فيما خطت المملكة خطوات مهمة نحو تأسيس البنية التحتية والأسس اللازمة لمكافحة الهجمات السيبرانية التي تفاقمت على مدى السنوات القليلة الماضية، يتبقى أسبوع على انتهاء الموعد الذي حددته هيئة الاتصالات وتقنية المعلومات لتلقي المرئيات والملاحظات على وثيقة «الإطار التنظيمي للأمن السيبراني لقطاع الاتصالات وتقنية المعلومات». وعلمت «الوطن» أن الوثيقة حددت 38 حكمًا تنظیمیًا یجب على مقدمي الخدمات المرخصین الالتزام بھا.
حوكمة الأمن السيبراني
طرحت هيئة الاتصالات وتقنية المعلومات الوثيقة، ودعت الأطراف المعنية إلى تقديم كافة المرئيات والملحوظات المتعلقة بهذه الوثيقة للاطلاع عليها في الفترة من 29 مايو المنصرم إلى 27 يونيو الجاري، وذلك ضمن سعي الهيئة إلى تنظيم وحوكمة الأمن السيبراني في القطاع، للحد من المخاطر على الاتصالات وتقنية المعلومات باعتبارها جزءًا هامًا من البنية التحتية الحيوية في المملكة.
وأضافت الهيئة أن إصدار هذه الوثيقة يأتي بهدف حماية المصلحة العامة ومصالح المستخدمين والمحافظة على سرية الاتصالات وأمن المعلومات.
الأحكام التنظيمية الـ38
أولا- الحوكمة
یجب على مقدمي الخدمات المرخصین القیام بما یلي:
1 - تحدید إستراتیجیة الأمن السیبراني ووضع خارطة التنفیذ لتحقیق الأھداف.
2 - تحدید الھیكل التنظیمي المناسب الذي سیتولى مسؤولیة أنشطة الأمن السیبراني.
3 - تحقیق الالتزام بالمتطلبات التنظیمیة الداخلیة والخارجیة ذات الصلة.
4 - إجراء عملیات تدقیق مستقلة للأمن السیبراني بصفة دوریة.
5 - عقد حملات توعویة ودورات تدریبیة بصفة دوریة لموظفیھم عن الأمن السیبراني.
6 - تزوید عملائھم بمعلومات الأمن السیبراني ذات الصلة بالخدمات المقدمة لتحسین الوعي.
7 - ضمان إدراج المتطلبات التنظیمیة للأمن السیبراني في منھجیة إدارة المشاریع المطبقة.
8 - ضمان متطلبات الأمن السيبراني في حالة حدوث أي تغيير في العلاقات الوظيفية.
ثانيا: إدارة الأصول
1 - الاحتفاظ بقائمة جرد محدثة لجمیع الأصول المعلوماتیة التي تتضمن جمیع التفاصیل.
2 - تصنیف الأصول المعلوماتیة لضمان الحمایة القائمة على المخاطر للأصول المعلوماتیة.
3 - إدارة استخدام أجھزة الموظفین لأغراض العمل لحمایة الجھة من المخاطر الناجمة عن استخدامھا.
4 - تحدید وتطبیق سیاسة الاستخدام المقبول لحمایة الجھة من مخاطر الاستخدام غیر المناسب للأصول المعلوماتیة.
5 - الحفاظ على الأصول المعلوماتیة واستعادتھا لضمان سلامتھا في حالة وقوع حادثة أمن سیبراني.
6 - ضمان التخلص الآمن من الأصول المعلوماتیة لمنع اطلاع غیر المصرح به.
ثالثا: إدارة المخاطر للأمن السيبراني
1 - إعداد منھجیة مناسبة لتحدید مخاطر الأمن السیبراني لحمایة الأصول المعلوماتیة.
2 - إعداد وتنفیذ منھجیة مناسبة لمراقبة مخاطر الأمن السیبراني ومعالجتھا.
رابعا: الأمن المنطقي
1 - استخدام التشفیر لضمان سریة وموثوقیة وسلامة المعلومات.
2 - إدارة التغییرات التي تُجرى على الأصول المعلوماتیة.
3 - تحدید الثغرات الأمنیة في الأصول المعلوماتیة.
4 -التأكد من تطبیق حزم التحدیثات والإصلاحات الأمنیة على الأصول المعلوماتیة.
5 - حمایة الشبكات التي تدیرھا الجھة من الأنشطة الخبیثة والتھدیدات السیبرانیة.
6 - مراقبة وحمایة سجلات الأحداث الخاصة بالأصول المعلوماتیة.
7 - إدارة صلاحیات الوصول لمنع وصول غیر المصرح إلى الأصول المعلوماتیة.
8 - إنشاء وتطبیق قائمة بتطبیقات البرمجیات المسموح بتثبیتھا واستخدامھا داخل الجھة.
9 - الكشف عن حوادث الأمن السیبراني والاستجابة لھا لاحتوائھا والحد من أثرھا.
10 - الكشف عن البرمجیات الضارة ومنع انتشارھا في الجھة.
11 - تصنیف معلومات الجھة لضمان حمایتھا بشكل ملائم.
12 - النسخ الاحتیاطي لضمان استعادة المعلومات بعد وقوع أي حادثة.
13 - تطبیق الإعدادات الأساسیة للأنظمة بھدف زیادة صمود الأصول المعلوماتیة.
14 - تنفیذ منھجیة دورة حیاة تطویر البرمجیات بطریقة آمنة.
15 - حمایة البرید الإلكتروني ومتصفحات الویب من تھدیدات الأمن السیبراني.
16 - إجراء اختبارات الاختراق لتقییم القدرات الدفاعیة للجھة وكشف الثغرات.
خامسا: الأمن المادي
1 - حمایة الأصول المعلوماتیة من الأضرار المادیة والتھدیدات.
2 - إدارة الوصول المادي إلى المرافق التي تحتوي الأصول المعلوماتیة لمنع وصول غیر المصرح.
3 - حمایة الأصول المعلوماتیة من التھدیدات البیئیة.
4 - حمایة الأصول المعلوماتیة الموجودة خارج مباني الجھة من التھدیدات المادیة والبیئیة.
سادسا: الأمن المتعلق بالأطراف الخارجية
1 - تضمین متطلبات الأمن السیبراني في العقود وإلزام مقدم الخدمة السحابیة بتطبیقھا.
2 - تضمین متطلبات الأمن السیبراني في العقود وإلزام الأطراف الخارجیة بتطبیقھا.
الأمن السيبراني في المملكة
20 مليار ريال
نمو متوقع لسوق الأمن السيبراني في 2023.
العام الجاري 2019 سيشهد ارتفاع قيمة سوق الأمن السيبراني إلى 11.25 مليار ريال.
بلغ حجم السوق نحو 1.5 مليار ريال خلال العام 2018.
حققت المملكة المركز 13 عالميا والأولى عربياً من بين (175) دولة في المؤشر العالمي للأمن السيبراني GCI الذي يصدره الاتحاد الدولي للاتصالات التابع للأمم المتحدة للعام 2018.
حوكمة الأمن السيبراني
طرحت هيئة الاتصالات وتقنية المعلومات الوثيقة، ودعت الأطراف المعنية إلى تقديم كافة المرئيات والملحوظات المتعلقة بهذه الوثيقة للاطلاع عليها في الفترة من 29 مايو المنصرم إلى 27 يونيو الجاري، وذلك ضمن سعي الهيئة إلى تنظيم وحوكمة الأمن السيبراني في القطاع، للحد من المخاطر على الاتصالات وتقنية المعلومات باعتبارها جزءًا هامًا من البنية التحتية الحيوية في المملكة.
وأضافت الهيئة أن إصدار هذه الوثيقة يأتي بهدف حماية المصلحة العامة ومصالح المستخدمين والمحافظة على سرية الاتصالات وأمن المعلومات.
الأحكام التنظيمية الـ38
أولا- الحوكمة
یجب على مقدمي الخدمات المرخصین القیام بما یلي:
1 - تحدید إستراتیجیة الأمن السیبراني ووضع خارطة التنفیذ لتحقیق الأھداف.
2 - تحدید الھیكل التنظیمي المناسب الذي سیتولى مسؤولیة أنشطة الأمن السیبراني.
3 - تحقیق الالتزام بالمتطلبات التنظیمیة الداخلیة والخارجیة ذات الصلة.
4 - إجراء عملیات تدقیق مستقلة للأمن السیبراني بصفة دوریة.
5 - عقد حملات توعویة ودورات تدریبیة بصفة دوریة لموظفیھم عن الأمن السیبراني.
6 - تزوید عملائھم بمعلومات الأمن السیبراني ذات الصلة بالخدمات المقدمة لتحسین الوعي.
7 - ضمان إدراج المتطلبات التنظیمیة للأمن السیبراني في منھجیة إدارة المشاریع المطبقة.
8 - ضمان متطلبات الأمن السيبراني في حالة حدوث أي تغيير في العلاقات الوظيفية.
ثانيا: إدارة الأصول
1 - الاحتفاظ بقائمة جرد محدثة لجمیع الأصول المعلوماتیة التي تتضمن جمیع التفاصیل.
2 - تصنیف الأصول المعلوماتیة لضمان الحمایة القائمة على المخاطر للأصول المعلوماتیة.
3 - إدارة استخدام أجھزة الموظفین لأغراض العمل لحمایة الجھة من المخاطر الناجمة عن استخدامھا.
4 - تحدید وتطبیق سیاسة الاستخدام المقبول لحمایة الجھة من مخاطر الاستخدام غیر المناسب للأصول المعلوماتیة.
5 - الحفاظ على الأصول المعلوماتیة واستعادتھا لضمان سلامتھا في حالة وقوع حادثة أمن سیبراني.
6 - ضمان التخلص الآمن من الأصول المعلوماتیة لمنع اطلاع غیر المصرح به.
ثالثا: إدارة المخاطر للأمن السيبراني
1 - إعداد منھجیة مناسبة لتحدید مخاطر الأمن السیبراني لحمایة الأصول المعلوماتیة.
2 - إعداد وتنفیذ منھجیة مناسبة لمراقبة مخاطر الأمن السیبراني ومعالجتھا.
رابعا: الأمن المنطقي
1 - استخدام التشفیر لضمان سریة وموثوقیة وسلامة المعلومات.
2 - إدارة التغییرات التي تُجرى على الأصول المعلوماتیة.
3 - تحدید الثغرات الأمنیة في الأصول المعلوماتیة.
4 -التأكد من تطبیق حزم التحدیثات والإصلاحات الأمنیة على الأصول المعلوماتیة.
5 - حمایة الشبكات التي تدیرھا الجھة من الأنشطة الخبیثة والتھدیدات السیبرانیة.
6 - مراقبة وحمایة سجلات الأحداث الخاصة بالأصول المعلوماتیة.
7 - إدارة صلاحیات الوصول لمنع وصول غیر المصرح إلى الأصول المعلوماتیة.
8 - إنشاء وتطبیق قائمة بتطبیقات البرمجیات المسموح بتثبیتھا واستخدامھا داخل الجھة.
9 - الكشف عن حوادث الأمن السیبراني والاستجابة لھا لاحتوائھا والحد من أثرھا.
10 - الكشف عن البرمجیات الضارة ومنع انتشارھا في الجھة.
11 - تصنیف معلومات الجھة لضمان حمایتھا بشكل ملائم.
12 - النسخ الاحتیاطي لضمان استعادة المعلومات بعد وقوع أي حادثة.
13 - تطبیق الإعدادات الأساسیة للأنظمة بھدف زیادة صمود الأصول المعلوماتیة.
14 - تنفیذ منھجیة دورة حیاة تطویر البرمجیات بطریقة آمنة.
15 - حمایة البرید الإلكتروني ومتصفحات الویب من تھدیدات الأمن السیبراني.
16 - إجراء اختبارات الاختراق لتقییم القدرات الدفاعیة للجھة وكشف الثغرات.
خامسا: الأمن المادي
1 - حمایة الأصول المعلوماتیة من الأضرار المادیة والتھدیدات.
2 - إدارة الوصول المادي إلى المرافق التي تحتوي الأصول المعلوماتیة لمنع وصول غیر المصرح.
3 - حمایة الأصول المعلوماتیة من التھدیدات البیئیة.
4 - حمایة الأصول المعلوماتیة الموجودة خارج مباني الجھة من التھدیدات المادیة والبیئیة.
سادسا: الأمن المتعلق بالأطراف الخارجية
1 - تضمین متطلبات الأمن السیبراني في العقود وإلزام مقدم الخدمة السحابیة بتطبیقھا.
2 - تضمین متطلبات الأمن السیبراني في العقود وإلزام الأطراف الخارجیة بتطبیقھا.
الأمن السيبراني في المملكة
20 مليار ريال
نمو متوقع لسوق الأمن السيبراني في 2023.
العام الجاري 2019 سيشهد ارتفاع قيمة سوق الأمن السيبراني إلى 11.25 مليار ريال.
بلغ حجم السوق نحو 1.5 مليار ريال خلال العام 2018.
حققت المملكة المركز 13 عالميا والأولى عربياً من بين (175) دولة في المؤشر العالمي للأمن السيبراني GCI الذي يصدره الاتحاد الدولي للاتصالات التابع للأمم المتحدة للعام 2018.
