Home Knowledge base SAMA Banking Compliance إطار الأمن السيبراني من ساما — الدليل الشامل من المصدر (وما لا وجود له) KNOWLEDGE BASE
إطار الأمن السيبراني من ساما — الدليل الشامل من المصدر (وما لا وجود له)
SAMA BANKING COMPLIANCE

إطار الأمن السيبراني من ساما — الدليل الشامل من المصدر (وما لا وجود له)

SKYLINE Knowledge Base

لا وجود لـ«كتيب قواعد السحابة» من ساما، ولا لجدول مستويات RTO/RPO. مقروء من كتيب قواعد ساما: 4 مكوّنات، 32 مكوّناً فرعياً، 6 مستويات نضج، والموافقة السحابية الحقيقية (البند 3.4.3.4 أ-2)، والموعدان النهائيان اللذان يغفلهما الجميع.

لا وجود لشيء اسمه «كتيب قواعد السحابة الصادر عن ساما».

من المهم قول ذلك أولاً، لأن قدراً كبيراً من المحتوى المتداول في السوق السعودي خلال عام 2026 يوجّه البنوك إلى تقديم طلب موافقة مسبقة على الخدمات السحابية «بموجب كتيب قواعد السحابة الصادر عن ساما»، ويستشهد بجدول «المستويات من 1 إلى 4» لأهداف زمن الاستعادة (RTO) ونقطة الاستعادة (RPO)، ويكتب أرقام ضوابط ساما بصيغة n-n-n الخاصة بالهيئة الوطنية للأمن السيبراني. لا شيء من هذه الثلاثة موجود. جميعها مُختلَقة، وتُنسخ بين عروض الاستشاريين وصفحات المورّدين ومنشورات لينكدإن بسرعة تفوق سرعة من يتحقق منها.

هذا الدليل مكتوب استناداً إلى النص المنشور من البنك المركزي السعودي نفسه — كتيب قواعد ساما — وهو الكتيب التنظيمي الرسمي الذي تُنشر فيه النسخة النافذة من كل أداة تنظيمية مذكورة أدناه. كل رقم مكوّن، وكل مكوّن فرعي، وكل مستوى نضج، وكل موعد نهائي، وكل اقتباس في هذه الصفحة قُرئ من ذلك المصدر مباشرة. وحيثما لا يذكر البنك المركزي رقماً، يقول هذا الدليل صراحةً: «لا يذكر البنك المركزي رقماً هنا» بدلاً من اختلاق رقم — لأن اختلاق الدقة هو أخطر ما يمكن فعله بمسؤول الالتزام، وهو تحديداً الأصل الذي نشأت منه المغالطات أعلاه.

الإجابة في ستين ثانية

  • الأداة التنظيمية هي إطار الأمن السيبراني (CSF)، الصادر بموجب التعميم رقم 381000091275 وتاريخ 28/8/1438هـ (الموافق 24/5/2017م). وما زال نافذاً حتى يوليو 2026. ولا توجد نسخة ثانية منه.
  • يتكوّن من أربعة مكوّنات رئيسية و32 مكوّناً فرعياً، مرقّمة بصيغة n.n.n — مثل 3.3.15 إدارة حوادث الأمن السيبراني. وليس n-n-n؛ فتلك صيغة الهيئة الوطنية للأمن السيبراني، وهي جهة تنظيمية أخرى.
  • نموذج النضج يتضمّن ستة مستويات — 0 و1 و2 و3 و4 و5 (البند 2.4). ليست أربعة، وليست خمسة.
  • على كل مؤسسة عضو بلوغ مستوى النضج الثالث كحدٍّ أدنى (البند 2.4). وعلى البنوك إضافةً إلى ذلك بلوغ المستوى الرابع في أربعة مكوّنات فرعية محدّدة بالاسم.
  • الحوسبة السحابية ليست أداة تنظيمية مستقلة لدى ساما. إنها مكوّن فرعي واحد — 3.4.3 الحوسبة السحابية — داخل المكوّن 3.4 «أمن الأطراف الخارجية».
  • الموافقة المسبقة من ساما على الخدمات السحابية حقيقية. لكنها ليست حيث زعم المُختلِقون: موضعها البند 3.4.3.4 (أ)(2).
  • لا يتضمّن إطار الأمن السيبراني أي أرقام لـ RTO أو RPO إطلاقاً، لأن استمرارية الأعمال خارج نطاقه صراحةً (البند 1.3). وهذه المفاهيم موضعها وثيقة أخرى — ولا تضع تلك الوثيقة أرقاماً هي الأخرى.

ما هو إطار الأمن السيبراني فعلياً

أنشأ البنك المركزي السعودي الإطار «لتمكين المؤسسات المالية الخاضعة لرقابة ساما (المؤسسات الأعضاء) من تحديد ومعالجة المخاطر المتعلقة بالأمن السيبراني بفعالية» (البند 1.1). وهو إطار قائم على المبادئ، ويُشار إليه أيضاً بأنه قائم على المخاطر (البند 2.2) — أي أنه يحدّد مبادئ وأهدافاً، ويسرد «اعتبارات ضبط» ينبغي أخذها في الحسبان لتحقيقها.

كلمة «اعتبارات» هنا جوهرية، وكثيراً ما يُساء تسويقها. الإطار ليس قائمة تأشير. فالبند 2.2 ينص على أنه عند تعذّر تطبيق أحد اعتبارات الضبط، ينبغي على المؤسسة العضو «النظر في تطبيق ضوابط تعويضية، وقبول المخاطر داخلياً، وطلب إعفاء رسمي من ساما». هناك مسار إعفاء رسمي، موثّق في الملحق (د) — كيفية طلب إعفاء من الإطار. ومن يقول لك إن الإطار لا يقبل أي استثناء لم يقرأ البند 2.2.

كما أن الإطار «يحلّ محل جميع التعاميم السابقة الصادرة عن ساما فيما يتعلق بالأمن السيبراني» (البند 1.1)، وقائمة ما حلّ محله في الملحق (أ). ويستند إلى معايير NIST وISF وISO وBASEL وPCI (البند 1.1) — دون أن يكون نسخة من أيٍّ منها.

البنية الحقيقية: 4 مكوّنات رئيسية و32 مكوّناً فرعياً

ينص البند 2.1 صراحةً: «تم تنظيم الإطار حول أربعة مكوّنات رئيسية». ولكل مكوّن مكوّنات فرعية، ويتضمّن كل مكوّن فرعي مبدأً وهدفاً واعتبارات ضبط. واعتبارات الضبط مرقّمة ترقيماً فريداً و«يمكن أن تتكوّن من أربعة مستويات» (البند 2.1) — ولهذا ترى استشهادات مثل 3.4.3.4(ب)(1).

#المكوّن الرئيسيعدد المكوّنات الفرعية
3.1قيادة وحوكمة الأمن السيبراني7 (من 3.1.1 إلى 3.1.7)
3.2إدارة مخاطر الأمن السيبراني والالتزام5 (من 3.2.1 إلى 3.2.5)
3.3عمليات وتقنية الأمن السيبراني17 (من 3.3.1 إلى 3.3.17)
3.4أمن الأطراف الخارجية3 (من 3.4.1 إلى 3.4.3)
الإجمالي32

سبعة زائد خمسة زائد سبعة عشر زائد ثلاثة يساوي اثنين وثلاثين. وإذا ذكر لك أي عرض فني عدداً مختلفاً من المكوّنات الفرعية، فاسأله أي وثيقة قرأ.

وهذه القائمة الكاملة كما هي منشورة:

3.1 قيادة وحوكمة الأمن السيبراني — 3.1.1 حوكمة الأمن السيبراني · 3.1.2 استراتيجية الأمن السيبراني · 3.1.3 سياسة الأمن السيبراني · 3.1.4 أدوار ومسؤوليات الأمن السيبراني · 3.1.5 الأمن السيبراني في إدارة المشاريع · 3.1.6 التوعية بالأمن السيبراني · 3.1.7 التدريب على الأمن السيبراني

3.2 إدارة مخاطر الأمن السيبراني والالتزام — 3.2.1 إدارة مخاطر الأمن السيبراني · 3.2.2 الالتزام التنظيمي · 3.2.3 الالتزام بالمعايير الصناعية (الدولية والمحلية) · 3.2.4 مراجعة الأمن السيبراني · 3.2.5 تدقيق الأمن السيبراني

3.3 عمليات وتقنية الأمن السيبراني — 3.3.1 الموارد البشرية · 3.3.2 الأمن المادي · 3.3.3 إدارة الأصول · 3.3.4 معمارية الأمن السيبراني · 3.3.5 إدارة الهوية والصلاحيات · 3.3.6 أمن التطبيقات · 3.3.7 إدارة التغيير · 3.3.8 أمن البنية التحتية · 3.3.9 التشفير · 3.3.10 استخدام الأجهزة الشخصية (BYOD) · 3.3.11 التخلص الآمن من أصول المعلومات · 3.3.12 أنظمة المدفوعات · 3.3.13 الخدمات المصرفية الإلكترونية · 3.3.14 إدارة أحداث الأمن السيبراني · 3.3.15 إدارة حوادث الأمن السيبراني · 3.3.16 إدارة التهديدات · 3.3.17 إدارة الثغرات

3.4 أمن الأطراف الخارجية — 3.4.1 إدارة العقود والمورّدين · 3.4.2 الإسناد لطرف خارجي · 3.4.3 الحوسبة السحابية

لاحظ ما يخبرك به المكوّن 3.3 عن أولويات ساما: سبعة عشر من أصل اثنين وثلاثين مكوّناً فرعياً تخص العمليات والتقنية. ولاحظ أن الحوسبة السحابية تحتل مكوّناً فرعياً واحداً من أصل اثنين وثلاثين. فهي لدى ساما موضوع من مواضيع مخاطر الأطراف الخارجية، لا نظام تنظيمي قائم بذاته.

نموذج النضج: ستة مستويات لا أربعة

هذا أكثر أجزاء الإطار تشويهاً في المحتوى المتداول، ولذلك ننقله حرفياً من البند 2.4: «يميّز نموذج نضج الأمن السيبراني ستة مستويات للنضج (0 و1 و2 و3 و4 و5)... ولتحقيق المستويات 3 أو 4 أو 5، يجب على المؤسسة العضو أولاً استيفاء جميع معايير المستويات السابقة».

المستوىالاسمالمعنى الفعلي
0غير موجودلا توثيق. لا وعي ولا اهتمام بضابط أمني معيّن. الضوابط غير مطبّقة.
1عشوائيالضوابط غير معرّفة أو معرّفة جزئياً. تُنفَّذ بطريقة غير متسقة، ويختلف تصميمها وتنفيذها من إدارة لأخرى.
2متكرّر لكن غير رسميالتنفيذ قائم على ممارسة غير مكتوبة وغير رسمية، وإن كانت موحّدة. أهداف الضبط وتصميمه غير معرّفة أو معتمدة رسمياً.
3منظّم ورسميالضوابط معرّفة ومعتمدة ومطبّقة بشكل منظّم ورسمي، ويمكن إثبات تطبيقها. السياسات والمعايير والإجراءات قائمة، والالتزام بها مُراقَب. ومؤشرات الأداء (KPIs) معرّفة ومُبلَّغ عنها.
4مُدار وقابل للقياستُقيَّم فعالية الضوابط دورياً وتُحسَّن عند الحاجة. وتُستخدم مؤشرات المخاطر (KRIs) وتقارير الاتجاهات لتحديد الفعالية.
5متكيّفتخضع الضوابط لخطة تحسين مستمر، ومدمجة في إدارة مخاطر المؤسسة، وتُقيَّم أداءً باستخدام بيانات القطاع والنظراء.

الحد المطلوب هو المستوى الثالث. ينص البند 2.4: «ينبغي على المؤسسات الأعضاء العمل عند مستوى النضج 3 على الأقل أو أعلى».

والفارق بين المستويين 3 و4 هو ما يحسم عمليات التدقيق، وهو أبسط مما يصوّره كثير من الاستشاريين. المستوى 3 يتعلق بالوجود وإمكانية الإثبات — كتبتَه، واعتمدتَه، وطبّقتَه، وتستطيع إثباته، وتتابع مؤشرات الأداء (البند 2.4.1). أما المستوى 4 فيتعلق بالفعالية — عرّفتَ مؤشرات مخاطر رئيسية (KRIs) بحدود قياس، وتقيس دورياً ما إذا كان الضابط يعمل فعلاً، لا مجرد كونه موجوداً (البند 2.4.2). وقد يكون الضابط مطبّقاً تطبيقاً مثالياً ويظل عند المستوى 3 إلى الأبد إن لم تقس فعاليته أبداً.

ويتم التقييم عبر تقييم ذاتي دوري وفق استبيان يصدره ساما، و«ستتم مراجعة التقييمات الذاتية وتدقيقها من قبل ساما» (البند 2.3).

التزام المستوى الرابع الذي تخطئ فيه معظم البنوك

يحمل البند 2.4.2 ملاحظة: «متطلبات إضافية على البنوك بموجب التعميم رقم (29814/67)». ويلزم ذلك التعميم البنوك ببلوغ مستوى النضج الرابع — لا الثالث — في جميع مكوّنات أربعة مكوّنات فرعية محدّدة:

  • 3.3.14 إدارة أحداث الأمن السيبراني
  • 3.3.15 إدارة حوادث الأمن السيبراني
  • 3.3.16 إدارة التهديدات
  • 3.3.17 إدارة الثغرات

مع خطة طريق لتحقيق ذلك بنهاية الربع الثالث من عام 2022، وخطة طريق معتمدة من مجلس الإدارة تُرفع إلى ساما بنهاية الربع الأول من 2019، وتقارير ربع سنوية اعتباراً من نهاية الربع الثاني من 2019، و«تقرير سنوي معمّق من إدارة المراجعة الداخلية بالبنك يوضّح مستوى الالتزام بمتطلبات الإطار مقارنةً بمستوى النضج المطلوب».

هذه التواريخ مضت جميعها. لكن المغزى ليس التواريخ، بل أن الحد القائم لهذه المكوّنات الأربعة بالنسبة للبنك هو المستوى الرابع بشكل دائم، وأن تقرير المراجعة الداخلية السنوي التزام مستمر لا حدث لمرة واحدة. فإن كانت أداة الحوكمة والالتزام (GRC) لديك تستهدف المستوى الثالث في كل المكوّنات الفرعية، فهي مُهيّأة خطأً.

ملاحظة أمانة: يعرض كتيب قواعد ساما تاريخ هذا التعميم بصورتين متعارضتين — تظهر صفحة التعميم «29814/67 وتاريخ 11/05/1440هـ»، بينما تظهر الملاحظة في البند 2.4.2 «وتاريخ 15/05/1440هـ (الموافق 11/06/2020)». وبما أن سنة 1440هـ توافق 2019 لا 2020، فإن التاريخ الميلادي يبدو خطأً مطبعياً في الكتيب. ننقل التعارض بدل أن نختار أحدهما بصمت. تحقّق من رقم التعميم — 29814/67 — مع المشرف المختص لديكم في ساما.

من يخضع للإطار فعلياً

يحدّد البند 1.4 نطاق التطبيق بأنه: جميع البنوك، وجميع شركات التأمين وإعادة التأمين، وجميع شركات التمويل، وجميع شركات المعلومات الائتمانية، والبنية التحتية للسوق المالية — العاملة في المملكة العربية السعودية.

لكن نص الإطار كُتب في 2017 ولم يُعدَّل، وكتيب قواعد ساما نفسه يصنّف اليوم نطاق تطبيق الإطار على نحو مختلف: القطاع المصرفي — قطاع التمويل — أنظمة وخدمات المدفوعات ومزوّدوها — شركات المعلومات الائتمانية — البيئة التنظيمية التجريبية.

ويترتب على ذلك أمران، وكلاهما مهم:

  1. شركات المدفوعات وشركات التقنية المالية داخل النطاق، وإن لم يسمّها نص 2017. فتصنيف الكتيب يشمل أنظمة وخدمات المدفوعات ومزوّديها، والبنوك الرقمية، وشركات الصرافة، والبيئة التنظيمية التجريبية. فإن كنت مزوّد خدمات مدفوعات مرخّصاً أو شركة تقنية مالية في البيئة التجريبية، فالإطار ينطبق عليك.
  2. التأمين لم يعد ضمن نطاق كتيب قواعد ساما. فنص 2017 ما زال يسمّي شركات التأمين، غير أن الإشراف على قطاع التأمين في المملكة انتقل من ساما إلى هيئة التأمين، التي باشرت أعمالها في نوفمبر 2023، ولم يعد كتيب قواعد ساما يدرج قطاع تأمين ضمن تصنيف الجهات الخاضعة لرقابته. فإن كنت شركة تأمين، فلا تفترض أن إطار ساما ما زال أداتك السيبرانية الحاكمة — تأكّد من هيئة التأمين. ونحن نشير إلى التعارض بين نص الوثيقة وبيانات الكتيب دون أن نحسمه نيابةً عنك، لأن جهتك التنظيمية وحدها من يملك حسمه.

كما يتضمّن البند 1.4 استثناءات حقيقية. تنطبق جميع المكوّنات على القطاع المصرفي. أما بقية المؤسسات المالية فتسري عليها الاستثناءات التالية:

  • 3.1.2 — المواءمة مع استراتيجية الأمن السيبراني للقطاع المصرفي إلزامية عند انطباقها.
  • يُستثنى البند 3.2.3غير أنه إذا كانت المؤسسة تخزّن أو تعالج أو تنقل بيانات حاملي البطاقات أو تتعامل مع خدمات SWIFT، فيجب تطبيق معيار PCI و/أو إطار ضوابط أمن العملاء الخاص بـ SWIFT.
  • يُستثنى البند 3.3.12 (أنظمة المدفوعات).
  • يُستثنى البند 3.3.13 (الخدمات المصرفية الإلكترونية)غير أنه إذا كانت المؤسسة تقدّم خدمات إلكترونية للعملاء، فيجب تطبيق المصادقة متعددة العوامل.

وجُمل «غير أنه» هذه هي بالضبط ما يسقط فيه غير البنوك. فالاستثناء ليس إعفاءً مجانياً.

أشياء لا وجود لها

هذا القسم هو سبب كتابة هذه المقالة. كل بند مما يلي متداول فعلياً في السوق السعودي، وكل بند منها غير صحيح.

❌ «كتيب قواعد السحابة الصادر عن ساما»

لا وجود له. لا توجد لدى ساما أداة تنظيمية مستقلة خاصة بالسحابة تحت أي مسمّى — لا «كتيب قواعد السحابة»، ولا «إطار الحوسبة السحابية»، ولا «القواعد التنظيمية للحوسبة السحابية».

وقد اختبرنا ذلك على محرك بحث كتيب قواعد ساما نفسه. البحث الكامل في كتيب القواعد بأكمله عن كلمة «cloud» يعيد سبع نتائج، والحكم التنظيمي الوحيد الخاص بالسحابة من بينها هو البند 3.4.3 الحوسبة السحابية — إلى جانب قسمه الأب 3.4 ومدخل في المسرد. أما البحث عن عبارة «cloud rulebook» فلا يعيد أي نتيجة إطلاقاً.

الأداة الحقيقية هي المكوّن الفرعي 3.4.3 الحوسبة السحابية، داخل المكوّن 3.4 أمن الأطراف الخارجية. وهذا هو كامل ما نظّمه ساما سيبرانياً بشأن السحابة.

لكن — وهذا ما يجعل المغالطة خطيرة حقاً — متطلب الموافقة المسبقة الذي وصفته حقيقي. وهو فقط في موضع آخر:

البند 3.4.3.4 (أ)(2): «ينبغي على المؤسسة العضو الحصول على موافقة ساما قبل استخدام الخدمات السحابية أو توقيع العقد مع مزوّد الخدمة السحابية».

أي أن مسؤول الالتزام الذي قرأ المقالة المُختلَقة وقدّم طلب موافقة مسبقة فعل الصواب لسبب خاطئ. أما مسؤول الالتزام الذي اكتشف لاحقاً أن «كتيب قواعد السحابة» مُختلَق، فاستنتج أن الموافقة المسبقة مُختلَقة هي الأخرى، فسيكون مُخلّاً بالتزام حقيقي. وكلا الخطأين ناتج عن الاستشهاد الخاطئ نفسه. الالتزام حقيقي، واسم الأداة هو المُختلَق. استشهد بالبند 3.4.3.4 (أ)(2).

وهذا ما ينص عليه البند 3.4.3 كاملاً:

  • ينطبق على الخدمات السحابية الهجينة والعامة فقط. وينص البند صراحةً: «يُرجى ملاحظة أن هذا المتطلب لا ينطبق على الخدمات السحابية الخاصة (السحابة الداخلية)».
  • 3.4.3.4 (أ)(1) — يجب إجراء تقييم لمخاطر الأمن السيبراني وعناية واجبة على مزوّد الخدمة السحابية.
  • 3.4.3.4 (أ)(2) — موافقة ساما قبل استخدام الخدمات السحابية أو توقيع العقد.
  • 3.4.3.4 (أ)(3) — وجود عقد يتضمّن متطلبات الأمن السيبراني قبل استخدام الخدمات السحابية.
  • 3.4.3.4 (ب)(1) — موقع البيانات. ويُقتبس هذا البند أكثر مما يُقرأ: «من حيث المبدأ، ينبغي استخدام الخدمات السحابية الموجودة داخل المملكة العربية السعودية فقط، أو — عند استخدام خدمات سحابية خارج المملكة — ينبغي على المؤسسة العضو الحصول على موافقة صريحة من ساما».
  • 3.4.3.4 (ج)(1) — لا يجوز للمزوّد استخدام بيانات المؤسسة لأغراض ثانوية.
  • 3.4.3.4 (د)(1) — على المزوّد تطبيق ومراقبة الضوابط المحدّدة في تقييم المخاطر.
  • 3.4.3.4 (هـ)(1) — يجب فصل بيانات المؤسسة منطقياً، وأن يكون المزوّد قادراً على تمييزها عن غيرها في كل وقت.
  • 3.4.3.4 (و)(1) — يجب استيفاء متطلبات استمرارية الأعمال وفق سياسة استمرارية الأعمال الخاصة بالمؤسسة.
  • 3.4.3.4 (ز) — يجب الاحتفاظ بـ حق المراجعة والتدقيق والفحص لدى مزوّد الخدمة السحابية.

وانتبه جيداً لما لا يقوله البند 3.4.3.4 (ب)(1). فهو لا يفرض حظراً مطلقاً على إخراج البيانات من المملكة. بل يقول «من حيث المبدأ» داخل المملكة، مع مخرج صريح: يُسمح بالاستضافة خارج المملكة بموافقة صريحة من ساما. وصفحات المورّدين التي تصف ساما بأنه يفرض توطيناً مطلقاً للبيانات تبالغ في وصف النص. صحيحٌ عملياً أن الاستضافة داخل المملكة هي المسار الأقل احتكاكاً تنظيمياً — لكنها ليست المسار المشروع الوحيد، وتصويرها كذلك دفع مؤسسات إلى قرارات معمارية لم تكن مضطرة إليها.

وثمة التزام حقيقي منفصل: البند 3.4.2.3 (أ) يشترط «الحصول على موافقة ساما قبل الإسناد الجوهري لطرف خارجي». كما أن لدى ساما أداة إسناد مستقلة حقيقية — قواعد الإسناد لطرف خارجي (Rules on Outsourcing)، التعميم رقم 41027017 وتاريخ 18/4/1441هـ (الموافق 15/12/2019م)، ونطاقها: القطاع المصرفي. وهذه على الأرجح الوثيقة التي يتلمّسها من يخترع «كتيب قواعد السحابة».

❌ جدول «المستويات 1 إلى 4» لـ RTO وRPO

لا وجود له. لا يوجد جدول مستويات لدى ساما، ولا يوجد أي رقم لـ RTO أو RPO يفرضه ساما — لا «15 دقيقة»، ولا مستوى بأربع ساعات، ولا أي أرقام على الإطلاق.

ولنبدأ من الموضع الصحيح لهذه المفاهيم. إنها ليست في إطار الأمن السيبراني أصلاً. فالبند 1.3 يخرج استمرارية الأعمال من نطاق الإطار صراحةً: «فيما يتعلق بمتطلبات استمرارية الأعمال، يُرجى الرجوع إلى الحد الأدنى لمتطلبات استمرارية الأعمال الصادرة عن ساما».

والأداة الحقيقية هي إطار إدارة استمرارية الأعمال (BCM)، الصادر بموجب التعميم رقم 381000058504 وتاريخ 1/6/1438هـ (الموافق 27/2/2017م) — ونطاقه: القطاع المصرفي، وقطاع التمويل، وأنظمة وخدمات المدفوعات ومزوّدوها، وشركات المعلومات الائتمانية.

ويعرّف إطار BCM مفاهيم RTO وRPO وMAO بوصفها مفاهيم فقط (البند 1.2):

هدف زمن الاستعادة (RTO) — «الفترة التي يجب خلالها، عقب وقوع حادث، استئناف المنتجات أو الخدمات أو الأنشطة أو استعادة الموارد».

هدف نقطة الاستعادة (RPO) — «النقطة التي يجب استعادة المعلومات إليها لتمكين النشاط من العمل عند الاستئناف. ويمكن تسميتها أيضاً بالحد الأقصى لفقدان البيانات».

الحد الأقصى المقبول للتعطّل (MAO) — «الوقت الذي تصبح بعده الآثار السلبية... غير مقبولة».

تعريفات. لا حدود رقمية. وقد بحثنا في النص الكامل لإطار BCM: كلمة «tier» لا ترد فيه ولو مرة واحدة، والوثيقة لا تتضمّن أي حدّ زمني رقمي إطلاقاً — ولا رقم واحد بالدقائق أو الساعات أو الأيام في أي موضع منها.

لا يذكر البنك المركزي رقماً لـ RTO أو RPO هنا. بل يلزمك أنت باشتقاق قيمك الخاصة عبر تحليل أثر الأعمال (BIA) (البند 2.4)، ويلزم لجنة استمرارية الأعمال باعتمادها: «ينبغي على لجنة استمرارية الأعمال اعتماد القائمة ذات الأولوية، ونتائج تحليل أثر الأعمال، وتقييم المخاطر، وأهداف RTO وRPO وMAO المحدّدة» (البند 2.4). والتوجيه الوحيد الذي يقدّمه ساما توجيه اتجاهي: ينبغي على المؤسسات الأعضاء «ضمان تحديد أهداف RTO بشكل ملائم لأنظمة المدفوعات والخدمات المتعلقة بالعملاء، نظراً لضرورة توافرها العالي».

فإذا سألك المدقّق عن هدف زمن الاستعادة لديك، فالإجابة القابلة للدفاع ليست رقماً نسختَه من جدول. بل: «هذا تحليل أثر الأعمال لدينا، وهذا هدف RTO الناتج عنه، وهذا محضر لجنة استمرارية الأعمال الذي يعتمده». أما رقم مأخوذ من جدول مُختلَق فهو أسوأ من عديم الفائدة — إنه رقم لا تستطيع الدفاع عن طريقة اشتقاقه.

✅ …والموعدان النهائيان الحقيقيان اللذان أغفلهما الجدول المُختلَق

وهنا الجزء الأكثر كلفة. فبينما كان الجدول المُختلَق يخترع حدوداً لـ RTO لم يكتبها ساما قط، أغفل الموعدين النهائيين الرقميين الصارمين اللذين يفرضهما ساما فعلاً. وكلاهما في البند 2.11 (التواصل) من إطار BCM:

  1. نتائج الاختبار — خلال أربعة أسابيع. «ينبغي مشاركة نتائج اختبارات استمرارية الأعمال والتعافي من الكوارث مع ساما خلال أربعة أسابيع من إجراء الاختبار».
  2. خطة العمل — خلال شهرين. «ينبغي على المؤسسة العضو تحديد التحسينات بناءً على الاختبار المُجرى، وتزويد ساما بخطة عمل خلال شهرين من تقديم نتائج الاختبار».

هذان موعدان حقيقيان ورقميان، وهما التاريخان اللذان ينبغي أن يكونا في تقويم الالتزام لديك. والمؤسسة التي اتّبعت الجدول المُختلَق كانت ستُفرِط في هندسة هدف RTO وهمي بخمس عشرة دقيقة، بينما تُخِلّ بكليهما.

وبقية التزامات BCM الحقيقية، استكمالاً للصورة:

  • 2.9.1 — تمارين اختبار محاكاة لخطة استمرارية الأعمال «مرة واحدة على الأقل سنوياً».
  • 2.9.2 — اختبار تعافٍ من الكوارث مقترن بخطة استمرارية الأعمال «مرة واحدة على الأقل سنوياً».
  • 2.11 — إبلاغ ساما («الرقابة على مخاطر تقنية المعلومات المصرفية») فوراً بجميع الحوادث المصنّفة «متوسطة» أو «عالية»، ويتبع ذلك تقرير لاحق للحادث بعد استئناف العمليات الطبيعية.
  • 2.4 — تحديث تحليل أثر الأعمال وتقييم المخاطر سنوياً وعند حدوث تغييرات جوهرية.
  • 2.1 — اجتماع لجنة استمرارية الأعمال ربع سنوي كحدٍّ أدنى.

ولاحظ كلمة «فوراً» في البند 2.11. لا يذكر البنك المركزي رقماً هنا — لا «خلال 72 ساعة»، ولا «خلال 24 ساعة». ومن يذكر لك عدد ساعات للإبلاغ عن الحوادث لدى ساما فهو يخترعه. والأمر نفسه في إطار الأمن السيبراني: يوجب البند 3.3.15 على المؤسسة العضو «إبلاغ إدارة الرقابة على مخاطر تقنية المعلومات في ساما فوراً عند وقوع واكتشاف حادث أمني مصنّف متوسطاً أو عالياً» — دون أي رقم كذلك.

وما دمنا في البند 3.3.15، فثمة التزام نادراً ما يظهر في الملخصات المتداولة وله أثر عملي حقيقي: يجب الحصول على «عدم ممانعة» من إدارة الرقابة على مخاطر تقنية المعلومات في ساما قبل أي تعامل إعلامي يتعلق بالحادث. موضع هذا الالتزام هو دليل الاستجابة للحوادث وخطة التواصل لديك، ومعظم الأدلة التي اطّلعنا عليها تفتقر إليه.

❌ أرقام ضوابط ساما بصيغة n-n-n

إذا رأيت «ضابط ساما 2-12-1»، فأنت أمام خلط بين مخطّطَي ترقيم لجهتين تنظيميتين مختلفتين.

الجهة التنظيميةالأداةالترقيممثال
ساما (البنك المركزي السعودي)إطار الأمن السيبرانيn.n.n — نقاط3.3.15 إدارة حوادث الأمن السيبراني
الهيئة الوطنية للأمن السيبرانيالضوابط الأساسية للأمن السيبرانيn-n-n — شرطات2-13-1

النقاط لساما، والشرطات للهيئة الوطنية. جهتان مختلفتان، ووثيقتان مختلفتان، والتزامان مختلفان — والاستشهاد الذي يخلط بينهما مؤشر موثوق على أن كاتبه لم يفتح أياً من الوثيقتين. كما أن الإطارين لا ينطبقان أحدهما على الآخر انطباقاً نظيفاً — فلا تدع مورّداً «يربط» بينهما ليعفيك من الالتزام بكليهما إن كانا ينطبقان عليك معاً.

أدوات ساما الأخرى الموجودة فعلاً

السحابة واستمرارية الأعمال ليستا الموضعين الوحيدين اللذين تُخترع فيهما الوثائق. وهذا هو الجرد الحقيقي، من فصل «ضبط المخاطر السيبرانية» في كتيب قواعد ساما، بأرقام التعاميم الصحيحة.

الأداة التنظيميةرقم التعميمتاريخ الإصدار (م)نطاق التطبيق
إطار الأمن السيبراني (CSF)38100009127524/5/2017المصرفي، التمويل، المدفوعات ومزوّدوها، المعلومات الائتمانية، البيئة التجريبية
إطار إدارة استمرارية الأعمال (BCM)38100005850427/2/2017المصرفي، التمويل، المدفوعات ومزوّدوها، المعلومات الائتمانية
الاختبار الأخلاقي المتقدّم للمنشآت المالية (FEER)56224000006713/5/2019المصرفي، التمويل، المدفوعات ومزوّدوها، المعلومات الائتمانية
قواعد الإسناد لطرف خارجي4102701715/12/2019القطاع المصرفي
إطار حوكمة تقنية المعلومات430281394/11/2021القطاع المصرفي، المعلومات الائتمانية
المتطلبات الأساسية للمرونة السيبرانية (CRFR)1/1/2022التمويل، المدفوعات ومزوّدوها، الصرافة، البيئة التجريبية
مبادئ الاستخبارات السيبرانية للقطاع المالي4306534827/2/2022القطاع المصرفي، المعلومات الائتمانية
الحد الأدنى لضوابط التحقق20220000024521/4/2022التمويل، المدفوعات ومزوّدوها، الصرافة، البيئة التجريبية
إطار مكافحة الاحتيال00004402152811/10/2022القطاع المصرفي

واثنتان من هذه الأدوات تُغفلان باستمرار:

  • المتطلبات الأساسية للمرونة السيبرانية (CRFR) هي الأداة الخاصة بالجهات غير المصرفية — شركات التمويل، ومزوّدو خدمات المدفوعات، وشركات الصرافة، وشركات التقنية المالية في البيئة التجريبية. فإن كنت شركة تقنية مالية تسأل «هل ينطبق عليّ إطار الأمن السيبراني؟»، فالأرجح أن CRFR هي الوثيقة التي ينبغي أن تقرأها إلى جانبه.
  • إطار حوكمة تقنية المعلومات (43028139) منفصل عن إطار الأمن السيبراني، وينطبق على البنوك وشركات المعلومات الائتمانية. فالتزامات حوكمة تقنية المعلومات ليست كلها داخل إطار الأمن السيبراني، ومعاملة الإطار على أنه كامل مساحتك التنظيمية التقنية خطأٌ شائع ومكلف في تحديد النطاق.

ما لا يذكره ساما

لا بد لأي دليل أمين أن يتضمّن هذا القسم، لأن المغالطات كلها نبتت في هذه الفجوات. في كل بند مما يلي، لا يذكر البنك المركزي رقماً، وأي رقم محدّد يُعطى لك هو رأي شخص ما يرتدي ثوب الجهة التنظيمية:

  • لا قيم لـ RTO أو RPO. تشتقّها أنت عبر تحليل أثر الأعمال.
  • لا عدد ساعات للإبلاغ عن الحوادث. الكلمة هي «فوراً» (البند 3.3.15، والبند 2.11 من BCM).
  • لا اتفاقيات مستوى خدمة للترقيع أو معالجة الثغرات. يوجب البند 3.3.17 وجود عملية لإدارة الثغرات، ولا يقول «الحرجة خلال 15 يوماً».
  • لا طول لكلمة المرور ولا مدة لتغييرها ولا طول للمفتاح. البندان 3.3.5 و3.3.9 يذكران مبادئ لا معاملات.
  • لا مدة للاحتفاظ بالسجلات في إطار الأمن السيبراني.
  • لا خوارزميات تشفير محدّدة بالاسم في إطار الأمن السيبراني.
  • لا شهادة معتمدة. لا توجد «شهادة التزام بإطار ساما» ولا نظام مدققين معتمدين. فالالتزام يُثبَت عبر التقييم الذاتي وفق استبيان ساما، ومراجعة ساما وتدقيقه (البند 2.3) — لا بشراء شهادة من أحد.

وحيثما احتجت رقماً في هذه المواضع، فالتصرّف القابل للدفاع هو اشتقاقه من تقييم المخاطر الخاص بك واعتماده داخلياً — مع القدرة على إظهار طريقة الاشتقاق. وهذا بالضبط ما يعنيه مستوى النضج الثالث.

خطة واقعية لأول تسعين يوماً

  1. صحّح استشهاداتك قبل أن تصحّح أي شيء آخر. ابحث في سياساتك وأداة الحوكمة والالتزام وملفات مجلس الإدارة عن «كتيب قواعد السحابة»، وعن أي جدول مستويات لـ RTO/RPO منسوب إلى ساما، وعن ضوابط ساما مكتوبة بشرطات. كل نتيجة هي خلل، وكل نتيجة تعرّضك للمساءلة الآن.
  2. اضبط المستوى المستهدف الصحيح لكل مكوّن فرعي. المستوى الثالث في كل المكوّنات، والمستوى الرابع في 3.3.14 و3.3.15 و3.3.16 و3.3.17 إن كنت بنكاً. راجع أهداف أداة GRC لديك — فهنا يختبئ سوء التهيئة.
  3. نفّذ تقييم الفجوة وفق الاستبيان، لا وفق جدول أحد المورّدين. فتعاميم ساما تصف التسلسل: تقييم، ثم خطة طريق معتمدة من مجلس الإدارة، ثم تقارير تقدّم.
  4. ابحث عن موافقاتك السحابية المسبقة. لكل خدمة سحابية هجينة أو عامة في بيئة الإنتاج: هل حُصل على موافقة ساما قبل توقيع العقد (3.4.3.4 (أ)(2))؟ هل البيانات داخل المملكة، أم لديك موافقة صريحة من ساما على وجودها خارجها (3.4.3.4 (ب)(1))؟ هل تتضمّن عقودك حق التدقيق (3.4.3.4 (ز))؟ هذه أكثر الفجوات شيوعاً.
  5. ضع موعدَي BCM الحقيقيين في التقويم — نتائج الاختبار إلى ساما خلال أربعة أسابيع من الاختبار، وخطة العمل خلال شهرين من النتائج.
  6. أضف خطوة «عدم الممانعة» الإعلامية إلى دليل الاستجابة للحوادث (البند 3.3.15).
  7. اشتقّ أهداف RTO من تحليل أثر الأعمال واحصل على اعتماد لجنة استمرارية الأعمال كتابةً. المحضر هو الدليل.

أين يقع مزوّد الاستضافة — وأين لا يقع

كن واضحاً بشأن الحدّ الفاصل، لأن المورّدين يطمسونه. المؤسسة العضو هي الجهة الخاضعة للرقابة. والبند 1.5 قاطع: ساما يفرض الإطار، و«المؤسسات الأعضاء مسؤولة عن تبنّيه وتطبيقه». ولا يمكن لأي مورّد أن يتحمّل هذه المسؤولية عنك. فلا يستطيع مزوّد استضافة أن يجعلك ملتزماً بالإطار، وأي مزوّد يدّعي ذلك يقول لك ما لا يسمح له الإطار بقوله.

أما ما تستطيع البنية التحتية فعله فهو إزالة عوائق محدّدة ومسمّاة:

  • موقع البيانات (3.4.3.4 (ب)(1)). الاستضافة داخل المملكة تُبقيك على مسار «من حيث المبدأ» وتجنّبك الحاجة إلى موافقة صريحة من ساما على وجود البيانات خارج المملكة. وتشغّل Skyline Cloud منطقة داخل المملكة — الدمام، مدعومة بـ Google Cloud، وهذه هي الحقيقة ذات الصلة بهذا الضابط.
  • فصل البيانات (3.4.3.4 (هـ)(1)) وحظر الاستخدام الثانوي (3.4.3.4 (ج)(1)) مسألتان تعاقديتان ومعماريتان ينبغي طرحهما كتابةً على أي مزوّد.
  • حقوق التدقيق (3.4.3.4 (ز)). اسأل قبل التوقيع عمّا إذا كان المزوّد سيمنحك تعاقدياً حق المراجعة والتدقيق والفحص. فإن رفض، فلديك فجوة في البند 3.4.3 من اليوم الأول.
  • استمرارية الأعمال (3.4.3.4 (و)(1)) يجب أن تستوفي سياستك أنت — تلك التي خرجت أهداف RTO فيها من تحليل أثر الأعمال الخاص بك.

وكل ما عدا ذلك — الحوكمة، وإدارة المخاطر، وإدارة الهوية والصلاحيات، وأدلة النضج — يبقى مسؤوليتك. وهذا ليس تحفّظاً تجارياً، بل هو ما ينص عليه البند 1.5.

الأسئلة الشائعة

هل يوجد «كتيب قواعد سحابة» صادر عن ساما؟ لا. لا توجد أداة تنظيمية سحابية مستقلة لدى ساما تحت أي مسمّى. الحوسبة السحابية هي المكوّن الفرعي 3.4.3 داخل المكوّن 3.4 أمن الأطراف الخارجية.

هل أحتاج فعلاً إلى موافقة ساما قبل استخدام خدمة سحابية عامة؟ نعم — لكن استشهد بالمرجع الصحيح. البند 3.4.3.4 (أ)(2): موافقة ساما قبل استخدام الخدمات السحابية أو توقيع العقد. وبشكل منفصل، يشترط البند 3.4.2.3 (أ) موافقة ساما قبل الإسناد الجوهري لطرف خارجي.

هل يحظر ساما تخزين البيانات خارج المملكة؟ لا. ينص البند 3.4.3.4 (ب)(1) على أنه «من حيث المبدأ» ينبغي استخدام الخدمات السحابية داخل المملكة فقط، أو — للخدمات خارج المملكة — على المؤسسة الحصول على موافقة صريحة من ساما. فهو استثناء منضبط لا حظر مطلق.

ما هدف زمن الاستعادة الذي يفرضه ساما؟ لا شيء. لا يذكر ساما رقماً. فمفاهيم RTO وRPO وMAO معرّفة في البند 1.2 من إطار BCM؛ وأنت تشتقّ قيمك عبر تحليل أثر الأعمال وتعتمدها لجنة استمرارية الأعمال (البند 2.4).

كم عدد مستويات النضج؟ ستة — من 0 إلى 5 (البند 2.4). والحد الأدنى المطلوب هو المستوى الثالث. وعلى البنوك بلوغ المستوى الرابع في المكوّنات من 3.3.14 إلى 3.3.17.

خلال كم من الوقت يجب إبلاغ ساما بحادث سيبراني؟ «فوراً»، للحوادث المصنّفة متوسطة أو عالية (البند 3.3.15، والبند 2.11 من BCM). ولا يذكر ساما عدد ساعات. كما يجب الحصول على «عدم ممانعة» من ساما قبل أي تعامل إعلامي بشأن الحادث.

هل ينطبق الإطار على شركات التقنية المالية وشركات المدفوعات؟ نعم. لا يسمّيها نص 2017، لكن كتيب قواعد ساما يطبّق الإطار على أنظمة وخدمات المدفوعات ومزوّديها، والبنوك الرقمية، وشركات الصرافة، والبيئة التنظيمية التجريبية. وينبغي على غير البنوك قراءة CRFR كذلك.

هل ما زال الإطار ينطبق على شركات التأمين؟ غير واضح من الوثيقة وحدها، وينبغي التأكد من جهتك التنظيمية. فالبند 1.4 (المكتوب في 2017) يسمّي شركات التأمين، لكن الإشراف على التأمين انتقل إلى هيئة التأمين في نوفمبر 2023، ولم يعد كتيب قواعد ساما يدرج قطاع تأمين. اسأل هيئة التأمين، لا مدوّنة.

هل توجد شهادة التزام بإطار ساما؟ لا. يُقيَّم الالتزام عبر التقييم الذاتي وفق استبيان ساما، وتراجعه ساما وتدقّقه (البند 2.3).

هل يمكن الحصول على إعفاء من ضابط معيّن؟ يوجد مسار رسمي: ضوابط تعويضية، وقبول داخلي للمخاطر، وطلب إعفاء رسمي من ساما — انظر البند 2.2 والملحق (د).


المصادر

كل رقم مكوّن، ومكوّن فرعي، ومستوى نضج، ورقم ضابط، ورقم تعميم، واقتباس، وموعد نهائي في هذه المقالة قُرئ من النص المنشور للبنك المركزي السعودي في كتيب قواعد ساما. والبنك المركزي — لا هذه الصفحة — هو المرجع.

آخر تحقّق من كتيب قواعد ساما في يوليو 2026. ولاحظ أن روابط ملفات PDF القديمة تحت sama.gov.sa/en-US/RulesInstructions/CyberSecurity/ لم تعد تقدّم الملفات؛ وكتيب القواعد هو المصدر الحي الموثوق. والأنظمة تتغيّر. وإذا تعارضت هذه الصفحة مع كتيب القواعد يوماً، فالكتيب هو الصحيح — ونودّ أن نعلم بذلك.

هذه المقالة إرشادية وليست استشارة قانونية، ولا تغني عن قراءتك للأدوات التنظيمية نفسها ولا عن التشاور مع المشرف المختص لديكم في ساما.

SKYLINE Engineering

@skyline

The engineering team at SKYLINE Industrial Solutions. We publish field-tested guides drawn from real KSA and GCC deployments.

See author profile
SKYLINE engineering services

Need this implemented for you?

Reading is free — building it right takes a team. SKYLINE engineers ship SAMA Banking Compliance for Aramco vendors, banks, hospitals and government agencies across Saudi Arabia. Talk to us before you start.

Aramco Approved Contractor ISO 9001 · ISO 27001 SAMA CSF aligned NCA ECC ready 247+ KSA clients

Comments

0 total · 0 threads
Be the first to leave a comment.