وثيقة سياسة أمن المعلومات

من ويكيبيديا، الموسوعة الحرة
اذهب إلى: تصفح، ‏ ابحث

وثيقة سياسة أمن المعلومات لمؤسسة[عدل]

تتضمن هذه الوثيقة مسودة مبادئ أساسية لمقترح السياسة الأمنية لمؤسسة . و هي الخطوة الأولى التي ستليها, في حالة إقرارها, إصدار الملاحق اللازمة لوضع تفاصيلها. الخطة المقترحة لانجاز وثيقة سياسة امن المعلومات هي كالآتي:

  • اقتراح مسودة المبادئ الأساسية للسياسة (الوثيقة المرفقة).
  • مناقشة المبادئ العامة الأساسية للسياسة .
  • إقرار المبادئ العامة الأساسية للسياسة.
  • اقتراح الملاحق التفصيلية للسياسة كل حسب اختصاصه في المؤسسة.
  • مناقشة الملاحق التفصيلية للسياسة.
  • إقرار الملاحق التفصيلية للسياسة.

تتضمن مناقشة مسودة المبادئ الأساسية الاتفاق على المصطلحات المستخدمة و مسميات جهات الصلاحية و التكليف مثل ,( إدارة خدمات الحاسب , رئيس القسم, مدير المؤسسة,الموظفين, المتدربين,...الخ ). تتضمن مناقشة الملاحق التفصيلية تحديد الوحدات الإدارية و الأفراد المعنيين بملكية المعلومات و حدود هذه الملكية , الوحدات الإدارية و الأفراد المخولين بالاستخدام و محددات الاستخدام الفنية و الإدارية و القانونية.

سياسة أمن المعلومات لمؤسسة[عدل]

مدى الشمول Scope[عدل]

تشمل السياسة الأمنية ما يأتي:

  • نشر واستخدام المؤسسة لتكنولوجيا المعلومات والاتصالات, (أي جميع أجهزة الحاسوب وأجهزة الاتصالات والمعدات الطرفية والشبكات والبرمجيات والبيانات) داخل حدود ممتلكات المؤسسة ، أو وحدات تابعة للمؤسسة ولكن في أي مكان آخر.
  • استخدام نظم المعلومات غير المملوكة من قبل المؤسسة والتي تقع خارج حدود ممتلكاتها، التي يجري فيها مثل هذا الاستخدام عن طريق المعدات الموجودة ضمن ممتلكات المؤسسة، أو معدات تابعة لمؤسسة.
  • كل استخدام للبنية التحتية لتكنولوجيا المعلومات والاتصالات للمؤسسة وشبكات المناطق المحلية و الواسعة.
  • أمن الأجهزة والبرمجيات والبيانات .
  • أمن الموظفين باستخدام نظم المعلومات.
  • أمن أصول المؤسسة التي قد تكون وضعت في خطر من خلال إساءة استخدام نظم المعلومات.
  • جوانب حقوق الطبع والنشر لحماية البيانات، واستخدام نظم المعلومات غير المملوكة من قبل المؤسسة أو التي لا تقع ضمن ملكيتها، ولكن تستخدم من قبل المؤسسة أو الموظفين المتدربين لأغراض الدراسة أو العمل بما يتصل بالمؤسسة.

الأهداف Objectives[عدل]

تسعى المؤسسة لحماية أصولها من الضياع وتوفير بيئة عمل آمنة للمتدربين والموظفين. أهداف سياسة امن المعلومات هي ضمان الإمكانات الآتية :

  • تأمين موجودات المؤسسة ضد الخسائر عن طريق السرقة أو الاحتيال، والإضرار المتعمد أو العرضي، أو انتهاك الخصوصية أو الثقة.
  • تجنيب المؤسسة و حمايتها من مخاطر التلف أو المسؤولية الناشئة عن استخدام مرافقها لأغراض منافية للقانون العام أو النظام الأساسي للمؤسسة.

التشريعات والسياسات الأخرى[عدل]

تقرأ السياسة في سياق التشريعات الآتية (بحسب كل حالة، و عند توفر التشريع ) :

  • قانون حماية البيانات.
  • حقوق الطبع والنشر، وقانون براءات الاختراع والنماذج.
  • قانون إساءة استخدام الحاسوب.
  • القانون الجنائي ، وقانون النظام العام.
  • قانون أصول سلطات التحقيق القانوني.
  • قانون إساءة استخدام الاتصالات.
  • قانون العلامات التجارية.
  • قانون حقوق الإنسان.
  • قانون حرية المعلومات.
  • قانون الاتصالات.
  • قانون مكافحة الإرهاب.
  • أي تشريعات أخرى ذات صلة.

تطبيق سياسة[عدل]

التنفيذ[عدل]

  • من مسؤولية إدارة خدمات الحاسب ضمان التنفيذ الكامل للسياسة. للتأكد من أن جميع المتدربين والموظفين وغيرهم ممن قد تكون مسؤولة عنهم، على علم بالمسؤولية الشخصية و مسؤولية الامتثال لهذه السياسة.
  • معالجة الخرق

من واجب إدارة خدمات الحاسب اتخاذ الإجراءات المناسبة لمنع الانتهاكات لهذه السياسة. و على رئيس إدارة خدمات الحاسب إخطار مدير المؤسسة عن الأعمال التي تقع خارج اختصاص إدارة خدمات الحاسب .

  • المراجعة و التدقيق

المجلس العلمي في المؤسسة هي الجهة المسؤولة عن المراجعة المنتظمة للسياسة في ضوء الظروف المتغيرة و إقرار ضمان أن السياسة مناسبة لحماية مصالح المؤسسة.

الاستخدام المقبول لتكنولوجيا المعلومات والاتصالات[عدل]

الاستخدام المقبول هو استخدام لأغراض :

  • التعليم والتعلم.
  • البحث.
  • تنمية الشخصية التعليمية .
  • إدارة وتنظيم أعمال المؤسسة.
  • تطوير العمل والاتصالات المرتبطة أعلاه .
  • عقود استشارات العمل للمؤسسة.
  • يعد الاستخدام المعقول لمرافق تكنولوجيا المعلومات والاتصالات للمراسلات الشخصية مقبولا، حيث لا يرتبط مع أي نشاط تجاري أو غير قانوني. و يجوز للمؤسسة مراقبة استخدام تكنولوجيا المعلومات والاتصالات للاستخدام الشخصي. إذا اعتبرت المؤسسة الاستخدام الشخصي غير مقبولا فلا يجوز الوصول إلى مرافق تكنولوجيا المعلومات والاتصالات و قد تتخذ إجراءات تأديبية بحق المخالف.
  • يجوز السماح باستخدام مرافق تكنولوجيا المعلومات والاتصالات لأغراض أخرى من قبل إدارة المؤسسة، وذلك رهنا بتقرير من قبل إدارة خدمات الحاسب عند الاقتضاء.
  • قواعد استخدام تكنولوجيا المعلومات والاتصالات (تصدر ضمن ملحق) تشكل جزءا من هذه السياسة ، وملزمة لجميع الموظفين والمتدربين.
  • إن سياسة المؤسسة تتضمنا بشكل افتراضي أن استخدام جميع مرافق تكنولوجيا المعلومات والاتصالات يجب أن تكون مشروعة وصادقا ونبيلا، ويراعي المستخدمون كل ما يتعلق بحقوق وحساسيات الآخرين.
  • تتولى إدارة خدمات الحاسب مسؤولية اتخاذ جميع الخطوات الممكنة لوقف الاستخدام غير المقبول لنظم المعلومات. إذا كانت إدارة خدمات الحاسب غير قادرة على تنفيذ الواجب المطلوب، فإن المسؤولية تقع على عاتق إدارة المؤسسة. و يقدم المدير الإرشادات المناسبة كدليل بشأن قضايا السياسة العامة.
  • استخدام صلاحيات الموظف للوصول إلى / خلق مواد ذات طبيعة عدائية.تحتوي على مواد تشمل ولكن لا تقتصر على
    • المصطلحات العنصرية أو الجنسية
    • إشارات مسيئة للإعاقة أو الدين أو التوجه الجنسي، أو
    • صور إباحية أو أي محتوى إباحي آخر.

التسجيل[عدل]

يعد كل من المذكورين في ما يلي مؤهلا للتسجيل كمستخدم :

  • أي متدرب على فصل دراسي يؤدي إلى مؤهل معترف به داخل المؤسسة أو التي تمنحه المؤسسة، أو المتدربين الآخرين للمؤسسة.
  • أي شخص يتمتع بعقد عمل مع المؤسسة.
  • أي شخص يشغل موقعا فخريا معترف به من قبل المؤسسة.
  • أي شخص يوصي به مدير و توافق عليه إدارة المؤسسة.
  • يقتصر استخدام تكنولوجيا المعلومات والاتصالات بما في ذلك مرافق نظم وشبكات المعلومات للمستخدمين المسجلين. وتقع مسؤولية تنفيذ هذه القيود المفروضة على الوصول على رئيس القسم، حسب الاقتضاء .

المشورة والتدريب[عدل]

  • ضمان أن جميع المستخدمين على بينة من مخاطر الاختراقات الأمنية والمسؤولية لاتخاذ الاحتياطات الكافية هي مسؤولية رئيس القسم.
  • جميع عمليات التدريب والوثائق والمنشورات للمستخدمين فيما يتعلق بتكنولوجيا المعلومات والاتصالات يجب ان تحظى بالمشورة ذات الصلة بشأن الممارسات الجيدة المتعلقة بالأمن.
  • تشجع المؤسسة جميع الممارسات الجيدة في الدعاية للأمن لمرافق تكنولوجيا المعلومات والاتصالات عند الاقتضاء.

الأمن المادي[عدل]

الأمن المادي Physical security يتم تأمين المعدات , و الأبنية ضد السرقة والتلف إلى مستوى مجدي من حيث التكلفة.

الممارسة العملية[عدل]

  • تقع على عاتق إدارة خدمات الحاسب ما يلي : ضمان سلامة البيانات وحفظ البرامج ومعالجتها على نظم المعلومات في المؤسسة :

ضمان وحدة أجهزة الحاسوب ذات الوصول المشترك. ضمان عدم وصول مواد غير ملائمة إلى وحدات خزن الملفات من خلال أجهزة الحاسوب ذات الوصول المشترك. في حالة وجود اشتباه بخرق أمني تفرض القيود المناسبة للخدمة المشبوهة حتى يتم استعادة الثقة بها. توفير الأدوات المناسبة لدعم الأمن لاستخدامها من قبل المتدربين والموظفين على أجهزة الحاسوب تحت سيطرتها. توفير ضوابط فعالة للوصول المقيد إلى المرافق الحساسة (الشبكات , أجهزة الحاسوب الإدارية,...). تنفيذ الإجراءات ومعالجة أي ملاحظات وفق القوانين و التشريعات المرعية.

  • من مسؤولية مستخدمي الحاسوب ما يأتي :
    • اتخاذ الاحتياطات الأمنية المناسبة لضمان الأمن فيما يتعلق أجهزة الحاسوب التي تحت سيطرته الوظيفيه .
    • ملاحظة الممارسات الجيدة للأمن فيما يتعلق بالتسهيلات المتاحة له على أجهزة الحاسوب ذات الوصول المشترك والشبكات.
    • النسخ الاحتياطي للبيانات على سطح المكتب والأجهزة المحمولة أو أجهزة الحاسوب الشخصية .
    • إخطار إدارة خدمات الحاسب عن المشاكل الأمنية التي قد تنشأ على سطح المكتب وأجهزة الحاسوب الشخصية والمحمولة ، والاستجابة في الوقت المناسب لنشريات الأمن و التنبيهات التي وزعتها إدارة خدمات الحاسب .
    • الحفاظ على سرية كلمات السر .
    • الامتثال للقواعد لاستخدام المعلومات تكنولوجيا الاتصالات.
    • تعتبر الأضرار التي تلحق بالبرمجيات والمعدات أو البيانات الناتجة عن عدم مراعاة هذه السياسة تقصير بالمسؤولية، ويتم التعامل معها وفقا للقوانين , حسب الاقتضاء.
    • بيانات التحكم في الوصول إلى الشخص هو اختصاص مدير المؤسسة، الذي يضمن الحصول على معلومات حول الحقوق والمسؤوليات بموجب قانون حماية البيانات.

المراقبة[عدل]

  • للمؤسسة مراقبة أي استخدام لتكنولوجيا المعلومات والاتصالات لتحديد أي سوء الاستخدام وفقا لهذه السياسة.
  • رئيس إدارة خدمات الحاسب أو رئيس قسم، حسب الاقتضاء ، مسؤول عن ضمان استخدام الموارد. يتم تسجيل ذلك في تفاصيل كافية لتحديد المخالفين حيثما كان ذلك ممكنا من الناحية التقنية.
  • لرئيس إدارة خدمات الحاسب أو رئيس قسم، حسب الاقتضاء، أن يخول أي من موظفي الدعم لتكنولوجيا المعلومات والاتصالات ، اذا تطلب ذلك، للمراقبة او التحقيق او جمع بيانات المراقبة للمساعدة في التحقيق في الخرق الأمني المشتبه فيه أو أية إساءة أخرى.
  • على موظفي الدعم لتكنولوجيا المعلومات والاتصالات عدم مراقبة المعلومات الشخصية إلا في حالات محددة حيث يشتبه في خرق الأمن أو غيرها من الخروق على وفق ما تتطلبه هذه السياسة. ويتم إبلاغ كل حادث من هذا النوع إلى مدير المؤسسة. يتم تسجيل تفاصيل الحادث على الفور في سجل مركزي، والتي ستكون متاحة للتفتيش من قبل الموظفين المخولين من مدير المؤسسة.
  • لإدارة المؤسسة التخويل بمراجعة وتدقيق برامج و معدات المؤسسة، حيثما رأت ذلك ضروريا.
  • قد تراقب إدارة المؤسسة أو تسجل أو البيانات والبلاغات الواردة عن البنية التحتية لتكنولوجيا المعلومات والاتصالات للأغراض الآتية :
    • إثبات وجود حقائق.
    • التأكد من الامتثال للممارسات التنظيمية أو للتنظيم الذاتي أو الإجراءات المتبعة.
    • عرض او تثبيت المعايير التي تمنح أو يراد منحها من قبل الأشخاص الذين يستخدمون هذا النظام .
    • منع أو اكتشاف الجريمة.
    • التحقيق أو التفتيش في طرق استخدام تكنولوجيا المعلومات والاتصالات للمؤسسة.
    • ضمان التشغيل الفعال لتكنولوجيا المعلومات والاتصالات للمؤسسة.
  • المؤسسة قد تراقب ولكن لا تسجل استخدام محدد لتكنولوجيا المعلومات والاتصالات, حسب الاقتضاء.
  • يجوز للمؤسسة مراقبة أو تسجيل الاتصالات في حالة كون ذلك مصلحة للأمن الوطني.

واجبات مدير النظام[عدل]

  • مدير النظام مسؤول عن الحفاظ على سلامة النظم الحاسوبية والبيانات الموجودة عليها، وضمان عدم إساءة استخدام النظم.
  • يتم توفير امتياز الوصول إلى أنظمة الحاسوب لمدير النظام من أجل الاضطلاع بمسؤولياتها. و عليهم واجب استخدام مثل هذا الوصول في جميع الأوقات بطريقة مهنية وضمن مصلحة المؤسسة.
  • مدير النظام المسؤول عن خدمات البريد الإلكتروني التي تتصل بالإنترنت أو الخدمات الهاتفية العامة ينبغي إعلام المستخدمين بما قد يسجل من بيانات ضمن حركة المرور أو مراقبتها على وفق سلطات التحقيق القانونية.
  • رئيس إدارة خدمات الحاسب أو رئيس قسم، حسب الاقتضاء ، مسؤول عن ضمان تنفيذ واجبات مديري الأنظمة.
  • رئيس إدارة خدمات الحاسب أو رئيس قسم، حسب الاقتضاء ، مسؤول عن الحفاظ على او نشر تفاصيل عمل مديري الأنظمة ونطاق مسؤولياتهم.