معيار SACS-002 للأمن السيبراني
المعيار الرسمي لشهادة الامتثال للأمن السيبراني (CCC) من أرامكو السعودية
نظرة عامة على المعيار
يوفر تحميلنا للنسخة الكاملة والرسمية لمعيار الأمن السيبراني للأطراف الخارجية SACS-002. تحدد هذه الوثيقة الحد الأدنى من ضوابط الأمن السيبراني المطلوبة من قبل أرامكو السعودية لجميع المقاولين والموردين.
- نسخة كاملة من معيار SACS-002: الوثيقة الكاملة المكونة من 26 صفحة والتي تحدد جميع متطلبات الأمن السيبراني.
- الضوابط العامة والخاصة: فاصيل حول المتطلبات العامة الإلزامية والضوابط الإضافية لأنواع الموردين المختلفة.
- تعليمات الاستجابة للحوادث: لملحق الرسمي الذي يوضح بروتوكول الإبلاغ عن الحوادث الإلزامي لأرامكو.
- متطلبات تدقيق الأحداث: الملحق الرسمي الذي يسرد جميع أحداث النظام التي يجب تسجيلها للامتثال.
معيار أرامكو الرسمي
المعيار الرسمي المنشور من قبل أرامكو السعودية، وهو ضروري لأي منظمة تسعى للحصول على شهادة CCC.
الأقسام الرئيسية في المعيار
المتطلبات العامة (القسم أ)
الضوابط الإلزامية الـ 23 لجميع الأطراف الخارجية، وتغطي الحوكمة، التحكم في الوصول، أمن البيانات، والمزيد.
المتطلبات الخاصة (القسم ب)
ضوابط إضافية للموردين الذين لديهم اتصال بالشبكة، أو يعالجون بيانات حساسة، أو يقدمون خدمات سحابية.
الملحق أ - الاستجابة للحوادث
تعليمات مفصلة خطوة بخطوة للاستجابة لحوادث الأمن السيبراني والتي يجب اتباعها بدقة.
الملحق ج - أحداث التدقيق
قائمة كاملة بجميع أحداث النظام والأمان التي يجب أن تكون قابلة للتدقيق.
الأسئلة المتداولة
هل هذا هو الإصدار الأحدث من SACS-002؟
هذه الوثيقة هي اصدار فبراير 2022 والذي يستخدمه المدققين لعملية اصدار شهادة ارامكو للامن السيبراني.
من في مؤسستي يجب أن يقرأ هذه الوثيقة بأكملها؟
بينما يجب على المجلس التنفيذي مراجعة متطلبات الحوكمة الشاملة (القسم أ)، يجب على كبير مسؤولي أمن المعلومات (CISO) وكبار المهندسين الفنيين إجراء تحليل شامل لكل التحكم الفني المدرج في جميع الملاحق لتكوين شبكتك بشكل صحيح.
هل تنطبق "المتطلبات العامة" على جميع الموردين بغض النظر عن حجمهم؟
قطعاً. تعد المتطلبات العامة الثلاثة والعشرون الموضحة في القسم أ إلزامية تمامًا لكل بائع مسجل في سلسلة توريد أرامكو السعودية. لا توجد أي استثناءات ممنوحة للشركات الصغيرة فيما يتعلق بمعايير خط الأساس هذه.
ما هو العنصر الأكثر أهمية في الملاحق الفنية؟
يعد الملحق أ (الاستجابة للحوادث) والملحق ج (أحداث التدقيق) الأكثر تحديًا للموردين دائمًا. يجب عليك الاحتفاظ بسجلات الاحتفاظ بالقياس عن بعد لمدة عام واحد وضمان إرسال إشعار على مدار 24 ساعة مباشرة إلى أرامكو السعودية أثناء أي خرق مشتبه به للبيانات.
هل يمكننا استخدام هذه الوثيقة كدليل على التنفيذ أثناء عملية التدقيق؟
لا، إن تنزيل المعيار ومراجعته هو الهدف الأول. أثناء التدقيق الرسمي، يجب عليك تقديم تكوينات فنية ملموسة (على سبيل المثال، سياسات جدار الحماية النشطة، وبوابات تكوين MFA) للإجابة مباشرة على التفويضات التي تمليها داخل ملف PDF الفعلي هذا.