‫نموذج إجراء تقييم الث‬

‫هذا المربع مخّصص ألغراض توجيهية‪ .‬احذف جميع المربعات التوجيهية‬

‫بعد تعبئة النموذج‪ .‬يجب تحرير البنود الملّو نة باللون األزرق بصورة‬
‫مناسبة‪ .‬يجب إزالة التظليل الملّو ن بعد إجراء التعديالت‪.‬‬

‫أدخل شعار الجهة بالضغط على الصورة الموضحة‪.‬‬

‫نموذج إجراء تقييم الثغرات األمنية‬

‫استبدل <اسم الجهة> باسم الجهة في مجمل صفحات الوثيقة‪.‬‬

‫وللقيام بذلك‪ ،‬اتبع الخطوات التالية‪:‬‬
‫اض‪BB‬غط على مفت‪BB‬احي "‪ "Ctrl‬و"‪ "H‬في ال‪BB‬وقت‬ ‫‪‬‬
‫نفسه‪.‬‬
‫أض‪BB‬ف "<اس‪BB‬م الجه‪BB‬ة>" في مرب‪BB‬ع البحث عن‬ ‫‪‬‬
‫النص‪.‬‬ ‫اضغط هنا إلضافة تاريخ‬ ‫التاريخ‪:‬‬
‫أدخل االسم الكامل لجهتك في مرب‪BB‬ع "اس‪BB‬تبدال"‬ ‫‪‬‬ ‫اضغط هنا إلضافة نص‬ ‫اإلصدار‪:‬‬
‫النص‪.‬‬
‫اض‪BBB‬غط على "المزي‪BBB‬د" وتأّك د من اختي‪BBB‬ار "‬ ‫‪‬‬ ‫اضغط هنا إلضافة نص‬ ‫المرجع‪:‬‬
‫‪."Match case‬‬
‫اضغط على "استبدل الكل"‪.‬‬ ‫‪‬‬
‫أغلق مربع الحوار‪.‬‬ ‫‪‬‬
‫نموذج إجراء تقييم الثغ‬

‫إخالء المسؤولية‬
‫‍‍ُط ّو ر هذا النموذج عن طريق الهيئة الوطنية لألمن الس‪BB‬يبراني كمث‪BB‬ال توض‪BB‬يحي يمكن اس‪BB‬تخدامه ك‪BB‬دليل‬
‫ومرجع للجهات‪ .‬يجب أن يتم تعديل ه‪B‬ذا النم‪B‬وذج ومواءمت‪B‬ه م‪B‬ع أعم‪B‬ال <اس‪B‬م الجه‪B‬ة> والمتطلب‪B‬ات التش‪B‬ريعية‬
‫والتنظيمية ذات العالقة‪ ‍‍.‬كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم‪/‬تقوم بتفويض‪BB‬ه‪‍‍.‬وتخلي‬
‫الهيئة مسؤوليتها من استخدام هذا النموذج كما هو‪ ،‬وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي‪.‬‬
‫نموذج إجراء تقييم الثغ‬

‫اعتماد الوثيقة‬

‫التوقيع‬ ‫التاريخ‬ ‫االسم‬ ‫المسمى الوظيفي‬ ‫الدور‬

‫اضغط هنا إلضافة‬

‫<أدخل التوقيع>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل المسمى الوظيفي>‬
‫تاريخ‬

‫نسخ الوثيقة‬

‫أسباب التعديل‬ ‫ٌعدَل بواسطة‬ ‫التاريخ‬ ‫النسخة‬

‫اضغط هنا إلضافة‬

‫<أدخل وصف التعديل>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل رقم النسخة>‬
‫تاريخ‬

‫جدول المراجعة‬

‫تاريخ المراجعة القادمة‬ ‫التاريخ ألخر مراجعة‬ ‫معدل المراجعة‬

‫اضغط هنا إلضافة تاريخ‬ ‫اضغط هنا إلضافة تاريخ‬ ‫مره واحدة كل سنة‬
‫نموذج إجراء تقييم الثغ‬

‫قائمة المحتويات‬
‫الغرض ‪4..........................................................................................................................................‬‬
‫نطاق العمل‪4.....................................................................................................................................‬‬
‫لمحة عامة عن عملية إدارة الثغرات األمنية‪4..............................................................................................‬‬
‫المرحلة األولى‪ :‬إعداد تقييم الثغرات األمنية ‪6....................................................................................‬‬
‫المرحلة الثانية‪ :‬إجراء تقييم الثغرات األمنية ‪11..................................................................................‬‬
‫المرحلة الثالثة‪ :‬معالجة الثغرات األمنية ‪14.......................................................................................‬‬
‫المرحلة الرابعة‪ :‬المعلومات االستباقية عن التهديدات ‪18........................................................................‬‬
‫األدوار والمسؤوليات‪20........................................................................................................................‬‬
‫التحديث والمراجعة‪20..........................................................................................................................‬‬
‫االلتزام باإلجراء‪20.............................................................................................................................‬‬
‫نموذج إجراء تقييم الثغ‬

‫الغرض‬
‫يهدف هذا اإلجراء إلى تحديد متطلبات األمن السيبراني التفصيلية المعمول بها لتق‪BB‬ييم الثغ‪BB‬رات األمني‪BB‬ة‬
‫وذلك لحماية أصول تقنيات المعلومات لدى <اسم الجهة> من التهديدات والثغرات األمنية السيبرانية‪.‬‬
‫تمت مواءمة هذا اإلجراء مع متطلبات األمن السيبراني الصادرة من الهيئة الوطني‪BB‬ة لألمن الس‪BB‬يبراني‪،‬‬
‫بم‪BB‬ا في ذل‪BB‬ك الض‪BB‬وابط األساس‪BB‬ية لألمن الس‪BB‬يبراني (‪ ،)ECC-1:2018‬وض‪BB‬وابط األمن الس‪BB‬يبراني للبيان‪BB‬ات (‬
‫‪ ،)DCC-1:2022‬وض‪BBB‬وابط األمن الس‪BBB‬يبراني لألنظم‪BBB‬ة الحساس‪BBB‬ة (‪ ،)CSCC-1:2019‬وض‪BBB‬وابط األمن‬
‫الس‪BB‬يبراني للحوس‪BB‬بة الس‪BB‬حابية (‪ )CCC-1:2020‬على س‪BB‬بيل المث‪BB‬ال ال الحص‪BB‬ر وغيره‪BB‬ا من متطلب‪BB‬ات األمن‬
‫السيبراني التنظيمية والتشريعية ذات العالقة‪.‬‬

‫نطاق العمل‬
‫ُيطبق هذا اإلجراء على جميع أص‪BB‬ول تقني‪B‬ة المعلوم‪BB‬ات الخاص‪BB‬ة ب<اس‪BB‬م الجه‪BB‬ة> وُيطب‪B‬ق على جمي‪B‬ع‬
‫العاملين (الموظفين والمتعاقدين) في <اسم الجهة>‪.‬‬

‫لمحة عامة عن عملية إدارة الثغرات األمنية‬

‫ُتقَّس م عملية إدارة الثغرات األمنية إلى المراحل التالية‪:‬‬

‫إعداد تقييم الثغرات األمنية‬ ‫‪‬‬

‫إجراء تقييم الثغرات األمنية‬ ‫‪‬‬
‫معالجة الثغرات األمنية‬ ‫‪‬‬
‫المعلومات االستباقية عن التهديدات‬ ‫‪‬‬
‫نموذج إجراء تقييم الثغرات األمنية‬

‫المرحلة األولى‪ :‬إعداد تقييم الثغرات األمنية‬

 ‫نموذج إجراء تقييم الثغرات األمنية‬

‫رقم‬
‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك‪/‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬
‫التعريف‬

‫<اإلدارة المعنية باألمن‬ ‫تسمية مالك العملية‬ ‫معايير اختيار مالك‬ ‫<اإلدارة المعنية‬ ‫تحديد مالك العملية الذي سيتولى مسؤولية‬ ‫تحديد مالك العملية‬ ‫‪1-1‬‬
‫السيبراني>‬ ‫المكلف بها‬ ‫باألمن السيبراني> العملية‬ ‫تنفيذ وإدارة برنامج إدارة الثغرات األمنية‬
‫لدى <اسم الجهة>‪.‬‬

‫األصول المحددة ضمن <اإلدارة المعنية باألمن‬ ‫سجل األصول‬ ‫<اإلدارة المعنية‬ ‫تحديد جميع األصول التي تندرج ضمن‬ ‫تحديد األصول‬ ‫‪1-2‬‬
‫السيبراني>‬ ‫نطاق إدارة الثغرات‬ ‫باألمن السيبراني> المعلوماتية والتقنية‬ ‫نطاق إدارة الثغرات األمنية‪ .‬ويتم توثيق‬
‫األمنية‬ ‫األجهزة والبرمجيات المصرح بها في‬
‫<اإلدارة المعنية بتقنية‬
‫سياسة ومعيار إدارة األصول المعلوماتية‬
‫المعلومات>‬
‫لدى <اسم الجهة>‪.‬‬

‫<جميع اإلدارات في‬ ‫األصول المحددة ضمن التحقق من مدى‬ ‫<اإلدارة المعنية‬ ‫تحديد مدى حساسية التحقق من مدى حساسية جميع األصول‬ ‫‪1-3‬‬
‫الجهة>‬ ‫حساسية األصول‬ ‫باألمن السيبراني> نطاق إدارة الثغرات‬ ‫التي تندرج ضمن نطاق إدارة الثغرات‬ ‫األصول بالنسبة‬
‫بالنسبة لألعمال‬ ‫األمنية‬ ‫بالنسبة لألعمال‪.‬‬ ‫لألعمال‬

‫<اإلدارة المعنية باألمن‬
‫السيبراني>‬
‫تحديد مالك أصول‬ ‫التحقق من مدى‬ ‫<اإلدارة المعنية‬ ‫تحديد مالك أصول األعمال واألنظمة‬ ‫تحديد مالك‬ ‫‪1-4‬‬
‫األعمال واألنظمة‬ ‫باألمن السيبراني> حساسية األصول‬ ‫المسؤولين عن معالجة الثغرات األمنية‬ ‫األصول‬
‫بالنسبة لألعمال‬ ‫المحددة بناًء على مؤشرات األداء الرئيسية‬
‫المتفق عليها على النحو الموضح في‬
‫مؤشرات األداء الرئيسية إلدارة الثغرات‬
‫األمنية لدى <اسم الجهة>‪.‬‬

‫<اإلدارة المعنية باألمن‬ ‫األطراف المعنية‬ ‫تحديد مالك أصول‬ ‫<اإلدارة المعنية‬ ‫توثيق األطراف المعنية المحددة في عملية‬ ‫تحديد األطراف‬ ‫‪1-5‬‬
‫السيبراني>‬ ‫الموثقة‬ ‫باألمن السيبراني> األعمال واألنظمة‬ ‫إدارة الثغرات لدى <اسم الجهة>‪.‬‬ ‫المعنية‬
 ‫نموذج إجراء تقييم الثغرات األمنية‬

‫رقم‬
‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك‪/‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬
‫التعريف‬

‫استخدام أداة مسح الثغرات األمنية المناسبة <اإلدارة المعني‪BBBB‬ة التص‪BBBB‬ميم التفص‪BBBB‬يلي تط‪BBBB‬بيق ح‪BBBB‬ل مس‪BBBB‬ح <اإلدارة المعنية باألمن‬ ‫استخدام أداة المسح‬ ‫‪1-6‬‬
‫السيبراني>‬ ‫الثغرات األمنية‬ ‫للبنية التحتية لش‪BB‬بكة <اس‪BB‬م الجه‪BB‬ة>‪ ،‬ح‪BB‬تى باألمن السيبراني> للحل‬
‫يمكنها مس‪B‬ح جمي‪B‬ع األص‪B‬ول ض‪B‬من نط‪B‬اق‬
‫<اإلدارة المعنية بتقني‪BB‬ة‬
‫إدارة الثغرات األمنية‪.‬‬
‫المعلومات>‬

‫اختيار منهجية المس‪BB‬ح المناس‪BB‬بة‪ ،‬وذل‪BB‬ك من <اإلدارة المعني‪BBBB‬ة التص‪BBBB‬ميم التفص‪BBBB‬يلي اختي‪BB‬ار منهجي‪BB‬ة المس‪BB‬ح <اإلدارة المعنية باألمن‬ ‫اختيار المنهجية‬ ‫‪1-7‬‬
‫لألص‪BBBBB‬ول الحساس‪BBBBB‬ة السيبراني>‬ ‫خالل إجراء عملية مسح مصّدق عليه‪BB‬ا إم‪BB‬ا باألمن السيبراني> للحل‬
‫المحددة‬ ‫باستخدام منهجية المسح الق‪BB‬ائم على بيان‪BB‬ات‬
‫<اإلدارة المعنية بتقني‪BB‬ة‬
‫المعلومات>‬ ‫االعتم‪BBB‬اد أو منهجي‪BBB‬ة المس‪BBB‬ح المحلي (في‬
‫حالة عدم مالءمة المسح غير المعتمد وعدم‬
‫إمكانية استخدام المسح المعتمد بسبب القيود‬
‫الفني‪BBB‬ة أو غيره‪BBB‬ا من القي‪BBB‬ود)‪ ،‬بالنس‪BBBB‬بة‬
‫لألصول الحساسة المحددة‪.‬‬

‫إعداد المس‪BB‬ح الق‪BB‬ائم إنشاء الحسابات المستخدمة في المسح القائم <اإلدارة المعني‪BBBB‬ة اختي‪BB‬ار منهجي‪BB‬ة المس‪BB‬ح قائم‪BBBBBBB‬ة باألص‪BBBBBBB‬ول <اإلدارة المعنية باألمن‬ ‫‪1-8‬‬
‫على بيان‪BBBBBBBBBBBBB‬ات على بيان‪BB‬ات االعتم‪BB‬اد باتب‪BB‬اع سياس‪BB‬ة إدارة بتقنية المعلومات> لألص‪BBBBB‬ول الحساس‪BBBBB‬ة الحساس‪BBB‬ة ال‪BBB‬تي يمكن السيبراني>‬
‫الوص‪BBBBB‬ول إليه‪BBBBB‬ا من‬ ‫المحددة‬ ‫الصالحيات الهام‪BB‬ة والحساس‪BB‬ة ل‪BB‬دى <اس‪BB‬م‬ ‫االعتماد‬
‫<اإلدارة المعنية بتقني‪BB‬ة‬
‫خالل المسح القائم على المعلومات>‬ ‫الجهة>‪.‬‬
‫بيانات االعتماد‬

‫إج‪B‬راء المس‪B‬ح الق‪B‬ائم على بيان‪B‬ات االعتم‪B‬اد <اإلدارة المعني‪BBBB‬ة الحساب المنش‪BB‬أ للمس‪BB‬ح قائم‪BBBBBB‬ة بالتح‪BBBBBB‬ديثات <اإلدارة المعنية باألمن‬ ‫إجراء المسح القائم‬ ‫‪1-9‬‬
‫االختباري (والمعروف أيًض ا باسم "المس‪BB‬ح بتقنية المعلومات> الق‪BBBBB‬ائم على بيان‪BBBBB‬ات واإلصالحات المطلوبة السيبراني>‬ ‫على بيانات‬
‫االعتم‪BBBBB‬اد لألص‪BBBBB‬ول‬ ‫المص‪ّBBB‬دق علي‪BBB‬ه") لتق‪BBB‬ديم قائم‪BBB‬ة نهائي‪BBB‬ة‬ ‫االعتماد‬
 ‫نموذج إجراء تقييم الثغرات األمنية‬

‫رقم‬
‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك‪/‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬
‫التعريف‬

‫<اإلدارة المعنية بتقني‪BB‬ة‬ ‫واإلعدادات الخاطئة‬ ‫الحساسة المحددة‬ ‫بالتح‪BBBBB‬ديثات واإلص‪BBBBB‬الحات المطلوب‪BBBBB‬ة‬
‫المعلومات>‬ ‫واإلع‪BBB‬دادات الخاطئ‪BBB‬ة‪ ،‬وذل‪BBB‬ك باس‪BBB‬تخدام‬
‫بيان‪BBB‬ات االعتم‪BBB‬اد لتس‪BBB‬جيل ال‪BBB‬دخول إلى‬
‫األنظمة والتطبيقات‪.‬‬

‫تنفيذ المسح المحلي (باستخدام برامج خفيفة <اإلدارة المعني‪BBBB‬ة اختي‪BB‬ار منهجي‪BB‬ة المس‪BB‬ح قائم‪BBBBBBB‬ة باألص‪BBBBBBB‬ول <اإلدارة المعنية باألمن‬ ‫إعداد المسح‬ ‫‪1-10‬‬
‫ذات بص‪BB‬مة رقمي‪BB‬ة بس‪BB‬يطة) على األجه‪BB‬زة بتقنية المعلومات> لألص‪BBBBB‬ول الحساس‪BBBBB‬ة الحساس‪BBB‬ة‪ ،‬م‪BBB‬ع تنفي‪BBB‬ذ السيبراني>‬ ‫المحلي‬
‫المسح المحلي‬ ‫المحددة‬ ‫المضيفة‪.‬‬
‫<اإلدارة المعنية بتقني‪BB‬ة‬
‫المعلومات>‬

‫قائم‪BBBBBB‬ة بالتح‪BBBBBB‬ديثات <اإلدارة المعنية باألمن‬
‫واإلصالحات المطلوبة السيبراني>‬
‫واإلعدادات الخاطئة‬
‫<اإلدارة المعنية بتقني‪BB‬ة‬
‫المعلومات>‬
‫إج‪BB‬راء المس‪BBB‬ح المحلي االختب‪BB‬اري لجم‪BBB‬ع <اإلدارة المعني‪BBBB‬ة تنفيذ المسح المحلي‬ ‫إجراء المسح‬ ‫‪1-11‬‬
‫البيان‪BBB‬ات عن الثغ‪BBB‬رات األمني‪BBB‬ة واالل‪BBB‬تزام بتقنية المعلومات>‬ ‫المحلي‬
‫واألنظمة‪ ،‬ورفع تلك المعلومات على خ‪BB‬ادم‬
‫المسح المركزي لتحليلها‪.‬‬

‫<اإلدارة المعنية بتقني‪BB‬ة‬ ‫تهيئة األصول الجديدة‬ ‫ض‪BBB‬مان تهيئ‪BBB‬ة األص‪BBB‬ول الجدي‪BBB‬دة ض‪BBB‬من <اإلدارة المعني‪BBBB‬ة سجل األصول المحّدث‬ ‫تهيئة األصول‬ ‫‪1-12‬‬
‫المعلومات>‬ ‫برن‪BB‬امج إدارة الثغ‪BB‬رات األمني‪BB‬ة في ال‪BB‬وقت باألمن السيبراني>‬ ‫الجديدة‬
‫المناسب‪ ،‬بتنفيذ العمليات الضرورية‪.‬‬

‫<اإلدارة المعني‪BBBB‬ة اختي‪BB‬ار منهجي‪BB‬ة المس‪BB‬ح التحقق من عدم ت‪BB‬داخل <اإلدارة المعنية باألمن‬ ‫التأكد من عدم تداخل مسح الثغرات األمنية‬ ‫تحديد المدة الزمنية‬ ‫‪1-13‬‬
‫بتقنية المعلومات> لألص‪BBBBB‬ول الحساس‪BBBBB‬ة المس‪BBB‬ح م‪BBB‬ع األنش‪BBB‬طة الس‪BBBB‬يبراني> <اإلدارة‬ ‫مع أي أنشطة أخرى مجدولة‪ ،‬مثل النسخ‬
‫المعني‪BBBBBBBB‬ة بتقني‪BBBBBBBB‬ة‬ ‫األخرى‬ ‫المحددة‬ ‫االحتياطي والصيانة المجدولة وما إلى‬
‫المعلومات>‬
‫ذلك‪.‬‬
 ‫نموذج إجراء تقييم الثغرات األمنية‬

‫رقم‬
‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك‪/‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬
‫التعريف‬

‫<اإلدارة المعني‪BBBB‬ة اختي‪BB‬ار منهجي‪BB‬ة المس‪BB‬ح تحدي‪BBB‬د وت‪BBB‬يرة مس‪BBB‬ح <اإلدارة المعنية باألمن‬ ‫تحديد وتيرة مسح الثغرات األمنية على‬ ‫تحديد وتيرة المسح‬ ‫‪1-14‬‬
‫السيبراني>‬ ‫باألمن السيبراني> لألص‪BBBBB‬ول الحساس‪BBBBB‬ة الثغرات األمنية‬ ‫النحو المبّين في سياسة ومعيار إدارة‬
‫المحددة‬ ‫الثغرات األمنية لدى <اسم الجهة>‪.‬‬

‫<اإلدارة المعني‪BBBB‬ة اختي‪BB‬ار منهجي‪BB‬ة المس‪BB‬ح موق‪BB‬ع مرك‪BB‬زي لحف‪BB‬ظ <اإلدارة المعنية باألمن‬ ‫إنشاء موقع مركزي لحفظ تقارير مسح‬ ‫إنشاء مستودع‬ ‫‪1-15‬‬
‫السيبراني>‬ ‫بتقنية المعلومات> لألص‪BBBBB‬ول الحساس‪BBBBB‬ة التقارير‬ ‫الثغرات األمنية وسجل الثغرات الخاص‬ ‫للتقارير‬
‫المحددة‬ ‫ب<اسم الجهة>‪.‬‬
‫<اإلدارة المعنية بتقني‪BB‬ة‬
‫المعلومات>‬

‫<اإلدارة المعني‪BBBB‬ة قائم‪BBBBBB‬ة ب‪BBBBBB‬الموظفين نم‪BBBBB‬وذج ص‪BBBBB‬الحيات <اإلدارة المعنية باألمن‬ ‫ضمان عدم منح صالحية الوصول إلى‬ ‫منح صالحية‬ ‫‪1-16‬‬
‫باألمن السيبراني> بصالحية الوصول إلى الوصول إلى المستودع السيبراني>‬ ‫هذا الموقع المركزي إال للموظفين على‬ ‫الوصول إلى‬
‫المرك‪BBBBBB‬زي بحس‪BBBBBB‬ب‬ ‫الموقع المركزي‬ ‫أساس الحاجة المشروعة إلى المعرفة كما‬ ‫المستودع‬
‫<اإلدارة المعنية بتقني‪BB‬ة‬
‫المعلومات>‬ ‫األدوار‬ ‫هو موضح في سياسة إدارة الثغرات‬
‫األمنية لدى <اسم الجهة>‪.‬‬
‫نموذج إجراء تقييم الثغرات األمنية‬

‫المرحلة الثانية‪ :‬إجراء تقييم الثغرات الأمنية‬

 ‫نموذج إجراء تقييم الثغرات األمنية‬

‫رقم‬
‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك‪/‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬
‫التعريف‬

‫إجراء مسح الثغرات األمنية كما هو موثق <اإلدارة المعني‪BBB‬ة س‪BBBBB‬جل التغي‪BBBBB‬يرات تقري‪BB‬ر مس‪BB‬ح الثغ‪BB‬رات <اإلدارة المعني‪BBB‬ة ب‪BBB‬األمن‬ ‫إجراء المسح‬ ‫‪2-1‬‬
‫الس‪BBBBBBBBB‬يبراني> <اإلدارة‬ ‫األمنية‬ ‫بتقني‪BBBBBBBBBBBBBBBBBBBB‬ة المعتمد‬ ‫في سجل التغييرات المعتمد‪.‬‬
‫المعنية بتقنية المعلومات>‬ ‫المعلومات>‬

‫مراقب‪BB‬ة أداء ك‪ٍّBB‬ل من بيئ‪BB‬ة مس‪BB‬ح الثغ‪BB‬رات <اإلدارة المعني‪BBB‬ة تحدي‪BBBBBB‬د األص‪BBBBBB‬ول األصول المتأثرة س‪BB‬لبًيا <اإلدارة المعني‪BBB‬ة ب‪BBB‬األمن‬ ‫مراقبة األداء‬ ‫‪2-2‬‬
‫السيبراني>‬ ‫األمنية واألص‪B‬ول الج‪B‬اري مس‪B‬حها ط‪B‬وال بتقني‪BBBBBBBBBBBBBBBBBBBB‬ة الحساسة ضمن نط‪BB‬اق بالمسح‬
‫مسح الثغرات األمنية‬ ‫المعلومات>‬ ‫مدة المسح‪.‬‬
‫<اإلدارة المعني‪BBB‬ة بتقني‪BBB‬ة‬
‫المعلومات>‬

‫االتصاالت أثناء إبالغ األطراف المعني‪BB‬ة ذات العالق‪BB‬ة ب‪BB‬أي <اإلدارة المعني‪BBB‬ة األصول المتأثرة سلبًيا إبالغ األطراف المعنية <جمي‪BBBBBBBBB‬ع اإلدارات في‬ ‫‪2-3‬‬
‫الجهة>‬ ‫بالمشكلة‬ ‫مش‪BBBB‬كلة على النح‪BBBB‬و الم‪BBBB‬بين في س‪BBBB‬جل ب‪BBBBBBBBBBBBBBBBBB‬األمن بالمسح‬ ‫المسح‬
‫السيبراني>‬ ‫التغييرات‪.‬‬

‫التحق‪BBBBBBBBB‬ق من التحقق من مسح جميع األصول المش‪BB‬مولة <اإلدارة المعني‪BBB‬ة تقري‪BB‬ر مس‪BB‬ح الثغ‪BB‬رات قائمة باألصول التي لم <اإلدارة المعني‪BBB‬ة ب‪BBB‬األمن‬ ‫‪2-4‬‬
‫ضمن نطاق إدارة الثغرات األمنية بنجاح‪ .‬ب‪BBBBBBBBBBBBBBBBBB‬األمن األمني‪BBBBBBB‬ة‪ ،‬س‪BBBBBBB‬جل يتم مسحها خالل مس‪BB‬ح السيبراني>‬ ‫تغطية المسح‬
‫الثغرات األمنية‬ ‫األصول‬ ‫السيبراني>‬
‫<اإلدارة المعني‪BBB‬ة بتقني‪BBB‬ة‬
‫المعلومات>‬

‫التحقي‪BBBBBBBB‬ق في التحقي‪BBBBBBB‬ق في أي اختالف في ال‪BBBBBBB‬وقت <اإلدارة المعني‪BBB‬ة قائم‪BB‬ة باألص‪BB‬ول ال‪BB‬تي التحقيق في االختالفات <اإلدارة المعني‪BBB‬ة ب‪BBB‬األمن‬ ‫‪2-5‬‬
 ‫نموذج إجراء تقييم الثغرات األمنية‬

‫رقم‬
‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك‪/‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬
‫التعريف‬

‫السيبراني>‬ ‫المناس‪BBBB‬ب بن‪BBBB‬اًء على مؤش‪BBBB‬رات األداء ب‪BBBBBBBBBBBBBBBBBB‬األمن لم يتم مس‪BBBBB‬حها خالل‬ ‫االختالفات‬
‫مسح الثغرات األمنية‬ ‫السيبراني>‬ ‫الرئيسية المتفق عليها‪.‬‬

‫<اإلدارة المعني‪BBB‬ة ب‪BBB‬األمن‬ ‫تكرار مسح الثغرات األمنية على األصول <اإلدارة المعني‪BBB‬ة قائم‪BB‬ة باألص‪BB‬ول ال‪BB‬تي المسح الُمكّر ر‬ ‫تكرار المسح‬ ‫‪2-6‬‬
‫الس‪BBBBBBBBB‬يبراني> <اإلدارة‬ ‫في حال‪BBB‬ة فش‪BBB‬ل المس‪BBB‬ح خالل المحاول‪BBB‬ة ب‪BBBBBBBBBBBBBBBBBB‬األمن لم يتم مس‪BBBBB‬حها خالل‬
‫المعنية بتقنية المعلومات>‬ ‫مسح الثغرات األمنية‬ ‫السيبراني>‬ ‫السابقة‪.‬‬

‫إبالغ األط‪BB‬راف المعني‪BB‬ة بالنتيج‪BB‬ة النهائي‪BB‬ة <اإلدارة المعني‪BBB‬ة تقري‪BB‬ر مس‪BB‬ح الثغ‪BB‬رات إتاح‪BBB‬ة نتيج‪BBB‬ة المس‪BBB‬ح <اإلدارة المعني‪BBB‬ة ب‪BBB‬األمن‬ ‫اإلبالغ عن‬ ‫‪2-7‬‬
‫على المس‪BBBBBBBBBBBBB‬تودع السيبراني>‬ ‫ب‪BBBBBBBBBBBBBBBBBB‬األمن األمنية‬ ‫للمسح‪.‬‬ ‫نتائج المسح‬
‫المركزي‬ ‫السيبراني>‬

‫إبالغ فريق الخ‪BB‬دمات الس‪BB‬حابية (‪< Cloud‬اإلدارة المعني‪BBB‬ة إتاح‪BB‬ة نتيج‪BB‬ة المس‪BB‬ح اإلبالغ عن الثغ‪BBBBB‬رات <اإلدارة المعني‪BBB‬ة ب‪BBB‬األمن‬ ‫اإلبالغ عن‬ ‫‪2-8‬‬
‫الثغرات األمني‪B‬ة ‪ )Service Team‬ب‪BB‬الثغرات المح‪BB‬ددة ب‪BBBBBBBBBBBBBBBBBB‬األمن على المس‪BBBBBBBBBBBB‬تودع في الخدمات السحابية السيبراني>‬
‫المركزي‬ ‫التي قد تؤثر عليه ووض‪BB‬ع ت‪B‬دابير الحماي‪B‬ة السيبراني>‬ ‫السحابية‬
‫المطلوبة‪.‬‬

‫مراقب‪BBBBBBBB‬ة أداء قي‪BB‬اس مؤش‪BB‬رات األداء الرئيس‪BB‬ية لض‪BB‬مان <اإلدارة المعني‪BBB‬ة تقري‪BB‬ر مس‪BB‬ح الثغ‪BB‬رات تقرير مؤش‪BB‬رات األداء <اإلدارة المعني‪BBB‬ة ب‪BBB‬األمن‬ ‫‪2-9‬‬
‫السيبراني>‬ ‫الرئيسية‬ ‫التحسين المستمر إلدارة الثغرات األمنية‪ .‬ب‪BBBBBBBBBBBBBBBBBB‬األمن األمنية‬ ‫العمليات‬
‫السيبراني>‬

‫‪2-10‬‬
‫نموذج إجراء تقييم الثغرات األمنية‬

‫المرحلة الثالثة‪ :‬معالجة الثغرات األمنية‬

 ‫نموذج إجراء تقييم الثغرات األمنية‬

‫رقم‬
‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك‪/‬المسؤول‬ ‫الوصف‬ ‫المهمة‬
‫التعريف‬

‫<اإلدارة المعني‪BBBBBBB‬ة تقري‪BBBBBB‬ر مس‪BBBBBB‬ح التحق‪BBB‬ق من النت‪BBB‬ائج <اإلدارة المعني‪BBBBBBB‬ة‬ ‫التحق‪BBBBB‬ق من التحقق من نتائج مسح الثغرات األمنية‪.‬‬ ‫‪3-1‬‬
‫باألمن السيبراني>‬ ‫النهائية‬ ‫باألمن السيبراني> الثغرات األمنية‬ ‫نتائج المسح‬

‫<اإلدارة المعني‪BBBBBBB‬ة التحق‪BB‬ق من النت‪BB‬ائج إض‪BBBB‬افة التنبيه‪BBBB‬ات <اإلدارة المعني‪BBBBBBB‬ة‬ ‫تحديث قائم‪BB‬ة إضافة التنبيهات الكاذبة إلى قائمة االستثناءات‪.‬‬ ‫‪3-2‬‬
‫الكاذب‪BBBB‬ة إلى قائم‪BBBB‬ة ب‪BB‬األمن الس‪BB‬يبراني>‬ ‫باألمن السيبراني> النهائية‬ ‫االستثناءات‬
‫<اإلدارة المعني‪BBBBBBB‬ة‬ ‫االستثناءات‪.‬‬
‫بتقنية المعلومات>‬

‫إج‪BB‬راء تق‪BB‬ييم تحليل الثغرات األمنية والمخاطر المرتبط‪BB‬ة به‪BB‬ا بن‪BB‬اًء <اإلدارة المعني‪BBBBBBB‬ة التحق‪BB‬ق من النت‪BB‬ائج تحلي‪BBBBB‬ل الثغ‪BBBBB‬رات <اإلدارة المعني‪BBBBBBB‬ة‬ ‫‪3-3‬‬
‫باألمن السيبراني>‬ ‫األمنية والمخاطر‬ ‫باألمن السيبراني> النهائية‬ ‫على سياسة إدارة المخاطر لدى <اسم الجهة>‪.‬‬ ‫المخاطر‬

‫تحديث س‪BB‬جل توثي‪BB‬ق جمي‪BB‬ع الثغ‪BB‬رات المح‪BB‬ددة في س‪BB‬جل الثغ‪BB‬رات <اإلدارة المعني‪BBBBBBB‬ة تحلي‪BBBB‬ل الثغ‪BBBB‬رات س‪BBBBBB‬جل الثغ‪BBBBBB‬رات <اإلدارة المعني‪BBBBBBB‬ة‬ ‫‪3-4‬‬
‫باألمن السيبراني>‬ ‫باألمن السيبراني> األمنية والمخاطر األمنية المحّدث‬ ‫الثغ‪BBBBBBBBB‬رات األمنية الخاص ب<اسم الجهة>‪.‬‬
‫األمنية‬

‫التخطي‪BBBBBBBB‬ط تحديد اإلجراءات التصحيحية لكل ثغرة أمني‪B‬ة مح‪B‬ددة <اإلدارة المعني‪BBBBBBB‬ة س‪BBBB‬جل الثغ‪BBBB‬رات خطة العمل المح‪BB‬ددة <اإلدارة المعني‪BBBBBBB‬ة‬ ‫‪3-5‬‬
‫لتق‪BBBBBB‬ييم الثغ‪BBBBBB‬رات باألمن السيبراني>‬ ‫باألمن السيبراني> األمنية المحّدث‬ ‫بناًء على مستوى خطورتها‪.‬‬ ‫للمعالجة‬
‫األمنية‬

‫تحديث قائم‪BB‬ة إضافة الثغرات ذات المستوى المقب‪BB‬ول من المخ‪BB‬اطر <اإلدارة المعني‪BBBBBBB‬ة س‪BBBB‬جل الثغ‪BBBB‬رات قائم‪BBB‬ة االس‪BBB‬تثناءات <اإلدارة المعني‪BBBBBBB‬ة‬ ‫‪3-6‬‬
‫باألمن السيبراني>‬ ‫المحّدثة‬ ‫باألمن السيبراني> األمنية المحّدث‬ ‫االستثناءات إلى قائمة االستثناءات‪.‬‬
 ‫نموذج إجراء تقييم الثغرات األمنية‬

‫رقم‬
‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك‪/‬المسؤول‬ ‫الوصف‬ ‫المهمة‬
‫التعريف‬

‫تنفي‪BB‬ذ اإلج‪BB‬راءات التص‪BB‬حيحية وفًق ا لسياس‪BB‬ة ومعي‪BB‬ار <اإلدارة المعني‪BBBBBBB‬ة خط‪BBBBBB‬ة العم‪BBBBBB‬ل تنفي‪BBBB‬ذ اإلج‪BBBB‬راءات <اإلدارة المعني‪BBBBBBB‬ة‬ ‫المعالجة‬ ‫‪3-7‬‬
‫ب‪BB‬األمن الس‪BB‬يبراني>‬ ‫بتقنية المعلومات> المح‪BBBBB‬ددة لتق‪BBBBB‬ييم التصحيحية‬ ‫إدارة التحديثات واإلصالحات لدى <اسم الجهة>‪.‬‬
‫<اإلدارة المعني‪BBBBBBB‬ة‬ ‫الثغرات األمنية‬
‫بتقنية المعلومات>‬

‫معالج‪BBBBBBBBBBB‬ة معالجة الثغرات األمنية الحرجة المكتشفة ح‪BB‬ديًث ا ذات <اإلدارة المعني‪BBBBBBB‬ة خط‪BBBBBB‬ة العم‪BBBBBB‬ل تنفي‪BBBB‬ذ اإلج‪BBBB‬راءات <اإلدارة المعني‪BBBBBBB‬ة‬ ‫‪3-8‬‬
‫ب‪BB‬األمن الس‪BB‬يبراني>‬ ‫أجه‪BBBBBBBBBBBB‬زة المخ‪BB‬اطر الكب‪BB‬يرة على بيئ‪BB‬ة أجه‪BB‬زة وأنظم‪BB‬ة التحكم بتقنية المعلومات> المح‪BBBBB‬ددة لتق‪BBBBB‬ييم التصحيحية‬
‫<اإلدارة المعني‪BBBBBBB‬ة‬ ‫الثغرات األمنية‬ ‫وأنظم‪BBBBBBBBBB‬ة الصناعي (‪ )OT/ICS‬بطريقة آمنة‪.‬‬
‫بتقنية المعلومات>‬ ‫التحكم‬
‫الص‪BBBB‬ناعي (‬
‫‪)OT/ICS‬‬

‫<اإلدارة المعني‪BBBBBBB‬ة‬ ‫التحق‪BBBBB‬ق من التحق‪BB‬ق من نج‪BB‬اح تنفي‪BB‬ذ اإلج‪BB‬راءات التص‪BB‬حيحية من <اإلدارة المعني‪BBBBBBB‬ة تنفي‪BBB‬ذ اإلج‪BBB‬راءات التحقق من التنفيذ‬ ‫‪3-9‬‬
‫ب‪BB‬األمن الس‪BB‬يبراني>‬ ‫خالل إج‪BB‬راء مس‪BB‬ح للثغ‪BB‬رات األمني‪BB‬ة على األص‪BB‬ول باألمن السيبراني> التصحيحية‬ ‫المعالجة‬
‫<اإلدارة المعني‪BBBBBBB‬ة‬ ‫ذات الصلة‪.‬‬
‫بتقنية المعلومات>‬

‫اإلبالغ بنتيجة التنفيذ <اإلدارة المعني‪BBBBBBB‬ة‬ ‫اإلش‪BBBBBBBBB‬عار إخط‪BB‬ار اإلدارة بسياس‪BB‬ة أمن المحت‪BB‬وى (‪< Content‬اإلدارة المعني‪BBBBBBB‬ة التحقق من التنفيذ‬ ‫‪3-10‬‬
‫باألمن السيبراني>‬ ‫بسياس‪BBBB‬ة أمن ‪ )Security Policy‬وباتخ‪BB‬اذ ت‪BB‬دابير الحماي‪BB‬ة من باألمن السيبراني>‬
 ‫نموذج إجراء تقييم الثغرات األمنية‬

‫رقم‬
‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك‪/‬المسؤول‬ ‫الوصف‬ ‫المهمة‬
‫التعريف‬

‫الثغرات األمنية السحابية‪.‬‬ ‫المحتوى‬

‫تقري‪BBBB‬ر مؤش‪BBBB‬رات <اإلدارة المعني‪BBBBBBB‬ة‬ ‫إع‪BBBBBBBBBBBBB‬داد قي‪BB‬اس مؤش‪BB‬رات األداء الرئيس‪BB‬ية المح‪BB‬ددة في قس‪BB‬م <اإلدارة المعني‪BBBBBBB‬ة التحقق من التنفيذ‬ ‫‪3-11‬‬
‫باألمن السيبراني>‬ ‫األداء الرئيسية‬ ‫التق‪BBB‬ارير عن مؤشرات األداء الرئيسية من الوثيقة لضمان التحسين باألمن السيبراني>‬
‫مؤش‪BBBBBBBB‬رات المستمر إلدارة الثغرات األمنية‪.‬‬
‫األداء‬
‫الرئيسية‬

‫إع‪BBBBBBBBBBBBB‬داد رفع تقارير منتظمة إلى اإلدارة العليا ل<اسم الجهة> <اإلدارة المعني‪BBBBBBB‬ة تقري‪BBB‬ر مؤش‪BBB‬رات رفع تق‪BB‬ارير منتظم‪BB‬ة <اإلدارة المعني‪BBBBBBB‬ة‬ ‫‪3-12‬‬
‫باألمن السيبراني>‬ ‫إلى اإلدارة العليا‬ ‫عن الثغرات األمنية والمخاطر المرتبطة بها كما ه‪BB‬و باألمن السيبراني> األداء الرئيسية‬ ‫التقارير‬
‫موضح في سياسة إدارة المخاطر لدى <اسم الجهة>‬
‫‪.‬‬
 ‫نموذج إجراء تقييم الثغرات األمنية‬

‫المرحلة الرابعة‪ :‬المعلومات االستباقية عن التهديدات‬

‫رقم‬
‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك‪/‬المسؤول‬ ‫الوصف‬ ‫المهمة‬
‫التعريف‬

‫التحق‪BBBBB‬ق من المراجعة اليومية للثغرات الفني‪BB‬ة المحتمل‪BB‬ة الص‪BB‬ادرة <اإلدارة المعني‪BBBBBBB‬ة المعلوم‪BBBBBBBB‬ات من التحق‪BB‬ق من النت‪BB‬ائج <اإلدارة المعني‪BBBBBBBBBB‬ة‬ ‫‪4-1‬‬
‫باألمن السيبراني>‬ ‫باألمن السيبراني> المصادر الموثوقة النهائية‬ ‫المعلوم‪BBBBBB‬ات عن المصادر الموثوقة المصرح بها‪.‬‬
‫عن التهديدات‬
 ‫نموذج إجراء تقييم الثغرات األمنية‬

‫رقم‬
‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك‪/‬المسؤول‬ ‫الوصف‬ ‫المهمة‬
‫التعريف‬

‫إج‪BB‬راء تق‪BB‬ييم تحليل الثغرات األمنية والمخاطر المرتبطة به‪BB‬ا بن‪BB‬اًء <اإلدارة المعني‪BBBBBBB‬ة التحق‪BB‬ق من النت‪BB‬ائج تحلي‪BBBB‬ل الثغ‪BBBB‬رات <اإلدارة المعني‪BBBBBBBBBB‬ة‬ ‫‪4-2‬‬
‫األمنية والمخاطر باألمن السيبراني>‬ ‫باألمن السيبراني> النهائية‬ ‫على سياسة إدارة المخاطر لدى <اسم الجهة>‪.‬‬ ‫المخاطر‬

‫تحديث س‪BB‬جل توثي‪BB‬ق جمي‪BB‬ع الثغ‪BB‬رات المح‪BB‬ددة في س‪BB‬جل الثغ‪BB‬رات <اإلدارة المعني‪BBBBBBB‬ة تحلي‪BBBB‬ل الثغ‪BBBB‬رات س‪BBBB‬جل الثغ‪BBBB‬رات <اإلدارة المعني‪BBBBBBBBBB‬ة‬ ‫‪4-3‬‬
‫باألمن السيبراني>‬ ‫باألمن السيبراني> األمنية والمخاطر األمنية المحّدث‬ ‫الثغ‪BBBBBBBBB‬رات األمنية الخاص ب<اسم الجهة>‪.‬‬
‫األمنية‬

‫التخطي‪BBBBBBBB‬ط ‍تحديد اإلجراءات التصحيحية لكل ثغرة أمنية مح‪BB‬ددة <اإلدارة المعني‪BBBBBBB‬ة س‪BBBB‬جل الثغ‪BBBB‬رات خط‪BBBBBB‬ة العم‪BBBBBB‬ل <اإلدارة المعني‪BBBBBBBBBB‬ة‬ ‫‪4-4‬‬
‫المح‪BBBBB‬ددة لتق‪BBBBB‬ييم باألمن السيبراني>‬ ‫باألمن السيبراني> األمنية المحّدث‬ ‫بناًء على مستوى خطورتها‪.‬‬ ‫للمعالجة‬
‫الثغرات األمنية‬

‫تنفي‪BBB‬ذ اإلج‪BBB‬راءات التص‪BBB‬حيحية بن‪BBB‬اًء على سياس‪BBB‬ة <اإلدارة المعني‪BBBBBBB‬ة خط‪BBBBBB‬ة العم‪BBBBBB‬ل تنفي‪BBB‬ذ اإلج‪BBB‬راءات <اإلدارة المعنية بتقنية‬ ‫المعالجة‬ ‫‪4-5‬‬
‫المعلومات>‬ ‫المح‪BBBBB‬ددة لتق‪BBBBB‬ييم التصحيحية‬ ‫ومعي‪BB‬ار إدارة التح‪BB‬ديثات واإلص‪BB‬الحات ل‪BB‬دى <اس‪BB‬م بتقنية المعلومات>‬
‫الثغرات األمنية‬ ‫الجهة>‪.‬‬
 ‫نموذج إجراء تقييم الثغرات األمنية‬
‫‪RESTRICTED‬‬

‫األدوار والمسؤوليات‬
‫مالك اإلجراء‪< :‬رئيس اإلدارة المعنية باألمن السيبراني>‬ ‫‪-1‬‬
‫مراجعة اإلجراء وتحديثه‪< :‬اإلدارة المعنية باألمن السيبراني>‬ ‫‪-2‬‬
‫تنفيذ اإلجراء وتطبيقه‪< :‬اإلدارة المعنية بتقنية المعلومات>‬ ‫‪-3‬‬
‫قياس االلتزام باإلجراء‪< :‬اإلدارة المعنية باألمن السيبراني>‬ ‫‪-4‬‬

‫التحديث والمراجعة‬
‫يجب على <اإلدارة المعني‪BB‬ة ب‪BB‬األمن الس‪BB‬يبراني> مراجع‪BB‬ة اإلج‪BB‬راء م‪BB‬رة س‪BB‬نوًيا على األق‪BB‬ل أو في ح‪BB‬ال‬
‫حدوث أي تغييرات في السياسات أو اإلجراءات التنظيمية في <اسم الجهة> أو المتطلب‪BB‬ات التش‪BB‬ريعية والتنظيمي‪BB‬ة‬
‫ذات العالقة‪.‬‬

‫االلتزام باإلجراء‬
‫يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذا اإلجراء دورًيا‪.‬‬ ‫‪-1‬‬
‫يطبق هذا اإلجراء على جميع أنظمة وخوادم <اسم الجهة> وعلى جميع العاملين (الم‪BB‬وظفين والمتعاق‪BB‬دين)‬ ‫‪-2‬‬
‫في <اسم الجهة>‪.‬‬
‫قد يعّر ض أي انتهاك لهذا اإلجراء صاحب المخالفة إلى إجراء تأديبي حسب اإلجراءات المتبعة في <اس‪BB‬م‬ ‫‪-3‬‬
‫الجهة>‪.‬‬