سياسة أمن المعلومات
سياسة أمن المعلومات
2023
لمحتويات
- الهدف
- النطاق
- الأدوار والمسؤوليات
- التعاريف والاختصارات
- المستندات المرجعية
- سياسة أمن المعلومات
- أهداف وغايات أمن المعلومات
- تنظيم أمن المعلومات
- إطار إدارة المخاطر
- المرفقات والنماذج القياسية المستخدمة
- انتهاكات السياسة والعقوبات
- المراجعة والنشر والرقابة الداخلية والتدقيق وإعداد التقارير
- ضوابط مراجعة المستندات
1.الهدف
تم إعداد سياسة أمن المعلومات الخاصة بشركة Ininal لإبلاغ جميع الموظفين والموردين والفروع والممثلين وشركاء الأعمال وأصحاب المصلحة بنطاق أمن المعلومات الخاص بشركة Ininal وأهدافه وغاياته ومبادئه و أسسه والأدوار والمسؤوليات المتعلقة بأمن المعلومات.
2.النطاق
تغطي هذه السياسة نطاق أمن المعلومات لبيانات ومعلومات شركة Ininal والأهداف والمبادئ والدعم الإداري وإطار إدارة المخاطر والاستمرارية والواجبات والمسؤوليات ومتطلبات الامتثال والعقوبات التي سيتم تطبيقها في حالة الانتهاك.
3.الأدوار و المسؤوليات
لجنة أمن المعلومات مسؤولة عن ضمان تحديث واستمرارية سياسة أمن المعلومات. يتم تحديد التحديثات التي سيتم إجراؤها في سياسة أمن المعلومات في اجتماعات لجنة أمن المعلومات وتنعكس في الوثيقة من قبل مدير أمن المعلومات. وفي كل تحديث، تتم الموافقة على الوثيقة من قبل مجلس الإدارة.
يتم شرح واجبات ومسؤوليات الأطراف ذات الصلة في هذا السياق في إجراءات أدوار ومسؤوليات أمن المعلومات.
يتحمل جميع مديري الوحدات مسؤولية المراجعة والتحسين المستمر للأنظمة ضمن مجالات مسؤوليتهم، ويكون جميع الموظفين مسؤولين عن استخدام وتنفيذ المستندات الحديثة. التفاصيل المتعلقة بمتطلبات وقواعد أمن المعلومات، والتي تحدد إطارها هذه السياسة، يتم تنظيمها من خلال إجراءات أمن المعلومات. يلتزم موظفو الشركة والغير بمعرفة هذه الإجراءات والقيام بعملهم وفق هذه القواعد.
4.التعاريف و الاختصارات
| لجنة أمن المعلومات | : تمثل اللجنة المنشأة لوضع السياسات والإجراءات والعمليات المتعلقة بإدارة نظم المعلومات وضمان أمن المعلومات، وإدارة المخاطر الناشئة عن استخدام تقنيات المعلومات بشكل فعال. | بيانات الدفع الحساسة | : هي بيانات سرية مثل كلمات المرور والأرقام السرية وأرقام البطاقات وتواريخ انتهاء البطاقة والبيانات وما إلى ذلك التي يستخدمها المستخدمون لإثبات هوياتهم على الأنظمة. |
| ن.إ.أ.م. | : نظام إدارة أمن المعلومات |
| الشركة | : شركة ininal المساهمة المغفلة لخدمات الدفع والأموال الإلكترونية |
| ن.إ. | : نظام الإدارة |
5.المستندات المرجعية
- أنظمة الدفع وتسوية الأوراق المالية وخدمات الدفع ومؤسسات النقود الإلكترونية
- لائحة تنظيم خدمات الدفع وإصدار النقود الإلكترونية ومقدمي خدمات الدفع
- بلاغ بشأن أنظمة معلومات مؤسسات الدفع والنقود الإلكترونية وخدمات تبادل البيانات لمقدمي خدمات الدفع في مجال خدمات الدفع.
- معيار نظام إدارة أمن المعلومات ISO/IEC 27001
- دليل استمرارية الأعمال لنظام إدارة أمن المعلومات ISO/IEC 27031.
- معيار خصوصية البيانات الشخصية BS 10012
- معيار إدارة خدمات تكنولوجيا المعلومات ISO 20000
- معيار إدارة استمرارية الأعمال ISO 22301
6.سياسة أمن المعلومات
من أجل ضمان متطلبات أمن المعلومات الناشئة عن اللوائح الوطنية أو الدولية أو القطاعية التي تخضع لها شركة ininal ، للوفاء بمتطلبات التشريعات والمعايير ذات الصلة، وبالتزاماتها الناشئة عن الاتفاقيات، ومسؤوليات الشركة تجاه أصحاب المصلحة الداخليين والخارجيين. :
- تتخذ الإجراءات الإدارية والفنية لضمان حماية خصوصية المعلومات الشخصية.
- تقوم بتفعيل البنية التحتية والضوابط التي تضمن سرية المعلومات وتحمي سلامتها وتضمن إمكانية الوصول إليها باستمرار (سهولة الاستخدام).
- توفر الترخيص وفقا لمبدأ الفصل بين الواجبات في عمليات التحليل والتصميم والتطوير والاختبار والتطبيق، وتضع آلية للموافقة في المعاملات الهامة.
- توفر الفصل المادي والمنطقي لبيئات التطوير والاختبار والإنتاج.
- تضمن ضمان الحد الأدنى من مبدأ الترخيص المطلوب لترخيص المستخدمين وفحص التراخيص بانتظام.
- تؤمن الشبكة ضد التهديدات التي قد تأتي من الشبكات الخارجية.
- تنشئ بنية أمنية متعددة الطبقات وتضمن المراقبة المستمرة.
- وفي الخدمات التي تقدمها من خلال تطبيق الهاتف المحمول والموقع الإلكتروني الخاص بها، تستخدم تقنيات للتحقق من أن الخدمة مقدمة من قبل الشركة.
- تضمن اتخاذ التدابير الأمنية مثل التشفير والإخفاء عند نقل وتخزين بيانات الدفع الحساسة والمعلومات الشخصية.
- تضمن موثوقية مفاتيح التشفير المستخدمة.
- تضمن أمان بيانات الدفع الحساسة التي تستخدمها التطبيقات التي تعمل على الأجهزة المحمولة (لا يمكن استخدام بيانات الدفع الحساسة بواسطة تطبيقات أخرى ولا يمكن الوصول إليها في حالة فقدانها أو سرقتها).
- تحدد المخاطر القائمة من خلال إجراء تقييمات دورية لأمن المعلومات، ونتيجة لهذه التقييمات، يتم مراجعة ومتابعة خطط العمل.
- تتخذ إجراءات لضمان أمان التطبيقات التي تعمل على الأجهزة المحمولة وتوفر التحديثات اللازمة.
- تقوم بإنشاء منظمة لأمن المعلومات من أجل إدارة وتنسيق أنشطة أمن المعلومات وإدارة جميع مكوناتها بطريقة متكاملة.
- تحدد الملكية وتدير المخاطر المتعلقة بأصول المعلومات عن طريق إنشاء مخزون أصول المعلومات ومرافق معالجة المعلومات.
- وتنفذ أنشطة إدارة حوادث أمن المعلومات، والتي تتضمن خطوات الكشف عن حوادث أمن المعلومات والإبلاغ عنها ومنع تكرارها.
- من خلال جعل الوعي بأمن المعلومات جزءا من ثقافة الشركة، تضمن الحفاظ على الوعي بأمن المعلومات لدى الموظفين على مستوى عال.
- تتخذ التدابير الأمنية المادية والبيئية اللازمة لضمان أمن المعلومات في المناطق التي تتم فيها معالجة المعلومات.
- تحدد وتنفذ متطلبات الأمان في اقتناء نظم المعلومات وتطويرها وصيانتها.
- تنفذ أنشطة استمرارية الأعمال لمنع الانقطاعات في أنشطة الأعمال وضمان الوصول المستمر إلى المعلومات.
- تنفذ الضوابط الأمنية اللازمة في جميع المجالات ذات الصلة للتحكم في الوصول إلى المعلومات ومنع الوصول غير المصرح به.
- تضمن التحسين المستمر من خلال متابعة التقنيات والابتكارات الحالية في مجال أمن المعلومات وتطوير الحلول.
- تحافظ باستمرار على تقيد النظام من خلال التحكم والمراقبة ومراجعة كفاءة نظام إدارة أمن المعلومات من خلال عمليات التدقيق الداخلية والخارجية.
7.أهداف وغايات أمن المعلومات
تهدف سياسة أمن المعلومات إلى توجيه موظفي الشركة ومورديها وممثليها وشركاء الأعمال وأصحاب المصلحة في التصرف وفقا لمتطلبات الشركة الأمنية، لزيادة مستويات وعيهم وتوعيتهم وبالتالي تقليل المخاطر التي قد تحدث في الشركة، لحماية موثوقية الشركة وصورتها في العقود المبرمة مع أطراف ثالثة، وتهدف إلى حماية أصول المعلومات المادية والإلكترونية التي تؤثر على سير عمل الشركة بأكملها ضد التهديدات الداخلية والخارجية المقصودة أو غير المقصودة من أجل ضمان الامتثال المحدد وتنفيذ الأمن الفني للضوابط، والتأكد من أن الأنشطة التجارية الأساسية والداعمة للشركة تستمر مع الحد الأدنى من الانقطاع.
8.تنظيم أمن المعلومات
تقوم إدارة الشركة بإنشاء تنظيم أمن المعلومات داخل الشركة. وفي هذا السياق، يتم إجراء دراسات حول إنشاء وصيانة وإدارة السياسات الأمنية في الشركة بنهج شمولي ضمن نطاق عملية إدارة أمن المعلومات. يتم تحديد الأدوار والمسؤوليات التي ستنسق وتدير عمليات التحكم الأمني في الشركة ضمن نطاق إجراءات أدوار ومسؤوليات أمن المعلومات ويتم تعيينها للأشخاص المعنيين. يتم وضع سياسات جديدة لتغطية الاحتياجات الناشئة عن التطورات في تقنيات الأمان.
9.إطار إدارة المخاطر
يتم تحديد نهج تقييم مخاطر الشركة فيما يتعلق بأمن المعلومات من قبل لجنة أمن المعلومات ويتم تحديده ضمن نطاق عملية إدارة أمن المعلومات. من خلال منهج تقييم مخاطر أمن المعلومات، يتم تحديد الطرق التي سيتم من خلالها تحديد مخاطر أمن معلومات الشركة، وكيفية حساب مستويات المخاطر وكيفية تقييم المخاطر. يتم تحديد وتصنيف ومعالجة ومراجعة المخاطر التي قد تنشأ فيما يتعلق بأصول المعلومات وفقا لنهج تقييم المخاطر المحدد.
ونتيجة لدراسة تقييم المخاطر، يتم وضع "تقرير تقييم مخاطر أنظمة المعلومات"، والذي يتضمن أيضا إجراءات لتقليل المخاطر. يتم إنشاء خطة أمن المعلومات وتحديثها سنويا.
10.المرفقات والنماذج القياسية المستخدمة
إجراءات وأدوار أمن المعلومات
تقرير تقييم مخاطر نظم المعلومات
11.انتهاكات السياسة والعقوبات
يلتزم جميع موظفي الشركة والموردين والممثلين وشركاء الأعمال وأصحاب المصلحة بالامتثال للمتطلبات الأمنية الناشئة عن القوانين واللوائح والعقود ذات الصلة وحقوق الملكية الفكرية واتفاقيات الترخيص والمتطلبات الأمنية التي تحددها الشركة. يضمن المديرون الامتثال للسياسات والمعايير الأمنية في تشغيل جميع العمليات في مجالات مسؤوليتهم. جميع موظفي الشركة مسؤولون عن استخدام بيانات الشركة بما يتوافق مع سريتها.
يتم تنفيذ أنشطة مراجعة أمن المعلومات ضمن نطاق عملية إدارة أمن المعلومات لمراجعة الامتثال لسياسات أمن المعلومات الخاصة بالشركة. يتم رفع تقرير عن الالتزام بسياسة أمن المعلومات إلى مجلس الإدارة مرة واحدة على الأقل سنويا.
12.المراجعة والنشر والرقابة الداخلية والتدقيق وإعداد التقارير
تتطلب التغييرات في التشريعات أو عمليات تنفيذ أمن المعلومات مراجعة السياسة. تمت الموافقة على السياسة المراجعة والمحدثة من قبل مجلس الإدارة. يتم نشر السياسة المعتمدة بشكل غير مصنف على خادم الملفات المشترك الذي يمكن لجميع موظفي المؤسسة الوصول إليه وعلى موقع Ininal الإلكتروني.
تتم مراجعة هذه السياسة وتدقيقها مرة واحدة على الأقل سنويا تحت مسؤولية مدير أمن المعلومات ضمن نطاق تقديم الخدمات والأنشطة ذات النهج الأمني.
13.ضوابط مراجعة المستندات
| معلومات مراجعة الوثيقة | ||
|---|---|---|
| وصف المراجعة | التاريخ | رقم المراجعة |
| وضع سياسة أمن المعلومات | مارس 2015 | 01.0 |
| المراجعة السنوية | أبريل 2016 | 01.1 |
| المراجعة السنوية | أغسطس 2017 | 01.2 |
| المراجعة السنوية | مايو 2018 | 01.3 |
| المراجعة السنوية | مايو 2019 | 01.4 |
| المراجعة السنوية | نوفمبر 2020 | 01.5 |
| المراجعة السنوية | ديسمبر 2021 | 01.6 |
| المراجعة والتحديث ضمن نطاق ن.إ.أ.م. | 28.07.2022 | 02.0 |
| المراجعة السنوية | 11.07.2023 | 02.1 |
