5.1 البنود العامة للسياسة

5.1.1. يجب اتباع متطلبات الأمن السيبراني في السياسات والمعايير والإجراءات المعتمدة لدى الأمانة.

5.1.2. يجب حماية البيانات، والأصول (الأجهزة أو المعلومات أو البرامج) والتعامل معها حسب حساسيتها وتصنيفها، وفقًا لسياسة حماية البيانات المعتمدة لدى الأمانة وضمان سرية البيانات وسلامتها وتوافرها.

5.1.3. يجب عدم ترك المطبوعات على الطابعة المشتركة دون رقابة.

5.1.4. يجب عدم ترك الأصول أو الأجهزة المحمولة دون مراقبة أثناء التواجد خارج مباني الأمانة، على سبيل المثال. في كبائن الطائرات، أو صالات المطارات، أو مراكز التسوق، أو الفنادق وغيره، أو أثناء اجتماعات العمل التي تعقد خارج الأمانة.

5.1.5. يُحظر على موظفي الأمانة تغيير، أو إزالة، أو إلغاء التنشيط، أو التلاعب بأي طريقة أخرى بأنظمة جدار الحماية أو وكيل الإنترنت أو أجهزة بوابة الوصول أو برامج مكافحة الفيروسات/مكافحة البرامج الضارة و/أو أي برامج حماية آخرى تخص الأنظمة المستخدمة من قبل في الأمانة.

5.1.6. يمنع تنزيل مواد مثل ملفات الصور أو ملفات الموسيقى أو ملفات الفيديو للاستخدام الشخصي.

5.1.7. لا يجوز لأي موظف تحت أي ظرف من الظروف المشاركة في أي نشاط غير قانوني بموجب اللوائح التنظيمية أو الحكومية أثناء استخدام مرافق معالجة المعلومات التي توفرها الأمانة.

5.1.8. يجب حفظ وسائط التخزين الخارجية بشكل آمن وملائم، مثل التأكد من ضبط درجة الحرارة بدرجة معينة، وحفظها في مكان معزول وآمن.

5.1.9. يمنع الإفصاح عن أي معلومات تخص الأمانة، بما في ذلك المعلومات المتعلقة بالأنظمة والشبكات لأي جهة أو طرف غير مصرح له سواءً كان ذلك داخليًا أو خارجيًا.

5.1.10. يُمنع نشر معلومات تخص الأمانة عبر وسائل الإعلام، وشبكات التواصل الاجتماعي دون تصريح من صاحب الصلاحية.

5.1.11. يُمنع استخدام أنظمة الأمانة وأصولها بغرض تحقيق منفعة وأعمال شخصية، أو تحقيق أي غرض لا يتعلق بنشاط وأعمال الأمانة.

5.1.12. يُمنع ربط الأجهزة الشخصية بالشبكات، والأنظمة الخاصة بالأمانة دون الحصول على تصريح مسبق من إدارة الأمن السيبراني بالأمانة، وبما يتوافق مع سياسة أمن الأجهزة المحمولة المعتمدة لدى الأمانة.

5.1.13. يُمنع القيام بأي أنشطة تهدف إلى تجاوز أنظمة الحماية الخاصة بالأمانة، بما في ذلك برامج مكافحة الفيروسات، وجدار الحماية، والبرمجيات الضارة دون الحصول على تصريح مسبق، وبما يتوافق مع الإجراءات المعتمدة لدى الأمانة.

5.1.14. تحتفظ إدارة الأمن السيبراني بالأمانة بحقها في مراقبة الأنظمة والشبكات والأجهزة الشخصية المتعلقة بالعمل، ومراجعتها دوريًا لمراقبة الالتزام بسياسات ومعايير الأمن السيبراني المعتمدة لدى الأمانة.

5.1.15. يجب أن تكون البطاقة التعريفية للموظف أو الزوار بارزة في جميع مرافق الأمانة.

5.1.16. يجب تبليغ إدارة الأمن السيبراني بالأمانة في حال فقدان المعلومات الخاصة بالأمانة أو سرقتها أو تسريبها.

5.1.17. يجب متابعة قواعد الاستخدام المقبول للمعلومات والأصول المرتبطة بأنظمة معالجة المعلومات.

5.1.18. يجب على جميع الموظفين والعاملين في الأمانة إرجاع جميع الملفات والمستندات والمعلومات والأصول التي في حوزتهم عند إنهاء عملهم أو عقدهم أو اتفاقهم.

5.1.19. يمنع نقل الأصول خارج مواقعها بدون إذن مسبق من الإدارات المعنية.

5.1.20. يجب حماية الأصول التي تكون خارج المواقع مع مراعاة المخاطر المختلفة للعمل خارج مباني الأمانة.

5.1.21. يجب حضور الجلسات واللقاءات والمحتويات الخاصة بحملات التوعية الأمنية التي تقدمها الأمانة والالتزام بها.

5.1.22. يجب على جميع العاملين توقيع إقرار الموافقة على الاستخدام المقبول المعتمدة لدى الأمانة.

5.1.23. يجب على جميع العاملين الموافقة والإقرار على قواعد السلوك وسياسة الاستخدام المقبول عند أي مراجعة أو تحديث عليها.

5.1.24. يجب أن يكون الوصول إلى أصول الأمانة وفقًا للمسؤوليات والأدوار المطلوبة لأداء المهام فقط.

5.1.25. يجب تنبيه مشرفي الأصول التقنية حول تصحيحات الأمن السيبراني التي يجب تطبيقها وفقًا لسياسة إدارة الثغرات و اختبار الاختراق المعتمدة لدى الأمانة.

5.1.26. يجب على ملاك الأصول مراجعة صلاحيات وصول المستخدمين على فترات محددة ومنتظمة.

5.1.27. يجب تبليغ إدارة الأمن السيبراني بالأمانة عند الاشتباه بأي نشاط قد يتسبب بضرر على الأمانة أو أصولها مثل: وجود مواقع مشبوهة، الاشتباه بوجود مخاطر سيبرانية أو الاشتباه بمحتوى بريد الكتروني قد يتسبب بضرر للأمانة.

5.1.28. في حال عدم الالتزام بأحد البنود يجب على الأمانة تقديم مبررات وذكر أسباب عدم الالتزام.

5.2. حماية الأجهزة المحمولة

5.2.1. يمنع استخدام وسائط التخزين الخارجية دون الحصول على تصريح مسبق من إدارة الأمن السيبراني بالأمانة، وعند الاستخدام يجب تشفير البيانات المخزنة عليها وفقًا لمعيار التشفير المعتمد لدى الأمانة.

5.2.2. يجب تأمين الأجهزة قبل مغادرة المكتب وذلك بقفل الشاشة، أو تسجيل الخروج ، سواءً كانت المغادرة لفترة قصيرة أو عند انتهاء ساعات العمل.

5.2.3. يُمنع استخدام أو تثبيت أجهزة أو أدوات أو تطبيقات غير معتمدة من الأمانة على جهاز الحاسب الآلي دون الحصول على إذن مسبق من إدارة تقنية المعلومات بالأمانة.

5.3. الاستخدام المقبول للإنترنت والبرمجيات

5.3.1. يجب التعامل بحذر مع الرسائل الأمنية التي قد تظهر خلال تصفح شبكة الإنترنت أو الشبكات الداخلية وعدم التفاعل معها إلا بالتواصل مع إدارة الأمن السيبراني بالأمانة.

5.3.2. يُمنع انتهاك حقوق أي شخص، أو شركة محمية بحقوق النشر، أو براءة الاختراع، أو أي ملكية فكرية أخرى، أو قوانين أو لوائح مماثلة؛ بما في ذلك، على سبيل المثال لا الحصر، تثبيت برامج غير مصرح بها أو غير قانونية لأي غرض من أغراض العمل، أو استخدام وسائط تخزين خارجية بدون أخذ الموافقة من الأمانة.

5.3.3. يجب استخدام متصفح آمن ومصرح به للوصول إلى الشبكة الداخلية أو شبكة الإنترنت.

5.3.4. يُمنع استخدام التقنيات التي تسمح بتجاوز الخادم الوكيل (Proxy) أو جدار الحماية (Firewall) للوصول إلى شبكة الإنترنت.

5.3.5. يُمنع تحميل البرمجيات والأدوات أو تثبيتها على أصول الأمانة دون الحصول على تصريح مسبق من إدارة الأمن السيبراني بالأمانة.

5.3.6. يُمنع استخدام شبكة الإنترنت في غير أغراض العمل، بما في ذلك تحميل الوسائط والملفات واستخدام برمجيات مشاركة الملفات دون الحصول على تصريح مسبق من إدارة الأمن السيبراني بالأمانة.

5.3.7. يُمنع إجراء أي فحص أمني لغرض اكتشاف الثغرات الأمنية، ويشمل ذلك إجراء اختبار الاختراقات، أو مراقبة شبكات الأمانة وأنظمتها، أو الشبكات والأنظمة الخاصة بالجهات الخارجية دون الحصول على تصريح مسبق من إدارة الأمن السيبراني بالأمانة.

5.4. الاستخدام المقبول للبريد الإلكتروني

5.4.1. يُمنع استخدام البريد الإلكتروني أو الهاتف أو الفاكس الإلكتروني في غير أغراض العمل، ويكون الاستخدام فقط بما يتوافق مع سياسات الأمن السيبراني ومعاييره المعتمدة لدى الأمانة.

5.4.2. يُمنع تداول رسائل تتضمن محتوى غير لائق أو غير مقبول، بما في ذلك الرسائل المتداولة مع الأطراف الداخلية والخارجية.

5.4.3. يجب استخدام تقنيات التشفير عند إرسال معلومات حساسة عن طريق البريد الإلكتروني أو أنظمة الاتصالات وفقًا لسياسة حماية البيانات المعتمدة لدى الأمانة.

5.4.4. يجب عدم تسجيل عنوان البريد الإلكتروني الخاص بالأمانة في أي موقع ليس له علاقة بالعمل.

5.4.5. تحتفظ الأمانة بحقها في كشف محتويات رسائل البريد الإلكتروني بعد الحصول على التصاريح اللازمة من صاحب الصلاحية و إدارة الأمن السيبراني بالأمانة وفقًا للإجراءات والتنظيمات ذات العلاقة المعتمدة لدى الأمانة.

5.4.6. يُمنع فتح رسائل البريد الإلكتروني والمرفقات المشبوهة أو غير المتوقعة حتى وإن كانت تبدو من مصادر موثوقة وإبلاغ إدارة الأمن السيبراني في حال الاشتباه.

5.4.7. يجب فحص جميع رسائل البريد الإلكتروني الواردة والصادرة، داخليًا وخارجيًا، من قبل إدارة تقنية المعلومات قبل وصولها للمستخدم النهائي.

5.4.8. لا يجوز منسوبي الأمانة إعادة إرسال البريد إلكتروني إلى أي عنوان خارج الأمانة إلا بعد موافقة مالك المعلومات أو الشخص الذي أنشأها، أو إذا كانت المعلومات ذات طبيعة عامة بشكل واضح.

5.4.9. يجب عدم فتح أي مرفقات تخص رسائل البريد الإلكتروني إذا لم يتم فحصها بواسطة حلول أمان البريد إلا إذا كانت من أشخاص موثوقين.

5.5. الاجتماعات المرئية والاتصالات القائمة على شبكة الإنترنت

5.5.1. يُمنع استخدام أدوات أو برمجيات غير مصرح بها لإجراء اتصالات أو عقد اجتماعات مرئية تتعلق بالعمل.

5.5.2. يُمنع إجراء اتصالات أو عقد اجتماعات مرئية لا تتعلق بالعمل.

5.5.3. يُصنف مُنظم الاجتماع المرئي عنوان الدعوة "سري" أو "عام" عند إنشاء الدعوة.

5.5.4. يجب حماية الاجتماعات المرئية بكلمات المرور ومشاركتها فقط مع المدعوين بشكل آمن.

5.5.5. في حال تلقي دعوة لحضور اجتماع مرئي "سري"، يأخذ جميع المدعُوين في الاعتبار ما يلي:

• حضور الاجتماع المرئي بغرفة مغلقة أو قاعة اجتماعات أو من مكان لا يحتمل فيها تسرب المعلومات الصوتية أو المرئية.

• استخدام سماعة أثناء الاجتماع المرئي.

• لا يسمح مشاركة المحتوى أو تسجيله من قبل أي من الحاضرين أثناء الاجتماع المرئي.

• التأكد من مغادرة الاجتماع عند انتهائه.

5.6. استخدام كلمات المرور

5.6.1. يجب اختيار كلمات مرور آمنة، والمحافظة على كلمات المرور الخاصة بأنظمة الأمانة وأصولها وفقًا لسياسة إدارة هويات الدخول والصلاحيات في الأمانة. كما يجب اختيار كلمات مرور مختلفة عن كلمات مرور الحسابات الشخصية، مثل حسابات البريد الشخصي ومواقع التواصل الاجتماعي.

5.6.2. يُمنع مشاركة كلمة المرور عبر أي وسيلة كانت، بما في ذلك المراسلات الإلكترونية، والاتصالات الصوتية، والكتابة الورقية. كما يجب على جميع المستخدمين عدم الكشف عن كلمة المرور لأي طرف آخر بما في ذلك زملاء العمل وموظفو إدارة تقنية المعلومات بالأمانة وإبلاغ إدارة الأمن السيبراني بالأمانة فورًا في حال وقوع ذلك.

5.6.3. يجب تغيير كلمة المرور بشكل دوري أو عند الحصول على كلمة مرور جديدة من قبل مسؤول النظام.

5.6.4. يمنع استخدام كلمات مرور مستخدمة من قبل أو متعارف عليها، بالإضافة إلى عدم مشاركة كلمة المرور الخاصة بالمستخدم لأي شخص إطلاقًا.

5.7. استخدام المكتب

5.7.1. يجب التأكد من خلو سطح المكتب وشاشة العرض من المعلومات المصنفة والحساسة وفقًا للتصنيفات المعتمدة لدى الأمانة.

5.7.2. في حالة عدم تواجد الموظف في مكتبه أو مكان عمله، يجب عليه إزالة جميع المستندات الورقية ووسائط تخزين البيانات، وخصوصاً المعلومات والبيانات السرية من المكتب أو أي أماكن أخرى مثل الطابعات وأجهزة الفاكس وآلات التصوير وغيرها للتأكد من عدم وجود أي منها.

5.7.3. يجب على الموظف الاحتفاظ بتلك المستندات والوسائط في أماكن آمنة مثل الخزائن المقفلة إذا لزم الأمر.

5.7.4. يجب على الموظف إبقاء أي وثائق أو مستندات سرية بعيداً عن الأنظار عندما لا تكون هناك حاجة إليها، وخاصة عندما يكون المكتب فارغا (يفضل أن يكون ذلك داخل خزانة مقاومة للحريق).

5.7.5. يجب على الموظف تأمين جهازه عند الانتهاء من عمله، ما لم يكن من الممكن تأمينه بواسطة آلية مناسبة، على سبيل المثال، شاشة توقف محمية بكلمة مرور

5.7.6. يُمنع ترك أي معلومات مصنفة أو حساسة بالنسبة للأمانة في أماكن يسهل الوصول إليها، أو الاطلاع عليها من قبل أشخاص غير مصرح لهم.

5.7.7. يمنع ترك أبواب المكتب والخزانات التي تحتوي على معلومات مصنفة وحساسة مفتوحة.