SAMA Quiz

60 questions

1. بحسب العرض التدريبي، ما الفكرة الأساسية عن الأمن السيبراني في مجال القيادة والحوكمة؟

قضية تشغيل يومي فقط قضية تقنية تخص قسم IT فقط قضية أعمال وليست مجرد قضية تقنية قضية قانونية فقط

2. بحسب الملفات، من المسؤول النهائي عن اعتماد الاستراتيجية وتوفير الميزانيات؟

فريق الشبكات مجلس الإدارة فريق التدقيق الداخلي مسؤول مركز البيانات

3. ما الشرط المهم المتعلق بدور الـ CISO في الملفات؟

أن يكون تابعاً مالياً لإدارة المشتريات أن يكون مستقلاً عن إدارة تقنية المعلومات لتجنب تضارب المصالح أن يكون مسؤولاً عن كل أعمال الدعم الفني أن يكون هو مدقق الجودة الداخلي دائماً

4. ما أحد مخرجات اليوم الأول حسب العرض؟

تنفيذ مشروع SOC مباشرة فهم أسباب التشريع وهيكلية المجالات ومنهجية النضج شراء أنظمة حماية نهائية إنهاء جميع الفجوات الحرجة

5. بحسب عرض اليوم الأول، ماذا يتناول اليوم الثاني؟

فقط اختبارات الاختراق فقط كتابة السياسات آلية إجراء Gap Analysis خطوة بخطوة لبناء خطة المعالجة فقط مراجعة حسابات المستخدمين

6. أي من التالي ورد ضمن المجالات الأربعة في أحد العروض المرفقة؟

القيادة والحوكمة التسويق الرقمي إدارة سلسلة التوريد الامتياز التجاري

7. كيف تصف الملفات الالتزام في SAMA CSF؟

نعم أو لا فقط رحلة نضج تدريجية قائمة مراجعة مالية فحص سنوي فقط

8. ممّ استُلهم تصنيف نموذج النضج بحسب العرض؟

COBIT ITIL CMMI PCI DSS

9. بحسب الشرح، ما السؤال الصحيح عند تقييم ضابط أمني؟

هل اشترينا التقنية فقط؟ هل لدينا جدار حماية فقط؟ هل الإعدادات موثقة وتراجع دورياً وتقاس فعاليتها؟ هل المورد مشهور؟

10. ما المقصود بمنهجية التراكم في النضج؟

يمكن القفز من المستوى 1 إلى 5 مباشرة يمكن بلوغ المستوى 3 دون تحقيق 1 و2 لا يمكن بلوغ مستوى أعلى قبل استكمال المستويات السابقة المستويات مستقلة تماماً عن بعضها

11. في أحد محاكيات الفجوات، ما تسلسل مستويات النضج من 0 إلى 5؟

غير موجود، مبدئي، موثق، مُطبق، مُقاس، مُحسن ضعيف، مقبول، جيد، ممتاز، متقدم، نهائي مخطط، منفذ، مراقب، مغلق، معتمد، نهائي أولي، متوسط، قوي، شامل، متقدم، ذكي

12. في سجل تقييم الفجوات، ما المستوى المستهدف الظاهر كنقطة وصول؟

1 - مبدئي 2 - موثق 3 - مُطبق 5 - مُحسن

13. ما الغرض الأساسي من Gap Analysis وفق الملفات؟

استبدال سجل المخاطر مقارنة الوضع الراهن بالمتطلبات وبناء خطة إغلاق إيقاف جميع المشاريع التقنية تقييم الموردين فقط

14. أي حقل من الحقول التالية موجود في سجل الفجوات؟

رقم الطابق في المبنى وصف الفجوة لون شعار الشركة عدد المستخدمين على LinkedIn

15. أي عنصر آخر يظهر في سجل الفجوات إلى جانب وصف الفجوة؟

خطة الإغلاق (Action Plan) ترتيب موظفي الاستقبال قائمة الموردين المعتمدين بيانات الإيجار السنوي

16. في محاكي تقرير الفجوات، ما اسم التقرير الظاهر في المعاينة الحية؟

Audit Closure Sheet Gap Analysis Report Cyber Asset Form Incident Response Charter

17. في سيناريو MFA الوارد في محاكي الفجوات، لماذا كان مستوى النضج الصحيح 2 - موثق؟

لأنه لا توجد سياسة أصلاً لأن التنفيذ كامل على جميع الأطراف لأن السياسة معتمدة لكن التطبيق ليس كاملاً على كامل النطاق لأن MFA غير مطلوب أساساً

18. في نموذج سجل الفجوات، أي حقل يرتبط مباشرة بالمساءلة والتنفيذ؟

الإدارة المسؤولة (Owner) لون التصنيف فقط اسم الصفحة نوع الخط

19. بحسب محاكي المخاطر، كيف تبدأ دورة تقييم الخطر؟

بالمعالجة مباشرة بالتدقيق الخارجي بالتعريف (Identification) بإغلاق الخطر مباشرة

20. ما المقصود بالخطر الكامن في سياق المحاكي؟

الخطر بعد تطبيق الضوابط الخطر قبل تطبيق أي حماية الخطر المقبول نهائياً من الإدارة الخطر الذي تم إقفاله

21. ما الذي يركز عليه المدققون في سجل المخاطر النهائي بحسب الملف؟

عدد الصفحات فقط الخطر المتبقي ومدى وقوعه ضمن شهية المخاطر اسم البرنامج المستخدم تاريخ إنشاء الملف فقط

22. في منطق مصفوفة المخاطر 3×3 بالمحاكي، ما نتيجة حاصل 3 × 3؟

منخفض متوسط عالي حرج

23. أي من التالي يُعد إحدى استراتيجيات المعالجة المذكورة؟

الإلغاء المالي تقليل الخطر (Mitigate) إعادة الجدولة فقط الإخفاء

24. ما الوثيقة التي توثق المخاطر وملاكها وخطط معالجتها وتُعرض على لجنة المخاطر ومجلس الإدارة؟

سجل الأصول سجل الفجوات سجل المخاطر جدول الصلاحيات

25. بحسب محاكي سجل الأصول، ما الخطوة الأولى في تقييم الأصل؟

تحديد اللون المناسب للنموذج تحديد فئة الأصل تحديد نوع التهديد تحديد تكلفة الأصل

26. أي من التالي ورد كفئات للأصل في المحاكي؟

أجهزة، برمجيات، معلومات مالي، تجاري، قانوني داخلي، خارجي، سري يدوي، آلي، مختلط

27. كيف عرّف الملف مالك الأصل؟

الشخص الذي يشتري الجهاز فقط الإدارة المستفيدة التي تتحمل المخاطر وتصرح بالوصول فريق الأمن دائماً أي مستخدم للنظام

28. في سيناريو ملف الرواتب، ما فئة الأصل الصحيحة؟

أجهزة برمجيات معلومات شبكة

29. في سيناريو ملف الرواتب، من مالك الأصل الصحيح؟

إدارة تقنية المعلومات إدارة الموارد البشرية إدارة المبيعات إدارة الأمن السيبراني

30. في سيناريو ملف الرواتب، كيف تم تقييم التوافر؟

عالي متوسط منخفض غير موجود

31. في سيناريو الخادم الرئيسي لقاعدة البيانات، ما فئة الأصل الصحيحة؟

معلومات برمجيات أجهزة خدمة طرف ثالث

32. كيف يُحدد التصنيف العام للأصل حسب المحاكي؟

بناءً على المتوسط الحسابي فقط بناءً على أقل قيمة من C وI وA بناءً على أعلى قيمة من عناصر CIA بناءً على رأي المستخدم فقط

33. بحسب أداة الهرم الوثائقي، ما السؤال الذي تجيب عنه السياسة؟

كيف ننفذ خطوة بخطوة؟ لماذا نفعل ذلك وما هو التوجه العام؟ ما الرقم الدقيق للقيمة التقنية؟ من هو المورد؟

34. ما السؤال الذي يجيب عنه المعيار؟

لماذا تعمل الشركة؟ من المدير التنفيذي؟ ما المتطلبات والشروط الدقيقة المطلوبة لتحقيق السياسة؟ كيف نرفع تذكرة دعم؟

35. ما السؤال الذي يجيب عنه الإجراء؟

ما الرؤية الاستراتيجية؟ كيف نقوم بذلك خطوة بخطوة؟ من يصادق على الميزانية؟ ما هو هدف التدقيق؟

36. من الذي يعتمد وثيقة السياسة بحسب أداة الهرم الوثائقي؟

مهندس البنية التحتية مجلس الإدارة فريق خدمة العملاء محلل SOC

37. لماذا لا يكفي وجود إجراء فني وحده للحصول على مستوى نضج 3 بحسب الأداة؟

لأن المدقق لا يراجع الإجراءات لأن الإجراء يجب أن يكون مدعوماً بسياسة مكتوبة ومعتمدة من الأعلى لأن الإجراءات غير مهمة لأن المستوى 3 خاص بالمخاطر فقط

38. في مثال Clean Desk، أي عبارة تمثل المعيار؟

يجب حماية المعلومات عند مغادرة المكتب يجب قفل الشاشة بعد 5 دقائق ومنع ترك أوراق سرية على المكتب اضغط Windows + L ثم ضع الأوراق في الدرج يجب تشكيل لجنة مخاطر

39. في مثال إدارة كلمات المرور، ما الحد الأدنى للطول في المعيار المعروض؟

8 خانات 10 خانات 12 خانة 16 خانة

40. في مثال التحديث والترقيع، خلال كم يوم يجب تركيب التحديثات الحرجة حسب المعيار؟

3 أيام 7 أيام 14 يوماً 30 يوماً

41. ما معنى الحرف R في RACI بحسب الملف؟

Reviewer Responsible Regulator Reporter

42. من هو Responsible في تعريف الملف؟

صاحب القرار النهائي الشخص أو الفريق الذي ينفذ الضابط فعلياً الإدارة التي يتم إشعارها لاحقاً المدقق الخارجي

43. ما معنى Accountable في الملف؟

المنفذ التقني فقط الطرف الذي يُبلّغ بعد التنفيذ صاحب السلطة والقرار النهائي الذي تقع عليه المساءلة المستشار الخارجي

44. ما معنى Consulted؟

أطراف تُشعر بعد التنفيذ خبراء يجب أخذ رأيهم قبل التنفيذ الجهة المنفذة للتقنية الجهة الممولة للمشروع

45. ما معنى Informed؟

الطرف الذي يعتمد السياسة الطرف الذي يكتب الإجراء الأطراف التي يجب إشعارها بعد التنفيذ المراجعة القانونية السابقة للتنفيذ

46. أي مثال ورد في الملف كحالة تضارب مصالح يجب منعها؟

أن يشارك الأمن في التوعية أن يكون الـ CISO منفذاً لإدارة الجدار الناري ومُساءلاً عن تدقيق سجلاته في الوقت نفسه أن يعتمد مجلس الإدارة الاستراتيجية أن يراجع فريق IT الخوادم

47. ما المبدأ الذي يجب إثباته باستخدام RACI وفق الملف؟

Best Effort Defense in Depth Maker vs. Checker Least Cost

48. ما المشكلة التي يركز عليها المشرّع بحسب شريحة RACI؟

شكل التصميم فقط غياب المساءلة وتداخل أدوار IT والأمن عدد الأجهزة القديمة فقط كثرة الاجتماعات

49. ما الفرق الأساسي بين KPI وKRI بحسب ملف إدارة العمليات؟

KPI للمخاطر وKRI للأداء KPI يقيس كفاءة العمليات وKRI يقيس زيادة المخاطر والتهديدات كلاهما شيء واحد KPI للتدقيق فقط وKRI للميزانية فقط

50. أي مما يلي يمثل KPI بحسب أمثلة الملف؟

عدد الثغرات المكتشفة في الأنظمة الخارجية نسبة نجاح النسخ الاحتياطي اليومية للأنظمة الحرجة عدد الحسابات غير المغلقة بعد 24 ساعة عدد الحوادث الحرجة المفتوحة

51. أي مثال ورد كـ KRI في ملف القياس؟

نسبة نجاح النسخ الاحتياطي اليومية متوسط وقت الاستجابة MTTR عدد الثغرات المكتشفة في الأنظمة المواجهة للإنترنت نسبة مراجعة الصلاحيات

52. ما المستهدف المذكور لعدد الحسابات غير النشطة للموظفين المستقيلين التي لم تغلق خلال 24 ساعة؟

أقل من 5 صفر أقل من 10% واحد فقط

53. ما المستهدف المذكور لـ MTTD في مجال الاستجابة للحوادث؟

أقل من ساعتين أقل من 4 ساعات أقل من يوم واحد أقل من أسبوع

54. ما المستهدف المذكور لـ MTTR في المجال نفسه؟

أقل من ساعتين أقل من 4 ساعات أقل من 8 ساعات أقل من 24 ساعة

55. عند فشل المؤشر التشغيلي، ما الوثيقة أو الخطوة التي يجب إصدارها بحسب الملف؟

حملة تسويقية Corrective Action Plan (CAPA) إيقاف المشروع نهائياً حذف المؤشر من اللوحة

56. ما الدورة التشغيلية التي يعرضها الملف لإدارة التحسين المستمر؟

SWOT RACI PDCA CIA

57. بحسب خارطة الطريق، ما الاستراتيجية الموصى بها في البداية؟

البدء بالمشاريع المعقدة دائماً تأجيل الحوكمة إلى آخر المرحلة البدء بالمكاسب السريعة ثم الانتقال للمشاريع المعقدة شراء التقنية قبل كتابة أي سياسة

58. ما الاعتمادية التي نُبه إليها صراحة في خارطة الطريق؟

شراء التقنية قبل الحوكمة السياسات تُكتب قبل شراء التقنية التدقيق يسبق تسجيل المخاطر SOC يسبق الميزانية دائماً

59. أي مشروع من التالي ورد ضمن خارطة SAMA المقترحة؟

إعادة تصميم الهوية البصرية تطبيق المصادقة الثنائية (MFA & IAM) زيادة الحملات الإعلانية إطلاق متجر إلكتروني

60. ما السبب الجوهري لفشل كثير من الجهات في التدقيق بحسب دورة الجاهزية؟

عدم وجود عدد كافٍ من الشاشات التركيز على التقنية فقط دون مواءمة بين الورق والواقع والأدلة التشغيلية استخدام موردين كثيرين تأخر الطباعة الورقية فقط