2    مقدمة...................................................................................................................................2

3    الغرض والنطاق......................................................................................................................2

4    الاستخدام غير المقبول .............................................................................................................3

5    الممارسات الجيدة ...................................................................................................................3

6    السياسات .............................................................................................................................4

6.1   اسم المستخدم وكلمة المرور وإجراءات المصادقة... 4

6.2   الوصول إلى أنظمة BFD واستخدامها.. 5

6.3   أمن المعلومات... 6

6.4   المسؤولية عن الأجهزة والمعدات المملوكة لمؤسسة بناء.. 6

6.5   الاستخدام الشخصي.. 7

6.6   البريد الإلكتروني وتطبيقات إدارة التواصل.. 7

6.7   سياسة الاستخدام عند العمل عن بعد.. 8

6.8   حقوق الطبع والنشر والتراخيص والبرامج.. 9

6.9   ضوابط استخدام الهواتف والإنترنت... 9

6.10 استخدام الوسائط القابلة للإزالة.... 10.

6.11 التخزين والأرشفة..... 10

6.12 المسؤولية الفردية.... 11

7    المراقبة والوصول إلى تقنية المعلومات......................................................................................11

8    التنفيذ والعقوبات.................................................................................................................12

9    بيان الاستلام والاقرار..........................................................................................................12

 

 

 

 

تلتزم مؤسسة بناء للتنمية (BFD) بالحفاظ على أمن المعلومات وضمان سريتها وسلامتها في جميع أنشطتها. تعتبر المعلومات من أهم الأصول التي تعتمد عليها المؤسسة في تنفيذ مهامها وتحقيق أهدافها، مما يجعل حمايتها من الوصول غير المصرح به أو التلف أمرًا ضروريًا لضمان استمرارية الأعمال وكفاءتها.

 يمكن أن تتعرض سمعة BFD وفعالية وكفاءة ما تفعله لخطر كبير إذا فشل المستخدمون - أي جميع "موظفي" BFD والمقاولين والموردين الخارجيين المصرح لهم بالوصول إلى معلومات BFD أو التعامل معها أو استخدامها - في الحفاظ على المعايير والضوابط المناسبة في الطريقة التي يديرون بها أمن المعلومات.

يتحمل فريق تكنولوجيا المعلومات في BFD مسؤولية الحفاظ على أمن وسلامة أنظمة المعلومات والاتصالات في BFD. يضمن قسم الموارد البشرية وعي المستخدم بإطار أمن المعلومات في BFD ومعايير السلوك المتوقعة للمستخدمين فيما يتعلق باستخدام موارد تقنية المعلومات[1]. كما يتحمل قسم تقنية المعلومات والأمن السيبراني مسؤولية ضمان اتخاذ الإجراءات اللازمة إذا لم يتم استيفاء هذه المعايير.

تهدف هذه السياسة إلى تقديم إرشادات واضحة وشاملة لجميع الموظفين، الاستشاريين، موظفي الطرف الثالث، والمتطوعين حول كيفية التعامل مع المعلومات والموارد التقنية بطريقة آمنة وفعّالة. إن الالتزام بهذه السياسة يساهم في حماية البيانات وضمان استخدامها وفقًا للمعايير المهنية والتنظيمية التي تعتمدها المؤسسة، مما يعزز ثقة المستفيدين والشركاء في قدرتها على إدارة المعلومات بأعلى درجات الأمان

تهدف سياسة قابلية استخدام خدمات تقنية المعلومات في BFD إلى ضمان استخدام هذه الخدمات بشكل آمن وفعال لدعم استمرارية الأعمال، تنفيذ المعاملات، وخدمة المستفيدين. يجب أن يتم استخدام خدمات تقنية المعلومات بشكل مسؤول، وفقًا للقوانين المعمول بها وسياسات BFD، بطريقة تحافظ على سلامة المعلومات، تقلل من المخاطر الأمنية، وتحافظ على سمعة المؤسسة.

تنطبق هذه السياسة على:

1.     تنطبق هذه السياسة على جميع الأفراد الذين يتعاملون مع معلومات أو موارد تقنية المعلومات الخاصة بـ BFD، بما في ذلك الموظفين، المتعاقدين، الموردين، المتطوعين، الطرف الثالث، وأي جهة أخرى مخولة.

2.     تغطي السياسة جميع خدمات تقنية المعلومات المدارة أو المدعومة من قبل BFD، سواء تلك المقدمة داخليًا أو من خلال عقود خارجية. يشمل ذلك الأجهزة المملوكة للمؤسسة أو المستخدمة في بيئتها، والبرامج، والبيانات المخزنة على الشبكة، وجميع الموارد التقنية.

3.     تشمل السياسة جميع أشكال المعلومات التي تحتفظ بها BFD، سواء كانت إلكترونية أو ورقية، مثل الوثائق، التطبيقات، الأجهزة التقنية، والأنظمة المستخدمة للوصول إلى تلك المعلومات.

تؤكد هذه السياسة على حماية واستدامة موارد تقنية المعلومات وضمان الامتثال للمعايير الأمنية والقانونية.

يحظر تمامًا استخدام موارد تقنية المعلومات التابعة لمؤسسة بناء للتنمية لأي أغراض غير قانونية أو غير أخلاقية، مثل الوصول إلى محتويات غير لائقة أو محاولة تجاوز الأنظمة الأمنية للمؤسسة. أي استخدام ينتهك القوانين المحلية أو الدولية يعتبر غير مقبول ويستوجب اتخاذ الإجراءات المناسبة ضد المستخدم. تتضمن الأمثلة التالية بعض حالات الاستخدام غير المقبول، وهذه القائمة ليست شاملة:

1.     إنشاء أو نقل أو تخزين بيانات غير قانونية أو فاحشة أو غير لائقة بأي شكل من الأشكال، إلا إذا كانت متعلقة بمشاريع محددة ومعتمدة من القسم او الادرة المعني وتمت مراجعتها بدقة.

2.     الوصول إلى أو استخدام أو إنشاء مواد تهدف إلى تسهيل نشاط غير قانوني.

3.     أي إجراء يؤدي إلى تشويه سمعة مؤسسة بناء للتنمية أو التأثير سلبًا على سمعتها الجيدة.

4.     الوصول غير المصرح به إلى حسابات أطراف ثالثة بشكل متعمد.

5.     تنزيل أو توزيع مواد محمية بحقوق النشر أو مواد حساسة دون إذن.

6.     القيام بأعمال تؤدي إلى إهدار موارد تقنية المعلومات عمدًا أو تؤثر على أمان أو سلامة أو أداء شبكة المؤسسة.

7.     ربط أجهزة غير مصرح بها بشبكة المؤسسة، مما قد يعرض أمان وسلامة الشبكة للخطر.

8.     التحايل على الأنظمة الأمنية أو محاولة التحايل عليها داخل المؤسسة.

9.     سوء استخدام أو إتلاف أو بيع/إهداء أصول تقنية المعلومات الخاصة بالمؤسسة بشكل متعمد.

هذه القواعد تهدف إلى الحفاظ على أمان المؤسسة وسمعتها وحماية موارد تقنية المعلومات من أي تهديدات أو استخدام غير لائق.

لتقليل مخاطر فقدان البيانات، ينصح بعدم تخزين الملفات الهامة على محركات الأقراص المحلية (مثل القرص C) في الحواسيب. بدلاً من ذلك، يُفضل استخدام الحلول السحابية المعتمدة من المؤسسة مثل SharePoint وOneDrive، حيث تتيح هذه الأدوات حماية أفضل للبيانات وضمان استمرارية الوصول إليها في حال حدوث أعطال تقنية أو تلف في الأجهزة.

يُعد تأمين الأجهزة عند مغادرة المكتب أمرًا ضروريًا لحماية البيانات المؤسسية. يجب على المستخدمين إما إغلاق الحاسوب أو تسجيل الخروج عند مغادرة مكاتبهم، لضمان عدم الوصول غير المصرح به إلى المعلومات الحساسة.

لضمان سلامة الأجهزة والمعلومات المخزنة عليها، يجب استخدام برامج حماية فعالة من الفيروسات والبرمجيات الخبيثة. يوصى بتحديث هذه البرامج بانتظام وتطبيق أي إجراءات أمان إضافية توفرها المؤسسة لضمان الحماية القصوى.

تطبيق هذه الممارسات يعزز الأمان ويقلل من المخاطر التقنية المحتملة، مما يضمن استمرارية العمل بكفاءة وحماية البيانات من التهديدات المختلفة.

6.1       اسم المستخدم وكلمة المرور وإجراءات المصادقة

1.     يجب على جميع المستخدمين اتخاذ الاحتياطات اللازمة لحماية أسماء المستخدمين وكلمات المرور وأي بيانات اعتماد أخرى صادرة لهم. يمنع تمامًا مشاركة بيانات الاعتماد مع الآخرين أو السماح لأي شخص آخر باستخدامها. يتحمل المستخدمون كامل المسؤولية عن أي نشاط يتم من خلال بيانات الاعتماد الخاصة بهم.

2.     يُحظر على المستخدمين محاولة الحصول على بيانات اعتماد الآخرين أو استخدامها أو الكشف عنها. كما يُمنع المستخدمون من انتحال شخصية شخص آخر أو إخفاء هويتهم أثناء استخدام أنظمة تقنية المعلومات.

3. يجب على المستخدمين تجنب استخدام الكلمات التي يمكن ربطها بها (مثل الأسماء أو تواريخ الميلاد).

4.  يجب حفظ كلمة المرور وعدم تدوينها أو مشاركتها مع الآخرين.

5.     يجب أن تكون كلمات المرور فريدة لكل نظام وتلتزم بالإرشادات المتعلقة بالطول والتعقيد المحددة من قبل قسم تقنية المعلومات. لا يجوز استخدام كلمات المرور الموحدة في الأنظمة المختلفة في حالة عدم دعم تسجيل الدخول الأحادي (SSO).[2]

6.     المصادقة متعددة العوامل (MFA) حيثما ينطبق، تلتزم أنظمة BFD بتطبيق المصادقة متعددة العوامل (MFA) لزيادة الأمان. يتعين على المستخدمين إعداد المصادقة متعددة العوامل وفق الأطر الزمنية المحددة من قبل [3]BFD. عند محاولة الوصول إلى الأنظمة المالية والمؤسسية مثل تطبيقات Microsoft (Outlook, Team, SharePoint) أو النظام المحاسبي او النظام المؤسسي نظام ERP Next أو المنصات الخاصة بالاستضافة ومواقع التخزين السحابية للمعنين في قسم تقنية المعلومات والامن السيبراني، يتعين على المستخدمين تقديم بيانات المصادقة التي تُرسل إليهم عبر تطبيق مصادقة أو رسالة SMS إلى أجهزتهم المحمولة المسجلة مسبقًا أو من خلال طريقة بديلة مدعومة. في حالة حدوث مشاكل تتعلق بالمصادقة، يمكن للمستخدمين التواصل مع فريق تقنية المعلومات عبر القنوات المتاحة، بالإضافة إلى اسم المستخدم وكلمة المرور الخاصة بهم.

7.     يُمنع استخدام نفس كلمة المرور لجميع الحسابات أو في الحسابات الشخصية ومنصات التواصل الاجتماعي. يجب على المستخدمين الحفاظ على تميز وتنوع كلمات المرور لضمان أمن البيانات.

6.2        الوصول إلى أنظمة BFD واستخدامها

1.     يُسمح فقط للمستخدمين الذين أكملوا بنجاح البرامج التدريبية الإلزامية، بما في ذلك التدريب على حماية البيانات والأمن، بالوصول إلى أنظمة ومعلومات BFD. يجب على جميع المستخدمين إكمال التدريب عند بدء العمل وتكراره سنويًا.

2.     أي محاولة للوصول إلى أنظمة أو معلومات BFD دون إذن ستعتبر مخالفة تأديبية تُعالج بصرامة.

3.     الوصول إلى أنظمة BFD يجب أن يتم من خلال:

a.      جهاز مدار وموثوق به، كأجهزة اللابتوب التي تم توثيقها وربطها بسيرفر المؤسسة، والتي تتضمن تطبيق السياسات الأمنية وتحميل البرامج الضرورية لضمان التوافق مع بيئة التشغيل القياسية (SOE) التي توفرها خدمة تقنية المعلومات.

b.     يُسمح باستخدام الأجهزة الشخصية بشرط توافقها مع سياسة إحضار جهازك الخاص [4](BYOD).

c.      يجب أن يتوافق استخدام أنظمة BFD مع مدونة الاتصال الخاصة بالمؤسسة والإجراءات المحددة[5].

4.     يُشترط الوصول إلى أنظمة BFD عبر شبكة موثوقة. تجنب استخدام شبكات Wi-Fi العامة إلا إذا كان ذلك ضروريًا. في حالة الاضطرار إلى استخدام شبكة عامة، يتعين على المستخدمين استخدام اتصال VPN آمن.

5.     يجب على المستخدمين الذين يستخدمون أجهزة مدارة بنظام Windows من BFD إعداد اتصال VPN عبر Windows Remote Access VPN يتطلب ذلك إدخال تفاصيل الخادم وبيانات الاعتماد الموفرة من قبل فريق تقنية المعلومات.

6.     للمستخدمين الذين يحتاجون إلى استخدام أجهزة شخصية أو أجهزة أخرى، يمكنهم طلب إعداد Forticlient VPN من مكتب خدمات تقنية المعلومات. بعد تثبيت البرنامج، يتم إعداد الاتصال باستخدام بيانات الاعتماد التي توفرها BFD لضمان الاتصال الآمن بالشبكة.

7.     يُحظر على المستخدمين إنشاء أو تنزيل أو نقل محتوى غير قانوني أو غير لائق. تحتفظ BFD بالحق في مراقبة ومنع الوصول إلى مثل هذه المحتويات

8.      يجب على الموظفين العاملين عن بعد حماية معلومات BFD والمعدات المملوكة لها من الضياع أو التلف أو الوصول غير المصرح به. بالإضافة إلى ذلك، يجب الالتزام بالقوانين المحلية عند الوصول عن بُعد لأنظمة BFD.

6.3       أمن المعلومات

جميع المعلومات الإلكترونية (الشخصية أو الرسمية) المرسلة أو المخزنة على موارد تكنولوجيا المعلومات الخاصة ب BFD هي ملك ل BFD. تحتفظ BFD بالحق في الوصول إلى جميع هذه المعلومات وقراءتها والتصرف بناءً عليها، بما في ذلك جميع رسائل البريد الإلكتروني والرسائل القصيرة المرسلة أو المستلمة من خلال موارد تكنولوجيا المعلومات الخاصة بشركة BFD. المستخدمون مسؤولون عن الحفاظ على أمان حسابات نظام المعلومات وكلمات المرور الخاصة بهم. يجب على المستخدمين حماية حساباتهم وكلمات المرور، وتجنب مشاركة المعلومات الحساسة مع الآخرين.

1.     يتعين على جميع مستخدمي الأنظمة الإبلاغ فورًا عن أي انتهاكات مشتبه بها، هجمات إلكترونية، أو مشكلات متعلقة بالأمان عبر قناة خدمات تقنية المعلومات والدعم الفني في نظام ERPNext أو أي قنوات أخرى متاحة. في حال حدوث خرق يعرض البيانات الشخصية للخطر، يجب على المستخدمين إخطار فريق الامتثال للمعلومات بشكل فوري.[6]

2.     يتحمل الأفراد الذين يتعاملون مع المعلومات الشخصية أو السرية أو الحساسة مسؤولية اتخاذ كافة التدابير اللازمة لحمايتها. يجب أن يكونوا على دراية كاملة بمتطلبات سياسة حماية البيانات [7]  الخاصة بمؤسسة بناء والإجراءات ذات الصلة، وأن يلتزموا بها. تُعد أي انتهاكات للثقة المتعلقة بالمعلومات السرية التي تحتفظ بها المؤسسة جريمة تأديبية بموجب الإجراءات التأديبية للموظفين، وقد تشكل أيضًا انتهاكًا للقوانين أو اللوائح المعنية بحماية البيانات.

3.     تحتفظ BFD بالحق في حذف أو إزالة بيانات المستخدم من أصول تقنية المعلومات المركزية (مثل ملفات تعريف المستخدمين القديمة على الأجهزة الجديدة) بعد مرور عام واحد، وذلك وفقًا لسياسة الاحتفاظ بالبيانات والمعلومات[8].

6.4       المسؤولية عن الأجهزة والمعدات المملوكة لمؤسسة بناء

المستخدمون الذين يتم تزويدهم بأجهزة مملوكة لمؤسسة بناء (بما في ذلك الأجهزة الهاتفية المحمولة) يتحملون المسؤولية عن تلك الأجهزة. يجب عليهم اتخاذ جميع التدابير المعقولة لحماية الأجهزة وتأمينها، بالإضافة إلى حماية أي بيانات مخزنة عليها، وفقًا لما هو مذكور في سياسة حماية البيانات، وإجراءات إدارة اختراق البيانات، وسياسة الأجهزة المحمولة.

1.     يجب على المستخدمين إدارة استهلاك البيانات على أجهزتهم المحمولة المملوكة لمؤسسة بناء ضمن الحدود المحددة لتجنب تكبد تكاليف إضافية.

2.     يتحمل المستخدمون مسؤولية إعادة جميع الأجهزة المملوكة لمؤسسة بناء عند مغادرة المؤسسة أو بناءً على طلب من إدارة اللوجستي، قسم الموارد البشرية، أو وحدة تقنية المعلومات والتحول الرقمي التابعة للمؤسسة. قد يتم اتخاذ إجراءات قانونية ضد الأفراد الذين لا يعيدون الأجهزة المطلوبة.

6.5       الاستخدام الشخصي

يُسمح بمستوى معقول من الاستخدام الشخصي لأجهزة وأنظمة تقنية المعلومات الخاصة بمؤسسة بناء للتنمية، بشرط ألا يؤثر ذلك على سير العمل أو يؤثر سلبًا على أداء الأنظمة. يُشترط أن يكون هذا الاستخدام متوافقًا مع سياسات المؤسسة ومتطلبات الأمان.

1.     يجب أن يكون الاستخدام الشخصي محدودًا بحيث لا يؤثر على أداء المستخدم في عمله، يجب ألا يقلل الاستخدام الشخصي بشكل ملموس من قدرة المستخدم على القيام بالعمل الموكل إليه. تشمل أمثلة الأنشطة التي من المحتمل أن تؤثر على BFD (سواء من حيث التكلفة أو سعة الشبكة أو غير ذلك): المكالمات الهاتفية الشخصية، وخدمات استخدام البيانات العالية (مثل الفيديو أو بث البيانات)، ومؤتمرات الفيديو لأغراض شخصية، ولعب الألعاب التفاعلية، وتنزيل الملفات الشخصية الكبيرة، وخدمات الرسائل التفاعلية، ويجب ألا يتجاوز استهلاك البيانات الحدود المسموح بها من قبل المؤسسة.

2.     يتعين على المستخدمين التأكد من أن استخدامهم الشخصي للأجهزة لا يؤدي إلى تعرض البيانات لأي مخاطر أمنية، أو حدوث أي اختراقات قد تؤدي إلى فقدان أو تسريب المعلومات الحساسة.

3.     يُحظر على المستخدمين استخدام الأنظمة لأغراض شخصية يمكن أن تعرض المؤسسة لمخاطر قانونية أو مالية، ويجب الالتزام بسياسات الأمان والإجراءات المتبعة حتى في حالة الاستخدام الشخصي للأجهزة.

4.     تحتفظ المؤسسة بالحق في مراقبة الاستخدام الشخصي للتأكد من الالتزام بهذه السياسات، وفي حال وجود أي انتهاك، قد يتم اتخاذ الإجراءات اللازمة وفقًا للسياسات التأديبية المعمول به.

في حين تسمح BFD للمستخدمين باستخدام أنظمة الكمبيوتر الخاصة بها من حين لآخر (في حدود معقولة) لتخزين الملفات الشخصية أو إرسال الرسائل الشخصية، فإن هذا يعتبر تسهيلاً متاحاً للمستخدمين كنوع من المجاملة وعلى مسؤوليتهم الخاصة. لا تستطيع BFD ضمان خصوصية هذه الملفات أو الرسائل وقد تحد أو توقف مثل هذه الأنشطة حسب الضرورة.

6.6       البريد الإلكتروني وتطبيقات إدارة التواصل

تشمل هذه السياسة استخدام حسابات البريد الإلكتروني المخصصة للأفراد أو المجموعات التي توفرها مؤسسة بناء، وكذلك الرسائل والتواصل من خلال الوسائل وتطبيقات إدارة التواصل التي تقدمها المؤسسة مثل Microsoft Team. كما تنطبق على الأدوات الإلكترونية التعاونية الأخرى التي قد تستخدمها المؤسسة مثل SharePoint او تطبيقات سطح المكتب.

1.     يجب أن يدرك المستخدمون أنه عندما يرسلون بريدًا إلكترونيًا تحت عنوان "bfdyemen.org" فإنهم يمثلون BFD. يمكن أن تلزم رسائل البريد الإلكتروني BFD قانونًا ويمكن أن تعرض BFD للمساءلة القانونية والإضرار بالسمعة. لذلك يجب على المستخدمين التأكد من الالتزام بأعلى المعايير الأخلاقية.

2.     يجب استخدام البريد الإلكتروني الرسمي للمؤسسة بطريقة تعكس القيم المهنية والتنموية للمؤسسة. يجب تجنب إرسال أي محتويات حساسة أو غير مناسبة، والحرص على أن تكون جميع الرسائل واضحة واحترافية وتتماشى مع أهداف العمل المؤسسي.

3.     يجب على المستخدمين اتباع الإرشادات الخاصة باستخدام البريد الإلكتروني كما هو موضح في إجراءات البريد الإلكتروني وتطبيقات إدارة التواصل[9].

4.     يجب أن يتوافق استخدام البريد الإلكتروني وتطبيقات إدارة التواصل بجميع الأشكال مع سياسات مؤسسة بناء المتعلقة بالاتصالات، الكرامة، المساواة، التنوع، الشمول، والاحترام.

5.     جميع الرسائل الإلكترونية والتواصل التي يتم إرسالها باستخدام وسائل BFD مملوكة للمؤسسة. ويمكن البحث فيها، تدقيقها، واستخدامها في مواقف مثل (على سبيل المثال لا الحصر) الإجراءات القانونية، الإجراءات التأديبية الداخلية، طلبات حرية المعلومات (FOI)، وطلبات الوصول إلى البيانات الشخصية (SAR/DAR).

6.     يُمنع استخدام البريد الإلكتروني الخاص بمؤسسة بناء للتنمية في منصات التواصل الاجتماعي أو التسجيل في مواقع أخرى غير مرتبطة بالعمل. كما يُحظر تفعيل الاشتراكات أو استقبال النشرات الإخبارية من خلال البريد الإلكتروني المؤسسي.

7.     يجب أن يكون استخدام البريد الإلكتروني مقتصرًا على الأغراض المتعلقة بعمل المؤسسة فقط، وذلك لضمان حماية المعلومات المؤسسية والحفاظ على أمان البريد الإلكتروني من المخاطر المحتملة مثل البريد العشوائي والبرمجيات الضارة.

8.     يجب على المستخدمين تنفيذ ضوابط أمن المعلومات المناسبة واتباع ممارسات البريد الإلكتروني الجيدة، مثل الأرشفة، وتقليل حجم المرفقات، وتقليل استخدام "الرد على الكل" عندما لا يكون ذلك ضروريًا. لا ينبغي أرشفة رسائل البريد الإلكتروني والملفات الشخصية على النظام لفترة أطول من اللازم تمامًا. رسائل البريد الإلكتروني المرسلة أو المستلمة كاتصالات رسمية هي سجلات BFD ويجب الاحتفاظ بها طالما كانت هناك حاجة إليها لمتطلبات BFD الإدارية والقانونية.

6.7       سياسة الاستخدام عند العمل عن بعد

·        يجب على المستخدمين الذين يعملون عن بعد الالتزام بسياسات أمن المعلومات لضمان حماية بيانات المؤسسة من الوصول غير المصرح به.

·        الاتصال الآمن: يجب استخدام شبكة خاصة افتراضية (VPN) للوصول إلى أنظمة المؤسسة عن بعد. يتم توفير تفاصيل إعداد الاتصال بواسطة فريق تقنية المعلومات.

·        أمن الأجهزة: يجب تأمين جميع الأجهزة المستخدمة للعمل عن بعد بكلمات مرور قوية وتفعيل المصادقة متعددة العوامل (MFA). يجب على المستخدمين عدم ترك أجهزتهم دون مراقبة أو في أماكن غير آمنة.

·        حماية البيانات: يجب عدم تخزين البيانات الحساسة أو نسخها على أجهزة شخصية. يُنصح باستخدام التطبيقات السحابية المعتمدة مثل SharePoint وOneDrive لضمان حماية البيانات.

·        استخدام شبكة Wi-Fi: يُحظر استخدام شبكات Wi-Fi العامة دون استخدام VPN. يجب على المستخدمين تجنب الاتصال بالإنترنت عبر شبكات غير آمنة لحماية بيانات المؤسسة.

6.8       حقوق الطبع والنشر والتراخيص والبرامج

تتمثل سياسة BFD في شراء تراخيص كافية للمستخدمين للقيام بأعمالهم. وسوف ينظم فريق تقنية المعلومات والأمن السيبراني التراخيص في البرامج القياسية المقدمة مع معدات BFD. يجب ترخيص أي برنامج غير قياسي يتم تحميله على أجهزة كمبيوتر BFD بشكل صحيح ومنحة الصلاحيات اللازمة. يجب على المستخدمين التأكد من توفر وثائق الترخيص.

يجب على المستخدمين الراغبين في تحميل البرامج على أجهزة الكمبيوتر الخاصة بهم اتباع سياسات وإجراءات BFD ذات الصلة، المتوفرة من فريق تقنية المعلومات والأمن السيبراني.

6.9       ضوابط استخدام الهواتف والإنترنت

·        يُسمح باستخدام الهواتف المحمولة وأجهزة الإنترنت المملوكة للمؤسسة لأغراض العمل فقط. يجب على المستخدمين الامتناع عن استخدام الأجهزة لأي أغراض شخصية قد تعرض بيانات المؤسسة للخطر.

·        استخدام الإنترنت: يُحظر الوصول إلى مواقع الويب غير الآمنة أو غير المناسبة التي قد تحتوي على محتوى غير لائق أو برامج ضارة. سيتم مراقبة استخدام الإنترنت للتحقق من الامتثال لهذه السياسة.

·        إدارة استهلاك البيانات: يجب على المستخدمين مراقبة استهلاك البيانات على أجهزتهم المحمولة ضمن الحدود المحددة لتجنب تكاليف إضافية غير ضرورية. في حال تجاوز حدود الاستهلاك، قد يتم اتخاذ إجراءات لتقليل الوصول أو تقييد استخدام البيانات.

·        سلامة الهواتف: يجب على المستخدمين تفعيل ميزات الأمان مثل القفل التلقائي، وعدم ترك الهواتف دون مراقبة. يجب الإبلاغ عن فقدان أو سرقة أي جهاز مملوك للمؤسسة فورًا إلى فريق تقنية المعلومات.

6.10   استخدام الوسائط القابلة للإزالة

·       يُحظر استخدام الوسائط القابلة للإزالة (مثل USB، الأقراص الصلبة الخارجية، وبطاقات الذاكرة) على أصول تقنية المعلومات الخاصة بمؤسسة بناء للتنمية دون الحصول على موافقة مسبقة من فريق تقنية المعلومات.

·       الفحص الأمني: يجب فحص جميع الوسائط القابلة للإزالة باستخدام برنامج مكافحة الفيروسات المعتمد من المؤسسة قبل استخدامها على أجهزة الشبكة.

·       حماية البيانات: يُحظر نسخ أو نقل البيانات الحساسة إلى الوسائط القابلة للإزالة. يجب استخدام الحلول السحابية المعتمدة لنقل البيانات الحساسة.

·       الإبلاغ عن فقدان الوسائط: في حال فقدان الوسائط القابلة للإزالة، يجب الإبلاغ فورًا إلى فريق تقنية المعلومات لتقييم المخاطر واتخاذ الإجراءات اللازمة لحماية البيانات

6.11   التخزين والأرشفة

تلتزم مؤسسة بناء للتنمية بتطبيقات معتمدة لتخزين وأرشفة الملفات، بما في ذلك SharePoint وOneDrive، وذلك لضمان إدارة فعالة وآمنة للمعلومات والبيانات المؤسسية. تُعتبر هذه الأنظمة الوسيلة الرسمية والوحيدة المسموح بها لتخزين وأرشفة الوثائق والمعلومات الخاصة بالمؤسسة.

1.     يجب على جميع المستخدمين استخدام التطبيقات المعتمدة فقط، مثل SharePoint وOneDrive، لتخزين وأرشفة جميع الملفات والمستندات. تُمنع تمامًا عمليات التخزين أو الأرشفة في منصات غير رسمية أو غير معتمدة من قبل المؤسسة، مثل Google Drive أو Dropbox أو أي خدمات تخزين سحابية أخرى.

2.     منع استخدام المنصات غير المعتمدة يهدف إلى ضمان حماية البيانات الحساسة، وتوفير مستوى عالٍ من الأمان في إدارة المعلومات، وضمان الامتثال للوائح المؤسسة. تخزين البيانات على منصات خارجية غير معتمدة قد يعرضها لمخاطر أمنية، مثل فقدان المعلومات أو اختراقها، كما يمكن أن يؤدي إلى فقدان التحكم في البيانات المؤسسية.

3.     يجب على جميع المستخدمين الالتزام بسياسة الأرشفة والتخزين الخاصة بالمؤسسة. يشمل ذلك ضمان أن جميع الملفات والوثائق تُخزن على التطبيقات المعتمدة، وأن عملية الأرشفة تتم وفقًا للإرشادات المعتمدة لضمان إمكانية الوصول الآمن والمستدام للمعلومات[10].

4.     تحتفظ المؤسسة بالحق في مراقبة استخدام تطبيقات التخزين والأرشفة لضمان الامتثال لهذه السياسات. قد يتم إجراء عمليات تدقيق دورية للتأكد من أن جميع الملفات محفوظة ومؤرشفة وفقًا للسياسات المعتمدة. في حالة اكتشاف أي انتهاكات، سيتم اتخاذ الإجراءات التأديبية المناسبة.

5.     سيتم توفير برامج تدريبية دورية لجميع المستخدمين لتعريفهم بسياسات التخزين والأرشفة وكيفية استخدام الأنظمة المعتمدة بشكل صحيح. يجب على المستخدمين التحقق من امتثالهم لهذه السياسات بشكل دائم والاتصال بفريق تقنية المعلومات والتحول الرقمي في حال وجود أي استفسارات أو صعوبات في تنفيذ السياسة.

6.12   المسؤولية الفردية

·       يتحمل كل مستخدم في مؤسسة بناء للتنمية (BFD) المسؤولية الكاملة عن حماية موارد تقنية المعلومات والبيانات الحساسة التي يتم الوصول إليها من خلال حساباتهم وأجهزتهم. يشمل ذلك الالتزام بالسياسات والإجراءات المحددة في هذه الوثيقة.

·       يجب على جميع المستخدمين الالتزام بأعلى معايير الأمان في استخدام الأنظمة والأجهزة المملوكة للمؤسسة. يُعتبر أي خرق لهذه المعايير انتهاكًا لسياسات المؤسسة، وقد يؤدي إلى اتخاذ إجراءات تأديبية.

·       يُتوقع من المستخدمين الإبلاغ الفوري عن أي حوادث أمنية أو محاولات اختراق لنظام تقنية المعلومات عبر القنوات المعتمدة مثل نظام ERP Next أو التواصل مع فريق تقنية المعلومات والأمن السيبراني.

·       يتحمل المستخدمون مسؤولية تحديث معارفهم حول السياسات والإجراءات الأمنية من خلال المشاركة في برامج التدريب واتباع التوجيهات المقدمة من فريق تقنية المعلومات.

تقوم مؤسسة بناء بمراقبة وتسجيل استخدام مرافق ومعدات تقنية المعلومات لأغراض متعددة تشمل:

1.     التخطيط الفعّال والتشغيل الأمثل لمرافق تقنية المعلومات.

2.     الكشف عن أي انتهاكات لهذه السياسة والإجراءات ذات الصلة أو القوانين ذات الصلة ومنعها.

3.     التحقيق في سوء السلوك المزعوم.

4.     الامتثال للطلبات القانونية للمعلومات من الهيئات الحكومية.

5.     يمكن لمسؤول تقنية المعلومات والامن السيبراني في مؤسسة بناء للتنمية بناءً على طلب من مدير الوحدة أو مدير الموارد البشرية وبموافقة المدير التنفيذي للمؤسسة، منح إذن للوصول إلى حسابات المستخدم لأي من الأسباب المذكورة أعلاه، أو لتمكين استمرارية العمليات في حال وفاة المستخدم، أو عدم قدرته، أو إيقافه، أو إنهاء عمله، أو مغادرته، أو غيابه لفترة طويلة.

الامتثال لهذه السياسة والسياسات والإجراءات المرتبطة بها سيضمن التزام المستخدمين بالقانون. يجب على المستخدمين التواصل مع وحدة تقنية المعلومات والتحول الرقمي للحصول على المشورة في حال وجود أي استفسارات أو مخاوف.

1.     عدم الامتثال لهذه الإجراءات أو السياسات المرتبطة بها يُعتبر انتهاكًا للوائح مؤسسة بناء، وسيتم التحقيق فيه وفقًا للوائح المؤسسة المعمول بها.

2.     أي انتهاك لهذه السياسة قد يؤدي إلى اتخاذ إجراءات تأديبية تصل إلى إنهاء الخدمة، وقد يتعرض المستخدمون للمساءلة القانونية في حال تسببهم بأضرار للمؤسسة.

3.     يمكن لمدير وحدة تقنية المعلومات والتحول الرقمي أو من ينوب عنه (ضابط تقنية المعلومات والامن السيبراني) تقييد أو إيقاف وصول المستخدم إلى أنظمة مؤسسة بناء مؤقتًا إذا لزم الأمر لحماية النظام أو منع أي ضرر قد يلحق بسمعة المؤسسة أو أثناء سير التحقيق.

أقر بأنني قد استلمت وقرأت وفهمت سياسة أمن المعلومات والاستخدام المقبول لمؤسسة بناء للتنمية. كما أتعهد بالالتزام بجميع بنودها والتقيد بها كجزء من شروط عملي مع المؤسسة.

 

الاسم: ___________________

الوظيفة: ___________________

التوقيع: ___________________

التاريخ: ___________________