أُطر الامتثال والمفردات التنظيمية
أُطر الامتثال والمفردات التنظيمية
8 دقيقة للقراءة
أُطر الامتثال الرئيسية
| الإطار | العربية | الغرض |
|---|---|---|
| SOC 2 | ضوابط منظمات الخدمة | يقيّم أمان وتوافر مزودي الخدمات |
| ISO 27001 | المعيار الدولي لأمن المعلومات | إطار عمل لنظام إدارة أمن المعلومات (ISMS) |
| PCI DSS | معيار أمان بيانات بطاقات الدفع | يحمي بيانات حامل البطاقة |
| HIPAA | قانون قابلية نقل التأمين الصحي | يحمي المعلومات الصحية للمرضى في أمريكا |
| GDPR | اللائحة العامة لحماية البيانات | يحمي بيانات سكان الاتحاد الأوروبي الشخصية |
| NIST CSF | إطار عمل NIST للأمن السيبراني | إطار طوعي لإدارة المخاطر السيبرانية |
| CIS Controls | ضوابط مركز أمن الإنترنت | إجراءات أمنية ذات أولوية للحماية من الهجمات الشائعة |
مصطلحات التدقيق
| المصطلح | العربية | المعنى |
|---|---|---|
| Control | ضابط | إجراء أمني مصمم لتخفيف خطر محدد |
| Finding | نتيجة/ملاحظة | مشكلة اكتُشفت أثناء التدقيق |
| Remediation | معالجة/إصلاح | عملية إصلاح نتيجة أو سد فجوة |
| Risk acceptance | قبول المخاطر | قرار رسمي بقبول خطر معروف |
| Compensating control | ضابط تعويضي | ضابط بديل يوفر حماية مكافئة |
| Gap analysis | تحليل الفجوات | تقييم يقارن الوضع الحالي بالمطلوب |
| Evidence | دليل/إثبات | وثائق تثبت وجود الضابط وعمله |
| Scope | النطاق | الأنظمة والعمليات المشمولة في التدقيق |
SOC 2 النوع الأول مقابل الثاني
| الجانب | النوع الأول | النوع الثاني |
|---|---|---|
| ما يُقيّمه | تصميم الضوابط في وقت محدد | التصميم والفعالية التشغيلية عبر فترة |
| المدة | لقطة (تاريخ واحد) | فترة مراقبة (6-12 شهراً) |
| ثقة العملاء | متوسطة | عالية |
لغة السياسات الأمنية
"SHALL" (يجب): متطلب إلزامي — يجب اتباعه
"All users SHALL enable MFA." — جميع المستخدمين يجب عليهم تفعيل MFA
"SHOULD" (ينبغي): موصى به لكن ليس إلزامياً تماماً
"Users SHOULD use a password manager." — ينبغي للمستخدمين استخدام مدير كلمات مرور
"MUST NOT" (يجب عدم): محظور تماماً
"Employees MUST NOT share credentials." — يجب على الموظفين عدم مشاركة بيانات الاعتماد
تصنيف البيانات
| المستوى | العربية | المعنى |
|---|---|---|
| Public | عام | معلومات للنشر العام |
| Internal | داخلي | للاستخدام الداخلي فقط |
| Confidential | سري | معلومات أعمال حساسة |
| Restricted | مقيّد | بيانات حساسة للغاية، تأثير شديد إذا كُشفت |
متطلبات الإبلاغ التنظيمي
| التنظيم | الموعد النهائي | من يُبلَّغ |
|---|---|---|
| GDPR | 72 ساعة | السلطة الإشرافية والأفراد المتأثرون |
| HIPAA | 60 يوماً | وزارة الصحة والأفراد المتأثرون |
| PCI DSS | فوراً | شركات البطاقات والبنك المستحوذ |
| SEC | 4 أيام عمل | هيئة الأوراق المالية |
عبارات شائعة في التدقيق
"The auditor identified three findings. We have 90 days to remediate."
حدد المدقق ثلاث نتائج. لدينا 90 يوماً للمعالجة.
"We need evidence that MFA is enforced on all admin accounts."
نحتاج دليلاً على تطبيق MFA على جميع حسابات المديرين.
"We've documented a risk acceptance signed by the CISO."
وثقنا قبول مخاطر موقعاً من مدير أمن المعلومات.
"The SOC 2 Type II report has been issued. We can share it under NDA."
تم إصدار تقرير SOC 2 النوع الثاني. يمكننا مشاركته تحت اتفاقية عدم إفصاح.
التالي: كتابة التقارير والسياسات الأمنية
:::