نظرة عامة
إذا كانت جهتك حاصلة على ISO 27001 أو متوافقة مع NIST CSF فقد أنجزت معظم العمل لـ NCA ECC. الحيلة في معرفة مواطن التطابق ومواطن الاختلاف ومواطن التشدد الإضافي للهيئة.
مقارنة المستوى الأعلى
| الجانب | NCA ECC | NIST CSF | ISO 27001:2022 | |---|---|---|---| | المنشأ | السعودية | الولايات المتحدة | ISO/IEC | | الإلزام | ملزم في السعودية | اختياري | شهادة | | البنية | 5 نطاقات، 114 ضابطًا | 6 وظائف | 93 ضابطًا في الملحق أ |
مطابقة النطاقات الخمسة
النطاق 1 — الحوكمة
| ECC | NIST | ISO | |---|---|---| | 1-1 الاستراتيجية | GV.OC, GV.SC | A.5.1, A.5.30 | | 1-5 المخاطر | GV.RM | A.5.4, A.5.7 | | 1-7 الأطراف الثالثة | GV.SC | A.5.19-A.5.23 |
النطاق 2 — التعزيز
| ECC | NIST | ISO | |---|---|---| | 2-1 الأصول | ID.AM | A.5.9-A.5.10 | | 2-2 الوصول | PR.AC | A.5.15-A.5.18 | | 2-7 النسخ الاحتياطي | PR.IP-4 | A.8.13 | | 2-10 السجلات | PR.PT, DE.CM | A.8.15-A.8.16 | | 2-11 الحوادث | RS.RP, RS.CO | A.5.24-A.5.28 |
النطاق 5 — أنظمة التحكم الصناعي
تشير NCA إلى IEC 62443 ضمنيًا، ولـ ISO تغطية جزئية فقط.
أين تتشدد NCA؟
- سيادة البيانات داخل المملكة.
- التوثيق بالعربية للجهات الحكومية.
- ترخيص مزوّد سحابي من هيئة الاتصالات.
- SOC 24/7 صريح للأنظمة الحساسة.
- CISO يرفع إلى الرئيس التنفيذي.
الخطوة 1: مصفوفة موحَّدة
عمود لكل إطار وصف لكل هدف ضابط، مع إشارة إلى ملف الدليل الواحد الذي يخدم الثلاثة.
| الموضوع | ECC | NIST | ISO | الدليل |
| الاستراتيجية | 1-1-1 | GV.OC-01 | A.5.1 | strategy-v3.2.pdf |
| المخاطر | 1-5-1 | GV.RM-01 | A.5.4 | risk-register-q1.xlsx |
| الوصول | 2-2-1-4 | PR.AC-01 | A.5.18| access-review-q1.xlsx |
الخطوة 2: دليل واحد، ثلاث تسميات
سَمِّ ملف المراجعة الربعية للوصول مرة واحدة وأشِر إليه من ثلاثة ملفات تدقيق.
الخطوة 3: التوفير
برنامج متعدد الأطر يوفر عادةً 30-40% من تكلفة كل إطار منفصلًا — مكتبة سياسات واحدة، سجل أصول واحد، اختبار اختراق واحد.
أخطاء شائعة
- اعتماد ISO 27001:2013 بدل 2022.
- مطابقة قديمة مع NIST CSF v1.1 لا v2.0.
- محاولة استبدال ضوابط سعودية خاصة بمطابقات ISO.
التحقق
- المصفوفة موجودة ومسؤولها CISO.
- مكتبة أدلة مفهرَسة.
- تدقيق داخلي سنوي يغطي الأطر الثلاثة.
الخلاصة
NCA و NIST و ISO لهجات لنفس اللغة؛ تحدّث بها جميعًا عبر مصفوفة واحدة ومكتبة أدلة موحدة.
Comments
0 total · 0 threads