الهيئة الوطنية للأمن السيبراني تُلزم القطاع الخاص بإنشاء وحدة إدارية متخصصة بالأمن السيبراني

اعتمد مجلس إدارة الهيئة الوطنية للأمن السيبراني الضوابط الخاصة بجهات القطاع الخاص غير المشغِّلة للبنى التحتية الحساسة، والتي ترتكز على ثلاثة مكونات رئيسية تشمل: حوكمة الأمن السيبراني، وتعزيز الأمن السيبراني، والأمن السيبراني المتعلق بالأطراف الخارجية، بهدف بناء منظومة حماية متكاملة.

نطاق التطبيق

تشمل الضوابط مؤسسات القطاع الخاص الكبيرة والمتوسطة والصغيرة من غير ذات البنى التحتية الحساسة. وتضم الجهات الكبيرة أكثر من 250 موظفًا بدوام كامل أو تحقق إيرادات سنوية تتجاوز 200 مليون ريال، وتلتزم بتوفير ثلاثة مكونات أساسية و22 مكونًا فرعيًا و65 ضابطًا أساسيًا.

أما الجهات المتوسطة والصغيرة فتشمل المنشآت التي يتراوح عدد موظفيها بين 6 و249 موظفًا بدوام كامل أو تحقق إيرادات سنوية بين 3 و200 مليون ريال، وتلتزم بتوفير مكون أساسي واحد و13 مكونًا فرعيًا و26 ضابطًا أساسيًا.

وتستند هذه الضوابط إلى الممارسات الدولية بما يمكّن الجهات من تقليل المخاطر الناتجة عن التهديدات الداخلية والخارجية، مع التركيز على ثلاثة أهداف رئيسية هي: سرية المعلومات وسلامتها وتوافرها.

وحدة الأمن السيبراني

تلزم الضوابط جهات القطاع الخاص بإنشاء وحدة إدارية متخصصة بالأمن السيبراني ترتبط برئيس الجهة أو من يفوضه، على أن تكون مستقلة عن وحدة تقنية المعلومات.

كما يجب أن يشغل رئاسة الإدارة المعنية بالأمن السيبراني والوظائف الإشرافية والحساسة موظفون مختصون وذوو كفاءة عالية في المجال، مع تحديد الهيكل التنظيمي للحوكمة والأدوار والمسؤوليات وتوثيقه واعتماده رسميًا.

إدارة المخاطر

تتضمن الضوابط إدارة مخاطر الأمن السيبراني لحماية الأصول المعلوماتية والتقنية من التهديدات المحتملة، من خلال تحديد منهجية واضحة للإدارة وإجراءاتها وتوثيقها واعتمادها وتطبيقها على مستوى الجهة كافة.

كما تشمل المراجعة والتدقيق الدوري للتحقق من الالتزام بتطبيق الضوابط، والتأكد من توافق السياسات والإجراءات مع المتطلبات التشريعية والتنظيمية الوطنية، على أن تتم مراجعتها من جهة مستقلة داخل الجهة.

التوعية السيبرانية

تشدد الضوابط على تنفيذ برامج توعية بالأمن السيبراني داخل الجهات، بحيث تشمل موضوعات رئيسية مثل التصيد الإلكتروني وبرامج الفدية وكلمات المرور القوية وأفضل الممارسات عند استخدام وسائل التواصل الاجتماعي، إضافة إلى آليات الإبلاغ عن الحوادث والسلوكيات المشبوهة.

وتُصمم هذه البرامج بما يتناسب مع مهام الموظفين وواجباتهم الوظيفية، مع مراجعتها وتحديثها دوريًا لمواكبة التطورات في مجال الأمن السيبراني.

إدارة الهويات والصلاحيات

تنص الضوابط على ضرورة تحديد متطلبات إدارة هويات الدخول والصلاحيات وتوثيقها واعتمادها، بما يشمل التحقق من هوية المستخدم عبر آليات مصادقة آمنة، وتطبيق المصادقة متعددة العوامل لجميع عمليات الدخول بما في ذلك البريد الإلكتروني والتطبيقات الخارجية.

كما تتضمن إدارة الصلاحيات وفق مبدأ الحد الأدنى من الصلاحيات ومبدأ الحاجة إلى المعرفة، مع إجراء مراجعات دورية لهويات الدخول لضمان سلامتها.

حماية الأنظمة والبريد

تشمل الضوابط كذلك حماية الأنظمة وأجهزة معالجة المعلومات من الفيروسات والبرامج الضارة باستخدام تقنيات الحماية الحديثة، مع ضبط الإعدادات الافتراضية وتعطيل الخدمات غير الضرورية وتقييد استخدام وسائط التخزين القابلة للإزالة.

كما تتضمن حماية البريد الإلكتروني عبر تحليل الرسائل وتصفيتها للكشف عن رسائل التصيد والرسائل الاحتيالية والبريد غير المرغوب فيه، وتوثيق نطاقات البريد الإلكتروني باستخدام أطر التحقق القياسية مثل SPF وDKIM وDMARC.

أمن الشبكات

تشدد الضوابط على إدارة أمن الشبكات باستخدام جدران الحماية وبوابات الوصول الآمنة، مع تطبيق العزل والتقسيم المادي أو المنطقي للشبكات وتأمين الشبكات السلكية واللاسلكية باستخدام وسائل تحقق وتشفير مناسبة.

كما تشمل حماية تصفح الإنترنت عبر تقييد الوصول إلى المواقع المشبوهة وإدارة منافذ الشبكة وبروتوكولاتها بشكل آمن، إضافة إلى استخدام أنظمة كشف ومنع الاختراقات المتقدمة والحماية من هجمات حجب الخدمة الموزعة.