سياسة الاستجابة للحوادث
1. الغرض
تأسيس قدرة [ORGANIZATION] على الاستعداد لحوادث الأمن السيبراني واكتشافها واحتوائها واستئصالها والتعافي منها بطريقة منظمة وفعالة.
2. النطاق
تنطبق هذه السياسة على جميع حوادث الأمن السيبراني المؤثرة على أنظمة المعلومات والبيانات والعمليات الخاصة بـ [ORGANIZATION]، بغض النظر عما إذا كانت من أصل داخلي أو خارجي.
3. السياسة
3.1 فريق الاستجابة للحوادث
يجب على [ORGANIZATION] إنشاء والحفاظ على فريق استجابة لحوادث أمن الحاسوب (CSIRT) بأدوار ومسؤوليات محددة بما في ذلك: قائد الحادث (التنسيق العام) والقائد التقني (التحليل الفني والمعالجة) وقائد الاتصالات (الاتصالات الداخلية والخارجية) ومسؤول الارتباط القانوني (التنسيق التنظيمي والقانوني) والراعي التنفيذي (سلطة القرار للحوادث الكبرى).
يجب أن يتلقى أعضاء CSIRT تدريباً على الاستجابة للحوادث على الأقل [CUSTOMIZE: annually] ويشاركوا في تمارين المحاكاة على الطاولة على الأقل [CUSTOMIZE: bi-annually/annually].
يجب الحفاظ على معلومات الاتصال للاستجابة للحوادث على مدار الساعة طوال أيام الأسبوع وإبلاغها لجميع الموظفين.
3.2 تصنيف الحوادث
يجب تصنيف الحوادث الأمنية حسب الخطورة:
| الخطورة | الوصف | وقت الاستجابة | التصعيد |
|---|---|---|---|
| حرج (P1) | خرق بيانات نشط أو برامج فدية أو اختراق نظام حيوي أو هجوم مستمر | [CUSTOMIZE: 15 minutes] | إخطار تنفيذي فوري |
| عالي (P2) | برمجيات خبيثة مؤكدة أو وصول غير مصرح به إلى بيانات حساسة أو استغلال كبير للثغرات | [CUSTOMIZE: 1 hour] | إخطار CISO خلال ساعتين |
| متوسط (P3) | نشاط مشبوه أو انتهاكات سياسة أو برمجيات خبيثة محتواة | [CUSTOMIZE: 4 hours] | إخطار مدير الأمن |
| منخفض (P4) | استفسارات أمنية أو انتهاكات سياسة طفيفة أو فرز النتائج الإيجابية الكاذبة | [CUSTOMIZE: 1 business day] | سير العمل القياسي |
3.3 عملية الاستجابة للحوادث
يجب أن تتبع عملية الاستجابة للحوادث في [ORGANIZATION] المراحل التالية: الاستعداد (الحفاظ على الجاهزية والأدوات) والكشف والتحليل (تحديد الحوادث والتحقق منها) والاحتواء (الحد من النطاق والتأثير) والاستئصال (إزالة التهديد) والتعافي (استعادة العمليات الطبيعية) ونشاط ما بعد الحادث (الدروس المستفادة وتحسين العمليات).
يجب توثيق جميع الحوادث في نظام تتبع الحوادث الخاص بـ [ORGANIZATION] من الاكتشاف حتى الإغلاق.
يجب جمع الأدلة والحفاظ عليها وفقاً لإجراءات سليمة جنائياً لجميع حوادث P1 وP2.
يجب إجراء مراجعات ما بعد الحادث خلال [CUSTOMIZE: 5/10] أيام عمل من إغلاق الحادث لجميع حوادث P1 وP2.
3.4 التزامات الإبلاغ
يجب على جميع الموظفين الإبلاغ عن الحوادث الأمنية المشتبه بها إلى [CUSTOMIZE: IT Security/SOC/Help Desk] فوراً عند الاكتشاف.
يجب تنسيق إشعارات الخرق التنظيمية من قبل [CUSTOMIZE: Legal/Privacy Officer] ضمن الأطر الزمنية المطلوبة بموجب القانون المعمول به (مثل: GDPR 72 ساعة وقوانين إخطار الخرق المحلية).
يجب إخطار الأفراد المتضررين كما يقتضي القانون، مع مراجعة محتوى الإخطار من قبل الشؤون القانونية.
4. الامتثال
الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.
يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.
5. الإنفاذ
قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.
تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.
6. المراجعة والتنقيح
تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.
يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.
اعتماد السياسة
اعتمد من قبل
المسمى الوظيفي
التاريخ
التحكم في المستند