حماية البيانات

تطوير العمليات والضوابط التقنية لتحديد البيانات وتصنيفها ومعالجتها بشكل آمن وحفظها والتخلص منها.

لماذا هذا الضابط مهم؟

لم تعد البيانات محصورة داخل حدود المؤسسة فحسب؛ فهي موجودة في السحابة، وعلى أجهزة المستخدمين النهائيين المحمولة حيث يعمل المستخدمون من المنزل، وغالباً ما تتم مشاركتها مع شركاء أو خدمات عبر الإنترنت قد تخزنها في أي مكان في العالم. بالإضافة إلى البيانات الحساسة التي تحتفظ بها المؤسسة والمتعلقة بالشؤون المالية والملكية الفكرية وبيانات العملاء، قد توجد أيضاً لوائح دولية عديدة لحماية البيانات الشخصية. أصبحت خصوصية البيانات ذات أهمية متزايدة، وتدرك المؤسسات أن الخصوصية تتعلق بالاستخدام والإدارة المناسبة للبيانات وليس مجرد التشفير. يجب إدارة البيانات بشكل مناسب طوال دورة حياتها بالكامل. يمكن أن تكون قواعد الخصوصية معقدة بالنسبة للمؤسسات متعددة الجنسيات بمختلف أحجامها؛ ومع ذلك، هناك أساسيات يمكن تطبيقها على الجميع.

قوالب السياسات ذات الصلة

سياسة تصنيف البيانات والتعامل معها سياسة الاحتفاظ بالبيانات والتخلص منها سياسة التشفير سياسة منع فقدان البيانات معايير التشفير المقبولة

الإجراءات الوقائية (14)

المعرف	العنوان	الوظيفة	مجموعات التطبيق	عناصر التدقيق	الأدلة
3.1	إنشاء وصيانة عملية إدارة البيانات	تحديد	IG1 IG2 IG3	2	1
3.2	إنشاء وصيانة جرد البيانات	تحديد	IG1 IG2 IG3	2	1
3.3	تكوين قوائم التحكم في الوصول إلى البيانات	حماية	IG1 IG2 IG3	2	1
3.4	فرض الاحتفاظ بالبيانات	حماية	IG1 IG2 IG3	2	1
3.5	التخلص الآمن من البيانات	حماية	IG1 IG2 IG3	2	1
3.6	تشفير البيانات على أجهزة المستخدم النهائي	حماية	IG1 IG2 IG3	2	1
3.7	إنشاء وصيانة مخطط تصنيف البيانات	تحديد	IG2 IG3	2	1
3.8	توثيق تدفقات البيانات	تحديد	IG2 IG3	2	1
3.9	تشفير البيانات على الوسائط القابلة للإزالة	حماية	IG2 IG3	2	1
3.10	تشفير البيانات الحساسة أثناء النقل	حماية	IG2 IG3	2	1
3.11	تشفير البيانات الحساسة في حالة السكون	حماية	IG2 IG3	2	1
3.12	تجزئة معالجة وتخزين البيانات بناءً على الحساسية	حماية	IG2 IG3	2	1
3.13	نشر حل منع فقدان البيانات	حماية	IG3	2	1
3.14	تسجيل الوصول إلى البيانات الحساسة	كشف	IG3	2	1

تفاصيل التحقق من التدقيق

3.1 إنشاء وصيانة عملية إدارة البيانات

IG1 IG2 IG3

2 عنصر

إنشاء وصيانة عملية إدارة البيانات. في العملية، معالجة حساسية البيانات، ومالك البيانات، والتعامل مع البيانات، وحدود الاحتفاظ بالبيانات، ومتطلبات التخلص، بناءً على معايير الحساسية والاحتفاظ للمؤسسة. مراجعة وتحديث الوثائق سنويًا أو عند حدوث تغييرات مؤسسية كبيرة قد تؤثر على هذا الضمان.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

3.2 إنشاء وصيانة جرد البيانات

IG1 IG2 IG3

2 عنصر

إنشاء وصيانة جرد للبيانات بناءً على عملية إدارة البيانات في المؤسسة. كحد أدنى، جرد البيانات الحساسة. مراجعة وتحديث الجرد سنويًا على الأقل مع إعطاء الأولوية للبيانات الحساسة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

3.3 تكوين قوائم التحكم في الوصول إلى البيانات

IG1 IG2 IG3

2 عنصر

تكوين قوائم التحكم في الوصول إلى البيانات بناءً على مبدأ الحاجة إلى المعرفة. تطبيق قوائم التحكم في الوصول إلى البيانات المعروفة أيضًا بأذونات الوصول على أنظمة الملفات المحلية والبعيدة وقواعد البيانات والتطبيقات.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

3.4 فرض الاحتفاظ بالبيانات

IG1 IG2 IG3

2 عنصر

فرض الاحتفاظ بالبيانات المعمول بها بناءً على عملية إدارة بيانات المؤسسة. يجب أن يتضمن الاحتفاظ بالبيانات مدة الاحتفاظ وآلية التخلص.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

3.5 التخلص الآمن من البيانات

IG1 IG2 IG3

2 عنصر

التخلص الآمن من البيانات كما هو موضح في عملية إدارة البيانات في المؤسسة. التأكد من أن عملية التخلص ومنهجيتها تتناسبان مع حساسية البيانات.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

3.6 تشفير البيانات على أجهزة المستخدم النهائي

IG1 IG2 IG3

2 عنصر

تشفير البيانات على أجهزة المستخدم النهائي التي تحتوي على بيانات حساسة. تتضمن تطبيقات المثال تشفير محركات Windows BitLocker أو Apple FileVault أو Linux dm-crypt.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

3.7 إنشاء وصيانة مخطط تصنيف البيانات

IG2 IG3

2 عنصر

إنشاء وصيانة مخطط شامل لتصنيف البيانات للمؤسسة. مراجعة وتحديث مخطط التصنيف سنويًا أو عند حدوث تغييرات مؤسسية كبيرة قد تؤثر على هذا الضمان.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

3.8 توثيق تدفقات البيانات

IG2 IG3

2 عنصر

توثيق تدفقات البيانات. يتضمن توثيق تدفق البيانات تدفقات بيانات مزودي الخدمات ويجب أن يستند إلى عملية إدارة البيانات في المؤسسة. مراجعة وتحديث الوثائق سنويًا أو عند حدوث تغييرات مؤسسية كبيرة قد تؤثر على هذا الضمان.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

3.9 تشفير البيانات على الوسائط القابلة للإزالة

IG2 IG3

2 عنصر

تشفير البيانات على الوسائط القابلة للإزالة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

3.10 تشفير البيانات الحساسة أثناء النقل

IG2 IG3

2 عنصر

تشفير البيانات الحساسة أثناء النقل. تتضمن تطبيقات المثال بروتوكولات TLS وبروتوكولات SSH المفتوحة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

3.11 تشفير البيانات الحساسة في حالة السكون

IG2 IG3

2 عنصر

تشفير البيانات الحساسة في حالة السكون على الخوادم والتطبيقات وقواعد البيانات التي تحتوي على بيانات حساسة. يجب أن يتم تشفير طبقة التخزين وطبقة التطبيق بشكل منفصل إذا أمكن. تتضمن تطبيقات المثال تشفير محرك خادم قاعدة البيانات وتشفير حقل البيانات على مستوى التطبيق.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

3.12 تجزئة معالجة وتخزين البيانات بناءً على الحساسية

IG2 IG3

2 عنصر

تجزئة معالجة وتخزين البيانات بناءً على حساسية البيانات. لا تعالج البيانات الحساسة على أصول المؤسسة المخصصة لبيانات ذات حساسية أقل.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

3.13 نشر حل منع فقدان البيانات

IG3

2 عنصر

نشر حل منع فقدان البيانات على أصول المؤسسة. تكوين حل منع فقدان البيانات لمراقبة محاولات تصفية البيانات واكتشافها ومنعها.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

3.14 تسجيل الوصول إلى البيانات الحساسة

IG3

2 عنصر

تسجيل الوصول إلى البيانات الحساسة بما في ذلك التعديل والتخلص.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

الضابط 2 الضابط 4