الإدارة المستمرة للثغرات الأمنية

تطوير خطة لتقييم وتتبع الثغرات الأمنية بشكل مستمر على جميع أصول المؤسسة ضمن البنية التحتية للمؤسسة، من أجل معالجة وتقليل نافذة الفرصة للمهاجمين. مراقبة المصادر الصناعية العامة والخاصة للحصول على معلومات جديدة عن التهديدات والثغرات الأمنية.

لماذا هذا الضابط مهم؟

يواجه المدافعون السيبرانيون تحديات مستمرة من المهاجمين الذين يبحثون عن ثغرات في بنيتهم التحتية لاستغلالها والحصول على الوصول. يجب أن تتوفر لدى المدافعين معلومات تهديدات في الوقت المناسب حول: تحديثات البرمجيات والتصحيحات والإرشادات الأمنية ونشرات التهديدات وغيرها، ويجب عليهم مراجعة بيئتهم بانتظام لتحديد هذه الثغرات قبل أن يفعل المهاجمون ذلك. يُعد فهم وإدارة الثغرات الأمنية نشاطاً مستمراً يتطلب تركيزاً في الوقت والانتباه والموارد.

قوالب السياسات ذات الصلة

سياسة إدارة الثغرات الأمنية سياسة إدارة التصحيحات

الإجراءات الوقائية (7)

المعرف	العنوان	الوظيفة	مجموعات التطبيق	عناصر التدقيق	الأدلة
7.1	إنشاء وصيانة عملية إدارة الثغرات	حماية	IG1 IG2 IG3	2	1
7.2	إنشاء وصيانة عملية المعالجة	استجابة	IG1 IG2 IG3	2	1
7.3	إجراء إدارة آلية لتصحيحات نظام التشغيل	حماية	IG1 IG2 IG3	2	1
7.4	إجراء إدارة آلية لتصحيحات التطبيقات	حماية	IG1 IG2 IG3	2	1
7.5	إجراء فحوصات ثغرات آلية لأصول المؤسسة الداخلية	تحديد	IG2 IG3	2	1
7.6	إجراء فحوصات ثغرات آلية لأصول المؤسسة المكشوفة خارجيًا	تحديد	IG2 IG3	2	1
7.7	معالجة الثغرات المكتشفة	استجابة	IG2 IG3	2	1

تفاصيل التحقق من التدقيق

7.1 إنشاء وصيانة عملية إدارة الثغرات

IG1 IG2 IG3

2 عنصر

إنشاء وصيانة عملية موثقة لإدارة الثغرات لأصول المؤسسة. مراجعة وتحديث الوثائق سنويًا أو عند حدوث تغييرات مؤسسية كبيرة قد تؤثر على هذا الضمان.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

7.2 إنشاء وصيانة عملية المعالجة

IG1 IG2 IG3

2 عنصر

إنشاء وصيانة عملية معالجة مبنية على المخاطر موثقة في جداول زمنية للمعالجة مع المراجعة الشهرية على الأقل.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

7.3 إجراء إدارة آلية لتصحيحات نظام التشغيل

IG1 IG2 IG3

2 عنصر

إجراء إدارة آلية لتصحيحات نظام التشغيل. يجب على المؤسسة تطبيق تحديثات نظام التشغيل على أصول المؤسسة وفقًا لعملية المعالجة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

7.4 إجراء إدارة آلية لتصحيحات التطبيقات

IG1 IG2 IG3

2 عنصر

إجراء إدارة آلية لتصحيحات التطبيقات على أصول المؤسسة وفقًا لعملية المعالجة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

7.5 إجراء فحوصات ثغرات آلية لأصول المؤسسة الداخلية

IG2 IG3

2 عنصر

إجراء فحوصات ثغرات آلية لأصول المؤسسة الداخلية على أساس ربع سنوي أو بشكل أكثر تكرارًا. إجراء كل من فحوصات المصادقة وغير المصادقة باستخدام أداة فحص ثغرات متوافقة مع SCAP.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

7.6 إجراء فحوصات ثغرات آلية لأصول المؤسسة المكشوفة خارجيًا

IG2 IG3

2 عنصر

إجراء فحوصات ثغرات آلية لأصول المؤسسة المكشوفة خارجيًا باستخدام أداة فحص ثغرات متوافقة مع SCAP. إجراء الفحوصات شهريًا أو بشكل أكثر تكرارًا.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

7.7 معالجة الثغرات المكتشفة

IG2 IG3

2 عنصر

معالجة الثغرات المكتشفة في البرمجيات من خلال العمليات والأدوات شهريًا أو في وقت أقصر وفقًا لعملية المعالجة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

الضابط 6 الضابط 8