سياسة إدارة أصول البرمجيات

Control 2

الإجراءات الوقائية المعنية: 2.1 2.2 2.3 2.4 2.5 2.6 2.7

1. الغرض

وضع متطلبات للحفاظ على جرد شامل لجميع أصول البرمجيات وضمان تثبيت البرمجيات المصرح بها والمدعومة فقط على أصول المؤسسة الخاصة بـ [ORGANIZATION].

2. النطاق

تنطبق هذه السياسة على جميع البرمجيات المثبتة على أو المستخدمة من قبل الأصول المُدارة من [ORGANIZATION]، بما في ذلك أنظمة التشغيل والتطبيقات وإضافات المتصفح والخدمات السحابية وتطبيقات SaaS والبرامج النصية.

3. السياسة

3.1 متطلبات جرد البرمجيات

3.1.1

يجب على [ORGANIZATION] الحفاظ على جرد تفصيلي لجميع البرمجيات المرخصة والمصرح بها، ويتم تحديثه بتكرار لا يقل عن [CUSTOMIZE: bi-annually/quarterly].

3.1.2

يجب أن يسجل جرد البرمجيات كحد أدنى: عنوان البرنامج والناشر والإصدار وتاريخ التثبيت والغرض التجاري ونوع الترخيص وعدده وآلية النشر والمالك المعيّن.

3.1.3

يجب نشر أدوات جرد البرمجيات الآلية لاكتشاف وتوثيق البرمجيات المثبتة عبر جميع أصول المؤسسة حيثما كان ذلك ممكناً تقنياً.

3.1.4

يجب أن يشمل جرد البرمجيات كلاً من التطبيقات المثبتة محلياً وخدمات السحابة/SaaS المصرح بها.

3.2 تصريح البرمجيات

3.2.1

لا يجوز تثبيت سوى البرمجيات التي تمت مراجعتها والتصريح بها من قبل [CUSTOMIZE: IT Department/Change Advisory Board] على الأصول المُدارة من [ORGANIZATION].

3.2.2

يجب على [ORGANIZATION] الحفاظ على قائمة بيضاء بالبرمجيات المصرح بها. تُعتبر البرمجيات غير المدرجة في القائمة البيضاء غير مصرح بها ما لم يوجد استثناء موثق.

3.2.3

يجب نشر تقنية القائمة البيضاء للتطبيقات على جميع الأصول [CUSTOMIZE: critical/high-risk] لمنع تنفيذ البرمجيات غير المصرح بها.

3.2.4

لبيئات IG2/IG3: يجب تكوين القائمة البيضاء الآلية للتطبيقات لحظر مكتبات البرمجيات والبرامج النصية وأدوات التثبيت غير المصرح بها بالإضافة إلى الملفات التنفيذية.

3.3 دعم البرمجيات وحداثتها

3.3.1

لا يُصرح باستخدام سوى البرمجيات المدعومة حالياً (التي تتلقى تحديثات أمنية من المورّد) على أصول المؤسسة.

3.3.2

تتطلب البرمجيات غير المدعومة الضرورية لعمليات الأعمال استثناءً موثقاً معتمداً من [CUSTOMIZE: CISO/IT Director] يتضمن: المبرر التجاري والضوابط التعويضية وقبول المخاطر وتاريخ المراجعة الذي لا يتجاوز [CUSTOMIZE: 6 months/1 year].

3.3.3

يجب مراجعة حالة دعم البرمجيات شهرياً على الأقل لتحديد البرمجيات التي وصلت إلى نهاية عمرها أو نهاية دعمها.

3.3.4

يجب وضع خطة ترحيل قبل [CUSTOMIZE: 6/12] شهراً على الأقل من وصول أي برنامج حيوي إلى نهاية الدعم.

3.4 الاستجابة للبرمجيات غير المصرح بها

3.4.1

يجب إزالة البرمجيات غير المصرح بها المكتشفة على أصول المؤسسة أو الحصول على استثناء موثق خلال [CUSTOMIZE: 5/10/30] يوم عمل من الاكتشاف.

3.4.2

يجب تصعيد حالات تثبيت البرمجيات غير المصرح بها المتكررة من نفس المستخدم إلى [CUSTOMIZE: management/HR] للمراجعة التأديبية.

3.4.3

يجب إجراء مراجعات شهرية لتحديد البرمجيات غير المصرح بها على أصول المؤسسة.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية