Skip to main content
رجوع طباعة مخصصة Text Only Rich Text PDFطباعة / حفظ بصيغة
تحميل الوثيقة الأصلية

  • 4.2 نموذج نضج الأمن السيبراني

    سوف يتم قياس مستوى نضج الأمن السيبراني بمساعدة نموذج نضج الأمن السيبراني المحدد مسبقًا. ويميز نموذج نضج الأمن السيبراني بين 6 مستويات نضج (0 و1 و2 و3 و4 و5)، والتي تم تلخيصها في الجدول أدناه. ومن أجل تحقيق المستويات 3 أو 4 أو 5، يجب على المؤسسة المالية أن تستوفي أولاً جميع معايير مستويات النضج السابقة.

     

    مستوى النضج

    التعريف والمعايير

    إيضاح

    0

    غير موجود

    • لا توجد وثائق.

    • لا يوجد وعي أو اهتمام ببعض ضوابط الأمن السيبراني.

    • ضوابط الأمن السيبراني ليست مطبقة. قد لا يكون هناك وعي بمجال الخطر المحدد أو لا توجد خطط حالية لتنفيذ ضوابط الأمن السيبراني هذه.

    1

    مخصصة

    • ضوابط الأمن السيبراني غير محددة أو محددة تحديدا جزئيًا.

    • يتم تنفيذ ضوابط الأمن السيبراني بطريقة غير متسقة.

    • ضوابط الأمن السيبراني غير محددة تحديدًا كاملا.

    • يختلف تصميم وتنفيذ ضابط الأمن السيبراني حسب القسم أو المالك.

    • قد يقتصر تصميم ضابط الأمن السيبراني على التخفيف الجزئي من المخاطر المحددة وقد يكون التنفيذ غير متسق.

    2

    متكررة، ولكن غير رسمية

    • يعتمد تنفيذ ضابط الأمن السيبراني على ممارسة غير رسمية وغير مكتوبة، وإن كانت موحدة.

       

    • توجد ضوابط متكررة للأمن السيبراني مطبقة. ومع ذلك، لم يتم تحديد أو اعتماد أهداف الرقابة وتصميمها بشكل رسمي.

    • هناك اعتبار محدود للمراجعة المُنظمة أو اختبار بعض الضوابط.

    3

    منظم وذو طابع رسمي

    • يتم تحديد ضوابط الأمن السيبراني واعتمادها وتنفيذها بطريقة منظمة ورسمية.

    • يمكن إثبات تنفيذ ضوابط الأمن السيبراني.

    • يتم وضع سياسات ومعايير وإجراءات الأمن السيبراني.

    • تتم مراقبة الامتثال لوثائق الأمن السيبراني، أي السياسات والمعايير والإجراءات، ويفضل استخدام أداة الحوكمة والمخاطر والامتثال.

    • يتم تحديد مؤشرات الأداء الرئيسية ومراقبتها والإبلاغ عنها لتقييم التنفيذ.

    4

    مُدار وقابل للقياس

    • يتم تقييم فعالية ضوابط الأمن السيبراني بشكل دوري وتحسينها عند الضرورة.

    • يتم توثيق هذا القياس الدوري والتقييمات وفرص التحسين.

    • يتم قياس فعالية ضوابط الأمن السيبراني وتقييمها بشكل دوري.

    • يتم استخدام مؤشرات المخاطر الرئيسية والإبلاغ عن الاتجاهات لتحديد مدى فعالية ضوابط الأمن السيبراني.

    • يتم استخدام نتائج القياس والتقييم لتحديد فرص تحسين ضوابط الأمن السيبراني.

    5

    متكيّف

    • تخضع ضوابط الأمن السيبراني لخطة التحسين المستمر.

    • يركز برنامج الأمن السيبراني المتبع في المؤسسة بأكملها على الامتثال المستمر وفعالية ضوابط الأمن السيبراني وتحسينها

    • يتم دمج ضوابط الأمن السيبراني مع إطار وممارسات إدارة المخاطر في المؤسسة.

    • يتم تقييم أداء ضوابط الأمن السيبراني باستخدام بيانات النظراء والقطاعات.

     

    الجدول 1 – نموذج نضج الأمن السيبراني

    يتمثل الهدف من الدليل التنظيمي في إنشاء نهج فعال لمعالجة الأمن السيبراني وإدارة مخاطر الأمن السيبراني داخل القطاع المالي. ولتحقيق مستوى مناسب من النضج في مجال الأمن السيبراني، يجب على المؤسسات المالية أن تصل على الأقل إلى مستوى النضج 3 أو إلى مستوى أعلى على النحو الموضح أدناه.

    • 1.4.2 مستوى النضج 3

      لتحقيق مستوى النضج 3، يجب على أي من المؤسسات المالية تحديد ضوابط الأمن السيبراني واعتمادها وتنفيذها. إضافة إلى ذلك، يجب على المؤسسة مراقبة الامتثال لوثائق الأمن السيبراني.

      ويجب أن تشير وثائق الأمن السيبراني بوضوح إلى "سبب" و"ماهية" و"كيفية" تنفيذ ضوابط الأمن السيبراني. وتتألف وثائق الأمن السيبراني من سياسات الأمن السيبراني ومعايير الأمن السيبراني وإجراءات الأمن السيبراني. 
       

       

      الشكل 3 – الهيكل الهرمي لوثائق الأمن السيبراني

      يجب على مجلس إدارة المؤسسة المالية التصديق على سياسة الأمن السيبراني وفرضها مع ذكر "سبب" أهمية الأمن السيبراني للمؤسسة المالية. ويجب أن تركز السياسة على أصول المعلومات التي يجب حمايتها و"ماهية" مبادئ الأمن السيبراني وأهدافه التي يجب تحديدها.

      ويجب تطوير معايير الأمن السيبراني استناداً إلى سياسة الأمن السيبراني. وتحدد هذه المعايير "ماهية" ضوابط الأمن السيبراني التي يجب تنفيذها، مثل معلمات الأمن والنظام، والفصل بين المهام، وقواعد كلمة المرور، ومراقبة الأحداث، وقواعد النسخ الاحتياطي والاسترداد. وتدعم هذه المعايير سياسة الأمن السيبراني وتعززها وتعتبر بمثابة مراجع أساسية للأمن السيبراني.

      تسرد إجراءات الأمن السيبراني بالتفصيل المهام والأنشطة التي يجب أن يؤديها موظفو المؤسسة المالية، أو أطرافها الخارجية، أو عملائها خطوة بخطوة. وتصف هذه الإجراءات "كيفية" تنفيذ ضوابط ومهام وأنشطة الأمن السيبراني في بيئة التشغيل ودعم حماية أصول المعلومات الخاصة بالمؤسسة المالية وفقًا لسياسة ومعايير الأمن السيبراني.

      يتم تعريف العملية في سياق الدليل التنظيمي الماثل على أنها مجموعة منظمة من الأنشطة المصممة لتحقيق الهدف المحدد. وقد تتضمن العملية سياسات ومعايير وإرشادات وإجراءات وأنشطة وتعليمات عمل، بالإضافة إلى أي من الأدوار والمسؤوليات والأدوات والضوابط الإدارية المطلوبة لتقديم المخرجات بشكل موثوق.

      وتجب مراقبة التقدم الفعلي في تنفيذ وأداء والامتثال لضوابط الأمن السيبراني وتقييمه بشكل دوري باستخدام مؤشرات الأداء الرئيسية.

    • 2.4.2 مستوى النضج 4

      متطلبات إضافية للبنوك بموجب التعميم رقم (67/29814) وتاريخ 1440/05/15 هـ (الموافق 2020/06/11 م).

      لتحقيق مستوى النضج 4، يجب على المؤسسة المالية قياس فعالية ضوابط الأمن السيبراني المنفذة وتقييمها بشكل دوري. من أجل قياس وتقييم مدى فعالية ضوابط الأمن السيبراني ، يجب تحديد مؤشرات المخاطر الرئيسية. يوضح مؤشر الخطر الرئيسي معيار قياس الفعالية، ويجب أن يحدد عتبات لتحديد ما إذا كانت النتيجة الفعلية للقياس أقل من المعيار المستهدف أو عنده أو أعلى منه. تُستخدم مؤشرات المخاطر الرئيسية للإبلاغ عن الاتجاهات وتحديد التحسينات المحتملة.

    • 3.4.2 مستوى النضج 5

      يركز مستوى النضج 5 على التحسين المستمر لضوابط الأمن السيبراني. ويتحقق التحسين المستمر من خلال التحليل المستمر لأهداف الأمن السيبراني وإنجازاته وتحديد التحسينات الهيكلية. ويجب دمج ضوابط الأمن السيبراني مع ممارسات إدارة المخاطر المؤسسية ودعمها بالمراقبة الآلية في الوقت الفعلي. ويقع على عاتق مالكي العمليات التجارية المسؤولية عن مراقبة الامتثال لضوابط الأمن السيبراني، وقياس فعالية ضوابط الأمن السيبراني ودمج ضوابط الأمن السيبراني ضمن الدليل التنظيمي إدارة مخاطر المؤسسة. إضافة إلى ذلك، يجب تقييم أداء ضوابط الأمن السيبراني باستخدام بيانات النظراء والقطاعات.