تعتبر كلمة المرور أو كلمة السر عنصراً مهماً في مجال أمن المعلومات. فهي تستخدم كإثبات للهوية للموافقة على الوصول وذلك لحماية المستخدمين وحفظ خصوصيتهم، ولحماية البيانات والأنظمة والشبكات. على سبيل المثال يتم استخدامها لمصادقة مستخدمي أنظمة التشغيل والتطبيقات مثل البريد الإلكتروني والوصول عن بعد، كما تستخدم أيضًا لحماية الملفات والمعلومات المخزنة الأخرى. وفي ظل هذه الحاجة إلى كلمات المرور لأمور ذات أهمية عالية اقتضى ذلك تركيب كلمات سر قوية ذات تشفير عالي، بحيث لا يمكن لأحد توقعها أو استنتاجها.
الغرض من هذه السياسة هو تحديد سياسات وإجراءات كلمة السر/المرور لتقديم أفضل مستوى للخدمة مع أعلى درجات الحماية والخصوصية للمستخدمين.
تسري هذه السياسة على جميع الموظفين في (جهة العمل) وتطبق على جميع كلمات المرور المستخدمة على كافة الأجهزة وملحقاتها والخدمات المرتبطة بها والأنظمة وفي جميع التطبيقات التي تعد جزءًا من شبكة (جهة العمل) التي توفر الوصول إلى بيانات (جهة العمل) المملوكة.
1. فرض كلمة مرور قوية: يجب أن تكون كلمة المرور قوية وألا تتضمن في تركيبها الكلمات التي يسهل على الأخرين إيجادها، وذلك وفق الآتي:
2. يجب تخزين كلمة المرور بطريقة آمنة تضمن عدم كشفها
3. الحفاظ على سرية كلمات المرور: يجب عدم مشاركة أو كشف كلمة المرور مع أي شخص لأي سبب من الأسباب.
4. كلمات المرور الأولى (المؤقتة): يجب تغيير كلمات المرور الأولية للمستخدمين وفرض مدة انتهاء لصلاحيتها لإجبار المستخدم على تغييرها.
5. يتطلب فحص كلمات المرور الجديدة في قوائم كلمات المرور شائعة الاستخدام أو المخترقة.
6. يجب منع الولوج للأنظمة الداخلية والخاصة بعد 3 محاولات خاطئة خلال مدة زمنية لا تتجاوز 15 دقيقة. ويستمر المنع لمدة أقلها 30 دقيقة وأكثرها 3ساعات.
7. يجب على المستخدم في حالة أن يشتبه أو يلاحظ وجود مشكلة أمنية أو أن كلمة المرور الخاصة به قد تعرضت للاختراق الإبلاغ عن الحادث وتغيير جميع كلمات المرور.
8. يجب أن يُطلب من المستخدمين التوقيع على بيان للحفاظ على سرية كلمات المرور الشخصية؛ يمكن تضمين هذا البيان في شروط التوظيف.
9. يجب أن يكون المستخدم على علم ودراية أنه المسؤول الوحيد عن حماية كلمة السر/المرور الخاصة به.
يعتبر البريد الإلكتروني أداة اتصال أساسية في معظم مجالات الأعمال لسرعته وفعاليته العالية، ولأنه أصبح وسيلة معتمدة وتعبر عن الجهة المرسلة، أصبح من الضروري وضع سياسة استخدامه تفادياً للمشاكل التي قد تحدث بسبب سوء الاستخدام.
تحديد سياسات وإجراءات التعامل بالبريد الإلكتروني من خلال البنية الأساسية لشبكة (جهة العمل)، والتي يستهدف من خلالها حصول المستخدمين على أعلى درجات الحماية والتقليل من أضرار الاختراق وضمان استخدام مهني.
تسري هذه السياسة على جميع الموظفين الذين يمكنهم استخدام البريد الإلكتروني في (جهة العمل) وجميع المصنعين والعملاء الذين يعملون باسم (جهة العمل)، وعلى نظام البريد الإلكتروني المستخدم داخل (جهة العمل).
2. استخدام البريد الإلكتروني: يجب على جميع المستخدمين التقيد بما يلي عند استخدام البريد الإلكتروني الخاص بـ (جهة العمل):
3. الاستخدام الغير مقبول للبريد الإلكتروني: تعد الممارسات التالية غير مقبولة عند استخدام البريد الإلكتروني الخاص بـ(جهة العمل):
يعتبر الإنترنت أحد أكثر مصادر المعلومات استخدامًا، فهو يوفر موارد متعددة من البيانات والأفكار والأبحاث والأخبار، ويسهّل على المستخدمين الحصول على المعلومات والبيانات لتشجيعهم على إجراء الأبحاث وتبادل المنافع.
الوصول إلى الإنترنت من قبل الموظفين بشكل يتعارض مع احتياجات العمل قد يؤدي إلى إساءة استخدام الموارد، وهذا قد يعرض (جهة العمل) لمخاطر يجب معالجتها لحماية أصول المعلومات الخاصة بـ(جهة العمل). بالإضافة إلى ذلك قد تواجه (جهة العمل) خطر تشويه السمعة أو التعرض لمشاكل قانونية من خلال أنواع أخرى من سوء الاستخدام. يساعد اتباع سياسة استخدام الإنترنت في حماية كلاً من الموظف والمؤسسة من تبعات سوء استخدام الإنترنت.
تهدف هذه السياسة إلى تحقيق الاستخدام الآمن للإنترنت وذلك بتزويد الموظفين بالقواعد والمبادئ التوجيهية حول الاستخدام الملائم لمعدات وشبكة (جهة العمل) والاتصال بالإنترنت لضمان استخدام الموظفين للإنترنت بطريقة آمنة وأكثر فاعلية.
تنطبق هذه السياسة على جميع مستخدمي الإنترنت (الموظفين وجميع الأطراف الثالثة) الذين يتصلون بالأنترنت من خلال أجهزة الكمبيوتر أو الشبكات الخاصة بـ(جهة العمل) والخدمات المرتبطة بها.
2. الاستخدام المسموح
3. الاستخدام الشخصي:
4. الاستخدام المحظور:
تستخدم أجهزة الكمبيوتر وملحقاتها (طابعات، ماسحات ضوئية، أجهزة كمبيوتر محمولة، الخ) في أداء العمل يومياً بطريقة معقولة ومتناسبة مع أهداف واستراتيجيات (جهة العمل)، ولتقديم أفضل مستوى للخدمة مع أعلى درجات الحماية والخصوصية للمستخدمين، وضعت “سياسة محطات العمل” لضمان استخدام مهني لمحطات العمل.
تهدف هذه السياسة لحماية المستخدم ومحطات العمل من المخاطر المحتملة وذلك بتحديد سياسات وإجراءات استخدام أجهزة الكمبيوتر وملحقاتها في (جهة العمل).
تسري هذه السياسة على جميع الموظفين والمستخدمين الذين يستعملون أجهزة الكمبيوتر وملحقاتها والخدمات المرتبطة بها.