لا يراجع تدقيق الأمن السيبراني الجدران النارية، والسجلات، والسياسات، وخطط الاستجابة للحوادث فقط. في السعودية، قد يراجع أيضًا من يشغل وظيفة الأمن السيبراني فعليًا داخل المؤسسة.

لهذا السبب أصبحت قائمة تدقيق NCA ECC قضية امتثال للقوى العاملة، وليست مجرد قائمة ضوابط تقنية. بموجب تحديث ECC-2:2024، يجب على الجهات الواقعة ضمن النطاق أن تثبت أن وظائف الأمن السيبراني لديها منظمة، ومشغولة بكفاءات مؤهلة، وموثقة، وقابلة للمراجعة أثناء التقييمات الرسمية. ويمكن الرجوع إلى صفحة الهيئة الوطنية للأمن السيبراني الخاصة بـ الضوابط الأساسية للأمن السيبراني ECC لفهم الإطار الرسمي والوثائق المرتبطة به.

بالنسبة للمديرين التنفيذيين للموارد البشرية، ورؤساء العمليات، ورؤساء أمن المعلومات، والقيادات التنفيذية، لم يعد السؤال فقط: “هل لدينا فريق أمن سيبراني؟” بل السؤال الأقوى هو: هل نستطيع إثبات أن هيكل القوى العاملة في الأمن السيبراني يفي بأحدث توقعات NCA؟

تنويه مهم: هذا المقال لأغراض تعليمية فقط. قد تتغير قابلية تطبيق ECC، ومتطلبات السعودة، وإجراءات التدقيق، ونطاق القطاع الخاص، وقواعد التوظيف. يجب على المؤسسات تأكيد الالتزامات الحالية من خلال الهيئة الوطنية للأمن السيبراني، والمستشارين القانونيين المؤهلين في السعودية، ومستشاري امتثال الأمن السيبراني.

البند الخفي في ECC-2:2024

من أهم التغييرات في الضوابط الأساسية للأمن السيبراني 2024 متطلب التوظيف المرتبط بوظائف الأمن السيبراني.

في وثيقة Essential Cybersecurity Controls ECC-2:2024، تظهر صياغة محدثة تشدد على أن وظائف الأمن السيبراني يجب أن يشغلها مهنيون سعوديون مؤهلون ومتفرغون. وهذا يختلف عن التفكير القديم الذي كان يركز غالبًا على المناصب القيادية فقط، مثل CISO أو بعض المناصب الحساسة.

هذا هو البند الذي قد تقلل كثير من المؤسسات من أهميته.

عمليًا، ينقل هذا التغيير سعودة الأمن السيبراني من كونها مسألة قيادة عليا فقط إلى مسألة هيكل كامل للقوى العاملة للجهات الواقعة ضمن نطاق ECC. لم يعد الأمر متعلقًا فقط بوجود CISO سعودي أو مدير أمن سيبراني سعودي. بل يؤثر في الوظائف التقنية، والتشغيلية، والمراقبة، والاستجابة، والحوكمة، والمخاطر، والامتثال داخل وظيفة الأمن السيبراني.

هذا يجعل متطلب سعودة الأمن السيبراني قضية GRC. يجب أن تعمل الموارد البشرية، وتقنية المعلومات، والشؤون القانونية، والمشتريات، وقيادة الأمن السيبراني من قاعدة أدلة واحدة.

من يجب أن ينتبه إلى قائمة تدقيق NCA ECC؟

يوضح نطاق ECC-2:2024 أن الضوابط تنطبق على الجهات الحكومية السعودية، والشركات والكيانات التابعة لها داخل المملكة وخارجها، وكذلك كيانات القطاع الخاص التي تمتلك أو تشغل أو تستضيف بنية تحتية وطنية حرجة. كما تشجع NCA الجهات الأخرى في المملكة على استخدام الضوابط كأفضل ممارسة.

لذلك لا ينبغي التعامل مع بند التوظيف باعتباره “إلزاميًا لكل شركة سعودية” دون فحص النطاق. الموقف الأدق والأكثر أمانًا هو:

إذا كانت جهتك داخل نطاق ECC مباشرة، فهذا المتطلب يحتاج إلى اهتمام امتثالي جاد. وإذا كانت جهتك موردًا، أو مقاولًا، أو مزود خدمات سحابية، أو مشغل رعاية صحية، أو شريكًا ماليًا، أو مقدم خدمة للقطاع العام، فقد يظل العملاء يتوقعون أدلة متوافقة مع ECC. أما إذا لم تكن جهتك داخل نطاق ECC مباشرة، فتبقى ECC معيارًا قويًا لحوكمة الأمن السيبراني الناضجة.

بالنسبة للقطاع الخاص خارج البنية التحتية الحرجة، ظهرت أيضًا ضوابط جديدة للكيانات غير المصنفة كبنية تحتية وطنية حرجة. وتوضح ملخصات قانونية مثل تحليل ضوابط الأمن السيبراني الجديدة للقطاع الخاص غير CNI أن المتطلبات قد تختلف حسب حجم المنشأة وإيراداتها وتصنيفها. لذلك يجب على المؤسسات مواءمة ECC وأي متطلبات NCA خاصة بالقطاع الخاص قبل تصميم نموذج التوظيف.

جدار الاستعانة بالمصادر الخارجية خارج المملكة

الاستعانة بمصادر خارجية ليست غير متوافقة تلقائيًا. لكن الاعتماد الكبير على فرق أمنية خارجية أو خارج المملكة لأداء أدوار الأمن السيبراني الأساسية يمكن أن يخلق تعرضًا كبيرًا أثناء التدقيق.

يتضمن ECC-2:2024 مجالًا مخصصًا للأمن السيبراني للأطراف الثالثة والحوسبة السحابية، كما تشمل بنية ECC الرسمية مجالات مثل الأمن السيبراني للأطراف الثالثة وأمن الحوسبة السحابية والاستضافة. وتوضح وثيقة الدليل الإرشادي لتطبيق الضوابط الأساسية للأمن السيبراني أن إدارة مخاطر الأطراف الثالثة، وإدراج متطلبات الأمن السيبراني في العقود، ومراجعة الموردين، كلها عناصر مهمة داخل برنامج الامتثال.

هذا مهم عندما تقول الشركة:

“مركز المراقبة لدينا خارجي، وفريق الاستجابة للحوادث خارجي، ومسؤولو IAM خارج المملكة، ومحللو مخاطر الأمن السيبراني تابعون لمورد.”

قد يخلق هذا النموذج أسئلة مثل:

• من يملك قرارات الأمن السيبراني داخل الكيان السعودي؟

• ما وظائف الأمن السيبراني الداخلية مقابل الوظائف التي يؤديها المورد؟

• هل جميع الوظائف المطلوبة يشغلها مهنيون سعوديون مؤهلون؟

• هل يستطيع محللون خارج المملكة الوصول إلى أنظمة سعودية حساسة؟

• هل تتم مراجعة الحسابات ذات الصلاحيات العالية محليًا؟

• هل عقود الطرف الثالث متوافقة مع توقعات NCA؟

• هل تعتمد الاستجابة للحوادث على فريق خارج المملكة؟

• هل السجلات، والتذاكر، وخطط العمل متاحة للتدقيق؟

يمكن للطرف الثالث دعم العمليات، لكنه لا ينبغي أن يتحول إلى صندوق أسود. ما زالت المؤسسة بحاجة إلى مساءلة محلية، وحوكمة وصول، وملكية للمخاطر، وأدلة واضحة.

بناء مركز عمليات أمنية SOC متوافق

لا يُبنى مركز SOC المتوافق من خلال وضع أسماء في هيكل تنظيمي فقط. بل يُبنى عبر مواءمة الأدوار، والمهارات، والصلاحيات، والإجراءات، والأدلة.

بالنسبة للجهات المتأثرة بـ متطلب سعودة الأمن السيبراني، يجب أن يوضح نموذج توظيف SOC كيف تغطي الكفاءات السعودية المؤهلة وظائف الأمن السيبراني اللازمة للتشغيل، والمراقبة، والدفاع، والاستجابة، والتقارير.

هنا تصبح الكوادر السعودية المؤهلة قابلة للقياس. لا يكفي أن تقول المؤسسة “لدينا موظفون سعوديون في الأمن السيبراني”. يجب أن تثبت أن كل وظيفة ذات صلة لديها وصف دور، ودليل مؤهلات، وسجل توظيف، وخط تقارير، ومراجعة وصول، ومسؤولية تشغيلية.

بالنسبة للفرق التي تحتاج إلى ربط ملكية الضوابط، ورسم المخاطر، وأدلة التدقيق، وامتثال القوى العاملة، يمكن أن يدعم برنامج حوكمة الأمن السيبراني وإدارة المخاطر والامتثال (GRC) في السعودية المديرين الذين يحتاجون إلى بناء قدرة حوكمة جاهزة لمتطلبات NCA.

هل يمكن استخدام فرق خارجية أو خارج المملكة؟

نعم، لكن بحذر.

المشكلة ليست في استخدام الدعم الخارجي. المشكلة هي أن تتحول الفرق الخارجية إلى بديل كامل لوظيفة الأمن السيبراني المطلوبة، دون ملكية محلية، أو كوادر سعودية مؤهلة، أو قبول موثق للمخاطر، أو ضوابط تعاقدية، أو حوكمة وصول.

يبدو نموذج الاستعانة الآمن هكذا:

المفتاح هو تجنب هيكل لا يمتلك فيه الكيان السعودي قدرة أمن سيبراني داخلية ولا يستطيع تفسير من يملك القرارات.

مصفوفة أدلة التدقيق

اجتياز التدقيق يعني إنتاج الأدلة بسرعة. لا يكفي القول إن نموذج التوظيف متوافق. يجب على المؤسسة إثبات ذلك.

يجب أن تتضمن مصفوفة أدلة التدقيق القوية:

بما أن NCA تشير في وثائق ECC إلى أدوات تقييم وقياس للامتثال، فإن الانضباط في الأدلة مهم جدًا. إذا كانت الوثائق موزعة بين الموارد البشرية، وتقنية المعلومات، والمشتريات، وبوابات الموردين، تصبح الاستجابة للتدقيق بطيئة وضعيفة.

مراجعات الوصول المحلية

من أقوى طرق إثبات التحكم في القوى العاملة السيبرانية تقديم أدلة الوصول.

إذا كانت وظائف الأمن السيبراني يشغلها مهنيون سعوديون مؤهلون، فيجب أن تعكس سجلات الوصول هذه الحقيقة. قد يبحث المقيمون عن عدم تطابق بين الهيكل التنظيمي والوصول الفعلي للأنظمة.

يجب أن تغطي مراجعات الوصول أنظمة 

• SIEM

• ، وEDR/XDR،

•  والجدران النارية،

•  وأدوات IAM،

•  ووحدات تحكم السحابة،

•  وأدوات فحص الثغرات، 

• ومنصات التذاكر،

•  وأدوات GRC،

•  وإدارة الوصول المميز، 

• وبوابات أمن البريد الإلكتروني، 

• وأنظمة النسخ الاحتياطي والاستعادة.

إذا كان لدى مستخدمين خارجيين أو تابعين لطرف ثالث وصول مميز، فيجب على المؤسسة توثيق السبب، وكيفية التحكم، ومدة الوصول، ومن يوافق عليه.

سعودة الأمن السيبراني وعمليات الموارد البشرية

لا تستطيع الموارد البشرية التعامل مع سعودة الأمن السيبراني كهدف توظيف عام. تحتاج إلى دقة على مستوى عائلة الوظائف.

ابنِ سجلًا للقوى العاملة في الأمن السيبراني يتضمن:

• المسمى الوظيفي؛

• فئة الدور؛

• مالك العمل؛

• حالة الجنسية السعودية؛

• المؤهل أو الشهادة؛

• نوع التوظيف؛

• متفرغ / متعاقد؛

• مستوى الوصول؛

• الأنظمة المدعومة؛

• الاعتماد على المورد؛

• الشخص البديل؛

• خطة التدريب؛

• موقع حفظ الدليل.

يجب مراجعة هذا السجل مع CISO، والموارد البشرية، والشؤون القانونية، والمشتريات، والامتثال.

خارطة طريق عملية:

الشهر 1: رسم وظيفة الأمن السيبراني

احصر كل نشاط أمن سيبراني ومن يؤديه، سواء كان موظفًا داخليًا أو موردًا.

الشهر 2: تحديد تغطية الأدوار غير المتوافقة

حدد الأدوار التي يشغلها موظفون خارج المملكة، أو متعاقدون مؤقتون، أو موردون، أو ملاك غير محددين.

الشهر 3: بناء خطة تغطية المواهب السعودية

رتب الأولويات: SOC، وIAM، وGRC، والاستجابة للحوادث، وأمن السحابة، وإدارة الثغرات، ومخاطر الطرف الثالث.

الشهر 4: التدريب والانتقال

انقل الملكية التشغيلية إلى مهنيين سعوديين مؤهلين مع إبقاء دعم المورد عند الحاجة.

الشهر 5: اختبار الأدلة

نفّذ تدقيقًا وهميًا باستخدام قائمة NCA ECC ومصفوفة الأدلة.

الشهر 6: الاستقرار والمراقبة

راجع النموذج شهريًا حتى ينضج.

المتعاقدون المؤقتون وسؤال السعودة

يسأل كثيرون: هل يمكن للمتعاقدين المؤقتين شغل وظائف أمن سيبراني تقنية بموجب متطلب السعودة؟

الإجابة الأكثر أمانًا: لا تفترض أن ذلك مقبول.

تشير صياغة ECC-2:2024 المحدثة إلى أن وظائف الأمن السيبراني يجب أن يشغلها مهنيون سعوديون مؤهلون ومتفرغون. إذا كان الدور حرجًا لوظيفة الأمن السيبراني، فقد يخلق الاعتماد على متعاقدين مؤقتين أسئلة أثناء التدقيق، ما لم يكن الترتيب يلبي بوضوح المتطلب المطبق، وموثقًا بشكل صحيح، ومقبولًا ضمن تفسير الامتثال الخاص بالجهة.

قد يدعم المتعاقد مشروعًا، أو تنفيذًا، أو تدريبًا، أو ضغط عمل مؤقت. لكن إذا كان المتعاقد يشغل فعليًا وظيفة أمن سيبراني دائمة، يجب على المؤسسة تقييم المخاطر بعناية.

كيف قد تتحقق NCA من جنسيات الموظفين أثناء التدقيق؟

قد تختلف إجراءات التدقيق، ولا ينبغي للمؤسسات افتراض طريقة واحدة ثابتة.

لكن قد يطلب المقيمون أدلة مثل:

• سجلات HR؛

• الهوية الوطنية أو سجلات هوية التوظيف الموثقة؛

• معلومات التأمينات الاجتماعية عند الحاجة؛

• الأوصاف الوظيفية؛

• الهيكل التنظيمي؛

• عقود العمل؛

• سجلات الوصول؛

• جداول مناوبات SOC؛

• شهادات التدريب؛

• سجلات ملكية الأنظمة؛

• قوائم وصول الموردين؛

• مدخلات أداة الامتثال.

النقطة الأساسية هي أن دليل الجنسية وحده لا يكفي. يجب على المؤسسة أيضًا إثبات أن الشخص يؤدي فعليًا دور الأمن السيبراني، ولديه المؤهل أو الخبرة المطلوبة.

قائمة جاهزية تدقيق NCA ECC

استخدم هذه القائمة قبل التدقيق القادم.

هيكل القوى العاملة

• هل جميع وظائف الأمن السيبراني مدرجة؟

• هل ملاك الأدوار محددون بالاسم؟

• هل تم تقييم متطلبات التوظيف السعودي؟

• هل الأدوار المتفرغة موثقة؟

• هل المؤهلات وسجلات التدريب متاحة؟

الاستعانة بالمصادر الخارجية والأطراف الثالثة

• هل أدوار MSSP والموردين منفصلة بوضوح عن الأدوار الداخلية؟

• هل تم تحديث عقود الأطراف الثالثة بمتطلبات الأمن السيبراني؟

• هل تم إكمال تقييمات مخاطر الطرف الثالث؟

• هل تمت مراجعة صلاحيات الوصول الخارجية؟

• هل وصول الموردين ذوي الصلاحيات العالية محدد بوقت ومعتمد؟

عمليات SOC

• هل جداول مناوبات SOC موثقة؟

• هل تم تعيين محللين سعوديين في أدوار المراقبة؟

• هل أدوار الاستجابة للحوادث محددة؟

• هل تتم مراجعة سجلات الوصول إلى SIEM وEDR؟

• هل تم اختبار إجراءات التصعيد؟

حوكمة الوصول

• هل تتم مراجعات الصلاحيات العالية؟

• هل تم ربط أدوار IAM بأشخاص محددين؟

• هل الصلاحيات متوافقة مع الأدوار الوظيفية؟

• هل الحسابات الخارجية مبررة؟

• هل تتم إزالة المستخدمين المنتهية خدماتهم بسرعة؟

أدلة التدقيق

• هل مجلد أدلة ECC جاهز؟

• هل سجلات HR مرتبطة بأدوار الأمن السيبراني؟

• هل شهادات التدريب محفوظة مركزيًا؟

• هل مخرجات أدوات الامتثال محفوظة؟

• هل تم تنفيذ تدقيق وهمي؟

الخاتمة

يتطلب اجتياز قائمة تدقيق NCA ECC أكثر من ضوابط تقنية. إنه يتطلب فهمًا عميقًا للامتثال المحلي للقوى العاملة، وحوكمة الأمن السيبراني، وحدود الأطراف الثالثة، وأدلة الوصول، وتوثيق التدقيق.

يرسل تحديث التوظيف في ECC-2:2024 إشارة تشغيلية جادة: لا يمكن التعامل مع الأمن السيبراني كوظيفة خارجية بالكامل أو مملوكة للمورد. بالنسبة للجهات الواقعة ضمن النطاق، يجب أن يشغل جميع وظائف الأمن السيبراني مهنيون سعوديون مؤهلون ومتفرغون. وهذا يعني أن على المؤسسات بناء مخزون داخلي من المواهب السعودية، وتوثيق ملكية الأدوار، وضبط دعم الأطراف الثالثة، وإثبات الهيكل عبر أدلة الموارد البشرية والوصول.

بالنسبة للمديرين التنفيذيين، هذا ليس مجرد امتثال. إنه قضية ترخيص واستمرارية تشغيل. تعتمد مرونة الأمن السيبراني على الأشخاص، وليس الأدوات فقط.

قرب نهاية أي برنامج جاهزية لـ ECC، يمكن أن يدعم برنامج  حوكمة الأمن السيبراني وإدارة المخاطر والامتثال (GRC) في السعودية القادة الذين يحتاجون إلى مواءمة ضوابط NCA، وأدلة القوى العاملة، ومخاطر الأطراف الثالثة، وحوكمة الأمن السيبراني الجاهزة للتدقيق.

الأسئلة الشائعة

هل سعودة 100% إلزامية لكل وظائف الأمن السيبراني في السعودية؟

بالنسبة للجهات الواقعة ضمن نطاق ECC-2:2024، تنص الصياغة المحدثة على أن جميع وظائف الأمن السيبراني يجب أن يشغلها مهنيون سعوديون مؤهلون ومتفرغون. يجب على المؤسسات تأكيد ما إذا كانت داخل النطاق مباشرة وكيف ينطبق المتطلب على هيكلها.

هل يمكن للمتعاقدين المؤقتين شغل وظائف أمن سيبراني تقنية بموجب متطلب السعودة؟

لا تفترض أن ذلك مقبول. تشير صياغة ECC المحدثة إلى مهنيين سعوديين مؤهلين ومتفرغين. قد يدعم المتعاقدون المشاريع أو أعمال الضغط المؤقت، لكن الوظائف الدائمة في الأمن السيبراني يجب تقييمها بعناية مع المستشارين القانونيين ومستشاري الامتثال.

كيف يمكن للشركة اجتياز تدقيق NCA ECC مع فرق خارجية أو offshore؟

يجب أن تحتفظ الشركة بملكية داخلية سعودية لأدوار الأمن السيبراني، وتوثق حدود الموردين، وتنفذ تقييمات مخاطر الطرف الثالث، وتقيد وتراجع الوصول الخارجي، وتضمن أن العقود تتضمن متطلبات الأمن السيبراني، وتحتفظ بأدلة تثبت أن الوظائف الأساسية لا تُدار خارجيًا دون مساءلة محلية.

كيف تتحقق NCA من جنسيات الموظفين أثناء التدقيق؟

قد تختلف الإجراءات، لكن قد يطلب المقيمون سجلات HR، وعقود العمل، وأدلة الهوية الوطنية، والهيكل التنظيمي، والأوصاف الوظيفية، وسجلات التدريب، وسجلات الوصول، وجداول SOC، وأدلة ملكية الأنظمة.

ما أكبر خطر في الاعتماد على SOC خارجي خارج المملكة؟

أكبر خطر هو فقدان المساءلة الداخلية. إذا كان المورد الخارجي يملك المراقبة، والاستجابة للحوادث، والصلاحيات العالية، والتقارير دون وظيفة أمن سيبراني محلية مؤهلة، فقد تواجه المؤسسة صعوبة في إثبات السيطرة أثناء تدقيق ECC.

ما الأدلة المطلوبة لإدارة مخاطر الطرف الثالث وفق NCA؟

قد تشمل الأدلة تقييمات مخاطر الموردين، والعقود التي تتضمن بنود أمن سيبراني، وقوائم الوصول، واتفاقيات مستوى الخدمة، وشروط الإبلاغ عن الحوادث، وحقوق التدقيق، ومراجعات الأمن السحابي، وإثبات أن المؤسسة تراجع أداء الموردين وصلاحياتهم بانتظام.