Professional Documents
Culture Documents
POLICY Vulnerabilities Management Template Ar FINAL
POLICY Vulnerabilities Management Template Ar FINAL
إخالء المسؤولية
ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس++يبراني كمث++ال توض++يحي يمكن اس++تخدامه ك++دليل
ومرجع للجهات .يجب أن يتم تعديل ه+ذا النم+وذج ومواءمت+ه م+ع أعم+ال <اس+م الجه+ة> والمتطلب+ات التش+ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض++ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اختر التصنيف
اإلصدار <>1.0
1
نموذج سياسة إدارة الثغرات
اعتماد الوثيقة
<أدخل وصف التعديل> <أدخل االسم الكامل للموظف> <أدخل رقم النسخة>
نسخ الوثيقة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
جدول المراجعة
اختر التصنيف
اإلصدار <>1.0
2
نموذج سياسة إدارة الثغرات
قائمة المحتويات
الغرض4..................................................................................................................
نطاق العمل4..............................................................................................................
بنود السياسة4.............................................................................................................
األدوار والمسؤوليات6...................................................................................................
التحديث والمراجعة6.....................................................................................................
االلتزام بالسياسة6........................................................................................................
اختر التصنيف
اإلصدار <>1.0
3
نموذج سياسة إدارة الثغرات
الغرض
تهدف هذه السياسة إلى تحديد متطلبات األمن السيبراني المتعلق++ة بض++مان اكتش++اف الثغ++رات التقني++ة في
الوقت المناسب ومعالجتها بشكل فعال؛ وذلك لمنع احتمالية استغالل هذه الثغرات من قبل الهجمات السيبرانية أو
تقليلها ،وكذلك التقليل من اآلثار المترتبة على أعمال <اسم الجهة> وحمايتها من التهدي+دات الداخلي+ة والخارجي+ة
في <اسم الجهة> .هذه المتطلبات تمت موائمتها مع متطلبات األمن السيبراني الصادرة من الهيئة الوطنية لألمن
الس++يبراني ويش++مل ذل++ك على س++بيل المث++ال ال الحص++ر :الض++وابط األساس++ية لألمن الس++يبراني (ECC – 1:
،)2018ض++وابط األمن الس++يبراني لألنظم++ة الحساس++ة ( )CSCC – 1: 2019وغيره++ا من المتطلب++ات
التشريعية والتنظيمية ذات العالقة.
نطاق العمل
تطبق هذه السياسة على جميع األصول المعلوماتية والتقني++ة في <اس++م الجه++ة> ،وعلى جمي++ع الع++املين
(الموظفين والمتعاقدين) في <اسم الجهة>.
بنود السياسة
البنود العامة -1
يجب فحص وتقييم الثغرات دورًيا من قبل فريق مختص ومؤهل الكتشاف وتق++ييم الثغ++رات التقني++ة في 1-1
الوقت المناسب ومعالجتها بشكل فّعال وفًق ا للمتطلب++ات التش++ريعية والتنظيمي++ة ذات العالق++ة على النح++و
التالي على األقل:
األنظمة
أنظمة
شهرًيا شهرًيا شهرًيا شهرًيا شهرًيا شهرًيا
التشغيل
قواعد
ثالثة أشهر شهرًيا شهرًيا ثالثة أشهر* شهرًيا ثالثة أشهر
البيانات
أجهزة
ثالثة أشهر شهرًيا شهرًيا ثالثة أشهر* شهرًيا ثالثة أشهر
الشبكة
ثالثة أشهر شهرًيا شهرًيا ثالثة أشهر* شهرًيا ثالثة أشهر التطبيقات
اختر التصنيف
اإلصدار <>1.0
4
نموذج سياسة إدارة الثغرات
* يكون فحص الثغرات شهرًيا بينما يكون تقييم الثغرات كل ثالثة أشهر.
يجب تحديد األنظمة والخدمات والمكونات التقنية التي يجب إجراء فحص الثغ++رات عليه++ا وذل++ك وفًق ا 1-2
للمتطلبات التشريعية والتنظيمية ذات العالقة.
يجب استخدام أساليب وأدوات موثوقة ومعتمدة الكتشاف الثغرات. 1-3
يجب القيام بفحص واكتشاف الثغرات قب++ل إطالق الخ++دمات أو األنظم++ة على اإلن++ترنت أو عن++د القي++ام 1-4
ب++أي تغي++ير على البني++ة التحتي++ة أو األنظم++ة وفًق ا لسياس++ة األمن الس++يبراني ض++من إدارة المش++اريع
المعلوماتية والتقنية المعتمدة لدى <اسم الجهة>.
يجب تصنيف الثغرات حسب خطورتها ،ومعالجته+ا حس+ب المخ+اطر الس+يبرانية المترتب+ة عليه+ا وفًق ا 1-5
لمنهجية إدارة المخاطر المعتمدة لدى <اسم الجهة>.
في ح++ال تف++ويض ط++رف خ++ارجي للقي++ام بفحص واكتش++اف الثغ++رات نياب++ة عن <اس++م الجه++ة> ،يجب 1-6
التحقق من تطبيق جميع متطلبات األمن السيبراني المتعلق++ة ب++األطراف الخارجي++ة وذل++ك وفًق ا لسياس++ة
األمن السيبراني المتعّلق باألطراف الخارجية المعتمدة لدى <اسم الجهة> ووفًق ا للمتطلب++ات التش++ريعية
والتنظيمية ذات العالقة.
يجب التواصل واالشتراك مع مص++ادر أمن س++يبراني موثوق++ة ت++وفر المعلوم++ات االس++تباقية (Threat 1-7
،)Intelligenceومجموع++ات خاص++ة ذات اهتمام++ات مش++تركة وخ++براء خ++ارجيين في المواض++يع
المعنية من أجل جمع المعلومات حول التهديدات الجديدة وكيفية الحد من الثغرات المحتملة باالش++تراك
مع الهيئة عبر منصة حصين مع ضرورة الحصول على الموافقة من الهيئة الوطني++ة لألمن الس++يبراني
عند االشتراك مع المزودين االخرين .
يجب تطوير عمليات لتلقي وتحليل ومعالجة الثغرات التي تم الكشف عنها ل <اسم الجهة> من مصادر 1-8
داخلية أو خارجية في حال االشتراك مع مزودي الخدمة لتلقي االخبار عن أحدث الثغرات.
يجب معالجة جميع الثغرات حس+ب خطورته+ا وتص+نيفها وفًق ا إلط+ار إدارة مخ+اطر األمن الس+يبراني 1-9
المعتمدة في <اسم الجهة>.
يجب تط++وير خط++ة إلدارة الثغ++رات األمني++ة في <اس++م الجه++ة> على أن يتبعه++ا فري++ق تق++ييم الثغ++رات 1-10
الداخلي أو الخارجي.
يجب تحديد آلية لمعالجة الثغرات بشكل فّعال ومنع أو تقلي+ل احتمالي+ة اس+تغالل ه+ذه الثغ+رات ،وتقلي+ل 1-11
اآلثار الناتجة عن هذه الهجمات على سير األعمال.
يجب االحتفاظ بسجالت تقييم الثغرات والتحديثات والتغييرات المرتبطة بها. 1-12
يجب تطوير إجراءات ومعايير خاصة بتنفيذ فحص وتقييم الثغرات بناًء على حاجة العمل. 1-13
يجب اس+تخدام مؤش+ر قي+اس األداء ( )KPIلض+مان التط+وير المس+تمر واالس+تخدام الص+حيح والفع+ال 1-14
لمتطلبات إدارة الثغرات.
اختر التصنيف
اإلصدار <>1.0
5
نموذج سياسة إدارة الثغرات
األدوار والمسؤوليات
مالك السياسة< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة السياسة وتحديثها< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ السياسة وتطبيقها< :اإلدارة المعنية بتقنية المعلومات>. -3
قياس االلتزام بالسياسة< :اإلدارة المعنية باألمن السيبراني>. -4
التحديث والمراجعة
يجب على <اإلدارة المعنية ب+األمن الس+يبراني> مراجع+ة السياس+ة س+نوًيا على األق+ل أو في ح+ال ح+دوث
تغي++يرات في السياس++ات أو اإلج++راءات التنظيمي++ة في <اس++م الجه++ة> أو المتطلب++ات التش++ريعية والتنظيمي++ة ذات
العالقة.
االلتزام بالسياسة
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه السياسة دورًيا. -1
اختر التصنيف
اإلصدار <>1.0
6
نموذج سياسة إدارة الثغرات
يجب على جميع العاملين في <اسم الجهة> االلتزام بهذه السياسة. -2
قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج++راءات المتبع++ة في <اس++م -3
الجهة>.
اختر التصنيف
اإلصدار <>1.0
7