انواع امن المعلومات
المقالات

انواع امن المعلومات: تصنيفات NCA السعودية المعتمدة


Warning: Trying to access array offset on value of type bool in /var/www/new_portal/html/wp-content/themes/cyberx/single.php on line 61

Deprecated: ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/new_portal/html/wp-includes/formatting.php on line 4487

Warning: Trying to access array offset on value of type bool in /var/www/new_portal/html/wp-content/themes/cyberx/single.php on line 61
الكاتب:
Huzaifa.Hamza

تُعد المعلومات من أهم الأصول التي تعتمد عليها الجهات في تشغيل أعمالها واتخاذ قراراتها وحماية استمراريتها، ولذلك لم يعد يكفي النظر إلى الأمن السيبراني بوصفه حماية تقنية فقط، بل أصبح من الضروري فهم انواع امن المعلومات داخل الجهة وكيفية تصنيفها بحسب حساسيتها إلى: عام، مقيد، سري، وسري للغاية، ثم تطبيق الضوابط المناسبة لكل مستوى.

ومن هذا المنطلق، تؤكد الهيئة الوطنية للأمن السيبراني (NCAECC 2-2024) أن حوكمة المعلومات وتصنيفها وحمايتها عناصر أساسية في حماية الأصول المعلوماتية والتقنية، بما يدعم تقليل المخاطر ورفع مستوى الأمن السيبراني داخل المؤسسات.

ما المقصود بانواع امن المعلومات؟

انواع امن المعلومات هي مستويات تصنيف تُستخدم لتحديد حساسية المعلومات، وما إذا كان الوصول غير المصرح به أو إساءة الاستخدام أو فقدان السرية والسلامة والتوافر قد يؤدي إلى أثر ضئيل أو محدود أو كبير أو شديد على الجهة.

لماذا تعتمد الجهات على التصنيف؟

يساعد تصنيف المعلومات الجهات على:

تحديد مستوى الحماية المطلوب لكل نوع من البيانات.

إدارة صلاحيات الوصول بشكل أكثر دقة.

تقليل مخاطر التسريب أو الوصول غير المصرح به.

دعم الامتثال للمتطلبات التنظيمية ذات العلاقة.

تعزيز فعالية برامج التوعية بالأمن السيبراني.

ما الذي يحدد مستوى الحساسية؟

يعتمد تصنيف المعلومات عادةً على مجموعة من العوامل، من أبرزها:

الأثر المتوقع عند الكشف غير المصرح به للمعلومة.

تأثير التعديل أو الإتلاف على أعمال الجهة.

المتطلبات القانونية والتنظيمية المرتبطة بالمعلومة.

طبيعة البيانات والأطراف المتأثرة بها.

تأثير فقدان السرية أو السلامة أو التوافر.

انواع امن المعلومات المعتمدة وفق تصنيفات NCA السعودية

اعتمدت NCA في نموذج تصنيف الأصول مستويات واضحة لتصنيف البيانات، وهي: عام، مقيد، سري، سري للغاية. ويعكس كل مستوى درجة الأثر المتوقع في حال الوصول غير المصرح به أو إساءة الاستخدام.

المعلومات العامة (عام)

المعلومات العامة هي أقل مستويات التصنيف حساسية, وهي المعلومات التي لا يترتب على كشفها أو إساءة استخدامها أي أثر يُذكر على الجهة. ومن الأمثلة عليها:

بيانات النشر العامة على الموقع الإلكتروني.

الإعلانات العامة.

المواد التعريفية أو التسويقية غير الحساسة.

بعض البيانات التي تُنشر للعموم ضمن التزام الشفافية.

هذا النوع من المعلومات يبقى بحاجة إلى إدارة صحيحة، لكنه لا يحتاج نفس مستوى الضبط الذي تحتاجه البيانات التشغيلية أو المالية أو القانونية.

المعلومات المقيدة (مقيد)

المعلومات المقيدة هي المعلومات التي لا يُنصح أن تكون متاحة للجميع داخل الجهة أو خارجها، لأن كشفها أو إساءة استخدامها قد يسبب أثرًا محدودًا أو ضئيلًا. ومن الأمثلة عليها:

بعض المراسلات الداخلية.

مسودات السياسات قبل اعتمادها.

معلومات تشغيلية أولية.

بيانات لا تحتاجها إلا فرق محددة.

هذا المستوى مهم جدًا في الجهات الكبيرة؛ لأن كثيرًا من التسريبات لا تبدأ من “بيانات سرية”، بل من معلومات مقيدة لم يتم ضبط وصولها بالشكل المناسب.

المعلومات السرية (سري)

المعلومات السرية هي بيانات قد يؤدي كشفها أو إساءة استخدامها إلى آثار كبيرة أو متوسطة على الجهة. وهذا المستوى يتطلب ضوابط أكثر صرامة في الوصول والمشاركة والتشفير والمراجعة. ومن الأمثلة عليها:

بيانات العملاء غير العامة.

مستندات العقود الحساسة.

تقارير مالية داخلية.

معلومات الحوادث الأمنية.

وثائق الامتثال والمراجعة الداخلية.

هذا النوع هو الأكثر شيوعًا في الأعمال، ولذلك يحتاج إلى وعي قوي من الموظفين، خصوصًا في الفرق التي تتعامل مع البريد الإلكتروني، والملفات المشتركة، والدعم الفني، والموارد البشرية، والامتثال.

المعلومات شديدة السرية (سري للغاية)

هذا هو أعلى مستوى في انواع امن المعلومات المعتمدة ضمن النموذج، ويُستخدم عندما يؤدي الوصول غير المصرح به أو إساءة الاستخدام إلى آثار شديدة وواسعة يصعب معالجتها. ومن الأمثلة عليها:

معلومات استراتيجية عالية الحساسية.

مفاتيح أو عناصر شديدة الحساسية.

بيانات ذات أثر تنظيمي أو تشغيلي بالغ.

وثائق يمكن أن يؤدي كشفها إلى ضرر كبير بالجهة.

في هذا المستوى، تصبح الحوكمة الدقيقة ضرورة، وليس خيارًا. فالمقصود هنا ليس فقط حماية الملف نفسه، بل حماية سلسلة التعامل معه كاملة: من الإنشاء، إلى التخزين، إلى النقل، إلى الطباعة، إلى الإتلاف.

كيف تُطبَّق هذه التصنيفات داخل الجهة؟

النجاح الحقيقي لا يكمن في كتابة سياسة تصنيف، بل في تحويلها إلى ممارسات يومية يفهمها الموظف وينفذها النظام ويتابعها المسؤول. وتوضح NCA أن الجهات الخاضعة للضوابط يجب أن تتخذ ما يلزم لضمان الامتثال المستمر، وأن القياس والمراجعة جزء من التطبيق الفعلي وليس خطوة لاحقة. كما تبيّن ECC أن النطاق يختلف بحسب طبيعة الجهة واستخدامها للتقنيات والخدمات المختلفة.

تحديد المالك والمسؤوليات

لكل نوع من المعلومات مالك أو جهة مسؤولة تحدد كيف تُستخدم وكيف تُحفظ وكيف تُشارك. وتوضح NCA في نموذج برنامج التوعية أن نجاح البرنامج يعتمد على وضوح الأدوار والمسؤوليات، وعلى تعاون الإدارة العليا، ووظيفة الأمن السيبراني، ووظيفة التعلم والتطوير، والفرق ذات العلاقة. هذا المبدأ نفسه ينطبق على تصنيف المعلومات: من دون مسؤوليات واضحة، يصبح التطبيق متقطعًا وغير متسق.

ضبط الوصول والصلاحيات

أحد أهم عناصر التطبيق هو أن لا يصل إلى المعلومات إلا من يحتاجها فعلاً. وهنا يتحول التصنيف إلى ضوابط وصول، ومراجعات دورية، وفصل للصلاحيات، وحدود واضحة للمشاركة. وهذا يتماشى مع فلسفة NCA التي تربط الحماية بخصائص الجهة وطبيعة استخدامها للتقنية، وليس بمقاس واحد للجميع.

التشفير والحماية أثناء التخزين والنقل

عندما ترتفع حساسية المعلومات، يجب أن ترتفع معها طبقة الحماية التقنية. وتشير ضوابط NCA إلى أن حماية الأصول المعلوماتية والتقنية تتطلب تقليل التهديدات الداخلية والخارجية، مع التركيز على السرية والسلامة والتوافر. كما أن معايير الامتثال ترتبط أيضًا بآليات المراجعة والقياس والتطبيق المستمر، وليس بالاعتماد على الحماية التقليدية فقط.

الاحتفاظ والإتلاف الآمن

الاحتفاظ بالمعلومات أكثر من اللازم يرفع المخاطر ويزيد العبء التشغيلي. لذلك فإن دورة حياة المعلومة يجب أن تنتهي بإتلاف آمن وموثق عندما تنتفي الحاجة إليها أو عندما ينتهي الغرض النظامي أو التشغيلي منها. وهذا مهم جدًا في المستويات الأعلى من التصنيف، لأن أي نسخة منسية أو ملف غير محذوف قد يتحول إلى نقطة ضعف.

كيف يدعم تصنيف المعلومات التوعية الأمنية داخل المؤسسة؟

يُعد تصنيف المعلومات أحد أهم الأسس التي تقوم عليها برامج التوعية بالأمن السيبراني، لأنه يربط بين قيمة المعلومة وطريقة التعامل معها داخل المؤسسة. فعندما يفهم الموظف الفرق بين المعلومات العامة والمقيدة والسرية وشديدة السرية، يصبح أكثر قدرة على اتخاذ القرار الصحيح عند المشاركة أو الحفظ أو الإرسال أو الطباعة، مما يقلل من الأخطاء البشرية التي قد تؤدي إلى تسريب البيانات أو إساءة استخدامها.

تعزيز وعي الموظفين بالمسؤولية

يساعد التصنيف الموظفين على إدراك أن التعامل مع المعلومات ليس أمرًا واحدًا لجميع الحالات، بل يختلف بحسب مستوى الحساسية والأثر المحتمل. وبهذا يتحول الوعي الأمني من معرفة عامة إلى سلوك عملي ينعكس في تفاصيل العمل اليومية.

توحيد السلوك داخل المؤسسة

عندما تعتمد الجهة تصنيفًا واضحًا ومفهومًا للمعلومات، يصبح لدى جميع الموظفين مرجع موحد يوضح ما يمكن مشاركته، وما يجب حمايته، ومتى يلزم طلب الموافقة قبل تداول المعلومات. وهذا يحد من الاجتهادات الفردية ويعزز الاتساق في الممارسات الأمنية بين الإدارات المختلفة.

تحويل السياسات إلى ممارسة يومية

لا تتحقق فعالية التصنيف بمجرد وجود سياسة مكتوبة، بل من خلال دمجه في برامج التوعية المستمرة والتدريب العملي. فكلما تكرر شرح التصنيفات وربطها بالسيناريوهات الواقعية داخل بيئة العمل، أصبحت الحماية جزءًا من السلوك اليومي، وليس مجرد التزام نظري.

عزّز حماية معلومات مؤسستك مع CyberX

إذا كانت جهتك تعمل على بناء برنامج توعية يشرح انواع امن المعلومات للموظفين ويحوّل التصنيف إلى ممارسة يومية، فالتواصل مع جهة متخصصة يختصر الوقت ويزيد وضوح التنفيذ.

تقدم CyberX حلولًا متكاملة لرفع الوعي السيبراني وتعزيز ثقافة حماية المعلومات داخل المؤسسات، من خلال برامج توعية متخصصة ومنصات رقمية متقدمة تساعد على تحويل السياسات والإجراءات إلى ممارسات يومية فعّالة. وتشمل هذه الحلول منصة AwareX لإدارة برامج التوعية الأمنية، ومنصة PhishX لمحاكاة هجمات التصيد الاحتيالي وقياس مستوى الجاهزية الأمنية لدى الموظفين، بما يدعم الامتثال ويحد من المخاطر الناتجة عن الأخطاء البشرية.

تفضل بزيارة موقعنا الرسمي للاطلاع على مزيد من التفاصيل حول حلول CyberX ومنصاتها المتخصصة.

الخاتمة

تمثل انواع امن المعلومات الأساس الذي تُبنى عليه حماية البيانات وإدارة المخاطر والامتثال داخل المؤسسات الحديثة. فكلما كان تصنيف المعلومات أكثر دقة ووضوحًا، أصبحت المؤسسة أكثر قدرة على تطبيق الضوابط المناسبة، وتقليل الأخطاء البشرية، وتحسين جاهزيتها الأمنية.

لكن التصنيف وحده لا يكفي؛ إذ يجب دعمه بالتوعية المستمرة، والحوكمة الفعالة، والتقنيات المناسبة، لضمان أن تتحول السياسات إلى ممارسات يومية تسهم في حماية المعلومات وتعزيز الثقة المؤسسية.

الأسئلة الشائعة

ما هي انواع امن المعلومات المعتمدة وفق تصنيفات NCA؟

تشمل أربعة مستويات رئيسية: المعلومات العامة، والمقيدة، والسرية، وشديدة السرية، ويختلف مستوى الحماية المطلوب بحسب حساسية كل فئة.

ما الفرق بين المعلومات العامة والمعلومات المقيدة؟

المعلومات العامة يمكن مشاركتها على نطاق واسع، بينما المعلومات المقيدة يجب أن تبقى ضمن نطاق داخلي محدود لأن كشفها قد يسبب أثرًا محدودًا على الجهة.

ما الفرق بين المعلومات السرية والمعلومات شديدة السرية؟

المعلومات السرية قد يؤدي كشفها إلى آثار كبيرة أو متوسطة، بينما المعلومات شديدة السرية قد يؤدي كشفها إلى آثار شديدة وواسعة يصعب معالجتها.

كيف يتم تصنيف المعلومات داخل المؤسسة؟

يتم التصنيف بناءً على مستوى الحساسية، والأثر المتوقع عند الكشف غير المصرح به، والمتطلبات التنظيمية، وطبيعة البيانات والأطراف المتأثرة بها.

لماذا يعد تصنيف المعلومات مهمًا في التوعية الأمنية؟

لأنه يساعد الموظفين على معرفة كيفية التعامل مع كل نوع من المعلومات، ويقلل أخطاء المشاركة أو التخزين أو النقل التي قد تؤدي إلى تسريب البيانات.

النشرة الإخبارية

اشترك في النشرة الإخبارية لدينا حتى لا تفوتك أحدث الأفكار والأخبار الأمنية.

مقالات مماثلة

اللغات: