‫هذا المربع مخّصص ألغراض توجيهية‪ .

‬احذف جميع المربعات التوجيهية‬

‫بعد تعبئة النموذج‪ .‬يجب تحرير البنود الملّو نة باللون األزرق بصورة‬
‫مناسبة‪ .‬والبنود الملونة باللون األخضر هي أمثلة يجب حذفها‪ .‬ويجب‬
‫حذف التظليل الملون بعد إجراء التعديالت‪.‬‬

‫أدخل شعار الجهة بالضغط على الصورة الموضحة‪.‬‬

‫نموذج معيار تصنيف األصول‬

‫استبدل <اسم الجهة> باسم الجهة في مجمل صفحات الوثيقة‪.‬‬

‫وللقيام بذلك‪ ،‬اتبع الخطوات التالية‪:‬‬
‫اض‪AA‬غط على مفت‪AA‬احي "‪ "Ctrl‬و"‪ "H‬في ال‪AA‬وقت‬ ‫●‬ ‫اختر التصنيف‬
‫نفسه‪.‬‬
‫أض‪AA‬ف "<اس‪AA‬م الجه‪AA‬ة>" في مرب‪AA‬ع البحث عن‬ ‫●‬
‫النص‪.‬‬ ‫اضغط هنا إلضافة تاريخ‬ ‫التاريخ‪:‬‬
‫أدخل االسم الكامل لجهتك في مرب‪AA‬ع "اس‪AA‬تبدال"‬ ‫●‬ ‫اضغط هنا إلضافة نص‬ ‫اإلصدار‪:‬‬
‫النص‪.‬‬
‫اض‪AAA‬غط على "المزي‪AAA‬د" وتأّك د من اختي‪AAA‬ار "‬ ‫●‬
‫اضغط هنا إلضافة نص‬ ‫المرجع‬
‫‪."Match case‬‬
‫اضغط على "استبدل الكل"‪.‬‬ ‫●‬
‫أغلق مربع الحوار‪.‬‬ ‫●‬

‫إخالء المسؤولية‬
 ‫نموذج معيار تصنيف األصول‬

‫ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس‪AA‬يبراني كمث‪AA‬ال توض‪AA‬يحي يمكن اس‪AA‬تخدامه ك‪AA‬دليل‬
‫ومرجع للجهات‪ .‬يجب أن يتم تعديل ه‪A‬ذا النم‪A‬وذج ومواءمت‪A‬ه م‪A‬ع أعم‪A‬ال <اس‪A‬م الجه‪A‬ة> والمتطلب‪A‬ات التش‪A‬ريعية‬
‫والتنظيمية ذات العالقة‪ .‬كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم‪/‬تقوم بتفويض‪AA‬ه‪ .‬وتخلي‬
‫الهيئة مسؤوليتها من استخدام هذا النموذج كما هو‪ ،‬وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي‪.‬‬

‫اإلصدار <‪>1.0‬‬

‫‪1‬‬
 ‫نموذج معيار تصنيف األصول‬

‫اعتماد الوثيقة‬

‫التوقيع‬ ‫التاريخ‬ ‫االسم‬ ‫المسمى الوظيفي‬ ‫الدور‬

‫اضغط هنا إلضافة‬

‫<أدخل التوقيع>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل المسمى الوظيفي>‬
‫تاريخ‬

‫نسخ الوثيقة‬

‫أسباب التعديل‬ ‫ٌعدَل بواسطة‬ ‫التاريخ‬ ‫النسخة‬

‫اضغط هنا إلضافة‬

‫<أدخل وصف التعديل>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل رقم النسخة>‬
‫تاريخ‬

‫جدول المراجعة‬

‫تاريخ المراجعة القادمة‬ ‫التاريخ ألخر مراجعة‬ ‫معدل المراجعة‬

‫اضغط هنا إلضافة تاريخ‬ ‫اضغط هنا إلضافة تاريخ‬ ‫مره واحدة كل سنة‬

‫اإلصدار <‪>1.0‬‬

‫‪2‬‬
 ‫نموذج معيار تصنيف األصول‬

‫قائمة المحتويات‬
‫الغرض ‪4..........................................................................................................................‬‬
‫نطاق العمل ‪4.......................................................................................................................‬‬
‫المعايير ‪4..........................................................................................................................‬‬
‫األدوار والمسؤوليات ‪9.............................................................................................................‬‬
‫التحديث والمراجعة ‪10.............................................................................................................‬‬
‫االلتزام بالمعيار ‪10................................................................................................................‬‬
‫الملحق ‪10........................................................................................................................‬‬

‫اإلصدار <‪>1.0‬‬

‫‪3‬‬
 ‫نموذج معيار تصنيف األصول‬

‫الغرض‬
‫الغرض من هذا المعيار هو تحديد متطلبات األمن السيبراني التفصيلية ذات العالق‪AA‬ة بتص‪AA‬نيف األص‪AA‬ول‬
‫الخاص‪A‬ة بأنظم‪A‬ة وبيان‪A‬ات ومعلوم‪A‬ات <اس‪A‬م الجه‪A‬ة> وذل‪A‬ك لتقلي‪A‬ل المخ‪A‬اطر الس‪A‬يبرانية الناتج‪A‬ة عن التهدي‪A‬دات‬
‫الداخلي‪AA‬ة والخارجي‪AA‬ة بغ‪AA‬رض تحقي‪AA‬ق األه‪AA‬داف الرئيس‪AA‬ية للحماي‪AA‬ة وهي‪ :‬س‪AA‬رية المعلوم‪AA‬ات‪ ،‬وس‪AA‬المة أنظم‪AA‬ة‬
‫المعلومات‪ ،‬وتوافرها‪.‬‬
‫تمت موائم‪AA‬ة ه‪AA‬ذا المعي‪AA‬ار م‪AA‬ع الض‪AA‬وابط والمع‪AA‬ايير الص‪AA‬ادرة من الهيئ‪AA‬ة الوطني‪AA‬ة لألمن الس‪AA‬يبراني‬
‫والمتطلبات التنظيمية والتشريعية ذات العالقة‪.‬‬

‫نطاق العمل‬
‫يغطي هذا المعيار جمي‪A‬ع األص‪AA‬ول (مث‪A‬ل األص‪A‬ول المادي‪A‬ة والبيان‪A‬ات وتطبيق‪AA‬ات األعم‪AA‬ال والبرمجي‪A‬ات‬
‫والتقنيات) الخاصة ب<اسم الجهة>‪ ،‬وينطبق على جميع العاملين (الموظفين والمتعاقدين) في <اسم الجهة>‪.‬‬

‫المعايير‬
‫تصنيف األصول (‪)Asset classification‬‬ ‫‪1‬‬

‫تصنيف جميع األصول التي تمتلكها وتديرها <اسم الجهة>‪.‬‬ ‫الهدف‬

‫ي‪AA‬ؤدي ع‪AA‬دم إع‪AA‬داد وتط‪AA‬بيق تص‪AA‬نيف األص‪AA‬ول في <اس‪AA‬م الجه‪AA‬ة> إلى فش‪AA‬ل في حماي‪AA‬ة‬
‫األص‪AA‬ول باس‪AA‬تخدام ت‪AA‬دابير أو ض‪AA‬وابط وقائي‪AA‬ة غ‪AA‬ير مناس‪AA‬بة أو التعام‪AA‬ل م‪AA‬ع األص‪AA‬ول‬
‫الحساسة بشكل غير صحيح‪ ،‬مما قد يؤدي إلى اختراقها أو تعرضها النتهاكات أمنية‪.‬‬ ‫المخاطر المحتملة‬

‫اإلجراءات المطلوبة‬

‫يجب على <اسم الجهة> القيام بتصنيف جميع األصول التي تمتلكها وتديرها‪.‬‬
‫‪1-1‬‬

‫يجب تصنيف األصول المادية (مثل أجه‪A‬زة االتص‪A‬ال بالش‪A‬بكة‪ ،‬وأنظم‪A‬ة كش‪A‬ف التس‪A‬لل‬
‫ومنع التسلل (‪ ،)IDS/IPS‬وأصول التخ‪A‬زين‪ ،‬واألجه‪A‬زة الطرفي‪A‬ة لألنظم‪A‬ة الحساس‪A‬ة)‬
‫بالرجوع إلى أعلى تصنيف لمدخالت المعلومات أو معالجتها أو تخزينه‪AA‬ا أو نقله‪AA‬ا على‬ ‫‪1-2‬‬
‫األصول المادية‪.‬‬

‫اإلصدار <‪>1.0‬‬

‫‪4‬‬
 ‫نموذج معيار تصنيف األصول‬

‫يجب تص‪AA‬نيف تطبيق‪AA‬ات األعم‪AA‬ال وأص‪AA‬ول البرمجي‪AA‬ات ب‪AA‬الرجوع إلى أعلى تص‪AA‬نيف‬
‫لم‪AA‬دخالت المعلوم‪AA‬ات‪ ،‬وال‪AA‬تي تتم معالجته‪AA‬ا أو تخزينه‪AA‬ا أو نقله‪AA‬ا أو ح‪AA‬ذفها من قب‪AA‬ل‬ ‫‪1-3‬‬
‫مستخدمي التطبيق أو البرنامج‪.‬‬

‫يجب تصنيف األط‪AA‬راف الخارجي‪AA‬ة والم‪AA‬وردين ب‪AA‬الرجوع إلى أعلى تص‪AA‬نيف لم‪AA‬دخالت‬
‫المعلومات‪ ،‬أو معالجته‪AA‬ا أو تخزينه‪AA‬ا أو نقله‪AA‬ا أو ح‪AA‬ذفها من قب‪AA‬ل الط‪AA‬رف الخ‪AA‬ارجي أو‬ ‫‪1-4‬‬
‫المورد‪.‬‬

‫يجب تص‪AA‬نيف أي أص‪AA‬ل (معلوم‪AA‬ات‪ ،‬وأص‪AA‬ول مادي‪AA‬ة‪ ،‬وتطبيق‪AA‬ات أعم‪AA‬ال‪ ،‬وبرمجي‪AA‬ات‪،‬‬

‫وط‪AA‬رف خ‪AA‬ارجي وم‪AA‬ورد) يعم‪AA‬ل على إدخ‪AA‬ال أو معالج‪AA‬ة أو حف‪AA‬ظ أو نق‪AA‬ل أو ح‪AA‬ذف‬
‫‪1-5‬‬
‫المعلوم‪AA‬ات الشخص‪AA‬ية و‪/‬أو الحساس‪AA‬ة كـ "س‪AA‬ري للغاي‪AA‬ة"‪" ،‬س‪AA‬ري"‪" ،‬مقي‪AA‬د"‪" ،‬ع‪AA‬ام"‬
‫باإلضافة إلى أي تصنيف آخر مطلوب‪.‬‬

‫ترميز األصول المادية (‪)Physical asset labelling‬‬ ‫‪2‬‬

‫ترميز جميع األصول المادية التي تمتلكها الجهة‪.‬‬ ‫الهدف‬

‫يصعب تتب‪AA‬ع أو مراقب‪AA‬ة أو الرج‪AA‬وع إلى األص‪AA‬ول ال‪AA‬تي لم يتم ترميزه‪AA‬ا من قب‪AA‬ل <اس‪AA‬م‬
‫الجهة>‪ ،‬فاألصول التي لم يتم ترميزها قد ال يتم إدراجها في سجل األصول‪ ،‬مما ي‪AA‬ؤدي‬
‫المخاطر المحتملة‬
‫إلى عدم تحديثها أو الحفاظ عليها بالشكل المناسب‪ .‬وقد يتم التعامل مع األص‪A‬ول المادي‪A‬ة‬
‫التي لم يتم ترميزها بشكل غير مناسب‪ ،‬مما قد يؤدي إلى تلفها أو سرقتها او فقدانها‪.‬‬

‫اإلجراءات المطلوبة‬

‫يجب أن يكون لجميع األصول المادية التي تمتلكها الجهة رموًز ا مقاومة للتالعب‪.‬‬
‫‪2-1‬‬

‫يجب أن ُتظه‪AA‬ر الرم‪AA‬وز المقاوم‪AA‬ة للتالعب رقًم ا تعريفًي ا مم‪AA‬يًز ا مخصًص ا لألص‪AA‬ل في‬
‫سجل األصول مثل الرقم أو الرمز الشريطي أو رمز االستجابة السريع (‪.)QR‬‬ ‫‪2-2‬‬

‫يجب أن يحتوي الرمز المقاوم للتالعب على رقم لالتصال‪.‬‬

‫‪2-3‬‬

‫يجب أن ال يحتوي الرم‪AA‬ز المق‪AA‬اوم للتالعب على اس‪AA‬م <اس‪AA‬م الجه‪AA‬ة>‪ ،‬أو ش‪AA‬عار <اس‪AA‬م‬
‫الجهة>‪ ،‬أو أي عالمات أو نصوص تعريفية أخرى‪.‬‬
‫‪2-4‬‬

‫اإلصدار <‪>1.0‬‬

‫‪5‬‬
 ‫نموذج معيار تصنيف األصول‬

‫التعامل مع األصول المادية (‪)Physical asset handling‬‬ ‫‪3‬‬

‫حماية االصول من خالل التعامل معها بطريقة آمنة‪.‬‬ ‫الهدف‬

‫يمكن أن يؤدي التعامل غير الس‪A‬ليم أو اإلهم‪A‬ال لألص‪A‬ول المادي‪A‬ة إلى تل‪A‬ف أو فق‪A‬دان أو‬
‫سرقة األص‪AA‬ل وأي معلوم‪AA‬ات مخزن‪AA‬ة أو متاح‪AA‬ة على الجه‪AA‬از‪ .‬وبن‪AA‬اًء على فئ‪AA‬ة أو ن‪AA‬وع‬
‫المخاطر المحتملة‬
‫األصول والمعلومات‪ ،‬قد تتعرض <اسم الجهة> إلى التحقيقات والغرامات القانوني‪AA‬ة أو‬
‫التنظيمية‪.‬‬

‫اإلجراءات المطلوبة‬

‫ال يج‪AA‬وز إزال‪AA‬ة األص‪AA‬ول المادي‪AA‬ة (باس‪AA‬تثناء األص‪AA‬ول المعتم‪AA‬دة كج‪AA‬زء من األجه‪AA‬زة‬
‫‪3-1‬‬
‫المحمولة) من مواقعها المخصصة‪.‬‬

‫يجب الحصول على الموافقة من مالك األصل في حال إزالة األصل الم‪AA‬ادي من موقع‪AA‬ه‬
‫‪3-2‬‬
‫المحدد‪.‬‬

‫يجب ح‪AA‬ذف وس‪AA‬ائط التخ‪AA‬زين مث‪AA‬ل محرك‪AA‬ات األق‪AA‬راص الص‪AA‬لبة المس‪AA‬تخدمة لتخ‪AA‬زين‬
‫لمعلومات المصنفة مثل "سرية للغاية‪ ،‬و"سرية"‪ ،‬و"حساس‪AA‬ة" باس‪AA‬تخدام ط‪AA‬رق الح‪AA‬ذف‬
‫المنشورة بحيث ال يتعذر استرجاع البيان‪A‬ات (مثًال وفًق ا لمعي‪A‬ار ‪NIST SP800-88‬‬ ‫‪3-3‬‬
‫‪.)Rev.1‬‬

‫يجب إتالف وس‪AA‬ائط التخ‪AA‬زين‪ ،‬مث‪AA‬ل محرك‪AA‬ات األق‪AA‬راص الثابت‪AA‬ة‪ ،‬ال‪AA‬تي تم اس‪AA‬تخدامها‬
‫لتخزين المعلومات المصنفة على أنها معلومات "سري للغاي‪AA‬ة" أو "س‪AA‬ري" أو "مقي‪AA‬د"‪،‬‬
‫إتالًفا مادًيا (على سبيل المثال عن طريق تمزيقها وفًق ا لمعيار المعه‪AA‬د األلم‪AA‬اني للتوحي‪AA‬د‬ ‫‪3-4‬‬
‫القياسي ال سيما البندين ‪ O-5‬و‪ H-5‬أو حرقها)‪.‬‬

‫التعامل مع األصول المادية لألجهزة المحمولة (‪Mobile device physical‬‬

‫‪4‬‬
‫‪)asset handling‬‬

‫حماية األجهزة المحمولة من خالل التعامل معها بطريقة آمنة‪.‬‬ ‫الهدف‬

‫يمكن أن يؤدي التعامل غير السليم لألصول المحمولة أو إهماله‪AA‬ا إلى تل‪AA‬ف أو فق‪AA‬دان أو‬
‫س‪AA‬رقة األص‪AA‬ل وأي معلوم‪AA‬ات مخزن‪AA‬ة أو متاح‪AA‬ة على الجه‪AA‬از‪ .‬وبن‪AA‬اًء على فئ‪AA‬ة ون‪AA‬وع‬
‫المخاطر المحتملة‬
‫األصول والمعلومات‪ ،‬قد تتعرض <اسم الجهة> إلى التحقيقات والغرامات القانوني‪AA‬ة أو‬
‫التنظيمية‪.‬‬

‫اإلجراءات المطلوبة‬

‫اإلصدار <‪>1.0‬‬

‫‪6‬‬
 ‫نموذج معيار تصنيف األصول‬

‫يجب تدريب مستخدمي األجهزة المحمولة مرة واحدة على األقل في السنة على التعامل‬
‫اآلمن م‪AA‬ع األجه‪AA‬زة والبيان‪AA‬ات (مث‪AA‬ل أجه‪AA‬زة الحاس‪AA‬وب المحمول‪AA‬ة والهوات‪AA‬ف المحمول‪AA‬ة‬
‫وأجهزة التخزين المحمولة) التي يمكنها إدخ‪AA‬ال أو معالج‪AA‬ة أو تخ‪AA‬زين أو نق‪AA‬ل أو ح‪AA‬ذف‬ ‫‪4-1‬‬
‫البيانات المصنفة‪ .‬ويجب على المستخدمين اإلقرار بحص‪AA‬ولهم على ال‪AA‬دورات التدريبي‪AA‬ة‬
‫واستكمالها‪.‬‬

‫يجب إعادة األجهزة المحمولة إلى موقع مركزي للتخلص منها‪.‬‬ ‫‪4-2‬‬

‫يجب حذف وسائط التخزين‪ ،‬مثل محرك‪A‬ات األق‪A‬راص الص‪A‬لبة‪ ،‬في األجه‪A‬زة المحمول‪A‬ة‬
‫ال‪A‬تي تم اس‪A‬تخدامها لتخ‪A‬زين المعلوم‪A‬ات الس‪A‬رية المص‪A‬نفة على أنه‪A‬ا "س‪A‬رية للغاي‪A‬ة" أو‬
‫"سرية" أو "حساسة" بش‪A‬كل آمن باس‪A‬تخدام طريق‪A‬ة ح‪A‬ذف آمن‪A‬ة بحيث يتع‪A‬ذر اس‪A‬ترجاع‬ ‫‪4-3‬‬
‫البيانات بعد إيقاف تشغيلها (مثل‪.)NIST SP800-88 Rev.1 :‬‬

‫يجب إتالف وسائط التخزين‪ ،‬مثل محركات األق‪AA‬راص الص‪AA‬لبة‪ ،‬في األجه‪AA‬زة المحمول‪AA‬ة‬
‫ال‪A‬تي تم اس‪A‬تخدامها لتخ‪A‬زين المعلوم‪A‬ات الس‪A‬رية المص‪A‬نفة على أنه‪A‬ا "س‪A‬رية للغاي‪A‬ة" أو‬
‫"س‪AA‬رية" أو "حساس‪AA‬ة" بع‪AA‬د إيق‪AA‬اف تش‪AA‬غيلها (مثًال عن طري‪A‬ق تمزيقه‪AA‬ا وفًق ا للبن‪A‬د ‪H-5‬‬ ‫‪4-4‬‬
‫والبند ‪ O-5‬من المعيار ‪ DIN 66399‬أو حرقها)‪.‬‬

‫يجب تحطيم أجه‪AA‬زة التخ‪AA‬زين المحمول‪AA‬ة ال‪AA‬تي ُاس‪AA‬تخدمت لتخ‪AA‬زين المعلوم‪AA‬ات المص‪AA‬نفة‬
‫بشكل مادي بعد إيقاف التشغيل (على سبيل المثال تمزيقها وفًق ا للبند ‪ H-5‬والبن‪AA‬د ‪O-5‬‬
‫من المعيار ‪ DIN 66399‬أو حرقها)‪.‬‬ ‫‪4-5‬‬

‫ترميز أصول المعلومات (‪)Information asset labelling‬‬ ‫‪5‬‬

‫ترميز األصول المعلوماتية وتصنيفها‪.‬‬ ‫الهدف‬

‫لن يتم التعامل مع أصول المعلومات التي لم يتم ترميزها بشكل ص‪AA‬حيح‪ ،‬مم‪AA‬ا يزي‪AA‬د من‬
‫المخاطر المحتملة‬
‫احتمالية اختراقها أو تعرضها النتهاكات أمنية‪.‬‬
‫اإلجراءات المطلوبة‬

‫يجب ترم‪AA‬يز أص‪AA‬ول المعلوم‪AA‬ات المص‪AA‬نفة ذات الص‪AA‬يغة الرقمي‪AA‬ة (الملف‪AA‬ات أو قواع‪AA‬د‬
‫البيان‪AA‬ات أو رس‪AA‬ائل البري‪AA‬د اإللك‪AA‬تروني) إلكترونًي ا (مثًال من خالل اس‪AA‬تخدام ال‪AA‬رؤوس‬
‫والتذييالت في الوثائق أو تسمية الملفات أو التواقيع الرقمية)‪.‬‬ ‫‪5-1‬‬

‫يجب ترم‪AA‬يز أص‪AA‬ول المعلوم‪AA‬ات المص‪AA‬نفة ذات الص‪AA‬يغة المادي‪AA‬ة (األوراق‪ ،‬والنس‪AA‬خ‬ ‫‪5-2‬‬

‫اإلصدار <‪>1.0‬‬

‫‪7‬‬
 ‫نموذج معيار تصنيف األصول‬

‫الورقي‪AA‬ة‪ ،‬والعق‪AA‬ود‪ ،‬وم‪AA‬ا إلى ذل‪AA‬ك) باس‪AA‬تخدام آلي‪AA‬ة مقاوم‪AA‬ة للتالعب مث‪AA‬ل طواب‪AA‬ع الح‪AA‬بر‬
‫المطاطية والرموز الالصقة والتصفيح ثالثي األبعاد‪.‬‬

‫يجب أن يك‪AA‬ون للمعلوم‪AA‬ات ال‪AA‬تي تتم طباعته‪AA‬ا على نس‪AA‬خة ورقي‪AA‬ة من خالل تط‪AA‬بيق أو‬
‫برنامج أعمال رمز تصنيفي ذي صلة يتم وضعه قب‪AA‬ل الطباع‪AA‬ة (وفًق ا لسياس‪AA‬ة تص‪AA‬نيف‬
‫البيانات المتبعة لدى <اسم الجهة>)‪.‬‬ ‫‪5-3‬‬

‫التعامل مع أصول المعلومات (‪)Information asset handling‬‬ ‫‪6‬‬

‫التعامل مع أصول المعلومات بطريقة آمنة‪.‬‬ ‫الهدف‬

‫قد يؤدي التعامل غير الس‪AA‬ليم ألص‪AA‬ول المعلوم‪AA‬ات أو إهماله‪AA‬ا وع‪AA‬دم االك‪AA‬تراث به‪AA‬ا إلى‬
‫اختراقها أو تعرض‪AA‬ها إلى انتهاك‪AA‬ات أمني‪A‬ة‪ .‬وبن‪A‬اًء على المعلوم‪AA‬ات ال‪A‬تي تم انتهاكه‪AA‬ا أو‬
‫اختراقها‪ ،‬قد تتعرض <اسم الجهة> للتحقيقات والعقوبات القانونية أو التنظيمية‪.‬‬ ‫المخاطر المحتملة‬

‫اإلجراءات المطلوبة‬

‫يجب تشفير أصول المعلومات المصنفة ذات الصيغة الرقمية أثناء التخزين والنقل‪.‬‬ ‫‪6-1‬‬

‫يجب إجراء عمليات نقل البيان‪A‬ات أو الملف‪A‬ات اإللكتروني‪A‬ة باس‪A‬تخدام نظ‪A‬ام معتم‪A‬د وآمن‬
‫‪6-2‬‬
‫لنقل الملفات (وليس البريد اإللكتروني أو تطبيقات المراسلة األخرى)‪.‬‬

‫يجب نقل البيانات أو الملفات التي تحتوي على معلومات سرية باستخدام وسائط اتصال‬
‫آمنة‪ ،‬مثل البريد اإللكتروني عبر الشبكة االفتراض‪AA‬ية الخاص‪AA‬ة (‪ )VPN‬أو بروتوك‪AA‬ول‬ ‫‪6-3‬‬
‫نقل الملفات اآلمن (‪.)SFTP‬‬

‫يجب أن تتطلب أنظمة نقل الملفات استخدام خاصية ُمعرف المستخدم‪ ،‬ويجب أن يسجل‬
‫‪6-4‬‬
‫نظام نقل الملفات معرف المستخدم‪ ،‬والملفات المنقولة‪ ،‬والتاريخ والوقت على األقل‪.‬‬

‫يجب مراجع‪AA‬ة س‪AA‬جالت نظ‪AA‬ام نق‪AA‬ل الملف‪AA‬ات م‪AA‬رة واح‪AA‬دة ش‪AA‬هرًيا من قب‪AA‬ل مال‪AA‬ك تط‪AA‬بيق‬
‫‪6-5‬‬
‫األعمال‪.‬‬

‫يجب حماية أصول المعلومات المصنفة ذات الصيغة المادية (األوراق العادي‪A‬ة‪ ،‬والنس‪A‬خ‬
‫الورقية‪ ،‬والعقود‪ ،‬وما إلى ذلك) بوسائل مناسبة في جميع األوق‪AA‬ات‪ ،‬مث‪AA‬ل حفظه‪AA‬ا بعي ‪ًA‬د ا‬ ‫‪6-6‬‬
‫في حالة عدم استخدامها ووضعها في المظاريف عند نقلها‪.‬‬

‫يجب حفظ أصول المعلومات المصنفة ذات الصيغة المادية في مكان آمن في نهاي‪AA‬ة ك‪AA‬ل‬
‫‪6-7‬‬
‫يوم عمل‪ ،‬أو عند ترك المكتب دون مراقبة ألكثر من ساعة‪.‬‬

‫اإلصدار <‪>1.0‬‬

‫‪8‬‬
 ‫نموذج معيار تصنيف األصول‬

‫يمكن نق‪A‬ل أص‪A‬ول المعلوم‪A‬ات ذات الص‪A‬يغة المادي‪A‬ة والمص‪A‬نفة على أنه‪A‬ا "حساس‪A‬ة" أو‬
‫تصنيف أقل من مقرات <اسم الجهة> بطريق‪AA‬ة آمن‪AA‬ة (مث‪AA‬ل‪ :‬وض‪AA‬ع األوراق في ظ‪AA‬رف‬
‫مزدوج‪ ،‬مع ضمان عدم ورود أي معلومات تسهل التعرف على <اسم الجهة> بصورة‬ ‫‪6-8‬‬
‫ظاهرة‪ ،‬ووضع األوراق في حقيب‪AA‬ة أو حقيب‪AA‬ة جه‪AA‬از حاس‪AA‬وب محم‪AA‬ول أو حقيب‪AA‬ة أمتع‪AA‬ة‬
‫يدوية)‪.‬‬

‫ال يجوز نقل أصول المعلومات ذات الصيغة المادية والمص‪AA‬نفة على أنه‪AA‬ا "حساس‪AA‬ة" أو‬
‫‪6-9‬‬
‫تصنيف أعلى من مقرات <اسم الجهة>‪.‬‬

‫عند إرسال أصول المعلوم‪A‬ات المص‪A‬نفة ذات الص‪A‬يغة المادي‪A‬ة إلى أط‪A‬راف خارجي‪A‬ة أو‬
‫موردين‪ ،‬يجب إرسالها بطريقة آمنة (مثل‪ :‬وضع األوراق في ظرف مزدوج‪ ،‬وض‪AA‬مان‬
‫‪6-10‬‬
‫أن أي شيء يؤدي إلى التع‪AA‬رف على <اس‪AA‬م الجه‪AA‬ة> ال يمكن رؤيت‪AA‬ه‪ ،‬ووض‪AA‬ع األوراق‬
‫في طرد مضاد للعبث أو غير قابل العبث)‪.‬‬

‫عند إرسال أصول المعلوم‪A‬ات المص‪A‬نفة ذات الص‪A‬يغة المادي‪A‬ة إلى أط‪A‬راف خارجي‪A‬ة أو‬
‫موردين‪ ،‬يجب إرسالها باس‪A‬تخدام وس‪A‬يلة المراس‪A‬لة أو البري‪A‬د ال‪A‬ذي يمكن تتبع‪A‬ه‪ .‬ويجب‬ ‫‪6-11‬‬
‫على المستلم التوقيع على إقرار باالستالم‪.‬‬

‫يجب إتالف أصول المعلومات المصنفة ذات الصيغة المادية عن طري‪AA‬ق تمزيقه‪AA‬ا‪ ،‬على‬
‫سبيل المثال‪ :‬باستخدام آلة تمزيق الورق بشكل متقاطع وفًقا للبند ‪ P-4‬من معيار ‪DIN‬‬ ‫‪6-12‬‬
‫‪ ،66399‬أو أعلى (مثل ‪ P-5‬أو ‪.)P-6‬‬

‫ال يجوز نقل أصول المعلومات ذات الصيغة المادية والمصنفة على أنها "سرية للغاي‪AA‬ة"‬
‫‪6-13‬‬
‫و"سرية" من مقرات <اسم الجهة>‪.‬‬

‫يجب إتالف أصول المعلومات ذات الصيغة المادية والمصنفة على أنها "س‪AA‬رية للغاي‪AA‬ة"‬
‫أو "س‪AA‬رية" أو "حساس‪AA‬ة" بش‪AA‬كل آمن عن طري‪AA‬ق تمزيقه‪AA‬ا (مثال‪ :‬باس‪AA‬تخدام آل‪AA‬ة تمزي‪AA‬ق‬ ‫‪6-14‬‬
‫الورق بشكل متقاطع وفًق ا للبند ‪ P-5‬أو البند ‪ P-6‬من المعيار ‪.)DIN 66399‬‬

‫األدوار والمسؤوليات‬
‫مالك المعيار‪< :‬رئيس اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-1‬‬
‫مراجعة المعيار وتحديثه‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-2‬‬
‫تنفيذ المعيار وتطبيقه‪< :‬اإلدارة المعنية بتقنية المعلومات>‪.‬‬ ‫‪-3‬‬
‫قياس االلتزام بالمعيار‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-4‬‬

‫اإلصدار <‪>1.0‬‬

‫‪9‬‬
 ‫نموذج معيار تصنيف األصول‬

‫التحديث والمراجعة‬
‫يجب على <اإلدارة المعنية باألمن السيبراني> مراجعة المعي‪AA‬ار س‪AA‬نوًيا على األق‪AA‬ل أو في ح‪AA‬ال ح‪AA‬دوث‬
‫تغييرات تقنية جوهرية في البنية التحتية أو في حال حدوث تغييرات في السياس‪AA‬ات أو اإلج‪AA‬راءات التنظيمي‪AA‬ة في‬
‫<اسم الجهة> أو المتطلبات التشريعية والتنظيمية ذات العالقة‪.‬‬

‫االلتزام بالمعيار‬
‫يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذا المعيار دورًيا‪.‬‬ ‫‪-1‬‬
‫يجب على جميع العاملين في <اسم الجهة> االلتزام بهذا المعيار‪.‬‬ ‫‪-2‬‬
‫قد يعرض أي انتهاك لهذا المعيار صاحب المخالفة إلى إجراء تأديبي حس‪AA‬ب اإلج‪AA‬راءات المتبع‪AA‬ة في <اس‪AA‬م‬ ‫‪-3‬‬
‫الجهة>‪.‬‬

‫الملحق‬
‫مستويات تصنيف األصول‬ ‫أ)‬

‫الوصف‬ ‫مستوى التصنيف‬

‫<يتم تصنيف األصل على أنه "حساس"‪ ،‬إذا كان الوصول غير المصرح به‪ A‬أو إسا‪A‬ءة االست‪A‬خدام‬
‫يسببان آثاًر ا شديدة وواسعة على الجهة بطريقة يصعب حلها>‬ ‫حساس‬
‫<يتم تصنيف األصل على أنه "مرتفع"‪ ،‬إذا كان الوصول غير المصر‪A‬ح به‪ A‬أو إسا‪A‬ءة االست‪AA‬خدام‬
‫يسبب آثاًر ا كبيرة على الجهة>‬ ‫مرتفع‬
‫<يتم تصنيف األصل على أنه "متوسط"‪ ،‬إذا كان الوصول غير المصرح به أو إسا‪AA‬ءة االست‪AA‬خدام‬
‫يسبب آثاًر ا معتدلة على الجهة>‬ ‫متوسط‬
‫<يتم تصنيف األصل على أنه "منخفض"‪ ،‬إذا تسبب الوصول غير المصرح به أو سوء االستخدام‬
‫إلى آثار ضئيلة أو طفيفة على الجهة>‬ ‫منخفض‬

‫مستويات تصنيف البيانات‬ ‫ب)‬

‫الوصف‬ ‫مستوى التصنيف‬

‫<يتم تصنيف البيانا‪A‬ت بتصن‪A‬يف "سر‪A‬ي للغاية‪ ،"A‬إذا كا‪A‬ن الوصو‪A‬ل غي‪A‬ر المصر‪A‬ح به‪ A‬أو إسا‪A‬ءة‬
‫االستخدام يسببان آثاًر ا شديدة وواسعة على الجهة بطريقة يصعب حلها>‬ ‫سري للغاية‬
‫<يتم تصنيف البيانات بتصنيف "سري"‪ ،‬إذا كان الوصول غير المصر‪A‬ح به‪ A‬أو إسا‪A‬ءة االست‪AA‬خدام‬
‫يسبب آثاًر ا كبيرة أو متوسطة على الجهة>‬ ‫سري‬

‫اإلصدار <‪>1.0‬‬

‫‪10‬‬
 ‫نموذج معيار تصنيف األصول‬

‫<يتم تصنيف البيانات بتصنيف "متوسط"‪ ،‬إذا كان الوصول غير المصرح به أو إساءة االست‪AA‬خدام‬
‫يسبب آثاًر ا ضئيلة أو محدودة على الجهة>‬ ‫مقيد‬
‫<يتم تصنيف البيانات بتصنيف "عام"‪ ،‬إذا كان الوصول غير المصرح به‪ A‬أو سو‪AA‬ء االست‪AA‬خدام ال‬
‫يسبب أي آثار على الجهة>‬ ‫عام‬

‫اإلصدار <‪>1.0‬‬

‫‪11‬‬