سياسة اتصالات الحوادث

Control 17

الإجراءات الوقائية المعنية: 17.1 17.2 17.7

1. الغرض

وضع متطلبات للاتصالات الداخلية والخارجية أثناء وبعد حوادث الأمن السيبراني لضمان رسائل دقيقة وفي الوقت المناسب ومنسقة.

2. النطاق

تنطبق هذه السياسة على جميع الاتصالات المتعلقة بحوادث الأمن السيبراني في [ORGANIZATION]، بما في ذلك الإخطارات الداخلية والإفصاحات الخارجية والإخطارات التنظيمية واتصالات وسائل الإعلام.

3. السياسة

3.1 الاتصالات الداخلية

3.1.1

يجب أن تُنسق اتصالات الحوادث الداخلية من قبل قائد الحادث وقائد الاتصالات كما هو محدد في سياسة الاستجابة للحوادث.

3.1.2

يجب أن يتبع إخطار أصحاب المصلحة الداخليين مسار التصعيد التالي: حوادث P1 (الرئيس التنفيذي والفريق التنفيذي ومجلس الإدارة حسب الاقتضاء، جميعهم خلال [CUSTOMIZE: 1 hour] من التأكيد)، حوادث P2 (CISO وCIO ورؤساء الأقسام المتأثرة خلال [CUSTOMIZE: 4 hours])، حوادث P3/P4 (إدارة الأمن ضمن سير العمل القياسي).

3.1.3

يجب أن تستخدم جميع الاتصالات الداخلية قوالب معتمدة مسبقاً حيثما كانت متاحة ويجب أن تكون واقعية دون تخمين.

3.1.4

يجب أن تستخدم اتصالات الحوادث قنوات آمنة (بريد إلكتروني مشفر ورسائل آمنة) ويجب ألا تتضمن مؤشرات اختراق تقنية قد تساعد المهاجم.

3.2 الاتصالات الخارجية

3.2.1

يجب اعتماد جميع الاتصالات الخارجية المتعلقة بالحوادث الأمنية من قبل [CUSTOMIZE: Legal/CISO/CEO] قبل النشر.

3.2.2

لا يجوز إلا للمتحدثين الرسميين المعينين التواصل مع وسائل الإعلام بشأن الحوادث الأمنية. يجب توجيه جميع استفسارات وسائل الإعلام إلى [CUSTOMIZE: Communications/PR team].

3.2.3

يجب أن تكون إخطارات العملاء واضحة وقابلة للتنفيذ وتتضمن: وصف الحادث والبيانات أو الخدمات المتأثرة والخطوات التي تتخذها [ORGANIZATION] والخطوات التي يجب أن يتخذها العميل ومعلومات الاتصال للاستفسارات.

3.2.4

يجب تنسيق إخطار جهات إنفاذ القانون من قبل [CUSTOMIZE: Legal/CISO] عندما ينطوي الحادث على نشاط إجرامي.

3.3 الإخطارات التنظيمية

3.3.1

يجب على [ORGANIZATION] الحفاظ على سجل بجميع متطلبات الإخطار بالخرق المعمول بها حسب الاختصاص القضائي واللائحة.

3.3.2

يجب تقديم الإخطارات التنظيمية ضمن الأطر الزمنية المطلوبة ويجب أن تتضمن جميع المعلومات المطلوبة بموجب اللائحة المعمول بها.

3.3.3

يجب الاحتفاظ بنسخ من جميع الإخطارات التنظيمية من قبل [CUSTOMIZE: Legal Department] لمدة لا تقل عن [CUSTOMIZE: 7 years].

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية