سياسة الاستخدام والقبول
-
-
الكاتب: الهيئة الوطنية لأمن وسلامة المعلومات
-
نوع المستند: سياسات
-
نوع المورد: تنظيمي
-
سياسة الاستخدام والقبول
المحتويات
الغرض من السياسة
الغرض من وضع هذه السياسة هو تحديد ماهية الاستخدام المقبول لكل ما يتعلق بمعدات وأجهزة الكمبيوتر في (جهة العمل). وقد وُضعت هذه القواعد لحماية الموظف و(جهة العمل) على حد سواء، حيث أن الاستخدام غير المناسب لتلك المعدات والأجهزة قد يعرضهما لمخاطر كثيرة بما في ذلك هجمات البرمجيات الخبيثة وغيرها من التهديدات المحتملة المتعلقة بأنظمة وخدمات الشبكات وما يترتب عليها من أثار قانونية.
النطاق
تنطبق هذه السياسة على استخدام المعلومات والأجهزة الإلكترونية وأجهزة الكمبيوتر وموارد الشبكة اللازمة لإجراء أعمال (جهة العمل) أو ما يتعلق بالتعامل مع الشبكات الداخلية وأنظمة الأعمال، سواء كانت مملوكة أو مستأجرة من قبل (جهة العمل) أو الموظف أو طرف ثالث، ويتحمل الجميع مسؤولية تطبيق الممارسات الصحيحة فيما يتعلق بالاستخدام المناسب للمعلومات والأجهزة الإلكترونية وموارد الشبكة وفقًا لسياسات ومعايير (جهة العمل).
السياسة
الاستخدام العام والملكية
- تمتلك (جهة العمل) البيانات المحفوظة على أجهزة الكمبيوتر والأجهزة الإلكترونية الأخرى، المملوكة أو المستأجرة من قبل المؤسسة، أو من طرف ثالث، ويجب التأكد من خلال الوسائل القانونية أو التقنية أن معلومات الملكية محمية وفقًا لمعيار حماية البيانات.
- تقع على عاتقك مسؤولية الإبلاغ عن سرقة أو فقدان أو كشف غير مصرح به عن معلومات الملكية المتعلقة بالمؤسسة.
- يُسمح بالوصول إلى أو استخدام أو مشاركة معلومات الملكية فقط في حدود ما هو مصرح به وضروري للإيفاء بمتطلبات الوظيفة التي يتم التكليف بها.
- كل موظف مسؤول عن تطبيق معايير الاستخدام الأمن للأجهزة الإلكترونية في إطار الوظيفة، كل إدارة مسؤولة عن وضع مبادئ توجيهية بشأن الاستخدام الشخصي الأمثل للأنظمة داخل المؤسسة، ويجب أن يسترشد الموظفون بسياسات الإدارة بشأن الاستخدام الشخصي، واستشارة مشرفيهم أو مدرائهم.
- يجوز للأفراد المصرح لهم مراقبة المعدات والنظم وحركة الشبكة في أي وقت لأغراض الأمان وصيانة الشبكة وذلك وفقًا لسياسة المراقبة وسياسة التدقيق.
- تحتفظ (جهة العمل) بحقها في التدقيق على الشبكات والأنظمة دوريًا لضمان الالتزام بهذه السياسة.
معلومات الملكية
- كل الأجهزة المحمولة وأجهزة الكمبيوتر المملوكة للمؤسسة والتي تتصل بشبكة الأنترنت يجب أن تلتزم بسياسة التحكم في الوصول.
- يجب أن تتوافق كلمات المرور للأنظمة والمستخدم مع سياسة كلمة المرور، ويُحظر منح إمكانية الوصول إلى شخص آخر عمداً أو عن طريق عدم تأمين الوصول.
- يجب تأمين جميع أجهزة الكمبيوتر باستخدام شاشة توقف محمية بكلمة مرور مع تعيين ميزة التنشيط التلقائي إلى 10 دقائق أو أقل، يجب عليك قفل الشاشة أو تسجيل الخروج عندما يكون الجهاز غير مراقب / غير مستخدم.
- النشر عن طريق الموظفين باستخدام البريد الإلكتروني للمؤسسة يجب أن يتضمن إخلاء للمسؤولية بأن رأيهم لا يمثل رأي (جهة العمل) وإنما يعبر عن وجهة نظرهم الشخصية إلا فيما يتعلق بمهام العمل.
الاستخدام غير المقبول
بشكل عام يحظر ممارسة الأنشطة تالية الذكر، وقد يتم إعفاء الموظفين من هذه القيود أثناء القيام بمسؤولياتهم الوظيفية المصرح لهم بها (على سبيل المثال، قد يحتاج موظفو إدارة الأنظمة إلى تعطيل وصول الشبكة إلى المضيف، إذا كان ذلك المضيف يعرقل خدمات تؤثر على الإنتاج).
كما لا يُسمح تحت أي ظرف من الظروف لأي موظف في (جهة العمل) بالتعاطي مع أي نشاط غير قانوني بموجب القانون المحلي أو الدولي أثناء استخدام موارد (جهة العمل)، والقوائم أدناه لم توضع بشكل موسع بأي حال من الأحوال، ولكنها محاولة لوضع إطار عام للأنشطة التي تندرج تحت فئة الاستخدامات الغير مقبولة.
أنشطة النظام والشبكة
الأنشطة التالية محظورة تماماً، وبدون استثناءات:
- انتهاكات حقوق أي شخص أو شركة محمية بحقوق النشر أو السر التجاري أو براءة الاختراع أو أي ملكية فكرية أخرى، أو قوانين أو لوائح مماثلة، بما في ذلك على سبيل المثال لا الحصر، تركيب أو توزيع ” برامج ليست مرخصة بشكل مناسب للاستخدام من قبل (جهة العمل).
- النسخ غير المصرح به للمواد المحمية بموجب حقوق الطبع والنشر، بما في ذلك على سبيل المثال لا الحصر، تحويل الصور الفوتوغرافية من المجلات أو الكتب أو غيرها من المصادر المحمية بحقوق النشر إلى صور رقمية وتوزيعها، وأيضاً مواد الوسائط المتعددة المحمية بحقوق النشر… إلخ، وتثبيت أي برنامج محمي بموجب حقوق النشر والتي لا تمتلك (جهة العمل) أو المستخدم له ترخيص بذلك.
- الموظفون المصرح لهم بالوصول إلى شبكة الأنترنت يجب عليهم عدم استخدامها لتحميل برمجيات وألعاب، كما ينبغي عليهم عدم استغلالها في اللعب ضد خصوم على شبكة الأنترنت.
- الوصول إلى (البيانات أو الخادم أو الحساب) لأي غرض آخر غير القيام بأعمال تخص (جهة العمل)، حتى مع وجود تصريح بالدخول.
- انتهاك لقوانين مراقبة التصدير المحلية والدولية عند القيام بتصدير البرمجيات أو المعلومات التقنية أو برامج أو تقنيات التشفير، ويستوجب استشارة الإدارة المناسبة قبل تصدير أي مادة محل شك.
- استخدام أجهزة الكمبيوتر المملوكة للمؤسسة للانخراط بفاعلية في شراء أو نقل مواد تنتهك القانون.
- تقديم عروض احتيالية من المنتجات أو العناصر أو الخدمات موجهة من حساب (جهة العمل).
- التأثير على الخروقات الأمنية أو تعطيل اتصالات الشبكة، وتشمل الخروقات الأمنية، على سبيل المثال لا الحصر. الوصول غير المصرح للبيانات أو الولوج إلى الخادم أو الحساب بدون تصريح رسمي إذا لم يكن ذلك من واجبات الوظيفة، أما تعطيل اتصالات الشبكة فيتضمن مثلاً، عملية مراقبه تدفق البيانات داخل الشبكة Network Sniffing، وعمليات حجب “الحرمان” من الخدمة (Distributed Denial of Service “DDOS” )، والتلاعب في الحزمة البيانات (Packet spoofing ) ومعلومات التوجيه المزورة لأغراض خبيثة.
- عدم إجراء عملية فحص أمني للمنافذ ports إلا بعد إبلاغ مسبق للمسؤول بـ (جهة العمل).
- القيام بتنفيذ أي شكل من أشكال مراقبة الشبكة التي من شأنها اعتراض البيانات غير المخصصة لمضيف Host المستخدم، ما لم يكن هذا النشاط جزءًا من المهام أو الأعمال الروتينية للموظف.
- اجتياز عملية مصادقة المستخدم أو أمان أي مضيف أو شبكة أو حساب.
- استخدام تقنيات مصائد مخترقي الشبكات honeypots أو أي تقنيات مشابهة في شبكة (جهة العمل) دون إذن.
- التدخل في / أو رفض الخدمة لأي مستخدم غير مضيف Host الموظف (على سبيل المثال، هجمة رفض الخدمة denial of service attack).
- استخدام أي برنامج/ نص / أمر، أو إرسال رسالة من أي نوع، بنية التدخل في / تعطيل جلسة عمل مستخدم ما بأي وسيلة، في الشبكة المحلية محلياً أو عبر (Internet/Intranet/Extranet) .
- إفشاء معلومات عن/ قائمة بأسماء الموظفين إلى أي أطراف خارج (جهة العمل).
- يجب تشفير الملفات التي تحتوي على بيانات حساسة خاصة بـ (جهة العمل) والتي يتم نقلها بأي شكل عبر الإنترنت، كما هو محدد في سياسة أمن البيانات الموجودة.
أنشطة البريد الإلكتروني والاتصالات
استخدام البريد الإلكتروني من أساسيات الوظائف اليومية، وعلى (جهة العمل) التأكد من أن الموظفين يفهمون حدود استخدام حسابات البريد الإلكتروني الخاصة بها، حيث يساعد الاستخدام المقبول للبريد الإلكتروني الموظفين على استخدام عناوين البريد الإلكتروني لـ(جهة العمل) بشكل صحيح كما هو محدد في سياسة استخدام البريد الإلكتروني.
التواصل الاجتماعي والتدوين / النشر الإلكتروني
- التدوين أو النشر الإلكتروني من قبل الموظفين سواء كان ذلك باستخدام ممتلكات وأنظمة (جهة العمل) أو عبر أنظمة كمبيوتر خاصة يندرج أيضاً ضمن القيود المتعلقة بهذه السياسة، والاستخدام المحدود في مناسبات معينة لأنظمة (جهة العمل) للانخراط في التدوين مقبول، بشرط أن يكون بشكل محترف وأخلاقي ولا ينتهك سياسات (جهة العمل)، ولا يضر بمصالحها ولا يتداخل مع واجبات الوظيفة، والتدوين باستخدام أنظمة (جهة العمل) معرض للمراقبة.
- سياسة سرية المعلومات بـ (جهة العمل) تنطبق أيضاً على التدوين، حيث يُحظر على الموظفين الكشف عن أي معلومات حساسة خاصة بـ (جهة العمل)، وكذا الأسرار التجارية والمهنية أو أي مواد تحت مظلة سياسة سرية المعلومات عن الانخراط في عمليات التدوين أو النشر الإلكتروني.
- يجب ألا ينخرط الموظفون في أي عملية تدوين أو نشر إلكتروني يمكن أن تضر أو تشوه صورة وسمعة أو يمس كل ما يتعلق بالرضا عن مؤسسة ما، كما يُحظر على الموظفين نشر تعليقات تدل على تمييز، وإحراج، وإهانة، ومضايقة أو تبنى أي سلوك إلكتروني من السلوكيات المحظورة.
- على الموظفين عدم نسب تصريحات شخصية أو آراء أو معتقدات لـ(جهة العمل) عند الانخراط في عمليات تدوين أو نشر إلكتروني، و إذا قام موظف ما بالتعبير عن رأي ما أو معتقد خاص به فلا يمكنه بأي حال من الأحوال أن يتحدث بصفة موظف في (جهة العمل) أو ممثلاً لها صراحةً أو ضمنياً، كما يجب على الموظف أن يضع في الاعتبار المخاطرة التي تتضمنها عملية التدوين /النشر الإلكتروني.
- وبغض النظر عن أهمية اتباع جميع القوانين المتعلقة بمناولة المواد الخاضعة لحقوق النشر الخاضعة للرقابة والكشف عنها، كما لا يجوز أيضًا استخدام العلامات التجارية والشعارات وأية ملكية فكرية أخرى خاصة بـ (جهة العمل) فيما يتعلق بأي نشاط تدوين أو نشر إلكتروني