سياسة الأمن المادي

Cross-cutting

1. الغرض

وضع متطلبات للحماية المادية لمرافق ومعدات وأصول المعلومات الخاصة بـ [ORGANIZATION] من الوصول المادي غير المصرح به والأضرار والتداخل.

2. النطاق

تنطبق هذه السياسة على جميع المرافق المملوكة أو المؤجرة أو المُدارة من [ORGANIZATION] ومراكز البيانات وغرف الخوادم وأي موقع تُوجد فيه أنظمة المعلومات أو السجلات المادية الخاصة بـ [ORGANIZATION].

3. السياسة

3.1 التحكم في الوصول إلى المرافق

3.1.1

يجب التحكم في الوصول المادي إلى مرافق [ORGANIZATION] من خلال: أنظمة التحكم في الوصول بالبطاقات/بطاقات المفاتيح عند جميع نقاط الدخول وإجراءات تسجيل دخول/خروج الزوار مع متطلبات المرافقة للمناطق غير العامة ومراقبة كاميرات CCTV عند المداخل والمخارج والمناطق الحساسة مع الاحتفاظ بالتسجيلات لمدة لا تقل عن [CUSTOMIZE: 30/90] يوماً.

3.1.2

يجب أن تحتوي المناطق الحساسة (مراكز البيانات وغرف الخوادم وخزائن الشبكة والمكاتب التنفيذية) على قيود وصول إضافية مع تقييد الوصول على الموظفين المصرح لهم تحديداً.

3.1.3

يجب إلغاء تفعيل شارات/بطاقات الوصول خلال [CUSTOMIZE: 24 hours] من انفصال الموظف وجمعها أثناء عملية إنهاء الخدمة.

3.1.4

يجب مراجعة سجلات الوصول المادي على الأقل [CUSTOMIZE: monthly/quarterly] لتحديد الحالات الشاذة.

3.2 أمن مراكز البيانات وغرف الخوادم

3.2.1

يجب حماية مراكز البيانات وغرف الخوادم بـ: التحكم في الوصول المادي متعدد العوامل (بطاقة + رمز PIN أو بصمة بيومترية) وضوابط بيئية (إخماد الحرائق والتدفئة والتهوية وتكييف الهواء واكتشاف المياه) ومصدر طاقة غير منقطع (UPS) وتوليد طاقة احتياطية وإدارة الكابلات لمنع الفصل العرضي وأقفال حوامل المعدات للخوادم التي تحتوي على بيانات سرية أو مقيدة.

3.2.2

يجب الاحتفاظ بسجل زوار لجميع عمليات الوصول غير المنتظمة إلى مراكز البيانات وغرف الخوادم.

3.2.3

لا يُسمح بالطعام أو الشراب أو التدخين في مراكز البيانات أو غرف الخوادم.

3.3 أمن المعدات

3.3.1

يجب تأمين أجهزة الكمبيوتر المحمولة والأجهزة المحمولة مادياً عند تركها دون مراقبة (أقفال الكابلات أو الأدراج/الخزائن المقفلة أو المكاتب المقفلة).

3.3.2

يجب أن يتبع التخلص من المعدات سياسة الاحتفاظ بالبيانات والتخلص منها، مع تطهير أو تدمير وسائط التخزين قبل خروج المعدات من سيطرة [ORGANIZATION].

3.3.3

يجب أن تكون إزالة المعدات من مباني [ORGANIZATION] (للإصلاح أو التخلص أو إعادة التخصيص) مصرحة من [CUSTOMIZE: IT Asset Management/Manager] ومسجلة.

3.4 المكتب والشاشة النظيفة

3.4.1

لا يجوز ترك المستندات الحساسة دون مراقبة على المكاتب أو في المناطق المشتركة. يجب مراعاة سياسة المكتب النظيف في نهاية كل يوم عمل.

3.4.2

يجب قفل شاشات محطات العمل عندما يغادر المستخدم محطة العمل، مع تكوين قفل الشاشة التلقائي بعد [CUSTOMIZE: 5/10] دقائق من عدم النشاط.

3.4.3

يجب مسح ألواح الكتابة وشاشات العرض المشتركة في قاعات الاجتماعات بعد المناقشات التي تتضمن معلومات حساسة.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة