6.3.3 أمن التطبيقات
| الرقم: 381000091275 | التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28 | الحالة: نافذ |
Effective from May 24 2017 - May 23 2017
To view other versions open the versions tab on the right
المبدأ
يجب على المؤسسة العضو تحديد معايير الأمن السيبراني لأنظمة التطبيقات واعتمادها وتنفيذها. وتجب مراقبة الامتثال لهذه المعايير وقياس فعالية هذه الضوابط وتقييمها بشكل دوري.
الهدف
ضمان توثيق وتنفيذ ضوابط الأمن السيبراني الكافية رسميًا لجميع التطبيقات، ومراقبة الامتثال وتقييم فعاليتها بشكل دوري داخل المؤسسة العضو.
اعتبارات التحكم
| 1. | يجب تحديد معايير الأمن السيبراني للتطبيقات واعتمادها وتنفيذها. | |
| 2. | تجب مراقبة الامتثال لمعايير أمن التطبيقات. | |
| 3. | يجب قياس فعالية ضوابط الأمن السيبراني للتطبيقات وتقييمها بشكل دوري. | |
| 4. | يجب أن يتم تطوير التطبيقات وفق منهجية دورة حياة تطوير النظام الآمن المعتمدة(SDLC). | |
| 5. | يجب أن يتضمن معيار أمان التطبيق ما يلي: | |
| أ. | المعايير الآمنة للتشفير؛ | |
| ب. | ضوابط الأمن السيبراني المطبقة (على سبيل المثال، معلمات التكوين، ومراقبة الأحداث والاحتفاظ بها [بما في ذلك الوصول إلى النظام والبيانات]، وإدارة الهوية والوصول)؛ | |
| ج. | الفصل بين المهام داخل التطبيق (مدعوم بمصفوفة تفويض موثقة)؛ | |
| د. | حماية البيانات المتوافقة مع نظام التصنيف (المتفق عليه) (بما في ذلك خصوصية بيانات العملاء، وتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود))؛ | |
| هـ. | إدارة الثغرات الأمنية وحزم التحديثات والإصلاحات؛ | |
| و. | إجراءات النسخ الاحتياطي والاسترداد؛ | |
| ز. | المراجعة الدورية للامتثال للأمن السيبراني. | |