سياسة التوعية والتدريب الأمني

Control 14

الإجراءات الوقائية المعنية: 14.1 14.2 14.3 14.4 14.5 14.6 14.7 14.8 14.9

1. الغرض

وضع متطلبات للتوعية الأمنية والتدريب على المهارات لتقليل مخاطر الأمن السيبراني الناتجة عن السلوك البشري في [ORGANIZATION].

2. النطاق

تنطبق هذه السياسة على جميع الموظفين والمتعاقدين وموظفي الأطراف الثالثة الذين يصلون إلى أنظمة المعلومات الخاصة بـ [ORGANIZATION] أو يتعاملون مع بيانات [ORGANIZATION].

3. السياسة

3.1 برنامج التوعية الأمنية

3.1.1

يجب على [ORGANIZATION] الحفاظ على برنامج توعية أمنية يتم مراجعته وتحديثه على الأقل [CUSTOMIZE: annually].

3.1.2

يجب على جميع الموظفين والمتعاقدين الجدد إكمال تدريب التوعية الأمنية خلال [CUSTOMIZE: 30] يوماً من تاريخ البدء، قبل الحصول على الوصول إلى أنظمة المعلومات.

3.1.3

يجب على جميع الموظفين إكمال تدريب التوعية الأمنية السنوي التجديدي. يجب تتبع إكمال التدريب والإبلاغ عنه إلى [CUSTOMIZE: management/HR].

3.1.4

يجب أن يغطي محتوى التوعية الأمنية كحد أدنى: التعرف على التصيد الاحتيالي والهندسة الاجتماعية وأمان كلمات المرور واستخدام MFA ومتطلبات التعامل مع البيانات وتصنيفها وإجراءات الإبلاغ عن الحوادث ومتطلبات سياسة الاستخدام المقبول والتوعية بالأمن المادي وممارسات أمان العمل عن بُعد.

3.2 محاكاة التصيد الاحتيالي

3.2.1

يجب إجراء حملات محاكاة التصيد الاحتيالي على الأقل [CUSTOMIZE: quarterly/monthly] لاختبار وتعزيز وعي المستخدمين.

3.2.2

يجب أن يتلقى المستخدمون الذين يفشلون في محاكاة التصيد تدريباً إضافياً مستهدفاً خلال [CUSTOMIZE: 5/10] أيام عمل.

3.2.3

يجب إحالة المستخدمين الذين يفشلون بشكل متكرر في محاكاة التصيد ([CUSTOMIZE: 3+] فشل خلال فترة [CUSTOMIZE: 12-month]) إلى مديرهم للإرشاد والتدريب الإضافي.

3.2.4

يجب تتبع نتائج محاكاة التصيد والإبلاغ عنها إلى [CUSTOMIZE: CISO/executive leadership] ربع سنوياً على الأقل.

3.3 التدريب المستند إلى الدور

3.3.1

يجب أن يتلقى الموظفون في الأدوار ذات المسؤوليات الأمنية المرتفعة تدريباً إضافياً خاصاً بالدور:

3.3.2

مسؤولو تقنية المعلومات: إدارة الأنظمة الآمنة وإجراءات الاستجابة للحوادث وإدارة التكوين الآمن.

3.3.3

المطورون: ممارسات البرمجة الآمنة وقائمة OWASP العشر الأولى ومراجعة الشفرة الأمنية ودورة حياة تطوير البرمجيات الآمنة.

3.3.4

المدراء التنفيذيون: التهديدات المستهدفة للمدراء التنفيذيين واختراق البريد الإلكتروني للأعمال واتخاذ قرارات الاستجابة للحوادث.

3.3.5

فريق الأمن: الكشف المتقدم عن التهديدات والتحقيق الجنائي والبحث عن التهديدات ومعالجة الحوادث.

3.3.6

يجب إكمال التدريب المستند إلى الدور خلال [CUSTOMIZE: 60/90] يوماً من تولي الدور وتجديده سنوياً على الأقل.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية