2. متطلبات استمرارية الأعمال
1.2 حوكمة إدارة استمرارية الأعمال
المبدأ
يجب تحديد واعتماد وتطبيق والحفاظ على إطار حوكمة استمرارية الأعمال، والرقابة عليه من قبل الإدارة العليا. كما يجب تحديد هيكلة استمرارية الأعمال والتعميم بها على كافة الموظفين والأطراف الثالثة المعنيين.
الهدف
توجيه ومراقبة وتقييم المنهجية الشاملة لاستمرارية الأعمال في المؤسسة المالية.
الضوابط الأساسية:
1. يجب أن يكون على مجلس الإدارة أو العضو التنفيذي المفوض المسؤولية النهائية عن برنامج إدارة استمرارية الأعمال.
2. يجب على مجلس إدارة المؤسسة المالية أو العضو المفوض من الإدارة العليا تخصيص ميزانية كافية لتنفيذ الأنشطة المطلوبة لإدارة استمرارية الأعمال.
3. يجب إنشاء لجنة إدارة استمرارية الأعمال وتكليفها من قبل مجلس الإدارة.
4. يجب أن تتضمن عضوية لجنة إدارة استمرارية الأعمال ممثلي الإدارة العليا المعنيين، مثل مدير المخاطر (CRO)، ومدير العمليات (COO)، ومدير تقنية المعلومات (CIO)، ومدير الأمن السيبراني (CISO).
5. يجب إعداد ميثاق لجنة استمرارية الأعمال ومتضمناً الآتي:
أ. أهداف اللجنة
ب. الأدوار والمسؤوليات
ج. الحد الأدنى من الأعضاء لانعقاد اللجنة.
د. وتيرة الاجتماعات (بما لا يقل عن ربع سنوي).
6. يجب إنشاء وحدة معنية بإدارة استمرارية الأعمال.
7. يجب أن يكون مدير/رئيس إدارة استمرارية الأعمال:
أ. قد تم تعيينه.
ب. يمتلك الصلاحيات المناسبة لإدارة برنامج إدارة استمرارية الأعمال.
ج. أن يكون مؤهلاً ويمتلك الخبرة والمهارات والجدارات المناسبة لتطبيق برنامج استمرارية أعمال المؤسسة المالية والحفاظ عليه.
8. يجب تزويد وحدة إدارة استمرارية الأعمال بالعدد الكافي والمؤهل من الكوادر.
9. يجب أن تساهم الفرق متعددة الوظائف والمكونة من أعضاء الفريق الاستراتيجي، والتكتيكي ،والعمليات في تطبيق والحفاظ على خطط استمرارية الأعمال والتعافي من الكوارث.
2.2 استراتيجية إدارة استمرارية الأعمال
المبدأ
يجب تحديد استراتيجية استمرارية الأعمال وموائمتها مع الأهداف المؤسسية الاستراتيجية الشاملة للمؤسسة المالية.
الهدف
التأكد من موائمة مبادرات استمرارية الأعمال مع الأهداف المؤسسية الاستراتيجية، والتحسين المستمر في مستوى نضج المؤسسة المالية عبر دمج إدارة استمرارية الأعمال ضمن ممارساتها الإدارية.
الضوابط الأساسية
1. يجب تحديد استراتيجية استمرارية الأعمال، واعتمادها، وتطبيقها والحفاظ عليها.
2. يجب أن تحدد الاستراتيجية بحد أدنى ما يلي:
أ. الأهداف الاستراتيجية طويلة المدى لتطبيق ونضج برنامج إدارة استمرارية الأعمال.
ب. خارطة الطريق والفترة الزمنية لتحقيق الأهداف الاستراتيجية.
ج. متطلبات المراجعة المستمرة والتحقق من موائمة برنامج إدارة استمرارية الأعمال مع الأهداف الاستراتيجية.
3.2 سياسة استمرارية الأعمال
المبدأ
يجب تحديد سياسة استمرارية الأعمال، واعتمادها، والتعميم به على أصحاب المصلحة المعنيين.
الهدف
توثيق التزام المؤسسة المالية وأهداف برنامج استمرارية الأعمال والتعميم به على أصحاب المصلحة المعنيين.
الضوابط الأساسية
1. يجب تحديد سياسة استمرارية الأعمال، واعتمادها، وتطبيقها، والتعميم بها.
2. يجب أن تحدد سياسة استمرارية الأعمال بحد أدنى ما يلي:
أ. الأهداف
ب. النطاق
ج. المسؤوليات
3. يجب مراقبة الالتزام بسياسة استمرارية الأعمال.
4. يجب قياس وتقييم فعالية تطبيق السياسات بشكل دوري.
5. يجب توثيق الاستثناءات من نطاق إدارة استمرارية الأعمال وتقييمها بشكل دوري. وتوثيق مبررات الاستثناءات واعتمادها من قبل لجنة إدارة استمرارية الأعمال والإدارة العليا.
4.2 تحليل أثر انقطاع الأعمال وتقييم المخاطر
المبدأ
يجب على المؤسسة المالية إجراء تحليل أثر انقطاع الأعمال وتقييم المخاطر لكافة الأنشطة ذات الصلة لتحديد متطلبات استمرارية الأعمال، والتعافي من الكوارث، والتحسينات المطلوبة عليها.
الهدف
التأكد من قيام كل مؤسسة مالية بتحديد عملياتها المؤسسية وتصنيف أولويتها والتبعيات الرئيسية لها، وتحديد ضوابط استمرارية الأعمال الكافية لتلبية متطلبات الأعمال، والمتطلبات التنظيمية، والقانونية، والالتزام.
الضوابط الأساسية
1. يجب تحديد منهجية تقييم الأثر على الأعمال وتقييم المخاطر، واعتمادها، وتطبيقها، والحفاظ عليها.
2. يجب على المؤسسة المالية إجراء تقييم دوري لمخاطر استمرارية الأعمال. وأن يشمل ذلك دون الحصر على الآتي:
أ. تحديد التهديدات الداخلية والخارجية المحتملة، بما يشمل نقاط الفشل الواحدة التي قد تتسبب في تعطيل الأنشطة الحساسة وفق ما تم تحديده في تحليل أثر انقطاع الأعمال وبمراعاة الأشخاص، والعمليات، والتقنيات، والمباني.
ب. تقييم المخاطر المحتملة وتحديد أولويتها من خلال تقييم التهديدات المحتملة وفق أثرها التشغيلي واحتمالية حدوثها.
ج. تحديد الضوابط المطلوبة لإدارة المخاطر المحددة.
د. تحديد الخطة التصحيحية وتطبيق ضوابط إدارة استمرارية الأعمال.
3. يجب على المؤسسة المالية تحديد الأنشطة وترتيب أولوياتها (مثل المنتجات والخدمات والمهام وإجراءات الأعمال) من خلال إجراء تحليل أثر انقطاع الأعمال لتحديد ما يلي على سبيل المثال دون الحصر:
أ. الأثر المحتمل لانقطاع الأعمال لكل مهمة وإجراء عمل ذي أولوية، وبما يشمل دون الحصر الآثار المالية، والتشغيلية، والقانونية، والتنظيمية، والأثر على العملاء.
ب. أوقات التعافي المستهدفة (RTOs)، ونقاط الاسترجاع المستهدفة (RPOs) والحد الأقصى المقبول للانقطاع (MAO).
ج. الارتباطات المتبادلة داخلياً وخارجياً.
د. موارد دعم التعافي.
4. يجب على لجنة إدارة استمرارية الأعمال إقرار قائمة الأولويات، ونتائج تحليل أثر انقطاع الأعمال، وتقييم المخاطر، وأوقات التعافي المستهدفة(RTOs)، ونقاط الاسترجاع المستهدفة(RPOs)، والحد الأقصى المقبول للانقطاع (MAO).
5. يجب مشاركة نتائج تقييم المخاطر مع لجنة إدارة استمرارية الأعمال.
6. يجب تحديث تحليل أثر انقطاع الأعمال وتقييم المخاطر بشكل سنوي وعند حدوث تغييرات جوهرية (مثل التغييرات في الهيكل التنظيمي، والعمليات، والتقنيات، والموردين، والمواقع).
7. يجب أن يتضمن التقييم المخاطر المرتبطة بالمؤسسة المالية بشكل عام ومراكز البيانات (الأساسية والاحتياطية) التي لا تملكها (مثل مراعاة تحديد الفترة الزمنية الكافية للانتقال إلى موقع جديد وتضمينها في الاتفاقيات التعاقدية).
8. يجب إجراء تقييم دوري سنوي كحد أدنى لقياس قدرة الموردين، ومزودي الخدمات في دعم والحفاظ على مستويات الخدمة للأنشطة ذات الأولوية أثناء الحوادث المعطّلة.
9. يجب على المؤسسات المالية التأكد من مناسبة أوقات التعافي المستهدفة (RTOs) لأنظمة الدفع، والخدمات المرتبطة بالعملاء، وغيرها، ومراعاة متطلبات التوافر العالي لهذه العمليات والحد الأدنى من التعطل في حالة وقوع كارثة.
5.2 خطة استمرارية الأعمال (BCP)
المبدأ
يجب على المؤسسة المالية تحديد، واعتماد، وتطبيق خطة استمرارية الأعمال لأنشطتها الحساسة. ومراقبة الالتزام بخطة استمرارية الأعمال وقياس وتقييم مدى فاعليتها بشكل دوري.
الهدف
التأكد من قدرة المؤسسة المالية على تحديد وإيضاح الإجراءات الواجب اتخاذها، والموارد اللازمة للتمكن من إدارة الانقطاعات المعطلة، والعودة إلى الوضع اللازم لاستئناف العمليات المؤسسية العادية.
الضوابط الأساسية
1. يجب تحديد خطة استمرارية الأعمال واعتمادها وتطبيقها والحفاظ على جاهزيتها للاستخدام أثناء الحوادث المعطلة، وبما يمكن المؤسسة المالية من مواصلة تنفيذ أنشطتها الهامة والعاجلة وفق مستوى مقبول ومحدد مسبقًا.
2. يجب على المؤسسة المالية تحديد، واعتماد، وتطبيق إجراءات الاستجابة للحوادث المعطلة. وأن تشمل الإجراءات مجتمعةً الآتي:
أ. الموارد الرئيسية (مثل الأشخاص، والمعدات، والمرافق، والتقنيات).
ب. تحديد الأدوار والمسؤوليات والصلاحيات لأصحاب المصلحة المعنين.
ج. عملية إدارة الآثار الفورية للحوادث المعطلة وإجراءات التصعيد.
د. عملية مواصلة الأنشطة الحساسة ضمن أهداف التعافي المحددة مسبقًا (وقت التعافي المستهدف (RTO)، ونقطة الاسترجاع المستهدف (RPO)، والحد الأقصى المقبول للانقطاع (MAO)).
هـ. عملية استئناف عمليات المؤسسة المالية وفق المعتاد حين معالجة الحادثة.
و. إرشادات التواصل مع الموظفين، والأطراف الثالثة ذات الصلة، وجهات الاتصال في حالات الطوارئ.
ز. عملية تضمين متطلبات الأمن السيبراني ذات الصلة، إن وجدت، ضمن تخطيط استمرارية الأعمال.
3. يجب مراقبة الالتزام بخطة استمرارية الأعمال.
4. يجب قياس وتقييم مدى فعالية خطط استمرارية الأعمال بشكل دوري.
5. على مدير استمرارية الأعمال ومنسقو استمرارية الأعمال مسؤولية الحفاظ والتحديث على خطط استمرارية الأعمال والترتيبات.
6. يجب أن يكون لدى المؤسسة المالية مساحات عمل احتياطية كافية بما يمكنها من نقل الموارد المطلوبة لتنفيذ العمليات الحساسة والمطلوبة وفق أهداف التعافي المحددة مسبقًا ضمن تحليل أثر انقطاع الأعمال.
7. يجب أن تحتوي مساحات العمل الاحتياطية على تقسيمات واضح لمناطق جلوس وحدات الأعمال المختلفة.
8. يجب على المؤسسة المالية تطبيق الضوابط الأمنية المنطقية، والمادية، والبيئية الكافية لتوفير مستوى الوصول والأمان ذاته في حال الحاجة إلى تفعيل الموقع الاحتياطي.
10. يجب على المؤسسة المالية التأكد أن لدى مزودي الخدمة الأساسين خطة لاستمرارية الأعمال (في حال تطلب ذلك) لدعم الأنشطة الحساسة وفق تحليل أثر انقطاع الأعمال، وأن يتم اختبارها على أساس سنوي كحد أدنى.
6.2 خطة التعافي من كوارث تقنية المعلومات (DRP)
المبدأ
يجب على المؤسسة المالية تحديد، واعتماد، وتطبيق، والحفاظ على خطة التعافي من كوارث تقنية المعلومات لأنشطتها الحساسة والبنى التحتية التقنية ذات الصلة.
الهدف
التأكد أن لدى المؤسسة المالية خطة للتعافي من كوارث تقنية المعلومات وقائمة محدثة بالأنشطة الحساسة في حالة وقوع حادث معطّل.
الضوابط الأساسية
1. يجب تحديد، واعتماد، وتطبيق خطة التعافي من كوارث تقنية المعلومات لاستعادة واسترداد خدمات تقنية المعلومات ومكونات البنية التحتية التقنية (البيانات، والأنظمة، والشبكة، والخدمات، والتطبيقات) والحفاظ عليها بما يتماشى مع تحليل أثر انقطاع الأعمال.
2. يجب على المؤسسة المالية إنشاء مركز بيانات احتياطي في موقع مناسب. ويجب تحديد الموقع بناءً على:
أ. إجراء تقييم للمخاطر والتحقق من أن الموقع لا يتشارك في المخاطر مع المركز الرئيسي (مثل التهديدات الجغرافية).
ب. الحصول على موافقة من البنك المركزي السعودي.
3. يجب أن تتناسب إعدادات البيانات، والنظم، والتطبيقات، والطاقة الاستيعابية في مركز البيانات الاحتياطي مع التي ما يتم الحفاظ عليه في مركز البيانات الرئيسي.
4. يجب على المؤسسة المالية تطبيق الضوابط الأمنية المنطقية، والمادية، والبيئية، والسيبرانية في مركز البيانات الاحتياطي وفق ما هي عليه في مركز البيانات الرئيسي.
5. يجب على المؤسسة المالية تحديد وتطبيق عملية النسخ الاحتياطي والاستعادة.
6. يجب أن يكون لدى المؤسسة المالية موقع خارجي لحفظ النسخ الاحتياطية.
7. يجب تتضمن العقود المبرمة مع الأطراف الثالثة المعنية التأكيد على استمرارية الخدمات المسندة لها، أو توفير الأجهزة أو البرامج البديلة خلال الفترات الزمنية المتفق عليها في حالة وقوع كارثة. والإرشادات للتأكد أن توافق العقود المبرمة مع نتائج تحليل أثر انقطاع الأعمال وتقييم المخاطر.
8. على مدير تقنية المعلومات مسؤولية الحفاظ على خطط وترتيبات التعافي من الكوارث وتحديثها، وعلى مدير إدارة استمرارية الأعمال المسؤولية الشاملة في تكامل الخطط ضمن برنامج إدارة استمرارية الأعمال.
9. يجب مراقبة الالتزام بخطة التعافي من الكوارث.
10. يجب قياس وتقييم مدى فعالية خطة التعافي من كوارث تقنية المعلومات على أساس سنوي كحد أدنى.
7.2 المرونة السيبرانية
المبدأ
يجب على المؤسسة المالية التأكد من اعتمادية ومتانة البنى التحتية والبرمجيات في تشغيل الخدمات، ووظائف الأعمال، والعمليات الحساسة لديها.
الهدف
التأكد من أن الخدمات، ووظائف الأعمال، والعمليات الحساسة لدى المؤسسة المالية متوافرة حين الحاجة لها ومقاومة للانقطاعات.
الضوابط الأساسية
1. يجب أن تخضع كافة التغييرات في البنى التحتية والبرمجيات التي تدعم الخدمات الحساسة، ووظائف الأعمال، والعمليات بشكل مباشر إلى الآتي:
أ. تقييمات دقيقة للمخاطر للتأكد من تلبية متطلبات الأعمال المتفق عليها في شأن التوافر العالي والتعافي.
ب. اتباع إجراءات حازمة للتطوير، والاختبار، وإدارة التغيير لتجنب نقطة الفشل الواحدة أو الأعطال.
2. يجب تحديد واعتماد المراجعة المعمارية بشكل دوري للتأكد من معالجة متطلبات الأعمال في شأن التوافر واستمرارية الأعمال وصحة تطبيقها.
ملاحظة. يرجى الاطلاع على التعليمات الصادرة عن البنك المركزي السعودي في شأن الدليل التنظيمي لأمن المعلومات للمزيد من الضوابط المعززة للمرونة التشغيلية، مثل إدارة التهديدات، وإدارة الثغرات الأمنية.
8.2 خطة إدارة الأزمات
المبدأ
يجب على المؤسسة المالية تحديد، واعتماد، وتطبيق خطة لإدارة الأزمات ولتمكين الاستجابة والتواصل الفعال في حال الحوادث الكبرى، ولضمان السلامة العامة لأصحاب المصلحة الداخليين والخارجيين.
الهدف
التأكد أن لدى المؤسسة المالية خطة فعالة ومحدثة لإدارة الأزمات في حال وقوع حادث معطّل للمنتجات، والخدمات، ووظائف الأعمال، والعمليات الحساسة لديها.
الضوابط الأساسية
1. يجب تحديد خطة لإدارة الأزمات واعتمادها وتطبيقها.
2. يجب مراقبة الالتزام بخطة إدارة الأزمات.
3. يجب قياس وتقييم مدى فعالية برنامج استمرارية الأعمال ضمن خطة إدارة الأزمات بشكل دوري.
4. يجب على المؤسسة المالية توثيق خطة (خطط) إدارة الأزمات لتحديد كيفية التعامل مع وإدارة الأزمات الناتجة عن حادثة (حوادث) كبرى، وأن تتضمن الآتي كحد أدنى:
أ. معايير تأكيد الأزمة.
ب. يجب على المؤسسة المالية إنشاء مركز أساسي واحتياطي للإدارة المركزية للطوارئ.
ج. تحديد أعضاء فريق إدارة الأزمات، ومراعاة توافر ممثلي إدارة الأعمال للمنتجات والخدمات والوظائف والعمليات الحساسية في المؤسسة المالية (بما يشمل إدارة التواصل).
د. بيانات التواصل لأعضاء فريق إدارة الأزمات (بما يشمل الأطراف الثالثة).
هـ. تحديد الخطوات الواجب اتخاذها أثناء وبعد الأزمة أو الكارثة (بما يشمل التفويضات اللازمة).
و. خطة التواصل متضمنة خطة الاستجابة الإعلامية لمعالجة التواصل أثناء الأزمات مع أصحاب المصلحة الداخليين والخارجيين.
ز. وتيرة الاختبارات لإدارة الأزمات.
9.2 الاختبارات
المبدأ
يجب على المؤسسة المالية تحديد، واعتماد، وتطبيق، ومراقبة الاختبارات الدورية لاستمرارية الأعمال وخطط التعافي من الكوارث بما يمكن تدريب موظفيها والأطراف الثالثة، واختبار فعالية خطط استمرارية الأعمال والتعافي من الكوارث.
الهدف
التأكد من ملائمة الخطط الحالية لاستمرارية الأعمال والتعافي من الكوارث للمؤسسة المالية، وأن الموظفين والأطراف الخارجية مدربون على تطبيق هذه الخطط.
1.9.2 اختبار خطة استمرارية الأعمال
الضوابط الأساسية
- يجب على المؤسسة المالية إجراء تمارين محاكاة دورية لاختبار خطة استمرارية الأعمال (مرة واحدة في السنة كحد أدنى).
- يجب أن تراعي الاختبارات ملائمة السيناريوهات وخطط تنفيذها ووضوح أهدافها (على سبيل المثال وفق الوحدات الإدارية، والخدمات، والعمليات، والموقع، وأسوأ الاحتمالات)، كما يجب على المؤسسة المالية مراعات تضمين سيناريوهات الأمن السيبراني.
- يجب أن تشمل سيناريوهات الاختبار تفعيل وإشراك فريق إدارة الأزمات.
- بعد الانتهاء من الاختبارات الفردية أعلاه، يجب على كل مؤسسة مالية مراعات إجراء اختبار متكامل لإدارة استمرارية الأعمال لجميع الخدمات الحساسة والعمليات المؤسسية والوحدات الإدارية.
- يجب على المؤسسة المالية إجراء تمارين محاكاة دورية لاختبار خطة استمرارية الأعمال (مرة واحدة في السنة كحد أدنى).
2.9.2 اختبار خطة التعافي من الكوارث
الضوابط الأساسية
- يجب على المؤسسة المالية إجراء اختبار دوري للتعافي من الكوارث بالتزامن مع خطة استمرارية الأعمال (مرة واحدة في السنة كحد أدنى).
- يجب على المؤسسة المالية تقييم اختبار التعافي من الكوارث للبنى التحتية التقنية لأنظمتها الحساسة، وذلك للتأكد من إمكانية وجاهزية التعافي من الكوارث واستئناف العمليات المؤسسية الحساسة لفترة من الوقت في حال وقوع كارثة كبرى.
- يجب أن تتيح نتائج اختبار التعافي من الكوارث تقييمها والتحسينات المقترحة لإدارة الأحداث المعطّلة ذات الأثر على استمرارية أعمال المؤسسة المالية.
- يجب أن يشمل ذلك تفعيل وإشراك فريق إدارة الأزمات.
- يجب على المؤسسة المالية إجراء اختبار دوري للتعافي من الكوارث بالتزامن مع خطة استمرارية الأعمال (مرة واحدة في السنة كحد أدنى).
3.9.2 الاختبارات المنفذة
1. يجب توثيق النتائج التفصيلية لكافة التمارين والاختبارات للرجوع إليها في المستقبل. وأن تتضمن نتائج التمارين/الاختبارات الاعتبارات الآتية دون الحصر:
أ. التأكد من تحقيق أهداف التمرين المطبق للخطة.
ب. التأكد من قدرة وجاهزية موارد التعافي.
ج. توثيق الدروس المستفادة والتحسينات المطلوبة.
د. تحديد السبب الجذري للفشل في حال حدوثه، وإجراءات المعالجة الواجب متابعتها حتى الوصول الى نتيجة ناجحة.
2. يجب إعادة اختبار الخطة وفق المدة الزمنية المحددة في حالة فشلها، على أن لا تتجاوز المدة الزمنية ثلاثة (3) أشهر.
3. يجب على المراجع الداخلي في المؤسسة المالية أو المراجع الخارج المؤهل مراقبة أنشطة اختبار استمرارية الأعمال والتعافي من الكوارث عبر المشاركة المستقلة ولغرض التأكيد المعقول بشأن الأنشطة المطبقة ونتائج الاختبارات وما إن كانت تلبي الأهداف الشاملة لبرنامج استمرارية أعمال المؤسسة المالية.
4. يجب إبلاغ لجنة إدارة استمرارية الأعمال والإدارة العليا ومجلس الإدارة بنتائج كافة اختبارات خطة استمرارية الأعمال وخطة التعافي من الكوارث.
10.2 التوعية والتدريب
المبدأ
يجب على المؤسسة المالية إعداد وتطبيق والحفاظ على برنامج تدريبي وتوعوي يدعم بشكل فعال أهداف إدارة استمرارية الأعمال من خلال تطوير الكفاءة المطلوبة بين الموظفين.
الهدف
يجب على المؤسسة المالية التأكد من دمج إدارة استمرارية الأعمال في أنشطتها اليومية، من خلال خطة توعية مستمرة وموثقة.
الضوابط الأساسية
1. يجب على المؤسسة المالية والأطراف الثالثة ذات الصلة، مثل المزودين والموردين:
أ. الإلمام بالبنود ذات الصلة ضمن سياسة وخطط استمرارية الأعمال.
ب. الالتزام تعاقدياً على تقديم الخدمات أو المنتجات في وقت متفق عليه حال وقوع حادث معطّل.
ج. الإلمام ببيانات ضباط اتصالها أو منسقي استمرارية الأعمال في المؤسسة المالية.
د. الإلمام بالأدوار والمسؤوليات في حال وقوع حوادث معطّلة.
2. يجب تقديم برنامج تدريبي على أساس سنوي للموظفين المشاركين في إدارة استمرارية الأعمال لتحقيق المستوى المطلوب من الخبرة والمهارات والكفاءات.
3. يجب على المؤسسة المالية قياس فعالية برنامج التدريب والتوعية بشكل دوري.
11.2 التواصل
المبدأ
يجب على المؤسسة المالية تحديد وإنشاء والحفاظ على إجراءات التواصل الدوري مع البنك المركزي فيما يخص برامج استمرارية أعمالها.
الهدف
التأكد من استمرارية التواصل مع البنك المركزي من خلال تحديد واعتماد بروتوكول ووتيرة التواصل، والأدوار والمسؤوليات والالتزام بها.
الضوابط الأساسية
- يجب على المؤسسة المالية إبلاغ البنك المركزي فوراً في حال وقوع حوادث معطّلة ذات تصنيف "متوسط" أو "عالي"، ومشاركة البنك المركزي تقرير ما بعد الحادثة عند استئناف عملياتها العادية.
- يجب على المؤسسة المالية التنسيق مع وكالة الرقابة في البنك المركزي عند التواصل مع وسائل الإعلام في حال وقوع الحوادث.
- يجب على المؤسسات المالية الحصول على موافقة البنك المركزي عند اختيار موقع جديد لمركز البيانات الرئيسي أو الاحتياطي الخاص بها، أو عند الرغبة بنقل مركز البيانات الرئيسي أو الاحتياطي الحالي.
- يجب على المؤسسة المالية إبلاغ البنك المركزي بالبرنامج المعتمد لتنفيذ اختبارات استمرارية الأعمال والتعافي من الكوارث بنهاية شهر يناير من كل عام.
- يجب على المؤسسة المالية مشاركة نتائج اختبار استمرارية الأعمال والتعافي من الكوارث مع البنك المركزي في غضون أربعة أسابيع من إجراءها. وتحديد التحسينات المطلوبة بناءً على الاختبار الذي تم إجراؤه وتقديم خطة عمل إلى البنك المركزي في غضون شهرين بعد تقديم نتائج الاختبار.
- يجب على المؤسسة المالية إبلاغ البنك المركزي فوراً في حال وقوع حوادث معطّلة ذات تصنيف "متوسط" أو "عالي"، ومشاركة البنك المركزي تقرير ما بعد الحادثة عند استئناف عملياتها العادية.
12.2 المراجعة الدورية للوثائق
المبدأ
يجب مراجعة وتحديث برنامج استمرارية الأعمال والتعافي من الكوارث، والسياسات، والخطط، والإجراءات بشكل دوري، وفي حالة حدوث تغييرات (جوهرية) في المنتجات، والخدمات، ووظائف الأعمال و/أو العمليات الحساسة لدى المؤسسة المالية.
الهدف
التأكد من حداثة كافة مستندات استمرارية الأعمال بما يمكن الاستفادة منها في استعادة العمليات المؤسسية حال وقوع حادث معطّل.
الضوابط الأساسية
- يجب على المؤسسات المالية وضع إجراءات لمراجعة/وتحديث واعتماد مستندات استمرارية الأعمال.
- يجب أن تتضمن كافة المستندات بوضوح تاريخ مراجعتها واعتمادها.
- يجب على المؤسسات المالية وضع إجراءات لمراجعة/وتحديث واعتماد مستندات استمرارية الأعمال.
13.2 التأكيد
المبدأ
يجب أن تخضع إدارة استمرارية الأعمال في المؤسسات المالية للمراجعة والتدقيق الدوري من قبل طرف مؤهل ومستقل داخلي أو خارجي لضمان فعاليتها، وللتأكد من الالتزام بالدليل التنظيمي لإدارة استمرارية الأعمال الصادر عن البنك المركزي.
الهدف
التأكد من قيام طرف مستقل بمراجعة الأنشطة المرتبطة بالدليل التنظيمي لإدارة استمرارية الأعمال وإبلاغ الإدارة العليا بشكل مستقل عن الملاحظات المرصودة في شأنها.
الضوابط الأساسية
- يجب على المؤسسة المالية إجراء مراجعة / تدقيق لإدارة استمرارية الأعمال من قبل طرف مؤهل ومستقل داخلي / خارجي.
- يجب على المؤسسة المالية تحديد الفجوات وتوفير خارطة تنفيذ إجراءات تعزيز إدارة استمرارية الأعمال داخل المؤسسة.
- يجب إبلاغ الإدارة العليا ولجنة إدارة استمرارية الأعمال عن الملاحظات المرصودة والخطط التصحيحية لها.
- يجب على المؤسسة المالية إجراء مراجعة / تدقيق لإدارة استمرارية الأعمال من قبل طرف مؤهل ومستقل داخلي / خارجي.