الملحق أ: قائمة المصطلحات
| الرقم: NA | التاريخ (م): 2022/1/1 | التاريخ (هـ): 1443/5/28 | الحالة: نافذ |
Effective from Jan 01 2022 - Dec 31 2021
To view other versions open the versions tab on the right
المدة | الوصف |
إدارة الوصول | إدارة الوصول تُعرف على أنها عملية منح المستخدمين المصرح لهم الحق في استخدام الخدمة، مع منع الوصول من جانب المستخدمين غير المصرح لهم. |
التدقيق | المراجعة والفحص المستقل للسجلات والأنشطة لتقييم مدى كفاية ضوابط النظام، لضمان الامتثال للسياسات والإجراءات التشغيلية المعمول بها. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية |
التوفر | ضمان الوصول إلى المعلومات واستخدامها في الوقت المناسب وبشكل موثوق. المصدر: NISTIR 7298r3 قائمةمصطلحات أمن المعلومات الأساسية |
النسخة الاحتياطية | الملفات والأجهزة والبيانات والإجراءات المتاحة للاستخدام في حالة الفشل أو الفقدان، أو في حالة حذف أو تعليق نسخها الأصلية. |
استمرارية الأعمال | قدرة المؤسسة على مواصلة تقديم خدمات تقنية المعلومات والأعمال بمستويات مقبولة محددة مسبقًا بعد وقوع حادث تخريبي. المصدر: ISO 22301:2012 الأمن المجتمعي - أنظمة إدارة استمرارية الأعمال |
إدارة استمرارية الأعمال | عملية الإدارة الشاملة التي تحدد التهديدات المحتملة للمؤسسة والتأثيرات التي قد تسببها تلك التهديدات على العمليات التجارية، في حال تحققها، والتي توفر المتطلبات الأساسية لبناء الصمود المؤسسي مع القدرة على الاستجابة الفعالة التي تحمي مصالح أصحاب المصلحة الرئيسيين وسمعتها وعلامتها التجارية وأنشطتها التي تخلق القيمة. المصدر: ISO 22301:2012 – أنظمة إدارة استمرارية الأعمال – المتطلبات |
إدارة التغيير | التحديد والتنفيذ المحكم للتغييرات المطلوبة داخل الأعمال أو نظم المعلومات. |
التشفير | مجال يشتمل على مبادئ ووسائل وأساليب تحويل البيانات من أجل إخفاء محتواها الدلالي أو منع الاستخدام غير المصرح به أو اكتشاف التعديل عليها. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية |
المخاطر السيبرانية | خطر الخسارة المالية أو التعطل التشغيلي أو الضرر الناتج عن فشل التقنيات الرقمية المستخدمة للوظائف المعلوماتية و/أو التشغيلية والتي يتم إدخالها إلى نظام التصنيع عبر وسائل إلكترونية نتيجة الوصول غير المصرح به أو الاستخدام أو الإفصاح أو التعطيل أو التعديل أو التدمير لنظام التصنيع. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية. |
الأمن السيبراني | يُعرّف الأمن السيبراني بأنه مجموعة من الأدوات والسياسات والمفاهيم الأمنية والضمانات الأمنية والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات والتدريب والممارسات الفضلى والضمانات والتقنيات التي يمكن استخدامها لحماية أصول معلومات المؤسسات من التهديدات الداخلية والخارجية. |
حدث الأمن السيبراني | أي حدث يمكن ملاحظته في نظام أو شبكة معلومات يؤدي أو قد يؤدي إلى وصول غير مصرح به أو معالجة أو إفساد أو تعديل أو نقل أو إفشاء للبيانات و/أو المعلومات أو (ب) انتهاك لسياسة أمنية صريحة أو مطبقة للمنظمة. |
حوكمة الأمن السيبراني | مجموعة من المسؤوليات والممارسات التي يمارسها مجلس الإدارة بهدف توفير التوجيه الاستراتيجي للأمن السيبراني، وضمان تحقيق أهداف الأمن السيبراني، والتأكد من إدارة المخاطر السيبرانية بشكل مناسب والتحقق من استخدام موارد المؤسسة بشكل مسؤول. |
حادث الأمن السيبراني | أي حدث (1) يعرض للخطر الفعلي أو الوشيك سلامة أو سرية أو توافر المعلومات أو نظام المعلومات للخطر دون سلطة قانونية؛ أو (2) يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك القانون أو السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية |
إدارة حوادث الأمن السيبراني | رصد واكتشاف الأحداث الأمنية على نظام المعلومات وتنفيذ الاستجابات المناسبة لتلك الأحداث. |
سياسة الأمن السيبراني | مجموعة من القواعد التي تحكم جميع جوانب سلوك النظام وعناصر النظام ذات الصلة بالأمان. ملاحظة 1: تشمل عناصر النظام العناصر التقنية والآلية والبشرية. ملاحظة 2: يمكن ذكر القواعد على مستويات عالية جدًا (على سبيل المثال، سياسة مؤسسية تحدد السلوك المقبول للموظفين في أداء مهامهم/وظائف العمل) أو على مستويات منخفضة جدًا (على سبيل المثال، سياسة نظام التشغيل التي تحدد السلوك المقبول للعمليات التنفيذية واستخدام الموارد من قبل تلك العمليات) المصدر: NISTIR 7298r3 قائمةمصطلحات أمن المعلومات الأساسية |
تقييم مخاطر الأمن السيبراني | عملية تحديد المخاطر التي تتعرض لها العمليات المؤسسية (بما في ذلك المهمة والوظائف والصورة والسمعة) والأصول المؤسسية والأفراد والمؤسسات الأخرى والأمة، الناتجة عن تشغيل نظام المعلومات. ويتضمن جزء من إدارة المخاطر تحليلات للتهديدات والثغرات الأمنية، ويأخذ في الاعتبار وسائل التخفيف التي توفرها الضوابط الأمنية المخطط لها أو الموجودة بالفعل المصدر: NISTIR 7298r3 قائمةمصطلحات أمن المعلومات الأساسية |
إدارة مخاطر الأمن السيبراني | عملية إدارة المخاطر التي تتعرض لها العمليات المؤسسية (بما في ذلك المهمة أو الوظائف أو الصورة أو السمعة) أو الأصول المؤسسية أو الأفراد الناتجة عن تشغيل نظام المعلومات، وتشمل: (1) إجراء تقييم المخاطر؛ (2) تطبيق استراتيجية تخفيف المخاطر؛ و (3) استخدام التقنيات والإجراءات للمراقبة المستمرة للحالة الأمنية لنظام المعلومات. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية |
استراتيجية الأمن السيبراني | خطة رفيعة المستوى، تتألف من مشاريع ومبادرات للتخفيف من مخاطر الأمن السيبراني مع الامتثال للمتطلبات القانونية والتشريعية والتعاقدية والداخلية المقررة. |
تهديد الأمن السيبراني | أي ظرف أو حدث يحتمل أن يؤثر سلبًا على العمليات المؤسسية (بما في ذلك المهمة أو الوظائف أو الصورة أو السمعة) أو الأصول المؤسسية أو الأفراد أو المؤسسات الأخرى أو الأمة من خلال نظام معلومات عن طريق الوصول غير المصرح به للمعلومات أو تدميرها أو الكشف عنها أو تعديلها و/أو الحرمان من الخدمة. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية |
خطة التعافي من الكوارث | البرامج والأنشطة والخطط المصممة لاستعادة وظائف وخدمات الأعمال الحيوية للمؤسسات إلى وضع مقبول، بعد التعرض للحوادث السيبرانية وحوادث تقنية المعلومات أو تعطل هذه الخدمات. |
رئيس الأمن السيبراني | يمكن أن يشير رئيس الأمن السيبراني إلى رئيس أمن المعلومات أو الرئيس التنفيذي لأمن المعلومات أو أي لقب آخر يُطلق على المدير الأعلى المسؤول عن وظيفة وعمليات الأمن السيبراني. |
خطة بديلة | إجراءات وتدابير العمل، التي يتم اتخاذها عندما تؤدي الأحداث إلى تنفيذ خطة استمرارية الأعمال أو خطة الطوارئ. |
موثقة رسميا | الوثائق التي يتم كتابتها والموافقة عليها من قبل القيادة العليا ونشرها على الأطراف المعنية. |
إدارة الهوية | عملية التحكم في المعلومات المتعلقة بالمستخدمين على أجهزة الكمبيوتر، بما في ذلك كيفية مصادقتهم والأنظمة المصرح لهم بالوصول إليها و/أو الإجراءات المصرح لهم بتنفيذها. كما تتضمن أيضًا إدارة المعلومات الوصفية عن المستخدم وكيفية الوصول إلى تلك المعلومات وتعديلها ومن قبل الذين يمكنهم الوصول إليها وتعديلها. وتتضمن المؤسسات المدارة عادةً المستخدمين وموارد الأجهزة والشبكة وحتى التطبيقات. |
خطة التعافي من الكوارث | يعد التعافي من الكوارث جزءًا من إدارة استمرارية الأعمال التي تشمل السياسات والمعايير والإجراءات والعمليات المتعلقة بصمود أو تعافي أو استمرار البنية التحتية التقنية التي تدعم عمليات الأعمال الحيوية. |
تغيير كبير | أي تغيير في تكوين النظام أو البيئة أو محتوى المعلومات أو الوظيفة أو المستخدمين الذين لديه القدرة على تغيير المخاطر المفروضة على عملياته المستمرة. المصدر: NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الأساسية يتم أيضًا تضمين التغييرات الحيوية في مفهوم التغييرات الكبيرة. |
البرمجيات الخبيثة | البرمجيات أو البرامج الثابتة التي تهدف إلى تنفيذ عملية غير مصرح بها من شأنها أن تؤثر سلباً على سرية نظام المعلومات أو سلامته أو توافره. فيروس أو فيروس متنقل أو حصان طروادة أو أي كيان آخر قائم على التعليمات البرمجية يصيب المضيف. تعد برامج التجسس وبعض أشكال برامج الإعلانات المتسللة أيضًا أمثلة على التعليمات البرمجية الضارة. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية |
اختبار الاختراق | منهجية اختبار يحاول فيها المقيّمون، باستخدام جميع الوثائق المتاحة (على سبيل المثال، تصميم النظام، التعليمات البرمجية المصدرية، الكتيبات الإرشادية) والعمل تحت قيود محددة، التحايل على ميزات الأمان في نظام المعلومات. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية |
دوريا | بهذا المصطلح، لا ينوي البنك المركزي تحديد فترة زمنية افتراضية. وتتحمل كل جهة مسؤولية تحديد هذه الفترة بناءً على نهجها القائم على المخاطر. ويمكن ترجمة نفس المصطلح المعتمد في متطلبات التحكم المختلفة إلى فترات زمنية مختلفة بواسطة المؤسسة المالية. |
التعافي | إجراء أو عملية لاستعادة أو التحكم في شيء تم تعليقه أو تلفه أو سرقته أو فقده. |
الصمود | القدرة على الاستمرار في: (1) العمل في ظل ظروف أو ضغوط معاكسة، حتى وإن كان الوضع متردي ومتدهور، مع الحفاظ على القدرات التشغيلية الأساسية؛ و (2) التعافي إلى وضع تشغيلي فعال في إطار زمني يتفق مع احتياجات المهمة. |
المخاطرة | مقياس لمدى تعرض المؤسسة للتهديد بسبب ظرف أو حدث محتمل، وعادة ما تنتج عن: (1) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (2) احتمالية الحدوث. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية |
سجل المخاطر | سجل المخاطر جدول يُستخدم كمستودع لجميع المخاطر التي تم تحديدها ويتضمن معلومات إضافية حول كل خطر، مثل فئة المخاطر، ومالك المخاطر، وإجراءات التخفيف المتخذة. |
تقنية التدريع | التدريع" عملية تشويش على التعليمات البرمجية الثنائية للتطبيق، مما يجعل من الصعب على المخترقين أن يقوموا بهندسة عكسية. |
إستراتيجية | راجع "استراتيجية الأمن السيبراني". |
إدارة المعلومات الأمنية والأحداث | أداة إدارة المعلومات الأمنية والأحداث تطبيق يوفر القدرة على جمع بيانات الأمان من مكونات نظام المعلومات وتقديم تلك البيانات كمعلومات قابلة للتنفيذ عبر واجهة واحدة. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية |
دورة حياة تطوير النظام | تصف دورة حياة تطوير النظام نطاق الأنشطة المرتبطة بالنظام، والتي تشمل بدء النظام وتطويره واقتناءه وتنفيذه وتشغيله وصيانته، وفي النهاية التخلص منه مما يؤدي إلى بدء نظام آخر. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية |
تهديد | راجع "تهديد الأمن السيبراني". |
مشهد التهديد | مجموعة من التهديدات في مجال أو سياق معيّن، مع معلومات حول الأصول المعرضة للخطر والتهديدات والمخاطر وجهات التهديد والاتجاهات المرصودة. المصدر: ENISA |
الثغرة الأمنية | نقطة الضعف في نظام المعلومات أو إجراءات أمن النظام أو الضوابط الداخلية أو التنفيذ التي يمكن استغلالها أو تشغيلها من قبل مصدر تهديد. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية |
إدارة الثغرات الأمنية | إدارة الثغرات الأمنية ممارسة دورية لتحديد الثغرات الأمنية وتصنيفها ومعالجتها والتخفيف من آثارها. راجع أيضًا "الثغرات الأمنية". |