1.1.3 حوكمة الأمن السيبراني

الرقم: 381000091275

التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28

الحالة: نافذ

هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية

المبدأ

يجب تحديد هيكل حوكمة الأمن السيبراني وتنفيذه، ويجب أن يعتمده مجلس الإدارة.

الهدف

توجيه النهج العام للأمن السيبراني والتحكم فيه داخل المؤسسة المالية.

اعتبارات التحكم

1.	يشكل مجلس الإدارة لجنة للأمن السيبراني ويكلفها بهذه الوظيفة.
2.	يرأس أحد كبار المديرين المستقلين من إحدى وظائف التحكم لجنة الأمن السيبراني.
3.	يجب تمثيل المناصب التالية في لجنة الأمن السيبراني:
	أ.	كبار المديرين من جميع الإدارات ذات الصلة (على سبيل المثال، الرئيس التنفيذي للعمليات، الرئيس التنفيذي للمعلومات، ومسؤول الامتثال، ورؤساء أقسام الأعمال ذات الصلة)؛
	ب.	الرئيس التنفيذي لأمن المعلومات؛
	ج.	ويجوز أن يحضر المدقق الداخلي بصفته "مراقب".
4.	تجب صياغة ميثاق لجنة الأمن السيبراني واعتماده وأن يتضمن ما يلي:
	أ.	أهداف اللجنة؛
	ب.	الأدوار والمسؤوليات؛
	ج.	الحد الأدنى لعدد المشاركين في الاجتماع؛
	د.	تواتر انعقاد الاجتماعات (الحد الأدنى على أساس ربع سنوي).
5.	يجب إنشاء وظيفة للأمن السيبراني.
6.	يجب أن تكون وظيفة الأمن السيبراني مستقلة عن وظيفة تقنية المعلومات. ولتجنب أي تضارب في المصالح، يجب فصل وظيفة الأمن السيبراني عن وظيفة تقنية المعلومات من حيث التسلسلات الإدارية والميزانيات والتقييمات للموظفين.
7.	ترفع وظيفة الأمن السيبراني تقاريرها مباشرة إلى الرئيس التنفيذي/العضو المنتدب للمؤسسة المالية أو إلى المدير العام لإحدى وظائف التحكم.
8.	يجب تعيين أحد كبار المديرين بدوام كامل في وظيفة الأمن السيبراني، يشار إليه باسم الرئيس التنفيذي لأمن المعلومات، على مستوى الإدارة العليا.
9.	يجب على المؤسسة المالية:
	أ.	التأكد من أن الرئيس التنفيذي لأمن المعلومات يحمل الجنسية السعودية؛
	ب.	التأكد من أن الرئيس التنفيذي لأمن المعلومات مؤهل بشكل كافٍ؛
	ج.	الحصول على عدم ممانعة من البنك المركزي لتعيين الرئيس التنفيذي لأمن المعلومات.
10.	يجب على مجلس إدارة المؤسسة المالية تخصيص ميزانية كافية لتنفيذ أنشطة الأمن السيبراني المطلوبة.