كيف تعرف إذا كانت مؤسستك المالية جاهزة لمتطلبات SAMA CSCC؟

## السؤال الذي يجب أن يسأله كل CISO في القطاع المالي في كل مرة تقترب دورة التدقيق السنوية، يُطرح نفس السؤال في غرف الاجتماعات: **هل نحن جاهزون لمتطلبات SAMA CSCC؟** المشكلة أن كثيراً من المؤسسات المالية تكتشف الإجابة الحقيقية في وقت متأخر — بعد أن يرصد المدقق ثغرات كان يمكن معالجتها قبل أشهر. هذا المقال ليس نظرياً. هو قائمة تشخيصية مباشرة تساعدك على معرفة موقعك الحقيقي من متطلبات SAMA CSCC خلال أقل من 30 دقيقة. --- ## ما هو SAMA CSCC بالضبط؟ إطار Cyber Security Control الصادر عن مؤسسة النقد العربي السعودي (SAMA) هو المرجع التنظيمي الإلزامي لأمن المعلومات في القطاع المالي السعودي. يغطي خمسة محاور رئيسية: 1. الحوكمة والقيادة — هيكل الأمن السيبراني، السياسات، المسؤوليات 2. تحديد المخاطر والتقييم — إدارة المخاطر المستمرة وتصنيف الأصول 3. الحماية — الضوابط التقنية والتشغيلية لمنع الاختراق 4. الكشف والاستجابة — مراقبة التهديدات والاستجابة للحوادث 5. الاسترداد — خطط استمرارية الأعمال والتعافي من الكوارث --- ## علامات تشير إلى أن مؤسستك في خطر ### في محور الحوكمة - لا توجد سياسة أمن سيبراني موثقة ومعتمدة من مجلس الإدارة - لا يوجد CISO أو ما يعادله بصلاحيات واضحة - لا يُرفع تقرير دوري عن وضع الأمن السيبراني إلى الإدارة العليا ### في محور إدارة المخاطر - آخر تقييم شامل للمخاطر كان قبل أكثر من 12 شهراً - لا توجد قائمة محدّثة بالأصول الحساسة وتصنيفها - المخاطر المعروفة لم تُعالَج ولم تُوثَّق خطط معالجتها ### في محور الحماية التقنية - لا يوجد برنامج منتظم لإدارة الثغرات (Vulnerability Management) - إدارة الهوية والوصول (IAM) لا تلتزم بمبدأ الصلاحية الأدنى - التحقق الثنائي (MFA) غير مفعّل على الأنظمة الحساسة ### في محور الكشف والاستجابة - لا يوجد نظام مراقبة مركزي (SIEM أو ما يعادله) - لم تُختبر خطة الاستجابة للحوادث خلال العام الماضي - لا يوجد اتفاقية SLA واضحة لأوقات الاستجابة للحوادث --- ## كيف تقيّم نضجك الآن؟ مؤسسة SAMA تعتمد نموذج النضج على أربعة مستويات: المستوى 1 (أولي): ممارسات عشوائية وغير موثقة — خطر تنظيمي مرتفع المستوى 2 (متطور): بعض السياسات موثقة لكن تطبيقها متقطع — يحتاج معالجة عاجلة المستوى 3 (محدد): ممارسات موثقة ومطبقة بشكل منتظم — المستوى المقبول من SAMA المستوى 4 (مُدار): قياس مستمر وتحسين دوري — المستوى المستهدف للمؤسسات الكبرى معظم المؤسسات المالية التي نعمل معها تجد نفسها بين المستوى 2 والمستوى 3 — وهذه الفجوة تحديداً هي ما يرصده المدقق. --- ## الخطوات الثلاث الأولى التي تنصح بها فينترالينك **أولاً: تقييم سريع للفجوات (Gap Assessment)** قبل أي خطوة أخرى، تحتاج إلى صورة واضحة عن وضعك الحالي مقارنة بمتطلبات CSCC. هذا التقييم يستغرق عادةً 2-3 أسابيع ويعطيك قائمة دقيقة بالثغرات مرتبة حسب الأولوية. **ثانياً: خارطة طريق للمعالجة** ليس كل الثغرات بنفس الخطورة. بعضها يُغلق خلال أيام بقرار إداري، وبعضها يحتاج مشروعاً تقنياً ممتداً. الأهم هو وجود خطة موثقة تُظهر للمدقق أنك تتحرك في الاتجاه الصحيح. **ثالثاً: توثيق الامتثال بشكل مستمر** المدقق لا يبحث فقط عن الضوابط الموجودة — بل عن الدليل الموثق على تطبيقها. نظام توثيق منتظم يوفّر عليك ضغطاً هائلاً في موسم التدقيق. --- ## هل تريد معرفة موقعك بالضبط؟ فينترالينك تقدم تقييم نضج SAMA CSCC المجاني للمؤسسات المالية المؤهلة — جلسة مدتها 45 دقيقة تخرج منها بصورة واضحة عن مستوى نضجك وأولويات المعالجة، دون أي التزام. إذا كنت CISO أو مسؤول امتثال في بنك أو شركة تأمين أو مؤسسة مالية سعودية، تواصل معنا على fyntralink.com وسنحدد موعداً في أقرب وقت. --- فينترالينك — خبراء الأمن السيبراني والامتثال التنظيمي للقطاع المالي السعودي