Professional Documents
Culture Documents
إخالء المسؤولية
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس..يبراني كمث..ال توض..يحي يمكن اس..تخدامه ك..دليل
ومرجع للجهات .يجب أن يتم تعديل ه.ذا النم.وذج ومواءمت.ه م.ع أعم.ال <اس.م الجه.ة> والمتطلب.ات التش.ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض..ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اإلصدار<>1.0
1
نموذج سياسة إدارة حزم التحديثات واإلصالحات
اعتماد الوثيقة
نسخ الوثيقة
<أدخل وصف التعديل> <أدخل االسم الكامل للموظف> <أدخل رقم النسخة>
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اإلصدار<>1.0
2
نموذج سياسة إدارة حزم التحديثات واإلصالحات
قائمة المحتويات
الغرض4..................................................................................................................
نطاق العمل4..............................................................................................................
بنود السياسة4.............................................................................................................
األدوار والمسؤوليات6...................................................................................................
التحديث والمراجعة6.....................................................................................................
االلتزام بالسياسة6........................................................................................................
اإلصدار<>1.0
3
نموذج سياسة إدارة حزم التحديثات واإلصالحات
الغرض
تهدف هذه السياسة إلى تحديد متطلبات األمن السيبراني المتعلقة ب..إدارة ح..زم التح..ديثات واإلص..الحات
لألنظمة والتطبيقات وقواعد البيانات وأجهزة الشبكة وأجهزة معالجة المعلومات الخاصة ب<اسم الجه.ة> لتقلي.ل
المخاطر السيبرانية وحمايتها من التهديدات الداخلية والخارجية في <اسم الجهة> .هذه المتطلبات تمت موائمته..ا
مع متطلبات األمن السيبراني الص..ادرة من الهيئ..ة الوطني..ة لألمن الس..يبراني ويش..مل ذل..ك على س..بيل المث..ال ال
الحص..ر :الض..وابط األساس..ية لألمن الس..يبراني ( ،)ECC – 1: 2018ض..وابط األمن الس..يبراني لألنظم..ة
الحساسة ( )CSCC – 1: 2019وغيرها من المتطلبات التشريعية والتنظيمية ذات العالقة.
نطاق العمل
تطبق هذه السياسة على جميع األصول التقنية الخاصة ب<اسم الجهة> بما فيها جميع المكون..ات التقني..ة
للأنظمة التقنية السحابية ( )CTSواألنظمة الحساسة واألنظمة التشغيلية وأنظمة العمل عن بعد واألصول التقني..ة
الخاصة بحسابات التواص..ل االجتم..اعي ،وعلى <اإلدارة المعني..ة ب..األمن الس..يبراني> و<اإلدارة المعني..ة بتقني..ة
المعلومات> في <اسم الجهة>.
بنود السياسة
البنود العامة -1
يجب إدارة ح..زم التح..ديثات واإلص..الحات ( )Patch Managementبش..كل يض..من حماي..ة 1-1
األنظمة والتطبيقات وقواعد البيانات وأجهزة الشبكة وأجه..زة معالج..ة المعلوم..ات الخاص..ة ب<اس..م
الجه..ة> بم..ا فيه..ا جمي..ع المكون..ات التقني..ة للأنظم..ة التقني..ة الس..حابية ( )CTSواألنظم..ة الحساس..ة
واألنظمة التشغيلية وأنظمة العمل عن بعد واألصول التقنية الخاصة بحسابات التواصل االجتماعي.
يجب تنزيل حزم التحديثات واإلصالحات من مصادر مرخص..ة وموثوق.ة وفًق ا لإلج.راءات المتبع..ة 1-2
داخل <اسم الجهة>.
يجب اس..تخدام أس..اليب وأدوات موثوق..ة وآمن..ة إلج..راء مس..ح دوري للكش..ف عن الثغ..رات وح..زم 1-3
التحديثات ومتابعة تطبيقها.
يجب اختبار ح.زم التح.ديثات واإلص.الحات في البيئ.ة االختباري.ة ( )Test Environmentقب.ل 1-4
تثبيته..ا على األنظم..ة والتطبيق..ات وأجه..زة معالج..ة المعلوم..ات في بيئ..ة اإلنت..اج (Production
،)Environmentللتأكد من توافق حزم التحديثات واإلصالحات مع األنظمة والتطبيقات.
يجب وض..ع خط..ة لالس..ترجاع ( )Rollback Planوتطبيقه..ا في ح..ال ت..أثير ح..زم التح..ديثات 1-5
واإلصالحات سلًبا على أداء األنظمة أو التطبيقات أو الخدمات.
يجب منح األولوي..ة لح..زم التح..ديثات واإلص..الحات ال..تي تع..الج الثغ..رات األمني..ة حس..ب مس..توى 1-6
المخاطر المرتبطة بها.
يجب جدولة التحديثات واإلصالحات بما يتماشى م..ع مراح.ل اإلص.دارات البرمجي.ة ال.تي يطرحه..ا 1-7
المورد.
اإلصدار<>1.0
4
نموذج سياسة إدارة حزم التحديثات واإلصالحات
يجب تطبيق التحديثات واإلصالحات على األصول التقنية على النحو التالي على األقل: 1-8
األنظمة
أنظمة
شهرًيا شهرًيا شهرًيا شهرًيا شهرًيا شهرًيا
التشغيل
قواعد
ثالثة أشهر شهرًيا شهرًيا ثالثة أشهر شهرًيا ثالثة أشهر
البيانات
أجهزة
ثالثة أشهر شهرًيا شهرًيا ثالثة أشهر شهرًيا ثالثة أشهر
الشبكة
ثالثة أشهر شهرًيا شهرًيا ثالثة أشهر شهرًيا ثالثة أشهر التطبيقات
يجب منع المستخدمين من تعطيل تقنيات حزم التحديثات واإلصالحات أو التأثير عليها بشكل سلبي. 1-9
يجب أن تتبع عملية إدارة التحديثات واإلصالحات متطّلبات عملية إدارة التغيير المعتمدة لدى <اس..م 1-10
الجهة>.
يجب تط.....وير واعتم.....اد عملي.....ة إدارة التغي.....ير الطارئ.....ة (Emergency Change 1-11
)Managementوتطبيق حزم التحديثات واإلصالحات الطارئة وفًق ا لها في حال وج..ود ثغ..رات
أمنية ذات مخاطر عالية.
يجب تنزي.....ل التح.....ديثات واإلص.....الحات على خ.....ادم مرك.....زي (Centralized Patch 1-12
)Management Serverقب..ل تطبيقه..ا على األنظم..ة والتطبيق..ات وقواع..د البيان..ات وأجه..زة
الشبكة وأجهزة معالجة المعلومات ،وُيستثنى من ذلك ح.زم التح.ديثات واإلص.الحات ال.تي ال يت.وفر
لها أدوات آلية مدعومة.
بعد االنتهاء من تطبيق حزم التحديثات واإلصالحات ،يجب استخدام أدوات مس..تقلة وموثوق..ة للتأك..د 1-13
من أن الثغرات تمت معالجتها بشكل فّعال.
يجب تطوير إجراءات ومعايير خاصة بإدارة حزم التحديثات واإلصالحات بناًء على حاجة العمل. 1-14
يجب استخدام مؤشر قياس األداء ( )KPIلضمان التطوير المس..تمر واالس..تخدام الص..حيح والفع..ال 1-15
لمتطلبات إدارة حزم التحديثات واإلصالحات.
اإلصدار<>1.0
5
نموذج سياسة إدارة حزم التحديثات واإلصالحات
األدوار والمسؤوليات
-1مالك السياسة < :رئيس اإلدارة المعنية باألمن السيبراني>.
-2مراجعة السياسة وتحديثها < :اإلدارة المعنية باألمن السيبراني>.
-3تنفيذ السياسة وتطبيقها < :اإلدارة المعنية بتقنية المعلومات>.
-4قياس االلتزام بالسياسة< :اإلدارة المعنية باألمن السيبراني>.
التحديث والمراجعة
يجب على <اإلدارة المعنية باألمن السيبراني> مراجعة السياسة سنوًيا على األقل أو في ح.ال ح.دوث
تغي..يرات في السياس..ات أو اإلج..راءات التنظيمي..ة في <اس..م الجه..ة> أو المتطلب..ات التش..ريعية والتنظيمي..ة ذات
العالقة.
االلتزام بالسياسة
-1يجب على <رئيس اإلدارة المعنية ب..األمن الس..يبراني> التأك..د من ال..تزام <اس..م الجه..ة> به..ذه السياس..ة
دورًيا.
-2يجب على <اإلدارة المعني..ة ب..األمن الس..يبراني> و<اإلدارة المعني..ة بتقني..ة المعلوم..ات> في <اس..م
الجهة> االلتزام بهذه السياسة.
-3قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة ،إلى إجراء تأديبي؛ حس..ب اإلج..راءات المتبع..ة في
<اسم الجهة>.
اإلصدار<>1.0
6