سياسة حماية البيانات
البيانات هي أحد الأصول الرئيسية لدى “جهة العمل” التي تتطلب إجراءات ومسؤوليات لحمايتها. وينبغي حماية البيانات المصنفة بشكل مختلف في التخزين والنقل والوصول وغير ذلك لضمان عدم كشفها أو نشرها أو تعديلها.
-
-
الكاتب: الهيئة الوطنية لأمن وسلامة المعلومات
-
نوع المستند: سياسات
-
نوع المورد: تشغيلي
-
سياسة حماية البيانات
الغرض
تتناول سياسة حماية البيانات، البيانات المخزنة (الإلكترونية أو السجلات الورقية) التي تحتفظ بها “جهة العمل”، وكذلك الأشخاص الذين يستخدمونها والطرق التي يتبعونها في التعامل بها والأجهزة المستخدمة للوصول إليها، لضمان سرية البيانات، والحفاظ على معايير الجودة في حماية البيانات.
كما تقوم هذه السياسة بتحديد المتطلبات والمسؤوليات الأساسية للإدارة السليمة لأصول البيانات في “جهة العمل”، وتحدد وسائل التعامل مع البيانات ونقلها داخل “جهة العمل”.
النطاق
تسري هذه السياسة على جميع من يقوم بالأعمال من النظم والأشخاص وطرق العمل، ويشمل ذلك جميع المدراء التنفيذيين واللجان والإدارات والشركاء والموظفين والأطراف الأخرى الذين لديهم إمكانية الوصول إلى نظم البيانات أو البيانات المستخدمة لأغراض “جهة العمل”.
السياسة
المسؤول عن البيانات
- يجب أن تخضع جميع أصول البيانات الهامة لمسؤول ويجب أن يكون المسؤول أحد الموظفين الذي تتناسب خبرته مع قيمة الأصول التي سيتولى إدارتها وحمايتها.
- يجب عدم تكليف موظف مسؤول رسمي للبيانات التي ليس لها تصنيف أمني وتكون ذات قيمة عملية محدودة، كما يجب التخلص من البيانات إذا لم يكن هناك حاجة قانونية أو تشغيلية لإبقائها، وينبغي تعيين المسؤولين المؤقتين لهذه البيانات داخل كل إدارة لضمان إتمام عملية التخلص منها.
- يكون منشئ المستندات الجديدة التي لها استخدام داخلي محدد على المدى القصير هو المسؤول عنها، وهذا يشمل الرسائل والخطط والجداول والتقارير، كما يجب إبلاغ جميع الموظفين بمسؤوليتهم عن الوثائق التي ينشئونها.
- يجب تعيين مسؤول موثوق وتحديد مسؤولياته بشكل واضح اتجاه أصول البيانات التي يتم استخدامها في “جهة العمل” على نطاق واسع. وينبغي أن يملك هذا الشخص القدرة على التحكم في هذه البيانات.
تخزين البيانات
- يتم تخزين جميع البيانات الإلكترونية على المنظومات الخاصة بها حتى يسمح بإجراء نسخ احتياطية منتظمة.
- يجب عدم السماح للموظفين للوصول إلى البيانات إلا بعد أعلامهم وموافقتهم على شروط الاطلاع على البيانات التي سيتعاملون معها.
- قواعد البيانات التي تحتوي على بيانات شخصية يكون لها إجراءات محددة لإدارتها وتأمين السجلات والوثائق.
الكشف عن البيانات
- في حالة مشاركة البيانات المقيدة مع “جهة عمل” أخرى، يجب الحرص في الكشف عن هذه البيانات وأن يتم بطريقة آمنة.
- عندما يتم الإفصاح عن البيانات أو مشاركتها، يجب أن يتم ذلك فقط وفقاً لبروتوكول مشاركة البيانات الموثق أو اتفاقية تبادل البيانات.
- يحظر الإفصاح عن البيانات المقيدة لأي “جهة عمل” خارجية بدون اتفاق مسبق.