‫هذا المربع مخّص ص ألغراض توجيهية‪ .

‬احذف جميع المربعات التوجيهية‬

‫بع‪1‬د تعبئ‪1‬ة النم‪1‬وذج‪ .‬يجب تحري‪1‬ر البن‪1‬ود الملّو ن‪1‬ة ب‪1‬اللون األزرق بص‪1‬ورة‬
‫مناسبة‪ .‬ويجب إزالة التظليل الملون بعد إجراء التعديالت‪.‬‬

‫أدخل شعار الجهة بالضغط على الصورة الموضحة‪.‬‬

‫نموذج سياسة إدارة هويات الدخول‬

‫والصالحيات‬

‫استبدل <اسم الجهة> باسم الجهة في مجمل صفحات الوثيقة‪.‬‬

‫وللقيام بذلك‪ ،‬اتبع الخطوات التالية‪:‬‬ ‫اختر التصنيف‬
‫اض‪11‬غط على مفت‪11‬احي "‪ "Ctrl‬و"‪ "H‬في ال‪11‬وقت‬ ‫‪‬‬
‫نفسه‪.‬‬ ‫اضغط هنا إلضافة تاريخ‬ ‫التاريخ‪:‬‬
‫أضف "<الجهة>" في مربع البحث عن النص‪.‬‬ ‫‪‬‬
‫أدخل االسم الكامل لجهتك في مرب‪11‬ع "اس‪11‬تبدال"‬ ‫‪‬‬ ‫اضغط هنا إلضافة نص‬ ‫اإلصدار‪:‬‬
‫النص‪.‬‬ ‫اضغط هنا إلضافة نص‬ ‫المرجع‪:‬‬
‫اض‪111‬غط على "المزي‪111‬د" وتأّك د من اختي‪111‬ار "‬ ‫‪‬‬
‫‪."Match case‬‬
‫اضغط على "استبدل الكل"‪.‬‬ ‫‪‬‬
‫أغلق مربع الحوار‪.‬‬ ‫‪‬‬
 ‫نموذج سياسة إدارة هويات الدخول والصالحيات‬

‫إخالء المسؤولية‬
‫ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس‪11‬يبراني كمث‪11‬ال توض‪11‬يحي يمكن اس‪11‬تخدامه ك‪11‬دليل‬
‫ومرجع للجهات‪ .‬يجب أن يتم تعديل ه‪1‬ذا النم‪1‬وذج ومواءمت‪1‬ه م‪1‬ع أعم‪1‬ال <اس‪1‬م الجه‪1‬ة> والمتطلب‪1‬ات التش‪1‬ريعية‬
‫والتنظيمية ذات العالقة‪ .‬كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم‪/‬تقوم بتفويض‪11‬ه‪ .‬وتخلي‬
‫الهيئة مسؤوليتها من استخدام هذا النموذج كما هو‪ ،‬وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي‪.‬‬

‫`‬
‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪1‬‬
 ‫نموذج سياسة إدارة هويات الدخول والصالحيات‬

‫اعتماد الوثيقة‬

‫التوقيع‬ ‫التاريخ‬ ‫االسم‬ ‫المسمى الوظيفي‬ ‫الدور‬

‫اضغط هنا إلضافة‬

‫<أدخل التوقيع>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل المسمى الوظيفي>‬
‫تاريخ‬

‫نسخ الوثيقة‬

‫أسباب التعديل‬ ‫ٌعدَل بواسطة‬ ‫التاريخ‬ ‫النسخة‬

‫اضغط هنا إلضافة‬

‫<أدخل وصف التعديل>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل رقم النسخة>‬
‫تاريخ‬

‫جدول المراجعة‬

‫تاريخ المراجعة القادمة‬ ‫التاريخ ألخر مراجعة‬ ‫معدل المراجعة‬

‫اضغط هنا إلضافة تاريخ‬ ‫اضغط هنا إلضافة تاريخ‬ ‫مره واحدة كل سنة‬

‫`‬
‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪2‬‬
 ‫نموذج سياسة إدارة هويات الدخول والصالحيات‬

‫قائمة المحتويات‬
‫الغرض ‪4............................................................................................................................‬‬
‫نطاق العمل ‪4.......................................................................................................................‬‬
‫بنود السياسة ‪4......................................................................................................................‬‬
‫األدوار والمسؤوليات ‪8.............................................................................................................‬‬
‫التحديث والمراجعة ‪8...............................................................................................................‬‬
‫االلتزام بالسياسة ‪9..................................................................................................................‬‬

‫`‬
‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪3‬‬
 ‫نموذج سياسة إدارة هويات الدخول والصالحيات‬

‫الغرض‬
‫الغ‪11‬رض من ه‪11‬ذه السياس‪11‬ة ه‪11‬و تحدي‪11‬د متطلب‪11‬ات األمن الس‪11‬يبراني المتعلق‪11‬ة ب‪11‬إدارة هوي‪11‬ات ال‪11‬دخول‬
‫والصالحيات على األصول المعلوماتية والتقنية الخاصة بـ<اسم الجهة> وذلك لحمايتها من المخ‪11‬اطر الس‪11‬يبرانية‬
‫ومن التهديدات الداخلية والخارجية لـ<اس‪11‬م الجه‪11‬ة>‪ ،‬من خالل الترك‪11‬يز على األه‪11‬داف األساس‪11‬ية للحماي‪11‬ة وهي‪:‬‬
‫سرية المعلومات‪ ،‬وسالمتها‪ ،‬وتوافرها‪.‬‬
‫تمت موائم‪11‬ة ه‪11‬ذه السياس‪11‬ة م‪11‬ع الض‪11‬وابط والمع‪11‬ايير الص‪11‬ادرة من الهيئ‪11‬ة الوطني‪11‬ة لألمن الس‪11‬يبراني‬
‫والمتطلبات التنظيمية والتشريعية ذات العالقة‪.‬‬

‫نطاق العمل‬
‫تغطي هذه السياسة جميع األصول المعلوماتية والتقنية الخاصة ب<اس‪11‬م الجه‪11‬ة>‪ ،‬وتنطب‪11‬ق على جمي‪11‬ع‬
‫العاملين (الموظفين والمتعاقدين) في <اسم الجهة>‪.‬‬

‫بنود السياسة‬
‫البنود العامة‬ ‫‪-1‬‬
‫يجب توثيق واعتماد إجراء إلدارة الوصول يوضح آلية منح صالحيات الوصول لألصول المعلوماتي‪11‬ة‬ ‫‪1-1‬‬
‫والتقنية وتعديلها وإلغائها في <اسم الجهة>‪ ،‬ومراقبة هذه اآللية والتأكد من تطبيقها‪.‬‬
‫يجب إنشاء هويات المستخدمين (‪ )User Identities‬وفًق ا للمتطلبات التشريعية والتنظيمية الخاص‪11‬ة‬ ‫‪1-2‬‬
‫ب<اسم الجهة>‪.‬‬
‫يجب التحقق من هوية المستخدم (‪ )Authentication‬باستخدام اسم مستخدم وكلم‪1‬ة م‪1‬رور والتحق‪1‬ق‬ ‫‪1-3‬‬
‫من صحتها قبل منح المستخدم صالحية الوصول إلى األص‪1‬ول المعلوماتي‪1‬ة والتقني‪1‬ة الخاص‪1‬ة ب<اس‪1‬م‬
‫الجهة>‪.‬‬
‫يجب التأكد من المحافظة على سرية هوية المستخدم والحسابات والصالحيات‪ ،‬بما في ذل‪11‬ك الطلب من‬ ‫‪1-4‬‬
‫المستخدمين حفظ خصوصيتها (للعاملين‪ ،‬واألطراف الخارجية‪ ،‬والمستخدمين)‪.‬‬
‫يجب توثي‪11‬ق واعتم‪11‬اد ومراجع‪11‬ة مص‪11‬فوفة (‪ )Matrix‬إلدارة تص‪11‬اريح وص‪11‬الحيات المس‪11‬تخدمين (‬ ‫‪1-5‬‬
‫‪ )Authorization‬بناًء على مبادئ التحكم بالدخول والصالحيات التالية‪:‬‬
‫‪‬مبدأ الحاجة إلى المعرفة واالستخدام (‪.)Need-to-Know and Need-to-Use‬‬
‫‪‬مبدأ فصل المهام (‪.)Segregation of Duties‬‬
‫‪‬مبدأ الحد األدنى من الصالحيات واالمتيازات (‪.)Least Privilege‬‬

‫`‬
‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪4‬‬
 ‫نموذج سياسة إدارة هويات الدخول والصالحيات‬

‫يجب تطبيق ضوابط التحّقق من الهوي‪11‬ات والص‪11‬الحيات على جمي‪11‬ع األص‪11‬ول التقني‪11‬ة والمعلوماتي‪11‬ة في‬ ‫‪1-6‬‬
‫<اسم الجهة> من خالل نظام مركزي آلي للتحّك م في الوصول‪ ،‬مثل "خدمات النطاقات‪-‬الدليل النش‪11‬ط"‬
‫(‪.)Domain services -Active Director‬‬
‫يجب من‪11‬ع اس‪11‬تخدام الحس‪11‬ابات المش‪11‬تركة (‪ )Generic User‬للوص‪11‬ول إلى األص‪11‬ول المعلوماتي‪11‬ة‬ ‫‪1-7‬‬
‫والتقنية الخاصة ب<اسم الجهة>‪.‬‬
‫يجب التأكد من اإلدارة اآلمنة للجلسات ( ‪ ،)Secure Session Management‬وتشمل موثوقية‬ ‫‪1-8‬‬
‫الجلسات (‪ ،)Authenticity‬وإقفالها (‪ ،)Lockout‬وإنهاء مهلتها (‪.)Timeout‬‬
‫يجب ضبط إعدادات األنظمة وجلسات االتصال ليتم إنهائها تلقائًيا بعد فترة زمنية مح‪ّ11‬ددة (‪Session‬‬ ‫‪1-9‬‬
‫‪ )Timeout‬وفًق ا لمعيار إدارة هويات الدخول والصالحيات المعتمد لدى <اسم الجهة>‪.‬‬
‫يجب ض‪11‬بط إع‪11‬دادات األنظم‪11‬ة وجلس‪11‬ات االتص‪11‬ال ليتم إغالقه‪11‬ا مؤقًت ا بع‪11‬د ع‪11‬دد معين من مح‪11‬اوالت‬ ‫‪1-10‬‬
‫الوصول الخاطئة وفًق ا لمعيار إدارة هويات الدخول والصالحيات المعتمد لدى <اسم الجهة>‪.‬‬
‫يجب تعطيل حسابات المستخدمين غير المستخدمة خالل فترة زمنية محّددة وفًق ا لمعي‪11‬ار إدارة هوي‪11‬ات‬ ‫‪1-11‬‬
‫الدخول والصالحيات المعتمد لدى <اسم الجهة>‪.‬‬
‫يجب ض‪11‬بط إع‪11‬دادات جمي‪11‬ع أنظم‪11‬ة إدارة الهوي‪11‬ات والوص‪11‬ول إلرس‪11‬ال الس‪11‬جالت إلى نظ‪11‬ام تس‪11‬جيل‬ ‫‪1-12‬‬
‫ومراقبة مركزي وفًق ا لسياسة إدارة سجالت األحداث ومراقبة األمن السيبراني‪.‬‬
‫يجب ع‪11‬دم منح المس‪11‬تخدمين ص‪11‬الحيات الوص‪11‬ول أو التعام‪11‬ل المباش‪11‬ر م‪11‬ع قواع‪11‬د البيان‪11‬ات لألنظم‪11‬ة‬ ‫‪1-13‬‬
‫الحساس‪11‬ة‪ ،‬حيث يك‪11‬ون ذل‪11‬ك من خالل التطبيق‪11‬ات فق‪11‬ط‪ ،‬ويس‪11‬تثنى من ذل‪11‬ك مش‪11‬رفي قواع‪11‬د البيان‪11‬ات (‬
‫‪ )Database Administrators‬على أن يتم تطبيق إجراءات تمنع إطالع المشرفين على البيانات‬
‫المصنفة والحساسة‪ ،‬وفقا لسياسة أمن قواعد البيانات المعتمدة لدى <اسم الجهة>‪.‬‬
‫يجب توثيق واعتماد إجراءات واضحة للتعامل مع حسابات الخدمات (‪ )Service Account‬والتأكد‬ ‫‪1-14‬‬
‫من إدارتها بشكل آمن ما بين التطبيقات واألنظمة‪ ،‬وتعطيل الدخول البش‪1‬ري التف‪1‬اعلي (‪Interactive‬‬
‫‪ )Login‬من خاللها ومراجعتها دوريًا‪.‬‬
‫يجب إدارة صالحيات المستخدمين للعمل عن بع‪11‬د بن‪11‬اًء على احتياج‪11‬ات العم‪11‬ل‪ ،‬م‪11‬ع مراع‪11‬اة حساس‪11‬ية‬ ‫‪1-15‬‬
‫األنظمة ومستوى الصالحيات‪ ،‬ونوعي‪1‬ة األجه‪1‬زة المس‪1‬تخدمة من قب‪1‬ل الم‪1‬وظفين للعم‪1‬ل عن بع‪1‬د وفًق ا‬
‫للمتطلبات التشريعية والتنظيمية ذات العالقة‪.‬‬
‫يجب اس‪11‬تخدام مؤش‪11‬ر قي‪11‬اس األداء (‪ )KPI‬لض‪11‬مان التط‪11‬وير المس‪11‬تمر واالس‪11‬تخدام الص‪11‬حيح والفع‪11‬ال‬ ‫‪1-16‬‬
‫لمتطلبات حماية إدارة هويات الدخول والصالحيات‪.‬‬
‫منح صالحية الدخول‬ ‫‪-2‬‬
‫متطلبات صالحية الدخول لحسابات المستخدمين‬ ‫‪2-1‬‬
‫يجب منح صالحية الدخول بناًء على طلب المس‪11‬تخدم من خالل نم‪11‬وذج معتم‪11‬د من <اإلدارة‬ ‫‪2-1-1‬‬
‫المعنية ب‪1‬األمن الس‪11‬يبراني> أو عن طري‪1‬ق النظ‪1‬ام المعتم‪11‬د من قب‪1‬ل الم‪11‬دير المباش‪11‬ر ومال‪1‬ك‬
‫النظام (‪ُ )System Owner‬يحّدد فيه اسم النظ‪11‬ام ون‪11‬وع الطلب والص‪11‬الحية وم‪11‬دتها (في‬
‫حال كانت صالحية الدخول مؤقتة)‪.‬‬

‫`‬
‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪5‬‬
 ‫نموذج سياسة إدارة هويات الدخول والصالحيات‬

‫يجب منح المستخدم صالحية الوصول إلى األص‪11‬ول المعلوماتي‪1‬ة والتقني‪1‬ة الخاص‪11‬ة ب<اس‪11‬م‬ ‫‪2-1-2‬‬
‫الجهة> بما يتوافق مع األدوار والمسؤوليات الخاصة به مع أخذ الموافقات الالزمة‪.‬‬
‫يجب اتباع آلية موحدة إلنشاء هويات المستخدمين بطريق‪11‬ة ت‪11‬تيح النش‪11‬اطات ال‪11‬تي يتم أداؤه‪11‬ا‬ ‫‪2-1-3‬‬
‫باستخدام "هوية المستخدم" (‪ )User ID‬وربطها مع المستخدم‪ ،‬مثل كتابة <الح‪11‬رف األول‬
‫من االس‪11‬م األول> نقط‪11‬ة <االس‪11‬م األخ‪11‬ير>‪ ،‬أو كتاب‪11‬ة رقم الموظ‪11‬ف المع‪11‬رف مس‪11‬بًقا ل‪11‬دى‬
‫<اإلدارة المعنية بالموارد البشرية>‪.‬‬
‫يجب تعطيل إمكانية تسجيل دخول المستخدم من أجه‪11‬زة حاس‪11‬بات متع‪ّ11‬ددة في نفس ال‪11‬وقت (‬ ‫‪2-1-4‬‬
‫‪.)Concurrent Logins‬‬
‫يجب تحديد عدد محاوالت تسجيل ال‪11‬دخول غ‪11‬ير الناجح‪11‬ة المس‪11‬موح به‪11‬ا إلى النظ‪11‬ام لتف‪11‬ادي‬ ‫‪2-1-5‬‬
‫هجمات تخمين كلمات المرور وفًق ا لمعيار إدارة هويات الدخول والصالحيات المعتم‪11‬د ل‪11‬دى‬
‫<اسم الجهة>‪.‬‬
‫‪2-2‬متطلبات صالحية الوصول للحسابات الهامة والحّس اسة‬
‫باإلضافة إلى الضوابط المذكورة في قسم متطلبات ص‪11‬الحية الوص‪11‬ول لحس‪11‬ابات المس‪11‬تخدمين‪ ،‬يجب أن‬
‫ُتطَب ق الضوابط الُموّض حة أدناه على الحسابات ذات الصالحيات الهامة والحّساسة‪:‬‬
‫يجب تعيين صالحيات مديري النظام بناًء على مهامهم الوظيفية‪ ،‬م‪11‬ع األخ‪11‬ذ باالعتب‪11‬ار مب‪11‬دأ‬ ‫‪2-2-1‬‬
‫فصل المهام‪.‬‬
‫يجب تفعيل سجل كلمة المرور (‪ )Password History‬لتتبع عدد كلم‪1‬ات الم‪1‬رور ال‪1‬تي‬ ‫‪2-2-2‬‬
‫تم تغييرها‪.‬‬
‫يجب تغيير أسماء الحسابات االفتراض‪1‬ية‪ ،‬وخصوًص ا الحس‪1‬ابات الحاص‪1‬لة على ص‪1‬الحيات‬ ‫‪2-2-3‬‬
‫هام‪11‬ة وحّساس‪11‬ة مث‪11‬ل "الحس‪11‬اب الرئيس‪11‬ي" (‪ )Root‬وحس‪11‬اب "م‪11‬دير النظ‪11‬ام" (‪)Admin‬‬
‫وحساب "ُمعّر ف النظام" (‪.)Sys id‬‬
‫يجب من‪11‬ع اس‪11‬تخدام الحس‪11‬ابات ذات الص‪11‬الحيات الهام‪11‬ة والحّساس‪11‬ة في العملي‪11‬ات التش‪11‬غيلية‬ ‫‪2-2-4‬‬
‫اليومية ومنعها من الوصول لإلنترنت‪.‬‬
‫يجب التحّق ق من حس‪11‬ابات المس‪11‬تخدمين ذات الص‪11‬الحيات الهام‪11‬ة والحّساس‪11‬ة على األص‪11‬ول‬ ‫‪2-2-5‬‬
‫التقني‪11‬ة والمعلوماتي‪11‬ة من خالل آلي‪11‬ة التحّق ق من الهوي‪11‬ة متع‪11‬دد العناص‪11‬ر (‪Multi-Factor‬‬
‫‪ )”Authentication “MFA‬باستخدام عنصرين مستقلة على األقل من آليات التحقق من‬
‫الهوي‪11‬ة على األق‪11‬ل وفًق ا لمعي‪11‬ار إدارة هوي‪11‬ات ال‪11‬دخول والص‪11‬الحيات المعتم‪11‬د ل‪11‬دى <اس‪11‬م‬
‫الجهة>‪.‬‬
‫يجب استخدام التقنيات الخاص‪11‬ة بحف‪11‬ظ وإدارة الص‪11‬الحيات الهام‪11‬ة والحّساس‪11‬ة ( ‪Privilege‬‬ ‫‪2-2-6‬‬
‫‪.)Access Management Solution‬‬
‫يجب أن يتطلب الوص‪111‬ول إلى األنظم‪111‬ة الحساس‪111‬ة واألنظم‪111‬ة المس‪111‬تخدمة إلدارة األنظم‪111‬ة‬ ‫‪2-2-7‬‬
‫الحساسة ومتابعتها استخدام آلية التحقق من الهوية متعدد العناصر (‪ )MFA‬لجميع العاملين‪.‬‬
‫‪2-3‬الدخول عن ُب عد إلى شبكات <اسم الجهة>‬

‫`‬
‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪6‬‬
 ‫نموذج سياسة إدارة هويات الدخول والصالحيات‬

‫يجب منح صالحية الدخول عن بع‪11‬د لألص‪11‬ول المعلوماتي‪11‬ة والتقني‪11‬ة بع‪11‬د الحص‪11‬ول على إذن‬ ‫‪2-3-1‬‬
‫مسبق من <اإلدارة المعنية لألمن الس‪1‬يبراني> وتقيي‪1‬د ال‪1‬دخول باس‪1‬تخدام التحق‪1‬ق من الهوي‪1‬ة‬
‫متعدد العناصر (‪ )MFA‬عبر قنوات آمنة ومعتمدة في <اسم الجهة>‪.‬‬
‫يجب حف‪11‬ظ س‪11‬جالت األح‪11‬داث المتعلق‪11‬ة بجمي‪11‬ع جلس‪11‬ات ال‪11‬دخول عن ُبع‪11‬د الخاص‪11‬ة ومراقب‪11‬ة‬ ‫‪2-3-2‬‬
‫األنشطة المتعلقة بها بشكل مستمر حسب حساسية األصول المعلوماتية والتقنية‪.‬‬
‫إلغاء وتغيير صالحية الوصول‬ ‫‪2-4‬‬
‫يجب على <اإلدارة المعنية ب‪1‬الموارد البش‪1‬رية> تبلي‪1‬غ <اإلدارة المعني‪1‬ة بتقني‪1‬ة المعلوم‪1‬ات>‬ ‫‪2-4-1‬‬
‫التخاذ اإلجراء الالزم عند انتقال المستخدم أو تغيير مهامه أو إنهاء‪/‬انته‪11‬اء العالق‪11‬ة الوظيفي‪11‬ة‬
‫بين المستخدم و<اسم الجهة> لتقوم <اإلدارة المعني‪1‬ة بتقني‪1‬ة المعلوم‪1‬ات> بإيق‪1‬اف الحس‪1‬ابات‬
‫والصالحيات أو تعديلها بناًء على مهامه الوظيفية الجديدة مع ضرورة األتمتة قدر اإلمكان‪.‬‬
‫في ح‪11‬ال تم إيق‪11‬اف ص‪11‬الحيات المس‪11‬تخدم‪ ،‬يجب من‪11‬ع ح‪11‬ذف س‪11‬جالت األح‪11‬داث الخاص‪11‬ة‬ ‫‪2-4-2‬‬
‫بالمس‪11‬تخدم ويتم حفظه‪11‬ا وفًق ا لسياس‪11‬ة إدارة س‪11‬جالت األح‪11‬داث ومراقب‪11‬ة األمن الس‪11‬يبراني‬
‫المعتمدة لدى <اسم الجهة>‪.‬‬
‫مراجعة هويات الدخول والصالحيات‬ ‫‪2-5‬‬
‫يجب مراجع‪11‬ة هوي‪11‬ات ال‪11‬دخول (‪ )User IDs‬الخاص‪11‬ة باألص‪11‬ول المعلوماتي‪11‬ة والتقني‪11‬ة‬ ‫‪2-5-1‬‬
‫واستخداماتها <سنوًيا> ‪ ،‬ومراجعة هويات الدخول على األنظمة الحساسة واستخداماتها م‪11‬رة‬
‫واحدة كل ثالثة أشهر على األقل‪.‬‬
‫يجب مراجع‪1‬ة ص‪1‬الحيات المس‪1‬تخدمين (‪ )User Profile‬الخاص‪1‬ة باألص‪1‬ول المعلوماتي‪1‬ة‬ ‫‪2-5-2‬‬
‫والتقني‪11‬ة واس‪11‬تخداماتها <س‪11‬نوًيا>‪ ،‬ومراجع‪11‬ة الص‪11‬الحيات الخاص‪11‬ة باألنظم‪11‬ة الحساس‪11‬ة‬
‫واستخداماتها كل ثالث أشهر على األقل‪.‬‬
‫إدارة كلمات المرور‬ ‫‪2-6‬‬
‫يجب تطبيق سياسة آمن‪1‬ة لكلم‪11‬ة الم‪11‬رور ذات مع‪11‬ايير عالي‪1‬ة لجمي‪1‬ع الحس‪11‬ابات داخ‪1‬ل <اس‪11‬م‬ ‫‪2-6-1‬‬
‫الجهة> وذلك وفًق ا لمعيار إدارة الهويات والص‪11‬الحيات المعتم‪11‬د ل‪11‬دى <اس‪11‬م الجه‪11‬ة> ووفًق ا‬
‫للسياسات والمتطلبات التشريعية والتنظيمية ذات العالقة‪.‬‬
‫يجب إشعار المستخدمين قبل انتهاء صالحية كلم‪11‬ة الم‪11‬رور لت‪1‬ذكيرهم بتغي‪1‬ير كلم‪11‬ة الم‪11‬رور‬ ‫‪2-6-2‬‬
‫قبل انتهاء الصالحية‪.‬‬
‫يجب عدم استخدام كلمة مرور تم استخدامها من قبل‪.‬‬ ‫‪2-6-3‬‬
‫يجب ضبط إعدادات كافة األصول المعلوماتي‪1‬ة والتقني‪1‬ة لطلب تغي‪1‬ير كلم‪1‬ة الم‪1‬رور المؤقت‪1‬ة‬ ‫‪2-6-4‬‬
‫عند تسجيل المستخدم الدخول ألول مرة‪.‬‬
‫يجب تغيير جميع كلمات المرور االفتراضية لجميع األصول المعلوماتية والتقنية قبل تثبيته‪11‬ا‬ ‫‪2-6-5‬‬
‫في بيئة اإلنتاج‪.‬‬
‫يجب تغيير كلمات مرور السالسل النصية (‪ )Community String‬االفتراض‪11‬ية (مث‪11‬ل‪:‬‬ ‫‪2-6-6‬‬
‫«‪ »Public‬و«‪ »Private‬و«‪ )»System‬الخاصة ب‪11‬بروتوكول إدارة الش‪11‬بكة البس‪11‬يط (‬
‫`‬
‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪7‬‬
 ‫نموذج سياسة إدارة هويات الدخول والصالحيات‬

‫‪ ،)SNMP‬ويجب أن تك‪11‬ون مختلف‪11‬ة عن كلم‪11‬ات الم‪11‬رور المس‪11‬تخدمة لتس‪11‬جيل ال‪11‬دخول في‬

‫األصول التقنية المعنية‪.‬‬

‫حماية كلمات المرور‬ ‫‪2-7‬‬

‫‪2-7-1‬يجب تشفير جميع كلمات المرور لألصول المعلوماتية والتقنية الخاصة ب<اس‪11‬م الجه‪11‬ة> بص‪11‬يغة غ‪11‬ير‬
‫قابلة للقراءة أثناء إدخالها ونقلها وتخزينها وذلك وفًق ا لسياس‪11‬ة التش‪11‬فير المعتم‪11‬دة ل‪11‬دى <اس‪11‬م‬
‫الجهة>‪.‬‬
‫يجب إخفاء (‪ )Mask‬كلمة المرور عند إدخالها على الشاشة‪.‬‬ ‫‪2-7-2‬‬
‫يجب تعطيل خاصية "تذّك ر كلمة الم‪11‬رور" (‪ )Remember Password‬على األنظم‪11‬ة‬ ‫‪2-7-3‬‬
‫والتطبيقات الخاصة ب<اسم الجهة>‪.‬‬
‫يجب منع استخدام الكلمات المعروفة (‪ )Dictionary‬في كلمة المرور كما هي‪.‬‬ ‫‪2-7-4‬‬
‫يجب تس‪1‬ليم كلم‪1‬ة الم‪1‬رور الخاص‪1‬ة بالمس‪1‬تخدم بطريق‪1‬ة آمن‪1‬ة وموثوق‪1‬ة من خالل إج‪1‬راءات‬ ‫‪2-7-5‬‬
‫محددة ومعتمدة‪.‬‬
‫إذا طلب المستخدم إعادة تعيين كلمة المرور عن طري‪11‬ق اله‪11‬اتف أو اإلن‪11‬ترنت أو أي وس‪11‬يلة‬ ‫‪2-7-6‬‬
‫أخرى‪ ،‬فال بد من التحّق ق من هوية المستخدم قبل إعادة تعيين كلمة المرور من خالل ط‪11‬رق‬
‫محددة ومعتمدة على سبيل المثال ال الحصر‪ :‬تفعيل وتحديث األسئلة األمنية‪.‬‬
‫يجب حماية كلمات المرور الخاصة بحس‪1‬ابات الخدم‪1‬ة والحس‪1‬ابات ذات الص‪1‬الحيات الهام‪1‬ة‬ ‫‪2-7-7‬‬
‫والحّس اسة وتخزينها بشكل آمن في موقع مناسب (داخل مغلف مختوم في خزنة) أو استخدام‬
‫التقني‪11‬ات الخاص‪11‬ة بحف‪11‬ظ وإدارة الص‪11‬الحيات الهام‪11‬ة والحّساس‪11‬ة (‪Privilege Access‬‬
‫‪.)Management Solution‬‬

‫األدوار والمسؤوليات‬
‫مالك السياسة‪< :‬رئيس اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-1‬‬
‫مراجعة السياسة وتحديثها‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-2‬‬
‫تنفي‪55‬ذ السياس‪55‬ة وتطبيقه‪55‬ا‪< :‬اإلدارة المعني‪11‬ة بتقني‪11‬ة المعلوم‪11‬ات> و<اإلدارة المعني‪11‬ة ب‪11‬الموارد البش‪11‬رية>‬ ‫‪-3‬‬
‫و<اإلدارة المعنية باألمن السيبراني>‪.‬‬
‫قياس االلتزام بالسياسة‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-4‬‬

‫`‬
‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪8‬‬
 ‫نموذج سياسة إدارة هويات الدخول والصالحيات‬

‫التحديث والمراجعة‬
‫يجب على <اإلدارة المعنية باألمن الس‪11‬يبراني> مراجع‪11‬ة السياس‪11‬ة س‪11‬نوًيا على األق‪11‬ل أو في ح‪11‬ال ح‪11‬دوث‬
‫تغي‪11‬يرات في السياس‪11‬ات أو اإلج‪11‬راءات التنظيمي‪11‬ة في <اس‪11‬م الجه‪11‬ة> أو المتطلب‪11‬ات التش‪11‬ريعية والتنظيمي‪11‬ة ذات‬
‫العالقة‪.‬‬

‫االلتزام بالسياسة‬
‫يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه السياسة دورًيا‪.‬‬ ‫‪-1‬‬
‫يجب على كافة العاملين في <اسم الجهة> االلتزام بهذه السياسة‪.‬‬ ‫‪-2‬‬
‫قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج‪11‬راءات المتبع‪11‬ة في <اس‪11‬م‬ ‫‪-3‬‬
‫الجهة>‪.‬‬

‫`‬
‫اختر التصنيف‬

‫اإلصدار <‪>1.0‬‬

‫‪9‬‬