سياسة إنفوسيك

غرض

قد تكون المعلومات التي يتم جمعها وتحليلها وتخزينها وإبلاغها والإبلاغ عنها عرضة للسرقة وسوء الاستخدام والخسارة والفساد. قد تتعرض المعلومات للخطر بسبب ضعف التعليم والتدريب، وخرق الضوابط الأمنية. يمكن أن تؤدي حوادث أمن المعلومات إلى الإحراج والخسارة المالية وعدم الامتثال للمعايير والتشريعات، فضلاً عن الأحكام المحتملة التي يتم إصدارها ضد Cybervergent.

تقع سياسة أمن المعلومات عالية المستوى هذه جنبًا إلى جنب مع سياسة حماية البيانات وسياسات أمن المعلومات الأخرى ذات الصلة لتوفير الخطوط العريضة والمبررات عالية المستوى لضوابط أمن المعلومات القائمة على المخاطر في Cybervergent.

الغرض من سياسة أمن معلومات Cybervergent هو:

  1. قم بحماية المعلومات الحساسة المتعلقة بموظفي Cybervergent والعملاء وأي كيانات أخرى مرتبطة، مما يضمن منع فقدان المعلومات وهو أمر بالغ الأهمية للتشغيل السلس للشركة.
  2. وضع إجراءات معقولة ومناسبة للحفاظ على سرية وسلامة وتوافر موارد تكنولوجيا المعلومات الخاصة بـ Cybervergent.
  3. وصف آليات فعالة لتحديد ومنع أي اختراق لأمن المعلومات، وكذلك الحد من إساءة استخدام بيانات Cybervergent وتطبيقاتها وشبكاتها وأنظمة الكمبيوتر الخاصة بها.
  4. تحديد تدابير قوية تحمي سمعة Cybervergent، وتسهل الامتثال للالتزامات القانونية والأخلاقية فيما يتعلق باتصال شبكاتها وأنظمة الكمبيوتر بالشبكات الخارجية.
  5. تقديم إرشادات وإجراءات واضحة ومكتوبة لإدارة ومراقبة المعلومات التي تعتبر معلومات حساسة، بغض النظر عن شكلها - إلكتروني أو ورقي أو غير ذلك.
  6. حافظ على سلامة وصحة بيانات Cybervergent، مع التأكد من أنها تظل جديرة بالثقة ودقيقة.
  7. ضمان أمن وحماية المعلومات الحساسة في عهدة Cybervergent، سواء تم تخزينها إلكترونيًا أو على الورق أو بتنسيقات أخرى.

نطاق

تنطبق سياسة أمن المعلومات والضوابط والعمليات والإجراءات الداعمة لها على جميع المعلومات المستخدمة في Cybervergent، بجميع التنسيقات. يتضمن ذلك المعلومات التي تمت معالجتها من قبل المنظمات الأخرى في تعاملاتها مع Cybervergent.

تنطبق سياسة أمن المعلومات والضوابط والعمليات والإجراءات الداعمة لها على جميع الأفراد الذين لديهم حق الوصول إلى معلومات وتقنيات Cybervergent، بما في ذلك الأطراف الخارجية التي تقدم خدمات معالجة المعلومات إلى Cybervergent.

يتم تضمين نطاق مفصل، بما في ذلك تفصيل المستخدمين وأصول المعلومات وأنظمة معالجة المعلومات، في وثائق نظام إدارة أمن المعلومات الداعمة (ISMS).

بيان السياسة

تتمثل سياسة Cybervergent في ضمان حماية المعلومات من فقدان:

- السرية - ستكون المعلومات متاحة فقط للأفراد المصرح لهم.

- النزاهة - سيتم الحفاظ على دقة واكتمال المعلومات.

- التوفر - ستكون المعلومات متاحة للمستخدمين المعتمدين والعمليات عند الحاجة.

ستقوم Cybervergent بتنفيذ نظام إدارة أمن المعلومات على أساس معيار ISO 27001 الدولي لأمن المعلومات. ستشير Cybervergent أيضًا إلى معايير أخرى حسب الحاجة، مع مراعاة الأساليب المعتمدة من قبل أصحاب المصلحة، بما في ذلك العملاء والشركاء.

يتضمن النهج القائم على المخاطر لتطبيق الضوابط ما يلي:

1. سياسات أمن المعلومات

- سيتم تحديد مجموعة من الضوابط والعمليات والإجراءات ذات المستوى الأدنى لأمن المعلومات، لدعم سياسة أمن المعلومات عالية المستوى وأهدافها المعلنة. ستتم الموافقة على هذه المجموعة من الوثائق الداعمة من قبل إدارة Cybervergent ونشرها وإرسالها إلى مستخدمي Cybervergent والأطراف الخارجية ذات الصلة.

2. تنظيم أمن المعلومات

- ستحدد Cybervergent وتنفذ ترتيبات الحوكمة المناسبة لإدارة أمن المعلومات. وسيشمل ذلك تحديد المسؤوليات الأمنية وتخصيصها لبدء ومراقبة تنفيذ وتشغيل أمن المعلومات داخل Cybervergent.

سيعين Cybervergent على الأقل:

- لجنة توجيهية لأمن المعلومات للتأثير والإشراف وتعزيز الإدارة الفعالة لمعلومات Cybervergent.

- مسؤول تنفيذي لرئاسة اللجنة التوجيهية لأمن المعلومات وتحمل المسؤولية عن مخاطر المعلومات.

- أخصائي أمن المعلومات لقيادة وظيفة أمن المعلومات.

- يتحمل مالكو أصول المعلومات (IAOs) المسؤولية المحلية عن إدارة المعلومات؛ ومديرو أصول المعلومات (IAMs) المسؤولون عن إدارة المعلومات اليومية.

3. أمن الموارد البشرية

- سيتم إرسال سياسات الأمان الخاصة بـ Cybervergent وتوقعات الاستخدام المقبول إلى جميع المستخدمين للتأكد من فهمهم لمسؤولياتهم. سيتم توفير التعليم والتدريب في مجال أمن المعلومات لجميع الموظفين، وسيتم معالجة السلوك السيئ وغير المناسب.

حيثما كان ذلك عمليًا، سيتم تضمين مسؤوليات الأمان في أوصاف الأدوار ومواصفات الشخص وخطط التطوير الشخصي.

4. إدارة الأصول

- سيتم توثيق جميع الأصول (المعلومات والبرامج ومعدات معالجة المعلومات الإلكترونية ومرافق الخدمة والأشخاص) وحسابها. سيتم تحديد المالكين لجميع الأصول، وسيكونون مسؤولين عن صيانة وحماية أصولهم.

سيتم تصنيف جميع أصول المعلومات وفقًا لمتطلباتها القانونية وقيمتها التجارية وأهميتها وحساسيتها، وسيشير التصنيف إلى متطلبات المناولة المناسبة. سيكون لجميع أصول المعلومات جدول زمني محدد للاحتفاظ والتخلص منها.

5. التحكم في الوصول

- سيتم التحكم في الوصول إلى الأنظمة والمعلومات ومراجعتها، وفقًا لمتطلبات العمل. سيتم منح الوصول، أو اتخاذ الترتيبات للمستخدمين وفقًا لدورهم وتصنيف المعلومات، فقط إلى المستوى الذي سيسمح لهم بتنفيذ واجباتهم.

سيتم الحفاظ على إجراءات تسجيل المستخدم وإلغاء التسجيل الرسمية للوصول إلى جميع أنظمة وخدمات المعلومات. سيشمل ذلك طرق المصادقة الإلزامية بناءً على حساسية المعلومات التي يتم الوصول إليها وسيشمل النظر في عوامل متعددة وإعدادات الجهاز حسب الاقتضاء.

سيتم تنفيذ ضوابط محددة للمستخدمين الذين يتمتعون بامتيازات عالية، للحد من مخاطر الإهمال أو سوء الاستخدام المتعمد للنظام. سيتم تنفيذ الفصل بين الواجبات حيثما كان ذلك عمليًا.

6. التشفير

- ستوفر Cybervergent إرشادات وأدوات لضمان الاستخدام السليم والفعال للتشفير لحماية سرية وسلامة وأصالة المعلومات والأنظمة.

7. الأمن المادي والبيئي

- سيتم وضع مرافق معالجة المعلومات في مناطق آمنة، محمية فعليًا من الوصول غير المصرح به والأضرار والتدخل من خلال محيط أمني محدد. سيتم وضع ضوابط أمنية داخلية وخارجية متعددة الطبقات لردع أو منع الوصول غير المصرح به وحماية الأصول، خاصة تلك الحرجة أو الحساسة. يتضمن ذلك المكان الذي تستخدم فيه Cybervergent خدمات الطرف الثالث لمعالجة المعلومات.

8. أمن العمليات

- سيضمن Cybervergent العمليات الصحيحة والآمنة لأنظمة معالجة المعلومات. وسيشمل ذلك إجراءات التشغيل الموثقة؛ واستخدام التغيير الرسمي وإدارة القدرات؛ والضوابط ضد البرامج الضارة؛ والاستخدام المحدد للتسجيل؛ وإدارة الثغرات الأمنية.

9. أمن الاتصالات

- ستحافظ Cybervergent على ضوابط أمان الشبكة لضمان حماية المعلومات داخل شبكاتها وتوفير الأدوات والإرشادات لضمان النقل الآمن للمعلومات داخل شبكاتها ومع الكيانات الخارجية، بما يتماشى مع متطلبات التصنيف والمعالجة المرتبطة بتلك المعلومات.

10. اكتساب النظام وتطويره وصيانته

- سيتم تحديد متطلبات أمن المعلومات أثناء تطوير متطلبات الأعمال لأنظمة المعلومات الجديدة أو التغييرات في أنظمة المعلومات الحالية.

سيتم تنفيذ الضوابط للتخفيف من أي مخاطر تم تحديدها عند الاقتضاء.

سيخضع تطوير الأنظمة للتحكم في التغيير وفصل بيئات الاختبار والتطوير والتشغيل.

11. علاقات الموردين

- سيتم النظر في متطلبات أمن معلومات Cybervergent عند إقامة علاقات مع الموردين، لضمان حماية الأصول التي يمكن للموردين الوصول إليها.

سيتم مراقبة نشاط المورد وتدقيقه وفقًا لقيمة الأصول والمخاطر المرتبطة بها.

12. إدارة حوادث أمن المعلومات

- ستتوفر إرشادات حول ما يشكل حادثة أمن المعلومات وكيفية الإبلاغ عنها. يجب الإبلاغ عن الانتهاكات الفعلية أو المشتبه بها لأمن المعلومات وسيتم التحقيق فيها. سيتم اتخاذ الإجراءات التصحيحية المناسبة، وسيتم دمج أي تعلم في السيطرة.

13. جوانب أمن المعلومات لإدارة استمرارية الأعمال

- سيكون لدى Cybervergent ترتيبات لحماية العمليات التجارية الهامة من آثار الإخفاقات الرئيسية لأنظمة المعلومات أو الكوارث ولضمان استردادها في الوقت المناسب بما يتماشى مع احتياجات الأعمال الموثقة.

سيشمل ذلك إجراءات النسخ الاحتياطي المناسبة والمرونة المضمنة.

يجب الحفاظ على خطط استمرارية الأعمال واختبارها لدعم هذه السياسة. سيتم إجراء تحليل تأثير الأعمال لعواقب الكوارث والفشل الأمني ونقص توافر الخدمة.

الامتثال

- يجب أن يتوافق تصميم وتشغيل واستخدام وإدارة نظم المعلومات مع جميع متطلبات الأمن القانونية والتنظيمية والتعاقدية.

ويشمل ذلك حاليًا تشريعات حماية البيانات وإرشادات الوقاية الحكومية والالتزامات التعاقدية لشركة Cybervergent.

ستستخدم Cybervergent مجموعة من عمليات التدقيق الداخلية والخارجية لإثبات الامتثال للمعايير المختارة وأفضل الممارسات، بما في ذلك السياسات والإجراءات الداخلية.

وسيشمل ذلك اختبارات الاختراق وتحليل الفجوات مقابل المعايير الموثقة والفحوصات الداخلية على امتثال الموظفين والعوائد من مالكي أصول المعلومات.

مراجعة

سيتم إجراء مراجعة لهذه السياسة من قبل فريق Cybervergent لأمن المعلومات سنويًا أو أكثر حسب الحاجة وستتم الموافقة عليها من قبل إدارة Cybervergent.

تم التحديث في أبريل 2024