التدريب على الوعي والمهارات الأمنية
إنشاء وصيانة برنامج توعية أمنية للتأثير على سلوك القوى العاملة لتكون واعية أمنياً وماهرة بشكل مناسب لتقليل مخاطر الأمن السيبراني على المؤسسة.
لماذا هذا الضابط مهم؟
تلعب تصرفات الأفراد دوراً حاسماً في نجاح أو فشل البرنامج الأمني للمؤسسة. من الأسهل على المهاجم إغراء مستخدم للنقر على رابط أو فتح مرفق بريد إلكتروني لتثبيت برمجيات خبيثة للدخول إلى المؤسسة، بدلاً من العثور على استغلال شبكي للقيام بذلك مباشرة. يمكن للمستخدمين أنفسهم، سواء عمداً أو عن غير قصد، التسبب في حوادث نتيجة سوء التعامل مع البيانات الحساسة أو إرسال بريد إلكتروني يحتوي على بيانات حساسة إلى المستلم الخاطئ أو فقدان جهاز محمول أو استخدام كلمات مرور ضعيفة أو استخدام نفس كلمة المرور المستخدمة في المواقع العامة. لا يمكن لأي برنامج أمني معالجة المخاطر السيبرانية بفعالية دون وسيلة لمعالجة هذه الثغرة البشرية الأساسية.
قوالب السياسات ذات الصلة
الإجراءات الوقائية (9)
| المعرف | العنوان | الوظيفة | مجموعات التطبيق | عناصر التدقيق | الأدلة |
|---|---|---|---|---|---|
| 14.1 | إنشاء وصيانة برنامج التوعية الأمنية | حماية |
IG1
IG2
IG3
|
2 | 1 |
| 14.2 | تدريب أعضاء القوى العاملة على التعرف على هجمات الهندسة الاجتماعية | حماية |
IG1
IG2
IG3
|
2 | 1 |
| 14.3 | تدريب أعضاء القوى العاملة على أفضل ممارسات المصادقة | حماية |
IG1
IG2
IG3
|
4 | 2 |
| 14.4 | تدريب القوى العاملة على أفضل ممارسات التعامل مع البيانات | حماية |
IG1
IG2
IG3
|
2 | 1 |
| 14.5 | تدريب أعضاء القوى العاملة على أسباب التعرض غير المقصود للبيانات | حماية |
IG1
IG2
IG3
|
2 | 1 |
| 14.6 | تدريب أعضاء القوى العاملة على التعرف على الحوادث الأمنية والإبلاغ عنها | حماية |
IG1
IG2
IG3
|
2 | 1 |
| 14.7 | تدريب القوى العاملة على كيفية تحديد والإبلاغ عن تحديثات الأمان المفقودة على أصول المؤسسة | حماية |
IG1
IG2
IG3
|
2 | 1 |
| 14.8 | تدريب القوى العاملة على مخاطر الاتصال بالشبكات غير الآمنة ونقل بيانات المؤسسة عبرها | حماية |
IG1
IG2
IG3
|
2 | 1 |
| 14.9 | إجراء تدريب توعية ومهارات أمنية خاص بالأدوار | حماية |
IG2
IG3
|
2 | 1 |
تفاصيل التحقق من التدقيق
إنشاء وصيانة برنامج للتوعية الأمنية. يجب أن يتضمن البرنامج كحد أدنى التدريب على أساس متكرر لكل عضو في القوى العاملة في المؤسسة. مراجعة وتحديث المحتوى سنويًا أو عند حدوث تغييرات مؤسسية كبيرة قد تؤثر على هذا الضمان.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
تدريب أعضاء القوى العاملة على التعرف على هجمات الهندسة الاجتماعية مثل التصيد الاحتيالي والتصيد الهاتفي والذرائع.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
تدريب أعضاء القوى العاملة على أفضل ممارسات المصادقة. تتضمن مواضيع المثال MFA وإنشاء كلمات المرور وإدارة بيانات الاعتماد.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
يتم فرض المصادقة متعددة العوامل على جميع الأنظمة والحسابات ضمن النطاق.
تقارير حالة تسجيل MFA، تهيئة سياسة الوصول المشروط
يتم توثيق استثناءات MFA والموافقة عليها مع وجود ضوابط تعويضية.
سجلات الاستثناء مع توثيق الضوابط التعويضية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| تقني | حالة تسجيل MFA وتهيئة الإنفاذ | يُراجع شهرياً |
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
تدريب أعضاء القوى العاملة على كيفية تحديد والتخزين والنقل والتدمير الصحيح للبيانات الحساسة. يتضمن ذلك أيضًا مراجعة أمثلة التشفير للتعامل مع البيانات بشكل واضح.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
تدريب أعضاء القوى العاملة على أسباب التعرض غير المقصود للبيانات. تتضمن مواضيع المثال التسليم الخاطئ للبيانات الحساسة وفقدان جهاز محمول ونشر البيانات للجمهور غير المقصود.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
تدريب أعضاء القوى العاملة على التعرف على الحوادث الأمنية المحتملة والإبلاغ عنها.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
تدريب أعضاء القوى العاملة على كيفية تحديد والإبلاغ ما إذا كانت أصول المؤسسة الخاصة بهم تفتقد لتحديثات الأمان. يتضمن جزء من هذا التدريب إخطار موظفي تقنية المعلومات بأي أعطال في العمليات والأدوات الآلية.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
تدريب أعضاء القوى العاملة على مخاطر الاتصال بالشبكات غير الآمنة ونقل بيانات المؤسسة عبرها. إذا كان لدى المؤسسة أعضاء قوى عاملة يعملون عن بُعد، يجب أن يتضمن التدريب إرشادات للتأكد من تكوين شبكتهم المنزلية بأمان وملائمة.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
إجراء تدريب توعية ومهارات أمنية خاص بالأدوار. تتضمن مواضيع المثال تدريب مسؤولي النظام على تقوية الأنظمة وتدريب مطوري التطبيقات على ممارسات البرمجة الآمنة وإدارة المشتريات والحسابات المالية على كشف عمليات اختراق البريد الإلكتروني التجاري.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |