استشارات تطبيق إطار عمل (SAMA Cybersecurity Framework)

يتم تعريف الأمن السيبراني على أنه مجموعة من الأدوات والسياسات والمفاهيم الأمنية وضمانات الأمان والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات وأفضل الممارسات والضمانات والتقنيات التي يمكن استخدامها لحماية أصول معلومات المنظمة وحمايتها من التهديدات من الداخل والخارج.

تم وضع إطار عمل الأمن السيبراني الإلكتروني (SAMA Cybersecurity Framework) الذي نشرته مؤسسة النقد العربي السعودي عام 2017 لتوحيد إجراءات وعمليات أمن المعلومات في القطاع المالي السعودي. يعتبر اعتماد وتنفيذ إطار SAMA خطوة حيوية لضمان تمكين قطاع البنوك والتمويل والتأمين في المملكة العربية السعودية من إدارة مخاطر الأمن السيبراني والتصدي لها. يحدد إطار عمل الأمن السيبراني في مؤسسة النقد العربي السعودي الضوابط المناسبة ويقدم إرشادات حول كيفية تقييم مستوى الأداء والنضج، كذلك سيضمن اعتماد إطار العمل إدارة مخاطر الأمن السيبراني في جميع القطاعات المالية.

ويعتبر الاطلاع على نظام الأمن السيبراني التابع لمؤسسة النقد العربي السعودي (ساما – SAMA) ضروريًا للقيام بتحليل فعَّال للثغرات. حيث أنه يمكن تحقيق التنقل السلس في خطة نظام الامتثال، وتطور مستويات النضج عن طريق فهم التفاصيل الأساسية وتطبيقها.

اين يطبق الامن السيبراني (SAMA Cybersecurity Framework)؟

يطبق الإطار على جميع المنظمات الأعضاء الواقعة تحت مظلة مؤسسة النقد العربي السعودي، والتي تشمل ما يلي:

  • جميع البنوك العاملة في المملكة العربية السعودية.
  • جميع شركات التأمين و / أو إعادة التأمين العاملة في المملكة العربية السعودية.
  • جميع شركات التمويل العاملة في المملكة العربية السعودية.
  • جميع مكاتب الائتمان العاملة في المملكة العربية السعودية.
  • البنية التحتية للسوق المالي.

النطاق

يحدد الإطار المبادئ والأهداف لبدء وتنفيذ وصيانة ومراقبة وتحسين ضوابط الأمن السيبراني في المنظمات.

ويوفر الإطار ضوابط الأمن السيبراني التي تنطبق على الأصول المعلوماتية للمنظمة، بما في ذلك:

  • معلومات إلكترونية.
  • معلومات ورقية.
  • التطبيقات والبرامج والخدمات الإلكترونية وقواعد البيانات.
  • أجهزة الحاسب والآلات الإلكترونية وملحقاتها.
  • أجهزة تخزين المعلومات.
  • المباني والمعدات والشبكات الحاسوبية (البنية التحتية التقنية).

SAMA cybersecurity framework استشارات إطار عمل الأمن السيبراني - SAMA cybersecurity framework مجموعة ريناد المجد لتقنية المعلومات RMG

ويتكون الإطار من أربع مجالات رئيسية:

    1. قيادة الأمن السيبراني والحوكمة (1 Cyber security Leadership & Governance)
    2. إدارة مخاطر الأمن السيبراني والامتثال (2 Cyber security Risk Management & Compliance)
    3. عمليات وتقنيات الأمن السيبراني (Cyber Security Operation & Technology)
    4. الأمن السيبراني للطرف الثالث (Third Party Cyber Security)

SAMA cybersecurity framework استشارات إطار عمل الأمن السيبراني - SAMA cybersecurity framework مجموعة ريناد المجد لتقنية المعلومات RMG

مستويات النضج في إطار عمل (SAMA Cybersecurity Framework)

تم تقسيم مستويات النضج إلى خمس مستويات تتفاوت حسب مستوى الالتزام بتطبيق الارشادات والعمليات والسياسات:

مستوى النضج صفر: غير موجود (0- Non-existent)

هو المستوى الأضعف بين المستويات حيث:

  • لا يوجد وثائق
  • لا يوجد وعي
  • لا يوجد اهتمام بتطبيق المعايير والتوصيات الأمنية.

مستوى النضج الأول: المرتجل  (1- Ad-hoc)

يمتاز هذا المستوى بعدم التخطيط السليم لمتطلبات المستقبل والافعال المرتجلة:

  • ضوابط الأمن السيبراني غير معرفة أو معرفة بشكل جزئي.
  • يتم تنفيذ ضوابط الأمن السيبراني بطريقة غير منسجمة
  • لم يتم تعريف ضوابط الأمن السيبراني بشكل كامل

مستوى النضج الثاني: قابل للتكرار ولكن غير رسمي (2- Repeatable but informal)

لتحقيق المستوى الثاني من النضج، يجب تحديد وتعريف ضوابط الأمن السيبراني واعتمادها وتنفيذها. بالإضافة إلى ذلك، يجب أن تراقب الامتثال لوثائق الأمن السيبراني بشكل دائم.

مستوى النضج الثالث: منظم ورسمي (3- Structured & formalized)

يتم تحديد وتعريف ضوابط الأمن السيبراني وتوثيق الموافقة عليها وجرى تنفيذها بطريقة منظمة. وتم إنشاء سياسات ومعايير وإجراءات الأمن السيبراني .

مستوى النضج الرابع: مدار وقابل للقياس (4- Managed & measurable)

تتم مراجعة وتحسين الضوابط الأمنية الفعالة بشكل دوري وعادة ما تكون عمليات المراجعة والتقييم هذه موثقة ولتحقيق المستوى الرابع من النضج، يجب القياس بشكل دوري وتقييم فعالية ضوابط الأمن السيبراني المنفذة. من أجل قياس وتقييم ما إذا كانت ضوابط الأمن السيبراني فعالة، يجب تحديد مؤشرات المخاطر الرئيسية (KRI).

مستوى النضج الخامس: التكيف (5-Adaptive)

يركز مستوى النضج الخامس على التحسين المستمر لضوابط الأمن السيبراني. يتم تحقيق التحسين المستمر من خلال التحليل المستمر لأهداف وإنجازات الأمن السيبراني وتحديد التحسينات الهيكلية ضمن خطة التحسين المستمر الشاملة.

كيف تستطيع شركة ريناد المجد لتقنية المعلومات (RMG) مساعدتك؟

تعد شركة ريناد المجد لتقنية المعلومات (RMG) من أوائل الشركات السعودية التي نجحت بتطبيق إطار عمل المعتمد من

(SAMA Cybersecurity Framework) تقدم الشركة حزمة من الخدمات تتلخص ب:

  • إجراء تقييم النضج.
  • تطبيق إطار الامن السيبراني المعتمد من مؤسسة النقد العربي السعودي.
  • تقديم خدمات التدريب ونقل المعرفة.