3.1 قيادة وحوكمة الأمن السيبراني
| الرقم: NA | التاريخ (م): 2022/1/1 | التاريخ (هـ): 1443/5/28 | الحالة: نافذ |
Effective from Jan 01 2022 - Dec 31 2021
To view other versions open the versions tab on the right
| معرّف التحكم | وصف متطلبات التحكم | ||
| 3.1.1. | يجب على الكيانات وضع هيكلاً قويًا لحوكمة الأمن السيبراني مدعومًا بالموارد المناسبة للإشراف على النهج العام للأمن السيبراني والتحكم فيه. | ||
| 3.1.2. | يجب على الكيانات تحديد سياسات وإجراءات الأمن السيبراني واعتمادها وتنفيذها والإبلاغ بها مدعومة بمعايير أمنية مفصلة (مثل معيار كلمة المرور ومعيار جدار الحماية). | ||
| 3.1.3. | يجب على الكيانات مراجعة سياسات وإجراءات ومعايير الأمن السيبراني وتحديثها بشكل دوري مع الأخذ بعين الاعتبار تطور مشهد التهديدات السيبرانية. | ||
| 3.1.4. | يجب على الكيانات أن تدمج متطلبات الأمن السيبراني في نموذج تشغيل أعمالها الجديد و/أو القائم، بما في ذلك على الأقل: | ||
| أ. | تقييم مخاطر الأمن السيبراني والاحتيال الإلكتروني التي يمكن أن تستهدف نموذج تشغيل الأعمال التجارية؛ و | |
| ب. | اعتماد وتقييم تدابير الأمن السيبراني للحماية من الهجمات العدائية (مثل سرقة النماذج والمدخلات الخبيثة وهجمات التسميم). | |
| 3.1.5. | يجب على الكيانات وضع وتنفيذ سياسة قوية لكلمات المرور الخاصة بوصول المستخدمين إلى أصول المعلومات الخاصة بها، مثل: | ||
| أ. | تغيير كلمة المرور عند تسجيل الدخول لأول مرة، والحد الأدنى لطول كلمة المرور وتاريخها وتعقيد كلمة المرور؛ | |
| ب. | إلغاء الوصول بعد ثلاث كلمات مرور غير صحيحة متتالية؛ و | |
| ج. | استخدام تقنيات بدون تخزين مؤقت. | |
3.1.6. | يجب على الكيانات تنفيذ تقييمات شاملة لمخاطر تقنية المعلومات والأمن السيبراني تغطي (البنية التحتية والشبكة والتطبيقات والأنظمة) والضوابط المنفذة لمعالجة المخاطر المحددة. ويجب توثيق المخاطر المحددة في سجل مركزي ومراقبتها ومراجعتها بشكل دوري. | ||
راجع إطار (أطر) عمل ساما الأخرى | |||