إطار سياسة المخاطر السيبرانية - التزامات الموظفين والمتعاقدين

GOV-6 سياسة

ضابط الحوكمة: سياسات المخاطر السيبرانية

1. الغرض

تحديد الأدوار والمسؤوليات والقواعد السلوكية والقيود وعواقب عدم الامتثال المطبقة على جميع الموظفين والمتعاقدين فيما يتعلق بإدارة المخاطر السيبرانية، مما يضمن فهم الجميع لالتزاماتهم.

2. النطاق

تنطبق هذه السياسة على جميع الموظفين (الدائمين والمؤقتين وبدوام جزئي) والمتعاقدين والاستشاريين والموظفين المؤقتين وأي أفراد يصلون إلى أنظمة المعلومات أو البيانات في [ORGANIZATION].

3. محتوى سياسة

3.1 الأدوار والمسؤوليات

3.1.1

جميع الموظفين: الامتثال لجميع سياسات ومعايير المخاطر السيبرانية؛ إكمال التدريب المطلوب على التوعية الأمنية؛ الإبلاغ عن الحوادث الأمنية والنشاط المشبوه فوراً؛ حماية بيانات اعتماد الوصول وعدم مشاركتها.

3.1.2

مدراء الأفراد: التأكد من إكمال التقارير المباشرة للتدريب الأمني المطلوب؛ فرض الامتثال بالسياسة ضمن فرقهم؛ الإبلاغ عن مخاوف عدم الامتثال؛ دعم التحقيقات الأمنية.

3.1.3

مالكو أنظمة تقنية المعلومات: التأكد من أن الأنظمة تحت ملكيتهم تلبي متطلبات الأمان؛ التعاون مع فرق الأمان في التقييمات والمعالجة؛ الحفاظ على وثائق النظام الحالية.

3.1.4

المتعاقدون ومزودو الأطراف الثالثة: الامتثال لجميع سياسات الأمان المعمول بها على النحو المحدد في اتفاقياتهم التعاقدية؛ إكمال التدريب الأمني المطلوب؛ الإبلاغ عن الحوادث فوراً إلى جهة الاتصال في [ORGANIZATION].

3.1.5

فريق أمن المعلومات: تطوير وصيانة السياسات والمعايير؛ تقديم إرشادات حول التنفيذ؛ مراقبة الامتثال؛ التحقيق في الحوادث والانتهاكات؛ الإبلاغ عن حالة المخاطر.

3.2 القواعد السلوكية والمتطلبات

3.2.1

يجب على جميع الموظفين استخدام أنظمة المعلومات في [ORGANIZATION] فقط للأغراض المصرح بها وفقاً لسياسة الاستخدام المقبول.

3.2.2

يجب على جميع الموظفين حماية بيانات [ORGANIZATION] وفقاً لتصنيفها وعدم مشاركة البيانات المصنفة مع أفراد غير مصرح لهم.

3.2.3

يجب على جميع الموظفين استخدام كلمات مرور قوية وفريدة وتفعيل المصادقة متعددة العوامل (MFA) عند توفرها.

3.2.4

يجب على جميع الموظفين إكمال التدريب المطلوب على التوعية الأمنية خلال [CUSTOMIZE: 30 days] من التوظيف وسنوياً بعد ذلك.

3.2.5

يجب على جميع الموظفين الإبلاغ عن الحوادث الأمنية المشتبه بها ورسائل البريد الإلكتروني التصيدية والنشاط المشبوه فوراً إلى [CUSTOMIZE: security@org.com / helpdesk / security hotline].

3.2.6

يجب على جميع الموظفين قفل محطات العمل عند ترك مكاتبهم وتأمين المستندات المادية التي تحتوي على معلومات حساسة.

3.2.7

يجب على جميع الموظفين الذين يعملون عن بُعد التأكد من أن شبكاتهم المنزلية مؤمنة بشكل مناسب واستخدام VPN عند الوصول إلى موارد [ORGANIZATION].

3.3 القيود والمحظورات

3.3.1

يحظر على الموظفين تثبيت أو تنفيذ أو نشر برمجيات أو أجهزة أو خدمات غير مصرح بها على أنظمة أو شبكات [ORGANIZATION] بدون موافقة مسبقة من [CUSTOMIZE: IT Security / IT Operations].

3.3.2

يحظر على الموظفين تعطيل أو تجاوز أو التدخل في ضوابط الأمان أو أدوات المراقبة أو تسجيل السجلات أو الحلول الوقائية لنقاط النهاية.

3.3.3

يحظر على الموظفين مشاركة بيانات اعتمادهم (أسماء المستخدمين أو كلمات المرور أو الرموز أو الشهادات) مع أي شخص آخر بما في ذلك زملاء العمل وموظفي تقنية المعلومات والمتعاقدين.

3.3.4

يحظر على الموظفين الوصول إلى الأنظمة أو البيانات أو الحسابات التي لم يتم تصريح وصولهم إليها حتى لو كان الوصول ممكناً تقنياً.

3.3.5

يحظر على الموظفين توصيل وسائط قابلة للإزالة غير مصرح بها (USB، أقراص صلبة خارجية) بأصول [ORGANIZATION] بدون موافقة مسبقة.

3.3.6

يحظر على الموظفين نقل بيانات [ORGANIZATION] المصنفة إلى حسابات سحابية شخصية أو عناوين بريد إلكتروني أو أجهزة غير مُدارة.

3.3.7

يحظر على الموظفين تمثيل [ORGANIZATION] في أي اتصالات خارجية تتعلق بالحوادث الأمنية دون تفويض صريح من [CUSTOMIZE: CISO / Communications].

3.4 عواقب عدم الامتثال

3.4.1

تأخذ [ORGANIZATION] الامتثال بسياسة المخاطر السيبرانية على محمل الجد. قد يؤدي عدم الامتثال إلى إجراءات تأديبية تصاعدية تتناسب مع خطورة الانتهاك:

3.4.2

تحذير شفهي وتدريب علاجي إلزامي (المخالفات البسيطة لأول مرة)

3.4.3

تحذير كتابي مع توثيق في ملف الموظفين (المخالفات المتكررة أو المخالفات البسيطة المتعددة)

3.4.4

تقييد أو إلغاء الوصول مؤقتاً مع إعادة التدريب المطلوب (مخالفات السياسة الهامة)

3.4.5

تعليق مع التحقيق (الانتهاكات الجسيمة أو الإهمال المتعمد الذي يعرض المؤسسة للخطر)

3.4.6

إنهاء العمل (المخالفات الجسيمة بما في ذلك تعطيل الأمان المتعمد أو سرقة البيانات أو الأنشطة الخبيثة)

3.4.7

الإحالة القانونية (الأنشطة الإجرامية بما في ذلك الاحتيال والسرقة والتدمير المتعمد)

3.4.8

إنهاء العقد (المتعاقدون الذين ينتهكون الالتزامات الأمنية)

3.4.9

تتم معالجة جميع قرارات الإجراءات التأديبية من خلال [CUSTOMIZE: HR] بالتشاور مع [CUSTOMIZE: Legal] وفريق أمن المعلومات.

3.4.10

تُحفظ سجلات عدم الامتثال لمدة [CUSTOMIZE: duration] في [CUSTOMIZE: HR/GRC system] وقد تؤثر على مراجعات الأداء وقرارات الوصول.

3.5 الإقرار بالسياسة

3.5.1

يجب على جميع الموظفين الإقرار بهذه السياسة عند التوظيف الأولي وسنوياً على الأقل بعد ذلك.

3.5.2

يتم الحفاظ على سجلات الإقرار من قبل [CUSTOMIZE: HR / Security Team] وتكون متاحة للتدقيق.

4. الامتثال

4.1

الامتثال لهذا سياسة إلزامي لجميع الموظفين والوظائف ضمن نطاقه. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية ومراجعة الإدارة وإشراف خط الدفاع الثاني.

4.2

يجب توثيق الاستثناءات من هذا سياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/لجنة المخاطر التنفيذية]، ومراجعتها سنوياً على الأقل.

5. المراجعة والتنقيح

5.1

يُراجع هذا سياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك المستند] ويُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي أو مستوى تحمل المخاطر.

5.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد المستند

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]
تاريخ السريان: [CUSTOMIZE]
آخر مراجعة: [CUSTOMIZE]
المراجعة القادمة: [CUSTOMIZE]
التصنيف: داخلي
العودة إلى GOV-6 دليل الأدلة