Home Knowledge base SACS-210 Aramco معيار أرامكو SACS-002: ما تطلبه أرامكو فعلاً من المقاولين KNOWLEDGE BASE
معيار أرامكو SACS-002: ما تطلبه أرامكو فعلاً من المقاولين
SACS-210 ARAMCO

معيار أرامكو SACS-002: ما تطلبه أرامكو فعلاً من المقاولين

SKYLINE Knowledge Base

دليل من المصدر الأصلي لمعيار الأمن السيبراني للأطراف الثالثة لدى أرامكو، مقروءاً من الوثيقة نفسها: التصنيفات الخمسة، والفرق بين CCC و+CCC، وجميع الضوابط الـ92 (من TPC-1 إلى TPC-92) في إصدار فبراير 2022 الحالي، ورزنامة الامتثال، وقاعدة النجاح 100%، وما تغيّر عن إصدار 2020 المتجاوَز — وبيان صريح لما تحققنا منه وما عجزنا عن التحقق منه بشأن SACS-210.

إذا كنت مورّداً لأرامكو السعودية — أو تسعى لأن تكون — فلا بدّ أن أحدهم أخبرك أنك تحتاج إلى «شهادة الـ CCC». ربما ذكرها موظف المشتريات عرضاً، أو تعثّر تسجيلك في المنصّة، أو اتصل بك استشاري يعرض عليك «تحليل فجوات» مقابل معيار لم تقرأه قط.

هذا الدليل هو المقال الذي تمنّينا وجوده حين بدأ عملاؤنا في الدمام والخبر والجبيل يطرحون علينا هذا السؤال. وهو مكتوب استناداً إلى المصدر الأصلي: معيار الأمن السيبراني للأطراف الثالثة SACS-002 الصادر عن أرامكو نفسها، والمنشور على صفحات موارد الموردين لديها، إضافةً إلى دليل الطرف الثالث لشهادة CCC. وحيثما كان السجل العام واضحاً، ذكرناه ووثّقناه؛ وحيثما كان ملتبساً — وهو كذلك فعلاً في نقطة مهمة خلال عام 2026 — قلنا ذلك صراحةً بدل أن نخترع إجابة واثقة.

وقبل أن تمضي، إفصاح واحد يغيّر طريقة قراءتك لكل ما يلي: سكاي لاين ليست من شركات التدقيق المعتمدة لدى أرامكو. لا توجد شركة استشارية تستطيع أن تصدر لك شهادة CCC. الشركات المدرجة في قائمة أرامكو المعتمدة هي وحدها التي تصدرها. ومن يقول لك غير ذلك فهو يبيعك شيئاً لا وجود له. ما تفعله شركة مثل شركتنا هو أن تجعلك جاهزاً للتدقيق. وما يلي هو الجزء الأكبر من تلك المعرفة، مبذولاً لك.

الخلاصة في دقيقة

  • SACS-002 هو المعيار — «معيار الأمن السيبراني للأطراف الثالثة» الذي يحدد الحد الأدنى من متطلبات الأمن السيبراني لكل طرف ثالث يتعامل مع أرامكو باتفاقية تعاقدية.
  • CCC (شهادة الامتثال للأمن السيبراني) هي الشهادة التي تثبت استيفاءك للمعيار. أما +CCC فهي النسخة الأصعب، القائمة على تقييم ميداني.
  • الشهادة تصدرها شركة تدقيق معتمدة من أرامكو — لا أرامكو نفسها، ولا استشاريك.
  • صلاحيتها سنتان، ويجب تجديدها.
  • الإصدار المنشور حالياً من SACS-002 مؤرّخ في فبراير 2022، ويحتوي على 92 ضابطاً مرقّمة من TPC-1 إلى TPC-92 — منها 23 ضابطاً تنطبق على الجميع، و69 ضابطاً إضافياً تنطبق بحسب تصنيف أرامكو لك.
  • لا يوجد نجاح جزئي. دليل أرامكو صريح: تصدر شركة التدقيق الشهادة عند تحقق الامتثال بنسبة 100% لجميع المتطلبات المنطبقة.

هذه النقطة الأخيرة تحديداً هي ما يباغت الشركات، ولذلك تستحق التكرار. هذا ليس مقياس نضج، ولا تحصل فيه على تقدير «جيد جداً». إمّا أن تكون ممتثلاً لكل ضابط منطبق عليك، أو لا تُمنح الشهادة.

اضبط المصطلحات أولاً

نصف الالتباس في هذا السوق سببه أن الناس يستخدمون أربع كلمات وكأنها مترادفة، بينما تعني أربعة أشياء مختلفة. اضبط هذا قبل أن تنفق ريالاً واحداً.

المصطلح ما هو فعلاً
SACS-002 وثيقة المعيار نفسها — معيار الأمن السيبراني للأطراف الثالثة، الصادر عن إدارة أمن المعلومات في أرامكو. هذا هو ما تمتثل له.
CCC شهادة الامتثال للأمن السيبراني، تحصل عليها بإثبات امتثالك لـ SACS-002. التقييم ذاتي، تتحقق منه شركة تدقيق معتمدة عن بُعد.
+CCC الشهادة ذاتها بمسار أصعب: تقييم ميداني في موقعك تجريه شركة التدقيق المعتمدة. مطلوبة للتصنيفات الأعلى خطورة.
بوابة CCC منصّة أرامكو لطلب الشهادة والتعامل مع شركات التدقيق. وبحسب أسئلة أرامكو الشائعة، هي «الطريقة الوحيدة» لطلب الشهادة.
CCC الخاصة بالهيئة الوطنية أمر مختلف تماماً. فالهيئة الوطنية للأمن السيبراني تستخدم الاختصار ذاته «CCC» للدلالة على الضوابط السيبرانية للحوسبة السحابية. جهة تنظيمية مختلفة، ووثيقة مختلفة، والتزامات مختلفة. لا تدع عرضاً فنياً يخلط بينهما — راجع دليل الضوابط السيبرانية للسحابة.
SACS-210 معيار خَلَف يُتداول الحديث عنه بكثافة في 2026. اقرأ قسم التحقق الصريح أدناه قبل أن تبني قراراً على ما قيل لك عنه.

أي إصدار يجري تدقيقك عليه فعلاً؟

هنا نقطة لا يبدو أن دليلاً آخر يذكرها، وهي أهم من أي ضابط منفرد.

معيار SACS-002 جرى تنقيحه. الإصدار الأول مؤرّخ في مايو 2020. أما الإصدار الذي تنشره أرامكو حالياً فمؤرّخ في فبراير 2022. والوثيقتان مختلفتان اختلافاً جوهرياً: عدد ضوابط مختلف، وترقيم مختلف، وفي إحدى الحالات مهلة زمنية تغيّرت بمقدار خمسة أضعاف تقريباً.

كثير من المحتوى المتداول عن SACS-002 — بما في ذلك محتوى تنشره شركات تبيع خدمات الامتثال — يصف في الحقيقة الإصدار المتقاعد لعام 2020. فإذا قرأت «86 ضابطاً»، أو «24 ضابطاً عاماً»، أو «62 ضابطاً خاصاً»، أو «يجب معالجة الثغرات الحرجة خلال 3 أيام» — فأنت تقرأ عن الإصدار القديم.

وهذا ما تغيّر فعلاً:

إصدار مايو 2020 إصدار فبراير 2022 (الحالي)
نطاق الترقيم TPC-1 – TPC-86 (86) TPC-1 – TPC-92 (92)
المتطلبات العامة (للجميع) 24 ضابطاً 23 ضابطاً
المتطلبات الخاصة (حسب التصنيف) 62 ضابطاً 69 ضابطاً
تصنيفات الموردين 4 5 — بإضافة خدمة الحوسبة السحابية
معالجة الثغرات الحرجة خلال 3 أيام تقويمية خلال 14 يوماً تقويمياً
معالجة الثغرات عالية الخطورة خلال 7 أيام تقويمية خلال شهر واحد
الثغرات المتوسطة / المنخفضة شهر / ثلاثة أشهر المتوسطة والمنخفضة: خلال 3 أشهر
الفحص الكامل لمكافح الفيروسات أسبوعياً كل أسبوعين
الضوابط السحابية لا توجد اختبار اختراق للخدمات السحابية، ومصادقة متعددة العوامل لدى مزوّد السحابة، وتشفير الجلسات، وإدارة مفاتيح التشفير، وجدار تطبيقات وحماية من هجمات الحرمان الموزّع
دورة التطوير الآمن للبرمجيات ليست ضابطاً صريحاً ضابط صريح (TPC-74)
إنهاء خدمة الموظفين إلغاء الصلاحيات إلغاء الصلاحيات واسترجاع العُهد والأصول
تعطيل «تذكّر كلمة المرور» في المتصفح ضابط صريح أُزيل
بطاقات تعريف دائمة بصورة للموظفين ضابط صريح أُزيل

أعِد قراءة سطر الثغرات. بموجب المعيار الحالي أمامك أربعة عشر يوماً لمعالجة ثغرة حرجة، لا ثلاثة أيام. ومع ذلك ما زالت شركات تكتب في سياساتها تعهّداً بالمعالجة خلال ثلاثة أيام — ثم تُخفق في الوفاء بوعدٍ لم يعد المعيار يطلبه منها أصلاً.

ما العمل؟ قبل أن تكتب سياسة واحدة، احصل من الجهة الطالبة في أرامكو أو من شركة التدقيق التي اخترتها على تأكيد خطّي بالمعيار وتاريخ الإصدار الذي سيُجرى تقييمك على أساسه. ونزّل المعيار من موقع أرامكو مباشرةً، لا من ملف أرسله إليك أحد المورّدين بالبريد.

التصنيفات الخمسة — ولماذا لا تختار تصنيفك بنفسك

ينطبق SACS-002 على جميع الأطراف الثالثة المرتبطة بأرامكو باتفاقية تعاقدية. وفوق هذا الأساس تُضاف متطلبات إضافية بحسب أيٍّ من خمسة تصنيفات ينطبق عليك. وهي في الإصدار الحالي:

  1. الاتصال الشبكي (Network Connectivity) — تُمنح بنيتك الحاسوبية اتصالاً بشبكة أرامكو المؤسسية للوصول إلى خدمات الإنترانت، عبر خطوط مستأجرة أو حلول VPN (سواء SSL VPN عبر روابط خاصة أو site-to-site VPN عبر الإنترنت).
  2. البنية التحتية المُدارة (Outsourced Infrastructure) — تدير أو تصون أو تدعم بنية حاسوبية نيابةً عن أرامكو.
  3. معالج البيانات الحرجة (Critical Data Processor) — تطوّر بيانات أرامكو الحرجة أو تصل إليها أو تعالجها. والبيانات الحرجة هي التي يؤدي تسريبها أو فقدانها إلى أثر سلبي عالٍ: ضرر بالسمعة، أو خسارة مالية، أو أثر تشغيلي، أو فقدان معلومات مملوكة أو ميزة تنافسية.
  4. البرمجيات المخصّصة (Customized Software) — تطوّر أو تستضيف برنامجاً أو تطبيقاً أو موقعاً أو حلاً مخصصاً لأرامكو.
  5. خدمة الحوسبة السحابية (Cloud Computing Service) — تقدّم خدمة سحابية عامة تستضيف بيانات أرامكو أو تخزّنها أو تعالجها. ويشمل ذلك صراحةً نماذج SaaS وPaaS وIaaS.

وهنا خطآن شائعان.

قد تقع تحت أكثر من تصنيف. المعيار ينصّ على ذلك صراحةً، وعندها تتراكم الضوابط. فمُكامِل أنظمة لديه اتصال VPN بأرامكو، ويكتب برمجيات مخصصة، ويحتفظ ببيانات حرجة — يحمل المجموعات الثلاث كاملةً.

ولا تُصنّف نفسك بنفسك. يُعتمد التصنيف عبر إجراء أرامكو ذاته: تطلب نموذج تصنيف الطرف الثالث من الإدارة الطالبة داخل أرامكو التي تتعامل معها فعلياً، ثم تستكمل خطاب تأكيد التصنيف. والموردون الذين يقلّلون تصنيفهم بهدوء لتخفيف العمل غالباً ما يُعاد تصنيفهم لاحقاً إلى أعلى — بعد أن يكونوا قد بنوا البرنامج الخاطئ.

وسترى كذلك مقالات وعروضاً تصف SACS-002 بمفردات مثل «القطاع أ/ب/ج/د»، أو «ثماني عائلات ضوابط»، أو ربطه بمعيار IEC 62443. ومعيار أرامكو المنشور لا يستخدم أياً من هذه المفردات. فإذا وصف لك عرضٌ التزاماتِك بلغةٍ لا ترد في المعيار، فاسأل صاحبه: أي وثيقة تقرأ؟

CCC أم +CCC؟ جدول أرامكو نفسه

تصنيفك الشهادة كيف يجري التقييم
المتطلبات العامة (مرحلة التسجيل) · البنية التحتية المُدارة · البرمجيات المخصّصة · الحوسبة السحابية CCC تُجري تقييماً ذاتياً للامتثال لـ SACS-002، وتتحقق منه شركة تدقيق معتمدة عن بُعد.
الاتصال الشبكي · معالج البيانات الحرجة +CCC تُجري شركة التدقيق المعتمدة تقييم امتثال ميدانياً في موقعك.

وثلاث قواعد تتفرّع عن ذلك، منصوص عليها لدى أرامكو:

  • إذا انطبقت عليك CCC و+CCC معاً، فلن تُقبل إلا +CCC. لا يمكنك سلوك الطريق الأسهل.
  • الشركة التي تسجّل للتعامل مع أرامكو تحتاج كحدٍّ أدنى إلى شهادة CCC تغطي المتطلبات العامة.
  • وإذا رُسي عليك لاحقاً عقد يستلزم تصنيفاً لا تغطيه شهادتك الحالية، فأنت بحاجة إلى شهادة جديدة — ومهلة السنتين لا تحميك.

ماذا تطلب المتطلبات العامة الـ23 فعلاً؟

تنطبق هذه على كل طرف ثالث دون استثناء، وهي منظّمة وفق إطار NIST للأمن السيبراني — وهو المرجع الوحيد الذي يستشهد به SACS-002. وإن كنت قد أنجزت عملاً على الضوابط الأساسية للهيئة الوطنية فستألف البنية؛ راجع الدليل الكامل لـ NCA ECC والمطابقة مع NIST CSF و ISO 27001.

الوظيفة الفئة الضوابط بلغة مباشرة
التحديد الحوكمة TPC-1 سياسة استخدام مقبول للأمن السيبراني، مكتوبة ومُبلَّغة.
الحماية التحكم بالوصول TPC-2 – TPC-6 قواعد كلمات المرور (8 خانات فأكثر، سجل آخر 12 كلمة، عمر أقصى 90 يوماً، إقفال الحساب بعد 10 محاولات، قفل الشاشة خلال 15 دقيقة)؛ منع تدوين كلمات المرور أو حفظها بنص واضح؛ مصادقة متعددة العوامل على كل وصول عن بُعد؛ ومصادقة متعددة العوامل على كل الخدمات السحابية بما فيها البريد السحابي؛ وإبلاغ أرامكو عند مغادرة أو نقل أي موظف يحمل صلاحيات أرامكو.
الحماية التوعية والتدريب TPC-7 – TPC-9 تدريب أمني سنوي إلزامي يغطي أمن الإنترنت ووسائل التواصل، والاستخدام المقبول، والتصيّد والهندسة الاجتماعية، ومشاركة بيانات الدخول، وأمن البيانات؛ وحظر معلن لاستخدام البريد الشخصي لبيانات أرامكو؛ وحظر معلن لإفشاء سياسات أرامكو أو بياناتها.
الحماية أمن البيانات TPC-10 – TPC-17 حماية كل الأصول بكلمات مرور؛ وتحديث أنظمة التشغيل والتطبيقات؛ وتحديث مكافح الفيروسات يومياً مع فحص كامل كل أسبوعين؛ وتفعيل SPF على خادم البريد؛ وفرض SPF لنطاقَي aramco.com و aramco.com.sa؛ ونشر سجل SPF في خادم DNS؛ وفحص البريد الوارد من الإنترنت بمضاد للبريد المزعج؛ واستخدام نطاق بريد خاص بالشركة — ويُحظر استخدام Gmail و Hotmail.
الحماية إجراءات حماية المعلومات TPC-18 – TPC-19 إجراءات رسمية لإنهاء الخدمة تشمل استرجاع الأصول وإلغاء الصلاحيات؛ وتطهير الوسائط وفق NIST SP 800-88 عند انتهاء دورة حياة البيانات، شاملاً النسخ الاحتياطية — مع خطاب موقّع إلى أرامكو يشهد بإتمام التطهير.
الحماية التقنيات الوقائية TPC-20 – TPC-22 الحصول على شهادة CCC من شركة تدقيق معتمدة بحسب تصنيفك، وتقديمها عبر منصّة أرامكو الإلكترونية للمشتريات؛ والتجديد كل سنتين؛ وتفعيل جدران الحماية على الأجهزة الطرفية.
الاستجابة التواصل TPC-23 عند اكتشاف حادثة سيبرانية، إبلاغ أرامكو خلال 24 ساعة واتّباع تعليمات الاستجابة الواردة في الملحق (أ).

لاحظ كم من هذا الأساس يتعلق بـالبريد الإلكتروني. أربعة من الضوابط العامة الثلاثة والعشرين (TPC-13 و TPC-14 و TPC-15 و TPC-17) تخصّ نظافة خادم البريد وامتلاك نطاق حقيقي، وخامس (TPC-5) يفرض المصادقة متعددة العوامل على بريدك السحابي. وعدد لا يستهان به من منشآت المنطقة الشرقية الصغيرة والمتوسطة يُخفق في أول تقييم لا بسبب جدران الحماية، بل لأن الشركة ما زالت تعمل ببريد مجاني، أو لأن أحداً لم ينشر سجل SPF قط.

المتطلبات الخاصة الـ69 — خريطتها

تُضاف هذه فوق الأساس بحسب تصنيفك. ويعرضها المعيار على هيئة مصفوفة: كل ضابط سطر، والتصنيفات الخمسة أعمدة، وعلامة تبيّن أي تصنيف ينطبق عليه الضابط. عليك أن تقرأ عمودك أنت — ولهذا تحديداً يكتسب خطاب التصنيف كل هذه الأهمية.

ولن نعيد نشر الأسطر التسعة والستين كاملةً هنا؛ فالمعيار مملوك لأرامكو وهي التي تنشره. المفيد هو الخريطة، لتعرف ما ينتظرك:

الوظيفة الفئة الضوابط أبرز المتطلبات
التحديد إدارة الأصول · الحوكمة · تقييم المخاطر · إدارة المخاطر TPC-24 – TPC-31 سياسة تصنيف المعلومات؛ سياسات ومعايير سيبرانية موثّقة؛ موظف مهمته الأساسية هي الأمن السيبراني؛ اختبار اختراق خارجي سنوي للبنية التحتية والتطبيقات المتاحة على الإنترنت؛ واختبار اختراق سنوي للخدمات السحابية التي تستخدمها أرامكو؛ واختبار سنوي لأي موقع تستضيفه لأرامكو؛ ومركز بيانات معتمد من جهة معترف بها؛ وعملية دورية لتقييم المخاطر.
الحماية التحكم بالوصول TPC-32 – TPC-49 حسابات فردية ومنع الحسابات العامة (إلا باعتماد صريح)؛ مراجعة صلاحيات المستخدمين نصف سنوياً؛ وتقييد الحسابات المميزة وتبريرها؛ ومنع الإدارة عن بُعد من الإنترنت إلا باعتماد؛ ومصادقة متعددة العوامل على الحسابات المميزة؛ وفصل بيانات أرامكو المخزّنة منطقياً أو مادياً عن بيانات عملائك الآخرين؛ وتجزئة الشبكة؛ ووضع الخوادم المكشوفة في منطقة DMZ؛ وتشفير الشبكات اللاسلكية بـ WPA2؛ وتصنيف مركز البيانات (Tier) وتوفّر تجاوز الفشل وفق ما تحدده أرامكو؛ ومصادقة متعددة العوامل للوصول إلى مزوّد السحابة وأنظمة إدارة المحتوى لديه؛ وغرف اتصالات وخزائن مقفلة؛ وإدارة الزوار ومرافقتهم؛ ومنطقة عمل مقيّدة الدخول للعاملين على شبكة أرامكو.
الحماية أمن البيانات TPC-50 – TPC-62 تأمين وسائط النسخ الاحتياطي مادياً؛ وأنظمة مرخّصة ومدعومة من المزوّد؛ وتشفير البيانات أثناء النقل (SSH/FTPS/HTTPS/TLS/IPSEC)؛ وجلسات مشفّرة وموثّقة ومنتهية بالمهلة نحو السحابة العامة؛ وتشفير AES-256 للبيانات المخزّنة الحساسة؛ وإدارة مفاتيح التشفير معرّفة ومراجَعة؛ والتحكم بالأجهزة (كتعطيل وسائط التخزين الخارجية)؛ وتصفية المحتوى؛ وتشفير مستندات البيانات الحرجة؛ والمسح عن بُعد للأجهزة المحمولة؛ والتحقق من صحة المدخلات؛ ورسائل خطأ لا تكشف تفاصيل تقنية؛ ومنع كلمات المرور بنص واضح.
الحماية إجراءات حماية المعلومات TPC-63 – TPC-74 إعدادات تحصين معيارية (تغيير كلمات المرور الافتراضية، وتعطيل البرامج والخدمات غير اللازمة، وإزالة صلاحيات المدير المحلي)؛ ونسخ احتياطي منتظم؛ ونسخ خارج الموقع مشفّرة بـ AES-256؛ وتطهير الأصول وفق NIST 800-88 قبل نقلها أو إتلافها؛ وخطة تعافٍ من الكوارث؛ وخطة استمرارية أعمال تغطي تسعة سيناريوهات محدّدة من عطل المعدات إلى الكوارث البيئية؛ وتحديد ملّاك الخطة ومراجعتها سنوياً؛ وتمارين استمرارية سنوية على الأقل؛ وإجراءات تعيين تشمل التحقق من الخلفية المهنية؛ وفحص الشيفرة المصدرية والثغرات في التطبيقات المطوّرة وإغلاقها قبل النشر؛ وضبط التغييرات عبر بيئة اختبار؛ ودورة تطوير آمنة للبرمجيات.
الحماية التقنيات الوقائية TPC-75 – TPC-79 الاحتفاظ بسجلات التدقيق لمدة سنة كاملة؛ وجدران حماية محيطية تسمح بالخدمات الضرورية فقط؛ وأنظمة كشف/منع التسلل IDS أو IPS على المحيط؛ وتحديث تواقيعها؛ وجدار حماية تطبيقات الويب (WAF) لأي موقع أو تطبيق أو تطبيق سحابي تستضيفه لأرامكو.
الكشف الشذوذ والأحداث · المراقبة المستمرة TPC-80 – TPC-87 مراقبة الوصول والنشاط غير المصرّح به؛ وتجميع السجلات وربطها مركزياً من جدران الحماية وأنظمة كشف التسلل ومكافح الفيروسات (عملياً: نظام SIEM — راجع دليل بناء مركز عمليات الأمن)؛ وأمن مادي ببطاقات دخول وكاميرات؛ وتسجيل نشاط الحسابات المميزة ومراقبته؛ ومنع الأجهزة الشخصية من الوصول إلى الأصول؛ وفحص الثغرات شهرياً؛ ومراجعة الدخول المادي دورياً؛ وتسجيل الأحداث القابلة للتدقيق وفق الملحق (ج).
الاستجابة التواصل · التحليل · المعالجة TPC-88 – TPC-92 سياسة وخطة موثّقة لإدارة الحوادث؛ وقدرة استجابة فعلية (تحضير، كشف وتحليل، احتواء، استئصال، تعافٍ، حفظ الأدلة، دروس مستفادة)؛ وتتبّع كل حادثة وتصنيفها وتوثيقها؛ ومعالجة الثغرات ضمن المهل المحددة؛ وحماية من هجمات الحرمان الموزّع (DDoS) لأي موقع أو خدمة سحابية تقدّمها لأرامكو.

رزنامة الامتثال لـ SACS-002

إذا نزعت النثر، فإن SACS-002 من الناحية التشغيلية مجموعة ساعات موقوتة. تُخطئ ساعةً فتصبح غير ممتثل مهما كان جدار حمايتك ممتازاً. وهذا هو الجدول الذي نعلّقه على الحائط:

المهلة المطلوب الضابط
24 ساعة إبلاغ أرامكو بعد اكتشاف حادثة سيبرانية — ثم تقرير محدَّث كل 24 ساعة حتى إغلاقها TPC-23 + الملحقان أ/ب
14 يوماً تقويمياً معالجة الثغرات الحرجة (من إصدار الترقيع، أو إشعار أرامكو، أو اكتشاف الاختراق — أيّها أسبق) TPC-91
شهر واحد معالجة الثغرات عالية الخطورة TPC-91
3 أشهر معالجة الثغرات المتوسطة والمنخفضة TPC-91
يومياً / كل أسبوعين تحديث تواقيع مكافح الفيروسات / الفحص الكامل للنظام TPC-12
شهرياً فحص الثغرات للإعدادات والترقيعات والخدمات TPC-85
كل 90 يوماً الحد الأقصى لعمر كلمة المرور TPC-2
نصف سنوياً مراجعة صلاحيات المستخدمين على الأنظمة والتطبيقات وقواعد البيانات TPC-33
سنوياً اختبار اختراق خارجي؛ تدريب توعوي؛ مراجعة خطة الاستمرارية؛ تمرين استمرارية TPC-27/28/29 و TPC-7 و TPC-69 و TPC-70
سنة كاملة الحد الأدنى للاحتفاظ بسجلات التدقيق للأنظمة التي تمسّ بيانات أرامكو TPC-75
سنتان تجديد شهادة CCC TPC-21

كيف تجري عملية الاعتماد فعلياً

مختصرة من دليل الطرف الثالث لشهادة CCC ومن صفحة البرنامج الحالية لدى أرامكو:

  1. التحضير. موردو مرحلة التسجيل يمتثلون للمتطلبات العامة. أما المتعاقدون فيحصلون على نموذج تصنيف الطرف الثالث معبّأً من كل إدارة طالبة في أرامكو يتعاملون معها، ويستكملون خطاب تأكيد التصنيف. ثم يطبّقون كل ضابط منطبق.
  2. التقييم الذاتي (لمسار CCC فقط). استكمال تقرير امتثال الطرف الثالث كاملاً. أما مرشحو +CCC فيتخطّون هذه الخطوة إلى التقييم الميداني.
  3. اختيار شركة تدقيق معتمدة من قائمة أرامكو المنشورة عبر بوابة CCC، والتعاقد معها.
  4. التحقق والإصدار. في مسار CCC تتحقق الشركة من ملفك عن بُعد؛ وفي +CCC تأتي إلى موقعك. فإذا كنت ممتثلاً 100% صدرت الشهادة. وإن لم تكن، تعيد إليك الشركة قائمة الضوابط غير الممتثلة، فتعالجها وتعيد التقديم.
  5. التقديم. أرسل الشهادة الصادرة وتقرير الامتثال إلى أرامكو عبر منصّة المشتريات الإلكترونية.
  6. التجديد قبل انقضاء السنتين — مع الحصول على شهادة جديدة فوراً إذا أدخلك عقد جديد في تصنيف لا تغطيه شهادتك.

وفي مسألة الأدلة تتشدّد أرامكو تشدّداً لافتاً، وهنا تسقط أغلب التقييمات الذاتية. يجب أن تكون إجاباتك شاملة وموصوفة بوضوح، وأن تكون الأدلة مقروءة، ومختومة بالوقت، وأن تُظهر ارتباطها بشركتك، وأن يكون الجزء المطلوب مُبرَزاً أو مؤشَّراً عليه داخل لقطة الشاشة. لقطة شاشة لصفحة إعدادات بلا تاريخ ولا تعليق ليست دليلاً. ابنِ ملف الأدلة أثناء التطبيق، لا في الأسبوع الذي يسبق التدقيق.

من يستطيع اعتمادك؟

تنشر أرامكو قائمة شركات التدقيق المعتمدة، وهذه القائمة تتغيّر — فالأدلة القديمة التي تقول «ثماني شركات» صارت متجاوَزة. وحين راجعنا صفحة البرنامج آخر مرة كانت تدرج أربع عشرة شركة، منها Baker Tilly و BDO و Crowe و Cyberani و Deloitte و شركة الدفاع السيبراني و Grant Thornton و KPMG و RSM و «سرار من stc» و Managed Services و Trusted Partners و Seven Technologies و Cipher. خذ القائمة الحالية دائماً من صفحة برنامج CCC لدى أرامكو لا من مقال — بما في ذلك هذا المقال.

هل SACS-210 حقيقي؟ ما تحققنا منه وما عجزنا عنه

هذا هو السؤال الذي تُطارَد به منشآت المنطقة الشرقية هاتفياً في 2026، فلنكن دقيقين في التمييز بين المُثبت وغير المُثبت.

ما تنشره عدة جهات استشارية سعودية: أن معياراً خَلَفاً باسم SACS-210 صدر نحو فبراير 2026؛ وأنه يحمل أساساً أوسع يقارب 33 ضابطاً عاماً؛ وأنه يشدّد على أمن التقنية التشغيلية والصمود أمام برامج الفدية؛ وأن شهادات SACS-002 القائمة تبقى سارية حتى انتهائها؛ وأن فترة انتقالية تمتد حتى نحو 26 أغسطس 2026.

وما استطعنا التحقق منه باستقلالية: لا شيء مما سبق من وثيقة صادرة عن أرامكو. راجعنا المعيار الذي توزّعه أرامكو نفسها — وهو SACS-002، إصدار فبراير 2022 — وراجعنا صفحة برنامج CCC العامة. وفي أحدث نسخة أمكننا الاطلاع عليها من تلك الصفحة، كانت تشير إلى SACS-002 حصراً، وتصف CCC و+CCC بأنهما تقييمان «مقابل SACS-002»، وتعرض ملف SACS-002 للتنزيل. لم نعثر على وثيقة SACS-210 صادرة عن أرامكو، ولا على إعلان منها، ولا على صفحة تذكره. كما أن المقالات الاستشارية التي تجزم بموعد أغسطس 2026 لا تستشهد هي الأخرى بمصدر من أرامكو.

كيف نحمل الحقيقتين معاً؟ هذا لا يثبت أن SACS-210 وهم. فثمة تفسير وجيه تماماً: المعيار مصنّف «سرّي» تجاه الأطراف الثالثة، وينصّ هو نفسه على أن التحديثات تُبلَّغ إلى الطرف الثالث مباشرةً، سنوياً أو عند تغيّر متطلب جوهري. فقد يُدفع إصدار جديد إلى الموردين المسجّلين عبر بوابة CCC ومنصّة المشتريات قبل أي تحديث علني — أو بدلاً منه. وقد سبق لأرامكو أن نقّحت هذا المعيار (2020 ← 2022) دون ضجيج.

لذا افعل هذا، ولا تفعل ذاك:

  • افعل: اطلب من الجهة الطالبة في أرامكو، أو من شركة تدقيق معتمدة، تأكيداً خطياً بالمعيار وتاريخ الإصدار الذي سيُجرى عليه تقييمك القادم. هم المرجع؛ لا المقالات، ولا نحن.
  • افعل: ادخل بوابة CCC واقرأ ما أرسلته إليك أرامكو فعلاً.
  • لا تفعل: لا تشترِ «تحليل فجوات لـ SACS-210» بسعر مبني على مقال لا تستطيع ردّه إلى وثيقة من أرامكو.
  • افعل: طبّق الضوابط على أي حال. فكل ما في أساس SACS-002 تقريباً — المصادقة متعددة العوامل، وانضباط الترقيع، والسجلات، والنسخ الاحتياطي، والاستجابة للحوادث، ونطاق بريد حقيقي — موجود في كل معيار خَلَف، وفي كل أطر الهيئة الوطنية، وفي استبيان الموردين لدى أي عميل جادّ. هذا العمل لا يضيع أبداً، أياً كان الرقم المكتوب على الغلاف.

وسنحدّث هذا المقال متى نشرت أرامكو ما يمكننا الإشارة إليه. وإن كنت قد تلقّيت مراسلة رسمية من أرامكو بشأن SACS-210، فيسعدنا صادقين أن نطّلع عليها.

ما ليس عليه SACS-002

  • ليس ISO 27001. شهادة الأيزو لا تمنحك CCC، وإن كان عمل نظام الإدارة متداخلاً معها بشدة ويجعل ملف الأدلة أيسر بكثير.
  • وليس إطاراً من أطر الهيئة الوطنية. فـ SACS-002 متطلب تعاقدي لعميل، بينما ضوابط الهيئة الوطنية تنظيم وطني. وقد ينطبق الاثنان معاً. فإذا كنت تخدم أرامكو وتشغّل أنظمة حساسة فغالباً تقع في نطاق ضوابط الأنظمة الحساسة CSCC، وإن كنت تمسّ أنظمة التحكم الصناعي فأنت في نطاق ضوابط التقنية التشغيلية OTCC. ابنِ مجموعة ضوابط واحدة وطابقها على الاثنين — ولا تُدِر برنامجين.
  • وليس مشروعاً لمرة واحدة. إنه شهادة لسنتين ملفوفة حول التزامات شهرية ونصف سنوية وسنوية. والشركات التي تعامله كتمرين توثيقي تسقط في التجديد.

أين تُخفق منشآت المنطقة الشرقية فعلاً؟

بحكم ما نراه في الدمام والخبر والظهران والجبيل، تتكرر الإخفاقات بشكل ممل، ونادراً ما تكون معقّدة:

  • الشركة تعمل بنطاق بريد مجاني، أو بنطاق بلا سجل SPF — إخفاق فوري أمام TPC-13 حتى TPC-17، وهو أرخص ضابط في القائمة كلها إصلاحاً.
  • لا مصادقة متعددة العوامل على الوصول عن بُعد أو على البريد السحابي (TPC-4 و TPC-5) — وهو ثاني أرخصها.
  • سجلات محفوظة 30 يوماً، لأن ذلك هو الإعداد الافتراضي للجهاز. والمعيار يطلب سنة كاملة (TPC-75).
  • تقديم جدار الحماية على أنه يفي بمتطلب IDS/IPS (TPC-77). وهما ليسا الضابط ذاته.
  • نسخ احتياطية موجودة لكنها غير مشفّرة خارج الموقع (TPC-65)، ولم يُجرَ تمرين استمرارية قط (TPC-70).
  • لا مالك مسمّى للأمن السيبراني (TPC-26) — وعبارة «موظف تقنية المعلومات يتولى الأمن أيضاً» لا تصمد أمام تقييم ميداني.
  • ملف الأدلة يُجمع على عجل: لقطات بلا تواريخ، ولا إبراز، ولا ما يربطها بالشركة.
  • ومسألة مقاولي الباطن تُتجاهل حتى يسأل عنها المدقق.

ولا شيء من ذلك يستلزم ميزانية ضخمة. يستلزم فقط من يتولّاه.

أسئلة شائعة

هل معيار SACS-002 علني؟ تنشر أرامكو الملف على صفحات موارد الموردين، رغم أن الوثيقة نفسها مصنّفة سرّية تجاه الأطراف الثالثة. نزّله من أرامكو مباشرةً لتضمن أن بين يديك الإصدار الحالي.

كم تكلفة شهادة CCC؟ أرامكو لا تحدد السعر — أنت تتعاقد مباشرةً مع شركة تدقيق معتمدة، وتتفاوت الأتعاب بحسب تصنيفك ونطاقك وعدد مواقعك. و+CCC أغلى من CCC لأنها تتضمن تقييماً ميدانياً. اطلب أكثر من عرض من القائمة المنشورة.

كم تستغرق؟ التقييم ليس الجزء الطويل، بل المعالجة. وبالنسبة لمورّد يبدأ من الصفر، فإن ما يحكم الجدول الزمني عادةً هو اختبار الاختراق السنوي وملف الأدلة، لا مواعيد شركة التدقيق.

هل أستطيع الحصول على CCC قبل أن يكون لديّ عقد مع أرامكو؟ نعم — وغالباً أنت مضطر لذلك. فالموردون في مرحلة التسجيل يُتوقع منهم حمل شهادة CCC تغطي المتطلبات العامة.

هل أحتاج CCC أم +CCC؟ +CCC إذا صنّفتك أرامكو ضمن الاتصال الشبكي أو معالج البيانات الحرجة. وCCC فيما عدا ذلك. وإذا انطبق الاثنان، فلا تُقبل إلا +CCC.

ماذا لو أخفقت في بعض الضوابط؟ لا توجد درجات جزئية. تُبلّغك شركة التدقيق بالضوابط غير الممتثلة، فتعالجها وتعيد التقديم. وتصدر الشهادة عند الامتثال 100% للضوابط المنطبقة عليك.

شهادتي سارية لكنني فزت بعقد من نوع مختلف. هل أنا مغطّى؟ غالباً لا. فإذا جلب العقد الجديد تصنيفاً لا تغطيه شهادتك الحالية، تطلب أرامكو شهادة جديدة — بصرف النظر عن المدة المتبقية.

هل تغطي شهادتي مقاولي الباطن لديّ؟ شهادتك تغطي شركتك. وإذا كان مقاولو الباطن يمسّون بيانات أرامكو أو أنظمتها ضمن عقدك، فالالتزامات تنسحب إليهم، وتوقّع أن يُطلب منك إثبات ذلك.

هل يحلّ SACS-210 محلّ SACS-002؟ ربما — لكننا لم نستطع التحقق من ذلك عبر أي وثيقة منشورة من أرامكو، وصفحات CCC لديها كانت لا تزال تشير إلى SACS-002 (فبراير 2022) حين راجعناها. اطلب من الجهة الطالبة في أرامكو أو من شركة تدقيق معتمدة تأكيد المعيار وتاريخ الإصدار خطياً قبل أن تنفق عليه.

إلى أين بعد ذلك؟

إن خرجت بشيء واحد من هذا المقال فليكن: أكّد تاريخ الإصدار، وأكّد تصنيفك، ثم ابنِ ملف الأدلة أثناء التطبيق. وما عدا ذلك تفاصيل.

عرضان عمليان، ثم نفسح لك الطريق.

ضوابط البريد (من TPC-13 إلى TPC-17، ومعها TPC-5) هي أسرع النقاط كسباً، وهي في الوقت ذاته ما يُقصي صغار الموردين بصمت: نطاق شركة حقيقي بدل البريد المجاني، وسجل SPF منشور في DNS، وفحص للبريد الوارد، ومصادقة متعددة العوامل على صندوق البريد. فإن كنت متعثراً هنا، فإن سكاي لاين كلاود توفّر لك بريد أعمال واستضافة على نطاقك الخاص مع استضافة البيانات داخل المملكة، ودعم SPF/DKIM/DMARC، ودخول بمصادقة متعددة العوامل — ويمكنك بدء تجربة مجانية 14 يوماً دون بطاقة ائتمانية وإغلاق هذه العائلة من الضوابط خلال أسبوع.

أما البقية — التصنيف، وتحليل الفجوات مقابل الإصدار الصحيح من المعيار، وملفات الأدلة، واختبارات الاختراق، والسجلات وأنظمة SIEM، وأدلة الاستجابة للحوادث، والجاهزية لتقييم +CCC الميداني — فهذا ما تقوم به ممارستنا في الأمن السيبراني للأطراف الثالثة لدى أرامكو، من الدمام، لموردي المنطقة الشرقية. وسنخبرك بصدق بما تستوفيه أصلاً. ونعيدها لأنها تهمّ: لا يصدر شهادتك إلا شركة تدقيق معتمدة. ومهمتنا أن نضمن ألّا يجد المدقق حين ينظر ما يُدوّنه عليك.


المصادر

آخر تحقّق من مواد أرامكو المنشورة: يوليو 2026. المعايير تتغيّر، والمرجع دائماً هو الملف المنشور على موقع أرامكو، لا هذه الصفحة.

SKYLINE Engineering

@skyline

The engineering team at SKYLINE Industrial Solutions. We publish field-tested guides drawn from real KSA and GCC deployments.

See author profile
SKYLINE engineering services

Need this implemented for you?

Reading is free — building it right takes a team. SKYLINE engineers ship SACS-210 Aramco for Aramco vendors, banks, hospitals and government agencies across Saudi Arabia. Talk to us before you start.

Aramco Approved Contractor ISO 9001 · ISO 27001 SAMA CSF aligned NCA ECC ready 247+ KSA clients

Comments

0 total · 0 threads
Be the first to leave a comment.