فهم إطار الأمن السيبراني لمؤسسة النقد العربي السعودي (SAMA CSF)
📝 دليل عملي للجهات غير المالية
بقلم: د. أحمد فاروق عامر – خبير أول في الامتثال وتدقيق تقنية المعلومات
في السنوات الأخيرة، أصبح الامتثال للأطر التنظيمية في المملكة العربية السعودية لا يقتصر على المؤسسات المالية فقط، بل امتد ليشمل جهات متعددة في القطاعين العام والخاص، خصوصًا في ظل تسارع التحول الرقمي ورؤية المملكة 2030.
من بين هذه الأطر، يُعد إطار الأمن السيبراني لمؤسسة النقد العربي السعودي (SAMA CSF) مرجعًا رئيسيًا يُحتذى به، ليس فقط في القطاع المصرفي، بل حتى من قبل الجهات غير المالية التي تسعى لبناء حوكمة أمنية فعالة.
🔍 ما هو إطار SAMA للأمن السيبراني؟
أصدرته مؤسسة النقد العربي السعودي عام 2017 بهدف رفع مستوى الأمن السيبراني لدى المؤسسات المالية. يتكون الإطار من:
• 6 مجالات رئيسية
• 29 عنصرًا تحكميًا (Control Objectives)
تشمل هذه المجالات:
1. حوكمة الأمن السيبراني
2. إدارة المخاطر
3. العمليات السيبرانية
4. مراقبة التهديدات
5. الاستجابة للحوادث
6. استمرارية الأعمال والتعافي من الكوارث
ورغم أنه صُمم في الأصل للبنوك وشركات التمويل، إلا أن العديد من الجهات الأخرى بدأت بتبنيه كإطار مرجعي داخلي نظراً لقوته وشموليته.
❓ لماذا يجب على الجهات غير المالية تطبيق إطار SAMA؟
✅ ١. مرجعية قوية لبناء برنامج أمني شامل
الإطار يوفر هيكلًا متكاملًا لإنشاء السياسات، الأدوار، والمسؤوليات المتعلقة بالأمن السيبراني.
✅ ٢. متطلبات العقود الحكومية والجهات الكبرى
كثير من المشاريع الكبرى (مثل نيوم، أرامكو، وغيرها) تشترط وجود حوكمة أمنية مبنية على معايير مثل SAMA وNCA.
✅ ٣. التميز التنافسي عند التعامل مع القطاع المالي
إذا كنت مقدم خدمات أو حلول تقنية للقطاع المالي، فإن التوافق مع SAMA يمنحك ميزة قوية عند التعاقد.
⚠️ التحديات التي قد تواجهك عند التطبيق:
🔹 صعوبة فهم المصطلحات الفنية والتنظيمية
بعض الفرق تجد صعوبة في تحويل الضوابط النظرية إلى إجراءات عملية.
🔹 غياب السياسات والإجراءات الموثقة
أغلب المؤسسات تفتقر لوثائق حيوية مثل: سياسة الأمن السيبراني، خطة الاستجابة للحوادث، خطة استمرارية الأعمال.
🔹 ضعف أدوات المتابعة والتقييم
عدم وجود أدوات مثل مصفوفة الامتثال (Compliance Matrix) أو جداول التقدم يؤدي إلى تنفيذ غير منظم.
🛠️ خطوات عملية لتطبيق إطار SAMA:
١. إجراء تقييم فجوات (Gap Assessment)
ابدأ بتحليل وضعك الحالي مقارنة بضوابط SAMA، وتحديد نقاط الضعف.
٢. بناء مصفوفة الامتثال
استخدم جدول Excel أو أداة GRC لربط كل ضابط بالأدلة والوثائق الموجودة.
٣. تطوير السياسات والإجراءات
اكتب السياسات المفقودة وراجع القديمة لتكون متوافقة مع الإطار.
٤. إعداد خطة تنفيذ قابلة للقياس
حدّد المسؤوليات والموارد لكل ضابط مع جدول زمني واضح.
٥. نشر الوعي والتدريب الداخلي
درّب الموظفين على السياسات والإجراءات الجديدة، ووضح لهم دورهم في الامتثال.
🧭 خلاصة
إطار SAMA ليس مجرد التزام تنظيمي، بل هو أداة استراتيجية لبناء الثقة، تقليل المخاطر، وتحقيق جاهزية رقمية متقدمة. تطبيق هذا الإطار حتى في المؤسسات غير الخاضعة مباشرة لمؤسسة النقد يضيف قيمة تنظيمية وامتياز تنافسي حقيقي.
📣 هل تحتاج إلى دعم في التطبيق؟
نحن في SCOPE IT نقدم لك:
• تقييم فجوات متكامل
• تطوير السياسات والإجراءات
• تنفيذ برامج امتثال وفق إطار SAMA وNIST وISO
• تدريب عملي للفِرق الفنية والتنفيذية
📞 تواصل معنا اليوم، لنبدأ معًا رحلة التحول نحو امتثال سيبراني مستدام وفعّال.
hello@scopeitglobal.com
🛡️ Understanding the SAMA Cybersecurity Framework:
A Practical Guide for Non-Financial Organizations
By Dr. Ahmad Farouk Aamer – Senior IT Compliance & Audit Consultant
In recent years, regulatory compliance in Saudi Arabia has expanded far beyond the banking sector. As Vision 2030 accelerates digital transformation across the Kingdom, organizations from all industries — public and private — are being called to adopt more mature governance and cybersecurity practices.
Among the most influential frameworks in this landscape is the SAMA Cybersecurity Framework, issued by the Saudi Arabian Monetary Authority (now the Saudi Central Bank). While originally designed for financial institutions, it has quickly become a best-practice benchmark for cybersecurity governance — even for organizations outside the financial sector.
🔍 What Is the SAMA Cybersecurity Framework?
Introduced in 2017, the SAMA Cybersecurity Framework aims to ensure that all regulated entities have adequate cybersecurity controls in place. The framework consists of:
• 6 key domains
• 29 control objectives
These domains cover:
1. Cybersecurity Governance
2. Risk Management
3. Cybersecurity Operations
4. Threat Management
5. Incident Response
6. Business Continuity and Disaster Recovery
Although originally intended for banks and insurance companies, the structure and maturity of this framework make it attractive to non-financial institutions looking for a strong, Saudi-aligned governance model.
❓ Why Should Non-Financial Entities Consider Adopting SAMA?
✅ 1. A Comprehensive Foundation for Cybersecurity Programs
SAMA provides a structured, detailed approach to building a cybersecurity management system — from board-level governance down to technical controls.
✅ 2. Alignment with Government & Enterprise Contract Requirements
Many large organizations and mega-projects (e.g., NEOM, PIF-related entities, Aramco projects) increasingly require vendors and partners to follow mature frameworks like SAMA and NCA.
✅ 3. Competitive Advantage When Working with the Financial Sector
If your company provides IT services, cloud hosting, software, or consultancy to financial institutions, pre-alignment with SAMA gives you a strategic edge in procurement and audits.
⚠️ Common Challenges in SAMA Implementation
🔹 Lack of Internal Knowledge and Role Clarity
IT teams may struggle to understand how to translate policy-level controls (like “cybersecurity risk impact assessments”) into day-to-day actions.
🔹 Absence of Required Documentation
The SAMA framework depends heavily on documented evidence, such as:
• Cybersecurity policies
• Risk assessments
• Incident response plans
• Business continuity frameworks
Without these, organizations will face gaps during assessments or audits.
🔹 No Compliance Tracking Tools
Many organizations fail to use even a basic compliance matrix (e.g., Excel) to track control implementation and progress, resulting in fragmented efforts.
🛠️ How to Start Implementing the SAMA Framework
1. Conduct a Gap Assessment
Compare your current cybersecurity posture against SAMA control objectives to identify compliance gaps.
2. Build a Compliance Matrix
Map each SAMA control to your existing documentation, tools, and processes. This can be done in Excel or a GRC tool.
3. Develop or Update Policies
Write missing policies and update outdated ones to meet the SAMA structure and scope.
4. Create a Clear Implementation Roadmap
Assign responsibilities, allocate resources, and define timelines for each domain or control.
5. Conduct Awareness and Training Programs
Train technical and non-technical staff on their roles in cybersecurity governance and compliance.
🧭 Final Thoughts
The SAMA Cybersecurity Framework is more than just a checklist — it’s a strategic tool for improving governance, reducing cyber risk, and building trust with partners, clients, and regulators. Even if your organization is not under SAMA’s direct supervision, using it as an internal benchmark will elevate your maturity and readiness in today’s complex threat landscape.
📣 Need Help with Implementation?
At SCOPE IT, we provide:
• End-to-end SAMA gap assessments
• Policy development & documentation support
• Framework implementation aligned with SAMA, NIST, and ISO 27001
• Customized training for IT, compliance, and executive teams
📞 Contact us today to begin your journey toward sustainable and effective cybersecurity compliance.
hello@scopeitglobal.com
