4.3 الأمن السيبراني للأطراف الخارجية
عندما تعتمد المؤسسات المالية على خدمات من أطراف خارجية، أو تضطر إلى التعامل معها، فمن الضروري ضمان تنفيذ نفس المستوى من الحماية الأمنية السيبرانية لدى الطرف الخارجي، كما هو الحال داخل المؤسسة المالية.
وتبين هذه الفقرة كيفية تنظيم وتنفيذ ومراقبة متطلبات الأمن السيبراني بين المؤسسة المالية والأطراف الخارجية. تعرَّف الأطراف الخارجية في الدليل التنظيمي الماثل على أنها مقدمي الخدمات المعلوماتية، ومقدمي خدمات التعهيد، ومقدمي خدمات الحوسبة السحابية، والبائعين، والموردين، والوكالات الحكومية، وما إلى ذلك.
1.4.3 إدارة العقود والبائعين
المبدأ
يجب على المؤسسة المالية تحديد ضوابط الأمن السيبراني المطلوبة واعتمادها وتنفيذها ومراقبتها ضمن عمليات إدارة العقود والبائعين.
الهدف
التأكد من استيفاء متطلبات الأمن السيبراني المعتمدة للمؤسسة المالية على النحو المناسب قبل توقيع العقد، ومراقبة وتقييم الامتثال لمتطلبات الأمن السيبراني خلال دورة حياة العقد.
اعتبارات التحكم
1. يجب تحديد متطلبات الأمن السيبراني واعتمادها وتنفيذها وتبليغها ضمن عمليات إدارة العقود والبائعين.
2. تجب مراقبة الامتثال لعملية إدارة العقود والموردين.
3. يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة العقود والبائعين وتقييمها بشكل دوري.
4. يجب أن تشمل عمليات إدارة العقود والبائعين ما يلي:
أ. ما إذا كانت مشاركة وظيفة الأمن السيبراني مطلوبة بشكل فعال (على سبيل المثال، في حالة العناية الواجبة)؛
ب. متطلبات الأمن السيبراني الأساسية التي يجب تطبيقها في جميع الحالات؛
ج. الحق في إجراء مراجعات وتدقيقات للأمن السيبراني بشكل دوري.
5. يجب أن تشمل عملية إدارة العقد متطلبات:
أ. تنفيذ تقييم مخاطر الأمن السيبراني باعتباره جزء من عملية الشراء؛
ب. تحديد متطلبات الأمن السيبراني المحددة باعتبارها جزء من عملية المناقصة؛
ج. تقييم ردود البائعين المحتملين بشأن متطلبات الأمن السيبراني المحددة؛
د. اختبار متطلبات الأمن السيبراني المتفق عليها (القائم على المخاطر)؛
هـ. تحديد عملية الاتصال أو التصعيد في حالة وقوع حوادث الأمن السيبراني؛
و. التأكد من تحديد متطلبات الأمن السيبراني للخروج من العقد، أو إنهائه، أو تجديده (بما في ذلك اتفاقيات الضمان إن وجدت)؛
ز. تحديد اتفاقية السرية المتبادلة.
6. يجب أن تشمل عملية إدارة البائعين (أي: إدارة مستوى الخدمة) متطلبات:
أ. إعداد التقارير الدورية ومراجعة وتقييم متطلبات الأمن السيبراني المتفق عليها تعاقديًا (في اتفاقيات مستوى الخدمة).
2.4.3 إسناد المهام إلى طرف ثالث
المبدأ
يجب على المؤسسة المالية تحديد وتنفيذ ومراقبة ضوابط الأمن السيبراني المطلوبة ضمن سياسة إسناد المهام وعملية إسناد المهام. يجب قياس فعالية ضوابط الأمن السيبراني المحددة وتقييمها بشكل دوري.
الهدف
التأكد من معالجة متطلبات الأمن السيبراني للمؤسسة المالية بشكل مناسب قبل وأثناء وعند الخروج من عقود إسناد المهام إلى طرف ثالث.
اعتبارات التحكم
1. يجب تحديد متطلبات الأمن السيبراني ضمن سياسة وعملية إسناد المهام واعتمادها وتنفيذها وتبليغها داخل المؤسسة المالية.
2. يجب قياس متطلبات الأمن السيبراني فيما يتعلق بسياسة وعملية إسناد المهام وتقييمها بشكل دوري.
3. يجب أن تتضمن عملية إسناد المهام ما يلي:
أ. الاعتماد من البنك المركزي قبل إسناد الأعمال الجوهرية؛
ب. مشاركة وظيفة الأمن السيبراني؛
ج. الالتزام بتعميم البنك المركزي بشأن إسناد المهام إلى طرف ثالث.
3.4.3 الحوسبة السحابية
المبدأ
يجب على المؤسسة المالية تحديد وتنفيذ ومراقبة ضوابط الأمن السيبراني المطلوبة ضمن سياسة وعملية الحوسبة السحابية للخدمات السحابية الهجينة والعامة. يجب قياس فعالية ضوابط الأمن السيبراني المحددة وتقييمها بشكل دوري.
ترجى ملاحظة أن هذا المتطلب لا ينطبق على الخدمات السحابية الخاصة (= السحابة الداخلية).
الهدف
التأكد من أن جميع الوظائف والعاملين داخل المؤسسة المالية على دراية بالاتجاه والموقف المتفق عليهما بشأن الخدمات السحابية المختلطة والعامة، والعملية المطلوبة لطلب الحصول على الخدمات السحابية المختلطة والعامة، والقدرة على تحمل المخاطر بشأن الخدمات السحابية المختلطة والعامة، ومتطلبات الأمن السيبراني المحددة للخدمات السحابية المختلطة والعامة.
اعتبارات التحكم
1. يجب تحديد ضوابط الأمن السيبراني ضمن سياسة الحوسبة السحابية للخدمات السحابية المختلطة والعامة واعتمادها وتنفيذها وتبليغها داخل المؤسسة المالية.
2. تجب مراقبة الامتثال لسياسة الحوسبة السحابية.
3. يجب قياس وتقييم ضوابط الأمن السيبراني المتعلقة بسياسة الحوسبة السحابية وعملية الخدمات السحابية المختلطة والعامة بشكل دوري.
4. يجب أن تتناول سياسة الحوسبة السحابية للخدمات السحابية المختلطة والعامة متطلبات ما يلي:
أ. عملية اعتماد الخدمات السحابية، بما في ذلك:
1. يجب إجراء تقييم لمخاطر الأمن السيبراني والعناية الواجبة على مقدم الخدمة السحابية وخدماته السحابية؛
2. يجب على المؤسسة المالية الحصول على اعتماد ساما قبل استخدام الخدمات السحابية أو توقيع العقد مع مقدم الخدمة السحابية؛
3. يجب إبرام عقد ينص متطلبات الأمن السيبراني قبل استخدام الخدمات السحابية؛
ب. موقع البيانات، بما في ذلك ما:
1. من حيث المبدأ، يجب استخدام الخدمات السحابية الموجودة في المملكة العربية السعودية فقط، أو عند استخدام الخدمات السحابية خارج المملكة العربية السعودية، يجب على المؤسسة المالية الحصول على موافقة صريحة من ساما؛
ج. قيود استخدام البيانات، بما في ذلك ما يلي:
1. لا يجوز لمقدم الخدمة السحابية استخدام بيانات المؤسسة المالية لأغراض ثانوية؛
د. الأمن، بما في ذلك:
1. يجب على مقدم الخدمة السحابية تنفيذ ومراقبة ضوابط الأمن السيبراني على النحو المحدد في تقييم المخاطر لحماية سرية وسلامة وتوافر بيانات المؤسسة المالية؛
هـ. فصل البيانات، بما في ذلك ما يلي:
1. يتم فصل بيانات المؤسسة المالية بشكل منطقي عن البيانات الأخرى التي يحتفظ بها مقدم الخدمة السحابية، بما في ذلك وجوب أن يكون مقدم الخدمة السحابية قادرًا على تحديد بيانات المؤسسة المالية وأن يكون قادرًا في جميع الأوقات على تمييزها عن البيانات الأخرى.
و. استمرارية الأعمال، بما في ذلك:
1. استيفاء متطلبات استمرارية الأعمال وفقًا لسياسة استمرارية الأعمال الخاصة بالمؤسسة المالية؛
ز. التدقيق والمراجعة والمراقبة، بما في ذلك:
1. يحق للمؤسسة المالية إجراء مراجعة للأمن السيبراني لدى مقدم الخدمة السحابية؛
2. يحق للمؤسسة المالية إجراء تدقيق للأمن السيبراني لدى مقدم الخدمة السحابية؛
3. يحق للمؤسسة المالية إجراء فحص الأمن السيبراني لدى مقدم الخدمة السحابية؛
ح. الخروج، بما في ذلك ما يلي:
1. تتمتع المؤسسة المالية بحقوق الإنهاء؛
2. يجب على مقدم الخدمة السحابية إعادة بيانات المؤسسة المالية عند الإنهاء؛
3. يجب على مقدم الخدمة السحابية حذف بيانات المؤسسة المالية حذفا لا رجعة فيه عند الإنهاء.