Essential cybersecurity controls

1. ‫المهندس‬ ‫اف‬ ‫ر‬
‫إش‬
:
‫عبدهللا‬ ‫بن‬ ‫اهيم‬‫ر‬‫إب‬
‫العد‬
‫ين‬
‫األساسية‬ ‫الضوابط‬
‫لألمن‬
‫السيرباني‬
Essential Cybersecurity Controls
(ECC – 1 : 2018)
‫إعداد‬
:
‫العتيبي‬‫عبدالعزيز‬
‫ي‬‫األحمر‬ ‫سعيد‬

4. ‫التنفيذي‬ ‫الملخص‬
:
‫السعودية‬ ‫العربية‬ ‫المملكة‬ ‫رؤية‬ ‫استهدفت‬
2030
‫واقتصاده‬ ‫وأمنه‬ ‫للوطن‬ ‫الشامل‬ ‫التطوير‬
‫كان‬ ‫ولقد‬ ،‫الكريم‬ ‫وعيشهم‬ ‫مواطنيه‬ ‫ورفاهية‬
‫التحول‬ ‫مستهدفاتها‬ ‫أحد‬ ‫يكون‬ ‫أن‬ ‫الطبيعي‬ ‫من‬
‫الرقمية؛‬ ‫التحتية‬ ‫البنية‬ ‫وتنمية‬ ‫الرقمي‬ ‫العالم‬ ‫نحو‬
‫المتسارع‬ ‫العالمي‬ ‫التقدم‬ ‫مواكبة‬ ‫عن‬ ‫يعبر‬ ‫بما‬
‫العالمية‬ ‫الشبكات‬ ‫وفي‬ ‫الرقمية‬ ‫الخدمات‬ ‫في‬
‫وأنظمة‬ ‫المعلومات‬ ‫تقنية‬ ‫وأنظمة‬ ،‫المتجددة‬
‫التشغيلية‬ ‫التقنيات‬
‫وقد‬
‫نص‬
‫التنظيم‬
‫المشار‬
‫إليه‬
‫أن‬
‫مسؤولية‬
‫هذه‬
‫الهيئة‬
‫ال‬
‫خل‬ُ‫ي‬
‫أي‬
‫جهة‬
‫عامة‬
‫أو‬
‫خاصة‬
‫ها‬ ‫ر‬
‫أوغي‬
‫من‬
‫مسؤوليتها‬
‫تجاه‬
‫أمنها‬
‫وهو‬،‫ان‬ ‫ر‬
‫السيي‬
‫ما‬
‫أكده‬
‫األمر‬
‫السام‬
‫الكريم‬
‫رق‬
‫م‬
57231
‫خ‬ ‫وتاري‬
1439/11/10
‫ه‬
‫بأن‬
"
‫عل‬
‫جميع‬
‫الجهات‬
‫الحكومية‬
‫رفع‬
‫مستوى‬
‫أمنها‬
‫ان‬ ‫ر‬
‫السيي‬
‫لحماية‬
‫شبكاتها‬
‫وأنظمتها‬
‫وبياناتها‬
‫اإللك‬
،‫ونية‬ ‫ر‬
‫ي‬
‫ام‬ ‫ر‬
‫وااللي‬
‫بما‬
‫تصدره‬
‫الهيئة‬
‫الوطنية‬
‫لألمن‬
‫ان‬ ‫ر‬
‫السيي‬
‫من‬
‫سياسات‬
‫وأطر‬
‫ر‬
‫ومعايي‬
‫وضوابط‬
‫وإرشادات‬
‫بهذا‬
‫الشأن‬
"
.

5. ‫المقدمة‬
:
‫لألمن‬ ‫الوطنية‬ ‫الهيئة‬ ‫قامت‬
‫السيبراني‬
(
‫ويشار‬
‫ب‬ ‫الوثيقة‬ ‫هذه‬ ‫في‬ ‫لها‬
"
‫ال‬
‫هيئة‬
)"
‫لألمن‬ ‫األساسية‬ ‫الضوابط‬ ‫بتطوير‬
‫السيبراني‬
(
ECC – 1 : 2018
)
‫بعد‬
‫عدة‬ ‫دراسة‬
‫معايير‬
‫وأطر‬
‫لألمن‬ ‫وضوابط‬
‫السيبراني‬
‫جهات‬ ‫عدة‬ ً‫ا‬‫سابق‬ ‫بإعدادها‬ ‫قامت‬
‫ومنظمات‬
(
‫ودولية‬ ‫محلية‬
.)
‫من‬ ‫الضوابط‬‫هذه‬ ‫ن‬‫تتكو‬
:
114
ً
‫أساسيا‬
ً
‫ضابطا‬
Controls
29
ً
‫فرعيا‬
ً
‫مكونا‬
Subdomains
5
‫أساسية‬‫مكونات‬
Main Domains

6. ‫األهداف‬
:
*
‫األمن‬ ‫ضوابط‬ ‫أن‬ ‫كما‬
‫ان‬ ‫ر‬
‫السيي‬
‫محاور‬ ‫أربعة‬ ‫عل‬ ‫تعتمد‬
‫أساسية‬
:

7. ‫الضوابط‬ ‫عمل‬ ‫نطاق‬
:
‫ال‬ ‫داخل‬ ‫التطبيق‬ ‫قابلية‬
‫جهة‬
:
‫السعودية‬ ‫العربية‬ ‫المملكة‬ ‫في‬ ‫الحكومية‬ ‫الجهات‬ ‫على‬ ‫الضوابط‬ ‫هذه‬ ‫َّق‬‫ب‬‫ُط‬‫ت‬
(
‫وتشمل‬
‫والمؤسسات‬ ‫والهيئات‬ ‫الوزارات‬
‫وغيرها‬
)
‫وجهات‬ ،‫لها‬ ‫التابعة‬ ‫والشركات‬ ‫والجهات‬
‫القطاع‬
‫وطنية‬ ‫تحتية‬ ‫بنى‬ ‫تمتلك‬ ‫التي‬ ‫الخاص‬
‫حساسة‬
.
‫األمن‬ ‫الحتياجات‬ ‫مالئمة‬ ‫تكون‬ ‫بحيث‬ ‫الضوابط‬ ‫هذه‬ ‫إعداد‬ ‫تم‬
‫السيبراني‬
‫الجهات‬ ‫لجميع‬
‫اال‬ ‫جهة‬ ‫كل‬ ‫على‬ ‫ويجب‬ ،‫أعمالها‬ ‫طبيعة‬ ‫بتنوع‬ ‫السعودية‬ ‫العربية‬ ‫المملكة‬ ‫في‬ ‫والقطاعات‬
‫لتزام‬
‫عليها‬ ‫للتطبيق‬ ‫القابلة‬ ‫الضوابط‬ ‫بجميع‬
.

11. ‫الضوابط‬
‫لألمن‬ ‫األساسية‬
‫السيبراني‬
:
Cybersecurity Governance
1
-
1
‫استراتيجية‬
‫األمن‬
‫السيبراني‬
‫لألمن‬ ‫العمل‬ ‫خطط‬ ‫إسهام‬ ‫ضمان‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫داخل‬ ‫ع‬ ‫والمشاري‬ ‫ات‬‫ر‬‫والمباد‬ ‫واألهداف‬ ‫الهدف‬
‫الضوابط‬
‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫اتيجية‬ ‫ر‬
‫اسب‬
‫األمن‬
‫ان‬ ‫ر‬
‫السيب‬
‫من‬ ‫أو‬ ‫الجهة‬ ‫رئيس‬ ‫قبل‬ ‫من‬ ‫ودعمها‬ ‫للجهة‬
‫ينيبه‬ 1
-
1
-
1
‫لتطبيق‬ ‫عمل‬ ‫خطة‬ ‫تنفيذ‬ ‫عىل‬ ‫العمل‬ ‫يجب‬
‫اتيجية‬ ‫ر‬
‫إسب‬
‫األمن‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫قبل‬ ‫من‬
. 1
-
1
-
2
‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫اتيجية‬ ‫ر‬
‫اسب‬
‫األمن‬
‫ان‬ ‫ر‬
‫السيب‬
‫لها‬ ‫مخطط‬ ‫زمنية‬ ‫ات‬ ‫ر‬
‫فب‬ ‫عىل‬
. 1
-
1
-
3
1
-
2
‫األمن‬ ‫إدارة‬
‫السيبراني‬
‫األمن‬ ‫امج‬‫ر‬‫ب‬ ‫وتطبيق‬ ‫بإدارة‬ ‫يتعلق‬ ‫فيما‬ ‫للجهة‬ ‫الصالحية‬ ‫صاحب‬ ‫ودعم‬ ‫ام‬ ‫ر‬
‫الب‬ ‫ضمان‬
‫ان‬ ‫ر‬
‫السيب‬
. ‫الهدف‬
‫الضوابط‬
‫باألمن‬ ‫معنية‬ ‫إدارة‬ ‫إنشاء‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫واالتصاالت‬ ‫المعلومات‬ ‫تقنية‬ ‫إدارة‬ ‫عن‬ ‫مستقلة‬ ‫الجهة‬ ‫ف‬
. 1
-
2
-
1
‫باألمن‬ ‫المعنية‬ ‫اإلدارة‬ ‫رئاسة‬ ‫يشغل‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫األ‬ ‫مجال‬ ‫ف‬ ‫عالية‬ ‫كفاءة‬‫وذو‬ ‫متفرغون‬ ‫مواطنون‬
‫من‬
‫ان‬ ‫ر‬
‫السيب‬
. 1
-
2
-
2
‫لجنة‬ ‫إنشاء‬ ‫يجب‬
‫اقية‬ ‫ر‬
‫إش‬
‫لألمن‬
‫ان‬ ‫ر‬
‫السيب‬
‫ام‬ ‫ر‬
‫الب‬ ‫لضمان‬ ‫للجهة‬ ‫الصالحية‬ ‫صاحب‬ ‫من‬ ‫بتوجيه‬
. 1
-
2
-
3

12. 1
-
3
‫األمن‬ ‫وإجراءات‬ ‫سياسات‬
‫السيبراني‬
‫األمن‬ ‫متطلبات‬ ‫ر‬
‫ونش‬ ‫توثيق‬ ‫ضمان‬
‫ان‬ ‫ر‬
‫السيب‬
‫بها‬ ‫الجهة‬ ‫ام‬ ‫ر‬
‫والب‬ ‫الهدف‬
‫الضوابط‬
‫باألمن‬ ‫المعنية‬ ‫اإلدارة‬ ‫عىل‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫األمن‬ ‫اءات‬‫ر‬‫وإج‬ ‫سياسات‬ ‫تحديد‬ ‫الجهة‬ ‫ف‬
‫ان‬ ‫ر‬
‫السيب‬ 1
-
3
-
1
‫باألمن‬ ‫المعنية‬ ‫اإلدارة‬ ‫عىل‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫اءات‬‫ر‬‫واإلج‬ ‫السياسات‬ ‫تطبيق‬ ‫ضمان‬ 1
-
3
-
2
‫األمن‬ ‫اءات‬‫ر‬‫وإج‬ ‫سياسات‬ ‫تكون‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫أمنية‬ ‫تقنية‬ ‫ر‬
‫بمعايب‬ ‫مدعومة‬ 1
-
3
-
3
‫األمن‬ ‫ر‬
‫ومعايب‬ ‫اءات‬‫ر‬‫وإج‬ ‫سياسات‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫وتحديثها‬ 1
-
3
-
4
1
-
4
‫األمن‬ ‫ومسؤوليات‬ ‫أدوار‬
‫السيبراني‬
‫األمن‬ ‫ضوابط‬ ‫تطبيق‬ ‫ف‬ ‫كة‬
‫المشار‬ ‫اف‬‫ر‬‫األط‬ ‫لجميع‬ ‫واضحة‬ ‫ومسؤوليات‬ ‫أدوار‬ ‫تحديد‬ ‫ضمان‬
‫ان‬ ‫ر‬
‫السيب‬
‫ف‬
‫الجهة‬ ‫الهدف‬
‫الضوابط‬
‫التنظيم‬ ‫الهيكل‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫الصالحية‬ ‫صاحب‬ ‫عىل‬ ‫يجب‬
‫للحوكمة‬
‫باأل‬ ‫الخاصة‬‫واألدوار‬
‫من‬
‫ان‬ ‫ر‬
‫السيب‬ 1
-
4
-
1
‫األمن‬ ‫ومسؤوليات‬ ‫أدوار‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫وتحديثها‬ ‫الجهة‬ ‫ف‬ 1
-
4
-
2
‫الضوابط‬
‫لألمن‬ ‫األساسية‬
‫السيبراني‬
:

13. 1
-
5
‫األمن‬ ‫مخاطر‬ ‫إدارة‬
‫السيبراني‬
‫األمن‬ ‫مخاطر‬ ‫إدارة‬ ‫ضمان‬
‫ان‬ ‫ر‬
‫السيب‬
‫نحو‬ ‫عىل‬
‫ممنهج‬
‫للج‬ ‫والتقنية‬ ‫المعلوماتية‬ ‫األصول‬ ‫حماية‬ ‫إىل‬ ‫يهدف‬
‫هة‬ ‫الهدف‬
‫الضوابط‬
‫باألمن‬ ‫المعنية‬ ‫اإلدارة‬ ‫عىل‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫األم‬ ‫مخاطر‬ ‫إدارة‬ ‫اءات‬‫ر‬‫وإج‬ ‫منهجية‬ ‫واعتماد‬ ‫توثيق‬ ‫الجهة‬ ‫ف‬
‫ن‬
‫ان‬ ‫ر‬
‫السيب‬ 1
-
5
-
1
‫باألمن‬ ‫المعنية‬ ‫اإلدارة‬ ‫عىل‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫األمن‬ ‫مخاطر‬ ‫إدارة‬ ‫اءات‬‫ر‬‫وإج‬ ‫منهجية‬ ‫تطبيق‬
‫ان‬ ‫ر‬
‫السيب‬ 1
-
5
-
2
‫األمن‬ ‫مخاطر‬ ‫تقييم‬ ‫اءات‬‫ر‬‫إج‬ ‫تنفيذ‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬ 1
-
5
-
3
‫األمن‬ ‫مخاطر‬ ‫إدارة‬ ‫اءات‬‫ر‬‫وإج‬ ‫منهجية‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫وتحديثها‬ 1
-
5
-
4
1
-
6
‫األمن‬
‫السيبراني‬
‫والتقنية‬ ‫المعلوماتية‬ ‫المشاريع‬ ‫إدارة‬ ‫ضمن‬
‫األمن‬ ‫متطلبات‬ ‫أن‬ ‫من‬ ‫التأكد‬
‫ان‬ ‫ر‬
‫السيب‬
‫الشي‬ ‫لحماية‬ ‫الجهة‬ ‫ع‬ ‫مشاري‬ ‫إدارة‬ ‫اءات‬‫ر‬‫وإج‬ ‫منهجية‬ ‫ف‬ ‫مضمنة‬
‫وسالمة‬ ‫ة‬
‫والتقنية‬ ‫المعلوماتية‬ ‫األصول‬
‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫ر‬
‫تضمي‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫ع‬ ‫المشاري‬ ‫إدارة‬ ‫اءات‬‫ر‬‫وإج‬ ‫منهجية‬ ‫ف‬ 1
-
6
-
1
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫والت‬ ‫المعلوماتية‬ ‫األصول‬ ‫عىل‬ ‫ات‬ ‫ر‬
‫والتغيب‬ ‫ع‬ ‫المشاري‬ ‫إلدارة‬
‫للجهة‬ ‫قنية‬ 1
-
6
-
2
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫للجهة‬ ‫الخاصة‬ ‫مجيات‬ ‫ر‬
‫والب‬ ‫التطبيقات‬ ‫تطوير‬ ‫ع‬ ‫لمشاري‬ 1
-
6
-
3
‫األمن‬ ‫متطلبات‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫الجهة‬ ‫ف‬ ‫ع‬ ‫المشاري‬ ‫إدارة‬ ‫ف‬
. 1
-
6
-
4
‫الضوابط‬
‫لألمن‬ ‫األساسية‬
‫السيبراني‬
:

14. 1
-
7
‫األمن‬ ‫ومعايير‬ ‫وتنظيمات‬ ‫بتشريعات‬ ‫االلتزام‬
‫السيبراني‬
‫األمن‬ ‫برنامج‬ ‫أن‬ ‫من‬ ‫التأكد‬ ‫ضمان‬
‫ان‬ ‫ر‬
‫السيب‬
‫والتنظي‬ ‫يعية‬ ‫ر‬
‫التش‬ ‫المتطلبات‬ ‫مع‬ ‫يتوافق‬ ‫الجهة‬ ‫لدى‬
‫العالقة‬ ‫ذات‬ ‫مية‬
. ‫الهدف‬
‫الضوابط‬
‫باألمن‬ ‫المتعلقة‬ ‫الوطنية‬ ‫والتنظيمية‬ ‫يعية‬ ‫ر‬
‫التش‬ ‫بالمتطلبات‬ ‫ام‬ ‫ر‬
‫االلب‬ ‫الجهة‬ ‫عىل‬ ‫يجب‬
‫ا‬ ‫ر‬
‫السيب‬
‫ن‬
. 1
-
7
-
1
‫أو‬ ‫اتفاقيات‬ ‫وجود‬ ‫حال‬ ‫ف‬
‫امات‬ ‫ر‬
‫إلب‬
‫باألمن‬ ‫خاصة‬ ‫متطلبات‬ ‫تتضمن‬ ‫محليا‬ ‫معتمدة‬ ‫دولية‬
‫ان‬ ‫ر‬
‫السيب‬ 1
-
7
-
2
1
-
8
‫لألمن‬ ‫الدوري‬ ‫والتدقيق‬ ‫المراجعة‬
‫السيبراني‬
‫األمن‬ ‫ضوابط‬ ‫أن‬ ‫من‬ ‫التأكد‬ ‫ضمان‬
‫ان‬ ‫ر‬
‫السيب‬
‫الت‬ ‫اءات‬‫ر‬‫واإلج‬ ‫للسياسات‬ ‫وفقا‬ ‫وتعمل‬ ‫مطبقة‬ ‫الجهة‬ ‫لدى‬
‫للجهة‬ ‫نظيمية‬ ‫الهدف‬
‫الضوابط‬
‫باألمن‬ ‫المعنية‬ ‫اإلدارة‬ ‫عىل‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫األمن‬ ‫ضوابط‬ ‫تطبيق‬ ‫اجعة‬‫ر‬‫م‬ ‫الجهة‬ ‫ف‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوري‬
‫ا‬ 1
-
8
-
1
‫األمن‬ ‫ضوابط‬ ‫تطبيق‬ ‫وتدقيق‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫ف‬ 1
-
8
-
2
‫األمن‬ ‫وتدقيق‬ ‫اجعة‬‫ر‬‫م‬ ‫نتائج‬ ‫توثيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬ 1
-
8
-
3
‫الضوابط‬
‫لألمن‬ ‫األساسية‬
‫السيبراني‬
:

15. 1
-
9
‫األمن‬
‫السيبراني‬
‫البشرية‬ ‫بالموارد‬ ‫المتعلق‬
‫األمن‬ ‫ومتطلبات‬ ‫مخاطر‬ ‫أن‬ ‫من‬ ‫التأكد‬ ‫ضمان‬
‫ان‬ ‫ر‬
‫السيب‬
‫وأثنا‬ ‫قبل‬ ‫بفعالية‬ ‫تعالج‬ ‫الجهة‬ ‫ف‬ ‫ر‬
‫بالعاملي‬ ‫المتعلقة‬
‫عملهم‬ ‫وعند‬ ‫ء‬
. ‫الهدف‬
‫الضوابط‬
‫المن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫توظيفهم‬ ‫قبل‬ ‫ر‬
‫بالعاملي‬ ‫المتعلقة‬ 1
-
9
-
1
‫المن‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫ف‬ ‫ر‬
‫بالعاملي‬ ‫المتعلقة‬ 1
-
9
-
2
‫المن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫بالجهة‬ ‫المهنية‬ ‫ر‬
‫العاملي‬ ‫علقة‬ ‫بدء‬ ‫قبل‬ 1
-
9
-
3
‫المن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫بالجهة‬ ‫المهنية‬ ‫ر‬
‫العاملي‬ ‫علقة‬ ‫خلل‬ 1
-
9
-
4
‫وإلغاء‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫الصلحيات‬
‫بالجهة‬ ‫لهم‬ ‫المهنية‬ ‫الخدمة‬ ‫إنهاء‬ ‫بعد‬ ‫ة‬ ‫ر‬
‫مباش‬ ‫ر‬
‫للعاملي‬ 1
-
9
-
5
‫األمن‬ ‫متطلبات‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫الجهة‬ ‫ف‬ ‫ر‬
‫بالعاملي‬ ‫المتعلقة‬ 1
-
9
-
6
1
-
10
‫باألمن‬ ‫والتدريب‬ ‫التوعية‬ ‫برنامج‬
‫السيبراني‬
‫مجال‬ ‫ف‬ ‫بمسؤولياتهم‬ ‫اية‬‫ر‬‫د‬ ‫وعىل‬ ‫اللزمة‬ ‫المنية‬ ‫التوعية‬ ‫لديهم‬ ‫بالجهة‬ ‫ر‬
‫العاملي‬ ‫أن‬ ‫من‬ ‫التأكد‬ ‫ضمان‬
‫األمن‬
‫ان‬ ‫ر‬
‫السيب‬ ‫الهدف‬
‫الضوابط‬
‫باألمن‬ ‫للتوعية‬ ‫برنامج‬ ‫واعتماد‬ ‫تطوير‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫متعددة‬ ‫قنوات‬ ‫خلل‬ ‫من‬ ‫الجهة‬ ‫ف‬ 1
-
10
-
1
‫األمن‬ ‫للتوعية‬ ‫المعتمد‬ ‫نامج‬ ‫ر‬
‫الب‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫ف‬ 1
-
10
-
2
‫باألمن‬ ‫التوعية‬ ‫برنامج‬ ‫يغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫والتهديدات‬ ‫المخاطر‬ ‫أهم‬ ‫من‬ ‫الجهة‬ ‫حماية‬ ‫كيفية‬
‫انية‬ ‫ر‬
‫السيب‬
‫وم‬
‫منه‬ ‫يستجد‬ ‫ا‬ 1
-
10
-
3
‫والتدريب‬ ‫المتخصصة‬ ‫ات‬‫ر‬‫المها‬ ‫ر‬
‫توفب‬ ‫يجب‬
‫اللزم‬
‫ف‬ ‫ر‬
‫للعاملي‬
‫المجالت‬
‫باألمن‬ ‫ة‬ ‫ر‬
‫المباش‬ ‫العلقة‬ ‫ذات‬ ‫الوظيفية‬
‫ا‬
‫ان‬ ‫ر‬
‫لسيب‬ 1
-
10
-
4
‫باألمن‬ ‫التوعية‬ ‫برنامج‬ ‫تطبيق‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫الجهة‬ ‫ف‬
. 1
-
10
-
5
‫لألمن‬ ‫األساسية‬ ‫الضوابط‬
‫السيبراني‬
:

16. Cybersecurity Defense
2
-
1
‫األصول‬ ‫إدارة‬
(
Asset Management
)
‫المع‬ ‫األصول‬ ‫لجميع‬ ‫العالقة‬ ‫ذات‬ ‫التفاصيل‬ ‫تشمل‬ ‫لألصول‬ ‫وحديثة‬ ‫دقيقة‬ ‫جرد‬ ‫قائمة‬ ‫لديها‬ ‫الجهة‬ ‫أن‬ ‫من‬ ‫للتأكد‬
‫والتقنية‬ ‫لوماتية‬ ‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫والتقنية‬ ‫المعلوماتية‬ ‫األصول‬ ‫إلدارة‬ 2
-
1
-
1
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫والتقنية‬ ‫المعلوماتية‬ ‫األصول‬ ‫إلدارة‬ 2
-
1
-
2
‫والتقنية‬ ‫المعلوماتية‬ ‫لألصول‬ ‫المقبول‬ ‫االستخدام‬ ‫سياسة‬ ‫ر‬
‫ونش‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬ 2
-
1
-
3
‫والتقنية‬ ‫المعلوماتية‬ ‫لألصول‬ ‫المقبول‬ ‫االستخدام‬ ‫سياسة‬ ‫تطبيق‬ ‫يجب‬ 2
-
1
-
4
‫ها‬ ‫ر‬
‫وترمب‬ ‫للجهة‬ ‫والتقنية‬ ‫المعلوماتية‬ ‫األصول‬ ‫تصنيف‬ ‫يجب‬ 2
-
1
-
5
‫األمن‬ ‫متطلبات‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫للجهة‬ ‫والتقنية‬ ‫المعلوماتية‬ ‫األصول‬ ‫إلدارة‬ 2
-
1
-
6
2
-
2
‫والصالحيات‬ ‫الدخول‬ ‫هويات‬ ‫إدارة‬
(
Identity and Access Management
)
‫األمن‬ ‫حماية‬ ‫ضمان‬
‫ان‬ ‫ر‬
‫السيب‬
‫والتقنية‬ ‫المعلوماتية‬ ‫األصول‬ ‫إىل‬ ‫ر‬
‫المنطق‬ ‫للوصول‬ ‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫والصالحيات‬ ‫الدخول‬ ‫هويات‬ ‫إلدارة‬ 2
-
2
-
1
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫والصالحيات‬ ‫الدخول‬ ‫هويات‬ ‫إلدارة‬ 2
-
2
-
2
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫والصالحيات‬ ‫الدخول‬ ‫هويات‬ ‫بإدارة‬ ‫المتعلقة‬ 2
-
2
-
3
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫والصالحيات‬ ‫الدخول‬ ‫هويات‬ ‫إلدارة‬ 2
-
2
-
4
‫لألمن‬ ‫األساسية‬ ‫الضوابط‬
‫السيبراني‬
:

17. 2
-
3
‫المعلومات‬ ‫معالجة‬ ‫وأجهزة‬ ‫األنظمة‬ ‫حماية‬
(Information System and Processing Facilities Protection)
‫المخاطر‬ ‫من‬ ‫التحتية‬ ‫والبن‬ ‫ر‬
‫المستخدمي‬ ‫أجهزة‬ ‫ذلك‬ ‫ف‬ ‫بما‬ ‫المعلومات‬ ‫معالجة‬ ‫وأجهزة‬ ‫األنظمة‬ ‫حماية‬ ‫ضمان‬
‫ا‬
‫انية‬ ‫ر‬
‫لسيب‬ ‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫المعلومات‬ ‫معالجة‬ ‫وأجهزة‬ ‫األنظمة‬ ‫لحماية‬ 2
-
3
-
1
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫المعلومات‬ ‫معالجة‬ ‫وأجهزة‬ ‫األنظمة‬ ‫لحماية‬ 2
-
3
-
2
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫للجهة‬ ‫المعلومات‬ ‫معالجة‬ ‫وأجهزة‬ ‫األنظمة‬ ‫لحماية‬ 2
-
3
-
3
‫األمن‬ ‫متطلبات‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫للجهة‬ ‫المعلومات‬ ‫معالجة‬ ‫وأجهزة‬ ‫األنظمة‬ ‫لحماية‬ 2
-
3
-
4
2
-
4
‫اإللكتروني‬ ‫البريد‬ ‫حماية‬
(
Email Protection
)
‫المخاطر‬ ‫من‬ ‫للجهة‬ ‫ون‬ ‫ر‬
‫اإللكب‬ ‫يد‬ ‫ر‬
‫الب‬ ‫حماية‬ ‫ضمان‬
‫انية‬ ‫ر‬
‫السيب‬ ‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫للجهة‬ ‫ون‬ ‫ر‬
‫اإللكب‬ ‫يد‬ ‫ر‬
‫الب‬ ‫لحماية‬
. 2
-
4
-
1
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫للجهة‬ ‫ون‬ ‫ر‬
‫اإللكب‬ ‫يد‬ ‫ر‬
‫الب‬ ‫لحماية‬ 2
-
4
-
2
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫للجهة‬ ‫ون‬ ‫ر‬
‫اإللكب‬ ‫يد‬ ‫ر‬
‫الب‬ ‫لحماية‬ 2
-
4
-
3
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫للجهة‬ ‫ون‬ ‫ر‬
‫اإللكب‬ ‫يد‬ ‫ر‬
‫الب‬ ‫بحماية‬ ‫الخاصة‬
. 2
-
4
-
4
‫لألمن‬ ‫األساسية‬ ‫الضوابط‬
‫السيبراني‬
:

18. 2
-
5
‫الشبكات‬ ‫أمن‬ ‫إدارة‬
(
Networks Security Management
)
‫المخاطر‬ ‫من‬ ‫الجهة‬ ‫شبكات‬ ‫حماية‬ ‫ضمان‬
‫انية‬ ‫ر‬
‫السيب‬ ‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫شبكات‬ ‫أمن‬ ‫إلدارة‬
. 2
-
5
-
1
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫شبكات‬ ‫أمن‬ ‫إلدارة‬ 2
-
5
-
2
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫شبكات‬ ‫أمن‬ ‫إلدارة‬ 2
-
5
-
3
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫الجهة‬ ‫شبكات‬ ‫أمن‬ ‫إلدارة‬
. 2
-
5
-
4
2
-
6
‫المحمولة‬ ‫األجهزة‬ ‫أمن‬
(
Mobile Devices Security
)
‫المحمولة‬ ‫الجهة‬ ‫أجهزة‬ ‫حماية‬ ‫ضمان‬
(
‫الذكية‬ ‫واألجهزة‬ ‫الذكية‬ ‫والهواتف‬ ‫المحمول‬ ‫الحاسب‬ ‫أجهزة‬ ‫ذلك‬ ‫ف‬ ‫بما‬
‫الل‬
‫وحية‬
)
‫المخاطر‬ ‫من‬
‫انية‬ ‫ر‬
‫السيب‬
.
‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الشخص‬ ‫واألجهزة‬ ‫المحمولة‬ ‫األجهزة‬ ‫بأمن‬ ‫الخاصة‬
‫ر‬
‫للعاملي‬ ‫ية‬ 2
-
6
-
1
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫المحمولة‬ ‫األجهزة‬ ‫بأمن‬ ‫الخاصة‬ 2
-
6
-
2
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫المحمولة‬ ‫األجهزة‬ ‫بأمن‬ ‫الخاصة‬ 2
-
6
-
3
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫المحمولة‬ ‫األجهزة‬ ‫ألمن‬ ‫الخاصة‬ 2
-
6
-
4
‫لألمن‬ ‫األساسية‬ ‫الضوابط‬
‫السيبراني‬
:

19. 2
-
7
‫والمعلومات‬ ‫البيانات‬ ‫حماية‬
(
Data and Information Protection
)
‫وتوافرها‬ ‫ودقتها‬ ‫الجهة‬ ‫ومعلومات‬ ‫بيانات‬ ‫وسالمة‬ ‫الشية‬ ‫حماية‬ ‫ضمان‬ ‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫ومعلومات‬ ‫بيانات‬ ‫لحماية‬ 2
-
7
-
1
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫ومعلومات‬ ‫بيانات‬ ‫لحماية‬ 2
-
7
-
2
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫والمعلومات‬ ‫البيانات‬ ‫لحماية‬ 2
-
7
-
3
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫الجهة‬ ‫ومعلومات‬ ‫بيانات‬ ‫لحماية‬
. 2
-
7
-
4
2
-
8
‫التشفير‬
(
Cryptography
)
‫للجهة‬ ‫ونية‬ ‫ر‬
‫اإللكب‬ ‫المعلوماتية‬ ‫األصول‬ ‫لحماية‬ ‫ر‬
‫للتشفب‬ ‫والفعال‬ ‫السليم‬ ‫االستخدام‬ ‫ضمان‬ ‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫ف‬ ‫ر‬
‫للتشفب‬ 2
-
8
-
1
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫ف‬ ‫ر‬
‫للتشفب‬
. 2
-
8
-
2
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫ر‬
‫للتشفب‬ 2
-
8
-
3
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫الجهة‬ ‫ف‬ ‫ر‬
‫للتشفب‬
. 2
-
8
-
4
‫لألمن‬ ‫األساسية‬ ‫الضوابط‬
‫السيبراني‬
:

20. 2
-
9
‫االحتياطية‬ ‫النسخ‬ ‫إدارة‬
(
Backup and Recovery Management
)
‫األض‬ ‫من‬ ‫بالجهة‬ ‫الخاصة‬ ‫والتطبيقات‬ ‫لألنظمة‬ ‫التقنية‬ ‫واإلعدادات‬ ‫الجهة‬ ‫ومعلومات‬ ‫بيانات‬ ‫حماية‬ ‫ضمان‬
‫الناجمة‬‫ار‬
‫المخاطر‬ ‫عن‬
‫انية‬ ‫ر‬
‫السيب‬
.
‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫للجهة‬ ‫االحتياطية‬ ‫النسخ‬ ‫إلدارة‬
. 2
-
9
-
1
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫للجهة‬ ‫االحتياطية‬ ‫النسخ‬ ‫إلدارة‬
. 2
-
9
-
2
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫االحتياطية‬ ‫النسخ‬ ‫إلدارة‬ 2
-
9
-
3
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫النسخ‬ ‫إلدارة‬
‫اإلحتياطية‬
‫للجهة‬
. 2
-
7
-
4
2
-
10
‫الثغرات‬ ‫إدارة‬
(
Vulnerabilities Management
)
‫هذ‬ ‫استغالل‬ ‫احتمالية‬ ‫وتقليل‬ ‫لمنع‬ ‫وذلك‬ ،‫فعال‬ ‫بشكل‬ ‫ومعالجتها‬ ‫التقنية‬ ‫ات‬‫ر‬‫الثغ‬ ‫اكتشاف‬ ‫ضمان‬
‫ات‬‫ر‬‫الثغ‬ ‫ه‬
. ‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫للجهة‬ ‫التقنية‬ ‫ات‬‫ر‬‫الثغ‬ ‫إلدارة‬
. 2
-
10
-
1
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫للجهة‬ ‫التقنية‬ ‫ات‬‫ر‬‫الثغ‬ ‫إلدارة‬
. 2
-
10
-
2
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫ات‬‫ر‬‫الثغ‬ ‫إلدارة‬ 2
-
10
-
3
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫للجهة‬ ‫التقنية‬ ‫ات‬‫ر‬‫الثغ‬ ‫إلدارة‬
. 2
-
10
-
4
‫لألمن‬ ‫األساسية‬ ‫الضوابط‬
‫السيبراني‬
:

21. 2
-
11
‫االختراق‬ ‫اختبار‬
(
Penetration Testing
)
‫األمن‬ ‫تعزيز‬ ‫ات‬‫ر‬‫قد‬ ‫فعالية‬ ‫مدى‬‫واختبار‬ ‫تقييم‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫ف‬ ‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫ف‬ ‫اق‬ ‫ر‬
‫االخب‬‫اختبار‬ ‫لعمليات‬
. 2
-
11
-
1
‫الجهة‬ ‫ف‬ ‫اق‬ ‫ر‬
‫االخب‬ ‫اختبار‬ ‫عمليات‬ ‫تنفيذ‬ ‫يجب‬
. 2
-
11
-
2
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫اق‬ ‫ر‬
‫االخب‬ ‫الختبار‬ 2
-
11
-
3
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫الجهة‬ ‫ف‬ ‫اق‬ ‫ر‬
‫االخب‬ ‫اختبار‬ ‫لعمليات‬
. 2
-
11
-
4
2
-
12
‫األمن‬ ‫ومراقبة‬ ‫األحداث‬ ‫سجالت‬ ‫إدارة‬
‫السيبراني‬
(
Cybersecurity Event Logs and Monitoring Management
)
‫األمن‬ ‫أحداث‬ ‫سجالت‬ ‫اقبة‬‫ر‬‫وم‬ ‫وتحليل‬ ‫تجميع‬ ‫ضمان‬
‫ان‬ ‫ر‬
‫السيب‬
‫االكتشاف‬ ‫أجل‬ ‫من‬ ‫المناسب‬ ‫الوقت‬ ‫ف‬
‫اال‬
‫ر‬
‫ستباف‬
‫للهجمات‬
‫انية‬ ‫ر‬
‫السيب‬
‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫اقبة‬‫ر‬‫وم‬ ‫األحداث‬ ‫سجالت‬ ‫إدارة‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫للجهة‬
. 2
-
12
-
1
‫األمن‬ ‫اقبة‬‫ر‬‫وم‬ ‫األحداث‬ ‫سجالت‬ ‫إدارة‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫للجهة‬
. 2
-
12
-
2
‫األمن‬ ‫اقبة‬‫ر‬‫وم‬ ‫األحداث‬ ‫سجالت‬ ‫إدارة‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬ 2
-
12
-
3
‫األمن‬ ‫اقبة‬‫ر‬‫وم‬ ‫األحداث‬ ‫سجالت‬ ‫إدارة‬ ‫متطلبات‬ ‫تطبيق‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫الجهة‬ ‫ف‬
. 2
-
12
-
4
‫لألمن‬ ‫األساسية‬ ‫الضوابط‬
‫السيبراني‬
:

22. 2
-
13
‫األمن‬ ‫وتهديدات‬ ‫حوادث‬ ‫إدارة‬
‫السيبراني‬
(
Cybersecurity Incident and Threat Management
)
‫األمن‬ ‫حوادث‬ ‫واكتشاف‬ ‫تحديد‬ ‫ضمان‬
‫ان‬ ‫ر‬
‫السيب‬
‫ال‬ ّ‫فع‬ ‫بشكل‬ ‫وإدارتها‬ ‫المناسب‬ ‫الوقت‬ ‫ف‬ ‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫وتهديدات‬ ‫حوادث‬ ‫إدارة‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫ف‬
. 2
-
13
-
1
‫األمن‬ ‫وتهديدات‬ ‫حوادث‬ ‫إدارة‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫ف‬
. 2
-
13
-
2
‫األمن‬ ‫وتهديدات‬ ‫حوادث‬ ‫إدارة‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬ 2
-
13
-
3
‫األمن‬ ‫وتهديدات‬ ‫حوادث‬ ‫إدارة‬ ‫متطلبات‬ ‫تطبيق‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫الجهة‬ ‫ف‬
. 2
-
13
-
4
2
-
14
‫المادي‬ ‫األمن‬
(
Physical Security
)
‫والتخ‬ ‫والشقة‬ ‫والفقدان‬ ‫به‬ ‫المرصح‬ ‫ر‬
‫غب‬ ‫المادي‬ ‫الوصول‬ ‫من‬ ‫للجهة‬ ‫والتقنية‬ ‫المعلوماتية‬ ‫األصول‬ ‫حماية‬ ‫ضمان‬
‫ريب‬
. ‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫ا‬ ‫الوصول‬ ‫من‬ ‫والتقنية‬ ‫المعلوماتية‬ ‫األصول‬ ‫لحماية‬
‫المرصح‬ ‫ر‬
‫غب‬ ‫لمادي‬ 2
-
14
-
1
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫ر‬
‫غب‬ ‫المادي‬ ‫الوصول‬ ‫من‬ ‫للجهة‬ ‫والتقنية‬ ‫المعلوماتية‬ ‫األصول‬ ‫لحماية‬
‫المرصح‬ 2
-
14
-
2
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫ر‬
‫غب‬ ‫المادي‬ ‫الوصول‬ ‫من‬ ‫للجهة‬ ‫والتقنية‬ ‫المعلوماتية‬ ‫األصول‬ ‫لحماية‬
‫المرصح‬ 2
-
14
-
3
‫األمن‬ ‫متطلبات‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫للجهة‬ ‫والتقنية‬ ‫المعلوماتية‬ ‫األصول‬ ‫لحماية‬
. 2
-
14
-
4
‫لألمن‬ ‫األساسية‬ ‫الضوابط‬
‫السيبراني‬
:

23. 2
-
15
‫الويب‬ ‫تطبيقات‬ ‫حماية‬
(
Web Application Security
)
‫المخاطر‬ ‫من‬ ‫للجهة‬ ‫الخارجية‬ ‫الويب‬ ‫تطبيقات‬ ‫حماية‬ ‫ضمان‬
‫انية‬ ‫ر‬
‫السيب‬
. ‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الم‬ ‫من‬ ‫للجهة‬ ‫الخارجية‬ ‫الويب‬ ‫تطبيقات‬ ‫لحماية‬
‫خاطر‬
‫انية‬ ‫ر‬
‫السيب‬
. 2
-
15
-
1
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫للجهة‬ ‫الخارجية‬ ‫الويب‬ ‫تطبيقات‬ ‫لحماية‬
. 2
-
15
-
2
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫للجهة‬ ‫الخارجية‬ ‫الويب‬ ‫تطبيقات‬ ‫لحماية‬ 2
-
15
-
3
‫األمن‬ ‫متطلبات‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫المخاطر‬ ‫من‬ ‫للجهة‬ ‫الويب‬ ‫تطبيقات‬ ‫لحماية‬
‫انية‬ ‫ر‬
‫السيب‬
‫دوريا‬
. 2
-
15
-
4
‫لألمن‬ ‫األساسية‬ ‫الضوابط‬
‫السيبراني‬
:

24. Cybersecurity Resilience
‫لألمن‬ ‫األساسية‬ ‫الضوابط‬
‫السيبراني‬
:
3
-
1
‫األمن‬ ‫صمود‬ ‫جوانب‬
‫السيبراني‬
‫األعمال‬ ‫استمرارية‬ ‫إدارة‬ ‫في‬
(
Cybersecurity Resilience aspects of Business Continuity Management “BCM“
)
‫األمن‬ ‫صمود‬ ‫متطلبات‬ ‫توافر‬ ‫ضمان‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫أعمال‬ ‫ارية‬‫ر‬‫استم‬ ‫إدارة‬ ‫ف‬
.
‫وتقليل‬ ‫معالجة‬ ‫وضمان‬
‫للجهة‬ ‫الحرجة‬ ‫ونية‬ ‫ر‬
‫اإللكب‬ ‫الخدمات‬ ‫ف‬ ‫ابات‬‫ر‬‫االضط‬ ‫عىل‬ ‫تبة‬ ‫ر‬
‫المب‬ ‫اآلثار‬
‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫أعمال‬ ‫ارية‬‫ر‬‫استم‬ ‫إدارة‬ ‫ضمن‬
. 3
-
1
-
1
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الجهة‬ ‫أعمال‬ ‫ارية‬‫ر‬‫استم‬ ‫إدارة‬ ‫ضمن‬
. 3
-
1
-
2
‫الجهة‬ ‫ف‬ ‫األعمال‬ ‫ارية‬‫ر‬‫استم‬ ‫إدارة‬ ‫تغط‬ ‫أن‬ ‫يجب‬ 3
-
1
-
3
‫األمن‬ ‫متطلبات‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫الجهة‬ ‫أعمال‬ ‫ارية‬‫ر‬‫استم‬ ‫إدارة‬ ‫ضمن‬
. 3
-
1
-
4

25. ‫لألمن‬ ‫األساسية‬ ‫الضوابط‬
‫السيبراني‬
:
4
-
1
‫األمن‬
‫السيبراني‬
‫الخارجية‬ ‫باألطراف‬ ‫المتعلق‬
‫األمن‬ ‫مخاطر‬ ‫من‬ ‫الجهة‬ ‫أصول‬ ‫حماية‬ ‫ضمان‬
‫ان‬ ‫ر‬
‫السيب‬
‫الخارجية‬ ‫اف‬‫ر‬‫باألط‬ ‫المتعلقة‬ ‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫للجهة‬ ‫الخارجية‬ ‫اف‬‫ر‬‫األط‬ ‫مع‬ ‫واالتفاقيات‬ ‫العقود‬ ‫ضمن‬ 4
-
1
-
1
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫واالتفاقيات‬ ‫العقود‬ ‫ضمن‬
(
‫الخدمة‬ ‫مستوى‬ ‫اتفاقية‬ ‫مثل‬
SAL
)
‫الخارجية‬ ‫اف‬‫ر‬‫األط‬ ‫مع‬ 4
-
1
-
2
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫المعلومات‬ ‫لتقنية‬ ‫إسناد‬ ‫خدمات‬ ‫تقدم‬ ‫ر‬
‫الن‬ ‫الخارجية‬ ‫اف‬‫ر‬‫األط‬ ‫مع‬ 4
-
1
-
3
‫األمن‬ ‫متطلبات‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫الخارجية‬ ‫اف‬‫ر‬‫األط‬ ‫مع‬
. 4
-
1
-
4
4
-
2
‫األمن‬
‫السيبراني‬
‫واالستضافة‬ ‫السحابية‬ ‫بالحوسبة‬ ‫المتعلق‬
‫المخاطر‬ ‫معالجة‬ ‫ضمان‬
‫انية‬ ‫ر‬
‫السيب‬
‫األمن‬ ‫متطلبات‬ ‫وتنفيذ‬
‫ان‬ ‫ر‬
‫السيب‬
‫بشك‬ ‫واالستضافة‬ ‫السحابية‬ ‫للحوسبة‬
‫ال‬ ّ‫وفع‬ ‫مالئم‬ ‫ل‬ ‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫واالست‬ ‫السحابية‬ ‫الحوسبة‬ ‫خدمات‬ ‫باستخدام‬ ‫الخاصة‬
‫ضافة‬ 4
-
2
-
1
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫للجهة‬ ‫واالستضافة‬ ‫السحابية‬ ‫الحوسبة‬ ‫بخدمات‬ ‫الخاصة‬ 4
-
2
-
2
‫األمن‬ ‫متطلبات‬ ‫تغط‬ ‫أن‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫واالستضافة‬ ‫السحابية‬ ‫الحوسبة‬ ‫خدمات‬ ‫باستخدام‬ ‫الخاصة‬ 4
-
2
-
3
‫األمن‬ ‫متطلبات‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫دوريا‬ ‫واالستضافة‬ ‫السحابية‬ ‫الحوسبة‬ ‫بخدمات‬ ‫الخاصة‬ 4
-
2
-
4

26. ‫لألمن‬ ‫األساسية‬ ‫الضوابط‬
‫السيبراني‬
:
5
-
1
‫الصناعي‬ ‫التحكم‬ ‫وأنظمة‬ ‫أجهزة‬ ‫حماية‬
‫األمن‬ ‫إدارة‬ ‫ضمان‬
‫ان‬ ‫ر‬
‫السيب‬
‫وأنظمة‬ ‫بأجهزة‬ ‫المتعلقة‬ ‫الجهة‬ ‫أصول‬ ‫وشية‬ ‫وسالمة‬ ‫توافر‬ ‫لحماية‬ ‫وفعال‬ ‫سليم‬ ‫بشكل‬
‫الصناع‬ ‫التحكم‬
(
OT/ICS
)
‫الهدف‬
‫الضوابط‬
‫األمن‬ ‫متطلبات‬ ‫واعتماد‬ ‫وتوثيق‬ ‫تحديد‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الصناع‬ ‫التحكم‬ ‫وأنظمة‬ ‫أجهزة‬ ‫لحماية‬
(
OT/ICS
) 5
-
1
-
1
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الصناع‬ ‫التحكم‬ ‫وأنظمة‬ ‫أجهزة‬ ‫لحماية‬
(
OT/ICS
) 5
-
1
-
2
‫األمن‬ ‫متطلبات‬ ‫تطبيق‬
‫ان‬ ‫ر‬
‫السيب‬
‫الصناع‬ ‫التحكم‬ ‫وأنظمة‬ ‫أجهزة‬ ‫لحماية‬
(
OT/ICS
)
‫الرئيسية‬ ‫المكونات‬ ‫جميع‬ ‫تغط‬ ‫أن‬ ‫يجب‬
. 5
-
1
-
3
‫األمن‬ ‫متطلبات‬ ‫اجعة‬‫ر‬‫م‬ ‫يجب‬
‫ان‬ ‫ر‬
‫السيب‬
‫الصناع‬ ‫التحكم‬ ‫وأنظمة‬ ‫أجهزة‬ ‫لحماية‬
(
OT/ICS
)
‫دوريا‬ ‫للجهة‬
. 5
-
1
-
4

27. ‫مالحق‬
‫ملحق‬
(
‫أ‬
:)
‫وتعريفات‬ ‫مصطلحات‬
*
‫جدول‬
2
‫الضوابط‬ ‫هذه‬ ‫في‬ ‫ذكرها‬ ‫ورد‬ ‫التي‬ ‫وتعريفات‬ ‫مصطلحات‬
:
‫التعريف‬ ‫المصطلح‬
‫الدخول‬ ‫إىل‬ ‫تهدف‬ ‫خفية‬ ‫أساليب‬ ‫تستخدم‬ ‫ر‬
‫الن‬ ‫التهديدات‬ ‫من‬ ‫الحماية‬
‫والشبكات‬ ‫األنظمة‬ ‫عىل‬ ‫وع‬ ‫ر‬
‫المش‬ ‫ر‬
‫غب‬
‫التقنية‬
‫التهديدات‬ ‫من‬ ‫الحماية‬
‫المستمرة‬ ‫المتقدمة‬
Advanced Persistent
Threat(APT) Protection
‫للجهة‬ ‫بالنسبة‬ ‫قيمة‬ ‫له‬ ‫ملموس‬ ‫ر‬
‫غب‬‫أو‬ ‫ملموس‬ ‫ء‬ ‫ر‬
‫ش‬ ‫أي‬
. ‫األصل‬
Asset
‫وع‬ ‫ر‬
‫مش‬ ‫ر‬
‫غب‬ ‫بشكل‬ ‫الوصول‬ ‫تحاول‬ ‫ر‬
‫الن‬ ‫الخبيثة‬ ‫األنشطة‬ ‫من‬ ‫نوع‬ ‫أي‬ ‫هجوم‬
Attack
‫األمن‬ ‫ضوابط‬ ‫فعالية‬ ‫مدى‬ ‫لتقييم‬ ‫واألنشطة‬ ‫السجالت‬ ‫اسة‬‫ر‬‫ود‬ ‫المستقلة‬ ‫اجعة‬‫ر‬‫الم‬
‫الس‬
‫ان‬ ‫ر‬
‫يب‬ ‫تدقيق‬
Audit
‫الجهاز‬ ‫أو‬ ‫العملية‬ ‫أو‬ ‫المستخدم‬ ‫هوية‬ ‫من‬ ‫التأكد‬ ‫التحقق‬
Authentication
‫حقوق‬ ‫من‬ ‫والتأكد‬ ‫تحديد‬ ‫خاصية‬
/
‫المستخدم‬ ‫اخيص‬‫ر‬‫ت‬ ‫المستخدم‬ ‫صالحية‬
Authorization
‫من‬ ‫وقت‬ ‫ف‬ ‫واستخدامها‬ ‫والتطبيقات‬ ‫واألنظمة‬ ‫والبيانات‬ ‫المعلومات‬ ‫إىل‬ ‫الوصول‬ ‫ضمان‬
‫اسب‬ ‫توافر‬
Availability
‫الفقدان‬‫أو‬ ‫األعطال‬ ‫حالة‬ ‫ف‬ ‫لالستخدام‬ ‫المتاحة‬ ‫اءات‬‫ر‬‫واإلج‬ ‫والبيانات‬ ‫واألجهزة‬ ‫الملفات‬ ‫النسخ‬
‫اإلحتياطية‬
Backup
‫بهم‬ ‫الخاصة‬ ‫الشخصية‬ ‫األجهزة‬ ‫بجلب‬ ‫فيها‬ ‫ر‬
‫للعاملي‬ ‫تسمح‬ ‫جهة‬ ‫سياسة‬
. ‫بك‬ ‫الخاص‬‫الجهاز‬ ‫أحرص‬
(BYOD)
‫بالفيديو‬ ‫اقبة‬‫ر‬‫الم‬ ‫باسم‬ ‫أيضا‬ ‫والمعروف‬ ،‫المغلقة‬ ‫الدائرة‬‫ذو‬ ‫التليفزيون‬ ‫يستخدم‬ ‫المغلقة‬ ‫التلفزيونية‬ ‫الدائرة‬
(CCTV)
‫نظاميا‬ ‫منهجا‬ ‫يضمن‬ ‫حيث‬ ‫الخدمة‬ ‫إلدارة‬ ‫نظام‬ ‫وهو‬
‫واستباقيا‬
‫وإج‬ ‫أساليب‬ ‫باستخدام‬
‫اءات‬‫ر‬
‫فعالة‬ ‫معيارية‬
‫ر‬
‫التغيب‬ ‫إدارة‬
Change Management

28. ‫التعريف‬ ‫المصطلح‬
‫التقنية‬ ‫عىل‬ ‫القائمة‬ ‫الخدمات‬ ‫إىل‬ ‫بالوصول‬ ‫ر‬
‫للمستخدمي‬ ‫السحابية‬ ‫الحوسبة‬ ‫تسمح‬ ‫السحابية‬ ‫الحوسبة‬
Cloud Computing
‫ترص‬ ‫بدون‬ ‫استخدامها‬ ‫أو‬ ‫ها‬ ‫ر‬
‫تغيب‬ ‫أو‬ ‫تشيبها‬ ‫أو‬ ‫حساسة‬ ‫بيانات‬ ‫عىل‬ ‫الحصول‬ ‫أو‬ ‫اإلفصاح‬
‫ح‬ ‫ي‬ ‫أمن‬ ‫انتهاك‬
Compromise
‫عنها‬ ‫واإلفصاح‬ ‫المعلومات‬ ‫إىل‬ ‫الوصول‬ ‫عىل‬ ‫بها‬ ‫مرصح‬ ‫بقيود‬ ‫االحتفاظ‬ ‫الشية‬
Confidentiality
‫تخري‬ ‫أو‬ ‫فقدها‬ ‫أو‬ ‫به‬ ‫مرصح‬ ‫ر‬
‫غب‬ ‫بشكل‬ ‫عنها‬ ‫اإلفصاح‬ ‫عىل‬ ‫تب‬ ‫ر‬
‫يب‬ ‫ر‬
‫الن‬ ‫المعلومات‬ ‫كل‬
‫أو‬ ‫مساءلة‬ ‫بها‬
‫نظامية‬ ‫عقوبات‬
.
‫المعلومات‬
(
‫أوالبيانات‬
)
‫الحساسة‬
Confidential Data/Information
‫التحتية‬ ‫للبنية‬ ‫األساسية‬ ‫العناض‬
(
‫والعمل‬ ،‫والشبكات‬ ،‫والنظم‬ ،‫افق‬‫ر‬‫والم‬ ،‫األصول‬ ‫أي‬
،‫يات‬
‫والعاملون‬
)
‫الحساسة‬ ‫الوطنية‬ ‫التحتية‬ ‫البنية‬
Critical National Infrastructure
(
‫ر‬
‫التشفب‬ ‫علم‬ ‫أيضا‬ ‫ويسم‬
)
‫و‬ ‫تخزين‬ ‫وطرق‬ ‫ووسائل‬ ‫مبادئ‬ ‫تشتمل‬ ‫ر‬
‫الن‬ ‫القواعد‬ ‫وه‬
‫المعلومات‬ ‫نقل‬ ‫ر‬
‫التشفب‬
Cryptography
‫والشبكات‬ ‫اآلىل‬ ‫الحاسب‬ ‫ألنظمة‬ ‫د‬ ّ‫المتعم‬ ‫االستغالل‬ ‫الهجوم‬
‫ان‬ ‫ر‬
‫السيب‬
Cyber-Attack
‫الجهة‬ ‫أعمال‬ ‫عمليات‬ ‫تمس‬ ‫ر‬
‫الن‬ ‫المخاطر‬ ‫المخاطر‬
‫انية‬ ‫ر‬
‫السيب‬
Cyber Risks
‫األحداث‬ ‫أمام‬ ‫الصمود‬ ‫عىل‬ ‫للجهة‬ ‫الشاملة‬ ‫القدرة‬
‫انية‬ ‫ر‬
‫السيب‬ ‫األمن‬ ‫الصمود‬
‫ان‬ ‫ر‬
‫السيب‬
Cybersecurity Resilience
‫األمن‬
‫ان‬ ‫ر‬
‫السيب‬
‫التشغ‬ ‫التقنيات‬ ‫وأنظمة‬ ‫المعلومات‬ ‫تقنية‬ ‫وأنظمة‬ ‫الشبكات‬ ‫حماية‬ ‫هو‬
‫يلية‬ ‫األمن‬
‫ان‬ ‫ر‬
‫السيب‬
Cybersecurity
‫المعلومات‬ ‫لتقنية‬ ‫التحتية‬ ‫البنية‬ ‫من‬ ‫ابطة‬ ‫ر‬
‫المب‬ ‫الشبكة‬ ‫الفضاء‬
‫ان‬ ‫ر‬
‫السيب‬
Cyberspace
‫م‬ ‫لكل‬ ‫أمنية‬ ‫ضوابط‬ ‫عنها‬ ‫ينتج‬ ‫ر‬
‫الن‬ ‫والمعلومات‬ ‫للبيانات‬ ‫الحساسية‬ ‫مستوى‬ ‫ر‬
‫تعيي‬
‫من‬ ‫ستوى‬
‫التصنيف‬ ‫مستويات‬
‫والمعلومات‬ ‫البيانات‬ ‫تصنيف‬
Data and Information Classification
‫منفصل‬ ‫تخزين‬‫جهاز‬ ‫ف‬ ‫فعال‬ ‫بشكل‬ ‫مستخدمة‬ ‫تعد‬ ‫لم‬ ‫ر‬
‫الن‬ ‫البيانات‬ ‫نقل‬ ‫عملية‬ ‫البيانات‬ ‫أرشفة‬
Data Archiving
‫وتعريفات‬ ‫مصطلحات‬

29. ‫التعريف‬ ‫المصطلح‬
‫المعلومات‬ ‫لتوكيد‬ ‫مفهوم‬ ‫هو‬ ‫احل‬‫ر‬‫الم‬ ‫متعدد‬ ‫األمن‬ ‫الدفاع‬
Defense-in-Depth
‫للجهة‬ ‫الحيوية‬ ‫األعمال‬ ‫وخدمات‬ ‫وظائف‬ ‫إلرجاع‬ ‫المصممة‬ ‫والخطط‬ ‫امج‬ ‫ر‬
‫والب‬ ‫األنشطة‬ ‫الكوارث‬ ‫من‬ ‫التعاف‬
Disaster Recovery
‫ا‬ ‫أسماء‬ ‫بتحويل‬ ‫تسمح‬ ‫الشبكة‬ ‫ر‬
‫عب‬ ‫توزيعها‬ ‫يتم‬ ‫بيانات‬ ‫قاعدة‬ ‫يستخدم‬ ‫تقن‬ ‫نظام‬
‫لنطاقات‬ ‫النطاقات‬ ‫أسماء‬ ‫نظام‬
Domain Name System
‫له‬ ‫مخطط‬ ‫ر‬
‫تأثب‬ ‫تحقيق‬ ‫بها‬ ‫يتم‬ ‫ر‬
‫الن‬ ‫الدرجة‬ ‫إىل‬ ‫الفعالية‬ ‫ر‬
‫تشب‬ ‫فعالية‬
Effectiveness
‫المحققة‬ ‫النتائج‬ ‫ر‬
‫بي‬ ‫العالقة‬
(
‫المخرجات‬
)
‫المستخدمة‬ ‫والموارد‬
(
‫المدخالت‬
.) ‫كفاءة‬
Efficiency
‫محدد‬ ‫مكان‬ ‫ف‬ ‫يحدث‬ ‫ء‬ ‫ر‬
‫ش‬
(
‫ها‬ ‫ر‬
‫وغب‬ ‫والتطبيقات‬ ‫واألنظمة‬ ‫الشبكة‬ ‫مثل‬
)
‫محدد‬ ‫وقت‬ ‫وف‬
. ‫حدث‬
Event
‫الويب‬ ‫وبيانات‬ ‫صفحات‬ ‫ر‬
‫لتأمي‬ ‫ر‬
‫التشفب‬ ‫يستخدم‬ ‫بروتوكول‬ ‫اآلمن‬ ‫ر‬
‫التشعن‬ ‫النص‬ ‫نقل‬ ‫بروتوكول‬
(HTTPS)
‫الجهاز‬ ‫أو‬ ‫العملية‬ ‫أو‬ ‫المستخدم‬ ‫هوية‬ ‫من‬ ‫التحقق‬ ‫وسيلة‬ ‫هوية‬
Identification
‫األمن‬ ‫سياسات‬ ‫بمخالفة‬ ‫أمن‬ ‫انتهاك‬
‫ان‬ ‫ر‬
‫السيب‬ ‫حادثة‬
Incident
‫به‬ ‫مرصح‬ ‫ر‬
‫غب‬ ‫بشكل‬ ‫المعلومات‬ ‫تخريب‬ ‫أو‬ ‫تعديل‬ ‫ضد‬ ‫الحماية‬ ‫المعلومة‬ ‫سالمة‬
Integrity
‫العربية‬ ‫المملكة‬ ‫ف‬ ‫يعية‬ ‫ر‬
‫تش‬ ‫جهة‬ ‫طورتها‬ ‫متطلبات‬ ‫ه‬ ‫الوطنية‬ ‫المتطلبات‬
‫السعودية‬
‫مثل‬
:
‫لألمن‬ ‫األساسية‬ ‫الضوابط‬
‫ان‬ ‫ر‬
‫السيب‬
(
"ECC-1:2018"
)
‫والدولية‬ ‫الوطنية‬ ‫المتطلبات‬
(Inter)National Requirements
‫اقات‬ ‫ر‬
‫االخب‬ ‫كشف‬‫ات‬‫ر‬‫قد‬ ‫لديه‬ ‫نظام‬ ‫اقات‬ ‫ر‬
‫االخب‬ ‫الكتشاف‬ ‫المتقدمة‬ ‫الحماية‬ ‫نظام‬
(
IPS
)
Intrusion Prevention System
‫جهة‬ ‫أو‬ ‫ما‬ ‫نشاط‬ ‫نجاح‬ ‫مدى‬ ‫م‬ّ‫يقي‬ ‫األداء‬ ‫مستوى‬ ‫قياس‬ ‫أدوات‬ ‫من‬ ‫نوع‬ ‫األداء‬ ‫قياس‬ ‫ر‬
‫مؤش‬
Key Performance Indicator(KPI)
‫وتعريفات‬ ‫مصطلحات‬

30. ‫التعريف‬ ‫المصطلح‬
‫معلومات‬ ‫عرض‬
(
‫وقياش‬ ‫محدد‬ ‫ر‬
‫وترمب‬ ‫بتسمية‬
)
‫الجهة‬ ‫أصول‬ ‫عىل‬ ‫توضع‬ ‫عالمة‬ ‫أو‬ ‫ر‬
‫ترمب‬
Labeling
‫يحتاجونه‬ ‫ر‬
‫الن‬ ‫الوصول‬ ‫صالحيات‬ ‫ر‬
‫المستخدمي‬ ‫منح‬ ‫إىل‬ ‫يهدف‬ ‫ف‬ ‫أساش‬ ‫مبدأ‬
‫فقط‬ ‫ا‬ ‫الصالحيات‬ ‫من‬ ‫األدن‬ ‫الحد‬
Least Privilege
‫ال‬ ‫أو‬ ‫البيانات‬ ‫توافر‬ ‫ودقة‬ ‫شية‬ ‫النتهاك‬ ‫خفية‬ ‫بطريقة‬ ‫األنظمة‬ ‫يصيب‬ ‫برنامج‬
‫تطبيقات‬ ‫الضارة‬ ‫مجيات‬ ‫ر‬
‫الب‬
Malware
‫المستخدم‬ ‫هوية‬ ‫من‬ ‫يتحقق‬ ‫أمن‬ ‫نظام‬ ‫العناض‬ ‫متعدد‬ ‫الهوية‬ ‫من‬ ‫التحقق‬
(MFA)
Multi-Factor Authentication
‫عميل‬ ‫أسلوب‬ ‫طبق‬
ُ
‫ت‬ ‫بنية‬ ‫أو‬ ‫معمارية‬
‫المستخدم‬ ‫وواجهة‬ ‫البيانات‬ ‫وتخزين‬
‫منصات‬ ‫عىل‬
‫منفصلة‬
‫المستويات‬ ‫متعددة‬ ‫المعمارية‬
Multi-tier Architecture
‫البيانات‬ ‫عىل‬ ‫المفروضة‬ ‫القيود‬ ‫االستخدام‬ ‫إىل‬ ‫والحاجة‬ ‫المعرفة‬ ‫إىل‬ ‫الحاجة‬
Need-to-know and Need-to-use
‫ت‬ ‫عندما‬ ‫واألجهزة‬ ‫والتطبيقات‬ ‫األنظمة‬ ‫وإعدادات‬ ‫البيانات‬ ‫لقاعدة‬ ‫احتياطية‬ ‫نسخة‬
‫كون‬
‫للتحديث‬ ‫قابلة‬ ‫ر‬
‫وغب‬ ‫متصلة‬ ‫ر‬
‫غب‬ ‫النسخة‬
‫المتصل‬ ‫ر‬
‫غب‬ ‫االحتياط‬ ‫النسخ‬
‫الموقع‬ ‫خارج‬ ‫أو‬
Offline/Offsite Backup
‫ب‬ ‫خادم‬ ‫عىل‬ ‫شبكة‬ ‫ر‬
‫عب‬ ‫بانتظام‬ ‫االحتياط‬ ‫النسخ‬ ‫فيها‬ ‫يتم‬ ‫للتخزين‬ ‫طريقة‬
‫عيد‬ ‫المتصل‬ ‫االحتياط‬ ‫النسخ‬
Online Backup
‫الجهة‬ ‫ف‬ ‫يعملون‬ ‫الذين‬ ‫األشخاص‬ ‫الجهة‬ ‫ف‬ ‫العاملون‬
Organization Staff
‫عىل‬ ‫الحصول‬
(
‫الخدمات‬‫أو‬ ‫السلع‬
)
‫خدمة‬ ‫مزود‬‫أو‬ ‫مورد‬ ‫مع‬ ‫التعاقد‬ ‫طريق‬ ‫عن‬ ‫ر‬
‫الخارج‬ ‫االسناد‬
Outsourcing
‫ب‬ ‫أو‬ ‫لتطبيقاته‬ ‫أو‬ ‫للحاسب‬ ‫التشغيل‬ ‫نظام‬ ‫ر‬
‫وتحسي‬ ‫وإصالح‬ ‫لتحديث‬ ‫داعمة‬ ‫بيانات‬ ‫حزم‬
‫امجه‬‫ر‬ ‫واإلصالحات‬ ‫التحديثات‬ ‫حزم‬
Patch
‫شبكة‬ ‫أو‬ ‫الحاسب‬ ‫عىل‬‫اختبار‬ ‫ممارسة‬
‫أوموقع‬
‫ون‬ ‫ر‬
‫إلكب‬
‫أوهواتف‬
‫عن‬ ‫للبحث‬ ‫ذكية‬
‫ات‬‫ر‬‫ثغ‬
‫المهاجم‬ ‫يستغلها‬ ‫أن‬ ‫يمكن‬
.
‫اق‬ ‫ر‬
‫االخب‬ ‫اختبار‬
Penetration Testing
‫وتعريفات‬ ‫مصطلحات‬

31. ‫التعريف‬ ‫المصطلح‬
‫االئت‬ ‫وبطاقة‬‫المرور‬ ‫وكلمات‬ ‫ر‬
‫المستخدمي‬ ‫كأسماء‬‫حساسة‬ ‫معلومات‬ ‫عىل‬ ‫الحصول‬ ‫محاولة‬
‫مان‬ ‫رسائل‬
‫د‬ّ‫التصي‬
‫ون‬ ‫ر‬
‫اإللكب‬
Phishing Emails
‫الت‬ ‫والموارد‬ ‫والمعدات‬ ‫افق‬‫ر‬‫الم‬ ‫إىل‬ ‫المرصح‬ ‫ر‬
‫غب‬ ‫الوصول‬ ‫لمنع‬ ‫تصميمها‬ ‫تم‬ ‫ر‬
‫الن‬ ‫األمنية‬ ‫ر‬
‫التدابب‬
‫للجهة‬ ‫ابعة‬ ‫المادي‬ ‫األمن‬
Physical Security
‫األ‬ ‫برنامج‬ ‫ر‬
‫وتحسي‬ ‫بتنفيذ‬ ‫للجهة‬ ‫العليا‬ ‫إلدارة‬ ‫الرسم‬ ‫ام‬ ‫ر‬
‫االلب‬ ‫عن‬ ‫بنودها‬ ّ
‫ر‬
‫تعب‬ ‫وثيقة‬ ‫ه‬
‫من‬
‫ان‬ ‫ر‬
‫السيب‬ ‫سياسة‬
Policy
‫فرد‬ ‫حول‬ ‫شخصية‬ ‫معلومات‬ ‫عن‬ ‫الكشف‬ ‫أو‬ ‫به‬ ‫المرصح‬ ‫ر‬
‫غب‬ ‫التدخل‬ ‫من‬ ‫الحرية‬ ‫الخصوصية‬
Privacy
‫الجهة‬ ‫أنظمة‬ ‫عىل‬ ‫العالية‬ ‫الخطورة‬ ‫ذات‬ ‫الصالحيات‬ ‫إدارة‬ ‫والحساسة‬ ‫الهامة‬ ‫الصالحيات‬ ‫إدارة‬
Privileged Access Management
‫ورية‬‫الرص‬ ‫للخطوات‬ ‫تفصيىل‬ ‫وصف‬ ‫عىل‬ ‫تحتوي‬ ‫وثيقة‬ ‫اء‬‫ر‬‫إج‬
Procedure
‫مخرجات‬ ‫إىل‬ ‫المدخالت‬ ‫تحول‬ ‫التفاعلية‬‫أو‬ ‫ابطة‬ ‫ر‬
‫المب‬ ‫األنشطة‬ ‫من‬ ‫مجموعة‬ ‫عملية‬
Process
‫تالف‬ ‫أو‬ ‫منقطع‬ ‫ء‬ ‫ر‬
‫ش‬ ‫ف‬ ‫التحكم‬‫أو‬ ‫الستعادة‬ ‫عملية‬‫أو‬ ‫اء‬‫ر‬‫إج‬ ‫االستعادة‬
Recovery
‫ر‬
‫الن‬ ‫أو‬ ‫بالمعلومات‬ ‫االحتفاظ‬ ‫فيها‬ ‫يجب‬ ‫ر‬
‫الن‬ ‫الزمنية‬ ‫المدة‬ ‫ه‬ ‫االحتفاظ‬ ‫مدة‬
Retention
‫ال‬ ‫ر‬
‫غب‬ ‫التعرض‬ ‫من‬ ‫تحم‬ ‫بطريقة‬ ‫اآلىل‬ ‫الحاسب‬ ‫وتطبيقات‬ ‫برمجيات‬ ‫تطوير‬ ‫ممارسة‬
‫مقصود‬ ‫والتط‬ ‫امج‬ ‫ر‬
‫الب‬ ‫لشفرة‬ ‫األمنية‬ ‫ر‬
‫المعايب‬
‫بيقات‬
Secure Coding Standards
‫اآلىل‬ ‫الحاسب‬ ‫جهاز‬ ‫إعدادات‬ ‫وضبط‬ ‫ر‬
‫وتحصي‬ ‫حماية‬ ‫ر‬
‫والتحصي‬ ‫اإلعدادات‬ ‫اجعة‬‫ر‬‫م‬
Secure Configuration and Hardening
‫ر‬
‫لتوفب‬ ‫الفعىل‬ ‫الوقت‬ ‫ف‬ ‫األمنية‬ ‫األحداث‬ ‫سجالت‬ ‫بيانات‬ ‫وتحليل‬ ‫بإدارة‬ ‫يقوم‬ ‫نظام‬
‫اقبة‬‫ر‬‫م‬
‫للتهديدات‬
‫األحداث‬ ‫سجالت‬ ‫إدارة‬ ‫نظام‬
Security Information and Event
Management (SIEM)
‫وتعريفات‬ ‫مصطلحات‬

32. ‫التعريف‬ ‫المصطلح‬
‫وحمايات‬ ‫ضوابط‬ ‫يتضمن‬ ‫الجديد‬‫أو‬ ‫ل‬
ّ
‫المعد‬ ‫النظام‬ ‫أن‬ ‫من‬ ‫التأكد‬ ‫إىل‬ ‫تهدف‬ ‫عملية‬
‫أمنية‬
‫مناسبة‬
‫األمن‬ ‫االختبار‬
Security Testing
‫األم‬ ‫ات‬‫ر‬‫والثغ‬ ‫الضعف‬ ‫نقاط‬ ‫من‬ ‫خالية‬ ‫جعلها‬ ‫إىل‬ ‫تسىع‬ ‫ر‬
‫الن‬ ‫الشبكات‬ ‫وتصميم‬
‫نية‬
‫انية‬ ‫ر‬
‫السيب‬ ‫التصميم‬ ‫خالل‬ ‫من‬ ‫األمن‬
Security-by-Design
‫األمن‬ ‫ف‬ ‫أساش‬ ‫مبدأ‬
‫ان‬ ‫ر‬
‫السيب‬
‫واالحتيال‬ ‫األخطاء‬ ‫تقليل‬ ‫إىل‬ ‫يهدف‬ ‫المهام‬ ‫فصل‬
Segregation of Duties
‫ر‬
‫الب‬ ‫رسائل‬ ‫إرسال‬ ‫ف‬ ‫المستخدم‬ ‫ون‬ ‫ر‬
‫اإللكب‬ ‫يد‬ ‫ر‬
‫الب‬ ‫خادم‬ ‫أن‬ ‫من‬ ‫للتحقق‬ ‫طريقة‬
‫ون‬ ‫ر‬
‫اإللكب‬ ‫يد‬
‫لة‬ ِ
‫المرس‬ ‫بالجهة‬ ‫الخاص‬ ‫المجال‬ ‫يتبع‬
‫المرسل‬ ‫سياسة‬ ‫إطار‬
Sender Policy Framework
‫الخدمات‬ ‫أو‬ ‫السلع‬ ‫لتقديم‬ ‫تعاقدية‬ ‫عالقة‬ ‫ف‬ ‫كطرف‬‫تعمل‬ ‫جهة‬ ‫أي‬ ‫ر‬
‫خارج‬ ‫طرف‬
Third-Party
‫الجهة‬ ‫أعمال‬ ‫عىل‬ ‫سلبا‬ ‫يؤثر‬ ‫أن‬ ‫المحتمل‬ ‫من‬ ‫حدث‬ ‫أو‬ ‫ظرف‬ ‫أي‬ ‫تهديد‬
Threat
‫ي‬ ‫ر‬
‫الن‬ ‫والمحتملة‬ ‫والحالية‬ ‫ة‬ ‫ر‬
‫األخب‬ ‫الهجمات‬ ‫حول‬ ‫وتحليلها‬ ‫منظمة‬ ‫معلومات‬ ‫يوفر‬
‫أن‬ ‫مكن‬
‫ا‬
ً
‫تهديد‬ ‫تشكل‬
‫انيا‬ ‫ر‬
‫سيب‬
‫للجهة‬
‫االستباقية‬ ‫المعلومات‬
Threat Intelligence
‫اآلىل‬ ‫الحاسب‬ ‫نظام‬ ‫ف‬ ‫الضعف‬ ‫نقاط‬ ‫من‬ ‫نوع‬ ‫أي‬ ‫الثغرة‬
Vulnerability
‫ال‬ ‫محاوالت‬ ‫من‬ ‫الناجمة‬ ‫المخاطر‬ ‫لتقليل‬ ‫الويب‬ ‫تطبيقات‬ ‫قبل‬ ‫يوضع‬ ‫حماية‬ ‫نظام‬
‫هجوم‬
‫الويب‬ ‫تطبيقات‬ ‫عىل‬ ‫الموجهة‬
‫الويب‬ ‫لتطبيقات‬ ‫الحماية‬‫جدار‬
Web Application Firewall
‫ضارة‬ ‫برمجيات‬ ‫عن‬ ‫عبارة‬
(
Malware
)
‫مسبقا‬ ‫معروفة‬ ‫ر‬
‫غب‬ ‫مسبقا‬ ‫المعروفة‬ ‫ر‬
‫غب‬ ‫الضارة‬ ‫مجيات‬ ‫ر‬
‫الب‬
Zero-Day Malware
‫وتعريفات‬ ‫مصطلحات‬

33. ‫ملحق‬
(
‫ب‬
:)
‫االختصارات‬ ‫قائمة‬
*
‫جدول‬
3
‫الضوابط‬ ‫هذه‬ ‫في‬ ‫ذكرها‬ ‫ورد‬ ‫التي‬ ‫االختصارات‬ ‫معنى‬
:
‫الترجمة‬ ‫معناه‬ ‫االختصار‬
‫المستمرة‬ ‫المتقدمة‬ ‫التهديدات‬ Advanced Persistent Threat APT
‫األعمال‬ ‫ارية‬‫ر‬‫استم‬ ‫إدارة‬ Business Continuity Management BCM
‫بك‬ ‫الخاص‬‫الجهاز‬ ‫أحرص‬ ‫سياسة‬ Bring Your Own Device BYOD
‫المغلقة‬ ‫التلفزيونية‬ ‫الدائرة‬ Closed-circuit television CCTV
‫الحساسة‬ ‫التحتية‬ ‫البنية‬ Critical National Infrastructure CNI
‫النطاقات‬ ‫أسماء‬ ‫نظام‬ Domain Name System DNS
‫لألمن‬ ‫األساسية‬ ‫الضوابط‬
‫ان‬ ‫ر‬
‫السيب‬ Essential Cybersecurity Controls ECC
‫اآلمن‬ ‫ر‬
‫التشعن‬ ‫النص‬ ‫نقل‬ ‫بروتوكول‬ Hyper Text Transfer Protocol Secure HTTPS
‫الصناع‬ ‫التحكم‬ ‫نظام‬ Industrial Control System ICS

34. ‫ملحق‬
(
‫ب‬
:)
‫االختصارات‬ ‫قائمة‬
‫الترجمة‬ ‫معناه‬ ‫االختصار‬
‫واالتصاالت‬ ‫المعلومات‬ ‫تقنية‬ Information and Communication Technology ICT
‫المعلومات‬ ‫تقنية‬ Information Technology IT
‫العناض‬ ‫متعدد‬ ‫الهوية‬ ‫من‬ ‫التحقق‬ Multi-Factor Authentication MFA
‫التشغيلية‬ ‫التقنية‬ Operational Technology OT
‫األمن‬ ‫اقبة‬‫ر‬‫وم‬ ‫األحداث‬ ‫سجالت‬ ‫إدارة‬ ‫نظام‬
‫ان‬ ‫ر‬
‫السيب‬
Security Information and Event
Management
SIEM
‫السالمة‬ ‫معدات‬ ‫نظام‬ Safety Instrumented System SIS
‫الخدمة‬ ‫مستوى‬ ‫اتفاقية‬ Service Level Agreement SLA

35. ‫لكم‬ ‫ا‬‫ر‬‫شك‬
...
‫المهندس‬ ‫اف‬ ‫ر‬
‫إش‬
:
‫عبدهللا‬ ‫بن‬ ‫اهيم‬‫ر‬‫إب‬
‫العد‬
‫ين‬
‫إعداد‬
:
‫ر‬
‫العتين‬‫عبدالعزيز‬
...
‫األح‬ ‫سعيد‬
‫مري‬