فحص الخلفيات للأفراد
العملياتبيان الضابط
تضمن المؤسسة تنفيذ فحوصات الخلفية للأفراد/المتعاقدين ولدى مزودي الأطراف الثالثة، بما يتناسب مع حساسية واحتياجات المخاطر السيبرانية لأصول المؤسسة المُدارة.
الوصف
يُعد فحص الخلفيات ضابطاً أساسياً لأمن الأفراد يقلل من مخاطر التهديدات الداخلية من خلال التحقق من جدارة الأفراد الذين لديهم وصول إلى أنظمة وبيانات ومرافق المؤسسة. يجب أن يكون عمق ونطاق فحوصات الخلفية متناسباً مع مستوى الوصول الممنوح وحساسية الأصول المعنية. يمتد هذا الضابط إلى ما هو أبعد من الموظفين المباشرين ليشمل المتعاقدين والموظفين لدى مزودي الأطراف الثالثة الذين يديرون أو يصلون إلى أصول المؤسسة، إدراكاً بأن مخاطر التهديد الداخلي يمكن أن تنشأ من أي فئة أفراد ضمن سلسلة التوريد.
أنشطة التطبيق الرئيسية
- 1 تحديد متطلبات فحص الخلفية بناءً على حساسية الدور ومستويات الوصول وتصنيف الأصول التي سيتم الوصول إليها
- 2 تنفيذ عمليات الفحص قبل التوظيف وقبل التعاقد للموظفين والمتعاقدين بما يتوافق مع المتطلبات المحددة
- 3 تضمين المتطلبات التعاقدية لمزودي الأطراف الثالثة لإجراء فحوصات الخلفية على أفرادهم الذين سيصلون إلى أصول المؤسسة
- 4 وضع متطلبات إعادة الفحص الدوري للأفراد في الأدوار عالية الحساسية أو ذوي امتيازات الوصول المرتفعة
- 5 الاحتفاظ بسجلات فحوصات الخلفية المكتملة وضمان عدم منح الوصول حتى استيفاء متطلبات الفحص
أمثلة على الأدلة
- سياسة فحص الخلفيات التي تحدد متطلبات الفحص حسب مستوى حساسية الدور
- سجلات فحوصات الخلفية المكتملة للموظفين والمتعاقدين (مع التنقيح المناسب للامتثال للخصوصية)
- عقود الأطراف الثالثة التي تتضمن متطلبات فحص الخلفية مع أحكام شهادة الامتثال
- سجلات إعادة الفحص الدوري المكتملة للأفراد في الأدوار عالية الحساسية
- توثيق العمليات الذي يُظهر أن منح الوصول مشروط بإتمام فحص الخلفية
مستويات النضج
يتم إجراء فحوصات الخلفية بشكل غير متسق أو لمجموعة فرعية فقط من الأفراد. متطلبات فحص أفراد الأطراف الثالثة غير محددة. لا يوجد تدرج قائم على المخاطر لعمق الفحص.
يتم إجراء فحوصات الخلفية بشكل منهجي لجميع الأفراد والمتعاقدين بناءً على نموذج تدرج مخاطر محدد. تتضمن عقود الأطراف الثالثة متطلبات الفحص. الوصول مشروط بإتمام الفحص.
مقاربات التدقيق المستمر تكمل فحوصات الخلفية التقليدية في نقطة زمنية واحدة. التنبيه الآني بالأحداث السلبية. يتم قياس فعالية برنامج الفحص. يتم التحقق من امتثال الأطراف الثالثة من خلال حقوق التدقيق. العملية مدمجة بالكامل مع دورة حياة إدارة الهوية والوصول.
قوالب المستندات
متطلبات الأدلة عرض جميع الأدلة
| النوع | عنصر الدليل | التكرار | المستوى |
|---|---|---|---|
| وثيقة | سياسة فحص الخلفيات التي تحدد متطلبات الفحص حسب مستوى حساسية الدور | تُراجع سنوياً | مطلوب |
| سجل | سجلات فحص الخلفيات المكتملة للموظفين والمتعاقدين (مع التنقيح المناسب) | لكل توظيف/تعاقد | مطلوب |
| سجل | عقود الأطراف الثالثة التي تتضمن متطلبات فحص الخلفيات | لكل عقد | مطلوب |
| سجل | شهادات امتثال الأطراف الثالثة بمتطلبات الفحص | سنوياً لكل مزود | مطلوب |
| سجل | سجلات إعادة الفحص الدوري المكتملة للأفراد ذوي الحساسية العالية | لكل دورة إعادة فحص | متوقع |
| سجل | توثيق العمليات الذي يُظهر أن منح الوصول مشروط بإتمام الفحص | يُراجع سنوياً | متوقع |