Professional Documents
Culture Documents
PROGRAM Cybersecurity-Awareness-Program Template Ar v0.3
PROGRAM Cybersecurity-Awareness-Program Template Ar v0.3
إخالء المسؤولية
ُط ّو ر هذا النموذج عن طريق الهيئة الوطنية لألمن الس22يبراني كمث22ال توض22يحي يمكن اس22تخدامه ك22دليل
ومرجع للجهات .يجب تعديل هذا النموذج ومواءمته مع أعمال <اسم الجهة> والمتطلبات التش22ريعية والتنظيمي22ة
ذات العالقة .كما يجب أن ُيعتمد ه2ذا النم22وذج من قب2ل رئيس الجه22ة أو من يق22وم/تق22وم بتفويض22ه .وتخلي الهيئ2ة
مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اختر التصنيف
اإلصدار <>1.0
1
نموذج برنامج التوعية باألمن السيبراني
اعتماد الوثيقة
نسخ الوثيقة
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اختر التصنيف
اإلصدار <>1.0
2
نموذج برنامج التوعية باألمن السيبراني
قائمة المحتويات
الغرض 4............................................................................................................................
نطاق العمل 4.......................................................................................................................
األدوار والمسؤوليات التفصيلية 4..................................................................................................
اختيار محتوى التوعية 6...........................................................................................................
التنفيذ 7..............................................................................................................................
مرحلة ما بعد التنفيذ 8..............................................................................................................
الملحق "أ" 9........................................................................................................................
استبيان تقييم الوعي باألمن السيبراني 9...........................................................................................
األدوار والمسؤوليات 16...........................................................................................................
التحديث والمراجعة 16.............................................................................................................
االلتزام 16..........................................................................................................................
اختر التصنيف
اإلصدار <>1.0
3
نموذج برنامج التوعية باألمن السيبراني
الغرض
تهدف هذه الوثيقة إلى تحدي2د متطلب2ات األمن الس22يبراني إلنش22اء ومتابع22ة وتح2ديث برن2امج ش22امل للتوعي2ة
باألمن السيبراني في إطار برن22امج األمن الس22يبراني ل22دى <اس22م الجه22ة> .ويتم تق22ديم البرن22امج في ص22ورة نهج
يشمل دورة حياته الكاملة ،بدايًة من اإلعداد والتنفيذ ،مروًر ا بمرحلة ما بعد التنفيذ ووص22وًال إلى تق22ييم البرن22امج.
وتوضح هذه الوثيقة أيًض ا كيفية إجراء ما يلي:
تمت مواءمة متطلبات هذا البرنامج مع متطلبات األمن السيبراني الصادرة عن الهيئة الوطنية لألمن السيبراني،
وتشمل على سبيل المثال ال الحصر :الضوابط األساسية لألمن السيبراني ( )ECC – 1: 2018وغيره22ا من
المتطلبات التشريعية والتنظيمية لألمن السيبراني ذات العالقة.
نطاق العمل
يشمل نطاق هذه الوثيقة ما يتعين على <اسم الجه22ة> إج22راؤه لتط22وير برن22امج التوعي22ة ب22األمن الس22يبراني
وتنفيذه وتحديثه .ويهدف برنامج التوعية باألمن الس22يبراني إلى تق22ديم المس22اعدة إلى العدي22د من الفئ22ات الرئيس22ية
المستهدفة في <اسم الجهة> وتوعيتها ،بما في ذلك :اإلدارة العلي22ا والع22املين في إدارة تقني22ة المعلوم22ات وجمي22ع
العاملين في <اسم الجهة> (الموظفين والمتعاقدين).
اختر التصنيف
اإلصدار <>1.0
4
نموذج برنامج التوعية باألمن السيبراني
يتولى مدير برنامج األمن السيبراني مسؤوليات هامة في إطار برنامج التوعية؛ ويجب عليهم ما يلي:
ض22مان ارتب2اط م22واد التوعي2ة ال2تي تم إع22دادها ومالءمته22ا للتقني2ات القائم22ة حالًي ا وتق22ديمها في ال2وقت ●
المناسب إلى الجمهور المستهدف.
ضمان نشر مواد التوعية بفعالية حتى تصل إلى الجمهور المستهدف. ●
ضمان توفير طريقة فعالة للمستخدمين المدراء لتقديم مالحظاتهم بشأن مواد التوعية وطريقة عرضها. ●
ضمان مراجعة مواد التوعية بشكل دوري وتحديثها عند الضرورة. ●
اإلدارة -3
يتحم22ل الم22دراء مس22ؤولية االل2تزام بمتطلب2ات التوعي2ة ب2األمن الس22يبراني للع22املين في إداراتهم؛ ويجب
عليهم ما يلي:
التع22اون م22ع <رئيس اإلدارة المعني22ة ب22األمن الس22يبراني> وم22دير برن22امج األمن الس22يبراني للوف22اء ●
بالمسؤوليات المشتركة.
القيام بدور مالك النظام و/أو مالك البيانات ،حيثما ينطبق ذلك. ●
دراسة وضع خطط تطوير فردية للمستخدمين المكلفين بأدوار ذات مسؤوليات أمنية مهمة. ●
تعزي22ز التط22وير المه22ني ومنح ش22هادات االعتم22اد للع22املين في برن22امج األمن الس22يبراني وغ22يرهم من ●
العاملين أصحاب المسؤوليات األمنية المهمة.
ضمان تدريب جميع المستخدمين والمتعاقدين المسؤولين عن إدارة أنظمة <اسم الجهة> والعمل عليه22ا ●
(أي أنظمة ال22دعم الع22ام والتطبيق22ات الرئيس22ية) بالش22كل المناس22ب على كيفي22ة أداء مس22ؤولياتهم المتعلق22ة
باألمن السيبراني قبل السماح لهم بالوصول إلى األنظمة.
ضمان فهم المستخدمين والمتعاقدين للقواعد المحددة لكل نظام وتطبيق يستخدمونه. ●
العمل على تقليل األخطاء من جانب المستخدمين بسبب غياب الوعي و/أو التدريب. ●
اختر التصنيف
اإلصدار <>1.0
5
نموذج برنامج التوعية باألمن السيبراني
يعتبر المستخدمون أكبر فئة مستهدفة في أي جهة وأهم مجموعة يمكنها المساعدة في الحد من االخط22اء
غير المقصودة والثغرات األمنية في تقنيات المعلومات .وقد يشمل المس22تخدمون الم22وظفين والمتعاق22دين
والزوار والضيوف وغ22يرهم من األش22خاص ذوي العالق22ة ال22ذين يحت22اجون إلى الوص22ول إلى األص22ول
التقنية لدى <اسم الجهة> .ويجب على المستخدمين:
فهم السياسات واإلجراءات األمنية لدى <اسم الجهة> وااللتزام بها. ●
حضور التدريب لفهم قواعد سلوكيات التعامل مع األنظمة والتطبيقات التي يمكنهم الوصول إليها. ●
اإللمام باإلجراءات التي يمكنهم اتخاذها لحماية معلومات <اسم الجهة> على نحو أفضل. ●
التشفير ●
التحصين ●
اختر التصنيف
اإلصدار <>1.0
6
نموذج برنامج التوعية باألمن السيبراني
يجب أن يشمل برنامج التوعية باألمن السيبراني ،على سبيل المثال ال الحصر ،المواضيع التالية الموجهة ألف22راد
اإلدارة العليا:
-3العاملون في الجهة:
يجب أن يش2مل برن2امج التوعي2ة ب2األمن الس2يبراني ،على س2بيل المث2ال ال الحص2ر ،المواض2يع التالي2ة الموجه2ة
للعاملين من الموظفين والمتعاقدين:
اختر التصنيف
اإلصدار <>1.0
7
نموذج برنامج التوعية باألمن السيبراني
التنفيذ
يجب عدم تنفيذ برنامج التوعية باألمن السيبراني إاّل بعد:
.1تعميم الخطة
يجب شرح كيفية تنفي2ذ البرن2امج بش22كل واٍف لإلدارة العلي2ا في <اس22م الجه22ة< ح2تى تق22دم ال2دعم الالزم لتنفي2ذه
وتضمن تخصيص الموارد المطلوبة .وُيقصد بذلك شرح أدوار ومسؤوليات اإلدارة والعاملين في الجهة ،وك22ذلك
النتائج المتوقعة للبرنامج والفوائد التي ستعود على <اسم الجهة>.
إمكانية التوسع (مثل ،يمكن استخدام المواد مع مختل22ف فئ22ات الجمه22ور المس22تهدف م22ع تن22وع أحجامه22ا ●
ومواقعها)
المساءلة (مثل ،تسجيل اإلحصائيات بشأن درجة اإلنجاز واالستفادة منها) ●
اختر التصنيف
اإلصدار <>1.0
8
نموذج برنامج التوعية باألمن السيبراني
يمكن أن يكون المزج بين األساليب المختلفة للتوعية في جلسة واحدة من الط2رق الفعال2ة لع2رض الم2واد وج2ذب
اهتمام الجمهور المستهدف.
.1التقييم والمالحظات
تعتبر اآلليات الرسمية للتقييم وتقديم المالحظات من العناصر الحيوية في أي برنامج للتوعية والتدريب والتثقي2ف
األمني .وال يمكن أن يتم التحسين المستمر دون فهم جيد ألداء البرنامج الحالي .باإلضافة إلى ذلك ،يجب تص22ميم
آلية لتقديم المالحظات من أجل تحقيق األهداف المحددة من البداية للبرنامج.
يجب إج2راء تق2ييم من أج2ل تحدي2د مس2توى نض2ج التوعي2ة والت2دريب على األمن الس2يبراني في <اس2م
الجهة> .ولتحقيق ذلك ،يمكن ل<اسم الجهة> استخدام نموذج استبيان تقييم الوعي باألمن السيبراني (الملحق "أ"
من هذه الوثيقة).
الجودة ●
طريقة النشر (مثل النشر عبر اإلنترنت أو داخل الموقع أو خارجه) ●
الصلة ●
يجب على <اسم الجهة> أيًض ا إجراء اختبار دوري للتحقق من فعالية برنامج التوعية باألمن السيبراني
(أي ،محاكاة الهجمات ،ومكافحة التصّيد االحتيالي ،وغير ذلك)
اختر التصنيف
اإلصدار <>1.0
9
نموذج برنامج التوعية باألمن السيبراني
من الض2روري أن تك2ون ل2دى الجمي2ع الق2درة واالس2تعداد لتنفي2ذ أدوارهم المتعلق2ة ب2األمن الس2يبراني في <اس2م
الجهة> .وفيما يلي بعض المؤشرات الرئيسية التي يمكن استخدامها لقياس مستوى دعم البرنامج والقبول به.
الملحق "أ"
المبادرات
هل أدركت <اسم الجهة> الحاجة إلى التوعية بتهديدات وثغرات األمن السيبراني؟ 1
المالحظات اإلجابة
هل الوعي بتهديدات وثغرات األمن السيبراني يكون في المراحل األولية فق22ط من المناقش22ة 2
في <اسم الجهة>؟
المالحظات اإلجابة
اختر التصنيف
اإلصدار <>1.0
10
نموذج برنامج التوعية باألمن السيبراني
هل وضعت <اسم الجهة> في االعتبار إشراك األطراف المعنية ذات العالق22ة عن22د تط22وير 3
برنامج التوعية باألمن السيبراني؟
المالحظات اإلجابة
هل تتوفر الموارد الكافية لد <اسم الجهة< لتنفيذ برنامج التوعية باألمن السيبراني؟ 4
المالحظات اإلجابة
هل توجد لدى <اسم الجهة> خطة تنفيذ تفصيلية منشورة لبرنامج التوعية باألمن السيبراني؟ 5
المالحظات اإلجابة
المالحظات اإلجابة
هل تم التنسيق المشترك لبرنامج التوعية باألمن السيبراني على مستوى <اسم الجهة>؟ 7
المالحظات اإلجابة
هل توجد منظومة من اآلليات والمقاييس مطبقة من البداية لمراجعة برنامج التوعية ب22األمن 8
السيبراني في <اسم الجهة>؟
اختر التصنيف
اإلصدار <>1.0
11
نموذج برنامج التوعية باألمن السيبراني
المالحظات اإلجابة
هل يتمتع الموظفون المكلفون بالسلطات والموارد الكافية لتنفيذ إجراءات برن22امج التوعي22ة 9
باألمن السيبراني في <اسم الجهة>؟
المالحظات اإلجابة
هل توجد لدى <اسم الجهة> بوابة للتوعي22ة ب22األمن الس22يبراني من أج22ل تحس22ين المه22ارات 10
والمعارف في مجال األمن السيبراني؟
المالحظات اإلجابة
هل تشارك <اسم الجهة> في البرامج والدورات والن22دوات والم22وارد اإللكتروني22ة لألط22راف 11
األخرى من أجل التوعية باألمن السيبراني؟
المالحظات اإلجابة
هل توجد لدى <اسم الجهة< عمليات لمراجعة برنامج التوعية باألمن الس22يبراني ومق22اييس 12
لتقييمه تستند إلى النتائج؟
المالحظات اإلجابة
هل توجد لدى <اسم الجهة> برامج لتوعية المدراء التنفيذيين بمسائل األمن السيبراني؟ 13
اختر التصنيف
اإلصدار <>1.0
12
نموذج برنامج التوعية باألمن السيبراني
المالحظات اإلجابة
هل المدراء التنفيذيون على دراية بمسؤولياتهم تج2اه األط2راف المعني2ة والعمالء والم22وظفين 14
فيما يتعلق باألمن السيبراني لدى <اسم الجهة>؟
المالحظات اإلجابة
هل تم إطالع المدراء التنفيذيين على مسائل األمن السيبراني العامة التي قد تؤثر على <اس22م 15
الجهة>؟
المالحظات اإلجابة
هل الم22دراء التنفي2ذيون على دراي2ة باآلث2ار المحتمل2ة لتل2ك المس22ائل والتهدي2دات على <اس22م 16
الجهة<؟
المالحظات اإلجابة
ه22ل تم إطالع الم22دراء التنفي22ذيين ب22إدارات معين22ة في <اس22م الجه22ة> (مث22ل إدارة الش22ؤون
المالية وإدارة االتصاالت) على مخاطر األمن السيبراني بوجه عام وكيفية تعامل الجهة مع 17
مسائل األمن السيبراني؟
المالحظات اإلجابة
ه22ل تم إطالع الم22دراء التنفي22ذيين ب22إدارات معين22ة في <اس22م الجه22ة> (مث22ل إدارة الش22ؤون 18
المالية وإدارة االتصاالت) على التداعيات االستراتيجية لمخاطر األمن السيبراني؟
اختر التصنيف
اإلصدار <>1.0
13
نموذج برنامج التوعية باألمن السيبراني
المالحظات اإلجابة
هل يتناول برنامج التوعية باألمن السيبراني الموجه للم22ديرين التنفي22ذيين في <اس22م الجه22ة>
مخاطر األمن السيبراني بوجه عام (مثل ،طرق الهجوم األساس22ية وكيفي22ة تعام22ل الجه22ة م22ع 19
مسائل األمن السيبراني)؟
المالحظات اإلجابة
المبادرات
المالحظات اإلجابة
المالحظات اإلجابة
هل يتم تقديم دورات لعلوم الحاسب اآللي تشتمل على وحدة عن األمن في <اسم الجهة>؟ 22
المالحظات اإلجابة
اختر التصنيف
اإلصدار <>1.0
14
نموذج برنامج التوعية باألمن السيبراني
هل يتم تقديم دورات تدريبية متعلقة باألمن السيبراني للموظفين في <اسم الجهة>؟ 23
المالحظات اإلجابة
هل يستكشف الم2دربون المؤهل2ون الح2اليون في <اس2م الجه2ة> ب2رامج تأهي2ل الم2دربين في 24
مجال األمن السيبراني؟
المالحظات اإلجابة
هل ُتقدم أي دورات تدريبية من أط22راف خارجي22ة في المج22االت المتعلق22ة ب22األمن الس22يبراني 25
(مثل ،أمن المعلومات وأمن الشبكات والتشفير) في <اسم الجهة>؟
المالحظات اإلجابة
المبادرات
هل ُت قدم أي برامج تدريبية في مجال األمن السيبراني في <اسم الجهة>؟ 26
المالحظات اإلجابة
هل يتم تقديم التدريب على المسائل المتعلقة باألمن السيبراني للعاملين في تقني22ة المعلوم22ات 27
بوجه عام في <اسم الجهة> بحيث يمكنهم االستجابة للحوادث عند حدوثها؟
اختر التصنيف
اإلصدار <>1.0
15
نموذج برنامج التوعية باألمن السيبراني
المالحظات اإلجابة
هل يتم تقديم التدريب على المسائل المتعلق22ة ب22األمن الس22يبراني للمتخصص22ين األمن22يين في 28
<اسم الجهة> بحيث يمكنهم االستجابة للحوادث عند حدوثها؟
المالحظات اإلجابة
هل تقدم <اسم الجهة> أي شهادات مهنية متعلقة باألمن السيبراني لموظفيها؟ 29
المالحظات اإلجابة
هل برامج التدريب على األمن السبيراني لدى <اسم الجهة> منظمة؟ 30
المالحظات اإلجابة
ه22ل تمت مراع22اة أّي من اُألط22ر الوطني22ة أو الدولي22ة لألمن الس22يبراني وأفض22ل الممارس22ات 31
الدولية المعمول بها عند تصميم دورات التدريب المهني؟
المالحظات اإلجابة
هل يوجد فهم جيد لالحتياجات المتعلقة باألمن السيبراني لدى <اسم الجه22ة> (مث22ل ،ه22ل تم 32
توثيق قائمة بمتطلبات التدريب)؟
المالحظات اإلجابة
اختر التصنيف
اإلصدار <>1.0
16
نموذج برنامج التوعية باألمن السيبراني
هل يتم االعتراف ببرامج التدريب على األمن السيبراني وتقديمها للموظفين بوجه عام؟ 33
المالحظات اإلجابة
نقل المعرفة
هل يتم نقل المعرفة باألمن السيبراني من الموظفين الُمدَّر بين إلى الموظفين غير الُم دَّر بين 34
في <اسم الجهة> ؟
المالحظات اإلجابة
األدوار والمسؤوليات
مالك الوثيقة< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة الوثيقة وتحديثها< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ الوثيقة وتطبيقها< :اإلدارة المعنية بتقنية المعلومات>. -3
قياس االلتزام بالوثيقة< :اإلدارة المعنية باألمن السيبراني>. -4
التحديث والمراجعة
يجب على <اإلدارة المعني22ة ب22األمن الس22يبراني> مراجع22ة البرن22امج س22نوًيا على األق22ل أو عن22د ح22دوث
تغييرات تقنية جوهرية في البنية التحتية أو في حال حدوث تغييرات في السياس22ات أو اإلج22راءات التنظيمي22ة في
<اسم الجهة> أو المتطلبات التشريعية والتنظيمية ذات العالقة.
اختر التصنيف
اإلصدار <>1.0
17
نموذج برنامج التوعية باألمن السيبراني
االلتزام
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذا البرنامج دورًيا. -1
يجب على كافة العاملين في <اسم الجهة> االلتزام بهذا البرنامج. -2
قد يعرض أي انتهاك لهذا البرنامج صاحب المخالفة إلى إجراء تأديبي حسب اإلج2راءات المتبع22ة في <اس22م -3
الجهة>.
اختر التصنيف
اإلصدار <>1.0
18