سياسة إدارة الحسابات وبيانات الاعتماد
1. الغرض
وضع متطلبات لإدارة حسابات المستخدمين وحسابات الخدمة وبيانات الاعتماد لضمان حوكمة الهوية والتحكم في الوصول بشكل سليم عبر أنظمة المعلومات الخاصة بـ [ORGANIZATION].
2. النطاق
تنطبق هذه السياسة على جميع حسابات المستخدمين وحسابات الخدمة والحسابات المشتركة وبيانات الاعتماد المرتبطة بها لجميع أنظمة المعلومات والتطبيقات والخدمات الخاصة بـ [ORGANIZATION].
3. السياسة
3.1 إدارة دورة حياة الحسابات
يجب إنشاء عملية مركزية لإدارة الحسابات تغطي دورة الحياة الكاملة: الطلب والموافقة والتزويد والمراجعة والتعديل وإلغاء التزويد.
يتطلب إنشاء الحسابات تصريحاً موثقاً من مدير المستخدم، وللحسابات ذات الامتيازات من [CUSTOMIZE: CISO/IT Director].
يجب إلغاء تزويد الحسابات خلال [CUSTOMIZE: 24 hours] من انفصال الموظف (إنهاء الخدمة أو الاستقالة أو انتهاء العقد).
يجب تعطيل الحسابات غير النشطة لمدة [CUSTOMIZE: 45/60/90] يوماً تلقائياً. يجب حذف الحسابات المعطلة التي لم يتم إعادة تفعيلها خلال [CUSTOMIZE: 30] يوماً.
يجب تسجيل جميع إجراءات تزويد الحسابات وتعديلها وإلغاء تزويدها وإتاحتها للتدقيق.
3.2 متطلبات كلمة المرور وبيانات الاعتماد
يجب أن تستوفي كلمات المرور الحد الأدنى من المتطلبات التالية: لا يقل طولها عن [CUSTOMIZE: 12/14/16] حرفاً، وألا تتطابق مع قائمة كلمات المرور المعروفة بالاختراق، وألا تحتوي على اسم المستخدم أو كلمات القاموس الشائعة، وأن يتم تغييرها فوراً عند الاشتباه في اختراقها.
تُشترط بيانات اعتماد فريدة لكل مستخدم. تُحظر الحسابات المشتركة إلا حيثما كان ذلك لا مفر منه تقنياً، وفي هذه الحالة يجب توثيقها مع ضوابط تعويضية.
يجب إدارة بيانات اعتماد حسابات الخدمة من خلال حل إدارة الأسرار، وتدويرها على الأقل [CUSTOMIZE: quarterly/annually]، وعدم تضمينها في شفرة المصدر.
يجب تغيير بيانات الاعتماد الافتراضية على جميع الأنظمة والتطبيقات قبل نشرها في بيئة الإنتاج.
3.3 المصادقة متعددة العوامل
تُشترط المصادقة متعددة العوامل (MFA) لـ: جميع اتصالات الوصول عن بُعد، وجميع عمليات الوصول بحسابات ذات امتيازات، والوصول إلى البيانات السرية والمقيدة، ووحدات التحكم الإدارية للخدمات السحابية، واتصالات VPN.
يجب أن تستخدم طرق MFA اثنتين على الأقل من: شيء تعرفه (كلمة مرور)، أو شيء تملكه (رمز مميز أو بطاقة ذكية أو هاتف)، أو شيء أنت عليه (بصمة بيومترية).
لا يُنصح باستخدام MFA المستندة إلى الرسائل القصيرة. يُفضل استخدام تطبيقات المصادقة أو الرموز المميزة المادية أو FIDO2/WebAuthn.
يجب إنفاذ MFA لجميع التطبيقات القابلة للوصول خارجياً خلال [CUSTOMIZE: 6/12] شهراً من تاريخ نفاذ هذه السياسة.
3.4 مراجعات الوصول
يجب مراجعة حقوق وصول المستخدمين على الأقل [CUSTOMIZE: quarterly/bi-annually] من قبل مدير مالك الحساب للتحقق من استمرار ملاءمتها.
يجب مراجعة الوصول ذي الامتيازات على الأقل [CUSTOMIZE: quarterly] من قبل [CUSTOMIZE: CISO/IT Security Team].
يجب معالجة نتائج مراجعة الوصول التي تتطلب إصلاحاً خلال [CUSTOMIZE: 14/30] يوماً.
4. الامتثال
الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.
يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.
5. الإنفاذ
قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.
تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.
6. المراجعة والتنقيح
تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.
يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.
اعتماد السياسة
اعتمد من قبل
المسمى الوظيفي
التاريخ
التحكم في المستند