معايير امن المعلومات
المقالات

أهم 5 معايير امن المعلومات لامتثال مؤسستك داخل الخليج


Warning: Trying to access array offset on value of type bool in /var/www/new_portal/html/wp-content/themes/cyberx/single.php on line 61

Deprecated: ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/new_portal/html/wp-includes/formatting.php on line 4487

Warning: Trying to access array offset on value of type bool in /var/www/new_portal/html/wp-content/themes/cyberx/single.php on line 61
الكاتب:
Huzaifa.Hamza

كثير من المؤسسات السعودية تكتشف وجود “المعايير” متأخرةً: إما بعد خرق مكلف، أو بعد إشعار رسمي بمخالفة. والثمن ليس بسيطاً. متوسط تكلفة خرق البيانات الواحد في الشرق الأوسط بلغ 27 مليون ريال في 2025 بحسب تقرير IBM، فيما تصل غرامة مخالفة نظام حماية البيانات الشخصية إلى 5 ملايين ريال. الخبر الجيد أن هذه المعايير ليست عبئاً تنظيمياً ثقيلاً، بل خارطة طريق جاهزة وضعها خبراء لتحميك من الخسارة المالية والمساءلة القانونية في الوقت نفسه.

معايير امن المعلومات هي أُطر وضوابط معتمدة تحدد كيف تحمي مؤسستك بياناتها وأنظمتها بشكل منظّم وقابل للقياس. بعضها دولي اختياري مثل ISO 27001 و NIST، وبعضها محلي إلزامي مثل الضوابط الأساسية للهيئة الوطنية للأمن السيبراني (NCA) وإطار البنك المركزي (SAMA) ونظام PDPL. الالتزام بها يقلّل المخاطر ويجنّبك الغرامات ويمنح عملاءك ثقة بأن بياناتهم في أيدٍ أمينة.

في هذا الدليل نستعرض أهم 5 معايير تؤثر فعلياً على امتثالك داخل المملكة والخليج، مع روابطها الرسمية، ونوضّح أيها إلزامي وأيها اختياري، وكيف تختار الأنسب لحجم مؤسستك وقطاعها. وإذا أردت الأساس النظري أولاً، اطّلع على مقالنا حول ما هو أمن المعلومات.

ما المقصود بمعايير امن المعلومات؟

المعيار ببساطة هو مرجع متفق عليه يحوّل الحماية من اجتهاد فردي إلى منهجية قابلة للتدقيق. بدلاً من أن تسأل “هل نحن آمنون؟” وتجيب بالتخمين، يمنحك المعيار قائمة واضحة من الضوابط، ومستويات نضج تقيس مدى تقدّمك، وطريقة موثّقة لإثبات التزامك أمام الجهات التنظيمية والعملاء والمدققين.

من المهم التمييز بين نوعين: المعيار الاختياري الذي تتبناه طوعاً لتحسين وضعك الأمني أو للحصول على شهادة تعزّز سمعتك، والنظام الإلزامي الذي تفرضه الدولة وتترتب على مخالفته غرامات وعقوبات. الذكاء يكمن في معرفة أيهما ينطبق عليك قبل أن يخبرك به مفتّش أو محقّق.

أهم 5 معايير امن المعلومات لمؤسستك

فيما يلي المعايير الخمسة الأكثر تأثيراً على امتثال المؤسسات داخل المملكة ودول الخليج، مرتبةً لتساعدك على تحديد أولوياتك.

1. الأيزو ISO/IEC 27001 — المعيار الدولي الأشهر

هو المعيار الأكثر شهرةً عالمياً لأنظمة إدارة أمن المعلومات (ISMS). نسخته الحالية ISO/IEC 27001:2022 تتضمن 93 ضابطاً في الملحق (Annex A) تغطي التحكم في الوصول والتشفير والأمن المادي وإدارة الحوادث وأمن الموارد البشرية وغيرها.

ميزته الكبرى أنه قابل للحصول على شهادة معترف بها دولياً، ما يعزّز ثقة عملائك وشركائك ويفتح لك أبواب التعاقدات الكبرى التي تشترط هذه الشهادة. يصلح لأي مؤسسة من أي قطاع وحجم، ويُعدّ نقطة انطلاق ممتازة للشركات الخليجية التي تتعامل مع عملاء دوليين. الحصول عليه ليس حدثاً لمرة واحدة، بل يتطلب مراجعات دورية للحفاظ على الشهادة. النص الرسمي متاح عبر موقع ISO.

2. الضوابط الأساسية للأمن السيبراني (NCA ECC) — الإلزام السعودي

أصدرتها الهيئة الوطنية للأمن السيبراني، وهي إلزامية عملياً لكل جهة حكومية وجهات البنية التحتية الحساسة والشركات المرتبطة بها. تنتظم ضمن خمسة مجالات رئيسية: حوكمة الأمن السيبراني، وتعزيز الأمن السيبراني (الدفاع)، وصمود الأمن السيبراني، وأمن الأطراف الخارجية والحوسبة السحابية، وحماية أنظمة التحكم الصناعي.

إن كنت تعمل ضمن المنظومة الحكومية السعودية أو تقدّم خدمات لها، فهذا المعيار ليس خياراً بل التزاماً. والامتثال له يضعك أيضاً في موقع متقدم تجاه بقية المعايير، لأنه يغطي معظم الضوابط الجوهرية المشتركة. تعمّق في تفاصيله عبر مقالنا حول الضوابط الأساسية للأمن السيبراني، أو راجع الوثيقة الرسمية للهيئة.

3. إطار البنك المركزي السعودي (SAMA CSF) — للقطاع المالي

إن كانت مؤسستك بنكاً أو شركة تأمين أو جهة مالية مرخّصة، فهذا المعيار إلزامي عليك. طوّره البنك المركزي السعودي (SAMA) اعتماداً على معايير عالمية مثل NIST و ISO و PCI، ويستخدم نموذج نضج من خمسة مستويات، والحد الأدنى التنظيمي هو الوصول للمستوى الثالث (Defined) والحفاظ عليه، بينما تسعى المؤسسات الرائدة للمستويين الرابع والخامس.

يغطي الإطار الحوكمة وإدارة المخاطر وإدارة الأصول والتحكم في الوصول والتشفير وإدارة العمليات والاستجابة للحوادث وأمن الأطراف الخارجية. ولأن القطاع المالي هو الأكثر استهدافاً، فإن الالتزام بهذا الإطار يحمي ليس بياناتك فحسب بل ثقة عملائك بأموالهم. النص الرسمي متاح على موقع SAMA.

4. نظام حماية البيانات الشخصية (PDPL) — الإلزام الأهم اليوم

ليس معياراً تقنياً اختيارياً، بل نظام إلزامي يحكم كيفية تعاملك مع البيانات الشخصية لأي فرد داخل المملكة. دخل حيّز التنفيذ في 14 سبتمبر 2023، وبدأ الإنفاذ الكامل في 14 سبتمبر 2024 بعد انتهاء فترة السماح الممنوحة للمؤسسات.

العقوبات حقيقية وليست نظرية: غرامات إدارية تصل إلى 5 ملايين ريال وتتضاعف إلى 10 ملايين عند التكرار، إضافة إلى عقوبات جزائية تصل إلى السجن سنتين وغرامة 3 ملايين ريال عند الإفصاح المتعمد عن بيانات حساسة. تتولى الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) الإنفاذ وإجراء عمليات التدقيق. وبما أن كل مؤسسة تقريباً تتعامل مع بيانات عملاء أو موظفين، فإن هذا النظام يشملك أنت أيضاً. لتفاصيل الالتزام، راجع مقالنا حول تشريعات الخصوصية وحماية البيانات.

5. إطار NIST للأمن السيبراني (CSF 2.0) — المرجع المرن

معيار أمريكي اختياري لكنه واسع الانتشار عالمياً وكثيراً ما يُستخدم كأساس لبناء برنامج أمني متكامل من الصفر. صدرت نسخته الثانية NIST CSF 2.0 في فبراير 2024، وتقوم على ست وظائف رئيسية: الحوكمة (Govern)، التحديد، الحماية، الكشف، الاستجابة، والتعافي.

مرونته تجعله مثالياً للمؤسسات التي لم تبدأ رحلتها بعد وتريد هيكلاً واضحاً قبل السعي لشهادة ISO أو الامتثال المحلي. وكثير من الأطر الخليجية، بما فيها إطار SAMA، استرشدت به في بنائها، ما يجعل فهمه استثماراً يخدمك في أكثر من معيار.

كيف تختار المعيار المناسب لمؤسستك؟

القاعدة بسيطة: ابدأ بالإلزامي، ثم أضف الاختياري حسب طموحك وقدرتك.

جهة حكومية أو بنية تحتية حساسة؟ الضوابط الأساسية (NCA ECC) أولاً.

بنك أو شركة مالية أو تأمين؟ إطار SAMA إلزامي عليك.

تتعامل مع بيانات شخصية لعملاء أو موظفين؟ الامتثال لـ PDPL غير قابل للتأجيل، وهذا يشمل الجميع تقريباً.

تريد ميزة تنافسية وثقة دولية؟ اسعَ لشهادة ISO/IEC 27001.

تبني برنامجك من الصفر؟ استخدم NIST CSF 2.0 كهيكل مرجعي تنطلق منه.

الخبر المطمئن أن هذه المعايير متداخلة بدرجة كبيرة؛ فالعمل على أحدها يقطع شوطاً كبيراً في البقية، لأنها تشترك في ضوابط جوهرية مثل التحكم في الوصول والتشفير وإدارة الحوادث والتوعية. أي أن جهدك لا يضيع، بل يتراكم.

خطوات عملية للبدء في الامتثال

لا تحتاج لتطبيق كل شيء دفعةً واحدة. اتبع هذا الترتيب العملي لتتقدّم بثبات:

حدّد ما ينطبق عليك من المعايير الخمسة وفق قطاعك ونوع بياناتك.

أجرِ تقييم فجوات بين وضعك الحالي ومتطلبات المعيار لتعرف من أين تبدأ.

وثّق سياساتك، فأغلب المعايير تبدأ بسياسات مكتوبة وواضحة، لا بأدوات تقنية باهظة.

أغلق الفجوات عالية الخطورة أولاً، وغالباً تكون في الهوية والوصول والنسخ الاحتياطي والاستجابة للحوادث.

درّب موظفيك باستمرار، فالامتثال سلوك يومي وليس مستنداً يوضع في الدرج.

راجع ودقّق دورياً، لأن الامتثال حالة مستمرة لا حدثاً لمرة واحدة، والتهديدات تتغير باستمرار.

الأسئلة الشائعة

ما الفرق بين ISO 27001 و NIST CSF؟ ISO 27001 معيار قابل للحصول على شهادة معتمدة ويتطلب نظام إدارة أمن معلومات كامل، بينما NIST CSF إطار اختياري مرن لا يمنح شهادة لكنه ممتاز لبناء البرنامج وتنظيمه. كثير من المؤسسات تبدأ بـ NIST ثم تنتقل لشهادة ISO.

هل الامتثال للضوابط الأساسية NCA إلزامي على القطاع الخاص؟ هو إلزامي على الجهات الحكومية والبنية التحتية الحساسة والجهات المرتبطة بها. وكثير من شركات القطاع الخاص تلتزم به عملياً عند التعاقد مع جهات حكومية أو تقديم خدمات لها.

ما عقوبة مخالفة نظام حماية البيانات الشخصية PDPL؟ غرامات إدارية تصل إلى 5 ملايين ريال وتتضاعف عند التكرار، مع عقوبات جزائية قد تصل إلى السجن والغرامة عند الإفصاح المتعمد عن بيانات حساسة. وتتولى SDAIA الإنفاذ والتدقيق على المؤسسات.

من أين أبدأ إذا كانت مواردي محدودة؟ ابدأ بالامتثال لـ PDPL لأنه ينطبق على الجميع وعقوباته مباشرة، ثم انتقل للمعيار الإلزامي الخاص بقطاعك، وأجّل الشهادات الاختيارية مثل ISO لمرحلة لاحقة عندما تتوفر الموارد.

كم يستغرق الحصول على شهادة ISO 27001؟ يختلف حسب حجم المؤسسة وجاهزيتها، لكنه غالباً يتراوح بين عدة أشهر وسنة كاملة، تشمل بناء نظام الإدارة وإغلاق الفجوات ثم التدقيق الخارجي.

ابدأ امتثالك من حيث يبدأ فعلاً: السياسات

كل معيار من هذه المعايير يبدأ من سياسات أمنية مكتوبة وموثّقة ومُحدّثة، وهذا تحديداً أكثر ما يُربك المؤسسات. منصة PLCY-X من CyberX تساعدك على بناء سياسات أمن المعلومات وإدارتها وتوزيعها على موظفيك ومتابعة إقرارهم بها، بما يتوافق مع متطلبات الجهات التنظيمية في المملكة والخليج.

اطلب عرضاً توضيحياً لمنصة PLCYX اليوم وحوّل الامتثال من عبء إلى ميزة تنافسية تحمي مؤسستك وتعزّز ثقة عملائك.

النشرة الإخبارية

اشترك في النشرة الإخبارية لدينا حتى لا تفوتك أحدث الأفكار والأخبار الأمنية.

مقالات مماثلة

اللغات: