الضوابط الأساسية للأمن السيبراني (ECC-1:2018)

تشهد المملكة العربية السعودية طفرة على مستوى استخدام تقنية المعلومات والتحول الرقمي في المؤسسات والشركات، وهذا يظهر جليًا عند النظر إلى حجم الاستثمارات الحكومية الضخمة في تقنية المعلومات. ولكن للتقنية مخاطر يمكن أن تؤدّي إلى تهديد وزعزعة الأمن الوطني إذا ما تم فقدان السيطرة عليها نتيجة لاختراق أو مشكلة في أحد مكونات الفضاء السيبراني.

ولتجنب الكوارث التي قد تنتج عن المخاطر السيبرانية، قامت الهيئة الوطنية للأمن السيبراني بتطوير وإصدار الضوابط الأساسية للأمن السيبراني (ECC-1: 2018) لوضع الحد الأدنى من متطلبات الأمن السيبراني في المنظَّمات الوطنية التي تندرج تحت نطاق تنفيذ هذه الضوابط.

 «على جميع الجهات الوطنية رفع مستوى أمنها السيبراني لحماية شبكاتها وأنظمتها وبياناتها الإلكترونية، والالتزام بما تصدره الهيئة الوطنية للأمن السيبراني من سياسات وأطر ومعايير وضوابط وإرشادات بهذا الشأن.»

الأمر السامي الكريم رقم 57231 وتاريخ 10/11/ 1439 هـ

ما المقصود بضوابط الأمن السيبراني؟

هي ممارسات وأُطر عمل تنظيمية، تضعها هيئات تنظيمية وطنية أو عالمية، وتحتوي على التدابير والإجراءات المضادة التي يجب على المُنشآت تنفيذها لاكتشاف أو منع أو مواجهة المخاطر الأمنية، وإدارة التهديدات التي تستهدف الأُصول المعلوماتية والتقنية.

مزايا الضوابط الأساسية للأمن السيبراني:

تتميّز ECC-1: 2018 بالمميزات التالية:

  1. تُركّز على الأهداف الأساسية للحماية، وهي: سرية وسلامة وتوافر المعلومة.
  2. مبنية على أفضل الممارسات والمعايير وأُطر العمل التنظيمية (المحلّية والدولّية).
  3. تُعطي هذه الضوابط اهتمامًا بالغًا للمحاور الأساسية التي يرتكز عليها الأمن السيبراني (الإستراتيجية والأشخاص والإجراءات والتقنية).
أهمية الضوابط الأساسية للأمن السيبراني:

تطبيق ضوابط ECC-1: 2018، وبغض النظر عن كونه إلزامي لبعض الجهات، يمنح فوائد كثيرة للمنظمات، ونذكر منها:

  1. تساعد في تصميم استراتيجية الأمن السيبراني في المنظّمة.
  2. ضمان التزام الإدارة العليا بإدارة وتطبيق برامج الأمن السيبراني.
  3. صياغة وتطبيق ومراجعة سياسات وإجراءات الأمن السيبراني.
  4. تحديد وتوثيق الهيكل التنظيمي والأدوار والمسؤوليات الخاصة بالأمن السيبراني داخل المنظّمة.
  5. تحقيق المتطلبات التشريعية والتنظيمية الوطنية المتعلقة بالأمن السيبراني.
  6. معالجة مخاطر الأمن السيبراني المتعلقة بالموارد البشرية.
  7. حماية أصول المنظّمة المعلوماتية والتقنية من مخاطر الأمن السيبراني والتهديدات الداخلية والخارجية.
  8. اكتشاف الثغرات التقنية في الوقت المناسب ومعالجتها بشكل فعال.
  9. معالجة المخاطر السيبرانية وتنفيذ متطلبات الأمن السيبراني للحوسبة السحابية والاستضافة بشكل ملائم وفعال.
نطاق عمل الضوابط الأساسية للأمن السيبراني (ECC-1: 2018):

أُعدَّت هذه الضوابط لتُلائم احتياجات الأمن السيبراني في جميع المنظّمات والقطاعات وبغض النظر عن نوع وطبيعة الأعمال. لكنَّ هذه الضوابط تُطبَّق بشكلٍ خاص في المنظّمات الوطنية في المملكة العربية السعودية، وتشمل:

  1. جميع الوزارات والهيئات والمؤسسات الوطنية والجهات والشركات التابعة لها
  2. شركات القطاع الخاص التي تُقدّم خدماتها للهيئات الوطنية
  3. الشركات والمؤسسات التي تقوم بتشغيل أو استضافة البنى التحتية للجهات الحكومية.
  4. يمكن للمؤسسات/الشركات الأُخرى الاستفادة من هذه الضوابط، حتى إن لم يكن الامتثال إلزامي

تنويه: يجب على جميع المنظمّات ضمن نطاق عمل ECC-1: 2018 تنفيذ ما يحقق الالتزام الدائم والمستمر بهذه الضوابط. 

وتقوم الهيئة الوطنية للأمن السيبراني بتقييم مدى التزام الجهات الوطنية بصورة دورية.

كيف تستطيع شركة ريناد المجد لتقنية المعلومات (RMG) مساعدتك؟

صُممت خدماتنا الخاصة بالضوابط الأساسية للأمن السيبراني لمساعدتك في تأمين منظمتك، مع تحقيق الامتثال للتشريعات الوطنية في الوقت نفسه، تتلخص هذه الخدمات في:

  1. تحليل الفجوات (Gap Analysis) وإجراء تقييم النضج
  2. تطبيق الضوابط الأساسية المناسبة لمنظّمتك
  3. تصميم وتطوير استراتيجية الأمن السيبراني
  4. تصميم وتطوير سياسات وإجراءات الأمن السيبراني
  5. تقديم برامج تدريب ونقل المعرفة وتوعية العامل البشري
  6. مراجعة الوثائق والتدقيق الداخلي
لماذا تختار شركة ريناد المجد لتقنية المعلومات (RMG)؟
  • بـطلبك لخدمات شركة ريناد المجد (RMG)، تُتاح لك فرصة الاستفادة من +60 استشاري وخبير لتطوير وتنمية أعمالك.
  • تمتاز الشركة بالمرونة، ودقة التنفيذ، وإظهار النتائج بشكل سريع، كونها تُدرك جيدًا الأبعاد العميقة للمحاور والمؤشّرات الواردة في الضوابط.
  • تمتلك الشركة فريق خبير في تنفيذ تقييم الثغرات السيبرانية (Vulnerability Assessment).
  • خبرة طويلة في مجال تنفيذ اختبارات الاختراق (Penetration Test).
  • مركز عمليات يعمل بشكل مستمر (24 ساعة/ 7 أيام).
  • قدرة الشركة على تغطية جميع المجالات التي يُركِّز عليها الأمن السيبراني، حيث تمتلك الشركة سابقة أعمال في التحول الرقمي، والحوكمة، واستمرارية الأعمال، ومعايير الأيزو العالمية، والنسخ الاحتياطي واستعادة البيانات وأمن الشبكات.
للطلب أو الاستفسار عن الخدمات، نأمل تعبئة الحقول أدناه، وسنقوم بالتواصل معكم في أقرب وقت
الأسئلة المتكررة

هل عدم تطبيق متطلبات ECC-1: 2018 يُعرّض الجهة للمساءلة القانونية؟

تحقيقاً لما ورد في الفقرة الثالثة من المادة العاشرة في تنظيم الهيئة الوطنية للأمن السيبراني، وكذلك ما ورد في الأمر السامي الكريم رقم 57231 وتاريخ 10/11/1439 هـ، يجب على جميع الجهات ضمن نطاق عمل هذه الضوابط تنفيذ ما يحقق الالتزام الدائم والمستمر بهذه الضوابط.

ووفقًا لما ورد أعلاه، فإنَّ المنظّمات المذكورة، وفي حال عدم تطبيق الحد الأدنى من متطلبات الأمن السيبراني، قد تتعرَّض للمساءلة القانونية.

ما الذي يلزم منظّمتي لتطبيق والامتثال للضوابط الأساسية للأمن السيبراني؟

لكي تُطبّق الحد الأدنى من متطلبات الأمن السيبراني تحتاج أولًا معرفة ما يتناسب مع منظمتك من الضوابط الأساسية للأمن السيبراني (ECC-1: 2018). ثم تنفيذ اختبارات فحص نقاط الضعف في المنظّمة والعمل على حلها. وأخيًرا صياغة المستندات والوثائق اللازمة بما يُثبت تطبيق الحد الأدنى من متطلبات الأمن السيبراني.

كيف يمكنني البدء مع شركة ريناد المجد لتقنية المعلومات (RMG)؟

تستطيع البدء مع شركة ريناد المجد من خلال تعبئة استمارة التسجيل، وسنقوم بالتواصل معك في أقرب وقت للإجابة على استفساراتك ولنُحدّد سويًّا الخطوات القادمة.

نحن نوفّر جميع الخدمات والاستشارات اللازمة لتطبيق الضوابط الأساسية للأمن السيبراني. ونُقدّم أيضًا استشارات ونصائح بعد نهاية المشروع.