Uploaded by Nader Alkahtani

NIST 1674465147

advertisement
‫إطﺎر ﻋﻤﻞ ﻟﺘﺤﺴﯿﻦ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻠﺒﻨﯿﺔ‬
‫اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‬
1.1 ‫اﻟﻨﺴﺨﺔ‬
(NIST) ‫اﻟﻤﻌﮭﺪ اﻟﻮطﻨﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ‬
2018 ،‫ أﺑﺮﯾﻞ‬16
https://doi.org/10.6028/NIST.CSWP.04162018ar
The official English language version of this publication is available free of charge from the National Institute of
Standards and Technology (NIST): https://doi.org/10.6028/NIST.CSWP.04162018.
‫إطــﺎر ﻋﻣــل اﻷﻣــن اﻟﺳـــﯾﺑراﻧﻲ‬
‫اﻟﻧﺳـــﺧﺔ ‪1.1‬‬
‫‪ 16‬ﻧﯾﺳــﺄن ‪2018‬‬
‫ُ‬
‫ﻣﻼﺣﻈﺎت ﻟﻠﻘ ّﺮاء ﻋﻦ اﻟنﺴﺨﺔ اﻟﻤﺤﺪﺛﺔ‬
‫ﺗﮭﺪف اﻟﻨﺴﺨﺔ ‪ 1.1‬ﻣﻦ ھﺬا اﻹطﺎر اﻟﻌﻤﻠﻲ ﻟﻸﻣﻦ اﻟﺴﺒﺮاﻧﻲ إﻟﻰ ﺗﻨﻘﯿﺢ وﺗﻮﺿﯿﺢ وإﺛﺮاء اﻟﻨﺴﺨﺔ ‪ 1.0‬اﻟﺘﻲ ﺗﻢ إﺻﺪارھﺎ ﻓﻲ ﻓﺒﺮاﯾﺮ‬
‫‪ .2014‬ﺗﺪﻣﺞ اﻟﻨﺴﺨﺔ اﻟﺤﺎﻟﯿﺔ اﻟ ُﻤﺤﺪﺛﺔ اﻟﺘﻌﻠﯿﻘﺎت اﻟﺘﻲ ﺗﻢ ﺗﻠﻘﯿﮭﺎ ﻋﻦ اﻟﻤﺴﻮدﺗﯿﻦ ﻟﻠﻨﺴﺨﺔ ‪.1.1‬‬
‫اﻟﮭﺪف ﻣﻦ اﻟﻨﺴﺨﺔ ‪ 1.1‬ھﻮ أن ﯾﺘﻢ ﺗﻄﺒﯿﻘﮭﺎ ﻣﻦ ﻗﺒﻞ اﻟﻤﺴﺘﺨﺪﻣﯿﻦ اﻟﺠﺪد واﻟﻤﺴﺘﺨﺪﻣﯿﻦ اﻟﺤﺎﻟﯿﯿﻦ ﻹطﺎر اﻟﻌﻤﻞ‪ .‬ﻣﻦ اﻟﻤﻔﺘﺮض أن‬
‫ﯾﻜﻮن اﻟﻤﺴﺘﺨﺪﻣﻮن اﻟﺤﺎﻟﯿﻮن ﻗﺎدرﯾﻦ ﻋﻠﻰ ﺗﻄﺒﯿﻖ اﻟﻨﺴﺨﺔ ‪ 1.1‬ﺑﺎﻟﺤﺪ اﻷدﻧﻰ ﻣﻦ اﻹﺧﻼل ﺑﺎﻟﻨﺴﺨﺔ اﻟﺴﺎﺑﻘﺔ أو ﻣﻦ دون أي إﺧﻼل‬
‫ﺑﮭﺎ‪ ،‬إذ أن اﻟﺘﻮاﻓﻖ ﻣﻊ اﻟﻨﺴﺨﺔ ‪ 1.0‬ﻛﺎن أﺣﺪ اﻷھﺪاف اﻟﺼﺮﯾﺤﺔ ﻟﻠﻨﺴﺨﺔ اﻟﻤﺤﺪﺛﺔ‪.‬‬
‫اﻟﺠﺪول أدﻧﺎه ﯾﻠ ّﺨﺺ اﻟﺘﻐﯿﯿﺮات ﺑﯿﻦ اﻟﻨﺴﺨﺘﯿﻦ ‪ 1.0‬واﻟﻨﺴﺨﺔ ‪.1.1‬‬
‫ﺟﺪول ‪ :1‬ﻣﻠﺨﺺ ﻋﻦ اﻟﺘﻐﯿﯿﺮات ﻋﻠﻰ إطﺎر اﻟﻌﻤﻞ ﺑﯿﻦ اﻟﻨﺴﺨﺔ ‪ 1.0‬واﻟﻨﺴﺨﺔ ‪1.1‬‬
‫اﻟﺘﺤﺪﯾﺚ‬
‫اﻟﺘﻮﺿﯿﺢ ﺑﺄن اﻟﻤﺼﻄﻠﺤﺎت ﻣﺜﻞ‬
‫"اﻟﺘﻘﯿﺪ" ﻗﺪ ﺗﻜﻮن ﻣﺮﺑﻜﺔ وﺗﺤﻤﻞ‬
‫ﻣﻌﺎن ﻣﺨﺘﻠﻔﺔ ﺟﺪًا ﻓﻲ ﻧﻈﺮ‬
‫أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ اﻟﻤﺨﺘﻠﻔﯿﻦ‬
‫ﺑﺈطﺎر اﻟﻌﻤﻞ‪.‬‬
‫ﻗﺴﻢ ﺟﺪﯾﺪ ﻋﻦ اﻟﺘﻘﯿﯿﻢ اﻟﺬاﺗﻲ‪.‬‬
‫إﺿﺎﻓﺔ ﺷﺮح ﻣﻮﺳﻊ ﻻﺳﺘﺨﺪام‬
‫إطﺎر اﻟﻌﻤﻞ ﻓﻲ ﻣﺠﺎل إدارة‬
‫اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻟﺴﻼﺳﻞ‬
‫اﻹﻣﺪاد‪.‬‬
‫ﺗﻨﻘﯿﺤﺎت ﻷﺧﺬ ﻣﺴﺎﺋﻞ اﻟﻤﺼﺎدﻗﺔ‬
‫واﻟﺘﺼﺮﯾﺢ وإﺛﺒﺎت اﻟﮭﻮﯾﺔ ﺑﻤﺰﯾﺪ‬
‫ﻣﻦ اﻻﻋﺘﺒﺎر‪.‬‬
‫ﺷﺮح أﻓﻀﻞ ﻟﻠﻌﻼﻗﺔ ﺑﯿﻦ ﻣﺮاﺣﻞ‬
‫اﻟﺘﻄﺒﯿﻖ وﺑﯿﻦ اﻟﻨﻤﺎذج‬
‫‪ii‬‬
‫وﺻﻒ اﻟﺘﺤﺪﯾﺚ‬
‫ﺗﻢ إﺿﺎﻓﺔ ﺗﻮﺿﯿﺢ ﺑﺄن "اﻟﺠﺪوى" ھﻲ ﺑﻨﯿﺔ وﻟﻐﺔ إطﺎر اﻟﻌﻤﻞ ﻣﻦ أﺟﻞ ﺗﻨﻈﯿﻢ اﻟﺘﻘﯿﺪ‬
‫ﺑﻤﺘﻄﻠﺒﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻠﻤﻨﻈﻤﺔ وﻟﻠﺘﻌﺒﯿﺮ ﻋﻦ ھﺬا اﻟﺘﻘﯿﺪ ﻣﻦ ﺧﻼل ﻣﺘﻄﻠﺒﺎت اﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ اﻟﺨﺎﺻﺔ ﺑﺎﻟﻤﻨﻈﻤﺔ‪ .‬وﻣﻊ ذﻟﻚ‪ ،‬ﻓﺈن اﻟﻄﺮق اﻟﻤﺨﺘﻠﻔﺔ اﻟﺘﻲ ﯾﻤﻜﻦ ﻣﻦ ﺧﻼﻟﮭﺎ‬
‫اﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ ﻣﻦ ﻗﺒﻞ اﻟﻤﻨﻈﻤﺔ ﺗﺸﯿﺮ إﻟﻰ أن ﻋﺒﺎرات ﻣﻦ ﻣﺜﻞ "اﻟﺘﻘﯿﺪ ﺑﺈطﺎر‬
‫اﻟﻌﻤﻞ" ﻗﺪ ﺗﻜﻮن ﻣﺮﺑﻜﺔ‪.‬‬
‫إﺿﺎﻓﺔ ﻗﺴﻢ ‪ 4.0‬اﻟﺘﻘﯿﯿﻢ اﻟﺬاﺗﻲ ﻟﻤﺨﺎطﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﺑﺎﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ ﻟﺸﺮح‬
‫ﻛﯿﻒ ﯾﻤﻜﻦ اﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ ﻣﻦ ﻗﺒﻞ اﻟﻤﻨﻈﻤﺎت ﻟﻔﮭﻢ وﺗﻘﯿﯿﻢ ﻣﺨﺎطﺮ اﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ ﻟﺪﯾﮭﻢ‪ ،‬ﺑﻤﺎ ﻓﻲ ذﻟﻚ اﺳﺘﺨﺪام اﻟﻤﻘﺎﯾﯿﺲ‪.‬‬
‫ﯾﺴﺎﻋﺪ اﻟﻘﺴﻢ اﻟﻤﻮﺳّﻊ ‪ 3.3‬إﺑﻼغ ﻣﺘﻄﻠﺒﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ إﻟﻰ أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ‬
‫اﻟﻤﺴﺘﺨﺪﻣﯿﻦ ﻓﻲ ﻓﮭﻢ إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻟﺴﻼﺳﻞ اﻹﻣﺪاد ‪ SCRM‬ﺑﺸﻜﻞ‬
‫أﻓﻀﻞ‪ .‬ﻛﻤﺎ ﯾﻘﻮم اﻟﻘﺴﻢ ‪ 3.4‬ﻗﺮارات اﻟﺸﺮاء ﺑﺘﺴﻠﯿﻂ اﻟﻀﻮء ﻋﻠﻰ اﺳﺘﺨﺪام إطﺎر‬
‫اﻟﻌﻤﻞ ﻓﻲ ﻓﮭﻢ اﻟﻤﺨﺎطﺮ اﻟﻤﺘﻌﻠﻘﺔ ﺑﺎﻟﻤﻨﺘﺠﺎت واﻟﺨﺪﻣﺎت اﻟﺘﺠﺎرﯾﺔ اﻟﺠﺎھﺰة‪ .‬أﯾﻀًﺎ‪ ،‬ﺗﻢ‬
‫إﺿﺎﻓﺔ ﻣﻌﺎﯾﯿﺮ ﺳﺒﺮاﻧﯿﺔ ﺟﺪﯾﺪة ﺗﺘﻌﻠﻖ ﺑﺈدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻟﺴﻼﺳﻞ اﻹﻣﺪاد إﻟﻰ‬
‫وأﺧﯿﺮا‪ ،‬ﺗﻢ إﺿﺎﻓﺔ ﺗﺼﻨﯿﻒ إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻟﺴﻼﺳﻞ‬
‫ﻣﺮاﺣﻞ اﻟﺘﻄﺒﯿﻖ‪.‬‬
‫ً‬
‫اﻹﻣﺪاد إﻟﻰ ﻧﻮاة إطﺎر اﻟﻌﻤﻞ‪ ،‬وﯾﺸﻤﻞ ذﻟﻚ ﻋﺪة ﺗﺼﻨﯿﻔﺎت ﻓﺮﻋﯿﺔ‪.‬‬
‫ﺗﻢ ﺗﻨﻘﯿﺢ اﻟﻠﻐﺔ اﻟﻤﺴﺘﺨﺪﻣﺔ ﻓﻲ ﺗﺼﻨﯿﻒ اﻟﺘﺤﻜﻢ ﻓﻲ اﻟﻮﺻﻮل ﻷﺧﺬ ﻣﺴﺎﺋﻞ اﻟﻤﺼﺎدﻗﺔ‬
‫واﻟﺘﺼﺮﯾﺢ وإﺛﺒﺎت اﻟﮭﻮﯾﺔ ﺑﻤﺰﯾﺪ ﻣﻦ اﻻﻋﺘﺒﺎر‪ .‬وذﻟﻚ ﯾﺸﻤﻞ إﺿﺎﻓﺔ ﺗﺼﻨﯿﻒ ﻓﺮﻋﻲ‬
‫ﻟﻜﻞ ﻣﻦ اﻟﻤﺼﺎدﻗﺔ وإﺛﺒﺎت اﻟﮭﻮﯾﺔ‪ .‬ﻛﻤﺎ ﺗﻢ ﺗﻐﯿﯿﺮ اﺳﻢ اﻟﺘﺼﻨﯿﻒ إﻟﻰ إدارة اﻟﮭﻮﯾﺎت‬
‫واﻟﺘﺤﻜﻢ ﻓﻲ اﻟﻮﺻﻮل )‪ (PR.AC‬ﻣﻦ أﺟﻞ ﺗﻤﺜﯿﻞ ﻧﻄﺎق اﻟﺘﺼﻨﯿﻒ واﻟﺘﺼﺎﻧﯿﻒ‬
‫اﻟﻔﺮﻋﯿﺔ اﻟﺘﺎﺑﻌﺔ ﻟﮫ ﺑﺸﻜﻞ أﻓﻀﻞ‪.‬‬
‫ﺷﺮح إﺿﺎﻓﻲ ﻓﻲ اﻟﻘﺴﻢ ‪ 3.2‬ﺗﺄﺳﯿﺲ أو ﺗﻄﻮﯾﺮ ﺑﺮﻧﺎﻣﺞ أﻣﻦ ﺳﯿﺒﺮاﻧﻲ ﻋﻦ اﺳﺘﺨﺪام‬
‫ﻣﺮاﺣﻞ إطﺎر اﻟﻌﻤﻞ ﻓﻲ ﺗﻄﺒﯿﻖ إطﺎر اﻟﻌﻤﻞ‪ .‬ﺷﺮح إﺿﺎﻓﻲ ﻓﻲ ﻣﺮاﺣﻞ إطﺎر اﻟﻌﻤﻞ‬
‫ﺑﮭﺪف إﺑﺮاز اﻋﺘﺒﺎرات إطﺎر اﻟﻌﻤﻞ ﻓﻲ اﻟﺒﺮاﻣﺞ اﻟﺘﻨﻈﯿﻤﯿﺔ ﻹدارة اﻟﻤﺨﺎطﺮ‪ .‬ﻛﻤﺎ ﺗﻢ‬
‫ﺗﻨﻘﯿﺢ ﻣﻔﺎھﯿﻢ ﻣﺮﺣﻠﺔ إطﺎر اﻟﻌﻤﻞ‪ .‬وأﯾﻀًﺎ‪ ،‬ﺗﻢ ﺗﺤﺪﯾﺚ اﻟﺸﻜﻞ ‪ 2.0‬ﻟﯿﺤﺘﻮي ﻋﻠﻰ‬
‫اﻹﺟﺮاءات ﻣﻦ ﻣﺮاﺣﻞ إطﺎر اﻟﻌﻤﻞ‪.‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫اﻟﻧﺳـــﺧﺔ ‪1.1‬‬
‫ﻧﻈﺮة إﻟﻰ اﻹﻓﺼﺎح اﻟﻤﻨﺴﻖ ﻋﻦ‬
‫ﻣﻮاطﻦ اﻟﻀﻌﻒ‬
‫إطــﺎر ﻋﻣــل اﻷﻣــن اﻟﺳـــﯾﺑراﻧﻲ‬
‫‪ 16‬ﻧﯾﺳــﺄن ‪2018‬‬
‫ﺗﻢ إﺿﺎﻓﺔ ﺗﺼﻨﯿﻒ ﻓﺮﻋﻲ ﯾﺘﻌﻠﻖ ﺑﺪورة ﺣﯿﺎة اﻹﻓﺼﺎح ﻋﻦ ﻣﻮاطﻦ اﻟﻀﻌﻒ‪.‬‬
‫وﻛﻤﺎ ھﻮ اﻷﻣﺮ ﻓﻲ اﻟﻨﺴﺨﺔ ‪ ،1.0‬ﻓﺈﻧﻨﺎ ﻧﺸﺠﻊ ﻣﺴﺘﺨﺪﻣﻲ اﻟﻨﺴﺨﺔ ‪ 1.1‬ﻋﻠﻰ ﺗﻜﯿﯿﻒ إطﺎر اﻟﻌﻤﻞ ﻟﺘﺤﻘﯿﻖ اﻟﻘﯿﻤﺔ اﻟﻘﺼﻮى ﻟﻜﻞ‬
‫ﻣﻨﻈﻤﺔ‪.‬‬
‫‪iii‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫اﻟﻧﺳـــﺧﺔ ‪1.1‬‬
‫إطــﺎر ﻋﻣــل اﻷﻣــن اﻟﺳـــﯾﺑراﻧﻲ‬
‫‪ 16‬ﻧﯾﺳــﺄن ‪2018‬‬
‫ﺷﻜﺮ وﺗﻘﺪﯾﺮ‬
‫ھﺬه اﻟﻨﺸﺮة ھﻲ ﺛﻤﺮة ﺟﮭﻮد ﺗﻌﺎوﻧﯿﺔ ﻣﺘﻮاﺻﻠﺔ ﻣﻦ ﻛﻞ ﻣﻦ اﻷوﺳﺎط اﻟﺼﻨﺎﻋﯿﺔ واﻷوﺳﺎط اﻷﻛﺎدﯾﻤﯿﺔ واﻟﺤﻜﻮﻣﺔ‪ .‬ﻟﻘﺪ ﻗﺎم اﻟﻤﻌﮭﺪ‬
‫اﻟﻮطﻨﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ ‪ NIST‬ﺑﺈطﻼق اﻟﻤﺸﺮوع ﻋﺒﺮ اﺟﺘﻤﺎﻋﺎت ﻣﻊ ﻣﻨﻈﻤﺎت وأﻓﺮاد ﻣﻦ اﻟﻘﻄﺎﻋﯿﻦ اﻟﺨﺎص واﻟﻌﺎم ﻓﻲ‬
‫ﻋﺎم ‪ .2013‬إطﺎر اﻟﻌﻤﻞ ﻟﺘﺤﺴﯿﻦ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻠﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ ،‬اﻟﺬي ﺗﻢ ﻧﺸﺮه ﻓﻲ ‪ 2014‬وﺗﻤﺖ ﻣﺮاﺟﻌﺘﮫ ﺧﻼل اﻟﻌﺎم‬
‫‪ 2017‬و‪ ،2018‬اﻋﺘُﻤﺪ ﻓﯿﮫ ﻋﻠﻰ ‪ 8‬ورش ﻋﻤﻞ ﻋﻤﻮﻣﯿﺔ‪ ،‬و ﻋﻠﻰ ﻋﺪة طﻠﺒﺎت ﻹﺑﺪاء اﻟﺘﻌﻠﯿﻘﺎت واﻟﻤﻌﻠﻮﻣﺎت‪ ،‬وﻋﻠﻰ آﻻف‬
‫اﻟﺘﻌﺎﻣﻼت اﻟﻤﺒﺎﺷﺮة ﻣﻊ أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ ﻣﻦ ﻛﺎﻓﺔ اﻟﻘﻄﺎﻋﺎت ﻓﻲ اﻟﻮﻻﯾﺎت اﻟﻤﺘﺤﺪة اﻷﻣﺮﯾﻜﯿﺔ ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ﻋﺪة ﻗﻄﺎﻋﺎت‬
‫ﺣﻮل اﻟﻌﺎﻟﻢ‪.‬‬
‫إن اﻟﺤﻮاﻓﺰ وراء ﺗﻐﯿﯿﺮ اﻟﻨﺴﺨﺔ ‪ 1.1‬واﻟﺘﻐﯿﯿﺮات اﻟﻤﻮﺟﻮدة ﻓﻲ ھﺬه اﻟﻨﺴﺨﺔ ‪ 1.1‬ﺗﻘﻮم ﻋﻠﻰ‪:‬‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫اﻟﺘﻌﻠﯿﻘﺎت واﻷﺳﺌﻠﺔ اﻟﻤﺘﻜﺮرة اﻟﺘﻲ ﺗﻠﻘﺎھﺎ ‪ NIST‬ﻣﻨﺬ ﺻﺪور إطﺎر اﻟﻌﻤﻞ ﻧﺴﺨﺔ ‪1.0‬‬
‫اﻟﺮدود اﻟـ‪ 105‬ﻋﻠﻰ طﻠﺐ اﻟﻤﻌﻠﻮﻣﺎت اﻟﻤﻨﺸﻮر ﻓﻲ دﯾﺴﻤﺒﺮ ‪Framework for Improving Critical :2015‬‬
‫‪Infrastructure Cybersecurity‬‬
‫ﻣﺎ ﯾﻘﺎرب ال‪ 85‬ﺗﻌﻠﯿﻘًﺎ ﻋﻠﻰ اﻟﻤﺴﻮدة اﻟﻤﻘﺘﺮﺣﺔ اﻟﺜﺎﻧﯿﺔ ﻟﻠﻨﺴﺨﺔ ‪ 1.1‬واﻟﻤﻨﺸﻮرة ﻓﻲ ‪ 5‬دﯾﺴﻤﺒﺮ ‪.2017‬‬
‫ﻣﺎ ﯾﻘﺎرب ال‪ 120‬ﺗﻌﻠﯿﻘًﺎ ﻋﻠﻰ اﻟﻤﺴﻮدة اﻟﻤﻘﺘﺮﺣﺔ اﻷوﻟﻰ ﻟﻠﻨﺴﺨﺔ ‪ 1.1‬واﻟﻤﻨﺸﻮرة ﻓﻲ ‪ 10‬ﯾﻨﺎﯾﺮ ‪2017‬‬
‫ﺗﻌﻘﯿﺒﺎت أﻛﺜﺮ ﻣﻦ ‪ 1200‬ﺷﺨﺺ ﺣﻀﺮوا ورﺷﺎت ﻋﻤﻞ إطﺎر اﻟﻌﻤﻞ ﻓﻲ ﻋﺎﻣﻲ ‪ 2016‬و‪2017‬‬
‫ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟﻚ‪ ،‬ﻗﺎم اﻟﻤﻌﮭﺪ اﻟﻘﻮﻣﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ ‪ NIST‬ﻣﺴﺒﻘًﺎ ﺑﺈﺻﺪار اﻟﻨﺴﺨﺔ ‪ 1.0‬ﻣﻦ إطﺎر ﻋﻤﻞ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫ﻣﻊ ﻣﻠﻒ ﻣﺮاﻓﻖ ﻟﮫ ﺧﺎرطﺔ طﺮﯾﻖ ‪ NIST‬ﻟﺘﻄﻮﯾﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻠﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ .‬ﻓﻲ ﺧﺎرطﺔ اﻟﻄﺮﯾﻖ ھﺬه ﯾﺘﻢ ﺗﺴﻠﯿﻂ‬
‫اﻟﻀﻮء ﻋﻠﻰ "ﻣﺠﺎﻻت اﻟﺘﺤﺴﯿﻦ" اﻷﺳﺎﺳﯿﺔ ﻟﻠﻤﺰﯾﺪ ﻣﻦ اﻟﺘﻄﻮﯾﺮ واﻟﻤﻮاءﻣﺔ واﻟﻌﻤﻞ اﻟﻤﺸﺘﺮك‪ .‬ﺑﻔﻀﻞ اﻟﻘﻄﺎﻋﯿﻦ اﻟﺨﺎص واﻟﻌﺎم‪،‬‬
‫ﺗﻄﻮرت ﺑﻌﺾ ﻣﺠﺎﻻت اﻟﺘﺤﺴﯿﻦ ﺑﻤﺎ ﯾﻜﻔﻲ ﻟﯿﺘﻢ إﺿﺎﻓﺘﮭﺎ إﻟﻰ إطﺎر اﻟﻌﻤﻞ ھﺬا ﺑﻨﺴﺨﺘﮫ ‪.1.1‬‬
‫ﯾﺘﻘﺪم اﻟﻤﻌﮭﺪ اﻟﻘﻮﻣﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ ‪ NIST‬ﺑﺎﻟﺸﻜﺮ واﻟﺜﻨﺎء إﻟﻰ ﻛﻞ ﻣﻦ ﺳﺎھﻢ ﻓﻲ إﻋــﺪاد ھﺬا اﻹطﺎر اﻟﻌﺎم‬
‫‪iv‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫اﻟﻧﺳـــﺧﺔ ‪1.1‬‬
‫إطــﺎر ﻋﻣــل اﻷﻣــن اﻟﺳـــﯾﺑراﻧﻲ‬
‫‪ 16‬ﻧﯾﺳــﺄن ‪2018‬‬
‫ﻣﻠﺨﺺ ﺗﻨﻔﯿﺬي‬
‫ﺗﻌﺘﻤﺪ اﻟﻮﻻﯾﺎت اﻟﻤﺘﺤﺪة اﻷﻣﺮﯾﻜﯿﺔ ﻋﻠﻰ اﻷداء اﻟﻤﻮﺛﻮق ﻟﻠﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ .‬ﺗﺴﺘﻐﻞ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ اﻟﺘﻌﻘﯿﺪ واﻟﻘﺪرات‬
‫اﻻﺗﺼﺎﻟﯿﺔ اﻟﻤﺘﺰاﯾﺪﯾﻦ ﻷﻧﻈﻤﺔ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ ،‬ﻣﮭﺪدة ً ﺑﺬﻟﻚ أﻣﻦ اﻟﺪوﻟﺔ واﻗﺘﺼﺎدھﺎ‪ ،‬وﺳﻼﻣﺔ اﻟﺴ ّﻜﺎن وﺻﺤﺘﮭﻢ‪ .‬ﻛﻤﺎ ھﻮ‬
‫اﻟﺤﺎل ﻓﻲ اﻟﻤﺨﺎطﺮ اﻟﻤﺎﻟﯿﺔ واﻟﻤﺨﺎطﺮ اﻟﺘﻲ ﺗﻤﺲ ﺑﺎﻟﺴﻤﻌﺔ‪ ،‬ﺗﺆﺛﺮ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ أﯾﻀًﺎ ﻋﻠﻰ رﺻﯿﺪ اﻟﺸﺮﻛﺎت‪ ،‬ﻓﮭﻲ ﺑﺈﻣﻜﺎﻧﮭﺎ‬
‫ﺗﻀﺮ ﺑﻘﺪرة اﻟﻤﻨﻈﻤﺔ ﻋﻠﻰ اﻹﺑﺪاع وﺟﺬب اﻟﻌﻤﻼء‬
‫أن ﺗﺮﻓﻊ ﻣﻦ ﺣﺠﻢ اﻟﺘﻜﺎﻟﯿﻒ ﻣﺆﺛﺮة ﺑﺬﻟﻚ ﻋﻠﻰ اﻹﯾﺮادات‪ ،‬ﻛﻤﺎ ﺑﺈﻣﻜﺎﻧﮭﺎ أن‬
‫ّ‬
‫وﻛﺒﯿﺮا ﻣﻦ اﻹدارة اﻟﺸﺎﻣﻠﺔ ﻟﻠﻤﺨﺎطﺮ ﻓﻲ اﻟﻤﻨﻈﻤﺔ‪.‬‬
‫واﻟﻤﺤﺎﻓﻈﺔ ﻋﻠﯿﮭﻢ‪ .‬ﯾﻤﻜﻦ ﻟﻸﻣﻦ اﻟﺴﺒﺮاﻧﻲ أن ﯾﻜﻮن ﺟﺰ ًءا ﻣﮭ ًﻤﺎ‬
‫ً‬
‫ﻟﻠﺘﺤﺪﯾﺚ ﺑﺸﻜﻞ أﻓﻀﻞ ﻋﻦ ھﺬه اﻟﻤﺨﺎطﺮ‪ ،‬ﻗﺎم ﻗﺎﻧﻮن ﺗﺤﺴﯿﻦ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ) ‪Cybersecurity Enhancement Act,‬‬
‫‪ ( CEA‬ﻓﻲ ﻋﺎم ‪ 20141‬ﺑﺘﺤﺪﯾﺚ دور اﻟﻤﻌﮭﺪ اﻟﻘﻮﻣﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ )‪ (NIST‬ﻟﯿﺸﻤﻞ ﺗﺤﺪﯾﺪ وﺗﻄﻮﯾﺮ أطﺮ اﻟﻌﻤﻞ‬
‫اﻟﺨﺎﺻﺔ ﺑﻤﺨﺎطﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻼﺳﺘﺨﺪام اﻻﺧﺘﯿﺎري ﻣﻦ ﻗﺒﻞ ّ‬
‫ﻣﻼك اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ واﻟﻤﺸﻐّﻠﯿﻦ ﻓﯿﮭﺎ‪ .‬ﻣﻦ ﺧﻼل ﻗﺎﻧﻮن‬
‫ﺗﺤﺴﯿﻦ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ ،‬ﯾﺠﺐ ﻋﻠﻰ اﻟﻤﻌﮭﺪ اﻟﻘﻮﻣﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ أن ﯾﺤﺪّد "ﻣﻨﮭﺠﯿﺔ ذات أوﻟﻮﯾﺎت ﻣﺤﺪدة‪ ،‬ﻣﺮﻧﺔ‪ ،‬ﻗﺎﺑﻠﺔ‬
‫ﻟﻠﺘﻜﺮار‪ ،‬ﻣﺒﻨﯿﺔ ﻋﻠﻰ اﻷداء‪ ،‬وﻓﻌﺎﻟﺔ ﻣﻦ ﺣﯿﺚ اﻟﺘﻜﻠﻔﺔ‪ ،‬ﺑﻤﺎ ﻓﻲ ذﻟﻚ ﻣﻘﺎﯾﯿﺲ وﺿﻮاﺑﻂ أﻣﻦ اﻟﻤﻌﻠﻮﻣﺎت اﻟﺘﻲ ﯾﻤﻜﻦ اﻋﺘﻤﺎدھﺎ ﺑﺸﻜﻞ‬
‫اﺧﺘﯿﺎري ﻣﻦ ﻗﺒﻞ ّ‬
‫ﻣﻼك وﻣﺸﻐّﻠﻲ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ ﻟﺘﺴﺎﻋﺪھﻢ ﻋﻠﻰ ﺗﺤﺪﯾﺪ وﺗﻘﯿﯿﻢ وإدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ ".‬ﺳﺎھﻢ ذﻟﻚ‬
‫ﻓﻲ إﺿﻔﺎء اﻟﻄﺎﺑﻊ اﻟﺮﺳﻤﻲ ﻟﻤﺎ ﻗﺎﻣﺖ ﺑﮫ ‪ NIST‬ﻣﺴﺒﻘًﺎ ﻓﻲ ﺗﻄﻮﯾﺮ إطﺎر اﻟﻌﻤﻞ ﺑﻨﺴﺨﺘﮫ ‪ 1.0‬ﺗﺤﺖ اﻷﻣﺮ اﻟﺘﻨﻔﯿﺬي رﻗﻢ ‪13636‬‬
‫"ﺗﻄﻮﯾﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻠﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ" ﻓﻲ ﻓﺒﺮاﯾﺮ ‪ ،2013‬ﻛﻤﺎ ﻗﺪّم اﻹرﺷﺎدات ﻧﺤﻮ اﻟﺘﻄﻮر اﻟﻤﺴﺘﻘﺒﻠﻲ ﻹطﺎر اﻟﻌﻤﻞ‪.‬‬
‫إطﺎر اﻟﻌﻤﻞ اﻟﺬي ﺗﻢ ﺗﻄﻮﯾﺮه ﺑﻨﺎء ﻋﻠﻰ اﻷﻣﺮ اﻟﺘﻨﻔﯿﺬي ‪ ،12636‬واﻟﺬي ﻻ ﯾﺰال ﯾﺘﻄﻮر وﻓﻘًﺎ ﻟﻘﺎﻧﻮن ﺗﺤﺴﯿﻦ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪،‬‬
‫ﯾﺴﺘﺨﺪم ﻟﻐﺔ ﻣﻮﺣﺪة ﻟﻺﺷﺎرة إﻟﻰ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ وإدارﺗﮭﺎ ﺑﻄﺮﯾﻘﺔ ذات ﺗﻜﻠﻔﺔ ﻓﻌﺎﻟﺔ ﺑﻨﺎ ًء ﻋﻠﻰ اﺣﺘﯿﺎﺟﺎت اﻟﻤﻨﻈﻤﺎت واﻷﻋﻤﺎل‬
‫دون اﻟﺤﺎﺟﺔ إﻟﻰ ﻓﺮض ﻣﺘﻄﻠﺒﺎت ﺗﻨﻈﯿﻤﯿﺔ إﺿﺎﻓﯿﺔ ﻋﻠﻰ اﻷﻋﻤﺎل‪.‬‬
‫ﯾﺮﻛﺰ إطﺎر اﻟﻌﻤﻞ ﻋﻠﻰ اﺳﺘﺨﺪام اﻟﺪواﻓﻊ اﻟﺘﻲ ﺗﺴﯿّﺮ اﻷﻋﻤﺎل ﺑﮭﺪف ﺗﻮﺟﯿﮫ ﻧﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ووﺿﻊ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‬
‫ﻓﻲ ﻋﯿﻦ اﻻﻋﺘﺒﺎر ﻛﺠﺰء ﻣﻦ ﻋﻤﻠﯿﺎت إدارة اﻟﻤﺨﺎطﺮ ﻓﻲ اﻟﻤﻨﻈﻤﺔ‪ .‬ﯾﺘﻜﻮن إطﺎر اﻟﻌﻤﻞ ﻣﻦ ﺛﻼﺛﺔ أﺟﺰاء‪ :‬ﻧﻮاة إطﺎر اﻟﻌﻤﻞ‪،‬‬
‫وﻣﺮاﺣﻞ اﻟﺘﻄﺒﯿﻖ‪ ،‬وﻧﻤﺎذج إطﺎر اﻟﻌﻤﻞ‪ .‬ﻧﻮاة إطﺎر اﻟﻌﻤﻞ ھﻮ ﻣﺠﻤﻮﻋﺔ ﻣﻦ اﻟﻨﺸﺎطﺎت واﻟﻤﺨﺮﺟﺎت واﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ اﻟﺨﺎﺻﺔ‬
‫ﺑﺎﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ واﻟﻤﺸﺘﺮﻛﺔ ﺑﯿﻦ ﻣﺨﺘﻠﻒ اﻟﻘﻄﺎﻋﺎت واﻟﺒﻨﯿﺎت اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ .‬أﻣﺎ ﻧﻤﺎذج إطﺎر اﻟﻌﻤﻞ‪ ،‬ﻓﮭﻲ ﻟﻤﺴﺎﻋﺪة اﻟﻤﻨﻈﻤﺔ‬
‫ﻓﻲ ﺗﺤﺪﯾﺪ أوﻟﻮﯾﺎﺗﮭﺎ ﻓﯿﻤﺎ ﯾﺘﻌﻠﻖ ﺑﻨﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ وﻣﻮاءﻣﺔ ھﺬه اﻟﻨﺸﺎطﺎت ﻣﻊ رﺳﺎﻟﺘﮭﺎ وﻣﺘﻄﻠﺒﺎت أﻋﻤﺎﻟﮭﺎ اﻟﺘﺠﺎرﯾﺔ‪،‬‬
‫وﻣﻊ درﺟﺔ ﺗﺤﻤﻠﮭﺎ ﻟﻠﻤﺨﺎطﺮ‪ ،‬وﻣﻊ ﻣﺼﺎدرھﺎ‪ .‬أﻣﺎ اﻟﻤﺮاﺣﻞ ﻓﺘﻘﺪم ﻟﻠﻤﻨﻈﻤﺎت آﻟﯿﺔً ﻻﺳﺘﻌﺮاض وﻓﮭﻢ ﺧﺼﺎﺋﺺ اﻟﻤﻨﮭﺠﯿﺔ اﻟﺘﻲ‬
‫ﺗﺴﺘﺨﺪﻣﮭﺎ ﻓﻲ إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﻲ‪ ،‬ﻣﻤﺎ ﯾﺴﺎﻋﺪ ﻓﻲ ﺗﺤﺪﯾﺪ أوﻟﻮﯾﺎت اﻷھﺪاف اﻟﻤﺘﻌﻠﻘﺔ ﺑﺎﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ وﺗﺤﻘﯿﻘﮭﺎ‪.‬‬
‫ﻋﻠﻰ اﻟﺮﻏﻢ ﻣﻦ أن ھﺬا اﻟﻤﺴﺘﻨﺪ ﻗﺪ ﺗﻢ إﻋــﺪاده ﻟﺘﻄﻮﯾﺮ إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻓﻲ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ ،‬إﻻ أﻧﮫ ﯾﻤﻜﻦ‬
‫اﺳﺘﺨﺪاﻣﮫ ﻣﻦ ﻗﺒﻞ اﻟﻤﻨﻈﻤﺎت اﻷﺧﺮى ﻓﻲ أي ﻗﻄﺎع أو أي ﻣﺠﺎل‪ .‬ﯾﺘﯿﺢ اﻹطﺎر ﻟﻠﻤﻨﻈﻤﺎت ‪-‬ﺑﻐﺾ اﻟﻨﻈﺮ ﻋﻦ ﺣﺠﻤﮭﺎ أو درﺟﺔ‬
‫اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ اﻟﺘﻲ ﺗﻮاﺟﮭﮭﺎ أو ﻣﺴﺘﻮى ﺗﻌﻘﯿﺪ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﺪﯾﮭﺎ‪ -‬ﯾﺘﯿﺢ ﻟﮭﺎ أن ﺗﻌﺘﻤﺪ ﻣﺒﺎدئ واﻟﻤﻤﺎرﺳﺎت اﻟﻤﺜﻠﻰ ﻹدارة‬
‫اﻟﻤﺨﺎطﺮ ﺑﮭﺪف ﺗﻄﻮﯾﺮ ﻣﺴﺘﻮى اﻷﻣﻦ واﻟﺼﻤﻮد‪.‬‬
‫ﯾﻘﺪّم اﻹطﺎر ھﯿﻜﻠﯿﺔ ﻣﺸﺘﺮﻛﺔ وذات ﻗﺪرة ﺗﻨﻈﯿﻤﯿﺔ ﻟﻠﻌﺪﯾﺪ ﻣﻦ ﻣﻨﮭﺠﯿﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻋﻦ طﺮﯾﻖ ﺗﺠﻤﯿﻊ اﻟﻤﻌﺎﯾﯿﺮ واﻹرﺷﺎدات‬
‫واﻟﻤﻤﺎرﺳﺎت اﻟﺘﻲ ﺗﻌﻤﻞ ﺑﺸﻜﻞ ﻓﻌﺎل ﻓﻲ اﻟﻮﻗﺖ اﻟﺤﺎﺿﺮ‪ .‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟﻚ‪ ،‬وﻷن اﻹطﺎر ﯾﺮﺟﻊ إﻟﻰ ﻣﻌﺎﯾﯿﺮ ﻣﻌﺘﺮف ﺑﮭﺎ ﻋﺎﻟﻤﯿًﺎ‬
‫ﻟﻸﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪،‬‬
‫___________________‬
‫اﻧظر اﻟﻘﺎﻧون اﻟﻔﯾدراﻟﻲ رﻗم ‪ .15 U.S.C. § 272(e)(1)(A)(i) :15‬أﻗﺎﻧون ﺗﺣﺳﯾن اﻷﻣن اﻟﺳﺑراﻧﻲ ﻟﻌﺎم ‪(S.1353) 2014‬‬
‫‪1‬‬
‫ً‬
‫ً‬
‫واﻟذي أﺻﺑﺢ ﻗﺎﻧوﻧﺎ ﻋﻣوﻣﯾﺎ ﺑرﻗم ‪ 274-113‬ﺑﺗﺎرﯾﺦ ‪ 18‬دﯾﺳﻣﺑر ‪ ،2014‬وﯾﻣﻛن اﻟوﺻول إﻟﯾﮫ ﻋﺑر اﻟراﺑط اﻹﻟﻛﺗروﻧﻲ‪:‬‬
‫‪https://www.congress.gov/bill/113th-congress/senate-bill/1353/text‬‬
‫‪v‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫اﻟﻧﺳـــﺧﺔ ‪1.1‬‬
‫إطــﺎر ﻋﻣــل اﻷﻣــن اﻟﺳـــﯾﺑراﻧﻲ‬
‫‪ 16‬ﻧﯾﺳــﺄن ‪2018‬‬
‫ﻓﺈن ﺑﺈﻣﻜﺎﻧﮫ أن ﯾﻜﻮن ﻧﻤﻮذ ًﺟﺎ ﻟﻠﺸﺮﻛﺎت اﻟﻌﺎﻟﻤﯿﺔ ﻟﻜﻲ ﯾﺴﺎﻋﺪھﺎ ﻓﻲ ﺗﻘﻮﯾﺔ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻓﻲ اﻟﺒﻨﯿﺎت اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ وﻓﻲ‬
‫اﻟﻘﻄﺎﻋﺎت واﻟﻤﺠﺎﻻت اﻷﺧﺮى ﻋﻠﻰ ﺣﺪ ﺳﻮاء‪.‬‬
‫ﯾﻘﺪم اﻹطﺎر طﺮﯾﻘﺔ ﻣﺮﻧﺔ ﻟﻤﻘﺎرﺑﺔ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ ،‬ﺑﻤﺎ ﻓﻲ ذﻟﻚ أﺛﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻋﻠﻰ اﻷﺑﻌﺎد اﻟﻤﺎدﯾﺔ واﻟﺴﺒﺮاﻧﯿﺔ واﻟﺒﺸﺮﯾﺔ‪.‬‬
‫ﯾﻤﻜﻦ ﺗﻄﺒﯿﻖ اﻹطﺎر ﻋﻠﻰ اﻟﻤﻨﻈﻤﺎت اﻟﺘﻲ ﺗﻌﺘﻤﺪ ﻋﻠﻰ اﻟﺘﻘﻨﯿﺔ‪ ،‬ﺳﻮاء أﻛﺎن ﺗﺮﻛﯿﺰ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﺪﯾﮭﺎ ﻋﻠﻰ ﺗﻘﻨﯿﺔ اﻟﻤﻌﻠﻮﻣﺎت‬
‫)‪ (IT‬ﺑﺸﻜﻞ أﺳﺎس‪ ،‬أم ﻋﻠﻰ أﻧﻈﻤﺔ اﻟﺘﺤﻜﻢ اﻟﺼﻨﺎﻋﻲ )‪ ،(ICS‬أم ﻋﻠﻰ اﻷﻧﻈﻤﺔ اﻟﻤﺎدﯾﺔ‪-‬اﻟﺴﺒﺮاﻧﯿﺔ )‪ ،(CPS‬أم ﻋﻠﻰ اﻷﺟﮭﺰة‬
‫اﻟﻤﺘﺮاﺑﻄﺔ ﺑﺸﻜﻞ ﻋﺎم ﻣﺜﻞ إﻧﺘﺮﻧﺖ اﻷﺷﯿﺎء )‪ .(IoT‬ﯾﻤﻜﻦ ﻟﻺطﺎر أن ﯾﺴﺎﻋﺪ اﻟﻤﻨﻈﻤﺎت ﻓﻲ ﻣﻘﺎرﺑﺔ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﺑﺎﻋﺘﺒﺎره‬
‫ﻣﺆﺛﺮا ﻋﻠﻰ ﺧﺼﻮﺻﯿﺔ اﻟﻌﻤﻼء واﻟﻤﻮظﻔﯿﻦ واﻷطﺮاف اﻷﺧﺮى‪ .‬ﻛﻤﺎ ﯾﻤﻜﻦ ﻟﻤﺨﺮﺟﺎت إطﺎر اﻟﻌﻤﻞ أن ﺗﺸ ّﻜﻞ أھﺪاﻓًﺎ ﻟﺘﻄﻮﯾﺮ‬
‫ً‬
‫ﻗﻮى اﻟﻌﻤﻞ وﻟﻠﻨﺸﺎطﺎت اﻟﺘﻄﻮﯾﺮﯾﺔ‪.‬‬
‫إن إطﺎر اﻟﻌﻤﻞ ﻟﯿﺲ ﻣﻨﮭﺠﯿﺔ ُوﺿﻌﺖ ﻟﺘﻨﺎﺳﺐ اﻟﺠﻤﯿﻊ ﻹدارة ﻣﺨﺎطﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻓﻲ اﻟﺒﻨﯿﺎت اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ ،‬ﻓﻜ ّﻞ ﻣﻨﻈﻤﺔ‬
‫ﺳﺘﻈ ّﻞ ﺗﻮاﺟﮫ ﻣﺨﺎطﺮ ﻣﺨﺘﻠﻔﺔ ﻋﻦ ﻏﯿﺮھﺎ – ﺗﮭﺪﯾﺪات ﻣﺨﺘﻠﻔﺔ‪ ،‬وﻣﻮاطﻦ ﺿﻌﻒ ﻣﺨﺘﻠﻔﺔ‪ ،‬وﻣﺴﺘﻮﯾﺎت ﻣﺨﺘﻠﻔﺔ ﻟﺘﺤﻤﻞ اﻟﻤﺨﺎطﺮ‪.‬‬
‫ﺗﻘﺮر اﻟﻨﺸﺎطﺎت‬
‫ﻛﻤﺎ أن اﻟﻤﻨﻈﻤﺎت ﺳﺘﺘﺒﺎﯾﻦ ﻓﻲ طﺮق ﺗﻜﯿﯿﻔﮭﺎ ﻟﻠﻤﻤﺎرﺳﺎت اﻟﻤﻮﺻﻮﻓﺔ ﻓﻲ إطﺎر اﻟﻌﻤﻞ‪ .‬ﯾﻤﻜﻦ ﻟﻜﻞ ﻣﻨﻈﻤﺔ أن ّ‬
‫اﻟﻤﮭﻤﺔ ﻟﺘﻘﺪﯾﻢ ﺧﺪﻣﺎﺗﮭﺎ اﻷﺳﺎﺳﯿﺔ‪ ،‬ﻛﻤﺎ ﯾﻤﻜﻨﮭﺎ أن ﺗﺤﺪد أوﻟﻮﯾﺎت اﻻﺳﺘﺜﻤﺎر ﻟﺘﻌﻈﯿﻢ اﻟﻤﺮدود ﻣﻦ ﻛﻞ دوﻻر ﯾﺘﻢ إﻧﻔﺎﻗﮫ‪ .‬ﻓﻲ اﻟﻨﮭﺎﯾﺔ‪،‬‬
‫ﯾﮭﺪف إطﺎر اﻟﻌﻤﻞ إﻟﻰ ﺗﻘﻠﯿﻞ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ وﻹدارﺗﮭﺎ ﺑﺸﻜﻞ أﻓﻀﻞ‪.‬‬
‫ھﻨﺎﻟﻚ طﺮق ﻣﺘﻨﻮﻋﺔ ﻻﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ‪ ،‬وذﻟﻚ ﻻﺳﺘﯿﻌﺎب ﺣﺎﺟﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﻔﺮﯾﺪة ﻟﻜﻞ ﻣﻨﻈﻤﺔ‪ .‬إن اﻟﻘﺮار اﻟﻤﺘﻌﻠﻖ‬
‫ً‬
‫ﻓﻤﺜﻼ‪ ،‬ﻗﺪ ﺗﺨﺘﺎر إﺣﺪى اﻟﻤﻨﻈﻤﺎت اﺳﺘﺨﺪام ﻣﺮاﺣﻞ ﺗﻨﻔﯿﺬ إطﺎر‬
‫ﺑﻜﯿﻔﯿﺔ ﺗﻄﺒﯿﻖ إطﺎر اﻟﻌﻤﻞ ﻣﺘﺮوك ﻟﻠﻤﻨﻈﻤﺔ اﻟﺘﻲ ﺗﺮﯾﺪ ﺗﻄﺒﯿﻘﮫ‪.‬‬
‫اﻟﻌﻤﻞ ﻟﺼﯿﺎﻏﺔ اﻟﻤﻤﺎرﺳﺎت اﻟﺘﻲ ﺗﺘﺼﻮرھﺎ ﻹدارة اﻟﻤﺨﺎطﺮ‪ .‬ﺑﯿﻨﻤﺎ ﻗﺪ ﺗﺨﺘﺎر ﻣﻨﻈﻤﺔ أﺧﺮى أن ﺗﺴﺘﺨﺪم اﻟﻮظﺎﺋﻒ اﻟﺨﻤﺴﺔ ﻹطﺎر‬
‫اﻟﻌﻤﻞ ﻣﻦ أﺟﻞ ﺗﺤﻠﯿﻞ ﻛﺎﻣﻞ ﺧﻄﺘﮭﺎ ﻹدارة اﻟﻤﺨﺎطﺮ‪ ،‬ھﺬا اﻟﺘﺤﻠﯿﻞ ﻗﺪ ﯾﻌﺘﻤﺪ وﻗﺪ ﻻ ﯾﻌﺘﻤﺪ ﻋﻠﻰ اﻟﻤﺰﯾﺪ ﻣﻦ اﻹرﺷﺎدات اﻟﻤﻔﺼﻠﺔ‬
‫اﻟﻤﺼﺎﺣﺒﺔ‪ ،‬ﻣﺜﻞ ﻗﻮاﺋﻢ اﻟﻀﻮاﺑﻂ‪ .‬ﺗﺒﺮز أﺣﯿﺎﻧًﺎ ﺑﻌﺾ اﻟﻤﻨﺎﻗﺸﺎت ﺣﻮل "اﻟﺘﻘﯿﺪ" ﺑﺈطﺎر اﻟﻌﻤﻞ‪ ،‬ﻛﻤﺎ ﺗُﻌﺘﺒﺮ "اﻟﺠﺪوى" ھﻲ ھﯿﻜﻠﯿﺔ‬
‫وﻟﻐﺔ إطﺎر اﻟﻌﻤﻞ ﻟﺘﻨﻈﯿﻢ اﻟﺘﻘﯿﺪ ﺑﻤﺘﻄﻠﺒﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻠﻤﻨﻈﻤﺔ وﻟﻠﺘﻌﺒﯿﺮ ﻋﻦ ھﺬا اﻟﺘﻘﯿﺪ‪ .‬وﻣﻊ ذﻟﻚ‪ ،‬ﻓﺈن اﻟﻄﺮق اﻟﻤﺘﻌﺪدة‬
‫ﻻﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ ﻣﻦ ﻗﺒﻞ اﻟﻤﻨﻈﻤﺔ ﺗﺸﯿﺮ إﻟﻰ أن ﻋﺒﺎرات ﻣﺜﻞ "اﻟﺘﻘﯿﺪ ﺑﺈطﺎر اﻟﻌﻤﻞ" ﻗﺪ ﺗﻜﻮن ﻣﺮﺑﻜﺔ وذات ﻣﻌﻨًﻰ ﻣﺨﺘﻠﻒ‬
‫ﻋﻨﺪ ﻛﻞ واﺣﺪ ﻣﻦ أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ‪.‬‬
‫ﻲ وﺳﯿﺴﺘﻤﺮ ﺗﺤﺪﯾﺜﮫ وﺗﻄﻮﯾﺮه ﻓﻲ ظﻞ اﻟﺘﻌﻘﯿﺒﺎت واﻟﺘﻌﻠﯿﻘﺎت اﻟﻤﺘﻠﻘﺎة ﻣﻦ ﻗﻄﺎع اﻟﺼﻨﺎﻋﺔ‪ .‬ﺳﯿﺴﺘﻤﺮ اﻟﻤﻌﮭﺪ‬
‫إن إطﺎر اﻟﻌﻤﻞ ﻣﺴﺘﻨﺪ ﺣ ّ‬
‫اﻟﻘﻮﻣﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ ﻓﻲ اﻟﺘﻨﺴﯿﻖ ﻣﻊ اﻟﻘﻄﺎع اﻟﺨﺎص واﻟﮭﯿﺌﺎت اﻟﺤﻜﻮﻣﯿﺔ ﻋﻠﻰ ﻛﺎﻓﺔ اﻷﺻﻌﺪة‪ .‬وﻓﻲ اﻟﻮﻗﺖ اﻟﺬي ﯾُﺴﺘﺨﺪم‬
‫ﻓﯿﮫ اﻹطﺎر ﻓﻲ ﻣﺴﺘﻮﯾﺎت أﻋﻠﻰ‪ ،‬ﺳﯿﺘﻢ ﺗﻀﻤﯿﻦ اﻟﺪروس اﻟﻤﺴﺘﻔﺎدة اﻹﺿﺎﻓﯿﺔ ﻓﻲ اﻟﻨﺴﺦ اﻟﻤﺴﺘﻘﺒﻠﯿﺔ‪ .‬ﺳﯿﻀﻤﻦ ذﻟﻚ أن إطﺎر اﻟﻌﻤﻞ‬
‫ﯾﻠﺒﻲ اﺣﺘﯿﺎﺟﺎت أﺻﺤﺎب وﻣﺸﻐّﻠﻲ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ ﻓﻲ ﺑﯿﺌﺔ دﯾﻨﺎﻣﯿﻜﯿﺔ وﻣﻠﯿﺌﺔ ﺑﺎﻟﺘﺤﺪﯾﺎت ﺗﺸﺘﻤﻞ ﻋﻠﻰ ﺗﮭﺪﯾﺪات وﻣﺨﺎطﺮ‬
‫وﺣﻠﻮل ﺟﺪﯾﺪة‪.‬‬
‫إن اﺳﺘﺨﺪام ھﺬه اﻹطﺎر اﻟﺘﻄﻮﻋﻲ وﻣﺸﺎرﻛﺔ اﻟﻤﻤﺎرﺳﺎت اﻟﻤﺜﻠﻰ ﻋﻠﻰ ﻧﻄﺎق واﺳﻊ وﺑﺸﻜﻞ ﻓﻌّﺎل ھﻤﺎ اﻟﺨﻄﻮة اﻟﺘﺎﻟﯿﺔ ﻟﺘﻄﻮﯾﺮ‬
‫اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻠﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ ﻷ ّﻣﺘﻨﺎ – ﺑﺘﻘﺪﯾﻤﮫ اﻟﺘﻮﺟﯿﮭﺎت اﻟﻤﺘﻄﻮرة ﻟﻠﻤﻨﻈﻤﺎت اﻟﻔﺮدﯾﺔ‪ ،‬ﻓﻲ اﻟﻮﻗﺖ ذاﺗﮫ اﻟﺬي ﯾﻌﺰز‬
‫ﻓﯿﮫ ﺣﺎﻟﺔ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻠﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ ﻟﻸﻣﺔ وﻟﻼﻗﺘﺼﺎد اﻟﻌﺎم وﻟﻠﻤﺠﺘﻤﻊ‪.‬‬
‫‪vi‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫اﻟﻧﺳـــﺧﺔ ‪1.1‬‬
‫إطــﺎر ﻋﻣــل اﻷﻣــن اﻟﺳـــﯾﺑراﻧﻲ‬
‫‪ 16‬ﻧﯾﺳــﺄن ‪2018‬‬
‫اﻟﻔﮭﺮس‬
‫ﻟﻠﻘﺮاء ﻋﻦ اﻟﻨﺴﺨﺔ اﻟﻤﺤﺪﺛﺔ ‪i .......................................................................................................‬‬
‫ﻣﻼﺣﻈﺎت ّ‬
‫ﺷﻜﺮ وﺗﻘﺪﯾﺮ ‪iv ...................................................................................................................................‬‬
‫ﻣﻠﺨﺺ ﺗﻨﻔﯿﺬي ‪v .................................................................................................................................‬‬
‫‪ 1.0‬ﻣﻘﺪﻣﺔ إطﺎر اﻟﻌﻤﻞ ‪1 ......................................................................................................................‬‬
‫‪ 2.0‬أﺳﺎﺳﯿﺎت إطﺎر اﻟﻌﻤﻞ ‪6 ...................................................................................................................‬‬
‫‪ 3.0‬ﻛﯿﻔﯿﺔ اﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ ‪13 ...........................................................................................................‬‬
‫‪ 4.0‬اﻟﺘﻘﯿﯿﻢ اﻟﺬاﺗﻲ ﻟﻠﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﺑﺎﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ ‪20 ..........................................................................‬‬
‫ﻣﻠﺤﻖ أ‪ :‬ﻧﻮاة اطﺎر اﻟﻌﻤﻞ ‪22 ...................................................................................................................‬‬
‫ﻣﻠﺤﻖ ب‪ :‬اﻟﻤﺼﻄﻠﺤﺎت ‪47 ....................................................................................................................‬‬
‫ﻣﻠﺤﻖ ج‪ :‬اﻷﺧﺘﺼﺎرات ‪49 .....................................................................................................................‬‬
‫ﻗﺎﺋﻤــﺔ ﺑﺎﻷﺷــﻜﺎل اﻟﺘﻮﺿﯿﺤﯿﺔ‬
‫اﻟﺸﻜﻞ رﻗﻢ )‪ :(1‬اﻟﮭﯿﻜﻞ اﻷﺳﺎﺳﻲ ﻹطـﺎر اﻟﻌﻤﻞ ‪6 ........................................... .............................................‬‬
‫اﻟﺸﻜﻞ رﻗﻢ )‪ :(2‬اﻟﻤﻌﻠﻮﻣﺎت اﻟﻮطﻨﯿﺔ وﺗﺪﻓﻖ اﻟﻘﺮار داﺧﻞ اﻟﻤﻨﻈﻤﺔ ‪12...................................................................‬‬
‫اﻟﺸﻜﻞ رﻗﻢ )‪ :(3‬ﺳﻠﺴﻠﺔ ﻋﻼﻗﺎت اﻟﺘﻮرﯾﺪ اﻟﺴﯿﺒﺮاﻧﯿﺔ ‪17..... ................................................................. .............‬‬
‫ﻗﺎﺋﻤــﺔ ﺑﺎﻟﺠـــــــﺪاول‬
‫اﻟﺠــﺪول رﻗﻢ )‪ :(1‬وﺳﯿﻠﺔ اﻟﺘﻌﺮﯾﻒ اﻟﻔﺮﯾﺪة ﻟﻜﻞ ﻣﻦ اﻟﻮظﯿﻔﺔ واﻟﻔــﺌﺔ ‪23 ..............................................................‬‬
‫اﻟﺠـــﺪول رﻗﻢ )‪ :(2‬أﺳﺎﺳﯿﺎت إطـﺎر اﻟﻌـــﻤﻞ ‪24 ...........................................................................................‬‬
‫اﻟﺠـــــﺪول رﻗـﻢ )‪ :(3‬ﻣﺼﻄــﻠﺤﺎت إطــﺎر اﻟﻌﻤﻞ ‪45 ...................................................................................‬‬
‫‪vii‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫‪1.0‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫ﻣﻘﺪﻣﺔ إطﺎر اﻟﻌﻤﻞ‬
‫ﺗﻌﺘﻤﺪ اﻟﻮﻻﯾﺎت اﻟﻤﺘﺤﺪة اﻷﻣﺮﯾﻜﯿﺔ ﻋﻠﻰ اﻷداء اﻟﻤﻮﺛﻮق ﻟﻠﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ .‬ﺗﺴﺘﻐﻞ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ اﻟﺘﻌﻘﯿﺪ واﻟﻘﺪرات‬
‫اﻻﺗﺼﺎﻟﯿﺔ اﻟﻤﺘﺰاﯾﺪﯾﻦ ﻷﻧﻈﻤﺔ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ ،‬ﻣﮭﺪدة ً ﺑﺬﻟﻚ أﻣﻦ اﻟﺪوﻟﺔ واﻗﺘﺼﺎدھﺎ‪ ،‬وﺳﻼﻣﺔ اﻟﺴ ّﻜﺎن وﺻﺤﺘﮭﻢ‪ .‬ﻛﻤﺎ ھﻮ‬
‫اﻟﺤﺎل ﻓﻲ اﻟﻤﺨﺎطﺮ اﻟﻤﺎﻟﯿﺔ واﻟﻤﺨﺎطﺮ اﻟﺘﻲ ﺗﻤﺲ ﺑﺎﻟﺴﻤﻌﺔ‪ ،‬ﺗﺆﺛﺮ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ أﯾﻀًﺎ ﻋﻠﻰ رﺻﯿﺪ اﻟﺸﺮﻛﺎت‪ ،‬ﻓﮭﻲ ﺑﺈﻣﻜﺎﻧﮭﺎ‬
‫ﺗﻀﺮ ﺑﻘﺪرة اﻟﻤﻨﻈﻤﺔ ﻋﻠﻰ اﻹﺑﺪاع وﺟﺬب اﻟﻌﻤﻼء‬
‫أن ﺗﺮﻓﻊ ﻣﻦ ﺣﺠﻢ اﻟﺘﻜﺎﻟﯿﻒ ﻣﺆﺛﺮة ﺑﺬﻟﻚ ﻋﻠﻰ اﻹﯾﺮادات‪ ،‬ﻛﻤﺎ ﺑﺈﻣﻜﺎﻧﮭﺎ أن‬
‫ّ‬
‫وﻛﺒﯿﺮا ﻣﻦ اﻹدارة اﻟﺸﺎﻣﻠﺔ ﻟﻠﻤﺨﺎطﺮ ﻓﻲ اﻟﻤﻨﻈﻤﺔ‪.‬‬
‫واﻟﻤﺤﺎﻓﻈﺔ ﻋﻠﯿﮭﻢ‪ .‬ﯾﻤﻜﻦ ﻟﻸﻣﻦ اﻟﺴﺒﺮاﻧﻲ أن ﯾﻜﻮن ﺟﺰ ًءا ﻣﮭ ًﻤﺎ‬
‫ً‬
‫ﻟﺘﻌﺰﯾﺰ ﺻﻤﻮد ھﺬه اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ‪ ،‬ﻗﺎم ﻗﺎﻧﻮن ﺗﺤﺴﯿﻦ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ )‪ (Cybersecurity Enhancement Act, CEA‬ﻓﻲ‬
‫ﻋﺎم ‪ 2014‬ﺑﺘﺤﺪﯾﺚ دور اﻟﻤﻌﮭﺪ اﻟﻘﻮﻣﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ ) ‪National Institute of Standards and‬‬
‫‪ (Technology, NIST‬ﻟﯿﻘﻮم ب ﺗﺴﮭﯿﻞ ودﻋﻢ ﺗﻄﻮﯾﺮ أطﺮ ﻋﻤﻞ اﻟﻤﺨﺎطﺮ اﻟﻤﺘﻌﻠﻘﺔ ﺑﺎﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ .‬ﻣﻦ ﺧﻼل ﻗﺎﻧﻮن ﺗﺤﺴﯿﻦ‬
‫اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ ،‬ﯾﺠﺐ ﻋﻠﻰ اﻟﻤﻌﮭﺪ اﻟﻘﻮﻣﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ أن ﯾﺤﺪّد "ﻣﻨﮭﺠﯿﺔ ذات أوﻟﻮﯾﺎت ﻣﺤﺪدة‪ ،‬ﻣﺮﻧﺔ‪ ،‬ﻗﺎﺑﻠﺔ ﻟﻠﺘﻜﺮار‪،‬‬
‫ﻣﺒﻨﯿﺔ ﻋﻠﻰ اﻷداء‪ ،‬وﻓﻌﺎﻟﺔ ﻣﻦ ﺣﯿﺚ اﻟﺘﻜﻠﻔﺔ‪ ،‬ﺑﻤﺎ ﻓﻲ ذﻟﻚ ﻣﻘﺎﯾﯿﺲ وﺿﻮاﺑﻂ أﻣﻦ اﻟﻤﻌﻠﻮﻣﺎت اﻟﺘﻲ ﯾﻤﻜﻦ اﻋﺘﻤﺎدھﺎ ﺑﺸﻜﻞ اﺧﺘﯿﺎري‬
‫ﻣﻦ ﻗﺒﻞ ّ‬
‫ﻣﻼك وﻣﺸﻐّﻠﻲ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ ﻟﺘﺴﺎﻋﺪھﻢ ﻋﻠﻰ ﺗﺤﺪﯾﺪ وﺗﻘﯿﯿﻢ وإدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ ".‬ﺳﺎھﻢ ذﻟﻚ ﻓﻲ إﺿﻔﺎء‬
‫اﻟﻄﺎﺑﻊ اﻟﺮﺳﻤﻲ ﻟﻤﺎ ﻗﺎﻣﺖ ﺑﮫ ‪ NIST‬ﻣﺴﺒﻘًﺎ ﻓﻲ ﺗﻄﻮﯾﺮ إطﺎر اﻟﻌﻤﻞ ﺑﻨﺴﺨﺘﮫ ‪ 1.0‬ﺗﺤﺖ اﻷﻣﺮ اﻟﺘﻨﻔﯿﺬي رﻗﻢ ‪" 13636‬ﺗﻄﻮﯾﺮ‬
‫اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻠﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ" ﻓﻲ ﻓﺒﺮاﯾﺮ ‪ ،2013‬ﻛﻤﺎ ﻗﺪّم اﻹرﺷﺎدات ﻧﺤﻮ اﻟﺘﻄﻮر اﻟﻤﺴﺘﻘﺒﻠﻲ ﻹطﺎر اﻟﻌﻤﻞ‪.‬‬
‫ﻌﺮف اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ ﻓﻲ اﻟﻘﺎﻧﻮن اﻟﻮطﻨﻲ ‪ 2001‬ﻟﻠﻮﻻﯾﺎت اﻟﻤﺘﺤﺪة اﻷﻣﺮﯾﻜﯿﺔ ﻋﻠﻰ أﻧﮭﺎ "اﻷﻧﻈﻤﺔ واﻷﺻﻮل ﺷﺪﯾﺪة‬
‫ﺗٌ ّ‬
‫اﻷھﻤﯿﺔ ﻟﻠﻮﻻﯾﺎت اﻟﻤﺘﺤﺪة اﻷﻣﺮﯾﻜﯿﺔ‪ ،‬ﺳﻮاء ﻣﺎدﯾﺔ أم اﻓﺘﺮاﺿﯿﺔ‪ ،‬واﻟﺘﻲ ﯾﺘﺴﺒﺐ ﺗﻌﻄﻠﮭﺎ أو ﺗﺪﻣﯿﺮھﺎ ﻓﻲ أﺛﺮ ﺗﺪﻣﯿﺮي ﻋﻠﻰ اﻷﻣﻦ‬
‫أو ﻋﻠﻰ اﻷﻣﻦ اﻻﻗﺘﺼﺎدي اﻟﻘﻮﻣﻲ‪ ،‬أو ﻋﻠﻰ اﻟﺼﺤﺔ واﻟﺴﻼﻣﺔ اﻟﻌﺎﻣﺔ‪ ،‬أو ﻋﻠﻰ أي ﻣﺰﯾﺞ ﻣﻦ ھﺬه اﻟﺠﻮاﻧﺐ‪ ".‬ﺑﺴﺒﺐ اﻟﻀﻐﻮط‬
‫اﻟﻤﺘﺰاﯾﺪة ﻣﻦ اﻟﺘﮭﺪﯾﺪات اﻟﺨﺎرﺟﯿﺔ واﻟﺪاﺧﻠﯿﺔ‪ ،‬ﺗﺤﺘﺎج اﻟﻤﻨﻈﻤﺎت اﻟﻤﺴﺆوﻟﺔ ﻋﻦ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ ﻷن ﯾﻜﻮن ﻟﺪﯾﮭﺎ ﻣﻨﮭﺠﯿﺔ‬
‫ﻣﺘﺴﻘﺔ وﻗﺎﺑﻠﺔ ﻟﻠﺘﻜﺮار ﻟﺘﺤﺪﯾﺪ وﺗﻘﯿﯿﻢ وإدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ .‬ھﺬه اﻟﻤﻨﮭﺠﯿﺔ ﺿﺮورﯾﺔ ﺑﺼﺮف اﻟﻨﻈﺮ ﻋﻦ ﺣﺠﻢ اﻟﻤﻨﻈﻤﺔ أو‬
‫اﻟﺘﮭﺪﯾﺪات اﻟﺘﻲ ﺗﻮاﺟﮭﮭﺎ أو درﺟﺔ ﺗﻌﻘﯿﺪ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻓﻲ ﯾﻮﻣﻨﺎ ھﺬا‪.‬‬
‫ﺗﻀ ّﻢ ﻣﺠﺎﻻت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ّ‬
‫دورا ﻓﻲ‬
‫اﻟﻤﻼك واﻟﻤﺸﻐّﻠﯿﻦ ﻟﻠﻘﻄﺎﻋﯿﻦ اﻟﻌﺎم واﻟﺨﺎص‪ ،‬ﻛﻤﺎ ﺗﻀﻢ اﻟﺠﮭﺎت اﻷﺧﺮى اﻟﺘﻲ ﺗﻠﻌﺐ ً‬
‫ﺗﺄﻣﯿﻦ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ ﻟﻸ ّﻣﺔ‪ .‬ﯾﻘﻮم ﻛﻞ واﺣﺪ ﻣﻦ أﻋﻀﺎء ﻗﻄﺎﻋﺎت اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ ﺑﺘﺄدﯾﺔ وظﺎﺋﻒ ﻣﺪﻋﻮﻣﺔ ﺑﺎﻟﺘﺼﻨﯿﻒ اﻟﺸﺎﻣﻞ‬
‫ﻟﻠﺘﻜﻨﻮﻟﻮﺟﯿﺎ‪ ،‬ﺑﻤﺎ ﻓﻲ ذﻟﻚ ﺗﻘﻨﯿﺔ اﻟﻤﻌﻠﻮﻣﺎت )‪ ،(IT‬أﻧﻈﻤﺔ اﻟﺘﺤﻜﻢ اﻟﺼﻨﺎﻋﯿﺔ )‪ ،(ICS‬اﻷﻧﻈﻤﺔ اﻟﺴﺒﺮاﻧﯿﺔ‪-‬اﻟﻤﺎدﯾﺔ )‪،(CPS‬‬
‫واﻷﺟﮭﺰة اﻟﻤﺮﺗﺒﻄﺔ ﺑﺒﻌﻀﮭﺎ ﺑﺸﻜﻞ ﻋﺎم‪ ،‬ﻣﺜﻞ إﻧﺘﺮﻧﺖ اﻷﺷﯿﺎء )‪ .(IoT‬ھﺬه اﻻﻋﺘﻤﺎدﯾﺔ ﻋﻠﻰ اﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ واﻻﺗﺼﺎﻻت‬
‫واﻻرﺗﺒﺎطﯿﺔ ﻗﺪ ﻏﯿﺮت وزادت ﻣﻦ ﺣﺠﻢ ﻣﻮاطﻦ اﻟﻀﻌﻒ اﻟﻤﺤﺘﻤﻠﺔ‪ ،‬ﻛﻤﺎ زادت اﻟﻤﺨﺎطﺮ اﻟﻤﺤﺘﻤﻠﺔ ﻋﻠﻰ ﻋﻤﻠﯿﺎت اﻟﺘﺸﻐﯿﻞ‪ .‬ﻓﻌﻠﻰ‬
‫ﺳﺒﯿﻞ اﻟﻤﺜﺎل‪ ،‬ﻓﻲ اﻟﻮﻗﺖ اﻟﺬي ﯾﺘﺰاﯾﺪ ﻓﯿﮫ ﻣﺪى اﺳﺘﺨﺪام اﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ واﻟﺒﯿﺎﻧﺎت اﻟﺘﻲ ﺗﻨﺘﺠﮭﺎ وﺗﻌﺎﻟﺠﮭﺎ ﻟﺘﻘﺪﯾﻢ ﺧﺪﻣﺎت ﺣﺴّﺎﺳﺔ وﻟﺪﻋﻢ‬
‫ﻗﺮارات اﻷﻋﻤﺎل‪ ،‬ﯾﺠﺐ أن ﻧﻀﻊ ﻓﻲ ﻋﯿﻦ اﻻﻋﺘﺒﺎر اﻵﺛﺎر اﻟﻤﺤﺘﻤﻠﺔ ﻟﺤﻮادث اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻋﻠﻰ اﻟﻤﻨﻈﻤﺎت وﺻﺤﺔ اﻷﻓﺮاد‬
‫وﺳﻼﻣﺘﮭﻢ وﻋﻠﻰ اﻟﺒﯿﺌﺔ واﻟﻤﺠﺘﻤﻌﺎت واﻻﻗﺘﺼﺎد اﻟﻌﺎم واﻟﻤﺠﺘﻤﻊ‪.‬‬
‫__________________‬
‫‪ 2‬اﻧﻈﺮ اﻟﻘﺎﻧﻮن اﻟﻔﯿﺪراﻟﻲ رﻗﻢ ‪ .15 U.S.C. § 272(e)(1)(A)(i) :15‬ﻗﺎﻧﻮن ﺗﺤﺴﯿﻦ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻌﺎم ‪ (S.1353) 2014‬واﻟﺬي أﺻﺒﺢ ﻗﺎﻧﻮﻧﺎ ً‬
‫ﻋﻤﻮﻣﯿﺎ ً ﺑﺮﻗﻢ ‪ 274-113‬ﺑﺘﺎرﯾﺦ ‪ 18‬دﯾﺴﻤﺒﺮ ‪ ،2014‬وﯾﻤﻜﻦ اﻟﻮﺻﻮل إﻟﯿﮫ ﻋﺒﺮ اﻟﺮاﺑﻂ اﻹﻟﻜﺘﺮوﻧﻲ‪https://www.congress.gov/bill/113th- :‬‬
‫‪congress/senate-bill/1353/text‬‬
‫أﻧﻈﺮ اﻷﻣﺮ اﻟﺘﻨﻔﯿﺬي رﻗﻢ ‪ ،13636‬ﺗﺤﺴﯿﻦ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﯿﻮﯾﺔ ﻟﻸﻣﻦ اﻟﺴﯿﺒﺮاﻧﻲ‪ ،‬إدارة اﻟﺸﺮطﺔ ﺑﻮاﺷﻨﻄﻦ اﻟﻌﺎﺻﻤﺔ ‪- PCDP‬‬
‫‪3‬‬
‫‪ ،201300091‬ﺑﺘﺎرﯾﺦ ‪ 12‬ﻓﺒﺮاﯾﺮ ‪ .2013‬ﺑﺎﻟﻤﻮﻗﻊ اﻷﻟﻜﺘﺮوﻧﻲ‪:‬‬
‫‪https://www.gpo.gov/fdsys/pkg/CFR-2014-title3-vol1/pdf/CFR-2014-title3-vol1-eo13636.pdf‬‬
‫ﯾﻘﺪم اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ اﻟﺘﺎﺑﻊ ﻟﻮزارة اﻷﻣــﻦ اﻟﻮطﻨﻲ )‪ (DHS‬ﻗﺎﺋﻤﺔ ﺑﺎﻟﻘﻄﺎﻋﺎت واﻟﻮظﺎﺋﻒ اﻟﺤﯿﻮﯾﺔ اﻟﻤﺮﺗﺒﻄﺔ ﺑﮭﺎ وﺳﻼﺳﻞ ﻗﯿﻤﮭﺎ‬
‫‪4‬‬
‫ﺑﺎﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ‪http://www.dhs.gov/critical-infrastructure-sectors :‬‬
‫اﻧﻈﺮ اﻟﺒﺎب ‪ 42‬ﻣﻦ اﻟﻘﺎﻧﻮن § ‪" c(e)). 5195‬ﻗﺎﻧﻮن اﻟﻤﻮاطﻨﺔ" اﻟﺼﺎدر ﻋﺎم ‪ ،2001‬واﻟﺬي أﺻﺒﺢ ﻗﺎﻧﻮﻧﺎ ً ﻋﺎﻣﺎ ً ﺑﺮﻗﻢ ‪ 56-107‬ﺑﺘﺎرﯾﺦ‬
‫‪5‬‬
‫‪ 26‬أﻛﺘﻮﺑﺮ ‪ (H.R.3162) 2001‬و ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﯿﮫ ﺑﺎﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ‪https://www.congress.gov/bill/107th- :‬‬
‫‪congress/house-bill/3162‬‬
‫‪1‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫ﺗﺤﺮك أﻋﻤﺎل اﻟﻤﻨﻈﻤﺔ واﻻﻋﺘﺒﺎرات اﻷﻣﻨﯿﺔ اﻟﻤﺨﺼﺼﺔ‬
‫ﻹدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ ،‬ﻧﺤﺘﺎج إﻟﻰ ﻓﮭﻢ واﺿﺢ ﻟﻠﻌﻮاﻣﻞ اﻟﺘﻲ ّ‬
‫ﻟﻜﯿﻔﯿﺔ اﺳﺘﺨﺪاﻣﮭﺎ ﻟﻠﺘﻜﻨﻮﻟﻮﺟﯿﺎ‪ .‬وﻷن اﻟﻤﺨﺎطﺮ واﻷوﻟﻮﯾﺎت واﻷﻧﻈﻤﺔ ﻓﻲ ﻛﻞ ﻣﻨﻈﻤﺔ ﺗﺨﺘﻠﻒ ﻋﻦ ﻏﯿﺮھﺎ‪ ،‬ﻓﺈن اﻷدوات واﻟﻄﺮق‬
‫اﻟﻤﺴﺘﺨﺪﻣﺔ ﻟﺘﺤﻘﯿﻖ اﻟﻨﺘﺎﺋﺞ اﻟﻮاردة ﻓﻲ إطﺎر اﻟﻌﻤﻞ ﺳﺘﺨﺘﻠﻒ أﯾﻀًﺎ‪.‬‬
‫ت اﻟﻤﺪﻧﯿﺔ ﻓﻲ ﻓﺮض ﺛﻘﺔ أﻛﺒﺮ ﻋﻨﺪ اﻟﻨﺎس‪ ،‬ﻓﺈﻧﮫ‬
‫ﻣﻦ ﻣﻨﻄﻠﻖ ﻣﻌﺮﻓﺔ إطﺎر اﻟﻌﻤﻞ ﺑﺎﻟﺪور اﻟﺬي ﺗﻠﻌﺒﮫ ﺣﻤﺎﯾﺔ اﻟﺨﺼﻮﺻﯿﺔ‬
‫واﻟﺤﺮﯾﺎ ِ‬
‫ّ‬
‫ﯾﺘﻀﻤﻦ ﻣﻨﮭ ًﺠﺎ ﻟﺤﻤﺎﯾﺔ اﻟﺨﺼﻮﺻﯿﺔ اﻟﻔﺮدﯾﺔ واﻟﺤﺮﯾﺎت اﻟﻤﺪﻧﯿﺔ أﺛﻨﺎء ﻗﯿﺎم ﻣﻨﻈﻤﺎت اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ ﺑﻨﺸﺎطﺎت ﺗﺘﻌﻠﻖ ﺑﺎﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ‪ .‬ﺗﻤﺘﻠﻚ اﻟﻌﺪﯾﺪ ﻣﻦ اﻟﻤﻨﻈﻤﺎت ﺳﻠﻔًﺎ ﻋﻤﻠﯿﺎت ﻟﻠﺘﻌﺎﻣﻞ ﻣﻊ اﻟﺨﺼﻮﺻﯿﺔ واﻟﺤﺮﯾﺎت اﻟﻤﺪﻧﯿﺔ‪ .‬ﻟﻘﺪ ﺗﻢ ﺗﺼﻤﯿﻢ ھﺬا اﻟﻤﻨﮭﺞ ﻟﯿﻜﻮن‬
‫ﻣﻜ ّﻤ ًﻼ ﻟﮭﺬه اﻟﻌﻤﻠﯿﺎت وﻟﯿﻘﺪم اﻹرﺷﺎدات اﻟﺘﻲ ﺗﯿﺴّﺮ إدارة ﻣﺨﺎطﺮ اﻟﺨﺼﻮﺻﯿﺔ‪ ،‬واﻟﺘﻲ ‪-‬أي اﻹرﺷﺎدات‪ -‬ﺗﺘﺴﻖ ﻣﻊ ﻣﻨﮭﺠﯿﺔ‬
‫اﻟﻤﻨﻈﻤﺔ ﻓﻲ إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ .‬إدﺧﺎل ﻣﺴﺄﻟﺔ اﻟﺨﺼﻮﺻﯿﺔ ﻓﻲ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﺳﯿﻔﯿﺪ اﻟﻤﻨﻈﻤﺎت ﻋﺒﺮ زﯾﺎدة ﺛﻘﺔ اﻟﻌﻤﻼء‪،‬‬
‫وإﺗﺎﺣﺔ اﻟﻤﺰﯾﺪ ﻣﻦ اﻟﻤﺸﺎرﻛﺔ اﻟﻤﻌﯿﺎرﯾﺔ ﻟﻠﻤﻌﻠﻮﻣﺎت‪ ،‬وﺗﺒﺴﯿﻂ اﻟﻌﻤﻠﯿﺎت اﻟﺘﺸﻐﯿﻠﯿﺔ ﻣﻦ اﻟﺠﺎﻧﺐ اﻟﻘﺎﻧﻮﻧﻲ‪.‬‬
‫ﺳﯿﺒﻘﻰ إطﺎر اﻟﻌﻤﻞ ﻓﻌّ ًﺎﻻ وﯾﺪﻋﻢ اﻟﺠﺪﯾﺪ ﻣﻦ اﻻﺑﺘﻜﺎرات اﻟﺘﻜﻨﻮﻟﻮﺟﯿﺔ ﻷﻧﮫ ﻣﺤﺎﯾﺪ ﺗﻜﻨﻮﻟﻮﺟﯿًﺎ‪ ،‬ﻓﻲ اﻟﻮﻗﺖ ذاﺗﮫ اﻟﺬي ﯾﺮﺟﻊ ﻓﯿﮫ إﻟﻰ‬
‫ﻋﺪة ﻣﻌﺎﯾﯿﺮ وإرﺷﺎدات وﻣﻤﺎرﺳﺎت ﻣﻮﺟﻮدة‪ ،‬واﻟﺘﻲ ﺗﺘﻄﻮر ﺑﺘﻄﻮر اﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ‪ .‬ﺑﺎﻻﻋﺘﻤﺎد ﻋﻠﻰ ﺗﻠﻚ اﻟﻤﻌﺎﯾﯿﺮ واﻹرﺷﺎدات‬
‫واﻟﻤﻤﺎرﺳﺎت اﻟﻌﺎﻟﻤﯿﺔ‪ ،‬واﻟﺘﻲ ﯾﺘﻢ ﺗﻄﻮﯾﺮھﺎ وإدارﺗﮭﺎ وﺗﺤﺪﯾﺜﮭﺎ ﻣﻦ ﻗﺒﻞ اﻟﻘﻄﺎع اﻟﺼﻨﺎﻋﺔ‪ ،‬ﺳﺘﺘﺨﻄﻰ اﻷدوات اﻟﻤﺘﺎﺣﺔ ﻟﺘﺤﻘﯿﻖ‬
‫ﻧﺘﺎﺋﺞ إطﺎر اﻟﻌﻤﻞ اﻟﺤﻮاﺟﺰ‪ ،‬وﺳﺘﻌﺘﺮف ﺑﺎﻟﻄﺒﯿﻌﺔ اﻟﻌﺎﻣﺔ ﻟﻠﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ ،‬وﺳﺘﺘﻄﻮر ﺟﻨﺒًﺎ إﻟﻰ ﺟﻨﺐ ﻣﻊ اﻟﺘﻘﺪم اﻟﺘﻜﻨﻮﻟﻮﺟﻲ‬
‫وﻣﺘﻄﻠﺒﺎت اﻷﻋﻤﺎل‪ .‬إن اﺳﺘﺨﺪام اﻟﻤﻌﺎﯾﯿﺮ اﻟﻤﻮﺟﻮدة واﻟﻤﺴﺘﺠﺪّة ﺳﯿﻔﺴﺢ اﻟﻤﺠﺎل ﻻﻗﺘﺼﺎدﯾﺎت اﻟﺤﺠﻢ‪ ،‬ﻛﻤﺎ ﺳﯿﻘﻮد ﺗﻄﻮر اﻟﻤﻨﺘﺠﺎت‬
‫ّ‬
‫ﺳﺘﺤﺚ‬
‫واﻟﺨﺪﻣﺎت واﻟﻤﻤﺎرﺳﺎت ذات اﻟﻔﻌﺎﻟﯿﺔ‪ ،‬واﻟﺘﻲ ﺗﻠّﺒﻲ اﺣﺘﯿﺎﺟﺎت اﻟﺴﻮق اﻟﻤﺤﺪدة‪ .‬ﻋﻼوة ﻋﻠﻰ ذﻟﻚ‪ ،‬ﻓﺈن اﻟﻤﻨﺎﻓﺴﺔ اﻟﺴﻮﻗﯿﺔ‬
‫ﻋﻠﻰ اﻧﺘﺸﺎر أﺳﺮع ﻟﮭﺬه اﻟﺘﻘﻨﯿﺎت واﻟﻤﻤﺎرﺳﺎت‪ ،‬وﻋﻠﻰ ﺗﺤﻘﯿﻖ اﻟﻌﺪﯾﺪ ﻣﻦ اﻟﻔﻮاﺋﺪ ﻣﻦ ﻗﺒﻞ أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ ﻓﻲ ھﺬه اﻟﻘﻄﺎﻋﺎت‪.‬‬
‫اﻧﻄﻼﻗًﺎ ﻣﻦ ﺗﻠﻚ اﻟﻤﻌﺎﯾﯿﺮ واﻹرﺷﺎدات واﻟﻤﻤﺎرﺳﺎت‪ ،‬ﯾﻘﺪّم إطﺎر اﻟﻌﻤﻞ ﻟﻠﻤﻨﻈﻤﺎت طﺮﯾﻘﺔ ﺗﺼﻨﯿﻒ وآﻟﯿﺔ ﺗﻨﻈﯿﻢ ﻣﻮ ّﺣﺪﱠﺗﯿﻦ ﻣﻦ‬
‫أﺟﻞ‪:‬‬
‫‪ .1‬وﺻﻒ وﺿﻌﮭﻢ اﻟﺤﺎﻟﻲ ﻓﯿﻤﺎ ﯾﺨﺺ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪.‬‬
‫‪ .2‬وﺻﻒ ھﺪﻓﮭﻢ اﻟﻤﻨﺸﻮد ﻣﻦ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪.‬‬
‫‪ .3‬ﺗﺤﺪﯾﺪ ﻓﺮص اﻟﺘﻄﻮر وﺗﺮﺗﯿﺒﮭﺎ ﺑﺤﺴﺐ أوﻟﻮﯾﺘﮭﺎ ﺿﻤﻦ ﺳﯿﺎق اﻟﻌﻤﻠﯿﺎت اﻟﻤﺴﺘﻤﺮة واﻟﻤﺘﻜﺮرة‪.‬‬
‫‪ .4‬ﺗﻘﯿﯿﻢ اﻟﺘﻘﺪم ﻧﺤﻮ اﻟﮭﺪف‪.‬‬
‫‪ .5‬اﻟﺘﻮاﺻﻞ ﺑﯿﻦ أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ اﻟﺪاﺧﻠﯿﯿﻦ واﻟﺨﺎرﺟﯿﯿﻦ ﻓﯿﻤﺎ ﯾﺨﺺ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪.‬‬
‫إن إطﺎر اﻟﻌﻤﻞ ﻟﯿﺲ ﻣﻨﮭﺠﯿﺔ ُوﺿﻌﺖ ﻟﺘﻨﺎﺳﺐ اﻟﺠﻤﯿﻊ ﻹدارة ﻣﺨﺎطﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻓﻲ اﻟﺒﻨﯿﺎت اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ ،‬ﻓﻜ ّﻞ ﻣﻨﻈﻤﺔ‬
‫ﺳﺘﻈ ّﻞ ﺗﻮاﺟﮫ ﻣﺨﺎطﺮ ﻣﺨﺘﻠﻔﺔ ﻋﻦ ﻏﯿﺮھﺎ – ﺗﮭﺪﯾﺪات ﻣﺨﺘﻠﻔﺔ‪ ،‬وﻣﻮاطﻦ ﺿﻌﻒ ﻣﺨﺘﻠﻔﺔ‪ ،‬وﻣﺴﺘﻮﯾﺎت ﻣﺨﺘﻠﻔﺔ ﻟﺘﺤﻤﻞ اﻟﻤﺨﺎطﺮ‪.‬‬
‫ﺗﻘﺮر اﻟﻨﺸﺎطﺎت‬
‫ﻛﻤﺎ أن اﻟﻤﻨﻈﻤﺎت ﺳﺘﺘﺒﺎﯾﻦ ﻓﻲ طﺮق ﺗﻜﯿﯿﻔﮭﺎ ﻟﻠﻤﻤﺎرﺳﺎت اﻟﻤﻮﺻﻮﻓﺔ ﻓﻲ إطﺎر اﻟﻌﻤﻞ‪ .‬ﯾﻤﻜﻦ ﻟﻜﻞ ﻣﻨﻈﻤﺔ أن ّ‬
‫اﻟﻤﮭﻤﺔ ﻟﺘﻘﺪﯾﻢ ﺧﺪﻣﺎﺗﮭﺎ اﻷﺳﺎﺳﯿﺔ‪ ،‬ﻛﻤﺎ ﯾﻤﻜﻨﮭﺎ أن ﺗﺤﺪد أوﻟﻮﯾﺎت اﻻﺳﺘﺜﻤﺎر ﻟﺘﻌﻈﯿﻢ اﻟﻤﺮدود ﻣﻦ ﻛﻞ دوﻻر ﯾﺘﻢ إﻧﻔﺎﻗﮫ‪ .‬ﻓﻲ اﻟﻨﮭﺎﯾﺔ‪،‬‬
‫ﯾﮭﺪف إطﺎر اﻟﻌﻤﻞ إﻟﻰ ﺗﻘﻠﯿﻞ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ وﻹدارﺗﮭﺎ ﺑﺸﻜﻞ أﻓﻀﻞ‪.‬‬
‫‪2‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫ھﻨﺎﻟﻚ طﺮق ﻣﺘﻨﻮﻋﺔ ﻻﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ‪ ،‬وذﻟﻚ ﻻﺳﺘﯿﻌﺎب ﺣﺎﺟﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﻔﺮﯾﺪة ﻟﻜﻞ ﻣﻨﻈﻤﺔ‪ .‬إن اﻟﻘﺮار اﻟﻤﺘﻌﻠﻖ‬
‫ً‬
‫ﻓﻤﺜﻼ‪ ،‬ﻗﺪ ﺗﺨﺘﺎر إﺣﺪى اﻟﻤﻨﻈﻤﺎت اﺳﺘﺨﺪام ﻣﺮاﺣﻞ ﺗﻨﻔﯿﺬ إطﺎر‬
‫ﺑﻜﯿﻔﯿﺔ ﺗﻄﺒﯿﻖ إطﺎر اﻟﻌﻤﻞ ﻣﺘﺮوك ﻟﻠﻤﻨﻈﻤﺔ اﻟﺘﻲ ﺗﺮﯾﺪ ﺗﻄﺒﯿﻘﮫ‪.‬‬
‫اﻟﻌﻤﻞ ﻟﺼﯿﺎﻏﺔ اﻟﻤﻤﺎرﺳﺎت اﻟﺘﻲ ﺗﺘﺼﻮرھﺎ ﻹدارة اﻟﻤﺨﺎطﺮ‪ .‬ﺑﯿﻨﻤﺎ ﻗﺪ ﺗﺨﺘﺎر ﻣﻨﻈﻤﺔ أﺧﺮى أن ﺗﺴﺘﺨﺪم اﻟﻮظﺎﺋﻒ اﻟﺨﻤﺴﺔ ﻹطﺎر‬
‫اﻟﻌﻤﻞ ﻣﻦ أﺟﻞ ﺗﺤﻠﯿﻞ ﻛﺎﻣﻞ ﺧﻄﺘﮭﺎ ﻹدارة اﻟﻤﺨﺎطﺮ‪ ،‬ھﺬا اﻟﺘﺤﻠﯿﻞ ﻗﺪ ﯾﻌﺘﻤﺪ وﻗﺪ ﻻ ﯾﻌﺘﻤﺪ ﻋﻠﻰ اﻟﻤﺰﯾﺪ ﻣﻦ اﻹرﺷﺎدات اﻟﻤﻔﺼﻠﺔ‬
‫اﻟﻤﺼﺎﺣﺒﺔ‪ ،‬ﻣﺜﻞ ﻗﻮاﺋﻢ اﻟﻀﻮاﺑﻂ‪ .‬ﺗﺒﺮز أﺣﯿﺎﻧًﺎ ﺑﻌﺾ اﻟﻤﻨﺎﻗﺸﺎت ﺣﻮل "اﻟﺘﻘﯿﺪ" ﺑﺈطﺎر اﻟﻌﻤﻞ‪ ،‬ﻛﻤﺎ ﺗُﻌﺘﺒﺮ "اﻟﺠﺪوى" ھﻲ ھﯿﻜﻠﯿﺔ‬
‫وﻟﻐﺔ إطﺎر اﻟﻌﻤﻞ ﻟﺘﻨﻈﯿﻢ اﻟﺘﻘﯿﺪ ﺑﻤﺘﻄﻠﺒﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻠﻤﻨﻈﻤﺔ وﻟﻠﺘﻌﺒﯿﺮ ﻋﻦ ھﺬا اﻟﺘﻘﯿﺪ‪ .‬وﻣﻊ ذﻟﻚ‪ ،‬ﻓﺈن اﻟﻄﺮق اﻟﻤﺘﻌﺪدة‬
‫ﻻﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ ﻣﻦ ﻗﺒﻞ اﻟﻤﻨﻈﻤﺔ ﺗﺸﯿﺮ إﻟﻰ أن ﻋﺒﺎرات ﻣﺜﻞ "اﻟﺘﻘﯿﺪ ﺑﺈطﺎر اﻟﻌﻤﻞ" ﻗﺪ ﺗﻜﻮن ﻣﺮﺑﻜﺔ وذات ﻣﻌﻨًﻰ ﻣﺨﺘﻠﻒ‬
‫ﻋﻨﺪ ﻛﻞ واﺣﺪ ﻣﻦ أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ‪.‬‬
‫ھﺬا اﻹطﺎر ﻣﺘ ّﻤﻢ ﻟﻌﻤﻠﯿﺎت إدارة اﻟﻤﺨﺎطﺮ ﻓﻲ اﻟﻤﻨﻈﻤﺔ وﻟﺒﺮﻧﺎﻣﺞ اﻷﻣﻦ اﻟﺴﯿﺒﺮاﻧﻲ ﻓﯿﮭﺎ‪ ،‬وﻟﯿﺲ ً‬
‫ﺑﺪﯾﻼ ﻋﻨﮭﻤﺎ‪ .‬ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ أن‬
‫ﺗﺴﺘﺨﺪم ﻋﻤﻠﯿﺎﺗﮭﺎ اﻟﺤﺎﻟﯿﺔ وأن ﺗﺴﺘﻔﯿﺪ ﻣﻦ إطﺎر اﻟﻌﻤﻞ ﻟﺘﺤﺪﯾﺪ ﻓﺮص ﺗﻘﻮﯾﺔ إدارﺗﮭﺎ ﻟﻠﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ وأن ﺗﻌﻠﻦ ﻋﻨﮭﺎ ﻓﻲ اﻟﻮﻗﺖ‬
‫اﻟﺬي ﺗﺘﻤﺎﺷﻰ ﻓﯿﮫ ﻣﻊ ﻗﻄﺎع اﻟﺼﻨﺎﻋﺔ‪ .‬وإﻟﻰ ﺟﺎﻧﺐ ذﻟﻚ‪ ،‬ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺎت اﻟﺘﻲ ﻻ ﺗﻤﻠﻚ ﺑﺮﻧﺎﻣﺞ أﻣﻦ ﺳﺒﺮاﻧﻲ أن ﺗﺴﺘﻔﯿﺪ ﻣﻦ إطﺎر‬
‫اﻟﻌﻤﻞ ﻛﻤﺮﺟﻌﯿﺔ ﻟﺘﺄﺳﯿﺲ ﺑﺮﻧﺎﻣﺠﮭﺎ اﻟﺨﺎص‪.‬‬
‫ﻋﻠﻰ اﻟﺮﻏﻢ ﻣﻦ أن إطﺎر اﻟﻌﻤﻞ ﻗﺪ ﺗﻢ ﺗﻄﻮﯾﺮه ﻟﺘﺤﺴﯿﻦ إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻓﯿﻤﺎ ﯾﺨﺺ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ ،‬ﯾﻤﻜﻦ‬
‫ﻟﻠﻤﻨﻈﻤﺎت أﯾﻀًﺎ أن ﺗﺴﺘﺨﺪﻣﮫ ﻓﻲ أي ﻗﻄﺎع ﻣﻦ ﻗﻄﺎﻋﺎت اﻻﻗﺘﺼﺎد أو اﻟﻤﺠﺘﻤﻊ‪ .‬إن اﻟﮭﺪف ﻣﻦ اﻹطﺎر ھﻮ أن ﯾﻜﻮن ﻣﻔﯿﺪًا‬
‫ﻟﻠﺸﺮﻛﺎت واﻟﮭﯿﺌﺎت اﻟﺤﻜﻮﻣﯿﺔ واﻟﻤﻨﻈﻤﺎت ﻏﯿﺮ اﻟﺮﺑﺤﯿﺔ‪ ،‬ﺑﻐﺾ اﻟﻨﻈﺮ ﻋﻦ ﻣﺠﺎل ﺗﺮﻛﯿﺰھﻢ أو ﺣﺠﻤﮭﻢ‪ .‬طﺮﯾﻘﺔ اﻟﺘﺼﻨﯿﻒ اﻟﻤﻮﺣّﺪة‬
‫ﻟﻠﻤﻌﺎﯾﯿﺮ واﻹرﺷﺎدات واﻟﻤﻤﺎرﺳﺎت اﻟﺘﻲ ﯾﻘﺪّﻣﮭﺎ اﻹطﺎر ﻻ ﺗﺨﺘﺺ ﺑﺒﻠﺪ ﻣﻌﯿّﻦ ﻛﺬﻟﻚ‪ .‬ﯾﻤﻜﻦ أﯾﻀًﺎ ﻟﻠﻤﻨﻈﻤﺎت ﺧﺎرج اﻟﻮﻻﯾﺎت‬
‫اﻟﻤﺘﺤﺪة اﻷﻣﺮﯾﻜﯿﺔ أن ﺗﺴﺘﻌﯿﻦ ﺑﺈطﺎر اﻟﻌﻤﻞ ﻟﺘﻘﻮﯾﺔ ﺟﮭﻮدھﺎ ﻓﻲ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ ،‬ﻛﻤﺎ ﯾﻤﻜﻦ ﻟﻺطﺎر أن ﯾﺴﺎھﻢ ﻓﻲ ﺗﻄﻮﯾﺮ ﻟﻐﺔ‬
‫ﻣﺸﺘﺮﻛﺔ ﻟﻠﺘﻌﺎون اﻟﺪوﻟﻲ ﻓﯿﻤﺎ ﯾﺨﺺ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻠﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪.‬‬
‫‪ 1.1‬ﻧﻈﺮة ﻋﺎﻣﺔ ﻋﻠﻰ اﻹطﺎر‬
‫ھﺬا اﻹطﺎر ھﻮ ﻣﻨﮭﺠﯿﺔ ﺗﻘﻮم ﻋﻠﻰ أﺳﺎس اﻟﻤﺨﺎطﺮ ﻹدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ ،‬وﺗﺘﻜﻮن ﻣﻦ ﺛﻼﺛﺔ أﺟﺰاء‪ :‬ﻧﻮاة إطﺎر اﻟﻌﻤﻞ‪،‬‬
‫وﻣﺮاﺣﻞ ﺗﻨﻔﯿﺬ إطﺎر اﻟﻌﻤﻞ‪ ،‬وﻧﻤﺎذج إطﺎر اﻟﻌﻤﻞ‪ .‬ﻛﻞ واﺣﺪ ﻣﻦ ھﺬه اﻷﺟﺰاء ﯾﻌﺰز اﻟﺮاﺑﻄﺔ ﻣﺎ ﺑﯿﻦ اﻟﺪواﻓﻊ اﻟﺘﻲ ﺗﻘﻮد اﻷﻋﻤﺎل‬
‫واﻟﻤﮭﻤﺎت‪ ،‬وﺑﯿﻦ ﻧﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ .‬ﻓﯿﻤﺎ ﯾﻠﻲ ﺷﺮح ﻟﮭﺬه اﻷﺟﺰاء‪.‬‬
‫•‬
‫•‬
‫‪3‬‬
‫ﻧﻮاة إطﺎر اﻟﻌﻤﻞ ھﻲ ﻣﺠﻤﻮﻋﺔ ﻣﻦ ﻧﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ واﻟﻨﺘﺎﺋﺞ اﻟﻤﻨﺸﻮدة واﻟﻤﺮاﺟﻊ اﻟﻘﺎﺑﻠﺔ ﻟﻠﺘﻄﺒﯿﻖ‪ ،‬واﻟﺘﻲ‬
‫ﺗﺸﺘﺮك ﻓﯿﮭﺎ ﻗﻄﺎﻋﺎت اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ .‬ﺗﻤﺜّﻞ اﻟﻨﻮاة ﻣﻌﺎﯾﯿﺮ اﻟﺼﻨﺎﻋﺔ وإرﺷﺎداﺗﮭﺎ وﻣﻤﺎرﺳﺘﮭﺎ ﺑﺸﻜﻞ ﯾﺴﻤﺢ ﺑﺘﻨﺎﻗﻞ‬
‫ﻧﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ وﻧﺘﺎﺋﺠﮫ ﻋﺒﺮ اﻟﻤﻨﻈﻤﺔ اﺑﺘﺪا ًء ﻣﻦ ﻣﺴﺘﻮى اﻹدارة اﻟﺘﻨﻔﯿﺬﯾﺔ إﻟﻰ ﻣﺴﺘﻮى اﻟﻌﻤﻠﯿﺎت اﻟﺘﺸﻐﯿﻠﯿﺔ‬
‫أو اﻟﺘﻄﺒﯿﻘﯿﺔ‪ .‬ﺗﺘﻜﻮن ﻧﻮاة إطﺎر اﻟﻌﻤﻞ ﻣﻦ ﺧﻤﺲ وظﺎﺋﻒ ﻣﺘﺰاﻣﻨﺔ وﻣﺴﺘﻤﺮة ‪ :‬اﻟﺘﺤﺪﯾﺪ‪ ،‬واﻟﺤﻤﺎﯾﺔ‪ ،‬واﻟﺮﺻﺪ‪،‬‬
‫واﻻﺳﺘﺠﺎﺑﺔ‪ ،‬واﻻﺳﺘﻌﺎدة‪ .‬ﻋﻨﺪﻣﺎ ﯾُﻨﻈﺮ إﻟﯿﮭﺎ ﻣﻌًﺎ‪ ،‬ﯾﻤﻜﻦ ﻟﮭﺬه اﻟﻮظﺎﺋﻒ أن ﺗﻘﺪم ﻧﻈﺮة اﺳﺘﺮاﺗﯿﺠﯿﺔ ﻋﺎﻣﺔ ﻋﻠﻰ دورة ﺣﯿﺎة‬
‫إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻓﻲ اﻟﻤﻨﻈﻤﺔ‪ .‬ﺑﻌﺪھﺎ‪ ،‬ﺗﻘﻮم ﻧﻮاة إطﺎر اﻟﻌﻤﻞ ﺑﺘﺤﺪﯾﺪ اﻟﺘﺼﺎﻧﯿﻒ اﻟﺮﺋﯿﺴﯿﺔ واﻟﺘﺼﺎﻧﯿﻒ اﻟﻔﺮﻋﯿﺔ‬
‫– وھﻲ ﻣﺨﺮﺟﺎت ﻣﻨﻔﺼﻠﺔ ﻋﻦ ﺑﻌﻀﮭﺎ – ﻟﻜﻞ وظﯿﻔﺔ‪ ،‬ﻛﻤﺎ ﺗﻘﻮم ﺑﺮﺑﻄﮭﺎ ﺑﺄﻣﺜﻠﺔ ﻟﻤﺮاﺟﻊ ذات ﻗﯿﻤﺔ ﻋﻠﻤﯿﺔ‪ ،‬ﻣﺜﻞ اﻟﻤﻌﺎﯾﯿﺮ‬
‫واﻹرﺷﺎدات واﻟﻤﻤﺎرﺳﺎت اﻟﻤﻮﺟﻮدة ﻟﻜﻞ ﺗﺼﻨﯿﻒ ﻓﺮﻋﻲ‪.‬‬
‫ﻣﺮاﺣﻞ ﺗﻨﻔﯿﺬ إطﺎر اﻟﻌﻤﻞ )اﻟﻤﺮاﺣﻞ( ﺗﻘﺪّم ﺳﯿﺎﻗًﺎ ﺣﻮل اﻟﻄﺮﯾﻘﺔ اﻟﺘﻲ ﺗﻨﻈﺮ ﺑﮭﺎ اﻟﻤﻨﻈﻤﺔ إﻟﻰ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‬
‫واﻟﻌﻤﻠﯿﺎت اﻟﻘﺎﺋﻤﺔ ﻹدارة ﺗﻠﻚ اﻟﻤﺨﺎطﺮ‪ .‬ﺗﺼﻒ اﻟﻤﺮاﺣﻞ اﻟﺪرﺟﺔ اﻟﺬي ﺗﻘﻮم ﻓﯿﮫ إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻓﻲ اﻟﻤﻨﻈﻤﺔ‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﻤﻌﺮﻓﺔ ﻓﻲ إطﺎر اﻟﻌﻤﻞ )ﻣﻦ ھﺬه اﻟﺨﻮاص‪ :‬اﻟﻮﻋﻲ ﺑﺎﻟﻤﺨﺎطﺮ واﻟﺘﮭﺪﯾﺪات‪ ،‬اﻟﻘﺎﺑﻠﯿﺔ ﻟﻠﺘﻜﺮار‪،‬‬
‫ﺑﺈظﮭﺎر ﺧﻮاﺻﮭﺎ‬
‫ﱠ‬
‫واﻟﺘﻜﯿﻒ(‪ .‬ﺗﺼﻒ اﻟﻤﺮاﺣﻞ ﻣﻤﺎرﺳﺎت اﻟﻤﻨﻈﻤﺔ ﻋﻠﻰ ﺷﻜﻞ ﻧﻄﺎق‪ ،‬ﯾﺒﺪأ ﻣﻦ اﻟﺠﺰﺋﻲ )اﻟﻤﺮﺣﻠﺔ ‪ ،(1‬وﯾﻨﺘﮭﻲ ﺑﺎﻟﺘﻜﯿﻒ‬
‫)اﻟﻤﺮﺣﻠﺔ ‪ .(4‬ﺗﻌﻜﺲ ھﺬه اﻟﻤﺮاﺣﻞ اﻟﺘﻘﺪم ﻣﻦ اﻻﺳﺘﺠﺎﺑﺎت ﻏﯿﺮ اﻟﺮﺳﻤﯿﺔ واﻟﻘﺎﺋﻤﺔ ﻋﻠﻰ ردات اﻟﻔﻌﻞ إﻟﻰ اﻟﻤﻨﮭﺠﯿﺎت‬
‫اﻟﺮﺷﯿﻘﺔ واﻟﻮاﻋﯿﺔ ﺑﺎﻟﻤﺨﺎطﺮ‪ .‬ﺧﻼل ﻋﻤﻠﯿﺎت اﺧﺘﯿﺎر اﻟﻤﺮﺣﻠﺔ‪ ،‬ﯾﻨﺒﻐﻲ ﻋﻠﻰ اﻟﻤﻨﻈﻤﺔ أن ﺗﻀﻊ ﻓﻲ ﻋﯿﻦ اﻟﺤﺴﺒﺎن‬
‫ﻣﻤﺎرﺳﺎﺗﮭﺎ اﻟﺤﺎﻟﯿﺔ ﻹدارة اﻟﻤﺨﺎطﺮ‪ ،‬وﺑﯿﺌﺔ اﻟﺘﮭﺪﯾﺪات اﻟﻤﺤﯿﻄﺔ ﺑﮭﺎ‪ ،‬واﻟﻤﺘﻄﻠﺒﺎت اﻟﻘﺎﻧﻮﻧﯿﺔ واﻟﺘﻨﻈﯿﻤﯿﺔ‪ ،‬وأھﺪاف‬
‫اﻷﻋﻤﺎل‪ ،‬وﻗﯿﻮدھﺎ اﻟﻤﻨﻈﻤﯿﺔ‪.‬‬
‫•‬
‫ﻧﻤﺎذج إطﺎر اﻟﻌﻤﻞ )اﻟﻨﻤﺎذج( ﺗﻤﺜّﻞ اﻟﻤﺨﺮﺟﺎت اﻟﻤﺒﻨﯿﺔ ﻋﻠﻰ اﺣﺘﯿﺎﺟﺎت اﻷﻋﻤﺎل اﻟﺘﻲ اﺧﺘﺎرﺗﮭﺎ اﻟﻤﻨﻈﻤﺔ ﻣﻦ ﺗﺼﻨﯿﻔﺎت‬
‫إطﺎر اﻟﻌﻤﻞ اﻟﺮﺋﯿﺴﯿﺔ واﻟﻔﺮﻋﯿﺔ‪ .‬ﯾﻤﻜﻦ أن ﯾﻮﺻﻒ اﻟﻨﻤﻮذج ﺑﺄﻧﮫ ﻣﻮاﺋﻤﺔ اﻟﻤﻌﺎﯾﯿﺮ واﻹرﺷﺎدات واﻟﻤﻤﺎرﺳﺎت ﻣﻊ ﻧﻮاة‬
‫إطﺎر اﻟﻌﻤﻞ ﻓﻲ ﺳﯿﻨﺎرﯾﻮ ﺗﻨﻔﯿﺬي ﻣﻌﯿﻦ‪ .‬ﯾﻤﻜﻦ اﺳﺘﺨﺪام اﻟﻨﻤﺎذج ﻟﺘﺤﺪﯾﺪ ﻓﺮص ﺗﻄﻮﯾﺮ ﺣﺎﻟﺔ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻋﻦ طﺮﯾﻖ‬
‫ﻣﻘﺎرﻧﺔ ﻧﻤﻮذج ﺣﺎﻟﻲ )ﺑﺤﺎﻟﺘﮫ ﻛﻤﺎ ھﻲ اﻵن( ﻣﻊ اﻟﻨﻤﻮذج اﻟﮭﺪف )اﻟﺤﺎﻟﺔ اﻟﻤﻨﺸﻮدة(‪ .‬ﻟﻮﺿﻊ اﻟﻨﻤﻮذج‪ ،‬ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ‬
‫أن ﺗﺴﺘﻌﺮض ﺟﻤﯿﻊ اﻟﺘﺼﻨﯿﻔﺎت اﻟﺮﺋﯿﺴﯿﺔ واﻟﻔﺮﻋﯿﺔ‪ ،‬ﻟﺘﺤﺪد ﺑﻌﺪھﺎ أﯾﮭﺎ أﺷﺪ أھﻤﯿﺔ ﺑﻨﺎء ﻋﻠﻰ دواﻓﻊ اﻷﻋﻤﺎل وﺗﻘﯿﯿﻢ‬
‫اﻟﻤﺨﺎطﺮ؛ ﯾﻤﻜﻨﮭﺎ أن ﺗﻀﯿﻒ ﺗﺼﻨﯿﻔﺎت رﺋﯿﺴﯿﺔ وﻓﺮﻋﯿﺔ ﺑﺤﺴﺐ ﺣﺎﺟﺘﮭﺎ ﻟﻠﺘﻌﺎﻣﻞ ﻣﻊ اﻟﻤﺨﺎطﺮ اﻟﺘﻲ ﺗﻮاﺟﮭﮭﺎ‪ .‬ﺑﻌﺪھﺎ‪،‬‬
‫ﯾﻤﻜﻦ أن ﯾﺘﻢ اﺳﺘﺨﺪام اﻟﻨﻤﻮذج اﻟﺤﺎﻟﻲ ﻟﺪﻋﻢ ﻋﻤﻠﯿﺔ وﺿﻊ اﻷوﻟﻮﯾﺎت وﻣﻘﺎﯾﯿﺲ اﻟﺘﻘﺪم ﻧﺤﻮ اﻟﻨﻤﻮذج اﻟﮭﺪف‪ ،‬ﻣﻊ ﻣﺮاﻋﺎة‬
‫اﻻﺣﺘﯿﺎﺟﺎت اﻷﺧﺮى ﻟﻸﻋﻤﺎل ﻣﺜﻞ ﻓﻌﺎﻟﯿﺔ اﻟﺘﻜﻠﻔﺔ واﻻﺑﺘﻜﺎر‪ .‬ﯾﻤﻜﻦ أن ﺗُﺴﺘﺨﺪم اﻟﻨﻤﺎذج ﻹﺟﺮاء ﺗﻘﯿﯿﻤﺎت ذاﺗﯿﺔ وﻟﻠﺘﻮاﺻﻞ‬
‫ﻓﻲ داﺧﻞ اﻟﻤﻨﻈﻤﺔ أو ﻓﯿﻤﺎ ﺑﯿﻦ اﻟﻤﻨﻈﻤﺎت‪.‬‬
‫‪ 1.2‬إدارة اﻟﻤﺨﺎطﺮ وإطﺎر ﻋﻤﻞ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫إدارة اﻟﻤﺨﺎطﺮ ھﻲ اﻟﻌﻤﻠﯿﺔ اﻟﻤﺘﻮاﺻﻠﺔ ﻟﺘﺤﺪﯾﺪ وﺗﻘﯿﯿﻢ واﻻﺳﺘﺠﺎﺑﺔ ﻟﻠﻤﺨﺎطﺮ‪ .‬ﻟﻜﻲ ﺗﺘﻢ إدارة اﻟﻤﺨﺎطﺮ‪ ،‬ﯾﺠﺐ ﻋﻠﻰ اﻟﻤﻨﻈﻤﺔ أن‬
‫ﺗﻌﺮف اﺣﺘﻤﺎﻟﯿﺔ أن ﯾﻘﻊ ﺣﺪث ﻣﺎ واﻵﺛﺎر اﻟﻤﺤﺘﻤﻠﺔ ﻟﮫ‪ .‬ﺑﮭﺬه اﻟﻤﻌﻠﻮﻣﺎت ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ أن ﺗﺤﺪد اﻟﻤﺴﺘﻮى اﻟﻤﻘﺒﻮل ﻣﻦ اﻟﻤﺨﺎطﺮ‬
‫ّ‬
‫ﻛﻤﻨﻈﻤﺔ‪ ،‬وﯾﻤﻜﻦ أن ﺗﻌﺒّﺮ ﻋﻦ ھﺬا اﻟﻤﺴﺘﻮى اﻟﻤﻘﺒﻮل ﺑﺄﻧﮫ درﺟﺔ ﺗﺤﻤﻠﮭﺎ ﻟﻠﻤﺨﺎطﺮ‪.‬‬
‫ﻟﺘﺤﻘﯿﻖ أھﺪاﻓﮭﺎ‬
‫ﻋﺒﺮ ﻣﻌﺮﻓﺔ درﺟﺔ ﺗﺤﻤﻞ اﻟﻤﺨﺎطﺮ‪ ،‬ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ أن ﺗﺤﺪد أوﻟﻮﯾﺎت ﻧﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ ،‬ﻣﻤﺎ ﯾﺘﯿﺢ ﻟﮭﺎ اﺗﺨﺎذ ﻗﺮارات‬
‫ﻣﺪروﺳﺔ ﻓﯿﻤﺎ ﯾﺘﻌﻠﻖ ﺑﻨﻔﻘﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ .‬ﺗﻄﺒﯿﻖ ﺑﺮاﻣﺞ إدارة اﻟﻤﺨﺎطﺮ ﯾﻌﻄﻲ اﻟﻤﻨﻈﻤﺔ اﻟﻘﺪرة ﻋﻠﻰ ﺗﺤﺪﯾﺪ ﻛﻤﯿﺔ اﻟﺘﻌﺪﯾﻼت‬
‫اﻟﻼزﻣﺔ ﻋﻠﻰ ﺑﺮاﻣﺞ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ وﻣﺸﺎرﻛﺘﮭﺎ‪ .‬ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺎت أن ﺗﺨﺘﺎر اﻟﺘﻌﺎﻣﻞ ﻣﻊ اﻟﻤﺨﺎطﺮ ﺑﻄﺮق ﻣﺨﺘﻠﻔﺔ‪ ،‬ﻣﺜﻞ ﺗﺨﻔﯿﻔﮭﺎ‪،‬‬
‫أو ﺗﺤﻮﯾﻠﮭﺎ‪ ،‬أو ﺗﺠﻨﺒﮭﺎ‪ ،‬أو ﻗﺒﻮﻟﮭﺎ‪ ،‬وذﻟﻚ اﻋﺘﻤﺎدًا ﻋﻠﻰ اﻷﺛﺮ اﻟﻤﺤﺘﻤﻞ ﻋﻠﻰ ﺗﻘﺪﯾﻢ اﻟﺨﺪﻣﺎت اﻟﺤﺴﺎﺳﺔ‪ .‬ﯾﺴﺘﺨﺪم إطﺎر اﻟﻌﻤﻞ ﻋﻤﻠﯿﺎت‬
‫إدارة اﻟﻤﺨﺎطﺮ ﻟﻜﻲ ﯾﺘﯿﺢ ﻟﻠﻤﻨﻈﻤﺔ اﺗﺨﺎذ ﻗﺮارات ﻣﺴﺘﻨﯿﺮة وﺗﺮﺗﯿﺒﮭﺎ ﺑﺤﺴﺐ أوﻟﻮﯾﺘﮭﺎ ﻓﯿﻤﺎ ﯾﺘﻌﻠﻖ ﺑﺎﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ .‬ﻛﻤﺎ ﯾﺪﻋﻢ‬
‫إطﺎر اﻟﻌﻤﻞ ﻋﻤﻠﯿﺎت ﺗﻘﯿﯿﻢ اﻟﻤﺨﺎطﺮ اﻟﻤﺘﻜﺮرة واﻟﺘﺤﻘﻖ ﻣﻦ ﺻﺤﺔ دواﻓﻊ اﻷﻋﻤﺎل‪ ،‬وذﻟﻚ ﻟﻤﺴﺎﻋﺪة اﻟﻤﻨﻈﻤﺎت ﻓﻲ اﺧﺘﯿﺎر اﻟﺤﺎﻻت‬
‫اﻟﻤﻨﺸﻮدة ﻟﻨﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ واﻟﺘﻲ ﺗﻌﻜﺲ اﻟﻨﺘﺎﺋﺞ اﻟﻤﺮﻏﻮﺑﺔ‪ .‬ﻟﺬﻟﻚ‪ ،‬ﯾﻌﻄﻲ إطﺎر اﻟﻌﻤﻞ اﻟﻤﻨﻈﻤﺎت اﻟﻘﺪرة ﻋﻠﻰ اﺧﺘﯿﺎر‬
‫وﺗﻮﺟﯿﮫ ﻋﻤﻠﯿﺔ ﺗﺤﺴﯿﻦ إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﺑﺸﻜﻞ دﯾﻨﺎﻣﯿﻜﻲ ﻓﻲ ﺑﯿﺌﺎت ﺗﻘﻨﯿﺔ اﻟﻤﻌﻠﻮﻣﺎت وأﻧﻈﻤﺔ اﻟﺘﺤﻜﻢ اﻟﺼﻨﺎﻋﻲ‪.‬‬
‫ﯾﻤﻜﻦ ﺗﻜﯿﯿﻒ إطﺎر اﻟﻌﻤﻞ ﻟﺘﻘﺪﯾﻢ ﺗﻄﺒﯿﻘﺎت ﻣﺮﻧﺔ وﺗﻘﻮم ﻋﻠﻰ أﺳﺎس اﻟﻤﺨﺎطﺮ‪ ،‬واﻟﺘﻲ ﯾﻤﻜﻦ اﺳﺘﺨﺪاﻣﮭﺎ ﻣﻊ ﻣﺠﻤﻮﻋﺔ ﻛﺒﯿﺮة ﻣﻦ‬
‫ﻋﻤﻠﯿﺎت إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ .‬ﻣﻦ اﻷﻣﺜﻠﺔ ﻋﻠﻰ ﻋﻤﻠﯿﺎت إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪:‬‬
‫‪4‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫‪International Organization for Standardization (ISO) 3100:2009 6, ISO/International‬‬
‫‪Electrotechnical Commission (IEC) 27005:2011 7, NIST Special Publication (SP) 800-39 8,‬‬
‫‪Electricity Subsector Cybersecurity Risk Management Process (RMP) guideline 9.‬‬
‫‪ 1.3‬ﻧﻈﺮة ﻋﺎﻣﺔ ﻋﻠﻰ اﻟﻤﺴﺘﻨﺪ‬
‫ﻣﺎ ﺗﺒﻘﻰ ﻣﻦ ھﺬا اﻟﻤﺴﺘﻨﺪ ﯾﺤﺘﻮي ﻋﻠﻰ اﻷﻗﺴﺎم واﻟﻤﻠﺤﻘﺎت اﻟﺘﺎﻟﯿﺔ‪:‬‬
‫• اﻟﻘﺴﻢ ‪ 2‬ﯾﺼﻒ ﻣﻜﻮﻧﺎت إطﺎر اﻟﻌﻤﻞ‪ :‬ﻧﻮاة إطﺎر اﻟﻌﻤﻞ‪ ،‬اﻟﻤﺮاﺣﻞ‪ ،‬واﻟﻨﻤﺎذج‬
‫• اﻟﻘﺴﻢ ‪ 3‬ﯾﻄﺮح أﻣﺜﻠﺔ ﻟﻜﯿﻔﯿﺔ اﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ‬
‫• اﻟﻘﺴﻢ ‪ 4‬ﯾﺼﻒ ﻛﯿﻔﯿﺔ اﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ ﻓﻲ اﻟﺘﻘﯿﯿﻢ اﻟﺬاﺗﻲ و وﺗﻮﺿﯿﺤﺎﻷﻣﻦ اﻟﺴﯿﺒﺮاﻧﻲ ﻣﻦ ﺑﺎﺳﺘﺨﺪام اﻟﻤﻘﺎﯾﯿﺲ‬
‫• اﻟﻤﻠﺤﻖ )أ( ﯾﻘﺪم ﻧﻮاة إطﺎر اﻟﻌﻤﻞ ﻓﻲ ﺷﻜﻞ ﻣﺠﺪول‪ :‬اﻟﻮظﺎﺋﻒ‪ ،‬واﻟﺘﺼﻨﯿﻔﺎت‪ ،‬واﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ‪ ،‬واﻟﻤﺮاﺟﻊ‬
‫اﻟﻤﻌﺮﻓﯿﺔ‬
‫• اﻟﻤﻠﺤﻖ )ب( ﯾﺤﺘﻮي ﻋﻠﻰ ﻓﮭﺮس ﻟﺒﻌﺾ اﻟﻤﺼﻄﻠﺤﺎت‬
‫• اﻟﻤﻠﺤﻖ )ج( ﯾﺤﺘﻮي ﻋﻠﻰ ﻗﺎﺋﻤﺔ ﺑﺎﺧﺘﺼﺎرات اﻟﻤﺼﻄﻠﺤﺎت اﻟﻤﺴﺘﺨﺪﻣﺔ ﻓﻲ ھﺬا اﻟﻤﺴﺘﻨﺪ‬
‫‪ 6‬اﻟﻤﻨﻈﻤﺔ اﻟﺪوﻟﯿﺔ ﻟﺘﻮﺣﯿﺪ اﻟﻤﻌﺎﯾﯿﺮ‪" ،‬إإدارة اﻟﻤﺨــﺎطﺮ" – اﻟﻤﺒﺎدئ واﻟﺨﻄﻮط اﻟﺘﻮﺟﯿﮭﯿﺔ‪ ،‬اﻟﻤﻨﻈﻤﺔ اﻟﺪوﻟﯿﺔ ﻟﻠﻤﻌﺎﯾﯿﺮ‬
‫‪ISO 31000:20092009 ،. http://www.iso.org/iso/home/standards/iso31000.htm‬ﺑﺎﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ‬
‫‪ 7‬اﻟﻤﻨﻈﻤﺔ اﻟﺪوﻟﯿﺔ ﻟﻠﻤﻌﺎﯾﯿﺮ ‪ /‬اﻟﻠﺠﻨﺔ اﻟﻜﮭﺮوﺗﻘﻨﯿﺔ اﻟﺪوﻟﯿﺔ‪ ،‬ﺗﻜﻨﻮﻟﻮﺟﯿــــــﺎ اﻟﻤﻌﻠﻮﻣﺎت – ﺗﻘﻨﯿﺎت اﻷﻣﻦ ‪ -‬إدارة ﻣﺨﺎطﺮ أﻣﻦ اﻟﻤﻌﻠﻮﻣﺎت –‬
‫‪ 2011 ، ISO/IEC27005:2011‬ﺑﺎﻟﻮﻣﻘﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://www.iso.org/standard/56742.html‬‬
‫‪8‬‬
‫اﻟﻔﺮﯾﻖ اﻟﻤﺸﺘﺮك ﻟﻤﺒﺎدرة اﻟﺘﺤﻮل‪ ،‬ﻹدارة ﻣﺨﺎطﺮ أﻣﻦ اﻟﻤﻌﻠﻮﻣﺎت‪ ،‬اﻟﻤﮭــﻤﺔ‪ ،‬وﻋﺮض ﻧﻈﺎم اﻟﻤﻌﻠﻮﻣﺎت‪ ،‬اﻟﻤﻨﺸﻮر اﻟﺨﺎص اﻟﺼﺎدر ﻋﻦ‬
‫اﻟﻤﻌﮭﺪ اﻟﻮطﻨﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ ‪ NIST‬ﺑﺮﻗﻢ ‪ ، 800-39‬ﺑﺘﺎرﯾﺦ ﻣﺎرس ‪ 2011‬ﺑﺎﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ‬
‫‪https://doi.org/10.6028/NIST.SP.800-39‬‬
‫‪ 9‬وزارة اﻟﻄﺎﻗﺔ ﺑﺎﻟﻮﻻﯾﺎت اﻟﻤﺘﺤﺪة‪ ،‬ﻟﻘﻄﺎع اﻟﻜﮭﺮﺑﺎء "ﻟﻌﻤﻠﯿﺎت ﻏﺪارة ﻣﺨﺎطﺮ اﻷﻣﻦ اﻟﺴﯿﺒﺮاﻧﻲ"‪ ،‬ﺑﺮﻗﻢ ‪ DOE/OE-0003‬ﺑﺘﺎرﯾﺦ ﻣﺎﯾﻮ‬
‫}آﯾﺎر{ ﺑﺎﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ‪:‬‬
‫ ‪https://energy.gov/sites/prod/files/Cybersecurity Risk Management Process Guideline - Final‬‬‫‪May 2012.pdf‬‬
‫‪5‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫‪ 2.0‬أﺳﺎﺳﯿﺎت إطﺎر اﻟﻌﻤﻞ‬
‫ﯾﻘﺪم إطﺎر اﻟﻌﻤﻞ ﻟﻐﺔً ﻣﺸﺘﺮﻛﺔ ﻟﻔﮭﻢ ﻣﺨﺎطﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ وإدارﺗﮭﺎ واﻟﺘﻌﺒﯿﺮ ﻋﻨﮭﺎ أﻣﺎم أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ اﻟﺪاﺧﻠﯿﯿﻦ‬
‫واﻟﺨﺎرﺟﯿﯿﻦ‪ .‬ﯾﻤﻜﻦ اﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ ﻟﻠﻤﺴﺎﻋﺪة ﻓﻲ ﺗﺤﺪﯾﺪ وﺗﺤﺪﯾﺪ أوﻟﻮﯾﺎت إﺟﺮاءات ﺗﺨﻔﯿﻒ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ ،‬ﻛﻤﺎ أﻧﮫ‬
‫أداة ﻟﻤﻮاءﻣﺔ اﻟﺴﯿﺎﺳﺎت واﻷﻋﻤﺎل واﻟﻤﻨﮭﺠﯿﺎت اﻟﺘﻜﻨﻮﻟﻮﺟﯿﺔ ﻣﻊ ﺑﻌﻀﮭﺎ اﻟﺒﻌﺾ ﺑﮭﺪف إدارة ﺗﻠﻚ اﻟﻤﺨﺎطﺮ‪ .‬ﯾﻤﻜﻦ اﺳﺘﺨﺪاﻣﮫ‬
‫ﻹدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻋﺒﺮ ﻛﺎﻣﻞ اﻟﻤﻨﻈﻤﺎت‪ ،‬أو أن ﯾﺘﻢ ﺗﺮﻛﯿﺰ اﺳﺘﺨﺪاﻣﮫ ﻋﻠﻰ ﺟﺎﻧﺐ ﺗﻘﺪﯾﻢ اﻟﺨﺪﻣﺎت اﻟﺤﺴﺎﺳﺔ ﺿﻤﻦ اﻟﻤﻨﻈﻤﺔ‪.‬‬
‫ﯾﻤﻜﻦ ﻟﻸﻧﻮاع اﻟﻤﺨﺘﻠﻔﺔ ﻣﻦ اﻟﺠﮭﺎت – ﻣﺜﻞ ھﯿﺌﺎت ﺗﻨﺴﯿﻖ اﻟﻘﻄﺎﻋﺎت واﻟﺠﻤﻌﯿﺎت واﻟﻤﻨﻈﻤﺎت – أن ﺗﺴﺘﺨﺪم إطﺎر اﻟﻌﻤﻞ ﻟﺘﺤﻘﯿﻖ‬
‫أﻏﺮاض ﻣﺨﺘﻠﻔﺔ‪ ،‬ﻣﺜﻞ إﻧﺸﺎء ﻧﻤﺎذج ﻣﺸﺘﺮﻛﺔ‪.‬‬
‫‪ 2.1‬ﻧﻮاة إطﺎر اﻟﻌﻤﻞ‬
‫ﯾﻘﺪم إطﺎر اﻟﻌﻤﻞ ﻣﺠﻤﻮﻋﺔ ﻣﻦ اﻟﻨﺸﺎطﺎت ﻟﺘﺤﻘﯿﻖ ﻧﺘﺎﺋﺞ ﻣﺤﺪدة ﻓﻲ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ ،‬ﻛﻤﺎ ﯾﺘﻀﻤﻦ إﺷﺎرة إﻟﻰ أﻣﺜﻠﺔ ﻋﻠﻰ إرﺷﺎدات‬
‫ﺗﺴﺎﻋﺪ ﻓﻲ ﺗﺤﻘﯿﻖ ﺗﻠﻚ اﻟﻨﺘﺎﺋﺞ‪ .‬ﻟﯿﺴﺖ اﻟﻨﻮاة ﻗﺎﺋﻤﺔً ﺑﺎﻹﺟﺮاءات اﻟﺘﻲ ﯾﻨﺒﻐﻲ ﺗﺄدﯾﺘﮭﺎ‪ ،‬وﻟﻜﻨﮭﺎ ﺗﻄﺮح ﻧﺘﺎﺋﺞ أﺳﺎﺳﯿﺔ ﻓﻲ ﻣﺠﺎل اﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ ﺗﻢ ﺗﺤﺪﯾﺪھﺎ ﻣﻦ ﻗﺒﻞ أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ ﻋﻠﻰ أﻧﮭﺎ ﻣﻔﯿﺪة ﻓﻲ إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ .‬ﺗﺘﻜﻮن اﻟﻨﻮاة ﻣﻦ أرﺑﻌﺔ ﻋﻨﺎﺻﺮ‪:‬‬
‫اﻟﻮظﺎﺋﻒ‪ ،‬واﻟﺘﺼﻨﯿﻔﺎت‪ ،‬واﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ‪ ،‬واﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‪ .‬اﻧﻈﺮ إﻟﻰ اﻟﺸﻜﻞ ‪:1‬‬
‫ﺷﻜﻞ رﻗﻢ )‪ :(1‬ﺑﻨﯿﺔ ﻧﻮاة إطﺎر اﻟﻌﻤﻞ‬
‫•‬
‫‪6‬‬
‫اﻟﻮظﺎﺋﻒ ﺗﻘﻮم ﺑﺘﻨﻈﯿﻢ ﻧﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻷﺳﺎﺳﯿﺔ ﻓﻲ ﻣﺴﺘﻮاھﺎ اﻷﻋﻠﻰ‪ .‬ھﺬه اﻟﻮظﺎﺋﻒ ھﻲ‪ :‬اﻟﺘﺤﺪﯾﺪ‪ ،‬واﻟﺤﻤﺎﯾﺔ‪،‬‬
‫واﻟﺮﺻﺪ‪ ،‬واﻻﺳﺘﺠﺎﺑﺔ‪ ،‬واﻻﺳﺘﻌﺎدة‪ .‬ﺗﺴﺎﻋﺪ ھﺬه اﻟﻮظﺎﺋﻒ اﻟﺨﻤﺲ اﻟﻤﻨﻈﻤﺔَ ﻓﻲ اﻟﺘﻌﺒﯿﺮ ﻋﻦ إدارﺗﮭﺎ ﻟﻠﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‬
‫ﻋﻦ طﺮﯾﻖ ﺗﻨﻈﯿﻢ اﻟﻤﻌﻠﻮﻣﺎت‪ ،‬وﺗﻔﻌﯿﻞ ﻗﺮارات إدارة اﻟﻤﺨﺎطﺮ‪ ،‬وﺗﺤﺪﯾﺪ اﻟﺘﮭﺪﯾﺪات‪ ،‬واﻟﺘﺤﺴﯿﻦ اﻟﻤﺒﻨﻲ ﻋﻠﻰ اﻻﺳﺘﻔﺎدة‬
‫ﻣﻦ اﻟﻨﺸﺎطﺎت اﻟﺴﺎﺑﻘﺔ‪ .‬ﻛﻤﺎ ﺗﺘﻮاءم ھﺬه اﻟﻮظﺎﺋﻒ ﻣﻊ اﻟﻄﺮق اﻟﻤﻮﺟﻮدة ﻹدارة اﻟﺤﻮادث‪ ،‬وﺗﺴﺎﻋﺪ ﻓﻲ إظﮭﺎر أﺛﺮ‬
‫اﻻﺳﺘﺜﻤﺎرات ﻓﻲ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ .‬ﻓﻌﻠﻰ ﺳﺒﯿﻞ اﻟﻤﺜﺎل‪ ،‬ﯾﻌﺰز اﻻﺳﺘﺜﻤﺎر ﻓﻲ اﻟﺘﺨﻄﯿﻂ واﻟﺘﺪرﯾﺐ ﻣﻦ اﻟﻘﺪرة ﻋﻠﻰ‬
‫اﻻﺳﺘﺠﺎﺑﺔ واﻻﺳﺘﻌﺎدة ﻓﻲ اﻟﻮﻗﺖ اﻟﻤﻨﺎﺳﺐ‪ ،‬ﻣﻤﺎ ﯾﺆدي إﻟﻰ ﺗﺄﺛﯿﺮ أﻗﻞ ﻋﻠﻰ ﺳﯿﺮ ﻋﻤﻠﯿﺔ ﺗﻘﺪﯾﻢ اﻟﺨﺪﻣﺎت‪.‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫•‬
‫اﻟﺘﺼﻨﯿﻔﺎت ھﻲ ﺗﻘﺴﯿﻢ اﻟﻮظﯿﻔﺔ اﻟﻮاﺣﺪة إﻟﻰ ﻣﺠﻤﻮﻋﺎت ﻣﻦ ﻣﺨﺮﺟﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ ،‬واﻟﺘﻲ ﺗﺮﺗﺒﻂ ﺑﺸﻜﻞ وﺛﯿﻖ‬
‫ﺑﺎﺣﺘﯿﺎﺟﺎت اﻟﺒﺮاﻣﺞ وﺑﺄﻧﺸﻄﺔ ﻣﻌﯿﻨﺔ‪ .‬ﻣﻦ اﻷﻣﺜﻠﺔ ﻋﻠﻰ اﻟﺘﺼﻨﯿﻔﺎت‪" :‬إدارة اﻷﺻﻮل”‪ ،‬و"إدارة اﻟﮭﻮﯾﺔ واﻟﺘﺤﻜﻢ‬
‫ﺑﺎﻟﻮﺻﻮل"‪ ،‬و"ﻋﻤﻠﯿﺎت اﻟﺮﺻﺪ"‪.‬‬
‫•‬
‫اﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ ھﻲ ﺗﻘﺴﯿﻢ إﺿﺎﻓﻲ ﻟﻠﺘﺼﻨﯿﻒ اﻟﻮاﺣﺪ إﻟﻰ ﻣﺨﺮﺟﺎت ﻣﺤﺪدة ﻣﻦ اﻟﻨﺸﺎطﺎت اﻟﻔﻨﯿﺔ و‪/‬أو اﻹدارﯾﺔ‪.‬‬
‫ﺗﻘﺪم اﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ ﻣﺠﻤﻮﻋﺔ ﻣﻦ اﻟﻨﺘﺎﺋﺞ اﻟﺘﻲ – وﻣﻦ دون ﺣﺼﺮ – ﺗﺴﺎﻋﺪ ﻓﻲ ﺗﺤﻘﯿﻖ ﻣﺨﺮﺟﺎت ﻛﻞ ﺗﺼﻨﯿﻒ‪.‬‬
‫ﻣﻦ اﻷﻣﺜﻠﺔ ﻋﻠﻰ اﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ‪" :‬أﻧﻈﻤﺔ اﻟﻤﻌﻠﻮﻣﺎت اﻟﺨﺎرﺟﯿﺔ ﻣﻔﮭﺮﺳﺔ"‪ ،‬و"اﻟﺒﯿﺎﻧﺎت اﻟﻤﺴﺘﻘﺮة ﻣﺤﻤﯿﺔ"‪،‬‬
‫و"إﺷﻌﺎرات أﻧﻈﻤﺔ اﻟﺮﺻﺪ ﯾﺘﻢ اﻟﺘﺤﻘﯿﻖ ﻓﯿﮭﺎ"‪.‬‬
‫•‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ ھﻲ أﻗﺴﺎم ﻣﺨﺼﺼﺔ ﻟﻠﻤﻌﺎﯾﯿﺮ واﻹرﺷﺎدات واﻟﻤﻤﺎرﺳﺎت اﻟﺸﺎﺋﻌﺔ ﺑﯿﻦ ﻗﻄﺎﻋﺎت اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ‬
‫اﻟﺤﺴﺎﺳﺔ‪ ،‬واﻟﺘﻲ – أي اﻟﻤﻌﺎﯾﯿﺮ – ﺗﻄﺮح ﻣﻨﮭﺠﯿﺔ ﻟﺘﺤﻘﯿﻖ اﻟﻤﺨﺮﺟﺎت اﻟﻤﺮﺗﺒﻄﺔ ﺑﻜﻞ ﺗﺼﻨﯿﻒ ﻓﺮﻋﻲ‪ .‬اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫اﻟﻤﺬﻛﻮرة ﻓﻲ إطﺎر اﻟﻌﻤﻞ ﺗﻢ وﺿﻌﮭﺎ ﻋﻠﻰ ﺳﺒﯿﻞ اﻹﯾﻀﺎح ﻻ اﻟﺤﺼﺮ‪ .‬ھﺬه اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ ﻣﺒﻨﯿﺔ ﻋﻠﻰ اﻟﺘﻮﺟﯿﮭﺎت‬
‫اﻟﺘﻲ ﺗﻜﺜﺮ اﻹﺷﺎرة إﻟﯿﮭﺎ ﻣﻦ ﻗﺒﻞ اﻟﻘﻄﺎﻋﺎت أﺛﻨﺎء ﻓﺘﺮة ﺗﻄﻮﯾﺮ إطﺎر اﻟﻌﻤﻞ‪.‬‬
‫ﻓﻲ اﻷﺳﻔﻞ ﺗﻌﺮﯾﻒ ﻟﻠﻮظﺎﺋﻒ اﻟﺨﻤﺴﺔ ﻟﻨﻮاة إطﺎر اﻟﻌﻤﻞ‪ .‬ﻟﯿﺲ اﻟﮭﺪف ﻣﻦ ھﺬه اﻟﻮظﺎﺋﻒ اﻟﺨﻤﺴﺔ ﺗﺸﻜﯿﻞ ﻣﺴﺎر ﺗﺴﻠﺴﻠﻲ أو‬
‫أن ﺗﻘﻮد إﻟﻰ ھﺪف ﻧﮭﺎﺋﻲ ﺛﺎﺑﺖ‪ ،‬إﻧﻤﺎ ﯾﻨﺒﻐﻲ أن ﯾﺘﻢ ﺗﻄﺒﯿﻘﮭﺎ ﺑﺸﻜﻞ ﻣﺘﺰاﻣﻦ وﻣﺘﻮاﺻﻞ ﻟﺘﺸﻜﯿﻞ ﺛﻘﺎﻓﺔ ﻋﻤﻠﯿﺔ ﯾﻤﻜﻨﮭﺎ اﻟﺘﻌﺎﻣﻞ‬
‫ﻣﻊ دﯾﻨﺎﻣﯿﻜﯿﺔ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ .‬اﻧﻈﺮ اﻟﻤﻠﺤــﻖ )أ( ﻟﻼطﻼع ﻋﻠﻰ اﻟﻘﺎﺋﻤﺔ اﻟﻜﺎﻣﻠﺔ ﻟﻨﻮاة إطﺎر اﻟﻌﻤﻞ‪.‬‬
‫‪7‬‬
‫•‬
‫ّ‬
‫ﻣﻨﻈﻤﻲ ﻹدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻋﻠﻰ اﻷﻧﻈﻤﺔ واﻷﺷﺨﺎص واﻷﺻﻮل واﻟﺒﯿﺎﻧﺎت‬
‫اﻟﺘﺤﺪﯾﺪ‪ :‬ﺗﻄﻮﯾﺮ ﻓﮭﻢ‬
‫واﻹﻣﻜﺎﻧﯿﺎت‪.‬‬
‫اﻟﻨﺸﺎطﺎت اﻟﻤﻮﺟﻮدة ﻓﻲ وظﯿﻔﺔ اﻟﺘﺤﺪﯾﺪ ھﻲ أﺳﺎس ﻻﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ ﺑﺸﻜﻞ ﻓﻌﺎل‪ .‬ﻓﮭﻢ ﺳﯿﺎق اﻷﻋﻤﺎل‬
‫واﻟﻤﺼﺎدر اﻟﺘﻲ ﺗﺪﻋﻢ اﻟﻮظﺎﺋﻒ اﻟﺤﺴﺎﺳﺔ واﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ اﻟﻤﺘﻌﻠﻘﺔ ﺑﺬﻟﻚ ﯾﺘﯿﺢ ﻟﻠﻤﻨﻈﻤﺔ ﺗﺮﻛﯿﺰ ﺟﮭﻮدھﺎ‬
‫وﺗﺮﺗﯿﺒﮭﺎ ﺑﺤﺴﺐ أوﻟﻮﯾﺘﮭﺎ ﺑﻤﺎ ﯾﺘﺴﻖ ﻣﻊ اﺳﺘﺮاﺗﯿﺠﯿﺘﮭﺎ ﻹدارة اﻟﻤﺨﺎطﺮ وﻣﻊ اﺣﺘﯿﺎﺟﺎت اﻷﻋﻤﺎل‪ .‬ﻣﻦ اﻷﻣﺜﻠﺔ ﻋﻠﻰ‬
‫اﻟﺘﺼﻨﯿﻔﺎت اﻟﺘﺎﺑﻌﺔ ﻟﮭﺬه اﻟﻮظﯿﻔﺔ‪ :‬إدارة اﻷﺻﻮل‪ ،‬ﺑﯿﺌﺔ اﻷﻋﻤﺎل‪ ،‬اﻟﺤﻮﻛﻤﺔ‪ ،‬ﺗﻘﯿﯿﻢ اﻟﻤﺨﺎطﺮ‪ ،‬اﺳﺘﺮاﺗﯿﺠﯿﺔ إدارة‬
‫اﻟﻤﺨﺎطﺮ‪.‬‬
‫•‬
‫اﻟﺤﻤﺎﯾﺔ‪ :‬ﺗﻄﻮﯾﺮ وﺗﻄﺒﯿﻖ وﺳﺎﺋﻞ اﻟﺤﻤﺎﯾﺔ اﻟﻤﻨﺎﺳﺒﺔ ﻟﻠﺘﺄﻛﺪ ﻣﻦ ﺳﯿﺮ ﻋﻤﻠﯿﺔ ﺗﻘﺪﯾﻢ اﻟﺨﺪﻣﺎت اﻟﺤﺴﺎﺳﺔ‪.‬‬
‫ﺗﺪﻋﻢ وظﯿﻔﺔ اﻟﺤﻤﺎﯾﺔ اﻟﻘﺪرة ﻋﻠﻰ اﻟﺤﺪ ﻣﻦ أو اﺣﺘﻮاء أﺛﺮ أﺣﺪاث اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﻤﺤﺘﻤﻠﺔ‪ .‬ﻣﻦ اﻷﻣﺜﻠﺔ ﻋﻠﻰ‬
‫اﻟﺘﺼﻨﯿﻔﺎت اﻟﺘﺎﺑﻌﺔ ﻟﮭﺬه اﻟﻮظﯿﻔﺔ‪ :‬إدارة اﻟﮭﻮﯾﺎت واﻟﺘﺤﻜﻢ ﺑﺎﻟﻮﺻﻮل‪ ،‬اﻟﻮﻋﻲ واﻟﺘﺪرﯾﺐ‪ ،‬أﻣﻦ اﻟﺒﯿﺎﻧﺎت‪ ،‬ﻋﻤﻠﯿﺎت‬
‫وإﺟﺮاءات أﻣﻦ اﻟﻤﻌﻠﻮﻣﺎت‪ ،‬اﻟﺼﯿﺎﻧﺔ‪ ،‬اﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ اﻟﻮﻗﺎﺋﯿﺔ‪.‬‬
‫•‬
‫اﻟﺮﺻﺪ‪ :‬ﺗﻄﻮﯾﺮ وﺗﻄﺒﯿﻖ اﻟﻨﺸﺎطﺎت اﻟﻤﻨﺎﺳﺒﺔ ﻟﺘﺤﺪﯾﺪ وﻗﻮع أﺣﺪاث اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪.‬‬
‫ﺗﺘﯿﺢ وظﯿﻔﺔ اﻟﺮﺻﺪ اﻛﺘﺸﺎف أﺣﺪاث اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻓﻲ اﻟﻮﻗﺖ اﻟﻤﻨﺎﺳﺐ‪ .‬ﻣﻦ اﻷﻣﺜﻠﺔ ﻋﻠﻰ اﻟﺘﺼﻨﯿﻔﺎت اﻟﺘﺎﺑﻌﺔ‬
‫ﻟﮭﺬه اﻟﻮظﯿﻔﺔ‪ :‬اﻟﺤﺎﻻت ﻏﯿﺮ اﻟﻄﺒﯿﻌﯿﺔ واﻷﺣﺪاث‪ ،‬اﻟﻤﺮاﻗﺒﺔ اﻷﻣﻨﯿﺔ اﻟﻤﺴﺘﻤﺮة‪ ،‬ﻋﻤﻠﯿﺎت اﻟﺮﺻﺪ‪.‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫‪2.2‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫•‬
‫اﻻﺳﺘﺠﺎﺑﺔ‪ :‬ﺗﻄﻮﯾﺮ وﺗﻄﺒﯿﻖ اﻟﻨﺸﺎطﺎت اﻟﻤﻨﺎﺳﺒﺔ ﻻﺗﺨﺎذ اﻹﺟﺮاءات ﻓﻲ ﺣﺎل رﺻﺪ ﺣﺎدث أﻣﻦ ﺳﺒﺮاﻧﻲ‪.‬‬
‫ﺗﺪﻋﻢ وظﯿﻔﺔ اﻻﺳﺘﺠﺎﺑﺔ اﻟﻘﺪرة ﻋﻠﻰ اﺣﺘﻮاء أﺛﺮ ﺣﻮادث اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﻤﺤﺘﻤﻠﺔ‪ .‬ﻣﻦ اﻷﻣﺜﻠﺔ ﻋﻠﻰ اﻟﺘﺼﻨﯿﻔﺎت‬
‫اﻟﺘﺎﺑﻌﺔ ﻟﮭﺬه اﻟﻮظﯿﻔﺔ‪ :‬ﺧﻄﻂ اﻻﺳﺘﺠﺎﺑﺔ‪ ،‬اﻻﺗﺼﺎﻻت‪ ،‬اﻟﺘﺤﻠﯿﻞ‪ ،‬اﻟﺘﺨﻔﯿﻒ‪ ،‬اﻟﺘﺤﺴﯿﻦ‪.‬‬
‫•‬
‫اﻻﺳﺘﻌﺎدة‪ :‬ﺗﻄﻮﯾﺮ وﺗﻄﺒﯿﻖ اﻟﻨﺸﺎطﺎت اﻟﻤﻨﺎﺳﺒﺔ ﻟﻮﺿﻊ اﻟﺨﻄﻂ ﻟﺘﻌﺰﯾﺰ اﻟﺼﻤﻮد واﺳﺘﻌﺎدة أﯾﺔ إﻣﻜﺎﻧﯿﺎت أو ﺧﺪﻣﺎت‬
‫ﺳﺒﺮاﻧﻲ‪.‬‬
‫أﻣﻦ‬
‫ﺣﺎدث‬
‫ﺑﺴﺒﺐ‬
‫ﺗﻌﻄﻠﺖ‬
‫ﺗﺪﻋﻢ وظﯿﻔﺔ اﻻﺳﺘﻌﺎدة اﺳﺘﻌﺎدة اﻟﻌﻤﻠﯿﺎت اﻟﻄﺒﯿﻌﯿﺔ ﻓﻲ اﻟﻮﻗﺖ اﻟﻤﻨﺎﺳﺐ ﻟﻠﺘﺨﻔﯿﻒ اﻷﺛﺮ اﻟﻨﺎﺟﻢ ﻋﻦ ﺣﻮادث اﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ‪ .‬ﻣﻦ اﻷﻣﺜﻠﺔ ﻋﻠﻰ اﻟﺘﺼﻨﯿﻔﺎت اﻟﺘﺎﺑﻌﺔ ﻟﮭﺬه اﻟﻮظﯿﻔﺔ‪ :‬ﺧﻄﻂ اﻻﺳﺘﻌﺎدة‪ ،‬اﻟﺘﺤﺴﯿﻦ‪ ،‬اﻻﺗﺼﺎﻻت‪.‬‬
‫ﻣﺮاﺣﻞ اﻟﺘﻄﺒﯿﻖ‬
‫ﺗﻮﻓّﺮ ﻣﺮاﺣﻞ اﻟﺘﻄﺒﯿﻖ "اﻟﻤﺮاﺣﻞ" ﺳﯿﺎﻗﺎ ﻟﻜﯿﻔﯿﺔ ﻧﻈﺮة اﻟﻤﻨﻈﻤﺔ إﻟﻰ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ واﻟﻌﻤﻠﯿﺎت اﻟﻤﻌﻤﻮل ﺑﮭﺎ ﻹدارة ﺗﻠﻚ‬
‫اﻟﻤﺨﺎطﺮ‪ .‬ﻓﻲ ﺗﺮاوﺣﮭﺎ ﻣﺎ ﺑﯿﻦ اﻟﻤﺮﺣﻠﺔ اﻟﺠﺰﺋﯿﺔ )اﻟﻤﺮﺣﻠﺔ ‪ (1‬وﺑﯿﻦ اﻟﻤﺮﺣﻠﺔ اﻟﺘﻜﯿﻔﯿﺔ )اﻟﻤﺮﺣﻠﺔ ‪ ،(4‬ﺗﺼﻒ اﻟﻤﺮاﺣﻞ اﻟﺪرﺟﺔ‬
‫اﻟﻤﺘﺰاﯾﺪة ﻣﻦ اﻟﺪﻗﺔ واﻟﺘﻌﻘﯿﺪ ﻓﻲ ﻣﻤﺎرﺳﺎت إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ .‬ﺗﺴﺎﻋﺪ ھﺬه اﻟﻤﺮاﺣﻞ ﻓﻲ ﺗﻌﯿﯿﻦ ﻣﺪى ﻣﻌﺮﻓﺔ إدارة اﻟﻤﺨﺎطﺮ‬
‫اﻟﺴﺒﺮاﻧﯿﺔ ﺑﺎﺣﺘﯿﺎﺟﺎت اﻷﻋﻤﺎل‪ ،‬وﻛﺬﻟﻚ ﻣﺪى اﻧﺪﻣﺎﺟﮭﺎ ﻓﻲ اﻟﻤﻤﺎرﺳﺎت اﻟﻌﺎﻣﺔ ﻹدارة اﻟﻤﺨﺎطﺮ ﻓﻲ اﻟﻤﻨﻈﻤﺔ‪ .‬ﺗﺘﻀﻤﻦ اﻋﺘﺒﺎراتُ‬
‫إدارة اﻟﻤﺨﺎطﺮ اﻟﻌﺪﯾﺪ ﻣﻦ ﺟﻮاﻧﺐ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ ،‬ﺑﻤﺎ ﻓﻲ ذﻟﻚ ﻣﺪى ﺣﻀﻮر اﻋﺘﺒﺎرات اﻟﺨﺼﻮﺻﯿﺔ واﻟﺤﺮﯾﺎت اﻟﻤﺪﻧﯿﺔ ﻓﻲ‬
‫إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻟﺪى اﻟﻤﻨﻈﻤﺔ وﻓﻲ اﺳﺘﺠﺎﺑﺘﮭﺎ ﻟﻠﻤﺨﺎطﺮ اﻟﻤﺤﺘﻤﻠﺔ‪.‬‬
‫ﺗﻀﻊ ﻋﻤﻠﯿﺔ اﺧﺘﯿﺎر اﻟﻤﺮﺣﻠﺔ ﻓﻲ ﻋﯿﻦ اﻟﺤﺴﺒﺎن اﻟﻤﻤﺎرﺳﺎت اﻟﺤﺎﻟﯿﺔ ﻹدارة اﻟﻤﺨﺎطﺮ‪ ،‬وﺑﯿﺌﺔ اﻟﻤﺨﺎطﺮ‪ ،‬واﻟﻤﺘﻄﻠﺒﺎت اﻟﻘﺎﻧﻮﻧﯿﺔ‬
‫واﻟﺘﻨﻈﯿﻤﯿﺔ‪ ،‬وﻣﻤﺎرﺳﺎت ﻣﺸﺎرﻛﺔ اﻟﻤﻌﻠﻮﻣﺎت‪ ،‬وأھﺪاف اﻷﻋﻤﺎل واﻟﺮؤﯾﺔ‪ ،‬وﺳﻠﺴﻠﺔ اﻹﻣﺪاد‪ ،‬واﻟﻘﯿﻮد اﻟﻤﻨﻈﻤﯿﺔ ﻟﺪى اﻟﻤﻨﻈﻤﺔ‪.‬‬
‫ﯾﻨﺒﻐﻲ ﻋﻠﻰ اﻟﻤﻨﻈﻤﺎت أن ﺗﺤﺪد اﻟﻤﺮﺣﻠﺔ اﻟﻤﺮﻏﻮﺑﺔ‪ ،‬ﻣﻊ اﻟﺘﺄﻛﺪ ﻣﻦ أن اﻟﻤﺴﺘﻮى اﻟﻤﺨﺘﺎر ﯾﺨﺪم أھﺪاف اﻟﻤﻨﻈﻤﺔ وﻗﺎﺑﻞ ﻟﻠﺘﻄﺒﯿﻖ‬
‫وﯾﻘﻠﻞ ﻣﻦ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻋﻠﻰ اﻷﺻﻮل واﻟﻤﺼﺎدر اﻟﺤﺴﺎﺳﺔ إﻟﻰ درﺟﺔ ﺗﺘﻘﺒﻠﮭﺎ اﻟﻤﻨﻈﻤﺔ‪ .‬ﯾﻨﺒﻐﻲ ﻋﻠﻰ اﻟﻤﻨﻈﻤﺎت أن ﺗﻀﻊ‬
‫ﻓﻲ ﻋﯿﻦ اﻻﻋﺘﺒﺎر اﻻﺳﺘﻔﺎدة ﻣﻦ اﻹرﺷﺎدات اﻟﺨﺎرﺟﯿﺔ اﻟﻤﺴﺘﻤﺪة ﻣﻦ دواﺋﺮ وھﯿﺌﺎت اﻟﺤﻜﻮﻣﺔ اﻟﻔﺪراﻟﯿﺔ‪ ،‬وﻣﺮاﻛﺰ ﻣﺸﺎرﻛﺔ وﺗﺤﻠﯿﻞ‬
‫اﻟﻤﻌﻠﻮﻣﺎت )‪ ،(ISACs‬وﻣﻨﻈﻤﺎت ﻣﺸﺎرﻛﺔ وﺗﺤﻠﯿﻞ اﻟﻤﻌﻠﻮﻣﺎت )‪ ،(ISAOs‬وﻣﺴﺘﻮﯾﺎت اﻟﻨﻀﺞ اﻟﺤﺎﻟﯿﺔ‪ ،‬وﻏﯿﺮھﺎ ﻣﻦ اﻟﻤﺼﺎدر‬
‫ﺑﮭﺪف اﻻﺳﺘﻌﺎﻧﺔ ﺑﮭﺎ ﻓﻲ ﺗﺤﺪﯾﺪ اﻟﻤﺮﺣﻠﺔ اﻟﻤﺮﻏﻮﺑﺔ‪.‬‬
‫ﻓﻲ ﺣﯿﻦ أﻧﻨﺎ ﻧﺤﺚ اﻟﻤﻨﻈﻤﺎت اﻟﻤﺼﻨﻔﺔ ﺑﺄﻧﮭﺎ ﻣﺮﺣﻠﺔ ‪) 1‬اﻟﻤﺮﺣﻠﺔ اﻟﺠﺰﺋﯿﺔ( ﻋﻠﻰ أن ﺗﻨﺘﻘﻞ إﻟﻰ اﻟﻤﺮﺣﻠﺔ ‪ 2‬أو أﻋﻠﻰ‪ ،‬إﻻ أن اﻟﻤﺮاﺣﻞ‬
‫ﻻ ﺗﻤﺜّﻞ ﻣﺴﺘﻮﯾﺎت اﻟﻨﻀﺞ‪ .‬إن اﻟﮭﺪف ﻣﻦ اﻟﻤﺮاﺣﻞ ھﻮ دﻋﻢ اﺗﺨﺎذ اﻟﻘﺮار ﻓﻲ اﻟﻤﻨﻈﻤﺔ ﻓﯿﻤﺎ ﯾﺘﻌﻠﻖ ﺑﻜﯿﻔﯿﺔ إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪،‬‬
‫ي أﺑﻌﺎد اﻟﻤﻨﻈﻤﺔ ھﻲ ذات أوﻟﻮﯾﺔ أﻋﻠﻰ وﯾﻤﻜﻨﮭﺎ أن ﺗﺤﺼﻞ ﻋﻠﻰ اﻟﻤﺰﯾﺪ ﻣﻦ اﻟﻤﺼﺎدر‪ .‬ﯾُﻨﺼﺢ ﺑﺎﻟﺘﻘﺪم إﻟﻰ‬
‫وﻓﯿﻤﺎ ﯾﺘﻌﻠﻖ أﯾﻀًﺎ ﺑﺄ ّ‬
‫ﻣﺮﺣﻠﺔ أﻋﻠﻰ ﻋﻨﺪﻣﺎ ﺗﺸﯿﺮ ﺗﺤﻠﯿﻼت ﻓﻌﺎﻟﯿﺔ اﻟﺘﻜﻠﻔﺔ إﻟﻰ إﻣﻜﺎﻧﯿﺔ اﻟﺤﺪ ﻣﻦ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﺑﺸﻜﻞ ﻣﺠ ٍﺪ وﻓﻌﺎل ﻣﻦ ﺣﯿﺚ اﻟﺘﻜﻠﻔﺔ‪.‬‬
‫‪8‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫ﯾﻌﺘﻤﺪ اﻟﻨﺠﺎح ﻓﻲ ﺗﻄﺒﯿﻖ إطﺎر اﻟﻌﻤﻞ ﻋﻠﻰ ﺗﺤﻘﯿﻖ اﻟﻤﺨﺮﺟﺎت اﻟﻤﺬﻛﻮرة ﻓﻲ اﻟﻨﻤﻮذج )أو اﻟﻨﻤﺎذج( اﻟﮭﺪف ﻟﻠﻤﻨﻈﻤﺔ‪ ،‬وﻟﯿﺲ ﻋﻠﻰ‬
‫اﻟﻤﺮﺣﻠﺔ اﻟﻤﺤﺪدة‪ .‬وﻣﻊ ذﻟﻚ ﻓﺈن اﺧﺘﯿﺎر وﺗﻌﯿﯿﻦ اﻟﻤﺮﺣﻠﺔ ﯾﺆﺛﺮ ﺑﺸﻜﻞ طﺒﯿﻌﻲ ﻋﻠﻰ ﻧﻤﺎذج إطﺎر اﻟﻌﻤﻞ‪ .‬ﺳﺘﺴﺎﻋﺪ ﺗﻮﺻﯿﺔ اﻟﻤﺮاﺣﻞ‬
‫اﻟﻤﻘﺪﻣﺔ ﻣﻦ ﻗﺒﻞ ﻣﺪﯾﺮي ﻣﺴﺘﻮى اﻷﻋﻤﺎل‪ ،‬ﻛﻤﺎ ھﻲ ﻣﻮاﻓﻖ ﻋﻠﯿﮭﺎ ﻣﻦ ﻗﺒﻞ اﻹدارة اﻟﻌﻠﯿﺎ‪ ،‬ﻋﻠﻰ ﺗﺤﺪﯾﺪ اﻟﻤﻨﺎخ اﻟﻌﺎم اﻟﺬي ﺗﺘﻢ ﻓﯿﮫ‬
‫إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﺿﻤﻦ اﻟﻤﻨﻈﻤﺔ‪ ،‬ﻛﻤﺎ ﯾﻨﺒﻐﻲ أن ﯾﺆﺛﺮ أﯾﻀًﺎ ﻓﻲ ﻋﻤﻠﯿﺔ وﺿﻊ اﻷوﻟﻮﯾﺎت ﻓﻲ اﻟﻨﻤﻮذج اﻟﮭﺪف وﺗﻘﯿﯿﻤﺎت‬
‫اﻟﺘﻘﺪم ﻓﻲ ﻣﻌﺎﻟﺠﺔ اﻟﺜﻐﺮات‪.‬‬
‫ﻓﯿﻤﺎ ﯾﻠﻲ ﺗﻌﺮﯾﻒ ﺑﻜﻞ ﻣﺮﺣﻠﺔ ﻣﻦ اﻟﻤﺮاﺣﻞ‪:‬‬
‫اﻟﻤﺮﺣﻠﺔ ‪ :1‬اﻟﻤﺮﺣﻠﺔ اﻟﺠﺰﺋﯿﺔ‬
‫•‬
‫ﻋﻤﻠﯿﺔ إدارة اﻟﻤﺨﺎطﺮ‪ :‬ﻣﻤﺎرﺳﺎت اﻟﻤﻨﻈﻤﺔ ﻓﻲ إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻟﯿﺲ ﻟﮭﺎ طﺎﺑﻊ رﺳﻤﻲ‪ ،‬واﻟﻤﺨﺎطﺮ ﯾﺘﻢ إدارﺗﮭﺎ‬
‫ﻓﻌﻞ‪.‬‬
‫ردود‬
‫ﺷﻜﻞ‬
‫ﻋﻠﻰ‬
‫اﻷﺣﯿﺎن‬
‫وﺑﻌﺾ‬
‫ﺣﺎﻟﺔ‪،‬‬
‫ﻟﻜﻞ‬
‫ﻣﺨﺼﺼﺔ‬
‫ﺑﻄﺮﯾﻘﺔ‬
‫ﻗﺪ ﻻ ﺗﻜﻮن اﻷوﻟﻮﯾﺎت اﻟﺨﺎﺻﺔ ﺑﻨﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻗﺪ ُوﺿﻌﺖ ﺑﻨﺎ ًء ﻋﻠﻰ أھﺪاف اﻟﻤﻨﻈﻤﺔ اﻟﻤﺘﻌﻠﻘﺔ ﺑﺎﻟﻤﺨﺎطﺮ‪،‬‬
‫أو ﺑﯿﺌﺔ اﻟﺘﮭﺪﯾﺪات‪ ،‬أو ﻣﺘﻄﻠﺒﺎت اﻷﻋﻤﺎل‪.‬‬
‫•‬
‫ﺑﺮﻧﺎﻣﺞ إدارة اﻟﻤﺨﺎطﺮ اﻟﻤﺘﻜﺎﻣﻞ‪ :‬ﯾﻮﺟﺪ وﻋﻲ ﻣﺤﺪود ﺑﺎﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻋﻠﻰ ﻣﺴﺘﻮى اﻟﻤﻨﻈﻤﺔ‪ .‬ﺗﻘﻮم اﻟﻤﻨﻈﻤﺔ‬
‫ﺑﺘﻄﺒﯿﻖ إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻋﻠﻰ ﻓﺘﺮات ﻏﯿﺮ ﻣﻨﺘﻈﻤﺔ وﻋﻠﻰ أﺳﺎس ﻛﻞ ﺣﺎﻟﺔ ﻋﻠﻰ ﺣﺪى‪ ،‬وذﻟﻚ ﺑﺴﺒﺐ اﻟﺨﺒﺮة‬
‫اﻟﻤﺘﻨﻮﻋﺔ أو اﻟﻤﻌﻠﻮﻣﺎت اﻟﻤﻜﺘﺴﺒﺔ ﻣﻦ ﻣﺼﺎدر ﺧﺎرﺟﯿﺔ‪ .‬ﻗﺪ ﻻ ﺗﻤﺘﻠﻚ اﻟﻤﻨﻈﻤﺔ ﻋﻤﻠﯿﺎت ﺗﺘﯿﺢ ﻣﺸﺎرﻛﺔ ﻣﻌﻠﻮﻣﺎت اﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ ﺿﻤﻦ اﻟﻤﻨﻈﻤﺔ‪.‬‬
‫•‬
‫اﻟﻤﺸﺎرﻛﺔ اﻟﺨﺎرﺟﯿﺔ‪ :‬ﻻ ﺗﻌﺮف اﻟﻤﻨﻈﻤﺔ دورھﺎ ﻓﻲ اﻟﺒﯿﺌﺔ اﻟﻜﺒﺮى ﻓﯿﻤﺎ ﯾﺘﻌﻠﻖ ﺑﺎﻷطﺮاف اﻟﺘﻲ ﺗﻌﺘﻤﺪ ﻋﻠﻰ اﻟﻤﻨﻈﻤﺔ أو‬
‫ﺑﺘﻠﻚ اﻟﺘﻲ ﺗﻌﺘﻤﺪ اﻟﻤﻨﻈﻤﺔ ﻋﻠﯿﮭﺎ‪ .‬ﻻ ﺗﺘﻌﺎون اﻟﻤﻨﻈﻤﺔ ﻣﻊ اﻟﺠﮭﺎت اﻷﺧﺮى )ﻣﺸﺘﺮﯾﻦ‪ ،‬ﻣﻮزﻋﯿﻦ‪ ،‬أطﺮاف ﻣﻌﺘﻤﺪ ﻋﻠﯿﮭﺎ‪،‬‬
‫أطﺮاف ﺗﻌﺘﻤﺪ ﻋﻠﻰ اﻟﻤﻨﻈﻤﺔ‪ ،‬ﻣﻨﻈﻤﺎت ﻣﺸﺎرﻛﺔ وﺗﺤﻠﯿﻞ اﻟﻤﻌﻠﻮﻣﺎت ‪ ،ISAOs‬اﻟﺒﺎﺣﺜﯿﻦ‪ ،‬اﻟﺤﻜﻮﻣﺎت( وﻻ ﺗﺴﺘﻘﺒﻞ‬
‫اﻟﻤﻌﻠﻮﻣﺎت ﻣﻨﮭﺎ )ﻋﻦ اﻟﺘﮭﺪﯾﺪات‪ ،‬واﻟﻤﻤﺎرﺳﺎت اﻟﻤﺜﻠﻰ‪ ،‬واﻟﺘﻘﻨﯿﺎت(‪ ،‬ﻛﻤﺎ أﻧﮭﺎ ﻻ ﺗﺸﺎرك ھﺬه اﻟﻤﻌﻠﻮﻣﺎت ﻣﻊ اﻵﺧﺮﯾﻦ‪.‬‬
‫ﺑﺸﻜﻞ ﻋﺎم‪ ،‬اﻟﻤﻨﻈﻤﺔ ﻏﯿﺮ واﻋﯿﺔ ﺑﺎﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻟﺴﻼﺳﻞ اﻹﻣﺪاد واﻟﻤﺘﻌﻠﻘﺔ ﺑﺎﻟﻤﻨﺘﺠﺎت واﻟﺨﺪﻣﺎت اﻟﺘﻲ ﺗﻘﺪﻣﮭﺎ أو‬
‫ﺗﺴﺘﺨﺪﻣﮭﺎ‪.‬‬
‫اﻟﻤﺮﺣﻠﺔ ‪ :2‬ﻣﺮﺣﻠﺔ اﻟﻮﻋﻲ ﺑﺎﻟﻤﺨﺎطﺮ‬
‫•‬
‫ﻋﻤﻠﯿﺔ إدارة اﻟﻤﺨﺎطﺮ‪ :‬ﻣﻤﺎرﺳﺎت إدارة اﻟﻤﺨﺎطﺮ ﺗﻤﺖ اﻟﻤﻮاﻓﻘﺔ ﻋﻠﯿﮭﺎ ﻣﻦ ﻗﺒﻞ اﻹدارة وﻟﻜﻦ ﻗﺪ ﻻ ﯾﺘﻢ اﻋﺘﻤﺎدھﺎ ﻛﺴﯿﺎﺳﺔ‬
‫ﻋﺎﻣﺔ ﻓﻲ ﻛﺎﻣﻞ اﻟﻤﻨﻈﻤﺔ‪ .‬ﺗﻢ وﺿﻊ اﻷوﻟﻮﯾﺎت وﺣﺎﺟﺎت اﻟﺤﻤﺎﯾﺔ اﻟﻤﺘﻌﻠﻘﺘﯿﻦ ﺑﻨﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﺑﻨﺎ ًء ﻋﻠﻰ أھﺪاف‬
‫اﻟﻤﻨﻈﻤﺔ اﻟﻤﺘﻌﻠﻘﺔ ﺑﺎﻟﻤﺨﺎطﺮ‪ ،‬أو ﺑﯿﺌﺔ اﻟﺘﮭﺪﯾﺪات‪ ،‬أو ﻣﺘﻄﻠﺒﺎت اﻷﻋﻤﺎل‪.‬‬
‫•‬
‫ﺑﺮﻧﺎﻣﺞ إدارة اﻟﻤﺨﺎطﺮ اﻟﻤﺘﻜﺎﻣﻞ‪ :‬ﯾﻮﺟﺪ وﻋﻲ ﺑﺎﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻋﻠﻰ ﻣﺴﺘﻮى اﻟﻤﻨﻈﻤﺔ‪ ،‬إﻻ أﻧﮫ ﻟﻢ ﯾﺘﻢ وﺿﻊ ﻣﻨﮭﺠﯿﺔ‬
‫ﻹدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﺗﺸﻤﻞ ﻛﻞ اﻟﻤﻨﻈﻤﺔ‪ .‬ﺗﺘﻢ ﻣﺸﺎرﻛﺔ ﻣﻌﻠﻮﻣﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﺿﻤﻦ اﻟﻤﻨﻈﻤﺔ ﺑﺸﻜﻞ ﻏﯿﺮ‬
‫رﺳﻤﻲ‪ .‬ﯾﺘﻢ أﺧﺬ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻓﻲ ﻋﯿﻦ اﻻﻋﺘﺒﺎر ﻋﻨﺪ وﺿﻊ اﻷھﺪاف واﻟﺒﺮاﻣﺞ اﻟﻤﻨﻈﻤﯿﺔ ﻓﻲ ﺑﻌﺾ ﻣﺴﺘﻮﯾﺎت‬
‫اﻟﻤﻨﻈﻤﺔ وﻟﯿﺲ ﺟﻤﯿﻌﮭﺎ‪ .‬ھﻨﺎﻟﻚ ﺗﻘﯿﯿﻢ ﻟﻠﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻋﻠﻰ اﻷﺻﻮل اﻟﻤﻨﻈﻤﯿﺔ واﻟﺨﺎرﺟﯿﺔ‪ ،‬إﻻ أﻧﮫ ﻻ ﺗﺘﻢ إﻋﺎدة‬
‫اﻟﺘﻘﯿﯿﻢ ﺑﺸﻜﻞ ﻣﻌﺘﺎد‪.‬‬
‫•‬
‫‪9‬‬
‫اﻟﻤﺸﺎرﻛﺔ اﻟﺨﺎرﺟﯿﺔ‪ :‬ﺑﺸﻜﻞ ﻋﺎم‪ ،‬ﺗﻌﺮف اﻟﻤﻨﻈﻤﺔ دورھﺎ ﻓﻲ اﻟﺒﯿﺌﺔ اﻟﻜﺒﺮى ﻓﯿﻤﺎ ﯾﺘﻌﻠﻖ إﻣﺎ ﺑﺎﻷطﺮاف اﻟﺘﻲ ﺗﻌﺘﻤﺪ ﻋﻠﻰ‬
‫اﻟﻤﻨﻈﻤﺔ أو ﺑﺘﻠﻚ اﻟﺘﻲ ﺗﻌﺘﻤﺪ اﻟﻤﻨﻈﻤﺔ ﻋﻠﯿﮭﺎ‪ ،‬وﻟﻜﻦ ﻟﯿﺲ ﻛﻠﯿﮭﻤﺎ‪ .‬ﺗﺘﻌﺎون اﻟﻤﻨﻈﻤﺔ ﻣﻊ اﻟﺠﮭﺎت اﻷﺧﺮى وﺗﺴﺘﻘﺒﻞ ﻣﻨﮭﺎ‬
‫ﺑﻌﺾ اﻟﻤﻌﻠﻮﻣﺎت‪ ،‬ﻛﻤﺎ ﺗﻘﻮم ﺑﺈﻧﺘﺎج ﻣﻌﻠﻮﻣﺎﺗﮭﺎ اﻟﺨﺎﺻﺔ‪ ،‬إﻻ أﻧﮭﺎ ﻗﺪ ﻻ ﺗﺸﺎرك ھﺬه اﻟﻤﻌﻠﻮﻣﺎت ﻣﻊ اﻵﺧﺮﯾﻦ‪ .‬ﺑﺎﻹﺿﺎﻓﺔ‬
‫إﻟﻰ ذﻟﻚ‪ ،‬اﻟﻤﻨﻈﻤﺔ واﻋﯿﺔ ﺑﺎﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻟﺴﻼﺳﻞ اﻹﻣﺪاد واﻟﻤﺘﻌﻠﻘﺔ ﺑﺎﻟﻤﻨﺘﺠﺎت واﻟﺨﺪﻣﺎت اﻟﺘﻲ ﺗﻘﺪﻣﮭﺎ أو‬
‫ﺗﺴﺘﺨﺪﻣﮭﺎ‪ ،‬وﻟﻜﻨﮭﺎ ﻻ ﺗﺘﺼﺮف ﺑﺸﻜﻞ ﻣﺴﺘﻤﺮ أو رﺳﻤﻲ ﺣﯿﺎل ﺗﻠﻚ اﻟﻤﺨﺎطﺮ‪.‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﻤﺮﺣﻠﺔ ‪ :3‬ﻣﺮﺣﻠﺔ ﻗﺎﺑﻠﯿﺔ اﻟﺘﻜﺮار‬
‫•‬
‫ﻋﻤﻠﯿﺔ إدارة اﻟﻤﺨﺎطﺮ‪ :‬ﻣﻤﺎرﺳﺎت إدارة اﻟﻤﺨﺎطﺮ ﺗﻤﺖ اﻟﻤﻮاﻓﻘﺔ ﻋﻠﯿﮭﺎ رﺳﻤﯿًﺎ وﺗُﻌﺘﺒﺮ واﺣﺪة ﻣﻦ ﺳﯿﺎﺳﺎت اﻟﻤﻨﻈﻤﺔ‪.‬‬
‫ﯾﺘﻢ ﺗﺤﺪﯾﺚ ﻣﻤﺎرﺳﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻠﻤﻨﻈﻤﺔ ﺑﺸﻜﻞ ﻋﻠﻰ ﻓﺘﺮات ﻣﻨﺘﻈﻤﺔ ﺑﻨﺎ ًء ﻋﻠﻰ ﺗﻄﺒﯿﻖ ﻋﻤﻠﯿﺎت إدارة‬
‫اﻟﻤﺨﺎطﺮ ﻋﻠﻰ اﻟﺘﻐﯿﺮات ﻓﻲ ﻣﺘﻄﻠﺒﺎت اﻷﻋﻤﺎل‪/‬رؤﯾﺔ اﻟﻤﻨﻈﻤﺔ واﻷﻓﻖ اﻟﻤﺘﻐﯿﺮ ﻟﻠﺘﮭﺪﯾﺪات واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ‪.‬‬
‫•‬
‫ﺑﺮﻧﺎﻣﺞ إدارة اﻟﻤﺨﺎطﺮ اﻟﻤﺘﻜﺎﻣﻞ‪ :‬ھﻨﺎﻟﻚ ﻣﻨﮭﺠﯿﺔ ﻋﻠﻰ ﻣﺴﺘﻮى اﻟﻤﻨﻈﻤﺔ ﻹدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ .‬ﺗﻢ ﺗﻌﺮﯾﻒ‬
‫اﻟﺴﯿﺎﺳﺎت واﻟﻌﻤﻠﯿﺎت واﻹﺟﺮاءات اﻟﻤﺒﻨﯿﺔ ﻛﻠﮭﺎ ﻋﻠﻰ اﻟﻮﻋﻲ ﺑﺎﻟﻤﺨﺎطﺮ‪ ،‬ﻛﻤﺎ ﯾﺘﻢ ﺗﻄﺒﯿﻘﮭﺎ ﻛﻤﺎ ھﻮ ﻣﻘﺮر وﻣﺮاﺟﻌﺘﮭﺎ‪.‬‬
‫اﻟﻄﺮق اﻟﻤﺘﺴﻘﺔ ﻣﻊ ﺑﻌﻀﮭﺎ اﻟﺒﻌﺾ ﺟﺎھﺰة ﻟﻼﺳﺘﺠﺎﺑﺔ ﺑﺸﻜﻞ ﻓﻌﺎل ﻟﻠﺘﻐﯿﺮات ﻓﻲ اﻟﻤﺨﺎطﺮ‪ .‬ﯾﻤﺘﻠﻚ اﻟﻤﻮظﻔﻮن‬
‫اﻟﻤﻌﺮﻓﺔ واﻟﻤﮭﺎرات اﻟﻼزﻣﺔ ﻟﺘﺄدﯾﺔ أدوارھﻢ وﻣﺴﺆوﻟﯿﺎﺗﮭﻢ اﻟﻤﻘﺮرة‪ .‬ﺗﺮاﻗﺐ اﻟﻤﻨﻈﻤﺔ ﻋﻠﻰ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‬
‫ﻋﻠﻰ اﻷﺻﻮل اﻟﻤﻨﻈﻤﯿﺔ ﻋﻠﻰ ﻧﺤﻮ ﻣﺘﻮاﺻﻞ ودﻗﯿﻖ‪ .‬ﯾﺘﻮاﺻﻞ ﻛﺒﺎر اﻟﺘﻨﻔﯿﺬﯾﯿﻦ ﻟﻸﻣﻦ اﻟﺴﺒﺮاﻧﻲ وﻟﻐﯿﺮ اﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ ﻋﻠﻰ ﻧﺤﻮ ﻣﻨﺘﻈﻢ ﻓﯿﻤﺎ ﯾﺨﺺ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ .‬ﯾﻘﻮم ﻛﺒﺎر اﻟﺘﻨﻔﯿﺬﯾﯿﻦ ﺑﺎﻟﺘﺄﻛﺪ ﻣﻦ اﻻھﺘﻤﺎم ﺑﺎﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ ﻓﻲ ﻛﻞ ﺧﻄﻮط اﻟﺘﺸﻐﯿﻞ داﺧﻞ اﻟﻤﻨﻈﻤﺔ‪.‬‬
‫•‬
‫اﻟﻤﺸﺎرﻛﺔ اﻟﺨﺎرﺟﯿﺔ‪ :‬ﺗﻔﮭﻢ اﻟﻤﻨﻈﻤﺔ دورھﺎ واﻷطﺮاف اﻟﺘﻲ ﺗﻌﺘﻤﺪ – اﻟﻤﻨﻈﻤﺔ – ﻋﻠﯿﮭﺎ واﻷطﺮاف اﻟﺘﻲ ﺗﻌﺘﻤﺪ‬
‫ﻋﻠﻰ اﻟﻤﻨﻈﻤﺔ ﺿﻤﻦ اﻟﺒﯿﺌﺔ اﻟﻜﺒﺮى‪ ،‬وﻗﺪ ﺗﺴﺎھﻢ ﻓﻲ زﯾﺎدة ﻓﮭﻢ ھﺬا اﻟﻤﺠﺘﻤﻊ ﻟﻠﻤﺨﺎطﺮ‪ .‬ﺗﺘﻌﺎون اﻟﻤﻨﻈﻤﺔ وﻋﻠﻰ ﻧﺤﻮ‬
‫ﻣﻨﺘﻈﻢ ﻣﻊ اﻟﺠﮭﺎت اﻷﺧﺮى وﺗﺴﺘﻘﺒﻞ ﻣﻨﮭﺎ اﻟﻤﻌﻠﻮﻣﺎت اﻟﺘﻲ ﺗﻜ ّﻤﻞ اﻟﻤﻌﻠﻮﻣﺎت اﻟﺘﻲ ﺗﻨﺘﺠﮭﺎ داﺧﻠﯿًﺎ‪ ،‬ﻛﻤﺎ ﺗﺸﺎرك‬
‫اﻟﻤﻌﻠﻮﻣﺎت ﻣﻊ اﻟﺠﮭﺎت اﻷﺧﺮى‪ .‬ﻛﻤﺎ أﻧﮭﺎ ﻋﻠﻰ وﻋﻲ ﺑﺎﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻟﺴﻠﺴﻠﺔ اﻹﻣﺪاد واﻟﻤﺘﻌﻠﻘﺔ ﺑﺎﻟﻤﻨﺘﺠﺎت‬
‫واﻟﺨﺪﻣﺎت اﻟﺘﻲ ﺗﻘﺪﻣﮭﺎ أو ﺗﺴﺘﺨﺪﻣﮭﺎ‪ .‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟﻚ‪ ،‬ﺗﺘﺼﺮف اﻟﻤﻨﻈﻤﺔ ﺑﺸﻜﻞ رﺳﻤﻲ ﺣﯿﺎل ﺗﻠﻚ اﻟﻤﺨﺎطﺮ‪،‬‬
‫ﺑﻤﺎ ﻓﻲ ذﻟﻚ وﺟﻮد آﻟﯿﺎت ﻣﺜﻞ اﻻﺗﻔﺎﻗﯿﺎت اﻟﺨﻄﯿﺔ ﻟﻺﺑﻼغ ﻋﻦ ﻣﺘﻄﻠﺒﺎت ﺧﻂ اﻷﺳﺎس وإﻧﺸﺎء ھﯿﺎﻛﻞ اﻟﺤﻮﻛﻤﺔ )ﻣﺜﻞ‬
‫ﻣﺠﺎﻟﺲ ﺷﺆون اﻟﻤﺨﺎطﺮ(‪ ،‬وﺗﻄﺒﯿﻖ وﻣﺮاﻗﺒﺔ اﻟﺴﯿﺎﺳﺎت‪.‬‬
‫اﻟﻤﺮﺣﻠﺔ ‪ :4‬ﻣﺮﺣﻠﺔ اﻟﺘﻜﯿﻒ‪:‬‬
‫‪10‬‬
‫•‬
‫ﻋﻤﻠﯿﺔ إدارة اﻟﻤﺨﺎطﺮ‪ :‬ﺗﻘﻮم اﻟﻤﻨﻈﻤﺔ ﺑﺘﻜﯿﯿﻒ ﻣﻤﺎرﺳﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﺑﻨﺎ ًء ﻋﻠﻰ ﻧﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫اﻟﺴﺎﺑﻘﺔ واﻟﺤﺎﻟﯿﺔ‪ ،‬ﺑﻤﺎ ﻓﻲ ذﻟﻚ اﻟﺪروس اﻟﻤﺴﺘﻔﺎدة واﻟﻤﺆﺷﺮات اﻟﺘﻨﺒﺌﯿﺔ‪ .‬ﻣﻦ ﺧﻼل ﻋﻤﻠﯿﺔ اﻟﺘﺤﺴﯿﻦ اﻟﻤﺴﺘﻤﺮ اﻟﺬي‬
‫ﯾﺘﻀﻤﻦ دﻣﺞ ﺗﻘﻨﯿﺎت وﻣﻤﺎرﺳﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﻤﺘﻘﺪﻣﺔ‪ ،‬ﺗﺘﻜﯿﻒ اﻟﻤﻨﻈﻤﺔ ﻋﻠﻰ ﻧﺤﻮ ﻧﺸﻂ ﻣﻊ اﻟﺘﮭﺪﯾﺪات‬
‫واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ اﻟﻤﺘﻐﯿﺮﺗﯿﻦ‪ ،‬ﻛﻤﺎ ﺗﺴﺘﺠﯿﺐ ﻓﻲ اﻟﻮﻗﺖ اﻟﻤﻨﺎﺳﺐ وﺑﺸﻜﻞ ﻓﻌﺎل ﻟﻠﺘﮭﺪﯾﺪات اﻟﻤﺘﻄﻮرة واﻟﻤﻌﻘﺪة‪.‬‬
‫•‬
‫ﺑﺮﻧﺎﻣﺞ إدارة اﻟﻤﺨﺎطﺮ اﻟﻤﺘﻜﺎﻣﻞ‪ :‬ھﻨﺎﻟﻚ ﻣﻨﮭﺠﯿﺔ ﻋﻠﻰ ﻣﺴﺘﻮى اﻟﻤﻨﻈﻤﺔ ﻹدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﺗﺴﺘﺨﺪم‬
‫اﻟﺴﯿﺎﺳﺎت واﻟﻌﻤﻠﯿﺎت واﻹﺟﺮاءات اﻟﻤﺒﻨﯿﺔ ﻛﻠﮭﺎ ﻋﻠﻰ اﻟﻮﻋﻲ ﺑﺎﻟﻤﺨﺎطﺮ ﻟﻠﺘﻌﺎﻣﻞ ﻣﻊ أﺣﺪاث اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫اﻟﻤﺤﺘﻤﻠﺔ‪ .‬اﻟﻌﻼﻗﺔ ﺑﯿﻦ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ وأھﺪاف اﻟﻤﻨﻈﻤﺔ ﻣﻔﮭﻮﻣﺔ ﺑﺸﻜﻞ واﺿﺢ وﺗﺪﺧﻞ ﻓﻲ ﻋﻤﻠﯿﺔ اﺗﺨﺎذ‬
‫اﻟﻘﺮارات‪ .‬ﻛﺒﺎر اﻟﺘﻨﻔﯿﺬﯾﯿﻦ ﯾﺮاﻗﺒﻮن اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻋﻠﻰ ﺣﺪ ﺳﻮاء ﻣﻊ ﻣﺮاﻗﺒﺘﮭﻢ ﻟﻠﻤﺨﺎطﺮ اﻟﻤﺎﻟﯿﺔ واﻟﻤﺨﺎطﺮ‬
‫اﻷﺧﺮى اﻟﺘﻲ ﺗﻮاﺟﮫ اﻟﻤﻨﻈﻤﺔ‪ .‬ﻣﯿﺰاﻧﯿﺔ اﻟﻤﻨﻈﻤﺔ ﻣﺒﻨﯿﺔ ﻋﻠﻰ ﻓﮭﻢ اﻟﻮﺿﻊ اﻟﺤﺎﻟﻲ واﻟﻮﺿﻊ اﻟﻤﺘﻮﻗﻊ ﻟﺒﯿﺌﺔ اﻟﻤﺨﺎطﺮ‬
‫وﻟﻤﺴﺘﻮى ﺗﺤﻤﻞ اﻟﻤﺨﺎطﺮ‪ .‬ﺗﻘﻮم وﺣﺪات اﻟﻌﻤﻞ ﺑﺘﻄﺒﯿﻖ اﻟﺮؤﯾﺔ اﻟﺘﻨﻔﯿﺬﯾﺔ وﺗﺤﻠﯿﻞ اﻟﻤﺨﺎطﺮ اﻟﺘﻲ ﻋﻠﻰ ﻣﺴﺘﻮى‬
‫اﻟﻨﻈﺎم ﺿﻤﻦ ﺳﯿﺎق ﻣﺴﺘﻮى ﺗﺤﻤﻞ اﻟﻤﻨﻈﻤﺔ ﻟﻠﻤﺨﺎطﺮ‪ .‬إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﺗﺸﻜﻞ ﺟﺰ ًءا ﻣﻦ ﺛﻘﺎﻓﺔ اﻟﻤﻨﻈﻤﺔ‪،‬‬
‫وﺗﻨﺒﺜﻖ ﻣﻦ اﻟﺪراﯾﺔ ﺑﺎﻟﻨﺸﺎطﺎت اﻟﺴﺎﺑﻘﺔ وﻣﻦ اﻟﻮﻋﻲ اﻟﻤﺴﺘﻤﺮ ﺑﺎﻟﻨﺸﺎطﺎت اﻟﻤﻄﺒﻘﺔ ﻋﻠﻰ اﻷﻧﻈﻤﺔ واﻟﺸﺒﻜﺎت‪.‬‬
‫ﺗﺴﺘﻄﯿﻊ اﻟﻤﻨﻈﻤﺔ اﺳﺘﯿﻌﺎب اﻟﺘﻐﯿﺮات اﻟﻄﺎرﺋﺔ ﻋﻠﻰ أھﺪاف اﻷﻋﻤﺎل‪/‬اﻟﺮؤﯾﺔ ﻓﻲ ﻛﯿﻔﯿﺔ اﻟﺘﻌﺎﻣﻞ ﻣﻊ اﻟﻤﺨﺎطﺮ‬
‫واﻹﺑﻼغ ﻋﻨﮭﺎ‪.‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫•‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﻤﺸﺎرﻛﺔ اﻟﺨﺎرﺟﯿﺔ‪ :‬ﺗﻔﮭﻢ اﻟﻤﻨﻈﻤﺔ دورھﺎ واﻷطﺮاف اﻟﺘﻲ ﺗﻌﺘﻤﺪ – اﻟﻤﻨﻈﻤﺔ – ﻋﻠﯿﮭﺎ واﻷطﺮاف اﻟﺘﻲ ﺗﻌﺘﻤﺪ‬
‫ﻋﻠﻰ اﻟﻤﻨﻈﻤﺔ ﺿﻤﻦ اﻟﺒﯿﺌﺔ اﻟﻜﺒﺮى‪ ،‬وﺗﺴﺎھﻢ ﻓﻲ زﯾﺎدة ﻓﮭﻢ ھﺬا اﻟﻤﺠﺘﻤﻊ ﻟﻠﻤﺨﺎطﺮ‪ .‬ﻛﻤﺎ ﺗﻘﻮم ﺑﺎﺳﺘﻘﺒﺎل وإﻧﺘﺎج‬
‫وﻣﺮاﺟﻌﺔ اﻟﻤﻌﻠﻮﻣﺎت اﻟﻤﺮﺗﺒﺔ ﺣﺴﺐ أوﻟﻮﯾﺘﮭﺎ واﻟﺘﻲ ﺗﻐﺬّي اﻟﺘﺤﻠﯿﻞ اﻟﻤﺘﻮاﺻﻞ ﻟﻤﺨﺎطﺮ اﻟﻤﻨﻈﻤﺔ ﻓﻲ ظﻞ ﺗﺰاﯾﺪ‬
‫اﻟﺘﮭﺪﯾﺪات وﺗﻄﻮر اﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ‪ .‬ﺗﺸﺎرك اﻟﻤﻨﻈﻤﺔ ﺗﻠﻚ اﻟﻤﻌﻠﻮﻣﺎت داﺧﻠﯿًﺎ وﺧﺎرﺟﯿًﺎ ﻣﻊ ﻣﺘﻌﺎوﻧﯿﻦ آﺧﺮﯾﻦ‪ .‬ﺗﺴﺘﺨﺪم‬
‫اﻟﻤﻨﻈﻤﺔ ﻣﻌﻠﻮﻣﺎت ﻓﻮرﯾﺔ أو ﺷﺒﮫ ﻓﻮرﯾﺔ ﻟﻔﮭﻢ واﻟﺘﺼﺮف ﺣﯿﺎل اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻟﺴﻠﺴﻠﺔ اﻹﻣﺪاد اﻟﻤﺘﻌﻠﻘﺔ‬
‫ﺑﺎﻟﻤﻨﺘﺠﺎت واﻟﺨﺪﻣﺎت اﻟﺘﻲ ﺗﻘﺪﻣﮭﺎ أو ﺗﺴﺘﺨﺪﻣﮭﺎ‪ .‬ﺗﺘﻮاﺻﻞ اﻟﺸﺮﻛﺔ ﻣﻊ اﻵﺧﺮﯾﻦ ﺑﺸﻜﻞ اﺳﺘﺒﺎﻗﻲ ﺑﺎﺳﺘﺨﺪام اﻵﻟﯿﺎت‬
‫اﻟﺮﺳﻤﯿﺔ )ﻣﺜﻞ اﻻﺗﻔﺎﻗﯿﺎت( وﻏﯿﺮ اﻟﺮﺳﻤﯿﺔ ﻟﺘﻄﻮﯾﺮ ﻋﻼﻗﺎت ﻗﻮﯾﺔ ﻣﻊ ﺳﻼﺳﻞ اﻹﻣﺪاد وﻟﻠﻤﺤﺎﻓﻈﺔ ﻋﻠﯿﮭﺎ‪.‬‬
‫‪ 2.3‬ﻧﻤﺎذج إطﺎر اﻟﻌﻤﻞ‬
‫ﻧﻤﻮذج إطﺎر اﻟﻌﻤﻞ )"اﻟﻨﻤﻮذج"( ھﻮ ﻣﻮاءﻣﺔ اﻟﻮظﺎﺋﻒ واﻟﺘﺼﻨﯿﻔﺎت واﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ ﻣﻊ ﻣﺘﻄﻠﺒﺎت اﻷﻋﻤﺎل‪ ،‬وﻣﺴﺘﻮى‬
‫ﺗﺤﻤﻞ اﻟﻤﺨﺎطﺮ‪ ،‬وﻣﻮارد اﻟﻤﻨﻈﻤﺔ‪ .‬ﯾﺘﯿﺢ اﻟﻨﻤﻮذج ﻟﻠﻤﻨﻈﻤﺎت ﺗﺄﺳﯿﺲ ﺧﺎرطﺔ طﺮﯾﻖ ﻟﺘﻘﻠﯿﻞ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﺗﺘﻮاءم ﻣﻊ اﻷھﺪاف‬
‫اﻟﻤﻨﻈﻤﯿﺔ‪ ،‬ﻛﻤﺎ ﯾﻀﻊ ‪-‬اﻟﻨﻤﻮذج‪ -‬ﻓﻲ ﻋﯿﻦ اﻻﻋﺘﺒﺎر اﻟﻤﺘﻄﻠﺒﺎت اﻟﻘﺎﻧﻮﻧﯿﺔ‪/‬اﻟﺘﻨﻈﯿﻤﯿﺔ واﻟﻤﻤﺎرﺳﺎت اﻟﻤﺜﻠﻰ ﺿﻤﻦ ﻣﺠﺎل اﻟﺼﻨﺎﻋﺔ‬
‫ﻧﻈﺮا ﻟﺘﻌﻘﯿﺪ اﻟﻌﺪﯾﺪ ﻣﻦ اﻟﻤﻨﻈﻤﺎت‪ ،‬ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ أن ﺗﺨﺘﺎر أﻛﺜﺮ ﻣﻦ ﻧﻤﻮذج ﯾﺘﻮاءم ﻣﻊ‬
‫وﯾﻌﻜﺲ أوﻟﻮﯾﺎت إدارة اﻟﻤﺨﺎطﺮ‪.‬‬
‫ً‬
‫ﻣﻜﻮﻧﺎت ﻣﺤﺪدة وﯾﻠﺒﻲ اﺣﺘﯿﺎﺟﺎﺗﮭﺎ اﻟﻔﺮدﯾﺔ‪.‬‬
‫ّ‬
‫ﯾﻤﻜﻦ اﺳﺘﺨﺪام ﻧﻤﺎذج إطﺎر اﻟﻌﻤﻞ ﻟﻮﺻﻒ اﻟﺤﺎﻟﺔ اﻟﺮاھﻨﺔ أو اﻟﺤﺎﻟﺔ اﻟﻤﻨﺸﻮدة ﻟﺒﻌﺾ ﻧﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﻤﺤﺪدة‪ .‬اﻟﻨﻤﻮذج‬
‫اﻟﺮاھﻦ ﯾﺸﯿﺮ إﻟﻰ ﻣﺨﺮﺟﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﻤﺤﻘﻘﺔ ﻓﻲ اﻟﻮﻗﺖ اﻟﺮاھﻦ‪ .‬اﻟﻨﻤﻮذج اﻟﮭﺪف ﯾﺸﯿﺮ إﻟﻰ اﻟﻤﺨﺮﺟﺎت اﻟﻤﻨﺸﻮدة ﻟﺘﺤﻘﯿﻖ‬
‫ت اﻷﻋﻤﺎل‪/‬اﻟﺮؤﯾﺔ وﺗﻌﯿﻨﮭﺎ ﻓﻲ اﻹﺑﻼغ ﻋﻦ اﻟﻤﺨﺎطﺮ ﺿﻤﻦ اﻟﻤﻨﻈﻤﺔ‬
‫أھﺪاف إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ .‬ﺗﺪﻋﻢ اﻟﻨﻤﺎذ ُج ﻣﺘﻄﻠﺒﺎ ِ‬
‫ﻧﻔﺴﮭﺎ وﺑﯿﻦ اﻟﻤﻨﻈﻤﺎت اﻷﺧﺮى‪ .‬ﻻ ﯾﺘﻀﻤﻦ إطﺎر اﻟﻌﻤﻞ ھﺬا ﻋﻠﻰ وﺻﻒ ﻟﻘﻮاﻟﺐ ﺟﺎھﺰة ﻟﻠﻨﻤﺎذج‪ ،‬ﻣﻤﺎ ﯾﺘﯿﺢ ﻣﺮوﻧﺔ أﻛﺜﺮ ﻓﻲ‬
‫اﻟﺘﻄﺒﯿﻖ‪.‬‬
‫ﻗﺪ ﺗﻜﺸﻒ اﻟﻤﻘﺎرﻧﺔ ﺑﯿﻦ اﻟﻨﻤﺎذج )ﻣﺜﻞ ﻣﻘﺎرﻧﺔ اﻟﻨﻤﻮذج اﻟﺮاھﻦ ﻣﻊ اﻟﻨﻤﻮذج اﻟﮭﺪف( ﻋﻦ اﻟﻔﺠﻮات اﻟﺘﻲ ﯾﻨﺒﻐﻲ اﻟﺘﻌﺎﻣﻞ ﻣﻌﮭﺎ ﻟﺘﺤﻘﯿﻖ‬
‫أھﺪاف إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ .‬ﻗﺪ ﺗﺴﺎھﻢ ﺧﻄﺔ اﻟﻌﻤﻞ ﻟﻠﺘﻌﺎﻣﻞ ﻣﻊ ھﺬه اﻟﻔﺠﻮات ﺑﮭﺪف ﺗﺤﻘﯿﻖ ﺗﺼﻨﯿﻒ أو ﺗﺼﻨﯿﻒ ﻓﺮﻋﻲ‬
‫ﻣﻌﯿﻦ‪ ،‬ﻗﺪ ﺗﺴﺎھﻢ ﻓﻲ ﺧﺎرطﺔ اﻟﻄﺮﯾﻖ اﻟﻤﻮﺻﻮﻓﺔ أﻋﻼه‪ .‬أوﻟﻮﯾﺎت ﺳﺪ اﻟﻔﺠﻮات ﯾﺘﻢ ﺗﺮﺗﯿﺒﮭﺎ ﺑﻨﺎ ًء ﻋﻠﻰ اﺣﺘﯿﺎﺟﺎت اﻷﻋﻤﺎل وﻋﻤﻠﯿﺎت‬
‫إدارة اﻟﻤﺨﺎطﺮ‪ .‬ھﺬه اﻟﻤﻨﮭﺠﯿﺔ اﻟﻤﺒﻨﯿﺔ ﻋﻠﻰ اﻟﻤﺨﺎطﺮ ﺗﺘﯿﺢ ﻟﻠﻤﻨﻈﻤﺔ ﺗﻘﺪﯾﺮ اﻟﻤﻮارد اﻟﻼزﻣﺔ )ﻣﺜﻞ اﻟﻤﻮظﻔﯿﻦ واﻟﺘﻤﻮﯾﻞ( ﻟﺘﺤﻘﯿﻖ‬
‫أھﺪاف اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻋﻠﻰ ﻧﺤﻮ ﻓﻌﺎل ﻣﻦ ﺣﯿﺚ اﻟﺘﻜﻠﻔﺔ وذي أوﻟﻮﯾﺎت ﻣﺮﺗﺒﺔ‪ .‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟﻚ‪ ،‬إطﺎر اﻟﻌﻤﻞ ھﻮ ﻣﻨﮭﺠﯿﺔ ﻣﺒﻨﯿﺔ‬
‫ﻋﻠﻰ اﻟﻤﺨﺎطﺮ‪ ،‬ﺣﯿﺚ ﻗﺎﺑﻠﺔ اﻟﺘﻄﺒﯿﻖ وﺗﺤﻘﯿﻖ ﺗﺼﻨﯿﻒ ﻓﺮﻋﻲ ﻣﻌﯿﻦ ﯾﺨﻀﻌﺎن ﻟﻨﻄﺎق اﻟﻨﻤﻮذج‪.‬‬
‫‪11‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫‪ 2.4‬ﺗﻨﺴﯿﻖ ﺗﻄﺒﯿﻖ إطﺎر اﻟﻌﻤﻞ‬
‫ﯾﺼﻒ اﻟﺸﻜﻞ ‪ 2‬اﻟﺘﺪﻓﻖ اﻟﺸﺎﺋﻊ ﻟﻠﻤﻌﻠﻮﻣﺎت واﻟﻘﺮارات ﻓﻲ اﻟﻤﺴﺘﻮﯾﺎت اﻟﺘﺎﻟﯿﺔ ﺿﻤﻦ اﻟﻤﻨﻈﻤﺔ‪:‬‬
‫•‬
‫•‬
‫•‬
‫اﻟﻤﺴﺘﻮى اﻟﺘﻨﻔﯿﺬي‬
‫ﻣﺴﺘﻮى اﻷﻋﻤﺎل‪/‬اﻟﻌﻤﻠﯿﺎت‬
‫ﻣﺴﺘﻮى اﻟﺘﻄﺒﯿﻖ‪/‬ﻋﻤﻠﯿﺎت اﻟﺘﺸﻐﯿﻞ‬
‫ﯾﻘﻮم اﻟﻤﺴﺘﻮى اﻟﺘﻨﻔﯿﺬي ﺑﺈﺑﻼغ ﻣﺴﺘﻮى اﻷﻋﻤﺎل‪/‬اﻟﻌﻤﻠﯿﺎت ﺑﺄوﻟﻮﯾﺎت اﻟﺮؤﯾﺔ واﻟﻤﻮارد اﻟﻤﺘﺎﺣﺔ واﻟﻤﺴﺘﻮى اﻟﻌﺎم ﻟﺘﻘﺒﻞ اﻟﻤﺨﺎطﺮ‪.‬‬
‫أﻣﺎ ﻣﺴﺘﻮى اﻷﻋﻤﺎل‪/‬اﻟﻌﻤﻠﯿﺎت ﻓﯿﺴﺘﺨﺪم ھﺬه اﻟﻤﻌﻠﻮﻣﺎت ﻛﻤﺪﺧﻼت ﻓﻲ ﻋﻤﻠﯿﺔ إدارة اﻟﻤﺨﺎطﺮ‪ ،‬وﻣﻦ ﺛﻢ ﯾﺘﻌﺎون ﻣﻊ ﻣﺴﺘﻮى‬
‫اﻟﺘﻄﺒﯿﻖ‪/‬ﻋﻤﻠﯿﺎت اﻟﺘﺸﻐﯿﻞ ﻹﺑﻼﻏﮫ ﺑﺎﺣﺘﯿﺎﺟﺎت اﻷﻋﻤﺎل وﻟﺼﻨﻊ اﻟﻨﻤﻮذج‪ .‬ﯾﻘﻮم ﻣﺴﺘﻮى اﻟﺘﻄﺒﯿﻖ‪/‬ﻋﻤﻠﯿﺎت اﻟﺘﺸﻐﯿﻞ ﺑﺈﺑﻼغ ﻣﺴﺘﻮى‬
‫اﻷﻋﻤﺎل‪/‬اﻟﻌﻤﻠﯿﺎت ﺑﺸﺄن اﻟﺘﻘﺪم ﻓﻲ ﺗﻄﺒﯿﻖ اﻟﻨﻤﻮذج‪ .‬ﺑﻌﺪھﺎ‪ ،‬ﯾﺴﺘﺨﺪم ﻣﺴﺘﻮى اﻷﻋﻤﺎل‪/‬اﻟﻌﻤﻠﯿﺎت ھﺬه اﻟﻤﻌﻠﻮﻣﺎت ﻟﻠﻘﯿﺎم ﺑﺘﻘﯿﯿﻢ اﻷﺛﺮ‪.‬‬
‫ﺛﻢ ﯾﻘﻮم ﻣﺴﺘﻮى اﻷﻋﻤﺎل‪/‬اﻟﻌﻤﻠﯿﺎت ﺑﺘﻘﺪﯾﻢ ﺗﻘﺮﯾﺮ إﻟﻰ اﻟﻤﺴﺘﻮى اﻟﺘﻨﻔﯿﺬي ﻋﻦ ﻧﺘﺎﺋﺞ ﺗﻘﯿﯿﻢ اﻷﺛﺮ ﺑﮭﺪف ﺗﺒﯿﺎن ﻋﻤﻠﯿﺔ إدارة اﻟﻤﺨﺎطﺮ‪،‬‬
‫ﻛﻤﺎ ﯾﻘﺪم اﻟﺘﻘﺮﯾﺮ إﻟﻰ ﻣﺴﺘﻮى اﻟﺘﻄﺒﯿﻖ‪/‬ﻋﻤﻠﯿﺎت اﻟﺘﺸﻐﯿﻞ ﺑﮭﺪف اﻟﺘﻮﻋﯿﺔ ﺑﺎﻷﺛﺮ ﻋﻠﻰ اﻷﻋﻤﺎل‪.‬‬
‫إدارة اﻟﻤﺨــــــــﺎطﺮ‬
‫اﻟﺘﻨﻔـ ـ ـ ـ ـ ـ ـ ـ ـ ـ ـ ـ ـ ــ�ﺬ‬
‫‪ :‬ﺗﺪﻓﻖ اﻟﻤﻌﻠﻮﻣﺎت واﻟﻘﺮارات ﻓﻲ اﻟﻤﻨﻈﻤﺔ‬
‫‪12‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫‪ 3.0‬ﻛﯿﻔﯿﺔ اﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ‬
‫ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ أن ﺗﺴﺘﺨﺪم إطﺎر اﻟﻌﻤﻞ ﻛﺠﺰء ﻣﮭﻢ ﻣﻦ ﻋﻤﻠﯿﺘﮭﺎ اﻟﻤﻨﮭﺠﯿﺔ ﻟﺘﺤﺪﯾﺪ وﺗﻘﯿﯿﻢ وإدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ .‬إن إطﺎر اﻟﻌﻤﻞ ﻏﯿﺮ‬
‫ﻣﺼﻤﻢ ﻻﺳﺘﺒﺪال اﻟﻌﻤﻠﯿﺎت اﻟﻤﻮﺟﻮدة‪ ،‬ﻓﺒﺈﻣﻜﺎن اﻟﻤﻨﻈﻤﺔ أن ﺗﺒﻘﻰ ﻋﻠﻰ اﺳﺘﺨﺪام ﻋﻤﻠﯿﺎﺗﮭﺎ اﻟﺤﺎﻟﯿﺔ ﻣﻊ وﺿﻌﮭﺎ ﺗﺤﺖ ﻏﻄﺎء إطﺎر اﻟﻌﻤﻞ ﻟﺘﺤﺪﯾﺪ‬
‫اﻟﻔﺠﻮات ﻓﻲ ﻣﻨﮭﺠﯿﺘﮭﺎ اﻟﺤﺎﻟﯿﺔ ﺣﯿﺎل اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ وﻟﺮﺳﻢ ﺧﺎرطﺔ طﺮﯾﻖ ﺗﻘﻮد ﻧﺤﻮ اﻟﺘﺤﺴﯿﻦ‪ .‬ﺑﺎﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ ﻛﺄداة ﻹدارة‬
‫اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ ،‬ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ أن ﺗﻘﺮر اﻟﻨﺸﺎطﺎت اﻷﻛﺜﺮ أھﻤﯿﺔ ﻓﻲ ﻋﻤﻠﯿﺔ ﺗﻘﺪﯾﻢ اﻟﺨﺪﻣﺎت اﻟﺤﺴﺎﺳﺔ‪ ،‬ﻛﻤﺎ ﯾﻤﻜﻨﮭﺎ أن ﺗﺮﺗﺐ اﻟﻨﻔﻘﺎت‬
‫ﺑﺤﺴﺐ أوﻟﻮﯾﺘﮭﺎ ﻟﺘﻌﻈﯿﻢ أﺛﺮ اﻻﺳﺘﺜﻤﺎر‪.‬‬
‫إن إطﺎر اﻟﻌﻤﻞ ﻣﺼﻤﻢ ﻟﺘﻜﻤﯿﻞ اﻟﻌﻤﻠﯿﺎت اﻟﺘﺸﻐﯿﻠﯿﺔ اﻟﻤﻮﺟﻮدة واﻟﻤﺘﻌﻠﻘﺔ ﺑﺎﻷﻋﻤﺎل واﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ .‬ﯾﻤﻜﻦ ﻟﻺطﺎر أن ﯾﻜﻮن ﻗﺎﻋﺪة ﻟﺒﻨﺎء‬
‫ﺑﺮﻧﺎﻣﺞ ﺟﺪﯾﺪ ﻟﻸﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ ،‬أو ﻟﻮﺿﻊ آﻟﯿﺔ ﻟﺘﺤﺴﯿﻦ اﻟﺒﺮﻧﺎﻣﺞ اﻟﻤﻮﺟﻮد‪ .‬ﯾﻘﺪم إطﺎر اﻟﻌﻤﻞ وﺳﺎﺋﻞ ﻟﻠﺘﻌﺒﯿﺮ ﻋﻦ ﻣﺘﻄﻠﺒﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫أﻣﺎم ﺷﺮﻛﺎء اﻷﻋﻤﺎل واﻟﻌﻤﻼء‪ ،‬ﻛﻤﺎ ﯾﺴﺎﻋﺪ ﻓﻲ ﺗﺤﺪﯾﺪ اﻟﻔﺠﻮات ﻓﻲ ﻣﻤﺎرﺳﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﺪى اﻟﻤﻨﻈﻤﺔ‪ .‬ﻛﻤﺎ ﯾﻘﺪم ﻣﺠﻤﻮﻋﺔ ﻋﺎﻣﺔ ﻣﻦ‬
‫اﻻﻋﺘﺒﺎرات واﻟﻌﻤﻠﯿﺎت ﻟﻠﻨﻈﺮ ﻓﻲ اﻵﺛﺎر اﻟﻤﺘﺮﺗﺒﺔ ﻋﻠﻰ اﻟﺨﺼﻮﺻﯿﺔ واﻟﺤﺮﯾﺎت اﻟﻤﺪﻧﯿﺔ ﺿﻤﻦ ﺳﯿﺎق ﺑﺮﻧﺎﻣﺞ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪.‬‬
‫ﯾﻤﻜﻦ ﺗﻄﺒﯿﻖ إطﺎر اﻟﻌﻤﻞ ﻋﺒﺮ ﺟﻤﯿﻊ ﻣﺮاﺣﻞ دورة اﻟﺤﯿﺎة اﻟﻤﻜﻮﻧﺔ ﻣﻦ اﻟﺘﺨﻄﯿﻂ واﻟﺘﺼﻤﯿﻢ واﻟﺒﻨﺎء‪/‬اﻟﺸﺮاء واﻟﻨﺸﺮ واﻟﺘﺸﻐﯿﻞ وإﯾﻘﺎف‬
‫اﻟﺘﺸﻐﯿﻞ‪ .‬ﻣﺮﺣﻠﺔ اﻟﺘﺨﻄﯿﻂ ھﻲ ﺑﺪاﯾﺔ دورة اﻟﺤﯿﺎة ﻟﻜﻞ ﻧﻈﺎم‪ ،‬وھﻲ اﻟﺘﻲ ﺗﻤ ّﮭﺪ اﻟﻄﺮﯾﻖ ﻟﻜﻞ ﻣﺎ ﺑﻌﺪھﺎ‪ .‬ﯾﻨﺒﻐﻲ اﻹﻋﻼن ﻋﻦ اﻋﺘﺒﺎرات اﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ اﻟﺸﺎﻣﻠﺔ ووﺻﻔﮭﺎ ﺑﺄﻗﺼﻰ ﻣﺎ ﯾﻤﻜﻦ ﻣﻦ اﻟﻮﺿﻮح‪ ،‬ﻛﻤﺎ ﯾﻨﺒﻐﻲ ﻋﻠﻰ اﻟﺨﻄﺔ أن ﺗﺪرك أﻧﮫ ﻣﻦ اﻟﻤﺤﺘﻤﻞ أن ﺗﻠﻚ اﻻﻋﺘﺒﺎرات‬
‫ت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻛﺠﺰء ﻣﻦ ﻋﻤﻠﯿﺔ‬
‫واﻟﻤﺘﻄﻠﺒﺎت ﺳﻮف ﺗﺘﻄﻮر ﺧﻼل ﻣﺎ ﺗﺒﻘﻰ ﻣﻦ دورة اﻟﺤﯿﺎة‪ .‬ﯾﻨﺒﻐﻲ أن ﺗﺴﺘﻮﻋﺐ ﻣﺮﺣﻠﺔ اﻟﺘﺼﻤﯿﻢ ﻣﺘﻄﻠﺒﺎ ِ‬
‫أﻛﺒﺮ ﻟﮭﻨﺪﺳﺔ اﻷﻧﻈﻤﺔ ﻣﺘﻌﺪدة اﻟﺘﺨﺼﺼﺎت‪ .‬أﺣﺪ أﺑﺮز اﻹﻧﺠﺎزات ﻓﻲ ﻣﺮﺣﻠﺔ اﻟﺘﺼﻤﯿﻢ ھﻮ اﻟﺘﺤﻘﻖ ﻣﻦ أن ﻣﻮاﺻﻔﺎت ﻧﻈﺎم اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫ﺗﻠﺒّﻲ اﺣﺘﯿﺎﺟﺎت اﻟﻤﻨﻈﻤﺔ وﻣﺘﻄﻠﺒﺎﺗﮭﺎ ﻟﻠﺘﺨﻠﺺ ﻣﻦ اﻟﻤﺨﺎطﺮ ﻛﻤﺎ ھﻮ ﻣﺬﻛﻮر ﻓﻲ ﻧﻤﻮذج إطﺎر اﻟﻌﻤﻞ‪ .‬ﯾﻨﺒﻐﻲ أن ﺗُﺪرج ﻣﺨﺮﺟﺎت اﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ اﻟﻤﺮﻏﻮﺑﺔ واﻟﻤﺮﺗﺒﺔ ﺣﺴﺐ أوﻟﻮﯾﺘﮭﺎ ﻓﻲ اﻟﻨﻤﻮذج اﻟﮭﺪف ﻓﻲ اﻟﺤﺎﻻت اﻟﺘﺎﻟﯿﺔ‪ (1 :‬ﺗﻄﻮﯾﺮ اﻟﻨﻈﺎم أﺛﻨﺎء ﻣﺮﺣﻠﺔ اﻟﺒﻨﺎء؛ ‪ (2‬ﺷﺮاء‬
‫اﻟﻨﻈﺎم أو ﺗﺴﻠﯿﻢ ﺗﻄﻮﯾﺮه إﻟﻰ ﻣﺼﺎدر ﺧﺎرﺟﯿﺔ ﺧﻼل ﻣﺮﺣﻠﺔ اﻟﺸﺮاء‪ .‬ذﻟﻚ اﻟﻨﻤﻮذج اﻟﮭﺪف ﻧﻔﺴﮫ ﯾﻤﻜﻦ أن ﯾﻜﻮن ﺑﻤﺜﺎﺑﺔ ﻗﺎﺋﻤﺔ ﻣﻦ ﺧﺼﺎﺋﺺ‬
‫اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﺘﻲ ﯾﻨﺒﻐﻲ ﺗﻘﯿﯿﻤﮭﺎ ﻋﻨﺪ ﻧﺸﺮ اﻟﻨﻈﺎم ﻟﻠﺘﺄﻛﺪ ﻣﻦ أن ﺟﻤﯿﻊ اﻟﺨﺼﺎﺋﺺ ﻗﺪ ﺗﻢ ﺗﻄﺒﯿﻘﮭﺎ‪ .‬ﺑﻌﺪھﺎ‪ ،‬ﯾﻨﺒﻐﻲ ﻋﻠﻰ ﻣﺨﺮﺟﺎت اﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ اﻟﻤﺤﺪدة ﺑﻮاﺳﻄﺔ إطﺎر اﻟﻌﻤﻞ أن ﺗﻜﻮن اﻟﻘﺎﻋﺪة ﻟﻠﻌﻤﻠﯿﺎت اﻟﺠﺎرﯾﺔ ﻟﻠﻨﻈﺎم‪ ،‬وھﺬا ﯾﺸﻤﻞ إﻋﺎدة اﻟﺘﻘﯿﯿﻢ ﺑﯿﻦ اﻟﺤﯿﻦ اﻵﺧﺮ‪ ،‬ﺗﺴﺠﯿﻞ‬
‫اﻟﻨﺘﺎﺋﺞ ﻓﻲ اﻟﻨﻤﻮذج اﻟﺮاھﻦ‪ ،‬اﻟﺘﺄﻛﺪ ﻣﻦ أن ﻣﺘﻄﻠﺒﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻻ زاﻟﺖ ﻣﺴﺘﻮﻓﺎة‪ .‬إن اﻟﺸﺒﻜﺎت اﻟﻤﻌﻘﺪة ﻣﻦ اﻟﺘﺒﻌﯿﺎت )ﻣﺜﻞ اﻟﻀﻮاﺑﻂ‬
‫اﻟﻤﺸﺘﺮﻛﺔ أو اﻟﺘﻲ ﯾﻌﻮض ﺑﻌﻀﮭﺎ اﻟﺒﻌﺾ( ﻓﯿﻤﺎ ﺑﯿﻦ اﻷﻧﻈﻤﺔ ﻋﺎدة ً ﻣﺎ ﺗﻌﻨﻲ أن اﻟﻤﺨﺮﺟﺎت اﻟﻤﻮﺛﻘﺔ ﻓﻲ اﻟﻨﻤﻮذج اﻟﮭﺪف ﻟﻸﻧﻈﻤﺔ ذات‬
‫اﻟﻌﻼﻗﺔ ﯾﺠﺐ أن ﺗﺆﺧﺬ ﻓﻲ ﻋﯿﻦ اﻟﺤﺴﺒﺎن أﺛﻨﺎء إﯾﻘﺎف ﺗﺸﻐﯿﻞ اﻷﻧﻈﻤﺔ‪.‬‬
‫اﻷﻗﺴﺎم اﻵﺗﯿﺔ ﺗﻄﺮح طﺮﻗًﺎ ﻣﺨﺘﻠﻔﺔ ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺎت أن ﺗﺴﺘﺨﺪم إطﺎر اﻟﻌﻤﻞ ﺑﮭﺎ‪.‬‬
‫‪ 3.1‬ﻣﺮاﺟﻌﺔ أﺳﺎﺳﯿﺔ ﻟﻠﻤﻤﺎرﺳﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫ﯾﻤﻜﻦ اﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ ﻟﻤﻘﺎرﻧﺔ ﻧﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﺤﺎﻟﯿﺔ ﻟﻠﻤﻨﻈﻤﺔ ﻣﻊ اﻟﻤﻤﺎرﺳﺎت اﻟﻮاردة ﻓﻲ ﻧﻮاة إطﺎر اﻟﻌﻤﻞ‪ .‬ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ‬
‫أن ﺗﻔﺤﺺ ﻣﺪى ﺗﺤﻘﯿﻘﮭﺎ ﻟﻠﻤﺨﺮﺟﺎت اﻟﻤﺬﻛﻮرة ﻓﻲ اﻟﺘﺼﻨﯿﻔﺎت اﻷﺳﺎﺳﯿﺔ واﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ ﻣﻦ ﺧﻼل إﻧﺸﺎء اﻟﻨﻤﻮذج اﻟﺮاھﻦ‪ ،‬وذﻟﻚ ﺑﻤﺎ‬
‫ﯾﺘﻤﺎﺷﻰ ﻣﻊ اﻟﻮظﺎﺋﻒ اﻟﺨﻤﺲ اﻷﺳﺎﺳﯿﺔ‪ :‬اﻟﺘﺤﺪﯾﺪ‪ ،‬اﻟﺤﻤﺎﯾﺔ‪ ،‬اﻟﺮﺻﺪ‪ ،‬اﻻﺳﺘﺠﺎﺑﺔ‪ ،‬اﻻﺳﺘﻌﺎدة‪ .‬ﻗﺪ ﺗﺠﺪ اﻟﻤﻨﻈﻤﺔ أﻧﮭﺎ ﻗﺪ ﺣﻘﻘﺖ اﻟﻤﺨﺮﺟﺎت‬
‫اﻟﻤﺮﻏﻮﺑﺔ ﺑﺎﻟﻔﻌﻞ‪ ،‬وﺑﺎﻟﺘﺎﻟﻲ ﻓﺈن إدارة اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﺗﺘﻨﺎﺳﺐ ﻣﻊ اﻟﻤﺨﺎطﺮ اﻟﻤﻌﺮوﻓﺔ‪ .‬ﻋﻮﺿًﺎ ﻋﻦ ذﻟﻚ‪ ،‬ﻗﺪ ﺗﻘﺮر اﻟﻤﻨﻈﻤﺔ ﺑﺄﻧﮭﺎ ﺗﻤﻠﻚ‬
‫اﻟﻔﺮص )أو اﻟﺤﺎﺟﺔ( ﻟﻠﺘﻄﻮر‪ .‬ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ اﺳﺘﺨﺪام ھﺬه اﻟﻤﻌﻠﻮﻣﺔ ﻟﺘﻄﻮﯾﺮ ﺧﻄﺔ ﻋﻤﻞ ﻟﺘﻌﺰﯾﺰ ﻣﻤﺎرﺳﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﻤﻮﺟﻮدة‬
‫وﻟﺘﻘﻠﯿﻞ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ .‬وأﯾﻀًﺎ‪ ،‬ﻗﺪ ﺗﺠﺪ اﻟﻤﻨﻈﻤﺔ أﻧﮭﺎ ﺗﺴﺘﺜﻤﺮ أﻛﺜﺮ ﻣﻦ اﻟﻼزم ﻟﺘﺤﻘﯿﻖ ﺑﻌﺾ اﻟﻤﺨﺮﺟﺎت‪ .‬ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ أن ﺗﺴﺘﺨﺪم‬
‫ھﺬه اﻟﻤﻌﻠﻮﻣﺔ ﻹﻋﺎدة ﺗﺮﺗﯿﺐ أوﻟﻮﯾﺎت ﻣﺎ ﻟﺪﯾﮭﺎ ﻣﻦ اﻟﻤﻮارد‪.‬‬
‫_______________________‬
‫اﻟﻤﻨﺸﻮر اﻟﺨﺎص اﻟﺼﺎدر ﻋﻦ اﻟﻤﻌﮭﺪ اﻟﻮطﻨﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ ‪ NIST‬اﻟﻤﺠﻠﺪ اﻷول ‪" ،160-800‬ھﻨﺪﺳﺔ ﻧﻈﺎم اﻷﻣﻦ"‪ ،‬واﻻﻋﺘﺒﺎرات‬
‫‪10‬‬
‫اﻟﻤﺘﻌﻠﻘﺔ ﺑﺎﺗﺒﺎع "ﻧﮭﺞ ﻣﺘﻌﺪد اﻟﺘﺨﺼﺼﺎت" ﻓﻲ "ھﻨﺪﺳﺔ ﻧﻈﻢ اﻟﺘﺄﻣﯿﻦ اﻟﺠﺪﯾﺮة ﺑﺎﻟﺜﻘﺔ"‪ ،‬ﺗﺄﻟﯿﻒ روس وآﺧﺮﯾﻦ‪ ،‬ﻧﻮﻓﻤﺒﺮ }ﺗﺸﺮﯾﻦ اﻟﺜﺎﻧﻲ{ ﻋﺎم ‪) 2016‬ﺗﻢ ﺗﺤﺪﯾﺜﮫ‬
‫ﺑﺘﺎرﯾﺦ ‪ 21‬ﻣﺎرس ‪،(2018‬اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.SP.800-160v1‬‬
‫‪13‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫ﻓﻲ ﺣﯿﻦ أن اﻟﻮظﺎﺋﻒ اﻟﺨﻤﺴﺔ اﻷﺳﺎﺳﯿﺔ ﻻ ﺗﺤﻞ ﻣﺤﻞ ﻋﻤﻠﯿﺔ إدارة اﻟﻤﺨﺎطﺮ‪ ،‬إﻻ أﻧﮭﺎ ﺳﺘﻘﺪّم ﻟﻜﺒﺎر اﻟﺘﻨﻔﯿﺬﯾﯿﻦ وﻏﯿﺮھﻢ طﺮﯾﻘﺔ ﻣﻮﺟﺰة‬
‫ﻻﺳﺘﺨﻼص اﻟﻤﻔﺎھﯿﻢ اﻷﺳﺎﺳﯿﺔ ﻟﻠﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻟﻜﻲ ﯾﺘﻤﻜﻨﻮا ﻣﻦ ﺗﻘﯿﯿﻢ طﺮﯾﻘﺔ إدارة اﻟﻤﺨﺎطﺮ اﻟﺘﻲ ﺗﻢ ﺗﺤﺪﯾﺪھﺎ‪ ،‬وﻛﺬﻟﻚ ﺗﻘﯿﯿﻢ وﺿﻊ‬
‫اﻟﻤﻨﻈﻤﺔ ﺑﺎﻟﻨﺴﺒﺔ إﻟﻰ ﻣﻌﺎﯾﯿﺮ وإرﺷﺎدات وﻣﻤﺎرﺳﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﻤﻮﺟﻮدة‪ .‬ﻛﻤﺎ ﯾﻤﻜﻦ ﻹطﺎر اﻟﻌﻤﻞ أن ﯾﺴﺎﻋﺪ اﻟﻤﻨﻈﻤﺔ ﻓﻲ‬
‫اﻹﺟﺎﺑﺔ ﻋﻦ أﺳﺌﻠﺔ أﺳﺎﺳﯿﺔ‪ ،‬ﻣﺜﻞ "ﻛﯿﻒ ھﻮ وﺿﻌﻨﺎ؟" ﻋﻨﺪھﺎ ﯾﻤﻜﻦ ﻟﮭﺎ أن ﺗﺘﺤﺮك ﻋﻠﻰ ﺑﺼﯿﺮة أﻛﺜﺮ ﻟﺘﻌﺰﯾﺰ ﻣﻤﺎرﺳﺘﮭﺎ ﻓﻲ اﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ ﻓﻲ اﻟﻤﻜﺎن واﻟﺰﻣﺎن اﻟﻼزﻣﯿﻦ‬
‫‪3.2‬‬
‫ﺗﺄﺳﯿﺲ أو ﺗﻄﻮﯾﺮ ﺑﺮﻧﺎﻣﺞ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫ﺗﻌﺮض اﻟﺨﻄﻮات اﻟﺘﺎﻟﯿﺔ ﻛﯿﻒ ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ أن ﺗﺴﺘﺨﺪم إطﺎر اﻟﻌﻤﻞ ﻟﺘﺄﺳﯿﺲ ﺑﺮﻧﺎﻣﺞ ﺟﺪﯾﺪ ﻟﻸﻣﻦ اﻟﺴﺒﺮاﻧﻲ أو ﻟﺘﻄﻮﯾﺮ اﻟﺒﺮﻧﺎﻣﺞ‬
‫اﻟﻤﻮﺟﻮد‪ .‬ﯾﻨﺒﻐﻲ أن ﯾﺘﻢ ﺗﻜﺮار ھﺬه اﻟﺨﻄﻮات ﺣﺴﺒﻤﺎ ﺗﻘﺘﻀﻲ اﻟﻀﺮورة ﻟﺘﻄﻮﯾﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﺑﺎﺳﺘﻤﺮار‪.‬‬
‫اﻟﺨﻄﻮة اﻷوﻟﻰ‪ :‬اﻷوﻟﻮﯾﺎت واﻟﻨﻄﺎق ﺗﻘﻮم اﻟﻤﻨﻈﻤﺔ ﺑﺘﺤﺪﯾﺪ أھﺪاف اﻷﻋﻤﺎل‪/‬اﻟﺮؤﯾﺔ اﻟﺨﺎﺻﺔ ﺑﮭﺎ وأوﻟﻮﯾﺎﺗﮭﺎ اﻟﻤﻨﻈﻤﯿﺔ ﻋﺎﻟﯿﺔ اﻟﻤﺴﺘﻮى‪.‬‬
‫ﻣﻦ ﺧﻼل ھﺬه اﻟﻤﻌﻠﻮﻣﺎت‪ ،‬ﺗﻘﻮم اﻟﻤﻨﻈﻤﺔ ﺑﺎﺗﺨﺎذ ﻗﺮارات اﺳﺘﺮاﺗﯿﺠﯿﺔ ﺗﺘﻌﻠﻖ ﺑﺘﻄﺒﯿﻘﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ ،‬وﺗﺤﺪد ﻧﻄﺎق اﻷﻧﻈﻤﺔ‬
‫واﻷﺻﻮل اﻟﺘﻲ ﺗﺪﻋﻢ ﺧﻂ اﻷﻋﻤﺎل اﻟﻤﺨﺘﺎر أو اﻟﻌﻤﻠﯿﺔ اﻟﻤﺨﺘﺎرة‪ .‬ﯾﻤﻜﻦ ﺗﻜﯿﯿﻒ إطﺎر اﻟﻌﻤﻞ ﻟﺪﻋﻢ ﺧﻄﻮط اﻷﻋﻤﺎل أو اﻟﻌﻤﻠﯿﺎت اﻟﻤﺨﺘﻠﻔﺔ‬
‫ﺿﻤﻦ اﻟﻤﻨﻈﻤﺔ‪ ،‬واﻟﺘﻲ ﻗﺪ ﺗﺨﺘﻠﻒ اﺣﺘﯿﺎﺟﺎت أﻋﻤﺎﻟﮭﺎ وﻣﺴﺘﻮﯾﺎت ﺗﻘﺒﻞ اﻟﻤﺨﺎطﺮ ﻟﺪﯾﮭﺎ‪ .‬ﯾﻤﻜﻦ ﻟﻤﺴﺘﻮﯾﺎت ﺗﻘﺒﻞ اﻟﻤﺨﺎطﺮ أن ﺗﻨﻌﻜﺲ ﻓﻲ‬
‫ﻣﺮﺣﻠﺔ اﻟﺘﻄﺒﯿﻖ اﻟﻤﺴﺘﮭﺪﻓﺔ‪.‬‬
‫اﻟﺨﻄﻮة اﻟﺜﺎﻧﯿﺔ‪ :‬اﻟﺘﻮﺟﯿﮫ ﺣﺎﻟﻤﺎ ﯾﺘﻢ ﺗﺤﺪﯾﺪ ﻧﻄﺎق ﺑﺮﻧﺎﻣﺞ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﺨﻂ اﻷﻋﻤﺎل أو اﻟﻌﻤﻠﯿﺔ‪ ،‬ﺗﻘﻮم اﻟﻤﻨﻈﻤﺔ ﺑﺘﺤﺪﯾﺪ اﻷﻧﻈﻤﺔ‬
‫واﻷﺻﻮل ذات اﻟﻌﻼﻗﺔ‪ ،‬اﻟﻤﺘﻄﻠﺒﺎت اﻟﺘﻨﻈﯿﻤﯿﺔ‪ ،‬واﻟﻤﻨﮭﺠﯿﺔ اﻟﻌﺎﻣﺔ ﻟﻠﻤﺨﺎطﺮ‪ .‬ﺑﻌﺪھﺎ ﺗﻘﻮم ﺑﺎﺳﺘﺸﺎرة اﻟﻤﺼﺎدر ﻟﺘﺤﺪﯾﺪ اﻟﺘﮭﺪﯾﺪات وﻣﻮاطﻦ‬
‫اﻟﻀﻌﻒ اﻟﻤﻨﻄﺒﻘﺔ ﻋﻠﻰ ﺗﻠﻚ اﻷﻧﻈﻤﺔ واﻷﺻﻮل‪.‬‬
‫اﻟﺨﻄﻮة اﻟﺜﺎﻟﺜﺔ‪ :‬إﻧﺸﺎء ﻧﻤﻮذج راھﻦ ﺗﻘﻮم اﻟﻤﻨﻈﻤﺔ ﺑﺘﻄﻮﯾﺮ ﻧﻤﻮذج راھﻦ ﻋﻦ طﺮﯾﻖ ﺗﺤﺪﯾﺪ أي ﻣﺨﺮﺟﺎت اﻟﺘﺼﻨﯿﻔﺎت وﻣﺨﺮﺟﺎت‬
‫اﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ ﻟﻨﻮاة إطﺎر اﻟﻌﻤﻞ ﯾﺘﻢ ﺗﺤﻘﯿﻘﮭﺎ ﻓﻲ اﻟﻮﻗﺖ اﻟﺮاھﻦ‪ .‬إذا ﻟﻮﺣﻆ أن أﺣﺪ اﻟﻤﺨﺮﺟﺎت ﻣﺤﻘﻖ ﺑﺸﻜﻞ ﺟﺰﺋﻲ ﻓﺴﺘﺴﺎﻋﺪ‬
‫ھﺬه اﻟﻤﻼﺣﻈﺔ ﻓﻲ دﻋﻢ اﻟﺨﻄﻮات اﻟﻼﺣﻘﺔ ﻋﻦ طﺮﯾﻖ ﺗﻮﻓﯿﺮ ﻣﻌﻠﻮﻣﺎت ﻋﻦ ﺧﻂ اﻷﺳﺎس‪.‬‬
‫اﻟﺨﻄﻮة اﻟﺮاﺑﻌﺔ‪ :‬ﺗﻘﯿﯿﻢ اﻟﻤﺨﺎطﺮ ﯾﻤﻜﻦ ﻟﻠﺘﻘﯿﯿﻢ أن ﯾﻜﻮن ﻣﻮ ﱠﺟ ًﮭﺎ ﻣﻦ ﻗﺒﻞ ﻋﻤﻠﯿﺔ إدارة اﻟﻤﺨﺎطﺮ اﻟﻌﺎﻣﺔ ﻟﻠﻤﻨﻈﻤﺔ أو اﻟﻨﺸﺎطﺎت اﻟﺴﺎﺑﻘﺔ‬
‫ﻟﺘﻘﯿﯿﻢ اﻟﻤﺨﺎطﺮ‪ .‬ﺗﻘﻮم اﻟﻤﻨﻈﻤﺔ ﺑﺘﺤﻠﯿﻞ اﻟﺒﯿﺌﺔ اﻟﺘﺸﻐﯿﻠﯿﺔ ﻟﻤﻌﺮﻓﺔ اﺣﺘﻤﺎﻟﯿﺔ أﺣﺪاث اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ وﺗﺄﺛﯿﺮ ﻛﻞ ﺣﺪث ﻋﻠﻰ اﻟﻤﻨﻈﻤﺔ‪ .‬ﻣﻦ‬
‫اﻟﻤﮭﻢ أن ﺗﺤﺪد اﻟﻤﻨﻈﻤﺔ اﻟﻤﺨﺎطﺮ وأن ﺗﺴﺘﺨﺪم ﻣﻌﻠﻮﻣﺎت اﻟﺘﮭﺪﯾﺪات اﻟﺴﺒﺮاﻧﯿﺔ ﻣﻦ اﻟﻤﺼﺎدر اﻟﺪاﺧﻠﯿﺔ واﻟﺨﺎرﺟﯿﺔ ﻟﻜﻲ ﺗﺤﺼﻞ ﻋﻠﻰ‬
‫ﻓﮭﻢ أﻓﻀﻞ ﻻﺣﺘﻤﺎﻟﯿﺔ وﺗﺄﺛﯿﺮ أﺣﺪاث اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪.‬‬
‫اﻟﺨﻄﻮة اﻟﺨﺎﻣﺴﺔ‪ :‬إﻧﺸﺎء ﻧﻤﻮذج ھﺪف ﺗﻘﻮم اﻟﻤﻨﻈﻤﺔ ﺑﺈﻧﺸﺎء ﻧﻤﻮذج ھﺪف ﯾﺮ ّﻛﺰ ﻋﻠﻰ ﺗﻘﯿﯿﻢ اﻟﺘﺼﻨﯿﻔﺎت اﻷﺳﺎﺳﯿﺔ واﻟﻔﺮﻋﯿﺔ ﻹطﺎر‬
‫اﻟﻌﻤﻞ واﻟﺘﻲ ﺗﺼﻒ ﻣﺨﺮﺟﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﺘﻲ ﺗﻨﺸﺪھﺎ اﻟﻤﻨﻈﻤﺔ‪ .‬ﻛﻤﺎ ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺎت أن ﺗﻘﻮم ﺑﺘﻄﻮﯾﺮ ﺗﺼﻨﯿﻔﺎﺗﮭﺎ اﻷﺳﺎﺳﯿﺔ‬
‫واﻟﻔﺮﻋﯿﺔ اﻟﺨﺎﺻﺔ ﻻﺳﺘﯿﻌﺎب اﻟﻤﺨﺎطﺮ اﻟﻤﻨﻈﻤﯿﺔ اﻟﺘﻲ ﺗﺘﻔﺮد ﺑﮭﺎ‪ .‬وأﯾﻀًﺎ‪ ،‬ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ أن ﺗﺄﺧﺬ ﻓﻲ ﻋﯿﻦ اﻻﻋﺘﺒﺎر ﺗﺄﺛﯿﺮات وﻣﺘﻄﻠﺒﺎت‬
‫أﺻﺤﺎب اﻟﻤﺼﺎﻟﺢ اﻟﺨﺎرﺟﯿﯿﻦ‪ ،‬ﻣﺜﻞ ﻣﺆﺳﺴﺎت اﻟﻘﻄﺎع اﻷﺧﺮى واﻟﻌﻤﻼء وﺷﺮﻛﺎء اﻷﻋﻤﺎل‪ ،‬أﺛﻨﺎء إﻧﺸﺎء اﻟﻨﻤﻮذج اﻟﮭﺪف‪ .‬ﯾﻨﺒﻐﻲ ﻋﻠﻰ‬
‫اﻟﻨﻤﻮذج اﻟﮭﺪف أن ﯾﻌﻜﺲ ﺑﻮﺿﻮح اﻟﻤﻌﺎﯾﯿﺮ اﻟﺘﻲ ﺗﺘﻀﻤﻨﮭﺎ ﻣﺮﺣﻠﺔ اﻟﺘﻄﺒﯿﻖ اﻟﻤﺴﺘﮭﺪﻓﺔ‪.‬‬
‫‪14‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﺨﻄﻮة اﻟﺴﺎدﺳﺔ‪ :‬ﺗﺤﺪﯾﺪ اﻟﻔﺠﻮات وﺗﺤﻠﯿﻠﮭﺎ وﺗﺮﺗﯿﺒﮭﺎ ﺣﺴﺐ اﻷوﻟﻮﯾﺔ ﺗﻘﻮم اﻟﻤﻨﻈﻤﺔ ﺑﻤﻘﺎرﻧﺔ اﻟﻨﻤﻮذج اﻟﺮاھﻦ ﻣﻊ اﻟﻨﻤﻮذج اﻟﮭﺪف‬
‫ﻟﺘﺤﺪﯾﺪ اﻟﻔﺠﻮات‪ .‬ﺑﻌﺪھﺎ ﺗﻘﻮم ﺑﺈﻧﺸﺎء ﺧﻄﺔ ﻋﻤﻞ ذات أوﻟﻮﯾﺎت ﻟﻠﺘﻌﺎﻣﻞ ﻣﻊ اﻟﻔﺠﻮات – ﺧﻄﺔ ﻋﻤﻞ ﺗﻌﻜﺲ دواﻓﻊ اﻟﻤﮭﻤﺔ وﺗﻜﺎﻟﯿﻔﮭﺎ‬
‫وﻓﻮاﺋﺪھﺎ وﻣﺨﺎطﺮھﺎ – ﻟﺘﺤﻘﯿﻖ اﻟﻤﺨﺮﺟﺎت اﻟﻮاردة ﻓﻲ اﻟﻨﻤﻮذج اﻟﮭﺪف‪ .‬ﺑﻌﺪ ذﻟﻚ‪ ،‬ﺗﻘﻮم اﻟﻤﻨﻈﻤﺔ ﺑﺘﺤﺪﯾﺪ اﻟﻤﻮارد اﻟﻼزﻣﺔ‪ ،‬ﺑﻤﺎ ﻓﻲ‬
‫ذﻟﻚ اﻷﻣﻮال وﻗﻮى اﻟﻌﻤﻞ‪ ،‬ﻟﻠﺘﻌﺎﻣﻞ ﻣﻊ اﻟﻔﺠﻮات‪ .‬اﺳﺘﺨﺪام اﻟﻨﻤﺎذج ﻋﻠﻰ ھﺬا اﻟﻨﺤﻮ ﯾﺸﺠّﻊ اﻟﻤﻨﻈﻤﺔ ﻋﻠﻰ اﺗﺨﺎذ ﻗﺮارات ﻣﺪروﺳﺔ ﺑﺸﺄن‬
‫ﻧﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ ،‬وﯾﻌﺰز ﻣﻦ إدارة اﻟﻤﺨﺎطﺮ‪ ،‬ﻛﻤﺎ ﯾﺘﯿﺢ ﻟﻠﻤﻨﻈﻤﺔ ﻟﻠﻘﯿﺎم ﺑﺘﺤﺴﯿﻨﺎت ھﺎدﻓﺔ وﻓﻌﺎﻟﺔ ﻣﻦ ﺣﯿﺚ اﻟﺘﻜﻠﻔﺔ‪.‬‬
‫اﻟﺨﻄﻮة اﻟﺴﺎﺑﻌﺔ‪ :‬ﺗﻄﺒﯿﻖ ﺧﻄﺔ اﻟﻌﻤﻞ ﺗﻘﻮم اﻟﻤﻨﻈﻤﺔ ﺑﺘﺤﺪﯾﺪ اﻹﺟﺮاءات اﻟﺘﻲ ﺳﯿﺘﻢ اﺗﺨﺎذھﺎ ﻟﻠﺘﻌﺎﻣﻞ ﻣﻊ اﻟﻔﺠﻮات‪ ،‬ﻟﻮ ُوﺟﺪت‪ ،‬اﻟﺘﻲ ﺗﻢ‬
‫ﺗﺤﺪﯾﺪھﺎ ﻓﻲ اﻟﺨﻄﻮة اﻟﺴﺎﺑﻘﺔ‪ ،‬ﺛﻢ ﺗﻘﻮم ﺑﺘﻌﺪﯾﻞ ﻣﻤﺎرﺳﺎﺗﮭﺎ اﻟﺤﺎﻟﯿﺔ ﻓﻲ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻣﻦ أﺟﻞ اﻟﻮﺻﻮل إﻟﻰ اﻟﻨﻤﻮذج اﻟﮭﺪف‪ .‬ﻟﻠﻤﺰﯾﺪ‬
‫ﻣﻦ اﻹرﺷﺎدات‪ ،‬ﯾﻮرد إطﺎر اﻟﻌﻤﻞ ﻣﺠﻤﻮﻋﺔ أﻣﺜﻠﺔ ﻟﻤﺮاﺟﻊ ﻣﻌﺮﻓﯿﺔ ﺗﺘﻌﻠﻖ ﺑﺎﻟﺘﺼﻨﯿﻔﺎت واﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ‪ ،‬إﻻ أﻧﮫ ﯾﻨﺒﻐﻲ ﻋﻠﻰ‬
‫اﻟﻤﻨﻈﻤﺔ أن ﺗﺤﺪد اﻟﻤﻌﺎﯾﯿﺮ واﻹرﺷﺎدات واﻟﻤﻤﺎرﺳﺎت‪ ،‬ﺑﻤﺎ ﻓﻲ ذﻟﻚ ﺗﻠﻚ اﻟﺘﻲ ﯾﺨﺘﺺ ﺑﮭﺎ اﻟﻘﻄﺎع‪ ،‬واﻟﺘﻲ ﺗﻨﺎﺳﺐ اﺣﺘﯿﺎﺟﺎﺗﮭﺎ أﻛﺜﺮ‪.‬‬
‫ﺗﻜﺮر اﻟﻤﻨﻈﻤﺔ ھﺬه اﻟﺨﻄﻮات ﺣﺴﺐ اﻟﺤﺎﺟﺔ ﻟﻼﺳﺘﻤﺮار ﻓﻲ ﺗﻘﯿﯿﻢ وﺗﺤﺴﯿﻦ أﻣﻨﮭﺎ اﻟﺴﺒﺮاﻧﻲ‪ً .‬‬
‫ﻣﺜﻼ‪ ،‬ﻗﺪ ﺗﺠﺪ اﻟﻤﻨﻈﻤﺎت أن إﻋﺎدة اﻟﺨﻄﻮة‬
‫ّ‬
‫ﺗﻜﺮارا ﯾﺤﺴّﻦ ﻣﻦ ﺟﻮدة ﺗﻘﯿﯿﻢ اﻟﻤﺨﺎطﺮ‪ .‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟﻚ‪ ،‬ﺗﺴﺘﻄﯿﻊ اﻟﻤﻨﻈﻤﺎت أن ﺗﺮاﻗﺐ ﺣﺎﻟﺔ اﻟﺘﻘﺪم‬
‫اﻟﺜﺎﻧﯿﺔ )اﻟﺘﻮﺟﯿﮫ( ﺑﺸﻜﻞ أﻛﺜﺮ‬
‫ً‬
‫ﻣﻦ ﺧﻼل اﻟﺘﺤﺪﯾﺜﺎت اﻟﻤﺴﺘﻤﺮة ﻋﻠﻰ اﻟﻨﻤﻮذج اﻟﺮاھﻦ‪ ،‬وﺑﺎﻟﺘﺎﻟﻲ ﻣﻘﺎرﻧﺔ اﻟﻨﻤﻮذج اﻟﺮاھﻦ ﻣﻊ اﻟﻨﻤﻮذج اﻟﮭﺪف‪ .‬ﻛﻤﺎ ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ أن‬
‫ﺗﺴﺘﺨﺪم ھﺬه اﻟﻌﻤﻠﯿﺔ ﻟﻤﻮاءﻣﺔ ﺑﺮﻧﺎﻣﺠﮭﺎ ﻟﻸﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻣﻊ ﻣﺮﺣﻠﺔ اﻟﺘﻄﺒﯿﻖ اﻟﻤﺮﻏﻮﺑﺔ ﻟﺪﯾﮭﺎ‪.‬‬
‫إﺑﻼغ أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ ﺑﻤﺘﻄﻠﺒﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫‪3.3‬‬
‫ﯾﻘﺪم إطﺎر اﻟﻌﻤﻞ ﻟﻐﺔ ﻣﺸﺘﺮﻛﺔ ﻟﻠﺤﺪﯾﺚ ﻋﻦ اﻟﻤﺘﻄﻠﺒﺎت ﻓﯿﻤﺎ ﺑﯿﻦ أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ اﻟﻤﺴﺘﻘﻠّﯿﻦ واﻟﻤﺴﺆوﻟﯿﻦ ﻋﻦ ﺗﻘﺪﯾﻢ اﻟﻤﻨﺘﺠﺎت‬
‫واﻟﺨﺪﻣﺎت اﻷﺳﺎﺳﯿﺔ ﻟﻠﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ .‬ﻣﺜﻞ‪:‬‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ أن ﺗﺴﺘﺨﺪم اﻟﻨﻤﻮذج اﻟﮭﺪف ﻟﻠﺘﻌﺒﯿﺮ ﻋﻦ ﻣﺘﻄﻠﺒﺎت إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ أﻣﺎم ﻣﻘﺪم ﺧﺪﻣﺎت ﺧﺎرﺟﻲ )ﻣﺜﻞ‬
‫ﻣﻘﺪّم ﺧﺪﻣﺔ اﻟﺤﻮﺳﺒﺔ اﻟﺴﺤﺎﺑﯿﺔ اﻟﺘﻲ ﯾﺘﻢ ﺗﺼﺪﯾﺮ اﻟﺒﯿﺎﻧﺎت إﻟﯿﮭﺎ(‪.‬‬
‫ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ أن ﺗﻌﺒّﺮ ﻋﻦ ﺣﺎﻟﺔ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﺪﯾﮭﺎ ﻋﻦ طﺮﯾﻖ اﻟﻨﻤﻮذج اﻟﺮاھﻦ ﻹﻋﺪاد ﺗﻘﺮﯾﺮ ﺑﺎﻟﻨﺘﺎﺋﺞ أو ﻟﻤﻘﺎرﻧﺔ ﻣﻊ‬
‫ﻣﺘﻄﻠﺒﺎت اﻻﻛﺘﺴﺎب‬
‫ﯾﻤﻜﻦ ﻟﺼﺎﺣﺐ\ﻣﺸﻐّﻞ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ ،‬ﺑﻌﺪ ﺗﺤﺪﯾﺪه ﻟﻠﺸﺮﯾﻚ اﻟﺨﺎرﺟﻲ اﻟﺬي ﺗﻌﺘﻤﺪ ﻋﻠﯿﮫ ﺗﻠﻚ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ‪ ،‬أن‬
‫ﯾﺴﺘﺨﺪم اﻟﻨﻤﻮذج اﻟﮭﺪف ﻹﯾﺼﺎل اﻟﺘﺼﻨﯿﻔﺎت واﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ اﻟﻤﻄﻠﻮﺑﺔ‪.‬‬
‫ﯾﻤﻜﻦ ﻟﻘﻄﺎع اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ أن ﺗُﻨﺸـــﻲء ﻣﻠﻒ "ﺻﻮرة ﻧﻤﻮذﺟﯿﺔ" ﺑﺤﯿﺚ ﯾﻤﻜﻦ إﺳﺘﺨﺪاﻣﮫ ﻓﯿﻤﺎ ﺑﯿﻦ أﻋﻀﺎﺋﮭﺎ‬
‫ﻛﺄﺳﺎس أوﻟﻰ وﻣﻌﯿﺎر ﻹﻧﺸﺎء "اﻟﺼﻮرة اﻟﺨﺎﺻﺔ" ﻹﻧﺸــﺎء ﻣﻠﻔﺎﺗﮭﻢ اﻟﻤﺴﺘﮭﺪف‪.‬‬
‫ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ أن ﺗﺪﯾﺮ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﺑﺸﻜﻞ أﻓﻀﻞ ﺑﯿﻦ أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ ﻋﺒﺮ ﺗﻘﯿﯿﻢ وﺿﻌﮭﻢ ﻓﻲ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ‬
‫اﻟﺤﺴﺎﺳﺔ وﻓﻲ اﻻﻗﺘﺼﺎد اﻟﺮﻗﻤﻲ اﻷوﺳﻊ‪ ،‬وذﻟﻚ ﻣﻦ ﺧﻼل اﺳﺘﺨﺪام ﻣﺮاﺣﻞ اﻟﺘﻄﺒﯿﻖ‪.‬‬
‫ﯾﺸ ّﻜﻞ اﻟﺘﻮاﺻﻞ ﺟﺰ ًءا ﻣﮭ ًﻤﺎ ﺟﺪًا ﺑﯿﻦ أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ ﻓﻲ أﻋﻠﻰ وأﺳﻔﻞ ﺳﻼﺳﻞ اﻹﻣﺪاد‪ .‬ﺳﻼﺳﻞ اﻹﻣﺪاد ھﻲ ﻣﺠﻤﻮﻋﺎت ﻣﻌﻘﺪة‬
‫وﻣﻮزﻋﺔ ﻋﺎﻟﻤﯿًﺎ وﻣﺘﺪاﺧﻠﺔ ﻣﻦ اﻟﻤﺼﺎدر واﻟﻌﻤﻠﯿﺎت ﺑﯿﻦ ﻋﺪة ﻣﺴﺘﻮﯾﺎت ﻣﻦ اﻟﻤﻨﻈﻤﺎت‪ .‬ﺗﺒﺪأ ﺳﻼﺳﻞ اﻹﻣﺪاد ﺑﺎﻟﺤﺼﻮل ﻋﻠﻰ اﻟﻤﻨﺘﺠﺎت‬
‫ﻧﻈﺮا إﻟﻰ ھﺬه‬
‫واﻟﺨﺪﻣﺎت‪ ،‬وﺗﻤﺘﺪ ﻣﻦ ﺗﺼﻤﯿﻢ اﻟﻤﻨﺘﺠﺎت واﻟﺨﺪﻣﺎت وﺗﻄﻮﯾﺮھﺎ وﺗﺼﻨﯿﻌﮭﺎ وﻣﻌﺎﻟﺠﺘﮭﺎ وإﯾﺼﺎﻟﮭﺎ إﻟﻰ اﻟﻤﺴﺘﺨﺪم اﻟﻨﮭﺎﺋﻲ‪ً .‬‬
‫اﻟﻌﻼﻗﺎت اﻟﻤﻌﻘﺪة واﻟﻤﺘﺪاﺧﻠﺔ‪ ،‬ﻓﺈن إدارة ﻣﺨﺎطﺮ ﺳﻼﺳﻞ اﻹﻣﺪاد )‪ (SCRM‬ﺗُﻌﺪّ وظﯿﻔﺔ ﻣﻨﻈﻤﯿﺔ ﺣﺴﺎﺳﺔ‪.‬‬
‫‪15‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫إدارة ﻣﺨﺎطﺮ ﺳﻼﺳﻞ اﻹﻣﺪاد اﻟﺴﺒﺮاﻧﯿﺔ )‪ (Cyber SCRM‬ھﻲ ﻣﺠﻤﻮﻋﺔ ﻣﻦ اﻟﻨﺸﺎطﺎت اﻟﻀﺮورﯾﺔ ﻹدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‬
‫اﻟﻤﺮﺗﺒﻄﺔ ﺑﺎﻷطﺮاف اﻟﺨﺎرﺟﯿﺔ‪ .‬وﺑﺸﻜﻞ أﺧﺺ‪ ،‬ﺗﺘﻌﺎﻣﻞ إدارة ﻣﺨﺎطﺮ ﺳﻼﺳﻞ اﻹﻣﺪاد اﻟﺴﺒﺮاﻧﯿﺔ ﻣﻊ ﻛﻞ ﻣﻦ ﺗﺄﺛﯿﺮات اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫اﻟﺘﻲ ﺗﻤﺘﻠﻜﮭﺎ اﻟﻤﻨﻈﻤﺔ ﻋﻠﻰ اﻷطﺮاف اﻟﺨﺎرﺟﯿﺔ‪ ،‬وﺗﺄﺛﯿﺮات اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﺘﻲ ﺗﻤﺘﻠﻜﮭﺎ اﻷطﺮاف اﻟﺨﺎرﺟﯿﺔ ﻋﻠﻰ اﻟﻤﻨﻈﻤﺔ‪.‬‬
‫أﺣﺪ اﻷھﺪاف اﻷﺳﺎﺳﯿﺔ ﻹدارة ﻣﺨﺎطﺮ ﺳﻼﺳﻞ اﻹﻣﺪاد اﻟﺴﺒﺮاﻧﯿﺔ ھﻮ ﺗﺤﺪﯾﺪ وﺗﻘﯿﯿﻢ وﺗﺨﻔﯿﻒ ﺧﻄﺮ "اﻟﻤﻨﺘﺠﺎت واﻟﺨﺪﻣﺎت اﻟﺘﻲ ﻗﺪ‬
‫ﺗﺤﺘﻮي ﻋﻠﻰ وظﺎﺋﻒ ﺧﺒﯿﺜﺔ ﻣﺤﺘﻤﻠﺔ‪ ،‬أو ﻗﺪ ﺗﻜﻮن زاﺋﻔﺔ‪ ،‬أو ﻗﺪ ﺗﻜﻮن ﻋﺮﺿﺔ ﻟﻠﻤﺨﺎطﺮ ﺑﺴﺒﺐ ﻣﻤﺎرﺳﺎت اﻟﺘﺼﻨﯿﻊ واﻟﺘﻄﻮﯾﺮ اﻟﺮدﯾﺌﺔ‬
‫ﺿﻤﻦ ﺳﻠﺴﻠﺔ اﻹﻣﺪاد اﻟﺴﺒﺮاﻧﯿﺔ‪ ".‬ﻗﺪ ﺗﺤﺘﻮي إدارة ﺳﻼﺳﻞ اﻹﻣﺪاد اﻟﺴﺒﺮاﻧﯿﺔ ﻋﻠﻰ اﻟﻨﺸﺎطﺎت اﻟﺘﺎﻟﯿﺔ‪:‬‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫اﻟﻤﻮردﯾﻦ‬
‫وﺿﻊ ﻣﺘﻄﻠﺒﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﻤﻄﻠﻮﺑﺔ ﻣﻦ‬
‫ّ‬
‫ّ‬
‫ﺳﻦ ﻣﺘﻄﻠﺒﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻣﻦ ﺧﻼل اﻻﺗﻔﺎﻗﯿﺎت اﻟﺮﺳﻤﯿﺔ )ﻣﺜﻞ اﻟﻌﻘﻮد(‬
‫اﻟﻤﻮردﯾﻦ ﺑﺸﺄن ﻛﯿﻔﯿﺔ اﻟﺘﺤﻘﻖ ﻣﻦ ﺗﻠﻚ اﻟﻤﺘﻄﻠﺒﺎت وﻛﯿﻔﯿﺔ اﻟﻤﺼﺎدﻗﺔ ﻋﻠﯿﮭﺎ‬
‫اﻟﺘﺤﺪث ﻣﻊ‬
‫ّ‬
‫اﻟﺘﺤﻘﻖ ﻣﻦ أن ﻣﺘﻄﻠﺒﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﯾﺘﻢ اﻻﻟﺘﺰام ﺑﮭﺎ ﻣﻦ ﺧﻼل ﻣﻨﮭﺠﯿﺎت ﻣﺘﻌﺪدة ﻟﻠﺘﻘﯿﯿﻢ‬
‫ﺣﻮﻛﻤﺔ وإدارة اﻟﻨﺸﺎطﺎت اﻟﻤﺬﻛﻮرة أﻋﻼه‬
‫ﻛﻤﺎ ھﻮ ﻣﺒﯿﻦ ﻓﻲ اﻟﺸﻜﻞ رﻗﻢ )‪ ،(3‬ﺗﺸﻤﻞ إدارة ﻣﺨﺎطﺮ ﺳﻼﺳﻞ اﻹﻣﺪاد اﻟﺴﺒﺮاﻧﯿﺔ )‪ (Cyber SCRM‬ﻣﻮردي اﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ‬
‫واﻟﻤﺸﺘﺮﯾﻦ‪ ،‬ﻓﻀﻼ ﻋﻦ اﻟﻤﻮردﯾﻦ واﻟﻤﺸﺘﺮﯾﻦ ﻟﻠﻤﻮاد ﻏﯿﺮ اﻟﺘﻜﻨﻮﻟﻮﺟﯿﺔ‪ ،‬ﺣﯿﺚ ﺗﻤﺜﻞ ﺗﻜﻨﻮﻟﻮﺟﯿﺎ اﻟﻤﻌﻠﻮﻣﺎت )‪ (IT‬اﻟﺤﺪ اﻷدﻧﻰ‬
‫ﻟﻠﺘﻜﻨﻮﻟﻮﺟﯿﺎ‪ ،‬وأﻧﻈﻤﺔ اﻟﺘﺤﻜﻢ اﻟﺼﻨﺎﻋﯿﺔ )‪ (ICS‬اﻟﻨﻈﻢ اﻟﻔﯿﺰﯾﺎﺋﯿﺔ اﻟﺴﯿﺒﺮاﻧﯿﺔ‪ ،‬واﻷﺟﮭﺰة اﻟﻤﻮﺻﻠﺔ ﺑﺸﻜﻞ أﻛﺜﺮ ﻋﻤﻮﻣﺎ‪ ،‬ﺑﻤﺎ ﻓﻲ ذﻟﻚ‬
‫"ﺷﺒﻜﺔ اﻹﻧﺘﺮﻧﺖ ﻣﻦ اﻷﻣﻮر" )‪(IoT‬وﯾﺼﻮر اﻟﺸﻜﻞ رﻗﻢ )‪ (3‬ﻣﻨﻈﻤﺔ ﻓﻲ ﻧﻘﻄﺔ واﺣﺪة ﻓﻲ اﻟﻮﻗﺖ اﻟﻤﺤﺪد‪ .‬وﻣﻊ ذﻟﻚ‪ ،‬ﻓﻤﻦ ﺧﻼل‬
‫اﻟﻤﺴﺎر اﻟﻌﺎدي ﻟﻠﻌﻤﻠﯿﺎت اﻟﺘﺠﺎرﯾﺔ‪ ،‬ﻓﺴﺘﻤﺜﻞ ﻣﻌﻈﻢ اﻟﻤﻨﻈﻤﺎت ﻛﻼ ﻣﻦ دور اﻟﻤﻮرد "اﻟﻤﻨﺒﻊ" و دور اﻟﻤﺸﺘﺮي "اﻟﻤﺼﺐ" ﻓﻲ إطﺎر‬
‫ﻋﻼﻗﺎﺗﮭﺎ ﺑﺎﻟﻤﻨﻈﻤﺎت اﻷﺧﺮى أو ﺑﺎﻟﻤﺴﺘﺨﺪﻣﯿﻦ اﻟﻨﮭﺎﺋﯿﯿﻦ‪.‬‬
‫_______________________‬
‫اﻟﺘﻮاﺻﻞ ﺑﺸﺄن "ﻣﺘﻄﻠﺒﺎت اﻷﻣﻦ اﻟﺴـﯿﺒﺮاﻧﻲ" )اﻟﻘﺴــﻢ ‪ (3-3‬وﻗﺮارات اﻟﺸﺮاء )اﻟﻘﺴــﻢ ‪ (3.4‬ﯾﻌﺎﻟﺠﺎن ﻓﻘﻂ إطﺎرﯾﻦ ﻟﻺﺳﺘﺨﺪام ﻣﻦ إطﺎرات‬
‫‪11‬‬
‫ﻣﺨﺎطﺮ ﺳﻼﺳﻞ اﻹﻣﺪاد اﻟﺴﺒﺮاﻧﯿﺔ )‪ (Cyber SCRM‬وﻻ ﺗﮭﺪف إﻟﻰ ﻣﻌﺎﻟﺠﺔ ﻣﺨﺎطﺮ ﺳﻼﺳﻞ اﻹﻣﺪاد اﻟﺴﺒﺮاﻧﯿﺔ )‪ (Cyber SCRM‬ﺑﺼﻮرة ﺷﺎﻣﻠﺔ‪.‬‬
‫اﻟﻤﻨﺸﻮر اﻟﺨﺎص اﻟﺼﺎدر ﻋﻦ اﻟﻤﻌﮭﺪ اﻟﻮطﻨﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ ‪ NIST‬رﻗﻢ ‪" ،160-800‬ﻣﻤﺎرﺳﺎت ﺗﺄﻣﯿﻦ ﻣﺨﺎطﺮ ﺳﻠﺴﻠﺔ اﻟﻤﻮردﯾﻦ ﻟﻨﻈﻢ‬
‫‪12‬‬
‫اﻟﻤﻌﻠﻮﻣﺎت اﻹﺗﺤﺎدﯾﺔ واﻟﻤﻨﻈﻤﺎت‪ ،‬ﺗﺄﻟﯿﻒ ﺑﻮﯾﻨﺰ وآﺧﺮﯾﻦ‪ ،‬إﺑﺮﯾﻞ }ﻧﯿﺴﺎن{ ﻋﺎم ‪ ،2015‬اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ‪:‬‬
‫‪https://doi.org/10.6028/NIST.SP.800-161‬‬
‫‪16‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫ﺷﻜﻞ رﻗــﻢ )‪ :(3‬ﻋﻼﻗﺎت ﺳﻠﺴﻠﺔ اﻹﻣﺪاد اﻟﺴﺒﺮاﻧﯿﺔ‬
‫اﻟﺪور اﻟﻤﺤﻮري اﻟﺬي ﺗﻠﻌﺒﮫ إدارة ﻣﺨﺎطﺮ‬
‫ﺗﺸ ّﻜﻞ اﻷطﺮاف اﻟﻤﻮﺻﻮﻓﺔ ﻓﻲ اﻟﺸﻜﻞ ‪ 3‬ﺑﯿﺌﺔَ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻠﻤﻨﻈﻤﺔ‪ .‬ﺗُﺒﺮز ھﺬه اﻟﻌﻼﻗﺎت‬
‫َ‬
‫ﺳﻼﺳﻞ اﻹﻣﺪاد اﻟﺴﺒﺮاﻧﯿﺔ ﻓﻲ اﻟﺘﻌﺎﻣﻞ ﻣﻊ ﻣﺨﺎطﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻓﻲ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ وﻓﻲ اﻻﻗﺘﺼﺎد اﻟﺮﻗﻤﻲ اﻷوﺳﻊ‪ .‬ھﺬه‬
‫اﻟﻌﻼﻗﺎت‪ ،‬وﻣﺎ ﺗﻘﺪﻣﮫ ﻣﻦ ﻣﻨﺘﺠﺎت وﺧﺪﻣﺎت‪ ،‬وﻣﺎ ﺗﺸﺘﻤﻞ ﻋﻠﯿﮫ ﻣﻦ ﻣﺨﺎطﺮ‪ ،‬ﻛﻞ ذﻟﻚ ﯾﻨﺒﻐﻲ ﺗﺤﺪﯾﺪه وﺗﻘﺴﯿﻤﮫ إﻟﻰ إﻣﻜﺎﻧﯿﺎت وﻗﺎﺋﯿﺔ‬
‫ودﻓﺎﻋﯿﺔ ﻟﻠﻤﻨﻈﻤﺔ‪ ،‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ﺑﺮوﺗﻮﻛﻮﻻﺗﮭﺎ اﻟﺨﺎﺻﺔ ﺑﺎﻻﺳﺘﺠﺎﺑﺔ واﻻﺳﺘﻌﺎدة‪.‬‬
‫ﻓﻲ اﻟﺸﻜﻞ أﻋﻼه‪ ،‬ﯾﺸﯿﺮ "اﻟﻤﺸﺘﺮي" إﻟﻰ اﻟﻤﻨﻈﻤﺎت أو اﻷﺷﺨﺎص اﻟﺬﯾﻦ ﯾﺴﺘﮭﻠﻜﻮن ﻣﻨﺘ ًﺠﺎ أو ﺧﺪﻣﺔً ﻣﺎ ﻣﻦ ﻣﻨﻈﻤﺔ أﺧﺮى‪ ،‬وﯾﺸﻤﻞ‬
‫ذﻟﻚ ً‬
‫"اﻟﻤﻮرد" ﻓﯿﺸﻤﻞ ﻣﻘﺪّﻣﻲ اﻟﻤﻨﺘﺠﺎت واﻟﺨﺪﻣﺎت اﻟﻤﺴﺘﺨﺪﻣﺔ ﻓﻲ اﻟﻌﻤﻠﯿﺎت اﻟﺪاﺧﻠﯿﺔ‬
‫ﻛﻼ ﻣﻦ اﻟﻤﻨﻈﻤﺎت اﻟﺮﺑﺤﯿﺔ وﻏﯿﺮ اﻟﺮﺑﺤﯿﺔ‪ .‬أﻣﺎ‬
‫ّ‬
‫ﻟﻠﻤﻨﻈﻤﺎت )ﻣﺜﻞ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ ﻟﺘﻘﻨﯿﺔ اﻟﻤﻌﻠﻮﻣﺎت(‪ ،‬أو اﻟﻤﺪﻣﺠﺔ ﻣﻊ اﻟﻤﻨﺘﺠﺎت أو اﻟﺨﺪﻣﺎت اﻟﻤﻘﺪﻣﺔ إﻟﻰ اﻟﻤﺸﺘﺮي‪ .‬ﺗﻨﻄﺒﻖ ھﺬه اﻟﺘﺴﻤﯿﺎت‬
‫ﻋﻠﻰ ﻛ ٍّﻞ ﻣﻦ اﻟﻤﻨﺘﺠﺎت واﻟﺨﺪﻣﺎت اﻟﻤﻌﺘﻤﺪة ﻋﻠﻰ اﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ وﻏﯿﺮ اﻟﻤﻌﺘﻤﺪة ﻋﻠﻰ اﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ‪.‬‬
‫ﺳﻮاء ﻛﺎن اﻻھﺘﻤﺎم ﺑﺘﺼﻨﯿﻔﺎت ﻓﺮﻋﯿﺔ ﻓﺮدﯾﺔ ﻣﻦ ﻧﻮاة إطﺎر اﻟﻌﻤﻞ أم ﺑﺎﻻﻋﺘﺒﺎرات اﻟﺸﺎﻣﻠﺔ ﻟﻠﻨﻤﻮذج‪ ،‬ﻓﺈن إطﺎر اﻟﻌﻤﻞ ﯾﻮﻓّﺮ ﻟﻠﻤﻨﻈﻤﺎت‬
‫وﻟﺸﺮﻛﺎﺋﮭﻢ ﻣﻨﮭﺠﯿﺔ ﺗﺴﺎﻋﺪھﻢ ﻓﻲ اﻟﺘﺄﻛﺪ ﻣﻦ أن اﻟﻤﻨﺘﺞ او اﻟﺨﺪﻣﺔ ﺗﺘﻮاﻓﻖ ﻣﻊ اﻟﻤﺨﺮﺟﺎت اﻷﻣﻨﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ .‬ﻣﻦ ﺧﻼل اﻟﺒﺪء ﻣﻦ اﺧﺘﯿﺎر‬
‫اﻟﻤﺨﺮﺟﺎت ذات اﻟﻌﻼﻗﺔ ﺑﺎﻟﺴﯿﺎق )ﻣﺜﻞ ﻧﻘﻞ اﻟﻤﻌﻠﻮﻣﺎت اﻟﺸﺨﺼﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ ،‬ﺗﻮﻓﯿﺮ اﻟﺨﺪﻣﺎت اﻟﺤﺴﺎﺳﺔ‪ ،‬ﺧﺪﻣﺎت اﻟﺘﺤﻘﻖ ﻣﻦ اﻟﺒﯿﺎﻧﺎت‪،‬‬
‫ﺳﻼﻣﺔ اﻟﻤﻨﺘﺠﺎت أو اﻟﺨﺪﻣﺎت(‪ ،‬ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ أن ﺗﻘﯿّﻢ ﺷﺮﻛﺎءھﺎ ﺑﻨﺎ ًء ﻋﻠﻰ ﺗﻠﻚ اﻟﻤﻌﺎﯾﯿﺮ‪ً .‬‬
‫ﻓﻤﺜﻼ‪ ،‬إذا ﻛﺎﻧﺖ اﻟﻤﻨﻈﻤﺔ ﻓﻲ ﺻﺪد ﺷﺮاء‬
‫ﻧﻈﺎم ﻣﺎ ﯾﻘﻮم ﺑﻤﺮاﻗﺒﺔ اﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ اﻟﺘﺸﻐﯿﻠﯿﺔ )‪ (Operational Technology, OT‬ﻻﺗﺼﺎﻻت اﻟﺸﺒﻜﺔ ﻏﯿﺮ اﻟﻄﺒﯿﻌﯿﺔ‪ ،‬ﻓﺈن اﻟﺘﻮﻓّﺮ‬
‫ﻣﻮرد اﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ‬
‫)‪ (Availability‬ﻗﺪ ﯾﻜﻮن ھﺪﻓًﺎ ﻣﮭ ًﻤﺎ ﻟﻸﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﯾﻨﺒﻐﻲ ﺗﺤﻘﯿﻘﮫ‪ ،‬ﻛﻤﺎ ﯾﻨﺒﻐﻲ أن ﯾﺪﻓﻊ ھﺬا اﻟﮭﺪف ﻧﺤﻮ ﺗﻘﯿﯿﻢ ّ‬
‫ﺑﻨﺎ ًء ﻋﻠﻰ اﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ ذات اﻟﻌﻼﻗﺔ )ﻣﺜﻞ ‪ID.BE-4, ID.SC-3, ID.SC-4, ID.SC-5, PR.DS-6, PR.DS-7,‬‬
‫‪.(PR.DS-8, PR.IP-1, DE.AE-5‬‬
‫‪17‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫‪3.4‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫ﻗﺮارات اﻟﺸﺮاء‬
‫ﺑﻤﺎ أن اﻟﻨﻤﻮذج اﻟﮭﺪف ھﻮ ﻋﺒﺎرة ﻋﻦ ﻗﺎﺋﻤﺔ ﻣﻦ ﻣﺘﻄﻠﺒﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﻤﺮﺗﺒﺔ ﺣﺴﺐ اﻷوﻟﻮﯾﺔ‪ ،‬ﯾﻤﻜﻦ اﺳﺘﺨﺪاﻣﮫ ﻓﻲ دراﺳﺔ‬
‫اﻟﻘﺮارات اﻟﻤﺘﻌﻠﻘﺔ ﺑﺸﺮاء اﻟﻤﻨﺘﺠﺎت واﻟﺨﺪﻣﺎت‪ .‬ﺗﺨﺘﻠﻒ ھﺬه اﻟﻌﻤﻠﯿﺔ ﻋﻦ إﺑﻼغ أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ ﺑﻤﺘﻄﻠﺒﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫اﻟﻤﻮرد‪ .‬ﯾﻨﺒﻐﻲ أن ﯾﻜﻮن اﻟﮭﺪف‬
‫)اﻟﻤﺬﻛﻮرة ﻓﻲ اﻟﻘﺴﻢ ‪ (3.3‬ﻣﻦ ﺣﯿﺚ أﻧﮫ ﻗﺪ ﯾﻜﻮن ﻣﻦ اﻟﻤﺤﺎل ﻓﺮض ﻣﺘﻄﻠﺒﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻋﻠﻰ‬
‫ّ‬
‫ﻣﻮردﯾﻦ‪ ،‬اﻋﺘﻤﺎدًا ﻋﻠﻰ ﻗﺎﺋﻤﺔ ﻣﻦ ﻣﺘﻄﻠﺒﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﺗﻢ وﺿﻌﮭﺎ ﺑﻌﻨﺎﯾﺔ‪ .‬ﻗﺪ‬
‫ھﻮ اﺗﺨﺎذ أﻓﻀﻞ ﻗﺮار ﻟﻠﺸﺮاء ﻣﻦ ﺑﯿﻦ ﻣﺠﻤﻮﻋﺔ ّ‬
‫ﯾﻌﻨﻲ ذﻟﻚ ﻓﻲ أﻏﻠﺐ اﻷﺣﯿﺎن اﻻﺿﻄﺮار إﻟﻰ ﺑﻌﺾ اﻟﻤﻘﺎﯾﻀﺎت‪ ،‬وذﻟﻚ ﺑﻤﻘﺎرﻧﺔ ﻋﺪة ﻣﻨﺘﺠﺎت أو ﺧﺪﻣﺎت ذات ﻓﺠﻮات ﻣﻌﺮوﻓﺔ ﻣﻊ‬
‫اﻟﻨﻤﻮذج اﻟﮭﺪف‪.‬‬
‫ﻋﻨﺪ ﺷﺮاء اﻟﻤﻨﺘﺞ أو اﻟﺨﺪﻣﺔ‪ ،‬ﯾﻤﻜﻦ اﺳﺘﺨﺪام اﻟﻨﻤﻮذج أﯾﻀًﺎ ﻓﻲ ﺗﺘﺒﻊ وﻣﻌﺎﻟﺠﺔ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ اﻟﻤﺘﺒﻘﯿﺔ‪ً .‬‬
‫ﻣﺜﻼ‪ ،‬إذا ﻟﻢ ﯾﻜﻦ اﻟﻤﻨﺘﺞ‬
‫أو اﻟﺨﺪﻣﺔ اﻟﻠﺬﯾﻦ ﺗﻢ ﺷﺮاؤھﻤﺎ ﻻ ﯾﻔﯿﺎن ﺑﻜﺎﻓﺔ اﻟﺸﺮوط اﻟﻤﺬﻛﻮرة ﻓﻲ اﻟﻨﻤﻮذج اﻟﮭﺪف‪ ،‬ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ أن ﺗﻌﺎﻟﺞ اﻟﻤﺨﺎطﺮ اﻟﻤﺘﺒﻘﯿﺔ ﻣﻦ‬
‫ﺧﻼل إﺟﺮاءات إدارﯾﺔ أﺧﺮى‪ .‬ﻛﻤﺎ ﯾﻤﻜﻦ ﻟﻠﻨﻤﻮذج أن ﯾﻮﻓّﺮ ﻟﻠﻤﻨﻈﻤﺔ ﻣﻨﮭﺠﯿﺔ ﻟﺘﻘﯿﯿﻢ ﻣﺎ إذا ﻛﺎن اﻟﻤﻨﺘﺞ ﯾﻔﻲ ﺑﻤﺨﺮﺟﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫ي‪.‬‬
‫ﻣﻦ ﺧﻼل آﻟﯿﺎت اﻟﻤﺮاﺟﻌﺔ واﻻﺧﺘﺒﺎر ﺑﺸﻜﻞ دور ّ‬
‫‪3.5‬‬
‫ﺗﺤﺪﯾﺪ ﻓﺮص اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ اﻟﺠﺪﯾﺪة أو اﻟﻤﻨﻘﺤﺔ‬
‫‪3.6‬‬
‫ﻣﻨﮭﺠﯿﺔ ﻟﺤﻤﺎﯾﺔ اﻟﺨﺼﻮﺻﯿﺔ واﻟﺤﺮﯾﺎت اﻟﻤﺪﻧﯿﺔ‬
‫ﯾﻤﻜﻦ اﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ ﻟﺘﺤﺪﯾﺪ اﻟﻔﺮص اﻟﻤﺘﺎﺣﺔ ﻟﻤﺎ ھﻮ ﺟﺪﯾﺪ أو ﻣﻨﻘّﺢ ﻣﻦ اﻟﻤﻌﺎﯾﯿﺮ أو اﻹرﺷﺎدات أو اﻟﻤﻤﺎرﺳﺎت‪ ،‬ﺣﯿﺚ ﯾﻤﻜﻦ‬
‫ﻟﻠﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ اﻹﺿﺎﻓﯿﺔ أن ﺗﺴﺎﻋﺪ اﻟﻤﻨﻈﻤﺔ ﻓﻲ ﻣﻌﺎﻟﺠﺔ اﻟﺤﺎﺟﺎت اﻟﻤﺴﺘﺠﺪة‪ .‬ﻗﺪ ﺗﻜﺘﺸﻒ اﻟﻤﻨﻈﻤﺔ اﻟﺘﻲ ﺗﻄﺒّﻖ أﺣﺪ اﻟﺘﺼﻨﯿﻔﺎت‬
‫اﻟﻔﺮﻋﯿﺔ‪ ،‬أو اﻟﺘﻲ ﺗﻘﻮم ﺑﺘﻄﻮﯾﺮ ﺗﺼﻨﯿﻒ ﻓﺮﻋﻲ ﺟﺪﯾﺪ‪ ،‬أن ھﻨﺎﻟﻚ ﺑﻌﺾ اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ اﻟﺠﺪﯾﺪة ﻷﺣﺪ اﻟﻨﺸﺎطﺎت ذات اﻟﻌﻼﻗﺔ‪.‬‬
‫ﻟﻠﺘﻌﺎﻣﻞ ﻣﻊ ﺗﻠﻚ اﻟﺤﺎﺟﺔ‪ ،‬ﻗﺪ ﺗﺘﻌﺎون اﻟﻤﻨﻈﻤﺔ ﻣﻊ ﻗﺎدة اﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ و‪/‬أو ﻣﺆﺳﺴﺎت وﺿﻊ اﻟﻤﻌﺎﯾﯿﺮ ﻟﻮﺿﻊ ﻣﺴﻮدة وﺗﻄﻮﯾﺮ وﺗﻨﺴﯿﻖ‬
‫ﻣﻌﺎﯾﯿﺮ أو إرﺷﺎدات أو ﻣﻤﺎرﺳﺎت‪.‬‬
‫ﯾﻘﻮم ھﺬا اﻟﻘﺴﻢ ﺑﻮﺻﻒ ﻣﻨﮭﺠﯿﺔ ﻟﻠﺘﻌﺎﻣﻞ ﻣﻊ ﻣﺴﺎﺋﻞ اﻟﺨﺼﻮﺻﯿﺔ اﻟﻔﺮدﯾﺔ واﻟﺤﺮﯾﺎت اﻟﻤﺪﻧﯿﺔ‪ ،‬واﻟﺘﻲ ﯾﻤﻜﻦ أن ﯾﺘﺴﺒﺐ ﺑﮭﺎ اﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ‪ .‬ﺗﮭﺪف ھﺬه اﻟﻤﻨﮭﺠﯿﺔ ﻷن ﺗﻜﻮن ﻣﺠﻤﻮﻋﺔ ﻋﺎﻣﺔ ﻣﻦ اﻻﻋﺘﺒﺎرات واﻟﻌﻤﻠﯿﺎت‪ ،‬وذﻟﻚ ﻷن ﻣﺴﺎﺋﻞ اﻟﺨﺼﻮﺻﯿﺔ واﻟﺤﺮﯾﺎت‬
‫اﻟﻤﺪﻧﯿﺔ ﻗﺪ ﺗﺨﺘﻠﻒ ﺑﺎﺧﺘﻼف اﻟﻘﻄﺎع أو ﺑﻤﺮور اﻟﺰﻣﻦ‪ ،‬وﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺎت أن ﺗﺘﻌﺎﻣﻞ ﻣﻊ ھﺬه اﻻﻋﺘﺒﺎرات واﻟﻌﻤﻠﯿﺎت ﺑﺎﺳﺘﺨﺪام ﻣﺠﻤﻮﻋﺔ‬
‫ﻣﻦ اﻟﺘﻄﺒﯿﻘﺎت اﻟﺘﻘﻨﯿﺔ‪ .‬ﻋﻠﻰ أﯾﺔ ﺣﺎل‪ ،‬ﻟﯿﺴﺖ ﻛﻞ اﻟﻨﺸﺎطﺎت ﻓﻲ ﺑﺮﻧﺎﻣﺞ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﺗﺜﯿﺮ اﻋﺘﺒﺎرات اﻟﺨﺼﻮﺻﯿﺔ واﻟﺤﺮﯾﺎت‬
‫اﻟﻤﺪﻧﯿﺔ‪ .‬ﻗﺪ ﺗﻜﻮن ھﻨﺎﻟﻚ ﺣﺎﺟﺔ ﻟﺘﻄﻮﯾﺮ ﻣﻌﺎﯾﯿﺮ وإرﺷﺎدات وﻣﻤﺎرﺳﺎت ﻣﺜﻠﻰ إﺿﺎﻓﯿﺔ ﺗﻘﻨﯿﺔ ﺗﺘﻌﻠﻖ ﺑﺎﻟﺨﺼﻮﺻﯿﺔ‪ ،‬وذﻟﻚ ﻣﻦ أﺟﻞ دﻋﻢ‬
‫اﻟﻤﻄﻮرة‪.‬‬
‫اﻟﺘﻄﺒﯿﻘﺎت اﻟﺘﻘﻨﯿﺔ‬
‫ّ‬
‫ﺗﺮﺗﺒﻂ اﻟﺨﺼﻮﺻﯿﺔ ﺑﺎﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ارﺗﺒﺎ ً‬
‫طﺎ وﺛﯿﻘًﺎ‪ ،‬ﻓﻨﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻓﻲ اﻟﻤﻨﻈﻤﺔ ﯾﻤﻜﻦ ان ﺗﺨﻠﻖ ﻣﺨﺎطﺮ ﻋﻠﻰ اﻟﺨﺼﻮﺻﯿﺔ‬
‫واﻟﺤﺮﯾﺎت اﻟﻤﺪﻧﯿﺔ ﻋﻨﺪﻣﺎ ﯾﺘﻢ اﺳﺘﺨﺪام اﻟﻤﻌﻠﻮﻣﺎت اﻟﺸﺨﺼﯿﺔ أو ﺟﻤﻌﮭﺎ أو ﻣﻌﺎﻟﺠﺘﮭﺎ أو ﺻﯿﺎﻧﺘﮭﺎ أو اﻟﻜﺸﻒ ﻋﻨﮭﺎ‪ .‬ﻣﻦ اﻷﻣﺜﻠﺔ ﻋﻠﻰ‬
‫ذﻟﻚ‪ :‬ﻧﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﺘﻲ ﺗﺘﺴﺒﺐ ﻓﻲ ﺟﻤﻊ أو اﻻﺣﺘﻔﺎظ ﺑﻤﻌﻠﻮﻣﺎت ﺷﺨﺼﯿﺔ ﺑﺸﻜﻞ ﯾﻔﻮق اﻟﺤﺎﺟﺔ؛ اﻟﻜﺸﻒ ﻋﻦ أو اﺳﺘﺨﺪام‬
‫ﻣﻌﻠﻮﻣﺎت ﺷﺨﺼﯿﺔ ﻏﯿﺮ ﻣﺘﻌﻠﻘﺔ ﺑﻨﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ؛ ﻧﺸﺎطﺎت ﺗﺨﻔﯿﻒ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ اﻟﺘﻲ ﺗﺘﺴﺒﺐ ﻓﻲ رﻓﺾ اﻟﺨﺪﻣﺔ‬
‫)‪ (Denial of Service‬أو اﻵﺛﺎر اﻷﺧﺮى اﻟﻤﺸﺎﺑﮭﺔ واﻟﻤﺤﺘﻤﻠﺔ‪ ،‬ﺑﻤﺎ ﻓﻲ ذﻟﻚ ﺑﻌﺾ أﻧﻮاع ﻣﺮاﻗﺒﺔ أو رﺻﺪ اﻟﺤﻮادث واﻟﺘﻲ ﻗﺪ ﺗﻤﻨﻊ‬
‫ﺣﺮﯾﺔ اﻟﺘﻌﺒﯿﺮ أو ﺗﻜﻮﯾﻦ اﻟﺠﻤﻌﯿﺎت‪.‬‬
‫ﺗﺘﺤﻤﻞ اﻟﺤﻜﻮﻣﺔ وﻣﺆﺳﺴﺎﺗﮭﺎ ﻣﺴﺆوﻟﯿﺔ ﺣﻤﺎﯾﺔ اﻟﺤﺮﯾﺎت اﻟﻤﺪﻧﯿﺔ اﻟﻨﺎﺷﺌﺔ ﻋﻦ ﻧﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ .‬ﻛﻤﺎ ھﻮ ﻣﺸﺎر إﻟﯿﮫ ﻓﻲ اﻟﻤﻨﮭﺠﯿﺔ‬
‫أﻋﻼه‪ ،‬ﯾﻨﺒﻐﻲ ﻋﻠﻰ اﻟﺤﻜﻮﻣﺔ أو ﻣﺆﺳﺴﺎﺗﮭﺎ اﻟﺘﻲ ﺗﻤﻠﻚ أو ﺗﺸﻐّﻞ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ أن ﯾﻜﻮن ﻟﮭﺎ ﻋﻤﻠﯿﺔ ﻣﻌﺘﻤﺪة ﻟﺪﻋﻢ ﺗﻘﯿّﺪ ﻧﺸﺎطﺎت‬
‫اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﺑﻘﻮاﻧﯿﻦ اﻟﺨﺼﻮﺻﯿﺔ وﺗﻨﻈﯿﻤﺎﺗﮭﺎ وﻣﺘﻄﻠﺒﺎﺗﮭﺎ اﻟﺪﺳﺘﻮرﯾﺔ اﻟﻤﻨﻄﺒﻘﺔ‪.‬‬
‫‪18‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫ﻟﻠﺘﻌﺎﻣﻞ ﻣﻊ ﻣﺴﺎﺋﻞ اﻟﺨﺼﻮﺻﯿﺔ‪ ،‬ﺑﺈﻣﻜﺎن اﻟﻤﻨﻈﻤﺎت أن ﺗﻨﻈﺮ ﻓﻲ ﻛﯿﻒ ﯾﻤﻜﻦ ﻟﺒﺮﻧﺎﻣﺞ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﺪﯾﮭﺎ أن ﯾﺘﻀ ّﻤﻦ ﻣﺒﺎدئ‬
‫اﻟﺨﺼﻮﺻﯿﺔ‪ ،‬ﻣﺜﻞ‪ :‬ﺗﻘﻠﯿﺺ اﻟﺒﯿﺎﻧﺎت أﺛﻨﺎء ﺟﻤﻊ واﻟﻜﺸﻒ ﻋﻦ واﻻﺣﺘﻔﺎظ ﺑﺎﻟﻤﻌﻠﻮﻣﺎت اﻟﺸﺨﺼﯿﺔ اﻟﻤﺘﻌﻠﻘﺔ ﺑﺤﻮادث اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ؛‬
‫ﺼﺎ ﻟﻨﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ؛ اﻟﺸﻔﺎﻓﯿﺔ ﻓﻲ ﺑﻌﺾ‬
‫وﺿﻊ ﺣﺪود ﺧﺎرج ﻧﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻋﻠﻰ أي ﻣﻌﻠﻮﻣﺎت ﯾﺘﻢ ﺟﻤﻌﮭﺎ ﺧﺼﯿ ً‬
‫ﻧﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ؛ ﻣﻮاﻓﻘﺔ اﻷﻓﺮاد واﻟﺘﻌﻮﯾﺾ ﻋﻦ اﻵﺛﺎر اﻟﻌﻜﺴﯿﺔ اﻟﻨﺎﺷﺌﺔ ﻋﻦ اﺳﺘﺨﺪام اﻟﻤﻌﻠﻮﻣﺎت اﻟﺸﺨﺼﯿﺔ ﻓﻲ ﻧﺸﺎطﺎت‬
‫اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ؛ ﺟﻮدة اﻟﺒﯿﺎﻧﺎت وﺳﻼﻣﺘﮭﺎ وأﻣﻨﮭﺎ؛ اﻟﻤﺴﺆوﻟﯿﺔ واﻟﺘﺪﻗﯿﻖ‪.‬‬
‫أﺛﻨﺎء ﻗﯿﺎم اﻟﻤﻨﻈﻤﺔ ﺑﺘﻘﯿﯿﻢ ﻧﻮاة إطﺎر اﻟﻌﻤﻞ ﻓﻲ اﻟﻤﻠﺤــــــﻖ )أ( ﯾﻤﻜﻦ أﺧﺬ اﻟﻌﻤﻠﯿﺎت واﻟﻨﺸﺎطﺎت اﻟﺘﺎﻟﯿﺔ ﻓﻲ ﻋﯿﻦ اﻻﻋﺘﺒﺎر ﻛﻮﺳﯿﻠﺔ‬
‫ﻟﻤﻌﺎﻟﺠﺔ ﻣﺴﺎﺋﻞ اﻟﺨﺼﻮﺻﯿﺔ واﻟﺤﺮﯾﺎت اﻟﻤﺪﻧﯿﺔ اﻟﺴﺎﺑﻖ ذﻛﺮھﺎ ﻓﻲ اﻷﻋﻠﻰ‪:‬‬
‫ﺣﻮﻛﻤﺔ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪:‬‬
‫•‬
‫•‬
‫•‬
‫•‬
‫ﺗﻘﯿﯿﻢ اﻟﻤﻨﻈﻤﺎت ﻟﻠﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ واﻻﺳﺘﺠﺎﺑﺔ ﻟﻠﻤﺨﺎطﺮ اﻟﻤﺤﺘﻤﻠﺔ ﯾﻀﻊ ﻓﻲ ﻋﯿﻦ اﻟﺤﺴﺒﺎن ﻣﺴﺎﺋﻞ اﻟﺨﺼﻮﺻﯿﺔ ﻟﺒﺮﻧﺎﻣﺞ‬
‫اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫اﻷﻓﺮاد ﻣﻤﻦ ﺗﻘﻊ ﻋﻠﻰ ﻋﺎﺗﻘﮭﻢ ﻣﺴﺆوﻟﯿﺎت ﺗﺘﻌﻠﻖ ﺑﺎﻟﺨﺼﻮﺻﯿﺔ اﻟﺴﺒﺮاﻧﯿﺔ ﯾﻌﻤﻠﻮن ﺗﺤﺖ اﻹدارة اﻟﻤﻨﺎﺳﺒﺔ وﯾﺘﻢ ﺗﺪرﯾﺒﮭﻢ ﺑﺸﻜﻞ‬
‫ﺟﯿﺪ‬
‫وﺟﻮد ﻋﻤﻠﯿﺎت ﻟﺪﻋﻢ ﺗﻘﯿﺪ ﻧﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﺑﻘﻮاﻧﯿﻦ اﻟﺨﺼﻮﺻﯿﺔ وﺗﻨﻈﯿﻤﺎﺗﮭﺎ وﻣﺘﻄﻠﺒﺎﺗﮭﺎ اﻟﺪﺳﺘﻮرﯾﺔ اﻟﻤﻨﻄﺒﻘﺔ‬
‫وﺟﻮد ﻋﻤﻠﯿﺎت ﻟﺘﻘﯿﯿﻢ ﺣﺎﻟﺔ ﺗﻄﺒﯿﻖ اﻹﺟﺮاءات واﻟﻀﻮاﺑﻂ اﻟﻤﻨﻈﻤﯿﺔ اﻟﻤﺬﻛﻮرة أﻋﻼه‬
‫ﻣﻨﮭﺠﯿﺎت ﻟﺘﺤﺪﯾﺪ وﺗﻮﺛﯿﻖ وﺗﺼﺮﯾﺢ اﻷﻓﺮاد ﻟﻠﻮﺻﻮل إﻟﻰ اﻷﺻﻮل واﻷﻧﻈﻤﺔ اﻟﻤﻨﻈﻤﯿﺔ‪:‬‬
‫•‬
‫ﯾﺘﻢ اﻷﺧﺬ ﺑﺎﻟﺨﻄﻮات اﻟﻼزﻣﺔ ﻟﺘﺤﺪﯾﺪ وﻣﻌﺎﻟﺠﺔ ﻣﺴﺎﺋﻞ اﻟﺨﺼﻮﺻﯿﺔ ﻓﻲ إﺟﺮاءات إدارة اﻟﮭﻮﯾﺎت واﻟﺘﺤﻜﻢ ﺑﺎﻟﻮﺻﻮل إﻟﻰ‬
‫اﻟﺤﺪ اﻟﺬي ﯾﺘﻀﻤﻦ ﺟﻤﻊ اﻟﻤﻌﻠﻮﻣﺎت اﻟﺸﺨﺼﯿﺔ أو اﻟﻜﺸﻒ ﻋﻨﮭﺎ أو اﺳﺘﺨﺪاﻣﮭﺎ‬
‫إﺟﺮاءات ﻧﺸﺮ اﻟﻮﻋﻲ واﻟﺘﺪرﯾﺐ‪:‬‬
‫•‬
‫•‬
‫ﯾﺘﻢ ﺗﻀﻤﯿﻦ اﻟﻤﻌﻠﻮﻣﺎت اﻟﻤﻨﻄﺒﻘﺔ ﻣﻦ اﻟﺴﯿﺎﺳﺎت اﻟﻤﻨﻈﻤﯿﺔ ﻟﻠﺨﺼﻮﺻﯿﺔ ﻓﻲ ﺗﺪرﯾﺐ وﻧﺸﺎطﺎت زﯾﺎدة وﻋﻲ اﻟﻘﻮى اﻟﻌﺎﻣﻠﺔ ﻓﻲ‬
‫اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫ﻣﻘﺪّﻣﻮ اﻟﺨﺪﻣﺔ اﻟﺬﯾﻦ ﯾﻘﺪﻣﻮن ﺧﺪﻣﺎت ﺗﺘﻌﻠﻖ ﺑﺎﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻠﻤﻨﻈﻤﺔ ﻋﻠﻰ دراﯾﺔ ﺑﺴﯿﺎﺳﺎت اﻟﺨﺼﻮﺻﯿﺔ ذات اﻟﻌﻼﻗﺔ ﻓﻲ‬
‫اﻟﻤﻨﻈﻤﺔ‬
‫رﺻﺪ اﻟﻨﺸﺎطﺎت اﻟﻐﺮﯾﺒﺔ وﻣﺮاﻗﺒﺔ اﻷﻧﻈﻤﺔ واﻷﺻﻮل‪:‬‬
‫•‬
‫وﺟﻮد ﻋﻤﻠﯿﺎت ﻟﻤﺮاﺟﻌﺔ ﻣﺴﺄﻟﺔ اﻟﺨﺼﻮﺻﯿﺔ ﻓﻲ ﻋﻤﻠﯿﺎت رﺻﺪ اﻟﻨﺸﺎطﺎت اﻟﻐﺮﯾﺒﺔ وﻣﺮاﻗﺒﺔ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫ﻧﺸﺎطﺎت اﻻﺳﺘﺠﺎﺑﺔ‪ ،‬ﺑﻤﺎ ﻓﻲ ذﻟﻚ ﻣﺸﺎرﻛﺔ اﻟﻤﻌﻠﻮﻣﺎت أو اﻟﺠﮭﻮد اﻷﺧﺮى ﻟﺘﻘﻠﯿﻞ اﻟﻤﺨﺎطﺮ‪:‬‬
‫•‬
‫•‬
‫‪19‬‬
‫وﺟﻮد ﻋﻤﻠﯿﺎت ﻟﺘﻘﯿﯿﻢ وﻣﻌﺎﻟﺠﺔ ﻣﺎ إذا ﻛﺎﻧﺖ اﻟﻤﻌﻠﻮﻣﺎت اﻟﺸﺨﺼﯿﺔ ﯾﺘﻢ ﻣﺸﺎرﻛﺘﮭﺎ ﺧﺎرج اﻟﻤﻨﻈﻤﺔ ﻛﺠﺰء ﻣﻦ ﻧﺸﺎطﺎت ﻣﺸﺎرﻛﺔ‬
‫ﻣﻌﻠﻮﻣﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ ،‬وﻣﺪى ھﺬه اﻟﻤﺸﺎرﻛﺔ وﺗﻮﻗﯿﺘﮭﺎ وﻛﯿﻔﯿﺘﮭﺎ‬
‫وﺟﻮد ﻋﻤﻠﯿﺎت ﻟﻤﺮاﺟﻌﺔ ﻣﺴﺄﻟﺔ اﻟﺨﺼﻮﺻﯿﺔ ﻓﻲ ﺟﮭﻮد ﺗﺨﻔﯿﻒ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻓﻲ اﻟﻤﻨﻈﻤﺔ‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫‪ 4.0‬اﻟﺘﻘﯿﯿﻢ اﻟﺬاﺗﻲ ﻟﻠﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﺑﺎﺳﺘﺨﺪام إطﺎر اﻟﻌﻤﻞ‬
‫إن إطﺎر ﻋﻤﻞ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻣﺼﻤﻢ ﻟﻠﺘﻘﻠﯿﻞ ﻣﻦ اﻟﻤﺨﺎطﺮ ﻣﻦ ﺧﻼل ﺗﻄﻮﯾﺮ إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻋﻠﻰ أھﺪاف اﻟﻤﻨﻈﻤﺔ‪ .‬ﻓﻲ‬
‫اﻟﺤﺎﻟﺔ اﻟﻤﺜﺎﻟﯿﺔ‪ ،‬ﺳﺘﺴﺘﻄﯿﻊ اﻟﻤﻨﻈﻤﺔ أن ﺗﺴﺘﺨﺪم إطﺎر اﻟﻌﻤﻞ ﻟﻘﯿﺎس اﻟﻤﺨﺎطﺮ اﻟﻲ ﺗﻮاﺟﮭﮭﺎ وﻟﻮﺿﻊ ﻗﯿﻢ ﻟﮭﺎ‪ ،‬وذﻟﻚ إﻟﻰ ﺟﺎﻧﺐ اﻟﺘﻜﺎﻟﯿﻒ‬
‫واﻟﻔﻮاﺋﺪ اﻟﺨﺎﺻﺔ ﺑﺎﻟﺨﻄﻮات اﻟﻤﺘﺒﻌﺔ ﻟﻠﺘﻘﻠﯿﻞ ﻣﻦ اﻟﻤﺨﺎطﺮ إﻟﻰ درﺟﺔ ﻣﻘﺒﻮﻟﺔ‪ .‬ﻛﻠﻤﺎ ﻛﺎﻧﺖ اﻟﻤﻨﻈﻤﺔ أﻓﻀﻞ ﻓﻲ ﻗﺪرﺗﮭﺎ ﻋﻠﻰ ﻗﯿﺎس‬
‫اﻟﻤﺨﺎطﺮ واﻟﺘﻜﺎﻟﯿﻒ واﻟﻔﻮاﺋﺪ اﻟﺨﺎﺻﺔ ﺑﺎﺳﺘﺮاﺗﯿﺠﯿﺎت وﺧﻄﻮات اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ ،‬ﻛﻠﻤﺎ ﻛﺎﻧﺖ ﻣﻨﮭﺠﯿﺘﮭﺎ واﺳﺘﺜﻤﺎراﺗﮭﺎ ﻓﻲ اﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ أﻛﺜﺮ ﻋﻘﻼﻧﯿﺔ وﻓﻌﺎﻟﯿﺔ وﻗﯿﻤﺔ‪.‬‬
‫ﯾﻄﻮر اﻟﺘﻘﯿﯿﻢ اﻟﺬاﺗﻲ واﻟﻘﯿﺎﺳﺎت ﻣﻦ ﻋﻤﻠﯿﺎت ﺻﻨﻊ اﻟﻘﺮار اﻟﻤﺘﻌﻠﻖ ﺑﺄوﻟﻮﯾﺎت اﻻﺳﺘﺜﻤﺎر‪ً .‬‬
‫ﻓﻤﺜﻼ‪ ،‬ﻗﯿﺎس – أو‬
‫ﺑﻤﺮور اﻟﻮﻗﺖ‪ ،‬ﯾﻨﺒﻐﻲ أن ّ‬
‫ﻋﻠﻰ اﻷﻗﻞ اﻟﺘﻮﺻﯿﻒ اﻟﺪﻗﯿﻖ – ﺟﻮاﻧﺐ ﺣﺎﻟﺔ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻠﻤﻨﻈﻤﺔ واﺗﺠﺎھﺎﺗﮭﺎ ﻋﺒﺮ اﻟﺰﻣﻦ – أو اﻟﺘﻮﺻﯿﻒ اﻟﺪﻗﯿﻖ ﻟﮭﺎ ﻋﻠﻰ اﻷﻗﻞ‬
‫واﻟﻤﻮردﯾﻦ واﻟﻤﺸﺘﺮﯾﻦ واﻷطﺮاف اﻷﺧﺮى‪.‬‬
‫– ﺑﺈﻣﻜﺎﻧﮫ أن ﯾﺘﯿﺢ ﻟﻠﻤﻨﻈﻤﺔ ﻓﮭﻢ ﻣﻌﻠﻮﻣﺎت ذات ﻣﻌﻨﻰ ﻋﻦ اﻟﻤﺨﺎطﺮ وﻧﻘﻠﮭﺎ إﻟﻰ اﻟﺘﺎﺑﻌﯿﻦ‬
‫ّ‬
‫ﯾﻤﻜﻦ ﻟﻠﻤﻨﻈﻤﺔ أن ﺗﻨﺠﺰ ذﻟﻚ داﺧﻠﯿًﺎ أو ﻋﻦ طﺮﯾﻖ اﻻﺳﺘﻌﺎﻧﺔ ﺑﻄﺮف ﺛﺎﻟﺚ ﻟﻠﻘﯿﺎم ﺑﺎﻟﺘﻘﯿﯿﻢ‪ .‬إذا ﺗﻢ ذﻟﻚ ﺑﻄﺮﯾﻘﺔ ﺻﺤﯿﺤﺔ ﻣﻊ إدراك ﻷوﺟﮫ‬
‫اﻟﻘﺼﻮر‪ ،‬ﯾﻤﻜﻦ ﻟﮭﺬه اﻟﻘﯿﺎﺳﺎت أن ﺗﻜﻮن ﻗﺎﻋﺪة ﻟﻌﻼﻗﺎت ﻗﻮﯾﺔ ﻣﺒﻨﯿﺔ ﻋﻠﻰ اﻟﺜﻘﺔ داﺧﻞ وﺧﺎرج اﻟﻤﻨﻈﻤﺔ ﻋﻠﻰ ﺣﺪ ﺳﻮاء‪.‬‬
‫ﻻﺧﺘﺒﺎر ﻓﻌﺎﻟﯿﺔ اﻻﺳﺘﺜﻤﺎرات‪ ،‬ﯾﺠﺐ ﻋﻠﻰ اﻟﻤﻨﻈﻤﺔ ً‬
‫أوﻻ أن ﺗﻤﺘﻠﻚ ﻓﮭ ًﻤﺎ واﺿ ًﺤﺎ ﻷھﺪاﻓﮭﺎ اﻟﻤﻨﻈﻤﯿﺔ‪ ،‬وﻟﻠﻌﻼﻗﺔ ﺑﯿﻦ ﺗﻠﻚ اﻷھﺪاف وﺑﯿﻦ‬
‫ﻣﺨﺮﺟﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﺪاﻋﻤﺔ‪ ،‬وﻟﻠﻜﯿﻔﯿﺔ اﻟﺘﻲ ﯾﺘﻢ ﺑﮭﺎ ﺗﻄﺒﯿﻖ وإدارة ﺗﻠﻚ اﻟﻤﺨﺮﺟﺎت اﻟﻤﻨﻔﺼﻠﺔ ﻋﻦ ﺑﻌﻀﮭﺎ‪ .‬ﻓﻲ ﺣﯿﻦ أن ﻗﯿﺎس‬
‫ﻛﻞ ﺗﻠﻚ اﻟﻌﻨﺎﺻﺮ ﯾﻘﻊ ﺧﺎرج ﻧﻄﺎق إطﺎر اﻟﻌﻤﻞ ھﺬا‪ ،‬إﻻ أن ﻣﺨﺮﺟﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻨﻮاة إطﺎر اﻟﻌﻤﻞ ﺗﺪﻋﻢ اﻟﺘﻘﯿﯿﻢ اﻟﺬاﺗﻲ ﻟﻔﻌﺎﻟﯿﺔ‬
‫اﻻﺳﺘﺜﻤﺎر وﻧﺸﺎطﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻣﻦ ﺧﻼل اﻟﻄﺮق اﻟﺘﺎﻟﯿﺔ‪:‬‬
‫•‬
‫وﺿﻊ اﻟﻘﺮارات ﺣﻮل اﻟﻜﯿﻔﯿﺔ اﻟﺘﻲ ﯾﻨﺒﻐﻲ ﻟﻸﺟﺰاء ﻣﻦ اﻟﻤﺨﺘﻠﻔﺔ ﻣﻦ اﻟﻌﻤﻠﯿﺎت اﻟﺘﺸﻐﯿﻠﯿﺔ أن ﺗﺆﺛﺮ ﺑﮭﺎ ﻋﻠﻰ اﺧﺘﯿﺎر ﻣﺮﺣﻠﺔ‬
‫اﻟﺘﻨﻔﯿﺬ اﻟﻤﺮﻏﻮﺑﺔ‬
‫•‬
‫ﺗﻘﯿﯿﻢ ﻣﻨﮭﺠﯿﺔ اﻟﻤﻨﻈﻤﺔ ﻹدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻋﻦ طﺮﯾﻖ ﺗﺤﺪﯾﺪ ﻣﺮﺣﻠﺔ اﻟﺘﻨﻔﯿﺬ اﻟﺤﺎﻟﯿﺔ‬
‫•‬
‫ﺗﺮﺗﯿﺐ ﻣﺨﺮﺟﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﺣﺴﺐ أوﻟﻮﯾﺘﮭﺎ ﻋﻦ طﺮﯾﻖ ﺗﻄﻮﯾﺮ اﻟﻨﻤﺎذج اﻟﻤﺴﺘﮭﺪﻓﺔ‬
‫•‬
‫ﺗﺤﺪﯾﺪ اﻟﻤﺪى اﻟﺬي ﺗﻘﻮم ﻓﯿﮫ ﺧﻄﻮات ﻣﺤﺪدة ﻟﻸﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﺑﺘﺤﻘﯿﻖ اﻟﻤﺨﺮﺟﺎت اﻟﻤﺮﻏﻮﺑﺔ ﻋﻦ طﺮﯾﻖ ﺗﻘﯿﯿﻢ اﻟﻨﻤﺎذج اﻟﺤﺎﻟﯿﺔ‬
‫•‬
‫ﻗﯿﺎس درﺟﺔ ﺗﻄﺒﯿﻖ ﻗﻮاﺋﻢ اﻟﻀﻮاﺑﻂ أو اﻹرﺷﺎدات اﻟﻔﻨﯿﺔ اﻟﻤﺪرﺟﺔ ﻛــﻤﺮاﺟﻊ ﻣﻌﺮﻓﯿﺔ‪.‬‬
‫إن ﺗﻄﻮﯾﺮ ﻣﻘﺎﯾﯿﺲ أداء اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ھﻮ ﻋﻤﻠﯿﺔ داﺋﻤﺔ اﻟﺘﻄﻮر‪ .‬ﯾﻨﺒﻐﻲ ﻋﻠﻰ اﻟﻤﻨﻈﻤﺎت أن ﺗﻜﻮن ﻋﻤﯿﻘﺔ اﻟﺘﻔﻜﯿﺮ وﻣﺒﺪﻋﺔ وﺣﺬرة‬
‫ﺑﺸﺄن طﺮق ﺗﻮظﯿﻒ اﻟﻘﯿﺎﺳﺎت ﻟﺘﺤﺴﯿﻦ اﻻﺳﺘﺨﺪام ﻟﯿﻜﻮن ﻋﻠﻰ اﻟﻮﺟﮫ اﻷﻣﺜﻞ‪ ،‬ﻣﻊ ﺗﺠﻨﺐ اﻻﻋﺘﻤﺎد ﻋﻠﻰ اﻟﻤﺆﺷﺮات اﻟﻤﺼﻄﻨﻌﺔ ﻟﻠﻮﺿﻊ‬
‫اﻟﺤﺎﻟﻲ وﻟﻠﺘﻘﺪم ﻓﻲ ﺗﺤﺴﯿﻦ إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ .‬إن اﻟﺤﻜﻢ ﻋﻠﻰ اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﯾﺘﻄﻠﺐ اﻻﻧﻀﺒﺎط وﯾﻨﺒﻐﻲ أن ﯾﺘﻢ ﺑﺸﻜﻞ‬
‫دوري‪ .‬ﻓﻲ ﻛﻞ ﻣﺮة ﯾﺘﻢ ﻓﯿﮭﺎ ﺗﻮظﯿﻒ اﻟﻘﯿﺎﺳﺎت ﻛﺠﺰء ﻣﻦ ﻋﻤﻠﯿﺔ إطﺎر اﻟﻌﻤﻞ‪ ،‬ﺗٌﺸﺠﻊ اﻟﻤﻨﻈﻤﺎت ﻋﻠﻰ ﺗﺤﺪﯾﺪ وﻣﻌﺮﻓﺔ ﻟﻤﺎذا ﺗﻠﻚ‬
‫اﻟﻘﯿﺎﺳﺎت ﻣﮭﻤﺔ وﻛﯿﻒ ﺳﺘﺴﺎھﻢ ﻓﻲ اﻹدارة اﻟﻌﺎﻣﺔ ﻟﻠﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‪ .‬ﻛﻤﺎ ﯾﻨﺒﻐﻲ ﻋﻠﻰ ﺗﻠﻚ اﻟﻤﻨﻈﻤﺎت أن ﺗﻜﻮن ﻋﻠﻰ دراﯾﺔ ﺑﺄوﺟﮫ‬
‫اﻟﻘﺼﻮر ﻟﺘﻠﻚ اﻟﻘﯿﺎﺳﺎت اﻟﻤﺴﺘﺨﺪﻣﺔ‪.‬‬
‫‪20‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫ﻋﻠﻰ ﺳﺒﯿﻞ اﻟﻤﺜﺎل‪ ،‬ﯾﻤﻜﻦ ﻟﺘﺘّﺒﻊ اﻟﺘﺪاﺑﯿﺮ اﻷﻣﻨﯿﺔ وﻣﺨﺮﺟﺎت اﻷﻋﻤﺎل أن ﯾﻘﺪم ﻧﻈﺮة ﺛﺎﻗﺒﺔ إﻟﻰ اﻟﻜﯿﻔﯿﺔ اﻟﺘﻲ ﺗﺆﺛﺮ ﺑﮭﺎ اﻟﺘﻐﯿﯿﺮات ﻓﻲ‬
‫اﻟﻀﻮاﺑﻂ اﻷﻣﻨﯿﺔ اﻟﺼﻐﯿﺮة ﻋﻠﻰ إﻧﺠﺎز اﻷھﺪاف اﻟﻤﻨﻈﻤﯿﺔ‪ .‬إن ﺑﻌﺾ اﻷھﺪاف اﻟﻤﻨﻈﻤﯿﺔ ﻻ ﯾﻤﻜﻦ اﻟﺘﺄﻛﺪ ﻣﻦ ﺗﺤﻘﯿﻘﮭﺎ ﻣﻦ ﺧﻼل ﺗﺤﻠﯿﻞ‬
‫ً‬
‫اﻟﺒﯿﺎﻧﺎت إﻻ ﺑﻌﺪ ﺗﺤﻘﯿﻘﮭﺎ ً‬
‫ﻛﻤﺎﻻ‪ .‬إﻻ أﻧﮫ ﻓﻲ ﻏﺎﻟﺐ اﻷﺣﯿﺎن ﯾﻜﻮن ﻣﻦ اﻟﻤﻔﯿﺪ أﻛﺜﺮ أن‬
‫ﻓﻌﻼ‪ .‬ھﺬا اﻟﻨﻮع ﻣﻦ اﻟﺘﺪاﺑﯿﺮ اﻟﻤﺘﺄﺧﺮة ﯾُﻌﺘﺒﺮ أﻛﺜﺮ‬
‫ّ‬
‫ﯾﺘﻢ اﻟﺘﻨﺒﺆ ﺑﺎﺣﺘﻤﺎﻟﯿﺔ وﻗﻮع اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ وﺑﺎﻵﺛﺎر اﻟﺘﻲ ﻗﺪ ﯾﺨﻠﻔﮭﺎ‪ ،‬وذﻟﻚ ﺑﺎﺳﺘﺨﺪام ﺗﺪاﺑﯿﺮ ﻗﯿﺎدﯾﺔ‪.‬‬
‫ﻣﺪﻋﻮة إﻟﻰ اﻻﺑﺘﻜﺎر وإﻟﻰ ﺗﺨﺼﯿﺺ اﻟﻄﺮﯾﻘﺔ اﻟﺘﻲ ﯾُﺪﺧﻠﻮن ﺑﮭﺎ اﻟﻘﯿﺎﺳﺎت ﻓﻲ ﺗﻄﺒﯿﻘﮭﻢ ﻹطﺎر اﻟﻌﻤﻞ ﻣﻊ اﻹدراك اﻟﺘﺎم‬
‫إن اﻟﻤﻨﻈﻤﺎت‬
‫ّ‬
‫ﻟﻔﺎﺋﺪﺗﮭﻢ وﻷوﺟﮫ اﻟﻘﺼﻮر ﻓﯿﮭﻢ‪.‬‬
‫‪21‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﻤﻠﺤـــــﻖ )أ(‪ :‬ﻧﻮاة اطﺎر اﻟﻌﻤﻞ‬
‫ﯾﻘﺪم ھﺬا اﻟﻤﻠﺤﻖ ﻧﻮاة إطﺎر اﻟﻌﻤﻞ‪ :‬وھﻲ ﻗﺎﺋﻤﺔ ﻣﻦ اﻟﻮظﺎﺋﻒ واﻟﺘﺼﻨﯿﻔﺎت واﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ واﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ اﻟﺘﻲ ﺗﺼﻒ‬
‫أﻧﺸﻄﺔ أﻣﻦ ﺳﺒﺮاﻧﻲ ﻣﻌﯿﻨﺔ‪ ،‬واﻟﺘﻲ – أي اﻷﻧﺸﻄﺔ – ﺗﺸﺘﺮك ﻓﯿﮭﺎ ﺟﻤﯿﻊ ﻗﻄﺎﻋﺎت اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ .‬إن ﺻﯿﻐﺔ اﻟﺘﻘﺪﯾﻢ اﻟﻤﺨﺘﺎرة‬
‫ﻟﻨﻮاة إطﺎر اﻟﻌﻤﻞ ﻻ ﺗﻘﺘﺮح ﺗﺮﺗﯿﺒًﺎ ﻣﺤﺪدًا ﻟﺘﻄﺒﯿﻖ اﻟﺘﺼﻨﯿﻔﺎت واﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ واﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‪ ،‬ﻛﻤﺎ ﻻ ﺗﺤﺪد درﺟﺔ أھﻤﯿﺔ‬
‫ﻟﮭﺬه اﻟﻌﻨﺎﺻﺮ‪ .‬ﯾﻤﺜﻞ إطﺎر اﻟﻌﻤﻞ اﻟﻮارد ﻓﻲ ھﺬا اﻟﻤﻠﺤﻖ ﻣﺠﻤﻮﻋﺔ ﻣﺸﺘﺮﻛﺔ ﻣﻦ اﻷﻧﺸﻄﺔ ﻹدارة ﻣﺨﺎطﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ .‬ﻓﻲ ﺣﯿﻦ‬
‫ً‬
‫ﺷﺎﻣﻼ‪ ،‬إﻻ أﻧﮫ ﻗﺎﺑﻞ ﻟﻠﺘﻮﺳﻌﺔ‪ ،‬ﻣﻤﺎ ﯾﺴﻤﺢ ﻟﻠﻤﻨﻈﻤﺎت واﻟﻘﻄﺎﻋﺎت واﻟﻜﯿﺎﻧﺎت اﻷﺧﺮى ﺑﺄن ﺗﺴﺘﺨﺪم ﺗﺼﻨﯿﻔﺎت ﻓﺮﻋﯿﺔ‬
‫أن إطﺎر اﻟﻌﻤﻞ ﻟﯿﺲ‬
‫وﻣﺮاﺟﻊ ﻣﻌﺮﻓﯿﺔ ﻓﻌﺎﻟﺔ ﻣﻦ ﺣﯿﺚ اﻟﺘﻜﻠﻔﺔ وذات ﻛﻔﺎءة‪ ،‬واﻟﺘﻲ ﺗﺘﯿﺢ ﻟﮭﻢ إدارة ﻣﺨﺎطﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﺪﯾﮭﻢ‪ .‬ﯾﻤﻜﻦ اﺧﺘﯿﺎر اﻷﻧﺸﻄﺔ‬
‫ﻣﻦ ﺧﻼل ﻧﻮاة إطﺎر اﻟﻌﻤﻞ أﺛﻨﺎء إﻧﺸﺎء ﻧﻤﻮذج إطﺎر اﻟﻌﻤﻞ‪ ،‬ﻛﻤﺎ ﯾﻤﻜﻦ إﺿﺎﻓﺔ ﺗﺼﻨﯿﻔﺎت وﺗﺼﻨﯿﻔﺎت ﻓﺮﻋﯿﺔ وﻣﺮاﺟﻊ ﻣﻌﺮﻓﯿﺔ إﺿﺎﻓﯿﺔ‬
‫إﻟﻰ اﻟﻨﻤﻮذج‪ .‬إن ﻋﻤﻠﯿﺔ إدارة اﻟﻤﺨﺎطﺮ ﻓﻲ اﻟﻤﻨﻈﻤﺔ‪ ،‬واﻟﻤﺘﻄﻠﺒﺎت اﻟﻘﺎﻧﻮﻧﯿﺔ\اﻟﺘﻨﻈﯿﻤﯿﺔ‪ ،‬وأھﺪاف اﻷﻋﻤﺎل\اﻟﻤﮭﺎم‪ ،‬واﻟﻘﯿﻮد اﻟﺘﻨﻈﯿﻤﯿﺔ‬
‫ھﻲ اﻟﺘﻲ ﺗﻮﺟّﮫ ﻋﻤﻠﯿﺔ اﺧﺘﯿﺎر ھﺬه اﻷﻧﺸﻄﺔ أﺛﻨﺎء إﻧﺸﺎء اﻟﻨﻤﻮذج‪ .‬ﺗﻌﺘﺒﺮ اﻟﻤﻌﻠﻮﻣﺎت اﻟﺸﺨﺼﯿﺔ أﺣﺪ ﻣﻜﻮﻧﺎت اﻟﺒﯿﺎﻧﺎت أو اﻷﺻﻮل‬
‫اﻟﻤﺸﺎر إﻟﯿﮭﺎ ﻓﻲ اﻟﺘﺼﻨﯿﻔﺎت ﻋﻨﺪ ﺗﻘﯿﯿﻢ اﻟﻤﺨﺎطﺮ اﻷﻣﻨﯿﺔ ووﺳﺎﺋﻞ اﻟﺤﻤﺎﯾﺔ‪.‬‬
‫ﻓﻲ ﺣﯿﻦ أن اﻟﻨﺘﺎﺋﺞ اﻟﻤﻘﺼﻮدة اﻟﺘﻲ ﺗﻢ ﺗﺤﺪﯾﺪھﺎ ﻓﻲ اﻟﻮظﺎﺋﻒ واﻟﺘﺼﻨﯿﻔﺎت واﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ ھﻲ ﻧﻔﺴﮭﺎ ﺑﺎﻟﻨﺴﺒﺔ ﻟﺘﻘﻨﯿﺔ اﻟﻤﻌﻠﻮﻣﺎت‬
‫)‪ (IT‬وأﻧﻈﻤﺔ اﻟﺘﺤﻜﻢ اﻟﺼﻨﺎﻋﻲ )‪ ،(ICS‬إﻻ أن اﻟﺒﯿﺌﺎت اﻟﺘﺸﻐﯿﻠﯿﺔ واﻻﻋﺘﺒﺎرات اﻟﺨﺎﺻﺔ ﺑـﺘﻘﻨﯿﺔ اﻟﻤﻌﻠﻮﻣﺎت )‪ (IT‬وأﻧﻈﻤﺔ اﻟﺘﺤﻜﻢ‬
‫اﻟﺼﻨﺎﻋﻲ )‪ (ICS‬ﺗﺨﺘﻠﻒ‪ .‬ﻟﺪى أﻧﻈﻤﺔ اﻟﺘﺤﻜﻢ اﻟﺼﻨﺎﻋﻲ )‪ (ICS‬ﺗﺄﺛﯿﺮ ﻣﺒﺎﺷﺮ ﻋﻠﻰ اﻟﻌﺎﻟﻢ اﻟﻤﺎدي‪ ،‬ﺑﻤﺎ ﻓﻲ ذﻟﻚ اﻟﻤﺨﺎطﺮ اﻟﻤﺤﺘﻤﻠﺔ‬
‫ﻋﻠﻰ ﺻﺤﺔ وﺳﻼﻣﺔ اﻷﻓﺮاد‪ ،‬واﻟﺘﺄﺛﯿﺮ ﻋﻠﻰ اﻟﺒﯿﺌﺔ‪ .‬ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟﻚ‪ ،‬ﺗﺘﻤﺘﻊ أﻧﻈﻤﺔ اﻟﺘﺤﻜﻢ اﻟﺼﻨﺎﻋﻲ )‪ (ICS‬ﺑﻤﺘﻄﻠﺒﺎت ﻓﺮﯾﺪة ﻣﻦ‬
‫ﺣﯿﺚ اﻷداء واﻟﻤﻮﺛﻮﻗﯿﺔ ﻣﻘﺎرﻧﺔً ﺑـﺘﻘﻨﯿﺔ اﻟﻤﻌﻠﻮﻣﺎت )‪ ، (IT‬وﯾﺠﺐ ﻣﺮاﻋﺎة أھﺪاف اﻟﺴﻼﻣﺔ واﻟﻜﻔﺎءة ﻋﻨﺪ ﺗﻨﻔﯿﺬ إﺟﺮاءات اﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ‪.‬‬
‫ﻣﻌﺮﻓًﺎ ﻓﺮﯾﺪًا‪ .‬ﺗﺤﺘﻮي ﻛﻞ ﻣﻦ اﻟﻮظﺎﺋﻒ واﻟﺘﺼﻨﯿﻔﺎت ﻋﻠﻰ‬
‫ﻟﺴﮭﻮﻟﺔ اﻻﺳﺘﺨﺪام ‪ ،‬ﺗﻢ إﻋﻄﺎء ﻛﻞ ﻋﻨﺼﺮ ﻣﻦ ﻋﻨﺎﺻﺮ ﻧﻮاة اطﺎر اﻟﻌﻤﻞ ّ‬
‫ﻣﻌﺮف أﺑﺠﺪي ﺧﺎص‪ ،‬ﻛﻤﺎ ھﻮ ﻣﻮﺿﺢ ﻓﻲ اﻟﺠﺪول ‪ .1‬ﺗﺘﻢ اﻹﺷﺎرة إﻟﻰ اﻟﺘﺼﻨﯿﻔﯿﺎت اﻟﻔﺮﻋﯿﺔ داﺧﻞ ﻛﻞ ﺗﺼﻨﯿﻒ ﻋﺪدﯾًﺎ؛ ﻛﻤﺎ ﺗﻢ ﺗﻀﻤﯿﻦ‬
‫ّ‬
‫اﻟﻤﻌﺮف اﻟﺨﺎص ﻟﻜﻞ ﺗﺼﻨﯿﻒ ﻓﺮﻋﻲ ﻓﻲ اﻟﺠﺪول ‪.2‬‬
‫ﯾﻤﻜﻦ اﻟﻌﺜﻮر ﻋﻠﻰ ﻣﻮاد داﻋﻤﺔ إﺿﺎﻓﯿﺔ‪ ،‬ﺑﻤﺎ ﻓﻲ ذﻟﻚ اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‪ ،‬ﺗﺘﻌﻠﻖ ﺑﺈطﺎر اﻟﻌﻤﻞ ﻋﻠﻰ ﻣﻮﻗﻊ ‪ NIST‬ﻋﻠﻰ اﻟﻮﯾﺐ‬
‫‪http://www.nist.gov/cyberframework/.‬‬
‫‪22‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
1.1 ‫اﻟنﺴﺨﺔ‬
2018،‫ أﺑ��ﻞ‬16
‫اﻟﻤﻌﺮف اﻟﺨﺎص ﺑﺎﻟﻮظﯿﻔﺔ و اﻟﺘﺼﻨﯿﻒ‬: 1 ‫ﺟﺪول‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫إدارة اﻷﺻﻮل‬
(Asset Management)
‫ﺑﯿﺌﺔ اﻟﻌﻤﻞ‬
(Business Environment)
‫اﻟﺤﻮﻛﻤﺔ‬
(Governance)
‫ﺗﻘﯿﯿﻢ اﻟﻤﺨﺎطﺮ‬
(Risk Assessment)
‫اﺳﺘﺮاﺗﯿﺠﯿﺔ إدارة اﻟﻤﺨﺎطﺮ‬
(Risk Management Strategy)
‫إدارة ﻣﺨﺎطﺮ ﺳﻠﺴﻠﺔ اﻹﻣﺪاد‬
(Supply Chain Risk Management)
‫إدارة اﻟﮭﻮﯾﺔ واﻟﻤﺼﺎدﻗﺔ ﻋﻠﯿﮭﺎ واﻟﺘﺤﻜﻢ ﻓﻲ اﻟﻮﺻﻮل‬
(Identity Management, Authentication and Access Control)
‫اﻟﻮﻋﻲ واﻟﺘﺪرﯾﺐ‬
(Awareness and Training)
‫أﻣﻦ اﻟﺒﯿﺎﻧﺎت‬
(Data Security)
‫ﻋﻤﻠﯿﺎت وإﺟﺮاءات ﺣﻤﺎﯾﺔ اﻟﻤﻌﻠﻮﻣﺎت‬
(Information Protection Processes and Procedures)
‫اﻟﺼﯿﺎﻧﺔ‬
(Maintenance)
‫اﻟﺘﻘﻨﯿﺔ اﻟﻮﻗﺎﺋﯿﺔ‬
(Protective Technology)
‫اﻟﺤﺎﻻت ﻏﯿﺮ اﻟﻄﺒﯿﻌﯿﺔ واﻷﺣﺪاث‬
(Anomalies and Events)
‫اﻟﻤﺮاﻗﺒﺔ اﻷﻣﻨﯿﺔ اﻟﻤﺴﺘﻤﺮة‬
(Security Continuous Monitoring)
‫ﻋﻤﻠﯿﺎت اﻟﺮﺻﺪ‬
(Detection Processes)
‫ﺧﻄﺔ اﻷﺳﺘﺠﺎﺑﺔ‬
(Response Planning)
‫اﻻﺗﺼﺎﻻت‬
(Communications)
‫اﻟﺘﺤﻠﯿﻞ‬
(Analysis)
‫اﻟﺘﻘﻠﯿﻞ‬
(Mitigation)
‫اﻟﺘﺤﺴﯿﻨﺎت‬
(Improvements)
‫ﺧﻄﺔ اﻻﺳﺘﻌﺎدة‬
(Recovery Planning)
‫اﻟﺘﺤﺴﯿﻨﺎت‬
(Improvements)
‫اﻻﺗﺼﺎﻻت‬
(Communications)
‫اﻟﻤﻌﺮف‬
‫اﻟﺨﺎص‬
‫ﺑﺎﻟﺘﺼﻨﯿﻒ‬
ID.AM
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﻤﻌﺮف اﻟﺨﺎص‬
‫ﺑﺎﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺤﺪﯾﺪ‬
(Identify)
ID
‫اﻟﺤﻤﺎﯾﺔ‬
(Protect)
PR
‫اﻟﺮﺻﺪ‬
(Detect)
DE
‫اﻻﺳﺘﺠﺎﺑﺔ‬
(Respond)
RS
‫اﻻﺳﺘﻌﺎدة‬
(Recover)
RC
ID.BE
ID.GV
ID.RA
ID.RM
ID.SC
PR.AC
PR.AT
PR.DS
PR.IP
PR.MA
PR.PT
DE.AE
DE.CM
DE.DP
RS.RP
RS.CO
RS.AN
RS.MI
RS.IM
RC.RP
RC.IM
RC.CO
https://doi.org/10.6028/NIST.CSWP.04162018ar ‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ‬
23
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫ﺟﺪول ‪ : 2‬ﻧﻮاة إطﺎر اﻟﻌﻤﻞ‬
‫اﻟﻮظﯿﻔﺔ‬
‫ﺗﺤــﺪﯾﺪ اﻟﮭـﻮﯾﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫إدارة اﻷﺻﻮل‬
‫‪Asset Management (ID.AM):‬‬
‫ﯾﺠﺐ أن ﯾﺘﻢ ﺗﺤﺪﯾﺪ اﻟﺒﯿﺎﻧﺎت‪ ،‬واﻷﺷﺨﺎص‪،‬‬
‫واﻷﺟﮭﺰة‪ ،‬واﻷﻧﻈﻤﺔ و اﻟﻤﺮاﻓﻖ اﻟﺘﻲ ﺗﻤﻜﻦ اﻟﻤﻨﻈﻤﺔ‬
‫ﻣﻦ ﺗﺤﻘﯿﻖ أھﺪاﻓﮭﺎ‪ ،‬وأن ﺗﺘﻢ إدارﺗﮭﺎ طﺒﻘًﺎ ﻷھﻤﯿﺘﮭﺎ‬
‫ﺑﺎﻟﻨﺴﺒﺔ ﻷھﺪاف اﻟﻤﻨﻈﻤﺔ واﺳﺘﺮاﺗﯿﺠﯿﺘﮭﺎ ﻹدارة‬
‫اﻟﻤﺨﺎطﺮ‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫ﯾﺘﻢ ﺟﺮد اﻷﺟﮭﺰة واﻷﻧﻈﻤﺔ داﺧﻞ اﻟﻤﻨﻈﻤﺔ‬
‫‪ID.AM-1:‬‬
‫‪ID.AM-2:‬‬
‫ﯾﺘﻢ ﺟﺮد ﻣﻨﺼﺎت اﻟﺒﺮﻣﺠﯿﺎت و اﻟﺘﻄﺒﯿﻘﺎت داﺧﻞ اﻟﻤﻨﻈﻤﺔ‬
‫‪ID.AM-3:‬‬
‫ﯾﺘﻢ إﻋﺪاد ﺧﺮاﺋﻂ ﻟﻼﺗﺼﺎﻻت اﻟﺘﻨﻈﯿﻤﯿﺔ وﺗﺪﻓﻖ اﻟﺒﯿﺎﻧﺎت‬
‫ﯾﺘﻢ ﻓﮭﺮﺳﺔ أﻧﻈﻤﺔ اﻟﻤﻌﻠﻮﻣﺎت اﻟﺨﺎرﺟﯿﺔ‬
‫‪ID.AM-4:‬‬
‫‪ID.AM-5:‬‬
‫اﻟﻤﻮارد )ﻣﺜﻞ اﻟﻤﻌﺪات‪ ،‬اﻷﺟﮭﺰة‪ ،‬اﻟﺒﯿﺎﻧﺎت‪ ،‬اﻟﻮﻗﺖ‪،‬‬
‫اﻷﺷﺨﺎص‪ ،‬واﻟﺒﺮﻣﺠﯿﺎت( ﺗﻌﻄﻰ أوﻟﻮﯾﺔ ﺑﻨﺎ ًء ﻋﻠﻰ ﺗﺼﻨﯿﻔﮭﺎ‬
‫وﺣﺴﺎﺳﯿﺘﮭﺎ وﻗﯿﻤﺘﮭﺎ ﺑﺎﻟﻨﺴﺒﺔ ﻟﻠﻤﻨﻈﻤﺔ‪.‬‬
‫‪ID.AM-6:‬‬
‫‪24‬‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪CIS CSC 1‬‬
‫‪COBIT 5 BAI09.01, BAI09.02‬‬
‫‪ISA 62443-2-1:2009 4.2.3.4‬‬
‫‪ISA 62443-3-3:2013 SR 7.8‬‬
‫‪ISO/IEC 27001:2013 A.8.1.1, A.8.1.2‬‬
‫‪NIST SP 800-53 Rev. 4 CM-8, PM-5‬‬
‫‪CIS CSC 2‬‬
‫‪COBIT 5 BAI09.01, BAI09.02, BAI09.05‬‬
‫‪ISA 62443-2-1:2009 4.2.3.4‬‬
‫‪ISA 62443-3-3:2013 SR 7.8‬‬
‫‪ISO/IEC 27001:2013 A.8.1.1, A.8.1.2, A.12.5.1‬‬
‫‪NIST SP 800-53 Rev. 4 CM-8, PM-5‬‬
‫‪CIS CSC 12‬‬
‫‪COBIT 5 DSS05.02‬‬
‫‪ISA 62443-2-1:2009 4.2.3.4‬‬
‫‪ISO/IEC 27001:2013 A.13.2.1, A.13.2.2‬‬
‫‪NIST SP 800-53 Rev. 4 AC-4, CA-3, CA-9, PL-8‬‬
‫‪CIS CSC 12‬‬
‫‪COBIT 5 APO02.02, APO10.04, DSS01.02‬‬
‫‪ISO/IEC 27001:2013 A.11.2.6‬‬
‫‪NIST SP 800-53 Rev. 4 AC-20, SA-9‬‬
‫‪CIS CSC 13, 14‬‬
‫‪COBIT 5 APO03.03, APO03.04, APO12.01,‬‬
‫‪BAI04.02, BAI09.02‬‬
‫‪ISA 62443-2-1:2009 4.2.3.6‬‬
‫‪ISO/IEC 27001:2013 A.8.2.1‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, RA-2, SA-14, SC-6‬‬
‫‪CIS CSC 17, 19‬‬
‫‪COBIT 5 APO01.02, APO07.06, APO13.01, DSS06.03‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫ﺑﯿﺌﺔ اﻟﻌﻤﻞ‬
‫‪Business Environment (ID.BE):‬‬
‫ﯾﺠﺐ أن ﺗﻜﻮن ﻣﮭﺎم اﻟﻤﺆﺳﺴﺔ وأھﺪاﻓﮭﺎ وأﺻﺤﺎب‬
‫اﻟﻤﺼﺎﻟﺢ وﻧﺸﺎطﺎﺗﮭﺎ ﻣﻔﮭﻮﻣﺔ وﻣﺮﺗﺒﺔ ﺣﺴﺐ‬
‫اﻷوﻟﻮﯾﺔ‪ .‬ﺗُﺴﺘﺨﺪم ھﺬه اﻟﻤﻌﻠﻮﻣﺎت ﻟﺘﻌﺰﯾﺰ ﻗﺮارات‬
‫ﻣﮭﺎم اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ وﻣﺴﺆوﻟﯿﺎﺗﮫ وإدارة اﻟﻤﺨﺎطﺮ‬
‫اﻟﺴﺒﺮاﻧﯿﺔ‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫ﯾﺘﻢ ﺗﺤﺪﯾﺪ أدوار وﻣﺴﺌﻮﻟﯿﺎت ﺟﻤﯿﻊ أطﺮاف اﻟﻘﻮى‬
‫اﻟﻌﺎﻣﻠﺔ‪ ،‬واﻟﻄﺮف اﻟﺜﺎﻟﺚ‪ ،‬وأﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ ﻓﯿﻤﺎ‬
‫ﯾﺘﻌﻠﻖ ﺑﺎﻷﻣﻦ اﻟﺴــﯿﺒﺮاﻧﻲ )ﻋﻠﻰ ﺳﺒﯿﻞ اﻟﻤﺜﺎل‪،‬‬
‫اﻟﻤﻮردﯾﻦ‪ ،‬اﻟﻌﻤﻼء‪ ،‬اﻟﺸﺮﻛﺎء( وﺗﻮﺿﯿﺤﮫ‬
‫‪25‬‬
‫‪ISA 62443-2-1:2009 4.3.2.3.3‬‬
‫‪ISO/IEC 27001:2013 A.6.1.1‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, PS-7, PM-11‬‬
‫‪ID.BE-1:‬‬
‫‪COBIT 5 APO08.01, APO08.04, APO08.05, APO10.03,‬‬
‫‪APO10.04, APO10.05‬‬
‫‪ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3,‬‬
‫‪A.15.2.1, A.15.2.2‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, SA-12‬‬
‫‪ID.BE-2:‬‬
‫ﯾﺘﻢ ﺗﺤﺪﯾﺪ وإﻋﻼن وﺿﻊ اﻟﻤﻨﻈﻤﺔ ﻓﻲ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‬
‫وﻗﻄﺎع اﻟﺼﻨﺎﻋﺔ‬
‫‪COBIT 5 APO02.06, APO03.01‬‬
‫‪ISO/IEC 27001:2013 Clause 4.1‬‬
‫‪NIST SP 800-53 Rev. 4 PM-8‬‬
‫‪ID.BE-3:‬‬
‫ﯾﺘﻢ إﻧﺸﺎء وإﻋﻼن أوﻟﻮﯾﺎت اﻟﻤﻨﻈﻤﺔ وأھﺪاﻓﮭﺎ وﻧﺸﺎطﺎﺗﮭﺎ‬
‫‪COBIT 5 APO02.01, APO02.06, APO03.01‬‬
‫‪ISA 62443-2-1:2009 4.2.2.1, 4.2.3.6‬‬
‫‪NIST SP 800-53 Rev. 4 PM-11, SA-14‬‬
‫‪COBIT 5 APO10.01, BAI04.02, BAI09.02‬‬
‫‪ISO/IEC 27001:2013 A.11.2.2, A.11.2.3, A.12.1.3‬‬
‫‪NIST SP 800-53 Rev. 4 CP-8, PE-9, PE-11, PM-8,‬‬
‫‪SA-14‬‬
‫‪COBIT 5 BAI03.02, DSS04.02‬‬
‫‪ISO/IEC 27001:2013 A.11.1.4, A.17.1.1, A.17.1.2,‬‬
‫‪A.17.2.1‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, CP-11, SA-13, SA- 14‬‬
‫‪CIS CSC 19‬‬
‫‪COBIT 5 APO01.03, APO13.01, EDM01.01,‬‬
‫‪EDM01.02‬‬
‫‪ISA 62443-2-1:2009 4.3.2.6‬‬
‫‪ISO/IEC 27001:2013 A.5.1.1‬‬
‫ﺗﻢ ﺗﺤﺪﯾﺪ دور اﻟﻤﺆﺳﺴﺔ وإﻋﻼﻧﮭﺎ واﻹﺑﻼغ ﻋﻨﮭﺎ ﺿﻤﻦ‬
‫ﺳﻠﺴﻠﺔ اﻹﻣـــﺪاد‬
‫‪ID.BE-4:‬‬
‫ﯾﺘﻢ إﻧﺸﺎء اﻟﻤﮭﺎم اﻟﺤﺴﺎﺳﺔ و اﻟﺘﻲ ﺗﻌﺘﻤﺪ ﻋﻠﯿﮭﺎ اﻟﻤﺆﺳﺴﺔ‬
‫ﻹﻧﺠﺎز ﺧﺪﻣﺎﺗﮭﺎ اﻟﺤﺴﺎﺳﺔ‬
‫اﻟﺤﻮﻛﻤﺔ‬
‫‪Governance (ID.GV):‬‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪ID.BE-5:‬‬
‫ﯾﺘﻢ إﻧﺸﺎء ﻣﺘﻄﻠﺒﺎت اﻟﺼﻤﻮد ﻟﺘﻘﺪﯾﻢ اﻟﺨﺪﻣﺎت اﻟﺤﺴﺎﺳﺔ ﻟﺠﻤﯿﻊ‬
‫ﺣﺎﻻت اﻟﺘﺸﻐﯿﻞ )ﻣﺜﻞ ﺣﺎﻟﺔ اﻟﮭﺠﻮم \ اﻟﻀﻐﻂ‪ ،‬واﻟﺘﻌﺎﻓﻲ‪ ،‬وﻓﻲ‬
‫ﺣﺎﻟﺔ اﻟﺘﺸﻐﯿﻞ اﻻﻋﺘﯿﺎدﯾﺔ(‬
‫‪ID.GV-1:‬‬
‫ﯾﺘﻢ إﻧﺸﺎء ﺳﯿﺎﺳﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻟﻠﻤﻨﻈﻤﺔ اﻹﻋﻼن ﻋﻨﮭﺎ‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫ﯾﺠﺐ أن ﺗﻜﻮن اﻟﺴﯿﺎﺳﺎت واﻹﺟﺮاءات واﻟﻌﻤﻠﯿﺎت‬
‫اﻟﻤﺴﺘﺨﺪﻣﺔ ﻹدارة و ﻣﺮاﻗﺒﺔ اﻟﻤﺘﻄﻠﺒﺎت اﻟﺘﻨﻈﯿﻤﯿﺔ‬
‫واﻟﻘﺎﻧﻮﻧﯿﺔ واﻟﺒﯿﺌﯿﺔ واﻟﺘﺸﻐﯿﻠﯿﺔ وﻣﺘﻄﻠﺒﺎت اﻟﻤﺨﺎطﺮ‬
‫ﻣﻔﮭﻮﻣﺔ‬
‫وأن ﺗﻌﺰز إدارة اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪ID.GV-2:‬‬
‫ﯾﺘﻢ ﺗﻨﺴﯿﻖ ﻣﮭﺎم وﻣﺴﺆوﻟﯿﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻣﻊ اﻷدوار‬
‫اﻟﺪاﺧﻠﯿﺔ واﻟﺸﺮﻛﺎء اﻟﺨﺎرﺟﯿﯿﻦ‬
‫‪CIS CSC 19‬‬
‫‪COBIT 5 APO01.02, APO10.03, APO13.02,‬‬
‫‪DSS05.04‬‬
‫‪ISA 62443-2-1:2009 4.3.2.3.3‬‬
‫‪ISO/IEC 27001:2013 A.6.1.1, A.7.2.1, A.15.1.1‬‬
‫‪NIST SP 800-53 Rev. 4 PS-7, PM-1, PM-2‬‬
‫‪CIS CSC 19‬‬
‫‪COBIT 5 BAI02.01, MEA03.01, MEA03.04‬‬
‫‪ISA 62443-2-1:2009 4.4.3.7‬‬
‫‪ISO/IEC 27001:2013 A.18.1.1, A.18.1.2, A.18.1.3,‬‬
‫‪A.18.1.4, A.18.1.5‬‬
‫‪NIST SP 800-53 Rev. 4 -1 controls from all security‬‬
‫‪control families‬‬
‫‪COBIT 5 EDM03.02, APO12.02, APO12.05,‬‬
‫‪DSS04.02‬‬
‫‪ISA 62443-2-1:2009 4.2.3.1, 4.2.3.3, 4.2.3.8, 4.2.3.9,‬‬
‫‪4.2.3.11, 4.3.2.4.3, 4.3.2.6.3‬‬
‫‪ISO/IEC 27001:2013 Clause 6‬‬
‫‪NIST SP 800-53 Rev. 4 SA-2, PM-3, PM-7, PM-9,‬‬
‫‪PM-10, PM-11‬‬
‫‪CIS CSC 4‬‬
‫‪COBIT 5 APO12.01, APO12.02, APO12.03,‬‬
‫‪APO12.04, DSS05.01, DSS05.02‬‬
‫‪ISA 62443-2-1:2009 4.2.3, 4.2.3.7, 4.2.3.9, 4.2.3.12‬‬
‫‪ISO/IEC 27001:2013 A.12.6.1, A.18.2.3‬‬
‫‪NIST SP 800-53 Rev. 4 CA-2, CA-7, CA-8, RA-3,‬‬
‫‪RA-5, SA-5, SA-11, SI-2, SI-4, SI-5‬‬
‫‪CIS CSC 4‬‬
‫‪NIST SP 800-53 Rev. 4 -1 controls from all security‬‬
‫‪control families‬‬
‫‪ID.GV-3:‬‬
‫أن ﯾﺘﻢ ﻓﮭﻢ وإدارة اﻟﻤﺘﻄﻠﺒﺎت اﻟﺘﻨﻈﯿﻤﯿﺔ اﻟﻤﺘﻌﻠﻘﺔ ﺑﺎﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ‪ ،‬ﺑﻤﺎ ﻓﻲ ذﻟﻚ اﻟﺘﺰاﻣﺎت اﻟﺨﺼﻮﺻﯿﺔ واﻟﺤﺮﯾﺎت‬
‫اﻟﻤﺪﻧﯿﺔ‬
‫‪ID.GV-4:‬‬
‫أن ﺗﻘﻮم ﻋﻤﻠﯿﺎت اﻟﺤﻮﻛﻤﺔ وﻋﻤﻠﯿﺎت إدارة اﻟﻤﺨﺎطﺮ ﺑﻤﻌﺎﻟﺠﺔ‬
‫ﻣﺨﺎطﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫ﺗﻘﯿﯿﻢ اﻟﻤﺨﺎطﺮ‬
‫‪Risk Assessment (ID.RA):‬‬
‫ان ﺗﻔﮭﻢ اﻟﻤﻨﻈﻤﺔ ﻣﺨﺎطﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻋﻠﻰ‬
‫ﻋﻤﻠﯿﺎﺗﮭﺎ اﻟﺘﺸﻐﯿﻠﯿﺔ )ﺑﻤﺎ ﻓﻲ ذﻟﻚ ﻣﮭﺎﻣﮭﺎ‪ ،‬وظﺎﺋﻔﮭﺎ‪،‬‬
‫ﺻﻮرﺗﮭﺎ و ﺳﻤﻌﺘﮭﺎ( وﻋﻠﻰ أﺻﻮﻟﮭﺎ اﻟﻤﻨﻈﻤﯿﺔ وﻋﻠﻰ‬
‫أﻓﺮادھﺎ‪.‬‬
‫‪ID.RA-1:‬‬
‫ﺗﺤﺪﯾﺪ وﺗﻮﺛﯿﻖ ﺛﻐﺮات اﻷﺻﻮل‬
‫‪ID.RA-2:‬‬
‫‪26‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫ﯾﺘﻢ ﺗﻠﻘﻲ ﻣﻌﻠﻮﻣﺎت اﻟﻤﺨﺎطﺮ اﻟﺴﺒﺮاﻧﯿﺔ ﻣﻦ ﻣﻨﺘﺪﯾﺎت وﻣﺼﺎدر‬
‫ﻣﺸﺎرﻛﺔ اﻟﻤﻌﻠﻮﻣﺎت‬
‫ﺗﺤﺪﯾﺪ وﺗﻮﺛﯿﻖ اﻟﺘﮭﺪﯾﺪات اﻟﺪاﺧﻠﯿﺔ واﻟﺨﺎرﺟﯿﺔ‬
‫‪ID.RA-3:‬‬
‫‪ID.RA-4:‬‬
‫ﺗﺤﺪﯾﺪ اﻵﺛﺎر اﻟﻤﺤﺘﻤﻠﺔ ﻋﻠﻰ اﻷﻋﻤﺎل واﺣﺘﻤﺎﻟﯿﺎت اﻟﻮﻗﻮع‪.‬‬
‫‪ID.RA-5:‬‬
‫اﺳﺘﺨﺪام اﻟﺘﮭﺪﯾﺪات واﻟﺜﻐﺮات واﻻﺣﺘﻤﺎﻻت واﻟﺘﺄﺛﯿﺮات ﻟﺘﺤﺪﯾﺪ‬
‫اﻟﻤﺨﺎطﺮ‬
‫‪ID.RA-6:‬‬
‫ﺗﺤﺪﯾﺪ اﻻﺳﺘﺠﺎﺑﺔ ﻟﻠﻤﺨﺎطﺮ وﺗﺮﺗﯿﺒﮭﺎ ﺑﺤﺴﺐ اﻷوﻟﻮﯾﺔ‬
‫أﺳﺘﺮاﺗﯿﺠﯿﺔ إدارة اﻟﻤﺨﺎطﺮ‬
‫‪Risk Management Strategy (ID.RM):‬‬
‫إﻧﺸﺎء أوﻟﻮﯾﺎت اﻟﻤﻨﻈﻤﺔ وﻗﯿﻮدھﺎ وﻣﺴﺘﻮى ﺗﺤﻤﻞ‬
‫اﻟﻤﺨﺎطﺮ واﻻﻓﺘﺮاﺿﺎت واﺳﺘﺨﺪاﻣﮭﺎ ﻟﺪﻋﻢ اﺗﺨﺎذ‬
‫ﻗﺮارات اﻟﻤﺨﺎطﺮ اﻟﺘﺸﻐﯿﻠﯿﺔ‬
‫‪27‬‬
‫‪ID.RM-1:‬‬
‫إﻧﺸﺎء وإدارة ﻋﻤﻠﯿﺎت إدارة اﻟﻤﺨﺎطﺮ واﻟﻤﻮاﻓﻘﺔ ﻋﻠﯿﮭﺎ ﻣﻦ ﻗﺒﻞ‬
‫أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪COBIT 5 BAI08.01‬‬
‫‪ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12‬‬
‫‪ISO/IEC 27001:2013 A.6.1.4‬‬
‫‪NIST SP 800-53 Rev. 4 SI-5, PM-15, PM-16‬‬
‫‪CIS CSC 4‬‬
‫‪COBIT 5 APO12.01, APO12.02, APO12.03,‬‬
‫‪APO12.04‬‬
‫‪ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12‬‬
‫‪ISO/IEC 27001:2013 Clause 6.1.2‬‬
‫‪NIST SP 800-53 Rev. 4 RA-3, SI-5, PM-12, PM-16‬‬
‫‪CIS CSC 4‬‬
‫‪COBIT 5 DSS04.02‬‬
‫‪ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12‬‬
‫‪ISO/IEC 27001:2013 A.16.1.6, Clause 6.1.2‬‬
‫‪NIST SP 800-53 Rev. 4 RA-2, RA-3, SA-14, PM-9,‬‬
‫‪PM-11‬‬
‫‪CIS CSC 4‬‬
‫‪COBIT 5 APO12.02‬‬
‫‪ISO/IEC 27001:2013 A.12.6.1‬‬
‫‪NIST SP 800-53 Rev. 4 RA-2, RA-3, PM-16‬‬
‫‪CIS CSC 4‬‬
‫‪COBIT 5 APO12.05, APO13.02‬‬
‫‪ISO/IEC 27001:2013 Clause 6.1.3‬‬
‫‪NIST SP 800-53 Rev. 4 PM-4, PM-9‬‬
‫‪CIS CSC 4‬‬
‫‪COBIT 5 APO12.04, APO12.05, APO13.02,‬‬
‫‪BAI02.03, BAI04.02‬‬
‫‪ISA 62443-2-1:2009 4.3.4.2‬‬
‫‪ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3,‬‬
‫‪Clause 9.3‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫‪ID.RM-2:‬‬
‫ﺗﺤﺪﯾﺪ درﺟﺔ ﺗﺤﻤﻞ اﻟﻤﺨﺎطﺮ ﻟﻠﻤﻨﻈﻤﺔ واﻟﺘﻌﺒﯿﺮ ﻋﻨﮭﺎ ﺑﺸﻜﻞ‬
‫واﺿﺢ‬
‫إدارة ﻣﺨﺎطﺮ ﺳﻠﺴﻠﺔ اﻹﻣﺪاد‬
‫‪Supply Chain Risk Management‬‬
‫‪(ID.SC):‬‬
‫وﺿﻊ أوﻟﻮﯾﺎت اﻟﻤﻨﻈﻤﺔ واﻟﻘﯿﻮد ودرﺟﺔ ﺗﺤﻤﻞ‬
‫اﻟﻤﺨﺎطﺮ واﻻﻓﺘﺮاﺿﺎت واﺳﺘﺨﺪاﻣﮭﺎ ﻟﺪﻋﻢ ﻗﺮارات‬
‫اﻟﻤﺨﺎطﺮ اﻟﻤﺮﺗﺒﻄﺔ ﺑﺈدارة ﻣﺨﺎطﺮ ﺳﻠﺴﻠﺔ اﻷﻣﺪاد‪.‬‬
‫ﻛﻤﺎ أن اﻟﻤﻨﻈﻤﺔ ﻗﺪ وﺿﻌﺖ وﻧﻔﺬت اﻟﻌﻤﻠﯿﺎت ﺗﺤﺪﯾﺪ‬
‫وﺗﻘﯿﯿﻢ وإدارة ﻣﺨﺎطﺮ ﺳﻠﺴﻠﺔ اﻷﻣﺪاد‪.‬‬
‫‪ID.RM-3:‬‬
‫أن ﯾﺴﺘﻨﺪ ﺗﺤﺪﯾﺪ اﻟﻤﻨﻈﻤﺔ ﻟﺪرﺟﺔ ﺗﺤﻤﻠﮭﺎ ﻟﻠﻤﺨﺎطﺮ ﻋﻠﻰ دورھﺎ‬
‫ﻓﻲ اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ وﺗﺤﻠﯿﻞ اﻟﻤﺨﺎطﺮ اﻟﺨﺎﺻﺔ ﺑﺎﻟﻘﻄﺎع‬
‫‪ID.SC-1:‬‬
‫ﺗﺤﺪﯾﺪ وإﻧﺸﺎء وﺗﻘﯿﯿﻢ وإدارة ﻋﻤﻠﯿﺎت إدارة ﻣﺨﺎطﺮ ﺳﻠﺴﻠﺔ‬
‫اﻹﻣﺪاد اﻟﺴﺒﺮاﻧﯿﺔ واﻟﻤﻮاﻓﻘﺔ ﻋﻠﯿﮭﺎ ﻣﻦ ﻗﺒﻞ اﻟﻤﻌﻨﯿﯿﻦ‬
‫‪ID.SC-2:‬‬
‫ﺗﺤﺪﯾﺪ اﻟﻤﻮردﯾﻦ واﻟﺸﺮﻛﺎء اﻵﺧﺮﯾﻦ ﻟﻨﻈﻢ اﻟﻤﻌﻠﻮﻣﺎت‬
‫واﻟﻤﻜﻮﻧﺎت واﻟﺨﺪﻣﺎت‪ ،‬وﺗﺤﺪﯾﺪ أوﻟﻮﯾﺎﺗﮭﺎ وﺗﻘﯿﯿﻤﮭﺎ ﺑﺎﺳﺘﺨﺪام‬
‫ﻋﻤﻠﯿﺔ ﺗﻘﯿﯿﻢ ﻣﺨﺎطﺮ ﺳﻠﺴﻠﺔ اﻹﻣﺪاد اﻟﺴﺒﺮاﻧﻲ‬
‫‪ID.SC-3:‬‬
‫اﺳﺘﺨﺪام اﻟﻌﻘﻮد ﻣﻊ اﻟﻤﻮردﯾﻦ واﻟﺸﺮﻛﺎء ﻣﻦ اﻷطﺮاف‬
‫اﻷﺧﺮى ﻟﺘﻨﻔﯿﺬ اﻟﺘﺪاﺑﯿﺮ اﻟﻤﻨﺎﺳﺒﺔ واﻟﻤﺼﻤﻤﺔ ﻟﺘﺤﻘﯿﻖ أھﺪاف‬
‫‪28‬‬
‫‪NIST SP 800-53 Rev. 4 PM-9‬‬
‫‪COBIT 5 APO12.06‬‬
‫‪ISA 62443-2-1:2009 4.3.2.6.5‬‬
‫‪ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3‬‬
‫‪NIST SP 800-53 Rev. 4 PM-9‬‬
‫‪COBIT 5 APO12.02‬‬
‫‪ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3‬‬
‫‪NIST SP 800-53 Rev. 4 SA-14, PM-8, PM-9, PM-11‬‬
‫‪CIS CSC 4‬‬
‫‪COBIT 5 APO10.01, APO10.04, APO12.04,‬‬
‫‪APO12.05, APO13.02, BAI01.03, BAI02.03,‬‬
‫‪BAI04.02‬‬
‫‪ISA 62443-2-1:2009 4.3.4.2‬‬
‫‪ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3,‬‬
‫‪A.15.2.1, A.15.2.2‬‬
‫‪NIST SP 800-53 Rev. 4 SA-9, SA-12, PM-9‬‬
‫‪COBIT 5 APO10.01, APO10.02, APO10.04,‬‬
‫‪APO10.05, APO12.01, APO12.02, APO12.03,‬‬
‫‪APO12.04, APO12.05, APO12.06, APO13.02,‬‬
‫‪BAI02.03‬‬
‫‪ISA 62443-2-1:2009 4.2.3.1, 4.2.3.2, 4.2.3.3, 4.2.3.4,‬‬
‫‪4.2.3.6, 4.2.3.8, 4.2.3.9, 4.2.3.10, 4.2.3.12, 4.2.3.13,‬‬
‫‪4.2.3.14‬‬
‫‪ISO/IEC 27001:2013 A.15.2.1, A.15.2.2‬‬
‫‪NIST SP 800-53 Rev. 4 RA-2, RA-3, SA-12, SA-14,‬‬
‫‪SA-15, PM-9‬‬
‫‪COBIT 5 APO10.01, APO10.02, APO10.03,‬‬
‫‪APO10.04, APO10.05‬‬
‫‪ISA 62443-2-1:2009 4.3.2.6.4, 4.3.2.6.7‬‬
‫‪ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫اﻟﺤﻤﺎﯾﺔ‬
‫)‪PROTECT (PR‬‬
‫إدارة اﻟﮭﻮﯾﺔ‪ ،‬و اﻟﺘﺤﻘﻖ ﻟﻠﺜﻘﺔ‪ ،‬واﻟﺘﺤﻜﻢ ﻓﻲ اﻟﻮﺻﻮل‬
‫‪Identity Management and Access‬‬
‫‪Control (PR.AC):‬‬
‫اﻟﻮﺻﻮل إﻟﻰ اﻷﺻﻮل اﻟﻤﺎدﯾﺔ واﻟﻤﻨﻄﻘﯿﺔ واﻟﻤﺮاﻓﻖ‬
‫اﻟﺘﺎﺑﻌﺔ ﻣﺤﺼﻮر ﻓﻲ اﻷﺷﺨﺎص واﻟﻌﻤﻠﯿﺎت واﻷﺟﮭﺰة‬
‫اﻟﻤﺼﺮح ﻟﮭﺎ‪ ،‬وﯾﺘﻢ إدارﺗﮫ ﻟﯿﺘﻨﺎﺳﻖ ﻣﻊ اﻟﻤﺨﺎطﺮ‬
‫اﻟﻤﻘﯿﱠﻤﺔ ﻟﻠﻮﺻﻮل ﻏﯿﺮ اﻟﻤﺼﺮح ﺑﮫ إﻟﻰ اﻷﺟﮭﺰة‬
‫اﻟﻤﺼﺮح ﺑﮭﺎ‪.‬‬
‫واﻟﻌﻤﻠﯿﺎت‬
‫ّ‬
‫‪29‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫ﺑﺮﻧﺎﻣﺞ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻓﻲ اﻟﻤﻨﻈﻤﺔ وﺧﻄﺔ إدارة ﻣﺨﺎطﺮ‬
‫ﺳﻠﺴﻠﺔ اﻹﻣﺪاد اﻟﺴﺒﺮاﻧﻲ‪.‬‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪NIST SP 800-53 Rev. 4 SA-9, SA-11, SA-12, PM-9‬‬
‫‪ID.SC-4:‬‬
‫ﺗﻘﯿﯿﻢ اﻟﻤﻮردﯾﻦ واﻟﺸﺮﻛﺎء ﻣﻦ اﻟﺠﮭﺎت اﻟﺨﺎرﺟﯿﺔ ﺑﺸﻜﻞ‬
‫روﺗﯿﻨﻲ ﺑﺎﺳﺘﺨﺪام ﻋﻤﻠﯿﺎت اﻟﺘﺪﻗﯿﻖ أو ﻧﺘﺎﺋﺞ اﻻﺧﺘﺒﺎرات أو‬
‫ﻏﯿﺮ ذﻟﻚ ﻣﻦ أﺷﻜﺎل اﻟﺘﻘﯿﯿﻢ ﻟﻠﺘﺄﻛﺪ ﻣﻦ اﺳﺘﯿﻔﺎﺋﮭﻢ ﻻﻟﺘﺰاﻣﺎﺗﮭﻢ‬
‫اﻟﻤﺬﻛﻮرة ﻓﻲ اﻟﻌﻘﻮد‪.‬‬
‫‪COBIT 5 APO10.01, APO10.03, APO10.04,‬‬
‫‪APO10.05, MEA01.01, MEA01.02, MEA01.03,‬‬
‫‪MEA01.04, MEA01.05‬‬
‫‪ISA 62443-2-1:2009 4.3.2.6.7‬‬
‫‪ISA 62443-3-3:2013 SR 6.1‬‬
‫‪ISO/IEC 27001:2013 A.15.2.1, A.15.2.2‬‬
‫‪NIST SP 800-53 Rev. 4 AU-2, AU-6, AU-12, AU‬‬‫‪16, PS-7, SA-9, SA-12‬‬
‫‪ID.SC-5:‬‬
‫إﺟﺮاء ﺗﺨﻄﯿﻂ اﻻﺳﺘﺠﺎﺑﺔ واﻻﺳﺘﻌﺎدة واﺧﺘﺒﺎر اﻟﺨﻄﻂ ﻣﻊ‬
‫اﻟﻤﻮردﯾﻦ وﻣﻮﻓﺮي اﻟﺨﺪﻣﺎت ﻣﻦ اﻷطﺮاف اﻟﺜﺎﻟﺜﺔ‬
‫‪CIS CSC 19, 20‬‬
‫‪COBIT 5 DSS04.04‬‬
‫‪ISA 62443-2-1:2009 4.3.2.5.7, 4.3.4.5.11‬‬
‫‪ISA 62443-3-3:2013 SR 2.8, SR 3.3, SR.6.1, SR 7.3,‬‬
‫‪SR 7.4‬‬
‫‪ISO/IEC 27001:2013 A.17.1.3‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, CP-4, IR-3, IR-4, IR‬‬‫‪6, IR-8, IR-9‬‬
‫‪CIS CSC 1, 5, 15, 16‬‬
‫‪COBIT 5 DSS05.04, DSS06.03‬‬
‫‪ISA 62443-2-1:2009 4.3.3.5.1‬‬
‫‪ISA 62443-3-3:2013 SR 1.1, SR 1.2, SR 1.3, SR 1.4,‬‬
‫‪SR 1.5, SR 1.7, SR 1.8, SR 1.9‬‬
‫‪ISO/IEC 27001:2013 A.9.2.1, A.9.2.2, A.9.2.3,‬‬
‫‪A.9.2.4, A.9.2.6, A.9.3.1, A.9.4.2, A.9.4.3‬‬
‫‪NIST SP 800-53 Rev. 4 AC-1, AC-2, IA-1, IA-2, IA‬‬‫‪3, IA-4, IA-5, IA-6, IA-7, IA-8, IA-9, IA-10, IA-11‬‬
‫‪COBIT 5 DSS01.04, DSS05.05‬‬
‫‪ISA 62443-2-1:2009 4.3.3.3.2, 4.3.3.3.8‬‬
‫‪PR.AC-1:‬‬
‫ﯾﺘﻢ إﺻﺪار ﺑﯿﺎﻧﺎت اﻟﺪﺧﻮل وإدارﺗﮭﺎ وﺗﻮﺛﯿﻘﮭﺎ وﺗﻌﻄﯿﻠﮭﺎ‬
‫واﻟﺘﺪﻗﯿﻖ ﻓﯿﮭﺎ ﻟﻸﺟﮭﺰة واﻟﻤﺴﺘﺨﺪﻣﯿﻦ واﻟﻌﻤﻠﯿﺎت اﻟﻤﺼﺮح‬
‫ﺑﮭﺎ‪.‬‬
‫ﯾﺘﻢ إدارة وﺣﻤﺎﯾﺔ اﻟﻮﺻﻮل اﻟﻤﺎدي ﻟﻸﺻﻮل‬
‫‪PR.AC-2:‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
1.1 ‫اﻟنﺴﺨﺔ‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
ISO/IEC 27001:2013 A.11.1.1, A.11.1.2, A.11.1.3,
A.11.1.4, A.11.1.5, A.11.1.6, A.11.2.1, A.11.2.3,
A.11.2.5, A.11.2.6, A.11.2.7, A.11.2.8
NIST SP 800-53 Rev. 4 PE-2, PE-3, PE-4, PE-5, PE6, PE-8
CIS CSC 12
COBIT 5 APO13.01, DSS01.04, DSS05.03
ISA 62443-2-1:2009 4.3.3.6.6
ISA 62443-3-3:2013 SR 1.13, SR 2.6
ISO/IEC 27001:2013 A.6.2.1, A.6.2.2, A.11.2.6,
A.13.1.1, A.13.2.1
NIST SP 800-53 Rev. 4 AC-1, AC-17, AC-19, AC20, SC-15
CIS CSC 3, 5, 12, 14, 15, 16, 18
COBIT 5 DSS05.04
ISA 62443-2-1:2009 4.3.3.7.3
ISA 62443-3-3:2013 SR 2.1
ISO/IEC 27001:2013 A.6.1.2, A.9.1.2, A.9.2.3,
A.9.4.1, A.9.4.4, A.9.4.5
NIST SP 800-53 Rev. 4 AC-1, AC-2, AC-3, AC-5,
AC-6, AC-14, AC-16, AC-24
CIS CSC 9, 14, 15, 18
COBIT 5 DSS01.05, DSS05.02
ISA 62443-2-1:2009 4.3.3.4
ISA 62443-3-3:2013 SR 3.1, SR 3.8
ISO/IEC 27001:2013 A.13.1.1, A.13.1.3, A.13.2.1,
A.14.1.2, A.14.1.3
NIST SP 800-53 Rev. 4 AC-4, AC-10, SC-7
CIS CSC, 16
COBIT 5 DSS05.04, DSS05.05, DSS05.07,
DSS06.03
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
PR.AC-3:
2018،‫ أﺑ��ﻞ‬16
‫اﻟﺘﺼﻨﯿﻒ‬
‫اﻟﻮظﯿﻔﺔ‬
‫ﯾﺘﻢ إدارة اﻟﻮﺻﻮل ﻋﻦ ﺑﻌﺪ‬
PR.AC-4:
‫ ﻣﻊ ﺗﻄﺒﯿﻖ ﻣﺒﺪأ اﻟﺤﺪ‬،‫ﯾﺘﻢ إدارة ﺻﻼﺣﯿﺎت وﺗﺼﺎرﯾﺢ اﻟﺪﺧﻮل‬
‫اﻷدﻧﻰ ﻣﻦ اﻟﺼﻼﺣﯿﺎت وﻣﺒﺪأ اﻟﻔﺼﻞ ﺑﯿﻦ اﻟﻮاﺟﺒﺎت‬
PR.AC-5:
‫ وﺗﻘﺴﯿﻢ‬،‫ﯾﺘﻢ ﺣﻤﺎﯾﺔ ﺗﻜﺎﻣﻞ اﻟﺸﺒﻜﺔ )ﻣﺜﻞ ﻋﺰل اﻟﺸﺒﻜﺎت‬
(‫ إﻟﺦ‬،‫اﻟﺸﺒﻜﺎت‬
PR.AC-6:
https://doi.org/10.6028/NIST.CSWP.04162018ar ‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ‬
30
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫ﯾﺘﻢ إﺛﺒﺎت اﻟﮭﻮﯾﺎت ورﺑﻄﮭﺎ ﻣﻊ ﺑﯿﺎﻧﺎت اﻟﺪﺧﻮل‪ ،‬ﻛﻤﺎ ﯾﺘﻢ اﻟﺘﺄﻛﺪ‬
‫ﻣﻦ ﺻﺤﺘﮭﺎ ﻋﻨﺪ إﺟﺮاء اﻟﻌﻤﻠﯿﺎت‪.‬‬
‫‪PR.AC-7:‬‬
‫ﯾﺘﻢ اﻟﺘﺤﻘﻖ ﻣﻦ اﻟﻤﺴﺘﺨﺪﻣﯿﻦ واﻷﺟﮭﺰة واﻷﺻﻮل اﻷﺧﺮى‬
‫)ﺑﺎﺳﺘﺨﺪام اﻟﺘﻮﺛﯿﻖ ﺑﻌﺎﻣﻞ واﺣﺪ أو ﻋﺪة ﻋﻮاﻣﻞ ً‬
‫ﻣﺜﻼ( ﺑﻤﺎ‬
‫ﯾﺘﻨﺎﺳﺐ ﻣﻊ ﻣﺨﺎطﺮ اﻟﻌﻤﻠﯿﺔ )ﻣﺜﻞ اﻟﻤﺨﺎطﺮ اﻟﻤﺘﻌﻠﻘﺔ ﺑﺄﻣﻦ‬
‫اﻷﻓﺮاد وﺧﺼﻮﺻﯿﺘﮭﻢ‪ ،‬واﻟﻤﺨﺎطﺮ اﻟﻤﻨﻈﻤﯿﺔ اﻷﺧﺮى(‪.‬‬
‫اﻟﺘﻮﻋﯿﺔ واﻟﺘﺪرﯾﺐ‬
‫‪Awareness and Training (PR.AT):‬‬
‫ﯾﺘﻢ ﺗﻮﻓﯿﺮ ﺗﻌﻠﯿﻢ وﺗﺪرﯾﺐ ﺗﻮﻋﻮي ﺑﺎﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫ﻟﻸﻓﺮاد واﻟﺸﺮﻛﺎء ﻓﻲ اﻟﻤﻨﻈﻤﺔ‪ ،‬ﻟﻜﻲ ﯾﻘﻮﻣﻮا ﺑﺄداء‬
‫ﻣﮭﺎﻣﮭﻢ وﻣﺴﺆوﻟﯿﺎﺗﮭﻢ اﻟﻤﺘﻌﻠﻘﺔ ﺑﺎﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﺑﻤﺎ‬
‫ﯾﺘﻨﺎﺳﺐ ﻣﻊ اﻟﺴﯿﺎﺳﺎت واﻹﺟﺮاءات واﻻﺗﻔﺎﻗﯿﺎت ذات‬
‫اﻟﻌﻼﻗﺔ‪.‬‬
‫ﯾﺘﻢ ﺗﻌﻠﯿﻢ وﺗﺪرﯾﺐ ﺟﻤﯿﻊ اﻟﻤﺴﺘﺨﺪﻣﯿﻦ‬
‫‪PR.AT-1:‬‬
‫‪PR.AT-2:‬‬
‫اﻟﻤﺴﺘﺨﺪﻣﻮن ذوو اﻟﺼﻼﺣﯿﺎت اﻟﻤﻤﯿﺰة ﯾﻔﮭﻤﻮن ﻣﮭﺎﻣﮭﻢ‬
‫وﻣﺴﺆوﻟﯿﺎﺗﮭﻢ‬
‫‪PR.AT-3:‬‬
‫‪31‬‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪ISA 62443-2-1:2009 4.3.3.2.2, 4.3.3.5.2, 4.3.3.7.2,‬‬
‫‪4.3.3.7.4‬‬
‫‪ISA 62443-3-3:2013 SR 1.1, SR 1.2, SR 1.4, SR 1.5,‬‬
‫‪SR 1.9, SR 2.1‬‬
‫‪ISO/IEC 27001:2013, A.7.1.1, A.9.2.1‬‬
‫‪NIST SP 800-53 Rev. 4 AC-1, AC-2, AC-3, AC-16,‬‬
‫‪AC-19, AC-24, IA-1, IA-2, IA-4, IA-5, IA-8, PE-2,‬‬
‫‪PS-3‬‬
‫‪CIS CSC 1, 12, 15, 16‬‬
‫‪COBIT 5 DSS05.04, DSS05.10, DSS06.10‬‬
‫‪ISA 62443-2-1:2009 4.3.3.6.1, 4.3.3.6.2, 4.3.3.6.3,‬‬
‫‪4.3.3.6.4, 4.3.3.6.5, 4.3.3.6.6, 4.3.3.6.7, 4.3.3.6.8,‬‬
‫‪4.3.3.6.9‬‬
‫‪ISA 62443-3-3:2013 SR 1.1, SR 1.2, SR 1.5, SR 1.7,‬‬
‫‪SR 1.8, SR 1.9, SR 1.10‬‬
‫‪ISO/IEC 27001:2013 A.9.2.1, A.9.2.4, A.9.3.1,‬‬
‫‪A.9.4.2, A.9.4.3, A.18.1.4‬‬
‫‪NIST SP 800-53 Rev. 4 AC-7, AC-8, AC-9, AC-11,‬‬
‫‪AC-12, AC-14, IA-1, IA-2, IA-3, IA-4, IA-5, IA-8,‬‬
‫‪IA-9, IA-10, IA-11‬‬
‫‪CIS CSC 17, 18‬‬
‫‪COBIT 5 APO07.03, BAI05.07‬‬
‫‪ISA 62443-2-1:2009 4.3.2.4.2‬‬
‫‪ISO/IEC 27001:2013 A.7.2.2, A.12.2.1‬‬
‫‪NIST SP 800-53 Rev. 4 AT-2, PM-13‬‬
‫‪CIS CSC 5, 17, 18‬‬
‫‪COBIT 5 APO07.02, DSS05.04, DSS06.03‬‬
‫‪ISA 62443-2-1:2009 4.3.2.4.2, 4.3.2.4.3‬‬
‫‪ISO/IEC 27001:2013 A.6.1.1, A.7.2.2‬‬
‫‪NIST SP 800-53 Rev. 4 AT-3, PM-13‬‬
‫‪CIS CSC 17‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫اﻟﻤﻌﻨﯿﻮن ﻣﻦ اﻟﻄﺮف اﻟﺜﺎﻟﺚ )ﻣﺜﻞ اﻟﻤﻮردﯾﻦ واﻟﻌﻤﻼء‬
‫واﻟﺸﺮﻛﺎء( ﯾﻔﮭﻤﻮن أدوارھﻢ وﻣﺴﺆوﻟﯿﺎﺗﮭﻢ‬
‫اﻹدارة اﻟﻌﻠﯿﺎ ﺗﻔﮭﻢ ﻣﮭﺎﻣﮭﺎ وﻣﺴﺆوﻟﯿﺎﺗﮭﺎ‬
‫‪PR.AT-4:‬‬
‫‪PR.AT-5:‬‬
‫اﻷﺷﺨﺎص اﻟﻤﻌﻨﯿﻮن ﺑﺎﻷﻣﻦ اﻟﻤﺎدي واﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﯾﻔﮭﻤﻮن‬
‫ﻣﮭﺎﻣﮭﻢ وﻣﺴﺆوﻟﯿﺎﺗﮭﻢ‬
‫أﻣﻦ اﻟﺒﯿﺎﻧﺎت‬
‫‪Data Security (PR.DS):‬‬
‫ﺗﺘﻢ إدارة اﻟﻤﻌﻠﻮﻣﺎت واﻟﺴﺠﻼت )اﻟﺒﯿﺎﻧﺎت( ﺑﻤﺎ‬
‫ﯾﺘﻤﺎﺷﻰ ﻣﻊ اﺳﺘﺮاﺗﯿﺠﯿﺔ اﻟﻤﻨﻈﻤﺔ ﻟﻠﻤﺨﺎطﺮ ﻟﺤﻤﺎﯾﺔ‬
‫ﺳﺮﯾﺔ وﺳﻼﻣﺔ وﺗﻮﻓﺮ اﻟﻤﻌﻠﻮﻣﺎت‪.‬‬
‫اﻟﺒﯿﺎﻧﺎت اﻟﻤﺴﺘﻘﺮة ﻣﺤﻤﯿﺔ‬
‫اﻟﺒﯿﺎﻧﺎت اﻟﻤﺘﻨﻘﻠﺔ ﻣﺤﻤﯿﺔ‬
‫‪PR.DS-1:‬‬
‫‪PR.DS-2:‬‬
‫‪PR.DS-3:‬‬
‫ﯾﺘﻢ إدارة اﻷﺻﻮل ﺑﺸﻜﻞ رﺳﻤﻲ ﺧﻼل ﻋﻤﻠﯿﺎت اﻹزاﻟﺔ واﻟﻨﻘﻞ‬
‫واﻟﺘﺨﻠﺺ‬
‫‪32‬‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪COBIT 5 APO07.03, APO07.06, APO10.04,‬‬
‫‪APO10.05‬‬
‫‪ISA 62443-2-1:2009 4.3.2.4.2‬‬
‫‪ISO/IEC 27001:2013 A.6.1.1, A.7.2.1, A.7.2.2‬‬
‫‪NIST SP 800-53 Rev. 4 PS-7, SA-9, SA-16‬‬
‫‪CIS CSC 17, 19‬‬
‫‪COBIT 5 EDM01.01, APO01.02, APO07.03‬‬
‫‪ISA 62443-2-1:2009 4.3.2.4.2‬‬
‫‪ISO/IEC 27001:2013 A.6.1.1, A.7.2.2‬‬
‫‪NIST SP 800-53 Rev. 4 AT-3, PM-13‬‬
‫‪CIS CSC 17‬‬
‫‪COBIT 5 APO07.03‬‬
‫‪ISA 62443-2-1:2009 4.3.2.4.2‬‬
‫‪ISO/IEC 27001:2013 A.6.1.1, A.7.2.2‬‬
‫‪NIST SP 800-53 Rev. 4 AT-3, IR-2, PM-13‬‬
‫‪CIS CSC 13, 14‬‬
‫‪COBIT 5 APO01.06, BAI02.01, BAI06.01,‬‬
‫‪DSS04.07, DSS05.03, DSS06.06‬‬
‫‪ISA 62443-3-3:2013 SR 3.4, SR 4.1‬‬
‫‪ISO/IEC 27001:2013 A.8.2.3‬‬
‫‪NIST SP 800-53 Rev. 4 MP-8, SC-12, SC-28‬‬
‫‪CIS CSC 13, 14‬‬
‫‪COBIT 5 APO01.06, DSS05.02, DSS06.06‬‬
‫‪ISA 62443-3-3:2013 SR 3.1, SR 3.8, SR 4.1, SR‬‬
‫‪4.2‬‬
‫‪ISO/IEC 27001:2013 A.8.2.3, A.13.1.1, A.13.2.1,‬‬
‫‪A.13.2.3, A.14.1.2, A.14.1.3‬‬
‫‪NIST SP 800-53 Rev. 4 SC-8, SC-11, SC-12‬‬
‫‪CIS CSC 1‬‬
‫‪COBIT 5 BAI09.03‬‬
‫‪ISA 62443-2-1:2009 4.3.3.3.9, 4.3.4.4.1‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫أن ﺗﺘﻮﻓﺮ ﺳﻌﺔ ﻛﺎﻓﯿﺔ ﻟﻀﻤﺎن ﺗﻮﻓﺮ اﻟﺒﯿﺎﻧﺎت‬
‫ﯾﺘﻢ ﺗﻨﻔﯿﺬ وﺳﺎﺋﻞ اﻟﺤﻤﺎﯾﺔ ﺿﺪ ﺗﺴﺮب اﻟﺒﯿﺎﻧﺎت‬
‫‪33‬‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪PR.DS-4:‬‬
‫‪PR.DS-5:‬‬
‫‪ISA 62443-3-3:2013 SR 4.2‬‬
‫‪ISO/IEC 27001:2013 A.8.2.3, A.8.3.1, A.8.3.2,‬‬
‫‪A.8.3.3, A.11.2.5, A.11.2.7‬‬
‫‪NIST SP 800-53 Rev. 4 CM-8, MP-6, PE-16‬‬
‫‪CIS CSC 1, 2, 13‬‬
‫‪COBIT 5 APO13.01, BAI04.04‬‬
‫‪ISA 62443-3-3:2013 SR 7.1, SR 7.2‬‬
‫‪ISO/IEC 27001:2013 A.12.1.3, A.17.2.1‬‬
‫‪NIST SP 800-53 Rev. 4 AU-4, CP-2, SC-5‬‬
‫‪CIS CSC 13‬‬
‫‪COBIT 5 APO01.06, DSS05.04, DSS05.07,‬‬
‫‪DSS06.02‬‬
‫‪ISA 62443-3-3:2013 SR 5.2‬‬
‫‪ISO/IEC 27001:2013 A.6.1.2, A.7.1.1, A.7.1.2,‬‬
‫‪A.7.3.1, A.8.2.2, A.8.2.3, A.9.1.1, A.9.1.2, A.9.2.3,‬‬
‫‪A.9.4.1, A.9.4.4, A.9.4.5, A.10.1.1, A.11.1.4,‬‬
‫‪A.11.1.5, A.11.2.1, A.13.1.1, A.13.1.3, A.13.2.1,‬‬
‫‪A.13.2.3, A.13.2.4, A.14.1.2, A.14.1.3‬‬
‫‪NIST SP 800-53 Rev. 4 AC-4, AC-5, AC-6, PE-19,‬‬
‫‪PS-3, PS-6, SC-7, SC-8, SC-13, SC-31, SI-4‬‬
‫‪PR.DS-6:‬‬
‫ﯾﺘﻢ اﺳﺘﺨﺪام آﻟﯿﺎت اﻟﺘﺤﻘﻖ ﻣﻦ اﻟﺴﻼﻣﺔ ﻟﻠﺘﺄﻛﺪ ﻣﻦ ﺳﻼﻣﺔ‬
‫اﻟﺒﺮﻣﺠﯿﺎت واﻟﺒﺮاﻣﺞ اﻟﺜﺎﺑﺘﺔ واﻟﻤﻌﻠﻮﻣﺎت‬
‫‪CIS CSC 2, 3‬‬
‫‪COBIT 5 APO01.06, BAI06.01, DSS06.02‬‬
‫‪ISA 62443-3-3:2013 SR 3.1, SR 3.3, SR 3.4, SR 3.8‬‬
‫‪ISO/IEC 27001:2013 A.12.2.1, A.12.5.1, A.14.1.2,‬‬
‫‪A.14.1.3, A.14.2.4‬‬
‫‪NIST SP 800-53 Rev. 4 SC-16, SI-7‬‬
‫‪PR.DS-7:‬‬
‫أن ﯾﺘﻢ اﻟﻔﺼﻞ ﺑﯿﻦ ﺑﯿﺌﺔ )ﺑﯿﺌﺎت( اﻟﺘﻄﻮﯾﺮ واﻻﺧﺘﺒﺎر وﺑﯿﻦ ﺑﯿﺌﺔ‬
‫اﻹﻧﺘﺎج‬
‫‪CIS CSC 18, 20‬‬
‫‪COBIT 5 BAI03.08, BAI07.04‬‬
‫‪ISO/IEC 27001:2013 A.12.1.4‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫‪PR.DS-8:‬‬
‫ﯾﺘﻢ اﺳﺘﺨﺪام آﻟﯿﺎت اﻟﺘﺤﻘﻖ ﻣﻦ اﻟﺴﻼﻣﺔ ﻟﻠﺘﺤﻘﻖ ﻣﻦ ﺳﻼﻣﺔ‬
‫اﻷﺟﮭﺰة‬
‫ﻋﻤﻠﯿﺎت وإﺟﺮاءات ﺣﻤﺎﯾﺔ اﻟﻤﻌﻠﻮﻣﺎت‬
‫‪Information Protection Processes and‬‬
‫‪Procedures (PR.IP):‬‬
‫ﯾﺘﻢ ﺻﯿﺎﻧﺔ اﻟﺴﯿﺎﺳﺎت اﻷﻣﻨﯿﺔ )اﻟﻤﻌﻨﯿﺔ ﺑﺎﻟﮭﺪف‬
‫واﻟﻨﻄﺎق واﻷدوار واﻟﻤﺴﺆوﻟﯿﺎت واﻻﻟﺘﺰام اﻹداري‬
‫واﻟﺘﻨﺴﯿﻖ ﺑﯿﻦ اﻟﻜﯿﺎﻧﺎت اﻟﺘﻨﻈﯿﻤﯿﺔ( واﻟﻌﻤﻠﯿﺎت‬
‫واﻹﺟﺮاءات‪ ،‬ﻛﻤﺎ ﯾﺘﻢ اﺳﺘﺨﺪاﻣﮭﺎ ﻹدارة ﺣﻤﺎﯾﺔ‬
‫أﻧﻈﻤﺔ اﻟﻤﻌﻠﻮﻣﺎت واﻷﺻﻮل‪.‬‬
‫‪PR.IP-1:‬‬
‫ﯾﺘﻢ إﻧﺸﺎء وﺻﯿﺎﻧﺔ ﺧﻂ اﻷﺳﺎس ﻹﻋﺪادات ﺗﻜﻨﻮﻟﻮﺟﯿﺎ‬
‫اﻟﻤﻌﻠﻮﻣﺎت‪/‬أﻧﻈﻤﺔ اﻟﺘﺤﻜﻢ اﻟﺼﻨﺎﻋﯿﺔ ﻣﻊ دﻣﺞ ﻣﺒﺎدئ اﻷﻣﻦ‬
‫)ﻣﺜﻞ ﻣﻔﮭﻮم اﻟﺤﺪ اﻷدﻧﻰ ﻣﻦ اﻟﻮظﺎﺋﻒ واﻟﺼﻼﺣﯿﺎت(‬
‫ﯾﺘﻢ ﺗﻄﺒﯿﻖ دورة ﺣﯿﺎة ﺗﻄﻮﯾﺮ اﻟﻦ ﻹدارة اﻷﻧﻈﻤﺔ‬
‫‪PR.IP-2:‬‬
‫‪PR.IP-3:‬‬
‫وﺟﻮد ﻋﻤﻠﯿﺎت اﻟﺘﺤﻜﻢ ﻓﻲ ﺗﻐﯿﯿﺮ اﻹﻋﺪادات‬
‫‪PR.IP-4:‬‬
‫‪34‬‬
‫‪NIST SP 800-53 Rev. 4 CM-2‬‬
‫‪COBIT 5 BAI03.05‬‬
‫‪ISA 62443-2-1:2009 4.3.4.4.4‬‬
‫‪ISO/IEC 27001:2013 A.11.2.4‬‬
‫‪NIST SP 800-53 Rev. 4 SA-10, SI-7‬‬
‫‪CIS CSC 3, 9, 11‬‬
‫‪COBIT 5 BAI10.01, BAI10.02, BAI10.03, BAI10.05‬‬
‫‪ISA 62443-2-1:2009 4.3.4.3.2, 4.3.4.3.3‬‬
‫‪ISA 62443-3-3:2013 SR 7.6‬‬
‫‪ISO/IEC 27001:2013 A.12.1.2, A.12.5.1, A.12.6.2,‬‬
‫‪A.14.2.2, A.14.2.3, A.14.2.4‬‬
‫‪NIST SP 800-53 Rev. 4 CM-2, CM-3, CM-4, CM-5,‬‬
‫‪CM-6, CM-7, CM-9, SA-10‬‬
‫‪CIS CSC 18‬‬
‫‪COBIT 5 APO13.01, BAI03.01, BAI03.02,‬‬
‫‪BAI03.03‬‬
‫‪ISA 62443-2-1:2009 4.3.4.3.3‬‬
‫‪ISO/IEC 27001:2013 A.6.1.5, A.14.1.1, A.14.2.1,‬‬
‫‪A.14.2.5‬‬
‫‪NIST SP 800-53 Rev. 4 PL-8, SA-3, SA-4, SA-8,‬‬
‫‪SA-10, SA-11, SA-12, SA-15, SA-17, SI-12, SI-13,‬‬
‫‪SI-14, SI-16, SI-17‬‬
‫‪CIS CSC 3, 11‬‬
‫‪COBIT 5 BAI01.06, BAI06.01‬‬
‫‪ISA 62443-2-1:2009 4.3.4.3.2, 4.3.4.3.3‬‬
‫‪ISA 62443-3-3:2013 SR 7.6‬‬
‫‪ISO/IEC 27001:2013 A.12.1.2, A.12.5.1, A.12.6.2,‬‬
‫‪A.14.2.2, A.14.2.3, A.14.2.4‬‬
‫‪NIST SP 800-53 Rev. 4 CM-3, CM-4, SA-10‬‬
‫‪CIS CSC 10‬‬
‫‪COBIT 5 APO13.01, DSS01.01, DSS04.07‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫ﯾﺘﻢ إﺟﺮاء ﻧﺴﺦ اﺣﺘﯿﺎطﻲ ﻟﻠﻤﻌﻠﻮﻣﺎت واﻟﺤﻔﺎظ ﻋﻠﯿﮭﺎ‬
‫واﺧﺘﺒﺎرھﺎ‬
‫‪PR.IP-5:‬‬
‫ﯾﺘﻢ اﻻﻟﺘﺰام ﺑﺎﻟﺴﯿﺎﺳﺎت واﻟﻠﻮاﺋﺢ اﻟﻤﺘﻌﻠﻘﺔ ﺑﺒﯿﺌﺔ اﻟﺘﺸﻐﯿﻞ اﻟﻤﺎدﯾﺔ‬
‫ﻷﺻﻮل اﻟﻤﻨﻈﻤﺔ‬
‫ﯾﺘﻢ إﺗﻼف اﻟﺒﯿﺎﻧﺎت وﻓﻘًﺎ ﻟﻠﺴﯿﺎﺳﺔ‬
‫ﯾﺘﻢ ﺗﺤﺴﯿﻦ ﻋﻤﻠﯿﺎت اﻟﺤﻤﺎﯾﺔ‬
‫ﯾﺘﻢ ﻣﺸﺎرﻛﺔ ﻓﻌﺎﻟﯿﺔ ﺗﻘﻨﯿﺎت اﻟﺤﻤﺎﯾﺔ‬
‫‪PR.IP-6:‬‬
‫‪PR.IP-7:‬‬
‫‪PR.IP-8:‬‬
‫‪PR.IP-9:‬‬
‫ﺧﻄﻂ اﻻﺳﺘﺠﺎﺑﺔ )اﻻﺳﺘﺠﺎﺑﺔ ﻟﻠﺤﻮادث واﺳﺘﻤﺮارﯾﺔ اﻷﻋﻤﺎل(‬
‫وﺧﻄﻂ اﻻﺳﺘﻌﺎدة )اﻻﺳﺘﻌﺎدة ﺑﻌﺪ اﻟﺤﻮادث واﻟﺘﻌﺎﻓﻲ ﻣﻦ‬
‫اﻟﻜﻮارث( ﻣﻮﺟﻮدة وﺗﺘﻢ إدارﺗﮭﺎ‬
‫‪35‬‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪ISA 62443-2-1:2009 4.3.4.3.9‬‬
‫‪ISA 62443-3-3:2013 SR 7.3, SR 7.4‬‬
‫‪ISO/IEC 27001:2013 A.12.3.1, A.17.1.2, A.17.1.3,‬‬
‫‪A.18.1.3‬‬
‫‪NIST SP 800-53 Rev. 4 CP-4, CP-6, CP-9‬‬
‫‪COBIT 5 DSS01.04, DSS05.05‬‬
‫‪ISA 62443-2-1:2009 4.3.3.3.1 4.3.3.3.2, 4.3.3.3.3,‬‬
‫‪4.3.3.3.5, 4.3.3.3.6‬‬
‫‪ISO/IEC 27001:2013 A.11.1.4, A.11.2.1, A.11.2.2,‬‬
‫‪A.11.2.3‬‬
‫‪NIST SP 800-53 Rev. 4 PE-10, PE-12, PE-13, PE‬‬‫‪14, PE-15, PE-18‬‬
‫‪COBIT 5 BAI09.03, DSS05.06‬‬
‫‪ISA 62443-2-1:2009 4.3.4.4.4‬‬
‫‪ISA 62443-3-3:2013 SR 4.2‬‬
‫‪ISO/IEC 27001:2013 A.8.2.3, A.8.3.1, A.8.3.2,‬‬
‫‪A.11.2.7‬‬
‫‪NIST SP 800-53 Rev. 4 MP-6‬‬
‫‪COBIT 5 APO11.06, APO12.06, DSS04.05‬‬
‫‪ISA 62443-2-1:2009 4.4.3.1, 4.4.3.2, 4.4.3.3, 4.4.3.4,‬‬
‫‪4.4.3.5, 4.4.3.6, 4.4.3.7, 4.4.3.8‬‬
‫‪ISO/IEC 27001:2013 A.16.1.6, Clause 9, Clause 10‬‬
‫‪NIST SP 800-53 Rev. 4 CA-2, CA-7, CP-2, IR-8,‬‬
‫‪PL-2, PM-6‬‬
‫‪COBIT 5 BAI08.04, DSS03.04‬‬
‫‪ISO/IEC 27001:2013 A.16.1.6‬‬
‫‪NIST SP 800-53 Rev. 4 AC-21, CA-7, SI-4‬‬
‫‪CIS CSC 19‬‬
‫‪COBIT 5 APO12.06, DSS04.03‬‬
‫‪ISA 62443-2-1:2009 4.3.2.5.3, 4.3.4.5.1‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫ﯾﺘﻢ اﺧﺘﺒﺎر ﺧﻄﻂ اﻻﺳﺘﺠﺎﺑﺔ واﻻﺳﺘﻌﺎدة‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪PR.IP-10:‬‬
‫‪PR.IP-11:‬‬
‫ﯾﺘﻢ ﺗﻀﻤﯿﻦ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻓﻲ ﻣﻤﺎرﺳﺎت اﻟﻤﻮارد اﻟﺒﺸﺮﯾﺔ‬
‫)ﻣﺜﻞ إﻟﻐﺎء ﺻﻼﺣﯿﺎت اﻟﻮﺻﻮل‪ ،‬واﻟﺘﺤﺮي ﻋﻦ اﻟﻤﻮظﻔﯿﻦ(‬
‫ﯾﺘﻢ ﺗﻄﻮﯾﺮ وﺗﻨﻔﯿﺬ ﺧﻄﺔ إدارة اﻟﺜﻐﺮات‬
‫اﻟﺼﯿﺎﻧﺔ‬
‫‪Maintenance (PR.MA):‬‬
‫ﯾﺘﻢ إﺟﺮاء ﺻﯿﺎﻧﺔ وإﺻﻼح ﻣﻜﻮﻧﺎت ﻧﻈﻢ اﻟﺘﺤﻜﻢ‬
‫اﻟﺼﻨﺎﻋﻲ وﻧﻈﻢ اﻟﻤﻌﻠﻮﻣﺎت ﺑﻤﺎ ﯾﺘﻔﻖ ﻣﻊ اﻟﺴﯿﺎﺳﺎت‬
‫واﻹﺟﺮاءات‪.‬‬
‫‪36‬‬
‫‪PR.IP-12:‬‬
‫‪PR.MA-1:‬‬
‫ﯾﺘﻢ إﺟﺮاء وﺗﺴﺠﯿﻞ ﻋﻤﻠﯿﺔ ﺻﯿﺎﻧﺔ اﻷﺻﻮل اﻟﺘﺎﺑﻌﺔ ﻟﻠﻤﻨﻈﻤﺔ‬
‫ﺑﺎﺳﺘﺨﺪام أدوات ﻣﻌﺘﻤﺪة وﺗﺨﻀﻊ ﻟﻠﺘﺤﻜﻢ‬
‫‪ISO/IEC 27001:2013 A.16.1.1, A.17.1.1,‬‬
‫‪A.17.1.2, A.17.1.3‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, CP-7, CP-12, CP‬‬‫‪13, IR-7, IR-8, IR-9, PE-17‬‬
‫‪CIS CSC 19, 20‬‬
‫‪COBIT 5 DSS04.04‬‬
‫‪ISA 62443-2-1:2009 4.3.2.5.7, 4.3.4.5.11‬‬
‫‪ISA 62443-3-3:2013 SR 3.3‬‬
‫‪ISO/IEC 27001:2013 A.17.1.3‬‬
‫‪NIST SP 800-53 Rev. 4 CP-4, IR-3, PM-14‬‬
‫‪CIS CSC 5, 16‬‬
‫‪COBIT 5 APO07.01, APO07.02, APO07.03,‬‬
‫‪APO07.04, APO07.05‬‬
‫‪ISA 62443-2-1:2009 4.3.3.2.1, 4.3.3.2.2,‬‬
‫‪4.3.3.2.3‬‬
‫‪ISO/IEC 27001:2013 A.7.1.1, A.7.1.2, A.7.2.1,‬‬
‫‪A.7.2.2, A.7.2.3, A.7.3.1, A.8.1.4‬‬
‫‪NIST SP 800-53 Rev. 4 PS-1, PS-2, PS-3, PS-4,‬‬
‫‪PS-5, PS-6, PS-7, PS-8, SA-21‬‬
‫‪CIS CSC 4, 18, 20‬‬
‫‪COBIT 5 BAI03.10, DSS05.01, DSS05.02‬‬
‫‪ISO/IEC 27001:2013 A.12.6.1, A.14.2.3, A.16.1.3,‬‬
‫‪A.18.2.2, A.18.2.3‬‬
‫‪NIST SP 800-53 Rev. 4 RA-3, RA-5, SI-2‬‬
‫‪COBIT 5 BAI03.10, BAI09.02, BAI09.03,‬‬
‫‪DSS01.05‬‬
‫‪ISA 62443-2-1:2009 4.3.3.3.7‬‬
‫‪ISO/IEC 27001:2013 A.11.1.2, A.11.2.4, A.11.2.5,‬‬
‫‪A.11.2.6‬‬
‫‪NIST SP 800-53 Rev. 4 MA-2, MA-3, MA-5, MA-6‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫اﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ اﻟﻮﻗﺎﺋﯿﺔ‬
‫‪Protective Technology (PR.PT):‬‬
‫ﺗﺘﻢ إدارة ﺣﻠﻮل اﻷﻣﻦ اﻟﺘﻘﻨﯿﺔ ﻟﻀﻤﺎن أﻣﻦ وﺻﻤﻮد‬
‫اﻷﻧﻈﻤﺔ واﻷﺻﻮل‪ ،‬ﺑﻤﺎ ﯾﺘﻔﻖ ﻣﻊ اﻟﺴﯿﺎﺳﺎت‬
‫واﻹﺟﺮاءات واﻻﺗﻔﺎﻗﯿﺎت ذات اﻟﺼﻠﺔ‪.‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫‪PR.MA-2:‬‬
‫ﺗﺘﻢ اﻟﻤﻮاﻓﻘﺔ ﻋﻠﻰ اﻟﺼﯿﺎﻧﺔ ﻋﻦ ﺑُﻌﺪ ﻷﺻﻮل اﻟﻤﻨﻈﻤﺔ وﺗﺴﺠﯿﻠﮭﺎ‬
‫وﺗﻨﻔﯿﺬھﺎ ﺑﻄﺮﯾﻘﺔ ﺗﻤﻨﻊ اﻟﻮﺻﻮل ﻏﯿﺮ اﻟﻤﺼﺮح ﺑﮫ‬
‫‪PR.PT-1:‬‬
‫ﯾﺘﻢ ﺗﺤﺪﯾﺪ أرﺷﯿﻒ اﻟﺘﺪﻗﯿﻖ‪/‬اﻟﺴﺠﻼت وﺗﻮﺛﯿﻘﮫ وﺗﻄﺒﯿﻘﮫ‬
‫وﻣﺮاﺟﻌﺘﮫ وﻓﻘًﺎ ﻟﻠﺴﯿﺎﺳﺔ‬
‫‪PR.PT-2:‬‬
‫أن ﺗﻜﻮن اﻟﻮﺳﺎﺋﻂ اﻟﻘﺎﺑﻠﺔ ﻟﻺزاﻟﺔ ﻣﺤﻤﯿﺔ وﯾﺘﻢ ﺗﻘﯿﯿﺪ اﺳﺘﺨﺪاﻣﮭﺎ‬
‫وﻓﻘًﺎ ﻟﻠﺴﯿﺎﺳﺔ‬
‫‪PR.PT-3:‬‬
‫ﯾﺘﻢ اﻟﻌﻤﻞ ﺑﻤﺒﺪأ اﻟﺤﺪ اﻷدﻧﻰ ﻣﻦ اﻟﻮظﺎﺋﻒ واﻟﺼﻼﺣﯿﺎت ﻋﻦ‬
‫طﺮﯾﻖ ﺗﮭﯿﺌﺔ اﻷﻧﻈﻤﺔ ﻟﺘﻮﻓﯿﺮ اﻹﻣﻜﺎﻧﯿﺎت اﻷﺳﺎﺳﯿﺔ ﻓﻘﻂ‬
‫‪37‬‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪CIS CSC 3, 5‬‬
‫‪COBIT 5 DSS05.04‬‬
‫‪ISA 62443-2-1:2009 4.3.3.6.5, 4.3.3.6.6, 4.3.3.6.7,‬‬
‫‪4.3.3.6.8‬‬
‫‪ISO/IEC 27001:2013 A.11.2.4, A.15.1.1, A.15.2.1‬‬
‫‪NIST SP 800-53 Rev. 4 MA-4‬‬
‫‪CIS CSC 1, 3, 5, 6, 14, 15, 16‬‬
‫‪COBIT 5 APO11.04, BAI03.05, DSS05.04,‬‬
‫‪DSS05.07, MEA02.01‬‬
‫‪ISA 62443-2-1:2009 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7,‬‬
‫‪4.4.2.1, 4.4.2.2, 4.4.2.4‬‬
‫‪ISA 62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10, SR‬‬
‫‪2.11, SR 2.12‬‬
‫‪ISO/IEC 27001:2013 A.12.4.1, A.12.4.2, A.12.4.3,‬‬
‫‪A.12.4.4, A.12.7.1‬‬
‫‪NIST SP 800-53 Rev. 4 AU Family‬‬
‫‪CIS CSC 8, 13‬‬
‫‪COBIT 5 APO13.01, DSS05.02, DSS05.06‬‬
‫‪ISA 62443-3-3:2013 SR 2.3‬‬
‫‪ISO/IEC 27001:2013 A.8.2.1, A.8.2.2, A.8.2.3,‬‬
‫‪A.8.3.1, A.8.3.3, A.11.2.9‬‬
‫‪NIST SP 800-53 Rev. 4 MP-2, MP-3, MP-4, MP-5,‬‬
‫‪MP-7, MP-8‬‬
‫‪CIS CSC 3, 11, 14‬‬
‫‪COBIT 5 DSS05.02, DSS05.05, DSS06.06‬‬
‫‪ISA 62443-2-1:2009 4.3.3.5.1, 4.3.3.5.2, 4.3.3.5.3,‬‬
‫‪4.3.3.5.4, 4.3.3.5.5, 4.3.3.5.6, 4.3.3.5.7, 4.3.3.5.8,‬‬
‫‪4.3.3.6.1, 4.3.3.6.2, 4.3.3.6.3, 4.3.3.6.4, 4.3.3.6.5,‬‬
‫‪4.3.3.6.6, 4.3.3.6.7, 4.3.3.6.8, 4.3.3.6.9, 4.3.3.7.1,‬‬
‫‪4.3.3.7.2, 4.3.3.7.3, 4.3.3.7.4‬‬
‫‪ISA 62443-3-3:2013 SR 1.1, SR 1.2, SR 1.3, SR 1.4,‬‬
‫‪SR 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 1.10, SR‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫)‪DETECT (DE‬‬
‫اﻟﺸــﺬوذ واﻷﺣــﺪاث‬
‫‪Anomalies and Events (DE.AE):‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫‪PR.PT-4:‬‬
‫ﯾﺘﻢ ﺣﻤﺎﯾﺔ اﻻﺗﺼﺎﻻت وﺷﺒﻜﺎت اﻟﺘﺤﻜﻢ‬
‫‪PR.PT-5:‬‬
‫ﯾﺘﻢ ﺗﻄﺒﯿﻖ اﻵﻟﯿﺎت )ﻣﺜﻞ اﻟﻔﺸﻞ اﻵﻣﻦ‪ ،‬ﻣﻮازﻧﺔ اﻟﺤﻤﻞ‪ ،‬اﻟﺘﺒﺎدل‬
‫اﻟﺴﺮﯾﻊ( ﻟﺘﺤﻘﯿﻖ ﻣﺘﻄﻠﺒﺎت اﻟﺼﻤﻮد ﻓﻲ اﻟﻤﻮاﻗﻒ اﻟﻌﺎدﯾﺔ‬
‫واﻟﻤﻮاﻗﻒ اﻟﺨﻄﺮة‪.‬‬
‫اﻟﺮﺻـــــــــﺪ‬
‫ﯾﺘﻢ رﺻﺪ اﻟﻨﺸﺎط ﻏﯿﺮ اﻟﻄﺒﯿﻌﻲ‬
‫وﻓﮭﻢ اﻷﺛﺮ اﻟﻤﺤﺘﻤﻞ ﻟﻸﺣﺪاث‬
‫‪38‬‬
‫‪DE.AE-1:‬‬
‫ﯾﺘﻢ ﺗﺄﺳﯿﺲ وإدارة ﺧﻂ اﻷﺳﺎس ﻟﻌﻤﻠﯿﺎت اﻟﺸﺒﻜﺔ واﻟﺘﺪﻓﻖ‬
‫اﻟﻤﺘﻮﻗﻊ ﻟﻠﺒﯿﺎﻧﺎت ﻟﻠﻤﺴﺘﺨﺪﻣﯿﻦ واﻷﻧﻈﻤﺔ‬
‫‪DE.AE-2:‬‬
‫ﯾﺘﻢ ﺗﺤﻠﯿﻞ اﻷﺣﺪاث اﻟﺘﻲ ﺗﻢ رﺻﺪھﺎ ﻟﻔﮭﻢ أھﺪاف وطﺮق‬
‫اﻟﮭﺠﻮم‬
‫‪1.11, SR 1.12, SR 1.13, SR 2.1, SR 2.2, SR 2.3, SR 2.4,‬‬
‫‪SR 2.5, SR 2.6, SR 2.7‬‬
‫‪ISO/IEC 27001:2013 A.9.1.2‬‬
‫‪NIST SP 800-53 Rev. 4 AC-3, CM-7‬‬
‫‪CIS CSC 8, 12, 15‬‬
‫‪COBIT 5 DSS05.02, APO13.01‬‬
‫‪ISA 62443-3-3:2013 SR 3.1, SR 3.5, SR 3.8, SR 4.1,‬‬
‫‪SR 4.3, SR 5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6‬‬
‫‪ISO/IEC 27001:2013 A.13.1.1, A.13.2.1, A.14.1.3‬‬
‫‪NIST SP 800-53 Rev. 4 AC-4, AC-17, AC-18, CP-8,‬‬
‫‪SC-7, SC-19, SC-20, SC-21, SC-22, SC-23, SC-24, SC‬‬‫‪25, SC-29, SC-32, SC-36, SC-37, SC-38, SC-39, SC-40,‬‬
‫‪SC-41, SC-43‬‬
‫‪COBIT 5 BAI04.01, BAI04.02, BAI04.03, BAI04.04,‬‬
‫‪BAI04.05, DSS01.05‬‬
‫‪ISA 62443-2-1:2009 4.3.2.5.2‬‬
‫‪ISA 62443-3-3:2013 SR 7.1, SR 7.2‬‬
‫‪ISO/IEC 27001:2013 A.17.1.2, A.17.2.1‬‬
‫‪NIST SP 800-53 Rev. 4 CP-7, CP-8, CP-11, CP-13,‬‬
‫‪PL-8, SA-14, SC-6‬‬
‫‪CIS CSC 1, 4, 6, 12, 13, 15, 16‬‬
‫‪COBIT 5 DSS03.01‬‬
‫‪ISA 62443-2-1:2009 4.4.3.3‬‬
‫‪ISO/IEC 27001:2013 A.12.1.1, A.12.1.2,‬‬
‫‪A.13.1.1, A.13.1.2‬‬
‫‪NIST SP 800-53 Rev. 4 AC-4, CA-3, CM-2, SI-4‬‬
‫‪CIS CSC 3, 6, 13, 15‬‬
‫‪COBIT 5 DSS05.07‬‬
‫‪ISA 62443-2-1:2009 4.3.4.5.6, 4.3.4.5.7, 4.3.4.5.8‬‬
‫‪ISA 62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10, SR‬‬
‫‪2.11, SR 2.12, SR 3.9, SR 6.1, SR 6.2‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫‪DE.AE-3:‬‬
‫ﯾﺘﻢ ﺟﻤﻊ ﺑﯿﺎﻧﺎت اﻷﺣﺪاث واﻟﺮﺑﻂ ﻓﯿﻤﺎ ﺑﯿﻨﮭﺎ ﻣﻦ ﻣﺼﺎدر‬
‫وﻣﺴﺘﺸﻌﺮات ﻣﺘﻌﺪدة‬
‫‪DE.AE-5:‬‬
‫‪CIS CSC 6, 19‬‬
‫‪COBIT 5 APO12.06, DSS03.01‬‬
‫‪ISA 62443-2-1:2009 4.2.3.10‬‬
‫‪ISO/IEC 27001:2013 A.16.1.4‬‬
‫‪NIST SP 800-53 Rev. 4 IR-4, IR-5, IR-8‬‬
‫‪CIS CSC 1, 7, 8, 12, 13, 15, 16‬‬
‫‪COBIT 5 DSS01.03, DSS03.05, DSS05.07‬‬
‫‪ISA 62443-3-3:2013 SR 6.2‬‬
‫‪NIST SP 800-53 Rev. 4 AC-2, AU-12, CA-7, CM‬‬‫‪3, SC-5, SC-7, SI-4‬‬
‫‪COBIT 5 DSS01.04, DSS01.05‬‬
‫‪ISA 62443-2-1:2009 4.3.3.3.8‬‬
‫‪ISO/IEC 27001:2013 A.11.1.1, A.11.1.2‬‬
‫‪NIST SP 800-53 Rev. 4 CA-7, PE-3, PE-6, PE-20‬‬
‫‪CIS CSC 5, 7, 14, 16‬‬
‫‪COBIT 5 DSS05.07‬‬
‫ﯾﺘﻢ إﻧﺸﺎء ﻋﺘﺒﺎت اﻟﺘﻨﺒﯿﮫ ﻣﻦ اﻷﺣﺪاث‬
‫‪Security Continuous Monitoring‬‬
‫‪(DE.CM):‬‬
‫ﯾﺘﻢ رﺻﺪ ﻧﻈﺎم اﻟﻤﻌﻠﻮﻣﺎت واﻷﺻﻮل ﻟﺘﺤﺪﯾﺪ‬
‫أﺣﺪاث اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ واﻟﺘﺤﻘﻖ ﻣﻦ‬
‫ﻓﻌﺎﻟﯿﺔ ﺗﺪاﺑﯿﺮ اﻟﺤﻤﺎﯾﺔ‪.‬‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪ISO/IEC 27001:2013 A.12.4.1, A.16.1.1, A.16.1.4‬‬
‫‪NIST SP 800-53 Rev. 4 AU-6, CA-7, IR-4, SI-4‬‬
‫‪CIS CSC 1, 3, 4, 5, 6, 7, 8, 11, 12, 13, 14, 15, 16‬‬
‫‪COBIT 5 BAI08.02‬‬
‫‪ISA 62443-3-3:2013 SR 6.1‬‬
‫‪ISO/IEC 27001:2013 A.12.4.1, A.16.1.7‬‬
‫‪NIST SP 800-53 Rev. 4 AU-6, CA-7, IR-4, IR-5,‬‬
‫‪IR-8, SI-4‬‬
‫‪CIS CSC 4, 6‬‬
‫‪COBIT 5 APO12.06, DSS03.01‬‬
‫‪ISO/IEC 27001:2013 A.16.1.4‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, IR-4, RA-3, SI-4‬‬
‫ﯾﺘﻢ ﺗﺤﺪﯾﺪ ﺗﺄﺛﯿﺮ اﻷﺣﺪاث‬
‫اﻟﺮﻗﺎﺑﺔ اﻷﻣﻨﯿﺔ اﻟﺪاﺋﻤﺔ‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫‪DE.AE-4:‬‬
‫‪DE.CM-1:‬‬
‫ﯾﺘﻢ ﻣﺮاﻗﺒﺔ اﻟﺸﺒﻜﺔ ﻟﻠﻜﺸﻒ ﻋﻦ اﻷﺣﺪاث اﻟﻤﺤﺘﻤﻠﺔ ﻟﻸﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ‬
‫‪DE.CM-2:‬‬
‫ﯾﺘﻢ رﺻﺪ اﻟﺒﯿﺌﺔ اﻟﻤﺎدﯾﺔ ﻟﻠﻜﺸﻒ ﻋﻦ اﻷﺣﺪاث اﻟﻤﺤﺘﻤﻠﺔ ﻟﻸﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ‬
‫‪DE.CM-3:‬‬
‫‪39‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫ﯾﺘﻢ ﻣﺮاﻗﺒﺔ ﻧﺸﺎط اﻟﻤﻮظﻔﯿﻦ ﻟﻠﻜﺸﻒ ﻋﻦ اﻷﺣﺪاث اﻟﻤﺤﺘﻤﻠﺔ‬
‫ﻟﻸﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫ﯾﺘﻢ رﺻﺪ اﻷﻛﻮاد اﻟﺨﺒﯿﺜﺔ‬
‫ﯾﺘﻢ رﺻﺪ اﻷﻛﻮاد اﻟﻤﺘﻨﻘﻠﺔ اﻟﻐﯿﺮ ﻣﺼﺮح ﺑﮭﺎ‬
‫‪DE.CM-4:‬‬
‫‪DE.CM-5:‬‬
‫‪DE.CM-6:‬‬
‫ﯾﺘﻢ ﻣﺮاﻗﺒﺔ ﻧﺸﺎط ﻣﺰود اﻟﺨﺪﻣﺔ اﻟﺨﺎرﺟﻲ ﻟﺮﺻﺪ اﻷﺣﺪاث‬
‫اﻟﻤﺤﺘﻤﻠﺔ ﻟﻸﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫‪DE.CM-7:‬‬
‫ﯾﺘﻢ ﻣﺮاﻗﺒﺔ اﻟﻤﻮظﻔﯿﻦ‪ ،‬واﻻﺗﺼﺎﻻت‪ ،‬واﻷﺟﮭﺰة‪ ،‬واﻟﺒﺮﻣﺠﯿﺎت‬
‫اﻟﻐﯿﺮ اﻟﻤﺼﺮح ﺑﮭﺎ‬
‫ﯾﺘﻢ اﻟﺒﺤﺚ ﻋﻦ اﻟﺜﻐﺮات‬
‫‪40‬‬
‫‪DE.CM-8:‬‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪ISA 62443-3-3:2013 SR 6.2‬‬
‫‪ISO/IEC 27001:2013 A.12.4.1, A.12.4.3‬‬
‫‪NIST SP 800-53 Rev. 4 AC-2, AU-12, AU-13,‬‬
‫‪CA-7, CM-10, CM-11‬‬
‫‪CIS CSC 4, 7, 8, 12‬‬
‫‪COBIT 5 DSS05.01‬‬
‫‪ISA 62443-2-1:2009 4.3.4.3.8‬‬
‫‪ISA 62443-3-3:2013 SR 3.2‬‬
‫‪ISO/IEC 27001:2013 A.12.2.1‬‬
‫‪NIST SP 800-53 Rev. 4 SI-3, SI-8‬‬
‫‪CIS CSC 7, 8‬‬
‫‪COBIT 5 DSS05.01‬‬
‫‪ISA 62443-3-3:2013 SR 2.4‬‬
‫‪ISO/IEC 27001:2013 A.12.5.1, A.12.6.2‬‬
‫‪NIST SP 800-53 Rev. 4 SC-18, SI-4, SC-44‬‬
‫‪COBIT 5 APO07.06, APO10.05‬‬
‫‪ISO/IEC 27001:2013 A.14.2.7, A.15.2.1‬‬
‫‪NIST SP 800-53 Rev. 4 CA-7, PS-7, SA-4, SA-9,‬‬
‫‪SI-4‬‬
‫‪CIS CSC 1, 2, 3, 5, 9, 12, 13, 15, 16‬‬
‫‪COBIT 5 DSS05.02, DSS05.05‬‬
‫‪ISO/IEC 27001:2013 A.12.4.1, A.14.2.7, A.15.2.1‬‬
‫‪NIST SP 800-53 Rev. 4 AU-12, CA-7, CM-3,‬‬
‫‪CM-8, PE-3, PE-6, PE-20, SI-4‬‬
‫‪CIS CSC 4, 20‬‬
‫‪COBIT 5 BAI03.10, DSS05.01‬‬
‫‪ISA 62443-2-1:2009 4.2.3.1, 4.2.3.7‬‬
‫‪ISO/IEC 27001:2013 A.12.6.1‬‬
‫‪NIST SP 800-53 Rev. 4 RA-5‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫اﻻﺳـــــــﺘﺠﺎﺑﺔ‬
‫ﺧﻄﺔ اﻻﺳﺘﺠﺎﺑﺔ‬
‫‪Response Planning (RS.RP):‬‬
‫ﻋﻤﻠﯿﺎت اﻟﺮﺻﺪ‬
‫‪Detection Processes (DE.DP):‬‬
‫ﯾﺘﻢ اﻻﺣﺘﻔﺎظ ﺑﻌﻤﻠﯿﺎت وإﺟﺮاءات اﻟﺮﺻﺪ‬
‫واﺧﺘﺒﺎرھﺎ ﻟﻀﻤﺎن اﻟﻮﻋﻲ ﺑﺎﻷﺣﺪاث اﻟﺸﺎذة‪.‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫‪DE.DP-1:‬‬
‫أن ﺗﻜﻮن أدوار وﻣﺴﺆوﻟﯿﺎت اﻟﺮﺻﺪ ﻣﺤﺪدة ﺑﺸﻜﻞ ﺟﯿﺪ‬
‫ﻟﻀﻤﺎن اﻟﻤﺴﺎءﻟﺔ‬
‫‪DE.DP-2:‬‬
‫أن ﺗﺘﻮاﻓﻖ أﻧﺸﻄﺔ اﻟﻜﺸﻒ ﻣﻊ ﺟﻤﯿﻊ اﻟﻤﺘﻄﻠﺒﺎت اﻟﻤﻨﻄﺒﻘﺔ‬
‫ﯾﺘﻢ اﺧﺘﺒﺎر ﻋﻤﻠﯿﺎت ااﻟﺮﺻﺪ‬
‫ﯾﺘﻢ إرﺳﺎل ﻣﻌﻠﻮﻣﺎت رﺻﺪ اﻷﺣﺪاث‬
‫ﯾﺘﻢ ﺗﺤﺴﯿﻦ ﻋﻤﻠﯿﺎت اﻟﺮﺻﺪ ﺑﺸﻜﻞ ﻣﺴﺘﻤﺮ‬
‫‪41‬‬
‫‪DE.DP-3:‬‬
‫‪DE.DP-4:‬‬
‫‪DE.DP-5:‬‬
‫‪RS.RP-1:‬‬
‫ﯾﺘﻢ ﺗﻨﻔﯿﺬ ﺧﻄﺔ اﻻﺳﺘﺠﺎﺑﺔ أﺛﻨﺎء أو ﺑﻌﺪ وﻗﻮع ﺣﺎدث‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪CIS CSC 19‬‬
‫‪COBIT 5 APO01.02, DSS05.01, DSS06.03‬‬
‫‪ISA 62443-2-1:2009 4.4.3.1‬‬
‫‪ISO/IEC 27001:2013 A.6.1.1, A.7.2.2‬‬
‫‪NIST SP 800-53 Rev. 4 CA-2, CA-7, PM-14‬‬
‫‪COBIT 5 DSS06.01, MEA03.03, MEA03.04‬‬
‫‪ISA 62443-2-1:2009 4.4.3.2‬‬
‫‪ISO/IEC 27001:2013 A.18.1.4, A.18.2.2, A.18.2.3‬‬
‫‪NIST SP 800-53 Rev. 4 AC-25, CA-2, CA-7, SA‬‬‫‪18, SI-4, PM-14‬‬
‫‪COBIT 5 APO13.02, DSS05.02‬‬
‫‪ISA 62443-2-1:2009 4.4.3.2‬‬
‫‪ISA 62443-3-3:2013 SR 3.3‬‬
‫‪ISO/IEC 27001:2013 A.14.2.8‬‬
‫‪NIST SP 800-53 Rev. 4 CA-2, CA-7, PE-3, SI-3,‬‬
‫‪SI-4, PM-14‬‬
‫‪CIS CSC 19‬‬
‫‪COBIT 5 APO08.04, APO12.06, DSS02.05‬‬
‫‪ISA 62443-2-1:2009 4.3.4.5.9‬‬
‫‪ISA 62443-3-3:2013 SR 6.1‬‬
‫‪ISO/IEC 27001:2013 A.16.1.2, A.16.1.3‬‬
‫‪NIST SP 800-53 Rev. 4 AU-6, CA-2, CA-7, RA-5,‬‬
‫‪SI-4‬‬
‫‪COBIT 5 APO11.06, APO12.06, DSS04.05‬‬
‫‪ISA 62443-2-1:2009 4.4.3.4‬‬
‫‪ISO/IEC 27001:2013 A.16.1.6‬‬
‫‪NIST SP 800-53 Rev. 4, CA-2, CA-7, PL-2, RA-5,‬‬
‫‪SI-4, PM-14‬‬
‫‪CIS CSC 19‬‬
‫‪COBIT 5 APO12.06, BAI01.10‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫)‪Respond (RS‬‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫ﯾﺘﻢ ﺗﻨﻔﯿﺬ وﺻﯿﺎﻧﺔ ﻋﻤﻠﯿﺎت وإﺟﺮاءات اﻻﺳﺘﺠﺎﺑﺔ‪،‬‬
‫ﻟﻀﻤﺎن اﻻﺳﺘﺠﺎﺑﺔ ﻟﺤﻮادث اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‬
‫اﻟﻤﺮﺻﻮدة‪.‬‬
‫اﻻﺗﺼﺎﻻت‬
‫‪Communications (RS.CO):‬‬
‫ﯾﺘﻢ ﺗﻨﺴﯿﻖ أﻧﺸﻄﺔ اﻻﺳﺘﺠﺎﺑﺔ ﻣﻊ أﺻﺤﺎب‬
‫اﻟﻤﺼﻠﺤﺔ اﻟﺪاﺧﻠﯿﯿﻦ واﻟﺨﺎرﺟﯿﯿﻦ )ﻣﺜﻞ اﻟﺪﻋﻢ‬
‫اﻟﺨﺎرﺟﻲ ﻣﻦ وﻛﺎﻻت إﻧﻔﺎذ اﻟﻘﺎﻧﻮن(‪.‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫‪RS.CO-1:‬‬
‫ﯾﻌﺮف اﻟﻤﻮظﻔﻮن أدوارھﻢ وﺗﺮﺗﯿﺐ اﻟﻌﻤﻠﯿﺎت ﻋﻨﺪ اﻟﺤﺎﺟﺔ‬
‫إﻟﻰ اﻻﺳﺘﺠﺎﺑﺔ‬
‫‪RS.CO-2:‬‬
‫ﯾﺘﻢ اﻹﺑﻼغ ﻋﻦ اﻟﺤﻮادث ﺑﻤﺎ ﯾﺘﻔﻖ ﻣﻊ اﻟﻤﻌﺎﯾﯿﺮ اﻟﻤﻌﻤﻮل‬
‫ﺑﮭﺎ‬
‫‪RS.CO-3:‬‬
‫ﯾﺘﻢ ﻣﺸﺎرﻛﺔ اﻟﻤﻌﻠﻮﻣﺎت ﺑﻤﺎ ﯾﺘﻔﻖ ﻣﻊ ﺧﻄﻂ اﻻﺳﺘﺠﺎﺑﺔ‬
‫‪RS.CO-4:‬‬
‫ﯾﺘﻢ اﻟﺘﻨﺴﯿﻖ ﻣﻊ أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ ﺑﻤﺎ ﯾﺘﻔﻖ ﻣﻊ ﺧﻄﻂ‬
‫اﻻﺳﺘﺠﺎﺑﺔ‬
‫‪RS.CO-5:‬‬
‫وﺟﻮد ﺗﺒﺎدل طﻮﻋﻲ ﻟﻠﻤﻌﻠﻮﻣﺎت ﻣﻊ أﺻﺤﺎب اﻟﻤﺼﻠﺤﺔ‬
‫اﻟﺨﺎرﺟﯿﯿﻦ ﻟﺘﺤﻘﯿﻖ اﻟﻮﻋﻲ ﺑﺎﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻋﻠﻰ ﻧﻄﺎق‬
‫أوﺳﻊ‬
‫‪42‬‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪ISA 62443-2-1:2009 4.3.4.5.1‬‬
‫‪ISO/IEC 27001:2013 A.16.1.5‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, CP-10, IR-4, IR-8‬‬
‫‪CIS CSC 19‬‬
‫‪COBIT 5 EDM03.02, APO01.02, APO12.03‬‬
‫‪ISA 62443-2-1:2009 4.3.4.5.2, 4.3.4.5.3, 4.3.4.5.4‬‬
‫‪ISO/IEC 27001:2013 A.6.1.1, A.7.2.2, A.16.1.1‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, CP-3, IR-3, IR-8‬‬
‫‪CIS CSC 19‬‬
‫‪COBIT 5 DSS01.03‬‬
‫‪ISA 62443-2-1:2009 4.3.4.5.5‬‬
‫‪ISO/IEC 27001:2013 A.6.1.3, A.16.1.2‬‬
‫‪NIST SP 800-53 Rev. 4 AU-6, IR-6, IR-8‬‬
‫‪CIS CSC 19‬‬
‫‪COBIT 5 DSS03.04‬‬
‫‪ISA 62443-2-1:2009 4.3.4.5.2‬‬
‫‪ISO/IEC 27001:2013 A.16.1.2, Clause 7.4, Clause‬‬
‫‪16.1.2‬‬
‫‪NIST SP 800-53 Rev. 4 CA-2, CA-7, CP-2, IR-4,‬‬
‫‪IR-8, PE-6, RA-5, SI-4‬‬
‫‪CIS CSC 19‬‬
‫‪COBIT 5 DSS03.04‬‬
‫‪ISA 62443-2-1:2009 4.3.4.5.5‬‬
‫‪ISO/IEC 27001:2013 Clause 7.4‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-8‬‬
‫‪CIS CSC 19‬‬
‫‪COBIT 5 BAI08.04‬‬
‫‪ISO/IEC 27001:2013 A.6.1.4‬‬
‫‪NIST SP 800-53 Rev. 4 SI-5, PM-15‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫اﻟﺘﺤﻠﯿﻞ‬
‫‪Analysis (RS.AN):‬‬
‫ﯾﺘﻢ إﺟﺮاء اﻟﺘﺤﻠﯿﻼت ﻟﻀﻤﺎن اﻻﺳﺘﺠﺎﺑﺔ اﻟﻔﻌﺎﻟﺔ ودﻋﻢ‬
‫أﻧﺸﻄﺔ اﻻﺳﺘﻌﺎدة‪.‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫‪RS.AN-1:‬‬
‫ﯾﺘﻢ اﻟﺘﺤﻘﯿﻖ ﻓﻲ اﻹﺷﻌﺎرات اﻟﻘﺎدﻣﺔ ﻣﻦ أﻧﻈﻤﺔ اﻟﺮﺻﺪ‬
‫ﯾﺘﻢ ﻓﮭﻢ اﻟﺘﺄﺛﯿﺮ اﻟﻨﺎﺗﺞ ﻋﻦ اﻟﺤﺎدث‬
‫ﯾﺘﻢ ﺗﻨﻔﯿﺬ اﻟﺘﺤﻠﯿﻞ اﻟﺠﻨﺎﺋﻲ‬
‫‪RS.AN-2:‬‬
‫‪RS.AN-3:‬‬
‫‪RS.AN-4:‬‬
‫ﯾﺘﻢ ﺗﺼﻨﯿﻒ اﻟﺤﻮادث ﺑﻤﺎ ﯾﺘﻔﻖ ﻣﻊ ﺧﻄﻂ اﻻﺳﺘﺠﺎﺑﺔ‬
‫اﻟﺘﺨﻔﯿﻒ‬
‫‪Mitigation (RS.MI):‬‬
‫ﯾﺘﻢ ﺗﻨﻔﯿﺬ اﻷﻧﺸﻄﺔ ﻟﻤﻨﻊ ﺗﻔﺎﻗﻢ اﻟﺤﺪث‪ ،‬وﻟﻠﺘﺨﻔﯿﻒ ﻣﻦ‬
‫آﺛﺎره‪ ،‬وﻟﺤﻞ اﻟﻤﺸﻜﻠﺔ‪.‬‬
‫‪43‬‬
‫‪RS.AN-5:‬‬
‫ﯾﺘﻢ إﻧﺸﺎء اﻟﻌﻤﻠﯿﺎت ﻟﺘﻠﻘﻲ وﺗﺤﻠﯿﻞ وﻣﻮاﺟﮭﺔ اﻟﺜﻐﺮات اﻟﺘﻲ‬
‫ﺗﻢ اﻟﻜﺸﻒ ﻋﻨﮭﺎ ﻟﻠﻤﻨﻈﻤﺔ ﻣﻦ ﻗﺒﻞ ﻣﺼﺎدر داﺧﻠﯿﺔ وﺧﺎرﺟﯿﺔ‬
‫)ﻣﺜﻞ اﻻﺧﺘﺒﺎرات اﻟﺪاﺧﻠﯿﺔ أو ﻧﺸﺮات اﻷﻣﻦ أو اﻟﺒﺎﺣﺜﯿﻦ‬
‫اﻷﻣﻨﯿﯿﻦ(‬
‫‪RS.MI-1:‬‬
‫ﯾﺘﻢ اﺣﺘﻮاء اﻟﺤﻮادث‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪CIS CSC 4, 6, 8, 19‬‬
‫‪COBIT 5 DSS02.04, DSS02.07‬‬
‫‪ISA 62443-2-1:2009 4.3.4.5.6, 4.3.4.5.7, 4.3.4.5.8‬‬
‫‪ISA 62443-3-3:2013 SR 6.1‬‬
‫‪ISO/IEC 27001:2013 A.12.4.1, A.12.4.3, A.16.1.5‬‬
‫‪NIST SP 800-53 Rev. 4 AU-6, CA-7, IR-4, IR-5,‬‬
‫‪PE-6, SI-4‬‬
‫‪COBIT 5 DSS02.02‬‬
‫‪ISA 62443-2-1:2009 4.3.4.5.6, 4.3.4.5.7, 4.3.4.5.8‬‬
‫‪ISO/IEC 27001:2013 A.16.1.4, A.16.1.6‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, IR-4‬‬
‫‪COBIT 5 APO12.06, DSS03.02, DSS05.07‬‬
‫‪ISA 62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10, SR‬‬
‫‪2.11, SR 2.12, SR 3.9, SR 6.1‬‬
‫‪ISO/IEC 27001:2013 A.16.1.7‬‬
‫‪NIST SP 800-53 Rev. 4 AU-7, IR-4‬‬
‫‪CIS CSC 19‬‬
‫‪COBIT 5 DSS02.02‬‬
‫‪ISA 62443-2-1:2009 4.3.4.5.6‬‬
‫‪ISO/IEC 27001:2013 A.16.1.4‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-5, IR-8‬‬
‫‪CIS CSC 4, 19‬‬
‫‪COBIT 5 EDM03.02, DSS05.07‬‬
‫‪NIST SP 800-53 Rev. 4 SI-5, PM-15‬‬
‫‪CIS CSC 19‬‬
‫‪COBIT 5 APO12.06‬‬
‫‪ISA 62443-2-1:2009 4.3.4.5.6‬‬
‫‪ISA 62443-3-3:2013 SR 5.1, SR 5.2, SR 5.4‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫‪ISO/IEC 27001:2013 A.12.2.1, A.16.1.5‬‬
‫‪NIST SP 800-53 Rev. 4 IR-4‬‬
‫‪RS.MI-2:‬‬
‫‪CIS CSC 4, 19‬‬
‫‪COBIT 5 APO12.06‬‬
‫‪ISA 62443-2-1:2009 4.3.4.5.6, 4.3.4.5.10‬‬
‫‪ISO/IEC 27001:2013 A.12.2.1, A.16.1.5‬‬
‫‪NIST SP 800-53 Rev. 4 IR-4‬‬
‫‪RS.MI-3:‬‬
‫ﯾﺘﻢ ﺗﺨﻔﯿﻒ اﻟﺜﻐﺮات اﻟﺘﻲ ﺗﻢ ﺗﺤﺪﯾﺪھﺎ ﺣﺪﯾﺜﺎ أو ﺗﻮﺛﯿﻘﮭﺎ‬
‫ﻋﻠﻰ أﻧﮭﺎ ﻣﺨﺎطﺮ ﻣﻘﺒﻮﻟﺔ‬
‫‪CIS CSC 4‬‬
‫‪COBIT 5 APO12.06‬‬
‫‪ISO/IEC 27001:2013 A.12.6.1‬‬
‫‪NIST SP 800-53 Rev. 4 CA-7, RA-3, RA-5‬‬
‫‪RS.IM-1:‬‬
‫‪COBIT 5 BAI01.13‬‬
‫‪ISA 62443-2-1:2009 4.3.4.5.10, 4.4.3.4‬‬
‫‪ISO/IEC 27001:2013 A.16.1.6, Clause 10‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-8‬‬
‫‪COBIT 5 BAI01.13, DSS04.08‬‬
‫‪ISO/IEC 27001:2013 A.16.1.6, Clause 10‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-8‬‬
‫‪CIS CSC 10‬‬
‫‪COBIT 5 APO12.06, DSS02.05, DSS03.04‬‬
‫‪ISO/IEC 27001:2013 A.16.1.5‬‬
‫‪NIST SP 800-53 Rev. 4 CP-10, IR-4, IR-8‬‬
‫‪RC.IM-1:‬‬
‫‪COBIT 5 APO12.06, BAI05.07, DSS04.08‬‬
‫‪ISA 62443-2-1:2009 4.4.3.4‬‬
‫ﯾﺘﻢ ﺗﺨﻔﯿﻒ اﻟﺤﻮادث‬
‫اﻟﺘﺤﺴﯿﻨﺎت‬
‫‪Improvements (RS.IM):‬‬
‫ﺗﺤﺴﯿﻦ أﻧﺸﻄﺔ اﻻﺳﺘﺠﺎﺑﺔ اﻟﺘﻨﻈﯿﻤﯿﺔ ﻣﻦ ﺧﻼل‬
‫دﻣﺞ اﻟﺪروس اﻟﻤﺴﺘﻔﺎدة ﻣﻦ أﻧﺸﻄﺔ‬
‫اﻟﺮﺻﺪ‪/‬اﻻﺳﺘﺠﺎﺑﺔ اﻟﺤﺎﻟﯿﺔ واﻟﺴﺎﺑﻘﺔ‪.‬‬
‫اﻻﺳـــــﺘﻌﺎدة‬
‫)‪RECOVER (RC‬‬
‫‪44‬‬
‫ﺧﻄﺔ اﻻﺳﺘﻌﺎدة‬
‫‪Recovery Planning (RC.RP):‬‬
‫ﯾﺘﻢ ﺗﻨﻔﯿﺬ ﻋﻤﻠﯿﺎت وإﺟﺮاءات اﻻﺳﺘﻌﺎدة‬
‫وﺻﯿﺎﻧﺘﮭﺎ ﻟﻀﻤﺎن اﺳﺘﻌﺎدة اﻟﻨﻈﻢ أو اﻷﺻﻮل‬
‫اﻟﻤﺘﺄﺛﺮة ﺑﺤﻮادث اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪.‬‬
‫اﻟﺘﺤﺴﯿﻨﺎت‬
‫‪Improvements (RC.IM):‬‬
‫ﺧﻄﻂ اﻻﺳﺘﺠﺎﺑﺔ ﺗﺘﻀﻤﻦ اﻟﺪروس اﻟﻤﺴﺘﻔﺎدة‬
‫ﯾﺘﻢ ﺗﺤﺪﯾﺚ اﺳﺘﺮاﺗﯿﺠﯿﺎت اﻻﺳﺘﺠﺎﺑﺔ‬
‫‪RS.IM-2:‬‬
‫‪RC.RP-1:‬‬
‫ﯾﺘﻢ ﺗﻨﻔﯿﺬ ﺧﻄﺔ اﻻﺳﺘﻌﺎدة ﺧﻼل أو ﺑﻌﺪ ﺣﺎدث اﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ‬
‫ﺧﻄﻂ اﻻﺳﺘﻌﺎدة ﺗﺘﻀﻤﻦ اﻟﺪروس اﻟﻤﺴﺘﻔﺎدة‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫ﯾﺘﻢ ﺗﺤﺴﯿﻦ ﺗﺨﻄﯿﻂ وﻋﻤﻠﯿﺎت اﻷﺳﺘﻌﺎدة ﻣﻦ‬
‫ﺧﻼل دﻣﺞ اﻟﺪروس اﻟﻤﺴﺘﻔﺎدة ﻓﻲ اﻷﻧﺸﻄﺔ‬
‫اﻟﻤﺴﺘﻘﺒﻠﯿﺔ‪.‬‬
‫اﻻﺗﺼﺎﻻت‬
‫‪Communications (RC.CO):‬‬
‫ﯾﺘﻢ ﺗﻨﺴﯿﻖ أﻧﺸﻄﺔ اﻻﺳﺘﻌﺎدة ﻣﻊ اﻷطﺮاف‬
‫اﻟﺪاﺧﻠﯿﺔ واﻟﺨﺎرﺟﯿﺔ )ﻋﻠﻰ ﺳﺒﯿﻞ اﻟﻤﺜﺎل‪ :‬ﻣﺮاﻛﺰ‬
‫اﻟﺘﻨﺴﯿﻖ وﻣﻘﺪﻣﻮ ﺧﺪﻣﺎت اﻹﻧﺘﺮﻧﺖ وأﺻﺤﺎب‬
‫أﻧﻈﻤﺔ اﻟﮭﺠﻮم واﻟﻀﺤﺎﯾﺎ وﻓﺮﯾﻖ اﻟﺘﻌﺎﻣﻞ ﻣﻊ‬
‫اﻟﺤﻮادث اﻷﻣﻨﯿﺔ اﻟﺤﺎﺳﻮﺑﯿﺔ واﻟﻤﻮردون‬
‫اﻵﺧﺮون(‪.‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‬
‫ﯾﺘﻢ ﺗﺤﺪﯾﺚ اﺳﺘﺮاﺗﯿﺠﯿﺎت اﻻﺳﺘﻌﺎدة‬
‫ﯾﺘﻢ إدارة ﺗﺪار اﻟﻌﻼﻗﺎت اﻟﻌﺎﻣﺔ‬
‫ﯾﺘﻢ ﺗﺤﺴﯿﻦ اﻟﺴﻤﻌﺔ ﺑﻌﺪ وﻗﻮع ﺣﺎدث‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‬
‫‪RC.IM-2:‬‬
‫‪RC.CO-1:‬‬
‫‪RC.CO-2:‬‬
‫‪RC.CO-3:‬‬
‫ﯾﺘﻢ إﺑﻼغ أﻧﺸﻄﺔ اﻻﺳﺘﻌﺎدة إﻟﻰ اﻟﺠﮭﺎت اﻟﻤﻌﻨﯿﺔ اﻟﺪاﺧﻠﯿﺔ‬
‫واﻟﺨﺎرﺟﯿﺔ ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ﻓﺮق اﻹدارة واﻟﺘﻨﻔﯿﺬ‬
‫‪ISO/IEC 27001:2013 A.16.1.6, Clause 10‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-8‬‬
‫‪COBIT 5 APO12.06, BAI07.08‬‬
‫‪ISO/IEC 27001:2013 A.16.1.6, Clause 10‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-8‬‬
‫‪COBIT 5 EDM03.02‬‬
‫‪ISO/IEC 27001:2013 A.6.1.4, Clause 7.4‬‬
‫‪COBIT 5 MEA03.02‬‬
‫‪ISO/IEC 27001:2013 Clause 7.4‬‬
‫‪COBIT 5 APO12.06‬‬
‫‪ISO/IEC 27001:2013 Clause 7.4‬‬
‫‪NIST SP 800-53 Rev. 4 CP-2, IR-4‬‬
‫ﯾﻤﻜﻦ اﻟﻌﺜﻮر ﻋﻠﻰ اﻟﻤﻌﻠﻮﻣﺎت اﻟﻤﺘﻌﻠﻘﺔ ﺑﺎﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ اﻟﻤﻮﺿﺤﺔ ﻓﻲ اﻟﻤﻠﺤﻖ )أ( ﻓﻲ اﻟﻤﻮاﻗﻊ اﻟﺘﺎﻟﯿﺔ‪:‬‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫‪45‬‬
‫ﺗﺤﺪﯾﺪ اﻷھﺪاف ﻟﻠﻤﻌﻠﻮﻣﺎت واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ اﻟﻤﺘﺼﻠﺔ ﺑﮭﺎ واﻟﺘﺤﻜﻢ ﻓﯿﮭﺎ )‪(COBIT‬‬
‫‪http://www.isaca.org/COBIT/Pages/default.aspx‬‬
‫اﻟﻀﻮاﺑﻂ اﻷﻣﻨﯿﺔ اﻟﺤﺮﺟﺔ ﻟﻠﺪﻓﺎع اﻟﺴﯿﺒﺮاﻧﻲ اﻟﻔﻌّــﺎل ‪(CIS Control): https://www.cisecurity.org‬‬
‫اﻟﻤﻌﮭﺪ اﻷﻣﺮﯾﻜﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ اﻟﻮطﻨﯿﺔ‪/‬اﻟﺠﻤﻤﯿﺔ اﻟﺪوﻟﯿﺔ ﻟﻠﺘﺸﻐﯿﻞ اﻵﻟﻲ ‪ (99.02.01)-2009 (ANSI/ISA) 62443-2-1‬ﻧﻈﺎم أﻣﻨﻲ اﻟﺘﺤﻜﻢ ﻓﻲ ﻋﻤﻠﯿﺔ اﻟﺘﺤﻮل ﻟﻶﻟﯿﺔ‪ :‬إﻧﺸـﺎء ﺑﺮﻧﺎﻣﺞ أﻣﻨﻲ ﻟﻠﺘﺤﻜﻢ ﻓﻲ‬
‫ﻋﻤﻠﯿﺔ اﻟﺘﺤﻮل اﻟﺼﻨﺎﻋﻲ اﻵﻟﻲ‬
‫‪https://www.isa.org/templates/one-column.aspx?pageid=111294&productId=116731‬‬
‫‪ ANSI/ISA-62443-3-3 (99.03.03)-2013,‬ﻧﻈﺎم أﻣﻨﻲ اﻟﺘﺤﻜﻢ ﻓﻲ ﻋﻤﻠﯿﺔ اﻟﺘﺤﻮل ﻟﻶﻟﯿﺔ‪ :‬ﻣﺘﻄﻠﺒﺎت اﻟﻨﻈﺎم اﻷﻣﻨﻲ وﻣﺴﺘﻮﯾﺎت اﻵﻣﺎن‪:‬‬
‫‪https://www.isa.org/templates/one-column.aspx?pageid=111294&productId=116785‬‬
‫ﻧﻈﺎم ﻣﻌﺎﯾﯿﺮ اﻟﺠﻮدة ‪ ISO/IEC 27001‬ﺗﻜﻨﺰوﻟﻮﺟﯿﺎ اﻟﻤﻌﻠﻮﻣﺎت – ﺗﻘﻨﯿﺎت اﻷﻣﻦ – ﻧﻈﻢ إددارة أﻣﻦ اﻻﻟﻤﻌﻠﻮﻣﺎت – اﻟﺸﺮوط واﻟﻤﺘﻄﻠﺒﺎت ‪https://www.iso.org/standard/54534.html‬‬
‫اﻟﻤﻨﺸﻮر اﻟﺨﺎص اﻟﺼﺎدر ﻋﻦ اﻟﻤﻌﮭﺪ اﻟﻮطﻨﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ ‪ NIST‬رﻗـــﻢ ‪ 800-53‬اﻟﻄﺒﻌﺔ اﻟﺮاﺑﻌﺔ ‪ -‬اﻟﻤﻨﺸﻮر اﻟﺨﺎص اﻟﺼﺎدر ﻋﻦ اﻟﻤﻌﮭﺪ اﻟﻮطﻨﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ ‪ NIST‬رﻗـــﻢ‬
‫‪ 800-53‬اﻟﻄﺒﻌﺔ اﻟﺮاﺑﻌﺔ "اﻟﺘﺤﻜﻢ ﻓﻲ اﻷﻣﻦ واﻻﻟﺨﺼﻮﺻﯿﺔ ﻟﻨﻈﻢ اﻟﻤﻌﻠﻮﻣﺎت اﻟﻔﯿﺪﯾﺮاﻟﯿﺔ واﻟﻤﺆﺳﺴﺎت‪ ،‬اﻻﺻﺎدر ﻓﻲ إﺑﺮﯾﻞ ‪) 2013‬ﯾﺸﺘﻤﻞ ﻋﻠﻰ ﺗﺤﺪﯾﺜﺎت ﺳﺎرﯾﺔ اﻟﻤﻔﻌﻮل ﺑﺘﺎرﯾﺦ ‪ 22‬ﯾﻨﺎﯾﺮ ‪(2015‬‬
‫‪ISO/IEC 27001, Information technology -- Security techniques -- Information security management systems -- Requirements:‬‬
‫‪https://www.iso.org/standard/54534.html‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫‪NIST SP 800-53 Rev. 4 - NIST Special Publication 800-53 Revision 4, Security and Privacy Controls for Federal Information Systems and‬‬
‫‪Organizations, April 2013 (including updates as of January 22, 2015). https://doi.org/10.6028/NIST.SP.800-53r4.‬‬
‫•‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ ﻗﺪ ﺗﻢ رﺑﻄﮭﺎ ﺑﻤﺴﺘﻮى اﻟﻀﻮاﺑﻂ ﻓﻘﻂ‪ ،‬ﻋﻠﻰ اﻟﺮﻏﻢ ﻣﻦ أن أي ﺗﺤﺴﯿﻦ ﻟﻠﻀﺎﺑﻂ ﻗﺪ ﯾﻜﻮن ﻣﻔﯿﺪًا ﻟﺘﺤﻘﯿﻖ ﻣﺨﺮﺟﺎت اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‪.‬‬
‫إن اﻟﺮﺑﻂ ﺑﯿﻦ "اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ" ﻓﻲ ﻧﻮاة إطﺎر اﻟﻌﻤﻞ واﻷﻗﺴﺎم اﻟﻤﺤﺪدة ﻓﻲ "اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ" ﻻ ﯾُﻘﺼﺪ ﺑﮫ اﻟﺘﺤﺪﯾﺪ ﺑﺸﻜﻞ ﻗﺎطﻊ ﻣﺎ إذا ﻛﺎﻧﺖ اﻷﻗﺴﺎم اﻟﻤﺤﺪدة ﻓﻲ "اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ" ﺗﻘﺪم اﻟﻤﺨﺮﺟﺎت اﻟﻤﺮﻏﻮﺑﺔ‬
‫ﻣﻦ " اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ "‪.‬‬
‫اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ ﻟﯿﺴﺖ ﺷﺎﻣﻠﺔ‪ ،‬ﺣﯿﺚ أﻧﮫ ﻻ ﯾﺘﻢ رﺑﻂ ﻛﻞ ﻋﻨﺼﺮ )ﻋﻠﻰ ﺳﺒﯿﻞ اﻟﻤﺜﺎل ‪ ،‬اﻟﻀﺎﺑﻂ ‪ ،‬اﻟﻤﺘﻄﻠﺒﺎت( ﺑﻤﺮﺟﻊ ﻣﻌﻠﻮﻣﺎﺗﻲ ﻣﻌﯿﻦ ﻓﻲ " اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ" ﻓﻲ ﻧﻮاة إطﺎر اﻟﻌﻤــﻞ‬
‫‪46‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫ﻣﻠﺤﻖ )ب(‪ :‬اﻟﻤﺼﻄﻠﺤﺎت‬
‫ﯾﻌﺮف ھﺬا اﻟﻤﻠﺤﻖ ﻣﺼﻄﻠﺤﺎت ﻣﺨﺘﺎرة ﻣﺴﺘﺨﺪﻣﺔ ﻓﻲ اﻟﻤﻨﺸﻮر‪.‬‬
‫ّ‬
‫ﺟــــــﺪول رﻗــﻢ )‪ :(3‬ﻣﺼﻄـــــــﻠﺤﺎت إطــﺎر اﻟﻌﻤــــﻞ‬
‫اﻷﺷﺨﺎص أو اﻟﻤﺆﺳﺴﺎت اﻟﺘﻲ ﺗﺴﺘﮭﻠﻚ ﻣﻨﺘ ًﺠﺎ أو ﺧﺪﻣﺔ ﻣﻌﯿﻨﺔ‪.‬‬
‫ﻣﺸﺘﺮ‬
‫ﺗﻘﺴﯿﻢ "اﻟﻮظﺎﺋﻒ" إﻟﻰ ﻣﺠﻤﻮﻋﺎت ﻣﻦ ﻣﺨﺮﺟﺎت اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ ،‬واﻟﺘﻲ ﺗﺮﺗﺒﻂ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫ً‬
‫ً‬
‫ارﺗﺒﺎطﺎ وﺛﯿﻘﺎ ﺑﺎﻻﺣﺘﯿﺎﺟﺎت اﻟﺒﺮﻣﺠﯿﺔ وﺑﺄﻧﺸﻄﺔ ﻣﻌﯿﻨﺔ‪ .‬ﺗﺸﻤﻞ أﻣﺜﻠﺔ اﻟﺘﺼﻨﯿﻔﺎت‪:‬‬
‫"إدارة اﻷﺻﻮل" و "إدارة اﻟﮭﻮﯾﺔ واﻟﺘﺤﻜﻢ ﻓﻲ اﻟﻮﺻﻮل" و "ﻋﻤﻠﯿﺎت اﻟﺮﺻﺪ"‪.‬‬
‫اﻷﻧﻈﻤﺔ واﻷﺻﻮل‪ ،‬ﺳﻮاء ﻛﺎﻧﺖ ﻣﺎدﯾﺔ أو اﻓﺘﺮاﺿﯿﺔ‪ ،‬ذات اﻷھﻤﯿﺔ اﻟﺒﺎﻟﻐﺔ ﺑﺎﻟﻨﺴﺒﺔ‬
‫اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ‬
‫ﻟﻠﻮﻻﯾﺎت اﻟﻤﺘﺤﺪة‪ ،‬ﻟﺪرﺟﺔ أن ﻋﺠﺰ أو ﺗﺪﻣﯿﺮ ھﺬه اﻷﻧﻈﻤﺔ واﻷﺻﻮل ﺳﯿﻜﻮن ﻟﮫ‬
‫اﻟﺤﺴﺎﺳﺔ‬
‫ﺗﺄﺛﯿﺮ ﻣﺪﻣﺮ ﻋﻠﻰ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ أو اﻷﻣﻦ اﻻﻗﺘﺼﺎدي اﻟﻮطﻨﻲ أو اﻟﺼﺤﺔ اﻟﻌﺎﻣﺔ‬
‫اﻟﻮطﻨﯿﺔ أو اﻟﺴﻼﻣﺔ أو أي ﻣﺰﯾﺞ ﻣﻦ ھﺬه اﻷﻣﻮر‪.‬‬
‫اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻋﻤﻠﯿﺔ ﺣﻤﺎﯾﺔ اﻟﻤﻌﻠﻮﻣﺎت ﻋﻦ طﺮﯾﻖ ﻣﻨﻊ اﻟﮭﺠﻤﺎت واﻟﻜﺸﻒ ﻋﻨﮭﺎ واﻻﺳﺘﺠﺎﺑﺔ ﻟﮭﺎ‪.‬‬
‫ﺗﻐﯿﯿﺮ ﻓﻲ ﻣﺠﺎل اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻗﺪ ﯾﻜﻮن ﻟﮫ ﺗﺄﺛﯿﺮ ﻋﻠﻰ اﻟﻌﻤﻠﯿﺎت اﻟﻤﻨﻈﻤﯿﺔ )ﺑﻤﺎ ﻓﻲ‬
‫ﺣﺪث اﻷﻣﻦ‬
‫ذﻟﻚ اﻟﻤﮭﻤﺔ أو اﻟﻘﺪرات أو اﻟﺴﻤﻌﺔ(‪.‬‬
‫اﻟﺴﺒﺮاﻧﻲ‬
‫ﺣﺎدﺛﺔ )ﺣﺎدث( ﺣﺪث ﻣﺘﻌﻠﻖ ﺑﺎﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﺗﻢ وﺻﻔﮫ ﺑﺄن ﻟﮫ ﺗﺄﺛﯿﺮ ﻋﻠﻰ اﻟﻤﻨﻈﻤﺔ ﻣﻤﺎ ﯾﺆدي إﻟﻰ‬
‫اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻟﺤﺎﺟﺔ إﻟﻰ اﻻﺳﺘﺠﺎﺑﺔ واﻻﺳﺘﻌﺎدة‪.‬‬
‫ﺗﻄﻮﯾﺮ وﺗﻨﻔﯿﺬ اﻷﻧﺸﻄﺔ اﻟﻤﻨﺎﺳﺒﺔ ﻟﺘﺤﺪﯾﺪ وﻗﻮع ﺣﺪث أﻣﻦ ﺳﺒﺮاﻧﻲ‪.‬‬
‫اﻟﺮﺻﺪ‬
‫)اﻟﻮظﯿﻔﺔ(‬
‫ﻧﮭﺞ ﻗﺎﺋﻢ ﻋﻠﻰ اﻟﻤﺨﺎطﺮ ﻟﻠﺤﺪ ﻣﻦ ﻣﺨﺎطﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪ ،‬وﯾﺘﺄﻟﻒ ﻣﻦ ﺛﻼﺛﺔ أﺟﺰاء‪ :‬ﻧﻮاة‬
‫إطﺎر اﻟﻌﻤﻞ‬
‫ﻧﻮاة إطﺎر‬
‫اﻟﻌﻤﻞ‬
‫ﻣﺮﺣﻠﺔ ﺗﻨﻔﯿﺬ‬
‫إطﺎر اﻟﻌﻤﻞ‬
‫ﻧﻤﻮذج إطﺎر‬
‫اﻟﻌﻤﻞ‬
‫اﻟﻮظﯿﻔﺔ‬
‫اﻟﺘﺤﺪﯾﺪ‬
‫)اﻟﻮظﯿﻔﺔ(‬
‫ﻣﺮاﺟﻊ ﻣﻌﺮﻓﯿﺔ‬
‫‪47‬‬
‫ﻀﺎ ﺑﺎﺳﻢ "إطﺎر‬
‫إطﺎر اﻟﻌﻤﻞ‪ ،‬و ﻧﻤﺎذج إطﺎر اﻟﻌﻤﻞ‪ ،‬وطﺒﻘﺎت ﺗﻨﻔﯿﺬ إطﺎر اﻟﻌﻤﻞ‪ .‬ﯾُﻌﺮف أﯾ ً‬
‫ﻋﻤﻞ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ"‪.‬‬
‫ﻣﺠﻤﻮﻋﺔ ﻣﻦ أﻧﺸﻄﺔ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ واﻟﻤﺮاﺟﻊ اﻟﺸﺎﺋﻌﺔ ﻓﻲ ﻣﺠﺎﻻت ﻗﻄﺎﻋﺎت اﻟﺒﻨﯿﺔ‬
‫اﻟﺘﺤﺘﯿﺔ اﻟﺤﯿﻮﯾﺔ وﯾﺘﻢ ﺗﻨﻈﯿﻤﮭﺎ ﺣﻮل ﻧﺘﺎﺋﺞ ﻣﻌﯿﻨﺔ‪" .‬ﻧﻮاة إطﺎر اﻟﻌﻤﻞ" ﺗﺸﺘﻤﻞ ﻋﻠﻰ أرﺑﻌﺔ‬
‫أﻧﻮاع ﻣﻦ اﻟﻌﻨﺎﺻﺮ‪ :‬اﻟﻮظﺎﺋﻒ‪ ،‬واﻟﺘﺼﻨﯿﻔﺎت‪ ،‬واﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ‪ ،‬واﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ‪.‬‬
‫ﻋﺪﺳﺔ ﯾﻤﻜﻦ ﻣﻦ ﺧﻼﻟﮭﺎ اﻻطﻼع ﻋﻠﻰ ﺧﺼﺎﺋﺺ ﻧﮭﺞ اﻟﻤﻨﻈﻤﺔ ﻓﻲ اﻟﻤﺨﺎطﺮة ‪-‬‬
‫ﻛﯿﻒ ﺗﺮى اﻟﻤﺆﺳﺴﺔ ﻣﺨﺎطﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ واﻟﻌﻤﻠﯿﺎت اﻟﻘﺎﺋﻤﺔ ﻹدارة ھﺬه‬
‫اﻟﻤﺨﺎطﺮ‪.‬‬
‫ﺗﻤﺜﯿﻞ ﻟﻠﻨﺘﺎﺋﺞ اﻟﺘﻲ اﺧﺘﺎرھﺎ ﻧﻈﺎم ﻣﻌﯿﻦ أو ﻣﻨﻈﻤﺔ ﻣﻌﯿﻨﺔ ﻣﻦ ﺗﺼﻨﯿﻔﺎت إطﺎر اﻟﻌﻤﻞ‬
‫واﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ‪.‬‬
‫أﺣﺪ اﻟﻤﻜﻮﻧﺎت اﻟﺮﺋﯿﺴﯿﺔ ﻟﻺطﺎر اﻟﻌﻤﻞ‪ .‬ﺗﻮﻓﺮ "اﻟﻮظﯿﻔﺔ" أﻋﻠﻰ ﻣﺴﺘﻮى ﻣﻦ اﻟﮭﯿﻜﻞ‬
‫ﻟﺘﻨﻈﯿﻢ أﻧﺸﻄﺔ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ اﻷﺳﺎﺳﯿﺔ ﻓﻲ اﻟﺘﺼﻨﯿﻔﺎت واﻟﺘﺼﻨﯿﻔﺎت اﻟﻔﺮﻋﯿﺔ‪.‬‬
‫اﻟﻮظﺎﺋﻒ اﻟﺨﻤﺲ ھﻲ‪ :‬اﻟﺘﺤﺪﯾﺪ واﻟﺤﻤﺎﯾﺔ واﻟﺮﺻﺪ واﻻﺳﺘﺠﺎﺑﺔ واﻻﺳﺘﻌﺎدة‪.‬‬
‫ﺗﻄﻮﯾﺮ ﻓﮭﻢ اﻟﻤﻨﻈﻤﺔ ﻹدارة ﻣﺨﺎطﺮ اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ ﻋﻠﻰ اﻷﻧﻈﻤﺔ واﻷﺻﻮل‬
‫واﻟﺒﯿﺎﻧﺎت واﻟﻘﺪرات‪.‬‬
‫ﺟﺰء ﻣﺤﺪد ﻣﻦ اﻟﻤﻌﺎﯾﯿﺮ واﻹرﺷﺎدات واﻟﻤﻤﺎرﺳﺎت اﻟﻤﺸﺘﺮﻛﺔ ﺑﯿﻦ ﻗﻄﺎﻋﺎت اﻟﺒﻨﯿﺔ‬
‫اﻟﺘﺤﺘﯿﺔ اﻟﺤﺴﺎﺳﺔ‪ ،‬واﻟﺘﻲ ﺗﻮﺿﺢ طﺮﯾﻘﺔ ﺗﺤﻘﯿﻖ اﻟﻨﺘﺎﺋﺞ اﻟﻤﺮﺗﺒﻄﺔ ﺑﻜﻞ "ﺗﺼﻨﯿﻒ‬
‫اﻟﻔﺮﻋﻲ"‪ .‬أﺣﺪ أﻣﺜﻠﺔ اﻟﻤﺮاﺟﻊ اﻟﻤﻌﺮﻓﯿﺔ ھﻮ ‪ISO / IEC 27001 Control‬‬
‫‪ ،A.10.8.3‬واﻟﺬي ﯾﺪﻋﻢ اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ "ﺣﻤﺎﯾﺔ اﻟﺒﯿﺎﻧﺎت اﻟﻤﻨﺘﻘﻠﺔ " اﻟﺬي ﯾﻘﻊ‬
‫ﺿﻤﻦ ﺗﺼﻨﯿﻒ "أﻣﻦ اﻟﺒﯿﺎﻧﺎت" ﻓﻲ وظﯿﻔﺔ "اﻟﺤﻤﺎﯾﺔ"‪.‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
‫‪ 16‬أﺑ��ﻞ‪2018،‬‬
‫اﻟﻜﻮد اﻟﻤﺘﻨﻘﻞ‬
‫اﻟﺤﻤﺎﯾﺔ‬
‫)اﻟﻮظﯿﻔﺔ(‬
‫ﻣﺴﺘﺨﺪم ذو‬
‫ﺻﻼﺣﯿﺎت‬
‫اﻻﺳﺘﻌﺎدة‬
‫)اﻟﻮظﯿﻔﺔ(‬
‫اﻻﺳﺘﺠﺎﺑﺔ‬
‫)اﻟﻮظﯿﻔﺔ(‬
‫اﻟﺨﻄﺮ‬
‫إدارة اﻟﻤﺨﺎطﺮ‬
‫اﻟﺘﺼﻨﯿﻒ‬
‫اﻟﻔﺮﻋﻲ‬
‫اﻟﻤﻮرد‬
‫ﺗﺼﻨﯿﻒ‬
‫‪48‬‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
‫اﻟنﺴﺨﺔ ‪1.1‬‬
‫ﺑﺮﻧﺎﻣﺞ )ﻋﻠﻰ ﺳﺒﯿﻞ اﻟﻤﺜﺎل‪ ،‬ﺳﻜﺮﺑﺖ أو ﻣﺎﻛﺮو أو ﺗﻌﻠﯿﻤﺎت ﻣﺤﻤﻮﻟﺔ أﺧﺮى( ﯾﻤﻜﻦ‬
‫إرﺳﺎﻟﮫ دون ﺗﻐﯿﯿﺮ إﻟﻰ ﻣﺠﻤﻮﻋﺔ ﻣﻦ اﻟﻤﻨﺼﺎت ﻏﯿﺮ اﻟﻤﺘﺠﺎﻧﺴﺔ وﺗﻨﻔﯿﺬه ﺑﺎﺳﺘﺨﺪام‬
‫دﻻﻻت ﻣﺘﻄﺎﺑﻘﺔ‪.‬‬
‫ﺗﻄﻮﯾﺮ وﺗﻨﻔﯿﺬ اﻟﻀﻤﺎﻧﺎت اﻟﻤﻨﺎﺳﺒﺔ ﻟﻀﻤﺎن ﺗﻘﺪﯾﻢ ﺧﺪﻣﺎت اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ اﻟﺤﯿﻮﯾﺔ‪.‬‬
‫ﻣﺴﺘﺨﺪم ﻣﺼﺮ ّح )وﺑﺎﻟﺘﺎﻟﻲ‪ ،‬ﻣﻮﺛﻮق ﺑﮫ( ﻷداء وظﺎﺋﻒ ﻣﺘﻌﻠﻘﺔ ﺑﺎﻷﻣﺎن واﻟﺘﻲ ﻻ ﯾُﺴﻤﺢ‬
‫ﻟﻠﻤﺴﺘﺨﺪﻣﯿﻦ اﻟﻌﺎدﯾﯿﻦ ﺑﺘﻨﻔﯿﺬھﺎ‪.‬‬
‫ﺗﻄﻮﯾﺮ وﺗﻨﻔﯿﺬ اﻷﻧﺸﻄﺔ اﻟﻤﻨﺎﺳﺒﺔ ﻟﻠﺤﻔﺎظ ﻋﻠﻰ ﺧﻄﻂ اﻟﺼﻤﻮد واﺳﺘﻌﺎدة أي ﻗﺪرات أو‬
‫ﺧﺪﻣﺎت ﺗﻌﺮﺿﺖ ﻟﻠﺘﻠﻒ ﺑﺴﺒﺐ ﺣﺪث اﻷﻣﻦ اﻟﺴﺒﺮاﻧﻲ‪.‬‬
‫ﺗﻄﻮﯾﺮ وﺗﻨﻔﯿﺬ اﻷﻧﺸﻄﺔ اﻟﻤﻨﺎﺳﺒﺔ ﻻﺗﺨﺎذ إﺟﺮاءات ﺑﺸﺄن ﺣﺪث ذو ﻋﻼﻗﺔ ﺑﺎﻷﻣﻦ‬
‫اﻟﺴﺒﺮاﻧﻲ اﻟﻤﺮﺻﻮد‪.‬‬
‫ﻣﻘﯿﺎس ﻟﻤﺪى اﻟﺘﮭﺪﯾﺪ اﻟﺬي ﯾﺸﻜﻠﮫ ظﺮف أو ﺣﺪث ﻣﺤﺘﻤﻼن ﻋﻠﻰ ﻛﯿﺎن ﻣﺎ‪ ،‬وﻋﺎدة ﻣﺎ‬
‫ﯾﺘﻜﻮن ﻣﻦ‪ (i) :‬اﻟﺘﺄﺛﯿﺮات اﻟﺴﻠﺒﯿﺔ اﻟﺘﻲ ﻗﺪ ﺗﻨﺸﺄ ﻓﻲ ﺣﺎﻟﺔ ﺣﺪوث اﻟﻈﺮف أو اﻟﺤﺪث ؛‬
‫و )‪ (ii‬اﺣﺘﻤﺎل ﺣﺪوﺛﮭﺎ‪.‬‬
‫ﻋﻤﻠﯿﺔ ﺗﺤﺪﯾﺪ وﺗﻘﯿﯿﻢ واﻻﺳﺘﺠﺎﺑﺔ ﻟﻠﻤﺨﺎطﺮ‪.‬‬
‫ﺗﻘﺴﯿﻢ إﺣﺪى "اﻟﺘﺼﻨﯿﻔﺎت" إﻟﻰ ﻣﺨﺮﺟﺎت ﻣﺤﺪدة ﻣﻦ اﻷﻧﺸﻄﺔ اﻟﺘﻘﻨﯿﺔ و‪/‬أو اﻹدارﯾﺔ‪.‬‬
‫ﺗﺘﻀﻤﻦ اﻷﻣﺜﻠﺔ ﻋﻠﻰ اﻟﺘﺼﻨﯿﻒ اﻟﻔﺮﻋﻲ‪ " :‬ﯾﺘﻢ ﻓﮭﺮﺳﺔ أﻧﻈﻤﺔ اﻟﻤﻌﻠﻮﻣﺎت‬
‫اﻟﺨﺎرﺟﯿﺔ"‪ ،‬و " اﻟﺒﯿﺎﻧﺎت اﻟﻤﺴﺘﻘﺮة ﻣﺤﻤﯿﺔ "‪ ،‬و " ﯾﺘﻢ اﻟﺘﺤﻘﯿﻖ ﻓﻲ إﺷﻌﺎرات أﻧﻈﻤﺔ‬
‫اﻟﺮﺻﺪ"‪.‬‬
‫ﻣﺰودو اﻟﻤﻨﺘﺠﺎت واﻟﺨﺪﻣﺎت اﻟﻤﺴﺘﺨﺪﻣﺔ ﻷﻏﺮاض داﺧﻠﯿﺔ ﻓﻲ اﻟﻤﺆﺳﺴﺔ )ﻋﻠﻰ ﺳﺒﯿﻞ‬
‫اﻟﻤﺜﺎل‪ ،‬اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ ﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ اﻟﻤﻌﻠﻮﻣﺎت( أو اﻟﻤﺪﻣﺠﺔ ﻓﻲ ﻣﻨﺘﺠﺎت اﻟﺨﺪﻣﺎت‬
‫اﻟﻤﻘﺪﻣﺔ إﻟﻰ ﻣﺸﺘﺮي ﺗﻠﻚ اﻟﻤﻨﻈﻤﺔ‪.‬‬
‫ﻣﺨﻄﻂ اﻟﺘﻘﺴﯿﻢ‪.‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ ‪https://doi.org/10.6028/NIST.CSWP.04162018ar‬‬
1.1 ‫اﻟنﺴﺨﺔ‬
‫ن‬
‫اي‬
‫إﻃﺎر ﻋﻤﻞ اﻷم ب‬
‫اﻟﺴ� ي‬
2018،‫ أﺑ��ﻞ‬16
‫ اﻷﺧﺘﺼﺎرات‬:(‫ﻣﻠﺤﻖ )ج‬
.‫ﯾﻌﺮف ھﺬا اﻟﻤﻠﺤﻖ اﻷﺧﺘﺼﺎرات اﻟﻤﺨﺘﺎرة اﻟﻤﺴﺘﺨﺪﻣﺔ ﻓﻲ اﻟﻤﻨﺸﻮر‬
ّ
ANSI
CEA
CIS
COBIT
CPS
CSC
DHS
EO
ICS
IEC
IoT
IR
ISA
ISAC
ISAO
ISO
IT
NIST
OT
PII
RFI
RMP
SCRM
SP
American National Standards Institute
Cybersecurity Enhancement Act of 2014
Center for Internet Security
Control Objectives for Information and
Related Technology
Cyber-Physical Systems
Critical Security Control
Department of Homeland Security
Executive Order
Industrial Control Systems
International Electrotechnical
Commission
Internet of Things
Interagency Report
International Society of Automation
Information Sharing and Analysis Center
Information Sharing and Analysis
Organization
International Organization for
Standardization
Information Technology
National Institute of Standards and
Technology
Operational Technology
Personally Identifiable Information
Request for Information
Risk Management Process
Supply Chain Risk Management
Special Publication
‫اﻟﻤﻌﮭﺪ اﻷﻣﺮﯾﻜﻲ اﻟﻮطﻨﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ اﻟﻮطﻨﯿﺔ اﻷﻣﺮﯾﻜﯿﺔ‬
2014 ‫ﻗﺎﻧﻮن ﺗﻌﺰﯾﺰ اﻷﻣﻦ اﻟﺴــﯿﺒﺮاﻧﻲ ﻟﻌﺎم‬
‫ﻣﺮﻛﺰ ﻷﻣﻦ اﻹﻧﺘﺮﻧﺖ‬
‫أھﺪاف اﻟﺮﻗﺎﺑﺔ ﻋﻠﻰ اﻟﻤﻌﻠﻮﻣﺎت واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ‬
‫اﻟﻤﺘﺼﻠﺔ ﺑﮭﺎ‬
‫اﻟﻨﻈﻢ اﻟﺴـﯿﺒﺮاﻧﯿﺔ اﻟﻤﺎدﯾﺔ‬
‫اﻟﺴﯿﻄﺮة اﻷﻣﻨﯿﺔ اﻟﺤﺮﺟﺔ‬
‫وزارة اﻷﻣﻦ اﻟﺪاﺧﻠﻲ‬
‫أﻣﺮ ﺗﻨﻔﯿﺬي‬
‫أﻧﻈﻤﺔ اﻟﺘﺤﻜﻢ اﻟﺼﻨﺎﻋﯿﺔ‬
‫اﻟﻠﺠﻨﺔ اﻟﺪوﻟﯿﺔ ﻟﻠﻜﮭﺮﺑﺎﺋﯿﺔ اﻟﺘﻘﻨﯿﺔ‬
‫إﻧﺘﺮﻧﺖ اﻷﻣﻮر‬
‫اﻟﺘﻘﺮﯾﺮ اﻟﻤﺸﺘﺮك ﺑﯿﻦ اﻟﻮﻛﺎﻻت‬
‫اﻟﺠﻤــﯿﺔ اﻟﺪوﻟﯿﺔ ﻟﻠﺘﺸﻐﯿﻞ اﻵﻟﻲ‬
‫ﻣﺮﻛﺰ اﻟﺘﺤﻠﯿﻞ وﺗﺒﺎدل اﻟﻤﻌﻠﻮﻣﺎت‬
‫ﺗﺒﺎدل اﻟﻤﻌﻠﻮﻣﺎت وﺗﺤﻠﯿﻞ اﻟﻤﻨﻈﻤﺔ‬
{‫اﻟﻤﻨﻈﻤﺔ اﻟﺪوﻟﯿﺔ ﻟﻠﺘﻮﺣﯿﺪ اﻟﻘﯿﺎﺳﻲ ﻵﺗﻮﺣﯿﺪ اﻟﻤﻌﺎﯾﯿﺮ‬
‫ﺗﻜﻨﻮﻟﻮﺟﯿﺎ اﻟﻤﻌﻠﻮﻣﺎت‬
‫اﻟﻤﻌﮭﺪ اﻟﻮطﻨﻲ ﻟﻠﻤﻌﺎﯾﯿﺮ واﻟﺘﻜﻨﻮﻟﻮﺟﯿﺎ‬
‫ﺗﻜﻨﻮﻟﻮﺟﯿﺎ اﻟﺘﺸﻐﯿﻞ‬
ً ‫ﻣﻌﻠﻮﻣﺎت ﯾﻤﻜﻦ ﺗﻌﺮﯾﻔﮭﺎ ﺷﺨﺼﯿﺎ‬
‫طﻠﺐ ﻟﻠﺤﺼﻮل ﻋﻠﻰ اﻟﻤﻌﻠﻮﻣﺎت‬
‫ﻋﻤﻠﯿﺔ إدارة اﻟﻤﺨﺎطﺮ‬
‫إدارة اﻟﻤﺨﺎطﺮ ﻓﻲ ﺳﻠﺴﻠﺔ اﻟﺘﻮرﯾﺪ‬
‫ﻣﻨﺸﻮر ﺧﺎص‬
https://doi.org/10.6028/NIST.CSWP.04162018ar ‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻧﺴﺨﺔ ﻣﺠﺎﻧﯿﺔ ﻣﻦ ھﺬا اﻟﻤﻨﺸــﻮر ﻋﻠﻰ اﻟﻤﻮﻗﻊ اﻹﻟﻜﺘﺮوﻧﻲ‬
49
Download