Home Knowledge base NCA Frameworks ضوابط الأمن السيبراني للعمل عن بعد TCC-1:2021 — الدليل الشامل من المصدر KNOWLEDGE BASE
ضوابط الأمن السيبراني للعمل عن بعد TCC-1:2021 — الدليل الشامل من المصدر
NCA FRAMEWORKS

ضوابط الأمن السيبراني للعمل عن بعد TCC-1:2021 — الدليل الشامل من المصدر

SKYLINE Knowledge Base

ضوابط الأمن السيبراني للعمل عن بعد: ٣ مكونات أساسية و١٦ مكوناً فرعياً و٢١ ضابطاً أساسياً و٤٢ ضابطاً فرعياً — لا ٢٢. وترقيم TCC ليس ترقيم ECC، والوثيقة لا تُعرّف أي مستوى لتصنيف البيانات، والالتزام بـECC شرطٌ مسبق. مكتوبٌ من وثيقة الهيئة نفسها.

أخبرك أحدهم أن ضوابط الأمن السيبراني للعمل عن بعد الصادرة عن الهيئة الوطنية للأمن السيبراني تنطبق على جهتك، فذهبت تبحث عن قائمة الضوابط. ومعظم ما ستجده مخطئ بالطريقة نفسها: الهيكل العام صحيح، وكل رقمٍ فيه مُختلَق.

هذا الدليل مكتوبٌ من الوثيقة نفسها — ضوابط الأمن السيبراني للعمل عن بعد TCC-1:2021، الصادرة عن الهيئة الوطنية للأمن السيبراني (إشارة المشاركة: أبيض، تصنيف الوثيقة: متاح)، ومعها النسخة الإنجليزية للمقارنة. كل رقم ضابطٍ، وكل عدد، وكل مدةٍ زمنية أدناه منقولٌ من تلك الوثيقة. وحيثما سكتت الوثيقة، قلنا ذلك صراحةً — لأن أغلى خطأ في أعمال الالتزام في السعودية هو أن تنسب إلى الهيئة متطلباً لم تكتبه الهيئة قط.

الجواب في ستين ثانية

  • الإصدار الحالي هو TCC-1:2021. ولا يوجد إصدار ثانٍ (TCC-2). فالهيئة ما زالت تنشر إصدار 2021، وأداة التقييم الرسمية ما زالت تحمل اسم NCA_TCC-1-2021.
  • تتكوّن الضوابط من ٣ مكونات أساسية، و١٦ مكوناً فرعياً، و٢١ ضابطاً أساسياً، و٤٢ ضابطاً فرعياً (TCC-1:2021، المقدمة). فإن قيل لك ٢٢ ضابطاً، أو ٢٤، أو «نحو ٤٠ ضابطاً»، فهذا نقلٌ عن الذاكرة لا عن الوثيقة.
  • الالتزام بالضوابط الأساسية للأمن السيبراني (ECC) شرطٌ مسبق للالتزام بـTCC. والوثيقة تقول ذلك حرفياً في المقدمة. فـTCC امتدادٌ لـECC، وليست بديلاً عنها.
  • النطاق: الجهات الحكومية في المملكة (الوزارات والهيئات والمؤسسات وغيرها، والجهات والشركات التابعة لها)، وجهات القطاع الخاص التي تمتلك بنى تحتية وطنية حساسة أو تُشغّلها أو تستضيفها — وذلك عند إتاحة العمل عن بعد. أما ما عدا ذلك من الجهات فالهيئة «تشجّعها بشدة»، ولا تُلزمها.
  • الضوابط لا تُعرِّف أي مستويات لتصنيف البيانات. ولا واحداً. بل تُحيلك إلى «الأنظمة والتشريعات ذات العلاقة» في الضابط ٢-٦-١-١ وتقف عند هذا الحد.
  • لا يوجد في TCC مكوّن فرعي لحماية البريد الإلكتروني. فالمكوّن ٢-٤ فيها هو إدارة أمن الشبكات، والمكوّن ٢-١١ هو سجلات الأحداث، والمكوّن ٢-١٢ هو إدارة حوادث وتهديدات الأمن السيبراني. وهذه ليست أرقام ECC.

على مَن تنطبق الضوابط فعلاً

هنا تحديداً يكذب معظم ما يُكتب، وغالباً عبر توسيع النطاق حتى يشعر كل قارئ أنه ملزَم.

قسم «نطاق عمل الضوابط» في الوثيقة ضيّقٌ ومحدد. فالضوابط تنطبق على:

  • الجهات الحكومية في المملكة العربية السعودية، وتشمل «الوزارات والهيئات والمؤسسات وغيرها»، والجهات والشركات التابعة لها؛ و
  • جهات القطاع الخاص التي تمتلك بنى تحتية وطنية حساسة أو تقوم بتشغيلها أو استضافتها.

ويُشار إليها جميعاً في الوثيقة بـ«الجهة». أما البقية فالنص واضحٌ في أنه ليس إلزاماً: «كما تشجع الهيئة الجهات الأخرى في المملكة وبشدة على الاستفادة من هذه الضوابط لتطبيق أفضل الممارسات».

وهناك شرطٌ ثانٍ لا يقلّ أهمية، وهو أوضح في النص العربي منه في الإنجليزي: الالتزام ينعقد عند إتاحة العمل عن بعد. ويؤكده قسم قابلية التطبيق: «يجب على الجهة التي تتيح لمنسوبيها العمل عن بعد، الالتزام بجميع الضوابط القابلة للتطبيق عليها». فإن كنتَ داخل النطاق ولا أحد يعمل عن بُعد، فالضوابط ساكنة. وفي اليوم الذي تُصدر فيه أول حساب دخول عن بُعد، لا تعود ساكنة.

وداخل الجهة تتفاوت قابلية التطبيق بحسب التقنيات المستخدمة. والوثيقة تضرب مثالاً واحداً فقط، وهو المثال السحابي: الضوابط ضمن المكوّن الفرعي ٣-١ (الأمن السيبراني للحوسبة السحابية والاستضافة) تكون مُلزِمة للجهة «التي تستخدم حالياً خدمات الحوسبة السحابية والاستضافة، أو تخطط لاستخدامها».

فإن كنت شركة سعودية خاصة لديها موظفون عن بُعد وليست لديك بنية تحتية وطنية حساسة، فأنت خارج نطاق الإلزام. وقد تُجرّ إلى الضوابط تعاقدياً، من عميلٍ هو نفسه داخل النطاق — وهكذا تدخل معظم الشركات الخاصة في المملكة إلى أعمال TCC — لكن ذلك التزامٌ تعاقدي لا تنظيمي، ومن حقك أن تعرف أيهما تُجيب عنه.

الضوابط لا تقوم بذاتها

TCC امتدادٌ لـECC. وجملتان في الوثيقة تحسمان الأمر:

«الالتزام بالضوابط الأساسية للأمن السيبراني شرطٌ مسبق للالتزام بضوابط الأمن السيبراني للعمل عن بعد.» (المقدمة)

«ولا يمكن تحقيق ذلك إلا من خلال تحقيق الالتزام الدائم والمستمر بالضوابط الأساسية للأمن السيبراني (ECC – 1:2018) وفقاً لقابلية تطبيقها.» (التنفيذ والالتزام)

وكل ضابطٍ من الضوابط الأساسية الـ٢١ مصوغٌ بوصفه فارقاً (Delta). فهي تبدأ بـ«بالإضافة إلى الضوابط ضمن المكوّن الفرعي كذا في الضوابط الأساسية…» أو «بالإشارة إلى الضابط الفرعي كذا في الضوابط الأساسية…». ولا وجود لجهةٍ ملتزمة بـTCC ومخالِفة لـECC — فضوابط TCC نفسها لا تُقرأ إلا وECC مفتوحة بجانبها.

وهنا تفصيلٌ عملي: كُتبت TCC-1:2021 في ظل ECC-1:2018 وتستشهد بأرقامها. وقد أعادت الهيئة إصدار الضوابط الأساسية بوصفها ECC-2:2024 (٤ مكونات أساسية، و٢٨ مكوناً فرعياً، و١٠٨ ضوابط أساسية). ولم يُعَد إصدار TCC. غير أن ترقيم المكونات الفرعية في المكوّن الثاني نجا من إعادة الكتابة كما هو — فـ٢-٤ ما زالت حماية البريد الإلكتروني، و٢-١٢ ما زالت سجلات الأحداث، و٢-١٣ ما زالت إدارة الحوادث والتهديدات — ومن ثمّ فإن إحالات TCC ما زالت تصل إلى مواضعها. لكن اقرأها وأنت تعلم أنها كُتبت للإصدار السابق. ويشرح دليلنا لـECC-2:2024 ما الذي تغيّر، بما في ذلك حذف ضابط توطين البيانات من ECC.

وإذا مسّ العمل عن بعد نظاماً حساساً، فإن الملخص التنفيذي في TCC يوجّهك إلى الأخذ بعين الاعتبار ضوابط الأمن السيبراني للأنظمة الحساسة (CSCC-1:2019) أيضاً. الأطر في السعودية تتراكم، ولا يحل بعضها محل بعض.

فخّ الترقيم

هذه أكثر طريقةٍ يُوقِع بها مقالٌ عن TCC مهندساً في مشكلة، وتستحق الصراحة.

لـTCC ترقيمها الخاص. وليس هو ترقيم ECC. فمكوّن «تعزيز الأمن السيبراني» في TCC فيه ١٢ مكوناً فرعياً، بينما في ECC فيه ١٥. وTCC تتجاوز تماماً «حماية البريد الإلكتروني» و«الأمن المادي» و«أمن تطبيقات الويب»، وكل ما يأتي بعد المكوّن المحذوف (البريد الإلكتروني) ينزاح رقماً واحداً إلى الأسفل.

المكوّن الفرعي في TCC الاسم يقابله في ECC
٢-١ إدارة الأصول ٢-١
٢-٢ إدارة هويات الدخول والصلاحيات ٢-٢
٢-٣ حماية الأنظمة وأجهزة معالجة المعلومات ٢-٣
٢-٤ إدارة أمن الشبكات ٢-٥
٢-٥ أمن الأجهزة المحمولة ٢-٦
٢-٦ حماية البيانات والمعلومات ٢-٧
٢-٧ التشفير ٢-٨
٢-٨ إدارة النسخ الاحتياطية ٢-٩
٢-٩ إدارة الثغرات ٢-١٠
٢-١٠ اختبار الاختراق ٢-١١
٢-١١ إدارة سجلات الأحداث ومراقبة الأمن السيبراني ٢-١٢
٢-١٢ إدارة حوادث وتهديدات الأمن السيبراني ٢-١٣

وهذا التقابل ليس تخميناً، بل مكتوبٌ داخل نصوص ضوابط TCC نفسها. فالضابط ٢-١١-١ ينص على «بالإضافة إلى الضوابط الفرعية في الضابط ٢-١٢-٣ في الضوابط الأساسية…»، والضابط ٢-١٢-١ ينص على «بالإضافة إلى الضوابط الفرعية ضمن الضابط ٢-١٣-٣ في الضوابط الأساسية…». الوثيقة تُخبرك بإزاحاتها بنفسها.

إذن: إذا كتبت سياسة لتسجيل أحداث العمل عن بعد، فالضابط الذي تستشهد به هو TCC ٢-١١، وضابط ECC الذي يمتدّه هو ECC ٢-١٢. والاستشهاد بـ«TCC ٢-١٢» للسجلات خطأ. والاستشهاد بـ«ECC ٢-١١» للسجلات خطأ أيضاً (فذلك اختبار الاختراق). وكلا الخطأين متداوَل، ولا ينجو أيٌّ منهما من ثلاثين ثانية مع الوثيقة.

والانضباط نفسه يسري على بقية العائلة — فلـCCC ولـOTCC إزاحاتٌ خاصة بكل منهما. لا تنقل رقماً من وثيقة نقدية إلى أخرى أبداً.

الهيكل الكامل

المكوّن الأول — حوكمة الأمن السيبراني (٣ مكونات فرعية، ٤ ضوابط أساسية)

  • ١-١ سياسات وإجراءات الأمن السيبراني ← يمتدّ ECC ١-٣-١. متطلبٌ واحد: ١-١-١-١، تحديد وتوثيق متطلبات وضوابط الأمن السيبراني للعمل عن بعد كجزءٍ من سياسات الأمن السيبراني في الجهة. لا سياسة منفصلة — بل جزءٌ من القائمة.
  • ١-٢ إدارة مخاطر الأمن السيبراني ← يمتدّ المكوّن الفرعي ECC ١-٥. تقييم مخاطر أنظمة العمل عن بعد مرة واحدة سنوياً على الأقل (١-٢-١-١)؛ وتقييم المخاطر أثناء التخطيط وقبل إتاحة العمل عن بعد لأي خدمة أو نظام (١-٢-١-٢)؛ وتضمين مخاطر العمل عن بعد في سجل مخاطر الجهة ومراقبتها سنوياً على الأقل (١-٢-١-٣).
  • ١-٣ برنامج التوعية والتدريب ← يمتدّ ECC ١-١٠-٣ و١-١٠-٤. والضابط ١-٣-١ يسرد ثمانية موضوعات توعوية، وهي أقرب ما في TCC إلى سياسةٍ للموظف عن بُعد: الاستخدام الآمن لأجهزة العمل عن بعد؛ والتعامل الآمن مع هويات الدخول وكلمات المرور؛ وحماية البيانات المخزّنة على الأجهزة والتعامل معها بحسب تصنيفها؛ والتعامل الآمن مع تطبيقات الاجتماعات الافتراضية والتعاون ومشاركة الملفات؛ وتأمين إعدادات الشبكات المنزلية؛ وتجنّب العمل عن بُعد عبر أجهزة أو شبكات عامة غير موثوقة أو من الأماكن العامة؛ والوصول المادي غير المصرّح به والفقد والسرقة والتخريب؛ والتواصل المباشر مع الإدارة المعنية بالأمن السيبراني عند الاشتباه بتهديد. ويضيف الضابط ١-٣-٢ وجوب تدريب الموظفين تدريباً تقنياً يمكّنهم من تطبيق المتطلبات عند التعامل مع أنظمة العمل عن بعد.

المكوّن الثاني — تعزيز الأمن السيبراني (١٢ مكوناً فرعياً، ١٦ ضابطاً أساسياً) — وهو جسم المعيار، وتفصيله أدناه.

المكوّن الثالث — الأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية (مكوّن فرعي واحد، ضابط أساسي واحد)

  • ٣-١ الأمن السيبراني للحوسبة السحابية والاستضافة ← يمتدّ ECC ٤-٢-٣. وفيه ضابط فرعي واحد فقط، وهو الأكبر أثراً معمارياً: ٣-١-١-١ — «يجب أن يكون موقع استضافة أنظمة العمل عن بعد داخل المملكة العربية السعودية.»

ولاحظ ما ليس في المكوّن الثالث. فاسمه «الأطراف الخارجية والحوسبة السحابية»، لكن TCC لم تُضِف أي مكوّن فرعي للأطراف الخارجية. لا وجود لمكوّن ٣-٢. فالتزامات أمن المورّدين تأتيك من ECC لا من TCC.

الأرقام التي تعطيك إياها الوثيقة فعلاً

كل رقمٍ صريح في الوثيقة، مع رقم ضابطه. هذه هي التفاصيل التي يستطيع المُقيّم التحقق منها، وهي نفسها التي يخترعها البائعون أكثر من غيرها — فهاك القائمة، ولن تجد في هذا المقال رقماً خارجها أو خارج النص أعلاه.

المتطلب الدورية / القيمة الضابط
تقييم مخاطر العمل عن بعد مرة سنوياً على الأقل ١-٢-١-١
سجل أصول أنظمة العمل عن بعد مُحدَّث سنوياً ٢-١-١-١
مراجعة هويات الدخول والصلاحيات مرة سنوياً على الأقل ٢-٢-٢
تحديثات وحزم أمنية لأنظمة العمل عن بعد مرة كل ثلاثة أشهر على الأقل ٢-٣-١-١
مراجعة إعدادات وتحصين أنظمة العمل عن بعد مرة سنوياً على الأقل ٢-٣-١-٢
مراجعة قواعد وإعدادات الجدار الناري مرة سنوياً على الأقل ٢-٤-١-٢
تحديثات الأجهزة المحمولة مرة كل شهر على الأقل ٢-٥-١-٢
اختبار استعادة النسخ الاحتياطية مرة كل ستة أشهر على الأقل ٢-٨-٢
تقييم الثغرات في أنظمة العمل عن بعد مرة كل ثلاثة أشهر على الأقل ٢-٩-١-١
معالجة الثغرات مرة كل ثلاثة أشهر على الأقل ٢-٩-١-٢
اختبار الاختراق لأنظمة العمل عن بعد مرة سنوياً على الأقل ٢-١٠-٢
مراقبة أنظمة العمل عن بعد على مدار الساعة ٢-١١-١-٣
مدة حفظ سجلات الأحداث ١٢ شهراً كحدٍّ أدنى ٢-١١-٢
موقع استضافة أنظمة العمل عن بعد داخل المملكة ٣-١-١-١

وأما المتطلبات النوعية التي لا تقبل المساومة:

  • ٢-٢-١-٢ — تقييد الدخول المتزامن. لا يجوز للمستخدم نفسه أن يفتح جلسات دخول عن بُعد من أكثر من جهاز في الوقت نفسه. وهذا ضابطٌ يوقع كثيرين، لأنه إعدادٌ تقني لا عبارةٌ في سياسة.
  • ٢-٢-١-٣ — استخدام معايير آمنة لإدارة الهويات وكلمات المرور المستخدمة في أنظمة العمل عن بعد.
  • ٢-٣-١-٣ — إزالة كلمات المرور المضمّنة (hard-coded) والخلفية (backdoor) والافتراضية، ومراجعة الإعدادات الافتراضية وتغييرها.
  • ٢-٣-١-٤ — الإدارة الآمنة للجلسات: موثوقية الجلسة، والإقفال، وانتهاء المهلة.
  • ٢-٣-١-٥ — تفعيل خصائص وخدمات أنظمة العمل عن بعد على أساس الحاجة فقط، مع تحليل المخاطر السيبرانية عند الحاجة إلى تفعيلها.
  • ٢-٤-١-١ — تقييد خدمات الشبكة والبروتوكولات والمنافذ المستخدمة للدخول عن بُعد إلى الأنظمة الداخلية، وفتحها على أساس الحاجة.
  • ٢-٤-١-٣ / ٢-٤-١-٤ — الحماية من هجمات حجب الخدمة الموزّعة (DDoS)، والحماية من التهديدات المتقدمة المستمرة (APT) على مستوى الشبكة.
  • ٢-٥-١-١ — الإدارة المركزية للأجهزة المحمولة وأجهزة BYOD عبر نظام MDM. فـTCC لا تمنع BYOD؛ بل تمنع BYOD غير المُدار.
  • ٢-٦-١-١ / ٢-٦-١-٢ — تحديد البيانات المصنّفة التي يمكن التعامل معها عبر أنظمة العمل عن بعد، ثم حمايتها — إما بمنع استخدام نوعٍ بعينه من البيانات المصنّفة كلياً، أو تقنياً، وتذكر الوثيقة أنظمة منع تسريب البيانات (DLP) كمثال. وأيّ الخيارين تختار يحدده تحليل مخاطرك أنت؛ الوثيقة لا تختار عنك.
  • ٢-٧-١-١ — التشفير على كامل الاتصال الشبكي المستخدم للعمل عن بعد، وفق المستوى المتقدم في المعايير الوطنية للتشفير (NCS-1:2020). وهذه هي قوة التشفير الوحيدة التي تحددها TCC، وهي تُحيلك إلى وثيقةٍ أخرى للهيئة لتعريفها.
  • ٢-١١-١-٢ — تحليل سلوك المستخدم (UBA) على أنظمة العمل عن بعد. مطلوبٌ صراحةً، ومُعرَّفٌ في مسرد الوثيقة.
  • ٢-١١-١-٤ — يجب أن تشمل إجراءات المراقبة عمليات الدخول عن بُعد، «وبالأخص الدخول عن بُعد من خارج المملكة العربية السعودية، بعد التحقق من صحتها». اقرأها مرتين إن كان لديك موظفون يسافرون.
  • ٢-١٢-١-١ / ٢-١٢-١-٢ / ٢-١٢-١-٣ — تحديث خطط الاستجابة للحوادث وبيانات التواصل بما يتوافق مع وضع العمل عن بعد؛ والحصول على معلومات التهديدات (Threat Intelligence) المتعلقة بأنظمة العمل عن بعد؛ ومعالجة تنبيهات وتوصيات الجهة المنظّمة للقطاع أو الهيئة الوطنية للأمن السيبراني وتطبيقها.

تصنيف البيانات: المصطلحات الحقيقية

النسخة القديمة من هذا المقال — التي ألغينا نشرها — زعمت وجود مستويات لتصنيف بيانات العمل عن بعد، وكتبتها بالإنجليزية «Restricted»، ونسبتها إلى TCC. وذلك مُختلَق من وجهين، ويستحق الدقة في بيان السبب.

أولاً: لا تتضمن TCC-1:2021 أي نظام تصنيفٍ إطلاقاً. فلا «عام» ولا «مقيد» ولا «سري» ترد فيها بوصفها مستويات تصنيف. وما تقوله الوثيقة هو:

٢-٦-١-١ — «تحديد البيانات المصنّفة — وفقاً للأنظمة والتشريعات ذات العلاقة — التي يمكن استخدامها أو الوصول إليها أو التعامل معها عبر أنظمة العمل عن بعد.»

و«وفقاً للأنظمة والتشريعات ذات العلاقة» هي العبارة الحاكمة. الوثيقة تُحيل ولا تُعرِّف.

ثانياً: النظام الذي تُحيل إليه هو نظام الهيئة نفسها، ومُثبتٌ في وثيقةٍ أخرىضوابط الأمن السيبراني للبيانات (DCC-1:2022) — التي يحمل كل جدولٍ من جداول ضوابطها عموداً باسم «مستوى تصنيف البيانات» بأربعة مستويات:

المستوى (عربي — مُلزِم) الترجمة الرسمية للهيئة (إنجليزي)
عام Public
مقيد Confidential
سري Secret
سري للغاية Top Secret

هذه هي المفردات، والسطر الثاني هو موضع الخلل الذي وقع فيه المقال القديم.

فالمستوى العربي اسمه مقيد. ولو ترجمته حرفياً لخرج بـ«Restricted» — وهي بالضبط الكلمة التي استُخدمت في النسخة الملغاة. لكن النسخة الإنجليزية الرسمية للهيئة لا تترجم «مقيد» إلى Restricted؛ بل تترجمها إلى Confidential. وأعمدة التصنيف الملوّنة في النسختين العربية والإنجليزية من DCC تتطابق واحداً بواحد: الأخضر «عام»/Public، والأصفر «مقيد»/Confidential، والأحمر «سري»/Secret، والأحمر الداكن «سري للغاية»/Top Secret. ولا مستوى خامس في أي منهما.

الخلاصة العملية: في العربية اكتب «مقيد». وفي الإنجليزية اكتب «Confidential» — لا «Restricted». فالترجمة الحرفية الخاطئة أخطر من الاختلاق الصريح، لأنها تبدو معقولة وتنجو من المراجعة، ثم تجد نفسك بعمودٍ في جدول تصنيفٍ لا يقابله عمودٌ في جداول ضوابط DCC.

والأثر العملي للعمل عن بعد مباشر: قبل أن تطبّق ٢-٦-١-٢، عليك أن تقرر أي مستويات التصنيف يُسمح لها أصلاً بالمرور عبر نظام عملٍ عن بُعد — وTCC تُجيز صراحةً «عدم السماح باستخدام نوع معيّن من البيانات المصنّفة» بوصفه ضابطاً صحيحاً. ولكثيرٍ من الجهات السعودية، هذا هو الجواب الصادق بالنسبة لمستوى «سري للغاية»، وكتابته التزامٌ لا تهرّب.

أشياء لا وجود لها

كل بندٍ هنا جرى التحقق منه من الوثيقة. وهذه ادّعاءاتٌ متداولة لا تسندها الوثيقة.

لا يوجد TCC-2. لا إصدار ٢٠٢٣ ولا ٢٠٢٤ ولا ٢٠٢٥. فـTCC-1:2021 هو الإصدار الحالي والوحيد. (أما دليل التطبيق GTCC-1:2023 فصدر لاحقاً — وهو دليل، لا مجموعة ضوابط جديدة، ولا يغيّر شيئاً في قائمة الضوابط.)

لا توجد شهادة TCC، ولا مدققون معتمدون من الهيئة لـTCC. فكلمة «شهادة» لا ترد في الوثيقة. والالتزام يُقاس «بطرق متعددة، منها: التقييم الذاتي للجهات، و/أو تقييم الالتزام الخارجي» — هذه هي الآلية كلها. ولا يستطيع أحد أن يبيعك شهادة TCC، لأن الهيئة لا تُصدر واحدة.

ليست ٢٢ ضابطاً. بل ٢١ ضابطاً أساسياً و٤٢ ضابطاً فرعياً، في ١٦ مكوناً فرعياً، في ٣ مكونات أساسية. ويبدو أن رقم ٢٢ خطأ عدٍّ ثم انتشر؛ ويمكنك التحقق من الرقم الصحيح في مقدمة الوثيقة، أو بعدّ جداول الضوابط بنفسك.

لا يوجد مستوى تصنيف اسمه «Restricted» بالإنجليزية. فـTCC لا تُعرّف أي مستوى أصلاً، ومستويات الهيئة الأربعة (من DCC) هي: عام / مقيد / سري / سري للغاية — وترجمتها الرسمية Public / Confidential / Secret / Top Secret. و«Restricted» ترجمةٌ حرفية خاطئة لـ«مقيد»، والهيئة نفسها تترجمها Confidential. المستوى صحيح، والكلمة خاطئة — والكلمة الخاطئة في جدول ضوابط ملاحظةٌ في التقييم.

TCC لا تُلزم بالتحقق متعدد العناصر (MFA). فعبارات «MFA» و«multi-factor» و«التحقق متعدد العناصر» ترد صفر مرة في TCC-1:2021. وهذا يفاجئ الناس، والجواب أنك ستطبّقه على أي حال — من الشرط المسبق. فالضابط الفرعي ٢-٢-٣-٢ في ECC-2:2024 يوجب التحقق متعدد العناصر «للدخول عن بُعد وللحسابات ذات الصلاحيات الهامة». إذن: طبّق MFA بلا تردد — واستشهد بـECC لا بـTCC.

لا يوجد موعدٌ نهائي للتبليغ عن الحوادث. لا ٢٤ ساعة ولا ٧٢ ساعة ولا «فوراً». وكلمة «ساعات» لا ترد في الوثيقة. والمطلوب هو تحديث خطط الاستجابة للحوادث وبيانات التواصل بما يلائم وضع العمل عن بعد (٢-١٢-١-١)، والعمل بتنبيهات الهيئة والمنظّم (٢-١٢-١-٣). وأي عدد ساعاتٍ يُعرض عليك فهو رأي أحدهم، أو مأخوذٌ من وثيقةٍ أخرى تماماً.

لا يوجد في TCC مكوّن لحماية البريد الإلكتروني، ولا للأمن المادي، ولا لأمن تطبيقات الويب. هذه موجودة في ECC، ولم تُمَدّ لأغراض العمل عن بعد.

لا يوجد مكوّن لاستمرارية الأعمال أو الصمود السيبراني. ECC فيها واحد؛ وTCC لم تمدّه.

لا يوجد متطلب «انعدام الثقة» (Zero Trust)، ولا متطلب لمنتجٍ بعينه. فعبارة Zero Trust ترد صفر مرة. وكلمة VPN ترد مرة واحدة فقط — كمثالٍ داخل تعريف «أنظمة العمل عن بعد» في المسرد، إلى جانب أنظمة الاجتماعات الافتراضية وأنظمة التعاون ومشاركة الملفات وأنظمة الدخول عن بُعد. TCC محايدة تقنياً. ولا رخصة SASE مفروضة بها.

لا توجد غرامة أو عقوبة منصوص عليها. فالوثيقة لا تتضمن بند عقوبات. والإلزام قائمٌ على الفقرة الثالثة من المادة العاشرة من تنظيم الهيئة، والأمر السامي رقم ٥٧٢٣١ وتاريخ ١٠/١١/١٤٣٩هـ، بالالتزام الدائم والمستمر — أما الإنفاذ فشأن الهيئة ومنظّم قطاعك، وTCC لا تُسعّره.

لا يوجد استثناء من التوطين للبيانات المشفّرة. فالضابط ٣-١-١-١ يقول إن موقع الاستضافة «يجب أن يكون داخل المملكة العربية السعودية»، وانتهى. وتشفيرها في الخارج لا يُحقق الضابط.

خللان في النسخة الإنجليزية من وثيقة الهيئة — ولماذا يهمّان

إذا قرأت النسخة الإنجليزية بتمعّن ستجد خللين ظاهرين، ومعرفتهما تُفيدك.

١. في الملحق (أ)، يقول دليل ألوان الشكل ٤ في النسخة الإنجليزية: «المكونات الفرعية التي أضيفت لها ضوابط خاصة بحسابات التواصل الاجتماعي الحساسة للجهات». والعمل عن بعد لا علاقة له بحسابات التواصل الاجتماعي؛ فالنص نُسخ من وثيقةٍ شقيقة للهيئة ولم يُصحَّح. والنسخة العربية من الشكل نفسه صحيحة: «مكونات فرعية أُضيف لها ضوابط خاصة للعمل عن بعد».

٢. عنوان «TCC Scope of Work» مطبوعٌ مرتين في الصفحة ١٠ من النسخة الإنجليزية. والثاني كان ينبغي أن يكون «TCC Statement of Applicability» — كما يقول فهرس الوثيقة نفسه، وكما ورد في النسخة العربية صحيحاً: «قابلية التطبيق داخل الجهة».

ولا يغيّر أيٌّ منهما ضابطاً. لكنهما يقولان الشيء نفسه الذي يقوله غلاف الوثيقة صراحةً: النسخة العربية هي اللغة المُلزِمة. «وعليه، فإن النسخة العربية هي اللغة المُلزِمة لكل ما يتعلق بمعنى هذه الوثيقة أو تفسيرها.» فحين تختلف الإنجليزية عن العربية، تفوز العربية — وهنا اختلفتا مرتين. فإذا كنت تصوغ معياراً داخلياً سيُقيَّم عليه، فصُغْه من العربية.

ما الذي يطلبه المُقيّم فعلاً

تنشر الهيئة أداة تقييم وقياس الالتزام بضوابط TCC (الإصدار ٢٫٠ حالياً) إلى جانب الضوابط. وهي أقرب إجابةٍ رسمية على سؤال «ماذا سيطلبون مني؟»، ويستحق تنزيلها قبل أن تبني أي شيء، لأنها تُخبرك بشكل الإجابة المطلوبة.

فلكل ضابطٍ من الضوابط الـ٢١، تطلب منك الأداة تسجيل مستوى الالتزام من قائمةٍ من أربعة خيارات فقط:

  • مطبق كلياً (Implemented)
  • مطبق جزئياً (Partially Implemented)
  • غير مطبق (Not Implemented)
  • لا ينطبق (Not Applicable)

— وأن تذكر الأدلة (Evidences) على التطبيق وتُجهّزها لأعمال التدقيق من قبل الهيئة، لكل ما تدّعي أنه مطبقٌ كلياً أو جزئياً. أما «المطبق جزئياً» فيتطلب منك إضافةً بيان أي أجزاء الضابط مُنجزة وأيها لا.

هذا هو المعيار الحقيقي. ليس ملفَّ سياساتٍ — بل أدلة، لكل ضابط. وعملياً يعني ذلك، لكل نظام عملٍ عن بُعد:

  • قسم العمل عن بعد في سياسة الأمن السيبراني (١-١-١-١)، وتقييم المخاطر السابق للتشغيل بتاريخه (١-٢-١-٢)
  • سجل أصولٍ لمنظومة العمل عن بعد بتاريخ تحديث (٢-١-١-١)
  • آخر مراجعة للصلاحيات (٢-٢-٢)، وإثبات أن الدخول المتزامن عن بُعد ممنوع (٢-٢-١-٢) — لقطة شاشة للإعداد، لا جملةً في سياسة
  • تقارير التحديثات: ربع سنوية للأنظمة (٢-٣-١-١) وشهرية للأجهزة المحمولة (٢-٥-١-٢)
  • آخر مراجعة تحصين وآخر مراجعة لقواعد الجدار الناري (٢-٣-١-٢، ٢-٤-١-٢)
  • نسبة تسجيل الأجهزة في MDM، شاملةً BYOD (٢-٥-١-١)
  • إعدادات التشفير على مسار الدخول عن بُعد بما يُظهر المستوى المتقدم من NCS-1:2020 (٢-٧-١-١)
  • آخر اختبار استعادة، خلال ستة أشهر (٢-٨-٢)
  • آخر فحص للثغرات وسجل معالجتها، خلال ثلاثة أشهر (٢-٩-١-١، ٢-٩-١-٢)
  • آخر تقرير اختبار اختراق خلال اثني عشر شهراً، وبيان نطاقه بما يُثبت تغطية جميع المكونات التقنية لأنظمة العمل عن بعد (٢-١٠-١-١، ٢-١٠-٢)
  • مصادر السجلات لكل مكوّن، ومدة حفظٍ ١٢ شهراً فأكثر، وتفعيل UBA، ومراقبة على مدار الساعة، وقاعدة كشفٍ خاصة بالدخول عن بُعد من خارج المملكة (٢-١١-١-١ حتى ٢-١١-٢)
  • خطة الاستجابة للحوادث المُحدَّثة لوضع العمل عن بعد وقائمة التواصل (٢-١٢-١-١)
  • وإن كانت الأنظمة مستضافة: دليلٌ على منطقة الاستضافة (٣-١-١-١)

خطة واقعية لأول ٦٠ يوماً

١. احسم النطاق كتابةً. هل أنت داخل الإلزام (حكومي / بنية تحتية وطنية حساسة)، أم دخلت بعقد؟ ثم سَمِّ أنظمة العمل عن بعد: VPN، وسطح المكتب الافتراضي، وبوابات الدخول عن بُعد، والاجتماعات، والتعاون، ومشاركة الملفات. فمسرد TCC يُعرّف «أنظمة العمل عن بعد» تعريفاً واسعاً، وينبغي أن يكون سجلك بالسعة نفسها — هذا هو الضابط ٢-١-١-١، وهو بوابة كل ما بعده.

٢. أجرِ تقييم المخاطر قبل توسعة الدخول، لا بعده. فالضابط ١-٢-١-٢ مكتوبٌ بهذا الترتيب عن قصد، وهو من الضوابط القليلة التي يستطيع المُقيّم إثبات إخفاقك فيها بمجرد النظر في التواريخ.

٣. أصلِح الإعدادين اللذين يُنسيان دائماً: تقييد الدخول المتزامن (٢-٢-١-٢)، وإقفال الجلسة وانتهاء مهلتها (٢-٣-١-٤). كلاهما رخيص. وكلاهما يُفحص.

٤. اضبط حفظ السجلات على ١٢ شهراً وفعّل المراقبة على مدار الساعة، مع قاعدةٍ للدخول عن بُعد من خارج المملكة (٢-١١-١-٤، ٢-١١-٢). وهذا عادةً أكبر بندٍ في التكلفة، وهو الأكثر تأجيلاً ثم الأكثر رسوباً.

٥. قرّر أي مستويات التصنيف لا يجوز لها المرور عبر نظام عملٍ عن بُعد أبداً، بمفردات الهيئة الحقيقية (عام / مقيد / سري / سري للغاية)، ثم أنفِذ القرار (٢-٦-١-٢).

٦. تأكد أين تُستضاف أنظمة العمل عن بعد (٣-١-١-١). فإن كان أيٌّ منها ينتهي خارج المملكة، فتلك ملاحظة، ولا سبيل إلى المجادلة فيها.

٧. املأ أداة الهيئة نفسها — مطبق كلياً / جزئياً / غير مطبق / لا ينطبق، مع الأدلة — قبل أن يملأها عنك أحد.

أين يقع مزوّد الاستضافة — وأين لا يقع

كن متشككاً تجاه أي جهة، ونحن منها، تُلمّح إلى أن شراء شيءٍ ما يجعلك ملتزماً.

لا يستطيع أي مزوّد أن يجعلك ملتزماً بـTCC. فـTCC تُلزم الجهة. والهيئة لا تعتمد المورّدين، و«استضافة معتمدة من TCC» شيءٌ لا وجود له. وما يستطيع المزوّد تغييره فعلاً هو كلفة إثبات عددٍ صغير من الضوابط بدل الجدال حولها:

  • ٣-١-١-١ (الاستضافة داخل المملكة) سؤالٌ جغرافي، والجغرافيا يُجاب عنها باسم منطقة. وسكاي لاين تُشغّل منطقة داخل المملكة — الدمام، مدعومة بـGoogle Cloud — فيصبح جواب «أين يعيش نظام العمل عن بعد هذا؟» سطراً واحداً وراءه مستند، لا مشروعاً.
  • ٢-١١-١-١ حتى ٢-١١-٢ (سجلات الأحداث وUBA والمراقبة على مدار الساعة والحفظ ١٢ شهراً) مسألةُ ما إذا كان التسجيل والحفظ صُمّما من البداية أم رُكّبا لاحقاً. وحفظ اثني عشر شهراً قرار سعةٍ وتكلفة، وهو أرخص بكثير إذا اتُّخذ في اليوم الأول.
  • ٢-٣-١-١ و٢-٥-١-٢ (دورية التحديثات) انضباطٌ تشغيلي. فالبنية المُدارة تجعل الدليل تقريراً؛ وغير المُدارة تجعله عملية تنقيبٍ أثري.

وما عدا ذلك — السياسة، وتقييم المخاطر، وقرار التصنيف، ومراجعات الصلاحيات، واختبار الاختراق، وخطة الحوادث — فهو لك، ولا ينقله عنك عقد.

الأسئلة الشائعة

كم عدد ضوابط TCC؟

٢١ ضابطاً أساسياً و٤٢ ضابطاً فرعياً، ضمن ٣ مكونات أساسية و١٦ مكوناً فرعياً (TCC-1:2021، المقدمة). وأي رقمٍ آخر — و«٢٢» هو الأشيع — خطأ.

هل TCC-1:2021 ما زال الإصدار الحالي؟

نعم. فالهيئة ما زالت تنشر إصدار ٢٠٢١، وأداة التقييم الرسمية ما زالت تحمل اسم NCA_TCC-1-2021. ولا يوجد TCC-2. وقد صدر لاحقاً دليل تطبيق (GTCC-1:2023)، والدليل ليس مجموعة ضوابط جديدة.

هل يجب أن ألتزم بـECC أولاً؟

نعم، والوثيقة تقولها صراحةً: «الالتزام بالضوابط الأساسية للأمن السيبراني شرطٌ مسبق للالتزام بـTCC». فـTCC امتداد — وضوابطها مكتوبةٌ حرفياً كإضافاتٍ على ضوابط ECC مُسمّاة بأرقامها. ولا يمكنك تطبيق TCC بدلاً من ECC.

هل تنطبق TCC على شركتي الخاصة لمجرد أن لدينا موظفين عن بُعد؟

لا، إلا إذا كنت تمتلك بنية تحتية وطنية حساسة أو تُشغّلها أو تستضيفها — أو كنت جهة تابعة لجهة حكومية. وما عدا ذلك فالهيئة «تشجّعك بشدة» على تبنّي الضوابط، وهذا ليس إلزاماً. ومع ذلك تُجَرّ شركات خاصة كثيرة عبر عقود عملائها؛ وذلك التزامٌ تجاري يستحق التمييز عن الالتزام التنظيمي.

هل توجد شهادة TCC؟

لا. فكلمة «شهادة» لا ترد في TCC-1:2021. والالتزام يُقاس بـالتقييم الذاتي و/أو تقييم الالتزام الخارجي من الهيئة. ولا يستطيع أحد إصدار شهادة TCC لك، ومن يعرض عليك واحدة فهو يبيع شيئاً لم يُعرّفه المعيار.

هل تُلزم TCC بالتحقق متعدد العناصر (MFA)؟

ليس في نصها — فـ«MFA» و«multi-factor» ترد صفر مرة في TCC-1:2021. ومع ذلك أنت بحاجة إليه، لأن ECC شرطٌ مسبق، والضابط الفرعي ٢-٢-٣-٢ في ECC-2:2024 يوجب التحقق متعدد العناصر للدخول عن بُعد وللحسابات ذات الصلاحيات الهامة. فطبّق MFA؛ واستشهد بـECC.

ما مستويات تصنيف البيانات التي تستخدمها الهيئة؟

أربعة مستويات ترد في ضوابط الأمن السيبراني للبيانات (DCC-1:2022): عام، ومقيد، وسري، وسري للغاية — وترجمتها الرسمية في نسخة الهيئة الإنجليزية: Public، وConfidential، وSecret، وTop Secret. أما TCC نفسها فلا تُعرّف أي مستوى؛ بل تكتفي بإلزامك بتحديد البيانات المصنّفة «وفقاً للأنظمة والتشريعات ذات العلاقة» (٢-٦-١-١). وانتبه: «مقيد» تُترجَم رسمياً إلى Confidential، لا إلى Restricted — والترجمة الحرفية هي مصدر الخطأ الأشهر في هذا الباب.

أي ضابطٍ يغطي سجلات الأحداث — ٢-١١ أم ٢-١٢؟

٢-١١ هو إدارة سجلات الأحداث ومراقبة الأمن السيبراني. و٢-١٢ هو إدارة حوادث وتهديدات الأمن السيبراني. وهذه أرقام TCC، وهي ليست أرقام ECC — ففي ECC هما ٢-١٢ و٢-١٣. والسبب أن TCC لا تحتوي مكوّن حماية البريد الإلكتروني، ومنه تأتي الإزاحة بمقدار واحد.

هل يمكنني استضافة أنظمة العمل عن بعد خارج السعودية؟

لا. الضابط ٣-١-١-١: «يجب أن يكون موقع استضافة أنظمة العمل عن بعد داخل المملكة العربية السعودية.» ولا استثناء للتشفير ولا بند استثناء أصلاً. ولاحظ أن هذا متطلبٌ قائمٌ في TCC رغم أن ECC-2:2024 حذفت ضابط توطين البيانات الخاص بها — فضابط TCC لم يُسحب.

ما الموعد النهائي للالتزام بـTCC؟

الوثيقة لا تذكر موعداً. بل توجب الالتزام الدائم والمستمر بموجب الفقرة الثالثة من المادة العاشرة من تنظيم الهيئة والأمر السامي رقم ٥٧٢٣١. ولا فترة سماح في الوثيقة، ولا ساعة تبليغٍ عن الحوادث.

كم يجب أن أحتفظ بسجلات العمل عن بعد؟

١٢ شهراً كحدٍّ أدنى (الضابط ٢-١١-٢)، «بما يتوافق مع المتطلبات التشريعية والتنظيمية ذات العلاقة» — فقد يطلب منظّم قطاعك مدةً أطول، لا أقصر.

أي نسخةٍ هي المُلزِمة؟

العربية. فغلاف النسخة الإنجليزية نفسه ينص على أن النسخة العربية هي المُلزِمة في كل ما يتعلق بالمعنى أو التفسير — والنسخة الإنجليزية تحتوي على خطأين على الأقل لا وجود لهما في العربية.

المصادر

كل رقم ضابطٍ وعددٍ ومدةٍ واقتباسٍ أعلاه مأخوذٌ من هذه الوثائق مباشرة. وهي منشورة من الهيئة الوطنية للأمن السيبراني بتصنيف «متاح / عام»، وهي — لا هذه الصفحة — المرجع.

تم التحقق آخر مرة من وثائق الهيئة المنشورة في يوليو ٢٠٢٦. المعايير تتغيّر، والنسخة المنشورة على nca.gov.sa هي المرجع دائماً. وإن اختلفت هذه الصفحة مع الوثيقة، فالوثيقة هي الصحيحة — ونودّ أن نعلم بذلك.

SKYLINE Engineering

@skyline

The engineering team at SKYLINE Industrial Solutions. We publish field-tested guides drawn from real KSA and GCC deployments.

See author profile
SKYLINE engineering services

Need this implemented for you?

Reading is free — building it right takes a team. SKYLINE engineers ship NCA Frameworks for Aramco vendors, banks, hospitals and government agencies across Saudi Arabia. Talk to us before you start.

Aramco Approved Contractor ISO 9001 · ISO 27001 SAMA CSF aligned NCA ECC ready 247+ KSA clients

Comments

0 total · 0 threads
Be the first to leave a comment.