Close Menu
    الخميس, يونيو 4
    آخر الأخبار
    الرياض Weather Icon
    40°C

    «الأمن السيبراني» يضع إطارًا تنظيميًا لحماية شركات القطاع الخاص في المملكة

    محليات

    في ظل التحول الرقمي المتسارع وتزايد التهديدات الإلكترونية التي تستهدف المؤسسات حول العالم، برز الأمن السيبراني كأحد الركائز الأساسية لضمان استمرارية الأعمال وحماية البيانات الحساسة.

    وفي هذا السياق، اعتمد مجلس إدارة الهيئة الوطنية للأمن السيبراني في وقت سابق الضوابط الخاصة بجهات القطاع الخاص غير المشغلة للبنى التحتية الحساسة، بهدف بناء منظومة متكاملة لحماية الأنظمة والأصول الرقمية داخل المؤسسات.

    وترتكز هذه الضوابط على ثلاثة مكونات رئيسية تشمل حوكمة الأمن السيبراني، وتعزيز الأمن السيبراني، والأمن السيبراني المتعلق بالأطراف الخارجية، بما يضمن وضع إطار تنظيمي وتقني متكامل يحد من المخاطر السيبرانية ويعزز قدرة المؤسسات على مواجهة التهديدات الداخلية والخارجية.

    وتشمل الضوابط مؤسسات القطاع الخاص الكبيرة والمتوسطة والصغيرة التي لا تشغّل بنى تحتية حساسة، مع تصنيفها وفق عدد الموظفين والإيرادات السنوية. فالشركات الكبيرة هي التي يزيد عدد موظفيها على 250 موظفًا بدوام كامل أو تحقق إيرادات سنوية تتجاوز 200 مليون ريال، وتلتزم بتطبيق منظومة متكاملة تضم ثلاثة مكونات رئيسية و22 مكونًا فرعيًا و65 ضابطًا أساسيًا. أما الجهات المتوسطة والصغيرة التي يتراوح عدد موظفيها بين 6 و249 موظفًا أو تحقق إيرادات سنوية بين 3 و200 مليون ريال، فتلتزم بتطبيق مكون رئيسي واحد و13 مكونًا فرعيًا و26 ضابطًا أساسيًا، بما يتناسب مع قدراتها التشغيلية.

    وتستند هذه الضوابط إلى أفضل الممارسات الدولية في مجال الأمن السيبراني، وتهدف إلى تمكين الجهات من تقليل المخاطر الناشئة عن التهديدات الإلكترونية، مع التركيز على ثلاثة أهداف أساسية تتمثل في سرية المعلومات وسلامتها وتوافرها، وهي المبادئ الجوهرية التي تقوم عليها منظومات الأمن المعلوماتي الحديثة.

    ومن أبرز متطلبات الضوابط إلزام الجهات بإنشاء وحدة إدارية متخصصة بالأمن السيبراني ترتبط مباشرة برئيس الجهة أو من يفوضه، على أن تكون مستقلة عن وحدة تقنية المعلومات. ويُشترط أن يشغل الوظائف القيادية والإشرافية في هذه الوحدة مختصون ذوو كفاءة عالية في المجال، مع تحديد وتوثيق الهيكل التنظيمي للحوكمة والأدوار والمسؤوليات الخاصة بالأمن السيبراني داخل المؤسسة، بما يضمن وضوح المهام وتجنب تعارض المصالح.

    كما يتعين على الجهات تحديد سياسات الأمن السيبراني وتوثيقها واعتمادها رسميًا، ثم نشرها على الموظفين المعنيين داخل المؤسسة، على أن تتولى الوحدة الإدارية المختصة متابعة تطبيق هذه السياسات ومراجعتها بشكل دوري لضمان فعاليتها ومواكبتها للتطورات التقنية.

    وتتضمن الضوابط كذلك وضع منهجية واضحة لإدارة مخاطر الأمن السيبراني تهدف إلى حماية الأصول المعلوماتية والتقنية من التهديدات المحتملة. وتشمل هذه المنهجية تحديد المخاطر وتحليلها ووضع إجراءات للتعامل معها وتوثيقها رسميًا، مع تطبيقها على مستوى المؤسسة بأكملها. كما يجب إجراء مراجعات وتدقيقات دورية للتأكد من التزام الجهة بتطبيق الضوابط المعتمدة، والتحقق من توافق سياساتها وإجراءاتها التنظيمية مع المتطلبات الوطنية الصادرة عن الهيئة، على أن تتم عملية التدقيق من قبل جهة مستقلة عن الوحدة الإدارية المعنية بالأمن السيبراني داخل المؤسسة.

    وفيما يتعلق بالعنصر البشري، تشدد الضوابط على أهمية تنفيذ برامج توعية بالأمن السيبراني داخل المؤسسات، بحيث تغطي الموضوعات الأساسية المرتبطة بالمخاطر الرقمية، مثل التصيد الإلكتروني وبرامج الفدية وأهمية استخدام كلمات مرور قوية، إضافة إلى أفضل الممارسات في استخدام وسائل التواصل الاجتماعي وآليات الإبلاغ عن الحوادث أو السلوكيات المشبوهة. كما ينبغي تصميم هذه البرامج بما يتناسب مع طبيعة مهام الموظفين واحتياجاتهم العملية، مع مراجعتها وتحديثها بشكل دوري لضمان فعاليتها.

    وتولي الضوابط اهتمامًا خاصًا بإدارة هويات الدخول والصلاحيات داخل المؤسسات، حيث يتعين تحديد متطلبات الأمن السيبراني الخاصة بهذه العمليات وتوثيقها واعتمادها. وتشمل هذه المتطلبات التحقق من هوية المستخدم عبر آليات مصادقة آمنة تعتمد على اسم المستخدم وكلمة المرور، إضافة إلى تطبيق المصادقة متعددة العوامل لجميع عمليات الدخول، بما في ذلك البريد الإلكتروني والتطبيقات الخارجية.

    كما يجب إدارة تصاريح المستخدمين وفق مبادئ التحكم في الدخول، مثل مبدأ الحاجة إلى المعرفة ومبدأ الحد الأدنى من الصلاحيات والفصل بين المهام الحساسة، إلى جانب إدارة الصلاحيات المميزة وإجراء مراجعات دورية لهويات الدخول والصلاحيات للتأكد من سلامتها ومنع أي استخدام غير مشروع للأنظمة.

    وعلى المستوى التقني، تلزم الضوابط الجهات بتحديد متطلبات الأمن السيبراني الخاصة بحماية الأنظمة وأجهزة معالجة المعلومات وتوثيقها واعتمادها، بما يضمن حماية الخوادم وأجهزة المستخدمين وأجهزة الشبكة من الفيروسات والبرامج الخبيثة والأنشطة المشبوهة باستخدام تقنيات الحماية الحديثة.

    كما تشمل هذه المتطلبات ضبط الإعدادات الافتراضية للأنظمة عبر إلغاء الخدمات غير الضرورية وتعطيل كلمات المرور الافتراضية التي قد تشكل ثغرات أمنية، إضافة إلى تقييد استخدام وسائط التخزين القابلة للإزالة للحد من المخاطر المحتملة. وتشدد الضوابط كذلك على أهمية توحيد مزامنة التوقيت في الأنظمة التقنية من مصدر مركزي دقيق وموثوق وفق المعايير المعتمدة، بما يعزز موثوقية الأنظمة وسلامة العمليات التقنية ودقة السجلات الرقمية.

    ومن خلال هذه الضوابط التنظيمية والتقنية، تسعى المملكة إلى تعزيز مستوى الأمن السيبراني داخل مؤسسات القطاع الخاص وبناء بيئة رقمية أكثر أمانًا وثقة، بما يدعم مسار التحول الرقمي ويحد من المخاطر المتزايدة في الفضاء الإلكتروني.

    تابع القراءة

    أخبار