برنامج شهادة التزام الأطراف الخارجية بضوابط الأمن السيبراني

أُستحدث  برنامج اعتماد الالتزام بضوابط الأمن السيبراني (CCC) لضمان التزام جميع الأطراف الخارجية لدى أرامكو السعودية لمتطلبات الأمن السيبراني الواردة في معيار أرامكو السعودية للأمن السيبراني للأطراف الخارجية رقم 002 (SACS-002).

كيفية الحصول على الشهادة؟

الفصل 1

اتبع الخطوات التالية للحصول على شهادة الالتزام بضوابط الأمن السيبراني (CCC) من أرامكو السعودية:

1-  إعداد متطلبات الشهادة
1-1  يجب على الشركات الراغبة في مزاولة أعمال تجارية مع أرامكو السعودية والتسجيل فيها الالتزام بجميع الضوابط الواردة في "أ. قسم المتطلبات العامة" من معيار أرامكو السعودية للأمن السيبراني للأطراف الخارجية رقم (SACS-002). 
2-1  يجب على الشركات التي لديها اتفاقية شراء سارية مع أرامكو السعودية:
   1-2-1 رفع طلب إلى جميع الدوائر المعنية في أرامكو السعودية ممن ترتبط شركتك معهم بأعمال سارية لتعبئة نموذج تصنيف الأطراف الخارجية.
   2-2-1  تعبئة خطاب تأكيد تصنيف الأطراف الخارجية.
   3-2-1 يتوجب على الشركة في حال كانت تندرج تحت أكثر من تصنيف، الالتزام بجميع ضوابط الأمن السيبراني الواردة ضمن التصنيفات المحددة.
3-1 تحديد نوع الشهادة المُنطبق ومتطلبات التقييم:

تصنيف الشركة نوع الشهادة طريقة التقييم
  • متطلبات عامة
  • شركة خارجية تتولى تنفيذ البنى التحتية
  • تصميم البرامج حسب الطلب

شهادة الامتثال بضوابط الأمن السيبراني- (CCC)

تجري الشركة تقييم التزام ذاتي حسب معيار أرامكو السعودية للأمن السيبراني رقم 002 (SACS-002)، ومن ثم تتحقق منه شركة التدقيق المعتمدة عن بعد.

  • الاتصال المباشر
  • معالج البيانات الهامة

شهادة الالتزام بضوابط الأمن السيبراني بلس (+CCC)

تقوم شركة التدقيق المعتمدة بتقييم الالتزام وفقًا لمعايير أرامكو السعودية للأمن السيبراني رقم 002 (SACS-002) في الموقع.


4-1 في حال انطبق على تصنيف شركتك كل من شهادة الالتزام بضوابط الأمن السيبراني (CCC) وشهادة الالتزام بضوابط الأمن السيبراني بلس (+CCC)، فلن يتم قبول سوى شهادة الالتزام بلس (+CCC).
5-1 تطبيق جميع ضوابط الأمن السيبراني المُنطبقة والمنصوص عليها في معيار أرامكو السعودية للأمن السيبراني رقم (SACS-002).

2- إجراء تقييم التزام ذاتي
1-2 بالنسبة لشهادة الالتزام بضوابط الأمن السيبراني بلس (CCC+)، يُرجى تخطي هذه الخطوة والانتقال للخطوة رقم 3 (هذاالقسم خاص بشهادات الالتزام بضوابط الأمن السيبراني (CCC) فقط)
2-2 قم بتعبئة جميع الحقول الواردة في تقرير الالتزام بضوابط الأمن السيبراني للأطراف الخارجية.
3-2 تأكد من أن الإجابات شاملة ومشروحة بوضوح، وقم بإرفاق المستندات الداعمة.
4-2 التأكد من أن المستندات
    - واضحة ومقروءة ومختومة بالوقت
    - تظهر ما يثبت صلتها بالجهة الخارجية
    - مُشار إليها بوضوح في اللقطات المأخوذة من الشاشة

3- اختيار شركة تدقيق معتمدة
1-3 اختر شركة تدقيق من قائمة شركات التدقيق المعتمدة
2-3 أبرم عقدًا مع شركة التدقيق المعتمدة قبل تأكيد التقييم

4- التحقق من الالتزام والإصدار
1-4 شهادة الالتزام ضوابط الأمن السيبراني
    1-1-4 أرسل تقرير الالتزام بضوابط الأمن السيبراني للأطراف الخارجية بعد تعبئته، ونموذج تصنيف الأطراف الخارجية، وخطاب تأكيد تصنيف الأطراف الخارجية إلى شركة التدقيق المعتمدة، قبل تأكيد التقييم.
    2-1-4 ستتحقق شركة التدقيق المعتمدة من المستندات المقدمة وتصدر تقرير الالتزام بضوابط الأمن السيبراني للأطراف الخارجية.
2-4 شهادة الامتثال بضوابط الأمن السيبراني بلس (+CCC)
   1-2-4 أرسل نموذج تصنيف الأطراف الخارجية وخطاب تأكيد التصنيف الخاص بالأطراف الخارجية إلى شركة التدقيق المعتمدة قبل تأكيد التقييم.
   2-2-4 نسق مع شركة التدقيق المعتمدة لإجراء تقييم للالتزام بالإجراءات في الموقع.
   3-2-4 ستقوم شركة التدقيق المعتمدة بإجراء التقييم في الموقع وإصدار تقرير الالتزام بضوابط الأمن السيبراني.
3-4 إذا كانت الشركة ملتزمة التزامًا تامًا بجميع المتطلبات المنطبقة من معيار أرامكو السعودية للأمن السيبراني رقم (SACS-002)، فستصدر شركة التدقيق المعتمدة شهادة الالتزام بضوابط الأمن السيبراني للأطراف الخارجية.
4-4 في حالة عدم تحقيق شركتك الالتزام التام ستزودك شركة التدقيق المعتمدة بالضوابط التي تحتاج إلى تنفيذها، للحصول على العلامة الكاملة في تقييم الالتزام.
5-4 طبق النتائج وقدم تقرير الالتزام بضوابط الأمن السيبراني للأطراف الخارجية بعد تحديثه إلى شركة التدقيق المعتمدة لتأكيدالتقييم.

5- تسليم شهادة الالتزام بضوابط الأمن السيبراني (CCC) الصادرة
1-5 أرسل شهادة الالتزام بضوابط الأمن السيبراني للأطراف الخارجية وتقرير الالتزام بضوابط الأمن السيبراني الصادرين عن شركة التدقيق المعتمدة إلى أرامكو السعودية، من خلال نظام e-marketplace. 

6- سريان شهادة الالتزام بضوابط الأمن السيبراني (CCC) وتجديدها
1-6 شهادة الالتزام بضوابط الأمن السيبراني (CCC) سارية لمدة عامين من تاريخ الإصدار.
2-6  في حال حصول شركتك على مقاولة جديدة تتضمن نوع تصنيف للأمن السيبراني غير مشمول في الشهادة الحالية السارية، فيجب الحصول على شهادة جديدة وتقديمها.
3-6 يجب على شركتك تقديم شهادة التزام جديدة بضوابط الأمن السيبراني (CCC) قبل انتهاء فترة العامين. 
4-6 يُرجى ملاحظة أنه ستكون هناك تحديثات متكررة بين أرامكو السعودية وشركات التدقيق المعتمدة تتعلق بشهادة الالتزام بضوابط الأمن السيبراني (CCC).

شركات التدقيق المعتمدة 

الفصل 2

اختارت إدارة أمن المعلومات في أرامكو السعودية شركات تدقيق معتمدة لإجراء التقييمات وإصدار شهادة الالتزام بضوابط الأمن السيبراني (CCC) حسب معايير أرامكو السعودية للأمن السيبراني للأطراف الخارجية رقم 002(SACS-002).

  • بيكر تيلي 
  • بي دي أو، الدكتور محمد العمري وشركاه
  • كرو (Crowe)
  •  ديلويت اند توش الشرق الأوسط المحدودة
  • جرانت ثورنتون
  • KPMG كي بي إم جي
  • السعودية - آر إس إم 
  • الاتصالات السعودية للحلول المتقدمة
  • الخدمات المدارة

قائمة شركات التدقيق المعتمدة (بصيغة بي دي إف 362 كيلوبايت).

تحميل الملفات

الفصل 3

الأسئلة الشائعة

الفصل 4

الأسئلة الشائعة

    الأسئلة الشائعة
ما الهدف من برنامج اعتماد الالتزام بضوابط الأمن السيبراني (CCC)؟

أُستحدث برنامج اعتماد الالتزام بضوابط الأمن السيبراني (CCC)لضمان حصول جميع الأطراف الخارجية على شهادة الالتزام بضوابط الأمن السيبراني من شركات التدقيق المعتمدة، لتأكيد التزامهم بمتطلبات الأمن السيبراني كما هو منصوص عليه في معيار أرامكو السعودية للأمن السيبراني للأطراف الخارجية رقم 002 (SACS-002)، لمزاولة الأعمال مع أرامكو السعودية.

مالفرق بين من شهادة الالتزام بضوابط الأمن السيبراني (CCC) وشهادة الالتزام بضوابط الأمن السيبراني بلس (+CCC)؟

يتطلب الحصول على شهادة الالتزام بضوابط الأمن السيبراني (CCC) من الجهة الخارجية إجراء تقييم التزام ذاتي بضوابط النطاق الموضحة في معيار أرامكو السعودية للأمن السيبراني رقم 002 (SACS-002)، والتحقق من إجراءات تقييم الالتزام عن طريق إحدى شركات التدقيق المُعتمدة عن بُعد. بينما يتطلب الحصول على شهادة الالتزام بضوابط الأمن السيبرانيبلس (+CCC) حضور إحدى شركات التدقيق المُعتمدة للموقع لإجراء تقييم للجهة الخارجية وفقًا لضوابط النطاق وحسبما هو موضح في معيار أرامكو السعودية للأمن السيبراني رقم 002 (SACS-002). تُطلب شهادة الالتزام بضوابط الأمن السيبراني بلس (+CCC) من الأطراف الخارجية التي تندرج تحت تصنيف الاتصال المباشر ومعالج البيانات الهامة، في حين تُطلب شهادة الالتزام بضوابط الأمن السيبراني (CCC) من الأطراف الخارجية المتبقية التي لا تندرج تحت التصنيفات المذكورة أعلاه.

ما نوع الشهادة التي تنطبق على شركتي؟

يعتمد الأمر على التصنيف الذي ستقرره الدائرة المعنية في أرامكو السعودية، وصاحب المقاولة، وذلك وفقًا لمعيار أرامكو السعودية للأمن السيبراني للأطراف الخارجية رقم 002 (SACS-002)، حيث سيُحدد التصنيف نوع الشهادة المطلوبة من شركتك. 

كم مدة سريان شهادة الامتثال بضوابط الأمن السيبراني (CCC)؟

ستكون الشهادة سارية لمدة عامين من تاريخ الإصدار، بشرط عدم تغيير تصنيف الجهة الخارجية خلال فترة العامين.

هل يتوجب علي الحصول على شهادة التزام (CCC) جديدة في كل مرة أتقدم فيها للحصول على عقد جديد؟

يعتمد الأمر على طبيعة عملك، ففي حال كنت تندرج تحت نفس التصنيف، فلن تحتاج إلى التقدم للحصول على شهادة جديدة، بخلاف ذلك، ستحتاج إلى التواصل مع شركة التدقيق لإجراء تقييم  التزام بضوابط الأمن السيبراني حسب الضوابط المتعلقة بالتصنيف المحدث الذي سيغطي الفئة الأصلية، بالإضافة إلى الفئة الجديدة.

ماهي شركة التدقيق التي يجب أن نختارها؟ 

التدقيق التي يجب أن نختارها؟ ليس لدى أرامكو السعودية أية تفضيلات بخصوص اختيار شركة التدقيق، طالما أنك ستعمل مع إحدى شركات التدقيق المعتمدة المدرجة في هذا الموقع.

كيف يمكنني تقديم الشهادة فور حصولي عليها من شركة التدقيق؟

يتوجب عليك تقديم شهادة التزام الأطراف الخارجية بضوابط الأمن السيبراني، وتقرير شهادة  الالتزام بضوابط الأمن السيبراني إلى أرامكو السعودية من خلال نظام e-marketplace.