سياسة إدارة التصحيحات

Control 7

الإجراءات الوقائية المعنية: 7.3 7.4

1. الغرض

وضع متطلبات وإجراءات للتطبيق الفوري للتصحيحات والتحديثات الأمنية على أصول المؤسسة وبرمجيات [ORGANIZATION] لتقليل التعرض للثغرات الأمنية.

2. النطاق

تنطبق هذه السياسة على جميع أصول المؤسسة بما في ذلك أنظمة التشغيل والتطبيقات والبرامج الثابتة وأجهزة الشبكة والبرمجيات الوسيطة ضمن بيئة [ORGANIZATION].

3. السياسة

3.1 اتفاقيات مستوى الخدمة لنشر التصحيحات

3.1.1

يجب نشر التصحيحات الأمنية وفقاً لاتفاقيات مستوى الخدمة التالية:

خطورة التصحيح	نافذة الاختبار	اتفاقية مستوى خدمة النشر	هدف التغطية
طارئ/ثغرة يوم الصفر (مُستغلة بشكل نشط)	[CUSTOMIZE: 24-48 hours]	[CUSTOMIZE: 48-72 hours]	100% من الأصول الحيوية المتأثرة
حرج (CVSS >= 9.0)	[CUSTOMIZE: 3-5 days]	[CUSTOMIZE: 7-14 days]	100% من الأصول المتأثرة
عالي (CVSS 7.0-8.9)	[CUSTOMIZE: 5-7 days]	[CUSTOMIZE: 30 days]	95% من الأصول المتأثرة
متوسط/منخفض	[CUSTOMIZE: Standard testing]	[CUSTOMIZE: 60-90 days or next maintenance window]	90% من الأصول المتأثرة

3.2 عملية التصحيح

3.2.1

يجب اختبار جميع التصحيحات في بيئة غير إنتاجية قبل نشرها في بيئة الإنتاج، باستثناء التصحيحات الطارئة حيث يتجاوز خطر عدم التصحيح خطر تأخير الاختبار.

3.2.2

يجب جدولة نشر التصحيحات خلال نوافذ الصيانة المعتمدة حيثما أمكن لتقليل تعطيل الأعمال.

3.2.3

يجب توثيق واختبار إجراءات التراجع لجميع تصحيحات الأنظمة الحيوية قبل النشر.

3.2.4

يجب تتبع حالة نشر التصحيحات والإبلاغ عنها إلى [CUSTOMIZE: CISO/IT Management] على الأقل [CUSTOMIZE: monthly/weekly].

3.3 امتثال التصحيح

3.3.1

يجب قياس مستويات امتثال التصحيح والإبلاغ عنها شهرياً، بهدف الوصول إلى [CUSTOMIZE: 95%/98%] من الامتثال ضمن اتفاقيات مستوى الخدمة المحددة.

3.3.2

يجب أن تحصل الأنظمة التي لا يمكن تصحيحها على استثناءات موثقة مع ضوابط تعويضية معتمدة من [CUSTOMIZE: CISO/IT Director].

3.3.3

يمكن عزل أو فصل الأنظمة غير المصححة التي تتجاوز اتفاقية مستوى الخدمة دون استثناء معتمد من الشبكة وفقاً لتقدير [CUSTOMIZE: CISO/IT Security].

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية