السياسات الوطنية ألمن وحماية المعلومات

إعـداد

اللجنة الوطنية الفنية ألمن وحماية المعلومات

التصـنيف

الستخدام الدوائر الحكومية األردنية

٢٨/١٠/٢٠٠٨

رئاسة الوزراء: معتمدة من قبل

Prepared by The National Information Security Technical Committee (NISTC)

28 October 2008

Document Classification

Restricted for Jordanian Government Entities

Status Approved by Prime Ministry

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٢صفحة األردنية احلكومية الدوائر الستخدام

مراجعة الوثيقةمراحل

رقم النسخة نوع الوثيقة التاريخ المؤلف مالحظات 29 Oct 07 1.0 مسودة

4 Nov 07 1.1 مسودة 8 Nov 07 2.0 مسودة 15 Nov 07 3.0 مسودة 18 Nov 07 3.1 مسودة 28 Nov 07 4.0 مسودة 16 Dec 07 4.1 مسودة 23 Dec 07 4.2 مسودة 24 Dec 07 4.3 مسودة 28 Oct 08 5.0 معتمدة

معتمدة من قبل

االسم المسمى الوظيفي مالحظات رئاسة الوزراء

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٣صفحة األردنية احلكومية الدوائر الستخدام

احملتويات

٤...............................................................................................................اخلالصة ٥..........................................................................................................شكر وامتنان

٦......................................................................................................قائمة املصطلحات ١٣................................................................................................................املقدمة

١٥........................................................................... العامة والواجباتاألدوار واملسؤوليات: ولاألالفصل ١٧..........................................................................السياسات الوطنية ألمن ومحاية املعلومات: ينالفصل الثا

١٧............................................................................سياسة حساسية وتصنيف املعلومات: السياسة األوىل ٢٢....................................................................................سياسة االستعمال املقبول: السياسة الثانية ٢٦........................................................................................سياسة ضبط التغيري: السياسة الثالثة ٢٧...........................................................................ميثاق السلوك اخلاص بأمن املعلومات: السياسة الرابعة ٣٠..........................................................................اخلاص بأمن املعلوماتسياسة التدقيق : السياسة اخلامسة ٣٣......................................................................................سياسة األمن املادي: السياسة السادسة ٣٥.......................................................................................سياسة أمن املوظفني: السياسة السابعة ٣٧.....................................................................................سياسة احلاسوب املكتيب: السياسة الثامنة ٣٩....................................................................................سياسة األجهزة احملمولة: السياسة التاسعة

٤١......................................................................................سياسة كلمات املرور: سة العاشرةالسيا ٤٣.................................................................سياسة مكافحة الفريوسات والربامج اخلبيثة: السياسة احلادية عشرة ٤٥................................................................................لربيد اإللكتروينسياسة ا: السياسة الثانية عشرة ٤٧................................................................................سياسة النسخ االحتياطي: السياسة الثالثة عشرة ٤٩..................................................................................سياسة أمن الشبكات: السياسة الرابعة عشرة ٥١...........................................................................سياسة تطوير وصيانة األنظمة: السياسة اخلامسة عشرة ٥٣...............................................................................سياسة التعاقد اخلارجي: السياسة السادسة عشرة ٥٥......................................................................................سياسة التشفري: السياسة السابعة عشرة

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٤صفحة األردنية احلكومية الدوائر الستخدام

اخلالصة

ملكة، تعترب املعلومات من أكثر األشياء تأثريا على املستوى الوطين والشخصي، ملا هلا من آثار عميقة وكبرية يف التطوير والتنمية يف القطاعات املختلفة داخل املوهلذا، فإنه جيب التعامل مع املعلومات مبستوى عال من الوعي، ودرجة عالية . واملؤسسات العامة واخلاصةاحلياة والعالقات بني األفرادوملا هلا من دور يف تنظيم

العدالة واحلياة الكرمية جلميع املواطنني واملقيمني، ومجيع ، وحتقيق األمن و واالقتصاد املعريفمن املهنية من أجل أن تؤدي املعلومات دورها الفعال يف تنمية اجملتمع .فئات اجملتمع أينما وجدوا

خل املؤسسات العامة من أجل احملافظة على هذه من هنا، كان من الضروري وضع قواعد وأسس ومبادئ توضح آليات التعامل الصحيح واآلمن للمعلومات دا

مستوى املوظفون من أجل حتقيق املختصون و، وحتديد األدوار والواجبات اليت جيب أن يقوم هبا املدراء وهاتغيريو هااإلفصاح عناملعلومات من الضياع والتلف، ولوصول إليها، اعتمادا على ا صالحية، وتوفريها عند احلاجة إليها لألشخاص واجلهات الذين هلم ومجيع املوارد املعلوماتيةألمن واحلماية هلذه املعلوماتل مالئم .املسؤولة عنهابيعة العمل وخصوصية هذه املعلومات لألشخاص واجلهات ط

مع مجيع العاملني واملتعاملنيواملسؤوليات، وبيان االلتزام األدىن املطلوب من وحتديد األدوار السياسات ووضع وضع أطر العمل، إىل مبجملها الوثيقةهذه هتدف أو مكتوبة أو مسموعة أو مرئية، أو اليت يتعاملون معها على أي صورة، سواء أكانت إلكترونية أو غري إلكترونية، لدوائر احلكومية لضمان أمن ومحاية املعلوماتا

اء ، مرورا بنقلها ومعاجلتها وختزينها، وانتهإنشائهامت ختزينها يف ملفات أو أفالم أو صور أو وثائق أو أقراص أو أية وسائط ختزين مادية أو إلكترونية كانت، منذ .بالتخلص منها بشكل آمن وصحيح

متثل هذه السياسة احلدود الدنيا للممارسات اخلاصة بأمن ومحاية املعلومات، وميكن للدائرة أن تقوم برفع مستوى حدودها حبسب ما تقتضيه مصلحة العمل،

ذه السياسات والتعليمات، لتعزيز مستوى أمن ومحاية املعلومات يف ووضع التعليمات اخلاصة هبا لتطبيقها، وتطوير إجراءاهتا الداخلية حبيث تكون منبثقة عن ه .الدائرة إىل أعلى مستوى ممكن

واطنني املبني ثقة ال ويعزز، يف احلكومة لضمان أمن ومحاية املعلومات املمكنة أعلى املستويات إىل حتقيقيؤديإن االلتزام الصحيح بالعمل هبذه السياسات

، م وتعامالهتم اإللكترونية وغري اإللكترونية ستكون بأمان ومعزل عن أية خماوف أو هتديدات قد تؤثر على سالمتها وسريتها وإتاحيتهابأن معلوماهتواحلكومة مات املشتركة يف اخلدويسهل من تطبيق آليات أمن ومحاية املعلومات بشكل آمن،بني الدوائر احلكومية املختلفة يف تبادل املعلومات املتبادلة كما يعزز الثقة

.ألهنا مجيعا تلتزم بإطار العمل نفسه يف أمن ومحاية املعلوماتواملتبادلة بينها

لقد مت بذل جمهود كبري يف وضع وتطوير هذه السياسات بعناية من أجل محايتكم من املخاطر املتعلقة بأمن ومحاية املعلومات، والتقليل ما أمكن من أية آثار سلبية االلتزام الصحيح بالعمل هبذه السياساتمما يؤكد أن قد يفضي إىل اإلضرار باملعلومات واملوارد املعلوماتية اململوكة للحكومة، ممارسة أو فعل قد تترتب على أي .ه من خالل منعة دوائره وموارده املعلوماتيةاستقراروردن يؤكد على منعة األ

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٥صفحة األردنية احلكومية الدوائر الستخدام

شكر وامتنان

ضمان تعزيز هذه السياسة من أجل تطوير وشاركت بفاعلية يف سامهتإىل مجيع اجلهات اليت واالمتنان ية األردنية بعميق الشكر يتقدم برنامج احلكومة اإللكترون :أمن ومحاية املعلومات يف اململكة، وخنص بالشكر اجلهات املشاركة يف اللجنة الوطنية الفنية ألمن ومحاية املعلومات وهي

.ملعلوماتوزارة االتصاالت وتكنولوجيا ا .١ .وزارة الداخلية .٢ .وزارة العدل .٣ .هيئة األركان املشتركة .٤ .هيئة تنظيم قطاع االتصاالت .٥ .مديرية األمن العام .٦ .دائرة املخابرات العامة .٧ .املركز الوطين لألمن وإدارة األزمات .٨ .مركز تكنولوجيا املعلومات الوطين .٩ .البنك املركزي األردين .١٠

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٦صفحة األردنية احلكومية الدوائر الستخدام

طلحاتقائمة املص :فيما يلي قائمة باملصطلحات املستخدمة يف هذه الوثيقة بأكملها، وأينما وردت فإهنا تعين ما يقابلها يف اجلدول التايل

التعريف املصطلح باإلجنليزية املصطلح بالعربية

Access Control الدخولضوابط موارد إىلالوصول أو لتقييد الدخول إىل ملكية ماالقواعد واآلليات املستخدمة

. فقطاملخولنياخل ولألشخاص ... املعلومات واملناطق املختلفة

Account سجل الدخول

مصطلح يصف غالبا معلومات املستخدم اليت تسمح له بالدخول إىل األنظمة احملوسبة، كما ميكن أن يشري أحيانا إىل عملية احلصول على حق الوصول من خالل

وقد يعين أحيانا تطبيق امتيازات خاصة . مة األرشفةالشبكات إىل الطابعات وأنظ .للتحكم مبستوى وصول املستخدم إىل موارد النظام بشكل فريد

املوظف املسؤول عن إدارة الشبكة أو النظام أو اخلدمات اخلاصة بالنظام System Administrator مدير النظام

برامج مكافحة الفريوسات

Antivirus Programs/Software

اليت هي نوع من الربامج ( برامج صممت خصيصا للكشف عن وجود الفريوسات والقضاء عليها، واحلجر على امللفات اليت متت إصابتها بفريوسات حلني ) اخلبيثة

.معاجلتها منها الحقا

Audit التدقيقهي عملية تقييم حتت ظروف ومعايري خاصة ومدروسة، واليت هتدف إىل معرفة مدى

.د عملية أو نظام مع معايري أو سياسات معينةتقي

Audit Trail أدلة التدقيق

ملف أو جمموعة من املرتبة زمنيا ، واليت تقوم على ,جمموعة من اخلطوات املتتابعة بتحديد عمليات املعاجلة اليت يتم القيام هبا عن طريق نظام حموسب أو امللفات تسمح

ية تعديالت أو تغيريات تتضمن املستخدمني يدوي، كما يتم التحقق من صحة أ .الذين أنشئوا وأقروا هذه التعديالت أو التغيريات

Authentication إثبات اهلوية

العملية اليت يتم من خالهلا التحقق والتأكد من هوية وبيانات املستخدم قبل إعطائه ستخدمة مثل املضوابط الدخولالصالحية للوصول إىل موارد النظام، اعتمادا على

.كلمات املرور

Authorization الصالحية

العملية اليت يتم فيها التأكد من أن املعلومات اليت يراد الدخول إليها أو العمليات اليت للحقوق وفقامسموح به أمراالستفادة منها اخلدمات اليت يراد يراد القيام هبا أو

.والتراخيص املمنوحة للمستخدم فقطرسال بشكل إعادة اإل

Auto Forward آيل مستقبلني آخرين من املستقبل إىل أو امللفللرسالة اإللكترونيةحتويل اإلرسال عملية

.بشكل آيل ومباشر و

Availability اإلتاحيةالتأكد من أن أنظمة املعلومات سوف تبقى متوفرة وأن البيانات الضرورية متوفرة أو

. احلاجة إليهاميكن استرجاعها الستخدامها عند

Backup النسخ االحتياطيأو الضياع عند التلف عملية نسخ املعلومات على وسائط ختزين من أجل استرجاعها

.أو احلاجة

Baseline مستوى األداء

حالة من حاالت النظام سواء يف الوضع الطبيعي أو يف وقت معني، ويقاس بشكل أو فترة حلظةدة جترى على النظام يف متعد حسابيةعام عن طريق عمليات إحصائية

.معينة

BIOS البيوس أي نظام اإلدخال Basic Input/Output Systemاختصار جلملة

إقالع نظام التشغيل، ويتحكم بتدفق قبلواإلخراج األساسي، وهو برنامج يعمل

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٧صفحة األردنية احلكومية الدوائر الستخدام

راص املعلومات من وإىل نظام التشغيل واألجهزة الطرفية امللحقة مثل الطابعات، واألق .الصلبة، ولوحة املفاتيح

Bluetooth البلوتوث

Personal Area Networksهي خاصية صناعية للشبكات الشخصية (PANs) واليت توفر طريقة لتبادل املعلومات اإللكترونية بني جمموعة من األجهزة ،

.اإللكترونية املختلفة، وبشكل حممي، وباستخدام موجات راديوية قصرية

Business Case اجلدوىدراسة

مبصطلحات التجارة –دراسة اجلدوى هي األساس ألي مشروع، وهي تؤسس االحتياجات والتقييم والبدائل املقترحة لتحقيق هدف استراتيجي أو -واألعمال

.هدف متعلق بالعمل

Chain Email الرسائل التسلسلية لعدد آخر من املستقبلني ليقوموا يقوم املستقبل هلا بإرساهلا الرسائل اإللكترونية اليت

. غريهم ودواليك مع بإرساهلا من جديد إىلبالعمل نفسهبدورهم

Change التغيريأو اإلجراءات أي تعديل يتم إجراؤه على األجهزة أو الربجميات أو أي من مكوناهتما

.املعمول هبا يف الدائرة

Change Control ضبط التغيريحيدث على األنظمة املستخدمة ومكوناهتا أو األجهزة املختلفة إدارة وضبط أي تغيري

.ومكوناهتا أو اإلجراءات والتعليمات املتبعة يف الدائرة

Change Control Process عملية ضبط التغيري

ت املتبعة يف الدائرة لطلب املوافقة على إجراء تغيري معني بعد رفع ااإلجراءات والعمليه مث مراجعته وأرشفته، هبدف احملافظة على أمان وكفاءة طلب خاص واملوافقة علي

. النظام، ولضمان حسن إدارة موارد الدوائر املختلفة واحملافظة عليها

Cipher Text النص السري أو املعلومات بعد إجراء عملية التشفري عليها، واليت يتم إخفاء الرسالة السرية

.مضموهنا

Classified Information املعلومات املصنفة

أي معلومات شفوية أو وثائق مكتوبة أو مطبوعة أو خمتزلة أو خمزنة الكترونيا أو بأي طريقة أو مطبوعة على ورق مشمع أو ناسخ أو أشرطة تسجيل أو الصور الشمسية واألفالم أو املخططات أو الرسوم أو اخلرائط أو ما يشاهبها واملصنفة على أهنا سرية

.مية وفق أحكام التشريعات النافذةأو وثائق حم

Clean Disk املكتب النظيفمبدأ من مبادئ األمن واحلماية ينص على عدم ترك أية معلومات أو وثائق على

.املكتب بشكل مكشوف للمحافظة على أمنها وسالمتها .ة بذلك فقطخولملجلهات اااملعلومات من قبل التعامل معيتم هالتأكد من أن Confidentiality السرية

Covert Channels القنوات السريةالوسائل اليت ميكن بوساطتها التواصل مع املعلومات بطريقة غري عادية أو متوقعة أو

.قابلة للكشف

Data البياناتاحلقائق اخلام واألشكال اليت ليس هلا معىن بذاهتا، وميكن توضيحها باحلروف والرموز

.كن أن متثل األشخاص أو األشياء أو األحداثواألرقام اليت من املم

Debugging كشف األعطالاألخطاء يف الربامج احلاسوبية واألجهزة، وتقليلها من خالل تتبع وإصالح عملية

.إصالحها أوال بأول، حىت ال تؤثر على عمل هذه األنظمة واألجهزة واستقرارها .ات من شكل مبهم إىل شكل مقروءعملية استعادة املعلوم Decryption فك التشفري

Denial of Service Attack هجوم منع اخلدمة

املختلفة، ملنعها من تقدمي اخلوادمهجوم يهدف إىل حماولة القراصنة استهالك موارد ، ومنها احملاوالت اليت اخلوادمني باالستفادة من هذه خولاخلدمة إىل األشخاص امل

هداف سياسية، أو ألنظمة مالية هبدف اختراق تستهدف املواقع اإللكترونية أل . وتتم باستخدام تقنيات وتطبيقات إلكترونية خمتلفة. األنظمة وحتقيق عائد مايل، اخل

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٨صفحة األردنية احلكومية الدوائر الستخدام

.جهاز احلاسوب الثابت الذي يصعب محله والتنقل به عادة Desktop Computer احلاسوب املكتيب .مثل احلرق أو التكسري أو التهشيم بطريقة فيزيائية عملية التخلص من املعلومات Destruction التحطيم

Development Lifecycle دورة حياة التطوير

املراحل اليت متر هبا عملية تطوير املشاريع والتطبيقات واألنظمة بدءا مبعرفة املتطلبات بالتحليل و دراسة اجلدوى االقتصادية مث التصميم مث البناء مث بدراسة اجلدوى مث ،مث

.االختبار مث التشغيل مث الصيانة

Disaster الكارثة أي فعل يقع على النظام يؤدي إىل إحداث ضرر بليغ باخلدمات واملوارد املعلوماتية

فيه .عملية التخلص من املعلومات ومواردها بطريقة فيزيائية أو منطقية Disposal إتالف

Due Care بقدر احلذرمعقولة كافية وطريقة بات ينص على استخدام احلذر مبدأ يف أمن ومحاية املعلوم

. املعلوماتية يف الدائرةاملواردوحكيمة حلماية

Due Diligence بقدر االستطاعة املوارديف محاية املمكنة مبدأ يف أمن ومحاية املعلومات ينص على بذل أقصى اجلهود

.املعلوماتية يف الدائرة لتطبيق مبدأ بقدر احلذر

Email إللكتروينالربيد اإرسال واستقبال وختزين الرسائل من إنشاء ولمستخدمني توفريها لاخلدمة اليت منكن

.اإللكترونية باستخدام أنظمة االتصاالت اإللكترونية

Email Account سجل الربيد اإللكترويناحلساب الذي يعطى للمستخدم ضمن نظام الربيد اإللكتروين لتمكينه من إرسال

. بشكل فريد اإللكترونيةوامللفاتقبال الرسائل واست

Email Archiving األرشفةالقدمية بشكل منظم على وسائط ختزين يف مكان واملرفقاتعملية حفظ الرسائل

.معروف و آمنمرفقات الربيد Email Attachments اإللكتروين

. املرسلة بالربيد اإللكتروين امللفات اليت ترفق مع الرسالة

.التغيريات اليت يتم إجراؤها بشكل غري خمطط له لوقوع حادث Emergency Change التغيريات الطارئة .مبهمعملية حتويل املعلومات من شكل مقروء إىل شكل Encryption التشفري

Entity الدائرة الوزارة أو الدائرة أو السلطة أو اهليئة أو أي مؤسسة عامة أو مؤسسة رمسية عامة أو

الشركة اليت تتوىل إدارة مرفق عام

Expunge االستئصال

إعادة وسائط التخزين إىل احلالة اليت كانت عليها عملية مسح للمعلومات هتدف إىلامللفات املوجودة على وسائط التخزين إحاللقبل نسخ املعلومات إليها، من خالل

.0,1sاملختلفة بأصفار أو واحدات

File System نظام امللفات

هو عبارة عن نظام خيتص بالطرق املعمول هبا لتخزين وتنظيم امللفات اإللكترونية، باإلضافة إىل املعلومات الضرورية اليت حتتويها هذه األنظمة لتسهيل عملية العثور على

.هذه امللفات واسترجاعها

Firewall اجلدار الناري

حتدد Software و Hardware أجهزة أمن ومحاية بنوعيها الربجمية والعتاديةوتقلل من القدرة على اختراق األنظمة املعلوماتية أو الوصول إليها، من خالل منع وصول اخلدمات غري املعتمدة بني الشبكات املعلوماتية، والسماح للخدمات املعتمدة

.فحسب بالوصول . على وسيط التخزينتنظيم ختزين امللفاتالعملية اليت هتدف إىل Format إعادة التهيئة . مستقبلني آخرينلرسالة أو امللف من املستقبل إىلنسخة عن اعملية إعادة إرسال Forward إعادة اإلرسال .جرمية تتضمن استعمال هوية اآلخرين بطريقة غري قانونية أو غري شرعية Identity Theft سرقة اهلوية

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٩صفحة األردنية احلكومية الدوائر الستخدام

قد يكون له أثر سليب عليهجراء أو اإلأي فعل يقع على النظام Incident احلادثة .شخص واحد Individual الفرد

Information املعلوماتأي بيانات شفوية أو مكتوبة أو سجالت أو إحصاءات أو وثائق مكتوبة أو مصورة

.أو مسجلة أو خمزنة الكترونيا أو بأي طريقة وتقع حتت إدارة املسؤول أو واليته

Information Assets املوارد املعلوماتيةأو أجهزة أو وسائط ختزين أو ) إلكترونية أو غري إلكترونية(أية معلومات أو ملفات

.تسهيالت أو أشخاص هلم عالقة بعملية تبادل املعلومات ومعاجلتها

Information تصنيف املعلوماتClassification

ا أو تغيريها أو مستوى احلساسية املناسب للمعلومات اليت يتم إنشاؤهإناطة عملية نقلها أو تعديلها أو حفظها على أية وسائل كانت وبأية تقنيات ممكنة، من أجل

.مايتها والتحكم هبا وبالوصول إليها بشكل آمنحتديد املستوى الالزم حل

Information Custodian مؤمتن املعلوماتماية املمتلكات الشخص املسؤول عن متابعة وتطبيق وسائل األمن واحلماية املناسبة حل

.املعلوماتية يف الدائرة، حسب مستوى التصنيف الذي يقره مسؤول املعلومات .عملية معاجلة ونقل املعلومات على أية وسائط كانت Information Handling تداول املعلومات

منشئ املعلومات أو Information Owner مسؤول املعلومات

رة يف إنشاء أو حفظ املعلومات، ويكون عادة الشخص املسؤول عن إنشاء أو املباد .الشخص املسؤول عن الدائرة اليت قامت بإنشاء هذه املعلومات

.سرية وسالمة وإتاحية املوارد املعلوماتيةهي عملية محاية Information Security أمن املعلوماتسياسة أمن ومحاية

املعلوماتInformation Security

Policy دة تقرها اإلدارة العليا للدائرة توضح وحتدد أدوار العاملني فيها يف كيفية وثيقة معتم . املعلوماتية للدائرة بطريقة آمنة وصحيحةاملواردالتعامل مع

Integrity السالمة التحقق من أن املعلومات اليت يتم التعامل معها مل يطرأ عليها زيادة أو نقص أو تغيري

.بشكل غري مرخصف ومنع أنظمة كش

التطفل واالختراقIntrusion Detection and

Prevention Systems IDS/IPS

الشبكة املعلوماتية باستخدام تقنيات النظام أو أنظمة برجمية تعمل على مراقبة نشاط .منعهارمبا أية هجمات على الشبكة و عن لكشفمن مث تقوم باوخمتلفة،

ISO 17799 ١٧٧٩٩اآليزو

: من قسمني١٩٩٩عيارا بريطانيا ألمن ومحاية املعلومات نشر عام يف األصل كان مميثاق املمارسة إلدارة أمن ومحاية املعلومات، والقسم الثاين حيدد : القسم األول

االحتياجات الالزمة لتطبيق أمن ومحاية املعلومات بالتوافق مع ميثاق املمارسة يف عام ISO/IEC 27002:2005 ١٧٧٩٩حتويله إىل اآليزومت وقد . السابق٢٠٠٧.

Labeling الوسمالعملية اليت هتدف إىل بيان مستوى تصنيف املعلومات من أجل التعامل معها بشكل

.آمن وصحيح

Laptop احلاسوب احملمول ويتم تزويده بالطاقة يتضمن شاشةالتنقلو قابل للحمل حلاسوب شخصي اسم عام

. قابلة للشحنالكهربائية عن طريقة بطارية مرافقة

Layered Security األمن الطبقي بشكل متسلسل من أجل توفري الدرجة القصوى ضوابط دخولاستخدام عدة

.لألماناالمتيازات الدنيا أو

Least Privilege Principle األقلمبدأ يف أمن ومحاية املعلومات ينص على أنه جيب إعطاء املستخدمني أقل عدد ممكن

.جناز العمل املطلوب حسب الوصف الوظيفيت والصالحيات الالزمة إلمن االمتيازا

Local Area Network الشبكة احمللية(LAN)

وتتم إدارهتا من خالهلا يف ، نسبياتغطي منطقة جغرافية صغريةخاصة شبكة اتصاالت ، وهلا سرعات عالية، أقل عرضة لألخطاء من الشبكات األخرى، وهي مكان واحد

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ١٠صفحة األردنية احلكومية الدوائر الستخدام

.بط األجهزة اإللكترونية معا داخل منطقة حمدودة كبناية أو ما شابهواليت تر

ملفات تسجيل احلركات

Log Files

، مثل عملية قدوم أحداث معينة بتسجيل فيهاامللفات اليت تقوم األنظمة االلكترونية، أو عملية التحقق من كلمات الدخول، )يف خادم بريد إلكتروين( بريد إلكتروين

-سواء أكانت جهاز حاسوب أو شبكة أو قاعدة بيانات –دث يف النظام اليت حت عرب تتبع احلاالت اليت متر هبا هذه األنظمة، التدقيقوبشكل آيل من أجل املقدرة على

.باإلضافة إىل عملية التدقيق على عملها وبشكل خارجي

Logical Bombs القنابل املنطقيةربامج املختلفة، للقيام بعمل غري صحيح، عند حتقق تتم إضافتها إىل الةخبيثبرامج

. عند وقوع حدث أو عند تاريخ معني تعملشرط معني أو

Maintenance الصيانةتعديل مستمر على النظام أو التطبيق إلصالح األخطاء واملشاكل اليت ميكن أن حتدث

.تطلبات املتجددة للدائرة املليوائمفيه أوال بأول، وبالتايل حتسني األداء والكفاءة هلما،

Malware الربامج اخلبيثة

من خالل تصمم وتبىن من أجل اختراق أجهزة وملفات املستخدم الربامج اليت التسلل إىل األنظمة اإللكترونية وختريبها بغري إرادة مالكي هذه األجهزة أو مشغليها،

.ا اليت صممتهاتمن أجل حتقيق أهداف ختص اجله .صحة وسالمة الرسائلمعلومات خمتصرة يتم استخدمها للتثبت من Message Authentication حققرسالة الت

-Need-to-know, Need-to املعرفة على قدر احلاجةdo

مبدأ يف أمن ومحاية املعلومات ينص على أنه يسمح للمستخدم بالوصول إىل .املعلومات بالقدر الذي حيتاج إليه ألداء عمله فقط

اإلفصاح عدم يةاتفاق عن املعلومات

Non Disclosure Agreement (NDA)

تلزم األطراف املوقعني عليها باحملافظة على سرية األفكار والتصاميم وثيقة قانونية ة ، وعدم اإلفصاح عنها أو استخدامها أو إساءخلطط واملفاهيم اليت تعترب حساسةوا

.منتهكيها عن طريق القضاء، ويتم مالحقة استغالهلا بدون إذن خطي ومكتوب .االستعانة مبزود خارجي أو تفويضه لتوفري خدمة معينة Outsourcing التعاقد اخلارجي

Password كلمة املرورطريقة حتقق تستخدم للتحكم بالدخول إىل املوارد املختلفة ، وهي تتكون من سلسلة

. إثبات هويته للنظامسرية من الرموز معروفة يف النظام يدخلها املستخدم من أجل

Patch Panel لوحة التوزيع ضمن مبىن الدوائر ، مع األسالكلوحة مرفوعة على رفوف تستخدم لربط هنايات

.أجهزة الشبكات الداخلية

Patches اإلصالحات

لتقوية األنظمة من الناحية األمنية جمموعة من التحديثات اليت يقوم صانع الربنامج اإلنترنت من مواقع عادة عربية اختراق أمين وميكن ترتيلها نظرا لوجود إمكان

حلني جتهيز نسخة حمدثة الشركات املزودة هلذه األنظمة بشكل أوتوماتيكي أو يدوي .كاملة فيما بعد

Physical Security األمن املادي

الدخول إىل أي مرفق، أو مورد ، أوتراقب أو حتددمعايري و إجراءات احلماية اليت مع ملنع التماس املباشر أو معلومات خمزنة على وسائط فيزيائية بدون صالحية ،

مثل املباين وخزائن امللفات واألجهزة املكتبية واخلادمة ، املعلوماتية واألنظمةاملوارد .اخل...واحملمولة واملعدات

.قبل إجراء عملية التشفرياملقروء األصليالنص Plain Text النص املقروء

Pocket PC حاسوب اجليب يعمل على إىل درجة أنه ميكن محله يف اجليب صغرية حبجم اليد، حاسوب حممول

.نظام تشغيل متنقل خاص به، وله قدرات أجهزة احلاسوب احلديثة

Privileges االمتيازات لتحديد إمكانية تعطى للمستخدم داخل النظاممستوى الصالحيات أو السلطات اليت

. عملالقيام بأي

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ١١صفحة األردنية احلكومية الدوائر الستخدام

Proxy الربوكسي

جهاز أو تطبيق خادم يقوم مقام املستخدمني عند الربط باإلنترنت، عن طريق إرسال للمستخدمني طلبات املستخدمني ملواقع اإلنترنت، ومن مث استقبال املعلومات املطلوبة

، وختزينها، الستعماهلا عند طلبها ملستخدمني آخرين، وبالتايل تسريع مرة أخرىاسترجاع الصفحات اإللكترونية، باإلضافة إىل إمكانية فلترة املواقع غري عملية

. املرغوب هبا

Restore / Recovery االسترداد/ االسترجاع عملية إعادة املعلومات املخزنة على وسائط النسخ االحتياطي عند تلف أو فقدان

.املعلومات األصلية أو احلاجة إليها بعد مدة من الزمن

Scheduled Change ريات اجملدولةالتغي التغيريات اليت يتم إجراؤها بعد رفع طلب مث مراجعته مث املوافقة عليه من اجلهة

.ة بشكل مسبقخولامل .عملية معينة على فترات زمنية معينةل التخطيط Scheduling اجلدولة .عملية هتدف إىل التحقق من اخللفية األمنية للشخص Screening املسح

Separation of Duties الفصل بني املهاممبدأ يف أمن ومحاية املعلومات ينص على الفصل بني وظائف وصالحيات املستخدمني

.يف الوصول إىل املعلومات ومواردها وعدم إعطاء صالحيات مطلقة للمستخدم

Service Level Agreement اتفاقية مستوى اخلدمة(SLA)

توفري مدى مناسب من الدعم هة املزودة للخدمة، لضماناجلواتفاقية بني الدائرة للخدمات اعتمادا على معايري دنيا متفق عليها مسبقا، ويتم فيها حتديد العقوبات

.املترتبة يف حال اإلخالل هبذه االتفاقية .نترنت، اخلأي طرف له القدرة على تزويد خدمة معينة أو أكثر، مثل خدمة اإل Service Provider اخلدماتمزود

Shoulder Surfing اختالس النظر ملا هو مكتوب أو معروض خمول شخص غري أيهي عملية املشاهدة املباشرة من قبل

.على شاشات احلاسوب، وتتم بالعادة يف األماكن املزدمحة، مثل شاشات املطارات

Source Code الربجمية املصدريةسلسلة من اجلمل أو العبارات تابته باستخدام الربنامج األصلي الذي قام املربمج بك

.قبل أن تتم ترمجته إىل لغة اآللة. املكتوبة بإحدى لغات الربجمة املتعارف عليها

Spam احملتوى الدعائياحملتوى الدعائي غري املرغوب فيه والذي يصل إىل املستخدم عادة عن طريق الربيد

اإللكتروين

Spyware الربامج التجسسية

امج خبيثة ترتل بشكل سري على أجهزة املستخدمني، لتختلس املعلومات اخلاصة بر هتدف إىل مجع املعلومات الشخصية عن عن املستخدم وكيفية تفاعله مع اجلهاز، و

.املستخدم

Stakeholders املتعاملون مع ني، مجيع األشخاص واجلهات اليت تتعامل مع الدائرة وتنتفع من خدماهتا، مثل املواطن

.اخل...والطالب، والدوائر األخرى ذات العالقة واملوظفني كلمة املرور اليت يسهل تذكرها من قبل املستخدم، ويصعب على اآلخرين ختمينها Strong Password كلمة املرور الفعالة

Trojan Code طروادةبرجميةأهنا تقوم بعمل بدو كتشيفرة خبيثة يقوم بكتابتها مربمج داخل برنامج أو نظام ما

.عمل غري شرعي، وغري اهلدف الذي تدعي عملهللقيام بقيقة يف احلمفيد، بينما تعمل

Trojan Horses طروادةأحصنةبرامج خبيثة تظهر عملها ملهام حمددة ، ولكنها بالواقع تقوم بأعمال غري األعمال

.حتت غطاء برامج معروفة ومعتمدةعادة تعمل املسندة إليها، و

Upgrade )حتديث وتطوير(قية تر

جديدة لربنامج أو جهاز بدال من طبعة أقدم ، حبيث حتتوي هذه إحالل نسخةعملية النسخة على حتسينات من النواحي الوظيفية للربنامج أو اجلهاز، وتعمل على حتسني مستوى األداء والفاعلية، كما وأهنا يف حالة الربامج تزيد من اخلصائص والواجهات

.عمليات اليت ميكن عملهاوال

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ١٢صفحة األردنية احلكومية الدوائر الستخدام

.اسم سجل الدخول اإللكتروين إىل نظام ما Username اسم املستخدم

Viruses الفريوسات برامج خبيثة تقوم بنسخ نفسها على أجهزة املستخدمني ،من غري معرفتهم، وتسعى

.جهاز املستخدمإىل إحداث خلل أو تدمري يف ملفات أو Wide Area Network الشبكة واسعة النطاق

(WAN) .و تغطي مساحات واسعة جغرافيالوماتية اليت تربط دائرتني فأكثر، املعالشبكة

WiFi فاي- الوايلربط املستخدمني .للربط مع الشبكات احمللية الالسلكيةتقنية السلكية حديثة تستخدم .املتنقلني مع الشبكة الداخلية

Worms الديدان

عرب الشبكات والربيد اإللكتروين وتتناسخ بشكل آيل، على برامج خبيثة تنتقل غالبا نفس اجلهاز، لتعاود االنتشار عرب الشبكات ، وتؤثر على املوارد اخلاصة باألجهزة

.مثل الذاكرة، وسرعة اجلهاز، وسرعة الشبكة ، اخل

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ١٣صفحة األردنية احلكومية الدوائر الستخدام

قدمةامل

املمارسات الفضلى وااللتزام األدىن وتبني واملسؤوليات، وحتدد األدوارأطر العمل، توضح أساسيةاتعد السياسات الوطنية ألمن ومحاية املعلومات خطوطوإتاحية من أجل حتقيق أمن وسالمة - على اختالف درجاهتم وفئاهتم ومناصبهم-الدوائر احلكومية واملتعاملني مع املطلوب مراعاته والعمل به من قبل العاملني

. على حد سواءواملواطنني واملؤسسات العامة واخلاصةبني الدوائر احلكومية املعلومات اليت يتم تداوهلا

:، وهي، يعتمد أكثرها على البعض اآلخرسبع عشرة سياسةالسياسات الوطنية ألمن ومحاية املعلومات تشمل .سياسة حساسية وتصنيف املعلومات .١ .سياسة االستعمال املقبول .٢ .سياسة ضبط التغيري .٣ .خلاص بأمن املعلوماتميثاق السلوك ا .٤ .سياسة التدقيق اخلاص بأمن املعلومات .٥ .سياسة األمن املادي .٦ .سياسة أمن املوظفني .٧ .سياسة احلاسوب املكتيب .٨ .سياسة األجهزة احملمولة .٩ .سياسة كلمات املرور .١٠ .سياسة مكافحة الفريوسات والربامج اخلبيثة .١١ .سياسة الربيد اإللكتروين .١٢ .سياسة النسخ االحتياطي .١٣ .سة أمن الشبكاتسيا .١٤ .سياسة تطوير وصيانة األنظمة .١٥ .سياسة التعاقد اخلارجي .١٦ .سياسة التشفري .١٧

: رئيسيةة موضوعاتثالثتقسم إىل وكل سياسة من هذه السياسات

.ويوضح األهداف الرئيسة اليت ترمي كل سياسة إىل حتقيقها: اهلدف .١ .ية املشمولة بكل سياسة على حدة املعلوماتاملواردوحيدد طبيعة األشخاص واألشياء و: اجملال .٢ بكل من الدائرة وموظفيها املشمولني مبجال السياسة، من أجل حتقيق اهلدف املنشود املناطةوتوضح بإسهاب األدوار والواجبات : تفاصيل السياسة .٣

.منها

ارتباط هذه السياسات بالتشريعات األردنية من قوانني كما توضح للقارئ بعض ببعض حسبما تقتضيه احلاجة، بعضهاكما توضح هذه السياسات كيفية ارتباط .وأنظمة وتعليمات اليت هلا عالقة وثيقة هبذه السياسات

: السياسات الوطنية ألمن ومحاية املعلوماتحولالتالية امللحوظات من الضروري التركيز على هلذا، فإنه

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ١٤صفحة األردنية احلكومية الدوائر الستخدام

، وللدائرة أن تزيد عليها ما تراه مالئما لطبيعة وظروف عملها حسبما الدوائر احلكوميةكافة العمل هبا يف الواجبهذه السياسات احلدود الدنيا حتقق .١ .مصلحة العملتقتضيه

:، وخنص بالذكرانون األردين القوانني والتشريعات املعمول هبا يف الدولة واملنصوص عليها بأحكام القمع مراعاةهذه السياسات تطبق .٢ .١٩٧١لسنة ٥٠قانون محاية أسرار الدولة رقم .أ .٢٠٠٧ لسنة ٤٧قانون ضمان حق احلصول على املعلومات رقم .ب

.٢٠٠١ لسنة ٨٥قانون املعامالت اإللكترونية رقم .ج .٢٠٠٣ لسنة ٨١قانون توظيف موارد تكنولوجيا املعلومات يف املؤسسات احلكومية رقم .د

. لتطبيق هذه السياساتمناسبةئرة فيما خيص الكيفية اليت تراها الدائرة لكل دا الداخليةلتعليمات واإلجراءات والتوجيهات لهذه السياسات ال تتطرق .٣الفصل جيب تطبيقها يف مجيع السياسات الوطنية ألمن ومحاية املعلومات يف واليت العامة اليت يكثر تكرارها واملسؤوليات والواجبات وضعت األدوار .٤

.قا وعدم تكرارها الحقا من أجل معرفتها مسب، وذلك يسبق بيان السياساتاألول بشكل

. املرادفات العربية للمصطلحات اإلجنليزية اليت يكثر استعماهلا يف جمال أمن ومحاية املعلوماتلبياناملصطلحات بقائمة وضعت .٥

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ١٥صفحة األردنية احلكومية الدوائر الستخدام

األولالفصل العامة والواجباتاألدوار واملسؤوليات

سؤوليات املطلوبة من الدائرة ومدراء األنظمة وضباط أمن املعلومات واملستخدمني واليت يكثر تكرارها يف هذه الوثيقة، مع فيما يلي بيان خمتصر ألهم األدوار وامل

.العلم أن تفصيل هذه األدوار واملسؤوليات سيأيت بيانه يف حينه حسب ما يقتضيه املقام

لدائرة ا ١ .تعترب احلدود الدنيا للممارسات املتعلقة بأمن ومحاية املعلومات يف الدائرةتطبيق السياسات الوطنية ألمن ومحاية املعلومات اليت .١ .املناسبة لتطبيق هذه السياساتواإلجراءات وضع التعليمات .٢ .تعميم هذه السياسات على مجيع املوظفني والعاملني يف الدائرة وجعلها يف متناول أيديهم بشكل مستمر .٣ فهم واإلشراف علىالتدريب الكايف للموظفني والعاملني يف الدائرة املهارات وم الالزم له من أجل توفري الدعتوفري تعيني ضابط أمن معلومات و .٤

.وتطبيق السياسات والتعليمات اخلاصة بأمن ومحاية املعلومات فيها .االتدقيق على مدى االلتزام هبذه السياسات داخل الدائرة هبدف حتديد ومعاجلة أي قصور أو ثغرات لوحظت فيه .٥ املوارداسبة املوظفني والعاملني يف الدائرة عن أي خلل أو قصور من شأنه اإلخالل بأمن ومحاية أي من وضع وتوضيح اإلجراءات املناسبة حمل .٦

. طبقا لألنظمة املعمول هبا يف الدائرةاملعلوماتية يف الدائرة

)مؤمتن املعلومات(دير النظام م ٢ .السياسات الوطنية ألمن ومحاية املعلوماتبالتوافق مع املعلوماتية املوجودة يف الدائرةاملواردمجيع على واإلجراءات تطبيق التعليمات .١ .توفري الدعم الفين الكايف الذي يضمن تطبيق هذه السياسات .٢ .للقيام مبهامهم بيسر وسهولة أمن املعلومات مدققيالتعاون مع .٣

ضابط أمن املعلومات ٣ .املتعلقة هبا يف الدائرةواإلجراءات ات الوطنية ألمن ومحاية املعلومات والتعليمات تطبيق السياسالتأكد من .١ .بأعلى مستويات اجلودة املمكنةواإلجراءات من أجل تطبيق هذه السياسات والتعليمات مجيع العاملني واملتعاملني مع الدائرةالتعاون مع .٢ من خالل تطبيق برامج التوعية ومحاية املعلوماتأمن ارات العاملني يف الدائرة يف جمال ورفع مستوى مهالقيام بالدور التوعوي املناسب لتدريب .٣

العمل باملمارسات الفضلى يف أمن ومحاية املعلومات ، واملشاركة يف ورش العمل والندوات ذات العالقة، من أجل اخلاصة بأمن ومحاية املعلومات .لومات، وبيان اآلثار السلبية املترتبة على عدم االلتزام هبا أو ترك العمل هباوااللتزام بالسياسات الوطنية ألمن ومحاية املع

. هبذه السياسات والتعليمات املتعلقة هبامجيع العاملني واملتعاملني مع الدائرةالتدقيق على مدى التزام .٤ .لومات يف الدائرةمساعدة املوظفني والعاملني يف الدائرة ملعاجلة أية مشاكل هلا عالقة بأمن ومحاية املع .٥

ملستخدم ا ٤ .التقيد مبا جاء فيها والتوقيع على والرجوع إليها عند احلاجة، هذه السياسات وفهمهاقراءة .١ .تنفيذ هذه السياسات والتعليمات املتعلقة هبا يف الدائرةبذل أقصى اجلهود املمكنة ل .٢

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ١٦صفحة األردنية احلكومية الدوائر الستخدام

. والرجوع إليهم عند احلاجةالتعاون مع املختصني يف جمال تكنولوجيا وأمن ومحاية املعلومات .٣

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ١٧صفحة األردنية احلكومية الدوائر الستخدام

ينالفصل الثا السياسات الوطنية ألمن ومحاية املعلومات

سياسة حساسية وتصنيف املعلومات: السياسة األوىل اهلدف: أوال بشكل غري مرخص، إتالفها أو اإلفصاح عنهاتعماهلا أو تغيريها أو أي صورة كانت وعلى مجيع الوسائط، من الوصول إليها أو اسوباملعلومات كافة أنواع محاية

. يف مجيع مراحل دورة حياهتا، بطريقة تتناسب وحساسيتها وأمهيتها

اجملال: ثانيا .، سواء أكانت إلكترونية أو غري إلكترونيةلدائرةل املعلوماتيةاملواردهذه السياسة مجيع تغطي

تفاصيل السياسة : ثالثا تعريف املعلومات١

املعلومات اليت يتم حفظها أو تبادهلا بشىت الوسائل، سواء أكانت إلكترونية أو غري إلكترونية، -دون حتديد-تتضمن املعلومات املعنية يف هذه السياسة -أ .- املرئية واملسموعةت مثل االجتماعا- أو بشكل مرئي -مثل اهلاتف–، أو تلك اليت يتم تبادهلا مشافهة املكتوبةمثل املعلومات

القانونية، واستخدام خطة التصنيف وآثارهاها املعلوماتية هبدف حتديد أمهيتها وحساسيتها مواردعلى الدائرة وضع معايري شاملة تتضمن تفاصيل -ب .املتبعة يف هذه السياسة

تصنيف املعلومات٢

.٢٠٠٧ لسنة ٤٧ رقم املعلوماتعلى ام قانون ضمان حق احلصول ، استنادا إىل أحكجيب تصنيف مجيع املعلومات اململوكة للدائرة -أ .ليس جلميع املعلومات القدر نفسه من احلساسية واألمهية، وبالتايل فإن املعلومات حتتاج مستويات خمتلفة من احلماية -ب .، وانتهاء بالطريقة الصحيحة إلتالفهاجيب أن تتم إدارة املعلومات بشكل صحيح ابتداء من مرحلة إنشائها، مرورا باالستخدام املرخص هلا - ج

الدائرة مسؤولة عن تصنيف املعلومات اليت متلكها بالتوافق مع هذه السياسة، وهلذا جيب تصنيف وإدارة مجيع املعلومات والوثائق بدقة حسب مستوى -د لسنة ٥٠ رقم نادا إىل أحكام قانون محاية أسرار الدولة، است"سرية للغاية"، و"سرية"، و"دودةحم"، و"عادية: "حساسيتها وأمهيتها إىل أربعة مستويات

. وأية تعديالت طرأت عليه١٩٧١

جيب أن تعامل معاملة املعلومات - ومل يتم تصنيفها قبل تطبيق هذه السياسةها، مثل الوثائق املوجودة منذ أمد بعيد فيأية معلومات مملوكة للدائرة -ه ، استنادا إىل "سرية للغاية"أو " سرية"أو " ديةعا"ما مل يقرر مسؤول املعلومات تصنيفها إىل معلومات " قطالستخدام الدائرة ف"، وبصفة "احملدودة"

.أحكام قانون ضمان حق احلصول على املعلومات

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ١٨صفحة األردنية احلكومية الدوائر الستخدام

املعلومات العادية: املستوى األول ١-٢صية أو أمن الدائرة أو أي من املتعاملني معها مثل املوظفني والعمالء على خصواإلفصاح عنهااملعلومات العادية هي معلومات قليلة احلساسية، ال يؤثر -أ

ون عادة متاحة للنشر عرب وسائل االتصال ، وتكاالقتصادية أو غريها من املصاحل احلكوميةأو ، أو تؤدي إىل إيذاء أي من املصاحل السياسية والشركاء .صفحات اإلنترنتوالكتيبات والنشرات و، مثل املطبوعات املنشورة كتوبةاملشفوية، أو اللكترونية، أو اإل بالطرقواإلعالم،

.ال توجد صالحيات أو حتديدات على هذه النوع من التصنيف -ب املعلومات احملدودة : املستوى الثاين ٢-٢

ة أو أي من املتعاملني معها ا فإهنا ميكن أن تعرض خصوصية وأمن الدائراإلفصاح عنههي معلومات حساسة معدة لالستخدام الرمسي، وإذا ما مت -أ املعلومات احملدودة ميكن أن يؤثر سلبا اإلفصاح غري املرخص عنللخطر، أو تسبب إيذاء حمدودا للمصاحل السياسية أو االقتصادية للدائرة، وبالتايل فإن

ت الداخلية، واملعلومات اليت يتم ومسها بطريقة تعكس ، مثل الربيد اإللكتروين غري املشفر، والتعميمات واملذكراعلى الثقة باملوظفني واملواطنني ".الستخدام القسم فقط" ، " فقطالدائرةالستخدام : "حمدوديتها، مثل

.جيب على الدائرة وضع وإعالن التعليمات املناسبة للكشف عن هذه املعلومات قبل تقدميها ألي جهات خارجية -ب .ما مل حتدد تعليمات الدائرة غري ذلك" حمدودة"يتم تصنيف املعلومات الشخصية على أهنا - ج

املعلومات السرية : املستوى الثالث ٣-٢

للخطر، أو تسبب واملتعاملني معها فإهنا ستعرض أمن وخصوصية الدائرة اإلفصاح عنهامعلومات حساسة معدة لالستخدام الرمسي احملدود، وإذا مت -أ ليت من املتوقع أن تكون مفيدة للبالد األجنبية أو اجلهات غري احلكومية، مثل وثائق العطاءات اليت مل يتم املعلومات امثل، هلم إيذاء سياسيا أو اقتصاديا

. املعلومات العادية واحملدودةاإلفصاح عن واملعلومات املستثناة من ،طرحها بعدا جيب أن يكون حسب التعليمات واألنظمة، مبا فيها قانون جيب أال يتم بشكل عشوائي، وإمن" سرية للغاية"أو " سرية"إن تصنيف املعلومات على أهنا -ب

. املعلومات و قانون محاية أسرار الدولةضمان حق احلصول على . هذه املعلوماتاإلفصاح عن إقرار هذا املستوى من التصنيف أو تغيريه وحتديد كيفية صالحيةإن مسؤول املعلومات وحده له - ج

رية للغايةاملعلومات الس: املستوى الرابع ٤-٢

للخطر الشديد، أو تلك املعلومات املعدة واملتعاملني معها تها وخصوصيهاهي املعلومات اليت تعترب غاية يف احلساسية واألمهية للدائرة، واليت تعرض أمن -أ لدائرة أو ادية أو معنوية لهتديد حياة األشخاص، أو أضرار م إىل اإلفصاح عنها بشكل غري مرخص، وميكن أن يؤدي جهات معينةلالستخدام من قبل

اإلفصاح عنها بشكل غري ، باإلضافة إىل املعلومات اليت يترتب على أو يسبب إيذاء هائال للحكومة ويعرض أمن الدولة للخطر ،املتعاملني معهاواملعلومات ذات األمهية ، مثل معلومات احلسابات الشخصية، والتحقيقات اجلارية، ومعلومات تتعلق بأمن الدولة، مساءلة قانونيةمرخص

.االستخبارية أو العسكرية . هذه املعلوماتاإلفصاح عن إقرار هذا املستوى من التصنيف أو تغيريه وحتديد كيفية صالحيةإن مسؤول املعلومات وحده له -ب حفظ املعلومات وتداوهلا وإتالفها٣ حفظ املعلومات ١-٣

.هاتصنيفات مستوي عملية حفظ املعلومات مع تتوافقجيب أن -أ إىل تطبيق املعلومات العادية دون احلاجة حتفظفمثال. مجيع وسائط التخزين يف مكان آمن حسب تصنيف املعلومات املخزنة فيهاحفظجيب -ب

إليها أو أو الوصول ،أخطارأية هتديدات أو بطريقة صحيحة من " السرية للغاية"و" السرية"إجراءات أمنية صارمة، يف حني جيب حفظ املعلومات .تداوهلا بشكل غري مرخص

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ١٩صفحة األردنية احلكومية الدوائر الستخدام

تداول املعلومات ونقلها٢-٣أو فقداهنا ، وهلذا، فإهنا بشكل غري مرخص أو تغيريها اإلفصاح عنها بطريقة تضمن محايتها من الوصول إليها أو ةالدائريف علومات املجيب تداول -أ

. ستوى حساسيتها وسالمتها وإتاحيتها يف سبيل محاية سريتها ومهاجيب أن تعاجل وحتفظ حسب مستويات تصنيفاملكتب " على الدائرة اليت تستخدم معلومات سرية متابعة إجراءات احلماية املناسبة والالزمة لتصنيفها، وهلذا فإن على كل مستخدم تطبيق مبدأ -ب

.أو معلومات ذات تصنيف أعلى" حمدودة"أثناء تداول معلومات " النظيف إتالف املعلومات ٣-٣

.عند احلاجة إىل ذلك الدائرة وضع التعليمات اخلاصة بإتالف املعلومات على -أ والتشريعات لقوانني وبطريقة تتفق مع ابطريقة تتفق مع مستوى تصنيفها عند احلاجة جيب إتالف املعلومات سواء أكانت إلكترونية أو غري إلكترونية -ب

.فظ املعلومات وتداوهلا وإتالفهابعض التوجيهات املتعلقة حب )١(يلخص اجلدول . احلكومية واألحكام واألنظمة والتعليمات

املعلومات وسائط ختزين التعامل معدليل : ١اجلدول

اإلتالف التداول احلفظ التصنيف

غري اإللكتروين اإللكتروين غري اإللكتروين اإللكتروين غري اإللكتروين اإللكتروين

غري حمدد احلذف العادي غري حمدد شفرنص غري م غري حمدد نص غري مشفر العادي

إجراءات التحكم احملدودإجراءات التحكم

الفيزيائية **التحطيم إعادة التهيئة املظروف املغلق نص غري مشفر

**التشفري السري اخلزنة **الغرف املغلقة

**التشفري باليد

**بالربيد الرمسي** االستئصال **والتحطيم

**التحطيم

**التشفري السري للغاية اخلزنة **الغرف املغلقة

عدم استخدام الشبكات **باليدولكن

**باليد *االستئصال **والتحطيم

**التحطيم

.يف حالة إعادة االستخدام والتدمري يف اإلتالف النهائية االستئصاليتم استخدام * . واحلرقالفيزيائية مثل التكسري والتقطيع والتهشيم والطحن والعجن عادة بالطرق التحطيم، ويكون جيب العمل بالقوانني واألنظمة والتعليمات**

عزل املعلومات ٤

.على الدائرة وضع التعليمات املناسبة لتقدمي املستويات املالئمة حلماية املعلومات مبا يتناسب وحساسية املعلومات وأمهيتها -أ .منآو معزول مكانيف " سرية للغايةال"مجيع املعلومات ختزين جيب -ب . مستوى حساسيتهاحسب بطريقة فيزيائية أو إلكترونيةا تصنيفاهتضمنمجيع املعلومات جيب عزل - ج

املعلوماتمسؤولية أمن ومحاية ٥

.يتعامل معهامجيع املعلومات اململوكة للدائرة هي مسؤولية كل من -أ .املوارد املعلوماتية يف الدائرةيف أمن ومحاية النهائية املسؤولية ) اإلدارة العليا(مسؤول املعلومات يتحمل -ب

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٢٠صفحة األردنية احلكومية الدوائر الستخدام

مسؤول املعلوماتواجبات ١-٥ :لتحقيق املهام الرئيسية التالية" مسؤول معلومات"جيب أن يكون جلميع املعلومات يف الدائرة

.إجياد تصنيف مبدئي للمعلومات، يتضمن إعطاء مستويات تصنيف جلميع املعلومات داخل الدائرة -أ .ملتعلقة بالضوابط والصالحيات والعمليات اخلاصة بإدارة املعلوماتاملصادقة على التوصيات ا -ب كالتهديدات اجلديدة، أو نقاط : عند وقوع املخاطراملؤثرة على أمهيتها تغريات مدى ال وأمهيتهاالتأكد من أن املعلومات يتم مراجعتها بانتظام حسب - ج

.ة هبا يف األنظمة، أو أية تغريات يف البيئة احمليطالضعف املكتشفة . التغريات يف أولويات العمل أو القوانني والتعليمات واألنظمةبني فترة وأخرى حسبالتصنيف وتعديل مراجعة -د .من إعادة ترتيب جلميع الوثائق داخل الدائرةالتعليمات فظ وأرشفة الوثائق وما ينبين على هذه حب تطبيق التعليمات اخلاصة -ه

املعلوماتمؤمتن دور ٢-٥

:لتحقيق املهام الرئيسية التالية" معلوماتمؤمتن"ن جلميع املعلومات يف الدائرة جيب أن يكو .املتابعة اليومية لعمليات تصنيف املعلومات وكيفية تطبيقها داخل الدائرة -أ .محاية املعلومات املصنفة حسب تصنيف مسؤول املعلومات -ب .املعلومات املصنفةمن أجل محاية املناسبة إجراءات األمن واحلماية وتنفيذ تطبيق - ج

واجبات ضابط أمن املعلومات٣-٥

.مراقبة أي خروقات لسياسة أمن املعلومات ورفع التقارير بشأهنا ملسؤول املعلومات -أ . تصنيفهابطريقة تتناسب معالتأكد من أن مجيع املستخدمني على علم بكيفية تداول ومحاية املعلومات -ب . الدائرةتطوير إجراءات أمن ومحاية املعلومات يف - ج

وسم املعلومات ٦

.املعلومات وتصنيفهااملسؤولية عن على الدائرة وضع التعليمات املناسبة لوسم املعلومات بطريقة توضح -أ . صحيحآمن واملذكورة يف اجلدول أعاله بشكل توجيهات لوفقا لاملعلومات تداول من لوسائط ختزين املعلومات املستخدمني الوسم الصحيح ميكن -ب .املعلوماتومحاية من الوطنية أل اتسياسمع ال هذه املعلومات توافقاإلجراءات الصحيحة لوسم املعلومات وتطوير تطبيق من يض - ج

املعلوماتاإلفصاح عن ٧ املعلوماتباإلفصاح عن الوعي اخلاص ١-٧

.لإلفصاح عنهابة بتصنيف املعلومات يساعد على تطبيق التعليمات املناساملستخدمني إن الفهم الصحيح جلميع -أ عامة املصاحل احلكومية مصاحل الدائرة خاصة و املعلومات اليت من شأهنا تعريض اإلفصاح عنعلى مجيع املستخدمني إدراك التأثريات املترتبة على -ب

. لضمان تطبيق هذه السياسةوضع تعليماتللخطر، وجيب وتوقيعها من قبل األشخاص امراجعتها قانونيو" املعلوماتاإلفصاح عناتفاقية عدم "لطرف ثالث بعد تقدمي " احملدودة" املعلومات اإلفصاح عنميكن - ج

. موافقة مسؤول املعلوماتشريطة ني بذلكخولامل

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٢١صفحة األردنية احلكومية الدوائر الستخدام

املعلوماتعن اإلفصاح غري املرخص العقوبات املترتبة على ٢-٧ حسب تصنيفها وومسها بشكل غري مرخص عن املعلوماتفصاح اإل املستخدمني باإلجراءات التأديبية والعقوبات املترتبة على التعميم علىجيب -أ

.بالتوافق مع التشريعات والقوانني النافذة .فأكثر" حمدود"نسخ وطباعة املعلومات املصنفة بدرجة و والوصول إليها، وقراءهتاجيب أن تغطي هذه اإلجراءات سرقة املعلومات -ب : شاهبها علىجيب أن تعتمد هذه اإلجراءات ضد هذه األفعال أو ما - ج

.القوانني واألنظمة والسياسات .١ .اإلفصاح عنها بشكل غري مرخصتصنيف املعلومات اليت مت .٢ .ذه املعلومات على الدائرة بشكل خاص وعلى احلكومة ككلاإلفصاح غري املرخص هلتأثريات .٣ .ةخولغري املاجلهات بني اإلفصاح عنها بشكل غري مرخص نسبة انتشار املعلومات اليت مت .٤ . أعداء أو مقيمني أونيمواطن، كأن يكونوا اإلفصاح هلا بشكل غري مرخص عن املعلوماتاليت مت ة خولغري املهات طبيعة اجل .٥

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٢٢صفحة األردنية احلكومية الدوائر الستخدام

سياسة االستعمال املقبول: السياسة الثانية اهلدف: أواللبنية للمعلومات ومواردها وااملسؤولية يف االستعمال الصحيح الدائرة مجيع العاملني يفوموثوقة ومرحية لالستخدام حبيث يتحملبيئة نظم معلومات آمنة توفري

.هلاالتحتية التكنولوجية

اجملال: ثانياعند االعتبار املعلوماتية يف الدائرة أخذها بعنياملواردتوضح هذه السياسة املمارسات الفضلى لالستعماالت املقبولة واملمنوعة اليت جيب على مجيع مستخدمي

.التعامل معها

تفاصيل السياسة : ثالثا أجهزة احلاسوب ١

يف الدائرة، مبا يتضمنه ذلك من أنظمة التشغيل، وبرامج وملفات املستخدمني، وبرجميات ألجهزة احلاسوب هذا البند االستعماالت املقبولة واملمنوعة يوضح .يف الدائرةأنظمة املعلومات مجيع احملاسبة، و

املمارسات املقبولة١-١

. بهاملناطةاعتمادا على الوصف الوظيفي للمستخدم واملسؤوليات عن طريق مدير النظام تنصيب وحتديث وإعداد الربجميات املرخصة اخلاصة بالعمل -أ .استخدام الربجميات املرخصة لتحقيق أهداف الدائرة واملهمات امللقاة على عاتقها -ب .العملومصلحة ملفات املستخدم حسبما تقتضيه طبيعة وأرشفة وحذف إنشاء ومعاجلة - ج

املمارسات املمنوعة٢-١

. ومصلحة العملحيتاجها املستخدم ألداء واجباته حسب وصفه الوظيفي ومسؤولياتهاليت ضرورية اللفات املربجميات أو من الإزالة أو حذف أي -أ .ض العمل الرمسينسخ الربجميات أو امللفات إىل وسائط ختزين خارجية لغري أغرا -ب .ربامج املساعدة أو اللهو باأللعابالتنصيب أية برجميات غري مرخصة أو مشبوهة أو - ج . طروادة أو الربامج اإلعالنية أو أي نوع من الربجميات اخلبيثةأحصنةتنصيب وتشغيل برجميات أو تطبيقات مصابة بالفريوسات أو الديدان أو -د .العمل الرمسيأغراض لغري أو تطوير برجميات خبيثة أو استخدمها خصة للمنفعة اخلاصة استعمال الربجميات والتطبيقات املر -ه

اإلنترنت٢ .ها ومصلحة العمل فيهاتحقيق أهدافل هذا البند االستعماالت املقبولة واملمنوعة خلدمة اإلنترنت يف الدائرة يوضح

املمارسات املقبولة١-٢

.مسي العمل الرألغراضالبحث عرب اإلنترنت -أ ، ويكون ذلك من قبل مدير الدخول إىل مواقع اإلنترنت املوثوقة واملرخصة لترتيل التحديثات واإلصالحات للربجميات املرخصة العاملة يف الدائرة -ب

.النظام، وحسب عملية ضبط التغيري املتبعة يف الدائرة استنادا إىل سياسة ضبط التغيري

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٢٣صفحة األردنية احلكومية الدوائر الستخدام

: مجيع الشروط التاليةشريطة حتققللموظف طبيعة العمل له عالقة بأي حمتوىترتيل - ج )بقدر احلذر. (أن يكون املوقع موثوقا .١ . مرخصةاحملتوىمادة التأكد أن .٢ )بقدر االستطاعة. (خالية من الربامج اخلبيثةاحملتوى مادة التأكد أن .٣ .سلبا على األداء العام للربط باإلنترنت يف الدائرةاحملتوى أال تؤثر مادة .٤ . مدير النظام يف الدائرةبالرجوع إىلأن يتم ذلك .٥

املمارسات املمنوعة٢-٢

. أو ليست هلا عالقة بطبيعة ومصلحة العملترتيل مواد غري قانونية أو معادية -أ

. يف الدائرةاإلدارة العلياترتيل الربامج من اإلنترنت وتشغيلها بدون موافقة مسبقة من -ب .ض شخصية ألغرااللهو باأللعاب واستخدام غرف الدردشة - ج .اليت ال عالقة هلا بالعمل الرمسي املشاركة واملسامهة يف اجملموعات اإلخبارية -د ، وحيدد ذلك األمني العام أو املدير العام للدائرة اعتمادا على التعليمات املتبعة لغري أغراض العمل الرمسياملقبول زائد عن احلدتصفح اإلنترنت بشكل -ه

.داخل الدائرة لوماتية احلكومية الشبكات املع٣

. نارية وأسالك وبروتوكوالتان وموجهات وجدرخوادم هذه البند االستخدامات املقبولة واملمنوعة للشبكات املعلوماتية يف الدائرة مبا يتضمنه ذلك من يوضح املمارسات املقبولة١-٣

.مسياستخدام أجهزة وعناصر الشبكات والبنية التحتية املعلوماتية ألغراض العمل الر -أ اتباع عملية ضبط التغري املتبعة يف الدائرة عند تغيري أو إزالة عناصر وأجهزة الشبكات أو تغيري حزم االتصاالت والتمديدات عند احلاجة عن طريق -ب

.ني بذلكخولخمتصي الشبكات املكات، مثل اجلدران النارية وأنظمة كشف ومنع تنصيب وحتديث وضبط إعدادات الربجميات واألجهزة املرخصة ملراقبة ومحاية االتصاالت عرب الشب - ج

. بالتوافق مع تعليمات الدائرةالتطفل واالختراقإنشاء وإلغاء ومعاجلة سجالت الدخول اإللكترونية للمستخدمني على الشبكات، إضافة إىل منح وحجب الصالحيات حسب الوصف الوظيفي -د

. يف الدائرةرة العليااإلداللمستخدمني، شريطة وجود موافقة مسبقة ومكتوبة من املمارسات املمنوعة٢-٣

. يف الدائرةاإلدارة العلياأي عنصر أو جهاز تابع للشبكة بدون صالحية أو موافقة مسبقة ومكتوبة من أو فصل إتالف -أ . الرمسياستخدام أجهزة الشبكات يف غري أغراض العمل -ب .نات أو قرب أجهزة الشبكات مثل املوجهات واملفاتيحتناول األطعمة واملشروبات أو التدخني يف غرف مراكز البيا - ج :حماولة التأثري بشكل سليب على األداء الفيزيائي أو املنطقي للشبكات بشكل مباشر أو غري مباشر بالقيام بواحد أو أكثر من األفعال التالية -د

.ترتيل أو حتميل كميات ضخمة من امللفات أو البيانات لغري الضرورة .١ .درجة حرارة أجهزة الشبكات باستخدام املدافئ أو ختريب أنظمة التكييف والتربيدالتسبب برفع .٢

. يف الدائرةاإلدارة العليا من ة ومكتوبةمسبقموافقة بدون أو التجسس عليها تدفق املعلومات عرب الشبكات Capturing واقتناص Monitoringمراقبة .لمستخدمني احلاليني أو اجلدد بدون تصريحمنح وحجب الصالحيات لسجالت الدخول اإللكترونية ل -ه

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٢٤صفحة األردنية احلكومية الدوائر الستخدام

. يف الدائرة بالتوافق مع سياسة ضبط التغيرياإلدارة العليابدون موافقة مسبقة ومكتوبة من تنصيب أجهزة أو برجميات على الشبكات - و أنظمة الربيد اإللكتروين٤

. اإللكتروين احلكومية البند املمارسات املقبولة واملمنوعة عند استخدام أنظمة الربيدا هذيوضح املمارسات املقبولة١-٤

.الربيد اإللكتروين الرمسيوختزين فتح وقراءة وإرسال -أ .إدارة سجل الربيد اإللكتروين اخلاص باملستخدم -ب . بالتوافق مع سياسة حساسية وتصنيف املعلوماتإرسال املرفقات ذات احملتوى الرمسي للجهات الرمسية - ج . هتديدات تتعلق بالربامج اخلبيثةةادر الرمسية، بعد مسحها بإجراءات احلماية املالئمة للتأكد من خلوها من أيترتيل املرفقات من املص -د

.استعمال أنظمة الربيد اإللكتروين الشخصي بشكل مناسب يتوافق مع ميثاق السلوك اخلاص بأمن املعلومات -ه املمارسات املمنوعة٢-٤

.لغري األغراض الرمسية أو بطريقة تؤثر سلبا على سري العملاإللكتروين استخدام أنظمة الربيد -أ .أنظمة الدائرةعلى كفاءة سلبا ر تؤث اليت قدإرسال وترتيل مرفقات كبرية احلجم لغري االستعماالت الرمسية مثل ملفات الصوت والصورة -ب .التجسس على الربيد اإللكتروين للمستخدمني اآلخرين أو اختراقه - ج

ل اإللكترونية للمستخدمني سجالت الدخو٥

.أنظمة وإجراءات احلكومة سجالت الدخول اإللكترونية للمستخدمني اليت يتم إنشاؤها ضمنالتعامل مع االستعماالت املقبولة واملمنوعة يف البنديوضح هذا املمارسات املقبولة١-٥

ني بذلك حسب حاجة الدائرة وحسب خولطريق مدراء النظام املمنح وحجب وتغيري الصالحيات لسجالت الدخول اإللكترونية للمستخدمني عن -أ .الوصف الوظيفي هلؤالء املستخدمني وطبيعة أعماهلم

. عن طريق املستخدم صاحب السجل فقطUser Profileإدارة ملف املستخدم -ب املمارسات املمنوعة٢-٥

.انتهاك واختراق سجالت الدخول اإللكترونية للمستخدمني -أ . الدخول اإللكترونية للمستخدمني بدون ترخيص للشروع يف هجوم املنع من اخلدمة ضد أي جهة كانتاستخدام سجالت -ب يف اإلدارة العلياإضافة أو حذف سجالت الدخول اإللكترونية للمستخدمني، أو منح أو حجب صالحيات معينة بدون ترخيص مسبق ومكتوب من - ج

.الدائرة . يف الدائرةاإلدارة العليارونية للمستخدمني ألي غرض كان بدون ترخيص مسبق ومكتوب من مجع املعلومات من سجالت الدخول اإللكت -د .تبادل املعلومات اخلاصة بسجالت الدخول اإللكترونية -ه

املعدات٦ت مثل اهلاتف، والطابعات، هذا البند االستخدامات املقبولة واملمنوعة للمعدات يف الدائرة، مثل احلواسيب الشخصية للمستخدمني، وأجهزة االتصااليوضح

.وأجهزة التكييف، واملولدات الكهربائية

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٢٥صفحة األردنية احلكومية الدوائر الستخدام

املمارسات املقبولة١-٦

.للدائرة مبا يتوافق مع سياسة ضبط التغيريتنصيب وحتديث وضبط إعدادات واستخدام املعدات املرخصة اليت تعود ملكيتها -أ .دة يف الدائرة بالتوافق مع سياسة ضبط التغيرية، حسب عملية ضبط التغيري املعتمني بذلك عند احلاجخولإصالح هذه املعدات عن طريق املختصني امل -ب .حفظ ونقل واستقبال وعرض ومعاجلة أي حمتوى رمسي باستخدام هذه املعدات حسب الصالحيات املمنوحة للمستخدم - ج

املمارسات املمنوعة٢-٦

.علق هبا أو إحداث قصور فيها بشكل مباشر أو غري مباشر األجهزة أو أية برجميات تتختريبالقيام بأي عمل من شأنه -أ .هابذلك حسب عملية ضبط التغيري املعتمدة فييف الدائرة اإلدارة العلياتركيب أو إزالة شيء من املعدات بدون تصريح مكتوب وموافق عليه من -ب .استغالل أي من هذه املعدات للمنفعة الشخصية - ج

الدعم الفين٧

للدعم الفين يف الدائرة، مبا يتضمنه ذلك من تنصيب للربجميات واملعدات، وإعدادها وحتديثها، إضافة إىل كشف األعطال الفضلىملمارسات هذا البند ايوضح .وإصالحها

املمارسات املقبولة١-٧

.ية ضبط التغيريحسب عمل وحتديث وكشف األعطال وإصالحها ألي جهاز أو برجمية وإعدادإن فريق الدعم الفين مسؤول عن تنصيب -أ املمارسات املمنوعة٢-٧

.ني بذلكخول األشخاص غري املتخصصني وغري املمن قبلأي من املعدات أو حماولة تغيري إصالح -أ ملحوظات هامة ٨

:إن حتديد االستعمال الشخصي الذي له سبب مقبول متروك للدائرة شريطة أن تأخذ بعني االعتبار النقاط التالية . املعلوماتيةمواردللاألداء العام -أ . املعمول هبا يف الدولةواألنظمة والتعليماتالقوانني -ب .طبيعة وبيئة العمل - ج .الوصف الوظيفي للمستخدمني -د .السياسات الوطنية ألمن ومحاية املعلومات األخرى -ه

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٢٦صفحة األردنية احلكومية الدوائر الستخدام

سياسة ضبط التغيري: الثالثةالسياسة اهلدف: أوال

.ند القيام بأي تغيري قد يؤثر عليهاضمان أمن ومحاية املوارد املعلوماتية ع

اجملال: ثانياتغطي هذه السياسة أي تغيري قد يؤثر على إعدادات أو تنصيب أو إزالة أو إتالف أي من املوارد املعلوماتية اململوكة للدائرة، مثل امللفات والربجميات واألجهزة

ومراجعتها واملوافقة عليها ) مثل مدير النظام(لك األشخاص املسؤولني عن تقدمي طلبات التغيري ، كما تغطي كذ واملعدات والشبكات ووسائط التخزين والوثائق ).مثل ضابط أمن املعلومات ومدير تكنولوجيا املعلومات، ويف بعض احلاالت اإلدارة العليا(

تفاصيل السياسة: ثالثا قواعد عامة١

تنظيم عملية ضبط التغيري داخل الدائرة بالتوافق مع هذه السياسة، على الدائرة وضع التعليمات واإلجراءات املناسبة ل -أ

.على الدائرة متابعة عمليات ضبط التغيري والتدقيق على مدى تطبيقها بالتوافق مع هذه السياسة -ب .يري املعمول هبا يف الدائرةال يسمح بإجراء أي تغيري يتعلق بأي من املوارد املعلوماتية اململوكة للدائرة بدون املرور يف عملية ضبط التغ - ج :تقسم طلبات التغيري إىل نوعني رئيسيني -د

.وهي اليت حتتاج إىل موافقة مسبقة: تغيريات جمدولة .١

وتتعلق عادة بالتغيريات غري املخطط هلا، وهنا يرجع فيها إىل املسؤول املباشر، ومن مث يتم اإلبالغ عن التغيريات اليت مت : تغيريات طارئة .٢ .ما بعد من أجل توثيقها حسب األصولإجراؤها في

على الدائرة حتديد املسؤولني عن تقدمي طلبات التغيري واجلهة املسؤولة عن مراجعته واملوافقة عليه، وتوثيق طلبات التغيري، واإلجراءات اليت تبعت هذه -ه . الطلبات بعد القبول أو الرفض

واجبات مدير النظام٢ .وافقة عليها من قبل ضابط أمن املعلومات والشخص املسؤول عن املوافقة يف الدائرةتقدمي طلبات التغيري من أجل امل -أ

.التنسيق مع ضابط أمن املعلومات من أجل مراجعة طلبات التغيري املقدمة وإرفاق التوصيات اخلاصة بأمن املعلومات هبذه الطلبات -ب .أو اإليعاز بإجرائها ملن يلزم يف الدائرة، اإلدارة العلياإجراء التغيري املطلوب بعد موافقة - ج

واجبات املستخدم٣

.عدم إجراء أي تغيري على أي من املوارد املعلوماتية اململوكة للدائرة -أ .إبالغ مدير النظام عند احلاجة إلجراء أي عملية تغيري تتعلق بعمل املستخدم والقيام مبسؤولياته يف الدائرة -ب

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٢٧صفحة األردنية احلكومية الدوائر الستخدام

ص بأمن املعلوماتميثاق السلوك اخلا: الرابعةالسياسة اهلدف: أوال

ومجيع املوارد إجياد بيئة عمل مهنية آمنة يتعامل فيها موظفو احلكومة مبستوى عال من األخالق واملسؤولية أثناء استخدامهم املعلوماتتعزيز السالمة العامة و .الصحيحة حلمايتهاالطرق ممارسة املعلوماتية

اجملال: ثانيا . إضافة إىل منتسيب هذه الدوائر واملتعاملني معها،الدائرةلى مجيع العاملني يف تنطبق هذه السياسة ع

تفاصيل السياسة : ثالثا مقدمة١

ميثاق السلوك اخلاص بأمن املعلومات هو جمموعة من القواعد واألحكام اليت حتدد وترسم مسؤوليات املمارسات الصحيحة للفرد أو الدائرة، واليت جيب تطبيقها . ة املعلوماتية يف الدائراملواردجل توفري بيئة عمل آمنة ومستقرة تساعد يف احلفاظ على من أ

قواعد عامة٢ .الدائرةاتباع قوانني الدولة واألنظمة والتعليمات الداخلية يف -أ .علومات السياسات الوطنية ألمن ومحاية املللدائرة اليت تعتمد علىتنفيذ سياسات أمن ومحاية املعلومات التابعة -ب .احلفاظ على مسعتهاعمل يف الدائرة واحلكومية يف مصلحة استمرارية الاملعلوماتية استخدام املوارد - ج سياسة حساسية وتصنيف لقانون ضمان حق احلصول على املعلومات وبالتوافق مع التعامل بشفافية، وعدم حجب املعلومات عن اآلخرين، تبعا -د

. املعلومات) كاألسهم(، مثل األنشطة التجارية ة الشخصيةمصلحلخلدمة أي مصلحة خارجية، أو لومواردها يف استخدام املعلومات هدالوقت واجلعدم إهدار -ه

.، وذلك بالتوافق مع سياسة االستعمال املقبولواألنشطة السياسية .سجالهتمني بتبادل املعلومات اخلاصة بخمولواملوظفون غري سجالت الدخول اإللكتروين ذات خصوصية وسرية، - و : وهياليت أوصى هبا معهد أخالقيات احلاسوب" الوصايا العشر يف أخالقيات احلاسوب" على مجيع املوظفني تطبيق - ز

.عدم استخدام احلاسوب إليذاء اآلخرين .١ .عدم التدخل يف عمل اآلخرين على احلاسوب .٢ .عدم التطفل على ملفات احلاسوب لآلخرين .٣ .عدم استخدام احلاسوب يف السرقة .٤ .دم استخدام احلاسوب لإلدالء بشهادة الزورع .٥ .مل تكن مدفوعة السعر عدم نسخ أو استعمال برجمية حمفوظة امللكية ما .٦ .عدم استخدام مصادر احلاسوب لآلخرين بدون تصريح أو تفويض صحيح .٧ .عدم االستيالء على النتاجات الفكرية لآلخرين .٨ .تصميمهيراد ه للنظام الذي تباكتتم تالتفكري يف التداعيات االجتماعية للربنامج الذي .٩ .آلخريناستخدام احلاسوب بالوسائل اليت تضمن االحترام ل .١٠

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٢٨صفحة األردنية احلكومية الدوائر الستخدام

التوظيف والتنقالت٣ التوظيف١-٣ قبل التوظيف) أ

".املهامالفصل بني " مبدأ بشكل حيقق املناطة حتديد ووضع قائمة باملهام واملسؤوليات الدائرةعلى .١ بعد التوظيف) ب

االمتيازات الالزمة إلمتام أعماهلم حسب الوصف الوظيفي لكل منهم، الصالحيات و مجيع املوظفني الذين مت تعيينهم احلد األدىن من جيب إعطاء .١ ."املعرفة على قدر احلاجة " اعتمادا على مبدأ

يت يتم مراجعتها وإقرارها بشكل قانوين بني املوظفني عند البدء مبمارسة أعماهلم، وال" املعلوماتاإلفصاح عنعدم "على املوظفني اجلدد توقيع اتفاقية .٢ .الدائرةاجلدد وبني

التنقالت ٢-٣ .اإلدارة العليا يف الدائرة بذلكمكتوب من مسبق ونقل املوظفني من وظيفة إىل أخرى بدون قرار عدم جيب .١اإلدارة العليا يف من ومكتوبة حسب الالزم، ومبوجب موافقة مسبقة مجيع املهام والصالحيات املسندة للموظفني املنتقلني لكل منهم جيب أن يتم تغيري .٢

الدائرة

إهناء اخلدمات ٤جيب تغيري سجل الدخول اإللكتروين وإلغاء أية صالحيات أخرى للموظف الذي أهنيت خدماته، بعد التأكد من تسليم مجيع املعلومات اخلاصة -أ

. عنه يف عملهبالعمل إىل الشخص املسؤول عنه أو الذي سوف ينوب

جيب على املوظف الذي أهنيت خدماته تسليم كل ما حبوزته من املفاتيح، واألدوات، واملعدات، وبطاقات املرور اليت هي ملك للدائرة اليت يعمل -ب .فيها

واء أكانت إلكترونية أو غري سختزين ط على أية وسائاهي ملك هلسرية بأنه ال حيتفظ بأية معلومات الدائرةإقرار مع أو توقيع تعهدعلى املوظف - ج .بعد إهناء اخلدمةاإلفصاح عنها بشكل غري مرخص يتحمل املسؤولية يف حالة إلكترونية، وأنه

.ال يسمح للموظف الذي أهنيت خدمته باستخدام األجهزة والوصول إىل املعلومات اململوكة للدائرة -د الستخدامه يف حال استدعت احلاجة، وحتويل مجيع لفترة مناسبةملنهي عقده جيب حفظ نسخة من صندوق الربيد اإللكتروين اخلاص باملوظف ا -ه

. إىل بريده اإللكتروين إىل املوظف الذي سينوب عنهةوجهاملالرسائل

السالمة واألمان. ٥ .على مجيع املوظفني محاية املعلومات واألجهزة واحملافظة عليها من التلف أو التخريب أو الضياع -أ

اخلصوصية. ٦ .اإلفصاح عنها بشكل غري مرخصعلومات املوظفني الشخصية ذات خصوصية وجيب محايتها من م -أ . والدخول إليها ما دام يف نطاق مهامهم هلم باستخدامهاخولاملعلومات املللموظفني احلق يف استخدام موارد -ب .اآلخرينعلى املوظفني عدم انتهاك خصوصية معلومات أي من املوظفني - ج

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٢٩صفحة األردنية احلكومية الدوائر الستخدام

واملتابعةوالتدقيق ارير قواعد التق. ٧ .جيب على املوظفني اتباع التسلسل اإلداري عند رفع التقارير -أ .على املسؤولني تطبيق التعليمات ضد أي خروقات من املوظفني ضمن القوانني واألنظمة والتعليمات والسياسات يف دوائرهم -ب .اإلدارة العليا يف الدائرةيق بدون تصريح مسبق ومكتوب من أو القيام بتدقيق أو حتق" املدقق" ليس ألي موظف احلق يف ممارسة دور - ج . الدائرة، بالتوافق مع سياسة التدقيق اخلاص بأمن املعلوماتعنعلى املوظفني االلتزام بتعليمات التدقيق الصادرة -د

التعامل مع املعلومات٨

سياسة حساسية وتصنيف مع بالتوافقصنيف هذه املعلومات، إتالفها بشكل موثوق به حسب تالتعامل مع املعلومات وحفظها وعلى املوظفني -أ .املعلومات

.بدون تصريح مسبق من مسؤول املعلوماتاإلفصاح عنها ال يسمح للموظفني بالتصريح عن املعلومات السرية أو -ب ".املكتب النظيف" على املوظفني تطبيق مبدأ - ج من إىل املعلومات السرية سواء بشكل مباشر أو غري مباشر بدون احلصول على الصالحيات املناسبة لذلكال يسمح للموظفني مبحاولة الدخول -د

.مسؤول املعلومات . بقدر االستطاعةعلى املوظفني محاية املعلومات اليت تقع ضمن اختصاصهم -ه .ي ملك للدائرة احلكوميةمجيع املعلومات احملفوظة أو املطبوعة أو املنقولة على أجهزة الدائرة أو وسائطها ه - و

موارد املعلومات٩

.مفتوحة أثناء عدم تواجدهم عندها) الثابتة أو املتنقلة(على مجيع املوظفني عدم ترك أجهزة احلاسوب -أ . بذلكاإلدارة العليا يف الدائرة معلومات حكومي بدون تصريح مسبق من موردال يسمح للموظفني بالدخول إىل أي -ب رفع تقرير أن يتم جيب والتشريعات األردنية فإنه أو القوانني ألمن ومحاية املعلومات أو السياسات الوطنية ةع سياسات الدائرأي خرق أو تعارض م - ج

.الدائرةإىل اإلدارة العليا حسب تعليمات فيه .دالء بأية معلوماتعند استعمال اهلاتف أو الربيد اإللكتروين، فعلى املوظفني التأكد من هوية املتحدث أو املصدر قبل اإل -د

ميثاق السلوك لضباط أمن املعلومات١٠ :أدناهعلى ضباط أمن املعلومات العمل مبيثاق األخالقيات األمنية يف أعماهلم، واملوضحة

.العقالنية والسلوك السديدقية وستويات األخالاملأن يتحلى الضابط بأعلى -أ .وظيفتهو غري أخالقي ميكن أن يؤثر سلبا على مسعته املهنية أو مسعة عضوا يف أي عمل غري قانوين أيكون مرتبطا أو أال -ب خبصوص تلك ختصصه واليت يعتقد أهنا غري قانونية وأن يتعاون يف حال أدى ذلك إىل إجراء حتقيقاألعمال الواقعة ضمنرفع التقارير خبصوص - ج

. األعمالاملعلومات عرب القطاعات العامة واخلاصة ومحاية إجراءات أمن ملعلومات وتفعيل تساعد يف نشر الوعي اخلاص بأمن ومحاية ادعم اجلهود اليت -د

.واألكادمييةمنع وحل أي خمالفات أو خالفات املساعدة يف ، وعليه بأعلى مستويات اجلودة املمكنةأمن املعلومات للموظفني والعمالءتنفيذ اإلجراءات اخلاصة ب -ه

.بينهمميكن أن تنشأ . مع أعلى مستويات التخصصتتوافقبطريقة املسندة إليه تنفيذ املسؤوليات - و .تقع حتت حوزته، وعليه احملافظة على سريتها وسرية مجيع املعلومات اليت واجباتها أثناء أداء معه يتعاملعدم إساءة استخدام املعلومات اليت - ز

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٣٠صفحة األردنية احلكومية الدوائر الستخدام

سياسة التدقيق اخلاص بأمن املعلومات: اخلامسةالسياسة اهلدف: أوالاحلوادث األمنية، وضمان وجود وفاعلية اإلجراءات املتبعة يف الدوائر وتوافقها إمكانية وقوع ن سالمة وأمن وإتاحية املعلومات ومواردها، والكشف عن التأكد م

ات اليت تساعد على حتديد نقاط ، ودعم اإلجراءالدائرةعلى األنظمة املعمول هبا يف الواقعة مع سياسات أمن ومحاية املعلومات فيها، وتقييم املخاطر اإلمجالية . فيهاالضعف

اجملال: ثانيا، والسياسات ) مثل أنظمة احلاسبات واالتصاالت( للدوائر احلكومية املدنية املعلوماتية والسجالت وموارد املعلومات اململوكة املواردتغطي هذه السياسة مجيع

. هذه الدوائر بأية وثائق أخرى داخلية أو خارجية، واملعمول هبا يف ترتبطوأية أعمالواإلجراءات والتعليمات والسلطات واملسؤوليات

تفاصيل السياسة: ثالثا الصالحيات١

:التدقيق نوعان -أ .تقوم به الدائرة لتدقيق املوارد املعلوماتية فيها واإلجراءات املعمول هبا داخل الدائرة، ويقر الصالحية فيه مدير الدائرة: داخلي .١ . مركز تكنولوجيا املعلومات الوطين على أي من الدوائر األخرىوم بهيق: خارجي .٢

ميكن للدائرة أن تقوم بعملية تدقيق داخلي باالستعانة بفريق تدقيق من القطاع اخلاص، ويقر الصالحية فيه مدير الدائرة، بعد توقيع اتفاقية واضحة -ب .ق، بعد موافقة مركز تكنولوجيا املعلومات الوطين بالتوافق مع سياسة التعاقد اخلارجيحتدد االمتيازات والصالحيات الالزمة إلجراء عملية التدقي

.يف دائرته الداخليصاحب الصالحية يف ترخيص وإقرار التدقيقمدير الدائرة هو - ج .لفريق التدقيق استقاللية مهنية عن اجلهة اليت يقوم بالتدقيق عليها وأال يكون عامال فيها -د

.استقاللية مؤسسية عن املنطقة أو النشاط الذي يتم إجراء عملية التدقيق لهلفريق التدقيق -ه .العالقات بني اجلهات العليا وفريق التدقيق واجلهة القائمة على مراجعة التدقيقشكل وطبيعة جيب حتديد - و

.دائرة المدير بدون احلصول على تصريح مسبق من داخليال جيوز ألي من املوظفني إجراء أي عملية تدقيق - ز .على مجيع املوظفني التعاون مع املدققني أثناء عملية التدقيق، وتسهيل عملهم، وعدم وضع العوائق اليت حتول دون قيامهم بواجبهم الرمسي - ح :جيب منح الصالحيات املناسبة والكافية لطاقم تدقيق أمن املعلومات من أجل إجراء عملية التدقيق بفاعلية، على سبيل املثال -ط

.إىل أي من احلواسيب أو أجهزة االتصاالت مبستوى مستخدم عادي أو مدير النظامالوصول .١، مبا خيدم الدائرةالوصول إىل املعلومات جبميع أشكاهلا اإللكترونية وغري اإللكترونية اليت يتم إنشاؤها وحفظها ونقلها عرب شبكات احلاسوب يف .٢

.عملية التدقيق .املخترباتومكاتب املوظفني و واخلوادممراكز البيانات و األرشيف مثلمرافق الدائرة املختلفة،الوصول إىل .٣ .يةشبكات املعلوماتالمراقبة وتسجيل حركة البيانات عرب .٤

فريق التدقيقواجبات ٢

.ختطيط وجدولة عمليات التدقيق -أ : عشر حقال هياثين واليت تشملISO 17799أداء عملية التدقيق باالستناد إىل املعايري واملقاييس العاملية مثل -ب

Risk Management. إدارة املخاطر .١

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٣١صفحة األردنية احلكومية الدوائر الستخدام

Security Policy. سياسات األمن واحلماية .٢ Organization Of Information Security . تنظيم أمن املعلومات .٣ Asset Management. املواردإدارة .٤

Human Resource Security. أمن املوارد البشرية .٥ Physical And Environmental Security. والبيئياملادياألمن .٦ Communication And Operation Management. إدارة العمليات واالتصاالت .٧

Access Control. ضبط التحكم .٨ Information Systems Acquisition, Development And. احلصول على نظم املعلومات وتطويرها وصيانتها .٩

Maintenance Information Security Incident Management. املعلوماتاية ومحأمن اخلاصة بوادث احلإدارة .١٠ Business Continuity Management. استمرارية اخلدمةعمليات إدارة .١١ Compliance. التوافق واملالءمة مع السياسات القائمة .١٢

الوطنية ألمن ومحاية يتوافق مع السياسات مراجعة العمليات والربامج للتأكد من أن موارد املعلومات يف الدائرة يتم استخدامها بشكل صحيح - ج .واألهداف اليت وضعت هذه املوارد من أجلهااملعلومات

املعرفة "، و"الفصل بني الوظائف"تقييم اإلجراءات والتعليمات الداخلية للتأكد من موافقتها للسياسات والتعليمات املتداولة داخل الدائرة، مثل مبدأ -د ".ذرقدر االستطاعة واحلالعمل ب"و " على قدر احلاجة

املعمول السياسات الوطنية ألمن ومحاية املعلومات املعلوماتية مع املوارد أي خلل أو عدم توافق لإلجراءات أو وجودمجع وتقييم األدلة املناسبة لتقرير -ه .هبا داخل الدائرة

. التأكد من ضمان جودة عملية التدقيق والتقارير والوثائق الصادرة عنها - و أو مركز ) يف حالة التدقيق الداخلي(مدير الدائرة بتوصيات فريق التدقيق وإعالم الدائرةم بعملية التدقيق بشكل دوري للتحقق من مدى التزام القيا - ز

.)يف حالة التدقيق اخلارجي(تكنولوجيا املعلومات الوطين التقارير٣

حسب متابعة اإلجراءات الالزمة ملعاجلة أي استثناءات أو أخطاءمن أجل لتدقيق على فريق تدقيق أمن املعلومات إصدار تقرير مفصل جبميع نتائج ا -أ :احلاالت التالية

.إذا كان التدقيق داخليا فإن التقارير ترفع فيه ملدير الدائرة .١ .إذا كان التدقيق خارجيا فإن التقارير ترفع فيه إىل مركز تكنولوجيا املعلومات الوطين .٢

:دقيق على األمور التاليةجيب أن حيتوي تقرير الت -ب عملية الذي أجريت فيه كان املالتدقيق، وعملية ها ت، واملدة اليت استغرقهوجمالاألهداف اإلمجالية لعملية التدقيق مقدمة تشمل حتديد .١

.التدقيق، وطبيعة وحمددات إجراءات التدقيق اليت مت اختبارها أثناء التدقيق .إطار التدقيقوحدود .٢ .تناسب الضوابط اليت مت اختبارها أثناء التدقيقمدى املدقق يف استنتاجات ورأي .٣ .- إن وجدت-ذكر األسباب اليت أدت إىل عدم تنفيذ خطة التدقيق بشكل كامل واحلصول على استنتاجات صحيحة .٤ . النتائج التفصيلية والتوصيات .٥

التوثيق واألدلة٤

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٣٢صفحة األردنية احلكومية الدوائر الستخدام

: التوثيق العناصر التاليةللتدقيق على أن يشمجيب على الدائرة وضع التعليمات اخلاصة بتوثيق عملية ا .التخطيط والتحضري جملال وأهداف التدقيق -أ .الوصف العام والتفصيلي جملال التدقيق -ب .برنامج التدقيق - ج .خطوات التدقيق اليت مت إجنازها -د

.األدلة اليت مت مجعها أثناء التدقيق -ه .آلخريناخلدمات اليت مت االستفادة منها من املدققني واخلرباء ا - و .النتائج واالستنتاجات والتوصيات - ز .نسخة من التقرير الذي مت طبعه من عملية التدقيق - ح

ميثاق السلوك اخلاص بتدقيق أمن املعلومات٥

والذي مت ISACAي على مدققي أمن املعلومات االلتزام مبيثاق السلوك األخالقي اخلاص بأمن املعلومات الذي أقره احتاد إدارة وتدقيق نظم املعلومات العامل :تلخيصه يف النقاط الثمانية التالية

.الدوائر على القيام بذلكنظم املعلومات، وتشجيع من ومحاية ألاملناسبة واإلجراءات التوجيهاتودعم تطبيق السياسات واملعايري -أ بأفضل املمارسات دون العمل ، ودعم املتبعةيري املهنيةعااعتمادا على امل، فائقة بقدر االستطاعة بشكل هادف وبعناية الواجبات املوكولة للمدققأداء -ب

.حتيز أو حماباة

. التدقيق بشكل قانوين يعكس صورة مهنية عالية ملهنةةتسهيل إجناز مصاحل املتعاملني مع الدائر - ج وجيوز اإلفصاح عنها عند . مصلحة الشخصيةالتعهد باحملافظة على سرية وخصوصية املعلومات اليت مت مجعها أثناء عملية التدقيق، وعدم استخدامها لل -د

. ة بذلكخولواجلهات املاحلاجة للسلطات

.واليت يستطيع من خالهلا إثبات كفاءتهبشكل كاف اليت يكون املدقق فيها مؤهال مهنيا اجملاالتال جيب الشروع بالتدقيق سوى يف -ه

.ة بذلكخولاملإىل اجلهات ورفعها هلامة اليت مت التوصل إليها احلقائق ااستخالص وا بأكملهية التدقيقتقدمي نتائج دقيقة لعمل - و . مساعدة املتعاملني مع الدوائر يف تطوير فهمهم ألمن وإدارة نظم املعلوماتاجلهود التوعوية اليت هتدف إىل دعم - ز . مع إمكانية إيقاع عقوبات رادعة وصارمة حبقه ميكن أن يؤدي إىل الشروع يف حتقيقإن إخفاق املدقق يف العمل هبذا امليثاق يف أخالقيات املهنة - ح

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٣٣صفحة األردنية احلكومية الدوائر الستخدام

سياسة األمن املادي: السادسةالسياسة اهلدف: أوال

. وتقليل أثر املخاطر والتهديدات البشرية والبيئية اليت تؤثر على سالمتها وسريتهاالدائرة املعلوماتية املادية يف املواردضمان أمن وسالمة

اجملال: ثانيا .املتعاملني معهاالعاملني فيها و املعلوماتية املادية اململوكة للدائرة واألشخاص املواردتغطي هذه السياسة

تفاصيل السياسة: ثالثا قواعد عامة١

:يتم تقسيم الدائرة من الناحية األمنية إىل ثالث مناطق -أ .دائرةوهي املناطق اليت يسمح ألي شخص بالتواجد فيها داخل ال: مناطق عامة .١ ).أو بطاقة(وهي املناطق اخلاصة مبوظفي الدائرة، وال يسمح ألي زائر خارجي دخوهلا بدون صالحية : مناطق حمدودة .٢، إال بصالحية أو موافقة مسبقة والعاملني فيهاوهي املناطق اليت ال يسمح فيها ألي شخص بالتواجد فيها، حىت من املوظفني: مناطق آمنة .٣

. يف الدائرةلعليااإلدارة اومكتوبة من . الوطنية ألمن ومحاية املعلوماتاتحتمل مسؤولية االلتزام بالسياسواملتعاملني فيها الدائرة يفعلى مجيع العاملني -ب . داخل املناطق اآلمنةال يسمح بالتدخني أو األكل أو الشرب - ج الدائرة وسياسة االستعمال املقبول، وسياسة التغيري، وسياسة جبميع أنواعها إال بالتوافق مع تعليمات صيانة األجهزةونقل ال يسمح بتركيب و -د

.احلاسوب املكتيب واجبات الدائرة٢

.والصالحيات املمنوحة لألشخاص املسموح هلم بدخوهلا اآلمنة،املناطق وضع التعليمات اخلاصة بتحديد -أ املعلوماتية داخلها، وكيفية مراقبة سلوك املوارد مرافق الدائرة أو وضع التعليمات اخلاصة بالزوار، والصالحيات املمنوحة لكل منهم يف الوصول إىل -ب

.الزوار واإلشراف على حتركاهتم داخل الدائرة .سياسة أمن الشبكات بالتوافق مع للخوادم وتوفري مصادر طاقة احتياطية مصادر الطاقةوضع التعليمات اخلاصة حبماية - ج . وخاصة يف املناطق اآلمنة–ل من الشبكات املعلوماتية واالتصاالت والتهوية واملياه والكهرباء لك- أمن التمديداتوضع التعليمات اخلاصة ب -د فصل التمديدات جبميع أنواعها عن بعضها بقدر االستطاعة، ملنع التأثريات السلبية لكل منها على اآلخر، مع احلرص على عدم مرورها يف املناطق -ه

.العامة أو املكشوفة

. اخلاصة بإطفاء احلرائقوابط الدخولضتوفري واختبار - و

.إبعاد املواد القابلة لالشتعال أو االنفجار عن املناطق اآلمنة بقدر االستطاعة - ز

املعلوماتية املوارداستخدام وتوظيف ضوابط األمن واحلماية املناسبة للتأكد من خلو الداخلني إىل الدائرة من أية هتديدات تؤثر على أمنها وسالمة - ح .مثل توظيف حراس األمن، وأجهزة كشف املعادن، وكامريات املراقبة، وأجهزة اإلنذارداخلها،

لبيان الطريقة الصحيحة واآلمنة يف العمل، مع عدم استخدام أي إشارات أو الفتات تدل على األماكن اإلرشادية والتحذيريةاستخدام اإلشارات -ط .احلساسة مثل مراكز البيانات، وغرف املراقبة

. يف أماكن آمنة تكون يف متناول اليد عند احلاجة حسب اآلليات اليت حتددها الدائرةظ بالوسائط واملعدات االحتياطيةاالحتفا - ي

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٣٤صفحة األردنية احلكومية الدوائر الستخدام

ني باالحتفاظ باملفاتيح اخلاصة باألقسام واألبواب خولوضع التعليمات اخلاصة بالدخول إىل األقسام املختلفة يف الدائرة، وحتديد األشخاص امل -ك .ألقسام احلساسة بضوابط دخول مناسبة، مثل بطاقات املرورالغرف، ومتييز او

.توظيف وسائل احلماية املناسبة لكل من النوافذ واألبواب واألقسام، مثل شبك احلماية على النوافذ، واألقفال على أبواب األقسام -ل .اتية احلساسة املعلوماملوارد واملضادة للحريق حلماية القابلة للقفلوالغرف القاصات واخلزائن توفري - م .ها املعلوماتية ميا يتناسب وأمهيتهامواردتوظيف مبدأ احلماية الطبقية يف محاية الدائرة و -ن

واجبات ضابط أمن املعلومات٣ .القيام بعملية التوعية اخلاصة باألمن املادي داخل الدائرة -أ

هيكلة إجراءات أمن ومحاية املعلومات املطبقة يف الدائرة، ورفع التوصيات يف تطوير وتقييم وإعادة) وخارجها(التنسيق مع اجلهات املعنية يف الدائرة -ب .اإلدارة العليا يف الدائرةاخلاصة بذلك إىل

ومركز متابعة البالغات والتقارير اخلاصة بوقوع أية خماطر أو هتديدات تتعلق بأمن املعلومات ومواردها، والتنسيق مع اجلهات املعنية داخل الدائرة - ج .من ومحاية املعلوماتالوطنية ألسياسات اليف التعامل معها بطريقة تتوافق مع جيا املعلومات الوطين تكنولو

التدقيق على مدى توافق الضوابط واإلجراءات اخلاصة باألمن املادي يف الدائرة مع السياسات الوطنية ألمن ومحاية املعلومات وخاصة سياسة األمن -د . يف الدائرةلإلدارة العلياة املادي، ورفع التقارير الدوري

.اإلشراف والتدقيق على تطبيق التعليمات اخلاصة باألمن املادي داخل الدائرة -ه

واجبات املستخدم٤ .ف وتأمينه عند املغادرة من خالل التأكد من إغالق النوافذ واخلزائن مثالتطبيق مبدأ املكتب النظي -أ .داخل املناطق اآلمنةم املواد القابلة لالشتعال أو االنفجار واستخدا االبتعاد عن التدخني واألكل والشرب -ب

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٣٥صفحة األردنية احلكومية الدوائر الستخدام

سياسة أمن املوظفني: السابعةالسياسة اهلدف: أوال

. املعلوماتيةاملوارد عند التعامل مع – مثل اإلتالف والتدمري –منع و تقليل املخاطر الناجتة عن اخلطأ البشري وسوء االستعمال

الاجمل: ثانيا . العاملني يف الدائرة بسبب اتفاقية التعاقد اخلارجيوتغطي هذه السياسة مجيع املوظفني والعاملني يف الدائرة بشكل دائم أو مؤقت، واملوظفني

تفاصيل السياسة: ثالثا قواعد عامة١

وظفني، واليت هي من مهام قسم املوارد البشرية بالتنسيق مع هذه السياسة معنية باجلوانب اخلاصة بأمن املعلومات عند تعيني وتقييم وإهناء عقود امل -أ .ضابط أمن املعلومات يف الدائرة

من ومحاية املعلومات عامة، وميثاق السلوك اخلاص بأمن املعلومات وسياسة االستعمال املقبول الوطنية ألسياسات العلى مجيع املوظفني االلتزام ب -ب .وسياسة كلمات املرور بشكل خاص

يع املوظفني االلتزام بالتعليمات اخلاصة بالتعامل مع الزوار، مثل عدم تركهم لوحدهم، وعدم القدوم إال مبوعد، والتحقق من هوياهتم بشكل على مج - ج . بالتوافق مع سياسة األمن املاديآمن وصحيح

)قسم املوارد البشرية( واجبات الدائرة ٢

.ألشخاص الذين يراد تعيينهم يف الدائرة والتأكد من مؤهالت كل منهم بقدر االستطاعةاستخدام املوارد املشروعة واملتاحة للتحقق من ا -أ

، وحتديد الواجبات اليت جيب "املعرفة على قدر احلاجة"ومبدأ " الفصل بني الوظائف" آخذين بعني االعتبار مبدأ وضع وحتديد املهام املناطة باملوظفني -ب . املعلومات، وذلك بالتنسيق مع ضابط أمن املعلومات يف الدائرةعلى املوظف أداؤها واملتعلقة بأمن ومحاية

.إصدار بطاقات التعريف واملرور اخلاصة بالعاملني يف الدائرة، مبينا عليها االسم والصورة والوظيفة - ج .للموظفني اجلدد من أجل قراءهتا والتوقيع عليها" املعلوماتاإلفصاح عنعدم "جتهيز تعهد -د .تعلقة بسياسات أمن ومحاية املعلومات والتعليمات اخلاصة هبا للموظفني، ووضع منوذج تعهد من املوظفني بااللتزام هباتوفري الوثائق امل -ه

وضع اإلجراءات اإلدارية املناسبة لبيان اآلثار املترتبة على خمالفة كل من سياسات أمن ومحاية املعلومات والتعليمات املعمول هبا ألمن ومحاية - و . الدائرةاملعلومات يف

.األشخاص يف الدائرةومحاية تطوير وتنفيذ ومراقبة برامج أمن - ز

واجبات ضابط أمن املعلومات٣ املعلوماتية واستعماهلا لكل وصف وظيفي على حدة اعتمادا على املهام واملسؤوليات املواردالتوصية مبنح وحجب الصالحيات املناسبة للوصول إىل -أ

.املوكولة إىل املوظف

. املوظفني يف مدى تطبيقهم لسياسات أمن ومحاية املعلومات والتعليمات اخلاصة هبا يف الدائرةتقييم -ب

.يف الدائرةوالعاملني اخلاصة بأمن املوظفني ضوابط الدخولتصميم وتطوير ووضع التوصيات اخلاصة ب - ج

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٣٦صفحة األردنية احلكومية الدوائر الستخدام

واجبات املوظف٤ .تعينيعند ال" بشكل غري مرخص املعلوماتاإلفصاح عن عدم "توقيع تعهد -أ

توقيع تعهد بأن املوظف قد قرأ وفهم سياسات أمن ومحاية املعلومات املتبعة يف الدائرة وأنه سيلتزم هبا، وأنه يعي متاما اآلثار املترتبة على خمالفة وانتهاك -ب .سياسات أمن ومحاية املعلومات

.ائرة املعلوماتية يف الداملواردعدم ختطي الصالحيات املمنوحة له يف التعامل مع - ج . املعلوماتية يف الدائرة ملنفعة أي جهة خارجية لغري غايات العمل الرمسياملواردعدم استغالل -د أو جهة ما من أجل املنفعة الشخصية أو حماولة التسبب بإيذاء – عن طريق استعمال بطاقات مرورهم مثال –عدم انتحال هويات املوظفني اآلخرين -ه

.أخرى بشكل غري قانوينمنفعة جهة أو أية هتديدات أو خماطر حمتملة، بقدر االستطاعة واحلذر، وبالتوافق مع سياسة املعلوماتية يف الدائرة من سوء االستعمالاملوارداحملافظة على - و

.االستعمال املقبول

. بهاملناطةتعليق بطاقة التعريف اليت تعرب عن هويته والصالحيات - ز

للجهة املسؤولة ) أو مغادرته يف إجازة(اتيح وكلمات مرور وأجهزة ووثائق عند إهناء وظيفته أو سفره تسليم كل ما حبوزته من بطاقات مرور ومف - ح .عن ذلك يف الدائرة

املعلوماتية اململوكة للدائرة وأنه يتحمل املسؤولية يف حال ثبوت غري املوارد من بأي حيتفظ بأنه ال - عند إهناء عقده -التوقيع على تعهد للدائرة -ط .ذلك

.عدم التعريف عن الوصف الوظيفي ألي جهة خارج الدائرة لغري ضرورة - ي

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٣٧صفحة األردنية احلكومية الدوائر الستخدام

سياسة احلاسوب املكتيب: الثامنةالسياسة اهلدف: أوال

.ة للتعامل معه بشكل آمنضمان أمن ومحاية احلاسوب املكتيب واملعلومات اليت يتم التعامل معها أو ختزينها أو معاجلتها من خالله، وتوضيح الطريقة الصحيح

اجملال: ثانيا .تغطي هذه السياسة مجيع أجهزة احلاسوب املكتبية داخل الدائرة، ومجيع املستخدمني الذين يسمح هلم باستعماهلا أو الوصول إليها

تفاصيل السياسة: ثالثا واجبات الدائرة١

بية اململوكة للدائرة، وشرائها وإصالحها ونقلها وإتالفها، بالتوافق مع السياسات الوطنية وضع التعليمات املناسبة يف التعامل مع أجهزة احلاسوب املكت -أ .ألمن ومحاية املعلومات عامة وسياسة حساسية وتصنيف املعلومات خاصة

بكل مستخدم على حدة حسب طةاوضع التعليمات واآلليات اليت يتم هبا توزيع أجهزة احلاسوب املكتبية على املستخدمني، وحتديد الصالحيات املن -ب .احلالة الوظيفية والوصف الوظيفي ووفق ما تقتضيه طبيعة العمل

مثل تشفري امللفات املخزنة - وضع التعليمات اخلاصة بتحديد وسائط التخزين اليت يسمح باستخدامها، ووضع الضوابط والشروط اليت حتدد استعماهلا - ج .- مثالفيها

أو بالشبكة املعلوماتية للدائرة بنوعيها -) فاي-واي(مثل البلوتوث والـ -جهزة احلاسوب املكتبية بأية معدات وضع التعليمات اخلاصة بربط أ -د . بالتوافق مع سياسة أمن الشبكاتالسلكية والالسلكية

جي مع أي مزود خارجي له أجهزة التدقيق على مجيع أجهزة احلاسوب املكتبية املوجودة فيها، مبا فيها األجهزة املشمولة باتفاقية التعاقد اخلار -ه . بالتوافق مع سياسة التدقيق اخلاص بأمن املعلوماتحاسوب مكتبية يف الدائرة

واجبات مدير النظام٢ .من ومحاية املعلوماتالوطنية ألسياسات الإعداد أجهزة احلاسوب املكتبية يف الدائرة مبا يتوافق مع -أ نقل أو إحداث تغيري على أي جهاز حاسوب مكتيب، من تنصيب أو حذف أو تغيري ألي من القطع أو بإصالح أو - أو اإليعاز ملن يلزم- القيام -ب

.اإلعدادات اخلاصة به تبعا لسياسة ضبط التغيري وسياسة االستعمال املقبول

التوافق مع سياسة حساسية وتصنيف التعامل مع وسائط التخزين، مثل األقراص الصلبة واملرنة واملضغوطة يف حالة تغيريها أو نقلها أو إتالفها ب - ج .املعلومات

.توزيع أجهزة احلاسوب املكتبية داخل الغرف بشكل حيميها من اختالس النظر بقدر االستطاعة -د

.ربط أجهزة احلاسوب املكتبية بالشبكة املعلوماتية يف الدائرة وعزهلا عنها، اعتمادا على الصالحيات املمنوحة للمستخدمني -ه .ارة سجالت الدخول اإللكترونية لكل جهاز حاسوب مكتيب، سواء أكان متصال بالشبكة املعلوماتية أم الإنشاء وحذف وإد - و

.ني إىل إعدادات البيوسخولوضع كلمة مرور خاصة حلماية أجهزة احلاسوب املكتبية من دخول األشخاص غري امل - ز ، وسياسة مكافحة عامةمن ومحاية املعلوماتالوطنية ألسياسات البالتوافق مع حتديث الربجميات ونظم التشغيل املوجودة على األجهزة بشكل دوري، - ح

. خاصةالفريوسات والربامج اخلبيثة، وسياسة االستعمال املقبول

.تنصيب حافظات شاشة موحدة للحواسيب املكتبية حسب تعليمات الدائرة -ط . األجهزة لفترة معينةمحاية حافظات الشاشة عن طريق استخدام كلمة مرور بعد ترك العمل على - ي

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٣٨صفحة األردنية احلكومية الدوائر الستخدام

. التابع لنظام تشغيل ويندوزNTFSاستخدام نظام ملفات آمن حلماية ملفات املستخدم، مثل نظام امللفات -ك .مراجعة ملفات تسجيل احلركات اخلاصة بأمن املعلومات على األجهزة عند إجراء تدقيق -ل

واجبات املستخدم٣

.افق مع سياسات أمن ومحاية املعلومات وتعليمات الدائرةالتعامل مع أجهزة احلاسوب املكتبية بشكل يتو -أ .املستخدم مسؤول عن حفظ كلمة املرور اخلاصة بالدخول إىل حاسوبه املكتيب بالتوافق مع سياسة كلمات املرور -ب فق مع سياسة االستعمال بالتوااملستخدم مسؤول عن إبالغ الدعم الفين بأي مشكلة تصيب حاسوبه املكتيب، وعليه عدم حماولة إصالحه بنفسه - ج

.املقبول مع الشبكة املعلوماتية للدائرة، أو مع أي من األجهزة -) فاي-واي(مثل البلوتوث والـ -عدم ربط أي جهاز أو وسيط حتزين أو معدات السلكية -د

.دائرة يف الاإلدارة العلياواملعدات األخرى، أو استخدام املودم، بدون احلصول على موافقة مسبقة ومكتوبة من

.عدم إحضار أو ربط أجهزة احلاسوب املكتبية اليت ميلكها املستخدم بالشبكة املعلوماتية اخلاصة بالدائرة -ه

.عدم استخدام وسائط التخزين املتنقلة بدون فحصها بربامج مكافحة الفريوسات - و .الشبكاتأمن توافق مع سياسة مللفات بالا خوادمحفظ املعلومات وامللفات على األجهزة اليت حيددها مدير النظام مثل - ز

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٣٩صفحة األردنية احلكومية الدوائر الستخدام

سياسة األجهزة احملمولة: التاسعةالسياسة اهلدف: أوال

.ضمان أمن ومحاية املعلومات اليت يتم التعامل معها أو ختزينها أو معاجلتها من خالل األجهزة احملمولة أثناء استعماهلا أو إصالحها أو السفر هبا

لاجملا: ثانيا و PDAملوكة للدائرة، مثل أجهزة احلاسوب احملمولة، وأجهزة االتصال النقالة، واألجهزة احملمولة األخرى مثل املمولة احملجهزة األتغطي هذه السياسة مجيع

iPod و MP3 Playerكما تغطي كافة املوظفني والعاملني الذين يستعملوهنا ،.

تفاصيل السياسة: ثالثا قواعد عامة١

الدائرة وضع التعليمات اخلاصة مبنح وحجب الصالحيات اخلاصة بتوزيع األجهزة احملمولة على املستخدمني حسب احلالة الوظيفية والوصف على -أ .الوظيفي ووفقا ملا تقتضيه طبيعة العمل

داخل وخارج الدائرة، وحتديد املعايري اليت حتكم على الدائرة وضع التعليمات واآلليات اخلاصة بإدارة ومراقبة ومحاية األجهزة احملمولة اململوكة هلا -ب .سلوك استخدام أجهزة االتصال النقالة، وحواسيب اجليب داخل الدائرة

.ال يسمح باستخدام األجهزة احملمولة اخلاصة بالدائرة ملنفعة أي جهة أخرى أو لغري العمل الرمسي - ج املعلوماتية للدائرة بدون موافقة مسبقة ومكتوبة من املواردلوماتية للدائرة أو أي من ال يسمح بربط أي جهاز حممول ميلكه املستخدم بالشبكة املع -د

.اإلدارة العليا يف الدائرة

حىت وإن كانت - مثل وثائق العطاءات–على األجهزة احملمولة اليت ينص القانون على عدم إخراجها من الدائرة ال يسمح بتخزين أو إخراج امللفات -ه .مشفرة

.دائرة وضع التعليمات اخلاصة بالتعامل مع األجهزة احملمولة ومحايتها عند إخراجها خارج الدائرةعلى ال - و واجبات مدير النظام٢

سياسات التطبيق معايري أمن وسالمة املعلومات اليت يتم التعامل معها أو ختزينها أو معاجلتها من خالل األجهزة احملمولة اململوكة للدائرة بالتوافق مع -أ من ومحاية املعلومات عامة، وكل من سياسة احلاسب املكتيب، وسياسة االستعمال املقبول، وسياسة مكافحة الفريوسات والربامج اخلبيثة لوطنية ألا

.خاصة

.ونظام التشغيل) البيوس(محاية األجهزة احملمولة بكلمات مرور لكل من -ب

.لة وتغيري إعداداهتامنح وحجب الصالحيات املتعلقة باستخدام األجهزة احملمو - ج

.تشفري امللفات املوجودة على األجهزة احملمولة اململوكة للدائرة بالتوافق مع سياسة حساسية وتصنيف املعلومات -د .إجراء عملية نسخ احتياطي للمعلومات املخزنة على األجهزة احملمولة بشكل دوري -ه

واجبات املستخدم٣دث للجهاز احملمول اململوك للدائرة بشكل غري مرخص ميكن أن حيملعلومات اإلفصاح عن اأو تغيري أو املستخدم مسؤول عن أية أعطال أو ضياع -أ

.سواء عن طريقه أو عن طريق أي شخص آخر استخدمه مبعرفته أو إلمهاله . بقدر االستطاعةمحاية األجهزة احملمولة اململوكة للدائرة واليت له صالحية استخدامها -ب

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٤٠صفحة األردنية احلكومية الدوائر الستخدام

.ألجهزة احملمولة اليت ميلكها املستخدم بالشبكة املعلوماتية اخلاصة بالدائرةعدم إحضار أو ربط ا - ج

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٤١صفحة األردنية احلكومية الدوائر الستخدام

سياسة كلمات املرور: العاشرةالسياسة اهلدف: أوال .ا وتغيريها بشكل دوري املعلوماتية من الدخول غري املشروع إليها عن طريق وضع معايري واضحة إلنشاء كلمات مرور فعالة، ومحايتهاملواردمحاية

اجملال: ثانياتغطي هذه السياسة مجيع املستخدمني الذين هلم سجالت دخول إلكترونية داخل الدائرة، وآلية تصميم ومراقبة واستخدام كلمات املرور اليت تستعمل إلثبات

وب الشخصية واحملمولة واخلادمة، وسجالت الربيد اإللكتروين، وسجالت هوية املستخدم للنظام أو امللف أو اخلدمة اليت يريد الدخول إليها، مثل أجهزة احلاس .الدخول اإللكترونية إىل األجهزة والشبكات، والربامج والنظم اإلدارية واملالية

تفاصيل السياسة: ثالثا قواعد عامة١

تها وتعليقها يف مكان ظاهر، أو إعطائها للغري مشافهة ألي سبب كان و بأي طريقة كانت، مثل كتاباإلفصاح عنها املرور وعدم اتجيب محاية كلم -أ .أو بشكل مكتوب بطريقة إلكترونية أو غري إلكترونية

للتحقيق يف مركز تكنولوجيا املعلومات الوطينغري مرخص، فإنه جيب إبالغ إىل األنظمة بشكل كلمات املرور أو دخول إفصاح لعند حدوث -ب . إىل األنظمةو الدخولاإلفصاح عنها أأسباب وآلية

حد أجيب على الدائرة وضع تعليمات حلفظ نسخة عن كلمات املرور اخلاصة بإدارة األنظمة احملوسبة يف الدائرة يف مغلف خاص مغلق يف خزنة - ج .مسؤويل اإلدارة العليا الستخدامها عند حدوث طارئ بالتوافق مع سياسة النسخ االحتياطي

:كلمة املرورار عند اختيار جيب أخذ األمور التالية بعني االعتب -د .ستخدمت مسبقا من فترة قريبةأال تكون قد ا .١ .أال تكون سهلة التخمني، مثل اسم الشخص، أو تاريخ والدته، أو رقم هاتفه، أو اسم سجل الدخول اإللكتروين للمستخدم .٢ .أال تكون من الكلمات املتداولة يف القواميس أو اللغات املعروفة .٣

.يث تشكل يف جمملها مجلة واحدة كاملة من حروف وأرقام متتابعة ومتسلسلة بشكل منطقي ومعروف للعامةال تكون مبنية حبأ .٤ .أن تكون مركبة من احلروف واألرقام والرموز اخلاصة، وبدون تكرار .٥ .أن تكون طويلة بشكل كاف .٦ .gov, MoJ, Sepأال حتتوي اختصارات معروفة مثل .٧ . تعليمات الدائرةأن يتم تغيريها بشكل دوري حتدده .٨

.عدم استخدامها يف أكثر من نظام .٩ .ادت حساسية كلمة املرور للدائرةدزا السابقة كلما بالتوجيهاتجيب زيادة االلتزام -ه وتستمد حساسيتها من حساسية املعلومات للنظام املرتبط هبا، وذلك ألغراض مشوهلا بسياسات أمن،تعامل كلمات املرور على أهنا معلومات مصنفة - و

.اصة سياسة النسخ االحتياطيوخباملعلومات واجبات مدير النظام٢

طريق إعداد النظام الستخدام وقبول كلمات املرور اليت حتقق الشروط اليت مت عنخولأو غري امل املعلوماتية من الدخول غري املشروع املواردمحاية -أ .ذكرها أعاله يف هذه السياسة، ورفض كلمات املرور الضعيفة

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٤٢صفحة األردنية احلكومية الدوائر الستخدام

.تأكد من تشفري امللفات اليت حتتوي على كلمات املرورال -ب .إعداد النظام لتجميد سجل الدخول اإللكتروين عند استخدام كلمة مرور خاطئة بشكل متتال لعدد معني من املرات - ج ر اليت يستخدمها املستخدم إعطاء كلمات مرور جديدة يف حالة فتح سجل دخول إلكتروين ملستخدم جديد، ويف حالة نسيان أو فقدان كلمة املرو -د

.حاليا، بعد التحقق من هوية املستخدم صاحب سجل الدخول اإللكتروينإىل ضرر بليغ جدا بالدائرة ونظم املعلومات املستخدمة فيها، مثل سجل اإلفصاح عنها بشكل غري مرخص اليت قد يؤدي املميزة محاية كلمات املرور -ه

.مدير النظام واجبات املستخدم٣

ملستخدم مسؤول عن أي عمليات أو مراسالت حتدث عن طريق سجل الدخول اإللكتروين اخلاص به سواء عن طريقه أو عن طريق أي شخص ا -أ .استخدم كلمة املرور اخلاصة هبذا املستخدم

.والضياعاإلفصاح عنها بشكل غري مرخص محاية كلمة املرور من -ب

.، سواء بشكل متعمد أو غري متعمدا بشكل غري مرخصاإلفصاح عنهتغيري كلمة املرور على الفور عند - ج .يف هذه السياسةأعاله املذكورة و اخلاصة بكتابة كلمات املرور التوجيهاتتطبيق -د .عدم كتابة كلمات املرور أمام أي شخص يشاهد عملية اإلدخال على لوحة املفاتيح -ه يكون االتصال هبذه املواقع آمنا بقدر عندماإال اليت ال عالقة هلا بالعمل الرمسي يف مواقع اإلنترنت بالدائرة كلمات املرور اخلاصة استعمالعدم - و

.االستطاعة واحلذر

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٤٣صفحة األردنية احلكومية الدوائر الستخدام

سياسة مكافحة الفريوسات والربامج اخلبيثة: احلادية عشرةالسياسة اهلدف: أوال .بيثةاخلربامج لافريوسات أو ال نامجة عن املعلوماتية من أية هتديدات املواردمحاية

اجملال: ثانيا واليت - طروادة والربامج التجسسية والرسائل املزعجة والقنابل املنطقية وغريهاوأحصنة من فريوسات وديدان -تغطي هذه السياسة مكافحة مجيع الربامج اخلبيثة

.ةعمول هبا يف الدائرميكن أن هتدد أمن وسالمة وإتاحية وخصوصية املعلومات ومواردها وأنظمة املعلومات امل

تفاصيل السياسة: ثالثا قواعد عامة١

، وأجهزة حممولة، خوادم اململوكة للدائرة، من مجيع أجهزة احلاسوب على والربامج اخلبيثةلفريوساتاكافحة موثوقة ومرخصة ملجيب تنصيب برامج -أ . مع متابعة حتديثها بشكل مستمرمكتبية،وأجهزة

االتصال بالدعم الفين على الدعم الفين للدائرة ، فإنه جيب الكشف عنها والتخلص منهالفريوساتاستطيع برامج مكافحة عند ظهور فريوسات ال ت -ب .بذلكمركز تكنولوجيا املعلومات الوطين بأسرع وقت ممكن، مع إبالغ للمؤسسة صاحبة املنتج، وحماولة مكافحة الفريوس بأنفسهم

شبكات احلاسوب للدائرة باستخدام برامج مكافحة الفريوسات، من أجل التأكد من خلوها من الربامج امللفات املنقولة عربScanجيب مسح - ج .اخلبيثة

.لسياسات الوطنية ألمن ومحاية املعلوماتلعلى الدائرة إجراء تقييم بني فترة وأخرى للتأكد من مطابقة برامج مكافحة الفريوسات وإعداداهتا -د .اخلاصة بالتعامل مع الربامج اخلبيثة يف سياسة الربيد اإللكتروينتطبيق الفقرات على الدائرة -ه

واجبات مدير النظام٢

إذا ترتب على أي إجراء يتعلق مبكافحة الربامج اخلبيثة أي تغيري، فإنه البد أن خيضع لعملية ضبط التغيري هبدف احلصول على املوافقة الالزمة من -أ .سياسة ضبط التغيريبالتوافق مع التغيري إلجراء هذااإلدارة العليا يف الدائرة

. مع هذه الربامجةخيص املرفقا تبعا للتر وفقا آلخر حتديث،شكل دوريوملفات التعريف ب والربامج اخلبيثةلفريوساتاحتديث برامج مكافحة -ب ، بالتنسيق فال بد من إجياد حل بديل على الفور - مثل انقطاع االتصال باإلنترنت مثال – عند عدم القدرة على حتديث برامج مكافحة للفريوسات - ج

.مع ضابط أمن املعلومات يف الدائرة

.جيب مراقبة وتوثيق عمليات حتديث ملفات تعريف الفريوسات والربامج اخلبيثة -د ادة للتسلل إىل األنظمة والوسائط، ، واليت تستخدمها الربامج اخلبيثة عاخلوادمإغالق املنافذ وحجب اخلدمات اليت ال حاجة للدائرة هبا واملوجودة على -ه

.بالتوافق مع سياسة أمن الشبكات، يقره مركز تكنولوجيا املعلومات الوطينإجراء مسح كامل لألجهزة واألنظمة بربامج مكافحة الفريوسات بني فترة وأخرى وبطريقة منتظمة حسبما - و

.ق بالربامج اخلبيثة املعلوماتية احملوسبة من أية هتديدات تتعلاملواردللتأكد من خلو . من خلوها من هذه الربامج اخلبيثة-وبشكل موثق–عزل األجهزة املصابة بالربامج اخلبيثة عن الشبكة حلني التأكد - ز والتأكد من خلو - إذا تعذر العالج بربامج مكافحة الفريوسات–تطبيق سياسة النسخ االحتياطي يف حالة استرداد امللفات اليت مت التخلص منها - ح

.سائط النسخ االحتياطي من الربامج اخلبيثة قبل استخدامهاو

حجب صالحيات إيقاف وإزالة برامج مكافحة الفريوسات عن املستخدمني لضمان استمرارية وجود هذه الربامج وعملها بشكل صحيح وآمن، -ط . وختريبها إىل األنظمةللدخول والربامج اخلبيثة إعطاء فرصة للفريوساتوعدم

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٤٤صفحة األردنية احلكومية الدوائر الستخدام

ملستخدم واجبات ا٣

.واخلاص بالطريقة الصحيحة يف ترتيل وتنصيب الربامج وامللفاتسياسة االستعمال املقبول بالتوافق مع البند اخلاص باإلنترنت يف العمل -أ . من شأنه نشر الفريوسات أو املساعدة على نشرهاعملأي مدير النظام عن تبليغ -ب

.إنه جيب التوقف عن استخدام اجلهاز وتبليغ مدير النظام على الفورعند ظهور حتذير يدل على وجود فريوس أو برنامج خبيث ف - ج فإنه البد من اخلضوع لعملية ضبط التغيري هبدف احلصول على املوافقة الالزمة من مدير النظام إلجراء عدم استخدام برامج غري مرخصة أو جتريبية -د

.ج خبيثة فيها، حتسبا لوجود برامهذا التغيري مبا يتواءم وسياسة ضبط التغيري

، بالتوافق مع البند اخلاص الشك يف حدوث مشكلة تسببت هبا الفريوسات، مثل ضعف أداء اجلهاز، واختفاء وتغيري امللفاتمراجعة الدعم الفين عند -ه .بالدعم الفين يف سياسة االستعمال املقبول

. ةعدم استخدام وسائط التخزين إال بعد التأكد من خلوها من الربامج اخلبيث - و

.عدم إرسال أو استقبال أو ترتيل أو نقل أية ملفات يشك يف أن تكون مصابة بالفريوسات أو الربامج اخلبيثة عرب شبكات احلاسوب للدائرة - ز .حتمل يف طياهتا فريوسات أو برامج خبيثةيشك يف أهنا عدم تشغيل وسائط أو برامج - ح

واجبات ضابط أمن املعلومات٤

.اليت يتم رفعها ضمن عملية ضبط التغرياملتعلقة بربامج مكافحة الفريوسات والربامج اخلبيثة، و مراجعة طلبات التغيري -أ

.مساعدة الدعم الفين للدائرة يف مكافحة الفريوسات والربامج اخلبيثة عند احلاجة -ب ى معلومات وافية عن آلية عمل الفريوسات متابعة مواقع اإلنترنت اخلاصة بالتعريف عن الفريوسات وآليات عملها بشكل دوري من أجل احلصول عل - ج

.والربامج اخلبيثة اجلديدة والتحذير من آليات انتقاهلا، وترتيل األدوات احلديثة اليت مت تطويرها للقضاء عليها، بقدر االستطاعة واحلذر

منها، وبيان الوسائط واألنظمة اليت ميكنها أن تنتقل نشر الوعي بني املستخدمني بكيفية انتشار الفريوسات والربامج اخلبيثة وبيان أخطارها والتحذير -د .عربها بسهولة

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٤٥صفحة األردنية احلكومية الدوائر الستخدام

سياسة الربيد اإللكتروين: عشرةالثانيةالسياسة اهلدف: أوال

. عند اإلرسال واالستقبال واحلفظ واألرشفةاإللكترونيةالربيد رسائل ضمان أمن وسالمة وإتاحية وخصوصية

اجملال: ثانيا وهلم ،ا، واملتعاملني مع هذه األنظمة الذين هلم حق استعماهلالدائرة املعلوماتية املشمولة بأنظمة الربيد اإللكتروين املعمول هبا يف املواردي هذه السياسة مجيع تغط

.عليها بريد إلكتروين سجالت

تفاصيل السياسة: ثالثا قضايا عامة١

:التاليةاحلاالت التدقيق املقنن يف مثل ين أو الدخول إليه إال عن طريق صاحبه، باستثناء ال جيوز التطفل على سجل الربيد اإللكترو -أ .وجود أدلة على استخدام غري صحيح للسجل .١ .احتواء السجل على حمتويات تتعارض مع سياسة االستعمال املقبول .٢

.وجود حكم قضائي .٣ألجهزة والتسهيالت اخلاصة بالدائرة هي ملك للدائرة وليست للمستخدمني، لذا فإن إن كافة املعلومات اليت يتم تبادهلا عرب اإلنترنت من خالل ا -ب

.للدائرة احلق يف تدقيق ومراقبة اجلهة املستقبلة وحمتوى املراسالت كلما دعت احلاجة، وذلك من أجل محاية مصاحل الدائرة

، مبا يتوافق مع سياسة التشفري، والسياسة كز تكنولوجيا املعلومات الوطينمرعلى توظيفه يوافق تشفر رسائل الربيد اإللكتروين باستخدام أي برنامج - ج .الوطنية حلساسية وتصنيف املعلومات

. ال يسمح باستخدام إعادة اإلرسال بشكل آيل يف احلاالت اليت حتمل فيها الرسالة معلومات مشفرة -د

)مدير النظام( مدير نظام الربيد اإللكتروين واجبات ٢ات وسياسة مكافحة الفريوسوالسياسات الوطنية ألمن ومحاية املعلومات عامة، ، مبا يتوافق الرسائلأمن الربيد اإللكتروين بشكل يضمن محاية نظام -أ

.والربامج اخلبيثة خاصة

.مناسبة إلدارة نظام الربيد اإللكتروين يف الدائرة بشكل آمنعمل تصميم وتطبيق خطة -ب هلذه السجالت اعتمادا على احلالة الوظيفية حتديد الصالحيات اخلاصة باستخدام نظام الربيد اإللكتروينتروين وإنشاء وإلغاء سجالت الربيد اإللك - ج

.والوصف الوظيفي

للملفات والرسائل اليت متت أرشفتها من أجل ضمان وجودها عند حدوث طارئ، مبا يتالءم وسياسة النسخ القيام بعملية النسخ االحتياطي -د .االحتياطي

.ية املستخدمني خبدمات الربيد اإللكتروين التابعة للدائرة واالستخدام الصحيح واآلمن هلاتوع -ه .بني املستخدمنيمنع إرسال الرسائل التسلسلية - و

.عرب الربيد اإللكتروينحجب املرفقات اخلطرة املتداولة - ز

. من املستخدمني اخلاصة بالدائرة يف هناية كل رسالة يتم إرساهلا Disclaimerوضع صيغة التنازل - ح

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٤٦صفحة األردنية احلكومية الدوائر الستخدام

املستخدمواجبات ٣ املقبول عمالسياسة االست يف الربيد اإللكتروينب بالبند اخلاصالعمل -أ

. الدائرةمديرعدم السماح لآلخرين بالدخول إىل سجل الربيد اإللكتروين اخلاص به أو استخدامه بدون موافقة -ب . مع سياسة حساسية وتصنيف املعلوماتيتوافق، مبا )سريتها( تصنيفهادرجة التعامل مع الرسائل وامللفات املنقولة حسب - ج . بدون تشفري"سرية للغاية" أو "سرية"مصنفة على أهنا عدم إرسال معلومات -د ية احملتويات الدعائمثل املعلوماتية املواردو إعادة إرسال أي بريد إلكتروين فيه حمتوى قد يشكل خطرا على األنظمة أوعدم إرسال أو استقبال -ه

.والربامج اخلبيثة

.أو مشبوهة أو جمهولة املصدرعدم الرد على أي رسالة غريبة - و

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٤٧صفحة األردنية احلكومية الدوائر الستخدام

سياسة النسخ االحتياطي: عشرةالثالثةالسياسة اهلدف: أوال

.ة وصحيحةضمان أمن ومحاية املعلومات عن طريق نسخها بشكل آمن مث استرجاعها عند التلف أو احلاجة بطريقة آمن

اجملال: ثانيا مثل الوثائق وامللفات اإللكترونية وغري اإللكترونية، وقواعد البيانات والربيد - املعلوماتية املشمولة بعملية النسخ االحتياطياملواردتغطي هذه السياسة مجيع

.اإللكتروين، والربجميات واألجهزة ووسائط التخزين املستخدمة يف النسخ االحتياطي

تفاصيل السياسة: لثاثا واجبات الدائرة١

.توظيف الربجميات واملعدات املناسبة للنسخ االحتياطي لتعزيز أمن املعلومات املخزنة واسترجاعها عند احلاجة إليها -أ .وضع التعليمات وحتديد اآلليات واإلجراءات املناسبة لعملية النسخ االحتياطي مبا يتفق وهذه السياسة -ب يف النسخ االحتياطية، والفترة الزمنية الالزمة املشمولةعلى الدائرة أخذ التاريخ الزمين العائد للمعلومات ف ،مات النسخ االحتياطيعند إعداد تعلي - ج

.السترجاع املعلومات يف حاالت الفشل واالنقطاع وذلك ضمن إطار سياسة خطة استمرارية العمل) املسموح هبا(

.ين أو مسحها عند إعادة استخدامها، مبا يتالءم وسياسة حساسية وتصنيف املعلوماتوضع آليات آمنة إلتالف وسائط التخز -د .على الدائرة مراعاة سياسة التعاقد اخلارجي عند توكيل جهات خارجية حلماية وسائط النسخ االحتياطي -ه

. احلاجةعندوضع آلية واضحة لتخزين وسائط النسخ االحتياطي يف أماكن خارجية - و النظام واجبات مدير ٢

.منح وحجب الصالحيات الالزمة إلجراء عملية النسخ االحتياطي أو استرجاع املعلومات -أ

.متابعة عملية النسخ االحتياطي وعملية استرجاع املعلومات عند احلاجة للتأكد من أهنا تتم بشكل صحيح وآمن -ب وسياسة حسب سياسة حساسية وتصنيف املعلومات" سرية للغاية"أو " سرية"ة على وسائط النسخ االحتياطي عندما تكون خزنتشفري املعلومات امل - ج

.التشفري

ومحايتها يف مكان آمن حسب ومسها بالتوافق مع ة داخلهاخزنوسم وسائط التخزين والنسخ االحتياطي بدرجة حساسية وتصنيف املعلومات امل -د .سياسة حساسية وتصنيف املعلومات

.ة النسخ االحتياطيتطبيق اجلدولة املتبعة يف الدائرة لعملي -ه .مراعاة موضوع العدد وموضوع التوزيع اجلغرايف احمللي واإلقليمي يف احلفظ املكاين للنسخ االحتياطية اعتمادا على حساسية املعلومات املخزنة - و : حسب التعليمات املعمول هبا يف الدائرة تبني النقاط التاليةاإلدارة العليا يف الدائرةرفع تقارير دورية إىل - ز

.تاريخ النسخة االحتياطية .١

. املعلوماتية اليت مت نسخها احتياطيااملوارد .٢ .أمساء األشخاص الذين هلم حق الوصول إىل املعلومات املخزنة يف وسائط النسخ االحتياطي .٣ .أمساء األشخاص الذين متت هلم عملية استرجاع امللفات .٤ .تواريخ استخدام النسخ االحتياطية .٥ . إىل استخدام النسخ االحتياطيةاألسباب اليت دعت .٦

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٤٨صفحة األردنية احلكومية الدوائر الستخدام

.اجلهات واألماكن اليت يتم حفظ وسائط النسخ االحتياطي فيها .٧ .تاريخ بدء استخدام وسائط النسخ االحتياطي وانتهاء صالحيتها .٨

. وكفاية العمر االفتراضي لوسائط التخزين قبل أخذ النسخ االحتياطي للمعلومات عليهاكفاءةجيب التأكد من - ح ضابط أمن املعلومات واجبات ٣

.التأكد من إجراء االختبار والتقييم املناسبني للتأكد من أمن وسالمة املعلومات املخزنة على وسائط التخزين للنسخ االحتياطية -أ

واجبات املستخدم٤طيا بشكل دوري، ويمنع حفظها على أية واليت يتم نسخها احتياخوادم امللفاتحفظ املعلومات وامللفات على األجهزة اليت حيددها مدير النظام مثل -أ

.وسائط غريها، مثل مواقع اإلنترنت أو وسائط ختزين شخصية

.التعامل مع وسائط التخزين والنسخ االحتياطي اليت قد مت ومسها حسب سياسة حساسية وتصنيف املعلومات -ب ت وامللفات املخزنة على وسائط ختزين خارجية، بعد احلصول على العمل بالتعليمات واإلجراءات املتبعة يف الدائرة عند طلب نسخ عن املعلوما - ج

. بذلكاملوافقة الالزمة من اجلهة املعنية

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٤٩صفحة األردنية احلكومية الدوائر الستخدام

سياسة أمن الشبكات: عشرةالرابعةالسياسة اهلدف: أوال

ضمان أمن ومحاية دد األمور املطلوب توافرها يف هذه املكونات لهتدف هذه السياسة إىل توضيح كيفية التعامل مع عناصر الشبكة املعلوماتية بشكل آمن، وحت . بالدائرةاألنظمة املربوطة على هذه الشبكات، من أجل الوصول إىل شبكة مستقرة وآمنة قادرة على تلبية متطلبات العمل اخلاص

اجملال: ثانيااليت تشكل و والالسلكية، تعلق عملها بالشبكة احمللية والشبكة واسعة النطاق بنوعيها السلكيةالعناصر واملكونات واملوارد املعلوماتية املتغطي هذه السياسة مجيع

.البنية التحتية لالتصاالت، لتوفري تقنيات االتصال املختلفة للمستخدمني

تفاصيل السياسة: ثالثا واجبات الدائرة١

اململوكة للدائرة، وشرائها وإصالحها ونقلها وإتالفها، مبا يتفق مع السياسات اتيةعناصر الشبكة املعلوموضع التعليمات املناسبة يف التعامل مع -أ .خاصةوسياسة االستعمال املقبول الوطنية ألمن ومحاية املعلومات عامة وسياسة حساسية وتصنيف املعلومات

.بكة املعلوماتية للدائرة بنوعيها السلكية والالسلكيةوضع التعليمات والضوابط اخلاصة بربط عناصر الشبكة مثل اخلوادم بأية معدات أو بالش -ب بالتوافق هلا وضع التعليمات واآلليات اخلاصة ببيئة عمل هذه األنظمة، مثل تشغيلها يف أماكن آمنة وبعيدة عن أيدي املستخدمني، وتوفري بيئة مناسبة - ج

.مع سياسة األمن املادي

.شغيل وصيانة وإدامة عمل الشبكات اعتمادا على الوصف الوظيفي لكل منهموضع الصالحيات املناسبة لألشخاص املتخصصني بت -د .بعضبوطريقة ربطها بعضها واضحة ومفهومة للشبكة حتدد عناصرها التوثيق الكامل للشبكات املعلوماتية للدائرة يشمل رسومات -ه اع اإلعدادات السابقة وذلك بالتوافق مع سياسة النسخ ختزين اإلعدادات اخلاصة بأجهزة الشبكة يف مكان آمن، من أجل توفري إمكانية إرج - و

.االحتياطي .نظم التشغيل يف حال توجب ذلك، مثل حدوث اختراق أو خلل يف عناصر احلماية اخلاصة) حتديث وتطوير(ترقية - ز

. بالتوافق مع سياسة كلمات املرورني، وذلكخولتعطى لألشخاص امللشبكة لدخول إىل اوضع كلمات مرور سرية ل - ح مبا فيها األجهزة املشمولة باتفاقية التعاقد اخلارجي مع أي مزود خارجي له أجهزة حاسوب مكتبية العناصر املكونة هلذه األنظمة،التدقيق على مجيع -ط

. وسياسة التعاقد اخلارجيأو أية معدات ملحقة يف الدائرة بالتوافق مع سياسة التدقيق اخلاص بأمن املعلومات

لسرعة الشبكة واسعة النطاق، حبيث يتم ضمان قدرة هذه السرعة على تلبية متطلبات العمل اخلاص هبذه الدائرة سواء أكانت حملية توفري احلد األدىن - ي .أو واسعة النطاق

ق آخر ميكن أن أو أي جهاز أو تطبية توفري األجهزة اليت تدعم محاية الشبكة الداخلية مثل أنظمة كشف ومنع التطفل واالختراق، واجلدران الناري -ك . املخاطر اليت تواجه الشبكة سواء كانت من الداخل أو من اخلارج، ووفقا لدرجة السرية ومتطلبات العملالتخفيف منيساعد على

.يف حال تزويد خدمات الربط عن طريق مزود خارجي فإنه جيب توقيع اتفاقية تتوافق مع سياسة التعاقد اخلارجي -ل املستخدمني بالسياسات الوطنية ألمن ومحاية املعلومات عامة وسياسة االستعمال املقبول ومدونة السلوك اخلاص بأمن مراقبة التزام املوظفني و - م

. بشكل صحيح وآمناملعلومات خاصة يف استخدام الشبكة

.حفظ املعدات االحتياطية للشبكة يف مكان آمن لتكون متوافرة عند احلاجة -ن

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٥٠صفحة األردنية احلكومية الدوائر الستخدام

واجبات مدير النظام٢، باألجهزة والتطبيقات اخلاصة بالشبكات املعلوماتية يف الدائرة مع السياسات الوطنية ألمن ومحاية املعلوماتاملتعلقةتوافق املواصفات التأكد من -أ

.وبشكل يضمن إمكانية التوسع، والتحديث على األجهزة والتطبيقات

.ل اليت ميكن أن تطرأ بناءا عليها لضمان حسن التنفيذتوفري قوائم بعدد أجهزة احلواسيب واخلوادم من أجل متابعة عددها، واملشاك -ب .التأكد من فتح املنافذ وتوفر خدمات الشبكات الضرورية فقط وإغالق ما ال حيتاج إليه منها - ج .ثابت للشبكة يعرب عن حالتهااحملافظة على مستوى أداء -د .ةضبط اإلعدادات اخلاصة باألجهزة املوجودة على الشبكات لتعمل بطريقة آمن -ه

األنظمة اخلاصة حبماية الشبكة املعلوماتية للدائرة، مثل اجلدران النارية، وأنظمة كشف ومنع التطفل واالختراق، ومتابعة تشغيل تنصيب وضبط - و .وأنظمة مكافحة الفريوسات والربامج اخلبيثة، بالتوافق مع سياسة مكافحة الفريوسات والربامج اخلبيثة

.باستخدام بروتوكوالت آمنةوذلك ماية ضد اجلاسوسية احلتقنيات بة األجهزة اخلاصالربامج وإعداد - ز . ، عن طريق قوائم التحكم بالوصول املختلفةالتحكم باألجهزة القادرة على الربط والوصول إىل أجهزة الدائرة - ح من تنصيب أو حذف أو تغيري ألي من القطع بإصالح أو نقل أو إحداث تغيري يف اإلعدادات على أي جهاز أو تطبيق،-أو اإليعاز ملن يلزم-القيام -ط

.أو اإلعدادات اخلاصة به تبعا لسياسة ضبط التغيري وسياسة االستعمال املقبول

اعتمادا على سجالت احلركات اخلاصة بتدفق لإلدارة العليا يف الدائرةمراقبة أداء الشبكات وأنظمة إدارهتا أوال بأول، ورفع التقارير اخلاصة هبا - ي .ومات عرب الشبكاتاملعل

متابعة ما يستجد من معلومات حول وجود أي ثغرات ضمن أنظمة التشغيل اخلاصة بأجهزة إدارة الشبكة املعلوماتية للدائرة، والعمل على معاجلتها -ك لتنفيذها بشكل التوقيت املالئم يد حتد يف الدائرة، لتحديد األدوار، واإلدارة العلياوفقا لكل جهاز وتطبيق، بناءا على خطة عمل واضحة توافق عليها

.ضمن عدم حدوث انقطاع للخدمةي

تسهيل عمليات التدقيق على األنظمة وقواعد البيانات ونظم التشغيل وأجهزة املوظفني واملستخدمني بالتوافق مع سياسة التدقيق اخلاص بأمن -ل .املعلومات

عن باقي أجزاء الشبكة املعلوماتية للدائرة، ويف حال وجود متطلبات خاصة بكة منفصلة بشالعزل الفيزيائي لألنظمة احلساسة اليت تتطلب سرية كبرية - م عن بعضها كذلك، حبيث يتم إعطاء صالحيات لكل جمموعة بناءا على اخلوادم فعليا "اجملاالت"داخل الدائرة دون غريها، فإنه جيب فصل معينة لفئة

للتأكد من أن تلك اجملموعات تستطيع التواصل فيما بينها وفقا ملا يتفق عليه، وائم التحكم بالوصولقواملوارد املسموح هلم بالعمل عليها، وجتهيز .وطبيعة عمل الدائرة

اليت متت مواجهتها على الشبكة، من خلل أو اختراق أو انتشار للربامج اخلاصة بأمن ومحاية املعلومات رفع تقارير دورية توضح املشاكل األمنية -ن . اإلدارة العليا يف الدائرة إىلاخلبيثة

واجبات ضابط أمن املعلومات٣

يف الدائرة لتقييم مدى توافق النواحي اخلاصة بأمن املعلومات على الشبكات مع هذه السياسة اإلدارة العلياإجراء عمليات مراجعة وتدقيق مبوافقة -أ .بالتعاون مع مدير النظامومتابعة اجلوانب األمنية اخلاصة بالشبكة املعلوماتية يف الدائرة

.متابعة التقارير اخلاصة باملشاكل األمنية اليت واجهتها أو تواجهها الشبكة املعلوماتية يف الدائرة، واملساعدة يف حلها -ب واجبات املستخدم٤

يف الدائرة، حسب اإلدارة العليان عدم تغيري أو فك أو ربط أي جهاز بالشبكة املعلوماتية للدائرة، بدون احلصول على موافقة مكتوبة ومسبقة م -أ .سياسة ضبط التغيري وسياسة احلاسوب املكتيب وسياسة األجهزة احملمولة

.خوادم امللفاتحفظ املعلومات وامللفات على األجهزة اليت حيددها مدير النظام مثل -ب

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٥١صفحة األردنية احلكومية الدوائر الستخدام

سياسة تطوير وصيانة األنظمة: عشرةاخلامسةالسياسة اهلدف: أوال

املعلوماتية أثناء دورة حياة تطوير األنظمة والربجميات، والتأكد من أن هذه العملية تتم عن طريق األشخاص مواردت األمن والسالمة للضمان حتقيق متطلبا .ني بذلكخولاملختصني وامل

اجملال: ثانيا واالعتبارات الواجب اختاذها ائرة أو عن طريق التعاقد اخلارجي،تغطي هذه السياسة التطبيقات وأنظمة املعلومات والربجميات اليت يتم تطويرها، سواء يف داخل الد

.من أجل أمن ومحاية هذه األنظمة وسائر املعلومات املتعلقة هبا أثناء دورة حياهتا

تفاصيل السياسة: ثالثا قواعد عامة١

املصدرية، وكافة امللفات ربجمية تطويرها أو صيانتها، والتعترب املخططات والدراسات املتعلقة بتحليل وتصميم أنظمة املعلومات والربجميات املراد -أ .ويتم التعامل معها باالستناد إىل سياسة حساسية وتصنيف املعلومات" سرية"اخلاصة هبذه األنظمة والربجميات معلومات

منة من أجل احملافظة على سالمة املعلومات اخلاصة بالدخول والوصول إىل امللفات املتعلقة باملشاريع كافية وآضوابط الدخولجيب التأكد من أن -ب .واألنظمة

ال يسمح بإجراء أي تغيريات على أنظمة املعلومات والربجميات املستخدمة إال إذا دعت احلاجة لذلك، على أن يتم توثيق ذلك عن طريق عملية ضبط - ج .التغيري املتبعة يف الدائرة، بالتوافق مع سياسة ضبط التغيري

ألنظمة جيب أن تكون موجهة بأهداف العمل ومدعمة بدراسة جدوى متفق عليها، على أن تقع املسؤولية يف ذلك على مسؤول أي عملية تطوير ل -د .العمل

.يسمح بتطوير وشراء الربجميات املطورة خصيصا للدائرة عندما يتم ضماهنا بدراسة جدوى فعالة ومدعمة -ه

و الربجميات املستخدمة يف الدائرة بطريقة صحيحة وآمنة من قبل املختصني يف الدائرة قبل إقرارها جيب اختبار أي تغيريات خاصة بأنظمة املعلومات أ - و .مث إطالقها

. عند اختبار األنظمة قبل وضع ضوابط خاصة لضبط أمن هذه البيانات واملعلوماتLive Dataال يسمح باستخدام البيانات احلقيقية قيد االستخدام - ز

ملتطلبات األخرية ومات والربجميات املستخدمة يف الدائرة بالتوازي مع األنظمة والربجميات املطورة حلني التأكد من مطابقة جيب العمل بأنظمة املعل - ح .العمل ومتطلبات األمن واحلماية اليت مت التطوير من أجلها

بالتوافق مع . دقيق شاملة تشمل سجالت احلركاتجيب إدارة مكتبات الربنامج املصدرية عن طريق عملية ضبط التغيري، والقيام بعمليات تقصي وت -ط .سياسة التدقيق اخلاص بأمن املعلومات

.جيب التأكد من تطبيق التحديدات اليت تعمل على تقليل درجة املخاطرة لألخطاء النامجة عن املعاجلة الداخلية لئال تؤدي إىل التأثري سلبا على سالمة - ي .د فيما إذا كانت رسائل التحقق مطلوبة ولتحديد الطريقة األنسب لتطبيقهاجيب تقييم املخاطر األمنية من أجل حتدي -ك

قادرة على محايتها بشكل كاف، ضوابط دخولجيب استخدام أنظمة التشفري حلماية املعلومات يف حال احتمال تعرضها للمخاطر، وعند عدم وجود -ل .وذلك بالتوافق مع سياسة التشفري

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٥٢صفحة األردنية احلكومية الدوائر الستخدام

واجبات الدائرة٢ابط والتعليمات اخلاصة مبراحل دورة حياة تطوير أنظمة املعلومات والربجميات املستخدمة يف الدائرة بالتوافق مع السياسات الوطنية ألمن وضع الضو -أ

.ومحاية املعلومات عامة وسياسة التغيري وسياسة التعاقد اخلارجي بشكل خاص

.مات والربجميات اليت يراد استخدامها يف الدائرةحتديد متطلبات األمن واحلماية املراد حتقيقها يف أنظمة املعلو -ب تقييم املخاطر النامجة عن تطوير أو صيانة أنظمة املعلومات والربجميات ودرجة تأثريها على مستوى أمن ومحاية املعلومات اليت تعاجلها أو تتعامل - ج

.معها

من أجل ،وادة يف أنظمة املعلومات والربجميات اليت يتم تطويرها طربرجميات من إغالق وعدم وجود قنوات سرية أو -بقدر االستطاعة–التأكد -د .احملافظة على سالمة وإتاحية املعلومات اليت تتم معاجلتها عن طريق هذه األنظمة والربجميات

.هبايف مجيع اجملاالت املتعلقة بتطوير األنظمة وإدارهتا والعمليات املتعلقة " الفصل بني املهام"التأكد من تطبيق مبدأ -ه .توفري التدريب والتوعية املناسبني للطاقم الفين واملستخدمني العاديني لتخطي املخاطر الناجتة عن استخدام األنظمة والربجميات املطورة - و

.التأكد من توفر متطلبات أمن ومحاية املعلومات اخلاصة بتطوير وصيانة األنظمة والربجميات - ز

مثل التأكد من توافق صيغة املعلومات املدخلة مع الصيغة اليت حيتاجها -ة املعلومات املدخلة إىل األنظمة اختبار تواجد وفعالية متطلبات أمن ومحاي - ح .- مثل اختبار صحة القيم املخرجة وصيغتها– واملخرجة منها -النظام من أجل املعاجلة

.اصفات اخلاصة بأمن املعلومات فيها، واختبارها بشكل مناسباملوافقة على االنتقال من مرحلة إىل أخرى بعد التأكد من اكتمال املتطلبات واملو -ط .التأكد من توثيق مجيع الوثائق والدراسات والشيفرات املصدرية وخطط اختبار األنظمة والربجميات بطريقة آمنة وصحيحة - ي

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٥٣صفحة األردنية احلكومية الدوائر الستخدام

سياسة التعاقد اخلارجي: السياسة السادسة عشرة اهلدف: أوال

. للدائرة معينةات املعلوماتية وسالمتها وإتاحيتها وخصوصيتها أثناء االستعانة مبزود خارجي لتوفري خدماملواردية املعلومات وضمان أمن ومحا

اجملال: ثانياؤسسات املربجمني، و املو باحثني النظم و الستشارين و حمللي امل معينة للدائرة، ويشمل ذلكلتوفري خدماتيتم التعاقد معه تغطي هذه السياسة أي مزود خارجي

اعتبارات أمن ومحاية املعلومات ومواردها، واإلجراءات والعمليات واخلدمات واالتصاالت اليت يتم التعاقد كما تغطيداعمة،الزودة و املادمة و اخلشركات الو .اخلارجي من أجلها

تفاصيل السياسة: ثالثا قضايا عامة١

آمن ة عن اتفاقية موقعة مع جهة على درجة عالية من الكفاءة واألمان للقيام مبهمة التعاقد اخلارجي بشكل تكون االستعانة مبزود خارجي ناجت -أ .صحيح وفعالو

.مركز تكنولوجيا املعلومات الوطينجيب أال تكون اخلدمات املعلوماتية اليت يراد االستعانة مبزود خارجي من أجلها جوهرية وحرجة، إال بعد موافقة -ب . إىل انقطاع أو تأثري يف استمرارية اخلدمات املقدمة من الدائرة-بقدر االستطاعة واحلذر-يؤدي التعاقد اخلارجي جيب أال - ج .مركز تكنولوجيا املعلومات الوطينإذا كانت اخلدمة اليت سيتم التعاقد اخلارجي من أجلها هي التدقيق على أمن املعلومات، فيجب موافقة -د

الدائرة واجبات ٢

. وتوثيق توصيات مجيع األقسام اليت هلا عالقة باخلدمات اليت سيتم االستعانة بطرف خارجي من أجلها، وخباصة قسم أمن ومحاية املعلوماتحتديد -أ املعلومات املعلوماتية املشمولة أو املتعلقة بالتعاقد اخلارجي موثقة وخاضعة للتدقيق تبعا للسياسات الوطنية ألمن ومحايةاملواردجيب أن تكون مجيع -ب

.لدائرةملدير ابذلك املعمول هبا، وتبعا لالتفاقية بني الدائرة واجلهة املزودة، من خالل اآللية املتبعة يف الدائرة يف التدقيق، ورفع التقارير

بأمن ومحاية املعلومات ومواردها، حتديد وتوثيق أمساء املوظفني املسؤولني يف الدائرة عن التحضري لالعتبارات األمنية، ومتابعة اإلجراءات املتعلقة - ج .وتقييم املخاطر اخلاصة باالستعانة بطرف خارجي

. اخلارجيباملزود املعلوماتية ونقلها وإتالفها بطريقة آمنة عند انتهاء اتفاقية االستعانة املواردحتديد وتوثيق آلية إعادة -د لطرف اخلارجي وأية معلومات أمنية سابقة تتعلق هبم، واملوافقة أمنيا عليهم قبل حتديد وتوثيق أمساء املوظفني الذين سيباشرون بتزويد اخلدمة من ا -ه

.، وبشكل خاص سياسة أمن املوظفنيمباشرة أعماهلم، وأهنم حيققون شروط التوظيف واألمن الالزمة لتعيينهم حسب السياسة املتبعة يف الدائرةفعالية اإلجراءات األمنية اخلاصة باخلدمات اليت مت التعاقد اخلارجي من أجلها، وخطوات مراقبة حتديد وتوثيق املعايري الالزمة لقياس ومتابعة وتقييم - و

.احلوادث األمنية ورفع التقارير بشأهنا .حتديد وتوثيق ضوابط األمن واحلماية الالزمة يف إدارة ونقل وإتالف املعلومات واخلدمات ومواردها ونقل وتبادل املوظفني - ز .روط اجلزائية والغرامات عن أي خلل ينتج عن املزود اخلارجي يف تقدمي خدماته بشكل خيل بأمن املعلومات يف الدائرةحتديد وتوثيق الش - ح .حتديد وتوثيق مجيع املؤهالت واملتطلبات واملهام واملسؤوليات الالزم تنفيذها من قبل املزود اخلارجي -ط .دائرة واملزود اخلارجيكل من البني " املهامالفصل بني "التأكد من تطبيق مبدأ - ي

الدائرة مسؤولة عن أي جتهيزات أو أنظمة أو تعاقدات أو خدمات يزودها الطرف اخلارجي، وعليها إنشاء نظام وآلية إلدارة ومتابعة فعالية هذه -ك .اخلدمات

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٥٤صفحة األردنية احلكومية الدوائر الستخدام

ألمن ومحاية املعلومات، وتعديل ما يلزم منها التحقق من مطابقة ممارسات وإجراءات األمن واحلماية اليت يتبعها املزود اخلارجي للسياسات الوطنية -ل .لتوافق هذه السياسات

املزود اخلارجيواجبات ٣

.توقيع اتفاقية مستوى اخلدمة -أ يطلع عليها ) هي ملك للدائرة(أي معلومات عن املزود اخلارجي إفصاح واملعنية بعدم " املعلوماتاإلفصاح بشكل غري مرخص عن عدم "توقيع اتفاقية -ب

.عملهحبكم إفصاح عنها املعلوماتية اململوكة للدائرة، أو حق الوصول إليها، أو تغيريها، وأنه يتحمل املسؤولية عند أي املوارد أيا من وزتوقيع تعهد بأنه ال حي - ج

. بعد انتهاء اتفاقية التعاقد اخلارجياملوارديصيب هذه بشكل غري مرخص دائرة بآلية التشفري وفكه بنفسها، بالتوافق مع سياسة لومات أو االتصاالت بدون معرفة مسبقة من العدم تشفري أي من اخلدمات أو األنظمة أو املع -د

.التشفري وأن يكون متقدما يف اجملال الذي سيتم ، املزود اخلارجيبدور املؤهالت والكوادر والكفاءات والقدرات الكافية بطريقة مثبتة وموثقة للقيام ريتوف -ه

.التعاقد معه من أجله

بشىت الطرق الفيزيائية أو املنطقية اليت تضمن سرية وسالمة وإتاحية وخصوصية املعلومات واخلدمات املتعاقد من املعلوماتية للدائرةاملواردمحاية - و .، وذلك بقدر االستطاعة واحلذرالسياسات الوطنية ألمن ومحاية املعلومات وحسب املالئم، بالتوافق مع أجلها

.التغيري املعمول هبا يف الدائرة عملية ضبط التزام - ز

، وعدم تعريض أمن وسالمة وإتاحية املعلومات ومواردها اليت تطبيق اعتبارات أمن ومحاية املعلومات ومواردها أثناء التعامل مع املعلومات ومواردها - ح . هي ملك للدائرة للخطر

. بالتوافق مع سياسة التدقيق اخلاص بأمن املعلوماتلومات الوطينمركز تكنولوجيا املعالتعاون مع أي عملية تدقيق تقوم هبا الدائرة أو -ط .تزويد الدائرة خبططه املتعلقة باستمرارية األعمال واالسترداد عند وقوع كارثة تتعلق باخلدمات اليت مت التعاقد اخلارجي معه لتزويدها - ي .كل من الدائرة واملزود اخلارجيبني " املهامالفصل بني "تطبيق مبدأ -ك أو يد آلية اتصال متفق عليها مع الدائرة عند وقوع أي حادث أمين قد يؤثر على أمن وسالمة وإتاحية اخلدمات اليت مت التعاقد اخلارجي من أجلهاحتد -ل

. املعلوماتيةاملواردغريها من

:اصر التاليةرفع وتوثيق تقارير مفصلة للدائرة عن اخلدمات اليت مت التعاقد اخلارجي لتزويدها، على أن تشمل العن - م .إجراءات األمن واحلماية .١، وكيفية املعلوماتيةاملوارد أو غريها من احلوادث واخلروقات األمنية، وأية أخطاء قد تصيب اخلدمات اليت مت التعاقد اخلارجي من أجلها .٢

.معاجلتهالق بتعيينهم أو مسؤولياهتم أو كيفية االتصال هبم، املعلوماتية وأي تغيريات تتعاملواردأمساء املوظفني املسؤولني عن محاية هذه اخلدمات و .٣

.ومدى الصالحيات املمنوحة لكل منهم بشكل دوري . معلوماتية مشمولة أو هلا عالقة بالتعاقد اخلارجيموارداإلجراءات املتبعة يف استالم ونقل وإتالف أية .٤

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٥٥صفحة األردنية احلكومية الدوائر الستخدام

سياسة التشفري: لسياسة السابعة عشرةا اهلدف: أوال

.الالزمة لتطبيق خوارزميات التشفري اليت متت مراجعتها وإثبات فاعليتها واعتمادها عاملياالدنيا ومات السرية عن طريق وضع احلدود محاية املعل

اجملال: ثانيا .أثناء نقلها وختزينها الدائرةيف ومفاتيح التشفري للمعلومات السرية برامج ومعداتتغطي هذه السياسة إدارة واستخدام

تفاصيل السياسة: اثالث واجبات الدائرة١

، أو أية خوارزميات يتم RSA, DES, Blowfish, RC5, IDEA: استخدام خوارزمية تشفري مثبتة ومعتمدة عامليا من إحدى اخلوارزميات التالية -أ .املوافقة عليها من قبل اجلهة املختصة الحقا

.ناسبة لتطبيق خوارزميات التشفري املعتمدة يف الدائرةتوظيف وتنصيب الربجميات والربوتوكوالت واملعدات امل -ب .سرية بالتوافق مع سياسة حساسية وتصنيف املعلوماتمعلومات تشفري مجيع وسائط التخزين واالتصاالت اليت حتتوي - ج

.وضع التعليمات املناسبة اليت تضمن إجراء عملية التشفري وفك التشفري بطريقة آمنة وصحيحة -د .الذين جيب أن تصرف هلم مفاتيح تشفري وبرامج تشفري حسب متطلبات أعماهلمني خولاملاء األشخاص حتديد وتوثيق أمس -ه

. بشكل غري مرخصمفاتيح تشفريها أو فك تشفريهااإلفصاح عن وضع التعليمات اليت حتدد كيفية التعامل مع الوثائق وامللفات اليت مت فقدان أو - و :تشفري، على أن تراعى فيها األمور التاليةوضع التعليمات اخلاصة بإدارة مفاتيح ال - ز

.يف مكان آمن الستعماهلا عند احلاجةبالدائرة حفظ نسخ احتياطية عن مفاتيح التشفري اخلاصة .١

.مواصفات األنظمة والربجميات املستخدمة يف إدارة مفاتيح التشفري طوال دورة حياهتا .٢ .- أو استقالة املوظف مثال عنها بشكل غري مرخص اإلفصاحعند -اعتماد أو إلغاء اعتماد مفاتيح التشفري .٣ .احلدود الدنيا ألطوال مفاتيح التشفري .٤

.مدة صالحية املفاتيح .٥ .إدارة مفاتيح التشفري داخل الدائرة بشكل آمن .٦

واجبات مدير النظام٢

.صحيحآمن وتنصيب وضبط وتشغيل وحتديث برامج التشفري املعتمدة يف الدائرة والتأكد من أهنا تعمل بشكل -أ .التعاون مع ضابط أمن املعلومات يف إدارة مفاتيح وبرامج التشفري داخل الدائرة -ب واجبات ضابط أمن املعلومات٣

.تدريب املوظفني على كيفية استعمال برامج ومفاتيح التشفري املعتمدة يف الدائرة -أ .حيات املستخدمنيالتأكد من أن التشفري يتم بشكل بطريقة صحيحة وآمنة اعتمادا على صال -ب .التدقيق على االلتزام بعملية التشفري تبعا هلذه السياسة ورفع التقارير ملسؤويل الدائرة عن أية جتاوزات أو مشاكل تتعلق بالتشفري - ج

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٥٦صفحة األردنية احلكومية الدوائر الستخدام

واجبات املستخدم٤

.عدم استخدام برامج تشفري أو فك تشفري أو مفاتيح تشفري مل تصرف له من الدائرة -أ .أثناء نقلها وختزينها بالتوافق مع هذه السياسة وسياسة حساسية وتصنيف املعلومات" سرية للغاية"أو " سرية"صنفة على أهنا تشفري املعلومات امل -ب .احملافظة على سالمة وسرية مفاتيح التشفري املصروفة له من الدائرة - ج .املصروفة له من الدائرةمراجعة الدعم الفين عند وجود أية مشاكل تتعلق باستخدام برامج أو مفاتيح التشفري -د .رفع تقرير إىل ضابط أمن املعلومات ومدير النظام عند الشك يف سوء استعمال مفاتيح التشفري أو برامج التشفري -ه

السياسات الوطنية ألمن وحماية المعلومات

٥٧ من ٥٧صفحة األردنية احلكومية الدوائر الستخدام

قبل اللجنة الوطنية الفنية لقد متت مناقشة ومراجعة السياسات الوطنية ألمن ومحاية املعلومات واملوافقة على ما فيها هبذا الشكل من

:ألمن ومحاية املعلومات وهم

التوقيع ممثل اجلهة اجلهة الرقم وزارة االتصاالت وتكنولوجيا املعلومات ١ املهندس أمين غنوم

املهندس مازن اخلطيب السيد إياد صويص وزارة الداخلية ٢ السيد حممد اللحام وزارة العدل ٣ العميد نايل املدادحة ملشتركةهيئة األركان ا ٤ السيد نرت كوف هيئة تنظيم قطاع االتصاالت ٥

مديرية األمن العام ٦ العقيد بسام روبني عودة الرائد نزيه خليفات

العقيد أمني العمد دائرة املخابرات العامة ٧ الرائد حممد عبابنة املركز الوطين لألمن وإدارة األزمات ٨ املهندس نادر الذنيبات نولوجيا املعلومات الوطينمركز تك ٩ السيد زيد الطراونة البنك املركزي األردين ١٠