Skip to main content
رجوع طباعة مخصصة Text Only Rich Text PDFطباعة / حفظ بصيغة
تحميل الوثيقة الأصلية

  • أمن المعلومات

    • الدليل التنظيمي لأمن المعلومات - متطلبات مستوى النضج الرابع

             إلحاقاً لتعليمات البنك المركزي الصادرة بموجب التعميم رقم 381000091275 وتاريخ 1438/8/28هـ في شأن الدليل التنظيمي لأمن المعلومات (Cyber Security Framework) ومستوى النضج الثالث (Maturity Level 3).
       

            أفيدكم أنه استناداً إلى صلاحيات البنك المركزي لتعزيز الأمن السيبراني في القطاع المالي ورفع مستوى النضج لمواجهة التحديات السيبرانية وإدارتها بشكل احترافي ومتقدم، فقد تقرر على البنوك الآتي:
       

      1-وضع خطة عمل (Roadmap) لتحقيق جميع متطلبات مستوى النضج الرابع (Maturity Level 4) كحد أقصى نهاية الربع الثالث من عام 2020م، لجميع متطلبات المكونات الفرعية الآتية (Subdomain) الواردة في الدليل التنظيمي لأمن المعلومات:
       
        14.3.3-Cyber Security Event Management 
        15.3.3-Cyber Security Incident Management
        16.3.3-Threat Management
        17.3.3-Vulnerability Management
      2- تقديم الدعم اللازم لإدارة أمن المعلومات وتزويدهم بالكفاءات من الكوادر الوطنية والأدوات التقنية والتدريب المناسب للقيام بدورهم على أكمل وجه.
       
      3- عرض خطة العمل (Roadmap) كما ورد في الفقرتين (1) و(2) على مجلس الإدارة وأخذ موافقة على الخطة والدعم اللازم.
       
      4-تزويد البنك المركزي (إدارة الإشراف على مخاطر تقنية معلومات القطاع المالي) بالتالي:
       
        أ-الخطة المعتمدة من مجلس الإدارة بنهاية الربع الأول من العام 2019م.
       
        ب-تقارير ربع سنوية اعتباراً من نهاية الربع الثاني من عام 2019م يبين مراحل استيفاء متطلبات البنك المركزي في هذا الشأن لحين اكتمالها.
       
        ج-تقرير سنوي مفصل من قبل إدارة المراجعة الداخلية بالبنك يوضح مدة الالتزام بمتطلبات الدليل التنظيمي مقارنة بدرجة النضج المطلوبة، حسب الأداة التي سيحددها البنك المركزي.
       

            كما سيقوم البنك المركزي بزيارات ميدانية للتحقق من الالتزام بهذه التعليمات.

    • متابعة الإجراءات التصحيحية لنتائج برنامج تقييم أنظمة الحماية وأمن المعلومات لجميع البنوك العاملة في المملكة

            إشارة إلى تعميم البنك المركزي رقم 53331/م‏ أ/25514 ‏ وتاريخ 1433/12/9ه‏ـ بخصوص توجيه البنوك العاملة في المملكة إجراء تقييم لأنظمة الحماية وأمن المعلومات وخطط استمرارية العمل من خلال التعاقد مع شركات عالمية متخصصة في مجال أمن المعلومات. وإعداد تقرير تفصيلي عما يتم التوصل إليه من ملاحظات في هذا الشأن والتوصيات المقترحة لمعالجتها، وتزويد البنك المركزي بنسخة من التقرير.

          ولأهمية معالجة جميع الملاحظات الواردة في التقرير المشار إليه أعلاه وفقاً للأنظمة والتعليمات الصادرة من البنك المركزي وأفضل الممارسات الدولية، عليه نأمل تشكيل لجنة داخلية من المختصين في البنك لمتابعة ومراقبة تنفيذ الإجراءات التصحيحية الواردة في التقرير المشار إليه ‏أعلاه وإعداد تقرير متابعة ربع سنوي عن المنجز من الخطة التصحيحية وإفادة مجلس إدارة البنك والبنك المركزي (إدارة الإشراف البنكي) بنسخة من التقرير المعد بداية من الربع الأول للعام الحالي 2014م.

        

    • إستراتيجية أمن المعلومات​ للقطاع المصرفي

       

      إن إستراتيجية أمن المعلومات​ للقطاع المصرفي السعودي متوفر حالياً باللغة الإنجليزية فقط, الرجاء الضغط هنا لقراءة المحتوى.

       إشارةً إلى التقدم التقني والثورة المعلوماتية التي يشهدها العالم حيث أصبحت الجهات المالية تتنافس في تقديم الخدمات الإلكترونية والاعتماد بشكل كبير على التقنية في ممارسة أعمالها. وبالرغم من تقديم التقنية للعديد من التسهيلات إلا أنه يصاحبها العديد من المخاطر التي يخشى أن تؤثر على سرية ودقة وتوافر المعلومات. كما لا يخفى عليكم تزايد الهجمات الإلكترونية عالمياً وإقليمياً والتي تستهدف العديد من البنى التحتية والتي من أهمها القطاع المصرفي الذي هو أحد ركائز الاقتصاد الوطني. لذا رأى البنك المركزي من منطلق دوره الإشرافي والرقابي تطوير استراتيجية شاملة لأمن المعلومات للقطاع المصرفي (Cyber Security Strategy of the Saudi Banking Sector) مستند على أفضل الممارسات والتجارب العالمية. وعليه قام البنك المركزي خلال الفترة الماضية بالتعاون مع البنوك والمصارف العاملة بالمملكة من خلال لجنة مدراء أمن المعلومات البنكية وأحد المكاتب الاستشارية بتطوير هذه الاستراتيجية وعقد العديد من ورش العمل وزيارات للبنوك والمصارف ومقابلة مسؤولي أمن المعلومات والجهات ذات العلاقة. بالإضافة لأخذ مرئيات جميع البنوك والمصارف حيال مسودة الاستراتيجية المرسلة لهم بالخطاب رقم 381000013322 وتاريخ 1438/02/03هـ حيث كانت مشاركة البنوك فعالة مما ساهم في صياغة الاستراتيجية بشكلها النهائي.

      وعليه يسرني أن أرفق لكم النسخة النهائية للاستراتيجية الخاصة بأمن المعلومات للقطاع المصرفي حيث يتعين على البنك/ المصرف الالتزام بالآتي:

      أولأ: عرض الاستراتيجية على مجلس الإدارة والتأكيد على الإدارة التنفيذية والإدارات ذات العلاقة في البنك/ المصرف بدعم هذا التوجه الاستراتيجي للبنك المركزي نحو تأسيس سياسات وبيئة أمن معلومات ناضجة.
      ثانياً: التأكد من أن استراتيجية أمن المعلومات الخاصة بالبنك/ المصرف متوافقة ومتناغمة مع استراتيجية القطاع المصرفي، وتزويد إدارة أمن المعلومات بالكفاءات البشرية والأدوات والتدريب المناسب.
      ثالثاً: تبني تطبيق استراتيجية أمن المعلومات للقطاع المصرفي وما ينبثق منها من مبادرات لتحقيق الأهداف الإستراتيجية شاملة المستهدفات التي ستكون مدرجة ضمن كل مبادرة.
      رابعاً: دعم ممثلي البنك/ المصرف المشاركين مع فرق العمل في إعطاء تبني الاستراتيجية الأهمية العالية وعمل مراجعة دورية مع الإدارة التنفيذية ومجلس الإدارة للاطلاع على المستجدات والتأكد من تذليل جميع العقبات التي تواجه فرق العمل المشتركة في المهام الموكلة لهم.

      ومما تجدر الإشارة إليه أن تطبيق الاستراتيجية يتطلب تكامل وتظافر الجهود المادية والبشرية بين البنك المركزي والبنوك لإنجاز هذا العمل الوطني الهام، ونفيدكم أن البنك المركزي سيقوم بترتيب اجتماع مع مدراء أمن المعلومات لشرح آلية التنفيذ وتكوين فرق العمل وذلك لتحقيق الأهداف المنشودة.

    • مسودة استراتيجية أمن المعلومات للقطاع المصرفي

    • لجنة أمن المعلومات

      إن هذا التعميم متوفر حالياً باللغة الإنجليزية فقط, الرجاء الضغط هنا لقراءة المحتوى.