سياسة تصنيف البيانات والتعامل معها

Control 3

الإجراءات الوقائية المعنية: 3.1 3.2 3.3 3.7 3.8 3.13

1. الغرض

وضع إطار عمل لتصنيف أصول بيانات [ORGANIZATION] وتحديد متطلبات التعامل لكل مستوى تصنيف لضمان الحماية المناسبة طوال دورة حياة البيانات.

2. النطاق

تنطبق هذه السياسة على جميع البيانات التي يتم إنشاؤها أو جمعها أو تخزينها أو معالجتها أو نقلها أو التخلص منها من قبل [ORGANIZATION]، بغض النظر عن التنسيق (إلكتروني أو ورقي أو شفهي) أو الموقع (داخلي أو سحابي أو أنظمة أطراف ثالثة).

3. السياسة

3.1 مستويات تصنيف البيانات

3.1.1

يجب على [ORGANIZATION] تصنيف جميع البيانات ضمن الفئات التالية: عامة (بيانات مخصصة للنشر العام)، وداخلية (بيانات للاستخدام الداخلي العام)، وسرية (بيانات تتطلب الحماية بسبب الحساسية التجارية)، ومقيدة (بيانات تتطلب أعلى مستوى من الحماية بسبب المتطلبات التنظيمية أو القانونية أو التجارية الحيوية).

3.1.2

يجب تصنيف البيانات بناءً على التأثير المحتمل للإفصاح غير المصرح به أو التعديل أو الفقدان، مع مراعاة المتطلبات القانونية والتنظيمية والتعاقدية والتجارية.

3.1.3

يتحمل مالكو البيانات مسؤولية تصنيف البيانات ضمن نطاقهم ويجب عليهم مراجعة التصنيفات على الأقل [CUSTOMIZE: annually/bi-annually].

3.1.4

عند دمج بيانات من مستويات تصنيف متعددة، يجب تصنيف مجموعة البيانات المدمجة بأعلى مستوى قابل للتطبيق.

3.2 متطلبات التعامل مع البيانات

3.2.1

البيانات العامة: لا توجد متطلبات تعامل خاصة. يمكن مشاركتها خارجياً بحرية.

3.2.2

البيانات الداخلية: لا يجوز مشاركتها خارجياً دون تصريح. تُخزن على أنظمة مُدارة من [ORGANIZATION]. تتطلب ضوابط وصول أساسية.

3.2.3

البيانات السرية: يقتصر الوصول على الموظفين المصرح لهم الذين لديهم حاجة عمل. مشفرة أثناء النقل والتخزين. يتم تسجيل الوصول ومراقبته. تتطلب المشاركة موافقة مالك البيانات.

3.2.4

البيانات المقيدة: يقتصر الوصول على الأفراد المصرح لهم تحديداً. يُشترط تشفير قوي أثناء النقل والتخزين. يتم تسجيل جميع عمليات الوصول ومراقبتها ومراجعتها دورياً. تُشترط المصادقة متعددة العوامل. تتطلب المشاركة موافقة [CUSTOMIZE: CISO/executive] مع مبرر موثق.

3.3 وسم البيانات

3.3.1

يجب وسم أصول البيانات المصنفة كسرية أو مقيدة بوضوح بمستوى تصنيفها في رؤوس المستندات أو تذييلاتها أو بياناتها الوصفية.

3.3.2

يجب أن تتضمن الملفات الإلكترونية بيانات وصفية للتصنيف حيثما كان ذلك ممكناً تقنياً.

3.3.3

يجب أن يتضمن البريد الإلكتروني الذي يحتوي على بيانات سرية أو مقيدة مستوى التصنيف كبادئة في سطر الموضوع (مثال: [CONFIDENTIAL]).

3.4 توثيق تدفق البيانات

3.4.1

يجب على [ORGANIZATION] الحفاظ على توثيق لتدفقات البيانات السرية والمقيدة، بما في ذلك: مصادر البيانات وأنظمة المعالجة ومواقع التخزين ومسارات النقل والمستلمين المصرح لهم.

3.4.2

يجب مراجعة وتحديث توثيق تدفق البيانات على الأقل [CUSTOMIZE: annually/quarterly] أو عند حدوث تغييرات جوهرية.

3.4.3

يجب أن يتضمن توثيق تدفقات البيانات الحساسة تحديد ضوابط حماية البيانات في كل مرحلة.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية