أصدرت هيئة السوق المالية دليلا استرشاديا للأمن السيبراني لمؤسسات السوق المالية، يهدف إلى دعم الاستقرار في السوق المالية، من خلال تعزيز الأمن الإلكتروني في السوق المالية والحد من المخاطر ذات الصلة، وتضمن الدليل جملة من الضوابط المتعلقة بالأمن السيبراني في مؤسسات السوق المالية الخاضعة لإشراف هيئة السوق، من أبرزها إنشاء إدارة معنية بالأمن السيبراني في كل مؤسسة مدرجة تكون مستقلة عن إدارة تقنية المعلومات يرأسها موظف سعودي «مؤهل» بدوام كامل، ويشار إليه باسم مدير إدارة الأمن السيبراني.

الضوابط الأساسية للمجالات الأمنية

تتضمن هذه الضوابط إنشاء إدارة معنية بالأمن السيبراني مستقلة عن إدارة تقنية المعلومات مع الأخذ بالاعتبار عدم تعارض المصالح، وأن يرأس الإدارة المعنية بالأمن السيبراني موظف سعودي «مؤهل» بدوام كامل، ويشار إليه باسم مدير إدارة الأمن السيبراني، وكذلك تخصيص واعتماد ميزانية كافية لتنفيذ مهام وأعمال الأمن السيبراني.

ومن الضوابط أيضا مراجعة الأدوار والمسؤوليات المتعلقة بالأمن السيبراني بصفة دورية أو في حالة حدوث تغييرات، وإنشاء لجنة معنية بالأمن السيبراني على أن ترتبط بالرئيس التنفيذي للجهة أو من ينيبه مع الأخذ بالاعتبار عدم تعارض المصالح، تضم لجنة الأمن السيبراني مدير إدارة أمن السيبراني ومديري الإدارات ذات العلاقة.

وأخيرا إعداد لائحة عمل لجنة الأمن السيبراني وتوثيقها واعتمادها من صاحب الصلاحية، مع توضيح الأهداف والأدوار والمسؤوليات.

مسؤوليات اللجنة

قالت الهيئة: إن من ضمن مسؤوليات اللجنة مراقبة درجة تقبل مخاطر الأمن السيبراني لمؤسسة السوق ومراجعتها، والإبلاغ عنها بشكل دوري أو عند حدوث تغيير جوهري بخصوص معدل تقبل المخاطر، والمراجعة الدورية لاستراتيجية الأمن السيبراني، لضمان دعمها لأهداف مؤسسة السوق، واعتماد ونشر وتوفير الدعم اللازم والمراقبة بشأن: حوكمة الأمن السيبراني، واستراتيجية الأمن السيبراني، وسياسات الأمن السيبراني، وبرامج الأمن السيبراني (مثل برامج التوعية، وبرنامج تصنيف البيانات، وخصوصية البيانات، ومنع تسريب البيانات)، وإدارة مخاطر الأمن السيبراني، ومؤشرات المخاطر الرئيسة ومؤشرات الأداء الرئيسة للأمن السيبراني.

مسؤوليات مدير إدارة الأمن السيبراني

01 الرفع إلى لجنة الأمن السيبراني حول أي تطوير وتحديث

02 ضمان تحديد المعايير والإجراءات وتوثيقها واعتمادها وتنفيذها

03 ضمان تطوير وتدريب الموظفين

04 مراقبة أنشطة الأمن السيبراني (مراقبة مركز العمليات الأمنية)

05 مراقبة الالتزام بالأنظمة والسياسات والمعايير والإجراءات

06 الإشراف على التحقيق في حوادث الأمن السيبراني

07 الحصول على المعلومات الاستباقية (Threat Intelligence) والتعامل معها

08 مراجعة وتدقيق برنامج الأمن السيبراني

09 تصميم برامج التوعية بالأمن السيبراني وتنفيذها

10 القياس والإبلاغ عن مؤشرات المخاطر الرئيسة ومؤشرات الأداء