NCA ECC: دليل التطبيق للمنشآت السعودية

الضوابط الأساسية للأمن السيبراني ECC-1:2018 الصادرة عن NCA تشكّل العمود الفقري للأمن السيبراني المؤسسي في المملكة. الجهات الحكومية وشبه الحكومية والقطاع الخاص الحرج ملزمة بالامتثال. المنظمات غير الملزمة غالبًا تطبقها كأفضل ممارسة — خاصة عند التقدم لمناقصات حكومية.

عائلات الضوابط الخمس: (1) حوكمة الأمن السيبراني — استراتيجية وسياسات ومسؤول رسمي وميزانية. (2) تعزيز الأمن — إدارة الأصول والهويات والترقيعات والتشفير وتقسيم الشبكة. (3) صمود الأمن — إدارة الثغرات وخطط الاستجابة والاستمرارية والنسخ الاحتياطي. (4) أمن الأطراف الخارجية — تقييم الموردين وبنود العقود. (5) أمن أنظمة التحكم الصناعي ICS/OT عند الاقتضاء.

مستويات النضج: NCA تتوقع تنفيذ الضوابط بمستوى نضج يتناسب مع حساسية الجهة. المستوى الأول — مبدئي؛ الثاني — نامٍ؛ الثالث — معرّف؛ الرابع — مُدار. الجهات الحساسة يُتوقع بلوغ المستوى الثالث أو الرابع.

ضوابط ECC ليست قائمة تحقق مرة واحدة — إنما إطار متكامل يتطلب حوكمة مستمرة وتوثيق وأدلة تشغيلية.

التحضير للتدقيق: التدقيق يتطلب أدلة وثائقية وتشغيلية. السياسات المعتمدة، وسجلات الاجتماعات، ونتائج التقييمات، وتسجيلات الترقيعات، وتسجيلات التوعية، وتسجيلات اختبارات الاستجابة — كلها أدلة. الفجوة الشائعة: سياسات مكتوبة دون دليل تطبيق فعلي.

الفجوات الشائعة تشمل: غياب استراتيجية أمن سيبراني معتمدة، وعدم تعيين مسؤول أمن رسمي، وغياب المصادقة متعددة العوامل على الأنظمة الحرجة، وعدم وجود خطة استجابة للحوادث مُختبرة، ونسخ احتياطي غير محكم (3-2-1). الأولوية تُعطى عادة للضوابط 1 و2 و3 قبل التوسع.

جمع الأدلة: كل ضابط يحتاج إثبات أن السياسة موجودة ومُبلّغة وأن الممارسة مطبّقة. الأدلة قد تشمل: لقطات شاشة، تقارير أدوات، سجلات تدريب، محاضر اجتماعات. تنظيم الأدلة حسب عائلة الضابط يُسرّع مراجعة المدقق.

التكامل مع ISO 27001: ضوابط ECC تتداخل كثيرًا مع ISO 27001. المنظمات التي تبني نظام إدارة أمن معلومات وفق ISO 27001 غالبًا تحقق امتثال ECC بالتوازي — توثيق واحد يخدم الغرضين.