National and International Cybersecurity Standards and Controls PDF

Summary

This document presents a detailed overview of national and international cybersecurity standards and controls. It covers topics such as introductions, cybersecurity frameworks, and compliance standards.

Full Transcript

National and International Cybersecurity Standards and
Controls

‫معايير وضوابط األمن السيبراني‬
‫الوطنية والدولية‬
1
 Cybersecurity Standards and Controls
‫معايير وضوابط األمن السيبراني‬

Introduction
‫مقدمة‬
A cybersecurity standard is a set of guidelines or
‫معي ار األمن الس يبراني ه و مجموع ة من‬
best practices that organizations can use to improve
‫اإلرش ادات أو أفض ل الممارس ات ال تي يمكن‬
their cybersecurity posture.
‫للمؤسس ات اس تخدامها لتحس ين وض ع األمن‬
Organizations can use cybersecurity standards to.‫السيبراني لديها‬
help them identify and implement appropriate
‫يمكن للمؤسس ات اس تخدام مع ايير األمن‬
measures to protect their systems and data from
‫السيبراني لمساعدتها على تحديد وتنفيذ التدابير‬
cyber threats. Standards can also provide guidance
‫المناس بة لحماي ة أنظمته ا وبياناته ا من التهدي دات‬
on how to respond to and recover from
‫ يمكن أن ت وفر المع ايير أيًض ا‬.‫الس يبرانية‬
cybersecurity incidents.
‫إرش ادات ح ول كيفي ة االس تجابة لح وادث األمن‬.‫السيبراني والتعافي منها‬

2
 Cybersecurity Standards and Controls
‫معايير وضوابط األمن السيبراني‬

Cybersecurity frameworks are generally applicable
‫تنطب ق أط ر األمن الس يبراني عموًم ا على جمي ع‬
to all organizations, regardless of their size,
‫ بغض النظ ر عن حجمه ا أو ص ناعتها‬،‫المؤسس ات‬
industry, or sector..‫أو قطاعها‬
Common cybersecurity compliance standards and
controls form a strong basis for any cybersecurity ‫مع ايير االمتث ال والض وابط المش تركة لألمن‬
strategy. ‫الس يبراني تش كل أساًس ا قوًي ا ألي اس تراتيجية‬
In this lecture, we will discuss some of the most.‫لألمن السيبراني‬
important international controls and standards for ‫سنتناول في ه ذه المحاض رة بعض أهم الض وابط‬
cybersecurity. We will also discuss the Essential ‫والمع ايير الدولي ة لألمن الس يبراني كم ا س نتناول‬
Cybersecurity Controls (ECC) issued by the
‫الض وابط األساس ية لألمن الس يبراني الص ادرة‬
National Cybersecurity Authority..‫عن الهيئة الوطنية لألمن السيبراني‬

3
 HIPAA (Health Insurance Portability and Accountability Act)

)HIPAA( ‫قانون قابلية نقل التأمين الصحي والمساءلة‬

The Health Insurance Portability and ‫قانون قابلية نقل التأمين الصحي والمساءلة‬
Accountability Act (HIPAA), is a federal law that
‫ ه و ق انون اتح ادي تم س نه في‬،)HIPAA(
was enacted in 1996. It aims to make it easier for
‫ ويه دف إلى تس هيل احتف اظ‬.1996 ‫ع ام‬
people to keep their health insurance when they
‫األش خاص بت أمينهم الص حي عن د تغي ير‬
change jobs, to protect the confidentiality and
security of health care information, and to help the
‫ وذل ك لحماي ة س رية وأمن‬،‫وظ ائفهم‬
health care industry control its administrative costs. ‫ ولمس اعدة‬.‫معلوم ات الرعاي ة الص حية‬
Of the Act’s five titles, Title II concerns health care
‫ص ناعة الرعاي ة الص حية على التحكم في‬
information security..‫تكاليفها اإلدارية‬
‫ يتعل ق‬،‫من بين األب واب الخمس ة للق انون‬.‫الباب الثاني بأمن معلومات الرعاية الصحية‬

4
 HIPAA (Health Insurance Portability and Accountability Act)

)HIPAA( ‫قانون قابلية نقل التأمين الصحي والمساءلة‬

Title II: Administrative Simplification ‫ التبسيط اإلداري‬:‫الباب الثاني‬
Title II of HIPAA contains Administrative ‫ على‬HIPAA ‫يحت وي الب اب الث اني من ق انون‬
Simplification (AS) provisions that require the ‫) ال تي تتطلب‬AS( ‫أحك ام التبس يط اإلداري‬
Department of Health and Human Services (HHS) ‫من وزارة الص حة والخ دمات اإلنس انية‬
to address the security of health care information. ‫) معالج ة أمن معلوم ات الرعاي ة‬HHS(
It mandates the establishment of national standards.‫الصحية‬
for electronic health care transactions and national ‫وينص على وض ع مع ايير وطني ة لمع امالت‬
identifiers for providers, health insurance plans and ‫الرعاي ة الص حية اإللكتروني ة والمعرف ات‬
employers, and addresses the security of health care ‫الوطني ة لمق دمي الخ دمات وخط ط الت أمين‬
data. ‫ ويع الج أمن بيان ات‬،‫الص حي وأص حاب العم ل‬.‫الرعاية الصحية‬

5
 HIPAA (Health Insurance Portability and Accountability Act)

)HIPAA( ‫قانون قابلية نقل التأمين الصحي والمساءلة‬

The Privacy Rule ‫قاعدة الخصوصية‬

The HIPAA Privacy Rule regulates the use and disclosure of ‫ اس تخدام المعلوم ات الص حية‬HIPAA ‫تنظم قاع دة خصوص ية‬
Protected Health Information (PHI) held by covered entities, ‫) ال تي تحتف ظ به ا الكيان ات المش مولة والكش ف‬PHI( ‫المحمي ة‬
‫ وتحمي حقوق األفراد في فهم كيفية استخدام معلوماتهم‬،‫عنها‬
and protects individuals’ rights to understand and control.‫الصحية والتحكم فيها‬
how their health information is used.
‫ بم ا في ذل ك البيان ات‬،‫ على أنه ا معلوم ات‬PHI‫يتم تع ريف‬
PHI is defined as information, including demographic data,
‫ يمكن‬.‫ التي يمكن استخدامها لتحديد هوية الفرد‬،‫الديموغرافية‬
that can be used to identify an individual. It can exist in any ‫أن توج د في أي وس يلة ويمكن أن تتعل ق بالحال ة الص حية‬
medium and can relate to an individual’s past, present, or ‫الجس دية أو العقلي ة للف رد في الماض ي أو الحاض ر أو‬
future physical or mental health condition, to the provision of ‫ أو بالم دفوعات‬،‫ أو بتوف ير الرعاي ة الص حية للف رد‬،‫المس تقبل‬
health care to the individual, or to past, present or future ‫الماضية أو الحالية أو المستقبلية مقابل توفير الرعاية الصحية‬
payment for the provision of health care to the individual. ‫) معرف ات‬PHI(‫ تتض من المعلوم ات الص حية المحمي ة‬.‫للف رد‬
PHI includes common identifiers such as an individual’s ‫ش ائعة مث ل اس م الف رد أو عنوان ه أو ت اريخ ميالده أو رقم‬
name, address, date of birth, or Social Security Number..‫الضمان االجتماعي‬

6
 HIPAA (Health Insurance Portability and Accountability Act)

)HIPAA( ‫قانون قابلية نقل التأمين الصحي والمساءلة‬

The Privacy Rule ‫قاعدة الخصوصية‬

Covered entities must not use or disclose PHI except: ‫يجب على الكيان ات المش مولة ع دم اس تخدام المعلوم ات‬
If the Privacy Rule permits or requires it. :‫الصحية المحمية أو الكشف عنها باستثناء‬
If an individual (or their representative) authorizes the.‫ إذا كانت قاعدة الخصوصية تسمح بذلك أو تتطلب ذلك‬
disclosure of their information in writing..‫ إذا سمح الفرد (أو ممثله) بالكشف عن معلوماته كتابًيا‬
Covered entities must disclose PHI in only two situations: ‫يجب على الكيان ات المش مولة الكش ف عن المعلوم ات‬
To individuals (or their representatives) when they request :‫الصحية المحمية في حالتين فقط‬
access to their PHI.
‫ لألف راد (أو ممثليهم) عن دما يطلب ون الوص ول إلى‬
To HHS when it is undertaking a compliance investigation.)PHI(‫معلوماتهم الصحية المحمية‬
or review or enforcement action.
‫ عن دما تق وم ب إجراء تحقي ق في االمتث ال أو‬HHS ‫ إلى‬.‫المراجعة أو اإلنفاذ‬

7
 HIPAA (Health Insurance Portability and Accountability Act)

)HIPAA( ‫قانون قابلية نقل التأمين الصحي والمساءلة‬

The Privacy Rule ‫قاعدة الخصوصية‬

Covered entities are permitted but not required to use and ‫ ولكن ليس مطلوًب ا‬،‫ُيس مح للكيان ات المش مولة‬
disclose PHI without an individual’s authorization: ‫ اس تخدام المعلوم ات الص حية المحمي ة‬،‫منه ا‬
To the individual who is the subject of the information. :‫والكشف عنها دون تصريح من الفرد‬
For their own treatment, payment and health care.‫ إلى الفرد الذي هو موضوع المعلومات‬
operations activities. ‫ ألنش طة عملي ات العالج وال دفع والرعاي ة الص حية‬.‫الخاصة بهم‬
When informal permission has been obtained by asking
the individual outright.
‫ عن دما يتم الحص ول على إذن غ ير رس مي عن‬.‫طريق سؤال الفرد بشكل مباشر‬
As a result of, or "as incident to" an otherwise permitted
‫ نتيج ة أو "كحادث ة" الس تخدام أو إفش اء مس موح‬
use or disclosure (as long as the covered entity has
‫ب ه بطريق ة أخ رى (طالم ا أن الكي ان المغطى ق د‬
adopted reasonable safeguards and the information shared
‫اعتم د ض مانات معقول ة والمعلوم ات المش تركة‬
is limited to the "minimum necessary")..)"‫تقتصر على "الحد األدنى الضروري‬

8
 HIPAA (Health Insurance Portability and Accountability Act)

)HIPAA( ‫قانون قابلية نقل التأمين الصحي والمساءلة‬

The Privacy Rule ‫قاعدة الخصوصية‬

For 12 national priority purposes. Specific conditions or ‫ تنطبق شروط أو قيود محددة‬.‫ غرًض ا وطنًيا ذا أولوية‬12 ‫ لـ‬
limitations apply to each public interest purpose..‫على كل غرض من أغراض المصلحة العامة‬
As part of a limited data set (i.e. when certain specified ‫ كج زء من مجموع ة بيان ات مح دودة (أي عن د إزال ة بعض‬
direct identifiers have been removed) for research, health ‫المعرف ات المباش رة المح ددة) ألغ راض البحث وعملي ات‬
care operations and public health purposes. ‫الرعاية الصحية وأغراض الصحة العام‬
There are no restrictions on the use or disclosure of ‫ال توج د قي ود على اس تخدام أو الكش ف عن المعلوم ات ال تي ال‬
information that cannot be used to identify an individual..‫يمكن استخدامها لتحديد هوية الفرد‬
Among many other obligations, covered entities must keep ‫ يجب على الكيان ات‬،‫ومن بين العدي د من االلتزام ات األخ رى‬
track of PHI disclosures, must document privacy policies and ‫المش مولة تتب ع عملي ات الكش ف عن المعلوم ات الص حية‬
procedures, must appoint a Privacy Official, and must train ،‫ ويجب عليه ا توثي ق سياس ات وإج راءات الخصوص ية‬،‫المحمي ة‬
all members of staff in relevant procedures. ‫ ويجب عليه ا ت دريب‬،‫ويجب عليه ا تع يين مس ؤول خصوص ية‬.‫جميع الموظفين على اإلجراءات ذات الصلة‬

9
 HIPAA (Health Insurance Portability and Accountability Act)

)HIPAA( ‫قانون قابلية نقل التأمين الصحي والمساءلة‬

The Security Rule ‫قاعدة األمان‬

The HIPAA Security Rule complements the Privacy Rule ‫ قاع دة الخصوص ية وتتعام ل‬HIPAA ‫تكم ل قاع دة أم ان‬
and deals specifically with Electronic Protected Health ‫بش كل خ اص م ع المعلوم ات الص حية اإللكتروني ة‬
Information (EPHI). It states that covered entities must: ‫) وينص على أن ه يجب على الكيان ات‬EPHI(‫المحمي ة‬
Ensure the confidentiality, integrity, and availability of all :‫المشمولة‬
EPHI they create, receive, maintain, or transmit. ‫ التي يقومون‬EPHI ‫ تأكد من سرية وسالمة وتوافر جميع‬
Identify and protect against reasonably anticipated threats.‫بإنشائها أو تلقيها أو الحفاظ عليها أو نقلها‬
to the security or integrity of the information.
‫ تحدي د والحماي ة من التهدي دات المتوقع ة بش كل معق ول‬
Protect against reasonably anticipated, impermissible uses.‫ألمن أو سالمة المعلومات‬
or disclosures.
‫ الحماي ة من االس تخدامات أو اإلفص احات المتوقع ة وغ ير‬
Ensure compliance by their workforce..‫المسموح بها بشكل معقول‬.‫ ضمان االمتثال من قبل القوى العاملة لديهم‬

10
 HIPAA (Health Insurance Portability and Accountability Act)

)HIPAA( ‫قانون قابلية نقل التأمين الصحي والمساءلة‬

The Security Rule ‫قاعدة األمان‬

The Security Rule identifies certain administrative, physical ‫تحدد قاعدة األمان بعض الضمانات األمنية اإلدارية‬
and technical security safeguards that need to be ‫والمادي ة والفني ة ال تي يجب تنفي ذها من قب ل‬
implemented by covered entities to protect EPHI and ‫ وتح دد المع ايير‬EPHI ‫الكيان ات المش مولة لحماي ة‬
establishes the standards that should be used to address these.‫التي ينبغي استخدامها لمعالجة هذه الضمانات‬
safeguards.
‫ تح دد أس ماء القاع دة المواص فات‬،‫لك ل معي ار‬
For each Standard, the Rule names required specifications
(which must be implemented) and addressable specifications
‫المطلوبة (التي يجب تنفيذها) والمواصفات القابلة‬
(which are more flexible). The covered entity’s choice of ‫ يجب توثي ق‬.)‫للعنون ة (وال تي تك ون أك ثر مرون ة‬
addressable specifications must be documented, and should ،‫اختيار الكيان المغطى للمواصفات القابلة للعنونة‬
be regularly reviewed and modified according to changes in ‫ويجب مراجعته ا وتع ديلها بانتظ ام وفًق ا للتغ يرات‬
security effectiveness as determined by risk analysis. ‫في فعالي ة األم ان على النح و ال ذي يح دده تحلي ل‬.‫المخاطر‬

11
 HIPAA (Health Insurance Portability and Accountability Act)

)HIPAA( ‫قانون قابلية نقل التأمين الصحي والمساءلة‬

The Enforcement Rule ‫قاعدة التنفيذ‬
The HIPAA Enforcement Rule establishes procedures for ‫ إج راءات االمتث ال‬HIPAA‫تح دد قاع دة إنف اذ ق انون‬
compliance and investigations and sets civil money penalties
for violations of the HIPAA AS Rules. HHS’s Office for
‫والتحقيق ات وتض ع عقوب ات مالي ة مدني ة على‬
Civil Rights (OCR) is responsible for enforcing the Privacy ‫ يتولى مكتب الحقوق‬.HIPAA AS ‫انتهاكات قواعد‬
and Security Rules. All health care organizations impacted ‫) الت ابع ل وزارة الص حة والخ دمات‬OCR( ‫المدني ة‬
by HIPAA are required to comply with the standards within ‫) مس ؤولية تط بيق قواع د‬HHS( ‫اإلنس انية‬
two years of adoption.
‫ يتعين على جمي ع مؤسس ات‬.‫الخصوص ية واألمن‬
The Enforcement Rule is supplemented by the HITECH Act
‫ االل تزام‬HIPAA ‫الرعاي ة الص حية المت أثرة بق انون‬
of 2009..‫بالمعايير في غضون عامين من اعتمادها‬
‫ لع ام‬HITECH ‫تم اس تكمال قاع دة اإلنف اذ بق انون‬.2009

12
 HIPAA (Health Insurance Portability and Accountability Act)

)HIPAA( ‫قانون قابلية نقل التأمين الصحي والمساءلة‬

HIPAA violation HIPAA ‫انتهاك‬
If an individual believe a covered entity or business ‫إذا اعتقد فرد أن كياًنا مغطى أو شريًكا تجارًيا‬
associate has violated his or anyone else’s health
‫قد انتهك حقوق خصوصية المعلومات الصحية‬
information privacy rights or has committed another
violation of the Privacy, Security, or Breach Notification
‫الخاصة به أو بأي شخص آخر أو ارتكب انتهاًكا‬
Rules, he should file a complaint with OCR within 180 ‫آخ ر لقواع د الخصوص ية أو األم ان أو إش عارات‬
days of discovering the alleged violation. OCR ‫ فيجب علي ه تق ديم شكوى إلى‬،‫االنته اك‬
OCR reviews all complaints it receives. According to the ‫ يوًم ا من اكتش اف االنته اك‬180 ‫في غض ون‬
HHS website there were 12,915 complaints received in. ‫المزعوم‬
2013.
‫ بمراجع ة جمي ع الش كاوى ال تي‬OCR ‫يق وم‬
‫ تم تلقي‬،‫ اإللكتروني‬HHS ‫ وفًقا لموقع‬.‫يتلقاها‬.2013 ‫ شكوى في عام‬12915

13
 HIPAA (Health Insurance Portability and Accountability Act)

)HIPAA( ‫قانون قابلية نقل التأمين الصحي والمساءلة‬

HIPAA violation HIPAA ‫انتهاك‬

If a covered entity or business partner is found to have ‫إذا ت بين أن كياًن ا مش موًال أو ش ريًكا تجارًي ا ق د انته ك‬
breached the Privacy or Security Rules, OCR will attempt ‫ ح ل‬OCR ‫ فس وف تح اول‬،‫قواع د الخصوص ية أو األم ان‬
to resolve the case by obtaining voluntary compliance, ‫أو‬/‫الحال ة عن طري ق الحص ول على االمتث ال الط وعي و‬
corrective action, and/or resolution agreement from the ‫أو اتفاقي ة تراض ي من الجه ة‬/‫اإلج راء التص حيحي و‬
covered entity. If OCR is not satisfied with the resolution, ،‫ راض ية عن الق رار‬OCR ‫ إذا لم تكن ش ركة‬.‫المش مولة‬
‫فق د تق رر ف رض عقوب ات مالي ة مدني ة على الكي ان‬
it may decide to impose civil money penalties (CMPs) on.‫المشمول‬
the covered entity.
‫ وفًق ا لس بب‬HIPAA‫يتم تص نيف هيك ل عقوب ات انته اك‬
The HIPAA violation penalty structure is tiered according to
‫ وفي ح االت‬.‫الح ادث واإلج راءات المتخ ذة لمع الجته‬
the cause of the incident and the actions taken to remedy it.
‫ تك ون الغرام ات أعلى بكث ير من تل ك‬،‫اإلهم ال المتعم د‬
In cases of willful neglect, fines are much higher than those
‫الحوادث التي لم تكن الكيانات وشركاء العمل على علم‬
incidents that covered entities and business associates would.‫بها من خالل بذل العناية المعقولة‬
not have known about by exercising reasonable diligence.

14
 HIPAA (Health Insurance Portability and Accountability Act)

)HIPAA( ‫قانون قابلية نقل التأمين الصحي والمساءلة‬

HIPAA violation HIPAA ‫انتهاك‬

A single incident might result in multiple violations. If, for ‫ على س بيل‬.‫حادث واح د ق د ي ؤدي إلى انتهاك ات متع ددة‬
example, the records of 500 individuals were lost in once ،‫ ف رد في حادث ة واح دة‬500 ‫ إذا فق دت س جالت‬،‫المث ال‬
incident, that would count as 500 violations..‫ انتهاك‬500 ‫فسيتم احتساب ذلك على أنه‬
CMPs for HIPAA violations range from fines of $100 per ‫تتراوح إج راءات العقوب ات المالي ة المدني ة الخاص ة‬
violation (with an annual maximum of $25,000 for repeat ‫ دوالر لكل انتهاك‬100 ‫ من غرامات قدرها‬HIPAA‫بانتهاكات‬
violations) to fines of $50,000 per violation (with an annual
‫ دوالر لالنتهاك ات‬25000 ‫(بح د أقص ى س نوي ق دره‬
maximum of $1.5 million).
‫ دوالر لك ل انته اك‬50000 ‫المتك ررة) إلى غرام ات ق درها‬
Criminal penalties range from fines of $50,000 and one.)‫ مليون دوالر‬1.5 ‫(بحد أقصى سنوي قدره‬
year’s imprisonment to fines of $250,000 and ten years’
‫ ألف دوالر‬50 ‫تتراوح العقوب ات الجنائية من غرامات قدرها‬
imprisonment.
‫ أل ف دوالر‬250 ‫والس جن لم دة ع ام إلى غرام ات ق درها‬.‫والسجن لمدة عشر سنوات‬

15
 ISO 27001 Standard

ISO 27001‫المعيار‬

(ISO 27001) is an international standard that helps ‫) هو معيار دولي يساعد المؤسسات‬ISO 27001(
organizations manage the security of their information assets. ‫ وهو‬.‫على إدارة أمن أصول المعلومات الخاصة بها‬
It provides a management framework for implementing an ‫ (نظ ام إدارة أمن‬ISMS ‫ي وفر إط اًر ا إدارًي ا لتنفي ذ‬
ISMS (information security management system) to ensure ‫المعلوم ات) لض مان س رية وس المة وت وافر جمي ع‬
the confidentiality, integrity, and availability of all corporate ‫بيانات الشركة (مثل المعلومات المالية أو الملكية‬
data (such as financial information, intellectual property, ‫الفكري ة أو تفاص يل الم وظفين أو المعلوم ات ال تي‬
employee details or information managed by third parties)..)‫تديرها أطراف ثالثة‬
The ISO 27001 framework was published in 2013 by the ISO 2013 ‫ في ع ام‬ISO 27001 ‫تم نش ر إط ار عم ل‬
(International Organization for Standardization) and IEC IEC‫ (المنظم ة الدولي ة للمعايير) و‬ISO ‫من قب ل‬
(International Electrotechnical Commission) and belongs to ‫(اللجن ة الكهروتقني ة الدولي ة) وينتمي إلى عائل ة‬
the ISO 27000 family of standards. It is the only ‫ وه و معي ار أمن المعلوم ات‬.ISO 27000 ‫مع ايير‬
internationally recognized certifiable information security.‫الوحيد المعترف به دولًيا‬
standard..

16
 ISO 27001 Standard

ISO 27001‫المعيار‬

ISO 27001 is supported by its code of practice for
‫ من خالل قواعد الممارسة‬ISO 27001 ‫تم دعم‬
information security management, ISO/IEC 27002:2013,
which explains how to implement information security ISO/IEC ،‫الخاص ة ب إدارة أمن المعلوم ات‬
controls for managing information security risks. ‫ والتي تشرح كيفية تنفيذ ضوابط‬،27002:2013
ISO/IEC 27001:2022 – the newest version of ISO 27001.‫أمن المعلومات إلدارة مخاطر أمن المعلومات‬
– was published in October 2022.
‫ اإلص دار‬ISO/IEC 27001:2022 ‫تم نش ر‬
Organizations that are certified to ISO/IEC 27001:2013.2022 ‫ في أكتوبر‬ISO 27001 ‫األحدث من‬
have a three-year transition period to make the necessary
changes to their ISMS (information security management ISO/IEC‫تتمتع المؤسسات الحاصلة على شهادة‬
system). ‫ بفترة انتقالية مدتها ثالث سنوات‬27001:2013
‫ (نظ ام‬ISMS ‫إلج راء التغي يرات الالزم ة على‬.‫إدارة أمن المعلومات) الخاص بها‬

17
 ISO 27001 Standard

ISO 27001‫المعيار‬

ISO 27001 certification demonstrates that the organization ‫ أن المؤسس ة ق د اس تثمرت في‬ISO 27001 ‫توض ح ش هادة‬
has invested in the people, processes, and technology (e.g., )‫األش خاص والعملي ات والتكنولوجي ا (مث ل األدوات واألنظم ة‬
tools and systems) to protect the organization’s data and ‫لحماية بيانات المؤسسة وتوفر تقييًم ا مستقًال وخبراء حول ما‬
provides an independent, expert assessment of whether the. ‫إذا كانت البيانات محمية بشكل كاٍف‬
data is sufficiently protected. ‫ويتم الحص ول على الش هادة من خالل هيئ ة إص دار الش هادات‬
Certification is achieved through an accredited certification ‫ فهو يوفر دليًال للمستهلكين والمستثمرين واألطراف‬.‫المعتمدة‬
‫المعني ة األخ رى على أن ك ت دير أمن المعلوم ات وفًق ا ألفض ل‬
body. It provides evidence to your consumers, investors, and.‫الممارسات الدولية‬
other interested parties that you are managing information
‫ ذا أهمية متزايدة نظ ًر ا ألن‬ISO 27001 ‫أصبح االمتثال لمعايير‬
security according to international best practices.
‫المتطلب ات التنظيمي ة (مث ل الالئح ة العام ة لحماي ة البيان ات‬
ISO 27001 compliance is becoming increasingly important )HIPAA( ‫) وق انون نق ل الت أمين الص حي والمس ؤولية‬GDPR(
as regulatory requirements (such as the GDPR, HIPAA, and ‫)) تض غط‬CCPA( ‫وق انون خصوص ية المس تهلك في كاليفورني ا‬
CCPA) pressure organizations to protect their consumer and ‫على المؤسس ات لحماي ة بيان ات المس تهلكين والبيان ات‬
personal data..‫الشخصية‬

18
 ISO 27001 Standard

ISO 27001‫المعيار‬

How do ISO 27001 audits work? ‫؟‬ISO 27001 ‫كيف تتم عمليات تدقيق‬

Certification can be obtained once a certification body ‫يمكن الحصول على الشهادة بمجرد قيام هيئة إصدار‬
has conducted an external audit. Auditors will review the ‫ س يقوم الم دققون‬.‫الش هادات ب إجراء ت دقيق خ ارجي‬
organization’s practices, policies, and procedures to
‫بمراجع ة ممارس ات المنظم ة وسياس اتها وإجراءاته ا‬
assess whether the ISMS meets the requirements of the
‫لتق ييم م ا إذا ك ان نظ ام إدارة أمن المعلوم ات‬
Standard..‫) يلبي متطلبات المعيار‬ISMS(
Certification usually lasts for three years, but
organizations have to conduct routine internal audits as a ‫ ولكن يتعين‬،‫تستمر الشهادة عادًة لمدة ثالث سنوات‬
continual improvement process. ‫على المؤسسات إجراء عمليات تدقيق داخلية روتينية‬
Once certified, a certification body will usually conduct.‫كعملية تحسين مستمرة‬
an annual assessment to monitor compliance. ‫ س تقوم هيئ ة إص دار الش هادات ع ادًة‬،‫بمج رد االعتم اد‬.‫بإجراء تقييم سنوي لمراقبة االمتثال‬

19
 ISO 27001 Standard

ISO 27001‫المعيار‬

What is an ISMS (information security management ‫ام إدارة أمن المعلومات)؟‬V‫ (نظ‬ISMS ‫و‬V‫ما ه‬
system)?
‫) ه و نظ ام إدارة‬ISMS(‫نظ ام إدارة أمن المعلوم ات‬
An ISMS is a defined, documented management system ‫مح دد وموث ق يتك ون من مجموع ة من السياس ات‬
that consists of a set of policies, processes, and systems to ‫والعملي ات واألنظم ة إلدارة المخ اطر ال تي تتع رض له ا‬
manage risks to organizational data to ensure acceptable
‫البيانات التنظيمية لضمان مستويات مقبولة من مخاطر‬
levels of information security risk. Ongoing risk
‫ تس اعد تقييم ات المخ اطر المس تمرة‬.‫أمن المعلوم ات‬
assessments help identify security threats and
‫في تحدي د التهدي دات األمني ة ونق اط الض عف ال تي يجب‬
vulnerabilities that need to be managed through a set of.‫إدارتها من خالل مجموعة من الضوابط‬
controls.
)ISMS(‫يس اعدك وج ود نظ ام إدارة أمن المعلوم ات‬
Having an established ISO 27001-compliant ISMS helps
‫ على إدارة س رية جمي ع بيان ات‬ISO 2700 ‫المتواف ق م ع‬
you manage the confidentiality, integrity, and availability
of all corporate data in an optimized and cost-effective ‫الش ركة وس المتها وتوافره ا بطريق ة محس نة وفعال ة من‬
way.‫حيث التكلفة‬

20
 ISO 27001 Standard

ISO 27001‫المعيار‬

ISO 27001 and risk management
‫ وإدارة المخاطر‬ISO 27001
Risk management forms the foundations of an
ISMS. Routine risk assessments help to identify
‫تش كل إدارة المخ اطر أس س نظ ام‬
specific information security risks. ISO 27001 ‫ تساعد‬.)ISMS( ‫إدارة أمن المعلومات‬
recommends, a set of controls that can be applied to ‫تقييم ات المخ اطر الروتيني ة على‬
manage and reduce information security risks. ‫تحدي د مخ اطر معين ة تتعل ق ب أمن‬
ISO 27001 ‫ توص ي‬.‫المعلوم ات‬
‫بمجموع ة من الض وابط ال تي يمكن‬
‫تطبيقها إلدارة مخاطر أمن المعلومات‬.‫والحد منها‬

21
 ISO 27001 Standard

ISO 27001‫المعيار‬

ISO 27001 controls and requirements ISO 27001 ‫ضوابط ومتطلبات‬
ISO 27001 consists of 114 controls (included in Annex A
‫ ض ابطا (مدرج ة في‬114 ‫ من‬ISO 27001 ‫يتك ون‬
and expanded on in ISO 27002) that provide a framework
‫) ت وفر إط اًر ا‬ISO 27002 ‫الملح ق أ وموس عة في‬
for identifying, treating, and managing information
security risks..‫لتحديد ومعالجة وإدارة مخاطر أمن المعلومات‬
ISO/IEC 27001:2013 ‫ملخص لضوابط‬
A summary of the ISO/IEC 27001: 2013 controls
A.5 Information security policies ‫ سياسات أمن المعلومات‬A.5

A.6 Organisation of information security ‫ تنظيم أمن المعلومات‬A.6
A.7 Human resources security ‫ أمن الموارد البشرية‬A.7
A.8 Asset management ‫ إدارة األصول‬A.8
A.9 Access control ‫ التحكم بالوصول‬A.9

22
 ISO 27001 Standard

ISO 27001‫المعيار‬

A summary of the ISO/IEC 27001: 2013 controls ISO/IEC 27001:2013 ‫ملخص لضوابط‬
A.10 Cryptography ‫ التشفير‬A.10
A.11 Physical and environmental security ‫ األمن الجسدي والبيئي‬A.11
A.12 Operational security ‫ أمن العمليات‬A.12

A.13 Communications security ‫ أمن االتصاالت‬A.13
‫ اقتناء النظام وتطويره وصيانته‬A.14
A.14 System acquisition, development and maintenance
‫ عالقات الموردين‬A.15
A.15 Supplier relationships
‫ إدارة حوادث أمن المعلومات‬A.16
A.16 Information security incident management
‫ ج وانب أمن المعلوم ات في إدارة اس تمرارية‬A.17
A.17 Information security aspects of business continuity ‫األعمال‬
management
‫ االمتثال‬A.18
A.18 Compliance

23
 ISO 27001 Standard

ISO 27001‫المعيار‬
The management clauses of ISO/IEC
ISO/IEC 27001:2013 ‫بنود اإلدارة في‬
27001:2013
‫ يتن اول‬ISO 27001 ‫ ف إن‬،‫باإلض افة إلى الض وابط‬
In addition to the controls, ISO 27001 compromises ten ‫عشرة بنود في نظام اإلدارة التي توجه تنفيذ نظام‬
management system clauses that guide an ISMS's ‫) وإدارت ه والتحس ين‬ISMS( ‫إدارة أمن المعلوم ات‬
implementation, management and continual improvement..‫المستمر‬
ISO 27001 consulting services ISO 27001 ‫الخدمات االستشارية‬

In addition to training, software and compliance tools, IT
‫باإلض افة إلى الت دريب والبرمجي ات وأدوات‬
Governance provides specialist ISO 27001 consulting
‫ ت وفر حوكم ة تكنولوجي ا المعلوم ات‬،‫االمتث ال‬
services to support compliance with the Standard. This
ISO ‫خ دمات استش ارية متخصص ة في مج ال‬
‫ يتض من ذل ك في‬.‫ ل دعم االمتث ال للمع ايير‬27001
includes an ISO 27001 gap analysis and resource
‫ تحلي ل الفج وات وتحدي د الم وارد‬ISO 27001
determination, scoping, risk assessments, strategy, and more.
‫وتحدي د النط اق وتق ييم المخ اطر واالس تراتيجية‬.‫والمزيد‬

24
 ISO 27001 Standard

ISO 27001‫المعيار‬
The benefits of ISO 27001 certification
ISO 27001 ‫فوائد شهادة‬
ISO 27001 is a globally recognized information security
‫ أح د مع ايير أمن المعلوم ات المعترف به ا‬ISO 27001 ‫يعد‬
standard, with more than 40,000 organizations certified. It
helps organizations align their data security measures to an.‫ مؤسسة‬40000 ‫ وقد تم اعتماده من قبل أكثر من‬،‫عالمًيا‬
established and trusted benchmark. ‫فهو يساعد المؤسسات على مواءمة إجراءات أمن البيانات‬
Protect your data, wherever it lives.‫الخاصة بها مع معيار ثابت وموثوق‬

Reduce information security costs ‫ حماية بياناتك أينما كانت‬

Establish an information security culture ‫ تقليل تكاليف أمن المعلومات‬
Defend against cyber attacks ‫ إرساء ثقافة أمن المعلومات‬
Respond to evolving security threats ‫ الدفاع ضد الهجمات السيبرانية‬
Meet contractual obligations ‫ االستجابة للتهديدات األمنية المتطورة‬
‫ الوفاء بااللتزامات التعاقدية‬

25
 Essential Cybersecurity Controls )ECC(
(ECC) ‫الضوابط األساسية لألمن السيبراني‬
The National Cybersecurity Authority developed the basic
controls for cybersecurity (ECC) after studying several ‫قامت الهيئ ة الوطني ة لألمن الس يبراني بتط وير‬
standards, frameworks and controls for cybersecurity ‫) بع د‬ECC( ‫الض وابط األساس ية لألمن الس يبراني‬
previously prepared by several entities and organizations ‫دراسة عدة معايير وأطر وضوابط لألمن السيبراني‬
(local and international), studying the requirements of ‫ق امت بإع دادها س ابقًا ع دة جه ات ومنظم ات‬
relevant national legislation, regulations and decisions, and
‫ ودراس ة متطلب ات التش ريعات‬،)‫(محلي ة ودولي ة‬
after reviewing the best practices and experiences in the field
‫ وبع د‬،‫والتنظيم ات والق رارات الوطني ة ذات العالق ة‬
of security. And benefit from it, and analyze the incidents
and cyber attacks that were monitored at the level of
‫االطالع على أفض ل الممارس ات والتج ارب في‬
government agencies and other sensitive agencies, and after ‫ وتحليل ما‬،‫مجال األمن السيبراني واالستفادة منها‬
surveying the opinions of many national agencies and taking ‫تم رص ده من ح وادث وهجم ات س يبرانية على‬
their views. ‫مس توى الجه ات الحكومي ة وغيره ا من الجه ات‬
‫ وبع د اس تطالع آراء العدي د من الجه ات‬،‫الحساس ة‬.‫الوطنية وأخذ مرئياتها‬

26
 Essential Cybersecurity Controls )ECC(
(ECC) ‫الضوابط األساسية لألمن السيبراني‬
These controls consist of:
5 basic components :‫تتكون هذه الضوابط من‬
(Main Domains) of
cybersecurity controls. ‫) لضوابط‬Main Domains(‫ مكونات أساسية‬5
29 subdomain components of cybersecurity.‫األمن السيبراني‬
controls. ‫) لض وابط األمن‬Subdomain( ‫ مكون ا فرعي ا‬29
114 key cybersecurity controls..‫السيبراني‬
These controls are also linked to relevant national ‫) لألمن‬Controls( ‫يًا‬ ‫ابطًا أساس‬ ‫ ض‬114
and international legislative and regulatory ‫السيبراني‬
requirements. ‫كم ا أن ه ذه الض وابط مرتبط ة م ع المتطلب ات‬
‫التش ريعية والتنظيمي ة الوطني ة والدولي ة ذات‬.‫العالقة‬

27
 Essential Cybersecurity Controls )ECC(
(ECC) ‫الضوابط األساسية لألمن السيبراني‬
Objectives
These controls aim to provide the minimum basic ‫األهداف‬
requirements for cybersecurity based on best practices ‫ته دف إلى توف ير الح د األدنى من المتطلب ات األساس ية‬
and standards to reduce cyber risks to entities’ ‫لألمن الس يبراني المبني ة على أفض ل الممارس ات‬
information and technical assets from internal and ‫والمع ايير لتقلي ل المخ اطر الس يبرانية على األص ول‬
external threats. Protecting the entity's information and )Threats( ‫المعلوماتية والتقنية للجهات من التهديدات‬
technical assets requires focusing on the basic objectives ‫ وتتطلب حماي ة األص ول المعلوماتي ة‬.‫الداخلي ة والخارجي ة‬
of protection, which are: ،‫والتقني ة للجه ة الترك يز على األه داف األساس ية للحماي ة‬
Confidentiality of information :‫وهي‬

Integrity of information Confidentiality(( ‫ سرية المعلومة‬
Integrity(( ‫ سالمة المعلومة‬
Availability of information
Availability(( ‫ توافر المعلومة‬

28
 Essential Cybersecurity Controls )ECC(
(ECC) ‫الضوابط األساسية لألمن السيبراني‬
Objectives
These controls take into account the four basic axes ‫األهداف‬
on which cybersecurity is based, which are: ‫وتأخ ذ ه ذه الض وابط باالعتب ار المح اور األربع ة‬
Strategy :‫ وهي‬،‫األساسية التي يرتكز عليها األمن السيبراني‬
People Strategy ‫ اإلستراتيجية‬
Procedure People ‫ األشخاص‬
Technology Process ‫ اإلجراء‬
Technology ‫ التقنية‬

29
 Essential Cybersecurity Controls )ECC(
(ECC) ‫الضوابط األساسية لألمن السيبراني‬
ECC Scope of Work

These controls apply to government ‫ل الضوابط‬V‫اق عم‬V‫نط‬
agencies in the Kingdom of Saudi Arabia ‫ُتطَّب ق ه ذه الض وابط على الجه ات الحكومي ة في‬
(including ministries, agencies, ‫المملك ة العربي ة الس عودية (وتش مل ال وزارات‬
institutions, etc.), their affiliated entities ‫والهيئ ات والمؤسس ات وغيره ا) والجه ات‬
and companies, and private sector ‫ وجهات القطاع الخاص التي‬،‫والشركات التابعة لها‬
entities that own, operate, or host critical Critical( ‫تمتل ك ب نى تحتي ة وطني ة حساس ة‬
national infrastructures (“CNIs”). The ‫”) أو تق وم‬National Infrastructures “CNIs
Authority also strongly encourages other ‫ كم ا ُتش جع الهيئ ة الجه ات‬.‫بتش غيلها أو استض افتها‬
entities in the Kingdom to take
‫األخ رى في المملك ة وبش دة على االس تفادة من‬
‫ه ذه الض وابط لتط بيق أفض ل الممارس ات فيم ا‬
advantage of these controls to
‫يتعل ق بتحس ين األمن الس يبراني وتط ويره داخ ل‬
implement best practices with regard to.‫الجهة‬
improving and developing cybersecurity
within
30 the entity.
 Essential Cybersecurity Controls )ECC(
(ECC) ‫الضوابط األساسية لألمن السيبراني‬
ECC Statement of Applicability
These controls have been prepared so that they are ‫ل الجهة‬V‫بيق داخ‬V‫ة التط‬V‫قابلي‬
appropriate to the cybersecurity needs of all ‫تم إعداد هذه الضوابط بحيث تكون مالئمة الحتياجات األمن السيبراني‬
entities and sectors in the Kingdom of Saudi Arabia, ‫لجميع الجهات والقطاعات في المملكة العربية السعودية بتنوع طبيعة‬
regardless of the nature of its business, and each ‫ ويجب على ك ل جه ة االل تزام بجمي ع الض وابط القابل ة للتط بيق‬،‫أعماله ا‬
entity must adhere to all controls applicable to it..‫عليها‬
Applicability to implement these cybersecurity ‫من األمثلة على الضوابط التي تتفاوت فيها قابلية التطبيق من جهة إلى‬
controls depends on the organization’s business :‫أخرى حسب طبيعة أعمال الجهة واستخدامها للتقنيات المذكورة‬
and its use of certain technologies. For example:
‫ الضوابط المتعلقة باألمن السيبراني للحوسبة السحابية واالستضافة‬
Controls related to cybersecurity for cloud
‫تكون قابلة التطبيق وملزمة على الجهة التي تستخدم حالي ًا خدمات‬
computing and hosting are applicable and binding
on the entity that currently uses cloud computing.‫الحوسبة السحابية واالستضافة أو تخطط الستخدامها‬
and hosting services or plans to use them. ‫ الضوابط المتعلقة ب األمن الس يبراني ألنظمة التحكم الصناعي تكون‬
Controls related to the cybersecurity of industrial ‫قابلة التطبيق وملزمة على الجهة التي تستخدم حالي ًا أنظمة التحكم‬
control systems are applicable and binding on the.‫الصناعي أو تخطط الستخدامها‬
entity that currently uses industrial control
systems or plans to use them.
31
 Essential Cybersecurity Controls )ECC(
(ECC) ‫الضوابط األساسية لألمن السيبراني‬
Implementation and Compliance
All organizations within the scope of these ‫ذ واالمتثال‬V‫التنفي‬
controls must implement whatever necessary ‫يجب على جمي ع المؤسس ات الواقع ة ض من نط اق‬
to ensure continuous compliance with the
‫ه ذه الض وابط تنفي ذ ك ل م ا ه و ض روري لض مان‬
controls.
‫ بتقييم امتثال‬NCA ‫ تقوم‬.‫االمتثال المستمر للضوابط‬
NCA evaluates organizations’ compliance
with the ECC through multiple means such as ‫ من خالل وس ائل متع ددة مث ل‬ECC ‫المؤسس ات لـ‬
self-assessments by the organizations, ‫التقييم ات الذاتي ة من قب ل المنظم ات أو التق ارير‬
periodic reports of the compliance tool or on-.‫الدورية ألداة االمتثال أو عمليات التدقيق في الموقع‬
site audits.
‫أداة التقييم واالمتثال‬
Assessment and Compliance Tool
‫ أداة لتنظيم عملي ة التق ييم وقي اس‬NCA ‫أص درت‬
NCA issued a tool (ECC-1: 2018 Assessment
and Compliance Tool) to organize the process.ECC ‫االمتثال مقابل‬
of evaluation and compliance measurement
against
32 the ECC.
 Essential Cybersecurity Controls )ECC(
(ECC) ‫الضوابط األساسية لألمن السيبراني‬

Main Domains of ECC
33
 Essential Cybersecurity Controls )ECC) - subdomains

‫ المكونات الفرعية‬- )ECC( ‫الضوابط األساسية لألمن السيبراني‬

34
 Essential Cybersecurity Controls )ECC) - subdomains

‫ المكونات الفرعية‬- )ECC( ‫الضوابط األساسية لألمن السيبراني‬

35
 Essential Cybersecurity Controls )ECC) - subdomains

‫ المكونات الفرعية‬- )ECC( ‫الضوابط األساسية لألمن السيبراني‬

36
 ‫المراجع‬

‫ الضوابط األساسية لألمن السيبراني‬، ‫ الهيئة الوطنية لألمن السيبراني‬
)ECC – 1 : 2018(

https://nca.gov.sa/ecc-ar.pdf
https://nca.gov.sa/ecc-en.pdf
IT Governance USA Inc. “Cybersecurity standards an
frame works”
https://www.itgovernanceusa.com/cybersecurity-
standards

37
 ‫شكرا لكم‬
Thank you
38