3.1.2.3 الاستجابة لمخاطر الأمن السيبراني

إطلاق تجريبي

يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:

كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.

ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.

مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.

3.1.2.3 الاستجابة لمخاطر الأمن السيبراني

الرقم: 381000091275

التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28

الحالة: نافذ

هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية

Effective from May 24 2017 - May 23 2017
To view other versions open the versions tab on the right

المبدأ

تجب معالجة مخاطر الأمن السيبراني لأي من المؤسسات المالية.

الهدف

ضمان معالجة مخاطر الأمن السيبراني (أي قبولها، أو تجنبها، أو نقلها، أو تخفيفها).

اعتبارات التحكم

1.	تجب معالجة مخاطر الأمن السيبراني المحددة ذات الصلة حسب قابلية المؤسسة المالية للمخاطر وحسب متطلبات الأمن السيبراني.
2.	يجب أن تضمن الاستجابة لمخاطر الأمن السيبراني توثيق قائمة خيارات معالجة المخاطر (أي قبول المخاطر، أو تجنبها، أو نقلها، أو تخفيفها من خلال تطبيق ضوابط الأمن السيبراني).
3.	يجب أن يشمل قبول مخاطر الأمن السيبراني ما يلي:
	أ.	النظر في الحدود المحددة مسبقًا لمستويات مخاطر الأمن السيبراني؛
	ب.	اعتماد مالك العمل وتوقيعه مما يضمن ما يلي:
		1.	أن يكون خطر الأمن السيبراني المقبول ضمن حدود المخاطرة المقبولة ويتم إبلاغه إلى لجنة الأمن السيبراني؛
		2.	ألا يتعارض خطر الأمن السيبراني المقبول مع لوائح البنك المركزي.
4.	يجب أن يتضمن تجنب مخاطر الأمن السيبراني قرارًا من مالك العمل بإلغاء أو تأجيل نشاط أو مشروع معين يمثل خطرًا غير مقبول على الأمن السيبراني.
5.	لنقل مخاطر الأمن السيبراني أو مشاركتها يجب أن:
	أ.	تشتمل على مشاركة مخاطر الأمن السيبراني مع مقدمي الخدمات ذوي الصلة (الداخليين أو الخارجيين)؛
	ب.	يقبلها مقدم (مقدمو) الخدمات (الداخليون أو الخارجيون) المتلقون لها؛
	ج.	تؤدي في نهاية المطاف إلى النقل الفعلي أو المشاركة لمخاطر الأمن السيبراني.
6.	يجب أن يشمل تطبيق ضوابط الأمن السيبراني للتخفيف من مخاطر الأمن السيبراني ما يلي:
	أ.	تحديد ضوابط الأمن السيبراني المناسبة؛
	ب.	تقييم نقاط القوة والضعف في ضوابط الأمن السيبراني؛
		1.	تقييم تكلفة تطبيق ضوابط الأمن السيبراني؛
		2.	تقييم مدى جدوى تطبيق ضوابط الأمن السيبراني؛
		3.	مراجعة متطلبات الامتثال ذات الصلة بضوابط الأمن السيبراني؛
	ج.	اختيار ضوابط الأمن السيبراني؛
	د.	تحديد أي مخاطر متبقية وتوثيقها والحصول على توقيع مالك العمل عليها.
7.	يجب توثيق إجراءات معالجة مخاطر الأمن السيبراني في خطة معالجة المخاطر.