Home Knowledge base NCA Frameworks ضوابط الأمن السيبراني للحوسبة السحابية CCC-2:2024 — الدليل من المصدر KNOWLEDGE BASE
ضوابط الأمن السيبراني للحوسبة السحابية CCC-2:2024 — الدليل من المصدر
NCA FRAMEWORKS

ضوابط الأمن السيبراني للحوسبة السحابية CCC-2:2024 — الدليل من المصدر

SKYLINE Knowledge Base

حذفت CCC-2:2024 ضابطَي توطين البيانات (2-3-P-1-10 و2-3-P-1-11) ونقلت التوطين إلى المكتب الوطني لإدارة البيانات. ومعظم الأدلة ما زالت تقتبس CCC-1:2020. دليل من المصدر لمجموعتَي ضوابط مقدم الخدمة (P) والمشترك (T)، وكل رقم ضابط مُتحقَّق منه من وثيقة الهيئة.

إن كنت ستأخذ من هذه الصفحة معلومة واحدة فلتكن هذه: ضوابط الأمن السيبراني للحوسبة السحابية الصادرة عن الهيئة الوطنية للأمن السيبراني لم تعد تتضمن متطلب توطين البيانات. الضابطان الفرعيان اللذان كانا يُلزمان مقدم الخدمة بتقديم الخدمات السحابية من داخل المملكة حُذفا عند إصدار CCC-2:2024. لم يعودا موجودين. والوثيقة نفسها تقول ذلك صراحةً في سجل التحديثات الخاص بها.

ومع ذلك، فإن معظم ما ستقرأه من أدلة ومقالات ومنشورات تسويقية ما زال يقول العكس. هذه المواد تصف CCC-1:2020، وهي نسخة ملغاة، وتصفها وكأنها سارية.

هذا الدليل مكتوب من الوثيقة نفسها — ضوابط الأمن السيبراني للحوسبة السحابية CCC-2:2024 الصادرة عن الهيئة الوطنية للأمن السيبراني، تصنيف الوثيقة: عام — مع فتح نسخة CCC-1:2020 بجانبها للمقارنة. كل رقم ضابط، وكل عدد، وكل متطلب مقتبس أدناه مأخوذ من تلك الوثيقة. وحيثما تسكت الضوابط، تقول هذه الصفحة ذلك بوضوح، لأن أغلى خطأ في أعمال الالتزام في المملكة هو نسبة متطلب إلى الهيئة الوطنية للأمن السيبراني لم تكتبه الهيئة قط.

الإجابة في ستين ثانية

  • النسخة السارية هي CCC-2:2024، وهي تحل محل CCC-1:2020.
  • تتكوّن CCC-2:2024 من 4 مكونات أساسية و24 مكوناً فرعياً، وتحمل مجموعتَي ضوابط منفصلتين: 37 ضابطاً أساسياً و94 ضابطاً فرعياً لمقدم الخدمة (CSP)، و18 ضابطاً أساسياً و26 ضابطاً فرعياً للمشترك (CST) (CCC-2:2024، الشكل 1، ص7).
  • العميل يُسمّى في الوثيقة المشترك في الخدمة السحابية (Cloud Service Tenant – CST). والضابط يحمل الحرف P لمقدم الخدمة أو T للمشترك في منتصف رقم الضابط: فالضابط 1-3-P-1-1 ضابط على مقدم الخدمة، بينما 1-3-T-1-1 ضابط على المشترك.
  • الضابطان الفرعيان الخاصان بتوطين البيانات (2-3-P-1-10 و2-3-P-1-11 في CCC-1:2020) حُذفا في CCC-2:2024، ونقلت الهيئة موضوع توطين البيانات إلى المكتب الوطني لإدارة البيانات (NDMO) في الهيئة السعودية للبيانات والذكاء الاصطناعي، وألزمت الجهات بالرجوع إليه "قبل اتخاذ أي إجراء بهذا الخصوص" (CCC-2:2024، الملحق د).
  • تنطبق الضوابط على الجهات الحكومية وعلى جهات القطاع الخاص التي تملك أو تُشغّل أو تستضيف بنى تحتية وطنية حساسة (CNI) — بوصفها مشتركين؛ وعلى أي مقدم خدمة سحابية يخدم هؤلاء المشتركين (ص9).
  • هذه الضوابط امتداد للضوابط الأساسية للأمن السيبراني (ECC). أنت لا تلتزم بـ CCC بدلاً من ECC، بل تلتزم بـ كلتيهما (ص10).
  • لا توجد شهادة CCC، ولا نظام مدققين معتمدين من الهيئة، ولا قائمة "مقدمي خدمة معتمدين من الهيئة" تنشئها هذه الوثيقة، ولا يوجد فيها أي موعد نهائي للالتزام إطلاقاً.

ما الذي تحتويه CCC-2:2024 فعلاً

أربعة مكونات أساسية. أربعة وعشرون مكوناً فرعياً. الأسماء أدناه مأخوذة من الشكل 2 (ص11):

المكوّن الأساسي المكونات الفرعية
1 — حوكمة الأمن السيبراني 1-1 أدوار ومسؤوليات الأمن السيبراني · 1-2 إدارة مخاطر الأمن السيبراني · 1-3 الالتزام بتشريعات وتنظيمات ومعايير الأمن السيبراني · 1-4 الأمن السيبراني ضمن الموارد البشرية · 1-5 الأمن السيبراني ضمن إدارة التغيير
2 — تعزيز الأمن السيبراني 2-1 إدارة الأصول · 2-2 إدارة هويات الدخول والصلاحيات · 2-3 حماية الأنظمة وأجهزة معالجة المعلومات · 2-4 إدارة أمن الشبكات · 2-5 أمن الأجهزة المحمولة · 2-6 حماية البيانات والمعلومات · 2-7 التشفير · 2-8 إدارة النسخ الاحتياطية · 2-9 إدارة الثغرات · 2-10 اختبار الاختراق · 2-11 إدارة سجلات الأحداث ومراقبة الأمن السيبراني · 2-12 إدارة حوادث وتهديدات الأمن السيبراني · 2-13 الأمن المادي · 2-14 حماية تطبيقات الويب · 2-15 إدارة المفاتيح · 2-16 أمن تطوير الأنظمة · 2-17 أمن وسائط التخزين
3 — صمود الأمن السيبراني 3-1 جوانب صمود الأمن السيبراني في إدارة استمرارية الأعمال
4 — الأمن السيبراني المتعلق بالأطراف الخارجية 4-1 الأمن السيبراني المتعلق بسلسلة الإمداد والأطراف الخارجية

خمسة + سبعة عشر + واحد + واحد = أربعة وعشرون. هذه هي العملية الحسابية خلف رقم الهيئة نفسه، ويمكنك التحقق منها كما تحققنا نحن.

ويمكنك التحقق من أعداد الضوابط أيضاً، وننصحك بذلك، لأنها أسرع طريقة تثبت بها لنفسك أن كاتب الدليل قرأ الوثيقة فعلاً. عُدّ الضوابط الأساسية التي تحمل الحرف P في القسم العاشر تجد 37، وعُدّ الضوابط الفرعية تجد 94. وعُدّ ضوابط T الأساسية تجد 18، وفرعيتها 26. الأرقام الأربعة تطابق الشكل 1 تماماً.

كيف تقرأ رقم الضابط

هذه أنفع مهارة في الوثيقة كلها، وتعلّمها لا يستغرق ثلاثين ثانية (الشكل 4، ص12):

1  -  3  -  P  -  1  -  1
│     │     │     │     └── الضابط الفرعي
│     │     │     └──────── الضابط الأساسي
│     │     └────────────── P = مقدم الخدمة، T = المشترك
│     └──────────────────── المكوّن الفرعي
└────────────────────────── المكوّن الأساسي

الحرف هو بيت القصيد. تنص الوثيقة على أن "الضابط ينطبق إما على مقدم الخدمة (P) أو على المشترك (T)" (ص13). لا يوجد ضابط مشترك بينهما. كل ضابط من الضوابط الأساسية الخمسة والخمسين في هذه الوثيقة يخصّ طرفاً واحداً بعينه.

فالضابط 2-9-P-1-1 التزام على مقدم الخدمة، و2-9-T-1-1 التزام على المشترك، وهما ليسا المتطلب نفسه — بل إنهما، كما سترى بعد قليل، لا يحملان حتى الوتيرة الزمنية نفسها.

وإذا أُعطيت رقم ضابط لا يحتوي على حرف، فهو ليس ضابطاً من ضوابط CCC. الأرجح أنه ضابط من ECC، وهذا الخلط موضوع قسم قادم.

الفصل بين مقدم الخدمة والمشترك — الجزء الذي يُقلَب دائماً

هذا هو جوهر الضوابط وسبب وجودها. الوثيقة لا تكتب مجموعة ضوابط واحدة ثم توزّعها عبر رسم بياني لـ"نموذج المسؤولية المشتركة"، بل تكتب مجموعتَي ضوابط منفصلتين داخل المكونات الفرعية نفسها، وتنص على التزام كل طرف بعباراته الخاصة.

ما يجب على مقدم الخدمة (CSP)

مجموعة تمثيلية — لا حصرية — مذكورة بأرقام الضوابط لتتحقق من كل واحد منها:

  • 1-4-P-1-1 — "يجب شغل وظائف الأمن السيبراني في مراكز بيانات مقدم الخدمة داخل المملكة بكوادر سعودية مؤهلة ومناسبة." (انتبه لما يقوله الضابط وما لا يقوله: هو متطلب توطين وظيفي على أدوار الأمن السيبراني في مراكز البيانات داخل المملكة، وليس متطلباً بأن يوجد مركز بيانات أصلاً.)
  • 2-2-P-1-9 — الحصول على موافقة المشترك قبل الوصول إلى أي أصل يخصّه، سواء من مقدم الخدمة أو من أطرافه الخارجية.
  • 2-2-P-1-11 — تزويد المشتركين بخدمات التحقق من الهوية متعدد العناصر للمستخدمين المهمين والصلاحيات الهامة.
  • 2-3-P-1-2 — ضمان الفصل والعزل بين البيانات والبيئات والأنظمة بين المشتركين، لمنع اختلاط البيانات.
  • 2-3-P-1-8 — العزل الكامل وحماية البيئات الافتراضية المتعددة.
  • 2-3-P-1-9 — الخدمات السحابية المجتمعية المقدَّمة للمشتركين (الجهات الحكومية وجهات البنى التحتية الوطنية الحساسة) يجب عزلها عن أي حوسبة سحابية تُقدَّم لجهات خارج نطاق العمل.
  • 2-4-P-1-3 — الحماية من هجمات حجب الخدمة، بما في ذلك الموزّعة منها (DDoS).
  • 2-4-P-1-6 — العزل بين شبكة تقديم الخدمة السحابية، وشبكة إدارة السحابة، وشبكة مقدم الخدمة المؤسسية.
  • 2-6-P-1-3الإتلاف الآمن لبيانات المشترك عند إنهاء العقد أو انتهائه.
  • 2-6-P-1-5 — تزويد المشتركين بوسائل آمنة لتصدير ونقل البيانات والبنية التحتية الافتراضية. (نعم — مخرج الخروج نفسه ضابط.)
  • 2-7-P-1-1 — تشفير قوي وفق المستوى المتقدم في المعايير الوطنية للتشفير (NCS-1:2020).
  • 2-9-P-1-1 — تقييم ومعالجة الثغرات في المكونات الخارجية للمنظومة التقنية السحابية مرة واحدة على الأقل كل شهر، وفي المكونات الداخلية مرة واحدة على الأقل كل ثلاثة أشهر.
  • 2-9-P-1-2إشعار المشتركين بالثغرات المكتشفة التي قد تؤثر عليهم، وبالإجراءات الوقائية المتخذة.
  • 2-10-P-1-1 — يجب أن يشمل نطاق اختبار الاختراق المنظومة التقنية السحابية، وأن يُنفَّذ مرة واحدة على الأقل كل ستة أشهر.
  • 2-11-P-1-3 — تفعيل وحماية جميع سجلات الأحداث للأنشطة والعمليات التي ينفذها مقدم الخدمة على مستوى المشترك، لدعم التحليل الجنائي الرقمي. (أي أن مقدم الخدمة يسجّل أفعاله هو، داخل نطاقك، لمصلحتك أنت.)
  • 2-11-P-1-5 — المراقبة المستمرة باستخدام تقنية SIEM تغطي كامل المنظومة التقنية السحابية.
  • 2-12-P-1-5 — دعم المشترك في الإجراءات القانونية والتحليل الجنائي الرقمي، وحماية سلسلة عهدة الأدلة.
  • 2-12-P-1-6الإبلاغ الفوري للمشترك عن الحوادث التي قد تؤثر عليه حال اكتشافها.
  • 2-15-P-3-2 — آلية آمنة لاسترجاع مفاتيح التشفير، تشمل "فرض تخزين موثوق للمفاتيح خارج السحابة حصراً".
  • 4-1-P-1-1 — الاستجابة لطلبات الهيئة الوطنية للأمن السيبراني بإزالة برمجيات أو خدمات من المتجر المتاح للمشتركين متى ما اعتُبرت تهديداً سيبرانياً على الجهات الوطنية.

ما يجب عليك أنت، المشترك (CST)

القائمة أقصر — 18 ضابطاً أساسياً — لكن لا تخلط بين القِصَر والضعف. عدة ضوابط هنا لا تُبرئك منها أي أوراق يقدّمها مقدم الخدمة:

  • 1-2-T-1-1/2/3 — تحديد مستويات المخاطر المقبولة للخدمات السحابية؛ واعتماد تصنيف بياناتك المعتمد ضمن منهجية إدارة المخاطر؛ وإنشاء سجل مخاطر سيبرانية للخدمات السحابية ومراقبته دورياً.
  • 1-3-T-1-1"المراقبة المستمرة أو الآنية لالتزام مقدم الخدمة" بالتشريعات ذات العلاقة وببنود العقد. وهذا هو الضابط الذي يفاجئ الجميع: أنت مُلزَم بمراقبة مقدم خدمتك بشكل مستمر. وشهادة محفوظة في ملف المشتريات ليست مراقبة مستمرة.
  • 1-4-T-1-1 — تدقيق ومسح خلفية العاملين ذوي الوصول إلى الوظائف الحساسة في الخدمة السحابية (إدارة المفاتيح، إدارة الخدمة، التحكم في الوصول).
  • 2-1-T-1-1 — حصر جميع الخدمات السحابية والأصول المرتبطة بها. (تقنية الظل ملاحظةٌ في تقرير التدقيق.)
  • 2-2-T-1-4 — التحقق متعدد العناصر لمستخدمي السحابة ذوي الصلاحيات الهامة. مقدم الخدمة ملزم بأن يوفّرها (2-2-P-1-11)، وأنت ملزم بأن تستخدمها.
  • 2-3-T-1-1التحقق من أن مقدم الخدمة يعزل الخدمات السحابية المجتمعية المقدَّمة للجهات الحكومية وجهات البنى التحتية الحساسة عن الخدمات المقدَّمة لجهات خارج نطاق العمل. لاحظ الفعل: مقدم الخدمة عليه أن يفعل (2-3-P-1-9)، وأنت عليك أن تتحقق. والافتراض ليس تحقُّقاً.
  • 2-4-T-1-1 — حماية قناة الاتصال مع مقدم الخدمة.
  • 2-6-T-1-1استراتيجية خروج تضمن الإتلاف الآمن للبيانات عند إنهاء العقد أو انتهائه.
  • 2-6-T-1-2 — استخدام وسائل آمنة لتصدير ونقل البيانات والبنية التحتية الافتراضية.
  • 2-7-T-1-1/2 — تشفير قوي وفق المستوى المتقدم في NCS-1:2020، وتشفير البيانات المنقولة إلى السحابة ومنها.
  • 2-9-T-1-1 — تقييم ومعالجة ثغرات خدماتك السحابية مرة واحدة على الأقل كل ثلاثة أشهر — لاحظ أن هذه وتيرتك أنت، وهي ليست وتيرة مقدم الخدمة الشهرية للمكونات الخارجية.
  • 2-9-T-1-2 — إدارة الثغرات التي أشعرك بها مقدم الخدمة.
  • 2-11-T-1-1/2 — تفعيل وجمع سجلات الدخول وسجلات أحداث الأمن السيبراني على الأصول السحابية، ومراقبتها جميعاً.
  • 2-15-T-1 إلى T-4 — إدارة المفاتيح: تحديدها وتوثيقها واعتمادها؛ وتطبيقها؛ وتغطية ملكية المفاتيح وآلية الاسترجاع الآمن؛ ومراجعتها دورياً.
  • 3-1-T-1-1 — إجراءات التعافي من الكوارث واستمرارية الأعمال الخاصة بالحوسبة السحابية، مُطوَّرة ومطبَّقة بشكل آمن.

المكونات الفرعية التسعة التي لا يوجد فيها أي ضابط على المشترك

للمشترك ضوابط في 15 مكوناً فرعياً من أصل 24. ولا يوجد له أي ضابط في هذه التسعة:

المكوّن الفرعي ضوابط على مقدم الخدمة؟ ضوابط على المشترك؟
1-5 الأمن السيبراني ضمن إدارة التغيير نعم (1-5-P-1 إلى P-4) لا
2-8 إدارة النسخ الاحتياطية نعم (2-8-P-1) لا
2-10 اختبار الاختراق نعم (2-10-P-1) لا
2-12 إدارة حوادث وتهديدات الأمن السيبراني نعم (2-12-P-1) لا
2-13 الأمن المادي نعم (2-13-P-1) لا
2-14 حماية تطبيقات الويب نعم (2-14-P-1) لا
2-16 أمن تطوير الأنظمة نعم (2-16-P-1 إلى P-4) لا
2-17 أمن وسائط التخزين نعم (2-17-P-1 إلى P-4) لا
4-1 سلسلة الإمداد والأطراف الخارجية نعم (4-1-P-1) لا

اقرأ هذا الجدول قراءةً صحيحة، لأن إساءة فهمه خطر حقيقي في التدقيق.

هذا لا يعني أنه لا التزام عليك في إدارة الحوادث أو النسخ الاحتياطية أو اختبار الاختراق. بل يعني أن CCC لم تُضِف شيئاً فوق ما تفرضه عليك ECC أصلاً. والوثيقة تنص على القاعدة صراحةً: ضوابط المشترك في CCC "امتداد ومكمّلة للضوابط في ECC، وعليه يجب على المشتركين ضمان الالتزام المستمر بالضوابط في كلتيهما" (ص10). فالتزامك بإدارة الحوادث موجود في ECC 2-13، والتزامك بالنسخ الاحتياطية في ECC 2-9، والتزامك باختبار الاختراق في ECC 2-11.

والقاعدة نفسها تسري في الاتجاه المعاكس، وهي الحقيقة التي يغفل عنها مقدمو الخدمات التجاريون أكثر من غيرها: "مقدمو الخدمة — سواء كانوا داخل نطاق ECC أو خارجه — يجب عليهم ضمان الالتزام المستمر بالضوابط في ECC وCCC معاً" (ص10). فشركة استضافة خاصة ليست جهة حكومية وليست بنية تحتية حساسة، أي أنها خارج نطاق ECC بذاتها — لكنها بمجرد أن تخدم مشتركاً داخل النطاق، تمتد إليها CCC وتُلزمها بـ ECC أيضاً.

المستويات الأربعة تصنيفات للبيانات، لا فئات لمقدمي الخدمة

يقسّم الملحق (أ) الضوابط إلى أربعة مستويات "بمنهجية تنازلية". وهذه المستويات تصنيفات للبيانات تصدر عن الجهة المختصة — وليست درجات نضج لمقدم الخدمة، ولا فئات خدمة، وليست إطلاقاً جدولاً لزمن التعافي أو نقطة استرجاع البيانات:

المستوى ينطبق على البيانات المصنّفة
المستوى 1 سري للغاية
المستوى 2 سري
المستوى 3 مقيّد
المستوى 4 عام

"يجب اعتماد أعلى مستوى تصنيف عندما يحتوي محتوى مجموعة بيانات متكاملة على مستويات مختلفة" (الملحق أ). فإذا اختلطت بيانات عامة ببيانات سرية في نظام واحد، صار النظام سرياً.

ثم يربط الجدولان 2 و3 في الملحق (أ) كل ضابط بهذه المستويات الأربعة، بعلامة ✔ إلزامي أو ❖ اختياري (موصى به)، مع حواشٍ تجعل ضوابط فرعية بعينها اختيارية أو غير منطبقة عند مستويات معينة. أما ضوابط ECC فمُعلَّمة إلزامية في المستويات الأربعة جميعها.

ونحن لن نعيد إنتاج تلك المصفوفة هنا، عن قصد. فهي جدول كثيف من صفحتين بحواشٍ على مستوى الضابط الفرعي، وأي إعادة صياغة له هي بالضبط نوع المحتوى الذي يُنسخ إلى سجل التزام ثم يصير خاطئاً بصمت. افتح الملحق (أ) (ص29–33) واقرأ مستواك أنت.

أشياء لا وجود لها

كل بند في هذا القسم ادّعاء وجدناه منتشراً في مواد تسويقية ومدونات استشارية عن CCC. ولا واحد منها موجود في الوثيقة.

1. متطلب توطين البيانات ← وهذا هو الأهم

ستقرأ باستمرار أن "ضوابط CCC تُلزم ببقاء البيانات السعودية داخل السعودية". هذا كان صحيحاً. ولم يعد كذلك.

كانت CCC-1:2020 تتضمن ضابطين فرعيين:

2-3-P-1-10 — "تقديم خدمات الحوسبة السحابية من داخل المملكة، بما في ذلك الأنظمة المستخدمة للتخزين والمعالجة ومراكز التعافي من الكوارث." 2-3-P-1-11 — "تقديم خدمات الحوسبة السحابية من داخل المملكة، بما في ذلك الأنظمة المستخدمة للمراقبة والدعم."

وسجل التحديثات في CCC-2:2024 (الملحق د) يُدرج كليهما تحت بند "حذف"، ويسوق هذا المبرر:

"الضوابط المتعلقة بتوطين البيانات نُقلت من الوثيقة إلى المكتب الوطني لإدارة البيانات (NDMO) في الهيئة السعودية للبيانات والذكاء الاصطناعي بحسب الاختصاصات، وعلى الجهات الرجوع إلى المكتب الوطني لإدارة البيانات بخصوص توطين البيانات قبل اتخاذ أي إجراء بهذا الخصوص."

ولهذا ثلاث نتائج، كلها ذات أثر تجاري:

  1. توطين البيانات صار مسألة تخصّ المكتب الوطني لإدارة البيانات وسدايا، لا مسألة تخصّ CCC. فإذا قال لك أحدهم إن ضوابط الهيئة تمنعك من المعالجة خارج المملكة، فاطلب منه رقم الضابط. لا يوجد ضابط.
  2. هذا لا يعني أن التوطين لم يعد مهماً، بل يعني أن المتطلب انتقل. فقد تبقى بياناتك داخل المملكة بحكم سياسات المكتب الوطني لإدارة البيانات، أو منظّم قطاعك، أو تصنيف بياناتك نفسه — وفي كثير من أحمال العمل الحكومية سيكون الأمر كذلك. لكن استشهد بالأداة النظامية الصحيحة.
  3. الحساب نفسه يثبت ذلك. كانت CCC-1:2020 تحوي 96 ضابطاً فرعياً لمقدم الخدمة، وتحوي CCC-2:2024 94. ضابطان محذوفان، وضابطان أقل. الأرقام تتطابق تماماً، وبهذا تعرف أن التغيير حقيقي وليس سهواً تحريرياً.

2. أن الضابط 2-3-P-1-10 يعني "الاستضافة داخل المملكة"

لم يعد كذلك — وهذا فخ حيّ، لأن الرقم أُعيد استخدامه. ففي CCC-1:2020 كان ضابط EDR يحمل الرقم 2-3-P-1-12. واحذف ضابطين فوقه، فيصعد كل ما بعدهما رقماً واحداً. وفي CCC-2:2024 صار 2-3-P-1-10 هو ضابط EDR: "التقنيات الحديثة، مثل تقنيات الكشف والاستجابة على الأجهزة الطرفية (EDR)…".

أي أن الاستشهاد بالرقم "2-3-P-1-10" بمعناه القديم واستخدامه اليوم يشير إلى متطلبين لا علاقة بينهما البتة. وإذا وضعت المعنى القديم في رد على تدقيق ضد الوثيقة السارية، فقد أخبرت المدقق كتابةً أنك تعمل من نسخة ملغاة.

3. أن أرقام المكونات الفرعية في CCC هي نفسها في ECC

ليست كذلك، وهذا أكثر خطأ استشهاد شيوعاً في أعمال الالتزام في المملكة. فـ CCC لا تحتوي على مكوّن فرعي لحماية البريد الإلكتروني، بينما تحتوي عليه ECC (الضابط 2-4). ومن تلك النقطة فصاعداً، كل رقم مكوّن فرعي في المكوّن الثاني يزيح بمقدار واحد.

وقد تحققنا من ذلك من متن الوثيقتين — ويمكنك تأكيده دون أن تثق بنا، لأن كل ضابط في CCC يذكر بنفسه ضابط ECC الذي يمتد منه:

الموضوع ECC-2:2024 CCC-2:2024 الإحالة داخل CCC نفسها
إدارة أمن الشبكات 2-5 2-4 2-4-P-1 "إضافةً إلى … ضابط ECC رقم 2-5-3"
حماية البيانات والمعلومات 2-7 2-6 2-6-P-1 ← ECC 2-7-3
إدارة النسخ الاحتياطية 2-9 2-8 2-8-P-1 ← ECC 2-9-3
إدارة الثغرات 2-10 2-9 2-9-P-1 ← ECC 2-10-3
اختبار الاختراق 2-11 2-10 2-10-P-1 ← ECC 2-11-3
سجلات الأحداث والمراقبة 2-12 2-11 2-11-P-1 ← ECC 2-12-3
إدارة الحوادث والتهديدات 2-13 2-12 2-12-P-1 ← ECC 2-13-3
الأمن المادي 2-14 2-13 2-13-P-1 ← ECC 2-14-3
حماية تطبيقات الويب 2-15 2-14 2-14-P-1 ← ECC 2-15-3

فالرقم "2-12" يعني إدارة سجلات الأحداث في ECC، ويعني إدارة الحوادث في CCC. كما تضيف CCC ثلاثة مكونات فرعية لا وجود لها أصلاً في مكوّن التعزيز في ECC: 2-15 إدارة المفاتيح، و2-16 أمن تطوير الأنظمة، و2-17 أمن وسائط التخزين.

والعلامة الفارقة هي الحرف: إن كان في رقم الضابط حرف P أو T فهو ضابط CCC، وإن لم يكن فليس كذلك.

4. "شهادة سحابية من الهيئة" أو "قائمة مقدمي خدمة معتمدين"

هذه الوثيقة لا تُنشئ أي شهادة، ولا نظام اعتماد، ولا سجلاً لمقدمي خدمة معتمدين. وإذا بحثت في الوثيقة عن جهة إصدار شهادات فلن تجد إلا الضابط 2-7-P-1-2، وهو يتحدث عن جهات إصدار الشهادات الرقمية بالمعنى التقني (شهادات X.509)، ولا علاقة له باعتماد شركة.

أما ما تقوله الوثيقة فعلاً عن التقييم فهو جملة واحدة: "تقيّم الهيئة التزام الجهات بالضوابط عبر وسائل متعددة مثل التقييم الذاتي من الجهات، أو التقارير الدورية لأداة الالتزام، أو الزيارات الميدانية" (ص10). كما تذكر أن الهيئة ستصدر "أداة تقييم والتزام CCC-2:2024" — بصيغة المستقبل، في الوثيقة السارية.

إذاً: تقييم ذاتي، وأداة الهيئة، وزيارات ميدانية من الهيئة. لا شهادة تُشترى. وإن كان أحدهم يبيعك "شهادة اعتماد CCC" فهو يبيعك شيئاً لم تُنشئه الهيئة.

5. موعد نهائي للالتزام

لا يوجد أي تاريخ في الوثيقة. لا في قسم التطبيق والالتزام، ولا في الملاحق. وكانت CCC-1:2020 تذكر أن الهيئة ستمنح مهلة التزام "بحسب ما تراه مناسباً"، أما CCC-2:2024 فلا تعيد حتى ذكر ذلك. أي موعد نهائي مُحدَّد قيل لك إنه موعد الالتزام بـ CCC هو من اختراع من قاله لك. والالتزام موصوف بأنه مستمر، وهذا أشدّ من أي موعد نهائي.

6. "مقدمو خدمة من الفئة 1 إلى 4"

المستويات الأربعة هي مستويات تصنيف بيانات (سري للغاية / سري / مقيّد / عام) تُطبَّق على الضوابط. وهي ليست تصنيفاً لمقدمي الخدمة. فلا يوجد مقدم خدمة "معتمد من المستوى الثالث". حِمل العمل له مستوى، أما الشركة فلا.

7. مصطلح "CSTP"

مصطلح الوثيقة للعميل هو المشترك في الخدمة السحابية (CST). لا "CSTP" ولا غيره. وجدول الاختصارات (الملحق ج) يذكر بالضبط: CSP مقدم الخدمة السحابية، وCST المشترك في الخدمة السحابية، وCTS المنظومة التقنية السحابية. ولاحظ أن CST وCTS شيئان مختلفان يفصل بينهما ترتيب حرف واحد، والخلط بينهما في وثيقة تُرسلها إلى مدقق ليس مظهراً حسناً.

8. أن CCC الهيئة وCCC أرامكو شيء واحد

يشتركان في الاختصار ولا شيء غيره. فـ CCC الهيئة = ضوابط الأمن السيبراني للحوسبة السحابية، إطار ضوابط من المنظّم الوطني، أنت تلتزم به. وCCC أرامكو = شهادة الالتزام بالأمن السيبراني (Cybersecurity Compliance Certificate)، شهادة مورّد ضمن معيار أرامكو SACS-002، أنت تحصل عليها. فإذا طلب منك مسؤول المشتريات "الـ CCC" فاعرف أيّهما يقصد قبل أن تنفق ريالاً واحداً. وقد فصّلنا الفرق في دليل ECC.

ما الذي يطلبه المدقق فعلاً

لا حاجة للتخمين. فالهيئة تنشر دليلاً إرشادياً لمقدمي الخدمات — الدليل الإرشادي لتطبيق ضوابط الأمن السيبراني للحوسبة السحابية لمقدمي الخدمات (GCCC-CSP-2:2026)، تصنيف الوثيقة: عام — ويُدرج لكل ضابط فرعي "إرشادات التطبيق" و**"المخرجات المتوقعة"**. وسطر "المخرجات المتوقعة" هذا هو عملياً قائمة الأدلة المطلوبة.

منقولاً مباشرة من GCCC-CSP-2:2026:

الضابط المخرجات المتوقعة (بنص الهيئة)
1-4-P-1-1 (كوادر سعودية في وظائف الأمن السيبراني بمراكز البيانات) "قائمة بوظائف الأمن السيبراني المتعلقة بمراكز البيانات داخل المملكة ومتطلبات كل وظيفة." · "قائمة بالموظفين الذين يشغلون هذه الوظائف ومؤهلاتهم."
2-2-P-1-9 (موافقة المشترك قبل الوصول) "إجراءات طلب الوصول المعتمدة للوصول إلى أصول المشترك أو بياناته، معتمدة من مقدم الخدمة." · "عيّنة من طلبات الموافقة."
2-3-P-1-2 (منع اختلاط البيانات) "التحقق من فصل البيانات والأنظمة بين بيانات المشتركين." · "تقارير اختبار تُثبت منع اختلاط البيانات."
2-3-P-1-9 (عزل السحابة المجتمعية) "وثائق التصميم المعماري." · "عيّنة من آليات العزل المطبَّقة بين الخدمات السحابية المقدَّمة للجهات الحكومية وجهات البنى التحتية الحساسة وأي خدمات سحابية أخرى مقدَّمة لجهات خارجية."
2-6-P-1-3 (إتلاف البيانات عند الخروج) "سجلات بيانات المشتركين المُتلَفة مع تحديد طرق الإتلاف المستخدمة."
2-10-P-1-1 (اختبار الاختراق) "اختبارات اختراق مُنفَّذة على كامل المنظومة التقنية السحابية."
2-12-P-1-6 (الإبلاغ عن الحوادث) "تحليل أثر جميع الحوادث المكتشفة على المشتركين." · "إبلاغ المشتركين فوراً بالحوادث المؤثرة عليهم بمعلومات كافية." · "عيّنة من الحوادث المبلَّغ عنها للمشترك."
2-15-P-3-2 (استرجاع المفاتيح) "خطة استرجاع مفاتيح التشفير."

أعد قراءة القائمة بوصفك مشتركاً. فكل مخرج من مخرجات مقدم الخدمة تقريباً هو شيء يمكنك أن تطلبه من مقدم خدمتك اليوم، كتابةً، قبل أن توقّع. وإن عجز مقدم الخدمة عن تقديم وثائق التصميم المعماري لعزل المشتركين، أو عيّنة من إشعار حادثة، فهو غير جاهز لخدمة مشترك داخل النطاق — وبموجب 1-3-T-1-1 يصبح تقصيرك في التحقق ملاحظةً عليك أنت، لا عليه وحده.

وللمشتركين دليل مقابل: الدليل الإرشادي لتطبيق ضوابط الأمن السيبراني للحوسبة السحابية للمشتركين (GCCC-CST-1:2023). اقرأه بعين متيقظة: فرقم نسخته يخبرك أنه كُتب في ظل CCC-1:2020، أي قبل حذف ضوابط التوطين.

هل أنت داخل النطاق أصلاً؟

نطاق عمل الضوابط (ص9) أضيق مما توحي به الضجة حوله:

داخل النطاق بوصفك مشتركاً (CST):

  • أي جهة حكومية في المملكة — بما في ذلك الوزارات والهيئات والمؤسسات وغيرها من الجهات، وشركاتها والجهات التابعة لها — سواء كانت داخل المملكة أو خارجها.
  • جميع جهات القطاع الخاص التي تملك أو تُشغّل أو تستضيف بنى تحتية وطنية حساسة (CNI) وتستخدم أو تخطط لاستخدام أي خدمة سحابية.

داخل النطاق بوصفك مقدم خدمة (CSP): أي مقدم خدمة يقدّم خدمات سحابية لمشترك من القائمة أعلاه. فمقدم الخدمة لا يختار الدخول أو الخروج؛ بل صفة عميله هي التي تُدخله النطاق.

خارج النطاق صراحةً (من أمثلة الوثيقة نفسها): مقدمو الخدمة الذين يخدمون فقط جهات غير سعودية خارج المملكة؛ ومقدمو الخدمة الذين يخدمون الأفراد وجهات القطاع الخاص غير الحساسة — شريطة ألا يخدموا مشتركين داخل النطاق.

وما عدا ذلك: "تشجّع الهيئة بشدة جميع الجهات الأخرى في المملكة على الاستفادة من هذه الضوابط". تشجيع، لا إلزام.

وثمة تعريفان يستحقان المعرفة لأنهما يحسمان الجدل. مقدم الخدمة السحابية هو "أي شخص طبيعي أو اعتباري… يقدّم خدمات الحوسبة السحابية للعموم، بشكل مباشر أو غير مباشر عبر مراكز بيانات (داخل المملكة أو خارجها)، ويديرها كلياً أو جزئياً" (الملحق ب). والمنظومة التقنية السحابية (CTS) هي البنية الطبقية الكاملة — "البنية التحتية لمركز البيانات، والشبكة المحلية، وأجهزة التخزين والحوسبة، والمُشرِف الافتراضي (hypervisor)، ومنصة إدارة السحابة، والأجهزة الافتراضية، وأنظمة التشغيل، والبرمجيات التطبيقية، ومنصات التشغيل والصيانة، وتقنيات أمن السحابة" (الملحق ب). فحين يقول ضابط "تغطي كامل المنظومة التقنية السحابية"، فهذا هو النطاق المقصود.

ويستحق تعريف مقدم الخدمة قراءة ثانية. فالهيئة تفترض صراحةً وجود مقدم خدمة يقدّم خدماته بشكل غير مباشر، عبر مراكز بيانات لا يملكها هو، داخل المملكة أو خارجها. فإعادة البيع أو البناء فوق بنية تحتية لمشغّل آخر لا يخرجك من التعريف — ولا يخفّف من التزاماتك ذرة واحدة.

أين يقع مقدم الاستضافة — وأين لا يقع

تبيع سكايلاين استضافة سحابية داخل المملكة، فلنكن دقيقين في رسم الحدود بدل أن نكون ضبابيين.

يستطيع مقدم الخدمة أن يحمل ضوابط P. فنحن نشغّل منطقتنا داخل المملكة — الدمام، مدعومة بجوجل كلاود — والالتزامات التي تقع على مقدم الخدمة، مثل عزل المشتركين، والحماية من هجمات حجب الخدمة، ووتيرة إدارة الثغرات، والتسجيل على مستوى المشترك، والإبلاغ عن الحوادث، والتصدير الآمن للبيانات، هي التزاماتنا نحن ويجب أن نُثبتها، لا التزاماتك أنت.

ولا يستطيع مقدم الخدمة أن يحمل ضوابط T، ويجدر بك أن تشك في أي مقدم خدمة يوحي بأنه قادر على ذلك. فلا أحد يستطيع أن يصنّف بياناتك نيابةً عنك (1-2-T-1-2). ولا أحد يستطيع أن يمسك سجل مخاطرك السحابية بدلاً منك (1-2-T-1-3). ولا أحد يستطيع أن يراقبنا نيابةً عنك بشكل مستمر — فالضابط 1-3-T-1-1 يجعل ذلك حرفياً ضابطك أنت. ولا أحد يستطيع أن يكتب استراتيجية خروجك (2-6-T-1-1)، لأن استراتيجية الخروج خطةٌ لمغادرتنا نحن.

الخلاصة الصادقة: تنقسم CCC إلى مجموعة يجب أن نُثبتها لك، ومجموعة يجب أن تُثبتها أنت للهيئة. وأي مورّد يَعِدك بـ"التزام كامل بـ CCC" كمنتَج يبيعه، إنما يصف شيئاً لا تسمح الوثيقة ببيعه أصلاً.

وثمة ادعاءان لن نطلقهما، لأنهما يجب أن يكونا صحيحين وقابلين للتحقق لا مجرد تسويق: نحن لا ندّعي حيازة شهادة ISO 27001، ولا ندّعي أننا نملك مركز بيانات. وحين نقول إن المنطقة مدعومة بجوجل كلاود، فذلك هو جوهر الجملة لا هامشها.

أول 90 يوماً بشكل واقعي، بوصفك مشتركاً

  1. تأكد أولاً إن كنت داخل النطاق أصلاً. جهة حكومية؟ أم جهة قطاع خاص تملك أو تشغّل أو تستضيف بنية تحتية وطنية حساسة؟ فإن لم تكن أياً منهما، فـ CCC إرشاد تُشجَّع على الاستفادة منه، لا نظام يُلزمك. لا تنفق سنةً في الالتزام بوثيقة لا تنطبق عليك.
  2. صنّف البيانات أولاً. كل ما في الملحق (أ) معلَّق على التصنيف، وحتى تعرف إن كان حِمل العمل من المستوى الثاني أو الرابع لن تعرف أي الضوابط إلزامية. وتذكّر قاعدة الخلط: أعلى تصنيف في المجموعة هو الذي يسود.
  3. رتّب بيتك في ECC. فـ CCC امتداد، وأي برنامج التزام بـ CCC يقوم فوق أساس ECC مكسور سيسقط عند الأساس.
  4. احصر خدماتك السحابية (2-1-T-1-1) — القائمة الحقيقية، بما فيها برمجيات SaaS التي اشترتها إدارةٌ ما ببطاقة ائتمان.
  5. اطلب من مقدم خدمتك المخرجات المذكورة أعلاه برقم الضابط. فجوابه — أو غياب جوابه — هو سجل عنايتك الواجبة.
  6. أنشئ مراقبة مستمرة لمقدم الخدمة (1-3-T-1-1) — تقارير تعاقدية، ومسارات إبلاغ عن الحوادث، ومالك مسمّى. وهذا هو الضابط الذي يكتشفه أكثر المشتركين متأخراً.
  7. اكتب استراتيجية الخروج (2-6-T-1-1) قبل الترحيل لا بعده. فالتفاوض على مسار تصدير أسهل بكثير قبل التوقيع.
  8. خذ مسألة التوطين إلى المكتب الوطني لإدارة البيانات، لا إلى CCC. فبعد 2024، هناك يقع السؤال.

أسئلة متكررة

هل ما زالت CCC-1:2020 سارية؟ لا. فـ CCC-2:2024 تحل محلها. وإن كانت حزمة أدلتك تستشهد بأرقام ضوابط من CCC-1:2020، فراجع — كحد أدنى — كل ضابط فرعي في المكوّن الفرعي 2-3، حيث أزيحت الأرقام.

هل تُلزم CCC ببقاء بياناتي داخل المملكة؟ لا تُلزم CCC بذلك — ليس منذ حذفت CCC-2:2024 الضابطين 2-3-P-1-10 و2-3-P-1-11. وقد تُلزم أدوات نظامية أخرى بذلك. ارجع إلى المكتب الوطني لإدارة البيانات في سدايا، تماماً كما يوجّه سجل تحديثات الهيئة.

هل أحتاج إلى ECC أيضاً؟ نعم. كلتاهما، للمشتركين ومقدمي الخدمة على حد سواء. والوثيقة تقول ذلك مرتين في الصفحة العاشرة.

هل توجد شهادة CCC؟ لا. تقييم ذاتي، وأداة الالتزام الخاصة بالهيئة، وزيارات ميدانية من الهيئة.

ما الفرق بين CST وCTS؟ CST هو المشترك في الخدمة السحابية — أنت. وCTS هي المنظومة التقنية السحابية — البنية الطبقية لمقدم الخدمة. حرف واحد، وشيئان مختلفان تماماً.

نحن شركة خاصة بلا بنية تحتية حساسة. هل نحن مُلزَمون؟ لا، ليس بموجب بند النطاق في CCC. أنت "مُشجَّع بشدة" على استخدامها، وهي إطار جيد، لكنها لا تُلزمك.

كم مرة يجب إجراء اختبار الاختراق؟ على مقدم الخدمة: مرة واحدة على الأقل كل ستة أشهر، بما يغطي المنظومة التقنية السحابية (2-10-P-1-1). ولا تضع CCC أي ضابط لاختبار الاختراق على المشترك — فالتزامك هناك يأتي من ECC 2-11.

المصادر

جميع أرقام الضوابط والأعداد والاقتباسات في هذا المقال مأخوذة من هذه الوثائق مباشرةً. وهي منشورة من الهيئة الوطنية للأمن السيبراني، وهي — لا هذه الصفحة — المرجع.

جرى التحقق الأخير من وثائق الهيئة المنشورة في يوليو 2026. المعايير تتغير. والنسخة المنشورة على nca.gov.sa هي المرجع دائماً — وإن اختلفت هذه الصفحة مع الوثيقة، فالوثيقة هي الصحيحة، ونودّ أن نعرف ذلك.

SKYLINE Engineering

@skyline

The engineering team at SKYLINE Industrial Solutions. We publish field-tested guides drawn from real KSA and GCC deployments.

See author profile
SKYLINE engineering services

Need this implemented for you?

Reading is free — building it right takes a team. SKYLINE engineers ship NCA Frameworks for Aramco vendors, banks, hospitals and government agencies across Saudi Arabia. Talk to us before you start.

Aramco Approved Contractor ISO 9001 · ISO 27001 SAMA CSF aligned NCA ECC ready 247+ KSA clients

Comments

0 total · 0 threads
Be the first to leave a comment.