الشروط القانونية

أمن المعلومات

جميع حقوق النشر والحقوق الفكرية والصناعية المتعلقة بهذا المستند والمعرفة التقنية التي يتضمنها مملوكة لشركة Ink Innovation S.L. و/أو لأصحابها المعنيين.

يُتاح هذا المستند للمستخدمين النهائيين للاستخدام الداخلي فقط. ولا يجوز نشر أي جزء من هذا المستند أو أي بيانات واردة فيه، أو الكشف عنها، أو نسخها، أو إعادة إنتاجها، أو إعادة توزيعها بأي شكل أو وسيلة، سواء إلكترونيًا أو ميكانيكيًا، أو استخدامها لأي غرض آخر مهما كان، دون الحصول على موافقة خطية مسبقة من شركة Ink Innovation S.L.

يُحتفظ بجميع الحقوق التي لم يتم منحها صراحةً في هذه الوثيقة.

الغرض

تهدف سياسة أمن المعلومات هذه إلى حماية أصول المعلومات الخاصة بشركة Ink Innovation S.L. من جميع التهديدات، سواء كانت داخلية أو خارجية، متعمدة أو عرضية. تحدد هذه السياسة الإطار والمبادئ الأساسية لتأمين أصول المعلومات لدينا، وضمان سريتها وسلامتها وتوافرها.

النطاق

تنطبق هذه السياسة على جميع الموظفين والمتعاقدين والمستشارين والموظفين المؤقتين وغيرهم من العاملين في شركة Ink Innovation S.L.، بما في ذلك جميع الأفراد التابعين لأطراف ثالثة. وتشمل هذه السياسة جميع أنظمة المعلومات والشبكات والمواقع المادية التي تتم فيها معالجة المعلومات أو تخزينها أو نقلها.

وتشمل هذه السياسة أيضًا الأطراف المعنية، مثل العملاء والجهات التنظيمية والموردين والشركاء، مما يضمن التوافق مع الالتزامات التعاقدية والتنظيمية والقانونية السارية.

أهداف أمن المعلومات

  • لضمان سرية المعلومات وسلامتها وتوافرها.
  • للحماية من الوصول غير المصرح به والانتهاكات.
  • الالتزام بالقوانين واللوائح والالتزامات التعاقدية ذات الصلة، بما في ذلك متطلبات حماية البيانات والخصوصية.
  • لحماية المعلومات الشخصية والحساسة والسرية وفقًا للوائح الخصوصية وحماية البيانات المعمول بها.
  • العمل على التحسين المستمر لنظام إدارة أمن المعلومات لدينا بما يتوافق مع متطلبات ISO/IEC 27001 و NIST.

الأدوار والمسؤوليات

  • فريق الإدارة التنفيذية في شركة Ink: توفير القيادة والالتزام وتعزيز سياسات وإجراءات نظام إدارة أمن المعلومات، وتخصيص الموارد، ودعم التحسين المستمر. وإظهار المسؤولية عن فعالية نظام إدارة أمن المعلومات وضمان توافقه مع أهداف العمل.
  • رئيس أمن المعلومات (CISO): تطوير نظام إدارة أمن المعلومات (ISMS) وتنفيذه وصيانته، وضمان الامتثال لمتطلبات ISO/IEC 27001. الإشراف على تقييمات المخاطر، وضمان الامتثال للمتطلبات الأمنية التنظيمية والتعاقدية، وضمان التوافق مع تصنيف NIST FIPS 199.
  • قسم تكنولوجيا المعلومات:تنفيذ الضوابط الفنية، ومراقبة الأنظمة، وجمع سجلات الأمان ومراجعتها، والاستفادة من معلومات التهديدات، والاستجابة للحوادث الأمنية. ضمان تطبيق مبدأ الفصل بين المهام لمنع التعديل غير المصرح به أو غير المقصود للأصول.
  • إلى جميع الموظفين: يرجى الالتزام بسياسات وإجراءات أمن المعلومات، والإبلاغ عن الحوادث الأمنية على الفور، وحماية المعلومات السرية، والمشاركة في برامج التدريب والتوعية الأمنية الدورية.

إدارة المخاطر

  • إجراء تقييمات منتظمة للمخاطر من أجل تحديد وتقييم وترتيب أولويات المخاطر التي تهدد أمن المعلومات.
  • تنفيذ تصنيف أنظمة المعلومات باستخدام معايير NIST FIPS 199 لتصنيف الأنظمة والبيانات وفقًا لمستويات التأثير المحتملة (منخفضة، متوسطة، عالية) فيما يتعلق بالسرية والسلامة والتوافر.
  • تطبيق ضوابط مناسبة بناءً على التصنيف، بحيث تتطلب الأنظمة المصنفة على أنها «عالية» تدابير الحماية الأكثر صرامة.
  • مواءمة معالجة المخاطر مع الرغبة في المخاطرة المحددة للمنظمة وسياق نظام إدارة أمن المعلومات.
  • مراجعة تقييمات المخاطر وتحديثها بشكل دوري، وكذلك عند حدوث تغييرات جوهرية.

ضوابط أمن المعلومات

  • التحكم في الوصول: ضمان منح حق الوصول إلى المعلومات وفقًا لاحتياجات العمل وبشرط الحصول على التفويض المناسب.
  • الأمن المادي: حماية المواقع المادية التي تضم أصول المعلومات من الوصول غير المصرح به والمخاطر البيئية.
  • أمن الاتصالات: حماية المعلومات أثناء نقلها من خلال التشفير وبروتوكولات الاتصال الآمنة.
  • إدارة الحوادث: وضع خطة للاستجابة للحوادث ومتابعتها من أجل الكشف عن الحوادث الأمنية والاستجابة لها والتعافي منها.
  • استمرارية الأعمال واستعادة القدرة على العمل بعد الكوارث: وضع خطط واختبارها لضمان استمرار الوظائف الحيوية للأعمال في حالة حدوث اضطرابات غير متوقعة.
  • أمن الموردين والأطراف الخارجية: تحديد متطلبات أمن المعلومات والتواصل بشأنها وتطبيقها مع الموردين والمقاولين ومقدمي الخدمات من الأطراف الخارجية.
  • المراقبة والتسجيل: مراقبة أنظمة المعلومات للكشف عن أي حالات شاذة وأحداث أمنية. جمع سجلات الأمان والاحتفاظ بها ومراجعتها بانتظام للكشف عن التهديدات ودعم التحقيقات.
  • معلومات التهديدات: استخدم معلومات التهديدات الداخلية والخارجية للكشف عن المخاطر والتخفيف من حدتها بشكل استباقي.
  • تصنيف المعلومات وتقسيمها إلى فئات: تصنيف أصول المعلومات وتصنيفها وفقًا لدرجة حساسيتها، وتقسيم الأنظمة إلى فئات وفقًا لمعيار NIST FIPS 199 (منخفضة، متوسطة، عالية). ويجب تطبيق الضوابط بما يتناسب مع نتائج التصنيف.

التدريب والتوعية

  • توفير تدريب دوري لجميع الموظفين حول سياسات وإجراءات وأفضل الممارسات المتعلقة بأمن المعلومات.
  • تعزيز الوعي بالتهديدات التي تواجه أمن المعلومات وأهمية الإبلاغ عن الحوادث الأمنية.

الامتثال

  • ضمان الامتثال للمتطلبات القانونية والتنظيمية والتعاقدية ذات الصلة.
  • إجراء عمليات تدقيق ومراجعة دورية لضمان فعالية نظام إدارة أمن المعلومات والامتثال لمعيار ISO/IEC 27001.

التحسين المستمر

  • مراقبة وقياس أداء نظام إدارة أمن المعلومات من خلال عمليات التدقيق والمراجعة الداخلية.
  • تنفيذ الإجراءات التصحيحية والوقائية لمعالجة حالات عدم المطابقة وتحسين نظام إدارة أمن المعلومات.
  • تشجيع الموظفين وأصحاب المصلحة على تقديم ملاحظاتهم من أجل تعزيز ممارسات أمن المعلومات.

مراجعة السياسات

يجب مراجعة هذه السياسة مرة واحدة على الأقل سنويًا أو عند حدوث تغييرات جوهرية، وذلك لضمان استمرار ملاءمتها وكفايتها وفعاليتها. ويجب إطلاع جميع الأطراف المعنية الداخلية والخارجية ذات الصلة على هذه السياسة وإتاحتها كمعلومات موثقة.