سياسة منع فقدان البيانات

Control 3

الإجراءات الوقائية المعنية: 3.12 3.13 3.14

1. الغرض

وضع متطلبات لمنع التسريب أو الإفصاح أو الإتلاف غير المصرح به للبيانات الحساسة الخاصة بـ [ORGANIZATION].

2. النطاق

تنطبق هذه السياسة على جميع البيانات السرية والمقيدة التي تتم معالجتها أو تخزينها أو نقلها من قبل [ORGANIZATION]، عبر جميع نقاط النهاية والشبكات والبيئات السحابية.

3. السياسة

3.1 ضوابط منع فقدان البيانات

3.1.1

يجب على [ORGANIZATION] نشر ضوابط منع فقدان البيانات (DLP) لاكتشاف ومنع النقل غير المصرح به للبيانات الحساسة عبر حدود الشبكة وأجهزة نقاط النهاية والخدمات السحابية.

3.1.2

يجب تكوين سياسات DLP لمراقبة و/أو حظر: مرفقات البريد الإلكتروني التي تحتوي على أنماط بيانات حساسة، والتحميل إلى خدمات التخزين السحابي غير المصرح بها، وطباعة البيانات المقيدة، ونسخ البيانات الحساسة إلى وسائط قابلة للإزالة، ولقطات الشاشة للبيانات المقيدة حيثما كان ذلك ممكناً تقنياً.

3.1.3

يجب ضبط قواعد DLP بانتظام لتقليل النتائج الإيجابية الكاذبة مع الحفاظ على فعالية الكشف، مع إجراء المراجعة على الأقل [CUSTOMIZE: quarterly/monthly].

3.2 التحكم في الوصول للبيانات الحساسة

3.2.1

يجب تقييد الوصول إلى البيانات السرية والمقيدة على المستخدمين المصرح لهم الذين لديهم حاجة عمل موثقة، وفقاً لمبدأ الحد الأدنى من الصلاحيات.

3.2.2

يتطلب الوصول عن بُعد إلى البيانات المقيدة مصادقة متعددة العوامل ويقتصر على الأجهزة المُدارة من [ORGANIZATION].

3.2.3

يجب تسجيل الوصول إلى البيانات ومراجعة سجلات الوصول [CUSTOMIZE: weekly/monthly] بحثاً عن أنماط غير طبيعية.

3.3 الاستجابة لحوادث فقدان البيانات

3.3.1

يجب فرز جميع تنبيهات DLP خلال [CUSTOMIZE: 4/8/24] ساعات من الاكتشاف.

3.3.2

يجب تصعيد حوادث فقدان البيانات المؤكدة فوراً إلى [CUSTOMIZE: CISO/Incident Response Team] والتعامل معها وفقاً لسياسة الاستجابة للحوادث.

3.3.3

يجب أن يتوافق إشعار خرق البيانات مع جميع القوانين واللوائح المعمول بها ضمن الأطر الزمنية المطلوبة، بالتنسيق مع [CUSTOMIZE: Legal/Privacy Officer].

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية