الدليل التنظيمي لأمن المعلومات في القطاع المالي
| الرقم: 381000091275 |
Effective from 2017-05-24 - May 23 2017
To view other versions open the versions tab on the right
انطلاقاً من حرص البنك المركزي في تحسين مستوى الممارسات بخصوص أمن المعلومات في المؤسسات المالية التي تشرف عليها من خلال وجود آلية فعالة مطبقة ومختبرة في المؤسسات المالية مستندة على أفضل الحلول والممارسات التي توفر بيئة أمن معلومات ناضجة ومرنة في التصدي لما قد يتعرض له القطاع من هجمات إلكترونية، وإشارة إلى مبادرات المؤسسة الاستراتيجية الخاصة بأمن المعلومات والتي من ضمنها تطوير وإصدار دليل تنظيمي لأمن المعلومات (Cyber Security Framework) في المؤسسات المالية والتي تخضع لإشراف مؤسسة النقد العربي السعودي.
نفيدكم أنه تم اعداد الدليل التنظيمي لأمن المعلومات (Cyber Security Framework) والذي يتعين على جميع البنوك العاملة في المملكة الالتزام الكامل بما ورد فيه وذلك حسب الآتي:
| أولاً: | عمل تقييم دقيق للوضع الحالي لأمن المعلومات في المؤسسة المالية مقارنة بما ورد من متطلبات في الدليل التنظيمي (Gap-Assessment) لتحديد مواطن الضعف وتقييم مستوى النضج وفق ما ورد في الدليل من تعريف لـ (Maturity Level). |
| ثانياً: | وضع خطة عمل (Roadmap) لتحقيق جميع متطلبات مستوى النضج الثالث (Maturity Level 3) كحد أدنى لجميع المتطلبات المذكورة في الدليل بعد تقييم الوضع الحالي في بيئة المؤسسة المالية بشكل دقيق. |
| ثالثاً: | يتوجب على المؤسسة المالية عرض الخطة المعدة (Roadmap) على مجلس الإدارة واطلاعهم عليها وأخذ الموافقة على الخطة والدعم اللازم. |
| رابعاً: | يتعين على المؤسسة المالية إرسال الخطة المعدة للمؤسسة في موعد أقصاه نهاية شهر أغسطس 2017م. |
| خامساً: | تزويد مؤسسة النقد العربي السعودي بتقارير ربع سنوية اعتباراً من نهاية الربع الثالث لعام 2017م وحتى التزام المؤسسة المالية بمتطلبات المؤسسة. |
| سادساً: | على المؤسسة المالية الالتزام التام بالمتطلبات المذكورة في الدليل بنهاية شهر أكتوبر 2018م. |
| سابعاً: | يتوجب على لجنة أمن المعلومات في المؤسسة المالية متابعة تطبيق الدليل التنظيمي ومدى الالتزام بالخطة المعتمدة والدعم الكامل لحل جميع العقبات التي تواجه فرق العمل في المؤسسة المالية والتصعيد الداخلي لصاحب الصلاحية عن كل ما من شأنه يؤثر أو يعيق تطبيق المتطلبات. |
وبموجب التعميم رقم (51610/99) وتاريخ 1440/08/17هـ يتعين على المسؤولين في المؤسسات المالية إعطاء الدعم اللازم لإدارة أمن المعلومات وتزويدهم بالكفاءات من الكوادر الوطنية والأدوات التقنية والتدريب المناسب للقيام بدورهم بأكمل وجه.
وبموحب التعميم رقم (29814/67) وتاريخ 1440/05/11هـ و استناداً إلى صلاحيات المؤسسة لتعزيز الأمن السيبراني في القطاع المالي ورفع مستوى النضج لمواجهة التحديات السيبرانية وإدارتها بشكل احترافي ومتقدم، فقد تقرر على البنوك الآتي:
| 1- | وضع خطة عمل (Roadmap) لتحقيق جميع متطلبات مستوى النضج الرابع (Maturity Level 4) كحد أقصى نهاية الربع الثالث من عام 2020م، لجميع متطلبات المكونات الفرعية الآتية (Subdomain) الواردة في الدليل التنظيمي لأمن المعلومات: | ||
| 3.3.14 | -Cyber Security Event Management | ||
| 3.3.15 | -Cyber Security Incident Management | ||
| 3.3.16 | -Threat Management | ||
| 3.3.17 | -Vulnerability Management | ||
| 2- | تقديم الدعم اللازم لإدارة أمن المعلومات وتزويدهم بالكفاءات من الكوادر الوطنية والأدوات التقنية والتدريب المناسب للقيام بدورهم على أكمل وجه. | ||
| 3- | عرض خطة العمل (Roadmap) كما ورد في الفقرتين (1) و(2) على مجلس الإدارة وأخذ موافقة على الخطة والدعم اللازم. | ||
| 4- | تزويد المؤسسة (إدارة الإشراف على مخاطر تقنية معلومات القطاع المالي) بالتالي: | ||
| أ- | الخطة المعتمدة من مجلس الإدارة بنهاية الربع الأول من العام 2019م. | ||
| ب- | تقارير ربع سنوية اعتباراً من نهاية الربع الثاني من عام 2019م يبين مراحل استيفاء متطلبات المؤسسة في هذا الشأن لحين اكتمالها. | ||
| ج- | تقرير سنوي مفصل من قبل إدارة المراجعة الداخلية بالبنك يوضح مدة الالتزام بمتطلبات الدليل التنظيمي مقارنة بدرجة النضج المطلوبة، حسب الأداة التي ستحددها المؤسسة. | ||
ونود الإحاطة أن المؤسسة سوف تقوم بعمل زيارات تفتيشية بشكل دوري للتأكد من دقة التقييم ودرجة الالتزام مع متطلبات الدليل التنظيمي، وفي حال وجود أي استفسار يمكن التواصل مع مدير مخاطر تقنية المعلومات البنكية.