What services does SKYLINE provide?

We provide specialized divisions including: Data Centre Design & Build (Tier III/IV), Cybersecurity SOC/NOC Operations, SCADA & Automation, Fire Safety, Construction, HVAC, AI Solutions, Server Infrastructure with HPE & Dell, and Software Development.

Does SKYLINE design and build data centres?

Yes, we specialize in Tier III and Tier IV data centre design and construction including electrical infrastructure, precision cooling, raised flooring, fire suppression, and Schneider Electric UPS systems. All our projects are SACS-002 compliant and trusted by major clients like Saudi Aramco and SABIC.

Where is SKYLINE located?

Our headquarters is in Dammam, Eastern Province, Saudi Arabia. We serve all regions of Saudi Arabia and GCC countries including Riyadh, Jeddah, Khobar, Dhahran, and Jubail.

What compliance certifications does SKYLINE hold?

We comply with NCA-ECC (Essential Cybersecurity Controls), SACS-002 (Saudi Communications Standards for Data Centres), ISO 27001 (Information Security Management), and SAMA Cybersecurity Framework.

What experience does SKYLINE have in the Saudi market?

SKYLINE was founded in 2019 with 6+ years of experience, has completed 15+ mega projects including the FIFA Club World Cup, and serves 200+ clients including Saudi Aramco, SABIC, Maaden, and STC.

SKYLINE Industrial & IT Solutions

دليل عملي لـ الضوابط الأساسية للأمن السيبراني ECC v2 من الهيئة الوطنية — دليل الامتثال الكامل. يغطي النطاق والضوابط ومراحل التنفيذ والأدلة المطلوبة للتدقيق، مع أمثلة سياسات وتكوينات قابلة للتطبيق.

SKYLINE Engineering @skyline

Published: Mar 1, 2026
Last updated: May 28, 2026
Reading time: 4 min

نظرة عامة

تُعد الضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA) الحدّ الأدنى الإلزامي لكل جهة حكومية، وكل جهة شبه حكومية، وكل مُشغّل بنية تحتية وطنية حساسة في المملكة العربية السعودية. الإصدار الحالي هو ECC-2:2024. عدم الامتثال يُعرّض الجهة لعقوبات إدارية بموجب صلاحيات الهيئة، ودورات التدقيق سنوية للقطاعات الحساسة وكل سنتين لما عداها.

على من يطبَّق

جميع الجهات الحكومية وموظفيها ومتعاقديها.
الجهات شبه الحكومية (الجامعات، الهيئات المستقلة).
مشغّلو البنية التحتية الوطنية الحساسة (المصارف، الطاقة، المياه، الاتصالات، الصحة).
أي جهة تُعالج أو تستضيف بيانات مصنّفة "سري للغاية" أو "سري" أو "مقيّد".

النطاقات الرئيسية والضوابط

تتألف ECC-2 من 5 نطاقات رئيسية و29 نطاقًا فرعيًا تنتج 114 ضابطًا. النطاقات الخمسة هي:

حوكمة الأمن السيبراني (1-x): الاستراتيجية، السياسات، الأدوار، إدارة المخاطر، الأطراف الثالثة.
تعزيز الأمن السيبراني (2-x): إدارة الأصول، الهويات والوصول، التحصين، أمن الشبكات، حماية البيانات، التشفير، النسخ الاحتياطي، إدارة الثغرات، اختبار الاختراق، إدارة السجلات، الاستجابة للحوادث، الأمن المادي.
صمود الأمن السيبراني (3-x): استمرارية الأعمال والتعافي من الكوارث.
الأمن السيبراني للأطراف الثالثة والسحابة (4-x).
الأمن السيبراني لأنظمة التحكم الصناعي (5-x) — موسَّع لاحقًا في OTCC.

الخطوة 1: تحديد النطاق

اجرد كل نظام وصنّف بياناته وفق سياسة التصنيف الوطنية.
حدّد "الأنظمة الوطنية الحساسة": تلك التي يُسبب تعطّلها أثرًا على الأمن الوطني أو الاقتصاد.
استخرج الضوابط ذات العلامة C (إلزامية للحساسة) مقابل N (الحد الأدنى).

الخطوة 2: تحليل الفجوة

استخدم ورقة تقييم لكل ضابط وسجّل: حالة التطبيق، الدليل، المسؤول، تاريخ المعالجة المتوقع.

الخطوة 3: السياسات (مثال)

سياسة التحكم بالوصول (ECC 2-2-1)
1. كل وصول إلى أنظمة المعلومات يجب أن يكون مُصرّحًا، موثَّقًا، ومسجَّلًا.
2. الحسابات ذات الامتيازات تستخدم MFA وتُراجَع كل 90 يومًا.
3. حسابات الخدمة في خزائن أسرار تُدوَّر تلقائيًا.
4. الحسابات الخاملة لأكثر من 45 يومًا تُعطَّل تلقائيًا.
5. مراجعات الوصول تُحفظ 36 شهرًا.

الخطوة 4: التحصين التقني

طبّق معايير CIS Benchmarks لكل نظام تشغيل. مثال للينكس:

sed -i 's/^#\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sed -i 's/^#\?PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
systemctl reload sshd

الخطوة 5: إدارة السجلات (ECC 2-12)

12 شهرًا على الأقل ساخن + 24 شهرًا بارد، ومزامنة الساعات عبر NTP موثوق.

الخطوة 6: المطابقة مع ISO 27001

نحو 78% من ضوابط ECC تتطابق مع ISO 27001:2022. حافظ على مصفوفة واحدة بحيث يخدم الدليل الواحد كلا التدقيقين.

الخطوة 7: قائمة جاهزية التدقيق

اعتماد رئيس الجهة لكل سياسة.
تقرير KRI ربعي للإدارة التنفيذية.
اختبار اختراق خلال آخر 12 شهرًا.
مسح ثغرات خلال آخر 30 يومًا.
اختبارات تعافٍ موثَّقة خلال آخر 3 أشهر.

أخطاء شائعة

نسخ احتياطي بلا اختبار استعادة.
سياسات قوالب عامة بلا اسم الجهة ونطاقها.
MFA على VPN فقط دون الحسابات المحلية.

الأدلة الجاهزة للتدقيق

سجل الأصول مع تصنيف لكل صف.
خطوط أساس تحصين لكل نظام معتمَدة من رئيس الأمن السيبراني.
اختبار اختراق سنوي مع أدلة معالجة لكل ملاحظة.

الخلاصة

ECC ليس مشروعًا بل برنامج دائم؛ اربط كل عملية تشغيل بضابط، وكل ضابط بدليل واحد، والباقي نظافة تشغيلية.

أدلة ذات صلة

SKYLINE Engineering

@skyline

The engineering team at SKYLINE Industrial Solutions. We publish field-tested guides drawn from real KSA and GCC deployments.

See author profile

SKYLINE engineering services

Need this implemented for you?

Reading is free — building it right takes a team. SKYLINE engineers ship NCA Frameworks for Aramco vendors, banks, hospitals and government agencies across Saudi Arabia. Talk to us before you start.

Cybersecurity & Data Centre SACS-210, NCA ECC, SOC, 24/7 ops SACS-210 Aramco Compliance Third-party readiness, audit prep, ICV+CCC

Talk to a SKYLINE engineer WhatsApp · +966 50 993 9334 Call +966 50 993 9334

Aramco Approved Contractor ISO 9001 · ISO 27001 SAMA CSF aligned NCA ECC ready 247+ KSA clients

Comments

0 total · 0 threads

Be the first to leave a comment.