المعيار الأول: المتطلبات العامة: 

الهدف: تحديد المتطلبات العامة لتقييم الثغرات التي يجب أن يتبعها فريق تقييم الثغرات الداخلي أو الخارجي قبل بدء عملية تقييم الثغرات.

المخاطر المحتملة: يمكن أن يؤدي تقييم الثغرات غير المخطط له بشكل صحيح إلى مخرجات غير كافية أو غير دقيقة، أو قد تؤثر عملية تقييم الثغرات على كفاءة الأنظمة والخدمات.

الإجراءات المطلوبة:

1. إعداد خطة لتقييم الثغرات بشكل دوري يوضح فيها نطاق العمل وتاريخ البدء والانتهاء.
2. التأكد من أن خطة تقييم الثغرات متوافقة​ مع المتطلبات التشريعية والتنظيمية ذات العلاقة.
3. التأكد من أن نشاط إدارة الثغرات (والذي يشمل الاكتشاف والفحص والتصنيف والمعالجة) يسير وفقاً لمنهجية محددة ووفقاً لنماذج سياسات وإجراءات وعمليات إدارة مخاطر الأمن السيبراني والمخاطر المؤسسية المعتمدة في جامعة الإمام محمد بن سعود الإسلامية.
4. إعداد تقرير بعد الانتهاء من أنشطة تقييم الثغرات على أن يتضمن التقرير الأقسام التالية على الأقل: 
   • الملخص التنفيذي.
   • مقدمة لإعداد التقارير.
   • المنهجية.
   • الأصول المستهدفة.
   • تقرير تفصيلي لنتائج تقييم الثغرات.
     
   
   
5. بعد الانتهاء من تقرير تقييم الثغرات، يجب إعداد خطة عمل لتنفيذ التوصيات، على أن يتضمن التقرير ما يلي على الأقل:
   • كالمسؤول التقني عن الأصل (Technical Owner).
   • مالك الأصل (Business Owner).
   • الإجراءات المطلوبة لتنفيذ التوصيات.
   • الفترة الزمنية اللازمة لتنفيذ التوصيات.
     
   
   

 المعيار الثاني: آلية تقييم الثغرات: 

الهدف: تحديد ووضع خطة لوسائل تقييم الثغرات والأدوات المستخدمة التي يجب أن يتبعها فريق تقييم الثغرات الداخلي أو الخارجي قبل بدء عملية تقييم الثغرات.

المخاطر المحتملة: قد يؤدي تقييم الثغرات من غير آلية واضحة ومعتمدة إلى نتائج غير واضحة أو غير دقيقة، وبالتالي قد تُستغل تلك الثغرات قبل اكتشافها وأيضاً قد تتسبب بإهدار الموارد والوقت.

الإجراءات المطلوبة:

1. إجراء تقييم الثغرات دورياً أو مرة واحدة في السنة على الأقل.
2.  إجراء تقييم الثغرات مرة واحدة شهرياً للمكونات التقنية للأنظمة الحساسة الخارجية.
3. إجراء تقييم الثغرات مرة واحدة كل ثلاثة أشهر للمكونات التقنية للأنظمة الحساسة الداخلية.
4. تقييم ومعالجة الثغرات الخاصة بأنظمة العمل عن بعد وتصنيفها حسب خطورتها، مرة واحدة كل ثلاثة أشهر على الأقل.
5. تقييم ومعالجة الثغرات الخاصة بالخدمات السحابية مرة واحدة كل ثلاثة أشهر على الأقل.
6. التأكد من تنفيذ تقييم الثغرات وفقاً للمتطلبات التشريعية والتنظيمية ذات العلاقة، مع الأخذ بالاعتبار الإرشادات التالية:
   • توفير المتطلبات الخاصة ببدء فحص واكتشاف الثغرات الواردة في إجراءات إدارة الثغرات.
   •  تحديد المكونات التقنية المستهدفة بالفحص وتوفير الصلاحيات اللازمة للقيام بفحص واكتشاف الثغرات.
   •  التأكد من أن عملية فحص واكتشاف الثغرات تغطي ثغرات الشبكة وثغرات الخدمات والرسائل النصية التعريفية (Banner Grabbing).
   •   إجراء فحص واكتشاف ثغرات عن طريق وسائل وتقنيات معتمدة.
   •  تحصين أدوات اكتشاف الثغرات الأمنية لمنع الاستخدام أو التعديل غير المصرح به، ومنع تغيير إعداداتها. في حال كان تغيير الإعدادات مطلوبًا، فيجب اتباع إجراءات إدارة التغيير والحصول على الموافقات اللازمة من قبل جامعة الإمام محمد بن سعود الإسلامية.
   •  تصنيف تقارير تقييم الثغرات الأمنية بتصنيف "سري" على الأقل وحمايتها بكلمة مرور ومشاركتها فقط مع الجهات ذات العلاقة.
   •   تصنيف الثغرات حسب خطورتها ووفقاً لمنهجية إدارة المخاطر السيبرانية.​
     
     

المعيار الثالث: معالجة الثغرات:

الهدف: تحديد آلية لمعالجة الثغرات بشكل فعّال ومنع أو تقليل احتمالية استغلال هذه الثغرات، وتقليل الآثار الناتجة عن هذه الهجمات على سير الأعمال.

المخاطر المحتملة: قد يؤدي عدم معالجة الثغرات إلى استغلال تلك الثغرات واستخدامها لشن هجمات سيبرانية.

الإجراءات المطلوبة:​

1. إعداد خطة لمعالجة الثغرات على المكونات التقنية المستهدفة توضح فيها تفاصيل الثغرات والتوصيات وتاريخ البدء وتاريخ الانتهاء والإدارات/المشرفين المعنيين بمعالجة الثغرات.
2. توثيق خطة العمل واعتمادها من قبل جامعة الإمام محمد بن سعود الإسلامية.
3. أن تكون جميع المكونات التقنية لدى جامعة الإمام محمد بن سعود الإسلامية مضمونة ومدعومة من قبل المورد/المصنّع وفقاً لاتفاقية مستوى الخدمة مع المورد/المصنّع.
4. أن تكون لجميع المكونات التقنية الموجودة لدى جامعة الإمام محمد بن سعود الإسلامية حزم تحديثات وإصلاحات أمنية محدثة على مستوى نظام التشغيل والتطبيقات. 
5. يفضل أن يتم توفير تقنيات أتمتة (إن وجدت) لتحديثات أنظمة التشغيل والبرامج (بما في ذلك برامج الأطراف الخارجية) داخل جامعة الإمام محمد بن سعود الإسلامية.
6. يجب معالجة الثغرات الحرجة (Critical Vulnerabilities) فور اكتشافها ووفقاً لآليات إدارة التغيير المعتمدة لدى جامعة الإمام محمد بن سعود الإسلامية. ينبغي أن تكون لجميع الثغرات التي تشكل مخاطر مرتفعة أو متوسطة خطة عمل لإغلاقها ومعالجتها خلال أسبوعين كحد أقصى من تاريخ إصدار الإصلاح أو حزمة التحديثات والإصلاحات من قبل المورد، إلا إذا كان هناك مبرر تقني أو مبرر بناءً على احتياجات العمل يمنع ذلك وتم التبليغ عنه رسمياً.
7. الثغرات التي تم إشعار جامعة الإمام محمد بن سعود الإسلامية بها عن طريق مقدم خدمات الحوسبة السحابية ومعالجتها.

​