الهدف:

تهدف هذه السياسة إلى تعزيز بيئة عمل آمنة ومهنية من خلال توجيه العاملين في المؤسسة نحو الالتزام بأخلاقيات وممارسات مسؤولة أثناء تعاملهم مع المعلومات والبيانات وجميع مكونات نظم المعلومات. تهدف أيضًا إلى حماية المعلومات من التهديدات المختلفة وضمان الالتزام بأعلى معايير الأمن.

المجال:

تغطي هذه السياسة جميع العاملين داخل المؤسسة أو المراد تعيينهم أو التعاقد معهم، وتشمل الالتزامات والتوجيهات الخاصة بأمن المعلومات.

تفاصيل السياسة

الممارسات المقبولة:

أ‌.    الالتزام بأخلاقيات المعلومات: على جميع العاملين التعامل مع المعلومات والبيانات بسرية وأمان، وعدم استخدامها لأغراض شخصية أو غير مهنية.

ب‌.  استخدام المعلومات بمسؤولية: يُطلب من الموظفين استخدام البيانات والمعلومات فقط للأغراض المصرح بها المتعلقة بمهامهم الوظيفية.

ت‌.  الامتثال للسياسات: يجب على الموظفين الالتزام بجميع السياسات واللوائح الداخلية الخاصة بأمن المعلومات، بما في ذلك حفظ المعلومات الشخصية والسرية.

ث‌.  الإبلاغ عن الحوادث الأمنية: في حال ملاحظة أي خرق أمني أو نشاط مشبوه، يجب على الموظف إبلاغ قسم أمن المعلومات فورًا.

ج‌.  التحديث المستمر للمعرفة الأمنية: على العاملين حضور التدريبات وورش العمل الخاصة بأمن المعلومات لضمان استخدام الطرق الحديثة لحماية المعلومات.

الممارسات غير المقبولة:

أ‌.    إساءة استخدام المعلومات: استغلال المعلومات السرية أو البيانات المؤسسية لأغراض شخصية أو لإفادة أطراف خارجية يعتبر مخالفة كبيرة.

ب‌.  مشاركة المعلومات بدون إذن: نشر أو مشاركة المعلومات الخاصة بالمؤسسة أو بيانات العملاء دون الحصول على الموافقة اللازمة يعد خرقًا للسياسات.

ت‌.  عدم الامتثال للإجراءات الأمنية: تجاهل التعليمات الخاصة بأمن المعلومات، مثل ترك الأجهزة غير مؤمنة أو استخدام برامج غير مرخصة.

ث‌.  الولوج غير المصرح به: محاولة الوصول إلى نظم المعلومات أو البيانات التي لا تتعلق بمجال العمل، أو استخدام حسابات موظفين آخرين للوصول إلى معلومات غير مسموح بها.

ج‌.  إهمال التعامل مع البيانات: عدم الالتزام بالإجراءات الصحيحة عند التعامل مع البيانات السرية مثل نقلها عبر قنوات غير آمنة أو تخزينها بشكل غير آمن.

محاكاة حول سياسة السلوك الخاص بأمن المعلومات في الجامعة

السيناريو المقبول:

التصرف المهني السليم: أ  يعمل كموظف في قسم القبول والتسجيل. طلب منه أحد الأساتذة بيانات عن أداء الطلاب في السنوات السابقة. بدلاً من إرسال البيانات عبر البريد الإلكتروني الشخصي، قام ( أ )  بالولوج إلى النظام المؤسسي المصرح به عبر حسابه الشخصي، وحمّل البيانات المطلوبة وحفظها في مجلد مؤمن على الخادم الداخلي للجامعة. بعد استخدام البيانات، قام بتأمين المستندات وحذف النسخة المؤقتة من جهازه الشخصي وفقًا لإرشادات أمن المعلومات الخاصة بالجامعة. كما أبلغ قسم أمن المعلومات عن اكتمال العملية لضمان التتبع الآمن للبيانات.

السيناريو غير المقبول:

إساءة استخدام المعلومات: س تعمل كموظفة في مكتبة جامعة الفلوجة، وطلب منها أحد زملائها معلومات حساسة عن بعض الطلاب. بدلاً من استخدام القنوات الرسمية والتحقق من صلاحيات الوصول، قامت ( س )  بإرسال البيانات عبر تطبيقات التواصل الاجتماعي الشخصية دون تشفير أو تأمين مناسب. لاحقاً، تم اكتشاف تسرب المعلومات عبر هذه القناة غير الآمنة، مما أدى إلى انتهاك خصوصية الطلاب.

الإجراءات المتبعة لتصحيح السلوك غير المقبول:

أ‌.    تحقيق داخلي: الجامعة تجري تحقيقاً داخلياً لتحديد كيفية حدوث التسرب وتقييم مدى خطورته على خصوصية الطلاب.

ب‌.  التدريب والتوجيه: يتم توجيه س  إلى إعادة التدريب على سياسات أمن المعلومات وكيفية التعامل مع البيانات الحساسة ضمن إجراءات الجامعة.

ت‌.  عقوبات تأديبية: الجامعة قد تفرض على س تقليص صلاحياتها في الوصول إلى بيانات الطلاب أو تحذير رسمي، وإذا تكررت المخالفة، يمكن أن يؤدي ذلك إلى إجراءات أشد.

ث‌.  تعزيز الإجراءات الأمنية: الجامعة قد تفرض إجراءات إضافية، مثل استخدام قنوات مؤمنة فقط لنقل البيانات وتدريب دوري للعاملين على السياسات الأمنية.