تشهد المملكة العربية السعودية طفرة على مستوى استخدام تقنية المعلومات والتحول الرقمي في المؤسسات والشركات، وهذا يظهر جليًا عند النظر إلى حجم الاستثمارات الحكومية الضخمة في تقنية المعلومات. ولكن للتقنية مخاطر يمكن أن تؤدّي إلى تهديد وزعزعة الأمن الوطني إذا ما تم فقدان السيطرة عليها نتيجة لاختراق أو مشكلة في أحد مكونات الفضاء السيبراني.

ولتجنب الكوارث التي قد تنتج عن المخاطر السيبرانية، قامت الهيئة الوطنية للأمن السيبراني بتطوير وإصدار الضوابط الأساسية للأمن السيبراني (ECC-1: 2018) لوضع الحد الأدنى من متطلبات الأمن السيبراني في المنظَّمات الوطنية التي تندرج تحت نطاق تنفيذ هذه الضوابط.

 «على جميع الجهات الوطنية رفع مستوى أمنها السيبراني لحماية شبكاتها وأنظمتها وبياناتها الإلكترونية، والالتزام بما تصدره الهيئة الوطنية للأمن السيبراني من سياسات وأطر ومعايير وضوابط وإرشادات بهذا الشأن.»

– الأمر السامي الكريم رقم 57231 وتاريخ 10/11/ 1439 هـ 

ما المقصود بضوابط الأمن السيبراني؟

 

هي ممارسات وأُطر عمل تنظيمية، تضعها هيئات تنظيمية وطنية أو عالمية، وتحتوي على التدابير والإجراءات المضادة التي يجب على المُنشآت تنفيذها لاكتشاف أو منع أو مواجهة المخاطر الأمنية، وإدارة التهديدات التي تستهدف الأُصول المعلوماتية والتقنية.

مزايا الضوابط الأساسية للأمن السيبراني:

تتميّز ECC-1: 2018 بالمميزات التالية:

1. تُركّز على الأهداف الأساسية للحماية، وهي: سرية وسلامة وتوافر المعلومة.
2. مبنية على أفضل الممارسات والمعايير وأُطر العمل التنظيمية (المحلّية والدولّية).
3. تُعطي هذه الضوابط اهتماماً بالغاً للمحاور الأساسية التي يرتكز عليها الأمن السيبراني (الاستراتيجية والأشخاص والإجراءات والتقنية).

أهمية الضوابط الأساسية للأمن السيبراني:

 

تطبيق ضوابط ECC-1: 2018، وبغض النظر عن كونه إلزامي لبعض الجهات، يمنح فوائد كثيرة للمنظمات، ونذكر منها:

1. تساعد في تصميم استراتيجية الأمن السيبراني في المنظّمة.
2. ضمان التزام الإدارة العليا بإدارة وتطبيق برامج الأمن السيبراني.
3. صياغة وتطبيق ومراجعة سياسات وإجراءات الأمن السيبراني.
4. تحديد وتوثيق الهيكل التنظيمي والأدوار والمسؤوليات الخاصة بالأمن السيبراني داخل المنظّمة.
5. تحقيق المتطلبات التشريعية والتنظيمية الوطنية المتعلقة بالأمن السيبراني.
6. معالجة مخاطر الأمن السيبراني المتعلقة بالموارد البشرية.
7. حماية أصول المنظّمة المعلوماتية والتقنية من مخاطر الأمن السيبراني والتهديدات الداخلية والخارجية.
8. اكتشاف الثغرات التقنية في الوقت المناسب ومعالجتها بشكل فعال.
9. معالجة المخاطر السيبرانية وتنفيذ متطلبات الأمن السيبراني للحوسبة السحابية والاستضافة بشكل ملائم وفعال.

نطاق عمل الضوابط الأساسية للأمن السيبراني (ECC-1: 2018):

 

أُعدَّت هذه الضوابط لتُلائم احتياجات الأمن السيبراني في جميع المنظّمات والقطاعات وبغض النظر عن نوع وطبيعة الأعمال. لكنَّ هذه الضوابط تُطبَّق بشكلٍ خاص في المنظّمات الوطنية في المملكة العربية السعودية، وتشمل:

1. جميع الوزارات والهيئات والمؤسسات الوطنية والجهات والشركات التابعة لها
2. شركات القطاع الخاص التي تُقدّم خدماتها للهيئات الوطنية
3. الشركات والمؤسسات التي تقوم بتشغيل أو استضافة البنى التحتية للجهات الحكومية.
4. يمكن للمؤسسات/الشركات الأُخرى الاستفادة من هذه الضوابط، حتى إن لم يكن الامتثال إلزامي

تنويه: يجب على جميع المنظمّات ضمن نطاق عمل ECC-1: 2018 تنفيذ ما يحقق الالتزام الدائم والمستمر بهذه الضوابط.

وتقوم الهيئة الوطنية للأمن السيبراني بتقييم مدى التزام الجهات الوطنية بصورة دورية.