Professional Documents
Culture Documents
POLICY Data Cybersecurity Template Ar v0.3
POLICY Data Cybersecurity Template Ar v0.3
إخالء المسؤولية
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس@@يبراني كمث@@ال توض@@يحي يمكن اس@@تخدامه ك@@دليل
ومرجع للجهات .يجب أن يتم تعديل ه@ذا النم@وذج ومواءمت@ه م@ع أعم@ال <اس@م الجه@ة> والمتطلب@ات التش@ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض@@ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اختر التصنيف
اإلصدار <>1.0
1
نموذج سياسة األمن السيبراني للبيانات
اعتماد الوثيقة
نسخ الوثيقة
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اختر التصنيف
اإلصدار <>1.0
2
نموذج سياسة األمن السيبراني للبيانات
قائمة المحتويات
الغرض 4............................................................................................................................
نطاق السياسة 4.....................................................................................................................
بنود السياسة 4......................................................................................................................
األدوار والمسؤوليات 6.............................................................................................................
التحديث والمراجعة 7...............................................................................................................
االلتزام بالسياسة 7..................................................................................................................
اختر التصنيف
اإلصدار <>1.0
3
نموذج سياسة األمن السيبراني للبيانات
الغرض
الغ@@رض من ه@@ذه السياس@@ة ه@@و تحدي@@د متطلب@@ات األمن الس@@يبراني المتعلق@@ة ب@@األمن الس@@يبراني للبيان@@ات
الخاصة بـ<اسم الجه@ة> لتقلي@ل المخ@اطر الس@يبرانية الناتج@ة عن التهدي@دات الداخلي@ة والخارجي@ة وذل@ك لتحقي@ق
األهداف الرئيسية للحماية وهي :سرية المعلومات ،وسالمة أنظمة المعلومات ،وتوافرها.
تمت موائم@@ة ه@@ذه السياس@@ة م@@ع الض@@وابط والمع@@ايير الص@@ادرة من الهيئ@@ة الوطني@@ة لألمن الس@@يبراني
والمتطلبات التنظيمية والتشريعية ذات العالقة.
نطاق السياسة
تنطبق هذه السياسة على جميع البيانات التي تحتفظ به@@ا <اس@@م الجه@@ة> وتخزنه@@ا وتعالجه@@ا وتنقله@@ا من
خالل اًألصول المعلوماتية والتقنية ،وعلى جميع العاملين (الموظفين والمتعاقدين) في <اسم الجهة>.
بنود السياسة
البنود العامة -1
يجب أن تلتزم <اسم الجهة> بالمتطلبات التشريعية والتنظيمية المتعلقة بحماية البيانات في المملكة 1-1
العربية السعودية ،والسياسات واإلجراءات المتبعة في <اسم الجهة>.
يجب أن تحدد <اسم الجهة> وتحدث متطلبات األمن السيبراني للبيانات بشكل دورًيا. 1-2
يجب على <اس@م الجه@ة> ض@مان إدارة متطلب@ات األمن الس@يبراني للبيان@ات بكف@اءة وفًق ا لسياس@ة 1-3
األمن السيبراني في الموارد البشرية وسياسة إدارة األصول الخاصة ب<اسم الجهة>.
يجب أن تضمن <اسم الجهة> حماية األجهزة المحمولة وفًق ا لسياس@@ة أمن األجه@@زة المحمول@@ة في 1-4
<اسم الجهة>.
يجب أن تستخدم <اسم الجهة> تقنيات وحلول منع تسريب البيانات. 1-5
يحظر استخدام بيانات <اسم الجهة> في أي بيئة غير بيئة اإلنتاج ،إال بع@@د إج@@راء تق@@ييم للمخ@@اطر 1-6
وتطبيق الضوابط لحماية تلك البيانات ،مثل :تقنيات تعتيم البيانات ( )maskingأو تقني@@ات م@@زج
البيانات (.)data scrambling
يجب أن تحدد <اسم الجهة> التقني@@ات واألدوات واإلج@@راءات للتخلص من البيان@@ات بطريق@@ة آمن@@ة 1-7
حسب مستوى التصنيف.
يجب أن تعمل <اسم الجهة> على إعداد وتنفيذ استراتيجية للخروج لضمان وس@@ائل اإلتالف اآلمن 1-8
للبيانات عند إنهاء أو انتهاء سريان العقد مع مقدم الخدمة السحابية.
اختر التصنيف
اإلصدار <>1.0
4
نموذج سياسة األمن السيبراني للبيانات
يجب أن تضمن <اسم الجهة> االستخدام المناسب والفعال لتقنيات التشفير لحماية بيانات <اسم 1-9
الجهة> وفًق ا لسياسة ومعايير التشفير في <اسم الجهة> والمتطلبات التشريعية والتنظيمية ذات
العالقة.
يجب على <اسم الجهة> تحديد األدوار والمسؤوليات لألمن السيبراني لضمان ان البيانات متوافقة 1-10
مع المتطلبات القانونية والتنظيمية.
يجب أن تستخدم <اس@@م الجه@@ة> طريق@@ة آمن@@ة الس@@تخراج ونق@@ل البيان@@ات واس@@تخراج ونق@@ل البني@@ة 1-11
التحتية االفتراضية.
يجب أن تمنع <اسم الجهة> نقل أي بيانات لألنظمة الحساسة من بيئة اإلنتاج إلى أي بيئة أخرى. 1-12
يجب أن تستخدم <اس@@م الجه@@ة> خاص@@ية العالم@@ات المائي@@ة ( )watermark featureلترم@@يز 1-13
الوثيقة بأكملها عند إعدادها ،أو تخزينها ،وطباعتها ،او عرضها على الشاشة ،والتأك@@د من احت@@واء
كل نسخة من الوثيقة على رقم يمكن تتبعه.
يجب قي@@اس مؤش@@رات األداء الرئيس@@ية ( )KPIللتأك@@د من التحس@@ين المس@@تمر لمتطلب@@ات األمن 1-14
السيبراني لحماية البيانات.
التصنيف والتعامل اآلمن مع المعلومات -2
يجب تصنيف بيانات <اسم الجهة> وفًق ا لسياسة تصنيف البيانات المعتمدة في <اسم الجهة>. 2-1
يجب تصنيف جميع بيانات <اسم الجهة> في كل الصيغ التالية: 2-2
الصيغ الرقمية (مث@ل وث@ائق برن@امج مع@@الج النص@@وص " ،"Wordوج@داول البيان@ات " 2-2-1
،"Spreadsheetsوقواعد البيانات).
االتصاالت اإللكترونية (مثل رسائل البري@@د اإللك@@تروني وخ@@دمات االتص@@االت الص@@وتية 2-2-2
والمؤتمرات واالتصاالت الهاتفية وغيرها)
الصيغ المادية (مثل المطبوعات ،والنسخ الورقية للعقود ودفاتر المالحظات). 2-2-3
يجب أن يتجنب العاملون مناقشة بيانات <اسم الجهة> بصيغة ش@@فهية في المن@@اطق العام@@ة ،أو في 2-3
مناطق قد ُتسمع فيها مناقش@@اتهم .ويجب أن تتم المناقش@@ات في مق@@رات <اس@@م الجه@@ة> وفي مواق@@ع
آمنة ضمن المقرات.
يجب تصنيف جميع البيانات التي تحتفظ فيها <اسم الجهة> في كل األنظمة (بما في ذلك األنظم@@ة 2-4
الحساسة وأنظمة الحوسبة السحابية) وترميزها وفًق ا للمتطلبات التشريعية والتنظيمية ذات العالق@@ة،
وسياسة تصنيف البيانات المعتمدة في <اسم الجهة>.
يجب أن يتولى المسؤولون عن البيانات ،الذين عينتهم <اسم الجهة> للعمل م@@ع األط@@راف المعني@@ة 2-5
ذات العالقة مع <اسم الجهة> ،مسؤولية تصنيف البيانات على النحو الوارد في هذه السياسة.
اختر التصنيف
اإلصدار <>1.0
5
نموذج سياسة األمن السيبراني للبيانات
يجب إبالغ األط@@راف المعني@@ة ذات العالق@@ة في <اس@@م الجه@@ة> على الف@@ور عن أي مخالف@@ة له@@ذه 2-6
السياسة ولضوابط تصنيف البيانات.
يجب تط@@بيق ض@@وابط الوص@@ول عن ُبع@@د للبيان@@ات وفًق ا لنم@@وذج سياس@@ة إدارة هوي@@ات ال@@دخول 2-7
والصالحيات المعتمدة في <اسم الجهة>.
يجب عدم حفظ البيانات المصنفة (سرية ،سرية للغاية) في أجهزة تخزين محمول@@ة مث@@ل األق@@راص 2-8
الصلبة الخارجية أو وحدات التخزين " ،"USBبغض النظ@@ر عن مس@@توى التش@@فير المس@@تخدم في
جهاز التخزين المحمول.
يجب عدم إدخال أو معالجة أو تغيير أو حفظ أو نقل البيانات المصنفة (سرية ،وسرية للغاي@@ة) إلى 2-9
األجهزة التي يملكها الموظفون ،والتي ُيطلق عليها استخدام األجهزة الشخصية للعاملين في الجه@@ة
( ،)BYODما لم تكن تلك البيانات خاصة بالموظفين.
يجب حماية البيانات المصنفة (سرية ،وس@رية للغاي@ة) ال@تي يمكن الوص@ول إليه@ا أو معالجته@ا أو 2-10
حفظها أو نقلها من خالل أنظمة الدخول عن بعد ،ما لم تكن تلك البيانات خاصة بالموظفين.
يجب تحديد المجموعات الفرعية من البيانات المص@@نفة (مث@@ل س@@رية ،وس@@رية للغاي@@ة) ،ال@@تي يمكن 2-11
الوصول إليها أو معالجتها أو حفظه@@ا أو نقله@@ا من خالل أنظم@@ة العم@@ل عن ُبع@@د ،وفًق ا للمتطلب@@ات
التنظيمية ذات العالقة.
يجب أاّل تحتوي األصول التقنية إلدارة حسابات مواقع التواصل االجتماعي ل<اس@@م الجه@@ة> على 2-12
بيانات مصنفة ،وفًق ا للمتطلبات التنظيمية ذات العالقة.
يجب أن تحتفظ <اسم الجهة> بسجل لجميع عمليات اإلتالف اآلمن للبيانات التي تم تنفيذها. 3-2
يجب أن تحتفظ <اسم الجهة> بالبيانات طوال المدة المحددة وفًق ا للمتطلبات التشريعية والتنظيمية 3-3
أو عندما تصبح البيانات الحساسة غير مطلوبة للغرض الذي جمعت من أجله.
يجب أن ُتنشئ <اسم الجهة> سجل بأنشطة المعالجة وتحدثه عند الحاجة مع االحتفاظ بنسخ طوال 3-4
المدة المحددة وفًق ا للمتطلبات التشريعية والتنظيمية.
يجب تحدي@@د ف@@ترة االحتف@@اظ بجمي@@ع البيان@@ات المتعلق@@ة باألنظم@@ة وفًق ا للتش@@ريعات ذات العالق@@ة، 3-5
واالحتفاظ فقط بالبيانات المطلوبة في بيئة اإلنتاج.
اختر التصنيف
اإلصدار <>1.0
6
نموذج سياسة األمن السيبراني للبيانات
األدوار والمسؤوليات
مالك السياسة< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة السياسة وتحديثها< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ السياسة وتطبيقها< :اإلدارة المعنية بتقنية المعلومات> و<اإلدارة المعنية باألمن السيبراني>. -3
قياس االلتزام بالسياسة< :اإلدارة المعنية باألمن السيبراني>. -4
التحديث والمراجعة
يجب على <اإلدارة المعنية باألمن السيبراني> مراجعة السياس@ة س@نوًيا على األق@ل أو في ح@ال ح@دوث
تغي@@يرات في السياس@@ات أو اإلج@@راءات التنظيمي@@ة في <اس@@م الجه@@ة> أو المتطلب@@ات التش@@ريعية والتنظيمي@@ة ذات
العالقة.
االلتزام بالسياسة
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه السياسة دورًيا. -1
يجب على جميع العاملين في <اسم الجهة> االلتزام بهذه السياسة. -2
قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج@@راءات المتبع@@ة في <اس@@م -3
الجهة>.
اختر التصنيف
اإلصدار <>1.0
7