1.4.3 حوكمة تغيير النظام

إطلاق تجريبي

يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:

كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.

ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.

مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.

1.4.3 حوكمة تغيير النظام

الرقم: 43028139

التاريخ (م): 2021/11/4 | التاريخ (هـ): 1443/3/29

الحالة: نافذ

هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية

المبدأ

ينبغي إنشاء عملية إدارة التغيير لضمان تصنيف التغييرات في أصول المعلومات الخاصة بالمؤسسة المالية واختبارها والموافقة عليها قبل نشرها في بيئات الإنتاج

متطلبات الرقابة

1.	يجب تحديد عملية إدارة تغيير النظام والموافقة عليها وتنفيذها والإبلاغ عنها داخل المؤسسات المالية.
2.	يجب قياس فعالية عملية إدارة تغيير النظام وتقييمها بشكل دوري.
3.	يجب أن تخضع عملية إدارة تغيير النظام لسياسة وإجراءات إدارة التغيير التي يجب الموافقة عليها ومراقبتها ومراجعتها وتحديثها على أساس دوري و/أو عند حدوث تغييرات كبيرة في بيئة تقنية المعلومات أو تغييرات في القوانين والمتطلبات التنظيمية.
4.	يجب أن تعالج عملية إدارة تغيير النظام ما يلي، على سبيل المثال لا الحصر:
	أ.	تحديد متطلبات التغيير والموافقة عليها؛
	ب.	خطور التغيير وأولويته؛
	ج.	تقييم خطورة التغيير وتأثيره؛
	د.	تطوير التغيير؛
	هـ.	اختبار التغيير؛
	و.	طرح التغيير واسترجاعه؛
	ز.	الأدوار والمسؤوليات بالتغيير؛
	ح.	مستندات التغيير؛
	ط.	الوعي بالتغيير و/أو التدريب المقدم للمستخدمين؛ و
	ي.	مدخلات المجلس الاستشاري للتغيير ((CAB، إن وجدت.
5.	يجب تنفيذ نظام لسير العمل لأتمتة عملية إدارة التغيير من جانب المؤسسات المالية إلى أقصى حد ممكن.
6.	يجب تسجيل أي تغييرات في أصول المعلومات ومراقبتها وتوثيقها.
7.	يجب أن تكون بيئات النظام (أي التطوير والاختبار والإنتاج وما إلى ذلك) منفصلة تقنيًا ومنطقيًا.
8.	يجب التحكم في الوصول إلى بيئات النظام المختلفة ومراقبته بشكل صارم. من أجل القيام بذلك، يجب ضمان الفصل بين الواجبات ("SoD") بحيث لا يتحمل أي فرد مسؤوليتين متعارضتين مثل (التطوير والتجميع والاختبار والترحيل والنشر) في نفس الوقت.
9.	يجب إجراء التغييرات الطارئة في أصول المعلومات بطريقة خاضعة لرقابة صارمة ويجب أن تراعي ما يلي:
	أ.	يجب أن يكون عدد التغييرات الطارئة أقل تفضيلاً من التغييرات المخطط لها من أجل إبقاء هذه التغييرات في أدنى حد ممكن؛
	ب.	ينبغي تقييم التغييرات الطارئة من حيث تأثيرها على الأنظمة؛
	ج.	يجب الموافقة على التغييرات الطارئة من قبل المجلس الاستشاري للتغييرات الطارئة ("ECAB")؛
	د.	يجب أن يكون الحد الأدنى من الاختبار مقبولاً لتنفيذ التغييرات الطارئة؛
	هـ.	يجب استكمال التوثيق الرسمي للتغييرات الطارئة بعد التنفيذ؛
	و.	ينبغي إجراء مراجعة ما بعد التنفيذ لجميع التغييرات الطارئة؛ و
	ز.	يجب إجراء تحليل السبب الجذري لتحديد السبب الذي أدى إلى الحاجة إلى تغيير طارئ، بالإضافة إلى الاحتفاظ بسجل يعكس الدروس المستفادة ويقدم تقريرًا إلى جميع الموظفين المعنيين والإدارة واللجنة التوجيهية.
10.	يجب تمكين التدقيق الكافي لتسجيل التغييرات الطارئة المتعلقة بأصول المعلومات لأغراض الرجوع إليها أو التحقيق في المستقبل.