4.2 نموذج نضج حوكمة تقنية المعلومات

إطلاق تجريبي

يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:

كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.

ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.

مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.

4.2 نموذج نضج حوكمة تقنية المعلومات

الرقم: 43028139

التاريخ (م): 2021/11/4 | التاريخ (هـ): 1443/3/29

الحالة: نافذ

هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية

سيتم قياس مستوى نضج حوكمة تقنية المعلومات بمساعدة نموذج نضج محدد مسبقاً. ويميز نموذج نضج حوكمة تقنية المعلومات 6 مستويات للنضج (0 و1 و 2 و 3 و 4 و 5)، وهي ملخصة في الجدول أدناه. ومن أجل تحقيق المستويات 3 أو4 أو 5، يجب على المؤسسات المالية أولاً استيفاء جميع معايير مستويات النضج السابقة.

مستوى النضج	التعريف والمعايير	إيضاح
0 غير موجود	لا توجد وثائق. لا يوجد وعي أو اهتمام ببعض ضوابط تقنية المعلومات.	لا توجد ضوابط تقنية المعلومات مطبقة. لا يوجد وعي بمجال المخاطر المحدد أو خطط حالية لتنفيذ ضوابط تقنية المعلومات هذه.
1 مخصصة	ضوابط تقنية المعلومات غير محددة أو محددة جزئيا. يتم تنفيذ ضوابط تقنية المعلومات بطريقة غير متناسقة. لم يتم تحديد ضوابط تقنية المعلومات بشكل كامل.	يختلف تصميم وتنفيذ الرقابة على تقنية المعلومات باختلاف الإدارة أو المالك. قد لا يخفف تصميم ضوابط تقنية المعلومات من المخاطر المحددة إلا جزئياً، وقد يكون التنفيذ غير متسق.
2 متكررة، ولكن غير رسمية	يعتمد تنفيذ ضوابط التحكم في تقنية المعلومات على ممارسة غير رسمية وغير مكتوبة، وإن كانت موحدة.	توجد ضوابط لتقنية المعلومات قابلة للتكرار. ومع ذلك، لم يتم تحديد أو اعتماد أهداف الرقابة وتصميمها بشكل رسمي. هناك اعتبار محدود للمراجعة المنظمة أو اختبار التحكم.
3 منظم وذو طابع رسمي	ضوابط تقنية المعلومات محددة ومعتمدة ويتم تنفيذها بطريقة منظمة ورسمية. يمكن إثبات تنفيذ ضوابط تقنية المعلومات.	وضع سياسات ومعايير وإجراءات تقنية المعلومات. يتم مراقبة الامتثال لوثائق تقنية المعلومات، أي السياسات والمعايير والإجراءات، ويفضل باستخدام أداة الحوكمة والمخاطر والامتثال (GRC). يتم تحديد مؤشرات الأداء الرئيسية ورصدها والإبلاغ عنها لتقييم التنفيذ.
4 مُدار وقابل للقياس	يتم تقييم فعالية ضوابط تقنية المعلومات دوريًا وتحسينها عند الضرورة. يتم توثيق هذا القياس الدوري والتقييمات وفرص التحسين.	يتم قياس فعالية ضوابط تقنية المعلومات وتقييمها دوريًا. يتم استخدام مؤشرات المخاطر الرئيسية وتقارير الاتجاهات لتحديد مدى فعالية ضوابط تقنية المعلومات. يتم استخدام نتائج القياس والتقييم لتحديد فرص تحسين ضوابط تقنية المعلومات.
5 متكيّف	تخضع ضوابط تقنية المعلومات لخطة تحسين مستمر.	يركز برنامج حوكمة تقنية المعلومات على مستوى المؤسسة على الامتثال المستمر لضوابط تقنية المعلومات وفاعليتها وتحسينها. يتم دمج ضوابط تقنية المعلومات مع إطار عمل وممارسات إدارة المخاطر المؤسسية. يتم تقييم أداء ضوابط تقنية المعلومات باستخدام بيانات النظراء والقطاع.

الجدول 1 - نموذج نضج حوكمة تقنية المعلومات