الدخول من خلال النفاذ الوطني الموحد
تُعد الهيئة الوطنية للأمن السيبراني؛ بموجب تنظيمها الصادر بالأمر الملكي الكريم رقم (6801) في 11/2/1439هـ، الجهة المختصّة في المملكة بالأمن السيبراني، والمرجع الوطني في شؤونه. وتهدف إلى تعزيزه؛ حمايةً للمصالح الحيوية للدولة، وأمنها الوطني، والبنى التحتية الوطنية الحساسة، والقطاعات ذات الأولوية، والخدمات والأنشطة الحكومية. وتشمل اختصاصات الهيئة ومهماتها -دون حصر- وضع السياسات، وآليات الحوكمة، والأطر، والمعايير، والضوابط، والإرشادات المتعلقة بالأمن السيبراني، وتعميمها على الجهات ذات العلاقة، ومتابعة الالتزام بها، وتحديثها. بالإضافة إلى وضع أطر إدارة المخاطر المتعلقة بالأمن السيبراني، ومتابعة الالتزام بها، وتحديثها.وعليه، قامت الهيئة بإعداد هذا الإطار، الذي يعد مرجعًا ومنهجية لإدارة مخاطر الأمن السيبراني في المملكة بإشراف الهيئة، حيث يوفر هذا الإطار رؤية واضحة لإدارة مخاطر الأمن السيبراني على مستوى الجهات، وعلى المستوى الوطني. كما يوضح الإطار بشكل أساسي منهجية إدارة مخاطر الأمن السيبراني، بالإضافة إلى الأدوار والمسؤوليات، والإجراءات ذات العلاقة التي تعزز قدرات إدارة مخاطر الأمن السيبراني في المملكة.
يكون للمصطلحات المستخدمة في هذا الإطار المعاني المقابلة لها؛ ما لم يقتض السياق خلاف ذلك:
1- أثر سلبي كبير على توافر الخدمات الأساسية، أو تكاملها، أو تسليمها، بما في ذلك الخدمات التي يمكن أن تؤدي في حال تعرضت سلامتها للخطر؛ إلى خسائر كبيرة في الممتلكات و/ أو الأرواح و/ أو الإصابات، مع مراعاة الآثار الاقتصادية و/ أو الاجتماعية الكبيرة.
2- تأثير كبير على الأمن الوطني و/ أو الدفاع الوطني و/ أو اقتصاد الدولة أو مقدراتها الوطنية.
يشكل الإطار حجر الأساس لمنظومة موحدة، متكاملة، شاملة ومتوائمة، قادرة على إدارة مخاطر الأمن السيبراني بفاعلية، بما يشمل تحديدها، وتقييمها، والاستجابة لها ومتابعتها. وتساهم العوامل التالية في تحقيق هذا الهدف:· تحديد مخاطر الأمن السيبراني ذات الأولوية للاستجابة لها.· تطبيق الضوابط اللازمة لتقليل مخاطر الأمن السيبراني للمساهمة في تعزيز صمود الأمن السيبراني الوطني. · تحديد أدوار ومسؤوليات إدارة مخاطر الأمن السيبراني.· تعزيز ثقافة الوعي لدى الجهات بإدارة مخاطر الأمن السيبراني.· إدارة مخاطر الأمن السيبراني بشكل فعال يمكّن الجهات من أداء أعمالها وتحقيق أهدافها في مختلف المجالات والقطاعات.
ينطبق هذا الإطار على:
كما تشجع الهيئة الجهات الأخرى (بما فيها جهات القطاع الخاص من غير ذات البنى التحتية الحساسة، والجهات غير الربحية) في المملكة على الاستفادة من أحكام هذا الإطار؛ لتطبيق أفضل الممارسات فيما يتعلق بإدارة مخاطر الأمن السيبراني وتعزيز ورفع مستوى الأمن السيبراني لديها.
يجب على الجهات ضمن نطاق تطبيق هذا الإطار الالتزام بمنهجية إدارة مخاطر الأمن السيبراني، ومصفوفة تقييم مخاطر الأمن السيبراني، حسب ما ورد في هذا القسم.
يتم استخدام العناصر التالية لإدارة مخاطر الأمن السيبراني بشكل فعال: الأصول، الثغرات والتهديدات، والضوابط، كمدخلات محتمله لفهم الرؤية الكاملة لمخاطر الأمن السيبراني. حيث تحدد منهجية إدارة مخاطر الأمن السيبراني، المخاطر الكامنة قبل تنفيذ أي ضوابط للوقاية والتخفيف، وتقيّيم أثر تلك المخاطر واحتمالية حدوثها، كما تحدد المنهجية خطط الاستجابة لتلك المخاطر، بحيث يتم اتخاذ قرار الاستجابة.
تشكل المراحل الموضحة في الشكل (1) أدناه المراحل الرئيسية في منهجية إدارة مخاطر الأمن السيبراني. حيث تحتوي كل مرحلة على العديد من المهام لتعزيز الرؤية والفهم والعمل في منهجية إدارة مخاطر الأمن السيبراني.
شكل 1: المراحل الرئيسيّة لمنهجية إدارة مخاطر الأمن السيبراني
لكي يتم تطبيق هذه المنهجية بصورة مستدامة؛ يجب العمل على ما يلي:
يتم في هذه المرحلة تحديد وجمع أصول الجهة، وتطوير السيناريوهات المتوقعة للمخاطر السيبرانية، وفقًا للتهديدات والثغرات والهجمات المحتملة؛ وذلك بهدف تحديد مخاطر الأمن السيبراني الكامنة. وتتكون هذه المرحلة من عدد من الخطوات، وهي:
يتم في هذه المرحلة تقييم مخاطر الأمن السيبراني حسب السيناريوهات المتوقعة، من خلال دراسة احتمال وقوع هذه السيناريوهات، وتأثيراتها المحتملة. وتتكون هذه المرحلة من عدد من الخطوات، وهي:
يتم في هذه المرحلة اتخاذ قرار الاستجابة للتعامل مع مخاطر الأمن السيبراني سواءً بقبول تلك المخاطر Accepting)) أو مشاركتها (Sharing) أو معالجتها ((Mitigating أو تجنب وقوعها (Avoiding)، وتحديد وتنفيذ خطط الاستجابة. وتتكون هذه المرحلة من عدد من الخطوات، وهي:
يتم في هذه المرحلة متابعة ومراقبة أنشطة إدارة مخاطر الأمن السيبراني التي تقوم بها الجهة من خلال منهجية إدارة مخاطر الأمن السيبراني، وتقييمها، لتحديث سجل المخاطر دوريًا أو بناءً على تغير الأصول أو التهديدات، أو الضوابط التي تم تطبيقها. وتتكون هذه المرحلة من عدد من الخطوات، وهي:
توفر مصفوفة تقييم مخاطر الأمن السيبراني منهجية لتحديد مستويات مخاطر الأمن السيبراني، وتأخذ هذه المصفوفة بالاعتبار احتمالية حدوث سيناريوهات مخاطر الأمن السيبراني، والأثر الناتج عنه. ويبيّن الشكل (2) مصفوفة تقييم مخاطر الأمن السيبراني.
شكل 2: مصفوفة تقييم مخاطر الأمن السيبراني
يتم قياس تأثير الخطر، في حال تحقق الوصف لعنصر أو أكثر من عناصر الأمن السيبراني (السرية، والسلامة، والتوافر) وفقا لمستوى الأثر المبين في الجدول التالي:
جدول 2: وصف مستويات الأثر
يتم قياس الاحتمالية على النحو التالي:
جدول 3: وصف مستويات احتمالية الحدوث
يجب على جميع الجهات التي تدخل ضمن نطاق تطبيق هذا الإطار، الالتزام بأحكام هذا الإطار، وجميع المتطلبات التنظيمية وكافة ما تضعه أو تقره الهيئة من سياسات أو أطر أو ضوابط أو إرشادات أو معايير وذات الصلة. وفق اختصاصها النظامي، وبوصفها المرجع الوطني في كل ما يتعلق بالأمن السيبراني في المملكة.
يجوز للهيئة مراجعة هذا الإطار وتحديثه وفقًا لمتطلبات تنظيم قطاع الأمن السيبراني، ويجب التقيد بأي تحديثات وفقًا لما تحدده الهيئة.
آخر تحديث : 30 مايو 2024
يمكنك تصفح البوابة عن طريق إعطاء أوامر صوتية بإستخدام المايكروفون
تحدث الان...
برجاء اعطاء الاوامر الصوتية من الخيارات التالية:
إخلاء المسؤولية : الترجمة إلى لغات أخرى يعتمد على ترجمة جوجل (Google)، وبالتالي فإن المركز الوطني للتنافسية غير مسؤول عن دقة المعلومات في اللغة الجديدة.
