NeuronUP

NeuronUP. منصة إلكترونية لإعادة التأهيل الإدراكي

neuronup illustration background

سياسة أمن المعلومات

1. المقدمة

تعتمد NeuronUP على أنظمة تكنولوجيا المعلومات والاتصالات (TIC) لتحقيق أهدافها. ويجب إدارة هذه الأنظمة بعناية، مع اتخاذ الإجراءات المناسبة لحمايتها من الأضرار العارضة أو المتعمدة التي قد تؤثر في توفر المعلومات وسلامتها أو سريتها، وكذلك على الخدمات المُقدَّمة.

يجب على موظفي NeuronUP التأكد من أن الأمن جزء لا يتجزأ من كل مرحلة من مراحل دورة حياة النظام، بدءًا من تصوره وحتى سحبه من الخدمة، بما في ذلك قرارات التطوير أو الشراء والأنشطة التشغيلية.

يجب على أقسام NeuronUP، وفقًا للمهام الموكلة إليها، أن تكون مستعدة للوقاية من الحوادث واكتشافها والتعامل معها والتعافي منها، بما يتوافق مع القوانين المعمول بها.

ولضمان الامتثال لهذه السياسة، يتولى لجنة أمن المعلومات تطوير الأنظمة وتقييمها بانتظام، ويتأكد من أن جميع موظفي NeuronUP على دراية بالتزاماتهم وملتزمون بها فيما يخص أمن المعلومات.

2. نطاق التطبيق

تُطبق هذه السياسة على جميع أنظمة تكنولوجيا المعلومات والاتصالات الخاصة بـ NeuronUP وعلى جميع أعضاء المؤسسة، دون استثناء.

3. هدف هذه السياسة

تهدف هذه السياسة إلى وضع إطار للعمل يضمن أمن المعلومات واستمرار تقديم الخدمات.

تُنفذ هذه السياسة من خلال الوثائق واللوائح الأمنية المتاحة لجميع أعضاء المؤسسة، ممن يحتاجون إلى معرفتها، لا سيما أولئك الذين يستخدمون الأنظمة أو يديرونها أو يقومون بتشغيلها، وذلك عبر إجراءات وعمليات وتعليمات فنية وغيرها.

تتوافر اللوائح الأمنية لجميع موظفي المؤسسة ضمن مساحة الوثائق العامة على Google Workspace.

4. الإطار التنظيمي

تلتزم NeuronUP بالامتثال لجميع القوانين واللوائح والتشريعات المعمول بها في مجال أمن المعلومات.

5. تنظيم الأمن

تتحمل إدارة الشركة مسؤولية تشجيع ودعم وضع التدابير التقنية والتنظيمية والرقابية اللازمة لضمان مستويات الجودة والأمن المطلوبة لعمليات الشركة، ملتزمةً بالتحسين المستمر لنظام إدارة أمن المعلومات.

تُفوَّض مسؤولية هذه المهمة إلى لجنة إدارة أمن المعلومات، المعروفة اختصارًا بـ CGSI أو لجنة الأمن.

تُنشئ إدارة NeuronUP لجنة الأمن كهيئة عمل مشترك تضم:

  • مسؤول أمن المعلومات في الشركة ورئيس اللجنة
  • مسؤول إدارة الأنظمة بصفة أمين سر لجنة الأمن.
  • الرئيس التقني التنفيذي (Chief Technology Officer).

ستُراجع التعيينات كل سنتين أو عند شغور أحد المناصب، بناءً على اقتراح من لجنة الأمن نفسها.

تُدرج مهام هذه الأدوار في أوصاف وظائف مسؤوليها المعنيين، ويُقر الإجراء الخاص بتعيينهم أو تجديد تعيينهم من قبل الإدارة.

5.1. مهام لجنة الأمن

المهمة الرئيسية لـ لجنة أمن المعلومات هي وضع سياسة أمن المعلومات وأهداف نظام إدارة أمن المعلومات.

ستُحدد لجنة الأمن المستويات المقبولة للمخاطر، متخذةً الإجراءات المناسبة لتخفيض تلك المخاطر التي تتجاوز هذه الحدود.

ومن مهام لجنة الأمن أيضًا إجراء مراجعة سنوية لسياسة أمن المعلومات هذه واقتراح تعديلها أو الإبقاء عليها، على أن تُستكمل من خلال لوائح وتوصيات أمنية (سياسات، بروتوكولات، إجراءات، تعليمات فنية، إلخ).

نقاط الأمن التي يجب مراجعتها سنويًا على الأقل:

  • حالة الإجراءات التي اتُّخذت منذ آخر تفتيش
  • التغييرات ذات الصلة بنظام إدارة أمن المعلومات
  • إدارة المخاطر، الثغرات والتهديدات
  • التقنيات والمنتجات والخدمات بهدف التحسين المستمر

6. إدارة المخاطر

من أجل توحيد منهجيات تحليل المخاطر، ستضع لجنة الأمن تقييمًا مرجعيًا لأنواع المعلومات المختلفة التي يتم التعامل معها والخدمات المقدمة.

ستدرس لجنة الأمن توفر الموارد اللازمة لتلبية احتياجات الأمن الخاصة بالأنظمة المختلفة.

يجب على جميع الأنظمة الخاضعة لهذه السياسة إجراء تحليل للمخاطر، وتقييم التهديدات والمخاطر المحتملة. ويُعاد هذا التحليل في الحالات التالية:

  • بشكل منتظم، مرة واحدة في السنة على الأقل
  • عند حدوث حادث أمني خطير
  • عند الإبلاغ عن ثغرات أمنية خطيرة

لضمان استمرارية الخدمات الحيوية في مواجهة الحوادث المحتملة، لدى الشركة إجراء خطة التعافي من الكوارث الذي ينسِّق كافة أنشطة استعادة عمليات العمل التي قد تتأثر.

7. التزامات الموظفين

يتعين على جميع أعضاء NeuronUP معرفة والالتزام بسياسة أمن المعلومات هذه واللوائح الأمنية الخاصة بها، ويتحمل مجلس الأمن مسؤولية توفير الوسائل اللازمة لإيصال المعلومات إلى المعنيين.

قد يؤدي عدم الالتزام بهذه السياسة الأمنية وباللوائح التي تطبقها إلى فرض عقوبات تأديبية وفقًا لأحكام قانون العاملين أو الاتفاقية الجماعية المعمول بها.

تُحدد التوجيهات المحددة للعاملين في سياسة الخصوصية والأمن المخصصة لهم.

7.1. التوعية والتدريب

سيحضر جميع أعضاء NeuronUP جلسة توعية حول أمن تكنولوجيا المعلومات والاتصالات مرة واحدة على الأقل سنويًا. وسيتم اعتماد برنامج توعية مستمر يشمل جميع أعضاء NeuronUP، ولاسيما المنضمين حديثًا.

سيحصل الأشخاص المسؤولون عن استخدام النظم وتشغيلها أو إدارتها على التدريب اللازم للتعامل الآمن مع الأنظمة بقدر ما تتطلبه مهامهم الوظيفية. ويكون هذا التدريب إلزاميًا قبل تولي المسؤولية، سواء كانت المرة الأولى أو في حالة تغيير المنصب الوظيفي أو المهام المسندة.

7.2. التوجيهات الأساسية لنظام إدارة أمن المعلومات

تُحدَّد التوجيهات الأساسية للمعالجة الآمنة للمعلومات، وهيكلة وثائق الأمان للنظام وإدارتها وسبل الوصول إليها، في الأدلة والسياسات واللوائح والإجراءات التابعة لنظام إدارة أمن المعلومات.

التوجيهات الأساسية للمعالجة الآمنة للمعلومات هي كالتالي:

  • يجب تصنيف المعلومات ضمن الفئات التالية: عامة، للاستخدام الداخلي، سرية أو محفوظة.
  • يجب حفظ الوسائط التي تحتوي على معلومات سرية أو محفوظة في مكان آمن.
  • يُسمح بالوصول إلى أنظمة المعلومات استنادًا إلى الحاجة إلى المعرفة.
  • تقيِّد ضوابط الوصول المادي للمبنى دخول الأفراد المخولين فقط.
  • يتعين على جميع الموظفين تسجيل وقت دخولهم وخروجهم من مباني الشركة، عبر نظام تسجيل الدوام.
  • يجب أن يُسجل الأشخاص الخارجيون للشركة في الحالات التي تحددها NeuronUP.
  • يجب اتباع سياسة إدارة كلمات المرور المحددة من قبل NeuronUP.
  • تُضبَط أجهزة الكمبيوتر بحيث تُقفل تلقائيًا بشاشة توقف محمية بكلمة مرور بعد فترة من عدم النشاط. إلا أن المستخدم يظل مسؤولًا عن قفلها يدويًا كلما غادر مكان العمل.
  • عند رحيل أي موظف عن الشركة، تُعطَّل حقوق الوصول الخاصة به.
  • سيكون لدى المستخدمين بريد إلكتروني خاص بالشركة لاستخدامه في أداء عملهم.
  • يتعيَّن إدراج البنود الأمنية اللازمة في العقود المُبرمة مع الأطراف الثالثة.
  • لا يجوز للمستخدمين تعطيل برامج مكافحة الفيروسات أو أي أداة أو آلية أمنية أخرى مُثبَّتة لتعزيز الحماية.
  • لا ينبغي للمستخدمين توقع درجة من الخصوصية عند الوصول إلى أنظمة معلومات الشركة، نظرًا لأن الشركة (في إطار ما يسمح به القانون وهدف إدارة النظم وتطبيق الأمان) قد تفحص أي معلومات مخزنة على أنظمتها.
  • يمكن توجيه أي استفسار يتعلق بالأمن إلى [email protected].
  • عند اكتشاف أي حالة تؤثر في أمن معلومات NeuronUP يجب على أي مستخدم (موظف أو شخص خارجي) إبلاغ رئيس القسم/المسؤول عن الأمن.

8. البيانات الشخصية

تتعامل NeuronUP مع بيانات ذات طابع شخصي، وبالتالي لديها سياسة لحماية البيانات الشخصية، تتوافق مع مستويات الأمان المطلوبة بموجب القوانين المعمول بها.

يخضع المستند الأمني للمراجعة والتحديث بشكل دوري لإثبات المرونة المطلوبة وضمان سلامة البيانات الشخصية المعالجة.

9. الأطراف الثالثة

عندما تقدّم NeuronUP خدمات لمنظمات أخرى أو تتعامل مع معلومات تخصها، فسيتم إشراكها في هذه سياسة أمن المعلومات، مع إنشاء قنوات للتقارير والتنسيق بين لجان الأمن المعنية، وتحديد إجراءات للاستجابة لحوادث الأمن.

وعندما تستفيد NeuronUP من خدمات أطراف ثالثة أو تفوض لها معلومات، فسيتم إشراك تلك الجهات في هذه السياسة الأمنية ولوائح الأمن الخاصة بالخدمات أو المعلومات ذات الصلة. ستكون تلك الجهة الخارجية مُلزمة بالالتزام بالمتطلبات المنصوص عليها في تلك اللوائح، مع إمكانية وضع إجراءات تشغيلية خاصة بها للوفاء بها. وسيتم وضع إجراءات محددة للإبلاغ عن الحوادث وحلها. كما سيُضمن أن يكون موظفو الجهات الخارجية على درجة كافية من الوعي بالأمن، على الأقل بالمستوى نفسه المنصوص عليه في هذه السياسة.

في حال لم تتمكن أي جهة خارجية من الوفاء ببند ما من بنود السياسة على النحو المطلوب في الفقرات السابقة، فسيتم طلب تقرير من مسؤول الأمن يحدد المخاطر المحتملة وكيفية التعامل معها. كما ستتطلب موافقة هذا التقرير من مسؤولي المعلومات والخدمات المعنية قبل المضي قدمًا.

اطلب المعلومات