إغلاق

سياسة أمن المعلومات

سياسة أمن المعلومات

1. مقدمة

1.1. نظرة عامة

تماشياً مع مهمة هيئة الأوراق المالية والسلع لحماية المستثمرين وتحسين مبادئ ممارسات التجارة العادلة، وتحسين فاعلية أسواق المال الإماراتية، شرعت هيئة الأوراق المالية والسلع في تدشين عدد من المبادرات لتحسين جودة الخدمات المقدمة.

نظرا لأن حماية المعلومات هي من أهم عوامل ضمان ممارسات التجارة العادلة، قامت إدارة تكنولوجيا المعلومات بهيئة الأوراق المالية والسلع كجزء من سعيها الدؤوب لتحسين إدارة أمن المعلومات ببدء تطبيق نظام إدارة أمن المعلومات والذي يتوافق مع معيار الجودة ISO 27001:2013 بهدف دعم الرؤية الإستراتيجية لإدارة تكنولوجيا المعلومات بهيئة الأوراق المالية والسلع ولضمان توافق ممارسات أمن المعلومات مع أفضل الممارسات السائدة على مستوى الصناعة على صعيد أمن المعلومات. هذا المشروع من شأنه مساعدة إدارة تكنولوجيا المعلومات بهيئة الأوراق المالية والسلع على تحسين إتاحة وتكامل وسرية المعلومات ووضع ممارسات شاملة لتقييم مخاطر المعلومات وتحديد خطة شاملة لمواجهة تلك المخاطر والقضاء عليها. وكجزء من جهودها تلك، تعتزم إدارة تكنولوجيا المعلومات بهيئة الأوراق المالية والسلع الحصول على شهادات ISO/IEC 27001:2013، والتي تعد المعيار الوحيد القابل للتدقيق لأمن المعلومات.

ويتم في الوقت الراهن التخطيط لتطبيق نظام إدارة أمن المعلومات في إدارة تكنولوجيا المعلومات بهيئة الأوراق المالية والسلع. وفي هذا الصدد، يعد وضع سياسة نظام إدارة أمن المعلومات من أهم الخطوات التي تم اتخاذها حيث إنها تقدم المبادئ الأساسية والتوجيهات القائمة على المتطلبات التنظيمية وأولويات أمن المعلومات.

1.2. الغرض

يتمثل الهدف من سياسة نظام إدارة أمن المعلومات في توضيح وإبداء عزم هيئة الأوراق المالية والسلع والتزامها بما يلي:

حماية الموجودات المعلوماتية من كافة التهديدات، الداخلية منها والخارجية، والمتعمدة أو العرضية، بما يضمن عدم انقطاع الخدمات عن الموظفين والعملاء والمعنيين.

  • إدارة المخاطر إلى حد مقبول من خلال تصميم وتطبيق وحفظ نظام فعال لإدارة أمن المعلومات.

تمثل هذه السياسة الأساس وتحدد المبادئ الرئيسية لجميع مبادرات أمن المعلومات في هيئة الأوراق المالية والسلع.

1.3. النطاق

يعرف هذا المستند سياسة نظام إدارة أمن المعلومات في هيئة الأوراق المالية والسلع ومبادئها التي يجب إتباعها في هيئة الأوراق المالية والسلع.

1.4. قابلية التطبيق

تسري سياسة نظام إدارة أمن المعلومات على جميع موظفي ومقاولي هيئة الأوراق المالية والسلع والمؤسسات الأخرى المشاركة في إدارة أمن المعلومات في هيئة الأوراق المالية والسلع.

1.5. المسؤوليات

1.5.1. يعد منتدى نظام إدارة أمن المعلومات بهيئة الأوراق المالية والسلع مسؤولاً عن تطوير وصيانة وتوزيع السياسات الأمنية الخاصة بهيئة الأوراق المالية والسلع.

1.5.2. يعد منتدى نظام إدارة أمن المعلومات بهيئة الأوراق المالية والسلع مسؤولاً عن التدقيق والإبلاغ عن الالتزام بالسياسات الأمنية لهيئة الأوراق المالية والسلع.

1.5.3. يعد مديري الإدارات/رؤساء الأقسام مسؤولين عن الالتزام بالسياسات الأمنية الخاصة بهيئة الأوراق المالية والسلع ضمن مجالات عملهم.

1.5.4. جميع الموظفين والمقاولين والأطراف الأخرى مسؤولون عن قراءة وفهم كيفية تطبيق السياسات الأمنية لهيئة الأوراق المالية والسلع.

1.5.5. يعد منتدى نظام إدارة أمن المعلومات مسؤولاً عن مراجعة السياسات الأمنية بشكل منتظم ومتواصل لضمان استمرارية ملاءمتها وكفايتها وفاعليتها.

1.6. الأهداف الرئيسية

فيما يلي الأهداف الرئيسية لهذه السياسة:

1.6.1. ستقوم هيئة الأوراق المالية والسلع بتطوير إطار عمل يتضمن السياسات والإجراءات وغيرها لإنشاء وتطبيق وتشغيل ومراقبة ومراجعة وحفظ وتحسين نظام موثق لإدارة أمن المعلومات ضمن سياق أنشطة العمل العامة للمؤسسة فيما يتعلق بتعليمات قطاع سوق رأس المال في دولة الإمارات العربية المتحدة.

1.6.2. سوف يأخذ إطار عمل نظام إدارة الأمن المتطلبات القانونية أو الرقابية للعمل والتزامات الأمن التعاقدية.

1.6.3. ستقوم هيئة الأوراق المالية والسلع بتطوير إطار عمل لإدارة المخاطر يحدد المعايير التي يتم على أساسها تقييم المخاطر مقابل المتطلبات القانونية والرقابية للأعمال. (مرجع: مستند حول إطار عمل إدارة مخاطر أمن المعلومات).

1.6.4. التوصل إلى طريقة مناسبة ومتناسقة ومتكررة لإجراء تقييم المخاطر واختيار الضوابط الرقابية المناسبة لتخفيف المخاطر التي تنشأ عن المتطلبات القانونية والرقابية للأعمال.

1.6.5. تحديد إجراء لتصنيف موجودات المعلومات حسب الأهمية ووضع سياسات وإجراءات لمساعدة إدارة تكنولوجيا المعلومات بهيئة الأوراق المالية والسلع في تحقيق أهداف الأمن.

1.6.6. يتضمن إطار عمل نظام إدارة أمن المعلومات إجراءات لمراقبة وقياس الأسباب المؤثر في الرقابة استناداً إلى طرق التحسين المستمرة خلال حماية نظم معالجة بيانات تكنولوجيا المعلومات بهيئة الأوراق المالية والسلع.

يلزم حماية موجودات هيئة الأوراق المالية والسلع من تهديدات السرية والإتاحة والتكامل. كما تهدف هذه السياسة إلى إنشاء بيئة عمل آمنة من خلال رفع مستوى الوعي ونشر الثقافة.


2. بيان السياسة

يتعين على هيئة الأوراق المالية والسلع حماية سرية وتكامل وإتاحة جميع الموجودات المعلوماتية لضمان اكتساب ثقة الجهات المعنية والمستخدمين والعملاء واعتمادهم عليها.

يعرف إطار عمل إدارة مخاطر أمن المعلومات في هيئة الأوراق المالية والسلع المصطلحات التالية حسبما هي معرفة في بيان السياسة المذكور أعلاه:

السرية تعني بحماية المعلومات الحساسة من الإفصاح غير المصرح به.

التكامل مرتبط بدقة وتمام المعلومات وكذلك بصحتها وفقاً إلى قيم وتوقعات العمل.

الإتاحة ترتبط بإتاحة المعلومات عند احتياج الأعمال إليها. كما إنها تعني بحماية الموارد الضرورية والإمكانيات ذات الصلة.


3. مبادئ التطبيق

يستعرض هذا القسم المبادئ التي يلزم اتباعها لتطبيق هذه السياسة بفاعلية:

  • إنشاء "منتدى نظام إدارة أمن المعلومات" والذي يمثل الإدارة التنفيذية لهيئة الأوراق المالية والسلع لتوضيح التزامات إدارة الهيئة إزاء إدارة أمن المعلومات.
  • تعيين "مسؤول أمن المعلومات" والذي يتولى مسؤولية إدارة كافة الأنشطة المرتبطة بنظام إدارة أمن المعلومات بهيئة الأوراق المالية والسلع نيابة عن الإدارة التنفيذية للهيئة.
  • تعيين ممثل الإدارة لتمثيل هيئة الأوراق المالية والسلع لتنسيق وإدارة أنشطة نظام إدارة أمن المعلومات وفقاً لمتطلبات معايير ISO 27001:2013.
  • تحديد أدوار ومسؤوليات جميع الأشخاص المعنيين بنظام إدارة أمن المعلومات.
  • إعداد نطاق وأهداف وسياسات وإجراءات وتوجيهات نظام إدارة أمن المعلومات لدعم تطبيق هذه السياسة.
  • وضع إطار عمل لإدارة مخاطر أمن المعلومات لتقييم مخاطر أمن المعلومات.
  • إعداد تقرير لتقييم المخاطر ووضع خطة لمواجهتها.
  • الحصول على موافقة الإدارة على تطبيق ضوابط الحد من المخاطر والقبول الرسمي للمخاطر المتبقية.
  • تخصيص الموارد المناسبة لتطبيق وإدارة وتشغيل نظام إدارة أمن المعلومات.
  • تشكيل وحدة تدقيق داخلي – كجزء من إدارة التدقيق الداخلي لتقديم تحقيق مستقل للإدارة التنفيذية بشأن عمليات وضوابط نظام إدارة أمن المعلومات.
  • تحديد وتقديم البرامج التدريبية والتثقيفية لجميع موظفي ومقاولي هيئة الأوراق المالية والسلع والمؤسسات الأخرى.


شارك هذا المحتوى مشاركة طباعة