‫‪RESTRICTED‬‬

‫هذا المربع مخّص ص ألغراض توجيهية‪ .‬احذف جميع المربعات التوجيهية‬

‫بع‪1‬د تعبئ‪1‬ة النم‪1‬وذج‪ .‬يجب تحري‪1‬ر البن‪1‬ود الملّو ن‪1‬ة ب‪1‬اللون األزرق بص‪1‬ورة‬
‫مناسبة‪ .‬ويجب إزالة التظليل الملون بعد إجراء التعديالت‪.‬‬

‫أدخل شعار الجهة بالضغط على الصورة الموضحة‪.‬‬

‫نموذج سياسة أمن الخوادم‬

‫استبدل <اسم الجهة> باسم الجهة في مجمل صفحات الوثيقة‪.‬‬

‫وللقيام بذلك‪ ،‬اتبع الخطوات التالية‪:‬‬ ‫اختر التصنيف‬
‫اض‪11‬غط على مفت‪11‬احي "‪ "Ctrl‬و"‪ "H‬في ال‪11‬وقت‬ ‫‪‬‬
‫نفسه‪.‬‬ ‫اضغط هنا إلضافة تاريخ‬ ‫التاريخ‪:‬‬
‫أضف "<الجهة>" في مربع البحث عن النص‪.‬‬ ‫‪‬‬
‫أدخل االسم الكامل لجهتك في مرب‪11‬ع "اس‪11‬تبدال"‬ ‫‪‬‬ ‫اضغط هنا إلضافة نص‬ ‫اإلصدار‪:‬‬
‫النص‪.‬‬ ‫اضغط هنا إلضافة نص‬ ‫المرجع‪:‬‬
‫اض‪111‬غط على "المزي‪111‬د" وتأّك د من اختي‪111‬ار "‬ ‫‪‬‬
‫‪."Match case‬‬
‫اضغط على "استبدل الكل"‪.‬‬ ‫‪‬‬
‫أغلق مربع الحوار‪.‬‬ ‫‪‬‬
 ‫نموذج سياسة أمن الخوادم‬

‫إخالء المسؤولية‬
‫ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس‪11‬يبراني كمث‪11‬ال توض‪11‬يحي يمكن اس‪11‬تخدامه ك‪11‬دليل‬
‫ومرجع للجهات‪ .‬يجب أن يتم تعديل ه‪1‬ذا النم‪1‬وذج ومواءمت‪1‬ه م‪1‬ع أعم‪1‬ال <اس‪1‬م الجه‪1‬ة> والمتطلب‪1‬ات التش‪1‬ريعية‬
‫والتنظيمية ذات العالقة‪ .‬كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم‪/‬تقوم بتفويض‪11‬ه‪ .‬وتخلي‬
‫الهيئة مسؤوليتها من استخدام هذا النموذج كما هو‪ ،‬وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي‪.‬‬

‫اإلصدار <‪>1.0‬‬

‫‪1‬‬
 ‫نموذج سياسة أمن الخوادم‬

‫اعتماد الوثيقة‬

‫التوقيع‬ ‫التاريخ‬ ‫االسم‬ ‫المسمى الوظيفي‬ ‫الدور‬

‫اضغط هنا إلضافة‬

‫<أدخل التوقيع>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل المسمى الوظيفي>‬
‫تاريخ‬

‫نسخ الوثيقة‬

‫أسباب التعديل‬ ‫ٌعدَل بواسطة‬ ‫التاريخ‬ ‫النسخة‬

‫اضغط هنا إلضافة‬

‫<أدخل وصف التعديل>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل رقم النسخة>‬
‫تاريخ‬

‫جدول المراجعة‬

‫تاريخ المراجعة القادمة‬ ‫التاريخ ألخر مراجعة‬ ‫معدل المراجعة‬

‫اضغط هنا إلضافة تاريخ‬ ‫اضغط هنا إلضافة تاريخ‬ ‫مره واحدة كل سنة‬

‫اإلصدار <‪>1.0‬‬

‫‪2‬‬
 ‫نموذج سياسة أمن الخوادم‬

‫قائمة المحتويات‬
‫الغرض ‪4............................................................................................................................‬‬
‫نطاق العمل ‪4.......................................................................................................................‬‬
‫بنود السياسة ‪4......................................................................................................................‬‬
‫األدوار والمسؤوليات ‪7.............................................................................................................‬‬
‫التحديث والمراجعة ‪7...............................................................................................................‬‬
‫االلتزام بالسياسة ‪7......................................................................................................................................‬‬

‫اإلصدار <‪>1.0‬‬

‫‪3‬‬
 ‫نموذج سياسة أمن الخوادم‬

‫الغرض‬
‫الغرض من هذه السياسة هو تحديد متطلبات األمن السيبراني المتعلق‪11‬ة ب‪11‬الخوادم (‪ )Servers‬الخاص‪11‬ة‬
‫ب<اسم الجهة> لتقليل المخاطر السيبرانية عليها وحمايتها من التهديدات الداخلي‪1‬ة والخارجي‪1‬ة من خالل الترك‪1‬يز‬
‫على األهداف األساسية للحماية وهي‪ :‬سرية المعلومات‪ ،‬وسالمتها‪ ،‬وتوافرها‪.‬‬
‫تمت موائم‪11‬ة ه‪11‬ذه السياس‪11‬ة م‪11‬ع الض‪11‬وابط والمع‪11‬ايير الص‪11‬ادرة من الهيئ‪11‬ة الوطني‪11‬ة لألمن الس‪11‬يبراني‬
‫والمتطلبات التنظيمية والتشريعية ذات العالقة‪.‬‬

‫نطاق العمل‬
‫تغطي هذه السياسة جميع األص‪11‬ول التقني‪11‬ة والمعلوماتي‪11‬ة (ش‪11‬املة الخ‪11‬وادم) الخاص‪11‬ة ب<اس‪11‬م الجه‪11‬ة>‪،‬‬
‫وتنطبق على جميع العاملين (الموظفين والمتعاقدين) في <اسم الجهة>‪.‬‬

‫بنود السياسة‬
‫البنود العامة‬ ‫‪-1‬‬
‫يجب تحديد وتوثيق جميع الخ‪11‬وادم الخاص‪11‬ة ب<اس‪11‬م الجه‪11‬ة>‪ ،‬وتس‪11‬جيلها تحت إدارة فري‪11‬ق تش‪11‬غيلي‬ ‫‪1-1‬‬
‫معين مسؤول عن العمليات التشغيلية واألمنية وفًق ا لسياس‪1‬ات <اس‪1‬م الجه‪1‬ة> والمتطلب‪1‬ات التش‪1‬ريعية‬
‫والتنظيمية ذات العالقة‪.‬‬
‫يجب تط‪11‬وير وتوثي‪11‬ق واعتم‪11‬اد ومراجع‪11‬ة المع‪11‬ايير التقني‪11‬ة األمني‪11‬ة ( ‪Technical Security‬‬ ‫‪1-2‬‬
‫‪ )Standards‬للخوادم المستخدمة داخل <اسم الجهة>‪ ،‬وفًق ا ألفضل الممارسات الدولية والسياسات‬
‫واإلجراءات التنظيمية المعتمدة لدى <اسم الجهة>‪ ،‬والمتطلبات التشريعية والتنظيمية ذات العالقة‪.‬‬
‫يجب ضبط إعدادات الخ‪1‬وادم وفًق ا للمع‪11‬ايير التقني‪1‬ة األمني‪1‬ة المعتم‪11‬دة قب‪1‬ل تش‪11‬غيل الخ‪1‬وادم في البيئ‪1‬ة‬ ‫‪1-3‬‬
‫التشغيلية‬
‫يجب عمل نسخ احتياطية منتظمة للخوادم وفًق ا لسياسة إدارة النس‪11‬خ االحتياطي‪11‬ة المعتم‪11‬دة ل‪11‬دى <اس‪11‬م‬ ‫‪1-4‬‬
‫الجهة> لضمان إمكانية استعادتها في حال تعّر ضها لتلف أو حادث غير مقصود‪.‬‬
‫يجب استخدام التقنيات األمنية الالزمة وتعطيل وإعادة استخدام الخوادم التي تحوي معلومات مص‪11‬نفة‬ ‫‪1-5‬‬
‫بشكل آمن وفًق ا للسياسات والمتطلبات التشريعية والتنظيمية ذات العالقة‪.‬‬
‫يجب تحديث برمجيات الخوادم بما في ذلك أنظمة التشغيل وبرامج التطبيقات وتزويدها بأحدث ح‪11‬زم‬ ‫‪1-6‬‬
‫التح‪11‬ديثات واإلص‪11‬الحات األمني‪11‬ة وفًق ا لسياس‪11‬ة إدارة التح‪11‬ديثات واإلص‪11‬الحات المعتم‪11‬دة في <اس‪11‬م‬
‫الجهة>‪.‬‬
‫يجب استخدام مؤشر قي‪11‬اس األداء (‪ )KPI‬لض‪11‬مان التط‪11‬وير المس‪11‬تمر واالس‪11‬تخدام الص‪11‬حيح والفع‪11‬ال‬ ‫‪1-7‬‬
‫لمتطلبات حماية الخوادم‪.‬‬
‫إعدادات الخوادم‬ ‫‪-2‬‬

‫اإلصدار <‪>1.0‬‬

‫‪4‬‬
 ‫نموذج سياسة أمن الخوادم‬

‫يجب تطبيق متطلبات اإلعدادات والتحصين المعتمدة لدى <اسم الجهة>‪.‬‬ ‫‪2-1‬‬
‫يجب تعطيل الخوادم والتطبيقات غير المستخدمة وفًق ا للمعايير التقنية األمنية المعتمدة‪.‬‬ ‫‪2-2‬‬
‫يجب اعتماد إعدادات وتحصين الخوادم‪ ،‬ومراجعتها وتحديثها <سنوًيا>‪ ،‬وتطبيق ذلك كل ستة أشهر‬ ‫‪2-3‬‬
‫على األقل بالنسبة لخوادم األنظمة الحساسة‪.‬‬
‫يجب تغيير كلمات المرور الثابتة للخوادم وفًق ا للمعايير التقنية األمنية المعتمدة لدى <اسم الجهة>‪.‬‬ ‫‪2-4‬‬

‫الوصول واإلدارة‬ ‫‪-3‬‬

‫يجب تقييد الوصول إلى الخوادم الخاصة ب<اسم الجهة> بحيث يك‪1‬ون الوص‪1‬ول متاًح ا للمس‪1‬تخدمين‬ ‫‪3-1‬‬
‫المصرح لهم وعند الحاجة فقط‪.‬‬
‫يجب تقييد الدخول إلى الخوادم واألنظمة الحساسة وحصره على حسابات مشرفي األنظمة ومراجع‪11‬ة‬ ‫‪3-2‬‬
‫الحس‪11‬ابات والص‪11‬الحيات الممنوح‪11‬ة للمش‪11‬رفين بش‪11‬كل دوري وفًق ا لسياس‪11‬ة إدارة هوي‪11‬ات ال‪11‬دخول‬
‫والصالحيات المعتمدة لدى <اسم الجهة>‪.‬‬
‫يجب تقيي‪11‬د الوص‪11‬ول إلى الخ‪11‬وادم الخاص‪11‬ة باألنظم‪11‬ة الحساس‪11‬ة وحص‪11‬ره على الفري‪11‬ق التق‪11‬ني ذو‬ ‫‪3-3‬‬
‫الصالحيات الهامة وذلك عن طريق أجهزة حاسب (‪ )Workstations‬فقط وع‪11‬دم اس‪11‬تخدام أجه‪11‬زة‬
‫محمول‪11‬ة‪ ،‬كم‪11‬ا يجب ع‪11‬زل ه‪11‬ذه األجه‪11‬زة في ش‪11‬بكة خاص‪11‬ة إلدارة األنظم‪11‬ة ( ‪Management‬‬
‫‪ ،) Network‬ومنع ارتباطها بأي شبكة أو خدمة أخرى (مثل خدمة البريد اإللكتروني واإلنترنت)‪.‬‬
‫يجب استخدام التحقق من الهوي‪11‬ة متع‪11‬دد العناص‪11‬ر (‪ )Multi-Factor Authentication‬لل‪11‬دخول‬ ‫‪3-4‬‬
‫إلى الخوادم الخاصة باألنظمة الحساسة‪.‬‬
‫يجب إيق‪11‬اف الحس‪11‬ابات المص‪11‬نعية واالفتراض‪11‬ية (‪ )Default Accounts‬أو تغييره‪11‬ا‪ ،‬وإيق‪11‬اف‬ ‫‪3-5‬‬
‫الخ‪11‬دمات غ‪11‬ير المس‪11‬تخدمة‪ ،‬ومناف‪11‬ذ الش‪11‬بكة غ‪11‬ير المس‪11‬تخدمة في نظ‪11‬ام التش‪11‬غيل ( ‪Operating‬‬
‫‪ )System‬على جميع الخوادم‪.‬‬
‫يجب حماية البيانات المخزنة على الخوادم وتشفيرها بالتوافق مع سياسة التشفير المعتمدة لدى <اس‪11‬م‬ ‫‪3-6‬‬
‫الجهة> بناًء على تصنيفها وفقًا للمتطلبات التشريعية والتنظيمية ذات العالقة‪.‬‬
‫حماية الخوادم‬ ‫‪-4‬‬
‫يجب تحديث الخوادم غير المحّدثة أو غير الموثوقة من االتصال بشبكة <اسم الجه‪11‬ة> ووض‪11‬عها في‬ ‫‪4-1‬‬
‫شبكة معزولة ألخذ التحديثات الالزمة لتقلي‪1‬ل المخ‪1‬اطر الس‪11‬يبرانية ذات العالق‪1‬ة وال‪1‬تي ق‪1‬د ت‪1‬ؤدي إلى‬
‫الوصول غير المصّر ح به أو دخول البرمجيات الضارة أو تسّر ب البيانات‪.‬‬
‫يجب استخدام تقنيات وآليات الحماية الحديثة والمتقدمة على جميع الخوادم للحماي‪11‬ة من الفيروس‪11‬ات (‬ ‫‪4-2‬‬
‫‪ )Virus‬والبرامج واألنشطة المشبوهة والبرمجيات الضارة (‪ )Malware‬وغير المعروفة (‪Zero-‬‬
‫‪ )Day‬وإدارتها بشكل آمن‪.‬‬
‫يجب السماح فقط بقائم‪11‬ة مح‪11‬ددة من ملف‪11‬ات التش‪11‬غيل (‪ )Whitelisting‬للتطبيق‪11‬ات وال‪11‬برامج للعم‪11‬ل‬ ‫‪4-3‬‬
‫على الخوادم الخاصة باألنظمة الحساسة‪.‬‬
‫يجب تقييد استخدام وس‪11‬ائط التخ‪11‬زين الخارجي‪11‬ة على الخ‪11‬وادم‪ ،‬ويجب الحص‪11‬ول على إذن مس‪11‬بق من‬ ‫‪4-4‬‬
‫<اإلدارة المعنية باألمن السيبراني> قبل استخدامها‪ ،‬والتأكد من استخدامها بشكل آمن‪.‬‬

‫اإلصدار <‪>1.0‬‬

‫‪5‬‬
 ‫نموذج سياسة أمن الخوادم‬

‫يجب تث‪11‬بيت الخ‪11‬وادم في المنطق‪11‬ة المناس‪11‬بة من مخط‪11‬ط‪/‬هيك‪11‬ل الش‪11‬بكة حس‪11‬ب المتطلب‪11‬ات التش‪11‬غيلية‬ ‫‪4-5‬‬
‫والتشريعية لها لضمان إدارتها وتطبيق الحماية الالزمة عليها بشكل فّعال‪.‬‬
‫المتطلبات التشغيلية لإدارة الخوادم‬ ‫‪-5‬‬
‫يجب إدارة الخوادم مركزًيا في <اسم الجهة> لكشف المخاطر بصورة أسرع‪ ،‬وتسهيل إدارة ومراقبة‬ ‫‪5-1‬‬
‫الخوادم مثل تقييد الوصول وتثبيت حزم التحديثات وغيرها‪.‬‬
‫يجب توف‪111‬ير الحماي‪111‬ة الالزم‪111‬ة للخ‪111‬وادم ال‪111‬تي تعم‪111‬ل في بيئ‪111‬ة األنظم‪111‬ة االفتراض‪111‬ية (‪Virtual‬‬ ‫‪5-2‬‬
‫‪ )Environment‬وإدارتها بشكل آمن بناًء على تقييم المخاطر السيبرانية‪.‬‬
‫يجب ض‪11‬بط إع‪11‬دادات الخ‪11‬وادم وتفعي‪11‬ل إرس‪11‬ال س‪11‬جالت األح‪11‬داث إلى نظ‪11‬ام الس‪11‬جالت والمراقب‪11‬ة (‬ ‫‪5-3‬‬
‫‪ )SIEM‬وفًق ا لسياسة إدارة سجالت األحداث ومراقبة األمن السيبراني المعتمدة لدى <اسم الجهة>‪.‬‬
‫يجب مزامنة التوقيت (‪ )Clock Synchronization‬مركزًيا لجميع الخ‪11‬وادم ومن مص‪11‬در دقي‪11‬ق‬ ‫‪5-4‬‬
‫وموثوق ومعتمد‪.‬‬
‫يجب توفير المتطلبات الالزم‪11‬ة لتش‪11‬غيل الخ‪1‬وادم بش‪11‬كل آمن ومالئم‪ ،‬مث‪1‬ل توف‪1‬ير بيئ‪1‬ة مناس‪11‬بة وآمن‪1‬ة‬ ‫‪5-5‬‬
‫وتقييد الوصول المادي إلى منطقة الخوادم للعاملين المصرح لهم فقط ومراقبته‪.‬‬
‫يجب على <اإلدارة المعنية بتقنية المعلومات> مراقب‪11‬ة الخ‪11‬وادم التش‪11‬غيلية والتأك‪11‬د من فعالي‪11‬ة أدائه‪11‬ا‪،‬‬ ‫‪5-6‬‬
‫وتوافرها‪ ،‬وتوفير سعة تخزينية مناسبة‪ ،‬ونحو ذلك‪.‬‬
‫إدارة الثغرات واختبار االختراق‬ ‫‪-6‬‬
‫يجب فحص الخوادم واكتشاف الثغ‪11‬رات عليه‪11‬ا ومعالجته‪11‬ا بن‪11‬اًء على تص‪11‬نيفها والمخ‪11‬اطر الس‪11‬يبرانية‬ ‫‪6-1‬‬
‫المترتبة عليها دورًيا وفًق ا لسياسة إدارة الثغرات المعتمدة لدى <اسم الجه‪11‬ة> والمتطلب‪11‬ات التش‪11‬ريعية‬
‫والتنظيمية ذات العالقة‪.‬‬
‫يجب تنفيذ عمليات اختبار االختراق على الخوادم دورًيا‪ ،‬وفًق ا لسياسة اختبار االختراق المعتمدة ل‪11‬دى‬ ‫‪6-2‬‬
‫<اسم الجهة>‪.‬‬
‫يجب تثبيت حزم التح‪11‬ديثات واإلص‪11‬الحات األمني‪11‬ة لمعالج‪11‬ة الثغ‪11‬رات ورف‪11‬ع مس‪11‬توى كف‪11‬اءة الخ‪11‬وادم‬ ‫‪6-3‬‬
‫وأمنها‪ ،‬وفًق ا لسياسة إدارة التحديثات واإلصالحات المعتمدة لدى <اسم الجهة>‪.‬‬
‫الحماية المادية والبيئية للخوادم‬ ‫‪-7‬‬
‫يجب رصد ومراقبة الدخول والخروج من مرافق الخ‪1‬وادم داخ‪1‬ل <اس‪11‬م الجه‪11‬ة>‪ ،‬على س‪11‬بيل المث‪1‬ال‬ ‫‪7-1‬‬
‫األبواب واألقفال‪ ،‬أنظمة المراقبة الحديثة‪.‬‬
‫يجب رصد ومراقبة العوامل البيئية للخوادم كالتدفئة وتكييف الهواء وال‪1‬دخان وأجه‪1‬زة إن‪1‬ذار الحري‪1‬ق‬ ‫‪7-2‬‬
‫وأنظمة إخماد الحرائق‪.‬‬
‫يجب تطبيق العزل المادي للخوادم وشبكات األنظمة الحساسة في بيئة مقيدة الوصول وفًقا للسياس‪11‬ات‬ ‫‪7-3‬‬
‫والمتطلبات التنظيمية التشريعية ذات العالقة‪.‬‬
‫يجب االلتزام بوضع الضوابط األمنية المادية المناسبة (مثل كاميرات المراقب‪1‬ة داخ‪1‬ل وخ‪1‬ارج مرك‪1‬ز‬ ‫‪7-4‬‬
‫بيانات <اسم الجهة>‪ ،‬وحراس األمن‪ ،‬وتأمين الكابالت‪ ،‬وغيرها)‪.‬‬

‫اإلصدار <‪>1.0‬‬

‫‪6‬‬
 ‫نموذج سياسة أمن الخوادم‬

‫األدوار والمسؤوليات‬
‫مالك السياسة‪< :‬رئيس اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-1‬‬
‫مراجعة السياسة وتحديثها‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-2‬‬
‫تنفيذ السياسة وتطبيقها‪< :‬اإلدارة المعنية بتقنية المعلومات> و<اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-3‬‬
‫قياس االلتزام بالسياسة‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-4‬‬

‫التحديث والمراجعة‬
‫يجب على <اإلدارة المعني‪1‬ة ب‪1‬األمن الس‪1‬يبراني> مراجع‪1‬ة السياس‪1‬ة س‪1‬نوًيا على األق‪1‬ل أو في ح‪1‬ال ح‪1‬دوث‬
‫تغي‪11‬يرات في السياس‪11‬ات أو اإلج‪11‬راءات التنظيمي‪11‬ة في <اس‪11‬م الجه‪11‬ة> أو المتطلب‪11‬ات التش‪11‬ريعية والتنظيمي‪11‬ة ذات‬
‫العالقة‪.‬‬

‫االلتزام بالسياسة‬
‫يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه السياسة دورًيا‪.‬‬ ‫‪-1‬‬
‫يجب على كافة العاملين في <اسم الجهة> االلتزام بهذه السياسة‪.‬‬ ‫‪-2‬‬
‫قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج‪11‬راءات المتبع‪11‬ة في <اس‪11‬م‬ ‫‪-3‬‬
‫الجهة>‪.‬‬

‫اإلصدار <‪>1.0‬‬

‫‪7‬‬