سياسة خاصة

١. سياسة أمن المعلومات

وضعت دار الرياض (المجموعة) سياسة أمن المعلومات (ISP) التي تدعم الأهداف الاستراتيجية للشركة ، وتلتزم بالحفاظ على أمن المعلومات وتحسينه داخل الشركة وتقليل تعرضها للمخاطر. لذلك فإن سياسة دار الرياض (المجموعة) هي:

  • ضمان سرية معلومات الشركة والعملاء ؛
  • حماية المعلومات الحساسة (مهما كانت مخزنة) ضد الوصول غير المصرح به ؛
  • الحفاظ على سلامة جميع المعلومات ؛
  • ضمان توافر المعلومات ، حسب الاقتضاء ؛
  • توفير التدريب على أمن المعلومات لجميع الموظفين ؛
  • ضمان تلبية توقعات ومتطلبات جميع الأطراف المعنية فيما يتعلق بأمن المعلومات ؛
  • إتاحة المعلومات للعمليات التجارية والموظفين المصرح لهم عند اللزوم ؛
  • تلبية جميع المتطلبات التنظيمية والتشريعية ؛
  • إعداد خطط استمرارية العمل للأنشطة التجارية التي يتم صيانتها واختبارها بانتظام ؛
  • التأكد من أنه سيتم الإبلاغ عن جميع انتهاكات أمن المعلومات ، سواء كانت فعلية أو مشتبه بها ، والتحقيق فيها من قبل الإدارة العليا لدار الرياض وسيتم تحديد فرص التحسين والعمل على أساسها ؛
  • الامتثال لمتطلبات ISO 27001 لأمن المعلومات ؛
  • التواصل وتقديم بيان السياسة هذا لجميع أصحاب المصلحة من خلال موقعنا الإلكتروني وعند الطلب ؛

هذه السياسة ديناميكية وتتضمن التزامًا بالتحسين المستمر من خلال عملية الإبلاغ عن الحوادث وتقييم المخاطر والتدقيق الداخلي المنتظم. وهي تكمل متطلبات ISO 9001: 2015،ISO 14001: 2015 & ISO 45001: 2018 معايير الإدارة ، وتوفر إطار عمل لتحديد ومراجعة أهداف الأمن.

تغطي هذه السياسة كلا من المعلومات المقدمة من قبل شخص من أجل التعامل مع دار الرياض ، بالإضافة إلى المعلومات التي يتم الحصول عليها تلقائيًا باستخدام خدمات دار الرياض مثل ، على سبيل المثال لا يقتصر على ، عناوين IP ، الموقع ، الأجهزة المستخدمة ، إلخ …

الإدارة العليا مسؤولة عن توصيل سياسة أمن المعلومات للمجموعة والتأكد من فهمها على جميع المستويات داخل الشركة.

٢. المقدمة

تم تطوير سياسة أمن المعلومات هذه (“السياسة”) لتحديد استراتيجية وأهداف وغايات دار الرياض (المجموعة) فيما يتعلق بأمن المعلومات وإثبات التزامها بالوصول إلى هذه الأهداف. قد نستخدم ملفات تعريف الارتباط في مواقعنا لتحسين تجربة المستخدم وتتبع الأداء والاستفادة من خدماتنا. يجوز لنا أيضًا استخدام خدمات الطرف الثالث مثل Google Analytics لنفس الغرض.

٣. على من تنطبق هذه السياسة؟

تنطبق هذه السياسة على جميع الموظفين (الدائم أو المؤقت) والمقاولين الفرعيين ، والموردين ، والعملاء الزائرين وجميع مستخدمي الجهات الخارجية الذين قد يكون لديهم إمكانية الوصول إلى جميع المعلومات المخزنة في أو على أنظمة / خوادم دار تكنولوجيا المعلومات ، أو المتوفرة بتنسيقات أخرى. ينطبق أمن المعلومات على جميع المكاتب والمواقع والأنظمة والعمليات. يمكن توزيع هذه الوثيقة على أطراف أخرى ومراجعي الحسابات عند الضرورة.

٤. نهج أمن المعلومات

تلتزم دار الرياض بالحفاظ على المعلومات آمنة. لهذا السبب ، تلتزم دار الرياض بالحفاظ على شهادة ISO

تتطلب شهادة ISO أن يكون لدى دار الرياض مجموعة من السياسات والإجراءات والمبادئ التوجيهية والضوابط اللازمة لإدارة أصول المعلومات لدينا بشكل منهجي (المعروفة مجتمعة باسم “أمن المعلومات”). يتم تطبيق أمن المعلومات على المعلومات المتعلقة بالأشخاص والعمليات وكذلك الأصول المادية ، مثل أنظمة تكنولوجيا المعلومات والأجهزة المحمولة. الهدف من أمن المعلومات هو تقليل المخاطر وضمان استمرارية العمل عن طريق الحد بشكل استباقي من احتمالية وتأثير خرق أمن المعلومات.

تستخدم دار الرياض أمن المعلومات لإدارة القضايا ذات الصلة بأعمالنا ، كما هو موضح في الفقرة.

٥. أهمية وأهداف أمن المعلومات؟

لأمن المعلومات العديد من الأهداف والمزايا ، بما في ذلك على سبيل المثال لا يقتصر على-:

  • الحصول على شهادة ISO: 27001 والمحافظة عليها بحلول نوفمبر 2021
  • ضمان دعم الإدارة العليا لأمن المعلومات ؛
  • تأسيس الامتثال التنظيمي (مع قوانين حماية البيانات) ومواءمة أفضل الممارسات ؛
  • التأكد من أن الأدوار والمسؤوليات الأمنية محددة ومناسبة ؛
  • تطوير وصيانة مجموعة من السياسات الأمنية ذات الصلة والقابلة للاستخدام والفعالة ؛
  • تنفيذ استراتيجية أمنية فعالة وقابلة للقياس وتشغيلها وتحسينها باستمرار؛
  • تحقيق رؤية واضحة ومتسقة للمخاطر الأمنية داخل الشركة ؛
  • توفير الاتصالات المنتظمة والأعمال فيما يتعلق بالأمن والمعلومات ؛
  • توفير المعلومات والتوجيه والتدريب لجميع الموظفين والمقاولين ؛
  • ضمان هندسة البرمجيات والأنظمة المطورة بأمان وجودة كافية ؛
  • يتم الوصول إلى جميع التطبيقات القائمة على الخادم من خلال متصفح أو برنامج عميل محدد ؛
  • جميع تطبيقات الجوال ؛
  • جميع طلبات العملاء الأخرى المقدمة من دار الرياض ؛

٦. على من ينطبق أمن المعلومات؟

ينطبق أمن المعلومات على جميع المكاتب والإدارات والمواقع والأنظمة والعمليات والموظفين الذين يستخدمون أو يصلون إلى أصول المعلومات في توفير الخدمات التي تشمل

  • التركيب والإصلاح والصيانة العامة للمباني (بما في ذلك رد الفعل) لجميع العقود في قطاعات البيع بالتجزئة والتجارة والصناعة الإنشائية.

تطبق دار الرياض أمن المعلومات على الأصول التالية:

  • أجهزة الكمبيوتر المكتبية والمحمولة وأي أجهزة يتم تشغيلها بواسطة العميل VPN عن بعد أو تسجيل الدخول.
  • الخوادم والأجهزة والبنية التحتية للشبكة.
  • الأجهزة المحمولة.
  • يتم الوصول إلى جميع التطبيقات القائمة على الخادم من خلال متصفح أو برنامج عميل محدد.
  • جميع تطبيقات الجوال.
  • جميع طلبات العملاء الأخرى المقدمة من دار الرياض.

٧. أدوار ومسؤوليات أمن المعلومات

حددت دار الرياض المسؤول عن تلبية متطلبات أمن المعلومات. وترد هذه في HSEQ-MS وهي كما يلي:

  • مدراء المجموعة
  • مدير تكنولوجيا المعلومات (المجموعة)
  • الفريق القانوني
  • فريق عمليات تكنولوجيا المعلومات
  • الإدارة العليا
  • جميع الموظفين

يجوز لنا مشاركة المعلومات مع جهات خارجية فقط في الحالات التالية: –

  • على النحو المطلوب للامتثال للإجراءات القانونية.
  • عندما نؤمن بحسن نية أن الإفشاء ضروري لحماية حقوقنا ، أو حماية سلامتك أو سلامة الآخرين ، أو التحقيق في الاحتيال ، أو الاستجابة لطلب حكومي.
  • لمقدمي الخدمة الموثوقين لدينا الذين يعملون بالنيابة عنا ، ليس لديهم استخدام مستقل للمعلومات التي نكشفها لهم ، ووافقوا على الالتزام بالقواعد المنصوص عليها في هذا البيان أو وقعوا اتفاقية عدم إفشاء معنا.
  • إذا شاركنا في اندماج أو شراء أو بيع الشركة بالكامل أو جزء منها.

٨. كيفية إدارة أمن المعلومات لإدارة المخاطر

يحتفظ أمن المعلومات بالمعلومات السرية المحفوظة على أنظمة دار الرياض محمية في جميع الأوقات باستخدام جميع التدابير المعقولة بناءً على أفضل الممارسات في السوق. يسمح أمن المعلومات لدار الرياض بالانخراط والوعي بمخاطر الهجمات السيبرانية ، نظرًا لموقعها في السوق ، بما في ذلك تدابير لضمان استمرار مراقبة وأمن الأصول التقنية في هذا المجال. يساعد أمن المعلومات دار الرياض على تحديد المخاطر والقضايا ذات الصلة بالمنظمة بسهولة أكبر ويسمح بتحديد أولوياتها وتقييمها ومعالجتها على أساس مستمر. سنحتفظ بالمعلومات المقدمة طالما كانت هذه المعلومات ضرورية لمواصلة التفاعل بين المستخدم ودار الرياض وما دام ذلك ضروريًا بعد ذلك للامتثال للقوانين القانونية والتنظيمية. يمكنك طلب حذف بيانات المستخدم الخاصة بك عن طريق إرسال بريد إلكتروني إلى privacy@daralriyadh.com وسنرد في غضون فترة زمنية معقولة. لاحظ أن بعض أو كل البيانات المقدمة قد تكون مطلوبة وليست مؤهلة للحذف حتى يعمل التطبيق بشكل صحيح أو بسبب المتطلبات القانونية.

٩. قانون حماية البيانات (DPA) واللائحة العامة لحماية البيانات (GDPR)

الهدف الأساسي لأمن المعلومات هو الامتثال لاتفاقية حماية البيانات و حماية البيانات العامة. يلتزم الأشخاص الخاضعون لهذه السياسة بـ “سياسة حماية البيانات” الخاصة بمجموعة دار الرياض. وقد يؤدي عدم القيام بذلك إلى اتخاذ إجراءات تأديبية.

نحن لا نقدم خدمات ونطلب عن قصد بيانات من الأطفال تحت سن 13 عامًا. يمكن للوالدين أو الأوصياء تقديم معلومات عن أطفالهم من أجل الحصول على خدمات من دار الرياض مثل التأمين الطبي أو إصدار التأشيرة. إذا كنت تعتقد أننا قمنا بجمع معلومات شخصية مباشرة من طفل يقل عمره عن 13 عامًا من خلال أي من أنظمتنا ، فيرجى الاتصال بنا على الفور عبر البريد الإلكتروني على privacy@daralriyadh.com

١٠. سياسة الاستخدام المقبول

يتعين على أولئك الخاضعين لهذه السياسة الالتزام بـ “سياسة الاستخدام المقبول” لدار الرياض التي تحدد المبادئ التي تحكم استخدام أنظمة وخدمات ومعدات الرياض (مثل الكمبيوتر المحمول / الهواتف). قد يؤدي عدم القيام بذلك إلى اتخاذ إجراءات تأديبية وفقًا للفقرة 11

١١. عدم الامتثال

عند اختراق السياسة من قبل شخص خاضع لها قد يتعرض لإجراءات تأديبية ، بما في ذلك إنهاء العمل وإنهاء خدمات العقود

١٢. مراجعة السياسة

تتم مراجعة سياسة أمن المعلومات (وجميع سياسات المنظمة الأخرى ما لم ينص على خلاف ذلك) على أساس سنوي على الأقل من قبل مدير تكنولوجيا المعلومات بالمجموعة

١٣. موافقة والتزام الإدارة العليا

تلتزم الإدارة العليا في دار الرياض بسياسة أمن المعلومات وتسعى إلى توفير المدخلات والتعليقات والمساعدات والموارد اللازمة لتقديم التسليم المستمر والتحسين المستمر لأمن المعلومات الناجح.