تطبيق إطار عمل الأمن السيبراني لمؤسسة النقد العربي السعودي

تطبيق إطار عمل الأمن السيبراني لمؤسسة النقد العربي السعودي


يعرف الأمن السيبراني بأنه مجموعة من الأدوات والسياسات والمفاهيم الأمنية والضمانات الأمنية والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات والتدريب وأفضل الممارسات والضمان والتقنيات التي يمكن استخدامها لحماية أصول معلومات المنظمة العضو من التهديدات الداخلية والخارجية. سنسلط الضوء على إطار عمل الأمن السيبراني لمؤسسة النقد العربي السعودي وهو الإطار الأكثر شعبية للأمن السيبراني في المملكة العربية السعودية.

وضعت مؤسسة النقد العربي السعودي إطار عمل للأمن السيبراني لتمكين المؤسسات المالية التابعة لمؤسسة النقد العربي السعودي ("المنظمات الأعضاء") من تحديد ومعالجة المخاطر المتعلقة بالأمن السيبراني بشكل فعال. للحفاظ على حماية أصول المعلومات والخدمات عبر الإنترنت ، يجب على المنظمات الأعضاء اعتماد الإطار.

سيتم استخدام الإطار لتقييم مستوى النضج بشكل دوري وتقييم فعالية ضوابط الأمن السيبراني في المنظمات الأعضاء ، ومقارنتها مع المنظمات الأعضاء الأخرى.

ويحل الإطار محل جميع التعاميم الصادرة سابقا عن مؤسسة النقد العربي السعودي فيما يتعلق بالأمن السيبراني.

مدى انطباق (إطار عمل مؤسسة النقد العربي السعودي للأمن السيبراني)

ينطبق الإطار على جميع المنظمات الأعضاء التابعة لمؤسسة النقد العربي السعودي، والتي تشمل ما يلي:

جميع البنوك العاملة في المملكة العربية السعودية.
جميع شركات التأمين و/أو إعادة التأمين العاملة في المملكة العربية السعودية؛
جميع شركات التمويل العاملة في المملكة العربية السعودية.
جميع مكاتب الائتمان العاملة في المملكة العربية السعودية.
البنية التحتية للسوق المالية

نطاق

حدد الإطار مبادئ وأهداف بدء وتنفيذ وصيانة ومراقبة وتحسين ضوابط الأمن السيبراني في المنظمات الأعضاء.

يوفر الإطار ضوابط الأمن السيبراني التي تنطبق على أصول المعلومات في المنظمة العضو ، بما في ذلك:

المعلومات الإلكترونية.
المعلومات المادية (نسخة ورقية).
التطبيقات والبرمجيات والخدمات الإلكترونية وقواعد البيانات.
أجهزة الكمبيوتر والأجهزة الإلكترونية (مثل أجهزة الصراف الآلي).
أجهزة تخزين المعلومات (على سبيل المثال ، القرص الصلب ، عصا USB).
المباني والمعدات وشبكات الاتصالات (البنية التحتية التقنية).

ويتمحور الإطار حول أربعة مجالات رئيسية هي:

قيادة وحوكمة الأمن السيبراني.
إدارة مخاطر الأمن السيبراني والامتثال.
عمليات وتكنولوجيا الأمن السيبراني.
الأمن السيبراني للطرف الثالث.

نموذج نضج الأمن السيبراني

سيتم قياس مستوى نضج الأمن السيبراني بمساعدة نموذج نضج الأمن السيبراني المحدد مسبقا. يميز نموذج نضج الأمن السيبراني 6 مستويات نضج (0 و 1 و 2 و 3 و 4 و 5) ، والتي تم تلخيصها في الجدول أدناه. من أجل تحقيق المستويات 3 أو 4 أو 5 ، يجب على المنظمة العضو أولا تلبية جميع معايير مستويات النضج السابقة.
غير موجود-0:

لا توجد وثائق.
لا يوجد وعي أو اهتمام لبعض ضوابط الأمن السيبراني.
ضوابط الأمن السيبراني ليست في مكانها الصحيح. قد لا يكون هناك وعي بمنطقة الخطر المعينة أو لا توجد خطط حالية لتنفيذ ضوابط الأمن السيبراني هذه.
مخصص 1:

ضوابط الأمن السيبراني ليست محددة أو محددة.
يتم تنفيذ ضوابط الأمن السيبراني بطريقة غير متسقة.
ضوابط الأمن السيبراني ليست محددة بالكامل
قابل للتكرار ولكن غير رسمي -2:

تنفيذ مراقبة الأمن السيبراني هو استنادا إلى ممارسة غير رسمية وغير مكتوبة ، وإن كانت موحدة.
منظم ورسمي -3:

يتم تحديد ضوابط الأمن السيبراني والموافقة عليها وتنفيذها بطريقة منظمة ورسمية.
يمكن إثبات تنفيذ ضوابط الأمن السيبراني.
مدارة وقابلة للقياس -4:

يتم تقييم فعالية ضوابط الأمن السيبراني بشكل دوري وتحسينها عند الضرورة.
يتم توثيق هذا القياس الدوري والتقييمات وفرص التحسين.
التكيف -5:

تخضع ضوابط الأمن السيبراني لخطة تحسين مستمرة.