‫هذا المربع مخّص ص ألغراض توجيهية‪ .

‬احذف جميع المربعات التوجيهية‬

‫بع‪3‬د تعبئ‪3‬ة النم‪3‬وذج‪ .‬يجب تحري‪3‬ر البن‪3‬ود الملّو ن‪3‬ة ب‪3‬اللون األزرق بص‪3‬ورة‬
‫مناسبة‪ .‬ويجب إزالة التظليل الملون بعد إجراء التعديالت‪.‬‬

‫أدخل شعار الجهة بالضغط على الصورة الموضحة‪.‬‬

‫نموذج سياسة أمن قواعد البيانات‬

‫استبدل <اسم الجهة> باسم الجهة في مجمل صفحات الوثيقة‪.‬‬

‫وللقيام بذلك‪ ،‬اتبع الخطوات التالية‪:‬‬
‫اض‪33‬غط على مفت‪33‬احي "‪ "Ctrl‬و"‪ "H‬في ال‪33‬وقت‬ ‫‪‬‬
‫نفسه‪.‬‬
‫‪3‬ف "<اس‪33‬م الجه‪33‬ة>" في مرب‪33‬ع البحث عن‬ ‫أض‪3‬‬
‫التصنيف‬ ‫‪‬‬
‫اختر‬
‫النص‪.‬‬
‫أدخل االسم الكامل لجهتك في مرب‪33‬ع "اس‪33‬تبدال"‬ ‫‪‬‬
‫اضغط هنا إلضافة تاريخ‬ ‫التاريخ‪:‬النص‪.‬‬
‫اختي‪333‬ار "‬
‫إلضافة نص‬ ‫من هنا‬ ‫اض‪333‬غط على "المزي‪333‬د" وتأّك د‬
‫اضغط‬ ‫اإلصدار‪:‬‬ ‫‪‬‬
‫‪."Match case‬‬
‫المرجع‪:‬اضغط على "استبدل الكل"‪ .‬اضغط هنا إلضافة نص‬ ‫‪‬‬
‫أغلق مربع الحوار‪.‬‬ ‫‪‬‬
 ‫نموذج سياسة أمن قواعد البيانات‬

‫إخالء المسؤولية‬
‫ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس‪33‬يبراني كمث‪33‬ال توض‪33‬يحي يمكن اس‪33‬تخدامه ك‪33‬دليل‬
‫ومرجع للجهات‪ .‬يجب أن يتم تعديل ه‪3‬ذا النم‪3‬وذج ومواءمت‪3‬ه م‪3‬ع أعم‪3‬ال <اس‪3‬م الجه‪3‬ة> والمتطلب‪3‬ات التش‪3‬ريعية‬
‫والتنظيمية ذات العالقة‪ .‬كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم‪/‬تقوم بتفويض‪33‬ه‪ .‬وتخلي‬
‫الهيئة مسؤوليتها من استخدام هذا النموذج كما هو‪ ،‬وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي‪.‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪1‬‬
 ‫نموذج سياسة أمن قواعد البيانات‬

‫اعتماد الوثيقة‬

‫التوقيع‬ ‫التاريخ‬ ‫االسم‬ ‫المسمى الوظيفي‬ ‫الدور‬

‫اضغط هنا إلضافة‬

‫<أدخل التوقيع>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل المسمى الوظيفي>‬
‫تاريخ‬

‫نسخ الوثيقة‬

‫أسباب التعديل‬ ‫ٌعدَل بواسطة‬ ‫التاريخ‬ ‫النسخة‬

‫اضغط هنا إلضافة‬

‫<أدخل وصف التعديل>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل رقم النسخة>‬
‫تاريخ‬

‫جدول المراجعة‬

‫تاريخ المراجعة القادمة‬ ‫التاريخ ألخر مراجعة‬ ‫معدل المراجعة‬

‫اضغط هنا إلضافة تاريخ‬ ‫اضغط هنا إلضافة تاريخ‬ ‫مره واحدة كل سنة‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪2‬‬
 ‫نموذج سياسة أمن قواعد البيانات‬

‫قائمة المحتويات‬
‫الغرض ‪4............................................................................................................................‬‬
‫نطاق العمل ‪4.......................................................................................................................‬‬
‫بنود السياسة ‪4......................................................................................................................‬‬
‫األدوار والمسؤوليات ‪6.............................................................................................................‬‬
‫التحديث والمراجعة ‪6...............................................................................................................‬‬
‫االلتزام بالسياسة ‪6..................................................................................................................‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪3‬‬
 ‫نموذج سياسة أمن قواعد البيانات‬

‫الغرض‬
‫الغ‪33‬رض من ه‪33‬ذه السياس‪33‬ة ه‪33‬و تحدي‪33‬د متطلب‪33‬ات األمن الس‪33‬يبراني المتعلق‪33‬ة بحماي‪33‬ة قواع‪33‬د البيان‪33‬ات (‬
‫‪ )Database‬الخاصة ب<اسم الجهة> لتقليل المخاطر السيبرانية وحمايتها من التهديدات الداخلي‪33‬ة والخارجي‪33‬ة‬
‫ب<اس‪33‬م الجه‪33‬ة> من خالل الترك‪33‬يز على األه‪33‬داف األساس‪33‬ية للحماي‪33‬ة وهي‪ :‬س‪33‬رية المعلوم‪33‬ات‪ ،‬وس‪33‬المتها‪،‬‬
‫وتوافرها‪.‬‬
‫تمت موائم‪33‬ة ه‪33‬ذه السياس‪33‬ة م‪33‬ع الض‪33‬وابط والمع‪33‬ايير الص‪33‬ادرة من الهيئ‪33‬ة الوطني‪33‬ة لألمن الس‪33‬يبراني‬
‫والمتطلبات التنظيمية والتشريعية ذات العالقة‪.‬‬

‫نطاق العمل‬
‫تغطي هذه السياسة جميع األصول المعلوماتية والتقنية (شاملة أنظمة قواعد البيان‪33‬ات) الخاص‪33‬ة ب<اس‪33‬م‬
‫الجهة>‪ ،‬وتنطبق على جميع العاملين (الموظفين والمتعاقدين) في <اسم الجهة>‪.‬‬

‫بنود السياسة‬
‫البنود العامة‬ ‫‪-1‬‬
‫يجب تحديد وتوثيق جميع أنظمة قواعد البيانات المستخدمة داخل <اسم الجهة>‪.‬‬ ‫‪1-1‬‬
‫يجب توفير بيئة آمن‪33‬ة مناس‪33‬بة لحماي‪33‬ة أنظم‪33‬ة قواع‪33‬د البيان‪33‬ات من المخ‪33‬اطر البيئي‪33‬ة والتش‪33‬غيلية بم‪33‬ا‬ ‫‪1-2‬‬
‫يتناسب مع تصنيف قواعد البيانات‪.‬‬
‫يجب تطوير واعتماد معايير تقنية أمنية ألنظمة قواعد البيانات داخ‪3‬ل <اس‪3‬م الجه‪3‬ة> وتطبيقه‪3‬ا من‬ ‫‪1-3‬‬
‫قبل مشرفي قواعد البيانات‪.‬‬
‫يجب منع الوصول أو التعامل المباشر ألي مستخدم مع قواعد البيان‪33‬ات‪ ،‬فيم‪33‬ا ع‪33‬دا مش‪33‬رفي قواع‪33‬د‬ ‫‪1-4‬‬
‫البيان‪33‬ات (‪ )Database Administrators‬ويتم ذل‪33‬ك من خالل التطبيق‪33‬ات فق‪33‬ط‪ ،‬وبن‪33‬اًء على‬
‫الصالحيات المخّو ل بها مع مراعاة تطبيق حلول أمنية تحد أو تمنع اطالع مشرفي قواع‪33‬د البيان‪33‬ات‬
‫على البيانات المصنفة (‪ ،)Classified Data‬وفًق ا لسياسة إدارة هوي‪33‬ات ال‪33‬دخول والص‪33‬الحيات‬
‫المعتمدة لدى <اسم الجهة>‪.‬‬
‫يجب منح ح‪33‬ق الوص‪33‬ول أو االطالع أو التع‪33‬ديل على قواع‪33‬د البيان‪33‬ات وفًق ا لسياس‪33‬ة إدارة هوي‪33‬ات‬ ‫‪1-5‬‬
‫الدخول والصالحيات المعتمدة لدى <اسم الجهة>‪.‬‬
‫يجب تطبيق متطلبات جميع السياسات ذات العالقة بأمن اإلعدادات والتحصين المعتمدة لدى <اس‪33‬م‬ ‫‪1-6‬‬
‫الجهة> ويشمل ذلك على سبيل المثال ال الحصر السياسات التالية‪:‬‬
‫سياسة حماية الخوادم المعتمدة لدى <اسم الجهة>‪.‬‬ ‫‪1-6-1‬‬
‫سياسة الحماية من البرمجيات الضارة المعتمدة لدى <اسم الجهة>‪.‬‬ ‫‪1-6-2‬‬
‫سياسة األمن المادي المعتمدة لدى <اسم الجهة>‪.‬‬ ‫‪1-6-3‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪4‬‬
 ‫نموذج سياسة أمن قواعد البيانات‬

‫يجب منع نسخ أو نقل بيانات قواعد البيانات الخاص‪33‬ة باألنظم‪33‬ة الحساس‪33‬ة من بيئ‪33‬ة اإلنت‪33‬اج إلى أي بيئ‪33‬ة‬ ‫‪1-7‬‬
‫اخرى إال بعد إجراء االختبارات الالزمة‪.‬‬
‫يجب اس‪33‬تخدام مؤش‪33‬ر قي‪33‬اس األداء (‪ )KPI‬لض‪33‬مان التط‪33‬وير المس‪33‬تمر واالس‪33‬تخدام الص‪33‬حيح والفع‪33‬ال‬ ‫‪1-8‬‬
‫لمتطلبات حماية قواعد البيانات‪.‬‬
‫اإلجراءات األمنية المطلوبة الستضافة قواعد البيانات‬ ‫‪-2‬‬
‫يجب تحدي‪33‬د متطلب‪33‬ات اس‪33‬تمرارية األعم‪33‬ال والتع‪33‬افي من الك‪33‬وارث الخاص‪33‬ة بقواع‪33‬د البيان‪33‬ات‬ ‫‪2-1‬‬
‫المستضافة في العقود المعني‪3‬ة م‪33‬ع م‪33‬زّو د الخدم‪33‬ة الس‪33‬حابية‪ ،‬وال‪3‬تي تتض‪ّ33‬من األدوار والمس‪33‬ؤوليات‬
‫المتبادل‪33‬ة من حيث الخط‪33‬ط واالختب‪33‬ارات للنس‪33‬خ االحتي‪33‬اطي واالس‪33‬تجابة للح‪33‬وادث والتع‪33‬افي من‬
‫الكوارث وغيرها‪.‬‬
‫يجب توفير العزل المنطقي والعزل المادي بين قواعد البيان‪3‬ات الخاص‪3‬ة ب<اس‪3‬م الجه‪3‬ة> وقواع‪3‬د‬ ‫‪2-2‬‬
‫البيانات المستض‪33‬افة األخ‪33‬رى خاص‪33‬ة لقواع‪33‬د البيان‪33‬ات الحساس‪33‬ة بم‪33‬ا يتناس‪33‬ب م‪33‬ع تص‪33‬نيف قواع‪33‬د‬
‫البيانات‪.‬‬
‫يجب إج‪333‬راء مراجع‪333‬ة دوري‪333‬ة لإلع‪333‬دادات والتحص‪333‬ين (‪Secure Configuration and‬‬ ‫‪2-3‬‬
‫‪ )Hardening‬الخاصة بقواعد البيانات في <اسم الجهة> مرة واحدة كل سنة على األقل‪.‬‬
‫يجب تقيي‪3‬د ص‪3‬الحية الوص‪3‬ول اإلداري إلى قواع‪3‬د البيان‪3‬ات باس‪3‬تخدام وس‪3‬يلة تش‪3‬فير ُمحَك م‪3‬ة مث‪3‬ل‬ ‫‪2-4‬‬
‫بروتوكول النقل األمن (‪ ،)SSH‬أو الشبكات الخاصة االفتراضية ( ‪ ،)VPN‬أو طبقة المنافذ اآلمنة‬
‫(‪/)SSL‬أمن طبقة النقل (‪ ،)TLS‬أو استخدام آلي‪33‬ة التحق‪33‬ق من الهوي‪33‬ة متع‪33‬دد العناص‪33‬ر (‪،)MFA‬‬
‫وذلك وفًق ا لسياسة التشفير المعتمدة في <اسم الجهة>‪.‬‬
‫المتطلبات المتعّلقة بإدارة التغييرات على أنظمة قواعد البيانات‬ ‫‪-3‬‬
‫يجب أن تتم التغييرات على قواعد البيانات (مثل ترحيل قواعد البيان‪33‬ات‪ ،‬والنق‪33‬ل إلى بيئ‪33‬ة اإلنت‪33‬اج)‬ ‫‪3-1‬‬
‫وفًق ا لعملية إدارة التغيير المعتمدة في <اسم الجهة>‪.‬‬

‫يجب تثبيت التحديثات واإلصالحات على نظام قواعد البيانات وفًق ا لسياس‪33‬ة إدارة ح‪33‬زم التح‪33‬ديثات‬ ‫‪3-2‬‬
‫واإلصالحات المعتمدة في <اسم الجهة>‪.‬‬
‫يجب التأكد من استخدام أنظمة قواعد بيانات موثوقة ومعتمدة ومرخصة عند التحديث أو التغيير‪.‬‬ ‫‪3-3‬‬

‫يجب التأكد من وجود خطة واضحة للتعافي من الكوارث خاصة بأنظمة قواعد البيانات ومراجعتها‬ ‫‪3-4‬‬
‫واختبارها سنوًيا‪.‬‬

‫يجب توقيع اتفاقية مس‪33‬توى الخدم‪33‬ة(‪ )SLAs‬لل‪33‬دعم م‪33‬ع الم‪33‬وّر دين فيم‪33‬ا يتعّل ق بنظ‪33‬ام إدارة قواع‪33‬د‬ ‫‪3-5‬‬
‫البيانات في بيئة اإلنتاج‪.‬‬

‫يجب تطبيق التجزئة والتشفير على قواع‪3‬د البيان‪3‬ات اثن‪3‬اء النق‪3‬ل والتخ‪3‬زين وفًق ا لسياس‪3‬ة التص‪3‬نيف‬ ‫‪3-6‬‬
‫وسياسة التشفير المعتمدة في <اسم الجهة>‪.‬‬

‫مراقبة سجالت األحداث المتعلقة بنظام قواعد البيانات‬ ‫‪-4‬‬

‫يجب تفعيل وحفظ سجالت األحداث الخاص‪33‬ة بأنظم‪33‬ة قواع‪33‬د البيان‪3‬ات وفًق ا لسياس‪33‬ة إدارة س‪33‬جالت‬ ‫‪4-1‬‬
‫األحداث ومراقبة األمن السيبراني المعتمدة في <اسم الجهة>‪.‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪5‬‬
 ‫نموذج سياسة أمن قواعد البيانات‬

‫يجب على <اإلدارة المعنية باألمن السيبراني> مراقبة سجالت األح‪33‬داث المتعلق‪33‬ة بقواع‪33‬د البيان‪33‬ات‬ ‫‪4-2‬‬
‫ومراقبة سلوك المستخدمين باستمرار‪.‬‬

‫يجب على <اإلدارة المعنية باألمن السيبراني> مراقبة سجالت األح‪3‬داث الخاص‪3‬ة بمش‪3‬رفي قواع‪3‬د‬ ‫‪4-3‬‬
‫البيانات باستمرار ومراقبة سلوكهم ومراجعتها كل ستة أشهر على األقل‪.‬‬

‫المتطلبات التشغيلية‬ ‫‪-5‬‬

‫يجب على <اإلدارة المعنية بتقنية المعلومات> مراقبة أنظمة قواعد البيان‪33‬ات التش‪33‬غيلية والتأك‪33‬د من‬ ‫‪5-1‬‬
‫جودة أدائها‪ ،‬وتوافرها‪ ،‬وتوفير سعة تخزينية مناسبة‪ ،‬ونحوه‪ ،‬وأخذ نسخ احتياطي‪33‬ة خاص‪33‬ة لقواع‪33‬د‬
‫البيانات‪.‬‬

‫يجب مزامنة التوقيت (‪ )Clock Synchronization‬مركزًيا لجميع أنظمة قواعد البيانات‪.‬‬ ‫‪5-2‬‬

‫يجب تطبيق متطلبات سياسة النسخ االحتياطية المعتمدة لدى <اسم الجهة>‪.‬‬ ‫‪5-3‬‬

‫األدوار والمسؤوليات‬
‫مالك السياسة‪< :‬رئيس اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-1‬‬
‫مراجعة السياسة وتحديثها‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-2‬‬
‫تنفيذ السياسة وتطبيقها‪< :‬اإلدارة المعنية بتقنية المعلومات> و<اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-3‬‬
‫قياس االلتزام بالسياسة‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-4‬‬

‫التحديث والمراجعة‬
‫يجب على <اإلدارة المعني‪3‬ة ب‪3‬األمن الس‪3‬يبراني> مراجع‪3‬ة السياس‪3‬ة س‪3‬نوًيا على األق‪3‬ل أو في ح‪3‬ال ح‪3‬دوث‬
‫تغي‪33‬يرات في السياس‪33‬ات أو اإلج‪33‬راءات التنظيمي‪33‬ة في <اس‪33‬م الجه‪33‬ة> أو المتطلب‪33‬ات التش‪33‬ريعية والتنظيمي‪33‬ة ذات‬
‫العالقة‪.‬‬

‫االلتزام بالسياسة‬
‫يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه السياسة دورًيا‪.‬‬ ‫‪-1‬‬
‫يجب على كافة العاملين في <اسم الجهة> االلتزام بهذه السياسة‪.‬‬ ‫‪-2‬‬
‫قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج‪33‬راءات المتبع‪33‬ة في <اس‪33‬م‬ ‫‪-3‬‬
‫الجهة>‪.‬‬

‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪6‬‬