سياسة إدارة تغييرات الشبكة

Control 12

الإجراءات الوقائية المعنية: 12.1 12.3 12.4

1. الغرض

وضع متطلبات لإدارة التغييرات على البنية التحتية لشبكة [ORGANIZATION] للحفاظ على الاستقرار والأمان والامتثال.

2. النطاق

تنطبق هذه السياسة على جميع التغييرات على البنية التحتية للشبكة بما في ذلك الموجهات والمحولات والجدران النارية وموازنات الحمل ونقاط الوصول اللاسلكية ومركزات VPN وتكوينات الشبكة السحابية.

3. السياسة

3.1 عملية التغيير

3.1.1

يجب أن تتبع جميع تغييرات الشبكة عملية إدارة التغيير الخاصة بـ [ORGANIZATION]، بما في ذلك: طلب تغيير موثق مع المبرر التجاري وتقييم الأثر وخطة التراجع والموافقة من [CUSTOMIZE: Network Security Team/Change Advisory Board] ونافذة تنفيذ مجدولة والتحقق بعد التغيير.

3.1.2

تتطلب التغييرات الطارئة التي تتجاوز العملية القياسية موافقة شفهية من [CUSTOMIZE: CISO/IT Director] ويجب توثيقها خلال [CUSTOMIZE: 24/48] ساعة بعد التنفيذ.

3.1.3

يجب التحكم في إصدارات تكوينات أجهزة الشبكة، مع القدرة على مقارنة التكوينات الحالية بخطوط الأساس المعتمدة.

3.2 معايير التكوين

3.2.1

يجب تكوين أجهزة الشبكة وفقاً لمعايير خط الأساس الآمن لـ [ORGANIZATION] (بناءً على معايير CIS أو أدلة تقوية المورّدين).

3.2.2

يجب تعطيل المنافذ والبروتوكولات والخدمات غير المستخدمة على جميع أجهزة الشبكة.

3.2.3

يجب أن تستخدم سلاسل مجتمع SNMP، إذا تم استخدامها، الإصدار SNMPv3 مع المصادقة والتشفير. يُحظر SNMPv1 وSNMPv2c.

3.2.4

يجب إجراء إدارة أجهزة الشبكة حصرياً من خلال بروتوكولات مشفرة (SSH وHTTPS). يُحظر Telnet وHTTP.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية