Professional Documents
Culture Documents
Procedure Cybersecurity-Audit Template Ar v0.4
Procedure Cybersecurity-Audit Template Ar v0.4
اختر التصنيف
اإلصدار <>1.0
1
نموذج إجراء تدقيق األمن السيبراني
إخالء المسؤولية
ُط ّو ر هذا النموذج عن طريق الهيئة الوطنية لألمن السVVيبراني كمثVVال توضVVيحي يمكن اسVVتخدامه كVVدليل
ومرجع للجهات .ويجب أن يتم تعديل هذا النموذج ومواءمته مVVع أعمVVال <اسVVم الجهVVة> والمتطلبVVات التشVVريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويضVVه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اختر التصنيف
اإلصدار <>1.0
2
نموذج إجراء تدقيق األمن السيبراني
اعتماد الوثيقة
نسخ الوثيقة
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اختر التصنيف
اإلصدار <>1.0
3
نموذج إجراء تدقيق األمن السيبراني
قائمة المحتويات
الغرض 4........................................................................................................................
نطاق اإلجراء 4.................................................................................................................
لمحة عامة عن عملية مراجعة وتدقيق األمن السيبراني 4....................................................................
نظرة تفصيلية على عملية تدقيق األمن السيبراني 5...........................................................................
المرحلة .1إعداد خطة التدقيق 5...............................................................................................
المرحلة .2التجهيز للتدقيق/المراجعة 12.....................................................................................
المرحلة .3تنفيذ التدقيق/المراجعة 15.........................................................................................
المرحلة .4توثيق نتائج مراجعة وتدقيق األمن السيبراني واإلبالغ عنها 19................................................
المرحلة .5عرض نتائج مراجعة وتدقيق األمن السيبراني على اللجنة التوجيهية ورئيس الجهة23......................
المرحلة .6المراقبة والمراجعة 26............................................................................................
األدوار والمسؤوليات 29.......................................................................................................
التحديث والمراجعة 29.........................................................................................................
االلتزام 29.......................................................................................................................
اختر التصنيف
اإلصدار <>1.0
4
نموذج إجراء تدقيق األمن السيبراني
الغرض
الغVVرض من هVVذا اإلجVVراء هVVو تحديVVد المتطلبVVات التفصVVيلية المتعلقVVة بعمليVVة مراجعVVة وتVVدقيق األمن
السيبراني في <اسم الجهة> .وهذه المتطلبات تتبع أفضVل الممارسVات الدوليVة المعمVول بهVا وتسVتند إلى سياسVة
مراجعة وتدقيق األمن السيبراني .حيث أن قدرة <اسم الجهVVة> على إجVVراء عمليVVات التVVدقيق والمراجعVVات وفًق ا
لهذا اإلجراء يساعد في الحفاظ على سرية وسالمة وتوافر أصول <اسم الجهVVة> ومعلوماتهVVا .تمت موائمVVة هVVذا
اإلجراء مع الضوابط والمعايير الصادرة من الهيئة الوطنية لألمن السVيبراني والمتطلبVات التنظيميVة والتشVريعية
ذات العالقة.
نطاق اإلجراء
يغطي هذا اإلجراء جميع عمليات التدقيق المتعلقة بجميVVع ضVVوابط األمن السVVيبراني في <اسVVم الجهVVة>
وينطبق على جميع العاملين (الموظفين والمتعاقدين) في <اسم الجهة>.
الشكل 21
اختر التصنيف
اإلصدار <>1.0
5
نموذج إجراء تدقيق األمن السيبراني
يجوز إجراء التدقيق أو المراجعة داخلًيا بواسطة العاملين باإلدارة المعنية بالتدقيق الVVداخلي (التVVدقيقات) واإلدارة
المعنية باألمن السيبراني (المراجعات) ،أو خارجًيا بواسطة مدقق خارجي من طرف خارجي مستقل.
اختر التصنيف
اإلصدار <>1.0
6
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
43
اختر التصنيف
اإلصدار <>1.0
7
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
رئيس اإلدارة المعنية تحديد الشخص القرار بإجراء تحديد الشخص تحديد الشخص الذي سيكون مسؤواًل عن إجراء التدقيق رئيس اإلدارة 1-1
باألمن السيبراني التدقيق/المراجعة المنوط به إجراء وفًق ا لمتطلبات سياسة مراجعة وتدقيق األمن السيبراني .المعنية باألمن
السيبراني التدقيق أو
المراجعة
اإلدارة المعنية تحديد المعايير القرار بإجراء اإلدارة المعنية تحديد المعايير المطبقة لبرنامج المراجعة والتدقيق. تحديد معايير 1-2
بالتدقيق الداخلي التدقيق/المراجعة بالتدقيق الداخلي باعتبارها أساًس ا لتحديد المعايير ،ينبغي استخدام التدقيقات
(التدقيقات) ،اإلدارة (التدقيقات)، ضوابط األمن السيبراني الصادرة من الهيئة الوطنية والمراجعات
المعنية باألمن لألمن السيبراني ،مثل :الضوابط األساسية لألمن المخططة
اإلدارة المعنية السيبراني ( )ECC – 1: 2018وضوابط األمن
السيبراني
السيبراني لألنظمة الحساسة ( ،)CSCC – 1: 2019باألمن السيبراني
(المراجعات)
(المراجعات) وغيرها من الضوابط ذات العالقة الصادرة من الهيئة
الوطنية لألمن السيبراني
اإلدارة المعنية تحديد النطاق القرار بإجراء اإلدارة المعنية تحديد نطاق التدقيقات والمراجعات المخططة وفًقا تحديد نطاق 1-3
بالتدقيق الداخلي التدقيق/المراجعة، بالتدقيق الداخلي لمتطلبات سياسة مراجعة وتدقيق األمن السيبراني. التدقيقات
(التدقيقات) ،اإلدارة المعايير المحددة (التدقيقات) ،اإلدارة والمراجعات
المعنية باألمن المعنية باألمن المخططة
اختر التصنيف
اإلصدار <>1.0
8
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
السيبراني السيبراني
(المراجعات) (المراجعات)
اإلدارة المعنية تحديد األساليب النوع والنطاق اإلدارة المعنية يتعين تحديد أساليب إجراء التدقيقات والمراجعات، تحديد أساليب 1-4
بالتدقيق الداخلي والمعايير المحددة بالتدقيق الداخلي وينبغي أن تستند إلى منهجية معَّد ة داخلًيا أو إلى أفضل إجراء التدقيقات
(التدقيقات) ،اإلدارة (التدقيقات) ،اإلدارة الممارسات المعمول بها أو إلى المعايير الدولية (مثل والمراجعات
المعنية باألمن المعنية باألمن معيار األيزو .)19011ينبغي أن تستند المنهجية المخططة
السيبراني السيبراني المحددة إلى المخاطر المتعلقة بالضوابط الخاضعة
(المراجعات) ،المدقق (المراجعات)، للتحقق .فيما يلي المناهج الممكنة:
الخارجي (التدقيقات المدقق الخارجي االستفسار -جمع المعلومات من العاملين .1
والمراجعات) (التدقيقات أصحاب الدراية واالطالع .قد ُيستخدم هذا
والمراجعات) النهج على نطاق واسع خالل التدقيق أو
المراجعة ،باإلضافة إلى إجراءات تدقيق أو
مراجعة أخرى.
اختر التصنيف
اإلصدار <>1.0
9
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
اختر التصنيف
اإلصدار <>1.0
10
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
يجب تحديد مدة إجراء التدقيقات والمراجعات المخططة اإلدارة المعنيVVVVVVVVVة النVVVVVوع والنطVVVVVاق تحديVVVVVVVد المVVVVVVVدة اإلدارة المعنيVVVVVVVVVVVVة تحديد مدة إجراء 1-5
بالتVVVVVدقيق الVVVVVداخلي وجVVدولها الزمVVني .وينبغي أن تسVVتند وتVVيرة التVVدقيقات بالتVVVVدقيق الVVVVداخلي والمعايير واألساليب والجدول الزمني التVVVVVVVVVVVVدقيقات
(التVVVVدقيقات) ،اإلدارة والمراجعVVات المخططVVة إلى متطلبVVات سياسVVة مراجعVVة (التVVدقيقات) ،اإلدارة المحددة والمراجعVVVVVVVات
المعنيVVVVVVة بVVVVVVاألمن المعنيVVVVVة بVVVVVاألمن وتدقيق األمن السيبراني. المخططVVVVVVVVVVVVة
السVVVVVVVVVVVVVVVVVVVيبراني السVVVVVVVVVVVVVVVVيبراني وجVVVVVVVVVVVVVدولها
(المراجعات) ،المدقق (المراجعVVVVVVVVVVات)، الزمني.
الخVVارجي (التVVدقيقات المVVVدقق الخVVVارجي
والمراجعات) (التVVVVVVVVVVVVVVVVدقيقات
والمراجعات)
النVVVVVوع والنطVVVVVاق تحديVVVVVد العينVVVVVات اإلدارة المعنيVVVVVVVVVVVVة اإلدارة المعنيVVVVVVVVVة ينبغي أن يستند تحديد العينات واألدلة (مثVل اإلجVراءات تحديVVVد العينVVVات 1-6
بالتVVVVVدقيق الVVVVVداخلي والمعايير واألساليب واألدلة المطلوبة بالتVVVVدقيق الVVVVداخلي والسياسات ،والبيانات ولقطات الشاشة من أنظمVVة تقنيVVة واألدلة المطلوبة
(التVVVVدقيقات) ،اإلدارة والجVVVدول الزمVVVني (التVVدقيقات) ،اإلدارة المعلومات ،وبارامترات اإلعدادات) المطلوبة للتدقيقات للتVVVVVVVVVVVVدقيقات
المعنيVVVVVVة بVVVVVVاألمن والمدة المحددة المعنيVVVVVة بVVVVVاألمن والمراجعات إلى النطاق المحدد للتدقيقات والمراجعات. والمراجعVVVVVVVات
السVVVVVVVVVVVVVVVVVVVيبراني السVVVVVVVVVVVVVVVVيبراني وينبغي تطبيق نهج يستند إلى المخاطر. المخططة
(المراجعات) ،المدقق (المراجعVVVVVVVVVVات)،
الخVVارجي (التVVدقيقات المVVVدقق الخVVVارجي
(التVVVVVVVVVVVVVVVVدقيقات
اختر التصنيف
اإلصدار <>1.0
11
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
والمراجعات) والمراجعات)
الخصائص المحVVددة إتمVVام إسVVناد األدوار اإلدارة المعنيVVVVVVVVVVVVة إسVVVVVVناد األدوار ينبغي إسVVVVناد األدوار والمسVVVVؤوليات أثنVVVVاء تVVVVدقيقات اإلدارة المعنيVVVVVVVVVة 1-7
بالتVVVVVدقيق الVVVVVداخلي للتVVدقيقات/المراجعVVا والمسؤوليات ومراجعVVVات األمن السVVVيبراني وفًق ا لمصVVVفوفة إسVVVناد بالتVVVVدقيق الVVVVداخلي والمسؤوليات
(التVVVVدقيقات) ،اإلدارة ت المخططة المسؤوليات ،كمVVا وردت في متطلبVVات سياسVVة مراجعVVة (التVVدقيقات) ،اإلدارة
المعنيVVVVVVة بVVVVVVاألمن المعنيVVVVVة بVVVVVاألمن وتدقيق األمن السيبراني.
السVVVVVVVVVVVVVVVVVVVيبراني السVVVVVVVVVVVVVVVVيبراني
(المراجعات) ،المدقق (المراجعVVVVVVVVVVات)،
الخVVارجي (التVVدقيقات المVVVدقق الخVVVارجي
والمراجعات) (التVVVVVVVVVVVVVVVVدقيقات
والمراجعات)
اإلدارة المعنيVVVVVVVVVVVVة اإلدارة المعنيVVVVVVVVVة الخصائص المحVVددة سجل خطط التدقيق إنشVVVVVاء سVVVVVجل يجب إنشVVVاء سVVVجل محَّVVVد ث لخطVVVط التVVVدقيق (قائمVVVة 1-8
بالتVVVVVدقيق الVVVVVداخلي بالتVVVVدقيق الVVVVداخلي للتVVدقيقات/المراجعVVا خطVVVط التVVVدقيق بالتدقيقات والمراجعات المقررة) وتحديثه بشكل دوري.
(التVVVVدقيقات) ،اإلدارة (التVVدقيقات) ،اإلدارة ت المخططة وينبغي أن يغطي سVVجل خطVط التVدقيق السVVنة الميالديVة وصيانته
المعنيVVVVVVة بVVVVVVاألمن المعنيVVVVVة بVVVVVاألمن الحاليVVة على األقVVل ،كمVVا ينبغي أن يشVVمل المعلومVVات
السVVVVVVVVVVVVVVVVVVVيبراني السVVVVVVVVVVVVVVVVيبراني التالية على األقل:
(المراجعات) ،المدقق (المراجعVVVVVVVVVVات)،
اختر التصنيف
اإلصدار <>1.0
12
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
األساليب .7
المعايير .8
العينات .9
اختر التصنيف
اإلصدار <>1.0
13
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
سجل خطط التVVدقيق رئيس اإلدارة المعنيVVة سجل خطط التدقيق رئيس اإلدارة الموافقVVVVVVة على يجب اعتماد خطة التدقيق الُم عَّد ة. 1-9
بالتدقيق الداخلي المعتمد المعنيVVVVة بالتVVVVدقيق خطة التدقيق
الداخلي
اختر التصنيف
اإلصدار <>1.0
14
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
اختر التصنيف
اإلصدار <>1.0
15
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الشكل 65
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
اإلدارة المعنيVVVVVVVVVVVVة يجب تحديVVVد المVVVوارد المطلوبVVVة إلجVVVراء التVVVدقيق أو اإلدارة المعنيVVVVVVVVVة الخصائص المحVVددة الموارد المحددة تحديد الموارد 2-1
بالتVVVVVدقيق الVVVVVداخلي المراجعة أثناء مرحلة التجهيز للتدقيقات أو المراجعات .بالتVVVVدقيق الVVVVداخلي للتدقيق/المراجعة
(التVVVVدقيقات) ،اإلدارة ويتعين تشVVكيل فريVVق التVVدقيق وتحديVVد المشVVاركين من (التVVدقيقات) ،اإلدارة
المعنيVVVVVVة بVVVVVVاألمن المعنيVVVVVة بVVVVVاألمن اإلدارة الخاضعة للتدقيق ومساهمتهم في التدقيق.
السVVVVVVVVVVVVVVVVVVVيبراني السVVVVVVVVVVVVVVVVيبراني
(المراجعات) ،المدقق (المراجعVVVVVVVVVVات)،
الخVVارجي (التVVدقيقات المVVVدقق الخVVVارجي
والمراجعات) (التVVVVVVVVVVVVVVVVدقيقات
والمراجعات)
إعVVVVVVداد القائمVVVVVVة اإلدارة المعنيVVVVVVVVVVVVة إعVVVVداد قائمVVVVة يتعين وضVVع قائمVVة باالجتماعVVات الالزمVVة والحاضVVرين اإلدارة المعنيVVVVVVVVVة الموارد المحددة 2-2
باالجتماعVVVVVVVVVVVVات بالتVVVVVدقيق الVVVVVداخلي باالجتماعVVVVVات الضVVVروريين واألدلVVVة الالزمVVVة إلجVVVراء التVVVدقيق أو بالتVVVVدقيق الVVVVداخلي
الالزمVVVVة واألدلVVVVة (التVVVVدقيقات) ،اإلدارة (التVVدقيقات) ،اإلدارة الالزمة واألدلVة المراجعة.
المعنيVVVVVVة بVVVVVVاألمن المطلوبة المعنيVVVVVة بVVVVVاألمن المقرر طلبها
السVVVVVVVVVVVVVVVVVVVيبراني السVVVVVVVVVVVVVVVVيبراني
(المراجعات) ،المدقق (المراجعVVVVVVVVVVات)،
الخVVارجي (التVVدقيقات المVVVدقق الخVVVارجي
اختر التصنيف
اإلصدار <>1.0
16
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
والمراجعات) (التVVVVVVVVVVVVVVVVدقيقات
والمراجعات)
تقVVVVVVVرر إجVVVVVVVراء إبالغ الفريVVVVVVVVVVVVق اإلدارة المعنيVVVVVVVVVVVVة اإلدارة المعنيVVVVVVVVVة إبالغ الفريVVVVVق يتعين إبالغ رئيس الفريVVق الخاضVVع للتVVدقيق بمعلومVVات 2-3
بالتVVVVVدقيق الVVVVVداخلي التVVVدقيق/المراجعVVVة الخاضع للتدقيق بالتVVVVدقيق الVVVVداخلي الخاضع للتدقيق عن نطاق التدقيق/المراجعة والجدول الزمVVني والمVVوارد
(التVVVVدقيقات) ،اإلدارة في غضون شهر (التVVدقيقات) ،اإلدارة المقرر تخصيصها وقائمة باالجتماعات واألدلة الالزمVVة
المعنيVVVVVVة بVVVVVVاألمن المعنيVVVVVة بVVVVVاألمن قبVVل شVVهر من بVVدء التVVدقيق أو المراجعVVة ،حVVتى يتمكن
السVVVVVVVVVVVVVVVVVVVيبراني السVVVVVVVVVVVVVVVVيبراني الفريVVVق الخاضVVVع للتVVVدقيق من التجهVVVيز للتVVVدقيق أو
(المراجعات) ،المدقق (المراجعVVVVVVVVVVات)، المراجعة.
الخVVارجي (التVVدقيقات المVVVدقق الخVVVارجي
والمراجعVVVVVVVVVVVVات)، (التVVVVVVVVVVVVVVVVدقيقات
اإلدارة الخاضVVVVVVVVعة والمراجعات)
للتدقيق
إبالغ الفريVVVVVVVVVVVVق تأكيد اسVتالم اإلبالغ رئيس اإلدارة موافقVVVVVة رئيس يجب أن يؤكد رئيس اإلدارة الخاضVVعة للتVVدقيق على أن رئيس اإلدارة 2-4
والموافقVVVة على مVVVا الخاضVVعة للتVVدقيق أو الفريق الخاضع فريق العمل قد استلم كافة المعلومVVات الخاصVVة بالتVVدقيق الخاضعة للتدقيق أو الخاضع للتدقيق
من ينوب عنه ورد فيه أو المراجعVVة المقVVرر إجراؤهVVا وعلى موافقتVVه على كVVل من ينوب عنه للتدقيق
المتطلبVVات ،كمVVVا يتعين أن يؤكVVVد على تVVوافر األفVVراد
اختر التصنيف
اإلصدار <>1.0
17
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
اختر التصنيف
اإلصدار <>1.0
18
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
اختر التصنيف
اإلصدار <>1.0
19
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الشكل 87
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
اإلدارة المعنيVVVVVVVVVVVVة يجب مراجعة النتائج المستخلصة من التVVدقيقات السVVابقة اإلدارة المعنيVVVVVVVVVة تقVVVVVVVVVVVVVVVVVVVVVارير إتمVVVVام التحقVVVVق من التحقVVVVVVVVق من 3-1
بالتVVVVVدقيق الVVVVVداخلي (اسVVتناًد ا إلى تقريVVر التVVدقيق) والتحقVVق من حالVVة خطVVة بالتVVVVدقيق الVVVVداخلي التVVدقيقات/المراجعVVا معالجة المالحظVVات معالجVVVVVVVVVVVVVة
(التVVVVدقيقات) ،اإلدارة المكتشVVVVVVVVVVVVVفة في معالجVVة المالحظVVات بغVVرض التأكVVد من معالجVVة كVVل (التVVدقيقات) ،اإلدارة ت السابقة المالحظVVVVVVVات
المعنيVVVVVVة بVVVVVVاألمن التVVدقيقات/المراجعVVا المعنيVVVVVة بVVVVVاألمن المالحظات واتخاذ كافة اإلجراءات التصحيحية. المكتشVVVVVVفة في
السVVVVVVVVVVVVVVVVVVVيبراني ت السابقة السVVVVVVVVVVVVVVVVيبراني التVVدقيق السVVابق
(المراجعات) ،المدقق (المراجعVVVVVVVVVVات)، أو المراجعVVVVVVة
الخVVارجي (التVVدقيقات المVVVدقق الخVVVارجي السابقة
والمراجعات) (التVVVVVVVVVVVVVVVVدقيقات
والمراجعات)
الخصائص المحVVددة فهم العمليVVVVVVVVVVVVات اإلدارة المعنيVVVVVVVVVVVVة عقVVVVVVVVVVVVVVVVVد يجب عقد كل االجتماعات/ورش العمVل بغVرض تكVوين اإلدارة المعنيVVVVVVVVVة 3-2
للتVVدقيق/المراجعVVة ،والضوابط الخاضعة بالتVVVVVدقيق الVVVVVداخلي االجتماعات/ور فهم عن العمليVVات وضVVوابط التشVVغيل الVVتي ستخضVVع بالتVVVVدقيق الVVVVداخلي
(التVVVVدقيقات) ،اإلدارة وقائمة باالجتماعات للتدقيق/المراجعة (التVVدقيقات) ،اإلدارة للتدقيق أو المراجعة. ش العمل
المعنيVVVVVVة بVVVVVVاألمن الالزمة المعنيVVVVVة بVVVVVاألمن
السVVVVVVVVVVVVVVVVVVVيبراني السVVVVVVVVVVVVVVVVيبراني
(المراجعات) ،المدقق (المراجعVVVVVVVVVVات)،
الخVVارجي (التVVدقيقات المVVVدقق الخVVVارجي
اختر التصنيف
اإلصدار <>1.0
20
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
والمراجعVVVVVVVVVVVVات)، (التVVVVVVVVVVVVVVVVدقيقات
اإلدارة الخاضVVVVVVVVعة والمراجعات)
للتدقيق
جمVVVVع األدلVVVVة يجب جمع األدلة والعينات المطلوبة إلجVVراء التVVدقيق أو اإلدارة المعنيVVVVVVVVVة الخصائص المحVVددة األدلVVVVة والعينVVVVات اإلدارة المعنيVVVVVVVVVVVVة 3-3
بالتVVVVVدقيق الVVVVVداخلي المراجعة ،والتحقق منها .ويتعين نقل األدلة بشVVكل آمن .بالتVVVVدقيق الVVVVداخلي للتVVدقيق/المراجعVVة ،المجّمعة والمؤّمنة والتحقق منها
(التVVVVدقيقات) ،اإلدارة كمVVا يجب ضVVمان أمن األدلVVة المجَّمعVVة بغVVرض تجنب (التVVدقيقات) ،اإلدارة وقائمVVVVVVة باألدلVVVVVVة
المعنيVVVVVVة بVVVVVVاألمن المعنيVVVVVة بVVVVVاألمن المطلوبة تسريب البيانات.
السVVVVVVVVVVVVVVVVVVVيبراني السVVVVVVVVVVVVVVVVيبراني
(المراجعات) ،المدقق (المراجعVVVVVVVVVVات)،
الخVVارجي (التVVدقيقات المVVVدقق الخVVVارجي
والمراجعVVVVVVVVVVVVات)، (التVVVVVVVVVVVVVVVVدقيقات
اإلدارة الخاضVVVVVVVVعة والمراجعات)
للتدقيق
التشVVVVاور مVVVVع يتعين التشاور مVVع اإلدارة الخاضVVعة للتVدقيق بشVVأن كVVل اإلدارة المعنيVVVVVVVVVة اكتمال االجتماعVVات تأكيVVد فهم العمليVVات اإلدارة المعنيVVVVVVVVVVVVة 3-4
والضوابط الخاضعة بالتVVVVVدقيق الVVVVVداخلي الفريق الخاضع المسائل غير الواضVVحة ،وذلVVك بغVVرض الحصVVول على بالتVVVVدقيق الVVVVداخلي وورش العمل
(التVVVVدقيقات) ،اإلدارة فهم كVVاف عن األدلVVة والعمليVVات الخاضVVعة للتVVدقيق أو (التVVدقيقات) ،اإلدارة للتدقيق
اختر التصنيف
اإلصدار <>1.0
21
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
نتVVVVVVVVVVVVVVVVVVVVVVVائج نتVVVVVVVVVVVVVVVVVVVVVVVائج رئيس اإلدارة المعنيVVة اعتمVVVاد نتVVVائج نتVVائج التVVدقيق :يجب اعتمVVاد نتVVائج التVVدقيق وتوصVVياته رئيس اإلدارة 3-5
التVVVدقيق/المراجعVVVة بVVVVاألمن السVVVVيبراني المعنيVVVVVة بVVVVVاألمن التدقيق/المراجعة التVVVVVVVVVدقيق أو وخطة معالجة المالحظات.
ورئيس اإلدارة المعتمدة السVVVVيبراني ورئيس المراجعة
المعنيVVVVVة بالتVVVVVدقيق اإلدارة المعنيVVVVVVVVVة
الداخلي بالتدقيق الداخلي
اختر التصنيف
اإلصدار <>1.0
22
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الشكل 109
اختر التصنيف
اإلصدار <>1.0
23
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
اإلدارة المعنيVVVVVVVVVVVVة إنشVVVVVاء تقريVVVVVر يتعين إعداد تقرير التدقيق بعد كل إجراء يتم فيVVه تVVدقيق اإلدارة المعنيVVVVVVVVVة االنتهVVاء من أنشVVطة تقرير التدقيق 4-1
بالتVVVVVدقيق الVVVVVداخلي أو مراجعVة ،على أن يكVون إعVداد التقريVر في غضVون بالتVVVVدقيق الVVVVداخلي التدقيق/المراجعة التدقيق
(التVVVVدقيقات) ،اإلدارة أسVVبوعين من انتهVVاء التVVدقيق أو المراجعVVة .وينبغي أن (التVVدقيقات) ،اإلدارة
المعنيVVVVVVة بVVVVVVاألمن المعنيVVVVVة بVVVVVاألمن يشتمل التقرير على المعلومات التالية:
السVVVVVVVVVVVVVVVVVVVيبراني السVVVVVVVVVVVVVVVVيبراني
.1الرقم التعريفي للتدقيق
(المراجعات) ،المدقق (المراجعVVVVVVVVVVات)،
الخVVارجي (التVVدقيقات المVVVدقق الخVVVارجي .2اسم التدقيق
والمراجعات) (التVVVVVVVVVVVVVVVVدقيقات
والمراجعات) .3الفريق المسؤول
اختر التصنيف
اإلصدار <>1.0
24
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
منح األطVVVVVVVVVVراف اإلدارة المعنيVVVVVVVVVVVVة إتاحVVVة الوصVVVول يتعين تمكين جميع األطVVراف المعنيVVة من الوصVVول إلى اإلدارة المعنيVVVVVVVVVة تقرير التدقيق 4-2
المعنيVVVVVVVة حVVVVVVVق بالتVVVVVدقيق الVVVVVداخلي إلى تقرير التدقيق تقرير التدقيق ،بما يشمل على سبيل المثVVال ال الحصVVر :بالتVVVVدقيق الVVVVداخلي
الوصول إلى تقريVVر (التVVVVدقيقات) ،اإلدارة اإلدارة الخاضVVVعة للتVVVدقيق واإلدارة المعنيVVVة بالتVVVدقيق (التVVدقيقات) ،اإلدارة
المعنيVVVVVVة بVVVVVVاألمن التدقيق المعنيVVVVVة بVVVVVاألمن الداخلي واللجنة التوجيهية المعنية باألمن السيبراني.
السVVVVVVVVVVVVVVVVVVVيبراني السVVVVVVVVVVVVVVVVيبراني
(المراجعات) ،اإلدارة (المراجعات)
الخاضVVVVعة للتVVVVدقيق،
اختر التصنيف
اإلصدار <>1.0
25
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
اللجنVVVVVة التوجيهيVVVVVة
المعنيVVVVVVة بVVVVVVاألمن
السيبراني
اختر التصنيف
اإلصدار <>1.0
26
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
المرحلة .5عرض نتائج مراجعة وتدقيق األمن السيبراني على اللجنة التوجيهية المعنية باألمن السيبراني ورئيس الجهة
الشكل 1211
اختر التصنيف
اإلصدار <>1.0
27
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
تقرير التدقيق المقدم اإلدارة المعنيVVVVVVVVVVVVة اإلدارة المعنيVVVVVVVVVة تقرير التدقيق عVVرض تقريVVر يجب عرض نتVVائج كVVل تVVدقيق أو مراجعVVة على اللجنVVة 5-1
بالتVVVVVدقيق الVVVVVداخلي بالتVVVVدقيق الVVVVداخلي التوجيهية المعنية باألمن السيبراني في االجتمVVاع التVVالي التدقيق
(التVVVVدقيقات) ،اإلدارة (التVVدقيقات) ،اإلدارة للجنة التوجيهيVVة وعلى رئيس الجهVVة في غضVVون ثالثVVة
المعنيVVVVVVة بVVVVVVاألمن المعنيVVVVVة بVVVVVاألمن أسابيع من انتهاء التدقيق أو المراجعة .ينبغي أن يتنVVاول
السVVVVVVVVVVVVVVVVVVVيبراني السVVVVVVVVVVVVVVVVيبراني التقريVر المقVدم نطVاق التVدقيق/المراجعVة واالسVتنتاجات
(المراجعات) ،المدقق (المراجعVVVVVVVVVVات)، والتوصيات ،باإلضافة إلى خطة معالجة المالحظات.
الخVVارجي (التVVدقيقات المVVVدقق الخVVVارجي
والمراجعات) ،اللجنVVة (التVVVVVVVVVVVVVVVVدقيقات
التوجيهيVVVVة المعنيVVVVة والمراجعات)
باألمن السيبراني
اللجنVVVVة التوجيهيVVVVة تقرير التدقيق المقدم تقريVVVVVVر التVVVVVVدقيق اللجنVVVVVة التوجيهيVVVVVة اعتمVVVاد تقريVVVر يجب اعتماد تقارير التدقيق. 5-2
المعنيVVVVVVة بVVVVVVاألمن المعتمد المعنيVVVVVة بVVVVVاألمن التدقيق
السيبراني السيبراني
إبالغ نتVVVVVVVائج يتعين رفع تقVVارير التVVدقيق إلى رئيس اإلدارة الخاضVVعة اإلدارة المعنيVVVVVVVVVة تقريVVVVVVر التVVVVVVدقيق اإلبالغ بنتVVVVVVVVVVVائج اإلدارة المعنيVVVVVVVVVVVVة 5-3
بالتVVVVVدقيق الVVVVVداخلي التدقيق/المراجعة التVVVVVVVVVدقيق أو للتVVVدقيق .ينبغي االتفVVVاق مVVVع رئيس اإلدارة الخاضVVVعة بالتVVVVدقيق الVVVVداخلي المعتمد
(التVVVVدقيقات) ،اإلدارة للتدقيق على نتائج تVVدقيق أو مراجعVVة األمن السVVيبراني( ،التVVدقيقات) ،اإلدارة المراجعة
اختر التصنيف
اإلصدار <>1.0
28
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الجهة رقم
األطراف المعنية المخرجات المدخالت الوصف الخطوة
المالكة/المسؤولة التعريف
المعنيVVVVVVة بVVVVVVاألمن بمVVا يشVVمل االسVVتنتاجات والتوصVVيات وخطVVة معالجVVة المعنيVVVVVة بVVVVVاألمن
السVVVVVVVVVVVVVVVVVVVيبراني السVVVVVVVVVVVVVVVVيبراني المالحظات.
(المراجعات) ،المدقق (المراجعVVVVVVVVVVات)،
الخVVارجي (التVVدقيقات المVVVدقق الخVVVارجي
والمراجعات) (التVVVVVVVVVVVVVVVVدقيقات
والمراجعات)
اختر التصنيف
اإلصدار <>1.0
29
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
الشكل 1413
اختر التصنيف
اإلصدار <>1.0
30
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
رقم
الجهة
األطراف المعنية المخرجات المدخالت الوصف الخطوة التعري
المالكة/المسؤولة
ف
سجل خطط التVVدقيق رئيس اإلدارة المعنيVVة سجل خطط التدقيق مراجعVVVVVة خطVVVVVة يجب مراجعة خطة التدقيق سنوًيا على األقل للتحقق من رئيس اإلدارة 6-1
بVVاألمن السVVيبراني أو الُمراَج ع اشVVتمالها على كافVVة التVVدقيقات والمراجعVVات الالزمVVة المعنيVVVVVة بVVVVVاألمن التدقيق
من ينوب عنه السVVVVVVيبراني أو من وتحديثها عند اللزوم.
ينوب عنه
تقVVارير التVVدقيق من إتمام مراجعة خطVVط اإلدارة المعنيVVVVVVVVVVVVة مراجعVVVة تقVVVارير يجب إجراء مراجعVة سVنوية على األقVل لخطVة معالجVة اإلدارة المعنيVVVVVVVVVة 6-2
تVVدقيقات/مراجعVVات معالجة المالحظVVات بالتVVVVVدقيق الVVVVVداخلي التVVدقيق في ضVVوء المالحظات الواردة في تقارير التVVدقيق بغVVرض التحقVVق بالتVVVVدقيق الVVVVداخلي
(التVVVVدقيقات) ،اإلدارة من سابقة (التVVدقيقات) ،اإلدارة خطVVVVVة معالجVVVVVة من العمل على تطبيقها.
تVVدقيقات/مراجعVVات المعنيVVVVVVة بVVVVVVاألمن المعنيVVVVVة بVVVVVاألمن المالحظات
السVVVVVVVVVVVVVVVVVVVيبراني سابقة السVVVVVVVVVVVVVVVVيبراني
(المراجعات) (المراجعات)
تأكيVVVVVVVد الVVVVVVVتزام رئيس اإلدارة المعنيVVة تقريVVVVVVر التVVVVVVدقيق التزام التVVدقيقات أو يجب إجVVراء تحليVVل اللVVتزام التVVدقيقات أو المراجعVVات رئيس اإلدارة 6-3
التVVVVVVVVVVVVVدقيقات أو بVVاألمن السVVيبراني أو المنفذة بخطة التدقيق الحالَّية في غضون شهر واحVVد من المعنيVVVVVة بVVVVVاألمن إلجVVVVVVVVVVVVVVVVVVVVراء المراجعات
المراجعVVات المنفVVذة من ينوب عنه انتهاء التدقيق أو المراجعة .وينبغي أن تشمل المراجعVVة السVVVVVVيبراني أو من التVVVدقيق/المراجعVVVة
بسجل خطط التدقيق المنفذ ،سVVجل خطVVط ينوب عنه الجوانب التالية:
اختر التصنيف
اإلصدار <>1.0
31
نموذج إجراءات تدقيق األمن السيبراني
RESTRICTED
رقم
الجهة
األطراف المعنية المخرجات المدخالت الوصف الخطوة التعري
المالكة/المسؤولة
ف
سجل خطط التVVدقيق اإلدارة المعنيVVVVVVVVVVVVة تحسVVVVينات خطVVVVة ينبغي إضافة أي تحسينات ممكنة أو دروس مستفادة قVVد اإلدارة المعنيVVVVVVVVVة سجل خطط التدقيق 6-4
بالتVVVVVدقيق الVVVVVداخلي المعَّد ل بالتVVVVدقيق الVVVVداخلي تجدي نفًع ا إلى خطة التدقيق في المستقبل ،إن ُو جدت. التدقيق
(التVVVVدقيقات) ،اإلدارة (التVVدقيقات) ،اإلدارة
المعنيVVVVVVة بVVVVVVاألمن المعنيVVVVVة بVVVVVاألمن
السVVVVVVVVVVVVVVVVVVVيبراني السVVVVVVVVVVVVVVVVيبراني
(المراجعات) (المراجعات)
اختر التصنيف
اإلصدار <>1.0
32
RESTRICTED
األدوار والمسؤوليات
مالك اإلجراء< :رئيس اإلدارة المعنية باألمن السيبراني> -1
مراجعة اإلجراء وتحديثها< :اإلدارة المعنية باألمن السيبراني> -2
تنفيذ اإلجراء وتطبيقه < :اإلدارة المعنية باألمن السيبراني> و <اإلدارة المعنية بالتدقيق الداخلي> -3
قياس االلتزام باإلجراء< :اإلدارة المعنية باألمن السيبراني> -4
التحديث والمراجعة
يجب على <اإلدارة المعنية بVVاألمن السVVيبراني> مراجعVVة اإلجVVراء مVVرة سVVنوًيا على األقVVل أو في حVVال
حدوث أي تغييرات في السياسات أو اإلجراءات التنظيمية في <اسم الجهة> أو المتطلبات التشريعية والتنظيميVVة
ذات العالقة.
االلتزام باإلجراء
يجب على <رئيس اإلدارة المعنيVVة بVVاألمن السVVيبراني> التأكVVد من الVVتزام <اسVVم الجهVVة> بهVVذا اإلجVVراء -1
دورًيا.
ينطبVVق هVVذا اإلجVVراء على جميVVع األنظمVVة والخVVوادم الخاصVVة ب<اسVVم الجهVVة> وعلى جميVVع العVVاملين -2
(الموظفين والمتعاقدين) في <اسم الجهة>.
قد يعّر ض أي انتهاك لهVذا اإلجVراء صVاحب المخالفVة إلى إجVراء تVأديبي حسVب اإلجVراءات المتبعVة في -3
<اسم الجهة>.
اختر التصنيف
اإلصدار <>1.0
0
متاح