هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
المبدأ
يجب على المؤسسة المالية تحديد، واعتماد، وتطبيق، والحفاظ على خطة التعافي من كوارث تقنية المعلومات لأنشطتها الحساسة والبنى التحتية التقنية ذات الصلة.
الهدف
التأكد أن لدى المؤسسة المالية خطة للتعافي من كوارث تقنية المعلومات وقائمة محدثة بالأنشطة الحساسة في حالة وقوع حادث معطّل.
الضوابط الأساسية
1.
يجب تحديد، واعتماد، وتطبيق خطة التعافي من كوارث تقنية المعلومات لاستعادة واسترداد خدمات تقنية المعلومات ومكونات البنية التحتية التقنية (البيانات، والأنظمة، والشبكة، والخدمات، والتطبيقات) والحفاظ عليها بما يتماشى مع تحليل أثر انقطاع الأعمال.
2.
يجب على المؤسسة المالية إنشاء مركز بيانات احتياطي في موقع مناسب. ويجب تحديد الموقع بناءً على:
أ.
إجراء تقييم للمخاطر والتحقق من أن الموقع لا يتشارك في المخاطر مع المركز الرئيسي (مثل التهديدات الجغرافية).
ب.
الحصول على موافقة من البنك المركزي السعودي.
3.
يجب أن تتناسب إعدادات البيانات، والنظم، والتطبيقات، والطاقة الاستيعابية في مركز البيانات الاحتياطي مع التي ما يتم الحفاظ عليه في مركز البيانات الرئيسي.
4.
يجب على المؤسسة المالية تطبيق الضوابط الأمنية المنطقية، والمادية، والبيئية، والسيبرانية في مركز البيانات الاحتياطي وفق ما هي عليه في مركز البيانات الرئيسي.
5.
يجب على المؤسسة المالية تحديد وتطبيق عملية النسخ الاحتياطي والاستعادة.
6.
يجب أن يكون لدى المؤسسة المالية موقع خارجي لحفظ النسخ الاحتياطية.
7.
يجب تتضمن العقود المبرمة مع الأطراف الثالثة المعنية التأكيد على استمرارية الخدمات المسندة لها، أو توفير الأجهزة أو البرامج البديلة خلال الفترات الزمنية المتفق عليها في حالة وقوع كارثة. والإرشادات للتأكد أن توافق العقود المبرمة مع نتائج تحليل أثر انقطاع الأعمال وتقييم المخاطر.
8.
على مدير تقنية المعلومات مسؤولية الحفاظ على خطط وترتيبات التعافي من الكوارث وتحديثها، وعلى مدير إدارة استمرارية الأعمال المسؤولية الشاملة في تكامل الخطط ضمن برنامج إدارة استمرارية الأعمال.
9.
يجب مراقبة الالتزام بخطة التعافي من الكوارث.
10.
يجب قياس وتقييم مدى فعالية خطة التعافي من كوارث تقنية المعلومات على أساس سنوي كحد أدنى.
