من الضروري أن تقوم “جهة العمل” بتصنيف أصول معلوماتها للمساعدة في إدارتها وحمايتها، وذلك من خلال النظر في مدى إمكانية أن يُلحق ضرر بـ “جهة العمل” في حالة لنشر غير المقصود أو التعديل أو الخسارة لهذه المعلومات. ويمكن القيام بذلك عن طريق تحديد ما ينبغي حمايته وما يمكن الاطلاع عليه ومن المصرَح له بذلك من الموظفين والعامة والأطراف الأخرى

تصف سياسة تصنيف المعلومات المبادئ التي يجب اتباعها لحماية المعلومات، وذلك من خلال تحديد كيف ولمن يمكنك نشر هذه المعلومات بتصنيف معين من أجل الحفاظ على خصوصية وسلامة وتوفر أصول المعلومات بـ “جهة العمل”. ومن خلال إنشاء هذا النظام، ستحدد هذه السياسات متطلبات التعامل مع البيانات لتوفير أساسيات حمايتها في “جهة العمل”.

تسري هذه السياسة على جميع البيانات أو المعلومات التي يتم إنشاؤها أو جمعها أو تخزينها أو معالجتها في “جهة العمل”، سواء كانت في شكل إلكتروني أو غير إلكتروني، وبصرف النظر عن مكان وجود هذه البيانات أو نوع الجهاز المخزنة به، وبالتالي ينبغي أن يستخدمها جميع الموظفين، والأطراف الأخرى التي تتعامل مع البيانات التي تحتفظ بها “جهة العمل” أو تخصها.

يجب وضع جميع البيانات في “جهة العمل” في أحد التصنيفات التالية:

• سرية (مقيدة): تعرّف البيانات السرية على أنها عالية الحساسية، ويسبب الكشف عنها أو فقدانها أو تدميرها أضرار كبيرة لشخص أو أكثر أو جهة العمل. ويمكن أن تشمل ما يلي:
  
  • البيانات الشخصية للموظفين أو العملاء في جهة العمل، مثل هوية المستخدم (User ID) والضمان الاجتماعي أو أرقام الهوية الوطنية وأرقام جواز السفر وأرقام بطاقات الائتمان وأرقام رخصة القيادة، والسجلات الطبية.
  • بيانات المصادقة: مثل مفاتيح التشفير الخاصة، واسم المستخدم وكلمة المرور.
  • السجلات المالية: مثل أرقام الحسابات المالية.
  • المواد التجارية: مثل الوثائق أو البيانات التي تكون ملكية فكرية فريدة أو محددة.
  • البيانات القانونية: بما في ذلك البيانات المصرح بها للجهات القانونية فقط.
•   حساسة (داخلية): وهي البيانات ذات المخاطر المنخفضة ونشرها أو فقدها أو تدميرها لن يكون له تأثير كبير على الأشخاص أو جهة العمل، ولكن لا يجوز نشرها خارج جهة العمل، وغالباً تشتمل على ما يلي:
  
  • البريد الإلكتروني، معظم الرسائل يمكن حذفها أو نشرها دون أن تتسبب في أضرار (باستثناء البريد الإلكتروني من الأشخاص الذين يتم تحديدهم في التصنيف السري).
  • الوثائق والملفات التي لا تتضمن بيانات سرية.
  • أي بيانات مصنفة على أنها غير سرية. ويمكن أن تشمل معظم بيانات الأعمال، حيث أن معظم الملفات التي يتم إدارتها أو استخدامها يومياً يمكن تصنيفها على أنها حساسة. ومن أمثلة هذه البيانات محاضر الاجتماعات وخطط العمل والتقارير الداخلية للمشاريع.
• عامة (غير مقيدة): وهي البيانات التي يمكن الكشف عنها للعامة وتشمل البيانات والملفات التي لا تعتبر حرجة بالنسبة لاحتياجات وعمليات العمل، والتي يتم نشرها عمداً لاستخدامها حيث يكون تأثيرها محايداً أو إيجابياً على “جهة العمل”، مثل المواد التسويقية أو الإعلانات.
• الالتزام: يجب أن يلتزم الشركاء أو من يعمل مع “جهة العمل” من جهات خارجية بهذا التصنيف الأمني للبيانات.

البيانات هي أحد الأصول الرئيسية لدى “جهة العمل” التي تتطلب إجراءات ومسؤوليات لحمايتها. وينبغي حماية البيانات المصنفة بشكل مختلف في التخزين والنقل والوصول وغير ذلك لضمان عدم كشفها أو نشرها أو تعديلها.

تتناول سياسة حماية البيانات، البيانات المخزنة (الإلكترونية أو السجلات الورقية) التي تحتفظ بها “جهة العمل”، وكذلك الأشخاص الذين يستخدمونها والطرق التي يتبعونها في التعامل بها والأجهزة المستخدمة للوصول إليها، لضمان سرية البيانات، والحفاظ على معايير الجودة في حماية البيانات. 

كما تقوم هذه السياسة بتحديد المتطلبات والمسؤوليات الأساسية للإدارة السليمة لأصول البيانات في “جهة العمل”، وتحدد وسائل التعامل مع البيانات ونقلها داخل “جهة العمل”.

تسري هذه السياسة على جميع من يقوم بالأعمال من النظم والأشخاص وطرق العمل، ويشمل ذلك جميع المدراء التنفيذيين واللجان والإدارات والشركاء والموظفين والأطراف الأخرى الذين لديهم إمكانية الوصول إلى نظم البيانات أو البيانات المستخدمة لأغراض “جهة العمل”.

• المسؤول عن البيانات

  • يجب أن تخضع جميع أصول البيانات الهامة لمسؤول ويجب أن يكون المسؤول أحد الموظفين الذي تتناسب خبرته مع قيمة الأصول التي سيتولى إدارتها وحمايتها.
  • يجب عدم تكليف موظف مسؤول رسمي للبيانات التي ليس لها تصنيف أمني وتكون ذات قيمة عملية محدودة، كما يجب التخلص من البيانات إذا لم يكن هناك حاجة قانونية أو تشغيلية لإبقائها، وينبغي تعيين المسؤولين المؤقتين لهذه البيانات داخل كل إدارة لضمان إتمام عملية التخلص منها.
  • يكون منشئ المستندات الجديدة التي لها استخدام داخلي محدد على المدى القصير هو المسؤول عنها، وهذا يشمل الرسائل والخطط والجداول والتقارير، كما يجب إبلاغ جميع الموظفين بمسؤوليتهم عن الوثائق التي ينشئونها.
  • يجب تعيين مسؤول موثوق وتحديد مسؤولياته بشكل واضح اتجاه أصول البيانات التي يتم استخدامها في “جهة العمل” على نطاق واسع. وينبغي أن يملك هذا الشخص القدرة على التحكم في هذه البيانات.

• تخزين البيانات

  • يتم تخزين جميع البيانات الإلكترونية على المنظومات الخاصة بها حتى يسمح بإجراء نسخ احتياطية منتظمة.
  • يجب عدم السماح للموظفين للوصول إلى البيانات إلا بعد أعلامهم وموافقتهم على شروط الاطلاع على البيانات التي سيتعاملون معها.
  • قواعد البيانات التي تحتوي على بيانات شخصية يكون لها إجراءات محددة لإدارتها وتأمين السجلات والوثائق. 

• الكشف عن البيانات

  • في حالة مشاركة البيانات المقيدة مع “جهة عمل” أخرى، يجب الحرص في الكشف عن هذه البيانات وأن يتم بطريقة آمنة.
  • عندما يتم الإفصاح عن البيانات أو مشاركتها، يجب أن يتم ذلك فقط وفقاً لبروتوكول مشاركة البيانات الموثق أو اتفاقية تبادل البيانات.
  • يحظر الإفصاح عن البيانات المقيدة لأي “جهة عمل” خارجية بدون اتفاق مسبق.

تشمل السجلات جميع الوثائق والملفات التي ينتجها الموظفون في “جهة العمل”، سواء كانت إلكترونية أو ورقية. وطرق الاحتفاظ بها وأتلافها يعتبر أمراً ثابتاً وهاماً في العديد من القوانين التي يجب على معظم المؤسسات الامتثال لها.

الغرض من هذه السياسة هو التأكد من حماية السجلات والوثائق الضرورية لـ “جهة العمل” والحفاظ عليها وضمان التخلص من السجلات التي لم تعد مطلوبة أو التي لا قيمة لها في الوقت المناسب.

تسري هذه السياسة على جميع السجلات التي يتم إنشاؤها في سياق عمل “جهة العمل”، بما في ذلك الوثائق الأصلية ونُسخها، ويجب أن يمتثل جميع الموظفين لسياسات الاحتفاظ بالسجلات وإتلافها.

•  سجلات المحاسبة والمالية، وتشمل على:
  
  • الوثائق المتعلقة بكشوف المرتبات وإجراءات المحاسبة ودفاتر الحسابات الدائنة والجداول الزمنية، ودفاتر الحسابات والفواتير وتقارير نفقات الموظفين. ويجب الاحتفاظ بها خمس سنوات على الأقل.
  • ينبغي الاحتفاظ بصفة دائمة بتقارير المراجعة السنوية والبيانات المالية، والاحتفاظ بالخطط السنوية والميزانيات للمدة اللازمة لتنفيذها والرجوع إليها عند الحاجة.
    
• يجب الاحتفاظ بالعقود والمراسلات ذات الصلة بالعقود (بما في ذلك أي تعديلات على بنود العقد وجميع الوثائق الداعمة الأخرى).
• سجلات “جهة العمل” (محاضر الاجتماعات، التكاليف الموقعة من الإدارة، أختام “جهة العمل”، أحكام التأسيس واللوائح، سجلات المساهمة والتقارير السنوية) والتراخيص والتصاريح ووثائق التأمين يجب أن تحتفظ بشكل دائم.
• يجوز إتلاف المستندات المعتبرة في حكم المستندات ذات القيمة بعد اتخاذ الإجراءات اللازمة لتسجيل بياناتها أو ملخصها إذا مضى على استعمالها أو على إجراء آخر قيد فيها خمس سنوات إلا إذا كانت هذه المستندات محل فحص أو مراجعة أو كانت مطلوبة في دعوة قائمة أو كانت القوانين واللوائح أو تعليمات وزارة المالية تقرر الاحتفاظ بها لمدة أطول.

• الوثائق الإلكترونية:

  • المستندات الإلكترونية: وتشمل مكتبة برامج مايكروسوفت (Microsoft Office Suite)، ملفات (PDF). والاحتفاظ يعتمد أيضا على موضوع السجلات وتصنيف بياناتها.

  • البريد الإلكتروني: يعتمد الاحتفاظ برسائل البريد الإلكتروني على محتواها فلا ينبغي الاحتفاظ بجميعها، والبريد الإلكتروني الذي يتم حفظه يجب أن يكون مطبوعاً في نسخة ورقية وأن يُحتفظ به في الملف المناسب أو يتم تنزيله إلى ملف كمبيوتر ويتم الاحتفاظ به إلكترونيا أو على القرص كملف منفصل.

  • ملفات صفحة ويب: في جميع الأجهزة في محيط العمل، يجب أن يتم جدولة متصفحات الإنترنت لحذف ملفات جمع البيانات مرة واحدة في الشهر.

• الملفات والمستندات القانونية: 

  يتم الاحتفاظ بالأرشيف القانوني الخاص “بجهة العمل” بدون تحديد مدة على النحو التالي: 

  • ملفات الدعاوي القضائية وما يصدر فيها من أحكام ابتدائية ونهائية، وقرارات وأوامر المحاكم وكافة الملفات ذات الصلة.
  • المذكرات والآراء القانونية الصادرة عن المكاتب القانونية. 

• السجلات الشخصية: 

  • ملفات الموظفين وما يتضمنه من مستندات تخص حياتهم والوظيفية تحفظ بشكل دائم حتى بعد إنهاء علاقة الموظف “بجهة العمل”
  • سجلات الإدارية الوظيفية (وتشمل سجلات الحضور والانصراف، استمارة الطلبات، سجل تغيرات العمل، أوراق إنهاء الخدمة، نتائج الاختبارات، سجلات التدريب) يتم الاحتفاظ بها وفق الحاجة إليها وللمدة اللازمة وفق تقديرات “جهة العمل”سجلات وأوراق امتحانات شغل الوظائف: تحتفظ “جهة العمل” بأوراق إجابة الامتحانات التحريرية والسجلات والقوائم وسائر الوثائق المتعلقة بالامتحانات التي تجريها لمدة سنتين تبدأ من تاريخ اعتماد نتيجة الامتحان.
•  سجلات ومستندات تتمتع “جهة العمل” بسلطة تقديرية في تحديد المدة اللازمة للاحتفاظ بها وترتبط السلطة التقديرية باستمرار حاجة “جهة العمل” لها أو استخدامها والرجوع إليها ومنها:
  • التقارير الاستشارية.
  • دليل السياسات والإجراءات (الأصلي / النسخ)
  • التقارير السنوية.

• إجراءات أتلاف الوثائق:

  • يجب عدم إزالة أو أتلاف السجلات ألا أن كانت مصنفة بذلك أو عند انتهاء مدة الاحتفاظ بها.

  • عند الاحتفاظ بالسجلات خلال الفترة المحددة لها في جداول الاحتفاظ، يتم إعدادها للإتلاف.

  • الوثائق المالية يتم إتلافها والتخلص منها وفق الإجراءات المحددة بلائحة الميزانية والحسابات والمخازن:

  • الوثائق المالية وسجلات المتعلقة بالموظفين يتم أتلافها بوسيلة تضمن إتلاف المستندات إتلافا كلياً

  • يتم التخلص من البيانات الإلكترونية المحتفظ بها في الوسائط الأخرى عن طريق الإتلاف المادي لتلك الوسائط.

  • يجب أن تتم عملية أتلاف السجلات بشكل آمن وكامل.

  • يجب تسجيل عملية الإتلاف في وثيقة رسمية لأتلاف البيانات داخل “جهة العمل”.

  •  

توضح هذه السياسة البيانات التي يمكن نشرها داخلياً وخارجياً والأساليب التي تنشر بها هذه البيانات، كما توضح النوع المحدد من البيانات التي سيتم الكشف عنها والتي لا يجوز الكشف عنها.

• بيانات لا يمكن الكشف عنها
  • البيانات الشخصية، وتشمل سجلات الموظفين والبيانات الطبية، وبيانات عن الراتب والمزايا.
    
  • البيانات المالية.
    
  • المسائل والإجراءات القانونية أو التأديبية أو محاضر التحقيق ويتم إعلان صاحب الشأن بالطرق الرسمية.
    
  • جميع البيانات السرية.
    
• البيانات التي يتعين الكشف عنها فيما يتعلق بارتباط مع جهات عمل الأخرى
  • ملخصات المشروع الأولية.
    
  • البيانات والمعلومات التي ترى “جهة العمل” ضرورة نشرها لاستخدامها أو لأخذ العلم بها.
    

الغرض من هذه السياسة ضمان حماية البيانات الشخصية والبيانات السرية من الاستخدام غير المصرح به أو كشفها، وكذلك لتسهيل تحديد البيانات الجائز نشرها أو الكشف عنها. وقد وضعت هذه السياسة أيضا لحماية الملكية الفكرية لـ “جهة العمل”.

تسري هذه السياسة على جميع البيانات المنجزة والمتحصل عليها أو التي تم جمعها وتخزينها من قبل “جهة العمل”.

• البيانات المصنفة على أنها غير مقيدة يمكن أن تكون متاحة للعامة وجميع الموظفين وكذلك الأطراف الأخرى.
  
• البيانات التي تحتاج إلى الحماية يمكن الوصول إليها عن طريق الوصول المصرح به، مثل الموظفين أو الشركاء وفق مبدأ “الحاجة إلى المعرفة” لأغراض ذات صلة بالأعمال. وينبغي منح هذا التصريح لفترة محددة وتحددها الإدارة الأعلى مستوى.
  
• تقتصر البيانات السرية على مجموعة من الأشخاص في وظيفة معينة تتطلب طبيعة عملهم ضرورة الوصول إلى البيانات السرية التي تحتفظ بها “جهة العمل“. 
  
• البيانات المقيدة يتم الوصول إليها بموجب إجراءات رسمية ولأفراد متخصصين ومحددين على أساس الوظيفة.
  

تحدد “جهة العمل” التصنيف الأمني لأصول البيانات ويوضح هذا التصنيف نوع البيانات التي يمكن عرضها أو الوصول إليها من قبل الموظفين أو الأطراف الأخرى. وكل مستوى من هذا التصنيف كالبيانات الحساسة أو البيانات السرية يتطلب تصريح مختلف من الإدارة العليا للوصول إليه.

الغرض من هذه السياسة هو الحد من خطر ضياع البيانات أو الكشف عنها بشكل يؤثر على سلامة أو سرية أو وفرة أصول هذه البيانات، وذلك من خلال التحكم في الوصول إليها بتحديد من المصرح له بذلك ومن يستطيع استخدامها.

تسري هذه السياسة على جميع البيانات من التقارير والمستندات والوثائق التي تم إصدارها أو جمعها من قبل “جهة العمل”.

• الأفراد المصرح لهم فقط يمكنهم الوصول إلى البيانات المتوفرة بشكل كامل. 
• المستخدمين يُصرَح لهم الوصول للبيانات واستخدامها عند الطلب. 
• المصرح لهم فقط من الموظفين أو المجموعات أو المنظمات يمكنهم الوصول للبيانات اللازمة لإجراء العمل فقط، كما أن قيمة الملكية الفكرية محمية عند استخدام هذه البيانات.