الضوابط الأساسية للأمن السيبراني ECC-2:2024

إضافة تعليق ؟

يمكنك إضافة مرئياتك على المشروع بما لا يتجاوز 5000 حرف,باقي 5000 حرف
يمكن إخفاء اسم المستخدم عند إضافة التعليق وذلك من خلال أيقونة تعديل بياناتي في صفحة حسابي,

إضافة تعليق

التعليقات

(فارغة)

الملخص التنفيذي

استهدفت رؤية المملكة العربية السعودية 2030 التطوير الشامل للوطن وأمنه واقتصاده ورفاهية مواطنيه وعيشهم الكريم، ولقد كان من الطبيعي أن يكون أحد مستهدفاتها التحول نحو العالم الرقمي وتنمية البنية التحتية الرقمية؛ بما يعبر عن مواكبة التقدم العالمي المتسارع في الخدمات الرقمية وفي الشبكات العالمية المتجددة، وأنظمة تقنية المعلومات وأنظمة التقنيات التشغيلية، ويتماشى مع تنامي قدرات المعالجة الحاسوبية وقدرات التخزين الهائلة للبيانات وتراسلها، وبما يهيئ للتعامل مع معطيات الذكاء الاصطناعي وتحولات الثورة الصناعية الرابعة.

إن هذا التحول يتطلب انسيابية المعلومات وأمانها وتكامل أنظمتها، ويستوجب المحافظة على الأمن السيبراني للمملكة العربية السعودية، وتعزيزه، حمايةً للمصالح الحيوية للدولة وأمنها الوطني والبنى التحتية الحساسة والقطاعات ذات الأولوية والخدمات والأنشطة الحكومية؛ لذلك أتى تأسيس الهيئة الوطنية للأمن السيبراني والموافقة على تنظيمها بموجب الأمر الملكي الكريم رقم 6801 وتاريخ 11/2/1439هـ، وجعلها الجهة المختصة في المملكة بالأمن السيبراني، والمرجع الوطني في شؤونه.

لقد جاءت مهمات هذه الهيئة واختصاصاتها ملبيةً للجوانب الاستراتيجية، ولجوانب وضع السياسات وآليات الحوكمة والأطر والمعايير والضوابط والإرشادات المتعلقة بالأمن السيبراني وتعميمها على الجهات.

كما جاءت ملبية لجوانب التحديث ومتابعة الالتزام من قبل الجهات الحكومية وغير الحكومية بما يعزز دور الأمن السيبراني وأهميته والحاجة الملحة التي ازدادت مع ازدياد التهديدات والمخاطر الأمنية في الفضاء السيبراني أكثر من أي وقت مضى.

وقد نص التنظيم المشار إليه أن مسؤولية هذه الهيئة لا يُخلي أي جهة عامة أو خاصة أو غيرها من مسؤوليتها تجاه أمنها السيبراني، وهو ما أكده الأمر السامي الكريم رقم 57231 وتاريخ 10/11/1439هـ بأن "على جميع الجهات الحكومية رفع مستوى أمنها السيبراني لحماية شبكاتها وأنظمتها وبياناتها الإلكترونية، والالتزام بما تصدره الهيئة الوطنية للأمن السيبراني من سياسات وأطر ومعايير وضوابط وإرشادات بهذا الشأن".

ومن هذا المنطلق، قامت الهيئة الوطنية للأمن السيبراني بتحديث الضوابط الأساسية للأمن السيبراني (ECC – 2 : 2024) لوضع الحد الأدنى من متطلبات الأمن السيبراني في الجهات الوطنية التي تندرج تحت نطاق عمل هذه الضوابط. وتوضح هذه الوثيقة تفاصيل هذه الضوابط، وأهدافها، ونطاق العمل وقابلية التطبيق، وآلية الالتزام ومتابعته.

وعلى مختلف الجهات الوطنية تنفيذ ما يحقق الالتزام الدائم والمستمر بهذه الضوابط، تحقيقاً لما ورد في الفقرة الثالثة من المادة العاشرة في تنظيم الهيئة الوطنية للأمن السيبراني وكذلك ما ورد في الأمر السامي الكريم رقم 57231 وتاريخ 10/11/1439 هـ.

المقدمة

الأهداف

نطاق العمل وقابلية التطبيق

التنفيذ والالتزام

التحديث والمراجعة

مكونات وهيكلية الضوابط الأساسية للأمن السيبراني

الضوابط الأساسية للأمن السيبراني

تفاصيل الضوابط الأساسية للأمن السيبراني

1- حوكمة الأمن السيبراني (Cybersecurity Governance)

1-1	إستراتيجية الأمن السيبراني
الهدف	ضمان إسهام خطط العمل للأمن السيبراني والأهداف والمبادرات والمشاريع داخل الجهة في تحقيق المتطلبات التشريعية والتنظيمية ذات العلاقة.
الضوابط
1-1-1	يجب تحديد وتوثيق واعتماد إستراتيجية الأمن السيبراني للجهة ودعمها من قبل رئيس الجهة أو من ينيبه (ويشار له في هذه الضوابط بـاسم "صاحب الصلاحية")، وأن تتماشى الأهداف الإستراتيجية للأمن السيبراني للجهة مع المتطلبات التشريعية والتنظيمية ذات العلاقة.
2-1-1	يجب العمل على تنفيذ خطة عمل لتطبيق إستراتيجية الأمن السيبراني من قبل الجهة.
3-1-1	يجب مراجعة إستراتيجية الأمن السيبراني على فترات زمنية مخطط لها (أو في حالة حدوث تغييرات في المتطلبات التشريعية والتنظيمية ذات العلاقة).

2-1	إدارة الأمن السيبراني
الهدف	ضمان التزام ودعم صاحب الصلاحية للجهة فيما يتعلق بإدارة وتطبيق برامج الأمن السيبراني في تلك الجهة وفقاً للمتطلبات التشريعية والتنظيمية ذات العلاقة.
الضوابط
1-2-1	يجب إنشاء إدارة معنية بالأمن السيبراني في الجهة مستقلة عن إدارة تقنية المعلومات والاتصالات (ICT/ IT) (وفقأً للأمر السامي الكريم رقم 37140 وتاريخ 14 / 8 / 1438 هـ). ويفضل ارتباطها مباشرة برئيس الجهة أو من ينيبه، مع الأخذ بالاعتبار عدم تعارض المصالح.
2-2-1	يجب شغل جميع وظائف الأمن السيبراني من قبل مواطنين متفرغين وذوي كفاءة في مجال الأمن السيبراني.
3-2-1	يجب إنشاء لجنة إشرافية للأمن السيبراني بتوجيه من صاحب الصلاحية للجهة لضمان التزام ودعم ومتابعة تطبيق برامج وتشريعات الأمن السيبراني، ويتم تحديد وتوثيق واعتماد أعضاء اللجنة ومسؤولياتها وإطار حوكمة أعمالها على أن يكون رئيس الإدارة المعنية بالأمن السيبراني أحد أعضائها. ويفضل ارتباطها مباشرة برئيس الجهة أو من ينيبه، مع الأخذ بالاعتبار عدم تعارض المصالح.

3-1	سياسات وإجراءات الأمن السيبراني
الهدف	ضمان توثيق ونشر متطلبات الأمن السيبراني والتزام الجهة بها، وذلك وفقاً لمتطلبات الأعمال التنظيمية للجهة، والمتطلبات التشريعية والتنظيمية ذات العلاقة.
الضوابط
1-3-1	يجب على الإدارة المعنية بالأمن السيبراني في الجهة تحديد سياسات وإجراءات الأمن السيبراني وما تشمله من ضوابط ومتطلبات الأمن السيبراني، وتوثيقها واعتمادها من قبل صاحب الصلاحية في الجهة، كما يجب نشرها إلى ذوي العلاقة من العاملين في الجهة والأطراف المعنية بها.
2-3-1	يجب على الإدارة المعنية بالأمن السيبراني ضمان تطبيق سياسات وإجراءات الأمن السيبراني في الجهة وما تشمله من ضوابط ومتطلبات.
3-3-1	يجب أن تكون سياسات وإجراءات الأمن السيبراني مدعومة بمعايير تقنية أمنية (على سبيل المثال: المعايير التقنية الأمنية لجدار الحماية وقواعد البيانات، وأنظمة التشغيل، إلخ).
4-3-1	يجب مراجعة سياسات وإجراءات ومعايير الأمن السيبراني وتحديثها على فترات زمنية مخطط لها (أو في حالة حدوث تغييرات في المتطلبات التشريعية والتنظيمية والمعايير ذات العلاقة)، كما يجب توثيق التغييرات واعتمادها.

4-1	أدوار ومسؤوليات الأمن السيبراني
الهدف	ضمان تحديد أدوار ومسؤوليات واضحة لجميع الأطراف المشاركة في تطبيق ضوابط الأمن السيبراني في الجهة.
الضوابط
1-4-1	يجب على صاحب الصلاحية تحديد وتوثيق واعتماد الهيكل التنظيمي للحوكمة والأدوار والمسؤوليات الخاصة بالأمن السيبراني للجهة، وتكليف الأشخاص المعنيين بها، كما يجب تقديم الدعم اللازم لإنفاذ ذلك، مع الأخذ بالاعتبار عدم تعارض المصالح.
2-4-1	يجب مراجعة أدوار ومسؤوليات الأمن السيبراني في الجهة وتحديثها على فترات زمنية مخطط لها (أو في حالة حدوث تغييرات في المتطلبات التشريعية والتنظيمية ذات العلاقة).

5-1	إدارة مخاطر الأمن السيبراني
الهدف	ضمان إدارة مخاطر الأمن السيبراني على نحو ممنهج يهدف إلى حماية الأصول المعلوماتية والتقنية للجهة، وذلك وفقاً للسياسات والإجراءات التنظيمية للجهة والمتطلبات التشريعية والتنظيمية ذات العلاقة.
الضوابط
1-5-1	يجب على الإدارة المعنية بالأمن السيبراني في الجهة تحديد وتوثيق واعتماد منهجية وإجراءات إدارة مخاطر الأمن السيبراني في الجهة. وذلك وفقاً لاعتبارات السرية وتوافر وسلامة الأصول المعلوماتية والتقنية.
2-5-1	يجب على الإدارة المعنية بالأمن السيبراني تطبيق منهجية وإجراءات إدارة مخاطر الأمن السيبراني في الجهة.
3-5-1	يجب تنفيذ إجراءات تقييم مخاطر الأمن السيبراني بحد أدنى في الحالات التالية: 1-3-5-1 في مرحلة مبكرة من المشاريع التقنية. 2-3-5-1 قبل إجراء تغيير جوهري في البنية التقنية. 3-3-5-1 عند التخطيط للحصول على خدمات طرف خارجي. 4-3-5-1 عند التخطيط وقبل إطلاق منتجات وخدمات تقنية جديدة.
4-5-1	يجب مراجعة منهجية وإجراءات إدارة مخاطر الأمن السيبراني وتحديثها على فترات زمنية مخطط لها (أو في حالة حدوث تغييرات في المتطلبات التشريعية والتنظيمية والمعايير ذات العلاقة)، كما يجب توثيق التغييرات واعتمادها.

6-1	الأمن السيبراني ضمن إدارة المشاريع المعلوماتية والتقنية
الهدف	التأكد من أن متطلبات الأمن السيبراني مضمنة في منهجية وإجراءات إدارة مشاريع الجهة لحماية السرية وسلامة الأصول المعلوماتية والتقنية للجهة ودقتها وتوافرها، وذلك وفقاً للسياسات والإجراءات التنظيمية للجهة والمتطلبات التشريعية والتنظيمية ذات العلاقة.
الضوابط
1-6-1	يجب تضمين متطلبات الأمن السيبراني في منهجية وإجراءات إدارة المشاريع وفي إدارة التغيير على الأصول المعلوماتية والتقنية في الجهة لضمان تحديد مخاطر الأمن السيبراني ومعالجتها كجزء من دورة حياة المشروع التقني، وأن تكون متطلبات الأمن السيبراني جزء أساسي من متطلبات المشاريع التقنية.
2-6-1	يجب أن تغطي متطلبات الأمن السيبراني لإدارة المشاريع والتغييرات على الأصول المعلوماتية والتقنية للجهة بحد أدنى ما يلي: 1-2-6-1 تقييم الثغرات ومعالجتها. 2-2-6-1 إجراء مراجعة للإعدادات والتحصين (Secure Configuration and Hardening) وحزم التحديثات قبل إطلاق وتدشين المشاريع والتغييرات.
3-6-1	يجب أن تغطي متطلبات الأمن السيبراني لمشاريع تطوير التطبيقات والبرمجيات الخاصة للجهة بحد أدنى ما يلي: 1-3-6-1 استخدام معايير التطوير الآمن للتطبيقات (Secure Coding Standards). 2-3-6-1 استخدام مصادر مرخصة وموثوقة لأدوات تطوير التطبيقات والمكتبات الخاصة بها (Libraries). 3-3-6-1 إجراء اختبار للتحقق من مدى استيفاء التطبيقات للمتطلبات الأمنية السيبرانية للجهة. 4-3-6-1 أمن التكامل (Integration) بين التطبيقات. 5-3-6-1 إجراء مراجعة للإعدادات والتحصين (Secure Configuration and Hardening) وحزم التحديثات قبل إطلاق وتدشين التطبيقات.
4-6-1	يجب مراجعة متطلبات الأمن السيبراني في إدارة المشاريع في الجهة دورياً.

7-1	الالتزام بتشريعات وتنظيمات ومعايير الأمن السيبراني
الهدف	ضمان التأكد من أن برنامج الأمن السيبراني لدى الجهة يتوافق مع المتطلبات التشريعية والتنظيمية ذات العلاقة.
الضوابط
1-7-1	يجب على الجهة الالتزام بالمتطلبات التشريعية والتنظيمية الوطنية المتعلقة بالأمن السيبراني.
2-7-1	في حال وجود اتفاقيات أو التزامات دولية معتمدة محلياً تتضمن متطلبات خاصة بالأمن السيبراني، فيجب على الجهة الالتزام بتلك المتطلبات.
8-1	المراجعة والتدقيق الدوري للأمن السيبراني
الهدف	ضمان التأكد من أن ضوابط الأمن السيبراني لدى الجهة مطبقة وتعمل وفقاً للسياسات والإجراءات التنظيمية للجهة، والمتطلبات التشريعية والتنظيمية الوطنية ذات العلاقة، والمتطلبات الدولية المقرّة تنظيمياً على الجهة.
الضوابط
1-8-1	يجب على الإدارة المعنية بالأمن السيبراني في الجهة مراجعة تطبيق ضوابط الأمن السيبراني دورياً.
2-8-1	يجب مراجعة وتدقيق تطبيق ضوابط الأمن السيبراني في الجهة، من قبل أطراف مستقلة عن الإدارة المعنية بالأمن السيبراني (مثل الإدارة المعنية بالمراجعة في الجهة). على أن تتم المراجعة والتدقيق بشكل مستقل يراعى فيه مبدأ عدم تعارض المصالح، وذلك وفقاً للمعايير العامة المقبولة للمراجعة والتدقيق والمتطلبات التشريعية والتنظيمية ذات العلاقة.
3-8-1	يجب توثيق نتائج مراجعة وتدقيق الأمن السيبراني، وعرضها على اللجنة الإشرافية للأمن السيبراني وصاحب الصلاحية. كما يجب أن تشتمل النتائج على نطاق المراجعة والتدقيق، والملاحظات المكتشفة، والتوصيات والإجراءات التصحيحية، وخطة معالجة الملاحظات.
9-1	الأمن السيبراني المتعلق بالموارد البشرية
الهدف	ضمان التأكد من أن مخاطر ومتطلبات الأمن السيبراني المتعلقة بالعاملين (موظفين ومتعاقدين) في الجهة تعالج بفعالية قبل وأثناء وعند انتهاء/إنهاء عملهم، وذلك وفقاً للسياسات والإجراءات التنظيمية للجهة، والمتطلبات التشريعية والتنظيمية ذات العلاقة.
الضوابط
1-9-1	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني المتعلقة بالعاملين قبل توظيفهم وأثناء عملهم وعند انتهاء/إنهاء عملهم في الجهة.
2-9-1	يجب تطبيق متطلبات الأمن السيبراني المتعلقة بالعاملين في الجهة.
3-9-1	يجب أن تغطي متطلبات الأمن السيبراني قبل بدء علاقة العاملين المهنية بالجهة بحد أدنى ما يلي: 1-3-9-1 تضمين مسؤوليات الأمن السيبراني وبنود المحافظة على سرية المعلومات (Non-Disclosure Clauses) في عقود العاملين في الجهة (لتشمل خلال وبعد انتهاء/إنهاء العلاقة الوظيفية مع الجهة). 2-3-9-1 إجراء المسح الأمني (Screening or Vetting) للعاملين في وظائف الأمن السيبراني والوظائف التقنية ذات الصلاحيات الهامة والحساسة.
4-9-1	يجب أن تغطي متطلبات الأمن السيبراني خلال علاقة العاملين المهنية بالجهة بحد أدنى ما يلي: 1-4-9-1 التوعية بالأمن السيبراني (عند بداية المهنة الوظيفية وخلالها). 2-4-9-1 تطبيق متطلبات الأمن السيبراني والالتزام بها وفقاً لسياسات وإجراءات وعمليات الأمن السيبراني للجهة.
5-9-1	يجب مراجعة وإلغاء الصلاحيات للعاملين مباشرة بعد انتهاء/إنهاء الخدمة المهنية لهم بالجهة.
6-9-1	يجب مراجعة متطلبات الأمن السيبراني المتعلقة بالعاملين في الجهة دورياً.

10-1	برنامج التوعية والتدريب بالأمن السيبراني
الهدف	ضمان التأكد من أن العاملين بالجهة لديهم التوعية الأمنية اللازمة وعلى دراية بمسؤولياتهم في مجال الأمن السيبراني. والتأكد من تزويد العاملين بالجهة بالمهارات والمؤهلات والدورات التدريبية المطلوبة في مجال الأمن السيبراني لحماية الأصول المعلوماتية والتقنية للجهة والقيام بمسؤولياتهم تجاه الأمن السيبراني.
الضوابط
1-10-1	يجب تطوير واعتماد برنامج للتوعية بالأمن السيبراني في الجهة من خلال قنوات متعددة دورياً، وذلك لتعزيز الوعي بالأمن السيبراني وتهديداته ومخاطره، وبناء ثقافة إيجابية للأمن السيبراني.
2-10-1	يجب تطبيق البرنامج المعتمد للتوعية بالأمن السيبراني في الجهة.
3-10-1	يجب أن يغطي برنامج التوعية بالأمن السيبراني كيفية حماية الجهة من أهم المخاطر والتهديدات السيبرانية وما يستجد منها، بما في ذلك: 1-3-10-1 التعامل الآمن مع خدمات البريد الإلكتروني خصوصاً مع رسائل التصيد الإلكتروني. 2-3-10-1 التعامل الآمن مع الأجهزة المحمولة ووسائط التخزين. 3-3-10-1 التعامل الآمن مع خدمات تصفح الإنترنت. 4-3-10-1 التعامل الآمن مع وسائل التواصل الاجتماعي.
4-10-1	يجب توفير المهارات المتخصصة والتدريب اللازم للعاملين في المجالات الوظيفية ذات العلاقة المباشرة بالأمن السيبراني في الجهة، وتصنيفها بما يتماشى مع مسؤولياتهم الوظيفية فيما يتعلق بالأمن السيبراني، بما في ذلك: 1-4-10-1 موظفو الإدارة المعنية بالأمن السيبراني. 2-4-10-1 الموظفون العاملون في تطوير البرامج والتطبيقات والموظفون المشغلون للأصول المعلوماتية والتقنية للجهة. 3-4-10-1 الوظائف الإشرافية والتنفيذية.
5-10-1	يجب مراجعة تطبيق برنامج التوعية بالأمن السيبراني في الجهة دورياً.

2- تعزيز الأمن السيبراني (Cybersecurity Defence)

1-2	إدارة الأصول (Asset Management)
الهدف	للتأكد من أن الجهة لديها قائمة جرد دقيقة وحديثة للأصول تشمل التفاصيل ذات العلاقة لجميع الأصول المعلوماتية والتقنية المتاحة للجهة، من أجل دعم العمليات التشغيلية للجهة ومتطلبات الأمن السيبراني، لتحقيق سرية وسلامة الأصول المعلوماتية والتقنية للجهة ودقتها وتوافرها.
الضوابط
1-1-2	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لإدارة الأصول المعلوماتية والتقنية للجهة.
2-1-2	يجب تطبيق متطلبات الأمن السيبراني لإدارة الأصول المعلوماتية والتقنية للجهة.
3-1-2	يجب تحديد وتوثيق واعتماد ونشر سياسة الاستخدام المقبول للأصول المعلوماتية والتقنية للجهة.
4-1-2	يجب تطبيق سياسة الاستخدام المقبول للأصول المعلوماتية والتقنية للجهة.
5-1-2	يجب تصنيف الأصول المعلوماتية والتقنية للجهة وترميزها (Labeling) والتعامل معها وفقاً للمتطلبات التشريعية والتنظيمية ذات العلاقة.
6-1-2	يجب مراجعة متطلبات الأمن السيبراني لإدارة الأصول المعلوماتية والتقنية للجهة دورياً.
2-2	إدارة هويات الدخول والصلاحيات (Identity and Access Management)
الهدف	ضمان حماية الأمن السيبراني للوصول المنطقي (Logical Access) إلى الأصول المعلوماتية والتقنية للجهة من أجل منع الوصول غير المصرح به وتقييد الوصول إلى ما هو مطلوب لإنجاز الأعمال المتعلقة بالجهة.
الضوابط
1-2-2	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لإدارة هويات الدخول والصلاحيات في الجهة.
2-2-2	يجب تطبيق متطلبات الأمن السيبراني لإدارة هويات الدخول والصلاحيات في الجهة.
3-2-2	يجب أن تغطي متطلبات الأمن السيبراني المتعلقة بإدارة هويات الدخول والصلاحيات في الجهة بحد أدنى ما يلي: 1-3-2-2 التحقق من الهوية أحادي العنصر (Single-factor authentication) بناءً على إدارة تسجيل المستخدم، وإدارة كلمة المرور. 2-3-2-2 التحقق من الهوية متعدد العناصر (Multi-Factor Authentication) وتحديد عناصر التحقق المناسبة وعددها وكذلك تقنيات التحقق المناسبة بناء على نتائج تقييم الأثر المحتمل لفشل عملية التحقق وتخطيها، وذلك لعمليات الدخول عن بعد. 3-3-2-2 إدارة تصاريح وصلاحيات المستخدمين (Authorization) بناءً على مبادئ التحكم بالدخول والصلاحيات (مبدأ الحاجة إلى المعرفة والاستخدام "Need-to-know and Need-to-use"، ومبدأ الحد الأدنى من الصلاحيات والامتيازات “Least Privilege"، ومبدأ فصل المهام "Segregation of Duties"). 4-3-2-2 إدارة الصلاحيات الهامة والحساسة (Privileged Access Management). 5-3-2-2 المراجعة الدورية لهويات الدخول والصلاحيات.
4-2-2	يجب مراجعة تطبيق متطلبات الأمن السيبراني لإدارة هويات الدخول والصلاحيات في الجهة دورياً.

3-2	حماية الأنظمة وأجهزة معالجة المعلومات (Information System and Processing Facilities Protection)
الهدف	ضمان حماية الأنظمة وأجهزة معالجة المعلومات بما في ذلك أجهزة المستخدمين والبنى التحتية للجهة من المخاطر السيبرانية.
الضوابط
1-3-2	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لحماية الأنظمة وأجهزة معالجة المعلومات للجهة.
2-3-2	يجب تطبيق متطلبات الأمن السيبراني لحماية الأنظمة وأجهزة معالجة المعلومات للجهة.
3-3-2	يجب أن تغطي متطلبات الأمن السيبراني لحماية الأنظمة وأجهزة معالجة المعلومات للجهة بحد أدنى ما يلي: 1-3-3-2 الحماية من الفيروسات والبرامج والأنشطة المشبوهة والبرمجيات الضارة (Malware) على أجهزة المستخدمين والخوادم باستخدام تقنيات وآليات الحماية الحديثة والمتقدمة، وإدارتها بشكل آمن. 2-3-3-2 التقييد الحازم لاستخدام أجهزة وسائط التخزين الخارجية والأمن المتعلق بها. 3-3-3-2 إدارة حزم التحديثات والإصلاحات للأنظمة والتطبيقات والأجهزة (Patch Management). 4-3-3-2 مزامنة التوقيت (Clock Synchronization) مركزياً ومن مصدر دقيق وموثوق، ومن هذه المصادر ما توفره الهيئة السعودية للمواصفات والمقاييس والجودة.
4-3-2	يجب مراجعة متطلبات الأمن السيبراني لحماية الأنظمة وأجهزة معالجة المعلومات للجهة دورياً.
4-2	حماية البريد الإلكتروني (Email Protection)

الهدف	ضمان حماية البريد الإلكتروني للجهة من المخاطر السيبرانية.
الضوابط
1-4-2	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لحماية البريد الإلكتروني للجهة.
2-4-2	يجب تطبيق متطلبات الأمن السيبراني لحماية البريد الإلكتروني للجهة.
3-4-2	يجب أن تغطي متطلبات الأمن السيبراني لحماية البريد الإلكتروني للجهة بحد أدنى ما يلي: 1-3-4-2 تحليل وتصفية (Filtering) رسائل البريد الإلكتروني (وخصوصاً رسائل التصيّد الإلكتروني "Phishing Emails" والرسائل الإقتحامية "Spam Emails") باستخدام تقنيات وآليات الحماية الحديثة والمتقدمة للبريد الإلكتروني. 2-3-4-2 التحقق من الهوية متعدد العناصر (Multi-Factor Authentication) وتحديد عناصر التحقق المناسبة وعددها وكذلك تقنيات التحقق المناسبة بناء على نتائج تقييم الأثر المحتمل لفشل عملية التحقق وتخطيها، وذلك للدخول عن بعد والدخول عن طريق صفحة موقع البريد الإلكتروني (Webmail). 3-3-4-2 النسخ الاحتياطي والأرشفة للبريد الإلكتروني. 4-3-4-2 الحماية من التهديدات المتقدمة المستمرة (APT Protection)، التي تستخدم عادة الفيروسات والبرمجيات الضارة غير المعروفة مسبقاً (Zero-Day Malware)، وإدارتها بشكل آمن. 5-3-4-2 توثيق مجال البريد الإلكتروني للجهة من خلال منصة حصين باستخدام إطار سياسة المرسل (Sender Policy Framework “SPF”) والبريد المعرّف بمفاتيح النطاق (Domain Keys Identified Mail “DKIM”) وسياسة مصادقة الرسائل والإبلاغ عنها (Domain Message Authentication Reporting and Conformance “DMARC”).
4-4-2	يجب مراجعة تطبيق متطلبات الأمن السيبراني الخاصة بحماية البريد الإلكتروني للجهة دورياً.

5-2	إدارة أمن الشبكات (Networks Security Management)
الهدف	ضمان حماية شبكات الجهة من المخاطر السيبرانية.
الضوابط
1-5-2	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لإدارة أمن شبكات الجهة.
2-5-2	يجب تطبيق متطلبات الأمن السيبراني لإدارة أمن شبكات الجهة.
3-5-2	يجب أن تغطي متطلبات الأمن السيبراني لإدارة أمن شبكات الجهة بحد أدنى ما يلي: 1-3-5-2 العزل والتقسيم المادي أو المنطقي لأجزاء الشبكات بشكل آمن، واللازم للسيطرة على مخاطر الأمن السيبراني ذات العلاقة، باستخدام جدار الحماية (Firewall) ومبدأ الدفاع الأمني متعدد المراحل (Defense-in-Depth). 2-3-5-2عزل شبكة بيئة الإنتاج عن شبكات بيئات التطوير والاختبار. 3-3-5-2أمن التصفح والاتصال بالإنترنت، ويشمل ذلك التقييد الحازم للمواقع الإلكترونية المشبوهة، ومواقع مشاركة وتخزين الملفات، ومواقع الدخول عن بعد. 4-3-5-2 أمن الشبكات اللاسلكية وحمايتها باستخدام وسائل آمنة للتحقق من الهوية والتشفير، وعدم ربط الشبكات اللاسلكية بشبكة الجهة الداخلية إلا بناءً على دراسة متكاملة للمخاطر المترتبة على ذلك والتعامل معها بما يضمن حماية الأصول التقنية للجهة. 5-3-5-2 قيود وإدارة منافذ وبروتوكولات وخدمات الشبكة. 6-3-5-2 أنظمة الحماية المتقدمة لاكتشاف ومنع الاختراقات (Intrusion Prevention Systems). 7-3-5-2 أمن نظام أسماء النطاقات (DNS). 8-3-5-2 حماية قناة تصفح الإنترنت من التهديدات المتقدمة المستمرة (APT Protection)، التي تستخدم عادة الفيروسات والبرمجيات الضارة غير المعروفة مسبقاً (Zero-Day Malware)، وإدارتها بشكل آمن. 9-3-5-2 الحماية من هجمات تعطيل الشبكات (Distributed Denial of Service Attack “DDoS”) للحد من المخاطر الناتجة عن هجمات تعطيل الشبكات.
4-5-2	يجب مراجعة تطبيق متطلبات الأمن السيبراني لإدارة أمن شبكات الجهة دورياً.

6-2	أمن الأجهزة المحمولة (Mobile Devices Security)
الهدف	ضمان حماية أجهزة الجهة المحمولة (بما في ذلك أجهزة الحاسب المحمول والهواتف الذكية والأجهزة الذكية اللوحية) من المخاطر السيبرانية. وضمان التعامل بشكل آمن مع المعلومات الحساسة والمعلومات الخاصة بأعمال الجهة وحمايتها أثناء النقل والتخزين عند استخدام الأجهزة الشخصية للعاملين في الجهة (مبدأ "BYOD").
الضوابط
1-6-2	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني الخاصة بأمن الأجهزة المحمولة والأجهزة الشخصية للعاملين (BYOD) عند ارتباطها بشبكة الجهة.
2-6-2	يجب تطبيق متطلبات الأمن السيبراني الخاصة بأمن الأجهزة المحمولة وأجهزة (BYOD) للجهة.
3-6-2	يجب أن تغطي متطلبات الأمن السيبراني الخاصة بأمن الأجهزة المحمولة وأجهزة (BYOD) للجهة بحد أدنى ما يلي: 1-3-6-2 فصل وتشفير البيانات والمعلومات (الخاصة بالجهة) المخزنة على الأجهزة المحمولة وأجهزة (BYOD). 2-3-6-2 الاستخدام المحدد والمقيد بناءً على ما تتطلبه مصلحة أعمال الجهة. 3-3-6-2 حذف البيانات والمعلومات (الخاصة بالجهة) المخزنة على الأجهزة المحمولة وأجهزة (BYOD) عند فقدان الأجهزة أو بعد انتهاء/إنهاء العلاقة الوظيفية مع الجهة. 4-3-6-2 التوعية الأمنية للمستخدمين.
4-6-2	يجب مراجعة تطبيق متكلبات الأمن السيبراني الخاصة لأمن الأجهزة المحمولة و أجهزة (BYOD) للجهة دورياً.

7-2	حماية البيانات والمعلومات (Data and Information Protection)
الهدف	ضمان حماية السرية وسلامة بيانات ومعلومات الجهة ودقتها وتوافرها، وذلك وفقاً للسياسات والإجراءات التنظيمية للجهة، والمتطلبات التشريعية والتنظيمية ذات العلاقة.
الضوابط
1-7-2	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لحماية بيانات ومعلومات الجهة، والتعامل معها وفقاً للمتطلبات التشريعية والتنظيمية ذات العلاقة.
2-7-2	يجب تطبيق متطلبات الأمن السيبراني لحماية بيانات ومعلومات الجهة.
3-7-2	يجب أن تغطي متطلبات الأمن السيبراني لحماية بيانات ومعلومات الجهة بحد أدنى المتطلبات المذكورة في ضوابط الأمن السيبراني للبيانات الصادرة من الهيئة.
4-7-2	يجب مراجعة تطبيق متطلبات الأمن السيبراني لحماية بيانات ومعلومات الجهة دورياً.
8-2	التشفير (Cryptography)
الهدف	ضمان الاستخدام السليم والفعال للتشفير لحماية الأصول المعلوماتية الإلكترونية للجهة، وذلك وفقاً للمعايير الوطنية للتشفير الصادرة من الهيئة، وللسياسات والإجراءات التنظيمية للجهة، وبناء على تقيم المخاطر، وبحسب المتطلبات التشريعية والتنظيمية ذات العلاقة.
الضوابط
1-8-2	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني للتشفير في الجهة.
2-8-2	يجب تطبيق متطلبات الأمن السيبراني للتشفير في الجهة.
3-8-2	يجب أن تغطي متطلبات الأمن السيبراني للتشفير بحد أدنى المتطلبات المذكورة في المعايير الوطنية للتشفير الصادرة من الهيئة، مع تطبيق مستوى التشفير المناسب، وذلك بحسب طبيعة ومستوى حساسية البيانات والأنظمة والشبكات وبناءً على تقييم المخاطر من قبل الجهة وحسب المتطلبات التشريعية والتنظيمية ذات العلاقة، وفقاً لما يلي: 1-3-8-2 معايير أنظمة وحلول التشفير المعتمدة والقيود المطبقة عليها (تقنياً وتنظيمياً). 2-3-8-2 الإدارة الآمنة لمفاتيح التشفير خلال عمليات دورة حياتها. 3-3-8-2 تشفير البيانات أثناء النقل والتخزين والمعالجة بناءً على تصنيفها وحسب المتطلبات التشريعية والتنظيمية ذات العلاقة.
4-8-2	يجب مراجعة تطبيق متطلبات الأمن السيبراني للتشفير في الجهة دورياً.

9-2	إدارة النسخ الاحتياطية (Backup and Recovery Management)
الهدف	ضمان حماية بيانات ومعلومات الجهة والإعدادات التقنية للأنظمة والتطبيقات الخاصة بالجهة من الأضرار الناجمة عن المخاطر السيبرانية، وذلك وفقاً للسياسات والإجراءات التنظيمية للجهة، والمتطلبات التشريعية والتنظيمية ذات العلاقة.
الضوابط
1-9-2	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لإدارة النسخ الاحتياطية للجهة.
2-9-2	يجب تطبيق متطلبات الأمن السيبراني لإدارة النسخ الاحتياطية للجهة.
3-9-2	يجب أن تغطي متطلبات الأمن السيبراني لإدارة النسخ الاحتياطية بحد أدنى ما يلي: 1-3-9-2 نطاق النسخ الاحتياطية وشموليتها للأصول المعلوماتية والتقنية الحساسة. 2-3-9-2 القدرة السريعة على استعادة البيانات والأنظمة بعد التعرض لحوادث الأمن السيبراني. 3-3-9-2 إجراء فحص دوري لمدى فعالية استعادة النسخ الاحتياطية.
4-9-2	يجب مراجعة تطبيق متطلبات الأمن السيبراني لإدارة النسخ الاحتياطية للجهة.

10-2	إدارة الثغرات (Vulnerabilities Management)
الهدف	ضمان اكتشاف الثغرات التقنية في الوقت المناسب ومعالجتها بشكل فعال، وذلك لمنع أو تقليل احتمالية استغلال هذه الثغرات من قبل الهجمات السيبرانية وتقليل الآثار المترتبة على أعمال الجهة.
الضوابط
1-10-2	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لإدارة الثغرات التقنية للجهة.
2-10-2	يجب تطبيق متطلبات الأمن السيبراني لإدارة الثغرات التقنية للجهة.
3-10-2	يجب أن تغطي متطلبات الأمن السيبراني لإدارة الثغرات بحد أدنى ما يلي: 1-3-10-2 فحص واكتشاف الثغرات دورياً. 2-3-10-2 تصنيف الثغرات حسب خطورتها. 3-3-10-2 معالجة الثغرات بناءً على تصنيفها والمخاطر السيبرانية المترتبة عليها. 4-3-10-2 إدارة حزم التحديثات والإصلاحات الأمنية لمعالجة الثغرات، على أن يتم التحقق من سلامة وفعالية تلك التحديثات والإصلاحات الأمنية على بيئة غير بيئة الإنتاج قبل تطبيقها. 5-3-10-2 التواصل والاشتراك مع مصادر موثوقة فيما يتعلق بالتنبيهات المتعلقة بالثغرات الجديدة والمحدثة.
4-10-2	يجب مراجعة تطبيق متطلبات الأمن السيبراني لإدارة الثغرات التقنية للجهة دورياً.

11-2	اختبار الاختراق (Penetration Testing)
الهدف	تقييم واختبار مدى فعالية قدرات تعزيز الأمن السيبراني في الجهة، وذلك من خلال عمل محاكاة لتقنيات وأساليب الهجوم السيبراني الفعلية. ولاكتشاف نقاط الضعف الأمنية غير المعروفة والتي قد تؤدي إلى الاختراق السيبراني للجهة. وذلك وفقاً للمتطلبات التشريعية والتنظيمية ذات العلاقة.
الضوابط
1-11-2	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لعمليات اختبار الاختراق في الجهة.
2-11-2	يجب تنفيذ عمليات اختبار الاختراق في الجهة.
3-11-2	يجب أن تغطي متطلبات الأمن السيبراني لاختبار الاختراق بحد أدنى ما يلي: 1-3-11-2 نطاق عمل اختبار الاختراق، ليشمل جميع الخدمات المقدمة خارجياً (عن طريق الإنترنت) ومكوناتها التقنية، ومنها: البنية التحتية، المواقع الإلكترونية، تطبيقات الويب، تطبيقات الهواتف الذكية واللوحية، البريد الإلكتروني والدخول عن بعد. 2-3-11-2 عمل اختبار الاختراق دورياً.
4-11-2	يجب مراجعة تطبيق متطلبات الأمن السيبراني لعمليات اختبار الاختراق في الجهة دورياً.
12-2	إدارة سجلات الأحداث ومراقبة الأمن السيبراني (Cybersecurity Event Logs and Monitoring Management)
الهدف	ضمان تجميع وتحليل ومراقبة سجلات أحداث الأمن السيبراني في الوقت المناسب من أجل الاكتشاف الاستباقي للهجمات السيبرانية وإدارة مخاطرها بفعالية لمنع أو تقليل الآثار المترتبة على أعمال الجهة.
الضوابط
1-12-2	يجب تحديد وتوثيق واعتماد متطلبات إدارة سجلات الأحداث ومراقبة الأمن السيبراني للجهة.
2-12-2	يجب تطبيق متطلبات إدارة سجلات الأحداث ومراقبة الأمن السيبراني للجهة.
3-12-2	يجب أن تغطي متطلبات إدارة سجلات الأحداث ومراقبة الأمن السيبراني بحد أدنى ما يلي: 1-3-12-2 تفعيل سجلات الأحداث (Event logs) الخاصة بالأمن السيبراني على الأصول المعلوماتية الحساسة لدى الجهة. 2-3-12-2 تفعيل سجلات الأحداث الخاصة بالحسابات ذات الصلاحيات الهامة والحساسة على الأصول المعلوماتية وأحداث عمليات الدخول عن بعد لدى الجهة. 3-3-12-2 تحديد التقنيات اللازمة (SIEM) لجمع سجلات الأحداث الخاصة بالأمن السيبراني. 4-3-12-2 المراقبة المستمرة لسجلات الأحداث الخاصة بالأمن السيبراني. 5-3-12-2 مدة الاحتفاظ بسجلات الأحداث الخاصة بالأمن السيبراني (على ألا تقل عن 12 شهر).
4-12-2	يجب مراجعة تطبيق متطلبات إدارة سجلات الأحداث ومراقبة الأمن السيبراني في الجهة دورياً.

13-2	إدارة حوادث وتهديدات الأمن السيبراني ((Cybersecurity Incident and Threat Management
الهدف	ضمان تحديد واكتشاف حوادث الأمن السيبراني في الوقت المناسب وإدارتها بشكل فعّال والتعامل مع تهديدات الأمن السيبراني استباقياً من أجل منع أو تقليل الآثار المترتبة على أعمال الجهة. مع مراعاة ما ورد في الأمر السامي الكريم رقم 37140 وتاريخ 14 / 8 / 1438 هـ.
الضوابط
1-13-2	يجب تحديد وتوثيق واعتماد متطلبات إدارة حوادث وتهديدات الأمن السيبراني في الجهة.
2-13-2	يجب تطبيق متطلبات إدارة حوادث وتهديدات الأمن السيبراني في الجهة.
3-13-2	يجب أن تغطي متطلبات إدارة حوادث وتهديدات الأمن السيبراني بحد أدنى ما يلي: 1-3-13-2 وضع خطط الاستجابة للحوادث الأمنية وآليات التصعيد. 2-3-13-2 تصنيف حوادث الأمن السيبراني. 3-3-13-2 تبليغ الهيئة عند حدوث حادثة أمن سيبراني. 4-3-13-2 مشاركة التنبيهات والمعلومات الاستباقية ومؤشرات الاختراق وتقارير حوادث الأمن السيبراني مع الهيئة. 5-3-13-2 الحصول على المعلومات الاستباقية (Threat Intelligence) والتعامل معها.
4-13-2	يجب مراجعة تطبيق متطلبات إدارة حوادث وتهديدات الأمن السيبراني في الجهة دورياً.

14-2	الأمن المادي (Physical Security)
الهدف	ضمان حماية الأصول المعلوماتية والتقنية للجهة من الوصول المادي غير المصرح به والفقدان والسرقة والتخريب.
الضوابط
1-14-12	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لحماية الأصول المعلوماتية والتقنية للجهة من الوصول المادي غير المصرح به والفقدان والسرقة والتخريب.
2-14-2	يجب تطبيق متطلبات الأمن السيبراني لحماية الأصول المعلوماتية والتقنية للجهة من الوصول المادي غير المصرح به والفقدان والسرقة والتخريب.
3-14-2	يجب أن تغطي متطلبات الأمن السيبراني لحماية الأصول المعلوماتية والتقنية للجهة من الوصول المادي غير المصرح به والفقدان والسرقة والتخريب بحد أدنى ما يلي: 1-3-14-2 الدخول المصرح به للأماكن الحساسة في الجهة (مثل: مركز بيانات الجهة، مركز التعافي من الكوارث، أماكن معالجة المعلومات الحساسة، مركز المراقبة الأمنية، غرف اتصالات الشبكة، مناطق الإمداد الخاصة بالأجهزة والعتاد التقنية، وغيرها). 2-3-14-2 سجلات الدخول والمراقبة (CCTV). 3-3-14-2 حماية معلومات سجلات الدخول والمراقبة. 4-3-14-2 أمن إتلاف وإعادة استخدام الأصول المادية التي تحوي معلومات مصنفة (وتشمل: الوثائق الورقية ووسائط الحفظ والتخزين). 5-3-14-2 أمن الأجهزة والمعدات داخل مباني الجهة وخارجها.
4-14-2	يجب مراجعة متطلبات الأمن السيبراني لحماية الأصول المعلوماتية والتقنية للجهة من الوصول المادي غير المصرح به والفقدان والسرقة والتخريب دورياً.

15-2	حماية تطبيقات الويب (Web Application Security)
الهدف	ضمان حماية تطبيقات الويب الخارجية للجهة من المخاطر السيبرانية.
الضوابط
1-15-2	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لحماية تطبيقات الويب الخارجية للجهة من المخاطر السيبرانية.
2-15-2	يجب تطبيق متطلبات الأمن السيبراني لحماية تطبيقات الويب الخارجية للجهة.
3-15-2	يجب أن تغطي متطلبات الأمن السيبراني لحماية تطبيقات الويب الخارجية للجهة بحد أدنى ما يلي: 1-3-15-2 استخدام جدار الحماية لتطبيقات الويب (Web Application Firewall). 2-3-15-2 استخدام مبدأ المعمارية متعددة المستويات (Multi-tier Architecture). 3-3-15-2 استخدام بروتوكولات آمنة (مثل بروتوكول HTTPS). 4-3-15-2 توضيح سياسة الاستخدام الآمن للمستخدمين. 5-3-15-2 التحقق من الهوية على أن يتم تحديد عناصر التحقق المناسبة وعددها وكذلك تقنيات التحقق المناسبة بناء على نتائج تقييم الأثر المحتمل لفشل عملية التحقق وتخطيها، وذلك لعمليات دخول المستخدمين.
4-15-2	يجب مراجعة متطلبات الأمن السيبراني لحماية تطبيقات الويب للجهة من المخاطر السيبرانية دورياً.

3- صمود الأمن السيبراني (Cybersecurity Resilience)

1-3	جوانب صمود الأمن السيبراني في إدارة استمرارية الأعمال (Cybersecurity Resilience aspects of Business Continuity Management “BCM")
الهدف	ضمان توافر متطلبات صمود الأمن السيبراني في إدارة استمرارية أعمال الجهة. وضمان معالجة وتقليل الآثار المترتبة على الاضطرابات في الخدمات الإلكترونية الحرجة للجهة وأنظمة وأجهزة معالجة معلوماتها جراء الكوارث الناتجة عن المخاطر السيبرانية.
الضوابط
1-1-3	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني ضمن إدارة استمرارية أعمال الجهة.
2-1-3	يجب تطبيق متطلبات الأمن السيبراني ضمن إدارة استمرارية أعمال الجهة.
3-1-3	يجب أن تغطي إدارة استمرارية الأعمال في الجهة بحد أدنى ما يلي: 1-3-1-3 التأكد من استمرارية الأنظمة والإجراءات المتعلقة بالأمن السيبراني. 2-3-1-3 وضع خطط الاستجابة لحوادث الأمن السيبراني التي قد تؤثر على استمرارية أعمال الجهة. 3-3-1-3 وضع خطط التعافي من الكوارث (Disaster Recovery Plan).
4-1-3	يجب مراجعة متطلبات الأمن السيبراني ضمن إدارة استمرارية أعمال الجهة دورياً.

4- الأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية

(Third-Party and Cloud Computing Cybersecurity)

1-4	الأمن السيبراني المتعلق بالأطراف الخارجية
الهدف	ضمان حماية أصول الجهة من مخاطر الأمن السيبراني المتعلقة بالأطراف الخارجية (بما في ذلك خدمات الإسناد لتقنية المعلومات "Outsourcing" والخدمات المدارة "Managed Services"). وفقاً للسياسات والإجراءات التنظيمية للجهة، والمتطلبات التشريعية والتنظيمية ذات العلاقة.
الضوابط
1-1-4	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني ضمن العقود والاتفاقيات مع الأطراف الخارجية للجهة.
2-1-4	يجب أن تغطي متطلبات الأمن السيبراني ضمن العقود والاتفاقيات (مثل اتفاقية مستوى الخدمة SLA) مع الأطراف الخارجية التي قد تتأثر بإصابتها بيانات الجهة أو الخدمات المقدمة لها بحد أدنى ما يلي: 1-2-1-4 بنود المحافظة على سرية المعلومات (Non-Disclosure Clauses) والحذف الآمن من قِبَل الطرف الخارجي لبيانات الجهة عند انتهاء الخدمة. 2-2-1-4 إجراءات التواصل في حال حدوث حادثة أمن سيبراني. 3-2-1-4 إلزام الطرف الخارجي بتطبيق متطلبات وسياسات الأمن السيبراني للجهة والمتطلبات التشريعية والتنظيمية ذات العلاقة.
3-1-4	يجب أن تغطي متطلبات الأمن السيبراني مع الأطراف الخارجية التي تقدم خدمات إسناد لتقنية المعلومات، أو خدمات مدارة بحد أدنى ما يلي: 1-3-1-4 إجراء تقييم لمخاطر الأمن السيبراني، والتأكد من وجود ما يضمن السيطرة على تلك المخاطر، قبل توقيع العقود والاتفاقيات أو عند تغيير المتطلبات التشريعية والتنظيمية ذات العلاقة. 2-3-1-4 أن تكون مراكز عمليات خدمات الأمن السيبراني المدارة للتشغيل والمراقبة، والتي تستخدم طريقة الوصول عن بعد، موجودة بالكامل داخل المملكة.
4-1-4	يجب مراجعة متطلبات الأمن السيبراني مع الأطراف الخارجية دورياً.

2-4	الأمن السيبراني المتعلق بالحوسبة السحابية والاستضافة
الهدف	ضمان معالجة المخاطر السيبرانية وتنفيذ متطلبات الأمن السيبراني للحوسبة السحابية والاستضافة بشكل ملائم وفعّال، وذلك وفقاً للسياسات والإجراءات التنظيمية للجهة، والمتطلبات التشريعية والتنظيمية والأوامر والقرارات ذات العلاقة. وضمان حماية الأصول المعلوماتية والتقنية للجهة على خدمات الحوسبة السحابية التي تتم استضافتها أو معالجتها أو إدارتها بواسطة أطراف خارجية.
الضوابط
1-2-4	يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني الخاصة باستخدام خدمات الحوسبة السحابية والاستضافة.
2-2-4	يجب تطبيق متطلبات الأمن السيبراني الخاصة بخدمات الحوسبة السحابية والاستضافة للجهة.
3-2-4	بما يتوافق مع المتطلبات التشريعية والتنظيمية ذات العلاقة، وبالإضافة إلى ما ينطبق من الضوابط ضمن المكونات الرئيسية رقم (1) و (2) و (3) والمكون الفرعي رقم (4-1) الضرورية لحماية بيانات الجهة أو الخدمات المقدمة لها، يجب أن تغطي متطلبات الأمن السيبراني الخاصة باستخدام خدمات الحوسبة السحابية والاستضافة بحد أدنى ما يلي: 1-3-2-4 تصنيف البيانات قبل استضافتها لدى مقدمي خدمات الحوسبة السحابية والاستضافة، وإعادتها للجهة (بصيغة قابلة للاستخدام) عند انتهاء الخدمة. 2-3-2-4 فصل البيئة الخاصة بالجهة (وخصوصاً الخوادم الافتراضية) عن غيرها من البيئات التابعة لجهات أخرى في خدمات الحوسبة السحابية.
4-2-4	يجب مراجعة متطلبات الأمن السيبراني الخاصة بخدمات الحوسبة السحابية والاستضافة دورياً.

ملاحق

ملحق (أ): مصطلحات وتعريفات

يوضح الجدول 2 أدناه بعض المصطلحات وتعريفاتها التي ورد ذكرها في هذه الضوابط.

جدول2: مصطلحات وتعريفات

المصطلح

التعريف

الحماية من التهديدات المتقدمة المستمرة

Advanced Persistent Threat (APT) Protection

الحماية من التهديدات المتقدمة التي تستخدم أساليب خفية تهدف إلى الدخول غير المشروع على الأنظمة والشبكات التقنية ومحاولة البقاء فيها لأطول فترة ممكنة عن طريق تفادي أنظمة الكشف والحماية. وهذه الأساليب تستخدم عادة الفيروسات والبرمجيات الضارة غير المعروفة مسبقاً (Zero-Day Malware) لتحقيق هدفها.

الأصل

Asset

أي شيء ملموس أو غير ملموس له قيمة بالنسبة للجهة. هناك أنواع كثيرة من الأصول؛ بعض هذه الأصول تتضمن أشياء واضحة، مثل: الأشخاص، والآلات، والمرافق، وبراءات الاختراع، والبرمجيات والخدمات. ويمكن أن يشمل المصطلح أيضاً أشياء أقل وضوحاً، مثل: المعلومات والخصائص (مثل: سمعة الجهة وصورتها العامة، أو المهارة والمعرفة).

هجوم

Attack

أي نوع من الأنشطة الخبيثة التي تحاول الوصول بشكل غير مشروع أو جمع موارد النظم المعلوماتية أو المعلومات نفسها أو تعطيلها أو منعها أو تحطيمها أو تدميرها.

تدقيق

Audit

المراجعة المستقلة ودراسة السجلات والأنشطة لتقييم مدى فعالية ضوابط الأمن السيبراني ولضمان الالتزام بالسياسات، والإجراءات التشغيلية، والمعايير والمتطلبات التشريعية والتنظيمية ذات العلاقة.

التحقق

Authentication

التأكد من هوية المستخدم أو العملية أو الجهاز، وغالباً ما يكون هذا الأمر شرطاً أساسياً للسماح بالوصول إلى الموارد في النظام.

صلاحية المستخدم

Authorization

خاصية تحديد والتأكد من حقوق/تراخيص المستخدم للوصول إلى الموارد والأصول المعلوماتية والتقنية للجهة والسماح له وفقاً لما حدد مسبقاً في حقوق/تراخيص المستخدم.

توافر

Availability

ضمان الوصول إلى المعلومات والبيانات والأنظمة والتطبيقات واستخدامها في الوقت المناسب.

النسخ الاحتياطية

Backup

الملفات والأجهزة والبيانات والإجراءات المتاحة للاستخدام في حالة الأعطال أو الفقدان، أو إذا حذف الأصل منها أو توقف عن الخدمة.

أحضر الجهاز الخاص بك

Bring Your Own Device (BYOD)

يشير هذا المصطلح إلى سياسة جهة تسمح (سواءً بشكل جزئي أو كلي) للعاملين فيها بجلب الأجهزة الشخصية الخاصة بهم (أجهزة الكمبيوتر المحمولة والأجهزة اللوحية والهواتف الذكية) إلى أماكن العمل في الجهة، واستخدام هذه الأجهزة للوصول إلى الشبكات والمعلومات والتطبيقات والأنظمة التابعة للجهة المقيدة بصلاحيات دخول.

الدائرة التلفزيونية المغلقة

(CCTV)

يستخدم التليفزيون ذو الدائرة المغلقة، والمعروف أيضاً باسم المراقبة بالفيديو، كاميرات الفيديو لإرسال إشارة إلى مكان محدد على مجموعة محدودة من الشاشات. وغالباً ما يطلق هذا المصطلح على تلك التقنية المستخدمة للمراقبة في المناطق التي قد تحتاج إلى مراقبة حيث يشكل الأمن المادي مطلباً هاماً فيها.

إدارة التغيير

Change Management

وهو نظام لإدارة الخدمة حيث يضمن منهجاً نظامياً واستباقياً باستخدام أساليب وإجراءات معيارية فعالة (على سبيل المثال: التغيير في البنية التحتية للجهة، وشبكاتها، إلخ). تساعد إدارة التغيير جميع الأطراف المعنيين، بما في ذلك الأفراد والفرق على حد سواء، على الانتقال من حالتهم الحالية إلى الحالة المرغوبة التالية، كما تساعد إدارة التغيير أيضاً على تقليل تأثير الحوادث ذات العلاقة على الخدمة.

الحوسبة السحابية

Cloud Computing

نموذج لتمكين الوصول عند الطلب إلى مجموعة مشتركة من موارد تقنية المعلومات (مثل: الشبكات والخوادم والتخزين والتطبيقات والخدمات) التي يمكن توفيرها بسرعة وإطلاقها بالحد الأدنى من الجهد الإداري التشغيلي والتدخل/التفاعل لإعداد الخدمة من مزود الخدمة. تسمح الحوسبة السحابية للمستخدمين بالوصول إلى الخدمات القائمة على التقنية من خلال شبكة الحوسبة السحابية دون الحاجة لوجود معرفة لديهم أو تحكم في البنية التحتية التقنية التي تدعمهم.

يتألف نموذج الحوسبة السحابية من خمس خصائص أساسية: خدمة ذاتية حسب الطلب، ووصول إلى الشبكة بشكل واسع، ومجمع الموارد، ومرونة سريعة، والخدمة المقاسة.

وهناك ثلاثة نماذج لتقديم خدمات الحوسبة السحابية وهي: البرمجيات السحابية كخدمة Software-as-Service “SaaS"، والنظام أو المنصة السحابية كخدمة Platform-as-Service “PaaS"، والبنية التحتية السحابية كخدمةInfrastructure-as-Service “IaaS".

كما أن هناك أربعة نماذج للحوسبة السحابية حسب طبيعة الدخول: الحوسبة السحابية العامة، والحوسبة السحابية المجتمعية، والحوسبة السحابية الخاصة، والحوسبة السحابية الهجين.

انتهاك أمني

Compromise

الإفصاح عن أو الحصول على معلومات لأشخاص غير مصرح تسريبها أو الحصول عليها، أو انتهاك السياسة الأمنية السيبرانية للجهة بالإفصاح عن أو تغيير أو تخريب أو فقد شيء سواءً بقصد أو بغير قصد.

ويقصد بالانتهاك الأمني الإفصاح عن أو الحصول على بيانات حساسة أو تسريبها أو تغييرها أو تبديلها أو استخدامها بدون تصريح (بما في ذلك مفاتيح تشفير النصوص وغيرها من المعايير الأمنية السيبرانية الحرجة).

السرية

Confidentiality

الاحتفاظ بقيود مصرح بها على الوصول إلى المعلومات والإفصاح عنها بما في ذلك وسائل حماية معلومات الخصوصية والملكية الشخصية.

المعلومات (أو البيانات) الحساسة

Confidential Data/Information

هي المعلومات (أو البيانات) التي تعتبر غاية في الحساسية والأهمية، حسب تصنيف الجهة، والُمعدة للاستخدام من قبل جهة أو جهات محددة. وأحد الطرق التي يمكن استخدامها في تصنيف هذا النوع من المعلومات هو قياس مدى الضرر عند الإفصاح عنها أو الاطلاع عليها بشكل غير مصرح به أو فقدها أو تخريبها، حيث قد يؤدي ذلك إلى أضرار مادية أو معنوية على الجهة أو المتعاملين معها، أو التأثير على حياة الأشخاص ذو العلاقة بتلك المعلومات، أو التأثير والضرر بأمن الدولة أو اقتصادها الوطني أو مقدراتها الوطنية.

وتشمل المعلومات الحساسة كل المعلومات التي يترتب على الإفصاح عنها بشكل غير مصرح به أو فقدها أو تخريبها مساءلة أو عقوبات نظامية.

البنية التحتية الوطنية الحساسة

Critical National Infrastructure

تلك العناصر الأساسية للبنية التحتية (أي الأصول، والمرافق، والنظم، والشبكات، والعمليات، والعاملون الأساسيون الذين يقومون بتشغيلها ومعالجتها)، والتي قد يؤدي فقدانها أو تعرضها لانتهاكات أمنية إلى:

أثر سلبي كبير على توافر الخدمات الأساسية أو تكاملها أو تسليمها -بما في ذلك الخدمات التي يمكن أن تؤدي في حال تعرضت سلامتها للخطر إلى خسائر كبيرة في الممتلكات و/أو الأرواح و/أو الإصابات- مع مراعاة الآثار الاقتصادية و/أو الاجتماعية على المستوى الوطني.

تأثير كبير على الأمن الوطني و/أو الدفاع الوطني و/أو اقتصاد الدولة أو مقدراتها الوطنية.

التشفير

Cryptography

(ويسمى أيضاً علم التشفير) وهي القواعد التي تشتمل مبادئ ووسائل وطرق تخزين ونقل البيانات أو المعلومات في شكل معين وذلك من أجل إخفاء محتواها الدلالي، ومنع الاستخدام غير المصرح به أو منع التعديل غير المكتشف، بحيث لا يمكن لغير الأشخاص المعنيين قراءتها ومعالجتها.

الهجوم السيبراني

Cyber-Attack

محاولة متعمدة للتأثير السلبي على الأمن السيبراني، سواءً نجحت في ذلك أو لم تنجح.

المخاطر السيبرانية

Cyber Risks

المخاطر التي تمس عمليات أعمال الجهة (بما في ذلك رؤية الجهة أو رسالتها أو إداراتها أو صورتها أو سمعتها) أو أصول الجهة أو الأفراد أو الجهات الأخرى أو الدولة، بسبب إمكانية الوصول غير المصرح به أو الاستخدام أو الإفصاح أو التعطيل أو التعديل أو تدمير المعلومات و/أو نظم المعلومات.

الصمود الأمني السيبراني

Cybersecurity Resilience

القدرة الشاملة للجهة على الصمود أمام الأحداث السيبرانية، ومسببات الضرر، والتعافي منها.

الأمن السيبراني

Cybersecurity

حسب ما نص عليه تنظيم الهيئة الصادر بالأمر الملكي رقم (6801) وتاريخ (11/ 2 /1439هـ)، فإن الأمن السيبراني هو حماية الشبكات وأنظمة تقنية المعلومات وأنظمة التقنيات التشغيلية، ومكوناتها من أجهزة وبرمجيات، وما تقدمه من خدمات، وما تحتويه من بيانات، من أي اختراق أو تعطيل أو تعديل أو دخول أو استخدام أو استغلال غير مشروع. ويشمل مفهوم الأمن السيبراني أمن المعلومات والأمن الإلكتروني والأمن الرقمي ونحو ذلك.

الفضاء السيبراني

Cyberspace

الشبكة المترابطة من البنية التحتية لتقنية المعلومات، والتي تشمل الإنترنت وشبكات الاتصالات وأنظمة الحاسب الآلي والأجهزة المتصلة بالإنترنت، إلى جانب المعالِجات وأجهزة التحكم المرتبطة بها. كما يمكن أن يشير المصطلح إلى عالم أو نطاق افتراضي كظاهرة مجربة أو مفهوم مجرّد.

تصنيف البيانات والمعلومات

Data and Information Classification

تعيين مستوى الحساسية للبيانات والمعلومات التي ينتج عنها ضوابط أمنية لكل مستوى من مستويات التصنيف. يتم تعيين مستويات حساسية البيانات والمعلومات وفقاً لفئات محددة مسبقاً حيث يتم إنشاء البيانات والمعلومات أو تعديلها أو تحسينها أو تخزينها أو نقلها. مستوى التصنيف هو مؤشر على قيمة أو أهمية البيانات والمعلومات للجهة.

أرشفة البيانات

Data Archiving

عملية نقل البيانات التي لم تعد مستخدمة بشكل فعال في جهاز تخزين منفصل للحفظ طويل الأجل. تتكون بيانات الأرشيف من بيانات قديمة لا تزال مهمة للجهة وقد تكون مطلوبة للرجوع إليها في المستقبل، وبيانات يجب الاحتفاظ بها للالتزام بالتشريعات والتنظيمات ذات العلاقة.

الدفاع الأمني متعدد المراحل

Defense-in-Depth

هو مفهوم لتوكيد المعلومات (Information Assurance) حيث يتم وضع مستويات متعددة من الضوابط الأمنية (كدفاع) في نظام تقنية المعلومات (IT) أو تقنية التشغيل (OT).

التعافي من الكوارث

Disaster Recovery

الأنشطة والبرامج والخطط المصممة لإرجاع وظائف وخدمات الأعمال الحيوية للجهة إلى حالة مقبولة، بعد التعرض إلى هجمات سيبرانية أو تعطل لهذه الخدمات والوظائف.

نظام أسماء النطاقات

Domain Name System

نظام تقني يستخدم قاعدة بيانات يتم توزيعها عبر الشبكة و/أو الإنترنت تسمح بتحويل أسماء النطاقات إلى عناوين الشبكة (IP Addresses)، والعكس، لتحديد عناوين الخدمات مثل خوادم المواقع الإلكترونية والبريد الإلكتروني.

فعالية

Effectiveness

تشير الفعالية إلى الدرجة التي يتم بها تحقيق تأثير مخطط له. وتعتبر الأنشطة المخططة فعالة إذا تم تنفيذ هذه الأنشطة بالفعل، وتعتبر النتائج المخطط لها فعالة إذا تم تحقيق هذه النتائج بالفعل. يمكن استخدام مؤشرات قياس الأداء Key Performance Indicators “KPIs" لقياس وتقييم مستوى الفعالية.

كفاءة

Efficiency

العلاقة بين النتائج المحققة (المخرجات) والموارد المستخدمة (المدخلات). يمكن تعزيز كفاءة العملية أو النظام من خلال تحقيق نتائج أكثر باستخدام نفس الموارد (المدخلات) أو أقل.

حدث

Event

حدث ذو علاقة بحالة الأمن السيبراني الخاصة بشبكة، أو نظام، أو خدمة، أو بيانات، أو أي جهاز تقني آخر.

بروتوكول نقل النص التشعبي الآمن

Hyper Text Transfer Protocol Secure (HTTPS)

بروتوكول يستخدم التشفير لتأمين صفحات وبيانات الويب عند انتقالها عبر الشبكة. وهو عبارة عن نسخة آمنة من نظام بروتوكول نقل النص التشعبي (HTTP).

هوية

Identification

وسيلة التحقق من هوية المستخدم أو العملية أو الجهاز، وهي عادة شرط أساسي لمنح حق الوصول إلى الموارد في النظام.

حادثة

Incident

حدث متعمد أو غير متعمد تسبب في التأثير السلبي على الأمن السيبراني.

سلامة المعلومة

Integrity

الحماية ضد تعديل أو تخريب المعلومات بشكل غير مصرح به، وتتضمن ضمان عدم الإنكار للمعلومات (Non-Repudiation) والموثوقية.

المتطلبات الوطنية والدولية

(Inter)National Requirements

المتطلبات الوطنية هي متطلبات طورتها جهة تشريعية في المملكة العربية السعودية للاستخدام بشكل تنظيمي (مثل: الضوابط الأساسية للأمن السيبراني "ECC – 2 : 2024").

المتطلبات الدولية هي متطلبات طورتها جهة أو منظمة دولية عالمية للاستخدام بشكل تنظيمي في جميع أنحاء العالم (مثل: SWIFT، PCI، وغيرها).

نظام الحماية المتقدمة لاكتشاف ومنع الاختراقات

Intrusion Prevention System (IPS)

نظام لديه قدرات كشف الاختراقات، بالإضافة إلى القدرة على منع وإيقاف محاولات الأنشطة والحوادث المشبوهة أو المحتملة.

مؤشر قياس الأداء

Key Performance Indicator (KPI)

نوع من أدوات قياس مستوى الأداء يُقيّم مدى نجاح نشاط ما أو جهة تجاه تحقيق أهداف محددة.

ترميز أو علامة

Labeling

عرض معلومات (بتسمية وترميز محدد وقياسي) توضع على أصول الجهة (مثل: الأجهزة والتطبيقات والمستندات وغيرها) ليستدل بها للإشارة إلى بعض المعلومات المتعلقة بتصنيف الأصل وملكيته ونوعه وغيرها من المعلومات المتعلقة بإدارة الأصول.

الحد الأدنى من الصلاحيات

Least Privilege

مبدأ أساسي في الأمن السيبراني يهدف إلى منح المستخدمين صلاحيات الوصول التي يحتاجونها لتنفيذ مسؤولياتهم الرسمية فقط.

البرمجيات الضارة

Malware

برنامج يُصيب الأنظمة بطريقة خفية (في الغالب) لانتهاك سرية أو سلامة ودقة أو توافر البيانات أو التطبيقات أو نظم التشغيل.

التحقق من الهوية متعدد العناصر

Multi-Factor Authentication (MFA)

نظام أمني يتحقق من هوية المستخدم، باستخدام عدة عناصر من خلال تقنيات التحقق من الهوية. عناصر التحقق من الهوية هي:

- المعرفة (شيء يعرفه المستخدم فقط "مثل استخدام تقنية كلمة المرور").
- الحيازة (شيء يملكه المستخدم فقط "مثل استخدام تقنية برنامج أو جهاز توليد أرقام عشوائية أو الرسائل القصيرة المؤقتة لتسجيل الدخول"، ويطلق عليها "One-Time-Password").
- الملازمة (صفة أو سمة حيوية متعلقة بالمستخدم نفسه فقط "ﻣﺜﻞ استخدام تقنية بصمة الإصبع أو الوجه").
وهناك مستويات تحقق مختلفة
- التحقق من الهوية أحادي العنصر (Single-factor authentication) يعتمد على عنصر واحد فقط من العناصر الثلاثة.
- التحقق من الهوية متعدد العناصر (Multi-factor authentication) يعتمد على عنصرين أو أكثر من العناصر الثلاثة.

المعمارية متعددة المستويات

Multi-tier Architecture

معمارية أو بنية تُطبق أسلوب عميل-خادم الذي يتم فيه تطوير وصيانة منطق العملية الوظيفية، والوصول إلى البيانات، وتخزين البيانات وواجهة المستخدم كوحدات مستقلة على منصات منفصلة.

الحاجة إلى المعرفة والحاجة إلى الاستخدام

Need-to-know and Need-to-use

القيود المفروضة على البيانات، والتي تعتبر حساسة ما لم يكن لدى الشخص حاجة محددة للاطلاع على البيانات لغرض ما متعلق بأعمال ومهام رسمية.

النسخ الاحتياطي غير المتصل أو خارج الموقع

Offline/Offsite Backup

نسخة احتياطية لقاعدة البيانات وإعدادات الأنظمة والتطبيقات والأجهزة عندما تكون النسخة غير متصلة وغير قابلة للتحديث. عادةً ما تستخدم أشرطة (Tapes) في حالة النسخة الاحتياطية خارج الموقع.

النسخ الاحتياطي المتصل

Online Backup

طريقة للتخزين يتم فيها النسخ الاحتياطي بانتظام عبر شبكة على خادم بعيد، (إما داخل شبكة الجهة أو بالاستضافة لدى مزود خدمة).

العاملون في الجهة

Organization Staff

الأشخاص الذين يعملون في الجهة (بما في ذلك الموظفون الرسميون والموظفون المؤقتون والمتعاقدون).

الاسناد الخارجي Outsourcing

الحصول على (السلع أو الخدمات) عن طريق التعاقد مع مورد أو مزود خدمة.

حزم التحديثات والإصلاحات

Patch

حزم بيانات داعمة لتحديث أو إصلاح أو تحسين نظام التشغيل للحاسب الآلي أو لتطبيقاته أو برامجه. وهذا يشمل إصلاح الثغرات الأمنية وغيرها من الأخطاء، حيث تسمى هذه الحزم عادةً إصلاحات أو إصلاح الأخطاء وتحسين إمكانية الاستخدام أو الأداء.

اختبار الاختراق

Penetration Testing

ممارسة اختبار على نظام حاسب آلي أو شبكة أو تطبيق موقع إلكتروني أو تطبيق هواتف ذكية للبحث عن ثغرات يمكن أن يستغلها المهاجم.

رسائل التصيّد الإلكتروني

Phishing Emails

محاولة الحصول على معلومات حساسة مثل أسماء المستخدمين وكلمات المرور أو تفاصيل بطاقة الائتمان، غالباً لأسباب ونوايا ضارة وخبيثة، وذلك بالتنكر على هيئة جهة جديرة بالثقة في رسائل بريد إلكترونية.

الأمن المادي

Physical Security

يصف الأمن المادي التدابير الأمنية التي تم تصميمها لمنع الوصول غير المصرح به إلى المرافق والمعدات والموارد التابعة للجهة، وحماية الأفراد والممتلكات من التلف أو الضرر (مثل التجسس أو السرقة، أو الهجمات الإرهابية).

ينطوي الأمن المادي على استخدام طبقات متعددة من نظم مترابطة، تشمل الدوائر التلفزيونية المغلقة (CCTV)، وحراس الأمن، وحدود أمنية، والأقفال، وأنظمة التحكم في الوصول، والعديد من التقنيات الأخرى.

سياسة

Policy

وثيقة تحدد بنودها التزاماً عاماً أو توجيهاً أو نية ما كما تم التعبير عن ذلك رسمياً من قبل صاحب الصلاحية للجهة.

سياسة الأمن السيبراني هي وثيقة تعبر بنودها عن الالتزام الرسمي لإدارة العليا للجهة بتنفيذ وتحسين برنامج الأمن السيبراني في الجهة، وتشتمل السياسة على أهداف الجهة فيما يتعلق ببرنامج الأمن السيبراني وضوابطه ومتطلباته وآلية تحسينه وتطويره.

إدارة الصلاحيات الهامة والحساسة

Privileged Access Management

عملية إدارة الصلاحيات ذات الخطورة العالية على أنظمة الجهة والتي تحتاج في الغالب إلى تعامل خاص لتقليل المخاطر التي قد تنشأ من سوء استخدامها.

إجراء

Procedure

وثيقة تحتوي على وصف تفصيلي للخطوات الضرورية لأداء عمليات أو أنشطة محددة في التوافق مع المعايير والسياسات ذات العلاقة. وتعرّف الإجراءات على أنها جزء من العمليات.

عملية

Process

مجموعة من الأنشطة المترابطة أو التفاعلية تحول المدخلات إلى مخرجات. وهذه الأنشطة متأثرة بسياسات الجهة.

الاستعادة

Recovery

إجراء أو عملية لاستعادة أو التحكم في شيء منقطع أو تالف أو مسروق أو ضائع.

مدة الاحتفاظ

Retention

هي المدة الزمنية التي يجب فيها الاحتفاظ بالمعلومات أو البيانات أو سجلات الأحداث أو النسخ الاحتياطية، بغض النظر عن الشكل (ورقي أو إلكتروني أو غير ذلك).

المعايير الأمنية لشفرة البرامج والتطبيقات

Secure Coding Standards

ممارسة تطوير برمجيات وتطبيقات الحاسب الآلي بطريقة تحمي من التعرض غير المقصود لثغرات الأمن السيبراني المتعلقة بالبرمجيات والتطبيقات.

مراجعة الإعدادات والتحصين

Secure Configuration and Hardening

حماية وتحصين وضبط إعدادات جهاز الحاسب الآلي، والنظام، والتطبيق، وجهاز الشبكة، والجهاز الأمني لمقاومة الهجمات السيبرانية. مثل: إيقاف أو تغيير الحسابات المصنعية والافتراضية، إيقاف الخدمات غير المستخدمة، إيقاف منافذ الشبكة غير المستخدمة.

نظام إدارة سجلات الأحداث ومراقبة الأمن السيبراني

Security Information and Event Management (SIEM)

نظام يقوم بإدارة وتحليل بيانات سجلات الأحداث الأمنية في الوقت الفعلي لتوفير مراقبة للتهديدات، وتحليل نتائج القواعد المترابطة لسجلات الأحداث، والتقارير حول بيانات السجلات، والاستجابة للحوادث.

الاختبار الأمني

Security Testing

عملية تهدف إلى التأكد من أن النظام أو التطبيق المعدّل أو الجديد يتضمن ضوابط وحمايات أمنية مناسبة ولا يحتوي على أي ثغرات أمنية قد تضر بالأنظمة أو التطبيقات الأخرى، أو تؤدي إلى سوء استخدام النظام أو التطبيق أو معلوماته، وكذلك للحفاظ على وظيفة النظام أو التطبيق على النحو المنشود.

الأمن من خلال التصميم

Security-by-Design

منهجية لتطوير الأنظمة والتطبيقات وتصميم الشبكات التي تسعى إلى جعلها خالية من نقاط الضعف والثغرات الأمنية السيبرانية، والمقدرة على صد الهجوم السيبراني قدر الإمكان من خلال عدة تدابير على سبيل المثال: الاختبار المستمر، وحماية المصادقة والتمسك بأفضل ممارسات البرمجة والتصميم، وغيرها.

فصل المهام

Segregation of Duties

مبدأ أساسي في الأمن السيبراني يهدف إلى تقليل الأخطاء والاحتيال خلال مراحل تنفيذ عملية محددة عن طريق التأكد من ضرورة وجود أكثر من شخص لإكمال هذه المراحل وبصلاحيات مختلفة.

إطار سياسة المرسل

Sender Policy Framework

طريقة للتحقق من أن خادم البريد الإلكتروني المستخدم في إرسال رسائل البريد الإلكتروني يتبع المجال الخاص بالجهة المرسِلة.

طرف خارجي

Third-Party

أي جهة تعمل كطرف في علاقة تعاقدية لتقديم السلع أو الخدمات (وهذا يشمل موردي ومزودي الخدمات).

تهديد

Threat

أي شيء قد يؤثر سلبًا على الأمن السيبراني.

المعلومات الاستباقية

Threat Intelligence

يوفر معلومات منظمة وتحليلها حول الهجمات الأخيرة والحالية والمحتملة التي يمكن أن تشكل تهديداً سيبرانياً للجهة.

الثغرة

Vulnerability

ضعف في أي أصل تقنية معلومات (مثال: برنامج، نظام) ، أو إجراء، أو ضابط، أو أي شيء؛ يمكن استغلاله للتأثير السلبي على الأمن السيبراني.

جدار الحماية لتطبيقات الويب

Web Application Firewall

نظام حماية يوضع قبل تطبيقات الويب لتقليل المخاطر الناجمة من محاولات الهجوم الموجهة على تطبيقات الويب.

البرمجيات الضارة غير المعروفة مسبقا

Zero-Day Malware

عبارة عن برمجيات ضارة (Malware) غير معروفة مسبقاً، تم إنتاجها أو نشرها حديثاً. ويصعب في العادة اكتشافها بواسطة وسائل الحماية التي تعتمد على المعرفة المسبقة للبرمجيات الضارة (Signature-based Protection).

ملحق (ب): قائمة الاختصارات

يوضح الجدول 3 أدناه معنى الاختصارات التي ورد ذكرها في هذه الضوابط.

جدول 3: قائمة الاختصارات

الاختصار	معناه
APT	Advanced Persistent Threat التهديدات المتقدمة المستمرة
BCM	Business Continuity Management إدارة استمرارية الأعمال
BYOD	Bring Your Own Device سياسة أحضر الجهاز الخاص بك
CCTV	Closed-circuit television الدائرة التلفزيونية المغلقة
CNI	Critical National Infrastructure البنية التحتية الحساسة
DDoS	Distributed Denial of Service Attack هجمات تعطيل الشبكات
DKIM	Domain Keys Identified Mail البريد المعرّف بمفاتيح النطاق
DMARC	Domain Message Authentication Reporting and Conformance سياسة مصادقة الرسائل والإبلاغ عنها
DNS	Domain Name System نظام أسماء النطاقات
ECC	Essential Cybersecurity Controls الضوابط الأساسية للأمن السيبراني
HTTPS	Hyper Text Transfer Protocol Secure بروتوكول نقل النص التشعبي الآمن
ICT	Information and Communication Technology تقنية المعلومات والاتصالات
IT	Information Technology تقنية المعلومات
MFA	Multi-Factor Authentication التحقق من الهوية متعدد العناصر
OT	Operational Technology التقنية التشغيلية
SIEM	Security Information and Event Management نظام إدارة سجلات الأحداث ومراقبة الأمن السيبراني
SLA	Service Level Agreement اتفاقية مستوى الخدمة
SPF	Sender Policy Framework إطار سياسة المرسل

ملحق (ج): قائمة التحديثات

يوضح الجدول 4 أدناه التحديثات التي تم إجراؤها على النسخة السابقة من وثيقة الضوابط الأساسية للأمن السيبراني (ECC – 1 : 2018).

جدول 4: قائمة التحديثات

النسخة		التاريخ
ECC – 2 : 2024		2024
نوع التحديث	القسم	النص السابق	النص بعد التحديث	سبب التحديث
تعديل	نطاق عمل الضوابط	تُطبَّق هذه الضوابط على الجهات الحكومية في المملكة العربية السعودية (وتشمل الوزارات والهيئات والمؤسسات وغيرها) والجهات والشركات التابعة لها	تُطبَّق هذه الضوابط على الجهات الحكومية في المملكة العربية السعودية (وتشمل الوزارات والهيئات والمؤسسات وغيرها) والجهات والشركات التابعة لها (داخل المملكة وخارجها)	إيضاح للنص
حذف	قابلية التطبيق داخل الجهة	الضوابط ضمن المكون الرئيسي رقم (5) المتعلقة بالأمن السيبراني لأنظمة التحكم الصناعي (Industrial Control Systems Cybersecurity) تكون قابلة التطبيق وملزمة على الجهة التي تستخدم حالياً أنظمة التحكم الصناعي أو تخطط لاستخدامها.		حذف المكون الأساسي الخامس تم نقل الضوابط ضمن المكون الأساسي الخامس إلى وثيقة ضوابط الأمن السيبراني للأنظمة التشغيلية
تعديل	الضابط 2-2-1	يجب أن يشغل رئاسة الإدارة المعنية بالأمن السيبراني والوظائف الإشرافية والحساسة بها مواطنون متفرغون وذو كفاءة عالية في مجال الأمن السيبراني.	يجب شغل جميع وظائف الأمن السيبراني من قبل مواطنين متفرغين وذوي كفاءة في مجال الأمن السيبراني.	تعزيز الأمن السيبراني
تعديل	الضابط الفرعي 1-3-2-2	التحقق من هوية المستخدم (User Authentication) بناءً على إدارة تسجيل المستخدم، وإدارة كلمة المرور.	التحقق من الهوية أحادي العنصر (Single-factor authentication) بناءً على إدارة تسجيل المستخدم، وإدارة كلمة المرور.	إيضاح للنص
تعديل	الضابط الفرعي 2-3-2-2	التحقق من الهوية متعدد العناصر (Multi-Factor Authentication) لعمليات الدخول عن بعد.	التحقق من الهوية متعدد العناصر (Multi-Factor Authentication) وتحديد عناصر التحقق المناسبة وعددها وكذلك تقنيات التحقق المناسبة بناء على نتائج تقييم الأثر المحتمل لفشل عملية التحقق وتخطيها، وذلك لعمليات الدخول عن بعد.	إيضاح للنص
تعديل	الضابط الفرعي 2-3-4-2	التحقق من الهوية متعدد العناصر (Multi-Factor Authentication) للدخول عن بعد والدخول عن طريق صفحة موقع البريد الإلكتروني (Webmail).	التحقق من الهوية متعدد العناصر (Multi-Factor Authentication) وتحديد عناصر التحقق المناسبة وعددها وكذلك تقنيات التحقق المناسبة بناء على نتائج تقييم الأثر المحتمل لفشل عملية التحقق وتخطيها، وذلك للدخول عن بعد والدخول عن طريق صفحة موقع البريد الإلكتروني (Webmail).	إيضاح للنص
تعديل	الضابط الفرعي 5-3-4-2	توثيق مجال البريد الإلكتروني للجهة بالطرق التقنية، مثل طريقة إطار سياسة المرسل (Sender Policy Framework).	توثيق مجال البريد الإلكتروني للجهة من خلال منصة حصين باستخدام إطار سياسة المرسل (Sender Policy Framework “SPF") والبريد المعرّف بمفاتيح النطاق (Domain Keys Identified Mail “DKIM") وسياسة مصادقة الرسائل والإبلاغ عنها (Domain Message Authentication Reporting and Conformance “DMARC").	إيضاح للنص
إضافة	الضابط الفرعي 9-3-5-2	لا يوجد	الحماية من هجمات تعطيل الشبكات (Distributed Denial of Service Attack “DDoS") للحد من المخاطر الناتجة عن هجمات تعطيل الشبكات.	تعزيز الأمن السيبراني
تعديل	الضابط 3-7-2	يجب أن تغطي متطلبات الأمن السيبراني لحماية البيانات والمعلومات بحد أدنى ما يلي: - 1-3-7-2 ملكية البيانات والمعلومات - 2-3-7-2 تصنيف البيانات والمعلومات وآلية ترميزها (Classification and Labeling Mechanisms). - 3-3-7-2 خصوصية البيانات والمعلومات.	يجب أن تغطي متطلبات الأمن السيبراني لحماية بيانات ومعلومات الجهة بحد أدنى المتطلبات المذكورة في ضوابط الأمن السيبراني للبيانات الصادرة من الهيئة.	الربط مع متطلبات الهيئة الصادرة عنها
تعديل	الضابط 3-8-2	يجب أن تغطي متطلبات الأمن السيبراني للتشفير بحد أدنى ما يلي: - 1-3-8-2 معايير حلول التشفير المعتمدة والقيود المطبقة عليها (تقنياً وتنظيمياً). - 2-3-8-2 الإدارة الآمنة لمفاتيح التشفير خلال عمليات دورة حياتها. - 3-3-8-2 تشفير البيانات أثناء النقل والتخزين بناء على تصنيفها وحسب المتطلبات التشريعية والتنظيمية ذات العلاقة.	يجب أن تغطي متطلبات الأمن السيبراني للتشفير بحد أدنى المتطلبات المذكورة في المعايير الوطنية للتشفير الصادرة من الهيئة، مع تطبيق مستوى التشفير المناسب، وذلك بحسب طبيعة ومستوى حساسية البيانات والأنظمة والشبكات وبناءً على تقييم المخاطر من قبل الجهة وحسب المتطلبات التشريعية والتنظيمية ذات العلاقة، وفقاً لما يلي: - 1-3-8-2 معايير أنظمة وحلول التشفير المعتمدة والقيود المطبقة عليها (تقنياً وتنظيمياً). - 2-3-8-2 الإدارة الآمنة لمفاتيح التشفير خلال عمليات دورة حياتها. - 3-3-8-2 تشفير البيانات أثناء النقل والتخزين والمعالجة بناءً على تصنيفها وحسب المتطلبات التشريعية والتنظيمية ذات العلاقة.	إيضاح للنص
تعديل	الضابط الفرعي 4-3-10-2	إدارة حزم التحديثات والإصلاحات الأمنية لمعالجة الثغرات.	إدارة حزم التحديثات والإصلاحات الأمنية لمعالجة الثغرات، على أن يتم التحقق من سلامة وفعالية تلك التحديثات والإصلاحات الأمنية على بيئة غير بيئة الإنتاج قبل تطبيقها.	إيضاح للنص
تعديل	الضابط الفرعي 5-3-15-2	التحقق من الهوية متعدد العناصر (Multi-Factor Authentication) لعمليات دخول المستخدمين.	التحقق من الهوية على أن يتم تحديد عناصر التحقق المناسبة وعددها وكذلك تقنيات التحقق المناسبة بناء على نتائج تقييم الأثر المحتمل لفشل عملية التحقق وتخطيها، وذلك لعمليات دخول المستخدمين.	إيضاح للنص
حذف	الضابط الفرعي 3-3-2-4	موقع استضافة وتخزين معلومات الجهة يجب أن يكون داخل المملكة.		تم نقل الضوابط ذات العلاقة بتوطين وسيادة البيانات من الوثيقة إلى مكتب إدارة البيانات الوطنية (NDMO) في الهيئة السعودية للبيانات والذكاء الاصطناعي للاختصاص التنظيمي، ويجب على الجهات الرجوع إلى مكتب إدارة البيانات الوطنية فيما يخص توطين وسيادة البيانات قبل اتخاذ أي إجراء في هذا الشأن.
حذف	المكون الأساسي الخامس	الأمن السيبراني لأنظمة التحكم الصناعي		تم نقل الضوابط ضمن المكون الأساسي الخامس إلى وثيقة ضوابط الأمن السيبراني للأنظمة التشغيلية
تعديل	مصطلحات وتعريفات	البنية التحتية الوطنية الحساسة Critical National Infrastructure تلك العناصر الأساسية للبنية التحتية (أي الأصول، والمرافق، والنظم، والشبكات، والعمليات، والعاملون الأساسيون الذين يقومون بتشغيلها ومعالجتها)، والتي قد يؤدي فقدانها أو تعرضها لانتهاكات أمنية إلى: - أثر سلبي كبير على توافر الخدمات الأساسية أو تكاملها أو تسليمها -بما في ذلك الخدمات التي يمكن أن تؤدي في حال تعرضت سلامتها للخطر إلى خسائر كبيرة في الممتلكات و/أو الأرواح و/أو الإصابات- مع مراعاة الآثار الاقتصادية و/أو الاجتماعية الكبيرة. - تأثير كبير على الأمن القومي و/أو الدفاع الوطني و/أو اقتصاد الدولة أو مقدراتها الوطنية.	البنية التحتية الوطنية الحساسة Critical National Infrastructure تلك العناصر الأساسية للبنية التحتية (أي الأصول، والمرافق، والنظم، والشبكات، والعمليات، والعاملون الأساسيون الذين يقومون بتشغيلها ومعالجتها)، والتي قد يؤدي فقدانها أو تعرضها لانتهاكات أمنية إلى: - أثر سلبي كبير على توافر الخدمات الأساسية أو تكاملها أو تسليمها -بما في ذلك الخدمات التي يمكن أن تؤدي في حال تعرضت سلامتها للخطر إلى خسائر كبيرة في الممتلكات و/أو الأرواح و/أو الإصابات- مع مراعاة الآثار الاقتصادية و/أو الاجتماعية على المستوى الوطني. - تأثير كبير على الأمن الوطني و/أو الدفاع الوطني و/أو اقتصاد الدولة أو مقدراتها الوطنية.	إيضاح للنص
تعديل	مصطلحات وتعريفات	الهجوم السيبراني Cyber-Attack الاستغلال المتعمّد لأنظمة الحاسب الآلي والشبكات والجهات التي يعتمد عملها على تقنية المعلومات والاتصالات الرقمية بهدف إحداث أضرار.	الهجوم السيبراني Cyber-Attack محاولة متعمدة للتأثير السلبي على الأمن السيبراني، سواءً نجحت في ذلك أو لم تنجح.	إيضاح للنص
تعديل	مصطلحات وتعريفات	حدث Event شيء يحدث في مكان محدد (مثل الشبكة والأنظمة والتطبيقات وغيرها) وفي وقت محدد.	حدث Event حدث ذو علاقة بحالة الأمن السيبراني الخاصة بشبكة، أو نظام، أو خدمة، أو بيانات، أو أي جهاز تقني آخر.	إيضاح للنص
تعديل	مصطلحات وتعريفات	حادثة Incident انتهاك أمني بمخالفة سياسات الأمن السيبراني أو سياسات الاستخدام المقبول أو ممارسات أو ضوابط أو متطلبات الأمن السيبراني.	حادثة Incident حدث متعمد أو غير متعمد تسبب في التأثير السلبي على الأمن السيبراني.	إيضاح للنص
تعديل	مصطلحات وتعريفات	المتطلبات الوطنية والدولية (Inter)National Requirements المتطلبات الوطنية هي متطلبات طورتها جهة تشريعية في المملكة العربية السعودية للاستخدام بشكل تنظيمي (مثل: الضوابط الأساسية للأمن السيبراني "ECC – 1 : 2018"). المتطلبات الدولية هي متطلبات طورتها جهة أو منظمة دولية عالمية للاستخدام بشكل تنظيمي في جميع أنحاء العالم (مثل: SWIFT، PCI، وغيرها).	المتطلبات الوطنية والدولية (Inter)National Requirements المتطلبات الوطنية هي متطلبات طورتها جهة تشريعية في المملكة العربية السعودية للاستخدام بشكل تنظيمي (مثل: الضوابط الأساسية للأمن السيبراني "ECC – 2 : 2024"). المتطلبات الدولية هي متطلبات طورتها جهة أو منظمة دولية عالمية للاستخدام بشكل تنظيمي في جميع أنحاء العالم (مثل: SWIFT، PCI، وغيرها).	إيضاح للنص
تعديل	مصطلحات وتعريفات	التحقق من الهوية متعدد العناصر Multi-Factor Authentication (MFA) نظام أمني يتحقق من هوية المستخدم، يتطلب استخدام عدة عناصر مستقلة من آليات التحقق من الهوية. تتضمن آليات التحقق عدة عناصر: - المعرفة (شيء يعرفه المستخدم فقط "مثل كلمة المرور"). - الحيازة (شيء يملكه المستخدم فقط "مثل برنامج أو جهاز توليد أرقام عشوائية أو الرسائل القصيرة المؤقتة لتسجيل الدخول"، ويطلق عليها "One-Time-Password"). - الملازمة (صفة أو سمة حيوية متعلقة بالمستخدم نفسه فقط "ﻣﺜﻞ بصمة الإصبع").	التحقق من الهوية متعدد العناصر Multi-Factor Authentication (MFA) نظام أمني يتحقق من هوية المستخدم، باستخدام عدة عناصر من خلال تقنيات التحقق من الهوية. عناصر التحقق من الهوية هي: - المعرفة (شيء يعرفه المستخدم فقط "مثل استخدام تقنية كلمة المرور"). - الحيازة (شيء يملكه المستخدم فقط "مثل استخدام تقنية برنامج أو جهاز توليد أرقام عشوائية أو الرسائل القصيرة المؤقتة لتسجيل الدخول"، ويطلق عليها "One-Time-Password"). - الملازمة (صفة أو سمة حيوية متعلقة بالمستخدم نفسه فقط "ﻣﺜﻞ استخدام تقنية بصمة الإصبع أو الوجه"). وهناك مستويات تحقق مختلفة - التحقق من الهوية أحادي العنصر (Single-factor authentication) يعتمد على عنصر واحد فقط من العناصر الثلاثة. - التحقق من الهوية متعدد العناصر (Multi-factor authentication) يعتمد على عنصرين أو أكثر من العناصر الثلاثة.	إيضاح للنص
حذف	مصطلحات وتعريفات	الخصوصية Privacy الحرية من التدخل غير المصرح به أو الكشف عن معلومات شخصية حول فرد.		للاختصاص التنظيمي لمكتب إدارة البيانات الوطنية (NDMO) في الهيئة السعودية للبيانات والذكاء الاصطناعي؛ يجب على الجهات الرجوع إلى مكتب إدارة البيانات الوطنية فيما يخص خصوصية البيانات قبل اتخاذ أي إجراء فيما يخص هذا الشأن.
تعديل	مصطلحات وتعريفات	تهديد Threat أي ظرف أو حدث من المحتمل أن يؤثر سلباً على أعمال الجهة (بما في ذلك مهمتها أو وظائفها أو مصداقيتها أو سمعتها) أو أصولها أو منسوبيها مستغلاً أحد أنظمة المعلومات عن طريق الوصول غير المصرح به إلى المعلومات أو تدميرها أو كشفها أو تغييرها أو حجب الخدمة. وأيضاً قدرة مصدر التهديد على النجاح في استغلال أحد نقاط الضعف الخاصة بنظام معلومات معين. وهذا التعريف يشمل التهديدات السيبرانية.	تهديد Threat أي شيء قد يؤثر سلبًا على الأمن السيبراني.	إيضاح للنص
تعديل	مصطلحات وتعريفات	الثغرة Vulnerability أي نوع من نقاط الضعف في نظام الحاسب الآلي، أو برامجه أو تطبيقاته، أو في مجموعة من الإجراءات، أو في أي شيء يجعل الأمن السيبراني عرضة للتهديد.	الثغرة Vulnerability ضعف في أي أصل تقنية معلومات (مثال: برنامج، نظام)، أو إجراء، أو ضابط، أو أي شيء؛ يمكن استغلاله للتأثير السلبي على الأمن السيبراني.	إيضاح للنص
إضافة	قائمة الاختصارات		DDoS: Distributed Denial of Service Attack هجمات تعطيل الشبكات DKIM: Domain Keys Identified Mail البريد المعرّف بمفاتيح النطاق DMARC: Domain Message Authentication Reporting and Conformance سياسة مصادقة الرسائل والإبلاغ عنها SPF: Sender Policy Framework إطار سياسة المرسل	إضافة اختصارات تمت إضافتها للوثيقة
حذف	قائمة الاختصارات	ICS: Industrial Control System نظام التحكم الصناعي SIS: Safety Instrumented System نظام معدات السلامة		تم نقل الضوابط ضمن المكون الأساسي الخامس إلى وثيقة ضوابط الأمن السيبراني للأنظمة التشغيلية

آخر تحديث : 11 سبتمبر 2024

الضوابط الأساسية للأمن السيبراني ECC-2:2024

إضافة تعليق ؟

الملخص التنفيذي

إضافة تعليق

المقدمة

إضافة تعليق

الأهداف

إضافة تعليق

نطاق العمل وقابلية التطبيق

نطاق عمل الضوابط

قابلية التطبيق داخل الجهة

إضافة تعليق

التنفيذ والالتزام

أداة التقييم وقياس الالتزام

إضافة تعليق

التحديث والمراجعة

إضافة تعليق

مكونات وهيكلية الضوابط الأساسية للأمن السيبراني

المكونات الأساسية

المكونات الفرعية

الهيكلية

إضافة تعليق

الضوابط الأساسية للأمن السيبراني

الضوابط الأساسية للأمن السيبراني

تفاصيل الضوابط الأساسية للأمن السيبراني

(Third-Party and Cloud Computing Cybersecurity)

إضافة تعليق

ملاحق

ملحق (أ): مصطلحات وتعريفات

ملحق (ب): قائمة الاختصارات

ملحق (ج): قائمة التحديثات

إضافة تعليق

تواصل معنا

أدوات سهولة الوصول

الضوابط الأساسية للأمن السيبراني ECC-2:2024

إضافة تعليق ؟

الملخص التنفيذي

إضافة تعليق

المقدمة

إضافة تعليق

الأهداف

إضافة تعليق

نطاق العمل وقابلية التطبيق

نطاق عمل الضوابط

قابلية التطبيق داخل الجهة

إضافة تعليق

التنفيذ والالتزام

أداة التقييم وقياس الالتزام

إضافة تعليق

التحديث والمراجعة

إضافة تعليق

مكونات وهيكلية الضوابط الأساسية للأمن السيبراني

المكونات ​الأساسية

المكونات الفرعية​

الهيكلية

إضافة تعليق

الضوابط الأساسية للأمن السيبراني

​​الضوابط الأساسية للأمن السيبراني​​

تفاصيل الضوابط الأساسية للأمن السيبراني

(​Third-Party and Cloud Computing Cybersecurity)

إضافة تعليق

ملاحق

ملحق (أ): مصطلحات وتعريفات

​

ملحق (ب): قائمة الاختصارات

​

ملحق (ج): قائمة التحديثات

إضافة تعليق

المكونات الأساسية

المكونات الفرعية

الضوابط الأساسية للأمن السيبراني

(Third-Party and Cloud Computing Cybersecurity)