‫هذا المربع مخّص ص ألغراض توجيهية‪ .

‬احذف جميع المربعات التوجيهية‬

‫بع‪8‬د تعبئ‪8‬ة النم‪8‬وذج‪ .‬يجب تحري‪8‬ر البن‪8‬ود الملّو ن‪8‬ة ب‪8‬اللون األزرق بص‪8‬ورة‬
‫مناسبة‪ .‬ويجب إزالة التظليل الملون بعد إجراء التعديالت‪.‬‬

‫أدخل شعار الجهة بالضغط على الصورة الموضحة‪.‬‬

‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫استبدل <اسم الجهة> باسم الجهة في مجمل صفحات الوثيقة‪.‬‬

‫وللقيام بذلك‪ ،‬اتبع الخطوات التالية‪:‬‬
‫اض‪88‬غط على مفت‪88‬احي "‪ "Ctrl‬و"‪ "H‬في ال‪88‬وقت‬ ‫‪‬‬
‫نفسه‪.‬‬
‫أض‪88‬ف "<اس‪88‬م الجه‪88‬ة>" في مرب‪88‬ع البحث عن‬ ‫‪‬‬
‫النص‪.‬‬ ‫اضغط هنا إلضافة تاريخ‬ ‫التاريخ‪:‬‬
‫أدخل االسم الكامل لجهتك في مرب‪88‬ع "اس‪88‬تبدال"‬ ‫‪‬‬ ‫اضغط هنا إلضافة نص‬ ‫اإلصدار‪:‬‬
‫النص‪.‬‬
‫اض‪888‬غط على "المزي‪888‬د" وتأّك د من اختي‪888‬ار "‬ ‫‪‬‬
‫اضغط هنا إلضافة نص‬ ‫المرجع‪:‬‬
‫‪."Match case‬‬
‫اضغط على "استبدل الكل"‪.‬‬ ‫‪‬‬
‫أغلق مربع الحوار‪.‬‬ ‫‪‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫إخالء المسؤولية‬
‫ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس‪88‬يبراني كمث‪88‬ال توض‪88‬يحي يمكن اس‪88‬تخدامه ك‪88‬دليل‬
‫ومرجع للجهات‪ .‬يجب أن يتم تعديل ه‪8‬ذا النم‪8‬وذج ومواءمت‪8‬ه م‪8‬ع أعم‪8‬ال <اس‪8‬م الجه‪8‬ة> والمتطلب‪8‬ات التش‪8‬ريعية‬
‫والتنظيمية ذات العالقة‪ .‬كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم‪/‬تقوم بتفويض‪88‬ه‪ .‬وتخلي‬
‫الهيئة مسؤوليتها من استخدام هذا النموذج كما هو‪ ،‬وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي‪.‬‬

‫اإلصدار <‪>1.0‬‬

‫‪1‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫اعتماد الوثيقة‬

‫التوقيع‬ ‫التاريخ‬ ‫االسم‬ ‫المسمى الوظيفي‬ ‫الدور‬

‫اضغط هنا إلضافة‬

‫<أدخل التوقيع>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل المسمى الوظيفي>‬
‫تاريخ‬

‫نسخ الوثيقة‬

‫أسباب التعديل‬ ‫ٌعدَل بواسطة‬ ‫التاريخ‬ ‫النسخة‬

‫اضغط هنا إلضافة‬

‫<أدخل وصف التعديل>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل رقم النسخة>‬
‫تاريخ‬

‫جدول المراجعة‬

‫تاريخ المراجعة القادمة‬ ‫التاريخ ألخر مراجعة‬ ‫معدل المراجعة‬

‫اضغط هنا إلضافة تاريخ‬ ‫اضغط هنا إلضافة تاريخ‬ ‫مره واحدة كل سنة‬

‫اإلصدار <‪>1.0‬‬

‫‪2‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫قائمة المحتويات‬
‫الغرض ‪4............................................................................................................................‬‬
‫نطاق اإلجراء ‪4.....................................................................................................................‬‬
‫لمحة عامة عن عملية إدارة مخاطر األمن السيبراني ‪4..........................................................................‬‬
‫تفاصيل عملية إدارة مخاطر األمن السيبراني ‪5..................................................................................‬‬
‫المرحلة األولى‪ :‬تحديد النطاق والسياق العام والمعايير ‪5.....................................................................‬‬
‫المرحلة الثانية‪ :‬عملية تقييم مخاطر األمن السيبراني ‪9.......................................................................‬‬
‫المرحلة ‪ :1-2‬تحديد مخاطر األمن السيبراني ‪9..............................................................................‬‬
‫المرحلة ‪ :2-2‬تحليل مخاطر األمن السيبراني ‪11............................................................................‬‬
‫المرحلة ‪ :3-2‬تقييم مخاطر األمن السيبراني ‪13..............................................................................‬‬
‫المرحلة الثالثة‪ :‬معالجة مخاطر األمن السيبراني ‪15..........................................................................‬‬
‫المرحلة الرابعة‪ :‬التسجيل وإعداد التقارير ‪18.................................................................................‬‬
‫المرحلة الخامسة‪ :‬التواصل والمتابعة ‪21......................................................................................‬‬
‫األدوار والمسؤوليات ‪23...........................................................................................................‬‬
‫التحديث والمراجعة ‪23.............................................................................................................‬‬
‫االلتزام بالدليل ‪23..................................................................................................................‬‬

‫اإلصدار <‪>1.0‬‬

‫‪3‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫الغرض‬
‫يهدف هذا اإلجراء إلى تحديد المتطلبات التفصيلية المتعلقة بعملية إدارة مخاطر األمن السيبراني في‬
‫<اسم الجهة>‪‌.‬وتتوافق هذه المتطلبات مع أفضل الممارسات في هذا المجال و تتوافق مع سياسة إدارة المخ‪88‬اطر‬
‫في <اسم الجهة>‪.‬‬
‫كما تمت مواءمة هذه المتطلبات مع متطلبات األمن السيبراني الصادرة عن الهيئة الوطنية لألمن‬
‫السيبراني وتشمل‪ ،‬على سبيل المثال ال الحصر‪ :‬الضوابط األساسية لألمن الس‪88‬يبراني (‪،)ECC – 1: 2018‬‬
‫وض‪88‬وابط األمن الس‪88‬يبراني لألنظم‪88‬ة الحساس‪88‬ة ( ‪ )CSCC – 1: 2019‬وغيره‪88‬ا من المتطلب‪88‬ات التش‪88‬ريعية‬
‫والتنظيمية ذات العالقة‪.‬‬

‫نطاق اإلجراء‬
‫يغطي ه‪88‬ذا اإلج‪88‬راء عملي‪88‬ة إدارة مخ‪88‬اطر األمن الس‪88‬يبراني ل‪88‬دى <اس‪88‬م الجه‪88‬ة> وينطب‪88‬ق على جمي‪88‬ع‬
‫العاملين (الموظفين والمتعاقدين) في <اسم الجهة>‪.‬‬

‫لمحة عامة عن عملية إدارة مخاطر األمن السيبراني‬

‫يجب أن تعتمد عملية إدارة مخاطر األمن السيبراني على الخطوات التالية‪:‬‬
‫‪ .1‬تحديد النطاق والسياق العام والمعايير‬
‫‪ .2‬عملية تقييم مخاطر األمن السيبراني‬
‫تحديد المخاطر‬ ‫‪2.1‬‬
‫تحليل المخاطر‬ ‫‪2.2‬‬
‫تقييم المخاطر‬ ‫‪2.3‬‬
‫‪ .3‬معالجة مخاطر األمن السيبراني‬
‫‪ .4‬التسجيل وإعداد التقارير‬
‫‪ .5‬التواصل والمتابعة‬

‫الشكل ‪ - 1‬لمحة عامة عن مراحل اإلجراء‬

‫اإلصدار <‪>1.0‬‬

‫‪4‬‬
 ‫تفاصيل عملية إدارة مخاطر األمن السيبراني‬
‫المرحلة األولى‪ :‬تحديد النطاق والسياق العام والمعايير‬

‫الشكل ‪ - 2‬مخطط سير العمل في مرحلة تحديد النطاق والسياق العام والمعايير‬

‫اإلصدار <‪>1.0‬‬

‫‪5‬‬
 ‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك ‪ /‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬ ‫الرقم‬

‫اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫التنس‪88‬يق لعملي‪88‬ة إدارة مخ‪88‬اطر األمن الس‪88‬يبراني بالكام‪88‬ل في <اس‪88‬م اإلدارة المعني‪888‬ة ب‪888‬األمن الوث‪88‬ائق الحالي‪88‬ة المتعلق‪88‬ة خطوات العملية المنسقة‬ ‫التنسيق للعملية‬ ‫‪1-1‬‬
‫السيبراني‬ ‫ب‪8888‬إدارة مخ‪8888‬اطر األمن‬ ‫السيبراني‬ ‫الجهة>‪.‬‬
‫السيبراني‬

‫تحدي‪88888888‬د األص‪88888888‬ول يجب تحدي‪88‬د األص‪88‬ول والعملي‪88‬ات ذات الص‪88‬لة بـ <اس‪88‬م الجه‪88‬ة> اإلدارة المعني‪888‬ة ب‪888‬األمن األص‪88‬ول والعملي‪88‬ات في األصول والعملي‪88‬ات ذات اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫‪1-2‬‬
‫الص‪888‬لة المح‪888‬ددة ل‪888‬دى الس‪8888888888888‬يبراني‪ ،‬ورئيس‬ ‫الس‪8888888888‬يبراني‪ ،‬ورئيس <اسم الجهة>‬ ‫وطريقة استخدامها من جانب <اسم الجهة>‪.‬‬ ‫والعمليات‬
‫اإلدارة‪ ،‬ومالك األص‪888‬ول‪،‬‬ ‫<اسم الجهة>‬ ‫اإلدارة‪ ،‬ومالك‬
‫ومالك العمليات‬ ‫األص‪8888888888888‬ول‪ ،‬ومالك‬
‫العمليات‬

‫اإلدارة المعني‪888‬ة ب‪888‬األمن أه‪88‬داف وغاي‪88‬ات <اس‪88‬م الس‪888‬ياق الع‪888‬ام المح‪888‬دد اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫يجب تحديد السياق العام ال‪88‬داخلي والخ‪88‬ارجي لعملي‪88‬ة إدارة مخ‪88‬اطر‬ ‫تحديد السياق العام‬ ‫‪1-3‬‬
‫الجه‪888888‬ة> واألص‪888888‬ول إلدارة مخ‪8888888‬اطر األمن السيبراني‬ ‫السيبراني‬ ‫األمن السيبراني الذي تسعى فيه <اسم الجه‪8‬ة> إلى تحدي‪8‬د وتحقي‪8‬ق‬
‫الموج‪88888‬ودة والعوام‪88888‬ل الس‪88888‬يبراني في <اس‪88888‬م‬ ‫أهدافها‪ .‬ويجب أن يستند الس‪88‬ياق الع‪88‬ام لعملي‪88‬ة إدارة مخ‪88‬اطر األمن‬
‫الجهة>‬ ‫الخارجية‬ ‫السيبراني إلى فهم البيئة الخارجية والداخلية التي تعم‪8‬ل فيه‪8‬ا <اس‪8‬م‬
‫الجهة> وأن يعكس البيئة المحددة للنشاط الذي سيتم تط‪88‬بيق العملي‪88‬ة‬
‫عليه‪ .‬ويجب مراعاة العوامل التالية على وجه التحديد‪:‬‬

‫مواءم‪88‬ة تق‪88‬ييم مخ‪88‬اطر األمن الس‪88‬يبراني م‪88‬ع العالق‪88‬ات‬ ‫‪.1‬‬

‫واألهداف والسياسات الداخلية‪.‬‬

‫نموذج األنظمة والتقنيات (البنية التحتية واألصول)‪.‬‬ ‫‪.2‬‬

‫العوام‪88‬ل االجتماعي‪88‬ة والثقافي‪88‬ة والسياس‪88‬ية والتش‪88‬ريعية‬ ‫‪.3‬‬

‫اإلصدار <‪>1.0‬‬

‫‪6‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك ‪ /‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬ ‫الرقم‬

‫والتنظيمية والمالي‪8‬ة والتقني‪8‬ة واالقتص‪8‬ادية‪ ،‬س‪8‬واًء ك‪8‬انت‬

‫على الصعيد ال‪88‬دولي أو الوط‪88‬ني أو اإلقليمي أو المحلي‪،‬‬
‫التي قد تؤثر على تقييم مخاطر األمن السيبراني‪.‬‬

‫عالقات وتصورات وقيم واحتياجات وتوقع‪88‬ات الجه‪88‬ات‬ ‫‪.4‬‬

‫المعنية الخارجية‪.‬‬

‫العالق‪888‬ات التعاقدي‪888‬ة وااللتزام‪888‬ات والترتيب‪888‬ات م‪888‬ع الم‪888‬وردين‬

‫الخارجيين‪.‬‬

‫يجب تحديد معايير تقييم مدى أهمية مخاطر األمن الس‪88‬يبراني ودعم اإلدارة المعني‪888‬ة ب‪888‬األمن الس‪888‬ياق الع‪888‬ام المح‪888‬دد المع‪88‬ايير المح‪88‬ددة لتق‪88‬ييم اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫تحديد المعايير‬ ‫‪1-4‬‬
‫إلدارة مخ‪8888888‬اطر األمن إدارة مخ‪888888888‬اطر األمن السيبراني‬ ‫عمليات اتخاذ القرار‪ .‬ويجب أن تكون مع‪88‬ايير تق‪88‬ييم مخ‪88‬اطر األمن السيبراني‬
‫السيبراني‬ ‫السيبراني‬ ‫الس‪8‬يبراني متوافق‪8‬ة م‪8‬ع إط‪8‬ار إدارة مخ‪8‬اطر األمن الس‪8‬يبراني ل‪8‬دى‬
‫<اسم الجهة> وأن يتم تخصيصها بما يتناسب م‪88‬ع الغ‪88‬رض المح‪8‬دد‬
‫ونطاق النشاط الخاضع للدراسة‪ .‬كم‪88‬ا يجب أن تعكس مع‪88‬ايير تق‪88‬ييم‬
‫مخاطر األمن السيبراني قيم وأه‪88‬داف وم‪88‬وارد <اس‪88‬م الجه‪88‬ة> وأن‬
‫تكون متسقة مع السياسات والبيانات المتعلق‪88‬ة ب‪88‬إدارة مخ‪88‬اطر األمن‬
‫الس‪88‬يبراني‪ .‬ويجب تحدي‪88‬د المع‪88‬ايير م‪88‬ع مراع‪88‬اة التزام‪88‬ات <اس‪88‬م‬
‫الجهة> وآراء الجهات المعنية‪ .‬ولتحديد المعايير‪ ،‬يجب مراع‪88‬اة م‪88‬ا‬
‫يلي‪:‬‬

‫طبيع‪888‬ة ون‪888‬وع الش‪888‬كوك ال‪888‬تي ق‪888‬د ت‪888‬ؤثر على النت‪888‬ائج‬ ‫‪.1‬‬

‫واألهداف (الملموسة وغير الملموسة)‬

‫كيفي‪88‬ة تحدي‪88‬د وقي‪88‬اس الع‪888‬واقب (اإليجابي‪88‬ة والس‪88‬لبية)‬ ‫‪.2‬‬

‫واالحتمالية‬

‫اإلصدار <‪>1.0‬‬

‫‪7‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك ‪ /‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬ ‫الرقم‬

‫العوامل المرتبطة بالوقت‬ ‫‪.3‬‬

‫االتساق في استخدام المقاييس‬ ‫‪.4‬‬

‫كيفية تحديد مستوى مخاطر األمن السيبراني‬ ‫‪.5‬‬

‫كيفية مراعاة مجموعات وتسلس‪88‬الت العدي‪88‬د من مخ‪88‬اطر‬ ‫‪.6‬‬

‫األمن السيبراني‬

‫قدرات <اسم الجهة>‪.‬‬

‫مراجع‪8888888‬ة المع‪8888888‬ايير رغم أنه يجب تحديد مع‪88‬ايير تق‪8‬ييم المخ‪8‬اطر في بداي‪8‬ة عملي‪8‬ة تق‪8‬ييم اإلدارة المعني‪888‬ة ب‪888‬األمن المع‪88‬ايير المح‪88‬ددة لتق‪88‬ييم المع‪888888‬ايير المراجع‪888888‬ة اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫‪1-5‬‬
‫السيبراني‬ ‫إدارة مخ‪888888888‬اطر األمن والمحّدثة‬ ‫مخ‪888‬اطر األمن الس‪888‬يبراني‪ ،‬إال أنه‪888‬ا ديناميكي‪888‬ة ويجب مراجعته‪888‬ا السيبراني‬ ‫وتحديثها‬
‫السيبراني‬ ‫وتعديلها باستمرار‪ ،‬إذا لزم األمر‪.‬‬

‫تحدي‪88888‬د م‪88888‬دى تقب‪88888‬ل يجب تحديد مدى تقب‪88‬ل مخ‪88‬اطر األمن الس‪88‬يبراني‪ .‬كم‪88‬ا يجب تحدي‪88‬د اإلدارة المعني‪888‬ة ب‪888‬األمن النط‪888‬اق والس‪888‬ياق الع‪888‬ام تحديد مدى تقبل مخ‪88‬اطر اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫‪1-6‬‬
‫الس‪888‬يبراني‪ ،‬وفري‪888‬ق إدارة‬ ‫األمن السيبراني‬ ‫معايير تقبل مخ‪8‬اطر األمن الس‪8‬يبراني وتوثيقه‪8‬ا وفًق ا لمس‪8‬توى تل‪8‬ك السيبراني‪ ،‬وفري‪88‬ق إدارة والمعايير المحددة‬ ‫المخاطر‬
‫المخاطر‬ ‫المخاطر‬ ‫ًة‬
‫المخاطر وتكلفة معالجتها مقارن بتأثيرها‪.‬‬

‫اعتم‪88‬اد النط‪88‬اق والس‪88‬ياق يجب اعتماد النطاق والسياق الع‪88‬ام والمع‪88‬ايير وم‪88‬دى تقب‪88‬ل مخ‪88‬اطر رئيس اإلدارة المعني‪8888888‬ة النط‪888‬اق والس‪888‬ياق الع‪888‬ام اعتم‪88‬اد النط‪88‬اق والس‪88‬ياق رئيس اإلدارة المعني‪888888888‬ة‬ ‫‪1-7‬‬
‫والمع‪888‬ايير وم‪888‬دى تقب‪888‬ل الع‪88‬ام والمع‪88‬ايير وم‪88‬دى باألمن السيبراني‬ ‫باألمن السيبراني‬ ‫الع‪88‬ام والمع‪88‬ايير وم‪88‬دى األمن السيبراني المحددة‪.‬‬
‫تقبل المخاطر‬ ‫المخاطر المحددة‬ ‫تقبل المخاطر‬

‫اإلصدار <‪>1.0‬‬

‫‪8‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫المرحلة الثانية‪ :‬عملية تقييم مخاطر األمن السيبراني‬

‫الشكل ‪ - 3‬مخطط سير العمل في مرحلة تقييم مخاطر األمن السيبراني‬

‫المرحلة ‪ :1-2‬تحديد مخاطر األمن السيبراني‬

‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك ‪ /‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬ ‫الرقم‬

‫تحدي‪8888‬د مخ‪8888‬اطر األمن يجب تحدي‪88‬د مخ‪88‬اطر األمن الس‪88‬يبراني على أعم‪88‬ال أو أص‪88‬ول أو اإلدارة المعني‪888‬ة ب‪888‬األمن المعلوم‪88‬ات عن أعم‪88‬ال مخاطر األمن الس‪88‬يبراني اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫‪2-1-1‬‬
‫وأصول وم‪8‬وظفي <اس‪8‬م‬ ‫م‪888‬وظفي <اس‪888‬م الجه‪888‬ة>‪ .‬والغ‪888‬رض من تحدي‪888‬د مخ‪888‬اطر األمن‬ ‫السيبراني‬

‫اإلصدار <‪>1.0‬‬

‫‪9‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك ‪ /‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬ ‫الرقم‬

‫السيبراني‬ ‫المحددة‬ ‫الجهة>‬ ‫السيبراني هو تحديد المخاطر التي ق‪88‬د تس‪88‬اعد الجه‪88‬ة أو تمنعه‪88‬ا من السيبراني‬
‫تحقيق أهدافها وإدراك تلك المخاطر ووصفها‪.‬‬

‫ويجب تحدي‪88‬د جمي‪88‬ع األح‪88‬داث والظ‪88‬روف ال‪88‬تي ق‪88‬د تض‪88‬ر بس‪88‬رية‬

‫وسالمة وت‪8‬وافر المعلوم‪88‬ات واألص‪88‬ول التقني‪8‬ة‪ .‬ويش‪8‬مل ذل‪8‬ك‪ ،‬على‬
‫وجه الخصوص‪ ،‬تحديد األص‪88‬ول المعلوماتي‪88‬ة والتقني‪88‬ة والتهدي‪88‬دات‬
‫التي من المحتمل أن تتعّر ض لها والثغرات ذات الص‪8‬لة والض‪8‬وابط‬
‫المطبقة‪ ،‬ثّم تحدي‪88‬د اآلث‪88‬ار الناجم‪88‬ة عن فق‪88‬دان س‪88‬رّية ه‪88‬ذه األص‪88‬ول‬
‫وسالمتها وتوافرها‪.‬‬

‫يجب تحديد مخاطر األمن السيبراني‪ ،‬سواًء ك‪88‬انت مص‪88‬ادرها تحت‬

‫سيطرة مالك المخاطر أم ال‪ ،‬ولكنه‪88‬ا في مج‪88‬ال اهتمام‪88‬اتهم‪ .‬ويجب‬
‫مراعاة أنه قد يكون هناك أكثر من نوع واح‪88‬د من النت‪88‬ائج‪ ،‬مم‪88‬ا ق‪88‬د‬
‫ي‪888‬ؤدي إلى مجموع‪888‬ة متنوع‪888‬ة من الت‪888‬داعيات الملموس‪888‬ة وغ‪888‬ير‬
‫الملموسة‪.‬‬

‫دمج احتياج‪88‬ات األعم‪88‬ال تجب مراع‪88‬اة العوام‪88‬ل التالي‪88‬ة خالل عملي‪88‬ة تحدي‪88‬د مخ‪88‬اطر األمن اإلدارة المعني‪888‬ة ب‪888‬األمن مخاطر األمن الس‪88‬يبراني القائم‪88‬ة المعدل‪88‬ة لمخ‪88‬اطر اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫‪2-1-2‬‬
‫السيبراني‬ ‫واحتياج‪88888‬ات األعم‪88888‬ال األمن السيبراني‬ ‫السيبراني‬ ‫والعوامل المختلفة لتحديد السيبراني‪:‬‬
‫المحددة‬ ‫مخاطر األمن السيبراني‬
‫مص‪888‬ادر مخ‪888‬اطر األمن الس‪888‬يبراني الملموس‪888‬ة وغ‪888‬ير‬ ‫‪.1‬‬
‫الملموسة‪.‬‬

‫األسباب واألحداث‪.‬‬ ‫‪.2‬‬

‫التهديدات والفرص‪.‬‬ ‫‪.3‬‬

‫اإلصدار <‪>1.0‬‬

‫‪10‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك ‪ /‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬ ‫الرقم‬

‫الثغرات والقدرات‪.‬‬ ‫‪.4‬‬

‫التغيرات في السياق العام الخارجي والداخلي‪.‬‬ ‫‪.5‬‬

‫مؤشرات مخاطر األمن السيبراني الناشئة‪.‬‬ ‫‪.6‬‬

‫طبيعة وقيمة األصول والموارد‪.‬‬ ‫‪.7‬‬

‫العواقب وتأثيرها على األهداف‪.‬‬ ‫‪.8‬‬

‫القيود المتعلقة بالمعرفة وموثوقية المعلومات‪.‬‬ ‫‪.9‬‬

‫العوامل المرتبطة بالوقت‪.‬‬ ‫‪.10‬‬

‫تحيزات وافتراضات ومعتقدات المشاركين‪.‬‬ ‫‪.11‬‬

‫يجب تع‪888‬يين مالك المخ‪888‬اطر‪ ،‬وتع‪888‬يين رؤس‪888‬اء اإلدارات أو مالك ‍رئيس اإلدارة المعني‪8888888‬ة قائم‪88888‬ة مخ‪88888‬اطر األمن تعيين المالك لك‪88‬ل خط‪88‬ر ‍‍رئيس اإلدارة المعني‪888888888‬ة‬ ‫تعيين مالك المخاطر‬ ‫‪2‬‬ ‫‪2-1-3‬‬
‫من مخ‪888888888888‬اطر األمن ب‪88‬األمن الس‪88‬يبراني‪ ،‬ومالك‬ ‫األصول والعمليات الذين سيشاركون في عملية إدارة مخاطر األمن ب‪888888‬األمن الس‪888888‬يبراني‪ ،‬السيبراني‬
‫المخاطر‪ ،‬واإلدارة المعني‪88‬ة‬ ‫السيبراني المحددة‬ ‫واإلدارة المعني‪88‬ة ب‪88‬األمن‬ ‫السيبراني‪.‬‬
‫باألمن السيبراني‬ ‫السيبراني‬

‫اإلصدار <‪>1.0‬‬

‫‪11‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫المرحلة ‪ :2-2‬تحليل مخاطر األمن السيبراني‬

‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك ‪ /‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬ ‫الرقم‬

‫تحلي‪8888‬ل مخ‪8888‬اطر األمن يجب تحليل مخاطر األمن السيبراني الكامنة المح‪88‬ددة بالتنس‪88‬يق م‪88‬ع اإلدارة المعني‪888‬ة ب‪888‬األمن قائم‪88888‬ة مخ‪88888‬اطر األمن المس‪88‬توى التق‪88‬ديري لك‪88‬ل اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫‪2-2-1‬‬
‫خط‪88‬ر من مخ‪88‬اطر األمن الس‪88888888888888‬يبراني‪ ،‬ومالك‬ ‫جميع الجه‪8‬ات المعني‪8‬ة‪ .‬كم‪8‬ا يجب تق‪8‬ييم احتمالي‪8‬ة وق‪8‬وع التهدي‪8‬دات الس‪88888888888‬يبراني‪ ،‬ومالك السيبراني‬ ‫السيبراني‬
‫المخاطر‬ ‫السيبراني‬ ‫وحجمها ‪ /‬تأثيرها وت‪88‬داعياتها‪ ،‬م‪88‬ع تق‪88‬دير المس‪88‬توى الع‪88‬ام لمخ‪88‬اطر المخاطر‬
‫األمن السيبراني بناًء على ذلك‪.‬‬

‫دمج احتياج‪88‬ات األعم‪88‬ال عن‪88‬د تحلي‪88‬ل المخ‪88‬اطر‪ ،‬ينبغي إج‪88‬راء دراس‪88‬ة تفص‪88‬يلية للش‪88‬كوك اإلدارة المعني‪888‬ة ب‪888‬األمن قائم‪88888‬ة مخ‪88888‬اطر األمن القائم‪88‬ة المعدل‪88‬ة لمخ‪88‬اطر اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫‪2‬‬ ‫‪2-2-2‬‬
‫الس‪88888888888888‬يبراني‪ ،‬ومالك‬ ‫والعوامل المختلفة لتحديد ومصادر مخاطر األمن الس‪8‬يبراني والت‪8‬داعيات واحتمالي‪8‬ة الح‪8‬دوث الس‪88888888888‬يبراني‪ ،‬ومالك الس‪888‬يبراني‪ ،‬والمس‪888‬توى األمن السيبراني‬
‫المخاطر‬ ‫التق‪88‬ديري لك‪88‬ل خط‪88‬ر من‬ ‫المخاطر‬ ‫مخاطر األمن السيبراني واألحداث والسيناريوهات والضوابط ومستوى الفعالية‪.‬‬
‫مخاطر األمن السيبراني‬
‫يجب مراع‪88‬اة االختالف في اآلراء والتح‪88‬يزات والتص‪88‬ورات بش‪88‬أن‬
‫مخاطر األمن الس‪88‬يبراني واألحك‪88‬ام وج‪88‬ودة المعلوم‪88‬ات المس‪88‬تخدمة‬
‫واالفتراض‪88‬ات واالس‪88‬تثناءات المطبق‪88‬ة وأي قي‪88‬ود تتعل‪88‬ق بالتقني‪88‬ات‬
‫وكيفية تنفيذها‪ ،‬ألنها قد تؤثر على تحليل مخاطر األمن الس‪88‬يبراني‪.‬‬
‫ويجب توثيق هذه العوامل وتعميمها على صانعي القرار‪.‬‬

‫اإلدارة المعني‪888‬ة ب‪888‬األمن قائم‪88888‬ة مخ‪88888‬اطر األمن التصنيف العام المحتس‪88‬ب اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫اعتماد المنهجي‪8‬ة النوعي‪8‬ة يمكن اعتماد منهجي‪88‬ة نوعي‪88‬ة أو كمي‪88‬ة‪ ،‬أو كليهم‪88‬ا‪ ،‬لتحلي‪88‬ل مخ‪88‬اطر‬ ‫‪2‬‬ ‫‪2-2-3‬‬
‫للمخ‪88888‬اطر‪ ،‬ومس‪88888‬توى السيبراني‬ ‫السيبراني‬ ‫السيبراني‬ ‫األمن السيبراني الكامنة بن‪88‬اًء على المنهجي‪88‬ة المس‪88‬تخدمة في اإلدارة‬ ‫والكمية‬
‫األهمي‪8888‬ة المقَّيم مقارن‪ً8888‬ة‬ ‫المعنية بإدارة المخاطر‪ .‬ويجب اعتماد المنهجية الكّمي‪8‬ة لتحلي‪8‬ل ك‪88‬ل‬
‫بمدى تقبل المخاطر‬ ‫خطر من مخاطر األمن السيبراني من أجل حساب التص‪88‬نيف الع‪88‬ام‬
‫للمخاطر وتقييم مستوى أهميتها ومقارنتها بمدى تقبل المخاطر‪ .‬كما‬
‫يجب اس‪88‬تخدام المنهجي‪88‬ة النوعي‪88‬ة لتق‪88‬ييم ك‪88‬ل خط‪88‬ر من المخ‪88‬اطر‬
‫المعقدة‪ ،‬مع ضرورة مراع‪88‬اة العدي‪88‬د من العوام‪88‬ل‪ .‬ويمكن اس‪88‬تخدام‬

‫اإلصدار <‪>1.0‬‬

‫‪12‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك ‪ /‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬ ‫الرقم‬

‫المنهجية النوعية كأساس جيد الستخدام المنهجية الكمية‪.‬‬

‫رئيس اإلدارة المعني‪8888888‬ة قائم‪88888‬ة مخ‪88888‬اطر األمن النت‪88‬ائج المعتم‪88‬دة لتحلي‪88‬ل رئيس اإلدارة المعني‪888888888‬ة‬ ‫اعتم‪888‬اد تحلي‪888‬ل مخ‪888‬اطر يجب اعتماد نتائج تحليل مخاطر األمن السيبراني‪.‬‬ ‫‪2‬‬ ‫‪2-2-4‬‬
‫الس‪888‬يبراني‪ ،‬والتص‪888‬نيف مخاطر األمن السيبراني باألمن السيبراني‬ ‫باألمن السيبراني‬ ‫األمن السيبراني‬
‫العام المحتسب للمخاطر‪،‬‬
‫ومس‪88‬توى األهمي‪88‬ة المقَّيم‬
‫مقارن‪ً8888‬ة بم‪8888‬دى تقب‪8888‬ل‬
‫المخاطر‬

‫المرحلة ‪ :3-2‬تقييم مخاطر األمن السيبراني‬

‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك ‪ /‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬ ‫الرقم‬

‫تق‪88888‬ييم مخ‪88888‬اطر األمن يجب تقييم مخ‪88‬اطر األمن الس‪88‬يبراني وفًق ا لمع‪88‬ايير التق‪88‬ييم المح‪88‬ددة اإلدارة المعني‪888‬ة ب‪888‬األمن قائم‪88888‬ة مخ‪88888‬اطر األمن تق‪88888‬ييم مخ‪88888‬اطر األمن اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫‪2-3-1‬‬
‫الس‪8‬يبراني وفًق ا للمع‪8‬ايير السيبراني‬ ‫السيبراني‬ ‫لدى <اسم الجه‪88‬ة> من أج‪8‬ل تحدي‪8‬د الخط‪88‬وات التالي‪8‬ة وتق‪8‬ييم م‪88‬دى السيبراني‬ ‫السيبراني‬
‫المحددة‬ ‫أولوية إجراءات معالجة تلك المخاطر‪.‬‬

‫ويمكن اتخاذ القرارات التالية‪:‬‬

‫مراعاة خيارات معالجة مخاطر األمن السيبراني‪.‬‬ ‫‪.1‬‬

‫إجراء المزيد من التحليالت لتكوين فهم أفض‪88‬ل لمخ‪88‬اطر‬ ‫‪.2‬‬

‫األمن السيبراني‪.‬‬

‫اإلصدار <‪>1.0‬‬

‫‪13‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك ‪ /‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬ ‫الرقم‬

‫إعادة النظر في األهداف‪.‬‬ ‫‪.3‬‬

‫دمج احتياج‪88‬ات األعم‪88‬ال يجب أن ُي راعى في الق‪88‬رارات الس‪88‬ياق الع‪88‬ام والت‪88‬داعيات الفعلي‪88‬ة اإلدارة المعني‪888‬ة ب‪888‬األمن تق‪88888‬ييم مخ‪88888‬اطر األمن القائم‪88‬ة المعدل‪88‬ة لمخ‪88‬اطر اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫‪2-3-2‬‬
‫السيبراني‬ ‫الس‪8‬يبراني وفًق ا للمع‪8‬ايير األمن السيبراني‬ ‫السيبراني‬ ‫والعوامل المختلفة لتحديد والمتوقعة على الجهات المعنية الخارجية والداخلية‪.‬‬
‫المح‪8888‬ددة‪ ،‬واحتياج‪8888‬ات‬ ‫مخاطر األمن السيبراني‬
‫األعمال‬

‫رئيس اإلدارة المعني‪8888888‬ة قائم‪88888‬ة مخ‪88888‬اطر األمن النت‪888‬ائج المعتم‪888‬دة لتق‪888‬ييم رئيس اإلدارة المعني‪888888888‬ة‬ ‫اعتم‪888‬اد تق‪888‬ييم مخ‪888‬اطر يجب اعتماد تقييم مخاطر األمن السيبراني الذي تم إجراؤه‪.‬‬ ‫‪2-3-3‬‬
‫الس‪888888‬يبراني‪ ،‬وتق‪888888‬ييم مخاطر األمن السيبراني باألمن السيبراني‬ ‫باألمن السيبراني‬ ‫األمن السيبراني‬
‫مخاطر األمن الس‪88‬يبراني‬
‫وفًقا للمعايير المحددة‬

‫اإلصدار <‪>1.0‬‬

‫‪14‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫المرحلة الثالثة‪ :‬معالجة مخاطر األمن السيبراني‬

‫الشكل ‪ - 4‬مخطط سير العمل في مرحلة معالجة مخاطر األمن السيبراني‬

‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك ‪ /‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬ ‫الرقم‬

‫اإلصدار <‪>1.0‬‬

‫‪15‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫اإلدارة المعني‪888‬ة ب‪888‬األمن قائم‪88888‬ة مخ‪88888‬اطر األمن خيارات معالج‪8‬ة مخ‪8‬اطر اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫اختي‪88888‬ار معالج‪88888‬ة‬ ‫‪3-1‬‬
‫يجب تحديد خي‪88‬ارات معالج‪88‬ة مخ‪88‬اطر األمن الس‪88‬يبراني من بين م‪88‬ا‬
‫األمن السيبراني المحددة الس‪88888888888888‬يبراني‪ ،‬ومالك‬ ‫الس‪88888888888‬يبراني‪ ،‬ومالك السيبراني‬ ‫مخ‪8888888888‬اطر األمن‬
‫يلي‪:‬‬
‫ّف‬
‫المخاطر‪ ،‬ومن ذ الضوابط‬ ‫المخاطر‬ ‫السيبراني‬
‫التخفيف من مخ‪8‬اطر األمن الس‪8‬يبراني‪ :‬يتم التخفي‪8‬ف من‬ ‫‪.1‬‬
‫مخ‪88‬اطر األمن الس‪88‬يبراني من خالل تط‪88‬بيق الض‪88‬وابط‬
‫األمني‪888‬ة المطلوب‪888‬ة للح‪888‬د من احتماليته‪888‬ا أو حجمه‪888‬ا ‪/‬‬
‫تأثيرها‪ ،‬أو كليهما‪ ،‬والوصول بتق‪88‬ييم تل‪88‬ك المخ‪88‬اطر إلى‬
‫مستوى يمكن قبوله‪.‬‬

‫تجّنب مخ‪88888‬اطر األمن الس‪88888‬يبراني‪ :‬تجّن ب الظ‪88888‬روف‬ ‫‪.2‬‬

‫واألحوال التي تنتج عنها تلك المخاطر‪.‬‬

‫تحويل مخاطر األمن السيبراني‪ :‬نقل تل‪88‬ك المخ‪88‬اطر إلى‬ ‫‪.3‬‬

‫طرف آخر يتمتع بقدرات أفضل للتعامل معها أو التأمين‬
‫على األصول المعلوماتية والتقنية ضد تلك المخاطر‪.‬‬

‫تقّب ل مخ‪88‬اطر األمن الس‪88‬يبراني‪ :‬يك‪88‬ون مس‪88‬توى تل‪88‬ك‬ ‫‪.4‬‬

‫المخ‪88‬اطر مقب‪88‬وًال‪ ،‬لكن يجب مراقبته‪88‬ا باس‪88‬تمرار تحس‪ً88‬با‬
‫ألي تغيير‪.‬‬

‫يجب تحديد خيارات معالجة مخاطر األمن السيبراني وتوثيقها بن‪88‬اًء اإلدارة المعني‪888‬ة ب‪888‬األمن خيارات معالج‪8‬ة مخ‪8‬اطر خيارات معالج‪8‬ة مخ‪8‬اطر اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫دمج احتياج‪888888888‬ات‬ ‫‪3-2‬‬
‫األمن الس‪88888888888888‬يبراني األمن السيبراني المعدلة السيبراني‬ ‫على نتائج التقييم الذي تم إجراؤه سابًقا لتلك المخاطر وتحليل تكلف‪88‬ة السيبراني‬ ‫األعم‪88‬ال والعوام‪88‬ل‬
‫المح‪8888‬ددة‪ ،‬واحتياج‪8888‬ات‬ ‫التنفيذ والفوائد المتوقعة‪.‬‬ ‫المختلف‪8888‬ة لتحدي‪8888‬د‬
‫األعمال‬ ‫مخ‪8888888888‬اطر األمن‬
‫السيبراني‬

‫اإلصدار <‪>1.0‬‬

‫‪16‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫رئيس اإلدارة المعني‪8888888‬ة خيارات معالج‪8‬ة مخ‪8‬اطر إجراءات معالجة مخاطر ‌رئيس اإلدارة المعني‪888888888‬ة‬ ‫اعتم‪888‬اد إج‪888‬راءات يجب اعتماد إجراءات معالجة مخاطر األمن السيبراني المحددة‪.‬‬ ‫‪3-3‬‬
‫األمن السيبراني المعدلة األمن السيبراني المعتمدة ب‪88‬األمن الس‪88‬يبراني‪ ،‬ومالك‬ ‫باألمن السيبراني‬ ‫معالج‪8888‬ة مخ‪8888‬اطر‬
‫المخاطر‬ ‫األمن السيبراني‬

‫تحلي‪88888‬ل مخ‪88888‬اطر يجب تحلي‪88‬ل مخ‪88‬اطر األمن الس‪88‬يبراني المتبقي‪88‬ة‪ ،‬م‪88‬ع تق‪88‬دير م‪88‬دى اإلدارة المعني‪888‬ة ب‪888‬األمن إجراءات معالجة مخاطر ‍تحلي‪8888‬ل مخ‪8888‬اطر األمن اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫‪3-4‬‬
‫السيبراني‬ ‫األمن السيبراني المعتمدة السيبراني المتبقية‬ ‫األمن الس‪888888‬يبراني احتمالية وقوع تلك المخاطر وحجمها ‪ /‬تأثيرها على وجه التحديد‪ .‬السيبراني‬
‫المتبقية‬

‫المقارنة بمدى تقب‪88‬ل يجب مقارن‪88‬ة تق‪88‬ييم مخ‪88‬اطر األمن الس‪88‬يبراني المتبقي‪88‬ة بم‪88‬دى تقّب ل اإلدارة المعني‪888‬ة ب‪888‬األمن ‍تحلي‪8888‬ل مخ‪8888‬اطر األمن نت‪888‬ائج مقارن‪888‬ة مخ‪888‬اطر اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫‪3-5‬‬
‫األمن السيبراني المتبقي‪88‬ة السيبراني‬ ‫السيبراني المتبقية‬ ‫مخ‪8888888888‬اطر األمن مخاطر األمن السيبراني‪ .‬وفي حالة تجاوز المخاطر المتبقي‪88‬ة لم‪88‬دى السيبراني‬
‫بمدى تقّبل المخاطر‬ ‫تقّبل المخاطر‪ ،‬يجب تطبيق ضوابط أخرى للحد من مخ‪88‬اطر األمن‬ ‫السيبراني‬
‫السيبراني إلى مستوى مقبول‪.‬‬

‫اعتم‪888888‬اد تحلي‪888888‬ل يجب اعتم‪888‬اد تحلي‪888‬ل مخ‪888‬اطر األمن الس‪888‬يبراني المتبقي‪888‬ة ونت‪888‬ائج رئيس اإلدارة المعني‪8888888‬ة نت‪888‬ائج مقارن‪888‬ة مخ‪888‬اطر النت‪8‬ائج المعتم‪8‬دة لمقارن‪8‬ة رئيس اإلدارة المعني‪888888888‬ة‬ ‫‪3-6‬‬
‫األمن السيبراني المتبقي‪88‬ة مخاطر األمن الس‪88‬يبراني باألمن السيبراني‬ ‫باألمن السيبراني‬ ‫مخ‪8888888888‬اطر األمن مقارنتها بمدى تقّبل مخاطر األمن السيبراني‪.‬‬
‫المتبقي‪8888‬ة بم‪8888‬دى تقّب ل‬ ‫بمدى تقّبل المخاطر‬ ‫السيبراني المتبقية‬
‫المخاطر‬

‫في حالة عدم إمكانية الحد من مخاطر األمن السيبراني المتبقي‪88‬ة إلى رئيس اإلدارة المعني‪8888888‬ة مخاطر األمن الس‪88‬يبراني التص‪8888888888‬عيد إلى رئيس رئيس اإلدارة المعني‪888888888‬ة‬ ‫التصعيد‬ ‫‪3-7‬‬
‫باألمن الس‪88‬يبراني‪ ،‬ورئيس‬ ‫المتبقي‪888‬ة تتج‪888‬اوز م‪888‬دى <اسم الجهة>‬ ‫مستوى تقّبل مخاطر األمن السيبراني أو إذا ك‪88‬انت تكلفته‪88‬ا تتج‪88‬اوز باألمن السيبراني‬
‫<اسم الجهة>‬ ‫تقّبل المخ‪8‬اطر أو تكلفته‪8‬ا‬ ‫األرب‪88‬اح‪ ،‬يتم تص‪88‬عيد المس‪88‬ألة إلى رئيس <اس‪88‬م الجه‪88‬ة> التخ‪88‬اذ‬
‫تتجاوز األرباح‬ ‫اإلجراءات أو القرارات الالزمة‪.‬‬

‫اإلصدار <‪>1.0‬‬

‫‪17‬‬
‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫المرحلة الرابعة‪ :‬التسجيل وإعداد التقارير‬

‫الشكل ‪ - 5‬مخطط سير العمل في مرحلة التسجيل واإلبالغ‬

‫اإلصدار <‪>1.0‬‬

‫‪18‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك ‪ /‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬ ‫الرقم‬

‫تح‪888‬ديث س‪888‬جل مخ‪888‬اطر يجب إعداد سجل لمخاطر األمن الس‪88‬يبراني وتحديث‪88‬ه لتوثي‪88‬ق نت‪88‬ائج اإلدارة المعني‪888‬ة ب‪888‬األمن قائم‪88888‬ة مخ‪88888‬اطر األمن س‪88888‬جل مخ‪88888‬اطر األمن اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫‪4-1‬‬
‫السيبراني‬ ‫الس‪88888888888‬يبراني‪ ،‬ومالك السيبراني‬ ‫عملي‪88‬ة إدارة مخ‪88‬اطر األمن الس‪88‬يبراني‪ .‬ويجب أن يش‪88‬مل الس‪88‬جل‪ ،‬السيبراني‬ ‫األمن السيبراني‬
‫المخ‪8888‬اطر‪ ،‬وخي‪8888‬ارات‬ ‫على األقل‪ ،‬المعلومات التالية‪:‬‬
‫معالج‪888‬ة مخ‪888‬اطر األمن‬
‫الس‪8888‬يبراني‪ ،‬ومخ‪8888‬اطر‬ ‫الرمز التعريفي لمخاطر األمن السيبراني‬ ‫‪.1‬‬
‫األمن السيبراني المتبقي‪88‬ة‬
‫نط‪888‬اق مخ‪888‬اطر األمن الس‪888‬يبراني (المنطق‪888‬ة المت‪888‬أثرة‬ ‫‪.2‬‬
‫المحللة‬
‫بمخاطر األمن السيبراني)‬

‫مالك مخاطر األمن السيبراني‬ ‫‪.3‬‬

‫وص‪88‬ف مخ‪88‬اطر األمن الس‪88‬يبراني‪ ،‬بم‪88‬ا في ذل‪88‬ك س‪88‬ببها‬ ‫‪.4‬‬

‫وتأثيرها‬

‫تحليل مخاطر األمن السيبراني الذي يس‪8‬لط الض‪8‬وء على‬ ‫‪.5‬‬

‫عواقبها واإلطار الزمني لها‬

‫تق‪88‬ييم وتص‪88‬نيف مخ‪88‬اطر األمن الس‪88‬يبراني ال‪88‬ذي يش‪88‬مل‬ ‫‪.6‬‬

‫احتمالية وق‪8‬وع المخ‪8‬اطر وحجمه‪8‬ا ‪/‬تأثيره‪8‬ا والتص‪8‬نيف‬
‫العام لها حال وقوعها‬

‫خط‪88‬ة معالج‪88‬ة مخ‪88‬اطر األمن الس‪88‬يبراني ال‪88‬تي تش‪88‬مل‬ ‫‪.7‬‬

‫إجراءات معالجتها والمسؤول عنها والجدول الزمني لها‬

‫وصف مخاطر األمن السيبراني المتبقية وتحليلها‬ ‫‪.8‬‬

‫وصف الخطوات السابقة‪.‬‬ ‫‪.9‬‬

‫اإلصدار <‪>1.0‬‬

‫‪19‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك ‪ /‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬ ‫الرقم‬

‫إتاحة الوصول إلى سجل يجب إتاحة الوصول إلى سجل مخاطر األمن الس‪88‬يبراني إلى جمي‪88‬ع اإلدارة المعني‪888‬ة ب‪888‬األمن س‪88888‬جل مخ‪88888‬اطر األمن منح ص‪88‬الحية الوص‪88‬ول اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫‪4-2‬‬
‫إلى س‪88‬جل مخ‪88‬اطر األمن السيبراني‬ ‫السيبراني‬ ‫السيبراني‬ ‫مخاطر األمن السيبراني الجهات المعنية على أساس مبدأ "الحاجة إلى المعرفة"‪.‬‬
‫الس‪888‬يبراني إلى الجه‪888‬ات‬
‫المعنية‬

‫اعتم‪8888‬اد قي‪8888‬ود س‪8888‬جل يجب اعتماد جميع القيود المض‪88‬افة ح‪88‬ديًث ا إلى س‪88‬جل مخ‪88‬اطر األمن رئيس اإلدارة المعني‪8888888‬ة س‪88888‬جل مخ‪88888‬اطر األمن اعتم‪888‬اد س‪888‬جل مخ‪888‬اطر رئيس اإلدارة المعني‪888888888‬ة‬ ‫‪4‬‬ ‫‪4-3‬‬
‫األمن الس‪88888888888888‬يبراني باألمن السيبراني‬ ‫السيبراني‬ ‫باألمن السيبراني‬ ‫مخاطر األمن السيبراني السيبراني والصالحيات الممنوحة للوصول إليه‪.‬‬
‫وص‪888‬الحيات الوص‪888‬ول‬
‫الممنوحة‬

‫مراجع‪88‬ة س‪88‬جل مخ‪88‬اطر يجب مراجع‪88‬ة س‪88‬جل مخ‪88‬اطر األمن الس‪88‬يبراني س‪88‬نوًيا على األق‪88‬ل‪ ،‬اإلدارة المعني‪88‬ة بالت‪88‬دقيق س‪88888‬جل مخ‪88888‬اطر األمن س‪88888‬جل مخ‪88888‬اطر األمن اإلدارة المعني‪8888‬ة بالت‪8888‬دقيق‬ ‫‪4‬‬ ‫‪4-4‬‬
‫الداخلي‬ ‫السيبراني المراَج ع‬ ‫السيبراني‬ ‫الداخلي‬ ‫خاصًة في إطار تنفيذ إجراءات معالجة مخاطر األمن السيبراني‪.‬‬ ‫األمن السيبراني‬

‫اإلصدار <‪>1.0‬‬

‫‪20‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫المرحلة الخامسة‪ :‬التواصل والمتابعة‬

‫الشكل ‪ - 6‬مخطط سير العمل في االتصال والمراقبة‬

‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك ‪ /‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬ ‫الرقم‬

‫التواص‪88888‬ل والتش‪88888‬اور اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫يجب التواص‪88‬ل والتش‪88‬اور بش‪88‬أن جمي‪88‬ع الخط‪88‬وات واإلج‪88‬راءات اإلدارة المعني‪888‬ة ب‪888‬األمن جميع خطوات العملية‬ ‫التواصل والتشاور‬ ‫‪5-1‬‬
‫بوض‪888‬وح م‪888‬ع الجه‪888‬ات السيبراني‬ ‫المتخ‪88‬ذة خالل عملي‪88‬ة إدارة مخ‪88‬اطر األمن الس‪88‬يبراني م‪88‬ع جمي‪88‬ع السيبراني‬
‫المعنية بشأن اإلج‪88‬راءات‬ ‫الجهات المعنية الداخلية والخارجي‪8‬ة‪ .‬والغ‪8‬رض من ه‪8‬ذا ه‪8‬و توف‪8‬ير‬
‫فهم أفضل ومبررات لجميع اإلجراءات المتخذة فيم‪88‬ا يتعل‪88‬ق بعملي‪88‬ة‬

‫اإلصدار <‪>1.0‬‬

‫‪21‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬

‫األطراف المعنية‬ ‫الُمخرجات‬ ‫الُمدخالت‬ ‫المالك ‪ /‬المسؤول‬ ‫الوصف‬ ‫الخطوة‬ ‫الرقم‬

‫المتخذة‬ ‫إدارة مخاطر األمن السيبراني‪.‬‬

‫يجب متابع‪88‬ة جمي‪88‬ع مخ‪88‬اطر األمن الس‪88‬يبراني المح‪88‬ددة وت‪88‬دابير اإلدارة المعني‪888‬ة ب‪888‬األمن س‪88888‬جل مخ‪88888‬اطر األمن متابع‪88‬ة ومراجع‪88‬ة س‪88‬جل اإلدارة المعني‪88888‬ة ب‪88888‬األمن‬ ‫المتابعة والمراجعة‬ ‫‪5-2‬‬
‫مخاطر األمن السيبراني الس‪88888888888888‬يبراني‪ ،‬ومالك‬ ‫الس‪88888888888‬يبراني‪ ،‬ومالك السيبراني‬ ‫معالجتها المطبقة ومراجعتها باستمرار‪.‬‬
‫المخاطر‬ ‫المخاطر‬
‫ويجب أن تتم المتابعة والمراجعة في جميع مراحل العملية‪.‬‬

‫اإلصدار <‪>1.0‬‬

‫‪22‬‬
 ‫نموذج إجراء إدارة مخاطر األمن السيبراني‬
‫‪RESTRICTED‬‬

‫األدوار والمسؤوليات‬
‫مالك اإلجراء‪< :‬رئيس اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-1‬‬
‫مراجعة اإلجراء وتحديثه‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-2‬‬
‫تنفيذ اإلجراء وتطبيقه‪< :‬اإلدارة المعنية بتقنية المعلومات> و<اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-3‬‬
‫قياس االلتزام باإلجراء‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-4‬‬

‫التحديث والمراجعة‬
‫يجب على <اإلدارة المعنية باألمن السيبراني> مراجعة اإلجراء س‪88‬نوًيا على األق‪88‬ل أو في ح‪88‬ال ح‪88‬دوث‬
‫تغي‪88‬يرات في السياس‪88‬ات أو اإلج‪88‬راءات التنظيمي‪88‬ة في <اس‪88‬م الجه‪88‬ة> أو المتطلب‪88‬ات التش‪88‬ريعية والتنظيمي‪88‬ة ذات‬
‫العالقة‪.‬‬

‫االلتزام باإلجراء‬
‫يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذا اإلجراء دورًيا‪.‬‬ ‫‪-1‬‬
‫يغطي هذا اإلجراء جميع محطات العمل والخوادم في <اسم الجه‪88‬ة> و يجب على كاف‪88‬ة الع‪88‬املين في <اس‪88‬م‬ ‫‪-2‬‬
‫الجهة> االلتزام بهذا اإلجراء‪.‬‬
‫قد يعرض أي انتهاك لهذا اإلجراء صاحب المخالفة إلى إجراء تأديبي حسب اإلج‪88‬راءات المتبع‪88‬ة في <اس‪88‬م‬ ‫‪-3‬‬
‫الجهة>‪.‬‬

‫اإلصدار <‪>1.0‬‬

‫‪23‬‬
‫نموذج إجراء إدارة م‬

‫اإلصدار <‪>1.0‬‬

‫‪24‬‬