سياسة أمن البريد الإلكتروني

Control 9

الإجراءات الوقائية المعنية: 9.1 9.2 9.3 9.4 9.5 9.6 9.7

1. الغرض

وضع متطلبات لتأمين أنظمة البريد الإلكتروني الخاصة بـ [ORGANIZATION] ضد التصيد الاحتيالي والبرمجيات الخبيثة وفقدان البيانات والتهديدات الأخرى المنقولة عبر البريد الإلكتروني.

2. النطاق

تنطبق هذه السياسة على جميع أنظمة وبوابات وخدمات البريد الإلكتروني المستخدمة من قبل [ORGANIZATION]، بما في ذلك البريد الإلكتروني المستضاف سحابياً (Microsoft 365، Google Workspace) والبنية التحتية للبريد الإلكتروني المحلية.

3. السياسة

3.1 مصادقة البريد الإلكتروني

3.1.1

يجب على [ORGANIZATION] تطبيق معايير مصادقة البريد الإلكتروني على جميع نطاقات البريد الإلكتروني: SPF (إطار سياسة المرسل) مع سياسة -all (الرفض القاطع)، وDKIM (البريد المحدد بمفاتيح النطاق) لجميع الرسائل الصادرة، وDMARC (مصادقة الرسائل المستندة إلى النطاق والإبلاغ والتوافق) مع سياسة الحجر أو الرفض.

3.1.2

يجب مراقبة تقارير DMARC المجمّعة والجنائية على الأقل [CUSTOMIZE: weekly/monthly] لتحديد الاستخدام غير المصرح به لنطاقات البريد الإلكتروني الخاصة بـ [ORGANIZATION].

3.1.3

يجب تضمين الخدمات الخارجية المصرح لها بإرسال البريد الإلكتروني نيابة عن [ORGANIZATION] في سجلات SPF وتكوينها لتوقيع DKIM.

3.2 تصفية وحماية البريد الإلكتروني

3.2.1

يجب تصفية جميع البريد الإلكتروني الوارد من خلال بوابة أمان البريد الإلكتروني الخاصة بـ [ORGANIZATION]، والتي يجب أن توفر: تصفية البريد العشوائي وفحص البرمجيات الخبيثة (بما في ذلك تفجير المرفقات في بيئة معزولة) وإعادة كتابة عناوين URL والحماية عند النقر واكتشاف انتحال الهوية وتصفية المرفقات.

3.2.2

يجب حظر أنواع الملفات التنفيذية (.exe و.bat و.cmd و.ps1 و.vbs و.js و.msi وما شابهها) كمرفقات بريد إلكتروني.

3.2.3

يجب فحص البريد الإلكتروني الذي يحتوي على أنماط بيانات حساسة (أرقام الضمان الاجتماعي وأرقام بطاقات الائتمان وما إلى ذلك) بضوابط DLP قبل التسليم أو الإرسال.

3.3 متطلبات استخدام البريد الإلكتروني

3.3.1

يُحظر على المستخدمين إعادة التوجيه التلقائي لبريد [ORGANIZATION] الإلكتروني إلى عناوين بريد إلكتروني خارجية دون موافقة من [CUSTOMIZE: management/IT Security].

3.3.2

يجب على المستخدمين الإبلاغ عن رسائل التصيد الاحتيالي المشتبه بها إلى [CUSTOMIZE: security team/phish reporting button] فوراً عند اكتشافها.

3.3.3

يجب استخدام تشفير البريد الإلكتروني عند إرسال بيانات سرية أو مقيدة خارجياً.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية