Professional Documents
Culture Documents
PROCEDURE Vulnerability-Management-Procedure Template Ar v0.4
PROCEDURE Vulnerability-Management-Procedure Template Ar v0.4
إخالء المسؤولية
ُط ّو ر هذا النموذج عن طريق الهيئة الوطنية لألمن السBBيبراني كمثBBال توضBBيحي يمكن اسBBتخدامه كBBدليل
ومرجع للجهات .يجب أن يتم تعديل هBذا النمBوذج ومواءمتBه مBع أعمBال <اسBم الجهBة> والمتطلبBات التشBريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويضBBه.وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
نموذج إجراء تقييم الثغ
اعتماد الوثيقة
نسخ الوثيقة
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
نموذج إجراء تقييم الثغ
قائمة المحتويات
الغرض 4..........................................................................................................................................
نطاق العمل4.....................................................................................................................................
لمحة عامة عن عملية إدارة الثغرات األمنية4..............................................................................................
المرحلة األولى :إعداد تقييم الثغرات األمنية 6....................................................................................
المرحلة الثانية :إجراء تقييم الثغرات األمنية 11..................................................................................
المرحلة الثالثة :معالجة الثغرات األمنية 14.......................................................................................
المرحلة الرابعة :المعلومات االستباقية عن التهديدات 18........................................................................
األدوار والمسؤوليات20........................................................................................................................
التحديث والمراجعة20..........................................................................................................................
االلتزام باإلجراء20.............................................................................................................................
نموذج إجراء تقييم الثغ
الغرض
يهدف هذا اإلجراء إلى تحديد متطلبات األمن السيبراني التفصيلية المعمول بها لتقBBييم الثغBBرات األمنيBBة
وذلك لحماية أصول تقنيات المعلومات لدى <اسم الجهة> من التهديدات والثغرات األمنية السيبرانية.
تمت مواءمة هذا اإلجراء مع متطلبات األمن السيبراني الصادرة من الهيئة الوطنيBBة لألمن السBBيبراني،
بمBBا في ذلBBك الضBBوابط األساسBBية لألمن السBBيبراني ( ،)ECC-1:2018وضBBوابط األمن السBBيبراني للبيانBBات (
،)DCC-1:2022وضBBBوابط األمن السBBBيبراني لألنظمBBBة الحساسBBBة ( ،)CSCC-1:2019وضBBBوابط األمن
السBBيبراني للحوسBBبة السBBحابية ( )CCC-1:2020على سBBبيل المثBBال ال الحصBBر وغيرهBBا من متطلبBBات األمن
السيبراني التنظيمية والتشريعية ذات العالقة.
نطاق العمل
ُيطبق هذا اإلجراء على جميع أصBBول تقنيBة المعلومBBات الخاصBBة ب<اسBBم الجهBBة> وُيطبBق على جميBع
العاملين (الموظفين والمتعاقدين) في <اسم الجهة>.
رقم
األطراف المعنية الُمخرجات الُمدخالت المالك/المسؤول الوصف الخطوة
التعريف
<اإلدارة المعنية باألمن تسمية مالك العملية معايير اختيار مالك <اإلدارة المعنية تحديد مالك العملية الذي سيتولى مسؤولية تحديد مالك العملية 1-1
السيبراني> المكلف بها باألمن السيبراني> العملية تنفيذ وإدارة برنامج إدارة الثغرات األمنية
لدى <اسم الجهة>.
األصول المحددة ضمن <اإلدارة المعنية باألمن سجل األصول <اإلدارة المعنية تحديد جميع األصول التي تندرج ضمن تحديد األصول 1-2
السيبراني> نطاق إدارة الثغرات باألمن السيبراني> المعلوماتية والتقنية نطاق إدارة الثغرات األمنية .ويتم توثيق
األمنية األجهزة والبرمجيات المصرح بها في
<اإلدارة المعنية بتقنية
سياسة ومعيار إدارة األصول المعلوماتية
المعلومات>
لدى <اسم الجهة>.
<جميع اإلدارات في األصول المحددة ضمن التحقق من مدى <اإلدارة المعنية تحديد مدى حساسية التحقق من مدى حساسية جميع األصول 1-3
الجهة> حساسية األصول باألمن السيبراني> نطاق إدارة الثغرات التي تندرج ضمن نطاق إدارة الثغرات األصول بالنسبة
بالنسبة لألعمال األمنية بالنسبة لألعمال. لألعمال
<اإلدارة المعنية باألمن تحديد مالك أصول التحقق من مدى <اإلدارة المعنية تحديد مالك أصول األعمال واألنظمة تحديد مالك 1-4
السيبراني> األعمال واألنظمة باألمن السيبراني> حساسية األصول المسؤولين عن معالجة الثغرات األمنية األصول
بالنسبة لألعمال المحددة بناًء على مؤشرات األداء الرئيسية
المتفق عليها على النحو الموضح في
مؤشرات األداء الرئيسية إلدارة الثغرات
األمنية لدى <اسم الجهة>.
<اإلدارة المعنية باألمن األطراف المعنية تحديد مالك أصول <اإلدارة المعنية توثيق األطراف المعنية المحددة في عملية تحديد األطراف 1-5
السيبراني> الموثقة باألمن السيبراني> األعمال واألنظمة إدارة الثغرات لدى <اسم الجهة>. المعنية
نموذج إجراء تقييم الثغرات األمنية
رقم
األطراف المعنية الُمخرجات الُمدخالت المالك/المسؤول الوصف الخطوة
التعريف
استخدام أداة مسح الثغرات األمنية المناسبة <اإلدارة المعنيBBBBة التصBBBBميم التفصBBBBيلي تطBBBBبيق حBBBBل مسBBBBح <اإلدارة المعنية باألمن استخدام أداة المسح 1-6
السيبراني> الثغرات األمنية للبنية التحتية لشBBبكة <اسBBم الجهBBة> ،حBBتى باألمن السيبراني> للحل
يمكنها مسBح جميBع األصBول ضBمن نطBاق
<اإلدارة المعنية بتقنيBBة
إدارة الثغرات األمنية.
المعلومات>
اختيار منهجية المسBBح المناسBBبة ،وذلBBك من <اإلدارة المعنيBBBBة التصBBBBميم التفصBBBBيلي اختيBBار منهجيBBة المسBBح <اإلدارة المعنية باألمن اختيار المنهجية 1-7
لألصBBBBBول الحساسBBBBBة السيبراني> خالل إجراء عملية مسح مصّدق عليهBBا إمBBا باألمن السيبراني> للحل
المحددة باستخدام منهجية المسح القBBائم على بيانBBات
<اإلدارة المعنية بتقنيBBة
المعلومات> االعتمBBBاد أو منهجيBBBة المسBBBح المحلي (في
حالة عدم مالءمة المسح غير المعتمد وعدم
إمكانية استخدام المسح المعتمد بسبب القيود
الفنيBBBة أو غيرهBBBا من القيBBBود) ،بالنسBBBBبة
لألصول الحساسة المحددة.
إعداد المسBBح القBBائم إنشاء الحسابات المستخدمة في المسح القائم <اإلدارة المعنيBBBBة اختيBBار منهجيBBة المسBBح قائمBBBBBBBة باألصBBBBBBBول <اإلدارة المعنية باألمن 1-8
على بيانBBBBBBBBBBBBBات على بيانBBات االعتمBBاد باتبBBاع سياسBBة إدارة بتقنية المعلومات> لألصBBBBBول الحساسBBBBBة الحساسBBBة الBBBتي يمكن السيبراني>
الوصBBBBBول إليهBBBBBا من المحددة الصالحيات الهامBBة والحساسBBة لBBدى <اسBBم االعتماد
<اإلدارة المعنية بتقنيBBة
خالل المسح القائم على المعلومات> الجهة>.
بيانات االعتماد
إجBراء المسBح القBائم على بيانBات االعتمBاد <اإلدارة المعنيBBBBة الحساب المنشBBأ للمسBBح قائمBBBBBBة بالتحBBBBBBديثات <اإلدارة المعنية باألمن إجراء المسح القائم 1-9
االختباري (والمعروف أيًض ا باسم "المسBBح بتقنية المعلومات> القBBBBBائم على بيانBBBBBات واإلصالحات المطلوبة السيبراني> على بيانات
االعتمBBBBBاد لألصBBBBBول المصّBBBدق عليBBBه") لتقBBBديم قائمBBBة نهائيBBBة االعتماد
نموذج إجراء تقييم الثغرات األمنية
رقم
األطراف المعنية الُمخرجات الُمدخالت المالك/المسؤول الوصف الخطوة
التعريف
<اإلدارة المعنية بتقنيBBة واإلعدادات الخاطئة الحساسة المحددة بالتحBBBBBديثات واإلصBBBBBالحات المطلوبBBBBBة
المعلومات> واإلعBBBدادات الخاطئBBBة ،وذلBBBك باسBBBتخدام
بيانBBBات االعتمBBBاد لتسBBBجيل الBBBدخول إلى
األنظمة والتطبيقات.
تنفيذ المسح المحلي (باستخدام برامج خفيفة <اإلدارة المعنيBBBBة اختيBBار منهجيBBة المسBBح قائمBBBBBBBة باألصBBBBBBBول <اإلدارة المعنية باألمن إعداد المسح 1-10
ذات بصBBمة رقميBBة بسBBيطة) على األجهBBزة بتقنية المعلومات> لألصBBBBBول الحساسBBBBBة الحساسBBBة ،مBBBع تنفيBBBذ السيبراني> المحلي
المسح المحلي المحددة المضيفة.
<اإلدارة المعنية بتقنيBBة
المعلومات>
قائمBBBBBBة بالتحBBBBBBديثات <اإلدارة المعنية باألمن إجBBراء المسBBBح المحلي االختبBBاري لجمBBBع <اإلدارة المعنيBBBBة تنفيذ المسح المحلي إجراء المسح 1-11
واإلصالحات المطلوبة السيبراني> البيانBBBات عن الثغBBBرات األمنيBBBة وااللBBBتزام بتقنية المعلومات> المحلي
واإلعدادات الخاطئة واألنظمة ،ورفع تلك المعلومات على خBBادم
<اإلدارة المعنية بتقنيBBة
المعلومات> المسح المركزي لتحليلها.
<اإلدارة المعنية بتقنيBBة تهيئة األصول الجديدة ضBBBمان تهيئBBBة األصBBBول الجديBBBدة ضBBBمن <اإلدارة المعنيBBBBة سجل األصول المحّدث تهيئة األصول 1-12
المعلومات> برنBBامج إدارة الثغBBرات األمنيBBة في الBBوقت باألمن السيبراني> الجديدة
المناسب ،بتنفيذ العمليات الضرورية.
<اإلدارة المعنيBBBBة اختيBBار منهجيBBة المسBBح التحقق من عدم تBBداخل <اإلدارة المعنية باألمن التأكد من عدم تداخل مسح الثغرات األمنية تحديد المدة الزمنية 1-13
بتقنية المعلومات> لألصBBBBBول الحساسBBBBBة المسBBBح مBBBع األنشBBBطة السBBBBيبراني> <اإلدارة مع أي أنشطة أخرى مجدولة ،مثل النسخ
المعنيBBBBBBBBة بتقنيBBBBBBBBة األخرى المحددة االحتياطي والصيانة المجدولة وما إلى
المعلومات>
ذلك.
نموذج إجراء تقييم الثغرات األمنية
رقم
األطراف المعنية الُمخرجات الُمدخالت المالك/المسؤول الوصف الخطوة
التعريف
<اإلدارة المعنيBBBBة اختيBBار منهجيBBة المسBBح تحديBBBد وتBBBيرة مسBBBح <اإلدارة المعنية باألمن تحديد وتيرة مسح الثغرات األمنية على تحديد وتيرة المسح 1-14
السيبراني> باألمن السيبراني> لألصBBBBBول الحساسBBBBBة الثغرات األمنية النحو المبّين في سياسة ومعيار إدارة
المحددة الثغرات األمنية لدى <اسم الجهة>.
<اإلدارة المعنيBBBBة اختيBBار منهجيBBة المسBBح موقBBع مركBBزي لحفBBظ <اإلدارة المعنية باألمن إنشاء موقع مركزي لحفظ تقارير مسح إنشاء مستودع 1-15
السيبراني> بتقنية المعلومات> لألصBBBBBول الحساسBBBBBة التقارير الثغرات األمنية وسجل الثغرات الخاص للتقارير
المحددة ب<اسم الجهة>.
<اإلدارة المعنية بتقنيBBة
المعلومات>
<اإلدارة المعنيBBBBة قائمBBBBBBة بBBBBBBالموظفين نمBBBBBوذج صBBBBBالحيات <اإلدارة المعنية باألمن ضمان عدم منح صالحية الوصول إلى منح صالحية 1-16
باألمن السيبراني> بصالحية الوصول إلى الوصول إلى المستودع السيبراني> هذا الموقع المركزي إال للموظفين على الوصول إلى
المركBBBBBBزي بحسBBBBBBب الموقع المركزي أساس الحاجة المشروعة إلى المعرفة كما المستودع
<اإلدارة المعنية بتقنيBBة
المعلومات> األدوار هو موضح في سياسة إدارة الثغرات
األمنية لدى <اسم الجهة>.
نموذج إجراء تقييم الثغرات األمنية
رقم
األطراف المعنية الُمخرجات الُمدخالت المالك/المسؤول الوصف الخطوة
التعريف
إجراء مسح الثغرات األمنية كما هو موثق <اإلدارة المعنيBBBة سBBBBBجل التغيBBBBBيرات تقريBBر مسBBح الثغBBرات <اإلدارة المعنيBBBة بBBBاألمن إجراء المسح 2-1
السBBBBBBBBBيبراني> <اإلدارة األمنية بتقنيBBBBBBBBBBBBBBBBBBBBة المعتمد في سجل التغييرات المعتمد.
المعنية بتقنية المعلومات> المعلومات>
مراقبBBة أداء كٍّBBل من بيئBBة مسBBح الثغBBرات <اإلدارة المعنيBBBة تحديBBBBBBد األصBBBBBBول األصول المتأثرة سBBلبًيا <اإلدارة المعنيBBBة بBBBاألمن مراقبة األداء 2-2
السيبراني> األمنية واألصBول الجBاري مسBحها طBوال بتقنيBBBBBBBBBBBBBBBBBBBBة الحساسة ضمن نطBBاق بالمسح
مسح الثغرات األمنية المعلومات> مدة المسح.
<اإلدارة المعنيBBBة بتقنيBBBة
المعلومات>
االتصاالت أثناء إبالغ األطراف المعنيBBة ذات العالقBBة بBBأي <اإلدارة المعنيBBBة األصول المتأثرة سلبًيا إبالغ األطراف المعنية <جميBBBBBBBBBع اإلدارات في 2-3
الجهة> بالمشكلة مشBBBBكلة على النحBBBBو المBBBBبين في سBBBBجل بBBBBBBBBBBBBBBBBBBاألمن بالمسح المسح
السيبراني> التغييرات.
التحقBBBBBBBBBق من التحقق من مسح جميع األصول المشBBمولة <اإلدارة المعنيBBBة تقريBBر مسBBح الثغBBرات قائمة باألصول التي لم <اإلدارة المعنيBBBة بBBBاألمن 2-4
ضمن نطاق إدارة الثغرات األمنية بنجاح .بBBBBBBBBBBBBBBBBBBاألمن األمنيBBBBBBBة ،سBBBBBBBجل يتم مسحها خالل مسBBح السيبراني> تغطية المسح
الثغرات األمنية األصول السيبراني>
<اإلدارة المعنيBBBة بتقنيBBBة
المعلومات>
التحقيBBBBBBBBق في التحقيBBBBBBBق في أي اختالف في الBBBBBBBوقت <اإلدارة المعنيBBBة قائمBBة باألصBBول الBBتي التحقيق في االختالفات <اإلدارة المعنيBBBة بBBBاألمن 2-5
نموذج إجراء تقييم الثغرات األمنية
رقم
األطراف المعنية الُمخرجات الُمدخالت المالك/المسؤول الوصف الخطوة
التعريف
السيبراني> المناسBBBBب بنBBBBاًء على مؤشBBBBرات األداء بBBBBBBBBBBBBBBBBBBاألمن لم يتم مسBBBBBحها خالل االختالفات
مسح الثغرات األمنية السيبراني> الرئيسية المتفق عليها.
<اإلدارة المعنيBBBة بBBBاألمن تكرار مسح الثغرات األمنية على األصول <اإلدارة المعنيBBBة قائمBBة باألصBBول الBBتي المسح الُمكّر ر تكرار المسح 2-6
السBBBBBBBBBيبراني> <اإلدارة في حالBBBة فشBBBل المسBBBح خالل المحاولBBBة بBBBBBBBBBBBBBBBBBBاألمن لم يتم مسBBBBBحها خالل
المعنية بتقنية المعلومات> مسح الثغرات األمنية السيبراني> السابقة.
إبالغ األطBBراف المعنيBBة بالنتيجBBة النهائيBBة <اإلدارة المعنيBBBة تقريBBر مسBBح الثغBBرات إتاحBBBة نتيجBBBة المسBBBح <اإلدارة المعنيBBBة بBBBاألمن اإلبالغ عن 2-7
على المسBBBBBBBBBBBBBتودع السيبراني> بBBBBBBBBBBBBBBBBBBاألمن األمنية للمسح. نتائج المسح
المركزي السيبراني>
إبالغ فريق الخBBدمات السBBحابية (< Cloudاإلدارة المعنيBBBة إتاحBBة نتيجBBة المسBBح اإلبالغ عن الثغBBBBBرات <اإلدارة المعنيBBBة بBBBاألمن اإلبالغ عن 2-8
الثغرات األمنيBة )Service TeamبBBالثغرات المحBBددة بBBBBBBBBBBBBBBBBBBاألمن على المسBBBBBBBBBBBBتودع في الخدمات السحابية السيبراني>
المركزي التي قد تؤثر عليه ووضBBع تBدابير الحمايBة السيبراني> السحابية
المطلوبة.
مراقبBBBBBBBBة أداء قيBBاس مؤشBBرات األداء الرئيسBBية لضBBمان <اإلدارة المعنيBBBة تقريBBر مسBBح الثغBBرات تقرير مؤشBBرات األداء <اإلدارة المعنيBBBة بBBBاألمن 2-9
السيبراني> الرئيسية التحسين المستمر إلدارة الثغرات األمنية .بBBBBBBBBBBBBBBBBBBاألمن األمنية العمليات
السيبراني>
2-10
نموذج إجراء تقييم الثغرات األمنية
رقم
األطراف المعنية الُمخرجات الُمدخالت المالك/المسؤول الوصف المهمة
التعريف
<اإلدارة المعنيBBBBBBBة تقريBBBBBBر مسBBBBBBح التحقBBBق من النتBBBائج <اإلدارة المعنيBBBBBBBة التحقBBBBBق من التحقق من نتائج مسح الثغرات األمنية. 3-1
باألمن السيبراني> النهائية باألمن السيبراني> الثغرات األمنية نتائج المسح
<اإلدارة المعنيBBBBBBBة التحقBBق من النتBBائج إضBBBBافة التنبيهBBBBات <اإلدارة المعنيBBBBBBBة تحديث قائمBBة إضافة التنبيهات الكاذبة إلى قائمة االستثناءات. 3-2
الكاذبBBBBة إلى قائمBBBBة بBBاألمن السBBيبراني> باألمن السيبراني> النهائية االستثناءات
<اإلدارة المعنيBBBBBBBة االستثناءات.
بتقنية المعلومات>
إجBBراء تقBBييم تحليل الثغرات األمنية والمخاطر المرتبطBBة بهBBا بنBBاًء <اإلدارة المعنيBBBBBBBة التحقBBق من النتBBائج تحليBBBBBل الثغBBBBBرات <اإلدارة المعنيBBBBBBBة 3-3
باألمن السيبراني> األمنية والمخاطر باألمن السيبراني> النهائية على سياسة إدارة المخاطر لدى <اسم الجهة>. المخاطر
تحديث سBBجل توثيBBق جميBBع الثغBBرات المحBBددة في سBBجل الثغBBرات <اإلدارة المعنيBBBBBBBة تحليBBBBل الثغBBBBرات سBBBBBBجل الثغBBBBBBرات <اإلدارة المعنيBBBBBBBة 3-4
باألمن السيبراني> باألمن السيبراني> األمنية والمخاطر األمنية المحّدث الثغBBBBBBBBBرات األمنية الخاص ب<اسم الجهة>.
األمنية
التخطيBBBBBBBBط تحديد اإلجراءات التصحيحية لكل ثغرة أمنيBة محBددة <اإلدارة المعنيBBBBBBBة سBBBBجل الثغBBBBرات خطة العمل المحBBددة <اإلدارة المعنيBBBBBBBة 3-5
لتقBBBBBBييم الثغBBBBBBرات باألمن السيبراني> باألمن السيبراني> األمنية المحّدث بناًء على مستوى خطورتها. للمعالجة
األمنية
تحديث قائمBBة إضافة الثغرات ذات المستوى المقبBBول من المخBBاطر <اإلدارة المعنيBBBBBBBة سBBBBجل الثغBBBBرات قائمBBBة االسBBBتثناءات <اإلدارة المعنيBBBBBBBة 3-6
باألمن السيبراني> المحّدثة باألمن السيبراني> األمنية المحّدث االستثناءات إلى قائمة االستثناءات.
نموذج إجراء تقييم الثغرات األمنية
رقم
األطراف المعنية الُمخرجات الُمدخالت المالك/المسؤول الوصف المهمة
التعريف
تنفيBBذ اإلجBBراءات التصBBحيحية وفًق ا لسياسBBة ومعيBBار <اإلدارة المعنيBBBBBBBة خطBBBBBBة العمBBBBBBل تنفيBBBBذ اإلجBBBBراءات <اإلدارة المعنيBBBBBBBة المعالجة 3-7
بBBاألمن السBBيبراني> بتقنية المعلومات> المحBBBBBددة لتقBBBBBييم التصحيحية إدارة التحديثات واإلصالحات لدى <اسم الجهة>.
<اإلدارة المعنيBBBBBBBة الثغرات األمنية
بتقنية المعلومات>
معالجBBBBBBBBBBBة معالجة الثغرات األمنية الحرجة المكتشفة حBBديًث ا ذات <اإلدارة المعنيBBBBBBBة خطBBBBBBة العمBBBBBBل تنفيBBBBذ اإلجBBBBراءات <اإلدارة المعنيBBBBBBBة 3-8
بBBاألمن السBBيبراني> أجهBBBBBBBBBBBBزة المخBBاطر الكبBBيرة على بيئBBة أجهBBزة وأنظمBBة التحكم بتقنية المعلومات> المحBBBBBددة لتقBBBBBييم التصحيحية
<اإلدارة المعنيBBBBBBBة الثغرات األمنية وأنظمBBBBBBBBBBة الصناعي ( )OT/ICSبطريقة آمنة.
بتقنية المعلومات> التحكم
الصBBBBناعي (
)OT/ICS
<اإلدارة المعنيBBBBBBBة التحقBBBBBق من التحقBBق من نجBBاح تنفيBBذ اإلجBBراءات التصBBحيحية من <اإلدارة المعنيBBBBBBBة تنفيBBBذ اإلجBBBراءات التحقق من التنفيذ 3-9
بBBاألمن السBBيبراني> خالل إجBBراء مسBBح للثغBBرات األمنيBBة على األصBBول باألمن السيبراني> التصحيحية المعالجة
<اإلدارة المعنيBBBBBBBة ذات الصلة.
بتقنية المعلومات>
اإلبالغ بنتيجة التنفيذ <اإلدارة المعنيBBBBBBBة اإلشBBBBBBBBBعار إخطBBار اإلدارة بسياسBBة أمن المحتBBوى (< Contentاإلدارة المعنيBBBBBBBة التحقق من التنفيذ 3-10
باألمن السيبراني> بسياسBBBBة أمن )Security PolicyوباتخBBاذ تBBدابير الحمايBBة من باألمن السيبراني>
نموذج إجراء تقييم الثغرات األمنية
رقم
األطراف المعنية الُمخرجات الُمدخالت المالك/المسؤول الوصف المهمة
التعريف
تقريBBBBر مؤشBBBBرات <اإلدارة المعنيBBBBBBBة إعBBBBBBBBBBBBBداد قيBBاس مؤشBBرات األداء الرئيسBBية المحBBددة في قسBBم <اإلدارة المعنيBBBBBBBة التحقق من التنفيذ 3-11
باألمن السيبراني> األداء الرئيسية التقBBBارير عن مؤشرات األداء الرئيسية من الوثيقة لضمان التحسين باألمن السيبراني>
مؤشBBBBBBBBرات المستمر إلدارة الثغرات األمنية.
األداء
الرئيسية
إعBBBBBBBBBBBBBداد رفع تقارير منتظمة إلى اإلدارة العليا ل<اسم الجهة> <اإلدارة المعنيBBBBBBBة تقريBBBر مؤشBBBرات رفع تقBBارير منتظمBBة <اإلدارة المعنيBBBBBBBة 3-12
باألمن السيبراني> إلى اإلدارة العليا عن الثغرات األمنية والمخاطر المرتبطة بها كما هBBو باألمن السيبراني> األداء الرئيسية التقارير
موضح في سياسة إدارة المخاطر لدى <اسم الجهة>
.
نموذج إجراء تقييم الثغرات األمنية
رقم
األطراف المعنية الُمخرجات الُمدخالت المالك/المسؤول الوصف المهمة
التعريف
التحقBBBBBق من المراجعة اليومية للثغرات الفنيBBة المحتملBBة الصBBادرة <اإلدارة المعنيBBBBBBBة المعلومBBBBBBBBات من التحقBBق من النتBBائج <اإلدارة المعنيBBBBBBBBBBة 4-1
باألمن السيبراني> باألمن السيبراني> المصادر الموثوقة النهائية المعلومBBBBBBات عن المصادر الموثوقة المصرح بها.
عن التهديدات
نموذج إجراء تقييم الثغرات األمنية
رقم
األطراف المعنية الُمخرجات الُمدخالت المالك/المسؤول الوصف المهمة
التعريف
إجBBراء تقBBييم تحليل الثغرات األمنية والمخاطر المرتبطة بهBBا بنBBاًء <اإلدارة المعنيBBBBBBBة التحقBBق من النتBBائج تحليBBBBل الثغBBBBرات <اإلدارة المعنيBBBBBBBBBBة 4-2
األمنية والمخاطر باألمن السيبراني> باألمن السيبراني> النهائية على سياسة إدارة المخاطر لدى <اسم الجهة>. المخاطر
تحديث سBBجل توثيBBق جميBBع الثغBBرات المحBBددة في سBBجل الثغBBرات <اإلدارة المعنيBBBBBBBة تحليBBBBل الثغBBBBرات سBBBBجل الثغBBBBرات <اإلدارة المعنيBBBBBBBBBBة 4-3
باألمن السيبراني> باألمن السيبراني> األمنية والمخاطر األمنية المحّدث الثغBBBBBBBBBرات األمنية الخاص ب<اسم الجهة>.
األمنية
التخطيBBBBBBBBط تحديد اإلجراءات التصحيحية لكل ثغرة أمنية محBBددة <اإلدارة المعنيBBBBBBBة سBBBBجل الثغBBBBرات خطBBBBBBة العمBBBBBBل <اإلدارة المعنيBBBBBBBBBBة 4-4
المحBBBBBددة لتقBBBBBييم باألمن السيبراني> باألمن السيبراني> األمنية المحّدث بناًء على مستوى خطورتها. للمعالجة
الثغرات األمنية
تنفيBBBذ اإلجBBBراءات التصBBBحيحية بنBBBاًء على سياسBBBة <اإلدارة المعنيBBBBBBBة خطBBBBBBة العمBBBBBBل تنفيBBBذ اإلجBBBراءات <اإلدارة المعنية بتقنية المعالجة 4-5
المعلومات> المحBBBBBددة لتقBBBBBييم التصحيحية ومعيBBار إدارة التحBBديثات واإلصBBالحات لBBدى <اسBBم بتقنية المعلومات>
الثغرات األمنية الجهة>.
نموذج إجراء تقييم الثغرات األمنية
RESTRICTED
األدوار والمسؤوليات
مالك اإلجراء< :رئيس اإلدارة المعنية باألمن السيبراني> -1
مراجعة اإلجراء وتحديثه< :اإلدارة المعنية باألمن السيبراني> -2
تنفيذ اإلجراء وتطبيقه< :اإلدارة المعنية بتقنية المعلومات> -3
قياس االلتزام باإلجراء< :اإلدارة المعنية باألمن السيبراني> -4
التحديث والمراجعة
يجب على <اإلدارة المعنيBBة بBBاألمن السBBيبراني> مراجعBBة اإلجBBراء مBBرة سBBنوًيا على األقBBل أو في حBBال
حدوث أي تغييرات في السياسات أو اإلجراءات التنظيمية في <اسم الجهة> أو المتطلبBBات التشBBريعية والتنظيميBBة
ذات العالقة.
االلتزام باإلجراء
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذا اإلجراء دورًيا. -1
يطبق هذا اإلجراء على جميع أنظمة وخوادم <اسم الجهة> وعلى جميع العاملين (المBBوظفين والمتعاقBBدين) -2
في <اسم الجهة>.
قد يعّر ض أي انتهاك لهذا اإلجراء صاحب المخالفة إلى إجراء تأديبي حسب اإلجراءات المتبعة في <اسBBم -3
الجهة>.