سياسة التحكم في الوصول إلى الشبكة

Control 13

الإجراءات الوقائية المعنية: 13.1 13.2 13.4 13.7 13.8 13.9

1. الغرض

وضع متطلبات للتحكم في الوصول إلى موارد شبكة [ORGANIZATION] ومراقبته لمنع الوصول غير المصرح به والحركة الجانبية.

2. النطاق

تنطبق هذه السياسة على جميع طرق الوصول إلى الشبكة بما في ذلك الوصول السلكي واللاسلكي وVPN والوصول عن بُعد إلى البنية التحتية لشبكة [ORGANIZATION].

3. السياسة

3.1 مصادقة الوصول إلى الشبكة

3.1.1

يجب مصادقة جميع عمليات الوصول إلى الشبكة. يُسمح بالوصول غير المصادق فقط لشبكات الضيوف المخصصة المعزولة تماماً عن الموارد الداخلية.

3.1.2

يجب تطبيق التحكم في الوصول إلى الشبكة المستند إلى المنافذ (802.1X) على جميع نقاط الوصول السلكية واللاسلكية حيثما كان ذلك ممكناً تقنياً.

3.1.3

يجب أن تتكامل مصادقة الشبكة مع نظام إدارة الهوية المركزي لـ [ORGANIZATION].

3.1.4

يجب أن تكون شهادات الأجهزة أو التحقق من الامتثال المستند إلى الوكيل مطلوبة للوصول الكامل إلى شرائح الشبكة الداخلية.

3.2 الوصول عن بُعد

3.2.1

يجب أن يكون الوصول عن بُعد إلى شبكة [ORGANIZATION] فقط من خلال حلول VPN المعتمدة أو حلول الوصول إلى الشبكة القائمة على مبدأ عدم الثقة مع: مصادقة متعددة العوامل وتعطيل النفق المقسم (أو مع ضوابط أمنية كافية على تكوينات النفق المقسم) والتحقق من امتثال نقطة النهاية وانتهاء الجلسة بعد [CUSTOMIZE: 8/12/24] ساعة من عدم النشاط.

3.2.2

يجب أن يستخدم الوصول عن بُعد للأطراف الثالثة اتصالات مخصصة ومحدودة الوقت ومراقبة ومسجلة.

3.2.3

يجب إنهاء اتصالات الوصول عن بُعد فوراً عند انفصال الموظف.

3.3 إنفاذ تقسيم الشبكة

3.3.1

يجب أن يتبع الوصول بين شرائح الشبكة مبدأ الحد الأدنى من الصلاحيات، مع السماح فقط بتدفقات الاتصال المطلوبة.

3.3.2

يجب تطبيق التقسيم الدقيق أو الشبكات المعرفة برمجياً للأصول ومخازن البيانات الحيوية حيثما كان ذلك ممكناً تقنياً.

3.3.3

يجب مراجعة سياسات الوصول إلى شرائح الشبكة على الأقل [CUSTOMIZE: quarterly/bi-annually].

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية