ترتفع توقعات المجتمع الرقمي في الوقت الراهن بخصوص إتاحة تجربة عملاء خالية من العيوب واستمرار توفر الخدمات، والحماية الفعالة للبيانات الحساسة. وأصبحت أصول المعلومات والخدمات المتاحة على الإنترنت حاليا تحظى بأهمية استراتيجية لدى جميع المؤسسات العامة والخاصة، ولدى المجتمع على نطاق أوسع. كما تؤدي هذه الخدمات دورا هامًا في إنشاء اقتصاد رقمي نابض بالحياة. وأصبحت تلك الخدمات ذات أهمية نظامية للاقتصاد والأمن القومي على نطاق أوسع. وكل ذلك يؤكد الحاجة إلى حماية البيانات والمعاملات الحساسة، بما يضمن الثقة في القطاع المالي السعودي بشكل عام.

تزداد المخاطر عندما يتعلق الأمر بسرية أصول المعلومات وسلامتها وتوافرها، وعند تطبيق خدمات جديدة عبر الإنترنت وتطورات جديدة (مثل التقنية المالية، وسلسلة الكتل)؛ على الرغم من تحسين القدرة على مواجهة التهديدات السيبرانية. ولا يتزايد الاعتماد على هذه الخدمات فحسب، بل إن مشهد التهديدات سريع التغير. ويدرك القطاع المالي الوتيرة الذي تتطور بها تلك التهديدات والمخاطر السيبرانية، فضلاً عن تغير مشهد التقنية والأعمال.

من هنا وضع البنك المركزي الدليل التنظيمي لأمن المعلومات ("الدليل التنظيمي") لتمكين المؤسسات المالية الخاضعة لرقابة البنك المركزي ("المنظمات الأعضاء") من تحديد المخاطر المتعلقة بالأمن السيبراني ومعالجتها بشكل فعال. وللحفاظ على حماية أصول المعلومات والخدمات المتاحة على الإنترنت، يجب على المؤسسات المالية اعتماد الدليل التنظيمي.

يتمثل الهدف من الدليل التنظيمي في الآتي:

1. إنشاء نهج مشترك لمعالجة الأمن السيبراني داخل المؤسسات المالية.
2. تحقيق مستوى مناسب من النضج لضوابط الأمن السيبراني داخل المؤسسات المالية.
3. ضمان إدارة مخاطر الأمن السيبراني على نحو صحيح في جميع المؤسسات المالية.

وسوف يُستخدم الدليل التنظيمي لتقييم مستوى النضج بشكل دوري وتقييم فعالية ضوابط الأمن السيبراني في المؤسسات المالية، ومقارنتها مع المؤسسات المالية الأخرى.

ويعتمد الدليل التنظيمي على متطلبات البنك المركزي ومعايير الأمن السيبراني الصناعية، مثل (PCI, BASEL, ISO, ISF, NIST).

ويحل الدليل التنظيمي الماثل محل كافة التعاميم السابقة الصادرة عن البنك المركزي فيما يتعلق بالأمن السيبراني. يرجى الرجوع إلى "الملحق أ - نظرة عامة على تعميمات البنك المركزي الصادرة سابقًا" للحصول على مزيد من التفاصيل.

يعرَّف الأمن السيبراني على أنه مجموعة من الأدوات، والسياسات، والمفاهيم الأمنية، وتدابير الوقاية الأمنية، والمبادئ التوجيهية، وأساليب إدارة المخاطر، والإجراءات، والتدريبات، وأفضل الممارسات والضمانات، والتقنيات التي يمكن استخدامها لحماية أصول معلومات المؤسسات الماليةضد التهديدات الداخلية والخارجية.

تشمل الأهداف الأمنية العامة ما يلي:

• السرية - لا يمكن الوصول إلى أصول المعلومات إلا للمصرح لهم بالوصول إليها (أي أنها محمية من الإفصاح غير المصرح به أو التسريب المقصود (غير المقصود) للبيانات الحساسة).
• النزاهة - أصول المعلومات دقيقة وكاملة ومعالجة بنحو صحيح (أي محمية من التعديل غير المصرح به، وقد تشمل صحة المعلومات وعدم القدرة على إنكارها).
• التوفر - تتميز أصول المعلومات بأنها مرنة ويمكن الوصول إليها عند الحاجة (أي محمية من الخلل غير المصرح به).

يحدد الدليل التنظيمي المبادئ والأهداف لبدء وتنفيذ وصون ومراقبة وتحسين ضوابط الأمن السيبراني في المؤسسات المالية.

يوفر الدليل التنظيمي ضوابط الأمن السيبراني التي تنطبق على أصول المعلومات الخاصة بالمؤسسات المالية، بما في ذلك:

• المعلومات الإلكترونية.
• المعلومات المادية (نسخ ورقية).
• التطبيقات والبرمجيات والخدمات الإلكترونية وقواعد البيانات.
• أجهزة الكمبيوتر والأجهزة الإلكترونية (مثل أجهزة الصراف الآلي).
• أجهزة تخزين المعلومات (على سبيل المثال، القرص الصلب، وجهاز تخزين USB).
• المباني والمعدات وشبكات الاتصالات (البنية التحتية التقنية).

يوفر الدليل التنظيمي توجيهات بشأن متطلبات الأمن السيبراني للمؤسسات المالية وفروعها وموظفيها وأطرافها الخارجية وعملائها.

للإطلاع على المتطلبات المتعلقة باستمرارية الأعمال، يرجى الرجوع إلى الحد الأدنى لمتطلبات البنك المركزي المعنية باستمرارية الأعمال.

ويرتبط الدليل التنظيمي بعلاقة متشابكة مع سياسات الشركات الأخرى في المجالات ذات الصلة، مثل الأمن المادي وإدارة الاحتيال. ولا يتناول الدليل التنظيمي الماثل متطلبات الأمن غير السيبراني لتلك المجالات.

ينطبق الدليل التنظيمي على جميع المؤسسات المالية الخاضعة لرقابة البنك المركزي، والتي تشمل ما يلي:

• جميع البنوك العاملة في المملكة العربية السعودية؛
• جميع شركات التأمين و/أو إعادة التأمين العاملة في المملكة العربية السعودية؛
• جميع شركات التمويل العاملة في المملكة العربية السعودية؛
• جميع شركات المعلومات الائتمانية العاملة في المملكة العربية السعودية؛
• البنية التحتية للسوق المالية

تنطبق جميع المجالات على القطاع المصرفي. ومع ذلك، تنطبق الاستثناءات التالية على المؤسسات المالية الأخرى:

• المجال الفرعي (2.1.3) تكون المواءمة مع استراتيجية الأمن السيبراني للقطاع المصرفي إلزامية عند الاقتضاء.
• استبعاد المجال الفرعي (3.2.3). ومع ذلك، إذا قامت المؤسسة بتخزين بيانات حامل البطاقة أو معالجتها أو نقلها أو التعامل مع خدمات السويفت، فيجب تطبيق معيار صناعة بطاقات الدفع (PCI) و/أو إطار عمل ضوابط أمان عميل السويفت.
• استبعاد المجال الفرعي (12.3.3).
• استبعاد المجال الفرعي (13.3.3). ومع ذلك، إذا كانت المؤسسة توفر خدمات عبر الإنترنت للعملاء، فيجب تنفيذ إمكانية المصادقة متعددة العوامل.

اعتمد البنك المركزي الدليل التنظيمي المذكور. البنك المركزي السعودي هو الجهة المالكة لهذا الدليل والجهة المسؤولة كذلك عن تحديثه بصفة دورية.

وتتحمل المؤسسات المالية مسؤولية الالتزام بالدليل التنظيمي وتنفيذه.

يعتبر البنك المركزي، بصفته مالك الدليل التنظيمي، المسؤول وحده عن تقديم تفسيرات للمبادئ والأهداف واعتبارات التحكم، إذا لزم الأمر.

يستهدف الدليل التنظيمي الماثل الإدارة العليا والتنفيذية، ومالكي الأعمال ومالكي أصول المعلومات، ورؤساء أمن المعلومات، وكذلك المسؤولين عن تحديد وتنفيذ ومراجعة ضوابط الأمن السيبراني داخل المؤسسات المالية والمشاركين فيها.

وسوف يتولى البنك المركزي مراجعة الدليل التنظيمي وصونه.

سوف يراجع البنك المركزي الدليل التنظيمي بشكل دوري لتحديد مدى فعاليته، بما في ذلك مدى فعالية الدليل التنظيمي في معالجة التهديدات والمخاطر الناشئة في مجال الأمن السيبراني. وإذا كان ذلك ممكنًا، سيتولى البنك المركزي تحديث الدليل بناءً على نتائج المراجعة.

وإذا رأت إحدى المؤسسات المالية ضرورة تحديث الدليل التنظيمي، فعلى المؤسسة المالية تقديم التحديث المطلوب رسميًا إلى البنك المركزي. وسوف يراجع البنك المركزي التحديث المطلوب، وعند اعتماده، سوف يجري تعديل الدليل التنظيمي.

وسوف تظل المؤسسة المالية مسؤولة عن الالتزام بالدليل التنظيمي ريثما يتم التحديث المطلوب.

يرجى الرجوع إلى "الملحق ب - كيفية طلب تحديث الدليل التنظيمي" للتعرف على إجراء طلب تحديث الدليل التنظيمي.

سيتم تنفيذ مراقبة الإصدار للحفاظ على الدليل. وكلما أُجريت أي تغييرات، سيتم سحب الإصدار السابق وسيتم نشر الإصدار الجديد وتبليغه إلى جميع  المؤسسات المالية. ولتسهيل الأمر على المؤسسات المالية، يجب الإشارة بوضوح إلى التغييرات في الدليل التنظيمي.

يتم تقسيم الدليل على النحو التالي. يتناول الفصل الثاني بالتفصيل هيكل الدليل التنظيمي، ويسرد تعليمات حول كيفية تطبيق الدليل التنظيمي. ويعرض الفصل الثالث الدليل التنظيمي الفعلي، بما في ذلك مجالات الأمن السيبراني والمجالات الفرعية والمبادئ والأهداف واعتبارات التحكم.