سامي
سامي الغامدي
مستشار Fyntralink · متاح الآن
مدعوم بالذكاء الاصطناعي · Fyntralink
0536890919 info@fyntralink.com

درس 19: إعداد مؤسستك لمراجعة SAMA — قائمة تحقق عملية

المسار 2: الامتثال التنظيمي السعودي — الدرس 9 من 10. قائمة تحقق شاملة لإعداد مؤسستك المالية لاجتياز مراجعة SAMA CSCC بنجاح.

F
FyntraLink Team
المسار 2: الامتثال التنظيمي السعودي الدرس 9 من 10 المستوى: متقدم مدة القراءة: 12 دقيقة

ماذا ستتعلم في هذا الدرس

  • الجدول الزمني المثالي للاستعداد لمراجعة SAMA CSCC وتوزيع المهام
  • قائمة التحقق التفصيلية لكل مجال من مجالات الإطار: الحوكمة، الحماية، الصمود، خدمات الطرف الثالث
  • كيفية تجهيز الأدلة والوثائق التي يطلبها فريق المراجعة
  • الأخطاء التي تتسبب في ملاحظات سلبية وكيف تتفاداها قبل يوم المراجعة

لماذا تفشل مؤسسات في مراجعة SAMA من أول مرة؟

السبب الأول ليس ضعف الضوابط التقنية — بل غياب التوثيق المنظم. فريق مراجعة SAMA لا يكتفي بسؤال "هل لديكم جدار ناري؟" بل يطلب رؤية السياسة المكتوبة، سجل التغييرات، تقارير المراجعة الدورية، وإثبات أن الموظفين المعنيين يعرفون هذه السياسة ويطبقونها. المؤسسة التي تملك ضوابط قوية بدون توثيق تبدو في عين المراجع كمؤسسة بدون ضوابط.

السبب الثاني هو الاستعداد المتأخر. بعض المؤسسات تبدأ التحضير قبل أسبوعين من موعد المراجعة، وهذا بالكاد يكفي لجمع الوثائق الموجودة — فكيف بمعالجة الثغرات؟ الاستعداد الفعّال يبدأ قبل 12 أسبوعًا على الأقل، ويتطلب خطة مرحلية واضحة.

الجدول الزمني: 12 أسبوعًا للاستعداد

قسّم فترة الاستعداد إلى ثلاث مراحل رئيسية. المرحلة الأولى (الأسابيع 1-4) هي مرحلة التقييم الذاتي: أجرِ مسحًا داخليًا شاملًا مقابل كل ضابط في إطار SAMA CSCC، وصنّف كل ضابط إلى "ممتثل بالكامل" أو "ممتثل جزئيًا" أو "غير ممتثل". استخدم نفس منهجية التقييم التي يستخدمها فريق SAMA — مقياس النضج من المستوى 1 إلى 5 — حتى تحصل على صورة واقعية.

المرحلة الثانية (الأسابيع 5-9) هي مرحلة المعالجة: ركّز على الضوابط المصنفة "غير ممتثل" أولًا ثم "ممتثل جزئيًا". رتّب الأولويات حسب مستوى الخطورة وتأثير عدم الامتثال. المرحلة الثالثة (الأسابيع 10-12) هي مرحلة التوثيق النهائي والمحاكاة: راجع كل دليل وتأكد من اكتماله، ثم أجرِ مراجعة تجريبية داخلية (Mock Audit) تحاكي سيناريو المراجعة الحقيقي.

مثال عملي: شركة تقنية مالية (Fintech) مرخصة من SAMA كانت تملك نظام SIEM متقدمًا لكنها لم توثّق إجراءات التصعيد (Escalation Procedures) عند اكتشاف حادثة. في المراجعة التجريبية، اكتُشف أن فريق SOC يعرف الإجراءات شفهيًا لكن لا يوجد مستند رسمي معتمد. تم إنشاء الوثيقة واعتمادها من CISO خلال مرحلة المعالجة، وعند المراجعة الرسمية لم تُسجَّل أي ملاحظة على هذا الضابط.

قائمة التحقق حسب مجالات SAMA CSCC

1. الحوكمة والامتثال (Cyber Security Governance)

هذا المجال هو أول ما يبدأ به فريق المراجعة عادةً. تحقق من وجود: سياسة أمن المعلومات الرئيسية (Information Security Policy) معتمدة من الإدارة العليا ومحدّثة خلال آخر 12 شهرًا. هيكل حوكمة واضح يحدد أدوار ومسؤوليات الأمن السيبراني — من مجلس الإدارة إلى الفرق التشغيلية. محاضر اجتماعات لجنة أمن المعلومات لآخر 4 اجتماعات على الأقل تُظهر متابعة القرارات والمخاطر. سجل المخاطر السيبرانية (Cyber Risk Register) محدّث ومربوط بسجل المخاطر المؤسسي. خطة التدريب والتوعية السنوية مع إثبات تنفيذها (سجلات حضور، نتائج اختبارات التصيد).

2. إدارة الأصول والهوية (Cyber Security Asset & Identity Management)

تأكد من وجود جرد شامل ومحدّث لجميع الأصول المعلوماتية (Asset Inventory) يشمل: الخوادم، محطات العمل، أجهزة الشبكة، التطبيقات، وقواعد البيانات. كل أصل يجب أن يكون له مالك (Asset Owner) محدد ومستوى تصنيف (Classification Level). تحقق من تطبيق مبدأ الصلاحيات الأدنى (Least Privilege) مع مراجعة دورية للصلاحيات — SAMA تتوقع مراجعة ربع سنوية على الأقل. تأكد من تفعيل المصادقة متعددة العوامل (MFA) لجميع الوصول عن بُعد وللأنظمة الحساسة.

3. الحماية التقنية (Cyber Security Technology)

راجع ضوابط الحماية التقنية وتأكد من توثيق إعداداتها. لكل ضابط تقني، يجب أن يتوفر: معيار الإعداد الآمن (Hardening Baseline) الموثّق، دليل على تطبيقه (مخرجات أدوات الفحص)، وإجراء المراجعة الدورية. تشمل الضوابط الأساسية: إدارة الثغرات (Vulnerability Management) مع إثبات معالجة الثغرات الحرجة خلال الإطار الزمني المحدد في السياسة، إدارة التحديثات (Patch Management) مع سجل يوضح نسبة التغطية والاستثناءات المعتمدة، حماية نقاط النهاية (Endpoint Protection) مع تقارير تُثبت تحديث التواقيع والتغطية الشاملة.

# مثال: التحقق من تغطية حماية نقاط النهاية
# استخرج قائمة الأجهزة من Active Directory
Get-ADComputer -Filter * -Properties OperatingSystem | 
  Select-Object Name, OperatingSystem | 
  Export-Csv -Path "AD_Computers.csv" -NoTypeInformation

# قارنها بقائمة الأجهزة المسجلة في EDR
# أي جهاز موجود في AD وغير موجود في EDR = ثغرة في التغطية
# هذا التقرير يجب تقديمه كدليل على ضابط إدارة الأصول وحماية نقاط النهاية

4. الصمود السيبراني (Cyber Security Resilience)

تحقق من وجود خطة استجابة للحوادث (Incident Response Plan) محدّثة ومُختبرة. SAMA تتوقع إجراء تمرين محاكاة (Tabletop Exercise) مرة واحدة سنويًا على الأقل — احتفظ بمحاضر التمرين ونتائجه والدروس المستفادة. تأكد من وجود خطة استمرارية الأعمال (BCP) وخطة التعافي من الكوارث (DRP) مع إثبات اختبارهما. راجع إجراءات النسخ الاحتياطي: هل تُجرى وفق الجدول المحدد؟ هل تُختبر عملية الاستعادة دوريًا؟ هل توجد نسخ خارج الموقع (Offsite Backup)؟

5. خدمات الطرف الثالث (Third Party Cyber Security)

هذا المجال يُفاجئ كثيرًا من المؤسسات. تحقق من وجود: سجل بجميع مزودي الخدمات الذين يصلون إلى بيانات أو أنظمة المؤسسة، تقييم مخاطر موثّق لكل مزود خدمة حرج، بنود أمن المعلومات في العقود (Right to Audit, SLA for incidents, Data Protection clauses)، وآلية مراقبة مستمرة لمستوى الأمان لدى المزودين.

تجهيز غرفة الأدلة (Evidence Room)

أنشئ مجلدًا مركزيًا — سواء على SharePoint أو مجلد شبكي مشترك — يحتوي على كل الأدلة مرتبة حسب رقم الضابط في إطار SAMA CSCC. سمِّ كل مجلد برقم الضابط واسمه المختصر، مثل: 3.1.1_InfoSec_Policy أو 4.2.3_Vulnerability_Management. داخل كل مجلد ضع: الوثيقة الرئيسية (السياسة أو الإجراء)، أدلة التطبيق (لقطات شاشة، تقارير، سجلات)، وسجل المراجعة (متى آخر تحديث ومن اعتمده).

جهّز فهرسًا رئيسيًا (Evidence Index) بصيغة جدول يربط كل ضابط بالأدلة المتوفرة وموقعها. هذا يُسهّل على فريق المراجعة الوصول لما يحتاجه بسرعة — وهو بحد ذاته دليل على نضج برنامج الأمن السيبراني لديكم.

# هيكل مجلد الأدلة المقترح
SAMA_CSCC_Evidence/
├── 01_Governance/
│   ├── 1.1_Security_Policy_v3.2_Approved.pdf
│   ├── 1.2_Committee_Minutes_Q1_2026.pdf
│   ├── 1.3_Risk_Register_March2026.xlsx
│   └── 1.4_Training_Records_2025-2026.xlsx
├── 02_Asset_Management/
│   ├── 2.1_Asset_Inventory_March2026.xlsx
│   ├── 2.2_Access_Review_Q1_2026.pdf
│   └── 2.3_MFA_Coverage_Report.pdf
├── 03_Technology/
│   ├── 3.1_Hardening_Baselines/
│   ├── 3.2_Vulnerability_Scan_Reports/
│   ├── 3.3_Patch_Management_Dashboard.pdf
│   └── 3.4_EDR_Coverage_Report.pdf
├── 04_Resilience/
│   ├── 4.1_Incident_Response_Plan_v2.1.pdf
│   ├── 4.2_Tabletop_Exercise_Report_2026.pdf
│   ├── 4.3_BCP_DRP_Test_Results.pdf
│   └── 4.4_Backup_Restore_Test_Log.xlsx
├── 05_Third_Party/
│   ├── 5.1_Vendor_Register.xlsx
│   ├── 5.2_Vendor_Risk_Assessments/
│   └── 5.3_Contract_Security_Clauses/
└── Evidence_Index.xlsx

المراجعة التجريبية: محاكاة يوم التدقيق

قبل 2-3 أسابيع من المراجعة الرسمية، أجرِ مراجعة تجريبية داخلية أو بمساعدة مستشار خارجي. المراجعة التجريبية تحقق ثلاثة أهداف: أولًا، اكتشاف الثغرات المتبقية في التوثيق أو التطبيق. ثانيًا، تدريب الفريق على الإجابة عن أسئلة المراجعين بثقة ودقة. ثالثًا، تقليل التوتر يوم المراجعة الفعلي لأن الفريق سيكون قد مرّ بتجربة مشابهة.

خلال المحاكاة، عيّن شخصًا يلعب دور المراجع ويطرح أسئلة مثل: "أرني سياسة إدارة الثغرات"، "كيف تتعاملون مع ثغرة حرجة تُكتشف يوم الجمعة مساءً؟"، "من يملك صلاحية إيقاف نظام الإنتاج في حالة حادثة؟". سجّل كل سؤال لم يُجَب عليه بشكل مُرضٍ وعالجه فورًا.

الربط بالواقع السعودي

مراجعة SAMA CSCC ليست اختيارية — كل مؤسسة مالية مرخصة من البنك المركزي السعودي ملزمة بها. نتائج المراجعة تؤثر مباشرة على تصنيف المؤسسة لدى SAMA وقد تؤثر على قراراتها التنظيمية كمنح تراخيص جديدة أو الموافقة على منتجات. المؤسسات التي تحقق مستويات نضج عالية تبني ثقة أكبر مع الجهة الرقابية وتُسرّع إجراءاتها التنظيمية. كما أن متطلبات SAMA تتقاطع بشكل كبير مع ضوابط NCA ECC، فالاستعداد الجيد لمراجعة SAMA يعني تقدمًا كبيرًا في الامتثال لمتطلبات NCA أيضًا.

أخطاء شائعة يجب تجنبها

  • الاعتماد على وثائق قديمة: سياسة معتمدة عام 2022 ولم تُحدَّث تعني أن المؤسسة لا تراجع سياساتها دوريًا. يجب أن تكون كل سياسة محدّثة خلال آخر 12 شهرًا مع تاريخ المراجعة واسم المعتمِد واضحين.
  • عدم تدريب الفريق على المقابلات: فريق المراجعة يُجري مقابلات مع موظفين من مختلف المستويات. إذا سُئل مدير تقنية المعلومات عن خطة الاستجابة للحوادث ولم يستطع شرحها، فهذا يُعدّ عدم امتثال حتى لو كانت الخطة مكتوبة ومعتمدة. درّب كل شخص على دوره في الضوابط التي تخصه.
  • إخفاء الثغرات بدلًا من توثيق خطة علاجها: المراجعون يقدّرون الشفافية. إذا وُجدت ثغرة لم تُعالج بعد، قدّم خطة علاج (Remediation Plan) بجدول زمني واضح ومسؤول محدد. هذا أفضل بكثير من محاولة إخفاء الموضوع أو الادعاء بامتثال كامل غير حقيقي.

ملخص الدرس

  • ابدأ الاستعداد قبل 12 أسبوعًا على الأقل من موعد المراجعة: تقييم ذاتي (4 أسابيع) → معالجة (5 أسابيع) → توثيق نهائي ومحاكاة (3 أسابيع).
  • التوثيق المنظم هو مفتاح النجاح — أنشئ غرفة أدلة مرتبة حسب ضوابط SAMA CSCC مع فهرس رئيسي يربط كل ضابط بأدلته.
  • أجرِ مراجعة تجريبية داخلية قبل الموعد الرسمي لاكتشاف الثغرات وتدريب الفريق على المقابلات والإجابة بثقة.

الدرس القادم

في الدرس التالي سنتناول: بناء برنامج حوكمة أمن المعلومات GRC من الصفر — كيف تبني إطار حوكمة متكامل يربط بين إدارة المخاطر والامتثال التنظيمي والسياسات الأمنية في منظومة واحدة فعّالة.

هل تريد تطبيق ما تعلمته على مؤسستك؟ تواصل مع فريق فنترالينك للحصول على تقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.

الوسوم

#الامتثال التنظيمي السعودي #مراجعة SAMA #SAMA CSCC #دروس أمنية #فنترالينك #تدقيق أمن سيبراني #حوكمة أمن المعلومات