سياسة أمن المعلومات

1.    المقدمة

أمن المعلومات هو نظام شامل ، بمعنى أن تطبيقه ، أو عدمه ، يؤثر على جميع جوانب بنك اليمن والكويت. الهدف من برنامج أمن المعلومات التابع لبنك اليمن والكويت (YKB) هو حماية سرية وسلامة وتوافر البيانات المستخدمة في بنك اليمن والكويت مع توفير قيمة للطريقة التي ندير بها الأعمال. حماية السرية والسلامة والتوافر هي مبادئ أساسية لأمن المعلومات ، ويمكن تعريفها على النحو التالي:

·        السرية - التأكد من أن المعلومات متاحة فقط للافراد وتلك الكيانات المصرح لها بالوصول ، والتي يتم فرضها في كثير من الأحيان من خلال مبدأ "الحاجة إلى المعرفة".

·        السلامة - حماية دقة واكتمال المعلومات والطرق المستخدمة لمعالجتها وإدارتها.

·        التوافر - التأكد من أن أصول المعلومات (أنظمة المعلومات والمرافق والشبكات وأجهزة الكمبيوتر) يمكن الوصول إليها واستخدامها عند الحاجة من قبل  فرد أو كيان مرخص.

كبنك طموح وتطلعي، يدرك بنك اليمن والكويت من المستويات العليا الحاجة إلى ضمان سير أعماله بسلاسة ودون انقطاع لصالح عملائه ومساهميه وأصحاب المصلحة الآخرين.

لقد أدرك بنك اليمن والكويت (YKB) أن معلومات أعمالنا هي أصول مهمة وبالتالي فإن قدرتنا على إدارة هذه الأصول والتحكم فيها وحمايتها سيكون لها تأثير مباشر وهام على نجاحنا في المستقبل.

من أجل توفير مثل هذا المستوى من التشغيل المستمر ، سيقوم بنك اليمن والكويت (YKB) بتنفيذ نظام إدارة أمن المعلومات (ISMS) بما يتماشى مع المعيار الدولي لأمن المعلومات ، IS0 / IEC 27001. يحدد هذا المعيار متطلبات ISMS على أساس أفضل الممارسات المعترف بها دوليا.

لتشغيل نظام إدارة أمن المعلومات (ISMS) العديد من الفوائد للأعمال في البنك، بما في ذلك:

·        حماية مصادر الإيرادات و الارباح لبنك اليمن والكويت (YKB) ؛

·        ضمان توفير المنتجات والخدمات الأمنة للعملاء ؛

·        الحفاظ على قيمة المساهم وتعزيزها ؛ و

·        الامتثال للمتطلبات القانونية والتنظيمية

قرر بنك اليمن والكويت الحصول على شهادة لـ ISO / IEC 27001 والاحتفاظ بها من أجل أن يتم التحقق من صحة التبني الفعال لأفضل ممارسات أمن المعلومات من قبل جهة خارجية مستقلة ، وهي هيئة تصديق مسجلة. بالإضافة إلى ذلك ، سيتم اعتماد التوجيهات الواردة في ضوابط الممارسات ISO / IEC 27017 و 27018 لأنها ذات صلة خاصة بمقدمي الخدمات السحابية.

تحدد هذه الوثيقة سياسة أمن المعلومات لبنك اليمن والكويت ، وتضع الإطار الذي يمكن من خلاله تطوير سياسات أمن المعلومات الأخرى لضمان قدرة بنك اليمن والكويت على إدارة ومراقبة وحماية أصول المعلومات التجارية وأصول المعلومات الموكلة إليه بكفاءة وفعالية. لبنك اليمن والكويت من قبل المساهمين والشركاء والعملاء والجهات الخارجية الأخرى.

تم بناء برنامج أمن معلومات البنك اليمن والكويت حول المعلومات الواردة في هذه السياسة والسياسات الداعمة لها.

2.    الغاية

الغرض من سياسة أمن المعلومات (ISMS) لبنك اليمن والكويت (YKB) هو وصف الإجراءات والسلوكيات المطلوبة لضمان توخي العناية الواجبة لتجنب المخاطر غير الملائمة على بنك اليمن والكويت وشركائه التجاريين وأصحاب المصلحة.

3.    النِطَاق

تطبق سياسة أمن المعلومات (ISMS) لبنك اليمن والكويت (YKB) على جميع الأنظمة والأفراد والعمليات التي تشكل أنظمة معلومات بنك اليمن والكويت (YKB) أو تتفاعل مع أي مصدر معلومات لبنك اليمن والكويت ، بما في ذلك أعضاء مجلس الإدارة والمدراء والموظفين والموردين والأطراف الثالثة الأخرى الذين لديهم حق الوصول إلى أنظمة بنك اليمن والكويت.

الوثائق الأخرى ذات الصلة بسياسة أمن المعلومات هذه تدعم وتوفر معلومات إضافية حول كيفية تطبيقها.

الوثائق والمستندات الداعمة التالية ذات صلة بسياسة أمن المعلومات هذه وتوفر معلومات إضافية حول كيفية تطبيقها:

 

#

الوثائق الداعمة لسياسة أمن المعلومات الـ ISMS

01

السياسات

1

سياسة أمن المعلومات ISMS

2

بيان سياسة أمن المعلومات ISMS

3

نطاق نظام إدارة أمن المعلومات ISMS

4

سياسة أدوار ومسئوليات نظام إدارة أمن المعلوماتISMS

5

دليل سياسة أمن المعلومات

6

بيان تطبيق نظام إدارة أمن المعلومات SOA

7

اتفاقية عدم الإفصاح والسرية للموظفين

8

اتفاقية عدم الإفصاح والسرية للموردين

9

سياسة إدارة مخاطر أمن المعلومات

10

سياسة الاستخدام المقبول للمعلومات والأصول الأخرى المرتبطة بها

11

سياسة تحديد الهوية والمصادقة والتفويض

12

سياسة أمن معلومات المورد

13

سياسة الحماية من البرامج الضارة

14

سياسة أمن الوصول عن بُعد

15

سياسة تصنيف المعلومات وحمايتها وإدارتها

16

سياسة أمن إدارة التكوين

17

سياسة إدارة حوادث أمن المعلومات

18

سياسة إدارة الحساب وحقوق الوصول

19

سياسة أمن التشفير

20

سياسة التدقيق الداخلي لنظام إدارة أمن المعلومات ISMS

21

سياسة الأمن المادي

22

سياسة الإبلاغ عن حوادث أمن المعلومات والاستجابة لها

23

سياسة خطة الاستجابة لحوادث الأمن السيبراني (CSIRP)

24

سياسة أمن المعلومات لاستخدام الخدمات السحابية

25

سياسة استمرارية الأعمال والتعافي من الكوارث

26

سياسة التخطيط للطوارئ

27

سياسة خطة التعافي من الكوارث

28

سياسة تخطيط نظام إدارة أمن المعلومات ISMS

29

سياسة أمن مكافح الفيروسات

30

سياسة أمن التخلص من المعدات التكنولوجية

31

سياسة أمن إدارة الأصول

32

سياسة مكتب واضح وشاشة واضحة

33

نموذج عقد الطرف الثالث

34

سياسة  ضوابط وإدارة التغيير

35

سياسة أمن الاستعانة بمصادر خارجية

36

سياسة أمن نقل المعلومات

37

سياسة أمن إدارة الشبكة

38

سياسة أمن الشبكة

39

سياسة إدارةالثغرات الفنية

40

سياسة  أمن تطبيقات الويب

41

سياسة أمن تطوير الأنظمة

42

سياسة الصيانة والمراجعة

43

سياسة التحكم في البرامج التشغيلية

44

سياسة حماية معلومات التعريف الشخصية والتعامل معها

45

سياسة أمن إدارة الأجهزة المحمولة

46

 اتفاقية الجهاز المحمول للموظف

47

سياسة الاستخدام المقبول للأجهزة المحمولة الشخصية (BYOD)

48

اتفاقية الاستخدام المقبول للأجهزة المحمولة الشخصية (BYOD)

49

سياسة أمن البريد الإلكتروني

50

سياسة الاستخدام المقبول للإنترنت

51

سياسة استثناء أمن المعلومات

52

سياسة أمن تجهيزات الحماية

53

سياسة أمن كلمة المرور

54

سياسة أمن إدارة التسجيل والمراقبة والتنبيه والتدقيق

55

سياسة الاحتفاظ بالبيانات وأرشفتها وحذفها

56

سياسة أمن الوسائط القابلة للإزالة

57

 سياسة الأمن التأديبية

58

سياسة وضع العلامات ؛

59

سياسة  أمن إدارة التحديثات

60

سياسة أمن اختبار الاختراق

61

سياسة شراء تقنيات المعلومات.

62

سياسة النسخ الاحتياطي

63

سياسة منع تسرب البيانات

64

سياسة استعادة البيانات

65

سياسة اختبار أمن المعلومات.

66

نموذج خطة أمن النظام

67

إطار دورة حياة التطوير الآمن.

02

الخطط

1

خطة الإتصال والتواصل

2

خطة ضوابط تقييم مخاطر أمن المعلومات

3

(خطة عمل) بيان قابلية تطبيق نظام الـ ISMS

4

(خطة عمل) تسجيل ومعالجة مخاطر أمن المعلومات ISMS

5

خطة تنفيذ الأهداف الذكية لنظام إدارة أمن المعلومات ISMS

6

خطة إدارة حوادث الأمن السيبراني

7

خطة سجل الاستجابة لحوادث أمن المعلومات والأمن السيبراني

8

خطة استمرارية الأعمال (BCP)

9

خطة الصيانة الوقائية

10

خطة التحقق و المعايرة

11

خطة التعافي من الكوارث

12

خطة إدارة التكوين (CMP)

13

خطة التدقيق الداخلي ISMS

03

الإجراءات والعمليات

1

إجراءات ضوابط وثائق وسجلات نظام إدارة أمن المعلومات ISMS

2

 إجراءات إدارة علاقات الموردين وسلسلة التوريد

3

إجراءات التدقيق الداخلي لنظام إدارة أمن المعلومات ISMS

4

إجراءات وعملية تقييم مخاطر أمن المعلومات ومعالجتها

5

إجراءات الاستجابة لحوادث أمن المعلومات

6

إجراءات الدخول إلى مركز البيانات

7

إجراءات الصيانة والمعايرة

8

إجراءات إدارة التغيير

9

إجراءات التزام الإدارة ومراجعة الإدارة

10

إجراءات مراقبة المزود الخارجي

11

إجراء النسخ الاحتياطي والاستعادة

12

إجراءات المراقبة والقياس لنظام إدارة أمن المعلومات ISMS

13

إجراءات إدارة عدم المطابقة والإجراءات التصحيحية لنظام إدارة أمن المعلومات ISMS

14

إجراءت إدارة الجهاز المحمول

15

إجراءت الاستخدام  الأمن والمقبول للأجهزة المحمولة الشخصية (BYOD)

16

إجراء إعادة تعيين كلمة المرور

17

عملية إدارة التكوين Configuration

18

عملية تقييم أمن معلومات الموردين

19

عملية تصنيف المعلومات وحمايتها و إدارتها

20

دليل الاستجابة للبرامج الضارة

21

إجراءات التوظيف والتعاقد

22

عملية استمرارية الأعمال

04

المعايير

1

معيار أمن التشفير

2

معيار الأمن المادي

3

معيار المصادقة - والتوكن

4

معيار إدارة الهوية والحساب والوصول

5

معيار إدارة الشبكة

6

معيار متطلبات أمان مزويدي خدمات التطبيقات

7

معيار الأجهزة المتنقلة/ المحمولة

8

معيار دورة حياة التطوير الآمن

9

معيار أمن الأنظمة

10

معيار التخلص الآمن

 

 

 

[تفاصيل أحدث إصدار من كل من هذه الوثائق ووتائق أخرى متاحة في سجل وثائق نظام إدارة أمن المعلومات ISMS.]

4.    التزام إدارة البنك

يلتزم بنك اليمن والكويت (YKB) وإدارته التزاماً كاملاً بحماية سرية وسلامة أنظمة الحية والتشغيلية والمرافق والبيانات بالإضافة إلى توافر خدمات أنظمة معلومات بنك اليمن والكويت (YKB) من خلال تطبيق ضوابط أمنية مناسبة.

5.    بيان إدارة البنك

المدراء على جميع المستويات مسؤولون عن حماية معلومات بنك اليمن والكويت (YKB) ويجب عليهم توفير إجراءات معقولة لضمان الالتزام بسياسات وإجراءات أمن المعلومات.

يتحمل كل مدير المسؤولية العامة عن الأمن في مناطق سيطرته.

يجب أن يكون كل شخص مسؤولاً عن أمن المعلومات لأنشطته المتعلقة بوظيفته.

6.    بيان السياسة

·        يحافظ بنك اليمن والكويت على برنامج أمن المعلومات الذي يتألف من سياسات ومعايير وإجراءات وإرشادات خاصة بالمواضيع المتعلقة بأمن المعلومات والتي:

o         تعمل على حماية سرية وسلامة وتوافر موارد المعلومات المحفوظة في بنك اليمن والكويت باستخدام الضوابط الإدارية والمادية والفنية.

o         تقديم قيمة للطريقة التي ندير بها الأعمال في البنك ودعم الأهداف الإستراتيجية التشغيلية المؤسسية والشاملة للبنك.

o         الامتثال لجميع المتطلبات التنظيمية والقانونية ، بما في ذلك:

§        معيار أمان بيانات PCI ،

§        أفضل ممارسات أمن المعلومات ، بما في ذلك ISO 27002 و NIST CSF ،

§        الاتفاقيات التعاقدية،

§        جميع القوانين و اللوائح المعمول بها في الجمهورية اليمنية وبنك اليمن والكويت (YKB).

·        تتم مراجعة برنامج أمن المعلومات على الأقل سنويًا أو عند إجراء تغييرات مهمة في بيئة أمن المعلومات.

6.1  متطلبات أمن المعلومات

سيتم الاتفاق على تعريف واضح لمتطلبات أمن المعلومات داخل بنك اليمن والكويت والحفاظ عليه مع عملاء الأعمال الداخليين والخدمات السحابية ، وبالتالي فإن جميع أنشطة نظام إدارة أمن المعلومات ISMS تركز على تلبية هذه المتطلبات. كما سيتم توثيق المتطلبات القانونية والتنظيمية والتعاقدية وإدخالها في عملية التخطيط. سيتم استيعاب المتطلبات المحددة حول أمان الأنظمة أو الخدمات الجديدة أو المتغيرة كجزء من مرحلة التصميم لكل مشروع.

من المبادئ الأساسية لنظام إدارة أمن المعلومات لبنك اليمن والكويت أن الضوابط المطبقة مدفوعة باحتياجات العمل وسيتم إبلاغ ذلك بانتظام إلى جميع الموظفين من خلال اجتماعات الفريق ووثائق الإحاطة.

6.2  إطار تحديد أهداف أمن المعلومات

سيتم استخدام دورة منتظمة لتحديد أهداف أمن المعلومات ، لتتزامن مع دورة تخطيط الميزانية. سيضمن ذلك الحصول على التمويل الكافي لأنشطة التحسين المحددة. ستستند هذه الأهداف إلى فهم واضح لمتطلبات العمل، مستنيرًا بعملية مراجعة إدارة البنك التي يمكن خلالها الحصول على وجهات نظر الأطراف المعنية ذات الصلة.

سيتم توثيق أهداف أمن المعلومات لفترة زمنية متفق عليها ، بالإضافة إلى تفاصيل حول كيفية تحقيقها. سيتم تقييمها ومراقبتها كجزء من مراجعات الإدارة لضمان بقائها صالحة. إذا كانت التعديلات مطلوبة ، فستتم إدارتها من خلال عملية إدارة التغيير.

وفقًا لمعيار ISO / IEC 27001 ، سيتم اعتماد الضوابط المرجعية المفصلة في الملحق أ من المعيار عند الاقتضاء من قبل بنك اليمن والكويت. وستتم مراجعتها على أساس منتظم في ضوء نتائج تقييمات المخاطر وبما يتماشى مع خطط معالجة مخاطر أمن المعلومات. للحصول على تفاصيل حول أي من ضوابط الملحق أ التي تم تنفيذها والتي تم استبعادها ، يرجى الاطلاع على بيان قابلية التطبيق.

بالإضافة إلى ذلك ، سيتم اعتماد وتنفيذ ضوابط معززة وإضافية من قواعد الممارسة التالية عند الاقتضاء:

       ISO / IEC 27002 - قواعد الممارسة لضوابط أمن المعلومات.

       ISO / IEC 27017 - قواعد الممارسة لضوابط أمن المعلومات وفقًا لمعيار ISO / IEC 27002 للخدمات السحابية.

       ISO / IEC 27018 - قواعد الممارسة لحماية معلومات التعريف الشخصية (PII) في الخدمات السحابية العامة التي تعمل كمعلومات تعريف الهوية الشخصية.

سيوفر اعتماد قواعد الممارسات هذه ضمانًا إضافيًا لعملائنا ويساعد بشكل أكبر في امتثالنا للتشريعات الدولية لحماية البيانات.

6.3  التحسين المستمر لنظام إدارة أمن المعلومات

سياسة بنك اليمن والكويت فيما يتعلق بالتحسين المستمر هي:

        التحسين المستمر لفعالية نظام إدارة أمن المعلومات.

        تحسين العمليات الحالية لجعلها تتماشى مع الممارسات الجيدة على النحو المحدد في ISO / IEC 27001 والمعايير ذات الصلة.

        الحصول على شهادة ISO / IEC 27001 والحفاظ عليها بشكل مستمر.

        زيادة مستوى الاستباقية (وتوقعات المعنين للنشاط الاستباقي) فيما يتعلق بأمن المعلومات.

        جعل عمليات وضوابط أمن المعلومات أكثر قابلية للقياس من أجل توفير أساس سليم لاتخاذ قرارات مستنيرة.

        مراجعة المقاييس ذات الصلة على أساس سنوي لتقييم ما إذا كان من المناسب تغييرها ، بناءً على البيانات التاريخية التي تم جمعها.

        الحصول على أفكار للتحسين من خلال الاجتماعات المنتظمة وغيرها من أشكال الاتصال مع الأطراف المعنية بما في ذلك مزودي الخدمات السحابية.

        مراجعة أفكار التحسين في اجتماعات إدارة البنك المنتظمة من أجل تحديد الأولويات وتقييم الجداول الزمنية والفوائد.

يمكن الحصول على أفكار للتحسينات من أي مصدر بما في ذلك الموظفين والعملاء والموردين وإدارات "تقنية المعلومات و تطوير الأنظمة و والذكاء الإصطناعي" وأي إدارات أخرى وموظفي أمن المعلومات وتقييمات المخاطر وتقارير الخدمات. بمجرد تحديدها سيتم تسجيلها وتقييمها كجزء من مراجعات الإدارة (إدارة البنك).

6.4  مجالات سياسة أمن المعلومات

يحدد بنك اليمن والكويت سياسة أمن المعلومات في مجموعة واسعة من المجالات المتعلقة بأمن المعلومات والتي تم وصفها بالتفصيل في مجموعة شاملة من وثائق السياسة التي تدعم هذه السياسة الشاملة لأمن المعلومات.

يتم تحديد كل من هذه السياسات والموافقة عليها من قبل شخص أو أكثر من ذوي الكفاءة في المجال ذي الصلة ، مع أمن المعلومات ، ومن ثم اعتمادها رسميًا من قبل المدير العام ،بمجرد اعتمادها  يتم إبلاغ المعنيين (الكيانات والأفراد ممن تنطبيق عليهم السياسة)، داخل وخارج بنك اليمن والكويت.

يوضح الجدول أدناه السياسات الفردية (السياسات التفصيلية) ضمن مجموعة الوثائق ويلخص محتوى كل سياسة والمستهدفين )الكيانات والأفراد ممن تنطبيق عليهم السياسة) من الأطراف المعنية.

6.5  الجدول 1: مجموعة من وثائق السياسة

عنوان السياسة

المناطق التي تم تناولها في السياسة

الجمهور المستهدف (الأطراف المعنية)

 

 

 

سياسة الاستخدام المقبول للإنترنت

استخدام الأعمال للإنترنت والاستخدام الشخصي للإنترنت وإدارة حساب الإنترنت والأمان والمراقبة والاستخدامات المحظورة لخدمة الإنترنت.

مستخدمو خدمة الإنترنت

سياسة أمن المعلومات لاستخدام الخدمات السحابية

العناية الواجبة والاشتراك والإعداد والإدارة وإزالة خدمات الحوسبة السحابية.

الموظفون المشاركون في شراء وإدارة الخدمات السحابية

سياسة إدارة الجهاز المحمول

رعاية وأمن الأجهزة المحمولة مثل أجهزة الكمبيوتر المحمولة والأجهزة اللوحية والهواتف الذكية ، سواء تم توفيرها بواسطة بنك اليمن والكويت أو الفرد للاستخدام التجاري.

مستخدمو تجهيزات- بنك اليمن والكويت و BYOD (أحضر جهازك الخاص) للأجهزة المحمولة

سياسة الوصول عن بُعد

اعتبارات أمن المعلومات في إنشاء وتشغيل موقع العمل عن بعد سياسة وترتيب العمل عن بعد ، مثل الأمن المادي والتأمين والمعدات

الإدارة والموظفون المشاركون في إنشاء وصيانة موقع العمل عن بعد

سياسة الحساب وإدارة حقوق الوصول

تسجيل المستخدم وإلغاء التسجيل ، وتوفير حقوق الوصول ، والوصول الخارجي ، والمراجعات ، وسياسة كلمة المرور ، ومسؤوليات المستخدم والتحكم في الوصول إلى النظام والتطبيق

الموظفون المشاركون في إعداد وإدارة التحكم في الوصول

سياسة أمن التشفير

تقييم المخاطر واختيار التقنية والنشر والاختبار ومراجعة التشفير وإدارة المفاتيح

الموظفون المشاركون في إعداد وإدارة استخدام تقنيات التشفير

سياسة الأمن المادي

تأمين المناطق والورق والمعدات وإدارة دورة حياة المعدات

كل الموظفين

سياسة الحماية من البرامج الضارة

جدران الحماية ، ومكافحة الفيروسات ، وتصفية البريد العشوائي ، وتثبيت البرامج وفحصها ، وإدارة الثغرات الأمنية ، وتدريب وتوعية المستخدم ، ومراقبة التهديدات والتنبيهات ، والمراجعات الفنية ، وإدارة حوادث البرامج الضارة

الموظفون المسؤولون حماية البنية التحتية لبنك اليمن والكويت من البرامج الضارة

سياسة النسخ الاحتياطي

دورات النسخ الاحتياطي والنسخ الاحتياطية السحابية والتخزين خارج الموقع والتوثيق واختبار الاسترداد وحماية وسائط التخزين

الموظفون المسؤولون عن تصميم وتنفيذ أنظمة النسخ الاحتياطي

سياسة التسجيل والمراقبة

إعدادات مجموعة الحدث. الحماية والمراجعة

الموظفون المسؤولون عن حماية البنية التحتية، لبنك اليمن والكويت من الهجمات

سياسة البرمجيات

شراء البرامج وتسجيل البرامج وتثبيتها وإزالتها وتطوير البرامج الداخلية واستخدام البرامج في السحابة CLOUD

كل الموظفين

سياسة إدارة الثغرات الفنية

تعريف الضعف ، ومصادر المعلومات ، والتصحيحات والتحديثات ، وتقييم الضعف ، والتشديد والتدريب على التوعية

الموظفون المسؤولون حماية البنية التحتية لبنك اليمن والكويت من البرامج الضارة

سياسة أمن الشبكة

تصميم أمن الشبكات ، بما في ذلك الفصل بين الشبكات وأمن المحيط والشبكات اللاسلكية والوصول عن بعد ؛

إدارة أمان شبكة سياسة أمان الشبكة ، بما في ذلك الأدوار والمسؤوليات والتسجيل والمراقبة والتغييرات

الموظفون المسؤولون عن تصميم وتنفيذ وإدارة الشبكات

سياسة نقل المعلومات

إرسال واستقبال الرسائل الإلكترونية ومراقبة مرافق الرسائل الإلكترونية واستخدام البريد الإلكتروني

مستخدمو مرافق الرسائل الإلكترونية

سياسة دورة حياة التطوير الآمنة

مواصفات متطلبات العمل ، وتصميم النظام ، والتطوير والاختبار ، وتطوير البرمجيات بالاستعانة بمصادر خارجية

الموظفون المسؤولون عن تصميم وإدارة وكتابة التعليمات البرمجية لتطوير البرامج المصممة حسب الطلب

سياسة أمن المعلومات في علاقات الموردين

العناية الواجبة واتفاقيات الموردين ومراقبة ومراجعة الخدمات والتغييرات والنزاعات وانتهاء العقد

الموظفون المشاركون في إقامة وإدارة علاقات الموردين

سياسة إدارة التوافر

متطلبات التوافر والتصميم والرصد والإبلاغ وعدم التوافر واختبار خطط التوافر وإدارة التغييرات

 

الموظفون المسؤولون عن تصميم الأنظمة وإدارة تقديم الخدمات

سياسة الخصوصية وحماية معلومات التعريف الشخصية (PII)

حماية الملكية الفكرية والقانون والعقوبات والامتثال لرخصة البرمجيات

كل الموظفين

سياسة الاحتفاظ بالسجلات وحمايتها

فترة الاحتفاظ لأنواع معينة من السجلات ، واستخدام التشفير ، واختيار الوسائط ، واسترجاع التسجيلات ، والتدمير ، والمراجعة

الموظفون المسؤولون عن إنشاء وإدارة السجلات

سياسة الخصوصية وحماية البيانات الشخصية

التشريعات والتعاريف والمتطلبات المعمول بها لحماية البيانات

الموظفون المسؤولون عن تصميم وإدارة الأنظمة باستخدام البيانات الشخصية

سياسة المكتب النظيف و الشاشة النظيفة

أمن المعلومات المعروضة على الشاشات وطباعتها وحفظها على وسائط قابلة للإزالة

كل الموظفين

سياسة وسائل التواصل الاجتماعي

إرشادات حول كيفية استخدام وسائل التواصل الاجتماعي عند تمثيل بنك اليمن والكويت وعند مناقشة القضايا ذات الصلة ببنك اليمن والكويت.

كل الموظفين

سياسة وإجراءات التوظيف والتعاقد

التوظيف ، عقود العمل ، الامتثال للسياسة ، الإجراءات التأديبية ، إنهاء التوظيف.

كل الموظفين

سياسة الاستخدام الأمن والمقبول للمعلومات والأصول الأخرى المرتبطة بها

التزام الموظف بسياسات أمن المعلومات التنظيمية

كل الموظفين

سياسة إدارة الأصول

يحدد هذا المستند القواعد الخاصة بكيفية إدارة الأصول من منظور أمن المعلومات

كل الموظفين

7.    الامتثال للسياسة

تدخل هذه السياسة حيز التنفيذ فور نشرها. من المتوقع الامتثال لجميع سياسات ومعايير بنك اليمن والكويت. يمكن تعديل أي من السياسات والمعايير في أي وقت.

7.1  تتبع الامتثال والقياس والإبلاغ

سيتحقق فريق أمن المعلومات من الامتثال لهذه السياسة من خلال طرق مختلفة ، بما في ذلك على سبيل المثال لا الحصر، المراقبة و أنظمة المراقبة وتقارير أداة العمل والتدقيق الداخلي والخارجي والرفع  إلى مالك وثيقة السياسة.

يجب على أمن المعلومات تطوير ، واختبار ، ومراجعة ، وصيانة ، والرفع  بصورة واضحة  عن وضع أمن المعلومات على مستوى بنك اليمن والكويت (YKB) إلى إدارة بنك اليمن والكويت (YKB). إن أمن المعلومات مفوض لبدء وإنشاء الآليات والأنظمة والأدوات البرمجية لتتبع التنفيذ الفعال لضوابط أمن المعلومات المرتبطة بهذا السياسة وإنشاء تقارير تقيس امتثال الأفراد أو الوحدات لدعم اتخاذ القرار من قبل إدارة بنك اليمن والكويت (YKB).

سيتم إجراء مراجعات دورية لضمان ملاءمة وفعالية السياسات. قد تؤدي هذه المراجعات إلى تعديل أو إضافة أو حذف سياسات لتناسب احتياجات معلومات بنك اليمن والكويت بشكل أفضل.

7.2  الاستثناءات

قد يتم منح طلبات الاستثناءات لأي من سياسات أمن المعلومات (على أساس كل حالة على حدة) مع وجود ضوابط تعويضية للتخفيف من المخاطر. يجب تقديم أي طلبات استثناءات إلى رئيس أمن المعلومات أو من ينوب عنه للمراجعة والموافقة وفقًا لإجراءات/ سياسة الاستثناء.

7.3  عدم الامتثال

أمن المعلومات مفوض للتوجيه للحد من الوصول إلى الشبكة للأفراد أو الوحدات التي لا تمتثل لجميع سياسات أمن المعلومات التابعة لبنك اليمن والكويت (YKB) والإجراءات ذات الصلة. في الحالات التي تكون فيها موارد معلومات بنك اليمن والكويت (YKB) مهددة، يجب على رئيس أمن المعلومات أو من ينوب عنه التصرف في مصلحة بنك اليمن والكويت (YKB) من خلال تأمين موارد المعلومات بطريقة تتفق مع خطة إدارة حوادث أمن المعلومات لبنك اليمن والكويت (YKB).

في الحالات العاجلة التي تتطلب إجراءً فوريًا ، يُصرح لرئيس أمن المعلومات بالتوجيه والتوصية بفصل الأفراد أو الوحدات المتضررة من شبكة بنك اليمن والكويت (YKB).

في حالات عدم الامتثال لهذه السياسة ، يجوز لبنك اليمن والكويت (YKB) تطبيق العقوبات أو الإجراءات الإدارية المناسبة على الموظفين ، وفقًا للسياسات الإدارية وسياسات التوظيف ذات الصلة.

قد يخضع الموظف الذي يتبين أنه انتهك هذه السياسة لإجراء تأديبي يصل إلى ويتضمن إنهاء التوظيف.

قد يخضع أي مورد أو بائع أو مستشار أو مقاول يتبين أنه انتهك هذه السياسة لعقوبات تصل إلى وتشمل إزالة حقوق الوصول وإنهاء العقد (العقود) والعقوبات المدنية أو الجنائية ذات الصلة.

بالإضافة إلى ذلك ، يجوز لبنك اليمن والكويت ، وفقًا لتقديره ، السعي للحصول على تعويضات قانونية عن الأضرار التي تكبده نتيجة لأي انتهاك. قد يُطلب من البنك أيضًا بموجب القانون الإبلاغ عن بعض الأنشطة غير القانونية لوكالات التنفيذ المناسبة.

8.    المراجعة والقبول

يتحمل جميع موظفي بنك اليمن والكويت (YKB) مسؤولية مراجعة وقبول هذه السياسة: بيان سياسة أمن المعلومات "ISMS".

يجب على أي مستخدم لا يفهم الآثار المترتبة على هذه السياسة أو كيفية تطبيقها عليهم ، طلب المشورة من مديره المباشر.

يجب توجيه الأسئلة المتعلقة بأي سياسات ومعايير لبنك اليمن والكويت (YKB) في المقام الأول إلى المدير المباشر للموظف.