السياسة المقبولة وغير المقبولة لأمن العاملين في المؤسسة

1. تحديث المعرفة الأمنية: يجب على الموظفين تعزيز معرفتهم الأمنية باستمرار من خلال التدريب.
2. الالتزام بقواعد الدخول والخروج: يجب على الموظفين استخدام بطاقات التعريف الخاصة بهم وعدم مشاركتها.
3. التعامل بحذر مع البيانات الحساسة: يجب حماية المعلومات الحساسة وتجنب استخدام القنوات غير الآمنة.
4. استخدام البرامج المرخصة فقط: يجب استخدام البرامج المعتمدة من قسم تقنية المعلومات فقط.
5. الإبلاغ عن النشاطات المشبوهة: يجب الإبلاغ عن أي نشاط غير عادي أو مشبوه مباشرةً إلى قسم الأمن المعلوماتي.

الممارسات غير المقبولة:

1. تجاوز السلطات: الوصول إلى المعلومات أو الأنظمة خارج نطاق صلاحيات الشخص هو خرق للأمن.
2. استخدام حسابات الآخرين: يُمنع تبادل أو استخدام بيانات اعتماد تسجيل دخول الآخرين.
3. الإهمال في التعامل مع الأجهزة: لا يُسمح بترك الأجهزة بدون حماية بكلمات مرور أو في أماكن غير آمنة.
4. نقل المعلومات بطرق غير آمنة: يُمنع إرسال البيانات الحساسة دون تشفير أو تخزينها على أجهزة شخصية غير آمنة.
5. مشاركة كلمات المرور: تبادل كلمات المرور يزيد من خطر الاختراق.

محاكاة العملية:

• السيناريو المقبول: موظف في قسم الموارد البشرية يستخدم بطاقة هويته وكلمة مرور قوية للوصول إلى النظام بشكل آمن، ويحتفظ بجهاز الكمبيوتر مغلقًا عند الابتعاد، ويسجل الخروج بشكل صحيح بعد الانتهاء.
• السيناريو غير المقبول: موظف جديد، سمير، يترك حاسوبه غير مقفل، مما يسمح لزميله بالوصول إلى بيانات حساسة، مما يمثل انتهاكًا لسياسات الأمن.

إجراءات تصحيح الأخطاء:

1. تدريب فوري: يجب على الموظف المخطئ الخضوع لتدريب إضافي حول أفضل الممارسات الأمنية.
2. إصدار إنذار رسمي: يتم إعطاء تحذير مكتوب لتأكيد أهمية الالتزام بالسياسات.
3. استعراض وتقليل الصلاحيات: في حال تكرار الانتهاكات، يمكن مراجعة صلاحيات الدخول وتقليلها.
4. تفعيل أنظمة الرقابة: زيادة مراقبة الدخول والخروج من الأنظمة من خلال البرامج المتخصصة لاكتشاف أي سلوك غير طبيعي.

تهدف هذه السياسة إلى تقليل الأخطاء البشرية وتعزيز أمان الموظفين أثناء استخدام الأنظمة التكنولوجية الخاصة بالمنظمة