NeuronUP

NeuronUP. منصة إلكترونية لإعادة التأهيل الإدراكي

neuronup illustration background

سياسة أمن المعلومات

1. المقدمة

تعتمد NeuronUP على أنظمة تكنولوجيا المعلومات والاتصالات (ICT) لتحقيق أهدافها. ويجب إدارة هذه الأنظمة بعناية، واتخاذ التدابير المناسبة لحمايتها من الأضرار العرضية أو المتعمدة التي قد تؤثر في توافر المعلومات المُعالجة أو سلامتها أو سريتها، أو في الخدمات المقدمة.

يجب على موظفي NeuronUP التأكد من أن الأمن جزء لا يتجزأ من كل مرحلة من مراحل دورة حياة النظام، منذ تصوره وحتى إيقافه عن الخدمة، مرورًا بقرارات التطوير أو الشراء وأنشطة التشغيل.

يجب أن تكون أقسام NeuronUP، وفقًا لأداء المهام الموكلة إليها، مستعدة لمنع الحوادث واكتشافها والاستجابة لها والتعافي منها، وفقًا للأنظمة المعمول بها.

لضمان الامتثال لهذه السياسة، تقوم لجنة الأمن بتطوير الأنظمة وتقييمها بانتظام، وتتولى ضمان أن يكون جميع موظفي NeuronUP على دراية بوظائفهم ويلتزموا بها بما يتوافق مع أمن المعلومات.

2. نطاق التطبيق

تنطبق هذه السياسة على جميع الأشخاص والعمليات والأنظمة والأصول المشاركة في معالجة المعلومات داخل NeuronUP. 

ويشمل ذلك الموظفين الداخليين، والمتعاونين الخارجيين، والموردين، والأطراف الثالثة التي لديها وصول إلى المعلومات أو الأنظمة، وجميع أصول المعلومات.

الامتثال لهذه السياسة إلزامي، ويشكل الأساس الذي تُوضع بموجبه المعايير والإجراءات والضوابط الخاصة بنظام إدارة أمن المعلومات (ISMS) في المنظمة.

3. هدف هذه السياسة

تهدف هذه السياسة إلى تحديد إطار العمل لضمان أمن المعلومات واستمرارية تقديم الخدمات.

تُطوَّر هذه السياسة من خلال الوثائق ولوائح الأمن المتاحة لجميع أعضاء المنظمة الذين يحتاجون إلى معرفتها، وبشكل خاص لأولئك الذين يستخدمون أنظمة المعلومات والاتصالات أو يشغّلونها أو يديرونها، وذلك عبر إجراءات وعمليات وتعليمات تقنية، إلخ.

لوائح الأمن متاحة لجميع موظفي المنظمة في نظام إدارة الوثائق الخاص بها.

4. الإطار التنظيمي

تلتزم NeuronUP بالامتثال لجميع القوانين واللوائح والأنظمة المعمول بها في مجال أمن المعلومات.

5. تنظيم الأمن

تتحمل إدارة الشركة مسؤولية تعزيز ودعم وضع تدابير تقنية وتنظيمية ورقابية تضمن مستويات الجودة والأمن اللازمة لعمليات الشركة، ملتزمة بالتحسين المستمر لنظام إدارة أمن المعلومات.

تُفوَّض مسؤولية هذه المهمة إلى لجنة الأمن، التي أنشأتها NeuronUP كهيئة جماعية عابرة للأقسام تتكون من:

  • مسؤول أمن المعلومات، الذي يشغل أيضًا منصب رئيس لجنة الأمن.
  • مسؤول إدارة الأنظمة، الذي يتولى أيضًا دور أمين سر لجنة الأمن.
  • مدير التقنيات.

تُدرج الصلاحيات المحددة لهذه الأدوار في بطاقات الوصف الوظيفي الخاصة بمسؤوليها. ويُعتمد إجراء تعيينها و/أو تجديدها من قبل الإدارة.

ستُراجع التعيينات كل سنتين أو عندما يصبح منصب شاغرًا، بناءً على اقتراح لجنة الأمن نفسها.

5.1. وظائف لجنة الأمن

تتمثل الوظيفة الرئيسية للجنة الأمن في تحديد سياسة أمن المعلومات وأهداف نظام إدارة أمن المعلومات (ISMS).

ستحدد لجنة الأمن مستويات المخاطر التي تُعد مقبولة، وتقرر الإجراءات المناسبة لتقليل المخاطر التي تتجاوز تلك العتبات.

ستكون مهمة لجنة الأمن إجراء المراجعة السنوية لهذه السياسة واقتراح مراجعتها أو الإبقاء عليها. كما ستُستكمل هذه السياسة من خلال لوائح وتوصيات أمنية (سياسات أخرى، بروتوكولات، إجراءات، تعليمات تقنية، إلخ).

وعلى وجه التحديد، ستكون نقاط الأمن التي ستُراجع هي:

  • حالة الإجراءات الواجب تنفيذها منذ آخر مراجعة.
  • التغييرات ذات الصلة بنظام إدارة أمن المعلومات (ISMS).
  • إدارة المخاطر، ونقاط الضعف، والتهديدات.
  • التقنيات والمنتجات والخدمات من أجل التحسين المستمر.

6. إدارة المخاطر

من أجل توحيد تحليلات المخاطر، ستضع لجنة الأمن تقييمًا مرجعيًا لأنواع المعلومات المختلفة المُعالجة والخدمات المختلفة المقدمة.

ستدرس لجنة الأمن مدى توافر الموارد لتلبية احتياجات الأمن الخاصة بالأنظمة المختلفة.

يجب على جميع الأنظمة الخاضعة لهذه السياسة إجراء تحليل للمخاطر، وتقييم التهديدات والمخاطر التي تتعرض لها. وسيُعاد هذا التحليل:

  • بشكل منتظم، مرة واحدة على الأقل سنويًا؛
  • عند وقوع حادث أمني خطير؛
  • عند الإبلاغ عن ثغرات خطيرة.

لضمان توافر الخدمات الحرجة في حال وقوع حوادث محتملة، لدى الشركة خطة للتعافي من الكوارث تنسق جميع أنشطة التعافي لعمليات الأعمال التي قد تتأثر.

7. التزامات الموظفين

يلتزم جميع أعضاء NeuronUP بمعرفة سياسة أمن المعلومات واللوائح الأمنية والامتثال لها، وتقع على عاتق لجنة الأمن مسؤولية توفير الوسائل اللازمة لضمان وصول المعلومات إلى المعنيين.

قد يؤدي عدم الامتثال لسياسة الأمن هذه والقواعد التي تطورها إلى عقوبات تأديبية وفقًا لما هو منصوص عليه في قانون العمال واتفاقية العمل الجماعية المعمول بها. وتُطوَّر الإرشادات المحددة للعمال في سياسة الأمن للعاملين.

7.1. التوعية والتدريب

وفقًا لـ سياسة التدريب والتوعية في أمن المعلومات، سيتلقى جميع أعضاء NeuronUP تدريبًا في مجال أمن المعلومات مرة واحدة على الأقل سنويًا. كما سيتم وضع برنامج توعية مستمر لضمان أن جميع الأطراف المعنية يفهمون ويلتزمون بسياسة أمن المعلومات.

سيتلقى الأشخاص المسؤولون عن استخدام الأنظمة أو تشغيلها أو إدارتها تدريبًا على التعامل الآمن مع الأنظمة بالقدر الذي يحتاجونه لأداء عملهم. وسيكون التدريب إلزاميًا قبل تولي أي مسؤولية، سواء كانت أول مهمة لهم أو كان الأمر يتعلق بتغيير منصب العمل أو المسؤوليات ضمنه.

7.2. الإرشادات الأساسية لنظام إدارة أمن المعلومات

تُطوَّر الإرشادات الأساسية للمعالجة الآمنة للمعلومات وهيكلة وثائق أمن النظام وإدارتها والوصول إليها في أدلة وسياسات ولوائح وإجراءات نظام إدارة أمن المعلومات.

هذه الإرشادات هي كما يلي:

  • يجب تصنيف المعلومات ضمن الفئات التالية: عامة، للاستخدام الداخلي، سرية، أو مقيدة.
  • يجب تخزين الوسائط المادية التي تحتوي على معلومات غير عامة في مكان آمن.
  • سيُسمح بالوصول إلى أنظمة المعلومات بناءً على مبدأ الحاجة إلى المعرفة (need-to-know)، بما يضمن أن كل شخص يصل فقط إلى المعلومات اللازمة لأداء مهامه.
  • يُقيَّد الوصول المادي إلى مرافق الشركة على الموظفين المصرح لهم فقط.
  • يجب على جميع الموظفين تسجيل أوقات الدخول والخروج عبر نظام مراقبة الدوام وتسجيل الحضور والانصراف.
  • يجب تسجيل دخول الأشخاص من خارج الشركة في الحالات التي تحددها NeuronUP.
  • سيُتَّبع سياسة إدارة كلمات المرور التي تحددها NeuronUP.
  • تُهيَّأ أجهزة الكمبيوتر بحيث تُقفل تلقائيًا بعد فترة من عدم النشاط عبر شاشة توقف محمية بكلمة مرور. ومع ذلك، يبقى على المستخدم قفلها يدويًا في كل مرة يغادر فيها مكان العمل.
  • كلما ترك موظف الشركة، سيتم تعطيل حقوق الوصول الخاصة به.
  • سيحصل المستخدمون على بريد إلكتروني مؤسسي لتطوير عملهم.
  • ستتضمن العقود مع الأطراف الثالثة بنود الأمن المناسبة.
  • لا يجوز للمستخدمين تعطيل برامج مكافحة الفيروسات أو أي أداة أو ضابط آخر مُثبّت بهدف تحسين الأمن.
  • لا ينبغي للمستخدمين أن يتوقعوا الخصوصية عند الوصول إلى أنظمة معلومات الشركة، إذ يمكن للشركة (ضمن الإطار القانوني القائم وبهدف إدارة الأنظمة وإنفاذ الأمن) مراجعة أي معلومات مخزنة على أنظمتها.
  • يمكن توجيه أي استفسار في مجال الأمن إلى [email protected].
  • عند اكتشاف وضع يؤثر في أمن معلومات NeuronUP، يجب على أي مستخدم (موظف أو خارجي) إبلاغ مسؤول القسم و/أو مسؤول الأمن.

8. البيانات ذات الطابع الشخصي

لن تجمع NeuronUP البيانات ذات الطابع الشخصي ولن تعالجها إلا عند الضرورة ووفقًا للوائح حماية البيانات، ولذلك لديها سياسة حماية البيانات الشخصية، التي تتوافق مع مستويات الأمن المطلوبة بموجب اللوائح المعمول بها.

سيتم اعتماد التدابير التقنية والتنظيمية اللازمة لضمان حماية البيانات ذات الطابع الشخصي.

9. الأطراف الثالثة

عندما تقدم NeuronUP خدمات لمنظمات أخرى أو تتعامل مع معلومات تخص أطرافًا ثالثة، سيتم إشراكهم في سياسة أمن المعلومات هذه وفي القواعد والتعليمات المنبثقة عنها. وسيتم إنشاء قنوات للإبلاغ والتنسيق بين لجان الأمن المعنية، كما سيتم وضع إجراءات للعمل للاستجابة لحوادث الأمن.

عندما تستخدم NeuronUP خدمات أطراف ثالثة أو تنقل معلومات إلى أطراف ثالثة، سيتم إشراكهم في هذه السياسة وفي اللوائح الأمنية المتعلقة بتلك الخدمات أو المعلومات. وستكون تلك الجهة الثالثة خاضعة للالتزامات المحددة في اللوائح، وقد تطور إجراءاتها التشغيلية الخاصة للوفاء بها. وسيتم وضع إجراءات محددة للإبلاغ عن الحوادث وحلها. وسيُضمن أن يكون موظفو الأطراف الثالثة على قدر كافٍ من الوعي بالأمن، على الأقل بالمستوى نفسه المحدد في هذه السياسة.

عندما لا تتمكن جهة ثالثة من استيفاء أحد جوانب السياسة كما هو مطلوب في الفقرات السابقة، فسيُطلب تقرير من مسؤول الأمن يوضح المخاطر التي يتم تحملها وكيفية معالجتها. وسيُطلب اعتماد هذا التقرير من مسؤولي المعلومات والخدمات المتأثرة قبل المضي قدمًا.

تاريخ آخر مراجعة: 22 نوفمبر 2025

logo