1.3 قيادة وحوكمة الأمن السيبراني
تقع المسؤولية النهائية عن الأمن السيبراني على عاتق مجلس إدارة المؤسسة المالية. ويجوز لمجلس إدارة المؤسسة المالية تفويض مسؤولياته المتعلقة بالأمن السيبراني إلى لجنة الأمن السيبراني (أو إلى أحد كبار المديرين بإحدى وظائف التحكم). وقد تتحمل لجنة الأمن السيبراني المسؤولية عن تحديد حوكمة الأمن السيبراني ووضع استراتيجية الأمن السيبراني للمؤسسة المالية. كما قد تتحمل لجنة الأمن السيبراني المسؤولية عن تحديد سياسة الأمن السيبراني وضمان الفعالية التشغيلية لسياسة الأمن السيبراني المحددة.
ويجب إنشاء وظيفة مستقلة للأمن السيبراني لوضع سياسة الأمن السيبراني وصونها وتنفيذ أنشطة الأمن السيبراني داخل المؤسسة المالية.
1.1.3 حوكمة الأمن السيبراني
المبدأ
يجب تحديد هيكل حوكمة الأمن السيبراني وتنفيذه، ويجب أن يعتمده مجلس الإدارة.
الهدف
توجيه النهج العام للأمن السيبراني والتحكم فيه داخل المؤسسة المالية.
اعتبارات التحكم
1. يشكل مجلس الإدارة لجنة للأمن السيبراني ويكلفها بهذه الوظيفة.
2. يرأس أحد كبار المديرين المستقلين من إحدى وظائف التحكم لجنة الأمن السيبراني.
3. يجب تمثيل المناصب التالية في لجنة الأمن السيبراني:
أ. كبار المديرين من جميع الإدارات ذات الصلة (على سبيل المثال، الرئيس التنفيذي للعمليات، الرئيس التنفيذي للمعلومات، ومسؤول الامتثال، ورؤساء أقسام الأعمال ذات الصلة)؛
ب. الرئيس التنفيذي لأمن المعلومات؛
ج. ويجوز أن يحضر المدقق الداخلي بصفته "مراقب".
4. تجب صياغة ميثاق لجنة الأمن السيبراني واعتماده وأن يتضمن ما يلي:
أ. أهداف اللجنة؛
ب. الأدوار والمسؤوليات؛
ج. الحد الأدنى لعدد المشاركين في الاجتماع؛
د. تواتر انعقاد الاجتماعات (الحد الأدنى على أساس ربع سنوي).
5. يجب إنشاء وظيفة للأمن السيبراني.
6. يجب أن تكون وظيفة الأمن السيبراني مستقلة عن وظيفة تقنية المعلومات. ولتجنب أي تضارب في المصالح، يجب فصل وظيفة الأمن السيبراني عن وظيفة تقنية المعلومات من حيث التسلسلات الإدارية والميزانيات والتقييمات للموظفين.
7. ترفع وظيفة الأمن السيبراني تقاريرها مباشرة إلى الرئيس التنفيذي/العضو المنتدب للمؤسسة المالية أو إلى المدير العام لإحدى وظائف التحكم.
8. يجب تعيين أحد كبار المديرين بدوام كامل في وظيفة الأمن السيبراني، يشار إليه باسم الرئيس التنفيذي لأمن المعلومات، على مستوى الإدارة العليا.
9. يجب على المؤسسة المالية:
أ. التأكد من أن الرئيس التنفيذي لأمن المعلومات يحمل الجنسية السعودية؛
ب. التأكد من أن الرئيس التنفيذي لأمن المعلومات مؤهل بشكل كافٍ؛
ج. الحصول على عدم ممانعة من البنك المركزي لتعيين الرئيس التنفيذي لأمن المعلومات.
10. يجب على مجلس إدارة المؤسسة المالية تخصيص ميزانية كافية لتنفيذ أنشطة الأمن السيبراني المطلوبة.
2.1.3 استراتيجية الأمن السيبراني
المبدأ
يجب تحديد استراتيجية الأمن السيبراني ومواءمتها مع الأهداف الاستراتيجية للمؤسسة المالية، وكذلك مع استراتيجية الأمن السيبراني للقطاع المصرفي.
الهدف
ضمان أن مبادرات ومشاريع الأمن السيبراني داخل المؤسسة المالية تساهم في الأهداف الإستراتيجية للمؤسسة المالية وتتوافق مع استراتيجية الأمن السيبراني للقطاع المصرفي.
اعتبارات التحكم
1. يجب تحديد استراتيجية الأمن السيبراني واعتمادها وصونها وتنفيذها.
2. يجب أن تتماشى استراتيجية الأمن السيبراني مع يلي :
أ. الأهداف العامة للمؤسسة المالية؛
ب. متطلبات الامتثال القانونية والتنظيمية للمؤسسة المالية؛
ج. استراتيجية الأمن السيبراني للقطاع المصرفي.
3. يجب أن تتناول استراتيجية الأمن السيبراني ما يلي:
أ. أهمية الأمن السيبراني وفوائده للمؤسسة المالية؛
ب. الحالة المستقبلية المتوقعة للأمن السيبراني للمؤسسة المالية لكي تصبح وتظل مرنة في مواجهة تهديدات الأمن السيبراني (الناشئة)؛
ج. ما هي مبادرات ومشاريع الأمن السيبراني الواجب تنفيذها لتحقيق الحالة المستقبلية المتوقعة ومتى يجب تنفيذها.
3.1.3 سياسة الأمن السيبراني
المبدأ
يجب تحديد سياسة الأمن السيبراني واعتمادها والإبلاغ بها.
الهدف
توثيق التزام المؤسسة المالية وأهدافها المتعلقة بالأمن السيبراني، وإبلاغ أصحاب المصلحة المعنيين بذلك.
اعتبارات التحكم
1. يجب تحديد سياسة الأمن السيبراني واعتمادها والإبلاغ بها.
2. يجب مراجعة سياسة الأمن السيبراني بشكل دوري وفقًا لعملية مراجعة منظمة ومحددة مسبقًا.
3. يجب أن تكون سياسة الأمن السيبراني:
أ. بمثابة مدخلات للسياسات المؤسسية الأخرى للمؤسسة المالية (على سبيل المثال، سياسة الموارد البشرية، والسياسة المالية، وسياسة تقنية المعلومات)؛
ب. مدعومة بمعايير أمنية مفصلة (على سبيل المثال، معيار كلمة المرور، ومعيار جدار الحماية) والإجراءات؛
ج. قائمة على أفضل الممارسات والمعايير الوطنية (الدولية)؛
د. تم تبليغها إلى أصحاب المصلحة المعنيين.
4. يجب أن تتضمن سياسة الأمن السيبراني ما يلي:
أ. تعريف الأمن السيبراني؛
ب. أهداف ونطاق الأمن السيبراني بوجه عام للمؤسسة المالية؛
ج. بيان مقصد مجلس الإدارة بما يدعم أهداف الأمن السيبراني؛
د. تعريف المسؤوليات العامة والخاصة للأمن السيبراني؛
هـ. الإشارة إلى دعم معايير وإجراءات الأمن السيبراني؛
و. تضمن متطلبات الأمن السيبراني الآتي:
1. تصنيف المعلومات بطريقة تشير إلى أهميتها بالنسبة للمؤسسة المالية؛
2. حماية المعلومات فيما يتعلق بمتطلبات الأمن السيبراني، بما يتماشى مع قابلية المخاطر؛
3. تعيين مالكي جميع أصول المعلومات؛
4. إجراء تقييمات مخاطر الأمن السيبراني لأصول المعلومات؛
5. توعية أصحاب المصلحة المعنيين بالأمن السيبراني وسلوكهم المتوقع (برنامج التوعية بالأمن السيبراني)؛
6. الوفاء بالالتزامات التنظيمية والتعاقدية؛
7. الإبلاغ عن انتهاكات الأمن السيبراني ونقاط ضعف الأمن السيبراني المشكوك فيها؛
8. انعكاس الأمن السيبراني على إدارة استمرارية الأعمال.
4.1.3 أدوار ومسؤوليات الأمن السيبراني
المبدأ
يجب تحديد مسؤوليات تنفيذ وصون ودعم وتعزيز الأمن السيبراني في المؤسسة المالية بأكملها. إضافة إلى ذلك، يجب على جميع الأطراف المشاركة في الأمن السيبراني أن تفهم الأدوار والمسؤوليات المنوطة بها.
الهدف
التأكد من أن أصحاب المصلحة المعنيين على دراية بالمسؤوليات المتعلقة بالأمن السيبراني وتطبيق ضوابط الأمن السيبراني في المؤسسة المالية بأكملها.
اعتبارات التحكم
1. يتحمل مجلس الإدارة المسؤولية النهائية عن الأمن السيبراني، بما في ذلك:
أ. ضمان تخصيص ميزانية كافية للأمن السيبراني؛
ب. اعتماد ميثاق لجنة الأمن السيبراني؛
ج. المصادقة (بعد اعتماده من لجنة الأمن السيبراني):
1. حوكمة الأمن السيبراني؛
2. استراتيجية الأمن السيبراني؛
3. سياسة الأمن السيبراني.
2. تتولى لجنة الأمن السيبراني المسؤولية عن:
أ. مراقبة ومراجعة وإبلاغ مدى قابلية المؤسسة المالية لمخاطر الأمن السيبراني بشكل دوري أو عند حدوث تغيير جوهري في مقدار قابلية المخاطر؛
ب. مراجعة استراتيجية الأمن السيبراني للتأكد من أنها تدعم أهداف المؤسسة المالية؛
ج. الاعتماد، والتبليغ، والدعم، والمراقبة:
1. حوكمة الأمن السيبراني؛
2. استراتيجية الأمن السيبراني؛
3. سياسة الأمن السيبراني؛
4. برامج الأمن السيبراني (على سبيل المثال، برنامج التوعية، برنامج تصنيف البيانات، خصوصية البيانات، منع تسريب البيانات، تحسينات الأمن السيبراني الرئيسية)؛
5. عملية إدارة مخاطر الأمن السيبراني؛
6. مؤشرات المخاطر الرئيسية ومؤشرات الأداء الرئيسية للأمن السيبراني.
3. تتولى الإدارة العليا المسؤولية عن:
أ. التأكد من أن المعايير والعمليات والإجراءات تفي بالمتطلبات الأمنية (إن وجدت)؛
ب. التأكد من قبول الأفراد لسياسة الأمن السيبراني والامتثال لها، ودعم المعايير والإجراءات عند إصدارها وتحديثها؛
ج. التأكد من تضمين مسؤوليات الأمن السيبراني في التوصيفات الوظيفية للمناصب الرئيسية ولموظفي الأمن السيبراني.
4. يتولى الرئيس التنفيذي لأمن المعلومات المسؤولية عن:
أ. صياغة وصون:
1. استراتيجية الأمن السيبراني؛
2. سياسة الأمن السيبراني؛
3. هيكلية الأمن السيبراني؛
4. عملية إدارة مخاطر الأمن السيبراني؛
ب. التأكد من وضع المعايير والإجراءات الأمنية التفصيلية واعتمادها وتنفيذها؛
ج. تقديم حلول الأمن السيبراني القائمة على المخاطر والتي تتناول الأشخاص والعمليات والتقنية؛
د. تطوير مهارات موظفي الأمن السيبراني لتقديم حلول الأمن السيبراني في سياق الأعمال؛
هـ. مباشرة أنشطة الأمن السيبراني في المؤسسة المالية بأكملها، بما في ذلك:
1. مراقبة أنشطة الأمن السيبراني (مراقبة مركز العمليات الأمنية)؛
2. مراقبة الامتثال للوائح وسياسات ومعايير وإجراءات الأمن السيبراني؛
3. الإشراف على التحقيق في حوادث الأمن السيبراني؛
4. جمع وتحليل استخبارات التهديدات من المصادر الداخلية والخارجية؛
5. إجراء مراجعات الأمن السيبراني؛
و. إجراء تقييمات لمخاطر الأمن السيبراني على أصول المعلومات الخاصة بالمؤسسات المالية؛
ز. الدعم الاستباقي للوظائف الأخرى المعنية بالأمن السيبراني، بما في ذلك:
1. إجراء تصنيفات للمعلومات وللأنظمة؛
2. تحديد متطلبات الأمن السيبراني للمشاريع المهمة؛
3. إجراء مراجعات الأمن السيبراني.
ح. تحديد برامج التوعية بالأمن السيبراني وتنفيذها؛
ط. قياس مؤشرات المخاطر الرئيسية ومؤشرات الأداء الرئيسية والإبلاغ عنها بشأن:
1. استراتيجية الأمن السيبراني؛
2. الامتثال لسياسة الأمن السيبراني؛
3. معايير الأمن السيبراني وإجراءاته؛
4. برامج الأمن السيبراني (مثل برنامج التوعية، برنامج تصنيف البيانات، تحسينات الأمن السيبراني الرئيسية).
5. تتولى وظيفة التدقيق الداخلي المسؤولية عن:
أ. إجراء عمليات تدقيق الأمن السيبراني.
6. يتولى جميع موظفي المؤسسة المالية المسؤولية عن:
أ. الامتثال لسياسة ومعايير وإجراءات الأمن السيبراني.
5.1.3 الأمن السيبراني في إدارة المشاريع
المبدأ
يجب تناول موضوع الأمن السيبراني في مجالي إدارة المشاريع وحوكمة المشاريع.
الهدف
التأكد من أن جميع مشاريع المؤسسة المالية تلبي متطلبات الأمن السيبراني.
اعتبارات التحكم
1. يجب دمج الأمن السيبراني في منهجية إدارة مشاريع المؤسسة المالية لضمان تحديد مخاطر الأمن السيبراني ومعالجتها باعتبارها جزء من المشروع.
2. يجب أن تضمن منهجية إدارة المشاريع في المؤسسة المالية تحقيق الآتي:
أ. تضمين أهداف الأمن السيبراني في أهداف المشروع؛
ب. اعتبار وظيفة الأمن السيبراني جزءًا من جميع مراحل المشروع؛
ج. إجراء تقييم للمخاطر في بداية المشروع لتحديد مخاطر الأمن السيبراني والتأكد من تلبية متطلبات الأمن السيبراني إما من خلال ضوابط الأمن السيبراني الحالية (استنادًا إلى معايير الأمن السيبراني) أو من خلال الضوابط التي سيتم وضعها؛
د. تسجيل مخاطر الأمن السيبراني في سجل مخاطر المشروع ومتابعة سيرها؛
هـ. تحديد مسؤوليات الأمن السيبراني وتوزيعها؛
و. إجراء مراجعة الأمن السيبراني على يد طرف داخلي أو خارجي مستقل.
6.1.3 التوعية بالأمن السيبراني
المبدأ
يجب تحديد وتنفيذ برنامج للتوعية بالأمن السيبراني لموظفي المؤسسة المالية وأطرافها الخارجية وعملائها.
الهدف
تكوين ثقافة واعية بمخاطر الأمن السيبراني بما يتيح لموظفي المؤسسة المالية وأطرافها الخارجية وعملائها اتخاذ قرارات فعالة قائمة على تحليل المخاطر والتي تحمي معلومات المؤسسة المالية.
اعتبارات التحكم
1. يجب تحديد برامج التوعية بالأمن السيبراني واعتمادها وتنفيذها لتعزيز الوعي بالأمن السيبراني وخلق ثقافة إيجابية للأمن السيبراني.
2. يجب تحديد برنامج للتوعية بالأمن السيبراني وتنفيذه لصالح:
أ. موظفي المؤسسة المالية؛ ب. الأطراف الخارجية للمؤسسة المالية؛ ج. عملاء المؤسسة المالية. 3. يجب أن يستهدف برنامج التوعية بالأمن السيبراني سلوكيات الأمن السيبراني من خلال تصميم البرنامج لمعالجة المجموعات المستهدفة المختلفة من خلال قنوات متعددة.
4. يجب تنفيذ أنشطة برنامج التوعية بالأمن السيبراني بشكل دوري وعلى مدار العام.
5. يجب أن يتضمن برنامج التوعية بالأمن السيبراني المتطلبات التالية كحد أدنى:
أ. توفير شرح لتدابير الأمن السيبراني؛
ب. الأدوار والمسؤوليات المتعلقة بالأمن السيبراني؛
ج. معلومات عن أحداث الأمن السيبراني الناشئة ذات الصلة والتهديدات السيبرانية (مثل التصيد الالتكروني الموجه، والاحتيال على كبار المسؤولين).
6. يجب تقييم برنامج التوعية بالأمن السيبراني بهدف:
أ. قياس فعالية أنشطة التوعية؛ ب. صياغة توصيات لتحسين برنامج التوعية بالأمن السيبراني. 7. يجب أن تتناول توعية العملاء عملاء التجزئة، والعملاء التجاريين على حد سواء، وأن تتضمن على أقل تقدير قائمة بآليات الأمن السيبراني المقترحة التي قد يفكر العملاء في تنفيذها للتخفيف من الخطر (المخاطر) الخاصة بهم.
7.1.3 التدريب على الأمن السيبراني
المبدأ
يجب تزويد موظفي المؤسسة المالية بالتدريب على طريقة تشغيل أنظمة المؤسسة المالية بشكل آمن والتعامل مع ضوابط الأمن السيبراني وتطبيقها.
الهدف
التأكد من أن موظفي المؤسسة المالية لديهم المهارات والمعرفة اللازمة لحماية أصول معلومات المؤسسة المالية والوفاء بمسؤولياتهم في مجال الأمن السيبراني.
اعتبارات التحكم
1. يجب توفير التدريب على المهارات المتخصصة أو المتعلقة بالأمن للموظفين بالمؤسسة المالية حسب فئات مجالات عملهم ذات الصلة بما يتماشى مع توصيفاتهم الوظيفية، بما في ذلك:
أ. الأدوار الرئيسية داخل المؤسسة؛
ب. موظفو وظيفة الأمن السيبراني؛
ج. الموظفون المشاركون في تطوير أصول المعلومات وصونها (تقنيًا)؛
د. الموظفون المشاركون في تقييم المخاطر.
2. يجب توفير التثقيف لتزويد الموظفين بالمهارات والمعرفة المطلوبة لتشغيل أصول المعلومات الخاصة بالمؤسسة المالية بشكل آمن.