3.3.5 إدارة الهوية والوصول
| الرقم: 381000091275 | التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28 |
Effective from May 24 2017 - May 23 2017
To view other versions open the versions tab on the right
المبدأ
يجب على المؤسسة العضو تقييد الوصول إلى أصول المعلومات الخاصة بها بما يتماشى مع متطلبات أعمالها بناءً على مبدأيّ الحاجة إلى الحصول على المعلومات أو الحاجة إلى المعرفة.
الهدف
التأكد من أن المؤسسة العضو لا تمنح امتيازات الوصول المصرح به والكافي إلا للمستخدمين المعتمدين.
اعتبارات التحكم
| 1. | يجب تحديد سياسة لإدارة الهوية والوصول، بما في ذلك المسؤوليات والمساءلات، واعتمادها وتنفيذها. | |||||
| 2. | يجب مراقبة الامتثال لسياسة الهوية والوصول. | |||||
| 3. | يجب قياس فعالية ضوابط الأمن السيبراني ضمن سياسة إدارة الهوية والوصول وتقييمها بشكل دوري. | |||||
| 4. | يجب أن تتضمن سياسة إدارة الهوية والوصول ما يلي: | |||||
| أ. | متطلبات العمل للتحكم في الوصول (أي الحاجة إلى الحيازة أو الحاجة إلى المعرفة)؛ | |||||
| ب. | إدارة وصول المستخدمين (على سبيل المثال، الموظفين الجدد، والمنتقلين، المغادرين): | |||||
| 1. | يجب تغطية جميع الأنواع المحددة للمستخدمين (أي: الموظفين الداخليين، والأطراف الخارجية)؛ | |||||
| 2. | يجب على قسم الموارد البشرية إجراء تغييرات في الحالة الوظيفية أو المناصب الوظيفية للموظفين الداخليين (مثل الموظفين الجدد، والمنتقلين، والمغادرين)؛ | |||||
| 3. | يجب على الطرف المسؤول المعين إجراء التغييرات على الموظفين الخارجيين أو الأطراف الخارجية؛ | |||||
| 4. | تُمنح الموافقة رسميًا على طلبات وصول المستخدم وفقًا لمتطلبات العمل والامتثال (أي الحاجة إلى الحيازة أو الحاجة إلى المعرفة لتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود))؛ | |||||
| 5. | تجب معالجة التغييرات في حقوق الوصول في الوقت المناسب؛ | |||||
| 6. | تجب مراجعة حقوق وصول المستخدم وملفاته الشخصية بشكل دوري؛ | |||||
| 7. | يجب إنشاء سجل تدقيق لطلبات وصول المستخدم وطلبات الإلغاء المقدمة والمعتمدة والمعالجة؛ | |||||
| ج. | يجب دعم إدارة وصول المستخدم بالأتمتة؛ | |||||
| د. | مركزية وظيفة إدارة الهوية والوصول؛ | |||||
| هـ. | المصادقة متعددة العوامل للأنظمة والملفات الشخصية الحساسة والمهمة؛ | |||||
| و. | إدارة الوصول المميز والوصول عن بعد، والتي يجب أن تتناول ما يلي: | |||||
| 1. | تخصيص الوصول المميز والوصول عن بعد وتقييد استخدامهما، مع تحديد الآتي: | |||||
| أ. | المصادقة متعددة العوامل الواجب استخدامها لجميع عمليات الوصول عن بعد؛ | |||||
| ب. | المصادقة متعددة العوامل الواجب استخدامها للوصول إلى الامتيازات على الأنظمة المهمة بناءً على تقييم المخاطر؛ | |||||
| 2. | المراجعة الدورية للمستخدمين أصحاب الحسابات المميزة والمستخدمة عن بعد؛ | |||||
| 3. | المساءلة الفردية؛ | |||||
| 4. | استخدام الحسابات المميزة غير الشخصية، بما في ذلك: | |||||
| أ. | التقييد والمراقبة؛ | |||||
| ب. | سرية كلمات المرور؛ | |||||
| ج. | تغيير كلمات المرور بشكل متكرر وفي نهاية كل جلسة. | |||||