Professional Documents
Culture Documents
PROCEDURE Cybersecurity Risk Management Template Ar v0.4
PROCEDURE Cybersecurity Risk Management Template Ar v0.4
إخالء المسؤولية
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس88يبراني كمث88ال توض88يحي يمكن اس88تخدامه ك88دليل
ومرجع للجهات .يجب أن يتم تعديل ه8ذا النم8وذج ومواءمت8ه م8ع أعم8ال <اس8م الجه8ة> والمتطلب8ات التش8ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض88ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اإلصدار <>1.0
1
نموذج إجراء إدارة مخاطر األمن السيبراني
اعتماد الوثيقة
نسخ الوثيقة
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اإلصدار <>1.0
2
نموذج إجراء إدارة مخاطر األمن السيبراني
قائمة المحتويات
الغرض 4............................................................................................................................
نطاق اإلجراء 4.....................................................................................................................
لمحة عامة عن عملية إدارة مخاطر األمن السيبراني 4..........................................................................
تفاصيل عملية إدارة مخاطر األمن السيبراني 5..................................................................................
المرحلة األولى :تحديد النطاق والسياق العام والمعايير 5.....................................................................
المرحلة الثانية :عملية تقييم مخاطر األمن السيبراني 9.......................................................................
المرحلة :1-2تحديد مخاطر األمن السيبراني 9..............................................................................
المرحلة :2-2تحليل مخاطر األمن السيبراني 11............................................................................
المرحلة :3-2تقييم مخاطر األمن السيبراني 13..............................................................................
المرحلة الثالثة :معالجة مخاطر األمن السيبراني 15..........................................................................
المرحلة الرابعة :التسجيل وإعداد التقارير 18.................................................................................
المرحلة الخامسة :التواصل والمتابعة 21......................................................................................
األدوار والمسؤوليات 23...........................................................................................................
التحديث والمراجعة 23.............................................................................................................
االلتزام بالدليل 23..................................................................................................................
اإلصدار <>1.0
3
نموذج إجراء إدارة مخاطر األمن السيبراني
الغرض
يهدف هذا اإلجراء إلى تحديد المتطلبات التفصيلية المتعلقة بعملية إدارة مخاطر األمن السيبراني في
<اسم الجهة>.وتتوافق هذه المتطلبات مع أفضل الممارسات في هذا المجال و تتوافق مع سياسة إدارة المخ88اطر
في <اسم الجهة>.
كما تمت مواءمة هذه المتطلبات مع متطلبات األمن السيبراني الصادرة عن الهيئة الوطنية لألمن
السيبراني وتشمل ،على سبيل المثال ال الحصر :الضوابط األساسية لألمن الس88يبراني (،)ECC – 1: 2018
وض88وابط األمن الس88يبراني لألنظم88ة الحساس88ة ( )CSCC – 1: 2019وغيره88ا من المتطلب88ات التش88ريعية
والتنظيمية ذات العالقة.
نطاق اإلجراء
يغطي ه88ذا اإلج88راء عملي88ة إدارة مخ88اطر األمن الس88يبراني ل88دى <اس88م الجه88ة> وينطب88ق على جمي88ع
العاملين (الموظفين والمتعاقدين) في <اسم الجهة>.
اإلصدار <>1.0
4
تفاصيل عملية إدارة مخاطر األمن السيبراني
المرحلة األولى :تحديد النطاق والسياق العام والمعايير
الشكل - 2مخطط سير العمل في مرحلة تحديد النطاق والسياق العام والمعايير
اإلصدار <>1.0
5
األطراف المعنية الُمخرجات الُمدخالت المالك /المسؤول الوصف الخطوة الرقم
اإلدارة المعني88888ة ب88888األمن التنس88يق لعملي88ة إدارة مخ88اطر األمن الس88يبراني بالكام88ل في <اس88م اإلدارة المعني888ة ب888األمن الوث88ائق الحالي88ة المتعلق88ة خطوات العملية المنسقة التنسيق للعملية 1-1
السيبراني ب8888إدارة مخ8888اطر األمن السيبراني الجهة>.
السيبراني
تحدي88888888د األص88888888ول يجب تحدي88د األص88ول والعملي88ات ذات الص88لة بـ <اس88م الجه88ة> اإلدارة المعني888ة ب888األمن األص88ول والعملي88ات في األصول والعملي88ات ذات اإلدارة المعني88888ة ب88888األمن 1-2
الص888لة المح888ددة ل888دى الس8888888888888يبراني ،ورئيس الس8888888888يبراني ،ورئيس <اسم الجهة> وطريقة استخدامها من جانب <اسم الجهة>. والعمليات
اإلدارة ،ومالك األص888ول، <اسم الجهة> اإلدارة ،ومالك
ومالك العمليات األص8888888888888ول ،ومالك
العمليات
اإلدارة المعني888ة ب888األمن أه88داف وغاي88ات <اس88م الس888ياق الع888ام المح888دد اإلدارة المعني88888ة ب88888األمن يجب تحديد السياق العام ال88داخلي والخ88ارجي لعملي88ة إدارة مخ88اطر تحديد السياق العام 1-3
الجه888888ة> واألص888888ول إلدارة مخ8888888اطر األمن السيبراني السيبراني األمن السيبراني الذي تسعى فيه <اسم الجه8ة> إلى تحدي8د وتحقي8ق
الموج88888ودة والعوام88888ل الس88888يبراني في <اس88888م أهدافها .ويجب أن يستند الس88ياق الع88ام لعملي88ة إدارة مخ88اطر األمن
الجهة> الخارجية السيبراني إلى فهم البيئة الخارجية والداخلية التي تعم8ل فيه8ا <اس8م
الجهة> وأن يعكس البيئة المحددة للنشاط الذي سيتم تط88بيق العملي88ة
عليه .ويجب مراعاة العوامل التالية على وجه التحديد:
اإلصدار <>1.0
6
نموذج إجراء إدارة مخاطر األمن السيبراني
يجب تحديد معايير تقييم مدى أهمية مخاطر األمن الس88يبراني ودعم اإلدارة المعني888ة ب888األمن الس888ياق الع888ام المح888دد المع88ايير المح88ددة لتق88ييم اإلدارة المعني88888ة ب88888األمن تحديد المعايير 1-4
إلدارة مخ8888888اطر األمن إدارة مخ888888888اطر األمن السيبراني عمليات اتخاذ القرار .ويجب أن تكون مع88ايير تق88ييم مخ88اطر األمن السيبراني
السيبراني السيبراني الس8يبراني متوافق8ة م8ع إط8ار إدارة مخ8اطر األمن الس8يبراني ل8دى
<اسم الجهة> وأن يتم تخصيصها بما يتناسب م88ع الغ88رض المح8دد
ونطاق النشاط الخاضع للدراسة .كم88ا يجب أن تعكس مع88ايير تق88ييم
مخاطر األمن السيبراني قيم وأه88داف وم88وارد <اس88م الجه88ة> وأن
تكون متسقة مع السياسات والبيانات المتعلق88ة ب88إدارة مخ88اطر األمن
الس88يبراني .ويجب تحدي88د المع88ايير م88ع مراع88اة التزام88ات <اس88م
الجهة> وآراء الجهات المعنية .ولتحديد المعايير ،يجب مراع88اة م88ا
يلي:
اإلصدار <>1.0
7
نموذج إجراء إدارة مخاطر األمن السيبراني
مراجع8888888ة المع8888888ايير رغم أنه يجب تحديد مع88ايير تق8ييم المخ8اطر في بداي8ة عملي8ة تق8ييم اإلدارة المعني888ة ب888األمن المع88ايير المح88ددة لتق88ييم المع888888ايير المراجع888888ة اإلدارة المعني88888ة ب88888األمن 1-5
السيبراني إدارة مخ888888888اطر األمن والمحّدثة مخ888اطر األمن الس888يبراني ،إال أنه888ا ديناميكي888ة ويجب مراجعته888ا السيبراني وتحديثها
السيبراني وتعديلها باستمرار ،إذا لزم األمر.
تحدي88888د م88888دى تقب88888ل يجب تحديد مدى تقب88ل مخ88اطر األمن الس88يبراني .كم88ا يجب تحدي88د اإلدارة المعني888ة ب888األمن النط888اق والس888ياق الع888ام تحديد مدى تقبل مخ88اطر اإلدارة المعني88888ة ب88888األمن 1-6
الس888يبراني ،وفري888ق إدارة األمن السيبراني معايير تقبل مخ8اطر األمن الس8يبراني وتوثيقه8ا وفًق ا لمس8توى تل8ك السيبراني ،وفري88ق إدارة والمعايير المحددة المخاطر
المخاطر المخاطر ًة
المخاطر وتكلفة معالجتها مقارن بتأثيرها.
اعتم88اد النط88اق والس88ياق يجب اعتماد النطاق والسياق الع88ام والمع88ايير وم88دى تقب88ل مخ88اطر رئيس اإلدارة المعني8888888ة النط888اق والس888ياق الع888ام اعتم88اد النط88اق والس88ياق رئيس اإلدارة المعني888888888ة 1-7
والمع888ايير وم888دى تقب888ل الع88ام والمع88ايير وم88دى باألمن السيبراني باألمن السيبراني الع88ام والمع88ايير وم88دى األمن السيبراني المحددة.
تقبل المخاطر المخاطر المحددة تقبل المخاطر
اإلصدار <>1.0
8
نموذج إجراء إدارة مخاطر األمن السيبراني
تحدي8888د مخ8888اطر األمن يجب تحدي88د مخ88اطر األمن الس88يبراني على أعم88ال أو أص88ول أو اإلدارة المعني888ة ب888األمن المعلوم88ات عن أعم88ال مخاطر األمن الس88يبراني اإلدارة المعني88888ة ب88888األمن 2-1-1
وأصول وم8وظفي <اس8م م888وظفي <اس888م الجه888ة> .والغ888رض من تحدي888د مخ888اطر األمن السيبراني
اإلصدار <>1.0
9
نموذج إجراء إدارة مخاطر األمن السيبراني
السيبراني المحددة الجهة> السيبراني هو تحديد المخاطر التي ق88د تس88اعد الجه88ة أو تمنعه88ا من السيبراني
تحقيق أهدافها وإدراك تلك المخاطر ووصفها.
دمج احتياج88ات األعم88ال تجب مراع88اة العوام88ل التالي88ة خالل عملي88ة تحدي88د مخ88اطر األمن اإلدارة المعني888ة ب888األمن مخاطر األمن الس88يبراني القائم88ة المعدل88ة لمخ88اطر اإلدارة المعني88888ة ب88888األمن 2-1-2
السيبراني واحتياج88888ات األعم88888ال األمن السيبراني السيبراني والعوامل المختلفة لتحديد السيبراني:
المحددة مخاطر األمن السيبراني
مص888ادر مخ888اطر األمن الس888يبراني الملموس888ة وغ888ير .1
الملموسة.
اإلصدار <>1.0
10
نموذج إجراء إدارة مخاطر األمن السيبراني
يجب تع888يين مالك المخ888اطر ،وتع888يين رؤس888اء اإلدارات أو مالك رئيس اإلدارة المعني8888888ة قائم88888ة مخ88888اطر األمن تعيين المالك لك88ل خط88ر رئيس اإلدارة المعني888888888ة تعيين مالك المخاطر 2 2-1-3
من مخ888888888888اطر األمن ب88األمن الس88يبراني ،ومالك األصول والعمليات الذين سيشاركون في عملية إدارة مخاطر األمن ب888888األمن الس888888يبراني ،السيبراني
المخاطر ،واإلدارة المعني88ة السيبراني المحددة واإلدارة المعني88ة ب88األمن السيبراني.
باألمن السيبراني السيبراني
اإلصدار <>1.0
11
نموذج إجراء إدارة مخاطر األمن السيبراني
تحلي8888ل مخ8888اطر األمن يجب تحليل مخاطر األمن السيبراني الكامنة المح88ددة بالتنس88يق م88ع اإلدارة المعني888ة ب888األمن قائم88888ة مخ88888اطر األمن المس88توى التق88ديري لك88ل اإلدارة المعني88888ة ب88888األمن 2-2-1
خط88ر من مخ88اطر األمن الس88888888888888يبراني ،ومالك جميع الجه8ات المعني8ة .كم8ا يجب تق8ييم احتمالي8ة وق8وع التهدي8دات الس88888888888يبراني ،ومالك السيبراني السيبراني
المخاطر السيبراني وحجمها /تأثيرها وت88داعياتها ،م88ع تق88دير المس88توى الع88ام لمخ88اطر المخاطر
األمن السيبراني بناًء على ذلك.
دمج احتياج88ات األعم88ال عن88د تحلي88ل المخ88اطر ،ينبغي إج88راء دراس88ة تفص88يلية للش88كوك اإلدارة المعني888ة ب888األمن قائم88888ة مخ88888اطر األمن القائم88ة المعدل88ة لمخ88اطر اإلدارة المعني88888ة ب88888األمن 2 2-2-2
الس88888888888888يبراني ،ومالك والعوامل المختلفة لتحديد ومصادر مخاطر األمن الس8يبراني والت8داعيات واحتمالي8ة الح8دوث الس88888888888يبراني ،ومالك الس888يبراني ،والمس888توى األمن السيبراني
المخاطر التق88ديري لك88ل خط88ر من المخاطر مخاطر األمن السيبراني واألحداث والسيناريوهات والضوابط ومستوى الفعالية.
مخاطر األمن السيبراني
يجب مراع88اة االختالف في اآلراء والتح88يزات والتص88ورات بش88أن
مخاطر األمن الس88يبراني واألحك88ام وج88ودة المعلوم88ات المس88تخدمة
واالفتراض88ات واالس88تثناءات المطبق88ة وأي قي88ود تتعل88ق بالتقني88ات
وكيفية تنفيذها ،ألنها قد تؤثر على تحليل مخاطر األمن الس88يبراني.
ويجب توثيق هذه العوامل وتعميمها على صانعي القرار.
اإلدارة المعني888ة ب888األمن قائم88888ة مخ88888اطر األمن التصنيف العام المحتس88ب اإلدارة المعني88888ة ب88888األمن اعتماد المنهجي8ة النوعي8ة يمكن اعتماد منهجي88ة نوعي88ة أو كمي88ة ،أو كليهم88ا ،لتحلي88ل مخ88اطر 2 2-2-3
للمخ88888اطر ،ومس88888توى السيبراني السيبراني السيبراني األمن السيبراني الكامنة بن88اًء على المنهجي88ة المس88تخدمة في اإلدارة والكمية
األهمي8888ة المقَّيم مقارنً8888ة المعنية بإدارة المخاطر .ويجب اعتماد المنهجية الكّمي8ة لتحلي8ل ك88ل
بمدى تقبل المخاطر خطر من مخاطر األمن السيبراني من أجل حساب التص88نيف الع88ام
للمخاطر وتقييم مستوى أهميتها ومقارنتها بمدى تقبل المخاطر .كما
يجب اس88تخدام المنهجي88ة النوعي88ة لتق88ييم ك88ل خط88ر من المخ88اطر
المعقدة ،مع ضرورة مراع88اة العدي88د من العوام88ل .ويمكن اس88تخدام
اإلصدار <>1.0
12
نموذج إجراء إدارة مخاطر األمن السيبراني
رئيس اإلدارة المعني8888888ة قائم88888ة مخ88888اطر األمن النت88ائج المعتم88دة لتحلي88ل رئيس اإلدارة المعني888888888ة اعتم888اد تحلي888ل مخ888اطر يجب اعتماد نتائج تحليل مخاطر األمن السيبراني. 2 2-2-4
الس888يبراني ،والتص888نيف مخاطر األمن السيبراني باألمن السيبراني باألمن السيبراني األمن السيبراني
العام المحتسب للمخاطر،
ومس88توى األهمي88ة المقَّيم
مقارنً8888ة بم8888دى تقب8888ل
المخاطر
تق88888ييم مخ88888اطر األمن يجب تقييم مخ88اطر األمن الس88يبراني وفًق ا لمع88ايير التق88ييم المح88ددة اإلدارة المعني888ة ب888األمن قائم88888ة مخ88888اطر األمن تق88888ييم مخ88888اطر األمن اإلدارة المعني88888ة ب88888األمن 2-3-1
الس8يبراني وفًق ا للمع8ايير السيبراني السيبراني لدى <اسم الجه88ة> من أج8ل تحدي8د الخط88وات التالي8ة وتق8ييم م88دى السيبراني السيبراني
المحددة أولوية إجراءات معالجة تلك المخاطر.
اإلصدار <>1.0
13
نموذج إجراء إدارة مخاطر األمن السيبراني
دمج احتياج88ات األعم88ال يجب أن ُي راعى في الق88رارات الس88ياق الع88ام والت88داعيات الفعلي88ة اإلدارة المعني888ة ب888األمن تق88888ييم مخ88888اطر األمن القائم88ة المعدل88ة لمخ88اطر اإلدارة المعني88888ة ب88888األمن 2-3-2
السيبراني الس8يبراني وفًق ا للمع8ايير األمن السيبراني السيبراني والعوامل المختلفة لتحديد والمتوقعة على الجهات المعنية الخارجية والداخلية.
المح8888ددة ،واحتياج8888ات مخاطر األمن السيبراني
األعمال
رئيس اإلدارة المعني8888888ة قائم88888ة مخ88888اطر األمن النت888ائج المعتم888دة لتق888ييم رئيس اإلدارة المعني888888888ة اعتم888اد تق888ييم مخ888اطر يجب اعتماد تقييم مخاطر األمن السيبراني الذي تم إجراؤه. 2-3-3
الس888888يبراني ،وتق888888ييم مخاطر األمن السيبراني باألمن السيبراني باألمن السيبراني األمن السيبراني
مخاطر األمن الس88يبراني
وفًقا للمعايير المحددة
اإلصدار <>1.0
14
نموذج إجراء إدارة مخاطر األمن السيبراني
اإلصدار <>1.0
15
نموذج إجراء إدارة مخاطر األمن السيبراني
اإلدارة المعني888ة ب888األمن قائم88888ة مخ88888اطر األمن خيارات معالج8ة مخ8اطر اإلدارة المعني88888ة ب88888األمن اختي88888ار معالج88888ة 3-1
يجب تحديد خي88ارات معالج88ة مخ88اطر األمن الس88يبراني من بين م88ا
األمن السيبراني المحددة الس88888888888888يبراني ،ومالك الس88888888888يبراني ،ومالك السيبراني مخ8888888888اطر األمن
يلي:
ّف
المخاطر ،ومن ذ الضوابط المخاطر السيبراني
التخفيف من مخ8اطر األمن الس8يبراني :يتم التخفي8ف من .1
مخ88اطر األمن الس88يبراني من خالل تط88بيق الض88وابط
األمني888ة المطلوب888ة للح888د من احتماليته888ا أو حجمه888ا /
تأثيرها ،أو كليهما ،والوصول بتق88ييم تل88ك المخ88اطر إلى
مستوى يمكن قبوله.
يجب تحديد خيارات معالجة مخاطر األمن السيبراني وتوثيقها بن88اًء اإلدارة المعني888ة ب888األمن خيارات معالج8ة مخ8اطر خيارات معالج8ة مخ8اطر اإلدارة المعني88888ة ب88888األمن دمج احتياج888888888ات 3-2
األمن الس88888888888888يبراني األمن السيبراني المعدلة السيبراني على نتائج التقييم الذي تم إجراؤه سابًقا لتلك المخاطر وتحليل تكلف88ة السيبراني األعم88ال والعوام88ل
المح8888ددة ،واحتياج8888ات التنفيذ والفوائد المتوقعة. المختلف8888ة لتحدي8888د
األعمال مخ8888888888اطر األمن
السيبراني
اإلصدار <>1.0
16
نموذج إجراء إدارة مخاطر األمن السيبراني
رئيس اإلدارة المعني8888888ة خيارات معالج8ة مخ8اطر إجراءات معالجة مخاطر رئيس اإلدارة المعني888888888ة اعتم888اد إج888راءات يجب اعتماد إجراءات معالجة مخاطر األمن السيبراني المحددة. 3-3
األمن السيبراني المعدلة األمن السيبراني المعتمدة ب88األمن الس88يبراني ،ومالك باألمن السيبراني معالج8888ة مخ8888اطر
المخاطر األمن السيبراني
تحلي88888ل مخ88888اطر يجب تحلي88ل مخ88اطر األمن الس88يبراني المتبقي88ة ،م88ع تق88دير م88دى اإلدارة المعني888ة ب888األمن إجراءات معالجة مخاطر تحلي8888ل مخ8888اطر األمن اإلدارة المعني88888ة ب88888األمن 3-4
السيبراني األمن السيبراني المعتمدة السيبراني المتبقية األمن الس888888يبراني احتمالية وقوع تلك المخاطر وحجمها /تأثيرها على وجه التحديد .السيبراني
المتبقية
المقارنة بمدى تقب88ل يجب مقارن88ة تق88ييم مخ88اطر األمن الس88يبراني المتبقي88ة بم88دى تقّب ل اإلدارة المعني888ة ب888األمن تحلي8888ل مخ8888اطر األمن نت888ائج مقارن888ة مخ888اطر اإلدارة المعني88888ة ب88888األمن 3-5
األمن السيبراني المتبقي88ة السيبراني السيبراني المتبقية مخ8888888888اطر األمن مخاطر األمن السيبراني .وفي حالة تجاوز المخاطر المتبقي88ة لم88دى السيبراني
بمدى تقّبل المخاطر تقّبل المخاطر ،يجب تطبيق ضوابط أخرى للحد من مخ88اطر األمن السيبراني
السيبراني إلى مستوى مقبول.
اعتم888888اد تحلي888888ل يجب اعتم888اد تحلي888ل مخ888اطر األمن الس888يبراني المتبقي888ة ونت888ائج رئيس اإلدارة المعني8888888ة نت888ائج مقارن888ة مخ888اطر النت8ائج المعتم8دة لمقارن8ة رئيس اإلدارة المعني888888888ة 3-6
األمن السيبراني المتبقي88ة مخاطر األمن الس88يبراني باألمن السيبراني باألمن السيبراني مخ8888888888اطر األمن مقارنتها بمدى تقّبل مخاطر األمن السيبراني.
المتبقي8888ة بم8888دى تقّب ل بمدى تقّبل المخاطر السيبراني المتبقية
المخاطر
في حالة عدم إمكانية الحد من مخاطر األمن السيبراني المتبقي88ة إلى رئيس اإلدارة المعني8888888ة مخاطر األمن الس88يبراني التص8888888888عيد إلى رئيس رئيس اإلدارة المعني888888888ة التصعيد 3-7
باألمن الس88يبراني ،ورئيس المتبقي888ة تتج888اوز م888دى <اسم الجهة> مستوى تقّبل مخاطر األمن السيبراني أو إذا ك88انت تكلفته88ا تتج88اوز باألمن السيبراني
<اسم الجهة> تقّبل المخ8اطر أو تكلفته8ا األرب88اح ،يتم تص88عيد المس88ألة إلى رئيس <اس88م الجه88ة> التخ88اذ
تتجاوز األرباح اإلجراءات أو القرارات الالزمة.
اإلصدار <>1.0
17
نموذج إجراء إدارة مخاطر األمن السيبراني
اإلصدار <>1.0
18
نموذج إجراء إدارة مخاطر األمن السيبراني
تح888ديث س888جل مخ888اطر يجب إعداد سجل لمخاطر األمن الس88يبراني وتحديث88ه لتوثي88ق نت88ائج اإلدارة المعني888ة ب888األمن قائم88888ة مخ88888اطر األمن س88888جل مخ88888اطر األمن اإلدارة المعني88888ة ب88888األمن 4-1
السيبراني الس88888888888يبراني ،ومالك السيبراني عملي88ة إدارة مخ88اطر األمن الس88يبراني .ويجب أن يش88مل الس88جل ،السيبراني األمن السيبراني
المخ8888اطر ،وخي8888ارات على األقل ،المعلومات التالية:
معالج888ة مخ888اطر األمن
الس8888يبراني ،ومخ8888اطر الرمز التعريفي لمخاطر األمن السيبراني .1
األمن السيبراني المتبقي88ة
نط888اق مخ888اطر األمن الس888يبراني (المنطق888ة المت888أثرة .2
المحللة
بمخاطر األمن السيبراني)
اإلصدار <>1.0
19
نموذج إجراء إدارة مخاطر األمن السيبراني
إتاحة الوصول إلى سجل يجب إتاحة الوصول إلى سجل مخاطر األمن الس88يبراني إلى جمي88ع اإلدارة المعني888ة ب888األمن س88888جل مخ88888اطر األمن منح ص88الحية الوص88ول اإلدارة المعني88888ة ب88888األمن 4-2
إلى س88جل مخ88اطر األمن السيبراني السيبراني السيبراني مخاطر األمن السيبراني الجهات المعنية على أساس مبدأ "الحاجة إلى المعرفة".
الس888يبراني إلى الجه888ات
المعنية
اعتم8888اد قي8888ود س8888جل يجب اعتماد جميع القيود المض88افة ح88ديًث ا إلى س88جل مخ88اطر األمن رئيس اإلدارة المعني8888888ة س88888جل مخ88888اطر األمن اعتم888اد س888جل مخ888اطر رئيس اإلدارة المعني888888888ة 4 4-3
األمن الس88888888888888يبراني باألمن السيبراني السيبراني باألمن السيبراني مخاطر األمن السيبراني السيبراني والصالحيات الممنوحة للوصول إليه.
وص888الحيات الوص888ول
الممنوحة
مراجع88ة س88جل مخ88اطر يجب مراجع88ة س88جل مخ88اطر األمن الس88يبراني س88نوًيا على األق88ل ،اإلدارة المعني88ة بالت88دقيق س88888جل مخ88888اطر األمن س88888جل مخ88888اطر األمن اإلدارة المعني8888ة بالت8888دقيق 4 4-4
الداخلي السيبراني المراَج ع السيبراني الداخلي خاصًة في إطار تنفيذ إجراءات معالجة مخاطر األمن السيبراني. األمن السيبراني
اإلصدار <>1.0
20
نموذج إجراء إدارة مخاطر األمن السيبراني
التواص88888ل والتش88888اور اإلدارة المعني88888ة ب88888األمن يجب التواص88ل والتش88اور بش88أن جمي88ع الخط88وات واإلج88راءات اإلدارة المعني888ة ب888األمن جميع خطوات العملية التواصل والتشاور 5-1
بوض888وح م888ع الجه888ات السيبراني المتخ88ذة خالل عملي88ة إدارة مخ88اطر األمن الس88يبراني م88ع جمي88ع السيبراني
المعنية بشأن اإلج88راءات الجهات المعنية الداخلية والخارجي8ة .والغ8رض من ه8ذا ه8و توف8ير
فهم أفضل ومبررات لجميع اإلجراءات المتخذة فيم88ا يتعل88ق بعملي88ة
اإلصدار <>1.0
21
نموذج إجراء إدارة مخاطر األمن السيبراني
يجب متابع88ة جمي88ع مخ88اطر األمن الس88يبراني المح88ددة وت88دابير اإلدارة المعني888ة ب888األمن س88888جل مخ88888اطر األمن متابع88ة ومراجع88ة س88جل اإلدارة المعني88888ة ب88888األمن المتابعة والمراجعة 5-2
مخاطر األمن السيبراني الس88888888888888يبراني ،ومالك الس88888888888يبراني ،ومالك السيبراني معالجتها المطبقة ومراجعتها باستمرار.
المخاطر المخاطر
ويجب أن تتم المتابعة والمراجعة في جميع مراحل العملية.
اإلصدار <>1.0
22
نموذج إجراء إدارة مخاطر األمن السيبراني
RESTRICTED
األدوار والمسؤوليات
مالك اإلجراء< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة اإلجراء وتحديثه< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ اإلجراء وتطبيقه< :اإلدارة المعنية بتقنية المعلومات> و<اإلدارة المعنية باألمن السيبراني>. -3
قياس االلتزام باإلجراء< :اإلدارة المعنية باألمن السيبراني>. -4
التحديث والمراجعة
يجب على <اإلدارة المعنية باألمن السيبراني> مراجعة اإلجراء س88نوًيا على األق88ل أو في ح88ال ح88دوث
تغي88يرات في السياس88ات أو اإلج88راءات التنظيمي88ة في <اس88م الجه88ة> أو المتطلب88ات التش88ريعية والتنظيمي88ة ذات
العالقة.
االلتزام باإلجراء
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذا اإلجراء دورًيا. -1
يغطي هذا اإلجراء جميع محطات العمل والخوادم في <اسم الجه88ة> و يجب على كاف88ة الع88املين في <اس88م -2
الجهة> االلتزام بهذا اإلجراء.
قد يعرض أي انتهاك لهذا اإلجراء صاحب المخالفة إلى إجراء تأديبي حسب اإلج88راءات المتبع88ة في <اس88م -3
الجهة>.
اإلصدار <>1.0
23
نموذج إجراء إدارة م
اإلصدار <>1.0
24