10.4.3 إدارة مشاريع تقنية المعلومات
| الرقم: 43028139 | التاريخ (م): 2021/11/4 | التاريخ (هـ): 1443/3/29 | الحالة: نافذ |
Effective from 2021-11-04 - Nov 03 2021
To view other versions open the versions tab on the right
المبدأ
يجب تحديد عملية رسمية والموافقة عليها وتنفيذها لإدارة مشروع تقنية المعلومات والمخاطر ذات الصلة بفعالية طوال دورة حياة المشروع.
متطلبات الرقابة
| 1. | يجب تحديد عملية إدارة مشروع تقنية المعلومات والموافقة عليها من قبل المؤسسات المالية. | |
| 2. | يجب أن تخضع عملية إدارة مشاريع تقنية المعلومات لإطار عمل وسياسة وإجراءات إدارة مشاريع تقنية المعلومات المحددة والمعتمدة رسميًا لإدارة دورة حياة مشروع تقنية المعلومات من البداية حتى الإغلاق. | |
| 3. | يجب مراقبة مدى فعالية عملية إدارة مشروع تقنية المعلومات وقياسها وتقييمها بشكل دوري. | |
| 4. | يجب تزويد جميع مشاريع تقنية المعلومات بخطة المشروع التفصيلية، والتي تشمل على سبيل المثال لا الحصر ما يلي: | |
| أ. | تفاصيل نطاق العمل بما في ذلك أنشطة المشروع أو كل مرحلة من مراحل المشروع؛ | |
| ب. | الأولويات والأحداث الرئيسية والجداول الزمنية المرتبطة بالمشروع أو كل مرحلة من مراحل المشروع؛ | |
| ج. | المخرجات؛ | |
| د. | الأدوار والمسؤوليات؛ و | |
| هـ. | المخاطر المرتبطة بأي مشاريع تقنية المعلومات. | |
| 5. | يجب تحديد الوثائق اللازمة لمشروع تقنية المعلومات والموافقة عليها والاحتفاظ بها للأغراض المرجعية المستقبلية بما في ذلك على سبيل المثال لا الحصر ما يلي: | |
| أ. | ميثاق المشروع؛ | |
| ب. | تحليل المتطلبات وتدفق المعلومات التجارية وتدفق المعلومات التقنية؛ | |
| ج. | تحليل الجدوى وكذلك تحليل التكاليف والفوائد؛ و | |
| د. | خطة المشروع التفصيلية. | |
| 6. | يجب إنشاء لجنة توجيهية لمشروع تقنية المعلومات تضم ممثلين من الفرق التجارية والفنية ذات الصلة للإشراف على الخطة والتقدم المحرز والمخاطر المرتبطة بمشاريع تقنية المعلومات. | |
| 7. | يجب تقييم جميع مشاريع تقنية المعلومات لمعرفة المخاطر التي قد تؤثر على نطاق المشاريع وجدولها الزمني وجودتها. يجب تخفيف أي مخاطر محددة ومراقبتها طوال دورة حياة المشروع. | |
| 8. | يجب الإبلاغ عن أي مخاطر كبيرة مرتبطة بمشروع تقنية المعلومات إلى اللجنة التوجيهية لمشروع تقنية المعلومات وإلى الإدارة العليا أو مجلس إدارة المؤسسة المالية في الوقت المناسب. | |
| 9. | يجب مراجعة جميع مخرجات المشروع بواسطة وظيفة مستقلة لضمان الجودة أو شخص مستقل يتم تزويده بمثل هذه المسؤولية قبل بدء المشروع في بيئة الإنتاج. | |
| 10. | يجب التخطيط لمراجعات ما بعد التنفيذ وتنفيذها لتحديد ما إذا كانت مشاريع تقنية المعلومات قد حققت الفوائد المتوقعة واستوفت متطلبات العمل/المستخدمين وامتثلت لإطار عمل إدارة مشاريع تقنية المعلومات. | |
| 11. | يجب على المؤسسات المالية إبلاغ "الإدارة العامة لمكافحة المخاطر السيبرانية" بأي مشاريع كبرى لتحويل تقنية المعلومات، مثل تنفيذ النظام الأساسي، بعد الحصول على موافقة الإدارة العليا. | |
| 12. | يجب أن يشارك الأمن السيبراني خلال المراحل المختلفة من دورة حياة إدارة مشروع تقنية المعلومات بما يتماشى مع اعتبارات التحكم المنصوص عليها في الدليا التنظيمي لأمن المعلومات الصادر عن البنك المركزي. | |