6.2 خطة التعافي من كوارث تقنية المعلومات (DRP)

إطلاق تجريبي

يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:

كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.

ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.

مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.

6.2 خطة التعافي من كوارث تقنية المعلومات (DRP)

الرقم: 381000058504

التاريخ (م): 2017/2/27 | التاريخ (هـ): 1438/6/1

الحالة: نافذ

هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية

Effective from 2017-02-28 - Feb 27 2017
To view other versions open the versions tab on the right

المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ والمحافظة على خطة التعافي من كوارث تقنية المعلومات بالنسبة لأنشطتها الحيوية والبنية التحتية التقنية ذات الصلة.
الهدف
التأكد من أن المؤسسة المالية لديها خطة التعافي من كوارث تقنية المعلومات وقائمة محدثة بالأنشطة الحيوية في حالة وقوع حادث معطّل
اعتبارات التحكم
1.	يجب تحديد خطة التعافي من كوارث تقنية المعلومات لاستعادة واسترداد خدمات تقنية المعلومات ومكونات البنية التحتية التقنية (البيانات والأنظمة والشبكة والخدمات والتطبيقات) والموافقة عليها وتنفيذها وصيانتها بما يتماشى مع تحليل أثر انقطاع الأعمال.
2.	يجب على المؤسسة المالية إنشاء مركز بيانات بديل في موقع مناسب. ويجب تحديد الموقع بناءً على ما يلي:
	أ.	تقييم المخاطر للتأكد من أن الموقع لا يشترك في نفس مخاطر مركز البيانات الرئيسي (على سبيل المثال، التهديد الجغرافي)
	ب.	بعد الحصول على موافقة البنك المركزي
3.	يجب أن تكون تكوينات البيانات والنظام والشبكة والتطبيقات والقدرات في مركز البيانات البديل متناسبة مع تلك التكوينات والقدرات الموجودة في مركز البيانات الرئيسي.
4.	يجب على المؤسسة المالية تطبيق نفس الضوابط الأمنية المنطقية والمادية والبيئية والسيبرانية لمركز البيانات البديل كما هو الحال بالنسبة لمركز البيانات الرئيسي.
5.	يجب على المؤسسة المالية تحديد وتنفيذ عملية النسخ الاحتياطي والاسترداد.
6.	يجب أن يكون لدى المؤسسة المالية مكان خارج الموقع لتخزين النسخ الاحتياطية.
7.	يجب توقيع عقود رسمية مع أطراف خارجية لضمان استمرارية خدمات التعهيد أو تسليم أجهزة أو برمجيات بديلة ضمن الجداول الزمنية المتفق عليها في حالة وقوع كارثة. تضمين مبادئ توجيهية للتأكد من أن العقود الموقعة مع مقدمي الخدمات الخارجيين تتماشى مع نتائج تحليل أثر انقطاع الأعمال وتقييم المخاطر.
8.	يجب أن يكون مدير تقنية المعلومات مسؤولاً عن الحفاظ على خطط وترتيبات التعافي من الكوارث وإبقائها محدثة مع تحميل مدير إدارة استمرارية الأعمال للمساءلة الشاملة عن التكامل ضمن برنامج إدارة استمرارية الأعمال.
9.	يجب مراقبة الامتثال لخطة التعافي من الكوارث.
10.	يجب قياس مدى فعالية خطة التعافي من كوارث تقنية المعلومات وتقييمها على أساس سنوي كحد أدنى.