Scribd Logo
Upload

Welcome to Scribd!

  • POLICY Vulnerabilities Management Template Ar FINAL

    Uploaded by

    lava.sky10
    4 views8 pages

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    4 views8 pages

    POLICY Vulnerabilities Management Template Ar FINAL

    Uploaded by

    lava.sky10

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 8

    ‫هذا المربع مخّص ص ألغراض توجيهية‪ .

    ‬احذف جميع المربعات التوجيهية‬


    ‫بع‪+‬د تعبئ‪+‬ة النم‪+‬وذج‪ .‬يجب تحري‪+‬ر البن‪+‬ود الملّو ن‪+‬ة ب‪+‬اللون األزرق بص‪+‬ورة‬
    ‫مناسبة‪ .‬ويجب إزالة التظليل الملون بعد إجراء التعديالت‪.‬‬

    ‫أدخل شعار الجهة بالضغط على الصورة الموضحة‪.‬‬

    ‫نموذج سياسة إدارة الثغرات‬

    ‫استبدل <اسم الجهة> باسم الجهة في مجمل صفحات الوثيقة‪.‬‬


    ‫وللقيام بذلك‪ ،‬اتبع الخطوات التالية‪:‬‬ ‫اختر التصنيف‬
    ‫اض‪++‬غط على مفت‪++‬احي "‪ "Ctrl‬و"‪ "H‬في ال‪++‬وقت‬ ‫‪‬‬
    ‫نفسه‪.‬‬ ‫التاريخ‪:‬‬
    ‫أضف "<الجهة>" في مربع البحث عن النص‪.‬‬ ‫‪‬‬
    ‫أدخل االسم الكامل لجهتك في مرب‪++‬ع "اس‪++‬تبدال"‬ ‫‪‬‬ ‫اضغط هنا إلضافة نص‬ ‫اإلصدار‪:‬‬
    ‫النص‪.‬‬ ‫اضغط هنا إلضافة نص‬ ‫المرجع‪:‬‬
    ‫اض‪+++‬غط على "المزي‪+++‬د" وتأّك د من اختي‪+++‬ار "‬ ‫‪‬‬
    ‫‪."Match case‬‬
    ‫اضغط على "استبدل الكل"‪.‬‬ ‫‪‬‬
    ‫أغلق مربع الحوار‪.‬‬ ‫‪‬‬
    ‫نموذج سياسة إدارة الثغرات‬

    ‫إخالء المسؤولية‬
    ‫ُط ور هذا النموذج عن طريق الهيئة الوطنية لألمن الس‪++‬يبراني كمث‪++‬ال توض‪++‬يحي يمكن اس‪++‬تخدامه ك‪++‬دليل‬
    ‫ومرجع للجهات‪ .‬يجب أن يتم تعديل ه‪+‬ذا النم‪+‬وذج ومواءمت‪+‬ه م‪+‬ع أعم‪+‬ال <اس‪+‬م الجه‪+‬ة> والمتطلب‪+‬ات التش‪+‬ريعية‬
    ‫والتنظيمية ذات العالقة‪ .‬كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم‪/‬تقوم بتفويض‪++‬ه‪ .‬وتخلي‬
    ‫الهيئة مسؤوليتها من استخدام هذا النموذج كما هو‪ ،‬وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي‪.‬‬

    ‫اختر التصنيف‬

    ‫اإلصدار <‪>1.0‬‬

    ‫‪1‬‬
    ‫نموذج سياسة إدارة الثغرات‬

    ‫اعتماد الوثيقة‬

    ‫التوقيع‬ ‫التاريخ‬ ‫االسم‬ ‫المسمى الوظيفي‬ ‫الدور‬

    ‫<أدخل االسم الكامل‬


    ‫اضغط هنا إلضافة تاريخ <أدخل التوقيع>‬ ‫<أدخل المسمى الوظيفي>‬
    ‫للموظف>‬

    ‫أسباب التعديل‬ ‫ُعدَل بواسطة‬ ‫التاريخ‬ ‫النسخة‬

    ‫<أدخل وصف التعديل>‬ ‫<أدخل االسم الكامل للموظف>‬ ‫<أدخل رقم النسخة>‬

    ‫نسخ الوثيقة‬

    ‫تاريخ المراجعة القادمة‬ ‫التاريخ ألخر مراجعة‬ ‫معدل المراجعة‬

    ‫اضغط هنا إلضافة تاريخ‬ ‫اضغط هنا إلضافة تاريخ‬ ‫مره واحدة كل سنة‬

    ‫جدول المراجعة‬

    ‫اختر التصنيف‬

    ‫اإلصدار <‪>1.0‬‬

    ‫‪2‬‬
    ‫نموذج سياسة إدارة الثغرات‬

    ‫قائمة المحتويات‬
    ‫الغرض‪4..................................................................................................................‬‬
    ‫نطاق العمل‪4..............................................................................................................‬‬
    ‫بنود السياسة‪4.............................................................................................................‬‬
    ‫األدوار والمسؤوليات‪6...................................................................................................‬‬
    ‫التحديث والمراجعة‪6.....................................................................................................‬‬
    ‫االلتزام بالسياسة‪6........................................................................................................‬‬

    ‫اختر التصنيف‬

    ‫اإلصدار <‪>1.0‬‬

    ‫‪3‬‬
    ‫نموذج سياسة إدارة الثغرات‬

    ‫الغرض‬
    ‫تهدف هذه السياسة إلى تحديد متطلبات األمن السيبراني المتعلق‪++‬ة بض‪++‬مان اكتش‪++‬اف الثغ‪++‬رات التقني‪++‬ة في‬
    ‫الوقت المناسب ومعالجتها بشكل فعال؛ وذلك لمنع احتمالية استغالل هذه الثغرات من قبل الهجمات السيبرانية أو‬
    ‫تقليلها‪ ،‬وكذلك التقليل من اآلثار المترتبة على أعمال <اسم الجهة> وحمايتها من التهدي‪+‬دات الداخلي‪+‬ة والخارجي‪+‬ة‬
    ‫في <اسم الجهة> ‪ .‬هذه المتطلبات تمت موائمتها مع متطلبات األمن السيبراني الصادرة من الهيئة الوطنية لألمن‬
    ‫الس‪++‬يبراني ويش‪++‬مل ذل‪++‬ك على س‪++‬بيل المث‪++‬ال ال الحص‪++‬ر‪ :‬الض‪++‬وابط األساس‪++‬ية لألمن الس‪++‬يبراني (‪ECC – 1:‬‬
    ‫‪ ،)2018‬ض‪++‬وابط األمن الس‪++‬يبراني لألنظم‪++‬ة الحساس‪++‬ة (‪ )CSCC – 1: 2019‬وغيره‪++‬ا من المتطلب‪++‬ات‬
    ‫التشريعية والتنظيمية ذات العالقة‪.‬‬

    ‫نطاق العمل‬
    ‫تطبق هذه السياسة على جميع األصول المعلوماتية والتقني‪++‬ة في <اس‪++‬م الجه‪++‬ة>‪ ،‬وعلى جمي‪++‬ع الع‪++‬املين‬
    ‫(الموظفين والمتعاقدين) في <اسم الجهة>‪.‬‬

    ‫بنود السياسة‬
    ‫البنود العامة‬ ‫‪-1‬‬
    ‫يجب فحص وتقييم الثغرات دورًيا من قبل فريق مختص ومؤهل الكتشاف وتق‪++‬ييم الثغ‪++‬رات التقني‪++‬ة في‬ ‫‪1-1‬‬
    ‫الوقت المناسب ومعالجتها بشكل فّعال وفًق ا للمتطلب‪++‬ات التش‪++‬ريعية والتنظيمي‪++‬ة ذات العالق‪++‬ة على النح‪++‬و‬
    ‫التالي على األقل‪:‬‬

    ‫األنظمة‬

    ‫أنظمة خدمات‬ ‫أنظمة حسابات‬ ‫األنظمة‬ ‫األنظمة الحساسة‬


    ‫أنظمة العمل‬ ‫نوع‬
    ‫الحوسبة‬ ‫التواصل‬ ‫الحساسة‬ ‫المتصلة‬ ‫جميع األنظمة‬
    ‫عن بعد‬ ‫األصل‬
    ‫السحابية‬ ‫االجتماعي‬ ‫الداخلية‬ ‫باإلنترنت‬

    ‫معدل تكرار فحص وتقييم الثغرات‬

    ‫أنظمة‬
    ‫شهرًيا‬ ‫شهرًيا‬ ‫شهرًيا‬ ‫شهرًيا‬ ‫شهرًيا‬ ‫شهرًيا‬
    ‫التشغيل‬

    ‫قواعد‬
    ‫ثالثة أشهر‬ ‫شهرًيا‬ ‫شهرًيا‬ ‫ثالثة أشهر*‬ ‫شهرًيا‬ ‫ثالثة أشهر‬
    ‫البيانات‬

    ‫أجهزة‬
    ‫ثالثة أشهر‬ ‫شهرًيا‬ ‫شهرًيا‬ ‫ثالثة أشهر*‬ ‫شهرًيا‬ ‫ثالثة أشهر‬
    ‫الشبكة‬

    ‫ثالثة أشهر‬ ‫شهرًيا‬ ‫شهرًيا‬ ‫ثالثة أشهر*‬ ‫شهرًيا‬ ‫ثالثة أشهر‬ ‫التطبيقات‬

    ‫اختر التصنيف‬

    ‫اإلصدار <‪>1.0‬‬

    ‫‪4‬‬
    ‫نموذج سياسة إدارة الثغرات‬

    ‫* يكون فحص الثغرات شهرًيا بينما يكون تقييم الثغرات كل ثالثة أشهر‪.‬‬
    ‫يجب تحديد األنظمة والخدمات والمكونات التقنية التي يجب إجراء فحص الثغ‪++‬رات عليه‪++‬ا وذل‪++‬ك وفًق ا‬ ‫‪1-2‬‬
    ‫للمتطلبات التشريعية والتنظيمية ذات العالقة‪.‬‬
    ‫يجب استخدام أساليب وأدوات موثوقة ومعتمدة الكتشاف الثغرات‪.‬‬ ‫‪1-3‬‬
    ‫يجب القيام بفحص واكتشاف الثغرات قب‪++‬ل إطالق الخ‪++‬دمات أو األنظم‪++‬ة على اإلن‪++‬ترنت أو عن‪++‬د القي‪++‬ام‬ ‫‪1-4‬‬
    ‫ب‪++‬أي تغي‪++‬ير على البني‪++‬ة التحتي‪++‬ة أو األنظم‪++‬ة وفًق ا لسياس‪++‬ة األمن الس‪++‬يبراني ض‪++‬من إدارة المش‪++‬اريع‬
    ‫المعلوماتية والتقنية المعتمدة لدى <اسم الجهة>‪.‬‬
    ‫يجب تصنيف الثغرات حسب خطورتها‪ ،‬ومعالجته‪+‬ا حس‪+‬ب المخ‪+‬اطر الس‪+‬يبرانية المترتب‪+‬ة عليه‪+‬ا وفًق ا‬ ‫‪1-5‬‬
    ‫لمنهجية إدارة المخاطر المعتمدة لدى <اسم الجهة>‪.‬‬
    ‫في ح‪++‬ال تف‪++‬ويض ط‪++‬رف خ‪++‬ارجي للقي‪++‬ام بفحص واكتش‪++‬اف الثغ‪++‬رات نياب‪++‬ة عن <اس‪++‬م الجه‪++‬ة>‪ ،‬يجب‬ ‫‪1-6‬‬
    ‫التحقق من تطبيق جميع متطلبات األمن السيبراني المتعلق‪++‬ة ب‪++‬األطراف الخارجي‪++‬ة وذل‪++‬ك وفًق ا لسياس‪++‬ة‬
    ‫األمن السيبراني المتعّلق باألطراف الخارجية المعتمدة لدى <اسم الجهة> ووفًق ا للمتطلب‪++‬ات التش‪++‬ريعية‬
    ‫والتنظيمية ذات العالقة‪.‬‬
    ‫يجب التواصل واالشتراك مع مص‪++‬ادر أمن س‪++‬يبراني موثوق‪++‬ة ت‪++‬وفر المعلوم‪++‬ات االس‪++‬تباقية (‪Threat‬‬ ‫‪1-7‬‬
    ‫‪ ،)Intelligence‬ومجموع‪++‬ات خاص‪++‬ة ذات اهتمام‪++‬ات مش‪++‬تركة وخ‪++‬براء خ‪++‬ارجيين في المواض‪++‬يع‬
    ‫المعنية من أجل جمع المعلومات حول التهديدات الجديدة وكيفية الحد من الثغرات المحتملة باالش‪++‬تراك‬
    ‫مع الهيئة عبر منصة حصين مع ضرورة الحصول على الموافقة من الهيئة الوطني‪++‬ة لألمن الس‪++‬يبراني‬
    ‫عند االشتراك مع المزودين االخرين ‪.‬‬
    ‫يجب تطوير عمليات لتلقي وتحليل ومعالجة الثغرات التي تم الكشف عنها ل <اسم الجهة> من مصادر‬ ‫‪1-8‬‬
    ‫داخلية أو خارجية في حال االشتراك مع مزودي الخدمة لتلقي االخبار عن أحدث الثغرات‪.‬‬
    ‫يجب معالجة جميع الثغرات حس‪+‬ب خطورته‪+‬ا وتص‪+‬نيفها وفًق ا إلط‪+‬ار إدارة مخ‪+‬اطر األمن الس‪+‬يبراني‬ ‫‪1-9‬‬
    ‫المعتمدة في <اسم الجهة>‪.‬‬
    ‫يجب تط‪++‬وير خط‪++‬ة إلدارة الثغ‪++‬رات األمني‪++‬ة في <اس‪++‬م الجه‪++‬ة> على أن يتبعه‪++‬ا فري‪++‬ق تق‪++‬ييم الثغ‪++‬رات‬ ‫‪1-10‬‬
    ‫الداخلي أو الخارجي‪.‬‬
    ‫يجب تحديد آلية لمعالجة الثغرات بشكل فّعال ومنع أو تقلي‪+‬ل احتمالي‪+‬ة اس‪+‬تغالل ه‪+‬ذه الثغ‪+‬رات‪ ،‬وتقلي‪+‬ل‬ ‫‪1-11‬‬
    ‫اآلثار الناتجة عن هذه الهجمات على سير األعمال‪.‬‬
    ‫يجب االحتفاظ بسجالت تقييم الثغرات والتحديثات والتغييرات المرتبطة بها‪.‬‬ ‫‪1-12‬‬
    ‫يجب تطوير إجراءات ومعايير خاصة بتنفيذ فحص وتقييم الثغرات بناًء على حاجة العمل‪.‬‬ ‫‪1-13‬‬
    ‫يجب اس‪+‬تخدام مؤش‪+‬ر قي‪+‬اس األداء (‪ )KPI‬لض‪+‬مان التط‪+‬وير المس‪+‬تمر واالس‪+‬تخدام الص‪+‬حيح والفع‪+‬ال‬ ‫‪1-14‬‬
    ‫لمتطلبات إدارة الثغرات‪.‬‬

    ‫اختر التصنيف‬

    ‫اإلصدار <‪>1.0‬‬

    ‫‪5‬‬
    ‫نموذج سياسة إدارة الثغرات‬

    ‫متطلبات معالجة الثغرات‬ ‫‪-2‬‬


    ‫بعد االنتهاء من تقييم الثغرات‪ ،‬يجب إع‪+‬داد تقري‪+‬ر يوض‪+‬ح الثغ‪+‬رات المكتش‪+‬فة وتص‪+‬نيفها والتوص‪+‬يات‬ ‫‪2-1‬‬
    ‫المقترحة لمعالجتها‪.‬‬
    ‫بعد إرسال تقرير تقييم الثغرات ومعالجتها من قب‪++‬ل األط‪++‬راف المعني‪++‬ة‪ ،‬يجب إج‪++‬راء فحص واكتش‪++‬اف‬ ‫‪2-2‬‬
    ‫الثغرات المكتشفة مرة أخرى للتأكد من معالجتها‪.‬‬
    ‫يجب استخدام حزم التحديثات واإلصالحات من مصادر موثوقة وآمنة ووفًقا لسياس‪++‬ة ح‪++‬زم التح‪++‬ديثات‬ ‫‪2-3‬‬
    ‫واإلصالحات‪.‬‬
    ‫يجب إصالح وإغالق الثغرات الحرجة (‪ )Critical Vulnerabilities‬المكتش‪++‬فة ح‪+‬ديًث ا‪ ،‬م‪++‬ع اتب‪+‬اع‬ ‫‪2-4‬‬
    ‫آليات إدارة التغيير المتبعة لدى <اسم الجهة>‪.‬‬
    ‫يجب إدارة الثغرات التي يقوم مقدم خدمات الحوسبة السحابية بالتبليغ عنها ومعالجتها‪.‬‬ ‫‪2-5‬‬
    ‫يجب وض‪++‬ع خط‪++‬ة لالس‪++‬ترجاع (‪ )Rollback Plan‬وتطبيقه‪++‬ا في ح‪++‬ال ت‪++‬أثير ح‪++‬زم التح‪++‬ديثات‬ ‫‪2-6‬‬
    ‫واإلصالحات سلًبا على أداء األنظمة أو التطبيقات أو الخدمات‪.‬‬
    ‫في حال تعذر إصالح وإغالق الثغرة األمنية ألي سبٍب كان‪ ،‬يجب تطبيق ضوابط أخ‪++‬رى مث‪++‬ل إيق‪++‬اف‬ ‫‪2-7‬‬
    ‫تشغيل الخدمة المتعلقة بالثغرة األمنية‪ ،‬أو توفير ضابط حماية بديل ( ‪)Compensating Control‬‬
    ‫مثل التحكم بالوصول عن طريق جدران الحماية وغيرها من الحلول‪ ،‬ومراقبة الثغرة األمنية للهجمات‬
    ‫الفعلية‪ ،‬وإبالغ فريق االستجابة للحوادث بهذه الثغرة واحتمالية استغاللها‪.‬‬

    ‫األدوار والمسؤوليات‬
    ‫مالك السياسة‪< :‬رئيس اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-1‬‬
    ‫مراجعة السياسة وتحديثها‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-2‬‬
    ‫تنفيذ السياسة وتطبيقها‪< :‬اإلدارة المعنية بتقنية المعلومات>‪.‬‬ ‫‪-3‬‬
    ‫قياس االلتزام بالسياسة‪< :‬اإلدارة المعنية باألمن السيبراني>‪.‬‬ ‫‪-4‬‬

    ‫التحديث والمراجعة‬
    ‫يجب على <اإلدارة المعنية ب‪+‬األمن الس‪+‬يبراني> مراجع‪+‬ة السياس‪+‬ة س‪+‬نوًيا على األق‪+‬ل أو في ح‪+‬ال ح‪+‬دوث‬
    ‫تغي‪++‬يرات في السياس‪++‬ات أو اإلج‪++‬راءات التنظيمي‪++‬ة في <اس‪++‬م الجه‪++‬ة> أو المتطلب‪++‬ات التش‪++‬ريعية والتنظيمي‪++‬ة ذات‬
    ‫العالقة‪.‬‬

    ‫االلتزام بالسياسة‬
    ‫يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذه السياسة دورًيا‪.‬‬ ‫‪-1‬‬

    ‫اختر التصنيف‬

    ‫اإلصدار <‪>1.0‬‬

    ‫‪6‬‬
    ‫نموذج سياسة إدارة الثغرات‬

    ‫يجب على جميع العاملين في <اسم الجهة> االلتزام بهذه السياسة‪.‬‬ ‫‪-2‬‬
    ‫قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب اإلج‪++‬راءات المتبع‪++‬ة في <اس‪++‬م‬ ‫‪-3‬‬
    ‫الجهة>‪.‬‬

    ‫اختر التصنيف‬

    ‫اإلصدار <‪>1.0‬‬

    ‫‪7‬‬

    You might also like