ثالثاً: الإجراءات الرقابية
Effective from Apr 20 2025 - Sep 29 2021
To view other versions open the versions tab on the right
على البنوك الالتزام بدرجة النضج المطلوبة للدليل التنظيمي لأمن المعلومات، والدليل التنظيمي لإدارة استمرارية الأعمال، مع الأخذ بالاعتبار الآتي:
| 1. | أن تتضمن السياسة الخاصة بأمن المعلومات الجوانب المتعلقة بأمن المعلومات لأعمال الموظفين، ومراجعتها بشكل دوري، وبحد أدنى الآتي: | ||||
| أ. | صلاحيات الدخول على الأنظمة البنكية، والتحقق من هوية من قام بعملية الدخول. | ||||
| ب. | ربط الصلاحيات على الأنظمة البنكية بالدرجات الوظيفية وتحديد مستوى الصلاحية لكل درجة وظيفية. | ||||
| ج. | إدارة كلمات المرور بما في ذلك الآتي: | ||||
| 1- | أن تتكوّن كلمة المرور من أرقام وأحرف ورموز. | ||||
| 2- | وجوب تغيير كلمة المرور كل ثلاثة أشهر. | ||||
| 3- | في حال قيام الموظفين بإدخال بيانات الدخول الخاصة بالأنظمة البنكية بشكل خاطئ ثلاث مرات متتالية، فيتم تعليق اسم المستخدم ولا يتم استعادته إلا وفق إجراءات معيّنة حسب سياسة البنك الداخلية. | ||||
| 4- | التأكيد على الموظفين بالمحافظة على حسابات المستخدم أو بيانات الدخول وعدم الإفصاح عنها أو مشاركتها. | ||||
| د. | تقييد الوصول للأجهزة والأنظمة المستخدمة في البنوك وفقاً لأفضل الممارسات المعتمدة في أمن المعلومات، واحتياجات العمل بناءً على مبدأ “Need-to-Know”، على سبيل المثال لا الحصر: إخفاء رصيد العملاء عن الموظفين التي لا تتطلب مهام عملهم معرفة الرصيد. | ||||
| هـ. | تحديد الممارسات والسياسات الأمنية للمحافظة على سرية المعلومات. | ||||
| و. | تحديد الممارسات المصرفية غير الآمنة وغير السليمة. | ||||
| ز. | وضع سيناريوهات لكشف العمليات المشبوهة عند الدخول على الأنظمة. | ||||
| ح. | عدم السماح بنسخ أو مشاركة البيانات أو تثبيت البرامج دون موافقة صاحب الصلاحية. | ||||
| ط. | وضع إجراءات الدخول والإغلاق والحفظ والتأكيد على إغلاق شاشة البيانات في حالة عدم استخدامها. | ||||
| ي. | أن تكون المصادقة وضوابط الدخول مبنيّة على مخاطر وحساسية الأنظمة والبيانات المراد الوصول إليها. | ||||
| 2- | مراجعة الحد الأدنى من الصلاحيات للدخول على الأنظمة البنكية، وإجراء العمليات، والدخول إلى بيانات الحسابات البنكية، وبشكل دوري، وتوثيق ذلك في سجلات المراجعة الدورية. | ||||
| 3- | إخفاء تواقيع وأرصدة العملاء لجميع الحسابات التي تكون بحالة غير مطالب بها أو متروكة. | ||||
| 4- | مراقبة حسابات الموظفين المخصصة للدخول على الأنظمة البنكية، وحفظ كافة معلومات عمليات الدخول على معلومات الحسابات البنكية بشكل آلي للرجوع لها عند الحاجة ولمدة (5) سنوات كحد أدنى، على أن تتضمن المعلومات المحفوظة بحد أدنى الآتي: | ||||
| أ. | اسم الموظف والرقم الوظيفي. | ||||
| ب. | عنوان بروتوكول الانترنت “IP Address”. | ||||
| ج. | تاريخ ووقت الدخول. | ||||
| د. | الصلاحية. | ||||
| ه. | المصادقة. | ||||
| و. | الإجراء الذي تم. | ||||
| 5- | وضع كافة الضوابط التقنية والأمنية اللازمة التي تُمكّن من تحديد هوية الموظف الذي يستخدم جهاز الحاسب الآلي أو أي من الأنظمة البنكية بدقة. | ||||
| 6- | تقييد السماح بالدخول على الأنظمة البنكية من خلال أجهزة الحاسب الآلي المتواجدة بالفروع بعد انتهاء ساعات العمل الرسمية، ووضع الضوابط الاحترازية اللازمة عند الحاجة للدخول على الأنظمة البنكية خارج أوقات العمل الرسمية. | ||||
| 7- | التأكد من توفير الخطط والحلول البديلة لضمان استمرارية الأعمال وتمكين الوصول الآمن للأنظمة البنكية. | ||||
| 8- | اتخاذ التدابير اللازمة في حال تبيّن الوصول إلى بيانات العملاء من قبل شخص غير مصرّح له. | ||||
| 9- | التأكد من صلاحيات الدخول للموظفين ذوي الامتيازات الإدارية والموظفين الرئيسيين فقط، وقصر وصول الموظف المختص – مثل موظفي تقنية المعلومات والدعم الفني – إلى صيانة الشبكة، دون الوصول للمعلومات السرية للعملاء. | ||||
| 10- | في حالة عمل صيانة لأنظمة الفرع، يجب التحقق من أن فريق الصيانة الخاصة بالفرع من ضمن الطاقم المدرجة أسمائهم لعمل الصيانة والمرسلة من الإدارة المختصة قبل المباشرة بالأعمال المطلوبة، مع وضع الإجراءات الرقابية الكافية. | ||||