السياسات

السياسات

سياسة أمن المعلومات

1. مقدمة

1.1. نظرة عامة

تماشياً مع مهمة هيئة الأوراق المالية والسلع لحماية المستثمرين وتحسين مبادئ ممارسات التجارة العادلة، وتحسين فاعلية أسواق المال الإماراتية، شرعت هيئة الأوراق المالية والسلع في تدشين عدد من المبادرات لتحسين جودة الخدمات المقدمة.

نظرا لأن حماية المعلومات هي من أهم عوامل ضمان ممارسات التجارة العادلة، قامت إدارة تكنولوجيا المعلومات بهيئة الأوراق المالية والسلع كجزء من سعيها الدؤوب لتحسين إدارة أمن المعلومات ببدء تطبيق نظام إدارة أمن المعلومات والذي يتوافق مع معيار الجودة ISO 27001:2013 بهدف دعم الرؤية الإستراتيجية لإدارة تكنولوجيا المعلومات بهيئة الأوراق المالية والسلع ولضمان توافق ممارسات أمن المعلومات مع أفضل الممارسات السائدة على مستوى الصناعة على صعيد أمن المعلومات. هذا المشروع من شأنه مساعدة إدارة تكنولوجيا المعلومات بهيئة الأوراق المالية والسلع على تحسين إتاحة وتكامل وسرية المعلومات ووضع ممارسات شاملة لتقييم مخاطر المعلومات وتحديد خطة شاملة لمواجهة تلك المخاطر والقضاء عليها. وكجزء من جهودها تلك، تعتزم إدارة تكنولوجيا المعلومات بهيئة الأوراق المالية والسلع الحصول على شهادات ISO/IEC 27001:2013، والتي تعد المعيار الوحيد القابل للتدقيق لأمن المعلومات.

ويتم في الوقت الراهن التخطيط لتطبيق نظام إدارة أمن المعلومات في إدارة تكنولوجيا المعلومات بهيئة الأوراق المالية والسلع. وفي هذا الصدد، يعد وضع سياسة نظام إدارة أمن المعلومات من أهم الخطوات التي تم اتخاذها حيث إنها تقدم المبادئ الأساسية والتوجيهات القائمة على المتطلبات التنظيمية وأولويات أمن المعلومات.

1.2. الغرض

يتمثل الهدف من سياسة نظام إدارة أمن المعلومات في توضيح وإبداء عزم هيئة الأوراق المالية والسلع والتزامها بما يلي:

حماية الموجودات المعلوماتية من كافة التهديدات، الداخلية منها والخارجية، والمتعمدة أو العرضية، بما يضمن عدم انقطاع الخدمات عن الموظفين والعملاء والمعنيين.

إدارة المخاطر إلى حد مقبول من خلال تصميم وتطبيق وحفظ نظام فعال لإدارة أمن المعلومات.

تمثل هذه السياسة الأساس وتحدد المبادئ الرئيسية لجميع مبادرات أمن المعلومات في هيئة الأوراق المالية والسلع.

1.3. النطاق

يعرف هذا المستند سياسة نظام إدارة أمن المعلومات في هيئة الأوراق المالية والسلع ومبادئها التي يجب إتباعها في هيئة الأوراق المالية والسلع.

1.4. قابلية التطبيق

تسري سياسة نظام إدارة أمن المعلومات على جميع موظفي ومقاولي هيئة الأوراق المالية والسلع والمؤسسات الأخرى المشاركة في إدارة أمن المعلومات في هيئة الأوراق المالية والسلع.

1.5. المسؤوليات

1.5.1. يعد منتدى نظام إدارة أمن المعلومات بهيئة الأوراق المالية والسلع مسؤولاً عن تطوير وصيانة وتوزيع السياسات الأمنية الخاصة بهيئة الأوراق المالية والسلع.

1.5.2. يعد منتدى نظام إدارة أمن المعلومات بهيئة الأوراق المالية والسلع مسؤولاً عن التدقيق والإبلاغ عن الالتزام بالسياسات الأمنية لهيئة الأوراق المالية والسلع.

1.5.3. يعد مديري الإدارات/رؤساء الأقسام مسؤولين عن الالتزام بالسياسات الأمنية الخاصة بهيئة الأوراق المالية والسلع ضمن مجالات عملهم.

1.5.4. جميع الموظفين والمقاولين والأطراف الأخرى مسؤولون عن قراءة وفهم كيفية تطبيق السياسات الأمنية لهيئة الأوراق المالية والسلع.

1.5.5. يعد منتدى نظام إدارة أمن المعلومات مسؤولاً عن مراجعة السياسات الأمنية بشكل منتظم ومتواصل لضمان استمرارية ملاءمتها وكفايتها وفاعليتها.

1.6. الأهداف الرئيسية

فيما يلي الأهداف الرئيسية لهذه السياسة:

1.6.1. ستقوم هيئة الأوراق المالية والسلع بتطوير إطار عمل يتضمن السياسات والإجراءات وغيرها لإنشاء وتطبيق وتشغيل ومراقبة ومراجعة وحفظ وتحسين نظام موثق لإدارة أمن المعلومات ضمن سياق أنشطة العمل العامة للمؤسسة فيما يتعلق بتعليمات قطاع سوق رأس المال في دولة الإمارات العربية المتحدة.

1.6.2. سوف يأخذ إطار عمل نظام إدارة الأمن المتطلبات القانونية أو الرقابية للعمل والتزامات الأمن التعاقدية.

1.6.3. ستقوم هيئة الأوراق المالية والسلع بتطوير إطار عمل لإدارة المخاطر يحدد المعايير التي يتم على أساسها تقييم المخاطر مقابل المتطلبات القانونية والرقابية للأعمال. (مرجع: مستند حول إطار عمل إدارة مخاطر أمن المعلومات).

1.6.4. التوصل إلى طريقة مناسبة ومتناسقة ومتكررة لإجراء تقييم المخاطر واختيار الضوابط الرقابية المناسبة لتخفيف المخاطر التي تنشأ عن المتطلبات القانونية والرقابية للأعمال.

1.6.5. تحديد إجراء لتصنيف موجودات المعلومات حسب الأهمية ووضع سياسات وإجراءات لمساعدة إدارة تكنولوجيا المعلومات بهيئة الأوراق المالية والسلع في تحقيق أهداف الأمن.

1.6.6. يتضمن إطار عمل نظام إدارة أمن المعلومات إجراءات لمراقبة وقياس الأسباب المؤثر في الرقابة استناداً إلى طرق التحسين المستمرة خلال حماية نظم معالجة بيانات تكنولوجيا المعلومات بهيئة الأوراق المالية والسلع.

يلزم حماية موجودات هيئة الأوراق المالية والسلع من تهديدات السرية والإتاحة والتكامل. كما تهدف هذه السياسة إلى إنشاء بيئة عمل آمنة من خلال رفع مستوى الوعي ونشر الثقافة.


2. بيان السياسة

يتعين على هيئة الأوراق المالية والسلع حماية سرية وتكامل وإتاحة جميع الموجودات المعلوماتية لضمان اكتساب ثقة الجهات المعنية والمستخدمين والعملاء واعتمادهم عليها.

يعرف إطار عمل إدارة مخاطر أمن المعلومات في هيئة الأوراق المالية والسلع المصطلحات التالية حسبما هي معرفة في بيان السياسة المذكور أعلاه:

السرية تعني بحماية المعلومات الحساسة من الإفصاح غير المصرح به.

التكامل مرتبط بدقة وتمام المعلومات وكذلك بصحتها وفقاً إلى قيم وتوقعات العمل.

الإتاحة ترتبط بإتاحة المعلومات عند احتياج الأعمال إليها. كما إنها تعني بحماية الموارد الضرورية والإمكانيات ذات الصلة.


3. مبادئ التطبيق

يستعرض هذا القسم المبادئ التي يلزم اتباعها لتطبيق هذه السياسة بفاعلية:

  • إنشاء "منتدى نظام إدارة أمن المعلومات" والذي يمثل الإدارة التنفيذية لهيئة الأوراق المالية والسلع لتوضيح التزامات إدارة الهيئة إزاء إدارة أمن المعلومات.
  • تعيين "مسؤول أمن المعلومات" والذي يتولى مسؤولية إدارة كافة الأنشطة المرتبطة بنظام إدارة أمن المعلومات بهيئة الأوراق المالية والسلع نيابة عن الإدارة التنفيذية للهيئة.
  • تعيين ممثل الإدارة لتمثيل هيئة الأوراق المالية والسلع لتنسيق وإدارة أنشطة نظام إدارة أمن المعلومات وفقاً لمتطلبات معايير ISO 27001:2013.
  • تحديد أدوار ومسؤوليات جميع الأشخاص المعنيين بنظام إدارة أمن المعلومات.
  • إعداد نطاق وأهداف وسياسات وإجراءات وتوجيهات نظام إدارة أمن المعلومات لدعم تطبيق هذه السياسة.
  • وضع إطار عمل لإدارة مخاطر أمن المعلومات لتقييم مخاطر أمن المعلومات.
  • إعداد تقرير لتقييم المخاطر ووضع خطة لمواجهتها.
  • الحصول على موافقة الإدارة على تطبيق ضوابط الحد من المخاطر والقبول الرسمي للمخاطر المتبقية.
  • تخصيص الموارد المناسبة لتطبيق وإدارة وتشغيل نظام إدارة أمن المعلومات.
  • تشكيل وحدة تدقيق داخلي – كجزء من إدارة التدقيق الداخلي لتقديم تحقيق مستقل للإدارة التنفيذية بشأن عمليات وضوابط نظام إدارة أمن المعلومات.
  • تحديد وتقديم البرامج التدريبية والتثقيفية لجميع موظفي ومقاولي هيئة الأوراق المالية والسلع والمؤسسات الأخرى.
سياسة إدارة المعرفة

تلتزم هيئة الأوراق المالية والسلع بتطبيق مبادئ إدارة المعرفة الضمنية والصريحة بكفاءة وفاعلية في تنفيذها للمبادرات الهادفة إلى إنتاج ونشر المعرفة وذلك من خلال:

  1. تطوير وتنفيذ استراتيجية إدارة المعرفة وفقاً لرؤية وأهداف واضحة ومحددة حسب توجهات الحكومة الرشيدة.
  2. ضمان جعل سياسة إدارة المعرفة متداولة ومفهومة من قبل جميع موظفي الهيئة، وإشراك جميع موظفي الهيئة بفاعلية وكفاءة في بناء هوية وثقافة مؤسَّسية تتبنّى أفضل الممارسات العالمية في مجال إدارة المعرفة.
  3. ضمان استدامة تقديم مبادرات ومشاريع لإدارة المعرفة من خلال مبادرات تشمل حفظ ونشر ومشاركة وتنمية وتطوير المعرفة والابتكار في الهيئة.
  4. الامتثال للمتطلبات التنظيمية وغيرها من المتطلبات المتعلقة بنظام إدارة المعرفة، والعمل بشكل مستمر على تحسين المنهجية من خلال المراجعة المستمرة لمستويات الأداء وتحقيق الأهداف بما يساهم في تطوير أداء إدارة المعرفة.
سياسة الهيئة للمشتريات المستدامة

تؤكد هيئة الأوراق المالية والسلع التزامها نحو المشتريات المستدامة لضمان جودة وفعالية التطبيق من خلال سياسة المشتريات المستدامة لتحديد وإدارة الآثار البيئية والمجتمعية والاقتصادية ضمن سلسلة التوريد الخاصة بها والتي تضمن من خلالها:

  1. تحديد الأهداف وخطط العمل لدعم سياسة المشتريات المستدامة ومتابعة التحسين المستمر لممارسة المشتريات المستدامة.
  2. توفير إحتياجات الهيئة من مواد وخدمات بالجودة المطلوبة والتوقيت المحدد، وبأسعار تنافسية وبما يضمن تحقيق الكفاءة الشرائيةوذلك بالتوافق مع القوانين والتشريعات الحكومة الاتحادية.
  3. تحقيق مبادئ المشتريات المستدامة والحوكمة الرشيدة والنزاهة والمساواة والشفافية في جميع ترتيبات الشراء والتعاقد.
  4. إعطاء فرص تعاقدية متساوية والتقييم العادل لعروض الأسعار ولأداء جميع موردي المواد والخدمات.
  5. إعطاء تسهيلات وأولوية للعروض المقدمة من الشركات الصغيرة والمتوسطة المسجلة ضمن الجهات المعنية لدعم مشاريع الشباب وذلك لتنمية المشاريع الصغيرة والمتوسطة في الدولة، وأيضاً للموردين الذين أدمجوا ممارسات ومعايير الاستدامة والسلوك الأخلاقي ضمن ثقافة عملهم ويقومون بتطبيقها في سلسلة التوريد الخاصة بهم.
  6. التحقيق في شكاوى وملاحظات الشركاء من الموردين ومعالجتها بكل شفافية وحرفية.
  7. ضمان إستمرارية الأعمال وتوريد المواد والخدمات لإدارة عمليات الهيئة من خلال عقد شراكات إستراتيجية مع الموردين، وتحديد المناطق ذات المخاطر العالية والتأثير ضمن سلسلة التوريد الخاصة بالهيئة ومشاركة الموردين في تلك المخاطر.
  8. ترشيد النفقات وتحقيق مفاهيم الإنفاق المتعقل أثناء إدارة عملية مشتريات الهيئة ومنع هدر الأموال العامة.
  9. الحفاظ على الإستدامة البيئية والإقتصادية والمجتمعية والصحة والسلامة لجميع العاملين والمتعاملين والموردين أثناء ترتيبات التعاقد والشراء من خلال الإلتزام بتطبيق أفضل الممارسات والمعايير الدولية في مجال الحفاظ على البيئة وخفض البصمة الكربونية، والحفاظ على الأموال العامة لتحقيق معدلات نمو إقتصادي مستدامة، وتحقيق ترتيبات شراء عادلة تحفظ حقوق المجتمع.
  10. التحكم وضبط جودة ترتيبات واجراءات الشراء والتعاقد، والتحسين المستمر عليها وفق أفضل الممارسات، أيزو 2017:20400.
  11. يتم اختيار الموردين ومشاركتهم في مشتريات الهيئة الذين يتميزون بالمواصفات التالية:

أ‌. يخفضون البصمة الكربونية للبيئة من خلال:

i. الحفاظ على الموارد ويشمل الطاقة والمياه والمواد.

ii. تقليل النفايات الى الحد الأدنى سواءً في عملياتها أو أي نطاق آخر.

iii. تقليل تأثير ترتيبات التسليم والمواصلات وزيادة الاعتماد على المصادر المحلية.

ب. يقومون بتقديم فوائد وخدمات للمجتمع من خلال:

iv. الامتثال لمبادئ وقوانين العمل الدولية والمحلية فيما يتعلق بحقوق الانسان وظروف العمل.

v. ضمان عدم حدوث ممارسات الرق والاتجار بالبشر أو عمالة الأطفال في أي من سلاسل التوريد الخاصة بالموردين وفي أي جزء من أعمالهم إن تم تنفيذها من طرف ثالث.

vi. حظر التمييز والمضايقة القانونية لضمان توفير بيئة عمل آمنة وشاملة.

ج. دفع النمو الاقتصادي من خلال:

vii. دعم خلق فرص العمل وتيسير الفرص للشركات الصغيرة والمتوسطة والشركات والجهات المجتمعية.

viii. النظر في تكلفة دورة حياة المنتجات.

ix. توفير الأجر المعيشي (مستوى الحد الأدنى المطلوب) للموظفين والمقاولين.

x. تطبيق إجراءات وممارسات لمنع غسيل الأموال والغش والرشوة والفساد وتضارب المصالح وقضايا أمن البيانات.


وتلتزم الإدارة العليا بنشر السياسة المتعلقة بنظام إدارة المشتريات المستدامة لكافة الموظفين والموردين والمعنيين، من خلال مختلف الوسائل المتاحة، وتتم مراجعتها بصورة دورية ومنتظمة للتأكد من ملائمتها وفق أفضل الممارسات العالمية ولما فيه مصلحة ودعم أهداف الاستدامة.

سياسة استمرارية الأعمال وإدارة المخاطر والأزمات المؤسسية

تهدف الهيئة ان تصبح هيئة رائدة ونموذجاً في تطبيق إطار "استمرارية الأعمال وادارة المخاطر والأزمات المؤسسية" على مستوى الجهات الرقابية بدولة الإمارات العربية المتحدة، من خلال استحداث أساليب ادارية لمواجهة التحديات المؤسسية واستثمار الفرص المتاحة، وتفعيل افضل الممارسات في هذا النطاق، بما يدعم ثقة الأطراف ذات الصلة وبما يضمن تقليل أثر المخاطر التي تؤثر على استمرارية العمل واستدامته، وبما يخدم تحقيق الأهداف الاستراتيجية للهيئة، ويتم ذلك من خلال التأكد من أن سياسة "استمرارية الأعمال وادارة المخاطر والأزمات المؤسسية" يتم تطويرها وتحسينها في هذا المجال سواء من حيث النظم والقواعد والاجراءات المتبعة والتطبيق الفعلي. وتلتزم الإدارة العليا بدعم القائمين على النظام وتوفير الموارد والتقنيات والتدريب اللازم لضمان كفاءة وفاعلية مراحل تطبيق العمليات ذات الصلة.

وبناء عليه فإن هذه السياسة تحكم القواعد والنظم والإجراءات لمواجهة الهيئة للمخاطر المتعلقة والمصاحبة لأنشطتها المختلفة، بما يهدف الى التنمية المستدامة حسب القواعد والصلاحيات الواردة في قانون إنشاء الهيئة والسياسات ذات الصلة .والهدف من هذه السياسة هو ضمان تفهم كافة الأطراف المعنية لمفهوم "استمرارية الأعمال وادارة المخاطر والأزمات المؤسسية" وقواعد تنظيمها، وأن تكون هذه الأطراف على وعي بمسؤوليتها فيما يتعلق بإدارة "استمرارية الأعمال وإدارة المخاطر والأزمات المؤسسية" المصاحبة لجميع الأنشطة المؤسسية بالهيئة، وذلك في إطار العمل على تقويم وتحسين فاعلية الرقابة والتدقيق الداخلي والحوكمة المؤسسية بما يسمح بمعدلات إنجاز مرتفع ومستدام، وتنفيذ ذلك في إطار تحقيق الأهداف الاستراتيجية ومن خلال الهيكل التنظيمي للهيئة بحيث يشرف قسم السياسات التنظيمية واستشراف المستقبل على نظام "استمرارية الأعمال وادارة المخاطر والأزمات المؤسسية" لتحديد وتصنيف وتقييم المخاطر وتقديم الاختيارات المتاحة للتعامل معها بالتنسيق مع الادارات المعنية ومراجعة فاعلية النظام بصفة دورية باستخدام وتطبيق الأساليب المهنية السليمة بما يضمن تنفيذ ما سبق في إطار إضافة أقصى قيمة مستدامة للأنشطة والعمليات بالهيئة.

د. عبيد الزعابي
الرئيس التنفيذي

سياسة الابتكار في الهيئة

تعمل الهيئة على بناء بيئة داعمة للابتكار من خلال توفير البنية التحتية الداعمة له مثل الاهتمام بالموارد البشرية والأنظمة الالكترونية الذكية واستخدام أدوات الابتكار الحديثة ضمن أنشطتها اليومية بما يعزز الابتكار في تطوير الخدمات و سعادة المتعاملين والموظفين.

وتحرص الهيئة بأن تكون استراتيجية الابتكار لديها مبنية على الاستباقية Proactive وليست التفعالية Reactive

الابتكار الاستباقي يميز الهيئة بأن لديها توجه قوي في مجال الأبحاث وانتهاز الفرص وأن تكون رائدة في قطاع أسواق المال. واستراتيجية الابتكار الاستباقية يعتمد على الابتكارات التالية:

  • ابتكارات جذرية، والتي تعتبر اختراقية تغير طبيعة المنتجات والخدمات.
  • ابتكارات تدريجية، التغييرات التكنولوجية أو العملية المستمرة التي تؤدي الى تحسين أداء المنتجات و الخدمات.
شارك هذا المحتوى مشاركة طباعة