خبرات عالمية ... رؤى محليّة
EN |

سياسة الخصوصية

سياسة أمن المعلومات

أعدت مجموعة دار الرياض للاستشارات الهندسية سياسة أمن المعلومات (ISP) والتي تدعم الأهداف الاستراتيجية المتسقة مع الشركة كما أنها ملتزمة تجاه الحفاظ على أمن المعلومات وتحسينه والحد من إمكانية تعرضه للمخاطر ولذلك فإنّ سياسة دار الرياض تنص على مايلي:

  • ضمان سرية معلومات الشركة والعملاء. 
  • حماية المعلومات الحساسة (مهما كانت مخزنة) ضد الوصول غير المصرح به.
  • الحفاظ على سلامة جميع المعلومات.
  • ضمان توافر المعلومات حسب ماتقتضي إليه الحاجة. 
  • توفير التدريب على أمن المعلومات لجميع الموظفين. 
  • ضمان تلبية توقعات ومتطلبات جميع الأطراف المعنية فيما يتعلق بأمن المعلومات.
  • إتاحة المعلومات للعمليات التجارية والموظفين المصرح لهم عند اللزوم.
  • تلبية جميع المتطلبات التنظيمية والتشريعية. 
  • إعداد خطط استمرارية العمل للأنشطة التجارية التي يتم صيانتها واختبارها بإنتظام.  
  • التأكد من أنّه سيتم الإبلاغ عن جميع انتهاكات أمن المعلومات سواء كانت فعلية أو مشتبه بها والتحقيق فيها من قبل الإدارة العليا لدار الرياض وسيتم تحديد فرص التحسين والعمل على أساسها.
  • الامتثال لمتطلبات ISO 27001 لأمن المعلومات. 
  • التواصل وتقديم بيان السياسة هذا لجميع أصحاب المصلحة من خلال موقعنا الإلكتروني وعند الطلب.

هذه السياسة ديناميكية وتتضمن التزامًا بالتحسين المستمر من خلال عملية الإبلاغ عن الحوادث وتقييم المخاطر والتدقيق الداخلي المنتظم وهي تكمل متطلبات ISO 9001: 2015،ISO 14001: 2015  & ISO 45001: 2018 ومعايير الإدارة وتوفر إطار عمل لتحديد ومراجعة أهداف الأمن المعلوماتي. 

تُغطي هذه السياسة كلا من المعلومات المقدمة من قبل شخص من أجل التعامل مع دار الرياض بالإضافة إلى المعلومات التي يتم الحصول عليها تلقائيًا باستخدام خدمات دار الرياض على سبيل المثال لا يقتصرعلى عناوين IP والموقع والأجهزة المستخدمة ..الخ.

الإدارة العليا مسؤولة عن توصيل سياسة أمن المعلومات للمجموعة والتأكد من فهمها على جميع المستويات داخل الشركة.

  • المقدمة: تم تطوير سياسة أمن المعلومات لتحديد استراتيجية وأهداف وغايات مجموعة دار الرياض فيما يتعلق بأمن المعلومات وإثبات التزامها بالوصول إلى هذه الأهداف، قد نستخدم ملفات تعريف الارتباط في مواقعنا لتحسين تجربة المستخدم وتتبع الأداء والإستفادة من خدماتنا كما يجوز لنا أيضًا استخدام خدمات الطرف الثالث مثل Google Analytics لنفس الغرض.
  • على من تنطبق هذه السياسة؟ : تنطبق سياسة أمن المعلومات على جميع الموظفين سواء أكانوا موظفين دائمين أو مؤقتين والمقاولين لفرعيين والموردين والعملاء الزائرين وجميع مستخدمي الجهات الخارجية الذين قد يكون لديهم إمكانية الوصول إلى جميع المعلومات المخزنة في أو على أنظمة  خوادم دار تكنولوجيا المعلومات أو المتوفرة بتنسيقات أخرى كما تنطبق على جميع المكاتب والمواقع والأنظمة والعمليات و يمكن توزيع هذه الوثيقة على أطراف أخرى ومراجعي الحسابات عند الضرورة.
  •  نهج أمن المعلومات: تلتزم دار الرياض بالحفاظ على المعلومات آمنة ولذلك تلتزم بالمحافظة على شهادة ISO حيثُ تتطلب هذه الشهادة أن يكون لدى دار الرياض مجموعة من السياسات والإجراءات والمبادئ التوجيهية والضوابط اللازمة لإدارة أصول المعلومات لدينا بشكل منهجي (تُعرف بمسمى أمن المعلومات) ويتم تطبيقها على المعلومات المتعلقة بالأشخاص والعمليات وكذلك الأصول المادية مثل: أنظمة تكنولوجيا المعلومات والأجهزة المحمولة، الهدف من أمن المعلومات هو تقليل المخاطر وضمان استمرارية العمل عن طريق الحد بشكل استباقي من احتمالية وتأثير اختراق أمن المعلومات كما تستخدم دار الرياض أمن المعلومات لإدارة القضايا ذات الصلة بأعمالنا كما ذُكر.
  • أهمية وأهداف أمن المعلومات: لأمن المعلومات العديد من الأهداف والمزايا بما في ذلك على سبيل المثال:
  • الحصول على شهادة ISO: 27001 والمحافظة عليها.
  • ضمان دعم الإدارة العليا لأمن المعلومات.
  • تأسيس الامتثال التنظيمي (مع قوانين حماية البيانات) ومواءمة أفضل الممارسات. 
  • التأكد من أنّ الأدوار والمسؤوليات الأمنية محددة ومناسبة. 
  • تطوير وصيانة مجموعة من السياسات الأمنية الفعّالة ذات الصلة والقابلة للاستخدام. 
  • تنفيذ استراتيجية أمنية فعالة وقابلة للقياس وتشغيلها وتحسينها باستمرار.
  • تحقيق رؤية واضحة ومتسقة للمخاطر الأمنية داخل الشركة.
  • توفير الاتصالات المنتظمة والأعمال فيما يتعلق بالأمن والمعلومات.
  • توفير المعلومات والتوجيه والتدريب لجميع الموظفين والمقاولين. 
  • ضمان هندسة البرمجيات والأنظمة المطورة بأمان وجودة كافية. 
  • يتم الوصول إلى جميع التطبيقات القائمة على الخادم من خلال متصفح أو برنامج عميل محدد. 
  • جميع تطبيقات الجوال. 
  • جميع طلبات العملاء الأخرى المقدمة من دار الرياض. 

- أدوار ومسؤوليات أمن المعلومات: حددت دار الرياض المسؤول عن تلبية متطلبات أمن المعلومات وترد هذه في HSEQ-MS وهي كما يلي:

  • مدراء المجموعة
  • مدير تكنولوجيا المعلومات.
  • الفريق القانوني.
  • فريق عمليات تكنولوجيا المعلومات.
  • الإدارة العليا.
  • جميع الموظفين.

يجوز لنا مشاركة المعلومات مع جهات خارجية فقط في الحالات التالية: 

  • على النحو المطلوب للامتثال للإجراءات القانونية.
  • عندما نؤمن بحسن نية أنّ الإفشاء ضروري لحماية حقوقنا أو حماية سلامتك أو سلامة الآخرين أو التحقيق في الاحتيال أو الاستجابة لطلب حكومي.
  • لمقدمي الخدمة الموثوقين لدينا الذين يعملون بالنيابة عنا وليس لديهم استخدام مستقل للمعلومات التي نكشفها لهم ووافقوا على الالتزام بالقواعد المنصوص عليها في هذا البيان أو وقعوا اتفاقية عدم إفشاء معنا.
  • إذا شاركنا في اندماج أو شراء أو بيع الشركة بالكامل أو جزء منها.

- كيفية إدارة أمن المعلومات لإدارة المخاطر: يحتفظ أمن المعلومات بالمعلومات السرية المحفوظة على أنظمة دار الرياض بطريقةٍ محميّة في جميع الأوقات وذلك باستخدام جميع التدابير الجيدة بناءً على أفضل الممارسات الموجودة في القطاع كما يسمح أمن المعلومات لدار الرياض بالانخراط والوعي بمخاطر الهجمات السيبرانية نظرًا لموقعها في السوق بما في ذلك تدابير لضمان استمرار مراقبة وأمن الأصول التقنية في هذا المجال. ويساعد أمن المعلومات دار الرياض على تحديد المخاطر والقضايا ذات الصلة بالمنظمة بسهولةٍ أكبر ويسمح بتحديد أولوياتها وتقييمها ومعالجتها على أساسٍ مستمر. سنحتفظ بالمعلومات المقدمة طالما كانت هذه المعلومات ضرورية لمواصلة التفاعل بين المستخدم ودار الرياض وما دام ذلك ضروريًا للامتثال للقوانين القانونية والتنظيمية. يُمكنك طلب حذف بيانات المستخدم الخاصة بك عبر البريد الإلكتروني التالي: Privacy@daralriyadh.com وسنوافيك بالرد في غضون دقائق. لاحظ أن بعض أو كل البيانات المقدمة قد تكون مطلوبة وليست مؤهلة للحذف حتى يعمل التطبيق بشكلٍ صحيح أو بسبب المتطلبات القانونية.

- قانون حماية البيانات (DPA) واللائحة العامة لحماية البيانات (GDPR): الهدف الأساسي لأمن المعلومات هو الامتثال لاتفاقية حماية البيانات و حماية البيانات العامة إذ يلتزم الأشخاص الخاضعون لهذه السياسة بـ “سياسة حماية البيانات” الخاصة بمجموعة دار الرياض وقد يؤدي عدم الالتزام بها إلى اتخاذ إجراءاتٍ تأديبية. نحنُ لا نُقدم خدمات ونطلب عن قصد بيانات من الأطفال تحت سن 13 عامًا. يمكن للوالدين أو الأوصياء تقديم معلومات عن أطفالهم من أجل الحصول على خدمات من دار الرياض مثل التأمين الطبي أو إصدار التأشيرة. إذا كنت تعتقد أننا قمنا بجمع معلومات شخصية مباشرة من طفل يقل عمره عن 13 عامًا عن طريق أنظمتنا فيرجى الاتصال بنا على الفور عبر البريد الإلكتروني التالي: Privacy@daralriyadh.com

- سياسة الاستخدام المقبول: يتعين على أولئك الخاضعين لهذه السياسة الالتزام بـ “سياسة الاستخدام المقبول” لدار الرياض التي تحدد المبادئ التي تحكم استخدام أنظمة وخدمات ومعدات الرياض (مثل الكمبيوتر المحمول/الهواتف) قد يؤدي عدم القيام بذلك إلى اتخاذ إجراءات تأديبية وفقًا للفقرة 11.

- عدم الامتثال: عند اختراق السياسة من قبل شخص خاضع لها قد يتعرض لإجراءاتٍ تأديبية بما في ذلك إنهاء العمل وإنهاء خدمات العقود.

- مراجعة السياسة: تتم مراجعة سياسة أمن المعلومات وجميع سياسات المنظمة الأخرى ما لم ينص على خلاف ذلك على أساس سنوي على الأقل من قبل مدير تكنولوجيا المعلومات بالمجموعة.

- موافقة والتزام الإدارة العليا: تلتزم الإدارة العليا في دار الرياض بسياسة أمن المعلومات وتسعى إلى توفير المدخلات والتعليقات والمساعدات والموارد اللازمة لتقديم التسليم المستمر والتحسين المستمر لأمن المعلومات الناجح.