‫ضوابط األمن السيبراني‬

‫لحسابات التواصل االجتماعي للجهات‬

‫‪Organizations’ Social Media Accounts Cybersecurity Controls‬‬
‫)‪(OSMACC - 1 : 2021‬‬

‫إشــــــــارة املـشـــــــاركة‪ :‬أبيـــــض‬

‫تصنيــــــف الوثيقـــــــة‪ :‬مــــــتاح‬
‫بسم الله الرحمن الرحيم‬
‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬ ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬

‫بروتوكول اإلشارة الضوئية (‪:)TLP‬‬

‫يستخدم هذا الربوتوكول عىل نطاق واسع يف العامل وهناك أربعة ألوان (إشارات ضوئية)‪:‬‬
‫أحمر – شخيص ورسي للمستلم فقط‬

‫املســتلم ال يحــق لــه مشــاركة املصنــف باإلشــارة الحمـراء مــع أي فــرد ســواء مــن داخــل أو خــارج الجهــة خــارج‬
‫النطــاق املحــدد لالســتالم‪.‬‬

‫برتقايل – مشاركة محدودة‬

‫املســتلم ميكنــه مشــاركة املعلومــات يف نفــس الجهــة مــع األشــخاص املعنيــن فقــط‪ ،‬ومــن يتطلــب األمــر منــه‬
‫اتخــاذ إج ـراء يخــص املعلومــة‪.‬‬

‫أخرض – مشاركة يف نفس املجتمع‬

‫املســتلم ميكنــه مشــاركة املعلومــات مــع آخريــن يف نفــس الجهــة أو جهــة أخــرى عــى عالقــة معهــم أو يف نفــس‬
‫القطــاع‪ ،‬وال يســمح بتبادلهــا أو نرشهــا مــن خــال القنــوات العامــة‪.‬‬

‫أبيض – غري محدود‬

‫تصنيف الوثيقة‪ :‬مــــتاح‬ ‫‪4‬‬

 ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬ ‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬

‫قائمة المحتويات‬

‫‪6‬‬ ‫ ‬ ‫ ‬
‫الملخص التنفيذي‬

‫‪7‬‬ ‫ ‬
‫المقدمة‬

‫‪8‬‬ ‫ ‬
‫األهداف‬

‫‪8‬‬ ‫ ‬ ‫نطاق العمل وقابلية التطبيق ‬

‫‪8‬‬ ‫ ‬‫نطاق عمل الضوابط‬

‫‪8‬‬ ‫ ‬
‫قابلية التطبيق داخل الجهة‬

‫‪9‬‬ ‫ ‬
‫التنفيذ وااللتزام‬

‫‪9‬‬ ‫ ‬
‫التحديث والمراجعة‬

‫‪10‬‬ ‫ ‬
‫مكونات وهيكلية ضوابط األمن السيبراني لحسابات التواصل االجتماعي للجهات‬

‫‪10‬‬ ‫المكونات األساسية والفرعية‪ ،‬لضوابط األمن السيبراني لحسابات التواصل االجتماعي للجهات‬

‫‪11‬‬ ‫ ‬
‫الهيكلية‬

‫‪13‬‬ ‫ ‬‫ضوابط األمن السيبراني لحسابات التواصل االجتماعي للجهات‬

‫‪19‬‬ ‫ ‬
‫مالحق‬

‫‪19‬‬ ‫ ‬
‫ملحق (أ)‪ :‬العالقة مع الضوابط األساسية لألمن السيبراني‬

‫قائمة الجداول‬
‫‪12‬‬ ‫ ‬
‫جدول ‪ : 1‬هيكلية ضوابط األمن السيبراني لحسابات التواصل االجتماعي للجهات‬

‫قائمة األشكال والرسوم التوضيحية‬

‫‪10‬‬ ‫شكل ‪ : 1‬المكونات األساسية والفرعية لضوابط األمن السيبراني لحسابات التواصل االجتماعي للجهات‬

‫‪11‬‬ ‫شكل ‪ : 2‬معنى رموز ضوابط األمن السيبراني لحسابات التواصل االجتماعي للجهات‬

‫‪11‬‬ ‫شكل ‪ : 3‬هيكلية ضوابط األمن السيبراني لحسابات التواصل االجتماعي للجهات‬

‫‪19‬‬ ‫شكل ‪ : 4‬دليل ألوان المكونات الفرعية في الشكل ‪5‬‬

‫شكل ‪ : 5‬مكونات الضوابط األساسية لألمن السيبراني‪ ،‬وضوابط األمن السيبراني‬

‫‪22‬‬ ‫ ‬ ‫لحسابات التواصل االجتماعي للجهات‬

‫‪5‬‬ ‫تصنيف الوثيقة‪ :‬مــــتاح‬

‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬ ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬

‫الملخص التنفيذي‬

‫تعــد شــبكات التواصــل االجتامعــي إحــدى الوســائل املمكنــة للتواصــل الرسيــع والف ّعــال مــع املســتفيدين‬
‫مــا يســهم يف رسعــة االســتجابة وتحســن وتســهيل تجربــة املســتفيدين‪ .‬ومــع ازديــاد اســتخدام شــبكات‬
‫التواصــل االجتامعــي بشــكل رســمي مــن قبــل الجهــات داخــل اململكــة للتواصــل مــع املســتفيدين‪ ،‬ازداد‬
‫خطــر جرائــم رسقــة حســابات التواصــل الرســمية أو ســوء اســتغاللها أو انتحــال شــخصيتها‪ ،‬مــا يســتوجب‬
‫وضــع متطلبــات األمــن الســيرباين للحــد مــن هــذه املخاطــر‪.‬‬

‫ولإلســهام يف تقليــل هــذه املخاطــر وتعزيــز حاميــة حســابات التواصــل االجتامعــي الرســمية‪ ،‬بهــدف‬
‫الوصــول إىل فضــاء ســيرباين ســعودي آمــن وموثـــــوق ُيكــن النمــو واالزدهـــــار؛ قامــت الهيئــــة‬
‫الوطنيــــة لألمــن الســيرباين بإعــداد ضوابــط األمــن الســيرباين لحســابات التواصــل االجتامعــي للجهــــات‬
‫(‪ )OSMACC – 1: 2021‬لوضــع الحــد األدىن مــن متطلبــات األمــن الســيرباين لتمكــن الجهــات مــن‬
‫اس��تخدام ش��بكات التواصلــ االجتامعــي بطريقـ�ة آمنـ�ة‪ .‬وتوضــح هــذه الوثيقــة تفاصيــل ضوابــط األمــن‬
‫الســيرباين لحســابات التواصــل االجتامعــي للجهــات‪ ،‬وأهدافهــا‪ ،‬ونطــاق العمــل‪ ،‬وآليــة االلت ـزام واملتابعــة‪.‬‬
‫وعــى الجهــات تنفيــذ مــا يحقــق االلت ـزام الدائــم‪ ،‬واملســتمر بهــذه الضوابــط؛ تحقيق ـاً ملــا ورد يف الفقــرة‬
‫الثالثـ�ة مـ�ن املـ�ادة العـ�ارشة‪ ،‬يف تنظيـ�م الهيئـ�ة الوطنيـ�ة لألمـ�ن السـ�يرباين‪.‬‬

‫تصنيف الوثيقة‪ :‬مــــتاح‬ ‫‪6‬‬

 ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬ ‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬

‫المقدمة‬

‫طــ ّورت الهيئــة الوطنيــة لألمــن الســيرباين (ويشــار لهــا يف هــذه الوثيقــة بـــ «الهيئــة») ضوابــط األمــن‬
‫السـ�يرباين لحسـ�ابات التواصـ�ل االجتامعـ�ي للجهـ�ات (‪ )OSMACC – 1: 2021‬بعــد دراســة أفضل مامرســات‬
‫األمــن الســيرباين وتحليــل الحــوادث والهجــات الســيربانية الســابقة‪ .‬ويــأيت ذلــك ضمــن اختصاصــات‬
‫ومهــات الهيئــة حســب تنظيمهــا مبوجــب األمــر امللــي الكريــم رقــم (‪ )6801‬وتاريــخ ‪1439/2/11‬هـــ‪،‬‬
‫«وضــع السياســات وآليــات الحوكمــة واألطــر واملعايــر والضوابــط واإلرشــادات املتعلقــة باألمــن الســيرباين‪،‬‬
‫وتعميمهــا عــى الجهــات ذات العالقــة‪ ،‬ومتابعــة االلت ـزام بهــا‪ ،‬وتحديثهــا»‪.‬‬
‫تعــد مواقــع وتطبيقــات شــبكات التواصــل االجتامعــي إحــدى الوســائل املمكنــة للتواصــل الرسيــع والف ّعــال‬
‫مــع املســتفيدين مــا يســهم يف رسعــة االســتجابة وتحســن تجربــة املســتفيدين وتســهيلها؛ مــا أدى إىل‬
‫اســتخدامها مــن قبــل العديــد مــن الجهــات‪ .‬ومــع ازديــاد اســتخدام وســائل التواصــل االجتامعــي بشــكل‬
‫رســمي مــن قبــل الجهــات داخــل اململكــة للتواصــل مــع املســتفيدين‪ ،‬ازداد خطــر جرائــم رسقــة حســابات‬
‫التواصــل االجتامعــي الرســمية أو ســوء اســتغاللها‪ .‬باإلضافــة إىل خطــر جرائــم انتحــال شــخصية الجهــات‬
‫الرســمية يف شــبكات التواصــل االجتامعــي‪.‬‬
‫ولإلســهام يف تقليــل هــذه املخاطــر وتعزيز حامية حســابات التواصل االجتامعي الرســمية‪ ،‬بهدف الوصول إىل‬
‫فضــاء ســيرباين ســعودي آمــن وموثــوق ُيكن النمــو واالزدهار؛ قامــت الهيئة الوطنيــة لألمن الســيرباين بإعداد‬
‫ضوابط األمن الســيرباين لحســابات التواصل االجتامعي للجهات (‪ )OSMACC – 1: 2021‬لوضع الحد األدىن‬
‫مــن متطلبــات األمــن الســيرباين لتمكــن الجهــة مــن اســتخدام شــبكات التواصــل االجتامعــي بطريقــة آمنــة‪.‬‬
‫وقــد حرصــت الهيئــة يف إعدادهــا لضوابــط األمــن الســيرباين لحســابات التواصــل االجتامعــي للجهــات‪ ،‬عــى‬
‫مواءمــة مكوناتهــا مــع مكونــات الضوابــط األساســية لألمــن الســيرباين التــي تعــد متطلب ـاً أساســياً لهــا؛ وال‬
‫ميكــن تحقيــق االلتـزام بهــا إال مــن خــال تحقيــق االلتـزام املســتمر بالضوابــط األساســية لألمــن الســيرباين يف‬
‫املقــام األول كــا أنهــا مرتبطــة مــع املتطلبــات الترشيعيــة‪ ،‬والتنظيميــة الوطنيــة والدوليــة‪ ،‬ذات العالقــة‪.‬‬
‫تتكون ضوابط األمن السيرباين لحسابات التواصل االجتامعي للجهات من‪:‬‬
‫•‪ 3‬مكونات أساسية (‪)3 Main Domains‬‬
‫•‪ 12‬مكوناً فرعياً (‪)12 Subdomains‬‬
‫•‪ 15‬ضابطاً أساسياً (‪)15 Main Controls‬‬
‫•‪ 38‬ضابطاً فرعياً (‪)38 Subcontrols‬‬

‫‪7‬‬ ‫تصنيف الوثيقة‪ :‬مــــتاح‬

‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬ ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬

‫األهداف‬

‫تهدف ضوابط األمن السيرباين لحسابات التواصل االجتامعي للجهات إىل‪:‬‬

‫•اإلسهام يف رفع مستوى األمن السيرباين عىل املستوى الوطني‪.‬‬
‫•متكني الجهات من استخدام شبكات التواصل االجتامعي بطريقة آمنة‪.‬‬
‫•االســتعداد لالســتجابة الفاعلــة للحــوادث الســيربانية التــي قــد ينجــم عنهــا تأث ـرات‬
‫ســلبية‪.‬‬

‫نطاق العمل وقابلية التطبيق‬

‫نطاق عمل الضوابط‬

‫تطبــق هــذه الضوابــط عــى الجهــات الحكوميــة يف اململكــة العربية الســعودية وتشــمل الــوزارات والهيئات‬
‫واملؤسســات وغريهــا‪ ،‬والجهــات والــركات التابعــة لهــا‪ ،‬وتطبــق عــى جهــات القطــاع الخــاص التــي متتلــك‬
‫بنــى تحتيــة وطنيــة حساســة أو تقــوم بتشــغيلها أو اســتضافتها‪ ،‬وذلــك عنــد اســتخدام شــبكات التواصــل‬
‫االجتامعــي‪ ،‬ويشــار لهــا جميعـاً يف هــذه الوثيقــة بـــ (الجهــة)‪.‬‬
‫كــا تشــجع الهيئــة الجهــات األخــرى يف اململكــة وبشــدة عــى االســتفادة مــن هــذه الضوابــط لتطبيــق‬
‫أفضــل املامرســات فيــا يتعلــق بتحســن األمــن الســيرباين وتطويــره داخــل الجهــة‪.‬‬

‫قابلية التطبيق داخل الجهة‬

‫تــم إعــداد هــذه الضوابــط بحيــث تكــون مالمئــة ملتطلبــات األمــن الســيرباين لجميــع الجهــات والقطاعــات‬
‫يف اململكــة العربيــة الســعودية بتنــوع طبيعــة أعاملهــا‪ ،‬ويجــب عــى الجهــات ضمــن نطــاق عمــل الضوابــط‬
‫االلتـزام بجميــع الضوابــط القابلــة للتطبيــق عليهــا‪.‬‬

‫تصنيف الوثيقة‪ :‬مــــتاح‬ ‫‪8‬‬

 ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬ ‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬

‫التنفيذ وااللتزام‬

‫تحقيقــاً ملــا ورد يف الفقــرة الثالثــة مــن املــادة الــعــاشــــرة مــن تنظيــم الـهـيـئـــة الـوطـنـيـــة لألمــن‬
‫الســيرباين‪ ،‬يجــب عــى جميــع الجهــات ضمــن نطــاق عمــل هــذه الضوابــط تنفيــذ مــا يحقــق االلت ـزام‬
‫الدائــم واملســتمر بهــذه الضوابــط‪ ،‬وال ميكــن تحقيــق ذلــك إال مــن خــال تحقيــق االلتـزام الدائــم واملســتمر‬
‫بالضوابــط األساســية لألمــن الســيرباين (‪ )ECC - 1 : 2018‬وفقـاً لقابليــة تطبيقهــا يف الجهــة بحســب طبيعــة‬
‫أعاملهــا‪.‬‬
‫وتقــوم الهيئــة بتقييــم الت ـزام الجهــات مبــا ورد يف هــذه الضوابــط بطــرق متعــددة‪ ،‬منهــا‪ :‬التقييــم الــذايت‬
‫للجهــات‪ ،‬و‪/‬أو الزيــارات امليدانيــة للتدقيــق‪ ،‬وذلــك وفق ـاً لآلليــة املناســبة التــي تراهــا الهيئــة‪.‬‬

‫التحديث والمراجعة‬

‫تتــوىل الهيئــة التحديــث واملراجعــة الدوريــة لضوابــط األمــن الســيرباين لحســابات التواصــل االجتامعــي‬
‫للجهــات حســب متطلبــات األمــن الســيرباين واملســتجدات ذات العالقــة‪ .‬كــا تتــوىل إعــان اإلصــدار املحدث‬
‫مــن الضوابــط لتطبيقــه وااللتـزام بــه‪.‬‬

‫‪9‬‬ ‫تصنيف الوثيقة‪ :‬مــــتاح‬

‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬ ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬

‫مكونات وهيكلية ضوابط األمن الســيبراني لحســابات التواصل االجتماعي‬

‫للجهات‬

‫المكونــات األساســية والفرعيــة‪ ،‬لضوابــط األمــن الســيبراني لحســابات التواصــل‬

‫االجتماعــي للجهــات‬
‫يوضــح الشــكل (‪ )1‬أدنــاه‪ ،‬املكونــات األساســية والفرعيــة‪ ،‬لضوابــط األمــن الســيرباين لحســابات التواصــل‬
‫االجتامعــي للجهــات‪ .‬كــا يوضــح ملحــق (أ) العالقــة مــع الضوابــط األساســية لألمــن الســيرباين‪.‬‬

‫إدارة مخاطر األمن السيرباين‬ ‫سياسات وإجراءات األمن‬

‫السيرباين‬
‫‪Cybersecurity Risk 2 - 1 Cybersecurity Policies and‬‬ ‫‪1-1‬‬
‫‪Management‬‬ ‫‪Procedures‬‬ ‫‪ - 1‬حوكمة األمن السيرباين‬
‫برنامج التوعية والتدريب‬ ‫‪Cybersecurity‬‬
‫األمن السيرباين املتعلق باملوارد‬
‫باألمن السيرباين‬ ‫‪Governance‬‬
‫البرشية‬
‫‪Cybersecurity Aware- 4 - 1‬‬ ‫‪3-1‬‬
‫‪Cybersecurity in Human‬‬
‫‪ness and Training‬‬
‫‪Resources‬‬
‫‪Program‬‬
‫إدارة هويات الدخول‬
‫والصالحيات‬ ‫إدارة األصول‬
‫‪Identity and Access‬‬ ‫‪2‬‬ ‫‪-‬‬ ‫‪2‬‬ ‫‪1-2‬‬
‫‪Asset Management‬‬
‫‪Management‬‬
‫حامية األنظمة وأجهزة معالجة‬
‫أمن األجهزة املحمولة‬ ‫املعلومات‬
‫‪Mobile Devices Secu- 4 – 2 Information System and‬‬ ‫‪3-2‬‬
‫‪rity‬‬ ‫‪Processing Facilities Protec-‬‬ ‫‪ - 2‬تعزيز األمن السيرباين‬
‫‪tion‬‬ ‫‪Cybersecurity Defense‬‬
‫إدارة سجالت األحداث‬
‫ومراقبة األمن السيرباين‬ ‫حامية البيانات واملعلومات‬
‫‪Cybersecurity Event 6 - 2 Data and Information Pro-‬‬ ‫‪5-2‬‬
‫‪Logs and Monitoring‬‬ ‫‪tection‬‬
‫‪Management‬‬
‫إدارة حوادث وتهديدات األمن السيرباين‬ ‫‪7-2‬‬
‫‪Cybersecurity Incident and Threat Management‬‬
‫‪ - 3‬األمن السيرباين املتعلق‬
‫األمن السيرباين املتعلق باألطراف الخارجية‬ ‫باألطراف الخارجية والحوسبة‬
‫‪1-3‬‬ ‫السحابية‬
‫‪Third-Party Cybersecurity‬‬
‫‪Third-Party and Cloud‬‬
‫‪Computing Cybersecurity‬‬
‫شكل ‪ : 1‬املكونات األساسية والفرعية لضوابط األمن السيرباين لحسابات التواصل االجتامعي للجهات‬

‫تصنيف الوثيقة‪ :‬مــــتاح‬ ‫‪10‬‬

 ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬ ‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬

‫الهيكلية‬
‫يوضــح الشــكالن (‪ )2‬و (‪ )3‬أدنـ�اه معنـ�ى رمـ�وز ضوابـ�ط األمـ�ن السـ�يرباين لحسـ�ابات التواصـ�ل االجتامعـ�ي‬
‫للجهـ�ات‪.‬‬

‫‪OSMACC‬‬

‫ضوابط األمن السيرباين لحسابات‬

‫التواصل االجتامعي للجهات‬
‫‪Organizations’ Social Media‬‬
‫‪Accounts Cybersecurity Controls‬‬

‫شكل ‪ : 2‬معنى رموز ضوابط األمن السيرباين لحسابات التواصل االجتامعي للجهات‬

‫‪5 - 3‬‬ ‫‪- 4 - 2‬‬

‫رقم املكون األسايس‬
‫رقم املكون الفرعي‬
‫رقم الضابط األسايس‬
‫رقم الضابط الفرعي‬
‫شكل ‪ : 3‬هيكلية ضوابط األمن السيرباين لحسابات التواصل االجتامعي للجهات‬

‫‪11‬‬ ‫تصنيف الوثيقة‪ :‬مــــتاح‬

‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬ ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬

‫يوضح الجدول ‪ 1‬طريقة هيكلية ضوابط األمن السيرباين لحسابات التواصل االجتامعي للجهات‪.‬‬

‫اسم املكون األسايس‬ ‫‪1‬‬

‫رقم مرجعي للمكون األسايس‬
‫رقم مرجعي للمكون الفرعي اسم املكون الفرعي‬
‫الهدف‬
‫الضوابط‬
‫بنود الضابط‬ ‫رقم مرجعي للضابط‬
‫جدول ‪ : 1‬هيكلية ضوابط األمن السيرباين لحسابات التواصل االجتامعي للجهات‬

‫تصنيف الوثيقة‪ :‬مــــتاح‬ ‫‪12‬‬

 ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬ ‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬

‫ضوابط األمن السيبراني لحسابات التواصل االجتماعي للجهات‬

‫حوكمة األمن السيبراني (‪)Cybersecurity Governance‬‬ ‫‪1‬‬

‫سياسات وإجراءات األمن السيرباين (‪)Cybersecurity Policies and Procedures‬‬ ‫‪1-1‬‬

‫ضــان توثيــق واعتــاد ونــر متطلبــات األمــن الســيرباين والتـزام الجهــة بها‪ ،‬وذلــك وفقـاً ملتطلبات‬
‫الهدف‬
‫األعــال التنظيميــة للجهــة‪ ،‬واملتطلبــات الترشيعية والتنظيميــة ذات العالقة‪.‬‬
‫الضوابط‬
‫رجوعــاً للضابــط ‪ 1-3- 1‬يف الضوابـ�ط األساس��ية لألم��ن الســيرباين‪ ،‬يجـ�ب أن تشـ�مل سياســات‬ ‫‪1-1-1‬‬
‫وإجــراءات األمــن الســيرباين مــا يــأيت‪:‬‬
‫‪ 1-1-1-1‬تحديــد وتوثيــق متطلبــات وضوابــط األمــن الســيرباين لحســابات التواصــل‬
‫االجتامعــي ضمــن سياســات األمــن الســيرباين للجهــة‪.‬‬
‫إدارة مخاطر األمن السيرباين (‪)Cybersecurity Risk Management‬‬ ‫‪2-1‬‬
‫ضــان إدارة مخاطــر األمــن الســيرباين؛ لحاميــة األصــول املعلوماتيــة والتقنيــة للجهــة‪ ،‬عــى‬
‫نح��و ممنهــج؛ وذلــك وفق ـاً للسياســات واإلج ـراءات التنظيميــة للجهــة‪ ،‬واملتطلبــات الترشيعيــة‬ ‫الهدف‬
‫والتنظيميــة ذات العالقــة‪.‬‬
‫الضوابط‬
‫باإلضافــة للضوابــط ضمــن املكــون الفرعــي ‪ 5 - 1‬يف الضوابــط األساســية لألمــن الســيرباين‪ ،‬يجــب أن‬ ‫‪1-2-1‬‬
‫تشـ�مل منهجيــة إدارة مخاطــر األمــن الســيرباين بحــد أدىن مــا يــأيت‪:‬‬
‫‪ 1-1-2-1‬تقييــم مخاطــر األمــن الســيرباين لحســابات التواصــل االجتامعــي‪ ،‬مــرة واحــدة‬
‫ســنوياً‪ ،‬عــى األقــل‪.‬‬
‫‪ 2-1-2-1‬تقييــم مخاطــر األمــن الســيرباين عنــد التخطيــط وقبــل الســاح باســتخدام شــبكات‬
‫التواصــل االجتامعي‪.‬‬
‫‪ 3-1-2-1‬تضمــن مخاطــر األمــن الســيرباين الخاصــة بحســابات التواصــل االجتامعــي‬
‫والخدمــات واألنظمــة املســتخدمة يف ذلــك يف ســجل مخاطــر األمــن الســيرباين‬
‫الخــاص بالجهــة‪ ،‬ومتابعتــه مــرة واحــدة ســنويا‪ ،‬عــى األقــل‪.‬‬
‫األمن السيرباين املتعلق باملوارد البرشية (‪)Cybersecurity in Human Resources‬‬ ‫‪3-1‬‬
‫ضــان التأكــد مــن أن مخاطــر ومتطلبــات األمــن الســيرباين املتعلقــة بالعاملــن (موظفــن‬ ‫الهدف‬
‫ومتعاقديــن) يف الجهــة تعالــج بفعاليــة قبــل وأثنــاء وعنــد انتهاء‪/‬إنهــاء عملهــم‪ ،‬وذلــك وفقــاً‬
‫للسياســات واإلجــراءات التنظيميــة للجهــة‪ ،‬واملتطلبــات الترشيعيــة والتنظيميــة ذات العالقــة‪.‬‬

‫‪13‬‬ ‫تصنيف الوثيقة‪ :‬مــــتاح‬

‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬ ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬

‫الضوابط‬
‫باإلضافــة للضوابــط الفرعيـــة ضمـــن الضابـــط ‪ 4 – 9 – 1‬يف الضوابــط األساســية لألمــن الســيرباين‪،‬‬ ‫‪1-3-1‬‬
‫يجــب أن تشــمل متطلبــات األمــن الســيرباين املتعلقــة بالعاملــن املســؤولني عــن إدارة حســابات‬
‫التواصــل االجتامعــي للجهــة بحــد أدىن مــا يــأيت‪:‬‬
‫‪ 1-1-3-1‬التوعية باألمن السيرباين لحسابات التواصل االجتامعي‪.‬‬
‫‪ 2-1-3-1‬تطبيــق متطلبــات األمـــن الســيرباين وااللـتــزام بهــا وفقـاً لسياســات وإجــــراءات‬
‫وعمليــات األمــن الســيرباين لحســابات التواصــل االجتامعــي‪.‬‬
‫برنامـ�ج التوعيـ�ة والتدريـ�ب باألمـ�ن السـ�يرباين (‪Cybersecurity Awareness and Training‬‬
‫‪4-1‬‬
‫‪)Program‬‬
‫ضــان التأكــد مــن أن العاملــن بالجهــة لديهــم التوعيــة األمنيــة الالزمــة وعــى درايــة مبســؤولياتهم‬ ‫الهدف‬
‫يف مجــال األمــن الســيرباين‪ .‬والتأكــد مــن تزويــد العاملــن بالجهــة باملهــارات واملؤهــات والــدورات‬
‫التدريبيــة املطلوبــة يف مجــال األمــن الســيرباين لحاميــة األصــول املعلوماتيــة والتقنيــة للجهــة‬
‫والقيــام مبســؤولياتهم تجــاه األمــن الســيرباين‪.‬‬
‫الضوابط‬
‫باإلضافــة للضوابــط الفرعيــة ضمــن الضابــط ‪ 3 -10 - 1‬يف الضوابــط األساســية لألمــن الســيرباين‪ ،‬فإنه‬ ‫‪1-4-1‬‬
‫يجــب أن يغطــي برنامــج التوعيــة باألمــن الســيرباين املخاطــر والتهديــدات الســيربانية لحســابات‬
‫التواصــل االجتامعــي واالســتخدام اآلمــن للحــد مــن هــذه املخاطــر والتهديــدات‪ ،‬مبــا يف ذلــك‪:‬‬
‫‪ 1-1-4-1‬االســتخدام اآلمــن لألجهــزة املخصصــة لحســابات التواصــل االجتامعــي واملحافظــة‬
‫عليهــا وحاميتهــا‪ .‬وعــدم احتوائهــا عــى بيانــات مصنفــة أو اســتخدامها ألغ ـراض‬
‫شــخصية‪.‬‬
‫‪ 2-1-4-1‬التعامل اآلمن مع هويات الدخول وكلامت املرور واألسئلة األمنية‪.‬‬
‫خطة استعادة حسابات التواصل االجتامعي والتعامل مع الحوادث السيربانية‪.‬‬ ‫‪3-1-4-1‬‬
‫التعامــل اآلمــن مــع التطبيقــات والحلــول املســتخدمة لحســابات التواصــل‬ ‫‪4-1-4-1‬‬
‫االجتامعــي‪.‬‬
‫عــدم اســتخدام حســابات التواصــل االجتامعــي الرســمية ألغ ـراض شــخصية مثــل‬ ‫‪5-1-4-1‬‬
‫التصفــح‪.‬‬
‫تجنــب الدخــول لحســابات التواصــل االجتامعــي باســتخدام أجهــزة أو شــبكات‬ ‫‪6-1-4-1‬‬
‫عامــة غــر موثوقــة‪.‬‬
‫التواصــل مبــارشة مــع اإلدارة املعنيــة باألمــن الســيرباين يف الجهــة حــال االشــتباه‬ ‫‪7-1-4-1‬‬
‫بتهديــد أمــن ســيرباين‪.‬‬
‫باإلضافــة للضوابــط الفرعيــة ضمــن الضابــط ‪ 4 - 10 - 1‬يف الضوابــط األساســية لألمــن الســيرباين‪،‬‬ ‫‪2-4-1‬‬
‫فإنــه يجــب تدريــب العاملــن املســؤولني عــن إدارة حســابات التواصــل االجتامعــي للجهــة عــى‬
‫املهــارات التقنيــة والخطــط واإلجــراءات الالزمــة لضــان تطبيــق متطلبــات ومامرســات األمــن‬
‫الســيرباين عنــد اســتخدام حســابات التواصــل االجتامعــي‪.‬‬

‫تصنيف الوثيقة‪ :‬مــــتاح‬ ‫‪14‬‬

 ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬ ‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬

‫تعزيز األمن السيبراني (‪)Cybersecurity Defense‬‬ ‫‪2‬‬

‫إدارة األصول (‪)Asset Management‬‬ ‫‪1-2‬‬

‫التأكــد مــن أن الجهــة لديهــا قامئــة جــرد دقيقــة‪ ،‬وحديثــة لألصــول؛ تشــمل التفاصيــل ذات العالقة‪،‬‬
‫لجميــع األصــول املعلوماتيــة‪ ،‬والتقنيــة املتاحــة للجهــة؛ وذلــك مــن أجل دعــم العمليات التشــغيلية‬
‫الهدف‬
‫للجهــة‪ ،‬ومتطلبــات األمــن الســيرباين‪ ،‬بهــدف تحقيــق رسيــة األصــول املعلوماتيــة والتقنيــة للجهــة‪،‬‬
‫وســامتها ودقتهــا وتوافرها‪.‬‬
‫الضوابط‬
‫باإلضافــة للضوابــط ضمــن املكــون الفرعــي ‪ 1-2‬يف الضوابــط األساســية لألمــن الســيرباين‪ ،‬يجــب أن‬ ‫‪1-1-2‬‬
‫تشــمل متطلبــات األمــن الســيرباين إلدارة األصــول املعلوماتيــة والتقنيــة‪ ،‬بحــد أدىن‪ ،‬مايــي‪:‬‬
‫‪ 1-1-1-2‬يجــب تحديــد وحــر حســابات التواصــل االجتامعــي واألصــول املعلوماتيــة‬
‫والتقنيــة املتعلقــة بهــا‪ ،‬وتحديثهــا مــرة واحــدة‪ ،‬كل ســنة؛ عــى األقــل‪.‬‬
‫إدارة هويات الدخول والصالحيات (‪)Identity and Access Management‬‬ ‫‪2-2‬‬
‫ضــان حاميــة األمــن الســيرباين للوصــول املنطقــي (‪ )Logical Access‬إىل األصــول املعلوماتيــة‬
‫والتقنيــة للجهــة؛ مــن أجــل منــع الوصــول غــر املــرح بــه‪ ،‬وتقييــد الوصــول إىل ماهــو مطلــوب؛‬ ‫الهدف‬
‫إلنجــاز األعــال املتعلقــة بالجهــة‪.‬‬
‫الضوابط‬
‫باإلضافــة للضوابــط الفرعيــة ضمــن الضابــط ‪ 3-2-2‬يف الضوابــط األساســية لألمــن الســيرباين‪ ،‬يجــب‬ ‫‪1-2-2‬‬
‫أن تغطــي متطلبــات األمــن الســيرباين املتعلقــة بــإدارة هويــات الدخــول‪ ،‬والصالحيــات لحســابات‬
‫التواصــل االجتامعــي للجهــة‪ ،‬بحــد أدىن‪ ،‬مايــي‪:‬‬
‫‪ 1-1-2-2‬استخدام حسابات التواصل االجتامعي املخصصة للجهات‪ ،‬وليس األفراد‪.‬‬
‫التســجيل باســتخدام معلومــات رســمية (بريــد إلكــروين رســمي خــاص لوســائل‬ ‫‪2-1-2-2‬‬
‫التواصــل االجتامعــي ورقــم جــوال رســمي)‪ ،‬وعــدم اســتخدام معلومات شــخصية‪.‬‬
‫توثيــق حســابات التواصــل االجتامعــي واملحافظــة عــى هويــة متســقة يف‬ ‫‪3-1-2-2‬‬
‫جميــع حســابات التواصــل االجتامعــي املســتخدمة؛ لتســهيل معرفــة الحســابات‬
‫الرســمية‪ ،‬واكتشــاف حســابات االحتيــال‪.‬‬
‫اســتخدام كلمــة مــرور آمنــة وخاصــة لــكل حســابات التواصــل االجتامعــي‪.‬‬ ‫‪4-1-2-2‬‬
‫وتغيــر كلمــة املــرور بشــكل دوري‪ ،‬وعــدم إعــادة اســتخدام كلمــة مــرور تــم‬
‫اســتخدامها مــن قبــل‪.‬‬
‫اســتخدام التحقــق مــن الهويــة متعــدد العنــارص (‪Multi-Factor‬‬ ‫‪5-1-2-2‬‬
‫‪ )Authentication‬لعمليــات الدخــول لحســابات التواصــل االجتامعــي‪.‬‬
‫تفعيل وتحديث األسئلة األمنية وتوثيقها يف مكان آمن‪.‬‬ ‫‪6-1-2-2‬‬

‫‪15‬‬ ‫تصنيف الوثيقة‪ :‬مــــتاح‬

‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬ ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬

‫إدارة صالحيــات املســتخدمني لحســابات التواصــل االجتامعــي بنــا ًء عــى‬ ‫‪7-1-2-2‬‬

‫احتياجــات العمــل‪ ،‬مــع مراعــاة حساســية الحســابات ومســتوى الصالحيــات‪،‬‬
‫ونوعيــة األجهــزة واألنظمــة املســتخدمة‪.‬‬
‫حــر صالحيــات مقدمــي خدمــة إدارة حســابات التواصــل االجتامعــي أو املراقبة‬ ‫‪8-1-2-2‬‬
‫اآلليــة لحســابات التواصــل االجتامعــي أو حاميــة هويــة الجهــة مــن االنتحال‪.‬‬
‫حــر إمكانيــة الدخــول لحســابات التواصــل االجتامعــي للجهــة مــن أجهــزة‬ ‫‪9-1-2-2‬‬
‫محــددة‪.‬‬
‫رجوعـاً للضابــط الفرعــي ‪ 5-3-2-2‬يف الضوابــط األساســية لألمــن الســيرباين‪ ،‬يجــب مراجعــة هويات‬ ‫‪2-2-2‬‬
‫الدخــول والصالحيــات املســتخدمة لحســابات التواصــل االجتامعــي للجهــة‪ ،‬بحــد أدىن مــرة واحــدة‬
‫كل ســنة‪.‬‬
‫حاميـ�ة األنظمـ�ة وأجهـ�زة معالجـ�ة املعلومـ�ات (�‪Information System and Processing Fa‬‬
‫‪3-2‬‬
‫‪)cilities Protection‬‬
‫ضــان حاميــة األنظمــة وأجهــزة معالجــة املعلومــات مبــا يف ذلــك أجهــزة املســتخدمني والبنــى‬
‫الهدف‬
‫التحتيــة للجهــة مــن املخاطــر الســيربانية‪.‬‬
‫الضوابط‬
‫باإلضافــة للضوابــط الفرعيــة ضمــن الضابــط ‪ 3-3-2‬يف الضوابــط األساســية لألمــن الســيرباين‪ ،‬يجــب‬ ‫‪1-3-2‬‬
‫أن تغطــي متطلبــات األمــن الســيرباين لحاميــة حســابات التواصــل االجتامعــي للجهــة‪ ،‬واألصــول‬
‫التقنيــة الخاصــة بهــا‪ ،‬بحــد أدىن‪ ،‬مايــي‪:‬‬
‫‪ 1-1-3-2‬تطبيــق حــزم التحديثــات‪ ،‬واإلصالحــات األمنيــة لتطبيقــات التواصــل االجتامعــي‪،‬‬
‫مــرة واحــدة شــهرياً عــى األقــل‪.‬‬
‫‪ 2-1-3-2‬مراجعــة إعــدادات الحاميــة والتحصــن لحســابات التواصــل االجتامعــي للجهــة‬
‫واألصــول التقنيــة الخاصــة بهــا (‪،)Secure Configuration and Hardening‬‬
‫مــرة واحــدة كل ســنة عــى األقــل‪.‬‬
‫‪ 3-1-3-2‬مراجعــة وتحصــن اإلعــدادات املصنعيــة (‪ )Default Configuration‬لحســابات‬
‫التواصــل االجتامعــي واألصــول التقنيــة‪ ،‬ومنهــا وجــود كلــات مــرور ثابتــة أو‬
‫تســجيل الدخــول املســبق‪ ،‬وإقفــال األجهــزة (‪.)Lockout‬‬
‫‪ 4-1-3-2‬تقييــد تفعيــل الخصائــص والخدمــات يف حســابات التواصــل االجتامعــي حســب‬
‫الحاجــة‪ ،‬عــى أن يتــم تحليــل املخاطــر الســيربانية املحتملــة يف حــال الحاجــة‬
‫لتفعيلهــا‪.‬‬
‫أمن األجهزة املحمولة (‪)Mobile Device Security‬‬ ‫‪4-2‬‬
‫ضــان حاميــة أجهــزة الجهــة املحمولــة (مبــا يف ذلــك أجهــزة الحاســب املحمــول والهواتــف الذكيــة‬
‫واألجهــزة الذكيــة اللوحيــة) مــن املخاطــر الســيربانية‪ .‬وضــان التعامــل بشــكل آمــن مــع املعلومات‬
‫الهدف‬
‫الحساســة واملعلومــات الخاصــة بأعــال الجهــة وحاميتهــا أثنــاء النقــل والتخزيــن عنــد اســتخدام‬
‫األجهــزة الشــخصية للعاملــن يف الجهــة (مبــدأ ‪.)BYOD‬‬

‫تصنيف الوثيقة‪ :‬مــــتاح‬ ‫‪16‬‬

 ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬ ‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬

‫الضوابط‬
‫باإلضافــة للضوابــط الفرعيــة ضمــن الضابــط ‪ 3-6-2‬يف الضوابــط األساســية لألمــن الســيرباين‪ ،‬يجــب‬ ‫‪1-4-2‬‬
‫أن تغطــي متطلبــات األمــن الســيرباين الخاصــة بأمــن األجهــزة املحمولــة لحســابات التواصــل‬
‫االجتامعــي للجهــة‪ ،‬بحــد أدىن‪ ،‬مايــي‪:‬‬
‫‪ 1-1-4-2‬إدارة األجهــزة املحمولــة مركزيــاً باســتخدام نظــام إدارة األجهــزة املحمولــة‬
‫(‪.)Mobile Device Management - MDM‬‬
‫‪ 2-1-4-2‬تطبيــق حــزم التحديثــات‪ ،‬واإلصالحــات األمنيــة لألجهــزة املحمولــة‪ ،‬مــرة واحــدة‬
‫شــهرياً‪ ،‬عــى األقــل‪.‬‬
‫حامية البيانات واملعلومات (‪)Data and Information Protection‬‬ ‫‪5-2‬‬
‫ضــان حاميــة الرسيــة‪ ،‬وســامة بيانــات ومعلومــات الجهــة‪ ،‬ودقتهــا‪ ،‬وتوافرهــا‪ ،‬وذلــك وفقــاً‬
‫الهدف‬
‫للسياســات واإلجــراءات التنظيميــة للجهــة‪ ،‬واملتطلبــات الترشيعيــة والتنظيميــة ذات العالقــة‪.‬‬
‫الضوابط‬
‫باإلضافــة للضوابــط الفرعيــة ضمــن الضابــط ‪ 3-7-2‬يف الضوابــط األساســية لألمــن الســيرباين‪،‬‬ ‫‪1-5-2‬‬
‫يجــب أن تغطــي متطلبــات األمــن الســيرباين لحاميــة البيانــات واملعلومــات لحســابات التواصــل‬
‫االجتامعــي للجهــة‪ ،‬بحــد أدىن‪ ،‬مايــي‪:‬‬
‫‪ 1-1-5-2‬يجــب أن ال تحتــوي األصــول التقنيــة الخاصــة بحســابات التواصــل االجتامعــي‬
‫للجهــة عــى بيانــات مصنفــة‪ ،‬حســب الترشيعــات ذات العالقــة‪.‬‬
‫إدارة سـ�جالت األحـ�داث ومراقبـ�ة األمـ�ن السـ�يرباين( (�‪Cybersecurity Events Logs and Mon‬‬ ‫‪6-2‬‬
‫‪)itoring Management‬‬
‫ضــان تجميــع ســجالت األمــن الســيرباين وتحليلهــا ومراقبتهــا يف الوقــت املناســب؛ مــن أجــل‬
‫االكتشــاف االســتباقي للهجــات الســيربانية‪ ،‬وإدارة مخاطرهــا بفعاليــة؛ ملنــع اآلثــار املرتتبــة عــى‬ ‫الهدف‬
‫أعــال الجهــة أو تقليلهــا‪.‬‬
‫الضوابط‬
‫باإلضافــة للضوابــط الفرعيــة ضمــن الضابــط ‪ 3-12-2‬يف الضوابــط األساســية لألمــن الســيرباين‪،‬‬ ‫‪1-6-2‬‬
‫يجــب أن تغطــي متطلبــات إدارة ســجالت األحــداث‪ ،‬ومراقبــة األمــن الســيرباين لحســابات التواصــل‬
‫االجتامعــي للجهــة واألصــول التقنيــة التابعــة لهــا‪ ،‬بحــد أدىن‪ ،‬مايــي‪:‬‬
‫‪ 1-1-6-2‬تفعيــل جميــع اإلشــعارات وتنبيهــات األمــن الســيرباين الخاصة بحســابات التواصل‬
‫االجتامعــي وســجالت األحــداث (‪ )Event Logs‬الخاصــة باألمــن الســيرباين عــى‬
‫األصــول التقنيــة الخاصــة بحســابات التواصــل االجتامعــي‪.‬‬
‫‪ 2-1-6-2‬متابعــة حســابات التواصــل االجتامعــي و مراقبتهــا للتأكــد مــن عــدم نــر أي‬
‫محتــوى غــر مــرح‪ ،‬أو تســجيل أي دخــول غــر مــرح‪.‬‬
‫‪ 3-1-6-2‬متابعــة شــبكات التواصــل االجتامعــي ومراقبتهــا للتأكــد مــن عــدم انتحــال هويــة‬
‫الجهة‪.‬‬
‫‪ 4-1-6-2‬املراقبــة اآلليــة ألي تغيــر يف منــط الحســابات أو مــؤرشات اخ ـراق أو نــر أي‬
‫محتــوى غــر مــرح أو انتحــال هويــة الجهــة‪.‬‬

‫‪17‬‬ ‫تصنيف الوثيقة‪ :‬مــــتاح‬

‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬ ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬

‫إدارة حـ�وادث وتهديـ�دات األمـ�ن السـ�يرباين (�‪Cybersecurity Incident and Threat Man‬‬ ‫‪7-2‬‬
‫‪)agement‬‬
‫ضــان تحديــد واكتشــاف حــوادث األمــن الســيرباين يف الوقــت املناســب وإدارتهــا بشــكل فعــال‬
‫والتعامــل مــع تهديــدات األمــن الســيرباين اســتباقياً مــن أجــل منــع أو تقليــل اآلثــار املرتتبــة عــى‬ ‫الهدف‬
‫أعــال الجهــة‪ ،‬مــع مراعــاة مــاورد يف األمــر الســامي الكريــم رقــم ‪ 37140‬وتاريــخ ‪1438/8/14‬هــــ‪.‬‬
‫الضوابط‬
‫‪ 1- 7- 2‬باإلضافــة للضوابــط الفرعيــة ضمــن الضابــط ‪ 3-13-2‬يف الضوابــط األساســية لألمــن الســيرباين‪ ،‬يجب‬
‫أن تغطــي متطلبــات إدارة حــوادث وتهديــدات األمــن الســيرباين يف الجهــة‪ ،‬بحــد أدىن‪ ،‬ماييل‪:‬‬
‫‪ 1-1-7-2‬وضــع خطــة اســتعادة حســابات التواصــل االجتامعــي والتعامــل مــع الحــوادث‬
‫الســيربانية‪.‬‬

‫األمن السيرباين املتعلق باألطراف الخارجية (‪)Third-Party Cybersecurity‬‬ ‫‪1-3‬‬

‫ضــان حاميــة أصــول الجهــة مــن مخاطــر األمــن الســيرباين املتعلقــة باألط ـراف الخارجيــة (مبــا‬
‫يف ذلــك خدمــات اإلســناد لتقنيــة املعلومــات "‪ "Outsourcing‬والخدمــات املــدارة "‪Managed‬‬
‫الهدف‬
‫‪ .) "Services‬وفقـاً للسياســات واإلجـراءات التنظيميــة للجهــة‪ ،‬واملتطلبــات الترشيعيــة والتنظيميــة‬
‫ذات العالقــة‪.‬‬
‫الضوابط‬
‫يجــب تقييــم مــدى الحاجــة الســتخدام خدمــات إدارة حســابات التواصــل االجتامعــي (‪social‬‬ ‫‪1-1-3‬‬
‫‪ )media management‬واملراقبــة اآلليــة لحســابات التواصــل االجتامعــي أو لحاميــة هويــة الجهــة‬
‫مــن االنتحــال (‪ )brand protection‬ومخاطــر األمــن الســيرباين املتعلقــة بهــا‪.‬‬
‫باإلضافــة للضوابــط الفرعيــة ضمــن الضابــط ‪ 2 - 1 - 4‬يف الضوابــط األساســية لألمــن الســيرباين‪،‬‬ ‫‪2-1-3‬‬
‫يجــب أن تغطــي متطلبــات األمــن الســيرباين الخاصــة باســتخدام خدمــات إدارة حســابات التواصــل‬
‫االجتامعــي (‪ )social media management‬واملراقبــة اآلليــة لحســابات التواصــل االجتامعــي أو‬
‫لحاميــة هويــة الجهــة مــن االنتحــال (‪ ،)brand protection‬بحــد أدىن‪ ،‬مــا يــي‪:‬‬
‫‪ 1-2-1-3‬بنــود املحافظــة عــى رسيــة املعلومــات (‪ )Non-Disclosure Clauses‬والحــذف‬
‫اآلمــن مــن قبــل الطــرف الخارجــي لبيانــات الجهــة عنــد انتهــاء الخدمــة‪.‬‬
‫‪ 2-2-1-3‬إجراءات التواصل لإلبالغ عن الثغرات ويف حال اكتشاف حادثة أمن سيرباين‪.‬‬
‫‪ 3-2-1-3‬إل ـزام الطــرف الخارجــي بتطبيــق متطلبــات وسياســات األمــن الســيرباين لحاميــة‬
‫حســابات التواصــل االجتامعــي للجهــة واملتطلبــات الترشيعيــة والتنظيميــة ذات‬
‫العالقــة‪.‬‬

‫تصنيف الوثيقة‪ :‬مــــتاح‬ ‫‪18‬‬

 ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬ ‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬

‫مالحق‬

‫ملحق (أ)‪ :‬العالقة مع الضوابط األساسية لألمن السيبراني‬

‫ت ُ َعــد ضوابــط األمــن الســيرباين لحســابات التواصــل االجتامعــي للجهــات؛ امتــدادا ً للضوابــط األساســية لألمــن‬
‫الســيرباين (‪ )ECC- 1: 2018‬كــا هــو موضــح يف الشــكلني (‪ )4‬و (‪ ،)5‬مــن خــال اآليت‪:‬‬
‫•اثنــا عــر (‪ )12‬مكونـاً فرعيـاً‪ ،‬أضيفــت لهــا ضوابــط خاصــة باألمــن الســيرباين لحســابات التواصــل‬
‫االجتامعــي للجهات؛‬
‫•يف حــن أن هنــاك ســبعة عــر (‪ )17‬مكونـاً فرعيـاً‪ ،‬مل يضــف لهــا ضوابــط خاصــة باألمــن الســيرباين‬
‫لحســابات التواصــل االجتامعــي للجهات‪.‬‬

‫مكونات فرعية أضيف لها ضوابط خاصة لحسابات التواصل االجتامعي للجهات‬
‫مكونات فرعية مل يضف لها ضوابط خاصة لحسابات التواصل االجتامعي للجهات‬
‫شكل ‪ :4‬دليل ألوان املكونات الفرعية يف الشكل ‪5‬‬

‫‪19‬‬ ‫تصنيف الوثيقة‪ :‬مــــتاح‬

‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬ ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬

‫إدارة األمن السيرباين‬ ‫اسرتاتيجية األمن السيرباين‬

‫‪Cybersecurity Management‬‬ ‫‪Cybersecurity Strategy‬‬
‫سياسات وإجراءات األمن‬
‫أدوار ومسؤوليات األمن السيرباين‬ ‫السيرباين‬
‫‪Cybersecurity Roles and Responsibil- Cybersecurity Policies and 1-1‬‬
‫‪ities‬‬ ‫‪Procedures‬‬
‫األمن السيرباين ضمن إدارة املشاريع‬
‫املعلوماتية والتقنية‬ ‫إدارة مخاطر األمن السيرباين‬ ‫‪ - 1‬حوكمة األمن‬
‫‪Cybersecurity Risk Manage- 2 - 1‬‬ ‫السيرباين‬
‫‪Cybersecurity in Information‬‬
‫‪ment‬‬ ‫‪Cybersecurity‬‬
‫‪Technology Projects‬‬
‫‪ Governance‬االلتزام بترشيعات‬
‫وتنظيامت ومعايري األمن املراجعة والتدقيق الدوري لألمن السيرباين‬
‫السيرباين‬
‫‪Cybersecurity Periodical Assessment Cybersecurity Regulatory Compli-‬‬
‫‪and Audit‬‬ ‫‪ance‬‬
‫برنامج التوعية والتدريب باألمن‬ ‫األمن السيرباين املتعلق باملوارد‬
‫السيرباين‬ ‫البرشية‬
‫‪4-1‬‬ ‫‪3-1‬‬
‫‪Cybersecurity Awareness and‬‬ ‫‪Cybersecurity in Human‬‬
‫‪Training Program‬‬ ‫‪Resources‬‬

‫تصنيف الوثيقة‪ :‬مــــتاح‬ ‫‪20‬‬

 ‫ أبيــ ــض‬:‫إش ــارة املش ــاركة‬ ‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬

‫إدارة هويات الدخول والصالحيات‬ ‫إدارة األصول‬

Identity and Access Manage- 2 - 2 1-2
Asset Management
ment
‫حامية األنظمة وأجهزة معالجة‬
‫املعلومات‬
‫حامية الربيد اإللكرتوين‬
Information System and 3 - 2
Email Protection Processing Facilities Protec-
tion
‫أمن األجهزة املحمولة‬ ‫إدارة أمن الشبكات‬
4-2
Mobile Devices Security Networks Security Management
‫حامية البيانات واملعلومات‬
‫التشفري‬ ‫ تعزيز األمن‬- 2
Data and Information Pro- 5 - 2
Cryptography ‫السيرباين‬
tection
‫إدارة الثغرات‬ ‫إدارة النسخ االحتياطية‬ Cybersecurity
Vulnerabilities Management Backup and Recovery Management Defense
‫إدارة سجالت األحداث ومراقبة‬
‫األمن السيرباين‬ ‫اختبار االخرتاق‬
6-2
Cybersecurity Event Logs and Penetration Testing
Monitoring Management
‫إدارة حوادث وتهديدات األمن‬
‫األمن املادي‬ ‫السيرباين‬
7-2
Physical Security Cybersecurity Incident and
Threat Management
‫حامية تطبيقات الويب‬
Web Application Security
‫ صمود األمن‬- 3
‫صمود األمن السيرباين يف إدارة استمرارية األعامل‬ ‫السيرباين‬
Cybersecurity Resilience aspects of Business Continuity Management Cybersecurity
(BCM)
Resilience

21 ‫ مــــتاح‬:‫تصنيف الوثيقة‬
‫ضوابــط األمــن الســيبراني لحســابات التواصــل االجتماعــي للجهــات‬ ‫إش ــارة املش ــاركة‪ :‬أبيــ ــض‬

‫‪ - 4‬األمن‬
‫السيرباين املتعلق‬
‫باألطراف الخارجية‬
‫األمن السيرباين املتعلق بالحوسبة السحابية‬ ‫والحوسبة‬
‫األمن السيرباين املتعلق باألطراف‬
‫واالستضافة‬ ‫السحابية‬
‫الخارجية‬ ‫‪1-3‬‬
‫‪Cloud Computing and Hosting Cy-‬‬ ‫‪Third-Party‬‬
‫‪Third-Party Cybersecurity‬‬
‫‪bersecurity‬‬
‫‪and Cloud‬‬
‫‪Computing‬‬
‫‪Cybersecurity‬‬
‫‪ - 5‬األمن السيرباين‬
‫ألنظمة التحكم‬
‫حامية أجهزة وأنظمة التحكم الصناعي‬ ‫الصناعي‬
‫‪Industrial Control Systems (ICS) Protection‬‬
‫‪ICS Cyberse-‬‬
‫‪curity‬‬
‫شكل ‪ : 5‬مكونات الضوابط األساسية لألمن السيرباين‪ ،‬وضوابط األمن السيرباين لحسابات التواصل‬
‫االجتامعي للجهات‬

‫تصنيف الوثيقة‪ :‬مــــتاح‬ ‫‪22‬‬