سياسة إدارة الثغرات الأمنية

Control 7

الإجراءات الوقائية المعنية: 7.1 7.2 7.3 7.4 7.5 7.6 7.7

1. الغرض

وضع نهج منظم لتحديد وتقييم ومعالجة والإبلاغ عن الثغرات الأمنية عبر أصول المؤسسة وبرمجيات [ORGANIZATION].

2. النطاق

تنطبق هذه السياسة على جميع أصول المؤسسة وأنظمة التشغيل والتطبيقات وأجهزة الشبكة والخدمات ضمن بيئة [ORGANIZATION]، بما في ذلك الموارد المستضافة سحابياً.

3. السياسة

3.1 فحص الثغرات الأمنية

3.1.1

يجب على [ORGANIZATION] إجراء فحص آلي للثغرات الأمنية على جميع أصول المؤسسة بتكرار لا يقل عن [CUSTOMIZE: monthly/weekly] باستخدام فحوصات مصادق عليها حيثما كان ذلك ممكناً تقنياً.

3.1.2

يجب فحص الأصول المواجهة للخارج على الأقل [CUSTOMIZE: weekly/monthly] من منظور خارجي بالإضافة إلى الفحوصات الداخلية.

3.1.3

يجب الحفاظ على أدوات فحص الثغرات الأمنية محدثة بأحدث توقيعات الثغرات وقدرات الكشف.

3.1.4

يجب جمع نتائج الفحص مركزياً وربطها وتحليلها خلال [CUSTOMIZE: 48 hours/1 week] من إتمام الفحص.

3.2 اتفاقيات مستوى الخدمة لمعالجة الثغرات

3.2.1

يجب معالجة الثغرات الأمنية المحددة وفقاً لاتفاقيات مستوى الخدمة التالية بناءً على الخطورة:

الخطورة (CVSS)	اتفاقية مستوى خدمة المعالجة	التصعيد عند التأخر
حرجة (9.0-10.0)	[CUSTOMIZE: 7/14] يوماً تقويمياً	تصعيد فوري إلى CISO
عالية (7.0-8.9)	[CUSTOMIZE: 30] يوماً تقويمياً	تصعيد إلى مدير أمن تقنية المعلومات
متوسطة (4.0-6.9)	[CUSTOMIZE: 60/90] يوماً تقويمياً	تُدرج في المراجعة ربع السنوية
منخفضة (0.1-3.9)	[CUSTOMIZE: 90/180] يوماً تقويمياً أو نافذة الصيانة التالية	مراجعة سنوية

3.3 عملية استثناء الثغرات الأمنية

3.3.1

عندما لا يمكن معالجة ثغرة أمنية ضمن اتفاقية مستوى الخدمة المحددة، يجب تقديم استثناء موثق إلى [CUSTOMIZE: CISO/Security Team] يتضمن: تفاصيل الثغرة والأنظمة المتأثرة وسبب عدم جدوى المعالجة والضوابط التعويضية المطبقة ومبرر قبول المخاطر وتاريخ المراجعة المقترح.

3.3.2

يجب مراجعة استثناءات الثغرات الأمنية على الأقل [CUSTOMIZE: quarterly] وإعادة التحقق منها أو إنهائها.

3.3.3

يجب التحقق من فعالية الضوابط التعويضية للثغرات المستثناة من خلال الاختبار.

3.4 استخبارات التهديدات

3.4.1

يجب على [ORGANIZATION] الاشتراك في ومراقبة مصادر استخبارات التهديدات ذات الصلة بما في ذلك: إرشادات أمان المورّدين وتنبيهات US-CERT/CISA ومراكز تبادل المعلومات الخاصة بالصناعة وقواعد بيانات CVE.

3.4.2

يجب تقييم استخبارات التهديدات الحرجة المؤثرة على مجموعة التقنيات الخاصة بـ [ORGANIZATION] خلال [CUSTOMIZE: 24/48] ساعة من استلامها.

3.4.3

يجب أن تأخذ أولوية الثغرات في الاعتبار ليس فقط درجات CVSS ولكن أيضاً: قابلية الاستغلال في الواقع ومدى صلتها ببيئة [ORGANIZATION] وأهمية الأصول.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية