DCC – 1 : 2022 تأسيس و تشغيل مكتب إدارة البيانات
ضوابط الأمن السيبراني للبيانات – دي سي سي 1:2022
في الوقت الذي تُعدّ فيه البيانات من أهم الأصول الوطنية التي تسهم في تحقيق المستهدفات الإستراتيجية من خلال دعم مراحل صناعة القرار في المنشآت الوطنية وإمدادها برؤى مفيدة تساعدها على النمو والتميُّز، تواجه أخطار سيبرانية عديدة من الممكن أن تؤثر على الأعمال بأوجهٍ عدة. هذا ما يستوجب تطبيق ضوابط الأمن السيبراني للبيانات للحد من التهديدات والمخاطر المحيطة. م
ما المقصود بضوابط الأمن السيبراني للبيانات؟
مجموعة من الضوابط والسياسات التي طوَّرتها الهيئة الوطنية للأمن السيبراني بغرض وضع الحد الأدنى من المتطلبات الأمنية لتمكين الجهات من حماية بياناتها، بجميع أشكالها المادية والرقمية والتي تشمل البيانات المهيكلة (مثل قواعد البيانات وجداول البيانات) والبيانات غير المهيكلة (مثل الوثائق والمستندات)، خلال جميع مراحل دورة حياة البيانات وتساعدها على مواجهة التهديدات المتزايدة بما يُحافظ على أمنها ونشاطاتها التشغيلية والخروج منها بأقل الأضرار. م
ما علاقة ضوابط الأمن السيبراني للبيانات بضوابط الأمن السيبراني الأساسية؟
EEC – 1: 2018 حريٌ بنا التنويه على أن هذه الضوابط تُمثِّل امتدادًا للضوابط الأساسية للأمن السيبراني
وتتكامل مع مكوناتها بشكلٍ وثيقٍ للغاية وبالتالي لا يمكن تطبيق ضوابط الأمن السيبراني للبيانات دون تحقيق الالتزام المستمر بالضوابط الأساسية للأمن السيبراني. وتَفرِض الهيئة بدورها على جميع الجهات ضرورة تنفيذ ما يحقق الالتزام الدائم والمستمر بهذه الضوابط. م
فوائد تحقيق الالتزم بضوابط الأمن السيبراني للبيانات
يعود الالتزام بضوابط الأمن السيبراني للبيانات بفوائدٌ عدّة على المنشآت والجهات الوطنية، نذكر بعض منها كالآتي: م
رفع مستوى حماية بيانات المُنشأة وضمان حماية الأصول المعلوماتية من التهديدات والمخاطر السيبرانية
تعزيز الأمن السيبراني للجهات خلال مراحل دورة حياة البيانات كافة رفع مستوى الوعي حول طرق وأساليب التعامل الآمن مع البيانات
تجنب الأضرار التنظيمية والقانونية نتيجة عدم الالتزام بالضوابط
تعزيز فرص التعاون في المنشأة مع الجهات الأخرى، إذ تفرض معظم الجهات قواعد وسياسات صارمة لتبادل البيانات وتحقيق التكامل والتعاون فيما بينها
تطبيق ضوابط الأمن السيبراني للبيانات وتحقيق الالتزام
يشمل نطاق عمل هذه الضوابط كل من الجهات في القطاعين الحكومي والخاص، وتفرض الهيئة الوطنية للأمن السيبراني على بعض الجهات ضرورة تحقيق الالتزام الدائم والمستمر بها، وهي كالآتي: م
الجهات الحكومية، وتشمل الوزارات والهيئات والمؤسسات وغيرها
المنشآت والشركات التابعة للجهات الحكومية
جهات القطاع الخاص التي تمتلك بنى تحتية وطنية حساسة أو تقوم بتشغيلها أو استضافتها. م
جديرٌ بالذكر أنه تم إعداد هذه الضوابط لتكون ملائمة لمتطلبات الأمن السيبراني للجهات والقطاعات في المملكة بتنوع طبيعة أعمالها، ويجب على الجهات التي تقع ضمن نطاق عملها تنفيذ وتطبيق جميع الضوابط القابلة للتطبيق فيها بما يحقق الالتزام الدائم والمستمر بتلك الضوابط. م
ما هي مكونات ضوابط الأمن السيبراني للبيانات؟
تتكون ضوابط الأمن السيبراني للبيانات من 3 مكونات رئيسية تحوي 19 ضابط أساسي و47 ضابط فرعي، موزّعة على 11 مكوّن فرعي كما هو موضح في الشكل : ح
حوكمة الأمن السيبراني
تقتضي حوكمة الأمن السيبراني إجراء عدد من الأنشطة للتوافق مع الضوابط المدرجة، نذكرها كالآتي: م
تطبيق الضوابط وإنشاء السياسات التي تضمن أن جميع منسوبي الجهة يتلقون الدعم وبرامج التوعية الأمنية المناسبة، والتأكُّد من تزويد العاملين بالجهة بالمهارات وبرامج التدريب اللازمة والمطلوبة في مجال الأمن السيبراني وحماية البيانات؛ والتي تُمكّنهم من الحفاظ على سلامة وأمن الأصول المعلوماتية للجهة.
يجب على الجهات تطبيق متطلبات الأمن السيبراني والضوابط المتعلقة بالعاملين (موظفين ومتعاقدين) والتأكُّد من أن المخاطر السيبرانية تُعالج بفعالية وفق أفضل الممارسات والتشريعات، قبل وأثناء وبعد انتهاء أو إنهاء العلاقة الوظيفية في الجهة. على سبيل المثال، يتعيّن عليهم إجراء "المسح الأمني" للعاملين في وظائف تتعامل مع البيانات.
يتعيّن على كلّ جهة إجراء تدقيقًا ومراجعة دورية لضمان التأكّد من الالتزام بضوابط الأمن السيبراني وأنها تعمل وفق السياسات التنظيمية الخاصة بها والتشريعات الدولية والمحلية.
تعزيز الأمن السيبراني
يجب على الجهات العمل على تعزيز أمنها السيبراني من خلال تطوير سياساتها لضمان حماية الوصول المنطقي إلى الأصول المعلوماتية والتقنية في الجهة ومنع الوصول غير المصرح به إليها، من خلال تطبيق الضوابط الآتية: م
يجب تطوير سياسات تضمن التقيّد الحازم وبناء قوائد صلاحيات تسمح للحد الأدنى من العاملين في الجهة بالوصول إلى البيانات والاطلاع عليها ومشاركتها، والحرص على مراجعتها حسب المدة المحددة لكل مستوى من مستويات تصنيف البيانات. يجب أيضًا إدارة عمليات الدخول وصلاحيات الوصول إلى البيانات باستخدام أنظمة إدارة الصلاحيات الهامة والحساسة
ضمان حماية أجهزة معالجة المعلومات، بما في ذلك البنى التحتية للتحية وأجهزة المستخدمين، من المخاطر السيبرانية، عبر تحقيق الالتزام بتطبيق الضوابط المذكورة، نذكر بعض منها كالآتي: م
تطبيق حزم التحديثات والإصلاحات الأمنية
ومراجعة إعدادات الحماية والتحصين للأنظمة المستخدمة للتعامل مع البيانات
مراجعة وتحصين الإعدادات المصنعية للأصول التقنية المستخدمة للتعامل مع البيانات
تعطيل خاصية تصوير الشاشة في الأجهزة التي تُنشئ أو تعالج الوثائق
يجب تطبيق الضوابط التي تضمن حماية سرية بيانات ومعلومات الجهة وسلامتها ودقتها وتوافرها، كاستخدام تقنيات منع تسريب البيانات وإدارة الصلاحيات، واستخدام تقنيات ترميز الوثائق ليسهل تتبعها، أو فرض سياسات تحظر استخدام البيانات في أي بيئة غير بيئة الإنتاج أو استخدام خدمة حماية العلامة التجارية من الانتحال
يجب تطبيق الحد الأدنى من الضوابط لضمان حماية الأجهزة المحمولة في المنشآت، بما في ذلك أجهزة الحواسيب المحمولة والهواتف الذكية والأجهزة اللوحية، من المخاطر، بالإضافة إلى حماية المعلومات والتعامل مع البيانات بشكلٍ آمنٍ في أثناء تناقلها ومشاركتها وحفظها على تلك الأجهزة. يجب التأكُّد من إدارة الأجهزة المحمولة مركزيًا باستخدام نظام إدارة الأجهزة المحمولة وتفعيل خاصية الحذف عن بعد
يجب تطبيق ضوابط وتحقيق الالتزام بمتطلبات الأمن السيبراني بما يضمن الاستخدام السليم والفعّال للتشفير؛ لحماية البيانات والأصول المعلوماتية الإلكترونية في الجهات. ويشمل ذلك: استخدام طرق وخوارزميات محدثة وآمنة للتشفير عند إنشاء البيانات ونقلها ومشاركتها وتخزينها
تطوير السياسات وتضبيق الضوابط التي تضمن تنفيذ عمليات إتلاف البيانات وتدميرها بشكلٍ آمنٍ، مع تحديد التقنيات والأدوات والإجراءات لتنفيذ تلك العمليات، وضرورة الاحتفاظ بسجلات عمليات الإتلاف أو الحذف الآمن للبيانات المُنفَّذة، وفق المتطلبات التشريعية والتنظيمية. يجب كذلك مراجعة إجراءات الإتلاف المعمول بها بشكلٍ دوريٍ حسب المدة المحددة لكل مستويات تصنيف البيانات
يجب تحقيق الالتزم وتحديد وتوثيق واعتماد متطلبات أمنية وسياسات لحماية الطابعات والماسحات الضوئية وآلات التصوير، بما يضمن التعامل الآمن مع البيانات عند استخدام الآلات آنفة الذكر. يتعيّن على الجهات كذلك إجراء مراجعة وتدقيق حالة الالتزام وتطبيق متطلبات الأمن السيبراني للطابعات والماسحات الضوئية وآلات التصوير.
على سبيل المثال، يجب على الجهات تعطيل خاصية التخزين المؤقت، وتفعيل خاصة التحقق من الهويات قبل بدء عمليات الطباعة والتصوير والمسح الضوئي إضافةً إلى الاحتفاظ بسجلاتٍ إلكترونيةٍ لتلك العمليات، واستخدام تقنيات وأجهزة إتلاف الوثائق بعد الانتهاء منها.
الأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية
يجب تحقيق الالتزام وتطبيق متطلبات الأمن السيبراني ذات الصلة لضمان حماية الأصول المعلوماتية من المخاطر والتهديدات المتعلقة بالأطراف الخارجية بما في ذلك خدمات تقنية المعلومات والخدمات المدارة والخدمات الاستشارية. وتشمل الآتي: م
إجراء المسح الأمني لمنسوبي الأطراف الخارجية الذين لديهم صلاحيات الوصول إلى بيانات الجهة.م
وجود سياسات وضمانات تعاقدية تُوجِب الطرف الخارجي على إتلاف وحذف بيانات الجهة بطرقٍ آمنةٍ عند إنتهاء أو إنهاء العلاقة التعاقدية بينهما مع ضرورة إثبات ذلك. م
توثيق جميع عمليات مشاركة البيانات مع الأطراف الخارجية مع توضيح مبررات وأسباب المشاركة م
تطوير سياسات تُلزِم الأطراف الخارجية على إعلام وتنبيه الجهات في حالة حدوث اختراقات وحوادث أمنية لديهم قد تؤثر على بيانات الجهة التي تمت مشاركتها أو إنشائها. م
إعادة تصنيف البيانات إلى أقل مستوى، قبل مشاركتها مع الجهات الخارجية باستخدام تقنيات تعتيم البيانات ومزج البيانات. م
شارك المقال
BE THE INDUSTRY LEADER - Your trusted Consulting Partner
Every consulting may provide good consulting but we provide it with EXCELLENCE. Global Standards Co. offers three consulting Models that works best for You
Stand away from the traffic?
Subscribe to our Newsletter today
Unfortunately You cannot copy contents for intellectual properties reasons :(