1. مقدمة
1.1. نظرة عامة
- تماشياً مع مهمة هيئة الأوراق المالية والسلع لحماية المستثمرين وتحسين مبادئ ممارسات التجارة العادلة، وتحسين فاعلية أسواق المال الإماراتية، فقد بدأت بتدشين عدد من المبادرات لتحسين جودة الخدمات التي تقدمها.
- ونظراً لأن حماية المعلومات من أهم عوامل ضمان ممارسات التجارة العادلة، فقد طبّقت إدارة تكنولوجيا المعلومات بالهيئة نظام إدارة أمن المعلومات الذي يتوافق مع معيار الجودة ISO 27001:2013 بهدف دعم الرؤية الاستراتيجية لإدارة تكنولوجيا المعلومات بالهيئة ولضمان توافق ممارسات أمن المعلومات فيها مع أفضل الممارسات في هذا المجال.. كما تعتزم هذه الإدارة بذل أقصى إمكاناتها لنيل شهادات ISO/IEC 27001:2013، التي تعد المعيار الوحيد القابل للتدقيق على أمن المعلومات.
1.2. الغرض
يتمثل الهدف من سياسة نظام إدارة أمن المعلومات في إبداء عزم هيئة الأوراق المالية والسلع والتزامها بما يأتي:
- حماية الموجودات المعلوماتية من التهديدات الداخلية والخارجية، المتعمدة أو العرَضية، بما يضمن عدم انقطاع الخدمات عن الموظفين والمتعاملين والمعنيين.
- إدارة المخاطر إلى حد مقبول من خلال تصميم وتطبيق وحفظ نظام فعال لإدارة أمن المعلومات.
وتمثل هذه السياسة الأساس، وتحدد المبادئ الرئيسة لجميع مبادرات أمن المعلومات في هيئة الأوراق المالية والسلع.
1.3. النطاق
يعرّف هذا المستند سياسة نظام إدارة أمن المعلومات في هيئة الأوراق المالية والسلع، ومبادئَها التي يجب اتباعها.
1.4. قابلية التطبيق
تسري سياسة نظام إدارة أمن المعلومات على جميع موظفي ومقاولي هيئة الأوراق المالية والسلع، وعلى المؤسسات الأخرى المشاركة في إدارة أمن المعلومات في الهيئة.
1.5. المسؤوليات
1.5.1. يعد منتدى نظام إدارة أمن المعلومات بالهيئة مسؤولاً عن تطوير ونشر السياسات الأمنية الخاصة بالهيئة.
1.5.2. ويعد هذا المنتدى مسؤولاً عن التدقيق والإبلاغ عن مدى الالتزام بالسياسات الأمنية للهيئة.
1.5.3. يعد مديرو الإدارات/رؤساء الأقسام مسؤولين عن مستوى الالتزام بالسياسات الأمنية الخاصة بالهيئة ضمن مجالات عملهم.
1.5.4. جميع الموظفين والمقاولين والأطراف الأخرى مسؤولون عن قراءة وفهم كيفية تطبيق السياسات الأمنية للهيئة.
1.5.5. يعد منتدى نظام إدارة أمن المعلومات مسؤولاً عن مراجعة السياسات الأمنية بشكل منتظم ومتواصل لضمان استمرارية ملاءمتها وكفاءتها وفاعليتها.
1.6. الأهداف الرئيسة
فيما يأتي الأهداف الرئيسة لسياسة أمن المعلومات:
1.6.1. ستقوم هيئة الأوراق المالية والسلع بتطوير إطار عمل يتضمن السياسات والإجراءات وغيرها لإنشاء وتطبيق وتشغيل ومراقبة ومراجعة وحفظ وتحسين نظام موثق لإدارة أمن المعلومات ضمن سياق أنشطة العمل العامة للمؤسسة متسق مع تعليمات قطاع سوق رأس المال في دولة الإمارات العربية المتحدة.
1.6.2. يأخذ إطار عمل نظام إدارة الأمن بعين الاعتبار المتطلبات القانونية أو الرقابية للعمل ولالتزامات الأمن التعاقدية.
1.6.3. ستقوم هيئة الأوراق المالية والسلع بتطوير إطار عمل لإدارة المخاطر يحدد المعايير المرجعية لتقييم المخاطر الموافقة للمتطلبات القانونية والرقابية للأعمال. (مرجع: مستند حول إطار عمل إدارة مخاطر أمن المعلومات).
1.6.4. التوصل إلى طريقة مناسبة؛ متّسقة ومتكررة، لإجراء تقييم المخاطر واختيار الضوابط الرقابية الملائمة لتخفيف المخاطر التي تنشأ عن المتطلبات القانونية والرقابية للأعمال.
1.6.5. تحديد إجراء لتصنيف موجودات المعلومات تبعاً لأهميتها، ووضع سياسات وإجراءات لمساعدة إدارة تكنولوجيا المعلومات بالهيئة في تحقيق الأهداف الأمنية.
1.6.6. أن يتضمن إطار عمل نظام إدارة أمن المعلومات إجراءات لمراقبة وقياس الأسباب المؤثرة في الرقابة، استناداً إلى طرق التحسين المستمرة خلال حماية نظم معالجة بيانات تكنولوجيا المعلومات بالهيئة.
2. بيان السياسة
تلتزم الهيئة بحماية سرية جميع الموجودات المعلوماتية وتكاملها وإتاحة الوصول إليها لضمان اكتساب ثقة الجهات المعنية والمستخدمين والمتعاملين.
يعرف إطار عمل إدارة مخاطر أمن المعلومات في هيئة الأوراق المالية والسلع المصطلحات المدرجة أدناه وفق ما هي مُعرّفة في بيان السياسة المذكور أعلاه:
السرية تُعنى بحماية المعلومات الحساسة من الإفصاح غير المصرح به عنها.
التكامل مرتبط بدقة المعلومات وتمامها، وبصحتها؛ وفقاً لمتطلبات قيم العمل وتوقعاتها.
الإتاحة مرتبطة بإتاحة الوصول إلى المعلومات عند احتياج الأعمال إليها. كما تُعنى بحماية الموارد الضرورية والإمكانات ذات الصلة.
3. مبادئ التطبيق
يستعرض هذا القسم المبادئ التي ينبغي اتباعها لتطبيق سياسة أمن المعلومات بفاعلية:
-
إنشاء "منتدى نظام إدارة أمن المعلومات" ليمثل الإدارة التنفيذية لهيئة الأوراق المالية والسلع في توضيح التزامات إدارة الهيئة إزاء إدارة أمن المعلومات.
- تعيين "مسؤول أمن المعلومات" ليتولى مسؤولية إدارة كافة الأنشطة المرتبطة بنظام إدارة أمن المعلومات بالهيئة نيابة عن إدارتها التنفيذية.
-
تعيين ممثل الإدارة لتمثيل الهيئة في تطبيق إجراءات تنسيق وإدارة أنشطة نظام إدارة أمن المعلومات وفقاً لمتطلبات معايير ISO 27001:2013.
-
تحديد أدوار ومسؤوليات جميع الأشخاص المعنيين بنظام إدارة أمن المعلومات.
-
إعداد نطاق وأهداف وسياسات وإجراءات وتوجيهات نظام إدارة أمن المعلومات.
-
وضع إطار عمل لإدارة مخاطر أمن المعلومات لتقييم تلك المخاطر.
-
إعداد تقرير لتقييم المخاطر ووضع خطة لمواجهتها عند حدوثها.
-
الحصول على موافقة الإدارة على تطبيق ضوابط الحد من المخاطر ولضمان القبول الرسمي للمخاطر المتبقية.
-
تخصيص الموارد المناسبة لتطبيق نظام إدارة أمن المعلومات ولإدارته وتشغيله.
-
تشكيل وحدة تدقيق داخلي- كجزء من إدارة التدقيق الداخلي لتقديم تحقيق مستقل للإدارة التنفيذية بشأن عمليات وضوابط نظام إدارة أمن المعلومات.
-
تحديد وتقديم البرامج التدريبية والتثقيفية لجميع موظفي ومقاولي هيئة الأوراق المالية والسلع والمؤسسات الأخرى.