Profilerr
  • Profilerr
  • سياسة أمن المعلومات

سياسة أمن المعلومات

تحدد سياسة أمن المعلومات الأساس لحماية المعلومات، وتسهيل قرارات إدارة الأمن، وتوجيه الأهداف التي تضع وتعزز وتضمن أفضل ضوابط أمن المعلومات. تشمل السياسة جميع المعلومات وأنظمة المعلومات بما في ذلك المعلومات وأنظمة المعلومات التي تستخدمها أو تديرها أو تشغلها الشركة على هذا الموقع. تحمي سياسة أمن المعلومات سرية وسلامة وتوافر بياناتها، وتصنيف المعلومات ومعالجتها، والتعامل مع انتهاكات هذه السياسة.

توفر سياسة أمن المعلومات مجموعة متكاملة من تدابير الحماية التي يجب تطبيقها بشكل موحد عبر موقعنا الإلكتروني لضمان بيئة تشغيل آمنة لعملياتنا.

الغرض

إدارة أمن المعلومات هي الاختيار المعقول والتنفيذ الفعال للضوابط المناسبة لحماية أصول المعلومات الهامة للمؤسسة. تشكل الضوابط وعمليات الإدارة، إلى جانب المراقبة اللاحقة لمدى ملاءمتها وفعاليتها، العنصرين الأساسيين لبرنامج أمن المعلومات. تشمل الأهداف الثلاثة لأمن المعلومات ما يلي:

  • السرية: حماية المعلومات الحساسة من الكشف عنها لأفراد أو أنظمة غير مصرح لهم؛
  • النزاهة: حماية دقة المعلومات واكتمالها وحسن توقيتها؛
  • التوافر: ضمان إتاحة المعلومات والخدمات الحيوية للمستخدمين المصرح لهم عند الحاجة.

النطاق

تنطبق هذه السياسة على جميع الموظفين والمقاولين والشركاء والمتدربين/المتدربين الذين يعملون في شركتنا. يجب على مزودي الخدمات من الأطراف الثالثة الذين يقدمون خدمات الاستضافة أو الذين يتم الاحتفاظ بالبيانات خارج مقر الشركة الامتثال لهذه السياسة أيضًا.

نطاق سياسة أمن المعلومات هذه هو المعلومات المخزنة والمتداولة والمعالجة داخل شركتنا وبيانات الشركة عبر المواقع الخارجية.

الأهداف

الهدف من سياسة أمن المعلومات هو تزويد شركتنا بنهج لإدارة مخاطر المعلومات وتوجيهات لحماية أصول المعلومات لجميع الوحدات والمتعاقدين لتقديم الخدمة.

تصنيف أصول المعلومات

تصنف أصول المعلومات الخاصة بالشركة إلى أربع فئات: عامة، داخلية، سرية ومقيدة. يجب أن يكون لجميع أصول المعلومات الرئيسية مالك معين مسؤول عن وضع إجراءات المصادقة والتفويض بما يتناسب مع هذه الفئات، مع ملاحظة ما يلي:

  1. المعلومات العامة يمكن عمومًا إتاحتها أو توزيعها على عامة الناس. هذه المعلومات لا تتطلب حماية، وعند استخدامها على النحو المقصود، لن يكون لها تأثير سلبي يذكر على عمليات الشركة أو أصولها أو سمعتها فيما يتعلق بخصوصية المعلومات.
  2. المعلومات السرية هي معلومات مخصصة للاستخدام الداخلي فقط، ولا يمكن الوصول إليها إلا من قبل الموظفين الذين يحتاجون إليها في سياق أداء مسؤولياتهم في الشركة (تشمل المعلومات السرية المعلومات المحمية بموجب تشريعات الدولة أو الالتزامات التعاقدية التجارية) وتتطلب حماية الخصوصية والأمن.
  3. المعلومات المقيدة التي يجب الحفاظ على سريتها التامة ولا يمكن الوصول إليها إلا على أساس ”الحاجة إلى المعرفة“. ومن الأمثلة على ذلك المعلومات التي تؤثر على المصالح الوطنية و/أو الأمن القومي.

يجب أن يكون جميع الموظفين على دراية بمسؤولياتهم القانونية ومسؤوليات الشركة فيما يتعلق بالاستخدام غير المناسب للمعلومات أو مشاركتها أو الكشف عنها لطرف آخر. يجب أن يكون أي طرف ثالث يتلقى معلومات سرية أو مقيدة مخولًا بذلك، ويجب أن يكون هذا الشخص أو مؤسسته قد اتخذ تدابير أمنية للمعلومات تضمن سرية وسلامة تلك البيانات.

يجب حماية المعلومات السرية لمنع الوصول غير المصرح به أو الكشف عنها.

تتمتع المعلومات المقيدة بأعلى مستوى من الحساسية وتمثل أكبر خطر على الشركة والدولة والأفراد في حالة وصول أطراف غير مصرح لها إلى هذه المعلومات أو الكشف عنها. لذلك، يتعين على موظفي الشركة الذين يتعاملون مع المعلومات المقيدة أو الذين يستخدمون أنظمة تخزن أو تنقل أو تعالج المعلومات المقيدة الحفاظ على سرية وسلامة وتوافر هذه المعلومات/البيانات في جميع الأوقات.

حوكمة أمن المعلومات

تتكون حوكمة أمن المعلومات من القيادة والهياكل التنظيمية والعمليات التي تحمي المعلومات وتخفف من تهديدات أمن المعلومات المتزايدة.

تشمل النتائج الحاسمة لحوكمة أمن المعلومات ما يلي:

  • مواءمة أمن المعلومات مع استراتيجية الأعمال لدعم أهداف المنظمة
  • إدارة المخاطر وتخفيفها وتقليل الآثار المحتملة على موارد المعلومات إلى مستوى مقبول
  • إدارة أداء أمن المعلومات من خلال قياس ومراقبة وتقديم تقارير عن مقاييس حوكمة أمن المعلومات لضمان تحقيق أهداف المنظمة
  • تحسين استثمارات أمن المعلومات لدعم أهداف المنظمة. من المهم مراعاة الضرورة التنظيمية وفوائد حوكمة أمن المعلومات.

المسؤولية

تتولى إدارة التسويق مسؤولية محتوى الموقع الإلكتروني وضمان تلبية المواد للمتطلبات القانونية والسياسات.

تتولى إدارة تكنولوجيا المعلومات مسؤولية أمن الموقع الإلكتروني ووظائفه وبنيته التحتية. سيقوم مسؤولو النظام بمراقبة موقعنا الإلكتروني لضمان سرعة الاستجابة وحل أي مشكلات قد تطرأ.

التوعية والتواصل

من الضروري أن يتم دمج جميع جوانب أمن المعلومات، بما في ذلك السرية والخصوصية والإجراءات المتعلقة بالوصول إلى النظام، في إجراءات التعيين الرسمية للموظفين وأن يتم إطلاع الموظفين الحاليين عليها بانتظام.

عند بدء العمل، يجب توعية الموظفين بضرورة عدم إفشاء أي معلومات قد يطلعون عليها في سياق عملهم العادي. يجب أيضًا توعية الموظفين بضرورة عدم السعي للوصول إلى البيانات غير المطلوبة كجزء من واجباتهم العادية.