4.3 إدارة تغيير النظام
إدارة تغيير النظام عبارة عن عملية تحديد وتصميم واختبار وتنفيذ التغييرات المتعلقة بأصول المعلومات بما في ذلك على سبيل المثال لا الحصر التطبيق والبرمجيات والأجهزة والبيانات. وبالتالي، يجب معالجة عوامل المخاطر المتعلقة بإدارة تغيير النظام من قبل المؤسسات المالية من خلال التنفيذ المناسب لضوابط تقنية المعلومات المطلوبة.
1.4.3 حوكمة تغيير النظام
المبدأ
ينبغي إنشاء عملية إدارة التغيير لضمان تصنيف التغييرات في أصول المعلومات الخاصة بالمؤسسة المالية واختبارها والموافقة عليها قبل نشرها في بيئات الإنتاج
متطلبات الرقابة
1. يجب تحديد عملية إدارة تغيير النظام والموافقة عليها وتنفيذها والإبلاغ عنها داخل المؤسسات المالية.
2. يجب قياس فعالية عملية إدارة تغيير النظام وتقييمها بشكل دوري.
3. يجب أن تخضع عملية إدارة تغيير النظام لسياسة وإجراءات إدارة التغيير التي يجب الموافقة عليها ومراقبتها ومراجعتها وتحديثها على أساس دوري و/أو عند حدوث تغييرات كبيرة في بيئة تقنية المعلومات أو تغييرات في القوانين والمتطلبات التنظيمية.
4. يجب أن تعالج عملية إدارة تغيير النظام ما يلي، على سبيل المثال لا الحصر:
أ. تحديد متطلبات التغيير والموافقة عليها؛
ب. خطور التغيير وأولويته؛
ج. تقييم خطورة التغيير وتأثيره؛
د. تطوير التغيير؛
هـ. اختبار التغيير؛
و. طرح التغيير واسترجاعه؛
ز. الأدوار والمسؤوليات بالتغيير؛
ح. مستندات التغيير؛
ط. الوعي بالتغيير و/أو التدريب المقدم للمستخدمين؛ و
ي. مدخلات المجلس الاستشاري للتغيير ((CAB، إن وجدت.
5. يجب تنفيذ نظام لسير العمل لأتمتة عملية إدارة التغيير من جانب المؤسسات المالية إلى أقصى حد ممكن.
6. يجب تسجيل أي تغييرات في أصول المعلومات ومراقبتها وتوثيقها.
7. يجب أن تكون بيئات النظام (أي التطوير والاختبار والإنتاج وما إلى ذلك) منفصلة تقنيًا ومنطقيًا.
8. يجب التحكم في الوصول إلى بيئات النظام المختلفة ومراقبته بشكل صارم. من أجل القيام بذلك، يجب ضمان الفصل بين الواجبات ("SoD") بحيث لا يتحمل أي فرد مسؤوليتين متعارضتين مثل (التطوير والتجميع والاختبار والترحيل والنشر) في نفس الوقت.
9. يجب إجراء التغييرات الطارئة في أصول المعلومات بطريقة خاضعة لرقابة صارمة ويجب أن تراعي ما يلي:
أ. يجب أن يكون عدد التغييرات الطارئة أقل تفضيلاً من التغييرات المخطط لها من أجل إبقاء هذه التغييرات في أدنى حد ممكن؛
ب. ينبغي تقييم التغييرات الطارئة من حيث تأثيرها على الأنظمة؛
ج. يجب الموافقة على التغييرات الطارئة من قبل المجلس الاستشاري للتغييرات الطارئة ("ECAB")؛
د. يجب أن يكون الحد الأدنى من الاختبار مقبولاً لتنفيذ التغييرات الطارئة؛
هـ. يجب استكمال التوثيق الرسمي للتغييرات الطارئة بعد التنفيذ؛
و. ينبغي إجراء مراجعة ما بعد التنفيذ لجميع التغييرات الطارئة؛ و
ز. يجب إجراء تحليل السبب الجذري لتحديد السبب الذي أدى إلى الحاجة إلى تغيير طارئ، بالإضافة إلى الاحتفاظ بسجل يعكس الدروس المستفادة ويقدم تقريرًا إلى جميع الموظفين المعنيين والإدارة واللجنة التوجيهية.
10. يجب تمكين التدقيق الكافي لتسجيل التغييرات الطارئة المتعلقة بأصول المعلومات لأغراض الرجوع إليها أو التحقيق في المستقبل.
2.4.3 تحديد متطلبات التغيير والموافقة عليها
المبدأ
يجب تحديد التغييرات على أصول المعلومات بشكل رسمي وتوثيقها والموافقة عليها من قبل مالك الأصل المعني قبل تنفيذ التغيير في أصول المعلومات.
متطلبات الرقابة
- يجب أن يبدأ طالب التغيير رسميًا بمتطلبات التغيير.
- يجب أن تحدد متطلبات التغيير المتطلبات الوظيفية وغير الوظيفية، حيثما ينطبق ذلك.
- يجب مراجعة متطلبات التغيير رسميًا والموافقة عليها من قبل مالك الأصل المعني.
- يجب تقييم أي تغييرات في أصول المعلومات لمعرفة تأثيرها على الأنظمة قبل تنفيذ التغيير.
- يجب أن تتم المصادقة على أي تغيير في أصول المعلومات من قبل المجلس الاستشاري للتغيير (48") قبل النشر في بيئة الإنتاج.
- يجب مراجعة أي تغييرات في أصول المعلومات والموافقة عليها من قبل وظيفة الأمن السيبراني قبل تقديمها إلى "المجلس الاستشاري للتغيير" (مطلوب وفقًا للدليل التنظيمي لأمن المعلومات الخاص بالبنك المركزي، .7.3.3 إدارة التغيير، متطلبات التحكم، 4 - د).
3.4.3 اقتناء النظام
المبدأ
يجب إنشاء عملية اقتناء النظام لضمان تقييم المخاطر المرتبطة باقتناء النظام ومستوى خدمة البائعين ذات الصلة والتخفيف من حدتها بشكل كافٍ قبل اقتناء النظام.
متطلبات الرقابة
1. يجب تحديد عملية اقتناء النظام والموافقة عليها وتنفيذها وإبلاغها من قبل المؤسسات المالية.
2. يجب قياس مدى فعالية عملية اقتناء النظام وتقييمها بشكل دوري.
3. يجب تحديد متطلبات النظام (أي الوظيفية وغير الوظيفية) رسميًا والموافقة عليها كجزء من عملية اقتناء النظام.
4. ينبغي إجراء دراسة جدوى لتقييم المتطلبات الوظيفية وغير الوظيفية للنظام الجديد وخاصة بما يتوافق مع المتطلبات التنظيمية الخاصة بالبنك المركزي، والمتطلبات التنظيمية الأخرى المعمول بها.
5. يجب إدراج تقييم البائعين في عملية اقتناء النظام لتقييم البائعين فيما يتعلق بعروضهم وقدراتهم على دعم النظام أثناء التنفيذ وبعده.
6. يجب دعم عملية اقتناء النظام بخطة تنفيذ مفصلة تصف ما يلي على سبيل المثال لا الحصر:
أ. الأحداث الرئيسية لتنفيذ النظام (بما في ذلك جمع المتطلبات، والتطوير أو التخصيص، والاختبار، وبدء التشغيل وما إلى ذلك)؛
ب. الجدول الزمني لكل حدث رئيسي وتوابعه؛ و
ج. الموارد المخصصة للأحداث الرئيسية.
7. يجب تقييم النظام الجاهز أو الحزمة الجاهزة على أساس ما يلي، على سبيل المثال لا الحصر:
أ. توافق النظام مع متطلبات المؤسسة المالية؛
ب. مصداقية النظام والوجود في السوق، إذا لزم الأمر؛ و
ج. تقييم البائع ومستوى الخدمة.
4.4.3 تطوير النظام
المبدأ
يجب توثيق منهجية تطوير النظام والموافقة عليها وتنفيذها لضمان تنفيذ تطوير نظام المؤسسة المالية بطريقة خاضعة للرقابة الصارمة.
متطلبات الرقابة
1. يجب تحديد منهجية تطوير النظام والموافقة عليها وتنفيذها ونشرها.
2. يجب مراقبة مدى فعالية منهجية تطوير النظام وتقييمها بشكل دوري.
3. يجب أن تتناول منهجية تطوير النظام ما يلي، على سبيل المثال لا الحصر:
أ. نهج تطوير النظام مثل التطوير التقليدي والسريع وما إلى ذلك؛
ب. معايير الترميز الآمنة؛
ج. أنواع الاختبارات وأساليبها مثل اختبار الوحدة، واختبار الانحدار، واختبار الضغط، وما إلى ذلك؛
د. ضبط الإصدارات؛
هـ. التحكم بالجودة؛
و. ترحيل البيانات؛
ز. التوثيق؛ و
ح. تدريب المستخدم النهائي.
4. يجب تحديد وثيقة تصميم النظام وتوثيقها والموافقة عليها.
5. يجب أن تتناول وثيقة تصميم النظام متطلبات التصميم منخفضة المستوى للنظام المقصود، والتي تشمل على سبيل المثال لا الحصر ما يلي:
أ. متطلبات التكوين؛
ب. متطلبات التكامل؛
ج. متطلبات الأداء؛
د. متطلبات الأمن السيبراني؛ و
هـ. متطلبات تعريف البيانات.
6. يجب أن تقوم وظيفة تقنية المعلومات أو فريق التطوير المعني في المؤسسات المالية بإجراء مراجعة آمنة للأكواد البرمجية من أجل:
أ. التطبيقات المطورة داخليًا؛ و
ب. التطبيقات المطورة خارجيًا إذا كان كود المصدر متاحًا.
7. يجب على المؤسسات المالية التأكد من صياغة تقرير مراجعة الكود الآمن (أو ما يعادله، مثل بيان الضمان المستقل) في حالة عدم توفر كود المصدر لدى المؤسسة المالية.
8. يجب تضمين ضوابط الأمن السيبراني في عملية تطوير النظام بما يتماشى مع الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.
9. يجب استخدام نظام ضبط الإصدارات لتتبع التعليمات البرمجية المصدرية أو إصدارات الإنشاء بين بيئات النظام المختلفة (أي التطوير والاختبار والإنتاج وغيرها).
5.4.3 الاختبار
المبدأ
يجب اختبار جميع التغييرات على نظم المعلومات بشكل شامل على بيئة الاختبار استناداً إلى حالات الاختبار المحددة والمعتمدة لضمان تلبية التغييرات لمتطلبات العمل وكذلك لتحديد العيوب أو نقاط الضعف قبل إطلاق التغييرات في بيئة الإنتاج.
متطلبات الرقابة
1. يجب تحديد خطة الاختبار والموافقة عليها وتوثيقها رسميًا لإجراء التغييرات.
2. يجب تحديد حالة الاختبار والموافقة عليها وتوثيقها للتغييرات. إضافة إلى ذلك، يجب أن تتناول حالة الاختبار ما يلي، على سبيل المثال لا الحصر:
أ. اسم حالة الاختبار والمعرف الفريد؛
ب. حالة الاختبار المصممة والمختبرة؛
ج. وصف حالة الاختبار مع التحديد الواضح لحالات الاختبار السلبية والإيجابية؛
د. أولوية الاختبار؛
هـ. تاريخ تنفيذ الاختبار؛
و. استخدام البيانات لاختبار الحالات؛
ز. حالة الاختبار (أي ناجح أم فاشل)؛
ح. النتيجة المتوقعة لحالة الاختبار؛ و
ط. متطلبات شهادة اختبار الطرف الثالث، إن وجدت، مثل مدى، تنفيذ، إلخ.
3. كحد أدنى، ينبغي اعتبار أنواع الاختبارات التالية جزءًا من إدارة تغيير النظام.
أ. اختبار الوحدة؛
ب. اختبار تكامل النظام (SIT)؛
ج. اختبار التحمل (إن أمكن)؛
د. الاختبار الأمني؛ و
هـ. اختبار قبول المستخدم (UAT).
4. يجب اختبار جميع التغييرات على نظام المعلومات بدقة في بيئة اختبار منفصلة وفقاً لحالات الاختبار المعتمدة.
5. يجب اختبار جميع التغييرات وقبولها رسميًا من قبل مستخدمي الأعمال المعنيين.
6. يجب أن يشمل الاختبار سيناريوهات حالات الاختبار الإيجابية والسلبية.
7. يجب توثيق نتائج اختبار قبول المستخدم والاحتفاظ بها لأغراض مرجعية مستقبلية.
8. يجب عدم استخدام بيانات الإنتاج لاختبار النظام في بيئة الاختبار. لا يجب استخدام لأغراض الاختبار سوى البيانات المطهرة.
6.4.3 متطلبات أمان التغيير
المبدأ
يجب تحديد متطلبات الأمن السيبراني واختبارها بدقة لجميع التغييرات في نظام المعلومات في بيئة اختبار من أجل تحديد الثغرات الأمنية فيها والتخفيف من حدتها قبل إدخالها في بيئة الإنتاج.
متطلبات الرقابة
1. يجب أن تأخذ عملية إدارة تغيير النظام في الاعتبار الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي لتحديد واختبار وتنفيذ المتطلبات الأمنية لأي تغييرات في أصول المعلومات.
7.4.3 إدارة إصدار التغيير
المبدأ
يجب تحديد عملية إدارة إصدار التغييرات لضمان تخطيط تغييرات النظام بشكل ملائم وإصدارها إلى بيئة الإنتاج بطريقة خاضعة لرقابة صارمة.
متطلبات الرقابة
1. يجب تحديد عملية إدارة الإصدار والموافقة عليها وتنفيذها والإبلاغ عنها.
2. يجب مراقبة عملية إدارة الإصدار وتقييمها بشكل دوري.
3. يجب أن تتناول عملية إدارة الإصدار ما يلي، على سبيل المثال لا الحصر:
أ. استراتيجية ونهج إصدار التغيير؛
ب. الأدوار والمسؤوليات لتنفيذ إصدارات التغيير؛
ج. الجدول الزمني لإصدار التغيير واللوجستيات الخاصة به؛
د. إجراءات طرح التغيير واسترجاعه؛ و
ه. ترحيل البيانات، عند الاقتضاء.
4. يجب أن يتم إصدار التغييرات في النظام المناظر في موقع التعافي من الكوارث عند نجاح تنفيذ التغييرات في بيئة الإنتاج في الموقع الرئيسي.
5. يجب إدخال التغيير كجزء من نافذة تغيير متفق عليها، ويجب أن يكون للاستثناءات عملية موافقة خاصة بها ونادراً ما يُسمح بها دون أسباب مقنعة.
8.4.3 إدارة تكوين النظام
المبدأ
يجب تحديد عملية إدارة تهيئة النظام والموافقة عليها وإبلاغها وتنفيذها للحفاظ على معلومات موثوقة ودقيقة حول عناصر التكوين ("CIs") لأصول المعلومات الخاصة بالمؤسسة المالية.
متطلبات الرقابة
1. يجب تحديد عملية إدارة التكوين والموافقة عليها وتنفيذها وإبلاغها من قبل المؤسسات المالية.
2. يجب مراقبة عملية إدارة التكوين وتقييمها بشكل دوري.
3. يجب أن تتناول عملية إدارة التكوين ما يلي، على سبيل المثال لا الحصر:
أ. الأدوار والمسؤوليات لتنفيذ إدارة التكوين؛
ب. تحديد وتسجيل عناصر التكوين وأهميتها فيما يتعلق بعمليات الأعمال الداعمة لها؛
ج. العلاقات المتبادلة بين عناصر التكوين فيما بين أصول المعلومات المختلفة؛ و
د. التحقق الدوري من عناصر التكوين.
4. يجب على المؤسسات المالية تنفيذ قاعدة بيانات إدارة التكوين ("CMCB") لتحديد المعلومات المتعلقة بأصول المعلومات الخاصة بالمؤسسة المالية والحفاظ عليها والتحقق منها.
9.4.3 إدارة حزم التحديثات والإصلاحات
المبدأ
يجب تحديد عملية إدارة حزم التحديثات والإصلاحات وتنفيذها لضمان تثبيت أحدث حزم التحديثات والإصلاحات القابلة للتطبيق وذات الصلة (أي الوظيفية أو غير الوظيفية) في الوقت المناسب لتجنب المشاكل التقنية بما في ذلك الاختراقات الأمنية بسبب الثغرات الموجودة في النظام.
متطلبات الرقابة
1. يجب تحديد عملية إدارة التحديثات والإصلاحات والموافقة عليها وتنفيذها والإبلاغ عنها من قبل المؤسسات المالية.
2. يجب مراقبة مدى فعالية عملية إدارة حزم التحديثات والإصلاحات وقياسها وتقييمها بشكل دوري.
3. يجب تقييم جميع حزم التحديثات والإصلاحات بدقة للتأكد من مدى تأثيرها من قبل أصحاب المصلحة المعنيين بما في ذلك الأمن السيبراني قبل تنفيذها في بيئة الإنتاج.
4. يجب الكشف على جميع الأنظمة أو فحصها بشكل دوري لتحديد أي حزم تحديثات أو تصحيحات أو ثغرات أمنية قديمة في الأنظمة.
5. يجب أن يتبع نشر حزم التحديثات والإصلاحات عملية إدارة تغيير رسمية.
6. يجب اختبار جميع حزم التحديثات والإصلاحات بدقة في بيئة اختبار منفصلة قبل إدخالها إلى بيئة الإنتاج لتجنب أي مشكلة في التوافق مع النظام والمكونات ذات الصلة.
7. وينبغي نشر حزمة التحديثات والإصلاحات على الأنظمة والمكونات ذات الصلة بشكل منهجي.
8. بعد نشر حزم التحديثات والإصلاحات في بيئة الإنتاج، يجب مراقبة الأنظمة بحثًا عن أي سلوك غير طبيعي، وإذا تم تحديد مثل هذا السلوك، يجب التحقيق بدقة لتحديد السبب الجذري وإصلاحه بشكل صحيح.
9. يجب إرسال نافذة نشر حزم التحديثات والإصلاحات (أي الجدول) إلى الأعمال وأصحاب المصلحة المعنيين مسبقًا ويفضل أن يتم ذلك خلال ساعات غير الذروة والفترات غير المتجمدة لتجنب أي تعطيل للأعمال.
10. يجب مراقبة المواجز الخارجية من بائعي البرمجيات أو المصادر الأخرى المعترف بها لتحديد أي ثغرات جديدة في النظام وتحديثها وتصحيحها وفقاً لذلك.
10.4.3 إدارة مشاريع تقنية المعلومات
المبدأ
يجب تحديد عملية رسمية والموافقة عليها وتنفيذها لإدارة مشروع تقنية المعلومات والمخاطر ذات الصلة بفعالية طوال دورة حياة المشروع.
متطلبات الرقابة
1. يجب تحديد عملية إدارة مشروع تقنية المعلومات والموافقة عليها من قبل المؤسسات المالية.
2. يجب أن تخضع عملية إدارة مشاريع تقنية المعلومات لدليل وسياسة وإجراءات إدارة مشاريع تقنية المعلومات المحددة والمعتمدة رسميًا لإدارة دورة حياة مشروع تقنية المعلومات من البداية حتى الإغلاق.
3. يجب مراقبة مدى فعالية عملية إدارة مشروع تقنية المعلومات وقياسها وتقييمها بشكل دوري.
4. يجب تزويد جميع مشاريع تقنية المعلومات بخطة المشروع التفصيلية، والتي تشمل على سبيل المثال لا الحصر ما يلي:
أ. تفاصيل نطاق العمل بما في ذلك أنشطة المشروع أو كل مرحلة من مراحل المشروع؛
ب. الأولويات والأحداث الرئيسية والجداول الزمنية المرتبطة بالمشروع أو كل مرحلة من مراحل المشروع؛
ج. المخرجات؛
د. الأدوار والمسؤوليات؛ و
هـ. المخاطر المرتبطة بأي مشاريع تقنية المعلومات.
5. يجب تحديد الوثائق اللازمة لمشروع تقنية المعلومات والموافقة عليها والاحتفاظ بها للأغراض المرجعية المستقبلية بما في ذلك على سبيل المثال لا الحصر ما يلي:
أ. ميثاق المشروع؛
ب. تحليل المتطلبات وتدفق المعلومات التجارية وتدفق المعلومات التقنية؛
ج. تحليل الجدوى وكذلك تحليل التكاليف والفوائد؛ و
د. خطة المشروع التفصيلية.
6. يجب إنشاء لجنة توجيهية لمشروع تقنية المعلومات تضم ممثلين من الفرق التجارية والفنية ذات الصلة للإشراف على الخطة والتقدم المحرز والمخاطر المرتبطة بمشاريع تقنية المعلومات.
7. يجب تقييم جميع مشاريع تقنية المعلومات لمعرفة المخاطر التي قد تؤثر على نطاق المشاريع وجدولها الزمني وجودتها. يجب تخفيف أي مخاطر محددة ومراقبتها طوال دورة حياة المشروع.
8. يجب الإبلاغ عن أي مخاطر كبيرة مرتبطة بمشروع تقنية المعلومات إلى اللجنة التوجيهية لمشروع تقنية المعلومات وإلى الإدارة العليا أو مجلس إدارة المؤسسة المالية في الوقت المناسب.
9. يجب مراجعة جميع مخرجات المشروع بواسطة وظيفة مستقلة لضمان الجودة أو شخص مستقل يتم تزويده بمثل هذه المسؤولية قبل بدء المشروع في بيئة الإنتاج.
10. يجب التخطيط لمراجعات ما بعد التنفيذ وتنفيذها لتحديد ما إذا كانت مشاريع تقنية المعلومات قد حققت الفوائد المتوقعة واستوفت متطلبات العمل/المستخدمين وامتثلت لدليل إدارة مشاريع تقنية المعلومات.
11. يجب على المؤسسات المالية إبلاغ "الإدارة العامة لمكافحة المخاطر السيبرانية" بأي مشاريع كبرى لتحويل تقنية المعلومات، مثل تنفيذ النظام الأساسي، بعد الحصول على موافقة الإدارة العليا.
12. يجب أن يشارك الأمن السيبراني خلال المراحل المختلفة من دورة حياة إدارة مشروع تقنية المعلومات بما يتماشى مع اعتبارات التحكم المنصوص عليها في الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.
11.4.3 ضمان الجودة
المبدأ
يجب تحديد عملية ضمان الجودة والموافقة عليها والإبلاغ عنها وتنفيذها للتأكد بشكل مستقل من جودة التغييرات أو التطوير في أصول المعلومات بما يتماشى مع متطلبات العمل/المستخدم قبل نقلها إلى بيئة الإنتاج.
متطلبات الرقابة
1. ينبغي تحديد عملية ضمان الجودة والموافقة عليها وتنفيذها والإبلاغ عنها من قبل المؤسسات المالية.
2. يجب مراقبة عملية ضمان الجودة وتقييمها بشكل دوري.
3. يجب أن تتناول عملية ضمان الجودة ما يلي، على سبيل المثال لا الحصر:
أ. أدوار ومسؤوليات واضحة للموظفين الذين يقومون بأنشطة ضمان الجودة؛
ب. الحد الأدنى من متطلبات الجودة التي تحددها المؤسسات المالية بما في ذلك الأعمال وأي متطلبات تنظيمية أخرى معمول بها؛ و
ج. عملية تحديد السجلات المتعلقة بالجودة وصيانتها وسحبها.
4. يجب أن يكون لوظيفة/إدارة ضمان الجودة وجود وتقارير مستقلة مع سلطة تقديم تقييم موضوعي.
5. يجب تقييم جميع التغييرات أو التطوير في نظام المعلومات من قبل فريق ضمان الجودة قبل إطلاقه في بيئة الإنتاج.
6. يجب لوظيفة ضمان الجودة تقديم تقرير بالنتائج التي تمت مراجعتها إلى أصحاب المصلحة المعنيين داخل المؤسسات المالية والبدء في التحسينات حيثما كان ذلك مناسبًا.