​​​​​​​​معيار إدارة التحديثات والإصلاحات :

المعيار  الأول: خطة الاستجابة للمخاطر (Plan risk response) :

الهدف : ضمان قيام الجهة بإدارة حزم التحديثات والإصلاحات وفقًا لتقييم مخاطر وثغرات الأمن السيبراني الواردة.

المخاطر المحتملة : تزداد احتمالية وجود ثغرات دون معالجة، في حالة عدم إجراء تحديثات وإصلاحات في ضوء عمليات إدارة الثغرات والمخاطر العامة لدى جامعة الإمام محمد بن سعود الإسلامية (مثل إجراؤها فقط كمهمة تشغيلية).

الإجراءات المطلوبة :​

• أن تراعي جامعة الإمام محمد بن سعود الإسلامية كل ثغرة أمنية في كل برنامج جديد تؤثر على أصول جامعة الإمام محمد بن سعود الإسلامية، بما في ذلك التطبيقات، والأنظمة التشغيلية، وجدار الحماية.
  

المعيار  الثاني: تنفيذ الاستجابة للمخاطر (Execute risk response) :

الهدف : التأكد من تنفيذ حزم التحديثات والإصلاحات باتباع نهج منظم بشكل منطقي لتنفيذ الاستجابة للمخاطر.

المخاطر المحتملة : من الممكن أن يفشل تقييم المخاطر في العديد من الحالات، في حالة عدم تنفيذ استجابة مصممة أو منظمة جيدًا للمخاطر، الأمر الذي قد يؤدي إلى وجود ثغرات بدون تحديثات أو إصلاحات أو معالجة.

الإجراءات المطلوبة :

• أن يتكون تنفيذ الاستجابة للمخاطر من الخطوات التالية:
• إعداد الاستجابة للمخاطر
• تنفيذ الاستجابة للمخاطر
• التحقق من الاستجابة للمخاطر
• مراقبة الاستجابة للمخاطر بشكل مستمر
  

المعيار  الثالث: إعداد الاستجابة للمخاطر (Prepare risk response) :

الهدف : الحصول على حزم التحديثات والإصلاحات والتحقق منها واختبارها للبرامج التي تحتوي على ثغرات أو تطبيق ضوابط أمنية إضافية لحماية تلك البرامج.

المخاطر المحتملة :   التحقق:  يمكن الحصول على حزمة التحديثات والإصلاحات من مصادر مخادعة أو تم العبث بها خلال النقل أو بعد الحصول عليها.

الاختبار: المخاطر التشغيلية من خلال تحديد المشاكل التي تحتوي عليها حزمة التحديثات والإصلاحات قبل تفعيلها.

الإجراءات المطلوبة :

• الحصول على حزم التحديثات والإصلاحات فقط من مصادر مشروعة وموثوقة. ويتضمن ذلك الحصول عليها من مواقع آمنة يوفرها المورد/ المصنّع أو يتم تطويرها داخليًا.
• مراقبة حزمة التحديثات والإصلاحات المتاحة من قبل مالك الأصول وتثبيتها إذا كانت مفيدة تقنيًا، ووفقًا لمستوى حساسية الأصول المحدثة، وبعد اختبار حزمة التحديثات والإصلاحات.
• التأكيد على سلامة الملف قبل اختبار حزمة التحديثات والإصلاحات أو تثبيتها باستخدام خوارزميات التجزئة إذا كانت مفيدة تقنيًا (مثل: جدار الحماية على أجهزة الشبكة).
• إجراء فحص فيروسات بشكل دوري على حزم التحديثات والإصلاحات التي تم تحميلها، لتجنب تثبيت البرمجيات الضارة.
• اختبار حزم التحديثات والإصلاحات قبل تثبيتها أو تفعيلها بشكل مباشر.
• في حالة التحديثات والإصلاحات اللازمة للبرامج، يجب استخدام بيئة اختبار منفصلة بهدف تجنب مشاكل عدم توافق الأنظمة أو الإصابة بالفيروسات.
• توثيق المشاكل المستقبلية وحلّها في مرحلة الاختبار قبل التفعيل المباشر لحزم التحديثات والإصلاحات.
• تفعيل العمليات بخيار الاسترجاع في حال وجود حالة عدم توافق غير متوقعة، بحيث يمكن استعادة الأنظمة لحالة ما قبل التحديث والإصلاح.
• تنفيذ وظائف النسخ الاحتياطي والاستعادة في حال ظهور حالة عدم توافق غير متوقعة، ليتم التأكد من توفر النظام في مثل هذه الحالات.
  

المعيار  الرابع: تنفيذ الاستجابة للمخاطر (Implement risk response) :

الهدف : التأكد من سلامة واستمرارية نظام المعلومات من خلال توزيع حزم التحديثات والإصلاحات وتثبيتها وإعدادات الأصول وحالتها.

المخاطر المحتملة : إدارة التغيير: قد يؤدي تطبيق حزم التحديثات والإصلاحات بدون عملية إدارة تغيير مناسبة إلى وقف عمليات الجهة أو حتى فقدان البيانات.

الإجراءات المطلوبة :

• جدولة عمليات تثبيت حزم التحديثات والإصلاحات في إطار نشاط إدارة التغيير لدى جامعة الإمام محمد بن سعود الإسلامية.
• أن تقوم جامعة الإمام محمد بن سعود الإسلامية بتطبيق تلك التغييرات فقط على البيئة الحيّة لدى جامعة الإمام محمد بن سعود الإسلامية التي تم اعتمادها من خلال إجراءات إدارة التغيير في جامعة الإمام محمد بن سعود الإسلامية.
• توثيق إجراءات تطبيق حزمة التحديثات والإصلاحات المثبتة بهدف تتبعها (مثل الموافقة والاختبار الذي تم بالفعل).
• استخدام طرق تثبيت حزم التحديثات والإصلاحات التالية:
• توزيع حزم التحديثات والإصلاحات من خلال حلول مركزية
• استخدام التثبيت التلقائي
• جدولة تثبيت حزم التحديثات والإصلاحات
• تثبيتها يدويًا (التثبيت الإجباري)
• تثبيت حزم التحديثات والإصلاحات كعملية واحدة
• تحديد أولويات حزم التحديثات والإصلاحات بهدف البدء بتثبيت الحزم ذات الأولوية الأعلى، وفقًا لنتائج تقييم المخاطر لدى جامعة الإمام محمد بن سعود الإسلامية
• أن يستند تحديد أولويات حزم التحديثات والإصلاحات إلى أهمية الأصول، ووفقًا لسياسة ومعيار إدارة الثغرات. يجب أن تقوم جامعة الإمام محمد بن سعود الإسلامية بإعداد مقياس ملخص وقت التخفيف من الثغرات (الجدول 1 في الملحق) وتقديم مقاييس التخفيف بناءً على ما يلي:
• الأهمية النسبية للأصول (منخفض، ومتوسط، ومرتفع) وفقًا للتصنيف في جامعة الإمام محمد بن سعود الإسلامية.
• الثغرات (منخفض، متوسط، ومرتفع، وحرج)، وفقًا لتصنيف جامعة الإمام محمد بن سعود الإسلامية والمتطلبات التشريعية والتنظيمية الصادرة.
  ​
  

المعيار  الخامس: التحقق من الاستجابة للمخاطر ومراقبتها (Verify and monitor risk response) :

الهدف : التأكد من استكمال التنفيذ بنجاح. يعني ذلك بالنسبة لحزم التحديثات والإصلاحات التأكيد على تثبيت الحزم وتفعيلها، وضمان عملها على النحو المنشود بالنسبة للضوابط الأمنية الإضافية.

المخاطر المحتملة : في حال عدم مراقبة أو تأكيد تثبيت حزم التحديثات والإصلاحات، فهنالك مخاطر أن تبقى أصول المعلومات تعاني من الثغرات وعرضة للهجمات.

الإجراءات المطلوبة :

• التحقق من فعالية حزم التحديثات والإصلاحات بهدف التحقق من نجاحها. ويجب استخدام التقنيات التالية لغايات التحقق:
• إجراء فحص الثغرات حول الأصول المزودة بحزم التحديثات والإصلاحات
• استخدام المقاييس (مؤشرات الأداء الرئيسية) المقدمة من أنظمة المعلومات والتي اُستخدمت لتثبيت حزم التحديثات والإصلاحات (WSUS, HPSA, SCCM)
  

المعيار  السادس​: معايير أخرى (Other Standards) :

الهدف : تثبيت إدارة حزم التحديثات والإصلاحات بشكل آمن واستخدامها بشكل مناسب عند الحاجة.

المخاطر المحتملة :  قد تتعرض جامعة الإمام محمد بن سعود الإسلامية، في حال عدم امتثالها للمعايير والمتطلبات، إلى تهديدات خطيرة.

الإجراءات المطلوبة :

• يجب تنفيذ المعايير فيما يتعلق بإدارة حزم التحديثات:
• سياسة إدارة الثغرات
• معيار إدارة الثغرات
• سياسة إدارة مخاطر الأمن السيبراني
  ​
  

تعكس المقاييس في كل خلية النسبة المئوية للأصول التي تم تزويدها بحزم التحديثات والإصلاحات من خلال المواعيد النهائية لخطط الصيانة المقابلة، بالإضافة إلى متوسط الوقت (المتوسط) ومعدل الوقت لحزم التحديثات والاصلاحات.