سياسة تأمين الحوسبة السحابية

‫سياسة تأمين الحوسبة السحابية‬
‫اإلصدار‪1.0 :‬‬
‫المؤلف‪ :‬قسم إدارة مخاطر األمن السيبراني‬
‫تصنيف الوثيقة‪ :‬عام‬
‫تاريخ النشر‪ :‬اغسطس ‪2018‬‬

‫تاريخ الوثيقة‪:‬‬
‫االصدار‬ ‫وصف االصدار‬ ‫التاريخ‬
‫‪1.0‬‬ ‫نشر النسخة االولى ‪1.0‬‬ ‫مارس ‪2018‬‬

‫‪1.1‬‬ ‫تغيير العالمات المؤسسية‬ ‫ابريل ‪2016‬‬
‫‪1.2‬‬ ‫تمييز االسئلة اإلجبارية‬ ‫يونيو ‪2017‬‬
‫‪1.3‬‬ ‫تعديل النسق و تغيير شعار الوزارة‬ ‫أغسطس ‪2018‬‬

‫التصنيف‪ :‬عام‬
‫قائمة احملتوايت‬
‫التكليف القانون ‪5...........................................................................................‬‬ ‫‪1-‬‬
‫مقدمة ‪6......................................................................................................‬‬ ‫‪2-‬‬
‫التعاريف ‪7....................................................................................................‬‬ ‫‪3-‬‬
‫ما ه الحوسبة السحابية ‪9................................................................................‬‬ ‫‪4-‬‬
‫خصائص الحوسبة السحابية‪10........................................................................ :‬‬ ‫‪4-1‬‬
‫نماذج خدمة الحوسبة السحابية ‪10.....................................................................‬‬ ‫‪4-2‬‬
‫نماذج االستخدام‪10...................................................................................... :‬‬ ‫‪4-3‬‬
‫لماذا هناك حاجة لسياسة قطرية ألمن الحوسبة السحابية؟ ‪11...................................‬‬ ‫‪4-4‬‬
‫المخاطر المحتملة للحوسبة السحابية ‪12.............................................................‬‬ ‫‪5-‬‬
‫مسؤولية الجهة إزاء النماذج المختلفة للسحاب ‪14...................................................‬‬ ‫‪6-‬‬
‫المحركات الرئيسية لالستخدام ‪15.......................................................................‬‬ ‫‪7-‬‬
‫النطاق والتطبيق ‪16........................................................................................‬‬ ‫‪8-‬‬
‫نصوص السياسة ‪16........................................................................................‬‬ ‫‪9-‬‬
‫سياسة أمن السحاب ‪16...................................................................................‬‬ ‫‪10-‬‬
‫غرض السياسة ‪16..........................................................................................‬‬ ‫‪10-1‬‬
‫السياسة والضوابط األساسية ‪17.........................................................................‬‬ ‫‪10-2‬‬
‫رسعة األداء‪17...............................................................................................‬‬ ‫‪11-‬‬
‫غرض السياسة ‪17..........................................................................................‬‬ ‫‪11-1‬‬

‫ر‬
‫االفتاضية ‪18..................................................................................‬‬ ‫التحول إىل‬ ‫‪12-‬‬
‫غرض السياسة ‪18..........................................................................................‬‬ ‫‪12-1‬‬
‫إدارة الهوية والسجالت ‪20................................................................................‬‬ ‫‪13-‬‬
‫غرض السياسة ‪20..........................................................................................‬‬ ‫‪13-1‬‬

‫أمن تطبيقات ر‬
‫اإلنتنت ‪21.................................................................................‬‬ ‫‪14-‬‬
‫غرض السياسة ‪21..........................................................................................‬‬ ‫‪14-1‬‬
‫التعاف من الكوارث ‪23......................................................................................‬‬ ‫‪15-‬‬

‫غرض السياسة ‪23..........................................................................................‬‬ ‫‪15-1‬‬
‫استخالص المعلومات ألغراض قانونية أو جنائية‪24..................................................‬‬ ‫‪16-‬‬
‫غرض السياسة ‪24..........................................................................................‬‬ ‫‪16-1‬‬
‫المنصات متعددة المستخدمي ‪24......................................................................‬‬ ‫‪17-‬‬
‫غرض السياسة ‪24..........................................................................................‬‬ ‫‪17-1‬‬
‫إدارة السحاب ‪25............................................................................................‬‬ ‫‪18-‬‬
‫غرض السياسة ‪26..........................................................................................‬‬ ‫‪18-1‬‬
‫المتطلبات التعاقدية لمزود خدمة السحاب ‪26........................................................‬‬ ‫‪19-‬‬
‫غرض السياسة ‪26..........................................................................................‬‬ ‫‪19-1‬‬
‫توصيات عامة للجهات الحكومية ‪28....................................................................‬‬ ‫‪20-‬‬
‫المراجع‪28.................................................................................................. :‬‬ ‫‪21-‬‬
‫الملحق أ ( استبيان تقييم مزود خدمة السحاب المتعاقد معه) ‪29.................................‬‬ ‫‪22-‬‬
‫الملحق ب‪ :‬نموذج اتفاقية رسية معلومات ‪71.........................................................‬‬ ‫‪23-‬‬

‫‪ -1‬التكليف القانوني‬
‫ينص القرار األميري رقم )‪ (8‬لسنة ‪ 2016‬بشأن تحديد تفويض و ازرة المواصالت واالتصاالت (المشار إليها فيما‬
‫بسلطة اإلشراف على قطاعات تكنولوجيا المعلومات‬
‫بعد باسم "الو ازرة"") على أن تتمتع و ازرة المواصالت واالتصاالت ُ‬
‫واالتصاالت داخل دولة قطر وتنظيمها وتطويرها بطريقة متوافقة مع متطلبات أهداف التنمية الوطنية‪ ،‬وذلك بهدف‬
‫إيجاد بيئة مناسبة للمنافسة العادلة ودعم تطوير وتحفيز االستثمار في تلك القطاعات؛ ومن أجل تأمين وزيادة كفاءة‬
‫المعلومات والهياكل األساسية التكنولوجية وتنفيذ برامج الحكومة اإللكترونية واإلشراف عليها‪ ،‬باإلضافة إلى تحسين‬
‫الوعي المجتمعي بأهمية تكنولوجيا المعلومات واالتصاالت لتحسين حياة الفرد والمجتمع المحلي وبناء مجتمع قائم‬
‫على المعرفة واالقتصاد الرقمي‪.‬‬
‫وتنص المادة )‪ (22‬من القرار األميري رقم )‪ (8‬لسنة ‪ 2016‬على دور الو ازرة في حماية الهيكل األساسي للمعلومات‬
‫الوطنية الهامة عن طريق اقتراح وإصدار السياسات والمعايير وضمان االمتثال‪.‬‬
‫حاليا في دولة قطر‪ .‬وفي حالة نشوء أي اختالف‬
‫وقد أُعدت المبادئ التوجيهية الماثلة بمراعاة القوانين المعمول بها ً‬
‫بين هذه الوثيقة وقوانين دولة قطر‪ ،‬تعطى األسبقية لقوانين دولة قطر‪ .‬ولذلك الغرض ُيحذف ذلك البند من هذه‬
‫الوثيقة‪ ،‬على أن تظل بقية الوثيقة سارية المفعول بدون التأثير على باقي األحكام‪ .‬وفي تلك الحالة ستكون التعديالت‬
‫ضرورية لضمان االمتثال للقوانين ذات الصلة المعمول بها داخل دولة قطر‪.‬‬

‫‪ -2‬مقدمة‬
‫تتيح احلوسبة السحابية الكثري من الفوائد املمكنة للجمهور وللجهات احلكومية‪ ،‬ومن بني تلك الفوائد القابلية للتوسع‬
‫‪،‬واملرونة‪ ،‬واألداء العايل‪ ،‬واجلهد اإلداري األقل‪ ،‬ابإلضافة إىل التكلفة االقتصادية وسرعة االنتقال والوقت األسرع للوصول‬
‫إىل السوق وكذلك فرص االبتكار اجلديدة‪.‬‬
‫وتسعى هذه الوثيقة إىل حتقيق تفهم وإدارة والسيطرة على املخاطر اليت تؤثر بشكل رئيسي على السرية واألمن واملرونة‬
‫املتعلقة ابستخدا هذه اإلمكانية‪.‬‬
‫وعاد ًة ما تفرض إدارة األمن واملرونة يف بيئات تكنولوجيا املعلومات التقليدية حتدايت ابلنسبة للجهات احلكومية‪ ،‬وتطرح‬
‫احلوسبة السحابية بعض التحدايت اإلضافية‪.‬‬
‫على سبيل املثال‪:‬‬

‫• غياب التعريفات الواضحة املتعلقة ابلسحاب واخلدمات والتصميمات املختلفة املرتبطة به‪.‬‬
‫• غياب االعتماد والتوثيق واملعايري املتعلقة أبمن السحاب‪ ،‬واملواءمة غري املكتملة مع معايري األمن املستخدمة‬
‫يف الوقت احلايل‪.‬‬
‫• غياب لغة ومنهجية شراء واضحة الختيار خدمة السحاب األكثر مالءمة‪.‬‬
‫• غياب فهم واضح آلاثر ونتائج احلوسبة السحابية فيما يتعلق بنقل البياانت بني الدول‪.‬‬
‫• ضمان االلتزا ابلقوانني واللوائح الوطنية‪.‬‬
‫األكثر أمهية هو كيف ميكننا استيعاب التحول يف التوازن بني املسؤولية واملساءلة ابلنسبة للوظائف الرئيسية مثل احلوكمة‬
‫والرقابة على البياانت وعمليات تكنولوجيا املعلومات‪ ،‬ويف بعض األحيان جودة وتوفر االتصال بشبكة االنرتنت الذي يعد‬
‫عنصراً أساسياً للخدمة‪.‬‬
‫إن الغرض من هذه السياسة هو تقدمي نظرة عامة على احلوسبة السحابية وما تنطوي عليه من حتدايت تتعلق ابألمن‬
‫واخلصوصية ‪ .‬وتناقش هذه الوثيقة التهديدات واملخاطر التكنولوجية ووسائل احلماية لبيئات السحاب ‪،‬كما تسعى لتوفري‬
‫الرؤية واألفكار الالزمة ملساعدة صناع القرار فيما يتعلق بتكنولوجيا املعلومات واالتصاالت يف اختاذ قرارات مدروسة عن‬
‫طريق توفري أدوات مثل االستبياانت التفصيليي اليت ميكن استخدامها لتقييم عروض مزود خدمة السحاب ‪.‬‬

‫‪ -3‬التعاريف‬
‫• اجلهات‪ :‬الوزارات واجملالس العليا وغريها من اجلهات احلكومية ومنظمات القطاع العا يف قطر‪.‬‬
‫• االفرتاضية املتقدمة‪ :‬تتم عندما يكون لدى البنية التحتية االفرتاضية لتكنولوجيا املعلومات واالتصاالت قدرات إدارة‬
‫مميكنة‪.‬‬
‫• التطبيق كخدمة )‪ :(Aaas‬انظر الربانمج كخدمة)‪.(SaaS‬‬
‫• السحاب‪ :‬مصطلح يستخد للشبكات العاملية‪ ،‬وقد استخد يف األصل لإلشارة إىل الشبكة اهلاتفية ولكن يشيع‬
‫استخدامه اآلن يف اإلشارة لشبكة االنرتنت‪.‬‬
‫• وسيط السحاب‪ :‬جهة تقو إبنشاء وإدارة العالقات مع عدة مزودي خدمة السحاب‪ .‬وتعمل كحلقة ربط بني‬
‫مزودي خدمة السحاب وعمالء خدمة السحاب‪ .‬وال ميتلك وسيط السحاب مصادر سحاب خاصة به‪.‬‬
‫• ‪ :Cloud bursting‬أسلوب يستخدمه السحاب اهلجني (انظر السحاب اهلجني) لتوفري موارد إضافية‬
‫للسحاب اخلاص عند احلاجة‪ .‬فإذا زاد عبء العمل عن سعة السحاب اخلاص‪ ،‬خيصص السحاب اهلجني موارد‬
‫إضافية بشكل تلقائي من خالل هذا األسلوب‪.‬‬
‫• خدمات احلوسبة السحابية‪ :‬انظر البند رقم ‪.4-4‬‬
‫• نظام تشغيل السحاب‪ :‬نظا تشغيل مصمم خصيصاً للعمل ضمن بنية حتتية سحابية ويقد للمستخد على‬
‫الشبكة‪.‬‬
‫• التصميم السحايب‪ :‬تصميم لتكنولوجيا املعلومات يتوائم متاماً مع مكوانت قائمة على السحاب‪.‬‬
‫• القابلية للنقل عرب السحاب‪ :‬القدرة على نقل التطبيقات والبياانت من أحد مزودي خدمات السحاب إىل مزود‬
‫آخر خلدمات السحاب (فيما يتعلق ابالعتماد على مورد واحد)‪.‬‬
‫• مزود خدمة السحاب‪ :‬جهة (عامة أو خاصة) تقد منصات أو بىن حتتية أو تطبيقات أو أمن أو خدمات حفظ‬
‫قائمة على السحاب جلهة‪ /‬منظمة أخرى‪ .‬وعادةً ما تقد هذه اخلدمة لقاء رسو ‪.‬‬
‫• خدمات السحاب‪ :‬انظر البند رقم ‪.4-4‬‬
‫• تصميم خدمة السحاب‪ :‬تصميم تعمل فيه التطبيقات كخدمات على شبكة اإلنرتنت‪.‬‬
‫• التخزين على السحاب‪ :‬خدمة تتيح للعمالء حفظ البياانت بنقلها على شبكة اإلنرتنت‪ /‬شبكة اتصال واسعة‬
‫)‪ (WAN‬لنظا حفظ آخر يديره طرف اثلث‪.‬‬
‫• استخدام موارد السحاب‪ :‬استخدا خدمة السحاب بدالً من خدمة تكنولوجيا املعلومات التقليدية مثل تعهيد‬
‫حفظ البياانت إىل جهات خارجية‪.‬‬
‫• ربط شبكات السحاب‪ :‬ربط عدة بيئات حوسبة سحابية‪.‬‬
‫• برانمج السحاب‪ :‬برانمج يتيح إنشاء أو استخدا أو تشغيل أو إدارة التطبيقات يف السحاب‪.‬‬
‫• سحاب اجملتمع‪ :‬انظر البند رقم ‪.6-4‬‬
‫• اخلدمة الذاتية للعميل‪ :‬خاصية تتيح لعمالء السحاب استخدا وإدارة وإهناء اخلدمات ألنفسهم دون اللجوء ملزود‬
‫اخلدمة‪.‬‬
‫• ملصقات التصنيف‪:‬‬
‫‪ o‬غري مصنفة أو عامة أو بدون ملصق‪ :‬معلومات عامة‪.‬‬
‫‪ o‬داخلية‪ :‬لالستخدا الداخلي للجهة احلكومية؛ أي مادة يتسبب اإلفصاح عنها يف ضرر بسيط إىل متوسط‬
‫للطرف املتأثر‪.‬‬
‫‪ o‬اطالع حمدود‪ :‬قصر االطالع على مستخدمني أو أدوار أو جمموعات مستخدمني حمددة؛ أي مواد يتسبب‬
‫اإلفصاح عنها يف ضرر جدي للطرف املتأثر‪.‬‬
‫‪ o‬حمظورة‪ :‬معلومات سرية مع قصر االطالع على ممجموعة صغرية جداً من األشخاص؛ أي مواد يتسبب‬
‫اإلفصاح عنها يف ضرر ابلغ للطرف املتأثر‪.‬‬
‫• التجميع‪ :‬عملية جتميع البياانت أو اهلوايت عرب عدة منصات‪ ،‬وميكن أن يدار التجميع من قبل مزود خدمة سحاب‬
‫أو وسيط خدمة سحاب‪.‬‬
‫• احلوكمة‪ :‬الضوابط واملمارسات والعمليات اليت تتأكد من االلتزا والتقيد ابلسياسات‪.‬‬
‫• حوسبة الشبكات‪ :‬ختصيص موارد عدة أجهزة حاسب آيل يف شبكة واحدة ملواجهة مشكلة واحدة يف نفس الوقت‪.‬‬
‫• جملس التعاون اخلليجي‪ :‬جملس التعاون لدول اخلليج العربية وهو احتاد سياسي واقتصادي للدول العربية واليت هلا‬
‫حدود على اخلليج العريب وتقع يف شبه اجلزيرة العربية أو ابلقرب منها؛ وهي‪ ،‬حتديداً‪ ،‬البحرين والكويت وعمان‬
‫وقطر واململكة العربية السعودية واإلمارات العربية املتحدة‪.‬‬
‫• األجهزة أو البنية التحتية كخدمة )‪ :(Iaas‬انظر البند بعنوان‪ :‬األجهزة أو البنية التحتية كخدمة‪.‬‬
‫• تطبيق مستضاف‪ :‬تطبيق يعتمد على شبكة اإلنرتنت ويعمل عن بعد‪.‬‬
‫• السحاب الداخلي‪ :‬نوع من السحاب اخلاص تقد خدماته من إدارة لتكنولوجيا املعلومات للعاملني يف اجلهة اليت‬
‫تضم تلك اإلدارة‪.‬‬
‫• جتميع املوارد املستقلة عن املوقع‪ :‬هو نوع من جتميع املوارد يتيح ملزود خدمة السحاب تعيني املوارد (املادية‬
‫واالفرتاضية) للعميل‪ ،‬وال تعتمد تلك املوارد على املوقع‪.‬‬
‫• الربانمج الوسطي‪ :‬برانمج يقع بني التطبيقات وأنظمة التشغيل‪ ،‬وعادة ما يتكون من خدمات تتيح وتدعم التشغيل‬
‫يف تصميم موزع‪ ،‬ومثال ذلك البياانت على إحدى قواعد البياانت اليت ميكن الوصول إليها من خالل قاعدة بياانت‬
‫أخرى على منصة خمتلفة‪.‬‬
‫• وزارة املواصالت واالتصاالت‪ :‬وزارة املواصالت واالتصاالت يف دولة قطر‪.‬‬

‫• سياسة أتمني املعلومات الوطنية‪ :‬سياسة أتمني املعلومات الوطنية هي جمموعة كاملة من ضوابط األمن الصادرة من‬
‫مركز كيوسرت‪ ،‬قطاع األمن التابع لوزارة املواصالت و االتصاالت‪.‬‬
‫• املنصة كخدمة )‪ :(PaaS‬انظر البند رقم ‪.6-4‬‬
‫• الفريق القطري لالستجابة لطوارئ احلاسبات (كيوسرت)‪ (:‬إحدى مبادرات وزارة املواصالت واإلتصاالت اليت‬
‫تعىن بقضااي األمن السيرباين)‪.‬‬
‫• مصفوفة املسؤولية واملساءلة والتشاور واإلعالم )‪ :(RACI‬منوذج شائع يستخد لتحديد أدوار ومسؤوليات‬
‫أعضاء املبادرات ذات الوظائف املتداخلة‪ .‬وتتيح املصفوفة لألعضاء سهولة حتديد اجملموعات املسؤولة واليت ستساءل‬
‫عن األنشطة وتلك اليت جيب التشاور معها أو إعالمها‪.‬‬
‫• الربانمج كخدمة )‪ :(SaaS‬انظر البند رقم ‪.6-4‬‬
‫• اتفاقية مستوى اخلدمة‪ :‬اتفاق تعاقدي بني مزود خدمة وعميل (إحدى اجلهات احلكومية) حيدد متطلبات العميل‬
‫‪،‬وينص على مسؤوليات وضماانت مزود اخلدمة عن مستوى اخلدمة فيما يتعلق ابلتوفر واألداء والدعم‪.‬‬
‫• االعتماد على مورد واحد‪ :‬االعتماد على مورد معني (مزود خدمة سحاب) وصعوبة التحول من مزود خدمة‬
‫سحاب إىل آخر‪.‬‬
‫• آلة افرتاضية‪ :‬ملف (يعرف عاد ًة ابسم "الصورة") يظهر للمستخد عند استخدامه كآلة حقيقية‪ .‬وميكن تشغيل أو‬
‫وقف اآللة االفرتاضية حسب احلاجة‪ ،‬كما ميكن حفظ التغيريات اليت تتم على اآللة االفرتاضية أثناء عملها على قرص‬
‫جلعلها مستمرة (مصدر التعريف‪.)NIST :‬‬
‫• التحول إىل االفرتاضية‪ :‬حماكاة الربانمج أو اجلهاز حبيث ميكن أن يعمل عليه برانمج آخر‪.‬‬
‫• السحاب االفرتاضي اخلاص‪ :‬سحاب خاص يوجد ضمن سحاب مشرتك أو عا ‪.‬‬
‫‪ -4‬ما هي الحوسبة السحابية‬

‫احلوسبة السحابية‪ :‬هي منوذج لتوريد وتوفري تكنولوجيا املعلومات واالتصاالت إلاتحة اتصال الشبكة مبجموعة مشرتكة‬
‫من مصادر احلوسبة القابلة للتهيئة على حنو مالئم عند الطلب (مثل الشبكات واخلواد والتخزين والتطبيقات واخلدمات)‬
‫اليت ميكن توفريها وطرحها أبقل جهد إدارة أو تعامل مع مزود اخلدمة‪.‬‬
‫وتتألف احلوسبة السحابية من مخس خصائص رئيسية وثالثة مناذج خدمة وأربعة مناذج استخدا ‪.‬‬
‫البنية التحتية السحابية‪ :‬هي جمموع األجهزة والربامج اليت تتيح تفعيل اخلصائص الرئيسية اخلمس للحوسبة السحابية‬
‫‪.‬وميكن أن ينظر إىل البنية التحتية السحابية على أهنا حتتوي على طبقة مادية وطبقة جتريدية‪ .‬وتتألف الطبقة املادية من‬
‫األجهزة الضرورية لدعم خدمات السحاب اليت يتم توفريها‪ ،‬وتتألف الطبقة التجريدية من الربامج املستخدمة على الطبقة‬
‫املادية‪.‬‬

‫‪ 1-4‬خصائص الحوسبة السحابية‪:‬‬
‫• اخلدمة الذاتية عند الطلب‪ :‬ميكن للعميل جتهيز عدة قدرات حوسبة حسب احلاجة‪ .‬وميكن أن يتم ذلك على‬
‫شبكة االنرتنت بشكل كامل‪.‬‬
‫• االتصال العا ابلشبكة‪ :‬تتوفر اخلدمات على الشبكة‪ ،‬ويكون االتصال مدعوماً من خالل عدة منصات (مثل‬
‫اهلواتف النقالة واحلواسب اللوحية واحملمولة وحمطات العمل)‪.‬‬
‫• جتميع املوارد‪ :‬يتم جتميع مصادر احلوسبة التابعة ملزود خدمة السحاب خلدمة عدة مستهلكني يف نفس الوقت‬
‫‪،‬وميكن للمستهلكني أن يكونوا يف أي مكان يف العامل‪ .‬وتشمل أمثلة املصادر التخزين واملعاجلة والذاكرة والنطاق‬
‫العريض للشبكة‪.‬‬
‫• القابلية للتوسع‪ :‬ميكن أن يتم جتهيز وطرح مصادر السحاب بسهولة‪ .‬وابلنسبة للمستهلك‪ ،‬قد تبدو املصادر‬
‫املتاحة للتجهيز غري حمدودة‪ ،‬وميكن ختصيصها أبي مقدار ويف أي وقت‪.‬‬
‫• اخلدمة املدروسة‪ :‬تتحكم أنظمة السحاب يف استخدا املصادر وحتقيق األداء األمثل هلا بشكل تلقائي‪ .‬وميكن‬
‫مراقبة استخدا املصادر والتحكم فيه واإلبالغ عنه؛ مما يوفر الشفافية لكل من املزود واملستهلك‪.‬‬
‫‪ 2-4‬نماذج خدمة الحوسبة السحابية‬

‫• الربانمج كخدمة‪ :‬يتيح هذا النموذج للجهة احكومية إمكانية استخدا تطبيقات مزود خدمة السحاب اليت‬
‫تعمل على بنية حتتية سحابية‪ .‬وميكن الوصول إىل تطبيقات الربانمج على شبكة االنرتنت عرب واجهة انرتنت أو‬
‫عرب تطبيق جهاز كمبيوتر مكتيب‪ .‬وال يكون للمستهلك أي حتكم يف ضبط األجهزة األساسية ‪.‬‬
‫• املنصة كخدمة‪ :‬يتيح هذا النموذج للجهة احلكومية إمكانية استخدا أو تثبيت تطبيق قامت اجلهة إبنشائه أو‬
‫شرائه على البنية التحتية السحابية بشرط أن يكون قد مت إنشاء التطبيق ابستخدا لغات برجمة ومكتبات‬
‫وخدمات وأدوات يدعمها مزود خدمة السحاب‪ .‬وال يكون للمستهلك حتكم يف ضبط األجهزة األساسية أو‬
‫التخزين أو الشبكة أو نظا التشغيل أو مستوايت اإلدارة‪.‬‬
‫• البنية التحتية كخدمة‪ :‬يتيح هذا النموذج للجهة احلكومية إمكانية استخدا موارد املعاجلة والتخزين والشبكات‬
‫وغري ذلك من موارد احلوسبة حبيث يتمكن املستهلك من تثبيت وتشغيل أي برانمج مبا يف ذلك أنظمة تشغيل‬
‫وتطبيقات‪ .‬وال تدير اجلهة احلكومية البنية التحتية السحابية األساسية أو تتحكم فيها‪ ،‬ولكنها تتحكم يف أنظمة‬
‫التشغيل والتخزين والتطبيقات املستخدمة‪.‬‬
‫‪ 3-4‬نماذج االستخدام‪:‬‬
‫• السحاب اخلاص‪ :‬ختصص البنية التحتية السحابية لالستخدا احلصري من قبل منظمة واحدة‪ /‬جهة حكومية‬
‫واحدة تتألف من عدة مستهلكني )كاإلدارات املختلفة)‪ .‬وميكن امتالكها وإدارهتا وتشغيلها من قبل املنظمة أو‬
‫طرف اثلث‪ ،‬أو ابالشرتاك بني املنظمة وطرف اثلث‪ ،‬كما ميكن أن توجد يف املقر أو خارجه‪ ،‬أو داخل البالد‬
‫أو خارجها‪.‬‬
‫• سحاب اجلماعة‪ :‬ختصص البنية التحتية السحابية لالستخدا احلصري من قبل مجاعة معينة‪ /‬قطاع معني من‬
‫املستهلكني من منظمات تشرتك يف طبيعة العمل وااللتزامات (كأن يكون هلا نفس الرسالة‪ ،‬ونفس متطلبات‬
‫أمن تكنولوجيا املعلومات واالتصاالت‪ ،‬ونفس االعتبارات القانونية واالعتبارات املتعلقة ابلتزا القطاع)‪ .‬وميكن‬
‫امتالك هذه البنية التحتية السحابية وإدارهتا وتشغيلها من قبل واحدة أو أكثر من املنظمات اليت تضمها تلك‬
‫اجلماعة ‪،‬أو من قبل طرف اثلث‪ ،‬أو ابالشرتاك بني املنظمات وطرف اثلث‪ ،‬كما ميكن أن توجد يف املقر أو‬
‫خارجه‪ ،‬أو داخل البالد أو خارجها (مثل شبكة احلكومة القطرية)‪.‬‬
‫• السحاب العا ‪ :‬ختصص البنية التحتية السحابية لالستخدا املفتوح من قبل أي منظمة‪ .‬وميكن متلكها وإدارهتا‬
‫وتشغيلها من قبل منظمات خاصة أو عامة‪ ،‬أو أي خليط بني تلك املنظمات‪ .‬وتوجد هذه البنية التحتية يف‬
‫مقر مزود خدمة السحاب‪.‬‬
‫• السحاب اهلجني‪ :‬البنية التحتية هلذا السحاب عبارة عن خليط من بنيتني حتتيتني خمتلفتني أو أكثر (بنية حتتية‬
‫خاصة‪ ،‬أو بنية حتتية خاصة جبماعة‪ ،‬أو بنية حتتية عامة) تظل كياانت منفصلة‪ ،‬ولكنها مرتبطة ببعضها البعض‬
‫بتكنولوجيا موحدة أو خاصة تتيح قابلية البياانت والتطبيقات للنقل (مثل موازنة احلمل بني أنواع السحاب) ‪.‬‬
‫ويلخص اجلدول التايل املفاهيم الرئيسية للبندين رقم ‪ 4-4‬ورقم ‪6-4‬‬

‫األطراف اليت حيق هلا‬ ‫موقع البنية التحتية‬ ‫جهة ملكية البنية‬ ‫جهة إدارة* البنية‬
‫الوصول إىل البنية التحتية‬ ‫التحتية‬ ‫التحتية‬
‫واستهالكها‬
‫أي شخص‬ ‫خارج املوقع‬ ‫مزود خارجي‬ ‫مزود خارجي‬ ‫عامة‬
‫املوثوقون**‬ ‫يف املوقع أو‬ ‫اجلهة أو مزود‬ ‫اجلهة أو مزود‬ ‫خاصة‪ /‬خمصصة جلماعة‬
‫خارجه‬ ‫خارجي‬ ‫خارجي‬
‫املوثوقون وغريهم‬ ‫يف املوقع‬ ‫اجلهة و مزود‬ ‫اجلهة و مزود‬ ‫هجني‬
‫وخارجه‬ ‫خارجي‬ ‫خارجي‬
‫* تشمل اإلدارة‪ :‬احلوكمة والعمليات واألمن وااللتزا ‪ ...‬اخل‬
‫** املستهلكون املوثوقون‪ :‬هم الذين يعتربون جزءً من اجلهة من انحية قانونية‪.‬‬
‫‪ 4-4‬لماذا هناك حاجة لسياسة قطرية ألمن الحوسبة السحابية؟‬

‫على مدى السنوات‪ ،‬أصبحت منظمات تكنولوجيا املعلومات واالتصاالت واملهنيني يف جمال تكنولوجيا املعلومات‬
‫واالتصاالت يف قطر على دراية جيدة ابملخاطر وممارسات احلوكمة واملتطلبات القانونية املصاحبة لبيئات تكنولوجيا‬
‫املعلومات التقليدية القائمة على أجهزة الكمبيوتر املكتبية‪ .‬إال أنه نظراً للتصميم الفريد وطبيعة املوقع اخلارجي العابر للحدود‬
‫خلدمات السحاب‪ ،‬يتعني معاجلة متطلبات خصوصية وأمن املعلومات الشخصية (مشروع قانون خصوصية ومحاية معلومات‬
‫قطر) وكذلك متطلبات أمن البياانت احلكومية (سياسات أتمني املعلومات الوطنية) وعملياهتا واتصاالهتا من منظور‬
‫خمتلف‪.‬‬
‫‪ -5‬المخاطر المحتملة للحوسبة السحابية‬

‫تبعاً لنموذج السحاب الذي يقع عليه االختيار‪ ،‬يكون من الضروري تفهم املخاطر التالية واحلد منها‪.‬‬
‫التفسري‬ ‫املوضوع‬
‫ختصيص أقل‪ ،‬إذ قد يؤدي ذلك إىل زايدة التعقيدات عند التكامل مع‬ ‫تصميم التطبيق‬
‫األنظمة املتوارثة القائمة‪.‬‬
‫بعض التطبيقات اليت تتطلب الوصول إىل البياانت آين (مثل بعض تطبيقات‬
‫قواعد البياانت) قد حتتاج إىل املراجعة الستيعاب فرتة انتظار الشبكة‬
‫لتجنب األخطاء الناجتة عن املدخالت واملخرجات‪.‬‬
‫بعض مناذج تراخيص الربامج قد حتتاج إىل املراجعة الستيعاب‬
‫االستخدامات الفعالة للسحاب‪.‬‬
‫قبل اختاذ قرار االنتقال إىل بيئة السحاب‪ ،‬جيب على اجلهة احلكومية للدولة‬ ‫التصميم‬
‫أن تقيم أتثري ذلك على عمليات النشاط لتجنب أي عوائق فنية‪.‬‬
‫التطبيقات‪ /‬اخلدمات اليت مل تكن تتطلب الوصول إىل الشبكة قبل ذلك‬ ‫استمرارية العمل‬
‫للعمل كما ينبغي‪ ،‬سوف تتأثر بفقدان االتصال ابإلنرتنت و‪/‬أو الشبكة‬
‫الواسعة )‪ .(WAN‬وجيب مراجعة وتوثيق خطط استمرارية العمل‬
‫والتعايف من الكوارث بشكل كامل الستيعاب التصميم اجلديد‪.‬‬
‫نظرا للطبيعة الديناميكية للسحاب‪ ،‬قد ال تكون اجلهة احلكومية على علم‬
‫ً‬ ‫موقع البياانت‬
‫ات ابملوقع الفعلي للمعلومات اخلاصة هبا يف نقطة حمددة من الوقت‪.‬‬

‫نظراً لنموذج السداد اخلاص ببعض خدمات السحاب‪ ،‬قد حتتاج عملية‬ ‫التمويل‬
‫إعداد املوازنة التقديرية للمصروفات الرأمسالية لتكنولوجيا املعلومات‬
‫واالتصاالت إىل إعادة ختطيط حبيث تصنف كمصروفات تشغيلية بدالً‬
‫من مصروفات رأمسالية‪.‬‬
‫بعض مناذج تراخيص الربامج قد حتتاج إىل املراجعة الستيعاب‬
‫االستخدامات الفعالة للسحاب‪.‬‬
‫جيب أن يتوفر لدى اجلهة احلكومية القدرة على‪/‬ضمان أن جتد معلوماهتا‬ ‫اجلوانب القانونية والتنظيمية‬
‫و أن تصل إليها يف أي وقت‪.‬‬
‫جيب أن تكون اجلهات التابعة للدولة على دراية بكافة التشريعات‬
‫واملتطلبات التنظيمية القطرية‪ ،‬مبا يف ذلك على سبيل املثال ال احلصر‬
‫سياسة أتمني املعلومات الوطنية‪ ،‬وقانون االتصاالت رقم ‪ 64‬لسنة‬
‫‪ 4003‬وقانون محاية وخصوصية البياانت‪.‬‬
‫حتتاج اجلهات احلكومية إىل ضمان حتقيق مستوايت اخلدمة املتفق عليها‪.‬‬ ‫اتفاقيات مستوى اخلدمة‬
‫كما جيب أن تضمن تلك اجلهات وجود اتفاقيات مكتوبة ملستوى اخلدمة‬
‫مع مزودي خدمات السحاب‪.‬‬
‫جيب أن تكون اجلهات احلكومية مدركة للمخاطر املرتبطة أبي كشف‬ ‫اخلصوصية والسمعة‬
‫عن املعلومات احلكومية أو الشخصية حيدث من خالل وصول طرف‬
‫اثلث إىل تلك املعلومات‪.‬‬
‫جيب أن تكون اجلهات احلكومية على علم أبنه يف حالة حدوث خرق‬
‫للبياانت فإن ذلك سيؤثر أتثرياً سلبياً على مسعة اجلهة‪ ،‬ورمبا ميتد الضرر‬
‫إىل احلكومة ككل‪.‬‬
‫االنتقال إىل التصميم السحايب يعين طلب أقل على مسؤويل دعم األجهزة‬ ‫رأس املال البشري‬
‫واألنظمة املخصصة ملنتجات بعينها‪ ،‬وطلب أعلى على مهندسي النظم‬
‫ومديري الربامج ومسؤويل األمن واخلصوصية وحمللي البياانت ومصممي‬
‫ومطوري التطبيقات ‪.‬‬
‫جيب أن تكون اجلهات احلكومية مدركة أبهنا ستظل مسؤولة عن أمن‬ ‫األمن‬
‫املعلومات حىت عند االعتماد على مزود خدمات سحابية‪.‬‬

‫جيب أن تدرس اجلهات احلكومية قابلية البياانت للنقل يف حالة إخفاق‬
‫مزود خدمة السحاب‪ .‬كما جيب أن يؤخذ الوضع املايل ملزود خدمة‬
‫السحاب يف االعتبار لتقليل التغريات الناجتة عن اإلخفاق املايل ملزود خدمة‬
‫السحاب‪.‬‬
‫جيب أن تضمن اجلهات احلكومية وجود عقود بينها وبني مزود خدمة‬
‫السحاب تصف ضوابط األمن‪.‬‬
‫جيب أن جتري اجلهات احلكومية فحصاً شامالً لشهادات التزا مزود خدمة‬ ‫املعايري‬
‫السحاب‪ ،‬مع االنتباه اخلاص إىل نطاق وصالحية تلك الشهادات‪.‬‬
‫‪ -6‬مسؤولية الجهة إزاء النماذج المختلفة للسحاب‬

‫اعتماداً على منوذج السحاب الذي يتم اختياره‪ ،‬ميكن ألي جهة تشرتك يف خدمة األجهزة أو البنية التحتية كخدمة‬
‫)‪ (IaaS‬أن حتتفظ ابلسيطرة الكاملة‪ ،‬وتتحمل ابلتايل املسؤولية ‪،‬عن األمن والصيانة املستمرين لكافة أنظمة التشغيل‬
‫والتطبيقات وعمليات التهيئة االفرتاضية (مبا يف ذلك املشرف االفرتاضي وأجهزة األمن االفرتاضي) والبياانت‪ .‬ويف هذه‬
‫احلالة‪ ،‬يكون مزود خدمة السحاب مسؤوالً عن صيانة الشبكة امللموسة األساسية وأجهزة احلوسبة‪.‬‬
‫ويوضح الشكل التايل كيف تتباين مسؤولية كل جهة تبعاً لنموذج السحاب‪.‬‬
‫مثال لكيفية اختالف النطاق واملسؤولية تبعا لنوع خدمة السحاب‪:‬‬
‫مسؤولية مستهلك خدمات السحاب‬

‫مسؤولية مزود خدمات السحاب‬
‫نوع خدمة السحاب‬ ‫نطاق املسؤولية‬

‫الربانمج‬ ‫املنصة‬ ‫البنية‬
‫كخدمة‬ ‫كخدمة‬ ‫التحتية‬
‫)‪(SaaS‬‬ ‫)‪(PaaS‬‬ ‫كخدمة‬
‫)‪(IaaS‬‬
‫البياانت‬
‫الربامج‪ ،‬تطبيقات املستخد‬
‫أنظمة التشغيل‪ ،‬قواعد البياانت‬
‫البنية التحتية االفرتاضية (برانمج إدارة االفرتاضية ‪،hypervisor‬‬
‫التطبيقات االفرتاضية‪ ،‬املديرين االفرتاضيني ‪ ،VMs‬الشبكات االفرتاضية ‪..‬‬
‫اخل)‬
‫أجهزة الكمبيوتر والشبكات (املعاجل‪ ،‬الذاكرة‪ ،‬التخزين ‪ ،‬الربط ابلكابالت‬
‫‪ ...‬اخل)‬
‫مركز البياانت (مرفق مادي)‬

‫املصدر‪ :‬إرشادات التحول إىل االفرتاضية وفق معيار أمن بياانت بطاقات الدفع )‪4022 ،(PCI-DSS‬‬
‫‪ -7‬المحركات الرئيسية لالستخدام‬

‫تطرح احلوسبة السحابية العديد من املزااي والقدرات اليت ميكن اعتبارها حمفزات لالستخدا ابلنسبة للجهات‬
‫احلكومية‪.‬‬
‫املزااي‬ ‫احملفز‬
‫تقليل التكرار وختفيض التكلفة من خالل الدمج وجتميع املوارد واملشاركة فيها‪.‬‬ ‫القيمة مقابل املال‬
‫السماح ابلدفع "املتحكم فيه" املتاح من خالل منوذج "ادفع بقدر ما تستخد "‪.‬‬
‫توفري الطاقة واحلفاظ على البيئة‪.‬‬
‫جهد إداري أقل يسمح للجهة احلكومية ابلرتكيز على األهداف الرئيسية وحتسني‬
‫العمليات‪.‬‬
‫التجهيز واالستخدا السريع للخدمة والتوسع حسب الطلب‪.‬‬ ‫املرونة‬
‫درجة حضور عالية ودعم مهين على مدار الساعة‪.‬‬ ‫دعم التشغيل‬
‫السحاب عبارة عن منصة أكثر وحدة وتناغماً تتيح ميكنة إدارة األمن )مثل اختبار‬ ‫األمن‬
‫الثغرات‪ ،‬وعمليات التدقيق‪ ،‬وإدارة التحديثات( والتنفيذ املستمر ألفضل املمارسات‪.‬‬
‫تصمم منصات السحاب وتدار لتوفري عنصر احلضور والتواجد‪.‬‬

‫استخدا أنظمة السحاب تبعاً لدرجات املشروعات ميكن أيضاً أن تعزز األمن‪ .‬فقد‬
‫استثمر موردون كبار انضجني ومن مستوى مشروعات السحاب يف أنظمة‬
‫وعمليات متقدمة وموارد بشرية قادرة على توفري مستوى عاملي من األمن‪.‬‬
‫إن حجم التشغيل يعزز األمن ويقلل التكاليف للبناء واإلدارة يف السحاب مقارنةً‬
‫بقيا اجلهات ابلتنفيذ على مستوى فردي‪.‬‬
‫ونظراً حلجم ومستوى أعماهلم‪ ،‬ميكن ملوردي خدمات السحاب الكبار والناضجني‬
‫تعيني موظفني متخصصني‪ ،‬وهو ما يعترب أمراً غري اقتصادي ابلنسبة للجهات الفردية‪.‬‬
‫نظراً للمستوايت واملوارد اليت يتم جتميعها واملشاركة فيها يف السحاب‪ ،‬واليت يوفرها‬ ‫الذكاء‬
‫مورد خدمات السحاب (سواءً كان شريكاً أو جهة)‪ ،‬ميكن إنتاج سيناريوهات‬
‫جديدة ومبتكرة جبزء قليل جداً من التكلفة فيما لو مت التنفيذ بصورة فردية‪.‬‬
‫‪ -8‬النطاق والتطبيق‬
‫ت نطبق هذه الوثيقة على كافة اجلهات احلكومية يف احلكومة القطرية اليت تستخد أو ختطط الستخدا خدمات احلوسبة‬
‫السحابية‪ .‬كما ميكن أيضاً اعتبار الوثيقة مبثابة دليل أمين لقطاع االتصاالت وتكنولوجيا املعلومات ككل يف دولة قطر‪.‬‬
‫‪ -9‬نصوص السياسة‬
‫جيوز للجهات التابعة للحكومة القطرية اختيار خدمات سحابية حملية أو إبحدى دول جملس التعاون اخلليجي إذا أثبتت‬
‫التزاماً ابملتطلبات األمنية املنصوص عليها يف هذه الوثيقة‪ .‬وال جيوز للجهات التابعة للحكومة القطرية استخدا مزود‬
‫خدمات سحاب خارج الوالية القانونية أو احلدود اجلغرافية لدولة قطر ودول جملس التعاون اخلليجي ما مل تكن استحقاقات‬
‫اخلدمة مطابقة لقوانني خصوصية ومحاية املعلومات‪ ،‬وسياسة أتمني املعلومات الوطنية (وخاصة سياسة تصنيف البياانت)‬
‫وغري ذلك من القوانني والتشريعات احلاكمة واملعمول هبا‪.‬‬
‫سياسة أمن السحاب‬ ‫‪-10‬‬

‫‪ 1-10‬غرض السياسة‬
‫ي تمثل الغرض من هذه السياسة يف التأكد من أن جتهيز خدمة السحاب يتفق مع ويليب متطلبات األعمال واألمن‬
‫والقوانني واللوائح ذات الصلة‪.‬‬
‫‪ 2-10‬السياسة والضوابط األساسية‬
‫يتعني اعتماد وثيقة سياسة أمن احلوسبة السحابية لكل جهة من اإلدارة العليا‪ ،‬ويتم‬ ‫‪ 1-2-10‬وثيقة سياسة أمن‬
‫نشرها وتوزيعها على مجيع املوظفني واألطراف اخلارجية ذات الصلة سواءً كجزء من‬ ‫احلوسبة السحابية‬
‫سياسة أمن املعلومات للجهة أو كسياسة منفصلة‪ .‬وجيب أن حتدد السياسة األهداف‬
‫واألغراض اليت حتكم خدمة احلوسبة السحابية‪.‬‬
‫يتم حتديد اإلدارة العليا املسؤولة عن سياسة أمن احلوسبة السحابية ابالسم واملسمى‬ ‫‪ 2-2-10‬قيادة برانمج األمن‬
‫الوظيفة ورقم هاتف العمل وعنوان العمل واتريخ التكليف‪ .‬كما جيب توثيق التغيريات‬
‫اليت تطرأ على اإلدارة العليا يف غضون ثالثني (‪ )60‬يوماً تقوميياً من اتريخ سراين التغيري‪.‬‬
‫يتعني مراجعة سياسة األمن بشكل دوري على فرتات مقررة‪ ،‬أو حدثت تغيريات‬ ‫‪ 3-2-10‬مراجعة سياسة‬
‫مؤثرة‪ ،‬وذلك لضمان استمرار مالءمتها وكفايتها وفاعليتها‪.‬‬ ‫األمن‬
‫على سبيل املثال‪ :‬تعديالت التصميم‪ ،‬أو تعديالت منوذج اخلدمة أو حتديثات اخلدمة‬
‫أو تغيري مزود خدمة السحاب‪.‬‬
‫تلتز اجلهة احلكومية بعد توقيع أي اتفاق مع مزود خدمة السحاب قبل إكمال‬ ‫‪ 4-2-10‬إكمال وتقدمي‬
‫واجتياز كافة الضوابط اإللزامية يف )استبيان تقييم مزود خدمة السحاب)‬ ‫استبيان ضوابط أمن‬
‫(انظر امللحق أ)‪.‬‬ ‫السحاب‬
‫تلتز اجلهة احلكومية ابلتأكد من اجتياز مزود خدمة السحاب لكافة املتطلبات األمنية‬ ‫‪ 5-2-10‬تدقيق مزود خدمة‬
‫الضرورية وفقاً لتقييم جيريه مدقق مستقل‪.‬‬ ‫السحاب‬
‫سرعة األداء‬ ‫‪-11‬‬


‫ت عد سرعة األداء أحد أُسس وأبرز خصائص احلوسبة السحابية؛ ويقصد بذلك التحسينات والتحديثات والتعديالت‬
‫السريعة اليت ميكن تطبيقها على منتجات وخدمات السحاب‪ .‬إن هذا الوقت األقل واألقصر يف األداءايعين وقتاً أقل‬
‫إلكمال تقييم للمخاطر على حنو صحيح ولتقدير اآلاثر والنتائج األمنية ‪.‬‬
‫ختضع دوائر التحديث واإلصدار املالئمة اليت تؤثر على اخلصائص األمنية مع مزود‬ ‫‪ 1-2-11‬التحديثات‬
‫خدمة السحاب ملوافقة اجلهة احلكومية وفق ما حتدده فرق العمل التابعة للجهة‬ ‫واإلصدارات‬
‫احلكومية (مثل اجلوانب األمنية واستمرارية العمل واجلوانب القانونية واحلوكمة ‪....‬‬
‫اخل‪).‬‬
‫ستقو اجلهة احلكومية بطلب وتقييم معلومات تفصيلية عن كيفية ضمان وتطبيق‬ ‫‪ 2-2-11‬املمارسات السريعة‬
‫مزود خدمة السحاب إلدارة املخاطر على حنو يتسم ابلذكاء والسرعة والشمولية‬ ‫إلدارة خماطر مزود خدمة‬
‫وذلك قبل التعاقد معه‪.‬‬ ‫السحاب‬
‫تقو اجلهة احلكومية بتحقيق األداء األمثل يف عملياهتا وأدواهتا اخلاصة إبدارة‬ ‫‪ 3-2-11‬حتقيق األداء األمثل‬
‫املخاطر وذلك الستيعاب االستخدامات املتكررة والسريعة للسحاب‪.‬‬ ‫إلدارة املخاطر‬
‫ستقو اجلهة احلكومية بطلب والتحقق من مث املصادقة على منهجية مراقبة‬ ‫‪ 4-2-11‬منهجية فحص‬
‫املخاطر اخلاصة مبزود خدمة السحاب‪ ،‬أو التأكد من مطابقة سياسة أمن‬ ‫الضوابط لدى مزود خدمة‬
‫املعلومات ألفضل املمارسات العاملية‪.‬‬ ‫السحاب‬
‫التحول إلى االفتراضية‬ ‫‪-12‬‬


‫يف احلوسبة السحابية‪ ،‬أغلبية ضوابط الفصل املنطقي ليست مادية )مثل اخلواد املنفصلة)‪ .‬بدالً من ذلك ‪ ،‬يتم تنفيذ‬
‫الفصل من خالل ضوابط نظا وتطبيقات ممنطقية ممصممة للمساعدة يف ضمان جتزئة وسالمة البياانت عرب املنصة ‪.‬إن‬
‫أحد اآلليات الشائعة لتحقيق هذا الفصل يف البياانت واخلدمات هو "التحول إىل االفرتاضية"‪.‬‬
‫يتعني على اجلهة احلكومية تقييم إرشادات وسياسات تقوية التحول لالفرتاضية لدى‬ ‫‪ 1-2-12‬إرشادات‬
‫مزود خدمة السحاب‪ ،‬وتقييم الفجوة لدى الطرف الثالث وفقاً للمعايري القياسية‬ ‫وسياسات التقوية لدى مزود‬
‫ألمن التحول إىل الرقمية مثل‪ :‬املنشور اخلاص رقم ‪ 245-000‬الصادر عن املعهد‬ ‫خدمة السحاب‬
‫الوطين للمعايري القياسية والتكنولوجيا ‪ .NIST SP800-125‬ويشمل ذلك‬
‫على سبيل املثال ال احلصر‪:‬‬
‫• إيقاف أو حذف كافة الواجهات واملنافذ واألجهزة واخلدمات غري الضرورية‪.‬‬
‫• ضبط كافة واجهات الشبكة االفرتاضية ومناطق التخزين أبمان‪.‬‬
‫• وضع حدود على استخدا موارد اآللة االفرتاضية )‪.(VM‬‬
‫• ضمان تقوية كافة أنظمة التشغيل والتطبيقات اليت تعمل داخل اآللة االفرتاضية‪.‬‬
‫• التحقق من تكامل عمليات إدارة مفاتيح التشفري‪.‬‬
‫• تقوية األجهزة واحلاوايت االفرتاضية لآلالت االفرتاضية الفردية‪.‬‬
‫يتعني على اجلهة احلكومية ضمان وجود ضوابط لدى مزود خدمة السحاب لضمان‬ ‫‪ 2-2-12‬أمن اللقطات‬
‫التقاط اللقطات الفوتوغرافية السريعة املصرح هبا فقط‪ ،‬وأن مستوى تصنيف وموقع‬ ‫الفوتوغرافية السريعة ‪-‬‬
‫ختزين تلك اللقطات متكايفء من انحية القوة مع بيئة حتويل اإلنتاج إىل االفرتاضية‬ ‫)‪(Snapshots‬‬
‫(توجد مراجع إضافية عن تصنيف البياانت يف سياسات أتمني املعلومات‬
‫الوطنية)‪.‬‬
‫يتعني على اجلهة احلكومية ضمان تطبيق الضوابط التالية‪:‬‬ ‫‪ 3-2-12‬أمن إدارة‬
‫• إمكانية وصول اجلهة احلكومية لسجالت الوصول اإلدارية اخلاصة مبسؤول أمن‬ ‫االفرتاضية ‪hypervisor‬‬
‫إ دارة االفرتاضية ‪.hypervisor‬‬ ‫‪Security‬‬
‫• توفر الدخول الكامل لربانمج إدارة االفرتاضية ‪.hypervisor‬‬
‫يتعني على اجلهة احلكومية التاكد من مزود خدمة السحاب يدعم استخدا اآلالت‬ ‫‪ 4-2-12‬دعم صورة العميل‬
‫االفرتاضية املوثوقة املقدمة من اجلهة احلكومية‪ ،‬وأن تلك اآلالت االفرتاضية قد‬
‫صنعت يف إطار من االلتزا إبرشادات التقوية املنصوص عليها يف سياسة أتمني‬
‫ُ‬
‫املعلومات الوطنية‪.‬‬

‫يلتز مورد خدمة السحاب بتزويد اجلهة احلكومية بقائمة كاملة ملورديه الذين سيكون‬ ‫‪ 5-2-12‬قائمة املوردين‬
‫هلم حق الوصول إىل بياانت اجلهة احلكومية‪ ،‬وذلك يف أي وقت خالل مدة سراين‬ ‫التابعني ملورد خدمة السحاب‬
‫االتفاقية‪ .‬كما جيب أن يقو مزود خدمة السحاب إبخطار اجلهة أبي تغيري يطرأ على‬
‫قائمة املوردين‪.‬‬
‫إدارة الهوية والسجالت‬ ‫‪-13‬‬

‫متثل اإلدارة املتواصلة واآلمنة للهوية مكوانً أساسياً من مكوانت احلوسبة السحابية من منظور األعمال والقابلية‬
‫لالستخدا واألمن‪.‬‬
‫يف حني متثل إدارة السجالت (من لديه حق الوصول إىل السجالت؟) قضية أخرى من قضااي اإلدارة اليت يتعني تناوهلا‬
‫واالتفاق عليها مقدماً‪.‬‬

‫جيب على اجلهة احلكومية تبين معايري قياسية متحدة للهوية مثل اللغة الرتميزية‬ ‫‪ 1-2-13‬اهلوية املتحدة‬
‫لتأكيد األمن ‪ SAML‬أو اهلوية املفتوحة ‪ OpenID‬واستخدا ذلك يف‬
‫توثيق املستخدمني لدى مزود خدمة السحاب‪.‬‬
‫جيب على اجلهة احلكومية أال متنح مزود خدمة السحاب أي تصريح لالستخدا‬ ‫‪ 2-2-13‬توثيق الدليل‬
‫‪/‬الوصول املباشر لبيئة التوثيق اخلاصة ابجلهة مثل الدليل الرئيسي للجهة‪.‬‬ ‫النشط‬
‫يتعني على اجلهة احلكومية التأكد من دعم مزود خدمة السحاب لعدة آليات توثيق‬ ‫‪ 3-2-13‬التوثيق متعدد‬
‫متعددة العوامل مثل الرموز ‪ ،tokens‬وكلمات املرور اليت تستخد ملرة واحدة على‬ ‫العوامل‬
‫اهلواء ‪ ،OTA‬والبياانت الشخصية‪ ....‬اخل‬
‫يتعني على اجلهة احلكومية اختيار مزود خدمة السحاب الذي يتيح هلا التحكم يف‬ ‫‪ 4-2-13‬إدارة اهلوية لدى‬
‫إدارة هوايهتا اخلاصة (مبا يف ذلك إنشاء هوايت املوظفني وإمكانية حذفها‪/‬‬ ‫مزود خدمة السحاب‬
‫إهنائها‪).‬‬

‫على اجلهة احلكومية التأكد من استيفاء عملية التوثيق ومراقبة الدخول واملساءلة‬ ‫‪ 5-2-13‬املتطلبات‬
‫وعملية الدخول (من انحية الصيغة واحلفظ والوصول) لدى مزود خدمة السحاب‬ ‫التنظيمية للهوية‬
‫للمتطلبات التنظيمية والقانونية للجهة‪.‬‬
‫يتعني على اجلهة احلكومية تدريب موظفي تكنولوجيا املعلومات لديها على الدخول‬ ‫‪ 6-2-13‬مراقبة السجالت‬
‫على خدمات السجالت اخلاصة مبزود خدمة السحاب واستخدامها‪.‬‬
‫يتعني على اجلهات احلكومية التأكد من توفر إمكانية الدخول لكافة األحداث‬ ‫‪ 7-4-03‬مستوى الدخول‬
‫األمنية (تغطية اجللسات ومعلومات العمليات) ملدة ال تقل عن ‪ 00‬يوماً‪.‬‬ ‫واحلفظ‬
‫أمن تطبيقات اإلنترنت‬ ‫‪-14‬‬

‫يعد أمن التطبيقات عنصراً هاماً أمهية مطلقة يف احلوسبة السحابية‪ .‬فالسحاب بطبيعة احلال بيئة مفتوحة‪ ،‬كما أن‬
‫مزودي خدمة السحاب يعرضون عدداً متزايداً من واجهات اإلنرتنت وواجهات برجمة التطبيقات ‪ APIs‬لشبكة‬
‫اإلنرتنت‪ -‬على حنو يفوق كثرياً احللول التقليدية األرضية املغلقة‪ ،‬مما يزيد كثرياً من احتماالت تعرض التطبيقات‬
‫للهجو ‪.‬‬

‫جيب على اجلهة احلكومية أن حتتفظ ابملعلومات التالية‪:‬‬ ‫‪ 1-2-14‬فريق األمن لدى‬
‫‪ -1‬موقع ووقت الوصول لفريق األمن التابع ملزود خدمة السحاب ‪.‬‬ ‫مزود خدمة السحاب‬
‫يتعني على اجلهة احلكومية التاكد من تطبيق مزود خدمات السحاب ملا يلي‪:‬‬ ‫‪ 2-2-14‬أمن التطبيقات‬
‫‪ -1‬اجلدران النارية لطبقة التطبيق‪.‬‬
‫‪ -2‬تنفيذ مراجعات رموز التأمني (إن أمكن) قبل جتهيز طرح أي تطبيق‪.‬‬
‫‪ -3‬أفضل املمارسات للتطوير اآلمن شبكة اإلنرتنت مثل إرشادات التطوير اآلمن‬
‫الصادرة عن مشروع تطبيق األمن على االنرتنت املفتوح )‪.(OWASP‬‬
‫‪ -4‬أفضل املمارسات لتقوية أمن أنظمة التشغيل والتطبيقات‪.‬‬
‫‪ -5‬االختبار الدوري لالخرتاق‪ ،‬وحتديد برانمج للمعاجلة‪ ،‬وأنه يشمل إصالح‬
‫الثغرات على أساس األولوية‪ .‬وجيب حتديد أولوايت الثغرات‪ ،‬وجيب إصالحها‬
‫ومعاجلتها ضمن اتفاقيات مستوى اخلدمة املتفق عليها بني اجلهة احلكومية‬
‫ومزود خدمة السحاب‪.‬‬
‫‪ -6‬دورة حياة مناسبة لتطوير الربامج )‪ (SDLC‬وأن األمن ميثل جزءً متكامالً يف‬
‫املراحل التالية على األقل‪:‬‬
‫• التخطيط وجتميع املتطلبات‬
‫• التصميم ومرحلة التصميم الوظيفي‬
‫• الرتميز‬
‫• االختبار‬
‫• الصيانة‬

‫التعافي من الكوارث‬ ‫‪-15‬‬
‫حت تاج ضوابط محاية البياانت إىل الصيانة لضمان مستوى مرتفع من توفر البياانت وقدرهتا على البقاء والتعايف‬
‫‪.‬‬ ‫)‪(Resilience‬‬
‫يتعني على اجلهة احلكومية أن تتأكد من تبين مزود خدمة السحاب والتزامه‬ ‫‪ 1-2-15‬إدارة التغيري‬
‫إبجراءات إدارة التغيري واالستجابة للحوادث وفقاً ملا هو حمدد يف مكتبة البنية التحتية‬ ‫واالستجابة للحوادث‬
‫لتكنولوجيا املعلومات )‪(ITIL‬‬
‫يتعني على اجلهة احلكومية مراجعة خطة مزود خدمة السحاب للتعايف من الكوارث‬ ‫‪ 2-2-15‬خطة التعايف من‬
‫والتأكد من استيفائها متطلبات اجلهة احلكومية‪ ،‬مثل ما يلي‪:‬‬ ‫الكوارث‬
‫‪ -1‬القدرة على استعادة واسرتداد البياانت بعد حوادث فقدان البياانت‪.‬‬
‫‪ -2‬أن يقو مزود خدمة السحاب بتزويد اجلهة بتقارير اختبار التعايف من الكوارث‬
‫بصفة سنوية على األقل‪ ،‬وجيب أن تكون التقارير شاملة تغطي نطاق االختبار‬
‫حىت النتيجة والتوصيات النهائية‪.‬‬
‫‪ -3‬التأكد من قدرة حل التعايف من الكوارث على احلفاظ على نفس مستوايت‬
‫تدابري وضوابط األمن املستخدمة يف وضع التشغيل الطبيعي‪.‬‬
‫‪ -4‬التأكد من أن حل التعايف من الكوارث مملوك ويدار بصورة شاملة من قبل مز‬
‫ود خدمة السحاب املتعاقد معه‪.‬‬
‫يوصى مبزودي خدمة السحاب احلاصلني على شهادة ‪ BS25999‬أو شهادة‬ ‫‪ 3-2-15‬االلتزا‬
‫‪ISO 22301‬‬

‫استخالص المعلومات ألغراض قانونية أو جنائية‬ ‫‪-16‬‬
‫قد يطلب من اجلهات احلكومية استرتاج بياانت حمددة ملتقامسها مع طرف اثلث كجزء من دعوى قضائية أو لدعم‬
‫حتقيق مستمر‪ ،‬وهذا النوع من املهمات يطرح حتدايً حىت ابلنسبة للبياانت املتزنة داخلياً‪ ،‬وابلتايل‪ ،‬وابلتأكيد فهو‬
‫يشكل حتدايً أكرب عندما تكون البياانت خمزنة من قبل مزود خدمة سحاب‪.‬‬
‫تقو اجلهة احلكومية بتحديد ما إذا كانت ملتزمة بتقدمي "األصل املوجود على‬ ‫‪ 1-2-16‬أصل البياانت‬
‫القرص الصلب‪ /‬الشريط األصلي" أو ميكن االكتفاء بنسخة‪.‬‬
‫‪ -1‬إذا كانت النسخة "األصلية "هي اليت ستكون مطلوبة قانون اً‪ ،‬جيب توصيل‬
‫هذه املعلومة والنص عليها يف العقد مع مزود خدمة السحاب‪.‬‬
‫‪ -2‬يف حالة كان من املمكن قبول "نسخة" ذات سلسلة حفظ مقبولة‪ ،‬يتعني‬
‫نقل "متطلبات " سلسلة احلفظ والنص عليها يف العقد مع مزود خدمة السحاب‪.‬‬
‫جيب على اجلهة احلكومية التأكد من النص يف العقد على تفاصيل تكاليف‬ ‫‪ 2-2-16‬اتفاقيات مستوى‬
‫استخالص املعلومات ومتطلبات البحث اجلنائي‪ ،‬مبا يف ذلك التكلفة ووقت‬ ‫اخلدمة الستخالص املعلومات‬
‫االستجابة‪.‬‬
‫المنصات متعددة المستخدمين‬ ‫‪-17‬‬

‫تتحدى احلوسبة السحابية املفاهيم التقليدية لتجزئة وفصل البياانت‪ ،‬ويتمثل غرض هذه السياسة يف التأكد من تضمني‬
‫ذلك يف برامج املخاطر واألمن والتدقيق‪.‬‬

‫يتعني على اجلهة احلكومية توثيق وحتديث‪ /‬مراجعة ضوابط جتزئة وفصل‬ ‫‪ 1-2-17‬جتزئة البياانت‬
‫البياانت بشكل دوري وذلك يف كل من الطبقات األربع الرئيسية لدى‬
‫مزود خدمة السحاب‪:‬‬
‫(‪ )1‬طبقة الشبكة ‪ )2(,‬الطبقة امللموسة ‪ )3(,‬طبقة النظا ‪ )4(,‬طبقة التطبيق‪.‬‬
‫يتعني على اجلهة احلكومية تقييم كل ضابط من ضوابط جتزئة البياانت يف كل‬ ‫‪ 2-2-17‬تقييم ضوابط جتزئة‬
‫البياانت طبقة‪ ،‬ابإلضافة إىل عدد ونوع الضوابط يف كل طبقة كل ‪ 3‬شهور‬
‫وبعد التعديالت والتحديثات اهلامة اليت جترى على النظا ‪.‬‬

‫ملحوظة‪ :‬عادة ما تكون ضوابط جتزئة بياانت السحاب أضعف على‬
‫الطبقة امللموسة (حيث غالبا ما ال يكون هناك جتزئة ملموسة)‪ ،‬مما‬
‫يتطلب أن تكون الضوابط على الطبقات الثالث األخرى أكثر قوة‪.‬‬
‫يتعني على اجلهة احلكومية التأكد من استيفاء مزود خدمة السحاب ملتطلبات‬ ‫‪ 3-2-17‬تصنيف البياانت‬
‫تصنيف البياانت املنصوص عليها يف سياسة أتمني املعلومات الوطنية‪.‬‬
‫يتعني على اجلهة احلكومية التأكد من تشفري البياانت عند التخزين وأثناء النقل‬ ‫‪ 4-2-17‬تشفري البياانت‬
‫وذلك يف إطار من االلتزا الكامل (يف أي نقطة زمنية) بسياسة أتمني املعلومات‬
‫الوطنية وامللحق (ب) لسياسة أتمني املعلومات الوطنية ابلنسبة للتوارزميات‬
‫والربوتوكوالت التشفريية املعتمدة من احلكومة‪.‬‬
‫يتعني على اجلهة احلكومية أن تتأكد من استخدامها جملموعة فريدة من مفتاح‬ ‫‪ 5-2-17‬مفاتيح التشفري‬
‫(مفاتيح) التشفري‪ .‬وتساعد مفاتيح التشفري الفريدة على محاية البياانت من‬ ‫املقدمة من مزود اخلدمة‬
‫الوصول إليها يف حالة تسرهبا سهواً من أحد عمالء مزود خدمة السحاب إىل‬
‫عميل آخر‪.‬‬
‫جيب أن ختتار اجلهة احلكومية مفاتيح تشفري األجهزة (املتوافقة مع املنشور رقم ‪-3‬‬ ‫‪ 6-2-17‬مفاتيح تشفري‬
‫‪ 140 2‬من منشورات املعيار الفيدرايل ملعاجلة البياانت ‪ FIPS‬وما بعده) مىت‬ ‫الربامج مقابل مفاتيح تشفري‬
‫كانت مدعوماً‪.‬‬ ‫االجهزة‬
‫‪ 7-2-17‬إضافة عالمات يوصى أبن تتأكد اجلهة احلكومية من أن مزود خدمة السحاب يدعم‪ ،‬وميكنه‬
‫كذلك أن يثبت ‪،‬إضافة عالمات مفتاحية بعيدة )‪ (meta-tagging‬لبياانت‬ ‫مفتاحية )‪(Tagging‬‬
‫العميل‪ ،‬وهو ما يعد هاماً ابلنسبة لتجزئة البياانت ولالكتشاف االلكرتوين‪.‬‬ ‫لبياانت العميل‬
‫إدارة السحاب‬ ‫‪-18‬‬

‫إن نقل أصول البياانت إىل السحاب قد يتطلب عملية إعادة تنظيم جوهرية إلدارات دعم العميل‪ .‬وغالباً ما تتغري األدوار‬
‫واملسؤوليات بدرجة مؤثرة عندما تبدأ اجلهة يف استخدا خدمات السحاب‪ .‬وهلذا السبب‪ ،‬يتعني على اجلهات أن حتدد‬
‫بوضوح األدوار املتعلقة إبدارة عالقات مورد خدمات السحاب وتقدمي خدمات السحاب‪.‬‬

‫يتعني على اجلهة احلكومية تدريب موظفيها املسؤولني على إدارة عالقات املوردين‬ ‫‪ 1-2-18‬التدريب والوعي‬
‫وتكنولوجيا السحاب‪.‬‬
‫يتعني على اجلهة احلكومية حتديد وتوثيق األدوار واملسؤوليات املختلفة للموظفني‬ ‫‪ 2-2-18‬األدوار‬
‫املسؤولني عن إدارة خدمة السحاب‪.‬‬ ‫واملسؤوليات‬
‫مثال‪ :‬موظفي الشؤون القانونية‪ ،‬املشرتايت‪ ،‬جلنة إدارة التغيري ‪،‬مالك العمل‪،‬‬
‫األمن واملخاطر‪.‬‬
‫يتعني على اجلهة احلكومية وضع مصفوفة املسؤولية واملساءلة والتشاور واإلعال‬ ‫‪ 3-2-18‬مصفوفة املسؤولية‬
‫)‪ (RACI‬تشمل اجلهة احلكومية ومزود خدمة السحاب وذلك لتحديد‬ ‫واملساءلة والتشاور واإلعالم‬
‫املساءلة وااللتزامات‪.‬‬ ‫)‪(RACI‬‬
‫يتعني على اجلهة احلكومية تطوير شجرة تصعيد ملزود خدمة السحاب وتوزيعها على‬ ‫‪ 4-2-18‬شجرة التصعيد‬
‫أعضاء فريق العمل املسؤول‪.‬‬
‫المتطلبات التعاقدية لمزود خدمة السحاب‬ ‫‪-19‬‬

‫قبل نقل أي خدمة إىل خارج اجلهة ألي طرف اثلث‪ ،‬جيب إجراء حتليل وتقييم قانوين صار ‪.‬‬

‫يتعني على اجلهة احلكومية توقيع اتفاقية عد إفشاء املعلومات (امللحق ب) مع مزود‬ ‫‪ 1-2-19‬اتفاقية عد إفشاء‬
‫خدمة السحاب قبل تشغيل أي خدمة‪.‬‬ ‫املعلومات‬
‫يتعني على اجلهة احلكومية ضمان احتفاظها ابحلق" احلصري "يف ملكية البياانت‬ ‫‪ 2-2-19‬ملكية البياانت‬
‫طوال مدة سراين العقد ‪.‬وتشمل امللكية كافة نسخ البياانت املتوفرة لدى مزود‬
‫خدمة السحاب؛ مبا يف الك النسخ االحتياطية إن وجدت ‪.‬كما جيب أن تشرتط‬
‫اجلهات احلكومية عد السماح ملزودي خدمة السحاب ابستخدا البياانت اخلاصة‬
‫بتلك اجلهات ألغراض اإلعالن أو أي غرض اثن وي آخر غري مصرح به‪.‬‬
‫يتعني على اجلهة احلكومية أن "حتدد" يف العقد الدولة (الدول) اليت يكون ختزين‬ ‫‪ 3-2-19‬موقع البياانت‬
‫البياانت فيها مقبوالً‪.‬‬
‫يتعني على اجلهة احلكومية أن تتأكد من أن سياسة خصوصية البياانت لدى مزود‬ ‫‪ 4-2-19‬القانون احلاكم‬
‫خدمة السحاب تتفق مع القوانني املعمول هبا يف قطر‪.‬‬
‫‪ -1‬يتعني على اجلهة احلكومية أن تتأكد من أن اتفاقيات مستوى اخلدمة‬ ‫‪ 5-2-19‬توفر البياانت‬
‫عالية تعكس متطلبات توفر التطبيقات والبياانت بدرجة عالية (وفقاً‬ ‫بدرجة عالية‬
‫لتحليل التأثري على العمل أو متطلبات العمل لدى اجلهة احلكومية) يف‬
‫حالة حدوث انقطاع خمطط أو غري خمطط أو تعطل‪ ،‬مع ضرورة مراجعة‬
‫اجلهة احلكومية خلطط استمرارية العمل والتعايف من الكوارث وإعداد‬
‫النسخ االحتياطية وآليات التكرار ‪.‬‬
‫‪ -2‬جيب أن حتدد اتفاقيات مستوى اخلدمة التعويضات املالية يف حالة تعطل‬
‫العمل‪.‬‬
‫‪ -1‬يتعني على اجلهة احلكومية أن تتأكد من الناحية التعاقدية أبنه سيتم‬ ‫‪ 6-2-19‬إخطار خرق‬
‫إخطارها "على الفور" أبي خرق مؤكد دون أي أتخري ‪.‬‬ ‫البياانت‬
‫‪ -2‬يتعني على اجلهة احلكومية أن تتأكد من الناحية التعاقدية أبنه سيتم‬
‫إخطارها خالل ‪ 4‬ساعات من وقوع أي خرق "مشكوك فيه" من وقت‬
‫اكتشاف ذلك اخلرق‪.‬‬

‫يتعني على اجلهة احلكومية أن تنص يف التعاقد على أن مزود خدمة السحاب‬ ‫‪ 7-2-19‬عقوبة خرق‬
‫هو املسؤول عن أي خسائر مالية أو عقوابت (حىت سقف متفق عليه) قد‬ ‫البياانت‬
‫حتدث نتيجة ألي إخالل من جانب مزود خدمة السحاب‪.‬‬
‫يتعني على اجلهة احلكومية أن تنص يف التعاقد على التزا مزود خدمة السحاب‬ ‫‪ 8-2-19‬احلق يف احلذف‬
‫حبذف‪ /‬إزالة أي أثر للبياانت‪ /‬املعلومات بشكل كامل يف هناية العقد وفقاً ملا يتم‬ ‫الكامل للبياانت‬
‫االتفاق عليه يف ذلك العقد‪.‬‬
‫يتعني على اجلهة احلكومية أن تنص يف التعاقد وتتأكد من التزا مزود خدمة‬ ‫‪ 9-2-19‬إتالف الوسائط‬
‫السحاب بضوابط إتالف وتطهري البياانت والوسائط وفقاً ملا تنص عليه سياسة‬
‫أتمني املعلومات الوطنية‬
‫يتعني على اجلهة احلكومية أن تتأكد من دعم مزود خدمة السحاب إلعادة البياانت‬ ‫‪ 10-2-19‬قابلية البياانت‬
‫إىل اجلهة احلكومية‪ .‬وجيب أال يكون هناك اعتماد على مزود خدمة سحاب واحد‬
‫فقط‪.‬‬
‫توصيات عامة للجهات الحكومية‬ ‫‪-20‬‬

‫• يتعني على اجلهات احلكومية وضع خارطة طريق الستخدا وإضافة احلوسبة السحابية نظراً لتعقد بيئة السحاب اليت‬
‫تطرح عدداً من املتغريات غري املعروفة اليت سوف حتتاج إليها احلكومة واخلدمات العامة لوضع أساليب جديدة لتقييم‬
‫وإدارة املخاطر املرتبطة هبا‪.‬‬
‫• يوصى بعد افرتاض أن االستخدا الناجح ألحد التطبيقات يف بيئة سحابية يعترب إشارة إجيابية بشكل تلقائي للمضي‬
‫قدماً يف املزيد من االستخدامات األخرى؛ حيث جيب حبث متطلبات األمن واملرونة لكل تطبيق بعناية وعلى حدة‪.‬‬
‫• يوصى أبن حتافظ اجلهات احلكومية على القدرة على العودة إىل ما قبل استخدا حلول السحاب‪.‬‬
‫المراجع‪:‬‬ ‫‪-21‬‬
‫سياسة أتمني املعلومات الوطنية (وزارة املواصالت و االتصاالت‪ ،‬أبريل ‪.)4024‬‬ ‫‪-1‬‬
‫سياسة تصنيف البياانت احلكومية ( وزارة املواصالت و االتصاالت‪ ،‬أبريل ‪.)4024‬‬ ‫‪-2‬‬
‫مزااي وخماطر وتوصيات ألمن املعلومات يف احلوسبة السحابية (الوكالة األوروبية ألمن الشبكات واملعلومات‬ ‫‪-3‬‬
‫‪ ،ENISA‬نوفمرب ‪.)4000‬‬
‫إرشادات لألمن واخلصوصية يف احلوسبة السحابية العامية (املعهد الوطين للمعايري والتكنولوجيا ‪،NIST‬‬ ‫‪-4‬‬
‫منشور رقم ‪( SP-800-144‬‬
‫الدليل األمين لنقاط الرتكيز احلساسة يف احلوسبة السحابية (احتاد أمن السحاب ‪ ،CSA‬النسخة ‪.)0.6‬‬ ‫‪-5‬‬
‫مسودة ملخص وتوصيات احلوسبة السحابية (املعهد الوطين للمعايري والتكنولوجيا ‪ ،NIST‬منشور رقم‬ ‫‪-6‬‬
‫‪)SP-800-146‬‬
‫مقدمة لضوابط األمن يف ضوء الربانمج الفيدرايل إلدارة املخاطر والصالحيات ‪( FedRAMP‬إدارة‬ ‫‪-7‬‬
‫األمن الداخلي ابلوالايت املتحدة األمريكية ‪.)2012،‬‬

‫ورقة عن التوجيه االسرتاتيجي للحوسبة السحابية (احلكومة االسرتالية‪ ،‬أبريل ‪.)2011‬‬ ‫‪-8‬‬
‫تقرير هايب سايكل ‪ Hype Cycle‬عن أمن السحاب (جارتنر ‪.)2011 ،Garnter‬‬ ‫‪-9‬‬
‫مشروع السحاب (تقييمات مشرتكة‪ ،‬أكتوبر ‪.)2010‬‬ ‫‪-10‬‬
‫األمن واملرونة يف خدمات السحاب يف احلكومة (الوكالة األوروبية ألمن الشبكات واملعلومات ‪،ENISA‬‬ ‫‪-11‬‬
‫يناير ‪)2011‬‬
‫تعاريف املعهد الوطين للمعايري والتكنولوجيا ‪ NIST‬للحوسبة السحابية (املعهد الوطين للمعايري‬ ‫‪-12‬‬
‫والتكنولوجيا ‪ ،NIST‬املنشور رقم ‪.)SP-800-145‬‬
‫الملحق أ ( استبيان تقييم مزود خدمة السحاب المتعاقد معه)‬ ‫‪-22‬‬

‫ا لغرض من استبيان التقييم أن يكون مبثابة "مرشد" لبيان جماالت االهتما واإلجراءات التنفيذية اليت جيب فهمها‪،‬‬
‫وتقييمها خالل مرحلة تقييم مزود خدمة السحاب‪.‬‬
‫كيفية‬ ‫اإلجابة‬ ‫أسئلة تقييم مزود خدمة‬ ‫‪CID‬‬ ‫نطاق الضوابط‬
‫تنفيذها‬ ‫(نعم‪/‬ال)‬ ‫السحاب املتعاقد معه‬
‫(*) تشير إلى‬
‫الضوابط اإللزامية‬
‫‪* CO.01‬هل تتيح للعمالء االطالع‬ ‫عمليات التدقيق املستقلة‬
‫على تقارير التدقيق املعدة من‬
‫قبل أطراف اثلثة عنك؟‬
‫‪* CO.02‬هل تقو إبجراء اختبارات‬

‫اخرتاق الشبكة للبنية التحتية‬
‫لديك‬ ‫السحاب‬ ‫خلدمة‬
‫ابنتظا ؟ إذا كانت اإلجابة‬
‫بنعم يرجى توضيح االختبار‬
‫وعملية املعاجلة‪.‬‬
‫‪* CO.03‬هل تقو إبجراء اختبارات‬
‫خلدمة‬ ‫التطبيق‬ ‫اخرتاق‬
‫السحاب ابنتظا ووفقاً‬
‫ألفضل املمارسات؟ إذا‬
‫كانت اإلجابة بنعم يرجى‬
‫توضيح االختبار وعملية‬
‫املعاجلة‪.‬‬
‫‪* CO.04‬هل تقو إبجراء عمليات‬
‫تدقيق داخلي ابنتظا وف ًقا‬
‫ألفضل ممارسات الصناعة؟‬
‫إذا كانت اإلجابة بنعم يرجى‬

‫‪* CO.05‬هل تقو إبجراء عمليات‬

‫تدقيق خارجي ابنتظا وف ًقا‬
‫ألفضل ممارسات الصناعة؟‬
‫إذا كانت اإلجابة بنعم يرجى‬
‫‪ CO.06‬هل نتائج اختبارات اخرتاق‬
‫الشبكة متاحة للعمالء عند‬
‫طلبها؟‬
‫‪* CO.07‬هل نتائج التدقيق الداخلي‬
‫واخلارجي متاحة للعمالء‬
‫عند طلبها؟‬
‫‪ CO.08‬هل تسمح للعمالء بتنفيذ‬
‫عمليات تقييم مستقلة‬
‫للثغرات؟‬
‫‪ CO.09‬هل حتتفظ جبهات تنسيق‬
‫واتصال حمدثة مع‬
‫السلطات احمللية‪ .‬إذا كانت‬
‫اإلجابة بنعم فما هو معدل‬
‫تكرار التحقق من جهات‬
‫االتصال؟‬

‫‪* CO.10‬هل لديك القدرة على‬
‫تقسيم أو تشفري بياانت‬
‫العميل حبيث ميكن تقدمي‬
‫تلك البياانت لعميل واحد‬
‫فقط‪ ،‬دون الوصول إىل‬
‫بياانت عميل آخر دون‬
‫قصد؟‬
‫‪* CO.11‬هل لديك القدرة على‬
‫تقسيم وفصل واسرتداد‬
‫البياانت اخلاصة بعميل‬
‫حمدد بشكل منطقي يف‬
‫حالة تعطل النظا أو‬
‫فقدان البياانت؟‬
‫‪* CO.12‬هل لديك سياسات‬ ‫امللكية الفكرية‬
‫وإجراءات قائمة تصف‬
‫الضوابط اليت لديك حلماية‬
‫بياانت العميل املصنفة‬
‫كملكية فكرية؟‬
‫‪ CO.13‬إذا استخدمت خدمات‬
‫العمالء املستضافة يف‬
‫السحاب لصاحل مزود‬
‫خدمة السحاب‪ ،‬فهل تتم‬
‫احملافظة على حقوق امللكية‬
‫الفكرية اخلاصة ابلعمالء؟‬

‫‪ CO.14‬إذا استخدمت خدمات‬
‫العمالء املستضافة يف‬
‫السحاب لصاحل مزود‬
‫خدمة السحاب‪ ،‬فهل‬
‫تسمح للعمالء خااير‬
‫االنسحاب من اخلدمة ؟‬
‫*هل تتبع أو تدعم معيارا‬ ‫‪IG.01‬‬ ‫امللكية‬

‫للتصنيف اهليكلي لتصنيف‬
‫حوكمة املعلومات‬
‫البياانت (مثال‪ISO :‬‬
‫‪ ، 15489‬الكتيب‬
‫التعريفي ملواصفات لغة الرتميز‬
‫املوسعة الصادر عن مؤسسة‬
‫أوسيز ‪ ،‬دليل أنواع البياانت‬
‫الصادر عن احتاد أمن‬
‫السحاب)؟ إذا كانت‬
‫اإلجابة بنعم‪ ،‬يرجى حتديد‬
‫املعيار‪.‬‬
‫‪* IG.02‬هل توفر القدرة على‬ ‫التصنيف‬
‫التعرف على اآلالت‬
‫االفرتاضية عرب عالمات‬
‫مفتاحية‪/‬بياانت تعريف‬
‫للسياسة؟‬
‫‪ IG.03‬هل توفر القدرة على التعرف‬
‫على األجهزة عرب عالمات‬
‫مفتاحية‪/‬بياانت‬
‫تعريف‪/‬عالمات مفتاحية‬
‫لألجهزة؟‬

‫‪ IG.04‬هل لديك القدرة على‬
‫املوقع اجلغرايف‬ ‫استخدا‬
‫للنظا كعامل توثيق؟‬
‫‪* IG.05‬هل ميكنك توفري املوقع‬
‫امللموس‪/‬جغرافية ختزين‬
‫بياانت العميل عند طلب‬
‫ذلك ؟‬
‫‪* IG.06‬هل تسمح للعمالء‬

‫بتحديد املواقع اجلغرافية‬
‫املقبولة لتوجيه البياانت أو‬
‫إنشاء مصادر مثيلة؟‬
‫‪ IG.07‬هل تعترب كافة بياانت‬ ‫سياسة التعامل‪/‬التصنيف‬
‫العميل "حساسة للغاية‬ ‫‪/‬األمن‬
‫"وتوفر نفس احلماية‬
‫والضوابط عليها مجيعاً أو‬
‫تطبق الضوابط حسب‬
‫التصنيف أو تبويب‬
‫البياانت؟‬
‫*هل يتم تنفيذ آليات‬ ‫‪IG.08‬‬
‫لتوارث تبويب‬
‫البياانت للعناصر اليت‬
‫تعمل كحاوايت‬
‫جتميع للبياانت؟‬

‫*هل لديك قدرات‬ ‫‪IG.09‬‬ ‫سياسة االستبقاء‬
‫ضبط تقين لتنفيذ‬
‫سياسات استبقاء‬
‫بياانت العميل؟‬
‫*هل لديك إجراء موثق‬ ‫‪IG.10‬‬
‫للرد على الطلبات‬
‫اخلاصة ببياانت العمالء‬
‫من احلكومات أو‬
‫األطراف الثالثة؟‬
‫*هل تدعم احلذف‬ ‫‪IG.11‬‬ ‫التخلص اآلمن‬
‫اآلمن (مثال‪ :‬إزالة‬
‫املغنطة ‪/‬مسح رمز‬
‫الشفرة) للبياانت‬
‫األرشيفية اخلاصة‬
‫ابلعميل؟‬
‫*هل ميكنك تقدمي إجراء‬ ‫‪IG.12‬‬
‫منشور لرتتيبات اخلروج‬
‫من اخلدمة‪ ،‬مبا يف ذلك‬
‫التأكيد على تطهري مجيع‬
‫موارد احلوسبة اخلاصة‬
‫ببياانت العميل مبجرد‬
‫خروج العميل من بيئتك‬
‫أو قيامه إبخالء مورد ما؟‬
‫*هل لديك إجراءات‬ ‫‪IG.13‬‬
‫لضمان عد تكرار‬
‫نسخ بياانت اإلنتاج أو‬
‫استخدامها يف بيئات‬
‫االختبار لديك؟‬

‫*هل لديك ضوابط‬ ‫‪IG.14‬‬ ‫تسريب املعلومات‬
‫قائمة ملنع تسريب‬
‫املعلومات أو اإلخالل‬
‫هبا على حنو مقصود أو‬
‫عرضي بني العمالء يف‬
‫بيئة متعددة العمالء؟‬
‫هل لديك حل ملنع‬ ‫‪IG.15‬‬
‫فقدان البياانت‬
‫(‪ )DLP‬أو حل ملنع‬
‫حذف البياانت لكافة‬
‫األنظمة اليت تتصل‬
‫بتقدمي خدمة السحاب‬
‫لديك ؟‬
‫‪* PA. 01‬هل ميكنك تقدمي دليل‬ ‫السياسة‬

‫على وجود سياسات‬
‫وإجراءات للمحافظة على‬
‫بيئة عمل تتسم ابألمن‬
‫والسالمة يف املكاتب‬
‫والغرف واملرافق واملناطق‬
‫اآلمنة؟‬
‫‪* PA.02‬مبوجب القوانني واللوائح‬ ‫وصول املستخد‬
‫واألخالقيات احمللية والقيود‬
‫التعاقدية هل خيضع مجيع‬
‫املرشحني للتوظيف‬
‫واملقاولني واألطراف الثالثة‬
‫لفحص خلفياهتم؟‬
‫الوصول امللموس‬

‫‪* PA.03‬هل يتم تنفيذ مقاييس‬ ‫نقاط وصول مراقبة‬
‫األمن امللموس (األسوار‬
‫واحلوائط واحلواجز واحلراس‬
‫والبواابت وآليات املراقبة‬
‫األلكرتونية و آليات التحقق‬
‫امللموس ومكاتب‬
‫االستقبال ودورايت األمن)‬
‫؟‬
‫‪* PA.04‬هل تسمح للعمالء‬ ‫اعتماد املنطقة اآلمنة‬
‫بتحديد أي من مواقعك‬
‫اجلغرافية اليت يسمح فيها‬
‫إبدخال أو إخراج بياانهتم‬
‫(لتناول اعتبارات الوالية‬
‫القانونية بناء على مكان‬
‫ختزين البياانت مقابل‬
‫الوصول اليها)؟‬
‫‪* PA.05‬هل نقاط الدخول‬ ‫دخول األشخاص املفوضني‬

‫واخلروج مثل مناطق اخلدمة‬
‫والنقاط األخرى حيث‬
‫ميكن لألفراد غري املتولني‬
‫الدخول إىل املقار‪ ،‬مراقبة‬
‫و متحكم فيها ومنفصلة‬
‫عن ختزين ومعاجلة‬

‫‪ PA.06‬هل توفر للعمالء واثئق‬ ‫اعتماد نقل البياانت خارج‬
‫تصف سيناريوهات امكانية‬ ‫املوقع‬
‫نقل البياانت من موقع‬
‫ملموس إىل آخر؟ (مثال‪:‬‬
‫النسخ االحتياطية خارج‬
‫املوقع‪ ،‬استمرار العمل عن‬
‫طريق أنظمة احتياطية‬
‫‪،‬النسخ)‬
‫‪ PA.07‬هل توفر للعمالء واثئق‬ ‫أجهزة خارج املوقع‬
‫تصف سياساتك‬
‫وإجراءاتك اليت حتكم إدارة‬
‫األصول وإعادة حتديد‬
‫الغرض من األجهزة؟‬
‫‪* PA.08‬هل حتتفظ بقائمة‬ ‫إدارة األصول‬
‫كاملة جلميع أصولك‬
‫اهلامة؟‬
‫‪* HR.01‬هل تقو بتدريب‬ ‫اتفاقيات التوظيف‬

‫موظفيك على أدوارهم‬
‫ابلتحديد مقابل دور‬
‫العميل يف توفري ضوابط‬
‫أمن املعلومات؟‬
‫‪ HR.02‬هل تقو بتوثيق إقرار‬
‫املوظفني ابلتدريب‬
‫املوارد البشرية‬
‫الذي تلقوه؟‬

‫‪* HR.03‬هل يتم حتديد وتوثيق‬
‫وشرح األدوار‬
‫واملسؤوليات الواجب‬ ‫إهناء التوظيف‬
‫اتباعها يف حاالت إهناء‬
‫التوظيف أو تغيري‬
‫إجراءات التوظيف؟‬
‫*هل تقو بتزويد‬ ‫‪IS.01‬‬ ‫برانمج اإلدارة‬
‫العمالء بواثئق تصف‬
‫امن املعلومات‬
‫نظا إدارة أمن‬
‫املعلومات لديك‬
‫)‪(ISMS‬؟‬
‫‪* IS.02‬هل هناك‬ ‫دعم‪/‬مشاركة‬
‫سياسات موجودة‬ ‫اإلدارة‬
‫لضمان اختاذ‬
‫اإلدارة التنفيذية‬
‫واملباشرة إجراءات‬
‫رمسية لدعم أمن‬
‫املعلومات من‬
‫خالل توجيه واضح‬
‫وموثق والتزا‬
‫وتكليف واضح‬
‫وحتقق من تنفيذ‬
‫التكليف؟‬

‫‪ IS.03‬هل تتوافق سياسات‬ ‫السياسة‬
‫اخلصوصية وأمن‬
‫املعلومات اخلاصة بك‬
‫مع معايري حمددة ((‪-‬‬
‫‪، ,ISO27001‬‬
‫أتمني املعلومات الوطنية‬
‫‪ ،NIA‬أهداف‬
‫التحكم ابملعلومات‬
‫والتكنولوجيا ذات‬
‫الصلة ‪CoBIT‬‬
‫وغريها) ؟‬
‫‪ IS.04‬هل لديك اتفاقيات‬
‫تضمن التزا مزوديك‬
‫بسياسات اخلصوصية‬
‫وأمن املعلومات لديك؟‬
‫‪ IS.05‬هل ميكنك تقدمي دليل‬
‫على قيامك ابالستقصاء‬
‫املطلوب لتخطيط‬
‫الضوابط والتصميم‬
‫والعمليات لديك وفق‬
‫اللوائح أو املواصفات‬
‫القياسية؟‬
‫‪* IS.06‬هل لديك قواعد‬ ‫املتطلبات األساسية‬
‫أساسية موثقة ألمن‬
‫املعلومات لكل مكون‬
‫من مكوانت البنية‬
‫التحتية لديك (مثال‪:‬‬
‫املراقب االفرتاضي‪،‬‬
‫نظم التشغيل‪ ،‬جهاز‬

‫التوجيه ‪،‬خواد أمساء‬
‫النطاقات‬
‫(‪)DNS‬وخالفه)؟‬
‫‪ IS.07‬هل لديك القدرة على‬

‫مراقبة التزا البنية التحتية‬
‫لديك وتقدمي تقارير عنها‬
‫ابستمرار فيما يتعلق‬
‫أبساسيات أمن‬
‫املعلومات لديك؟‬
‫‪* IS.08‬هل تسمح لعمالئك‬
‫ابستخدا الصور الصادرة‬
‫من آلتهم االفرتاضية‬
‫املوثوقة لضمان التطابق مع‬
‫املعايري الداخلية اخلاصة‬
‫هبم؟‬
‫‪ IS.09‬هل تقو إبخطار عمالئك‬ ‫مراجعة السياسات‬
‫عندما تقو بعمل تغيريات‬
‫جوهرية يف سياسات أمن‬
‫املعلومات أو اخلصوصية‬
‫لديك؟‬
‫‪* IS.10‬هل توجد سياسات‬ ‫تنفيذ السياسات‬
‫أتديب أو معاقبة املوظفني‬
‫الذين ينتهكون سياسات‬
‫وإجراءات األمن؟‬
‫‪* IS.11‬هل يتم توعية املوظفني‬
‫ابإلجراءات اليت قد يتم‬

‫اختاذها يف حالة خمالفة‬
‫السياسات واالجراءات‬
‫املذكورة؟‬
‫‪* IS.12‬هل لديك ضوابط‬ ‫سياسة وصول املستخد‬

‫لضمان وقف حقوق‬
‫وتصاريح الوصول اليت مل‬
‫تعد مطلوبة دون أتخري؟‬
‫‪* IS.13‬هل لديك معلومات‬
‫ابألرقا عن سرعتك يف‬
‫وقف حقوق الوصول‬
‫بناء على طلبنا؟‬
‫‪ IS.14‬هل تقو بتوثيق كيفية‬ ‫تقيد‪/‬اعتماد‬
‫منحك وموافقتك للوصول‬ ‫وصول املستخد‬
‫لبياانت العميل؟‬
‫‪ IS.15‬هل لديك طريقة لدمج‬
‫منهجيات تصنيف بياانت‬
‫العميل واملزود ألغراض‬
‫ضبط الوصول؟‬
‫‪* IS.16‬هل يتم تنفيذ اإليقاف‬ ‫إيقاف وصول‬
‫الفوري لوصول املستخد‬ ‫املستخد‬
‫أو تعديل وصوله إىل أنظمة‬
‫املؤسسات وأصول‬
‫املعلومات والبياانت عند‬
‫أي تغيري يف حالة املوظفني‬
‫أو املقاولني أو العمالء أو‬
‫شركاء العمل أو أطراف‬
‫اثلثة يف الوقت املناسب؟‬

‫‪* IS.17‬هل تطلب اعتماداً‬ ‫مراجعات وصول‬
‫سنواي كحد أدىن‬ ‫املستخد‬
‫الستحقاقات مجيع‬
‫مستخدمي ومسؤيل‬
‫النظا (ابستثناء‬
‫املستخدمني التابعني‬
‫لعمالئك) ؟‬
‫‪* IS.18‬إذا وجد أن لدى‬

‫املستخدمني حقوقاً‬
‫وامتيازات غري مالئمة‪ ،‬هل‬
‫يتم تسجيل مجيع إجراءات‬
‫املعاجلة والتوثيق؟‬
‫هل ستتقاسم تقارير معاجلة‬ ‫‪IS.19‬‬
‫وتوثيق امتيازات املستخد مع‬
‫عمالئك‪ ،‬إذا كان قد مت‬
‫السماح بوصول غري مالئم إىل‬
‫بياانت العمالء؟‬
‫‪* IS.20‬هل توفر أو تتيح برانجما‬ ‫التدريب‪/‬الوعي‬
‫رمسيا تدريبيا لزايدة الوعي‬
‫ابألمن فيما يتعلق بقضااي‬
‫الوصول وإدارة بياانت‬
‫السحاب (أي اشرتاك‬
‫العمالء ‪ ،‬اجلنسية‪ ،‬منوذج‬
‫تسليم السحاب‪ ،‬فصل‬
‫املها واآلاثر وتضارب‬
‫املصاحل) جلميع األشتاص‬

‫ممن لديهم وصول لبياانت‬
‫العميل؟‬
‫‪* IS.21‬هل اإلداريون‬
‫لديهم املعرفة‬
‫املناسبة عن‬
‫مسؤولياهتم القانونية فيما‬
‫يتعلق أبمن وسالمة‬
‫‪ IS.22‬هل تشارك يف جمموعات‬ ‫اإلملا ابلصناعة‬
‫الصناعة واالحتادات املهنية‬ ‫‪/‬القياس املعياري‬
‫املعنية أبمن املعلومات؟‬
‫‪* IS.23‬هل تعمل على مقايسة‬ ‫األدوار‪/‬املسؤوليات‬
‫ضوابط األمن لديك مقابل‬
‫معايري الصناعة؟‬
‫‪ IS.24‬هل توفر للعمالء مستند‬
‫لتعريف األدوار يوضح‬
‫مسؤولياتك اإلدارية‬
‫مقابل مسؤوليات‬
‫العميل؟‬
‫‪ IS.25‬هل املدراء مسؤولون عن‬ ‫إشراف اإلدارة‬
‫احملافظة على الوعي‬
‫وااللتزا بسياسات‬
‫وإجراءات ومعايري األمن‬
‫اخلاصة مبجال مسؤوليتهم؟‬
‫‪ IS.26‬هل توفر للعمالء واثئق عن‬ ‫فصل املها‬
‫كيفية احملافظة على فصل‬
‫املها يف إطار تقدميك‬
‫خلدمة السحاب؟‬

‫‪* IS.27‬هل يعي فريقك‬ ‫مسؤولية املستخد‬
‫مسؤولياهتم يف احملافظة على‬
‫الوعي واإللتزا إبجراءات‬
‫وسياسات ومعايري األمن‬
‫املنشورة اخلاصة بنا‬
‫واملتطلبات التنظيمية‬
‫املعمول هبا؟‬

‫‪ IS.28‬هل تتم توعية‬
‫املستخدمني مبسؤولياهتم‬
‫يف احملافظة على بيئة عمل‬
‫تتسم ابألمن والسالمة ؟‬
‫‪ IS.29‬هل تتم توعية‬
‫املستخدمني مبسؤولياهتم‬
‫بشأن ترك األجهزة غري‬
‫املراقبة بطريقة آمنة؟‬
‫‪* IS.30‬هل تتناول سياسات‬ ‫مكان العمل‬
‫وإجراءات إدارتك‬
‫للبياانت متطلبات‬
‫مستوى أمن العميل‬
‫واخلدمة؟‬
‫‪ IS.31‬هل تتضمن سياسات‬
‫وإجراءات إدارتك‬
‫للبياانت تدقي ًقا للتالعب‬
‫أو وظيفة سالمة‬
‫الربجميات للوصول غري‬
‫املرخص لبياانت العميل؟‬
‫‪* IS.32‬هل البنية التحتية إلدارة‬
‫اآللة االفرتاضية تشمل‬
‫تدقي ًقا للتالعب أو‬
‫لوظيفة سالمة الربجميات‬
‫الكتشاف التغيريات يف‬
‫بناء‪/‬هتيئة اآللة‬
‫االفرتاضية؟‬
‫*هل لديك القدرة اليت‬ ‫‪IS.33‬‬ ‫التشفري‬
‫تسمح لك إبنشاء‬
‫مفاتيح تشفري خاصة‬
‫لكل عميل على حدة؟‬

‫‪ IS.34‬هل تدعم مفاتيح تشفري‬
‫أنشأها العمالء أو تسمح‬
‫للعمالء بتشفري البياانت‬
‫إىل هوية ما دون الوصول‬
‫إىل شهادة املفتاح العا‬
‫(مثل التشفري القائم على‬
‫اهلوية)؟‬
‫‪* IS.35‬هل تقو بتشفري بياانت‬ ‫إدارة مفتاح التشفري‬
‫العميل املتزنة (على قرص ‪/‬‬
‫ختزين) يف بيئتك؟‬
‫‪* IS.36‬هل ترفع مستوى التشفري‬
‫حلماية البياانت وصور اآللة‬
‫االفرتاضية أثناء االنتقال عرب‬
‫الشبكات وبينها ومناذج‬
‫اآللة االفرتاضية؟‬
‫‪ IS.37‬هل لديك القدرة على‬
‫إدارة مفاتيح التشفري نيابةً‬
‫عن العمالء؟‬
‫‪ IS.38‬هل حتتفظ إبجراءات إدارة‬
‫مفاتيح التشفري؟‬
‫‪* IS.39‬هل جتري مسح لثغرات‬ ‫الثغرات‪/‬إدارة تصحيح‬
‫طبقة الشبكة ابنتظا ؟‬ ‫الربامج‬
‫مسحا لثغرات‬
‫‪* IS.40‬هل جتري ً‬
‫طبقة التطبيقات ابنتظا ؟‬
‫مسحا لثغرات‬
‫‪* IS.41‬هل جتري ً‬
‫طبقة نظا التشغيل احمللي‬
‫ابنتظا ؟‬

‫‪* IS.42‬هل لديك القدرة على‬
‫تصحيح الثغرات بسرعة‬
‫عرب مجيع أجهزة احلواسب‬
‫والتطبيقات واألنظمة‬
‫لديك؟‬
‫‪ IS.43‬هل ستوضح لعمالئك‬
‫األطر الزمنية اخلاصة بك‬
‫لتصحيح لألنظمة املعرضة‬
‫للخطر عند طلبهم؟‬
‫‪ IS.44‬هل تقو ابستخدا‬ ‫برجميات مكافحة‬
‫حمركات متعددة مضادة‬ ‫للفريوسات‪/‬الربجميات‬
‫للربجميات اخلبيثة يف البنية‬ ‫اخلبيثة‬
‫التحتية لديك ؟‬
‫‪ IS.45‬هل تتأكد من أن نظم‬

‫اكتشاف هتديد األمن اليت‬
‫تستخد التوقيعات والقوائم‬
‫أو األمناط السلوكية يتم‬
‫حتديثها عرب مجيع مكوانت‬
‫البنية التحتية يف األطر‬
‫الزمنية املقبولة يف الصناعة؟‬
‫‪* IS.46‬هل لديك خطة استجابة‬ ‫إدارة احلوادث‬
‫موثقة حلوادث األمن؟‬
‫‪ IS.47‬هل تقو إبضافة متطلبات‬
‫العميل املتصصة إىل‬
‫خطط االستجابة حلوادث‬
‫األمن لديك؟‬

‫‪ IS.48‬هل لديك وظيفة فريق‬
‫استجابة طوارئ احلاسب‬
‫اآليل؟‬
‫‪ IS.49‬هل تقو بنشر مستند‬

‫خاص ابألدوار‬
‫واملسؤوليات حيدد‬
‫مسؤوليتك مقابل مسؤولية‬
‫عمالئك أثناء حوادث أمن‬
‫املعلومات؟‬
‫‪ IS.50‬هل يقو نظا إدارة‬ ‫اإلبالغ عن احلوادث‬
‫معلومات وأحداث أمن‬
‫املعلومات(‪)SIEM‬‬
‫لديك بدمج مصادر‬
‫البياانت ( سجالت‬
‫التطبيقات‪ ،‬سجالت‬
‫اجلدار الناري‪ ،‬سجالت‬
‫نظا كشف التسلل‬
‫(‪ )IDS‬وسجالت‬
‫الوصول امللموس وخالفه)‬
‫من أجل التحليل واإلنذار‬
‫الدقيق ؟‬
‫هل يسمح إطار عمل‬ ‫‪IS.51‬‬
‫تسجيلك ومراقبتك بعزل‬
‫حادث ما لعمالء حمددين؟‬

‫*هل تتفق خطتك‬ ‫‪IS.52‬‬ ‫اإلعداد القانوين‬
‫لالستجابة للحادث مع‬ ‫لالستجابة للحادث‬
‫معايري الصناعة فيما يتعلق‬
‫بعمليات وضوابط إدارة‬
‫تسلسل العهدة املقبولة‬
‫قانوانً؟‬
‫*هل قدرة االستجابة‬ ‫‪IS.53‬‬

‫للحادث لديك تشمل‬
‫استخدا أساليب مجع‬
‫وحتليل البياانت ألغراض‬
‫التحقيق اجلنائي املقب‬
‫ولة قانوان ؟‬
‫*هل أنت قادر على دعم‬ ‫‪IS.54‬‬
‫عمليات اإليقاف ألغراض‬
‫التقاضي (جتميد البياانت‬
‫عند وقت معني) لعميل‬
‫حمدد دون جتميد بياانت‬
‫عميل آخر؟‬
‫هل تفرض فصل بياانت‬ ‫‪IS.55‬‬
‫العميل وتشهد عليها عند‬
‫تقدمي بياانت بناء على أمر‬
‫استدعاء احملكمة؟‬
‫هل تقو مبراقبة وقياس‬ ‫‪IS.56‬‬ ‫مقاييس االستجابة للحادث‬
‫أنواع وأحجا وأتثريات‬
‫حوادث أمن املعلومات؟‬
‫هل ستقو بتقاسم بياانت‬ ‫‪IS.57‬‬
‫إحصائية عن حوادث أمن‬

‫املعلومات مع عمالئك عند‬
‫الطلب؟‬
‫‪ IS.58‬هل توفر واثئق بشأن كيفية‬ ‫االستخدا املقبول‬
‫استخدامك أو وصولك‬
‫لبياانت العميل أو بياانت‬
‫التعريف؟‬
‫‪ IS.59‬هل تقو جبمع أو إنشاء‬
‫بياانت تعريف عن‬
‫استخدا بياانت العميل‬
‫من خالل استخدا‬

‫تقنيات الفحص (حمركات‬
‫البحث وخالفه)؟‬
‫هل تسمح للعمالء‬ ‫‪IS.60‬‬
‫ابالنسحاب من الوصول‬
‫إىل بياانهتم أو بياانت‬
‫تعريفهم عرب تقنيات‬
‫الفحص؟‬
‫‪* IS.61‬هل توجد أنظمة ملراقبة‬ ‫عوائد األصول‬
‫انتهاك اخلصوصية وإخطار‬
‫العمالء على وجه السرعة‬
‫إذا أثر حادث اخلصوصية‬
‫على بياانهتم؟‬
‫‪* IS.62‬هل تتفق سياسة‬
‫اخلصوصية لديك مع‬
‫معايري الصناعة وقانون دولة‬
‫قطر؟‬

‫‪* IS.63‬هل توفر منهجيات تشفري‬ ‫معامالت التجارة‬
‫قياسية ( ‪3DES‬خوارزمية‬ ‫األلكرتونية‬
‫تشفري البياانت الثالثية‪،‬‬
‫‪ AES‬معيار التشفري املتقد‬
‫وغريها) للعمالء من أجل‬
‫محاية بياانهتم إذا وجب نقلها‬
‫خالل الشبكات العامة؟‬
‫(مثل شبكة اإلنرتنت)‬
‫‪* IS.64‬هل تستخد منهجيات‬

‫تشفري قياسية يف أي وقت‬
‫حتتاج فيه مكوانت البنية‬
‫التحتية لديك للتواصل مع‬
‫بعضها البعض عرب‬
‫شبكات عامة مثل نسخ‬
‫البياانت عرب شبكة‬
‫اإلنرتنت من بيئة ألخرى؟‬
‫‪ IS.65‬هل تقيد‪ ،‬أو تسجل أو‬ ‫الوصول ألدوات التدقيق‬

‫تراقب الوصول إىل نظم‬
‫إدارة أمن املعلومات‬
‫لديك؟ (مثال‪ ،‬اآلالت‬
‫االفرتاضية‪ ،‬واجلدار الناري‬
‫‪،‬وأجهزة مسح الثغرات و‬
‫مراقب الشبكات ‪APIs،‬‬
‫واجهات برجمة التطبيقات‬
‫وغريها)‬

‫‪* IS.66‬هل تضمن تقوية‬ ‫الوصول إىل منافذ‬
‫حمطات عمل االدارة‬ ‫التشخيص‪/‬التهيئة‬
‫والتحكم يف الوصول‬
‫القائم على الدور من‬
‫أجل تفعيل مبدأ "أقل‬
‫الصالحيات"؟‬
‫‪ IS.67‬هل تقو جبمع بياانت‬ ‫خدمات الشبكة‪/‬البنية‬
‫الطاقة االستيعابية‬ ‫التحتية‬
‫واالستخدا جلميع‬
‫املكوانت املتعلقة بتقدمي‬
‫خدمة السحاب‬
‫لديك؟‬
‫‪ IS.68‬هل توفر للعمالء تقارير‬

‫عن ختطيط الطاقة‬
‫االستيعابية واالستخدا‬
‫؟‬
‫‪* IS.69‬هل تسمح ابألجهزة‬ ‫أجهزة حممولة‪/‬نقالة‬
‫احملمولة يف مرفقك ألغراض‬
‫اإلدارة (مثل الكمبيوتر‬
‫اللوحي)؟‬
‫‪* IS.70‬هل توجد ضوابط ملنع‬ ‫تقييد الوصول إىل رمز‬
‫الوصول غري املرخص‬ ‫املصدر‬
‫لتطبيقك أو برانجمك أو‬
‫رمز املصدر والتأكد من‬
‫اقتصاره على املوظفني‬
‫املصرح هلم فقط؟‬

‫‪* IS.71‬هل توجد ضوابط ملنع‬
‫الوصول غري املرخص‬
‫لتطبيق أو برانمج العميل‬
‫أو رمز املصدر والتأكد من‬
‫اقتصاره على املوظفني‬
‫املصرح هلم فقط؟‬
‫*هل يتم تقييد ومراقبة‬ ‫‪IS.72‬‬ ‫الوصول إىل برامج األدوات‬
‫برامج األدوات املساعدة‬ ‫املساعدة‬
‫اليت ميكن أن تدير األقسا‬
‫االفرتاضية (مثل اإلغالق‬
‫واالستنساخ وغريه) بشكل‬
‫مالئم؟‬
‫هل لديك القدرة على‬ ‫‪IS.73‬‬
‫اكتشاف اهلجمات اليت‬
‫تستهدف البنية التحتية‬
‫االفرتاضية بشكل مباشر‬
‫(مثال‪:‬‬
‫‪Shimming‬شيمينج ‪،‬‬
‫‪Blue Bill‬بلو بيل ‪،‬‬
‫‪Hyper‬‬
‫هايرب‪Gambling‬‬
‫جامبلنج وغريها)؟‬
‫*هل يتم منع اهلجمات‬ ‫‪IS.74‬‬
‫اليت تستهدف البنية‬
‫التحتية االفرتاضية‬
‫ابلضوابط التقنية؟‬

‫‪* LG.01‬هل يتم حتديد وتوثيق‬ ‫اتفاقيات عد اإلفصاح‬
‫ومراجعة متطلبات‬
‫اتفاقيات السرية وعد‬
‫اإلفصاح اليت تعكس‬
‫احتياجات املؤسسة حلماية‬
‫البياانت والتفاصيل‬
‫التشغيلية على فرتات‬
‫حمددة؟‬
‫اجلوانب القانونية‬
‫*هل ميكنك تقدمي قائمة‬ ‫‪LG.02‬‬ ‫اتفاقيات األطراف الثالثة‬
‫مبؤسسات الطرف‬
‫الثالث احلالية واليت‬
‫سيكون بوسعها الوصول‬
‫إىل بياانت العميل‬
‫(بياانيت)؟‬
‫‪ OM.01‬هل مت وضع وطرح‬ ‫السياسة‬

‫السياسات واإلجراءات‬
‫جلميع املوظفني من أجل‬
‫توفري الدعم الكايف ألدوار‬
‫عمليات اخلدمات ؟‬

‫إدارة العمليات‬
‫‪ OM.02‬هل تطرح واثئق نظا‬ ‫الواثئق‬
‫املعلومات (مثل دليل‬
‫املسؤول واملستخد‬
‫‪،‬والرسو البيانية‬
‫للتصميمات وغريها)‬
‫لألفراد املصرح هلم للتأكد‬
‫من هتيئة وتركيب وتشغيل‬
‫نظا املعلومات؟‬
‫‪ OM.03‬هل توفر معلومات مواثئقة‬ ‫ختطيط الطاقة‬
‫بشأن مستوايت‬ ‫االستيعابية‪/‬املوارد‬
‫االشرتاكات الزائدة عن‬
‫طاقة النظا الذي تتبعه‬
‫(الشبكة‪ ،‬والتخزين‬
‫والذاكرة والعمليات على‬
‫شبكة اإلنرتنت وغريها)‬
‫وحتت أي ظرف ‪/‬‬
‫سيناريو؟‬
‫‪* OM.04‬هل تقيد استخدا‬
‫إمكاانت االشرتاك الزائد‬
‫للذاكرة املوجودة يف برانمج‬
‫تشغيل اآلالت‬
‫االفرتاضية‪hypervisor‬؟‬
‫‪ OM.05‬إذا كنت تستخد‬ ‫صيانة األجهزة‬

‫البنية التحتية‬
‫االفرتاضية‪ ،‬هل يشمل‬
‫حل السحاب لديك‬
‫استعادة مستقلة‬
‫لألجهزة و قدرات‬

‫االسرتداد مبا يف ذلك‬
‫التخزين اخلارجي‬
‫للنسخ االحتياطية؟‬
‫‪* OM.06‬إذا كنت تستخد البنية‬
‫التحتية االفرتاضية‪ ،‬فهل‬
‫توفر للعمالء القدرة على‬
‫اعادة آلة افرتاضية ما إىل‬
‫حالتها السابقة يف الوقت‬
‫املطلوب؟‬
‫تسمح بتحميل صور اآللة‬
‫االفرتاضية ونقلها إىل مزود‬
‫سحاب جديد؟‬
‫تتم إاتحة صور اآللة‬
‫للعميل بطريقة تسمح‬
‫للعميل نسخ تلك الصور‬
‫يف مكان ختزينه اخلارجي‬
‫اخلاص؟‬
‫‪ OM.09‬هل تتقاسم التقارير‬
‫اخلاصة بنتائج عمليات‬
‫النسخ االحتياطيي‪/‬‬
‫االسرتداد؟‬
‫‪ OM.10‬هل يشمل احلل السحايب‬

‫لديك قدرات التعايف‬

‫واالسرتداد املستقلة‬
‫للمزود‪/‬الربانمج؟‬
‫‪* RM.01‬هل مؤسستك مؤمن‬ ‫الربامج‬

‫عليها من طرف اثلث‬
‫ضد اخلسائر ؟‬
‫‪* RM.02‬هل اتفاقيات مستوى‬
‫اخلدمة لديك توفر تعويض‬
‫للعميل عن اخلسائر اليت قد‬
‫يتكبدها بسبب انقطاع‬
‫اخلدمة أو اخلسائر اليت‬
‫حتدث بسبب بنيتك‬
‫التحتية؟‬
‫‪* RM.03‬هل التقييمات الرمسية‬ ‫التقييمات‬
‫إدارة املخاطر‬
‫للمخاطر متوافقة مع إطار‬
‫عمل املؤسسة ويتم تنفيذها‬
‫سنوايً على األقل أو على‬
‫فرتات حمددة‪ ،‬بشكل حيدد‬
‫احتمال وأتثري مجيع‬
‫املخاطر احملددة ابستخدا‬
‫وسائل كمية وكيفية؟‬
‫‪ RM.04‬هل يتم حتديد‬
‫االحتمال والتأثري‬
‫املصاحب للمخاطر‬
‫الكامنة واملتبقية بشكل‬
‫مستقل‪ ،‬مع أخذ مجيع‬
‫فئات املخاطر يف‬
‫االعتبار (مثل نتائج‬
‫التدقيق وحتليل‬
‫التهديدات والثغرات‬
‫وااللتزا مبتطلبات‬
‫اجلهات التنظيمية)؟‬
‫‪* RM.05‬هل يتم ختفيف‬ ‫التتفيف‪/‬القبول‬
‫املخاطر إىل املستوايت‬
‫املقبولة بناء على املعايري‬
‫احملددة من قبل الشركة‬
‫وف ًقا لألطر الزمنية‬
‫املعقولة للحل؟‬
‫‪* RM.06‬هل يتم اجراء املعاجلة‬
‫عند مستوايت مقبولة بناء‬
‫على املعايري احملددة من‬
‫قبل الشركة وف ًقا لألطر‬
‫الزمنية املعقولة للحل؟‬
‫‪* RM.07‬هل تشمل نتائج‬ ‫أتثريات تغيري‬
‫تقييم املخاطر‬ ‫األعمال‪/‬السياسة‬
‫حتديثات لسياسات‬
‫وإجراءات ومعايري‬
‫وضوابط األمن‬
‫لضمان بقاءها مناسبة‬
‫وفعالة؟‬
‫‪ RM.08‬هل تراقب استمرارية‬ ‫وصول األطراف الثالثة‬
‫اخلدمة مع مزودي اإلنرتنت‬
‫املعنيني بنقل البياانت من‬
‫العمالء إىل اخلاد يف حالة‬
‫فشل مزود اخلدمة؟‬

‫‪ RM.09‬هل لديك أكثر من مزود‬
‫تعتمد عليه لكل خدمة‬
‫على حدة ؟‬
‫وصوال‬
‫‪ RM.10‬هل توفر ً‬
‫للطاقة الفائضة‬
‫للعمليات‬
‫وملخصات‬
‫استمرارية العمل‬
‫واليت تشمل‬
‫اخلدمات اليت تعتمد‬
‫عليها؟‬
‫‪ RM.11‬هل توفر للعميل‬
‫القدرة على إعالن‬
‫كارثة ما؟‬
‫‪ RM.12‬هل تتيح للعميل خياراً‬

‫ميكنه استخدامه بنفسه‬
‫للتغلب على تعطل‬
‫العمل؟‬
‫*هل تتقاسم خطط‬ ‫‪RM.13‬‬
‫استمرارية العمل‬
‫واخلطط االحتياطية مع‬
‫عمالئك ؟‬

‫*هل مت وضع‬ ‫‪SD.01‬‬ ‫تطوير جديد‪/‬استحواذ‬
‫السياسات واإلجراءات‬
‫من أجل تفويض اإلدارة‬
‫لتطوير أو شراء‬
‫تطبيقات و نظم و‬
‫قواعد بياانت و بنية‬
‫حتتية و خدمات و‬
‫عمليات و مرافق‬
‫جديدة؟‬
‫‪* SD.02‬هل توفر للعمالء واثئق‬ ‫التغيريات يف االنتاج‬
‫تطوير الربجميات‬
‫تصف إجراءات إدارة‬
‫تغيري املنتجات لديك‬
‫وأدوارهم وحقوقهم‬
‫ومسؤولياهتم ذات الصلة؟‬
‫‪ SD.03‬هل توفر لعمالئك‬ ‫اختبار اجلودة‬
‫واثئق تصف عملية‬
‫ضمان اجلودة؟‬
‫‪* SD.04‬هل لديك ضوابط‬ ‫التطوير املسند إىل جهات‬
‫لضمان حتقيق معايري‬ ‫خارجية‬
‫اجلودة لتطوير مجيع‬
‫الربجميات؟‬
‫‪* SD.05‬هل لديك ضوابط‬
‫الكتشاف عيوب أمن‬
‫رمز املصدر ألي أنشطة‬
‫تطوير برجميات مسندة‬
‫إىل جهات خارجية ؟‬

‫‪* SD.06‬هل لديك ضوابط‬ ‫عمليات تثبيت الربجميات‬
‫حلظر ومراقبة تثبيت‬ ‫غري املصرح هبا‬
‫الربامج غري املصرح هبا‬
‫على نظامك؟‬
‫هل توفر للعمالء رؤية‬ ‫‪DR.01‬‬ ‫حتليل التأثري‬

‫مستمرة وتقارير عن‬
‫أداءك التشغيلي وفقاً‬
‫التفاقية مستوى‬
‫اخلدمة(‪(SLA‬؟‬
‫‪ DR.02‬هل تضع العمالء دائماً‬
‫إستمرارية العمل ‪DR /‬‬

‫يف الصورة وتوفر هلم‬
‫تقارير عن أداءك‬
‫التشغيلي وفقاً التفاقية‬
‫مستوى اخلدمة‬
‫(‪(SLA‬؟‬
‫‪ DR.03‬هل أنت حاصل على‬ ‫ختطيط استمرارية العمل‬
‫شهادة ‪BS25999‬‬
‫أو‪ ISO 22301‬؟‬
‫‪ DR.04‬هل توفر للعمالء‬
‫خيارات استضافة تتسم‬
‫ابملرونة اجلغرافية؟‬
‫‪* DR.05‬هل خطط استمرارية‬ ‫اختبار استمرارية العمل‬
‫العمل خاضعة لالختبار‬
‫على فرتات حمددة أ عند‬
‫حدوث تغيريات تنظيمية‬
‫أو بيئية لضمان استمرارية‬
‫فاعليتها؟‬

‫‪* DR.06‬هل مت تصميم احلماية‬ ‫املخاطر البيئية‬
‫امللموسة ووضع‬
‫اإلجراءات املضادة ضد‬
‫التلف الناتج عن‬
‫األسباب الطبيعية‬
‫والكوارث واهلجمات‬
‫املقصودة ؟‬
‫‪* DR.07‬هل يتم تنفيذ آليات‬ ‫انقطاع الطاقة عن‬
‫واحتياطات األمن‬ ‫األجهزة‬
‫حلماية األجهزة من‬
‫انقطاع خدمة األدوات‬
‫املساعدة (مثل انقطاع‬
‫الطاقة وتعطل الشبكة‬
‫وغريه)؟‬
‫‪ DR.08‬هل توفر للعمالء‬ ‫الطاقة‪/‬االتصاالت‬
‫واثئق توضح مسار‬
‫انتقال بياانهتم بني‬
‫أنظمتك؟‬
‫‪ DR.09‬هل ميكن للعمالء‬
‫حتديد كيفية نقل‬
‫بياانهتم ومن خالل أي‬
‫والية قانونية؟‬
‫*هل متت معاجلة‬ ‫‪AR.01‬‬ ‫متطلبات وصول العميل‬

‫مجيع املتطلبات‬
‫األمنية و‬
‫التعاقدية والتنظيمية‬
‫لوصول العميل قبل منح‬

‫وصوال للبياانت‬
‫العمالء ً‬
‫واألصول ونظم‬
‫املعلومات؟‬
‫‪ AR.02‬هل تستخد معايري‬
‫مفتوحة لتفويض‬
‫قدرات التوقيق‬
‫لعمالئك؟‬
‫‪* AR.03‬هل تدعم معايري‬

‫توحيد اهلوية ( اللغة‬
‫الرتميزية لتأكيد األمن‬
‫‪SAMLSPML‬‬
‫لغة ترميز تزويد اخلدمة‪،‬‬
‫‪WS-federation‬‬
‫لغة توحيد خدمات‬
‫الويب وغريه) كوسيلة‬
‫لتوثيق‪/‬تفويض‬
‫املستخدمني؟‬
‫‪ AR.04‬هل لديك القدرة على‬
‫تنفيذ السياسة يف نقطة‬
‫معينة (مثال‪ :‬لغة الرتميز‬
‫املوسعة للتحكم يف‬
‫الوصول‪)XACML‬‬
‫لتفعيل القيود القانونية‬
‫اإلقليمية وقيود السياسة‬
‫على وصول املستخدمني؟‬

‫‪ AR.05‬هل لديك نظا إدارة هوية‬
‫يتيح حق احلصول على‬
‫البياانت القائم على الدور‬
‫والقائم على السياق (يتيح‬
‫تصنيف البياانت للعميل)‬
‫إذا طلب ذلك ؟‬
‫‪* AR.06‬هل توفر للعمالء خيارات‬
‫توثيق قوية (متعددة‬
‫العوامل) (شهادات رقمية‬
‫و بياانت شخصية ورموز‬
‫وغريها) لوصول املستخد ؟‬
‫‪ AR.07‬هل تسمح للعمالء‬

‫ابستخدا خدمات أتكيد‬
‫اهلوية املقدمة من أطراف‬
‫اثلثة؟‬
‫‪ AR.08‬هل تستخد أداة آلية‬
‫لتحليل رمز مصدر‬
‫الكتشاف عيوب أمن الرمز‬
‫قبل انتاجه؟‬
‫‪* AR.09‬هل تتحقق من أن مجيع‬
‫موردي برجمياتك يلتزمون‬
‫مبعايري الصناعة اخلاصة‬
‫أبمن دورة حياة تط وير‬
‫النظم‪/‬الربجميات؟‬
‫‪* AR.10‬هل يتم تنفيذ اإلجراءات‬ ‫سالمة البياانت‬
‫الروتينية لسالمة مدخالت‬
‫وخمرجات البياانت (مثل‬

‫املطابقة ومراجعات‬
‫التحرير) لواجهات‬
‫التطبيقات وقواعد البياانت‬
‫ملنع أخطاء املعاجلة اليدوية‬
‫أو اآللية أوتلف البياانت؟‬
‫‪* AR.11‬ابلنسبة لتقدمي‬ ‫بيئات اإلنتاج‪/‬عد اإلنتاج‬
‫املنصةكخدمة‪PaaS‬‬
‫‪ ،‬هل توفر للعمالء‬
‫بيئات منفصلة‬
‫لعمليات اإلنتاج‬
‫واالختبار؟‬
‫‪ AR.12‬ابلنسبة لتقدمي البنية التحتية‬

‫كخدمة‪ ، IaaS‬هل توفر‬
‫للعمالء توجيه عن كيفية‬
‫إنشاء بيئات إنتاج واختبار‬
‫مناسبة ؟‬
‫‪* AR.13‬هل التوثيق متعدد‬ ‫التوثيق متعددة العوامل‬
‫العوامل مطلوب لوصول‬ ‫للمستخد عن بعد‬
‫املستخد عن بعد؟‬
‫‪ AR.14‬ابلنسبة لتقدمي البنية التحتية‬ ‫أمن الشبكة‬
‫كخدمة‪ ، IaaS‬هل‬
‫تقد للعمالء توجيه عن‬
‫كيفية إجياد تكافؤ يف‬
‫تصميم األمن الطبقي‬
‫ابستخدا حل‬
‫افرتاضي؟‬

‫‪* AR.15‬هل مت وضع السياسات‬ ‫األمن الالسلكي‬
‫واالجراءات و تنفيذاآلليات‬
‫حلماية حميط بيئة الشبكات‬
‫و هتيئتها ملنع املرور غري‬
‫املرخص؟‬
‫‪* AR.16‬هل مت وضع السياسات‬
‫واالجراءات و تنفيذاآلليات‬
‫لضمان متكني إعدادات‬
‫أمن مالئمة بتشفري قوي‬
‫لتوثيق ونقل واستبدال‬
‫إعدادات االفرتاضية احملددة‬
‫من املورد؟ (مثال‪ :‬مفاتيح‬
‫التشفري‪ ،‬كلمات السر‬
‫سلسلة املصادقة للربتوكول‬
‫البسيط إلدارة الشبكة‬
‫‪ SNMP‬وغريها)‬
‫‪* AR.17‬هل مت وضع السياسات‬

‫واالجراءات و تنفيذ‬
‫اآلليات حلماية بيئات‬
‫الشبكات وكشف وجود‬
‫أي أجهزة غري مرخصة‬
‫(خادعة) على الشبكة من‬
‫أجل فصلها على الفور عن‬
‫الشبكة؟‬
‫‪* AR.18‬هل الوصول إىل األنظمة‬ ‫الشبكات املشرتكة‬
‫ذات البنية التحتية للشبكة‬
‫املشرتكة مقصور على‬
‫املوظفني املتولني فقط وف ًقا‬
‫لسياسات وإجراءات‬
‫ومعايري األمن‪ .‬و هل‬
‫سيكون للشبكات‬
‫املشرتكة ذات الكياانت‬
‫اخلارجية خطة موثقة‬
‫تفصل ضوابط التعويض‬
‫املستخدمة لفصل مرور‬
‫الشبكة بني املؤسسات؟‬
‫‪* AR.19‬هل تستخد بروتوكول‬ ‫مزامنة الساعة‬
‫خدمة زمنية متزامنة‬
‫(مثل‪ NTP‬برتوكول‬
‫وقت الشبكة) لضمان‬
‫مرجعية زمنية مشرتكة‬
‫جلميع األنظمة؟‬
‫‪ AR.20‬هل يستخد التعريف اآليل‬ ‫حتديد األجهزة‬

‫لألجهزة كوسيلة لتوثيق‬
‫االتصال للتحقق من صحة‬
‫توثيق االتصال املبين على‬
‫املوقع املعلو لألجهزة ؟‬
‫‪* AR.21‬هل األدوات املستخدمة‬ ‫تسجيل التدقيق ‪/‬اكتشاف‬
‫لتحقيق سالمة امللفات‬ ‫االخرتاق‬
‫(االستضافة) واكتشاف‬
‫اخرتاق الشبكات تساعد‬
‫على تسهيل الكشف يف‬
‫وقت مناسب و التحقيق‬
‫بتحليل األسباب اجلذرية‬
‫واالستجابة للحوادث؟‬

‫‪* AR.22‬هل الوصول املادي‬
‫واملنطقي للمستخد‬
‫لسجالت التدقيق مقصورة‬
‫على املوظفني املتولني‬
‫فقط؟‬
‫‪* AR.23‬هل ميكنك تقدمي دليل‬
‫على أنه قد مت القيا‬
‫بتتطيط يستند إىل‬
‫االستقصاء املطلوب عن‬
‫اللوائح واملعايري اليت تنطبق‬
‫على ضوابطك وتصميمك‬
‫وعملياتك يف الوقت‬
‫احلايل؟‬
‫‪* AR.24‬هل يتم اختبار الرمز‬ ‫الرمز املتنقل‬
‫املتنقل (من حيث األمن)‬
‫قبل تثبيته واستخدامه‬
‫وفحص هتيئة الرمز لضمان‬
‫أن الرمز املتنقل املصرح به‬
‫يعمل وف ًقا لسياسة أمنية‬
‫حمددة بوضوح؟‬
‫‪* AR.25‬هل حيظر تنفيذ كافة‬
‫الرموز املتنقلة غري املصرح‬
‫هبا؟‬
‫يقو االستبيان املذكور أعاله على أسئلة ‪ CAI‬الصادرة عن احتاد أمن السحاب)‪) CSA‬‬
‫‪www.cloudsecurityalliance.org‬‬

‫الملحق ب‪ :‬نموذج اتفاقية سرية معلومات‬ ‫‪-23‬‬
‫مالحظة‪ :‬يستخد النموذج التايل عند التعاقد مع طرف اثلث كمزود خلدمات السحاب‪.‬‬
‫حررت هذه االتفاقية بتاريخ ‪ ......‬بني كل من ‪( .....‬يشار إليه يف هذه االتفاقية ابسم" املالك") ومزود خدمة‬
‫السحاب ‪( .....‬يشار إليها يف هذه االتفاقية ابسم" مزود خدمة السحاب")‪.‬‬
‫حيث أن املالك ميتلك وحيوز بعض املعلومات السرية (يشار إليها يف هذه االتفاقية ابسم" املعلومات السرية")‪.‬‬
‫وحيث يرغب املالك يف التعاقد مع مزود خدمة السحاب لتقدمي خدمات احلوسبة السحابية أو تنفيذ مشروعات احلوسبة‬
‫السحابية (يشار إليها يف هذه االتفاقية ابسم" الغرض")‪ ،‬وقد يتضمن ذلك اإلفصاح عن املعلومات السرية من جانب‬
‫املالك إىل مزود خدمة السحاب‪ ،‬ابإلضافة إىل التزامات قانونية أخرى ‪.‬‬
‫وبناءً على ما سبق‪ ،‬حررت هذه االتفاقية إلثبات تعهد مزود خدمة السحاب واتفاقه مع املالك على ما يلي ابلنظر إىل‬
‫إفصاح املالك عن املعلومات السرية إىل مزود خدمة السحاب‪ ،‬واالتفاقات املتبادلة وغري ذلك من االعتبارات السائغة أو‬
‫القيمة أو الشكلية اليت مت اإلقرار ابستالمها وكفايتها مبوجب هذه االتفاقية‪:‬‬
‫‪ -1‬التعاريف‬
‫االتفاقية‪ :‬أي إشارة يف هذه االتفاقية إىل كلمة "اتفاقية" يقصد هبا هذه االتفاقية اليت متثل التفاهم الكامل بني الطرفني‬
‫وتلغي كافة االتفاقات األخرى صرحيةً كانت أ ضمنية بني الطرفني فيما يتعلق ابإلفصاح عن املعلومات السرية‪.‬‬
‫املعلومات السرية‪ :‬يف هذه االتفاقية‪ ،‬يقصد "ابملعلومات السرية" ما يلي‪:‬‬

‫أي معلومات (سواءً كانت مكتوبة أو شفهية أو يف شكل الكرتوين أو يف أي وسيط آخر) يتم اإلفصاح عنها فيما يتعلق‬
‫ابلغرض من قبل املالك أو ابلنيابة عنه إىل مزود خدمة السحاب يف اتريخ هذه االتفاقية أو بعده؛ و‪/‬أو وجود الغرض أو‬
‫أي مناقشات أو واثئق تتعلق به (مبا يف ذلك شروط هذه االتفاقية‪).‬‬
‫وال تشمل املعلومات السرية املعلومات اليت‪:‬‬

‫تكون غري مقيدة االستعمال وقت اإلفصاح‪ ،‬أو تصبح كذلك بعد ذلك بطريق آخر خبالف اإلخالل املباشر أو غري‬
‫املباشر هبذه االتفاقية من جانب مزود خدمة السحاب؛ أو اليت يستطيع مزود خدمة السحاب أن يثبت أنه قد استلمها‬

‫يف أي وقت من طرف اثلث مل حيصل عليها حتت شرط احلفاظ على سريتها وحيق له تقدميها إىل مزود خدمة السحاب‬
‫دون قيد؛ أو مت إعدادها بشكل مستقل من قبل الطرف املتلقي دون وقوع أي إخالل هبذه االتفاقية‪.‬‬
‫‪ -2‬األطراف الثالثة‬
‫يلتز مزود خدمة السحاب بعد اإلفصاح عن املعلومات السرية ألي طرف اثلث ‪ ،‬ويستثىن من ذلك جواز إفصاح مزود‬
‫خدمة السحاب عن املعلومات السرية يف احلاالت التالية‪:‬‬
‫• اإلفصاح عن املعلومات السرية إىل أي من مسؤوليه أو مديريه أو موظفيه أو مستشاريه أو مقاوليه من الباطن‬
‫أو مستشاريه املهنيني (األطراف التابعة ملزود خدمة السحاب) الذين حيتاجون بصورة معقولة لالطالع على تلك‬
‫املعلومات السرية من أجل حتقيق الغرض‪ .‬ويلتز مزود خدمة السحاب ابختاذ اخلطوات املعقولة لضمان عد‬
‫قيا أي طرف اتبع له أبي تصرف أو إغفاله القيا أبي تصرف من شأنه إذا مت القيا به أو إغفال القيا به من‬
‫جانب مزود خدمة السحاب أن ميثل إخالالً هبذه االتفاقية‪ .‬ويتحمل مزود خدمة السحاب مسؤولية التصرفات‬
‫واإلغفاالت اليت ترتكبها األطراف التابعة له كما لو كانت تلك التصرفات أو اإلغفاالت قد صدرت عن مزود‬
‫خدمة السحاب نفسه‪.‬‬
‫• اإلفصاح عن املعلومات السرية إىل احلد الذي يتطلبه القانون أو حمكمة ذات اختصاص قضائي أو القواعد‬
‫اخلاصة أبي جهة إصدار أو تداول لألوراق املالية أو جهة حكومية أو تنظيمية‪ .‬ويلتز مزود خدمة السحاب‪،‬‬
‫حيثما كان ذلك عملياً بصورة معقولة‪ ،‬ووفقاً للقانون ‪،‬أبن خيطر املالك خطياً بذلك اإلفصاح مقدماً‪ ،‬وأن‬
‫يستشري املالك فيما يتعلق مبحتوى وغرض ووسيلة اإلفصاح‪ ،‬وأن يسعى جلعل ذلك اإلفصاح خاضعاً اللتزامات‬
‫احملافظة على السرية مبا يتفق مع شروط هذه االتفاقية إىل أقصى حد ممكن‪.‬‬
‫• إذا وافق املالك على اإلفصاح موافقة خطية‪.‬‬
‫‪ -3‬اإلقرار بالملكية والسرية‬

‫يقر مزود خدمة السحاب ويوافق على أن املعلومات السرية اليت يفصح له املالك عنها‪ ،‬أو اليت حيصل عليها مزود خدمة‬
‫السحاب أو يراها أو يصبح على علم هبا كنتيجة مباشرة أو غري مباشرة للمناقشات الواردة يف هذه االتفاقية هي ملكية‬
‫حصرية للمالك‪ ،‬وأن مزود خدمة السحاب سيحافظ على السرية التامة لتلك املعلومات‪.‬‬
‫‪ -4‬عدم جواز تحويل الحقوق‬

‫يقر مزود خدمات السحاب ويوافق على أنه لن حيصل على أي حق أو ملكية يف املعلومات السرية‪ ،‬وأن املالك يظل هو‬
‫املالك الوحيد للمعلومات السرية‪ ،‬مبا يف ذلك على سبيل املثال ال احلصر كافة براءات االخرتاع وحقوق النشر والتأليف‬

‫والعالمات التجارية واألسرار التجارية واألمساء التجارية وغري ذلك من حقوق امللكية املتعلقة هبا‪ ،‬يف أي مكان يف العامل‪.‬‬
‫وال حيق ملزود خدمة السحاب إنتاج أو استخدا أو بيع أو توزيع املعلومات السرية دون تصريح خطي من املالك‪.‬‬
‫‪ -5‬إنتفاء عرض البيع‬
‫يقر الطرفان ويوافقان على أن اإلفصاح عن املعلومات السرية من جانب املالك ملزود خدمة السحاب ال ميثل عرضاً من‬
‫املالك لبيع أو ترخيص أو نقل ملكية املعلومات السرية أبي شكل آخر‪ .‬ويتعني أن يعد أي عرض لبيع أو ترخيص أو نقل‬
‫ملكية املعلومات السرية أبي شكل آخر وفقاً التفاقية مستقلة‪.‬‬
‫‪ -6‬التعويضات‬
‫يوافق كل طرف من الطرفني على أنه يف حالة وقوع أي إخالل هبذه االتفاقية من جانبه‪ ،‬حيق للطرف اآلخر كمسألة حق‬
‫أن يتقد إىل حمكمة ذات اختصاص قضائي للحصول على تعويض عن طريق أمر تقييد مبا يتوافق مع أحكا هذه‬
‫االتفاقية؛ وذلك ابإلضافة إىل كافة التعويضات األخرى املتاحة للطرف اآلخر مبوجب القانون القطري‪.‬‬
‫‪ -7‬التعديل‬
‫جيوز للطرفني تعديل أي شرط أو حكم منصوص عليه يف هذه االتفاقية بشرط املوافقة املتبادلة وكتابة تلك التعديالت‬
‫وتوقيعها من قبل الطرفني‪.‬‬
‫‪ -8‬الخلفاء‬
‫هذه االتفاقية ملزمة وسارية املفعول لصاحل كال الطرفني وورثتهما وخلفائهما ومن يتنازال إليهما وممثليهما‬
‫‪ -9‬التنازل‬
‫أي تنازل أو أتجيل أو تسامح أو إخفاق يف التصرف من قبل أحد الطرفني بشأن أي إخالل أو إمهال معني يقع من‬
‫الطرف اآلخر لن يؤثر على أي حقوق أو تعويضات تتعلق بذلك اإلخالل أو اإلمهال أو أي إخالل أو إمهال الحق مت‬
‫التنازل عنه صراحةً وخطياً‪.‬‬
‫‪ -10‬القانون الحاكم‬
‫ختضع هذه االتفاقية وتفسر وفقاً لقوانني دولة قطر‪ .‬وختضع النزاعات الناشئة عن عد االلتزا أبي من الشروط املنصوص‬
‫عليها يف هذه االتفاقية لالختصاص القضائي حملاكم دولة قطر‪.‬‬
‫‪ -11‬بدء اإلجراءات القضائية‬

‫يوافق طرفا هذه االتفاقية على أن مباشرة أي قضية أو دعوى أو إجراء قضائي أما أي حمكمة تقع يف دولة قطر جيوز أن‬
‫تبدأ إبخطار يسلم شخصياً إىل الطرف اخلصم يف هذه االتفاقية أو إىل وكيل اإلخطار املالئم‪.‬‬

‫‪ -12‬االلتزام المستمر‬
‫كافة احلقوق وااللتزامات املنصوص عليها يف هذه االتفاقية اليت تتجاوز حبكم طبيعتها حدود شروط ومدة هذه االتفاقية‬
‫تستمر سارية املفعول على الرغم من أي انتهاء أو إهناء هلذه االتفاقية‪ ،‬وتظل سارية املفعول ملدة عامني بعد ذلك االنتهاء‬
‫أو اإلهناء‪ .‬وعلى الرغم من ذلك ‪ ،‬جيوز ألي من الطرفني أن يطلب مدة سرية أطول لبعض املعلومات اليت جيب أن تصنف‬
‫وحتدد للطرف اآلخر‪.‬‬
‫‪ -13‬أتعاب المحاماة‬
‫إذا نشأ أي تقاضي عن هذه االتفاقية‪ ،‬حيق للطرف احملكو لصاحله اسرتداد أتعاب وتكاليف ومصروفات احملاماة يف احلدود‬
‫املعقولة‪ ،‬ابإلضافة إىل أي تعويض آخر قد يستحق لذلك الطرف‪.‬‬
‫‪ -14‬العناوين‬
‫كافة الفهارس والعناوين وعناوين املوضوعات وعناوين البنود واملصطلحات املشاهبة وردت لغرض اإلشارة وسهولة الرجوع‬
‫فقط‪ ،‬وال يقصد منها أن تكون شاملة أو حمددة‪ ،‬كما أهنا ال تؤثر على معىن أو نطاق هذه االتفاقية‪.‬‬
‫‪ -15‬صالحية التنفيذ‬
‫يقر الطرفان املوقعان أدانه أبهنما خمولني إلبرا هذه االتفاقية ابلنيابة عن الطرف الذي يوقعان عنه‪.‬‬
‫وإشهاداً على ما تقد ‪ ،‬حرر الطرفان هذه االتفاقية‪.‬‬
‫مزود خدمة السحاب‬ ‫المالك‬

‫)‪(.......‬‬ ‫(‪)........‬‬
‫التوقيع‪:‬‬ ‫التوقيع‪:‬‬
‫االسم‪:‬‬ ‫االسم‪:‬‬
‫الوظيفة‪:‬‬ ‫الوظيفة‪:‬‬
‫التاريخ‪:‬‬ ‫التاريخ‪:‬‬


سياسة تأمين الحوسبة السحابية

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

سياسة تأمين الحوسبة السحابية

Uploaded by

Copyright:

Available Formats

‫سياسة تأمين الحوسبة السحابية‬

‫المؤلف‪ :‬قسم إدارة مخاطر األمن السيبراني‬

‫تصنيف الوثيقة‪ :‬عام‬

‫تاريخ النشر‪ :‬اغسطس ‪2018‬‬

‫‪1.0‬‬ ‫نشر النسخة االولى ‪1.0‬‬ ‫مارس ‪2018‬‬