ما هي سياسة أمان الإنترنت؟
سياسة الأمن السيبراني هي وثيقة تحدد الأصول الإلكترونية الضعيفة (التكنولوجيا والمعلومات) التي يجب حمايتها من بعض المخاطر. علاوة على ذلك ، فإنه يحدد تلك المخاطر وطريقة التعامل معها ، وكذلك الأشخاص المسؤولين عن هذه الحماية. وبعبارة أخرى ، فإن سياسة الأمن السيبراني هي بيان يصف جميع الأنشطة لضمان الأمن السيبراني داخل مؤسستك.
لماذا من المهم إنشاء سياسة أمان الإنترنت؟ <فئة IMG = "size-full wp-image-33080 alignright" src = "http: //fichtelegal.com/wp-content/uploads/2019/05/heli-web.jpg" alt = "Cyber Security Policy =" 400 "height =" 400 "data-id =" 33080 "/>
- في بيئة الأعمال الحالية ، لا يمكن التقليل من قيمة المعلومات. وبالتالي ، فإن أي خرق للمعلومات السرية يهدد بعقوبات كبيرة على الشركة في انتهاك ؛
- بسبب القيمة العالية للمعلومات ، زادت الجرائم التي تهدف إلى التخزين غير القانوني أو استخدام أو نقل هذه المعلومات بشكل كبير ؛
يجمع هذان العاملان الرئيسيان للتسبب في انتشار أنشطة الهجمات الإلكترونية.
إضافة حديثة هي إطلاق استراتيجية الأمن السيبراني في دبي. وهو يتألف من أربعة مصطلحات رئيسية ، والتي عند التحليل تبدأ في بناء صورة للمتطلبات المستقبلية للأمن السيبراني في دبي وربما الإمارات العربية المتحدة ككل:
- Smart Society: الأمة تدرك أهمية الأمن السيبراني ، ومخاطر الجرائم الإلكترونية ، وقادرة على إدارة مخاطر الأمن السيبراني بين القطاعات العامة والخاصة ؛
- الابتكار: التطورات الملهمة في الأمن السيبراني وإنشاء مساحة إلكترونية آمنة وآمنة ؛
- مرونة الإنترنت: الترتيب لضمان استمرارية أنظمة تكنولوجيا المعلومات وتوافرها في الفضاء الإلكتروني ؛
- التعاون الوطني والدولي: الجهود المحلية والدولية لإدارة مخاطر الإنترنت.
لذلك ، ضمن المستويات التشريعية والعملية ، يجب على الشركات إعداد موظفيها على التهديدات المحتملة وكيفية التعامل معهم. وهذا يعني أن الشركات ستحتاج إلى أن تكون خطوات إلى الأمام لضمان أن أجهزة الأمن والبرامج الخاصة بهم ، والتدريب الداخلي ، ونمو المهارات ، والسياسات الداخلية ، والعقود القانونية ، وسياسات التأمين وتسارع باستمرار.
ما هي الأسئلة التي يجب مراعاتها عند صياغة سياسة الأمان السيبراني؟
- ما هو نوع التهديدات الإلكترونية التي يمكن أن تواجهها شركتك؟
- ما إذا كانت إجراءات الأمن السيبراني الفعالة موجودة؟
- من المسؤول عن الحفاظ على إدارة الأمان وتحديثه؟
- ما هي المخاطر والفوائد التي ينطوي عليها النظام الحالي/القادم؟
- ما هي مسؤوليتك تجاه العملاء الذين تتعامل معهم؟
- نوع المعلومات التي يمكن مشاركتها وأين؟ مهم جدا للنظر في الناتج المحلي الإجمالي فيما يتعلق بهذا الجانب.
- إنشاء خطة استجابة تغطي الإجراءات الداخلية في حالة الهجوم الإلكتروني.
ما هي العناصر التي يجب تضمينها في سياسة الأمان السيبراني؟
- قواعد العمل مع أجهزة الشركة
- معايير استخدام البريد الإلكتروني
- قواعد الوصول إلى الإنترنت واستخدام وسائل التواصل الاجتماعي
- استخدام البيانات الحساسة
- الهجمات الإلكترونية المحتملة والأشخاص ومسؤولياتهم تجاه الهجمات الإلكترونية والأمن السيبراني ككل
داخل الهجمات الإلكترونية ، فإن الضرر فيما يتعلق بـ “غزو الخصوصية” هو موضوع متزايد الأهمية داخل التشريع. تتضمن الخصوصية مسائل تتعلق بمشاركة المعلومات ، والوصول إلى المعلومات ، والبيانات الشخصية حول فرد ، وإساءة استخدام المعلومات وأكثر من ذلك بكثير. لذلك ، يجب أن يكون لدى المنظمات في مكانها ، سياسات تتعلق ؛ التوظيف ورعاية العميل ، والمعلومات المتعلقة بكيفية معالجة تهديدات السيبران والغرامات والأحكام الحاكمة التي تفصل الإجراءات التي اتخذتها المنظمة.
قابلية التطبيق
يحدد التشريع الحالي أن قوانين الأمن السيبراني تنطبق على:
- uae الشركات ، حتى لو كانت خارج الإمارات العربية المتحدة ؛
- أي شخص ارتكب جرائم إلكترونية ضد الإمارات العربية المتحدة ، حتى لو كان “خارج البلاد”
بالإضافة إلى المتطلبات المذكورة أعلاه ، ستحتاج إلى الاعتماد على اختصاصها إلى مراعاة اللوائح والممارسات التالية عند صياغة سياساتها مع العملاء والموظفين.
البر الرئيسي
رقم المرسوم الفيدرالي رقم (5) لعام 2012 ، هو اللائحة الرئيسية التي تتعامل مع حظر الحصول على المعلومات غير القانونية أو الكشف أو نشر المعلومات من خلال مواقع الويب أو الوسائل الإلكترونية. بشكل عام ، يحدد هذا القانون: – ما الذي يعنيه مصطلح “المعلومات الإلكترونية”. فيما يتعلق بذلك ، من المهم أن نتذكر أن قوانين الجرائم الإلكترونية قابلة للتطبيق حتى لو تم تخزين المعلومات الإلكترونية على جهاز كمبيوتر أو جهاز سطح مكتب محلي.
- يحظر الإفصاح والنشر وإعادة نشر أي معلومات تم الحصول عليها عن طريق الوصول غير المصرح به.
- يحظر استخدام أي تكنولوجيا معلومات لغزو الخصوصية.
- يحظر استخدام عدم التقديم لتكنولوجيا المعلومات لفضح المعلومات السرية
لذلك ، إذا كانت هناك حاجة إلى أي معلومات حول موظف أو عميل ، فيجب أن تكون موافقتها موجودة قبل الحصول على المعلومات.
يخضع المديرون والموظفون لواجب التصرف في مصلحتهم الفضلى وعملية معقولة ورعاية في أداء واجباتهم ، كما هو موضح القانون الفيدرالي رقم (2) لعام 2015 على قانون الشركات (قانون الشركات التجارية الإماراتية). وهذا يعني أن على الشركة أن تبذل قصارى جهدها لضمان الأمن السيبراني مع جميع الوسائل القانونية والمتاحة.
لا يوجد في دولة الإمارات العربية المتحدة أي تشريع أساسي لحماية البيانات من تلقاء نفسها ، حيث تتناول خصوصية البيانات عبر لوائح منفصلة. الأمثلة تنطوي على:
- القانون الفيدرالي بموجب المرسوم رقم 3 أو 2003 فيما يتعلق بتنظيم قطاع الاتصالات ، والذي يتعامل مع توفير الحماية لجميع البيانات التي تم الحصول عليها من خلال الاتصال الإلكتروني.
- قانون دبي رقم 28 لعام 2015 فيما يتعلق بمركز دبي للإحصاءات (قانون مركز إحصائيات دبي) لتجنب الوحي لأي بيانات إحصاءات
- القانون الفيدرالي رقم (1) لعام 2006 حول التجارة الإلكترونية والمعاملات بتطبيق المعاملة الإلكترونية والتجارة ، ولكن ليس للمسائل الشخصية مثل الزواج والطلاق والإرادة.
- القانون رقم (4) لعام 2016 على الأمن الاقتصادي في دبي مركز – الكشف عن المعلومات التي تنطوي على أمن الدولة ، والعقوبات على انتهاك هذه الخصوصية التي تعتبر سرية
لذلك ، ستحتاج الشركات إلى تحليل وتطبيق القوانين ذات الصلة المتعلقة بالأمن السيبراني عند صياغة سياساتها الداخلية والتأكد من اتخاذ التدابير المناسبة. يجب الالتزام بجميع القوانين واللوائح المعمول بها حتى تتمكن الشركات من تحقيق مستوى مناسب من حماية الأمن السيبراني.
difc
يتمتع DIFC بقوانين حماية البيانات الخاصة بهم ، ويخضع قانون DIFC والبر الرئيسي لـ قانون المرسوم الفيدرالي على مكافحة Cybercrys في عام 2012. ويهدف هذا القانون إلى حماية الشركات والأفراد ضد مختلف هجمات الجرائم الإلكترونية القادمة والقادمة. وبالتالي ، يوفر المرسوم عددًا من أنشطة الجرائم الإلكترونية مع عقوباتها المناسبة إذا انتهكت.
وفقًا لقانون الشركات DIFC رقم 5 لعام 2018 ، يخضع المديرون وموظفو الشركة وموظفي الشركة لواجب التصرف في مصلحة مؤسستهم ولتمرينات معقولة نحو أداء واجباتهم.
وفقًا لقانون حماية البيانات DIFC DIFC رقم 1/2007 ، يجب على ضمان أن البيانات الشخصية التي تعالجها يتم تنفيذها “بشكل عادل وقانوني وأمان” أو إذا تم تبسيطها – بموافقة مسبقة ، مع موافقة مسبقة ، وفقًا للقانون وبدون نية لاكتشافها غير القانوني أو النشر. يجب على مفوض حماية البيانات – ضمان احتراف الموظفين وسرية حول التعامل مع المعلومات الحساسة المتعلقة بالخصوصية والأمن. علاوة على ذلك ، لا يمكن نقل نقل البيانات الشخصية إلى شخص آخر في ولاية قضائية خارج DIFC إلا إذا كان لهذا الحكم الآخر مستوى الحماية الكافي. يضيف المفوض أيضًا هذه الحماية إلى البلدان الثالثة التي حددتها المفوضية الأوروبية.
سيقوم مفوض البيانات بالتحقيق في أي انتهاكات لحماية البيانات فيما يتعلق بشخص يخضع لسلطات DIFC.
إذا كان موضوع البيانات يعتقد أنهم تأثروا بشكل غير موات بخرق مراقب البيانات للقانون ، فيجوز لهم تقديم شكوى مع المفوض.
EU GDPROUS Overview
يجب على الشركات العاملة في الاتحاد الأوروبي أو مع شخص في الاتحاد الأوروبي النظر في الممارسات والسياسات الناتج المحلي الإجمالي (لائحة حماية البيانات العامة) ضمن ممارساتها.
تتعرض الشركات بغض النظر عن تشغيلها للممارسات داخل الإمارات إلى امتثال الناتج المحلي الإجمالي بالإضافة إلى لوائح الحكم الخاصة بها. سيتم إخضاع أرباب العمل ووحدات التحكم في البيانات في البر الرئيسي والخارجية و DIFC وجميع المناطق الحرة الأخرى للتصرف في مصلحة عملائهم وموظفيهم وسيكونون مسؤولين عن دفع التعويض إذا تم إنشاء خرق للواجب.
فيما يلي بعض نقاط تفتيش الناتج المحلي الإجمالي:
- يجب أن تأخذ الشركات في مراعاة موضوع البيانات (تعني الشخص الطبيعي الذي يتعلق بمن معرف البيانات الذي يتم معالجته) وبياناتها الشخصية الشخصية/الحساسة (تعني المعلومات المتعلقة بتحديد هذا الشخص الطبيعي ، على سبيل المثال الاسم ، اللقب ، إلخ. ). عند صياغة سياسات أو عقود عمل العميل/التوظيف ، من المهم أن تُعطى الموافقة من قبل الأطراف بطريقة واضحة.
- يجب الكشف عن انتهاكات البيانات في غضون 72 ساعة بعد الاكتشاف.
- علاوة على ذلك ، لأن الأفراد لديهم خيار وجود بياناتهم “الحق في نسيان”. هذا يعني أنه يمكن للفرد أن يطلب حذف جميع البيانات الشخصية التي يتم الاحتفاظ بها عليها تنشأ حيث تكون البيانات المتعلقة بالموظف غير دقيقة أو غير مكتملة لتصحيحها.
- بموجب قانون الناتج المحلي الإجمالي ، لدى الشركات في غضون شهرًا للرد على جميع طلبات موضوعات البيانات.
مع الأخذ في الاعتبار اللوائح القانونية المذكورة أعلاه ، من المهم أن يكون لديك مثل هذه المعلومات في سياسات التوظيف أو العميل ، لأنها توفر للأطراف معلومات واضحة حول “حقوق البيانات” والتزاماتها. للحصول على معلومات إضافية حول الناتج المحلي الإجمالي ، تحقق من ملخصنا التنفيذي هنا .
الاستنتاج
لذلك ، يجب أن تهدف المنظمة إلى إنشاء بروتوكولات الإبلاغ للقيام بها في حالة حدوث تهديد أو خرق عبر الإنترنت بالترتيب. من خلال القيام بذلك ، يمكن إدارة المخاطر المحتملة وتخفيفها.
من المقرر أن يظهر العبء على شركات المحاماة أنها قامت بتقييم هذه المخاطر بشكل صحيح واتخذت الاحتياطات المناسبة. سيمكن اعتماد مثل هذه السياسات المؤسسات من وجود منظور واضح حول من يحمل البيانات ، واستخدام هذه البيانات وما هي التدابير الأمنية المستخدمة.
