سياسة أمن المعلومات
تخطى الى المحتوى
رجاء قم بإدخال بريد الكتروني صحيح تم إرسال البريد الإلكتروني بنجاح لقد قمت بطلب إرسال هذه الصفحة إلي البريد الإلكتروني الخاص بك

سياسة أمن المعلومات رفيعة المستوى

1.1      الهدف

الهدف من هذه السياسة هو حماية أصول المعلومات لدى دائرة المالية من جميع التهديدات، داخلية كانت أو خارجية، متعمدة أو غير متعمدة، وبالتالي ضمان تقديم الخدمات دون انقطاع للموظفين وأصحاب المصلحة وإدارة المخاطر وصولاَ إلى المستوى المقبول من خلال تصميم وتنفيذ وصيانة نظام فعال لإدارة أمن المعلومات.

تحدد الوثيقة المبادئ الأساسية لحماية جميع أصول المعلومات لدى دائرة المالية وتوعية جميع الموظفين داخل دائرة المالية والأطراف الخارجية المعنية بالتهديدات الأمنية المحتملة ومخاطر الأعمال المرتبطة بها. بيانات السياسة فيما يتعلق بما يلي:

‌أ.       مقصد الإدارة والمتطلبات المحددة لبرنامج أمن المعلومات.

‌ب.    المتطلبات في المراحل المختلفة من دورة حياة نظام إدارة أمن المعلومات من أجل: إنشاء وتنفيذ وتشغيل ومراقبة ومراجعة نظام إدارة أمن المعلومات والحفاظ عليه وتحسينه.

1.2      النطاق

يقدم نطاق هذه السياسة الحد الأدنى من متطلبات ضوابط أمن المعلومات وينطبق على دائرة المالية، بما في ذلك على سبيل المثال لا الحصر الموظفين والاستشاريين والمقاولين والزوار الذين ليسوا موظفين حكوميين ولكنهم يتعاملون مع الحكومة من خلال الوسائل المختلفة. علاوة على ذلك تنطبق اللائحة على أي معلومات حكومية بغض النظر عن نوعها ووسائطها (على سبيل المثال المطبوعة والإلكترونية وغير إلكترونية الشفهية والمكتوبة، وما إلى ذلك). لذلك يجب على دائرة المالية تنفيذ جميع لوائح أمن المعلومات المعمول بها وضوابط ISO 27001:2013 في جميع الأقسام/الإدارات داخليًا وعدم قصر تنفيذها على أقسام/إدارات تكنولوجيا المعلومات فقط.

1.3      بيان السياسة

تلتزم دائرة المالية بتأمين سرية المعلومات وسلامتها وتوافرها لإجراء العمليات التجارية. ولذلك يعتبر أمن المعلومات أمرًا حيويا لنجاح أعمال دائرة المالية.

يشرح هذا القسم المبادئ التي يتعين اتباعها من أجل تنفيذ هذه السياسة وإدارتها بشكل فعال.

1.4      السياسة

1.4.1       سياسة أمن المعلومات رفيعة المستوى

1.     يجب استخدام جميع أصول المعلومات بطريقة تدعم الأهداف والغايات الاستراتيجية لدائرة المالية.

2.     يجب التصدي لجميع المتطلبات القانونية و/أو التنظيمية المعمول بها المتعلقة بأمن المعلومات.

3.     يجب تحديد جميع المعلومات ونظم معالجة المعلومات وتقييمها وتصنيفها لضمان الحماية الكافية.

4.     تطوير والحفاظ على منهجية إدارة مخاطر أمن المعلومات من أجل تقييم مخاطر أمن المعلومات.

5.     توفير التدريب المناسب على أمن المعلومات والتوعية لجميع الموظفين (الموظفين الدائمين والمؤقتين).

6.     يجب على الموظفين والبائعين أو المقاولين الخارجيين الالتزام بسياسات أمن المعلومات والإجراءات والمعايير والمبادئ التوجيهية وما إلى ذلك المعتمدة من إدارة دائرة المالية.

7.     يجب التعامل مع المعلومات بطريقة آمنة لتجنب أي فقدان للسرية والسلامة والتوافر أثناء إنشاء المعلومات وتخزينها ومعالجتها ونقلها والتخلص منها.

8.     يجب أن تكون المعلومات ونظم معالجة المعلومات متاحة للمستخدمين المصرح لهم حسب احتياجات أعمالهم.

9.     يجب تأمين المعلومات ونظم معالجة المعلومات ماديًا ضد أي فقدان للسرية والسلامة والتوافر.

10.  يجب إدارة جميع التغييرات المتعلقة بالمعلومات ونظم معالجة المعلومات بطريقة مؤمنة.

11.  يجب الإبلاغ عن جميع حوادث أمن المعلومات وإدارتها في حينها مع تحديد مصفوفة التصعيد المناسبة للتصدي للحوادث الشديدة الخطورة.

12.  يجب تحديد خطط استمرارية أعمال تكنولوجيا المعلومات واختبارها بالقدر الكافي لضمان توافر المعلومات ونظم معالجة المعلومات في حالات الطوارئ.

13.  يجب مراجعة وضع أمن المعلومات وتحسينه بصورة مستمرة لضمان الالتزام المستمر بهذه السياسة.

14.  لا يجوز لموظفي الدائرة وغيرهم محاولة الالتفاف على أي من ضوابط أمن المعلومات.

15.  ضمان الامتثال للمعايير واللوائح المعمول بها بشأن أمن المعلومات مثل ISO 27001:2013 ولائحة دبي لأمن المعلومات.

 

نصائح مهمة: اليقظة والالتزام مفتاحان مهمان من مفاتيح أمن المعلومات

 

من الشائع والسهل تزوير المظاهر الخارجية لإنجاح عمليات الخداع؛ فالزي الموحد وبطاقات العمل رخيصة ويسهل الحصول عليها، كما يمكن التلاعب بسهولة بعناوين البريد الإلكتروني وأرقام الهاتف، وحتى هوية المتصل. ويسهل على المهندسين الاجتماعيين استخدام الأسماء الحقيقية للموظفين والموردين ومقدمي الخدمات.

 

لذا وجب على الجميع الحرص على عدم التعامل مع كل ما يصلهم باعتباره محل ثقة. ينبغي التحقق من هوية الأشخاص وصلاحياتهم المؤسسية، والتثبّت من المعلومات، وهذا التحقق والتثبت يتم بخطوات بسيطة، وقد يحمي الموظف من الكشف عن التفاصيل المؤسسية أو الشخصية الحساسة لمنفذي هجمات الهندسة الاجتماعية الذين يستخدمون مبادئ علم النفس الاجتماعي للتأثير في السلوكيات، وغالبًا ما يبادرون ويستمرون في بناء العلاقات، ويتمتعون بشكل عام بالمهارة فيما يفعلون.

 

نصائح تجنّبك الوقوع ضحية للتصيّد والهندسة الاجتماعية:

·       تفحّص الروابط التي تصلك بدقة وقارنها بالرابط الحقيقي.

·       اطلب من المتصل المجهول رقم هاتف ثابت رسمي للتأكد من هويته.

·       احذر من أي عروض مالية مادية مغرية وذات مدّة محدودة.

·       لا تقبل أية برامج مجانية أو أجهزة تخزين خارجية من أي طرف مجهول.