Professional Documents
Culture Documents
POLICY Cloud Computing and Hosting Cybersecurity Template Ar FINAL
POLICY Cloud Computing and Hosting Cybersecurity Template Ar FINAL
إخالء المسؤولية
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس--يبراني كمث--ال توض--يحي يمكن اس--تخدامه ك--دليل
ومرجع للجهات .يجب أن يتم تعديل ه-ذا النم-وذج ومواءمت-ه م-ع أعم-ال <اس-م الجه-ة> والمتطلب-ات التش-ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض--ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اختر التصنيف
اإلصدار <>1.0
1
نموذج سياسة األمن السيبراني المتعلق بالحوسبة
السحابية واالستضافة
اعتماد الوثيقة
نسخ الوثيقة
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اختر التصنيف
اإلصدار <>1.0
2
نموذج سياسة األمن السيبراني المتعلق بالحوسبة
السحابية واالستضافة
قائمة المحتويات
الغرض 4............................................................................................................................
نطاق العمل 4.......................................................................................................................
بنود السياسة 4......................................................................................................................
األدوار والمسؤوليات 6.............................................................................................................
التحديث والمراجعة 7...............................................................................................................
االلتزام بالسياسة 7..................................................................................................................
اختر التصنيف
اإلصدار <>1.0
3
نموذج سياسة األمن السيبراني المتعلق بالحوسبة
السحابية واالستضافة
الغرض
الغرض من هذه السياسة ه--و تحدي--د متطلب--ات األمن الس--يبراني المتعلق--ة بحماي--ة األص--ول المعلوماتي--ة
والتقني--ة الخاص--ة ب<اس--م الجه--ة> على خ--دمات الحوس--بة الس--حابية واالستض--افة (Cloud Computing
.) Services and Hostingوكذلك تقليل المخاطر السيبرانية الناتجة عن التهديدات الداخلية والخارجية في
<اسم الجهة> بغرض تحقيق األهداف الرئيس--ية للحماي--ة وهي :س--رية المعلوم--ات ،وس--المة أنظم--ة المعلوم--ات،
وتوافرها.
تمت موائم--ة ه--ذه السياس--ة م--ع الض--وابط والمع--ايير الص--ادرة من الهيئ--ة الوطني--ة لألمن الس--يبراني
والمتطلبات التنظيمية والتشريعية ذات العالقة.
نطاق العمل
تغطي هذه السياسة جميع األصول المعلوماتية والتقنية الخاصة ب<اسم الجهة> على خ--دمات الحوس--بة
السحابية التي تتم استضافتها أو معالجتها أو إدارتها بواسطة أطراف خارجية ،وتنطبق ه--ذه السياس--ة على جمي--ع
العاملين (الموظفين والمتعاقدين) في <اسم الجهة> .علًما بأن قابلية تط--بيق المتطلب--ات يعتم--د على ن--وع خ--دمات
الحوسبة السحابية المقدمة في <اسم الجهة>.
بنود السياسة
البنود العامة -1
يجب تحديد أدوار األمن السيبراني ،متضمنة المسؤولية والمحاس--بة واالستش--ارة والتبلي--غ ()RACI 1-1
لكل أصحاب العالقة في خدمات الحوسبة السحابية.
يجب إدارة مخ---اطر األمن الس---يبراني على نح---و ممنهج يه---دف إلى حماي---ة البيان---ات واألص---ول 1-2
المعلوماتية والتقني--ة المستض--افة في خ--دمات الحوس--بة الس--حابية ،وذل--ك وفًق ا للمتطلب--ات التش--ريعية
والتنظيمية ذات العالقة.
يجب إج--راء تق--ييم لمخ--اطر األمن الس--يبراني المترتب--ة على استض--افة التطبيق--ات أو الخ--دمات في 1-3
الحوسبة السحابية قبل اختيار مقدم خدمات الحوسبة السحابية واالستضافة.
يجب التحقق من كف--اءة وموثوقي--ة مق--دم خ--دمات الحوس--بة الس--حابية باإلض--افة الى ض--مان االل--تزام 1-4
بمتطلبات األمن السيبراني للحوسبة السحابية الص--ادرة من الهيئ--ة الوطني--ة لألمن الس--يبراني ،وذل--ك
وفًق ا للمتطلبات التشريعية والتنظيمية ذات العالقة.
يجب التحقق من حصول مقدم خدمات الحوس--بة الس--حابية على ت--رخيص ووج--ود س--جل رس--مي ل--ه 1-5
داخل المملكة العربية السعودية وذلك وفًق ا لتص--نيف وس--جل الجه--ات المختص--ة للحوس--بة الس--حابية
داخل المملكة العربية السعودية.
اختر التصنيف
اإلصدار <>1.0
4
نموذج سياسة األمن السيبراني المتعلق بالحوسبة
السحابية واالستضافة
يجب مراقبة والتأكد من تطبيق جميع متطلب--ات األمن الس--يبراني الخاص--ة ب--األطراف الخارجي--ة في 1-6
سياسة األمن السيبراني المتعّلق باألطراف الخارجية على جميع مق--دمي خ-دمات الحوس--بة الس--حابية
واالستضافة وفًق ا للسياسات واإلجراءات التنظيمية الخاصة ب<اسم الجهة> والمتطلب--ات التش--ريعية
والتنظيمية ذات العالقة.
يجب التأكد من أن مخ-اطر األمن الس--يبراني المتعلق--ة بالع--املين لمق--دم خ-دمات الحوس--بة الس--حابية، 1-7
تعالج بفعالية قبل وأثناء وعند انتهاء/إنهاء عملهم ،وذلك وفًقا للمتطلب--ات التش--ريعية والتنظيمي--ة ذات
العالقة.
يجب تط--وير قائم--ة ج--رد دقيق--ة لألص--ول المعلوماتي--ة والتقني--ة المستض--افة في خ--دمات الحوس--بة 1-8
السحابية ،لتحقيق سرية وسالمة األصول المعلوماتية والتقنية ودقتها وتوافرها في خ--دمات الحوس--بة
السحابية ،وذلك وفًق ا للمتطلبات التشريعية والتنظيمية ذات العالقة.
يجب تقييد الدخول إلى الخ--دمات الس--حابية الخاص--ة به--ا على المس--تخدمين المص--رح لهم فق--ط وفًق ا 1-9
لسياسة إدارة هويات الدخول والصالحيات المعتمدة لدى <اسم الجهة>.
يجب التأك--د من أن مق--دم خ--دمات الحوس--بة الس--حابية ق--ام بفص--ل البيئ--ة الخاص--ة ب<اس--م الجه--ة> 1-10
(ويشمل ذلك الخوادم االفتراضية ،والشبكات وقواعد البيانات) عن غيرها من البيئات التابعة لجهات
أخرى.
يجب ض--مان حماي--ة الش--بكات مث--ل ع--زل وحماي--ة الش--بكة الخاص--ة باألنظم--ة التقني--ة الس--حابية من 1-11
الشبكات األخرى من المخاطر السيبرانية وفًق ا للمتطلبات التشريعية والتنظيمية ذات العالقة.
يجب ضمان حماية األجهزة المحمولة التي يتم استخدامها لل--دخول للخ--دمات الس--حابية من المخ--اطر 1-12
السيبرانية ،وضمان التعامل اآلمن مع المعلومات والبيان-ات الحساس-ة وح-ذف البيان-ات والمعلوم-ات
على األجهزة المحمولة قبل التخلص منها وفًق ا للمتطلبات التشريعية والتنظيمية ذات العالقة.
يجب ضمان حماي--ة البيان--ات ،وس--ريتها ،وس--المتها ،ودقته--ا ،وتوافره--ا وفًق ا للمتطلب--ات التش--ريعية 1-13
والتنظيمية ذات العالقة.
يجب ض--مان تش--فير البيان--ات والمعلوم--ات المنقول--ة إلى الخ--دمات الس--حابية ،أو المخزن--ة فيه--ا ،أو 1-14
المنقولة منها باستخدام طرق تشفير محدثة وفًق ا للمعايير الوطنية للتشفير وسياس--ة تص--نيف البيان--ات
المعتمدة لدى <اسم الجهة>.
يجب تقييم كفاءة إدارة الثغرات لدى مقدم خدمات الحوسبة السحابية حسب نوع الخدمة المقدمة وفًق ا 1-15
للمتطلبات التشريعية والتنظيمية ذات العالقة.
يجب التأكد من تفعيل سجالت األحداث على األصول المعلوماتية والتقنية الخاصة ب<اس-م الجه-ة> 1-16
المستضافة في خدمات الحوسبة السحابية .وذلك وفًق ا للمتطلبات التشريعية والتنظيمية ذات العالقة.
يجب على مقدم خدمات الحوسبة السحابية واالستض--افة توف--ير التقني--ات واألدوات الالزم--ة لـ<اس--م 1-17
الجهة> إلدارة ومراقبة خدماتها السحابية.
اختر التصنيف
اإلصدار <>1.0
5
نموذج سياسة األمن السيبراني المتعلق بالحوسبة
السحابية واالستضافة
يجب على مقدم خدمات الحوسبة السحابية إدارة المفاتيح بما يتواف--ق م--ع متطلب--ات األمن الس--يبراني 1-18
الخاصة بإدارة المفاتيح لدى <اسم الجهة> وفًق ا لمعيار/سياسة إدارة المف-اتيح في الجه-ة والمتطلب-ات
التشريعية والتنظيمية ذات العالقة.
يجب ضمان توافر متطلبات صمود األمن السيبراني في إدارة اس--تمرارية األعم--ال وفًق ا للمتطلب--ات 1-19
التشريعية والتنظيمية ذات العالقة.
يجب أن يكون لدى <اسم الجهة> الحق في إجراء اختبارات وتقييم-ات س-يبرانية على مق-دم الخدم-ة 1-20
الس--حابية أو االستض--افة أو طلب تق--ارير ونت--ائج التقييم--ات الس--يبرانية المنف--ذة من جه--ات مس--تقلة
وموثوقة ،على ان يتم تضمين هذا البند في العقود الموقعة مع مقدم الخدمة السحابية واالستضافة.
يجب على <اإلدارة المعنية باألمن الس--يبراني> و<اإلدارة المعني--ة بالش--ؤون القانوني--ة> أن ُتض--من 1-21
متطلبات األمن السيبراني المعتمدة في <اسم الجهة> والمتعلقة باستضافة البيانات في عق--ود مق--دمي
خ--دمات الحوس--بة الس--حابية واالستض--افة وفًق ا للسياس--ات والمتطلب--ات التش--ريعية والتنظيمي--ة ذات
العالقة.
يجب تطوير وتوثيق واعتماد إجراءات خاصة باستخدام الخدمات السحابية. 1-22
يجب استخدام مؤشر قياس األداء ( )KPIلضمان التط--وير المس--تمر واالس--تخدام الص--حيح والفع--ال 1-23
لمتطلبات حماية األصول المعلوماتية والتقنية المستضافة على خدمات الحوسبة السحابية.
متطلبات األمن السيبراني المتعلقة باستضافة/تخزين البيانات -2
يجب تصنيف البيانات حسب التشريعات واألنظمة ذات العالقة قبل استضافتها/تخزينها ل--دى مق--دمي 2-1
خدمات الحوسبة السحابية واالستضافة.
يجب الحصول على إفادة رسمية وموثقة من مق--دم خدم--ة الحوس--بة الس--حابية واالستض--افة بمس--توى 2-2
ال--ترخيص الممن--وح ل--ه من قب--ل الجه--ات المعني--ة الستض--افة البيان--ات حس--ب تص--نيفها ،وأن يق--وم
باستضافة ومعالجة بيانات <اسم الجهة> المصنفة بحسب الترخيص الممنوح له فقط.
يجب إل--زام مق--دمي خ--دمات الحوس--بة الس--حابية واالستض--افة على إع--ادة البيان--ات (بص--يغة قابل--ة 2-3
لالستخدام) وحذفها بشكل غير قابل لالسترجاع عن--د إنه--اء/انته--اء الخدم--ة على ان يتم تض--مين ه--ذا
البند في العقود الموقعة مع مقدم الخدمة السحابية واالستضافة.
يجب على مقدمي خدمات الحوسبة السحابية واالستضافة إجراء اختبارات دورية للتحق--ق من فعالي--ة 2-4
استعادة النسخ االحتياطي.
يجب أن يكون موقع واستضافة وتخزين معلومات <اسم الجهة> داخل المملكة العربية السعودية مع 2-5
مراعاة التنظيمات والجوانب التشريعية بعدم خضوع تلك البيانات ألي قوانين دول أخرى.
يجب أن يكون موقع استض--افة األنظم--ة الحساس--ة ،أو أي ج--زء من مكوناته--ا التقني--ة ،داخ--ل <اس--م 2-6
الجهة> ،أو في خدمات الحوسبة السحابية المقدمة من قب-ل جه-ة حكومي-ة ،أو ش-ركة وطني-ة محقق-ة
لض--وابط الهيئ-ة الوطني-ة لألمن الس--يبراني المتعلق--ة بخ-دمات الحوس--بة الس--حابية واالستض--افة ،م--ع
مراعاة تصنيف البيانات المستضافة.
اختر التصنيف
اإلصدار <>1.0
6
نموذج سياسة األمن السيبراني المتعلق بالحوسبة
السحابية واالستضافة
األدوار والمسؤوليات
مالك السياسة< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة السياسة وتحديثها< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ وتطبيق السياسة< :اإلدارة المعنية بتقنية المعلومات> و<اإلدارة المعنية باألمن السيبراني>. -3
قياس االلتزام بالسياسة< :اإلدارة المعنية باألمن السيبراني>. -4
التحديث والمراجعة
يجب على <اإلدارة المعنية باألمن السيبراني> مراجع-ة السياس-ة س-نوًيا على األق-ل أو في ح-ال ح-دوث
تغي--يرات في السياس--ات أو اإلج--راءات التنظيمي--ة في <اس--م الجه--ة> أو المتطلب--ات التش--ريعية والتنظيمي--ة ذات
العالقة.
االلتزام بالسياسة
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اس--م الجه--ة> به--ذه السياس--ة بش--كل -1
دوري.
يجب على كافة العاملين في <اسم الجهة> االلتزام بهذه السياسة. -2
قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج--راءات المتبع--ة في <اس--م -3
الجهة>.
اختر التصنيف
اإلصدار <>1.0
7