التعريفات
المادة (1)
يكون للكلمات والعبارات التالية، حيثما وردت في هذا القرار، المعاني المبيّنة إزاء كل منها، ما لم يدل سياق النص على خلاف ذلك:
الإمارة: إمارة دبي.
الحكومة: حكومة دبي.
الجهات الحكومية: الدوائر الحكومية والهيئات والمؤسسات العامة والمجالس والسلطات بما في ذلك سلطات المناطق الحرة، وأية جهة أخرى تابعة للحكومة.
الدائرة: دائرة حكومة دبي الإلكترونية.
المعلومات: المعلومات والبيانات والوثائق وأوعية المعلومات سواء كانت مطبوعة أو مكتوبة على الورق أو مخزنة إلكترونياً أو معالجة أو مرسلة بالبريد أو من خلال الوسائل الإلكترونية أو التي تظهر في التسجيلات المرئية أو المسموعة أو التي يُتلفظ بها في المحادثات المباشرة أو في أية وسيلة من وسائل الاتصال.
أنظمة المعلومات: أي نظام محوسب أو يدوي تطبقه الجهات الحكومية بهدف إدارة ومعالجة المعلومات.
أمن المعلومات: أي إجراء أو تدبير يتخذ لحماية أنظمة المعلومات أو المعلومات من الوصول إليها أو استخدامها أو الكشف عنها أو تعطيلها أو تعديلها أو تدميرها أو إلغائها أو حذفها بشكل غير مُصرّح به.
حوكمة أمن المعلومات: مجموعة فرعية من حوكمة المؤسسات، تتكوّن من التوجيه الإستراتيجي والبناء التنظيمي والإجراءات الضرورية التي تكفل حماية مصادر المعلومات الحيوية وسريتها.
نظام أمن المعلومات: الإطار العام لأمن المعلومات المعتمد من اللجنة.
اللجنة: لجنة أمن المعلومات المشكّلة بمقتضى هذا القرار.
نطاق تطبيق نظام أمن المعلومات
المادة (3)
أ- يطبق نظام أمن المعلومات على:
1- الجهات الحكومية والموظفين العاملين لديها.
2- المعلومات الخاصة بالحكومة بغض النظر عن نوعها والوعاء الذي يحويها.
3- الأشخاص والجهات الذين تتطلب طبيعة الأنشطة التي يزاولونها الدخول إلى أنظمة المعلومات الخاصة بالجهات الحكومية.
ب- يُستثنى من تطبيق نظام أمن المعلومات الجهات الحكومية التي تقرر اللجنة عدم إخضاعها له إما بصورة كلية أو جزئية إذا كانت تكاليف تطبيقه لدى تلك الجهات تفوق مستوى المخاطر المتوقعة، أو تفوق أهمية المعلومات المراد حمايتها.
التزامات الدائرة
المادة (5)
لغايات هذا القرار، تتولى الدائرة القيام بما يلي:
1- إعداد نظام أمن المعلومات وعرضه على اللجنة لاعتماده.
2- تزويد الجهات الحكومية بنظام أمن المعلومات المعتمد من اللجنة، وتقديم التوعية والإرشادات اللازمة لتطبيقه والعمل بمقتضاه.
3- وضع إستراتيجية فاعلة تقوم على تعزيز الشراكة والتعاون وتبادل المعلومات والخبرات بين الجهات الحكومية والقطاع الخاص في مجال أمن المعلومات.
4- وضع خطة طوارئ عامة على مستوى الحكومة والجهات الحكومية للمحافظة على أمن المعلومات ومراقبة تنفيذها، وإجراء التجارب العملية لاختبار نجاح هذه الخطة لضمان عدم تعرض المعلومات وأنظمة المعلومات للمخاطر والتهديدات المحتملة، ورفع التقارير اللازمة بهذا الشأن إلى اللجنة.
5- إخطار الجهات الحكومية بالحوادث الطارئة التي يمكن أن تؤثر على أمن المعلومات، وتزويد هذه الجهات بالتدابير والإجراءات التي تكفل التقليل من مستوى المخاطر المحتملة بهذا الشأن.
6- اتخاذ الإجراءات اللازمة لمواكبة الحلول العالمية المبتكرة في مجال أمن المعلومات، والاستفادة منها في بناء وتحديث وتطوير تقنية فعّالة لحماية المعلومات وأنظمة المعلومات الخاصة بالحكومة.
7- وضع وتصميم وتنفيذ برامج تدريبية متخصصة في مجال أمن المعلومات تواكب التطور التقني في هذا المجال وتفضي إلى تطبيق أفضل الممارسات اللازمة لحماية المعلومات والتصدي للمخاطر التي تهددها.
8- نشر ثقافة أمن المعلومات لدى موظفي الجهات الحكومية والمتعاملين معها، ووضع برامج التوعية والتثقيف المناسبة في هذا الشأن.
9- توفير الدعم الفني والإداري للجنة، ومتابعة تنفيذ القرارات والتوصيات الصادرة عنها.
10- التنسيق مع الجهات الحكومية بشأن سبل تطوير نظام أمن المعلومات، وتصويب أية ثغرات تعترض تطبيقه لدى تلك الجهات.
11- التنسيق مع الجهات الحكومية بشأن الإجراءات اللازمة لتنفيذ خطة الطوارئ العامة على مستوى الحكومة.
اجتماعات اللجنة
المادة (7)
أ- تعقد اللجنة اجتماعاتها بدعوة من رئيسها أو نائبه في حال غيابه مرة واحدة كل ثلاثة أشهر على الأقل، وكلما دعت الحاجة، وتكون اجتماعاتها صحيحة بحضور أغلبية أعضائها على أن يكون من بينهم رئيس اللجنة أو نائبه.
ب- تُصدِر اللجنة توصياتها وقراراتها بالإجماع أو بأغلبية أصوات أعضائها الحاضرين، وفي حال تساوي الأصوات يرجح الجانب الذي منه رئيس الاجتماع.
ج- يكون للجنة الاستعانة بمن تراه مناسباً من ذوي الخبرة والاختصاص، دون أن يكون لهم صوت معدود في مداولاتها.
د- تدوّن اجتماعات اللجنة وقراراتها في محاضر خاصة يوقع عليها رئيس الاجتماع والأعضاء الحاضرون.
التزامات الجهات الحكومية
المادة (9)
تلتزم الجهات الحكومية بما يلي:
1- تزويد اللجنة خلال مدة أقصاها ستة أشهر من تاريخ إرسال نظام أمن المعلومات إليها بوثيقة مواءمة تتضمن بيان مجالات النظام القابلة للتطبيق لديها، وكذلك بجدول زمني يبين خطط وآليات ومراحل تطبيق هذه المجالات.
2- وضع البرامج والأنظمة التقنية والسياسات والإجراءات التي تحكم عملياتها بما يضمن تطبيق نظام أمن المعلومات بصورة تتلاءم وتتواءم مع نوع المعلومات الموجودة لديها وطبيعتها وأهميتها ومدى حساسيتها وسريتها.
3- إطلاع الموظفين العاملين لديها والمتعاملين معها على نظام أمن المعلومات وتدريبهم على تطبيقه بما يحويه من مجالات وأهداف وضوابط، ومراقبة مدى التزامهم به.
4- اتخاذ تدابير الأمن والسلامة اللازمة لحماية المعلومات الموجودة لديها، بما في ذلك منع الدخول أو التعديل أو التغيير غير المُصرّح به لتلك المعلومات، وحمايتها من الفقدان أو التسرب أو التلف أو التدمير أو الإضرار بها بأية صورة كانت.
5- وضع خطة طوارئ داخلية تتوافق مع خطة الطوارئ العامة المعتمدة من الدائرة وذلك بهدف المحافظة على أمن المعلومات وأنظمة المعلومات المتوفرة لدى الجهة الحكومية، وإجراء تجارب عملية لاختبار هذه الخطة لضمان عدم تعرض تلك المعلومات والأنظمة للمخاطر والتهديدات المحتملة.
6- الاستجابة السريعة والفعّالة والمنظمة لأية حوادث قد تضر بالمعلومات وأنظمة المعلومات الخاصة بها، وإجراء التحقيق اللازم في هذه الحوادث، وإبلاغ الجهات المختصة واللجنة بذلك.
7- توفير التوعية الأساسية في مجال أمن المعلومات للموظفين العاملين لديها، الذين تتصل مهام عملهم بتقنية المعلومات، والتأكد من أن هؤلاء الموظفين يدركون مسؤولياتهم بشأن حماية أمن المعلومات، والتهديدات المحتملة لهذه المعلومات، والمخاطر والانتهاكات التي قد تتعرض لها.
8- إجراء مراجعة دورية لمجالات وضوابط نظام أمن المعلومات المطبقة لديها حسب تقييم مستوى المخاطر القائمة أو المحتملة، وذلك بهدف التحقق من مدى مواءمة هذه المجالات والضوابط مع طبيعة مهامها واختصاصاتها وقابليتها للتحديث ورفع التوصيات اللازمة بهذا الشأن إلى اللجنة.
9- تزويد اللجنة بتقارير دورية تتضمن نتائج تقييم مستوى المخاطر المتعلقة بأمن المعلومات لديها، والإجراءات المتخذة من قبلها في مجال تطبيق نظام أمن المعلومات.
التزامات موظفي الجهات الحكومية
المادة (11)
يجب على موظفي الجهات الحكومية التقيد بما يلي:
1- الالتزام بتطبيق نظام أمن المعلومات بما يضمن حماية المعلومات وأنظمة المعلومات الخاصة بالجهة الحكومية التي يعملون لديها.
2- عدم الإفصاح عن أية معلومات سرية، سواء بطبيعتها أو بحكم التعليمات الصادرة بشأنها، ما لم يتم الحصول على إذن خطي مسبق بذلك من قبل المرجع المختص في الجهة الحكومية التي يعملون لديها.
3- المحافظة على أمن المعلومات، وعدم القيام بأي إجراء من شأنه أن يؤدي إلى تغيير تلك المعلومات أو تعديلها أو تدميرها أو إتلافها أو حذفها أو إلغائها أو فقدانها ما لم يكن ذلك صادراً عن موظف مختص مُصرّح له بذلك.
4- إخطار رؤسائهم المباشرين والجهات المختصة عن أية تهديدات أو اختراقات أو انتهاكات أو حوادث يمكن أن تؤدي إلى كشف المعلومات المتوفرة لدى الجهة الحكومية التي يعملون لديها أو تغييرها أو تعديلها أو تدميرها أو إتلافها أو حذفها أو إلغائها أو فقدانها.
5- عدم استخدام أو استغلال المعلومات في غير الأغراض المحددة أو المخصصة لها.
6- عدم السماح لغير المخولين بالدخول إلى أنظمة المعلومات المطبقة لدى الجهات الحكومية التي يعملون لديها.
التزامات المتعاملين مع الجهات الحكومية
المادة (13)
على الأشخاص والجهات الذين تتطلب طبيعة الأنشطة التي يزاولونها الدخول إلى أنظمة المعلومات المطبقة لدى الجهات الحكومية، التقيد بالالتزامات التالية، وذلك تحت طائلة المسؤولية المقررة بموجب التشريعات السارية:
1- مراعاة التعليمات الصادرة عن الجهات الحكومية بشأن أمن المعلومات.
2- عدم القيام بأي فعل يكون من شأنه أن يؤدي إلى تغيير المعلومات الخاصة بالحكومة أو تعديلها أو تدميرها أو إتلافها أو حذفها أو إلغائها أو فقدانها.
3- عدم القيام بأي فعل من شأنه أن يؤدي إلى تعطيل أنظمة المعلومات الخاصة بالحكومة بصورة تصبح معها غير صالحة أو غير قادرة على القيام بوظائفها.
4- عدم استعمال أو استغلال المعلومات الخاصة بالحكومة لغير الأغراض المحددة لها.
5- عدم نسخ أو نشر أية معلومات خاصة بالحكومة إلا بعد الحصول على الموافقة الخطية المسبقة من الجهة الحكومية المعنيّة.
6- عدم السماح لغير المخولين بالدخول إلى أنظمة المعلومات المطبقة لدى الجهات الحكومية التي يتعاملون معها.
تعديل نظام أمن المعلومات
المادة (15)
يكون لمدير عام الدائرة، وبناء على توصية اللجنة، تعديل أي من مجالات نظام أمن المعلومات وأهدافه وضوابط الوصول إلى هذه الأهداف بصورة تحقق غايات النظام المذكور وإخطار الجهات الحكومية التي تطبقه بذلك التعديل وذلك بعد اعتماده من اللجنة.
اللوائح التنفيذية
المادة (17)
يُصدر مدير عام الدائرة اللوائح والتعليمات اللازمة لتنفيذ أحكام هذا القرار.
النشر والسريان
المادة (19)
يُنشر هذا القرار في الجريدة الرسمية، ويُعمل به من تاريخ نشره.
حمدان بن محمد بن راشد آل مكتوم
ولي عهد دبي
رئيس المجلس التنفيذي
صدر في دبي بتاريخ 11 إبريل 2012م
المـوافـــــــــق 19 جمادى الأولى 1433هـ