ضوابط الهيئة الوطنية للأمن السيبراني ECC وDCC: بناء المرونة السيبرانية
أصدرت الهيئة الوطنية للأمن السيبراني مجموعة من الضوابط والمتطلبات التي تهدف إلى رفع مستوى الأمن السيبراني لدى الجهات في المملكة العربية السعودية، وتعزيز قدرتها على حماية أصولها الرقمية وبياناتها الحساسة، والاستجابة للمخاطر السيبرانية بفعالية. ومن أبرز هذه الضوابط: الضوابط الأساسية للأمن السيبراني (ECC)، وضوابط الأمن السيبراني للبيانات (DCC).
تُعد الضوابط الأساسية للأمن السيبراني (ECC) إطارًا تأسيسيًا يساعد الجهات على بناء برنامج متكامل للأمن السيبراني. وتشمل هذه الضوابط مجالات رئيسية مثل حوكمة الأمن السيبراني، إدارة المخاطر، إدارة الأصول، إدارة الهوية والصلاحيات، التوعية بالأمن السيبراني، إدارة الثغرات، الاستجابة للحوادث، استمرارية الأعمال، والأمن السيبراني للأطراف الثالثة.
أما ضوابط الأمن السيبراني للبيانات (DCC)، فتركز بشكل أكبر على حماية البيانات طوال دورة حياتها، بما في ذلك تصنيف البيانات، التحكم في الوصول، التخزين الآمن، النقل الآمن، النسخ الاحتياطي، المراقبة، والإتلاف الآمن. ويساعد تطبيق ضوابط ECC وDCC معًا الجهات على بناء موقف سيبراني أكثر نضجًا وتنظيمًا.
إن بناء المرونة السيبرانية لا يقتصر على وجود سياسات مكتوبة فقط. فالجهات تحتاج إلى فهم مستوى النضج الحالي، وتحديد فجوات الضوابط، وترتيب أولويات المعالجة، وضمان تطبيق المتطلبات بشكل فعلي عبر الأشخاص، والعمليات، والتقنية.
ويتطلب برنامج الجاهزية الناجح لضوابط ECC وDCC تقييمًا واضحًا للممارسات الحالية، وتحديدًا دقيقًا لمالكي الضوابط، وخطط تنفيذ عملية، وأدلة داعمة تثبت فعالية التطبيق. وقد تشمل هذه الأدلة السياسات والإجراءات المعتمدة، إعدادات الأنظمة، مراجعات الصلاحيات، تقارير المراقبة، سجلات الاستجابة للحوادث، سجلات التدريب، ووثائق التدقيق.
كما يجب ألا تتعامل الجهات مع الامتثال لضوابط ECC وDCC باعتباره نشاطًا لمرة واحدة. فالمخاطر السيبرانية تتغير باستمرار، ولذلك ينبغي مراجعة الضوابط واختبارها وتحسينها بشكل دوري. ويشمل ذلك المراقبة المستمرة، التقييمات الدورية، إدارة الثغرات، جاهزية الاستجابة للحوادث، ورفع التقارير للإدارة.
تدعم بريفسكاي الجهات في تقييم الجاهزية لضوابط ECC وDCC، وتحليل الفجوات، وإعداد خطط المعالجة، وتصميم أطر حوكمة الأمن السيبراني، وتطوير السياسات والإجراءات، وتجهيز الأدلة والوثائق الداعمة، والاستعداد لعمليات التدقيق والتقييم.
ومن خلال منهجية منظمة، يمكن أن يتحول الامتثال لضوابط ECC وDCC من مجرد متطلب تنظيمي إلى أساس عملي لتعزيز حوكمة الأمن السيبراني، وتقليل المخاطر التشغيلية، ورفع الثقة في الخدمات الرقمية
