‫ابتكار األعمال امللهمة‬

‫سياسة أدارة املخاطر‬

‫اإلصدار‪2.0 :‬‬
‫رمز السياسة‪DICT-QAP018 :‬‬

‫‪October 2020‬‬
 ‫سياسة أدارة املخاطر‬
‫‪Risk Management Policy‬‬

‫جدول احملتويات‬

‫معلومات ذات ملكية فكرية ‪3 .......................................................................................................‬‬

‫الرقابة على الوثيقة ‪4 .................................................................................................................‬‬
‫معلومات عن الوثيقة ‪4 .............................................................................................................................................................‬‬
‫مراجعة التاريخ ‪4 ......................................................................................................................................................................‬‬
‫قائمة التوزيع ‪4 ........................................................................................................................................................................‬‬
‫اإلعتماد ‪4 ..............................................................................................................................................................................‬‬
‫نظرة عامة على السياسة ‪5 ..........................................................................................................‬‬
‫الغرض ‪5 ..............................................................................................................................................................................‬‬
‫النطاق ‪5 ..............................................................................................................................................................................‬‬
‫تعريف املصطلحات ‪6 ...............................................................................................................................................................‬‬
‫التغييرواملراجعة والتحديث ‪7 ....................................................................................................................................................‬‬
‫اإلنفاذ واالمتثال ‪7 ....................................................................................................................................................................‬‬
‫االستثناءات ‪7 ..........................................................................................................................................................................‬‬
‫األدوارواملسؤوليات (مصفوفة املهام ‪8 .............................................................................................................................. )RACI‬‬
‫الوثائق ذات الصلة ‪9 ................................................................................................................................................................‬‬
‫امللكية ‪9 ..............................................................................................................................................................................‬‬
‫بيانات السياسية ‪10 ..................................................................................................................‬‬
‫االلتزام بإدارة املخاطر ‪10 ..........................................................................................................................................................‬‬
‫متطلبات إدارة املخاطر ‪10 .........................................................................................................................................................‬‬
‫منهجية إدارة املخاطر ‪11 ...........................................................................................................................................................‬‬
‫سجل املخاطر ‪12 .....................................................................................................................................................................‬‬
‫تقييم املخاطر ‪13 .....................................................................................................................................................................‬‬
‫معالجة املخاطروقبولها ‪14 ........................................................................................................................................................‬‬
‫االهتمام بإدارة املخاطرومراجعتها ‪14 ..........................................................................................................................................‬‬

‫‪Page 2 of 15‬‬
 ‫سياسة أدارة املخاطر‬
‫‪Risk Management Policy‬‬
‫معلومات ذات ملكية فكرية‬

‫هذه الوثيقة هي عبارة عن معلومات خاصة بعمادة االتصاالت وتقنية املعلومات في جامعة اإلمام عبد الرحمن بن فيصل‪.‬‬

‫وهي وثيقة موجهة للجهات املعنية فقط حيث ال يتم توزيعها أو الكشف عنها أو نشرها أو نسخها دون إذن كتابي من عمادة‬

‫االتصاالت وتقنية املعلومات‪.‬‬

‫‪Page 3 of 15‬‬
 ‫سياسة أدارة املخاطر‬
‫‪Risk Management Policy‬‬
‫الرقابة على الوثيقة‬

‫معلومات عن الوثيقة‬

‫الحالة‬ ‫اإلصدار‬ ‫التصنيف‬ ‫العنوان‬

‫معتمدة‬ ‫‪2.0‬‬ ‫عام‬ ‫سياسة إدارة املخاطر‬

‫مراجعة التاريخ‬

‫التغييرات‬ ‫تاريخ االصدار‬ ‫املؤلفون‬ ‫اإلصدار‬

‫إعداد‬ ‫‪ 18‬نوفمبر ‪2014‬‬ ‫عالء عليوة‬ ‫‪0.1‬‬
‫تحديث‬ ‫‪ 1‬ديسمبر ‪2014‬‬ ‫نبيل البحبوح‬ ‫‪0.2‬‬
‫‪QA‬‬ ‫‪ 23‬ديسمبر ‪2014‬‬ ‫أسامة العمري‬ ‫‪0.3‬‬
‫تحديث‬ ‫‪ 31‬ديسمبر ‪2014‬‬ ‫نبيل البحبوح‬ ‫‪1.0‬‬
‫تحديث‬ ‫‪ 18‬مايو ‪2017‬‬ ‫منيب أحمد‬ ‫‪1.1‬‬
‫تحديث‬ ‫‪ 6‬يونيو ‪2020‬‬ ‫ملياء عبد هللا الجعفري‬ ‫‪1.2‬‬
‫تحديث‬ ‫‪ 10‬سبتمبر ‪2020‬‬ ‫د‪ .‬سامر بني عواد‬ ‫‪2.0‬‬

‫قائمة التوزيع‬

‫املستفيد‬ ‫الرقم‬
‫إدارة الشؤون القانونية‬ ‫‪1‬‬
‫املوقع االلكتروني للجامعة‬ ‫‪2‬‬
‫قسم ضمان الجودة بالعمادة‬ ‫‪3‬‬

‫اإلعتماد‬

‫التوقيع‬ ‫التاريخ‬ ‫العنوان‬ ‫االسم‬

‫‪8th October 2020‬‬ ‫عميد االتصاالت وتقنية املعلومات‬ ‫د‪ .‬خالد عدنان العيس ى‬

‫‪Page 4 of 15‬‬
 ‫سياسة أدارة املخاطر‬
‫‪Risk Management Policy‬‬
‫نظرة عامة على السياسة‬

‫يستعرض هذا الجزء بالتفصيل الغرض من هذه السياسة ونطاقها وتعريف مصطلحاتها‪ ،‬وتغييرها‪ ،‬ومراجعتها وتحديثها‪،‬‬

‫وإنفاذها‪/‬واالمتثال لها‪ ،‬واألدوار واملسؤوليات‪ ،‬واملستندات ذات الصلة وامللكية‪.‬‬

‫الغرض‬

‫الغرض الرئيس ي من سياسة إدارة املخاطر هو‪:‬‬

‫تحديد مجاالت ضعف أمن املعلومات والتهديدات داخل بيئة جامعة اإلمام عبد الرحمن بن فيصل وبدء العالج املناسب لها‪.‬‬

‫النطاق‬

‫تنطبق بيانات السياسة املكتوبة في هذه الوثيقة على جميع موارد جامعة اإلمام عبد الرحمن بن فيصل بجميع مستويات‬

‫حساسيتها‪ ،‬بما في ذلك‪:‬‬

‫‪ ‬جميع املوظفين بدوام كامل وبدوام جزئي واملوظفين املؤقتين الذين يعملون لدى جامعة اإلمام عبد الرحمن بن‬

‫فيصل أو يعملون لصالحها أو بالنيابة عنها‪.‬‬

‫‪ ‬الطالب الذين يدرسون في جامعة اإلمام عبد الرحمن بن فيصل‪.‬‬

‫‪ ‬املقاولون واالستشاريون الذين يعملون لصالح جامعة اإلمام عبد الرحمن بن فيصل أو نيابة عنها‪.‬‬

‫‪ ‬جميع األفراد والجماعات األخرى الذين حصلوا على حق الوصول إلى أنظمة املعلومات واالتصاالت في جامعة اإلمام‬

‫عبد الرحمن بن فيصل‪.‬‬

‫تغطي هذه السياسة جميع أصول املعلومات املحددة في وثيقة نطاق تقييم املخاطر وسيتم استخدامها كأساس إلدارة‬

‫أمن املعلومات‪.‬‬

‫‪Page 5 of 15‬‬
 ‫سياسة أدارة املخاطر‬
‫‪Risk Management Policy‬‬
‫تعريف املصطلحات‬

‫يقدم الجدول ‪ 1‬تعريفات للمصطلحات الشائعة املستخدمة في هذه الوثيقة‪.‬‬

‫التعريف‬ ‫املصطلح‬

‫مبدأ أمني يشير إلى ضرورة التعرف على األفراد وتحميلهم مسؤولية أفعالهم‪.‬‬ ‫املساءلة‬
‫املعلومات التي تعتبر ذات قيمة للمؤسسة مثل النماذج والوسائط والشبكات واألجهزة والبرامج ونظام املعلومات‪.‬‬ ‫األصول‬
‫فحص الحقائق إلبداء الرأي وقد يشتمل هذا الفحص على دليل اختباري يؤيد الرأي‪.‬‬ ‫املراجعة‬
‫مصرح لها بذلك وقابلة ألن تستخدمها أيضا‪.‬‬‫الحالة التي يكون فيها األصل أو الخدمة قابلة ألن تصلها جهة ّ‬ ‫توفر‬
‫حالة األصل أو الخدمة القابلة للوصول وقابلة لالستخدام عند الطلب من ِقبل جهة معتمدة‪.‬‬ ‫السرية‬
‫وسيلة إلدارة املخاطر‪ ،‬تشمل السياسات واإلجراءات واإلرشادات التي يمكن أن تكون ذات طبيعة إدارية عليا أو تقنية أو‬ ‫الرقابة‬
‫إدارية أو قانونية‪.‬‬
‫وصف يوضح ما يجب عمله لتحقيق األهداف املحددة في السياسات والطريقة التي تحقق بها تلك األهداف‪.‬‬ ‫اإلرشاد‬
‫ّ‬ ‫ّ‬
‫التحقق واملساءلة وعدم التنصل‬ ‫الحفاظ على سرية املعلومات وسالمتها وتوفرها‪ .‬ويشمل أمن املعلومات وسائل أخرى مثل‬ ‫أمن املعلومات‬
‫واملوثوقية‪.‬‬
‫ّ‬
‫الحفاظ على األصول والتأكد من دقتها وتناسقها طوال دورة حياتها بأكملها‪.‬‬ ‫السالمة‬
‫أي شخص أو مجموعة من األشخاص حددتهم اإلدارة لتحمل مسؤولية الحفاظ على سرية األصول وتوفرها وسالمتها‪ .‬وقد‬ ‫املالك‬
‫يتغير املالك أثناء دورة حياة األصل‪.‬‬
‫خطة عمل يسترشد بها عند اتخاذ القرارات واإلجراءات‪ .‬وتشتمل السياسة على تحديد البدائل املختلفة مثل البرامج أو‬ ‫السياسة‬
‫أولويات اإلنفاق‪ ،‬واالختيار بينها على أساس التأثير الذي ستحدثه‪.‬‬
‫مزيج من عواقب الحدث واحتماالت حدوثها (بما في ذلك التغييرات في الظروف)‪.‬‬ ‫الخطر‬
‫استخدام املعلومات بطريقة منهجية لتحديد املصادر وتقدير املخاطر‪.‬‬ ‫تحليل املخاطر‬
‫ّ‬
‫يعرف تحليل املخاطر بأنه الطريقة النظامية لتحديد مدى ّ‬
‫العملية الشاملة لتحليل املخاطر وتقويمها‪ ،‬حيث ّ‬
‫تعرض املنظمة‬ ‫تقديراملخاطر‬
‫لحالة عدم يقين وتقدير املخاطر الناشئة عن ذلك‪.‬‬
‫عملية مقارنة املخاطر املقدرة بمعايير مخاطرة موضوعة سلفا لتحديد حجم املخاطرة‪.‬‬ ‫تقويم الخطر‬
‫تنسيق األنشطة إلدارة املنظمة والسيطرة عليها في حال وجود مخاطر‪ .‬وهي عادة تشمل تقييم املخاطر ومعالجتها وقبولها‬ ‫إدارة املخاطر‬
‫ونقلها‪.‬‬
‫عملية اختيار تدابير لتغيير املخاطر أو تعديلها أو تقليلها وتنفيذ تلك التدابير‬ ‫معالجة املخاطر‬
‫الشخص أو الجهة املعترف بها على أنها مستقلة عن األطراف املعنية‪ ،‬فيما يتعلق باملسألة قيد النظر‪.‬‬ ‫الجهة الثالثة‬
‫احتمال التسبب في حادثة غير مرغوب فيها قد تؤدي إلى إلحاق الضرر بنظام من األنظمة ومن أمثلة ذلك الكشف بطريقة‬ ‫التهديد‬
‫غير مصرح بها عن معلومات حساسة أو أصول أو خدمات أو إتالفها أو إزالتها أو تعديلها أو قطعها أو احتمال التسبب في‬
‫إصابة أشخاص‪ .‬وقد يكون التهديد متعمدا أو عرضيا أو طبيعي األصل‪.‬‬
‫ضعف في اإلجراءات األمنية أو العمليات أو الضوابط أو أصول املعلومات (النظام والتطبيق) حيث يمكن استغالل هذا‬ ‫الهشاشة‬
‫الضعف عن طريق اللجوء إلى التهديد بالوصول غير املصرح به إلى املعلومات أو تعطيل املعالجة املهمة لها‪.‬‬
‫ُ‬
‫جهاز أو نظام مترابط أو أنظمة فرعية تتكون من أجهزة تستخدم في الحصول على البيانات أو تخزينها أو معالجتها أو إدارتها‬ ‫النظام‬
‫أو التحكم فيها أو عرضها أو تبديلها أو تبادلها أو نقلها أو استقبالها‪ ،‬بما في ذلك برامج الحاسب اآللي والبرامج الثابتة واألجهزة‪.‬‬
‫الجدول ‪ :1‬املصطلحات والتعاريف‬

‫‪Page 6 of 15‬‬
 ‫سياسة أدارة املخاطر‬
‫‪Risk Management Policy‬‬
‫التغييرواملراجعة والتحديث‬

‫يجب مراجعة هذه السياسة مرة واحدة كل عام ما لم يعتبر املالك إجراء مراجعة سابقة ضرورية لضمان استمرار‬

‫السياسة الحالية‪ .‬يجب إجراء التغييرات في هذه السياسة بشكل حصري من قبل ضابط أمن املعلومات واملوافقة عليها من قبل‬

‫اإلدارة‪ .‬يجب أن يظل سجل التغيير محدثا ويتم تحديثه بمجرد إجراء أي تغيير‪.‬‬

‫اإلنفاذ واالمتثال‬

‫يعد االلتزام بهذه السياسة إلزاميا ويجب مراجعته بشكل دوري من قبل ضابط أمن املعلومات‪ .‬يجب على جميع وحدات‬

‫جامعة اإلمام عبد الرحمن بن فيصل (العمادة‪ ،‬اإلدارة‪ ،‬الكلية‪ ،‬القسم واملركز) ضمان مراقبة االمتثال املستمر للسياسة في حدود‬

‫دائرة اختصاصها‪.‬‬

‫في حالة تجاهل أو انتهاك توجيهات أمن املعلومات‪ ،‬قد تتضرر بيئة جامعة اإلمام عبد الرحمن بن فيصل (على سبيل‬

‫املثال‪ ،‬يحدث فقدان للثقة في الجامعة وتتضرر سمعتها‪ ،‬أو تتعطل عملياتها أو تحدث انتهاكات قانونية فيها)‪ ،‬ويكون األشخاص‬

‫املخطئون مسؤولين عن تجاهل توجيهات األمن ومخالفتها مما يؤدي إلى اتخاذ إجراءات تأديبية أو تصحيحية بحقهم (مثل الفصل‬

‫من الخدمة) ويمكن أن يخضعوا لتحقيقات قانونية‪.‬‬

‫يجب ضمان معاملة صحيحة وعادلة للموظفين الذين يشتبه في انتهاكهم لألوامر األمنية (مثل اإلجراءات التأديبية)‪ .‬يجب‬

‫إبالغ إدارة املوارد البشرية والتعامل مع انتهاكات السياسة ملعالجة انتهاكات السياسة‪.‬‬

‫االستثناءات‬

‫يجب أن ينظر أمن املعلومات في االستثناءات من هذه السياسة على أساس فردي‪ .‬ويجب أن يشفع كل طلب استثناء من‬

‫االمتثال لهذه السياسة باملبررات املنطقية التي دعت لتقديمه على أن يوافق ضابط أمن املعلومات على هذا االستثناء وتعتمده‬

‫عمادة االتصاالت وتقنية املعلومات‪ .‬ويجب أن يشمل كل طلب استثناء املبررات واملزايا التي تنسب إليه‪.‬‬

‫تبلغ فترة االستثناء أربعة أشهر كحد أقص ى‪ .‬ويجوز تمديد االستثناء ملدة أقصاها ثالث فترات متتالية وذلك بعد إعادة‬

‫تقييمه واعتماده‪ .‬ولن يجدد أي استثناء ألكثر من ثالث فترات متتالية‪.‬‬

‫‪Page 7 of 15‬‬
 ‫سياسة أدارة املخاطر‬
‫‪Risk Management Policy‬‬
‫األدوارواملسؤوليات (مصفوفة املهام ‪)RACI‬‬

‫يوضح الجدول ‪ 2‬مصفوفة املهام‪ )RACI( 1‬التي تحدد من هو املساءل أو املسؤول أو الذي يتم استشارته أو إبالغه بكل‬

‫مهمة تحتاج إلى القيام بها‪ .‬هناك بعض األدوار املشاركة في هذه السياسة على التوالي‪ :‬اإلدارة‪ ،‬عمادة االتصاالت وتقنية املعلومات‪،‬‬

‫موظف أمن املعلومات )‪ (ISO‬واملالك‪.‬‬

‫األدوار‬
‫املعلومات‬

‫املعلومات‬
‫ضابط أم‬

‫اإلدارة‬
‫املالك‬

‫تقنية‬

‫املسؤوليات‬

‫إنفاذ سي ييياسي ييات أمن املعلومات داخل بيئة جامعة اإلمام عبد الرحمن بن فيصي ييل لحماية‬
‫‪C,I‬‬ ‫‪C‬‬ ‫‪C‬‬ ‫‪R,A‬‬
‫األصول الهامة‪.‬‬
‫‪C,I‬‬ ‫‪C‬‬ ‫‪C‬‬ ‫‪R,A‬‬ ‫مراجعة واعتماد تقارير تقييم املخاطر وخطة معالجة املخاطر وتقارير املراجعة‪.‬‬
‫‪C,I‬‬ ‫‪C‬‬ ‫‪C‬‬ ‫‪R,A‬‬ ‫مراجعة واعتماد معايير قبول املخاطر (املستوى املقبول للمخاطر) واملخاطر املتبقية‪.‬‬
‫إجراء وإدارة أنشطة إدارة املخاطر )على سبيل املثال‪ ،‬تحديد التهديدات ونقاط الضعف‬
‫‪C‬‬ ‫‪R,A‬‬ ‫‪R‬‬ ‫‪I‬‬
‫وتقييم ‪.) BIA‬‬
‫‪C‬‬ ‫‪R,A‬‬ ‫‪R‬‬ ‫‪I‬‬ ‫مراجعة والحفاظ على إجراءات إدارة املخاطر ومنهجيتها على أساس سنوي‪.‬‬
‫‪C‬‬ ‫‪R,A‬‬ ‫‪R‬‬ ‫‪I‬‬ ‫وضع خطة سنوية للتدقيق الداخلي ملراقبة تنفيذ إجراءات إدارة املخاطر‪.‬‬
‫إجراء تقييمات دورية للمخاطر تحدد نقاط الضعف األمنية الحالية واملستقبلية‪،‬‬
‫‪C‬‬ ‫‪R,A‬‬ ‫‪R‬‬ ‫‪I‬‬ ‫وتحديد مستوى املخاطر وتحديد أفضل الطرق لتقليل املخاطر إلى مستوى مقبول‬
‫(خطة معالجة املخاطر)‪.‬‬
‫‪I‬‬ ‫‪C‬‬ ‫‪R,A‬‬ ‫تطبيق الضوابط املناسبة لحماية سرية وسالمة وصحة املعلومات الحساسة‪.‬‬
‫‪I‬‬ ‫‪C‬‬ ‫‪R,A‬‬ ‫تطبيق الضوابط املناسبة لحماية النظم ‪.‬‬
‫‪R,A‬‬ ‫‪C‬‬ ‫‪C‬‬ ‫‪I‬‬ ‫تصنيف األصول بناء على سياسة وإجراءات إدارة األصول‪.‬‬
‫‪R,A‬‬ ‫‪C‬‬ ‫‪C‬‬ ‫‪I‬‬ ‫تحديد قيمة لألصول‪.‬‬
‫الجدول ‪ :2‬األدوار واملسؤوليات املخصصة بناء على مصفوفة ‪RACI‬‬

‫‪1‬‬
‫تصف مصفوفة املهام (‪ )RACI‬الخاصة بتحديد املسؤوليات واألدوار املختلفة التي يشارك بها أعضاء الفريق في إنجاز مهام العمل‪ .‬وهي مفيدة بشكل خاص في توضيح األدوار‬

‫واملسؤوليات عند تنفيذ عمليات تتعدد فيها الوظائف أو اإلدارات‪ .‬يرمز الحرف (‪ )R‬إلى املوظف الذي ينفذ مهمة من املهام‪ ،‬أما الحرف (ِ‪ )A‬فيرمز للشخص املسؤول (أو جهة االعتماد)‬

‫حيث يوقع هذا الشخص أو يعتمد املهمة املناطة إلى املوظف (ٌ‪ )R‬أما الحرف (‪ )C‬فيرمز إلى املستشار الذي يقدم رأيا حول ما هو مراد تنفيذه‪ ،‬ويرمز الحرف (‪ )I‬إلى الشخص الذي يكون‬

‫على علم ودراية باملهمة وهو الذي تصله أحدث املعلومات عن سير املهمة‪.‬‬

‫‪Page 8 of 15‬‬
 ‫سياسة أدارة املخاطر‬
‫‪Risk Management Policy‬‬
‫الوثائق ذات الصلة‬

‫فيما يلي جميع السياسات واإلجراءات ذات الصلة لهذه السياسة‪:‬‬

‫‪ ‬سياسة أمن املعلومات‬

‫‪ ‬سياسة إدارة األصول‬
‫‪ ‬سياسة التحكم في الوصول‬
‫‪ ‬سياسة عالقات املوردين‬
‫‪ ‬سياسة االمتثال‬
‫‪ ‬إجراءات إدارة املخاطر‬
‫‪ ‬إجراءات إدارة األصول‬

‫‪ ‬منهجية إدارة املخاطر‬

‫امللكية‬

‫هذه الوثيقة مملوكة لعمادة االتصاالت وتقنية املعلومات بجامعة اإلمام عبد الرحمن بن فيصل وهي التي تحافظ عليها‪.‬‬

‫‪Page 9 of 15‬‬
 ‫سياسة أدارة املخاطر‬
‫‪Risk Management Policy‬‬
‫بيانات السياسية‬

‫تقدم األجزاء الفرعية التالية بيانات السياسة في سبع جوانب رئيسة هي‪:‬‬

‫‪ ‬االلتزام بإدارة املخاطر‬

‫‪ ‬متطلبات إدارة املخاطر‬

‫‪ ‬منهجية إدارة املخاطر‬

‫‪ ‬سجل املخاطر‬

‫‪ ‬تقييم املخاطر‬

‫‪ ‬معالجة املخاطر وقبولها‬

‫‪ ‬إدارة املخاطر‬

‫االلتزام بإدارة املخاطر‬

‫ّ‬
‫‪ .1‬تتأكد اإلدارة من تحديد املخاطر وإدارتها بطريقة فعالة وكفؤة وفي الوقت املناسب مع مراعاة تأثيرها على أعمال جامعة‬

‫اإلمام عبد الرحمن بن فيصل‪.‬‬

‫‪ .2‬يجب تقييم املخاطر وإدارتها باعتبارها جزءا من جميع أنشطة جامعة اإلمام عبد الرحمن بن فيصل ذات الصلة (مثل‬

‫وظائف األعمال‪ ،‬والعمليات اليومية‪ ،‬واقتناء النظم‪ ،‬وتطويرها وتنفيذها‪ ،‬وتشغيل النظم وغيرها)‪ ،‬من خالل ضمان‬

‫التنفيذ الفعال لسياسات وإجراءات أمن املعلومات الخاصة بي جامعة اإلمام عبد الرحمن بن فيصل‪.‬‬

‫]‪[ISO/IEC 27001: Clause 6.1.2 & 8.2‬‬

‫متطلبات إدارة املخاطر‬

‫‪ .1‬يجب على مسؤول أمن املعلومات تحديد وتنفيذ إدارة املخاطر لضمان وجود حماية ذات تكلفة معقولة لجميع أنظمة‬

‫جامعة اإلمام عبد الرحمن بن فيصل‪.‬‬

‫‪ .2‬تقوم إدارة املخاطر بتقييم التأثير املحتمل لألعمال‪ ،‬وتقييم التهديدات ونقاط الضعف واختيار الضوابط املناسبة لتلبية‬

‫متطلبات أمن املعلومات الخاصة بالعمل بطريقة ذات تكلفة معقولة‪.‬‬

‫‪Page 10 of 15‬‬
 ‫سياسة أدارة املخاطر‬
‫‪Risk Management Policy‬‬
‫‪ .3‬يجب إكمال عملية إدارة املخاطر بطريقة منسقة تشمل جميع أصحاب املصلحة بما في ذلك أصحاب األعمال ومالكي‬

‫النظم واملحللين األمنيين وغيرهم من خبراء املوضوعات‪.‬‬

‫ّ‬
‫‪ .4‬تنفيذ إدارة املخاطر بطريقة مستقلة بحيث تتولى أمرها منظمات قائمة بذاتها ومفصولة عن تلك املسؤولة عن تشغيل‬

‫أنظمة جامعة اإلمام عبد الرحمن بن فيصل‪.‬‬

‫‪ .5‬يجب إجراء عمليات تقييم مستقلة بواسطة موظفين مستقلين أو مقاولين أو بائعين بغرض تطبيق معايير تقييم دقيقة‬

‫على األصول حيثما اقتض ى األمر (مثل اإلدارة املستقلة للمخاطر‪ ،‬ومراجعة الرموز بصورة مستقلة‪ ،‬واعتماد االختبار‬

‫األمني املستقل‪ ،‬واختبار االختراق بصورة مستقلة ‪ ،‬ومسوحات الهشاشة)‪.‬‬

‫]‪[ISO/IEC 27001: Clause 6.1.2 & 8.2‬‬

‫منهجية إدارة املخاطر‬

‫‪ .1‬يجب على ضابط أمن املعلومات إعداد منهجية إدارة املخاطر واإلشراف عليها وعلى سياساتها وإجراءاتها لحماية أنظمة‬

‫جامعة اإلمام عبد الرحمن بن فيصل بشكل مستمر‪ .‬والبد أن تستند منهجية إدارة املخاطر وسياساتها وإجراءاتها إلى‬

‫معايير وإرشادات مقبولة دوليا (مثل ‪ ISO / IEC 27001: 2013‬و‪)ISO / IEC 27005: 2011.‬‬

‫‪ .2‬يجب على إدارة جامعة اإلمام عبد الرحمن بن فيصل القيام بما يلي‪:‬‬

‫تحديد نطاق تقييم املخاطر التي ّ‬

‫تتعرض لها األصول ‪.‬‬ ‫‪.i‬‬
‫ّ‬
‫التأكد من وجود تدابير مناسبة إلدارة املخاطر واملبادرات االستراتيجية‪ ،‬ومواءمتها مع أهداف الجامعة‪.‬‬ ‫‪.ii‬‬

‫دعم تدابير إدارة املخاطر واستراتيجيتها بهيكل تنظيمي مناسب؛ والتأكد من أن املسؤوليات املرتبطة بإدارة‬ ‫‪.iii‬‬
‫ُ‬
‫املخاطر محددة بوضوح وتبلغ إلى جميع املستويات‪.‬‬
‫ّ‬ ‫ّ‬
‫تأكد من ّ‬
‫أن املخاطر يبلغ عنها من خالل هيكل تقارير واضح وقوي‪.‬‬ ‫ال‬ ‫‪.iv‬‬

‫دمج أنشطة إدارة املخاطر الجارية مع أنشطة إدارة املخاطر األخرى في أعمال جامعة اإلمام عبد الرحمن بن‬ ‫‪.v‬‬

‫فيصل‪.‬‬

‫‪Page 11 of 15‬‬
 ‫سياسة أدارة املخاطر‬
‫‪Risk Management Policy‬‬
‫‪ .3‬تشمل منهجية إدارة املخاطر الجوانب التالية‪:‬‬

‫تحديد وتصنيف األصول‬ ‫‪.i‬‬

‫تحديد قيمة األصول‪.‬‬ ‫‪.ii‬‬

‫تحديد وتقييم التهديدات العملية على البنية التحتية لجامعة اإلمام عبد الرحمن بن فيصل وبيئتها‪.‬‬ ‫‪.iii‬‬

‫تحديد وتقييم مدى تعرض األصول للتهديدات املحددة‪.‬‬ ‫‪.iv‬‬

‫تحديد الخطر (أي العواقب املتوقعة الناجمة عن أنواع محددة من الهجمات على أصول محددة)‪.‬‬ ‫‪.v‬‬

‫تحديد طرق للحد من هذه املخاطر ومعالجتها‪.‬‬ ‫‪.vi‬‬

‫وضع أولويات تدابير الحد من املخاطر بناء على خطة استراتيجية‪.‬‬ ‫‪.vii‬‬

‫]‪[ISO/IEC 27001: Clause 6.1.2 & 8.2‬‬

‫سجل املخاطر‬

‫‪ .1‬يقوم ضابط أمن املعلومات بالتنسيق مع موظفي عمادة االتصاالت وتقنية املعلومات بإنشاء سجل للمخاطر واالحتفاظ‬

‫به لتسجيل كل خطر تم تحديده في إطار عملية تقييم املخاطر‪ .‬قد يتضمن هذا السجل‪ ،‬على سبيل املثال ال الحصر ما‬

‫يلي‪:‬‬

‫وصف للمخاطر (أسبابها وآثارها بالتفصيل)‪.‬‬ ‫‪.i‬‬

‫تقييم كامل للمخاطر‪.‬‬ ‫‪.ii‬‬

‫تصنيف كامل للمخاطر‪.‬‬ ‫‪.iii‬‬

‫الخطوط العريضة لعناصر التحكم املوجودة‪.‬‬ ‫‪.iv‬‬

‫تقييم لعواقب املخاطر‪.‬‬ ‫‪.v‬‬

‫تصنيف املخاطر املتبقية ‪.‬‬ ‫‪.vi‬‬

‫توصية حول كيفية إدارة املخاطر بشكل أكثر فاعلية‪.‬‬ ‫‪.vii‬‬

‫‪Page 12 of 15‬‬
 ‫سياسة أدارة املخاطر‬
‫‪Risk Management Policy‬‬
‫قائمة باإلجراءات العالجية مدرجة خطة بهذا األمر (تذكر فيها اإلجراءات والقائمين على أمر تنفيذها‪ ،‬والقيد‬ ‫‪.viii‬‬
‫الزمني للتنفيذ)‪.‬‬

‫تقرير عن التقدم املحرز في إدارة املخاطر‪.‬‬ ‫‪.ix‬‬

‫]‪[ISO/IEC 27001: Clause 6.1.2 & 8.2‬‬

‫تقييم املخاطر‬

‫‪ .1‬يجب إجراء تقييم للمخاطر بالنسبة لألنظمة الجديدة وعمليات االستحواذ والعقود واملشاريع الجديدة والعقود الحالية‬

‫وتغييرات العقود لضمان تحديد أي مخاطر أو فرص الحقة وتحليلها واإلبالغ عنها إلى املستوى اإلداري املناسب وفقا‬

‫للهيكل التنظيمي لوحدة املراجعة الداخلية ‪.‬‬

‫‪ .2‬يجب أن يعالج تقييم املخاطر املحتملة على الفوائد التجارية املتوقعة للوحدة واالمتثال للمتطلبات القانونية ذات الصلة‪.‬‬

‫‪ .3‬تقييم املخاطر التي تهدد جميع أنظمة جامعة اإلمام عبد الرحمن بن فيصل يجب أن يأخذ في االعتبار الجوانب التالية‪:‬‬

‫فهم التقييم التصنيفي األمني لألنظمة‪.‬‬ ‫‪.i‬‬

‫تحديد نقاط الضعف ذات الصلة املوجودة داخل النظم ومرافق معالجة املعلومات‪.‬‬ ‫‪.ii‬‬

‫تحديد التهديدات املاثلة أمام معلومات جامعة اإلمام عبد الرحمن بن فيصل وأنظمتها ومرافق معالجة‬ ‫‪.iii‬‬

‫املعلومات الخاصة بها‪.‬‬

‫تحديد الضوابط األمنية املطلوبة لألنظمة (بناء على نوع النظام وطريقة تصنيفه أمنيا)‪ .‬تؤخذ هذه الضوابط‬ ‫‪.iv‬‬

‫من سياسات أمن املعلومات الخاصة بجامعة اإلمام عبد الرحمن بن فيصل ومن معايير النظام املحددة وغيرها‬

‫من أفضل املمارسات ذات الصلة‪.‬‬

‫تقييم حالة عناصر التحكم هذه من خالل املناقشات مع أصحاب املصلحة املعنيين أو إجراء تقنيات اختبار‬ ‫‪.v‬‬

‫األمان املناسبة‪.‬‬

‫]‪[ISO/IEC 27001: Clause 6.1.2 & 8.2‬‬

‫‪Page 13 of 15‬‬
 ‫سياسة أدارة املخاطر‬
‫‪Risk Management Policy‬‬
‫معالجة املخاطروقبولها‬

‫‪ .1‬تعتبر معالجة املخاطر عملية مستمرة تقلل من املخاطر من خالل تنفيذ التدابير األمنية الفعالة من حيث التكلفة‪ .‬يجب‬

‫أن تأخذ عملية معالجة املخاطر في االعتبار ما يلي‪:‬‬

‫اختيار الضوابط املناسبة التي تقلل من التعرض للخطر‪.‬‬ ‫‪.i‬‬

‫تعيين ترتيب لألولويات لتنفيذ التدابير املضادة املناسبة‪.‬‬ ‫‪.ii‬‬

‫إسناد املسؤولية عن تنفيذ التدابير املضادة املناسبة‪.‬‬ ‫‪.iii‬‬

‫تنفيذ وتوثيق التدابير املضادة املناسبة‪.‬‬ ‫‪.iv‬‬

‫‪ .2‬يجب على اإلدارة تحديد معايير قبول املخاطر‪ ،‬التي يقررونها‪ ،‬واملستوى املقبول للمخاطرة‪ ،‬واملخاطر الحالية واملخاطر‬

‫املتبقية‪ ،‬وتقر بوجود بعض املخاطر حتى بعد تطبيق الضوابط‪.‬‬

‫‪ .3‬إذا كان مستوى املخاطر املتبقية غير مقبول‪ ،‬فيجب تطبيق ضوابط إضافية لخفضها ملستوى مقبول‪.‬‬

‫‪ .4‬يجب مراعاة ما يلي بعد تنفيذ إجراء معالجة املخاطر‪:‬‬

‫مراجعة أي مالحظات تم تحديدها نتيجة لعالج املخاطر من حيث فعاليتها وتأثيرها على جامعة اإلمام عبد‬ ‫‪.i‬‬

‫الرحمن بن فيصل‪.‬‬

‫تحديد األفراد أو العمليات أو اإلجراءات أو املبادرات العالجية املناسبة املتعلقة بالتقنية‪ ،‬وتبليغها للجهة‬ ‫‪.ii‬‬

‫اإلدارية ذات الصلة في الجامعة ‪ ،‬واعتمادها وتنفيذها على نحو فعال‪.‬‬

‫]‪[ISO/IEC 27001: Clause 6.1.3 & 8.3‬‬

‫االهتمام بإدارة املخاطرومراجعتها‬

‫‪ .1‬يجب وضع خطة مراجعة داخلية سنوية لرصد تنفيذ إجراءات إدارة املخاطر‪ .‬وفي إطار برنامجها السنوي للمراجعة تقوم‬

‫وحدة املراجعة الداخلية بتقييم ما يلي‪:‬‬

‫مدى تنفيذ وفعالية الضوابط التي أوص ى بها تقييم وعالج املخاطر‪.‬‬ ‫‪.i‬‬

‫‪Page 14 of 15‬‬
 ‫سياسة أدارة املخاطر‬
‫‪Risk Management Policy‬‬
‫وجود خطة لعالج املخاطر في كل وظيفة تخضع للمراجعة‪.‬‬ ‫‪.ii‬‬

‫دمج خطة معالجة املخاطر بشكل مناسب مع وثائق التخطيط األخرى‪ ،‬وهي محدثة وتراجع بشكل منتظم‪.‬‬ ‫‪.iii‬‬

‫‪ .2‬يجب أن ترفع املراجعة الداخلية تقارير عن قضايا إدارة املخاطر إلى اإلدارة واألطراف املعنية األخرى وذلك في إطار‬

‫التقارير العادية التي تعد بعد أي عملية مراجعة‪.‬‬

‫‪ .3‬يقوم موظف أمن املعلومات بالتعاون مع موظفي عمادة االتصاالت وتقنية املعلومات ‪ -‬من خالل مجموعة من اآلليات ‪-‬‬

‫بمراجعة إجراءات ومنهجية إدارة املخاطر سنويا والحفاظ عليها‪ .‬وقد تشمل اآلليات‪ ،‬على سبيل املثال ال الحصر ما يلي‪:‬‬

‫مالحظات املوظفين‪.‬‬ ‫‪.i‬‬

‫املسوحات املستهدفة‪.‬‬ ‫‪.ii‬‬

‫املقابالت مع املديرين بخصوص التخطيط إلدارة املخاطر‪.‬‬ ‫‪.iii‬‬

‫تقييم طبيعة االستفسارات وعدد مرات تكرارها‪.‬‬ ‫‪.iv‬‬

‫‪ .4‬يجب إعادة تقييم وتحديث جميع املخاطر على النحو التالي ‪:‬‬

‫في كل سنة على األقل بعد آخر تقييم للمخاطر‪.‬‬ ‫‪.i‬‬

‫بعد الحصول على نتائج مهمة إثر املراجعة‪.‬‬ ‫‪.ii‬‬

‫كلما خضع األصل لتحسينات أو تعديالت كبيرة‪.‬‬ ‫‪.iii‬‬

‫بعد وقوع حادث ينتهك سياسات أمن املعلومات الخاصة بجامعة اإلمام عبد الرحمن بن فيصل ويعرض سالمة‬ ‫‪.iv‬‬

‫أصولها أو توفر هذه األصول أو سريتها للخطر‪.‬‬

‫]‪[ISO/IEC 27001 Clause 6.1.3 & 8.3‬‬

‫‪ --------------------------------------------‬نهاية الوثيقة‪------------------------------------------‬‬

‫‪Page 15 of 15‬‬