Skip to main content
رجوع طباعة مخصصة Text Only Rich Text طباعة / حفظ بصيغةPDF
تحميل الوثيقة الأصلية

  • 2 هيكل الدليل التنظيمي ومميزاته

    • 1.2 الهيكل

      يتمحور الدليل حول أربعة مجالات رئيسية، وهي:

      ويتم تحديد العديد من المجالات الفرعية لكل مجال رئيسي. ويركز المجال الفرعي على موضوع محدد للأمن السيبراني. وينص الدليل التنظيمي على مبدأ وهدف واعتبارات تحكم لكل نطاق فرعي.

      • يلخص المبدأ المجموعة الرئيسية من ضوابط الأمن السيبراني المطلوبة المتعلقة بالمجال الفرعي.
      • يصف الهدف الغرض من المبدأ وما يُتوقع أن تحققه مجموعة ضوابط الأمن السيبراني المطلوبة.
      • تعكس اعتبارات التحكم ضوابط الأمن السيبراني المقررة والتي يجب أخذها في الاعتبار.

      تم ترقيم اعتبارات التحكم ترقيمًا فريدًا في الدليل التنظيمي بأكمله. ومتى اقتضى الأمر، يمكن أن يتكون اعتبار التحكم ممّا يصل إلى 4 مستويات.

      ويتم ترقيم اعتبارات التحكم وفق نظام الترقيم التالي:


      الشكل 1 - نظام ترقيم اعتبارات التحكم 
       
      يوضح الشكل الوارد أدناه الهيكل العام للدليل التنظيمي ويشير إلى مجالات الأمن السيبراني ومجالاته الفرعية، بما في ذلك الإشارة إلى القسم الذي تنطبق عليه من الدليل التنظيمي.
       

      الشكل 2 – الدليل التنظيمي لأمن المعلومات

    • 2.2 الدليل التنظيمي القائم على المبادئ

      الدليل التنظيمي القائم على المبادئ، ويشار إليه أيضًا بالقائم على المخاطر. وهذا يعني أنه يحدد المبادئ والأهداف الرئيسية للأمن السيبراني التي يتعين على المؤسسة المالية دمجها وتحقيقها. وتسرد قائمة اعتبارات التحكم المقررة توجيهات إضافية ويجب على المؤسسة المالية أن تأخذها في الاعتبار عند تحقيق الأهداف. وعندما يتعذر تصميم أو تنفيذ أحد اعتبارات التحكم، يجب على المؤسسة المالية أن تنظر في تطبيق ضوابط بديلة، ومتابعة قبول المخاطر الداخلية وطلب إعفاء رسمي من البنك المركزي.

      برجاء الرجوع إلى الملحق "د" للحصول على تفاصيل إجراء - كيفية طلب الإعفاء من الدليل التنظيمي.

    • 3.2 التقييم الذاتي والمراجعة والتدقيق

      سوف يخضع تنفيذ الدليل التنظيمي في المؤسسة المالية لتقييم ذاتي دوري. وسوف تجرِي المؤسسة المالية التقييم الذاتي بناءً على استبيان. وسوف يراجع البنك المركزي التقييمات الذاتية ويدققها لتحديد مستوى الالتزام بالدليل التنظيمي ومستوى نضج الأمن السيبراني للمؤسسة المالية.

      يرجى الرجوع إلى "2.4 نموذج نضج الأمن السيبراني" للحصول على مزيد من التفاصيل حول نموذج نضج الأمن السيبراني.

    • 4.2 نموذج نضج الأمن السيبراني

      سوف يتم قياس مستوى نضج الأمن السيبراني بمساعدة نموذج نضج الأمن السيبراني المحدد مسبقًا. ويميز نموذج نضج الأمن السيبراني بين 6 مستويات نضج (0 و1 و2 و3 و4 و5)، والتي تم تلخيصها في الجدول أدناه. ومن أجل تحقيق المستويات 3 أو 4 أو 5، يجب على المؤسسة المالية أن تستوفي أولاً جميع معايير مستويات النضج السابقة.

       

      مستوى النضج

      التعريف والمعايير

      إيضاح

      0

      غير موجود

      • لا توجد وثائق.

      • لا يوجد وعي أو اهتمام ببعض ضوابط الأمن السيبراني.

      • ضوابط الأمن السيبراني ليست مطبقة. قد لا يكون هناك وعي بمجال الخطر المحدد أو لا توجد خطط حالية لتنفيذ ضوابط الأمن السيبراني هذه.

      1

      مخصصة

      • ضوابط الأمن السيبراني غير محددة أو محددة تحديدا جزئيًا.

      • يتم تنفيذ ضوابط الأمن السيبراني بطريقة غير متسقة.

      • ضوابط الأمن السيبراني غير محددة تحديدًا كاملا.

      • يختلف تصميم وتنفيذ ضابط الأمن السيبراني حسب القسم أو المالك.

      • قد يقتصر تصميم ضابط الأمن السيبراني على التخفيف الجزئي من المخاطر المحددة وقد يكون التنفيذ غير متسق.

      2

      متكررة، ولكن غير رسمية

      • يعتمد تنفيذ ضابط الأمن السيبراني على ممارسة غير رسمية وغير مكتوبة، وإن كانت موحدة.

         

      • توجد ضوابط متكررة للأمن السيبراني مطبقة. ومع ذلك، لم يتم تحديد أو اعتماد أهداف الرقابة وتصميمها بشكل رسمي.

      • هناك اعتبار محدود للمراجعة المُنظمة أو اختبار بعض الضوابط.

      3

      منظم وذو طابع رسمي

      • يتم تحديد ضوابط الأمن السيبراني واعتمادها وتنفيذها بطريقة منظمة ورسمية.

      • يمكن إثبات تنفيذ ضوابط الأمن السيبراني.

      • يتم وضع سياسات ومعايير وإجراءات الأمن السيبراني.

      • تتم مراقبة الامتثال لوثائق الأمن السيبراني، أي السياسات والمعايير والإجراءات، ويفضل استخدام أداة الحوكمة والمخاطر والامتثال.

      • يتم تحديد مؤشرات الأداء الرئيسية ومراقبتها والإبلاغ عنها لتقييم التنفيذ.

      4

      مُدار وقابل للقياس

      • يتم تقييم فعالية ضوابط الأمن السيبراني بشكل دوري وتحسينها عند الضرورة.

      • يتم توثيق هذا القياس الدوري والتقييمات وفرص التحسين.

      • يتم قياس فعالية ضوابط الأمن السيبراني وتقييمها بشكل دوري.

      • يتم استخدام مؤشرات المخاطر الرئيسية والإبلاغ عن الاتجاهات لتحديد مدى فعالية ضوابط الأمن السيبراني.

      • يتم استخدام نتائج القياس والتقييم لتحديد فرص تحسين ضوابط الأمن السيبراني.

      5

      متكيّف

      • تخضع ضوابط الأمن السيبراني لخطة التحسين المستمر.

      • يركز برنامج الأمن السيبراني المتبع في المؤسسة بأكملها على الامتثال المستمر وفعالية ضوابط الأمن السيبراني وتحسينها

      • يتم دمج ضوابط الأمن السيبراني مع إطار وممارسات إدارة المخاطر في المؤسسة.

      • يتم تقييم أداء ضوابط الأمن السيبراني باستخدام بيانات النظراء والقطاعات.

       

      الجدول 1 – نموذج نضج الأمن السيبراني

      يتمثل الهدف من الدليل التنظيمي في إنشاء نهج فعال لمعالجة الأمن السيبراني وإدارة مخاطر الأمن السيبراني داخل القطاع المالي. ولتحقيق مستوى مناسب من النضج في مجال الأمن السيبراني، يجب على المؤسسات المالية أن تصل على الأقل إلى مستوى النضج 3 أو إلى مستوى أعلى على النحو الموضح أدناه.

      • 1.4.2 مستوى النضج 3

        لتحقيق مستوى النضج 3، يجب على أي من المؤسسات المالية تحديد ضوابط الأمن السيبراني واعتمادها وتنفيذها. إضافة إلى ذلك، يجب على المؤسسة مراقبة الامتثال لوثائق الأمن السيبراني.

        ويجب أن تشير وثائق الأمن السيبراني بوضوح إلى "سبب" و"ماهية" و"كيفية" تنفيذ ضوابط الأمن السيبراني. وتتألف وثائق الأمن السيبراني من سياسات الأمن السيبراني ومعايير الأمن السيبراني وإجراءات الأمن السيبراني. 
         

         

        الشكل 3 – الهيكل الهرمي لوثائق الأمن السيبراني

        يجب على مجلس إدارة المؤسسة المالية التصديق على سياسة الأمن السيبراني وفرضها مع ذكر "سبب" أهمية الأمن السيبراني للمؤسسة المالية. ويجب أن تركز السياسة على أصول المعلومات التي يجب حمايتها و"ماهية" مبادئ الأمن السيبراني وأهدافه التي يجب تحديدها.

        ويجب تطوير معايير الأمن السيبراني استناداً إلى سياسة الأمن السيبراني. وتحدد هذه المعايير "ماهية" ضوابط الأمن السيبراني التي يجب تنفيذها، مثل معلمات الأمن والنظام، والفصل بين المهام، وقواعد كلمة المرور، ومراقبة الأحداث، وقواعد النسخ الاحتياطي والاسترداد. وتدعم هذه المعايير سياسة الأمن السيبراني وتعززها وتعتبر بمثابة مراجع أساسية للأمن السيبراني.

        تسرد إجراءات الأمن السيبراني بالتفصيل المهام والأنشطة التي يجب أن يؤديها موظفو المؤسسة المالية، أو أطرافها الخارجية، أو عملائها خطوة بخطوة. وتصف هذه الإجراءات "كيفية" تنفيذ ضوابط ومهام وأنشطة الأمن السيبراني في بيئة التشغيل ودعم حماية أصول المعلومات الخاصة بالمؤسسة المالية وفقًا لسياسة ومعايير الأمن السيبراني.

        يتم تعريف العملية في سياق الدليل التنظيمي الماثل على أنها مجموعة منظمة من الأنشطة المصممة لتحقيق الهدف المحدد. وقد تتضمن العملية سياسات ومعايير وإرشادات وإجراءات وأنشطة وتعليمات عمل، بالإضافة إلى أي من الأدوار والمسؤوليات والأدوات والضوابط الإدارية المطلوبة لتقديم المخرجات بشكل موثوق.

        وتجب مراقبة التقدم الفعلي في تنفيذ وأداء والامتثال لضوابط الأمن السيبراني وتقييمه بشكل دوري باستخدام مؤشرات الأداء الرئيسية.

      • 2.4.2 مستوى النضج 4

        متطلبات إضافية للبنوك بموجب التعميم رقم (67/29814) وتاريخ 1440/05/15 هـ (الموافق 2020/06/11 م).

        لتحقيق مستوى النضج 4، يجب على المؤسسة المالية قياس فعالية ضوابط الأمن السيبراني المنفذة وتقييمها بشكل دوري. من أجل قياس وتقييم مدى فعالية ضوابط الأمن السيبراني ، يجب تحديد مؤشرات المخاطر الرئيسية. يوضح مؤشر الخطر الرئيسي معيار قياس الفعالية، ويجب أن يحدد عتبات لتحديد ما إذا كانت النتيجة الفعلية للقياس أقل من المعيار المستهدف أو عنده أو أعلى منه. تُستخدم مؤشرات المخاطر الرئيسية للإبلاغ عن الاتجاهات وتحديد التحسينات المحتملة.

      • 3.4.2 مستوى النضج 5

        يركز مستوى النضج 5 على التحسين المستمر لضوابط الأمن السيبراني. ويتحقق التحسين المستمر من خلال التحليل المستمر لأهداف الأمن السيبراني وإنجازاته وتحديد التحسينات الهيكلية. ويجب دمج ضوابط الأمن السيبراني مع ممارسات إدارة المخاطر المؤسسية ودعمها بالمراقبة الآلية في الوقت الفعلي. ويقع على عاتق مالكي العمليات التجارية المسؤولية عن مراقبة الامتثال لضوابط الأمن السيبراني، وقياس فعالية ضوابط الأمن السيبراني ودمج ضوابط الأمن السيبراني ضمن الدليل التنظيمي إدارة مخاطر المؤسسة. إضافة إلى ذلك، يجب تقييم أداء ضوابط الأمن السيبراني باستخدام بيانات النظراء والقطاعات.