قرار المجلس التنفيذي رقم (13) لسنة 2012
بشأن
أمن المعلومات في حكومة دبي
ـــــــــــــــ
نحن حمدان بن محمد بن راشد آل مكتوم ولي عهد دبي رئيس المجلس التنفيذي
بعد الاطلاع على قانون العقوبات الصادر بالقانون الاتحادي رقم (3) لسنة 1987 وتعديلاته،
وعلى القانون الاتحادي رقم (7) لسنة 2002 في شأن حقوق المؤلف والحقوق المجاورة وتعديلاته،
وعلى القانون الاتحادي رقم (1) لسنة 2006 في شأن المعاملات والتجارة الإلكترونية،
وعلى القانون الاتحادي رقم (2) لسنة 2006 في شأن مكافحة جرائم تقنية المعلومات،
وعلى القانون رقم (2) لسنة 2002 بشأن المعاملات والتجارة الإلكترونية،
وعلى القانون رقم (3) لسنة 2003 بشأن إنشاء مجلس تنفيذي لإمارة دبي،
وعلى قانون إدارة الموارد البشرية لحكومة دبي رقم (27) لسنة 2006 وتعديلاته،
وعلى القانون رقم (7) لسنة 2009 بإنشاء حكومة دبي الإلكترونية،
وعلى القانون رقم (8) لسنة 2010 بشأن دائرة الرقابة المالية وتعديلاته،
قررنا ما يلي:
أهداف نظام أمن المعلومات
المادة (2)
يهدف نظام أمن المعلومات إلى تحقيق ما يلي:
1- إيجاد وتطوير إستراتيجية متكاملة، وسياسة موحدة، لأمن المعلومات وأنظمة المعلومات الخاصة بالحكومة وحمايتها من الاعتداء عليها أو من المخاطر التي تهددها باعتبارها ذات قيمة إستراتيجية وحيوية للإمارة.
2- إيجاد بيئة آمنة وموثوقة لتخزين وحفظ المعلومات الخاصة بالحكومة، واعتماد أفضل الوسائل الفعّالة التي تساعد على الحد من المخاطر المتعلقة بانتهاك أمن المعلومات.
3- تعزيز الوعي حول أهمية أمن المعلومات، من أجل ضمان ثقافة إلكترونية آمنة ومجتمع معلوماتي آمن.
4- تحديد أدوار ومسؤوليات الجهات الحكومية والموظفين العاملين لديها والمتعاملين معها، فيما يتعلق بأمن المعلومات بشكل واضح وعلى نحو يحول دون وقوع أي تضارب أو ازدواج في تلك الأدوار والمسؤوليات.
5- وضع الآليات التي تكفل الاستجابة للحوادث المتصلة بأمن المعلومات على نحو فعّال، وتحديد الممارسات والإرشادات التي تسهم في الحد من مخاطر تلك الحوادث.
6- ضمان أفضل أداء لأمن أنظمة المعلومات المطبقة لدى الجهات الحكومية بصورة تساعد هذه الجهات على القيام بمهامها المنوطة بها وتحقيق أهدافها الإستراتيجية بشكل آمن وفعّال.
مكوّنات نظام أمن المعلومات
المادة (4)
يتكوّن نظام أمن المعلومات مما يلي:
أ- المجالات المرتبطة بأمن المعلومات، والتي تتوزع إلى ثلاثة محاور رئيسة تتعلق بحوكمة أمن المعلومات وعمليات تشغيلها وضمان حمايتها، ويكون لكل مجال هدف يسعى نظام أمن المعلومات إلى تحقيقه، وهذه المجالات والأهداف المتعلقة بها هي:
1- إدارة وحوكمة أمن المعلومات، ويهدف هذا المجال إلى تأكيد أهمية وجود مفهوم أمن المعلومات في برامج وإستراتيجيات الجهات الحكومية.
2- إدارة المعلومات والأصول المتعلقة بها، ويهدف هذا المجال إلى منع الدخول غير المُصرّح به إلى المعلومات التي تصنف بأنها سرية، والمحافظة على الأوعية التي تحوي المعلومات الخاصة بالجهات الحكومية.
3- إدارة الحوادث والمشاكل، ويهدف هذا المجال إلى ضمان معالجة حوادث ونقاط ضعف أمن المعلومات، والإبلاغ عنها بطريقة تسمح باتخاذ إجراءات تصحيحية في الوقت المناسب من قبل الجهات الحكومية.
4- إدارة المخاطر، ويهدف هذا المجال إلى وضع وتطوير خطة لمواجهة ومعالجة المخاطر المتعلقة بأمن المعلومات من خلال تحديد التهديدات المحتملة للمعلومات وأنظمة المعلومات الخاصة بالحكومة ونقاط ضعفها ومجالات تحسين مستوى حمايتها.
5- ضبط الدخول، ويهدف هذا المجال إلى حفظ وحماية سرية المعلومات وضمان بقائها صحيحة وسليمة ومتطابقة لدى الجهات الحكومية وذلك من خلال ضبط الدخول إلى هذه المعلومات.
6- إدارة العمليات والنظم والاتصالات، ويهدف هذا المجال إلى الحد من المخاطر المرتبطة بالعمليات اليومية لأنظمة المعلومات والتطبيقات والشبكات وأدوات الاتصال سواء المستخدمة لدى الجهات الحكومية أو المخصصة للمتعاملين معها.
7- التخطيط لاستمرارية الأعمال والأنشطة، ويهدف هذا المجال إلى التحقق من أن خدمات تقنية المعلومات وبنيتها التحتية قادرة على مقاومة المخاطر الناجمة عن الأخطاء أو الحوادث أو الهجمات بغية توفير المعلومات والمحافظة على سير العمل لدى الجهات الحكومية.
8- امتلاك وتطوير وإدارة نظم المعلومات، ويهدف هذا المجال إلى دمج أمن المعلومات في دورة امتلاك أو تطوير أنظمة المعلومات لمنع التعديل غير المُصرّح به على هذه الأنظمة أو إساءة استخدام المعلومات الخاصة بالحكومة ووضع أسس البرمجة الآمنة.
9- حماية البيئة المحيطة بالمعلومات، ويهدف هذا المجال إلى منع الأضرار والتهديدات والعبث في المرافق الخاصة بمعالجة المعلومات ومصادرها لدى الجهات الحكومية.
10- دور ومسؤوليات الموارد البشرية، ويهدف هذا المجال إلى تحديد أدوار ومسؤوليات موظفي الجهات الحكومية والمتعاملين معها المتعلقة بالمعلومات ومرافق المعالجة الخاصة بها، وذلك للحد من أية مخاطر أو انتهاكات مرتبطة بهذا الشأن.
11- التنظيم التشريعي والرقابة، ويهدف هذا المجال إلى تحديد التشريعات اللازمة في مجال تقنية المعلومات وتوعية الموظفين والمتعاملين بها لتفادي أية انتهاكات أو مخالفات لهذه التشريعات.
12- ضمان أمن المعلومات وتقييم الأداء، ويهدف هذا المجال إلى اختيار وتنفيذ وتطوير تدابير أمن المعلومات التي تساعد على صنع القرار داخل الجهات الحكومية وتحسين أدائها.
ب- الضوابط الرئيسة والفرعية التي يتم من خلالها تحقيق أهداف المجالات المبيّنة في الفقرة (أ) من هذه المادة.
ج- المصطلحات الفنية المتصلة بتقنية المعلومات ومعانيها بشكل واضح ودقيق.
تشكيل اللجنة
المادة (6)
أ- تُشكّل بموجب هذا القرار لجنة تسمى "لجنة أمن المعلومات"، برئاسة مدير عام الدائرة وعضوية كل من:
1- ممثل عن شرطة دبي نائباً للرئيس.
2- ممثل عن الإدارة العامة لأمن الدولة.
3- ممثل عن الأمانة العامة للمجلس التنفيذي.
4- ثلاثة ممثلين عن جهات حكومية وخاصة يحددها مدير عام الدائرة.
5- ممثلين اثنين عن الدائرة يكون أحدهما مقرراً للجنة.
ب- تتم تسمية ممثلي الجهات المشار إليها في الفقرة (أ) من هذه المادة من قبل مسؤولي تلك الجهات، ويُراعى عند تسمية هؤلاء الممثلين أن يكونوا من ذوي الخبرة في مجال أمن المعلومات.
اختصاصات اللجنة
المادة (8)
تتولى اللجنة القيام بما يلي:
1- دراسة نظام أمن المعلومات المعد من قبل الدائرة، واعتماده خلال مهلة لا تزيد على ثلاثة أشهر من تاريخ إحالته إليها من الدائرة.
2- متابعة تنفيذ نظام أمن المعلومات لدى الجهات الحكومية، ومدى التزامها بتطبيقه، ورفع التقارير اللازمة بهذا الشأن إلى رئيس المجلس التنفيذي للإمارة.
3- إجراء مراجعة دورية لنظام أمن المعلومات، وتقييم مستواه ومدى كفاءته في حماية المعلومات وأنظمة المعلومات الخاصة بالحكومة، وتحديد جوانب التطوير والتحديث التي يمكن إدخالها عليه، وجوانب الضعف والقصور التي تشوبه، وإصدار القرارات والتوصيات اللازمة بهذا الشأن.
4- دراسة التقارير المرسلة إليها من الجهات الحكومية حول نتائج تقييم مستوى المخاطر المتعلقة بأمن المعلومات لدى هذه الجهات وإصدار القرارات المناسبة بهذا الشأن.
5- التأكد من وجود خطة طوارئ خاصة بأمن المعلومات لدى الجهات الحكومية، وإجراء التقييم الدوري لهذه الخطة، وإصدار القرارات والتوصيات اللازمة بشأنها.
6- اقتراح التشريعات والسياسات والخطط والبرامج اللازمة لضمان مزيد من الحماية للمعلومات وأنظمة المعلومات الخاصة بالحكومة.
7- اقتراح التدابير اللازمة لتعزيز التنسيق والتعاون بين الجهات الحكومية في مجال أمن المعلومات، وتوحيد جهود هذه الجهات لحماية البنية التحتية لتقنية المعلومات لديها.
التزامات دائرة الرقابة المالية
المادة (10)
تتولى دائرة الرقابة المالية مراقبة تطبيق الجهات الحكومية لنظام أمن المعلومات، وإعداد التقارير اللازمة بهذا الشأن وتزويد اللجنة بنسخة منها.
التدابير والإجراءات
المادة (12)
يكون عرضة للمساءلة التأديبية كل موظف من موظفي الجهات الحكومية يخالف تدابير الأمن والسلامة المعتمدة لدى هذه الجهات بشأن حماية أمن المعلومات بصورة تؤدي إلى تغييرها أو تعديلها أو تدميرها أو إتلافها أو حذفها أو إلغائها أو فقدانها، وذلك مع عدم الإخلال بمسؤوليته المدنية أو الجزائية عند الاقتضاء.
ملكية نظام أمن المعلومات
المادة (14)
يعتبر نظام أمن المعلومات وكافة مكوّناته من البيانات والمعلومات والبرامج ملكاً للحكومة، ولهذه الأخيرة وحدها صلاحية التصرف به بأية صورة من الصور.
مهلة إعداد نظام أمن المعلومات
المادة (16 )
على الدائرة، خلال مهلة لا تزيد على ثلاثة أشهر من تاريخ العمل بهذا القرار، إعداد نظام أمن المعلومات وعرضه على اللجنة لاعتماده، وإرساله بعد الاعتماد إلى الجهات الحكومية لتطبيقه والعمل بمقتضاه.
الإلغاءات
المادة (18)
يُلغى أي نص ورد في أي قرار آخر إلى المدى الذي يتعارض فيه وأحكام هذا القرار.