الأهداف
الغرض من هذه السياسة هو توفير متطلبات الأمن السيبراني المبنية على أفضل الممارسات والمعايير لضمان التأكد من أن مخاطر ومتطلبات الأمن السيبراني المتعلقة بالعاملين (موظفين ومتعاقدين), في جمعية إرادة للتوعية بأضرار المخدرات بالقريات تعالج بفعالية قبل وأثناء وعند انتهاء/إنهاء عملهم.
وتهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم ١-٩-١ من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.
نطاق العمل وقابلية التطبيق
تغطي هذه السياسة جميع الأنظمة الخاصة بـجمعية الحياة لرعاية مرضى السرطان بالقريات وتنطبق على جميع العاملين في جمعية إرادة للتوعية بأضرار المخدرات بالقريات.
بنود السياسة
- البنود العامة
1-1 يجب تحديد متطلبات الأمن السيبراني المتعلقة بالعاملين.
1-2 يجب أن يشغل الوظائف ذات العلاقة بالأنظمة الحساسة في جمعية إرادة للتوعية بأضرار المخدرات بالقريات مواطنين ذو الكفاءة اللازمة.
1-3 يجب تنفيذ ضوابط الأمن السيبراني الخاصة بالموارد البشرية خلال دورة حياة عمل الموظف (Lifecycle) في جمعية إرادة للتوعية بأضرار المخدرات بالقريات والتي تشمل المراحل التالية:
- قبل التوظيف.
- خلال فترة العمل.
- عند انتهاء فترة العمل أو إنهائها.
1-4 يجب على العاملين في جمعية إرادة للتوعية بأضرار المخدرات بالقريات فهم أدوارهم الوظيفية، والشروط والمسؤوليات ذات العلاقة بالأمن السيبراني، والموافقة عليها.
1-5 يجب تضمين مسؤوليات الأمن السيبراني وبنود المحافظة على سرية المعلومات (Non-Disclosure Agreement) في عقود العاملين في جمعية إرادة للتوعية بأضرار المخدرات بالقريات (لتشمل خلال وبعد انتهاء/إنهاء العلاقة الوظيفية مع جمعية جمعية إرادة للتوعية بأضرار المخدرات بالقريات
1-6 يجب إدراج المخالفات ذات العلاقة بالأمن السيبراني في لائحة مخالفات الموارد البشرية في جمعية إرادة للتوعية بأضرار المخدرات بالقريات.
يُمنع الاطلاع على المعلومات الخاصة بالموظفين دون تصريح مسبق.
1-8 يجب استخدام مؤشر قياس الأداء (KPI) لضمان التطوير المستمر لمتطلبات الأمن السيبراني المتعلق بالموارد البشرية.
قبل التوظيف
2-1 يجب على العاملين التعهد بالالتزام بسياسات الأمن السيبراني قبل منحهم صلاحية الوصول إلى أنظمة جمعية إرادة للتوعية بأضرار المخدرات بالقريات.
2-2 يجب تحديد أدوار الموظفين ومسؤولياتهم مع الأخذ في الحسبان تطبيق مبدأ عدم تعارض المصالح.
2-3 يجب تحديد أدوار الموظفين ومسؤولياتهم المتعلقة بالأمن السيبراني في الوصف الوظيفي.
2-4 يجب أن تشمل الأدوار والمسؤوليات المتعلقة بالأمن السيبراني مايلي:
- حماية جميع أصول جمعية إرادة للتوعية بأضرار المخدرات بالقريات من الوصول غير المصرح به، أو تخريب تلك الأصول.
- تنفيذ جميع الأنشطة المطلوبة المتعلقة بالأمن السيبراني.
- الالتزام بسياسات الأمن السيبراني ومعاييره الخاصة بجمعية إرادة للتوعية بأضرار المخدرات بالقريات.
- الالتزام ببرنامج زيادة مستوى الوعي بالمخاطر السيبرانية.
2-5 يجب إجراء مسح أمني للعاملين في وظائف الأمن السيبراني، والوظائف التقنية ذات الصلاحيات الهامة والحساسة، والوظائف ذات العلاقة بالأنظمة الحساسة.
أثناء العمل
3-1 يجب تقديم برنامج توعوي، يختص بزيادة مستوى الوعي بالأمن السيبراني؛ بما في ذلك سياسات الأمن السيبراني ومعاييره، بشكل دوري.
3-2 يجب على مسؤول الموارد البشرية إبلاغ الإدارات ذات العلاقة عن أي تغيير في أدوار العاملين أو مسؤولياتهم بهدف اتخاذ الإجراءات اللازمة المتعلقة بإلغاء صلاحيات الوصول أو تعديلها.
3-3 يجب التأكد من تطبيق متطلبات الأمن السيبراني الخاصة بالموارد البشرية.
3-4 يجب إدراج مدى الالتزام بالأمن السيبراني ضمن جوانب تقييم الموظفين.
3-5 يجب التأكد من تطبيق مبدأ الحاجة إلى المعرفة (Need-to-know) في تكليف المهمات.
انتهاء الخدمة أو إنهاؤها
4-1 يجب تحديد إجراءات انتهاء الخدمة المهنية أو إنهائها بشكل يغطي متطلبات الأمن السيبراني.
يجب على مسؤول الموارد البشرية إبلاغ الوحدات ذات العلاقة في حال اقتراب موعد انتهاء العلاقة الوظيفية أو إنهائها لاتخاذ الإجراءات اللازمة.
4-3 يجب التأكد من إعادة جميع الأصول الخاصة بـجمعية إرادة للتوعية بأضرار المخدرات بالقريات وإلغاء صلاحيات الدخول للعاملين في آخر يوم عمل لهم وقبل حصولهم على المخالصات اللازمة.
4-4 يجب تحديد المسؤوليات والواجبات التي ستبقى سارية المفعول بعد انتهاء خدمة العاملين في جمعية إرادة للتوعية بأضرار المخدرات بالقريات ، بما في ذلك اتفاقية المحافظة على سرية المعلومات، على أن يتم إدراج تلك المسؤوليات والواجبات في جميع عقود العاملين.
الأدوار والمسؤوليات
- راعي ومالك وثيقة السياسة: مسؤول تقنية المعلومات
- مراجعة السياسة وتحديثها: مسؤول تقنية المعلومات
- تنفيذ السياسة وتطبيقها: مسؤول الموارد البشرية
الالتزام بالسياسة
- يجب على مسؤول تقنية المعلومات ضمان التزام جمعية إرادة للتوعية بأضرار المخدرات بالقريات ،بهذه السياسة دورياً.
- يجب على جميع العاملين في جمعية إرادة للتوعية بأضرار المخدرات بالقريات الالتزام بهذه السياسة.
- قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة، إلى إجراء تأديبي؛ حسب الإجراءات المتبعة في جمعية إرادة للتوعية بأضرار المخدرات بالقريات.
المراجع:
أُقرت هذه السياسة بالجلسة الاولى للمجلس المنعقدة بتاريخ
5 / 6/ 1442هـ