القسم بأكمله | SAMA Rulebook

إطلاق تجريبي

يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:

كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.

ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.

مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.

المرونة السيبرانية

المتطلبات الأساسية للمرونة السيبرانية (CRFR)
لقراءة المتطلبات الأساسية للمرونة السيبرانية (CRFR), اضغط هنا.

الدليل التنظيمي لأمن المعلومات في القطاع المالي

انطلاقاً من حرص البنك المركزي في تحسين مستوى الممارسات بخصوص أمن المعلومات في المؤسسات المالية التي تشرف عليها من خلال وجود آلية فعالة مطبقة ومختبرة في المؤسسات المالية مستندة على أفضل الحلول والممارسات التي توفر بيئة أمن معلومات ناضجة ومرنة في التصدي لما قد يتعرض له القطاع من هجمات إلكترونية، وإشارة إلى مبادرات البنك المركزي الاستراتيجية الخاصة بأمن المعلومات والتي من ضمنها تطوير وإصدار دليل تنظيمي لأمن المعلومات (Cyber Security Framework) في المؤسسات المالية والتي تخضع لإشراف البنك المركزي.

نفيدكم أنه تم اعداد الدليل التنظيمي لأمن المعلومات (Cyber Security Framework) والذي يتعين على جميع البنوك العاملة في المملكة الالتزام الكامل بما ورد فيه وذلك حسب الآتي:

أولاً:	عمل تقييم دقيق للوضع الحالي لأمن المعلومات في المؤسسة المالية مقارنة بما ورد من متطلبات في الدليل التنظيمي (Gap-Assessment) لتحديد مواطن الضعف وتقييم مستوى النضج وفق ما ورد في الدليل من تعريف لـ (Maturity Level).
ثانياً:	وضع خطة عمل (Roadmap) لتحقيق جميع متطلبات مستوى النضج الثالث (Maturity Level 3) كحد أدنى لجميع المتطلبات المذكورة في الدليل بعد تقييم الوضع الحالي في بيئة المؤسسة المالية بشكل دقيق.
ثالثاً:	يتوجب على المؤسسة المالية عرض الخطة المعدة (Roadmap) على مجلس الإدارة واطلاعهم عليها وأخذ الموافقة على الخطة والدعم اللازم.
رابعاً:	يتعين على المؤسسة المالية إرسال الخطة المعدة للبنك المركزي في موعد أقصاه نهاية شهر أغسطس 2017م.
خامساً:	تزويد البنك المركزي بتقارير ربع سنوية اعتباراً من نهاية الربع الثالث لعام 2017م وحتى التزام المؤسسة المالية بمتطلبات البنك المركزي.
سادساً:	على المؤسسة المالية الالتزام التام بالمتطلبات المذكورة في الدليل بنهاية شهر أكتوبر 2018م.
سابعاً:	يتوجب على لجنة أمن المعلومات في المؤسسة المالية متابعة تطبيق الدليل التنظيمي ومدى الالتزام بالخطة المعتمدة والدعم الكامل لحل جميع العقبات التي تواجه فرق العمل في المؤسسة المالية والتصعيد الداخلي لصاحب الصلاحية عن كل ما من شأنه يؤثر أو يعيق تطبيق المتطلبات.

وبموجب التعميم رقم (51610/99) وتاريخ 1440/08/17هـ يتعين على المسؤولين في المؤسسات المالية إعطاء الدعم اللازم لإدارة أمن المعلومات وتزويدهم بالكفاءات من الكوادر الوطنية والأدوات التقنية والتدريب المناسب للقيام بدورهم بأكمل وجه.

وبموحب التعميم رقم (29814/67) وتاريخ 1440/05/11هـ و استناداً إلى صلاحيات البنك المركزي لتعزيز الأمن السيبراني في القطاع المالي ورفع مستوى النضج لمواجهة التحديات السيبرانية وإدارتها بشكل احترافي ومتقدم، فقد تقرر على البنوك الآتي:

1-	وضع خطة عمل (Roadmap) لتحقيق جميع متطلبات مستوى النضج الرابع (Maturity Level 4) كحد أقصى نهاية الربع الثالث من عام 2020م، لجميع متطلبات المكونات الفرعية الآتية (Subdomain) الواردة في الدليل التنظيمي لأمن المعلومات:
		3.3.14	-Cyber Security Event Management
		3.3.15	-Cyber Security Incident Management
		3.3.16	-Threat Management
		3.3.17	-Vulnerability Management
2-	تقديم الدعم اللازم لإدارة أمن المعلومات وتزويدهم بالكفاءات من الكوادر الوطنية والأدوات التقنية والتدريب المناسب للقيام بدورهم على أكمل وجه.
3-	عرض خطة العمل (Roadmap) كما ورد في الفقرتين (1) و(2) على مجلس الإدارة وأخذ موافقة على الخطة والدعم اللازم.
4-	تزويد البنك المركزي (إدارة الإشراف على مخاطر تقنية معلومات القطاع المالي) بالتالي:
		أ-	الخطة المعتمدة من مجلس الإدارة بنهاية الربع الأول من العام 2019م.
		ب-	تقارير ربع سنوية اعتباراً من نهاية الربع الثاني من عام 2019م يبيّن مراحل استيفاء متطلبات البنك المركزي في هذا الشأن لحين اكتمالها.
		ج-	تقرير سنوي مفصل من قبل إدارة المراجعة الداخلية بالبنك يوضح مدة الالتزام بمتطلبات الدليل التنظيمي مقارنة بدرجة النضج المطلوبة، حسب الأداة التي سيحددها البنك المركزي.

ونود الإحاطة أن البنك المركزي سوف يقوم بعمل زيارات تفتيشية بشكل دوري للتأكد من دقة التقييم ودرجة الالتزام مع متطلبات الدليل التنظيمي، وفي حال وجود أي استفسار يمكن التواصل مع مدير مخاطر تقنية المعلومات البنكية.

مبادئ تحليل التهديدات السيبرانية للقطاع المالي
لقراءة مبادئ تحليل التهديدات السيبرانية للقطاع المالي, اضغط هنا.

ضوابط التحقق من عملاء شركات التقنية المالية
لقراءة ضوابط التحقق من عملاء شركات التقنية المالية, اضغط هنا.

الدليل التنظيمي لإدارة استمرارية الأعمال
لقراءة الدليل التنظيمي لإدارة استمرارية الأعمال, اضغط هنا.

الاطار التنظيمي (Red Teaming)
لقراءة الاطار التنظيمي (Red Teaming), اضغط هنا.

إطلاق تجريبي

المرونة السيبرانية

المتطلبات الأساسية للمرونة السيبرانية (CRFR)

الدليل التنظيمي لأمن المعلومات في القطاع المالي

مبادئ تحليل التهديدات السيبرانية للقطاع المالي

ضوابط التحقق من عملاء شركات التقنية المالية

الدليل التنظيمي لإدارة استمرارية الأعمال

الاطار التنظيمي (Red Teaming)