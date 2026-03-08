اشترطت الهيئة الوطنية للأمن السيبراني، إنشاء وحدة إدارية معنية بالأمن السيبراني ترتبط برئيس الجهة أو من يفوضه، على أن تكون مستقلة عن وحدة تقنية المعلومات في القطاع الخاص.

واعتمدت الهيئة الضوابط الخاصة بجهات القطاع الخاص غير المشغِّلة للبنى التحتية، ارتكزت على ثلاث مكونات رئيسية تتضمن حوكمة الأمن السيبراني، تعزيز الأمن السيبراني، والأمن السيبراني المتعلق بالأطراف الخارجية، بما يضمن بناء منظومة حماية متكاملة.

وقسمت الضوابط مؤسسات القطاع الخاص إلى الكبيرة والمتوسطة والصغيرة من غير ذات البنى التحتية الحساسة، وتضم الجهات الكبيرة أكثر من 250 موظفاً بدوام كامل أو تحقق إيرادات سنوية تتجاوز 200 مليون ريال، وتلتزم بتوفير ثلاث مكونات أساسية، و22 مكوناً فرعياً، و65 ضابطاً أساسياً، فيما تضم الجهات المتوسطة والصغيرة ما يتراوح بين 6 - 249 موظفاً بدوام كامل أو تحقق إيرادات سنوية تتراوح بين 3- 200 مليون ريال، وتلتزم بتوفير مكون أساسي واحد، و13 مكوناً فرعياً، و26 ضابطاً أساسياً، وتستند الضوابط إلى الممارسات الدولية بما يمكّن هذه الجهات من تقليل المخاطر الناشئة عن التهديدات الداخلية والخارجية، مع التركيز على ثلاثة أهداف أساسية وهي سرية المعلومات، وسلامة المعلومات، وتوافر المعلومات.

ووفق الضوابط، ألزمت القطاع الخاص بإنشاء وحدة إدارية معنية بالأمن السيبراني ترتبط برئيس الجهة أو من يفوضه، على أن تكون مستقلة عن وحدة تقنية المعلومات، وأن يشغل رئاسة الإدارة المعنية بالأمن السيبراني والوظائف الإشرافية والحساسة موظفون مختصون وذوو كفاءة عالية في المجال، ويلتزم صاحب الصلاحية بتحديد وتوثيق واعتماد الهيكل التنظيمي للحوكمة والأدوار والمسؤوليات الخاصة بالأمن السيبراني في الجهة، وتكليف الأشخاص المعنيين بها، مع توفير الدعم اللازم لتمكينهم من أداء مهماتهم وتجنب تعارض المصالح.

وشددت الضوابط على تحديد سياسات الأمن السيبراني وتوثيقها واعتمادها ونشرها على العاملين المعنيين في الجهة، مع التزام الوحدة الإدارية المختصة بضمان تطبيق تلك السياسات ومراجعتها بشكل دوري.

وتتضمّن الضوابط إدارة مخاطر الأمن السيبراني بما يضمن حماية الأصول المعلوماتية والتقنية للجهة من التهديدات المحتملة، مع الالتزام بتحديد منهجية واضحة للإدارة وإجراءاتها، مع توثيقها واعتمادها رسمياً، والالتزام بتطبيقها عملياً على مستوى الجهة كافة، ويتعين مراجعة هذه المنهجية وإجراءاتها بصورة دورية لضمان فعاليتها واستمرارية ملاءمتها لمتطلبات العمل، حيث تهدف المراجعة والتدقيق الدوري إلى التحقق من التزام الجهة بتطبيق الضوابط، والتأكد من توافق السياسات والإجراءات التنظيمية المعتمدة لديها مع المتطلبات التشريعية والتنظيمية الوطنية الصادرة عن الهيئة، مع مراجعة هذه الضوابط وتدقيقها من قبل جهة مستقلة عن الوحدة الإدارية المختصة بالأمن السيبراني داخل الجهة.

ويجب أن تشمل جميع الموضوعات الرئيسية ذات الصلة بالمجال، بما يضمن حماية الجهة من التهديدات السيبرانية، مع التركيز على الجوانب العملية مثل التصيد الإلكتروني، وبرامج الفدية، وكلمات المرور القوية، وأفضل الممارسات عند استخدام وسائل التواصل الاجتماعي، وآليات الإبلاغ عن الحوادث والسلوكيات المشبوهة، كما ينبغي أن تكون هذه البرامج مخصصة بما يتناسب مع مهمات الموظفين وواجباتهم الوظيفية واحتياجاتهم العملية. وتلتزم الجهة بتطبيق برامج التوعية المعتمدة لديها، مع مراجعتها وتحديثها بصورة دورية لضمان فعاليتها واستمرارية ملاءمتها للتطورات في مجال الأمن السيبراني.

إدارة هويات الدخول والصلاحيات

اشترطت الهيئة الوطنية للأمن السيبراني تحديد متطلبات الأمن السيبراني لإدارة هويات الدخول والصلاحيات في الجهة وتوثيقها واعتمادها، وتشمل التحقق من هوية المستخدم عبر آليات مصادقة آمنة تعتمد على اسم المستخدم وكلمة المرور، وتطبيق المصادقة متعددة العوامل لجميع عمليات الدخول بما في ذلك البريد الإلكتروني والتطبيقات الخارجية، وإدارة تصاريح المستخدمين وصلاحياتهم وفق مبادئ التحكم في الدخول، بما يشمل مبدأ الحاجة إلى المعرفة والاستخدام، ومبدأ الحد الأدنى من الصلاحيات، والفصل بين المهام، إضافةً إلى إدارة الصلاحيات الحساسة والمميزة. كما تعمل على تحديد متطلبات الأمن السيبراني لحماية البريد الإلكتروني في الجهة وتوثيقها واعتمادها، بحيث تشمل تحليل رسائل البريد الإلكتروني وتصفيتها للكشف عن رسائل التصيد والرسائل الاحتيالية والبريد غير المرغوب فيه باستخدام تقنيات الحماية الحديثة، بما يضمن موثوقية المراسلات الإلكترونية. وتشمل المتطلبات أيضاً توفير الحماية من التهديدات المتقدمة المستمرة والبرمجيات الخبيثة غير المعروفة سابقاً، بما فيها هجمات يوم الصفر، مع إدارة هذه الضوابط بصورة آمنة.

وتتضمن ضوابط أمن الشبكات حماية تصفح الإنترنت عبر تقييد الوصول إلى المواقع الإلكترونية المشبوهة ومواقع مشاركة وتخزين الملفات، وإدارة منافذ وبروتوكولات وخدمات الشبكة بشكل آمن، إضافة إلى استخدام أنظمة كشف ومنع الاختراقات المتقدمة، وتوفير الحماية من هجمات حجب الخدمة الموزعة للحدّ من آثار المخاطر السيبرانية الناتجة عنها.