مركز المساعدة
الأسئلة الشائعة
ابحث عن إجابات لأسئلتك حول الأمن السيبراني ومنصة سيزو للاستشارات
إجابة مقترحة
⭐ الأسئلة الأكثر شيوعاً
من يجب عليه الامتثال لإطار الأمن السيبراني لساما؟
يجب على جميع المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي (ساما) الامتثال، بما في ذلك البنوك التجارية وشركات ال…
ما هي ضوابط NCA ECC ومن تنطبق عليه؟
ضوابط الأمن السيبراني الأساسية (ECC) هي إطار إلزامي صادر عن الهيئة الوطنية للأمن السيبراني في المملكة العربية السعودية.…
متى دخل نظام PDPL السعودي حيز التنفيذ؟
صدر نظام حماية البيانات الشخصية السعودي (PDPL) بمرسوم ملكي في سبتمبر 2021 ودخل حيز التطبيق الرسمي في سبتمبر 2023 بعد فتر…
ما هو vCISO ومتى تحتاج المؤسسة إليه؟
مسؤول أمن المعلومات الافتراضي (vCISO) هو مسؤول تنفيذي متمرس في الأمن السيبراني يقدم القيادة الاستراتيجية بصورة جزئية أو…
عام 1
سيزو للاستشارات السعودية هي المنصة الرائدة في مجال الاستخبارات السيبرانية في المملكة العربية السعودية، وتتضمن بودكاست ومؤشرات التهديدات وأحدث أخبار الأمن السيبراني المتعلقة بالسوق السعودي.
هل كانت الإجابة مفيدة؟
الأمن السيبراني 14
نغطي جميع أطر الأمن السيبراني السعودية الرئيسية بما في ذلك ضوابط الأمن السيبراني الأساسية للهيئة الوطنية للأمن السيبراني، وإطار الأمن السيبراني لساما، ونظام حماية البيانات الشخصية، والإطار التنظيمي للحوسبة السحابية.
هل كانت الإجابة مفيدة؟
مركز العمليات الأمنية (SOC) هو فريق مركزي مسؤول عن مراقبة التهديدات السيبرانية والكشف عنها والاستجابة لها في الوقت الفعلي. يتطلب كل من إطار SAMA CSF وضوابط NCA ECC مراقبة أمنية على مدار الساعة طوال أيام الأسبوع للجهات الخاضعة للتنظيم. يمكن للمؤسسات إنشاء SOC داخلي أو استخدام مزود SOC مُدار أو نموذج هجين حسب الميزانية والحجم وملف المخاطر.
هل كانت الإجابة مفيدة؟
بناء برنامج الأمن السيبراني في المملكة يتضمن: (1) تحديد الأطر المنطبقة (SAMA CSF وNCA ECC وPDPL بناءً على القطاع)؛ (2) إجراء تقييم خط أساس للمخاطر وتحليل الفجوات؛ (3) تعريف هيكل الحوكمة وتعيين CISO أو vCISO؛ (4) وضع السياسات والإجراءات المتوافقة مع الإطار؛ (5) تطبيق الضوابط التقنية (IAM وأمن نقاط النهاية والمراقبة)؛ (6) بناء أو الاستعانة بقدرات SOC؛ (7) تدريب الموظفين؛ (8) إجراء تقييمات سنوية والإبلاغ للجهات التنظيمية.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة الهوية والوصول من أكثر المجالات التي يُركّز عليها المراجعون خلال تقييمات ساما والهيئة الوطنية للأمن السيبراني. وفيما يلي أبرز الضوابط الإلزامية والموصى بها:
**متطلبات إطار ساما (ضوابط إدارة الوصول 3.2.x):**
- تطبيق عملية رسمية موثقة لمنح الصلاحيات وسحبها مع الحصول على موافقات معتمدة.
- تطبيق مبدأ الصلاحية الأدنى والحاجة إلى المعرفة على جميع الأنظمة.
- إدارة الوصول المميز (PAM): يجب حصر جميع الحسابات المميزة وإدارتها عبر منصة PAM مخصصة مع تفعيل الرقابة المعززة.
- المصادقة متعددة العوامل (MFA): تشترط ساما تفعيلها للوصول عن بُعد والحسابات المميزة وخدمات الخدمات المصرفية الرقمية.
- مراجعات الوصول الدورية: ربع سنوية للمستخدمين المميزين، ونصف سنوية للمستخدمين العاديين، مع سحب الصلاحيات غير الضرورية فوراً.
**ضوابط الهيئة الوطنية للأمن السيبراني (ECC):**
- تستوجب الضوابط تطبيق التحكم في الوصول المبني على الأدوار (RBAC) وضمان الفصل بين المهام في العمليات الحساسة.
- يُشترط تفعيل إدارة الجلسات والإغلاق التلقائي عند الخمول وتسجيل جميع جلسات الوصول المميز.
**توصيات عملية:**
- انشر منصة مركزية لحوكمة الهوية وإدارتها لأتمتة دورة حياة الوصول.
- ادمج حلول IAM مع نظام SIEM للكشف الفوري عن الأنشطة الشاذة.
- تعامل مع حسابات الخدمات وبيانات اعتماد واجهات API بنفس صرامة حسابات البشر — وهي ثغرة شائعة في التدقيق.
إدارة الهوية والوصول هي الركيزة الأساسية للامتثال لإطار ساما وضوابط الهيئة الوطنية ومعيار ISO 27001 في الضابط A.9.
هل كانت الإجابة مفيدة؟
لا تُعدّ خطة الاستجابة للحوادث السيبرانية خياراً اختيارياً للمؤسسات المالية السعودية، بل هي التزام تنظيمي صريح يرتبط بمواعيد إبلاغ محددة وجهات رقابية متعددة. وفيما يلي دليل عملي لبناء هذه الخطة وتفعيلها وفق متطلبات المجال 3.5 من SAMA CSF والضابط 2-14 من NCA ECC.
**هيكل الخطة (6 مراحل):**
1. **التهيئة والاستعداد:** تحديد فئات الحوادث وفق تصنيف ساما (حرج، عالٍ، متوسط، منخفض)، وتشكيل فريق الاستجابة بصلاحيات واضحة، والاحتفاظ بسجل محدّث للأصول.
2. **الكشف والتحديد:** الاستعانة بأدوات SIEM وEDR للكشف المبكر عن التهديدات، وتحديد معايير الحوادث الواجبة الإبلاغ.
3. **الاحتواء:** عزل الأنظمة المتضررة فوراً وتوثيق جميع الإجراءات بطوابع زمنية دقيقة.
4. **الاستئصال والاسترداد:** إزالة مسببات التهديد، والاستعادة من نسخ احتياطية موثوقة، والتحقق من سلامة الأنظمة قبل استئناف العمليات.
5. **مراجعة ما بعد الحادثة:** إجراء تحليل للسبب الجذري خلال 15 يوماً من الحل وتحديث الخطة بناءً على النتائج.
6. **الإبلاغ التنظيمي:** وهي المرحلة الأكثر تنظيماً.
**مواعيد الإبلاغ التنظيمية:**
- **ساما (الضابط 3.5.4):** الإبلاغ عن الحوادث الحرجة خلال 72 ساعة من الاكتشاف.
- **هيئة الاتصالات الوطنية (الضابط 2-14):** الإبلاغ عن الحوادث الجسيمة لمركز العمليات الوطني للأمن السيبراني (NCOC) خلال 24 ساعة.
- **نظام PDPL (المادة 29):** الإبلاغ عن خروقات البيانات الشخصية للهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) خلال 72 ساعة.
**توصيات عملية:** إجراء تمارين محاكاة للحوادث مرتين على الأقل سنوياً، والتأكد من اعتماد الخطة من مجلس الإدارة ومراجعتها بشكل دوري، وتعيين منسق مخصص للاستجابة مع وضع مصفوفة تصعيد على مدار الساعة لتفادي التأخر في معالجة الحوادث خارج أوقات الدوام.
هل كانت الإجابة مفيدة؟
يُلزم كلٌّ من إطار الأمن السيبراني لساما (النطاق الثالث – الصمود السيبراني) وضوابط الأمن السيبراني للجهات الحكومية لهيئة الاتصالات وتقنية المعلومات (المادة 3-7) المؤسساتِ بامتلاك خطة استجابة موثّقة ومُختبرة ومحدّثة باستمرار. والمنظّمون لا يقبلون مجرد وثيقة على الورق، بل يطلبون دليلاً على الجاهزية الفعلية.
**هيكل الخطة:**
يجب أن تغطي الخطة ست مراحل وفق إطار NIST SP 800-61: الاستعداد، الكشف والتحديد، الاحتواء، الاستئصال، الاسترداد، ثم الدروس المستفادة. كما يجب أن تُحدد الأدوار بوضوح: قائد الحادثة، المسؤول التقني، المستشار القانوني، ومسؤول الاتصالات، مع تحديد بدائل لكل دور.
**الالتزامات تجاه ساما:**
يشترط الضابط 3.3.3 من إطار ساما الإبلاغ عن الحوادث الجوهرية في غضون 72 ساعة من اكتشافها، لذا يجب تضمين الخطة قوالب تواصل معتمدة مسبقاً للجهات التنظيمية والعملاء والإعلام.
**الإبلاغ لهيئة الاتصالات وتقنية المعلومات:**
يستوجب ربط خطة الاستجابة بمنصة الإبلاغ لدى الهيئة لضمان الامتثال للمادة 3-7 دون تأخير.
**متطلبات الاختبار:**
- **تمارين المحاكاة الجدولية** ربع سنوية: لسيناريوهات كالفدية واختراق البيانات والتهديد الداخلي
- **التدريبات الوظيفية** نصف سنوية: لاختبار الإجراءات التقنية الفعلية
- **المحاكاة الشاملة** سنوية: بمشاركة جميع الأطراف بما فيها الإدارة العليا
**نصيحة عملية:** صنّف مستويات الحوادث (P1 إلى P4) ورِبطها بالحدود التنظيمية التي تستوجب الإبلاغ، حتى يعرف فريقك تلقائياً متى يتوجب إخطار الجهات المختصة دون تردد أثناء الأزمات.
هل كانت الإجابة مفيدة؟
يجب أن تتضمن خطة الاستجابة الشاملة للحوادث: (1) الأدوار والمسؤوليات (CISO وفريق IR والقانوني والاتصالات)؛ (2) تصنيف الحوادث ومستويات الخطورة؛ (3) إجراءات الكشف والإبلاغ؛ (4) خطوات الاحتواء والاستئصال والتعافي؛ (5) إرشادات الحفاظ على الأدلة والتحقيق الجنائي؛ (6) متطلبات الإخطار التنظيمي لساما/الهيئة الوطنية؛ (7) خطة الاتصالات الخارجية؛ (8) عملية الدروس المستفادة؛ (9) جدول الاختبارات.
هل كانت الإجابة مفيدة؟
تُعدّ برامج التوعية بالأمن السيبراني متطلباً صريحاً في SAMA CSF (الضابط 3.2.1 – التوعية والتدريب) وNCA ECC (المادة 2-6 – أمن الموارد البشرية). والبرنامج الفعّال لا يقتصر على دورة سنوية تقليدية، بل يسعى إلى بناء ثقافة أمنية مستدامة. إليك كيفية بناء برنامج يلبّي كلا الإطارين:
**أولاً – تحليل الاحتياجات التدريبية حسب الدور الوظيفي:**
صمّم المحتوى وفق طبيعة كل فئة: القيادات التنفيذية تحتاج إلى توعية بمخاطر الهندسة الاجتماعية والحوكمة، بينما يحتاج الموظفون العامون إلى التدريب على التصيد الاحتيالي وإدارة كلمات المرور والتعامل الآمن مع البيانات. وتشترط SAMA تدريباً مُعزَّزاً لمستخدمي الصلاحيات المتميزة تحديداً.
**ثانياً – وضع جدول تدريبي منتظم:**
تشترط ساما توثيق تدريب رسمي مرة سنوياً على الأقل، غير أن الممارسات المثلى تشمل محاكاة فصلية لهجمات التصيد، ونشرات أمنية شهرية، وبرامج توجيهية إلزامية للموظفين الجدد.
**ثالثاً – تضمين محتوى منسجم مع التشريعات السعودية:**
يجب أن يغطي البرنامج متطلبات PDPL في التعامل مع البيانات، وإجراءات الإبلاغ عن الحوادث وفق ساما، وسياسات الاستخدام المقبول المنصوص عليها في NCA ECC، فضلاً عن تكتيكات الاحتيال الشائعة في القطاع المالي كاحتيال البريد التجاري (CEO Fraud) والتصيد الصوتي.
**رابعاً – قياس الفاعلية:**
راقب معدلات النقر في محاكاة التصيد ونسب إتمام التدريب ونتائج الاختبارات القبلية والبعدية. يتوقع مدققو ساما وهيئة NCA وجود مقاييس موثقة تثبت تطور فاعلية البرنامج مع الوقت.
**خامساً – التوطين والملاءمة الثقافية:**
يُحسّن المحتوى باللغة العربية مع سيناريوهات مستوحاة من البيئة المحلية والتهديدات الشائعة في منطقة الشرق الأوسط مستوى التفاعل والاستيعاب بشكل ملحوظ.
احرص على توثيق كل شيء: سجلات الحضور، ونتائج التقييمات، وإجراءات المعالجة للموظفين الذين لم يجتازوا اختبارات التصيد. هذا التوثيق ضروري خلال مراجعات ساما الإشرافية وعمليات تدقيق الامتثال لدى هيئة NCA.
هل كانت الإجابة مفيدة؟
يحتاج كبير مسؤولي أمن المعلومات في البنك السعودي إلى بناء برنامج متكامل لإدارة الثغرات يستوفي متطلبات الضابط 3.3.3 من SAMA CSF والضابط A.12.6.1 من ISO 27001.
**ركائز البرنامج:**
**1. اكتشاف الأصول وتصنيفها**
الحفاظ على قائمة جرد محدّثة باستمرار وفق الضابط 3.1.1 من SAMA CSF، مع تصنيف الأصول حسب الأهمية لتحديد أولويات المعالجة.
**2. جدولة عمليات الفحص**
يُلزم SAMA CSF بإجراء تقييمات دورية للثغرات. من الممارسات الفضلى:
- فحص أسبوعي للأنظمة المكشوفة على الإنترنت
- فحص شهري للبنية التحتية الداخلية
- تكامل الفحص الفوري مع منظومة SIEM
**3. تحديد الأولويات بناءً على المخاطر**
استخدام درجات CVSS مع السياق التشغيلي؛ ثغرة بدرجة 7.0 في نظام مصرفي جوهري تأخذ الأولوية على ثغرة بدرجة 9.0 في بيئة اختبار معزولة.
**4. اتفاقيات مستوى خدمة المعالجة**
وفق الضابط 3.3.3.5 من SAMA CSF:
- ثغرات حرجة: معالجة خلال 7 أيام
- عالية: 30 يوماً
- متوسطة: 90 يوماً
- منخفضة: قبول المخاطر أو 180 يوماً
**5. المقاييس والتقارير**
تقديم تقارير شهرية لكبير مسؤولي الأمن وربع سنوية للجنة مخاطر مجلس الإدارة، تشمل متوسط وقت المعالجة وعمر الثغرات المفتوحة والاستثناءات وفق البند 9.1 من ISO 27001.
**6. التكامل مع اختبارات الاختراق**
دعم البرنامج باختبارات اختراق سنوية وفق الضابط 3.3.4 من SAMA CSF للكشف عن الثغرات التي يفوتها الفحص الآلي.
برنامج إدارة الثغرات الموثق والمبني على المقاييس يعكس نضجاً تنظيمياً ويُقلص سطح الهجوم بشكل ملموس.
هل كانت الإجابة مفيدة؟
إدارة الثغرات ليست مجرد مسح دوري للأنظمة، بل هي برنامج متكامل يُشكّل ركيزة أساسية في الامتثال لـ SAMA CSF Control 4.3.5 ومعيار ISO 27001 Annex A Control 8.8.
**أولاً: جرد الأصول** لا يمكن حماية ما لا تعرفه. ابدأ ببناء سجل شامل ومحدّث لجميع الأصول التقنية من أجهزة وبرمجيات وواجهات API وتطبيقات جوال وفق SAMA CSF Control 4.1.1.
**ثانياً: دورية الفحص** أجرِ فحوصات ثغرات موثقة بشكل شهري كحد أدنى للأنظمة الداخلية، وأسبوعياً للأصول المكشوفة على الإنترنت.
**ثالثاً: الأولوية القائمة على المخاطر** لا يستوجب كل ثغرة معالجة فورية. استخدم نظام تقييم CVSS مع مراعاة حساسية الأصل وقابلية الاستغلال. يتطلب SAMA CSF إطاراً موثقاً للمعالجة: الحرجة (24-48 ساعة)، العالية (7 أيام)، المتوسطة (30 يوماً)، المنخفضة (90 يوماً).
**رابعاً: التكامل مع إدارة التصحيحات** اربط أداة إدارة الثغرات بسير عمل التصحيح، مع توثيق الاستثناءات رسمياً كما يشترط ISO 27001 A.8.8.
**خامساً: الضوابط التعويضية** حين يتعذر التصحيح الفوري لأنظمة قديمة أو حساسة، وثّق ضوابط تعويضية كالعزل الشبكي وقواعد جدار حماية التطبيقات.
**سادساً: المقاييس والتقارير** تتبّع متوسط وقت المعالجة (MTTR) حسب مستوى الخطورة، وقدّم تقارير شهرية للـCISO ولجنة مخاطر مجلس الإدارة.
**سابعاً: التحسين المستمر** استفِد من نتائج اختبارات الاختراق وتمارين الفريق الأحمر لتغذية برنامج إدارة الثغرات وسد الفجوات التي لا تكشفها الأدوات الآلية.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة الوصول المميز (PAM) من أبرز المجالات الضابطة التي تتناولها كل من الضوابط الأساسية للأمن السيبراني لهيئة الاتصالات الوطنية (NCA ECC) في القسم 2-5 المتعلق بإدارة الوصول، وإطار SAMA CSF في نطاق الضوابط 3.1.3 و3.1.4. يجب على المؤسسات المالية السعودية بناء إطار متكامل لإدارة الوصول المميز يشمل: أولاً، جرد شامل لجميع الحسابات المميزة في البيئات المحلية والسحابية بما فيها حسابات الخدمات والإدارة والاعتمادات المشتركة؛ وثانياً، منح الصلاحيات المرتفعة في الوقت المناسب فقط (Just-in-Time) مع سحبها تلقائياً عقب إتمام المهمة؛ وثالثاً، فرض المصادقة متعددة العوامل على جميع الجلسات المميزة دون استثناء وفق ما تقتضيه المادة 2-5-3 من NCA ECC؛ ورابعاً، تسجيل الجلسات ومراقبة جميع الأنشطة المميزة في الوقت الفعلي مع الاحتفاظ بسجلات التدقيق لمدة لا تقل عن اثني عشر شهراً؛ وخامساً، تطبيق مبدأ الفصل بين المهام لمنع تمركز الصلاحيات الإدارية الحساسة بيد شخص واحد؛ وسادساً، إجراء مراجعات دورية للوصول كل ستة أشهر على الأقل مع إعادة اعتماد رسمية من أصحاب الأنظمة. في البيئات السحابية، يُستحسن الجمع بين أدوات IAM السحابية الأصيلة وحلول PAM المؤسسية. والجدير بالذكر أن مفتشي SAMA يتحققون بصفة خاصة من مدى الاستفادة الفعلية من سجلات الوصول المميز، لذا يُنصح بأتمتة التنبيهات على الجلسات غير الاعتيادية كدليل على الرقابة الفاعلة.
هل كانت الإجابة مفيدة؟
يجب أن تستوفي خطة الاستجابة للحوادث السيبرانية في المملكة العربية السعودية متطلبات تنظيمية مزدوجة وفق إطاري SAMA CSF وNCA ECC، ولكلٍّ منهما جداول زمنية ومتطلبات إشعار مختلفة. وفيما يلي كيفية بناء خطة متوافقة:
**أولاً: تشكيل فريق الاستجابة للحوادث:**
حدّد الأدوار بوضوح: قائد الحادثة، والمسؤول التقني، ومسؤول الامتثال القانوني، ومسؤول التواصل. وبموجب الضابط 3.3.6 من SAMA CSF، يجب إشعار مسؤول أمن المعلومات فور اكتشاف الحوادث الحرجة.
**ثانياً: إطار تصنيف الحوادث:**
اعتمد نموذج تدرّج الأولوية (P1–P4) بما يتوافق مع تعريفات كل من SAMA وNCA. وتشمل الحوادث الحرجة: هجمات الفدية، وانتهاكات بيانات العملاء، وتعطّل خدمات الصيرفة الجوهرية.
**ثالثاً: الجداول الزمنية للإشعار التنظيمي:**
- **SAMA:** الإشعار بالحوادث الجوهرية خلال 72 ساعة من الاكتشاف، مع تقرير أولي، يعقبه تقرير تفصيلي خلال 30 يوماً.
- **NCA (المادة 2-9-3 من ECC):** الإشعار بالحوادث المؤثرة على البنية التحتية الحيوية خلال 24 ساعة عبر مركز العمليات السيبرانية الوطني.
- **PDPL:** في حال اختراق البيانات الشخصية، الإشعار الفوري للهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) خلال 72 ساعة وفق المادة الثالثة والعشرين من النظام.
**رابعاً: مراحل الاستجابة للحوادث:**
نظّم خطتك وفق المراحل: التحضير ← الكشف والتحليل ← الاحتواء ← الاستئصال ← الاستعادة ← المراجعة ما بعد الحادثة. ولكل مرحلة يجب توثيق إجراءات تشغيلية تفصيلية للسيناريوهات الشائعة كالتصيّد الاحتيالي والفدية والتهديدات الداخلية.
**خامساً: الاختبار الدوري والتدريبات المحاكاة:**
نفّذ تمارين طاولة سنوية على الأقل، وتمارين محاكاة كاملة كل 18 شهراً، مع توثيق النتائج وإجراءات التصحيح للاستخدام كأدلة أمام الجهات التنظيمية.
**نصيحة احترافية:** أعدّ مسبقاً قوالب تواصل معتمدة للإشعارات التنظيمية حتى لا تُضيّع وقتاً ثميناً في لحظات الضغط الشديد أثناء الحوادث.
هل كانت الإجابة مفيدة؟
لا يُعدّ التوعية الأمنية مجرد ممارسة مُوصى بها، بل هي التزام تنظيمي صريح تفرضه الجهات الرقابية السعودية. ويبقى الخطأ البشري المسبب الأول لحوادث الأمن السيبراني، مما يجعل برنامج التوعية المُصمَّم باحترافية من أكثر الاستثمارات الأمنية جدوى وفاعلية.
**الأساس التنظيمي:**
- يُلزم **المتطلب 3.2.1 من SAMA CSF** بتقديم تدريب توعوي أمني سنوي على الأقل لجميع الموظفين والمتعاقدين والأطراف الخارجية وفق أدوارهم، مع توثيق سجلات الإتمام.
- يشترط **المادة 2-6 من NCA ECC** وجود برنامج توعية أمنية رسمي يُغطي التهديدات ذات الصلة ببيئة عمل المؤسسة، مع توثيق إقرار الموظفين.
**أفضل الممارسات في تصميم البرنامج:**
1. **التدريب القائم على الأدوار:** تمييز المحتوى بحسب الفئة؛ الموظفون العامون (التصيد الاحتيالي وأمن كلمات المرور)، وفرق تقنية المعلومات (الترميز الآمن وإدارة التحديثات)، والقيادة العليا (الهندسة الاجتماعية ومسؤوليات الحوكمة).
2. **محاكاة هجمات التصيد:** إجراء حملات محاكاة فصلية لقياس المخاطر البشرية واستهداف من يتكرر سقوطهم بتدريب إضافي مع رصد معدلات النقر والإبلاغ كمؤشرات أداء.
3. **التكامل مع الاستقبال الوظيفي:** دمج التدريب الأمني الإلزامي في مسار استقبال الموظفين الجدد مع الحصول على إقرار موقّع باستخدام الموارد التقنية.
4. **تحديث المحتوى بعد الحوادث:** مراجعة مواد التدريب عقب أي حادثة داخلية أو صدور تنبيهات استخباراتية إقليمية كتحذيرات CERT-SA.
5. **القياس والإبلاغ:** رفع مؤشرات البرنامج — نسب الإتمام، ونتائج محاكاة التصيد، ودرجات التقييم — إلى CISO ولجنة المخاطر على المستوى التنفيذي كل ربع سنة.
**التوثيق لأغراض التدقيق:**
احتفظ بسجلات إتمام التدريب والمناهج ونتائج التقييم لمدة لا تقل عن ثلاث سنوات لدعم متطلبات فحص SAMA. تُؤتمت منصتنا تتبّع التدريب وتولّد تقارير امتثال جاهزة للتدقيق مرتبطة بمتطلبات SAMA CSF وNCA ECC.
هل كانت الإجابة مفيدة؟
إدارة الثغرات ليست مجرد متطلب تقني، بل هي عماد أساسي لأي برنامج ناضج للأمن السيبراني في المؤسسات المالية السعودية. كلٌّ من SAMA CSF وNCA ECC يُوجبان وجود عملية منهجية لاكتشاف الثغرات وتقييمها ومعالجتها.
**متطلبات SAMA CSF (الضابط 3.3):**
تُلزم هيئة ساما المؤسسات بإنشاء عملية رسمية لإدارة الثغرات تغطي الشبكات والتطبيقات والأجهزة والبيئات السحابية، مع إجراء فحوصات دورية لا تقل عن مرة كل ربع سنة.
**متطلبات NCA ECC (ECC-1-4-3):**
يشترط المركز الوطني للأمن السيبراني معالجة الثغرات الحرجة خلال 15 يومًا، والعالية خلال 30 يومًا، والمتوسطة خلال 90 يومًا، وفق مستوى المخاطر المصنّف للجهة.
**خطوات التطبيق العملي:**
1. **جرد الأصول:** لا يمكن حماية ما لا تعلم بوجوده — ابدأ بقاعدة بيانات شاملة ومحدّثة لجميع الأصول.
2. **دورية الفحص:** استخدم أدوات الفحص المعتمدة كـ Tenable أو Qualys، مع فحص داخلي أسبوعي وخارجي ربع سنوي.
3. **الأولوية القائمة على المخاطر:** لا تعتمد على CVSS وحده، بل ادمجه مع أهمية الأصل وإمكانية الاستغلال الفعلي.
4. **ربط إدارة التحديثات:** اربط سير عمل الثغرات بعملية إدارة التحديثات وضبط التغييرات.
5. **المقاييس والتقارير:** تتبّع متوسط وقت المعالجة لكل مستوى خطورة وارفع تقارير ربع سنوية للـ CISO واللجان الرقابية.
6. **اختبارات الاختراق:** كمّل برنامجك باختبارات اختراق سنوية وفق ضابط SAMA CSF 3.3.4.
7. **إدارة الاستثناءات:** وثّق رسميًا أي ثغرة لا يمكن معالجتها ضمن المهلة المحددة، مع وضع ضوابط تعويضية مناسبة.
برنامج إدارة الثغرات الناضج يُقلّص سطح الهجوم، ويُثبت النضج التنظيمي، ويُقدّم أدلة قابلة للقياس خلال عمليات التدقيق.
هل كانت الإجابة مفيدة؟
البودكاست 1
يتم إصدار حلقات جديدة أسبوعياً، عادة يوم الأحد. قد يتم إصدار حلقات خاصة تغطي أحداث الأمن السيبراني العاجلة حسب الحاجة.
هل كانت الإجابة مفيدة؟
الامتثال واللوائح 6
إطار الأمن السيبراني لساما هو إطار شامل صادر عن البنك المركزي السعودي لمساعدة المؤسسات المالية على إدارة المخاطر السيبرانية. ويغطي الحوكمة وإدارة المخاطر والامتثال والعمليات وأمن الطرف الثالث.
هل كانت الإجابة مفيدة؟
ISO/IEC 27001 هو المعيار الدولي لأنظمة إدارة أمن المعلومات (ISMS). ليس إلزامياً في المملكة العربية السعودية بموجب القانون، لكنه موصى به بشدة ومطلوب في كثير من الأحيان من قبل العملاء المؤسسيين والمناقصات الحكومية. يُثبت تحقيق شهادة ISO 27001 وضعاً أمنياً ناضجاً ويمكن أن يسرّع الامتثال لـ SAMA CSF وNCA ECC.
هل كانت الإجابة مفيدة؟
تُعدّ شهادة ISO 27001:2022 المعيار الدولي المعترف به لأنظمة إدارة أمن المعلومات (ISMS)، وهي تعكس لشركات الفينتك السعودية نضجاً حقيقياً في ممارسات الأمن السيبراني. غير أن فهم كيفية تكاملها مع الأطر التنظيمية المحلية أمرٌ لا غنى عنه.
**أبرز متطلبات إصدار 2022:** جاء هذا الإصدار بـ 93 ضابطاً موزعةً على أربعة محاور: التنظيمي، والبشري، والمادي، والتقني. كما أضاف 11 ضابطاً جديداً تشمل استخبارات التهديدات، وأمن الحوسبة السحابية، وجاهزية تقنية المعلومات لاستمرارية الأعمال، وإخفاء البيانات — وهي مجالات ذات أهمية مباشرة لشركات الفينتك.
**التكامل مع SAMA CSF:** يوفر ISO 27001 إطار حوكمة راسخاً، إذ تتقاطع كثير من ضوابطه في الملحق (A) مع متطلبات SAMA CSF، مما يعني أن نظام ISMS المطبَّق جيداً يُغطّي جزءاً كبيراً من متطلبات SAMA. بيد أن SAMA CSF يتجاوز ذلك بضوابط قطاعية خاصة بأنظمة الدفع وأمن SWIFT والإبلاغ التنظيمي. بمعنى آخر، يمثّل ISO 27001 الأساس، فيما يُمثّل SAMA CSF الطبقة التنظيمية القطاعية فوقه.
**التكامل مع NCA ECC:** تتشارك ضوابط ECC الجوهرية تداخلاً واسعاً مع ISO 27001، لا سيما في مجالات إدارة الهوية والوصول، وإدارة الثغرات، والاستجابة للحوادث. وقد اعترفت NCA بأن شهادة ISO 27001 تُعدّ مؤشراً إيجابياً خلال عمليات التقييم، وإن كانت لا تُغني عن الامتثال الكامل لـ ECC.
**التوافق مع نظام PDPL:** يدعم الضابط 5.34 في الملحق (A) من ISO 27001:2022 الخاص بحماية البيانات الشخصية متطلبات نظام حماية البيانات الشخصية (PDPL) بشكل مباشر.
**نصيحة عملية:** استخدم منصة GRC لإجراء تحليل الفجوات بين ضوابط ISO 27001 الحالية ومتطلبات SAMA CSF وNCA ECC، مما يُجنّبك ازدواجية الجهد ويُبيّن للجهات التنظيمية نطاق التغطية الأمنية القائمة لديك.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الخارجية من أبرز المتطلبات التنظيمية التي تواجه شركات التقنية المالية في المملكة العربية السعودية. إذ يُرسي المتطلب 3.3 من SAMA CSF والمادة 2-13 من ضوابط NCA ECC إطاراً متكاملاً لتقييم المخاطر الناجمة عن الموردين والشركاء ومزودي الخدمات والسيطرة عليها.
**أبرز المتطلبات:**
1. **التحقق المسبق قبل التعاقد:** إجراء تقييم شامل للمخاطر السيبرانية قبل منح أي طرف خارجي صلاحيات الوصول إلى الأنظمة أو البيانات، بما يشمل مراجعة الشهادات الأمنية كـ ISO 27001 وSOC 2، وسجلات اختبارات الاختراق.
2. **الاشتراطات الأمنية في العقود:** يستلزم المتطلب 3.3.2 تضمين العقود بنوداً واضحة تتعلق بالحد الأدنى من معايير الأمن السيبراني، وحق التدقيق، والإخطار الفوري عن الحوادث خلال 72 ساعة، والامتثال لأحكام نظام حماية البيانات الشخصية (PDPL).
3. **المتابعة المستمرة:** إجراء تقييمات دورية للموردين عالي المخاطر على الأقل مرة سنوياً، مع مراقبة مستمرة للموردين ذوي الصلاحيات المتميزة وفق متطلبات NCA ECC.
4. **مخاطر التركز:** تُحذر توجيهات مؤسسة النقد من الاعتماد المفرط على مورد واحد، لا سيما في الخدمات السحابية ومنصات البنية المصرفية الجوهرية.
5. **مخاطر الأطراف الرابعة:** تتصاعد متطلبات تقييم المقاولين من الباطن والتبعيات الممتدة للموردين الرئيسيين في ظل تصاعد التدقيق التنظيمي.
**توصية عملية:** بناء تصنيف هرمي للموردين (حرج، مرتفع، متوسط، منخفض) وتكييف مستوى الرقابة وفقاً لهذا التصنيف، مع الحرص على توثيق نتائج التقييمات في سجل متخصص يُعدّ دليلاً داعماً خلال تقييمات SAMA.
هل كانت الإجابة مفيدة؟
أعاد ISO 27001:2022 هيكلة الملحق أ من 14 نطاقاً و114 ضابطاً إلى 4 محاور (تنظيمية وبشرية ومادية وتكنولوجية) و93 ضابطاً. تشمل الإضافات الرئيسية ضوابط لاستخبارات التهديدات، وأمن المعلومات للخدمات السحابية، واستعداد تقنية المعلومات لاستمرارية الأعمال، ومراقبة الأمن المادي، وإدارة التهيئة، وإخفاء البيانات. يجب على المؤسسات المعتمدة وفق إصدار 2013 الانتقال بحلول أكتوبر 2025.
هل كانت الإجابة مفيدة؟
تُعدّ برامج التوعية بالأمن السيبراني من الضوابط الأساسية التي أولاها كلٌّ من إطار ساما وضوابط الأمن السيبراني الوطني اهتماماً صريحاً، غير أن كثيراً من شركات الفنتك تتعامل معها باعتبارها إجراءً شكلياً لا برنامجاً حقيقياً لتغيير السلوك.
**الحد الأدنى من المتطلبات الرقابية:**
- **الضابط 3.1.4 من إطار ساما:** يشترط تدريب جميع الموظفين عند الالتحاق بالعمل وعلى فترات منتظمة، مع تخصيص المحتوى بحسب الأدوار الوظيفية.
- **الضابط 2-7 من ECC-1:2018:** يُلزم المنظمات بتطبيق برنامج توعية وتدريب يشمل الموظفين والمتعاقدين وأي طرف ثالث يملك صلاحية الوصول إلى الأنظمة.
**أفضل الممارسات في تصميم البرنامج:**
**أولاً: التدريب القائم على الأدوار** — صمّم مسارات تدريبية منفصلة للموظفين العامين (التصيد الاحتيالي وكلمات المرور)، والمطورين (OWASP وأمن البرمجيات)، والقيادات التنفيذية (المخاطر السيبرانية على مستوى مجلس الإدارة).
**ثانياً: محاكاة التصيد الاحتيالي** — نفّذ حملات محاكاة شهرية، وأحِل الموظفين الذين يقعون في الفخ إلى وحدات تدريبية مستهدفة بدلاً من مساءلتهم، لتعزيز ثقافة التعلم.
**ثالثاً: الاستمرارية والتنوع** — لا يكفي التدريب السنوي لإرضاء المفتشين؛ اعتمد نموذجاً مستمراً يشمل تنبيهات شهرية ووحدات ربع سنوية وتقييمات سنوية شاملة.
**رابعاً: المقاييس والتقارير** — تابع معدلات النقر في محاكاة التصيد ونسب إتمام التدريب، وارفع تقريراً ربع سنوياً للمسؤول عن الأمن السيبراني وتقريراً سنوياً للجنة مخاطر مجلس الإدارة.
**خامساً: التوعية بنظام حماية البيانات الشخصية** — أضف وحدات مخصصة لكيفية التعامل مع البيانات الشخصية وحقوق الأفراد، وهو أمر بالغ الأهمية لفرق الفنتك التي تتعامل مباشرة مع العملاء.
احتفظ بسجلات التدريب لمدة لا تقل عن 3 سنوات لدعم طلبات الأدلة خلال تدقيقات ساما والهيئة الوطنية للأمن السيبراني.
هل كانت الإجابة مفيدة؟
الدعم الفني 1
يمكنك الإبلاغ عن الحوادث السيبرانية من خلال بوابة الهيئة الوطنية للأمن السيبراني، أو التواصل معنا عبر نموذج الاتصال وسنوجهك إلى الجهات والموارد المناسبة.
هل كانت الإجابة مفيدة؟
الخصوصية والبيانات 1
نلتزم بنظام حماية البيانات الشخصية السعودي. بياناتك مشفرة، والوصول يعتمد على الأدوار، ونطبق ضوابط أمنية معيارية بما في ذلك جدار حماية تطبيقات الويب وسياسة أمان المحتوى والتدقيق الأمني المنتظم. يمكنك طلب نسخة من بياناتك أو حذفها في أي وقت.
هل كانت الإجابة مفيدة؟
ساما والقطاع المصرفي 161
يجب على جميع المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي (ساما) الامتثال، بما في ذلك البنوك التجارية وشركات التأمين وشركات التمويل ومزودو خدمات الدفع والشركات التقنية المالية العاملة في المملكة.
هل كانت الإجابة مفيدة؟
يحتوي إطار الأمن السيبراني لساما الإصدار 2.0 على 251 ضابطاً فرعياً موزعاً على 12 نطاقاً تشمل الحوكمة وإدارة المخاطر وإدارة الهوية والوصول وأمن العمليات وأمن الشبكات واقتناء الأنظمة وإدارة الأطراف الثالثة واستمرارية الأعمال وإدارة التهديدات.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA للأمن السيبراني المؤسساتِ الخاضعة للتنظيم بوضع برنامج متكامل لإدارة مخاطر الموردين والأطراف الثالثة يغطي دورة حياة العلاقة كاملةً، من الإعداد الأولي وحتى إنهاء التعاقد.
**أولاً: تصنيف الموردين حسب الأهمية:** قسّم الموردين إلى ثلاث فئات — الفئة الأولى (الموردون الحيويون كأنظمة الصيرفة الأساسية)، الفئة الثانية (الموردون المهمون)، والفئة الثالثة (الموردون منخفضو المخاطر). يحدد هذا التصنيف مستوى العناية الواجبة المطلوبة.
**ثانياً: العناية الواجبة قبل التعاقد:** اطلب من الموردين تعبئة استبيان أمني مبني على ضوابط إطار SAMA، وتقديم شهادات معترف بها مثل ISO 27001 أو SOC 2، وإجراء تقييمات أمنية مستقلة للموردين من الفئة الأولى.
**ثالثاً: الاشتراطات التعاقدية:** ادرج في العقود بنوداً تشمل حق التدقيق، والتزامات الإبلاغ عن الحوادث خلال 72 ساعة وفق توقعات SAMA، ومتطلبات حماية البيانات بما يتسق مع نظام PDPL.
**رابعاً: المراقبة المستمرة:** أجرِ إعادة تقييم سنوية لموردي الفئتين الأولى والثانية، واستخدم أدوات استخبارات التهديدات لرصد أي اختراقات قد تطال موردين تتعامل معهم.
**خامساً: إنهاء التعاقد:** تحقق من حذف البيانات، وإلغاء الصلاحيات، وتوثيق إعادة الأصول.
من أبرز الأخطاء الشائعة في المؤسسات المالية السعودية معاملة مخاطر الأطراف الثالثة كإجراء لمرة واحدة لا كبرنامج مستمر. الحل يكمن في دمج مراجعة الموردين ضمن دورة التقييم الذاتي السنوي لإطار SAMA.
هل كانت الإجابة مفيدة؟
تُعدّ خطة الاستجابة للحوادث السيبرانية من أكثر المتطلبات تعقيداً وأهمية في البيئة التنظيمية السعودية، إذ تتشابك فيها اشتراطات SAMA وفق الضابط 3.6 واشتراطات NCA ECC في النطاق 2-7. يجب أن تُغطي الخطة ست مراحل أساسية: التحضير، والكشف والتحليل، والاحتواء، والاستئصال، والاسترداد، ومراجعة ما بعد الحادثة. ومن أبرز الالتزامات التنظيمية: الإبلاغ عن أي حادثة تؤثر على العمليات أو بيانات العملاء خلال 72 ساعة من اكتشافها، مع تقديم تقرير تحليل جذر المشكلة (RCA) خلال 30 يوماً. كما تُلزم NCA المؤسساتِ بالإبلاغ عن الحوادث الجسيمة عبر قنواتها الرسمية، ويُنصح بالتسجيل في الفريق الوطني للاستجابة للطوارئ الحاسوبية (saCERT) للاستفادة من منظومة تبادل معلومات التهديدات. وعلى صعيد نظام PDPL، فإن أي اختراق يطال بيانات شخصية يستوجب إخطار هيئة البيانات والذكاء الاصطناعي (SDAIA) والأفراد المتضررين عند الاقتضاء. يتضمن الإطار العملي للخطة تحديد الأدوار بوضوح، وتصنيف مستويات الخطورة، ونماذج تواصل جاهزة للتصعيد الداخلي والإبلاغ التنظيمي. تُوفر منصتنا نماذج خطط استجابة مُعدّة مسبقاً وفق متطلبات SAMA وNCA مع أدوات لتتبع الحوادث وإدارة الإخطارات التنظيمية آلياً.
هل كانت الإجابة مفيدة؟
إدارة مخاطر الأطراف الثالثة تُعدّ من أبرز المتطلبات التي تفرضها كل من متطلبات إطار الأمن السيبراني لساما (التحكم 3.3.6 – علاقات الموردين) والضوابط الأساسية للأمن السيبراني الصادرة عن هيئة الاتصالات الوطنية (المجال الرابع). إليك منهجية عملية لتطبيق ذلك:
**أولاً – تقييم المورد قبل التعاقد:** قبل أي تعاون مع أي طرف خارجي، يجب إجراء تقييم شامل لمخاطر الأمن السيبراني يشمل نطاق الوصول إلى البيانات، وطبيعة الخدمة (سحابية أم محلية)، والارتباط بالبيانات الحساسة. يُشترط في إطار ساما تصنيف الأطراف الثالثة رسمياً وفق مستوى المخاطر.
**ثانياً – الضمانات التعاقدية:** يجب تضمين بنود واضحة في العقود تتعلق بحق التدقيق، وإشعار الحوادث خلال 72 ساعة وفق المادة 19 من نظام حماية البيانات الشخصية، والتزامات التعامل مع البيانات، والمتطلبات الأمنية الدنيا المتوافقة مع معايير ISO 27001.
**ثالثاً – المتابعة المستمرة:** لا يكفي التقييم عند الإعداد الأولي، بل يجب مراجعة الموردين الحيويين سنوياً، ومتابعة شهاداتهم الأمنية، ورصد أي اختراقات موثقة تطالهم.
**رابعاً – مخاطر التركز:** تنبّه ساما صراحةً إلى خطر الاعتماد المفرط على مورد واحد. يُلزَم بوضع خطط واضحة للخروج من الخدمة واستمرارية الأعمال لكل طرف ثالث حيوي.
**خامساً – الخدمات السحابية:** للموردين الذين يقدمون خدمات سحابية، تسري ضوابط NCA CCC؛ لذا تأكد من استضافة البيانات داخل المملكة أو الحصول على موافقة تنظيمية مسبقة لأي معالجة خارج حدودها.
عملياً، ابنِ سجلاً لمخاطر الأطراف الثالثة، وصنّفها حسب الأثر والاحتمالية، وحدد دورات المراجعة المناسبة لكل فئة.
هل كانت الإجابة مفيدة؟
التوعية الأمنية ليست مجرد بند في قائمة المتطلبات، بل هي خط الدفاع الأول ضد التصيد الاحتيالي والهندسة الاجتماعية والتهديدات الداخلية. يُلزم كل من إطار ساما (التحكم 3.3.2) والضوابط الأساسية لهيئة الاتصالات الوطنية (الضابط 2-4) بوجود برامج توعية منظمة. إليك كيفية بناء برنامج يحقق متطلبات كلا الإطارين فعلياً:
**المتطلبات التنظيمية الدنيا:**
- **إطار ساما:** يشترط تدريباً مخصصاً حسب الدور الوظيفي (موظفون عاديون، مستخدمو الصلاحيات المرتفعة، فرق تقنية المعلومات والأمن، الإدارة العليا)، مع التوثيق والتتبع والتجديد السنوي.
- **ضوابط هيئة الاتصالات:** يستلزم برنامجاً رسمياً يغطي التصيد الاحتيالي، وإدارة كلمات المرور، وسياسة المكتب النظيف، وإجراءات الإبلاغ عن الحوادث.
**هيكل البرنامج المقترح:**
1. **التقييم الأساسي:** ابدأ بمحاكاة تصيد احتيالي لقياس مستوى الوعي الحالي، وهو ما يتوافق مع منهجية ساما في قياس مستوى النضج.
2. **المناهج حسب الدور:**
- *جميع الموظفين:* التصيد الاحتيالي، كلمات المرور، أساسيات حماية البيانات الشخصية وفق النظام
- *فرق تقنية المعلومات والأمن:* إجراءات التصعيد، إدارة الصلاحيات المرتفعة
- *الإدارة العليا ومجلس الإدارة:* حوكمة المخاطر السيبرانية، المسؤوليات التنظيمية، التزامات استمرارية الأعمال
3. **أساليب التدريب:** امزج وحدات تعليمية قصيرة شهرياً (5-10 دقائق) مع محاكاة تصيد ربع سنوية وورش عمل سنوية معمقة. التلعيب يرفع معدلات الإتمام بشكل ملحوظ.
4. **القياس والإبلاغ:** تتبع معدلات الإتمام ونسب النقر على رسائل التصيد قبل التدريب وبعده، ودرجات الاختبارات. تتوقع ساما وجود أدلة موثقة على فعالية التدريب.
5. **اللغة:** قدّم المحتوى بالعربية والإنجليزية لضمان الاستيعاب الكامل لدى جميع الموظفين.
**نصيحة عملية:** احتفظ بسجل تدريب يتضمن أسماء الموظفين وتواريخ الإتمام والدرجات وإصدار المحتوى — فهذا ما تطلبه ساما عادةً خلال الفحوصات التنظيمية وتقييمات هيئة الاتصالات.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA للأمن السيبراني، تحديداً ضمن نطاق المتطلبات 3.3 المتعلقة بالأمن السيبراني للأطراف الثالثة، المؤسساتِ الماليةَ السعوديةَ بوضع برنامج متكامل لإدارة مخاطر الموردين يغطي كامل دورة حياة العلاقة التعاقدية.
**أولاً: تصنيف الموردين وترتيبهم حسب الأولوية:** يجب تصنيف الموردين بناءً على حساسية البيانات التي يصلون إليها وطبيعة الخدمات التي يقدمونها. الموردون من الفئة الأولى — كمزودي أنظمة البنوك الأساسية وشركاء الاستضافة السحابية — يستوجبون أعلى مستويات الرقابة والتدقيق.
**ثانياً: العناية الواجبة قبل التعاقد:** قبل إبرام أي عقد، يُطلب من المورد تعبئة استبيان للأمن السيبراني مبني على محاور إطار SAMA، مع تقديم أدلة دامغة كشهادة ISO 27001 ونتائج اختبارات الاختراق وتقارير SOC 2.
**ثالثاً: اشتراطات تعاقدية واضحة (وفق SAMA CSF 3.3.4):** يجب إدراج بنود أمنية ملزمة في جميع العقود تشمل: حق التدقيق والمراجعة، والإخطار الفوري عند وقوع الحوادث خلال 72 ساعة، ومعايير حماية البيانات والتشفير، والالتزام بمتطلبات هيئة الاتصالات الوطنية ونظام حماية البيانات الشخصية متى اقتضى الأمر.
**رابعاً: المراقبة المستمرة:** يُوصى بإجراء تقييمات دورية للموردين من الفئة الأولى سنوياً، ومرتين سنوياً للفئة الثانية، مع الاستعانة بمصادر التهديدات الإلكترونية للكشف المبكر عن أي اختراقات أو ثغرات في حلولهم.
**خامساً: إجراءات إنهاء العلاقة التعاقدية:** يجب توثيق والتحقق من عمليات حذف البيانات وإلغاء الصلاحيات وقطع الوصول فور انتهاء العقد.
من أبرز الثغرات التي تُكشف خلال تقييمات SAMA: وجود قوائم بالموردين دون تصنيف فعلي للمخاطر أو متابعة موثقة. لذا، يُعدّ بناء سجل رسمي لمخاطر الأطراف الثالثة مع تحديد المسؤوليات وجداول المراجعة أمراً لا غنى عنه.
هل كانت الإجابة مفيدة؟
بموجب المتطلبات المنصوص عليها في الضابط 3.3 من إطار الأمن السيبراني لساما المتعلق بإدارة الجهات الخارجية، يتعين على البنوك والمؤسسات المالية السعودية بناء برنامج متكامل وقائم على تقييم المخاطر يغطي دورة حياة المورد كاملةً من الإضافة وحتى إنهاء العلاقة. فيما يلي المكونات الأساسية لبرنامج فعّال:
**أولاً: تصنيف الموردين وتحديد مستوى الخطورة:** صنّف الموردين وفقاً لحساسية البيانات التي يصلون إليها وأهميتهم التشغيلية، حيث يستوجب الموردون من الفئة الأولى (كمزودي أنظمة الحوسبة الأساسية) مستوى أعلى من العناية الواجبة مقارنةً بالفئات الأدنى خطورة.
**ثانياً: العناية الواجبة قبل التعاقد:** اطلب من الموردين تعبئة استبيانات أمن سيبراني مبنية على نطاقات إطار ساما، وللموردين عالي الخطورة، اشترط تقديم شهادات مثل ISO 27001 أو تقارير تدقيق مستقلة من نوع SOC 2.
**ثالثاً: الضمانات التعاقدية:** احرص على تضمين العقود بنوداً أمنية واضحة، منها: حق التدقيق، والتزامات الإشعار بالحوادث خلال 72 ساعة وفقاً للمادة 24 من نظام حماية البيانات الشخصية ومتطلبات ساما، وقيود التعامل مع البيانات، والتزامات الاستمرارية.
**رابعاً: المتابعة المستمرة:** أجرِ تقييمات دورية سنوية لموردي الفئة الأولى وكل عامين لموردي الفئة الثانية، مع الاستفادة من أدوات تقييم الوضع السيبراني للمراقبة الجارية.
**خامساً: ضوابط إنهاء العلاقة:** حدد إجراءات واضحة لإعادة البيانات وحذفها بشكل آمن عند انتهاء العلاقة مع أي مورد.
تتيح منصة الحوكمة والمخاطر والامتثال أتمتة توزيع الاستبيانات وتتبع خطط المعالجة وإنتاج تقارير جاهزة للمراجعات الرقابية من ساما.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال من المتطلبات الإلزامية التي يفرضها كل من إطار الأمن السيبراني لساما والضوابط الأساسية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني، وعلى المؤسسات المالية السعودية بناء برامج متكاملة لاستمرارية الأعمال وتطويرها باستمرار.
**متطلبات ساما:**
يستوجب الإطار وجود خطط موثقة لاستمرارية الأعمال والتعافي من الكوارث، يجري مراجعتها واختبارها سنوياً على الأقل. كما يتعين تحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) بوضوح لجميع الأنظمة الحيوية، لا سيما أنظمة الخدمات المصرفية الأساسية ومنصات الدفع والقنوات الرقمية.
**متطلبات الهيئة الوطنية للأمن السيبراني:**
تشترط الضوابط الأساسية تحديد سيناريوهات استمرارية الأعمال ذات الصلة بالأمن السيبراني، كهجمات الفدية وانقطاع الأنظمة الحرجة واضطرابات سلاسل التوريد، مع ضرورة دمج الأمن السيبراني في تمارين الاستمرارية كجزء عضوي منها لا كمسار منفصل.
**خطوات التطبيق العملي:**
1. إجراء تحليل أثر الأعمال (BIA) لتحديد العمليات الحيوية ومستويات التعطل المقبولة.
2. تحديد قيم RTO وRPO لجميع الأصول الحيوية بالتنسيق مع فرق التقنية والأعمال.
3. إعداد خطط تعافٍ مدمجة مع متطلبات الأمن السيبراني تشمل سلامة النسخ الاحتياطية وإجراءات التحويل التلقائي وبروتوكولات الاتصال الطارئ.
4. إجراء تمارين محاكاة واقعية سنوياً بمشاركة فرق تقنية المعلومات والأمن والعمليات والقيادة التنفيذية.
5. توثيق نتائج الاختبارات والثغرات المكتشفة وخطط المعالجة في منصة حوكمة الأمن السيبراني لضمان جاهزية ملف التدقيق التنظيمي.
تجدر الإشارة إلى أن المنظمين باتوا يولون اهتماماً متزايداً لملف استمرارية الأعمال خلال فحوصات ساما، وأن المؤسسات التي تمتلك خططاً غير محدّثة أو غير مُختبرة تتعرض لمخاطر امتثال جسيمة.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال (BCM) متطلباً إلزامياً بموجب مجال التحكم 3.7 من SAMA CSF والمتطلب 2-13 من NCA ECC. وفيما يلي خارطة طريق عملية للتطبيق:
**1. تحليل أثر الأعمال (BIA)**: ابدأ بتحديد العمليات الحيوية وتحديد الحد الأقصى للتوقف المقبول (MTD) وأهداف وقت الاستعادة (RTO) ونقطة الاسترداد (RPO). تتوقع هيئة SAMA أن لا يتجاوز RTO لأنظمة البنوك الأساسية 4 ساعات في الغالب.
**2. السياسة والحوكمة**: ضع سياسة BCM معتمدة من مجلس الإدارة، تُحدد الصلاحيات وتُحمّل مدير أمن المعلومات والإدارة العليا المسؤولية المباشرة.
**3. خطط الاستمرارية والتعافي**: طوّر وثائق BCP وDRP منفصلة تشمل التحويل التلقائي للأنظمة، والبدائل اليدوية، وتفعيل المواقع الاحتياطية، وبروتوكولات التواصل.
**4. الاختبار والتدريبات**: يُلزم SAMA CSF بإجراء اختبارات سنوية على الأقل، سواء عبر تمارين المحاكاة الجدولية أو تجارب التعافي الكامل، مع توثيق النتائج والإجراءات التصحيحية وفق المادة 2-13 من NCA ECC.
**5. استمرارية الموردين**: تأكد من أن الموردين الحيويين يمتلكون برامج BCM خاصة بهم ومتوافقة مع متطلبات مؤسستك، وفق المتطلب 3.6 من SAMA CSF.
**6. دمج سيناريوهات الحوادث السيبرانية**: يجب أن تتضمن خطط BCM سيناريوهات الهجمات السيبرانية كالفدية وهجمات DDoS وانقطاع مراكز البيانات، مع ربطها بخطة الاستجابة للحوادث السيبرانية.
**7. الإبلاغ التنظيمي**: أبلغ هيئة SAMA عن أي انقطاعات جوهرية ضمن الأطر الزمنية المحددة، واحتفظ بسجل موثق جاهز للمراجعة السنوية.
هل كانت الإجابة مفيدة؟
تُعدّ استمرارية الأعمال والمرونة السيبرانية من أكثر المجالات التي تُركّز عليها فرق التفتيش الرقابي لساما. يُحدد النطاق الفرعي 3.5 (المرونة السيبرانية) من إطار ساما متطلبات صريحة تتجاوز مفهوم التعافي من الكوارث التقليدي نحو بناء مرونة مؤسسية حقيقية.
**أبرز متطلبات إطار ساما (النطاق الفرعي 3.5):**
- **الضابط 3.5.1 – إعداد خطط الاستمرارية والتعافي:** يجب أن تمتلك البنوك خططاً موثقة لاستمرارية الأعمال والتعافي من الكوارث تأخذ في الحسبان سيناريوهات الهجمات السيبرانية (كالفدية وهجمات الحرمان من الخدمة وتدمير البيانات)، لا الكوارث الطبيعية وأعطال الأجهزة فحسب.
- **الضابط 3.5.2 – دورية الاختبار:** يجب اختبار الخطط سنوياً على الأقل، وتشمل الاختبارات التمارين المكتبية، ومحاكاة الحوادث، واختبارات التحويل الكامل للأنظمة، مع توثيق الدروس المستخلصة من كل تمرين.
- **الضابط 3.5.3 – أهداف التعافي:** يجب تحديد أهداف وقت التعافي (RTO) ونقطة استعادة البيانات (RPO) واعتمادها رسمياً من الإدارة العليا بما يتناسب مع مستوى حساسية كل نظام.
- **الضابط 3.5.4 – التكامل مع خطة الاستجابة للحوادث:** يجب دمج خطة الاستجابة للحوادث السيبرانية ضمن خطة استمرارية الأعمال بحيث يُطلق أي حادث سيبراني آلياً بروتوكولات الاستمرارية المناسبة.
**التكامل مع معيار ISO 22301:**
يوفر معيار ISO 22301 (نظام إدارة استمرارية الأعمال) الإطار الهيكلي الذي يُجسّد متطلبات النطاق 3.5 من إطار ساما عملياً:
- يدعم البند 6.2 من المعيار (تحليل أثر الأعمال) متطلب ساما في تحديد الأنظمة الحيوية وترتيبها حسب الأولوية.
- يتوافق البند 8.5 (التمارين والاختبار) مع الضابط 3.5.2 من إطار ساما.
- يُعزز الحصول على شهادة ISO 22301 بشكل ملموس مستوى نضج مؤسستك وفق إطار ساما.
**التوافق مع ضوابط الهيئة الوطنية للأمن السيبراني:** تُلزم المادة 2-14 من ضوابط ECC مستقلةً عن ساما بوضع خطط للمرونة السيبرانية للجهات التابعة للحكومة، مما يعني أن المؤسسات المالية ذات الملكية الحكومية مُلزَمة بتلبية متطلبات الجهتين التنظيميتين معاً.
هل كانت الإجابة مفيدة؟
تُشكّل إدارة استمرارية الأعمال ركيزةً أساسية في إطار ساما للأمن السيبراني، إذ يُلزم النطاق 3.5 المتعلق بالمرونة السيبرانية المؤسساتِ الماليةَ بتطوير برنامج متكامل للمرونة السيبرانية يضمن استمرار العمليات الحيوية في مواجهة الهجمات الإلكترونية والتعافي منها.
يشترط الضابط 3.5.1 من إطار ساما أن تتضمن خطط الاستمرارية سيناريوهات تهديد سيبراني واقعية، كهجمات الفدية، وهجمات حجب الخدمة، وسرقة البيانات، وليس الاقتصار على الكوارث التقنية التقليدية فحسب.
أبرز ما يجب على مسؤول أمن المعلومات مراعاته:
**1. تحليل الأثر على الأعمال (BIA):** تحديد الوظائف الحيوية وتبعياتها التقنية، وتحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) لكل منها. تتوقع ساما أن يكون RTO لأنظمة الدفع الحيوية أقل من 4 ساعات في الغالب.
**2. اختبار سيناريوهات سيبرانية في تدريبات BCM:** يستلزم الضابط 3.5.3 إجراء اختبارات دورية تشمل سيناريوهات سيبرانية فعلية، كالتمارين المكتبية المحاكِية لهجمات الفدية أو اختراق سلسلة التوريد.
**3. بروتوكولات التواصل في الأزمات:** يجب أن تُحدد الخطة مسارات التصعيد نحو ساما في غضون 72 ساعة من اكتشاف الحوادث الكبرى، إضافة إلى التواصل مع مجلس الإدارة والعملاء.
**4. ضوابط النسخ الاحتياطي والاسترداد:** وفق الضابط 3.3.10، يجب الاحتفاظ بنسخ احتياطية غير متصلة بالشبكة وغير قابلة للتعديل، مع اختبار استعادتها دورياً للتحقق من تحقيق أهداف RTO/RPO.
**5. التوافق مع ضوابط هيئة الاتصالات الوطنية:** تعكس المادة 2-12 من ضوابط ECC التزامات مماثلة، مما يستوجب تنسيقاً مستمراً بين مسؤول أمن المعلومات ومسؤول المخاطر والعمليات.
ينبغي أن ينظر مسؤولو أمن المعلومات إلى BCM باعتبارها منظومة مرونة مستدامة لا مجرد متطلب امتثال يُستوفى مرة واحدة في السنة.
هل كانت الإجابة مفيدة؟
إدارة استمرارية الأعمال ركيزة أساسية في إطار SAMA CSF (المجال الخامس - الصمود السيبراني، الضوابط 5.1 إلى 5.4)، وتُلزم البنوك السعودية بامتلاك خطط استمرارية شاملة ومُختبرة ومعتمدة من مجلس الإدارة.
**الأساس التحليلي:** يبدأ البرنامج بتحليل أثر الأعمال (BIA) الذي يُحدد الوظائف الحرجة وأقصى فترة توقف مقبولة (MTD)، وأهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) لكل وظيفة. ويشترط SAMA أن تكون RTOs للأنظمة الحرجة محددة ومُعززة تعاقدياً.
**الربط بالأمن السيبراني:** يجب دمج BCM مع خطة الاستجابة للحوادث السيبرانية (CIRP)، مع تغطية صريحة لسيناريوهات هجمات الفدية وهجمات DDoS وفقدان البيانات الحرجة — وهو جانب يُغفله كثير من البنوك السعودية.
**مكونات البرنامج:** تشمل الخطة المتوافقة: خطة إدارة الأزمات، وخطة التعافي من الكوارث (DRP)، وخطط استئناف الأعمال لكل إدارة، وخطط التواصل الداخلية والتنظيمية والخارجية. ويشترط الضابط 5.2 من SAMA CSF إخطار SAMA ضمن أطر زمنية محددة عند وقوع اضطراب جوهري.
**الاختبار والتحقق:** يُلزم SAMA بإجراء تمارين BCP/DR سنوياً تشمل محاكاة الطاولة وتمارين الفشل الكامل (Failover)، مع توثيق النتائج واستخلاص الدروس وتحديث الخطط.
**الحوكمة:** يستلزم البرنامج رعاية تنفيذية، مع مساءلة مشتركة بين CISO ومدير المخاطر، ومراجعة الخطط سنوياً واعتمادها من الإدارة العليا.
توفر منصتنا قوالب BCM مُعيَّنة مسبقاً على مجالات SAMA CSF، لمساعدة البنوك على بناء برامج الصمود السيبراني وتوثيقها باحترافية.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال من المتطلبات الجوهرية المنصوص عليها في المجال الرابع من إطار SAMA CSF الخاص بالمرونة التشغيلية، إذ تشترط مؤسسة النقد العربي السعودي (ساما) أن يمتلك كل بنك برنامجاً موثقاً ومعتمداً من مجلس الإدارة، وخاضعاً للاختبار الدوري.
**المكونات الأساسية للبرنامج:**
**1. تحليل أثر الأعمال (BIA):** وفقاً للضابط 4.1.1 من SAMA CSF، يتعين تحديد الوظائف الحيوية وتبعياتها، وتحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO). وبالنسبة للبنوك ذات الأهمية النظامية، يُتوقع عادةً استئناف خدمات الصيرفة الأساسية في غضون 4 ساعات.
**2. سياسة واستراتيجية الاستمرارية:** تتضمن سياسة معتمدة من مجلس الإدارة تحدد النطاق والأدوار والمسؤوليات وآليات التصعيد، إضافةً إلى خطط تفعيل المواقع البديلة والحلول اليدوية وبروتوكولات التواصل.
**3. التعافي من الكوارث (DR):** يُلزم الضابط 4.2 بتوثيق إجراءات التعافي التقنية لجميع الأنظمة من المستوى الأول، وضمان توافق آليات النسخ الاحتياطي مع أهداف RPO المحددة.
**4. الاختبار والتمارين:** تُوجب ساما إجراء اختبار شامل للتعافي من الكوارث مرة سنوياً على الأقل، إلى جانب تمارين محاكاة سيناريوهات الأزمات، مع توثيق النتائج ومتابعة الإجراءات التصحيحية.
**5. الربط بمتطلبات نظام حماية البيانات الشخصية (PDPL):** تستوجب المادة 19 من النظام الحفاظ على سلامة البيانات الشخصية وحقوق الوصول إليها أثناء عمليات التعافي، وذلك لمنع أي تسرب أو كشف غير مقصود للبيانات.
**نصيحة عملية:** احتفظ بسجل موحد لبرنامج الاستمرارية يربط كل خطة بمالكها وتاريخ آخر اختبار وأهداف RTO/RPO والضابط المرجعي في SAMA CSF، مما يُسهّل بشكل كبير الاستجابة لفحوصات الرقابة.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال (BCM) ركيزةً إلزامية ضمن إطار SAMA CSF في مجال التحكم 3.5. ويتعين على البنوك السعودية بناء برنامج متكامل يضمن استمرار الخدمات المالية الحيوية خلال فترات الاضطراب، سواءً أكانت حوادث إلكترونية أم كوارث طبيعية أم أعطال منهجية.
**متطلبات SAMA CSF لاستمرارية الأعمال:**
**1. تحليل أثر الأعمال (BIA):** تحديد العمليات الحيوية وتصنيفها، وتعريف أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) لكل منها، مع تحليل التبعيات مع الأطراف الثالثة وأنظمة تقنية المعلومات. يتوقع SAMA ألا تتجاوز RTO للأنظمة الحيوية 4 ساعات.
**2. الحوكمة والسياسة:** يجب وجود سياسة BCM معتمدة رسمياً من الإدارة العليا، تُراجَع سنوياً، مع تعيين مسؤول تنفيذي مخصص لها.
**3. خطط الاستمرارية والتعافي من الكوارث:** يجب إعداد خطط منفصلة ومتكاملة تغطي العنصر البشري والعمليات والتقنية والمرافق، وتشمل مسارات تصعيد واضحة وأماكن بديلة للعمل.
**4. الاختبار والتدريب:** يشترط SAMA إجراء اختبارات BCM سنوياً على الأقل، تشمل تمارين الطاولة ومحاكاة السيناريوهات واختبارات التحويل الكامل للأنظمة الحيوية، مع توثيق النتائج ومعالجة الثغرات.
**5. التوافق مع NCA ECC:** تُعزز المادة 2-15 من NCA ECC متطلبات BCM للمنشآت التي تُشغّل بنية تحتية وطنية، مضيفةً اشتراطات تتعلق بالمرونة الإلكترونية واستمرارية الخدمات الرقمية.
**6. اعتبارات PDPL:** يجب أن تأخذ خطط BCM في الحسبان التزامات حماية البيانات، بحيث تحافظ أنظمة النسخ الاحتياطي على ذات ضوابط الأمان والوصول المعتمدة في الأنظمة الأساسية.
**خطوات عملية:**
- دمج BCM ضمن تقرير التقييم الذاتي السنوي المقدم إلى SAMA.
- استخدام وحدة BCM في منصتنا لرسم خرائط RTO/RPO وجدولة الاختبارات وإصدار تقارير جاهزة للجهات التنظيمية تلقائياً.
- التوافق مع ISO 22301 لاعتماد أفضل الممارسات الدولية.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال من أبرز الالتزامات التنظيمية للمؤسسات المالية السعودية، إذ يُوجب كلٌّ من SAMA CSF (المجال الرابع — المرونة التشغيلية) وNCA ECC (المادة 2-14) وجود برنامج رسمي ومنظم لهذا الغرض. وفيما يلي خارطة طريق عملية للتطبيق:
**أولاً: الحوكمة والسياسات:**
ضع سياسة استمرارية أعمال معتمدة من مجلس الإدارة أو اللجنة التنفيذية، مع تحديد مسؤول تنفيذي واضح — غالباً CISO أو COO — يتولى الإشراف على البرنامج.
**ثانياً: تحليل الأثر على الأعمال (BIA):**
أجرِ تحليلاً شاملاً لتحديد الوظائف الحيوية وتبعياتها وأهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO). يتوقع SAMA تحديد هذه الأهداف لجميع الأنظمة الحرجة.
**ثالثاً: الربط بإدارة المخاطر:**
يجب دمج برنامج الاستمرارية مع إطار إدارة مخاطر الأمن السيبراني، وتشمل المادة 2-14 من NCA ECC بصفة خاصة سيناريوهات الهجمات الإلكترونية وبرامج الفدية وانقطاع الأنظمة.
**رابعاً: إعداد الخطط:**
طوّر خطط استمرارية الأعمال (BCP) وخطط التعافي من الكوارث (DRP) التي تغطي العناصر البشرية والتقنية والتشغيلية، مع معالجة سيناريوهات الفشل الجزئي والكلي.
**خامساً: الاختبار والتمارين:**
يُلزم SAMA CSF بإجراء اختبارات دورية لا تقل عن مرة سنوياً عبر تمارين المحاكاة أو الاختبارات الوظيفية أو التحويل الفعلي للأنظمة، مع توثيق النتائج ودروس التعلم.
**سادساً: الأطراف الخارجية:**
راجع ترتيبات الاستمرارية مع موردي الخدمات الحرجة ومزودي الحوسبة السحابية، وتأكد من تضمين متطلبات BCM في العقود المبرمة معهم.
يُنصح بمراجعة الخطط سنوياً أو عقب أي تغيير جوهري للحفاظ على انسجامها مع المتطلبات التنظيمية المستجدة.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال من أهم مجالات الامتثال للمؤسسات المالية السعودية، وتنظمها بصورة رئيسية المتطلبات المحددة في النطاق الرابع من إطار SAMA CSF المتعلق بالمرونة التشغيلية، إلى جانب ضوابط NCA ECC 2-9 و2-10 الخاصة بالمرونة والتعافي.
**أبرز متطلبات SAMA CSF:**
يشترط الضابط 4.1 من SAMA CSF إنشاء برنامج رسمي لاستمرارية الأعمال يشمل تحليل أثر الأعمال (BIA)، وتحديد أهداف وقت التعافي (RTO) وأهداف نقطة الاسترداد (RPO)، وإعداد خطط استمرارية معتمدة ومختبرة. ومن المتوقع عموماً ألّا تتجاوز RTOs للخدمات المصرفية الحيوية 4 ساعات، مع RPOs لا تتجاوز ساعتين للأنظمة من المستوى الأول.
**التوافق مع NCA ECC:**
يُلزم المادة 2-9 من NCA ECC المؤسساتِ بإعداد خطط تعافٍ من الكوارث (DRPs) مع إجراءات تحويل موثقة، فيما تستوجب المادة 2-10 إجراء اختبارات دورية ومحاكاة سنوية على الأقل.
**خطوات التطبيق العملي:**
1. إجراء تحليل شامل لأثر الأعمال لتحديد العمليات الحيوية وحدود التوقف المقبولة.
2. تحديد RTO/RPO لكل نظام حيوي: الصيرفة الأساسية وقنوات الدفع والخدمات الموجهة للعملاء.
3. تطوير خطط استمرارية متدرجة: على مستوى الموقع، والنظام، والتواصل في الأزمات.
4. تأسيس موقع بديل نشط يستوفي متطلبات الفصل الجغرافي لدى ساما.
5. اختبار الخطط عبر تمارين على الطاولة وتدريبات وظيفية ومحاكاة تحويل كاملة سنوياً.
6. دمج BCM مع خطة الاستجابة للحوادث لتغطية سيناريوهات الفدية والانقطاعات الإلكترونية.
تجدر الإشارة إلى أن أبرز نقاط الضعف الشائعة هي التعامل مع BCM كمهمة سنوية روتينية، في حين تعمد المؤسسات الناجحة إلى دمجه في عمليات إدارة التغيير والإصدار على مدار العام.
هل كانت الإجابة مفيدة؟
تُمثّل إدارة استمرارية الأعمال مجالاً إلزامياً ضمن إطار SAMA CSF، وتحديداً في النطاق 3.5 الخاص بالمرونة التشغيلية. ويتعيّن على المؤسسات المالية بناء برنامج متكامل يضمن قدرتها على الصمود والتعافي من الاضطرابات، سواء كانت سيبرانية أو تشغيلية.
**المكوّنات الأساسية وفق SAMA CSF:**
1. **تحليل أثر الأعمال (BIA)**: تحديد الوظائف التشغيلية الحيوية وترتيب أولوياتها، وتحديد أهداف وقت الاستعادة (RTO) ونقطة الاستعادة (RPO) لكل وظيفة.
2. **خطط الاستمرارية والتعافي من الكوارث**: إعداد خطط موثّقة ومختبَرة تغطي سيناريوهات متعددة كهجمات برامج الفدية وانقطاع مراكز البيانات.
3. **إطار إدارة الأزمات**: تشكيل فريق إدارة أزمات بصلاحيات واضحة ومسارات تصعيد محددة، مع تسمية مسؤولين تنفيذيين ونوابهم لاتخاذ قرارات الاستمرارية.
4. **الاختبار والتدريب**: يستوجب المتطلب 3.5.4 من SAMA CSF إجراء اختبارات سنوية على الأقل تشمل التمارين على الطاولة والمحاكاة الكاملة، مع توثيق النتائج ومعالجة الثغرات.
5. **التكامل مع الاستجابة للحوادث السيبرانية**: يجب أن يتكامل برنامج الاستمرارية مع خطة الاستجابة للحوادث السيبرانية لضمان التنسيق خلال أي اضطراب سيبراني.
6. **الإبلاغ التنظيمي**: يُوجب إطار SAMA للإبلاغ عن الحوادث السيبرانية الإبلاغ عن أي حادث يستدعي تفعيل خطة الاستمرارية ضمن جداول زمنية محددة.
على شركات التقنية المالية تحديداً الانتباه إلى الاعتماد على الخدمات السحابية وموفري SaaS، والتأكد من أن الاتفاقيات التعاقدية مع الموردين تتضمن مستويات خدمة تتوافق مع أهداف الاستعادة المعتمدة لديهم.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال من المجالات الإلزامية في إطار SAMA CSF، وتكتسب أهمية بالغة لشركات الفينتك تحديداً نظراً لاعتمادها الكامل على البنية الرقمية والأطراف الخارجية. يُحدد المجال الرابع (المرونة التشغيلية) من إطار ساما المتطلبات الشاملة في هذا الشأن.
**المتطلبات الرئيسية:**
- **تحليل أثر الأعمال (BIA):** يُلزم الضابط 4.1 الشركاتِ بإجراء تحليل رسمي يحدد العمليات الحيوية وأهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO)، مع توقع ألا يتجاوز RTO لخدمات الدفع أربع ساعات.
- **خطة استمرارية الأعمال وخطة التعافي من الكوارث:** يجب توثيق كلتا الخطتين واعتمادهما من الإدارة العليا ومراجعتهما سنوياً على أقل تقدير، مع تحديد تسلسل استرداد الأنظمة وإجراءات التبديل التلقائي.
- **الاختبارات والتدريبات:** تشترط ساما إجراء تمارين المحاكاة الميدانية وتدريبات التعافي الفعلي بصفة منتظمة، مع توثيق النتائج وتتبع إجراءات التحسين.
- **خطط التواصل:** تتضمن البروتوكولات الداخلية وآليات إخطار ساما عند وقوع أي اضطراب تشغيلي جوهري.
- **مرونة الموردين:** يجب على شركات الفينتك التحقق من جاهزية موردي التقنية الحيويين (كمزودي الخدمات السحابية ومعالجي المدفوعات) ضمن استراتيجية المرونة الشاملة.
- **التوافق مع ISO 22301:** يُسهم التوافق مع هذا المعيار في تعزيز الجاهزية للتدقيق الرقابي وإثبات نضج البرنامج.
ينبغي لشركات الفينتك أن تنظر إلى استمرارية الأعمال باعتبارها ركيزةً تشغيلية حقيقية لحماية ثقة العملاء والوضع الرقابي، لا مجرد متطلب امتثال يُستوفى شكلياً.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال من أبرز الالتزامات التنظيمية التي تواجهها المؤسسات المالية السعودية، إذ يضع كل من SAMA CSF وNCA ECC توقعات واضحة ومحددة في هذا الشأن.
**متطلبات SAMA CSF (المجال 3.4):**
يشترط إطار SAMA وجود برنامج رسمي لإدارة الاستمرارية يشمل تحليل أثر الأعمال (BIA)، وخطط استمرارية الأعمال (BCP)، وخطط التعافي من الكوارث (DRP). ومن أبرز المتطلبات:
- تحديد أهداف وقت التعافي (RTO) وأهداف نقطة الاسترداد (RPO) لكل نظام حيوي
- اختبار خطط BCP سنوياً على الأقل عبر تمارين المحاكاة، مع إجراء اختبارات تعافٍ كاملة كل عامين على الأقل
- اشتراط موافقة الإدارة العليا على برنامج الاستمرارية وارتباطه بشهية المخاطر المؤسسية
**متطلبات NCA ECC (المادة 2-13):**
تُوجب NCA ECC توفير ضوابط المرونة التشغيلية، بما تشمله من أنظمة احتياطية، وقدرات التحويل التلقائي، وإجراءات تعافٍ موثقة، مع ضمان دمج متطلبات الاستمرارية الأمنية ضمن الإطار الأشمل لإدارة الأعمال.
**خطوات التطبيق العملي:**
1. إجراء تحليل أثر الأعمال لتحديد العمليات الحيوية وتبعياتها
2. تحديد RTO وRPO بما يتوافق مع عتبات المرونة التشغيلية لدى SAMA
3. إعداد وثائق BCP وDRP متدرجة تغطي العنصر البشري والعمليات والتقنية
4. توفير موقع بديل للعمليات المصرفية الحيوية (حار أو فاتر أو بارد)
5. دمج سيناريوهات الحوادث السيبرانية في اختبارات BCP، كمحاكاة هجمات الفدية وDDoS
6. الحفاظ على جدول اختبارات سنوي وتوثيق نتائجه مع الدروس المستخلصة
**اعتبار PDPL:**
بموجب نظام حماية البيانات الشخصية، يجب ضمان حماية البيانات الشخصية حتى خلال عمليات التعافي من الكوارث، والتأكد من أن بيئات التعافي تطبق ذات ضوابط الحماية المعمول بها في بيئة الإنتاج.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال من أبرز المتطلبات التي يفرضها إطار SAMA CSF على المؤسسات المالية السعودية، وتندرج بشكل رئيسي ضمن المجال الرابع المتعلق بالمرونة السيبرانية. إليك أبرز المتطلبات وكيفية تطبيقها:
**أولاً: السياسة والحوكمة**
يجب أن تمتلك كل مؤسسة سياسة معتمدة من مجلس الإدارة تحدد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) لكل نظام حيوي. ويُشترط تعيين مسؤول متخصص لاستمرارية الأعمال على مستوى الإدارة العليا.
**ثانياً: تحليل تأثير الأعمال (BIA)**
يُنصح بإجراء تحليل تأثير الأعمال سنوياً لتحديد الوظائف الحيوية وتبعياتها وحدود التوقف المقبولة. وبالنسبة للأنظمة المصرفية الجوهرية، تتوقع هيئة ساما عادةً ألا يتجاوز RTO أربع ساعات للمؤسسات من الفئة الأولى.
**ثالثاً: خطة التعافي من الكوارث**
يستلزم الإطار وجود خطة تعافٍ موثقة ومختبرة تشمل أنظمة تقنية المعلومات ومراكز البيانات والجهات الخارجية. ويجب أن يكون موقع التعافي الاحتياطي منفصلاً جغرافياً مع اختبار الفشل الكامل مرة على الأقل سنوياً.
**رابعاً: الاختبار والتدريب**
يتطلب SAMA CSF تنفيذ تمارين مكتبية سنوية وتدريبات تقنية نصف سنوية، مع توثيق النتائج ومعالجة الثغرات وحفظ الأدلة للمراجعات التنظيمية.
**خامساً: التوافق مع NCA ECC**
تأكد من أن برنامجك يستوفي متطلبات كلا الإطارين تفادياً لتكرار ملاحظات التدقيق، إذ تتقاطع متطلبات المرونة في المادة 3-8 من NCA ECC مع متطلبات SAMA CSF.
**نصيحة عملية:** ادمج برنامج استمرارية الأعمال مع خطة الاستجابة للحوادث السيبرانية بحيث تُفعَّل آليات الاستمرارية تلقائياً عند وقوع أي حادثة سيبرانية كبرى.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال متطلباً إلزامياً بموجب النطاق الرابع من إطار SAMA CSF وضابط NCA ECC 2-10، وتهدف إلى ضمان قدرة المؤسسات المالية على الصمود في مواجهة الاضطرابات والحوادث السيبرانية والكوارث.
**متطلبات SAMA CSF لاستمرارية الأعمال:**
- وضع سياسة رسمية لاستمرارية الأعمال معتمدة من الإدارة العليا
- إجراء تحليل أثر الأعمال (BIA) لتحديد الوظائف الحرجة وأقصى وقت تحمّل للتوقف
- تحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) لجميع الأنظمة الحرجة — وتتوقع ساما عادةً أن لا يتجاوز RTO لأنظمة الصيرفة الأساسية 4 ساعات
- اختبار خطط التعافي من الكوارث سنوياً على الأقل من خلال تمارين محاكاة موثقة
**التوافق مع NCA ECC الضابط 2-10:**
- يشترط دمج الاعتبارات السيبرانية ضمن خطط الاستمرارية، بما يشمل سيناريوهات الاسترداد من الهجمات السيبرانية كبرامج الفدية وهجمات الحرمان من الخدمة وانقطاعات سلسلة التوريد
**الاختبارات والتمارين:**
- يجب توثيق تمارين الطاولة والتدريبات الوظيفية واختبارات التحويل الكامل للأنظمة
- يجب تسجيل النتائج والثغرات والإجراءات التصحيحية ومتابعتها رسمياً
- يطلب مفتشو ساما أدلة على نتائج الاختبارات خلال عمليات التقييم الرقابي
**التكامل مع خطط الاستجابة للحوادث:**
- يجب أن تكون خطط استمرارية الأعمال والاستجابة للحوادث متوافقة لتجنب التعارض في الإجراءات عند تفعيل الأزمات
- تحديد أدوار واضحة للتواصل في الأزمات بما يشمل الإبلاغ التنظيمي لساما ضمن الإطار الزمني المحدد
**نصيحة عملية:** أنشئ لجنة توجيهية لاستمرارية الأعمال تضم ممثلين من تقنية المعلومات والعمليات والمخاطر والشؤون القانونية لضمان الملكية المؤسسية الشاملة والتوافق مع توقعات ساما الحوكمية.
هل كانت الإجابة مفيدة؟
تُمثّل إدارة استمرارية الأعمال ركيزةً رقابية أساسية للمؤسسات المالية السعودية، وذلك في إطار المجال الرابع من SAMA CSF، ولا سيما الضوابط من 4.3.1 إلى 4.3.6. وفيما يلي العناصر الجوهرية لبناء برنامج متوافق مع هذه المتطلبات:
**أولاً: تحليل أثر الأعمال (BIA)**
- حدّد العمليات الحرجة وتبعياتها والحد الأقصى لتوقفها المسموح به.
- اضبط أهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO) لكل نظام حرج.
- يجب مراجعة نتائج هذا التحليل سنوياً أو عند إجراء تغييرات جوهرية.
**ثانياً: خطة استمرارية الأعمال (BCP)**
- وثّق إجراءات تفصيلية لاستعادة كل وظيفة حرجة، مع تحديد الأدوار والمسؤوليات ومسارات التصعيد بوضوح.
- يجب أن تشمل الخطة سيناريوهات الاضطراب الناجمة عن الحوادث السيبرانية والكوارث الطبيعية والبيئية على حد سواء.
**ثالثاً: خطة التعافي من الكوارث (DR)**
- تشترط هيئة ساما توافر موقع DR تشغيلي مختبَر ومنفصل جغرافياً عن الموقع الرئيسي.
- يجب أن تستوفي قدرات التحويل التلقائي الأهداف المحددة لـ RTO وRPO.
**رابعاً: الاختبار والتدريبات**
- يُلزم ضابط 4.3.5 بإجراء اختبارات دورية للبرنامج تشمل تمارين الطاولة وتجارب التحويل الكاملة، وذلك مرة سنوياً على الأقل مع توثيق النتائج والدروس المستفادة.
**خامساً: التكامل مع الاستجابة للحوادث السيبرانية**
- يجب ربط برنامج استمرارية الأعمال بخطة الاستجابة للحوادث السيبرانية ربطاً وثيقاً لضمان التفعيل السلس عند الحاجة.
**سادساً: الحوكمة والإبلاغ**
- تقع ملكية البرنامج على المستوى التنفيذي (COO أو CRO)، فيما يتولى مدير أمن المعلومات (CISO) مسؤولية مكوّن الصمود السيبراني.
- تُرفع تقارير البرنامج السنوية إلى لجنة المخاطر في مجلس الإدارة.
**نصيحة جوهرية:** تولي الجهات الرقابية اهتماماً متزايداً بالفجوة بين الخطط الموثّقة والقدرات الفعلية المختبَرة، لذا استثمر في تمارين محاكاة واقعية وليس فقط في الوثائق.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF المؤسساتِ المالية السعودية بتبني برنامج متكامل لإدارة استمرارية الأعمال يشمل جميع جوانب العمليات والتقنية. وفيما يلي أبرز المتطلبات:
**أولاً: الحوكمة والوثائق:** يستوجب النطاق الرابع من الإطار وجود سياسة موثقة ومعتمدة من مجلس الإدارة، مع تحديد مسؤوليات واضحة على المستوى التنفيذي.
**ثانياً: تحليل أثر الأعمال (BIA):** يجب تحديد الوظائف الحيوية وتحديد مؤشرات الاسترداد مثل RTO وRPO لكل نظام جوهري، كالأنظمة المصرفية الأساسية وأنظمة الدفع.
**ثالثاً: الاختبار الدوري:** يشترط البنك المركزي إجراء اختبارات سنوية على الأقل، تشمل التمارين المكتبية والمحاكاة الفعلية، مع توثيق نتائجها وخطط المعالجة.
**رابعاً: التكامل مع خطط التعافي التقني:** ينبغي ربط برنامج الاستمرارية بخطط التعافي من الكوارث (DRP)، والتحقق من أن بيئات الاسترداد — سواء السحابية أو المحلية — تستوفي متطلبات الإقامة البيانية لدى البنك المركزي.
**خامساً: الأطراف الخارجية:** يجب أن يمتد نطاق البرنامج ليشمل مزودي الخدمات الحيوية، بحيث يُلزَم هؤلاء تعاقدياً بإثبات امتلاكهم لبرامج استمرارية فاعلة.
**سادساً: الامتثال لنظام PDPL:** عند تفعيل إجراءات الاسترداد، يتعين ضمان حماية البيانات الشخصية وفق المادة التاسعة عشرة من نظام حماية البيانات الشخصية.
عملياً، يُنصح بمراجعة البرنامج ربع سنوياً، ورفع تقارير دورية إلى لجنة المخاطر في مجلس الإدارة، مع الحرص على جاهزية الوثائق للتفتيش الرقابي في أي وقت.
هل كانت الإجابة مفيدة؟
إدارة استمرارية الأعمال ليست مجرد خيار استراتيجي، بل هي التزام تنظيمي واضح تفرضه ساما في النطاق 3.4 من إطارها للأمن السيبراني، إلى جانب إرشادات إدارة استمرارية الأعمال الصادرة عنها بشكل مستقل. وفيما يلي نهج منظم لتحقيق الامتثال الكامل:
**1. وضع برنامج رسمي لاستمرارية الأعمال:**
تشترط ساما وجود سياسة معتمدة من مجلس الإدارة تحدد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) لجميع الأنظمة الحيوية. وبالنسبة لمنصات الخدمات المصرفية الجوهرية، يُتوقع عادةً ألا يتجاوز RTO أربع ساعات.
**2. تحليل أثر الأعمال (BIA):**
حدد الوظائف التجارية الحيوية واعتماداتها على أنظمة تقنية المعلومات، مع قياس الأثر المالي والسمعي لأي انقطاع. ويجب مراجعة هذا التحليل سنوياً.
**3. وضع الخطط وصيانتها:**
تحتاج إلى ثلاث خطط متكاملة: خطة استمرارية الأعمال (BCP)، وخطة التعافي من الكوارث التقنية (DRP)، وخطة إدارة الأزمات والتواصل مع ساما والجهات الداخلية.
**4. متطلبات الاختبار:**
يشترط إطار ساما إجراء اختبارات دورية تشمل تمارين محاكاة الطاولة مرة سنوياً على الأقل، واختبارات التحويل الكامل للنظام الاحتياطي مرة واحدة على الأقل في العام.
**5. الموردون الخارجيون:**
يجب أن تأخذ خطط الاستمرارية في الحسبان الاعتماد على الموردين الرئيسيين، لا سيما مزودي الأنظمة المصرفية الجوهرية.
**نصيحة عملية:** دمج وثائق استمرارية الأعمال في منصة GRC مركزية يضمن التحكم في الإصدارات، وتوافر مسارات المراجعة، وتتبع الاختبارات بشكل فوري.
هل كانت الإجابة مفيدة؟
تُلزم متطلبات إدارة استمرارية الأعمال ضمن إطار SAMA CSF (المجال الرابع، الضوابط 4.3.1–4.3.6) المؤسسات المالية السعودية بامتلاك برنامج متكامل ومُختبر ومُحدَّث بصفة منتظمة. أبرز هذه المتطلبات: أولاً، **تحليل أثر الأعمال (BIA):** تحديد الوظائف الحيوية وأهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO) لجميع الأنظمة المصرفية الجوهرية. ثانياً، **خطة استمرارية الأعمال (BCP):** توثيق إجراءات الاسترداد لتشمل العنصر البشري والعمليات والتقنية والمرافق، مع مراعاة سيناريوهات الهجمات الإلكترونية لا الكوارث الطبيعية فحسب. ثالثاً، **مركز الاسترداد من الكوارث (DR):** يشترط SAMA وجود مركز DR جغرافياً منفصل داخل المملكة، مع نسخ متزامن للبيانات وفق أهداف RPO المحددة، واختبار التفعيل الفعلي مرة على الأقل سنوياً. رابعاً، **الاختبارات والتمارين:** إجراء تمارين محاكاة وتمارين failover كاملة سنوياً مع توثيق النتائج ورفعها لفرق فحص مؤسسة النقد. خامساً، **إدارة اعتماد الأطراف الثالثة:** رصم خريطة المخاطر المرتبطة بمزودي الخدمات الحيويين كالحوسبة السحابية وشبكات الدفع. على الصعيد العملي، ينبغي تعيين مالك مخصص لإدارة الاستمرارية، ودمج البرنامج ضمن إطار إدارة المخاطر الشامل، مع حصول على موافقة مجلس الإدارة على خطة BCP سنوياً. وتخضع شركات التقنية المالية المرخصة من SAMA لهذه المتطلبات ذاتها بما يتناسب مع حجم عملياتها.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال في المؤسسات المالية السعودية نقطة التقاء بين المرونة التشغيلية والامتثال التنظيمي. يُلزم المجال 3.6 من إطار SAMA CSF المؤسساتِ بامتلاك إطار موثّق لاستمرارية الأعمال يشمل تحليل الأثر على الأعمال، وأهداف وقت الاسترداد والنقطة المرجعية للاسترداد، وخطط التعافي من الكوارث المختبَرة.
تتضمن خطوات التطبيق الرئيسية: أولاً، إجراء تحليل للأثر على الأعمال لتحديد العمليات الحيوية ومتطلبات الاستمرارية — وتشترط ساما ألا يتجاوز وقت الاسترداد للأنظمة الحرجة 4 ساعات. ثانياً، إعداد خطة استمرارية أعمال شاملة تغطي بروتوكولات الاتصال في الأزمات وأدوار الموظفين ومواقع المعالجة البديلة. ثالثاً، اختبار الخطة سنوياً على الأقل عبر تمارين محاكاة أو تجارب تحويل كاملة مع توثيق النتائج ورفعها للمجلس. رابعاً، دمج سيناريوهات التهديد السيبراني كالفدية وهجمات الحرمان من الخدمة وخروقات البيانات في التخطيط، بما يتوافق مع الضابط 3.6.5 من SAMA CSF.
أما على صعيد نظام حماية البيانات الشخصية، فتضيف المادة 24 منه بُعداً جوهرياً: إذا تضمّنت الاضطرابات التشغيلية تعذّر الوصول إلى بيانات شخصية أو اختراقها، وجب إخطار هيئة البيانات والذكاء الاصطناعي (سدايا) ضمن الإطار الزمني المحدد. لذا يجب أن تتضمن خطة الاستمرارية مسار استجابة لخروقات البيانات يُفعّل إجراءات الإخطار بالتوازي مع عمليات الاسترداد التشغيلي.
يُستحسن توثيق إطار الاستمرارية وفق معيار ISO 22301 المعترف به من ساما، مع الاستناد إلى الضوابط 2-15 من NCA ECC. تقدم منصتنا قوالب جاهزة مرتبطة بجميع الأطر التنظيمية ذات الصلة.
هل كانت الإجابة مفيدة؟
يُحدِّد المجال الرابع من إطار SAMA CSF — إدارة استمرارية الأعمال — متطلبات شاملة تلتزم بها المؤسسات المالية السعودية لضمان مرونتها التشغيلية. يرتكز البرنامج المتوافق على عدة محاور رئيسية: أولاً، تحليل الأثر على الأعمال (BIA): وفقاً للضابط 4.1.2، يجب إجراء تحليل رسمي سنوياً لتحديد الوظائف الحيوية وأقصى فترة توقف مقبولة وأهداف وقت الاسترداد والنقطة الزمنية لاسترداد البيانات لجميع الأنظمة الحيوية. ثانياً، الحوكمة وسياسة استمرارية الأعمال: وضع سياسة معتمدة من مجلس الإدارة مع تحديد واضح للأدوار والمسؤوليات وآليات التصعيد. ثالثاً، خطط الاستمرارية والتعافي من الكوارث: تطوير خطط معتمدة ومُختبرة لجميع وحدات الأعمال الحيوية وأنظمة تقنية المعلومات، مع مراجعتها بعد كل حادثة جوهرية وسنوياً على الأقل. رابعاً، الاختبار والتدريب: يشترط الضابط 4.3 إجراء اختبارات دورية تشمل تمارين الطاولة والتدريبات الوظيفية واختبارات التحويل الكامل للأنظمة الحيوية مع توثيق نتائجها ومتابعة معالجتها. خامساً، التواصل في أوقات الأزمات: تحديد بروتوكولات تواصل داخلية وخارجية تشمل الجهات التنظيمية كـ SAMA وNCA والعملاء والإعلام. سادساً، التبعيات الخارجية: ربط التزامات استمرارية الأعمال بالموردين الحيويين وضمان التوافق التعاقدي معهم. ويُنصح بدمج برنامج استمرارية الأعمال في منصة GRC للحفاظ على توثيق حي وأتمتة جدولة الاختبارات وإنتاج تقارير جاهزة للتدقيق.
هل كانت الإجابة مفيدة؟
يُلزم إطار الأمن السيبراني لساما، تحديداً في النطاق الثالث المتعلق بعمليات الأمن السيبراني (الضوابط 3.3.1 إلى 3.3.5)، البنوكَ السعودية بتطبيق برنامج متكامل لإدارة الهوية والوصول يشمل المحاور التالية:
**إدارة الوصول المميز:** يجب حصر جميع الحسابات ذات الصلاحيات العالية وتطبيق المصادقة متعددة العوامل عليها ومراقبتها بشكل مستمر. يُفضَّل اعتماد نموذج الوصول اللحظي (JIT) بدلاً من منح صلاحيات دائمة.
**مبدأ الحد الأدنى من الصلاحيات:** يجب تطبيق التحكم في الوصول المستند إلى الأدوار (RBAC) على جميع الأنظمة، مع مراجعة حقوق الوصول كل ستة أشهر على الأقل، وضمان الفصل بين المهام لمنع أي موظف من السيطرة الكاملة على العمليات المالية الحساسة.
**دورة حياة المستخدم:** يجب توثيق إجراءات الإلحاق والنقل وإنهاء الخدمة بشكل رسمي، مع سحب صلاحيات الموظفين المغادرين خلال 24 ساعة من انتهاء خدمتهم، وفوراً في حالات الإنهاء غير الاختياري.
**وصول الأطراف الخارجية:** يجب أن يكون وصول الموردين محدداً زمنياً ومسجَّلاً ومنفَّذاً عبر خوادم وسيطة آمنة أو حلول إدارة الوصول المميز، مع تجنب الحسابات المشتركة كلياً.
**توصية عملية:** استخدم منصة GRC لإجراء مراجعة ربع سنوية للهوية والوصول بهدف اكتشاف الحسابات المهجورة والصلاحيات المفرطة وتعارض المهام، مع توثيق أي استثناءات وإقرارها رسمياً من مسؤول أمن المعلومات قبل دورة تقييم ساما.
هل كانت الإجابة مفيدة؟
تُمثّل حوكمة الأمن السيبراني الركيزة الأساسية التي تُقيّمها جهات الرقابة في مقدمة فحوصاتها. وبناء إطار حوكمة متين يستلزم ربطاً منهجياً بين متطلبات SAMA CSF ومعيار ISO 27001.
**متطلبات الحوكمة في SAMA CSF:**
يُلزم النطاق الأول من إطار SAMA CSF (القيادة وحوكمة الأمن السيبراني) المؤسساتِ بوضع استراتيجية أمن سيبراني معتمدة من مجلس الإدارة، وإنشاء وظيفة مستقلة للأمن السيبراني ترفع تقاريرها للإدارة العليا، وتطوير إطار شامل للسياسات. ويُوجب الضابط 1.1 تزويد مجلس الإدارة بتقارير مخاطر الأمن السيبراني بصفة ربع سنوية على أقل تقدير، مع ضمان استقلالية دور مسؤول أمن المعلومات عن العمليات التقنية.
**التوافق مع ISO 27001:**
يتكامل البند الخامس (القيادة) والبند السادس (التخطيط) من معيار ISO 27001:2022 تكاملاً مباشراً مع النطاق الأول من SAMA CSF. ويمكن توظيف شهادة ISO 27001 دليلاً موثقاً خلال تقييمات ساما، مع إجراء تحليل فجوات يُرتّب ضوابط SAMA CSF في مقابل متطلبات ISO 27001 لتجنب ازدواجية الجهد.
**الهيكل الحوكمي المقترح:**
1. تأسيس لجنة توجيهية للأمن السيبراني يرأسها الرئيس التنفيذي أو المدير التشغيلي بمشاركة مسؤول أمن المعلومات ومسؤول المخاطر وممثلي وحدات الأعمال.
2. تبني نموذج خطوط الدفاع الثلاثة: العمليات الأمنية (الأول)، والمخاطر والامتثال (الثاني)، والتدقيق الداخلي (الثالث).
3. بناء إطار سياسات متدرج يتضمن سياسة رئيسية شاملة ومعايير موضوعية فرعية (كضوابط الوصول والتشفير والاستجابة للحوادث).
4. تطوير لوحة مؤشرات أداء أمنية (KRI/KPI) تُرفع إلى لجنة مخاطر مجلس الإدارة كل ربع سنة وفق الضابط 1.2.
5. إجراء مراجعة سنوية لإطار الحوكمة بالتزامن مع دورات المراجعة الإدارية المنصوص عليها في ISO 27001.
المؤسسات التي تدمج الإطارين تحقق امتثالاً أكثر كفاءةً وتُقلّص أعباء التدقيق بصورة ملموسة.
هل كانت الإجابة مفيدة؟
يُعدّ التدريب على الوعي الأمني من أبرز المتطلبات الأساسية في إطار SAMA CSF ضمن المجال 2.3 الخاص بأمن الموارد البشرية، وكذلك في ضوابط هيئة الاتصالات الوطنية ECC تحديداً الضابط 1-3 المتعلق بالتوعية والتدريب الأمني.
**متطلبات SAMA CSF:**
- يجب أن يخضع جميع الموظفين لبرنامج توعية أمنية **مرة واحدة على الأقل سنوياً**، مع الاحتفاظ بسجلات التدريب لأغراض التدقيق.
- يستلزم المستخدمون ذوو الصلاحيات الموسّعة وفرق تقنية المعلومات **تدريباً متخصصاً** يشمل الاستجابة للحوادث وإدارة الوصول والتطوير الآمن.
- يجب أن يُكمل الموظفون الجدد تدريب التوعية الأمني **قبل أو فور** حصولهم على صلاحيات الوصول للأنظمة.
**متطلبات NCA ECC:**
- يُلزم الضابط 1-3 بوجود برنامج توعية رسمي يحدد الأهداف والفئات المستهدفة وأساليب التوصيل ومؤشرات قياس الأداء.
- يجب أن يغطي التدريب موضوعات مثل: التصيد الاحتيالي، والهندسة الاجتماعية، وسياسات الاستخدام المقبول، وإجراءات الإبلاغ عن الحوادث.
**توجيهات عملية للتطبيق:**
1. أجرِ تقييماً سنوياً لاحتياجات التدريب مُصنَّفاً حسب الأدوار الوظيفية.
2. استخدم نظام إدارة التعلم (LMS) لتقديم التدريب وتتبع الإنجاز وإعداد التقارير.
3. نفّذ حملات تصيد احتيالي محاكاة كل ربع سنة لقياس مستوى الوعي الفعلي.
4. احتفظ بسجلات إتمام التدريب وقدّمها خلال جولات فحص SAMA الميدانية.
5. أدرج المقاولين والموردين الخارجيين ضمن نطاق برنامج التوعية.
يُعدّ الإخفاق في تطبيق هذه الضوابط من أكثر الملاحظات شيوعاً خلال جولات فحص SAMA، مما قد يؤثر سلباً على درجة النضج في تقييم الإطار.
هل كانت الإجابة مفيدة؟
بموجب متطلبات SAMA CSF تحديداً في القسم 3.3.1 الخاص بأمن الموارد البشرية، يتعين على المؤسسات المالية السعودية تطبيق برنامج رسمي للتوعية والتدريب الأمني يشمل جميع الموظفين والمقاولين ومستخدمي الصلاحيات الموسعة. يجب أن يُنفَّذ هذا البرنامج مرة واحدة على الأقل سنوياً، مع توفير تدريب متخصص لكل فئة وظيفية حسب طبيعة مهامها وتعرضها للمخاطر. وتشمل المتطلبات الأساسية: أولاً، التوجيه الأمني لحديثي التوظيف قبل منحهم صلاحيات الوصول. ثانياً، التدريب السنوي على التهديدات الشائعة كالتصيد الاحتيالي والهندسة الاجتماعية وإدارة كلمات المرور. ثالثاً، التدريب التقني المتخصص للفرق التقنية وفرق التطوير. رابعاً، اختبارات محاكاة التصيد لقياس مستوى يقظة الموظفين. خامساً، إحاطات دورية لمجلس الإدارة والإدارة العليا حول مخاطر الأمن السيبراني. يجب توثيق نتائج التدريب وقياس فاعليته عبر مؤشرات أداء واضحة، إذ تطلع هيئة SAMA على هذه السجلات خلال عمليات الفحص الرقابي. وبالتوازي مع ذلك، تُعزز المادة 2-8 من إطار NCA ECC متطلبات الأمن البشري ذاتها. نصيحة عملية: استخدم منصة GRC لأتمتة جدولة التدريب وتتبع نسب الإنجاز وإصدار تقارير جاهزة للتدقيق، مع تفعيل سير عمل تصحيحية للموظفين الذين يخفقون في اختبارات التصيد المحاكاة.
هل كانت الإجابة مفيدة؟
تخضع الاستجابة للحوادث السيبرانية في البنوك السعودية بصورة رئيسية لمتطلبات التحكم 3.5 من إطار SAMA CSF (إدارة الحوادث السيبرانية)، الذي يُلزم المؤسسات بوجود خطة استجابة رسمية موثقة يُختبر فعاليتها سنوياً على الأقل عبر تمارين محاكاة ميدانية. ويجب أن تُحدد الخطة الأدوار والمسؤوليات وآليات التصعيد وإجراءات الاحتواء وأهداف الاسترداد.
من منظور الإبلاغ التنظيمي، تشترط ساما الإبلاغ عن الحوادث السيبرانية الجسيمة خلال 72 ساعة من اكتشافها، لا سيما تلك التي تمس بيانات العملاء أو أنظمة الصيرفة الأساسية أو البنية التحتية للمدفوعات. ويتوافق هذا الإطار الزمني مع متطلبات المادة 27 من نظام PDPL فيما يخص إشعار الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) بانتهاكات البيانات الشخصية. أما الحوادث المتعلقة بالبنية التحتية الحيوية، فقد تستوجب إبلاغاً موازياً للهيئة الوطنية للأمن السيبراني وفق المادة 4-3 من NCA ECC.
تشمل الحوادث التي تستوجب الإبلاغ عادةً: الوصول غير المصرح به لحسابات العملاء، وهجمات الفدية والبرمجيات الخبيثة المؤثرة على العمليات، وهجمات الحرمان من الخدمة (DDoS) التي تتجاوز عتبات التوقف المحددة، وتسريب البيانات، والمعاملات الاحتيالية المرتبطة باختراق منظومي.
بعد معالجة الحادثة، تتوقع ساما تقديم تقرير تحليل السبب الجذري (RCA) خلال 30 يوماً مرفقاً بخارطة طريق للمعالجة، مع توثيق الدروس المستفادة وإدماجها في منظومة الضوابط الأمنية.
عملياً، تُمكّن منصات GRC المتكاملة من أتمتة استقبال الحوادث وتصنيفها وتفعيل سلاسل الإشعار التنظيمي في حدود الـ 72 ساعة المقررة، بعيداً عن الإجراءات اليدوية التي تُثقل كاهل الفرق في أوقات الأزمات.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF ضمن محور "الأفراد" (Control Domain 3.3) المؤسساتِ الماليةَ السعوديةَ بتطبيق برنامج توعية أمنية منظّم يشمل جميع الموظفين والمتعاقدين وأي طرف ثالث يمكنه الوصول إلى الأنظمة الحساسة. تشمل المتطلبات الأساسية: أولاً، تدريب توعوي سنوي إلزامي لجميع الموظفين مع توثيق الإتمام؛ وثانياً، تدريب تقني متخصص لفرق تقنية المعلومات والأمن وفقاً لمهامهم؛ وثالثاً، جلسات إحاطة دورية للقيادة العليا ومجلس الإدارة حول مخاطر الأمن السيبراني؛ ورابعاً، تمارين محاكاة التصيد الاحتيالي بصفة منتظمة لا تقل عن مرة كل ربع سنة. يجب أن تعكس هذه البرامج التهديدات الفعلية التي تواجهها البنوك السعودية، كالهندسة الاجتماعية وسرقة بيانات الاعتماد واحتيال البريد الإلكتروني للأعمال. وبموجب المتطلبات التفصيلية للإطار، يتعين على المؤسسات قياس مؤشرات إتمام التدريب ورفع تقارير بالثغرات إلى الإدارة العليا. من الناحية العملية، يُنصح بتصميم المناهج على شكل مستويات متدرجة: موظفون عامون، ومستخدمون ذوو صلاحيات موسّعة، ومطورون، وإدارة تنفيذية، مع محتوى مخصص لكل فئة. كما يجب دمج متطلبات نظام حماية البيانات الشخصية (PDPL) في التدريب لتوعية الموظفين بمسؤولياتهم في التعامل مع البيانات. ويُعدّ الاستثمار في محتوى تدريبي باللغة العربية أمراً محورياً لضمان وصول التوعية إلى جميع شرائح القوى العاملة وتحقيق الأثر المنشود.
هل كانت الإجابة مفيدة؟
بموجب متطلبات إطار SAMA CSF (التحكم 3.3.1)، يُلزَم كل بنك أو مؤسسة مالية سعودية ببناء برنامج رسمي للتوعية الأمنية يشمل جميع الموظفين والمتعاقدين والمستخدمين ذوي الصلاحيات الموسّعة. إليك الخطوات العملية:
**هيكل البرنامج:**
- إجراء تقييم سنوي لاحتياجات التدريب بناءً على ملف المخاطر المؤسسي
- تصميم مسارات تعليمية مخصصة لكل فئة: الموظفون العامون، فرق تقنية المعلومات، والإدارة العليا
- إلزامية التدريب عند الانضمام للمنظمة لجميع الموظفين الجدد والمتعاقدين
**المحتوى المطلوب:**
- سيناريوهات الهندسة الاجتماعية والتصيّد الاحتيالي واختراق البريد التجاري المستهدفة للقطاع المالي السعودي
- التزامات نظام حماية البيانات الشخصية (PDPL) وضمانات السرية
- إجراءات الإبلاغ عن الحوادث وقنوات التصعيد
- سياسات الاستخدام المقبول للأنظمة الحرجة
**الجدول الزمني وطرق التقديم:**
- تدريب تجديدي سنوي لجميع الموظفين، مع اختبارات تصيّد ربع سنوية
- مزيج بين التعلم الإلكتروني والورش التدريبية والتمارين المحاكِية
- يؤكد NCA ECC-3.3 أيضاً على الحاجة إلى حملات توعية مستمرة لا مجرد دورات دورية
**القياس والإبلاغ:**
- رصد معدلات الإتمام ونسب النقر على روابط التصيّد ونتائج الاختبارات
- رفع تقارير فعالية البرنامج للإدارة العليا ومجلس الإدارة سنوياً على الأقل
برنامج التوعية الأمني الناضج يعكس ثقافة أمنية حقيقية داخل المؤسسة، وتستطيع منصة CISO Consulting مساعدتك في أتمتة المتابعة وتوليد أدلة الامتثال.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التي يفرضها إطار SAMA CSF في نطاقه الرابع الخاص بإدارة الموردين، إلى جانب ضوابط هيئة الاتصالات الوطنية ECC-1:2018 لا سيما الضابط 3-8. وللوفاء بهذه المتطلبات، ينبغي للمؤسسات المالية اتباع نهج دورة حياة متكامل يشمل أربعة محاور رئيسية:
**أولاً: العناية الواجبة عند التعاقد:** قبل الانخراط مع أي مورد، يتعين إجراء تقييم شامل لمخاطر الأمن السيبراني، مع تصنيف الموردين وفق درجة أهميتهم وحساسية البيانات التي يصلون إليها.
**ثانياً: الاشتراطات التعاقدية الأمنية:** يجب تضمين العقود بنوداً إلزامية تشمل حق التدقيق، والتزامات الإخطار عند الحوادث خلال 24 إلى 72 ساعة، وضوابط معالجة البيانات وفق المادة 29 من نظام حماية البيانات الشخصية.
**ثالثاً: المراقبة المستمرة:** لا يكفي التقييم مرة واحدة؛ إذ يستلزم الضابط 3-8-4 مراقبة وصول الأطراف الثالثة إلى الأنظمة الداخلية بصفة منتظمة، مع إعادة تقييم الموردين الحيويين سنوياً على أقل تقدير.
**رابعاً: إنهاء التعاقد:** يجب وجود إجراءات موثقة لإلغاء صلاحيات الوصول فور انتهاء العلاقة التعاقدية، وضمان إعادة البيانات أو إتلافها وفق متطلبات نظام PDPL.
توصية عملية: الاستعانة بمنصة GRC مركزية لإدارة سجل الموردين وتتبع تقييمات المخاطر بشكل لحظي، مما يوفر توثيقاً جاهزاً لعمليات التفتيش الرقابية التي تجريها مؤسسة النقد. وبالنسبة لشركات التقنية المالية، تأتي الأولوية للموردين الذين يتعاملون مع بيانات الدفع أو المعلومات الشخصية للعملاء.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من المتطلبات الجوهرية التي يفرضها إطار SAMA CSF ضمن المجال الرابع الخاص بإدارة الأطراف الخارجية، إذ يُلزم المؤسسات المالية بوضع منهجية واضحة ومبنية على تقييم المخاطر للتعامل مع مخاطر الأمن السيبراني المرتبطة بالموردين والشركاء.
**أبرز المتطلبات العملية:**
- **تقييم ما قبل التعاقد:** قبل منح أي طرف ثالث صلاحية الوصول إلى الأنظمة أو البيانات الحساسة، يجب إجراء تقييم معمّق للأمن السيبراني، يشمل فحص وضعه الأمني والتحقق من حصوله على شهادات معتمدة كـ ISO 27001 ومدى التزامه بضوابط NCA ECC.
- **الضمانات التعاقدية (وفق الضابط 4.2 من SAMA CSF):** يجب تضمين بنود سيبرانية صريحة في جميع عقود الموردين، تشمل حق التدقيق، والتزامات الإبلاغ عن الحوادث خلال 72 ساعة، واشتراطات التعامل مع البيانات وفق نظام PDPL، وآليات إنهاء العقد عند حدوث خروقات جوهرية.
- **المراقبة المستمرة:** تطبيق برنامج متابعة دورية للموردين الحيويين، يتضمن إعادة التقييم سنويًا على الأقل، ومراجعة تقارير الحوادث الأمنية، وإجراء عمليات تدقيق ميدانية أو عن بُعد.
- **التصنيف حسب مستوى المخاطر:** تصنيف الموردين إلى مستويات (حرجة، عالية، متوسطة، منخفضة) بناءً على طبيعة وصولهم للبيانات وعمق تكاملهم مع الأنظمة، وتطبيق ضوابط مناسبة لكل مستوى.
- **خطة الخروج:** الاحتفاظ بخطط انتقال موثقة لضمان استمرارية الأعمال في حال إنهاء التعامل مع أي مورد.
**نصيحة عملية:** استخدم استبيانات موحدة مُعيَّنة على ضوابط SAMA CSF وNCA ECC، وللمزودين السحابيين طبّق أيضًا إطار ضوابط الأمن السحابي الصادر عن الهيئة الوطنية للأمن السيبراني (CCC)، مع توثيق جميع التقييمات في منصة GRC لتكون جاهزة لأي فحص رقابي من قِبل مراقبي ساما.
هل كانت الإجابة مفيدة؟
يُعدّ برنامج إدارة مخاطر الأطراف الثالثة من أكثر المتطلبات تعقيداً في إطار SAMA CSF، وتحديداً ضمن نطاق التحكم 3.3. إليك دليلاً عملياً لبناء هذا البرنامج:
**أولاً: تصنيف الموردين وتحديد مستوى المخاطر**
صنّف الموردين إلى ثلاث فئات: الفئة الأولى (عالية المخاطر، كمزودي الأنظمة الأساسية والخدمات السحابية)، والفئة الثانية (متوسطة)، والفئة الثالثة (منخفضة). يُلزم SAMA CSF في البند 3.3.2 بأن يتناسب عمق التقييم مع درجة خطورة المورد.
**ثانياً: العناية الواجبة قبل التعاقد**
قبل إبرام أي عقد، تحقق من: الوضع الأمني للمورد (شهادة ISO 27001 أو ما يعادلها)، ومدى التزامه بمتطلبات نظام حماية البيانات الشخصية (نظام PDPL)، وطبيعة المقاولين من الباطن الذين يتعامل معهم.
**ثالثاً: الضمانات التعاقدية**
يجب أن تتضمن العقود: حق التدقيق، والتزامات الإخطار عن الحوادث الأمنية خلال 72 ساعة وفقاً للمادة 19 من نظام PDPL، ومتطلبات حفظ البيانات داخل المملكة، ومؤشرات أداء أمنية مرتبطة باتفاقيات مستوى الخدمة.
**رابعاً: المراقبة المستمرة**
أجرِ تقييمات سنوية لموردي الفئة الأولى، وكل عامين لموردي الفئة الثانية، مع استخدام أدوات ذكاء التهديدات لمتابعة أي اختراقات أو ثغرات لدى الموردين.
**خامساً: إجراءات إنهاء التعاقد**
احرص على حذف البيانات بشكل آمن، وإلغاء الشهادات وصلاحيات الوصول فور انتهاء التعاقد وفق البند 3.3.5.
منصتنا تُؤتمت استبيانات الموردين وتتابع خطط المعالجة وتُنتج تقارير جاهزة لمتطلبات SAMA — مما يُقلص الجهد اليدوي بنسبة تصل إلى 60%.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التي تفرضها جهات الرقابة المالية في المملكة العربية السعودية. فبموجب الضابط 3.3 في إطار SAMA CSF، يتعين على المؤسسات المالية إرساء برنامج رسمي وشامل لإدارة هذه المخاطر يغطي دورة حياة المورد بالكامل، بدءاً من العناية الواجبة عند التعاقد وصولاً إلى إنهاء العلاقة. كما يشترط النظام الوطني للأمن السيبراني (NCA ECC) في المادة 2-14 إجراء تقييم أمني للموردين الحيويين قبل منحهم أي وصول إلى الأنظمة أو البيانات.
لبناء برنامج فعّال لإدارة مخاطر الأطراف الثالثة، يوصى باتباع المحاور الآتية:
**أولاً: تصنيف الموردين:** صنّف الموردين وفق مستوى حساسيتهم (الفئة 1 إلى 3) بناءً على طبيعة البيانات التي يصلون إليها ودرجة اندماجهم مع الأنظمة واعتماد المؤسسة عليهم.
**ثانياً: التقييم المسبق للتعاقد:** أجرِ تقييماً معمّقاً للمورد قبل التعاقد معه باستخدام استبيانات موحدة تتوافق مع نطاقات SAMA CSF، وتحقق من الشهادات المعتمدة كـ ISO 27001 وتقارير SOC 2.
**ثالثاً: الاشتراطات التعاقدية:** تأكد من أن عقود الموردين تتضمن أحكاماً أمنية واضحة، منها: الإبلاغ عن الحوادث خلال 24 ساعة، وحق التدقيق، والتزامات التعامل مع البيانات وفق المادة 19 من نظام حماية البيانات الشخصية (PDPL).
**رابعاً: المتابعة المستمرة:** راقب المخاطر بصفة دورية من خلال آليات تقييم مستمرة، وتُحدَّث التقييمات سنوياً على الأقل للموردين من الفئة الأولى.
يجب على المسؤول عن أمن المعلومات الاحتفاظ بسجل مركزي للموردين وتقديم تقارير ربع سنوية للجنة المخاطر، إذ تُعدّ جودة التوثيق وجمع الأدلة بنفس أهمية الضوابط المطبّقة.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA للأمن السيبراني، تحديداً في مجال الضبط 3.3 الخاص بإدارة الأطراف الثالثة، البنوكَ السعودية بتبني نهج منظم ومبني على تقييم المخاطر عند التعامل مع الموردين والشركاء الخارجيين. فيما يلي الإطار العملي لذلك:
**مرحلة التأهيل المسبق:** قبل منح أي طرف ثالث صلاحية الوصول إلى الأنظمة أو البيانات، يجب إجراء تقييم رسمي للمخاطر السيبرانية، والتحقق من مدى التزام المورد بمعايير SAMA CSF وISO 27001، والاطلاع على شهادات الاعتماد وتقارير التدقيق كـSOC 2.
**الإطار التعاقدي:** يجب أن تتضمن عقود الأطراف الثالثة بنوداً صريحة تغطي حماية البيانات، وآليات الإبلاغ عن الحوادث خلال 72 ساعة وفق متطلبات نظام PDPL، وحق التدقيق، والامتثال لضوابط NCA ECC عند الاقتضاء.
**تصنيف المخاطر:** صنّف الموردين إلى فئات (حرجة، عالية، متوسطة، منخفضة) وفقاً لمستوى الوصول وحساسية البيانات. الموردون الحرجون كمزودي الخدمات السحابية وأنظمة الكور بنكينج يستوجبون إعادة تقييم سنوية.
**المتابعة المستمرة:** أنشئ آلية رصد دورية تشمل استبيانات أمنية منتظمة ومراجعة الإشعارات الأمنية الصادرة عن الموردين، مع الاحتفاظ بسجل محدّث لجميع الأطراف الثالثة يتضمن درجات المخاطر.
**استراتيجية إنهاء العلاقة:** وثّق إجراءات واضحة لإلغاء الوصول وإعادة البيانات أو إتلافها عند انتهاء التعاقد.
عملياً، خصّص مسؤولاً لإدارة مخاطر الأطراف الثالثة ضمن فريق GRC، وادمج نتائج التقييمات في سجل المخاطر المؤسسي، إذ تولي هيئة SAMA اهتماماً متزايداً بهذا الملف خلال الفحوصات الرقابية.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التي يُركّز عليها إطار SAMA CSF في نطاقه الرابع المتعلق بإدارة الأطراف الخارجية، إذ يُلزم البنوك السعودية ببناء برنامج رسمي ومنهجي لإدارة مخاطر الموردين. وفيما يلي أبرز الخطوات العملية:
**أولاً: تصنيف الموردين وتحديد درجة مخاطرهم:**
صنّف جميع الأطراف الثالثة — سواء أكانوا مزودي خدمات سحابية أم شركاء فينتك أم موردي تقنية — بحسب حساسية البيانات التي يتعاملون معها، وأهمية الخدمات التي يقدمونها، ومستوى صلاحياتهم في الأنظمة.
**ثانياً: العناية الواجبة قبل التعاقد:**
أجرِ تقييمات أمنية شاملة قبل الدخول في أي علاقة مع مورد، تشمل مراجعة شهادات ISO 27001، وتقارير SOC 2، ومدى التزامه بضوابط إطار NCA ECC.
**ثالثاً: الاشتراطات الأمنية في العقود:**
أدرج بنوداً صريحة في جميع العقود تغطّي: مدد الإشعار بالحوادث وفق الضابط 4.3 من SAMA CSF، والتزامات التعامل مع البيانات طبقاً لنظام PDPL، وحق التدقيق والمراجعة، والحدود الدنيا لمعايير الأمن.
**رابعاً: المراقبة المستمرة:**
لا تكتفِ بتقييم المورد مرة واحدة؛ بل طبّق نهجاً دورياً يشمل إعادة التقييم السنوي، واختبارات الاختراق على واجهات الاتصال مع الموردين، ومتابعة التهديدات الأمنية المرتبطة بهم.
**خامساً: ضوابط إنهاء التعاقد:**
تأكّد من توثيق إجراءات إعادة البيانات أو حذفها عند انتهاء العقد، انسجاماً مع المادة التاسعة عشرة من نظام PDPL.
**نصيحة عملية:** احتفظ بسجل مركزي لمخاطر الموردين يُراجَع ربع سنوياً من قِبَل لجنة المخاطر، إذ يُولي المدققون في SAMA اهتماماً بالغاً لجودة التوثيق لا للضوابط وحدها.
هل كانت الإجابة مفيدة؟
يُلزم الإطار الأمني لساما — تحديداً في المجال 3.3 الخاص بإدارة الأطراف الثالثة — البنوكَ السعوديةَ بتطبيق برنامج منظم لإدارة مخاطر الموردين يغطي دورة حياتهم الكاملة من الانضمام حتى إنهاء التعاقد.
**أبرز المتطلبات:**
1. **تصنيف المخاطر**: تُقسَّم الجهات الخارجية إلى ثلاث فئات بحسب الأهمية — الفئة الأولى تشمل الموردين الحيويين كمزودي الأنظمة المصرفية الأساسية، والفئة الثانية من لديهم وصول معتبر، والفئة الثالثة ذوو التأثير المحدود. ويشترط الإطار بموجب الضابط 3.3.2 إجراء العناية الواجبة قبل التعاقد.
2. **الضوابط التعاقدية**: يجب أن تتضمن العقود التزامات أمنية واضحة، وحق التدقيق، وبنوداً لإخطار ساما بالحوادث خلال 72 ساعة وفق الضابط 3.3.5، إضافة إلى اشتراطات حماية البيانات المتوافقة مع المادة الخامسة من نظام حماية البيانات الشخصية.
3. **المتابعة المستمرة**: إجراء تقييمات أمنية سنوية للموردين من الفئة الأولى، تشمل مراجعة شهادة آيزو 27001 أو تقارير SOC 2، أو استبيان معياري مبني على ضوابط هيئة الأمن السيبراني.
4. **الحوسبة السحابية والاستعانة بمصادر خارجية**: تطبيق ضوابط الأمن السحابي الصادرة عن الهيئة الوطنية للأمن السيبراني (CCC-1 إلى CCC-4)، وضمان بقاء البيانات الحساسة ضمن الجهات القضائية المعتمدة.
5. **إنهاء التعاقد**: توثيق إجراءات إلغاء الوصول وحذف البيانات بشكل آمن وفق الضابط 3.3.8.
**نصيحة عملية**: احتفظ بسجل مركزي للأطراف الثالثة يتضمن درجات المخاطر ومواعيد التقييم وحالة الالتزام التعاقدي، لأن هذا السجل يُراجع بانتظام خلال الفحوصات الرقابية لساما.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الخارجية من أبرز المتطلبات التنظيمية التي تفرضها كل من هيئة ساما في المحور الرابع من إطارها للأمن السيبراني، وهيئة الاتصالات الوطنية في المادة 3-5 من معايير ECC. إليك كيفية بناء برنامج متوافق وفعّال:
**أولاً: تصنيف الموردين وتحديد مستوى المخاطر**
صنّف الموردين بناءً على طبيعة البيانات التي يصلون إليها ومدى أهميتهم التشغيلية. يُلزم ضابط التحكم 4.3 في إطار SAMA CSF بوجود منهجية رسمية واضحة لهذا التصنيف.
**ثانياً: العناية الواجبة قبل التعاقد**
أجرِ تقييمات أمنية شاملة قبل إتمام أي عقد، تشمل مراجعة شهادات ISO 27001 وتقارير SOC 2 واستبيانات الأمن. تحقق من حصول موردي الخدمات السحابية على موافقة هيئة الاتصالات الوطنية عند الاقتضاء.
**ثالثاً: الاشتراطات الأمنية في العقود**
أدرج بنوداً تغطي آليات التعامل مع البيانات، وإشعار الخروقات في غضون 72 ساعة وفق نظام PDPL، وحق التدقيق، والحد الأدنى من الضوابط الأمنية.
**رابعاً: المراقبة المستمرة**
يُوجب ضابط التحكم 4.5 متابعة الموردين باستمرار لا مرة واحدة فقط. استخدم أدوات تقييم مستمرة وأعِد التقييم سنوياً على الأقل للموردين الحيويين.
**خامساً: إجراءات إنهاء العقود**
وثّق آليات استرداد البيانات وحذفها بشكل آمن عند انتهاء العلاقة التعاقدية لضمان عدم بقاء أي بيانات معرّضة للخطر.
**سادساً: مخاطر التركّز**
تتوقع ساما أن يُدرك مجلس الإدارة مخاطر الاعتماد المفرط على مورد واحد لوظائف جوهرية متعددة.
منصة CISO Consulting تُمكّنك من أتمتة تقييم مخاطر الموردين وربط النتائج مباشرةً بضوابط SAMA CSF.
هل كانت الإجابة مفيدة؟
إدارة مخاطر الأطراف الثالثة ليست مجرد متطلب تنظيمي، بل هي ضرورة استراتيجية لأي بنك أو مؤسسة مالية سعودية. يُلزم إطار SAMA CSF في المجال 3.3 المؤسساتِ بإنشاء برنامج متكامل لإدارة مخاطر الموردين يشمل دورة حياة العلاقة كاملةً.
**قبل التعاقد:** يجب تصنيف كل مورد وفق مستوى المخاطرة — حرج، مرتفع، متوسط، أو منخفض — بناءً على طبيعة البيانات التي يصل إليها وحجم تأثيره التشغيلي، وذلك وفق متطلب SAMA CSF 3.3.1.
**ضمانات تعاقدية:** يجب أن تتضمن العقود مع الموردين بنوداً صريحة تتعلق بحماية البيانات، وإشعار الحوادث خلال 72 ساعة، وحق التدقيق، والالتزام بنظام PDPL حين تكون البيانات الشخصية مشمولة.
**المراقبة المستمرة:** يشترط SAMA CSF في المتطلب 3.3.3 إعادة تقييم الموردين دورياً، وللموردين الحرجين يُنصح بإجراء ذلك سنوياً على الأقل، مع مراجعة شهادات ISO 27001 ونتائج اختبارات الاختراق.
**الخروج الآمن:** يجب تحديد آليات واضحة لإعادة البيانات أو إتلافها عند إنهاء التعاقد، وذلك وفق المادة 2-14 من NCA ECC.
**نصيحة عملية:** استخدم منصة GRC لأتمتة سير عمل التقييم وتتبع جداول المعالجة وإنتاج تقارير جاهزة للفحص الرقابي من فرق SAMA.
هل كانت الإجابة مفيدة؟
التوعية بالأمن السيبراني ليست ترفاً تنظيمياً، بل ركيزة أساسية يتحقق منها المدققون في كل فحص رقابي. بناء برنامج ناجح يتجاوز الفيديوهات السنوية المعتادة ويتحول إلى ثقافة مؤسسية حقيقية.
**الأساس التنظيمي:**
- يشترط SAMA CSF في المتطلب 3.2.1 وجود برنامج توعية وتدريب رسمي مصمم وفق أدوار الموظفين.
- تُلزم المادة 2-7 من NCA ECC بإجراء حملات توعية دورية تغطي التصيد الاحتيالي والهندسة الاجتماعية وسياسات الاستخدام المقبول.
**عناصر البرنامج الاحترافي:**
1. **تدريب مخصص حسب الدور:** المديرون التنفيذيون يحتاجون جلسات حوكمة المخاطر السيبرانية، وفرق تقنية المعلومات تحتاج تدريباً تقنياً متعمقاً، والموظفون العامون يحتاجون تدريباً على التصيد والهندسة الاجتماعية.
2. **الدورية:** تشترط SAMA تدريباً إلزامياً سنوياً على الأقل مع توثيق سجلات الإتمام. للمستخدمين ذوي الصلاحيات العالية، يُنصح بتدريب ربع سنوي.
3. **محاكاة التصيد:** أجرِ حملات محاكاة شهرية أو ربع سنوية، وتتبع معدلات النقر والإبلاغ، واحتفظ بنتائجها كدليل جاهز لفرق SAMA.
4. **استقبال الموظفين الجدد:** يجب دمج التوعية في برامج الاستقبال خلال أول 30 يوماً من التوظيف.
5. **مؤشرات الأداء:** قدّم تقارير ربع سنوية للمسؤول الأمني ومجلس الإدارة تشمل معدلات إتمام التدريب ونتائج المحاكاة.
6. **توعية نظام PDPL:** خصص وحدات تدريبية لآليات التعامل مع البيانات الشخصية والإبلاغ عن الاختراقات، إذ يُرتّب النظام مسؤولية شخصية على الموظفين في بعض الحالات.
وثّق كل شيء — فسجلات التدريب وتقارير محاكاة التصيد هي من أولى الوثائق المطلوبة خلال فحوصات SAMA الرقابية.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات الرقابية التي يفرضها إطار عمل الأمن السيبراني الصادر عن مؤسسة النقد العربي السعودي (ساما)، ولا سيما الضوابط من 3.3.1 إلى 3.3.5 ضمن مجال إدارة مخاطر الأمن السيبراني.
للامتثال الفعلي لهذه المتطلبات، ينبغي للبنوك السعودية اتباع المنهجية التالية:
**أولاً: تصنيف الموردين** — قسّم الموردين إلى ثلاث فئات حسب درجة المخاطر: حرجة (وصول مباشر للأنظمة)، ومتوسطة، ومنخفضة، وفق ما يستوجبه الضابط 3.3.2.
**ثانياً: العناية الواجبة قبل التعاقد** — أجرِ تقييماً أمنياً شاملاً قبل إبرام أي عقد، يشمل مراجعة شهادات ISO 27001 أو تقارير SOC 2.
**ثالثاً: الضوابط التعاقدية** — تضمّن العقود بنوداً تُلزم المورد بإخطارك بالحوادث خلال 72 ساعة، وتمنحك حق التدقيق، وتحدد آليات معالجة البيانات وفق المادة 19 من نظام حماية البيانات الشخصية.
**رابعاً: المتابعة المستمرة** — لا يكتفي إطار ساما بالتقييم المرحلي، بل يستوجب رقابة دورية: سنوية للموردين الحرجين، ونصف سنوية للفئة المتوسطة.
**خامساً: مخاطر الأطراف الرابعة** — حدّد مزودي الخدمات الفرعيين للموردين الحرجين، خاصةً مزودي السحابة وأنظمة الدفع.
**سادساً: إجراءات إنهاء التعاقد** — وثّق خطط الخروج لسحب الصلاحيات واسترداد البيانات أو إتلافها عند انتهاء العلاقة.
تجدر الإشارة إلى أن المادة 2-14 من هيئة الأمن السيبراني الوطني (NCA ECC) تعزز هذه الالتزامات، وأن القصور في هذا المجال يُعدّ من أكثر المخالفات شيوعاً في فحوصات ساما الرقابية.
هل كانت الإجابة مفيدة؟
التوعية الأمنية ليست خياراً بل التزام تنظيمي صريح مُدرج في النطاق 3.2 من SAMA CSF الخاص بأمن الموارد البشرية، فضلاً عن كونه ضابطاً داعماً بموجب المادة 4 من NCA ECC.
**متطلبات SAMA CSF:**
- يُلزم **الضبط 3.2.1** المؤسسات بتطبيق برنامج توعوي يشمل جميع الموظفين والمتعاقدين وأصحاب الصلاحيات الموسعة.
- يجب أن يكون التدريب مُصمَّماً حسب الدور الوظيفي: توعية عامة بالتصيد الاحتيالي للموظفين العاديين، ومحتوى تقني متقدم للفرق الأمنية وتقنية المعلومات.
- يُشترط إتمام الموظفين الجدد للتدريب التأسيسي قبل منحهم الصلاحيات أو فور الانضمام مباشرة.
- التدريب السنوي التحديثي إلزامي مع الاحتفاظ بسجلاته لأغراض التدقيق.
**مقومات البرنامج الفعّال:**
1. **محاكاة التصيد الاحتيالي:** تنفيذ حملات محاكاة شهرية أو ربع سنوية وقياس مؤشرات التحسن.
2. **وحدات تدريبية مخصصة:** تصميم محتوى مناسب لكل فئة — الإدارة التنفيذية، والموظفين في الواجهة الأمامية، والمطورين.
3. **محتوى عربي أولاً:** تقديم مواد التدريب باللغة العربية لضمان الفهم الكامل لجميع الموظفين.
4. **المقاييس والتقارير:** تتبع معدلات الإتمام ونتائج محاكاة التصيد وتقديم تقارير ربع سنوية للمدير التنفيذي للأمن وسنوية لمجلس الإدارة.
5. **سيناريوهات محلية:** تضمين سيناريوهات سعودية كالتعامل مع بيانات PDPL والتزامات الإبلاغ لمؤسسة النقد وهيئة الأمن السيبراني.
**نصيحة تدقيقية:** يطلب مدققو مؤسسة النقد عادةً سجلات إتمام التدريب وتقارير محاكاة التصيد وأدلة على إحاطات مجلس الإدارة بشأن الأمن السيبراني — احرص على الاحتفاظ بهذه الوثائق بدقة لإثبات نضج ثقافتك الأمنية.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التي تفرضها الجهات التنظيمية على المؤسسات المالية في المملكة العربية السعودية. فبموجب النطاق الرابع من إطار عمل مؤسسة النقد العربي السعودي (SAMA CSF)، يتعين على البنوك بناء برنامج رسمي لإدارة مخاطر الموردين يشمل التقييم المسبق، والاشتراطات التعاقدية، والمراقبة المستمرة.
**أبرز متطلبات التطبيق:**
**أولاً - تصنيف الموردين والتحقق منهم:** ينبغي تصنيف الموردين وفق مستوى حساسية البيانات التي يتعاملون معها، مع إجراء تقييم أمني شامل قبل التعاقد معهم، يتضمن التحقق من حصولهم على شهادة ISO 27001.
**ثانياً - الاشتراطات التعاقدية:** يجب أن تتضمن العقود مع الموردين بنوداً صريحة تغطي حماية البيانات الشخصية وفق المادة 29 من نظام حماية البيانات الشخصية (PDPL)، وحق التدقيق، والتزامات الإشعار الفوري بالحوادث خلال 72 ساعة.
**ثالثاً - المراجعة الدورية:** يشترط إطار SAMA CSF إعادة تقييم الموردين الحيويين بصفة دورية لا تقل عن مرة سنوياً، مع مراجعة تقارير SOC 2 وتتبع أي تغييرات تنظيمية قد تؤثر عليهم.
**رابعاً - الحوسبة السحابية والخدمات الرقمية:** يجب التحقق من امتثال مزودي الخدمات السحابية لضوابط الحوسبة السحابية الصادرة عن هيئة الأمن السيبراني (NCA CCC)، والتأكد من أن البيانات المالية الحساسة مخزّنة داخل المملكة.
**خامساً - إنهاء التعاقد:** يجب الحرص على تطبيق التزامات إعادة البيانات أو إتلافها فور انتهاء العلاقة مع أي مورد.
توفر منصتنا وحدة متكاملة لإدارة مخاطر الأطراف الثالثة مع استبيانات جاهزة ومعيّنة على متطلبات SAMA وNCA وPDPL، مما يُمكّن مسؤولي الامتثال من تتبع تقييمات الموردين وأتمتة جداول المراجعة وإصدار تقارير قابلة للتدقيق.
هل كانت الإجابة مفيدة؟
إدارة مخاطر الأطراف الثالثة تمثل ركيزة أساسية في منظومة الامتثال للمؤسسات المالية السعودية. بموجب الضابط 3.3 من إطار الأمن السيبراني لساما، يتعين على البنوك بناء برنامج رسمي لإدارة مخاطر الموردين يصنّف الجهات الخارجية وفق مستوى حساسية البيانات التي تصل إليها وأهمية الخدمات التي تقدمها.
**أبرز خطوات التطبيق العملي:**
**أولاً – تصنيف الموردين والعناية الواجبة:** صنّف مزودي الخدمات إلى حرجين وذوي أهمية وعاديين، وأجرِ تقييمات أمنية شاملة قبل التعاقد، تشمل مراجعة شهادات SOC 2 Type II وISO 27001.
**ثانياً – الالتزامات التعاقدية:** احرص على تضمين عقود الموردين بنوداً صريحة تتعلق بحماية البيانات وفق المادة 21 من نظام حماية البيانات الشخصية، ومتطلبات الإبلاغ عن الحوادث خلال 72 ساعة.
**ثالثاً – المراقبة المستمرة:** استخدم أدوات آلية لرصد الوضع الأمني للموردين بصفة دورية، انسجاماً مع المادة 3-4 من معايير الأمن السيبراني الوطنية.
**رابعاً – مخاطر التركز:** تجنب الاعتماد المفرط على مورد واحد لا سيما في الخدمات الحيوية، وضع خطط بديلة واضحة لضمان استمرارية العمل.
**خامساً – إشراك المقاولين من الباطن:** تأكد من إفصاح الموردين الرئيسيين عن مقاوليهم الفرعيين وسيطرتهم عليهم.
على الصعيد العملي، احتفظ بسجل موحد لمخاطر الموردين، وأجرِ إعادة تقييم سنوية للموردين الحرجين، وأدرج نتائج هذه التقييمات في التقارير الربعية المرفوعة للمجلس وفق متطلبات حوكمة ساما. يمكن لمنصة GRC المتخصصة أتمتة استبيانات الموردين وتتبع خطط المعالجة وإنتاج أدلة جاهزة لفحوصات ساما.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التي يفرضها إطار SAMA CSF، تحديداً في المجال الرابع المتعلق بالأمن السيبراني للأطراف الثالثة. وتلزم هذه المتطلبات المؤسسات المالية السعودية ببناء برنامج متكامل لإدارة مخاطر الموردين على مدار دورة حياة العلاقة معهم بالكامل.
**أبرز المتطلبات:**
- **العناية الواجبة قبل التعاقد (SAMA CSF 4.1):** إجراء تقييم للمخاطر السيبرانية قبل إبرام أي عقد مع طرف ثالث يملك وصولاً إلى الأنظمة أو البيانات الحساسة، مع مراجعة شهادات ISO 27001 وتقارير SOC 2 ومدى التوافق مع NCA ECC.
- **الاشتراطات التعاقدية (SAMA CSF 4.2):** يجب أن تتضمن جميع العقود بنوداً سيبرانية صريحة تشمل آليات التعامل مع البيانات، ومواعيد الإبلاغ عن الحوادث، وحق التدقيق، والامتثال لمتطلبات نظام PDPL.
- **المراقبة المستمرة (SAMA CSF 4.3):** استخدام أدوات تقييم المخاطر ومنصات التصنيف الأمني لمتابعة الموردين الحيويين بشكل دوري، لا يقل عن مرة سنوياً للموردين من الفئة الأولى.
**خطوات عملية موصى بها:**
1. تصنيف الموردين حسب درجة الأهمية (فئة 1 إلى 3) بناءً على مستوى الوصول والأثر التشغيلي.
2. إعداد استبيان أمني موحد يعكس متطلبات SAMA CSF وضوابط NCA ECC.
3. دمج حوادث الأطراف الثالثة ضمن خطط الاستجابة للحوادث.
4. الاحتفاظ بسجل حي لمخاطر الموردين يُراجَع ربع سنوياً بإشراف مباشر من CISO.
الإخفاق في الامتثال لهذه المتطلبات قد يُفضي إلى ملاحظات رقابية خلال فحوصات SAMA وتداعيات على السمعة المؤسسية.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات الرقابية التي تواجهها المؤسسات المالية السعودية. فبموجب المتطلب 3.3 من إطار SAMA CSF، يتعين على البنوك وضع برنامج رسمي لإدارة مخاطر الموردين يشمل ثلاثة محاور رئيسية: التحقق الدقيق قبل التعاقد، وتضمين متطلبات الأمن في العقود، والرصد المستمر طوال فترة العلاقة.
**أبرز الخطوات التطبيقية:**
**أولاً - تصنيف الموردين:** قسّم الموردين إلى ثلاث فئات: الفئة الأولى (الأنظمة الحيوية والجوهرية)، والفئة الثانية (الخدمات المهمة)، والفئة الثالثة (المخاطر المنخفضة)، مع تطبيق ضوابط متناسبة مع كل فئة.
**ثانياً - التقييم المسبق:** اشترط على الموردين استيفاء استبيانات أمنية تتوافق مع ضوابط المرفق (أ) من معيار ISO 27001، إضافةً إلى المادة 2-14 من معايير NCA ECC التي تُلزم بأن تلتزم الخدمات المُستعان بمصادرها الخارجية بمعايير أمنية مكافئة.
**ثالثاً - الاشتراطات التعاقدية:** يجب أن تتضمن العقود بنوداً واضحة تشمل الإبلاغ عن الحوادث خلال 24 ساعة، وحق التدقيق، وأحكام معالجة البيانات وإجراءات الخروج.
**رابعاً - المراقبة المستمرة:** أجرِ إعادة تقييم سنوية للموردين من الفئة الأولى، واستعن بأدوات التقييم الأمني الآلي للرصد الفوري.
**خامساً - الحوسبة السحابية:** للموردين السحابيين، تأكد من الالتزام بإطار الحوسبة السحابية الصادر عن ساما، بما يشمل متطلبات الاحتفاظ بالبيانات الحساسة داخل المملكة.
عملياً، يُنصح بإنشاء سجل مركزي لمخاطر الموردين وربطه بتقارير المخاطر المرفوعة إلى مجلس الإدارة، إذ يُعدّ هذا الملف من أكثر الملاحظات تكراراً في الفحوصات الرقابية لبنك ساما.
هل كانت الإجابة مفيدة؟
يُعدّ برنامج التوعية بالأمن السيبراني التزاماً تنظيمياً صريحاً لا مجرد ممارسة اختيارية، إذ تُلزم كلٌّ من SAMA CSF وNCA ECC شركات الفنتك والمؤسسات المالية بتطبيق برامج توعية رسمية ومستمرة تشمل جميع الموظفين.
**المتطلبات التنظيمية:**
- **المتطلب 3.2 من SAMA CSF:** يستوجب تصميم برامج توعية تغطي موضوعات التصيد الاحتيالي، والهندسة الاجتماعية، وسياسات الاستخدام المقبول، وإجراءات الإبلاغ عن الحوادث — على أن تكون مبنية على أساس الأدوار، وتُنفَّذ سنوياً على الأقل، مع إدراج تدريب تعريفي للموظفين الجدد.
- **المادة 2-5 من NCA ECC:** تُلزم المنظمات بتطبيق برامج التوعية والتدريب السيبراني، والاحتفاظ بسجلات التدريب، والتأكد من استيعاب الموظفين لمسؤولياتهم الأمنية.
**بناء برنامج توعية فعّال:**
**أولاً - مسارات تدريبية متخصصة:** طوّر وحدات تدريبية مستقلة للموظفين العامين، والفرق التقنية، ومستخدمي الصلاحيات المميزة، والمديرين التنفيذيين، والمطورين — لكل فئة تهديداتها الخاصة.
**ثانياً - محاكاة هجمات التصيد:** نفّذ حملات محاكاة شهرية أو ربع سنوية، وتتبع معدلات النقر، وصمّم تدريبات مكثفة للمستخدمين الأكثر عرضةً للوقوع ضحية — وهي بيانات يطلبها المُفتشون الرقابيون عادةً خلال المراجعات الميدانية.
**ثالثاً - محاور المحتوى التدريبي:** يشمل البرنامج: إدارة كلمات المرور، ومعالجة البيانات وفق متطلبات نظام PDPL، والتعرف على أساليب الهندسة الاجتماعية، وأمن الأجهزة المحمولة، والتوعية بمخاطر التهديدات الداخلية.
**رابعاً - المؤشرات والتقارير:** استهدف معدل إتمام 95% فأعلى، ومعدل إخفاق في محاكاة التصيد لا يتجاوز 5%، مع رفع تقارير ربع سنوية للمسؤول عن الأمن السيبراني (CISO) وتقرير سنوي لمجلس الإدارة.
**خامساً - التوثيق:** احتفظ بسجلات التدريب لمدة لا تقل عن 3 سنوات لدعم متطلبات المراجعة الرقابية من ساما والهيئة الوطنية للأمن السيبراني.
دمج برنامج التوعية ضمن استراتيجية شاملة لإدارة المخاطر البشرية — بدلاً من اعتباره مجرد إجراء روتيني للامتثال — يُقلّل بشكل ملموس من احتمالية نجاح هجمات الهندسة الاجتماعية ضد مؤسستك.
هل كانت الإجابة مفيدة؟
إدارة مخاطر الطرف الثالث من المتطلبات الجوهرية التي تُولي لها ساما وهيئة الاتصالات الوطنية اهتماماً بالغاً، وإليك كيفية بناء برنامج فعّال ومتوافق:
**أولاً: تصنيف الموردين وتقييمهم:** صنّف جميع الأطراف الثالثة وفق مستوى مخاطرها (حرجة، عالية، متوسطة، منخفضة) بناءً على طبيعة البيانات التي يصلون إليها ومدى تكاملهم مع الأنظمة الداخلية. يستوجب نظام ساما للأمن السيبراني إجراء عناية واجبة رسمية قبل تأهيل أي مورد.
**ثانياً: الالتزامات التعاقدية:** احرص على تضمين عقود الموردين بنوداً تشمل آليات التعامل مع البيانات، وإشعار الحوادث خلال 72 ساعة وفق المادة 27 من نظام حماية البيانات الشخصية، وحق التدقيق، والالتزام بمتطلبات هيئة الاتصالات الوطنية.
**ثالثاً: المراقبة المستمرة:** لا يكفي التقييم مرة واحدة عند التعاقد، بل يجب وضع آلية للمراجعة الدورية بحسب درجة مخاطرة كل مورد، مع تقييمات أمنية سنوية للموردين الحرجين.
**رابعاً: مخاطر الطرف الرابع:** رسّم خريطة للمقاولين من الباطن لدى موردّيك لاكتشاف مخاطر التركّز الخفية، خاصةً في قطاعي الحوسبة السحابية ومعالجة المدفوعات.
**خامساً: التنسيق في الاستجابة للحوادث:** أنشئ إجراءات مشتركة مع الموردين الحرجين للتعامل مع الحوادث الأمنية بما يتسق مع خطة الاستجابة الداخلية لمؤسستك.
**نصيحة عملية:** احتفظ بسجل مركزي محدّث للموردين مع نظام تقييم آلي للمخاطر، إذ باتت الجهات الرقابية تفحص وثائق إدارة مخاطر الطرف الثالث بشكل دقيق خلال الزيارات التفتيشية.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التي تُركّز عليها الجهات الرقابية في المملكة العربية السعودية، ولا سيما في ظل تنامي الاعتماد على الموردين الخارجيين ومزودي الخدمات السحابية.
بموجب الضابط 3.3 من إطار SAMA CSF الخاص بإدارة الأطراف الثالثة، يتعين على المؤسسات المالية بناء برنامج متكامل لإدارة مخاطر الموردين يغطي دورة حياة العلاقة كاملةً من التعاقد حتى إنهاء الخدمة.
**أبرز المتطلبات العملية:**
**أولاً - التقييم المسبق:** قبل التعاقد مع أي مورد، يجب إجراء تقييم شامل للمخاطر السيبرانية وتصنيف المورد وفق درجة حساسيته (مثلاً: الفئة الأولى لموردي أنظمة الصيرفة الأساسية).
**ثانياً - البنود التعاقدية الأمنية:** ينبغي أن تتضمن العقود شروطاً واضحة تشمل حماية البيانات، ومتطلبات الإبلاغ عن الحوادث خلال 24-72 ساعة، وحق التدقيق، والامتثال لنظام حماية البيانات الشخصية (PDPL) عند مشاركة بيانات العملاء.
**ثالثاً - المراقبة المستمرة:** تستوجب المادة 2-12 من معايير NCA ECC مراجعة دورية لمخاطر الموردين، ويُنصح بإجراء تقييمات ربع سنوية أو سنوية بحسب درجة خطورة المورد.
**رابعاً - الموردون السحابيون:** يجب التحقق من امتثال مزودي الخدمات السحابية لضوابط NCA CCC، وضمان تخزين بيانات العملاء داخل المملكة وفق اشتراطات الإقامة الرقمية للبيانات.
**خامساً - خطط التصعيد:** ينبغي تحديد مسارات واضحة لإدارة الحوادث التي يتسبب فيها مورد خارجي، بما يتوافق مع خطة الاستجابة للحوادث المعتمدة لدى المؤسسة.
تُعدّ قاعدة بيانات مخاطر الموردين المركزية من الأدوات الجوهرية التي يراجعها المسؤول الأمني (CISO) بصفة منتظمة، وقد كشفت فحوصات SAMA أن إهمال هذا الجانب يُمثّل من أكثر الثغرات شيوعاً لدى المؤسسات المالية.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز الالتزامات التنظيمية التي تواجهها المؤسسات المالية السعودية. فبموجب المتطلب 3.3 من إطار SAMA CSF الخاص بإدارة الأطراف الثالثة، يتعين على البنوك بناء برنامج رسمي وشامل لإدارة مخاطر الموردين، يغطي دورة حياة العلاقة مع المورد بالكامل — من التأهيل والفحص المسبق، مروراً بإدارة العقود، وصولاً إلى إنهاء التعاقد.
**أبرز المتطلبات العملية:**
**1. تصنيف الموردين وفق المخاطر:** قسّم الموردين إلى مستويات (1 إلى 3) بناءً على درجة وصولهم للبيانات، وعمق تكاملهم مع الأنظمة، وأهمية الخدمات التي يقدمونها. الموردون من المستوى الأول كمزودي البنية التحتية الحيوية يستلزمون مراجعة أكثر صرامة.
**2. العناية الواجبة قبل التعاقد:** قبل إتمام أي تعاقد، قيّم الوضع الأمني للمورد عبر استبيانات معيارية تتوافق مع ضوابط NCA ECC، واطلب الاطلاع على شهادات معترف بها كـ ISO 27001 أو SOC 2.
**3. الاشتراطات الأمنية في العقود:** وفقاً للمتطلب 3.3.2 من SAMA CSF، يجب أن تتضمن العقود بنوداً صريحة تشمل: حماية البيانات، والإبلاغ عن الحوادث خلال 72 ساعة، وحق التدقيق، والالتزام بالتشريعات السعودية بما فيها نظام حماية البيانات الشخصية (PDPL).
**4. المتابعة والمراقبة المستمرة:** أجرِ تقييمات أمنية سنوية للموردين الحيويين، ومراجعات دورية للمستويات الأدنى. وتُركّز المادة 2-6 من NCA ECC على مراقبة مخاطر سلسلة التوريد بصورة مستمرة.
**5. موردو الخدمات السحابية:** تحقق من امتثال مزودي الخدمات السحابية لضوابط الأمن السيبراني للحوسبة السحابية الصادرة عن هيئة الاتصالات وتقنية المعلومات (NCA CCC)، وتأكد من الالتزام باشتراطات الإقامة الجغرافية للبيانات داخل المملكة عند الاقتضاء.
**6. إجراءات إنهاء التعاقد:** اشترط في العقود توثيق آليات استرداد البيانات أو إتلافها عند انتهاء العلاقة مع المورد.
على الصعيد العملي، يُنصح باستخدام منصة GRC مركزية لإنشاء سجل شامل لإدارة مخاطر الأطراف الثالثة، يضم التقييمات ودرجات المخاطر وخطط العلاج، مما يُوفّر توثيقاً جاهزاً لعمليات التفتيش الرقابية من SAMA وهيئة الأمن السيبراني الوطنية.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التي يُركز عليها كل من إطار SAMA CSF في المجال 3.3 ومتطلبات هيئة الاتصالات الوطنية في المادة ECC-1: 2-7. فالمؤسسة المالية لا تستطيع أن تتجاهل المخاطر التي يُشكّلها مزودو الخدمات والموردون الذين يتعاملون مع بياناتها أو أنظمتها.
**أبرز الخطوات العملية:**
1. **تصنيف الموردين:** قسّم الموردين إلى فئات بناءً على حساسية البيانات التي يصلون إليها ومدى ارتباطهم بالخدمات الحيوية. الموردون من الفئة الأولى الذين يملكون وصولاً مباشرًا للأنظمة يستوجبون مستوى أعلى من الرقابة.
2. **التحقق قبل التعاقد:** أجرِ تقييمًا أمنيًا للمورد قبل التعاقد معه، مع طلب شهادة ISO 27001 أو ما يعادلها للموردين الحيويين.
3. **البنود التعاقدية (وفق SAMA CSF 3.3.5):** يجب أن تتضمن العقود بنودًا صريحة تشمل: حماية البيانات، وحق التدقيق، والإبلاغ عن الحوادث خلال 72 ساعة، والالتزام بنظام حماية البيانات الشخصية عند مشاركة البيانات.
4. **المتابعة الدورية:** نفّذ تقييمات أمنية سنوية للموردين من الفئة الأولى، وراقب التهديدات المرتبطة بسلاسل التوريد.
5. **متطلبات هيئة الاتصالات الوطنية:** تشترط المادة 2-7 أن تحافظ الخدمات المُستعان بمصادر خارجية لتقديمها على مستوى أمني مكافئ لمستوى المؤسسة ذاتها، وهذا يجب توثيقه رسميًا.
نقطة البداية المثلى هي إنشاء سجل لمخاطر الموردين يُتابع حالة كل مورد وتاريخ آخر تقييم والثغرات المكتشفة وخطط المعالجة، على أن يُراجَع ربع سنويًا.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التي يُركّز عليها إطار SAMA CSF، لا سيما ضمن النطاق الثالث المتعلق بإدارة مخاطر الأمن السيبراني، وتحديداً الضوابط من 3.3.1 إلى 3.3.5. وتُلزم هذه الضوابط المؤسسات المالية بتقييم علاقاتها مع الأطراف الخارجية والإشراف عليها بصورة منهجية وموثّقة.
لبناء برنامج متوافق وفعّال، يُنصح باتباع المنهجية التالية:
**أولاً – تصنيف الموردين وتحديد مستوى المخاطر:** صنّف الموردين بحسب طبيعة وصولهم إلى البيانات وأنظمة المؤسسة، وحدّد الموردين من الفئة الأولى (كمزوّدي الأنظمة المصرفية الأساسية ومنصات الحوسبة السحابية) الذين يستوجبون تدقيقاً معمّقاً.
**ثانياً – العناية الواجبة قبل التعاقد:** أجرِ تقييماً أمنياً شاملاً قبل إبرام أي عقد، يشمل مراجعة شهادات ISO 27001 وتقارير SOC 2 واستبيانات الأمن المستندة إلى ضوابط NCA ECC.
**ثالثاً – الحماية التعاقدية:** وفقاً للضابط 3.3.3 من SAMA CSF، يجب أن تتضمّن العقود بنوداً صريحة بشأن التعامل مع البيانات، ومهل الإخطار عن الاختراقات (بما يتوافق مع المادة 19 من نظام PDPL التي تُحدّد 72 ساعة)، وحقوق التدقيق، وآليات إنهاء التعاقد.
**رابعاً – المراقبة المستمرة:** راقب الموردين الجوهريين بصفة دورية باستخدام أدوات تقييم الأمن ومنصات استخبارات التهديدات، مع إجراء تقييم شامل على الأقل مرة سنوياً للموردين من الفئة الأولى.
**خامساً – إدارة مخاطر التركّز:** نبّه SAMA صراحةً إلى خطورة الاعتماد على مورد واحد في خدمات حيوية متعددة.
على المستوى التطبيقي، ينبغي للبنوك الاحتفاظ بسجل موحّد للموردين ضمن منصة GRC، مع توثيق كامل يصمد أمام فحوصات SAMA الرقابية.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من المتطلبات الجوهرية التي يفرضها كلٌّ من إطار SAMA CSF (النطاق 4.3) ومتطلبات الأمن السيبراني للجهات الحكومية NCA ECC-2. ولبناء برنامج فعّال، يجب على المؤسسات المالية اتباع منهجية متكاملة تشمل المراحل التالية:
**أولاً: تصنيف الموردين:** يُصنَّف الموردون إلى ثلاث فئات حسب الأهمية — الفئة الأولى (الأنظمة الحرجة كالأنظمة المصرفية الأساسية)، والفئة الثانية (الموردون ذوو الأهمية المتوسطة)، والفئة الثالثة (المخاطر المنخفضة). ويستلزم الضبط 4.3.2 من SAMA CSF إجراء العناية الواجبة الأمنية قبل إبرام أي عقد مع موردي الفئة الأولى.
**ثانياً: الاشتراطات التعاقدية:** يجب أن تتضمن العقود بنوداً واضحة تتعلق بحماية البيانات وفق المادة 21 من نظام PDPL، ومدد الإبلاغ عن الحوادث (72 ساعة على الأكثر)، وحق التدقيق، والالتزام بالأنظمة السعودية المعمول بها.
**ثالثاً: المتابعة الدورية:** تُجرى تقييمات أمنية سنوية لموردي الفئة الأولى على الأقل، مع مراجعة صلاحيات الوصول بصفة منتظمة كما توصي NCA ECC.
**رابعاً: مخاطر التركّز:** تُنبّه هيئة SAMA على خطورة الاعتماد المفرط على مورد واحد، لذا يجب توثيق خطط بديلة وترتيبات طوارئ مناسبة.
**خامساً: إنهاء التعاقد:** يستوجب إلغاء جميع الصلاحيات، وضمان الحذف الآمن للبيانات وفق متطلبات الاحتفاظ في نظام PDPL.
**نصيحة عملية:** أنشئ سجلاً مركزياً للموردين يتضمن تقييمات المخاطر وتواريخ المراجعات وانتهاء العقود، واستخدم منصة GRC لأتمتة التنبيهات وضمان الجاهزية لفحوصات هيئة SAMA.
هل كانت الإجابة مفيدة؟
يشترط إطار الأمن السيبراني لساما في نطاقه الثالث (العمليات والتقنية الأمنية)، ولا سيما ضوابط التحكم من 3.3.1 إلى 3.3.5، أن تمتلك المؤسسات المالية خطة موثقة للاستجابة للحوادث، وأن تختبرها دورياً. يُنصح بإجراء تمارين محاكاة مرة على الأقل سنوياً، وكل ستة أشهر للمؤسسات الحيوية.
**الخطوة الأولى – تحديد النطاق والسيناريو**
اختر سيناريو واقعياً وملائماً لبيئتك، كهجوم فدية على الأنظمة المصرفية الأساسية، أو عملية احتيال عبر البريد الإلكتروني تستهدف معاملات SWIFT، أو تسريب بيانات من الداخل. اربط السيناريو بالأصول الأكثر أهمية لمؤسستك.
**الخطوة الثانية – تشكيل الفريق المناسب**
أشرك فرق أمن المعلومات، والقانون، والامتثال، والاتصالات، والعمليات، والإدارة العليا. يُوصى بشدة بإشراك كبار المسؤولين التنفيذيين، إذ يستلزم إطار ساما توعية مجلس الإدارة بالحوادث الأمنية.
**الخطوة الثالثة – تصميم مسارات التمرين**
بنِ التمرين على سلسلة من القرارات الحرجة: تصنيف التنبيهات الأولية، وعتبات التصعيد، وإشعار ساما خلال 72 ساعة وفق ضابط 3.3.4، وكيفية التواصل مع العملاء.
**الخطوة الرابعة – محاكاة الإشعار التنظيمي**
تدرب على صياغة إشعار الحادثة الرسمي لساما، متضمناً: نوع الحادثة وتصنيفها، والأنظمة والبيانات المتأثرة، والإجراءات الاحتوائية المتخذة، والجدول الزمني المتوقع للتعافي.
**الخطوة الخامسة – توثيق الدروس المستفادة**
سجّل جميع الثغرات والتأخيرات في اتخاذ القرار وإشكاليات التواصل. ضع خطة معالجة محددة بأسماء المسؤولين ومواعيد الإنجاز، فمراقبو ساما يتحققون تحديداً من متابعة الدروس المستفادة وإغلاقها.
نصيحة: إن كانت مؤسستك تخضع لرقابة الهيئة الوطنية للأمن السيبراني أيضاً، ادمج متطلبات المادة 2-7 من ضوابط الأمن السيبراني الأساسية (ECC) الخاصة بإدارة الأزمات في تصميم تمرينك، لتحقيق امتثال الإطارين في وقت واحد.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF المؤسسات المالية السعودية بتبني برنامج متكامل لإدارة استمرارية الأعمال يشمل الأبعاد التقنية والأمنية معاً. وفيما يلي أبرز المتطلبات:
**1. إعداد خطط الاستمرارية والتعافي:** وفقاً للمتطلب 4.3 من SAMA CSF، يجب على المؤسسات وضع خطط موثقة لاستمرارية الأعمال (BCP) والتعافي من الكوارث (DRP)، على أن تشمل هذه الخطط سيناريوهات الاضطرابات الإلكترونية وليس الأعطال التقنية التقليدية فحسب.
**2. تحديد أهداف التعافي:** ينبغي تحديد أهداف وقت التعافي (RTO) ونقطة التعافي (RPO) للأنظمة الحيوية والتحقق منها بصفة منتظمة. وعادةً ما تستلزم أنظمة الخدمات المصرفية الأساسية تحقيق RTO لا يتجاوز أربع ساعات.
**3. الاختبار الدوري:** يشترط SAMA CSF إجراء اختبارات دورية للخطط مرة واحدة على الأقل سنوياً، تشمل التمارين التشاورية والاختبارات الفعلية الكاملة، مع توثيق النتائج ومعالجة الثغرات المكتشفة.
**4. التكامل مع خطة الاستجابة للحوادث:** يجب ربط خطة الاستمرارية بخطة الاستجابة للحوادث السيبرانية لضمان الانتقال السلس من مرحلة الاحتواء إلى استعادة الأعمال.
**5. الأطراف الخارجية:** يجب أن تشمل خطط الاستمرارية مزودي الخدمات الخارجيين الحيويين، مع وجود اتفاقيات مستوى خدمة (SLA) تدعم أهداف التعافي.
**6. الرقابة العليا:** يتعين الحصول على اعتماد مجلس الإدارة لسياسات استمرارية الأعمال، مع رفع تقارير دورية عن مستوى المرونة التشغيلية.
على الصعيد العملي، يُنصح بإجراء تحليل أثر الأعمال (BIA) سنوياً لإعادة تحديد الأولويات ورسم خريطة التبعيات. كما أن توافق الإطار مع معيار ISO 22301 إلى جانب SAMA CSF يوفر بنية متينة ومعترفاً بها دولياً.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أكثر المجالات التي تُركز عليها هيئة ساما خلال جلسات الفحص الرقابي، وتحتل مكانة بارزة في تقييمات الهيئة الوطنية للأمن السيبراني. ويرسي ضابط 3.3.14 من SAMA CSF والمادة 2-9 من NCA ECC توقعات واضحة في هذا الشأن. وبالنسبة لشركات الفنتك التي تعتمد اعتماداً كبيراً على مزودي الخدمات التقنية الخارجيين، إليك مكونات البرنامج الفعّال:
**جرد الموردين وتصنيفهم:** ابدأ ببناء قائمة شاملة بجميع الأطراف الثالثة التي تملك وصولاً إلى أنظمتك أو بياناتك أو عملياتك الحيوية، وصنّفها وفق مستوى الأهمية والحساسية. الموردون من الفئة الأولى — كمزودي البنية التحتية السحابية وبوابات الدفع — يستلزمون أعلى مستويات الرقابة.
**العناية الواجبة قبل التعاقد:** قبل إضافة أي مورد من الفئة الأولى أو الثانية، أجرِ مراجعة أمنية رسمية تشمل شهادات ISO 27001 وتقارير SOC 2 وشهادات الامتثال لمعايير NCA، مدعومةً بمصفوفات تقييم مُعيَّنة على ضوابط SAMA وNCA.
**الاشتراطات الأمنية في العقود:** يجب أن تتضمن جميع عقود الموردين بنوداً أمنية صريحة تغطي: حق التدقيق، والتزامات الإخطار بالحوادث خلال 72 ساعة وفق توجيهات ساما، وقيود معالجة البيانات والمعالجين الفرعيين، والامتثال لمتطلبات الإقامة البيانية بموجب نظام PDPL.
**المراقبة المستمرة:** لا يكفي تقييم الموردين مرة واحدة؛ بل تستلزم المخاطر إعادة تقييم سنوية للموردين من الفئة الأولى، ومراقبة مستمرة لسجلات الوصول والثغرات المرتبطة بهم.
**مخاطر التركيز:** تُنبّه ساما تحديداً إلى مخاطر الاعتماد على طرف ثالث واحد في دعم عدة وظائف حيوية، لذا يجب توثيق خطط طوارئ وبدائل للخروج من هذه الاعتمادية.
**التقارير الحوكمية:** يُستلزم تجميع نتائج TPRM في تقارير ربعية تُرفع إلى لجنة المخاطر، إثباتاً للحوكمة الفاعلة وفق متطلبات SAMA CSF تحت الضابط 3.1.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال (BCM) من المتطلبات الجوهرية في إطار SAMA CSF (المجال 3.3)، وتشمل عدة محاور رئيسية:
**1. تحليل أثر الأعمال (BIA):** يُلزم SAMA CSF في الضابط 3.3.2 بإجراء تحليل رسمي لتحديد العمليات الحيوية وتوقعات الانقطاع المقبولة (RTO/RPO)، مع توثيق الحد الأقصى للتوقف المسموح به (MTD) لكل عملية جوهرية.
**2. الحوكمة والسياسات:** يجب اعتماد سياسة استمرارية أعمال من مجلس الإدارة، مع تحديد مسؤوليات واضحة لمدير الاستمرارية وأصحاب الأقسام المعنية.
**3. خطط الاستمرارية والتعافي من الكوارث:** يُشترط وفق الضابط 3.3.4 توثيق خطط تشمل الإجراءات اليدوية البديلة، ومواقع المعالجة الاحتياطية، وبروتوكولات التواصل، مع تحديد أهداف استعادة الأنظمة الحيوية — عادةً في غضون 4 ساعات أو أقل.
**4. الاختبار الدوري:** يستلزم SAMA CSF إجراء اختبارات سنوية على الأقل، تشمل التمارين النظرية والتشغيلية ومحاكاة التعافي الكامل، مع توثيق النتائج وإغلاق الثغرات.
**5. الربط مع خطة الاستجابة للحوادث السيبرانية:** ينبغي دمج خطة الاستمرارية مع خطة الاستجابة السيبرانية (CIRP) لمواجهة سيناريوهات الهجمات الإلكترونية كالفدية وهجمات الحرمان من الخدمة.
**6. استمرارية الطرف الثالث:** بموجب الضابط 3.3.6، يجب التحقق سنوياً من قدرات الاستمرارية لدى الموردين الحيويين.
تراجع هيئة SAMA هذه المتطلبات خلال عمليات التدقيق السنوية، كما يتوافق الالتزام بها مع متطلبات NCA ECC القسم 2-7 ومعيار ISO 22301.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال من المتطلبات الجوهرية التي تحكمها المجال الرابع (المرونة) في إطار ساما للأمن السيبراني، إلى جانب المادة 3-5 من إطار ECC الصادر عن الهيئة الوطنية للأمن السيبراني. ويشترط كلا الإطارين توافر خطط موثقة ومختبرة ومعتمدة من مجلس الإدارة، قادرة على ضمان استمرارية العمليات الحيوية في مواجهة الحوادث السيبرانية والكوارث الطبيعية وحالات انقطاع الأنظمة.
**المتطلبات الأساسية وفق إطار ساما:**
- **تحليل أثر الأعمال (BIA):** تحديد الوظائف الحيوية وتبعياتها وأهداف وقت الاستعادة (RTO) ونقطة الاسترداد (RPO)، مع توقع ساما ألا يتجاوز RTO لأنظمة الفئة الأولى -كالبنوك الأساسية- أربع ساعات.
- **خطة استمرارية الأعمال (BCP) وخطة التعافي من الكوارث (DRP):** وثيقتان مستقلتان لكنهما متكاملتان؛ الأولى تعالج استمرارية العمليات، والثانية تُعنى باستعادة أنظمة تقنية المعلومات.
- **خطة الاتصالات في الأزمات:** تحدد مسارات التصعيد الداخلي وبروتوكولات التواصل مع ساما والجهات الرقابية المعنية.
**متطلبات إضافية من إطار ECC (المادة 3-5):**
يشترط الإطار دمج ضوابط مرونة سيبرانية محددة في خطة استمرارية الأعمال، تشمل بنى النسخ الاحتياطي الآمن والتخزين المعزول غير القابل للتعديل، فضلاً عن سيناريوهات تعافي مصممة خصيصاً للتعامل مع الهجمات السيبرانية.
**الاختبار والتحقق:**
يُلزم إطار ساما بإجراء اختبار سنوي شامل يتضمن تمارين المحاكاة الجدولية وعمليات التحويل الفعلي، مع توثيق النتائج ومعالجة الثغرات والحصول على موافقة الإدارة العليا.
**توصية عملية:**
يُنصح بمواءمة برنامج استمرارية الأعمال مع معيار ISO 22301 ورسم خريطة ربط بين ضوابطه ومتطلبات ساما وإطار ECC، مما يُنتج وثيقة امتثال موحدة تُرضي المتطلبات الثلاثة في آن واحد.
هل كانت الإجابة مفيدة؟
تُمثّل إدارة استمرارية الأعمال ركيزةً محوريةً في إطار الأمن السيبراني لمؤسسة النقد العربي السعودي (SAMA CSF)، ولا سيما في النطاق الرابع (المرونة السيبرانية) ومجال الضوابط 3.3 الخاص بالاستمرارية والتعافي من الكوارث. وفيما يلي منهجية عملية مقترحة للبنوك السعودية:
**أولاً: تحليل الأثر على الأعمال (BIA):** حدّد الوظائف المصرفية الحيوية وصنّفها — كأنظمة الصيرفة الأساسية، وبوابات الدفع، واتصالية SWIFT، والقنوات الرقمية للعملاء. يشترط الضابط 3.3.1 تحديد أهداف وقت التعافي (RTO) ونقطة التعافي (RPO) لكل عملية حيوية.
**ثانياً: حوكمة استمرارية الأعمال:** أصدر سياسة معتمدة من مجلس الإدارة تُحدّد المسؤوليات بوضوح على مستوى الإدارة العليا. تنظر مؤسسة النقد إلى الاستمرارية باعتبارها مخاطرة مؤسسية شاملة، لا مجرد مسألة تقنية.
**ثالثاً: إعداد خطة استمرارية الأعمال (BCP):** وثّق إجراءات الاستجابة لسيناريوهات الاضطراب المختلفة — الهجمات السيبرانية، الكوارث الطبيعية، أعطال الأنظمة، وجوائح الأوبئة. يجب أن تشمل الخطط مسارات التواصل والتصعيد وإجراءات التشغيل من المواقع البديلة.
**رابعاً: التعافي من الكوارث للأنظمة التقنية:** طوّر بنية تحتية احتياطية في مراكز بيانات منفصلة جغرافياً داخل المملكة. يشترط الضابط 3.3.4 توثيق خطط التعافي واختبارها سنوياً على الأقل مع الاحتفاظ بسجلات النتائج.
**خامساً: الاختبار والتدريب:** نفّذ تمارين المحاكاة واختبارات التحويل الكامل بصفة منتظمة، إذ يطلب مدققو مؤسسة النقد الاطلاع على نتائج الاختبارات وسجلات المعالجة.
**سادساً: التوافق مع ISO 22301:** يُعزّز مواءمة البرنامج مع معيار ISO 22301 لإدارة استمرارية الأعمال الامتثالَ لمتطلبات مؤسسة النقد التوثيقية والرقابية في آنٍ واحد.
احرص على تحديث وثائق الاستمرارية باستمرار، ومراجعة الخطط عقب كل حادثة جوهرية، والتحقق من أن موفري الخدمات الحيويين من الأطراف الثالثة يمتلكون ترتيبات استمرارية موثّقة وفعّالة.
هل كانت الإجابة مفيدة؟
يُلزم إطار الأمن السيبراني لساما (نطاق 4 - العمليات والتقنيات) المؤسسات الأعضاء بوضع برنامج رسمي وموثّق للاستجابة للحوادث الأمنية، يغطي دورة الحياة الكاملة: التحضير، والكشف، والاحتواء، والاستئصال، والاسترداد، ومراجعة ما بعد الحادثة.
**أبرز المتطلبات:**
- **الضابط 4.3.1:** يستوجب وجود سياسة وإجراءات موثّقة للاستجابة للحوادث، تُراجع سنوياً على الأقل.
- **الضابط 4.3.2:** يتطلب تصنيف الحوادث وفق مستويات الخطورة (حرجة، عالية، متوسطة، منخفضة) مع تحديد مستويات خدمة واضحة لكل فئة.
- **الضابط 4.3.3:** يُوجب إخطار ساما بالحوادث الحرجة خلال 72 ساعة من التأكد من وقوع الاختراق، بما يتوافق مع المادة 4-3 من الضوابط الأساسية للأمن السيبراني الصادرة عن هيئة الاتصالات وتقنية المعلومات.
**توجيهات عملية:**
1. **تشكيل فريق الاستجابة للحوادث:** تحديد الأدوار بوضوح وتوثيق مسارات التصعيد.
2. **تبنّي منصات SIEM/SOAR:** لأتمتة الكشف والفرز المبكر وتقليل زمن الاستجابة.
3. **إجراء تمارين محاكاة دورية:** تشمل سيناريوهات الفدية وسرقة البيانات وهجمات الحجب، مرتين على الأقل سنوياً.
4. **التنسيق مع الهيئة الوطنية للأمن السيبراني:** والتأكد من توافق خطة الاستجابة مع الإطار الوطني لإدارة الحوادث السيبرانية.
5. **توثيق الأدلة والتقارير:** لإثبات الامتثال خلال عمليات التدقيق.
برنامج الاستجابة الناضج لا يُحقق الامتثال التنظيمي فحسب، بل يُقلّص الأضرار المالية والسمعة عند وقوع أي حادثة فعلية.
هل كانت الإجابة مفيدة؟
تُعدّ استمرارية الأعمال من أبرز الركائز التي يُركّز عليها إطار SAMA CSF، تحديدًا في المجال الرابع المتعلق بالمرونة التشغيلية. يُلزم هذا الإطار المؤسسات المالية ببناء برنامج متكامل لاستمرارية الأعمال يشمل خطة BCP وخطة التعافي من الكوارث DRP، مع ضرورة تغطية جميع العمليات الحيوية والأنظمة التقنية والأطراف الخارجية المرتبطة بها.
أبرز المتطلبات:
**أولًا - تحليل الأثر على الأعمال (BIA):** تحديد العمليات الحرجة وتحديد أهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO) لكل منها. وعادةً تستلزم أنظمة الصيرفة الأساسية RTO لا يتجاوز 4 ساعات وRPO لا يتجاوز ساعة واحدة.
**ثانيًا - توثيق الخطط:** يجب توثيق خطط الاستمرارية رسميًا والحصول على موافقة الإدارة العليا ومجلس الإدارة عليها.
**ثالثًا - الاختبار الدوري:** يُوجب SAMA CSF إجراء اختبارات سنوية على الأقل تشمل التمارين التحليلية والمحاكاة الكاملة لعمليات التعافي.
**رابعًا - التوثيق والمعالجة:** توثيق نتائج الاختبارات ومعالجة الثغرات ضمن جداول زمنية محددة، إذ تُعدّ هذه الوثائق من أهم المستندات التي تطّلع عليها هيئة ساما خلال زيارات الفحص الرقابي.
كذلك يُشترط الانسجام مع متطلبات NCA ECC المادة 3-5 المتعلقة بمرونة البنية التحتية الحيوية.
من الناحية العملية، يُنصح بدمج اختبارات الاستمرارية في الجدول السنوي للأمن السيبراني، وإشراك موردي الخدمات الخارجيين في تمارين التعافي، ومراجعة الخطط بعد كل تغيير جوهري في البنية التحتية أو حادثة أمنية كبرى.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF في النطاق الرابع (العمليات والتقنيات الأمنية)، تحديدًا الضوابط من 4.3.1 إلى 4.3.5، جميعَ المؤسسات المالية بوضع خطة موثّقة وشاملة للاستجابة للحوادث السيبرانية تغطي دورة الحياة الكاملة: الكشف، والاحتواء، والاستئصال، والتعافي، ومراجعة ما بعد الحادثة.
**أبرز المتطلبات الإلزامية:**
**1. تصنيف الحوادث:** ضع تصنيفًا واضحًا للحوادث وفق مستويات الخطورة (حرج، عالٍ، متوسط، منخفض) مرتبطًا بالأثر على الأعمال. الحوادث الحرجة — كهجمات برامج الفدية أو اختراق الأنظمة المصرفية الجوهرية — يجب الإبلاغ عنها لمؤسسة النقد خلال 72 ساعة من اكتشافها.
**2. فريق الاستجابة (CIRT):** حدد الأدوار بوضوح: قائد الحادثة، المسؤول التقني، مسؤول الامتثال والشؤون القانونية، ومسؤول التواصل. كثير من البنوك السعودية تعتمد نموذجًا هجينًا بين الكفاءات الداخلية وخدمات vCISO الخارجية.
**3. كتيبات التشغيل:** طوّر إجراءات تفصيلية لسيناريوهات الهجوم الأكثر شيوعًا في القطاع المصرفي: هجمات التصيد الاحتيالي، واحتيال SWIFT، وهجمات الحرمان من الخدمة على قنوات الخدمات الرقمية، والتهديدات الداخلية.
**4. الربط مع اشتراطات هيئة الاتصالات الوطنية:** تستوجب المادة 3-6-1 من ضوابط ECC التنسيق مع الهيئة الوطنية للأمن السيبراني خلال الحوادث الجسيمة، لذا تأكد من تضمين مسار التصعيد إلى الجانبين في خطتك.
**5. الاختبار الدوري:** تشترط SAMA CSF اختبار خطة الاستجابة مرة واحدة على الأقل سنويًا عبر تمارين المحاكاة أو الطاولة المستديرة، مع توثيق النتائج وتحديث الخطة بناءً عليها.
**6. الاستعداد الجنائي الرقمي:** احرص على توفير سجلات تقنية وافية تدعم التحقيق الجنائي وفق متطلبات القسم 4.2 من SAMA CSF.
نقطة البداية العملية هي قياس مستوى نضج إجراءاتك الحالية مقارنةً بنموذج نضج SAMA CSF، والسعي للوصول إلى المستوى الثالث (المحدّد) كحدٍّ أدنى في جميع مجالات الاستجابة قبيل التقييم القادم.
هل كانت الإجابة مفيدة؟
يستخدم إطار SAMA CSF خمسة مستويات للنضج: المستوى الأول (أولي/عشوائي) — ضوابط غير رسمية؛ المستوى الثاني (قيد التطوير) — قابل للتكرار لكن غير موثق؛ المستوى الثالث (محدد) — موثق وموحد؛ المستوى الرابع (مُدار) — مقيس ومتحكم به؛ المستوى الخامس (محسَّن) — تحسين مستمر. يُتوقع من المؤسسات المالية تحقيق المستوى الثالث على الأقل لمعظم الضوابط.
هل كانت الإجابة مفيدة؟
يُلزم ساما الجهات الخاضعة لرقابته بإجراء تقييم ذاتي سنوي مقابل إطار الأمن السيبراني. يجب تقديم النتائج إلى ساما واستخدامها لإعداد خطط المعالجة. وقد يجري ساما أيضاً عمليات تفتيش ميدانية أو يطلب تقارير تدقيق من أطراف ثالثة.
هل كانت الإجابة مفيدة؟
يمكن لساما فرض عقوبات تنظيمية تشمل الغرامات والتحذيرات الرقابية وجداول زمنية إلزامية للمعالجة وتقييد أنشطة الأعمال، أو في الحالات الخطيرة تعليق التراخيص. تعتمد العقوبات الدقيقة على طبيعة وجسامة عدم الامتثال وتقدير ساما.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF — تحديداً ضمن نطاق إدارة مخاطر الأمن السيبراني (القسم الثالث، الضوابط 3.3.1 إلى 3.3.5) — البنوكَ والمؤسسات المالية السعودية بتبني برنامج متكامل لإدارة مخاطر الأطراف الثالثة. ويقوم هذا البرنامج على أربعة محاور أساسية:
**أولاً – التقييم المسبق قبل التعاقد:** إجراء تقييم شامل لوضع الأمن السيبراني لدى المورد، يشمل ممارساته في التعامل مع البيانات وشهاداته الأمنية كـ ISO 27001، مع تصنيفه ضمن درجات المخاطر (حرج، عالٍ، متوسط، منخفض) بحسب مستوى وصوله إلى الأنظمة والبيانات.
**ثانياً – الاشتراطات الأمنية في العقود:** إدراج متطلبات أمنية صريحة في عقود الموردين، تشمل حق التدقيق، والتزامات الإبلاغ عن الحوادث خلال 72 ساعة وفق نظام PDPL، وشروط الاحتفاظ بالبيانات داخل المملكة، والالتزام بضوابط NCA ECC عند الاقتضاء.
**ثالثاً – المتابعة والرقابة المستمرة:** إجراء تقييمات دورية سنوية للموردين الحيويين، ونصف سنوية لعالي المخاطر، مع استخدام أدوات المراقبة المستمرة لرصد أي ثغرات أو انتهاكات معلنة.
**رابعاً – إجراءات إنهاء التعاقد:** ضمان حذف البيانات بشكل آمن وإلغاء صلاحيات الوصول فور انتهاء العلاقة التعاقدية.
تشترط هيئة ساما وجود إشراف على مستوى مجلس الإدارة على هذا البرنامج، مع تحمّل مسؤول أمن المعلومات (CISO) مسؤولية الحفاظ على سجل مخاطر الموردين. وتساعد منصات مثل CISO Consulting على أتمتة عمليات التقييم وربط النتائج بضوابط SAMA CSF وإنتاج تقارير جاهزة للمراجعة التنظيمية.
هل كانت الإجابة مفيدة؟
إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التي يُركز عليها إطار SAMA للأمن السيبراني في النطاق 3.3، إذ يُلزم المؤسسات المالية ببناء برنامج رسمي لتقييم مخاطر الموردين قبل أي تعاقد يمنح طرفاً خارجياً وصولاً إلى الأنظمة أو البيانات الحساسة. على الصعيد العملي، يتطلب ذلك إجراء تقييم أمني شامل لكل مورد يشمل ضوابطه الأمنية وشهاداته مثل ISO 27001 وقدرته على الاستجابة للحوادث وأسلوب تعامله مع البيانات. وبموجب الضابط 3.3.2 من إطار SAMA، يجب أن تتضمن عقود الموردين الحيويين بنوداً صريحة تغطي حماية البيانات وحق التدقيق والإبلاغ عن الاختراقات خلال 72 ساعة. كما تتقاطع متطلبات نظام حماية البيانات الشخصية (PDPL) مع هذا الجانب، فإذا كان المورد يعالج بيانات شخصية لمقيمين في المملكة، فلا بد من إبرام اتفاقية معالجة بيانات رسمية، وتبقى المؤسسة المسؤولة بوصفها المتحكم في البيانات. من الناحية العملية، يُنصح بتصنيف الموردين حسب درجة حساسيتهم وتحديث سجلاتهم بصفة دورية وإجراء تقييمات سنوية للموردين الجوهريين. تُتيح منصتنا أتمتة هذه العملية بالكامل من تقييم المخاطر وتتبع دورات المراجعة وإصدار تقارير جاهزة لمتطلبات SAMA.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA للأمن السيبراني، تحديداً في نطاق التحكم 3.3 الخاص بأمن الأطراف الثالثة، جميع البنوك والمؤسسات المالية ببناء برنامج منظّم لإدارة مخاطر الموردين يتجاوز بكثير إجراءات العناية الواجبة التقليدية. يجب أن يشمل البرنامج الفعّال عدة محاور أساسية: أولاً، **تقييم ما قبل التعاقد**، إذ ينبغي تقييم كل طرف ثالث يتعامل مع بيانات حساسة أو أنظمة حيوية باستخدام استبيانات أمنية موحّدة مبنية على ضوابط SAMA CSF، مع تصنيف الموردين وفق مستوى المخاطر الكامنة. ثانياً، **الالتزامات التعاقدية**، بحيث تتضمن عقود الموردين بنوداً واضحة تغطي حماية البيانات وفق نظام PDPL، ومهل الإخطار بالحوادث، وحق التدقيق، والحد الأدنى من المتطلبات الأمنية. ثالثاً، **المراقبة المستمرة**، لا سيما للموردين الجوهريين كمزودي أنظمة الحوسبة السحابية وخدمات الصيرفة الأساسية، إذ يُستحسن إجراء تقييمات أمنية سنوية ميدانية أو عن بُعد. رابعاً، **إدارة مخاطر التركّز**، وهي من أكثر النقاط التي يتحقق منها مقيّمو SAMA، حيث يُتوقع أن تُدرك مجالس الإدارة مخاطر الاعتماد على مورد واحد لعدة وظائف حيوية. خامساً، **إجراءات إنهاء العلاقة**، وتشمل استرداد البيانات أو إتلافها وإلغاء صلاحيات الوصول. من الناحية العملية، تكمن أكبر الثغرات لدى معظم البنوك السعودية في ضعف المراقبة المستمرة وقصور البنود التعاقدية. ابدأ بحصر جميع موردّيك وتصنيفهم، واحرص على توثيق كل خطوة، لأن مقيّمي SAMA يبحثون عن أدلة ملموسة على فاعلية البرنامج لا مجرد وجود سياسات مكتوبة.
هل كانت الإجابة مفيدة؟
إدارة مخاطر الأطراف الثالثة تُعدّ من أبرز المتطلبات التي تفرضها جهات الرقابة المالية في المملكة، إذ تشترط المادة 3.3 من إطار عمل ساما للأمن السيبراني وجود برنامج رسمي لإدارة مخاطر الموردين يشمل جميع مراحل دورة حياة العلاقة معهم.
**أبرز متطلبات البرنامج الفعّال:**
**أولاً — تصنيف الموردين:** قسّم الموردين إلى ثلاث طبقات حسب الأثر التشغيلي والمعلوماتي، وطبّق ضوابط مناسبة لكل مستوى.
**ثانياً — التقييم قبل التعاقد:** اشترط على الموردين الحيويين تقديم ما يُثبت التزامهم بمعيار آيزو 27001 أو تقارير مستقلة معادلة مثل SOC 2.
**ثالثاً — الاشتراطات التعاقدية:** أدرج في العقود بنوداً صريحة تتعلق بحماية البيانات، والإشعار بالاختراقات خلال 72 ساعة وفق المادة 19 من نظام حماية البيانات الشخصية، وحق التدقيق، والحد الأدنى من الضوابط الأمنية.
**رابعاً — المراقبة المستمرة:** استخدم أدوات رصد لرقعة الهجوم لمتابعة التعرض السيبراني للموردين، تماشياً مع متطلبات محور إدارة الأصول في معايير هيئة الاتصالات الوطنية.
**خامساً — إنهاء العلاقة بأمان:** تأكد من حذف البيانات وإلغاء الصلاحيات فور انتهاء التعاقد.
كذلك، يجب على المؤسسات التي تُسند عمليات جوهرية إلى مزودي خدمات الحوسبة السحابية أو شركات التقنية المالية مراعاة متطلبات التعهيد الصادرة عن ساما، والتي تستلزم إشعار البنك المركزي عند تعهيد الأعمال الجوهرية. وتُشكّل قصور إدارة مخاطر الأطراف الثالثة أحد أكثر ملاحظات الرقابة تكراراً، مما ينعكس سلباً على درجات النضج في تقييمات إطار عمل ساما.
هل كانت الإجابة مفيدة؟
تواجه المؤسسات المالية السعودية متطلبات متعددة ومتداخلة للاستجابة للحوادث السيبرانية، صادرة عن جهات تنظيمية مختلفة. إليك الصورة الكاملة:
**أولاً – متطلبات إطار ساما (التحكم 3.3.5):**
- يجب توثيق خطة الاستجابة للحوادث السيبرانية ومراجعتها سنوياً على الأقل.
- يُلزَم بتصنيف الحوادث وفق مصفوفة خطورة واضحة (حرج، عالٍ، متوسط، منخفض).
- تُبلَّغ ساما بالحوادث الحرجة خلال 4 ساعات من اكتشافها عادةً، وفق إطار الإبلاغ عن الحوادث السيبرانية الصادر عنها.
- تقارير ما بعد الحادثة إلزامية وتشمل تحليل الجذور والإجراءات التصحيحية.
**ثانياً – متطلبات الضوابط الأساسية لهيئة الاتصالات الوطنية (الضابط 2-7):**
- يُشترط توافر قدرة تشغيلية على مدار الساعة طوال أيام الأسبوع، سواء عبر مركز عمليات أمني داخلي أو بموجب عقد مع مزود خارجي.
- تُبلَّغ الهيئة بالحوادث التي تمس البنية التحتية الوطنية أو البيانات الحساسة عبر القنوات الرسمية.
**ثالثاً – متطلبات نظام حماية البيانات الشخصية (المادة 19):**
- عند وقوع اختراق يطال بيانات شخصية، يجب إخطار الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) خلال 72 ساعة من اللحظة التي تصبح فيها المؤسسة على علم بالحادثة.
- يجب أيضاً إبلاغ أصحاب البيانات المتضررين إذا كانت الحادثة تشكّل خطراً مرتفعاً على حقوقهم أو مصالحهم.
**قائمة التحقق العملية:**
✅ خطة استجابة موثقة مع أدوار واضحة وممرات تصعيد محددة
✅ مصفوفة تصنيف الحوادث وترتيب أولوياتها
✅ نماذج إشعار جاهزة مسبقاً لساما وهيئة الاتصالات وسدايا
✅ تمارين محاكاة دورية مرتين على الأقل سنوياً
✅ قدرة على التحليل الجنائي الرقمي داخلياً أو من خلال جهة خارجية متخصصة
هل كانت الإجابة مفيدة؟
يُلزم إطار الأمن السيبراني لساما (المتطلب 3.3) المؤسسات المالية بإنشاء برنامج رسمي لإدارة مخاطر الأطراف الثالثة يغطي دورة حياة المورد بالكامل، من التعاقد حتى إنهاء العلاقة. من الناحية العملية، يرتكز البرنامج الناجح على أربعة محاور:
أولاً — **العناية الواجبة قبل التعاقد**: صنّف كل مورد وفق مستوى المخاطرة (حرج، عالٍ، متوسط، منخفض) بناءً على طبيعة البيانات التي يصل إليها وعمق تكاملها مع أنظمتك. المورّدون الذين يتعاملون مع بيانات العملاء الحساسة يستوجبون تقييماً أمنياً مكثفاً.
ثانياً — **الاشتراطات التعاقدية**: يجب أن تتضمن العقود حق التدقيق، ومتطلبات الإبلاغ عن الحوادث خلال 72 ساعة وفق نظام حماية البيانات الشخصية، ومعايير حماية البيانات.
ثالثاً — **الرقابة المستمرة**: لا تكتفِ بالتقييم عند التعاقد، بل راقب الموردين الحيويين ربع سنوياً، ونفّذ تدقيقاً ميدانياً سنوياً، واستعن بأدوات استخبارات التهديدات لرصد أوضاعهم الأمنية.
رابعاً — **التخارج الآمن**: وثّق إجراءات استرداد البيانات وإتلافها وإلغاء الصلاحيات عند إنهاء التعاقد وفق متطلبات المعيار الدولي ISO 27001.
كثير من البنوك السعودية تخفق في تقييمات ساما تحديداً في هذا الجانب لأنها تتعامل معه كإجراء شكلي لا كعملية مستمرة. يجب أن تربط منصة GRC الخاصة بك كل مورد بضوابط ساما المقابلة، وتحدد أصحاب المخاطر، وتتابع خطط المعالجة.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال من أكثر المجالات دقةً وصرامةً في تقييمات إطار SAMA CSF. فبموجب المجال الرابع من الإطار المتعلق بالمرونة التشغيلية، وتحديداً المتطلب 4.2 الخاص بالاستمرارية والتعافي من الكوارث، يُلزَم كل بنك ومؤسسة مالية ببناء برنامج BCM شامل يشمل التوثيق والتطبيق والاختبار الدوري.
**المكونات الأساسية المطلوبة:**
**١. تحليل أثر الأعمال (BIA):** حدّد العمليات الحيوية، وأقصى وقت تحمّل للتوقف (MTD)، وأهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO). وفي البيئات المصرفية، غالباً ما يُحدد RTO بأربع ساعات أو أقل للأنظمة من المستوى الأول.
**٢. توثيق الخطط:** احتفظ بخطط موثقة لاستمرارية الأعمال والتعافي من الكوارث، يُراجَع محتواها سنوياً على الأقل أو عقب أي تغييرات تنظيمية جوهرية.
**٣. الاختبار الدوري:** تشترط SAMA إجراء اختبار تعافٍ كامل مرة سنوياً كحد أدنى، مع تمارين طاولة تغطي سيناريوهات مثل هجمات الفدية وانقطاع مركز البيانات والحوادث السيبرانية، مع توثيق النتائج.
**٤. ضوابط النسخ الاحتياطي:** وفق Control 3.3.8، يجب تشفير النسخ الاحتياطية وتخزينها في موقع بديل أو مركز بيانات ثانوي، مع اختبار قابلية الاستعادة ربع سنوياً على الأقل.
**٥. خطط التواصل والتصعيد:** وضّح إجراءات إخطار الأطراف المعنية والجداول الزمنية للتبليغ التنظيمي لدى SAMA في حالات الانقطاع الكبرى.
**٦. التكامل مع NCA ECC:** يُضيف المتطلب 2-12 من NCA ECC متطلبات تكاملية حول المرونة السيبرانية ينبغي دمجها في إطار BCM لتفادي التكرار والتعارض.
أخيراً، عيّن مالكاً لـ BCM على مستوى الإدارة العليا، وادمج البرنامج في منظومة إدارة المخاطر المؤسسية بدلاً من التعامل معه كنشاط منفصل.
هل كانت الإجابة مفيدة؟
تُعدّ استمرارية الأعمال والمرونة السيبرانية من أكثر المجالات التي تُركّز عليها فحوصات SAMA. يخصّص إطار SAMA للأمن السيبراني نطاقًا كاملًا لهذا الغرض (النطاق 3.6 – المرونة السيبرانية)، يستهدف ضمان قدرة المؤسسات المالية على الصمود والتعافي والتكيّف في مواجهة الحوادث السيبرانية.
**المتطلبات الجوهرية لـ SAMA CSF:**
- **تحليل أثر الأعمال (BIA):** يُلزم الإطار بإجراء تحليل رسمي يُحدد العمليات الحيوية واعتمادياتها وأهداف وقت التعافي المقبولة (RTO/RPO).
- **خطط المرونة السيبرانية:** يجب توثيق خطة مرونة سيبرانية شاملة تغطي احتواء الحوادث وإجراءات الاسترداد وبروتوكولات التواصل، مع دمجها في خطة استمرارية الأعمال الشاملة.
- **الاختبار والتمرين:** يشترط SAMA إجراء اختبارات سنوية لخطط BCP/DRP، تشمل تمارين على الطاولة وسيناريوهات محاكاة للحوادث السيبرانية، مع مراجعة النتائج من قِبل الإدارة العليا.
- **أهداف وقت التعافي:** تستلزم الخدمات المصرفية الحيوية كالأنظمة الجوهرية وأنظمة الدفع تحديد أهداف RTO — لا تتجاوز 4 ساعات عادةً للخدمات من الفئة الأولى.
- **مرونة سلسلة التوريد:** يجب أن تأخذ خطط الاستمرارية في الحسبان الاعتمادية على الأطراف الثالثة الحيوية.
**التوافق مع ISO 22301:**
yتكامل معيار ISO 22301 لإدارة استمرارية الأعمال مع SAMA CSF بصورة مثالية. تشمل أوجه التوافق: منهجية BIA، وسياسات BCMS الموثّقة، ومتطلبات الكفاءة، ودورات التحسين المستمر. ويُمثّل الحصول على شهادة ISO 22301 مؤشرًا واضحًا على النضج المؤسسي ويُيسّر فحوصات SAMA.
**إرشادات عملية:**
1. قابل ضوابط SAMA CSF 3.6 مباشرةً مع بنود ISO 22301 لتحديد الفجوات.
2. أدرج سيناريوهات حوادث سيبرانية (برامج الفدية، هجمات DDoS، اختراق البيانات) في اختبارات BCP السنوية.
3. تأكد من أن خطة التواصل في الأزمات تتضمن التزامات الإخطار لـ SAMA (خلال 72 ساعة للحوادث الكبرى).
4. راجع الخطط وحدِّثها بعد كل حادثة كبرى أو تغيير جوهري في البنية التحتية.
هل كانت الإجابة مفيدة؟
تُمثّل استمرارية الأعمال ركيزةً محوريةً في إطار الأمن السيبراني الصادر عن ساما. إذ يُلزم نطاق الضوابط 3.5 (المرونة) المؤسساتِ الأعضاءَ بإنشاء برامج استمرارية أعمال شاملة، وتطبيقها واختبارها وتحسينها باستمرار، بما يغطي الحوادث السيبرانية والاضطرابات التشغيلية على حدٍّ سواء.
يقوم البرنامج المتوافق مع متطلبات ساما على المحاور التالية:
**1. تحليل أثر الأعمال (BIA)**
تحديد الوظائف الحيوية وتبعياتها، ورسم أهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO) بما يتوافق مع شهية المخاطر والتزامات العملاء.
**2. خطط الاستمرارية والتعافي من الكوارث**
توثيق إجراءات الاستجابة التفصيلية لسيناريوهات متعددة كالهجمات السيبرانية وأعطال الأنظمة وتعذّر الوصول إلى المنشآت، مع التركيز على آليات الإنتقال الفوري للأنظمة واستعادة البيانات.
**3. التواصل في حالات الأزمات**
تحديد مسارات التصعيد الداخلي وبروتوكولات الإخطار الخارجي، بما فيها إبلاغ ساما خلال الفترات الزمنية المحددة في إرشادات الإبلاغ عن الحوادث السيبرانية.
**4. الاختبار والتدريب**
تشترط ساما توثيق اختبارات دورية تشمل تمارين الطاولة والمحاكاة والاختبارات الفعلية للتشغيل البديل، مرة على الأقل سنوياً، مع تحويل نتائجها إلى خطة تحسين رسمية.
**5. إدارة مخاطر الأطراف الثالثة**
التحقق من امتلاك الموردين الحيويين ومزودي الخدمات السحابية لقدرات استمرارية أعمال موثّقة وفاعلة.
يُنصح بدمج هذا البرنامج مع متطلبات ISO 22301 لرفع درجة النضج في تقييمات ساما، وإثبات توافق المؤسسة مع أفضل الممارسات الدولية خلال الفحوصات الرقابية.
هل كانت الإجابة مفيدة؟
تُمثّل إدارة استمرارية الأعمال (BCM) التزامًا تنظيميًا لازمًا للمؤسسات المالية السعودية، يحكمه بصفة رئيسية المجال الخامس من إطار SAMA CSF المتعلق بالمرونة، إضافةً إلى الضابط 3-7 من معايير NCA ECC. ويتعين على المؤسسات بناء برنامج متكامل يدمج متطلبات المرونة السيبرانية مع الاستمرارية التشغيلية الشاملة.
**الأساس التنظيمي:**
يُلزم ضابط SAMA CSF رقم 5.1 المؤسساتِ بإعداد خطط استمرارية الأعمال (BCP) وخطط التعافي من الكوارث (DRP) وتحديثها واختبارها بصفة منتظمة، مع تحديد أهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO) وفقًا لدرجة أهمية كل نظام.
**خطوات التطبيق الرئيسية:**
1. **تحليل أثر الأعمال (BIA):** حصر العمليات الحيوية وأصول تقنية المعلومات الداعمة لها، وتحديد الحد الأقصى للتوقف المسموح به. وعادةً لا يتجاوز RTO للأنظمة المصرفية الجوهرية أربع ساعات.
2. **سيناريوهات إلكترونية متخصصة:** يجب أن تُعالج خطط BCM صراحةً هجمات الفدية وهجمات الحرمان من الخدمة (DDoS) وانقطاعات مراكز البيانات، لا الكوارث الطبيعية وأعطال الأجهزة فحسب.
3. **جدولة الاختبارات:** يشترط SAMA CSF إجراء اختبارات BCM مرةً على الأقل سنويًا، وتشمل تمارين المحاكاة المكتبية والميدانية واختبارات التحوّل الكامل للأنظمة الحيوية.
4. **الاعتماد على أطراف ثالثة:** يجب أن توثّق خطط BCP مدى جاهزية الموردين الرئيسيين ومزودي الخدمات السحابية للاستمرارية، بما يشمل الالتزامات التعاقدية لمستويات الخدمة.
5. **التقارير المرفوعة للإدارة:** يُستلزم رفع تقرير دوري عن برنامج BCM ونتائج الاختبارات والفجوات المرصودة إلى الإدارة العليا ولجنة مخاطر مجلس الإدارة مرةً على الأقل سنويًا.
يُستحسن توثيق جميع الأدلة والسجلات ضمن منصة GRC لتسهيل إثبات الامتثال خلال مراجعات مؤسسة النقد العربي السعودي.
هل كانت الإجابة مفيدة؟
استمرارية الأعمال ليست رفاهية تنظيمية، بل هي التزام رقابي صريح تفرضه هيئة السوق المالية (SAMA) على جميع المؤسسات المالية في المملكة. يُخصص النطاق الرابع من إطار SAMA CSF قسماً متكاملاً لمتطلبات إدارة استمرارية الأعمال (BCM)، ويُوصى بشدة بالتوافق مع معيار ISO 22301 باعتباره المرجع المهني المعتمد في هذا المجال.
إليك خارطة طريق تطبيقية:
**1. تحليل الأثر على الأعمال (BIA)**
حدد الوظائف الحيوية وأهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO). يشترط الضابط 4.2.1 من SAMA CSF توثيق هذه المؤشرات واعتمادها من الإدارة العليا.
**2. ربط BCM بإدارة المخاطر**
يجب أن يكون برنامج استمرارية الأعمال مرتبطاً ارتباطاً وثيقاً بإطار المخاطر المؤسسية والأمن السيبراني، مع تمثيل سيناريوهات الفدية والهجمات الإلكترونية صراحةً في الخطط.
**3. بناء الخطط**
طوّر خطة استمرارية الأعمال (BCP) وخطة التعافي من الكوارث (DRP) وخطة التواصل في الأزمات، مع تغطية الأنظمة المصرفية الأساسية وشبكات الدفع (SARIE/AFAQ) والقنوات الرقمية للعملاء.
**4. الاختبار الدوري**
يستوجب الضابط 4.2.5 من SAMA CSF إجراء تمارين اختبار سنوية على الأقل تشمل التمارين التدريبية والمحاكاة الكاملة، مع توثيق النتائج ورفعها إلى لجنة مخاطر مجلس الإدارة.
**5. استمرارية الأطراف الخارجية**
تأكد من أن مزودي الخدمات الحيويين يمتلكون برامج BCM متوافقة مع أهداف الاسترداد لديك — وهي ثغرة متكررة في فحوصات SAMA.
**6. التحسين المستمر**
راجعات ما بعد الحوادث والتدقيق السنوي المستقل لبرنامج BCM ضروريان للحفاظ على الامتثال وشهادة ISO 22301.
هل كانت الإجابة مفيدة؟
تُعدّ استمرارية الأعمال والمرونة السيبرانية من أكثر المجالات التي تُولي لها هيئة ساما اهتماماً خلال فحوصاتها الرقابية. يشترط إطار SAMA CSF في نطاق المتطلبات 3.4 (المرونة السيبرانية) أن تُطوّر المؤسسات المالية خطط استمرارية أعمال وخطط استرداد من الحوادث السيبرانية، وأن تحافظ عليها وتختبرها بصفة دورية — مع التركيز على سيناريوهات الأمن السيبراني وليس فقط التعافي التقليدي من كوارث تقنية المعلومات.
**أبرز المتطلبات:**
**أولاً: أهداف الاسترداد:**
تتطلب ساما توثيق أهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO) لجميع الأنظمة الحيوية — وتتراوح عادةً بين 4 و24 ساعة للأنظمة المصرفية الجوهرية. ويجب التحقق من هذه الأهداف فعلياً لا مجرد تقديرها نظرياً.
**ثانياً: الاختبارات القائمة على السيناريوهات:**
يجب أن تشمل اختبارات BCP السنوية سيناريوهات سيبرانية محددة كهجمات برامج الفدية، وهجمات حجب الخدمة الموزع (DDoS)، وانقطاع خدمات الأطراف الثالثة. وتُعدّ تمارين المحاكاة الفكرية (Tabletop) التي تضم المدير التنفيذي للأمن والمخاطر والإدارة التنفيذية ضرورة ملزمة.
**ثالثاً: إدارة الأزمات والتواصل:**
يستلزم SAMA CSF وجود قوالب تواصل معتمدة مسبقاً ومصفوفات تصعيد للحوادث السيبرانية، بما فيها إخطار ساما خلال النوافذ الزمنية المحددة (عادةً 72 ساعة من اكتشاف الحادثة الجسيمة).
**رابعاً: التوافق مع NCA ECC:**
يُوجب الضابط 2-14 من NCA ECC الحفاظ على قدرات المرونة التشغيلية، وينبغي أن تتوافق خطط BCP للمؤسسات الخاضعة لساما مع هذه المتطلبات لتفادي الثغرات المتكررة.
ضعف استمرارية الأعمال من أبرز أسباب تراجع درجات نضج إطار SAMA CSF. لذا، عامل اختبارات المرونة باعتبارها برنامجاً مستمراً لا مجرد إجراء شكلي سنوي.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال من أبرز المجالات التي تنظمها أطر تنظيمية متعددة في المملكة العربية السعودية. إليك كيفية بناء برنامج فعّال: **متطلبات إطار ساما (الضابط 3.3.9)**: يُلزم الإطار بوجود برنامج رسمي لاستمرارية الأعمال يتضمن تحليل الأثر على الأعمال (BIA)، وأهداف وقت الاسترداد (RTO)، وأهداف نقطة الاسترداد (RPO)، وخطط التعافي من الكوارث (DRP) المُختبَرة. ويُتوقع أن يكون RTO للخدمات المصرفية الحيوية أقل من 4 ساعات، وRPO لا يتجاوز ساعة واحدة. **الانسجام مع ضوابط الهيئة الوطنية (المادة 2-18)**: تُعزز ضوابط الأمن السيبراني للهيئة الوطنية متطلبات الاستمرارية من خلال اشتراط ضوابط مرونة موثقة تُراجع وتُختبر سنوياً على الأقل. **خطوات التطبيق الجوهرية**: (1) إجراء تحليل شامل للأثر على الأعمال لتحديد العمليات الحيوية; (2) تحديد RTOs وRPOs وفق مستويات الأهمية; (3) إنشاء مواقع بديلة أو بيئات تعافٍ سحابية; (4) وضع خطة تواصل في الأزمات; (5) إجراء تمارين محاكاة وعمليات DR كاملة سنوياً; (6) التأكد من أن نطاق الاستمرارية يغطي الحوادث السيبرانية لا الكوارث الطبيعية فحسب. **التوثيق والتدقيق**: يتوقع مدققو ساما الاطلاع على نتائج الاختبارات وتقارير الدروس المستفادة وموافقة الإدارة العليا على الخطط. ويُنصح بربط استمرارية الأعمال بخطة الاستجابة للحوادث لضمان تكامل الاستجابة عند وقوع اضطرابات سيبرانية.
هل كانت الإجابة مفيدة؟
تُعدّ استمرارية الأعمال من المجالات الإلزامية ضمن إطار SAMA CSF (المجال الرابع: المرونة)، وتتوقع هيئة ساما أن تمتلك البنوك برنامجاً شاملاً ومعتمداً من مجلس الإدارة ويُختبر بانتظام. وفيما يلي ملامح البرنامج الناضج:
**الأساس — السياسات والحوكمة:**
- سياسة استمرارية أعمال معتمدة من مجلس الإدارة، متوافقة مع الضابط 4.1 من SAMA CSF والمعيار ISO 22301.
- تحديد مسؤول استمرارية الأعمال، ويُفضل أن يتبع مباشرة لمدير أمن المعلومات أو المدير التشغيلي.
**تحليل أثر الأعمال (BIA):**
- تحديد الوظائف الحرجة وتصنيف أولوياتها مع تحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO).
- تتوقع ساما من البنوك الكبرى تحقيق RTO أقل من 4 ساعات للخدمات الحيوية كمعالجة المدفوعات والحوسبة المركزية.
**الخطط والأدلة التشغيلية:**
- **خطة استمرارية الأعمال (BCP)** تغطي استمرارية العنصر البشري والعمليات والتقنية.
- **خطة التعافي من الكوارث (DRP)** مع اختبار التحول التلقائي إلى مركز البيانات الاحتياطي.
- **خطة التواصل في الأزمات** تشمل التواصل مع الموظفين والجهات الرقابية والعملاء.
**الاختبار والتدريبات:**
- يستلزم الضابط 4.3 من SAMA CSF إجراء اختبارات شاملة سنوياً مع توثيق النتائج والدروس المستفادة، بدءاً من تمارين الطاولة وصولاً إلى محاكاة الكوارث الكاملة.
**التكامل مع الأمن السيبراني:**
- يجب دمج سيناريوهات الفدية والحوادث السيبرانية في اختبارات BCP/DRP، انعكاساً لتركيز ساما على المرونة السيبرانية.
- تُغذّي نتائج البرنامج سجلَّ المخاطر المؤسسي والتقييم الذاتي السنوي لساما.
البرنامج الناضج ليس مجرد وثيقة، بل هو قدرة مؤسسية حية تُختبر باستمرار وتتطور مع المتغيرات التشغيلية.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال من أبرز المتطلبات التنظيمية لشركات الفنتك في المملكة العربية السعودية، وتحكمها المجالُ الرابع من إطار SAMA CSF المعني بالمرونة التشغيلية، إضافةً إلى ضابط 2-14 من ضوابط NCA ECC. والإخفاق في هذا الجانب قد يُعرّض الشركة لعقوبات تنظيمية وأضرار سمعة بالغة، لا سيما في ظل اهتمام البنك المركزي بمتانة منظومة المدفوعات.
**متطلبات SAMA CSF – المجال الرابع:**
- إجراء تحليل رسمي لأثر الأعمال (BIA) يُحدد العمليات الحيوية وحدود التوقف المقبول (MTD).
- تحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) بما يتوافق مع نتائج التحليل.
- إعداد خطة استمرارية الأعمال (BCP) وخطة التعافي من الكوارث (DRP) ومراجعتهما سنوياً من قِبل الإدارة العليا.
- اختبار الخطط سنوياً على الأقل من خلال تمارين المحاكاة على الطاولة، وتدريبات التحويل الكامل للأنظمة.
**متطلبات NCA ECC – الضابط 2-14:**
- وضع سياسة استمرارية أعمال مستقلة وتحديد مسؤول تنفيذي عنها.
- دمج سيناريوهات الحوادث السيبرانية ضمن تمارين الاستمرارية لا معالجتها بمعزل.
- توثيق الدروس المستفادة من الاختبارات وتحديث الخطط بناءً عليها.
**خطوات تطبيقية موصى بها:**
1. رسم خريطة كاملة لخدمات الفنتك (المدفوعات، الإقراض، التأهيل) مع ربطها بالأنظمة التقنية والموردين الخارجيين.
2. تحديد أولويات الاسترداد على مراحل — إذ يُوصى عادةً بأن يكون RTO لأنظمة المدفوعات أقل من 4 ساعات.
3. الاعتماد على بنية تحتية سحابية متعددة المناطق الجغرافية داخل المملكة أو في مناطق الإقامة المعتمدة وفق توجيهات SAMA.
4. تكامل خطة استمرارية الأعمال مع خطة الاستجابة للحوادث لضمان التصعيد السلس.
5. رفع نتائج اختبارات الاستمرارية إلى لجنة المخاطر ربع سنوياً.
اعتماد معيار ISO 22301 كمرجع هيكلي يوفر إطاراً معترفاً به دولياً يُرضي مدققي SAMA وNCA في آنٍ واحد.
هل كانت الإجابة مفيدة؟
تُشكّل إدارة استمرارية الأعمال (BCM) مجالاً إلزامياً ضمن إطار SAMA CSF، وتحديداً في المجال الرابع المعني بالمرونة التشغيلية. ويتعين على المؤسسات المالية إنشاء برنامج متكامل لاستمرارية الأعمال والحفاظ عليه وتحديثه بصفة دورية، لضمان استمرار تقديم الخدمات المالية الحيوية أثناء الاضطرابات وبعدها.
**المتطلبات الجوهرية وفق SAMA CSF:**
**تحليل أثر الأعمال (BIA):** يستوجب الضابط 4.1 إجراء تحليل رسمي يحدد الوظائف الحيوية والتبعيات وأهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO)، إذ يُتوقع أن لا يتجاوز RTO للأنظمة المصرفية الحيوية أربع ساعات.
**خطط الاستمرارية والتعافي:** يجب توثيق خطط شاملة تغطي السيناريوهات المحتملة كالهجمات السيبرانية وانقطاعات مراكز البيانات والأزمات الصحية.
**الاختبار والتدريبات:** يشترط الضابط 4.3 اختبار الخطط سنوياً على الأقل، وتشمل الاختبارات التمارين المكتبية والتدريبات الوظيفية وعمليات التحويل الكامل للأنظمة الحيوية، مع توثيق نتائجها والدروس المستفادة.
**التواصل في الأزمات:** ينبغي تحديد مسارات تواصل واضحة مع الجهات الداخلية وهيئة ساما والعملاء خلال الحوادث.
**إدارة تبعيات الأطراف الخارجية:** يجب أن تأخذ خطط الاستمرارية في الحسبان الموردين الحيويين والأطراف المُوكلة إليهم الخدمات، والتحقق من توافقها مع معايير الاستمرارية المطلوبة.
**إشراف مجلس الإدارة:** يُتوقع من مجلس الإدارة والإدارة التنفيذية مراجعة سياسات BCM والموافقة عليها سنوياً، واستلام نتائج الاختبارات بصفة منتظمة.
**التوافق مع ISO 22301:** تسعى كثير من المؤسسات السعودية إلى مواءمة برامج استمرارية أعمالها مع معيار ISO 22301 للحصول على شهادة دولية معترف بها تنسجم في آنٍ واحد مع متطلبات ساما. ويُعدّ الاحتفاظ بوثائق الاختبارات وتحديثات BIA وموافقات مجلس الإدارة أمراً بالغ الأهمية في عمليات الفحص الرقابي.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF في النطاق 3.7 الخاص بإدارة الصمود المؤسسي، البنوكَ والمؤسسات المالية السعودية بتطوير برنامج متكامل لاستمرارية الأعمال يشمل التعافي من الحوادث السيبرانية والكوارث التشغيلية على حدٍّ سواء. أبرز ما تشترطه هذه المتطلبات: أولاً، إجراء تحليل رسمي لأثر الأعمال (BIA) يحدد العمليات الحرجة وأهداف وقت التعافي (RTO) وأهداف نقطة التعافي (RPO) لكل نظام، مع اشتراط التوثيق والاعتماد من الإدارة العليا وفق الضابط 3.7.2. ثانياً، اختبار خطط التعافي من الكوارث مرة على الأقل سنوياً، مع توثيق النتائج ومتابعة إجراءات المعالجة؛ ولا يكتفى بالتمارين الورقية في الأنظمة الجوهرية بل يُتوقع إجراء اختبارات تحويل فعلي. ثالثاً، دمج متطلبات الصمود السيبراني في خطط الاستمرارية لتغطية سيناريوهات الفدية وهجمات الحرمان من الخدمة وتعطل أنظمة الصيرفة الأساسية، انسجاماً مع المادة 2-14 من ضوابط NCA ECC. رابعاً، مراعاة اعتماديات الأطراف الخارجية كمزودي الخدمات السحابية وشبكات الدفع ضمن خطط الاستمرارية. وعملياً، يُنصح بمطابقة وثائق BCM مع مراجع ضوابط SAMA CSF مباشرةً لتيسير عمليات الفحص الرقابي، والاستناد إلى معيار ISO 22301 لبناء إطار معترف به دولياً يلبي متطلبات المراجعين المحليين والدوليين.
هل كانت الإجابة مفيدة؟
يعتمد إطار الأمن السيبراني لمؤسسة النقد العربي السعودي (SAMA CSF) نموذجاً متدرجاً لقياس مستوى النضج المؤسسي في مجال الأمن السيبراني. ويُشكّل الفهم العميق لهذا النموذج والاستعداد المنهجي له ركيزةً جوهريةً لأي بنك يسعى إلى إثبات امتثاله التنظيمي وبناء منظومة سيبرانية مرنة وفعّالة.
**نموذج النضج في SAMA CSF:**
يُحدّد الإطار خمسة مستويات للنضج تتدرج من المستوى الأول (المبدئي/العشوائي) إلى المستوى الخامس (الأمثل). وتُتوقع من المؤسسات المالية عموماً بلوغ المستوى الثاني كحدٍّ أدنى، في حين تستهدف البنوك الكبرى المستوى الثالث (المُحدَّد) أو أعلى في المجالات الحيوية كالحوكمة وإدارة المخاطر والعمليات السيبرانية.
**المجالات الرئيسية للتقييم:**
يغطي الإطار خمسة محاور أساسية: (1) القيادة والحوكمة السيبرانية، (2) إدارة المخاطر والامتثال، (3) العمليات والتقنيات السيبرانية، (4) أمن الأطراف الثالثة، (5) الصمود السيبراني. ولكل محور ضوابط فرعية ومؤشرات نضج محددة.
**التوجيهات العملية للاستعداد:**
1. **ابدأ بتقييم الفجوات**: قارن ضوابطك الحالية بمتطلبات كل محور فرعي قبل التقييم الرسمي باستخدام أداة تحليل منهجية.
2. **وثّق كل شيء**: يبحث المقيّمون عن أدلة موثّقة تشمل السياسات والإجراءات ومحاضر الاجتماعات وسجلات التدريب والإعدادات التقنية.
3. **عزّز موقع CISO في الهيكل التنظيمي**: يشترط المتطلب 3.1.1 أن يُرفع الأمن السيبراني مباشرةً إلى مستوى مجلس الإدارة أو الإدارة التنفيذية العليا.
4. **ركّز على المجالات الأعلى خطورة**: أعطِ الأولوية لإدارة الهويات والصلاحيات، والاستجابة للحوادث، وإدارة الثغرات، إذ تتصدر قائمة الملاحظات المتكررة في التقييمات.
5. **استعن بمقيّم مستقل**: يُنصح بإجراء تقييم مسبق بواسطة جهة متخصصة للكشف عن الفجوات قبل المراجعة التنظيمية الرسمية.
6. **أرسِ برنامج رصد مستمر**: أثبت أن ضوابطك فعّالة بصفة دائمة، لا في لحظة التقييم وحدها.
البنوك التي تتعامل مع تقييم SAMA CSF باعتباره حدثاً سنوياً عارضاً تحصل باستمرار على درجات أدنى. لذلك، ادمج تحسين النضج ضمن خارطة طريق الأمن السيبراني المؤسسية لتحقيق نتائج مستدامة.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال من المتطلبات التنظيمية الجوهرية لشركات الفينتك في المملكة العربية السعودية. فقد خصّص إطار SAMA CSF نطاقاً كاملاً لهذا الغرض (النطاق 3.6 – الصمود السيبراني)، فيما تناولها إطار NCA ECC في المادة 2-10.
**أبرز مكونات البرنامج:**
**1. تحليل أثر الأعمال (BIA):**
حدّد جميع العمليات الحيوية وأنظمة تقنية المعلومات الداعمة لها، واضبط مؤشرات الاسترداد مثل RTO وRPO لكل منها. تتوقع هيئة SAMA أن يكون RTO لخدمات الدفع الحيوية في حدود 4 ساعات.
**2. خطة استمرارية الأعمال وخطة التعافي من الكوارث:**
أعدّ خططاً موثقة ومختبرة تغطي الأفراد والعمليات والتقنية والمرافق، مع التركيز على سيناريوهات الانقطاع الناجمة عن الحوادث السيبرانية تحديداً.
**3. متطلبات الاختبار:**
يشترط SAMA CSF إجراء اختبارات BCM مرة سنوياً على الأقل، وتشمل التمارين التحليلية والتدريبات الوظيفية واختبارات التحويل الكامل للأنظمة الحيوية.
**4. ضوابط النسخ الاحتياطي والاسترداد:**
تشترط المادة 2-10 من NCA ECC وجود نسخ احتياطية مشفرة في مواقع جغرافية منفصلة، مع التحقق الدوري من سلامة البيانات عبر اختبارات الاسترداد، وفق استراتيجية 3-2-1.
**5. الحوكمة والمسؤولية:**
يُلزَم بتعيين مسؤول رسمي عن استمرارية الأعمال على مستوى الإدارة العليا، مع تقديم تقارير سنوية للـ CISO ومجلس الإدارة.
**6. الإخطار التنظيمي:**
وفق إرشادات SAMA، يجب الإبلاغ عن الانقطاعات الجوهرية في الخدمات المالية ضمن الإطار الزمني المحدد، مع مراعاة التوافق مع متطلبات الإخطار في نظام حماية البيانات الشخصية (PDPL).
إدماج برنامج BCM في منصة GRC يضمن مراقبة مستمرة وتنبيهات اختبار آلية وإدارة أدلة جاهزة للتدقيق.
هل كانت الإجابة مفيدة؟
تواجه شركات الفنتك السعودية تحدياً حقيقياً في بناء برنامج استمرارية أعمال يستوفي متطلبات SAMA CSF في المجال الرابع المتعلق بالمرونة التشغيلية، إلى جانب متطلبات NCA ECC في المتحكم 2-18. وفيما يلي خارطة طريق عملية للتطبيق: **أولاً، تحليل أثر الأعمال (BIA):** حدد الوظائف الحيوية وحدد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) مع الحصول على اعتماد الإدارة العليا. **ثانياً، الحوكمة والسياسات:** أصدر سياسة استمرارية معتمدة من مجلس الإدارة كما يشترط المتطلب 4.1 من SAMA CSF. **ثالثاً، خطة التعافي من الكوارث:** حافظ على خطة DR مختبرة لجميع الأنظمة الحيوية، مع اشتراط NCA ECC الفصل الجغرافي لمواقع الاسترداد. **رابعاً، إدارة الأزمات:** ضع إجراءات تصعيد واضحة وبروتوكولات إخطار الجهات التنظيمية ضمن الأطر الزمنية المحددة من SAMA. **خامساً، الاختبار والتمارين:** نفّذ محاكاة سنوية شاملة وتمارين طاولة نصف سنوية مع توثيق نتائجها. **سادساً، الأطراف الخارجية:** تحقق من وجود ترتيبات استمرارية مع موردي الخدمات الحيوية. **سابعاً، التحسين المستمر:** استثمر دروس التمارين في دورة المراجعة السنوية للبرنامج. توفر منصتنا قوالب جاهزة مربوطة بضوابط SAMA وNCA ECC تُسرّع تقييم الفجوات وتقيس مستوى الامتثال آلياً.
هل كانت الإجابة مفيدة؟
تُمثّل إدارة استمرارية الأعمال ركيزةً أساسية في منظومة الحوكمة الرقابية للمؤسسات المالية السعودية، إذ تفرضها صراحةً كلٌّ من SAMA CSF في المجال 3.5 وNCA ECC في المادة 3.7. ولبناء برنامج ناضج ومتوافق، يجب أن يغطي دورة حياة كاملة تبدأ من تقييم المخاطر وتنتهي بالاختبار والتحسين المستمر.
**متطلبات SAMA CSF (المجال 3.5):**
- اعتماد سياسة رسمية لاستمرارية الأعمال موقّعة من الإدارة العليا.
- إجراء تحليل الأثر على الأعمال (BIA) لتحديد العمليات الحرجة وتحديد مستهدفات وقت الاسترداد (RTO) ونقطة الاسترداد (RPO).
- وضع خطط استمرارية الأعمال (BCP) وخطط التعافي من الكوارث (DRP) والمحافظة على تحديثها.
- اختبار الخطط سنوياً على الأقل عبر تمارين محاكاة أو اختبارات تشغيلية متكاملة.
- دمج سيناريوهات سيبرانية واقعية كهجمات الفدية وDDoS في تمارين الاستمرارية.
**التوافق مع NCA ECC:**
تُوجب المادة 3.7 من NCA ECC على المؤسسات المصنّفة ضمن البنية التحتية الحيوية ضمان استمرارية العمليات خلال فترات الاضطراب، مع إبلاغ هيئة الأمن السيبراني عن أي انقطاعات جوهرية.
**خطوات التطبيق العملي:**
1. تعيين مالك BCM على مستوى قيادي مع تحديد صلاحيات واضحة.
2. رسم خريطة التبعيات بين الأنظمة التقنية والموردين والعمليات الحرجة.
3. توفير مواقع معالجة بديلة (ساخنة أو دافئة أو باردة) للأنظمة الحيوية.
4. وضع مصفوفات تصعيد وخطط تواصل للسيناريوهات الطارئة.
5. توثيق الدروس المستفادة عقب كل تمرين أو حادثة فعلية وتحديث الخطط بناءً عليها.
6. مراجعة وثائق BCM واعتمادها من مجلس الإدارة مرة في السنة على الأقل.
تُولي الفحوصات الرقابية اهتماماً بالغاً بنضج برامج استمرارية الأعمال، وتُشكّل الثغرات في وثائق الاختبار من أكثر النتائج شيوعاً في التقارير الرقابية.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال من أهم المجالات الرقابية للمؤسسات المالية في المملكة، وتحكمها أساساً متطلبات المجال الرابع من إطار SAMA CSF المتعلق بالمرونة، إلى جانب متطلبات NCA ECC في التحكمين 2-9 و2-10. وينبغي أن يُعالج برنامج استمرارية الأعمال كلاً من الاضطرابات الأمنية السيبرانية والمخاطر التشغيلية الأشمل.
**متطلبات SAMA CSF (المجال الرابع):**
- اعتماد سياسة رسمية لاستمرارية الأعمال يُراجَعها سنوياً على الأقل.
- إجراء تحليل الأثر على الأعمال (BIA) لتحديد العمليات الحيوية وأهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO) والحد الأقصى للتوقف المسموح به (MTD).
- اختبار خطط استمرارية الأعمال والتعافي من الكوارث سنوياً على الأقل، بما يشمل تمارين المحاكاة والتحويل الفعلي للأنظمة.
- إدماج سيناريوهات الحوادث السيبرانية ضمن اختبارات استمرارية الأعمال بدلاً من معالجتها بشكل منفصل.
**التوافق مع NCA ECC:**
تُلزم المادة 2-9 المؤسسات بإنشاء إطار مرونة يشمل التكرار في الأنظمة وإمكانية التحويل التلقائي والتحقق من سلامة النسخ الاحتياطية. فيما تشترط المادة 2-10 إجراء تمارين دورية للتعافي من الكوارث مع توثيق النتائج ورفعها للإدارة العليا.
**خطوات التطبيق العملي:**
1. تعيين مالك لبرنامج استمرارية الأعمال يرفع تقاريره لمجلس الإدارة أو لجنة المخاطر.
2. تصنيف الأنظمة وفق نموذج طبقي للأهمية (الطبقة الأولى: حيوي، الثانية: تشغيلي، الثالثة: داعم).
3. التأكد من الفصل الجغرافي للنسخ الاحتياطية واختبار استعادتها فصلياً.
4. دمج خطة استمرارية الأعمال مع خطة الاستجابة للحوادث السيبرانية لبناء إطار متكامل لإدارة الأزمات.
5. توثيق الدروس المستفادة من كل تمرين وتحديث الخطط بناءً عليها.
تُولي الجهات الرقابية اهتماماً بالغاً بنضج برامج استمرارية الأعمال خلال الفحوصات الميدانية، لذا احرص على الاحتفاظ بمحفظة أدلة شاملة تضم نتائج الاختبارات وتقارير BIA وسجلات تحديث الخطط.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF (المجال 4.3) البنوك السعودية بإنشاء برنامج متكامل لإدارة استمرارية الأعمال يكون قابلاً للاختبار ومحدثاً بصفة دورية. فيما يلي أبرز متطلبات التطبيق:
**1. تحليل الأثر على الأعمال وتقييم المخاطر:** يجب إجراء تحليل رسمي لتحديد الوظائف الحيوية وأهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO) والتبعيات على الأنظمة والأطراف الخارجية، وفقاً للضابط 4.3.1.
**2. توثيق خطط الاستمرارية والتعافي:** إعداد خطط مكتوبة ومعتمدة من الإدارة العليا تغطي سيناريوهات الأمن السيبراني كالفدية وهجمات الخدمة الموزعة، لا الكوارث المادية فحسب.
**3. الاختبار الدوري:** يشترط الضابط 4.3.4 إجراء اختبارات دورية لا تقل عن مرة سنوياً تشمل التمارين الافتراضية والمحاكاة الكاملة، مع توثيق النتائج ومعالجة الثغرات.
**4. الربط مع خطط الاستجابة السيبرانية:** ينبغي أن تتكامل خطط الاستمرارية مع خطة الاستجابة للحوادث السيبرانية وتتناول سيناريوهات واقعية كاختراق الأنظمة الحيوية.
**5. خطط التواصل:** تحديد آليات التواصل الداخلي والخارجي بوضوح، بما يشمل مواعيد إخطار ساما والتواصل مع العملاء خلال الاضطرابات.
**6. الموردون الحيويون:** مراجعة خطط استمرارية الأعمال لدى الموردين الرئيسيين والتحقق من اختبارها بشكل منتظم ضمن برنامج إدارة مخاطر الأطراف الثالثة.
**نصيحة عملية:** التوافق مع معيار ISO 22301 يعزز مستوى الامتثال لـ SAMA CSF ويُحسن موقفكم أمام المراجعين التنظيميين.
هل كانت الإجابة مفيدة؟
تُمثّل إدارة استمرارية الأعمال (BCM) أحد المجالات الامتثالية الجوهرية ضمن المجال الرابع من إطار SAMA CSF، تحديداً الضوابط من 4.2 إلى 4.5. ويُتوقع من المؤسسات المالية السعودية بناء برنامج BCM متكامل يتجاوز مجرد التوثيق ليُجسّد المرونة التشغيلية الفعلية.
**هيكل الحوكمة:** يُشترط تعيين مالك مخصص لبرنامج BCM على مستوى الإدارة العليا، مع إعداد تقارير دورية ترفع إلى مجلس الإدارة، وإخضاع سياسة الاستمرارية للمراجعة والاعتماد سنوياً وفق الضابط 4.2.1.
**تحليل أثر الأعمال (BIA):** يُلزَم بإجراء تحليل رسمي لأثر الأعمال لتحديد العمليات الحيوية، ومعدلات التعافي المقبولة (RTO وRPO)، والحد الأقصى لوقت التوقف (MTD). وتتوقع SAMA أن يكون وقت التعافي للأنظمة المصرفية الحيوية أقل من أربع ساعات في العادة.
**وثائق الخطط:** يجب إعداد خطط منفصلة ومتكاملة في آنٍ واحد تشمل: خطة استمرارية الأعمال (BCP)، وخطة التعافي من الكوارث (DRP)، وخطة التواصل في الأزمات، مع تحديد آليات التفعيل والتصعيد وفرق التعافي.
**متطلبات الاختبار:** تشترط SAMA CSF إجراء تمارين محاكاة شاملة مرة سنوياً على الأقل، وتمارين طاولة ربع سنوية، مع توثيق النتائج والثغرات المكتشفة ومتابعة معالجتها.
**الاعتماديات الخارجية والتقنية:** يجب أن يأخذ برنامج BCM في الحسبان مزودي الخدمات الحيويين كموردي الحوسبة السحابية ومعالجي المدفوعات، مع اشتراط الضابط 4.3.5 تضمين بنود الاستمرارية في عقود الموردين.
**الربط مع الاستجابة للحوادث:** يجب دمج خطط BCM مع خطط الاستجابة للحوادث السيبرانية، لا سيما في سيناريوهات برامج الفدية وهجمات حجب الخدمة.
**نصيحة عملية:** استثمر منصة GRC لأتمتة مراجعات BIA، وتتبع نتائج التمارين، وربط ضوابط BCM بخرائط SAMA CSF مباشرةً لتوليد تقارير جاهزة للتدقيق.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال من أكثر المجالات تعقيداً في البيئة التنظيمية السعودية، إذ تتقاطع فيها متطلبات إطار الأمن السيبراني لساما (مجال المرونة السيبرانية، الضابط 3.5.x) مع اشتراطات ضوابط الأمن السيبراني الوطني في المادة 3-7 الخاصة بالمرونة والاستمرارية.
**ما يشترطه ساما:**
- إجراء تحليل أثر الأعمال (BIA) لتحديد العمليات الحيوية والحد الأقصى للتوقف المسموح به
- تحديد أهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO) لكل نظام وفق درجة حساسيته
- اختبار خطط الاستمرارية والتعافي مرة سنوياً على الأقل مع توثيق النتائج
- دمج سيناريوهات الحوادث السيبرانية ضمن تمارين الاستمرارية
**ما تضيفه هيئة الأمن السيبراني:**
تُركز ضوابط هيئة الأمن السيبراني على سلامة النسخ الاحتياطية وجاهزية المواقع البديلة، وتشترط توثيق إجراءات التعافي لجميع الأنظمة المرتبطة بالبنية التحتية الحيوية.
**خطوات التطبيق الفعلي:**
1. إجراء تحليل موحد للمخاطر يغطي الأبعاد التشغيلية والسيبرانية معاً
2. توثيق أهداف الاسترداد وربطها بمستويات الأولوية المحددة من ساما
3. اعتماد استراتيجية واضحة للمواقع الاحتياطية (ساخن/فاتر/بارد) للأنظمة الجوهرية
4. تنفيذ تمارين محاكاة ربع سنوية واختبار فعلي لتحويل الأعمال مرة سنوياً
5. مراجعة جميع وثائق الاستمرارية من قِبل مسؤول أمن المعلومات ومجلس الإدارة سنوياً
6. الاحتفاظ بنسخ احتياطية معزولة وغير قابلة للتعديل مع اختبار دوري للاسترداد منها
تربط منصتنا ضوابط استمرارية الأعمال لديك مباشرةً بمتطلبات ساما وهيئة الأمن السيبراني، مع لوحة تحكم توضح الفجوات الامتثالية بشكل فوري.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة الهوية والوصول من أبرز المحاور التي يرتكز عليها إطار الأمن السيبراني لساما، وتحديداً في المجالين الثالث والرابع المتعلقَين بإدارة مخاطر الأمن السيبراني والعمليات. وعلى البنوك السعودية الالتزام بالضوابط التالية:
**أولاً: إدارة الوصول المميز (PAM):** يشترط الضابط 4.2 من إطار ساما إخضاع الحسابات ذات الصلاحيات العالية لحوكمة صارمة، تشمل منح الوصول لفترات محددة، وتسجيل الجلسات، ومراجعة الصلاحيات دورياً، مع حظر الحسابات المشتركة.
**ثانياً: المصادقة متعددة العوامل (MFA):** تُعدّ إلزامية لجميع الاتصالات عن بُعد وجلسات المستخدمين المميزين، وهو ما يتوافق مع الضابط 4.3 من إطار ساما والمادة ECC-1-4-3 من هيئة الاتصالات الوطنية.
**ثالثاً: التحكم في الوصول القائم على الأدوار (RBAC):** يجب أن تُحدَّد الصلاحيات وفق مبدأ الحد الأدنى من الامتيازات، مع مراجعة الأدوار رسمياً كل ستة أشهر على الأقل.
**رابعاً: دورة حياة المستخدم (الانضمام، النقل، المغادرة):** يستلزم إطار ساما وجود آليات آلية لسحب صلاحيات الموظفين المنتهية خدمتهم خلال 24 ساعة للأنظمة الحرجة.
**خامساً: حوكمة الهوية:** ينبغي الاحتفاظ بسجلات تدقيق مركزية لجميع تغييرات الوصول وإتاحتها للمراجعة الدورية.
**توصية عملية:** أجرِ مراجعة ربع سنوية لصلاحيات الوصول ووثّق نتائجها كدليل لتقييم إطار ساما. ادمج منظومة إدارة الهوية مع نظام SIEM لرصد الأنشطة الشاذة فور حدوثها، إذ تُعدّ ثغرات هذا المجال من أكثر الملاحظات تكراراً في تقييمات نضج إطار ساما.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF البنوكَ السعودية بتطبيق منظومة متكاملة لإدارة الهويات والصلاحيات ضمن النطاق التشغيلي للأمن السيبراني. فبموجب الضابط 3.3.1، يجب الالتزام بمبدأ الصلاحية الدنيا، بحيث لا يحصل الموظف إلا على ما يحتاجه فعلاً لأداء مهامه. أما الضابط 3.3.2 فيشترط تفعيل المصادقة متعددة العوامل (MFA) لجميع الحسابات ذات الصلاحيات المرتفعة وجلسات الوصول عن بُعد. كذلك يُوجب الضابط 3.3.4 وجود إجراء رسمي لإدارة دورة حياة المستخدم، من التعيين وحتى إنهاء الخدمة، مع سحب الصلاحيات فور مغادرة الموظف. ويُضاف إلى ذلك ضرورة اعتماد حلول إدارة الوصول المميز (PAM) لمراقبة الجلسات الحساسة وتسجيلها. على صعيد NCA ECC، تُعزز المادة 2-6 هذه المتطلبات بالنسبة للجهات الخاضعة لنطاقها، إذ تستلزم توثيق سياسات IAM وأتمتة عمليات منح الصلاحيات وربطها بخدمة دليل مركزية. من الناحية العملية، يُنصح بنشر حلول مثل CyberArk أو BeyondTrust لإدارة الوصول المميز، وتوحيد الدخول عبر SSO مقرون بـ MFA باستخدام منصات كـ Azure AD أو Okta، مع إجراء مراجعات دورية ربع سنوية للصلاحيات على الأنظمة الحرجة. الإخلال بهذه الضوابط قد يُفضي إلى ملاحظات رقابية خلال دورات الفحص التي تجريها ساما، فضلاً عن تصاعد مخاطر التهديدات الداخلية.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA للأمن السيبراني، وتحديداً ضمن النطاق الثالث المتعلق بعمليات الأمن السيبراني (الضوابط من 3.3.1 إلى 3.3.6)، البنوكَ السعودية بتطبيق برنامج متكامل لإدارة الهوية والوصول يشمل جميع المستخدمين، مع تركيز خاص على أصحاب الصلاحيات الموسعة.
**أبرز المتطلبات العملية:**
**1. مبدأ الحد الأدنى من الصلاحيات:** يجب أن يحصل كل مستخدم أو نظام على الصلاحيات الضرورية فقط لأداء مهامه، مع توثيق رسمي ومراجعة دورية لا تقل عن مرة سنوياً أو عند تغيير المهام.
**2. إدارة الوصول المميز (PAM):** تُعدّ الحسابات ذات الصلاحيات العالية كالمسؤولين وإداريي قواعد البيانات من أعلى نقاط المخاطر. يُوصى بتطبيق حلول متخصصة مثل CyberArk أو BeyondTrust لتأمين بيانات الاعتماد وتسجيل الجلسات وفرض المصادقة متعددة العوامل.
**3. المصادقة متعددة العوامل (MFA):** فرضها إلزامي على الوصول عن بُعد والحسابات المميزة والأنظمة الحيوية، وهو ما يتوافق أيضاً مع ضابط NCA ECC رقم ECC-2-2-6.
**4. مراجعات الوصول الدورية:** يُنصح بمراجعة الحسابات المميزة كل ثلاثة أشهر، والحسابات العادية سنوياً، مع إلغاء الوصول خلال 24 ساعة من انتهاء خدمة الموظف.
**5. الفصل بين المهام:** لا يجوز أن تتمركز السيطرة الكاملة على عملية حرجة في يد شخص واحد، ويجب معالجة أي تعارض في الأدوار بضوابط تعويضية موثقة.
**نصيحة عملية:** اربط نظام إدارة الهوية بمنصة SIEM لرصد أي نشاط غير اعتيادي فورياً، واحرص على توثيق سياسات الوصول وإجراءات الاستثناء لأن مقيّمي SAMA يُدققون فيها بعناية.
هل كانت الإجابة مفيدة؟
إدارة الهوية والوصول ليست مجرد ضابط تقني، بل هي ركيزة أساسية في برامج الامتثال لكل من SAMA CSF وISO 27001. إليك كيفية بناء برنامج موحد وفعّال:
**متطلبات SAMA CSF (المجال 3.4 – إدارة الهوية والوصول):**
- ضع سياسة تحكم في الوصول تشمل RBAC ومبدأ الحاجة إلى المعرفة وفصل المهام.
- طبّق إدارة الوصول المميز (PAM): يجب أن تكون جميع الحسابات المميزة فردية وموثقة وتُراجع فصلياً.
- المصادقة متعددة العوامل إلزامية للوصول عن بُعد والحسابات المميزة وبوابات العملاء.
- أجرِ مراجعات إعادة اعتماد الصلاحيات كل 90 يوماً للمستخدمين المميزين وكل 6 أشهر للمستخدمين العاديين.
**متطلبات ISO 27001 (المرفق أ، القسم A.9.x):**
- وثّق إجراءات إدارة دورة حياة المستخدم (الانضمام، النقل، المغادرة).
- اشترط تبريراً وظيفياً لكل منح صلاحية.
- قيّد برامج الأداة المميزة وراقبها وفق A.9.4.4.
**خطوات التطبيق العملي:**
١. انشر منصة IGA لأتمتة عمليات منح الصلاحيات وإلغائها.
٢. ادمج تسجيل الدخول الموحد (SSO) مع أداة IGA للحد من تكاثر بيانات الاعتماد.
٣. أرسل جميع سجلات الوصول إلى SIEM مع الحفاظ عليها لمدة 12 شهراً كحد أدنى وفق متطلبات SAMA.
٤. عيّن ضوابط IAM على كلا الإطارين في سجل ضوابط موحد لتجنب تكرار أدلة التدقيق.
**فجوة شائعة:** كثير من شركات الفينتك تغفل عن حسابات الخدمات ورموز API — يجب إدراجها ضمن نطاق PAM وتدوير مفاتيحها بانتظام.
هل كانت الإجابة مفيدة؟
يُعدّ هذا السؤال من أكثر الأسئلة الاستراتيجية شيوعاً بين مديري الأمن السيبراني في البنوك السعودية، والإجابة المختصرة: نعم، يُنصح بالسعي للحصول على كليهما، إذ يُكمل كلٌّ منهما الآخر ولا يتعارضان.
**طبيعة العلاقة بين الإطارين:**
يوفر معيار ISO 27001 إطاراً معترفاً به دولياً لنظام إدارة أمن المعلومات (ISMS) يُركز على الحوكمة والعمليات. في المقابل، يُمثل SAMA CSF إطاراً قطاعياً مُصمماً خصيصاً لواقع وتحديات المؤسسات المالية السعودية. ويتشارك الإطاران قدراً كبيراً من المتطلبات في مجالات إدارة المخاطر والوصول والحوادث وأمن الموردين، مما يعني أن العمل على تطبيق ISO 27001 يُسرّع مسيرة الامتثال لـ SAMA CSF بشكل مباشر.
**أبرز نقاط التقاطع:**
- تقييم المخاطر ومعالجتها: البند 6.2 من ISO 27001 ↔ الضابط 3.2 من SAMA CSF
- إدارة الأصول: الملحق A.8 ↔ الضابط 3.3
- علاقات الموردين: الملحق A.15 ↔ ضوابط مخاطر الأطراف الثالثة
- إدارة الحوادث: الملحق A.16 ↔ الضابط 3.6
**ما يُضيفه ISO 27001:**
تمنح شهادة ISO 27001 مصداقية دولية أمام الشركاء والجهات التنظيمية والعملاء، وتُرسّخ ثقافة التحسين المستمر من خلال دورة PDCA المنظمة.
**التوصية العملية:**
ابدأ بتقييم فجوات موحد يُغطي الإطارين معاً، واعتمد مكتبة ضوابط مشتركة لتجنب ازدواجية التوثيق. ابنِ أساس نظام ISMS أولاً، ثم أضِف الضوابط الخاصة بـ SAMA. تُحقق معظم البنوك السعودية المتوسطة الامتثال للإطارين خلال 12 إلى 18 شهراً مع إدارة برنامج مناسبة.
تدعم منصتنا رسم خرائط التقاطع بين الأطر المتعددة لتتبع وضع الامتثال عبر SAMA CSF وISO 27001 وNCA ECC وNIST CSF في لوحة تحكم واحدة.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة الهوية والوصول من أكثر المجالات التي تخضع للفحص المدقق خلال عمليات تقييم مؤسسة النقد العربي السعودي. يُلزم SAMA CSF في ضابطه 3.3.3 البنوكَ بتطبيق دورة حياة متكاملة لإدارة الوصول تشمل المنح والمراجعة الدورية وإلغاء الصلاحيات. تشمل الضوابط الجوهرية: أولاً، التحكم في الوصول المبني على الأدوار، بحيث تُمنح الصلاحيات بناءً على متطلبات العمل الفعلية مع تطبيق مبدأ الحد الأدنى من الصلاحيات وإلغاء الوصول الدائم للحسابات ذات الامتيازات العالية؛ ثانياً، المصادقة متعددة العوامل التي يفرضها كل من SAMA CSF وNCA ECC على جميع أشكال الوصول عن بُعد والحسابات المتميزة؛ ثالثاً، إدارة الوصول المتميز التي تستوجب تسجيل جلسات العمل الإدارية وحفظها لمدة لا تقل عن اثني عشر شهراً مع حظر الحسابات الإدارية المشتركة؛ رابعاً، مراجعات الوصول الدورية فصلياً للحسابات المتميزة وسنوياً للحسابات الاعتيادية مع توثيق الأدلة؛ خامساً، الفصل بين المهام عبر مصفوفات موثقة تحول دون جمع صلاحيتَي إنشاء المعاملات والموافقة عليها في يد شخص واحد. يُضاف إلى ذلك ضرورة التكامل مع أنظمة SIEM لرصد محاولات الدخول الفاشلة وإصدار تنبيهات عند الأنشطة المشبوهة. ينبغي للبنوك السعي لبلوغ المستوى الثالث من النضج في جميع محاور إدارة الهوية والوصول ضمن تقييم الامتثال الذاتي لإطار SAMA CSF.
هل كانت الإجابة مفيدة؟
بموجب متطلبات إطار SAMA CSF (التحكم 3.3.1)، يتعين على المؤسسات المالية السعودية إنشاء برنامج توعوي رسمي يُصمَّم وفق طبيعة الأدوار الوظيفية، ويشمل جميع الموظفين والمقاولين وأي طرف خارجي يملك صلاحية الوصول إلى الأنظمة الحرجة. ويُشترط تنفيذ هذا البرنامج مرة واحدة على الأقل سنوياً، مع تكثيف الجلسات التدريبية لمستخدمي الصلاحيات الموسعة والكوادر التقنية لتصل إلى مرة كل ربع سنة.
يقوم البرنامج الفعّال على أربعة محاور: أولاً، التدريب التأهيلي للموظفين الجدد قبل منحهم أي صلاحيات. ثانياً، دورات التجديد السنوية لجميع الكوادر وتشمل التصيد الاحتيالي والهندسة الاجتماعية وأمن كلمات المرور والتعامل الآمن مع البيانات. ثالثاً، وحدات تدريبية متخصصة للمطورين وفرق المالية والمسؤولين التنفيذيين. رابعاً، تمارين محاكاة التصيد مع قياس النتائج وتتبع التحسن.
تشترط هيئة ساما توثيق معدلات إتمام التدريب، والاحتفاظ بسجلات الحضور، ورفع تقارير الثغرات إلى الإدارة العليا ومجلس الإدارة. وأي قسم تقل فيه نسبة الإتمام عن 90% يستوجب رفع تقرير تصعيدي فوري. فضلاً عن ذلك، يستلزم قرار هيئة الاتصالات الوطنية (NCA ECC المادة 2-6) أن تنسجم برامج التوعية مع الإطار الوطني لثقافة الأمن السيبراني.
عملياً، تتيح منصة CISO Consulting للحوكمة تتبع نسب الإتمام على مستوى الأقسام، وإنتاج تقارير جاهزة للتدقيق، وجدولة التذكيرات الآلية، مما يضمن الامتثال المستمر لا مجرد تأشيرة سنوية.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF (التحكم 3.3.1) المؤسسات المالية بوضع برنامج رسمي للتوعية والتدريب الأمني مُصمَّم وفق الأدوار والمسؤوليات. إليك خارطة طريق عملية لتنفيذه:
**1. هيكل البرنامج:**
اعتمد نموذجاً متدرجاً: تدريب توعوي عام للموظفين، تدريب تقني لفرق تقنية المعلومات، وجلسات حوكمة للقيادة والمجلس. ويجب أن يُكمل الموظفون الجدد التدريب قبل الوصول إلى الأنظمة.
**2. المحاور الإلزامية:**
- التعرف على هجمات التصيد الاحتيالي والهندسة الاجتماعية
- الاستخدام المقبول لأصول المعلومات
- سياسات كلمات المرور والمصادقة متعددة العوامل
- إجراءات الإبلاغ عن الحوادث
- تصنيف البيانات والتعامل معها
**3. الدورية الزمنية:**
يستلزم SAMA تدريباً سنوياً كحد أدنى لجميع الموظفين، مع اختبارات تصيد احتيالي ربع سنوية. أما المستخدمون ذوو الصلاحيات المرتفعة فيحتاجون تدريباً متخصصاً كل ستة أشهر.
**4. القياس والمتابعة:**
راقب نسب الإتمام (الهدف 100%)، ومعدلات النقر في اختبارات التصيد (المستهدف أقل من 5% بعد سنة)، ودرجات التقييم البعدي. وارفع هذه المؤشرات للـ CISO ولجنة مخاطر المجلس.
**5. التوثيق للتدقيق:**
احتفظ بسجلات التدريب شاملةً توقيتات الإتمام والدرجات وإصدارات المواد، إذ يطلبها المدققون خلال المراجعات التنظيمية.
**6. التوافق مع NCA ECC:**
تتطلب المادة 2-6 من NCA ECC أيضاً تعزيز ثقافة الأمن السيبراني، وبرنامج موحد يُحقق متطلبات الإطارين في آنٍ واحد.
تتيح منصة GRC الخاصة بنا أتمتة تخصيص التدريب وتتبع الامتثال لكل موظف وإنتاج تقارير جاهزة للتدقيق.
هل كانت الإجابة مفيدة؟
خطة الاستجابة للحوادث السيبرانية ليست خياراً في المؤسسات المالية السعودية، بل هي ضرورة تنظيمية فرضها كلٌّ من SAMA CSF وNCA ECC، مع جداول زمنية للإبلاغ تترتب على تجاوزها تبعات امتثالية صارمة.
**متطلبات SAMA CSF (التحكم 3.5 – إدارة حوادث الأمن السيبراني):**
تُلزم SAMA المؤسسات بامتلاك خطة موثقة تشمل: التحضير، الكشف والتحليل، الاحتواء، الاستئصال، الاسترداد، ومراجعة ما بعد الحادثة. والأهم أنه يجب إخطار SAMA بالحوادث الجسيمة خلال **72 ساعة** من اكتشافها، وقد تستلزم الاختراقات المادية الرفع عبر منصة FinCERT.
**التزامات الإبلاغ لدى NCA ECC (المادة 2-9):**
tستوجب الإبلاغ عن الحوادث عالية التأثير للهيئة الوطنية للأمن السيبراني خلال **24 ساعة**، مما يُفرز التزام إبلاغ مزدوجاً يتطلب سير عمل منفصلاً لكل جهة.
**العناصر الهيكلية الأساسية للخطة:**
1. **مصفوفة تصنيف الحوادث** — حدد مستويات الخطورة (P1–P4) مع عتبات تصعيد مرتبطة بمشغلات الإبلاغ التنظيمي.
2. **فريق الاستجابة (CSIRT)** — وزّع الأدوار: قائد الحادثة، القائد التقني، مسؤول الامتثال القانوني، مسؤول الاتصالات، والراعي التنفيذي.
3. **كتيبات التشغيل** — أعدّ كتيبات لسيناريوهات: برامج الفدية، هجمات DDoS، التهديد الداخلي، تسريب البيانات، واحتيال المدفوعات.
4. **قوالب التواصل** — جهّز مسبقاً رسائل الإخطار التنظيمي لـ SAMA وNCA وهيئة SDAIA لتقليص وقت الاستجابة في الأزمات.
5. **الحفاظ على الأدلة** — ضع إجراءات سلسلة الحضانة للأدلة الجنائية الرقمية استعداداً للتحقيقات التنظيمية.
6. **مراجعة ما بعد الحادثة** — أجرها خلال 14 يوماً مع توثيق السبب الجذري والجدول الزمني والإجراءات التصحيحية؛ إذ يراجعها مدققو SAMA.
**دورية الاختبار:**
نفّذ تمارين محاكاة على الطاولة سنوياً كحد أدنى، وتدريبات محاكاة كاملة كل 18–24 شهراً مع توثيق النتائج.
توفر منصتنا قوالب خطة استجابة جاهزة مربوطة بضوابط SAMA CSF، وأتمتة سير عمل الإبلاغ المزدوج لـ SAMA وNCA، وتتبعاً زمنياً للحوادث لأغراض الإثبات التنظيمي.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات الرقابية التي تواجهها المؤسسات المالية في المملكة العربية السعودية. فبموجب المجال الرابع من إطار SAMA CSF (الفرع 4.3 المتعلق بإدارة الأطراف الثالثة)، يتعين على الجهات الخاضعة للرقابة وضع برنامج رسمي لتقييم مخاطر الموردين قبل التعاقد مع أي طرف ثالث يتمتع بصلاحية الوصول إلى الأنظمة أو البيانات الحساسة.
**أبرز المتطلبات:**
**مرحلة ما قبل التعاقد:** إجراء تقييم شامل للوضع الأمني للمورد، بما يشمل الشهادات المعتمدة كـ ISO 27001، وقدراته في الاستجابة للحوادث. ويستوجب الضابط 4.3.1 تصنيف الأطراف الثالثة وفقاً لمستوى حساسية البيانات وصلاحيات الوصول الممنوحة.
**الضمانات التعاقدية:** يجب أن تتضمن العقود مع الموردين بنوداً صريحة تتعلق بالأمن السيبراني، كالتزامات التعامل مع البيانات، ومواعيد الإبلاغ عن الاختراقات (بما يتوافق مع متطلبات نظام PDPL)، وحقوق التدقيق، وشروط إنهاء العقد عند الإخلال.
**المتابعة المستمرة:** يُلزم الضابط 4.3.3 بإجراء إعادة تقييم سنوية للموردين عالي المخاطر، فيما يشترط معيار NCA ECC (المادة 2-5) توثيق الاعتمادات على الأطراف الثالثة واختبارها ضمن تمارين الاستمرارية.
**مزودو الخدمات السحابية:** تُطبَّق ضوابط إضافية وفق متطلبات هيئة الاتصالات الوطنية للأمن السحابي (CCC-1)، تشمل التحقق من إقامة البيانات داخل المملكة أو الحصول على موافقة صريحة من ساما للمعالجة خارجها.
**التوصيات العملية:** الحفاظ على سجل محدّث للموردين وتصنيفهم حسب مستوى المخاطر، وتبنّي استبيانات موحدة مستندة إلى SAMA CSF وISO 27001، مع مراجعة سياسة إدارة مخاطر الأطراف الثالثة سنوياً على مستوى مجلس الإدارة.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF في نطاقه الثالث المتعلق بعمليات الأمن السيبراني، وتحديداً الضابط 3.3، جميع المؤسسات المالية الخاضعة للرقابة بامتلاك خطة موثقة ومختبرة للاستجابة للحوادث السيبرانية. ويُعدّ غياب هذه الخطة أو قصورها من أكثر الملاحظات شيوعاً خلال جولات التفتيش الرقابي لمؤسسة النقد.
**المتطلبات الجوهرية لخطة الاستجابة:**
- **الرصد والكشف:** يجب توفير مركز عمليات أمنية (SOC) يعمل على مدار الساعة، مع آليات واضحة لتصنيف الحوادث حسب خطورتها وأثرها على العمليات وبيانات العملاء.
- **الإخطار والتصعيد:** تستوجب مؤسسة النقد الإبلاغ عن الحوادث الجسيمة خلال 72 ساعة من اكتشافها، والتقصير في ذلك يُعامل بوصفه مخالفة رقابية مستقلة. فضلاً عن ذلك، يجب تصعيد الحوادث الحرجة للإدارة العليا ومجلس الإدارة ضمن إطار زمني محدد مسبقاً.
- **الاحتواء والاستئصال والتعافي:** يستلزم الضابط 3-5 من معايير NCA ECC الحفاظ على سلامة الأدلة الجنائية الرقمية طوال مراحل الاستجابة، مع وجود كتيبات تشغيل لسيناريوهات الهجوم الشائعة كالفدية والاختراق والهجمات المعطلة.
- **مراجعة ما بعد الحادثة:** إجراء جلسة استخلاص الدروس خلال 30 يوماً من إغلاق الحادثة، وتغذية نتائجها في سجل المخاطر وخطط تحسين الضوابط.
**توصية هيكلية:** ينبغي أن تكون خطة الاستجابة مرتبطة عضوياً بخطة استمرارية الأعمال وخطة التعافي من الكوارث لضمان التفعيل السلس. ويُوصى باختبارها عبر تمارين المحاكاة الجدولية مرة واحدة على الأقل سنوياً، مع توثيق النتائج استعداداً للمراجعات الرقابية. وبالنسبة لشركات التقنية المالية الناشئة، يمثل الاستعانة بخدمات CISO الافتراضي خياراً عملياً وفعّالاً من حيث التكلفة.
هل كانت الإجابة مفيدة؟
إدارة مخاطر الموردين الخارجيين تُعدّ من أبرز متطلبات الامتثال التي تواجهها المؤسسات المالية في المملكة العربية السعودية. فبموجب الضابط 3.3 من إطار SAMA CSF الخاص بإدارة الأطراف الثالثة، يتعين على المؤسسات بناء برنامج رسمي لإدارة مخاطر الموردين يغطي دورة الحياة الكاملة للعلاقة مع المورد، بدءاً من الاختيار والتأهيل وصولاً إلى إنهاء التعاقد.
**أبرز خطوات التطبيق الفعلي:**
**أولاً — تصنيف الموردين حسب درجة المخاطرة:** صنّف الموردين بناءً على مستوى وصولهم إلى البيانات وحساسية الخدمات التي يقدمونها. الموردون عالو الخطورة — كمزودي الحوسبة السحابية وأنظمة الصيرفة الأساسية — يستلزمون تدقيقاً أعمق وفق الضابط 3.3.2.
**ثانياً — العناية الواجبة قبل التعاقد:** اطلب من الموردين تعبئة استبيانات أمنية مفصّلة، وتقديم شهادات ISO 27001 أو تقارير SOC 2، وتوقيع اتفاقيات معالجة البيانات المتوافقة مع المادة 29 من نظام PDPL.
**ثالثاً — الاشتراطات التعاقدية الإلزامية:** أدرج بنوداً تشمل مواعيد الإبلاغ عن الحوادث وفق الضابط 3.3.4، وحق التدقيق، والحد الأدنى من الضوابط الأمنية وفق المادة 2-7 من NCA ECC.
**رابعاً — المراقبة المستمرة:** أجرِ تقييمات أمنية سنوية للموردين الحيويين، ومراجعات ربع سنوية للموردين عالي المخاطر، مع الاستفادة من مصادر ذكاء التهديدات لرصد أي اختراقات تطالهم.
**خامساً — ضبط مخاطر التركّز:** تنبّه SAMA صراحةً إلى خطر الاعتماد المفرط على مورد واحد لخدمات حيوية، لذا وثّق خطط البديل المسبقة.
**سادساً — إجراءات إنهاء التعاقد:** تأكد من حذف البيانات بأمان، وإلغاء الصلاحيات، وتغيير الشهادات والمفاتيح فور انتهاء العلاقة مع المورد.
منصتنا توفر بطاقات تقييم آلية للموردين، واستبيانات جاهزة مُعيَّنة على ضوابط SAMA CSF و NCA ECC، وتقارير جاهزة للتدقيق — مما يخفف العبء على فريق الامتثال ويضمن التتبع الكامل للمتطلبات التنظيمية.
هل كانت الإجابة مفيدة؟
الإبلاغ عن الحوادث السيبرانية في القطاع المالي السعودي من أكثر المتطلبات صرامةً على مستوى المنطقة، وتحكمه أُطر تنظيمية متعددة ومتداخلة ينبغي لكل مسؤول أمن معلومات الإلمام بها بدقة.
**متطلبات SAMA CSF (الضابط 3.4.3):**
- **الإبلاغ الفوري (خلال ساعتين):** الحوادث الحرجة كتعطل أنظمة الصيرفة الأساسية، أو الاختراقات الواسعة للبيانات، أو هجمات الفدية التي تمس أنظمة الإنتاج — يجب الإبلاغ عنها لـ SAMA عبر البوابة الرسمية فور اكتشافها.
- **التقرير الكامل (خلال 72 ساعة):** تقرير شامل يتضمن طبيعة الحادثة ونطاقها والأنظمة المتأثرة وأثرها على العملاء والإجراءات الأولية لاحتواء الضرر.
- **التقرير اللاحق للحادثة (خلال 30 يوماً):** تحليل السبب الجذري مع خطة المعالجة والدروس المستخلصة — وهو متطلب إلزامي لا يمكن إغفاله.
**متطلبات الهيئة الوطنية للأمن السيبراني (NCA):**
وفق إطار إدارة الأحداث السيبرانية الصادر عن الهيئة، تلتزم المؤسسات العاملة ضمن البنية التحتية الوطنية الحيوية بالإبلاغ عن الحوادث الجسيمة للمركز الوطني للعمليات السيبرانية (NCOC) خلال 4 ساعات من اكتشافها.
**الإبلاغ عن خروقات البيانات وفق نظام PDPL (المادة 19):**
إن تضمّن الحادث تسريب بيانات شخصية، يُلزم النظام بإبلاغ الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) خلال 72 ساعة، مع ضرورة إخطار الأشخاص المتضررين دون إبطاء إذا كانت حقوقهم في خطر.
**قائمة الاستعداد المسبق:**
- احتفظ بعقد استجابة للحوادث مع جهة متخصصة يتضمن جهات تصعيد متاحة على مدار الساعة لـ SAMA والهيئة الوطنية.
- وثّق مصفوفة تصنيف الحوادث وفق مستويات الخطورة المعتمدة في SAMA CSF.
- أجرِ تدريبات محاكاة لسيناريوهات الاختراق مرتين على الأقل سنوياً.
- تأكد من أن منصة SIEM/SOAR لديك تسجّل وتختم بالتوقيت الزمني كل خطوة من الاكتشاف حتى الإبلاغ لأغراض التدقيق.
التأخر في الإبلاغ يُعرّض المؤسسة لعقوبات تنظيمية صارمة، وأضرار في السمعة، وزيادة الرقابة التنظيمية عليها.
هل كانت الإجابة مفيدة؟
بموجب متطلبات إطار SAMA CSF ضمن مجال إدارة الأطراف الثالثة (3.3)، يتعين على البنوك السعودية بناء برنامج متكامل لإدارة مخاطر الموردين يغطي دورة حياة العلاقة بالكامل، من مرحلة الاختيار والتعاقد وصولاً إلى إنهاء الخدمة.
**أولاً: تصنيف الموردين حسب المخاطر:** يجب تصنيف الموردين إلى فئات (حرجة، عالية، متوسطة، منخفضة) بناءً على طبيعة وصولهم إلى الأنظمة والبيانات، إذ يستوجب الموردون المرتبطون بالأنظمة الجوهرية أو بيانات العملاء أعلى مستويات الفحص والمتابعة.
**ثانياً: العناية الواجبة قبل التعاقد:** يشترط SAMA CSF 3.3.2 الحصول على ضمانات أمنية موثقة قبل منح أي وصول، وتشمل التحقق من شهادات الأمن كـ ISO 27001، وسياسات التعامل مع البيانات، وقدرات الاستجابة للحوادث.
**ثالثاً: الالتزامات التعاقدية:** يجب أن تتضمن العقود بنوداً أمنية واضحة تشمل حق التدقيق، ومتطلبات الإشعار بالحوادث خلال 72 ساعة كحد أقصى، وآليات إعادة البيانات أو إتلافها عند انتهاء التعاقد، فضلاً عن الامتثال لضوابط NCA ECC ذات الصلة.
**رابعاً: المراقبة المستمرة:** تُجرى إعادة تقييم سنوية للموردين الحرجين وعالي المخاطر، وكل سنتين للفئات الأدنى. كما يتعين على البنوك التي تتعامل مع موردي الحوسبة السحابية الامتثال لضوابط NCA للأمن السحابي (CCC-1) وضمان إقامة البيانات الحساسة داخل المملكة.
عملياً، يُنصح بتوحيد سجلات الموردين ضمن منصة GRC متكاملة تدعم أتمتة عمليات التقييم وإعداد تقارير دورية للإدارة العليا.
هل كانت الإجابة مفيدة؟
التوعية الأمنية ليست مجرد ممارسة اختيارية، بل هي متطلب تنظيمي صريح تفرضه ساما في المحور الثاني من إطارها للأمن السيبراني (القيادة والحوكمة)، وكذلك هيئة الاتصالات الوطنية في المادة 3-3 من معايير ECC. والبرنامج الناجح يتجاوز بكثير دورات المراسلة الإلكترونية السنوية المعتادة.
**الحد الأدنى من المتطلبات التنظيمية**
يُلزم ضابط التحكم 2.3 في إطار SAMA CSF المؤسساتِ بإنشاء برنامج توعية يشمل جميع الموظفين والمتعاقدين وأطراف ثالثة لديها صلاحيات الوصول، مع توثيق البرنامج وتتبع نتائجه وإبراز الأدلة لمفتشي ساما عند الحاجة.
**أفضل الممارسات في تصميم البرنامج**
*التدريب حسب الدور الوظيفي:* لا يكفي التدريب العام. خصّص المحتوى لكل فئة؛ فالمطورون يحتاجون التدريب على البرمجة الآمنة، وموظفو المالية يحتاجون الوعي بالتصيد الاحتيالي، والمديرون التنفيذيون يحتاجون وحدات حوكمة المخاطر السيبرانية.
*الدورية والتكرار:* نفّذ التدريب عند التعيين وسنوياً كحد أدنى، مع محتوى تعليمي شهري قصير وحملات تصيد محاكاة منتظمة.
*محاكاة التصيد الاحتيالي:* تتوقع ساما أدلة على إجراء تمارين محاكاة للتصيد. تتبع نسب النقر والإبلاغ وإتمام التدريب العلاجي، وقيّس التحسن ربع سنوياً.
*تدريب المستخدمين ذوي الصلاحيات المرتفعة:* يستلزم ضابط التحكم 3.3.7 تدريباً متخصصاً للموظفين ذوي الصلاحيات الإدارية يشمل التهديدات الداخلية وإساءة استخدام الصلاحيات والإبلاغ عن الحوادث.
*المقاييس والتقارير:* ارفع تقارير دورية لكبار المسؤولين ومجلس الإدارة تتضمن نسب إتمام التدريب، واتجاهات تحسّن محاكاة التصيد، ونسبة الحوادث المرتبطة بالخطأ البشري.
*المحتوى باللغة العربية:* احرص على توفير المواد التدريبية باللغة العربية لضمان الاستيعاب الكامل وتعزيز مصداقية برنامجك أمام مدققي ساما.
برنامج التوعية المتكامل يقلل بشكل ملموس من مخاطر العنصر البشري ويوفر أدلة قابلة للتدقيق على الامتثال لإطار SAMA CSF.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التي تفرضها كلٌّ من مؤسسة النقد العربي السعودي (SAMA) ضمن النطاق 3.3 من إطار الأمن السيبراني، والهيئة الوطنية للأمن السيبراني (NCA) وفق معيار ECC-1:2-6.3. ولبناء برنامج فعّال ومتوافق مع هذه المتطلبات، ينبغي مراعاة المحاور التالية:
**أولاً: تصنيف موردي الخدمات:** يجب تصنيف جميع الأطراف الثالثة وفق مستوى الأهمية والحساسية ودرجة وصولهم إلى البيانات والأنظمة. وتُصنَّف الجهات التي تتعامل مع بيانات العملاء أو أنظمة الخدمات المصرفية الجوهرية ضمن الفئة الأولى وتستوجب أعلى مستويات التدقيق.
**ثانياً: العناية الواجبة قبل التعاقد:** يلزم إجراء تقييم رسمي للوضع الأمني لكل مورد قبل الشروع في التعامل معه، ويشمل ذلك شهاداته الأمنية كـ ISO 27001 وتاريخه في التعامل مع الحوادث وشبكة مقاوليه من الباطن، وذلك انسجاماً مع الضابط 3.3.3 من إطار SAMA CSF.
**ثالثاً: الاشتراطات الأمنية في العقود:** ينبغي تضمين عقود الموردين بنوداً صريحة تتعلق بحماية البيانات وفق نظام حماية البيانات الشخصية (PDPL)، وتحديد مهل الإبلاغ عن الحوادث، وضمان حق التدقيق والمراجعة.
**رابعاً: المتابعة المستمرة:** لا يكفي التقييم مرة واحدة؛ إذ يجب مراقبة الموردين بصورة دورية وإجراء تقييمات منتظمة على الأقل مرة سنوياً للموردين من الفئة الأولى.
**خامساً: إجراءات إنهاء التعاقد:** يستلزم إنهاء العلاقة مع أي مورد اتخاذ إجراءات واضحة لإعادة البيانات أو إتلافها بما يتوافق مع المادة 19 من نظام PDPL.
الحفاظ على سجل مركزي لمخاطر الموردين يُراجَع ربع سنوياً من قِبَل فريق الأمن السيبراني يُعدّ خطوة عملية أساسية لضمان الامتثال خلال مراجعات SAMA.
هل كانت الإجابة مفيدة؟
لا تُعدّ برامج التوعية بالأمن السيبراني رفاهيةً اختيارية لشركات الفينتك السعودية، بل هي التزام صريح بموجب الضابط 3.2.2 من إطار SAMA CSF والمادة 2-10-1 من معيار NCA ECC، اللذين يشترطان وجود برنامج توعوي رسمي ودوري. وفيما يلي منهجية عملية لبناء برنامج فعّال ومتوافق:
**أولاً: وضع سياسة التوعية:** يبدأ البناء الصحيح بوثيقة سياسة رسمية تحدد نطاق البرنامج وتكراره والمسؤوليات المرتبطة به، على أن تُراجَع سنوياً كما تشترط SAMA.
**ثانياً: تصميم محتوى مخصص حسب الدور:** ينبغي تصميم وحدات تدريبية منفصلة لكل فئة؛ للموظفين العامين (التصيد الاحتيالي، الهندسة الاجتماعية)، وفرق تقنية المعلومات والأمن (التهديدات التقنية والبرمجة الآمنة)، والإدارة العليا (حوكمة المخاطر السيبرانية والالتزامات التنظيمية). وهذا ما تنص عليه المادة 2-10-2 من NCA ECC صراحةً.
**ثالثاً: محاكاة هجمات التصيد:** تُجرى حملات محاكاة دورية كل ثلاثة أشهر لاختبار يقظة الموظفين وقياس معدلات الاستجابة، إذ تطلب SAMA في الغالب أدلة على تنفيذ هذه التمارين.
**رابعاً: التدريب عند الالتحاق والتجديد الدوري:** يُشترط إتمام الموظف الجديد التدريب التوعوي قبل منحه الوصول إلى الأنظمة، مع تجديد تدريب الموظفين الحاليين سنوياً على أقل تقدير.
**خامساً: قياس الأداء والإبلاغ:** تُرصد معدلات إتمام التدريب ونتائج الاختبارات ونسب الاستجابة لمحاكاة التصيد وتُرفع إلى الإدارة العليا ربع سنوياً، وتُدرج في تقرير التقييم الذاتي السنوي لـ SAMA.
**سادساً: ملاءمة المحتوى للبيئة السعودية:** يجب أن يُشير المحتوى التدريبي إلى الأنظمة واللوائح المحلية كـ SAMA وNCA ونظام PDPL، مع توفير مواد باللغة العربية لتعزيز الفهم والتفاعل.
برنامج التوعية الناضج يحوّل موظفيك من نقطة ضعف محتملة إلى خط دفاع أمامي فعّال.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التي يُرسّخها إطار SAMA CSF، لا سيما في النطاق الثالث المتعلق بإدارة مخاطر الأمن السيبراني، والذي يُلزم المؤسسات بوضع برنامج رسمي وشامل لإدارة مخاطر الموردين والشركاء الخارجيين.
من أبرز الخطوات العملية لتطبيق ذلك:
1. **تصنيف الموردين**: يجب تصنيف جميع الأطراف الثالثة وفق مستوى المخاطرة — حرج، عالٍ، متوسط، منخفض — بناءً على طبيعة البيانات التي يصلون إليها والخدمات التي يقدمونها.
2. **تقييم ما قبل التعاقد**: إجراء فحص دقيق للأمن السيبراني قبل بدء أي علاقة تعاقدية، باستخدام استبيانات موحّدة تتوافق مع ضوابط SAMA CSF وNCA ECC.
3. **الاشتراطات التعاقدية**: يجب أن تتضمن عقود الموردين بنوداً صريحة تشمل حماية البيانات وفق نظام PDPL، ومواعيد الإبلاغ عن الحوادث، وحق التدقيق.
4. **المراقبة المستمرة**: إعادة تقييم الموردين الحيويين سنوياً، مع الاستعانة بأدوات الرصد الآني واستخبارات التهديدات للكشف المبكر عن أي مخاطر في سلاسل التوريد.
5. **مخاطر التركّز التقني**: تُولي SAMA اهتماماً خاصاً لمخاطر الاعتماد على مورد واحد في خدمات متعددة، مما يستوجب وجود خطة طوارئ مخصصة لكل حالة من هذا النوع.
6. **الموردون السحابيون**: يجب التحقق من التزام مزودي الخدمات السحابية بضوابط NCA للأمن السيبراني السحابي، وضمان استضافة البيانات داخل المملكة حين يُشترط ذلك.
إهمال هذا الجانب قد يُفضي إلى ملاحظات رقابية من SAMA وإجراءات تصحيحية مكلفة.
هل كانت الإجابة مفيدة؟
لا يُعدّ برنامج التوعية الأمنية خياراً اختيارياً في المؤسسات المالية السعودية، بل هو التزام صريح تفرضه المجال الثاني من إطار ساما (القيادة والحوكمة) والضابط 3.2.1، اللذان يستوجبان برنامجاً رسمياً قائماً على الأدوار ويُراجَع سنوياً على أقل تقدير.
**ركائز البرنامج الفعّال:**
**أولاً: تقسيم الجمهور المستهدف** — صمّم مسارات تدريبية مختلفة للموظفين العامين وفرق تقنية المعلومات والمستخدمين ذوي الصلاحيات الموسّعة وأعضاء مجلس الإدارة والقيادة التنفيذية.
**ثانياً: الموضوعات الإلزامية** — غطّ على الأقل: التصيد الاحتيالي والهندسة الاجتماعية، وحفظ كلمات المرور، والاستخدام المقبول للأصول التقنية، ومعالجة البيانات وفق نظام PDPL، وإجراءات الإبلاغ عن الحوادث.
**ثالثاً: محاكاة التصيد الاحتيالي** — نفّذ حملات محاكاة ربع سنوياً وتتبع معدلات الاستجابة وإتمام التدريب التصحيحي لإثبات تحسن الوعي الأمني أمام الرقابة.
**رابعاً: تدريب متخصص للأدوار عالية الخطورة** — موظفو الخزينة والمدفوعات وخدمة العملاء بحاجة إلى تدريب مخصص على الاحتيال المالي وتزوير البريد الإلكتروني التجاري نظراً لطبيعة عملهم.
**خامساً: المؤشرات والتقارير** — احتفظ بسجلات إتمام التدريب (يُنصح بمعدل لا يقل عن 90%)، ونتائج محاكاة التصيد، وتحليل الاتجاهات. قدّم هذه البيانات للجنة مخاطر مجلس الإدارة سنوياً.
**سادساً: التوافق مع NCA ECC** — تُلزم المادة 2-5 من إطار هيئة الأمن السيبراني الوطني بالتوعية الأمنية كضابط جوهري، لذا اربط تقويم برنامجك بدورة الحوكمة الأمنية الشاملة.
**سابعاً: الاستمرارية على مدار العام** — تجاوز نموذج التدريب السنوي إلى ثقافة أمنية مستدامة عبر التعلم المصغّر والنشرات الأمنية الدورية وقصص الحوادث الواقعية.
البرامج الموثقة ذات النتائج القابلة للقياس تحظى باهتمام متزايد في فحوصات ساما الرقابية وتعكس نضجاً حقيقياً في منظومة الأمن السيبراني.
هل كانت الإجابة مفيدة؟
يُلزم إطار الأمن السيبراني الصادر عن مؤسسة النقد العربي السعودي (SAMA CSF) في محور إدارة الأطراف الثالثة (3.3) البنوكَ بإنشاء برنامج متكامل وقائم على تقييم المخاطر لإدارة علاقاتها مع الموردين والشركاء، يشمل جميع مراحل دورة حياة هذه العلاقات.
**أبرز المتطلبات العملية:**
1. **تصنيف الموردين:** قسّم الموردين وفق درجة تأثيرهم على العمليات الحيوية — الفئة الأولى تشمل مزودي الأنظمة المصرفية الأساسية والخدمات السحابية.
2. **تقييم ما قبل التعاقد:** أجرِ تقييمات أمنية شاملة قبل إبرام العقود، وتحقق من حصول المورد على شهادة ISO 27001 وتقارير SOC 2.
3. **الضمانات التعاقدية:** أدرج في العقود بنوداً تُلزم المورد بالإبلاغ عن الحوادث خلال 72 ساعة وفق متطلبات SAMA، مع حق التدقيق وإعادة البيانات أو حذفها وفق المادة 19 من نظام حماية البيانات الشخصية (PDPL).
4. **المراقبة المستمرة:** أعِد تقييم الموردين من الفئة الأولى سنوياً، وتابع أي اختراقات يتعرضون لها عبر مصادر استخبارات التهديدات.
5. **مخاطر التركّز:** تنبّه لمخاطر الاعتماد المفرط على مورد واحد، وضع خططاً بديلة واضحة لمواجهة أي انقطاع.
6. **إنهاء التعاقد:** احرص على حذف البيانات وإلغاء جميع صلاحيات الوصول خلال 24 ساعة من انتهاء العقد.
يُنصح أيضاً بمراجعة المادة 2-14 من ضوابط الأمن السيبراني الوطنية (NCA ECC) المتعلقة بأمن سلسلة التوريد، والاحتفاظ بسجل مركزي للموردين يتضمن تقييمات مخاطر محدّثة باستمرار لتيسير عمليات الفحص الرقابي.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التنظيمية التي تفرضها كلٌّ من هيئة السوق المالية (SAMA CSF) ضمن النطاق 3.3، والهيئة الوطنية للأمن السيبراني في ضوابطها (ECC-1:2018، الضابط 2-7). ويُتوقع من المؤسسات المالية بناء إطار متكامل لإدارة هذه المخاطر يشمل دورة حياة المورّد كاملةً من الاختيار حتى إنهاء العلاقة.
أبرز ما يجب تطبيقه:
1. **تصنيف الموردين وفق المخاطر**: يُصنَّف الموردون بحسب مستوى وصولهم إلى الأنظمة الحساسة وبيانات العملاء، وتُطبَّق إجراءات عناية مشددة على الموردين ذوي الخطورة العالية.
2. **الالتزامات التعاقدية الأمنية**: وفق الضابط 3.3.3 من SAMA CSF، يجب أن تتضمن العقود مع الموردين شروطاً واضحة تتعلق بالإبلاغ عن الحوادث خلال 24 إلى 72 ساعة، وسياسات التعامل مع البيانات، وحق إجراء التدقيق.
3. **تقييمات الأمن السيبراني**: تُجرى تقييمات سنوية للموردين الجوهريين استناداً إلى معايير ISO 27001 أو إطار NIST CSF، مع التحقق الميداني للموردين من الفئة الأولى.
4. **مخاطر التركّز**: تتوقع هيئة السوق المالية من المؤسسات رصد حالات الاعتماد المفرط على مورّد واحد وتخفيف مخاطر ذلك.
5. **الموردون السحابيون وخدمات البرمجيات كخدمة (SaaS)**: يشترط الضابط 2-7-3 من NCA ECC ضمان التزام مزوّدي الخدمات السحابية بمتطلبات حوكمة البيانات المحلية قبل التعاقد معهم.
على الصعيد العملي، يُنصح بالاحتفاظ بسجل مركزي لمخاطر الموردين، ودمج هذه الإدارة ضمن دورة تقييم المخاطر السنوية، مع الاستعانة بمنصات GRC الذكية لتتبع الامتثال وجمع الأدلة بصورة آلية.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التي يفرضها إطار SAMA CSF في النطاق 3.3، إذ يُلزم المؤسسات المالية بوضع منهجية واضحة لإدارة علاقات الموردين من لحظة التعاقد حتى انتهاء العلاقة.
**أبرز المتطلبات:**
- **تقييم ما قبل التعاقد:** يشترط الضبط 3.3.1 من SAMA CSF تقييم الوضع الأمني للأطراف الثالثة قبل التعامل معها، وذلك من خلال مراجعة شهادات ISO 27001 وتقارير SOC 2 واستبيانات الأمن.
- **الضوابط التعاقدية:** يُوجب الضبط 3.3.2 تضمين العقود التزامات أمنية صريحة، وحق التدقيق، وإجراءات الإخطار بالاختراقات وفق المادة 29 من نظام PDPL.
- **المراقبة المستمرة:** إعادة تقييم الموردين دورياً، وعلى الأقل سنوياً للموردين الحيويين، مع تصنيفهم حسب مستوى المخاطر.
- **مزودو الخدمات السحابية:** تنطبق متطلبات المادة 7 من NCA ECC عند الاستعانة بمزودين سحابيين، بما في ذلك التحقق من موقع البيانات وضبط الصلاحيات.
**خطوات عملية:**
1. بناء سجل شامل بالموردين مصنّفاً حسب الأهمية.
2. استخدام استبيانات أمنية موحدة مرتبطة بضوابط SAMA CSF وNCA ECC.
3. إنشاء سجل مخاطر للموردين مع تحديد عتبات التصعيد.
4. إدراج تقارير إدارة مخاطر الأطراف الثالثة ضمن لوحات المعلومات المرفوعة لمجلس الإدارة.
الإهمال في هذا الجانب يُعرّض المؤسسات للعقوبات التنظيمية وهجمات سلاسل التوريد، وقد باتت مؤسسة النقد تُولي هذا الملف اهتماماً متزايداً خلال دورات الفحص الرقابي.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز الالتزامات التنظيمية التي تواجه المؤسسات المالية السعودية. فبموجب المتطلب 3.3.1 من إطار SAMA CSF، يتعين على هذه المؤسسات بناء برنامج رسمي لإدارة مخاطر الموردين يغطي دورة حياة العلاقة مع المورد بالكامل، بدءاً من مرحلة الاختيار وحتى إنهاء التعاقد.
**أبرز المتطلبات العملية:**
**1. التقييم المسبق قبل التعاقد:** إجراء تقييم أمني شامل للموردين الجوهريين، يشمل مراجعة شهادات ISO 27001 وتقارير SOC 2 Type II والسياسات الأمنية المعتمدة لديهم.
**2. الضمانات التعاقدية:** إدراج بنود أمنية واضحة في العقود تشمل الالتزام بالإبلاغ عن الاختراقات خلال 72 ساعة وفق متطلبات نظام PDPL، وحق التدقيق، وضوابط التعامل مع البيانات الشخصية وفق المواد 19 إلى 21 من النظام.
**3. المراقبة المستمرة:** وفق المتطلب 3.3.3 من SAMA CSF، يجب إجراء إعادة تقييم سنوية للموردين الجوهريين، وربع سنوية لمن لديهم صلاحية الوصول إلى البيانات الحساسة. كما يشترط المتطلب 2-14 من NCA ECC أن تلتزم الجهات المُستعان بها خارجياً بنفس مستوى الضوابط الأمنية المطبقة داخلياً.
**4. مخاطر التركّز:** تقييم الاعتماد على مورد وحيد لتجنب التعرض لمخاطر منهجية، لا سيما في بيئات الحوسبة السحابية.
**5. مخاطر الأطراف الرابعة:** رصد المتعاقدين من الباطن الذين يعمل معهم موردوك الرئيسيون، خاصة في خدمات SaaS والسحابة.
توفر منصتنا للحوكمة والامتثال سجلاً منظماً لمخاطر الموردين، وسير عمل تقييم آلية، ولوحات متابعة تُرجع كل خطر مباشرة إلى متطلبات SAMA CSF وNCA ECC، مما يُيسّر إثبات الامتثال أمام المفتشين.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أكثر المجالات حساسيةً في بيئة الامتثال المالي السعودي، إذ تُلزم كلٌّ من متطلبات SAMA CSF (النطاق 3.4) ومعايير NCA ECC (المادة 2-7) المؤسساتِ الماليةَ ببناء برنامج متكامل لإدارة مخاطر الموردين يغطي دورة الحياة الكاملة لأي طرف خارجي، من مرحلة التعاقد حتى إنهاء العلاقة.
**أبرز المتطلبات العملية:**
**أولاً – تقييم المورد قبل التعاقد:** يجب إجراء تقييم شامل للوضع الأمني للمورد، والتحقق من حصوله على شهادات معترف بها كـ ISO 27001، لا سيما إذا كان سيتعامل مع بيانات حساسة أو أنظمة حيوية.
**ثانياً – الاشتراطات التعاقدية:** ينبغي تضمين عقود الموردين بنوداً صريحة تُلزمهم بالامتثال لإطار SAMA CSF وأحكام نظام حماية البيانات الشخصية (PDPL)، بما فيها الإبلاغ عن الحوادث خلال 72 ساعة وفق المادة 20 من اللائحة التنفيذية للنظام.
**ثالثاً – المراقبة المستمرة:** لا يكفي التقييم لمرة واحدة؛ فالمتطلبات التنظيمية تستوجب متابعة دورية للموردين الجوهريين، مع إعادة تقييم شاملة مرة سنوياً على الأقل لموردي الفئة الأولى.
**رابعاً – تصنيف الموردين حسب الأهمية:** صنِّف الموردين إلى ثلاث فئات بحسب حجم الاعتماد عليهم وحساسية البيانات التي يتعاملون معها، وضع خططاً موثقة لمعالجة المخاطر لكل فئة وفق ما تشترطه المادة 2-7-3 من NCA ECC.
**خامساً – الموردون السحابيون:** يستلزم التعامل مع مزودي الخدمات السحابية الالتزام الإضافي بضوابط الأمن السيبراني السحابية الصادرة عن الهيئة الوطنية للأمن السيبراني (CCC-1).
تُتيح منصة CISO Consulting أتمتة استبيانات تقييم الموردين وتتبع الفجوات الامتثالية، مما يُخفف العبء عن فريقَي الأمن والمشتريات.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التي يفرضها كلٌّ من إطار SAMA CSF (المجال 3.3 – إدارة الأطراف الثالثة) ومعايير هيئة الأمن السيبراني الوطنية NCA ECC (الضابط 2-14). ويتعين على المؤسسات المالية السعودية بناء برنامج متكامل وقائم على المخاطر لإدارة علاقاتها مع الموردين، يمتد ليغطي كافة مراحل دورة حياة هذه العلاقات بدءًا من الاختيار وحتى إنهاء التعاقد.
**أبرز خطوات التطبيق الفعلي:**
1. **تصنيف الموردين:** يُصنَّف الموردون وفق درجة أهميتهم ومستوى وصولهم إلى البيانات، إذ تستوجب الجهات التي تتعامل مع البيانات المالية الشخصية أو البنية التحتية الجوهرية مستوى أعلى من الفحص والمراقبة.
2. **العناية الواجبة قبل التعاقد:** إجراء تقييم للأمن السيبراني قبل إبرام أي عقد، مع طلب شهادة ISO 27001 ونتائج اختبارات الاختراق وتقارير SOC 2 عند الاقتضاء.
3. **الاشتراطات التعاقدية:** يجب أن تتضمن عقود الموردين بنودًا واضحة تتعلق بحماية البيانات وفق المادة 21 من نظام حماية البيانات الشخصية (PDPL)، وآليات الإشعار بالحوادث خلال 72 ساعة، وحق التدقيق، وحق إنهاء العقد عند الإخلال بمتطلبات الأمن.
4. **المراقبة المستمرة:** وفق الضابط 3.3.4 من SAMA CSF، تُجرى إعادة تقييم دورية للموردين الجوهريين بحد أدنى مرة سنويًا، مع الاستعانة بأدوات إدارة مخاطر الموردين أو الاستبيانات المعيارية.
5. **مخاطر التركز:** تتوقع هيئة SAMA من البنوك تحديد المخاطر الناجمة عن الاعتماد المفرط على مورد واحد أو مزود خدمة سحابية لمهام حيوية متعددة وإدارتها بفاعلية.
6. **ضوابط إنهاء التعاقد:** يشمل ذلك الحذف الآمن للبيانات، وإلغاء صلاحيات الوصول، وتغيير بيانات الاعتماد فور انتهاء العلاقة مع المورد.
توفر منصتنا للحوكمة وإدارة المخاطر والامتثال سير عمل جاهزة لإدارة مخاطر الأطراف الثالثة، مرتبطة مباشرةً بضوابط SAMA CSF وNCA ECC، مما يُمكّن فرق الامتثال من أتمتة عمليات التقييم وتتبع درجات مخاطر الموردين وإعداد تقارير جاهزة للتدقيق بكفاءة عالية.
هل كانت الإجابة مفيدة؟
تُعدّ برامج التوعية بالأمن السيبراني ركيزةً إلزامية بموجب النطاق الثاني من إطار عمل مؤسسة النقد (SAMA CSF) المتعلق بالحوكمة والقيادة، وكذلك الضابط 1-3 من NCA ECC الخاص بالتوعية والتدريب. ولكي تُقيم شركات التقنية المالية برنامجاً فعّالاً ومتوافقاً، لا يكفي الاكتفاء بدورة سنوية عامة، بل يستلزم الأمر نهجاً منظماً يراعي الأدوار ويقيس النتائج باستمرار.
**عناصر التصميم الأساسية:**
**أولاً - مسارات تدريبية مخصصة حسب الدور:** تختلف التهديدات باختلاف المهام الوظيفية، لذا يجب تطوير وحدات تدريبية مستقلة للموظفين العاديين، وفرق تقنية المعلومات والأمن، والمستخدمين المميزين، والمديرين التنفيذيين وأعضاء مجلس الإدارة. ويشترط الضابط 2.1.2 من SAMA CSF صراحةً تدريب مجلس الإدارة على مفاهيم الأمن السيبراني.
**ثانياً - وتيرة التدريب:** لا يكفي التدريب السنوي وحده؛ إذ يُوصى بدمجه مع جلسات تعليمية قصيرة شهرية، وتمارين محاكاة التصيّد الاحتيالي بصفة ربع سنوية، وتدريب فوري عند وقوع حوادث أو تغيير السياسات.
**ثالثاً - المحتوى المطلوب:** يجب أن يشمل البرنامج مواضيع التصيّد الاحتيالي والهندسة الاجتماعية، وإدارة كلمات المرور، والتعامل الآمن مع البيانات وفق نظام PDPL، وسياسات الاستخدام المقبول، وإجراءات الإبلاغ عن الحوادث، وممارسات العمل الآمن عن بُعد.
**رابعاً - محاكاة هجمات التصيّد:** تُعدّ الحملات المنتظمة لمحاكاة التصيّد من الضوابط الأساسية؛ يُتتبّع فيها معدل النقر والإبلاغ، ويُوجَّه المكرّرون إلى تدريب علاجي مركّز.
**خامساً - القياس والإبلاغ:** يستوجب SAMA CSF توثيق معدلات إتمام التدريب ومؤشرات الفاعلية، ورفعها إلى الإدارة العليا، إذ قد تطلبها الجهات التنظيمية أثناء عمليات الفحص.
**سادساً - استقبال الموظفين الجدد:** يشترط الضابط 3.3.2 من SAMA CSF إتمام التدريب الأمني قبل منح الوصول إلى الأنظمة لأي موظف جديد.
توفر منصتنا إطاراً جاهزاً لبرامج التوعية الأمنية مرتبطاً بمتطلبات SAMA وNCA وPDPL، مع جدولة تلقائية، وتتبع نسب الإتمام، ولوحات تحكم تنفيذية لإعداد تقارير التدقيق.
هل كانت الإجابة مفيدة؟
تُعدّ برامج التوعية الأمنية ركيزةً أساسية ضمن المجال الثاني من SAMA CSF المعني بالقيادة والحوكمة السيبرانية، ولا سيما الضابط 2.3 الذي يُوجب تزويد جميع الموظفين — بصرف النظر عن مستوياتهم الوظيفية — بتدريب أمني منظم يناسب طبيعة أدوارهم.
**الحد الأدنى من المتطلبات:**
- **الدورية:** يجب أن يتلقى جميع الموظفين تدريباً على الوعي الأمني مرة واحدة على الأقل سنوياً، بينما يُلزَم أصحاب الصلاحيات المميزة — كمديري الأنظمة والمطورين وموظفي المالية — بتدريب متخصص كل ستة أشهر.
- **الموظفون الجدد:** يجب إتمام التدريب قبل منح الوصول للأنظمة أو فور الالتحاق بالعمل مباشرةً وفق SAMA CSF 2.3.1.
- **محاكاة الاحتيال الإلكتروني:** توصي SAMA CSF بشدة بإجراء حملات تصيد احتيالي محاكاة دورية لقياس مستوى استعداد الموظفين وتعزيز محتوى التدريب بناءً على نتائجها.
**المحتوى المطلوب:**
- التوعية بأساليب الهندسة الاجتماعية والتصيد الاحتيالي
- إدارة كلمات المرور واستخدام المصادقة متعددة العوامل
- تصنيف البيانات والتعامل معها وفق متطلبات نظام PDPL
- إجراءات الإبلاغ عن الحوادث الأمنية
- السياسات المقبولة لاستخدام الأجهزة الشخصية والأنظمة
- الممارسات الآمنة للعمل عن بُعد
**الحوكمة والتوثيق:**
- الاحتفاظ بسجلات إتمام التدريب لجميع الموظفين، إذ يطلبها فاحصو SAMA عادةً خلال الفحوصات الرقابية.
- تتبع نسب الإتمام عبر نظام إدارة التعلم (LMS) ورفع تقارير دورية للإدارة العليا ولجنة المخاطر في مجلس الإدارة.
- تصميم محتوى مخصص لأعضاء مجلس الإدارة والقيادة التنفيذية يتناول حوكمة المخاطر السيبرانية.
**مستوى النضج:** المؤسسات الساعية لتحقيق مستوى النضج 3+ في SAMA CSF مطالَبة بإثبات تحسّن ملموس في فاعلية التدريب من خلال مؤشرات قابلة للقياس، كانخفاض معدلات النقر على رسائل التصيد الاحتيالي المحاكاة بمرور الوقت.
برنامج التوعية الأمنية المُصمَّم بعناية يُقلّص بشكل كبير من المخاطر الناجمة عن العنصر البشري، الذي لا يزال يمثّل أبرز نواقل الهجوم في القطاع المالي السعودي.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة الهوية والوصول من أبرز المتطلبات الجوهرية في إطار عمل الأمن السيبراني لساما، تحديداً في النطاق الرابع المتعلق بالتحكم في الوصول (الضوابط 4.2 و4.3)، إذ تُلزم المؤسسات المالية بتطبيق مبدأ الحد الأدنى من الصلاحيات، والتحكم في الوصول المبني على الأدوار، ومراجعة الصلاحيات بصفة دورية.
**أبرز متطلبات التطبيق العملي:**
**أولاً – إدارة الوصول المميز (PAM):** استخدام أدوات متخصصة مثل CyberArk أو BeyondTrust لمراقبة جميع الحسابات المميزة وتدقيقها، وهو ما يستوجبه الضابط 4.3.2 صراحةً.
**ثانياً – المصادقة متعددة العوامل (MFA):** تفعيلها على جميع نقاط الوصول عن بُعد والأنظمة الحساسة، بما يتوافق أيضاً مع المادة 3-5-3 من إطار ضوابط الأمن السيبراني الوطني (ECC).
**ثالثاً – مراجعة الصلاحيات:** إجراء مراجعات ربع سنوية لمنح الصلاحيات وإلغائها، مع توثيق جميع النتائج كدليل للتدقيق.
**رابعاً – الفصل بين المهام:** تطبيق مبدأ الفصل بين المهام في الأنظمة المصرفية الجوهرية كالخزينة وأنظمة الدفع لمنع الاحتيال.
**خامساً – دورة حياة الهوية:** أتمتة عمليات منح الصلاحيات وإلغائها بالتكامل مع نظام الموارد البشرية، مع وجوب تعطيل حسابات الموظفين المنتهية خدمتهم خلال 24 ساعة.
يُنصح بإجراء تقييم دوري لمستوى نضج إدارة الهوية وفق مقياس ساما (1-5)، بهدف الوصول إلى المستوى الثالث على أقل تقدير في الضوابط الأساسية، والمستوى الرابع في إدارة الوصول المميز للمؤسسات الكبرى.
هل كانت الإجابة مفيدة؟
بموجب متطلبات إطار SAMA CSF (التحكم 3.3.1) ومتطلبات هيئة الاتصالات الوطنية ECC (المادة 2-7)، يتعين على المؤسسات المالية السعودية بناء برنامج توعية أمنية رسمي وقائم على تقييم المخاطر يشمل جميع الموظفين والمتعاقدين والمستخدمين ذوي الصلاحيات الموسعة.
**تصميم البرنامج:**
- إجراء تحليل سنوي لاحتياجات التدريب بناءً على التهديدات الفعلية والأدوار الوظيفية.
- تقسيم البرنامج إلى ثلاثة مستويات: الموظفون العامون، فرق تقنية المعلومات والأمن، والإدارة العليا.
- تغطية موضوعات كالتصيد الاحتيالي، الهندسة الاجتماعية، تصنيف البيانات وفق نظام حماية البيانات الشخصية (نظام حماية البيانات الشخصية)، وإجراءات الإبلاغ عن الحوادث.
**التسليم والتكرار:**
- تدريب إلزامي للموظفين الجدد خلال 30 يومًا من الالتحاق.
- تدريب تحديثي سنوي لجميع الموظفين، مع محاكاة ربع سنوية لهجمات التصيد.
- تدريب متخصص للمستخدمين ذوي الصلاحيات مرتين على الأقل سنويًا.
**القياس والتقارير:**
- رصد معدلات الإتمام ونسب الوقوع في محاكاة التصيد ونتائج الاختبارات.
- رفع تقارير دورية للمسؤول الأمني ولجنة المخاطر كل ستة أشهر على الأقل.
- الاحتفاظ بسجلات التدريب لمدة لا تقل عن 3 سنوات استعدادًا لفحوصات مؤسسة النقد العربي السعودي.
**نصيحة عملية:** اربط برنامج التوعية بمتطلبات نظام حماية البيانات الشخصية لتحقيق امتثال مزدوج، وتأكد من توثيق خطط التحسين في حال ضعف المؤشرات حفاظًا على مستوى النضج في تقييم SAMA CSF.
هل كانت الإجابة مفيدة؟
يُعدّ برنامج التوعية الأمنية من المتطلبات الإلزامية بموجب إطار SAMA CSF (الضابط 3.3.1) ومتطلبات هيئة الاتصالات الوطنية ECC (المادة 2-7)، إذ يتعين على المؤسسات المالية السعودية بناء برنامج توعية منظم ومستمر يشمل جميع الموظفين.
**هيكلة البرنامج:**
- صمّم مناهج تدريبية مخصصة حسب الأدوار الوظيفية، بحيث تختلف محتويات التدريب بين الموظفين العامين وفرق تقنية المعلومات والمسؤولين التنفيذيين والمستخدمين ذوي الصلاحيات الموسّعة.
- نفّذ التدريب بصورة سنوية على أقل تقدير، مع جلسات إلزامية للموظفين الجدد، ويُنصح بإجراء تحديثات دورية كل ثلاثة أشهر للفئات عالية المخاطر.
**المحاور الرئيسية للمحتوى:**
- التعرف على هجمات التصيد الاحتيالي والهندسة الاجتماعية
- ممارسات كلمات المرور الآمنة واستخدام المصادقة متعددة العوامل
- إجراءات الإبلاغ عن الحوادث الأمنية
- السياسة المقبولة لاستخدام أصول المؤسسة
- تصنيف البيانات والتعامل معها بما يتوافق مع نظام حماية البيانات الشخصية
**القياس والتوثيق:**
- نفّذ حملات تصيد احتيالي محاكاة بشكل ربع سنوي لقياس مستوى الوعي وتطوير التدريب
- احتفظ بسجلات موثّقة لنسب الإتمام؛ فالمفتشون من جهة ساما يطّلعون على هذه السجلات خلال التقييمات الرقابية
- طبّق اختبارات قبلية وبعدية لقياس مدى الاستيعاب
**الحوكمة:**
- أسند ملكية البرنامج لوحدة أمن المعلومات بدعم تنفيذي من الإدارة العليا
- أدرج مؤشرات البرنامج في التقارير الأمنية الفصلية المرفوعة للجنة المخاطر بمجلس الإدارة وفق الضابط 3.1.2 من SAMA CSF
**نصيحة عملية:** استخدم سيناريوهات تعكس التهديدات الواقعية في السياق السعودي، كالتصيد عبر منصة سداد والاحتيال عبر واتساب، مع الحرص على تقديم المحتوى باللغة العربية لتعزيز الاستيعاب والتفاعل.
هل كانت الإجابة مفيدة؟
يُعدّ برنامج التوعية الأمنية ضابطاً إلزامياً ضمن المجال الثاني من إطار SAMA CSF (القيادة والحوكمة الأمنية)، وتحديداً الضابط 2.4، الذي يوجب تدريب جميع الموظفين — بما فيهم أعضاء مجلس الإدارة والإدارة العليا — على موضوعات الأمن السيبراني وفق مستوى مسؤولياتهم.
**عناصر بناء البرنامج الفعّال:**
1. **تقسيم الجمهور المستهدف:** صمّم مسارات تدريبية مخصصة للموظفين العامين وفرق تقنية المعلومات وأصحاب الصلاحيات والقيادات التنفيذية، مع مراعاة التمييز الذي يضعه SAMA CSF بين التوعية العامة والتدريب التقني المتخصص.
2. **الدورية والتكرار:** يُشترط إجراء جلسات توعية إلزامية مرة على الأقل سنوياً، مع إضافة وحدات تدريبية مستهدفة عقب الحوادث الأمنية أو التحديثات التنظيمية، وإجراء محاكاة للتصيد الاحتيالي بصفة ربع سنوية.
3. **محتوى البرنامج:** يجب أن يشمل البرنامج: التعرف على التصيد الاحتيالي والهندسة الاجتماعية، وإدارة كلمات المرور، والتعامل الآمن مع البيانات وفق متطلبات نظام PDPL، وسياسات الاستخدام المقبول، وإجراءات الإبلاغ عن الحوادث. وبالنسبة للعاملين في شركات التقنية المالية، يُضاف إليها مخاطر الخدمات المصرفية المفتوحة وأمن واجهات برمجة التطبيقات.
4. **القياس والإبلاغ:** تابع معدلات إتمام التدريب، ونسب الوقوع في محاكاة التصيد، ونتائج التقييمات القبلية والبعدية. يتوقع SAMA CSF (الضابط 2.4.3) نتائج قابلة للقياس تُعرض على مجلس الإدارة في التقرير الربع سنوي للمخاطر.
5. **الموظفون الجدد:** أدرج التوعية الأمنية ضمن مسار الاستقبال الوظيفي بحيث يُكمل الموظف التدريب الأساسي قبل الوصول إلى الأنظمة الإنتاجية.
6. **التوثيق وحفظ السجلات:** احتفظ بسجلات التدريب ونتائج التقييمات لمدة لا تقل عن ثلاث سنوات لدعم فحوصات ساما وأدلة تدقيق ISO 27001 الملحق أ-7.2.2.
المؤسسات التي تعتمد أساليب تفاعلية وتدمج سيناريوهات تهديد واقعية مرتبطة بالقطاع المصرفي السعودي — كالاحتيال الانتحالي عبر البريد الإلكتروني — تحقق عادةً معدلات مشاركة واستيعاب أعلى بكثير.
هل كانت الإجابة مفيدة؟
تُعدّ خطة الاستجابة للحوادث السيبرانية ركيزةً تنظيمية أساسية لا غنى عنها لأي مؤسسة مالية سعودية، وذلك في ظل الالتزامات الصريحة التي يفرضها كل من SAMA CSF ومعايير NCA ECC.
**متطلبات SAMA CSF:**
يُلزم النطاق الثالث (عمليات الأمن السيبراني) في الضبط 3.4 المؤسساتِ بامتلاك خطة موثقة للاستجابة للحوادث، تُختبر سنوياً على الأقل عبر تمارين محاكاة. يجب أن تتضمن الخطة مسارات تصعيد واضحة، وتصنيفاً للحوادث (منخفض، متوسط، عالٍ، حرج)، مع الإبلاغ الإلزامي لـ SAMA خلال 3 ساعات من اكتشاف أي حادثة حرجة.
**متطلبات NCA ECC:**
يُوجب الضبط 2-8 إنشاء مركز دفاع سيبراني أو وظيفة مكافئة تعمل على مدار الساعة لمراقبة الحوادث وتصنيفها والاستجابة لها. كما يشترط الاحتفاظ بتقارير مراجعة ما بعد الحادثة لمدة لا تقل عن 5 سنوات.
**المكونات الأساسية للخطة:**
1. **التهيئة والاستعداد:** تحديد الأدوار والمسؤوليات (قائد الاستجابة، الفريق التقني، الفريق القانوني)، وبناء دليل إجراءات معتمد مسبقاً لكل نوع من الحوادث.
2. **الكشف والتحليل:** الاستفادة من أدوات SIEM/SOAR، وتصنيف الحوادث وفق معايير SAMA.
3. **الاحتواء والاستئصال والتعافي:** إجراءات تفصيلية لكل سيناريو (برمجيات الفدية، DDoS، التهديد الداخلي، اختراق البيانات).
4. **الإبلاغ التنظيمي:** إخطار SAMA وNCA وفق الأطر الزمنية المحددة، وإبلاغ SDAIA خلال 72 ساعة في حالات اختراق البيانات الشخصية وفق نظام PDPL.
5. **مراجعة ما بعد الحادثة:** تحليل السبب الجذري، وتحديث الضوابط، وتوثيق الدروس المستفادة.
الاختبار الدوري المنتظم للخطة وتحديثها يضمنان الامتثال التنظيمي ويعززان قدرة المؤسسة على الصمود في مواجهة التهديدات السيبرانية.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الجهات الخارجية من أبرز المتطلبات الإلزامية للمؤسسات المالية السعودية بموجب المجال 3.3 من إطار SAMA CSF والمادة 3-3 من NCA ECC-1:2018. وفيما يلي منهجية متكاملة للتطبيق:
**أولاً: تصنيف الموردين وإجراءات العناية الواجبة**
يستلزم الضبط 3.3.1 من SAMA CSF إجراء تقييم أمني شامل للموردين قبل التعاقد معهم، يشمل مراجعة شهادات ISO 27001 وتقارير SOC 2 النوع الثاني واستبيانات تقييم الأمن السيبراني.
**ثانياً: الاشتراطات التعاقدية**
يجب إدراج بنود أمنية واضحة في جميع العقود، تتضمن: التزامات الإشعار بالحوادث خلال 24 إلى 72 ساعة، وحق التدقيق، وضوابط التعامل مع البيانات الشخصية وفق المادة 21 من نظام PDPL، والحد الأدنى من ضوابط NCA ECC.
**ثالثاً: المراقبة المستمرة**
يوجب الضبط 3.3.3 من SAMA CSF متابعة أداء الموردين بصفة مستمرة، مع إجراء تقييمات دورية لا تقل عن مرة سنوياً للموردين ذوي الأهمية الحرجة، واستخدام منصات تقييم الأمن مثل BitSight أو SecurityScorecard.
**رابعاً: إجراءات إنهاء التعاقد**
ينبغي وضع آليات واضحة لحذف البيانات وإلغاء الصلاحيات عند انتهاء العلاقة مع المورد، تماشياً مع مبادئ الاحتفاظ بالبيانات في نظام PDPL.
**خامساً: الإشراف على مستوى CISO**
يُنصح بالاحتفاظ بسجل محدّث لمخاطر الجهات الخارجية يُراجَع ربع سنوياً، مع رفع النتائج الجوهرية إلى مجلس الإدارة وفق توقعات الحوكمة لدى SAMA. إن التعامل مع هذا الملف بجدية يحمي المؤسسة من مخاطر سلسلة التوريد التي كثيراً ما تُكتشف متأخراً.
هل كانت الإجابة مفيدة؟
الاستجابة للحوادث السيبرانية تُعدّ من أعمدة الامتثال الأمني بموجب المجال 3.6 من إطار SAMA CSF والمجال 2-10 من متطلبات هيئة الاتصالات الوطنية. لا يكفي وجود خطة على الورق، بل يجب أن تكون هذه الخطة معتمدة ومختبرة وجاهزة للتفعيل الفوري.
**المكونات الأساسية لبرنامج الاستجابة للحوادث:**
1. **السياسة والخطة:** خطة رسمية للاستجابة تغطي مراحل التحضير، والكشف، والاحتواء، والاستئصال، والاسترداد، واستخلاص الدروس، بما يتوافق مع وظيفة الاستجابة في إطار NIST CSF.
2. **فريق الاستجابة (CSIRT):** تعيين فريق متخصص بأدوار محددة ومسارات تصعيد واضحة، مع إتاحة التواصل على مدار الساعة للحوادث الحرجة.
3. **تصنيف الحوادث:** تصنّف الحوادث وفق درجة خطورتها (حرجة، عالية، متوسطة، منخفضة) مع تحديد مستهدفات زمنية للاستجابة لكل فئة.
4. **الإبلاغ التنظيمي الإلزامي:**
- **مؤسسة النقد (SAMA):** الإبلاغ عن الحوادث الحرجة خلال **3 ساعات** من الاكتشاف، يعقبه تقرير مفصّل خلال **72 ساعة** عبر بوابة الإبلاغ.
- **هيئة الاتصالات الوطنية / CERT-SA:** الإبلاغ الفوري عن الحوادث المؤثرة في البنية التحتية الحيوية.
- **نظام حماية البيانات الشخصية (PDPL):** إذا تضمّن الحادث اختراق بيانات شخصية، يجب إشعار الهيئة الوطنية لإدارة البيانات خلال **72 ساعة**.
5. **التمارين الدورية:** يشترط SAMA CSF 3.6.5 إجراء تمارين محاكاة للاستجابة مرة على الأقل سنويًا مع توثيق الدروس المستفادة.
6. **الجاهزية الجنائية الرقمية:** الاحتفاظ بسجلات تدقيق لا تقل مدتها عن **12 شهرًا** لدعم التحقيقات اللاحقة للحوادث.
التأخر في الإبلاغ عن حادثة جسيمة قد يُعرّض المؤسسة لعقوبات تنظيمية صارمة، لذا يجب على فريق مركز العمليات الأمنية امتلاك دليل إجراءات الإبلاغ جاهزًا ومُختبرًا مسبقًا.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التي يُركز عليها كل من إطار SAMA CSF (المجال الثالث - إدارة مخاطر الأمن السيبراني) وضوابط NCA ECC المتعلقة بأمن سلسلة الإمداد. وفيما يلي منهجية عملية للتطبيق:
**أولاً: تصنيف الموردين وإجراء العناية الواجبة**
صنّف الموردين وفق مستوى المخاطر: الفئة الأولى (وصول إلى الأنظمة الحرجة)، الفئة الثانية (وصول إلى البيانات الحساسة)، الفئة الثالثة (خدمات عامة). وبموجب الضابط 3.3.1 من SAMA CSF، يجب إجراء تقييم رسمي للأمن السيبراني قبل التعاقد مع أي طرف ثالث.
**ثانياً: المتطلبات الأمنية في العقود**
ادرج بنوداً أمنية في جميع عقود الموردين تشمل: الالتزام بحماية البيانات وفق نظام PDPL، والحد الأدنى من معايير الأمن (يُفضّل الحصول على شهادة ISO 27001)، وحق التدقيق، والإبلاغ عن الحوادث خلال 72 ساعة.
**ثالثاً: المراقبة المستمرة**
لا تكتفِ بتقييم الموردين عند التعاقد فقط، بل راقبهم بصفة دورية عبر استبيانات أمنية سنوية، وطلب نتائج اختبارات الاختراق من الموردين الحرجين، ومتابعة التهديدات المرتبطة بهم.
**رابعاً: متطلبات NCA ECC**
يُلزم البند 2-14 من NCA ECC المؤسساتِ بفرض اشتراطات الأمن السيبراني على الأطراف الثالثة ومزودي الخدمات، بمن فيهم مزودو الخدمات السحابية وشركات الأمن المُدار وموردو البرمجيات.
**نصيحة عملية**
احتفظ بسجل مركزي لمخاطر الموردين ضمن منصة GRC الخاصة بك، وحدّثه بشكل ربع سنوي على الأقل، مع تحديد مسؤول لكل علاقة تعاقدية ورفع النتائج الحرجة إلى CISO ولجنة المخاطر.
هل كانت الإجابة مفيدة؟
يُلزم إطار الأمن السيبراني لمؤسسة النقد العربي السعودي (ساما) البنوكَ بإنشاء برنامج متكامل لإدارة مخاطر الأطراف الثالثة يغطي دورة حياة المورد بالكامل، بدءًا من الانضمام وحتى إنهاء التعاقد. ويُعدّ هذا المتطلب من أبرز ما تشمله المتطلبات الرقابية الحديثة في القطاع المالي.
**أبرز مكونات البرنامج الفعّال:**
**أولاً: تصنيف الموردين** — تُقسَّم الأطراف الثالثة إلى فئات حسب درجة الحساسية (حرجة، عالية، متوسطة، منخفضة)، وتُوزَّع متطلبات التقييم بناءً على هذا التصنيف.
**ثانياً: العناية الواجبة قبل التعاقد** — يُطلب من الموردين تقديم استبيانات الأمن السيبراني وشهادات الامتثال كـ ISO 27001، فضلاً عن نتائج اختبارات الاختراق.
**ثالثاً: الالتزامات التعاقدية** — تُضمَّن العقود بنوداً تتعلق بحماية البيانات والإبلاغ عن الحوادث خلال 72 ساعة وفق المادة 19 من نظام حماية البيانات الشخصية، إلى جانب حق التدقيق والالتزام بضوابط الأمن السيبراني الوطني.
**رابعاً: المراقبة المستمرة** — تُجرى إعادة تقييم سنوية للموردين الحرجين، مع مراجعات استثنائية عند وقوع حوادث أمنية.
**خامساً: إجراءات إنهاء التعاقد** — تشمل حذف البيانات بشكل آمن وإلغاء جميع صلاحيات الوصول مع توثيق ذلك رسمياً.
من الناحية التطبيقية، يُنصح بدمج منظومة إدارة مخاطر الموردين مع نظام الحوكمة والمخاطر والامتثال المؤسسي للحصول على رؤية آنية لمستوى المخاطر. ويتوافق هذا النهج أيضاً مع الضابط 5.19 من المرفق أ لمعيار ISO 27001:2022، مما يعزز الجاهزية للتدقيق عبر أطر متعددة في آنٍ واحد.
هل كانت الإجابة مفيدة؟
تخضع عملية الاستجابة للحوادث السيبرانية في القطاع المصرفي السعودي لمنظومة متكاملة من المتطلبات الرقابية المتداخلة التي ينبغي للمسؤولين عن الأمن السيبراني إدارتها بدقة عالية.
**متطلبات إطار ساما:**
يشترط الضابط 4.1 من الإطار وجود خطة موثقة للاستجابة للحوادث تغطي مراحل الاستعداد والكشف والاحتواء والاستئصال والاسترداد والمراجعة، مع اختبارها سنوياً على الأقل.
**مواعيد الإبلاغ الرقابية:**
- **ساما:** يجب إخطار ساما بالحوادث الجوهرية خلال **3 ساعات** من الاكتشاف عبر بوابة الإبلاغ، ثم تقديم تقرير تفصيلي خلال **72 ساعة** يتضمن السبب الجذري والأنظمة المتأثرة ومدى انكشاف البيانات وخطوات المعالجة.
- **نظام حماية البيانات الشخصية (المادة 19):** في حال تعرّض بيانات شخصية للاختراق، يُبلَّغ الهيئة الوطنية لإدارة البيانات خلال **72 ساعة**، مع إخطار الأفراد المتضررين فور التيقن من الخطر.
- **هيئة الأمن السيبراني الوطني:** تُبلَّغ الجهات الحيوية عبر قناة CERT-SA المخصصة لهذا الغرض.
**توصيات عملية:**
يُنصح بإعداد قوالب تواصل مسبقة الاعتماد لكل جهة رقابية لتفادي التأخير في أوقات الأزمات، وتعيين منسق متخصص للحوادث يتولى مسؤولية الإبلاغ الرقابي. كما يُستحسن اعتماد منهجية NIST CSF في وظيفة الاستجابة (RS.CO-2، RS.CO-3) لضمان التوافق مع المعايير الدولية جنباً إلى جنب مع متطلبات الامتثال المحلية.
هل كانت الإجابة مفيدة؟
تُلزم متطلبات SAMA CSF تحت نطاق التحكم 3.5 المتعلق بإدارة الأطراف الثالثة، البنوكَ السعوديةَ بوضع برنامج متكامل لإدارة مخاطر الموردين يغطي دورة حياة العلاقة معهم كاملةً من بداية التعاقد حتى إنهائه. إليك الإطار العملي المقترح:
**أولاً: تصنيف الموردين وتحديد مستوى المخاطر:** صنّف جميع الموردين إلى ثلاث فئات بحسب الأهمية والتأثير — الفئة الأولى (حرجون)، الثانية (مهمون)، الثالثة (منخفضو المخاطر). الموردون الذين يتعاملون مع بيانات العملاء أو أنظمة الخدمات المصرفية الجوهرية يستوجبون أعلى مستويات الفحص والتدقيق.
**ثانياً: العناية الواجبة قبل التعاقد:** قبل إبرام أي عقد، يجب تقييم الموردين مقابل ضوابط SAMA CSF ومتطلبات NCA ECC ومعايير ISO 27001، مع طلب الأدلة على الشهادات ونتائج اختبارات الاختراق وممارسات حماية البيانات وفق أحكام نظام PDPL.
**ثالثاً: الضمانات التعاقدية:** يجب أن تتضمن العقود التزامات صريحة بالأمن السيبراني، وحق التدقيق، وإشعارات الحوادث وفق SAMA CSF 3.5.3، ومتطلبات استضافة البيانات داخل المملكة، وإجراءات إنهاء التعاقد.
**رابعاً: المتابعة المستمرة:** أجرِ مراجعات سنوية لموردي الفئة الأولى، وكل سنتين للفئة الثانية، مع استخدام أدوات رقمية لمراقبة وضعهم الأمني وتتبع أي ثغرات أو تحولات في مستوى الامتثال.
**خامساً: مزودو السحابة والبرمجيات كخدمة:** تنطبق عليهم اشتراطات إضافية وفق توجيهات SAMA للحوسبة السحابية، تشمل تصنيف البيانات، وتوثيق مصفوفة المسؤوليات المشتركة، والتخطيط لسيناريوهات الخروج.
برنامج TPRM الناضج لا يُرضي متطلبات SAMA فحسب، بل يُقلل أيضاً من مخاطر سلسلة التوريد التي باتت من أبرز التهديدات السيبرانية للقطاع المالي السعودي.
هل كانت الإجابة مفيدة؟
يُعدّ الإشراف على الأطراف الثالثة والموردين من أبرز المحاور التي يركّز عليها إطار عمل الأمن السيبراني لساما، إذ يُلزم المؤسسات المالية بوضع برنامج متكامل لإدارة مخاطر الموردين يغطّي دورة حياة العلاقة كاملةً، من التأهيل الأولي حتى إنهاء التعاقد.
وفقاً للضابط 3.3.1 من إطار ساما، يجب إجراء عناية واجبة مبنية على المخاطر قبل التعاقد مع أي طرف ثالث، وتشمل تقييم وضعه السيبراني، وممارسات حماية البيانات، ومدى التزامه باللوائح ذات الصلة.
**أبرز مكوّنات البرنامج الفعّال:**
**1. تصنيف الموردين:** قسّم الموردين إلى مستويات حسب الأهمية، وطبّق ضوابط متناسبة مع طبيعة البيانات والأنظمة التي يصل إليها كل مورّد.
**2. المتطلبات التعاقدية:** أدرج في العقود بنوداً صريحة تشمل الإبلاغ عن الحوادث خلال 72 ساعة، وحق التدقيق، والتزامات حماية البيانات وفق نظام حماية البيانات الشخصية.
**3. المتابعة المستمرة:** لا تكتفِ بالتقييم السنوي للموردين ذوي الأهمية العالية، بل اعتمد منصات تقييم مستمرة واستبيانات دورية.
**4. مخاطر التركّز:** ينبّه إطار ساما إلى ضرورة معالجة مخاطر الاعتماد المفرط على مورّد وحيد في وظائف حيوية متعددة.
**5. المستوى الرابع من المخاطر:** امتدّ في عنايتك الواجبة لتشمل المقاولين الفرعيين الذين يتعامل معهم موردوك.
على الصعيد العملي، احرص على الاحتفاظ بسجل مركزي لمخاطر الموردين، وتقديم تقارير ربع سنوية للجنة مخاطر مجلس الإدارة. كما أن التوافق مع المرفق أ-15 من معيار ISO 27001 يعزّز إطار عمل إدارة مخاطر الموردين ويدعم جاهزيتك للتدقيق.
هل كانت الإجابة مفيدة؟
يُولي إطار الأمن السيبراني لساما اهتماماً بالغاً لإدارة مخاطر الأطراف الثالثة، إذ يُخصص له النطاق الرابع كاملاً، ويُلزم المؤسسات المالية بوضع إطار رسمي يغطي دورة حياة المورّد بالكامل، من التحقق الأولي قبل التعاقد وحتى إنهاء العلاقة التعاقدية.
**أبرز المتطلبات العملية:**
**قبل التعاقد:** إجراء تقييم للمخاطر السيبرانية لكل مورّد قبل منحه أي صلاحيات وصول، مع تصنيفه وفق درجة خطورته (حرج، مهم، عادي) وفقاً للضابط 4.1.2.
**ضمانات العقود:** يجب أن تشمل العقود بنوداً تُلزم المورّد باتباع معايير الأمن السيبراني، وحق التدقيق، والإخطار الفوري عند وقوع حوادث أمنية خلال 72 ساعة كحد أقصى، فضلاً عن شروط حماية البيانات المتوافقة مع نظام حماية البيانات الشخصية.
**المراقبة المستمرة:** إعادة تقييم الموردين الحيويين دورياً وبحد أدنى مرة سنوياً، سواء عبر مراجعة تقارير SOC 2 أو شهادات ISO 27001 أو إجراء تقييمات مباشرة.
**مخاطر التركز:** يشترط ساما تحديداً تقييم مخاطر الاعتماد المفرط على مورّد واحد، لا سيما مزودي الخدمات السحابية.
**خطة الخروج:** وضع خطط موثّقة للتعامل مع احتمال الاستغناء عن مورّد حيوي لضمان استمرارية الأعمال وفق الضابط 4.3.1.
عملياً، ابنِ سجلاً شاملاً للموردين، واستخدم منصة GRC لأتمتة دورات إعادة التقييم، وتأكد من مشاركة فريق أمن المعلومات في مراجعة جميع العقود الحيوية قبل إتمامها.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من المتطلبات الجوهرية التي يفرضها إطار عمل الأمن السيبراني لساما، تحديداً في النطاق الرابع المتعلق بإدارة الأطراف الخارجية. وفيما يلي أبرز ما ينبغي مراعاته عند بناء هذا البرنامج:
**أولاً: تصنيف الموردين حسب درجة الخطورة**
صنّف جميع مزودي الخدمات إلى فئات (حرجة، عالية، متوسطة، منخفضة) بناءً على مستوى وصولهم إلى البيانات ومدى ارتباطهم بالأنظمة الحيوية. الموردون المرتبطون بالبنية التحتية للخدمات المصرفية الأساسية يستوجبون أعلى مستويات الرقابة.
**ثانياً: التحقق المسبق قبل التعاقد**
قبل إتمام أي عقد، أجرِ تقييماً شاملاً للوضع الأمني للمورد يشمل: شهادات الأمان كـ ISO 27001، وتاريخ اختبارات الاختراق، وآليات التعامل مع البيانات، والاستعداد للاستجابة للحوادث. يُفضّل استخدام استبيان موحد مستوحى من ضوابط هيئة الاتصالات الوطنية.
**ثالثاً: الالتزامات التعاقدية الأمنية**
تضمين العقود بنوداً صريحة تتعلق بحق التدقيق، وجداول إبلاغ الحوادث، ومتطلبات الإقامة الجغرافية للبيانات وفق نظام PDPL، والامتثال لوائح ساما الخاصة بالاستعانة بمصادر خارجية.
**رابعاً: المراقبة المستمرة**
اعتمد أدوات تقييم مستمر للمخاطر، وأجرِ مراجعات دورية — سنوياً للموردين الحرجين — مع الاستفادة من معلومات التهديدات الآنية.
**خامساً: إدارة الحوادث والخروج**
ضع خطة واضحة لما يجب فعله في حال تعرّض المورد لاختراق، وتأكد من وجود استراتيجية خروج توثّق كيفية استمرارية الأعمال دون الاعتماد الكلي على طرف خارجي. تذكّر أن ساما تشترط أن تحتفظ المؤسسة بالسيطرة الفعلية على الوظائف المُستعان بمصادر خارجية لتنفيذها.
هل كانت الإجابة مفيدة؟
يُلزم إطار عمل الأمن السيبراني لساما — تحديداً في النطاق 3.3 المتعلق بإدارة الحوادث — جميع البنوك والمؤسسات المالية السعودية بامتلاك برنامج موثّق ومُختبر للاستجابة للحوادث. وفيما يلي ما يتطلبه الامتثال وكيفية بناء هذا البرنامج:
**المكونات الأساسية لبرنامج الاستجابة:**
- خطة استجابة رسمية معتمدة تغطي مراحل: الاكتشاف، والاحتواء، والاستئصال، والاسترداد، والدروس المستفادة
- تصنيف واضح لمستويات خطورة الحوادث مرتبط بالأثر التشغيلي
- إجراءات تصعيد محددة تشمل إبلاغ الإدارة العليا ومجلس الإدارة
- توزيع الأدوار والمسؤوليات في مصفوفة RACI
**الإبلاغ التنظيمي عن الحوادث:**
تشترط ساما الإبلاغ عن الحوادث الجسيمة خلال مدة محددة، ولا تتجاوز 24 ساعة في الحوادث عالية الخطورة. كما يجب التنسيق مع مركز العمليات السيبرانية التابع لهيئة الاتصالات الوطنية (CSOC) في الحوادث ذات الأثر الوطني.
**خطوات عملية لبناء البرنامج:**
- أعدّ playbooks مخصصة لأكثر سيناريوهات الحوادث شيوعاً: الفدية، التهديدات الداخلية، هجمات DDoS، احتيال SWIFT، اختراق تطبيقات البنوك الرقمية
- اربط منصة SIEM/SOAR بسير عمل خطة الاستجابة لأتمتة التنبيهات
- نفّذ تمارين المائدة المستديرة فصلياً، والمحاكاة الكاملة سنوياً
- حافظ على سلامة الأدلة الجنائية الرقمية وفق المتطلبات القانونية السعودية
- استخدم وظيفتَي الاستجابة والتعافي في إطار NIST CSF كمرجع تكميلي
وثّق جميع التمارين والحوادث ومراجعاتها في سجل مركزي قابل للاطلاع عليه خلال تقييمات ساما، إذ يُعدّ التحسين المستمر معياراً رئيسياً للتقييم.
هل كانت الإجابة مفيدة؟
يُلزم النطاق 4.5 من إطار SAMA CSF جميع المؤسسات الأعضاء بإنشاء قدرة رسمية لإدارة الحوادث السيبرانية والاستجابة لها. وفيما يلي أبرز ما يجب أن يأخذه مسؤول أمن المعلومات (CISO) بعين الاعتبار:
**متطلبات الإبلاغ التنظيمي:** يستوجب الضبط 4.5.3 من SAMA CSF وإطار الإبلاغ عن الحوادث السيبرانية الصادر عن SAMA الإبلاغ عن الحوادث الجسيمة خلال 72 ساعة من اكتشافها. وقد تستدعي الحوادث التي تطال أنظمة الدفع أو البيانات الشخصية إبلاغاً موازياً للهيئة الوطنية للأمن السيبراني وفق NCA ECC-2، وكذلك إلى هيئة البيانات (SDAIA) بموجب المادة 24 من نظام PDPL.
**مكونات برنامج الاستجابة للحوادث (SAMA CSF 4.5):**
- خطة استجابة موثقة تُراجَع سنوياً على الأقل
- مصفوفة تصنيف واضحة للحوادث (من P1 إلى P4)
- فريق استجابة معين بأدوار ومسارات تصعيد محددة
- مركز عمليات أمنية (SOC) يعمل على مدار الساعة
- إجراءات حفظ الأدلة والتحليل الجنائي الرقمي
- مراجعة ما بعد الحادث واستخلاص الدروس المستفادة
**التوافق مع NIST CSF:** بنِ قدرتك وفق الوظائف الخمس لـ NIST — التحديد، والحماية، والكشف، والاستجابة، والتعافي — إذ تتوافق بشكل وثيق مع نطاقات ضوابط SAMA CSF.
**التمارين الميدانية:** يشترط SAMA CSF إجراء تدريبات دورية على الاستجابة. نفّذ تمريناً محاكياً على الأقل سنوياً يتناول سيناريوهات واقعية كالفدية الخبيثة أو الاحتيال عبر البريد الإلكتروني أو تسريب البيانات.
**نصيحة عملية:** ادمج سير عمل الاستجابة مع منصة GRC لأتمتة إنشاء التذاكر وتتبع مواعيد الإبلاغ لدى SAMA وتوليد الأدلة الجاهزة للتدقيق.
هل كانت الإجابة مفيدة؟
يُعدّ إطار الأمن السيبراني لساما (المجال الرابع - إدارة الأطراف الخارجية) من أكثر المجالات التي تركّز عليها هيئة ساما خلال جولات التفتيش الرقابي، لذا ينبغي للمؤسسات المالية بناء برنامج متكامل وليس مجرد قائمة تحقق.
**أولاً: تقييم المخاطر قبل التعاقد**
لا تبدأ أي علاقة مع طرف خارجي دون إجراء تقييم أمني شامل يشمل: مستوى الوصول إلى البيانات، الشهادات الأمنية كـ ISO 27001، ومدى التزام المورّد بضوابط هيئة الاتصالات الوطنية (NCA ECC).
**ثانياً: التصنيف حسب الأهمية**
صنّف مورّديك إلى ثلاث فئات — الفئة الأولى لمن يمتلكون وصولاً للأنظمة الحرجة، والثانية لمن يتعاملون مع بيانات حساسة، والثالثة للخدمات العامة. يحدد هذا التصنيف مستوى الرقابة المطلوبة.
**ثالثاً: البنود التعاقدية الإلزامية (وفق SAMA CSF 4.3)**
احرص على أن تتضمن كل عقود المورّدين: التزامات حماية البيانات وفق نظام حماية البيانات الشخصية (PDPL)، الإبلاغ عن الحوادث خلال 72 ساعة، وحق التدقيق والمراجعة.
**رابعاً: المراقبة المستمرة**
راجع مورّدي الفئة الأولى كل ربع سنة، والفئتين الثانية والثالثة سنوياً. راقب سجلات الوصول ومستوى التصحيحات الأمنية لديهم.
**خامساً: إنهاء التعاقد بأمان**
عند انتهاء العلاقة، أوقف جميع الصلاحيات فوراً، واسترجع البيانات أو أتلفها وفق المادة 19 من نظام PDPL، ووثّق ذلك في سجل المخاطر.
برنامج TPRM الناضج يتكامل مع ضوابط ISO 27001 الملحق A.15، ويُغذّي تقارير المخاطر على مستوى مجلس الإدارة.
هل كانت الإجابة مفيدة؟
يُشكّل المجال الثالث من إطار ساما للأمن السيبراني (العمليات والصمود السيبراني) ركيزةً أساسية يتوقع منها المفتشون الرقابيون نضجاً حقيقياً وليس توثيقاً ورقياً فحسب.
**أولاً: السياسات وكتيبات التشغيل (SAMA CSF 3.3)**
ضع سياسة استجابة معتمدة من مجلس الإدارة، مع كتيبات تشغيل تفصيلية لسيناريوهات عالية الاحتمال: برمجيات الفدية، اختراق البيانات، هجمات الحرمان من الخدمة، والتهديدات الداخلية.
**ثانياً: تصنيف الحوادث وآليات التصعيد**
طوّر مصفوفة أولوية واضحة (P1 إلى P4). الحوادث التي تمس أموال العملاء أو توافر الأنظمة الحرجة يجب أن تصل إلى كبير مسؤولي أمن المعلومات والرئيس التنفيذي خلال ساعة واحدة.
**ثالثاً: الإبلاغ التنظيمي**
تلتزم المؤسسات المالية بإخطار ساما خلال 72 ساعة من اكتشاف أي حادثة سيبرانية جسيمة. وإذا تضمنت الحادثة بيانات شخصية، فإن المادة 26 من نظام PDPL تُلزمك أيضاً بإخطار الهيئة الوطنية لإدارة البيانات (NDMO). احتفظ بقائمة تحقق مزدوجة للإخطارات.
**رابعاً: الأدلة الرقمية والتحليل الجنائي**
تأكد من أن فريق مركز العمليات الأمنية أو شركة الاستجابة الخارجية تتبع إجراءات سلسلة الحفاظ على الأدلة الرقمية، لا سيما إذا أفضت الحادثة إلى إجراءات قانونية أو تحقيق رقابي.
**خامساً: مراجعة ما بعد الحادثة**
خصّص جلسة تحليل منظمة خلال أسبوعين من إغلاق الحادثة، ووجّه نتائجها نحو تحسين الضوابط وتحديث برامج التوعية وفق الفقرة 10.1 من ISO 27001.
**سادساً: التدريبات السنوية**
نفّذ تدريباً على الطاولة وآخر تقنياً مرة واحدة على الأقل سنوياً، ووثّق كل شيء لأن مفتشي ساما يطلبون الأدلة الملموسة.
هل كانت الإجابة مفيدة؟
يُلزم الإطار التنظيمي لأمن المعلومات الصادر عن مؤسسة النقد العربي السعودي (SAMA CSF) المؤسساتِ الماليةَ بوضع خطط موثقة لاستمرارية الأعمال والتعافي من الكوارث، واختبارها بصفة منتظمة. وتحديداً وفق المتطلب 4.3، يجب تحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) لجميع الأنظمة الحيوية، مع إجراء اختبارات دورية لا تقل عن مرة سنوياً.
من أبرز الخطوات العملية التي يُنصح باتباعها:
1. **تحليل أثر الأعمال (BIA):** تحديد العمليات الجوهرية وتصنيف الأنظمة حسب درجة أهميتها، إذ تستلزم أنظمة الدفع والبنية المصرفية الأساسية عادةً وقت تعافٍ لا يتجاوز أربع ساعات.
2. **اختبارات الاستمرارية:** تشمل تمارين الطاولة، والتشغيل الموازي، واختبارات التحويل الكامل للأنظمة، مع توثيق النتائج والثغرات وخطط المعالجة.
3. **الأطراف الخارجية:** مراجعة خطط استمرارية المزودين الحيويين بما فيهم مزودو الخدمات السحابية، انسجاماً مع توجيهات الاستعانة بالخارج الصادرة عن مؤسسة النقد.
4. **التوافق مع ISO 22301:** يُعزز اعتماد هذا المعيار الدولي جودة التوثيق ويرفع مستوى الامتثال لمتطلبات SAMA CSF.
5. **إفصاح مجلس الإدارة:** تُوجب المتطلبات التنظيمية رفع نتائج الاختبارات وحالة الخطط إلى الإدارة العليا ولجنة المخاطر في مجلس الإدارة سنوياً.
تجدر الإشارة إلى أن غياب الاختبارات الموثقة يُعد من أكثر الملاحظات شيوعاً في تقييمات SAMA، كما ينبغي أن تتضمن الخطط سيناريوهات الحوادث السيبرانية كهجمات الفدية التي باتت تمثل تهديداً متصاعداً للمؤسسات المالية في المملكة.
هل كانت الإجابة مفيدة؟
يُلزم إطار الأمن السيبراني لمؤسسة النقد العربي السعودي (ساما) في نطاقه الرابع المخصص لإدارة الأطراف الثالثة، البنوكَ بتبني نهج منظم وقائم على تقييم المخاطر طوال دورة حياة العلاقة مع الموردين. فيما يلي خارطة طريق عملية للتطبيق:
**أولاً: تصنيف الموردين وتحديد مستوى المخاطر**
صنّف جميع الأطراف الثالثة بحسب طبيعة وصولها للبيانات وأهمية الخدمات المقدمة. يشترط ضابط التحكم 4.1.2 من إطار ساما التمييز بين الموردين الحيويين والمهمين والعاديين، وتطبيق ضوابط متناسبة مع كل فئة.
**ثانياً: العناية الواجبة قبل التعاقد**
أجرِ تقييماً أمنياً شاملاً قبل إبرام أي عقد، يشمل: مراجعة شهادة ISO 27001 أو ما يعادلها، ومخططات البنية الشبكية، وإجراءات الاستجابة للحوادث، ومدى التزام المورد بنظام حماية البيانات الشخصية (نظام PDPL) إن كان يعالج بيانات شخصية.
**ثالثاً: الاشتراطات الأمنية التعاقدية**
يجب أن تتضمن جميع العقود التزامات أمنية صريحة وفق ضابط 4.2.1 من إطار ساما، تشمل: حق التدقيق، ومهل إشعار الاختراق (72 ساعة تماشياً مع المادة 28 من نظام PDPL)، ومعايير التعامل مع البيانات، والإفصاح عن المقاولين من الباطن.
**رابعاً: المراقبة المستمرة**
أجرِ تقييمات دورية: سنوية للموردين الحيويين، وكل ستة أشهر للموردين المهمين، مع استخدام أدوات آلية لرصد تغيرات الوضع الأمني للمورد.
**خامساً: ضوابط إنهاء التعاقد**
ضع إجراءات موثقة لإنهاء العلاقة بأمان، تشمل حذف البيانات وإلغاء جميع الصلاحيات والحصول على تأكيد خطي بالامتثال.
أبرز الثغرات الشائعة هي التعامل مع هذا الملف كقائمة تحقق في مرحلة الشراء فقط، بدلاً من جعله وظيفة حوكمة مستمرة. احرص على تعيين مالك مخاطر متخصص، وادرج نتائج مخاطر الأطراف الثالثة في تقارير الأمن السيبراني المرفوعة للمجلس لإثبات نضج الامتثال لإطار ساما.
هل كانت الإجابة مفيدة؟
إدارة مخاطر الطرف الثالث ليست مجرد متطلب تنظيمي، بل ركيزة أساسية في منظومة الأمن السيبراني للمؤسسات المالية. يُلزم نظام SAMA CSF في المجال 3.3 ومعيار NCA ECC-1:2-6 المؤسساتِ بوضع برنامج متكامل لإدارة مخاطر الموردين.
**أولاً: تصنيف الموردين**
صنّف مزودي الخدمة إلى ثلاث فئات حسب مستوى الوصول والتأثير: الفئة الأولى (وصول للأنظمة الحيوية)، الثانية (وصول للبيانات الحساسة)، الثالثة (تأثير محدود). يشترط SAMA CSF في الضابط 3.3.1 إجراء هذا التصنيف قبل التعاقد رسمياً.
**ثانياً: العناية الواجبة والعقود**
أجرِ تقييماً أمنياً شاملاً قبل الإلحاق يشمل استبيانات الأمن، والتحقق من شهادة ISO 27001، ومراجعة نتائج اختبارات الاختراق. احرص على تضمين العقود حق التدقيق، ومتطلبات الإبلاغ الفوري عن الحوادث، وضمانات حماية البيانات وفق المواد 18-21 من نظام PDPL.
**ثالثاً: المراقبة المستمرة**
راقب أداء الموردين باستمرار عبر تغذية استخباراتية للتهديدات، مع إعادة تقييم دورية لا تقل عن مرة سنوياً للموردين من الفئة الأولى.
**رابعاً: مخاطر التركّز**
ينبّه SAMA تحديداً على خطورة الاعتماد على مورد واحد لخدمات متعددة، وهو ما يجب رصده في سجل المخاطر ورفعه للجنة المخاطر بمجلس الإدارة.
**خامساً: خطة الخروج**
ضع خططاً واضحة للخروج تضمن استمرارية الأعمال وفق الضابط 3.3.6 من SAMA CSF.
منصة GRC الفعّالة تُمكّنك من أتمتة تقييم المخاطر وتتبع دورات المراجعة وإعداد تقارير جاهزة لمجلس الإدارة.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التي يُركّز عليها إطار SAMA CSF في المجال الرابع المخصص لإدارة الموردين والشركاء الخارجيين. ويُلزم هذا الإطار المؤسسات المالية بتبني منهج منظم وشامل يغطي دورة حياة العلاقة مع الموردين من البداية حتى الإنهاء.
**أبرز المتطلبات:**
1. **تصنيف الموردين والعناية الواجبة (SAMA CSF 4.1):** صنّف موردك وفق درجة الأهمية — المستوى الأول (الأنظمة الجوهرية)، الثاني (المهمة)، الثالث (الاعتيادية). أجرِ تقييماً للأمن السيبراني قبل التعاقد، شاملاً مراجعة شهادات ISO 27001 وتقارير SOC 2 ونتائج اختبارات الاختراق.
2. **البنود التعاقدية الإلزامية (SAMA CSF 4.2):** أدرج شروطاً صريحة تتعلق بحماية البيانات، والإبلاغ عن الحوادث خلال 24–48 ساعة، وحق المراجعة والتدقيق، والالتزام بمتطلبات SAMA CSF ونظام PDPL.
3. **المراقبة المستمرة:** راجع الموردين من المستوى الأول سنوياً، والمستوى الثاني كل عامين، مع الاستعانة بأدوات رصد المخاطر الآنية.
4. **مخاطر التركّز:** وثّق حالات الاعتماد الكبير على مورد واحد — كمزود خدمة سحابية بعينه — مع وضع خطط طوارئ مناسبة.
5. **إجراءات إنهاء التعاقد:** تأكد من حذف البيانات وسحب صلاحيات الوصول عند إنهاء أي علاقة مع مورد.
**نصيحة عملية:** شكّل لجنة متخصصة لمخاطر الموردين تضم ممثلين من الأمن السيبراني والقانوني والمشتريات، وحافظ على سجل مركزي محدَّث ربع سنوياً. وللشركات الناشئة في مجال التقنية المالية، اربط تقييم الموردين بمتطلبات المادة 29 من نظام PDPL المتعلقة بنقل البيانات عبر الحدود.
هل كانت الإجابة مفيدة؟
تُشكّل إدارة استمرارية الأعمال ركيزةً أساسية في SAMA CSF ضمن المجال السادس المخصص للمرونة السيبرانية، فضلاً عن ارتباطها الوثيق بمعيار ISO 22301. وينبغي للبنوك السعودية أن تتعامل مع هذا البرنامج باعتباره منظومة حية ومتكاملة مع خطط الاستجابة للحوادث، لا مجرد وثائق للامتثال.
**متطلبات SAMA CSF في مجال الاستمرارية (المجال 6):**
1. **تحليل الأثر على الأعمال (BIA):** حدد العمليات والأنظمة الحيوية — كالخدمات المصرفية الجوهرية وبنية الدفع وواجهات SWIFT — وحدد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO). ويتوقع SAMA أن يكون RTO الأنظمة من الفئة الأولى أقل من 4 ساعات.
2. **الحوكمة والسياسة:** يجب اعتماد برنامج الاستمرارية على مستوى مجلس الإدارة، مع تعيين مسؤول مخصص له، ومراجعته سنوياً.
3. **خطط التعافي من الكوارث (DRP):** وثّق إجراءات الاسترداد التقني لكل الأنظمة الحيوية، مع اشتراط SAMA بوجود مواقع أساسية واحتياطية داخل المملكة.
4. **خطط التواصل في الأزمات:** حدد مسارات التواصل مع الموظفين والجهات التنظيمية والعملاء والإعلام خلال أي انقطاع كبير.
**التوافق مع ISO 22301:**
- أجرِ تقييم فجوات رسمي وفق بنود ISO 22301 (6–10) لتحديد مستوى النضج.
- تتناول المادة 8.5 من المعيار متطلبات الاختبار، بما يشمل التمارين الورقية والاختبارات التشغيلية والتحويل الكامل للأنظمة.
**دورية الاختبارات:**
- تمارين ورقية: مرتين سنوياً.
- اختبارات التعافي التقني: سنوياً.
- تمارين استمرارية الأعمال الشاملة: كل عامين.
**نصيحة عملية:** ادمج اختبارات الاستمرارية مع تدريبات الاستجابة للحوادث السيبرانية؛ فمحاكاة هجوم فدية يُفعّل خطة التعافي أجدى بكثير من الاختبارات المنفصلة. وثّق الدروس المستفادة وحدّث الخطط خلال 30 يوماً من كل تمرين، مع الالتزام بإبلاغ SAMA وفق جداول الإخطار المحددة في حال تفعيل خطط الاستمرارية لحادثة حقيقية.
هل كانت الإجابة مفيدة؟
تُعدّ استمرارية الأعمال والمرونة السيبرانية من أكثر المجالات صرامةً في الرقابة على المؤسسات المالية السعودية، إذ تمتد الالتزامات لتشمل إطارَي SAMA CSF وNCA ECC معاً.
**متطلبات SAMA CSF — المجال الثالث: المرونة السيبرانية:**
يُوجب الضابط 3.3 على المؤسسات الأعضاء وضع خطة مرونة سيبرانية (CRP) والحفاظ عليها واختبارها بصفة دورية، وتُعنى هذه الخطة تحديداً بالانقطاعات الناجمة عن حوادث سيبرانية، وتختلف عن خطط التعافي التقنية التقليدية. ومن أبرز المتطلبات:
- **أهداف وقت التعافي (RTO)**: تحديد أهداف واضحة للأنظمة المصرفية الحيوية واختبارها، ولا تتجاوز عادةً 4 ساعات للمؤسسات من الفئة الأولى.
- **أهداف نقطة الاسترداد (RPO)**: التحقق من قدرات استعادة البيانات وتوثيق نتائج اختبارات سلامة النسخ الاحتياطية.
- **تمارين المحاكاة**: تنفيذ تمارين مرونة سيبرانية سنوية على الأقل تحاكي سيناريوهات هجمات الفدية والحرمان من الخدمة وخروقات البيانات، بمشاركة فعلية من القيادة العليا والمسؤول الأول عن أمن المعلومات.
- **التبعيات الخارجية**: توثيق إجراءات التعافي وتضمين سيناريوهات انقطاع خدمات الموردين والمزودين السحابيين.
**التوافق مع NCA ECC — المادة 2-13: استمرارية الأعمال:**
يُوسِّع إطار NCA ECC نطاق هذه المتطلبات ليشمل الجهات المالية المرتبطة بالحكومة والبنية التحتية الحيوية، ويشترط:
- اعتماد سياسة إدارة استمرارية الأعمال على المستوى التنفيذي.
- مراجعة تحليل أثر الأعمال (BIA) سنوياً مع تضمين صريح لسيناريوهات الأمن السيبراني.
- دمج جداول الاستجابة للحوادث السيبرانية ضمن وثائق خطة استمرارية الأعمال.
**خطوات التطبيق العملي:**
1. مواءمة ضوابط خطة المرونة السيبرانية مع معيار ISO 22301 لإدارة استمرارية الأعمال.
2. تضمين أحكام التحويل السحابي وسيادة البيانات في خطط الاستمرارية للمؤسسات المعتمدة على بيئات السحابة الكبرى.
3. إجراء تمارين مشتركة بين فرق الأمن السيبراني وإدارة الاستمرارية، إذ يبحث المدققون من SAMA عن أدلة هذا التكامل.
تساعد خدمة vCISO الاستشارية لدينا المؤسساتِ في بناء خطط استمرارية الأعمال واختبارها وتوثيقها بما يُرضي مدققي SAMA وNCA على حدٍّ سواء.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF (المجال الرابع - المرونة السيبرانية) البنوكَ السعودية بوضع برنامج متكامل لإدارة استمرارية الأعمال يأخذ في الاعتبار السيناريوهات السيبرانية تحديدًا، لا الأعطال التشغيلية التقليدية فحسب.
**المتطلبات الأساسية:**
- **تحليل الأثر على الأعمال (BIA):** تحديد الأنظمة الحيوية وأهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO) وفق الضابط 4.1. وتتوقع هيئة ساما عمومًا ألا يتجاوز RTO للأنظمة المصرفية الجوهرية 4 ساعات.
- **السياسات والخطط:** صياغة خطط استمرارية الأعمال (BCP) وخطط التعافي من الكوارث (DRP) وفق الضابط 4.2، بحيث تغطي سيناريوهات كالفدية وهجمات الحرمان من الخدمة وتدمير البيانات.
- **التواصل في الأزمات:** تحديد مسارات التصعيد والإشعار الداخلي، مع الالتزام بإبلاغ هيئة ساما خلال 72 ساعة من وقوع الحوادث الكبرى.
**متطلبات الاختبار:**
يشترط SAMA CSF إجراء اختبارات سنوية على الأقل، غير أن أفضل الممارسات للبنوك الكبرى تتضمن:
- تمارين المحاكاة الجدولية (ربع سنوية) لسيناريوهات الاختراق السيبراني
- اختبارات وظيفية للتحول إلى مواقع التعافي من الكوارث
- محاكاة شاملة سنوية تشمل الفرق التقنية والتشغيلية والقانونية والإدارة العليا
يجب توثيق نتائج الاختبارات وتتبع الثغرات وعرض خطط المعالجة على لجنة المخاطر في مجلس الإدارة.
**التوافق مع NCA ECC:** تستوجب المادة 2-14 من إطار NCA ECC أيضًا دمج إدارة الاستمرارية مع الضوابط السيبرانية، لذا يُنصح بعمل تعيين مزدوج للإطارين.
توفر منصتنا قوالب جاهزة معيّنة على كلا الإطارين، مع تذكيرات آلية لجداول الاختبار ولوحات تتبع الثغرات.
هل كانت الإجابة مفيدة؟
يُلزم إطار الأمن السيبراني لساما (الضابط 3.3.1) جميع المؤسسات المالية بتطبيق برنامج رسمي للتوعية الأمنية يشمل الموظفين والمقاولين وأي طرف خارجي يملك صلاحية الوصول إلى الأنظمة، على أن يُنفَّذ هذا البرنامج وفق نهج قائم على المخاطر ومصمَّم خصيصاً لكل دور وظيفي، بحد أدنى مرة واحدة سنوياً.
لبناء برنامج فعّال ومتوافق مع المتطلبات التنظيمية، ننصح البنوك والشركات المالية السعودية باتباع الخطوات التالية:
**أولاً – وضع سياسة تدريبية واضحة:** تحدد الأهداف والجمهور المستهدف والتكرار الزمني وآليات القياس، مع الربط بمتطلبات ساما وقسم 2-7 من إطار ECC الصادر عن هيئة الاتصالات الوطنية.
**ثانياً – التمييز بين الفئات الوظيفية:** يحتاج الموظفون العامون إلى تدريب على التصيد الاحتيالي وإدارة كلمات المرور والتعامل الآمن مع البيانات، بينما يتلقى فريق تقنية المعلومات وحدات تقنية متخصصة، فيما يستفيد المسؤولون التنفيذيون من جلسات توعوية حول حوكمة المخاطر والالتزامات التنظيمية.
**ثالثاً – تبني سيناريوهات التصيد المحاكاة:** تُجرى فصلياً وتُستخدم نتائجها مؤشرات لقياس مستوى الوعي البشري وتتبع نسب الإبلاغ عن الحوادث.
**رابعاً – تضمين متطلبات نظام حماية البيانات الشخصية (PDPL):** بما يشمل حقوق أصحاب البيانات والتزامات الإخطار عند الاختراق، لتعزيز الوعي بالمسؤولية القانونية الشخصية للموظف.
**خامساً – الاحتفاظ بسجلات مفصّلة:** تتضمن نسب الاستكمال والدرجات وإجراءات المعالجة، وتُحفظ لمدة لا تقل عن ثلاث سنوات لأغراض التدقيق.
برنامج التوعية الناضج لا يحقق الامتثال لإطار ساما فحسب، بل يُقلّص بشكل ملموس مخاطر الهجمات الاجتماعية التي تمثّل المدخل الرئيسي لاختراق المؤسسات المالية في المملكة.
هل كانت الإجابة مفيدة؟
يُعدّ التدريب على الوعي الأمني ركيزةً أساسية في إطار الأمن السيبراني لساما، وأداةً جوهرية للحد من مخاطر العنصر البشري في المؤسسات المالية السعودية.
**متطلبات ساما:** يشترط الضابط 3.2.2 ضمن نطاق الحوكمة في إطار ساما أن يخضع جميع الموظفين والمتعاقدين والأطراف الخارجية التي تصل إلى أنظمة المؤسسة لتدريب مخصص وفق طبيعة أدوارهم، على أن يكون هذا التدريب سنوياً على الأقل، وعند الالتحاق بالعمل، مع الاحتفاظ بسجلات الإتمام لأغراض التدقيق.
**تصميم برنامج فعّال:**
1. **مناهج مخصصة حسب الدور:** خصص مسارات تدريبية منفصلة للموظفين العامين (التصيد الاحتيالي وأمن كلمات المرور)، وفرق تقنية المعلومات (البرمجة الآمنة والاستجابة للحوادث)، والقيادة العليا (حوكمة مخاطر الأمن السيبراني والالتزامات التنظيمية)
2. **محاكاة التصيد الاحتيالي:** نفّذ حملات محاكاة ربع سنوية وقِس معدلات الاستجابة، ثم اربط نتائجها بتدريبات مركّزة للمستخدمين الأكثر عرضةً للخطر
3. **دمج المتطلبات التنظيمية:** أضف وحدات تدريبية تغطي التزامات نظام PDPL وإطار ساما وواجبات الإبلاغ وفق معيار NCA ECC لبناء ثقافة امتثال حقيقية
4. **قياس الأداء:** تابع معدلات الإتمام ونتائج المحاكاة وعلامات التقييم المعرفي، وأدرجها في تقارير ربع سنوية لمسؤول أمن المعلومات ولجنة مخاطر مجلس الإدارة
5. **التعزيز المستمر:** لا تكتفِ بالتدريب السنوي، بل أضف نشرات شهرية، وملصقات توعوية باللغة العربية، وتنبيهات فورية عند ظهور تهديدات جديدة تطال القطاع المالي السعودي
ضعف برامج التوعية يُعدّ من أكثر الملاحظات تكراراً في تقييمات إطار ساما، وغالباً ما تواجه المؤسسات التي تحصل على مستوى نضج 1 أو 2 في هذا النطاق متطلبات معالجة مشددة.
هل كانت الإجابة مفيدة؟
التوعية الأمنية ليست خيارًا بل التزام تنظيمي واضح بموجب إطار SAMA CSF (النطاق 3.6 — التوعية والتدريب) وضوابط NCA ECC (الضابط 2-6). والمؤسسات التي تكتفي ببرامج شكلية تجد نفسها في مواجهة ملاحظات نقص النضج خلال التقييمات التنظيمية. إليك عناصر البرنامج الفعّال:
**تدريب مُصمَّم حسب الأدوار:** صمّم محتوى مختلفًا للقيادة التنفيذية، وفرق تقنية المعلومات والأمن، والمستخدمين ذوي الصلاحيات الموسّعة، والموظفين العاديين. يشترط SAMA CSF 3.6.2 صراحةً وجود برامج توعية مخصصة لكل فئة.
**التدريب الإلزامي عند التعيين والتجديد السنوي:** يشمل ذلك الموظفين والمقاولين وأي طرف خارجي له وصول إلى الأنظمة. تتبّع معدلات الإتمام كمؤشر أداء رئيسي لإثبات الامتثال.
**محاكاة هجمات التصيد الاحتيالي:** نفّذ حملات محاكاة دورية (بحد أدنى ربع سنوية) لقياس مدى تأثر الموظفين في الواقع العملي. يستلزم الضابط NCA ECC 2-6-3 توثيق هذه التمارين واستخدام نتائجها لتحسين البرنامج.
**تدريب متخصص لفرق الأمن:** يحتاج محللو مركز العمليات الأمنية (SOC) ومستجيبو الحوادث والمدير التنفيذي للأمن إلى تدريب متقدم يغطي استخبارات التهديدات والتحليل الجنائي الرقمي والإطارين التنظيميين. اربط الشهادات المهنية (CISSP، CISM، CEH) بمتطلبات كل دور.
**المقاييس والتقارير:** ارفع تقارير دورية تتضمن معدلات إتمام التدريب، ومعدلات النقر في محاكاة التصيد، ومستوى فاعلية البرنامج إلى الإدارة العليا ومجلس الإدارة سنويًا على الأقل وفق SAMA CSF 3.6.1.
**المحتوى باللغة العربية:** قدّم التدريب بالعربية لضمان الفهم الحقيقي والانخراط الفعلي من قبل الموظفين، فالمحتوى المحلّي يرفع معدلات الاستيعاب والتفاعل بشكل ملحوظ.
هل كانت الإجابة مفيدة؟
تُعدّ استمرارية الأعمال ركيزةً أساسية في إطار SAMA CSF، إذ يُلزم نطاق التحكم السادس البنوكَ السعودية بالحفاظ على عمليات مرنة وقادرة على الصمود في مواجهة الاضطرابات السيبرانية والتشغيلية. وبناء برنامج ناضج في هذا المجال يستدعي تصميماً محكماً ومنهجية اختبار صارمة.
**على صعيد تصميم البرنامج (وفق متطلبات SAMA CSF 6.1–6.4):**
- إجراء تحليل أثر الأعمال (BIA) لتحديد الوظائف الحيوية والحد الأقصى للتوقف المقبول.
- تحديد أهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO) لكل نظام حرج — وتشترط SAMA عموماً ألا يتجاوز RTO الخاص بالخدمات المصرفية الجوهرية 4 ساعات.
- توثيق خطة استمرارية الأعمال (BCP) وخطة التعافي من الكوارث (DRP) بحيث تشمل سيناريوهات الحوادث السيبرانية لا الكوارث الطبيعية فحسب.
- إسناد مسؤولية حوكمة البرنامج إلى مستوى مجلس الإدارة والإدارة العليا، مع تعيين مسؤول متخصص.
**على صعيد الاختبار:**
- تُلزم SAMA CSF بإجراء اختبارات دورية مرة سنوياً على الأقل مع توثيق النتائج ومراجعتها من الإدارة العليا.
- ينبغي أن تتدرج الاختبارات من التمارين الافتراضية على الطاولة إلى المحاكاة الشاملة التي تتضمن اختبار التحويل الاحتياطي للأنظمة واسترداد البيانات وتفعيل سلسلة الاتصال.
- يجب أن تُغذّي نتائج اختبارات الاختراق تحديثات سيناريوهات استمرارية الأعمال مباشرةً.
- مواءمة جداول الاختبار مع ضوابط المرونة المنصوص عليها في المادة 3-7 من إطار NCA ECC.
**توجيهات عملية:**
- الحفاظ على دليل اتصالات محدّث ومصفوفة تصعيد واضحة.
- اختبار استرداد النسخ الاحتياطية فعلياً — لا الاكتفاء بإنشائها — كل ربع سنة على الأقل.
- التحقق من أن بيئات الاسترداد السحابية تلتزم بأهداف RTO/RPO ذاتها المعتمدة للأنظمة التقليدية.
- توثيق الدروس المستخلصة بعد كل اختبار ومتابعة إجراءات المعالجة حتى إغلاقها.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال من المتطلبات الجوهرية التي يفرضها إطار SAMA CSF على المؤسسات المالية السعودية، لا سيما في النطاق الرابع المتعلق بالمرونة السيبرانية، وتحديداً الضابط 4.3 الذي يلزم البنوك بإنشاء برامج متكاملة للاستمرارية والتعافي من الكوارث واختبارها بصفة منتظمة.
**أبرز المتطلبات:**
**أولاً - تحليل أثر الأعمال (BIA):** يستلزم تحديد العمليات والأنظمة الحيوية، وتحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) بما يتناسب مع أهمية كل خدمة مصرفية وفق الضابط 4.3.2.
**ثانياً - وثائق الاستمرارية:** إعداد خطة استمرارية أعمال وخطة تعافٍ من الكوارث معتمدتين من الإدارة العليا ومجلس الإدارة، مع تغطية سيناريوهات سيبرانية واقعية كهجمات الفدية وانتهاكات البيانات.
**ثالثاً - الاختبار والتدريبات:** يشترط الضابط 4.3.5 إجراء اختبارات دورية لا تقل عن مرة سنوياً، تشمل تمارين الطاولة ومحاكاة الحوادث واختبارات التشغيل الفعلي، مع توثيق النتائج ومعالجة الثغرات.
**رابعاً - الاعتماد على الأطراف الثالثة والسحابة:** يجب أن تشمل الخطط مخاطر الانقطاع المرتبطة بمزودي الخدمات والمنصات السحابية، مع ضمان توافق اتفاقيات مستوى الخدمة.
**خامساً - الإبلاغ التنظيمي:** يستوجب أي تفعيل لخطة الاستمرارية بسبب حادثة سيبرانية إخطار SAMA وفق الإطار المحدد للإبلاغ عن الحوادث.
**نصيحة عملية:** ادمج برنامج الاستمرارية مع مسار الحصول على شهادة ISO 22301 لإثبات الامتثال المزدوج، واستخدم سيناريوهات تعكس التهديدات الفعلية كانقطاع أنظمة الدفع والخدمات المصرفية الأساسية.
هل كانت الإجابة مفيدة؟
يُولي إطار الأمن السيبراني لساما (SAMA CSF) أهمية بالغة لاستمرارية الأعمال من خلال المجال الرابع المخصص للمرونة السيبرانية، وهو متطلب إلزامي لجميع البنوك والمؤسسات المالية الخاضعة للرقابة. يقوم البرنامج المتوافق مع هذه المتطلبات على عدة محاور رئيسية: أولاً، إجراء تحليل أثر الأعمال (BIA) لتحديد الوظائف الحيوية وأهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) وفق ضابط 4.1، إذ تستوجب الأنظمة المصرفية الجوهرية عادةً RTO لا يتجاوز 4 ساعات. ثانياً، توثيق خطط استمرارية الأعمال (BCP) وخطط التعافي من الكوارث (DRP) بحيث تغطي سيناريوهات سيبرانية متخصصة كالفدية والـDDoS وانهيار مراكز البيانات، مع ربطها بخطة الاستجابة للحوادث وفق ضابط 3.5. ثالثاً، الاختبار والتحقق وفق ضابط 4.3 الذي يُلزم بإجراء اختبارات دورية لا تقل عن مرة سنوياً، تتدرج من جلسات المحاكاة الورقية إلى التمارين الميدانية الشاملة. رابعاً، امتداد خطط الاستمرارية لتشمل مزودي الخدمات الحيويين مع ضمان توافق أهداف استردادهم مع متطلبات البنك. خامساً، الإبلاغ الفوري عن الاضطرابات الجوهرية لساما وفق إطار الإبلاغ عن الحوادث السيبرانية. ويُوصى بمواءمة البرنامج مع معيار ISO 22301 لإدارة استمرارية الأعمال لتوفير هيكل معترف به دولياً يلبي توقعات ساما، علماً بأن الفحوصات الرقابية السنوية تقيّم نضج برامج الاستمرارية وفق مقياس من 1 إلى 4.
هل كانت الإجابة مفيدة؟
يُلزم المجال الرابع من إطار الأمن السيبراني لساما — الخاص بالمرونة — المؤسساتِ الأعضاءَ بإنشاء برنامج متكامل لاستمرارية الأعمال وتطويره باستمرار بحيث يشمل ركيزة المرونة السيبرانية. إليك المنهجية المثلى لتحقيق ذلك: أولاً، تحليل الأثر على الأعمال وتقييم المخاطر وفق الضابط 4.1، مع تضمين سيناريوهات هجمات الفدية وهجمات الحرمان من الخدمة والتهديدات الداخلية بشكل صريح، وتحديد أهداف وقت الاسترداد وأهداف نقطة الاسترداد لكل عملية حرجة. ثانياً، توثيق خطط الاستمرارية وخطط التعافي من الكوارث ومراجعتها سنوياً على الأقل أو عقب أي تغييرات جوهرية وفق الضابط 4.3. ثالثاً، ربط خطط الاستمرارية بخطة الاستجابة للحوادث السيبرانية ربطاً وثيقاً، بحيث تستدعي أي حادثة سيبرانية تفعيل بروتوكولات تصعيد واضحة تصل إلى مستوى الإدارة العليا ومجلس الإدارة. رابعاً، إجراء اختبارات دورية تشمل تمارين الطاولة سنوياً كحد أدنى، واختبارات المحاكاة الكاملة أو اختبارات التحويل كل عامين على الأقل مع توثيق النتائج وتتبع إجراءات التصحيح. خامساً، مراعاة التبعيات على الموردين الخارجيين لا سيما في بيئات الدفع والأنظمة المصرفية الأساسية والخدمات السحابية. سادساً، الإبلاغ عن نتائج الاختبارات والحوادث المؤثرة على الاستمرارية للجهات الرقابية وفق متطلبات ساما. يُنصح المسؤولون عن أمن المعلومات بتشكيل فريق متعدد الوظائف يضم ممثلين من تقنية المعلومات والعمليات والشؤون القانونية والاتصالات، مع الاستئناس بمعيار ISO 22301 لتحقيق التوافق مع متطلبات ساما والممارسات الدولية في آنٍ واحد.
هل كانت الإجابة مفيدة؟
يُعدّ برنامج إدارة استمرارية الأعمال من أبرز الركائز التنظيمية للمؤسسات المالية السعودية، إذ تحكمه متطلبات متشعبة بين إطار ساما للأمن السيبراني (القسم الفرعي 3.3) وضوابط الأمن السيبراني للبنى التحتية الحرجة الصادرة عن هيئة الاتصالات الوطنية (المادة 2-13).
**المرحلة الأولى — تحليل أثر الأعمال (BIA):**
يبدأ البرنامج بتحديد العمليات والأنظمة الحيوية وأولوياتها. وبموجب الضابط 3.3.1 من إطار ساما، يجب تحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) لكل عملية جوهرية — والمتعارف عليه في البيئة المصرفية أن يكون RTO أنظمة الخدمات المصرفية الجوهرية أقل من 4 ساعات، وRPO أقل من ساعة واحدة.
**المرحلة الثانية — تقييم المخاطر:**
إجراء تقييم شامل يغطي الهجمات السيبرانية والكوارث الطبيعية وانقطاع الخدمات لدى الأطراف الثالثة، مع ربطه بمنظومة إدارة مخاطر إطار ساما (القسم الفرعي 2.1).
**المرحلة الثالثة — بناء الخطط:**
إعداد أربع خطط متكاملة: خطة استمرارية الأعمال، وخطة التعافي من الكوارث، وخطة التواصل في الأزمات، وخطة الاستجابة لحوادث تقنية المعلومات. وتشترط هيئة الاتصالات الوطنية أن تتضمن هذه الخطط بشكل صريح سيناريوهات الهجمات السيبرانية.
**المرحلة الرابعة — الاختبار والتدريبات:**
يستوجب الضابط 3.3.5 من إطار ساما إجراء تمرين محاكاة شامل سنوياً على الأقل، مع تدريبات طاولة ربع سنوية للأنظمة الحيوية، مع توثيق النتائج وتتبع خطط المعالجة.
**المرحلة الخامسة — التحسين المستمر:**
مراجعة الخطط بعد كل حادثة جوهرية أو تغيير كبير في الأنظمة، أو على الأقل مرة كل عام. كما يجب تعيين مسؤول متخصص لإدارة استمرارية الأعمال وتشكيل لجنة توجيهية بمشاركة القيادة التنفيذية.
لا تغفل عن التوافق مع التعميم الخاص باستمرارية الأعمال الصادر عن ساما عام 2022، الذي رفع سقف متطلبات توثيق الاختبارات للبنوك من الفئة الأولى.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF في نطاقه الرابع المتعلق بالمرونة المؤسسية، البنوكَ السعوديةَ بتطوير برنامج متكامل لاستمرارية الأعمال يغطي جوانب التعافي التشغيلي والأمن السيبراني معاً.
**وفق متطلبات SAMA CSF الضابط 4.1 – تخطيط استمرارية الأعمال:**
- تحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) لجميع الأنظمة الحيوية، إذ تتوقع SAMA عادةً أن يكون RTO لا يتجاوز 4 ساعات للوظائف المصرفية الأساسية.
- إجراء تحليل الأثر على الأعمال (BIA) سنوياً أو عند حدوث تغييرات جوهرية لتحديد العمليات الحرجة والتبعيات وحدود التوقف المقبولة.
**وفق الضابط 4.2 – التعافي من الكوارث:**
- الاحتفاظ بخطة تعافٍ من الكوارث (DRP) موثقة ومُختبرة، منسجمة مع خطة استمرارية الأعمال.
- يجب أن تكون بيئات التعافي بعيدة جغرافياً، حيث توصي SAMA بمسافة لا تقل عن 50 كم بين مراكز البيانات الرئيسية والثانوية للبنوك ذات الأهمية النظامية.
- إجراء اختبارات شاملة للتعافي مرة على الأقل سنوياً مع توثيق النتائج ومعالجة الثغرات خلال مهل زمنية محددة.
**متطلبات استمرارية الأعمال المرتبطة بالسيبرانية:**
- يجب أن تتضمن خطط BCM صراحةً سيناريوهات هجمات الفدية، بما فيها النسخ الاحتياطية غير المتصلة بالشبكة مع اختبار سلامتها ربع سنوياً.
- ينبغي دمج خطط الاستجابة للحوادث ضمن آليات تفعيل خطة استمرارية الأعمال.
**توصيات عملية:**
يقع كثير من البنوك في خطأ معاملة BCM كمهمة تقنية بحتة بدلاً من كونها برنامجاً مؤسسياً شاملاً. الحل يكمن في إشراك أصحاب وحدات الأعمال في ورش BIA، والحصول على موافقة القيادة التنفيذية على الأهداف المحددة، مع التوافق مع متطلبات معيار ISO 22301 لإثبات النضج خلال مراجعات SAMA.
هل كانت الإجابة مفيدة؟
بناء خطة استجابة فعّالة للحوادث السيبرانية في المؤسسات المالية السعودية يستلزم التوافق مع مجال الضبط 3.4 من إطار SAMA (إدارة الحوادث السيبرانية) ومتطلبات الهيئة الوطنية للأمن السيبراني المتعلقة بإدارة الأحداث السيبرانية، وكلا الإطارين يشترطان وجود خطة موثقة رسميًا ومعتمدة من مجلس الإدارة وتغطي دورة حياة الحادث كاملة.
يجب أن تشمل الخطة ستة محاور أساسية: التحضير، والرصد والتحديد، والاحتواء، والاستئصال، والتعافي، وما بعد الحادث. والأهم من ذلك، تحديد حدود التصعيد والجداول الزمنية للإبلاغ التنظيمي. فبموجب الضابط 3.4.4 من SAMA CSF، يجب الإبلاغ عن الحوادث الجسيمة خلال 72 ساعة من اكتشافها، على أن يتبع الإشعار الأولي تقارير تفصيلية وتحليل شامل للسبب الجذري.
أما المركز الوطني للعمليات الأمنية (CSCC) التابع لـ NCA، فيشترط الإبلاغ الفوري عن حوادث البنية التحتية المعلوماتية الحرجة ذات التصنيف الأول. كما ينبغي أن تحدد الخطة بوضوح الأحداث القابلة للإبلاغ وفق معايير NCA، كالوصول غير المصرح، وبرمجيات الفدية، وانتهاكات البيانات، وهجمات الحرمان من الخدمة.
على الصعيد العملي، تحتاج الخطة إلى: فريق استجابة محدد الأدوار والمسؤوليات، وقوالب تواصل معتمدة مسبقًا مع الجهات التنظيمية والعملاء، وتكامل مع أدوات SIEM/SOAR، وإجراءات واضحة للحفاظ على الأدلة الرقمية، ومراجعة إلزامية عقب كل حادث.
سيتحقق مفتشو SAMA وNCA من أن خطتك لا تقتصر على التوثيق، بل تُختبر ميدانيًا من خلال تمارين محاكاة سنوية على الأقل. توفر منصتنا قوالب جاهزة مُعيَّنة على متطلبات SAMA وNCA، وسير عمل آلية للإشعارات التنظيمية، وأدوات جدولة التدريبات لضمان استعداد فريقك الدائم.
هل كانت الإجابة مفيدة؟
تُعدّ استمرارية الأعمال من أبرز المجالات الإلزامية للمؤسسات المالية السعودية، إذ يحدد كلٌّ من SAMA CSF (المجال 3.5 - المرونة السيبرانية) وNCA ECC (الضابط 2-18) الحد الأدنى من المتطلبات الواجب استيفاؤها.
**أبرز متطلبات SAMA CSF:**
- إعداد خطة استمرارية أعمال (BCP) وخطة استعادة الكوارث (DRP) تغطي سيناريوهات الحوادث السيبرانية والاضطرابات التشغيلية
- تحديد أهداف وقت الاستعادة (RTO) ونقطة الاستعادة (RPO) لكل الأنظمة الحيوية، مع توقع SAMA أن يكون RTO أربع ساعات أو أقل للخدمات المصرفية الجوهرية
- إجراء اختبارات دورية لا تقل عن مرة سنوياً تشمل تمارين المحاكاة والتحويل الفعلي للأنظمة
- دمج خطة الاستجابة للحوادث السيبرانية ضمن إطار استمرارية الأعمال
**متطلبات NCA ECC (الضابط 2-18):**
- تصنيف الأنظمة وفق درجة حيويتها وضمان توافق خطط الاستمرارية مع متطلبات حماية البنى التحتية الحيوية الوطنية
- الاحتفاظ بمواقع استعادة كوارث منفصلة جغرافياً داخل المملكة
- توثيق واختبار إجراءات النسخ الاحتياطي والاستعادة مع التحقق من سلامة البيانات بعد كل عملية استعادة
**خطوات التنفيذ العملي:**
1. إجراء تحليل أثر الأعمال (BIA) لتحديد العمليات الحيوية والحد الأقصى للتوقف المقبول
2. رسم خريطة التبعيات التقنية لكل عملية أعمال حيوية
3. تشكيل فريق إدارة الأزمات مع تحديد الأدوار وآليات التصعيد بوضوح
4. ربط نتائج اختبارات الاستمرارية بتقييمات نضج SAMA السنوية
5. ضمان مراجعة وثائق BCM واعتمادها من مجلس الإدارة سنوياً على الأقل
المؤسسات التي تعامل استمرارية الأعمال باعتبارها مهمة تقنية بحتة — بدلاً من كونها وظيفة حوكمة مؤسسية شاملة — تسجّل باستمرار أداءً متدنياً في تقييمات النضج الصادرة عن SAMA.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF في نطاقه الرابع المتعلق بالمرونة التشغيلية، البنوكَ والمؤسسات المالية السعودية بإنشاء برنامج متكامل لإدارة استمرارية الأعمال. وفيما يلي أبرز المتطلبات العملية:
**1. تحليل الأثر على الأعمال (BIA):** وفق الضابط 4.2 من SAMA CSF، يجب تحديد الوظائف الحيوية وتحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) بدقة.
**2. توثيق خطط الاستمرارية والتعافي:** يجب أن تشمل الخطط الموثقة جميع الأنظمة التقنية والعمليات التشغيلية، مع مراجعتها سنوياً على الأقل.
**3. الاختبار الدوري:** يستلزم SAMA إجراء اختبارات منتظمة تشمل محاكاة الكوارث الكاملة وتوثيق نتائجها ومعالجة الثغرات المكتشفة.
**4. مواقع التعافي البديلة:** يجب الحفاظ على مواقع تعافٍ مستقلة جغرافياً داخل المملكة لضمان سيادة البيانات، وذلك منسجماً مع متطلبات NCA ECC الخاصة بإقامة البيانات.
**5. خطط التواصل والتصعيد:** ينبغي وضع بروتوكولات واضحة للتواصل مع الجهات الداخلية والرقابية والعملاء خلال أي اضطراب تشغيلي.
**نصيحة عملية:** ادمج برنامج استمرارية الأعمال مع خطة الاستجابة للحوادث لتفادي الفجوات، ووثّق نتائج الاختبارات بشكل دقيق لأنها من أولى الوثائق التي يطلبها مفتشو SAMA خلال عمليات التقييم الرقابي.
هل كانت الإجابة مفيدة؟
تُعدّ إدارة استمرارية الأعمال من أبرز المتطلبات التنظيمية التي يفرضها إطار SAMA CSF ضمن المجال الرابع المتعلق بالمرونة التشغيلية، إذ تُلزم المؤسسات المالية بامتلاك خطط واضحة لضمان استمرار عملياتها في مواجهة الأزمات والحوادث السيبرانية.
**أبرز المتطلبات وفق SAMA CSF:**
- تُلزم الضوابط من 4.3.1 إلى 4.3.5 المؤسساتِ بإجراء تحليل شامل لأثر الأعمال (BIA)، وتحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) بوضوح.
- يجب توثيق خطط التعافي من الكوارث (DRP) وتحديثها واختبارها بشكل دوري لا يقل عن مرة سنوياً.
- تشترط الضابطة 4.4 وجود خطط تواصل في الأزمات تتضمن مسارات تصعيد واضحة نحو مؤسسة النقد.
**خطوات التطبيق العملي:**
1. **تحليل أثر الأعمال**: حدّد الأنظمة الحيوية كالأنظمة المصرفية الأساسية وشبكات الدفع وروابط SWIFT، وضع أهداف استرداد واقعية لا تتجاوز 4 ساعات للخدمات الحرجة.
2. **بناء خطط BCP وDRP متكاملة**: لا تكتفِ بتوثيق الخطط، بل اجعلها جزءاً من العمليات اليومية واختبرها بصورة منتظمة عبر تمارين محاكاة وسيناريوهات تعافٍ فعلية.
3. **سيناريوهات التعافي السيبراني**: أدرج سيناريوهات هجمات الفدية والحرمان من الخدمة ضمن خططك، انسجاماً مع توقعات SAMA في مجال المرونة السيبرانية.
4. **التنسيق مع الموردين**: تحقق من أن موردي الخدمات الحيويين يمتلكون خططاً للاستمرارية متوافقة مع أهداف الاسترداد المعتمدة لديك.
5. **الاختبار والتوثيق**: وثّق نتائج الاختبارات وإجراءات المعالجة، إذ قد تطلب مؤسسة النقد مراجعتها خلال الفحوصات الرقابية.
بناء برنامج متكامل لاستمرارية الأعمال لا يحقق الامتثال التنظيمي فحسب، بل يعزز قدرة المؤسسة على الصمود في مواجهة التهديدات السيبرانية المتصاعدة.
هل كانت الإجابة مفيدة؟
بموجب المجال الرابع من إطار الأمن السيبراني لساما المتعلق بعمليات الأمن السيبراني، يتعين على البنوك والمؤسسات المالية السعودية الاحتفاظ بخطة استجابة للحوادث موثقة رسمياً تغطي مراحل الكشف والاحتواء والاستئصال والتعافي ومراجعة ما بعد الحادثة. ووفقاً للضابط 4.3 من إطار ساما، يجب على المؤسسات إنشاء مركز عمليات أمنية يعمل على مدار الساعة طوال أيام الأسبوع أو الاستعانة بخدمة مُدارة معادلة لضمان المراقبة المستمرة والاستجابة الفورية.
فيما يخص مواعيد الإبلاغ، تشترط ساما على المؤسسات الأعضاء إخطارها بأي حادثة أمن سيبراني جسيمة خلال 72 ساعة من اكتشافها، وهو متطلب يتوافق مع المادة 24 من نظام حماية البيانات الشخصية (PDPL) في حال تضمّنت الحادثة بيانات شخصية. وتستوجب الحوادث الحرجة التي تؤثر على أنظمة الخدمات المصرفية الأساسية أو بيانات العملاء التصعيدَ الفوري إلى الإدارة العليا ولجنة مخاطر مجلس الإدارة.
عملياً، يجب أن تتضمن خطة الاستجابة تصنيفاً واضحاً لمستويات الخطورة، وتحديداً لأدوار فريق الاستجابة، وقوالب اتصال معتمدة مسبقاً للجهات التنظيمية. كما تشترط ساما إجراء تمارين محاكاة سنوية على الأقل لاختبار مستوى الجاهزية. وتجدر الإشارة إلى أن المادة 3-6 من ضوابط هيئة الأمن السيبراني الوطنية (NCA ECC) تُلزم الجهات المالية التابعة للحكومة بالتنسيق مع CERT-SA بالتوازي مع إخطار ساما.
منصتنا توفر وحدة متكاملة لإدارة الاستجابة للحوادث تُؤتمت مواعيد الإشعارات، وتتتبع الالتزام بمستويات الخدمة، وتُنشئ تقارير جاهزة لمتطلبات ساما، مما يُقلل الجهد اليدوي ويضمن عدم الإخلال بأي التزام تنظيمي.
هل كانت الإجابة مفيدة؟
الهيئة الوطنية والحكومة 8
ضوابط الأمن السيبراني الأساسية (ECC) هي إطار إلزامي صادر عن الهيئة الوطنية للأمن السيبراني في المملكة العربية السعودية. وتنطبق على جميع الجهات الحكومية السعودية والشركات المملوكة للدولة ومؤسسات البنية التحتية الحيوية الوطنية. وتحتوي على 114 ضابطاً موزعاً على 5 نطاقات.
هل كانت الإجابة مفيدة؟
تغطي ضوابط NCA ECC: (1) حوكمة الأمن السيبراني — السياسات والأدوار والاستراتيجية؛ (2) تعزيز الأمن السيبراني — الضوابط التقنية لنقاط النهاية والخوادم والتطبيقات والشبكات؛ (3) صمود الأمن السيبراني — استمرارية الأعمال والاستجابة للحوادث والتعافي من الكوارث؛ (4) الأمن السيبراني للأطراف الثالثة والسحابة — إدارة الموردين وضوابط استخدام السحابة؛ (5) أمن أنظمة التحكم الصناعية — الأمن السيبراني لبيئات OT/ICS.
هل كانت الإجابة مفيدة؟
تُحدد الضوابط الأساسية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA ECC) التزامات واضحة في مجال التشفير، تتمحور بصورة رئيسية حول نطاق الضابط 2-14 الخاص بالتشفير وإدارة المفاتيح. يتعين على المنظمات وضع سياسة تشفير موثقة تُنظّم استخدام الخوارزميات وإدارة المفاتيح التشفيرية ودورة حياتها بالكامل. وتشترط الضوابط اعتماد معايير دولية معترف بها كـ NIST SP 800-57 وFIPS 140-2، مما يعني حصر الاستخدام في خوارزميات معتمدة من أبرزها: AES-256 للتشفير المتماثل، وRSA-2048 أو ECDSA P-256 للعمليات غير المتماثلة، وSHA-256 فأعلى للتجزئة. وفي المقابل، يجب إزالة الخوارزميات الضعيفة والمنتهية الصلاحية كـ MD5 وSHA-1 وDES من جميع البيئات الإنتاجية. على صعيد SAMA CSF، يُعزز الضابط 3.2.1 هذه المتطلبات بفرض التشفير على البيانات أثناء التخزين وأثناء النقل عبر أنظمة الدفع والتطبيقات المصرفية. وتُعدّ إدارة المفاتيح من أحرج المجالات التشغيلية، إذ يجب تطبيق دورة حياة متكاملة تشمل توليد المفاتيح وتوزيعها وتخزينها وتدويرها وإتلافها. ويُستحسن — بل إن الجهات التنظيمية تتوقعه في كثير من الحالات — اعتماد وحدات أمان الأجهزة (HSMs) لحماية المفاتيح المستخدمة في بيئات الدفع والبنية التحتية للمفاتيح العامة (PKI). من الناحية العملية، تبدأ الخطوات بإجراء جرد شامل للأصول التشفيرية لرصد كل الشهادات والمفاتيح وتطبيقات التشفير في البيئة، تليها مقارنة النتائج بمتطلبات ECC وSAMA لتحديد الفجوات. كما يُنصح بدمج أدوات إدارة الشهادات كـ Venafi أو Keyfactor، وإجراء مراجعات تشفيرية دورية سنوياً لمواكبة تطور المعايير.
هل كانت الإجابة مفيدة؟
تستخدم الهيئة الوطنية عملية تقييم نضج الأمن السيبراني (CMA) المنظمة. تقدم الجهات تقييماتها الذاتية التي يتم التحقق منها من خلال دورة مراجعة الهيئة. وقد تجري الهيئة عمليات تفتيش ميدانية وطلب أدلة ونشر تقييمات الامتثال. تتلقى الجهات غير الممتثلة خطط معالجة بمواعيد نهائية.
هل كانت الإجابة مفيدة؟
تنطبق NCA ECC (ضوابط الأمن السيبراني الأساسية) على نطاق واسع على جميع الجهات الحكومية وهي المعيار الأساسي. أما NCA CSCC (ضوابط الأمن السيبراني للقطاع الحيوي) فهي إطار أكثر صرامة لقطاعات البنية التحتية الحيوية الوطنية مثل الطاقة والمياه والاتصالات والخدمات المالية. تبني CSCC على ECC بمتطلبات قطاعية إضافية.
هل كانت الإجابة مفيدة؟
تتضمن الضوابط الأساسية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني (ECC-1:2018) أحكاماً خاصة ضمن النطاقين الثاني والرابع تتعلق بالمنشآت التي تعمل ببيئات التقنيات التشغيلية وأنظمة التحكم الصناعي، كشركات المرافق والبنية التحتية الحيوية والمؤسسات المالية الكبرى التي تمتلك مكوّنات تشغيلية في مراكز البيانات.
**تجزئة الشبكات (الضابط 2-8):** يجب الفصل التام بين شبكات التقنيات التشغيلية وشبكات تقنية المعلومات باستخدام الجدران النارية أو الصمامات الأحادية الاتجاه أو المناطق المجرّدة (DMZ)، مع منع الاتصال المباشر بين البيئتين.
**إدارة الأصول (الضابط 2-1):** يجب حصر وتصنيف جميع أصول التقنيات التشغيلية، وتوثيق الأنظمة القديمة التي لا يمكن تحديثها مع تطبيق ضوابط تعويضية كالعزل الهوائي وقوائم التطبيقات المصرّح بها والمراقبة المعزّزة.
**الوصول عن بُعد:** يجب أن يكون الوصول عن بُعد إلى بيئات التقنيات التشغيلية محدوداً وقائماً على الجلسات ومتطلباً للمصادقة متعددة العوامل، ويُحظر تمديد اتصالات الوصول الدائمة دون قبول مخاطر موثّق.
**المراقبة والكشف عن الحوادث:** يجب نشر أدوات المراقبة السلبية للشبكة كـ Claroty وDragos وNozomi للكشف عن الشذوذ دون التأثير على الأنظمة التشغيلية، مع تجنب الفحص النشط الذي قد يتسبب في اضطرابات.
**توصية عملية:** أجرِ تقييماً سيبرانياً مخصصاً لبيئة التقنيات التشغيلية مستنداً إلى معيار IEC 62443 جنباً إلى جنب مع ECC، وأدرج النتائج في منصة GRC لتتبع خطط المعالجة وإثبات الالتزام خلال تقييمات الهيئة الوطنية للأمن السيبراني.
هل كانت الإجابة مفيدة؟
تُلزم الضوابط الأساسية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني (ECC-1:2018)، وتحديدًا ضمن المجال 2-7 المتعلق بالمرونة السيبرانية، كافةَ المنظمات بوضع برنامج موثق ورسمي للاستجابة لحوادث الأمن السيبراني. وبالنسبة للمؤسسات المالية السعودية، يتقاطع هذا المطلب مع المجال الخامس من إطار SAMA CSF، مع ضرورة الالتزام بإجراءات الإبلاغ لكل من ساما والمركز الوطني للاستجابة لحوادث الفضاء الإلكتروني (CERT-SA).
**المكونات الأساسية لبرنامج الاستجابة للحوادث:**
1. **سياسة وخطة الاستجابة:** تحديد الأدوار والمسؤوليات ومسارات التصعيد وبروتوكولات التواصل، مع ضرورة اعتماد الخطة من قِبل الإدارة العليا ومراجعتها سنويًا.
2. **تصنيف الحوادث (وفق المادة 2-7-1 من ECC):** تصنيف الحوادث حسب الخطورة (من P1 إلى P4) لتفعيل مستويات استجابة ملائمة، مع التصعيد إلى CERT-SA عند تأثر البنية التحتية المالية الحيوية.
3. **قدرات الكشف والتحليل:** توفير مركز عمليات أمنية (SOC) يعمل على مدار الساعة، مع تكاملات SIEM وتغذيات استخباراتية للتهديدات مُصمَّمة وفق طبيعة التهديدات في القطاع المالي السعودي.
4. **الاحتواء والاستئصال والتعافي:** إعداد أدلة تشغيلية (Playbooks) لسيناريوهات الهجوم الشائعة كبرامج الفدية وهجمات الحرمان من الخدمة والتهديدات الداخلية واحتيال البريد الإلكتروني في البيئة المصرفية.
5. **متطلبات الإبلاغ التنظيمي:** تستوجب ساما الإبلاغ عن الحوادث السيبرانية الجسيمة خلال إطار زمني محدد، لذا يجب التنسيق مع الفرق القانونية والامتثال لضمان الإفصاح الدقيق وفي الوقت المناسب.
6. **مراجعات ما بعد الحادث:** إجراء جلسات استخلاص الدروس بعد كل حادث مهم، وتغذية نتائجها في سجل المخاطر وخطط تحسين الضوابط.
**نصيحة عملية:** أجرِ تمارين محاكاة على الطاولة مرتين على الأقل سنويًا تحاكي سيناريوهات مثل اختراق أنظمة الصيرفة الأساسية أو الاحتيال في المدفوعات، ووثّق النتائج لتكون دليلًا جاهزًا لمراجعات ساما والهيئة.
هل كانت الإجابة مفيدة؟
تُخصّص ضوابط الأمن السيبراني الأساسية الصادرة عن الهيئة الوطنية للأمن السيبراني (ECC-1:2018) حيّزاً واسعاً لإدارة الهوية والوصول ضمن نطاق التحكم 2-4، وتُحدّد متطلبات إلزامية تطال جميع الجهات الخاضعة لإشراف الهيئة، بما فيها الجهات الحكومية ومشغّلو البنية التحتية الحيوية.
**أبرز متطلبات ECC في مجال إدارة الهوية والوصول:**
- **الضابط 2-4-1**: وضع سياسة رسمية لإدارة الهوية تغطي دورة حياة المستخدم كاملةً من التهيئة حتى الإلغاء، مع توثيق مسارات الاعتماد والموافقة.
- **الضابط 2-4-2**: تطبيق مبدأ الحدّ الأدنى من الصلاحيات والتحكم في الوصول المستند إلى الأدوار على جميع الأنظمة.
- **الضابط 2-4-3**: إلزامية المصادقة متعددة العوامل لجميع الحسابات ذات الصلاحيات العالية وجلسات الوصول عن بُعد.
- **الضابط 2-4-4**: مراجعة صلاحيات الوصول ربع سنوياً، وسحبها فوراً عند تغيير المهام أو إنهاء الخدمة.
**توجيهات التطبيق العملي:**
1. نشر موفّر هوية مركزي متوافق مع معايير FIDO2 ومدمج مع جميع الأنظمة الحيوية.
2. اعتماد أدوات إدارة الوصول المتميز (PAM) لمراقبة الجلسات المتميزة وتسجيلها والتحكم فيها.
3. بناء عملية آلية لإدارة دورة حياة الموظفين (التعيين، النقل، الإنهاء) مرتبطة بأنظمة الموارد البشرية.
4. الاحتفاظ بسجلات الوصول لمدة لا تقل عن 12 شهراً وفق متطلبات الهيئة.
5. في البيئات السحابية، تطبيق ضوابط الهوية المنسجمة مع ضوابط الأمن السيبراني السحابي (CCC-1:2020).
ينبغي توثيق عمليات التدقيق الدورية وعرضها على لجنة الأمن السيبراني دليلاً على الالتزام المستمر.
هل كانت الإجابة مفيدة؟
PDPL والخصوصية 46
صدر نظام حماية البيانات الشخصية السعودي (PDPL) بمرسوم ملكي في سبتمبر 2021 ودخل حيز التطبيق الرسمي في سبتمبر 2023 بعد فترة انتقالية مدتها سنتان. وقد أُدخلت تعديلات عليه في 2023 لمواءمته مع أفضل الممارسات العالمية لحماية البيانات.
هل كانت الإجابة مفيدة؟
بموجب PDPL يجب على المؤسسات: (1) الحصول على موافقة صريحة قبل جمع البيانات الشخصية؛ (2) تحديد الغرض من الجمع والاقتصار عليه؛ (3) تطبيق ضوابط أمنية ملائمة؛ (4) احترام حقوق أصحاب البيانات (الوصول والتصحيح والحذف والاعتراض)؛ (5) الإبلاغ عن انتهاكات البيانات خلال 72 ساعة لـ SDAIA؛ (6) تعيين مسؤول حماية البيانات في حالة معالجة كميات كبيرة؛ (7) تقييد نقل البيانات عبر الحدود.
هل كانت الإجابة مفيدة؟
يمنح نظام حماية البيانات الشخصية السعودي الصادر عن هيئة البيانات والذكاء الاصطناعي (سدايا) الأفرادَ حزمة واسعة من الحقوق على بياناتهم الشخصية. وبالنسبة للمؤسسات المالية التي تعالج فئات بيانات بالغة الحساسية كالسجلات المالية والهويات الوطنية والبيانات البيومترية، فإن تلبية هذه الالتزامات تستوجب استعداداً قانونياً وتقنياً متكاملاً.
**أبرز حقوق أصحاب البيانات وفق المواد 4 إلى 9:**
- **حق الاطلاع:** يحق للفرد طلب نسخة من بياناته الشخصية، وعلى المؤسسة الرد خلال 30 يوماً.
- **حق التصحيح:** يُلزَم بتصحيح البيانات غير الدقيقة أو الناقصة عند الطلب.
- **حق الحذف:** تُحذف البيانات حين تنتفي الحاجة إليها، مع مراعاة متطلبات الاحتفاظ القانونية؛ إذ تشترط ساما الاحتفاظ بسجلات المعاملات لمدة 10 سنوات.
- **حق الاعتراض:** يمكن للأفراد الاعتراض على معالجة بياناتهم لأغراض التسويق المباشر أو التنميط.
- **حق نقل البيانات:** التزام ناشئ يتطلب توفير البيانات بصيغة منظمة قابلة للقراءة الآلية.
**الضوابط التقنية المطلوبة:**
1. **اكتشاف البيانات ورسم خرائطها:** احتفظ بسجل محدّث لأنشطة المعالجة يوضح أين تقع البيانات الشخصية عبر الأنظمة المختلفة.
2. **سير عمل طلبات الوصول:** اعتمد نظاماً آلياً لمعالجة طلبات أصحاب البيانات وتتبع المواعيد والردود ضمن منصة الحوكمة.
3. **إدارة الموافقة:** وظّف أدوات إدارة الموافقة لتسجيل سحبها والاستجابة له فورياً.
4. **مسارات إخفاء الهوية والحذف:** أنشئ مسارات آلية لإخفاء الهوية والحذف الآمن مع ضمان تطبيقه على نسخ الاحتياط.
5. **سجلات التدقيق:** احتفظ بسجلات غير قابلة للتعديل لجميع أنشطة معالجة البيانات لإثبات الامتثال أمام سدايا.
**ملاحظة مهمة:** قد تُشكّل متطلبات الاحتفاظ الواردة في إطار ساما وأنظمة مكافحة غسل الأموال مبرراً مشروعاً لرفض طلبات الحذف في حالات معينة—وثّق هذه الاستثناءات بوضوح في إشعارات الخصوصية والسياسات الداخلية.
هل كانت الإجابة مفيدة؟
بموجب نظام حماية البيانات الشخصية ولوائحه التنفيذية، تنشأ التزامات الإبلاغ عن الاختراقات التي تُلحق ضرراً فعلياً أو محتملاً بأصحاب البيانات. وفيما يلي إطار عملي للتعامل مع هذه الحوادث:
**الخطوة الأولى — الكشف والتصعيد الداخلي (خلال 24 ساعة):** فعّل خطة الاستجابة للحوادث فور اكتشاف الاختراق. عيّن مسؤولاً عن الاستجابة (مسؤول حماية البيانات أو CISO). اعزل الأنظمة المتأثرة، احفظ الأدلة، وابدأ تقييم الأثر الأولي: كم عدد السجلات المتأثرة؟ ما فئات البيانات المخترقة؟ (البيانات المالية والهويات الوطنية والبيانات البيومترية تحمل أوزان مخاطر أعلى).
**الخطوة الثانية — الإبلاغ لهيئة الذكاء الاصطناعي والبيانات (خلال 72 ساعة):** وفق المادة 24 من النظام، يجب إخطار هيئة الذكاء الاصطناعي والبيانات (سدايا) خلال 72 ساعة من اكتشاف الاختراق الذي يُشكّل خطراً على الأفراد. يتضمن الإخطار: طبيعة الاختراق، وفئات وأعداد المتأثرين، والعواقب المحتملة، والإجراءات المتخذة.
**الخطوة الثالثة — إخطار أصحاب البيانات:** إذا كان الاختراق مرجحاً لإلحاق ضرر مباشر بالأفراد (سرقة الهوية، مخاطر الاحتيال المالي)، يجب إخطارهم دون تأخير، مع توضيح ما حدث وما تم الكشف عنه وما يمكنهم فعله لحماية أنفسهم.
**الخطوة الرابعة — التوثيق ومراجعة ما بعد الحادثة:** يستوجب النظام الاحتفاظ بسجل للاختراقات يوثّق جميع الحوادث بصرف النظر عن عتبة الإبلاغ. أجرِ مراجعة شاملة لما بعد الحادثة وفق المعيار ISO 27001 وحدّث سجل المخاطر والضوابط.
**تنبيه مهم لشركات التقنية المالية:** إذا كانت منصتك تعالج بيانات الدفع، فقد تواجه التزامات إبلاغ متوازية بموجب ضوابط ساما ومتطلبات PCI-DSS. نسّق هذه الإخطارات بعناية لضمان اتساق الرسائل الموجهة للجهات المختلفة.
هل كانت الإجابة مفيدة؟
يمنح نظام حماية البيانات الشخصية (PDPL) الأفراد حقوقًا قابلة للتطبيق على بياناتهم الشخصية. وبالنظر إلى حجم البيانات المالية والهوياتية الحساسة التي تعالجها شركات الفينتك، فإن وضع إجراءات موثّقة وفعّالة للتعامل مع هذه الطلبات يُعدّ ضرورة قانونية وعملية.
**حقوق أصحاب البيانات بموجب PDPL:**
- **حق الوصول:** للفرد الحق في الاطلاع على بياناته وأسلوب معالجتها.
- **حق التصحيح:** يجب تصحيح البيانات غير الدقيقة أو الناقصة فور الطلب.
- **حق المحو:** يحق للفرد طلب حذف بياناته حين تنتفي الحاجة إليها أو عند سحب الموافقة، مع مراعاة التزامات الاحتفاظ القانونية.
- **حق نقل البيانات:** يجب تقديم البيانات بصيغة منظمة وقابلة للقراءة آليًا عند الاقتضاء.
- **حق الاعتراض:** يمكن للفرد الاعتراض على أنواع معينة من المعالجة كالتسويق المباشر.
**المتطلبات التشغيلية:**
1. أنشئ قناة مخصصة لاستقبال الطلبات (بوابة خصوصية أو بريد إلكتروني) مُشار إليها بوضوح في إشعار الخصوصية.
2. حدِّد مستوى خدمة داخليًا — يُوجب PDPL الرد خلال 30 يومًا مع إمكانية تمديد واحد.
3. تحقّق من هوية مقدم الطلب قبل أي إفصاح عن البيانات.
4. احتفظ بسجل للطلبات لأغراض التدقيق — إذ قد تُجري هيئة البيانات الوطنية مراجعات للامتثال.
5. درِّب فرق خدمة العملاء والأمن السيبراني على التعرف على هذه الطلبات وتصعيدها.
**التقاطع مع الأنظمة المالية:** انتبه إلى أن بعض طلبات المحو قد تتعارض مع متطلبات SAMA للاحتفاظ بالسجلات (10 سنوات عادةً). يجب على شركات الفينتك الموازنة بين التزامات PDPL وقواعد SAMA ومتطلبات مكافحة غسل الأموال، مع توثيق الأساس القانوني لأي استثناءات من الحذف.
هل كانت الإجابة مفيدة؟
تواجه شركات الفنتك السعودية التي تجمع وتعالج البيانات المالية للعملاء عبر التطبيقات المحمولة جملةً من الالتزامات الصريحة بموجب نظام حماية البيانات الشخصية (PDPL) ولائحته التنفيذية:
**1. المسوّغ القانوني للمعالجة**: بموجب المادة 6 من النظام، تستلزم معالجة البيانات المالية توافر مسوّغ قانوني واضح، كالموافقة الصريحة أو الضرورة التعاقدية. يجب أن تكون الموافقة تفصيلية وطوعية وقابلة للسحب في أي وقت، ولا تُقبل الموافقات المجمّعة أو المُحددة مسبقاً.
**2. إشعار الخصوصية**: تُوجب المادة 11 توفير إشعار خصوصية واضح داخل التطبيق عند نقطة جمع البيانات، يتضمن أنواع البيانات المجمّعة وأغراض المعالجة ومدد الاحتفاظ وحقوق الأفراد.
**3. البيانات المالية الحساسة**: قد تُصنَّف بيانات كسجل المعاملات ودرجات الائتمان وبيانات الحسابات ضمن البيانات الحساسة، مما يستوجب ضوابط معززة كالتشفير والتحكم بالوصول وسجلات المراجعة وفق ISO 27001.
**4. تقليل البيانات**: اجمع فقط ما تحتاجه الخدمة فعلاً، وتجنب طلب أذونات زائدة للجهاز دون مبرر واضح، إذ تُدقق هيئة SAMA أيضاً في هذا الجانب ضمن إطار الخدمات المصرفية المفتوحة.
**5. حقوق أصحاب البيانات**: يمنح النظام العملاءَ حق الاطلاع والتصحيح وطلب الحذف. يجب أن يُتاح تفعيل هذه الحقوق داخل التطبيق مع الاستجابة خلال 30 يوماً وفق المادة 15.
**6. الإبلاغ عن الاختراقات**: تُلزم المادة 27 بإبلاغ الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) خلال 72 ساعة من اكتشاف أي اختراق، مع إخطار المتأثرين دون تأخير.
**7. تعيين مسؤول حماية البيانات**: يُنصح شركات الفنتك التي تُعالج بيانات بحجم كبير بتعيين مسؤول حماية بيانات (DPO) لمتابعة الامتثال والتواصل مع سدايا وحفظ سجلات المعالجة.
هل كانت الإجابة مفيدة؟
يمنح نظام حماية البيانات الشخصية السعودي (PDPL)، الذي تُشرف على تطبيقه الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA)، أصحاب البيانات جملةً من الحقوق المحددة إزاء بياناتهم الشخصية. وبالنسبة لشركات الفينتك التي تعالج بيانات العملاء—كمعلومات التحقق من الهوية (KYC) وسجلات المعاملات والتحليلات السلوكية—فإن بناء إجراءات منظمة للتعامل مع هذه الحقوق يُعدّ التزامًا قانونيًا لا غنى عنه، فضلًا عن كونه عاملًا محوريًا في بناء ثقة العملاء.
**الحقوق المكفولة بموجب نظام PDPL:**
1. **حق الاطلاع (المادة 4):** يحق لصاحب البيانات طلب التأكد من معالجة بياناته والحصول على نسخة منها. ويُوصي دليل SDAIA بالرد خلال ثلاثين يومًا.
2. **حق التصحيح (المادة 14):** يمكن للعميل طلب تصحيح البيانات غير الدقيقة أو المنقوصة، وهو أمر بالغ الأهمية في سجلات KYC والمعلومات الائتمانية.
3. **حق الحذف (المادة 15):** يحق لصاحب البيانات طلب مسح بياناته عند انتهاء الغرض من معالجتها أو سحب الموافقة—مع مراعاة متطلبات الاحتفاظ التنظيمية المنصوص عليها في أنظمة مكافحة غسل الأموال الصادرة عن مؤسسة النقد ومعايير FATF.
4. **حق نقل البيانات:** يحق للفرد طلب تسليمه بياناته بصيغة منظمة وقابلة للقراءة.
5. **حق الاعتراض:** يمكن لصاحب البيانات الاعتراض على معالجة بياناته لأغراض التسويق المباشر أو القرارات الآلية.
**التطبيق العملي لشركات الفينتك:**
- إنشاء قناة مخصصة لاستقبال طلبات أصحاب البيانات (نموذج إلكتروني أو خاصية داخل التطبيق)
- تكليف مسؤول حماية البيانات (DPO) بالإشراف على هذه الطلبات
- بناء مسار عمل واضح بمواعيد استجابة داخلية متوافقة مع إطار PDPL الزمني
- توثيق جميع الطلبات والقرارات والنتائج في سجل مركزي
- تحديد نقاط التعارض بين حق الحذف المكفول بموجب PDPL وواجبات الاحتفاظ بالبيانات المفروضة من جهات التنظيم المالي، مع توثيق السند القانوني لكل حالة
قد يُعرّض الإخلال بالاستجابة لطلبات أصحاب البيانات الشركةَ لتدقيق رقابي من SDAIA وعقوبات مالية محتملة.
هل كانت الإجابة مفيدة؟
يُلقي نظام حماية البيانات الشخصية (PDPL) الذي تُشرف على تطبيقه الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) بالتزامات واضحة على شركات التقنية المالية فيما يخص تصنيف البيانات الشخصية وحمايتها. وبموجب المواد 5 و6 من النظام، يجب على المنشآت تحديد جميع البيانات الشخصية التي تعالجها، وإثبات المسوّغ القانوني لمعالجتها، وتطبيق ضمانات تقنية وتنظيمية متناسبة.
يتضمن الإطار العملي لحماية البيانات المتوافق مع PDPL في شركات الفنتك:
**أولاً: جرد البيانات وتصنيفها:**
رصم جميع تدفقات البيانات الشخصية عبر الأنظمة — سجلات التحقق من الهوية (KYC)، وبيانات المعاملات، والمعرّفات البيومترية، والمعلومات الائتمانية. أما البيانات المالية الحساسة ومؤشرات الضائقة المالية فقد ترقى إلى مستوى البيانات الحساسة التي تستوجب حماية مشددة بموجب المادة 23.
**ثانياً: الضوابط التقنية:**
تشفير البيانات الشخصية أثناء التخزين والنقل (AES-256 و TLS 1.2 كحد أدنى)، وتطبيق ضوابط الوصول المستندة إلى الأدوار (RBAC) وإخفاء البيانات في بيئات الاختبار. ووفقاً للضابط 2-4 في NCA ECC، يجب تطبيق تصنيفات البيانات على أنظمة التخزين والإرسال.
**ثالثاً: الاحتفاظ بالبيانات وحذفها:**
تُلزم المادة 18 من PDPL بعدم الاحتفاظ بالبيانات الشخصية بعد انتهاء الغرض منها، مع وضع سياسات آلية لدورة حياة البيانات.
**رابعاً: حقوق أصحاب البيانات:**
بناء آليات للاستجابة لطلبات الوصول والتصحيح والحذف خلال 15 يوم عمل.
قد تصل غرامات المخالفة إلى 5 ملايين ريال سعودي، إضافة إلى المساس بالسمعة وخطر إيقاف العمليات.
هل كانت الإجابة مفيدة؟
يُلزم نظام حماية البيانات الشخصية (PDPL) ولوائحه التنفيذية شركاتِ التقنية المالية بتحديد وتوثيق أساس قانوني واضح لكل عملية معالجة للبيانات. وهذا الالتزام ليس مجرد إجراء شكلي، بل يؤثر مباشرة على تصميم المنتجات وتجربة التسجيل وحوكمة البيانات.
**الأسس القانونية الستة وفق نظام PDPL:**
1. **الموافقة** – يجب أن تكون طوعية وصريحة ومحددة، وقابلة للسحب في أي وقت دون أي عواقب.
2. **ضرورة التعاقد** – معالجة البيانات اللازمة لتنفيذ عقد مع صاحب البيانات، كمعالجة بيانات الدفع لإتمام التحويل.
3. **الالتزام القانوني** – المعالجة التي يفرضها النظام السعودي، كمتطلبات مكافحة غسل الأموال وتمويل الإرهاب وفق إرشادات ساما.
4. **المصالح الحيوية** – حماية حياة صاحب البيانات أو سلامته.
5. **المصلحة العامة** – في نطاق الأنشطة المرخصة التي تخدم المصلحة العامة.
6. **المصالح المشروعة** – مشروطة بعدم تغليب مصالح الجهة المعالِجة على حقوق الأفراد، وتستلزم توثيق اختبار الموازنة.
**خطوات عملية لشركات التقنية المالية:**
- أجرِ **رسم خرائط البيانات** لجرد جميع عمليات المعالجة وفئات البيانات والأغراض.
- خصص أساساً قانونياً لكل عملية في **سجل أنشطة المعالجة (RoPA)**.
- راجع نماذج الموافقة وتجربة تسجيل العملاء لضمان توافقها مع المادة الخامسة من النظام.
- اشترط الحصول على موافقة صريحة للبيانات الحساسة كالسجل المالي والبيانات الحيوية.
- عيّن **مسؤول حماية البيانات (DPO)** إذا كانت عمليات المعالجة واسعة النطاق أو تشمل فئات حساسة.
يجب مراجعة الأسس القانونية بصفة منتظمة، لا سيما عند إضافة ميزات جديدة أو تغيير أغراض المعالجة.
هل كانت الإجابة مفيدة؟
يمنح نظام حماية البيانات الشخصية السعودي (PDPL) ولوائحه التنفيذية الأفراد حقوقاً قابلة للإنفاذ على بياناتهم الشخصية، ويجب على شركات التقنية المالية وضع إجراءات رسمية للتعامل مع هذه الطلبات.
**الحقوق الأساسية لأصحاب البيانات وفق النظام:**
- **حق الوصول (المادة 4):** يحق للأفراد طلب نسخة من بياناتهم الشخصية المحتفظ بها
- **حق التصحيح:** طلب تصحيح البيانات غير الدقيقة أو المنقوصة
- **حق الحذف:** طلب مسح البيانات حين لا تكون هناك مسوّغات قانونية لاستمرار معالجتها
- **حق النقل:** الحصول على البيانات بصيغة منظمة وقابلة للاستخدام
- **حق سحب الموافقة:** في الحالات التي تكون فيها الموافقة هي الأساس القانوني للمعالجة
- **حق الاعتراض:** الاعتراض على معالجة البيانات في ظروف معينة
**المهل الزمنية للرد:**
تُلزم اللوائح التنفيذية المؤسسات بالرد على طلبات أصحاب البيانات خلال 30 يوماً، مع إمكانية التمديد للطلبات المعقدة شريطة إخطار صاحب البيانات بالتأخير وأسبابه.
**خطوات التطبيق العملي:**
1. توفير قناة واضحة ومتاحة لتلقي الطلبات (نموذج إلكتروني، بريد إلكتروني، أو عبر التطبيق)
2. بناء سير عمل داخلي لاستلام الطلبات وتوجيهها مع تحديد المسؤوليات
3. التحقق من هوية مقدم الطلب قبل الإفصاح عن أي بيانات
4. الاحتفاظ بسجل موثق لجميع الطلبات لأغراض التدقيق، إذ قد تتضمن عمليات تفتيش هيئة الأمن السيبراني أو هيئة البيانات مراجعة هذه السجلات
5. تدريب فرق خدمة العملاء والموارد البشرية على رصد هذه الطلبات وتصعيدها
**العقوبات:**
قد تصل الغرامات على مخالفة حقوق أصحاب البيانات إلى مليون ريال سعودي، مع تشديد العقوبة في حالات المخالفة الجسيمة.
يُنصح شركات التقنية المالية التي تعالج كميات كبيرة من بيانات العملاء بأتمتة هذه العملية عبر منصة GRC أو إدارة الخصوصية لضمان استجابات متسقة وفي الوقت المناسب.
هل كانت الإجابة مفيدة؟
يفرض نظام حماية البيانات الشخصية (PDPL) الذي تُشرف على تطبيقه الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) التزامات صريحة على شركات الفينتك التي تُقدّم خدماتها عبر تطبيقات الجوال. وقد تصل العقوبات عند المخالفة إلى 5 ملايين ريال سعودي، فضلاً عن التداعيات التنظيمية المشتركة من سدايا وساما.
**أبرز الالتزامات على شركات الفينتك:**
1. **الأساس القانوني للمعالجة (المادة 7):** يجب أن تستند كل عملية معالجة للبيانات إلى أساس قانوني مشروع، وفي سياق تطبيقات الجوال يكون ذلك عادةً الموافقة الصريحة أو الضرورة التعاقدية. ويجب أن تكون الموافقة مفصّلة، بمعنى أن يختار المستخدم بشكل مستقل لكل غرض من أغراض المعالجة.
2. **إشعار الخصوصية (المادة 11):** تُلزم المادة بتقديم إشعار خصوصية واضح وسهل الوصول قبل جمع البيانات أو عند جمعها، يتضمن أنواع البيانات وأغراضها ومدة الاحتفاظ بها وحقوق أصحابها، بلغة عربية مبسّطة.
3. **الاقتصار في جمع البيانات:** اجمع فقط ما هو ضروري لتحقيق الغرض المُعلَن، وتجنب طلب صلاحيات الجهاز غير المبررة كالوصول إلى جهات الاتصال والموقع والميكروفون إلا عند الحاجة الفعلية مع الإفصاح عنها.
4. **حقوق أصحاب البيانات (المواد 14-18):** يحق للمستخدمين الاطلاع على بياناتهم وتصحيحها وطلب حذفها وسحب موافقتهم. يجب أن يوفر التطبيق آلية واضحة داخله أو عبر بوابة إلكترونية للتعامل مع هذه الطلبات في المهل الزمنية المحددة بالنظام.
5. **الاحتفاظ بالبيانات:** ضع جداول زمنية محددة للاحتفاظ بالبيانات وطبّقها بصرامة، ولا تُبقِ على أي بيانات شخصية بعد انتهاء الغرض من معالجتها.
6. **النقل العابر للحدود (المادة 29):** إذا كان التطبيق يعتمد على بنية تحتية سحابية خارجية أو خدمات تحليلات دولية، فتأكد من توافر مستوى حماية كافٍ أو اتفاقية نقل بيانات معتمدة وفق اشتراطات النظام.
**نقطة التقاطع مع SAMA:** يشترط التحكم 3.1.4 في إطار SAMA CSF تصنيف بيانات العملاء الشخصية وحمايتها، مما يُعزز مباشرةً الالتزامات المنبثقة عن PDPL. لذا يُنصح بأن تُجري شركات الفينتك تقييمات أثر الخصوصية (PIAs) بما يتوافق مع الإطارين معاً في آنٍ واحد.
هل كانت الإجابة مفيدة؟
يمنح نظام حماية البيانات الشخصية (PDPL) الصادر في المملكة العربية السعودية والذي تشرف على تطبيقه الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) حمايةً مشددةً لفئة خاصة تُعرَف بـ"البيانات الشخصية الحساسة"، وهو تمييز بالغ الأهمية للمؤسسات المالية.
**تعريف البيانات الحساسة وفق المادتين 2 و23:**
تشمل البيانات الحساسة: الأصل العرقي أو الإثني، والمعتقدات الدينية والسياسية، والسجلات الجنائية، والبيانات الصحية والطبية، والبيانات البيومترية، والبيانات المالية الكاشفة عن الوضع المالي الشخصي، وبيانات الموقع الجغرافي التي قد تُلحق ضرراً بصاحبها.
وهذا يعني أن درجات الائتمان وأرصدة الحسابات المرتبطة بأشخاص محددين وبيانات المصادقة البيومترية (بصمة الإصبع والوجه) وبيانات التأمين الصحي تندرج ضمن هذه الفئة.
**الضمانات الإضافية المطلوبة:**
1. **الموافقة الصريحة:** تستوجب المادة 23 الحصول على موافقة صريحة ومستنيرة، ولا تكفي الموافقة الضمنية أو المدرجة ضمن شروط عامة.
2. **الحد الأدنى من البيانات:** اقتصر على ما هو ضروري فعلاً للغرض المحدد.
3. **التشفير الكامل:** طبّق معايير تشفير قوية (AES-256 كحد أدنى) للبيانات المخزنة والمنقولة، وفق ضوابط NCA ECC-2-14.
4. **تقييد الوصول:** اقصر الوصول على المخولين حصراً مع الاحتفاظ بسجلات تدقيق شاملة.
5. **تقييم أثر حماية البيانات (DPIA):** أجرِ هذا التقييم قبل الشروع في معالجة واسعة للبيانات الحساسة لا سيما في أنظمة التسجيل البيومتري أو التقييم الائتماني بالذكاء الاصطناعي.
6. **ضوابط النقل عبر الحدود:** يستلزم نقل البيانات الحساسة خارج المملكة الحصول على موافقة سدايا أو إجراء تقييم كفاءة وفق المادة 29.
**نصيحة عملية:** أدرج تدفقات البيانات الحساسة في سجل بيانات مؤسستك وصنّفها بشكل مستقل ضمن سياسة تصنيف البيانات لتفعيل الضمانات الإضافية تلقائياً.
هل كانت الإجابة مفيدة؟
يُمثل نقل البيانات الشخصية خارج المملكة أحد أعقد الالتزامات التشغيلية التي يفرضها نظام حماية البيانات الشخصية (PDPL) على المؤسسات المالية، لا سيما تلك التي تمتلك شراكات بنكية دولية أو تعتمد على مزودي سحابة عالميين أو تشغيل تقنياً خارجياً.
**المتطلبات الأساسية لنظام PDPL:**
يُجيز المادة 29 نقل البيانات خارج المملكة فقط حين تتوفر حماية كافية في دولة المقصد تُعادل مستوى الحماية المقررة في النظام، وبشرط توافر أحد الأسس القانونية التالية:
- خدمة المصلحة العامة أو الوفاء بالتزام قانوني.
- ضرورة النقل لحماية مصالح حيوية لصاحب البيانات.
- الحصول على موافقة صريحة ومستنيرة من صاحب البيانات.
- إبرام اتفاقية نقل بيانات معتمدة من الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا).
**متطلبات إضافية للمؤسسات المالية:**
يُضيف الضابط 3.3.8 من إطار SAMA CSF طبقة إضافية، إذ تُصنَّف البيانات المالية للعملاء بوصفها بيانات حرجة تخضع لمتطلبات التخزين المحلي، مما يعني أن النسخة الأصلية يجب أن تبقى داخل المملكة حتى في حال سماح PDPL بالنقل.
**خطوات الامتثال العملية:**
1. إجراء تقييم أثر نقل البيانات (DTIA) لكل تدفق بيانات عابر للحدود مع توثيق النوع والحجم والوجهة والأساس القانوني.
2. إبرام بنود تعاقدية معيارية أو اتفاقيات نقل بيانات مع جميع المستقبِلين الدوليين.
3. تطبيق ضمانات تقنية: تشفير قوي أثناء النقل (TLS 1.2 فأعلى)، وتقليل البيانات، وإخفاء الهوية عند الإمكان.
4. الاحتفاظ بسجل محدّث ربع سنوياً لعمليات النقل الدولية وإتاحته لتفتيش سدايا.
5. التحقق التعاقدي من ضمانات توطين البيانات لدى مزودي السحابة مع اشتراط حق التدقيق.
**تحذير جوهري:**
تصل الغرامات التي قد تفرضها سدايا على النقل غير المشروع للبيانات إلى 5 ملايين ريال سعودي؛ لذا ينبغي للمؤسسات المالية معالجة هذه المسألة على مستوى مجلس الإدارة لا على مستوى تقني فحسب.
هل كانت الإجابة مفيدة؟
تُشكّل سياسات الاحتفاظ بالبيانات والتخلص الآمن منها نقطة امتثال بالغة الأهمية في المؤسسات المالية السعودية، إذ تخضع لمتطلبات متزامنة من نظام حماية البيانات الشخصية (PDPL) وإطار SAMA CSF والتعاميم الرقابية ذات الصلة.
**التزامات PDPL في الاحتفاظ بالبيانات:** تنص المادة 18 من نظام PDPL صراحةً على عدم جواز الاحتفاظ بالبيانات الشخصية لفترة تتجاوز الغرض الذي جُمعت من أجله، إلا إذا كان ثمة أساس قانوني مشروع للاحتفاظ الممتد. وتستند المؤسسات المالية عادةً إلى الالتزامات التنظيمية والقانونية مبرراً للاحتفاظ. وعند انتهاء مدة الاحتفاظ، يجب حذف البيانات نهائياً أو إخضاعها لإجراءات إخفاء الهوية بصورة لا تقبل الارتداد.
**متطلبات SAMA CSF:** يشترط الضابط 3.3.6 من SAMA CSF إنشاء سياسة رسمية لإدارة دورة حياة البيانات تحدد فترات الاحتفاظ لكل فئة من فئات البيانات، على أن تلتزم بالحد الأدنى التنظيمي الذي تحدده تعاميم مؤسسة النقد بعشر سنوات للسجلات المالية.
**معايير التخلص الآمن:** للوسائط الرقمية، يستلزم SAMA CSF اتباع معايير إزالة البيانات المعتمدة كـ NIST SP 800-88 (بأساليب المسح أو التطهير أو الإتلاف بحسب درجة حساسية البيانات). أما إتلاف الوسائط المادية فيجب توثيقه بسجلات سلسلة الحراسة.
**خطوات التطبيق العملي:**
- إعداد جدول احتفاظ بالبيانات يربط كل فئة بيانات بمدة احتفاظها وأساسها القانوني
- تطبيق أدوات إدارة دورة حياة البيانات لأتمتة إجراءات الحذف
- الاحتفاظ بسجل شهادات الإتلاف كدليل للمراجعين
- مراجعة جداول الاحتفاظ سنوياً مع متابعة المستجدات التنظيمية
- التأكد من التزام مزودي الخدمة من الأطراف الثالثة بمعايير الإتلاف ذاتها وفق المادة 15 من PDPL
المخالفات المتعلقة بمتطلبات الإتلاف في PDPL قد تُفضي إلى غرامات تصل إلى 5 ملايين ريال سعودي، فيما قد تُصدر مؤسسة النقد أوامر تصحيحية في حال رصد مخالفات خلال عمليات الرقابة.
هل كانت الإجابة مفيدة؟
يُعدّ استخدام البيانات الشخصية للعملاء في التسويق والتخصيص من أكثر أنشطة المعالجة حساسيةً وفق نظام حماية البيانات الشخصية (PDPL) ولوائحه التنفيذية، مما يستوجب من المؤسسات المالية إدارة دقيقة ومتأنية لهذه الأنشطة.
**الأساس القانوني للمعالجة (المادة 5 من PDPL)**
لا يمكن الاستناد إلى الضرورة التعاقدية مبرراً لأنشطة التسويق، بل يجب الحصول على **موافقة صريحة وحرة ومحددة** من العميل. ولا تُعدّ مربعات الاختيار المحددة مسبقاً أو إدراج الموافقة ضمن الشروط والأحكام امتثالاً كافياً. يجب توثيق الموافقة وتمكين سحبها بسهولة.
**تقليل البيانات وتحديد الغرض (المادة 9)**
يُحظر جمع بيانات تتجاوز الحاجة الفعلية للغرض التسويقي المُعلن. واستخدام بيانات المعاملات المجمّعة لأغراض كشف الاحتيال في بناء ملفات تسويقية يُعدّ انتهاكاً لمبدأ تحديد الغرض ما لم يتم إبلاغ العملاء صراحةً والحصول على موافقتهم المنفصلة.
**حق الانسحاب (المادة 11)**
للعميل الحق في سحب موافقته والاعتراض على التسويق المباشر في أي وقت. يجب أن توفر المؤسسات آلية انسحاب فعّالة عبر التطبيقات والمواقع الإلكترونية ومراكز الاتصال، مع وقف المعالجة خلال مهلة معقولة لا تتجاوز 5 أيام عمل.
**نقل البيانات عبر الحدود (المادة 29)**
إذا كانت منصات التسويق أو التخصيص مستضافة خارج المملكة، فيجب إجراء تقييم أثر نقل البيانات (DTIA) وضمان أن الدول المستقبِلة توفر مستوى كافياً من الحماية وفق ما تحدده الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا).
**الضوابط العملية:**
1. تطبيق منصة إدارة الموافقة (CMP) مدمجة مع نظام إدارة علاقات العملاء.
2. إجراء تقييم أثر حماية البيانات (DPIA) للأنشطة عالية الخطورة.
3. الاحتفاظ بسجل أنشطة المعالجة موثّقاً بالأساس القانوني وفق المادة 14.
4. تدريب فرق التسويق سنوياً على متطلبات نظام PDPL.
قد تصل الغرامات عند عدم الامتثال إلى 5 ملايين ريال سعودي وفق أحكام التنفيذ في النظام.
هل كانت الإجابة مفيدة؟
يفرض نظام حماية البيانات الشخصية (PDPL) في المملكة العربية السعودية التزامات صارمة على المؤسسات المالية فيما يخص تخزين البيانات ونقلها عبر الحدود، وتتقاطع هذه الالتزامات مع متطلبات إطار الأمن السيبراني لساما ومعايير هيئة الأمن السيبراني الوطني.
**إقامة البيانات:** تنص المادة 29 من نظام PDPL على وجوب تخزين البيانات الشخصية المجمّعة داخل المملكة ومعالجتها على أراضيها بوجه عام. ويعزز هذا التوجه ضابط التحكم 3.3.5 في إطار ساما الذي يشترط أن تبقى البيانات المالية الحساسة ضمن البنية التحتية الخاضعة لإشراف ساما.
**نقل البيانات عبر الحدود:** لا يجوز نقل البيانات الشخصية خارج المملكة إلا في حالات محددة، أبرزها: أن يكون النقل في مصلحة عامة مشروعة، أو أن تكون الدولة المستقبِلة توفر مستوى كافياً من الحماية وفق تقييم هيئة البيانات والذكاء الاصطناعي (سداياي)، أو الحصول على موافقة صريحة من صاحب البيانات، أو وجود اتفاقيات تعاقدية ملزمة مع الجهة المستقبِلة.
**خطوات عملية للامتثال:**
1. إجراء عملية رسم خرائط شاملة لتحديد جميع تدفقات البيانات الشخصية بما فيها تلك المرتبطة بمزودي الخدمات السحابية
2. مراجعة عقود الموردين وضمان وجود اتفاقيات معالجة البيانات (DPA) وفق المادة 32 من النظام
3. تطبيق ضوابط تقنية كتشفير البيانات أثناء النقل والتخزين
4. تسجيل عمليات النقل عبر الحدود لدى سداياي عند الاقتضاء
5. مواءمة سياسة حوكمة البيانات مع ضوابط تصنيف الأصول في معيار NCA ECC
قد تصل غرامات المخالفة إلى 5 ملايين ريال سعودي، فضلاً عن العقوبات التنظيمية من سداياي وساما.
هل كانت الإجابة مفيدة؟
تواجه المؤسسات المالية السعودية التي تتعامل مع البيانات الشخصية لعملائها جملةً من الالتزامات القانونية بموجب نظام حماية البيانات الشخصية الصادر بالمرسوم الملكي م/19 ولوائحه التنفيذية. أبرز هذه الالتزامات: أولاً، وجود أساس نظامي مشروع قبل الشروع في جمع البيانات، سواء أكان ذلك تنفيذاً لعقد أم بناءً على موافقة صريحة. ثانياً، مبدأ تحديد البيانات، إذ يُجمع منها الحد الضروري فقط لتحقيق الغرض المحدد. ثالثاً، إخطار العملاء بوضوح عن طبيعة البيانات المجمعة وأغراض استخدامها ومدة الاحتفاظ بها وحقوقهم قبل جمعها أو عند ذلك. رابعاً، الاستجابة لطلبات أصحاب البيانات المتعلقة بالاطلاع أو التصحيح أو الحذف خلال المدد المقررة نظاماً. خامساً، الحصول على موافقة الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) قبل نقل أي بيانات خارج المملكة، وهو أمر بالغ الأهمية للمصارف التي تعتمد على مزودي خدمات سحابية دوليين. سادساً، الإبلاغ عن أي اختراق يطال البيانات الشخصية فور اكتشافه. سابعاً، إجراء تقييمات أثر حماية البيانات عند معالجة بيانات ذات مخاطر مرتفعة كالتنميط الائتماني. على الصعيد العملي، يُنصح المسؤولون عن أمن المعلومات برسم خريطة تفصيلية لتدفقات البيانات، وإعداد سجل شامل لأنشطة المعالجة، ودمج متطلبات الخصوصية في دورة تطوير المنتجات والأنظمة منذ مراحلها الأولى، مع الحرص على التوافق المتزامن مع ضوابط حماية البيانات المنصوص عليها في إطار الأمن السيبراني لساما.
هل كانت الإجابة مفيدة؟
استخدام البيانات الشخصية للعملاء في نماذج الذكاء الاصطناعي لتسجيل الائتمان أو كشف الاحتيال يُفرز التزامات جوهرية بموجب نظام حماية البيانات الشخصية (PDPL) ولائحته التنفيذية. إليك أبرز ما يجب على مسؤولي الامتثال في شركات الفينتك مراعاته: **أولاً: المسوّغ القانوني للمعالجة**: تشترط المادة السابعة من النظام وجود أساس قانوني واضح لمعالجة البيانات، سواء بالموافقة الصريحة أو المصلحة المشروعة. وأي قرار آلي يؤثر جوهرياً على العميل كرفض طلب تمويل يستوجب موافقة صريحة وإفصاحاً مسبقاً في سياسة الخصوصية. **ثانياً: الحد الأدنى من البيانات وتقييد الغرض**: تُلزم المادة التاسعة بجمع البيانات الضرورية فحسب، وتوثيق كل حقل بيانات يُغذّي النموذج مع مسوّغه. **ثالثاً: الشفافية في القرارات الآلية**: يحق للعملاء معرفة متى تُتخذ قرارات تؤثر عليهم بشكل آلي بالكامل، والمطالبة بمراجعة بشرية. يجب الإفصاح عن آليات الذكاء الاصطناعي في سياسة الخصوصية وفق المادة الثالثة عشرة. **رابعاً: الاحتفاظ بالبيانات**: يجب الالتزام بمُدد الاحتفاظ المنصوص عليها في النظام، وإخضاع بيانات التدريب للإخفاء أو إزالة التعريف فور انتهاء الغرض الأصلي. **خامساً: التقاطع مع متطلبات SAMA**: تُضيف لوائح الخدمات المصرفية المفتوحة وحماية العملاء الصادرة عن SAMA اشتراطات تتعلق بإدارة الموافقات ومشاركة البيانات مع مزودي الذكاء الاصطناعي. **سادساً: رقابة هيئة SDAIA**: بوصفها الجهة المشرفة على تطبيق النظام، ينبغي لشركات الفينتك مواءمة سياسات حوكمة الذكاء الاصطناعي لديها مع المبادئ التوجيهية الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي بشأن الذكاء الاصطناعي المسؤول، وإجراء تقييم أثر حماية البيانات (DPIA) قبل إطلاق أي نموذج يعالج بيانات شخصية على نطاق واسع.
هل كانت الإجابة مفيدة؟
تشمل عقوبات PDPL: غرامات تصل إلى 5 ملايين ريال سعودي لانتهاكات حقوق أصحاب البيانات أو ضعف ضوابط الأمن؛ وغرامات تصل إلى 10 ملايين ريال للنقل غير المصرح به للبيانات عبر الحدود؛ وغرامات تصل إلى 3 ملايين ريال للإخفاق في الإبلاغ عن الانتهاكات. قد تتضاعف الغرامات عند تكرار الانتهاكات، وقد تصل إلى ملاحقة جنائية في حالات إساءة الاستخدام المتعمدة.
هل كانت الإجابة مفيدة؟
نعم. ينطبق PDPL على أي جهة تعالج البيانات الشخصية للأفراد المقيمين في المملكة العربية السعودية بصرف النظر عن موقع الجهة داخل أو خارج المملكة. يجب على الشركات الأجنبية التي تستهدف المستهلكين السعوديين أو تعالج بيانات المقيمين السعوديين الامتثال لمتطلبات PDPL.
هل كانت الإجابة مفيدة؟
يُعدّ نقل البيانات الشخصية خارج المملكة من أكثر المتطلبات تعقيداً من الناحية التشغيلية في نظام حماية البيانات الشخصية (PDPL) ولائحته التنفيذية، لا سيما بالنسبة لشركات التقنية المالية التي تعتمد على مزودي السحابة العالميين أو معالجي المدفوعات الدوليين.
**الأسس القانونية للنقل وفق المادة 29 من PDPL:**
yُحظر نقل البيانات الشخصية للخارج إلا في الحالات التالية:
- ضرورة النقل لإتمام التزام تعاقدي مع صاحب البيانات
- خدمة مصلحة حيوية لصاحب البيانات
- توفر الدولة المستقبلة مستوى حماية كافياً وفق تقدير الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)
- وجود اتفاقية ملزمة تضمن معايير حماية مكافئة
- الحصول على موافقة صريحة من صاحب البيانات
**ضوابط عملية لشركات التقنية المالية:**
1. **رسم خرائط تدفق البيانات:** وثّق جميع تدفقات البيانات عبر الحدود، بما تشمل استدعاءات API لخدمات خارجية، والنسخ الاحتياطي في مناطق سحابية غير سعودية، وأدوات التحليلات الخارجية.
2. **تقييم أثر النقل (TIA):** قبل أي نقل عابر للحدود، أجرِ تقييماً شاملاً يرصد الإطار القانوني ومستوى الأمن في الدولة المستقبلة.
3. **الضمانات التعاقدية:** أبرم اتفاقيات معالجة بيانات (DPAs) مع الجهات الدولية تتضمن بنوداً تعكس حماية PDPL، كالإبلاغ عن الخروقات، وضوابط المعالجين الفرعيين، وحق حذف البيانات.
4. **استراتيجية التخزين المحلي:** لفئات البيانات المالية الحساسة، فكّر في الاستضافة في مناطق السحابة السعودية (مثل مناطق AWS أو Azure أو Google Cloud في المملكة) للحد من مخاطر النقل.
5. **إدارة الموافقة:** ادمج آليات موافقة تفصيلية في رحلة تأهيل العملاء لأي بيانات قد تُعالج خارج المملكة.
تواصل سدايا إصدار التوجيهات المتعلقة بقرارات الملاءمة، لذا ينبغي لشركات التقنية المالية متابعة المستجدات التنظيمية ودمج امتثال نقل البيانات ضمن برامج ISO 27001 وإطار SAMA الأشمل.
هل كانت الإجابة مفيدة؟
يُرسي نظام حماية البيانات الشخصية السعودي (المرسوم الملكي م/19، المُطبَّق منذ يوليو 2023) التزامات محددة تتعلق بمعالجة بيانات الموظفين، وهو مجال يستوجب تنسيقاً وثيقاً بين فرق الموارد البشرية والشؤون القانونية والأمن السيبراني. **الأسس القانونية المعتمدة لمعالجة بيانات الموظفين وفق النظام تشمل:** (1) **ضرورة تنفيذ العقد**، أي المعالجة اللازمة لتنفيذ عقد العمل كالرواتب والمزايا والامتثال القانوني؛ (2) **الالتزام القانوني**، وهو المعالجة المطلوبة بموجب نظام العمل السعودي أو التزامات المؤسسة العامة للتأمينات الاجتماعية وصندوق تنمية الموارد البشرية؛ (3) **المصلحة المشروعة**، كمراقبة الأمن ومنع الاحتيال وضمان استمرارية الأعمال، شريطة أن تكون متناسبة وموثّقة؛ (4) **الموافقة الصريحة**، وهي مطلوبة لأي معالجة تتجاوز نطاق العقد أو القانون، خاصةً للفئات الحساسة كالبيانات البيومترية والصحية. **على صعيد فرق الأمن السيبراني:** يجب الإفصاح بوضوح عن برامج مراقبة الموظفين، سواء كانت أدوات DLP أو مراقبة البريد الإلكتروني أو سجلات الوصول أو كاميرات المراقبة، في إشعار خصوصية شفاف مع توثيق الأساس القانوني لكل نشاط. أما المراقبة الخفية دون مسوّغ قانوني فتُعدّ انتهاكاً صريحاً للنظام. كما تستلزم أي عمليات نقل لبيانات الموظفين خارج المملكة — بما فيها منصات الموارد البشرية السحابية أو أنظمة الشركات الأم — توافر ضمانات ملائمة وفق قواعد نقل البيانات في النظام. **على صعيد فرق الموارد البشرية:** احرصوا على تحديث عقود العمل ووثائق الاستقبال لتتضمن إشعارات خصوصية متوافقة مع النظام، وحددوا جداول الاحتفاظ بالبيانات للموظفين السابقين، وتذكروا أن للموظفين حق الاطلاع على بياناتهم وتصحيحها. تتولى هيئة البيانات والذكاء الاصطناعي (سدايا) إنفاذ النظام، وتصل الغرامات إلى 5 ملايين ريال سعودي.
هل كانت الإجابة مفيدة؟
يفرض نظام حماية البيانات الشخصية (PDPL) ولوائحه التنفيذية التزامات واضحة على شركات الفنتك التي تعتمد أنظمة الذكاء الاصطناعي أو اتخاذ القرار الآلي — كمحركات تقييم الجدارة الائتمانية، ونماذج كشف الاحتيال، وروبوتات إعداد العملاء، ومنصات التحليل السلوكي.
**أبرز الالتزامات بموجب PDPL:**
**١. المسوّغ القانوني للمعالجة:** تستلزم المادة الثامنة من النظام توافر أساس قانوني صريح لمعالجة البيانات الشخصية عبر الأنظمة الآلية، سواء كان ذلك ضرورة تعاقدية أو مصلحة مشروعة أو موافقة صريحة. وبالنسبة للبيانات المالية الحساسة، يجب أن تكون الموافقة موثقة وصريحة.
**٢. الشفافية والإفصاح:** تُوجب المادة الحادية عشرة إخطار الأفراد بوجود أنظمة آلية تؤثر في قرارات تمسهم، مع توضيح آلية عملها والنتائج المحتملة. ويجب أن تعكس سياسة الخصوصية لديك هذه الأنظمة بوضوح.
**٣. حق الاعتراض والمراجعة البشرية:** يحق للأفراد طلب مراجعة بشرية للقرارات الصادرة بصورة آلية كلياً، لا سيما تلك ذات التأثير القانوني أو الجوهري كرفض القرض أو تجميد الحساب. على الفنتك وضع إجراء واضح للتعامل مع هذه الطلبات ضمن المهل النظامية.
**٤. تقليص البيانات:** لا تُعالَج إلا البيانات الضرورية فعلاً لغرض النموذج، تماشياً مع مبدأ تقليص البيانات المنصوص عليه في المادة الرابعة عشرة.
**٥. الاحتفاظ بالبيانات وحذفها:** حدّد فترات احتفاظ واضحة للبيانات المستخدمة في تدريب النماذج وتشغيلها، ولا تتجاوز الغرض المعلن وفق المادة الثامنة عشرة.
**٦. تقييم أثر حماية البيانات (DPIA):** تستوجب أنشطة المعالجة عالية المخاطر — كتحليل سلوك العملاء على نطاق واسع — إجراء تقييم أثر قبل الإطلاق، مع توثيق المخاطر وإجراءات التخفيف.
**التكامل مع SAMA CSF:** تتكامل ضوابط حماية بيانات العملاء في SAMA CSF (المجال 3.5) مع متطلبات PDPL، وتستلزم تطبيق ضمانات تقنية تشمل ضوابط الوصول والسجلات التدقيقية وآليات قابلية التفسير في أنظمة المعالجة الآلية.
يُنصح بإشراك مسؤول حماية البيانات (DPO) في مراحل تصميم المنتجات الذكية منذ البداية، لضمان دمج مبادئ الخصوصية بالتصميم في صميم الحل.
هل كانت الإجابة مفيدة؟
يفرض نظام حماية البيانات الشخصية السعودي (PDPL)، الذي تُشرف على تطبيقه هيئة البيانات والذكاء الاصطناعي (سدايا)، التزامات واضحة على شركات التقنية المالية لبناء إطار منهجي لتصنيف البيانات وحمايتها. وقد تصل الغرامات على المخالفات إلى 5 ملايين ريال سعودي للمخالفة الأولى، وتتضاعف في حالات التكرار.
**الخطوة الأولى – اكتشاف البيانات وتصنيفها:**
أجرِ جرداً شاملاً لجميع البيانات الشخصية التي تجمعها المنصة أو تعالجها أو تخزنها. وبموجب المادة السادسة من النظام، تُصنَّف البيانات إلى: بيانات شخصية عامة، وبيانات شخصية حساسة (تشمل البيانات المالية والسجلات الصحية والبيانات البيومترية وأرقام الهوية الوطنية)، وبيانات الأطفال.
**الخطوة الثانية – تحديد الأساس القانوني للمعالجة:**
حدّد وثّق الأساس القانوني لمعالجة كل فئة من البيانات وفق المادة الخامسة من النظام، سواء أكان موافقة صريحة، أم ضرورة تعاقدية، أم التزاماً قانونياً، أم مصلحة مشروعة.
**الخطوة الثالثة – الضوابط التقنية والتنظيمية:**
- تشفير البيانات الشخصية الحساسة في حالة التخزين والنقل (AES-256 و TLS 1.2 كحد أدنى).
- تطبيق التحكم في الوصول المبني على الأدوار (RBAC) وفق مبدأ الحد الأدنى من الصلاحيات.
- الاحتفاظ بسجل أنشطة المعالجة (ROPA) وفق المادة الثانية عشرة من النظام.
- وضع جداول زمنية لحفظ البيانات وحذفها تتوافق مع المادة الثامنة عشرة.
**الخطوة الرابعة – الإخطار بالاختراق:**
تُوجب المادة التاسعة عشرة من النظام إخطار سدايا خلال 72 ساعة من اكتشاف أي اختراق للبيانات الشخصية ينطوي على مخاطر على أصحابها.
**التكامل مع إطار ساما:** بالنسبة لشركات التقنية المالية المرخصة، يتوافق الضابط 3.3.9 من إطار ساما (حماية البيانات والمعلومات) بشكل وثيق مع متطلبات نظام PDPL، مما يعني أن سياسة حماية بيانات موحدة ومتكاملة يمكنها تلبية متطلبات الجهتين التنظيميتين في آنٍ واحد.
هل كانت الإجابة مفيدة؟
يُرسي نظام حماية البيانات الشخصية (PDPL) الصادر في المملكة العربية السعودية مبادئ صارمة تتعلق بالحد من جمع البيانات وتحديد مدد الاحتفاظ بها، وهي مبادئ يتعين على شركات التقنية المالية تضمينها في بنيتها التقنية وإجراءاتها التشغيلية على حد سواء.
بموجب المادة الثامنة من النظام، لا يجوز جمع البيانات الشخصية إلا بالقدر اللازم للغرض المُعلَن. وهذا يعني أن الشركات مُلزَمة بتجنب الجمع المفرط للبيانات خلال مراحل التسجيل والمعاملات والتحقق من الهوية. كما تستلزم أنشطة المعالجة عالية الخطورة إجراء تقييم أثر حماية البيانات (DPIA) قبل الإطلاق.
أما فيما يخص الاحتفاظ بالبيانات، فتُوجب المادة 14 حذفها فور انتهاء الغرض من معالجتها. غير أن متطلبات مكافحة غسل الأموال الصادرة عن ساما — التي تستوجب الاحتفاظ بسجلات المعاملات لمدة 10 سنوات — تُضيف طبقة إضافية من الالتزام، مما يستوجب تنسيقاً دقيقاً بين فريقي الأمن والامتثال.
من الناحية العملية، يُنصح باتباع الخطوات الآتية:
1. بناء سجل شامل لتصنيف البيانات الشخصية وتحديد أصولها
2. تفعيل سياسات دورة حياة البيانات تلقائياً لحذف البيانات أو إخفاء هويتها عند انتهاء مدة الاحتفاظ
3. مراجعة تكاملات الواجهات البرمجية (APIs) والجهات الخارجية للتأكد من التزامها بمبدأ الحد الأدنى
4. توثيق مبررات الاحتفاظ القانونية لكل فئة بيانات في سجل أنشطة المعالجة (RoPA)
5. مراجعة دورية سنوية للبيانات المحتفظ بها للتحقق من استمرار الحاجة إليها
تجدر الإشارة إلى أن مخالفة أحكام النظام قد تُفضي إلى غرامات تصل إلى 5 ملايين ريال سعودي.
هل كانت الإجابة مفيدة؟
يفرض نظام حماية البيانات الشخصية (PDPL) ولوائحه التنفيذية التزامات محددة على شركات الفنتك التي توظف أنظمة الذكاء الاصطناعي أو آليات اتخاذ القرار الآلي في معالجة بيانات العملاء — وهو ملف يشهد تصاعداً ملحوظاً في الرقابة التنظيمية.
**الأساس القانوني للمعالجة:** تشترط المادة السابعة من PDPL تحديد أساس قانوني واضح لأي نظام ذكاء اصطناعي يعالج بيانات شخصية. في سياقات التقييم الائتماني وكشف الاحتيال وتحليل السلوك، يجب أن تكون الموافقة صريحة ومفصّلة وقابلة للسحب.
**متطلبات الشفافية:** تُلزم المادة الحادية عشرة بإخطار الأفراد عند استخدام قرارات آلية تمسّهم، مع توضيح المنطق المستخدم والنتائج المحتملة. ويجب أن تعكس إشعارات الخصوصية هذه المعلومات بصورة واضحة وبسيطة.
**حق الاعتراض على القرارات الآلية:** تُشير لوائح الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) إلى توجه نحو منح أصحاب البيانات حق طلب مراجعة بشرية للقرارات الصادرة بصورة آلية بالكامل، لا سيما في حالات رفض القروض أو تقييد الحسابات أو اعتراضات KYC.
**تقليل البيانات وتقييد الغرض:** تحظر المادتان التاسعة والرابعة عشرة معالجة بيانات تتجاوز الحاجة أو استخدامها لأغراض غير مُعلنة. يجب حوكمة نماذج الذكاء الاصطناعي المدرَّبة على بيانات العملاء لمنع توسّع الأغراض.
**تقييم أثر حماية البيانات (DPIA):** تستلزم أنظمة الذكاء الاصطناعي عالية المخاطر — كمعالجة البيانات البيومترية أو التحليل السلوكي الواسع — إجراء DPIA قبل النشر مع توثيق كامل.
**التقاطع مع متطلبات SAMA:** يشترط إطار الخدمات المصرفية المفتوحة من SAMA ومبادئ حماية المستهلك ضمان العدالة الخوارزمية وعدم التمييز في توصيات المنتجات المالية.
توفر منصتنا قوالب DPIA متوافقة مع PDPL وقوائم مراجعة حوكمة الذكاء الاصطناعي المصممة خصيصاً لبيئات الفنتك السعودية.
هل كانت الإجابة مفيدة؟
تتحمل شركات التقنية المالية السعودية التي تشغّل تطبيقات جوّال لجمع البيانات المالية للعملاء ومعالجتها التزامات جوهرية بموجب نظام حماية البيانات الشخصية (PDPL) ولائحته التنفيذية الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا).
**الأساس القانوني للمعالجة والموافقة (المواد 5–7 من PDPL):**
تستلزم معالجة البيانات المالية الشخصية أساساً قانونياً واضحاً، غالباً ما يتمثل في موافقة صريحة ومستنيرة أو ضرورة تعاقدية. يجب أن تكون الموافقة تفصيلية ومنفصلة لكل غرض: جمع البيانات، والمعالجة، والتحليل، والتسويق. ويُعدّ استخدام مربعات الاختيار المحددة مسبقاً أو بنود الموافقة المجمّعة مخالفاً للنظام.
**الشفافية وإشعارات الخصوصية (المادة 11 من PDPL):**
يجب أن تعرض التطبيقات إشعار خصوصية واضحاً باللغة العربية يتضمن: فئات البيانات المجمّعة، وأغراض المعالجة، ومدد الاحتفاظ، والجهات الخارجية المشاركة، وحقوق المستخدم. ويُشترط عرض الإشعار قبل جمع البيانات أو عند نقطة الجمع.
**حقوق أصحاب البيانات (المواد 14–18 من PDPL):**
يتعين على شركات التقنية المالية تفعيل حقوق المستخدمين عبر التطبيق أو قناة مخصصة: حق الوصول والتصحيح والحذف وسحب الموافقة، مع الالتزام بالرد خلال 30 يوماً وفق اللائحة التنفيذية.
**تقليل البيانات والاحتفاظ بها:**
ينبغي جمع البيانات الضرورية فحسب للغرض المُعلَن. وتجدر الإشارة إلى أن بيانات المعاملات المالية قد تخضع لمدد احتفاظ إلزامية بموجب لوائح ساما تصل إلى 10 سنوات، مما قد يتعارض مع حق المحو. لذا يجب توثيق آلية التعامل مع هذا التعارض ضمن سجلات أنشطة المعالجة (RoPA).
**الضمانات الأمنية:**
تستوجب المادة 19 من PDPL تطبيق ضمانات تقنية وتنظيمية مناسبة، تشمل للتطبيقات المالية: التشفير الشامل، وربط الشهادات (Certificate Pinning)، والمصادقة الآمنة عبر OAuth 2.0/FAPI، واختبارات DAST/SAST الدورية.
يُنصح بتعيين مسؤول حماية بيانات (DPO) في حالات المعالجة الواسعة النطاق أو التي تتضمن ملفات مالية حساسة، مع تسجيل أنشطة المعالجة لدى سدايا.
هل كانت الإجابة مفيدة؟
يفرض نظام حماية البيانات الشخصية (PDPL) الصادر في المملكة العربية السعودية والمُشرف على تطبيقه من قِبل هيئة البيانات والذكاء الاصطناعي (SDAIA)، التزامات واضحة على المنظمات عند وقوع اختراق للبيانات الشخصية. وهذا الأمر بالغ الأهمية للبنوك وشركات الفنتك التي تعالج كميات ضخمة من البيانات المالية والشخصية الحساسة.
**التزامات الإخطار بموجب PDPL:**
تُلزم المادة 23 من النظام المنظماتِ بإخطار SDAIA عن أي اختراق للبيانات الشخصية قد يُلحق ضرراً بأصحابها، وذلك **دون تأخير غير مبرر** — إذ يتوقع المنظمون عملياً الإخطار خلال 72 ساعة من اكتشاف الاختراق، تماشياً مع الممارسات الدولية المعتمدة.
وإذا كان الاختراق يشكّل خطراً مرتفعاً على الأفراد — كالكشف عن أرقام الحسابات المصرفية أو بيانات الهوية الوطنية أو المعطيات البيومترية — وجب **إخطار أصحاب البيانات مباشرةً** مع توضيح طبيعة الاختراق والإجراءات الوقائية الموصى بها.
**مهام مسؤول حماية البيانات عند الاختراق:**
1. **الاحتواء الفوري**: عزل الأنظمة المتضررة وإلغاء صلاحيات الوصول المخترقة.
2. **التقييم**: تحديد نطاق الاختراق من حيث فئات البيانات وعدد الأفراد المتضررين ومستوى الخطر.
3. **التوثيق**: تسجيل الحادثة في سجل الاختراقات الداخلي مع الجدول الزمني والأسباب وتفاصيل الأثر.
4. **إخطار SDAIA**: تقديم إشعار رسمي عبر بوابة SDAIA يتضمن: طبيعة الاختراق، فئات البيانات وحجمها، التداعيات المحتملة، والإجراءات التصحيحية المتخذة.
5. **إخطار أصحاب البيانات**: عند الاقتضاء، إصدار إشعارات واضحة وصريحة — تجنّب الصياغات المبهمة التي قد تُضاعف المسؤولية القانونية.
6. **التنسيق مع SAMA**: على المؤسسات المالية إخطار SAMA بالتوازي وفق ضابط 3.4.2 الخاص بإدارة حوادث الأمن السيبراني، إذ يُعدّ الإبلاغ لدى جهتين تنظيميتين متزامناً إلزامياً.
7. **المراجعة اللاحقة للحادث**: إجراء تحليل للسبب الجذري خلال 30 يوماً وتحديث تقييمات أثر حماية البيانات (DPIA) والضوابط الأمنية بناءً عليه.
عدم الامتثال لمتطلبات إخطار الاختراق في نظام PDPL قد يُفضي إلى غرامات تصل إلى 5 ملايين ريال سعودي، تتضاعف عند تكرار المخالفة.
هل كانت الإجابة مفيدة؟
يُفرز توظيف الذكاء الاصطناعي في التسجيل الائتماني بيئةً تنظيمية متشعبة تجمع بين نظام حماية البيانات الشخصية (PDPL) ومتطلبات حوكمة البيانات في SAMA CSF واعتبارات أخلاقيات الذكاء الاصطناعي. وفيما يلي أبرز ما يجب على فرق الامتثال في شركات الفنتك مراعاته: أولاً، الأساس القانوني للمعالجة؛ تستوجب المادة الخامسة من النظام أن تستند معالجة البيانات المالية لأغراض التسجيل الائتماني إلى أساس قانوني مشروع كالضرورة التعاقدية أو المصلحة المشروعة، وقد تستلزم الحالات التي تُستخلص فيها معلومات حساسة الحصول على موافقة صريحة. ثانياً، الشفافية والإفصاح؛ تُلزم المادتان 11 و12 الشركاتِ بإخطار الأفراد بعمليات اتخاذ القرار الآلي التي تمسهم، ويجب أن تُفصح سياسات الخصوصية صراحةً عن استخدام الذكاء الاصطناعي في التسجيل ومدخلات البيانات المعتمدة. ثالثاً، الحد الأدنى من البيانات؛ يقتصر الجمع على البيانات ذات الصلة المباشرة بتقييم الجدارة الائتمانية. رابعاً، قابلية الشرح؛ وإن لم يُقنّن النظام حقاً صريحاً في الشرح كما في المادة 22 من GDPR، إلا أن الضابط 3.3.7 من SAMA CSF يتوقع قدرة المؤسسات على تفسير قراراتها الآلية المؤثرة في العملاء. خامساً، مدد الاحتفاظ؛ يجب توثيق جداول احتفاظ مراجَعة سنوياً وعدم الإبقاء على البيانات أطول من الضرورة. سادساً، النقل عبر الحدود؛ إن كانت نماذج الذكاء الاصطناعي تُدرَّب أو تُستضاف خارج المملكة، تسري ضوابط النقل في المادة 29 من النظام. ويُنصح بإشراك مسؤول حماية البيانات منذ مرحلة تصميم النموذج لضمان تضمين مبادئ الخصوصية بالتصميم.
هل كانت الإجابة مفيدة؟
تعمل شركات الفينتك السعودية في ظل منظومة تنظيمية مزدوجة تجمع بين نظام حماية البيانات الشخصية (PDPL) وإطار SAMA CSF، ولكل منهما متطلباته الخاصة في ما يخص الاستجابة لاختراقات البيانات. ولذلك، يُعدّ بناء خطة موحدة ضرورةً تنظيميةً وعمليةً في آنٍ واحد.
**التزامات نظام PDPL:**
تُوجب المادة 24 من نظام PDPL على المتحكمين في البيانات إخطار الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) فور اكتشاف أي اختراق قد يُلحق ضرراً بأصحاب البيانات، ويُتوقع أن يكون ذلك خلال 72 ساعة للاختراقات عالية المخاطر. كما يُشترط إخطار الأشخاص المتضررين عند وجود خطر مباشر على حقوقهم أو مصالحهم.
**التزامات إطار SAMA CSF:**
يشترط المتطلب 3.5.4 من SAMA CSF توثيق إجراءات الاستجابة للحوادث الأمنية بما يشمل الاكتشاف والاحتواء والاستئصال والتعافي والمراجعة اللاحقة. وتُرفع تقارير الحوادث المؤثرة في بيانات العملاء إلى مؤسسة النقد خلال مهل محددة، وعادةً خلال 24 ساعة للحوادث الحرجة.
**خطوات بناء خطة استجابة موحدة:**
1. **تصنيف شدة الاختراق مسبقاً**: حدّد معايير واضحة لتفعيل الإخطارات المطلوبة لكل جهة رقابية وللعملاء المتضررين.
2. **تشكيل فريق استجابة متكامل**: يضم الإدارة القانونية، ومسؤول حماية البيانات، والمسؤول الأول عن أمن المعلومات، وفريق العمليات، والتواصل المؤسسي، مع تحديد الأدوار بوضوح.
3. **حفظ سجلات الأدلة**: احرص على توثيق الأدلة الجنائية الرقمية وسجلات الوصول وكافة المراسلات طوال دورة حياة الحادثة.
4. **إجراء اختبارات منتظمة**: نفّذ تمارين محاكاة (Tabletop Exercises) مرتين على الأقل سنوياً.
5. **تنسيق الإخطارات**: أعدّ قوالب إخطار جاهزة ومعتمدة مسبقاً لسدايا ومؤسسة النقد والعملاء لتفادي التأخير تحت ضغط الأزمة.
خطة الاستجابة الموحدة لا تضمن الامتثال فحسب، بل تُقلّص بشكل ملموس المخاطر المالية والسمعة عند وقوع أي اختراق.
هل كانت الإجابة مفيدة؟
تواجه شركات الفنتك في المملكة العربية السعودية التزامات تنظيمية مزدوجة عند وقوع خرق للبيانات: الامتثال لنظام حماية البيانات الشخصية (PDPL) الذي تشرف عليه هيئة البيانات والذكاء الاصطناعي (SDAIA)، والوفاء بمتطلبات إدارة الحوادث وفق إطار SAMA CSF. وتحقيق التوافق بين المتطلبين ضرورة حتمية لتفادي الغرامات التنظيمية والأضرار السمعية.
**التزامات نظام PDPL (المواد 25-27):**
يُلزم النظام المؤسسات بإخطار SDAIA فور اكتشاف الخرق دون تأخير غير مبرر — ويُفسَّر ذلك عملياً بـ 72 ساعة من لحظة الإدراك — إذا كان الخرق يُشكّل خطراً على حقوق أصحاب البيانات. وفي حال تأكيد الخطر العالي، يجب إخطار الأفراد المتأثرين بلغة واضحة تشرح طبيعة الخرق وفئات البيانات المُخترقة والإجراءات المتخذة.
**التزامات SAMA CSF (الضابط 3.6 — إدارة حوادث الأمن السيبراني):**
يشترط SAMA الإبلاغ عن الحوادث السيبرانية وفق أُطر زمنية مرتبطة بمستوى الخطورة؛ إذ تُبلَّغ الحوادث الحرجة خلال ساعتين من الكشف، مع تقديم تقرير ما بعد الحادثة خلال 72 ساعة.
**خطوات التوافق العملي:**
1. بناء خطة استجابة موحدة (IRP) تربط محفزات الإخطار في PDPL وSAMA بمسار عمل واحد من الكشف إلى الإبلاغ.
2. وضع آلية فرز للخروقات تُقيّم في وقت واحد مدى تعرض البيانات الشخصية (للامتثال لـ PDPL) والأثر التشغيلي والمالي (للامتثال لـ SAMA).
3. تحديد مسؤوليات الإشعار التنظيمي بوضوح بين مسؤول حماية البيانات (DPO) والمدير التنفيذي للأمن السيبراني (CISO).
4. إجراء تدريبات محاكاة تغطي سيناريوهات خرق البيانات أمام كلا الجهتين التنظيميتين.
5. إعداد قوالب إشعار معتمدة مسبقاً لـ SDAIA وSAMA والعملاء المتأثرين لتسريع وقت الاستجابة.
هذا التكامل الاستباقي يُقلّص تعارض الأُطر الزمنية ويُعزز الثقة التنظيمية مع كلا الجهتين.
هل كانت الإجابة مفيدة؟
يمنح نظام حماية البيانات الشخصية (PDPL) الصادر في المملكة العربية السعودية أصحابَ البيانات حقوقاً محددة، يتعين على المؤسسات المالية تفعيلها بآليات عملية واضحة لا مجرد الإقرار بها. وغياب هذه الآليات يُشكّل ثغرة امتثالية مباشرة أمام هيئة البيانات والذكاء الاصطناعي (سدايا).
**أبرز الحقوق المكفولة بموجب النظام:**
1. **حق الاطلاع (المادة 10):** يحق لأصحاب البيانات طلب الاطلاع على بياناتهم الشخصية وأغراض معالجتها، ويُستحسن الرد خلال 30 يوماً.
2. **حق التصحيح (المادة 11):** يمكن لأصحاب البيانات المطالبة بتصحيح أي معلومات غير دقيقة أو ناقصة.
3. **حق الحذف (المادة 12):** يحق طلب مسح البيانات عند انتفاء الغرض من معالجتها، مع مراعاة متطلبات الاحتفاظ الإلزامية المنصوص عليها في أنظمة البنك المركزي ومكافحة غسل الأموال.
4. **حق سحب الموافقة (المادة 7):** ينبغي أن يكون سحب الموافقة بالسهولة ذاتها التي منحت بها.
5. **حق الاعتراض على القرارات الآلية:** يمكن لأصحاب البيانات الطعن في القرارات المبنية بالكامل على المعالجة الآلية.
**آليات التفعيل العملي في البنوك:**
- إنشاء **بوابة إلكترونية أو نظام رسمي** لاستقبال طلبات أصحاب البيانات من العملاء والموظفين.
- تحديد **مهلة داخلية لا تتجاوز 20 يوم عمل** لمعالجة الطلبات قبل الآجال التنظيمية.
- رسم خريطة شاملة لمستودعات البيانات الشخصية عبر الأنظمة المصرفية الأساسية وأنظمة إدارة العملاء والتسويق.
- توثيق متطلبات الاحتفاظ القانونية (كاشتراط البنك المركزي حفظ سجلات المعاملات لمدة 10 سنوات كحد أدنى).
- تدريب موظفي خدمة العملاء ومسؤول حماية البيانات على إجراءات الاستجابة.
- تسجيل جميع الطلبات ونتائجها للرجوع إليها عند التفتيش الرقابي.
هل كانت الإجابة مفيدة؟
يُرسي نظام حماية البيانات الشخصية (PDPL) الصادر في المملكة العربية السعودية والذي تُشرف على تطبيقه الهيئة الوطنية لحوكمة البيانات، التزامات واضحة تتعلق بالإشعار عن خروقات البيانات. بموجب المادة 24 من النظام ولائحته التنفيذية، يتعين على المنظمات بما فيها شركات التقنية المالية إخطار الجهة المختصة (الهيئة الوطنية لحوكمة البيانات) فور اكتشاف أي خرق يمس سرية البيانات الشخصية أو سلامتها أو توافرها، دون إبطاء مبرر. ويجب أن يتضمن الإشعار: طبيعة الخرق، وفئات أصحاب البيانات المتأثرين وعددهم التقريبي، والتداعيات المحتملة، والتدابير المتخذة أو المقترحة. وإن كان الخرق يُشكّل خطراً جسيماً على أصحاب البيانات، وجب إخطارهم مباشرةً وبصورة فورية. **الخطوات العملية لشركات التقنية المالية:** (1) **الكشف والاحتواء:** تفعيل خطة الاستجابة للحوادث فوراً، وعزل الأنظمة المتضررة والحفاظ على الأدلة الجنائية الرقمية. (2) **التصعيد الداخلي:** إشعار مسؤول حماية البيانات والمدير التنفيذي للأمن المعلوماتي خلال ساعات، مع إشراك المستشار القانوني لتقييم التزامات الإشعار بموجب PDPL ومتطلبات SAMA CSF التي تستوجب الإشعار خلال 72 ساعة للحوادث الجسيمة. (3) **إشعار الهيئة الوطنية لحوكمة البيانات:** تقديم إشعار رسمي كامل ودقيق مع توثيق تسلسل اكتشاف الخرق وتقييمه والإشعار به. (4) **إشعار الأفراد المتأثرين:** تقييم مدى تشكيل الخرق لخطر عالٍ على أصحاب البيانات، كانكشاف البيانات المالية أو الهوياتية، وإرسال إشعار واضح وبلغة مفهومة عند الاقتضاء. (5) **المراجعة ما بعد الخرق:** إجراء تحليل جذري للأسباب وتحديث الضوابط وتوثيق الدروس المستفادة. وقد تبلغ الغرامات المترتبة على مخالفة النظام 5 ملايين ريال سعودي مع تشديدها في حالة التكرار، لذا يُوصى بشدة بإعداد دليل إجراءات الاستجابة للخروقات متوافقاً مع PDPL ومتطلبات SAMA معاً.
هل كانت الإجابة مفيدة؟
يُنظّم نظام حماية البيانات الشخصية السعودي الصادر بالمرسوم الملكي والذي تُشرف على تطبيقه الهيئة الوطنية لإدارة البيانات، طريقةَ استخدام البنوك والشركات التقنية المالية لملفات الارتباط وأدوات التتبع الإلكتروني على منصاتها الرقمية. وعلى الرغم من أن النظام لا يذكر مصطلح 'ملفات الارتباط' صراحةً، إلا أن المواد 4 و5 و6 منه تُحكم عملية جمع البيانات الشخصية التي كثيراً ما تشملها هذه الملفات عبر المعرّفات الرقمية وبيانات السلوك وبصمات الأجهزة.
**اشتراطات الموافقة:** تستوجب المادة الخامسة الحصول على موافقة صريحة ومستنيرة وطوعية قبل نشر ملفات الارتباط غير الضرورية كأدوات التحليل والإعلان والتتبع السلوكي. ولا تكفي المربعات المُحددة مسبقاً أو الموافقة الضمنية لاستيفاء متطلبات النظام.
**تحديد الغرض:** لا يجوز استخدام البيانات المجمّعة عبر ملفات الارتباط إلا للغرض المُفصح عنه وقت الجمع وفق المادة السابعة. ويُعدّ استخدام بيانات الجلسات لأغراض غير مُعلنة أو بيعها لشبكات الإعلانات الخارجية انتهاكاً صريحاً للنظام.
**النقل العابر للحدود:** إذا كانت أدوات التحليل المستخدمة كـ Google Analytics تُرسل بيانات إلى خوادم خارج المملكة، فإن ذلك يستوجب تطبيق ضمانات الحماية المنصوص عليها في المادة التاسعة والعشرين أو الحصول على موافقة الهيئة الوطنية لإدارة البيانات.
**خطوات عملية:** أجرِ مراجعة شاملة لملفات الارتباط على جميع منصاتك الرقمية، وصنّفها حسب طبيعتها، وحدّث إشعار الخصوصية ليتوافق مع متطلبات النظام، وطبّق منصة إدارة الموافقة مع حفظ سجلات الموافقة بالتوقيت لأغراض التدقيق.
هل كانت الإجابة مفيدة؟
يُعدّ نقل البيانات الشخصية عبر الحدود من أكثر المسائل حساسيةً من الناحية القانونية والامتثالية للمؤسسات المالية في ظل نظام حماية البيانات الشخصية (PDPL). تُحدد المادتان 29 و30 من النظام ولوائحه التنفيذية شروطاً صارمة لهذه العملية. **الأسس القانونية للنقل:** أولاً، **قرار الكفاية** — يُسمح بنقل البيانات إلى الدول التي تُقرّ الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) بأنها توفر مستوى حماية مكافئاً لمعايير PDPL. ثانياً، **الضمانات التعاقدية** — في غياب قرار الكفاية، يتعيّن إبرام بنود تعاقدية معيارية معتمدة من سدايا مع الجهة المستقبِلة تضمن الحماية المكافئة. ثالثاً، **الموافقة الصريحة** — عند انعدام الأساسيْن السابقين، يجب الحصول على موافقة صريحة ومستنيرة من صاحب البيانات تحدد الدولة المستقبِلة والمخاطر المحتملة. رابعاً، **المصالح الحيوية أو الالتزامات القانونية** — يُجيز النظام النقل دون موافقة إذا اقتضت ذلك مصالح حيوية أو التزامات قانونية. **خصوصية القطاع المالي:** يجب على البنوك والشركات التقنية المالية رسم خريطة شاملة لتدفقات البيانات العابرة للحدود مع مزودي السحابة الدولية وشركاء المدفوعات، وإعداد تقييم أثر النقل (TIA)، ومراجعة العقود سنوياً. كما يشترط الضابط 3.3.7 من SAMA CSF أن يُوجّه تصنيف البيانات قرارات النقل عبر الحدود. **العقوبات:** قد تصل الغرامات على المخالفات إلى 5 ملايين ريال سعودي. يُنصح بتأسيس لجنة حوكمة نقل البيانات تضم ممثلين قانونيين وامتثاليين وتقنيين لمراجعة تدفقات البيانات الخارجية كل ربع سنة.
هل كانت الإجابة مفيدة؟
يُطبَّق نظام حماية البيانات الشخصية (PDPL) الصادر عن الهيئة الوطنية لإدارة البيانات (NDMO) على جميع عمليات معالجة البيانات الشخصية بما فيها بيانات الموظفين، وهو ما كثيراً ما يُغفله قسم الموارد البشرية في المؤسسات المالية.
**أبرز الالتزامات المتعلقة ببيانات الموظفين:**
1. **الأساس القانوني للمعالجة**: وفق المادة الثامنة من النظام، يُجيز معالجة بيانات الموظفين عند الحاجة لتنفيذ عقد العمل أو الوفاء بالتزام قانوني. والاعتماد على الموافقة وحدها في السياق الوظيفي فيه إشكالية بسبب عدم التوازن في العلاقة.
2. **الحد الأدنى من البيانات**: يُلزم النظام بجمع البيانات الضرورية فحسب، وتعتبر بيانات الأجور والصحة والبيومترية بيانات حساسة تستوجب مسوّغاً قانونياً واضحاً وفق المادة الخامسة.
3. **إخطار الموظفين بحقوقهم**: تشترط المادتان الرابعة والرابعة عشرة إعلام الموظفين بطبيعة البيانات المجمّعة وأغراض استخدامها ومدة الاحتفاظ بها وحقوقهم في الوصول والتصحيح، وعادةً ما يتم ذلك عبر إشعار خصوصية داخلي للموظفين.
4. **جداول الاحتفاظ بالبيانات**: يتعين على إدارات الموارد البشرية وضع سياسة موثّقة لمدد الاحتفاظ، إذ يُحتفظ بملفات الموظفين عادةً لمدة 5 إلى 7 سنوات بعد انتهاء العلاقة الوظيفية وفق نظام العمل السعودي.
5. **نقل البيانات عبر الحدود**: إذا كانت بيانات الموظفين تُعالَج بواسطة أنظمة رواتب أو HR خارجية، فإن المادة التاسعة والعشرين من النظام تشترط وجود ضمانات تعاقدية مناسبة أو أن تتمتع الدولة المستقبِلة بمستوى كافٍ من الحماية.
6. **الإبلاغ عن الاختراقات**: يجب الإبلاغ عن أي اختراق يطال بيانات الموظفين خلال 72 ساعة في حال ترتّب عليه ضرر محتمل.
يُنصح بإجراء تقييم أثر حماية البيانات (DPIA) خاص بالموارد البشرية وتحديث السياسات الداخلية لتعكس متطلبات النظام بشكل كامل.
هل كانت الإجابة مفيدة؟
يُعدّ نقل البيانات الشخصية عبر الحدود من أكثر الالتزامات تعقيداً تشغيلياً في نظام حماية البيانات الشخصية (PDPL)، لا سيما للمؤسسات المالية التي تعتمد على مزودي الخدمات السحابية العالميين أو علاقات المراسلة المصرفية الدولية.
**الأساس القانوني في نظام PDPL**
تحكم المادة 29 من النظام عمليات النقل الدولي للبيانات، وتُجيزه فقط عند توافر أحد الشروط التالية:
- أن تتمتع الدولة المستقبِلة بمستوى حماية كافٍ وفق تقدير الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا).
- أن يربط الطرفين عقد يكفل مستوى حماية مكافئاً.
- أن يكون النقل ضرورياً لتنفيذ عقد مع صاحب البيانات، كمعالجة مدفوعات دولية.
- الحصول على موافقة صريحة من صاحب البيانات — مع التنبّه أن هذا الأساس هو الأضعف قانونياً.
**متطلبات إضافية من SAMA**
يُضيف SAMA CSF في الضابط 3.3.5 وتعليماته للحوسبة السحابية طبقة رقابية خاصة بالقطاع المالي: لا يجوز مطلقاً نقل البيانات المالية الحساسة للعملاء خارج المملكة دون الحصول على موافقة مسبقة من SAMA، بصرف النظر عن أحكام PDPL. هذا يُنشئ **متطلبَ امتثال مزدوجاً** أكثر صرامة.
**خطوات الامتثال العملية**
1. رسم خريطة شاملة لتدفقات البيانات العابرة للحدود، بما يشمل المعالجين الفرعيين والبنية السحابية.
2. تصنيف البيانات حسب الحساسية: بيانات شخصية وفق PDPL مقابل بيانات مالية تنظيمها SAMA.
3. إبرام اتفاقيات نقل البيانات مع الجهات المعالِجة في الخارج.
4. الحصول على عدم ممانعة SAMA لنقل البيانات المالية.
5. توثيق تقييمات أثر النقل والاحتفاظ بالسجلات استعداداً لتدقيق سدايا و SAMA.
المخالفة تُعرّض المؤسسة لغرامات تصل إلى 5 ملايين ريال سعودي وإجراءات رقابية من SAMA.
هل كانت الإجابة مفيدة؟
يمنح نظام حماية البيانات الشخصية (PDPL) الصادر عن الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) أصحاب البيانات حقوقاً قانونية نافذة، يتعين على شركات الفنتك بناء إجراءات تشغيلية واضحة للتعامل معها.
**كيفية بناء آلية فعّالة للتعامل مع الطلبات:**
**1. قناة استقبال مخصصة:** أنشئ قناة واضحة وسهلة الوصول لاستقبال الطلبات (نموذج إلكتروني، بريد، تطبيق)، مع الإشارة إليها صراحةً في إشعار الخصوصية وفق المادة 11 من النظام.
**2. التحقق من هوية مقدم الطلب:** قبل معالجة أي طلب، تحقق من هوية الشخص بعاملَي تحقق على الأقل، تفادياً للإفصاح غير المصرح به عن البيانات المالية الحساسة.
**3. مهل الاستجابة:** يُلزم النظام بالرد خلال 30 يوماً من استلام الطلب، مع إمكانية التمديد في الحالات المعقدة شريطة إخطار صاحب البيانات قبل انتهاء المهلة الأصلية.
**4. نطاق البيانات المُفصَح عنها:** يشمل ذلك سجلات المعاملات وبيانات التحقق من الهوية (KYC) والبيانات التحليلية السلوكية، مع استثناء ما قد يمس حقوق أطراف ثالثة أو التزامات السرية التنظيمية.
**5. التوازن بين الحذف والاحتفاظ:** قد يتعارض طلب الحذف مع إلزامية SAMA CSF ومتطلبات مكافحة غسل الأموال التي تشترط الاحتفاظ بالسجلات المالية حتى 10 سنوات؛ لذا وثّق هذه الاستثناءات في سياسة الاحتفاظ بالسجلات.
**6. مخاطر الشكاوى لدى سدايا:** احتفظ بسجل تدقيق كامل لجميع الطلبات ونتائجها؛ فأي إخفاق في الاستجابة قد يُفضي إلى شكاوى رسمية وعقوبات إدارية.
هل كانت الإجابة مفيدة؟
يمنح نظام حماية البيانات الشخصية (PDPL) الصادر في المملكة العربية السعودية والمُطبَّق من قِبَل الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) والمكتب الوطني لإدارة البيانات، أصحابَ البيانات جملةً من الحقوق القابلة للتطبيق، يتعين على المؤسسات المالية تفعيلها من خلال إجراءات رسمية واضحة.
استناداً إلى المواد 4 إلى 8 من النظام، يحق للأفراد الاطلاع على بياناتهم الشخصية وتصحيحها وطلب حذفها، مما يُرتِّب على البنوك والشركات التقنية المالية التزامات محددة:
**المواعيد النظامية للاستجابة:**
- يجب الرد على طلبات الاطلاع والتصحيح خلال **30 يوماً** من تاريخ استلامها.
- إذا استدعت تعقيدات الطلب تمديد المهلة، وجب إخطار مقدِّم الطلب قبل انتهاء المدة الأصلية، مع إمكانية التمديد 30 يوماً إضافية مع توثيق المبرر الكتابي.
**خطوات الامتثال العملي:**
1. **آلية استقبال الطلبات**: إنشاء قناة آمنة ومخصصة لاستقبال طلبات أصحاب البيانات مع التحقق من هوية مقدِّميها.
2. **تحديد مواقع البيانات**: الاحتفاظ بسجل محدَّث لأنشطة المعالجة، إذ لا يمكن الوفاء بطلبات الاطلاع دون معرفة أماكن تخزين البيانات.
3. **الاستثناءات الخاصة بالقطاع المالي**: يُجيز النظام رفض تسليم بيانات معينة حين يتعارض الإفصاح مع متطلبات مكافحة غسل الأموال أو يمس الأمن الوطني أو التزامات الاحتفاظ القانوني.
4. **توثيق كل إجراء**: تسجيل جميع الطلبات والردود والتمديدات والطلبات المرفوضة مع مبرراتها، لأن مدققي سدايا قد يطلعون عليها.
5. **التكامل مع ISO 27001**: ربط إجراءات طلبات أصحاب البيانات بضوابط التحكم في الوصول وإدارة الأصول ضمن نظام إدارة أمن المعلومات.
قد تصل الغرامات عند عدم الامتثال إلى 5 ملايين ريال سعودي. توفر منصتنا سير عمل آلي لإدارة طلبات أصحاب البيانات مع تتبع المواعيد وتسجيل مسار التدقيق.
هل كانت الإجابة مفيدة؟
يُصنَّف نظام حماية البيانات الشخصية (PDPL) البيانات المالية للعملاء ضمن **البيانات الحساسة** وفق المادة 23، مما يُرتّب على شركات الفينتك التزامات أكثر صرامة عند معالجتها.
**أبرز الالتزامات على شركات الفينتك:**
1. **المستند القانوني للمعالجة (المادة 8):** لا تكفي الموافقة الضمنية؛ إذ يجب الحصول على موافقة صريحة أو الاستناد إلى ضرورة تعاقدية واضحة.
2. **الحد الأدنى من البيانات وتقييد الغرض (المادة 9):** يُحظر استخدام بيانات المعاملات لأغراض التسويق أو التحليل دون الحصول على موافقة جديدة ومحددة.
3. **حقوق أصحاب البيانات (المواد 13–17):** يحق للعملاء الاطلاع على بياناتهم وتصحيحها أو حذفها، ويجب الرد على طلباتهم خلال **30 يومًا**.
4. **نقل البيانات خارج المملكة (المادة 29):** يستلزم الحصول على موافقة الهيئة الوطنية لإدارة البيانات (NDMO) أو ضمانات حماية كافية — وهذا أمر بالغ الأهمية للشركات المعتمدة على مزودي خدمات سحابية دوليين.
5. **الإشعار بالاختراق (المادة 24):** الإبلاغ عن أي اختراق للبيانات الشخصية خلال **72 ساعة** من اكتشافه، وإخطار الأفراد المتضررين عند وجود مخاطر عالية.
**العقوبات:**
تصل الغرامات إلى **5 ملايين ريال سعودي**، وتتضاعف في حالة التكرار. وقد تصل الانتهاكات المتعمدة المتعلقة بالبيانات الحساسة إلى الإحالة الجنائية.
**خطوات عملية:**
- إجراء تقييم للفجوات مرتبط بمسارات البيانات الفعلية
- تعيين مسؤول حماية البيانات (DPO) عند المعالجة الواسعة النطاق
- مواءمة ضوابط PDPL مع متطلبات حماية البيانات في SAMA CSF لتجنب ازدواجية الامتثال
هل كانت الإجابة مفيدة؟
يُلزم نظام حماية البيانات الشخصية (PDPL) الصادر في المملكة العربية السعودية، والذي تُشرف على تطبيقه الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، المؤسساتِ الماليةَ بجملة من الالتزامات الجوهرية عند التعامل مع بيانات العملاء:
**أولاً: المسوّغ النظامي للمعالجة:** تشترط المادة الرابعة من النظام وجود أساس قانوني واضح قبل معالجة أي بيانات شخصية، سواء استند ذلك إلى ضرورة تعاقدية، أو التزام نظامي، أو موافقة صريحة من صاحب البيانات. وتستوجب البيانات الحساسة كالبصمات الحيوية ودرجات الائتمان الحصول على موافقة صريحة لا لبس فيها.
**ثانياً: إشعار الخصوصية:** تُوجب المادة الحادية عشرة إخطار العملاء بأغراض جمع بياناتهم، ومدد الاحتفاظ بها، وجهات مشاركتها، فضلاً عن حقوقهم في الاطلاع والتصحيح والحذف.
**ثالثاً: الحد الأدنى من البيانات والاحتفاظ بها:** يقتصر جمع البيانات على ما هو ضروري فعلاً لتحقيق الغرض المحدد، مع تحديد جداول زمنية واضحة للاحتفاظ بها، إذ يُعدّ الاحتفاظ بها بعد انتهاء الغرض مخالفةً صريحة.
**رابعاً: نقل البيانات عبر الحدود:** تُقيّد المادة التاسعة والعشرون نقل البيانات الشخصية خارج المملكة ما لم يوفر البلد المستقبِل مستوى حماية ملائماً أو تُصدر سدايا موافقتها، وهو أمر بالغ الأهمية لمؤسسات تستخدم موفري خدمات سحابية دوليين.
**خامساً: الإخطار بالاختراقات:** يستوجب النظام إبلاغ سدايا خلال 72 ساعة من اكتشاف أي اختراق يمس البيانات الشخصية، مع إخطار المتضررين متى ترتب على ذلك ضرر جسيم.
على صعيد الخطوات العملية، يُنصح بإجراء تقييم أثر حماية البيانات (DPIA) للأنشطة عالية الخطورة، والاحتفاظ بسجل معالجة البيانات (RoPA)، وتعيين مسؤول حماية بيانات (DPO)، مع دمج متطلبات النظام ضمن إطار ISO 27001 لتحقيق حوكمة أمنية متكاملة.
هل كانت الإجابة مفيدة؟
يفرض نظام حماية البيانات الشخصية (PDPL) الصادر في المملكة العربية السعودية، والذي تُشرف على تطبيقه الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) والمكتب الوطني لإدارة البيانات (NDMO)، التزامات جوهرية على جميع الجهات التي تعالج البيانات الشخصية داخل المملكة.
**الالتزامات الأساسية للمؤسسات المالية:**
**1. الأساس القانوني لمعالجة البيانات (المادة 5 من PDPL):**
يجب على المنظمات تحديد أساس قانوني واضح قبل معالجة أي بيانات شخصية. بالنسبة للبنوك والشركات التقنية المالية، يشمل ذلك عادةً ضرورة التعاقد كفتح الحسابات، والالتزام القانوني كمتطلبات مكافحة غسيل الأموال واعرف عميلك. الاعتماد على الموافقة الصريحة وحدها كأساس للمعالجة التشغيلية أمر محفوف بالمخاطر إذ يحق للأفراد سحبها في أي وقت.
**2. حقوق أصحاب البيانات (المواد 4-9 من PDPL):**
يتمتع الأفراد بحق الوصول إلى بياناتهم وتصحيحها وطلب حذفها. يجب على المؤسسات المالية وضع إجراءات واضحة للاستجابة لهذه الطلبات خلال 30 يوماً. مع الأخذ بعين الاعتبار أن متطلبات الاحتفاظ بالسجلات المفروضة من SAMA ومجموعة العمل المالي (FATF) قد تتغلب على طلبات الحذف في حالة السجلات التنظيمية.
**3. القيود المفروضة على نقل البيانات خارج المملكة (المادة 29):**
لا يُسمح بنقل البيانات الشخصية خارج المملكة العربية السعودية إلا إذا كانت الدولة المستقبِلة توفر مستوى كافياً من الحماية، أو بعد الحصول على موافقة NDMO. وهذا له تداعيات مهمة على التطبيقات المستضافة في السحابة وعمليات خدمة العملاء خارج المملكة.
**4. الإخطار بخرق البيانات:**
يجب على المنظمات إخطار سدايا/NDMO خلال 72 ساعة من اكتشاف أي خرق للبيانات الشخصية يُشكّل خطراً على أصحابها، مع إخطار الأفراد المتضررين دون تأخير.
**5. الخصوصية بالتصميم:**
يجب دمج ضوابط الخصوصية في الأنظمة والعمليات الجديدة من مرحلة التصميم، لا بعد اكتمالها. وينبغي إجراء تقييمات أثر حماية البيانات (DPIA) للأنشطة عالية المخاطر.
**نصيحة عملية:**
ابدأ برسم خريطة شاملة لتدفقات البيانات الشخصية — بما فيها بيانات الموارد البشرية وسجلات إعداد العملاء وقواعد بيانات التسويق — قبل إجراء تقييم الفجوات مقارنةً بمتطلبات PDPL. عيّن مسؤول حماية بيانات (DPO) إذا كانت مؤسستك تعالج بيانات حساسة على نطاق واسع.
هل كانت الإجابة مفيدة؟
يفرض نظام حماية البيانات الشخصية (PDPL) ولوائحه التنفيذية التزامات واضحة على شركات الفينتك التي تستخدم بيانات عملائها في نماذج التسجيل الائتماني المعتمدة على الذكاء الاصطناعي، أو في تخصيص العروض المالية، أو التحليل السلوكي — وهو مجال بات تحت مجهر الجهات الرقابية.
**الأساس القانوني للمعالجة (المادتان 6 و13 من PDPL):**
يجب أن تُحدد الشركة أساساً قانونياً واضحاً قبل معالجة البيانات لأغراض الذكاء الاصطناعي. والموافقة هي الأساس الأكثر شيوعاً، لكن يُشترط أن تكون:
- صريحة ومبنية على معلومات كافية وطوعية
- محددة — موافقة منفصلة للتسجيل الائتماني عن التسويق
- قابلة للسحب في أي وقت بيسر وسهولة
**القرارات الآلية (المادة 15 من PDPL):**
يقيّد النظام اتخاذ قرارات آلية كلياً تؤثر تأثيراً جوهرياً على الأفراد، كرفض الائتمان. ويحق للعميل:
- طلب مراجعة بشرية لأي قرار ائتماني آلي
- الحصول على تفسير مفهوم لمنطق القرار
- الاعتراض على النتائج التي يراها غير دقيقة
وهذا يتوافق مع متطلبات SAMA في إطار الخدمات المصرفية المفتوحة وحماية المستهلك التي تستوجب الشفافية في الإفصاح عن آليات اتخاذ القرار الخوارزمي.
**تحديد الغرض والاقتصار على البيانات الضرورية:**
لا يجوز معالجة إلا البيانات ذات الصلة المباشرة بالغرض المحدد. واستخدام بيانات سلوكية جُمعت لغرض آخر — كبيانات استخدام التطبيق — لتغذية نماذج الائتمان دون الحصول على موافقة جديدة، يُعدّ انتهاكاً محتملاً لـ PDPL.
**نقل البيانات خارج المملكة:**
إن كانت نماذج الذكاء الاصطناعي مستضافة خارج المملكة، تستلزم المادتان 29 و30 من PDPL الحصول على قرار كفاية معتمد من هيئة SDAIA أو توافر ضمانات تعاقدية ملائمة.
**خطوات عملية لشركات الفينتك:**
1. إجراء تقييم أثر حماية البيانات (DPIA) قبل نشر نماذج التسجيل الآلي
2. الاحتفاظ بسجل محدّث لأنشطة المعالجة (RoPA) يغطي جميع حالات استخدام الذكاء الاصطناعي
3. تعيين مسؤول حماية البيانات (DPO) عند المعالجة الواسعة النطاق أو عالية المخاطر
4. الإفصاح بوضوح عن استخدام البيانات والذكاء الاصطناعي ضمن سياسة الخصوصية
5. تطبيق ضوابط حوكمة النماذج للكشف عن التحيز ومعالجته
هل كانت الإجابة مفيدة؟
يمنح نظام حماية البيانات الشخصية (PDPL) الأفراد حقوقاً قانونية واضحة على بياناتهم، وتقع على عاتق المؤسسات المالية مسؤولية إنشاء آلية منظمة وموثقة للتعامل مع هذه الطلبات ضمن المواعيد النظامية المحددة. تخوّل المواد 4 و7–9 من النظام أصحاب البيانات حق الاطلاع عليها وتصحيحها وطلب حذفها في الحالات المناسبة والاعتراض على بعض أوجه معالجتها. لبناء عملية متوافقة، إليك الخطوات العملية: أولاً، خصّص قناة استقبال واضحة وآمنة لطلبات أصحاب البيانات سواء عبر بوابة إلكترونية أو بريد خاص أو نماذج ورقية، وأشر إليها صراحةً في سياسة الخصوصية؛ ثانياً، التزم بالمدد الزمنية المقررة وهي 30 يوماً قابلة للتمديد 30 يوماً إضافية مع إخطار صاحب الطلب؛ ثالثاً، طبّق إجراءات التحقق من هوية مقدم الطلب قبل تنفيذ أي إجراء تفادياً للإفصاح غير المشروع؛ رابعاً، احتفظ بسجل معالجة البيانات وخريطة الأنظمة لتمكين فريقك من استرجاع البيانات أو حذفها بكفاءة؛ خامساً، وثّق كل طلب بالتفاصيل الكاملة لضمان المساءلة واستعداداً للرقابة. تنبّه إلى أن بعض طلبات الحذف قد تتعارض مع متطلبات SAMA لحفظ السجلات، لذا وثّق مسوّغاتك القانونية عند رفض أي طلب. الهيئة الوطنية لحوكمة البيانات (NDMO/SDAIA) مخوّلة بمراجعة آلياتكم في أي وقت.
هل كانت الإجابة مفيدة؟
يفرض نظام حماية البيانات الشخصية (PDPL) الصادر عن هيئة البيانات والذكاء الاصطناعي (سدايا) التزامات صارمة على شركات التقنية المالية التي تتعامل مع البيانات المالية للعملاء، وقد تصل الغرامات على المخالفات إلى 5 ملايين ريال سعودي. إليك أبرز ما يجب على المسؤولين الأمنيين ومسؤولي الامتثال معالجته:
**1. الأساس القانوني للمعالجة:**
بموجب المادتين 5 و6 من PDPL، يجب على شركات التقنية المالية تحديد الأساس القانوني قبل أي معالجة للبيانات، سواء أكان ذلك ضرورة تعاقدية أم التزاماً نظامياً أم موافقة صريحة وقابلة للسحب.
**2. الحد الأدنى من البيانات وتقييد الغرض:**
يُحظر جمع البيانات التي تتجاوز الحاجة الفعلية للغرض المحدد، كما يُمنع إعادة استخدام البيانات لأغراض مختلفة دون الحصول على موافقة جديدة وفق المادة 7 من النظام.
**3. حماية البيانات المالية الحساسة:**
يُصنّف PDPL البيانات المالية ضمن البيانات الحساسة التي تستوجب حماية مشددة، تشمل التشفير القوي (AES-256 للبيانات المخزنة، وTLS 1.2+ للبيانات المنقولة)، وضوابط الوصول، وسجلات المراجعة الشاملة.
**4. حقوق أصحاب البيانات:**
يتعين توفير آليات تمكّن العملاء من الاطلاع على بياناتهم وتصحيحها وطلب حذفها، مع الاستجابة لطلباتهم خلال 30 يوماً.
**5. نقل البيانات عبر الحدود:**
يستلزم نقل بيانات العملاء خارج المملكة الحصول على موافقة سدايا أو التأكد من أن الدولة المستقبِلة توفر مستوى حماية ملائماً، وهو أمر بالغ الأهمية للشركات التي تستخدم منصات سحابة عالمية.
**6. الخصوصية بالتصميم:**
يجب إجراء تقييم أثر حماية البيانات (DPIA) قبل إطلاق أي منتج أو ميزة جديدة.
**نصيحة عملية:** ابدأ برسم خريطة تدفق البيانات من البداية إلى النهاية، وأنشئ سجل أنشطة المعالجة (RoPA)، واحرص على أن تتوافق إشعارات الخصوصية مع متطلبات الإفصاح المنصوص عليها في المادة 11 من النظام.
هل كانت الإجابة مفيدة؟
يُرسي نظام حماية البيانات الشخصية السعودي (PDPL)، الذي تُشرف على تطبيقه الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، نظام حماية مُشدَّداً للبيانات الشخصية الحساسة بموجب المادة الثانية. وتشمل هذه الفئة صراحةً: البيانات الجينية والبيومترية، والسجلات الصحية والطبية، والمعلومات المالية والائتمانية، والمعتقدات الدينية، والسجلات الجنائية، وأي بيانات تخص القاصرين.
بالنسبة للبنوك والشركات المالية التقنية والمؤسسات المالية السعودية التي تتعامل يومياً مع درجات الائتمان وسجلات المعاملات وبيانات المصادقة البيومترية ووثائق اعرف عميلك (KYC)، فإن معظم بياناتها الجوهرية تندرج ضمن هذا التصنيف الحساس.
ومن أبرز الالتزامات الإضافية التي يفرضها النظام على معالجة البيانات الحساسة:
**أولاً - الموافقة الصريحة (المادة 5):** تستوجب المعالجة الحصول على موافقة صريحة ومُستنيرة ومحددة الغرض، ولا يكفي الاكتفاء بموافقة ضمنية مدرجة في الشروط العامة.
**ثانياً - الحد الأدنى من البيانات وتقييد الغرض (المادة 9):** لا يجوز جمع إلا ما هو ضروري، ولا يجوز إعادة استخدام البيانات لأغراض أخرى دون الحصول على موافقة جديدة.
**ثالثاً - تقييمات أثر الخصوصية (المادة 14):** تستلزم أنشطة المعالجة عالية الخطورة إجراء تقييم رسمي لأثر حماية البيانات قبل البدء.
**رابعاً - الإخطار بالاختراقات (المادة 24):** يجب الإبلاغ عن أي اختراق يطال بيانات حساسة لسدايا والمتضررين في غضون 72 ساعة.
**خامساً - قيود النقل العابر للحدود (المادة 29):** يستوجب نقل البيانات الحساسة خارج المملكة الحصول على موافقة سدايا أو توفير ضمانات كافية.
قد تصل الغرامات على المخالفات إلى 5 ملايين ريال سعودي، وترتفع إلى 10 ملايين في الحالات المشددة. ويُعدّ التكامل مع المجال الثاني من إطار ساما ضرورةً لضمان توافق الضوابط التقنية مع الالتزامات القانونية للنظام.
هل كانت الإجابة مفيدة؟
vCISO والاستشارات 8
مسؤول أمن المعلومات الافتراضي (vCISO) هو مسؤول تنفيذي متمرس في الأمن السيبراني يقدم القيادة الاستراتيجية بصورة جزئية أو تعاقدية. تستفيد المؤسسات من vCISO عندما: تفتقر إلى CISO بدوام كامل، تحتاج خبرة الامتثال التنظيمي (SAMA/NCA)، تستعد لتدقيق أو شهادة، أو تريد بناء برنامج أمن سيبراني بتكلفة فعّالة دون راتب تنفيذي كامل.
هل كانت الإجابة مفيدة؟
تواجه شركات الفنتك السعودية — لا سيما تلك العاملة ضمن البيئة التجريبية لمؤسسة النقد أو الحاصلة على تراخيص المدفوعات — تحدياً حقيقياً في تحقيق الامتثال الكامل لمتطلبات SAMA CSF وNCA ECC دون توفر كفاءات أمنية متخصصة بشكل دائم. وهنا تبرز قيمة خدمة CISO الافتراضي (vCISO) بوصفها حلاً عملياً وقابلاً للتوسع.
**لماذا vCISO هو الخيار الأمثل للفنتك؟**
يتقاضى مديرو أمن المعلومات المتخصصون في الأسواق السعودية رواتب مرتفعة تتراوح بين 400 و700 ألف ريال سنوياً. في المقابل، يوفر vCISO نفس الخبرة بتكلفة أقل وبمرونة في نماذج التعاقد.
**المخرجات الجوهرية لمهمة vCISO الناجحة:**
**أولاً: تقييم الفجوات والخارطة التنفيذية:** إجراء تحليل شامل للفجوات وفق مجالات SAMA CSF الخمسة و29 مجالاً فرعياً لـ NCA ECC، مع تحديد أولويات المعالجة وإعداد خارطة طريق موجهة للإدارة العليا.
**ثانياً: بناء الإطار السياساتي:** صياغة المنظومة السياسية الكاملة المطلوبة وفق SAMA CSF 3.1 كسياسة أمن المعلومات وسياسات الاستخدام المقبول والاستجابة للحوادث والاستمرارية.
**ثالثاً: دعم التقييمات التنظيمية:** المساعدة في إعداد التقييمات الذاتية السنوية المطلوبة من SAMA وفهم منهجيتها التفتيشية بما يعزز موقف الشركة التنظيمي.
**رابعاً: إدارة المخاطر:** إنشاء سجل مخاطر سيبرانية مرتبط بـ ISO 27001 وNIST CSF يغذي إطار شهية المخاطر لدى الشركة.
**خامساً: الحوكمة المستمرة:** إدارة اجتماعات لجنة الأمن، وإعداد تقارير ربعية للمجلس، وتشغيل برامج التوعية الأمنية.
**معايير اختيار الشريك المناسب:** ابحث عن خبرة موثقة مع الجهات التنظيمية السعودية، وإلمام باللغتين العربية والإنجليزية، وامتلاك منصة GRC متكاملة لمركزة الأدلة والاستعداد للتدقيق.
هل كانت الإجابة مفيدة؟
يتطلب بناء برنامج توعية أمني فعّال ومتوافق مع المتطلبات التنظيمية في شركات الفينتك السعودية الاستناد إلى محور أمن الموارد البشرية (3.2) في إطار SAMA CSF والمادة 2-5 من ضوابط NCA ECC الخاصة بالتوعية والتدريب.
**خطوات التأسيس:**
**1. تقييم الاحتياجات:**
ابدأ بتحليل الفجوات التدريبية حسب الأدوار الوظيفية، وصنّف موظفيك إلى ثلاث فئات: الموظفون العامون، والفرق التقنية، ومجلس الإدارة والقيادة التنفيذية — لكل فئة محتوى وتكرار مختلفان.
**2. الموضوعات الإلزامية:**
يشترط إطار SAMA CSF تغطية: التصيد الاحتيالي والهندسة الاجتماعية، والتعامل الآمن مع البيانات المالية للعملاء وفق نظام PDPL، وأمن كلمات المرور، وأمن الأجهزة المحمولة، وإجراءات الإبلاغ عن الحوادث. كما تُضيف المادة 2-5 من NCA ECC متطلب التوعية بالتهديدات الإلكترونية ذات الطابع الجيوسياسي للموظفين في القطاعات الحيوية.
**3. التكرار والأساليب:**
- جميع الموظفين: تدريب أساسي سنوي ووحدات تعلّم قصيرة شهرية
- الفرق التقنية: جلسات تعمّق فصلية حول التهديدات الناشئة كأمن الـ API والإعدادات السحابية الخاطئة
- مجلس الإدارة: إحاطات نصف سنوية حول مخاطر الفضاء الإلكتروني
**4. محاكاة التصيد:**
نفّذ حملات تصيد محاكية بحد أدنى كل ربع سنة، وتتبع معدلات النقر والإبلاغ والتحسن عبر الزمن — يطلب مفتشو SAMA هذه البيانات كدليل على فاعلية البرنامج.
**5. التوثيق والمقاييس:**
احتفظ بسجلات إتمام التدريب لجميع الموظفين، وارفع تقارير دورية لمؤشرات الأداء إلى لجنة مخاطر مجلس الإدارة مرتين سنوياً على الأقل.
**6. التوطين اللغوي:**
قدّم المحتوى بالعربية والإنجليزية معاً لضمان الاستيعاب الكامل لدى فرق العمل المتنوعة — وهو أمر جوهري في بيئات الفينتك السعودية.
هل كانت الإجابة مفيدة؟
يستغرق تقييم الفجوات لإطار SAMA CSF عادةً من 4 إلى 8 أسابيع حسب حجم المؤسسة وتعقيدها. تتضمن العملية مراجعة الوثائق، ومقابلات مع أصحاب المصلحة الرئيسيين، واختبار الضوابط التقنية، وجمع الأدلة، والتقييم مقابل 251 ضابطاً فرعياً، وتسليم خارطة طريق للمعالجة بنتائج مرتبة حسب الأولوية.
هل كانت الإجابة مفيدة؟
يجب أن يقدم تقييم الأمن السيبراني الشامل: (1) ملخصاً تنفيذياً للمجلس/الإدارة؛ (2) تقرير تفصيلي لتحليل الفجوات؛ (3) درجة النضج الحالية لكل نطاق؛ (4) خارطة طريق للمعالجة بترتيب المخاطر؛ (5) مصفوفة أدلة الضوابط؛ (6) خريطة حرارية للامتثال؛ (7) الإصلاحات السريعة مقابل التوصيات بعيدة المدى؛ (8) نسبة الامتثال لكل إطار تنظيمي.
هل كانت الإجابة مفيدة؟
المدير التنفيذي الافتراضي للأمن السيبراني (vCISO) هو خبير أمني استراتيجي يُستعان به بصفة جزئية أو مؤقتة أو لمشاريع بعينها، لتقديم قيادة أمنية رفيعة المستوى دون التكلفة الكاملة لتعيين مدير متفرغ. وبالنسبة للمؤسسات المالية السعودية — ولا سيما شركات الفنتك الناشئة ومزودي خدمات الدفع والبنوك المتوسطة — يُمثّل vCISO خياراً عملياً يُسرّع النضج الأمني والامتثال التنظيمي.
**متى يكون vCISO الخيار الأنسب؟**
1. **شركات الفنتك في مراحلها الأولى:** الشركات الساعية للحصول على ترخيص SAMA أو الامتثال لمتطلبات Open Banking تحتاج إلى بناء برنامج أمني متكامل بسرعة؛ وهنا يُقدّم vCISO قيمة فورية قابلة للقياس.
2. **تسريع الامتثال:** المؤسسات التي تواجه مواعيد تدقيق ضيقة لـ SAMA CSF أو NCA ECC أو ISO 27001 تستفيد من خبرة vCISO الذي نفّذ هذه البرامج مراراً.
3. **اعتبارات التكلفة:** يتقاضى المدير التنفيذي المتفرغ للأمن السيبراني في السوق السعودية رواتب مرتفعة، في حين يوفر vCISO قيمة استراتيجية مماثلة بتكلفة أقل بنسبة 30 إلى 60 بالمئة، مما يجعله خياراً جذاباً للمؤسسات ذات الموارد المحدودة.
4. **تغطية المرحلة الانتقالية:** عند شغور منصب CISO أو خلال فترة البحث عن كفاءة متفرغة، يضمن vCISO استمرارية الحوكمة والعلاقات التنظيمية.
5. **خبرة متخصصة:** حين تحتاج المؤسسة إلى خبرة في تطبيق PDPL، أو ضوابط SWIFT CSCF، أو تقديم تقارير مجلس الإدارة الأمنية، يمكن الاستعانة بـ vCISO يتمتع بهذه التخصصات تحديداً.
**ما الذي يُقدّمه vCISO؟**
يتولى vCISO المؤهَّل قيادة الاستراتيجية الأمنية، وإدارة برنامج GRC، والتواصل مع الجهات التنظيمية كـ SAMA وNCA وSDAIA، والإشراف على الاستجابة للحوادث، وتقديم التقارير لمجلس الإدارة. وتحكم هذه العلاقة عقود صارمة تكفل السرية وتمنع تعارض المصالح.
وبالنسبة للمؤسسات في مرحلة النمو، يُعدّ vCISO جسراً مثالياً يبني القدرات الداخلية ريثما تكون المؤسسة مستعدة لتعيين مدير متفرغ.
هل كانت الإجابة مفيدة؟
الرئيس التنفيذي للأمن السيبراني الافتراضي (vCISO) هو خبير أمني رفيع يُستعان به بصفة جزئية أو تعاقدية لتقديم القيادة الاستراتيجية والإشراف على الحوكمة وإدارة برامج الامتثال، وذلك دون الارتباط بتكاليف التوظيف الدائم. ويُمثّل هذا النموذج خياراً مثالياً للمؤسسات المالية السعودية الساعية إلى تسريع مسيرتها التنظيمية.
**لماذا يناسب هذا النموذج البنوك والشركات السعودية الناشئة؟**
تواجه كثير من البنوك المتوسطة وشركات التقنية المالية في المملكة تحدياً مزدوجاً: ضغوطاً تنظيمية متصاعدة من متطلبات إطار ساما وهيئة الاتصالات الوطنية، في مقابل شُح الكفاءات الأمنية المتخصصة. ويسدّ الرئيس التنفيذي الافتراضي هذه الفجوة بتقديم خبرة جاهزة للانتشار الفوري.
**أبرز مساهمات الرئيس التنفيذي الافتراضي في برامج الامتثال:**
1. **تقييم نضج إطار ساما:** إجراء تحليل فجوات سريع عبر محاور ساما (الحوكمة، المخاطر، العمليات، الأطراف الخارجية) لتحديد المستوى الحالي وبناء خارطة طريق تصحيحية مرتّبة بحسب الأولويات.
2. **قيادة برنامج NCA ECC:** الإشراف على تصميم وتنفيذ الضوابط الـ29 الرئيسية والـ114 ضابطاً فرعياً، والتجهيز لتقييمات الهيئة.
3. **التقارير المقدمة للمجلس والإدارة التنفيذية:** يُلزم المجال الأول من إطار ساما (القيادة السيبرانية) برفع تقارير للإدارة العليا؛ ويُقدّم الرئيس التنفيذي الافتراضي تقارير مُعدّة للمجلس تُترجم النتائج التقنية إلى لغة الأثر التجاري.
4. **بناء السياسات والأطر:** إعداد حزمة السياسات الإلزامية بموجب إطار ساما (سياسة الأمن السيبراني، الاستخدام المقبول، استمرارية الأعمال، الاستجابة للحوادث).
5. **التواصل مع الجهات التنظيمية:** يمتلك الرئيس التنفيذي الافتراضي ذو الخبرة معرفة عميقة بآليات فحص ساما والهيئة، مما يُمكّنه من دعم المؤسسة خلال التقييمات الرقابية.
**الكفاءة التكلفية:** تُقدَّر تكلفة الاستعانة بهذا النموذج بأقل بنسبة 30 إلى 60 بالمئة مقارنةً بتوظيف مدير تنفيذي دائم في السوق السعودي، مع إتاحة الوصول إلى خبرة أشمل تغطي إطار ISO 27001 وNIST CSF ونظام PDPL.
**توصية عملية:** هيكل تعاقدك مع الرئيس التنفيذي الافتراضي وفق معالم ربع سنوية واضحة مرتبطة بتحسينات مستوى نضج إطار ساما، لضمان تقدم ملموس نحو الدرجة المستهدفة.
هل كانت الإجابة مفيدة؟
الـ vCISO أو المدير التنفيذي للأمن السيبراني الافتراضي هو خبير متمرس يُستعان به على أساس جزئي أو خارجي لتولي القيادة الاستراتيجية للأمن السيبراني، دون الحاجة إلى توظيف دوام كامل. بالنسبة للشركات التقنية المالية السعودية الناشئة — التي تواجه في الغالب قيودًا على الموارد رغم خضوعها لنفس الالتزامات التنظيمية للبنوك الكبرى — يمثل الـ vCISO نموذجًا عمليًا وفعّالًا لحوكمة الأمن السيبراني والامتثال.
**كيف يُضيف الـ vCISO قيمة للشركات المالية الناشئة:**
**1. وضع خارطة طريق تنظيمية:** يُقيّم الـ vCISO المُلمّ بالبيئة التنظيمية السعودية وضعك الأمني الحالي مقارنةً بالنطاقات الخمسة لـ SAMA CSF وضوابط NCA ECC، ويضع خارطة طريق امتثالية مُحكمة ومُرتّبة حسب الأولوية.
**2. منظومة السياسات والوثائق:** يشترط SAMA CSF توثيق سياسات تشمل على الأقل: أمن المعلومات، والتحكم في الوصول، والاستجابة للحوادث، واستمرارية الأعمال. يتولى الـ vCISO صياغة هذه الوثائق وإدارتها بحيث تعكس الواقع التشغيلي الفعلي لا النماذج الجاهزة.
**3. التواصل مع ساما:** الـ vCISO ذو الخبرة مع ساما قادر على الإعداد لتقييمات الرقابة على مخاطر الأمن السيبراني، والتنسيق في جمع الأدلة، وتمثيل وضعك الأمني أمام الجهات التنظيمية والمدققين.
**4. تشغيل البرنامج الأمني:** لا يقتصر دوره على الامتثال الشكلي، بل يُرسّخ الضوابط فعليًا — من إطلاق عمليات إدارة الثغرات إلى الإشراف على اختبارات الاختراق وفق ضابط SAMA CSF 3.3.8 واختيار الأدوات الأمنية الملائمة.
**5. التقارير الاستراتيجية للمجلس والإدارة العليا:** ترجمة المخاطر التقنية إلى لغة أعمال مفهومة للإدارة العليا هي من صميم مهام الـ vCISO، وهو ما يستوفي متطلبات حوكمة الأمن السيبراني ضمن نطاق 3.1 من SAMA CSF.
**مقارنة التكلفة:** يستلزم توظيف CISO штатных في السعودية ما بين 400,000 و800,000 ريال أو أكثر سنويًا، في حين تُكلّف خدمات vCISO ما بين 20% و40% من ذلك، مما يجعلها الخيار المنطقي للشركات الناشئة سواء قبل الحصول على ترخيص ساما أو بعده.
احرص على اختيار خبراء vCISO يحملون شهادات CISSP أو CISM أو ما يعادلها، ولديهم خبرة مباشرة مع ساما والهيئة الوطنية للأمن السيبراني.
هل كانت الإجابة مفيدة؟
اختبار الاختراق 75
نعم. يتطلب كل من إطار SAMA CSF وضوابط NCA ECC إجراء اختبارات اختراق دورية. يتطلب ساما اختبار اختراق سنوي على الأقل للأنظمة والتطبيقات والبنية التحتية الحيوية. تفرض NCA ECC بالمثل تقييمات الثغرات واختبارات الاختراق بشكل منتظم. يجب توثيق النتائج وتتبع المعالجة.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA للأمن السيبراني (بموجب الضابط 3.3.6 المتعلق بتقييم الثغرات واختبار الاختراق) جميع البنوك والمؤسسات المالية السعودية بإجراء اختبارات اختراق منتظمة ضمن برنامج متكامل لإدارة الثغرات. وفيما يلي أبرز المتطلبات:
**الدورية الزمنية:**
- اختبار الاختراق الخارجي: مرة واحدة على الأقل سنوياً، أو عقب أي تغيير جوهري في البنية التحتية
- اختبار الشبكة الداخلية: مرة واحدة في السنة كحد أدنى
- اختبار التطبيقات والخدمات المصرفية الإلكترونية: سنوياً أو بعد كل إصدار رئيسي
**نطاق الاختبار:**
- يجب أن يشمل الاختبار الأنظمة الحيوية كأنظمة الحسابات الأساسية وبنية الدفع والتطبيقات المتاحة للعموم
- ينبغي تضمين محاكاة التصيد الاحتيالي والهندسة الاجتماعية للحصول على صورة شاملة
- يُوصى بتمارين الفريق الأحمر للمؤسسات ذات النضج الأمني المتقدم
**المنهجية والتوثيق:**
- يجب اتباع منهجية معترف بها مثل PTES أو OWASP أو NIST SP 800-115
- توثيق جميع النتائج وتصنيفها وفق مستوى المخاطر ومتابعة معالجتها حتى الإغلاق
- تتوقع هيئة SAMA وجود أدلة على جداول المعالجة وموافقة الإدارة العليا
**الجهات المنفذة:**
- يُفضَّل الاستعانة بمختبرين مستقلين من جهات خارجية معتمدة لضمان الحيادية
- يجب أن يحمل المختبرون شهادات معترفاً بها مثل OSCP أو CREST أو CEH
**نصيحة عملية:** اربط جدول اختبارات الاختراق بدورة التقييم الذاتي السنوية لإطار SAMA بحيث تُغذّي النتائج مباشرةً تقارير الامتثال، واحتفظ بسجل ثغرات محدّث لعرضه في تقارير مجلس الإدارة.
هل كانت الإجابة مفيدة؟
بموجب إطار SAMA للأمن السيبراني، تحديداً في نطاق التحكم 3.3 المتعلق بإدارة مخاطر الأمن السيبراني، يُلزَم كل بنك ومؤسسة مالية سعودية بإجراء اختبارات اختراق دورية ومنتظمة. والحد الأدنى المقبول هو اختبار اختراق خارجي سنوي، مع اختبار داخلي بالتوازي. لكن المؤسسات الكبرى (Tier 1) يُتوقع منها إجراء الاختبارات مرتين سنوياً على الأقل، وبعد كل تغيير جوهري في البنية التحتية.
أبرز المتطلبات:
**النطاق:** يجب أن تشمل الاختبارات الأنظمة المكشوفة للإنترنت، والشبكات الداخلية، وتطبيقات الخدمات المصرفية (وِب وموبايل)، وواجهات برمجة التطبيقات (APIs)، إضافةً إلى بيئات الحوسبة السحابية.
**المنهجية:** يُفضّل الاعتماد على منهجيات معترف بها كـ OWASP وPTES وNIST SP 800-115، مع التأكيد على الجمع بين الفحص الآلي والاستغلال اليدوي.
**المختبرون:** يجب أن تُنفَّذ الاختبارات من قِبل شركات متخصصة مستقلة، يحمل منسوبوها شهادات معتمدة مثل OSCP أو CREST.
**متابعة المعالجة:** يُصنَّف كل نتيجة حسب درجة خطورتها، وتُعالَج ضمن جداول زمنية محددة (الثغرات الحرجة خلال 15-30 يوماً)، ثم يُعاد اختبارها للتحقق من الإغلاق الفعلي.
**الربط بـ NCA ECC:** تعزز المادة 2-7 من إطار NCA ECC هذا الالتزام، وتُوجبه على المؤسسات التي تُعدّ جزءاً من البنية التحتية الحيوية للمملكة.
نصيحة عملية: احرص على توثيق جميع اختبارات الاختراق في منصة GRC الخاصة بك، بما يشمل النطاق والنتائج وحالة المعالجة والاعتمادات الرسمية، لتكون جاهزاً للفحوصات الرقابية من SAMA.
هل كانت الإجابة مفيدة؟
اختبار الاختراق ليس خياراً في البيئة التنظيمية السعودية، بل هو متطلب إلزامي صريح بموجب إطار SAMA CSF (المجال الرابع - العمليات الأمنية، الضابط 4.3) ومعيار NCA ECC (المادة 3-14).
**التكرار والنطاق:** يشترط SAMA CSF إجراء اختبارات الاختراق مرة واحدة على الأقل سنوياً، وكذلك عند إجراء أي تغيير جوهري على البنية التحتية. يجب أن تشمل الاختبارات الأنظمة المكشوفة للإنترنت، والشبكات الداخلية، والتطبيقات الحساسة، وأنظمة المدفوعات. ويمتد نطاق NCA ECC ليشمل البيئات التشغيلية (OT/ICS) عند الاقتضاء.
**المنهجية:** ينبغي أن تستند الاختبارات إلى أطر عمل معتمدة مثل PTES وOWASP واختبار TIBER المُكيَّف للسياق السعودي، مع توثيق كامل لجميع مراحل الاختبار.
**الحوكمة والتفويض:** يجب إعداد وثيقة "قواعد الاشتباك" (RoE) وتوقيعها قبل بدء الاختبار، وأن تكون نتائج الاختبارات مرئية على مستوى مجلس الإدارة وفق متطلبات SAMA.
**متطلبات الجهات المنفِّذة:** يجب أن تستوفي شركات الاختبار الخارجية معايير ضمان الطرف الثالث المحددة في SAMA CSF، وأن يحمل المختبرون شهادات معتمدة كـ CREST أو OSCP أو ما يعادلها.
**متابعة المعالجة:** يجب تصنيف النتائج وفق مستويات المخاطر ومتابعة معالجتها ضمن خطة رسمية محددة المواعيد، مع إعادة اختبار الثغرات الحرجة خلال 30 يوماً.
تدعم منصتنا فرق الأمن في إدارة دورة حياة اختبار الاختراق بالكامل، من اختيار الجهة المنفِّذة حتى متابعة المعالجة وفق متطلبات SAMA وNCA.
هل كانت الإجابة مفيدة؟
يُلزم إطار الأمن السيبراني لمؤسسة النقد العربي السعودي (SAMA CSF) البنوكَ السعودية بإجراء اختبارات اختراق دورية ومنهجية ضمن برنامج ضمان الأمن السيبراني، وذلك وفق المتطلبات التالية:
**الدورية:** يجب إجراء اختبارات الاختراق الخارجية مرة على الأقل سنوياً، فيما يُوصى بإجرائها كل ستة أشهر للأنظمة الحرجة والبنية التحتية المكشوفة على الإنترنت، أو عقب أي تغييرات جوهرية.
**النطاق:** يشمل الاختبار البنية التحتية للشبكة، وتطبيقات الويب، ومنصات البنك الإلكتروني، وواجهات برمجة التطبيقات (APIs)، إضافةً إلى تقييمات الهندسة الاجتماعية والأمن المادي.
**المنهجية:** تشترط SAMA اتباع منهجيات معترف بها دولياً مثل OWASP وPTES وNIST SP 800-115، مع تصنيف جميع النتائج وفق مستوى المخاطر وتتبعها ضمن خطط معالجة رسمية.
**المختبرون:** يُوصى بالاستعانة بمختبرين مستقلين مؤهلين يحملون شهادات معتمدة كـ OSCP أو CREST أو CEH.
**التقارير والمعالجة:** يجب معالجة الثغرات الحرجة خلال 30 يوماً كحد أقصى، مع رفع النتائج إلى كبير مسؤولي أمن المعلومات (CISO) ولجنة المخاطر في مجلس الإدارة.
**الإبلاغ التنظيمي:** قد تستوجب الثغرات الكبيرة المكتشفة إبلاغ الجهات التنظيمية، لا سيما إذا تأثرت بيانات العملاء، مما قد يتداخل مع متطلبات الإشعار بالاختراق وفق نظام حماية البيانات الشخصية (PDPL).
يُنصح بالاحتفاظ بسجل موحد لاختبارات الاختراق وربط نتائجها بسجل المخاطر المؤسسي لإثبات الامتثال المستمر خلال الفحوصات الرقابية لـ SAMA.
هل كانت الإجابة مفيدة؟
يُعدّ اختبار الاختراق ركيزةً أساسية في برامج ضمان الأمن السيبراني للمؤسسات المالية السعودية. فبموجب متطلب SAMA CSF رقم 3.3.5، يتعين على المؤسسات إجراء اختبارات اختراق دورية تشمل البنية التحتية للشبكات والتطبيقات والأنظمة الحيوية، وذلك مرةً على الأقل سنويًا أو عقب أي تغيير جوهري في البيئة التقنية. كما يُلزم المعيار ECC-2-14 الصادر عن هيئة الأمن السيبراني (NCA) بإجراء تمارين القرصنة الأخلاقية للتحقق من فاعلية الضوابط المطبّقة.
أبرز المتطلبات:
**تحديد النطاق:** يجب أن يشمل الاختبار المحيط الخارجي، وشرائح الشبكة الداخلية، وتطبيقات الخدمات المصرفية الإلكترونية والجوالة، والواجهات البرمجية (APIs)، وبنية SWIFT حيثما انطبق ذلك.
**الكفاءة المهنية:** يُوصى بأن ينفّذ الاختبارات متخصصون معتمدون بشهادات مثل OSCP أو CEH أو GPEN، مع توثيق نطاق العمل وقواعد التشغيل قبل البدء.
**المنهجية:** يُستحسن اتباع منهجيات معتمدة كـ PTES أو دليل اختبار OWASP، مع تضمين محاكاة الهندسة الاجتماعية والتصيد الاحتيالي لاختبار الوعي البشري.
**التقارير والمعالجة:** تُصنَّف النتائج وفق درجة المخاطر وتُرفع إلى الإدارة العليا، مع الالتزام بمعالجة الثغرات الحرجة والعالية ضمن الإطار الزمني المحدد.
**تمارين الفريق الأحمر:** يُنصح البنوك من الفئة الأولى بإجراء تمارين Red Team شاملة تحاكي التهديدات المتقدمة المستمرة (APT) كل عامين على الأقل.
ينبغي الاحتفاظ بجميع تقارير الاختبار وسجلات المعالجة لأغراض الرقابة التنظيمية، مع ربط النتائج بسجل المخاطر في منصة GRC لضمان التتبع الكامل.
هل كانت الإجابة مفيدة؟
بموجب إطار الأمن السيبراني لساما (SAMA CSF)، ولا سيما الضوابط المتعلقة بإدارة الثغرات (3.3.5) واختبار الاختراق (3.3.6)، يُلزَم كل بنك ومؤسسة مالية سعودية بإجراء اختبارات اختراق دورية ومنهجية، بحد أدنى مرة سنوياً، مع إجراء اختبارات إضافية عند أي تغيير جوهري في البنية التحتية أو إطلاق منتج جديد أو ترقية حساسة للأنظمة.
أبرز المتطلبات العملية:
**النطاق:** يجب أن يشمل الاختبار الأصول المواجهة للإنترنت، والشبكات الداخلية، وتطبيقات الويب والجوال، وواجهات API، والأنظمة الحيوية كالبنية المصرفية الأساسية وأنظمة الدفع.
**المنهجية:** يُستحسن اتباع منهجيات معترف بها مثل OWASP وPTES، مع تضمين سيناريوهات الصندوق الأسود والرمادي.
**الكفاءة المهنية:** تشترط ساما أن يُنفَّذ الاختبار من قِبل جهة خارجية مؤهلة أو فريق داخلي مستقل، ويُفضَّل أن يحمل المختبرون شهادات معتمدة كـ OSCP أو CREST.
**التقارير والمعالجة:** يجب توثيق النتائج مع تصنيف الخطورة وفق معيار CVSS، وتحديد السبب الجذري، ووضع خطة معالجة خاضعة للمتابعة. الثغرات الحرجة تستوجب المعالجة خلال 30 إلى 90 يوماً.
**حفظ الأدلة:** تُحتفظ بالتقارير وأدلة المعالجة لتقديمها عند الفحص الرقابي.
من الناحية التطبيقية، يُنصح بربط نتائج اختبارات الاختراق بسجل المخاطر المؤسسي، وتتبع حالة المعالجة بصورة مستمرة، وإعداد حزم أدلة جاهزة للمدققين.
هل كانت الإجابة مفيدة؟
تُعدّ اختبارات الاختراق من المتطلبات الجوهرية التي تفرضها كلٌّ من هيئة ساما ومعايير NCA ECC على المؤسسات المالية العاملة في المملكة. فبموجب الضابط 3.3.6 من إطار SAMA CSF، يتعين على المؤسسات إجراء هذه الاختبارات مرةً على الأقل سنوياً، وكلما طرأت تغييرات جوهرية على البنية التحتية. ويُكمل ذلك المادة 3-7 من معايير NCA ECC التي تشترط إجراء تقييمات للثغرات واختبارات الاختراق الأخلاقي على الأنظمة الحيوية.
**أبرز المتطلبات العملية:**
- **النطاق والمنهجية:** يجب أن تشمل الاختبارات الشبكات الخارجية والداخلية وتطبيقات الويب وواجهات API وتطبيقات الخدمات المصرفية عبر الجوال، وفق منهجيات معتمدة كـ OWASP وPTES.
- **الكفاءات المطلوبة:** ينبغي أن ينفّذ الاختبارات متخصصون معتمدون (OSCP أو CEH) من جهات خارجية مستقلة ذات خبرة في القطاع المالي.
- **المعالجة والإبلاغ:** تُعالَج الثغرات الحرجة والعالية خلال 30 يوماً كحد أقصى، وترفع نتائج الاختبارات إلى لجنة الأمن السيبراني على مستوى مجلس الإدارة.
- **اختبارات الفرق الحمراء:** تتوقع ساما من البنوك الكبرى إجراء اختبارات اختراق مبنية على التهديدات الحقيقية (TLPT)، مستوحاةً من إطار TIBER-EU لمحاكاة هجمات التهديدات المتقدمة.
- **إعادة الاختبار:** يُعدّ إعادة الاختبار بعد المعالجة إلزامياً للتحقق من إغلاق الثغرات فعلياً.
**نصيحة عملية:** احرص على الاحتفاظ بسجل اختبارات اختراق موثّق يتضمن النطاق والنتائج وحالة المعالجة ونتائج إعادة الاختبار، إذ يُشكّل هذا السجل دليلاً محورياً خلال الفحوصات الرقابية لدى ساما وNCA.
هل كانت الإجابة مفيدة؟
بموجب إطار SAMA CSF، تحديداً في مجال متطلبات العمليات الأمنية (3.3)، يتعين على البنوك والمؤسسات المالية السعودية إجراء اختبارات اختراق دورية ومنتظمة ضمن برامج إدارة الثغرات وتقييم التهديدات. وفيما يلي أبرز ما يجب معرفته:
**دورية الاختبارات:**
- اختبارات الاختراق الخارجية: مرة واحدة على الأقل سنوياً، أو عقب أي تغيير جوهري في البنية التحتية
- اختبارات الشبكة الداخلية: مرة واحدة سنوياً على الأقل
- اختبارات التطبيقات (الويب، الجوال، واجهات API): قبل الإصدارات الكبرى وبصفة دورية سنوية
- تمارين الفريق الأحمر: يُنصح بإجرائها كل 18 إلى 24 شهراً للمؤسسات من الفئة الأولى
**نطاق الاختبارات:**
يجب أن تشمل الاختبارات الأنظمة المكشوفة على الإنترنت، ومنصات الصيرفة الأساسية، والبنية التحتية للمدفوعات، وبيئات SWIFT. ووفقاً للضابط 3.3.5 من SAMA CSF، يجب معالجة الثغرات المكتشفة ضمن فترات زمنية محددة: 15 يوماً للثغرات الحرجة، و30 يوماً للعالية، و90 يوماً للمتوسطة.
**كفاءة المختبرين:**
تشترط SAMA أن يتمتع المختبرون بالكفاءة والاستقلالية. ويمكن للفرق الداخلية إجراء التقييمات الروتينية، غير أن الاختبارات السنوية الرسمية تستلزم جهات خارجية مستقلة، ويُفضل أن يحملوا شهادات معتمدة كـ OSCP أو CEH أو CREST.
**التقارير والحوكمة:**
يجب توثيق نتائج الاختبارات رسمياً ومراجعتها من قِبل CISO، ورفعها إلى لجنة المخاطر في مجلس الإدارة عند وجود نتائج جوهرية، مع إجراء اختبارات إعادة للتحقق من فاعلية المعالجة.
**التوافق مع NCA ECC:**
تُلزم المادة 2-12 من NCA ECC أيضاً بإجراء تقييمات تقنية للثغرات، مما يعني أن برنامجاً موحداً لاختبار الاختراق يمكنه استيفاء متطلبات الإطارين في آنٍ واحد، مما يُقلل من الأعباء التشغيلية للامتثال.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF تحت ضابط 3.3.7 الخاص بإدارة الثغرات، البنوكَ والمؤسساتِ المالية السعودية بإجراء اختبارات اختراق دورية ضمن برنامج شامل لإدارة الثغرات. والحد الأدنى المطلوب هو اختبار اختراق خارجي سنوي، مع توصية بإجراء تقييمات داخلية كل ستة أشهر. أما الأنظمة الحساسة المكشوفة على الإنترنت وأنظمة الخدمات المصرفية الأساسية، فتستلزم اختبارات أكثر تكراراً.
**أبرز المتطلبات:**
**النطاق**: يجب أن تشمل الاختبارات الحدود الخارجية، الشبكات الداخلية، تطبيقات الويب والجوال، واجهات برمجة التطبيقات (APIs)، وأجهزة الصراف الآلي، ومنظومات الدفع.
**المنهجية**: يُفضَّل اتباع أُطر معتمدة مثل PTES وOWASP WSTG أو TIBER-SA الذي يعتمد على استخبارات التهديدات.
**مؤهلات المختبِر**: يجب أن يحمل المختبرون شهادات معترفاً بها كـ OSCP أو CREST أو CEH، ويُستحسن أن يكونوا معتمدين من هيئة الاتصالات وتقنية المعلومات أو جهات يقبلها SAMA. ولا يُنصح بإجراء التقييمات الخارجية بفريق داخلي حفاظاً على الحيادية.
**التقارير والمعالجة**: يجب معالجة الثغرات الحرجة والعالية الخطورة خلال 30 يوماً، مع الاحتفاظ بسجل متابعة رسمي يراجعه الرئيس التنفيذي للأمن المعلوماتي (CISO).
**الإفصاح للمجلس**: تُرفع النتائج إلى لجنة المخاطر على مستوى مجلس الإدارة وفق ضابط الحوكمة 3.1.4 في SAMA CSF.
فضلاً عن ذلك، تشترط المادة 2-5 من الضوابط الأساسية للأمن السيبراني (NCA ECC) إجراء تقييمات للثغرات وتمارين الفريق الأحمر للجهات ذات الأهمية الوطنية. ودمج متطلبات الإطارين في جدول اختبار موحد يقلل التكرار ويُظهر نضجاً حقيقياً في الحوكمة الأمنية أمام الجهات التنظيمية.
هل كانت الإجابة مفيدة؟
تُعدّ اختبارات الاختراق ركيزةً أساسية في برامج ضمان الأمن السيبراني للمؤسسات المالية في المملكة العربية السعودية. فبموجب الضابط 3.3.5 من إطار SAMA CSF، يُلزَم الأعضاء بإجراء اختبارات اختراق دورية مرةً على الأقل سنوياً، وكذلك عقب أي تغييرات جوهرية على البنية التحتية أو التطبيقات. وفي السياق ذاته، تشترط المادة 2-7 من معايير ECC الصادرة عن هيئة الأمن السيبراني إجراء تقييمات للثغرات واختبارات الاختراق ضمن منظومة التقييم الأمني التقني المستمر.
**أبرز المتطلبات:**
**تحديد النطاق:** يجب أن تشمل الاختبارات الأنظمة المكشوفة للإنترنت، والشبكات الداخلية، والتطبيقات الحيوية كتطبيقات الخدمات المصرفية والمدفوعات، فضلاً عن واجهات برمجة التطبيقات (APIs).
**كفاءة المختبِرين:** ينبغي أن تُنفَّذ الاختبارات من قِبل متخصصين معتمدين (مثل OSCP وCREST وCEH)، أو شركات أمن متخصصة موثوقة، مع التحقق من مؤهلاتهم مسبقاً وفق متطلبات ساما.
**المنهجية:** يُوصى باتباع أطر معترف بها كـ PTES وOWASP، مع توثيق النتائج وفق معيار CVSS وإرفاق أدلة إثبات المفهوم وخطط المعالجة.
**متابعة المعالجة:** تستلزم الثغرات الحرجة والعالية المعالجةَ ضمن مهل زمنية محددة، لا تتجاوز 30 يوماً للثغرات الحرجة، مع الاحتفاظ بالأدلة لأغراض المراجعة.
**الإفصاح للإدارة العليا:** تُرفع ملخصات النتائج إلى مسؤول أمن المعلومات (CISO) ولجان المخاطر على مستوى مجلس الإدارة.
**إعادة الاختبار:** يجب التحقق رسمياً من فاعلية معالجة الثغرات قبل إغلاق ملف الاختبار.
كما يُنصح بالنظر في تبني إطار TLPT المتوائم مع مبادرة TIBER-SA للمؤسسات المتقدمة، والحرص على الاحتفاظ بسجل شامل لاختبارات الاختراق يتضمن النطاق والنتائج وحالة المعالجة، إذ يُعدّ ذلك من أبرز ما تفحصه جهات الرقابة خلال عمليات التفتيش.
هل كانت الإجابة مفيدة؟
تخضع اختبارات الاختراق في شركات الفنتك السعودية لمتطلبات مزدوجة؛ الضابط 3.4.5 من SAMA CSF الخاص بإدارة الثغرات واختبارات الاختراق، والضابط 2-8 من NCA ECC المتعلق بإدارة الثغرات التقنية. وفيما يلي المنهجية العملية المتوافقة مع هذه المتطلبات: أولاً من حيث التكرار، يشترط SAMA CSF إجراء اختبارات اختراق خارجية مرة سنوياً على الأقل وبعد أي تغييرات جوهرية في البنية التحتية، فيما يُنصح بإجراء اختبارات داخلية كل ستة أشهر. ثانياً من حيث النطاق، يجب أن يشمل الاختبار التطبيقات المكشوفة للإنترنت وواجهات API وتطبيقات الجوال والشبكات الداخلية وسيناريوهات الهندسة الاجتماعية. ثالثاً من حيث الكفاءة، تشترط SAMA أن ينفذ الاختبار مختصون مستقلون يحملون شهادات معتمدة كـ OSCP أو CEH أو GPEN، مع إلمام بالمتطلبات التنظيمية السعودية. رابعاً من حيث التقارير، يجب أن تتضمن ملخصاً تنفيذياً وتصنيف الثغرات وفق معيار CVSS وأدلة موثقة وخطة معالجة بمواعيد محددة. خامساً من حيث المعالجة، تستوجب متطلبات SAMA CSF معالجة الثغرات الحرجة والعالية خلال 30 يوماً مع توثيق الإغلاق. وأخيراً، يُستحسن الاحتفاظ بسجل تاريخي لنتائج الاختبارات لإثبات نضج البرنامج أمام الجهات الرقابية.
هل كانت الإجابة مفيدة؟
بموجب ضابط 3.3.5 من إطار SAMA CSF الخاص بتقييم الثغرات واختبار الاختراق، تُلزَم البنوك والمؤسسات المالية السعودية بإجراء اختبارات اختراق منهجية ضمن برنامج ضمان الأمن السيبراني الشامل. وفيما يلي أبرز المتطلبات والتوجيهات العملية:
**دورية الاختبارات:**
- اختبارات الاختراق الخارجية: مرة واحدة على الأقل سنوياً، وبعد أي تغيير جوهري في البنية التحتية أو التطبيقات
- اختبارات الاختراق الداخلية: مرة واحدة سنوياً على الأقل
- تمارين الفريق الأحمر (Red Team): يُوصى بها كل 18 إلى 24 شهراً للمؤسسات ذات البرامج الأمنية الناضجة
**نطاق الاختبارات:**
يجب أن تشمل الاختبارات الأنظمة المكشوفة على الإنترنت، وتطبيقات الخدمات المصرفية الأساسية، وبيئات SWIFT، وتطبيقات الخدمات المصرفية عبر الهاتف المحمول، والشبكات الداخلية. كما يُعدّ اختبار أمان واجهات برمجة التطبيقات (API) أمراً بالغ الأهمية للشركات المالية التقنية.
**مؤهلات مزودي الخدمة:**
تشترط هيئة ساما أن تُجرى الاختبارات من قِبَل جهات خارجية مؤهلة تحمل شهادات معترفاً بها مثل OSCP أو CREST أو CEH، أو من خلال فريق داخلي مستقل بما يكفي. ولا يُقبل التقييم الذاتي دون تحقق مستقل.
**التوثيق والمعالجة:**
يجب توثيق النتائج رسمياً وتصنيفها حسب درجة الخطورة (حرجة/عالية/متوسطة/منخفضة)، مع معالجة الثغرات الحرجة في غضون 15 إلى 30 يوماً. ويجب الاحتفاظ بأدلة المعالجة لأغراض التدقيق.
**التوافق مع NCA ECC:**
تعزز المادة 2-10 من ضوابط NCA ECC الخاصة باختبار الأمن السيبراني هذه المتطلبات للجهات الخاضعة لإشراف كل من ساما والهيئة الوطنية للأمن السيبراني.
**نصيحة عملية:**
ادمج نتائج اختبارات الاختراق في سجل المخاطر، وتابعها عبر منصة GRC لإثبات الامتثال المستمر أمام مفتشي ساما خلال المراجعات التنظيمية.
هل كانت الإجابة مفيدة؟
يُعدّ اختبار الاختراق من المتطلبات الأساسية في برامج ضمان الأمن السيبراني للبنوك السعودية، وذلك استناداً إلى ضابط 3.3.7 من إطار SAMA CSF والمجال 2-7 من معيار NCA ECC.
**أولاً: التكرار والنطاق**
- يُلزم إطار SAMA CSF بإجراء اختبارات اختراق للأنظمة الحرجة مرة واحدة على الأقل سنوياً، مع إجراء اختبارات إضافية عند حدوث تغييرات جوهرية في البنية التحتية.
- يشترط معيار NCA ECC تغطية الشبكات الداخلية والتطبيقات المكشوفة للإنترنت والأصول الحرجة.
**ثانياً: منهجية الاختبار**
- ينبغي اعتماد منهجيات معترف بها كـ PTES وOWASP وTIBER-EU للتمارين المبنية على سيناريوهات تهديد واقعية.
- يُوصى بدمج أسلوبَي الصندوق الأسود والصندوق الرمادي وفق درجة حساسية كل أصل.
**ثالثاً: مؤهلات المختبِرين**
- يجب أن يكون المختبِرون مستقلين، سواء أكانوا فريقاً داخلياً متخصصاً أم جهة خارجية معتمدة.
- تشمل الشهادات المعتمدة: OSCP وCEH وCREST، ويُفضَّل أن تكون الجهة المنفِّذة مدرجة ضمن مزودي الخدمة المعتمدين لدى هيئة الاتصالات وتقنية المعلومات.
**رابعاً: التقارير والمعالجة**
- يجب أن يوثّق التقرير النهائي النتائج وفق مستويات الخطورة، مع تحديد مهل زمنية واضحة للمعالجة؛ إذ تُلزم هيئة ساما بمعالجة الثغرات الحرجة خلال 30 يوماً في الغالب.
- يُحتفظ بأدلة المعالجة لأغراض المراجعة والتدقيق.
**خامساً: التقارير الرقابية**
- قد تطلب هيئة ساما ملخصاً بنتائج الاختبارات خلال جولات الفحص الرقابي.
- كما قد تستلزم تقييمات هيئة الاتصالات وتقنية المعلومات تقديم تقارير الاختراق دليلاً على الامتثال لمعيار ECC.
**نصيحة عملية:** احرص على ضبط سجل متكامل لاختبارات الاختراق يتضمن النطاق والنتائج ومواعيد المعالجة وأدلة الإغلاق، مما يُيسّر بشكل ملحوظ الاستعداد لدورات الفحص الرقابي.
هل كانت الإجابة مفيدة؟
يُعدّ اختبار الاختراق التزاماً تنظيمياً صريحاً لشركات الفينتك السعودية، وليس مجرد ممارسة اختيارية، إذ يستوجبه كلٌّ من SAMA CSF في الضابط 3.3.6، وNCA ECC في المادة 2-13. وللوفاء بهذه المتطلبات، ينبغي اتباع نهج منظم يشمل:
**أولاً: النطاق الواجب اختباره:**
يجب أن يغطي الاختبار التطبيقات الإلكترونية والجوالة (بما فيها واجهات برمجة التطبيقات المصرفية المفتوحة وبوابات الدفع)، والبنية التحتية الداخلية، والبيئات السحابية، وتكاملات SWIFT أو أنظمة معالجة البطاقات.
**ثانياً: المنهجية المعتمدة:**
يُوصى بالاستناد إلى منهجية OWASP للتطبيقات، وPTES أو OSSTMM للبنية التحتية، فضلاً عن توجيهات TIBER-SA للاختبارات القائمة على استخبارات التهديدات في القطاع المالي.
**ثالثاً: مؤهلات المختبرين:**
يشترط البنك المركزي استقلالية المختبرين، سواء أكانوا فريقاً داخلياً متخصصاً أم جهة خارجية معتمدة. كما تُوصي الهيئة الوطنية للأمن السيبراني بأن يحمل المختبرون شهادات معترفاً بها كـ OSCP أو CEH، مع إلزامهم بتوقيع اتفاقيات السرية وعمل وفق قواعد اشتباك محددة.
**رابعاً: التقارير والمعالجة:**
يجب أن تتضمن التقارير ملخصاً تنفيذياً للمجلس، ونتائج تقنية مرتبطة بتقييمات CVSS، مع جداول زمنية للمعالجة. ويتوقع البنك المركزي معالجة الثغرات الحرجة خلال 30 يوماً.
**خامساً: الاختبار المستمر:**
بجانب الاختبارات السنوية، يُنصح بدمج أدوات الفحص الآلي (DAST/SAST) في مسارات التطوير المستمر، مما يعكس نضجاً في ممارسات DevSecOps أمام الجهات الرقابية.
هل كانت الإجابة مفيدة؟
اختبار الاختراق ليس مجرد إجراء تقني اختياري، بل هو متطلب تنظيمي صريح تفرضه كل من هيئة ساما في إطارها للأمن السيبراني (التحكم 3.3.6 الخاص بإدارة الثغرات) والهيئة الوطنية للأمن السيبراني في الضوابط الأساسية للأمن السيبراني (النطاق 2-7). وإليك أبرز ما يجب أن تعرفه:
**الدورية المطلوبة:**
يجب إجراء اختبار اختراق خارجي مرة واحدة على الأقل سنوياً، وكذلك عند أي تغيير جوهري في البنية التحتية. أما اختبار تطبيقات الويب والـ API فيُنصح بإجرائه قبل كل إصدار رئيسي وسنوياً بعد ذلك.
**نطاق الاختبار:**
يجب أن يشمل الاختبار الأصول المكشوفة على الإنترنت، وشبكات العمل الداخلية، وتطبيقات الخدمات المصرفية الجوهرية كبوابات الدفع، فضلاً عن تطبيقات الهاتف المحمول التي باتت هدفاً رئيسياً للمهاجمين.
**متطلبات مزود الخدمة:**
توصي ساما بالاستعانة بجهات متخصصة من القطاع الخاص، ويُشترط أن يحمل المختبرون شهادات معترفاً بها مثل OSCP أو CREST، وأن يعملوا وفق وثيقة اشتراطات رسمية موقعة من الإدارة العليا.
**معالجة النتائج:**
تُصنَّف الثغرات وفق مستويات الخطورة، وتستلزم الثغرات الحرجة والعالية خطط معالجة موثقة خلال 30 يوماً في الغالب، مع الاحتفاظ بالأدلة لأغراض المراجعة.
**نصيحة عملية:** اربط نتائج اختبارات الاختراق مباشرةً بسجل المخاطر في منصة GRC الخاصة بك، لضمان أن هذه النتائج تُغذّي عملية معالجة المخاطر وتقارير مجلس الإدارة.
هل كانت الإجابة مفيدة؟
بموجب الضابط 3.3.7 من إطار SAMA CSF، يُلزَم البنوك والمؤسسات المالية السعودية بإجراء اختبارات اختراق دورية ضمن برنامج شامل لإدارة الثغرات الأمنية. والحد الأدنى المطلوب هو إجراء هذه الاختبارات مرة واحدة على الأقل سنوياً، وكذلك عقب أي تغييرات جوهرية على البنية التحتية أو التطبيقات.
من الناحية العملية، يجب أن يشمل برنامج اختبار الاختراق ما يلي: أولاً، تحديد نطاق واضح يغطي جميع الأصول الحيوية المصنّفة في سياسة إدارة الأصول. ثانياً، الاستعانة بمختبرين مؤهلين معتمدين من جهات معترف بها كـ CREST. ثالثاً، اعتماد منهجية موثّقة وفق معايير OWASP أو PTES أو NIST SP 800-115. رابعاً، توثيق كامل للنتائج مع تصنيف الثغرات باستخدام نظام CVSS. خامساً، وجود آلية متابعة للمعالجة مع جداول زمنية محددة — إذ تستوجب الثغرات الحرجة عادةً المعالجة خلال 30 يوماً.
كما تشترط المادة 2-7 من إطار NCA ECC متطلبات مماثلة للجهات الخاضعة لإشراف الهيئة الوطنية للأمن السيبراني. أما شركات الفنتك المرخصة من ساما، فيُنصح بضبط وتيرة الاختبارات وفق مستوى المخاطر لديها — إذ قد تستدعي المنصات عالية الخطورة إجراء تقييمات فصلية. تدعم منصتنا دورة حياة اختبار الاختراق بالكامل، من التخطيط وتحديد النطاق وصولاً إلى متابعة المعالجة وإعداد تقارير الامتثال التنظيمي.
هل كانت الإجابة مفيدة؟
يُلزم إطار الأمن السيبراني لساما، تحديداً الضابط 3.3.6 المتعلق بتقييم الثغرات واختبار الاختراق، المؤسسات المالية السعودية بإجراء اختبارات اختراق منتظمة وشاملة ضمن برنامج ضمان الأمن السيبراني.
**دورية الاختبارات:** يجب إجراء اختبارات الاختراق الخارجية مرة واحدة على الأقل سنوياً، فيما تستلزم الأنظمة الحيوية والتطبيقات المتاحة عبر الإنترنت اختباراً عقب كل تغيير جوهري. أما الشبكات الداخلية في البيئات عالية المخاطر فيُوصى باختبارها كل ستة أشهر.
**النطاق المطلوب:** يشمل الاختبار الحدود الخارجية، والشبكات الداخلية، وتطبيقات الإنترنت والهاتف المحمول، وواجهات برمجة التطبيقات، فضلاً عن البنية التحتية السحابية. كما تُشجع ساما على تضمين محاكاة الهندسة الاجتماعية والتصيد الاحتيالي.
**المنهجية المعتمدة:** تتوقع ساما الالتزام بمنهجيات معترف بها كـ OWASP و PTES و NIST SP 800-115، مع تشجيع تمارين الفريق الأحمر للمؤسسات الناضجة سيبرانياً.
**المختبرون المؤهلون:** يجب الاستعانة بمختبرين خارجيين مستقلين يحملون شهادات معتمدة مثل OSCP أو CREST، بشرط استقلاليتهم التامة عن فرق التطوير والتشغيل.
**متابعة المعالجة:** تُصنَّف النتائج وفق مستوى المخاطر وتُتابع حتى الإغلاق، إذ تستوجب الثغرات الحرجة معالجةً خلال 30 إلى 90 يوماً.
دمج نتائج اختبارات الاختراق في منصة GRC يُتيح تتبعاً آلياً وتقارير جاهزة للتدقيق وفق دورات فحص ساما.
هل كانت الإجابة مفيدة؟
يُعدّ اختبار الاختراق من المتطلبات الإلزامية التي تفرضها كل من هيئة سوق المال (SAMA CSF، الضابط 3.3.6) والهيئة الوطنية للأمن السيبراني (NCA ECC، الضابط ECC-2-1-3) على البنوك والمؤسسات المالية في المملكة العربية السعودية.
**التكرار والنطاق:** يُشترط إجراء اختبارات الاختراق مرةً على الأقل سنوياً، وبعد أي تغيير جوهري في البنية التحتية أو التطبيقات. ويجب أن تشمل هذه الاختبارات الشبكة الخارجية والداخلية، وتطبيقات الويب، وتطبيقات الخدمات المصرفية عبر الهاتف المحمول، والواجهات البرمجية الحيوية.
**المنهجية:** يُنصح باتباع منهجيات معترف بها مثل PTES وOWASP Testing Guide، إضافةً إلى إطار TIBER-SA المبني على معلومات التهديدات، الذي باتت SAMA تشجع المؤسسات الناضجة على تبنيه.
**مؤهلات المختبِرين:** يجب أن يمتلك المختبرون شهادات معتمدة كـ OSCP أو CEH أو CREST، ويُفضَّل أن تُنفَّذ الاختبارات من قِبل جهات مستقلة لتجنب تضارب المصالح.
**متطلبات المعالجة:** تستوجب SAMA CSF تصنيف النتائج وفق مستوى الخطورة ومعالجة الثغرات الحرجة خلال 15 إلى 30 يوماً كحدٍّ أقصى، مع توثيق جميع الإجراءات التصحيحية.
**التقارير:** تُرفع نتائج الاختبارات إلى الإدارة العليا ولجنة المخاطر في مجلس الإدارة، فيما تستلزم NCA ECC الإبلاغ عن الثغرات الحرجة عبر قنوات الحوكمة المعتمدة.
**نصيحة عملية:** احرص على إنشاء سجل اختبارات اختراق ضمن منصة GRC الخاصة بك، يربط كل اختبار بالأصول المعنية والنتائج وتذاكر المعالجة وأدلة إعادة الاختبار، مما يوفر مسار تدقيق واضح أمام مفتشي SAMA ومقيّمي NCA.
هل كانت الإجابة مفيدة؟
بموجب متطلبات إطار الأمن السيبراني لساما، لا سيما الضابط 3.3.4 ومجال تقييم الثغرات واختبار الاختراق، يُلزَم كل بنك ومؤسسة مالية بإجراء اختبارات الاختراق بصفة منتظمة ضمن برنامج متكامل للمرونة السيبرانية.
الحد الأدنى المطلوب هو إجراء اختبار سنوي لجميع الأنظمة المكشوفة على الإنترنت، مع ضرورة إعادة الاختبار عند إجراء تغييرات جوهرية على البنية التحتية أو عند الاندماج والاستحواذ.
**أبرز المتطلبات العملية:**
- **النطاق:** يجب أن يشمل الاختبار الشبكات الخارجية والداخلية، والتطبيقات الحيوية كالخدمات المصرفية الإلكترونية، وبيئات SWIFT عند الاقتضاء.
- **المنهجية:** يُستحسن الاستناد إلى معايير PTES وOWASP، ولتمارين الفريق الأحمر يُشجع ساما على اعتماد نهج TIBER-SA للمؤسسات الكبرى.
- **مزودو الخدمة:** يجب التحقق من كفاءة الجهة المنفذة وحصولها على شهادات معتمدة كـ OSCP وCREST، مع ضرورة توقيع اتفاقيات سرية متوافقة مع نظام حماية البيانات الشخصية.
- **المعالجة والمتابعة:** يُلزَم بمعالجة الثغرات الحرجة خلال 30 يوماً، وتوثيق الاستثناءات بموافقة مسؤول أمن المعلومات، مع رفع تقارير دورية للجنة مخاطر مجلس الإدارة.
- **إعادة الاختبار:** يجب التحقق من فعالية الحلول المطبقة قبل إغلاق أي ثغرة.
تُتيح منصتنا للحوكمة والمخاطر والامتثال متابعة نتائج اختبارات الاختراق تلقائياً، وربطها بضوابط ساما، وإصدار تقارير جاهزة للمجلس في أي وقت.
هل كانت الإجابة مفيدة؟
تُلزم ضوابط الأمن السيبراني الأساسية لهيئة الاتصالات الوطنية (ECC-2: 1-2) المؤسسات بإجراء اختبارات اختراق دورية ضمن برنامج شامل لتقييم الثغرات. إليك كيفية بناء برنامج متوافق وفعّال:
**أولاً: التكرار ونطاق الاختبار**
تشترط NCA ECC إجراء اختبارات اختراق سنوية كحد أدنى للأنظمة الحرجة. وللمؤسسات المالية الخاضعة أيضاً لضابط SAMA CSF 3.2، يُوصى بالاختبار: سنوياً للبنية التحتية، وبعد أي تغيير جوهري في الأنظمة، وعقب الحوادث الأمنية الكبرى. يجب أن يشمل النطاق الأصول المرئية خارجياً، الشبكات الداخلية، وتطبيقات الخدمات المصرفية الإلكترونية والجوالة.
**ثانياً: المنهجيات المعتمدة**
اعتمد منهجيات معترفاً بها مثل PTES لاختبار البنية التحتية، ودليل OWASP للتطبيقات الإلكترونية، وإطار TIBER-EU لمحاكاة التهديدات المتقدمة في البيئات المالية.
**ثالثاً: اشتراطات اختيار المورّد**
يجب الاستعانة بجهة اختبار مستقلة ومؤهلة — لا يُكتفى بالاختبار الداخلي لأغراض الامتثال. يُفضّل أن يحمل المزود اعتماد CREST، وأن يكون المختبرون حاملين لشهادات مثل OSCP أو CEH أو GPEN، مع خبرة في البيئات المصرفية السعودية.
**رابعاً: التفويض القانوني وقواعد الاشتباك**
احصل على تفويض كتابي واضح قبل بدء أي اختبار. وللأنظمة المستضافة سحابياً (AWS أو Azure أو Alibaba Cloud الشائع في السوق السعودية)، تأكد من الحصول على إذن الاختبار من مزود الخدمة السحابية تجنباً لانتهاك شروط الاستخدام.
**خامساً: متابعة المعالجة وإعداد التقارير**
يجب معالجة الثغرات الحرجة والعالية خلال 30 يوماً، والمتوسطة خلال 90 يوماً. تابع المعالجة عبر نظام إدارة الثغرات، وأجرِ إعادة اختبار للتحقق من الإغلاق. قدّم ملخص النتائج إلى لجنة المخاطر — قد تطلب هيئة الاتصالات الوطنية هذه الأدلة خلال جلسات التدقيق.
**سادساً: متى تنتقل إلى تمارين الفريق الأحمر؟**
للمؤسسات الأكثر نضجاً، يُنصح بالتدرج نحو تمارين الفريق الأحمر التي تحاكي تهديدات متقدمة ومستمرة (APT) — وهو ما تتوقعه ساما من بنوك الفئة الأولى.
هل كانت الإجابة مفيدة؟
اختبار الاختراق متطلب صريح في إطاري SAMA CSF وNCA ECC، ويجب أن تتجاوز المؤسسات المالية مجرد فحص الثغرات الآلي لاستيفاء توقعات الجهات الرقابية.
**متطلبات SAMA CSF (الضابط 3.3.5 وإدارة الثغرات):**
يُلزم SAMA بإجراء اختبارات اختراق شاملة مرة واحدة على الأقل سنوياً وبعد أي تغيير جوهري في البنية التحتية، تشمل: المحيط الخارجي، الشبكة الداخلية، تطبيقات الويب، ومنصات الخدمات المصرفية عبر الهاتف. يجب تصنيف النتائج وفق مستويات المخاطر، ومعالجة الثغرات الحرجة خلال 30 يوماً.
**متطلبات NCA ECC (ECC-1: 2-7):**
تستلزم ضوابط NCA إجراء اختبارات تحاكي سيناريوهات هجومية واقعية وثيقة الصلة بالبيئة التهديدية في المملكة، كهجمات سلاسل التوريد، وسرقة بيانات الاعتماد، واستغلال واجهات API في بيئات الخدمات المصرفية المفتوحة.
**نطاق الاختبار الإلزامي:**
- الأصول الخارجية والمواجهة للإنترنت بما فيها الأنظمة السحابية
- اختبار تطبيقات الويب والهاتف وفق منهجية OWASP
- التحقق من عزل شبكات VLAN والتجزئة الداخلية
- محاكاة التصيد الاحتيالي والهندسة الاجتماعية
- اختبار بنية SWIFT ومنظومة المدفوعات للبنوك
- اختبار أمان API لشركات التقنية المالية
**مؤهلات المختبرين:**
يوصي SAMA باستخدام جهات خارجية مؤهلة تحمل شهادات OSCP أو CREST، ولا يمكن الاستعاضة بالفرق الداخلية عن التقييمات المستقلة.
**التوثيق والحفظ:**
يجب أن تتضمن التقارير ملخصاً تنفيذياً ونتائج تقنية بتقييم CVSS وخارطة طريق للمعالجة، مع حفظها لمدة 5 سنوات على الأقل. وبالنسبة لشركات التقنية المالية، يُعدّ اختبار الاختراق شرطاً مسبقاً للحصول على الترخيص الكامل من SAMA.
هل كانت الإجابة مفيدة؟
يفرض كل من إطار الأمن السيبراني لساما والضوابط الأساسية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني متطلبات صريحة لاختبار الاختراق، مما يجعله التزاماً رقابياً لا خياراً أمنياً اختيارياً. يُوجب ضابط الإدارة 3.3.5 في إطار ساما على المؤسسات الأعضاء إجراء اختبارات اختراق دورية للأنظمة الحيوية والتطبيقات والبنية التحتية للشبكة، فيما يُلزم المادة 2-14 من ECC بإدراج هذه الاختبارات ضمن دورة حياة إدارة الثغرات. أبرز المتطلبات وإرشادات تحديد النطاق: أولاً، التكرار — تستلزم ساما إجراء اختبارات الاختراق سنوياً كحد أدنى للأنظمة الحرجة، وبعد كل تغيير جوهري في البنية التحتية أو إطلاق منتج جديد أو تحديث رئيسي للتطبيقات. ثانياً، نطاق الاختبار — يشمل الأصول المكشوفة على الإنترنت كالتطبيقات وواجهات برمجة التطبيقات والشبكات الافتراضية الخاصة، فضلاً عن الشبكات الداخلية وبيئات Active Directory وتطبيقات الخدمات المصرفية الإلكترونية والهاتفية. ثالثاً، المنهجية — يُوصى باعتماد معايير معترف بها كـ PTES وOWASP لاختبارات التطبيقات، إلى جانب مبادئ TIBER-SA لفرق القرصنة الأخلاقية المتقدمة المدعومة باستخبارات التهديدات. رابعاً، استقلالية المختبِر — تُوصي ساما بالاستعانة بمختبرين خارجيين مؤهلين يحملون شهادات معتمدة كـ OSCP وCREST، مع إمكانية دعم الفرق الداخلية لهذه الاختبارات لا استبدالها بها. خامساً، متابعة المعالجة — يجب تصنيف الثغرات المكتشفة وفق المخاطر، ومعالجة الثغرات الحرجة خلال ثلاثين يوماً، وإجراء اختبار تحقق لاحق للتأكد من سلامة الإصلاحات. سادساً، رفع التقارير — تُقدَّم نتائج الاختبارات إلى الإدارة العليا ولجنة المخاطر في مجلس الإدارة. أما شركات التقنية المالية فيُنصح بإضافة اختبارات اختراق مخصصة لواجهات برمجة التطبيقات نظراً لاعتمادها الكبير على الخدمات المصرفية المفتوحة.
هل كانت الإجابة مفيدة؟
يحدد تقييم الثغرات ويصنّف نقاط الضعف الأمنية في الأنظمة دون استغلالها فعلياً — يُخبرك بالثغرات الموجودة. أما اختبار الاختراق فيذهب أبعد من ذلك بمحاولة استغلال الثغرات المكتشفة فعلياً لتحديد الأثر الواقعي — يُخبرك بما يمكن للمهاجم تحقيقه فعلاً. لأغراض الامتثال التنظيمي، كلاهما مطلوب في الغالب.
هل كانت الإجابة مفيدة؟
بالنسبة للمؤسسات الخاضعة لرقابة ساما، مرة واحدة كحد أدنى سنوياً لجميع الأنظمة الحيوية. لجهات NCA ECC، مرة سنوياً على الأقل. تُوصي الممارسات المثلى بـ: اختبار اختراق خارجي سنوياً، داخلي سنوياً، لتطبيقات الويب عند كل إصدار رئيسي، تمارين الفريق الأحمر كل 1-2 سنوات، وفحص الثغرات المستمر.
هل كانت الإجابة مفيدة؟
بموجب متطلبات إطار الأمن السيبراني لمؤسسة النقد العربي السعودي (ساما)، تحديداً في محور إدارة الثغرات الأمنية، يتعين على البنوك والمؤسسات المالية إجراء اختبارات الاختراق بصفة منتظمة كجزء من برنامج شامل لإدارة الثغرات. والحد الأدنى المطلوب هو إجراء اختبار اختراق خارجي مرة واحدة سنوياً على الأقل، فيما يُوصى بإجراء الاختبارات الداخلية وتقييمات التطبيقات بنفس الوتيرة أو عند إجراء أي تغيير جوهري على البنية التحتية أو الأنظمة.
**أبرز المتطلبات:**
**النطاق:** يجب أن يشمل الاختبار الأنظمة المكشوفة للإنترنت، والشبكات الداخلية، والتطبيقات الحيوية بما فيها تطبيقات الجوال والواجهات البرمجية (APIs)، فضلاً عن البنية التحتية السحابية.
**المنهجية:** يُوصى باتباع منهجيات معتمدة مثل OWASP وPTES وNIST SP 800-115، ويُستحسن لكبرى البنوك إجراء تمارين الفريق الأحمر لمحاكاة التهديدات المتقدمة.
**الكفاءة والاستقلالية:** يجب أن يُنفذ الاختبار متخصصون مؤهلون ومستقلون، سواء من داخل المؤسسة بضمانات الفصل الوظيفي، أو من مزودي خدمات خارجيين مرخصين من الهيئة الوطنية للأمن السيبراني.
**التقارير والمعالجة:** يستلزم الاختبار إعداد خطة معالجة رسمية، مع ضرورة معالجة الثغرات الحرجة والعالية الخطورة خلال 30 يوماً، وتوثيق الإجراءات المتخذة لأغراض المراجعة التنظيمية.
**التوافق مع متطلبات الهيئة الوطنية للأمن السيبراني:** تشترط المادة 2-7 من الضوابط الأساسية للأمن السيبراني (ECC) إجراء تقييمات تقنية تشمل اختبارات الاختراق، مع تتبع نتائجها في سجل المخاطر الرسمي.
**التوصية العملية:** ادمج نتائج اختبارات الاختراق في منصة حوكمة الأمن السيبراني لتحديث تقييمات المخاطر تلقائياً وتوليد تقارير جاهزة للتدقيق التنظيمي.
هل كانت الإجابة مفيدة؟
بموجب متطلبات إطار عمل SAMA CSF، تحديداً في المجال المتعلق بإدارة الثغرات الأمنية (Control 3.3.6)، يُلزَم كل بنك ومؤسسة مالية في المملكة بإجراء اختبارات اختراق دورية ومنهجية ضمن برنامج متكامل لإدارة الثغرات. والحد الأدنى المطلوب هو اختبار سنوي شامل يغطي البيئات الداخلية والخارجية، مع إمكانية طلب اختبارات إضافية عند إجراء تغييرات جوهرية على البنية التحتية أو إطلاق أنظمة جديدة أو في أعقاب الحوادث الأمنية.
**أبرز المتطلبات:**
**النطاق:** يجب أن تشمل الاختبارات الأصول المكشوفة على الإنترنت، وشبكات الاتصال الداخلية، وتطبيقات الويب، وواجهات API، والأنظمة المصرفية الحيوية كأنظمة الكور بنكينج وبوابات الدفع.
**المنهجية:** يُنصح بالاعتماد على منهجيات معترف بها دولياً مثل PTES وOWASP Testing Guide وNIST SP 800-115 لضمان الشمولية والاتساق.
**الكفاءة والاستقلالية:** تشترط SAMA أن ينفذ الاختبارات فريق مؤهل ومستقل — سواء كان فريقاً داخلياً يحمل شهادات معتمدة كـ OSCP أو CREST، أو جهة خارجية متخصصة — على أن لا يكون لهم أي دور سابق في بناء الأنظمة المختبرة.
**التقارير والمعالجة:** يجب توثيق النتائج بتفصيل كافٍ مع تصنيف المخاطر، وتحليل الأسباب الجذرية، وخطط العلاج. وتُحدد SAMA مهلاً زمنية للمعالجة؛ إذ يجب معالجة الثغرات الحرجة خلال 30 يوماً كحد أقصى.
**حفظ الأدلة:** تحتفظ المؤسسات بتقارير الاختبار وأدلة المعالجة لإتاحتها للمراجعين عند الطلب.
نصيحة عملية: احرص على مزامنة جدول اختبارات الاختراق مع دورة التقييم الذاتي السنوية لإطار SAMA CSF، حتى تُغذّي نتائج الاختبار مباشرةً سجل المخاطر وتحسين وضع الامتثال.
هل كانت الإجابة مفيدة؟
يُلزم إطار عمل SAMA للأمن السيبراني المؤسسات المالية السعودية بتنفيذ برنامج منظّم لاختبار الاختراق ضمن منظومة ضمان الأمن السيبراني المستمر. إليك أبرز المتطلبات:
**الدورية الزمنية:** يجب إجراء اختبارات الاختراق الخارجية مرة واحدة على الأقل سنويًا، مع إلزامية إجراء الاختبار بعد أي تغيير جوهري على الأنظمة الحيوية أو التطبيقات المكشوفة على الإنترنت. كما يُطلب إجراء اختبارات داخلية للشبكة بشكل دوري.
**النطاق:** يشمل الاختبار المحيط الخارجي، وشرائح الشبكة الداخلية، وتطبيقات الويب والخدمات المصرفية عبر الجوال، وواجهات برمجة التطبيقات (APIs)، ويمكن تضمين اختبارات الهندسة الاجتماعية.
**المنهجية:** يتوقع SAMA اتباع منهجيات معتمدة مثل OWASP أو PTES أو NIST SP 800-115، مع تصنيف الثغرات وفق مستوى المخاطر وتتبع معالجتها.
**الجهة المنفِّذة:** يُوصى بالاستعانة بجهات خارجية مستقلة ومؤهلة لضمان الموضوعية، ويمكن أن تُكمل فرق الاختراق الداخلية هذا الجهد دون أن تحل محله.
**المعالجة والإبلاغ:** يجب معالجة الثغرات الحرجة والعالية خلال مدد زمنية محددة — عادةً 30 يومًا للثغرات الحرجة — مع رفع التقارير إلى الإدارة العليا ولجنة المخاطر أو التدقيق.
**التوافق مع NCA ECC:** تُوجب المادة 2-7 من ضوابط NCA ECC أيضًا إجراء تقييمات الثغرات واختبارات الاختراق للبنية التحتية الحيوية.
نصيحة عملية: ضع تقويمًا لاختبارات الاختراق مرتبطًا بدورة إدارة التغيير، بحيث تُستدعى الاختبارات تلقائيًا عند إجراء تغييرات عالية المخاطر.
هل كانت الإجابة مفيدة؟
بموجب إطار SAMA CSF، تحديداً ضمن مجال الضمان الأمني (3.3)، يتعين على البنوك والمؤسسات المالية السعودية إجراء اختبارات اختراق دورية وشاملة. إليك أبرز المتطلبات العملية:
**الدورية**: يُجرى اختبار الاختراق الخارجي مرة واحدة على الأقل سنوياً، فيما تستوجب الأنظمة الحساسة المطلّة على الإنترنت إجراء الاختبار كل ستة أشهر أو عقب أي تغيير جوهري في البنية التحتية.
**النطاق**: يجب أن يشمل الاختبار البنية التحتية للشبكة، وتطبيقات الويب والموبايل، والأنظمة الداخلية، إضافةً إلى اختبارات الهندسة الاجتماعية التي تحاكي أساليب المهاجمين الفعليين.
**المنهجية**: يُستحسن الاستناد إلى منهجيات معتمدة كـ OWASP وPTES وNIST SP 800-115، مع تفضيل أسلوب الصندوق الرمادي لعمقه التحليلي.
**الكفاءة المهنية**: يُشترط أن ينفذ الاختبار جهة خارجية مؤهلة أو فريق أحمر داخلي يحمل شهادات معترفاً بها مثل OSCP وCREST وCEH.
**المعالجة والتوثيق**: تُعالَج الثغرات الحرجة والعالية خلال 30 إلى 60 يوماً، مع توثيق إجراءات المعالجة لتكون جاهزة للفحص الرقابي.
**الإبلاغ للإدارة العليا**: وفق المتطلب 3.1 من SAMA CSF، ترفع النتائج الجوهرية إلى الإدارة العليا أو لجنة مخاطر مجلس الإدارة.
احرص كذلك على التوافق مع متطلبات تقييم الثغرات الواردة في المادة 2-4 من NCA ECC لضمان تغطية تنظيمية متكاملة.
هل كانت الإجابة مفيدة؟
تُعدّ اختبارات الاختراق من المتطلبات الجوهرية التي تفرضها كل من هيئة ساما وهيئة الأمن السيبراني الوطني على المؤسسات المالية السعودية. فبموجب الضابط 3.3.7 من إطار SAMA CSF، يجب إجراء هذه الاختبارات بصورة دورية لا تقل عن مرة سنوياً، لتشمل جميع نقاط الدخول الخارجية والداخلية، كتطبيقات الويب، وواجهات API، والبنية التحتية للشبكات، والأنظمة الحساسة. وتُضاف إلى ذلك اشتراطات المادة 3-5 من معيار NCA ECC-1:2018 المتعلقة بتقييم الثغرات ضمن دورة تقييم أمنية مستمرة.
على الصعيد العملي، ينبغي أن يشمل برنامج اختبار الاختراق لديكم:
• **تحديد النطاق**: يجب تغطية الأصول المرتبطة بالإنترنت، والشبكات الداخلية، وبيئات SWIFT، وتطبيقات الهاتف المتحرك.
• **المنهجية**: الاستناد إلى معايير معتمدة كـ PTES وOWASP، مع الأخذ بأسلوب TIBER-EU للاختبارات المبنية على استخبارات التهديد.
• **الكوادر المؤهلة**: الاستعانة بمختصين معتمدين من جهات خارجية مستقلة، حاملين لشهادات مثل OSCP أو CREST.
• **متابعة المعالجة**: توثيق خطط علاج الثغرات الحرجة والعالية مع تحديد جداول زمنية واضحة، لا تتجاوز 30 يوماً للمشكلات الحرجة وفق توقعات ساما.
• **الإفصاح لجهات الحوكمة**: رفع نتائج الاختبارات وحالة المعالجة إلى كبير مسؤولي أمن المعلومات ولجنة مخاطر مجلس الإدارة.
تجدر الإشارة إلى أن ضعف برامج اختبار الاختراق من أبرز الثغرات التي تكشفها تقييمات نضج SAMA CSF. ولضمان الاستمرارية والجاهزية للتدقيق، يُنصح بدمج نتائج الاختبارات في سجل المخاطر وبرنامج إدارة الثغرات.
هل كانت الإجابة مفيدة؟
يُلزم إطار الأمن السيبراني لساما (الضابط 3.3.6 المتعلق بإدارة الثغرات، والضابط 3.4.3 المتعلق باختبار الاختراق) المؤسسات المالية السعودية بإجراء اختبارات اختراق منتظمة ومنهجية ضمن برنامج ضمان الأمن السيبراني.
**أبرز المتطلبات:**
- **الدورية:** يجب إجراء اختبار شامل مرة واحدة على الأقل سنوياً، مع إجراء اختبارات إضافية عند إجراء تغييرات جوهرية على البنية التحتية، أو إطلاق تطبيقات جديدة، أو في أعقاب الحوادث الأمنية.
- **النطاق:** يشمل الاختبار الشبكة الخارجية، والشبكة الداخلية، وتطبيقات الخدمات المصرفية الإلكترونية والجوالة، وواجهات برمجة التطبيقات (APIs)، وأنظمة الدفع الحساسة بما فيها بيئات SWIFT.
- **المنهجية:** يُنصح باتباع منهجيات معتمدة مثل PTES أو دليل اختبار OWASP أو إطار TIBER-EU الذي بدأت ساما بتبنيه للبنوك ذات الأهمية النظامية.
- **المؤهلات:** يجب أن يُنفَّذ الاختبار من قِبل جهات متخصصة مستقلة أو فريق داخلي يتمتع باستقلالية كافية، إذ لا تعتبر ساما أن قيام فريق تقنية المعلومات الداخلي باختبار أنظمته بنفسه يُعدّ امتثالاً كافياً.
- **متابعة المعالجة:** يجب تصنيف جميع النتائج حسب درجة الخطورة وتحديد أصحابها وإصلاحها ضمن مهل زمنية محددة، على أن تُعالج النتائج الحرجة خلال 30 يوماً كحد أقصى.
- **الإبلاغ:** تُرفع ملخصات النتائج وحالة المعالجة إلى لجنة الأمن السيبراني ولجنة مخاطر مجلس الإدارة سنوياً وفق متطلبات حوكمة إطار ساما.
**نصيحة عملية:** احرص على مزامنة جدول اختبارات الاختراق مع دورة التقييم الذاتي لإطار ساما، كما أن المادة 2-9 من ضوابط الأمن السيبراني للهيئة الوطنية للأمن السيبراني (ECC) تُوجب هي الأخرى إجراء تقييمات تقنية دورية، مما يتيح لك تصميم اختبار واحد شامل يُحقق متطلبات الإطارين معاً.
هل كانت الإجابة مفيدة؟
يُلزم إطار عمل الأمن السيبراني لمؤسسة النقد العربي السعودي (ساما) البنوكَ والمؤسسات المالية بإجراء اختبارات اختراق شاملة ودورية، وذلك ضمن برنامج متكامل لإدارة المخاطر السيبرانية. وبحسب الضوابط 3.3.6 و3.3.7 من الإطار، يجب إجراء هذه الاختبارات مرة واحدة على الأقل سنوياً، فضلاً عن إجرائها في كل مرة تطرأ فيها تغييرات جوهرية على الأنظمة أو البنية التحتية الحيوية.
يجب أن تشمل نطاق الاختبار: الأصول المكشوفة على الإنترنت، والشبكات الداخلية، وتطبيقات الخدمات المصرفية عبر الويب والجوال، وواجهات برمجة التطبيقات (APIs)، والأنظمة الخلفية الحيوية. ويُشترط أن تُنفَّذ هذه الاختبارات من قِبَل جهات خارجية متخصصة تحمل شهادات معتمدة كـ OSCP أو CREST أو ما يعادلها.
بعد كل اختبار، تلتزم المؤسسة بإعداد تقرير تفصيلي بالنتائج وخطة معالجة واضحة المعالم، إذ تُتوقع معالجة الثغرات الحرجة خلال 15 يوماً، والعالية خلال 30 يوماً. كما يُنصح بإعادة الاختبار للتحقق من فاعلية الإصلاحات.
على الصعيد العملي، ينبغي لمسؤولي أمن المعلومات (CISOs) دمج اختبارات الاختراق ضمن التقويم الأمني السنوي، وتخصيص ميزانية كافية لها، ورفع نتائجها إلى لجنة المخاطر على مستوى مجلس الإدارة. كما تُعزز مشاركة مؤشرات التهديدات مع ساما ومنصة FINCYBER من مستوى النضج الأمني للمؤسسة.
هل كانت الإجابة مفيدة؟
تُلزم المؤسسات المالية السعودية بإجراء اختبارات اختراق دورية ضمن برنامج إدارة الوضع الأمني الشامل. فبموجب الضابط 3.3.4 من إطار SAMA CSF، يتعين على المؤسسات تنفيذ تقييمات الثغرات التقنية واختبارات الاختراق مرة واحدة على الأقل سنوياً، وكذلك عقب أي تغيير جوهري يطرأ على الأنظمة أو البنية التحتية الحيوية. ويُعزز هذا التوجه المادة 2-14 من معايير NCA ECC التي تُوجب إجراء تمارين الاختراق الأخلاقي للجهات المصنّفة ضمن البنى التحتية الحيوية الوطنية.
أبرز المتطلبات العملية:
**تحديد النطاق:** يجب أن يشمل الاختبار الأصول الرقمية الخارجية، والشبكات الداخلية، وتطبيقات الصيرفة الإلكترونية والمحمولة، والواجهات البرمجية (APIs)، والأنظمة المرتبطة بشبكة SWIFT، فضلاً عن محاكاة الهندسة الاجتماعية والتصيد الاحتيالي.
**المنهجية المعتمدة:** يُستحسن اعتماد أطر عمل معترف بها كـ OWASP وPTES وTIBER-EU مع مراعاة السياق المحلي، بحيث تحاكي الاختبارات التهديدات الحقيقية المستهدفة للقطاع المالي.
**مؤهلات مزودي الخدمة:** يُفضّل الاستعانة بجهات اختبار خارجية مستقلة تحمل اعتمادات معترفاً بها مثل CREST أو OSCP، بدلاً من الاعتماد على الفرق الداخلية لضمان موضوعية التقييم.
**متابعة الإصلاح:** تُصنَّف النتائج وفق درجة المخاطر، وتُعالج ضمن جداول زمنية محددة—لا تتجاوز 30 يوماً للثغرات الحرجة—مع إجراء اختبارات إعادة تحقق للتأكد من سد الثغرات.
**الإفصاح للحوكمة:** تُرفع نتائج الاختبارات إلى مسؤول أمن المعلومات (CISO) ولجنة المخاطر في مجلس الإدارة، مع تتبع الاتجاهات بمرور الوقت.
تجدر الإشارة إلى أن شركات التقنية المالية (Fintech) العاملة في البيئة التجريبية لمؤسسة النقد يُنصح بتطبيق هذه الضوابط منذ المراحل الأولى تفادياً لأي فجوات عند الحصول على الترخيص الكامل.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF ضمن مجال التشغيل الأمني (Domain 3.3) المؤسساتِ الماليةَ بإجراء اختبارات اختراق دورية كجزء من برنامج شامل لإدارة الثغرات. والحد الأدنى المطلوب هو إجراء هذه الاختبارات مرة واحدة سنوياً على الأقل، مع ضرورة إعادتها عند إجراء أي تغييرات جوهرية على البنية التحتية أو إطلاق تطبيقات جديدة أو في أعقاب الحوادث الأمنية.
أبرز المتطلبات:
**النطاق:** يجب أن تشمل الاختبارات الأنظمة المكشوفة على الإنترنت، والشبكات الداخلية، وتطبيقات الخدمات المصرفية على الويب والجوال، وواجهات برمجة التطبيقات (APIs). كما يُوصى بشدة بإجراء تمارين الهندسة الاجتماعية.
**الكفاءة المهنية:** يجب أن يُنفِّذ الاختبارات متخصصون مؤهلون يحملون شهادات معترفاً بها مثل OSCP أو CEH أو CREST، ويُشترط في المختبرين الخارجيين التحقق من هوياتهم والتوقيع على اتفاقيات سرية صارمة.
**المنهجية:** ينبغي أن تتوافق الاختبارات مع أطر OWASP للتطبيقات، وPTES أو NIST SP 800-115 للبنية التحتية. كما تستوجب المادة 2-14 من NCA ECC تصنيف النتائج وفق درجة الخطورة ومعالجتها ضمن مهل زمنية محددة.
**المعالجة والتوثيق:** يجب معالجة النتائج الحرجة والعالية خلال 30 يوماً، مع تقديم أدلة موثقة للجنة مخاطر مجلس الإدارة، وتتبع حالة المعالجة في سجل رسمي.
**فرق الاختراق المتقدمة (Red Team):** يُشجَّع على تبني تمارين Red Team الموجهة بالتهديدات وفق أطر TIBER-SA أو CBEST للمؤسسات الناضجة أمنياً.
منصتنا تُمكّنك من جدولة اختبارات الاختراق وتتبعها وتوثيقها بالكامل ضمن لوحة تحكم GRC موحدة.
هل كانت الإجابة مفيدة؟
بموجب متطلبات إطار SAMA CSF، لا سيما الضابطين 3.3.7 (إدارة الثغرات) و3.3.8 (اختبار الاختراق)، يتعين على البنوك والمؤسسات المالية السعودية تنفيذ برنامج منظم لاختبار الاختراق. وفيما يلي أبرز ما يجب معرفته:
**الدورية:** يجب إجراء اختبارات الاختراق الخارجية مرة واحدة على الأقل سنوياً، فيما تُربط الاختبارات الداخلية بأي تغييرات جوهرية في البنية التحتية أو إطلاق تطبيقات حساسة أو عقب وقوع حوادث أمنية. أما الأنظمة عالية المخاطر كمنصات الخدمات المصرفية الإلكترونية وبوابات الدفع، فتستلزم اختبارات أكثر تكراراً.
**النطاق:** يشمل الاختبار البنية التحتية للشبكة، والتطبيقات الإلكترونية والجوال، ونقاط نهاية API، والأنظمة الداخلية. كما يُوصى بإجراء تمارين الهندسة الاجتماعية ومحاكاة التصيد الاحتيالي.
**المنهجية:** يتوقع SAMA اتباع منهجيات معتمدة مثل OWASP وPTES وNIST SP 800-115، مع إمكانية استخدام نهج الصندوق الأسود أو الرمادي حسب طبيعة النظام.
**المختبرون المؤهلون:** يجب أن يُنفّذ الاختبار متخصصون مؤهلون إما من فريق داخلي أو جهة خارجية معتمدة ومدققة، ويُفضل أن يحملوا شهادات مثل OSCP أو CEH أو ما يعادلها.
**التقارير والمعالجة:** يُشترط توثيق النتائج في تقرير رسمي مصنّف حسب درجة الخطر، مع الالتزام بجداول زمنية واضحة للمعالجة — عادةً 30 يوماً للثغرات الحرجة. يجب الاحتفاظ بأدلة المعالجة لأغراض المراجعة والتدقيق الرقابي.
هل كانت الإجابة مفيدة؟
اختبار الاختراق ليس مجرد متطلب تقني، بل هو ركيزة أساسية في برامج الضمان الأمني للبنوك السعودية. بموجب الضابط 3.3.6 من إطار SAMA CSF، يُلزَم كل بنك بإجراء اختبارات اختراق منتظمة تشمل البنية التحتية للشبكة، والتطبيقات المتاحة عبر الإنترنت، وواجهات برمجة التطبيقات. ويُضيف معيار NCA ECC في المادة 2-14 اشتراط إجراء هذه الاختبارات مرة على الأقل سنوياً، وكذلك بعد أي تغيير جوهري على الأنظمة الحيوية.
من الناحية العملية، يجب أن يشمل برنامج اختبار الاختراق ما يلي:
1. **تغطية شاملة**: تشمل الأنظمة الخارجية والداخلية وأنظمة الوصول المميّز وبنية SWIFT إن وُجدت.
2. **كفاءة المختبرين**: الاستعانة بخبراء معتمدين (OSCP أو CREST) أو شركات متخصصة موثوقة، مع الاحتفاظ بوثائق إثبات الكفاءة للمراجعين.
3. **منهجية موثقة**: الالتزام بمعايير مثل OWASP أو NIST SP 800-115 لضمان نتائج موثوقة وقابلة للمقارنة.
4. **الدورية**: اختبار شامل مرة سنوياً على الأقل، مع تقييمات ربع سنوية للثغرات في الأنظمة عالية الخطورة.
5. **المعالجة وإعادة الاختبار**: يشترط SAMA CSF خطة معالجة موثقة؛ والثغرات الحرجة (CVSS ≥ 9.0) يجب معالجتها خلال 30 يوماً.
6. **رفع التقارير للحوكمة**: تُقدَّم ملخصات النتائج إلى CISO ولجنة مخاطر مجلس الإدارة ضمن دورة الرقابة الأمنية.
تجدر الإشارة إلى أن مفتشي SAMA باتوا يتوقعون إجراء تمارين الفريق الأحمر (Red Team) كمؤشر نضج متقدم يتجاوز اختبار الاختراق التقليدي.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA للأمن السيبراني البنوكَ والمؤسسات المالية السعودية بإجراء اختبارات اختراق دورية ومنتظمة ضمن برنامج شامل لإدارة الثغرات، وذلك بموجب نطاق المتطلبات 3.3 المتعلق بعمليات الأمن السيبراني. ويُشترط تنفيذ هذه الاختبارات مرة واحدة على الأقل سنوياً، فضلاً عن إجرائها في أعقاب أي تغييرات جوهرية على البنية التحتية أو إطلاق تطبيقات رئيسية أو تعديلات مادية على هيكل الشبكة.
يجب أن تشمل الاختبارات الأصول المكشوفة خارجياً، وشرائح الشبكة الداخلية، وتطبيقات الخدمات المصرفية الإلكترونية والجوّالة، والأنظمة الخلفية الحيوية. وبالنسبة للمؤسسات ذات الأهمية النظامية، ينبغي أن تتوافق الاختبارات مع إرشادات TIBER-SA لمحاكاة أساليب التهديدات المتقدمة المستمرة (APT).
من الناحية العملية، ينبغي أن يتضمن برنامج اختبار الاختراق لديك:
1. الاستعانة بمختبرين معتمدين من CREST أو ما يعادلها.
2. إعداد تقرير رسمي يُرفع إلى الإدارة العليا ولجنة مخاطر مجلس الإدارة.
3. متابعة خطط المعالجة عبر منصة GRC مع توثيق إغلاق الثغرات.
4. إدراج النتائج في سجل المخاطر ودورة الاستخبارات التهديدية.
كما يؤكد إطار NCA ECC-1:2018 في المادة 2-13 على ضرورة إجراء تقييمات تقنية دورية. ويُعدّ الاحتفاظ بالأدلة الموثقة لدورات الاختبار وإجراءات المعالجة أمراً بالغ الأهمية لتجنب التبعات الرقابية من ساما.
هل كانت الإجابة مفيدة؟
بموجب الضابط 3.3.7 من إطار الأمن السيبراني لساما الخاص بتقييم الثغرات واختبار الاختراق، يُلزَم البنوك والمؤسسات المالية السعودية بتنفيذ برنامج منظم لاختبار الاختراق ضمن منظومة ضمان الأمن السيبراني. أبرز المتطلبات: **الدورية**: يجب إجراء اختبارات الاختراق الخارجية مرة على الأقل سنوياً، فيما ينبغي أن تتزامن الاختبارات الداخلية مع أي تغييرات جوهرية في البنية التحتية أو إطلاق أنظمة جديدة. **النطاق**: يشمل الاختبار الأنظمة المكشوفة للإنترنت، والشبكات الداخلية، وتطبيقات الويب، والواجهات البرمجية (APIs)، وتطبيقات الخدمات المصرفية عبر الهاتف المحمول، إضافةً إلى تقييمات الهندسة الاجتماعية. **المنهجية**: ينبغي الاستناد إلى أطر معتمدة كـ PTES وOWASP وNIST SP 800-115، مع تصاعد توقعات ساما بإجراء تمارين الفريق الأحمر للبنوك الكبرى. **الاستقلالية**: تشترط ساما أن يُنفَّذ الاختبار من قِبَل جهة خارجية مؤهلة ومستقلة، تحمل شهادات معترفاً بها كـ OSCP أو CREST أو ما يعادلها. **التقارير والمعالجة**: يجب توثيق النتائج وتصنيفها حسب مستوى الخطر، وعرضها على الإدارة العليا، مع التزام بجداول زمنية للمعالجة لا تتجاوز 30 يوماً للثغرات الحرجة و90 يوماً للعالية. كذلك يجب مراعاة متطلبات المادة 2-14 من ضوابط الأمن السيبراني للهيئة الوطنية للأمن السيبراني المتعلقة بإدارة الثغرات التقنية.
هل كانت الإجابة مفيدة؟
تُلزم كل من متطلبات SAMA CSF (الضابط 3.3.3) ومتطلبات NCA ECC (النطاق 2-7) المؤسساتِ المالية السعوديةَ بتطبيق برنامج منظم لاختبار الاختراق. إليك أبرز ما يجب مراعاته:
**التكرار والنطاق:**
يجب إجراء اختبارات الاختراق الداخلية والخارجية مرة واحدة على الأقل سنوياً، وعقب أي تغيير جوهري في البنية التحتية. ويشمل النطاق الأنظمة المكشوفة للإنترنت والشبكات الداخلية وأنظمة الحوسبة المركزية والتطبيقات وواجهات برمجة التطبيقات (APIs).
**المنهجية المعتمدة:**
يُستلزم اتباع منهجيات معترف بها كـ OWASP أو PTES أو NIST SP 800-115، وتُوصى البنوك الكبرى بإجراء تمارين الفريق الأحمر لمحاكاة التهديدات المتقدمة المستمرة (APT).
**متطلبات مزود الخدمة:**
يجب أن يحمل المختبرون شهادات معتمدة (OSCP أو CEH أو CREST)، وأن يكونوا مستقلين عن فريق تقنية المعلومات الداخلي، مع إخضاعهم لعملية إدارة مخاطر الأطراف الثالثة.
**التقارير والمعالجة:**
تُصنَّف نتائج الاختبارات وفق مستويات المخاطر، وتُعالَج الثغرات الحرجة والعالية خلال 30 و90 يوماً على التوالي، مع توثيق الإجراءات التصحيحية وإثباتها.
**التوثيق للجهات الرقابية:**
يُحتفظ بتقارير الاختبارات وسجلات المعالجة لمدة لا تقل عن خمس سنوات، إذ تطلبها هيئة ساما بانتظام خلال عمليات التفتيش.
وللارتقاء ببرنامج الاختبار، يُنصح بدمج النتائج في سجل المخاطر المؤسسي وتوظيفها في تحسين برامج التوعية الأمنية ومراجعات بنية الأنظمة.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF — تحديداً الضابطة 3.3.5 الخاصة بإدارة الثغرات، والضابطة 3.4 المتعلقة باختبارات الاختراق — البنوكَ والمؤسساتِ المالية السعودية بإجراء اختبارات اختراق منهجية ودورية، وكذلك عند إجراء تغييرات جوهرية على البنية التقنية.
**الحد الأدنى لتكرار الاختبارات:**
- اختبار الاختراق الخارجي: مرة واحدة على الأقل سنوياً
- اختبار الشبكة الداخلية: مرة واحدة سنوياً على الأقل
- اختبار طبقة التطبيقات (ويب، موبايل، API): بعد كل إصدار رئيسي أو تغيير جوهري في الكود
- تمارين الفريق الأحمر (Red Team): يُوصى بها كل 18 إلى 24 شهراً للمؤسسات من الفئة الأولى
**نطاق الاختبار:**
يجب أن تشمل الاختبارات جميع الأنظمة الحيوية، من بينها: منصات الخدمات المصرفية الأساسية، وبوابات الخدمات الإلكترونية، والتطبيقات المحمولة، وواجهات شبكة SWIFT، وبوابات الدفع. ويعزز ذلك نظام NCA ECC في المادة 2-4-1، الذي يشترط إجراء تقييمات الثغرات وتمارين الاختراق الأخلاقي بوصفها جزءاً من منظومة الأمن السيبراني المستمرة.
**توجيهات عملية:**
1. الاستعانة بشركات اختبار معتمدة من CREST أو ما يعادلها
2. الحصول على موافقة رسمية من CISO على النطاق قبل بدء الاختبار
3. توثيق جميع النتائج في سجل معالجة مُصنَّف حسب درجة المخاطرة
4. معالجة الثغرات الحرجة خلال 30 يوماً، والعالية خلال 90 يوماً وفق توقعات SAMA
5. الاحتفاظ بتقارير الاختبار لمدة لا تقل عن 5 سنوات لأغراض التدقيق
**إعادة الاختبار:**
تشترط SAMA التحقق الفعلي من المعالجة، إذ لا يكفي مجرد إغلاق التذاكر، بل يُطلب إجراء اختبار إعادة رسمي أو توثيق ضوابط تعويضية. ويجب دمج نتائج الاختبارات في سجل المخاطر ورفع النتائج الجوهرية إلى لجنة المخاطر على مستوى مجلس الإدارة.
هل كانت الإجابة مفيدة؟
بموجب ضابط SAMA CSF رقم 3.3.7، تُلزَم البنوك والمؤسسات المالية السعودية بإجراء اختبارات اختراق دورية ضمن برنامج إدارة الثغرات الأمنية. ويشترط الإطار كحدٍّ أدنى إجراء اختبار اختراق خارجي وداخلي سنوياً، مع إجراء اختبارات إضافية عند حدوث تغييرات جوهرية في البنية التحتية أو إطلاق تطبيقات جديدة أو في أعقاب الحوادث الأمنية.
عملياً، تُجري معظم المؤسسات المالية الناضجة ما يلي:
- **اختبارات اختراق الشبكة الخارجية**: مرة على الأقل سنوياً، وتستهدف الأصول المكشوفة على الإنترنت وواجهات API والخدمات المصرفية المفتوحة.
- **اختبارات الشبكة الداخلية**: سنوياً أو عند إجراء تغييرات كبيرة على بنية الشبكة.
- **اختبار تطبيقات الويب والهاتف المحمول**: وفق SAMA CSF 3.3.6، يجب اختبار التطبيقات الحيوية كأنظمة الصيرفة الأساسية والتطبيقات المصرفية سنوياً على الأقل أو قبيل الإصدارات الكبرى.
- **تمارين الفريق الأحمر**: يُوصى بها كل عامين للبنوك من الفئة الأولى لمحاكاة التهديدات المتقدمة المستمرة.
يجب أن تُجرى الاختبارات من قِبل جهات خارجية مؤهلة ومستقلة، ويُفضَّل أن تكون معتمدة من CREST أو تحمل شهادات معادلة معترفاً بها لدى ساما. وينبغي توثيق النتائج رسمياً وتصنيفها حسب المخاطر ومعالجتها ضمن جداول زمنية محددة.
من أبرز الثغرات التي تُكشف خلال التدقيق: غياب إعادة الاختبار بعد المعالجة. لذا احرص على أن يتضمن برنامجك دورة تحقق رسمية، ودمج نتائج اختبارات الاختراق في سجل المخاطر وتقارير مجلس الإدارة لإظهار نضج الحوكمة.
هل كانت الإجابة مفيدة؟
تُعدّ اختبارات الاختراق ركيزةً أساسية في برامج ضمان الأمن السيبراني للمؤسسات المالية السعودية. فبموجب المتطلب 3.3.5 من إطار SAMA CSF، يُلزَم الأعضاء بإجراء اختبارات اختراق دورية تشمل الأنظمة الحيوية والتطبيقات والبنية التحتية للشبكات، وذلك للكشف عن الثغرات القابلة للاستغلال قبل أن تُستهدف من قِبل المهاجمين.
كذلك تُعزّز المادة 2-13 من معايير NCA ECC هذا التوجه، إذ تُوجب إجراء تقييمات تقنية دورية تشمل تمارين الفريق الأحمر وتقييمات الثغرات للجهات المصنّفة ضمن البنى التحتية الحيوية الوطنية.
ومن أبرز المتطلبات العملية:
- **الدورية الزمنية**: إجراء اختبار شامل مرة على الأقل سنوياً، مع إجراء اختبارات إضافية عند إجراء تغييرات جوهرية على الأنظمة.
- **نطاق الاختبار**: يجب أن يشمل تطبيقات الويب، وواجهات برمجة التطبيقات (APIs)، والشبكات الداخلية، وبيئات Active Directory، وواجهات SWIFT عند الاقتضاء.
- **كفاءة المختبِرين**: يُفضَّل الاستعانة بمحترفين معتمدين أو شركات متخصصة حاصلة على اعتمادات معترف بها.
- **متابعة المعالجة**: يجب توثيق خطط معالجة الثغرات الحرجة والعالية الخطورة ضمن جداول زمنية محددة.
- **إعداد التقارير للإدارة العليا**: يُلزم SAMA CSF بتقديم نتائج الاختبارات وحالة المعالجة إلى الإدارة العليا ولجنة المخاطر في مجلس الإدارة.
يُنصح أيضاً بتضمين اختبارات الهندسة الاجتماعية وسيناريوهات التصيد الاحتيالي لتقييم مستوى الوعي البشري، مع الحرص على توثيق سجل شامل لنتائج الاختبارات لتسهيل عمليات الرقابة التنظيمية.
هل كانت الإجابة مفيدة؟
يُعدّ اختبار الاختراق ركيزةً أساسية في برامج ضمان الأمن السيبراني بالمؤسسات المالية السعودية. فبموجب المتطلب 3.3.9 من إطار SAMA CSF، يتعين على المؤسسات إجراء اختبارات اختراق دورية تشمل الشبكات الداخلية، والأنظمة الخارجية، وتطبيقات الويب، والبنية التحتية الحيوية، وذلك بحد أدنى مرة سنوياً، أو عقب أي تغيير جوهري في الأنظمة.
على صعيد NCA ECC، تُلزم المادة 3.3 المؤسسات المصنّفة ضمن البنية التحتية الوطنية الحيوية بإجراء هذه الاختبارات بصفة منتظمة، مع تتبع نتائجها حتى المعالجة الكاملة — وكثيراً ما تُجرى بشكل نصف سنوي للبنوك الكبرى.
إليك أبرز التوجيهات العملية لفرق الامتثال:
1. **توسيع نطاق الاختبار**: ليشمل أنظمة الخدمات المصرفية الأساسية، وبوابات الدفع، وواجهات برمجة التطبيقات (APIs)، والتطبيقات المصرفية، والبيئات السحابية.
2. **الاستعانة بجهات معتمدة**: يُفضّل التعاقد مع مختبرين يحملون شهادات معترفاً بها مثل OSCP أو CREST، أو من تعتمدهم الهيئة الوطنية للأمن السيبراني.
3. **توثيق قواعد التعامل**: يجب تحديد النطاق والجداول الزمنية وجهات الاتصال الطارئة قبل بدء الاختبار.
4. **متابعة المعالجة**: يشترط SAMA CSF إثبات أن الثغرات الحرجة تُعالج ضمن مهل محددة، عادةً خلال 30 يوماً.
5. **الإفصاح لمستوى الحوكمة**: تُرفع ملخصات النتائج إلى لجنة المخاطر بمجلس الإدارة أو المسؤول الأول عن أمن المعلومات.
كما تتزايد توقعات المنظمين من البنوك الكبرى في إجراء تمارين الفرق الحمراء (Red Team) لمحاكاة التهديدات المتقدمة المستمرة (APT)، مما يُعزز ثقة الجهات الرقابية في مستوى نضج برنامج الأمن السيبراني.
هل كانت الإجابة مفيدة؟
يُعدّ اختبار الاختراق أحد المتطلبات الإلزامية في كلٍّ من SAMA CSF وNCA ECC، وعلى المؤسسات المالية السعودية الالتزام بمعايير محددة تتعلق بالنطاق والتكرار وإعداد التقارير.
**متطلبات SAMA CSF (الضابط 3.3.5 – إدارة الثغرات)**
تشترط هيئة ساما إجراء اختبارات اختراق داخلية وخارجية مرة واحدة على الأقل سنوياً، وكذلك بعد أي تغييرات جوهرية على البنية التحتية. ويجب أن تشمل الاختبارات: البنية التحتية للشبكة، وتطبيقات الويب، وتطبيقات الهاتف المحمول، وواجهات برمجة التطبيقات (APIs)، والأنظمة الداخلية الحيوية.
**متطلبات NCA ECC (ECC-1: 2-5)**
يُلزم إطار NCA ECC بإجراء تقييمات منتظمة للثغرات واختبارات اختراق ضمن برنامج ضمان الأمن. وقد تخضع المؤسسات المرتبطة بالجهات الحكومية لإرشادات الإطار الوطني لاختبار الاختراق (NPTF).
**النطاق الموصى به للبنوك والشركات المالية:**
- اختبار الاختراق الخارجي للأصول المكشوفة على الإنترنت
- اختبار تجزئة الشبكة الداخلية
- اختبار تطبيقات الويب والجوال وفق معايير OWASP
- اختبار أمان واجهات API للخدمات المصرفية المفتوحة
- محاكاة الهندسة الاجتماعية والتصيد الاحتيالي
- تقييم أمان أجهزة الصراف الآلي ونقاط البيع
**الجدول الزمني الموصى به:**
- اختبار اختراق شامل: سنوياً كحد أدنى
- اختبار التطبيقات الحيوية: بعد كل إصدار رئيسي
- فحص الثغرات: شهرياً أو ربع سنوياً
- تمارين الفريق الأحمر: كل 18-24 شهراً للمؤسسات الكبرى
**التقارير والمعالجة:**
يجب الاحتفاظ بتقارير الاختبارات وإتاحتها للمراجعين. وتُعالَج الثغرات الحرجة خلال 30 يوماً، والثغرات عالية الخطورة خلال 90 يوماً مع توثيق الإغلاق.
**نصيحة عملية:** تأكد من اعتماد الجهة المنفذة للاختبار (مثل اعتماد CREST) وإبرام وثيقة قواعد التعامل قبل بدء الاختبار لحماية جميع الأطراف قانونياً.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF تحت نطاق العمليات الأمنية (3.3) البنوكَ السعودية بإجراء اختبارات اختراق دورية ضمن برنامج شامل لإدارة الثغرات. وفيما يلي أبرز المتطلبات:
**الدورية الزمنية:**
- اختبار الاختراق الخارجي: مرة واحدة على الأقل سنوياً، وعقب أي تغيير جوهري في البنية التحتية
- اختبار الاختراق الداخلي: مرة واحدة على الأقل سنوياً
- الأنظمة الحيوية كالأنظمة المصرفية الأساسية وبوابات الدفع: يُوصى بالاختبار كل ستة أشهر
- اختبار تطبيقات الويب: قبل أي إصدار رئيسي وسنوياً بعد ذلك
**نطاق الاختبارات:**
يجب أن تشمل الاختبارات البنية التحتية للشبكات، والتطبيقات، وواجهات برمجة التطبيقات (APIs)، فضلاً عن سيناريوهات الهندسة الاجتماعية. كما يُشجَّع على إجراء تمارين الفريق الأحمر للمؤسسات الكبرى.
**المعايير المعتمدة:**
تتوقع هيئة SAMA أن تتبع الاختبارات منهجيات معترفاً بها مثل OWASP وPTES وNIST SP 800-115، وأن يحمل المختبرون شهادات معتمدة كـ OSCP أو CREST.
**متطلبات المعالجة:**
يجب معالجة الثغرات الحرجة والعالية الخطورة ضمن جداول زمنية محددة، لا تتجاوز 15 يوماً للثغرات الحرجة، مع توثيق جميع النتائج وتقديمها عند الطلب.
**التقارير:**
يجب مراجعة تقرير الاختراق من قِبل الإدارة العليا والـ CISO، وتوثيق قبول المخاطر المتبقية رسمياً.
تجدر الإشارة إلى أن المادة 2-7 من إطار NCA ECC تفرض متطلبات مماثلة، ويُنصح بمواءمة كلا الإطارين في جدول اختبار موحد لتقليل التكرار وضمان التغطية الشاملة.
هل كانت الإجابة مفيدة؟
يُلزم إطار الأمن السيبراني لساما (SAMA CSF) المؤسسات المالية بإجراء اختبارات اختراق دورية ومنهجية بوصفها ركيزة أساسية في برنامج إدارة الثغرات الأمنية.
**الدورية والنطاق:**
- يجب إجراء اختبارات الاختراق الخارجية والداخلية مرة واحدة على الأقل سنوياً
- كما يُستوجب إجراؤها بعد أي تغييرات جوهرية في البنية التحتية أو إطلاق تطبيقات رئيسية أو في أعقاب أي حادثة أمنية
- يجب أن يشمل النطاق الأنظمة المتصلة بالإنترنت والشبكات الداخلية وتطبيقات الصيرفة الأساسية والقنوات الرقمية
**المنهجية والمعايير:**
- ينبغي الاستناد إلى منهجيات معتمدة مثل OWASP وPTES وOSSTMM
- يُشجع على إجراء تمارين الفريق الأحمر للمؤسسات ذات النضج الأمني العالي لمحاكاة التهديدات المتقدمة المستمرة
- يُعزز ضابط NCA ECC 2-5-3 هذه المتطلبات من خلال التأكيد على أهمية التقييمات التقنية الدورية
**متطلبات مزود الخدمة:**
- تشترط ساما أن يُنفَّذ الاختبار من قِبل جهات مستقلة ومؤهلة، إذ لا يكفي الاعتماد على الفريق الداخلي وحده كدليل امتثال
- يُفضَّل أن يحمل المختبرون شهادات معتمدة كـ OSCP أو CREST أو CEH
**المعالجة وإعداد التقارير:**
- يجب معالجة الثغرات الحرجة والعالية الخطورة ضمن مهل زمنية محددة، وعادةً لا تتجاوز 30 يوماً للثغرات الحرجة
- يجب توثيق عملية المتابعة والاحتفاظ بالأدلة لأغراض الفحص الرقابي
- يُعدّ إعادة الاختبار للتحقق من فاعلية الإصلاحات متطلباً إلزامياً
**نصيحة عملية:** ادمج نتائج اختبارات الاختراق في سجل المخاطر وقدّمها للجنة المخاطر على مستوى مجلس الإدارة لإثبات التوافق مع متطلبات الحوكمة في النطاق الثالث من إطار SAMA CSF.
هل كانت الإجابة مفيدة؟
بموجب ضوابط إطار الأمن السيبراني لمؤسسة النقد العربي السعودي (SAMA CSF)، لا سيما الضابط 3.3.4 المتعلق بإدارة الثغرات والضابط 3.3.5 الخاص باختبار الاختراق، يتعين على البنوك والمؤسسات المالية في المملكة إجراء اختبارات اختراق منتظمة وشاملة ضمن برنامج تقييم أمني رسمي قائم على المخاطر.
من أبرز المتطلبات التي يجب مراعاتها:
**التكرار:** يشترط SAMA إجراء اختبار اختراق خارجي وداخلي مرة واحدة على الأقل سنوياً، مع ضرورة إعادة الاختبار عند إجراء تغييرات جوهرية على البنية التحتية أو إطلاق منتجات جديدة.
**النطاق:** يجب أن يشمل الاختبار البنية التحتية للشبكة، وتطبيقات الويب، ومنصات الخدمات المصرفية عبر الجوال، وواجهات برمجة التطبيقات (APIs)، فضلاً عن بيئات SWIFT التي تستوجب اختبارات مستقلة وفق ضوابط SWIFT CSCF.
**المنهجية:** يُنصح باتباع أطر معترف بها دولياً مثل PTES وOWASP وOSSTMM، مع تغطية سيناريوهات الصندوق الأسود والرمادي.
**الكفاءة والاستقلالية:** يجب أن يُنفَّذ الاختبار من قِبل جهات خارجية مستقلة أو فريق داخلي متخصص يحمل شهادات معتمدة كـ OSCP أو CREST، على أن يكون مستقلاً تماماً عن فرق تطوير الأنظمة المُختبَرة.
**التقارير والمعالجة:** تُصنَّف النتائج وفق مستويات الخطورة، وتُعالج الثغرات الحرجة خلال 30 يوماً والعالية خلال 90 يوماً، مع الاحتفاظ بسجلات المعالجة لأغراض التدقيق.
**الإفصاح للإدارة:** تُرفع نتائج اختبارات الاختراق وحالة المعالجة إلى الإدارة العليا ولجنة مخاطر مجلس الإدارة بصفة دورية. كما يتوافق هذا البرنامج مع متطلبات المادة 2-11 من ضوابط الأمن السيبراني للجهات الحكومية (NCA ECC). المؤسسة الناضجة لا تعتبر اختبار الاختراق مجرد التزام شكلي، بل أداة استخباراتية دفاعية مستمرة.
هل كانت الإجابة مفيدة؟
يُلزم إطار SAMA CSF في المتطلب 3.3.7 جميع البنوك والمؤسسات المالية بإجراء اختبارات اختراق دورية ضمن برنامج إدارة الثغرات والمرونة السيبرانية. وتشمل المتطلبات الأساسية ثلاثة محاور: أولاً، إجراء اختبار سنوي شامل يغطي الشبكات الخارجية والداخلية والتطبيقات والواجهات البرمجية؛ وثانياً، إجراء اختبارات مستهدفة عقب أي تغيير جوهري في البنية التحتية أو إطلاق تطبيق جديد؛ وثالثاً، تنفيذ تمارين الفريق الأحمر مرة كل سنتين على الأقل للمؤسسات من الفئة الأولى. يجب أن يتولى الاختبار مزودون خارجيون مؤهلون أو فرق داخلية معتمدة بشهادات مثل OSCP أو CREST. كما يجب أن تتوافق المنهجية المُتبعة مع معايير OWASP وPTES. أما الثغرات عالية الخطورة فيجب معالجتها خلال 30 إلى 90 يوماً بحسب درجة المخاطرة، مع توثيق الإجراءات التصحيحية. ويُعزز المادة 2-14 من NCA ECC هذه المتطلبات بإلزام المؤسسات بالتقييمات التقنية الدورية. وتدعم منصتنا هذه العملية من خلال تتبع النتائج آلياً وإصدار تقارير متوافقة مع متطلبات SAMA، مع الحفاظ على سجل تدقيق كامل جاهز للمراجعة التنظيمية.
هل كانت الإجابة مفيدة؟
بموجب متطلبات إطار SAMA CSF (التحكم 3.3.5 الخاص بإدارة الثغرات)، يُلزَم كل بنك ومؤسسة مالية في المملكة بإجراء اختبارات اختراق دورية ومنهجية ضمن برنامج متكامل لإدارة الثغرات الأمنية. والحد الأدنى المطلوب هو إجراء اختبار خارجي وداخلي مرة واحدة على الأقل سنوياً، مع ضرورة إجراء اختبارات إضافية عند حدوث تغييرات جوهرية في البنية التحتية أو عند إطلاق تطبيقات جديدة أو عقب وقوع أي حادثة أمنية.
أبرز المتطلبات:
**النطاق والتغطية:** يجب أن تشمل الاختبارات الأنظمة المكشوفة على الإنترنت، والشبكات الداخلية، والتطبيقات المصرفية الحيوية كالأنظمة الأساسية وبوابات الدفع والتطبيقات المصرفية، إضافةً إلى بيئات SWIFT حيث يكون ذلك منطبقاً.
**المنهجية:** يُتوقع أن تتبع الاختبارات منهجيات معتمدة مثل OWASP لتطبيقات الويب، وPTES أو OSSTMM لتقييمات البنية التحتية، فضلاً عن ما تفرضه المادة 2-14 من إطار NCA ECC من ضرورة التقييم التقني المنظم.
**الكفاءة والاستقلالية:** يجب أن يُنفَّذ الاختبار بواسطة فرق داخلية مؤهلة أو مزودين خارجيين معتمدين من CREST أو CHECK، مع ضمان استقلاليتهم عن فرق التطوير والتشغيل.
**التقارير والمعالجة:** تُوثَّق النتائج وتُصنَّف وفق مستويات المخاطر، ويُعالَج كل ما هو بدرجة عالية أو حرجة خلال 30 يوماً مع تقديم الأدلة لجهات الحوكمة المختصة.
**تمارين الفريق الأحمر:** للمؤسسات الكبرى، يتجه ساما نحو اشتراط تمارين محاكاة متقدمة (Red Team) وفق إطار TIBER-SA لاختبار القدرات الدفاعية.
نصيحة عملية: احتفظ بسجل موحد لاختبارات الاختراق يتضمن التواريخ والنطاق والنتائج وحالة المعالجة، إذ يُطلب هذا السجل بشكل متكرر خلال الفحوصات الرقابية لساما.
هل كانت الإجابة مفيدة؟
يجب أن تستوفي اختبارات الاختراق في المؤسسات المالية السعودية متطلبات كل من SAMA CSF (الضابط 3.3.7 – إدارة الثغرات) وNCA ECC (المادة 2-8، إدارة الثغرات التقنية). إليك الإطار العملي لذلك: **الدورية:** يُجرى اختبار الاختراق الخارجي مرة على الأقل سنوياً وعقب أي تغيير جوهري في الأنظمة، فيما تخضع الشبكات الداخلية والتطبيقات لدورة اختبار سنوية مماثلة، مع تكثيف الاختبارات للأصول المكشوفة على الإنترنت. **تحديد النطاق:** يشمل النطاق التطبيقات المكشوفة على الإنترنت، والشبكات الداخلية، وبنية أجهزة الصراف الآلي ونقاط البيع، وواجهات API، وتطبيقات الهاتف المتحرك. يتوقع مفتشو SAMA أن يشمل النطاق الأنظمة الجوهرية الأكثر حساسية. **المنهجية:** يُستحسن اتباع منهجيات معتمدة كـ PTES وOWASP وNIST SP 800-115، فيما بات SAMA يتوقع من البنوك من الفئة الأولى إجراء تمارين Red Team محاكاةً لسيناريوهات التهديدات المتقدمة. **مؤهلات مزود الخدمة:** يُشترط التعاقد مع جهات مؤهلة تحمل اعتماد CREST أو ما يعادله، كما تشترط NCA تقييم مخاطر سلسلة التوريد للمزودين العاملين على البنية التحتية الحكومية. **متابعة المعالجة:** توثيق خطة معالجة لكل ثغرة حرجة أو عالية الخطورة مع تحديد أصحاب المسؤولية والمواعيد، علماً بأن SAMA يتوقع معالجة الثغرات الحرجة خلال 30 يوماً مع إعادة الاختبار قبل إغلاق النتائج. **التوثيق والاحتفاظ:** الاحتفاظ بتقارير الاختبارات وأدلة المعالجة لمدة لا تقل عن خمس سنوات، ورفع ملخصات تنفيذية إلى لجنة المخاطر أو التدقيق في مجلس الإدارة سنوياً.
هل كانت الإجابة مفيدة؟
بموجب ضابط SAMA CSF رقم 3.3.6، يُلزَم البنوك والمؤسسات المالية السعودية بإجراء اختبارات اختراق دورية كجزء أساسي من برنامج إدارة الثغرات الأمنية. يشترط الإطار كحد أدنى إجراء اختبار اختراق خارجي سنوي، فيما ينبغي أن يتوافق اختبار الشبكة الداخلية مع أي تغييرات جوهرية في البنية التحتية أو مرة واحدة سنوياً على الأقل. أما المؤسسات التي تمتلك تطبيقات مكشوفة على الإنترنت — كتطبيقات الخدمات المصرفية عبر الهاتف المحمول وواجهات برمجة التطبيقات المصرفية المفتوحة — فيتعين عليها إجراء اختبارات على مستوى طبقة التطبيق قبل الإصدارات الرئيسية وكل ستة أشهر على الأقل في بيئة الإنتاج. يجب أن تُنفَّذ الاختبارات من قِبل جهات مؤهلة ومستقلة. وتشمل المتطلبات الرئيسية: تحديد نطاق الاختبار ليشمل جميع الأصول الحيوية، ووضع خطة معالجة رسمية لإغلاق الثغرات الحرجة والعالية الخطورة، ورفع نتائج مفصلة للإدارة العليا ومجلس الإدارة، وإعادة الاختبار للتحقق من فاعلية المعالجة. كما يشترط NCA ECC في المادة 2-5 إجراء تقييمات تقنية دورية تشمل اختبارات الاختراق. ولا ينبغي النظر إلى اختبار الاختراق باعتباره مجرد متطلب شكلي، بل يجب دمج نتائجه في دورة استخبارات التهديدات وتوظيفها لاختبار فاعلية الضوابط الأمنية في مواجهة سيناريوهات الهجوم الحقيقية.
هل كانت الإجابة مفيدة؟
بموجب إطار الأمن السيبراني لساما، لا سيما الضوابط المتعلقة بإدارة الثغرات واختبار الاختراق، يتعين على البنوك والمؤسسات المالية السعودية تطبيق برنامج منظم لاختبار الاختراق. وفيما يلي أبرز المتطلبات العملية:
**الدورية:** يجب إجراء اختبارات الاختراق الخارجية مرة على الأقل سنوياً، مع ضرورة تكثيف الاختبارات للأنظمة الحساسة والتطبيقات المكشوفة على الإنترنت، خاصةً عقب أي تغييرات جوهرية في البنية التحتية.
**النطاق:** يشمل الاختبار البنية التحتية للشبكات، وتطبيقات الخدمات المصرفية الإلكترونية والجوالة، والأنظمة الداخلية، فضلاً عن سيناريوهات الهندسة الاجتماعية. كما أن اختبار أمان واجهات برمجة التطبيقات (APIs) بات ضرورة ملحّة لشركات التقنية المالية.
**المنهجية:** يُفضّل اتباع منهجيات معترف بها مثل OWASP وPTES وNIST SP 800-115، مع التركيز على محاكاة تهديدات واقعية.
**الكفاءة المهنية:** يجب أن ينفذ الاختبارات متخصصون معتمدون بشهادات مثل OSCP أو CEH أو CREST، ويُستحسن الاستعانة بجهة خارجية مستقلة.
**متابعة المعالجة:** تُصنَّف النتائج حسب مستوى الخطر وتُعالَج ضمن إطار زمني محدد — عادةً 15 إلى 30 يوماً للثغرات الحرجة — مع الاحتفاظ بوثائق الإغلاق لأغراض التدقيق.
الجدير بالذكر أن مواءمة برنامج اختبار الاختراق مع متطلبات الهيئة الوطنية للأمن السيبراني يعزز الامتثال الشامل للمؤسسات الخاضعة للإطارين معاً.
هل كانت الإجابة مفيدة؟
يُلزم إطار الأمن السيبراني لمؤسسة النقد العربي السعودي (ساما) في نطاق التحكم 3.3 المتعلق بالمرونة السيبرانية، جميعَ البنوك والمؤسسات المالية بإجراء اختبارات اختراق دورية ومنتظمة ضمن برنامج ضمان الأمن السيبراني. ويُشترط تنفيذ هذه الاختبارات سنويًا على الأقل لجميع الأنظمة والتطبيقات الحيوية، فضلًا عن إجرائها عند أي تغييرات جوهرية في البنية التحتية أو إطلاق منتجات جديدة أو في أعقاب معالجة الحوادث الأمنية.
يجب أن يشمل نطاق الاختبار البنية التحتية للشبكات الداخلية والخارجية، وتطبيقات الخدمات المصرفية عبر الإنترنت والجوال، وواجهات برمجة التطبيقات (APIs)، وأنظمة الأطراف الثالثة المتكاملة. ويُنصح باتباع منهجيات معتمدة مثل PTES أو OWASP لاختبارات طبقة التطبيقات.
أبرز المتطلبات:
- **الاستقلالية والكفاءة**: يجب أن تُجرى الاختبارات السنوية من قِبل جهات خارجية معتمدة (CREST أو ما يعادلها).
- **جداول المعالجة**: تُعالج الثغرات الحرجة (CVSS ≥ 9.0) خلال 30 يومًا، والثغرات العالية خلال 90 يومًا.
- **التحقق من المعالجة**: يجب إعادة اختبار الثغرات المعالجة قبل اعتبارها مغلقة.
- **الإبلاغ**: تُرفع نتائج الاختبارات إلى مسؤول أمن المعلومات ولجان الحوكمة المعنية.
تجدر الإشارة إلى أن المادة 3-5 من ضوابط الأمن السيبراني الوطنية (ECC) الصادرة عن الهيئة الوطنية للأمن السيبراني تُعزز هذه الالتزامات ذاتها. احرص على الاحتفاظ بجميع تقارير الاختبارات وأدلة المعالجة لمدة لا تقل عن خمس سنوات لأغراض التدقيق والرقابة التنظيمية.
هل كانت الإجابة مفيدة؟
يُعدّ اختبار الاختراق متطلباً صريحاً بموجب الضبط 4.4.2 من SAMA CSF وكذلك NCA ECC-2: 1-7، مما يجعله نشاطاً إلزامياً لجميع البنوك والشركات المالية والتقنية المالية في المملكة. وفيما يلي كيفية بناء برنامج اختبار اختراق متوافق وفعّال:
**متطلبات التكرار:**
- يشترط SAMA CSF إجراء اختبار اختراق للأنظمة الحرجة مرة واحدة على الأقل سنوياً
- يُجرى الاختبار أيضاً عقب أي تغييرات جوهرية في البنية التحتية أو إطلاق تطبيقات رئيسية أو معالجة الحوادث
- توصي NCA ECC بإجراء تمارين الفريق الأحمر (Red Team) للجهات الحيوية من الدرجة الأولى
**تحديد النطاق:** يشمل النطاق الأصول المكشوفة على الإنترنت (التطبيقات وواجهات API والبوابات الإلكترونية)، والشبكات الداخلية، وأنظمة البنوك الأساسية، وأنظمة الدفع. وتتوقع SAMA أن يغطي الاختبار جميع الخدمات التجارية الحرجة.
**متطلبات مزوّد الخدمة:** يُستعان بمزودين مؤهلين يحملون شهادات معتمدة كـ OSCP أو CREST أو CHECK أو ما يعادلها، وأن يكونوا على دراية بالبيئة التنظيمية السعودية.
**المنهجية:** يُعتمد على معايير موثوقة كـ PTES، ودليل اختبار OWASP للتطبيقات، وأسلوب TIBER-SA للتمارين المتقدمة القائمة على استخبارات التهديدات.
**التقارير والمعالجة:** تُعالَج الثغرات الحرجة والعالية خلال مدد محددة (30 يوماً للثغرات الحرجة عادةً)، مع الاحتفاظ بسجل معالجة رسمي وإجراء إعادة اختبار للتحقق من الإصلاحات.
**أدلة التدقيق:** يطلب مدققو SAMA تقارير الاختبار وسجلات المعالجة وأدلة الإغلاق. احرص على تخزينها بشكل آمن ضمن منصة GRC مع ضوابط وصول مناسبة لحماية معلومات الثغرات الحساسة.
هل كانت الإجابة مفيدة؟
اختبار الاختراق ليس خياراً بل التزاماً تنظيمياً صريحاً بموجب SAMA CSF في المجال 3.2 والضابط 3.2.5، إذ يُلزم البنوك السعودية بإجراء تقييمات أمنية هجومية دورية ومنهجية.
**المتطلبات التنظيمية الأساسية**
يجب إجراء اختبارات اختراق داخلية وخارجية مرة على الأقل سنوياً، أو عقب أي تغيير جوهري في البنية التحتية. ويُشترط أن تُنفَّذ من قِبل جهة مستقلة ومؤهلة، إذ لا تكفي الفرق الداخلية وحدها لاستيفاء شرط الاستقلالية. كما يجب توثيق النتائج وخطط المعالجة وإعادة الاختبار للاحتفاظ بها للمراجعة التنظيمية.
**تصميم نطاق الاختبار**
حدد النطاق بناءً على سجل أصولك الحيوية، وأدرج كحد أدنى: التطبيقات والواجهات البرمجية المكشوفة للإنترنت، وأنظمة الصيرفة الأساسية، وبنية SWIFT ومدفوعات، وأنظمة إدارة الهوية والدليل النشط، والشبكات الصناعية عند الانطباق.
**المنهجيات المعتمدة**
استخدم أطر عمل معترفاً بها مثل PTES وOWASP وMITRE ATT&CK. وللقطاع المالي تحديداً، يتجه مفتشو SAMA نحو توقع اختبارات قيادة التهديد المستوحاة من TIBER-EU وCBEST.
**الفرق بين اختبار الاختراق وتمارين الفريق الأحمر**
للبنوك الكبرى، بات SAMA يتوقع تمارين فريق أحمر تحاكي خصماً متقدماً ومتواصلاً، لا مجرد استغلال ثغرات نقطية. الهدف هنا قياس قدرة الكشف والاستجابة.
**التقارير والمعالجة**
يجب أن تتضمن النتائج الحرجة والعالية جداول زمنية للمعالجة، مع رصدها في منصة GRC وإيصال الثغرات غير المعالجة لعلم مجلس الإدارة أو لجنة المخاطر.
هل كانت الإجابة مفيدة؟
يُعدّ اختبار الاختراق متطلباً إلزامياً بموجب كل من SAMA CSF (الضابط 3.3.7 – إدارة الثغرات) وNCA ECC (المادة 2-13 – إدارة الثغرات التقنية)، إذ يُلزم المؤسسات المالية بإجراء اختبارات هجومية منتظمة ومنهجية لبيئاتها التقنية.
**الدورية المطلوبة:**
- اختبار الاختراق الخارجي: سنوياً على الأقل، وبعد أي تغيير جوهري في البنية التحتية.
- اختبار الاختراق الداخلي: سنوياً.
- اختبار تطبيقات الويب والهاتف المحمول والواجهات البرمجية (API): بعد كل إصدار رئيسي أو سنوياً أيهما أقرب.
- تمارين الفريق الأحمر: يوصي SAMA CSF بإجرائها كل عامين على الأقل للمؤسسات من الفئة الأولى.
**تحديد نطاق الاختبار:**
1. حدد النطاق بدقة ليشمل الأصول المكشوفة على الإنترنت، وواجهات برمجة الخدمات المصرفية الجوهرية، وتطبيقات الهاتف المحمول، وواجهات SWIFT، والشبكات الداخلية التي تتعامل مع بيانات العملاء.
2. ضع وثيقة قواعد الاشتباك (RoE) التي تحدد الأساليب المسموح بها، والأنظمة المستثناة، وإجراءات التصعيد.
3. استند إلى منهجيات معتمدة كـ PTES وOWASP وNIST SP 800-115.
4. اعتمد مختبرين مستقلين خارجيين للأنظمة الحساسة، إذ لا يكفي الاكتفاء بالفرق الداخلية.
**المعالجة وإعداد التقارير:**
يجب معالجة الثغرات الحرجة والعالية خلال 30 يوماً، مع رفع تقرير المعالجة إلى المسؤول الأول عن أمن المعلومات ولجنة المخاطر. كما يستلزم NCA ECC إدراج النتائج في سجل الثغرات وخطة معالجة المخاطر.
**نصيحة عملية:** استعن بشركات اختبار حاصلة على اعتماد CREST أو معتمدة من هيئة الاتصالات لضمان قبول النتائج تنظيمياً.
هل كانت الإجابة مفيدة؟
يُعدّ برنامج اختبار الاختراق المنظم والمبني على أساس المخاطر ركيزةً أساسية للامتثال لمتطلبات هيئة ساما بموجب ضابط 3.3.7 والهيئة الوطنية للأمن السيبراني بموجب المادة 3-3 من معايير ECC. ولتحقيق هذا الامتثال، يتعين على البنوك السعودية مراعاة المحاور التالية:
**الدورية والنطاق:** يجب إجراء اختبارات اختراق شاملة داخلية وخارجية مرة واحدة على الأقل سنوياً، وعقب كل تغيير جوهري في البنية التحتية أو التطبيقات. ويشمل النطاق الأصول المكشوفة للإنترنت، والبنية الداخلية، وأنظمة SWIFT، وتطبيقات الهاتف المحمول، وشبكات أجهزة الصراف الآلي، والأنظمة المرتبطة بالأطراف الثالثة.
**المنهجية:** يُنصح باعتماد منهجيات معترف بها دولياً مثل OWASP لتطبيقات الويب، وPTES للبنية التحتية، وأطر Red Team المتقدمة مثل TIBER-EU التي باتت ساما تتوقعها من البنوك الكبرى.
**المؤهلات والاستقلالية:** يشترط كلا الإطارين أن يُجري الاختبارات متخصصون مستقلون مؤهلون بشهادات معتمدة كـ OSCP أو CREST، على ألا يكونوا قد شاركوا في بناء الأنظمة الخاضعة للاختبار.
**المعالجة والمتابعة:** يجب معالجة الثغرات الحرجة خلال 15 يوماً والعالية خلال 30 يوماً، مع الاحتفاظ بسجلات معالجة موثقة وأدلة إعادة الاختبار، إذ قد تطلبها هيئة ساما أثناء جلسات الفحص الرقابي.
**التقارير:** يستلزم الامتثال إعداد تقارير تقنية تفصيلية لفرق الأمن، إلى جانب ملخصات تنفيذية تُرفع إلى مجلس الإدارة ولجنة المخاطر، وفق متطلبات الحوكمة في إطار SAMA CSF.
هل كانت الإجابة مفيدة؟
تُلزم الضوابط الأساسية للأمن السيبراني الصادرة عن هيئة الأمن السيبراني الوطني (NCA ECC) جميع الجهات الخاضعة لنطاق تطبيقها — بما فيها الجهات الحكومية وشبه الحكومية ومشغّلو البنية التحتية الحيوية — باتباع نهج منهجي في اختبارات الاختراق وتقييم الثغرات، وذلك بصفة رئيسية وفق النطاق الثاني (دفاع الأمن السيبراني).
**أبرز المتطلبات:**
**1. النطاق والتكرار (ECC 2-13):** يجب إجراء اختبارات اختراق شاملة مرةً على الأقل سنوياً، وعقب أي تغيير جوهري في البيئة التقنية كالترقيات الكبرى أو الاستعادة بعد الحوادث.
**2. مؤهلات المختبِرين:** توصي الهيئة بالاستعانة بشركات اختبار اختراق معتمدة، يُفضَّل أن تحمل اعتمادات CREST أو ما تعترف به الهيئة. يُقبل الفريق الداخلي شريطة إثبات الاستقلالية والكفاءة.
**3. تغطية النطاق:** تشمل الاختبارات المحيط الخارجي والشبكة الداخلية وتطبيقات الويب وواجهات البرمجة (APIs)، وفي حالة مشغّلي البنية التحتية الحيوية، تمتد لتشمل بيئات التحكم الصناعي (OT/ICS)، إضافةً إلى محاكاة الهندسة الاجتماعية وفق ECC 2-14.
**4. المنهجية المعتمدة:** يُستحسن الاستناد إلى معايير دولية كـ PTES وOWASP WSTG للتطبيقات وIEC 62443 لبيئات OT.
**5. تتبع المعالجة:** تشترط الهيئة معالجة الثغرات الحرجة والعالية ضمن مهل محددة، مع تقديم تقرير معالجة رسمي وإدراج الثغرات المفتوحة في منظومة إدارة الثغرات.
**6. الإبلاغ للـ NCOC:** يُلزَم مشغّلو البنية التحتية الحيوية بالإفصاح عن النتائج الجسيمة للمركز الوطني لعمليات الأمن السيبراني.
**نصيحة عملية:** أعدّ وثيقة ميثاق اختبار الاختراق تحدد النطاق وقواعد الاشتباك وسلطة الموافقة، فهي تُلبي متطلبات تدقيق NCA ECC وتُعزز نضج الحوكمة أمام مُقيّمي SAMA CSF.
هل كانت الإجابة مفيدة؟
بموجب المجال الرابع من إطار SAMA CSF المتعلق بعمليات الأمن السيبراني، يُلزَم البنوك والمؤسسات المالية السعودية بإجراء اختبارات الاختراق بوصفها ركيزة أساسية في برنامج إدارة الثغرات وتقييم التهديدات. وتحديداً، يشترط الضابط 4.3 إجراء هذه الاختبارات مرة على الأقل سنوياً، فضلاً عن إجرائها عقب أي تغيير جوهري في البنية التحتية، أو إطلاق إصدار رئيسي للتطبيقات، أو في أعقاب أي حادثة سيبرانية ذات أثر بالغ.
يجب أن تشمل الاختبارات جميع الأصول الحرجة، بما فيها الأنظمة المكشوفة على الإنترنت، ومنصات الخدمات المصرفية الأساسية، والشبكات الداخلية، والتطبيقات المتنقلة والإلكترونية. كما يتوقع الإطار الالتزام بمنهجيات معتمدة كـ OWASP أو PTES أو TIBER-EU لمحاكاة التهديدات المتقدمة.
من أبرز المتطلبات العملية:
- **النطاق**: تغطية الطبقات الخارجية والداخلية وطبقات التطبيقات.
- **التقارير**: تصنيف النتائج وفق مستوى المخاطر، وتحديد جداول زمنية للمعالجة، وعرض النتائج على الإدارة العليا ولجنة مخاطر مجلس الإدارة.
- **تتبع المعالجة**: يجب معالجة الثغرات الحرجة والعالية الخطورة خلال 30 إلى 90 يوماً بحسب درجة الخطورة.
- **إعادة الاختبار**: إجراء اختبارات تحقق بعد المعالجة لضمان إغلاق الثغرات.
- **التوافق مع NCA ECC**: تشترط المادة 2-7 من إطار NCA ECC الاحتفاظ بتقارير الاختبارات وخطط المعالجة كأدلة تدقيق متاحة للجهات الرقابية عند الطلب.
منصتنا تُتيح أتمتة جدولة الاختبارات، وإدارة النتائج، وتتبع خطوات المعالجة، وإعداد تقارير جاهزة للتدقيق، مما يُبقي مؤسستك في حالة امتثال مستمر.
هل كانت الإجابة مفيدة؟
يُعدّ اختبار الاختراق ضابطًا إلزاميًا في كلٍّ من SAMA CSF وNCA ECC، ويجب على البنوك السعودية التعامل معه بوصفه برنامجًا منظمًا ومبنيًا على المخاطر، لا مجرد متطلب شكلي.
**متطلبات SAMA CSF (الضابط 3.3.6 – إدارة الثغرات):**
- اختبار اختراق خارجي: **سنويًا على الأقل**، وبعد أي تغييرات جوهرية في البنية التحتية
- اختبار الشبكة الداخلية: سنويًا
- اختبار التطبيقات وفق منهجية OWASP: قبل الإصدارات الكبرى وسنويًا لجميع تطبيقات العملاء
- تمارين الفريق الأحمر للبنوك الكبرى: يُنصح بها كل ستة أشهر لمحاكاة التهديدات المتقدمة المستمرة
**متطلبات NCA ECC (المادة 2-7 – التقييم السيبراني):**
- تلزم الهيئة الوطنية للأمن السيبراني الجهات المصنفة ضمن البنية التحتية الحيوية بإجراء تقييمات دورية تشمل اختبارات الاختراق على مستوى الشبكة والتطبيقات والجوانب المادية.
- يجب أن يحمل المختبرون شهادات معتمدة كـ OSCP أو CREST أو ما يعادلها.
**نطاق الاختبار في البنوك:**
يجب أن يشمل الاختبار: الأنظمة المصرفية الجوهرية، وتطبيقات الهاتف المحمول، وواجهات API، وبنية SWIFT، وشبكات أجهزة الصراف الآلي. كما يجب إضافة اختبارات الهندسة الاجتماعية (محاكاة التصيد الاحتيالي) إلى جانب الاختبارات التقنية، مع تخصيص نطاق منفصل للبيئات السحابية.
**إدارة النتائج:**
يشترط SAMA CSF وجود عملية معالجة رسمية:
- **الثغرات الحرجة والعالية:** المعالجة خلال **30 يومًا**
- **الثغرات المتوسطة:** المعالجة خلال **90 يومًا**
- **الثغرات المنخفضة:** تسجيلها في سجل المخاطر مع جداول زمنية محددة
يجب الاحتفاظ بجميع تقارير اختبارات الاختراق وأدلة المعالجة وموافقات الاستثناء لمدة **لا تقل عن 5 سنوات**، وإتاحتها عند التفتيش الرقابي.
توفر منصتنا قوالب جاهزة لبرامج اختبار الاختراق، وأدوات تتبع النتائج المتكاملة مع سجل المخاطر، وربطًا مسبقًا بأدلة الضوابط لدورات تدقيق SAMA وNCA.
هل كانت الإجابة مفيدة؟
تُوجب ضوابط الأمن السيبراني الأساسية الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA ECC) إجراء اختبارات الاختراق بوصفها نشاطاً تقنياً جوهرياً للتحقق من مستوى الحماية، وذلك ضمن نطاق التحكم 2-5 (المرونة السيبرانية — اختبار الاختراق). وفيما يلي دليل شامل للمنظمات السعودية:
**متطلبات NCA ECC:**
يُلزم الضابط 2-5-1 المنظماتِ بإجراء اختبارات اختراق شاملة لجميع الأنظمة الحيوية والتطبيقات والبنية التحتية للشبكات، على أن تُنفَّذ من قِبل مختبرين مؤهلين ومستقلين — سواء كانوا داخليين أو متخصصين معتمدين من جهات خارجية — مع توثيق النتائج وإجراءات المعالجة وعمليات الاختبار اللاحق.
**الدورية المقررة:**
تشترط NCA ECC إجراء اختبارات الاختراق مرةً على الأقل سنوياً، إضافةً إلى اختبارات استثنائية تُجرى عقب أي تغييرات جوهرية كترقيات الأنظمة، أو إطلاق تطبيقات جديدة، أو تعديل بنية الشبكة، أو بعد حوادث أمنية مؤكدة.
**تحديد النطاق:**
يشمل النطاق الفعّال لاختبار الاختراق: اختبار المحيط الخارجي (الأصول المواجهة للإنترنت، وواجهات API، وتطبيقات الويب)، واختبار الشبكة الداخلية (التحرك الجانبي والتصعيد في الصلاحيات)، واختبار طبقة التطبيقات وفق OWASP Top 10، وتقييمات الهندسة الاجتماعية، واختبارات أمان الشبكات اللاسلكية. أما المؤسسات المالية فيُضاف إليها اختبار بيئة SWIFT وواجهات أنظمة الدفع.
**معايير المنهجية:**
اعتمد المنهجيات المعيارية المعترف بها كـ PTES وOWASP Testing Guide وNIST SP 800-115، لما توفره من هيكلية واضحة ونتائج قابلة للتكرار والتوثيق.
**التقارير والمعالجة:**
يجب أن تتضمن تقارير الاختراق سجلاً مصنّفاً بالمخاطر (حرج / عالٍ / متوسط / منخفض)، مع تحليل الأسباب الجذرية وتوصيات معالجة قابلة للتنفيذ. تتبّع إجراءات المعالجة عبر عملية إدارة ثغرات منظّمة، وتحقّق من استيفائها قبل إغلاق الثغرات عالية الخطورة.
احرص دائماً على توقيع وثيقة قواعد الاشتباك (RoE) مع مزود الاختبار، والحصول على تفويض كتابي رسمي قبل انطلاق الاختبار.
هل كانت الإجابة مفيدة؟
يُعدّ اختبار الاختراق من الضوابط الأمنية الأساسية التي يفرضها كلٌّ من إطار SAMA CSF وإطار NCA ECC على المؤسسات المالية في المملكة العربية السعودية. وفهم هذه المتطلبات بدقة وترجمتها إلى ممارسات فعلية يمثّل شرطاً جوهرياً للامتثال ولتقليص المخاطر الحقيقية.
**متطلبات SAMA CSF:**
يُلزم نطاق التحكم الثالث المتعلق بالعمليات السيبرانية المؤسساتِ الماليةَ بإجراء اختبارات اختراق على جميع الأنظمة الحيوية والتطبيقات المكشوفة على الإنترنت مرةً سنوياً على الأقل، وكذلك عقب أي تغيير جوهري في البنية التحتية. ويجب أن يشمل النطاق اختبار الشبكة الخارجية والداخلية وطبقة التطبيقات (سواء على الويب أو الجوال)، مع رفع نتائج رسمية إلى الإدارة العليا.
**متطلبات NCA ECC:**
تُوجب المادة 3-9 من إطار NCA ECC على المؤسسات إجراء تقييمات تقنية للثغرات واختبارات الاختراق ضمن دورة إدارة المخاطر المستمرة. وبالنسبة للجهات المصنّفة ضمن البنى التحتية الحيوية، قد ترتفع وتيرة الاختبارات المتوقعة إلى مرتين سنوياً.
**توجيهات النطاق والمنهجية:**
- الاستعانة بشركات حاصلة على اعتماد CREST أو ما يعادله مع خبرة موثّقة في القطاع المالي السعودي.
- توسيع نطاق الاختبار ليشمل واجهات برمجة التطبيقات (APIs) وتطبيقات الخدمات المصرفية عبر الجوال وواجهات الأنظمة المصرفية الجوهرية وشبكات الصرافات الآلية وربط SWIFT حيثما انطبق ذلك.
- استكمال الاختبارات التقليدية بتمارين الفريق الأحمر التي تحاكي التهديدات المتقدمة المستمرة (APT) مرةً سنوياً.
- توثيق قواعد التعامل (Rules of Engagement) توثيقاً قانونياً قبل انطلاق أي اختبار.
**إدارة النتائج:**
- تصنيف الثغرات وفق درجة CVSS وأثرها على المخاطر التشغيلية، لا بناءً على الخطورة وحدها.
- معالجة الثغرات الحرجة والعالية وفق خطط علاج لا تتجاوز 30 يوماً تماشياً مع توقعات SAMA.
- تتبّع جميع النتائج في منصة GRC مع تحديد أصحاب المهام والمواعيد النهائية وأدلة الإغلاق.
- إعادة الاختبار بعد المعالجة بشكل رسمي — إذ لا تُقبل التأكيدات الشفهية في عمليات التدقيق.
- الاحتفاظ بتقارير اختبار الاختراق لمدة 5 سنوات على الأقل لأغراض الفحص التنظيمي.
هل كانت الإجابة مفيدة؟
بموجب ضابط 3.3.5 من إطار SAMA للأمن السيبراني المتعلق باختبارات الثغرات والاختراق، يتعين على المؤسسات المالية السعودية إجراء اختبارات اختراق شاملة مرة واحدة على الأقل سنوياً، فضلاً عن إجراء اختبارات إضافية عند إجراء أي تغييرات جوهرية على الأنظمة أو استحداث بنية تحتية جديدة.
**نطاق الاختبار:** يجب أن يشمل الاختبار جميع الأنظمة الحساسة، كمنصات الصيرفة الأساسية، والتطبيقات المتاحة على الإنترنت، والشبكات الداخلية، وواجهات برمجة التطبيقات (APIs)، إضافةً إلى تطبيقات الهاتف المحمول. كما يُنصح بتضمين محاكاة للهندسة الاجتماعية وهجمات التصيد الاحتيالي.
**المنهجية:** ينبغي اتباع المنهجيات المعتمدة دولياً كـ PTES وOWASP وNIST SP 800-115، ويُشترط أن ينفذ الاختبارات فريق مستقل ومؤهل سواء داخلياً أو من خلال مزود خارجي حاصل على اعتمادات معترف بها مثل CREST أو OSCP.
**التقارير والمعالجة:** تُصنَّف النتائج وفق درجات الخطورة وتُعالَج الثغرات الحرجة والعالية في غضون 30 إلى 90 يوماً وفق توقعات SAMA، مع ضرورة إجراء اختبار تحقق بعد المعالجة للتأكد من إغلاق الثغرات فعلياً لا مجرد توثيقها.
**التوثيق:** يجب الاحتفاظ بنتائج الاختبارات وإجراءات المعالجة وتوثيقها وإتاحتها للمدقق الداخلي ولمفتشي SAMA عند الطلب.
يُعزز المادة 2-7 من ضوابط NCA ECC هذه المتطلبات للجهات الداخلة في نطاق البنية التحتية الوطنية الحيوية، بما يشمل البنوك من الفئتين الأولى والثانية. ومن أفضل الممارسات إجراء فحوصات ثغرات آلية ربع سنوية بين الاختبارات السنوية لضمان الاستمرارية في تحقيق متطلبات الامتثال.
هل كانت الإجابة مفيدة؟
يُلزم ضابط التحكم 3.4 في إطار SAMA CSF المتعلق بتقييم الأمن السيبراني البنوكَ السعودية بإجراء اختبارات اختراق منتظمة ضمن برنامج شامل لإدارة الثغرات. فيما يلي أبرز متطلبات البرنامج المتوافق: **أولاً: التكرار** — يجب اختبار الأنظمة المواجهة للإنترنت والخدمات المصرفية الإلكترونية مرة سنوياً على الأقل، مع إجراء اختبارات إضافية عقب أي تغييرات جوهرية في البنية التحتية أو إطلاق منتجات جديدة أو الانتهاء من معالجة الحوادث. **ثانياً: النطاق والمنهجية** — يشمل الاختبار الأنظمة الخارجية وتطبيقات الويب والشبكات الداخلية وتطبيقات الجوال والواجهات البرمجية (APIs)، مع الاستناد إلى معايير معترف بها كـPTES وOWASP وOSSMM. كما تُعدّ محاكاة الهندسة الاجتماعية والتصيد الاحتيالي جزءاً أساسياً لتقييم ضوابط الطبقة البشرية وفق ضابط 3.3.5. **ثالثاً: مؤهلات المختبِرين** — يُفضّل أن يحمل المختبرون شهادات معتمدة كـOSCP أو CREST أو CEH أو GPEN، وأن يكونوا مستقلين عن الجهة المُختبَرة. **رابعاً: محتوى التقرير** — يجب أن يتضمن التقرير المتوافق مع ساما: ملخصاً تنفيذياً بتقييمات المخاطر، والثغرات التقنية مصنّفةً وفق CVE/CVSS، وأدلة إثبات الاستغلال، وتقييم الأثر التجاري لكل ثغرة، وخارطة طريق لمعالجة الثغرات مرتبة حسب الأولوية مع جداول زمنية محددة، مع ربط النتائج بضوابط SAMA CSF ومجالات NCA ECC. **خامساً: متابعة المعالجة** — تُعالَج الثغرات الحرجة والعالية خلال 30 إلى 90 يوماً مع التحقق من الإغلاق عبر إعادة الاختبار، والحفاظ على سجل تدقيق كامل تأهباً للفحوصات الرقابية.
هل كانت الإجابة مفيدة؟
يُلزم كلٌّ من إطار SAMA للأمن السيبراني ومعايير NCA ECC بإجراء اختبارات اختراق دورية باعتبارها ركيزة أساسية في أي برنامج ناضج لأمن المعلومات. وفيما يلي كيفية بناء هذا البرنامج بصورة احترافية:
**المتطلبات التنظيمية:**
- يشترط **SAMA CSF ضابط 3.3.4** إجراء اختبارات اختراق منتظمة على الأنظمة والشبكات والتطبيقات الحيوية، مع تتبع نتائجها حتى المعالجة الكاملة.
- يُوجب **NCA ECC-1: 2-4** إجراء اختبارات دورية تشمل البنية التحتية والتطبيقات والمحيط الشبكي، مع رفع نتائجها إلى الإدارة العليا.
**عناصر تصميم البرنامج:**
1. **تحديد النطاق:** يشمل التطبيقات المكشوفة على الإنترنت، وشرائح الشبكة الداخلية، وأنظمة الصيرفة الأساسية، وبنية الصرافات الآلية، وتطبيقات الجوال، وواجهات برمجة التطبيقات، مع إيلاء الأولوية للأصول المصنفة حيوية.
2. **الدورية الزمنية:** اختبارات خارجية بحد أدنى سنوياً، وداخلية كل ستة أشهر، مع إجراء اختبارات استثنائية عقب أي تغييرات جوهرية أو حوادث أمنية.
3. **المنهجية:** الاستناد إلى معايير معتمدة كـ PTES، ودليل اختبار OWASP للتطبيقات، وإطار MITRE ATT&CK لمحاكاة أساليب المهاجمين في القطاع المالي.
4. **مؤهلات المختبِرين:** التعاقد مع محترفين يحملون شهادات OSCP أو CREST أو CEH، ويُفضَّل الاستعانة بجهات خارجية مستقلة للأنظمة الحيوية ضماناً للموضوعية.
5. **متابعة المعالجة:** توثيق خطط معالجة لجميع الثغرات الحرجة والعالية الخطورة، مع تحديد أصحابها وجداول زمنية للإغلاق، وإجراء اختبارات تحقق خلال 30 إلى 60 يوماً.
6. **الإبلاغ للإدارة:** تلخيص نتائج الاختبارات وحالة المعالجة في تقارير لجنة المخاطر الفصلية وفق متطلبات حوكمة SAMA CSF.
برنامج الاختراق المُهيكل جيداً لا يُرضي المنظمين فحسب، بل يُقلص فعلياً من حجم الثغرات القابلة للاستغلال في بيئتك.
هل كانت الإجابة مفيدة؟
يُعدّ اختبار الاختراق متطلباً إلزامياً بموجب إطاري SAMA CSF وNCA ECC، غير أن كثيراً من المؤسسات المالية السعودية إما تُجري هذه الاختبارات بصورة غير منتظمة أو لا ترقى إلى مستوى النطاق والمنهجية التي يتوقعها المنظمون.
**متطلبات SAMA CSF – الضابط 3.3 (إدارة الثغرات):**
- يجب إجراء اختبارات اختراق خارجية سنوياً على الأقل من قِبل طرف ثالث مستقل ومؤهل، ويشترط SAMA أن يحمل المختبرون شهادات معترفاً بها مثل OSCP أو CEH أو CREST.
- تُجرى اختبارات الاختراق الداخلية مرة واحدة على الأقل سنوياً، وبعد أي تغييرات جوهرية في البنية التحتية.
- يجب توثيق النتائج وتصنيفها حسب المخاطر ومعالجتها ضمن مهل زمنية محددة: 30 يوماً للثغرات الحرجة و90 يوماً للثغرات العالية.
**متطلبات NCA ECC – المادة ECC-1-4-2 (اختبار الاختراق):**
- يُلزم NCA بأن يشمل اختبار الاختراق جميع الأنظمة المكشوفة على الإنترنت والشبكات الداخلية وتطبيقات الويب والجوال.
- تُتوقع تمارين الفريق الأحمر لمحاكاة التهديدات المتقدمة المستمرة (APT) للجهات المصنفة ضمن البنية التحتية الحيوية.
- يجب الاحتفاظ بتقارير الاختبار لمدة 5 سنوات على الأقل وإتاحتها عند الطلب لفرق التفتيش.
**نطاق الاختبار الموصى به للبنوك:**
- الأصول المكشوفة على الإنترنت والواجهات البرمجية وبوابات الويب
- طبقات تطبيقات الخدمات المصرفية الأساسية
- تطبيقات الخدمات المصرفية للجوال (iOS وAndroid)
- تجزئة الشبكة الداخلية ومسارات الحركة الجانبية
- محاكاة الهندسة الاجتماعية والتصيد الاحتيالي
- بنية تحتية SWIFT ومنظومة المدفوعات
**تحذير مهم:**
تجنّب الاعتماد على شركة اختبار اختراق واحدة لسنوات متتالية دون تدوير. يبحث مراجعو SAMA عن أدلة على إجراء تقييمات مستقلة وموضوعية. ضع سياسة لتدوير مزودي الخدمة كل 2 إلى 3 سنوات للحفاظ على مصداقية النتائج.
هل كانت الإجابة مفيدة؟
بموجب ضابط 3.3.8 من إطار SAMA للأمن السيبراني الخاص بإدارة الثغرات، يُلزَم كل بنك أو مؤسسة مالية سعودية بإجراء اختبارات اختراق دورية كجزء أساسي من برنامج الضمان السيبراني. الحد الأدنى المطلوب هو اختبار خارجي وداخلي سنوي على الأقل، مع ضرورة إجراء اختبارات إضافية عند حدوث تغييرات جوهرية في البنية التحتية، أو إطلاق منتجات جديدة، أو في مرحلة التعافي من الحوادث.
يجب أن تشمل الاختبارات جميع الأصول الحرجة كالأنظمة المكشوفة على الإنترنت، ومنصات الخدمات المصرفية الأساسية، وواجهات API، وتطبيقات الجوال. ويُشترط أن يتولى هذه الاختبارات متخصصون خارجيون مؤهلون يحملون شهادات معتمدة كـ OSCP أو CEH، مع توثيق النتائج وتصنيفها وفق درجة المخاطر، وضمان معالجتها في مهل زمنية محددة: 15 يومًا للثغرات الحرجة، و30 يومًا للعالية، و90 يومًا للمتوسطة.
على صعيد آخر، تُعزز المادة 3-4-1 من إطار NCA ECC-1:2018 هذه المتطلبات بإلزام الجهات بإجراء تقييمات تقنية دورية لأنظمتها وشبكاتها، وعرض النتائج وخطط المعالجة على الإدارة العليا ولجنة الأمن السيبراني في مجلس الإدارة.
تتيح لك منصتنا تتبع نتائج اختبارات الاختراق، وتعيين مسؤولي المعالجة، ومراقبة الالتزام بالمهل الزمنية، وإنتاج تقارير جاهزة للمراجعة تلبي متطلبات SAMA وNCA خلال الفحوصات الرقابية.
هل كانت الإجابة مفيدة؟
اختبار الاختراق ليس مجرد ممارسة أمنية اختيارية، بل هو متطلب إلزامي ضمن إطار SAMA CSF وكذلك NCA ECC. إليك المنهجية الصحيحة لتطبيقه في المؤسسات المالية:
**التكرار الزمني:** يشترط SAMA CSF إجراء اختبار اختراق خارجي مرة واحدة على الأقل سنوياً، وبعد كل تغيير جوهري في البنية التحتية، بينما يُنصح بإجراء اختبارات التطبيقات والشبكات الداخلية بالتوازي.
**نطاق الاختبار:** يجب أن يشمل الأصول الرقمية المكشوفة للإنترنت كالبوابات والتطبيقات والواجهات البرمجية، إضافة إلى شبكات الأعمال الداخلية وأنظمة البنك الأساسية وبنية اتصال SWIFT. أي استثناء غير موثق يُشكّل ثغرة امتثالية.
**اختيار مزود الخدمة:** يجب التعاقد مع فرق تحمل شهادات معترفاً بها مثل OSCP وCREST، مع إدراج بنود سرية ومعالجة بيانات متوافقة مع نظام حماية البيانات الشخصية (PDPL) ضمن العقد.
**المنهجية التقنية:** ينبغي الاستناد إلى معايير معتمدة كـ PTES وOWASP Top 10 لاختبارات التطبيقات وNIST SP 800-115. وتُضاف قيمة كبيرة عند تنفيذ تمارين الفريق الأحمر التي تحاكي هجمات متقدمة مستمرة (APT).
**التقارير والمعالجة:** يجب تصنيف الثغرات حسب خطورتها وتكليف أصحاب الأنظمة بمعالجتها ضمن مواعيد محددة، لا تتجاوز 15 يوماً للثغرات الحرجة، مع الاحتفاظ بأدلة المعالجة لأغراض التدقيق.
**الأدلة التنظيمية:** تقارير الاختراق وسجلات المعالجة تُمثّل أدلة أولية في مراجعات SAMA وتقييمات NCA ECC، ويجب الاحتفاظ بها لمدة لا تقل عن ثلاث سنوات.
هل كانت الإجابة مفيدة؟
بموجب إطار SAMA CSF ضمن نطاق العمليات الأمنية (المجال 3.3)، يُلزَم البنوك السعودية بإجراء اختبارات اختراق دورية كجزء من برنامج إدارة الثغرات وتقييم المخاطر. ويُشترط تنفيذ هذه الاختبارات مرة واحدة على الأقل سنوياً، فضلاً عن إجرائها عقب أي تغيير جوهري في البنية التحتية أو إطلاق نسخة رئيسية من أحد التطبيقات أو في أعقاب وقوع حوادث أمنية.
أبرز ما يجب مراعاته:
**النطاق والتغطية:** يجب أن تشمل الاختبارات الشبكة الخارجية والداخلية، وتطبيقات الخدمات المصرفية عبر الإنترنت والجوّال، وواجهات برمجة التطبيقات (APIs)، والبنية التحتية للمدفوعات. كما تستلزم البيئات المرتبطة بنظام SWIFT إجراء اختبارات مخصصة وفق متطلبات SWIFT CSCF.
**المنهجية:** يُنصح باتباع منهجيات معترف بها كـ OWASP لتطبيقات الويب، وـ PTES أو NIST SP 800-115 للبنية التحتية. كما باتت تمارين الفريق الأحمر (Red Team) متوقعة بشكل متزايد في البنوك الكبرى.
**الكفاءة والاستقلالية:** تشترط هيئة SAMA أن يُنفَّذ الاختبار من قِبل جهات مستقلة ومؤهلة، سواء أكانت فرقاً داخلية معتمدة أم شركات متخصصة من الطرف الثالث. ويعزز هذا الاشتراط ما جاء في المادة 2-14 من إطار NCA ECC.
**التوثيق والمعالجة:** يجب توثيق النتائج وتصنيف مستوى خطورتها ومتابعة معالجتها وفق جدول زمني واضح، إذ تُعالَج الثغرات الحرجة عادةً خلال 15 إلى 30 يوماً.
**الإفصاح للإدارة العليا:** تُرفع النتائج الجوهرية إلى CISO وتُدرج ضمن تقارير لجنة مخاطر مجلس الإدارة.
عملياً، يُنصح البنوك بوضع تقويم دوري لاختبارات الاختراق، وإدراج النتائج في سجل المخاطر، وتوظيفها في قياس فعالية الضوابط الأمنية ودعم تقييمات النضج وفق SAMA CSF.
هل كانت الإجابة مفيدة؟
يُعدّ اختبار الاختراق من المتطلبات الإلزامية التي لا يمكن لأي بنك أو شركة مالية سعودية إغفالها. فبموجب ضابط 3.3.5 من إطار SAMA CSF، يتعين على المؤسسات إجراء اختبارات اختراق دورية تشمل جميع الأنظمة الحيوية والتطبيقات والبنية التحتية للشبكة، وذلك مرة واحدة على الأقل سنوياً أو عقب أي تغيير جوهري في البيئة التقنية. ويُعزز هذا التوجه المادة 3-2-6 من معايير NCA ECC التي تشترط أن تُنفَّذ هذه الاختبارات من قِبل جهات مستقلة ومؤهلة، مع الاستناد إلى منهجيات معترف بها كـ PTES أو OWASP. على الصعيد العملي، ينبغي أن يشمل برنامجك: أولاً، اختبارات الشبكات الداخلية والخارجية للكشف عن ثغرات الحدود الأمنية ومسارات الحركة الجانبية؛ ثانياً، اختبار تطبيقات الويب والجوال مع التركيز على أبرز ثغرات OWASP؛ ثالثاً، محاكاة الهندسة الاجتماعية واختبارات التصيد الاحتيالي؛ رابعاً، تمارين الفريق الأحمر لاختبار السيناريوهات المتقدمة. يجب توثيق جميع النتائج في خطة معالجة رسمية مع تحديد مواعيد نهائية واضحة — إذ تستلزم الثغرات الحرجة عادةً المعالجة خلال 30 يوماً وفق توجيهات SAMA. احرص على الاحتفاظ بتقارير الاختبارات لمدة لا تقل عن خمس سنوات دعماً لأي فحص رقابي مستقبلي.
هل كانت الإجابة مفيدة؟
بموجب ضوابط إطار SAMA CSF، ولا سيما الضابط 3.3.5 الخاص بإدارة الثغرات والضابط 3.3.6 المتعلق باختبار الاختراق، تُلزَم البنوك والمؤسسات المالية السعودية بتنفيذ برنامج منظم لاختبار الاختراق ضمن منظومة ضمان الأمن السيبراني. أبرز هذه المتطلبات: **الدورية**: يجب إجراء اختبارات الاختراق الخارجية مرة واحدة على الأقل سنوياً، فيما تستوجب الأنظمة الحيوية أو تلك التي تشهد تغييرات جوهرية إجراء الاختبار قبل الإطلاق وبعد أي تحديثات رئيسية. **النطاق**: يشمل الاختبار البنية التحتية المكشوفة للإنترنت، والشبكات الداخلية، وتطبيقات الخدمات المصرفية الإلكترونية والجوال، وواجهات برمجة التطبيقات (APIs)، والأنظمة المرتبطة بشبكة SWIFT. **المنهجية**: يجب أن تستند الاختبارات إلى منهجيات معتمدة كـ OWASP وPTES وNIST SP 800-115، ويُشترط تنفيذها بواسطة متخصصين مستقلين حاصلين على شهادات معترف بها مثل OSCP أو CREST. **التوثيق**: يتعين إعداد تقرير رسمي يتضمن الثغرات مصنّفةً حسب درجة الخطورة، مع جداول زمنية للمعالجة وأدلة إثبات على إعادة الاختبار، ويجب أن يكون متاحاً لهيئة SAMA عند الطلب. **تمارين الفريق الأحمر**: يُنصح المؤسسات الناضجة بتكميل اختبارات الاختراق السنوية بتقييمات قائمة على التهديدات وفق مبادئ TIBER-SA. ويُشترط معالجة الثغرات الحرجة والعالية ضمن مُهل زمنية محددة لا تتجاوز 30 يوماً للثغرات الحرجة، مع توثيق جميع النتائج وإجراءات المعالجة في منصة GRC لضمان الجاهزية التدقيقية.
هل كانت الإجابة مفيدة؟
يُعدّ اختبار الاختراق التزاماً رقابياً إلزامياً للمؤسسات المالية والبنية التحتية الحيوية في المملكة العربية السعودية بموجب كلٍّ من SAMA CSF وNCA ECC. إليك الإطار العملي الذي يضمن توافق برنامجك مع المتطلبات التنظيمية:
**الأساس التنظيمي:**
- يُوجب الضابط 3.3.5 من SAMA CSF إجراء تقييمات دورية للثغرات واختبارات الاختراق.
- تشترط المادة 3.3 من NCA ECC-1:2018 إجراء تقييمات أمنية تقنية دورية تشمل الأنظمة الداخلية والخارجية.
**النطاق والتكرار:**
- يجب إجراء اختبار الاختراق الخارجي مرة واحدة سنوياً على الأقل، وبعد أي تغيير جوهري في البنية التحتية.
- ينبغي أن يشمل النطاق الشبكة الداخلية وتطبيقات الويب وأمان واجهات API للبنوك وشركات التقنية المالية.
- يُنصح بإجراء تمارين الفريق الأحمر (Red Team) للبنوك من الفئة الأولى لمحاكاة التهديدات المتقدمة.
**متطلبات المنهجية:**
- يجب أن يتبع الاختبار منهجيات معترفاً بها كـ PTES أو OWASP أو TIBER-EU، مع تكييفها للسياق السعودي.
- يُشترط أن يكون المختبرون حاملين لشهادات معتمدة كـ OSCP أو CEH، وأن يُحكم الاختبار بوثيقة قواعد الاشتباك (RoE).
**التقارير والمعالجة:**
- يجب تصنيف النتائج حسب درجة الخطورة وربطها بضوابط SAMA وNCA.
- تستلزم المخاطر الحرجة معالجة خلال 30 يوماً وفق توقعات SAMA، مع الاحتفاظ بتقارير إعادة الاختبار للمراجعة الرقابية.
**نصيحة جوهرية:** تعاقد مع مزودي خدمات الأمن السيبراني المعتمدين لدى SAMA أو NCA، إذ قد يطلب المنظمون أدلة على مؤهلات المزود خلال عمليات التفتيش.
هل كانت الإجابة مفيدة؟
تُلزم الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة عن الهيئة الوطنية للأمن السيبراني بإجراء اختبارات الاختراق بوصفها ركيزةً أساسية في منظومة ضمان الأمن السيبراني، وذلك ضمن المجال الثالث (مرونة الأمن السيبراني)، تحديدًا في الضابط الفرعي 3-2-1، الذي يشترط تقييم فاعلية الضوابط المطبّقة من خلال تقييمات الثغرات واختبارات الاختراق.
**أبرز متطلبات NCA ECC لاختبارات الاختراق:**
**الدورية:** تستوجب الضوابط إجراء اختبار الاختراق مرةً على الأقل سنويًا، وبعد أي تغيير جوهري في البنية التحتية، أو إصدار تطبيق رئيسي، أو اكتمال معالجة حادثة سيبرانية — وهو ما يتوافق مع اشتراطات الاختبار التشغيلي في النطاق الرابع من SAMA CSF.
**تحديد النطاق:** يجب أن يشمل نطاق الاختبار جميع الأصول الحرجة المُدرجة في سجل الأصول وفق الضابط الفرعي 1-1-1، وتشمل عادةً في المؤسسات المالية: التطبيقات والواجهات البرمجية المكشوفة على الإنترنت، والشبكات الداخلية، وبنية الهوية والوصول (Active Directory/IAM)، وواجهات الأنظمة المصرفية الجوهرية، وتطبيقات الخدمات المصرفية عبر الهاتف، والبيئات السحابية.
**المنهجية:** لا تُحدد الهيئة منهجيةً بعينها، غير أن الاستناد إلى دليل OWASP للاختبار، ومعيار PTES، وإطار TIBER-EU للاختبار القائم على معلومات التهديدات في القطاع المالي، يحظى بقبول واسع لدى الجهات التنظيمية السعودية. كما تشجع مؤسسة النقد البنوك ذات الأهمية الجهازية على اعتماد اختبار الاختراق القائم على التهديدات (TLPT).
**استقلالية المختبِرين:** يشترط كلٌّ من NCA ECC وSAMA CSF أن يُجري الاختبار متخصصون مؤهلون مستقلون عن الفرق المسؤولة عن الأنظمة الخاضعة للاختبار، ويحملون شهادات معترفًا بها كـ OSCP أو CEH أو CREST.
**التقرير والمعالجة:** يجب أن يُصنّف تقرير الاختبار الثغراتِ وفق مستويات الخطورة، مع خطة معالجة موثّقة. تُعالَج الثغرات الحرجة والعالية خلال 30 و90 يومًا على التوالي كحدٍّ أقصى، مع الاحتفاظ بأدلة المعالجة للتدقيق.
**إعادة الاختبار:** تتضمن الضوابط ضمنيًا التحقق من معالجة الثغرات الحرجة، لذا يُنصح بجدولة إعادة الاختبار خلال 30 يومًا من اكتمال المعالجة.
يتسم البرنامج الناضج باندماج نتائج الاختبار في سجل المخاطر، وتتبع المعالجة عبر منصة GRC، وتوظيف الدروس المستفادة في تحسين معمارية الأمن السيبراني.
هل كانت الإجابة مفيدة؟
يُعدّ اختبار الاختراق من الضوابط التقنية الإلزامية التي يفرضها كلٌّ من إطار SAMA CSF وإطار NCA ECC، ويتعين على المؤسسات المالية تنفيذه بمنهجية واضحة لضمان الامتثال وتحقيق الأمن الفعلي لأنظمتها.
**المتطلبات التنظيمية:**
- **ضابطة SAMA CSF 3.3.7**: تشترط إجراء تقييمات الثغرات واختبارات الاختراق على الأنظمة الحيوية مرة على الأقل سنوياً، وبعد أي تغييرات جوهرية في البنية التحتية أو التطبيقات.
- **المادة 2-7-3 من NCA ECC**: تُلزم المؤسسات بإجراء اختبارات اختراق منتظمة تشمل الشبكات والتطبيقات والبنية التحتية الداعمة، مع توثيق النتائج ومعالجتها رسمياً.
**نطاق الاختبار ومنهجيته:**
1. **تحديد النطاق**: يجب أن يشمل الأصول المكشوفة على الإنترنت كالبوابات الإلكترونية وواجهات API والتطبيقات المصرفية، إلى جانب الشبكات الداخلية وبنية SWIFT والبيئات السحابية.
2. **المنهجية**: استند إلى معايير معترف بها مثل PTES وOWASP لاختبار التطبيقات والواجهات البرمجية، وOSSTMM لاختبار الشبكات.
3. **أنواع الاختبارات**: أجرِ اختبارات شبكات خارجية وداخلية، واختبارات تطبيقات الويب وأمن API، وتقييمات الهندسة الاجتماعية، وفريق أحمر لمحاكاة التهديدات المتقدمة المستمرة (APT) في البرامج الناضجة.
4. **اشتراطات المختبرين**: استعِن بمختبرين معتمدين من الهيئة الوطنية للأمن السيبراني أو حاملين لشهادات CREST أو OSCP، على أن يكونوا مستقلين عن الفرق المسؤولة عن الأنظمة محل الاختبار.
**الالتزامات ما بعد الاختبار:**
- أعدَّ تقريراً رسمياً يتضمن النتائج مُصنَّفةً وفق CVSS مع أدلة إثبات وتوصيات معالجة واضحة.
- عالج الثغرات الحرجة والعالية الخطورة خلال 30 يوماً، والمتوسطة خلال 90 يوماً.
- أجرِ اختبارات إعادة تحقق للتأكد من فاعلية الإصلاحات.
- احتفظ بتقارير الاختراق لأغراض المراجعة التنظيمية، إذ يطلبها فاحصو مؤسسة النقد بصورة منتظمة.
**الممارسة المتقدمة:** ادمج نتائج اختبارات الاختراق في سجل المخاطر وتتبّعها عبر منصة GRC لضمان رؤية متواصلة لمستوى الامتثال.
هل كانت الإجابة مفيدة؟
يُلزم المجال الرابع من إطار الأمن السيبراني لساما، تحديداً الضابطان 4.2 و4.3، جميعَ المؤسسات المالية السعودية المرخصة بتطبيق برنامج منظم لتقييم الثغرات واختبار الاختراق. وفيما يلي تفاصيل ما يستوجبه الامتثال عملياً:
**أولاً - التكرار المطلوب:**
- اختبار الاختراق الخارجي: مرة واحدة على الأقل سنوياً، وبعد أي تغيير جوهري في البنية التحتية
- اختبار الاختراق الداخلي: مرة واحدة على الأقل سنوياً
- تمارين الفريق الأحمر (Red Team): يُوصى بها كل سنتين للبنوك الكبرى ذات البيئات المعقدة
- اختبار أمان التطبيقات: مع كل إصدار رئيسي أو تحديث جوهري
**ثانياً - النطاق:**
تتوقع ساما أن يشمل الاختبار المحيط الخارجي (الأصول المكشوفة على الإنترنت)، والشبكات الداخلية، والتطبيقات الحرجة (الخدمات المصرفية الأساسية، والخدمات المصرفية عبر الهاتف، وبنية سويفت)، والبيئات السحابية. وتُضيف المادة 3-4 من ضوابط هيئة الأمن السيبراني الوطنية اشتراط تغطية أنظمة التحكم الصناعي (OT/SCADA) حيثما ينطبق ذلك.
**ثالثاً - المنهجية:**
يجب أن تستند الاختبارات إلى منهجيات معترف بها كـ PTES وOWASP Testing Guide وTIBER-EU، وأن يحمل المختبرون شهادات معتمدة مثل OSCP وCREST وCEH، مع وجود وثيقة قواعد اشتباك (RoE) موقعة رسمياً.
**رابعاً - تتبع النتائج والمعالجة:**
yستوجب الضابط 4.2.5 معالجة النتائج الحرجة والعالية خلال 30 يوماً، والمتوسطة خلال 90 يوماً، والمنخفضة خلال 180 يوماً. ويجب الاحتفاظ بسجل رسمي لإدارة الثغرات يتضمن حالة كل نتيجة ومالكها وأدلة الإغلاق. وتُرفع النتائج الحرجة غير المعالجة إلى المسؤول التنفيذي عن الأمن السيبراني ولجنة مخاطر مجلس الإدارة مع توثيق مبررات قبول المخاطر.
توفر منصتنا وحدة متكاملة لتتبع نتائج اختبارات الاختراق مع لوحات متابعة متوافقة مع متطلبات ساما، وسير عمل آلي للمعالجة، وتقارير إغلاق جاهزة للتدقيق، لضمان استيفاء برنامجكم لاختبار الاختراق لجميع المتطلبات التنظيمية من أوله لآخره.
هل كانت الإجابة مفيدة؟
أمن السحابة 35
تتطلب ضوابط الأمن السيبراني السحابية (CCC) من الجهات الحكومية السعودية: الحصول على موافقة الهيئة الوطنية قبل اعتماد الخدمات السحابية؛ استخدام مزودي خدمات سحابية معتمدين من الهيئة الوطنية فحسب؛ تطبيق نموذج المسؤولية المشتركة؛ الحفاظ على سيادة البيانات للبيانات المصنفة؛ تطبيق التشفير للبيانات في حالة الراحة والنقل؛ تطبيق أمن الوصول السحابي والمراقبة.
هل كانت الإجابة مفيدة؟
تُشكّل الحوسبة السحابية في المؤسسات المالية السعودية تحدياً تنظيمياً مزدوجاً، إذ تتقاطع فيها متطلبات إطار SAMA للأمن السيبراني مع ضوابط NCA ECC. فبموجب المادة 2-10 من NCA ECC الخاصة بأمن الحوسبة السحابية، يُلزَم كل كيان بإجراء تقييم رسمي للمخاطر قبل أي هجرة سحابية، وتصنيف البيانات وفق درجة حساسيتها، والتأكد من أن البيانات الحرجة والحساسة تُستضاف داخل المملكة العربية السعودية ما لم تُمنح موافقة تنظيمية صريحة على نقلها عبر الحدود. ويُعزز SAMA هذا التوجه من خلال إطار الحوسبة السحابية الخاص به الذي يشترط الحصول على موافقة مسبقة قبل نقل أي أعباء عمل بنكية جوهرية إلى السحابة العامة. من الناحية التقنية، تشمل الضوابط المطلوبة: التشفير الكامل للبيانات في حالة السكون والنقل، وتفعيل المصادقة متعددة العوامل، ومراقبة الوضع الأمني السحابي باستمرار، وتوثيق نموذج المسؤولية المشتركة بوضوح. أما على صعيد PDPL، فإن نقل البيانات الشخصية خارج المملكة يستلزم توافر ضمانات كافية. تُوفر منصتنا لوحة تحكم موحدة تربط ضوابط السحابة لديك بمتطلبات SAMA وNCA ECC وتكشف الثغرات الامتثالية بشكل فوري.
هل كانت الإجابة مفيدة؟
يخضع اعتماد الحوسبة السحابية في المؤسسات المالية السعودية لمنظومة تنظيمية متعددة الطبقات تجمع بين متطلبات هيئة الاتصالات وتقنية المعلومات (NCA) والبنك المركزي السعودي (SAMA). على صعيد **متطلبات NCA ECC**، لا سيما المادتين 2 و3 والضوابط الخاصة بالسحابة، يُشترط أن تُخزَّن البيانات المصنّفة بمستوى 'وطني' أو 'حساس' داخل المملكة العربية السعودية أو في بيئات سحابية سيادية معتمدة، مع إجراء تقييم رسمي للمخاطر قبل أي ترحيل وصون سجل شامل بأصول السحابة. أما **متطلبات SAMA CSF السحابية**، فتستوجب التحقق من امتثال مزود الخدمة السحابية لمعايير ISO 27001 وSOC 2 Type II وCSA STAR، مع ضمان حق التدقيق في العقود. **الضوابط التقنية الإلزامية** تشمل: (1) تشفير البيانات أثناء التخزين والنقل بمعيار AES-256 وبروتوكول TLS 1.2 كحد أدنى؛ (2) إدارة الهويات والصلاحيات مع تطبيق المصادقة متعددة العوامل على جميع الحسابات ذات الصلاحيات العالية؛ (3) أدوات إدارة وضعية الأمن السحابي (CSPM) لاكتشاف الإعدادات الخاطئة لحظياً؛ (4) تقسيم الشبكة وعزل البيئات داخل السحابة؛ (5) تسجيل الأحداث ودمجها مع منصة SIEM مع الاحتفاظ بالسجلات لمدة 12 شهراً كحد أدنى؛ (6) ضوابط منع تسرب البيانات (DLP)؛ (7) إدارة منتظمة لثغرات أعباء العمل السحابية. **ملاحظة عملية:** معظم البنوك والشركات التقنية المالية تعتمد على منصات AWS وAzure وGoogle Cloud عبر مناطقها داخل المملكة، وهذا يلبّي متطلب الإقامة الجغرافية للبيانات، لكنك تبقى مسؤولاً عن سد الثغرات في نموذج المسؤولية المشتركة.
هل كانت الإجابة مفيدة؟
عند ترحيل البنوك السعودية لأنظمتها إلى بيئات السحابة العامة، يُلزم إطار SAMA CSF في القسم 3.3 الخاص بأمن التقنية بتبني منظومة متكاملة لحوكمة أمن السحابة. أبرز المتطلبات: أولاً، **تقييم مخاطر السحابة** — إجراء تقييم رسمي للمخاطر قبل الترحيل مع تصنيف البيانات حسب حساسيتها وفق الضابط 3.3.7. ثانياً، **الضمانات التعاقدية** — يجب أن تتضمن عقود الخدمات السحابية بنوداً تُلزم بتخزين البيانات داخل المملكة أو في نطاقات تقرّها SAMA، مع منح البنك حق التدقيق وتحديد مستويات خدمة واضحة للإشعار بالحوادث. ثالثاً، **نموذج المسؤولية المشتركة** — توثيق رسمي يُحدد الضوابط التي يتولاها مزود الخدمة السحابية مقابل تلك التي يتولاها البنك. رابعاً، **معايير التشفير** — تشفير جميع البيانات المخزّنة والمتداولة وفق خوارزميات معتمدة بمعيار FIPS 140-2 مع الاحتفاظ بإدارة المفاتيح داخل البنك. خامساً، **المراقبة المستمرة** — دمج سجلات السحابة مع منصة SIEM لاستيفاء متطلبات الرصد والتسجيل في الإطار. سادساً، **خطة الخروج** — وضع خطة موثّقة للخروج من السحابة تضمن استمرارية العمليات. كذلك تشترط المادة 7-2 من NCA ECC ألا تُنقل أحمال العمل الحيوية إلى السحابة العامة إلا بعد استيفاء معايير أمنية محددة. على الصعيد العملي، يُنصح بتعيين مسؤول متخصص لأمن السحابة وإجراء تقييمات ربع سنوية لوضعية الأمن السحابي باستخدام أدوات CSPM.
هل كانت الإجابة مفيدة؟
نقل الأعمال البنكية إلى السحابة العامة يتطلب أكثر من مجرد قرار تقني — فهو يستوجب إطار حوكمة متكاملاً يتوافق مع متطلبات SAMA CSF.
**أبرز المتطلبات:**
**١. تقييم مخاطر السحابة (ضابط SAMA CSF 3.3.1):** قبل أي ترحيل، أجرِ تقييماً رسمياً للمخاطر يشمل تصنيف البيانات ومتطلبات الإقامة البيانية وتحليل الفجوات في نموذج المسؤولية المشتركة.
**٢. إقامة البيانات وسيادتها:** تشترط كل من ساما وهيئة الاتصالات وتقنية المعلومات أن تبقى البيانات المالية الحساسة داخل المملكة ما لم يُحصل على موافقة تنظيمية صريحة. تحقق من أن مزود السحابة يوفر مراكز بيانات في المملكة أو منطقة الخليج مع ضمانات تعاقدية.
**٣. إدارة الهوية والوصول (ضابط 3.4.2):** طبّق مبادئ الثقة الصفرية، وإدارة الوصول المميز، والمصادقة متعددة العوامل على جميع واجهات إدارة السحابة.
**٤. معايير التشفير:** يجب تشفير البيانات أثناء التخزين والنقل باستخدام AES-256 وTLS 1.2 على الأقل، مع الاحتفاظ بمفاتيح تشفير يديرها العميل متى أمكن ذلك.
**٥. المراقبة المستمرة (ضابط 3.6.1):** يجب دمج سجلات السحابة في مركز العمليات الأمنية ونظام SIEM لضمان رصد مستمر للتهديدات.
**٦. تقييم مزود السحابة كطرف ثالث:** راجع شهادات ISO 27001 وCSA STAR وSOC 2 Type II لمزودك بشكل سنوي.
**نصيحة عملية:** استخدم أداة CSPM لأتمتة فحوصات الامتثال المستمرة مقابل ضوابط SAMA CSF وNCA ECC.
هل كانت الإجابة مفيدة؟
قبل الشروع في نقل أي أنظمة أو بيانات إلى السحابة العامة، يتعين على البنوك السعودية الالتزام بمنظومة متكاملة من المتطلبات التنظيمية والأمنية المنبثقة من إطار SAMA CSF ومتطلبات هيئة الاتصالات الوطنية.
**متطلبات SAMA CSF:**
يُلزم الضابط 3.3 الخاص بمخاطر التقنية البنوكَ بإجراء تقييم رسمي لمخاطر الحوسبة السحابية، يتناول تصنيف البيانات ومتطلبات السيادة الرقمية والتخزين المحلي. وتبقى البيانات الحساسة كالسجلات المالية للعملاء داخل حدود المملكة ما لم تُمنح موافقة تنظيمية صريحة، كما يشترط الإطار وجود سياسة حوكمة سحابية شاملة تغطي العناية الواجبة بالمزودين والالتزامات التعاقدية.
**متطلبات هيئة الاتصالات الوطنية:**
يشترط المجال 2.7 من إطار ECC التحقق من التزام مزودي الخدمة السحابية بالمعايير المعتمدة، والإبقاء على بيانات الأنظمة الحرجة داخل المملكة، وتطبيق المراقبة المستمرة، مع توثيق مصفوفات المسؤوليات المشتركة ومراجعتها سنوياً.
**خطوات التطبيق العملي:**
1. تصنيف جميع الأنظمة والبيانات وفق إطار يتوافق مع متطلبات SAMA ونظام حماية البيانات الشخصية (PDPL).
2. إجراء تقييم أمني للمزود السحابي وفق معايير CSA STAR أو ISO 27017.
3. نشر حلول CASB لتحقيق الرؤية الكاملة وتطبيق السياسات الأمنية.
4. تطبيق ضوابط صارمة لإدارة الهوية والوصول مع تفعيل المصادقة متعددة العوامل وإدارة الوصول المميز.
5. بناء آليات تسجيل ومراقبة وأدلة تشغيلية للاستجابة للحوادث السحابية.
6. إدراج بنود أمنية واضحة في العقود تتضمن مستويات الخدمة المتوافقة مع متطلبات استمرارية الأعمال لدى SAMA.
الاستعانة بـ vCISO متخصص يُسهم بشكل ملموس في سد الفجوات الامتثالية وتسريع الحصول على الموافقات التنظيمية.
هل كانت الإجابة مفيدة؟
قبل أي خطوة نحو السحابة، على البنوك السعودية أن تضع إطاراً محكماً يجمع بين المتطلبات التنظيمية والضوابط التقنية. يُلزم إطار SAMA CSF في نطاقه الرابع المتعلق بأمن التقنية بإجراء تقييم رسمي للمخاطر يشمل تصنيف البيانات وتحديد موقع تخزينها، مع ضرورة الإبقاء على البيانات الحساسة داخل المملكة ما لم يُصرَّح بخلاف ذلك. وتشترط المادة 3-2 من معايير NCA ECC أن يخضع مزود الخدمة السحابية لتقييم وفق ضوابط الأمن السحابي الصادرة عن الهيئة، وأن تتضمن العقود المبرمة معه حقوق التدقيق وآليات الإخطار بالحوادث. على الصعيد العملي، ينبغي للبنوك: أولاً، تصنيف الأعباء التشغيلية وفق سياسة موثقة تتوافق مع تصنيفات البيانات الشخصية بموجب نظام PDPL؛ ثانياً، إجراء فحص دقيق لمزود الخدمة يشمل شهادات ISO 27001 وSOC 2 وCSA STAR؛ ثالثاً، تطبيق إدارة الوصول المتميز والتشفير الكامل للبيانات في حالتي التخزين والنقل؛ رابعاً، إعداد مصفوفة المسؤولية المشتركة لتحديد حدود الصلاحيات بين البنك والمزود؛ وخامساً، ضمان التكامل مع أنظمة SIEM لمراقبة الأحداث السحابية وفق الضابط 3.3.6 من SAMA CSF. كما يستلزم الأمر الحصول على موافقة كبير مسؤولي أمن المعلومات ولجنة مخاطر مجلس الإدارة قبل الانتقال الفعلي إلى السحابة.
هل كانت الإجابة مفيدة؟
الانتقال إلى السحابة العامة في القطاع المصرفي السعودي ليس مجرد قرار تقني، بل هو التزام تنظيمي متكامل يستوجب الامتثال لإطار SAMA CSF ولوائح هيئة الاتصالات الوطنية (NCA ECC).
**أولاً: تقييم المخاطر قبل الترحيل** وفق SAMA CSF Control 4.3.1، يجب إجراء تقييم رسمي لمخاطر السحابة يشمل تصنيف البيانات، ومتطلبات الإقامة، والسيادة الرقمية.
**ثانياً: إقامة البيانات داخل المملكة** تُفضّل متطلبات NCA وSAMA استضافة البيانات الحساسة داخل المملكة أو لدى مزودي خدمة سحابية معتمدين لديهم مراكز بيانات سعودية معتمدة.
**ثالثاً: نموذج المسؤولية المشتركة** يجب توثيق التزامات الأمن بوضوح بين البنك ومزود الخدمة السحابية، وذلك بموجب SAMA CSF Control 3.3.5 الذي يشترط وجود اتفاقيات رسمية تحدد المسؤوليات الأمنية.
**رابعاً: إدارة الهوية والوصول** يستلزم SAMA CSF Control 4.2.6 تفعيل المصادقة متعددة العوامل (MFA) لجميع الصلاحيات الحساسة، مع تطبيق مبدأ الحد الأدنى من الصلاحيات.
**خامساً: المراقبة المستمرة** يجب دمج سجلات المراقبة السحابية مع مركز العمليات الأمنية (SOC) وفق NCA ECC Control 2-15.
**سادساً: التشفير** يُلزَم البنك بتشفير جميع البيانات أثناء التخزين والنقل، مع الاحتفاظ بإدارة مفاتيح التشفير داخلياً دون تفويض كامل لمزود الخدمة.
**سابعاً: خطة الخروج** تشترط SAMA وجود خطة موثقة للخروج من السحابة لتجنب الاعتماد الكامل على مزود واحد وضمان الاستمرارية التشغيلية. ينصح بإشراك فريق vCISO في وقت مبكر لبناء بنية تحتية سحابية آمنة من الأساس.
هل كانت الإجابة مفيدة؟
قبل الشروع في ترحيل أي أعباء عمل حيوية إلى البيئة السحابية، يتعين على البنوك السعودية الوفاء بجملة من المتطلبات الرقابية المنصوص عليها في إطار SAMA CSF ومعايير NCA ECC.
بموجب النطاق الرابع من إطار SAMA CSF (أمن التقنية)، يلزم إجراء تقييم رسمي للمخاطر السحابية يشمل مسائل السيادة على البيانات ومتطلبات الإقامة المحلية للبيانات، فضلاً عن تحليل نموذج المسؤولية المشتركة مع مزود الخدمة السحابية. ويشترط الضابط 4.4 تحديداً أن تُخزَّن البيانات الحساسة للعملاء داخل المملكة العربية السعودية، ما لم يُحصل على موافقة رقابية صريحة.
أما معايير NCA ECC-1:2018، المادة 3-2 المتعلقة بأمن الحوسبة السحابية، فتوجب تصنيف أعباء العمل حسب درجة حيويتها قبل الترحيل، مع التحقق من أن الأنظمة من الفئة الأولى لا تُستضاف إلا في بيئات تستوفي المعايير الأمنية المطلوبة. كما يجب التحقق من حصول مزود الخدمة السحابية على اعتمادات معترف بها كـ ISO 27001 وCSA STAR، وأن تتضمن الاتفاقيات التعاقدية حق التدقيق، ومعايير إشعار بالحوادث خلال 24 ساعة، وخطط خروج واضحة.
على الصعيد العملي، ينبغي لفرق الامتثال اتباع الخطوات التالية:
1. إجراء تقييم مخاطر سحابية وفق النطاق الرابع من SAMA CSF.
2. الحصول على عدم ممانعة مؤسسة النقد أو موافقتها على ترتيبات الاستعانة بمصادر خارجية للأنظمة الحيوية.
3. مقارنة ضوابط مزود الخدمة السحابية بمتطلبات المادة 3-2 من NCA ECC وتوثيق الفجوات.
4. اعتماد أدوات إدارة وضع الأمان السحابي (CSPM) لمراقبة الامتثال باستمرار.
5. إرساء سياسة تصنيف بيانات تتوافق مع نظام PDPL لضمان حماية البيانات الشخصية ومحليتها.
هل كانت الإجابة مفيدة؟
ترحيل أنظمة البنوك الأساسية إلى السحابة في المملكة العربية السعودية يستلزم الامتثال لمنظومة متكاملة من المتطلبات التنظيمية قبل الإطلاق الفعلي.
**متطلبات إطار SAMA CSF:**
يُلزم النطاق الرابع من إطار SAMA CSF (أمن التقنية) المؤسساتِ بإجراء تقييم رسمي للمخاطر السحابية يشمل تصنيف البيانات، وموقع تخزينها، وحدود المسؤولية المشتركة، واستراتيجية الخروج. كما يشترط الضابط 4.3 إخضاع مزودي الخدمات السحابية لمراجعة عناية واجبة مستوفيةً لمعايير إدارة مخاطر الأطراف الثالثة، بما فيها التحقق من شهادات SOC 2 Type II أو ISO 27001. ويجب أن تبقى البيانات المصنفة "سرية" أو "مقيدة" داخل المملكة أو في نطاقات جغرافية معتمدة، ما لم يصدر تصريح تنظيمي صريح بخلاف ذلك.
**متطلبات هيئة الاتصالات وتقنية المعلومات (NCA ECC):**
تُوجب المادة 3-15 من معيار ECC-1:2018 تضمين عقود مزودي الخدمات السحابية بنوداً تتعلق بسيادة البيانات، وحقوق التدقيق، والإبلاغ عن الحوادث خلال 24 ساعة. كذلك يجب تقييم المزودين وفق ضوابط الأمن السحابي الصادرة عن الهيئة (CCC).
**الخطوات العملية:**
1. إجراء تقييم جاهزية سحابية يُصنّف الأنظمة حسب درجة حساسيتها.
2. التحقق من امتثال المزود لضوابط NCA CCC والحصول على عدم اعتراض رسمي من ساما قبل ترحيل الأنظمة الحرجة.
3. نشر أداة لإدارة وضع الأمن السحابي (CSPM) لمراقبة الضوابط باستمرار.
4. بناء خطة استجابة للحوادث مخصصة للبيئة السحابية ومتكاملة مع متطلبات ساما.
5. الإبقاء على السيطرة الكاملة لإدارة مفاتيح التشفير من خلال نموذج "إحضار مفتاحك الخاص" (BYOK).
تجاوز مرحلة الحصول على الموافقة التنظيمية المسبقة يُعرّض المؤسسات لملاحظات جوهرية خلال فحوصات ساما، مما يجعل التواصل المبكر مع الجهات الرقابية أمراً لا غنى عنه.
هل كانت الإجابة مفيدة؟
تشهد البنوك السعودية توجهاً متسارعاً نحو السحابة، غير أن هذا التوجه مشروط بمتطلبات تنظيمية صارمة تشمل المحور الثالث من إطار SAMA CSF، ومعايير NCA ECC، وتعليمات ساما للحوسبة السحابية. إليك أبرز ما يجب استيفاؤه قبل أي هجرة:
**أولاً: الحصول على الموافقة التنظيمية**
تشترط ساما الإخطار الرسمي المسبق، وفي حالة الأنظمة الجوهرية كالبنية التحتية المصرفية وأنظمة الدفع، يلزم الحصول على موافقة مسبقة صريحة وفق إطار الاستعانة بالمصادر الخارجية.
**ثانياً: الاشتراطات المتعلقة بموقع البيانات**
يجب أن تُخزَّن البيانات المالية والشخصية الحساسة داخل المملكة العربية السعودية، إلا في حالة حصول البنك على موافقة صريحة من ساما للنقل العابر للحدود، انسجاماً مع المادة 29 من نظام PDPL وتوجيهات الهيئة الوطنية للأمن السيبراني.
**ثالثاً: تقييم مزودي الخدمات السحابية**
اقتصر على مزودي الخدمات الذين يستوفون ضوابط الأمن السيبراني للحوسبة السحابية (CCC-1:2020) الصادرة عن هيئة الاتصالات الوطنية، مع التحقق من حصولهم على شهادات ISO 27001 وCSA STAR.
**رابعاً: نموذج المسؤولية المشتركة**
وثّق بدقة الضوابط الأمنية التي يتحملها البنك مقابل تلك التي يتحملها مزود الخدمة، وتشمل: إدارة الهوية، والتشفير، والتسجيل، والاستجابة للحوادث.
**خامساً: التشفير وإدارة المفاتيح**
يجب تشفير البيانات أثناء التخزين والنقل، مع الاحتفاظ بإدارة مفاتيح التشفير داخلياً وعدم تفويضها للمزود السحابي في حالة البيانات الخاضعة للتنظيم.
**سادساً: خطة الخروج**
تُلزم تعليمات ساما السحابية بوجود خطة موثقة للخروج من الخدمة وضمان قابلية نقل البيانات تفادياً للتبعية للمورد.
منصتنا تُتيح لك ربط ضوابط بنيتك السحابية مباشرةً بمتطلبات SAMA CSF وNCA CCC للحصول على صورة واضحة ومستمرة لمستوى امتثالك.
هل كانت الإجابة مفيدة؟
تخضع الحوسبة السحابية في المؤسسات المالية السعودية لمنظومة تنظيمية متكاملة تجمع بين إطار SAMA CSF ومتطلبات هيئة الاتصالات الوطنية ECC وتوجيهات ساما للحوسبة السحابية. وللامتثال الكامل، يجب معالجة المحاور الرئيسية التالية:
**الحصول على الموافقة المسبقة:**
- تشترط ساما الحصول على موافقتها المسبقة قبل ترحيل أي أنظمة جوهرية أو بيانات عملاء إلى السحابة، وذلك من خلال تقديم تقييم مخاطر سحابي وإشعار تعهيد خارجي وفق الضابط 3.3.5 من SAMA CSF وإرشادات إدارة مخاطر التعهيد.
- تُلزم هيئة الاتصالات الوطنية (المادة 3-2) بتقييم الخدمات السحابية المستخدمة من قِبل البنية التحتية الحيوية وفق الاعتبارات الأمنية الوطنية.
**الإقامة المحلية للبيانات:**
- يجب أن تبقى البيانات المالية للعملاء والمعلومات الشخصية داخل المملكة العربية السعودية، وفقًا للمادة 29 من نظام حماية البيانات الشخصية وتوجيهات ساما بشأن توطين البيانات. تحقق من أن مزود الخدمة السحابية يمتلك منطقة معتمدة داخل المملكة.
**نموذج المسؤولية المشتركة:**
- وثّق توزيع المسؤوليات الأمنية بين مؤسستك ومزود الخدمة السحابية، مع ربط ضوابط المزود بمتطلبات SAMA CSF و ISO 27001.
**الضوابط التقنية الأساسية:**
- تشفير البيانات أثناء التخزين والنقل باستخدام معايير تشفير معتمدة
- إدارة الهويات والوصول وفق مبدأ أدنى الصلاحيات مع تطبيق المصادقة متعددة العوامل
- استخدام أدوات إدارة وضع الأمن السحابي (CSPM) للمراقبة المستمرة
- مركزة السجلات ودمجها مع أنظمة SIEM للكشف عن التهديدات
**الحوكمة المستمرة:**
- أجرِ تقييمات أمنية سحابية سنوية وحافظ على جرد شامل لأصولك السحابية
- أدرج البيئات السحابية ضمن نطاق اختبارات الاختراق
- وثّق استراتيجية الخروج من الخدمة السحابية تفاديًا لمخاطر الارتباط بمزود واحد، وفق توصيات ساما
هل كانت الإجابة مفيدة؟
تُلزم متطلبات إطار الأمن السيبراني لساما (المجال الرابع - إدارة الأطراف الثالثة) ومعايير هيئة الأمن السيبراني الوطنية (المادة 3-4) البنوكَ السعوديةَ بمعاملة مزودي الخدمات السحابية باعتبارهم أطرافاً ثالثة ذات مخاطر حرجة. إليك الإطار العملي المقترح:
**أولاً: العناية الواجبة قبل التعاقد**
قبل إبرام أي عقد، أجرِ تقييماً شاملاً لمخاطر الأمن السحابي، وتحقق من حصول المزود على شهادات معتمدة كـ ISO 27001 وSOC 2 Type II وCSA STAR. ويشترط ضابط SAMA CSF رقم 3.3.7 الحصول على موافقة الإدارة العليا على جميع ترتيبات الاستعانة بمصادر خارجية.
**ثانياً: الضوابط التعاقدية**
احرص على أن تتضمن العقود بنوداً صريحة تُحدد مكان تخزين البيانات (يجب أن تبقى داخل المملكة العربية السعودية ما لم تمنح ساما موافقة مسبقة)، ومهل الإخطار بالحوادث (24 ساعة وفق SAMA CSF 3.3.14)، وحق التدقيق، وخطط الخروج والانتقال.
**ثالثاً: المراقبة المستمرة**
أجرِ تقييمات دورية سنوية، واستخدم أدوات CSPM لرصد الإعدادات الخاطئة فور حدوثها. وتوجب المادة 3-4-2 من معايير هيئة الأمن السيبراني الوطنية مراجعة دورية لمستوى امتثال الأطراف الثالثة.
**رابعاً: تصنيف البيانات**
صِنِّف البيانات المخزنة أو المعالجة سحابياً وفق متطلبات نظام حماية البيانات الشخصية ومعايير ساما، وتجنب تخزين بيانات العملاء الحساسة على منصات دولية غير معتمدة.
**خامساً: الاستجابة للحوادث**
أدرج مزود الخدمة في خطة الاستجابة للحوادث ونفِّذ تمارين مشتركة سنوياً. الإخلال بهذه المتطلبات يُعرّض المؤسسة لإجراءات رقابية من ساما وعقوبات هيئة الأمن السيبراني الوطنية.
هل كانت الإجابة مفيدة؟
قبل نقل أي أعباء عمل إلى السحابة العامة، على البنوك السعودية استيفاء جملة من المتطلبات التنظيمية والأمنية. فوفق الضابط 3.3.6 من إطار SAMA CSF، يجب على المؤسسات المالية إجراء تقييم رسمي لمخاطر السحابة يشمل تصنيف البيانات ومتطلبات الإقامة الجغرافية وضوابط مزود الخدمة. والبيانات المصنفة بـ'سرية' أو 'مقيدة' يجب أن تبقى داخل المملكة ما لم يُحصل على موافقة تنظيمية صريحة.
أما من منظور هيئة الاتصالات وتقنية المعلومات NCA، فتُلزم المادة 2-14 من الضوابط الأساسية للأمن السيبراني (ECC) بأن يمتثل مزودو الخدمات السحابية لضوابط أمن السحابة (CCC). وعلى البنوك التحقق من أن المزود المختار يحمل شهادة امتثال سارية أو خضع لتدقيق مستقل وفق متطلبات الهيئة.
على الصعيد العملي، يجب بناء إطار أمني سحابي شامل يتضمن: مراجعة أمنية وتحليل تهديدات قبل الهجرة، ومصفوفة توزيع المسؤوليات بين البنك والمزود، وتشفير البيانات أثناء التخزين والنقل، واستخدام أدوات CSPM للمراقبة المستمرة، وإعداد خطة استجابة للحوادث مخصصة للبيئة السحابية.
كما يجب أن تتضمن العقود مع المزودين حق التدقيق، والتزامات بإشعار الحوادث خلال 72 ساعة بما يتوافق مع نظام حماية البيانات الشخصية (PDPL)، وخطة خروج واضحة. ويُسهم استخدام منصة GRC متخصصة أو الاستعانة بـ vCISO في تسريع مسيرة الامتثال عبر تعيينات جاهزة لضوابط SAMA وNCA السحابية.
هل كانت الإجابة مفيدة؟
مع التوسع المتسارع في اعتماد الخدمات السحابية، باتت البنوك السعودية مُلزَمة بوضع إطار حوكمة متكامل للأمن السحابي يستوفي متطلبات SAMA CSF في النطاق الرابع المتعلق بأمن التقنية، إلى جانب ضوابط NCA ECC-1:2018 ولا سيما المواد 3-2 و3-3 الخاصة بأمن الحوسبة السحابية.
أبرز متطلبات الحوكمة الواجب مراعاتها:
**أولاً: تقييم المخاطر السحابية** — يُوجب SAMA CSF ضمن الضابط 3.3.5 إجراء تقييم رسمي للمخاطر قبل التعاقد مع أي مزود خدمة سحابية، يشمل تصنيف البيانات ومتطلبات توطينها ومخاطر السيادة الرقمية.
**ثانياً: توطين البيانات وسيادتها** — تشترط هيئة السوق المالية أن تبقى البيانات المصرفية الحساسة داخل المملكة العربية السعودية، مع ضرورة تضمين بنود ملزمة في العقود مع مزودي الخدمة لضمان ذلك.
**ثالثاً: نموذج المسؤولية المشتركة** — يجب توثيق المسؤوليات الأمنية الموزعة بين المؤسسة ومزود الخدمة، وربط قدرات المزود بضوابط NCA ECC لتحديد الثغرات وسدّها بضوابط تعويضية.
**رابعاً: المراقبة المستمرة** — يُستحسن توظيف أدوات CSPM لرصد الإعدادات الخاطئة وتتبع الامتثال بشكل آني.
**خامساً: استراتيجية الخروج** — يستلزم SAMA CSF توثيق خطة خروج واضحة تكفل استمرارية العمل في حال انتهاء العلاقة مع المزود.
**سادساً: حقوق التدقيق** — ينبغي أن تتضمن العقود صراحةً حق المؤسسة وهيئة السوق المالية في تدقيق بيئة المزود، أو قبول شهادات موازية كـ ISO 27001 أو SOC 2 Type II.
عملياً، يُنصح بتشكيل فريق عمل متخصص للأمن السحابي يضم ممثلين من تقنية المعلومات والمخاطر والامتثال والشؤون القانونية، لضمان ترجمة هذه المتطلبات إلى إجراءات فعلية على أرض الواقع.
هل كانت الإجابة مفيدة؟
نعم، لكن بشروط. يسمح ساما للمؤسسات المالية باستخدام السحابة العامة بشرط: إجراء تقييم مخاطر السحابة؛ ضمان متطلبات إقامة البيانات للبيانات الحساسة للعملاء؛ تطبيق ضوابط وصول وتشفير مناسبة؛ الحفاظ على قدرات الإبلاغ التنظيمي؛ امتلاك استراتيجية خروج واضحة؛ واستخدام مزودي سحابة معتمدين من ساما أو معترف بهم دولياً مع مراكز بيانات محلية في المملكة.
هل كانت الإجابة مفيدة؟
تخضع المؤسسات المالية السعودية التي تعتمد الحوسبة السحابية لمتطلبات تنظيمية متشابكة من ثلاث جهات رئيسية:
**أولاً – NCA ECC (ضوابط أمن السحابة، المجال الرابع):** تُلزم المادة 4-2 من الإطار المؤسساتِ المصنفة ضمن البنية التحتية الحيوية — بما فيها المؤسسات المالية — بتصنيف بيئات السحابة وتطبيق ضوابط تشمل سيادة البيانات وإدارة الهوية والتشفير والاستجابة للحوادث، مع ضمان امتثال مزودي الخدمة السحابية أنفسهم لهذه الضوابط.
**ثانياً – إرشادات ساما للحوسبة السحابية:** تشترط ساما الحصول على موافقة خطية مسبقة قبل نقل الأنظمة الحيوية أو بيانات العملاء إلى السحابة، وتخزين البيانات المالية داخل المملكة أو في دول توفر مستوى حماية مكافئاً، مع الحفاظ على قدرات الاستمرارية والتعافي من الكوارث.
**قائمة المتطلبات التطبيقية:**
- تصنيف البيانات وفق مستويات الحساسية المنصوص عليها في PDPL قبل الترحيل
- استخدام تشفير معتمد بمعيار FIPS 140-2 للبيانات المخزنة والمنقولة
- تطبيق إدارة الهوية والوصول المتميز (IAM/PAM)
- اعتماد أدوات إدارة وضع أمن السحابة (CSPM) للكشف المستمر عن الثغرات
- تضمين عقود مزودي الخدمة بنوداً واضحة للخروج وقابلية نقل البيانات
- ربط ضوابط السحابة بمستويات نضج SAMA CSF لأغراض التقييم الذاتي
مع تسارع تبني الحوسبة السحابية في القطاع المالي السعودي — لا سيما مع إنشاء كبرى الشركات كـ AWS وAzure وGoogle Cloud لمناطق محلية — يبقى الحصول على الموافقة التنظيمية المسبقة شرطاً غير قابل للتجاوز. ويُسهم الاستعانة بمنصة GRC أو vCISO متخصص في تضمين متطلبات الامتثال في صميم استراتيجية السحابة منذ البداية.
هل كانت الإجابة مفيدة؟
ترحيل بيئات العمل البنكية إلى السحابة العامة يتطلب نهجًا أمنيًا منظمًا يتوافق مع النطاق 3.3 من إطار SAMA CSF (أمن التقنية) وضوابط الحوسبة السحابية في إطار NCA ECC-1:2018. قبل أي ترحيل، يجب على البنك إجراء تقييم مخاطر رسمي للسحابة وتصنيف البيانات وفق سياسة التصنيف المعتمدة من ساما — إذ تستوجب البيانات الحساسة والحرجة ضوابط مشددة، وقد تستلزم الاستضافة المحلية أو السحابة السيادية.
أبرز الضوابط الإلزامية:
**1. العناية الواجبة بمزودي السحابة:** التحقق من حيازة مزود الخدمة شهادات معتمدة كـ ISO 27001 وSOC 2 وCSA STAR، مع اشتراط اتفاقيات مستوى خدمة أمنية قابلة للإنفاذ وفق ضابط SAMA CSF 3.3.5.
**2. إقامة البيانات:** تشترط ساما أن تبقى بيانات العمليات البنكية الجوهرية والبيانات الشخصية للعملاء داخل المملكة العربية السعودية، إلا بموافقة تنظيمية صريحة. تأكد من امتلاك مزود السحابة مراكز بيانات في المملكة.
**3. التشفير وإدارة المفاتيح:** تطبيق تشفير شامل للبيانات أثناء التخزين والنقل، مع الاحتفاظ بملكية مفاتيح التشفير بعيدًا عن مزود السحابة في البيئات الحساسة.
**4. إدارة الهوية والوصول:** تطبيق المصادقة متعددة العوامل وإدارة الوصول المميز ومبادئ الثقة الصفرية وفق ضابط SAMA CSF 3.3.3.
**5. المراقبة المستمرة:** نشر أدوات CSPM ودمج سجلات السحابة في نظام SIEM لاكتشاف التهديدات فور وقوعها.
**6. خطة الخروج:** توثيق خطة واضحة لضمان قابلية نقل البيانات واستمرارية الخدمة، وهو متطلب صريح ضمن أحكام استمرارية الأعمال في SAMA CSF.
الاستعانة بخبير vCISO متخصص في متطلبات ساما وأمن السحابة قبل الشروع في الترحيل يُقلص بشكل كبير الثغرات الامتثالية ومخرجات التدقيق.
هل كانت الإجابة مفيدة؟
باتت الخدمات السحابية ركيزةً أساسية في التحول الرقمي للقطاع المصرفي السعودي، غير أن اعتمادها يستلزم الالتزام بمتطلبات صارمة يفرضها إطار SAMA CSF، لا سيما في المجال 4.3 الخاص بأمن البنية التحتية، إلى جانب إطار الحوسبة السحابية الصادر عن مؤسسة النقد العربي السعودي.
**أولاً - تقييم المخاطر قبل الانتقال:** يجب على البنك إجراء تقييم رسمي يشمل تصنيف البيانات، ومتطلبات الإقامة الجغرافية للبيانات، والوضع الأمني للمزود. وتشترط مؤسسة النقد أن تظل البيانات المصرفية الحساسة خاضعة لرقابتها التنظيمية.
**ثانياً - الضمانات التعاقدية:** يجب أن تتضمن عقود الخدمة السحابية حق التدقيق، وضمانات مستوى الخدمة، وآليات حذف البيانات عند انتهاء العقد، إضافةً إلى التزامات الإشعار بالحوادث وفق الضابط 3.3.5 من SAMA CSF.
**ثالثاً - الضوابط التقنية:** تشمل تشفير البيانات المخزنة والمنقولة، والمصادقة متعددة العوامل لجميع وصول إداري، ونشر حلول CASB لتعزيز الرؤية الأمنية، مع عزل الشبكات بين البيئة السحابية والبنية التحتية الداخلية.
**رابعاً - المراقبة المستمرة:** يتطلب SAMA دمج سجلات السحابة مع منصات SIEM لضمان التنبيه الفوري على أي أنماط وصول غير اعتيادية.
**خامساً - خطة الخروج:** يجب توثيق خطة واضحة للخروج من بيئة السحابة تضمن استمرارية العمليات وإمكانية استرداد البيانات.
يعزز المادة 7-4 من NCA ECC هذه المتطلبات، وينبغي على البنوك إجراء تقييمات أمن سحابي سنوية ومعالجة أي ثغرات في نموذج المسؤولية المشتركة ضمن سياساتها الداخلية.
هل كانت الإجابة مفيدة؟
قبل الشروع في ترحيل أي أنظمة أو بيانات حساسة إلى السحابة العامة، على البنوك السعودية الالتزام بمنظومة متكاملة من المتطلبات التنظيمية.
**على صعيد إطار SAMA CSF:**
يُوجب الضابط 3.3 إجراء تقييم رسمي لمخاطر السحابة قبل أي عملية ترحيل، يتضمن تصنيف البيانات والأنظمة حسب درجة حساسيتها. وتستلزم بيانات العملاء والأنظمة المصرفية الجوهرية الحصول على موافقة صريحة من مؤسسة النقد، أو الإبقاء عليها في بيئات محلية أو سحابية خاصة معتمدة. كما يجب أن تتضمن عقود مزودي الخدمات السحابية بنوداً صريحة تضمن بقاء البيانات داخل المملكة العربية السعودية وحق التدقيق.
**على صعيد معايير NCA ECC:**
تُلزم المادة 3-5 الجهات بتصنيف أصولها المعلوماتية قبل اعتماد السحابة، والتحقق من أن مزودي الخدمة مستوفون لضوابط الأمن السحابي الصادرة عن الهيئة الوطنية للأمن السيبراني، والتي تشمل العزل المنطقي والتشفير وآليات الإشعار عند الحوادث.
**الخطوات العملية المقترحة:**
1. تنفيذ مشروع تصنيف شامل للبيانات وفق مستويات الحساسية المعتمدة في الإطارين.
2. إعداد تقييم مخاطر سحابي موثق ومعتمد من CISO ولجنة المخاطر.
3. التفاوض على عقود المزودين لتضمينها إقامة البيانات وحق التدقيق وإشعار الخروقات خلال 72 ساعة وخطة الخروج.
4. تطبيق حلول CASB لضمان الرؤية وتطبيق السياسات الأمنية.
5. بناء آلية مراقبة مستمرة للامتثال تغطي كلا الإطارين.
الإخفاق في اتباع هذه المنهجية قد يُفضي إلى ملاحظات تنظيمية خلال فحوصات مؤسسة النقد وتدقيقات الهيئة الوطنية للأمن السيبراني.
هل كانت الإجابة مفيدة؟
قبل نقل الأنظمة والبيانات الحساسة إلى البيئة السحابية، يتعين على البنوك السعودية الامتثال لمتطلبات متعددة المستويات يفرضها كل من إطار عمل SAMA CSF وضوابط هيئة الاتصالات الوطنية NCA ECC.
**متطلبات SAMA CSF:**
بموجب الضابط 3.3.5 الخاص بالحوسبة السحابية، يجب على البنوك إجراء تقييم رسمي للمخاطر السحابية قبل أي عملية انتقال، يشمل تصنيف البيانات وتقييم مزود الخدمة السحابية وفق معايير البنك المركزي، مع التحقق من أن العقود تتضمن أحكاماً تتعلق بالسيادة على البيانات وحقوق التدقيق واستراتيجيات الخروج. كما يشترط SAMA بقاء البيانات الحساسة للعملاء داخل المملكة إلا بموافقة تنظيمية صريحة.
**متطلبات NCA ECC:**
وفق الضابط ECC-1: 2-1، يجب التحقق من التزام مزود الخدمة السحابية بضوابط الأمن السيبراني الصادرة عن هيئة الاتصالات الوطنية، والتأكد من حصوله على شهادة الامتثال المعتمدة منها، مع توثيق واضح لنموذج المسؤولية المشتركة.
**الخطوات العملية:**
1. تصنيف الأنظمة والبيانات وفق سياسة تصنيف مبنية على ISO 27001 الملحق أ-8.
2. إجراء تقييم مخاطر أمن السحابة مرتبط بوظيفتي التحديد والحماية في إطار NIST CSF.
3. مراجعة العقود للتحقق من متطلبات الإقامة الرقمية للبيانات والإشعار بالحوادث خلال 72 ساعة وفق المادة 21 من نظام PDPL.
4. تطبيق حلول CASB مع تشفير البيانات أثناء التخزين والنقل.
5. إعداد استراتيجية الخروج السحابي وفق الضابط 3.3.5.4 من SAMA CSF.
الانتقال إلى السحابة دون هذه الضوابط يعرّض البنك لعقوبات تنظيمية ومخاطر أمنية جسيمة.
هل كانت الإجابة مفيدة؟
يخضع اعتماد الحوسبة السحابية في القطاع المالي السعودي لمنظومة تنظيمية متكاملة. إذ يشترط كل من القسم 3.4 من إطار SAMA CSF والمادة 2-14 من NCA ECC أن تضع المؤسسات المالية إطاراً رسمياً لحوكمة أمن السحابة قبل الشروع في ترحيل أي أعباء عمل. وتتضمن المتطلبات الجوهرية ما يلي: أولاً، تصنيف مخاطر السحابة، حيث تُصنَّف البيانات والأنظمة حسب درجة حساسيتها، وتحظر SAMA استضافة بيانات الأعمال المصرفية الجوهرية على السحابة العامة دون موافقة رسمية وضوابط صارمة. ثانياً، مصفوفة المسؤوليات المشتركة، وتوثق بوضوح توزيع المهام الأمنية بين المؤسسة ومزود الخدمة السحابية. ثالثاً، العناية الواجبة بمزودي الخدمة، بما يشمل التحقق من شهادة ISO 27001 وتقارير SOC 2 Type II. رابعاً، إقامة البيانات داخل المملكة، وهو شرط تؤكد عليه المادة 2-14-1 من NCA ECC إلا في حالات الاستثناء الصريح من SAMA. خامساً، التشفير وإدارة المفاتيح، إذ يجب أن تظل مفاتيح التشفير بيد المؤسسة لا مزود الخدمة. سادساً، المراقبة المستمرة عبر أدوات CSPM وربط التنبيهات بمركز العمليات الأمني. كما يُوفر إطار SAMA للحوسبة السحابية (CCRF) توجيهات تكميلية مهمة. ويُنصح بالاحتفاظ بسجل شامل لأصول السحابة وإجراء مراجعات أمنية سنوية ضمن دورة التدقيق الأمني.
هل كانت الإجابة مفيدة؟
تخضع الحوسبة السحابية في القطاع المالي السعودي لضوابط صارمة يفرضها كل من إطار SAMA CSF وقرارات هيئة الاتصالات الوطنية NCA ECC. قبل نقل أي بيانات أو أعباء عمل إلى السحابة، يجب على المؤسسة إجراء عملية تصنيف رسمية للبيانات وفق متطلبات التحكم 3.2.1 من SAMA CSF، بحيث تُصنَّف البيانات إلى مستويات: عامة، وداخلية، وسرية، ومقيدة — وعادةً ما تقع بيانات العملاء المالية وسجلات المعاملات ضمن الفئة المقيدة.
فيما يخص النشر السحابي، تشترط المادة 3-7 من NCA ECC أن تبقى البيانات المصنفة حساسة أو حرجة داخل الحدود الجغرافية للمملكة العربية السعودية، ما لم تُمنح موافقة تنظيمية صريحة بخلاف ذلك. وهذا يعني ضرورة التحقق من أن مزودي الخدمات السحابية يشغّلون مراكز بيانات سيادية داخل المملكة، أو الاستفادة من نماذج السحابة السيادية المعتمدة.
أبرز الضوابط التقنية المطلوبة تشمل: تشفير البيانات الساكنة بخوارزمية AES-256 والبيانات المتنقلة بـ TLS 1.2 أو أعلى، واستخدام مفاتيح تشفير يديرها العميل (CMEK) للإبقاء على السيطرة التشفيرية، وتطبيق مبدأ الحد الأدنى من الصلاحيات في إدارة الهويات والوصول، وتفعيل أدوات إدارة وضعية الأمان السحابي (CSPM) للكشف عن الأخطاء في التهيئة، وسياسات منع فقدان البيانات (DLP) المنسجمة مع مستويات التصنيف.
كذلك تُلزم ساما بأن تتضمن عقود الخدمات السحابية بنوداً أمنية محددة وحق التدقيق وآليات إشعار بالحوادث. وتتيح منصات GRC المتكاملة ربط الضوابط السحابية بكلا الإطارين في رؤية امتثال موحدة.
هل كانت الإجابة مفيدة؟
يستلزم نقل أعباء العمل المصرفية الجوهرية إلى السحابة العامة في المملكة العربية السعودية الوفاءَ بمنظومة متكاملة من المتطلبات التنظيمية والتقنية. استناداً إلى نطاق التحكم 3.6 في إطار SAMA CSF المتعلق بالحوسبة السحابية، وضوابط الأمن السيبراني السحابية الصادرة عن هيئة الاتصالات الوطنية (NCA CCC)، تشمل المتطلبات الرئيسية ما يلي: أولاً، الحصول على موافقة مسبقة من البنك المركزي السعودي (SAMA) قبل الشروع في أي نقل للأنظمة الحيوية، مع توثيق تقييم المخاطر الكامل؛ وثانياً، ضمان توطين البيانات داخل المملكة، إذ يُشترط أن تبقى جميع البيانات المالية للعملاء المصنّفة حساسة داخل حدود المملكة، ويجب التحقق من أن مزود الخدمة السحابية — سواء أكان AWS المنطقة السعودية أم STC Cloud أم غيرهما — يوفر ضمانات موثّقة لسيادة البيانات؛ وثالثاً، تطبيق أدوات إدارة وضعية الأمان السحابية (CSPM) لرصد أخطاء التهيئة باستمرار؛ ورابعاً، تشفير البيانات أثناء التخزين والنقل باستخدام معايير معتمدة، مع الاحتفاظ بإدارة المفاتيح تحت سيطرة المؤسسة باعتماد نموذج BYOK أو HYOK وفق الضابط 3.4 من NCA CCC؛ وخامساً، توثيق نموذج المسؤولية المشتركة مع مزود الخدمة بما يشمل الاستجابة للحوادث وإدارة التصحيحات والتحكم في الوصول؛ وسادساً، إعداد استراتيجية خروج سحابية موثّقة ومختبرة للتخفيف من مخاطر التقييد بمزود واحد؛ وسابعاً، إجراء تقييمات أمنية سحابية سنوية بواسطة طرف ثالث معتمد مع رفع نتائجها إلى لجنة المخاطر في مجلس الإدارة. يُنصح بالتواصل مبكراً مع فرق الامتثال للقطاع المالي لدى مزودي الخدمات السحابية الكبار، لا سيما أنهم يمتلكون برامج امتثال متخصصة للقطاع المالي السعودي.
هل كانت الإجابة مفيدة؟
يخضع التحول السحابي في القطاع المالي السعودي لمنظومة متكاملة من المتطلبات التنظيمية الصادرة عن جهات رقابية متعددة، في مقدمتها مؤسسة النقد العربي السعودي (ساما)، وهيئة الاتصالات الوطنية (NCA).
**متطلبات ساما للسحابة:** يُلزم الإطار التنظيمي لساما بشأن الحوسبة السحابية بالحصول على موافقة مسبقة عند نقل الأنظمة الحرجة (كالنظام المصرفي الأساسي ومعالجة المدفوعات)، في حين تستلزم الأحمال غير الحرجة إجراء تقييم رسمي للمخاطر ومصادقة مجلس الإدارة.
**ضوابط الأمن السحابي لهيئة الاتصالات الوطنية (CCC):** تُوجب هذه الضوابط أن تستوفي الجهات المزودة للخدمات السحابية معايير أمنية محددة، تشمل: إقامة البيانات الحساسة داخل المملكة، وتشفير البيانات أثناء التخزين والنقل، وعزل بيئات المستأجرين المتعددين.
**قائمة التحقق قبل الترحيل:**
- تصنيف الأحمال وفق إرشادات تصنيف البيانات في SAMA CSF
- إجراء تقييم أمني شامل للسحابة يتضمن مراجعة نموذج المسؤولية المشتركة
- التحقق من امتثال مزود الخدمة لمعايير NCA CCC وISO 27017/27018
- وضع استراتيجية خروج واضحة تضمن إمكانية نقل البيانات
- ضمان امتداد قدرات الاستجابة للحوادث والتسجيل لتشمل البيئة السحابية وفق الضابط 2-14 من NCA ECC
- تطبيق ضوابط إدارة الهوية والصلاحيات (IAM) بمبدأ الحد الأدنى من الصلاحيات
**الامتثال المستمر:** بعد الترحيل، يُنصح بإجراء مراجعات ربع سنوية لإعدادات السحابة، واستخدام أدوات CSPM، وإدراج البيئات السحابية ضمن نطاق اختبارات الاختراق السنوية وفق الضابط 3.3.5 من SAMA CSF.
يُوصى بشدة بالاستعانة بخبير أمن سحابي أو مدير أمن معلومات افتراضي (vCISO) ملمّ بالمتطلبات التنظيمية السعودية قبل الشروع في أي عملية ترحيل.
هل كانت الإجابة مفيدة؟
تُعالج الضوابط الأساسية للأمن السيبراني (NCA ECC) موضوع الحوسبة السحابية ضمن الضابط رقم 2-14، وتضع متطلبات واضحة للمنظمات العاملة في المملكة العربية السعودية، بما فيها المؤسسات المالية الخاضعة لرقابة كل من هيئة الاتصالات الوطنية وهيئة السوق المالية.
**أبرز متطلبات NCA ECC للسحابة:**
- يجب تقييم الخدمات السحابية والحصول على موافقة رسمية قبل اعتمادها
- تصنيف البيانات إلزامي قبل أي عملية ترحيل سحابي، مع اشتراط ضمانات إضافية للبيانات الحساسة
- يجب أن تتضمن عقود مزودي الخدمات السحابية متطلبات أمنية صريحة وبنوداً تتعلق بمكان تخزين البيانات والاستجابة للحوادث
- السيادة على البيانات أمر جوهري؛ إذ يُفضَّل أن تبقى البيانات الشخصية والمالية الحساسة داخل المملكة تماشياً مع المادة 29 من نظام حماية البيانات الشخصية (PDPL)
**متطلبات SAMA الخاصة بالسحابة:** تُلزم إرشادات SAMA للحوسبة السحابية البنوكَ بإخطار الهيئة قبل ترحيل الأنظمة الجوهرية إلى السحابة، وصيانة سجل مخاطر سحابي محدَّث.
**خطوات التطبيق العملي:**
1. **تقييم الأمن السحابي:** قيّم مزودي الخدمة وفق معايير CSA STAR وISO 27017/27018 والمتطلبات المحلية
2. **نموذج المسؤولية المشتركة:** وضّح بدقة الضوابط الأمنية التي يتولاها المزود مقابل تلك التي تقع على عاتق مؤسستك
3. **ضوابط الوصول:** طبّق معمارية الثقة الصفرية والمصادقة متعددة العوامل وإدارة الوصول المميز
4. **المراقبة المستمرة:** استخدم أدوات CSPM لرصد الإعدادات الخاطئة
5. **تشفير البيانات:** فرض التشفير أثناء التخزين والنقل مع مفاتيح يديرها العميل
للمؤسسات المالية التي تعتمد على كبار مزودي الخدمات السحابية، يُنصح باستخدام مناطقهم المحلية في السعودية لتلبية متطلبات إقامة البيانات.
هل كانت الإجابة مفيدة؟
يستلزم ترحيل الأعباء الوظيفية الحرجة إلى السحابة في القطاع المالي السعودي الامتثالَ المسبق لمتطلبات إطاري NCA ECC وSAMA CSF. وفيما يلي خارطة طريق عملية للامتثال:
**أولاً: تقييم المخاطر قبل الترحيل (النطاق الثالث من SAMA CSF والمادة 3-2 من NCA ECC):**
أجرِ تقييماً رسمياً لمخاطر الحوسبة السحابية يشمل تصنيف البيانات، ومتطلبات الإقامة الجغرافية للبيانات، وفجوات نموذج المسؤولية المشتركة. وتشترط SAMA توثيق هذه التقييمات واعتمادها على مستوى مجلس الإدارة أو الإدارة التنفيذية العليا.
**ثانياً: الإقامة الجغرافية للبيانات وسيادتها:**
تُلزم SAMA بأن تُخزَّن بيانات العملاء المالية داخل المملكة العربية السعودية. لذا تحقّق من أن مزود الخدمة السحابية — كـ AWS الرياض أو Azure Saudi North — يوفّر ضمانات تعاقدية صريحة بتخزين البيانات داخل المملكة.
**ثالثاً: ضوابط أمن السحابة في NCA ECC (النطاق 2-9 من ECC-1:2018):**
يشترط إطار NCA ECC تطبيق ضوابط محددة تشمل: إدارة الهوية والوصول، وتشفير البيانات أثناء التخزين والنقل، وتسجيل الأحداث ومراقبتها، وإدارة واجهات API بأمان.
**رابعاً: مراجعة هندسة أمن السحابة:**
قبل الإطلاق الرسمي، تحقّق من تطبيق: تجزئة الشبكات، وجدران حماية تطبيقات الويب، وحماية DDoS، وإدارة الوصول المميّز. ويُعدّ معيار ISO 27017 إطاراً مكمّلاً مفيداً.
**خامساً: العناية الواجبة مع المزود وخطة الخروج:**
قيّم الاستقرار المالي للمزود، وشروط اتفاقيات مستوى الخدمة، وقدراته في الاستجابة للحوادث. ووثّق خطة خروج من السحابة وفق SAMA CSF لتفادي مخاطر الاعتماد المفرط على مزود واحد.
**تنبيه مهم:** تشترط SAMA الحصول على موافقة رسمية قبل اعتماد الحوسبة السحابية للأنظمة الحرجة، لذا تواصل مع مدير علاقات SAMA في مرحلة مبكرة من المشروع.
هل كانت الإجابة مفيدة؟
تخضع الحوسبة السحابية في المؤسسات المالية السعودية لمنظومة رقابية متكاملة تجمع بين إطار عمل ساما والضوابط السيبرانية للحوسبة السحابية الصادرة عن هيئة الأمن السيبراني الوطني (NCA CCC). وإليك أبرز المتطلبات التي يجب استيفاؤها قبل الترحيل:
**أولاً: إقامة البيانات داخل المملكة (NCA ECC المادة 2-7 وضابط CCC 1-3):** يُلزَم بتخزين البيانات الحساسة والمالية وبيانات العملاء داخل المملكة العربية السعودية حصراً. تأكد من أن مزود الخدمة السحابية المختار — كـ AWS الرياض أو Azure KSA — يشغّل مراكز بيانات سيادية محلية.
**ثانياً: تقييم مخاطر السحابة (ساما CSF 3.3.4):** أجرِ تقييماً رسمياً للمخاطر قبل الترحيل يشمل تصنيف البيانات وتوزيع المسؤوليات الأمنية ومستويات اتفاقيات الخدمة.
**ثالثاً: نموذج المسؤولية المشتركة:** حدّد بوضوح الحدود الفاصلة بين مسؤوليات مؤسستك ومسؤوليات المزود. كثير من نتائج التدقيق تكشف افتراضات خاطئة حول مَن يتحكم في ضوابط بعينها كإدارة الهويات أو مفاتيح التشفير.
**رابعاً: التشفير (NCA CCC ضابط 3-1):** يجب تشفير جميع البيانات في وضع الراحة وأثناء النقل، مع الاحتفاظ بإدارة مفاتيح التشفير داخلياً وعدم تفويضها للمزود في أي بيانات حساسة.
**خامساً: إدارة الهويات والصلاحيات:** طبّق مبدأ الصلاحيات الدنيا والمصادقة متعددة العوامل لجميع نقاط الوصول السحابي، وفق ضابط ساما CSF 3.3.16.
**سادساً: خطة الخروج من السحابة:** تستوجب التوجيهات الرقابية توثيق استراتيجية واضحة للخروج من مزود الخدمة لضمان الاستمرارية وتجنب الارتهان.
نوصي بإشراك فريق استشارات الأمن السيبراني منذ المراحل الأولى للترحيل لضمان ربط الضوابط التقنية بالمتطلبات الرقابية وتجنب الإصلاحات المكلفة لاحقاً.
هل كانت الإجابة مفيدة؟
تُعدّ الهجرة إلى السحابة العامة في القطاع المصرفي السعودي خطوةً استراتيجية تستلزم الامتثال لمنظومة متكاملة من الضوابط التنظيمية، أبرزها: ضوابط الأمن السيبراني للحوسبة السحابية الصادرة عن هيئة الاتصالات الوطنية (CCC-1:2020)، وإطار SAMA CSF، وتوجيهات هيئة السوق المالية للحوسبة السحابية.
**أبرز المتطلبات قبل الهجرة:**
1. **الحصول على الموافقة التنظيمية**: تشترط هيئة السوق المالية الإخطار الكتابي المسبق، وللأنظمة الجوهرية يُشترط الحصول على موافقة صريحة قبل الانتقال، مع تقديم تقرير تقييم مخاطر السحابة.
2. **إقامة البيانات داخل المملكة**: يجب تخزين بيانات العملاء المالية وسجلات المعاملات داخل المملكة العربية السعودية وفق توجيهات SAMA والضابط 3-1 من NCA CCC، ويُشترط النص على ذلك صراحةً في العقود.
3. **مراجعة بنية الأمان السحابي**: يُلزم الضابط 2-4 من NCA CCC بإجراء مراجعة رسمية تشمل التجزئة الشبكية، وإدارة الهويات والصلاحيات، والتشفير، وأمن واجهات برمجة التطبيقات (API).
4. **توثيق نموذج المسؤولية المشتركة**: يجب توثيق توزيع مسؤوليات الأمان بين المؤسسة ومزوّد الخدمة السحابية استناداً إلى معيار ISO 27017.
5. **المراقبة المستمرة والتكامل مع SIEM**: يُوجب الضابط 3-3 من NCA CCC جمع السجلات في الوقت الفعلي ومراقبة الأحداث الأمنية، مع ربط البيئة السحابية بمركز العمليات الأمنية (SOC).
6. **استراتيجية الخروج من السحابة**: تطلب هيئة السوق المالية توثيق خطة خروج واضحة تضمن استمرارية العمليات وتمنع الاعتماد الكلي على مزوّد واحد.
كما يُنصح بالتحقق من حصول مزوّد الخدمة السحابية على اعتماد هيئة الاتصالات الوطنية أو ما يعادله قبل إتمام عملية الاختيار.
هل كانت الإجابة مفيدة؟
يخضع اعتماد الحوسبة السحابية في المؤسسات المالية السعودية لمنظومة تنظيمية متكاملة تشمل المادة 2-2 من الضوابط الأساسية للأمن السيبراني الصادرة عن هيئة الأمن السيبراني (NCA ECC)، وضوابط الحوسبة السحابية (NCA CCC)، إضافة إلى إرشادات مؤسسة النقد العربي السعودي في هذا الشأن.
**أبرز المتطلبات التطبيقية:**
**أولاً - الإقامة الجغرافية للبيانات:** يُشترط تخزين بيانات العملاء الحساسة والأنظمة المصرفية الجوهرية داخل المملكة العربية السعودية، ويجب على مزودي الخدمات السحابية إثبات التزامهم بضوابط NCA CCC بشأن التوطين.
**ثانياً - تقييم مخاطر السحابة:** قبل أي هجرة سحابية، يجب إجراء تقييم رسمي لمخاطر الأمن السحابي يشمل تصنيف البيانات، ونموذج المسؤولية المشتركة، والتداعيات التنظيمية للنشر.
**ثالثاً - إدارة الهوية والصلاحيات:** يستوجب الضابط 2-2-3 من NCA ECC تطبيق نظام صارم لإدارة الهوية والوصول في البيئات السحابية، يتضمن المصادقة متعددة العوامل، وإدارة الوصول المميز، ومبدأ أدنى الصلاحيات.
**رابعاً - معايير التشفير:** يجب تشفير البيانات أثناء التخزين والنقل باستخدام خوارزميات معتمدة، مع الاحتفاظ بالتحكم الكامل في مفاتيح التشفير بعيداً عن مزود الخدمة.
**خامساً - الرصد المستمر:** يجب ربط بيئات السحابة بأنظمة إدارة المعلومات الأمنية والأحداث (SIEM) لضمان الرؤية الشاملة وفق متطلبات النطاق الثالث من SAMA CSF.
**سادساً - استراتيجية الخروج:** تشترط مؤسسة النقد توثيق خطط واضحة للخروج من البيئة السحابية تضمن استمرارية العمليات وتمنع التقييد بمورد بعينه.
تتيح منصتنا تعيين بنيتك السحابية على متطلبات NCA CCC ومؤسسة النقد، مع تحليل الفجوات، وتتبع تطبيق الضوابط، وإنتاج وثائق امتثال جاهزة للتدقيق.
هل كانت الإجابة مفيدة؟
تخضع الحوسبة السحابية في القطاع المالي السعودي لمنظومة متكاملة من الأطر التنظيمية المتداخلة، في مقدمتها المجال الخامس من SAMA CSF الخاص بالحوسبة السحابية، والمادة 2-14 من NCA ECC، فضلاً عن ضوابط الأمن السيبراني السحابي الصادرة عن هيئة الاتصالات والفضاء والتقنية (CCC).
**متطلبات ما قبل الانتقال:**
- **تقييم المخاطر:** تصنيف البيانات وفق درجة حساسيتها، وتحديد الأحمال التشغيلية المناسبة للبيئة السحابية. تضع SAMA قيوداً صارمة على بيانات الخدمات المصرفية الجوهرية من حيث منع تخزينها خارج المملكة دون موافقة رسمية مسبقة.
- **العناية الواجبة بمزودي السحابة:** يجب أن يثبت مزود الخدمة السحابية امتثاله لـ NCA ECC، ويُستحسن أن يحمل اعتماداً من هيئة الاتصالات والفضاء والتقنية أو ما يعادله.
- **الإقامة الجغرافية للبيانات:** وفق المادة 2-14-4 من NCA ECC وتوجيهات SAMA، يجب أن تظل البيانات المالية للعملاء داخل حدود المملكة العربية السعودية إلا بموافقة رسمية.
**الضوابط التقنية الأساسية:**
- تطبيق أدوات إدارة وضع أمن السحابة (CSPM) للكشف المستمر عن الإعدادات الخاطئة.
- تطبيق التشفير أثناء التخزين (AES-256) وأثناء النقل (TLS 1.2+) وفق SAMA CSF 3.3.
- اعتماد مبادئ بنية الثقة الصفرية لجميع الموارد السحابية.
- تفعيل المصادقة متعددة العوامل (MFA) لجميع الحسابات ذات الصلاحيات المميزة.
- تصدير سجلات المراجعة كاملةً إلى SIEM خارج بيئة المزود لضمان سلامتها من التلاعب.
**متطلبات الحوكمة:**
- وضع سياسة أمن سحابية تُراجَع سنوياً.
- تحديد مصفوفة المسؤوليات المشتركة مع كل مزود خدمة.
- إدراج البيئات السحابية ضمن نطاق اختبارات الاختراق السنوية.
المؤسسات التي تعتمد على المزودين الكبار كـ AWS وAzure وGCP يجب أن تتحقق من امتثال نشراتها في منطقة المملكة لجميع الالتزامات التنظيمية المحلية قبل الإطلاق الرسمي.
هل كانت الإجابة مفيدة؟
قبل الشروع في ترحيل الأنظمة الحيوية إلى البيئات السحابية، يتعين على البنوك السعودية الامتثال لجملة من المتطلبات التنظيمية الواردة في إطار SAMA CSF ضمن المجال الرابع (إدارة مخاطر التقنية)، وكذلك معايير NCA ECC-1:2018 المادة 3-5 المتعلقة بضوابط الحوسبة السحابية.
**أبرز هذه المتطلبات:**
1. **تصنيف البيانات والأنظمة:** يُلزم SAMA CSF (الضابط 3.3.2) بإجراء تصنيف رسمي للبيانات والأعباء التشغيلية، إذ يحدد مستوى الحساسية طبيعة بيئة الاستضافة المناسبة — سواء أكانت سحابة سيادية أم بنية تحتية داخلية.
2. **الحصول على موافقة مسبقة من ساما:** يستوجب الترحيل الحصول على عدم ممانعة رسمية من البنك المركزي السعودي قبل نقل أنظمة الصيرفة الجوهرية أو بيانات العملاء إلى السحابة العامة، مع تقديم تقرير تقييم المخاطر السحابية.
3. **إقامة البيانات داخل المملكة:** تشترط معايير NCA ECC أن تبقى البيانات المصنّفة «مقيّدة» أو أعلى داخل حدود المملكة العربية السعودية، مما يستوجب التحقق من وجود مراكز بيانات محلية لدى مزود الخدمة.
4. **العناية الواجبة بمزودي الخدمة:** وفق الضابط 3.4.1 من SAMA CSF، يجب إخضاع مزودي السحابة لتقييم مخاطر شامل يشمل الشهادات الأمنية وحقوق التدقيق والتزامات الإخطار بالحوادث.
5. **خطة الخروج:** يستلزم الامتثال توثيق خطة واضحة للخروج من السحابة وضمان قابلية نقل البيانات تجنباً للارتباط بمزود واحد.
6. **التشفير وإدارة الوصول:** يجب تطبيق تشفير البيانات أثناء التخزين والنقل، وإدارة الوصول المميز، والاحتفاظ بسجلات تدقيق كاملة تحت متناول مفتشي ساما.
عملياً، يُنصح بتأسيس لجنة حوكمة أمن السحابة ودمج مراجعات المخاطر السحابية ضمن إطار إدارة مخاطر تقنية المعلومات القائم قبل الشروع في أي عملية ترحيل.
هل كانت الإجابة مفيدة؟
قبل أن تبدأ أي بنك سعودي في ترحيل أنظمته الحساسة إلى البيئة السحابية، لا بد من استيفاء جملة من المتطلبات التنظيمية المتداخلة بين إطار SAMA CSF ومعايير هيئة الاتصالات الوطنية (NCA ECC).
بموجب المتطلب 3.3 من إطار SAMA CSF، يتعين على المؤسسة إجراء تقييم رسمي للمخاطر المرتبطة بالحوسبة السحابية، يشمل تصنيف البيانات، ومتطلبات إقامتها جغرافياً، ومستوى الأمان لدى مزود الخدمة. أما البيانات الحساسة والحرجة، فيجب — وفق الملحق C من إطار SAMA — أن تبقى داخل المملكة العربية السعودية أو تُستضاف في بيئات معتمدة، ما لم يُحصل على موافقة تنظيمية صريحة.
على صعيد هيئة الاتصالات، تلزم المادة 3-8 من معيار ECC المؤسساتِ الماليةَ بالتحقق من أن مزودي الخدمة السحابية يستوفون الضوابط الأساسية ويحملون الاعتمادات اللازمة.
أبرز الخطوات الواجب اتخاذها قبل الترحيل:
1. **مراجعة تصنيف البيانات** – تحديد البيانات الخاضعة لنظام PDPL وأنظمة SAMA.
2. **تقييم مزود الخدمة** – التحقق من امتثاله لمعايير ISO 27001 وSOC 2 وECC.
3. **الضمانات التعاقدية** – تضمين العقود بنوداً تتعلق بسيادة البيانات، وحوادث الأمن، وحق التدقيق، وسياسات الخروج.
4. **التشفير وإدارة المفاتيح** – استخدام مفاتيح تشفير يتحكم فيها العميل لحماية البيانات.
5. **المراقبة المستمرة** – تطبيق أدوات CSPM ودمج تنبيهاتها مع مركز العمليات الأمنية.
الاستعانة بخبير vCISO متخصص في متطلبات SAMA وNCA خلال مرحلة التخطيط تُقلل بشكل كبير من مخاطر الامتثال وتُسرّع الحصول على الموافقات التنظيمية.
هل كانت الإجابة مفيدة؟
قبل الشروع في ترحيل الأنظمة والبيانات الحساسة إلى البيئات السحابية، تلتزم البنوك السعودية باستيفاء جملة من المتطلبات الرقابية الصارمة وفق إطار عمل SAMA CSF ومعايير هيئة الأمن السيبراني الوطنية (NCA ECC).
**على صعيد SAMA CSF:**
يُلزم النطاق الرابع (أمن التقنية) المؤسسات بإجراء تقييم رسمي لمخاطر الأمن السحابي قبل أي عملية ترحيل. كما يشترط الضبط 4.3 الاحتفاظ بالبيانات المالية الحساسة داخل المملكة العربية السعودية، مع ضمان أن تتضمن العقود مع مزودي الخدمات السحابية حق التدقيق، والإبلاغ عن الحوادث خلال 72 ساعة، وضمانات حذف البيانات عند انتهاء العقد.
**على صعيد NCA ECC:**
تُوجب المادة 3-5 تصنيف البيانات قبل الترحيل وفق سياسة التصنيف الصادرة عن الهيئة، مع ضرورة استضافة البيانات من المستوى الأول (السرية) على بنية تحتية معتمدة أو محلية. كما تشترط المعايير أن يخضع مزودو الخدمات السحابية لتقييمات أمنية مستقلة وفق معايير ISO 27001 وCSA STAR.
**الخطوات العملية الموصى بها:**
1. إجراء تقييم جاهزية للسحابة مرتبط بضوابط SAMA وNCA.
2. التحقق من امتثال المزودين السحابيين لمعايير SAMA وضوابط الأمن السيبراني الصادرة عن NCA.
3. تطبيق حلول CASB لمراقبة البيئات السحابية باستمرار.
4. وضع مصفوفة واضحة للمسؤوليات المشتركة بين البنك والمزود.
5. تحديث خطط الاستمرارية والتعافي لتشمل الأنظمة المستضافة على السحابة.
الاستعانة بخبير vCISO مؤهل في مراحل التخطيط المبكر تُقلل بشكل ملحوظ من فجوات الامتثال وتجنب المؤسسة المخاطر التنظيمية.
هل كانت الإجابة مفيدة؟
باتت الحوسبة السحابية ركيزةً أساسية في بنية شركات التقنية المالية السعودية، غير أنها تُفرز في الوقت ذاته التزامات رقابية صارمة بموجب ضوابط الحوسبة السحابية الصادرة عن هيئة الاتصالات وتقنية المعلومات (NCA CCC) وإطار SAMA CSF.
**أبرز متطلبات NCA CCC:**
تُوجب الضوابط أن تُخزَّن البيانات الحساسة — بما فيها البيانات المالية للعملاء — داخل المملكة العربية السعودية أو في مناطق معتمدة. يجب التحقق من أن مزود الخدمة السحابية (سواء كان AWS أو Azure أو Google Cloud) يمتلك مراكز بيانات في المنطقة السعودية.
**التزامات SAMA CSF (الضوابط 3.6 و4.x):**
- إجراء تقييم للمخاطر السحابية قبل الانتقال إلى أي بيئة سحابية
- الاحتفاظ بجرد شامل للأصول السحابية يشمل جميع الأعباء والتطبيقات وواجهات API والتخزين
- التأكد من أن عقود مزودي الخدمة تحدد المسؤوليات الأمنية وفق نموذج المسؤولية المشتركة
- تطبيق تشفير البيانات أثناء التخزين (AES-256) وأثناء النقل (TLS 1.2 أو أعلى)
**الضوابط التقنية الجوهرية:**
**1. إدارة الهوية والوصول:** فرض المصادقة متعددة العوامل (MFA) على جميع وصلات وحدة التحكم السحابية، وتطبيق مبدأ الحد الأدنى من الصلاحيات، واستخدام أدوات إدارة الوصول المميز (PAM) للحسابات الإدارية.
**2. عزل الشبكات:** نشر شبكات VPC مع قواعد صارمة لمجموعات الأمان، وفصل بيئات الإنتاج والتطوير والاختبار بشكل تام.
**3. المراقبة والتسجيل:** تفعيل أدوات السجلات السحابية المدمجة (مثل AWS CloudTrail وAzure Monitor) وربطها بمنصة SIEM لرصد التهديدات في الوقت الفعلي — وهو ما يستوجبه الضابط 3.5 من SAMA CSF.
**4. إدارة الثغرات:** إجراء مراجعات ربع سنوية لإعدادات البيئة السحابية، واستخدام أدوات CSPM لاكتشاف الأخطاء التهيئوية بشكل مستمر.
**الاعتبارات المتعلقة بـ PDPL:**
عند معالجة بيانات العملاء الشخصية في السحابة، يتعين ضمان أن اتفاقيات معالجة البيانات مع مزودي الخدمة تستوفي متطلبات المادة 29 من نظام PDPL فيما يخص نقل البيانات عبر الحدود عند الاقتضاء.
يمكن لمسؤول أمن معلومات مؤقت (vCISO) متخصص في الأمن السحابي تسريع تقييم الفجوات وبناء خارطة طريق أمنية متكاملة تجمع بين متطلبات الإطارين.
هل كانت الإجابة مفيدة؟
أسئلة أخرى 54
نقوم بتطبيق التشفير الشامل خلال جميع مراحل نقل البيانات ونضمن توافق متطلبات إقامة البيانات مع المادة 25 من نظام حماية البيانات الشخصية للنقل عبر الحدود. تتضمن عملية الترحيل لدينا تصنيف البيانات وبروتوكولات النقل الآمن (TLS 1.3) والمراقبة المستمرة لمنع الوصول غير المصرح به. نجري تقييمات أمنية قبل الترحيل ونحتفظ بسجلات تدقيق تفصيلية طوال عملية الترحيل لإثبات الامتثال لنظام حماية البيانات الشخصية ومتطلبات الإطار السيبراني لمؤسسة النقد. تتبع جميع عمليات معالجة البيانات الشخصية مبدأ تقليل البيانات وتحديد الغرض كما تفرضه الأنظمة السعودية.
هل كانت الإجابة مفيدة؟
تتوافق منهجية الترحيل السحابي لدينا مع مجالات الضوابط السيبرانية الأساسية بما في ذلك إدارة الأصول (1-1) وأمن البيانات (5-1 إلى 5-4) والأمن السيبراني للأطراف الثالثة (4-1). نطبق المصادقة متعددة العوامل وإدارة الوصول المميز وتقسيم الشبكة خلال مراحل الترحيل. يتم تقييم جميع مزودي الخدمات السحابية الذين نعمل معهم وفقاً لضوابط الأمن السيبراني السحابي للهيئة الوطنية، ونضمن التكوين الصحيح لمجموعات الأمان وسياسات إدارة الهوية والوصول والتشفير أثناء الحفظ والنقل. بعد الترحيل، نجري تقييمات الثغرات واختبارات الاختراق للتحقق من الوضع الأمني.
هل كانت الإجابة مفيدة؟
نعم، نجري تقييماً أمنياً شاملاً قبل الترحيل يتضمن تحليل البنية التحتية الحالية وتصنيف البيانات وتقييم المخاطر وتحليل الفجوات مقابل الإطار السيبراني لمؤسسة النقد والضوابط السيبرانية الأساسية للهيئة الوطنية. يحدد هذا التقييم البيانات الحساسة ويقيّم الضوابط الأمنية الحالية ويحدد نموذج النشر السحابي المناسب (عام أو خاص أو هجين) بناءً على متطلباتكم التنظيمية ومستوى تحمل المخاطر. نقدم خارطة طريق أمنية مفصلة للترحيل مع توصيات محددة للمشهد التنظيمي في المملكة العربية السعودية، بما في ذلك الاعتبارات الخاصة بأهداف التحول الرقمي لرؤية 2030 والمتطلبات الخاصة بالقطاعات للمؤسسات المالية أو الرعاية الصحية أو الجهات الحكومية.
هل كانت الإجابة مفيدة؟
يوصي إطار الأمن السيبراني لمؤسسة النقد وضوابط الهيئة الوطنية للأمن السيبراني بإجراء فحوصات الثغرات الأمنية على الأقل كل ثلاثة أشهر للأنظمة العادية، مع فحوصات شهرية للبنية التحتية الحرجة وأنظمة الدفع. يجب إجراء فحوصات إضافية بعد أي تغييرات كبيرة في النظام أو عمليات نشر جديدة أو حوادث أمنية. تتطلب المؤسسات المالية الخاضعة لإشراف مؤسسة النقد عادةً فحصاً مستمراً أو أسبوعياً للأصول المتصلة بالإنترنت. نقدم جداول فحص مرنة بما في ذلك حلول المراقبة المستمرة التي تكتشف وتبلغ تلقائياً عن الثغرات الجديدة، مما يضمن الامتثال المستمر للمعايير التنظيمية السعودية.
هل كانت الإجابة مفيدة؟
يتطلب بناء مركز عمليات أمنية داخلي استثماراً رأسمالياً كبيراً في البنية التحتية التكنولوجية، وتوظيف محللي أمن سيبراني متخصصين (وهم نادرون في السوق السعودي)، والتدريب المستمر لمواكبة التهديدات المتطورة. توفر خدمة مركز العمليات الأمنية المُدارة وصولاً فورياً إلى متخصصي أمن ذوي خبرة، وتقنيات متقدمة للكشف عن التهديدات، ومراقبة على مدار الساعة طوال أيام الأسبوع بتكلفة تشغيلية يمكن التنبؤ بها. يلغي مركز العمليات الأمنية المُدار لدينا تحديات التوظيف، ويقلل من الوقت اللازم لتحقيق القيمة، ويوفر قدرات أمنية على مستوى المؤسسات التي قد تتطلب خلاف ذلك استثمارات بالملايين. بالنسبة لمعظم المؤسسات السعودية، وخاصة تلك في القطاعات المنظمة مثل البنوك والرعاية الصحية، يوفر مركز العمليات الأمنية المُدار تحقيقاً أسرع للامتثال، وتغطية أفضل للتهديدات، ويسمح لفرق تقنية المعلومات الداخلية بالتركيز على المبادرات الاستراتيجية الداعمة لأهداف رؤية 2030.
هل كانت الإجابة مفيدة؟
بالنسبة للمؤسسات السعودية، تعتبر الشهادات المتوافقة مع متطلبات إطار الأمن السيبراني للبنك المركزي السعودي والضوابط الأساسية للأمن السيبراني ونظام حماية البيانات الشخصية ضرورية. شهادة ISO 27001 معترف بها بشكل كبير وتثبت وجود أنظمة شاملة لإدارة أمن المعلومات. بالإضافة إلى ذلك، شهادات مثل CISSP وCISM وCEH قيمة للموظفين التقنيين، بينما تعالج ISO 27701 على وجه التحديد إدارة الخصوصية بما يتماشى مع متطلبات نظام حماية البيانات الشخصية. تساعد هذه الشهادات المؤسسات على تلبية الالتزامات التنظيمية ودعم أهداف التحول الرقمي لرؤية 2030.
هل كانت الإجابة مفيدة؟
يتراوح الإطار الزمني للحصول على شهادة ISO 27001 عادةً من 6 إلى 12 شهرًا، اعتمادًا على حجم مؤسستك ونضج الأمن الحالي ومستوى التعقيد. تشمل العملية تحليل الفجوات وتنفيذ الضوابط المطلوبة والتوثيق والمراجعات الداخلية ومراجعة الشهادة النهائية من قبل جهة معتمدة. قد تحقق المؤسسات التي لديها أطر أمنية حالية متوافقة مع متطلبات إطار الأمن السيبراني للبنك المركزي السعودي أو الضوابط الأساسية للأمن السيبراني الشهادة بشكل أسرع. يوفر فريقنا دعم تنفيذ منظم لتبسيط العملية وضمان الحصول على الشهادة بنجاح ضمن أطر زمنية مثالية.
هل كانت الإجابة مفيدة؟
على الرغم من أنها ليست إلزامية قانونيًا دائمًا، فإن وجود متخصصين معتمدين في الأمن السيبراني يعزز بشكل كبير وضع الامتثال لديك مع متطلبات البنك المركزي السعودي والهيئة الوطنية للأمن السيبراني ونظام حماية البيانات الشخصية. تشمل الشهادات الرئيسية CISSP لهندسة الأمن، وCISA للمراجعة والامتثال، وCISM لإدارة الأمن. بالنسبة للأدوار التقنية، تعتبر CEH وCompTIA Security+ قيمة. تعترف الهيئة الوطنية للأمن السيبراني أيضًا ببرامج تدريبية محددة متوافقة مع الضوابط الأساسية للأمن السيبراني. يُظهر الموظفون المعتمدون الكفاءة ويساعدون المؤسسات في الحفاظ على برامج أمنية قوية تلبي التوقعات التنظيمية وتدعم مبادرات التحول الرقمي.
هل كانت الإجابة مفيدة؟
يمكنك تقديم طلب رسمي لحذف البيانات مباشرة إلى مراقب البيانات (المؤسسة التي تحتفظ ببياناتك) من خلال قنوات الخصوصية المخصصة لديهم. يجب على المؤسسة الرد خلال 30 يومًا وحذف بياناتك ما لم يكن لديها أساس قانوني مشروع للاحتفاظ بها، مثل متطلبات الامتثال التنظيمي بموجب الإطار السيبراني لساما أو الضوابط الأساسية للأمن السيبراني. إذا تم رفض طلبك، يجب على المؤسسة تقديم مبرر واضح، ويحق لك تصعيد الأمر إلى سدايا. نحن نساعد المؤسسات على إنشاء عمليات حذف بيانات متوافقة توازن بين حقوق الأفراد والالتزامات التنظيمية.
هل كانت الإجابة مفيدة؟
نعم، يمنحك نظام حماية البيانات الشخصية الحق الصريح في سحب الموافقة في أي وقت، ويجب أن تكون عملية السحب سهلة مثل منح الموافقة في البداية. بمجرد سحب الموافقة، يجب على المؤسسة التوقف عن معالجة بياناتك الشخصية ما لم يكن لديها أساس قانوني آخر للمعالجة، مثل الضرورة التعاقدية أو الالتزامات القانونية. يُطلب من المؤسسات إبلاغك بحقك في سحب الموافقة قبل جمع بياناتك ويجب عليها تنفيذ آليات لتسهيل السحب بسهولة. هذا الحق أساسي لضمان سيطرة الأفراد على المعلومات الشخصية في الاقتصاد الرقمي السعودي.
هل كانت الإجابة مفيدة؟
قد يؤدي عدم الامتثال لضوابط NCA ECC إلى عقوبات صارمة بموجب قوانين الأمن السيبراني السعودية، بما في ذلك غرامات تصل إلى 5 ملايين ريال سعودي للمؤسسات وعقوبات سجن محتملة للأفراد المسؤولين. بالإضافة إلى العقوبات المالية، قد تواجه المؤسسات غير الممتثلة اضطرابات تشغيلية وتعليق الخدمات الرقمية وأضرار في السمعة وفقدان العقود أو التراخيص الحكومية. تجري الهيئة الوطنية للأمن السيبراني عمليات تدقيق وتقييم منتظمة، ويجب على المؤسسات تقديم تقارير امتثال تثبت الالتزام بجميع الضوابط المطبقة. الامتثال الاستباقي لا يتجنب العقوبات فحسب، بل يحمي مؤسستك أيضاً من التهديدات السيبرانية ويضمن استمرارية الأعمال ويبني الثقة مع العملاء والشركاء بما يتماشى مع أهداف الاقتصاد الرقمي لرؤية 2030.
هل كانت الإجابة مفيدة؟
نعم، يعتبر التدريب على التوعية الأمنية متطلباً إلزامياً بموجب إطار عمل مؤسسة النقد العربي السعودي (SAMA CSF) والضوابط الأساسية للأمن السيبراني للهيئة الوطنية للأمن السيبراني (NCA ECC) للمؤسسات العاملة في المملكة العربية السعودية. تتطلب الضوابط الأساسية للأمن السيبراني للهيئة الوطنية بشكل خاص من المؤسسات تنفيذ برامج توعية أمنية مستمرة لجميع الموظفين. تفرض أنظمة مؤسسة النقد على المؤسسات المالية إجراء تدريب منتظم على سياسات وإجراءات وأفضل ممارسات أمن المعلومات. يجب على المؤسسات توثيق إتمام التدريب والاحتفاظ بالسجلات وإجراء تقييمات دورية لضمان الامتثال لهذه المتطلبات التنظيمية.
هل كانت الإجابة مفيدة؟
نقدم خدمات شاملة لتقييم مخاطر الأطراف الثالثة متوافقة مع المجال التاسع من إطار ساما (إدارة مزودي الخدمات الخارجيين) ومتطلبات الضوابط الأساسية للأمن السيبراني. تشمل منهجيتنا تقييمات أمن الموردين، ومراجعة العقود للبنود الأمنية السيبرانية، وأطر المراقبة المستمرة، وعمليات العناية الواجبة. نساعدك في إنشاء برنامج قوي لإدارة مخاطر الأطراف الثالثة يضمن امتثال الموردين للمتطلبات التنظيمية وحماية بيانات وأنظمة مؤسستك. تشمل خدماتنا استبيانات الموردين والتقييمات الميدانية والمراقبة المستمرة للامتثال المصممة خصيصاً للوائح السعودية.
هل كانت الإجابة مفيدة؟
بموجب نظام حماية البيانات الشخصية، يجب على المؤسسات التأكد من أن الأطراف الثالثة التي تعالج البيانات الشخصية تطبق تدابير أمنية مناسبة وتلتزم بالتزامات حماية البيانات. نجري تقييمات شاملة للموردين تركز على اتفاقيات معالجة البيانات والضوابط الأمنية ومتطلبات توطين البيانات وإجراءات الإبلاغ عن الاختراقات. تشمل خدماتنا صياغة اتفاقيات معالجة البيانات المتوافقة مع النظام، وإجراء عمليات تدقيق أمنية لأنظمة الأطراف الثالثة، وإنشاء آليات مراقبة لضمان الامتثال المستمر. كما نساعدك في الاحتفاظ بالوثائق المناسبة وأدلة امتثال الموردين للتفتيش التنظيمي.
هل كانت الإجابة مفيدة؟
يتطلب إطار ساما والضوابط الأساسية للأمن السيبراني إعادة تقييم سنوية كحد أدنى، مع مراجعات أكثر تكراراً للموردين ذوي المخاطر العالية أو الذين يتعاملون مع الأنظمة الحرجة والبيانات الحساسة. تتضمن عملية إعادة التقييم لدينا استبيانات أمنية محدثة، ومراجعة فحوصات الثغرات، والتحقق من شهادات الامتثال، وتحليل سجل الحوادث. نطبق نهجاً قائماً على المخاطر حيث يخضع الموردون الحرجون لمراجعات ربع سنوية، بينما يتم تقييم الموردين ذوي المخاطر المنخفضة سنوياً. تشمل العملية أيضاً المراقبة المستمرة من خلال الأدوات الآلية، والتحديثات الأمنية المنتظمة من الموردين، وإعادة التقييم الفوري بعد أي حوادث أمنية أو تغييرات كبيرة في بيئة المورد.
هل كانت الإجابة مفيدة؟
نطبق إطار امتثال شامل يربط ضوابط الأمن السحابي بمتطلبات إطار ساما والضوابط الأساسية للهيئة الوطنية للأمن السيبراني قبل وأثناء وبعد الترحيل. يتضمن نهجنا إجراء تقييمات الفجوات وتطبيق الضوابط الأمنية المطلوبة مثل تشفير البيانات وإدارة الوصول والمراقبة المستمرة بما يتماشى مع المعايير التنظيمية السعودية. نضمن استيفاء متطلبات إقامة البيانات باستخدام المناطق السحابية داخل المملكة العربية السعودية أو الولايات القضائية المعتمدة، ونحتفظ بوثائق مفصلة لأغراض التدقيق. يعمل فريقنا بشكل وثيق مع مسؤولي الامتثال لديكم لضمان الحفاظ على جميع الالتزامات التنظيمية بموجب نظام حماية البيانات الشخصية والمتطلبات الخاصة بالقطاع طوال عملية الترحيل.
هل كانت الإجابة مفيدة؟
نطبق ضوابط أمنية متعددة الطبقات تشمل التشفير الشامل للبيانات أثناء النقل والتخزين، وأنفاق VPN آمنة لنقل البيانات، وضوابط الوصول القائمة على الأدوار مع المصادقة متعددة العوامل. تتضمن عملية الترحيل لدينا تصنيف البيانات وتقييمات الثغرات الأمنية والمراقبة الأمنية المستمرة لاكتشاف التهديدات والاستجابة لها في الوقت الفعلي. نجري عمليات تدقيق أمني قبل الترحيل واختبارات التحقق بعد الترحيل لضمان سلامة البيانات وسريتها طوال العملية. جميع الإجراءات الأمنية مصممة لتلبية أو تجاوز متطلبات إطار ساما والضوابط الأساسية للهيئة الوطنية للأمن السيبراني مع دعم أهداف التحول الرقمي لمؤسستكم ضمن رؤية 2030.
هل كانت الإجابة مفيدة؟
نعم، نحن متخصصون في خدمات الترحيل السحابي الآمن للقطاعات شديدة التنظيم بما في ذلك البنوك والخدمات المالية والرعاية الصحية والجهات الحكومية في المملكة العربية السعودية. يتمتع فريقنا بخبرة واسعة في المتطلبات الخاصة بالقطاعات مثل إطار الأمن السيبراني لساما للمؤسسات المالية ولوائح حماية بيانات الرعاية الصحية. نقدم استراتيجيات ترحيل مخصصة تعالج تحديات الامتثال الفريدة، وننفذ ضوابط أمنية خاصة بالصناعة، ونضمن استمرارية العمل طوال فترة الانتقال. لقد دعمت منهجيتنا المثبتة بنجاح العديد من المؤسسات السعودية في رحلة التبني السحابي الآمن مع الحفاظ على الامتثال التنظيمي الكامل والمرونة التشغيلية.
هل كانت الإجابة مفيدة؟
يجب أن تتضمن تقارير الحوادث تصنيف الحادث ومستوى خطورته، وتاريخ ووقت الاكتشاف والوقوع، والأنظمة وأنواع البيانات المتأثرة، وعدد المستخدمين أو العملاء المتضررين، والإجراءات الفورية المتخذة. تشمل المعلومات الإضافية المطلوبة تحليل السبب الجذري، والتأثير المحتمل على الأعمال، وتدابير الاحتواء المنفذة، وطرق حفظ الأدلة، والجدول الزمني المقدر للتعافي. لضمان الامتثال لنظام حماية البيانات الشخصية، يجب أن توضح التقارير أيضاً أي خروقات للبيانات الشخصية والأفراد المتأثرين وخطط الإخطار، مما يضمن توثيقاً شاملاً يلبي متطلبات كل من ضوابط الأمن السيبراني الأساسية وإطار الأمن السيبراني لساما.
هل كانت الإجابة مفيدة؟
فحص الثغرات الأمنية هو عملية آلية تحدد نقاط الضعف الأمنية في البنية التحتية لتقنية المعلومات والتطبيقات والشبكات قبل أن يتمكن المهاجمون من استغلالها. بالنسبة للمؤسسات السعودية، يعد ذلك ضرورياً للامتثال لمتطلبات إطار الأمن السيبراني للبنك المركزي السعودي (خاصة المجالات 1 و8) وضوابط الضوابط الأساسية للأمن السيبراني للهيئة الوطنية للأمن السيبراني التي تفرض إجراء تقييمات أمنية منتظمة. يساعد الفحص المنتظم للثغرات في حماية البيانات الحساسة بموجب نظام حماية البيانات الشخصية ويدعم أهداف التحول الرقمي لرؤية 2030 من خلال ضمان وضع أمني سيبراني قوي. توفر خدمات الفحص لدينا تغطية شاملة مع إرشادات معالجة مرتبة حسب الأولوية ومصممة خصيصاً للمتطلبات التنظيمية السعودية.
هل كانت الإجابة مفيدة؟
تتطلب أطر عمل إطار الأمن السيبراني للبنك المركزي السعودي والضوابط الأساسية للأمن السيبراني من المؤسسات إجراء فحوصات الثغرات على الأقل كل ربع سنة للأنظمة العادية وشهرياً للبنية التحتية الحرجة والأصول المتصلة بالإنترنت. بالإضافة إلى ذلك، يجب إجراء الفحوصات بعد أي تغييرات كبيرة في النظام أو عمليات نشر جديدة أو حوادث أمنية. غالباً ما تتطلب المؤسسات المالية الخاضعة لإشراف البنك المركزي السعودي فحصاً أكثر تكراراً، وأحياناً أسبوعياً أو مراقبة مستمرة للبيئات عالية المخاطر. نقدم جداول فحص مرنة تشمل حلول إدارة الثغرات المستمرة التي تكتشف تلقائياً الثغرات الجديدة وتنبهك إليها في الوقت الفعلي، مما يضمن الامتثال المستمر للمتطلبات التنظيمية السعودية.
هل كانت الإجابة مفيدة؟
تتضمن خدمة فحص الثغرات الأمنية لدينا فحصاً شاملاً للشبكة والتطبيقات، وفحوصات مصادق عليها وغير مصادق عليها، وتقارير مفصلة عن الثغرات مع تقييم CVSS، وتوصيات معالجة مرتبة حسب الأولوية، وربط الامتثال بمتطلبات إطار الأمن السيبراني للبنك المركزي السعودي والضوابط الأساسية للأمن السيبراني ونظام حماية البيانات الشخصية. نقدم ملخصات تنفيذية باللغتين الإنجليزية والعربية، وأدلة معالجة تقنية، ودعماً مستمراً من محللي أمن معتمدين. تختلف الأسعار بناءً على عدد عناوين IP والتطبيقات وتكرار الفحص وما إذا كنت بحاجة إلى مراقبة مستمرة أو تقييمات دورية. اتصل بنا للحصول على عرض أسعار مخصص يناسب احتياجات مؤسستك المحددة والتزاماتها التنظيمية.
هل كانت الإجابة مفيدة؟
تم تصميم خدمات مركز العمليات الأمنية لدينا خصيصاً لتلبية متطلبات الامتثال لإطار ساما وضوابط الهيئة الوطنية للأمن السيبراني للمؤسسات السعودية. نوفر المراقبة المستمرة (ECC-1، مجال ساما 1)، وقدرات الكشف عن التهديدات والاستجابة للحوادث (ECC-3، مجال ساما 4)، والتسجيل والتحليل الشامل (ECC-2). ينشئ مركز العمليات الأمنية لدينا تقارير امتثال مفصلة، ويحتفظ بسجلات التدقيق، وينفذ ضوابط أمنية متوافقة مع كلا الإطارين. كما نضمن توثيق جميع الأحداث الأمنية والاستجابة لها ضمن الأطر الزمنية التي تفرضها الجهات التنظيمية السعودية، مما يساعدك على تجنب العقوبات والحفاظ على المكانة التنظيمية.
هل كانت الإجابة مفيدة؟
تشمل خدمات مركز العمليات الأمنية المُدارة لدينا المراقبة الأمنية على مدار الساعة طوال أيام الأسبوع، ودمج معلومات التهديدات، والكشف عن الحوادث والاستجابة لها، وإدارة الثغرات، وإعداد التقارير الأمنية المنتظمة. نوفر محللي أمن مخصصين، وإدارة منصة SIEM، والبحث عن التهديدات، وإجراءات التصعيد المتوافقة مع متطلبات عملك. تختلف أوقات الاستجابة حسب الخطورة: تتلقى الحوادث الحرجة استجابة فورية خلال 15 دقيقة، والحوادث ذات الأولوية العالية خلال ساعة واحدة، والأولوية المتوسطة خلال 4 ساعات، وجميعها متوافقة مع متطلبات الهيئة الوطنية للأمن السيبراني وساما. يتم تقديم جميع الخدمات من قبل فرق ثنائية اللغة على دراية بالمشهد التنظيمي السعودي وتشمل تقارير تنفيذية شهرية باللغتين العربية والإنجليزية.
هل كانت الإجابة مفيدة؟
للامتثال لإطار ساما للأمن السيبراني، تستفيد المؤسسات من وجود متخصصين حاصلين على شهادات ISO 27001 وCISSP وCISM في فرقهم. يتطلب الامتثال لضوابط الهيئة الوطنية للأمن السيبراني عادةً خبرة مثبتة من خلال شهادات مثل ISO 27001 وCEH والتدريب المتخصص في إطار الضوابط الأساسية للأمن السيبراني. بينما لا يتم فرض شهادات محددة، فإن وجود متخصصين معتمدين يعزز بشكل كبير وضع الامتثال لديك ويظهر الالتزام بالتميز في الأمن السيبراني بما يتماشى مع أهداف رؤية 2030.
هل كانت الإجابة مفيدة؟
نعم، نقدم برامج تدريب وإعداد شاملة للحصول على الشهادات مصممة خصيصاً للمؤسسات السعودية. تشمل خدماتنا التدريب المخصص لشهادات ISO 27001 وCISSP وCISM وغيرها من الشهادات المعترف بها في الصناعة، مع التركيز بشكل خاص على متطلبات إطار ساما وضوابط الهيئة الوطنية للأمن السيبراني. نوفر خيارات التدريب الصفي والافتراضي، ومواد الإعداد للامتحانات، والإرشاد المستمر لضمان حصول فريقك بنجاح على الشهادات ذات الصلة والحفاظ عليها لدعم أهداف الامتثال والأمن لديكم.
هل كانت الإجابة مفيدة؟
يجب على المؤسسات إنشاء عمليات وآليات واضحة للرد على طلبات أصحاب البيانات ضمن الأطر الزمنية المحددة في نظام حماية البيانات الشخصية، عادةً خلال 30 يومًا. يشمل ذلك تطبيق إجراءات آمنة للتحقق من الهوية، والحفاظ على سجلات دقيقة للبيانات، وتدريب الموظفين على التعامل مع طلبات الحقوق. تساعد حلولنا الأمنية المؤسسات على أتمتة هذه العمليات مع ضمان الامتثال لنظام حماية البيانات الشخصية والأطر التكميلية مثل الإطار السيبراني لساما ومعايير الضوابط الأساسية للهيئة الوطنية للأمن السيبراني. نوفر ضوابط تقنية وقوالب توثيق وأنظمة سير عمل تتيح استجابات متوافقة وفي الوقت المناسب لجميع طلبات حقوق أصحاب البيانات.
هل كانت الإجابة مفيدة؟
يتيح الحق في نقل البيانات بموجب نظام حماية البيانات الشخصية للأفراد استلام بياناتهم الشخصية بصيغة منظمة وشائعة الاستخدام وقابلة للقراءة آلياً، ونقل تلك البيانات إلى جهة أخرى دون عوائق. ينطبق هذا الحق عندما تكون المعالجة مبنية على الموافقة أو العقد وتتم بوسائل آلية. يجب على المؤسسات توفير البيانات بصيغ مثل CSV أو JSON أو XML ضمن أطر زمنية معقولة. تساعد حلولنا التقنية الشركات على تنفيذ آليات تصدير بيانات آمنة تتوافق مع متطلبات نظام حماية البيانات الشخصية مع الحفاظ على سلامة البيانات وأمنها طوال عملية النقل.
هل كانت الإجابة مفيدة؟
يستغرق تحقيق الامتثال لـ NCA ECC عادةً من 6 إلى 18 شهراً حسب مستوى النضج الأمني الحالي وحجم مؤسستك. تشمل الخطوات الرئيسية إجراء تقييم شامل للفجوات مقابل جميع الضوابط الـ 114، وتطوير خارطة طريق للمعالجة، وتنفيذ الضوابط التقنية والتنظيمية المطلوبة، وإعداد الوثائق لتقديمها للهيئة الوطنية للأمن السيبراني. يجب على المؤسسات تحديد أولويات الضوابط بناءً على مستوى التصنيف (1-5) وضمان المراقبة والتحسين المستمر. نوصي بإشراك خبراء الأمن السيبراني المطلعين على متطلبات الهيئة لتبسيط العملية وضمان الامتثال الناجح.
هل كانت الإجابة مفيدة؟
يمكن أن يؤدي عدم الامتثال لـ NCA ECC إلى عواقب وخيمة تشمل غرامات مالية تصل إلى 5 ملايين ريال سعودي، وإيقاف العمليات، والإضرار بالسمعة. تمتلك الهيئة الوطنية للأمن السيبراني صلاحيات إنفاذ لإجراء عمليات التدقيق وإصدار أوامر الامتثال وتقييد عمليات الجهات غير الملتزمة. بالإضافة إلى العقوبات التنظيمية، يزيد عدم الامتثال من التعرض للهجمات السيبرانية، مما قد يؤدي إلى اختراقات البيانات وتعطل الخدمات وفقدان ثقة العملاء. قد تواجه المؤسسات أيضاً صعوبات في تأمين العقود أو الشراكات الحكومية، حيث أصبح الامتثال لـ NCA ECC شرطاً أساسياً متزايداً لممارسة الأعمال في الاقتصاد الرقمي للمملكة.
هل كانت الإجابة مفيدة؟
إطار الأمن السيبراني لساما هو إطار تنظيمي شامل صادر عن البنك المركزي السعودي (ساما) لحماية القطاع المالي من التهديدات السيبرانية. جميع المؤسسات المالية العاملة في المملكة العربية السعودية، بما في ذلك البنوك وشركات التأمين وشركات التمويل ومقدمي خدمات الدفع، يجب أن تلتزم بإطار ساما للأمن السيبراني. يحدد الإطار ضوابط إلزامية للأمن السيبراني عبر خمسة مجالات: حوكمة الأمن السيبراني، والدفاع السيبراني، والمرونة السيبرانية، والأمن السيبراني للأطراف الثالثة، والامتثال للأمن السيبراني. عدم الامتثال قد يؤدي إلى عقوبات كبيرة وجزاءات تنظيمية.
هل كانت الإجابة مفيدة؟
يتكون إطار الأمن السيبراني لساما من خمسة مجالات أساسية تحتوي على 114 ضابط للأمن السيبراني. يغطي مجال حوكمة الأمن السيبراني إدارة المخاطر والسياسات والهيكل التنظيمي. يشمل الدفاع السيبراني إدارة الأصول والتحكم في الوصول واكتشاف التهديدات والاستجابة للحوادث. تركز المرونة السيبرانية على استمرارية الأعمال والتعافي من الكوارث واستراتيجيات النسخ الاحتياطي. يعالج الأمن السيبراني للأطراف الثالثة إدارة مخاطر الموردين وأمن سلسلة التوريد. وأخيراً، يضمن الامتثال للأمن السيبراني المراقبة المستمرة والتدقيق وإعداد التقارير التنظيمية لإثبات الالتزام بالإطار.
هل كانت الإجابة مفيدة؟
يستغرق تحقيق الامتثال لإطار ساما للأمن السيبراني عادةً من 6 إلى 18 شهراً حسب مستوى نضج الأمن السيبراني الحالي للمؤسسة وحجمها. تبدأ عملية التنفيذ بتقييم شامل للفجوات مقابل جميع الضوابط الـ 114 لتحديد أوجه القصور. يتبع ذلك تطوير خارطة طريق للمعالجة، وتنفيذ الضوابط التقنية والتنظيمية المطلوبة، وإنشاء هياكل الحوكمة، وإجراء تدريب للموظفين. يجب على المؤسسات بعد ذلك إجراء عمليات تدقيق داخلية، وإعداد وثائق الامتثال، وتقديم تقارير إلى ساما تثبت الالتزام بمتطلبات الإطار.
هل كانت الإجابة مفيدة؟
نقدم برامج تدريبية شاملة للأمن السيبراني مصممة خصيصاً للمؤسسات السعودية، تشمل التدريب على الامتثال لإطار SAMA CSF، وتطبيق إطار عمل NCA ECC، والتوعية الأمنية للموظفين، والتدريب على الاستجابة للحوادث، وورش عمل حماية البيانات وفقاً لنظام PDPL. تم تصميم برامجنا لتلبية المتطلبات التنظيمية المحلية ودعم أهداف التحول الرقمي لرؤية 2030. التدريب متاح باللغتين العربية والإنجليزية، مع وحدات قابلة للتخصيص لمختلف الأدوار التنظيمية من المديرين التنفيذيين إلى الموظفين التقنيين. كما نقدم تدريباً متخصصاً لمراكز العمليات الأمنية واختبار الاختراق.
هل كانت الإجابة مفيدة؟
نعم، برامج التدريب على التوعية الأمنية لدينا متوافقة تماماً مع متطلبات إطار NCA ECC وإطار SAMA CSF للمؤسسات السعودية. يغطي التدريب جميع الضوابط الأساسية بما في ذلك إدارة كلمات المرور، والتوعية بالتصيد الاحتيالي، وتصنيف البيانات، والإبلاغ عن الحوادث، وممارسات العمل عن بُعد الآمنة كما تفرضها الأنظمة السعودية. نقوم بتحديث محتوانا بانتظام ليعكس أحدث إرشادات الهيئة الوطنية للأمن السيبراني وتعاميم مؤسسة النقد العربي السعودي، مما يضمن حفاظ مؤسستكم على الامتثال. عند الانتهاء، يحصل المشاركون على شهادات يمكن استخدامها كدليل على الامتثال أثناء عمليات التدقيق التنظيمية.
هل كانت الإجابة مفيدة؟
برامجنا التدريبية للأمن السيبراني مرنة للغاية وتتراوح من جلسات التوعية الأمنية لنصف يوم إلى دورات تقنية شاملة متعددة الأسابيع حسب احتياجاتكم. عادةً ما يستغرق التدريب الأساسي للتوعية للموظفين من 2 إلى 4 ساعات، بينما يمكن أن يمتد التدريب التقني المتخصص لموظفي تقنية المعلومات من 3 إلى 5 أيام. نقوم بتخصيص جميع البرامج بالكامل لمعالجة القطاع الصناعي المحدد لمؤسستكم، وملف المخاطر، ومتطلبات الامتثال بموجب SAMA أو NCA أو PDPL. يمكن تقديم التدريب في موقعكم، أو عبر الإنترنت، أو بصيغة مختلطة لاستيعاب جدول فريقكم وتفضيلاته.
هل كانت الإجابة مفيدة؟
يتطلب الإطار السيبراني لساما من المؤسسات المالية تنفيذ برامج شاملة لإدارة مخاطر الأطراف الثالثة، بما في ذلك العناية الواجبة للموردين والمراقبة المستمرة والمتطلبات الأمنية التعاقدية. تفرض معايير الهيئة الوطنية للأمن السيبراني على المنظمات الاحتفاظ بسجل للأطراف الثالثة التي لديها وصول إلى الأنظمة الحرجة والتأكد من استيفائها للحد الأدنى من معايير الأمن السيبراني. تساعدك خدماتنا على إنشاء أطر متوافقة لمخاطر الأطراف الثالثة تلبي متطلبات كلا الجهتين التنظيميتين، بما في ذلك تقييمات الموردين والاستبيانات الأمنية والمراقبة المستمرة للمخاطر بما يتماشى مع الأنظمة السعودية.
هل كانت الإجابة مفيدة؟
نقدم تقييمات شاملة لمخاطر الأطراف الثالثة تضمن امتثال الموردين الذين يعالجون البيانات الشخصية لمتطلبات نظام حماية البيانات الشخصية، بما في ذلك اتفاقيات معالجة البيانات وضوابط النقل عبر الحدود وإجراءات الإخطار بالاختراقات. تشمل خدماتنا تقييمات أمن الموردين وتحليل تأثير الخصوصية ومراجعة العقود لضمان بنود الامتثال لنظام حماية البيانات الشخصية والمراقبة المستمرة لممارسات التعامل مع البيانات من قبل الأطراف الثالثة. نساعدك على إنشاء نهج قائم على المخاطر لإدارة الموردين يحمي البيانات الشخصية عبر سلسلة التوريد مع الوفاء بالتزامات حماية البيانات السعودية.
هل كانت الإجابة مفيدة؟
مع تبني المنظمات السعودية للتحول الرقمي في إطار رؤية 2030، فإنها تعتمد بشكل متزايد على الخدمات السحابية وشركاء التقنية المالية وموردي التكنولوجيا، مما يجعل إدارة مخاطر الأطراف الثالثة أمراً بالغ الأهمية للابتكار الآمن. يتيح لك برنامج قوي لمخاطر الأطراف الثالثة تبني التقنيات والشراكات الجديدة بثقة مع الحفاظ على معايير الأمن والامتثال. نساعدك على بناء أطر قابلة للتوسع لمخاطر الموردين تسرّع المبادرات الرقمية وتضمن مرونة سلسلة التوريد وتحمي سمعة منظمتك بينما تساهم في نمو الاقتصاد الرقمي للمملكة العربية السعودية.
هل كانت الإجابة مفيدة؟
بموجب الضوابط الأساسية للأمن السيبراني للهيئة الوطنية للأمن السيبراني وإطار الأمن السيبراني لمؤسسة النقد العربي السعودي، يجب على المؤسسات الإبلاغ عن حوادث الأمن السيبراني ضمن أطر زمنية محددة. يجب الإبلاغ عن الحوادث الحرجة التي تؤثر على البنية التحتية الحيوية أو الخدمات المالية إلى الهيئة الوطنية للأمن السيبراني في غضون ساعة واحدة من اكتشافها، مع تقديم تقارير مفصلة خلال 72 ساعة. كما يجب على الجهات الخاضعة لتنظيم ساما إخطار المؤسسة بأي حوادث تؤثر على الأنظمة المالية أو بيانات العملاء أو استمرارية العمل فوراً عند اكتشافها.
هل كانت الإجابة مفيدة؟
نقدم حلول شاملة للإبلاغ عن الحوادث مصممة خصيصاً لتلبية المتطلبات التنظيمية السعودية بما في ذلك أطر الهيئة الوطنية للأمن السيبراني وساما. تشمل خدماتنا تطوير مصفوفات تصنيف الحوادث، وإنشاء سير عمل آلي للإبلاغ، وإعداد قوالب الاتصال للإخطارات التنظيمية، وتنفيذ تنسيق الاستجابة للحوادث على مدار الساعة. كما نوفر التدريب لفرق الأمن لديكم على إجراءات التصعيد الصحيحة ونجري تدريبات منتظمة لضمان الامتثال للأطر الزمنية الإلزامية للإبلاغ بموجب الأنظمة السعودية.
هل كانت الإجابة مفيدة؟
يجب أن تتضمن تقارير الحوادث المقدمة للهيئة الوطنية للأمن السيبراني وساما تفاصيل محددة مثل تصنيف الحادثة ومستوى خطورتها، وتاريخ ووقت الاكتشاف، والأنظمة المتأثرة وفئات البيانات، وعدد المستخدمين أو العملاء المتأثرين، وإجراءات الاحتواء الفورية المتخذة. تشمل المتطلبات الإضافية تحليل السبب الجذري، والانتهاكات التنظيمية المحتملة (مثل خروقات نظام حماية البيانات الشخصية)، والجدول الزمني المقدر للتعافي، والتدابير الوقائية التي يتم تنفيذها. تضمن منصة إدارة الحوادث لدينا التقاط جميع الحقول الإلزامية وتنسيق التقارير وفقاً للقوالب التنظيمية لتقديمها بسلاسة.
هل كانت الإجابة مفيدة؟
مركز العمليات الأمنية (SOC) هو منشأة مركزية تراقب وتكتشف وتحلل وتستجيب للتهديدات السيبرانية في الوقت الفعلي عبر البنية التحتية لتقنية المعلومات في مؤسستك. في المملكة العربية السعودية، يعد وجود مركز عمليات أمنية ضرورياً للامتثال لمتطلبات الإطار السيبراني لساما والضوابط الأساسية للأمن السيبراني للهيئة الوطنية للأمن السيبراني، والتي تفرض قدرات المراقبة المستمرة والاستجابة للحوادث. يوفر مركز العمليات الأمنية حماية على مدار الساعة طوال أيام الأسبوع ضد التهديدات السيبرانية المتطورة، ويقلل من وقت الاستجابة للحوادث الأمنية، ويساعد في حماية البيانات الحساسة وفقاً لأنظمة حماية البيانات الشخصية. من خلال تطبيق مركز العمليات الأمنية، تتماشى المؤسسات مع أهداف التحول الرقمي لرؤية 2030 مع الحفاظ على وضع أمني سيبراني قوي.
هل كانت الإجابة مفيدة؟
نقدم خدمات شاملة لمركز العمليات الأمنية تشمل المراقبة الأمنية على مدار الساعة، واكتشاف وتحليل التهديدات، والاستجابة للحوادث، وإدارة الثغرات، وربط الأحداث الأمنية باستخدام منصات SIEM المتقدمة. تم تصميم خدماتنا خصيصاً لتلبية متطلبات الإطار السيبراني لساما للمؤسسات المالية، والضوابط الأساسية للأمن السيبراني للهيئة الوطنية، وتفويضات حماية البيانات الشخصية. نوفر تقارير باللغتين العربية والإنجليزية، وفرق استجابة محلية للحوادث على دراية بالمتطلبات التنظيمية السعودية، وتقييمات امتثال منتظمة. محللو مركز العمليات الأمنية لدينا مدربون على المشهد التهديدي الخاص بالمملكة والأطر التنظيمية، مما يضمن حفاظ مؤسستك على الامتثال المستمر مع الدفاع ضد التهديدات السيبرانية المحلية والعالمية.
هل كانت الإجابة مفيدة؟
يعمل مركز العمليات الأمنية لدينا على مدار الساعة طوال أيام الأسبوع مع قدرات متقدمة لاكتشاف التهديدات التي تحدد الحوادث الأمنية في غضون دقائق من حدوثها. نحافظ على اتفاقيات مستوى الخدمة لوقت الاستجابة متوافقة مع متطلبات الضوابط الأساسية للأمن السيبراني، ونحقق عادةً فرز الحوادث الأولي في غضون 15 دقيقة للتنبيهات الحرجة وبدء الاستجابة الكاملة للحوادث في غضون ساعة واحدة. يستخدم فريقنا معلومات التهديدات الآلية، واكتشاف الشذوذ القائم على التعلم الآلي، والمراقبة المستمرة لتقليل وقت بقاء التهديدات في بيئتك. بالنسبة للمؤسسات الخاضعة لإشراف ساما، نضمن أن الجداول الزمنية للإبلاغ عن الحوادث تلبي المتطلبات التنظيمية، مع بروتوكولات تصعيد فورية للحوادث الحرجة التي تؤثر على الأنظمة المالية أو البيانات الشخصية المحمية بموجب نظام حماية البيانات الشخصية.
هل كانت الإجابة مفيدة؟
يحمل فريقنا شهادات معترف بها دولياً بما في ذلك CISSP وCISM وCEH ومدقق/منفذ رئيسي لـ ISO 27001. كما نحتفظ بشهادات متخصصة ذات صلة بالسوق السعودي مثل مقيمي إطار الأمن السيبراني لمؤسسة النقد العربي السعودي ومتخصصي الامتثال للضوابط الأساسية للأمن السيبراني للهيئة الوطنية للأمن السيبراني. يقوم استشاريونا بتحديث بيانات اعتمادهم باستمرار لمواكبة معايير ولوائح الأمن السيبراني المتطورة. وهذا يضمن تقديم إرشادات خبيرة متوافقة مع أفضل الممارسات العالمية والمتطلبات التنظيمية المحلية.
هل كانت الإجابة مفيدة؟
نعم، نقدم برامج تدريبية شاملة لإعداد فريقك للحصول على شهادات الأمن السيبراني الرائدة بما في ذلك CISSP وCISA وCEH وISO 27001. يتم تخصيص تدريبنا لمعالجة المشهد التنظيمي في المملكة العربية السعودية، مع دمج متطلبات إطار الأمن السيبراني لساما والضوابط الأساسية للأمن السيبراني ونظام حماية البيانات الشخصية في المنهج الدراسي. نوفر خيارات تدريب في الفصول الدراسية والتدريب الافتراضي مع التعليم باللغتين العربية والإنجليزية. تتضمن برامجنا مواد إعداد الامتحانات ومختبرات عملية ودعم ما بعد التدريب لزيادة معدلات نجاح الشهادات إلى أقصى حد.
هل كانت الإجابة مفيدة؟
للامتثال التنظيمي السعودي، نوصي بشهادة المنفذ/المدقق الرئيسي لـ ISO 27001 لأنها تتماشى بشكل وثيق مع إطار الأمن السيبراني لساما والضوابط الأساسية للأمن السيبراني. تحظى شهادات CISM وCISSP بتقدير كبير لأدوار الحوكمة وإدارة المخاطر المطلوبة من قبل المؤسسات المالية تحت إشراف ساما. بالنسبة للتنفيذ التقني، تدعم شهادات CEH وشهادات أمن السحابة المتخصصة ضوابط الهيئة الوطنية للأمن السيبراني. بالإضافة إلى ذلك، فإن الحصول على تدريب خاص بنظام حماية البيانات الشخصية يضمن فهم فريقك لمتطلبات حماية البيانات بموجب نظام حماية البيانات الشخصية في المملكة العربية السعودية، مما يدعم أهداف التحول الرقمي لرؤية 2030.
هل كانت الإجابة مفيدة؟
بموجب نظام حماية البيانات الشخصية، يتمتع الأفراد بحقوق شاملة تشمل الحق في الوصول إلى بياناتهم الشخصية، وطلب التصحيح أو الحذف، والاعتراض على المعالجة، وسحب الموافقة في أي وقت. كما لديك الحق في نقل البيانات، مما يتيح لك استلام بياناتك بصيغة منظمة ونقلها إلى جهة أخرى. بالإضافة إلى ذلك، يمكنك تقديم شكاوى إلى الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) إذا كنت تعتقد أن حقوقك قد انتهكت. تتماشى هذه الحقوق مع التزام رؤية السعودية 2030 بحماية الخصوصية الرقمية وبناء الثقة في الاقتصاد الرقمي.
هل كانت الإجابة مفيدة؟
لطلب حذف البيانات بموجب نظام حماية البيانات الشخصية، يجب عليك تقديم طلب كتابي إلى مسؤول حماية البيانات المعين في المنظمة أو من خلال قنوات الاتصال الرسمية للخصوصية. يجب على المنظمة الرد على طلبك خلال 30 يومًا إما بالامتثال للحذف أو تقديم أسباب قانونية صحيحة للاحتفاظ بالبيانات، مثل الالتزامات التنظيمية بموجب متطلبات الإطار السيبراني للبنك المركزي السعودي أو الضوابط الأساسية للأمن السيبراني. إذا تم رفض طلبك دون مبرر مناسب، يحق لك تصعيد الأمر إلى سدايا. يجب على المنظمات الاحتفاظ بسجلات تدقيق لهذه الطلبات لإثبات الامتثال لنظام حماية البيانات الشخصية أثناء التقييمات التنظيمية.
هل كانت الإجابة مفيدة؟
الضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن الهيئة الوطنية للأمن السيبراني هي إطار إلزامي لجميع الجهات الحكومية ومشغلي البنى التحتية الحيوية في المملكة العربية السعودية. يحدد الإطار متطلبات أمنية أساسية عبر 114 ضابطاً منظمة في 5 نطاقات لحماية الأصول السيبرانية الوطنية. الامتثال مطلوب قانونياً ويساعد المؤسسات على التوافق مع أهداف التحول الرقمي لرؤية 2030 مع الحماية من التهديدات السيبرانية المتطورة. عدم الامتثال قد يؤدي إلى عقوبات كبيرة وقيود تشغيلية.
هل كانت الإجابة مفيدة؟
يتراوح الإطار الزمني للامتثال للضوابط الأساسية للأمن السيبراني عادةً من 6 إلى 18 شهراً حسب مستوى النضج الأمني الحالي للمؤسسة وحجمها وتعقيدها. تشمل العملية تقييم الفجوات وتخطيط المعالجة وتنفيذ الضوابط والتوثيق ومراحل التحقق. المؤسسات التي لديها برامج أمن سيبراني قائمة قد تحقق الامتثال بشكل أسرع، بينما قد تتطلب المؤسسات التي تبدأ من الصفر أطراً زمنية ممتدة. نوفر نهج تنفيذ على مراحل يعطي الأولوية للضوابط الحرجة لإظهار التقدم أثناء العمل نحو الامتثال الكامل.
هل كانت الإجابة مفيدة؟
بينما يهدف كلا الإطارين إلى تعزيز الأمن السيبراني في المملكة، تنطبق الضوابط الأساسية للأمن السيبراني على الجهات الحكومية والبنى التحتية الحيوية عبر جميع القطاعات، بينما إطار الأمن السيبراني لمؤسسة النقد خاص بالمؤسسات المالية الخاضعة للبنك المركزي السعودي. تحتوي الضوابط الأساسية على 114 ضابطاً عبر 5 نطاقات مع تركيز أوسع على الأمن الوطني، بينما لدى إطار مؤسسة النقد نهج أكثر تفصيلاً قائم على المخاطر ومصمم لتهديدات القطاع المالي. المؤسسات في القطاع المالي يجب أن تمتثل لكلا الإطارين، ونحن نساعد في تحديد الضوابط المتداخلة لتحسين جهود الامتثال وتجنب الازدواجية.
هل كانت الإجابة مفيدة؟
لم يتم العثور على أسئلة مطابقة.
لم تجد ما تبحث عنه؟
✉️ تواصل معنا