المسرد السيبراني

🏛 Acceptable Use Policy AUP

سياسة الاستخدام المقبول

وثيقة تحدد القواعد والإرشادات لاستخدام موارد تقنية المعلومات في المؤسسة.

🔑 Access Control List ACL

قائمة التحكم بالوصول

قائمة من الأذونات المرتبطة بمورد نظام تحدد أي المستخدمين أو عمليات النظام ممنوحة حق الوصول.

🔐 Advanced Encryption Standard AES

معيار التشفير المتقدم

تشفير كتلة متماثل اختارته الحكومة الأمريكية لحماية المعلومات المصنفة، باستخدام أحجام مفاتيح 128 أو 192 أو 256 بت.

⚡ Advanced Persistent Threat APT

التهديد المتقدم المستمر

هجوم سيبراني مطول ومستهدف يحصل فيه المهاجم على وصول للشبكة ويبقى دون اكتشاف لفترة طويلة.

§ Anonymization

إخفاء الهوية

عملية إزالة المعلومات الشخصية من البيانات بحيث لا يمكن تحديد هوية الأفراد.

💻 API Security

أمن واجهات البرمجة

ممارسة حماية واجهات برمجة التطبيقات من الهجمات وسوء الاستخدام.

🛡️ ARIA ARIA

آريا

مستشار الذكاء الاصطناعي للشؤون التنظيمية — وحدة مستشار أمن المعلومات الافتراضي (vCISO) من سيسو للاستشارات. توفر آريا خدمات استشارية للأمن السيبراني بالذكاء الاصطناعي تشمل إنشاء السياسات وتقييم المخاطر وتحليل فجوات الامتثال وتقارير مجلس الإدارة وإنشاء المستندات بصيغ Word وExcel وPowerPoint وPDF. متخصصة في الأطر التنظيمية السعودية: SAMA CSF وNCA ECC وPDPL والمعايير الدولية.

🛡 Attack Simulation BAS

محاكاة الهجوم

محاكاة الاختراق والهجوم — أدوات آلية تختبر باستمرار ضوابط الأمن بمحاكاة الهجمات الواقعية.

⚖ Attack Surface

سطح الهجوم

المجموع الكلي لجميع الثغرات ونقاط الدخول التي يمكن للمهاجم استغلالها.

☑ Audit Trail

مسار التدقيق

سجل زمني لأنشطة النظام يوفر دليلاً وثائقيًا على تسلسل الأنشطة التي أثرت على العمليات أو الإجراءات أو الأحداث.

🔒 Backup Encryption

تشفير النسخ الاحتياطي

ممارسة تشفير بيانات النسخ الاحتياطي لحمايتها من الوصول غير المصرح به في حال فقدان أو سرقة وسائط النسخ الاحتياطي.

🔑 Biometric Authentication

المصادقة البيومترية

طريقة مصادقة تستخدم الخصائص البيولوجية الفريدة مثل بصمات الأصابع أو التعرف على الوجه أو أنماط القزحية.

🛡 Blue Team

الفريق الأزرق

مجموعة من المتخصصين الأمنيين المسؤولين عن الدفاع ضد الهجمات المحاكاة والحقيقية.

🏛 Board Cybersecurity Oversight

إشراف المجلس على الأمن السيبراني

مسؤولية مجلس الإدارة في الإشراف على استراتيجية الأمن السيبراني وإدارة المخاطر في المؤسسة.

⚡ Brute Force Attack

هجوم القوة الغاشمة

طريقة هجوم تستخدم المحاولة والخطأ لتخمين كلمات المرور أو بيانات الاعتماد أو مفاتيح التشفير.

💻 Bug Bounty

مكافأة اكتشاف الثغرات

برنامج تقدمه المؤسسات يكافئ الباحثين الأمنيين على الإبلاغ المسؤول عن الثغرات.

♻ Business Continuity Plan BCP

خطة استمرارية الأعمال

خطة موثقة تحدد كيف ستستمر المؤسسة في العمل أثناء وبعد حدث معطل.

⚡ Business Email Compromise BEC

اختراق البريد الإلكتروني للأعمال

عملية احتيال متطورة تستهدف المؤسسات التي تجري تحويلات مالية بانتظام، مستغلة حسابات البريد الإلكتروني المخترقة للمسؤولين.

🏛 Business Email Compromise Prevention BEC Prevention

منع اختراق البريد الإلكتروني للأعمال

نهج أمني استراتيجي يجمع بين الضوابط التقنية والتدريب على التوعية للمستخدمين وسياسات الحوكمة لمنع هجمات الاحتيال المتطورة عبر البريد الإلكتروني التي تستهدف المؤسسات. يشمل ذلك تنفيذ إجراءات التحقق للمعاملات المالية واكتشاف انتحال شخصية المسؤولين التنفيذيين وبروتوكولات الاستجابة للحوادث.

⚖ Business Impact Analysis BIA

تحليل تأثير الأعمال

عملية تحدد وتقيم التأثيرات المحتملة لانقطاع العمليات التجارية الحساسة.

🚨 Chain of Custody

سلسلة الحفظ

التاريخ الزمني الموثق لمناولة ونقل الأدلة الرقمية.

🏛 Chief Information Security Officer CISO

مسؤول أمن المعلومات الرئيسي

المسؤول التنفيذي الأول المكلف بوضع وإدارة رؤية واستراتيجية وبرنامج الأمن السيبراني للمؤسسة لضمان حماية أصول المعلومات والتقنيات بشكل كافٍ.

☁ Cloud Access Security Broker CASB

وسيط أمن الوصول السحابي

نقطة إنفاذ سياسة أمنية توضع بين مستهلكي ومقدمي الخدمات السحابية لإنفاذ سياسات أمن المؤسسة.

🇸🇦 Cloud Cybersecurity Controls CSCC

ضوابط الأمن السيبراني للحوسبة السحابية

ضوابط الهيئة الوطنية المصممة خصيصًا لتأمين خدمات الحوسبة السحابية المستخدمة من قبل الجهات السعودية.

☁ Cloud Security Posture Management CSPM

إدارة الوضع الأمني السحابي

أدوات آلية تراقب باستمرار البنية التحتية السحابية بحثًا عن فجوات في إنفاذ السياسات الأمنية.

☁ Cloud Workload Protection Platform CWPP

منصة حماية أعباء العمل السحابية

حل أمني يركز على حماية أعباء العمل عبر البيئات السحابية والمحلية والهجينة.

💻 Code Review

مراجعة الشفرة البرمجية

فحص منهجي للشفرة المصدرية لإيجاد وإصلاح الأخطاء التي تم تجاهلها في التطوير الأولي.

⚖ Common Vulnerabilities and Exposures CVE

الثغرات والتعرضات الشائعة

قائمة مكشوفة علنيًا لثغرات الأمن السيبراني، كل منها يُعطى معرفًا فريدًا للتتبع والمرجعية.

⚖ Common Vulnerability Scoring System CVSS

نظام تسجيل الثغرات المشترك

إطار مفتوح للتواصل حول خصائص وشدة ثغرات البرمجيات باستخدام درجة رقمية من 0 إلى 10.

🇸🇦 Communications, Space & Technology Commission CST

هيئة الاتصالات والفضاء والتقنية

الهيئة التنظيمية السعودية المشرفة على قطاع تقنية المعلومات والاتصالات بما في ذلك متطلبات أمن الاتصالات.

☑ Compensating Control

الضابط التعويضي

تدبير أمني بديل يُستخدم عندما لا يمكن تنفيذ الضابط الأساسي.

🚨 Computer Security Incident Response Team CSIRT

فريق الاستجابة لحوادث أمن الحاسب

فريق من خبراء أمن تقنية المعلومات مسؤول عن إدارة حوادث الأمن السيبراني والاستجابة لها.

§ Consent

الموافقة

إشارة حرة ومحددة ومستنيرة وصريحة بموافقة صاحب البيانات على معالجة بياناته الشخصية.

☁ Container Security

أمن الحاويات

ممارسة تأمين التطبيقات المعبأة في حاويات وبنيتها التحتية من التطوير حتى الإنتاج.

🚨 Containment

الاحتواء

مرحلة الاستجابة للحوادث التي تركز على الحد من نطاق وأضرار الحادث الأمني.

Continuous Authentication CA

المصادقة المستمرة

آلية أمنية للثقة المعدومة تتحقق باستمرار من هوية المستخدم وموثوقية الجهاز طوال الجلسة، بدلاً من التحقق فقط عند تسجيل الدخول الأولي. تراقب الأنماط السلوكية ووضع الجهاز والموقع والعوامل السياقية في الوقت الفعلي لاكتشاف الحالات الشاذة وتعديل امتيازات الوصول ديناميكياً أو إنهاء الجلسات عند تغير مستويات المخاطر.

☑ Continuous Compliance

الامتثال المستمر

نهج آلي للحفاظ على الامتثال للأنظمة والمعايير من خلال المراقبة والتقييم المستمرين.

☑ Control Objective

هدف الضابط الرقابي

بيان بالنتيجة المرجوة أو الغرض المراد تحقيقه من خلال تنفيذ ضابط أمني.

☑ Corrective Action

الإجراء التصحيحي

إجراء يُتخذ للقضاء على سبب عدم المطابقة المكتشف لمنع تكراره.

⚡ Credential Stuffing

حشو بيانات الاعتماد

هجوم آلي يستخدم أزواج اسم المستخدم/كلمة المرور المسروقة من انتهاكات البيانات لمحاولة تسجيل الدخول في خدمات أخرى.

♻ Crisis Management

إدارة الأزمات

التنسيق الشامل لاستجابة المؤسسة لأزمة تهدد المؤسسة أو أصحاب المصلحة.

🇸🇦 Critical National Infrastructure CNI

البنى التحتية الوطنية الحساسة

الأنظمة والأصول الحيوية للأمن الوطني السعودي أو الاقتصاد أو الصحة العامة التي تتطلب حماية معززة للأمن السيبراني.

§ Cross-Border Data Transfer

نقل البيانات عبر الحدود

نقل البيانات الشخصية من دولة إلى أخرى، وهو خاضع لقيود قانونية ومتطلبات الكفاية.

Cross-Border Data Transfer Compliance CBDT

الامتثال لنقل البيانات عبر الحدود

المتطلبات التنظيمية بموجب نظام حماية البيانات الشخصية لنقل البيانات الشخصية خارج المملكة العربية السعودية، والتي تتطلب من مراقبي البيانات ضمان مستويات حماية كافية في الدولة المستقبلة، والحصول على الموافقات اللازمة، وتطبيق الضمانات المناسبة مثل البنود التعاقدية القياسية، والحفاظ على المساءلة عن حماية البيانات طوال عملية النقل.

⚡ Cross-Site Scripting XSS

البرمجة عبر المواقع

ثغرة أمنية في الويب تسمح للمهاجمين بحقن نصوص برمجية في صفحات الويب التي يشاهدها مستخدمون آخرون.

⚡ Cryptojacking

التعدين الخبيث

الاستخدام غير المصرح به لموارد حوسبة شخص آخر لتعدين العملات المشفرة.

Cyber Incident Notification CIN

الإخطار بالحوادث السيبرانية

العملية الإلزامية للإبلاغ عن الحوادث السيبرانية للجهات التنظيمية المعنية والأطراف المتأثرة وأصحاب المصلحة ضمن أطر زمنية محددة، بما في ذلك تفاصيل حول طبيعة الحادث ونطاقه وتأثيره كما تتطلب الأنظمة المعمول بها.

Cyber Incident Reporting

الإبلاغ عن الحوادث السيبرانية

العملية الإلزامية أو الطوعية لإخطار الجهات المعنية وأصحاب المصلحة والأطراف المتأثرة بالحوادث السيبرانية ضمن أطر زمنية محددة. في المملكة العربية السعودية، يشمل ذلك الإبلاغ للهيئة الوطنية للأمن السيبراني للبنى التحتية الحرجة ومؤسسة النقد العربي السعودي للمؤسسات المالية.

⚖ Cyber Insurance

التأمين السيبراني

منتجات تأمين مصممة لمساعدة المؤسسات في تخفيف الخسائر المالية من حوادث الأمن السيبراني وانتهاكات البيانات.

🇸🇦 Cyber Resilience

المرونة السيبرانية

قدرة المؤسسة على تقديم النتائج المقصودة بشكل مستمر على الرغم من الأحداث السيبرانية السلبية كما تتطلبه الهيئة الوطنية.

🛡 Cyber Threat Intelligence Platform TIP

منصة استخبارات التهديدات السيبرانية

منصة تقنية تجمع وتربط وتحلل بيانات التهديدات من مصادر متعددة لتوفير استخبارات قابلة للتنفيذ.

Cybersecurity Asset Management CAM

إدارة أصول الأمن السيبراني

مجال ضوابط في الضوابط الأساسية للأمن السيبراني يتطلب من المؤسسات الاحتفاظ بجرد شامل لجميع الأصول المعلوماتية، بما في ذلك الأجهزة والبرمجيات والبيانات ومكونات الشبكة، مع التصنيف المناسب وتعيين الملكية وإدارة دورة الحياة لضمان تدابير الحماية الكافية.

Cybersecurity Defense CD

الدفاع السيبراني

المجال الثاني من إطار الضوابط الأساسية للأمن السيبراني الذي يشمل الضوابط التقنية والتشغيلية لحماية أنظمة المعلومات والشبكات والبيانات، بما في ذلك التحكم في الوصول وأمن الشبكات والتشفير وإدارة الثغرات وقدرات المراقبة الأمنية.

🏛 Cybersecurity Framework CSF

إطار الأمن السيبراني

مجموعة منظمة من الإرشادات وأفضل الممارسات المصممة لمساعدة المؤسسات في إدارة وتقليل مخاطر الأمن السيبراني.

Cybersecurity Governance CG

حوكمة الأمن السيبراني

المجال الأول من إطار الضوابط الأساسية للأمن السيبراني الذي يحدد متطلبات القيادة التنظيمية واستراتيجية الأمن السيبراني والسياسات وإدارة المخاطر وبرامج الامتثال لضمان الإشراف الفعال والمساءلة عن الأمن السيبراني في جميع أنحاء المنظمة.

Cybersecurity Governance Domain SAMA CSF Domain 1

مجال حوكمة الأمن السيبراني

المجال الأول من إطار SAMA CSF الذي يتطلب من المؤسسات المالية إنشاء هياكل شاملة لحوكمة الأمن السيبراني، بما في ذلك الإشراف على مستوى مجلس الإدارة، واستراتيجية الأمن السيبراني، وأطر إدارة المخاطر، والسياسات والإجراءات، والأدوار والمسؤوليات التنظيمية لإدارة مخاطر الأمن السيبراني.

Cybersecurity Incident Response and Management CIRM

الاستجابة والإدارة لحوادث الأمن السيبراني

مجال ضوابط في الضوابط الأساسية للأمن السيبراني يتطلب من المؤسسات إنشاء قدرات رسمية للكشف عن حوادث الأمن السيبراني وتحليلها واحتوائها والقضاء عليها والتعافي منها، بما في ذلك الإبلاغ الإلزامي للهيئة الوطنية للأمن السيبراني ضمن أطر زمنية محددة للحوادث التي تؤثر على الأنظمة الحرجة أو البيانات الحساسة.

🇸🇦 Cybersecurity Maturity Assessment

تقييم نضج الأمن السيبراني

تقييم الهيئة الوطنية الدوري لنضج الأمن السيبراني للجهات الحكومية مقابل الضوابط الأساسية.

Cybersecurity Maturity Level CML

مستوى نضج الأمن السيبراني

نظام تصنيف ضمن إطار الضوابط الأساسية للأمن السيبراني يصنف المؤسسات إلى مستويات نضج مختلفة (أساسي، متوسط، متقدم) بناءً على أهميتها الحرجة وملف المخاطر الخاص بها، مما يحدد عمق ودقة ضوابط الأمن السيبراني التي يجب عليها تطبيقها.

Cybersecurity Resilience and Business Continuity SAMA CSF Domain 3

المرونة السيبرانية واستمرارية الأعمال

المجال الثالث من إطار SAMA CSF الذي يتطلب من المؤسسات المالية تطوير والحفاظ على القدرات اللازمة لتحمل حوادث الأمن السيبراني والاستجابة لها والتعافي منها، بما في ذلك خطط الاستجابة للحوادث، وبرامج استمرارية الأعمال والتعافي من الكوارث، واستراتيجيات النسخ الاحتياطي، وتمارين الاختبار المنتظمة لضمان المرونة التشغيلية.

🔒 Data at Rest

البيانات المخزنة

البيانات المخزنة في قواعد البيانات أو أنظمة الملفات أو أنظمة تخزين أخرى والتي لا يتم نقلها أو معالجتها بنشاط.

§ Data Breach

انتهاك البيانات

حادث أمني يتم فيه الوصول إلى بيانات حساسة أو محمية أو سرية أو الكشف عنها أو سرقتها من قبل طرف غير مصرح له.

🔒 Data Classification

تصنيف البيانات

عملية تنظيم البيانات حسب فئات ذات صلة بحيث يمكن حمايتها واستخدامها بكفاءة أكبر وفقًا لمستوى حساسيتها.

§ Data Controller

المتحكم بالبيانات

الجهة التي تحدد أغراض ووسائل معالجة البيانات الشخصية.

🔒 Data in Transit

البيانات أثناء النقل

البيانات التي تتحرك بنشاط من موقع لآخر، مثل عبر الإنترنت أو من خلال شبكة خاصة.

🔒 Data Lifecycle Management DLM

إدارة دورة حياة البيانات

نهج قائم على السياسات لإدارة تدفق البيانات خلال دورة حياتها من الإنشاء والتخزين إلى الحذف.

🔒 Data Loss Prevention DLP

منع فقدان البيانات

مجموعة من الأدوات والعمليات لضمان عدم فقدان البيانات الحساسة أو إساءة استخدامها أو وصول مستخدمين غير مصرح لهم إليها.

🔒 Data Masking

إخفاء البيانات

عملية إخفاء بيانات محددة داخل قاعدة بيانات لضمان عدم كشف البيانات الحساسة لأشخاص غير مصرح لهم.

§ Data Portability

نقل البيانات

حق أصحاب البيانات في الحصول على بياناتهم الشخصية بتنسيق منظم وشائع الاستخدام وقابل للقراءة آلياً.

🏛 Data Privacy Impact Assessment DPIA

تقييم أثر خصوصية البيانات

عملية منهجية لتحديد وتقليل مخاطر الخصوصية المرتبطة بمعالجة البيانات الشخصية، خاصة عند تطبيق تقنيات أو أنظمة جديدة. يقيم هذا التقييم التأثيرات المحتملة على حقوق خصوصية الأفراد ويحدد الضمانات وتدابير التخفيف المناسبة.

§ Data Processor

معالج البيانات

جهة تعالج البيانات الشخصية نيابة عن المتحكم بالبيانات.

§ Data Protection Impact Assessment DPIA

تقييم أثر حماية البيانات

عملية لتحديد وتقليل مخاطر حماية البيانات لمشروع أو نظام.

§ Data Protection Officer DPO

مسؤول حماية البيانات

شخص معين مسؤول عن الإشراف على استراتيجية حماية البيانات والامتثال داخل المؤسسة.

🔒 Data Sovereignty

سيادة البيانات

مفهوم أن البيانات تخضع لقوانين وهياكل الحوكمة داخل الدولة التي تم جمعها أو معالجتها فيها.

Data Subject Rights DSR

حقوق صاحب البيانات

الحقوق الممنوحة للأفراد بموجب نظام حماية البيانات الشخصية بما في ذلك الحق في الوصول والتصحيح والمحو وتقييد المعالجة ونقل البيانات والاعتراض على معالجة بياناتهم الشخصية، والتي يجب على المؤسسات تسهيلها والرد عليها ضمن أطر زمنية محددة.

⚡ Deepfake

التزييف العميق

وسائط اصطناعية يولدها الذكاء الاصطناعي تُستخدم لانتحال هوية الأفراد من خلال صوت أو فيديو أو صور تم التلاعب بها.

🏛 Defense in Depth DiD

الدفاع المتعمق

استراتيجية أمن سيبراني تستخدم طبقات متعددة من ضوابط الأمن لحماية أصول المعلومات، بحيث إذا فشلت طبقة واحدة تكون هناك طبقة أخرى.

🌐 Demilitarized Zone DMZ

المنطقة منزوعة السلاح

قطاع شبكة محيطي يقع بين الشبكة الداخلية والخارجية لتوفير طبقة إضافية من الأمن.

💻 DevSecOps

تطوير الأمن والعمليات

ممارسة دمج اختبار الأمان والحماية في كل مرحلة من مراحل دورة حياة تطوير البرمجيات.

🚨 Digital Forensics DFIR

التحقيق الجنائي الرقمي

عملية جمع وحفظ وتحليل الأدلة الإلكترونية للتحقيق في حوادث الأمن السيبراني.

Digital Forensics and Incident Analysis DFIR

التحليل الجنائي الرقمي وتحليل الحوادث

عملية جمع وحفظ وتحليل وتوثيق الأدلة الرقمية من الحوادث الأمنية بشكل منهجي لتحديد السبب الجذري ونطاق الاختراق ومتجهات الهجوم ودعم الإجراءات القانونية أو الإبلاغ التنظيمي.

🚨 Digital Forensics and Incident Response DFIR

الطب الجنائي الرقمي والاستجابة للحوادث

مزيج من التحليل الجنائي الرقمي (جمع الأدلة وتحليلها) والاستجابة للحوادث (الاحتواء والاستئصال والتعافي).

Digital Forensics and Incident Response (DFIR) DFIR

الطب الشرعي الرقمي والاستجابة للحوادث

الممارسة المشتركة لجمع وحفظ وتحليل وتقديم الأدلة الرقمية من الحوادث السيبرانية مع احتواء التهديد ومعالجته في الوقت نفسه. يضمن سلامة الأدلة للإجراءات القانونية المحتملة مع تمكين التعافي السريع وتوثيق الدروس المستفادة.

🔐 Digital Signature

التوقيع الرقمي

نظام رياضي للتحقق من صحة وسلامة الرسائل أو المستندات الرقمية.

🔑 Directory Service

خدمة الدليل

قاعدة بيانات مركزية تخزن وتدير هويات المستخدمين وبيانات الاعتماد وأذونات الوصول.

♻ Disaster Recovery Plan DRP

خطة التعافي من الكوارث

عملية موثقة لاستعادة البنية التحتية لتقنية المعلومات والأنظمة بعد كارثة طبيعية أو من صنع الإنسان.

⚡ Distributed Denial of Service DDoS

هجوم حجب الخدمة الموزع

هجوم يغرق النظام المستهدف بحركة مرور من مصادر متعددة مما يجعله غير متاح للمستخدمين الشرعيين.

🌐 Domain Name System Security Extensions DNSSEC

امتدادات أمن نظام أسماء النطاقات

مجموعة امتدادات لنظام DNS تضيف الأمن بتمكين التحقق من صحة استجابات DNS.

🏛 Domain-based Message Authentication DMARC

مصادقة الرسائل المستندة إلى النطاق

بروتوكول مصادقة البريد الإلكتروني الذي يبني على إطار سياسة المرسل ومفاتيح تحديد هوية البريد لتوفير حماية لأصحاب النطاقات ضد الاستخدام غير المصرح به لنطاقهم في هجمات البريد الإلكتروني. يمكّن أصحاب النطاقات من تحديد كيفية تعامل خوادم البريد المستقبلة مع الرسائل التي تفشل في فحوصات المصادقة ويوفر آليات إعداد التقارير للمراقبة.

🏛 Due Diligence

العناية الواجبة

ممارسة إجراء البحث والتقييم الكافي قبل اتخاذ القرارات بشأن استثمارات الأمن أو الشراكات أو التعاقدات مع الموردين.

💻 Dynamic Application Security Testing DAST

اختبار أمان التطبيقات الديناميكي

طريقة اختبار أمني تختبر التطبيق أثناء تشغيله للعثور على ثغرات من منظور خارجي.

ECC Compliance Assessment ECC-CA

تقييم الامتثال للضوابط الأساسية

عملية تقييم دورية إلزامية تجريها المنظمات الخاضعة لمتطلبات الضوابط الأساسية للأمن السيبراني لقياس التزامها بالضوابط الأمنية المحددة. يتضمن التقييم التقييم الذاتي ومراجعة الوثائق والاختبار التقني وقد يشمل عمليات تدقيق من طرف ثالث. يجب على المنظمات تقديم تقارير الامتثال إلى الهيئة الوطنية للأمن السيبراني توضح حالة التنفيذ والفجوات المحددة وخطط المعالجة، مع طلب التقييمات عادةً سنوياً أو بعد تغييرات كبيرة في النظام.

ECC Cybersecurity Maturity Level ECC ML

مستوى نضج الأمن السيبراني للضوابط الأساسية

نظام تصنيف ضمن إطار الضوابط الأساسية للهيئة الوطنية للأمن السيبراني يحدد ثلاثة مستويات تدريجية للنضج لتطبيق ضوابط الأمن السيبراني بناءً على ملف المخاطر التنظيمية والأهمية الحرجة. يمثل المستوى 1 ممارسات الأمن السيبراني الأساسية، ويشير المستوى 2 إلى تدابير الأمن المتوسطة، ويدل المستوى 3 على قدرات الأمن المتقدمة. يجب على المنظمات تحقيق مستوى النضج المناسب لتصنيفها كما تحدده الهيئة الوطنية للأمن السيبراني.

ECC Cybersecurity Maturity Model ECC-CMM

نموذج نضج الأمن السيبراني للضوابط الأساسية

منهجية تقييم منظمة ضمن إطار الضوابط الأساسية للأمن السيبراني تقيس نضج الأمن السيبراني للمنظمة عبر خمسة مستويات: المستوى 1 (مبتدئ)، المستوى 2 (نامي)، المستوى 3 (محدد)، المستوى 4 (مُدار)، والمستوى 5 (محسّن). يُطلب من المنظمات تحقيق مستويات نضج محددة بناءً على تصنيفها وأهميتها الحرجة، مع توقع وصول الجهات عالية المخاطر إلى مستويات نضج أعلى.

🔐 Elliptic Curve Cryptography ECC

تشفير المنحنى الإهليلجي

نهج للتشفير بالمفتاح العام يعتمد على البنية الجبرية للمنحنيات الإهليلجية ويوفر أمانًا مكافئًا بأحجام مفاتيح أصغر.

🏛 Email Data Loss Prevention Email DLP

منع فقدان البيانات عبر البريد الإلكتروني

استراتيجية وتقنية أمنية تراقب وتكتشف وتمنع نقل المعلومات الحساسة عبر البريد الإلكتروني بما يخالف سياسات المؤسسة أو المتطلبات التنظيمية. يساعد منع فقدان البيانات عبر البريد الإلكتروني في منع خروقات البيانات العرضية أو المتعمدة من خلال فرض فحص المحتوى والضوابط القائمة على السياسات.

🏛 Email Encryption Policy

سياسة تشفير البريد الإلكتروني

إطار حوكمة يحدد المتطلبات والإجراءات لتشفير اتصالات البريد الإلكتروني لحماية المعلومات الحساسة أثناء النقل وفي حالة السكون. تحدد هذه السياسة معايير طرق التشفير وإدارة المفاتيح والامتثال للوائح حماية البيانات مثل نظام حماية البيانات الشخصية.

🏛 Email Gateway Security EGS

أمن بوابة البريد الإلكتروني

حل أمني يقوم بتصفية ومراقبة حركة البريد الإلكتروني الواردة والصادرة للكشف عن المحتوى الضار والبريد العشوائي ومحاولات التصيد الاحتيالي وحظرها. يعمل كحاجز وقائي بين البنية التحتية للبريد الإلكتروني للمؤسسة والتهديدات الخارجية، مع فرض سياسات الأمن ومتطلبات الامتثال.

🏛 Email Incident Response Plan

خطة الاستجابة لحوادث البريد الإلكتروني

إجراء موثق يحدد الخطوات التي يجب اتخاذها عند وقوع حادث أمني للبريد الإلكتروني، بما في ذلك الكشف والاحتواء والتحقيق والمعالجة وإعداد التقارير. هذه الخطة ضرورية لتقليل الأضرار الناجمة عن الهجمات القائمة على البريد الإلكتروني وضمان الام

🏛 Email Retention Policy

سياسة الاحتفاظ بالبريد الإلكتروني

وثيقة حوكمة تحدد المدة التي يجب الاحتفاظ فيها برسائل البريد الإلكتروني وأرشفتها وحذفها في النهاية بناءً على المتطلبات التنظيمية والالتزامات القانونية واحتياجات العمل. تضمن هذه السياسة الامتثال لقوانين حماية البيانات مع إدارة موارد التخزين بفعالية.

🏛 Email Security Awareness Training

التدريب على التوعية بأمن البريد الإلكتروني

برنامج منظم مصمم لتثقيف الموظفين حول التهديدات القائمة على البريد الإلكتروني مثل التصيد الاحتيالي والبرامج الضارة وهجمات الهندسة الاجتماعية. يعد هذا التدريب عنصراً حاسماً في حوكمة الأمن، مما يساعد المؤسسات على بناء جدار حماية بشري وتقليل مخاطر نجاح هجمات البريد الإلكتروني.

Encryption

التشفير

عملية تحويل البيانات النصية الواضحة إلى نص مشفر باستخدام خوارزميات ومفاتيح تشفير لحماية السرية ومنع الوصول غير المصرح به إلى المعلومات الحساسة أثناء التخزين أو النقل.

Encryption Key Management EKM

إدارة مفاتيح التشفير

إدارة المفاتيح التشفيرية طوال دورة حياتها، بما في ذلك التوليد والتوزيع والتخزين والتدوير والنسخ الاحتياطي والإتلاف، مع ضمان ممارسات آمنة للتعامل مع المفاتيح للحفاظ على فعالية أنظمة التشفير.

End-to-End Encryption E2EE

التشفير الشامل من طرف إلى طرف

طريقة أمنية يتم فيها تشفير البيانات على جهاز المرسل ولا يتم فك تشفيرها إلا على جهاز المستقبل، مما يضمن عدم تمكن أي أطراف وسيطة، بما في ذلك مزودي الخدمة، من الوصول إلى المحتوى النصي الواضح أثناء النقل.

🛡 Endpoint Detection and Response EDR

كشف نقاط النهاية والاستجابة

تقنية أمن سيبراني تراقب نقاط النهاية باستمرار لكشف التهديدات السيبرانية والاستجابة لها.

🚨 Eradication

الاستئصال

مرحلة الاستجابة للحوادث التي يتم فيها إزالة السبب الجذري وآثار الحادث الأمني من البيئة.

🇸🇦 Essential Cybersecurity Controls ECC

الضوابط الأساسية للأمن السيبراني

ضوابط الأمن السيبراني الأساسية الصادرة عن الهيئة الوطنية التي يجب على جميع الجهات الحكومية وجهات البنى التحتية الحساسة تنفيذها.

☑ Evidence Collection

جمع الأدلة

الجمع المنهجي للأدلة على أن الضوابط الأمنية منفذة وفعالة لتلبية متطلبات الامتثال.

🛡 Extended Detection and Response XDR

الكشف والاستجابة الموسعة

حل أمني موحد يدمج منتجات أمنية متعددة في نظام متماسك لتحسين كشف التهديدات والاستجابة لها.

♻ Failover

التحول التلقائي

التبديل التلقائي إلى نظام أو خادم أو شبكة احتياطية عند فشل أو إنهاء غير طبيعي للنظام الأساسي.

⚖ FAIR Model FAIR

نموذج FAIR

تحليل عوامل مخاطر المعلومات — منهجية تحليل كمي للمخاطر لأمن المعلومات والمخاطر التشغيلية.

🔑 FIDO2 FIDO2

معيار FIDO2

معيار مصادقة مفتوح يمكّن تسجيل الدخول بدون كلمة مرور باستخدام تشفير المفتاح العام والقياسات الحيوية.

⚡ Fileless Malware

البرمجيات الخبيثة بدون ملفات

شفرة خبيثة تعمل بالكامل في الذاكرة دون كتابة ملفات على القرص مما يجعلها أصعب في الاكتشاف بمضادات الفيروسات التقليدية.

🌐 Firewall FW

الجدار الناري

جهاز أمن شبكات يراقب ويصفي حركة مرور الشبكة الواردة والصادرة بناءً على قواعد أمنية محددة مسبقًا.

☑ Gap Analysis

تحليل الفجوات

تقييم يقارن الوضع الأمني الحالي للمؤسسة مقابل معيار أو إطار مرغوب لتحديد المجالات التي تحتاج تحسين.

🏛 Governance, Risk and Compliance GRC

الحوكمة والمخاطر والامتثال

إطار متكامل لإدارة سياسات الحوكمة وإدارة المخاطر المؤسسية والامتثال التنظيمي. تُؤتمت منصات GRC تقييم الضوابط وتتبع المخاطر وإدارة التدقيق عبر أطر متعددة في آن واحد.

🔐 Hardware Security Module HSM

وحدة أمن الأجهزة

جهاز مخصص لإدارة وحماية المفاتيح الرقمية وتنفيذ العمليات التشفيرية.

🔐 Hash Function

دالة التجزئة

دالة رياضية تحول مدخلاً بطول عشوائي إلى مخرج بحجم ثابت، تُستخدم عادةً للتحقق من سلامة البيانات.

🔐 Homomorphic Encryption

التشفير المتماثل الشكل

شكل من أشكال التشفير يسمح بإجراء الحسابات على البيانات المشفرة دون فك تشفيرها أولاً.

♻ Hot Site

الموقع الساخن

مرفق حوسبة مكرر ومجهز بالكامل يمكن تفعيله فوراً في حالة وقوع كارثة.

Identity and Access Management (IAM) IAM

إدارة الهوية والوصول

إطار عمل من السياسات والعمليات والتقنيات التي تمكن المؤسسات من إدارة الهويات الرقمية والتحكم في وصول المستخدمين إلى المعلومات والأنظمة الحساسة. تضمن إدارة الهوية والوصول أن الأفراد المناسبين يصلون إلى الموارد المناسبة في الأوقات المناسبة وللأسباب الصحيحة.

🔑 Identity Provider IdP

مزود الهوية

نظام ينشئ ويحتفظ ويدير معلومات الهوية للمستخدمين مع توفير خدمات المصادقة.

Incident Containment

احتواء الحادث

عملية الحد من نطاق وتأثير الحادث الأمني من خلال عزل الأنظمة المتأثرة، ومنع الحركة الجانبية للتهديدات، ووقف انتشار الحادث إلى أجزاء أخرى من الشبكة أو المؤسسة.

Incident Notification and Reporting

الإخطار والإبلاغ عن الحوادث

العملية الإلزامية لإبلاغ أصحاب المصلحة المعنيين والجهات التنظيمية والأطراف المتأثرة بالحوادث الأمنية ضمن أطر زمنية محددة، بما في ذلك تفاصيل حول طبيعة الحادث وتأثيره وإجراءات المعالجة.

🚨 Incident Response Plan IRP

خطة الاستجابة للحوادث

خطة موثقة تحدد الإجراءات والمسؤوليات للكشف عن حوادث الأمن السيبراني والاستجابة لها والتعافي منها.

Incident Response Plan (IRP) IRP

خطة الاستجابة للحوادث

نهج موثق ومنظم يتضمن إجراءات تفصيلية لاكتشاف الحوادث السيبرانية والاستجابة لها والتعافي منها. يحدد الأدوار والمسؤوليات وبروتوكولات الاتصال والإجراءات خطوة بخطوة لتقليل الأضرار واستعادة العمليات الطبيعية بكفاءة.

Incident Response Team (IRT) IRT

فريق الاستجابة للحوادث

مجموعة معينة من المتخصصين المدربين المسؤولين عن إدارة وتنسيق الاستجابة للحوادث السيبرانية. يتضمن الفريق عادةً خبراء تقنيين ومستشارين قانونيين وأخصائيي اتصالات وممثلين عن الإدارة يعملون معاً لاحتواء الخروقات الأمنية والتحقيق فيها ومعالجتها.

⚡ Indicators of Attack IoA

مؤشرات الهجوم

مؤشرات استباقية تحدد أنماط سلوك المهاجم في الوقت الفعلي قبل حدوث الضرر.

🚨 Indicators of Compromise IoC

مؤشرات الاختراق

آثار جنائية رقمية تحدد النشاط الخبيث المحتمل على نظام أو شبكة.

🔒 Information Rights Management IRM

إدارة حقوق المعلومات

تقنية تتحكم في الوصول إلى المستندات والبريد الإلكتروني والملفات خارج حدود شبكة المؤسسة.

🏛 Information Security Management System ISMS

نظام إدارة أمن المعلومات

نهج منظم يتكون من سياسات وعمليات وأنظمة لإدارة المعلومات الحساسة بحيث تبقى آمنة، ويشمل الأشخاص والعمليات وأنظمة تقنية المعلومات.

☁ Infrastructure as Code IaC

البنية التحتية كشفرة

إدارة وتوفير البنية التحتية الحاسوبية من خلال ملفات تكوين قابلة للقراءة آلياً بدلاً من العمليات اليدوية.

🏛 Inherent Risk

المخاطر الذاتية

مستوى المخاطر الموجودة قبل تطبيق أي ضوابط. يستخدم في تقييمات المخاطر لتحديد مستوى المخاطر الأساسي قبل تقييم فاعلية الضوابط الحالية.

⚡ Insider Threat

التهديد الداخلي

خطر أمني ينشأ من داخل المؤسسة، عادةً من الموظفين الحاليين أو السابقين أو شركاء الأعمال.

☑ Internal Audit IA

التدقيق الداخلي

تقييم مستقل يُجرى داخل المؤسسة لتقييم وتحسين فعالية إدارة المخاطر والرقابة والحوكمة.

🌐 Intrusion Detection System IDS

نظام كشف التسلل

نظام يراقب أنشطة الشبكة أو النظام بحثًا عن أنشطة خبيثة أو انتهاكات للسياسات وينتج تنبيهات.

🌐 Intrusion Prevention System IPS

نظام منع التسلل

أداة أمن شبكات تراقب حركة المرور بحثًا عن التهديدات وتتخذ إجراءات تلقائية لمنعها.

🔐 Key Management

إدارة المفاتيح

إدارة مفاتيح التشفير في نظام تشفيري، بما في ذلك التوليد والتبادل والتخزين والاستخدام والاستبدال.

⚖ Key Risk Indicator KRI

مؤشر المخاطر الرئيسي

مقياس يُستخدم لتوفير إشارة مبكرة عن تزايد التعرض للمخاطر في مختلف مجالات المؤسسة.

🔑 Least Privilege

أقل الصلاحيات

مبدأ أنه يجب منح المستخدمين الحد الأدنى من مستويات الوصول اللازمة لأداء وظائفهم.

🛡 Log Correlation

ارتباط السجلات

عملية تحليل السجلات من مصادر متعددة لتحديد الأنماط والشذوذ والحوادث الأمنية المحتملة.

⚡ Malware

البرمجيات الخبيثة

برمجيات مصممة خصيصًا لتعطيل أو إتلاف أو الحصول على وصول غير مصرح به إلى نظام حاسب.

⚡ Man-in-the-Middle Attack MITM

هجوم الوسيط

هجوم يقوم فيه المهاجم بإعادة توجيه وربما تغيير الاتصالات بين طرفين يعتقدان أنهما يتواصلان مباشرة.

🛡 Managed Detection and Response MDR

الكشف والاستجابة المدارة

خدمة أمن سيبراني خارجية توفر قدرات مراقبة واكتشاف التهديدات والاستجابة لها.

🏛 Maturity Model CMM

نموذج النضج

إطار لتقييم الوضع الحالي ومسار تحسين قدرات الأمن السيبراني للمؤسسة عبر مستويات محددة.

♻ Maximum Tolerable Downtime MTD

أقصى وقت تعطل مقبول

أقصى فترة زمنية يمكن فيها تعطيل عملية أعمال دون التسبب في عواقب غير مقبولة.

🚨 Mean Time to Detect MTTD

متوسط وقت الكشف

متوسط الوقت المستغرق لاكتشاف حادث أمني من وقت حدوثه الأولي.

Mean Time to Detect (MTTD) MTTD

متوسط الوقت للكشف

مؤشر أداء رئيسي يقيس متوسط الوقت الذي يستغرقه فريق مركز العمليات الأمنية لاكتشاف حادث أمني أو اختراق من لحظة حدوثه. يعتبر متوسط الوقت للكشف أمراً بالغ الأهمية لتقييم فعالية قدرات المراقبة الأمنية وضوابط الكشف، حيث تشير القيم المنخفضة إلى عمليات أمنية أكثر نضجاً.

🚨 Mean Time to Respond MTTR

متوسط وقت الاستجابة

متوسط الوقت المستغرق لاحتواء ومعالجة حادث أمني بعد اكتشافه.

Micro-Segmentation MS

التجزئة الدقيقة

تقنية أمنية للثقة المعدومة تقسم الشبكات إلى أجزاء صغيرة ومعزولة لاحتواء الاختراقات والحد من الحركة الجانبية. كل جزء له ضوابط الوصول وسياسات الأمان الخاصة به، مما يسمح للمؤسسات بتحديد محيطات أمنية دقيقة حول الأصول الحرجة وفرض فحص صارم لحركة المرور بين الأجزاء.

🌐 Microsegmentation

التجزئة الدقيقة

تقنية أمنية تقسم الشبكة إلى أجزاء معزولة حتى مستوى عبء العمل الفردي.

⚡ MITRE ATT&CK

إطار MITRE ATT&CK

قاعدة معرفة متاحة عالمياً لتكتيكات وتقنيات الخصوم بناءً على ملاحظات واقعية للهجمات السيبرانية.

☁ Multi-Cloud Security

أمن السحابة المتعددة

استراتيجية وضوابط أمنية للمؤسسات التي تستخدم خدمات من مقدمي خدمات سحابية متعددين في آن واحد.

🔑 Multi-Factor Authentication MFA

المصادقة متعددة العوامل

طريقة مصادقة تتطلب عاملين أو أكثر من عوامل التحقق: شيء تعرفه، شيء تملكه، أو شيء أنت عليه.

🇸🇦 National Cryptographic Standards

المعايير الوطنية للتشفير

متطلبات الهيئة الوطنية لخوارزميات التشفير وأطوال المفاتيح المستخدمة من قبل الجهات الحكومية وجهات البنى التحتية الحساسة.

🇸🇦 National Cybersecurity Authority NCA

الهيئة الوطنية للأمن السيبراني

الجهة الحكومية السعودية المسؤولة عن تنظيم الأمن السيبراني ووضع السياسات والمعايير والضوابط الوطنية للأمن السيبراني.

🇸🇦 National Data Management Office NDMO

مكتب إدارة البيانات الوطنية

الجهة السعودية التابعة لهيئة البيانات والذكاء الاصطناعي المسؤولة عن سياسات حوكمة البيانات الوطنية ومعايير تصنيف البيانات.

🏛 NCA Cloud Cybersecurity Controls NCA CCC

ضوابط الأمن السيبراني السحابية

إطار متخصص للهيئة الوطنية للأمن السيبراني يحكم أمن الحوسبة السحابية للجهات الحكومية السعودية والبنية التحتية الحيوية. يحتوي على 76 ضابطاً يغطي اختيار مزود الخدمة السحابية وإقامة البيانات في المملكة.

🏛 NCA Cybersecurity Resilience Requirements NCA CSCC

متطلبات مرونة الأمن السيبراني

إطار الهيئة الوطنية للأمن السيبراني الذي يحدد متطلبات مرونة الأمن السيبراني للبنية التحتية الحيوية الوطنية، مع التركيز على استمرارية الخدمات الأساسية أثناء الحوادث السيبرانية.

🏛 NCA Essential Cybersecurity Controls NCA ECC

الضوابط الأساسية للأمن السيبراني

ضوابط الأمن السيبراني الإلزامية الصادرة عن الهيئة الوطنية للأمن السيبراني في المملكة العربية السعودية، تنطبق على الجهات الحكومية ومشغلي البنية التحتية الحيوية الوطنية. يحتوي إصدار 2024 على 114 ضابطاً في 7 نطاقات.

🌐 Network Access Control NAC

التحكم بالوصول للشبكة

نهج أمني يحاول توحيد أمن نقاط النهاية وإنفاذ الوصول للشبكة.

🌐 Network Segmentation

تجزئة الشبكة

ممارسة تقسيم الشبكة إلى شبكات فرعية لتحسين الأمن والأداء.

🔑 OAuth 2.0 OAuth

بروتوكول OAuth 2.0

إطار تفويض يمكّن التطبيقات من الحصول على وصول محدود لحسابات المستخدمين عبر رموز التفويض.

💻 OWASP Top 10

أوواسب أعلى 10

وثيقة توعية معيارية تسرد أهم عشرة مخاطر أمنية لتطبيقات الويب، تُحدث دوريًا.

🔑 Passwordless Authentication

المصادقة بدون كلمة مرور

طرق المصادقة التي تتحقق من هوية المستخدم بدون كلمات المرور التقليدية باستخدام القياسات الحيوية أو الرموز أو المفاتيح المشفرة.

🛡 Patch Management

إدارة التحديثات الأمنية

عملية توزيع وتطبيق التحديثات على البرمجيات لإصلاح الثغرات وتحسين الأمن.

💻 Penetration Testing Pentest

اختبار الاختراق

هجوم سيبراني محاكى ومصرح به على نظام حاسوبي لتقييم أمنه وتحديد الثغرات.

§ Personal Data PII

البيانات الشخصية

أي بيانات تتعلق بشخص طبيعي محدد أو يمكن تحديد هويته.

🇸🇦 Personal Data Protection Law PDPL

نظام حماية البيانات الشخصية

نظام حماية البيانات الشخصية الشامل في المملكة العربية السعودية الصادر بالمرسوم الملكي م/19، تديره هيئة البيانات والذكاء الاصطناعي.

🏛 Personal Data Protection Law PDPL

نظام حماية البيانات الشخصية

نظام حماية البيانات الشخصية السعودي الصادر بمرسوم ملكي في سبتمبر 2021 والمطبق منذ سبتمبر 2023. يحكم جمع البيانات الشخصية ومعالجتها وتخزينها ونقلها، ويتطلب الموافقة وتعيين مسؤول حماية البيانات والإخطار عن الانتهاكات خلال 72 ساعة.

Personal Data Protection Law (PDPL) Compliance PDPL

الامتثال لنظام حماية البيانات الشخصية

الالتزام بنظام حماية البيانات الشخصية في المملكة العربية السعودية، والذي يحدد متطلبات جمع ومعالجة وتخزين ونقل البيانات الشخصية لحماية حقوق الخصوصية للأفراد وضمان تطبيق مراقبي البيانات ومعالجيها للتدابير التقنية والتنظيمية المناسبة.

⚡ Phishing

التصيد الاحتيالي

هجوم هندسة اجتماعية يستخدم رسائل بريد إلكتروني أو مواقع ويب أو رسائل مخادعة لخداع الأفراد للكشف عن معلومات حساسة.

🚨 Playbook

دليل الإجراءات

مجموعة محددة مسبقاً من الإجراءات والخطوات للاستجابة لنوع محدد من الحوادث الأمنية.

🔐 Post-Quantum Cryptography PQC

التشفير ما بعد الكم

خوارزميات تشفير مصممة لتكون آمنة ضد الهجمات من كل من الحواسيب التقليدية والكمية.

§ Privacy by Design PbD

الخصوصية حسب التصميم

نهج يتم فيه دمج الخصوصية وحماية البيانات في تصميم الأنظمة وممارسات الأعمال من البداية.

Privacy Impact Assessment PIA

تقييم أثر الخصوصية

عملية منهجية لتحديد وتقييم مخاطر الخصوصية المحتملة المرتبطة بأنشطة معالجة البيانات، خاصة عند تطبيق تقنيات أو أنظمة أو عمليات جديدة تتعامل مع البيانات الشخصية. بموجب متطلبات نظام حماية البيانات الشخصية والإطار السيبراني للبنك المركزي السعودي، يجب على المؤسسات إجراء تقييمات أثر الخصوصية قبل معالجة البيانات الشخصية عالية المخاطر لضمان الامتثال وتطبيق الضمانات المناسبة.

🔑 Privileged Access Management PAM

إدارة الوصول المميز

مجموعة من استراتيجيات وتقنيات الأمن السيبراني للتحكم في الوصول والصلاحيات المرتفعة للمستخدمين والحسابات والأنظمة.

Privileged Access Management (PAM) PAM

إدارة الوصول المميز

مجموعة فرعية من إدارة الهوية والوصول تركز على إدارة ومراقبة الحسابات ذات الصلاحيات المرتفعة، مثل مسؤولي الأنظمة ومسؤولي قواعد البيانات. توفر حلول إدارة الوصول المميز التحكم والمراقبة وتأمين بيانات الاعتماد المميزة لمنع الوصول غير المصرح به إلى الأنظمة الحساسة والبيانات الحساسة.

§ Pseudonymization

الترميز المستعار

معالجة البيانات الشخصية بحيث لا يمكن نسبها لصاحب بيانات محدد دون استخدام معلومات إضافية.

🔐 Public Key Infrastructure PKI

البنية التحتية للمفتاح العام

إطار من التشفير والأمن السيبراني يحمي الاتصالات بين الخوادم والعملاء باستخدام الشهادات الرقمية.

🛡 Purple Team

الفريق البنفسجي

نهج تعاوني يجمع بين تمارين الفريق الأحمر والأزرق لتحسين فعالية الأمن.

🏛 RACI Matrix RACI

مصفوفة المسؤوليات

مصفوفة تعيين المسؤوليات تحدد من هو المسؤول والمحاسب والمستشار والمُبلَّغ لكل مهمة.

⚡ Ransomware

برامج الفدية

برمجيات خبيثة تشفر ملفات الضحية وتطلب دفعة مالية مقابل مفتاح فك التشفير.

♻ Recovery Point Objective RPO

هدف نقطة الاستعادة

الحد الأقصى المقبول لفقدان البيانات مقاسًا بالوقت، يحدد تكرار النسخ الاحتياطي للبيانات.

♻ Recovery Time Objective RTO

هدف وقت الاستعادة

الحد الأقصى للوقت المقبول الذي يمكن أن يكون فيه النظام أو التطبيق غير متصل بعد كارثة قبل أن يصبح التأثير على الأعمال غير مقبول.

Recovery Time Objective (RTO) RTO

الهدف الزمني للتعافي

الحد الأقصى المقبول من الوقت الذي يمكن أن تتوقف فيه عملية تجارية أو تطبيق أو نظام بعد كارثة أو اضطراب قبل أن تواجه المؤسسة عواقب غير مقبولة، ويستخدم لتحديد أولويات جهود التعافي وتخصيص الموارد.

🛡 Red Team

الفريق الأحمر

مجموعة من المتخصصين الأمنيين المخولين بمحاكاة الهجمات الواقعية لاختبار دفاعات المؤسسة.

☑ Remediation

المعالجة

عملية معالجة وحل النتائج الأمنية أو الثغرات أو فجوات الامتثال المحددة.

⚖ Residual Risk

المخاطر المتبقية

المخاطر التي تبقى بعد تطبيق ضوابط الأمن.

🔒 Right to be Forgotten

حق النسيان

حق الأفراد في محو بياناتهم الشخصية عندما لا تعود ضرورية للغرض الذي جُمعت من أجله.

🏛 Right to Erasure

حق المحو

حق صاحب البيانات بموجب PDPL في طلب حذف بياناته الشخصية التي تحتفظ بها مؤسسة في ظروف محددة، بما في ذلك سحب الموافقة.

⚖ Risk Appetite

قبول المخاطر

مقدار ونوع المخاطر التي تكون المؤسسة مستعدة لقبولها لتحقيق أهدافها.

⚖ Risk Assessment RA

تقييم المخاطر

عملية تحديد وتحليل وتقييم المخاطر لتحديد احتمالية حدوثها وتأثيرها المحتمل على المؤسسة.

⚖ Risk Quantification

التقدير الكمي للمخاطر

عملية تعيين قيم نقدية للخسائر المحتملة من مخاطر الأمن السيبراني باستخدام الأساليب الإحصائية.

⚖ Risk Register

سجل المخاطر

مستودع موثق للمخاطر المحددة وتحليلها وإجراءات الاستجابة المخطط لها.

⚖ Risk Treatment

معالجة المخاطر

عملية اختيار وتنفيذ التدابير لتعديل المخاطر، بما في ذلك التجنب والتخفيف والنقل والقبول.

🔑 Role-Based Access Control RBAC

التحكم بالوصول القائم على الدور

طريقة لتقييد وصول النظام للمستخدمين المصرح لهم بناءً على دورهم في المؤسسة.

Role-Based Access Control (RBAC) RBAC

التحكم في الوصول المبني على الأدوار

طريقة للتحكم في الوصول ضمن إدارة الهوية والوصول تقوم بتعيين أذونات النظام للمستخدمين بناءً على أدوارهم التنظيمية بدلاً من الهويات الفردية. يبسط التحكم المبني على الأدوار إدارة الوصول من خلال تجميع الأذونات في أدوار، مما يضمن أن المستخدمين لديهم فقط الوصول اللازم لأداء وظائفهم وفقاً لمبدأ الصلاحيات الأقل.

🔐 RSA RSA

خوارزمية RSA

خوارزمية تشفير غير متماثلة تُستخدم على نطاق واسع لنقل البيانات الآمن باستخدام زوج من المفاتيح العامة والخاصة.

💻 Runtime Application Self-Protection RASP

الحماية الذاتية لتطبيقات وقت التشغيل

تقنية أمنية مدمجة في التطبيق لكشف ومنع الهجمات في الوقت الفعلي.

🏛 SAMA Cybersecurity Framework SAMA CSF

إطار الأمن السيبراني لساما

إطار الأمن السيبراني الإلزامي الصادر عن البنك المركزي السعودي لجميع المؤسسات المالية الخاضعة للرقابة. يحتوي الإصدار 2.0 على 251 ضابطاً فرعياً في 12 نطاقاً.

🇸🇦 SAMA Cybersecurity Framework SAMA CSF

إطار ساما للأمن السيبراني

إطار الأمن السيبراني الصادر عن ساما لجميع المؤسسات المالية العاملة تحت إشرافها في المملكة العربية السعودية.

🔑 SAML SAML

لغة توكيد أمن التأليف

لغة توكيد الأمان القائمة على XML — معيار لتبادل بيانات المصادقة والتفويض بين الأطراف.

🇸🇦 Saudi Arabian Monetary Authority SAMA

البنك المركزي السعودي

البنك المركزي السعودي المسؤول عن تنظيم والإشراف على القطاع المالي بما في ذلك متطلبات الأمن السيبراني.

🇸🇦 Saudi Data & AI Authority SDAIA

هيئة البيانات والذكاء الاصطناعي

الجهة الحكومية السعودية المسؤولة عن حوكمة البيانات واستراتيجية الذكاء الاصطناعي، وتدير نظام حماية البيانات الشخصية.

🇸🇦 Saudi Vision 2030 Digital Transformation

التحول الرقمي لرؤية 2030

مكون التحول الرقمي لرؤية السعودية 2030 الذي يدفع متطلبات الأمن السيبراني عبر جميع القطاعات.

☑ Scope

النطاق

حدود تقييم الامتثال التي تحدد الأنظمة والعمليات والمواقع المشمولة في التقييم.

🌐 Secure Access Service Edge SASE

حافة خدمة الوصول الآمن

نموذج بنية سحابية يجمع بين وظائف أمن الشبكات وقدرات شبكة WAN لدعم الوصول الآمن الديناميكي.

🌐 Secure DNS

نظام أسماء النطاقات الآمن

تكوينات وبروتوكولات DNS التي تحمي من هجمات اختطاف وانتحال وتسميم ذاكرة التخزين المؤقت لنظام DNS.

🌐 Secure Email Gateway SEG

بوابة البريد الإلكتروني الآمنة

حل يراقب رسائل البريد الإلكتروني المرسلة والمستلمة لمنع البريد غير المرغوب فيه بما في ذلك البريد العشوائي والتصيد والبرمجيات الخبيثة.

💻 Secure Software Development Lifecycle SSDLC

دورة حياة تطوير البرمجيات الآمنة

نهج لتطوير البرمجيات يدمج الأنشطة الأمنية في كل مرحلة من مراحل دورة حياة التطوير.

🏛 Security Architecture

البنية الأمنية

تصميم أمني موحد يعالج الضرورات والمخاطر المحتملة في سيناريو معين ويحدد متى وأين يتم تطبيق ضوابط الأمن.

☁ Security as a Service SECaaS

الأمن كخدمة

نموذج أعمال يقوم فيه مقدم الخدمة بدمج خدمات أمنية في البنية التحتية للمؤسسة على أساس الاشتراك.

🛡 Security Awareness Training SAT

التدريب على التوعية الأمنية

برنامج تعليمي مصمم لتقليل مخاطر الأمن السيبراني البشرية بتعليم الموظفين التعرف على التهديدات والاستجابة لها.

🏛 Security Baseline

خط الأساس الأمني

الحد الأدنى من ضوابط الأمن المطلوبة لتشغيل نظام أو مؤسسة بشكل آمن.

🏛 Security Governance

حوكمة الأمن

مجموعة المسؤوليات التي يمارسها مجلس الإدارة والإدارة التنفيذية لتوفير التوجيه الاستراتيجي والإشراف على الأمن السيبراني.

🏛 Security Governance Framework SGF

إطار حوكمة الأمن السيبراني

هيكل شامل من السياسات والإجراءات والضوابط التي تؤسس المساءلة والإشراف على أنشطة الأمن السيبراني في جميع أنحاء المؤسسة. يحدد الأدوار والمسؤوليات وعمليات اتخاذ القرار لضمان توافق أهداف الأمن مع أهداف العمل والمتطلبات التنظيمية.

Security Incident and Event Management (SIEM) SIEM

إدارة الحوادث والأحداث الأمنية

حل أمني شامل يوفر تحليلاً فورياً للتنبيهات والأحداث الأمنية الناتجة عن أجهزة الشبكة والتطبيقات. يجمع ويدمج ويربط ويحلل بيانات السجلات لاكتشاف التهديدات ودعم تقارير الامتثال وتمكين الاستجابة السريعة للحوادث.

🛡 Security Information and Event Management SIEM

إدارة معلومات وأحداث الأمن

حل يوفر تحليلاً فوريًا للتنبيهات الأمنية الصادرة عن التطبيقات وأجهزة الشبكة من خلال جمع السجلات المركزي والربط بينها.

Security Information and Event Management (SIEM) SIEM

إدارة معلومات وأحداث الأمن السيبراني

حل شامل يوفر تحليلاً في الوقت الفعلي للتنبيهات الأمنية التي تنتجها التطبيقات والأجهزة الشبكية. تقوم أنظمة إدارة معلومات وأحداث الأمن السيبراني بجمع وتجميع وتحليل بيانات السجلات من جميع أنحاء البنية التحتية لتقنية المعلومات في المؤسسة لتحديد التهديدات الأمنية وضمان الامتثال ودعم التحقيق في الحوادث والطب الشرعي الرقمي.

🏛 Security Metrics KPI

مقاييس الأمن

قياسات قابلة للقياس تُستخدم لتتبع وتقييم فعالية برنامج الأمن في المؤسسة.

🚨 Security Operations Center SOC

مركز عمليات الأمن

وحدة مركزية تتعامل مع القضايا الأمنية على المستوى التنظيمي والتقني، توفر المراقبة وكشف التهديدات على مدار الساعة.

Security Operations Center (SOC) SOC

مركز العمليات الأمنية

وحدة مركزية تتعامل مع القضايا الأمنية على المستوى التنظيمي والتقني، وهي مسؤولة عن المراقبة المستمرة والكشف والتحليل والاستجابة لحوادث الأمن السيبراني باستخدام مجموعة من الحلول التقنية والخبرات البشرية.

🛡 Security Orchestration, Automation and Response SOAR

تنسيق وأتمتة واستجابة الأمن

مجموعة من الأدوات المتوافقة التي تسمح للمؤسسات بجمع البيانات الأمنية وأتمتة الاستجابات للتهديدات المنخفضة المستوى.

🏛 Security Policy

السياسة الأمنية

وثيقة رسمية تحدد القواعد والإرشادات والممارسات لإدارة وحماية أصول المعلومات في المؤسسة.

🛡 Security Rating

التصنيف الأمني

مقياس موضوعي وقابل للقياس للوضع الأمني السيبراني للمؤسسة يتم إنشاؤه بواسطة منصات تصنيف أمني مستقلة.

🏛 Security Steering Committee

لجنة توجيه الأمن

هيئة قيادية متعددة الوظائف مسؤولة عن توفير التوجيه الاستراتيجي والإشراف على برنامج الأمن السيبراني.

🏛 Sender Policy Framework SPF

إطار سياسة المرسل

بروتوكول مصادقة البريد الإلكتروني يسمح لأصحاب النطاقات بتحديد خوادم البريد المصرح لها بإرسال رسائل البريد الإلكتروني نيابة عن نطاقهم. يساعد إطار سياسة المرسل في منع انتحال البريد الإلكتروني من خلال تمكين الخوادم المستقبلة من التحقق من أن البريد الوارد من نطاق معين يأتي من عنوان IP مصرح به.

☁ Serverless Security

أمن الحوسبة بدون خادم

ممارسات وضوابط أمنية خاصة ببنى الحوسبة بدون خادم مثل AWS Lambda وAzure Functions.

☁ Shared Responsibility Model

نموذج المسؤولية المشتركة

إطار يحدد المسؤوليات الأمنية لمقدم الخدمة السحابية مقابل العميل.

🔑 Single Sign-On SSO

تسجيل الدخول الموحد

نظام مصادقة يسمح للمستخدم بتسجيل الدخول بمعرف واحد للوصول إلى أنظمة متعددة مرتبطة ولكنها مستقلة.

⚡ Social Engineering SE

الهندسة الاجتماعية

التلاعب النفسي بالأشخاص لدفعهم لتنفيذ إجراءات أو الكشف عن معلومات سرية.

💻 Software Composition Analysis SCA

تحليل تركيب البرمجيات

عملية تحديد مكونات البرمجيات مفتوحة المصدر والثغرات المعروفة فيها في قواعد الشفرة البرمجية للتطبيقات.

🌐 Software-Defined Networking SDN

الشبكات المعرّفة بالبرمجيات

نهج للشبكات يستخدم وحدات تحكم قائمة على البرمجيات لتوجيه حركة المرور والتواصل مع البنية التحتية.

⚡ Spear Phishing

التصيد الموجه

هجوم تصيد موجه يستهدف أفراداً أو مؤسسات محددة باستخدام معلومات شخصية لزيادة المصداقية.

⚡ SQL Injection SQLi

حقن SQL

تقنية حقن شفرة تُستخدم لمهاجمة التطبيقات القائمة على البيانات بإدخال عبارات SQL خبيثة في حقول الإدخال.

🌐 SSL/TLS Certificate SSL

شهادة SSL/TLS

شهادة رقمية تصادق على هوية الموقع الإلكتروني وتمكّن الاتصالات المشفرة بين خادم الويب والمتصفح.

☑ Statement of Applicability SoA

بيان التطبيق

وثيقة تسرد جميع ضوابط ملحق أ لمعيار ISO 27001 وتشير إلى ما إذا كان كل منها قابلاً للتطبيق أو منفذًا أو مستبعدًا مع التبرير.

💻 Static Application Security Testing SAST

اختبار أمان التطبيقات الثابت

طريقة اختبار أمني تحلل الشفرة المصدرية أو الثنائية بحثًا عن ثغرات دون تنفيذ البرنامج.

⚡ Supply Chain Attack

هجوم سلسلة التوريد

هجوم يستهدف العناصر الأقل أمانًا في سلسلة التوريد لاختراق الهدف النهائي.

♻ Tabletop Exercise TTX

تمرين الطاولة

تمرين قائم على النقاش حيث يستعرض الموظفون الرئيسيون سيناريو محاكى لاختبار الخطط وتحديد الثغرات.

Third-Party and Cloud Computing Cybersecurity TPCCC

الأمن السيبراني للأطراف الثالثة والحوسبة السحابية

المجال الخامس من إطار الضوابط الأساسية للأمن السيبراني الذي يحدد متطلبات إدارة مخاطر الأمن السيبراني المرتبطة بمقدمي الخدمات من الأطراف الثالثة والموردين ومقدمي الخدمات السحابية، بما في ذلك العناية الواجبة والمتطلبات الأمنية التعاقدية والمراقبة المستمرة للأطراف الخارجية.

☑ Third-Party Audit

تدقيق الطرف الثالث

تقييم مستقل يجريه مدقق خارجي مؤهل للتحقق من الامتثال للمعايير أو الأنظمة.

Third-Party Cybersecurity Management SAMA CSF Domain 4

إدارة الأمن السيبراني للأطراف الثالثة

المجال الرابع من إطار SAMA CSF الذي يفرض على المؤسسات المالية تنفيذ برامج شاملة لإدارة مخاطر الأطراف الثالثة، بما في ذلك العناية الواجبة للموردين، ومتطلبات الأمان التعاقدية، والمراقبة المستمرة لوضع أمن الأطراف الثالثة، والتزامات الإخطار بالحوادث لمقدمي الخدمات الذين يتعاملون مع البيانات المالية الحساسة.

Third-Party Cybersecurity Risk Management TPCRM

إدارة مخاطر الأمن السيبراني للأطراف الثالثة

مجال ضوابط في الضوابط الأساسية للأمن السيبراني يلزم المؤسسات بتقييم ومراقبة وإدارة مخاطر الأمن السيبراني المرتبطة بالموردين ومقدمي الخدمات والأطراف الخارجية الأخرى التي لديها وصول إلى أنظمة أو بيانات المؤسسة، بما في ذلك المتطلبات الأمنية التعاقدية والتحقق المستمر من الامتثال.

⚖ Third-Party Risk Management TPRM

إدارة مخاطر الأطراف الثالثة

عملية تحليل والتحكم في المخاطر التي تمثلها الأطراف الثالثة على بيانات وعمليات المؤسسة.

⚖ Threat

التهديد

أي ظرف أو حدث لديه القدرة على التأثير سلبًا على عمليات المؤسسة من خلال الوصول غير المصرح به أو التدمير أو الإفصاح أو تعديل المعلومات.

Threat Actor TA

الجهة الفاعلة للتهديد

فرد أو مجموعة أو كيان يقوم أو لديه نية للقيام بأنشطة سيبرانية ضارة ضد أنظمة المعلومات أو البيانات الخاصة بمنظمة. تُصنف الجهات الفاعلة للتهديد حسب الدافع (مالي، سياسي، تجسس) والقدرة (دولة قومية، جريمة منظمة، ناشطون إلكترونيون) وأنماط الاستهداف.

🛡 Threat Hunting

مطاردة التهديدات

الممارسة الاستباقية للبحث عبر الشبكات ومجموعات البيانات للكشف عن التهديدات التي تتهرب من الحلول الأمنية الحالية.

🛡 Threat Intelligence TI

استخبارات التهديدات

معرفة قائمة على الأدلة حول التهديدات القائمة أو الناشئة تساعد المؤسسات في اتخاذ قرارات أمنية مستنيرة.

🚨 Threat Intelligence Sharing

مشاركة استخبارات التهديدات

تبادل معلومات التهديدات السيبرانية بين المؤسسات والجهات الحكومية والمجتمعات الأمنية باستخدام معايير مثل STIX/TAXII.

⚖ Threat Modeling

نمذجة التهديدات

نهج منظم لتحديد وترتيب أولويات التهديدات المحتملة لنظام وتحديد التدابير المضادة.

🔒 Tokenization

الترميز

عملية استبدال البيانات الحساسة برموز تعريف فريدة تحتفظ بجميع المعلومات الأساسية دون المساس بالأمن.

🔐 Transport Layer Security TLS

أمن طبقة النقل

بروتوكول تشفير مصمم لتوفير أمن الاتصالات عبر شبكة حاسوبية، يُستخدم لتأمين حركة مرور الويب.

🏛 Virtual CISO vCISO

مسؤول أمن المعلومات الافتراضي

خدمة CISO جزئية أو بدوام جزئي تقدم قيادة تنفيذية للأمن السيبراني للمؤسسات التي لا تستطيع تبرير التوظيف بدوام كامل. مثالية للشركات الصغيرة والمتوسطة السعودية.

🌐 Virtual Private Network VPN

الشبكة الافتراضية الخاصة

تقنية تنشئ اتصالاً مشفرًا عبر شبكة أقل أمانًا، توفر وصولاً آمنًا عن بعد لموارد المؤسسة.

⚖ Vulnerability Vuln

الثغرة الأمنية

ضعف في نظام أو تطبيق أو عملية يمكن استغلاله من قبل تهديد للحصول على وصول غير مصرح به أو التسبب في ضرر.

🛡 Vulnerability Assessment VA

تقييم الثغرات

مراجعة منهجية لنقاط الضعف الأمنية في نظام معلومات لتحديد الثغرات وتقديرها وترتيب أولوياتها.

Vulnerability Management VM

إدارة الثغرات الأمنية

نهج منهجي لتحديد وتقييم ومعالجة والإبلاغ عن الثغرات الأمنية في الأنظمة والبرمجيات، بما في ذلك عمليات المراقبة المستمرة والمعالجة للحد من التعرض للمخاطر التنظيمية.

⚡ Watering Hole Attack

هجوم حفرة الماء

استراتيجية هجوم يقوم فيها المهاجم بإصابة مواقع ويب يزورها المجموعة المستهدفة بشكل متكرر لاختراق أنظمتهم.

🌐 Web Application Firewall WAF

جدار حماية تطبيقات الويب

حل أمني يصفي ويراقب ويحظر حركة HTTP/HTTPS من وإلى تطبيق الويب.

🔑 Zero Trust ZT

الثقة المعدومة

نموذج أمني قائم على مبدأ عدم الثقة مطلقًا والتحقق دائمًا، يتطلب التحقق الصارم من الهوية لكل شخص وجهاز يحاول الوصول للموارد.

🌐 Zero Trust Architecture ZTA

بنية الثقة الصفرية

نموذج أمني مبني على مبدأ "لا ثقة مطلقاً، تحقق دائماً" — يجب المصادقة على كل مستخدم وجهاز وتطبيق باستمرار بغض النظر عن موقع الشبكة.

Zero Trust Network Access ZTNA

الوصول الشبكي بدون ثقة

إطار أمني يلغي الثقة الضمنية ويتطلب التحقق المستمر من كل مستخدم وجهاز يحاول الوصول إلى موارد الشبكة، بغض النظر عن موقعهم. يعمل الوصول الشبكي بدون ثقة على مبدأ 'عدم الثقة أبداً، التحقق دائماً' وينفذ ضوابط الوصول بأقل الصلاحيات مع التجزئة الدقيقة.

⚡ Zero-Day Vulnerability 0-Day

ثغرة يوم الصفر

ثغرة أمنية برمجية غير معروفة للمورد ولا يتوفر لها تحديث أو إصلاح.

🔐 المسرد السيبراني

عرّفنا بنفسك

تسجيل الدخول مطلوب