دليل
سياسات
وإجراءات
إدارة
تقنية
المعلومات
المحتويات
الانحراف عن
السياسات والإجراءات
صيانة الدليل
وتكرار معدل المراجعة
إجراءات التحديث
(الإضافة، التعديل،
الحذف) في الدليل
الهيكل التنظيمي
لإدارة تقنية
المعلومات
إطار عمليات
إدارة تقنية المعلومات
4. سياسة تقييم
المخاطر وضمان
استمرارية الأعمال
5. سياسة شراء
أنظمة وموارد
ومعدات وإدارة
الخدمات المقدمة
من طرف آخر
6. سياسة التغيير
والتطوير والتحديث
8. سياسة النسخ
الاحتياطي والاسترجاع
في حال الكوارث
والأعطال
9. سياسة تقييم
أداء تقنية المعلومات
11. سياسة أمن
الوسائط الإلكترونية
·
توفير
مستند مرجعي
لإدارة تقنية
المعلومات
وتحديد السياسات
والإجراءات للأعمال
ذات الصلة
بإدارة تقنية
المعلومات وكذلك
تعزيز
الضوابط على
تلك السياسات والإجراءات.
· توثيق السياسات والإجراءات المرتبطة بإدارة تقنية المعلومات وتحديد الصلاحيات والمسؤوليات المرتبطة بها.
ü يهدف هذا الدليل الى التالي:
ü داخلياً – أن يشكل مجموعة من المعايير والنظم والقواعد الحاكمة التي تقوم المنظمة بتسجيل نشاطاتها التقنية بناء عليها، وكذلك نتائج عملياتها، ويشكل هذا الدليل مستند مرجعي لموظفي إدارة المعلومات وأداة لتعزيز الضوابط على عملها.
ü خارجياً – تزويد مستخدمي الموقع الرسمي للمنظمة ومنصات التواصل الاجتماعية الخاصة بها بمعلومات عامة حول المنظمة وانجازاتها وانشطتها وبرامجها التي تنفذها.
ü
يستخدم
هذا الدليل
كمرجعية لعمل
موظفي إدارة
تقنية
المعلومات
لدى المنظمة
بحيث يتم الرجوع
إلى الجزء ذي
العلاقة من هذا
الدليل
للاسترشاد.
مراقب هذا الدليل هو مدير تقنية المعلومات. يجب أن توجه كافة الاستفسارات والأمور المتعلقة بهذا الدليل ونطاق وأهدافه إلى مراقب الدليل. إن مسؤولية الحفاظ على هذا الدليل ومحتوياته وتوزيعه كلياً أو جزئياً، بالإضافة إلى تحديثه وتطبيقه على نحو صحيح هي من صلاحيات مدير تقنية المعلومات.
إن كافة العاملين
المعنيين في المنظمة
لهم حرية الاطلاع
على هذا الدليل
بعد الحصول على
موافقة مسبقة من
مراقب الدليل.
كما يجب أن يتاح
لكافة المدراء
فضلاً عن العاملين
في تقنية المعلومات
الاطلاع على الدليل.
ü يجب أن يتم اعتماد دليل سياسات وإجراءات تقنية المعلومات من قبل رئيسة المنظمة وذلك قبل وضعه قيد التطبيق.
ü يتم تفعيل الدليل بدءاً من تاريخ اعتماده من قبل رئيسة المنظمة.
ü مراقب الدليل (مدير إدارة تقنية المعلومات) هو المسؤول عن تنفيذ والالتزام بسياسات وإجراءات عمليات إدارة تقنية المعلومات.
ü يمكن لمراقب الدليل تفويض مسؤولية تنفيذ سياسات وإجراءات إدارة تقنية المعلومات وفقاً لما هو وارد بهذا الدليل إلى شخص مختص في التعامل مع المسئوليات داخل إدارة تقنية المعلومات.
ü يهدف هذا الدليل إلى أن يكون بمثابة وثيقة حية يتم إضافة سياسات وإجراءات بها عند الضرورة. وإنه من المتوقع أن تتطلب السياسات والإجراءات القائمة إلى تعديل وكذلك يتطلب الأمر إضافة سياسات وإجراءات جديدة.
ü يجب أن تتم كافة التعديلات والتحديثات على هذا الدليل وفقاً لإجراءات التحديث الواردة في هذا الجزء.
ü يجب على جميع الموظفين في تقنية المعلومات التأكد من الامتثال التام لنص وروح هذا الدليل والعمل على مساعدة مدير تقنية المعلومات على تطبيقه بالشكل الصحيح.
ü عند مواجهة صعوبة ما في فهم مضمون الدليل أو بعض النقاط الواردة فيه، يجب استشارة مدير تقنية المعلومات والحصول على توضيح اللازم.
ü
عند
ضرورة
الانحراف
مؤقتاً عن أي
من السياسات
والإجراءات
الواردة في
هذا الدليل،
يجب إخطار
مدير تقنية
المعلومات
والذي بدورة
يتواصل مع
رئيسة المنظمة
لأخذ
التعليمات
اللازمة بهذا
الشأن.
نطاق تطبيق هذا الدليل وما يتصل به هو من اختصاص إدارة تقنية المعلومات تحت الإشراف المباشر من مدير تقنية المعلومات.
·
يجب أن
يتم مراجعة واعتماد
الدليل على
فترات منتظمة
لتعكس التغييرات
في أنشطة
أعمال
المنظمة.
·
يتناول
الجدول
التالي معدل
تكرار
المراجعة ومسؤولية
أداء
المراجعة
ومسؤولية
المعتمد النهائي:
المراجعة |
معدل
تكرار
المراجعة |
مسؤولية
المراجعة |
مسؤولية
الموافقة |
السياسات |
كل
12 شهر |
مدير
تقنية
المعلومات |
رئيسة
المنظمة |
الإجراءات |
كل
12شهر |
مدير
تقنية
المعلومات |
رئيسة
المنظمة |
·
يتم عمل
التعديلات
بالدليل
كنتيجة لسبب
أو مجموعة من
الأسباب
التالية التي
لها تأثير مباشر
على أعمال
إدارة تقنية
المعلومات:
ü التغيرات في السياسات العامة للمنظمة.
ü التغييرات في وظائف وأنشطة المنظمة.
ü التغييرات في الهيكل التنظيمي للمنظمة.
ü
التغييرات
على أنظمة
المعلومات
المستخدمة في
المنظمة.
·
يتم طلب
تحديث الدليل (الإضافة
/ الإلغاء /التعديل)
من قبل مستخدم
الدليل الذي
يرفعه مدير
تقنية المعلومات
للموافقة. يجب
أيضاً أن يلقي
طلب التغيير /
التحديث
الضوء على أثر
التغييرات
المقترحة.
·
سوف يتم
تحديث هذا
الدليل
للتأكد من
التصريح بكافة
التغييرات
وتوثيقها
سواء كانت تلك
التغييرات
مؤقتة أو
دائمة وكذلك
التأكد من أن
محتويات
الدليل تعكس
باستمرار
الممارسات الحالية
في إدارة
تقنية
المعلومات.
·
سوف يتم
منح الموافقة
المبدئية
والنهائية لأية
تغييرات
وفقاً للمبدأ
التوجيهي
لمعدل تكرار
الصيانة
والمراجعة
الوارد في هذا
الجزء.
·
بمجرد
الحصول على
الموافقة،
سوف يتم إعادة
طلب تحديث
الدليل إلى
مراقب الدليل
ليتم تسجيله
في سجل ضبط
تحديثات
الدليل
الوارد في هذا
الجزء.
· سوف يتم إصدار كافة التغييرات المؤقتة في صيغة مذكرة مستقلة مع إتباع نفس الإجراء الخاص بتحديث الدليل مع إشارة تدل على الأجراء ذات الصلة المتأثرة في هذا الدليل.
·
يجب أن
يتم الاحتفاظ
بالحد الأدنى
من التغييرات
المؤقتة وسوف
يتم تفعيلها لمدة
لا تتجاوز
شهراً واحداً
وألا يتطلب
الأمر إعادة
إصدار مذكرة
محدثة بالتغييرات
المؤقتة.
· يجب وضع أي متغيرات تطرأ على هذا الدليل مؤرخة ومتسلسلة.
· يتم إدخال تاريخ إجراء التحديث إلى جانب رقم التغيير في كل صفحة من صفحات دليل تقنية المعلومات.
· يتولى مراقب الدليل التحقق من معرفة جميع الموظفين بالتحديثات ورقم آخر إصدار من إصدارات الدليل وتاريخ بدء التطبيق.
·
يجب
الاستعانة
بالجدول
الآتي
وتوقيعه لإجراء
جميع
التحديثات
على الدليل.
تاريخ
هذا الإصدار: xx/xx/xx
تاريخ
الإصدار
التالي: xx/xx/xx
الإصدار |
التاريخ |
ملخص
التغييرات |
|
|
|
· إن هذا الدليل هو ملك لمنظمة عبس التنموية وقد أعد للاستخدام داخل المنظمة.
·
لا يسمح
أن يتم نسخ أو
تخزين أي جزء
من هذا الدليل
في أي نظام أو
شكل أو أن يتم
نقله في أي
شكل من خلال
أي وسيلة –
سواء
الكترونية أو
مصورة أو
مسجلة أو غير
ذلك – دون
الحصول على
موافقة خطية
مسبقة من
مراقب الدليل
بعد موافقة
رئيسة
المنظمة.
مدير
إدارة تقنية
المعلومات
رئيس
قسم الجرافيكس رئيس
قسم الصيانة
والدعم
الفني رئيس
قسم الشبكات رئيس
قسم البرمجة
والتطوير رئيس
قسم أمن
المعلومات
1.2
المقدمة
والأهداف
يتركز دور
إدارة تقنية
المعلومات على
البحث في
الاحتياجات
التقنية
لمنظمة عبس
التنموية
والبحث عن أفضل
الممارسات
وأحدث التقنيات
والخدمات
الإلكترونية
والعمل على
توظيفها
بالطريقة الأمثل.
الهدف
الرئيسي من
هذه السياسة
هو إدارة
تقنية
المعلومات
بما يتوافق مع
استراتيجية
وميزانية
المنظمة
ويتضمن ذلك: -
·
تحديد
توجه
استراتيجي
لإدارة تقنية
المعلومات بما
يتوافق مع
استراتيجية
منظمة عبس
وأهدافها.
·
ترتيب
وإعداد
أولويات
تنفيذ
مبادرات
ومشاريع تقنية
المعلومات
المزمع
تنفيذها في
المستقبل.
·
إدارة
المتطلبات
التقنية
للأعمال في
المنظمة بما يخص
تقنية
المعلومات.
1.3
السياسات
·
وضع الخطة
الاستراتيجية
لتقنية
المعلومات:
ü تحدد الخطة الاستراتيجية لتقنية المعلومات كيفية مساهمة إدارة تقنية المعلومات في تحقيق الأهداف الاستراتيجية لمنظمة عبس.
ü تحدد الخطة الاستراتيجية لتقنية المعلومات كيفية تقديم الدعم الفني لمنظمة عبس في متطلبات الأهداف الاستراتيجية للأعمال والاستثمارات، وتحدد ايضاً جميع المتطلبات لتحقيق ذلك بما في ذلك الميزانية.
ü
تتضمن
الخطة
الاستراتيجية
مشاريع
لتحقيق اهداف
إدارة تقنية
المعلومات
وتحدد
المسؤوليات
والتوقعات من
حيث الأداء
والتنفيذ
والنتائج
بشكل واضح.
·
تحديث
الخطة
الاستراتيجية
لتقنية المعلومات
يعاد النظر في الخطة الاستراتيجية لتقنية المعلومات بشكل دوري (سنوياً) لضمان تحديد ومعالجة المتطلبات الجديدة لتقنية المعلومات والأنظمة اللازمة لتحقيق الأهداف الاستراتيجية لمنظمة عبس.
1.4 الإجراءات
·
التخطيط
الاستراتيجي
لتقنية
المعلومات
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
مدير
تقنية
المعلومات |
عند
نهاية كل سنة
ماليه يقوم
مدير إدارة
تقنية
المعلومات
بطلب الخطة
السنوية
المخطط لها من
رؤساء
الأقسام في
إدارة تقنية
المعلومات |
|
|
لا
يوجد |
2 |
رؤساء
الاقسام في
إدارة تقنية
المعلومات |
يقوم
رؤساء
الأقسام
باقتراح
المشاريع
والمبادرات
حسب
احتياجات
المنظمة
والتطلعات
المستقبلية. |
|
|
لا
يوجد |
3 |
رؤساء
الاقسام في
إدارة تقنية
المعلومات |
يقوم
رؤساء
الأقسام
بالاجتماع
لمناقشة الخطط
وترتيب
الأولويات
ومن ثم عمل
الخطة الموحدة
للمشاريع
ويتم
الاتفاق على
أولويات
تنفيذ للمشاريع
والموارد
التي سيتم
استخدامها. |
|
|
لا
يوجد |
4 |
رؤساء
الاقسام في
إدارة تقنية
المعلومات |
يتم
عرض الخطة
على مدير
إدارة تقنية
المعلومات
ويتم
مناقشتها
معه مع الأخذ
بعين
الاعتبار
مداخلاته
وتوجيهاته. |
|
|
لا
يوجد |
5 |
مدير إدارة
تقنية
المعلومات |
يقوم
مدير إدارة
تقنية
المعلومات
بمراجعة الخطة
والتأكد من
أن الخطة
الاستراتيجية
السنوية
لتقنية
المعلومات
متوافقة مع
الخطة الاستراتيجية
العامة
لمنظمة عبس. |
|
|
لا
يوجد |
6 |
رئيسة
المنظمة |
يقوم
مدير إدارة
تقنية
المعلومات
برفع الخطة
الاستراتيجية
السنوية
لرئيسة
المنظمة للمناقشة
والاعتماد. |
|
|
الخطة
الاستراتيجية
السنوية
لتقنية
المعلومات |
2. سياسة
إدارة
الموارد
البشرية لتقنية
المعلومات
2.1 المقدمة
والاهداف
الغرض
من هذه
السياسة هو
الحد من
احتمالات إساءة
استخدام أو
تدمير أنظمة المعلومات
لدى منظمة عبس
وذلك من خلال
التأكد من
نزاهة
الموظفين
الذين يتم منحهم
امكانية
الوصول إلى
أنظمة
المعلومات والموارد
التقنية لدى
المنظمة.
2.2
السياسات
·
شروط
واحكام
التوظيف
ü المسؤوليات المتعلقة بالتعامل الآمن مع المعلومات وأنظمة المعلومات الخاصة بمنظمة عبس من قبل الموظف اشاره إلى الإجراءات الإدارية التي ستطبق في حالة مخالفة أحكام التوظيف ويجب الرجوع إلى إدارة الموارد البشرية لتنفيذ هذه العملية.
ü يتعين على جميع المستخدمين من الموظفين لدى منظمة عبس توقيع شروط احكام التوظيف / الارتباط بالإضافة إلى اتفاقية السرية للدلالة على قبولهم بها.
ü
يجب
الرجوع إلى
سياسة
الموارد
البشرية بما
يخص إجراءات
التوظيف
والتدريب
للموظفين.
·
الاعتماد
على الأشخاص
ينبغي
على منظمة عبس
الحد من مخاطر
الاعتماد بصورة
كبيرة على
موظفين
رئيسيين وذلك
من خلال تفعيل
المشاركة في
المعرفة،
وتخطيط التعاقب
والاحلال
الوظيفي،
ووجود
احتياطي من
الموظفين،
والوسائل
الاخرى في هذا
الصدد.
·
عملية
الإجراءات التأديبية:
ü
يجب أن
تتخذ منظمة
عبس إجراءات
تأديبية في
حال تم انتهاك
سياسات تقنية
وأمن
المعلومات.
ü
يجب
توثيق
واعتماد أي
استثناءات
تسمح بعدم تعريض
أحد موظفي
منظمة عبس
للإجراءات
التأديبية.
·
تدريب
وتطوير
كفاءات تقنية
المعلومات
ü يجب على إدارة تقنية المعلومات دراسة الاحتياجات التدريبية لموظفيها بشكل دوري بناء على تقييم أداء الموظفين في الإدارة والتكنولوجيا الحديثة بما يتعلق بأعمال المنظمة وإعداد خطة تدريب سنوية لتنفيذ هذه الاحتياجات.
ü يتم تعديل خطة التدريب في حال تطبيق تقنيات جديدة او تحديث التقنيات القائمة بشكل جذري.
ü
يتم
تقديم تدريب
لمستخدمي
أنظمة معلومات
المنظمة من
قبل إدارة
تقنية المعلومات
حسب احتياجات
العمل.
·
تغيير
دور او
استقالة او
إقالة موظف
في حالة
تغيير الدور
او استقالة او
اقالة موظف
فإن على مدير
إدارة
الموارد
البشرية /
الإدارة
المعنية
القيام فوراً
بإبلاغ إدارة
تقنية
المعلومات لإلغاء
– تعديل صلاحيات
الدخول لذلك
الموظف على
أنظمة المعلومات
واسترجاع
كافة العهد،
ويجب التعامل
مع ذلك وفقاً
لإجراءات
تغيير الدور
او الاستقالة
او الإقالة.
·
مراقبة
سلوك الموظف
تقع على
عاتق موظفي
منظمة عبس
مسؤولية
تبليغ إدارة
تقنية
المعلومات /
الموارد
البشرية / او الإدارة
المعنية عن أي
أنشطة مشبوهة
يقوم بها
زملائهم او
الأشخاص
الاخرين
الذين لديهم إمكانية
الوصول إلى
أنظمة
المعلومات
لدى منظمة
عبس.
2.3
الإجراءات
التوظيف
وتقديم
الموظفين
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
مدير
تقنية
المعلومات |
قبل
بداية العام (وكذلك
خلال العام
عند الحاجة)
كجزء من
التخطيط
السنوي
لتقنية
المعلومات، يقوم
مدير تقنية
المعلومات
بتحديد
احتياجات
القسم من
الموارد
البشرية
والتي يجب
اضافتها
للوظائف
الحالية يجب
الرجوع في
ذلك إلى
سياسة الموارد
البشرية
والمشاريع
السنوية. |
|
|
لا
يوجد |
2 |
رؤساء
الأقسام في
تقنية
المعلومات |
يقوم
مدير تقنية
المعلومات
بالتنسيق مع
رؤساء
الأقسام
بإجراء
المقابلات
الوظيفية من
اجل اختيار
المرشحين
للمناصب
الشاغرة في
إدارة تقنية
المعلومات
وفقاً
لسياسة
الموارد البشرية. |
|
|
لا
يوجد |
3 |
مدير
تقنية المعلومات |
يقوم
مدير تقنية
المعلومات
بالموافقة
على العروض
الوظيفية
للمرشحين
المجتازين
للمقابلات
الشخصية
وفقاً
لسياسة
الموارد
البشرية. |
|
|
العرض
الوظيفي |
4 |
مدير
تقنية
المعلومات |
يقوم
مدير تقنية
المعلومات
بتعيين موظف
جديد إلى
قسمه
وتوجيهه على
رئيس القسم المعني
الذي يشرف عن
كثب على
الموظف
الجديد ومراقبة
اداءه،
وتوفير
التوجيه
والدعم له خلال
فترة
التجربة (3)
أشهر. |
|
|
لا
يوجد |
2.4 تدريب
وتطوير
كفاءات تقنية
المعلومات
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
رؤساء
الأقسام في
تقنية
المعلومات |
يقوم
رؤساء الأقسام
بتقييم
المهارات
والمتطلبات
الوظيفية
لمنسوبي
الإدارة كل
سنة بناءً
على تقييم
أداء
الموظفين
وتحديد
مواطن
التطوير. |
|
|
لا
يوجد |
2 |
رؤساء
الأقسام في
تقنية
المعلومات |
يقوم
رؤساء
الأقسام
بتحديد
متطلبات
التدريب حسب
التقنيات
المستخدمة
حالياً وفي المستقبل
ويتم
مناقشتها مع
مدير تقنية
المعلومات لاعتمادها. |
|
|
لا
يوجد |
3 |
مدير
تقنية
المعلومات |
يقوم
مدير إدارة
تقنية
المعلومات
بإرسال متطلبات
التدريب
لإدارة
الموارد
البشرية لإدخالها
في خطة
التدريب
العامة
للمنظمة. |
|
|
لا
يوجد |
4 |
مدير
تقنية
المعلومات |
يتم
التنسيق مع
إدارة
الموارد
البشرية
لتطبيق خطة
التدريب المعتمدة. |
|
|
خطة
التدريب |
3.1 المقدمة
والاهداف
الغرض
من هذه
السياسة هو
تحقيق معايير
الجودة فيما
يخص
التطبيقات
والبينية
التحتية والانظمة
المساندة
التي تخدم
اعمال منظمة
عبس.
3.2 السياسات
v
الجودة
في اختيار
وتطبيق
البرامج الجاهزة:
·
استخدام
آلية معتمدة
لاختيار
الأنظمة الجاهزة
من الجهات
الخارجية،
على أن تتضمن
هذه الآلية
بحد أدنى على
مقارنات فيما يخص:
ü الملف التعريفي للمورد.
ü الوظائف المطلوبة من البرنامج (APPLCATION) وملاءمتها لمتطلبات الأعمال في المنظمة.
ü الخصائص التقنية للتطبيق وتوافقها مع البنية التحتية.
ü الخصائص التقنية لشبكة المعلومات في المنظمة.
ü كيفية تقديم الدعم الفني والصيانة من قبل المورد.
ü منهجية أدارة المشروع.
·
منهجية
إدارة المشروع
في مرحلة
تطبيق البرنامج.
v
الجودة
في تطوير
البرامج:
· اعتماد إطار عمل متكامل لتطوير البرامج، والاستفادة من نموذج نضج إمكانية التكامل لتحسين عملية تطوير البرامج بهدف التوافق مع اهداف المنظمة.
· اعتماد منصة تطوير موحده لتطوير البرامج التي تحتاجها المنظمة بحيث يتم اجتياز هذه المنصة على أسس واضحة وتلقي التدريب الكافي على استخدامها.
· تحديد مسؤوليات فريق تطوير البرامج ومراقبة ذلك من خلال تطبيق حل متكامل يتضمن جميع مراحل تطوير البرامج وإدارة شفرات المصدر.
·
القيام
بإجراء
اختبارات
رسمية موثقة
على البرامج
المطورة
داخلياً
وتوثيق نتائج
الاختبارات.
v
الجودة
في أمن
المعلومات:
· يجب على إدارة تقنية المعلومات في المنظمة وضع ضوابط لاستخدام أنظمة المعلومات الخاصة بمنظمة عبس من خلال دمج هذه الضوابط في عملية تقنية المعلومات.
· القيام بمراقبة الالتزام بهذه الضوابط بشكل دوري من خلال القيام بإجراء عمليات مراجعة على هذه الضوابط.
· إعداد تقارير دورية حول حوادث امن المعلومات وتقارير المراجعة واحداث خطط لتحسين هذه الضوابط واقتراح حلول وتوصيات لتحسين مستوى امن المعلومات في المنظمة.
·
القيام
بحملات توعية
بأهمية
الالتزام
بمعايير
وضوابط امن
المعلومات
لجميع
المستخدمين.
v
الجودة
في تقديم
الدعم الفني وخدمات
تقنية
المعلومات:
· تحديث قائمة الخدمات التي تقدماها إدارة تقنية المعلومات ومتطلبات الحصول عليها.
· تحديد دورات العمل المتعلقة بكل خدمة والوقت القياسي للحصول على كل خدمة.
· متابعة الطلبات / البلاغات المقدمة من قبل المستخدمين والتأكد من معالجتها حسب اتفاقية مستوى الخدمة.
· اصدار تقارير حول كيفية جودة تقديم الخدمات وحل البلاغات من خلال مراجعة عينات عشوائية منها، بالإضافة قياس مدى رضى المستخدمين بشكل دوري.
3.4 الإجراءات
لا
تحتاج هذه
السياسة
لإجراءات
تشغيلية بموجب
هذا الإطار
وقد تم تحديد
الخطوات
العلمية
المطلوب اتباعها
ضمن السياسة.
1.4 المقدمة
والاهداف
الغرض
من هذه
السياسة وضع إطار
عمل لتحليل
وتقييم
المخاطر
والتخفيف من
اثارها على
تقنية
المعلومات
وإدارة الأعمال
في المنظمة، وتحديد
الإجراءات
المناسبة
الواجب
اتخاذها لتخفيف
آثار حدوث أي
توقف أو
انقطاع
لأنشطة العمل
وحماية
عمليات /
أنشطة العمل
من الآثار الناجمة
عن إخفاق أو
تعطل أنظمة
المعلومات أو
الكوارث
والتأكد من
استعادة
الأنظمة
بأسرع ما يمكن.
2.4
السياسات
v
إطار
عمل إدارة
تقنية
المعلومات في تقييم
المخاطر:
ينبغي
تأسيس سياق
لتقييم المخاطر
ويجب ان يشمل
هذا السياق ما
يلي:
ü تحديد اهداف سياق المخاطر الداخلية والخارجية على تقنية المعلومات.
ü وضع اهداف واضحة لعملية تقييم المخاطر.
ü تحديد معايير لكل خطر من المخاطر وكيفية تقييمها.
v تعريف
الاحدث
وتقييم
المخاطر:
·
الاحداث
هي عباره عن
تهديدات
واضحة
وواقعية
تستغل نقاط
الضعف في
أنظمة
المنظمة،
والتي قد تؤدي
إلى التأثير
سلباً على
إجراءات
الاعمال في
المنظمة
ويشمل ذلك ما يلي:
ü متطلبات سير العمل.
ü الأنظمة والقوانين الداخلية والخارجية.
ü التقنيات المستخدمة.
ü الموارد البشرية.
ü الجوانب التشغيلية.
· يجب تحليل طبيعة ومدى تأثير المخاطر المترتبة على الحدث وحفظ هذه المعلومات في سجل مخاطر تقنية المعلومات.
· يجب تقييم الاحداث المحتمل وقوعها مع جميع المخاطر المتعلقة بها باستخدام أساليب التحليل الكمية والنوعية.
·
ينبغي
أن تحدد
احتمال
وتأثير
المخاطر
المرتبطة
بشكل فردي
وذلك حسب
تصنيف هذه
المخاطر.
v خطة
الاستجابة للمخاطر:
· تطوير خطة الاستجابة للمخاطر تهدف إلى ضمان رقابة فعاله من حيث التكلفة للضوابط الواجب تطبيقها وتخفيف احتمالية التعرض للمخاطر التي تم حصرها بشكل مستمر.
·
ينبغي
لعملية
الاستجابة
للمخاطر
تحديد استراتيجيات
معالجة
المخاطر مثل:
ü التجنب
ü الحد
ü التقسيم
ü القبول
· يجب إعطاء الأولوية والتخطيط لأنشطة الاستجابة للمخاطر على جميع المستويات وذلك لتنفيذ خطة الاستجابة للمخاطر التي تم تحديدها مسبقاً ويشمل ذلك تحديد التكاليف والفوائد ومسؤولية التنفيذ.
v
استمرارية
النشاط
وتقييم
المخاطر
· ينبغي على منظمة عبس أن تطبق إطاراً مناسباً لإدارة استمرارية النشاط للحد من التأثير الذي قد تتعرض له المنظمة، واسترجاع خسارة المعلومات التي فقدت أثناء الكوارث الرئيسية مثل الحريق، الفيضان، الهزات الأرضية، العواصف، الأعطال الرئيسية لنظام تقنية المعلومات (الأجهزة) فقدان سجلات البيانات (البرامج) الاضطرابات المدنية، والاضرابات، فقدان الموارد.. الخ.
· يجب ان يستند تخطيط استمرارية النشاط على المخاطر المحددة التي من شأنها أن تسبب انقطاع عمليات / خدمات النشاط وعلى تحليل المخاطر وتأثيرها لتحديد إمكانية وأثر تلك الانقطاعات من حيث الفترات الزمنية، ونطاق تضرر الواقع، فترة الاستعادة.
· تقوم منظمة عبس بمشاركة كاملة من المسؤولين عن العمليات / الخدمات وموارد العمل الأخرى المرتبطة ببيئة أنظمة المعلومات بإجراء تقييم للمخاطر المترتبة على التوقف أو التغيير في بيئة أنظمة المعلومات، يتبعه فترة أثار التغيير.
·
يجب أن
يشتمل تقييم
مخاطر
المترتبة على
توقف أنظمة
المعلومات
على تحديد
المخاطر
وأولوياتها
مقابل معايير
وأهداف منظمة
عبس، أن يتضمن
الموارد
الهامة، أثر
انقطاع / توقف
العمل بأنظمة
وتقنية
المعلومات،
والفترات
المسموح بها
لانقطاع
الخدمة واوليات
الاستعادة.
2.4
الإجراءات
تقييم
مخاطر تقنية
المعلومات
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
رئيس قسم
الشبكة ورئيس
قسم أمن
المعلومات
ورئيس قسم
البرمجة
والتطوير |
تعريف
وتسجيل
الاحداث
المتعلقة
بتقنية المعلومات
التي قد تشكل
خطراً
محتملاً على
سير الاعمال
في المنظمة. |
|
|
سجل
الاحداث |
2 |
رئيس قسم
الشبكة ورئيس
قسم أمن
المعلومات
ورئيس قسم
البرمجة
والتطوير |
تحديد
الأهداف
التي تشكل
خطراً
محتملاً وتسجيلها
في سجل
المخاطر. |
|
|
سجل
المخاطر
المحدث |
3 |
رئيس قسم
الشبكة ورئيس
قسم أمن
المعلومات
ورئيس قسم
البرمجة
والتطوير |
تقييم
درجة الخطر
في كل
المخاطر
ووضع التوصية
المناسبة
مثل التجنب
والحد
والتقسيم
والقبول. |
|
|
لا
يوجد |
4 |
رؤساء
الأقسام في
إدارة تقنية
المعلومات |
تطبيق
الاجراء
وخطة
الاستجابة
للخطر بعد ذلك
توثيق
النتائج. |
|
|
لا
يوجد |
5 |
مدير
تقنية
المعلومات |
مراجعة
تقرير تقييم
المخاطر
واجراء
التعديلات
ان وجد. |
|
|
تقرير
تقييم
المخاطر. |
1.5
المقدمة
والأهداف
الغرض
من هذا
الإجراء هو
تنظيم الحصول
على الحلول
والأنظمة
والبنى
التحتية
التابعة لها (من
قبل جهة خارجية)
تدعم عمل
منظمة عبس
بكفاءة
وفعالية
وفقاً لمتطلبات
واهداف المنظمة.
والتأكد من أن منظمة عبس تدير مخاطر أمن المعلومات التي قد تنجم عن أنشطة الأطراف الأخرى التي تقدم خدماتها للمنظمة والتي قد تسبب خطر للأنظمة.
2.5 السياسات
v
التخطيط
المسبق
لمتطلبات
شراء أو تطوير
نظام
المعلومات:
ينبغي
على منظمة عبس
أن تطور
وتحافظ على
وثيقة
متكاملة لإدارة
دورة حياة
تطوير النظام
لعمليات التطوير
للأنظمة والبرامج
الرئيسية
التي تتم من
قبل المنظمة
أو جهة خارجية،
وتشمل وثيقة
دورة حياة
تطوير النظام
بحد أدنى ما يلي:
ü بدء المشروع (التخطيط).
ü تحديد المتطلبات (التحليل).
ü تصميم النظام.
ü تطوير النظام.
ü الفحص.
ü التطبيق والدعم الفني.
v
الحد
الأدنى
لإعدادات
النظم
· يتعين على منظمة عبس إعداد وتوثيق والحفاظ على وجود حد أدنى للإعدادات الخاصة بنظام المعلومات الجديد.
· يتعين على منظمة عبس تحديث الإعدادات الأساسية لنظام المعلومات كجزء متكامل من عملية تطبيق أجزاء نظام المعلومات إذ لم تتعارض مع الاعدادات والتقنيات المستخدمة حالياً.
· يجب تحديد المواصفات التقنية والوظيفية لعناصر البنية التحية للأنظمة المزمع تطويرها أو شرائها.
v
إدارة
العقود:
· يجب توقيع اتفاقية رسمية بين منظمة عبس وكافة الأطراف الأخرى التي تقدم خدماتها الفنية والتقنية إلى منظمة عبس.
· يتم تقديم الضوابط المتعلقة بسياسات وإجراءات أمن معلومات منظمة عبس إلى الأطراف الأخرى أصحاب الخدمات المقدمة للمنظمة والذي يتعين عليهم قراءة وفهم سياسات وإجراءات أمن المعلومات وإقرارهم بقبولها.
· تحتفظ منظمة عبس بحقها في رفض خدمات أي موظفين تابعين لأي طرف بناءً على كفاءتهم الفنية وقدراتهم التنفيذية والاعتبارات الأمنية وأي جوانب أخرى متعلقة بهذا الصدد والتي قد تسبب ضررً لمنظمة عبس.
v
تبادل
المعلومات:
على
منظمة عبس أن
تفرض على جميع
الأطراف مقدمي
الخدمات
توقيع
اتفاقية
رسمية لعدم الإفصاح
قبل مشاركتهم
في معلوماتها
السرية.
v
إدارة
أداء الأطراف
مقدمي
الخدمات
يقوم
مدير تقنية
المعلومات
بمراقبة أداء
طرف مقدم
الخدمة
والتأكد من
التزامه بما
تم النص عليه
في اتفاقية
الخدمة، وفي
حالة إخلاله بالعقد،
لإدارة تقنية
المعلومات
اتخاذ الإجراءات
اللازمة وذلك
بموجب
اتفاقية
العقد
الموقعة مع
ذلك الطرف.
3.5
الاجراءات
·
شراء
وتطوير أنظمة
المعلومات
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
مدير
إدارة تقنية
المعلومات |
عندما
يجري تطوير
نظام
معلومات
جديد (من مورد
أو من قبل طرف خارجي)
يقوم مدير
إدارة تقنية
المعلومات
بتعيين فريق
داخلي
للمشاركة في
عملية
اختيار
وتطبيق النظام. |
|
|
لا
يوجد |
2 |
قسم البرمجة
والتطوير |
يقوم
الفريق
بالتنسيق مع
المورد
الخارجي بتحليل
البرنامج
عبر عقد
ورشات عمل مع
المستخدمين
النهائيين للتأكد
وجمع وتحليل
متطلبات
المنظمة من
التطبيق ومن
ثم تبدأ
عملية إنشاء البرنامج. |
|
|
لا
يوجد |
3 |
قسم البرمجة والتطوير |
يعرض البرنامج
على
المستخدمين
النهائيين
وهو في طور
الإنشاء
للتحقق من ملاءمته
للتوقعات وللحصول
على
ملاحظاتهم
وبناءً عليه
يتم عمل التغييرات
والتعديلات
اللازمة. |
|
|
لا
يوجد |
4 |
قسم البرمجة والتطوير |
يتم
اجراء مراحل
الاختبارات
للتأكد من تنفيذ
الضوابط
الأمنية اللازمة. |
|
|
لا
يوجد |
5 |
قسم البرمجة والتطوير |
يقوم
الموظف
المختص بنقل البرنامج
إلى بيئة
الإنتاج
لتحديد
أولوية طلب
التغيير. |
|
|
لا
يوجد |
6 |
قسم البرمجة والتطوير |
يقوم
الفريق
بالتنسيق مع
المورد
الخارجي بعقد
دورات تدريب
للمستخدمين
النهائيين |
|
|
ورش
العمل
للتدريب على
النظام |
7 |
قسم البرمجة والتطوير |
يقوم
الفريق
بالتنسيق مع
مزود خدمة
لعمل الصيانة
الدورية للبرنامج. |
|
|
خطة
الصيانة |
·
شراء
عناصر البنية
التحتية
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
رئيس
قسم الشبكة
ورئيس قسم
البرمجة
والتطوير |
تطوير
المتطلبات
الفنية
للبنى
التحتية وفقاً
لمتطلبات الأنظمة. |
|
|
لا
يوجد |
2 |
رئيس قسم الشبكة ورئيس قسم البرمجة والتطوير |
تطوير
كراسات
الشروط والمقاييس.
من أجل توريد
عناصر البنى
التحتية. |
|
|
كراسة
الشروط
والمقاييس. |
3 |
رئيس قسم الشبكة ورئيس قسم البرمجة والتطوير |
التنسيق
مع إدارة
المشتريات
من أجل
الحصول على
العروض
المالية
والفنية
بالإضافة
إلى جداول
الأسعار والكميات. |
|
|
لا
يوجد |
4 |
رئيس قسم الشبكة ورئيس قسم البرمجة والتطوير |
تنفيذ
مقارنة فنية
بين العروض
التي تم
استلامها
وارسالها
لمدير تقنية
المعلومات
للاعتماد. |
|
|
لا يوجد |
5 |
مدير إدارة تقنية المعلومات |
يقوم
مدير تقنية
المعلومات
بمراجعة
المقارنة
الفنية
والتوصيات
واعتمادها
ومن ثم ارسالها
إلى إدارة
المشتريات. |
|
|
توصيات
اختيار مورد
البنية
التحتية. |
6 |
رئيس
قسم الشبكة
ورئيس قسم
البرمجة
والتطوير |
استلام
الأجهزة. |
|
|
|
1.6 المقدمة
والأهداف
الغرض
من هذه
السياسة هو مواكبة
كل التغيرات
التي تطرأ على
تكنولوجيا
المعلومات والتأكد
من أن جميع التغييرات
التي تطرأ على
أنظمة المعلومات
الرئيسية أو
البنية
التحتية
لتقنية المعلومات
حديثة، وذلك للحد
من احتمالات
انقطاع او
توقف خدمات
تقنية المعلومات.
2.6
السياسات
يجب أن تتأكد منظمة عبس من القيام بالإدارة والسيطرة على جميع التغييرات بشكل رسمي في ذلك التغييرات الاعتيادية او التغييرات الطارئة على أنظمة المعلومات والبنى التحتية لتقنية المعلومات لدى المنظمة كما ينبغي أن يتم تسجيل وتقييم التغييرات واعتمادها قبل تنفيذها ومراجعتها بعد تنفيذها ومقارنتها بالنتائج التي قد تم التخطيط المسبق لها.
v
ينبغي
على منظمة عبس
أن تحدد فئات
طلبات التغيير
لديها بناءً
على مدى
أهميتها
وبحسب ما هو موضح
أدناه:
· التغييرات الاعتيادية: وهي التغييرات على أنظمة المعلومات أو البنية التحتية التي تتطلب فترة مسبقة للمراجعة واعتماد طلب التغيير قبل تنفيذها.
·
التغييرات
الطارئة: وهي
التغييرات
التي يوجد لها
أولوية نظراً
لأهمية
إجرائها بشكل
مستعجل وبدون
توثيق مما قد
يؤدي إلى أثر
سلبي على
خدمات تقنية
المعلومات
الرئيسية، وهذا
النوع من
التغييرات
يعطي
الأولوية على التغييرات
العادية ولا
يخضع
لمعاييرها
نظراً لضيق
الوقت ووجوب
إجرائه بأسرع
ما يمكن.
v يتم اجراء جميع التغييرات العادية على أنظمة المعلومات والبنية التحتية لدى منظمة عبس وفقاً لإجراءات إدارة التغيير.
v يتعين على منظمة عبس أن تأخذ في اعتبارها آثار التغيير على أمن المعلومات وأن تتخذ الإجراءات المناسبة للحد من الآثار المترتبة على التغيير وتأثيره على سلامة وأمن المعلومات.
v قبل اعتماد وتنفيذ أي تغيير على أنظمة المعلومات، فإنه يجب التأكد من تحديد نظام/ أنظمة المعلومات الأخرى التي قد تتأثر جراء التغيير، وأنه يتم اشراك المسؤولين أو الراعيين لتلك الأنظمة في العملية والحصول على الاعتماد المناسب منهم على تنفيذ التغيير / التغييرات.
v يتم اعتماد التغييرات على البنية التحتية من قبل مدير إدارة تقنية المعلومات.
v عند موافقة مدير إدارة تقنية المعلومات يفضل اختبار التغيير في بيئة الفحص أولاً قبل التصريح بالموافقة بتطبيق التغيير إلى بيئة الإنتاج.
v في حال الحاجة إلى إجراء تغييرات واستجابة طارئة على مهمات حرجة يمكن أن يتم التجاوز مؤقتاً عن إجراءات إدارة التغيير العادي إلى الحد الذي يعتبر ضرورياً لضمان استمرارية الاعمال الأساسية لدى منظمة عبس.
v يجب أن تتم مراجعة واعتماد التغييرات الطارئة من قبل صاحب الصلاحية الذي يعتمد طلب التغيير الطارئ وهو مدير إدارة تقنية المعلومات أو من ينوب عنه.
v تيم اجراء التغييرات الطارئة بشكل فعال وبالسرعة الواجبة وفقاً لإجراءات التغييرات الطارئة.
v يتم استكمال اغلاق طلب التغيير وتوثيقة وذلك بعد الانتهاء من التغييرات الطارئة على غرار الإجراءات المتبعة في حالة التغييرات العادية.
v يتم تبليغ طالب التغيير وأصحاب المصلحة المعنيين بآخر المستجدات بشأن حالة التغيير في أنظمة المعلومات.
v
تقوم إدارة
تقنية
المعلومات
بإعداد
وصيانة سجل متابعة
التغييرات في
طلبات
التغيير على
أنظمة
المعلومات
والتغييرات المنفذة
على أنظمة
المعلومات
لدى منظمة
عبس.
3.6 الإجراءات
·
انشاء
طلب التغيير
وتحليله
واعتماده
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
مقدم
الطلب |
انشاء
طلب التغيير
وتحليله واعتماده:
ü يقوم مقدم الطلب بتوثيق المعلومات ذات العلاقة عن التغييرات التي يرغب أن تجرى على نظام المعلومات أو البنية التحتية. ü
على
مقدم الطلب
ان يرسل
الطلب الذي
وثقة إلى
إدارة تقنية
المعلومات. |
|
|
لا
يوجد |
2 |
رؤساء اقسام تقنية المعلومات |
تقييم
طلب التغيير
واعتماده: ü يجري رئيس قسم الشبكة أو رئيس قسم البرمجة والتطوير تقييماً لطلب التغيير. ü إذا كان طلب التغيير عاجلاً (طارئ) يقوم رئيس قسم الصيانة والدعم الفني بإرساله على الفور إلى رئيس القسم المعني لمراجعته واعتماده. ü
تعد
التغييرات
الأخرى
تغييرات
عادية وعندها
وبناءً على
التقييم
الأولي يحدد رئيس
قسم الشبكة
أو رئيس قسم البرمجة
والتطوير
أثر التغيير
وبناءً عليه
يرسل
التغييرات
إلى مدير
إدارة تقنية
المعلومات
لمراجعتها
واعتمادها
وخصوصاً
مكونات
النظم
المترابطة. |
|
|
لا
يوجد |
3 |
رؤساء اقسام تقنية المعلومات |
تخطيط
وجدولة
طلبات التغيير: ü يتم القيام بهذا النشاط لطلبات التغيير المعتمدة. ü بناءً على الطبيعة المحددة لطلب التغيير المعتمد يقوم رئيس قسم الشبكة أو رئيس قسم البرمجة والتطوير بالأعمال التالية لطلب التغيير: أ – تحديد
أولوية طلب
التغيير. ب-
تحديد وتخصيص
الموارد
الرئيسية
المطلوبة
لتنفيذ
التغيير. ج-
بناءً على ما
تقدم يتم
تحديد جدول
زمني مبدئي
لتنفيذ طلب التغيير. د-
تحديد
الأشخاص /
الإدارات
الأخرى
المعنية الذين
يمكن أن
يتأثروا
بالتغيير
ويتعين ابلاغهم
بذلك
التغيير. ü يتم توثيق المعلومات أعلاه وتبليغها بصوره رسمية للأطراف التالية: أ –
مقدم الطلب. ب – الأقسام
المعنية
والذين سيكونون
مسؤولون عن
تنفيذ
التغيير. |
|
|
طلب
التغيير |
·
تنفيذ
التغيير
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
رئيس
القسم
المختص |
التخطيط
التفصيلي
لتنفيذ طلب
التغيير ü يتم اسناد طلب التغيير المعتمد إلى رئيس القسم المعني. استناداً على طلب التغيير. ü يعتبر الشخص الذي تم تكليفه بمثابة المسؤول على التغيير ويجب أن يكون مسؤولاً عن تنفيذ التغيير. ü
يقوم
المسؤول عن
التغيير
بإعداد خطة بأنشطة
محدده
للطلبات كي
يتم القيام
بها لتنفيذ
طلب التغيير
المعتمد
ويقوم كذلك
بترتيب الموارد
المطلوبة. |
|
|
لا
يوجد |
2 |
رؤساء
أقسام تقنية
المعلومات |
بناء
التغييرات
من أجل
تطبيقها ü يقوم المسؤول عن التغيير مع فريق العمل التابع له بتطوير / شراء العناصر المطلوبة لطلب التغيير المعتمد. ü
يتم
تطبيق
الخطوات ذات
العلاقة
لدورة تطوير الأنظمة
أو شرائها
لدى إدارة
تقنية
المعلومات
وذلك حسب طلب
التغيير
المعتمد
للطلبات. |
|
|
لا
يوجد |
3 |
|
فحص
التغييرات التي
سيتم
تطبيقها
وتطوير خطة
التراجع عن
التغيير
المعتمد ü
يفضل
ان بيتم فحص
التغييرات
في بيئة
الفحص باستخدام
الأساليب
المناسبة. ü
يتم
تطوير خطة
التراجع عن
التغيير
لتنفيذها في
حال عدم نجاح
تنفيذ
التغيير. |
|
|
لا
يوجد |
4 |
رئيس
القسم
المختص |
تنفيذ
التغييرات ü يتم ادخال التغيير للطلبات في بيئة الإنتاج ويتم اختيار لفترة مناسبة للحد من أثر التغيير على خدمات تقنية المعلومات. ü يتم ابلاغ جميع الأطراف ذات العلاقة التي قد تتأثر من التغيير للطلبات وذلك قبل تطبيق التغيير في بيئة الإنتاج. ü يتم تطبيق التغيير المعتمد والمفحوص في بيئة الإنتاج من قبل الأشخاص المصرح لهم بذلك. ü يتم فحص التغيير المنفذ للتأكد من تأديته لوظائفه بشكل ملائم. ü
في
حال ضهور
مشاكل ناتجة
عن التغيير
يتم عكس
العملية
وفقاً لخطة
التراجع
المحددة. |
|
|
لا
يوجد |
5 |
رئيس
القسم
المختص |
إغلاق
طلب التغيير ü تتم مراجعة جميع التغييرات المنفذة من قبل رئيس قسم البنية التحتية أو رئيس قسم التطبيقات لتحديث حالة التغييرات المنفذة بنجاح بأنها أغلقت. ü
يتم
تبليغ مقدم
طلب التغيير
رسمياً بشأن
إغلاق طلب
التغيير. |
|
|
التغيير
المنفذ |
·
تنفيذ
التغييرات
الطارئة
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
مدير إدارة
تقنية
المعلومات |
يقوم
مدير تقنية
المعلومات
أو من ينوب
عنه لاعتماد
طلبات
التغيير
الطارئة
بمراجعة طلب
التغيير في
ضوء
المعلومات
المقدمة له
والتشاور مع
الأشخاص
الآخرين
المعنيين
ومن ثم يوافق
على طلب
التغيير أو يرفضه. |
|
|
لا
يوجد |
2 |
رؤساء
الأقسام في
تقنية
المعلومات |
يجب تنفيذ
طلب التغيير
الطارئ المعتمد
وفقاً
لإجراء تنفيذ
التغيير غير
أن ثمة أنشطة
تتطلب وثائق
تفصيلية
يمكن
تجاوزها
مؤقتاً عند
تنفيذ
التغييرات
المستعجلة. |
|
|
لا
يوجد |
3 |
رؤساء الأقسام في تقنية المعلومات |
بعد تنفيذ
التغيير
الطارئ يقوم
المسؤول عن
ذلك التغيير
بالتأكد من
إتمام عملية
التوثيق
المطلوبة. |
|
|
لا
يوجد |
4 |
رؤساء الأقسام في تقنية المعلومات |
بعد
احتواء
الوضع
الطارئ الذي
استدعى
التغيير
المستعجل
يقوم رئيس القسم
المختص
بمراجعة
التغييرات
الطارئة
التي تمت
وتقرر فيما إذا
كان سيتم
الإبقاء على
تلك
التغييرات
بشكل دائم او
اجراء
تعديلات /
تحسينات
إضافية عنه. |
|
|
التغيير
الطارئ
المنفذ |
1.7
المقدمة
والاهداف
الغرض
من هذه
السياسة هو
تحديد جدول فعال
لإدارة
عمليات تقنية
المعلومات
بما يتضمن
الدعم الفني
والصيانة
2.7
السياسات
v
الصيانة
· يجب أن تخضع البنية التحتية والنظم في منظمة عبس للصيانة الوقائية والدورية لضمان استمرارية عملها وتحسين مستوى الخدمة في إدارة تقنية المعلومات.
·
يجب أن
تتم جدولة أعمال
الصيانة
الدورية بحيث
لا تعطل
الأنظمة وعدم
جدولتها
للتزامن مع
تنفيذ أنشطة
تقنية
المعلومات
مثل النسخ
الاحتياطي او
الاسترجاع.
v
الصيانة
والدعم الفني
/ وتقديم
خدمات تقنية
المعلومات
· أن تحل القضايا المتعلقة بنظم المعلومات بطريقة منظمة وفعالة من خلال اعتماد نقطة اتصال موحده لاستقبال ومتابعة البلاغات.
· القدرة على متابعة طلبات الخدمة/ البلاغات الكترونياً.
· القدرة على عمل التقارير الدورية لمعرفة أداء الصيانة والدعم الفني.
· القدرة على أرشفة وحفظ الحالات الخاصة إلكترونياً ليتم الاستعانة بها مستقبلاً.
3.7
الإجراءات
·
الصيانة
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
مدير
تقنية
المعلومات |
وضع
جدول زمني
للصيانة
الدورية (تتناسب
مع طبيعة
وحساسية كل
أصل يستخدم
لدعم الأنظمة) |
|
|
جدول
الصيانة |
2 |
رؤساء
الأقسام في
تقنية
المعلومات |
تحديد
أنشطة
الصيانة
التي سوف
تؤثر على
الأعمال
اليومية
للتنسيق مع
رؤساء
الأقسام والتوجيه
من خلال مدير
إدارة تقنية
المعلومات. |
|
|
لا
يوجد |
3 |
رؤساء
الأقسام في
تقنية
المعلومات |
اعلام
الأطراف
المعنية
بأوقات
الصيانة مسبقاً
بحيث يتم
التحضير
لذلك. |
|
|
لا
يوجد |
4 |
موظفي
تقنية المعلومات |
اجراء
الصيانة للأجهزة
استناداً
إلى جدول
الصيانة
الدورية |
|
|
لا
يوجد |
5 |
موظفي
تقنية
المعلومات |
توثيق
تفاصيل
أعمال
الصيانة
وحالة الأجهزة
والإضافات
ويقدم
تقريراً إلى
مدير إدارة
تقنية
المعلومات. |
|
|
تقرير
الصيانة |
·
الصيانة
والدعم الفني
وتقديم خدمات
تقنية
المعلومات
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
مقدم
الطلب |
عند
الحاجة
لخدمات
الدعم الفني
(حدوث عطل أو طلب
أجهزة.. الخ)
يقوم
المستخدم
إما بالدخول
إلى نظام الدعم
الفني
لتسجيل طلب
الخدمة أو
البلاغ أو
يقوم
بالاتصال
بالمنسق
المسؤول. |
|
|
طلب
الدعم |
2 |
موظفي
الدعم الفني |
يقوم
المنسق
المسؤول
بتحويل طلب
الخدمة أو البلاغ
إلى الفنيين
المختصين
لدراسة الحالة
والوقوف على
مسبباتها
وكيفية
المضي قدماً. |
|
|
لا
يوجد |
3 |
الدعم
|
يقوم
الفني
المختص
بإيجاد الحلول
الملائمة
وتطبيقها
والتأكد من
صحتها. |
|
|
لا
يوجد |
4 |
الدعم |
يقوم
منسق الدعم الفني
بإبلاغ
المستخدم
بإتمام
الخدمة أو البلاغ
وحل العطل
والطلب منه
التأكد من أن
العطل قد تم
حله ومن ثم
إغلاق
الخدمة أو
البلاغ. |
|
|
لا
يوجد |
5 |
الدعم |
يقوم
المستخدم من
التأكد من
إغلاق
الخدمة أو البلاغ. |
|
|
لا
يوجد |
1.8
المقدمة
والأهداف
الهدف
من هذه
السياسة هو
التأكد من أن
يتم عمل نسخ
احتياطية
مساندة
للمعلومات
الإلكترونية
واسترجاعها
من قبل منظمة
عبس بشكل مخطط
وسريع وفعال
وآمن بناءً
على متطلبات
العمل.
2.8
السياسات
v متطلبات النسخ الاحتياطية
· يتم اخذ نسخ احتياطية من البيانات الإلكترونية المخزنة في أنظمة المعلومات لدى منظمة عبس بناءً على احتياجات العمل ووفقاً لإجراءات معرفة في خطة النسخ الاحتياطية والمعتمدة لدى إدارة تقنية المعلومات.
· تكون إدارة تقنية المعلومات مسؤولة عن أخذ النسخ الاحتياطية لجميع أنظمة تقنية المعلومات التي تديرها، وذلك وفقاً لخطط النسخ الاحتياطية التي تم تطويرها لتلك الأنظمة.
·
يكون
جميع موظفي
منظمة عبس
مسؤولين عن عمل
النسخ
الاحتياطية
الخاصة بهم
على خوادم ملفات
الشبكة أو
الوسط
المختار
للنسخ
الاحتياطية.
v
وسائط
النسخ
الاحتياطية
يتم
وضع النسخ
الاحتياطية على
سيرفرات
المنظمة
بواسطة إدارة
تقنية
المعلومات.
v
الاحتفاظ
بالبيانات
تقوم
إدارة تقنية
المعلومات
بالتأكد من
الاحتفاظ
بنسخ
احتياطية للبيانات
الخاصة
بأنظمة
المعلومات
للمدة المطلوبة
من قبل منظمة
عبس أو حسب متطلبات
النظام.
v
استرجاع
النسخ
الاحتياطية
· يتم استرجاع النسخ الاحتياطية على أساس الحاجة وبناءً على تفويض مناسب من مدير إدارة تقنية المعلومات.
·
يتم
استرجاع
النسخ
الاحتياطية
وفقاً لإجراءات
استرجاع
النسخ
الاحتياطية.
v
فحص
استرجاع
النسخ
الاحتياطية
· تقوم إدارة تقنية المعلومات بإجراء اختبارات على استرجاع النسخ الاحتياطية على عينة من البيانات المخزنة في النسخ الاحتياطية بشكل دوري للتأكد من قابليتها في الاسترجاع.
· يتم اجراء اختبارات استرجاع النسخ الاحتياطية وفقاً لإجراءات فحص استرجاع النسخ الاحتياطية.
3.8
الإجراءات
·
إجراءات
النسخ
الاحتياطية
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
رؤساء
الأقسام في
تقنية
المعلومات |
تحديد
الأنظمة
والمعلومات
المراد حفظ
النسخ الاحتياطية
لها. |
|
|
لا
يوجد |
2 |
رؤساء الأقسام في تقنية المعلومات |
تحديث
وثيقة
استراتيجية
النسخ
الاحتياطية. |
|
|
وثيقة
استراتيجية
النسخ
الاحتياطية |
3 |
رؤساء الأقسام في تقنية المعلومات |
تطبيق
الاعدادات
على برنامج
النسخ
الاحتياطية
للقيام بنسخ
هذه
المعلومات
حسب وثيقة استراتيجية
النسخ
الاحتياطية. |
|
|
لا
يوجد |
4 |
رؤساء الأقسام في تقنية المعلومات |
مراجعة
سجلات النسخ
الاحتياطية
والتأكد من تنفيذها
بالشكل
الصحيح. |
|
|
لا
يوجد |
5 |
مدير
إدارة تقنية
المعلومات |
يقوم
مدير تقنية
المعلومات
بمراجعة هذه
السجلات
وحفظها
لغايات
المراجعة. |
|
|
سجل
النسخ
الاحتياطية |
·
استراتيجية
النسخ
الاحتياطية
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
رؤساء
الأقسام في
تقنية
المعلومات |
يرجع رؤساء
الأقسام في
تقنية
المعلومات إلى
خطط النسخ
الاحتياطية
لنظم
المعلومات ليحددوا
متطلبات
استرجاع
وفحص تلك
النسخ ويعين
مسؤولية
الفحص
للأشخاص
المعنيين. |
|
|
لا
يوجد |
2 |
رؤساء الأقسام في تقنية المعلومات |
عند
تنفيذ عملية
فحص استرجاع
النسخ
الاحتياطية
لأنظمة
المعلومات
حسب الخطة
يتم استرجاع
بيانات
النسخ
الاحتياطية
على خادم
الفحص ومن ثم
يتم توثيق النتائج
على سجل
المتابعة. |
|
|
لا يوجد |
3 |
رؤساء الأقسام في تقنية المعلومات |
يقوم رؤساء
الأقسام في
تقنية
المعلومات بالتحقق
من نتائج
الفحص
ونهاية
عملية الاسترجاع
الاختبارية. |
|
|
لا يوجد |
4 |
رؤساء الأقسام في تقنية المعلومات |
يتم
حذف
البيانات
المسترجعة
من خاد الفحص
بعد اكتمال
عملية
الاسترجاع
بنجاح. |
|
|
لا يوجد |
5 |
رؤساء الأقسام في تقنية المعلومات |
يتم
تحديث جدول
فحص استرجاع
النسخ
الاحتياطية
بحيث يظهر
تواريخ فحص
الاسترجاع
التالية. |
|
|
لا يوجد |
6 |
مدير تقنية المعلومات |
عند
اكتمال
إجراءات
استرجاع
النسخ الاحتياطية
المجدولة
لأنظمة
المعلومات
يتم اعداد
تقرير
استرجاع
النسخ
الاحتياطية
ومن ثم
ارسالها إلى
مدير إدارة
تقنية
المعلومات. |
|
|
تقرير استرجاع النسخ الاحتياطية المحدث |
7 |
مدير
تقنية
المعلومات |
يقوم
مدير إدارة
تقنية
المعلومات
بمراجعة التقرير
واتخاذ
الإجراءات
المناسبة. |
|
|
لا يوجد |
1.9
المقدمة
والأهداف
الغرض
من هذه
السياسة هو
وضع معايير
لقياس أداء
تقنية
المعلومات
ومتابعة هذه
المعايير بشكل
دوري لضمان
التحصيل
المستمر
لأداء هذه الإدارة.
2.9
السياسات
v
يجب
تعريف معايير
قياس الأداء
في بداية كل
سنة لدى
المنظمة على
أن يتم مراجعة
هذه المعايير
كل 6 أشهر.
v
يجب أن
تشمل معايير
قياس الأداء
النطاقات
التالية كحد
أدنى على أن
يتم إضافة
نطاقات جديدة
حسب الحاجة
وحسب خطط
التوسع لدى المنظمة:
·
معايير
قياس خدمات
تقنية
المعلومات والصيانة
والدعم الفني.
ü زمن تقديم الخدمة.
ü سهولة تقديم الطلب والحصول على الخدمة.
ü حل مشاكل المستخدمين فور استلامها.
ü
مدى رضى
المستخدم عن
الخدمة
المقدمة له.
· معايير مراقبة أداء البنية التحتية لتقنية المعلومات ووضع مؤشرات قياس الأداء مثل:
ü توفر شبكة وأنظمة المعلومات في المنظمة.
ü كفاية السعة التخزينية مقارنة بمتطلبات المعلومات في المنظمة.
ü السرعة في معالجة ونقل المعلومات وتوفيرها بالوقت المناسب.
ü المرونة في تطوير البنية التحتية وشبكة المعلومات.
ü
مواكبة
التطوير
والتحديث في
عناصر البنية
التحتية
والأنظمة
التابعة لها.
·
معايير
تقييم أمن
المعلومات في
المنظمة:
ü عدد حوادث أمن المعلومات المأثرة على توافريه وسرية المعلومات في شبكة المنظمة.
ü مدى الالتزام بضوابط تقنية المعلومات (مثل: عدم مشاركة كلمات السر بين الموظفين، الإبلاغ عن البرامج والفيروسات الضارة في شبكة المنظمة).
ü تحديث برامج مكافحة الفيروسات والتأكد من أنها تغطي جميع الأجهزة داخل شبكة المنظمة.
ü التأكد من وجود مراقبة لصلاحية المستخدمين بشكل دوري في المنظمة.
ü التأكد من وجود خطة لاستمرارية الاعمال واختبارها بشكل دوري.
3.9
الإجراءات
·
تعريف
معايير أداء
تقنية
المعلومات
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
رؤساء
الأقسام في
تقنية
المعلومات |
تعريف
معايير قياس
الأداء
والمؤشرات
التي سيتم
استخدامها. |
|
|
لا
يوجد |
2 |
مدير
تقنية
المعلومات |
مراجعة
واعتماد
معايير أداء
كل قسم في
تقنية المعلومات
والاتفاق
على كيفية
احتسابها. |
|
|
لا يوجد |
3 |
رؤساء
الأقسام في
تقنية
المعلومات |
احتساب
مؤشرات
التقييم حسب
الآلية
المتفق عليها
واعداد
التقارير عن
أداء تقنية
المعلومات
ورفعها إلى
مدير تقنية
المعلومات |
|
|
لا يوجد |
4 |
مدير تقنية المعلومات |
مراجعة
التقارير
وإبداء
الملاحظات
عليها. |
|
|
تقارير
مؤشرات قياس
الأداء |
5 |
مدير تقنية المعلومات |
التوجيه
لرؤساء
الأقسام
بالقيام
بإجراءات
تحسين وتطوير
الأداء
بناءً على
التقارير
المعتمدة. |
|
|
لا
يوجد |
6 |
مدير تقنية المعلومات |
رفع
ملخص عن أداء
مؤشرات قياس
الأداء للإدارة
العليا في
المنظمة. |
|
|
ملخص
تقارير
مؤشرات
الأداء |
1.10 المقدمة
والأهداف
الغرض
من هذه
السياسة هو:
· التأكد من أن مراقبة حالة أمن المعلومات المتعلقة بأنظمة المعلومات لدى منظمة عبس تتم بشكل دائم من خلال تخطيط ونشر أساليب أمنية ملائمة بما يتوافق مع مخاطر ومدى حساسية وأهمية أنظمة المعلومات.
· وضع قواعد الاستخدام المقبول لأنظمة المعلومات لدى منظمة عبس التنموية.
·
حماية
أنظمة
المعلومات
لدى منظمة عبس
من البرامج
الضارة مثل
(الفيروسات،
برامج التجسس
على البريد
الإلكتروني/ إلخ).
2.10
السياسات
v
مراقبة
أمن
المعلومات
بناءً على
المخاطر
· يتم تخطيط وتنفيذ مراقبة أمن المعلومات لأنظمة المعلومات بناءً على حساسية وأهمية وتصنيف المخاطر المتعلقة بأنظمة المعلومات في المنظمة.
·
يجب أن
تحدد في وثيقة
خطة المراقبة
الأمنية المبنية
على المخاطر والأشخاص
الرئيسيين
المعنيين
بتنفيذ هذه الأنشطة
والعمليات
المطلوب
تنفيذها
والضوابط
المتعلقة
بالتقنية
الواجب
مراقبتها.
v
إدارة
التحديثات
وملفات
التحديثات
الطارئة
عند
عدم وجود ضرر
على أنظمة
المعلومات
الحالية تقوم
إدارة تقنية
المعلومات
بالتأكد من أنه
تم تحديد وفحص
وتطبيق كافة
الإصلاحات
السريعة أو
التحديثات
الأمنية
لأنظمة
المعلومات المحددة.
v
تسجيل
ومراقبة
أحداث النظام
ينبغي
على إدارة
تقنية
المعلومات أن
تتأكد من وجود
آلية مناسبة
في أنظمة
معلوماتها
والتي تعمد
تسجيل
الحوادث
الأمنية حسب
ما تفتضيه خطط
المراقبة
الأمنية لتلك
الأنظمة:
ü سجلات محاولات دخول النظام الناجحة والمرفوضة.
ü سجلات المحاولات الناجحة والمرفوضة للوصول للبيانات والموارد الأخرى.
ü استخدام الصلاحيات.
ü سجلات جدار الحماية.
ü سجلات أخطاء النظام.
ü النسخ الاحتياطية من البيانات وسجلات الاسترجاع.
v
الاستخدامات
العامة
ومسؤولية
الائتمان:
· يصرح للمستخدمين باستخدام مصادر المعلومات لدى منظمة عبس فقط لأغراض العمل المصرح لهم القيام بها، وسيتعرض المستخدم الذي يخالف ذلك للإجراءات التأديبية و/أو القانونية المناسبة.
· تؤول ملكية كافة بيانات الحاسب الآلي التي تم إنشاؤها أو استلامها أو ارسالها باستخدام أنظمة المعلومات لدى منظمة عبس لملكية منظمة عبس ولا تعتبر مملوكة من قبل المستخدم، وتحتفظ منظمة عبس بحقها بفحص كافة البيانات لأي سبب ودون إخطار.
·
ينبغي
على الموظفين
الذين
يستخدمون
أنظمة المعلومات
الخاصة
بمنظمة عبس أن
يكونوا على دراية
بالحدود
الحالية
لاستخدامهم
لأنظمة المعلومات
لدى منظمة عبس
وهم مسؤولون
عن استخدامهم
لأنظمة
المعلومات
وأي استخدام
يتم تحت
مسئوليتهم.
v
حقوق
الملكية
الفكرية
والتراخيص:
· منظمة عبس تقدر وتحترم حقوق الملكية الفكرية (التي تشمل حقوق النسخ، وحقوق التصميم، وحقوق تراخيص الشفرات المصدرية للبرامج والوثائق) المرتبطة بأنظمة المعلومات لديها.
· يمنع انتهاك أي حقوق لأي شخص أو منظمة محمية بحقوق النسخ أو حقوق الملكية الفكرية الأخرى، أو الأنظمة واللوائح المشابهة، بما في ذلك، ودون حصر، تركيب البرامج غير المصرح بها أو غير القانونية على أنظمة منظمة عبس، أو الأنظمة الأخرى غير التابعة إلى منظمة عبس لكنها موصولة مع بيئة تقنية لدى منظمة عبس.
· يجب أن تحتفظ إدارة تقنية المعلومات بمعلومات مناسبة عن التراخيص والأحكام والشروط المتعلقة بأنظمة المعلومات الهامة التي لديها.
·
يمنع
منعاً باتاً
استخدام
برمجيات أو
حقوق ملكية
غير مرخصة.
v
الاستخدام
غير المقبول
للأنظمة
والشبكة:
· يمنع ادخال برامج خبيثة (مثل الفيروسات، الشيفرات الخبيثة، أحصنة طروادة، إلخ) إلى أنظمة المعلومات لدى منظمة عبس.
· يمنع إدخال البرامج المجانية أو المشتركة في شبكة المنظمة سواءً تم تحميلها من الإنترنت او تم الحصول عليها من وسائط أخرى، دون تفويض من إدارة تقنية المعلومات.
· يمنع تقديم عروض أو منتجات أو بنود خدمات تنطوي على الغش والخداع باستخدام موارد الأنظمة لدى منظمة عبس.
· يمنع الكشف عن كلمات المرور التي يستخدمها الآخرون للدخول إلى حساباتهم أو السماح باستخدام تلك الحسابات من قبل أطراف أخرى.
· يمنع إجراء مسح للمنافذ أو شبكة معلومات المنظمة أو نظام معلوماتها إلى إذا كان ذلك مصرحاً من قبل مدير تقنية المعلومات ويتم إرسال إشعارات مسبقة بذلك للأشخاص المعنيين.
· يمنع تنفيذ أي شكل من أشكال مراقبة الشبكة، إلا إذا كان هذا النشاط جزءاً من الوظيفة/ المهمة المصرح بها للموظف أو بطلب من الإدارة المعنية وبموافقة مدير إدارة تقنية المعلومات.
· يمنع التحايل أو الالتفاف حول تعريف هوية المستخدم أو أمن أي مضيف أو شبكة أو حاسوب.
·
يمنع
تزويد
معلومات
تتعلق بموظفي
منظمة عبس أو
قوائم
بأسمائهم إلى
أي أطراف خارج
المنظمة.
v
استخدام
البريد
الالكتروني
والاتصالات:
· يمنع إرسال أية رسائل بريد إلكتروني غير مطلوبة بما في ذلك إرسال البريد غير النافع Junk، أو المواد الإعلانية الأخرى إلى الأشخاص الذين لم يطلبوا تلك المواد بصفة محددة (رسائل البريد الإلكترونية الاقتحامين).
· تمنع المضايقة عبر البريد الإلكتروني سواء من حيث اللغة أو بتكرار أو حجم الرسائل.
· يمنع منعاً باتاً الاستخدام غير المصرح به أو تزوير معلومات ترويسة البريد الإلكتروني أو محتوياتها.
·
يمنع
إنشاء أو
تحرير
الرسائل
التسلسلية أو
برامج هرمية
من أي نوع.
· نظام البريد الإلكتروني الخاص بالمنظمة يعتبر ملكية خاصة بمنظمة عبس وكذلك جميع الحسابات التي يتم إنشائها عليه، ويجوز لمنظمة عبس المراقبة والتعديل أو الإضافة أو الحذف لأي حساب أو حسابات داخل هذا النظام.
· ينبغي على موظفي منظمة عبس توخي الحذر عبر ارسال أي بريد إلكتروني من داخل منظمة عبس إلى شبكات خارجها.
·
يكون كل
مستخدم
مسؤولاً عن
إبلاغ إدارة
تقنية
المعلومات
بأي سلوك
يشتبه بأنه
ناتج عن الفيروسات
أو أي أنشطة
مشبوهة في
أنظمتهم.
v
سياسة
استخدام
الإنترنت:
· تقوم إدارة تقنية المعلومات بتوعية المستخدمين عن الاستخدام الأمثل للأنترنت وأن المنظمة لن تقف مكتوفة الأيدي نحو إساءة استخدام الانترنت، وخصوصاً الأنشطة التي قد تعرضها للملاحقة القضائية أو إجراءات قانونية. وستتخذ المنظمة الإجراءات التأديبية المناسبة والتي قد تصل إلى فصل الموظف، في حالة قيام المستخدم بأي أنشطة غير قانونية، فإن منظمة عبس تحتفظ بحقها بالتبليغ عن هذه الأنشطة إلى السلطات الحكومية أو القانونية ذات العلاقة.
· تقوم منظمة عبس بحجب فئات محدده من المواقع الإلكترونية تحددها المنظمة، وإذا ما تم الدخول إلى أي موقع إلكتروني غير قانوني أو لا يتعلق بالعمل، فإن ذلك لا يعني أن منظمة عبس قد صرحت بالدخول اليه أو اعتبرته مقبولاً. بالتالي فعلى المستخدمين عدم زيارة مثل تلك المواقع الإلكترونية التي قد تعتبر غير قانونية أو غير أخلاقية أو تتنافى مع مبادئ المنظمة.
· على المستخدم فهم الوقت الذي يقضيه في الاستخدام الشخصي للإنترنت والذي يمكن اعتباره مقبولاً. وللمستخدم استشارة مدير إدارته لاستيضاح هذه المتطلبات.
· على المستخدم ملاحظة أن رسائل البريد الإلكترونية المرسلة من أجهزة الكمبيوتر الخاصة بالعمل باستخدام حسابات البريد الإلكترونية العامة مثل (Gmail - yahoo) وغيرهما يمكن أن يتم تتبعها من قبل المستلم كونها مرسلة من منظمة عبس وبالتالي، فإن أية إساءة استخدام يمكن أن تعرض المنظمة إلى الإجراءات القضائية.
· إذا كان هناك مواقع معينة تم حجبها وكان واجباً ألا يتم حجبها (أو بالعكس)، فعلى المستخدم إشعار إدارة تقنية المعلومات بذلك.
· إذا قام المستخدم بشكل عرضي بزيارة موقع غير لائق، أو إذا تم توجيهه آلياً إلى ذلك الموقع، فإن عليه مغادرة ذلك الموقع فوراً.
· على المستخدمين الامتناع عن تنزيل أي برمجيات لا علاقة لها بالعمل.
· أثناء تنزيل المعلومات المتعلقة بالعمل، ينبغي على المستخدم التأكد من عدم مخالفة أي حقوق ملكية مما قد يعرض المنظمة لمخاطر الإجراءات القضائية.
· ينبغي على منظمة عبس التأكد من أن المعلومات المتاحة على موقعها الإلكتروني قد تم التحقق منها والتأكد من صحتها بشكل ملائم.
v
استخدام
حلول مكافحة
الفيروسات
المتعارف عليها
دولياً:
· يجب أن يكون لدى منظمة عبس آلية محددة وواضحة للكشف عن الفيروسات والبرامج الضارة ومنعها وحذفها واستعادة الأنظمة المصابة بطريقة مناسبة.
·
يجب أن
يكون لدى
منظمة عبس
برنامج مكافح
فيروسات
متعارف عليه
دولياً ومثبت
ومفعل في جميع
الأوقات على
كافة أنظمتها
المعلوماتية.
v
اكتشاف
ومنع
الفيروسات /
البرامج
الضارة من التأثير
على أنظمة
المعلومات
لدى منظمة
عبس:
· يجب أن يتم فحص كافة الأجهزة المملوكة وغير المملوكة من قبل منظمة عبس. للتأكد من خلوها من الفيروسات / البرامج الضارة قبل وصلها مع شبكة المنظمة.
· يجب نشر تعريفات وتحديثات برامج مكافحة الفيروسات عبر وسائل آلية بشكل دوري أو بمجرد إصدارها.
· يجب إعداد أنظمة المعلومات بحيث تمنع المستخدمين من تعطيل عمل أدوات مكافحة الفيروسات في أي أنظمة معلومات (أجهزة الحاسوب، الخادم، إلخ).
· يتم تطبيق التدابير الفنية التالية:
ü يجب أن يتم إعداد برنامج مكافحة الفيروسات للتأكد بأنه يعمل في جميع الأوقات على أجهزة المستخدمين.
ü يتم ضبط إعدادات برنامج مكافح الفيروسات لفحص كافة أقراص الوسائط القابلة للإزالة تلقائياً.
ü يتم فحص ملفات ومرفقات البريد الالكتروني للتأكد من خلوها من الفيروسات وبرامج التجسس قبل فتحها.
v
مسؤوليات
المستخدم:
· يتعين على المستخدم توخي الحذر عند تحميل (تنزيل) الملفات من الانترنت.
· يجب ألا يفتح المستخدم أو يحمل أو ينفذ أي ملفات يستقبلها أو مرفقات بريد إلكتروني يتلقاها من مصادر غير معروفه أو مشبوهة.
· يجب ألا يقوم المستخدم بتغيير الإعدادات، أو حذفها، أو إبطال، أو العبث بأي برنامج مخصص لمكافحة أو الكشف عن الفيروسات / الشفرات والبرامج الضارة.
· على المستخدمين أن يتأكدوا من أن الوسائط الإلكترونية المتبادلة بين الإدارات قد تم فحصها تحسباً لوجود فيروسات أو برامج خبيثة وذلك قبل استخدامها في الأنظمة التي لديها.
v
إزالة
الفيروسات
والبرامج
الخبيثة من
أنظمة
معلومات
منظمة عبس:
· يجب القيام بإزالة أي فيروسات أو شفرات خبيثة مكتشفة في أنظمة معلومات منظمة عبس.
· يتم إعداد برنامج مكافح الفيروسات بحيث يكتشف ويعزل آلياً جميع الفيروسات والشفرات الخبيثة المكتشفة في أنظمة منظمة عبس.
·
يتم
التعامل مع
جميع
الفيروسات
والبرامج والشفرات
الخبيثة
طبقاً
لإجراءات
إزالة الفيروسات
والشفرات
الخبيثة من
أنظمة
المعلومات
لدى منظمة
عبس.
3.10
الإجراءات
·
إجراءات
المراقبة
العامة لأمن
المعلومات
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
مدير
تقنية
المعلومات |
يقوم
مدير إدارة
تقنية
المعلومات
بتحديد جميع
أنظمة
المعلومات
التي سيتم
تطوير خطط
مراقبة خاصة
بها. |
|
|
خطة
مراقبة أمن
المعلومات |
2 |
رؤساء
الأقسام في
تقنية
المعلومات |
لكل
نظام من
أنظمة
المعلومات
المختارة (أو
مجموعة
أنظمة المعلومات)
يقوم رئيس
قسم الشبكة
ورئيس قسم البرمجة
والتطوير بإعداد
خطة مراقبة
أمنية مبنية
على تصنيف
المخاطر
باستخدام
نموذج
المراقبة
والتقييم
الأمني
المعتمد من
ادارة تقنية
المعلومات
بحيث تشمل
الأنشطة التالية: ü تحديد
ما سيتم
مراقبته في
الأنظمة
المختارة،
وتحديد كيفية
المراقبة. ü تحديد
عدد مرات
عملية
المراقبة. |
|
|
لا يوجد |
3 |
رؤساء
الأقسام في
تقنية
المعلومات |
يرسل
رئيس قسم الشبكة
خطة
المراقبة
الأمنية إلى
مدير إدارة
تقنية المعلومات
للمراجعة
والاعتماد. |
|
|
لا يوجد |
4 |
مدير
تقنية
المعلومات |
يقوم
مدير إدارة
تقنية
المعلومات
بمراجعة واعتماد
خطة مراقبة
أمن
المعلومات
والتوجيه إلى
الموظفين
المعنيين للعمل
بموجبها. |
|
|
خطة
مراقبة أمن
المعلومات |
·
تحديثات
أمن
المعلومات /
وملفات
التعديل الطارئة
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
رؤساء الأقسام في تقنية المعلومات |
يتم
استعراض
تحديثات امن
المعلومات /
الإصلاحات
السريعة من
قبل
الموظفين
المعنيين في
إدارة تقنية
المعلومات
لضمان صحتها
وعدم وجود ضرر
على أنظمة
المعلومات
الحالية. |
|
|
لا
يوجد |
2 |
رؤساء الأقسام في تقنية المعلومات |
يقوم رئيس
قسم الشبكة
ورئيس قسم
البرمجة
والتطوير بتحديد
مدى أهمية
التحديث
الأمني /
التعديلات
الطارئة
والتأكد من
عدم تعارضها
مع متطلبات
الأنظمة
الحالية. |
|
|
لا يوجد |
3 |
رؤساء الأقسام في تقنية المعلومات |
يقوم رئيس
قسم الشبكة
ورئيس قسم
البرمجة
والتطوير بإعلام
مدير إدارة
تقنية
المعلومات
بالتحديثات أو
التعديلات
الطارئة
وينبغي أخد
الموافقة منه
لتطبيقها. |
|
|
لا يوجد |
4 |
رؤساء الأقسام في تقنية المعلومات |
يقوم رئيس
قسم الشبكة
ورئيس قسم
البرمجة
والتطوير بتنفيذ
التحديث
الأمني /
التعديلات
حسب أولوية
العمل في
المنظمة
وحسب إجراءات
التغيير. |
|
|
التحديثات
والتعديلات
الطارئة |
· اكتشاف وازالة الفيروسات
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
مستخدم جهاز الكمبيوتر |
عندما
يشك
المستخدم
بوجود هجمات
بالفيروسات
أو الشفرات
الخبيثة على
نظام
المعلومات
أو الجهاز
الذي
يستخدمه، او
يشير مكافح
الفيروسات
الذي لديه
بذلك فإن
عليه التبليغ
فوراً عن ذلك
إلى قسم
الصيانة
والدعم
الفني. |
|
|
|
2 |
قسم
الصيانة
والدعم
الفني |
يستخدم
فريق
الصيانة
والدعم
الفني
برنامج مكافح
فيروسات
لإجراء فحص
كامل للنظام
لإزالة جميع
الفيروسات
والبرامج
والشفرات
الخبيثة
التي يتم
التعرف
عليها. |
|
|
|
3 |
قسم
الصيانة
والدعم
الفني |
إذا
تعذر عزل أو
إزالة
الفيروسات
أو البرامج والشفرات
الخبيثة،
يقوم رئيس
قسم الشبكة
ورئيس قسم
أمن
المعلومات
بالتالي ان
استدعت الحاجة: · أخذ نسخة احتياطية من نظام المعلومات. · تهيئة النظام أو أنظمة المعلومات المصابة. · البحث عن برنامج مكافح للفيروسات يكون أفضل من السابق ولديه القدرة على التعامل مع مثل هذه فيروسات. ·
التأكد
من إزالة
الفيروسات
من النسخة
الاحتياطية
التي أخذت
أثناء وجود الفيروسات
وذلك بواسطة
مكافح
الفيروسات
الجديد. |
|
|
|
1.11
المقدمة
والاهداف
الهدف
من هذه
السياسة
حماية
الوسائط
الإلكترونية
التي يتم
توصيلها على
منافذ USB الخاصة
بأجهزة منظمة
عبس.
2.11
السياسات
v
تخزين
الوسائط
الإلكترونية:
يتم خزن
الوسائط
الالكترونية
في بيئة آمنة
تتوفر فيها
شروط السلامة.
v
أمن
الوسائط
الإلكترونية
أثناء نقلها:
· على منظمة عبس أن تتأكد من حماية أنظمة معلومات العمل أثناء نقل الوسائط.
·
منع
تخزين
معلومات
المنظمة على
وسائط تخزين خدمات
السحب
الإلكترونية
المجانية.
v
الوسائط
القابلة
لإعادة
الاستخدام:
· يجب أن يتم المسح التام للمحتويات المحفوظة على الوسائط الإلكترونية القابلة لإعادة الاستخدام والتأكد من عدم إمكانية استرجاع تلك المحتويات.
·
يجب فحص
جميع الأجهزة
المحتوية على
وسائط خزن
بيانات
(الأقراص
الصلبة
الثابتة)
للتأكد من إزالة
أي معلومات
تتعلق بالعمل.
v
الوسائط
القابلة
للإزالة:
يجب
إعادة تهيئة
الوسائط التي
لم تعد مستخدمة
والقابلة
للإزالة، وذلك
للحيلولة دون
الكشف بشكل
خاطئ عن
المعلومات
التي تحتويها
أثناء
تبادلها بين
الموظفين أو
الأطراف
الأخرى.
·
التخلص
من الوسائط:
ü يجب إتلاف الوسائط المادية التي تحتوي على معلومات بشكل آمن عندما لا تعود هناك حاجة لها وذلك وفقاً لإجراءات التخلص من الوسائط الإلكترونية.
ü يتم الاحتفاظ بسجل عمليات إتلاف / تدمير أجهزة الوسائط وتوثيق الأشخاص المسؤولين عن الإتلاف.
3.11
الإجراءات
م |
المسؤول |
العملية |
الوقت |
الطريقة |
المخرج |
1 |
مدير إدارة تقنية المعلومات |
يقوم
مدير إدارة
تقنية
المعلومات
بعملية تدمير
للوسائط
الإلكترونية. |
|
|
لا
يوجد |
2 |
مدير إدارة تقنية المعلومات |
الجهاز
(الوسط) الذي
يحتوي على
معلومات
المنظمة
والذي يمكن
تهيئته،
فيجب تهيئته
باستخدام Low Level format)) |
|
|
لا يوجد |
3 |
مدير إدارة تقنية المعلومات |
يجب
الاحتفاظ
بسجل
للوسائط
المادية
المهمة التي
تم التخلص
منها. |
|
|
السجل المحدث للوسائط التي تم التخلص منها. |
1.12
المقدمة
والاهداف
الغرض
من هذه
السياسة هو
التحكم
بالوصول المنطقي
إلى أنظمة
المعلومات
لدى منظمة عبس
مما يكفل دقة
وسرية وتوفر
المعلومات.
2.12
السياسات
v
التحكم
بالوصول:
· يجب ان يسمح للمستخدمين لدى منظمة عبس بالوصول إلى أنظمة المعلومات والعمليات اللازمة لتأدية مهام أعمالهم فقط وفي حالة الاستثناء يجب أخذ موافقة إدارة تقنية المعلومات.
· يجب التحكم بالوصول إلى شبكة أنظمة المعلومات (Network Domain) لدى منظمة عبس باستخدام إجراءات تسجيل دخول المستخدمين فقط.
· على كل مستخدم من مستخدمي شبكة أنظمة المعلومات الحصول على تفويض رئيس قسم الشبكة كي يتسنى له الدخول إلى شبكة أنظمة معلومات منظمة عبس.
v
اسم
المستخدم
وكلمة المرور:
· يجب أن يتم تخزين كافة أسماء المستخدمين وكلمات المرور في أنظمة معلومات منظمة عبش بشكل آمن.
· لا يسمح للمستخدم مشاركة اسم المستخدم وكلمة المرور الخاصين به مع أشخاص آخرين تحت أي ظرف، وعلى المستخدم أن يتحمل المسؤولية الكاملة عن كافة الأنشطة التي تتم من خلال حسابة الخاص.
· يجب عدم إصدار نفس أسم المستخدم لمستخدمين آخرين.
v
تغيير وصول
المستخدم:
· يجب إبلاغ إدارة تقنية المعلومات من قبل إدارة الموارد البشرية عن أي موظف جديد ليتم عمل حساب خاص به.
· يجب إبلاغ إدارة تقنية المعلومات من قبل إدارة الموارد البشرية عن إنهاء عقد موظف أو عندما لم يعد لمستخدم معين حاجة عمليه للوصول إلى نظام المعلومات لكي يتم الإلغاء الفوري لحسابة أو تغيير صلاحياته.
3.12
الإجراءات
لا
تحتاج هذه
السياسة
لإجراءات
تشغيلية بموجب
هذا الإطار
وقد تم تحديد
الخطوات
العلمية المطلوب
اتباعها ضمن
السياسة.