Home Knowledge base SAMA Banking Compliance إطار حوكمة تقنية المعلومات من ساما — الدليل الشامل من المصدر (ولماذا لا وجود لـ"لجنة استراتيجية تقنية المعلومات") KNOWLEDGE BASE
إطار حوكمة تقنية المعلومات من ساما — الدليل الشامل من المصدر (ولماذا لا وجود لـ"لجنة استراتيجية تقنية المعلومات")
SAMA BANKING COMPLIANCE

إطار حوكمة تقنية المعلومات من ساما — الدليل الشامل من المصدر (ولماذا لا وجود لـ"لجنة استراتيجية تقنية المعلومات")

SKYLINE Knowledge Base

ساما تفرض لجنة توجيه تقنية المعلومات (ITSC)، لا "لجنة استراتيجية تقنية المعلومات". ولا وجود لـ"39 ضابطاً" ولا لحدّ المليون ريال ولا لعدد تدقيقات مفروض. اقرأ من الكتيب التنظيمي (التعميم 43028139): 4 مجالات و35 مجالاً فرعياً.

إذا كانت وثيقة مجلس إدارتك تقول إن ساما تشترط وجود "لجنة استراتيجية تقنية المعلومات"، فلديك مشكلة. ساما لا تشترط أي جهة بهذا الاسم. اللجنة التي تفرضها ساما فعلاً هي لجنة توجيه تقنية المعلومات (ITSC) — والبنك الذي يعيد تسمية لجنته لتطابق الاختلاق لا يصبح أكثر توافقاً مع ساما، بل أقل.

هذا الخطأ وحده مثال جيد على آلية عمل التلفيق في مجال الامتثال. فالعمود الفكري يبدو صحيحاً — بالطبع تريد ساما لجنة تقنية معلومات مفوَّضة من المجلس — ويختبئ الاختلاق في التفصيلة الوحيدة التي ينسخها مسؤول الامتثال ويلصقها في وثيقة المجلس: الاسم. وإلى جانبها انتشرت ادعاءات عن "39 ضابطاً على مستوى المجلس"، وحدّ موافقة قدره "مليون ريال سعودي"، و"أربعة تقارير تدقيق لتقنية المعلومات سنوياً"، و"مراجعة 25% من الضوابط سنوياً". لا وجود لأيٍّ من ذلك.

ما يلي هو إطار حوكمة تقنية المعلومات من ساما مقروءاً مباشرة من الكتيب التنظيمي الرسمي لساما، مع رقم بند مقابل كل ادعاء. وحيثما لا تذكر ساما رقماً، يقول هذا الدليل ذلك بدلاً من توفير رقم من عنده.

الجواب في 60 ثانية

  • الأداة النظامية هي إطار حوكمة تقنية المعلومات، الصادر بالتعميم رقم 43028139، بتاريخ 29/3/1443هـ — الموافق 4/11/2021م. الحالة: ساري المفعول. نطاق التطبيق: القطاع المصرفي وشركات المعلومات الائتمانية.
  • اللجنة الحقيقية هي لجنة توجيه تقنية المعلومات (ITSC)، مفوَّضة من مجلس الإدارة (البند 3.1.1.1). ولا وجود لـ"لجنة استراتيجية تقنية المعلومات".
  • الهيكل: 4 مجالات و35 مجالاً فرعياً. ويذكر كل مجال فرعي مبدأً ومتطلبات ضبط مرقّمة.
  • الإطار قائم على المبادئ / قائم على المخاطر (البند 2.2)، مع عملية إعفاء رسمية من ساما عند تعذّر تطبيق ضابط ما.
  • نموذج النضج: 6 مستويات (0–5) (البند 2.4). ولاحظ الفجوة الأمينة أدناه — نص إطار حوكمة تقنية المعلومات لا يذكر حداً أدنى إلزامياً للمستوى كما يفعل إطار الأمن السيبراني.
  • وهو مصمَّم ليُطبَّق جنباً إلى جنب مع إطار الأمن السيبراني وإطار إدارة استمرارية الأعمال (البند 1.3) — ثلاث أدوات، لا واحدة.

ما هو إطار حوكمة تقنية المعلومات فعلاً

أنشأت ساما الإطار "لتمكين المنشآت الخاضعة لرقابة ساما ("المؤسسات الأعضاء") من تحديد المخاطر المتعلقة بتقنية المعلومات ومعالجتها بفعالية" (البند 1.1)، بثلاثة أهداف معلنة: نهج موحّد لمخاطر تقنية المعلومات، و"مستوى نضج ملائم لضوابط تقنية المعلومات"، وإدارة مخاطر تقنية المعلومات بشكل سليم عبر المؤسسة.

وهو صراحةً ساق واحدة من كرسي ثلاثي القوائم. والبند 1.3 مباشر في ذلك:

"ينبغي تطبيق الإطار بالاقتران مع إطاري الأمن السيبراني واستمرارية الأعمال من ساما على التوالي. وللاطلاع على المتطلبات المحددة المتعلقة بالأمن السيبراني واستمرارية الأعمال، يُرجى الرجوع إلى إطار الأمن السيبراني وإطار إدارة استمرارية الأعمال من ساما."

فإطار حوكمة تقنية المعلومات يحكم كيفية تشغيل تقنية المعلومات وتوجيهها. أما الضوابط السيبرانية فتقع في إطار الأمن السيبراني (التعميم 381000091275). والاستمرارية تقع في إطار إدارة استمرارية الأعمال (التعميم 381000058504). ومحاولة الوفاء بالثلاثة من وثيقة واحدة خطأ في التصنيف.

الهيكل الحقيقي: 4 مجالات و35 مجالاً فرعياً

ينص البند 2.1 على أن الإطار "مبني حول أربعة مجالات رئيسية". وإليك هي، بمجالاتها الفرعية الفعلية:

3.1 — حوكمة تقنية المعلومات والقيادة (9 مجالات فرعية) 3.1.1 حوكمة تقنية المعلومات · 3.1.2 استراتيجية تقنية المعلومات · 3.1.3 إدارة معمارية المؤسسة · 3.1.4 سياسات وإجراءات تقنية المعلومات · 3.1.5 الأدوار والمسؤوليات · 3.1.6 الالتزام التنظيمي · 3.1.7 التدقيق الداخلي لتقنية المعلومات · 3.1.8 كفاءة الموظفين والتدريب · 3.1.9 إدارة الأداء

3.2 — إدارة مخاطر تقنية المعلومات (4 مجالات فرعية) 3.2.1 إدارة مخاطر تقنية المعلومات · 3.2.2 تحديد المخاطر وتحليلها · 3.2.3 معالجة المخاطر · 3.2.4 رفع التقارير عن المخاطر ومراقبتها وتوصيفها

3.3 — إدارة العمليات (11 مجالاً فرعياً) 3.3.1 إدارة الأصول · 3.3.2 الاعتماديات المتبادلة · 3.3.3 إدارة اتفاقيات مستوى الخدمة · 3.3.4 إدارة توافر وسعة تقنية المعلومات · 3.3.5 إدارة مركز البيانات · 3.3.6 معمارية الشبكة ومراقبتها · 3.3.7 المعالجة الدفعية · 3.3.8 إدارة حوادث تقنية المعلومات · 3.3.9 إدارة المشكلات · 3.3.10 النسخ الاحتياطي وقابلية الاستعادة · 3.3.11 المحاكاة الافتراضية

3.4 — إدارة تغيير الأنظمة (11 مجالاً فرعياً) 3.4.1 حوكمة تغيير الأنظمة · 3.4.2 تحديد متطلبات التغيير واعتمادها · 3.4.3 اقتناء الأنظمة · 3.4.4 تطوير الأنظمة · 3.4.5 الاختبار · 3.4.6 المتطلبات الأمنية للتغيير · 3.4.7 إدارة إصدار التغييرات · 3.4.8 إدارة تكوين الأنظمة · 3.4.9 إدارة الرقع (Patch) · 3.4.10 إدارة مشاريع تقنية المعلومات · 3.4.11 ضمان الجودة

ولاحظ أن "استراتيجية تقنية المعلومات" (البند 3.1.2) هي مجال فرعي — أي موضوع، لا لجنة. وهذا على الأرجح مصدر اختلاق "لجنة استراتيجية تقنية المعلومات": قرأ أحدهم عنوان مجال فرعي فرقّاه إلى جهاز حوكمة.

هيكل الحوكمة الحقيقي

هذا هو الجزء الذي يستحق الضبط الدقيق، لأنه الجزء الذي اختُلق. سلسلة القيادة لدى ساما تسير مجلس الإدارة ← ITSC ← رئيس تقنية المعلومات.

مجلس الإدارة

تقول مقدمة المجال 3.1 بوضوح: "مجلس إدارة المؤسسة العضو هو المسؤول النهائي عن وضع حوكمة تقنية المعلومات وضمان إدارة مخاطر تقنية المعلومات بفعالية داخل المؤسسة. ويمكن لمجلس إدارة المؤسسة العضو تفويض مسؤوليات حوكمة تقنية المعلومات إلى الإدارة العليا أو إلى لجنة توجيه تقنية المعلومات (ITSC). ويمكن أن تكون ITSC مسؤولة عن تعريف حوكمة تقنية المعلومات ووضع استراتيجية تقنية المعلومات للمؤسسة العضو."

وبموجب البند 3.1.5.1، يكون المجلس مسؤولاً عن:

  • (أ) المسؤولية النهائية عن إرساء ممارسة حوكمة تقنية المعلومات؛
  • (ب) ضمان إرساء إطار متين لإدارة مخاطر تقنية المعلومات والحفاظ عليه؛
  • (ج) ضمان تخصيص ميزانية كافية لتقنية المعلومات؛
  • (د) اعتماد ميثاق لجنة توجيه تقنية المعلومات (ITSC)؛
  • (هـ) المصادقة — بعد اعتمادها من ITSC — على أدوار ومسؤوليات ممارسات الحوكمة والإدارة، واستراتيجية تقنية المعلومات، وسياسة تقنية المعلومات.

اقرأ الفقرة (هـ) بعناية، لأنها تقلب ما يفترضه معظم الناس: ITSC تعتمد استراتيجية تقنية المعلومات، والمجلس يصادق عليها. لا العكس.

لجنة توجيه تقنية المعلومات (ITSC)

البند 3.1.1 — أول متطلب ضبط في الإطار — لا لبس فيه: "على المؤسسات الأعضاء إنشاء ITSC وتفويضها من المجلس."

  • الرئاسة: "ينبغي أن تُرأس ITSC من قِبل مدير أول مسؤول عن عمليات المؤسسة العضو" (البند 3.1.1.2).
  • العضوية (البند 3.1.1.3): مديرون أول من جميع الإدارات ذات الصلة (مثل رئيس إدارة المخاطر CRO، ورئيس أمن المعلومات CISO، ومسؤول الالتزام، ورؤساء إدارات الأعمال المعنية)؛ ورئيس تقنية المعلومات (CIO)؛ والمراجعة الداخلية يجوز أن تحضر بصفة "مراقب".
  • الميثاق (البند 3.1.1.4): أهداف اللجنة؛ والأدوار والمسؤوليات؛ والحد الأدنى لعدد المشاركين في الاجتماع؛ وتكرار الاجتماعات (بحد أدنى ربع سنوي)؛ وتوثيق محاضر الاجتماعات والقرارات وحفظها.
  • المسؤوليات (البند 3.1.5.2): مراقبة مخاطر تقنية المعلومات ومراجعتها والتواصل بشأنها دورياً؛ واعتماد استراتيجية تقنية المعلومات وسياساتها وعمليات إدارة مخاطرها ومؤشرات الأداء (KPIs) ومؤشرات المخاطر (KRIs) الخاصة بها، والتواصل بشأنها ودعمها ومراقبتها.

رئيس تقنية المعلومات (CIO)

يشترط البند 3.1.1.5 تعيين "مدير أول متفرغ لوظيفة تقنية المعلومات، يُشار إليه بـ CIO"، على مستوى الإدارة العليا.

ثم يأتي البند 3.1.1.6، وهو التفصيلة الحقيقية الصارمة القابلة للاقتباس التي أزاحها "حدّ المليون ريال" المختلَق. على المؤسسات الأعضاء:

"(أ) ضمان أن يكون رئيس تقنية المعلومات مواطناً سعودياً؛ (ب) ضمان أن يكون مؤهلاً بشكل كافٍ؛ (ج) الحصول على خطاب عدم ممانعة مكتوب من ساما قبل تعيين رئيس تقنية المعلومات."

اشتراط جنسية وخطاب عدم ممانعة من ساما قبل تعيين رئيس تقنية المعلومات لديك. هذا التزام حقيقي، يهمّ المجلس، ويوقف عملية توظيف — وكان غائباً عن النسخة المختلَقة، التي اخترعت بدلاً منه حدّ إنفاق لم تكتبه ساما قط.

ورئيس تقنية المعلومات مسؤول (البند 3.1.5.3) عن تطوير وتنفيذ وصيانة استراتيجية تقنية المعلومات وسياستها وميزانيتها، وعن ضمان إرساء معايير وإجراءات تفصيلية لتقنية المعلومات واعتمادها وتطبيقها.

لجان حقيقية أخرى

ITSC ليست الجهة الوحيدة التي تسمّيها ساما، والجهات الأخرى تستحق المعرفة لأنها حقيقية أيضاً:

  • لجنة المراجعة (audit committee)، التي تعتمد خطة تدقيق تقنية المعلومات (البند 3.1.7.4) وتتلقى تقارير التدقيق (البند 3.1.7.8)؛
  • لجنة المخاطر (risk committee)، التي تتلقى تقارير مخاطر تقنية المعلومات (البند 3.2.4)؛
  • لجنة توجيه مشاريع تقنية المعلومات، التي "ينبغي إنشاؤها بتمثيل من فرق الأعمال والفرق التقنية المعنية" للإشراف على المشاريع (البند 3.4.10.6).

ولا واحدة منها تُسمى "لجنة استراتيجية تقنية المعلومات".

نموذج النضج

ينص البند 2.4 على أن "نموذج نضج حوكمة تقنية المعلومات يميّز 6 مستويات نضج (0 و1 و2 و3 و4 و5) … ولتحقيق المستويات 3 أو 4 أو 5، ينبغي على المؤسسات الأعضاء أولاً استيفاء جميع معايير المستويات السابقة."

المستوى الاسم
0 غير موجود
1 عشوائي
2 قابل للتكرار لكن غير رسمي
3 مُهيكل ومُوثَّق رسمياً
4 مُدار وقابل للقياس
5 متكيّف

المستوى 3 يتطلب تعريف ضوابط تقنية المعلومات واعتمادها وتطبيقها، مع مراقبة الالتزام مقابل هرم توثيق: السياسة ("لماذا")، والمعايير ("ماذا")، والإجراءات ("كيف") — ومراقبة مؤشرات الأداء (البند 2.4.1). ويجب أن تكون سياسة تقنية المعلومات "مُصادقاً عليها ومفوَّضة من المجلس". والمستوى 4 يضيف القياس الدوري لفعالية الضوابط باستخدام مؤشرات المخاطر (KRIs) (البند 2.4.2). والمستوى 5 يضيف التحسين المستمر، والتكامل مع إدارة مخاطر المؤسسة، والمراقبة الآنية، وتقييم الأداء "باستخدام بيانات الأقران والقطاع" (البند 2.4.3).

ويخضع التطبيق "لتقييم ذاتي دوري … بناءً على استبيان"، وتُراجَع التقييمات الذاتية ويُدقّقها البنك المركزي السعودي "لتحديد مستوى الالتزام بالإطار ومستوى نضج تقنية المعلومات" (البند 2.3).

فجوة أمينة: يعرض نص إطار حوكمة تقنية المعلومات المستويات الستة ويقول إن الهدف هو "مستوى نضج ملائم لضوابط تقنية المعلومات" (البند 1.1). وخلافاً لإطار الأمن السيبراني — الذي ينص على حد أدنى مطلوب لمستوى النضج — فإن نص إطار حوكمة تقنية المعلومات لا يذكر حداً أدنى إلزامياً للمستوى. فإذا قيل لك "ساما تشترط المستوى 3 في إطار حوكمة تقنية المعلومات"، فهذا الادعاء تحديداً غير مدعوم بنص الإطار، وينبغي أن تؤكد هدفك مع الجهة الرقابية لا مع مدوّنة. وهذا الدليل لن يخترع لك رقماً.

ما الذي تشترطه المجالات الثلاثة الأخرى فعلاً

معظم الملخصات تتوقف عند الحوكمة. لكن المجالات الثلاثة الأخرى تحمل الجزء الأكبر من المجالات الفرعية الخمسة والثلاثين، وتحتوي على التفاصيل التشغيلية التي سيختبرها المُقيِّم.

3.2 — إدارة مخاطر تقنية المعلومات

يجب أن تكون عملية إدارة مخاطر تقنية المعلومات "متوافقة مع عملية إدارة مخاطر المؤسسة" (البند 3.2.1.3) — فلا يُسمح لمخاطر تقنية المعلومات بأن تعيش في صومعة منفصلة. ويجب أن تغطي عمليات الأعمال وبياناتها، وتطبيقات الأعمال، ومكوّنات البنية التحتية، وعلاقات الأطراف الثالثة والمخاطر المرتبطة بها (البند 3.2.1.5)، إضافةً إلى البُعد البشري بما يشمل المتعاقدين والأطراف الثالثة (البند 3.2.1.6). ويجب تقييم جميع أصول المعلومات الحرجة وبالغة الحرجية مرة واحدة سنوياً على الأقل (البند 3.2.1). ويُرفع ملف مخاطر تقنية المعلومات "إلى الإدارة العليا ولجنة توجيه تقنية المعلومات ومجلس الإدارة" (البند 3.2.4).

3.3 — إدارة العمليات

هنا تلتقي قرارات البنية التحتية بالإطار:

  • البند 3.3.5 — إدارة مركز البيانات. يجب تعريف الضوابط المادية والبيئية واعتمادها وتطبيقها ومراقبتها وتقييمها دورياً — بما في ذلك أن يكون الدخول "مضبوطاً بصرامة ويُمنح على أساس الحاجة إلى المعرفة"، وتسجيل دخول الزوار ومرافقتهم، وكواشف الدخان، وأجهزة إنذار الحريق، وطفايات الحريق، والتحكم في الرطوبة، ومراقبة درجة الحرارة، وكاميرات المراقبة (البند 3.3.5.3). والأهم، البند 3.3.5.4: "يجب أن يمتثل تعهيد مركز البيانات للمتطلبات المنشورة في تعاميم ساما بشأن قواعد التعهيد وإطار الأمن السيبراني" — أي قواعد التعهيد (التعميم 41027017، بتاريخ 18/4/1441هـ — الموافق 15/12/2019م) وإطار الأمن السيبراني. كما تُشترط حالة عمل موثَّقة لتعهيد مركز البيانات، مع تحديد طبيعة ونوع وصول مزوّد الخدمة (البند 3.3.5.5).
  • البند 3.3.4 — إدارة التوافر والسعة. خطة توافر وسعة تغطي السعة القائمة، والتوافق مع احتياجات الأعمال الحالية والمستقبلية، ومتطلبات التوافر العالي بما فيها الانقطاع والبطء في قنوات العملاء، و"تحديد الاعتماديات على مزوّدي الخدمات ضمن تخطيط السعة لتلبية متطلبات استمرارية الأعمال".
  • البند 3.3.6 — معمارية الشبكة ومراقبتها. الاحتفاظ بالسجلات: 12 شهراً كحد أدنى. أحد الأرقام الصارمة القليلة في الإطار.
  • البند 3.3.8 — إدارة حوادث تقنية المعلومات. توجد العملية جزئياً من أجل "إبلاغ ساما بالحوادث ذات الصلة، وفق بروتوكول تواصل محدد". ويجب أن تغطي فريقاً مخصصاً للحوادث، وترتيب الأولويات والتصنيف، والمعالجة في الوقت المناسب، وحماية الأدلة والسجلات، وتحليل الأسباب الجذرية، والدروس المستفادة (البند 3.3.8.3).
  • البند 3.3.10 — النسخ الاحتياطي وقابلية الاستعادة. يجب أن تراعي سياسة إدارة النسخ الاحتياطي "التوافق مع إطار إدارة استمرارية الأعمال من ساما" (البند 3.3.10.2-أ)، وأن تُحدَّد متطلبات النسخ والاستعادة بما يتماشى مع "هدف نقطة التعافي المتفق عليه" (البند 3.3.10.5-ب). لاحظ كلمة المتفق عليه — فإطار حوكمة تقنية المعلومات، شأنه شأن إطار استمرارية الأعمال، يعامل RPO كرقم أنت تشتقّه وتتفق عليه. إطاران منفصلان من ساما يمتنعان عن ذكر قيمة لـ RPO. وهذا ليس سهواً، بل هو التصميم.
  • البند 3.3.1 — إدارة الأصول. سجل أصول يُحفظ ويُحدَّث سنوياً، أو عند إدخال أي أصل أو إخراجه.

3.4 — إدارة تغيير الأنظمة

أحد عشر مجالاً فرعياً، من حوكمة التغيير إلى الاقتناء والتطوير والاختبار والإصدار والتكوين، وإدارة الرقع (البند 3.4.9 — تُقيَّم الرقع لأثرها "بما في ذلك الأمن السيبراني" قبل الإنتاج، وتُختبر في بيئة اختبار منفصلة أولاً، وتُنشر عبر إدارة تغيير رسمية، مع إبلاغ نافذة النشر مسبقاً ويُفضَّل في الأوقات غير المزدحمة وغير المجمَّدة)، وإدارة مشاريع تقنية المعلومات (البند 3.4.10 — ومنه لجنة توجيه مشاريع تقنية المعلومات في البند 3.4.10.6)، وضمان الجودة.

3.1.6 — الالتزام التنظيمي

يستحق الإفراد: عليك تشغيل عملية لضمان الامتثال للمتطلبات التنظيمية المتعلقة بتقنية المعلومات، تُنفَّذ "دورياً أو عند سريان متطلبات تنظيمية جديدة"، والاحتفاظ بسجل محدَّث لجميع المتطلبات القانونية والتنظيمية والتعاقدية ذات الصلة، وأثرها والإجراءات المطلوبة (البند 3.1.6.1). وهذا السجل هو الموطن الطبيعي لأرقام التعاميم الواردة في هذه المقالة — وهو أيضاً الموضع الطبيعي الذي كان يُفترض أن يُكتشف فيه "كتيب ساما السحابي" المختلَق أو عدد الضوابط المخترَع.

أشياء لا وجود لها

❌ "لجنة استراتيجية تقنية المعلومات"

لا وجود لهذه اللجنة في الإطار. الجهة التي تفرضها ساما هي لجنة توجيه تقنية المعلومات (ITSC) (البند 3.1.1.1، ومذكورة بالاسم الكامل في البند 3.1.5.1(د): "اعتماد ميثاق لجنة توجيه تقنية المعلومات (ITSC)"). أما "استراتيجية تقنية المعلومات" فهي المجال الفرعي 3.1.2 — مجال موضوعي. وإعادة تسمية ITSC حقيقية لتطابق اسماً مختلَقاً ستجعل وثائق حوكمتك تنحرف عن الإطار الذي تُقيَّم مقابله.

❌ "39 ضابطاً على مستوى المجلس"

ساما لا تنشر عدداً إجمالياً للضوابط في إطار حوكمة تقنية المعلومات. الإطار 4 مجالات و35 مجالاً فرعياً؛ ويحمل كل مجال فرعي مبدأً إضافةً إلى متطلبات ضبط مرقّمة خاصة به. لا وجود لرقم "39"، ولا وجود لفئة منفصلة اسمها "ضوابط على مستوى المجلس". (للمقارنة: البند 3.1.1 وحده يحتوي على 13 متطلب ضبط.)

❌ حدّ موافقة قدره "مليون ريال سعودي"

لا يرد أي حدّ مالي من أي نوع في إطار حوكمة تقنية المعلومات. لا مليون ريال ولا أي رقم. يشترط البند 3.1.1.7 "ممارسات رسمية للأنشطة المالية المتعلقة بتقنية المعلومات تغطي الميزانية والتكلفة وترتيب أولويات الإنفاق بما يتوافق مع الأهداف الاستراتيجية لتقنية المعلومات"، ويشترط البند 3.1.1.8 مراقبة ميزانية تقنية المعلومات ومراجعتها دورياً وتعديلها. أنت من يضع الحدود؛ ساما لا تفعل.

❌ "أربعة تقارير تدقيق سنوياً" و"25% من الضوابط سنوياً"

كلاهما مختلَق، وكلاهما يناقض النص الفعلي. البند 3.1.7 يفوّض التكرار إليك صراحةً: "على المؤسسات الأعضاء إرساء دورة تدقيق تحدد تكرار عمليات تدقيق تقنية المعلومات" (البند 3.1.7.2)، و"ينبغي أن يكون تكرار تدقيق تقنية المعلومات متوافقاً مع حرجية ومخاطر النظام أو العملية" (البند 3.1.7.5). وتُعتمد خطة التدقيق من لجنة المراجعة (البند 3.1.7.4)، وتُقدَّم تقارير التدقيق إلى لجنة المراجعة على أساس دوري (البند 3.1.7.8-ج).

ساما لا تذكر رقماً هنا، عن قصد — فهو إطار قائم على المخاطر (البند 2.2). والبنك الذي يرفع تقريراً بـ"أربع عمليات تدقيق سنوياً" لأن مدوّنةً قالت ذلك، يكون قد استبدل مقياساً شكلياً بالمواءمة مع المخاطر التي تطلبها ساما فعلاً.

✅ الأرقام الحقيقية الموجودة

الإطار شحيح بالأرقام، وهذا بالضبط ما يجعل القليل الذي يذكره جديراً بالمعرفة:

  • ITSC تجتمع بحد أدنى ربع سنوي (البند 3.1.1.4-د).
  • يجب أن يكون رئيس تقنية المعلومات مواطناً سعودياً، ويلزم خطاب عدم ممانعة مكتوب من ساما قبل تعيينه (البند 3.1.1.6).
  • الاحتفاظ بالسجلات: 12 شهراً كحد أدنى (البند 3.3.6).
  • تقييم جميع أصول المعلومات الحرجة وبالغة الحرجية مرة واحدة سنوياً على الأقل (البند 3.2.1).
  • سجل الأصول يُحدَّث سنوياً، أو عند إدخال أي أصل أو إخراجه من الجرد (البند 3.3.1).
  • 6 مستويات نضج، من 0 إلى 5 (البند 2.4).

هذه تقريباً هي القائمة الكاملة للأرقام الصارمة في الإطار. وإذا اقتبس لك أحدهم رقماً من إطار ساما لحوكمة تقنية المعلومات ليس في هذه القائمة، فاطلب منه رقم البند.

ما لا تخبرك به ساما

  • لا حد أدنى إلزامي لمستوى النضج مذكور في نص الإطار (انظر أعلاه).
  • لا عدد إجمالي للضوابط، ولا صيغة معرّفات n-n-n — فالضوابط مرقّمة داخل مجالها الفرعي (مثل البند 3.1.1.6).
  • لا حدود مالية للموافقات.
  • لا تكرار محدد لتدقيق تقنية المعلومات — وهو صراحةً قرارك، متوافقاً مع المخاطر (البندان 3.1.7.2 و3.1.7.5).
  • لا هيكل تنظيمي مفروض بخلاف ITSC، ودور رئيس تقنية المعلومات، ودور مهندس تطبيقات المؤسسة (البند 3.1.1.11)، واشتراط أن تكون أدوار تقنية المعلومات موثّقة ومعتمدة ومفصولة لتفادي تضارب المصالح (البند 3.1.1.12).

من أين تبدأ

  1. اقرأ الكتيب التنظيمي، لا ملخصاً — بما في ذلك هذا الملخص. كل رقم بند أعلاه قابل للتحقق.
  2. راجع اسم لجنتك وميثاقها. إذا كانت وثائقك تقول "لجنة استراتيجية تقنية المعلومات"، فصحّحها: جهة ساما هي ITSC، مفوَّضة من المجلس، يرأسها المدير الأول المسؤول عن العمليات، بحد أدنى ربع سنوي، مع المراجعة الداخلية بصفة مراقب.
  3. راجع سلسلة الاعتماد. ITSC تعتمد استراتيجية وسياسة تقنية المعلومات؛ والمجلس يصادق (البند 3.1.5.1-هـ). وإذا أظهرت أوراقك العكس، فهي منحرفة عن الإطار.
  4. راجع أوراق رئيس تقنية المعلومات لديك (البند 3.1.1.6): مواطن سعودي؛ وخطاب عدم ممانعة مكتوب من ساما قبل التعيين. هذا البند يوقف عملية توظيف، فيستحق التأكد منه قبل إطلاق بحث عن مرشح.
  5. ابنِ هرم التوثيق — سياسة، معايير، إجراءات — مع مؤشرات أداء، ثم مؤشرات مخاطر (البندان 2.4.1 و2.4.2).
  6. ضع دورة التدقيق الخاصة بك، متوافقة مع المخاطر، ومعتمدة من لجنة المراجعة (البند 3.1.7).

أين يقع مزوّد الاستضافة — وأين لا يقع

حوكمة تقنية المعلومات ليست شيئاً يبيعه لك مورّد. إنها تفويض من مجلس، ولجنة بميثاق، ورئيس تقنية معلومات بخطاب عدم ممانعة من ساما، وهرم توثيق، ودورة تدقيق. لا توجد عملية شراء بنية تحتية ترفع مستوى نضجك في إطار حوكمة تقنية المعلومات. وأي مزوّد يوحي بغير ذلك يفعل ما فعلته الضوابط المختلَقة تماماً: يقدّم دقةً مريحة بدل الدقة الصحيحة.

نعم، تمسّ البنية التحتية مباشرةً حفنةً من مجالات إدارة العمليات — إدارة مركز البيانات (البند 3.3.5)، والتوافر والسعة (البند 3.3.4)، ومعمارية الشبكة ومراقبتها بما فيها الاحتفاظ بالسجلات 12 شهراً (البند 3.3.6)، والنسخ الاحتياطي وقابلية الاستعادة (البند 3.3.10). وهذه مواضع يهمّ فيها فعلاً أين تعمل أحمالك.

تُشغّل Skyline Cloud منطقة داخل المملكة — الدمام، مدعومة بـ Google Cloud، وهو ما يُبقي البيانات داخل السعودية ويقدّم إجابة مباشرة عن سؤال موقع البيانات الذي تثيره كل مراجعة لحوكمة تقنية المعلومات وللأطراف الثالثة. وبالنسبة لمؤسسة عضو خاضعة لساما، فهي مُدخَل لضوابط المجال 3.3 لديك ولا شيء أكثر من ذلك — وعمل الحوكمة في المجال 3.1 يبقى مسؤوليتك. أما للشريحة الأكبر بكثير من المنشآت السعودية التي تريد انضباطاً بمستوى إطار حوكمة تقنية المعلومات دون أن تكون خاضعة لساما، فهي منطقة محلية مُدارة جيداً يمكنك تجربتها مجاناً 14 يوماً وتقييمها بأدلتك الخاصة.

الأسئلة الشائعة

هل تشترط ساما وجود "لجنة استراتيجية تقنية المعلومات"؟

لا. هذه اللجنة لا وجود لها في إطار حوكمة تقنية المعلومات من ساما. ساما تفرض لجنة توجيه تقنية المعلومات (ITSC)، تُنشئها المؤسسة العضو ويفوّضها المجلس (البند 3.1.1.1)، وتُسمّى بالكامل في البند 3.1.5.1(د). أما "استراتيجية تقنية المعلومات" فهي مجال فرعي (البند 3.1.2)، لا لجنة. وإذا سمّت وثائق حوكمتك "لجنة استراتيجية تقنية المعلومات"، فهي تصف جهة لم تطلبها ساما قط.

كم عدد الضوابط في إطار حوكمة تقنية المعلومات من ساما؟

ساما لا تنشر عدداً إجمالياً. الإطار يضم 4 مجالات و35 مجالاً فرعياً (البند 2.1)، ويحمل كل مجال فرعي مبدأً إضافةً إلى متطلبات ضبط مرقّمة خاصة به. أما "39 ضابطاً على مستوى المجلس" المتداولة فهي اختلاق؛ لا وجود لهذا العدد ولا لهذه الفئة.

من يرأس ITSC، وكم مرة تجتمع؟

"ينبغي أن تُرأس ITSC من قِبل مدير أول مسؤول عن عمليات المؤسسة العضو" (البند 3.1.1.2)، ويجب أن يحدد ميثاقها تكرار اجتماعات بحد أدنى ربع سنوي (البند 3.1.1.4-د). وتشمل العضوية رئيس إدارة المخاطر ورئيس أمن المعلومات ومسؤول الالتزام ورؤساء إدارات الأعمال المعنية ورئيس تقنية المعلومات، مع حضور المراجعة الداخلية بصفة مراقب (البند 3.1.1.3).

هل تشترط ساما أن يكون رئيس تقنية المعلومات سعودي الجنسية؟

نعم. يشترط البند 3.1.1.6 على المؤسسات الأعضاء ضمان أن يكون رئيس تقنية المعلومات مواطناً سعودياً، وأن يكون مؤهلاً بشكل كافٍ، والحصول على خطاب عدم ممانعة مكتوب من ساما قبل تعيينه. وهذا من الالتزامات القليلة الصارمة على المستوى الشخصي في الإطار.

هل يوجد حدّ موافقة قدره مليون ريال للإنفاق على تقنية المعلومات لدى ساما؟

لا. لا يرد أي حدّ مالي في أي موضع من إطار حوكمة تقنية المعلومات. تشترط ساما ممارسات مالية رسمية تغطي الميزانية والتكلفة وترتيب أولويات الإنفاق (البند 3.1.1.7) ومراقبة دورية للميزانية (البند 3.1.1.8) — أما الحدود فأنت من يضعها.

كم عملية تدقيق لتقنية المعلومات سنوياً تشترطها ساما؟

ساما لا تذكر رقماً. يشترط البند 3.1.7.2 أن "تُرسي دورة تدقيق تحدد تكرار عمليات تدقيق تقنية المعلومات"، ويشترط البند 3.1.7.5 أن يكون ذلك التكرار "متوافقاً مع حرجية ومخاطر النظام أو العملية". وتُعتمد خطة التدقيق من لجنة المراجعة لديك (البند 3.1.7.4). أما ادعاءات "أربعة تقارير تدقيق سنوياً" أو "25% من الضوابط سنوياً" فليست في الإطار.

ما مستوى النضج الذي تشترطه ساما في إطار حوكمة تقنية المعلومات؟

يعرّف الإطار ستة مستويات نضج من 0 إلى 5 (البند 2.4)، ويذكر الهدف بأنه "مستوى نضج ملائم لضوابط تقنية المعلومات" (البند 1.1) — لكن نص الإطار لا يذكر حداً أدنى إلزامياً كما يفعل إطار الأمن السيبراني. وتحدد ساما مستواك عبر استبيان تقييم ذاتي تراجعه وتدققه (البند 2.3). أكّد هدفك مع الجهة الرقابية، لا مع ملخص ثانوي.

ما العلاقة بين أطر حوكمة تقنية المعلومات والأمن السيبراني واستمرارية الأعمال؟

هي ثلاثة تعاميم منفصلة سارية المفعول، ويُقصد تطبيقها معاً. ينص البند 1.3 من إطار حوكمة تقنية المعلومات على أنه "ينبغي تطبيقه بالاقتران مع إطاري الأمن السيبراني واستمرارية الأعمال من ساما على التوالي". حوكمة تقنية المعلومات هي التعميم 43028139؛ وإطار الأمن السيبراني هو التعميم 381000091275؛ وإطار إدارة استمرارية الأعمال هو التعميم 381000058504.

كيف تتحقق من أي ادعاء يخص ساما في خمس دقائق

بقيت الاختلاقات الموصوفة أعلاه حيّة في السوق السعودي زمناً طويلاً لأن أحداً تقريباً لا يتحقق. والتحقق سريع فعلاً. وهذه هي المنهجية كاملةً.

  1. اذهب إلى rulebook.sama.gov.sa. هذا هو الكتيب التنظيمي الرسمي لساما والمرجع الحيّ. ولاحظ أن روابط PDF القديمة على sama.gov.sa/.../*.pdf لم تعد تقدّم ملفات PDF — بل تُعيد صفحة HTML فارغة. فإذا استشهد مصدرٌ بأحد روابط PDF تلك كدليل، فذلك المصدر لم يفتحها هو الآخر.
  2. جد الأداة النظامية واقرأ ترويستها. كل صفحة في الكتيب تحمل رقم التعميم، والتاريخين الهجري والميلادي، وحقل الحالة. فإن لم تكن الحالة ساري المفعول، توقّف. وإن كانت الوثيقة التي يسمّيها مصدرك غير موجودة في الكتيب أصلاً — كما هي حال "كتيب ساما السحابي" الأسطوري — توقّف.
  3. انتقل إلى رقم البند الذي يستشهد به مصدرك. الاستشهاد الحقيقي يقود إلى صفحة حقيقية. أما المختلَق فلا يقود إلى شيء، أو يقود إلى بند يتحدث عن موضوع آخر تماماً. هذه الخطوة وحدها تقتل معظم الاختلاقات.
  4. ابحث في النص عن الرقم. إذا ادّعى أحدهم أن ساما تفرض س، فينبغي أن ترد س في نص ساما. ابحث عن كلمة "tier". ابحث عن "15 دقيقة". ابحث عن "ريال". فإن لم يكن الرقم موجوداً، فساما لم تقله. الجهة التنظيمية التي تريد رقماً كانت لتكتب الرقم.
  5. كن صارماً بالقدر نفسه تجاه الغياب. أصعب انضباط هو أن تكتب "ساما لا تذكر رقماً هنا" بدلاً من تقديم رقم معقول المظهر. وكل اختلاق في تدقيق 2026 كان، بطريقته، امتناعاً من أحدهم عن كتابة تلك الجملة.

لا تقبل أبداً معرّف ضابط أو اسم لجنة أو حداً أو موعداً نهائياً من مدوّنة استشارية أو عرض مورّد أو ملف تسويقي لإحدى شركات المحاسبة الكبرى أو منشور على LinkedIn. فمن هناك جاءت الاختلاقات. استخدمها، على الأكثر، للعثور على رابط المصدر الأولي — ثم اذهب واقرأه.

المصادر

مأخوذة من الكتيب التنظيمي الرسمي لساما على الإنترنت، وهو المرجع الحيّ. أما روابط ملفات PDF القديمة على sama.gov.sa فلم تعد تقدّم الوثائق.

هذا الدليل قراءة في المصدر الأولي، وليس استشارة تنظيمية. النص المُلزِم هو النسخة الحالية في الكتيب التنظيمي لساما. وإذا تعارضت أي عبارة هنا معه، فالكتيب هو المرجع — ونودّ أن نعرف بذلك.

SKYLINE Engineering

@skyline

The engineering team at SKYLINE Industrial Solutions. We publish field-tested guides drawn from real KSA and GCC deployments.

See author profile
SKYLINE engineering services

Need this implemented for you?

Reading is free — building it right takes a team. SKYLINE engineers ship SAMA Banking Compliance for Aramco vendors, banks, hospitals and government agencies across Saudi Arabia. Talk to us before you start.

Aramco Approved Contractor ISO 9001 · ISO 27001 SAMA CSF aligned NCA ECC ready 247+ KSA clients

Comments

0 total · 0 threads
Be the first to leave a comment.