات على أصول محددة). .v
وضع أولويات تدابير الحد من املخاطر بناء على خطة استراتيجية. .vii
سجل املخاطر
.1يقوم ضابط أمن املعلومات بالتنسيق مع موظفي عمادة االتصاالت وتقنية املعلومات بإنشاء سجل للمخاطر واالحتفاظ
به لتسجيل كل خطر تم تحديده في إطار عملية تقييم املخاطر .قد يتضمن هذا السجل ،على سبيل املثال ال الحصر ما
يلي:
Page 12 of 15
سياسة أدارة املخاطر
Risk Management Policy
قائمة باإلجراءات العالجية مدرجة خطة بهذا األمر (تذكر فيها اإلجراءات والقائمين على أمر تنفيذها ،والقيد .viii
الزمني للتنفيذ).
تقييم املخاطر
.1يجب إجراء تقييم للمخاطر بالنسبة لألنظمة الجديدة وعمليات االستحواذ والعقود واملشاريع الجديدة والعقود الحالية
وتغييرات العقود لضمان تحديد أي مخاطر أو فرص الحقة وتحليلها واإلبالغ عنها إلى املستوى اإلداري املناسب وفقا
.2يجب أن يعالج تقييم املخاطر املحتملة على الفوائد التجارية املتوقعة للوحدة واالمتثال للمتطلبات القانونية ذات الصلة.
.3تقييم املخاطر التي تهدد جميع أنظمة جامعة اإلمام عبد الرحمن بن فيصل يجب أن يأخذ في االعتبار الجوانب التالية:
تحديد نقاط الضعف ذات الصلة املوجودة داخل النظم ومرافق معالجة املعلومات. .ii
تحديد التهديدات املاثلة أمام معلومات جامعة اإلمام عبد الرحمن بن فيصل وأنظمتها ومرافق معالجة .iii
تحديد الضوابط األمنية املطلوبة لألنظمة (بناء على نوع النظام وطريقة تصنيفه أمنيا) .تؤخذ هذه الضوابط .iv
من سياسات أمن املعلومات الخاصة بجامعة اإلمام عبد الرحمن بن فيصل ومن معايير النظام املحددة وغيرها
تقييم حالة عناصر التحكم هذه من خالل املناقشات مع أصحاب املصلحة املعنيين أو إجراء تقنيات اختبار .v
األمان املناسبة.
Page 13 of 15
سياسة أدارة املخاطر
Risk Management Policy
معالجة املخاطروقبولها
.1تعتبر معالجة املخاطر عملية مستمرة تقلل من املخاطر من خالل تنفيذ التدابير األمنية الفعالة من حيث التكلفة .يجب
.2يجب على اإلدارة تحديد معايير قبول املخاطر ،التي يقررونها ،واملستوى املقبول للمخاطرة ،واملخاطر الحالية واملخاطر
.3إذا كان مستوى املخاطر املتبقية غير مقبول ،فيجب تطبيق ضوابط إضافية لخفضها ملستوى مقبول.
مراجعة أي مالحظات تم تحديدها نتيجة لعالج املخاطر من حيث فعاليتها وتأثيرها على جامعة اإلمام عبد .i
الرحمن بن فيصل.
تحديد األفراد أو العمليات أو اإلجراءات أو املبادرات العالجية املناسبة املتعلقة بالتقنية ،وتبليغها للجهة .ii
.1يجب وضع خطة مراجعة داخلية سنوية لرصد تنفيذ إجراءات إدارة املخاطر .وفي إطار برنامجها السنوي للمراجعة تقوم
مدى تنفيذ وفعالية الضوابط التي أوص ى بها تقييم وعالج املخاطر. .i
Page 14 of 15
سياسة أدارة املخاطر
Risk Management Policy
وجود خطة لعالج املخاطر في كل وظيفة تخضع للمراجعة. .ii
دمج خطة معالجة املخاطر بشكل مناسب مع وثائق التخطيط األخرى ،وهي محدثة وتراجع بشكل منتظم. .iii
.2يجب أن ترفع املراجعة الداخلية تقارير عن قضايا إدارة املخاطر إلى اإلدارة واألطراف املعنية األخرى وذلك في إطار
.3يقوم موظف أمن املعلومات بالتعاون مع موظفي عمادة االتصاالت وتقنية املعلومات -من خالل مجموعة من اآلليات -
بمراجعة إجراءات ومنهجية إدارة املخاطر سنويا والحفاظ عليها .وقد تشمل اآلليات ،على سبيل املثال ال الحصر ما يلي:
.4يجب إعادة تقييم وتحديث جميع املخاطر على النحو التالي :
بعد وقوع حادث ينتهك سياسات أمن املعلومات الخاصة بجامعة اإلمام عبد الرحمن بن فيصل ويعرض سالمة .iv
Page 15 of 15