3.4.3 الحوسبة السحابية
| الرقم: 381000091275 | التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28 |
Effective from May 24 2017 - May 23 2017
To view other versions open the versions tab on the right
المبدأ
يجب على المؤسسة العضو تحديد وتنفيذ ومراقبة ضوابط الأمن السيبراني المطلوبة ضمن سياسة وعملية الحوسبة السحابية للخدمات السحابية الهجينة والعامة. يجب قياس فعالية ضوابط الأمن السيبراني المحددة وتقييمها بشكل دوري.
ترجى ملاحظة أن هذا المتطلب لا ينطبق على الخدمات السحابية الخاصة (= السحابة الداخلية).
الهدف
التأكد من أن جميع الوظائف والعاملين داخل المؤسسة العضو على دراية بالاتجاه والموقف المتفق عليهما بشأن الخدمات السحابية المختلطة والعامة، والعملية المطلوبة لطلب للحصول على الخدمات السحابية المختلطة والعامة، وتقبُّل المخاطرة بشأن الخدمات السحابية المختلطة والعامة، ومتطلبات الأمن السيبراني المحددة للخدمات السحابية المختلطة والعامة.
اعتبارات التحكم
| 1. | يجب تحديد ضوابط الأمن السيبراني ضمن سياسة الحوسبة السحابية للخدمات السحابية المختلطة والعامة واعتمادها وتنفيذها وتبليغها داخل المؤسسة العضو. | |||
| 2. | تجب مراقبة الامتثال لسياسة الحوسبة السحابية. | |||
| 3. | يجب قياس وتقييم ضوابط الأمن السيبراني المتعلقة بسياسة الحوسبة السحابية وعملية الخدمات السحابية المختلطة والعامة بشكل دوري. | |||
| 4. | يجب أن تتناول سياسة الحوسبة السحابية للخدمات السحابية المختلطة والعامة متطلبات ما يلي: | |||
| أ. | عملية اعتماد الخدمات السحابية، بما في ذلك: | |||
| 1. | يجب إجراء تقييم لمخاطر الأمن السيبراني والعناية الواجبة على مقدم الخدمة السحابية وخدماته السحابية؛ | |||
| 2. | يجب على المؤسسة العضو الحصول على اعتماد ساما قبل استخدام الخدمات السحابية أو توقيع العقد مع مقدم الخدمة السحابية؛ | |||
| 3. | يجب إبرام عقد ينص متطلبات الأمن السيبراني قبل استخدام الخدمات السحابية؛ | |||
| ب. | موقع البيانات، بما في ذلك ما: | |||
| 1. | من حيث المبدأ، يجب استخدام الخدمات السحابية الموجودة في المملكة العربية السعودية فقط، أو عند استخدام الخدمات السحابية خارج المملكة العربية السعودية، يجب على المؤسسة العضو الحصول على موافقة صريحة من ساما؛ | |||
| ج. | قيود استخدام البيانات، بما في ذلك ما يلي: | |||
| 1. | لا يجوز لمقدم الخدمة السحابية استخدام بيانات المؤسسة العضو لأغراض ثانوية؛ | |||
| د. | الأمن، بما في ذلك: | |||
| 1. | يجب على مقدم الخدمة السحابية تنفيذ ومراقبة ضوابط الأمن السيبراني على النحو المحدد في تقييم المخاطر لحماية سرية وسلامة وتوافر بيانات المؤسسة العضو؛ | |||
| هـ. | فصل البيانات، بما في ذلك ما يلي: | |||
| 1. | يتم فصل بيانات المؤسسة العضو بشكل منطقي عن البيانات الأخرى التي يحتفظ بها مقدم الخدمة السحابية، بما في ذلك وجوب أن يكون مقدم الخدمة السحابية قادرًا على تحديد بيانات المؤسسة العضو وأن يكون قادرًا في جميع الأوقات على تمييزها عن البيانات الأخرى. | |||
| و. | استمرارية الأعمال، بما في ذلك: | |||
| 1. | استيفاء متطلبات استمرارية الأعمال وفقًا لسياسة استمرارية الأعمال الخاصة بالمؤسسة العضو؛ | |||
| ز. | التدقيق والمراجعة والمراقبة، بما في ذلك: | |||
| 1. | يحق للمؤسسة العضو إجراء مراجعة للأمن السيبراني لدى مقدم الخدمة السحابية؛ | |||
| 2. | يحق للمؤسسة العضو إجراء تدقيق للأمن السيبراني لدى مقدم الخدمة السحابية؛ | |||
| 3. | يحق للمؤسسة العضو إجراء فحص الأمن السيبراني لدى مقدم الخدمة السحابية؛ | |||
| ح. | الخروج، بما في ذلك ما يلي: | |||
| 1. | تتمتع المؤسسة العضو بحقوق الإنهاء؛ | |||
| 2. | يجب على مقدم الخدمة السحابية إعادة بيانات المؤسسة العضو عند الإنهاء؛ | |||
| 3. | يجب على مقدم الخدمة السحابية حذف بيانات المؤسسة العضو حذفا لا رجعة فيه عند الإنهاء. | |||