نظرة عامة
تحليل فجوات SACS-210 هو كرّاس تكمله قبل التقييم المستقل لتعالج الفجوات بشروطك. الموردون الذين ينفذون تمرين 5 أيام داخلي ينجحون عادةً من المحاولة الأولى؛ من يتخطّاه ينال 30-40% ملاحظات جزئية.
اليوم 1 — النطاق والفريق
- حدّد القسم المتوقَّع (A/B/C/D).
- شكّل الفريق: مدقّق رئيس مستقل، مالكو ضوابط، أمين أدلة، مدير مشروع.
- ثبّت نظام التقييم: مُطبَّق / جزئي / غير مُطبَّق / غير منطبق.
اليوم 2 — الحوكمة + إدارة الهوية
لكل ضابط: اقرأ المتطلب، استخرج دليل السياسة، استخرج دليلًا تشغيليًا، قيّم، وسجّل الفجوة مع مالك وموعد.
ضابط: التدريب التوعوي السنوي
دليل: خطة تدريب + تقرير إكمال
الدرجة: مُطبَّق (95%)
فجوة: 5% غير ممتثلين — مرفوع للموارد البشرية
اليوم 3 — الأصول + العمليات + الشبكة
أنماط فجوات شائعة: جرد أصول قديم > 60 يومًا، SLA ترقيع بلا لوحة، VPN بلا MFA.
اليوم 4 — أمن التطبيقات + الحوادث + الاستمرارية
ضابط: تطوير برمجي آمن
دليل: SDLC + تقارير SAST + اختبار اختراق
الدرجة: جزئي
فجوة: نمذجة تهديد متخطّاة في آخر إصدارَين
اليوم 5 — خطة المعالجة والتقرير التنفيذي
- جمع كل الفجوات في سجل معالجة.
- ترتيب بالشدّة (غير مُطبَّق حرج أولًا).
- لكل بند: مالك، تاريخ مستهدف، جهد، اعتمادية.
- تقدير الجهد الكلي بالأسابيع/الأشخاص والإنفاق الخارجي.
- إحاطة الرئيس التنفيذي.
تقرير الفجوات — اليوم 5
================================
مُطبَّق : 47
جزئي : 21
غير مُطبَّق : 9
غير منطبق : 12
-------------------------------
الإجمالي : 89
فجوات حرجة : 4
الجهد المقدّر: 14 أسبوع/شخص + 280 ألف ريال
أقرب جاهزية : اليوم 60
دورة المعالجة
خطة → تنفيذ → دليل → اختبار. إغلاق بلا اختبار يفشل في التقييم المستقل.
أخطاء شائعة
- تقييم متضخم.
- معالجة سياسات بلا تغيير تشغيلي.
- عدم إغلاق الحرج قبل المدقّق.
- شخص واحد يملك كل الضوابط.
قائمة الجاهزية
- أدلة محدّثة لكل ضابط مُطبَّق.
- مالك وتاريخ لكل ضابط جزئي/غير مُطبَّق.
- إغلاق الحرج وإعادة اختباره.
- مراجعة مستشار مستقل قبل المدقّق.
- اعتماد التنفيذي الراعي.
الخلاصة
تمرين 5 أيام هو التأمين الأرخص ضد فشل التقييم المستقل.
Comments
0 total · 0 threads