إذا سُلِّم إليك "جدول مستويات RTO/RPO من ساما" — المستوى الأول 15 دقيقة، والمستوى الثاني ساعة واحدة، وهكذا — فتخلَّص منه. إنه ليس تبسيطاً لمتطلبات ساما، بل هو اختلاق. كلمة "مستوى/فئة" (tier) لا ترد إطلاقاً في إطار إدارة استمرارية الأعمال الصادر عن ساما، ولا يرد فيه أي رقم لزمن التعافي على الإطلاق.
ما يلي هو إطار إدارة استمرارية الأعمال (BCM) من ساما مقروءاً مباشرة من الكتيب التنظيمي الرسمي لساما: ما هو، وما الذي يتطلبه فعلاً، وما هي المواعيد النهائية الحقيقية، وما هي التفاصيل المتداولة على نطاق واسع التي لا وجود لها. كل ادعاء أدناه مرفق برقم بند حتى تتمكن من التحقق منه بنفسك. وحيثما لا تذكر ساما رقماً، يقول هذا الدليل ذلك صراحةً بدلاً من اختلاق رقم — لأن اختلاق الأرقام هو بالضبط ما يجعل البنك يبالغ في الهندسة نحو هدف وهمي بينما يُفوّت التزاماً حقيقياً.
الجواب في 60 ثانية
- الأداة النظامية هي إطار إدارة استمرارية الأعمال، الصادر بالتعميم رقم 381000058504، بتاريخ 1/6/1438هـ — الموافق 27/2/2017م. الحالة: ساري المفعول.
- وهو أداة منفصلة عن إطار الأمن السيبراني. إطار الأمن السيبراني لا يغطي استمرارية الأعمال؛ فالبند 1.3 منه يحيلك إلى متطلبات استمرارية الأعمال لدى ساما. راجع دليلنا لإطار الأمن السيبراني من ساما.
- يتألف من فصلين: المقدمة (1.1–1.9) ومتطلبات استمرارية الأعمال (2.1–2.13).
- يُعرَّف كل من RTO وRPO وMAO كمفاهيم فقط (البند 1.2). ولا تحدد ساما أي قيمة لأيٍّ منها. أنت من يشتقّها من تحليل الأثر على الأعمال الخاص بك، ولجنة استمرارية الأعمال لديك هي التي تعتمدها (البند 2.4.4).
- لا يوجد نموذج نضج في إطار استمرارية الأعمال. (مستويات النضج تخص إطار الأمن السيبراني وإطار حوكمة تقنية المعلومات، لا إطار استمرارية الأعمال.)
- المواعيد النهائية الحقيقية موجودة في البندين 2.11 و2.9.3 — وهي بالضبط ما يُسقطه جدول المستويات المزيّف. وهي مذكورة أدناه.
ما هو إطار استمرارية الأعمال فعلاً
ساما هي المالكة للإطار والمسؤولة عن تحديثه دورياً، والمؤسسات الأعضاء مسؤولة عن تبنّيه وتطبيقه (البند 1.5). أما نطاق انطباقه (البند 1.4) فهو:
"جميع المنشآت المرتبطة بساما ("المؤسسات الأعضاء")؛ جميع البنوك العاملة في المملكة العربية السعودية؛ جميع الشركات التابعة المصرفية للبنوك السعودية؛ الشركات التابعة للبنوك الأجنبية الواقعة في المملكة العربية السعودية."
كما يصنّف الكتيب التنظيمي نطاق تطبيق الإطار ليشمل القطاع المصرفي، وقطاع التمويل، وأنظمة المدفوعات ومقدمي خدمات المدفوعات، وشركات المعلومات الائتمانية.
ويمتد النطاق إلى ما هو أبعد من موظفيك. ينص البند 1.3 على أن الإطار "ينطبق على النطاق الكامل للمؤسسة العضو، بما في ذلك الشركات التابعة والموظفون والمقاولون من الباطن والأطراف الثالثة والعملاء". فمزوّد الخدمة المتعاقد معك يقع داخل محيط استمرارية أعمالك، لا خارجه.
الهيكل الحقيقي
الفصل الثاني هو الجوهر كله. ثلاثة عشر بنداً، يذكر كلٌّ منها مبدأً وهدفاً واعتبارات ضبط مرقّمة:
| البند | العنوان |
|---|---|
| 2.1 | حوكمة استمرارية الأعمال |
| 2.2 | استراتيجية استمرارية الأعمال |
| 2.3 | سياسة استمرارية الأعمال |
| 2.4 | تحليل الأثر على الأعمال (BIA) وتقييم المخاطر (RA) |
| 2.5 | خطة استمرارية الأعمال (BCP) |
| 2.6 | خطة التعافي من الكوارث لتقنية المعلومات (DRP) |
| 2.7 | المرونة السيبرانية |
| 2.8 | خطة إدارة الأزمات |
| 2.9 | الاختبار (2.9.1 اختبار BCP · 2.9.2 اختبار DRP · 2.9.3 الاختبارات المنفَّذة) |
| 2.10 | التوعية والتدريب |
| 2.11 | التواصل |
| 2.12 | المراجعة الدورية للوثائق |
| 2.13 | التأكيد والضمان |
هذه هي البنية الكاملة. لا توجد فئات، ولا مستويات، ولا درجات، ولا نطاقات.
الحوكمة: لجنة استمرارية الأعمال
تسمّي ساما جهةً واحدة، وهي لجنة استمرارية الأعمال (البند 2.1.3): "يجب إنشاء لجنة لإدارة استمرارية الأعمال وتفويضها من مجلس الإدارة."
وبقية البند 2.1، بعبارات ساما نفسها:
- مجلس الإدارة، أو عضو تنفيذي مفوَّض، يتحمّل المسؤولية النهائية عن برنامج استمرارية الأعمال (البند 2.1.1)، وعليه تخصيص ميزانية كافية (البند 2.1.2).
- تمثيل اللجنة يشمل: رئيس إدارة المخاطر (CRO)، ورئيس العمليات (COO)، ورئيس تقنية المعلومات (CIO)، ورئيس أمن المعلومات (CISO)، ومدير استمرارية الأعمال وسائر الإدارات ذات الصلة (البند 2.1.4).
- ميثاق لجنة يغطي الأهداف والأدوار والمسؤوليات والحد الأدنى لعدد المشاركين في الاجتماع، وتكرار الاجتماعات — بحد أدنى ربع سنوي (البند 2.1.5).
- يجب إنشاء وظيفة/إدارة لاستمرارية الأعمال (البند 2.1.6)، وتعيين مدير أو رئيس لاستمرارية الأعمال يتمتع بالصلاحية والمؤهلات والخبرة المناسبة (البند 2.1.7).
الوتيرة ربع السنوية هي التكرار الوحيد الذي تحدده ساما هنا. ولاحظ ما ليست عليه: ليست هدف نضج، وليست التزاماً بزمن تعافٍ.
RTO وRPO وMAO: تعريفات لا أرقام
هذا هو لبّ الموضوع، وإليك نص البند 1.2 حرفياً:
أقصى انقطاع مقبول (MAO) يُعرَّف بأنه الوقت الذي تستغرقه الآثار السلبية — التي قد تنشأ عن عدم تقديم منتج/خدمة أو عدم أداء نشاط — كي تصبح غير مقبولة.
هدف زمن التعافي (RTO) يُعرَّف بأنه الفترة التي يجب خلالها، عقب وقوع حادثة، استئناف المنتجات أو الخدمات، أو استئناف النشاط، أو استعادة الموارد.
هدف نقطة التعافي (RPO) يُعرَّف بأنه النقطة التي يجب استعادة المعلومات المستخدمة في نشاط ما إليها لتمكين النشاط من العمل عند الاستئناف. ويمكن تسميته أيضاً "الحد الأقصى لفقدان البيانات".
ثلاثة تعريفات. وصفر قيم.
ثم يخبرك الإطار مَن ينتج الأرقام — أنت. فبموجب البند 2.4.3، تحدد المؤسسة العضو أنشطتها وترتّب أولوياتها عبر تحليل الأثر على الأعمال، مُحدِّدةً "(ب) أهداف زمن التعافي (RTOs)، وأهداف نقطة التعافي (RPOs)، وأقصى انقطاع مقبول (MAO)". وبموجب البند 2.4.4: "يجب على لجنة استمرارية الأعمال اعتماد القائمة المرتّبة بالأولوية، ونتائج تحليل الأثر، وتقييم المخاطر، وأهداف RTO وRPO وMAO المحددة." وبموجب البند 2.4.6، يُحدَّث تحليل الأثر وتقييم المخاطر سنوياً وعند حدوث تغييرات جوهرية.
وأقرب ما تصل إليه ساما من الإشارة إلى الصرامة هو البند 2.4.9: على المؤسسات الأعضاء "ضمان تحديد أهداف زمن التعافي (RTOs) بشكل ملائم لأنظمة المدفوعات والخدمات المتعلقة بالعملاء وغيرها، مع مراعاة التوافر العالي لهذه العمليات وتقليل الانقطاع في حال وقوع كارثة". اقرأه بعناية: تشير ساما إلى أنظمة المدفوعات باعتبارها موضع التشدد — ومع ذلك تمتنع عن ذكر رقم. المعيار هو "التحديد الملائم". وتحليل الأثر لديك هو الدليل.
أشياء لا وجود لها
هذا القسم هو سبب وجود هذه المقالة. كل بند أدناه كان متداولاً في السوق السعودي — في عروض المورّدين وملخصات الاستشاريين، وحتى وقت قريب على هذا الموقع نفسه. ولا شيء منه موجود في نص ساما.
❌ جدول مستويات RTO/RPO "من الفئة 1 إلى 4"
لا يوجد جدول فئات. كلمة "tier" ترد صفر مرة في إطار إدارة استمرارية الأعمال. لا توجد فئة أولى، ولا فئة ثانية، ولا أي تصنيف من ساما للأنظمة ضمن نطاقات تعافٍ.
❌ هدف زمن تعافٍ "15 دقيقة" أو هدف نقطة تعافٍ "ساعة واحدة" مفروض من ساما
لا ترد أي قيمة رقمية لزمن التعافي أو نقطة التعافي في أي موضع من الإطار. لا خمس عشرة دقيقة، ولا ساعة، ولا أربع ساعات، ولا أربع وعشرون ساعة. وأي وثيقة تنسب رقماً كهذا إلى ساما فهي تنسبه إلى مصدر لا يقوله.
وهذا أخطر مما يبدو للوهلة الأولى. فالبنك الذي يتبنّى الجدول المزيّف لا يهدر المال فحسب في الهندسة نحو هدف وهمي مدته 15 دقيقة، بل — في النسخة التي كانت منشورة هنا سابقاً — لا يرى أبداً الموعدين النهائيين الحقيقيين، لأن الجدول حلّ محلّهما. فتُفرِط المؤسسة في الامتثال للخيال وتُقصِّر في الامتثال للحقيقة، وهي تظن نفسها متقدّمة.
❌ "مستوى نضج" لاستمرارية الأعمال
إطار استمرارية الأعمال لا يتضمن أي نموذج نضج. لا يوجد "مستوى نضج 3 لاستمرارية الأعمال". فمستويات النضج من 0 إلى 5 تخصّ إطار الأمن السيبراني وإطار حوكمة تقنية المعلومات — أدوات مختلفة، وتعاميم مختلفة.
✅ … والالتزامات الحقيقية التي أسقطها الجدول المزيّف
إليك ما تضع ساما عليه ساعةً فعلاً. كلها حقيقية، وكلها محدّدة بمواعيد.
الإبلاغ والمواعيد النهائية — البند 2.11 (التواصل):
- الحوادث المُعطِّلة المصنّفة "متوسطة" أو "عالية" يجب إبلاغ ساما بها فوراً — إلى "الرقابة على مخاطر تقنية المعلومات المصرفية" — مع إرسال تقرير لاحق للحادثة بعد عودة المؤسسة العضو إلى التشغيل الطبيعي.
- يجب أن يصل البرنامج المعتمد لاختبارات استمرارية الأعمال والتعافي من الكوارث للسنة القادمة إلى ساما "الرقابة على مخاطر تقنية المعلومات المصرفية" بنهاية شهر يناير من كل عام.
- "يجب مشاركة نتائج اختبارات استمرارية الأعمال والتعافي من الكوارث مع ساما خلال أربعة أسابيع بعد الاختبار."
- "يجب على المؤسسة العضو تحديد التحسينات بناءً على الاختبار المنفّذ وتقديم خطة عمل إلى ساما خلال شهرين من تقديم نتائج الاختبار."
- التواصل الإعلامي أثناء الحوادث يجب تنسيقه مع الرقابة في ساما.
- يجب طلب موافقة ساما عند اختيار موقع جديد لمركز البيانات الرئيسي أو البديل، أو عند نقل أيٍّ منهما.
الاختبار — البند 2.9:
- تمارين محاكاة خطة استمرارية الأعمال: مرة واحدة سنوياً على الأقل (البند 2.9.1.1)، بسيناريوهات ينبغي أن تأخذ سيناريوهات الأمن السيبراني في الاعتبار وتغطي تفعيل فريق إدارة الأزمات.
- اختبار للتعافي من الكوارث مقترن بخطة استمرارية الأعمال: مرة واحدة سنوياً على الأقل (البند 2.9.2).
- عند فشل الاختبار، يجب إعادة الاختبار ضمن مهل محددة "لا تتجاوز حدّ ثلاثة (3) أشهر" (البند 2.9.3.2).
- يجب أن تراقب المراجعة الداخلية — أو مراجع خارجي مؤهل — أنشطة اختبار استمرارية الأعمال والتعافي من الكوارث بصفة مشارك مستقل (البند 2.9.3.3).
- يجب رفع جميع نتائج اختبارات BCP وDRP إلى لجنة استمرارية الأعمال والإدارة العليا ومجلس الإدارة (البند 2.9.3.4).
هذا تقويم تنظيمي حقيقي: برنامج سنوي يُقدَّم في يناير، واختبارات تُجرى سنوياً على الأقل وتراقبها المراجعة، ونتائج تصل ساما خلال أربعة أسابيع، وخطة عمل خلال شهرين، وسقف ثلاثة أشهر لإعادة الاختبار بعد الفشل. وهو أكثر تطلّباً وتحديداً وقابلية للتدقيق من جدول الفئات المختلَق. وهو أيضاً ما سيطلبه المفتّش فعلاً.
تقويم استمرارية الأعمال لدى ساما في لمحة
كل صف أدناه التزام حقيقي برقم بند حقيقي. ولا يوجد صف يقول "حقّق زمن تعافٍ 15 دقيقة"، لأن ساما لم تكتب ذلك قط.
| متى | ماذا | البند |
|---|---|---|
| بنهاية يناير من كل عام | تقديم برنامج اختبارات استمرارية الأعمال والتعافي المعتمد للسنة القادمة إلى "الرقابة على مخاطر تقنية المعلومات المصرفية" في ساما | 2.11 |
| مرة سنوياً على الأقل | تمرين محاكاة لخطة استمرارية الأعمال | 2.9.1.1 |
| مرة سنوياً على الأقل | اختبار تعافٍ من الكوارث مقترن بخطة استمرارية الأعمال | 2.9.2 |
| مرة سنوياً على الأقل | تحديث تحليل الأثر وتقييم المخاطر (وعند التغييرات الجوهرية) | 2.4.6 |
| مرة سنوياً على الأقل | تقييم قدرة المورّدين ومزوّدي الخدمات على الحفاظ على مستويات الخدمة أثناء الانقطاع | 2.4.8 |
| مرة سنوياً على الأقل | اختبار خطط استمرارية الأعمال لمزوّدي الخدمات الرئيسيين للأنشطة الحرجة | 2.5.10 |
| مرة سنوياً على الأقل | تقييم فعالية خطة التعافي من الكوارث | 2.6.10 |
| سنوياً | برنامج تدريب استمرارية الأعمال للموظفين المعنيين | 2.10.2 |
| بحد أدنى ربع سنوي | اجتماع لجنة استمرارية الأعمال | 2.1.5(د) |
| خلال 4 أسابيع من الاختبار | مشاركة نتائج اختبارات الاستمرارية والتعافي مع ساما | 2.11 |
| خلال شهرين من تقديم النتائج | تزويد ساما بخطة عمل للتحسين | 2.11 |
| خلال 3 أشهر كحد أقصى | إعادة الاختبار بعد اختبار فاشل | 2.9.3.2 |
| فوراً | إبلاغ ساما بالحوادث المعطِّلة "المتوسطة" أو "العالية" | 2.11 |
| قبل الحدث | الحصول على موافقة ساما لاختيار أو نقل مركز بيانات رئيسي أو بديل | 2.11 و2.6.2 |
المزيد من البند 2.4 الذي يُغفَل عادةً
ثلاثة اعتبارات ضبط في بند تحليل الأثر وتقييم المخاطر تستحق الإبراز، لأنها الموضع الذي تعضّ فيه البنية التحتية المُعهَّدة فعلاً:
- البند 2.4.7 — يجب أن يشمل تقييم المخاطر "المخاطر المرتبطة بالمؤسسة ككل وكذلك مراكز البيانات (الرئيسية والبديلة) التي لا تملكها المؤسسة العضو"، مع الإشارة صراحةً إلى "الإطار الزمني اللازم للانتقال إلى موقع جديد" واشتراط "إدراج إطار زمني كافٍ في الاتفاقية التعاقدية". فإذا كنت تستأجر مركز بياناتك أو تشتري خدمات سحابية، فساما تتوقع أن يكون الجدول الزمني للانتقال مكتوباً في العقد.
- البند 2.4.8 — قدرة المورّدين والموردين ومزوّدي الخدمات على دعم مستويات الخدمة للأنشطة ذات الأولوية أثناء الحوادث المعطِّلة "يجب تقييمها سنوياً على الأقل".
- البند 2.4.9 — أهداف زمن التعافي "محددة بشكل ملائم لأنظمة المدفوعات والخدمات المتعلقة بالعملاء" — إشارة التشدد، بلا أي رقم مرفق.
كيف يتصل إطار استمرارية الأعمال بالإطارين الآخرين
أطر ساما الثلاثة المتعلقة بتقنية المعلومات مصمَّمة للتشابك، ومواضع الوصل صريحة في النص. وهذا مهم لأن الاختلاق في وثيقة واحدة ينتشر إلى الأخريات.
- إطار حوكمة تقنية المعلومات يشير إلى استمرارية الأعمال. يشترط البند 3.3.10.2(أ) منه أن تراعي سياسة إدارة النسخ الاحتياطي "التوافق مع إطار إدارة استمرارية الأعمال من ساما"، ويشترط البند 3.3.10.5(ب) تحديد متطلبات النسخ والاستعادة بما يتماشى مع "هدف نقطة التعافي المتفق عليه". لاحظ كلمة المتفق عليه: فإطار حوكمة تقنية المعلومات، شأنه شأن إطار استمرارية الأعمال، يعامل RPO كرقم أنت تتفق عليه، لا رقم تسلّمه لك ساما. إطاران منفصلان من ساما يمتنعان عن ذكر قيمة RPO. وهذا ليس سهواً.
- إطار الأمن السيبراني يشير إلى استمرارية الأعمال. يشترط البند 3.4.3.4(و)(1) منه أن تضمن عقود السحابة استيفاء "متطلبات استمرارية الأعمال وفقاً لسياسة استمرارية الأعمال الخاصة بالمؤسسة العضو" — سياستك أنت، مرة أخرى، هي المعيار.
- وإطار استمرارية الأعمال يعيد الإشارة إلى إطار الأمن السيبراني. فالبند 2.7 يحيلك إليه لإدارة التهديدات والثغرات.
- وتعهيد مركز البيانات يقع على تقاطع ذلك كله. يشترط البند 3.3.5.4 من إطار حوكمة تقنية المعلومات أن "يمتثل تعهيد مركز البيانات للمتطلبات المنشورة في تعاميم ساما بشأن قواعد التعهيد وإطار الأمن السيبراني" — أي قواعد التعهيد، التعميم 41027017 (بتاريخ 18/4/1441هـ — الموافق 15/12/2019م)، إلى جانب إطار الأمن السيبراني.
راجع دليلينا إلى إطار الأمن السيبراني وإطار حوكمة تقنية المعلومات.
بقية الفصل الثاني باختصار
البند 2.5 — خطة استمرارية الأعمال. يجب أن تشمل إجراءات الاستجابة للحوادث المعطِّلة مجتمعةً: الموارد الرئيسية، والأدوار والصلاحيات المحددة، والتصعيد، و"عملية لمواصلة الأنشطة الحرجة ضمن أهداف التعافي المحددة مسبقاً (RTO وRPO وMAO)"، والعودة إلى التشغيل الطبيعي، وإرشادات التواصل، ومتطلبات الأمن السيبراني عند الاقتضاء (البند 2.5.2). ويلزم توفير مساحة عمل بديلة كافية (البند 2.5.6)، بنفس الضوابط المنطقية والمادية والبيئية للموقع الرئيسي (البند 2.5.8). ويجب أن يكون لدى مزوّدي الخدمات الرئيسيين للأنشطة الحرجة خطة استمرارية أعمال تُختبر سنوياً على الأقل (البند 2.5.10).
البند 2.6 — خطة التعافي من الكوارث. يلزم مركز بيانات بديل في موقع مناسب، يُختار بناءً على تقييم مخاطر يؤكد أنه "لا يشترك في المخاطر نفسها مع مركز البيانات الرئيسي (مثل التهديد الجغرافي)" — وبموافقة ساما (البند 2.6.2). ويجب أن تكون تكوينات وسعات البيانات والأنظمة والشبكة والتطبيقات في الموقع البديل متناسبة مع الموقع الرئيسي (البند 2.6.3)، وبنفس الضوابط المنطقية والمادية والبيئية والسيبرانية (البند 2.6.4). ويجب أن يكون للنسخ الاحتياطية موقع خارجي (البند 2.6.6). وتُقيَّم فعالية خطة التعافي سنوياً كحد أدنى (البند 2.6.10).
البند 2.7 — المرونة السيبرانية. التغييرات على البنية التحتية والبرمجيات الداعمة للخدمات الحرجة تخضع لتقييم مخاطر معمّق وإدارة تغيير صارمة لتفادي نقاط الفشل المفردة (البند 2.7.1)، مع مراجعة معمارية دورية (البند 2.7.2). وتحيلك ساما هنا صراحةً إلى إطار الأمن السيبراني لإدارة التهديدات والثغرات.
البند 2.8 — خطة إدارة الأزمات. يجب أن تحدد معايير إعلان الأزمة، ومركز قيادة ومركز قيادة للطوارئ، وأعضاء فريق إدارة الأزمات وبيانات التواصل، والخطوات أثناء الأزمة وبعدها، وخطة التواصل والاستجابة الإعلامية، وتكرار اختبارات إدارة الأزمات (البند 2.8.4).
البند 2.10 — التوعية والتدريب. برنامج تدريبي يُقدَّم سنوياً للموظفين المعنيين باستمرارية الأعمال (البند 2.10.2).
البند 2.12 — المراجعة الدورية للوثائق. عملية موثَّقة للمراجعة والتحديث؛ وكل وثيقة يجب أن تُظهر بوضوح تاريخ آخر مراجعة واعتماد لها.
البند 2.13 — التأكيد والضمان. يجب أن يخضع نظام استمرارية الأعمال لمراجعة/تدقيق من طرف مستقل مؤهل، داخلي أو خارجي، مع رفع الثغرات وخارطة طريق المعالجة إلى الإدارة العليا ولجنة استمرارية الأعمال.
ما لا تخبرك به ساما
الدليل الأمين يضع علامةً على فجواته بدلاً من ملئها.
- ساما لا تحدد أي قيمة لـ RTO أو RPO أو MAO — لأي نظام، بما في ذلك أنظمة المدفوعات. وإذا احتجت رقماً يمكن الدفاع عنه، فمصدره تحليل الأثر لديك، لا تعميم.
- ساما لا تعرّف "النشاط الحرج" رقمياً. لا حدّ إيرادات ولا حدّ لعدد العملاء. البند 2.4 يعطيك المنهجية (تحليل الأثر وتقييم المخاطر) ويترك التحديد لك.
- ساما لا تنشر عدداً إجمالياً للضوابط في إطار استمرارية الأعمال، ولا ترقّم الضوابط بصيغة
n-n-n. الضوابط مرقّمة داخل بنودها (مثل البند 2.9.3 فقرة 2). - إطار استمرارية الأعمال لا يضع هدف نضج، لأنه لا يتضمن نموذج نضج أصلاً.
- تكرار اختبارات إدارة الأزمات متروك لك — البند 2.8.4(ز) يطالبك بتحديده ولا يذكر رقماً.
إذا رأيت أياً من هذه مذكوراً كرقم من ساما، فقد رأيت اختلاقاً.
أول 90 يوماً بشكل واقعي
- حدِّد المصدر الأولي. اقرأ نص الكتيب التنظيمي، لا ملخصاً — بما في ذلك هذا الملخص. كل ما سبق قابل للتحقق في عشر دقائق.
- أنشئ لجنة استمرارية الأعمال بشكل صحيح (البند 2.1): تفويض من المجلس، والأدوار المسمّاة حول الطاولة، وميثاق، وحد أدنى ربع سنوي.
- نفّذ تحليل الأثر على الأعمال (البند 2.4) ودعه ينتج أهداف RTO وRPO وMAO لديك. واجعل اللجنة تعتمدها (البند 2.4.4). هذا الاعتماد هو جوابك القابل للدفاع عن سؤال "لماذا 4 ساعات؟".
- اضبط التقويم. برنامج الاختبار إلى ساما بنهاية يناير. اختبارات سنوية على الأقل. النتائج إلى ساما خلال أربعة أسابيع. خطة العمل خلال شهرين. إعادة الاختبار خلال ثلاثة أشهر عند الفشل.
- راجع أوراق مركز البيانات. إذا كنت تختار أو تنقل مركز بيانات رئيسياً أو بديلاً، فموافقة ساما مطلوبة (البندان 2.11 و2.6.2).
- احجز مراجعة التأكيد (البند 2.13) — مستقلة، ومع خارطة طريق.
أين يقع مزوّد الاستضافة — وأين لا يقع
كن واضحاً في هذه النقطة، لأن تسويق المورّدين في هذا السوق يبالغ فيها روتينياً.
لا يستطيع أي مزوّد استضافة أن يجعلك ممتثلاً لساما. الامتثال لاستمرارية الأعمال برنامج حوكمة: لجنة، وتحليل أثر، وخطط، واختبارات، وتقارير، وأدلة تدقيق. البنية التحتية مُدخَل فيه، لا بديل عنه. وأي مزوّد يدّعي غير ذلك يبيعك النوع نفسه من الخيال الواثق الذي يبيعه جدول الفئات.
ما تستطيع البنية التحتية فعله هو تيسير الوفاء باعتبارات ضبط بعينها — موقع بديل يثبت أنه لا يشترك في المخاطر الجغرافية للموقع الرئيسي (البند 2.6.2)، وموقع خارجي للنسخ الاحتياطية (البند 2.6.6)، وسعة في الموقع الثانوي متناسبة مع الرئيسي (البند 2.6.3).
تُشغّل Skyline Cloud منطقة داخل المملكة — الدمام، مدعومة بـ Google Cloud — وهو ما يُبقي البيانات داخل السعودية ويمنحك إجابة محلية عن أسئلة موقع البيانات التي تظهر في كل مراجعة لطرف ثالث. وبالنسبة لمؤسسة عضو خاضعة لساما، فالصياغة الأمينة هي أن هذا مُدخَل مرشَّح لتصميمك المبني على تحليل الأثر ولتقييم مخاطر الموقع وفق البند 2.6، وأن مسار الموافقة في البندين 2.11 و2.6.2 يبقى مسؤوليتك أنت. أما للكثير من المنشآت في السوق السعودي غير الخاضعة لساما والراغبة في الانضباط نفسه، فهي ببساطة منطقة محلية مُدارة جيداً. يمكنك بدء تجربة مجانية لمدة 14 يوماً وتقييمها وفق معاييرك الخاصة قبل أن تقترب من سجل المورّدين.
الأسئلة الشائعة
هل تفرض ساما هدف زمن تعافٍ (RTO) أو نقطة تعافٍ (RPO) محدداً؟
لا. يُعرِّف إطار إدارة استمرارية الأعمال من ساما مفاهيم RTO وRPO وMAO في البند 1.2 ولا يذكر أي قيمة لأيٍّ منها في أي موضع من الوثيقة. أنت من يحددها عبر تحليل الأثر على الأعمال (البند 2.4.3)، ولجنة استمرارية الأعمال لديك هي من يعتمدها (البند 2.4.4). وأي رقم "مفروض من ساما" عُرض عليك ليس من ساما.
هل يوجد جدول فئات تعافٍ من 1 إلى 4 لدى ساما؟
لا. كلمة "tier" لا ترد في الإطار إطلاقاً. لا يوجد تصنيف من ساما للأنظمة ضمن فئات تعافٍ. جدول الفئات اختلاق انتشر على نطاق واسع في السوق السعودي، وخطورته تحديداً أنه يُسقط المواعيد النهائية الحقيقية في البند 2.11.
ما هي المواعيد النهائية التي تفرضها ساما فعلاً لاستمرارية الأعمال؟
المواعيد الملموسة: برنامج اختبارات استمرارية الأعمال والتعافي من الكوارث للسنة القادمة يُرسل إلى "الرقابة على مخاطر تقنية المعلومات المصرفية" في ساما بنهاية يناير من كل عام؛ ونتائج الاختبارات تصل ساما خلال أربعة أسابيع بعد الاختبار؛ وخطة عمل التحسين تتبعها خلال شهرين من تقديم تلك النتائج؛ والاختبار الفاشل يجب إعادته خلال مهل لا تتجاوز ثلاثة أشهر؛ والحوادث المعطِّلة المتوسطة أو العالية تُبلَّغ لساما فوراً (البندان 2.11 و2.9.3).
هل استمرارية الأعمال جزء من إطار الأمن السيبراني من ساما؟
لا — إنهما أداتان منفصلتان. إطار الأمن السيبراني (التعميم 381000091275) يُحيل متطلبات استمرارية الأعمال إلى متطلبات استمرارية الأعمال لدى ساما في بنده 1.3. وإطار إدارة استمرارية الأعمال هو التعميم 381000058504. ويتضمن إطار الأمن السيبراني مجال ضبط ذا صلة لكنه متمايز، كما يُعيد إطار استمرارية الأعمال الإحالة إلى إطار الأمن السيبراني لإدارة التهديدات والثغرات (البند 2.7). راجع دليل إطار الأمن السيبراني من ساما.
كم مرة يجب على البنك اختبار خطط BCP وDRP بموجب متطلبات ساما؟
مرة واحدة سنوياً على الأقل لتمارين محاكاة خطة استمرارية الأعمال (البند 2.9.1)، ومرة واحدة سنوياً على الأقل لاختبار التعافي من الكوارث المقترن بخطة استمرارية الأعمال (البند 2.9.2). ويجب أن تراقب المراجعة الداخلية أو مراجع خارجي مؤهل الاختبار بصفة مشارك مستقل (البند 2.9.3.3)، وتُرفع النتائج إلى لجنة استمرارية الأعمال والإدارة العليا ومجلس الإدارة (البند 2.9.3.4).
هل يجب أن توافق ساما على مركز بياناتنا؟
نعم، في الحالات التي تسمّيها ساما. مركز البيانات البديل يتطلب موافقة من ساما (البند 2.6.2)، ويجب طلب موافقة ساما عند اختيار موقع جديد لمركز البيانات الرئيسي أو البديل أو عند نقل أيٍّ منهما (البند 2.11).
هل يوجد مستوى نضج لاستمرارية الأعمال لدى ساما؟
لا. إطار استمرارية الأعمال لا يتضمن نموذج نضج. ومستويات النضج من 0 إلى 5 تخص إطار الأمن السيبراني وإطار حوكمة تقنية المعلومات، وهما تعميمان مختلفان.
كيف تتحقق من أي ادعاء يخص ساما في خمس دقائق
بقيت الاختلاقات الموصوفة أعلاه حيّة في السوق السعودي زمناً طويلاً لأن أحداً تقريباً لا يتحقق. والتحقق سريع فعلاً. وهذه هي المنهجية كاملةً.
- اذهب إلى
rulebook.sama.gov.sa. هذا هو الكتيب التنظيمي الرسمي لساما والمرجع الحيّ. ولاحظ أن روابط PDF القديمة علىsama.gov.sa/.../*.pdfلم تعد تقدّم ملفات PDF — بل تُعيد صفحة HTML فارغة. فإذا استشهد مصدرٌ بأحد روابط PDF تلك كدليل، فذلك المصدر لم يفتحها هو الآخر. - جد الأداة النظامية واقرأ ترويستها. كل صفحة في الكتيب تحمل رقم التعميم، والتاريخين الهجري والميلادي، وحقل الحالة. فإن لم تكن الحالة ساري المفعول، توقّف. وإن كانت الوثيقة التي يسمّيها مصدرك غير موجودة في الكتيب أصلاً — كما هي حال "كتيب ساما السحابي" الأسطوري — توقّف.
- انتقل إلى رقم البند الذي يستشهد به مصدرك. الاستشهاد الحقيقي يقود إلى صفحة حقيقية. أما المختلَق فلا يقود إلى شيء، أو يقود إلى بند يتحدث عن موضوع آخر تماماً. هذه الخطوة وحدها تقتل معظم الاختلاقات.
- ابحث في النص عن الرقم. إذا ادّعى أحدهم أن ساما تفرض س، فينبغي أن ترد س في نص ساما. ابحث عن كلمة "tier". ابحث عن "15 دقيقة". ابحث عن "ريال". فإن لم يكن الرقم موجوداً، فساما لم تقله. الجهة التنظيمية التي تريد رقماً كانت لتكتب الرقم.
- كن صارماً بالقدر نفسه تجاه الغياب. أصعب انضباط هو أن تكتب "ساما لا تذكر رقماً هنا" بدلاً من تقديم رقم معقول المظهر. وكل اختلاق في تدقيق 2026 كان، بطريقته، امتناعاً من أحدهم عن كتابة تلك الجملة.
لا تقبل أبداً معرّف ضابط أو اسم لجنة أو حداً أو موعداً نهائياً من مدوّنة استشارية أو عرض مورّد أو ملف تسويقي لإحدى شركات المحاسبة الكبرى أو منشور على LinkedIn. فمن هناك جاءت الاختلاقات. استخدمها، على الأكثر، للعثور على رابط المصدر الأولي — ثم اذهب واقرأه.
المصادر
كل ما ورد في هذه المقالة مأخوذ من الكتيب التنظيمي الرسمي لساما على الإنترنت، وهو المرجع الحيّ. أما روابط ملفات PDF القديمة على sama.gov.sa فلم تعد تقدّم الوثائق.
- إطار إدارة استمرارية الأعمال — التعميم 381000058504
- البند 1.2 التعريفات · البند 2.1 حوكمة استمرارية الأعمال · البند 2.4 تحليل الأثر وتقييم المخاطر
- البند 2.6 خطة التعافي من الكوارث · البند 2.9.3 الاختبارات المنفَّذة · البند 2.11 التواصل
- إطار الأمن السيبراني — التعميم 381000091275
هذا الدليل قراءة في المصدر الأولي، وليس استشارة تنظيمية. النص المُلزِم هو النسخة الحالية في الكتيب التنظيمي لساما. وإذا تعارضت أي عبارة هنا معه، فالكتيب هو المرجع — ونودّ أن نعرف بذلك.

Comments
0 total · 0 threads