السياسة الداخلية للأمن السيبراني وإدارة المخاطر المعلوماتية

 

1. الغرض ونطاق التطبيق

تهدف هذه السياسة إلى تحديد المبادئ، والإجراءات، والمسؤوليات المتعلقة بالأمن السيبراني وإدارة المخاطر المعلوماتية داخل مؤسستنا.
وتنطبق على جميع:

  • الموظفين، والمزودين، والشركاء، والمتعاقدين من الباطن،

  • أنظمة المعلومات، والشبكات، والبنى التحتية،

  • البيانات المعالجة، بما في ذلك البيانات الشخصية، والمالية، والاستراتيجية.

2. الحوكمة والمسؤوليات

2.1 حوكمة الأمن السيبراني
يُدمج الأمن السيبراني في إطار الحوكمة الشاملة للمخاطر لدينا.
يشرف لجنة أمن نظم المعلومات على تنفيذ هذه السياسة وتطويرها باستمرار.

2.2 المسؤوليات

  • تقوم الإدارة العليا بتحديد التوجهات الاستراتيجية،

  • يقوم مسؤول أمن نظم المعلومات (RSSI) بتنسيق الإجراءات،

  • يلتزم كل موظف باتباع أفضل الممارسات الأمنية.

3. المبادئ الأساسية للأمن السيبراني

3.1 السرية
ضمان وصول الأشخاص المخوّلين فقط إلى البيانات الحساسة.

3.2 السلامة (النزاهة)
ضمان عدم التلاعب أو التدمير غير المصرح به للبيانات.

3.3 التوافر
ضمان الوصول المستمر إلى الأنظمة والمعلومات الضرورية للأنشطة الحيوية.

3.4 إمكانية التتبع
الاحتفاظ بسجلات الدخول والنشاط لتحليل أي حادث أمني.

4. إدارة الوصول والهويات

  • تطبيق المصادقة المتعددة العوامل (MFA)،

  • تطبيق مبدأ “أقل قدر من الامتياز”،

  • مراجعة دورية لحقوق الوصول،

  • تعطيل الوصول فورًا عند المغادرة أو تغيير المنصب.

5. حماية الأنظمة والشبكات

  • استخدام جدران الحماية، ومضادات الفيروسات، وأنظمة كشف/منع التسلل،

  • تقسيم الشبكات الحرجة،

  • تحديثات وتصحيحات أمنية منتظمة،

  • فحوصات ثغرات واختبارات اختراق دورية.

6. حماية البيانات

  • تشفير البيانات الحساسة أثناء النقل والتخزين،

  • نسخ احتياطية منتظمة وتخزين آمن،

  • الاحتفاظ القانوني بالبيانات الحرجة،

  • حذف آمن للبيانات القديمة.

7. إدارة الحوادث الأمنية

7.1 الكشف والإبلاغ
يجب على كل موظف الإبلاغ فورًا عن أي حادث أو اشتباه بوجود ثغرة أمنية.

7.2 الاستجابة والمعالجة
يتضمن خطة الاستجابة للحوادث:

  • تحليل الحادث،

  • اتخاذ الإجراءات التصحيحية،

  • توثيق الأحداث.

7.3 الإبلاغ
في حالة خرق البيانات الشخصية، يتم الإبلاغ عن ذلك للسلطات المختصة وإعلام المعنيين، وفقًا للتشريعات مثل اللائحة العامة لحماية البيانات (GDPR).

8. استمرارية الأعمال والتعافي من الكوارث

  • إعداد خطة استمرارية الأعمال (PCA) وخطة التعافي من الكوارث (PRA)،

  • اختبارات منتظمة للقدرة على الصمود،

  • حلول للتكرار ومواقع احتياطية،

  • إجراءات خاصة في حال حدوث هجمات سيبرانية كبيرة (مثل برامج الفدية أو هجمات حجب الخدمة).

9. التوعية والتدريب للموظفين

  • جلسات توعية دورية بالأمن السيبراني،

  • تدريبات محاكاة لهجمات إلكترونية (مثل التصيّد أو برامج الفدية)،

  • نشر ممارسات السلوك الرقمي السليم.

10. إدارة المخاطر المرتبطة بالأطراف الثالثة والمقاولين

  • تقييم أمني للمزودين قبل إبرام العقود،

  • إدراج بنود تعاقدية تضمن الالتزام بالأمن السيبراني،

  • مراقبة وتدقيق منتظم للموردين الحرجين.

11. الامتثال التنظيمي والقطاعي

نحن نلتزم بـ:

  • القوانين والتشريعات المعمول بها (مثل الـ GDPR، والتعليمات المالية، والقوانين المحلية)،

  • المعايير العالمية للأمن السيبراني (مثل ISO 27001، وNIST، وPCI-DSS إن وُجدت)،

  • توصيات الهيئات التنظيمية المالية.

12. التحسين المستمر

يخضع نظامنا الأمني للمراجعة الدورية والتدقيق المستقل.
تتم مراجعة السياسات والإجراءات والأدوات وتحديثها بناءً على:

  • التطورات التكنولوجية،

  • طبيعة التهديدات،

  • المتطلبات القانونية والتنظيمية.

13. الالتزام والتعهّد

يلتزم جميع الموظفين والشركاء باحترام هذه السياسة، حيث يُعد ذلك شرطًا أساسيًا لضمان أمن مؤسستنا وبناء ثقة عملائنا.