سياسة إدارة الوصول ذي الامتيازات

Control 5 Control 6

الإجراءات الوقائية المعنية: 5.4 5.5 5.6 6.3 6.4 6.5 6.6 6.7 6.8

1. الغرض

وضع متطلبات لإدارة ومراقبة والتحكم في الوصول ذي الامتيازات إلى الأنظمة والبيانات الحيوية لـ [ORGANIZATION] لتقليل مخاطر الوصول غير المصرح به والتهديدات الداخلية.

2. النطاق

تنطبق هذه السياسة على جميع الحسابات ذات الامتيازات المرتفعة، بما في ذلك مسؤولي الأنظمة ومسؤولي قواعد البيانات ومسؤولي الشبكة ومسؤولي السحابة ومسؤولي التطبيقات وأي حسابات أخرى تتمتع بوصول يتجاوز صلاحيات المستخدم العادي.

3. السياسة

3.1 حوكمة الحسابات ذات الامتيازات

3.1.1

يجب الحفاظ على جرد لجميع الحسابات ذات الامتيازات ومراجعته على الأقل [CUSTOMIZE: quarterly]، بما في ذلك: اسم الحساب والنظام/التطبيق ومستوى الامتياز والمالك المعيّن والمبرر التجاري وتاريخ آخر مراجعة.

3.1.2

يجب منح الوصول ذي الامتيازات بناءً على مبدأ الحد الأدنى من الصلاحيات، مع توفير الحد الأدنى فقط من الأذونات اللازمة لأداء المهام الموكلة.

3.1.3

يجب إنفاذ فصل المهام لمنع أي فرد واحد من امتلاك وصول ذي امتيازات متعارض (مثل: الإنشاء والموافقة معاً، أو التطوير والنشر في بيئة الإنتاج معاً).

3.1.4

يتطلب الوصول ذو الامتيازات مبرراً تجارياً موثقاً وموافقة من [CUSTOMIZE: CISO/IT Director/Second-level Manager].

3.2 ضوابط الوصول ذي الامتيازات

3.2.1

يجب نشر أدوات إدارة الوصول ذي الامتيازات (PAM) لحفظ جميع بيانات الاعتماد ذات الامتيازات وتدويرها ومراقبتها.

3.2.2

يجب تسجيل الجلسات ذات الامتيازات والاحتفاظ بالسجلات لمدة لا تقل عن [CUSTOMIZE: 1 year/2 years] لأغراض التحقيق الجنائي والتدقيق.

3.2.3

يجب تطبيق الوصول ذي الامتيازات في الوقت المناسب (JIT) حيثما كان ذلك ممكناً تقنياً، مع إلغاء الأذونات المرتفعة تلقائياً بعد [CUSTOMIZE: 4/8/24] ساعة أو إتمام المهمة.

3.2.4

يُحظر تسجيل الدخول المباشر بالحسابات ذات الامتيازات. يجب على المسؤولين المصادقة بحسابهم العادي ورفع الامتيازات من خلال آليات معتمدة (sudo أو PAM أو غيرها).

3.2.5

يُحظر الوصول ذو الامتيازات من شبكات أو أجهزة غير موثوقة بدون VPN وMFA.

3.3 محطات العمل الإدارية

3.3.1

يجب تنفيذ الأنشطة الإدارية على الأنظمة الحيوية من محطات عمل إدارية مخصصة ومُقوّاة (محطات عمل الوصول ذي الامتيازات) حيثما أمكن ذلك.

3.3.2

لا يجوز استخدام محطات العمل الإدارية للبريد الإلكتروني أو تصفح الويب أو أنشطة المستخدم العادية الأخرى.

3.3.3

يجب أن تكون محطات العمل الإدارية على شريحة شبكة منفصلة ومقيدة مع مراقبة معززة.

3.4 الوصول في حالات الطوارئ

3.4.1

يجب توثيق إجراءات الوصول الطارئ (كسر الزجاج) للأنظمة الحيوية، مما يتيح الوصول المصرح به عندما تكون آليات الوصول ذي الامتيازات العادية غير متاحة.

3.4.2

يجب تخزين بيانات اعتماد الوصول الطارئ بشكل آمن (مثل: مظروف مختوم في خزنة أو خزينة كلمات مرور مشفرة) مع اشتراط تصريح شخصين للوصول.

3.4.3

يجب تسجيل جميع حالات استخدام الوصول الطارئ ومراجعتها خلال [CUSTOMIZE: 24/48] ساعة من قبل [CUSTOMIZE: CISO/IT Director] وتوثيقها مع المبرر.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية