طرحت الهيئة العامة للأمن السيبراني، الضوابط الأساسية للأمن السيبراني ECC-2:2024 لحماية الأصول المعلوماتية والتقنية وسريتها وسلامتها. الضوابط تشمل الحوكمة والاستراتيجية واستراتيجية الأمن السيبراني. أيضا، يتوجب شغل جميع وظائف الأمن السيبراني من قبل مواطنين متفرغين وذوي كفاءة. يجب على الجهة تحديد وتوثيق واعتماد استراتيجية الأمن السيبراني وتوظيف الأشخاص المعنيين بها. يجب أيضا تقديم الدعم لإنفاذ هذه الضوابط بدون تعارض مصالح. ويجب حماية الأنظمة والأجهزة من الفيروسات والبرمجيات الضارة والأنشطة المشبوهة باستخدام تقنيات حديثة. تشمل المتطلبات أيضا تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لحماية البريد الإلكتروني والبيانات المهمة للجهة.
ضوابط جديدة لتوطين الوظائف وتقييم المخاطر في الأمن السيبراني في المملكة – عاجل
طرحت الهيئة العامة للأمن السيبراني، الضوابط الأساسية للأمن السيبراني ECC-2:2024، عبر منصة استطلاع بهدف توفير الحد الأدنى من المتطلبات الأساسية للأمن السيبراني، وتتطلب حماية الأصول المعلوماتية والتقنية وسريتها وسلامتها.
وأوضحت الهيئة أن الضوابط الأساسية للأمن السيبراني تتضمن الحوكمة والاستراتيجي لضمان إسهام خطط العمل للأمن السيبراني داخل الجهة في تحقيق المتطلبات التشريعية والتنظيمية ذات العلاقة.
ضوابط استراتيجية
اشترطت الهيئة في ضوابط استراتيجية الأمن السيبراني، تحديد وتوثيق واعتماد استراتيجية الأمن السيبراني للجهة ودعمها من قبل رئيس الجهة أو من ينيبه، والعمل على تنفيذ خطة عمل لتطبيق إستراتيجية الأمن السيبراني من قبل الجهة.
وأوجبت شغل جميع وظائف الأمن السيبراني من قبل مواطنين متفرغين وذوي كفاءة في مجال الأمن السيبراني.
ونصّت لائحة الضوابط على إلزام صاحب الصلاحية تحديد وتوثيق واعتماد الهيكل التنظيمي للحوكمة والأدوار والمسؤوليات الخاصة بالأمن السيبراني للجهة، وتكليف الأشخاص المعنيين بها، كما يجب تقديم الدعم اللازم لإنفاذ ذلك، مع الأخذ بالاعتبار عدم تعارض المصالح.
مخاطر الأمن السيبراني
ألزمت اللائحة الإدارة المعنية بالأمن السيبراني في الجهة تحديد وتوثيق واعتماد منهجية وإجراءات إدارة مخاطر الأمن السيبراني في الجهة، وذلك وفقاً لاعتبارات السرية وتوافر وسلامة الأصول المعلوماتية والتقنية.
وأوضحت أنه يجب تنفيذ إجراءات تقييم مخاطر الأمن السيبراني بحد أدنى في 4 حالات هي في مرحلة مبكرة من المشاريع التقنية، أو قبل إجراء تغيير جوهري في البنية التقنية، وعند التخطيط للحصول على خدمات طرف خارجي، وعند التخطيط وقبل إطلاق منتجات وخدمات تقنية جديدة.
إدارة المشاريع
ووفقًا للائحة الضوابط يجب أن تغطي متطلبات الأمن السيبراني لإدارة المشاريع والتغييرات على الأصول المعلوماتية والتقنية للجهة بحد أدنى تقييم الثغرات ومعالجتها، أو إجراء مراجعة للإعدادات والتحصين «Secure Configuration and Hardening» وحزم التحديثات قبل إطلاق وتدشين المشاريع والتغييرات.
وأكدت على التزام الجهة بالمتطلبات التشريعية والتنظيمية الوطنية المتعلقة بالأمن السيبراني، والمراجعة والتدقيق الدوري، وتحديد وتوثيق واعتماد متطلبات الأمن السيبراني المتعلقة بالعاملين قبل توظيفهم وأثناء عملهم وعند انتهاء/إنهاء عملهم في الجهة.
ونصّت القواعد على تطبيق البرنامج المعتمد للتوعية بالأمن السيبراني في الجهة، مع الالتزام بتغطية البرامج لكيفية حماية الجهة من أهم المخاطر والتهديدات السيبرانية وما يستجد منها، بما في ذلك التعامل الآمن مع خدمات البريد الإلكتروني خصوصاً مع رسائل التصيد الإلكتروني، والتعامل الآمن مع الأجهزة المحمولة ووسائط التخزين، وخدمات تصفح الإنترنت، ووسائل التواصل الاجتماعي.
أنشطة مشبوهة
شددت الهيئة على ضرورة أن تغطي متطلبات الأمن السيبراني لحماية الأنظمة وأجهزة معالجة المعلومات للجهة بحد أدنى الحماية من الفيروسات والبرامج والأنشطة المشبوهة والبرمجيات الضارة «Malware» على أجهزة المستخدمين والخوادم باستخدام تقنيات وآليات الحماية الحديثة والمتقدمة، وإدارتها بشكل آمن.
واشترطت التقييد الحازم لاستخدام أجهزة وسائط التخزين الخارجية والأمن المتعلق بها، وإدارة حزم التحديثات والإصلاحات للأنظمة والتطبيقات والأجهزة «Patch Management»، ومزامنة التوقيت «Clock Synchronization» مركزياً ومن مصدر دقيق وموثوق، ومن هذه المصادر ما توفره الهيئة السعودية للمواصفات والمقاييس والجودة.
وأوجبت ضمان حماية البريد الإلكتروني للجهة من المخاطر السيبرانية، وتحديد وتوثيق واعتماد متطلبات الأمن السيبراني لحماية البريد الإلكتروني، وضمان حماية بيانات ومعلومات الجهة والإعدادات التقنية للأنظمة والتطبيقات الخاصة بالجهة من الأضرار الناجمة عن المخاطر السيبرانية، وذلك وفقاً للسياسات والإجراءات التنظيمية للجهة، والمتطلبات التشريعية والتنظيمية ذات العلاقة.
