إدارة التحكم في الوصول
استخدام العمليات والأدوات لإنشاء وتعيين وإدارة وإلغاء بيانات اعتماد الوصول والامتيازات لحسابات المستخدمين والمسؤولين والخدمة على أصول المؤسسة والبرمجيات.
لماذا هذا الضابط مهم؟
بينما يتناول CIS Control 5 إدارة الحسابات تحديداً، يركز CIS Control 6 على إدارة صلاحيات الوصول التي تمتلكها هذه الحسابات، مع ضمان أن المستخدمين لديهم فقط الوصول إلى البيانات أو أصول المؤسسة المناسبة لدورهم، وضمان وجود مصادقة قوية للبيانات أو الوظائف الحرجة أو الحساسة في المؤسسة. يجب أن تمتلك الحسابات الحد الأدنى من التفويض اللازم للدور فقط. يُعد تطوير حقوق وصول متسقة لكل دور وتعيين الأدوار للمستخدمين من أفضل الممارسات. كما أن تطوير برنامج لتوفير الوصول وإلغائه بشكل كامل أمر مهم أيضاً. ويُعد مركزة هذه الوظيفة أمراً مثالياً.
قوالب السياسات ذات الصلة
الإجراءات الوقائية (8)
| المعرف | العنوان | الوظيفة | مجموعات التطبيق | عناصر التدقيق | الأدلة |
|---|---|---|---|---|---|
| 6.1 | إنشاء عملية منح الوصول | حماية |
IG1
IG2
IG3
|
2 | 1 |
| 6.2 | إنشاء عملية إلغاء الوصول | حماية |
IG1
IG2
IG3
|
2 | 1 |
| 6.3 | طلب MFA للتطبيقات المكشوفة خارجيًا | حماية |
IG1
IG2
IG3
|
4 | 2 |
| 6.4 | طلب MFA للوصول عن بُعد إلى الشبكة | حماية |
IG1
IG2
IG3
|
4 | 2 |
| 6.5 | طلب MFA للوصول الإداري | حماية |
IG1
IG2
IG3
|
4 | 2 |
| 6.6 | إنشاء وصيانة جرد أنظمة المصادقة والتفويض | تحديد |
IG2
IG3
|
2 | 1 |
| 6.7 | مركزة التحكم في الوصول | حماية |
IG2
IG3
|
2 | 1 |
| 6.8 | تحديد وصيانة التحكم في الوصول القائم على الأدوار | حماية |
IG3
|
2 | 1 |
تفاصيل التحقق من التدقيق
إنشاء والمتابعة على عملية حيث يتم منح الوصول إلى أصول المؤسسة فقط بعد تقديم طلب الوصول والموافقة عليه.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
إنشاء والمتابعة على عملية إلغاء الوصول إلى أصول المؤسسة من خلال تعطيل الحسابات فورًا عند إنهاء الخدمة أو تغيير الدور أو نقله في حالة المستخدم، وفي حالة البائع أو طرف ثالث عند انتهاء عقد العمل أو الخدمة.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
طلب جميع التطبيقات المكشوفة خارجيًا على المؤسسة لفرض MFA حيثما كان ذلك مدعومًا. فرض MFA من خلال خدمة دليل أو مزود SSO هو تطبيق مقبول لهذا الضمان.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
يتم فرض المصادقة متعددة العوامل على جميع الأنظمة والحسابات ضمن النطاق.
تقارير حالة تسجيل MFA، تهيئة سياسة الوصول المشروط
يتم توثيق استثناءات MFA والموافقة عليها مع وجود ضوابط تعويضية.
سجلات الاستثناء مع توثيق الضوابط التعويضية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| تقني | حالة تسجيل MFA وتهيئة الإنفاذ | يُراجع شهرياً |
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
طلب MFA للوصول عن بُعد إلى الشبكة.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
يتم فرض المصادقة متعددة العوامل على جميع الأنظمة والحسابات ضمن النطاق.
تقارير حالة تسجيل MFA، تهيئة سياسة الوصول المشروط
يتم توثيق استثناءات MFA والموافقة عليها مع وجود ضوابط تعويضية.
سجلات الاستثناء مع توثيق الضوابط التعويضية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| تقني | حالة تسجيل MFA وتهيئة الإنفاذ | يُراجع شهرياً |
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
طلب MFA لجميع الوصول الإداري إلى أصول المؤسسة سواء المُدارة في الموقع أو من خلال مزود طرف ثالث.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
يتم فرض المصادقة متعددة العوامل على جميع الأنظمة والحسابات ضمن النطاق.
تقارير حالة تسجيل MFA، تهيئة سياسة الوصول المشروط
يتم توثيق استثناءات MFA والموافقة عليها مع وجود ضوابط تعويضية.
سجلات الاستثناء مع توثيق الضوابط التعويضية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| تقني | حالة تسجيل MFA وتهيئة الإنفاذ | يُراجع شهرياً |
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
إنشاء وصيانة جرد لأنظمة المصادقة والتفويض في المؤسسة بما في ذلك تلك المستضافة في الموقع أو عند مزود خدمة بعيد. مراجعة وتحديث الجرد كحد أدنى سنويًا أو بشكل أكثر تكرارًا.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
مركزة التحكم في الوصول للجميع على أصول المؤسسة من خلال خدمة دليل أو مزود SSO حيثما كان ذلك مدعومًا.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |
تحديد وصيانة التحكم في الوصول القائم على الأدوار من خلال تحديد والمحافظة على حقوق الوصول الممنوحة لكل دور ضمن المؤسسة لدعم التحكم في الوصول. إجراء مراجعات الوصول لأصول المؤسسة لتأكيد أن جميع الامتيازات مصرح بها على أساس متكرر على الأقل بشكل سنوي أو بشكل أكثر تكرارًا.
قائمة التحقق من التدقيق
توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.
وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة
تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.
مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية
| النوع | عنصر الدليل | التكرار |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |