Cyber Security Framework
| No: TAM/250/202205 |
Effective from May 26 2022 - May 25 2022
To view other versions open the versions tab on the right
انطلاقاً من حرص البنك المركزي في تحسين مستوى الممارسات بخصوص أمن المعلومات في قطاع التأمين من خلال وجود آلية فعالة مطبقة ومختبرة في المؤسسات المالية مستندة على أفضل الحلول والممارسات التي توفر بيئة أمن معلومات ناضجة ومرنة في التصدي لما قد يتعرض له القطاع من هجمات إلكترونية، وإشارة إلى مبادرات المؤسسة الاستراتيجية الخاصة بأمن المعلومات والتي من ضمنها تطوير وإصدار دليل تنظيمي لأمن المعلومات (Cyber Security Framework) في المؤسسات المالية والتي تخضع لإشراف مؤسسة النقد العربي السعودي.
نفيدكم أنه تم اعداد الدليل التنظيمي لأمن المعلومات (Cyber Security Framework) والذي يتعين على لمؤسسات المالية:
- شركات وساطة التأمين الحاصلة على موافقة البنك المركزي على البيع الإلكتروني.
- شركات وساطة التأمين الإلكترونية.
- شركات تسوية المطالبات الطبية.
الالتزام الكامل بما ورد فيه وذلك حسب الآتي:
| أولاً: | عمل تقييم دقيق للوضع الحالي لأمن المعلومات في المؤسسة المالية مقارنة بما ورد من متطلبات في الدليل التنظيمي (Gap-Assessment) لتحديد مواطن الضعف وتقييم مستوى النضج وفق ما ورد في الدليل من تعريف لـ (Maturity Level). |
| ثانياً: | وضع خطة عمل (Roadmap) لتحقيق جميع متطلبات مستوى النضج الثالث (Maturity Level 3) كحد أدنى لجميع المتطلبات المذكورة في الدليل بعد تقييم الوضع الحالي في بيئة المؤسسة المالية بشكل دقيق. |
| ثالثاً: | يتوجب على المؤسسة المالية عرض الخطة المعدة (Roadmap) على مجلس الإدارة / المديرين أو المدير العام واطلاعهم عليها وأخذ الموافقة على الخطة والدعم اللازم. |
| رابعاً: | يتعين على المؤسسة المالية إرسال الخطة المعدة للمؤسسة في موعد أقصاه نهاية شهر أغسطس 2022م. |
| خامساً: | تزويد مؤسسة النقد العربي السعودي بتقارير ربع سنوية اعتباراً من نهاية الربع الثالث لعام 2023م وحتى التزام المؤسسة المالية بمتطلبات المؤسسة. |
| سادساً: | على المؤسسة المالية الالتزام التام بالمتطلبات المذكورة في الدليل بنهاية شهر نوفمبر 2023م. |
| سابعاً: | يتوجب على لجنة أمن المعلومات، أو ما يعادلها، في المؤسسة المالية متابعة تطبيق الدليل التنظيمي ومدى الالتزام بالخطة المعتمدة وتقديم الدعم الكامل لحل جميع العقبات التي تواجه فرق العمل في المؤسسة المالية والتصعيد الداخلي لصاحب الصلاحية عن كل ما من شأنه يؤثر أو يعيق تطبيق المتطلبات. وبموجب التعميم رقم (51610/99) وتاريخ 1440/08/17هـ يتعين على المسؤولين في المؤسسات المالية إعطاء الدعم اللازم لإدارة أمن المعلومات وتزويدهم بالكفاءات من الكوادر الوطنية والأدوات التقنية والتدريب المناسب للقيام بدورهم بأكمل وجه. |
يتم إرسال خطة العمل والتقارير الربعية إلى البريد الإلكتروني:
(CRC.Compliance@SAMA.GOV.SA).
ونود الإحاطة أن المؤسسة سوف تقوم بعمل زيارات تفتيشية بشكل دوري للتأكد من دقة التقييم ودرجة الالتزام مع متطلبات الدليل التنظيمي، وفي حال وجود أي استفسار يمكن التواصل مع مدير مخاطر تقنية المعلومات البنكية.