سياسة الوسائط القابلة للإزالة

Control 10

الإجراءات الوقائية المعنية: 10.3 10.4

1. الغرض

وضع متطلبات لاستخدام والتحكم في وسائط التخزين القابلة للإزالة لمنع فقدان البيانات وإدخال البرمجيات الخبيثة في [ORGANIZATION].

2. النطاق

تنطبق هذه السياسة على جميع وسائط التخزين القابلة للإزالة بما في ذلك محركات USB والأقراص الصلبة الخارجية وبطاقات SD/microSD والوسائط الضوئية (CD/DVD) وأي أجهزة تخزين محمولة أخرى مستخدمة مع أصول المؤسسة الخاصة بـ [ORGANIZATION].

3. السياسة

3.1 استخدام الوسائط القابلة للإزالة

3.1.1

يكون استخدام وسائط التخزين القابلة للإزالة على أصول المؤسسة [CUSTOMIZE: prohibited except with documented approval / restricted to organization-provided encrypted devices / allowed with mandatory encryption].

3.1.2

إذا تم التصريح باستخدام الوسائط القابلة للإزالة، فلا يجوز استخدام سوى الأجهزة المشفرة المقدمة أو المعتمدة من [ORGANIZATION].

3.1.3

يُحظر على المستخدمين تخزين البيانات المقيدة على الوسائط القابلة للإزالة دون موافقة خطية صريحة من [CUSTOMIZE: CISO/Data Owner] واستخدام أجهزة مشفرة معتمدة.

3.1.4

لا يجوز توصيل الوسائط القابلة للإزالة المعثور عليها أو غير المعروفة بأي أصل من أصول المؤسسة. يجب تسليم هذه الأجهزة إلى [CUSTOMIZE: IT Security/IT Help Desk].

3.2 الضوابط التقنية

3.2.1

يجب تكوين أصول المؤسسة لتعطيل التشغيل التلقائي والتشغيل عند الإدراج لجميع الوسائط القابلة للإزالة.

3.2.2

يجب أن تقوم حلول حماية نقاط النهاية بفحص الوسائط القابلة للإزالة تلقائياً عند التوصيل.

3.2.3

للبيئات التي تتطلب تحكماً صارماً: يجب إنفاذ حظر منافذ USB عبر أدوات إدارة نقاط النهاية، مع منح الاستثناءات فقط من خلال [CUSTOMIZE: IT Security approval process].

3.2.4

يجب تسجيل ومراقبة عمليات نقل البيانات إلى الوسائط القابلة للإزالة بواسطة حلول DLP حيثما تم نشرها.

3.3 التخلص

3.3.1

يجب مسح الوسائط القابلة للإزالة التي تحتوي على بيانات [ORGANIZATION] بشكل آمن أو تدميرها مادياً عندما لا تعود مطلوبة، وفقاً لسياسة الاحتفاظ بالبيانات والتخلص منها.

3.3.2

يجب توثيق التخلص من الوسائط القابلة للإزالة التي تحتوي على بيانات سرية أو مقيدة.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية