أعلنت هيئة الحكومة الرقمية عن إصدار «ضوابط تصنيف الخدمات الحكومية الرقمية الحساسة ومستويات التحقق»، ضمن إطار تنظيمي يهدف إلى رفع كفاءة الخدمات الرقمية وتعزيز موثوقيتها، في ظل التوسع المتسارع في التحول الرقمي وتزايد التحديات السيبرانية.
تأتي هذه الوثيقة امتدادًا للتوجهات التنظيمية السابقة التي أقرتها الهيئة، وتعكس استجابة مباشرة للمتغيرات التقنية والمخاطر الأمنية، لا سيما في ما يتعلق بعمليات الاحتيال الرقمي وانتحال الهوية.
ويستند إصدار الضوابط إلى قرار مجلس الوزراء رقم (418) الصادر في 25 رجب 1442هـ، والذي منح الهيئة صلاحية تنظيم أعمال الحكومة الرقمية ووضع المعايير الفنية ذات العلاقة، بالتنسيق مع الجهات المختصة مثل الهيئة الوطنية للأمن السيبراني، وهيئة البيانات والذكاء الاصطناعي.
تصنيف دقيق لحساسية الخدمات… إطار لتقدير المخاطر واستمرارية التشغيل
تعتمد الوثيقة على تصنيف الخدمات الرقمية الحكومية ضمن خمس فئات لحساسية الخدمة، وهي: منخفض، متوسط، مهم، حرج، وحرج جداً. ويُبنى هذا التصنيف على تحليل منهجي لمستوى الأثر المتوقع في حال تعرض الخدمة للانقطاع أو التلاعب أو سوء الاستخدام، ويشمل تقييم الأثر المالي، والتنظيمي، والقانوني، والسمعة العامة، وفترة التعافي التشغيلية (RTO).
ويُعد هذا التصنيف نقطة انطلاق حيوية لتحديد مستوى التحقق المطلوب لضمان هوية المستخدم، بحيث يتم ربط كل فئة من فئات الحساسية بمستوى تحقق معين، ضمن إطار تدرج تقني وإجرائي يوازن بين متطلبات الأمان وتجربة الاستخدام.
التحقق حسب مستوى الخطر… ثلاث درجات لحماية الهوية الرقمية
انطلاقًا من مبدأ «التحقق على قدر المخاطرة»، حددت الوثيقة ثلاثة مستويات لضمان التحقق من هوية المستخدم، وهي:
- AAL1: مخصص للخدمات منخفضة الحساسية، ويتطلب استخدام أحد عناصر التحقق فقط (المعرفة، أو الحيازة، أو الملازمة).
- AAL2: مخصص للخدمات المتوسطة أو المهمة، ويتطلب تحققًا ثنائياً باستخدام اثنين من العناصر الثلاثة.
- AAL3: مخصص للخدمات الحرجة أو الحرجة جداً، ويتطلب تحققًا ثلاثيًا باستخدام العناصر الثلاثة معًا.
آليات تحقق مرنة وفعالة… عناصر الهوية الثلاثة
تعتمد ضوابط التحقق على تفعيل عناصر الهوية الثلاثة العالمية، وهي:
- عنصر المعرفة: مثل كلمة المرور أو أسئلة الأمان.
- عنصر الحيازة: مثل رمز يُرسل إلى الهاتف أو جهاز مصادقة.
- عنصر الملازمة: مثل بصمة الإصبع أو الوجه أو الصوت.
ويتم تفعيل هذه العناصر تدريجيًا حسب مستوى الحساسية، بما يضمن تعدد طبقات الحماية دون تحميل المستخدم عبئًا غير مبرر. وتتماهى هذه المنهجية مع أفضل الممارسات العالمية في أمن الهوية الرقمية، مثل تلك التي ينص عليها إطار NIST 800-63 الأمريكي.
ضمان استمرارية الخدمة… آليات استجابة وتفاعل مرن
تشمل الوثيقة آليات استجابة متقدمة لضمان استمرارية الخدمات الرقمية، عبر نماذج استباقية وتفاعلية لمعالجة الأعطال والانقطاعات، خاصة في الخدمات المقدمة عبر القطاع الخاص. وتؤكد الوثيقة مسؤولية الجهة الحكومية عن ضمان استمرارية الخدمة، حتى عند الاستعانة بطرف ثالث.
وتنص الضوابط على أن الجهات الحكومية ملزمة بتبني خطة تعافٍ مرنة للخدمات الحرجة، وتفعيل أدوات للحد من آثار الانقطاع، وإشراك المستفيدين في مراحل الاستجابة وتعزيز موثوقية التجربة.
نطاق التطبيق… تكامل تنظيمي ومسؤولية شاملة
تُطبق هذه الضوابط على جميع الجهات الحكومية، والجهات المشغلة والمطورة والمستضيفة للخدمات الرقمية، سواء كانت تقدم الخدمات بشكل مباشر أو بالنيابة من خلال القطاع الخاص. وتُلزم الهيئة جميع الجهات بالتقيد بالضوابط وفق الآليات التي تقرها، بالتنسيق مع الجهات التنظيمية الأخرى ذات العلاقة.
كما تؤكد الوثيقة على أهمية الالتزام بضوابط الهيئة الوطنية للأمن السيبراني، والتكامل مع تعليمات هيئة البيانات والذكاء الاصطناعي، في إطار موحد لحوكمة البيانات، والتحول الرقمي، والأمن السيبراني.
