تنطبق ضوابط الأمن السيبراني على جميع جهات القطاع الخاص التي لا تمتلك بنى تحتية حساسة، وذلك وفقًا للتعريفات الصادرة عن الهيئة العامة للمنشآت الصغيرة والمتوسطة.
وتستهدف هذه الضوابط فئتين رئيسيتين من الجهات، الفئة الأولى تشمل الجهات الكبيرة، وهي تلك التي تضم أكثر من 250 موظفًا بدوام كامل أو تحقق أكثر من 200 مليون ريال سعودي من الإيرادات السنوية. وتخضع هذه الجهات لضوابط أكثر شمولية نظرًا لحجم عملياتها وتعقيد بنيتها التشغيلية.
أما الفئة الثانية، فهي تضم الجهات الصغيرة والمتوسطة، والتي يراوح عدد موظفيها بين 3 إلى 249 موظفًا بدوام كامل، أو تحقق إيرادات سنوية تتراوح بين 3 و200 مليون ريال سعودي.
وتتمثل أهداف الضوابط لهذه الفئة في تمكينها من الالتزام بمعايير الأمن السيبراني الأساسية، بما يتوافق مع حجمها وقدرتها التشغيلية، مع الحفاظ على سرية وسلامة وتوافر المعلومات.
وتحدد الضوابط لكل فئة عدد المكونات الأساسية والفرعية والضوابط الإلزامية لكل منها. إذ تشمل الجهات الكبيرة ثلاث مكونات أساسية، و22 مكونًا فرعيًا، و65 ضابطًا إلزاميًا، بينما تشمل الجهات الصغيرة والمتوسطة مكونًا أساسيًا واحدًا، و13 مكونًا فرعيًا، و26 ضابطًا إلزاميًا.
وتلزم الهيئة الفئات الكبيرة والصغيرة والمتوسطة بهذه الضوابط وفقًا لما يتم تعميمه رسميًا من قبلها، مع الاحتفاظ بحق الهيئة في إصدار ضوابط إضافية عند الضرورة.
تهدف ضوابط الأمن السيبراني التي اعتمدتها الهيئة الوطنية للأمن السيبراني إلى وضع الحد الأدنى من متطلبات الأمن السيبراني على جهات القطاع الخاص غير ذات البنى التحتية الحساسة، بما يضمن تأسيس إطار حماية متين يتوافق مع أفضل الممارسات الدولية.
تركز الضوابط على الأهداف الأساسية للأمن السيبراني، وهي ثلاثة محاور رئيسية: الحفاظ على سرية المعلومات لضمان عدم الوصول غير المصرح به إلى البيانات، وضمان سلامة المعلومات من أي تعديل أو تلاعب، بالإضافة إلى توافر المعلومات لضمان استمرار الوصول إلى البيانات والخدمات عند الحاجة إليها دون انقطاع.
المحاور الأساسية للأمن السيبراني
تستند ضوابط الأمن السيبراني المعتمدة من الهيئة الوطنية للأمن السيبراني على ثلاثة محاور رئيسية، تركز على تعزيز القدرات المؤسسية والفنية للجهات الخاضعة لها.
يتمثل المحور الأول في الأشخاص، ويهدف إلى التأكد من تأهيل الموظفين ورفع مهاراتهم وقدراتهم في مجال حماية البيانات والممارسات السيبرانية، بما يضمن جاهزيتهم للتعامل مع المخاطر المحتملة.
أما المحور الثاني، الإجراءات فيركز على وضع سياسات وإجراءات واضحة وموثقة لتطبيق الضوابط، بحيث تكون كافة العمليات متوافقة مع المعايير النظامية والممارسات الدولية الرائدة.
بينما يتناول المحور الثالث التقنية، ويشمل استخدام الأدوات التقنية الحديثة لمراقبة وحماية نظم المعلومات والبيانات بشكل مستمر وفعال، لضمان استمرارية سرية وسلامة وتوافر المعلومات.
وتفرض الضوابط التزامًا صارمًا على جميع الجهات الخاضعة لها، سواء الكبيرة أو الصغيرة والمتوسطة، بتنفيذ مجموعة من الإجراءات والالتزامات المقررة من الهيئة.
من أبرز هذه الالتزامات تنفيذ جميع الضوابط والإجراءات المقررة بما يضمن الالتزام الدائم والمستمر، مع توفير الأدوات والإجراءات اللازمة للتحقق من تطبيق ضوابط معالجة البيانات الشخصية وفق نتائج التقييم، وتوثيق التدابير الإدارية والتنظيمية والتقنية الكافية لحماية البيانات، ومراجعتها دوريًا لضمان فعاليتها.
تشدد الضوابط على ضرورة وجود إجراءات موثقة للتعامل مع حوادث تسرب البيانات ومراجعتها بشكل منتظم، وتوظيف عناصر بشرية مؤهلة لديها خبرة نظامية وتقنية لا تقل عن ثلاث سنوات في مجال حماية البيانات، بما في ذلك تعيين مسؤول حماية البيانات الشخصية.
وتلزم الضوابط الجهات بإعداد خطط سنوية تتضمن برامج تدريبية وورش عمل توعوية لجميع الموظفين وفق أدوارهم ومسؤولياتهم، بالإضافة إلى الالتزام بأي متطلبات إضافية قد تصدرها الهيئة في إطار أحكام النظام واللوائح المعمول بها
إجراءات الحصول على شهادة اعتماد
للحصول على شهادة اعتماد، يجب على الجهات تقديم طلب رسمي عبر الوسيلة التي تحددها الهيئة، مرفقًا بالوثائق الداعمة التي تثبت الالتزام بالشروط والمتطلبات.
ويتم تقييم الطلب خلال مدة أقصاها 90 يوم عمل، مع إشعار مقدم الطلب بنتيجة التقييم ونسخة من التقرير. وفي حال رفض الطلب، يمكن إعادة تقديم الطلب بعد معالجة أسباب عدم القبول.
تحدد العناصر الفنية لشهادة الاعتماد الصادرة عن الهيئة الوطنية للأمن السيبراني إطارًا واضحًا لمحتوى هذه الشهادة، بما يضمن الشفافية والمصداقية للجهات المرخص لها.
وتشمل هذه العناصر رقم الشهادة، وبيانات الجهة التي صدرت لها الشهادة ووسائل التواصل الرسمية معها، بالإضافة إلى تاريخ إصدار الشهادة ومدة سريانها، وبيانات الجهة المرخصة لإصدار الشهادة، ويجوز للهيئة إضافة عناصر أخرى للشهادة إذا اقتضت الحاجة لتعزيز متطلبات الرقابة والشفافية.
وتفرض الضوابط مجموعة من الالتزامات على الجهات الحاصلة على شهادة الاعتماد، بهدف الحفاظ على مستوى الالتزام بالأمن السيبراني.
ومن أبرز هذه الالتزامات ضمان استمرار توافر المتطلبات الواردة في الضوابط طوال مدة سريان الشهادة، مع إلزام الجهات بإخطار الهيئة فور عدم القدرة على الالتزام.
يتعين على هذه الجهات إبلاغ الهيئة بأي تغييرات في المتطلبات النظامية أو الممارسات لدى الجهات خارج المملكة، والتي قد تتعارض مع الضوابط المقررة، وتلتزم الجهات بالتعاون مع الهيئة في أي طلبات تتعلق بالالتزام بالنظام واللوائح، إضافة إلى إجراء تقييم دوري للعمليات والإجراءات للتأكد من استمرار الالتزام بالضوابط المقررة.
وفيما يخص سحب أو إلغاء شهادات الاعتماد، تحدد الضوابط حالات واضحة لذلك، وتشمل عدم الالتزام بالشروط والمتطلبات أو بأحكام النظام واللوائح، أو تقديم معلومات خاطئة أو عدم الإفصاح عن معلومات كان يجب الإفصاح عنها، بالإضافة إلى مخالفة أي تعليمات صادرة من الهيئة بخصوص الشهادة.
وتتيح الهيئة للجهة الاعتراض على قرار السحب خلال مدة لا تتجاوز 30 يوم عمل من تاريخ الإشعار، مع إمكانية تعديل أوضاعها وإثبات التزامها بالضوابط، بما يضمن حق الجهات في الحفاظ على مصداقيتها واستمرارية عملها ضمن معايير الأمن السيبراني.
Disclaimer : This story is auto aggregated by a computer programme and has not been created or edited by DOWNTHENEWS. Publisher: alyaum.com
