‌الدليل التنظيمي لإدارة استمرارية الأعمال

‌الدليل التنظيمي لإدارة استمرارية الأعمال
الرقم: 381000058504 التاريخ (م): 2017/2/27 | التاريخ (هـ): 1438/6/1 الحالة:نافذ
انطلاقا من حرص البنك المركزي في تحسين مستوى الممارسات فيما يتعلق بموضوع استمرارية الأعمال عند وقوع الحوادث أو الكوارث-لا سمح الله- من خلال وجود آلية فعالة ومطبقة ومختبرة في البنك المصرف مستندة على أفضل الحلول والممارسات التي توفر بيئة ناضجة لضمان استمرارية الاعمال دون حدوث انقطاع للخدمات الهامه وتعطل الاعمال، نفيدكم قيام البنك المركزي بتطوير وإصدار دليل تنظيمي لإدارة استمرارية الاعمال للقطاع المصرفي( مرفق) والذي يتعين على البنك/ المصرف الالتزام الكامل بما ورد في هذا الدليل من خلال إتباع الإجراءات الآتية:
أولاً: عمل تقييم الوضع الحالي لاستمرارية الاعمال في البنك مقارنة بما ورد من متطلبات في الدليل التنظيمي (Gap Assessment) لتحديد مواطن الضعف في البنك على أن يتم وضع خطه عمل (Roadmap) للالتزام بمتطلبات البنك المركزي بعد تقييم الوضع الحالي وإرسالها للبنك المركزي وذلك في موعد أقصاه نهاية شهر مايو ۲۰۱۷م.
ثانياً: تزويد البنك المركزي بتقارير ربع سنوية اعتباراً من نهاية الربع الثاني وحتى التزام البنك بمتطلبات البنك المركزي.
ثالثاً: الالتزام التام بتطبيق جميع المتطلبات الواردة في الدليل وذلك بنهاية شهر يناير لعام ٢٠١٨م.
و في حال وجود أي استفسار بهذا الخصوص يمكنكم التواصل مع مدير شعبة مخاطر تقنية المعلومات البنكية في البنك المركزي.

1. مقدمة

1.1 مقدمة الدليل التنظيمي لإدارة استمرارية الأعمال
نظرًا لحاجة المؤسسات المالية في المملكة العربية السعودية إلى توافر العمليات التجارية على مدار الساعة طوال أيام الأسبوع، وضع البنك المركزي الدليل التنظيمي لإدارة استمرارية الأعمال للمؤسسات المالية من شأنه تعزيز قدرة المؤسسات على المرونة المؤسسية لضمان استمرارية وتوافر عملياتها وخدماتها. وتستند المتطلبات المتضمنة إلى متطلبات البنك المركزي وممارسات الصناعة والمعايير الدولية، مثل ISO 22301 وISO 27001 وإرشادات الممارسات الجيدة الصادرة عن معهد استمرارية الأعمال وإرشادات الممارسة المهنية الصادرة عن المعهد الدولي للتعافي من الكوارث. يتعين على جميع المؤسسات المالية الالتزام بهذه المتطلبات ودمجها رسميًا في برنامج إدارة استمرارية الأعمال الخاص بها.

2.1 التعريفات
- إدارة استمرارية الأعمال عملية إدارية شاملة تحدد التهديدات المحتملة للمؤسسة وما قد تسببه تلك التهديدات، في حال تحققها، تأثيرات على العمليات التجارية. فهي توفر دليلًا لبناء المرونة المؤسسية مع القدرة على الاستجابة الفعالة التي تحمي مصالح أصحاب المصلحة الرئيسيين والسمعة والعلامة التجارية وأنشطة خلق القيمة.
- تعد استمرارية الأعمال جزءًا من نظام الإدارة الشامل، والذي يتضمن الهيكل التنظيمي والسياسات وأنشطة التخطيط والمسؤوليات والإجراءات والعمليات والموارد التي تقوم بإنشاء استمرارية الأعمال وتنفيذها وتشغيلها ومراقبتها ومراجعتها وصيانتها وتحسينها.
- يعد التعافي من كوارث تقنية المعلومات (IT DR) جزءًا من إدارة استمرارية الأعمال التي تشمل السياسات والمعايير والإجراءات والعمليات المتعلقة بصمود البنية التحتية التقنية التي تدعم عمليات الأعمال الحيوية أو استعادتها أو استمرارها.
- الحد الأقصى للانقطاع المقبول (MAO) يُعرف بأنه الوقــت المســتغرق حتــى تصبــح الآثار الســلبية، الناشــئة نتيجــة عــدم تقديــم منتــج / خدمــة أو أداء نشــاط، غيــر مقبولــة.
- وقت التعافي المستهدف(RTO)يُعرف بأنه الفترة التي تلي وقوع الحادث والتي يجب أن يتم خلالها استئناف المنتجات أو الخدمات أو استئناف النشاط أو استعادة الموارد.
- نقطة التعافي المستهدفة (RPO) تُعرف على أنها النقطـــة التـــي يجـــب عندهـــا اســـتعادة المعلومـــات المســـتخدمة فـــي النشـــاط لتمكيـــن النشـــاط مـــن العمـــل عنـــد الاستئناف. ويمكن أن يُطلق عليها أيضًا "الحد الأقصى المسموح لخسارة البيانات".

3.1 النطاق
تحدد وثيقة الدليل التنظيمي لإدارة استمرارية الأعمال المبادئ والأهداف واعتبارات الرقابة لبدء ضوابط استمرارية الأعمال في المنظمات الأعضاء وتنفيذها وصيانتها ورصدها وتحسينها.
تنطبق وثيقة الدليل التنظيمي لإدارة استمرارية الأعمال على النطاق الكامل للمنظمة العضو، بما في ذلك الشركات التابعة والموظفين والمقاولين من الباطن والأطراف الثالثة والعملاء.
وترتبط بعلاقة متبادلة مع السياسات المؤسسية الأخرى الخاصة بالمجالات ذات الصلة، مثل إدارة المخاطر المؤسسية، والصحة والسلامة والبيئة، والأمن المادي، والأمن السيبراني (بما في ذلك المرونة السيبرانية وإدارة الحوادث).

4.1 نطاق التطبيق
تنطبق وثيقة الدليل التنظيمي لإدارة استمرارية الأعمال على ما يلي:
- جميع المؤسسات الخاضعة لإشراف البنك المركزي ("المؤسسات المالية")
- جميع البنوك العاملة في المملكة العربية السعودية
- كافة الشركات التابعة للبنوك السعودية
- الشركات التابعة للبنوك الأجنبية الموجودة في المملكة العربية السعودية

5.1 المسؤوليات
يفرض البنك المركزي وثيقة متطلبات الدليل التنظيمي لإدارة استمرارية الأعمال على المؤسسات المالية. وتوجز هذه الوثيقة متطلبات إدارة استمرارية الأعمال التي يتعين على المؤسسات المالية تنفيذها. وعليه، فإن البنك المركزي الجهة المالكة لهذا الدليل والمسؤول عن تحديثه دوريًا. وتتحمل المؤسسات المالية مسؤولية اعتماد وتنفيذ المتطلبات المنصوص عليها في هذه الوثيقة.

6.1 التفسير
سيقدم البنك المركزي، بصفته الجهة المالكة لهذه الوثيقة تفسيرات للمبادئ والأهداف واعتبارات التحكم، إذا لزم الأمر.

7.1 الجمهور المستهدف
هذه الوثيقة مخصصة لمجالس الإدارة والرؤساء التنفيذيين وكبار مسؤولي المخاطر والإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي أصول المعلومات ومدراء تقنية المعلومات ومدراء أمن المعلومات ومدراء استمرارية الأعمال والمدققين الداخليين وأولئك المسؤولين والمشاركين في تحديد وتنفيذ ومراجعة ضوابط استمرارية الأعمال وأهدافها واعتبارات التحكم إذا لزم الأمر.

8.1 المراجعة والتغييرات والمحافظة
سيقوم البنك المركزي بمراجعة هذه الوثيقة والحفاظ عليها. حيث سيراجع هذه الوثيقة بشكل دوري لتحديد مدى فعاليتها، بما في ذلك فعالية الدليل في مواجهة التهديدات والمخاطر الناشئة في مجال استمرارية الأعمال. وإذا كان ذلك ممكنًا، سيتولى البنك المركزي تحديث هذه الوثيقة بناءً على نتائج المراجعة.
إذا ارتأت إحدى المؤسسات المالية أن هناك حاجة لتحديث هذه الوثيقة، يجب على المؤسسة المالية تقديم التحديث المطلوب رسميًا إلى البنك المركزي بعد الحصول على موافقة مدير استمرارية الأعمال واللجنة التوجيهية لاستمرارية الأعمال داخل المؤسسة المالية. وسيقوم البنك المركزي بدوره بمراجعة التحديث المطلوب، وعند الموافقة عليه، سيتم تحديث هذه الوثيقة.
سيتم تنفيذ إجراء ضبط الإصدارات للحفاظ على الوثيقة. بحيث أنه كلما يتم إجراء أي تغييرات، سيتم سحب الإصدار السابق ونشر الإصدار الجديد وإبلاغ جميع المؤسسات المالية بها.

9.1 دليل القراءة
يمثل الدليل التنظيمي لإدارة استمرارية الأعمال المجالات الفعلية لإدارة استمرارية الأعمال والمجالات الفرعية والمبادئ والأهداف واعتبارات التحكم.

2. متطلبات استمرارية الأعمال

1.2 حوكمة إدارة استمرارية الأعمال

المبدأ
يجب تحديد الدليل التنظيمي لحوكمة استمرارية الأعمال والموافقة عليه وتنفيذه والمحافظة عليه وأن يخضع لرقابة الإدارة العليا. يجب تحديد هيكل استمرارية الأعمال وإبلاغه لجميع الموظفين المعنيين والأطراف الخارجية.
الهدف
توجيه النهج العام لاستمرارية الأعمال داخل المؤسسة المالية ومراقبته وتقييمه
اعتبارات التحكم:
1.	يجب أن يتحمل مجلس الإدارة أو عضو تنفيذي مفوض المسؤولية النهائية عن برنامج إدارة استمرارية الأعمال.
2.	يجب أن يقوم مجلس إدارة المؤسسة المالية أو أحد أعضاء الإدارة العليا المفوضين بتخصيص ميزانية كافية لتنفيذ أنشطة إدارة استمرارية الأعمال المطلوبة،
3.	يجب تشكيل لجنة لاستمرارية الأعمال وتكليفها من قبل مجلس الإدارة.
4.	يجب أن تكون الإدارة العليا، مثل الرئيس التنفيذي للمخاطر ورئيس العمليات والرئيس التنفيذي للمعلومات والرئيس التنفيذي لأمن المعلومات ومدير إدارة استمرارية الأعمال وغيرها من الأقسام ذات الصلة ممثلة في لجنة استمرارية الأعمال.
5.	يجب وضع ميثاق لجنة استمرارية الأعمال، ويجب أن يعكس ما يلي:
	أ.	أهداف اللجنة
	ب.	الأدوار والمسؤوليات
	ج.	الحد الأدنى لعدد المشاركين في الاجتماع
	د.	تواتر الاجتماعات (على الأقل كل ثلاثة أشهر)
6.	ينبغي إنشاء وظيفة إدارة استمرارية الأعمال.
7.	يجب أن يكون مدير/رئيس إدارة استمرارية الأعمال:
	أ.	أن يتم تعيينه
	ب.	يتمتع بالسلطة المناسبة لإدارة برنامج إدارة استمرارية الأعمال
	ج.	مؤهلاً ويتمتع بالخبرة والمهارات والكفاءات المناسبة لتنفيذ برنامج إدارة استمرارية الأعمال والحفاظ عليه داخل المؤسسة المالية
8.	يجب أن تكون وظيفة استمرارية الأعمال مزودة بعدد كافٍ من أعضاء الفريق المؤهلين
9.	يجب أن تساهم الفرق متعددة الوظائف، التي تتألف من أعضاء الفريق الاستراتيجي والتكتيكي وفريق العمليات في تنفيذ وصون خطط استمرارية الأعمال والتعافي من الكوارث.

2.2 استراتيجية إدارة استمرارية الأعمال

المبدأ
يجب تحديد استراتيجية استمرارية الأعمال ومواءمتها مع أهداف العمل الاستراتيجية الشاملة للمؤسسة المالية.
الهدف
التأكد من أن مبادرات استمرارية الأعمال تتماشى مع الأهداف الاستراتيجية للأعمال وتدرج إدارة استمرارية الأعمال كجزء من الممارسات الإدارية الجيدة داخل المؤسسة المالية، من أجل التحسين المستمر في مرحلة النضج.
اعتبارات التحكم
1.	يجب تحديد استراتيجية استمرارية الأعمال والموافقة عليها وتنفيذها والحفاظ عليها.
2.	يجب أن تحدد الإستراتيجية على الأقل ما يلي:
	أ.	الأهداف الإستراتيجية طويلة المدى لتطبيق ونضج برنامج إدارة استمرارية الأعمال
	ب.	خريطة طريق مع جداول زمنية لتحقيق الأهداف الاستراتيجية
	ج.	متطلبات المراجعة المستمرة والتحقق من مواءمة برنامج إدارة استمرارية الأعمال مع الأهداف الاستراتيجية

3.2 سياسة استمرارية الأعمال

المبدأ
يجب تحديد سياسة استمرارية الأعمال والموافقة عليها وإبلاغها لأصحاب المصلحة المعنيين.
الهدف
توثيق التزام المؤسسة المالية وهدفها من برنامج استمرارية الأعمال، وإيصال ذلك إلى أصحاب المصلحة المعنيين.
اعتبارات التحكم
1.	يجب تحديد سياسة استمرارية الأعمال والموافقة عليها وتنفيذها والإبلاغ بها
2.	يجب أن تحدد سياسة استمرارية الأعمال على الأقل ما يلي:
	أ.	الأهداف
	ب.	النطاق
	ج.	المسؤوليات
3.	يجب مراقبة الامتثال لسياسة استمرارية الأعمال.
4.	يجب قياس مدى فعالية تنفيذ السياسات وتقييمها بشكل دوري.
5.	يجب توثيق الاستثناءات من نطاق إدارة استمرارية الأعمال وتقييمها بشكل دوري. يجب توثيق مبررات استثناءات النطاق والموافقة عليها من قبل لجنة إدارة استمرارية الأعمال والإدارة العليا.

4.2 تحليل أثر انقطاع الأعمال وتقييم المخاطر

المبدأ
يجب على المؤسسة المالية إجراء تحليل لأثر انقطاع الأعمال وتقييم المخاطر لجميع الأنشطة ذات الصلة لتحديد استمرارية الأعمال ومتطلبات التعافي من الكوارث والتحسينات.
الهدف
التأكد من قيام كل مؤسسة المالية بتحديد عملياتها التجارية وترتيب أولوياتها إلى جانب التبعيات الرئيسية، وتحديد الضوابط الكافية من أجل الوفاء بمتطلبات الأعمال والمتطلبات التنظيمية والقانونية والامتثال فيما يتعلق باستمرارية الأعمال
اعتبارات التحكم
1.	يجب تحديد منهجية تحليل أثر انقطاع الأعمال وتقييم المخاطر والموافقة عليها وتنفيذها والمحافظة عليها.
2.	يجب على المؤسسة المالية إجراء تقييم دوري لمخاطر استمرارية الأعمال. ويجب أن تشمل، على سبيل المثال لا الحصر ما يلي:
	أ.	تحديد التهديدات الداخلية والخارجية المحتملة، بما في ذلك نقطة الفشل الوحيدة التي قد تتسبب في تعطيل الأنشطة الحرجة على النحو المحدد في تقييم أثر انقطاع الأعمال مع الأخذ بعين الاعتبار الأشخاص والعمليات والتقنية والمرافق.
	ب.	تقييم المخاطر المحتملة وتحديد أولوياتها من خلال تقييم التهديدات المحتملة بناءً على تأثيرها التشغيلي واحتمالية حدوثها
	ج.	تحديد الضوابط المطلوبة لإدارة المخاطر المحددة
	د.	تحديد خطة العلاج وتنفيذ ضوابط إدارة استمرارية الأعمال
3.	يجب على المؤسسة المالية تحديد الأنشطة وترتيب أولوياتها (مثل المنتجات والخدمات ووظائف وعمليات الأعمال) من خلال إجراء تقييم أثر انقطاع الأعمال لتحديد ما يلي على سبيل المثال لا الحصر:
	أ.	الأثر المحتمل لانقطاع الأعمال لكل وظيفة من وظائف الأعمال والعمليات ذات الأولوية، بما في ذلك على سبيل المثال لا الحصر الآثار المالية والتشغيلية والعملاء والآثار القانونية والتنظيمية
	ب.	أوقات التعافي المستهدفة، ونقاط التعافي المستهدفة والحد الأقصى للانقطاع المقبول
	ج.	الاعتمادات المتبادلة الداخلية والخارجية
	د.	مواد التعافي الداعمة
4.	يجب أن تصادق لجنة إدارة استمرارية الأعمال على قائمة الأولويات ونتائج أثر انقطاع الأعمال وتقييم المخاطر وأوقات التعافي المستهدفة ونقاط التعافي المستهدفة والحدود القصوى للانقطاع المقبول.
5.	يجب إرسال نتائج تقييم المخاطر إلى لجنة إدارة استمرارية الأعمال
6.	يجب تحديث تحليل أثر انقطاع الأعمال وتقييم المخاطر سنويًا وعند حدوث تغييرات كبيرة (مثل التغيير في هيكل وتنظيم الأشخاص والعمليات والتقنية والموردين والمواقع).
7.	تقييم المخاطر يجب أن يشمل المخاطر المرتبطة بالمؤسسة ككل وكذلك مراكز البيانات (الأساسية والبديلة)، التي لا تملكها المؤسسة المالية (على سبيل المثال، النظر في الإطار الزمني اللازم للانتقال إلى موقع جديد وبناءً على ذلك، يجب أن يتضمن إطارًا زمنيًا كافيًا في الاتفاقية التعاقدية)
8.	ينبغي تقييم قدرة البائعين والموردين ومقدمي الخدمات على دعم والحفاظ على مستويات الخدمة للأنشطة ذات الأولوية أثناء الحوادث المعطّلة على الأقل على أساس سنوي.
9.	يجب على المؤسسات المالية التأكد من أن أوقات التعافي المستهدفة محددة بشكل كافٍ لأنظمة الدفع والخدمات المتعلقة بالعملاء وما إلى ذلك مع مراعاة التوافر العالي لهذه العمليات والحد الأدنى من التعطل في حالة وقوع كارثة.

5.2 خطة استمرارية الأعمال (BCP)

المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ خطة استمرارية الأعمال لأنشطتها الحيوية. يجب مراقبة الامتثال لخطة استمرارية الأعمال وقياس مدى فعاليتها وتقييمها بشكل دوري.
الهدف
التأكد من أن المؤسسة المالية لديها القدرة على تعيين وتحديد بوضوح الإجراءات التي يجب اتخاذها، والموارد اللازمة لتمكين المؤسسة من إدارة الانقطاع المعطل والعودة إلى وضع يمكن فيه استئناف العمليات التجارية العادية
اعتبارات التحكم
1.	يجب تحديد خطة استمرارية الأعمال واعتمادها وتنفيذها والحفاظ عليها في حالة جاهزية للاستخدام أثناء الحوادث المعطلة، لتمكين المؤسسة المالية من مواصلة تنفيذ أنشطتها المهمة والعاجلة بمستوى مقبول ومحدد مسبقًا.
2.	يجب على المؤسسة المالية تحديد إجراءات الاستجابة للحوادث المعطلة واعتمادها وتنفيذها. ويجب أن تشمل الإجراءات مجتمعة ما يلي:
	أ.	الموارد الرئيسية (مثل الأشخاص والمعدات والمرافق والتقنيات)
	ب.	تحديد الأدوار والمسؤوليات والسلطات لأصحاب المصلحة
	ج.	عملية لإدارة العواقب المباشرة لحادث معطل وإجراءات التصعيد
	د.	عملية لمواصلة الأنشطة الحيوية ضمن أهداف التعافي المحددة مسبقًا (وقت التعافي المستهدف ونقطة التعافي المستهدفة والحد الأقصى للانقطاع المقبول)
	هـ.	عملية لاستئناف عمليات المؤسسة المالية إلى العمل كالمعتاد بمجرد حل الحادث
	و.	إرشادات للتواصل مع الموظفين والأطراف الخارجية ذات الصلة وجهات الاتصال في حالات الطوارئ
	ز.	عملية إدراج متطلبات الأمن السيبراني ذات الصلة، إن وجدت، ضمن تخطيط استمرارية الأعمال
3.	يجب رصد الامتثال لخطة استمرارية الأعمال.
4.	يجب قياس مدى فعالية خطط استمرارية الأعمال وتقييمها بشكل دوري.
5.	يتحمل مدير إدارة استمرارية الأعمال ومنسقو إدارة استمرارية الأعمال مسؤولية الحفاظ على خطط استمرارية الأعمال والترتيبات وإبقائها محدثة.
6.	يجب أن يتوفر لدى المؤسسة المالية مساحة (مساحات) عمل بديلة كافية للأعمال حيث يمكنها نقل الموارد المطلوبة لتقديم العمليات الحيوية المطلوبة وفقًا لأهداف الاسترداد المحددة مسبقًا في تحليل أثر انقطاع الأعمال.
7.	يجب أن تحتوي مساحة (مساحات) العمل البديلة على ترسيم واضح لترتيبات الجلوس لوحدات العمل المختلفة.
8.	يجب على المؤسسة المالية تنفيذ ضوابط أمنية منطقية ومادية وبيئية كافية من أجل دعم نفس المستوى من الوصول والأمن في حالة الحاجة إلى تفعيل الموقع البديل.
10.	بالنسبة لجميع الأنشطة الحيوية، على النحو الذي يحدده تحليل أثر انقطاع الأعمال، يجب على المؤسسة المالية التأكد من أن مزودي الخدمة الرئيسيين (إن وجدوا) لديهم خطة استمرارية الأعمال وأن خططهم يتم اختبارها على الأقل على أساس سنوي.

6.2 خطة التعافي من كوارث تقنية المعلومات (DRP)

المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ والمحافظة على خطة التعافي من كوارث تقنية المعلومات بالنسبة لأنشطتها الحيوية والبنية التحتية التقنية ذات الصلة.
الهدف
التأكد من أن المؤسسة المالية لديها خطة التعافي من كوارث تقنية المعلومات وقائمة محدثة بالأنشطة الحيوية في حالة وقوع حادث معطّل
اعتبارات التحكم
1.	يجب تحديد خطة التعافي من كوارث تقنية المعلومات لاستعادة واسترداد خدمات تقنية المعلومات ومكونات البنية التحتية التقنية (البيانات والأنظمة والشبكة والخدمات والتطبيقات) والموافقة عليها وتنفيذها وصيانتها بما يتماشى مع تحليل أثر انقطاع الأعمال.
2.	يجب على المؤسسة المالية إنشاء مركز بيانات بديل في موقع مناسب. ويجب تحديد الموقع بناءً على ما يلي:
	أ.	تقييم المخاطر للتأكد من أن الموقع لا يشترك في نفس مخاطر مركز البيانات الرئيسي (على سبيل المثال، التهديد الجغرافي)
	ب.	بعد الحصول على موافقة البنك المركزي
3.	يجب أن تكون تكوينات البيانات والنظام والشبكة والتطبيقات والقدرات في مركز البيانات البديل متناسبة مع تلك التكوينات والقدرات الموجودة في مركز البيانات الرئيسي.
4.	يجب على المؤسسة المالية تطبيق نفس الضوابط الأمنية المنطقية والمادية والبيئية والسيبرانية لمركز البيانات البديل كما هو الحال بالنسبة لمركز البيانات الرئيسي.
5.	يجب على المؤسسة المالية تحديد وتنفيذ عملية النسخ الاحتياطي والاسترداد.
6.	يجب أن يكون لدى المؤسسة المالية مكان خارج الموقع لتخزين النسخ الاحتياطية.
7.	يجب توقيع عقود رسمية مع أطراف خارجية لضمان استمرارية خدمات التعهيد أو تسليم أجهزة أو برمجيات بديلة ضمن الجداول الزمنية المتفق عليها في حالة وقوع كارثة. تضمين مبادئ توجيهية للتأكد من أن العقود الموقعة مع مقدمي الخدمات الخارجيين تتماشى مع نتائج تحليل أثر انقطاع الأعمال وتقييم المخاطر.
8.	يجب أن يكون مدير تقنية المعلومات مسؤولاً عن الحفاظ على خطط وترتيبات التعافي من الكوارث وإبقائها محدثة مع تحميل مدير إدارة استمرارية الأعمال للمساءلة الشاملة عن التكامل ضمن برنامج إدارة استمرارية الأعمال.
9.	يجب مراقبة الامتثال لخطة التعافي من الكوارث.
10.	يجب قياس مدى فعالية خطة التعافي من كوارث تقنية المعلومات وتقييمها على أساس سنوي كحد أدنى.

7.2 المرونة السيبرانية

المبدأ
يجب أن تضمن المؤسسة المالية تشغيل الخدمات ووظائف الأعمال والعمليات الحيوية على بنية تحتية وبرمجيات موثوقة وقوية.
الهدف
التأكد من توفر كل من الخدمات ووظائف الأعمال والعمليات الحيوية للمؤسسة المالية عند الحاجة ومقاومتها للأعطال.
اعتبارات التحكم
1.	جميع التغييرات المدخلة على البنية التحتية والبرمجيات التي تدعم بشكل مباشر الخدمات ووظائف الأعمال والعمليات الهامة المحددة يجب أن:
	أ.	تخضع لتقييمات متعمقة للمخاطر لضمان تلبية متطلبات العمل المتفق عليها فيما يتعلق بالتوافر والتعافي.
	ب.	تتبع إجراءات صارمة للتطوير والاختبار وإدارة التغيير لتجنب حدوث عطل أو خلل في نقطة واحدة.
2.	يجب تحديد مراجعة معمارية دورية والموافقة عليها لضمان معالجة متطلبات العمل المتعلقة بالتوافر واستمرارية الأعمال وتنفيذها بشكل صحيح.
	ملاحظة. لمزيد من اعتبارات التحكم لتحسين المرونة الشاملة، على سبيل المثال، إدارة التهديدات، وإدارة الثغرات الأمنية، يرجى الرجوع إلى الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.

8.2 خطة إدارة الأزمات

المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ خطة لإدارة الأزمات من شأنها أن تسهل الاستجابة الجيدة للحوادث الكبرى، بما في ذلك التواصل السريع لضمان السلامة العامة لأصحاب المصلحة الداخليين والخارجيين على حد سواء.
الهدف
التأكد من أن المؤسسة المالية لديها خطة فعالة لإدارة الأزمات مطبقة ومحدّثة للمنتجات والخدمات ووظائف الأعمال والعمليات الهامة للمؤسسة المالية، في حالة وقوع حادث معطّل.
اعتبارات التحكم
1.	يجب تحديد خطة لإدارة الأزمات والموافقة عليها وتنفيذها.
2.	يجب مراقبة الامتثال لخطة إدارة الأزمات.
3.	يجب قياس مدى فعالية برنامج استمرارية الأعمال ضمن خطة إدارة الأزمات وتقييمها بشكل دوري.
4.	يجب أن توثق المؤسسة المالية خطة (خطط) إدارة الأزمات التي تحدد كيفية معالجة وإدارة الأزمات الناتجة عن حادث (حوادث) كبيرة ويجب أن تتضمن على الأقل ما يلي:
	أ.	معايير إعلان الأزمة.
	ب.	يجب على المؤسسة المالية إنشاء مركز قيادة للإدارة المركزية ومركز قيادة للطوارئ.
	ج.	أعضاء فريق إدارة الأزمات. مع أخذ في الاعتبار ممثلي المنتجات والخدمات والوظائف والعمليات الحيوية للمؤسسة المالية (بما في ذلك قسم الاتصالات)
	د.	تفاصيل الاتصال بأعضاء فريق إدارة الأزمات (بما في ذلك الأطراف الخارجية)
	هـ.	تحديد الخطوات الواجب اتخاذها أثناء الأزمة أو الكارثة وبعدها (بما في ذلك التفويضات المطلوبة)
	و.	خطة التواصل بما في ذلك خطة الاستجابة الإعلامية، لمعالجة التواصل مع أصحاب المصلحة الداخليين والخارجيين أثناء الأزمات.
	ز.	تواتر اختبارات إدارة الأزمات

9.2 الاختبارات

المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ ومراقبة اختبارات منتظمة لخطة استمرارية الأعمال وخطة التعافي من الكوارث لتدريب موظفيها والأطراف الخارجية واختبار فعالية خطط استمرارية الأعمال والتعافي من الكوارث.
الهدف
التأكد من أن خطة استمرارية الأعمال وخطة التعافي من الكوارث الحالية للمؤسسة المالية تعمل على النحو المحدد، وأن الموظفين والأطراف الخارجية مدربون على تنفيذ هذه الخطط.

1.9.2 اختبار خطة استمرارية الأعمال
اعتبارات التحكم
1. يجب على المؤسسة المالية إجراء تمارين اختبار محاكاة لخطة استمرارية الأعمال بشكل دوري ("مرة واحدة على الأقل في السنة")
2. يجب أن تراعي الاختبارات السيناريوهات المناسبة المخططة بشكل جيد ومزودة بأهداف محددة بوضوح (على سبيل المثال، لكل وظيفة، لكل خدمة، لكل عملية، لكل موقع، لكل سيناريوهات أسوأ الحالات). ويجب أن تأخذ المؤسسة المالية في الاعتبار تضمين سيناريوهات الأمن السيبراني.
3. يجب أن تغطي سيناريوهات الاختبار المحددة التنشيط والمشاركة لفريق إدارة الأزمات.
4. بعد الانتهاء من الاختبارات الفردية المذكورة أعلاه، يجب على كل مؤسسة مالية النظر في إجراء اختبار متكامل لإدارة استمرارية الأعمال لجميع الخدمات والعمليات والوظائف الحيوية.

2.9.2 اختبار خطة التعافي من الكوارث
اعتبارات التحكم
1. يجب على المؤسسة المالية إجراء اختبار التعافي من الكوارث بشكل دوري مع خطة استمرارية الأعمال ("مرة واحدة على الأقل في السنة").
2. يجب أن تجري المؤسسة المالية تقييماً لاختبار التعافي من الكوارث المنفذ للبنية التحتية لتقنية المعلومات التي تدعم الأنظمة الحيوية للمؤسسة المالية من أجل ضمان جاهزية التعافي من الكوارث وقدرتها على استئناف عمليات الأعمال الحيوية لفترة من الوقت في حالة وقوع كارثة كبرى.
3. يجب أن توفر نتائج اختبار التعافي من الكوارث تقييمًا واقتراحات للتحسينات اللازم إدخالها لإدارة الأحداث المعطّلة التي من شأنه أن تؤثر على استمرارية أعمال المؤسسة المالية.
4. يجب أن يغطي تفعيل ومشاركة فريق إدارة الأزمات.

3.9.2 الاختبارات المنفذة

1.	يجب توثيق النتائج التفصيلية لجميع التدريبات والاختبارات للرجوع إليها في المستقبل. يجب أن تتضمن نتائج التدريبات/الاختبارات، على سبيل المثال لا الحصر، الاعتبارات التالية:
	أ.	تأكيد تحقيق أهداف الخطة التي تم تنفيذها
	ب.	تأكيد قدرات وجاهزية موارد التعافي
	ج.	توثيق الدروس المستفادة والتحسينات المطلوبة
	د.	في حالة حدوث فشل، يجب تتبع السبب الجذري للفشل وإجراءات المعالجة حتى الوصول إلى نتيجة ناجحة
2.	إعادة اختبار الخطة في غضون الجداول الزمنية المحددة في حالة حدوث فشل، ويجب ألا تتجاوز الجداول الزمنية حد الثلاثة (3) أشهر.
3.	يجب أن يراقب المدقق الداخلي للمؤسسة المالية، أو مدقق خارجي مؤهل، أنشطة اختبار استمرارية الأعمال والتعافي من الكوارث كمشارك مستقل من أجل تقديم تأكيد معقول على الأنشطة المنفذة ونتائج الاختبار ومراقبة ما إذا كانت الاختبارات المنفذة تفي بأهداف برنامج استمرارية الأعمال العام للمؤسسة المالية.
4.	يجب إبلاغ لجنة استمرارية الأعمال والإدارة العليا ومجلس الإدارة بنتائج جميع اختبارات استمرارية الأعمال واختبارات التعافي من الكوارث.

10.2 التوعية والتدريب

المبدأ
يجب أن تقوم المؤسسة المالية بوضع وتنفيذ والمحافظة على برنامج تدريب وتوعية يدعم أهداف إدارة استمرارية الأعمال بفعالية من خلال تطوير الكفاءة المطلوبة بين الموظفين.
الهدف
يجب على المؤسسة المالية ضمان إدماج إدارة استمرارية الأعمال في أنشطتها اليومية، من خلال خطة توعية مستمرة ينبغي توثيقها.
اعتبارات التحكم
1.	يجب أن تكون المؤسسة المالية والأطراف الخارجية ذات الصلة، مثل مقدمي الخدمات والموردين:
	أ.	- على دراية بالأجزاء ذات الصلة من سياسة وخطط استمرارية الأعمال
	ب.	ملزمون تعاقديًا بتقديم خدماتهم أو منتجاتهم في غضون الوقت المتفق عليه، في حالة وقوع حدث معطّل
	ج.	على دراية بنقطة الاتصال الخاصة بهم أو منسق إدارة استمرارية الأعمال المحلي الخاص بهم في المؤسسة المالية
	د.	- على دراية بأدوارهم ومسؤولياتهم أثناء الحوادث المعطّلة
2.	يجب تقديم برنامج تدريبي مرة واحدة سنويًا للموظفين المشاركين في إدارة استمرارية الأعمال لتحقيق المستوى المطلوب من الخبرة والمهارات والكفاءات.
3.	يجب على المؤسسة المالية قياس فعالية برنامج التدريب والتوعية بشكل دوري.

11.2 التواصل
المبدأ
يجب على المؤسسة المالية تحديد وإنشاء والحفاظ على عملية تواصل للاتصالات الدورية مع البنك المركزي بشأن المسائل المتعلقة ببرنامجها الخاص باستمرارية الأعمال.
الهدف
التأكد من الحفاظ على التواصل المستمر مع البنك المركزي من خلال تحديد بروتوكول الاتصال والتواتر والأدوار والمسؤوليات الخاصة بالاتصالات والاتفاق عليها والالتزام بها
اعتبارات التحكم
1. يجب على المؤسسة المالية الإبلاغ عن جميع الحوادث المعطلة المصنفة على أنها "متوسطة" أو "عالية" إلى "قسم الإشراف على مخاطر تقنية المعلومات المصرفية" التابع للبنك المركزي على الفور. يجب إرسال تقرير ما بعد الحادث إلى البنك المركزي بعد استئناف المؤسسة المالية لعملياتها العادية.
2. يجب على المؤسسة المالية التنسيق مع قسم الإشراف بالبنك المركزي عند التواصل مع وسائل الإعلام في حالة وقوع حوادث.
3. يجب على المؤسسات المالية الحصول على موافقة البنك المركزي عند اختيار موقع جديد لمركز البيانات الرئيسي أو البديل الخاص بها، أو عند نقل مركز البيانات الرئيسي أو البديل الحالي.
4. يجب على المؤسسة المالية إبلاغ "قسم الإشراف على مخاطر تقنية المعلومات المصرفية" التابع للبنك المركزي بالبرنامج المعتمد لتنفيذ اختبارات استمرارية الأعمال والتعافي من الكوارث للسنة القادمة بحلول نهاية شهر يناير من كل عام.
5. يجب مشاركة نتائج اختبار استمرارية الأعمال والتعافي من الكوارث مع البنك المركزي في غضون أربعة أسابيع بعد الاختبار ويجب على المؤسسة المالية تحديد التحسينات بناءً على الاختبار الذي تم إجراؤه وتقديم خطة عمل إلى البنك المركزي في غضون شهرين بعد تقديم نتائج الاختبار.

12.2 المراجعة الدورية للوثائق
المبدأ
يجب مراجعة وتحديث برنامج استمرارية الأعمال والتعافي من الكوارث والسياسات والخطط والإجراءات بشكل دوري، وفي حالة حدوث تغيير (كبير) في المنتجات والخدمات و/أو وظائف الأعمال و/أو العمليات الحيوية للمؤسسة المالية.
الهدف
التأكد من أن جميع وثائق استمرارية الأعمال محدّثة ويمكن استخدامها أثناء وقوع حادث معطّل لاستعادة العمليات التجارية.
اعتبارات التحكم
1. يجب على المؤسسات المالية إنشاء عملية لمراجعة/تحديث الوثائق لضمان تحديث وثائق استمرارية الأعمال ومراجعتها والموافقة عليها.
2. يجب أن تحدد جميع الوثائق بوضوح آخر تاريخ تمت فيه مراجعة الوثيقة والموافقة عليها.

13.2 الضمان
المبدأ
يجب أن تخضع آلية استمرارية الأعمال في المؤسسات المالية إلى مراجعات وتدقيقات دورية من قبل طرف داخلي أو خارجي مؤهل ومستقل لضمان فعاليتها، وللحصول على ضمانات فيما يتعلق بالامتثال لإدارة استمرارية الأعمال التابعة للبنك المركزي.
الهدف
التأكد من قيام طرف مستقل بمراجعة أنشطة الدليل التنظيمي لإدارة استمرارية الأعمال وإبلاغ الإدارة العليا بشكل مستقل عن المشكلات التي تم تحديدها.
اعتبارات التحكم
1. يجب على المؤسسة المالية إجراء مراجعة/تدقيق لإدارة استمرارية الأعمال من قبل جهة داخلية/خارجية مستقلة مؤهلة.
2. يجب على المؤسسة المالية تحديد الثغرات وتوفير خارطة طريق لتعزيز إدارة استمرارية الأعمال داخل المؤسسة.
3. يجب إبلاغ الإدارة العليا ولجنة إدارة استمرارية الأعمال بالثغرات التي تم تحديدها إلى جانب خارطة الطريق.

إطلاق تجريبي

‌الدليل التنظيمي لإدارة استمرارية الأعمال

1. مقدمة

1.1 مقدمة الدليل التنظيمي لإدارة استمرارية الأعمال

2.1 التعريفات

3.1 النطاق

4.1 نطاق التطبيق

5.1 المسؤوليات

6.1 التفسير

7.1 الجمهور المستهدف

8.1 المراجعة والتغييرات والمحافظة

9.1 دليل القراءة

2. متطلبات استمرارية الأعمال

1.2 حوكمة إدارة استمرارية الأعمال

2.2 استراتيجية إدارة استمرارية الأعمال

3.2 سياسة استمرارية الأعمال

4.2 تحليل أثر انقطاع الأعمال وتقييم المخاطر

5.2 خطة استمرارية الأعمال (BCP)

6.2 خطة التعافي من كوارث تقنية المعلومات (DRP)

7.2 المرونة السيبرانية

8.2 خطة إدارة الأزمات

9.2 الاختبارات

1.9.2 اختبار خطة استمرارية الأعمال

2.9.2 اختبار خطة التعافي من الكوارث

3.9.2 الاختبارات المنفذة

10.2 التوعية والتدريب

11.2 التواصل

12.2 المراجعة الدورية للوثائق

13.2 الضمان