ألزم البنك المركزي السعودي «ساما» المؤسسات المالية بتطبيق الدليل التنظيمي لأمن المعلومات، فيما تشمل المؤسسات المالية: «شركات وساطات التأمين الحاصلة على موافقة للبيع الإلكتروني، وشركات وساطة التأمين الإلكترونية، وشركات تسوية المطالبات».
وأكد «ساما» في تعميم أصدره، أن الدليل التنظيمي لأمن المعلومات في القطاع المالي يهدف إلى تحسين مستوى الممارسات في أمن المعلومات بقطاع التأمين، مطالبا المؤسسات المالية بضرورة تقييم دقيق للوضع الحالي لأمن المعلومات مقارنة بما ورد من متطلبات في الدليل، لتحديد مواطن الضعف وتقييم مستوى النضج بحسب تعريف «مستوى النضج» الوارد في الدليل، مشددا على أهمية عرض الخطة المعدة على مجلس الإدارة أو المدير العام وأخذ الموافقة على الخطة والدعم اللازم.
وألزم بإرسال الخطة للبنك المركزي خلال 90 يوما من تاريخ صدور الدليل التنظيمي لأمن المعلومات، الذي صدر في 25 مايو الماضي، مطالبا بضرورة تزويد البنك بتقارير ربع سنوية اعتبارا من الربع الأول من العام المقبل، وحتى التزام المؤسسات المالية الكامل بالدليل، فيما شدد على الالتزام بالمتطلبات في الدليل خلال مدة 18 شهرا من تاريخ الإصدار.
ونوه بضرورة متابعة لجنة أمن المعلومات في المؤسسة المالية تطبيق الدليل التنظيمي، ومدى الالتزام بالخطة المعتمدة، وتقديم الدعم الكامل لحل جميع العقبات التي تواجه فرق العمل في الشركة، والتصعيد الداخلي لصاحب الصلاحية عن كل ما شأنه أن يؤثر أو يعوق تطبيق المتطلبات.
وأكد رئيس اللجنة المالية بغرفة الشرقية، زيد اليعيش، أن أمن المعلومات بالمؤسسات المالية يحتفظ برؤوس الأموال بمختلف أشكالها، فيما تولي تلك المؤسسات أهمية بالغة لتعزيز أمن المعلومات لحماية أموال العملاء من السرقة، مشيرا إلى أن التعليمات الصادرة من البنك المركزي حول تطبيق الدليل التنظيمي لأمن المعلومات، يمثل جزءا من مسؤوليتها بهدف حماية أموال المودعين، خاصة أن المؤسسات المالية مستهدفة دائما من الجهات الإجرامية.
وقال اليعيش: إن المؤسسات المالية لا تعاني من خروقات أمنية، نظرا للخطوات الاستباقية التي يتخذها البنك المركزي السعودي في هذا الإطار، مشيرا إلى أن «ساما» وضع المعايير والضوابط للمؤسسات المالية، إذ اشترط الوصول إلى «مستوى 3» كحد أدنى لإطلاق أعمالها الإلكترونية، فيما شدد على أهمية التشريعات لتوفير قاعدة بيانات ومعايير لتطبيقها من لدن المؤسسات المالية، بهدف توحيدها والقضاء على التفاوت في الإجراءات الاحترازية في مجال أمن المعلومات.
وأوضح أن البنك المركزي أصدر مستويات محددة فيما يتعلق بأمن المعلومات، ليتضمن كل مستوى خطوات وإجراءات محددة، مشيرا إلى أن المؤسسة المالية تتعاقد مع مكتب استشاري للتأكد من تطبيق تلك المعايير والوصول إلى المستويات المطلوبة، لإصدار شهادة تقدمها للبنك المركزي، فيما يجب أن يكون المكتب الاستشاري محايدا، خاصة أن البنك المركزي يرفض قبول شهادات الوصول للمستوى 3 الصادرة من المؤسسات المالية نفسها.
ولفت اليعيش إلى أن أمن المعلومات يشمل شركات التأمين، خاصة أن تلك الشركات بدأت البيع إلكترونيا بواسطة مواقعها الخاص، بهدف حماية المعلومات من الاختراق أو إفشاء البيانات الخاصة بالعملاء، مشيرا إلى أن الوصول إلى معلومات العملاء يمثل خطورة، لا سيما أن المحتالين يحاولون التواصل مع العملاء والاستيلاء على الأموال من المعلومات الخاصة.
وقال خبير أمن المعلومات د. عامر البشارات: إن البنك المركزي السعودي دأب على إصدار التعاميم العديدة بهدف تطبيق أعلى معايير لأمن المعلومات بالقطاع المالي في المملكة، التي تعتبر رائدة عالميا في تطبيق أعلى المعايير والضوابط الخاصة بأمن المعلومات.
وأضاف البشارات إن المملكة تفوقت على معظم الدول العظمى بمجال أمن المعلومات في القطاعين المالي والحكومي، مشيرا إلى أن المملكة احتلت منذ أقل من عامين المرتبة الثانية عالميا بعد الولايات المتحدة الأمريكية في القطاع، متقاسمة هذه المكانة مع المملكة المتحدة، تبعتهما إستونيا.
وأشار إلى أن الدليل التنظيمي لأمن المعلومات يضاف إلى سلسلة الإجراءات المتعلقة بتطبيق معايير أمن المعلومات في القطاع المالي الذي يشمل البنوك، وشركات التأمين، وشركتي المعلومات الائتمانية، والشركات المالية الأخرى، منوها بوجود التقرير الخاص بالامتثال لهذا النطاق بشكل ربع سنوي.
وأوضح أن «ساما» والهيئة الوطنية للأمن السيبراني يوليان أهمية كبرى لتطبيق المراجعات واختبارات الاختراق وتقييم نقاط الضعف وتفعيل السياسات والإجراءات الخاصة بأمن المعلومات في القطاع المالي، مشيرا إلى أن بعض الشركات لا يواكب حتى الآن متطلبات البنك المركزي.
ولفت إلى أن التعاميم المتكررة للبنك المركزي للتأكد من تطبيق أعلى المعايير، تعمل على الحفاظ على الاقتصاد الوطني ومكانة المملكة الريادية في مجال أمن المعلومات، التي كانت نتيجة الجهد المتراكم والمستدام من القطاعات كافة وبدعم من القيادة الرشيدة.
