📚 قاعدة المعرفة

يجب على المؤسسات في المملكة العربية السعودية تنفيذ مراقبة شاملة لأمن الحوسبة السحابية والاستجابة للحوادث بما يتماشى مع متطلبات الهيئة الوطنية للأمن السيبراني. يجب أن تشمل المراقبة الأمنية: نشر أدوات إدارة الوضع الأمني السحابي (CSPM) لتقييم امتثال التكوين بشكل مستمر، وأنظمة إدارة معلومات الأمن والأحداث (SIEM) لتحليل السجلات المركزية، وحلول وسيط أمن الوصول السحابي (CASB) لمراقبة استخدام الخدمات السحابية، والتنبيه الآلي للأنشطة المشبوهة. يجب جمع السجلات من جميع موارد الحوسبة السحابية بما في ذلك مثيلات الحوسبة وقواعد البيانات والتخزين وحركة مرور الشبكة واستدعاءات API، والاحتفاظ بها لمدة سنة واحدة كحد أدنى، وحمايتها من التلاعب. بالنسبة للاستجابة للحوادث: إنشاء مركز عمليات أمنية (SOC) مخصص أو استخدام خدمات أمنية مُدارة، وتطوير كتيبات الاستجابة للحوادث الخاصة ببيئات الحوسبة السحابية، وتنفيذ قدرات الكشف عن الحوادث والاستجابة لها تلقائياً، وضمان تغطية المراقبة على مدار الساعة طوال أيام الأسبوع. يجب الإبلاغ عن الحوادث الحرجة للهيئة الوطنية للأمن السيبراني في غضون ساعة واحدة من الاكتشاف، مع تقديم تقارير مفصلة عن الحوادث في غضون 72 ساعة. يجب على المؤسسات إجراء تدريبات منتظمة للاستجابة للحوادث، والحفاظ على الجاهزية الشرعية في بيئات الحوسبة السحابية، وإنشاء بروتوكولات اتصال مع مزودي الخدمات السحابية للحوادث الأمنية. يُوصى بالتكامل مع المركز الوطني للأمن السيبراني التابع للهيئة الوطنية للأمن السيبراني لتبادل معلومات التهديدات.

يضع إطار ضوابط الأمن السيبراني للحوسبة السحابية (CCC) التابع للهيئة الوطنية للأمن السيبراني متطلبات أمنية شاملة لبيئات الحوسبة السحابية في المملكة العربية السعودية. تشمل الضوابط الرئيسية: إدارة الهوية والوصول (IAM) مع المصادقة متعددة العوامل (MFA) للحسابات المميزة، والتحكم في الوصول القائم على الأدوار (RBAC)، ومراجعات الوصول المنتظمة. تتطلب حماية البيانات تشفير البيانات أثناء التخزين باستخدام AES-256 أو ما يعادله، والتشفير أثناء النقل باستخدام TLS 1.2 أو أعلى، وإدارة آمنة للمفاتيح. يفرض أمن الشبكات تقسيم الشبكة، وأنظمة كشف/منع التطفل (IDS/IPS)، والحماية من هجمات DDoS. يتطلب التسجيل والمراقبة جمع السجلات المركزية، والاحتفاظ بها لمدة سنة واحدة على الأقل، والمراقبة الأمنية في الوقت الفعلي. تشمل إدارة الثغرات تقييمات الثغرات المنتظمة، وإدارة التصحيحات ضمن أطر زمنية محددة، واختبار الاختراق. تتطلب الاستجابة للحوادث إجراءات موثقة، والإبلاغ عن الحوادث للهيئة الوطنية للأمن السيبراني ضمن أطر زمنية محددة، وقدرات الطب الشرعي. تفرض استمرارية الأعمال استراتيجيات النسخ الاحتياطي، وخطط التعافي من الكوارث التي يتم اختبارها سنوياً، وأهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) المحددة. يتطلب الامتثال والمراجعة عمليات تدقيق أمنية منتظمة، وتقييمات الامتثال، وتوثيق الضوابط الأمنية.

تفرض المملكة العربية السعودية متطلبات صارمة لإقامة البيانات والسيادة عليها للخدمات السحابية. بموجب نظام حماية البيانات الشخصية (PDPL) ولوائح الهيئة الوطنية للأمن السيبراني، يجب تخزين البيانات الشخصية الحساسة والبيانات الحكومية داخل الحدود الجغرافية للمملكة العربية السعودية. يُطلب من مشغلي البنية التحتية الحيوية والجهات الحكومية استخدام مراكز البيانات المحلية أو المناطق السحابية الموجودة في المملكة. بالنسبة للبيانات الحكومية المصنفة، يعد استخدام البنية التحتية السحابية المملوكة للحكومة (G-Cloud) أو حلول السحابة الخاصة المعتمدة داخل الحدود السعودية إلزامياً. يجب على المؤسسات ضمان حدوث عمليات معالجة البيانات والنسخ الاحتياطي والتعافي من الكوارث داخل المنشآت السعودية المعتمدة. تتطلب عمليات نقل البيانات عبر الحدود موافقة صريحة ويجب أن تمتثل للمادة 26 من نظام حماية البيانات الشخصية، والتي تسمح بالنقل الدولي فقط إلى البلدان ذات مستويات حماية البيانات الكافية أو من خلال آليات معتمدة. أنشأ مزودو الخدمات السحابية الرئيسيون مثل AWS وMicrosoft Azure وGoogle Cloud وOracle مناطق محلية في المملكة العربية السعودية لتلبية هذه المتطلبات، مع مراكز بيانات في الرياض والدمام.

يجب على المؤسسات اتباع إجراءات سليمة من الناحية الجنائية: 1) تنفيذ توثيق سلسلة الحفظ لجميع الأدلة؛ 2) إنشاء صور جنائية للأنظمة المتأثرة دون تغيير البيانات الأصلية؛ 3) جمع السجلات من جدران الحماية وأنظمة كشف ومنع التسلل والخوادم ونقاط النهاية مع طوابع زمنية دقيقة؛ 4) توثيق جميع الإجراءات المتخذة أثناء التحقيق؛ 5) تخزين الأدلة بشكل آمن مع وصول محدود. يجب الحفاظ على الأدلة لدعم الإجراءات القانونية المحتملة بموجب القانون السعودي وتحقيقات الهيئة الوطنية للأمن السيبراني. يجب على المؤسسات استخدام أدوات منع الكتابة لنسخ الأقراص، والاحتفاظ بقيم التجزئة (SHA-256) للتحقق من السلامة، وضمان أن معالجة الأدلة تتوافق مع المعايير القانونية السعودية. التنسيق مع الهيئة والسلطات السعودية عند الاشتباه في نشاط إجرامي، والاحتفاظ بالأدلة للفترة المحددة في الأنظمة السعودية (عادة 3-5 سنوات).

وفقاً للضوابط الأساسية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني، تتكون الاستجابة للحوادث من خمس مراحل رئيسية: 1) التحضير - إنشاء قدرات وسياسات وفرق الاستجابة للحوادث؛ 2) الكشف والتحليل - تحديد وتقييم الحوادث الأمنية؛ 3) الاحتواء - الحد من نطاق وتأثير الحادث؛ 4) الإزالة والاستعادة - إزالة التهديدات واستعادة العمليات الطبيعية؛ 5) النشاط اللاحق للحادث - إجراء الدروس المستفادة وتحسين الدفاعات. يجب على المؤسسات في المملكة العربية السعودية توثيق هذه الإجراءات وضمان التوافق مع متطلبات الهيئة، بما في ذلك الإبلاغ الإلزامي عن الحوادث الكبيرة ضمن الأطر الزمنية المحددة.

يجب على المؤسسات العاملة في المملكة العربية السعودية الإبلاغ عن الحوادث السيبرانية الحرجة للهيئة الوطنية للأمن السيبراني خلال ساعة واحدة من اكتشافها عبر منصة الإبلاغ الرسمية (فريق الاستجابة لطوارئ الحاسب الآلي). بالنسبة للحوادث عالية الخطورة، يجب أن يتم الإبلاغ خلال 24 ساعة، والحوادث متوسطة الخطورة خلال 72 ساعة. تشمل الحوادث الحرجة تلك التي تؤثر على البنية التحتية الحرجة أو الأمن الوطني أو الخدمات الأساسية أو التي تتضمن اختراقات بيانات كبيرة. يجب على المؤسسات تقديم إخطار أولي يتبعه تقارير مفصلة تتضمن الجدول الزمني للحادث وتقييم التأثير وإجراءات الاحتواء وخطط المعالجة. قد يؤدي عدم الامتثال لمتطلبات الإبلاغ إلى عقوبات بموجب أنظمة الأمن السيبراني السعودية.

يجب أن يتضمن فريق الاستجابة للحوادث السيبرانية في المملكة العربية السعودية: 1) مدير الاستجابة للحوادث - ينسق أنشطة الاستجابة والاتصالات مع الهيئة الوطنية للأمن السيبراني؛ 2) محللو الأمن - يجرون التحقيق التقني وتحليل التهديدات؛ 3) عمليات تقنية المعلومات - يتعاملون مع الاحتواء واستعادة الأنظمة؛ 4) المستشار القانوني - يضمن الامتثال للقوانين السعودية ومتطلبات حماية البيانات؛ 5) مسؤول الاتصالات - يدير الاتصالات الداخلية والخارجية؛ 6) ممثل الإدارة - يوفر الصلاحية التنفيذية وتخصيص الموارد. يجب أن يكون الفريق متاحاً على مدار الساعة طوال أيام الأسبوع للأنظمة الحرجة، مع إجراءات تصعيد موثقة وقنوات اتصال آمنة وتدريب منتظم. يجب على المؤسسات الاحتفاظ بقوائم اتصال محدثة وضمان فهم أعضاء الفريق لالتزامات الإبلاغ للهيئة والمتطلبات التنظيمية الخاصة بالمملكة بما في ذلك الامتثال لنظام حماية البيانات الشخصية.

يجب أن تتضمن المراجعات اللاحقة للحوادث في المملكة العربية السعودية: 1) جدول زمني مفصل للحادث من الكشف إلى الحل؛ 2) تحليل السبب الجذري لتحديد الثغرات المستغلة؛ 3) تقييم فعالية الاستجابة والالتزام بالإجراءات؛ 4) تقييم التأثير المالي والتشغيلي؛ 5) تحديد الدروس المستفادة وفرص التحسين؛ 6) تقييم محدث للمخاطر يعكس التهديدات الجديدة؛ 7) توصيات لتعزيز الضوابط الأمنية؛ 8) مراجعة الامتثال لمتطلبات الإبلاغ للهيئة الوطنية للأمن السيبراني. يجب على المؤسسات توثيق النتائج في تقرير رسمي، وتحديث خطط الاستجابة للحوادث وفقاً لذلك، وتنفيذ الإجراءات التصحيحية ضمن أطر زمنية محددة، وإجراء تدريب متابعة. يجب أن تقيّم المراجعة التنسيق مع الهيئة والسلطات السعودية الأخرى، وضمان أن التحسينات تتماشى مع متطلبات الضوابط الأساسية وتحديثات إطار الأمن السيبراني السعودي.

يتطلب تأمين بيئات الحوسبة السحابية المتعددة والهجينة في المملكة العربية السعودية نهجاً شاملاً يتماشى مع إرشادات الهيئة الوطنية للأمن السيبراني: تنفيذ إدارة موحدة للهوية والوصول عبر جميع المنصات السحابية باستخدام الاتحاد والدخول الموحد؛ نشر سياسات وضوابط أمنية متسقة عبر جميع البيئات السحابية باستخدام أدوات أصلية وخارجية؛ إنشاء إطار حوكمة أمنية مركزي يغطي جميع مزودي الخدمات السحابية؛ تنفيذ التشفير للبيانات الثابتة والمتنقلة باستخدام خوارزميات معتمدة من الهيئة؛ استخدام منصات حماية أحمال العمل السحابية للحصول على أمان متسق عبر بيئات مختلفة؛ الحفاظ على تقسيم الشبكة والتقسيم الدقيق بين الموارد السحابية والمحلية؛ تنفيذ مبادئ بنية الثقة المعدومة مع التحقق المستمر؛ التأكد من أن جميع مزودي الخدمات السحابية يستوفون متطلبات اعتماد الهيئة؛ إجراء تقييمات أمنية منتظمة عبر جميع المنصات السحابية؛ إنشاء إجراءات واضحة لتصنيف البيانات والتعامل معها لتدفقات البيانات متعددة السحابة؛ تنفيذ مراقبة الامتثال والإبلاغ الآلي؛ الاحتفاظ بجرد مفصل للأصول عبر جميع البيئات السحابية؛ والتأكد من أن خطط التعافي من الكوارث واستمرارية الأعمال تغطي جميع المنصات السحابية.

يجب على المؤسسات في المملكة العربية السعودية تنفيذ قدرات شاملة لمراقبة أمن الحوسبة السحابية والاستجابة للحوادث بما يتوافق مع متطلبات الهيئة الوطنية للأمن السيبراني. تشمل خطوات التنفيذ الرئيسية: نشر حلول إدارة معلومات وأحداث الأمن (SIEM) لجمع وتحليل السجلات من الخدمات السحابية؛ تنفيذ أدوات إدارة وضع أمن الحوسبة السحابية (CSPM) لمراقبة الامتثال للتكوين بشكل مستمر؛ إنشاء قدرات مركز عمليات الأمن (SOC) على مدار الساعة أو الشراكة مع مزودي خدمات الأمن المُدارة المرخصين من الهيئة؛ تكوين تنبيهات تلقائية للأنشطة المشبوهة وانتهاكات السياسات؛ الاحتفاظ بسجلات تدقيق مفصلة لمدة 365 يوماً كحد أدنى وفقاً لأنظمة الهيئة؛ تنفيذ حلول وسيط أمن الوصول السحابي (CASB) لمراقبة الوصول إلى البيانات وحركتها؛ إنشاء إجراءات الاستجابة للحوادث بما يتماشى مع متطلبات الإبلاغ عن الحوادث للهيئة (خلال ساعة واحدة للحوادث الحرجة)؛ إجراء تقييمات أمنية منتظمة واختبارات الاختراق؛ التكامل مع المركز الوطني للعمليات السيبرانية لتبادل معلومات التهديدات؛ والتأكد من تسجيل جميع الأحداث الأمنية باللغتين العربية والإنجليزية للامتثال التنظيمي.

تفرض المملكة العربية السعودية متطلبات صارمة لإقامة البيانات وتوطينها للخدمات السحابية لضمان سيادة البيانات والأمن القومي. وفقاً لأنظمة الهيئة الوطنية للأمن السيبراني ونظام حماية البيانات الشخصية: يجب تخزين ومعالجة جميع البيانات الحكومية المصنفة على أنها 'سرية' أو 'سرية للغاية' داخل المملكة العربية السعودية؛ يجب أن تتواجد بيانات البنية التحتية الحرجة والبيانات الشخصية للمواطنين السعوديين بشكل أساسي في مراكز البيانات المحلية؛ يجب أن يكون لدى مزودي الخدمات السحابية بنية تحتية مادية داخل المملكة للتعامل مع البيانات الحساسة؛ تتطلب عمليات نقل البيانات خارج المملكة موافقة صريحة ويجب أن تمتثل لأنظمة نقل البيانات عبر الحدود؛ يجب أيضاً أن تكون أنظمة النسخ الاحتياطي والتعافي من الكوارث للبيانات الحرجة موجودة داخل الحدود السعودية؛ ويجب على المؤسسات الاحتفاظ بسجلات مفصلة لموقع البيانات وحركتها. أنشأ مزودو الخدمات السحابية الرئيسيون مثل AWS وMicrosoft Azure وGoogle Cloud مناطق محلية في المملكة العربية السعودية لتلبية هذه المتطلبات.

يوفر إطار الحوسبة السحابية السعودي، الذي طورته الهيئة الوطنية للأمن السيبراني، إرشادات شاملة للاعتماد الآمن للحوسبة السحابية في المملكة. يصنف الخدمات السحابية إلى ثلاثة مستويات من المخاطر (عالية، متوسطة، منخفضة) بناءً على حساسية البيانات ويتطلب من المؤسسات: تصنيف بياناتها وفقاً للإطار الوطني لتصنيف البيانات؛ اختيار مزودي الخدمات السحابية الذين يستوفون متطلبات اعتماد الهيئة الوطنية للأمن السيبراني؛ تنفيذ ضوابط أمنية مناسبة بناءً على تصنيف البيانات؛ ضمان سيادة البيانات مع تخزين البيانات الحكومية الحرجة داخل المملكة العربية السعودية؛ إجراء تقييمات أمنية للموردين والعناية الواجبة؛ إنشاء اتفاقيات مستوى خدمة واضحة تغطي المسؤوليات الأمنية؛ والحفاظ على قدرات مسارات التدقيق والتسجيل. يفرض الإطار على الجهات الحكومية إعطاء الأولوية لمزودي الخدمات السحابية المعتمدين من الهيئة ويتطلب من مؤسسات القطاع الخاص التي تتعامل مع البيانات الحساسة الامتثال لمعايير مماثلة.

يخضع أمن الحوسبة السحابية في المملكة العربية السعودية لعدة أنظمة رئيسية: الضوابط الأساسية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني، والتي تفرض ضوابط أمنية محددة للخدمات السحابية؛ والإطار التنظيمي للحوسبة السحابية الذي يحدد متطلبات مزودي الخدمات السحابية العاملين في المملكة؛ ونظام حماية البيانات الشخصية الذي يتطلب توطين البيانات وتدابير الحماية. يجب على المؤسسات التأكد من امتثال مزودي الخدمات السحابية لديهم لضوابط الأمن السيبراني السحابي التابعة للهيئة الوطنية للأمن السيبراني، وتنفيذ متطلبات إقامة البيانات والحفاظ على البيانات الحساسة داخل الحدود السعودية، وإجراء تقييمات أمنية منتظمة، والحفاظ على قدرات الاستجابة للحوادث. كما توفر الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) إرشادات للجهات الحكومية التي تستخدم الخدمات السحابية.

تشمل أفضل الممارسات لتصنيف الحوادث في مراكز العمليات الأمنية السعودية: 1) تطبيق نظام خطورة من أربع مستويات (حرج، عالي، متوسط، منخفض) متوافق مع عتبات الإبلاغ عن الحوادث للهيئة الوطنية للأمن السيبراني، 2) يجب الإبلاغ عن الحوادث الحرجة التي تؤثر على الخدمات الأساسية للهيئة خلال ساعة واحدة، 3) يجب أن تأخذ معايير التصنيف في الاعتبار حساسية البيانات بموجب نظام حماية البيانات الشخصية، والتأثير على البنية التحتية الحرجة، والآثار المحتملة على الأمن الوطني، 4) التصنيف الآلي باستخدام قواعد الربط في أنظمة SIEM مع التحقق اليدوي، 5) مسارات تصعيد واضحة إلى مسؤول أمن المعلومات والإدارة التنفيذية والهيئة عند الحاجة، 6) التوثيق باللغتين العربية والإنجليزية للامتثال التنظيمي، 7) التكامل مع أطر الاستجابة الوطنية للحوادث، و8) المراجعة والتحديث المنتظم لمصفوفات التصنيف بناءً على المشهد المتطور للتهديدات في المنطقة.

تشمل مقاييس مركز العمليات الأمنية الأساسية للمؤسسات السعودية: 1) مقاييس الامتثال: التزام توقيت الإبلاغ عن الحوادث للهيئة الوطنية للأمن السيبراني (الهدف: 100٪ ضمن الأطر الزمنية المطلوبة)، معدل تنفيذ ضوابط ECC، درجة الامتثال لنظام حماية البيانات الشخصية، 2) المقاييس التشغيلية: متوسط الوقت للكشف (MTTD) ومتوسط الوقت للاستجابة (MTTR) لدرجات خطورة الحوادث المختلفة، معدل الإيجابيات الكاذبة (الهدف: <20٪)، معدل إغلاق التنبيهات، 3) مقاييس التغطية: نسبة تغطية مصادر السجلات، اكتمال جرد الأصول، مستوى تكامل أدوات الأمن، 4) مقاييس التهديدات: عدد التهديدات المكتشفة والمحظورة، الثغرات الحرجة المعالجة ضمن اتفاقية مستوى الخدمة، معدلات نجاح محاكاة التصيد الاحتيالي، 5) المقاييس التنظيمية: معدل إغلاق نتائج التدقيق، نسبة الامتثال للسياسات، معدلات إكمال التدريب للموظفين السعوديين، 6) مقاييس تأثير الأعمال: الخسائر المالية المنع، توفر النظام أثناء الحوادث، معدل منع اختراق البيانات، و7) مقاييس الإبلاغ: تحديثات لوحة المعلومات التنفيذية باللغة العربية، التقارير الفصلية للهيئة، وتوثيق الدروس المستفادة من الحوادث التي تؤثر على المؤسسات السعودية.

يجب أن يشمل تطوير القوى العاملة في مركز العمليات الأمنية في المملكة العربية السعودية: 1) الامتثال لمتطلبات السعودة (نطاقات) مع التركيز على تطوير المواهب المحلية في الأمن السيبراني، 2) متطلبات الشهادات بما في ذلك GIAC أو CEH أو ما يعادلها المعترف بها من قبل الأكاديمية الرقمية السعودية، 3) التدريب الإلزامي على أطر الهيئة الوطنية للأمن السيبراني وضوابط ECC والأنظمة السعودية للأمن السيبراني، 4) إتقان اللغتين العربية والإنجليزية للتوثيق والتواصل، 5) التدريب المتخصص على التهديدات التي تستهدف البنية التحتية السعودية ومتجهات الهجوم الإقليمية، 6) التطوير المهني المستمر من خلال برامج مثل الاتحاد السعودي للأمن السيبراني والبرمجة والدرونز، 7) التدريب العملي على الأدوات والتقنيات المنشورة في البيئات السعودية، 8) فهم متطلبات الأمن السيبراني للتمويل الإسلامي لمراكز العمليات الأمنية في القطاع المالي، 9) تمارين منتظمة على الطاولة تحاكي الهجمات على البنية التحتية الحرجة السعودية، و10) المعرفة بمتطلبات نظام حماية البيانات الشخصية وأنظمة توطين البيانات.

تشمل أفضل ممارسات دمج معلومات التهديدات لمراكز العمليات الأمنية السعودية: 1) الاشتراك في مصادر التهديدات والتنبيهات الصادرة عن الهيئة الوطنية للأمن السيبراني، 2) دمج معلومات التهديدات الإقليمية من مبادرات الأمن السيبراني لمجلس التعاون الخليجي، 3) استخدام منصات معلومات التهديدات العالمية (MISP، STIX/TAXII) مع إعطاء الأولوية للتهديدات الخاصة بالشرق الأوسط، 4) تطبيق الاستيعاب الآلي لمؤشرات التهديد في أنظمة SIEM وأدوات الأمن، 5) وضع التهديدات في سياقها بناءً على البيئة التنظيمية السعودية وأنماط الهجمات المحلية، 6) إنشاء برامج للبحث عن التهديدات تركز على مجموعات التهديدات المستمرة المتقدمة التي تستهدف المملكة والقطاعات الحرجة (الطاقة، المالية، الحكومية)، 7) المشاركة في مجتمعات تبادل المعلومات مع احترام متطلبات سيادة البيانات، 8) تدريب محللي مركز العمليات الأمنية على اتصالات الجهات الفاعلة في التهديدات باللغة العربية والسياق الجيوسياسي الإقليمي، و9) تقارير منتظمة عن معلومات التهديدات للإدارة باللغة العربية تسلط الضوء على المخاطر الخاصة بالمملكة.

وفقاً لضوابط الأمن السيبراني الأساسية (ECC) وإرشادات مركز العمليات الأمنية الصادرة عن الهيئة الوطنية للأمن السيبراني، تشمل المكونات الأساسية: 1) قدرات المراقبة على مدار الساعة طوال أيام الأسبوع مع موظفين سعوديين مؤهلين، 2) أنظمة إدارة معلومات وأحداث الأمن (SIEM) المتكاملة مع مصادر معلومات التهديدات، 3) إجراءات الاستجابة للحوادث متوافقة مع متطلبات الإبلاغ عن الحوادث للهيئة، 4) إدارة السجلات والاحتفاظ بها لمدة 365 يوماً على الأقل كما تفرضه الأنظمة، 5) التكامل مع المنصات الوطنية للأمن السيبراني وآليات مشاركة التهديدات، 6) التقييمات الأمنية المنتظمة واختبارات الاختراق، 7) كتيبات إجراءات موثقة لسيناريوهات الهجمات الشائعة، و8) مراقبة الامتثال للأنظمة السعودية بما في ذلك نظام حماية البيانات الشخصية والمتطلبات الخاصة بالقطاعات.

يجب أن يتضمن مركز العمليات الأمنية الفعال في المملكة العربية السعودية: 1) قدرات مراقبة على مدار الساعة طوال أيام الأسبوع متوافقة مع متطلبات الهيئة الوطنية للأمن السيبراني، 2) أنظمة SIEM لتجميع وتحليل السجلات، 3) محللو أمن سيبراني مهرة على دراية بالتهديدات المحلية، 4) إجراءات الاستجابة للحوادث المتوافقة مع أطر عمل المركز الوطني الإرشادي والهيئة الوطنية للأمن السيبراني، 5) مصادر معلومات التهديدات بما في ذلك بيانات التهديدات الإقليمية، 6) التكامل مع المنصات الوطنية للأمن السيبراني مثل منصة الاستجابة لحوادث الأمن السيبراني الوطنية، 7) التوثيق باللغتين العربية والإنجليزية، 8) التدريبات والتمارين المنتظمة، 9) كتيبات آلية للحوادث الشائعة، و10) أدوات مراقبة الامتثال للأنظمة السعودية بما في ذلك نظام حماية البيانات الشخصية والمتطلبات الخاصة بكل قطاع.

بالنسبة للمؤسسات السعودية، يتضمن نموذج التوظيف الموصى به لمركز العمليات الأمنية: 1) محللو المستوى الأول (L1) للفرز الأولي للتنبيهات والمراقبة، 2) محللو المستوى الثاني (L2) للتحقيق في الحوادث وتحليلها، 3) محللو/مهندسو المستوى الثالث (L3) للبحث المتقدم عن التهديدات والطب الشرعي الرقمي، 4) مدير مركز العمليات الأمنية للإشراف على العمليات، 5) محلل معلومات التهديدات على دراية بالتهديدات الإقليمية. يجب أن يوفر هيكل المناوبات تغطية على مدار الساعة مع مراعاة أسبوع العمل السعودي (الأحد-الخميس) وأوقات الصلاة. يستخدم النموذج النموذجي ثلاث مناوبات مدة كل منها 8 ساعات أو مناوبتين مدة كل منها 12 ساعة مع التداخل خلال ساعات الذروة. يجب استيفاء متطلبات السعودة وفقاً لإرشادات وزارة الموارد البشرية، مع برامج تدريبية لتطوير الكفاءات المحلية. خلال شهر رمضان، يتم وضع جداول مرنة تراعي ساعات الصيام مع الحفاظ على التغطية الأمنية. الحد الأدنى لنسب التوظيف: محلل واحد لكل 1000 موظف للمؤسسات الكبيرة، مع وجود محللين على الأقل في الخدمة في جميع الأوقات.