ضوابط الأمن السيبراني للبيانات
تأسيس و تشغيل مكتب إدارة البيانات
ضوابط الأمن السيبراني للبيانات (DCC-1:2022)
في الوقت الذي تُعدّ فيه البيانات من أهم الأصول الوطنية التي تسهم في تحقيق المستهدفات الإستراتيجية من خلال دعم مراحل صناعة القرار في المنشآت الوطنية وإمدادها برؤى مفيدة تساعدها على النمو والتميُّز، تواجه أخطار سيبرانية عديدة من الممكن أن تؤثر على الأعمال بأوجهٍ عدة. هذا ما يستوجب تطبيق ضوابط الأمن السيبراني للبيانات (DCC-1:2022) للحد من التهديدات والمخاطر المحيطة.
ما المقصود بضوابط الأمن السيبراني للبيانات؟
مجموعة من الضوابط والسياسات التي طوَّرتها الهيئة الوطنية للأمن السيبراني بغرض وضع الحد الأدنى من المتطلبات الأمنية لتمكين الجهات من حماية بياناتها، بجميع أشكالها المادية والرقمية والتي تشمل البيانات المهيكلة (مثل قواعد البيانات وجداول البيانات) والبيانات غير المهيكلة (مثل الوثائق والمستندات)، خلال جميع مراحل دورة حياة البيانات وتساعدها على مواجهة التهديدات المتزايدة بما يُحافظ على أمنها ونشاطاتها التشغيلية والخروج منها بأقل الأضرار.
ما علاقة ضوابط الأمن السيبراني للبيانات بضوابط الأمن السيبراني الأساسية؟
حريٌ بنا التنويه على أن هذه الضوابط تُمثِّل امتدادًا للضوابط الأساسية للأمن السيبراني (ECC-1:2018) وتتكامل مع مكوناتها بشكلٍ وثيقٍ للغاية. وبالتالي، لا يمكن تطبيق ضوابط الأمن السيبراني للبيانات دون تحقيق الالتزام المستمر بالضوابط الأساسية للأمن السيبراني. وتَفرِض الهيئة بدورها على جميع الجهات ضرورة تنفيذ ما يحقق الالتزام الدائم والمستمر بهذه الضوابط.
فوائد تحقيق الالتزم بضوابط الأمن السيبراني للبيانات
يعود الالتزام بضوابط الأمن السيبراني للبيانات بفوائدٌ عدّة على المنشآت والجهات الوطنية، نذكر بعض منها كالآتي:
- رفع مستوى حماية بيانات المُنشأة وضمان حماية الأصول المعلوماتية من التهديدات والمخاطر السيبرانية
- تعزيز الأمن السيبراني للجهات خلال مراحل دورة حياة البيانات كافة
- رفع مستوى الوعي حول طرق وأساليب التعامل الآمن مع البيانات
- تجنب الأضرار التنظيمية والقانونية نتيجة عدم الالتزام بالضوابط
- تعزيز فرص التعاون في المنشأة مع الجهات الأخرى، إذ تفرض معظم الجهات قواعد وسياسات صارمة لتبادل البيانات وتحقيق التكامل والتعاون فيما بينها.
تطبيق ضوابط الأمن السيبراني للبيانات وتحقيق الالتزام
يشمل نطاق عمل هذه الضوابط كل من الجهات في القطاعين الحكومي والخاص، وتفرض الهيئة الوطنية للأمن السيبراني على بعض الجهات ضرورة تحقيق الالتزام الدائم والمستمر بها، وهي كالآتي:
- الجهات الحكومية، وتشمل الوزارات والهيئات والمؤسسات وغيرها
- المنشآت والشركات التابعة للجهات الحكومية
- جهات القطاع الخاص التي تمتلك بنى تحتية وطنية حساسة أو تقوم بتشغيلها أو استضافتها.
جديرٌ بالذكر أنه تم إعداد هذه الضوابط لتكون ملائمة لمتطلبات الأمن السيبراني للجهات والقطاعات في المملكة بتنوع طبيعة أعمالها، ويجب على الجهات التي تقع ضمن نطاق عملها تنفيذ وتطبيق جميع الضوابط القابلة للتطبيق فيها بما يحقق الالتزام الدائم والمستمر بتلك الضوابط.
تحتاج لمساعدة/استشارة؟
اتصل بنا الآن؛ وسيعمل فريقنا بأكمله (+110 مستشار وخبير) على إجابة جميع استفساراتك.
ما هي مكونات ضوابط الأمن السيبراني للبيانات؟
تتكون ضوابط الأمن السيبراني للبيانات من 3 مكونات رئيسية تحوي 19 ضابط أساسي و47 ضابط فرعي، موزّعة على 11 مكوّن فرعي كما هو موضح في الشكل :
نُوضِّح ضوابط الأمن السيبراني وفق كل مكوّن كالآتي >>> جدول مرفق
1- حوكمة الأمن السيبراني
تقتضي حوكمة الأمن السيبراني إجراء عدد من الأنشطة للتوافق مع الضوابط المدرجة، نذكرها كالآتي:
المراجعة والتدقيق الدوري للأمن السيبراني
يتعيّن على كلّ جهة إجراء تدقيقًا ومراجعة دورية لضمان التأكّد من الالتزام بضوابط الأمن السيبراني وأنها تعمل وفق السياسات التنظيمية الخاصة بها والتشريعات الدولية والمحلية.
الأمن السيبراني المتعلق بالموارد البشرية
يجب على الجهات تطبيق متطلبات الأمن السيبراني والضوابط المتعلقة بالعاملين (موظفين ومتعاقدين) والتأكُّد من أن المخاطر السيبرانية تُعالج بفعالية وفق أفضل الممارسات والتشريعات، قبل وأثناء وبعد انتهاء أو إنهاء العلاقة الوظيفية في الجهة. على سبيل المثال، يتعيّن عليهم إجراء "المسح الأمني" للعاملين في وظائف تتعامل مع البيانات.
برنامج التوعية والتدريب بالأمن السيبراني
تطبيق الضوابط وإنشاء السياسات التي تضمن أن جميع منسوبي الجهة يتلقون الدعم وبرامج التوعية الأمنية المناسبة، والتأكُّد من تزويد العاملين بالجهة بالمهارات وبرامج التدريب اللازمة والمطلوبة في مجال الأمن السيبراني وحماية البيانات؛ والتي تُمكّنهم من الحفاظ على سلامة وأمن الأصول المعلوماتية للجهة.
تعزيز الأمن السيبراني
يجب على الجهات العمل على تعزيز أمنها السيبراني من خلال تطوير سياساتها لضمان حماية الوصول المنطقي إلى الأصول المعلوماتية والتقنية في الجهة ومنع الوصول غير المصرح به إليها، من خلال تطبيق الضوابط الآتية:
إدارة هويات الدخول والصلاحيات
حماية الأنظمة وأجهزة معالجة المعلومات
أمن الأجهزة المحمولة
حماية البيانات والمعلومات
التشفير Cryptography
الإتلاف الآمن للبيانات
الأمن السيبراني للطابعات والماسحات الضوئية وآلات التصوير
إدارة هويات الدخول والصلاحيات
يجب تطوير سياسات تضمن التقيّد الحازم وبناء قوائد صلاحيات تسمح للحد الأدنى من العاملين في الجهة بالوصول إلى البيانات والاطلاع عليها ومشاركتها، والحرص على مراجعتها حسب المدة المحددة لكل مستوى من مستويات تصنيف البيانات. يجب أيضًا إدارة عمليات الدخول وصلاحيات الوصول إلى البيانات باستخدام أنظمة إدارة الصلاحيات الهامة والحساسة.
حماية الأنظمة وأجهزة معالجة المعلومات
ضمان حماية أجهزة معالجة المعلومات، بما في ذلك البنى التحتية للتحية وأجهزة المستخدمين، من المخاطر السيبرانية، عبر تحقيق الالتزام بتطبيق الضوابط المذكورة، نذكر بعض منها كالآتي:
- تطبيق حزم التحديثات والإصلاحات الأمنية
- ومراجعة إعدادات الحماية والتحصين للأنظمة المستخدمة للتعامل مع البيانات
- مراجعة وتحصين الإعدادات المصنعية للأصول التقنية المستخدمة للتعامل مع البيانات
- تعطيل خاصية تصوير الشاشة في الأجهزة التي تُنشئ أو تعالج الوثائق.
أمن الأجهزة المحمولة
يجب تطبيق الحد الأدنى من الضوابط لضمان حماية الأجهزة المحمولة في المنشآت، بما في ذلك أجهزة الحواسيب المحمولة والهواتف الذكية والأجهزة اللوحية، من المخاطر، بالإضافة إلى حماية المعلومات والتعامل مع البيانات بشكلٍ آمنٍ في أثناء تناقلها ومشاركتها وحفظها على تلك الأجهزة. يجب التأكُّد من إدارة الأجهزة المحمولة مركزيًا باستخدام نظام إدارة الأجهزة المحمولة (MDM) وتفعيل خاصية الحذف عن بعد.
حماية البيانات والمعلومات
يجب تطبيق الضوابط التي تضمن حماية سرية بيانات ومعلومات الجهة وسلامتها ودقتها وتوافرها، كاستخدام تقنيات منع تسريب البيانات وإدارة الصلاحيات، واستخدام تقنيات ترميز الوثائق ليسهل تتبعها، أو فرض سياسات تحظر استخدام البيانات في أي بيئة غير بيئة الإنتاج (Production Environment)، أو استخدام خدمة حماية العلامة التجارية من الانتحال (Brand Protection).
التشفير Cryptography
يجب تطبيق ضوابط وتحقيق الالتزام بمتطلبات الأمن السيبراني بما يضمن الاستخدام السليم والفعّال للتشفير؛ لحماية البيانات والأصول المعلوماتية الإلكترونية في الجهات. ويشمل ذلك: استخدام طرق وخوارزميات محدثة وآمنة للتشفير عند إنشاء البيانات ونقلها ومشاركتها وتخزينها، مع مراعاة المعايير الوطنية للتشفير.
الإتلاف الآمن للبيانات
تطوير السياسات وتضبيق الضوابط التي تضمن تنفيذ عمليات إتلاف البيانات وتدميرها بشكلٍ آمنٍ، مع تحديد التقنيات والأدوات والإجراءات لتنفيذ تلك العمليات، وضرورة الاحتفاظ بسجلات عمليات الإتلاف أو الحذف الآمن للبيانات المُنفَّذة، وفق المتطلبات التشريعية والتنظيمية. يجب كذلك مراجعة إجراءات الإتلاف المعمول بها بشكلٍ دوريٍ حسب المدة المحددة لكل مستويات تصنيف البيانات.
الأمن السيبراني للطابعات والماسحات الضوئية وآلات التصوير
يجب تحقيق الالتزم وتحديد وتوثيق واعتماد متطلبات أمنية وسياسات لحماية الطابعات والماسحات الضوئية وآلات التصوير، بما يضمن التعامل الآمن مع البيانات عند استخدام الآلات آنفة الذكر. يتعيّن على الجهات كذلك إجراء مراجعة وتدقيق حالة الالتزام وتطبيق متطلبات الأمن السيبراني للطابعات والماسحات الضوئية وآلات التصوير.
على سبيل المثال، يجب على الجهات تعطيل خاصية التخزين المؤقت، وتفعيل خاصة التحقق من الهويات قبل بدء عمليات الطباعة والتصوير والمسح الضوئي إضافةً إلى الاحتفاظ بسجلاتٍ إلكترونيةٍ لتلك العمليات، واستخدام تقنيات وأجهزة إتلاف الوثائق بعد الانتهاء منها.
3- الأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية
يجب تحقيق الالتزام وتطبيق متطلبات الأمن السيبراني ذات الصلة لضمان حماية الأصول المعلوماتية من المخاطر والتهديدات المتعلقة بالأطراف الخارجية بما في ذلك خدمات تقنية المعلومات (Outsourcing) والخدمات المدارة (Managed Services) والخدمات الاستشارية. وتشمل الآتي:
- إجراء المسح الأمني (Screening or Vetting) لمنسوبي الأطراف الخارجية الذين لديهم صلاحيات الوصول إلى بيانات الجهة.
- وجود سياسات وضمانات تعاقدية تُوجِب الطرف الخارجي على إتلاف وحذف بيانات الجهة بطرقٍ آمنةٍ عند إنتهاء أو إنهاء العلاقة التعاقدية بينهما مع ضرورة إثبات ذلك.
- توثيق جميع عمليات مشاركة البيانات مع الأطراف الخارجية مع توضيح مبررات وأسباب المشاركة
- تطوير سياسات تُلزِم الأطراف الخارجية على إعلام وتنبيه الجهات في حالة حدوث اختراقات وحوادث أمنية لديهم قد تؤثر على بيانات الجهة التي تمت مشاركتها أو إنشائها.
- إعادة تصنيف البيانات إلى أقل مستوى، قبل مشاركتها مع الجهات الخارجية باستخدام تقنيات تعتيم البيانات (Data Masking) ومزج البيانات (Data Scrambling).
تحتاج مساعدة أو طرح استفسار؟
اتصل بنا الآن، وستجد فريق ضخم يناهز +110 استشاري وخبير تقني في خدمتك يعملون على مساعدتك في تطوير وحماية ونمو أعمالك.
كيف تساعدك ريناد المجد في تحقيق الالتزام وتطبيق ضوابط الأمن السيبراني للبيانات؟
نُمكّنك من تحقيق مستوى الالتزام المطلوب وتطبيق الضوابط وتطوير المستندات اللازمة، عبر مجموعة متكاملة من الخدمات الاحترافية والمُدارة وفريق استشاري ضخم، كالآتي:
تقييم الثغرات وإجراء تحليل فجوات
تصميم وتطوير إستراتيجية الأمن السيبراني
تصميم سياسات وإجراءات ومعايير الأمن السيبراني والوثائق ذات الصلة.
إعادة هيكلة الإجراءات الأمنية وتصميمها
إجراء تدقيق داخلي للتأكّد من جاهزية الجهة الوضع السيبراني فيها
تقديم برامج التدريب التخصصي وورش العمل
