الهيئة الوطنية للأمن السيبراني لا تُصدر توصيات — تُصدر متطلبات إلزامية. نظام إدارة الوثائق الذي لا يلتزم بإطار NCA يُعرّض المؤسسة لعقوبات وإيقاف ترخيص. هذا المقال يُبيّن بالتفصيل ما تتطلبه NCA من أنظمة DMS.
🛡️ النطاق الإلزامي: متطلبات NCA تُطبَّق على الجهات الحكومية والقطاعات الحيوية والشركات التي تعالج بيانات حساسة. قطاعات المال والصحة والطاقة والجهات الحكومية — جميعها ملزمة.
2019
عام إصدار الإطار الأول لـ NCA (ECC-1:2018)
إلزامي
تطبيق متطلبات NCA على الجهات الخاضعة للرقابة — لا خيار
5+
أطر إلزامية أصدرتها NCA تؤثر على أنظمة إدارة الوثائق
ما هي الهيئة الوطنية للأمن السيبراني؟
الهيئة الوطنية للأمن السيبراني (NCA) أُنشئت عام 2017 وتتبع مباشرةً رئاسة مجلس الوزراء. مهمتها حماية البنية التحتية المعلوماتية الوطنية وتشريع متطلبات الأمن السيبراني.
أنظمة إدارة الوثائق تدخل ضمن نطاق NCA لأنها:
- تُخزّن وثائق تحتوي بيانات حساسة
- تُتيح الوصول للبيانات من مواقع متعددة
- قد تحتوي بيانات شخصية تنضوي تحت PDPL
- تكون غالباً جزءاً من البنية التحتية الحيوية
أطر NCA المتعلقة بالأرشفة
ECC-1:2018
الضوابط الأساسية للأمن السيبراني
الإطار الأشمل — يُلزم كل جهة حكومية وأعمال حيوية بضوابط أمنية شاملة لكل أنظمتها
✅ وثيقة: متوافق كاملاً مع ECC
CSCC-1:2019
ضوابط الأمن السيبراني للخدمات السحابية
يُلزم أنظمة السحابة المستخدمة في المملكة بضمانات أمنية خاصة للبيانات الحكومية
✅ وثيقة: سحابي مُتوافق مع CSCC
CISO Guide
دليل المسؤول عن أمن المعلومات
متطلبات إدارة البيانات وتصنيفها وحفظها وإتلافها وفق معايير محددة
✅ وثيقة: تصنيف تلقائي وسياسات إتلاف
CRST
إطار التقييم السيبراني
أداة NCA لتقييم مستوى النضج الأمني — أنظمة DMS تُحسّن تقييم المؤسسة
✅ وثيقة: يرفع تقييم CRST للمؤسسة
المتطلبات التفصيلية لأنظمة DMS من NCA
🔐
تشفير البيانات (Encryption)
تشفير البيانات أثناء التخزين (at rest) وأثناء النقل (in transit) باستخدام AES-256 كحد أدنى
✅ وثيقة: تشفير AES-256 مُفعَّل افتراضياً
📋
سجل الأحداث (Audit Log)
تسجيل كامل لكل الأحداث: من وصل لماذا ومتى وأي تغييرات أجراها — محفوظ لمدة سنة على الأقل
✅ وثيقة: Audit Log شامل غير قابل للتعديل
👤
إدارة الهوية والوصول (IAM)
RBAC صارم، مبدأ الحد الأدنى من الصلاحيات، مصادقة متعددة العوامل للوصول الحساس
✅ وثيقة: RBAC متعدد المستويات + MFA
🗺️
ولاية البيانات (Data Residency)
البيانات الحكومية والحساسة يجب تخزينها داخل المملكة العربية السعودية — لا تغادر الحدود
✅ وثيقة: خيار التخزين داخل المملكة متاح
🔄
استمرارية الأعمال (BCP/DR)
خطة تعافٍ من الكوارث مع RPO وRTO محددين — الوثائق يجب أن تبقى متاحة حتى في أوقات الأزمات
✅ وثيقة: نسخ احتياطية تلقائية مع DR مُعدَّل
📊
تصنيف البيانات
تصنيف كل وثيقة حسب حساسيتها (سري، مقيّد، عام) مع تطبيق ضوابط مناسبة لكل فئة
✅ وثيقة: تصنيف AI تلقائي مع ضوابط فورية
🔍
إدارة الثغرات
النظام يجب أن يكون مُحدَّثاً باستمرار وخالياً من الثغرات المعروفة — اختبارات اختراق دورية
✅ وثيقة: تحديثات تلقائية واختبارات أمن منتظمة
⚠️ تحذير النظام غير المتوافق: استخدام نظام DMS غير متوافق مع NCA في جهة حكومية أو قطاع حيوي يُعدّ مخالفة أمنية قد تستوجب غرامات أو إيقاف الخدمة. التحقق من الامتثال مسؤولية الجهة وليس المزوّد.
القطاعات الملزمة بامتثال NCA في DMS
🏛️
الجهات الحكومية
إلزامي كامل — ECC
🏦
القطاع المالي
إلزامي — ECC + SAMA
🏥
القطاع الصحي
إلزامي — ECC + صحة
⚡
الطاقة والمياه
إلزامي — بنية حيوية
📡
الاتصالات
إلزامي — HIPA
🏭
الشركات الكبرى
موصى به — تدريجي
قائمة التحقق من الامتثال
✅ قائمة متطلبات NCA لنظام DMS — 12 بند
✓تشفير AES-256 للبيانات
✓Audit Log شامل وغير قابل للتعديل
✓RBAC مع Least Privilege
✓تخزين داخل المملكة
✓MFA للوصول الحساس
✓خطة DR وBCP موثّقة
✓تصنيف البيانات بالحساسية
✓سياسة الاحتفاظ والإتلاف
✓نسخ احتياطية منتظمة
✓تحديثات أمنية دورية
✓إدارة الهويات والوصول
✓تقارير امتثال قابلة للتدقيق
وثيقة والامتثال لـ NCA — ماذا مبنَيّ مسبقاً؟
وثيقة يُدرك أن مؤسسات السوق السعودي لا تحتاج أن تفهم كل تفاصيل NCA — تحتاج نظاماً مُتوافقاً من البداية:
- كل متطلبات ECC المتعلقة بالبيانات مُبنية في بنية النظام — لا إضافات مطلوبة
- Audit Log غير قابل للتعديل يُنتَج تلقائياً — جاهز لأي تدقيق
- تشفير AES-256 افتراضي — لا يحتاج تفعيلاً
- خيار التخزين داخل المملكة متاح لمن يحتاجه
- تقارير الامتثال قابلة للاستخراج في دقائق
💡 الميزة الفريدة: وثيقة الوحيد في السوق المُصمَّم بالفهم الكامل لمنظومة NCA من اليوم الأول. الأنظمة الأجنبية تحتاج تهيئات معقدة ومكلفة للوصول لنفس مستوى الامتثال — وثيقة يبدأ منه.
✅ الخلاصة: متطلبات NCA ليست عقبة — هي ضمانة. المؤسسة التي تلتزم بها تحمي نفسها من المخاطر الأمنية والقانونية. وثيقة يجعل الامتثال لـ NCA سهلاً ومدمجاً في النظام — لا تكلفة إضافية ولا جهد إضافي.
تحقق من امتثال نظامك لـ NCA
تقييم مجاني — نُعدّ تقريراً عن فجوات الامتثال وكيف يُغطّيها وثيقة.
و
فريق وثيقة التحريري
خبراء إدارة الوثائق والتحول الرقمي في السعودية