شهادة التزام الأطراف الخارجية بضوابط الأمن السيبراني
أُستحدث برنامج اعتماد الالتزام بضوابط الأمن السيبراني (CCC) لضمان التزام جميع الأطراف الخارجية لدى أرامكو السعودية لمتطلبات الأمن السيبراني الواردة في معيار أرامكو السعودية للأمن السيبراني للأطراف الخارجية رقم 002 (SACS-002).
كيفية الحصول على الشهادة
اتبع الخطوات التالية للحصول على شهادة الالتزام بضوابط الأمن السيبراني (CCC) من أرامكو السعودية:
1- إعداد متطلبات الشهادة
1-1 يجب على الشركات الراغبة في مزاولة أعمال تجارية مع أرامكو السعودية والتسجيل فيها الالتزام بجميع الضوابط الواردة في "أ. قسم المتطلبات العامة" من معيار أرامكو السعودية للأمن السيبراني للأطراف الخارجية رقم (SACS-002).
2-1 يجب على الشركات التي لديها اتفاقية شراء سارية مع أرامكو السعودية:
1-2-1 رفع طلب إلى جميع الدوائر المعنية في أرامكو السعودية ممن ترتبط شركتك معهم بأعمال سارية لتعبئة نموذج تصنيف الأطراف الخارجية.
2-2-1 تعبئة خطاب تأكيد تصنيف الأطراف الخارجية.
3-2-1 يتوجب على الشركة في حال كانت تندرج تحت أكثر من تصنيف، الالتزام بجميع ضوابط الأمن السيبراني الواردة ضمن التصنيفات المحددة.
3-1 تحديد نوع الشهادة المُنطبق ومتطلبات التقييم:
| تصنيف الشركة | نوع الشهادة | طريقة التقييم |
| شهادة الامتثال بضوابط الأمن السيبراني- (CCC) | تجري الشركة تقييم التزام ذاتي حسب معيار أرامكو السعودية للأمن السيبراني رقم 002 (SACS-002)، ومن ثم تتحقق منه شركة التدقيق المعتمدة عن بعد. |
| شهادة الالتزام بضوابط الأمن السيبراني بلس (+CCC) | تقوم شركة التدقيق المعتمدة بتقييم الالتزام وفقًا لمعايير أرامكو السعودية للأمن السيبراني رقم 002 (SACS-002) في الموقع. |
4-1 في حال انطبق على تصنيف شركتك كل من شهادة الالتزام بضوابط الأمن السيبراني (CCC) وشهادة الالتزام بضوابط الأمن السيبراني بلس (+CCC)، فلن يتم قبول سوى شهادة الالتزام بلس (+CCC).
5-1 تطبيق جميع ضوابط الأمن السيبراني المُنطبقة والمنصوص عليها في معيار أرامكو السعودية للأمن السيبراني رقم (SACS-002).
2- إجراء تقييم التزام ذاتي
1-2 بالنسبة لشهادة الالتزام بضوابط الأمن السيبراني بلس (CCC+)، يُرجى تخطي هذه الخطوة والانتقال للخطوة رقم 3 (هذاالقسم خاص بشهادات الالتزام بضوابط الأمن السيبراني (CCC) فقط)
2-2 قم بتعبئة جميع الحقول الواردة في تقرير الالتزام بضوابط الأمن السيبراني للأطراف الخارجية.
3-2 تأكد من أن الإجابات شاملة ومشروحة بوضوح، وقم بإرفاق المستندات الداعمة.
4-2 التأكد من أن المستندات
- واضحة ومقروءة ومختومة بالوقت
- تظهر ما يثبت صلتها بالجهة الخارجية
- مُشار إليها بوضوح في اللقطات المأخوذة من الشاشة
3- اختيار شركة تدقيق معتمدة
1-3 اختر شركة تدقيق من قائمة شركات التدقيق المعتمدة
2-3 أبرم عقدًا مع شركة التدقيق المعتمدة قبل تأكيد التقييم
4- التحقق من الالتزام والإصدار
1-4 شهادة الالتزام ضوابط الأمن السيبراني
1-1-4 أرسل تقرير الالتزام بضوابط الأمن السيبراني للأطراف الخارجية بعد تعبئته، ونموذج تصنيف الأطراف الخارجية، وخطاب تأكيد تصنيف الأطراف الخارجية إلى شركة التدقيق المعتمدة، قبل تأكيد التقييم.
2-1-4 ستتحقق شركة التدقيق المعتمدة من المستندات المقدمة وتصدر تقرير الالتزام بضوابط الأمن السيبراني للأطراف الخارجية.
2-4 شهادة الامتثال بضوابط الأمن السيبراني بلس (+CCC)
1-2-4 أرسل نموذج تصنيف الأطراف الخارجية وخطاب تأكيد التصنيف الخاص بالأطراف الخارجية إلى شركة التدقيق المعتمدة قبل تأكيد التقييم.
2-2-4 نسق مع شركة التدقيق المعتمدة لإجراء تقييم للالتزام بالإجراءات في الموقع.
3-2-4 ستقوم شركة التدقيق المعتمدة بإجراء التقييم في الموقع وإصدار تقرير الالتزام بضوابط الأمن السيبراني.
3-4 إذا كانت الشركة ملتزمة التزامًا تامًا بجميع المتطلبات المنطبقة من معيار أرامكو السعودية للأمن السيبراني رقم (SACS-002)، فستصدر شركة التدقيق المعتمدة شهادة الالتزام بضوابط الأمن السيبراني للأطراف الخارجية.
4-4 في حالة عدم تحقيق شركتك الالتزام التام ستزودك شركة التدقيق المعتمدة بالضوابط التي تحتاج إلى تنفيذها، للحصول على العلامة الكاملة في تقييم الالتزام.
5-4 طبق النتائج وقدم تقرير الالتزام بضوابط الأمن السيبراني للأطراف الخارجية بعد تحديثه إلى شركة التدقيق المعتمدة لتأكيدالتقييم.
5- تسليم شهادة الالتزام بضوابط الأمن السيبراني (CCC) الصادرة
1-5 أرسل شهادة الالتزام بضوابط الأمن السيبراني للأطراف الخارجية وتقرير الالتزام بضوابط الأمن السيبراني الصادرين عن شركة التدقيق المعتمدة إلى أرامكو السعودية، من خلال نظام e-marketplace.
6- سريان شهادة الالتزام بضوابط الأمن السيبراني (CCC) وتجديدها
1-6 شهادة الالتزام بضوابط الأمن السيبراني (CCC) سارية لمدة عامين من تاريخ الإصدار.
2-6 في حال حصول شركتك على مقاولة جديدة تتضمن نوع تصنيف للأمن السيبراني غير مشمول في الشهادة الحالية السارية، فيجب الحصول على شهادة جديدة وتقديمها.
3-6 يجب على شركتك تقديم شهادة التزام جديدة بضوابط الأمن السيبراني (CCC) قبل انتهاء فترة العامين.
4-6 يُرجى ملاحظة أنه ستكون هناك تحديثات متكررة بين أرامكو السعودية وشركات التدقيق المعتمدة تتعلق بشهادة الالتزام بضوابط الأمن السيبراني (CCC).
شركات التدقيق المعتمدة
اختارت إدارة أمن المعلومات في أرامكو السعودية شركات تدقيق معتمدة لإجراء التقييمات وإصدار شهادة الالتزام بضوابط الأمن السيبراني (CCC) حسب معايير أرامكو السعودية للأمن السيبراني للأطراف الخارجية رقم 002(SACS-002).
- بي دي أو، الدكتور محمد العمري وشركاه
- بيكر تيلي
- جرانت ثورنتون
- ديلويت اند توش الشرق الأوسط المحدودة
- دفاع للامن السيبراني شركة
- كرو (Crowe)
- (KPMG) كي بي إم جي
- الحلول السيبرانية
- الخدمات المدارة
- السعودية - آر إس إم
- الشركة المتقدمة للتقنية والأمن السيبراني (sirar by stc)
- شركة الثقة الأمنية لتقنية المعلومات
- شركة الشبكة السابعة
- النص المشفر (سايڤر)