اسئلة عامة عن إطار البنك المركزي السعودي ضمن اطار الامن السيبراني

مجالات التحكم الرئيسية الأربعة لإطار عمل مؤسسة النقد العربي السعودي للأمن السيبراني هي:
قيادة وحوكمة الأمن السيبراني
إدارة مخاطر الأمن السيبراني والامتثال
عمليات وتكنولوجيا الأمن السيبراني
الأمن السيبراني للجهات الخارجية

الهدف الرئيسي هو إرساء أساس متين للأمن السيبراني داخل المؤسسة من خلال التزام رفيع المستوى وهياكل إدارية فعالة، بما في ذلك وضع استراتيجية وسياسة شاملة للأمن السيبراني.

يركز مجال إدارة مخاطر الأمن السيبراني والامتثال على إجراء تقييمات منتظمة للمخاطر، وتنفيذ خطط معالجة المخاطر، وضمان الامتثال التنظيمي، ووضع مقاييس وآليات الإبلاغ عن الأمن السيبراني.

يشمل هذا المجال تطبيق ضوابط وصول قوية، ونشر تدابير أمن الشبكات، وضمان حماية البيانات، والحفاظ على إعدادات آمنة، وإنشاء عمليات إدارة الثغرات الأمنية، وتنفيذ مراقبة أمنية.

يُدرك مجال الأمن السيبراني للجهات الخارجية المخاطر المرتبطة بالعلاقات الخارجية، ويُركز على تقييم مخاطر الجهات الخارجية، ودمج متطلبات الأمن في العقود، وإدارة وصول الجهات الخارجية إلى أنظمة وبيانات المؤسسة.

يستخدم إطار عمل مؤسسة النقد العربي السعودي (SAMA) نموذج نضج من ستة مستويات (0-5) لتقييم قدرات الأمن السيبراني للمؤسسة، مع تشجيع المؤسسات على الوصول إلى المستوى الثالث على الأقل من النضج.

يجب على المؤسسات إجراء تقييمات ذاتية دورية بناءً على استبيان تُعدّه SAMA، والذي تُراجعه وتُدقّقه SAMA بعد ذلك لتحديد مستويات الامتثال والنضج.

يُحدّد الإطار مبادئ وأهداف الأمن السيبراني الرئيسية التي يجب على المؤسسات الأعضاء تحقيقها، مما يسمح بمرونة في التنفيذ مع الحفاظ على التركيز على النتائج المرجوة.

يُركز الإطار على تعزيز ثقافة الوعي بالأمن السيبراني من خلال برامج تدريبية وتوعوية منتظمة للموظفين والجهات الخارجية والعملاء.

يغطي الإطار مجموعة واسعة من أصول المعلومات، بما في ذلك المعلومات الإلكترونية، والمعلومات المادية (الورقية)، والتطبيقات، والبرمجيات، والخدمات الإلكترونية، وقواعد البيانات، وأجهزة الحاسوب، والآلات الإلكترونية، وأجهزة تخزين المعلومات، والمباني، والمعدات، وشبكات الاتصالات.

إطار عمل مؤسسة النقد العربي السعودي للأمن السيبراني هو دليل شامل صادر عن مؤسسة النقد العربي السعودي (ساما) لوضع أفضل الممارسات والمعايير للمؤسسات العاملة في القطاع المالي للحماية من التهديدات السيبرانية.

لا يهدف الإطار إلى ضمان تطبيق المؤسسات الأعضاء لمستوى مناسب من ضوابط الأمن السيبراني، والحوكمة، وعمليات إدارة المخاطر لحماية البيانات الحساسة والحماية من الوصول غير المصرح به.

 يتضمن الإطار نموذج نضج يمكن للمؤسسات استخدامه لتقييم مستوى نضجها الحالي في الأمن السيبراني وتحديد مجالات التحسين بناءً على أفضل الممارسات ومعايير القطاع.

لا يتناول الإطار مجالات مثل استراتيجية الأمن السيبراني، والبنية التحتية التقنية، وحوكمة الأمن السيبراني، والعمليات والتكنولوجيا، ومخاطر الأمن السيبراني، والهجمات السيبرانية.

لا يضمن اتباع هذا الإطار اتباع المؤسسات لنهج مشترك في معالجة مخاطر الأمن السيبراني، وتطبيق ضوابط أمنية مناسبة، وتحقيق المستوى المطلوب من النضج الأمني ​​للحماية من الاختراقات.

يُسند الإطار المسؤولية النهائية عن الأمن السيبراني إلى لجنة أمنية مُعينة داخل كل مؤسسة، تُكلّف بضمان تطبيق سياسات وممارسات الأمن السيبراني.

لا يُقدّم الإطار إرشادات حول كيفية تحديد المؤسسات لمخاطر الأمن السيبراني والتخفيف منها من خلال عملية إدارة مخاطر مُنظّمة تتوافق مع معايير القطاع وأفضل الممارسات.

من خلال توفير مجموعة من ضوابط ومعايير الأمن السيبراني وأفضل الممارسات، يُمكّن الإطار المؤسسات من تعزيز وظيفة الأمن السيبراني لديها وحماية أنظمتها وبياناتها وعملياتها من التهديدات السيبرانية المُحتملة.