في خطوة استباقية لمواكبة التحديات الأمنية المصاحبة للتحول الرقمي المتسارع، أعلنت هيئة الحكومة الرقمية في المملكة العربية السعودية عن إصدار “ضوابط تصنيف الخدمات الحكومية الرقمية الحساسة ومستويات التحقق”، والتي تمثل إطاراً تنظيمياً شاملاً يهدف إلى:
✔️ تعزيز موثوقية الخدمات الرقمية الحكومية
✔️ حماية المستخدمين من جرائم الاحتيال الرقمي وانتحال الهوية
✔️ ضمان استمرارية التشغيل للخدمات الحرجة
✔️ تحقيق التوازن بين الأمان الرقمي وسلاسة تجربة المستخدم
التصنيف الذكي للخدمات حسب درجة الخطورة
اعتمدت الوثيقة نظاماً دقيقاً لتصنيف الخدمات الرقمية الحكومية بناءً على تحليل منهجي للمخاطر، حيث قسمت الخدمات إلى 5 مستويات:
-
منخفضة الحساسية (تأثير محدود عند التعطل)
-
متوسطة الحساسية
-
مهمة
-
حرجة
-
حرجة جداً (تأثير كارثي عند التعطل)
ويتم التصنيف بناء على معايير دقيقة تشمل:
-
الأثر المالي والتنظيمي
-
التبعات القانونية
-
تأثير السمعة المؤسسية
-
وقت التعافي التشغيلي (RTO)
نظام متدرج للتحقق من الهوية الرقمية
تم تصميم 3 مستويات متقدمة للتحقق من الهوية تتوافق مع أفضل الممارسات العالمية (NIST 800-63):
| مستوى التحقق | نوع الخدمات | متطلبات المصادقة |
|---|---|---|
| AAL1 | منخفضة الحساسية | عنصر واحد (كلمة مرور أو رمز SMS) |
| AAL2 | متوسطة/مهمة | عنصرين (مثال: كلمة مرور + رمز هاتف) |
| AAL3 | حرجة/حرجة جداً | ثلاثة عناصر (بصمة + كلمة مرور + رمز هاتف) |
عناصر التحقق المعتمدة:
-
المعرفة: كلمات المرور، أسئلة الأمان
-
الحيازة: رموز OTP، أجهزة المصادقة
-
الملازمة: البصمات، التعرف على الوجه والصوت
ضمانات استمرارية الخدمات الرقمية
اشتملت الوثيقة على آليات متكاملة لضمان:
-
خطط تعافٍ مرنة للخدمات الحرجة
-
نماذج استجابة سريعة للأعطال والاختراقات
-
مسؤولية شاملة حتى مع وجود طرف ثالث
-
إشراك المستخدمين في تحسين التجربة الرقمية
نطاق التطبيق والجهات المعنية
تشمل الضوابط الجديدة:
✅ جميع الجهات الحكومية
✅ مشغلي ومطوري الخدمات الرقمية
✅ الجهات المستضيفة للخدمات
✅ شركات القطاع الخاص الشريكة
مع تكامل تنظيمي كامل مع:
-
الهيئة الوطنية للأمن السيبراني
-
هيئة البيانات والذكاء الاصطناعي
-
أطر حوكمة البيانات الوطنية
