1.    المقدمة

أمن المعلومات هو نظام شامل ، بمعنى أن تطبيقه ، أو عدمه ، يؤثر على جميع جوانب بنك اليمن والكويت. الهدف من برنامج أمن المعلومات التابع لبنك اليمن والكويت (YKB) هو حماية سرية وسلامة وتوافر البيانات المستخدمة في بنك اليمن والكويت مع توفير قيمة للطريقة التي ندير بها الأعمال. حماية السرية والسلامة والتوافر هي مبادئ أساسية لأمن المعلومات ، ويمكن تعريفها على النحو التالي:

·        السرية - التأكد من أن المعلومات متاحة فقط للافراد وتلك الكيانات المصرح لها بالوصول ، والتي يتم فرضها في كثير من الأحيان من خلال مبدأ "الحاجة إلى المعرفة".

·        السلامة - حماية دقة واكتمال المعلومات والطرق المستخدمة لمعالجتها وإدارتها.

·        التوافر - التأكد من أن أصول المعلومات (أنظمة المعلومات والمرافق والشبكات وأجهزة الكمبيوتر) يمكن الوصول إليها واستخدامها عند الحاجة من قبل  فرد أو كيان مرخص.

كبنك طموح وتطلعي، يدرك بنك اليمن والكويت من المستويات العليا الحاجة إلى ضمان سير أعماله بسلاسة ودون انقطاع لصالح عملائه ومساهميه وأصحاب المصلحة الآخرين.

لقد أدرك بنك اليمن والكويت (YKB) أن معلومات أعمالنا هي أصول مهمة وبالتالي فإن قدرتنا على إدارة هذه الأصول والتحكم فيها وحمايتها سيكون لها تأثير مباشر وهام على نجاحنا في المستقبل.

من أجل توفير مثل هذا المستوى من التشغيل المستمر ، سيقوم بنك اليمن والكويت (YKB) بتنفيذ نظام إدارة أمن المعلومات (ISMS) بما يتماشى مع المعيار الدولي لأمن المعلومات ، IS0 / IEC 27001. يحدد هذا المعيار متطلبات ISMS على أساس أفضل الممارسات المعترف بها دوليا.

لتشغيل نظام إدارة أمن المعلومات (ISMS) العديد من الفوائد للأعمال في البنك، بما في ذلك:

·        حماية مصادر الإيرادات و الارباح لبنك اليمن والكويت (YKB) ؛

·        ضمان توفير المنتجات والخدمات الأمنة للعملاء ؛

·        الحفاظ على قيمة المساهم وتعزيزها ؛ و

·        الامتثال للمتطلبات القانونية والتنظيمية

قرر بنك اليمن والكويت الحصول على شهادة لـ ISO / IEC 27001 والاحتفاظ بها من أجل أن يتم التحقق من صحة التبني الفعال لأفضل ممارسات أمن المعلومات من قبل جهة خارجية مستقلة ، وهي هيئة تصديق مسجلة. بالإضافة إلى ذلك ، سيتم اعتماد التوجيهات الواردة في ضوابط الممارسات ISO / IEC 27017 و 27018 لأنها ذات صلة خاصة بمقدمي الخدمات السحابية.

تحدد هذه الوثيقة سياسة أمن المعلومات لبنك اليمن والكويت ، وتضع الإطار الذي يمكن من خلاله تطوير سياسات أمن المعلومات الأخرى لضمان قدرة بنك اليمن والكويت على إدارة ومراقبة وحماية أصول المعلومات التجارية وأصول المعلومات الموكلة إليه بكفاءة وفعالية. لبنك اليمن والكويت من قبل المساهمين والشركاء والعملاء والجهات الخارجية الأخرى.

تم بناء برنامج أمن معلومات البنك اليمن والكويت حول المعلومات الواردة في هذه السياسة والسياسات الداعمة لها.

2.    الغاية

الغرض من سياسة أمن المعلومات (ISMS) لبنك اليمن والكويت (YKB) هو وصف الإجراءات والسلوكيات المطلوبة لضمان توخي العناية الواجبة لتجنب المخاطر غير الملائمة على بنك اليمن والكويت وشركائه التجاريين وأصحاب المصلحة.

3.    النِطَاق

تطبق سياسة أمن المعلومات (ISMS) لبنك اليمن والكويت (YKB) على جميع الأنظمة والأفراد والعمليات التي تشكل أنظمة معلومات بنك اليمن والكويت (YKB) أو تتفاعل مع أي مصدر معلومات لبنك اليمن والكويت ، بما في ذلك أعضاء مجلس الإدارة والمدراء والموظفين والموردين والأطراف الثالثة الأخرى الذين لديهم حق الوصول إلى أنظمة بنك اليمن والكويت.

الوثائق الأخرى ذات الصلة بسياسة أمن المعلومات هذه تدعم وتوفر معلومات إضافية حول كيفية تطبيقها.

الوثائق والمستندات الداعمة التالية ذات صلة بسياسة أمن المعلومات هذه وتوفر معلومات إضافية حول كيفية تطبيقها:

[تفاصيل أحدث إصدار من كل من هذه الوثائق ووتائق أخرى متاحة في سجل وثائق نظام إدارة أمن المعلومات ISMS.]

4.    التزام إدارة البنك

يلتزم بنك اليمن والكويت (YKB) وإدارته التزاماً كاملاً بحماية سرية وسلامة أنظمة الحية والتشغيلية والمرافق والبيانات بالإضافة إلى توافر خدمات أنظمة معلومات بنك اليمن والكويت (YKB) من خلال تطبيق ضوابط أمنية مناسبة.

5.    بيان إدارة البنك

المدراء على جميع المستويات مسؤولون عن حماية معلومات بنك اليمن والكويت (YKB) ويجب عليهم توفير إجراءات معقولة لضمان الالتزام بسياسات وإجراءات أمن المعلومات.

يتحمل كل مدير المسؤولية العامة عن الأمن في مناطق سيطرته.

يجب أن يكون كل شخص مسؤولاً عن أمن المعلومات لأنشطته المتعلقة بوظيفته.

6.    بيان السياسة

·        يحافظ بنك اليمن والكويت على برنامج أمن المعلومات الذي يتألف من سياسات ومعايير وإجراءات وإرشادات خاصة بالمواضيع المتعلقة بأمن المعلومات والتي:

o         تعمل على حماية سرية وسلامة وتوافر موارد المعلومات المحفوظة في بنك اليمن والكويت باستخدام الضوابط الإدارية والمادية والفنية.

o         تقديم قيمة للطريقة التي ندير بها الأعمال في البنك ودعم الأهداف الإستراتيجية التشغيلية المؤسسية والشاملة للبنك.

o         الامتثال لجميع المتطلبات التنظيمية والقانونية ، بما في ذلك:

§        معيار أمان بيانات PCI ،

§        أفضل ممارسات أمن المعلومات ، بما في ذلك ISO 27002 و NIST CSF ،

§        الاتفاقيات التعاقدية،

§        جميع القوانين و اللوائح المعمول بها في الجمهورية اليمنية وبنك اليمن والكويت (YKB).

·        تتم مراجعة برنامج أمن المعلومات على الأقل سنويًا أو عند إجراء تغييرات مهمة في بيئة أمن المعلومات.

6.1  متطلبات أمن المعلومات

سيتم الاتفاق على تعريف واضح لمتطلبات أمن المعلومات داخل بنك اليمن والكويت والحفاظ عليه مع عملاء الأعمال الداخليين والخدمات السحابية ، وبالتالي فإن جميع أنشطة نظام إدارة أمن المعلومات ISMS تركز على تلبية هذه المتطلبات. كما سيتم توثيق المتطلبات القانونية والتنظيمية والتعاقدية وإدخالها في عملية التخطيط. سيتم استيعاب المتطلبات المحددة حول أمان الأنظمة أو الخدمات الجديدة أو المتغيرة كجزء من مرحلة التصميم لكل مشروع.

من المبادئ الأساسية لنظام إدارة أمن المعلومات لبنك اليمن والكويت أن الضوابط المطبقة مدفوعة باحتياجات العمل وسيتم إبلاغ ذلك بانتظام إلى جميع الموظفين من خلال اجتماعات الفريق ووثائق الإحاطة.

6.2  إطار تحديد أهداف أمن المعلومات

سيتم استخدام دورة منتظمة لتحديد أهداف أمن المعلومات ، لتتزامن مع دورة تخطيط الميزانية. سيضمن ذلك الحصول على التمويل الكافي لأنشطة التحسين المحددة. ستستند هذه الأهداف إلى فهم واضح لمتطلبات العمل، مستنيرًا بعملية مراجعة إدارة البنك التي يمكن خلالها الحصول على وجهات نظر الأطراف المعنية ذات الصلة.

سيتم توثيق أهداف أمن المعلومات لفترة زمنية متفق عليها ، بالإضافة إلى تفاصيل حول كيفية تحقيقها. سيتم تقييمها ومراقبتها كجزء من مراجعات الإدارة لضمان بقائها صالحة. إذا كانت التعديلات مطلوبة ، فستتم إدارتها من خلال عملية إدارة التغيير.

وفقًا لمعيار ISO / IEC 27001 ، سيتم اعتماد الضوابط المرجعية المفصلة في الملحق أ من المعيار عند الاقتضاء من قبل بنك اليمن والكويت. وستتم مراجعتها على أساس منتظم في ضوء نتائج تقييمات المخاطر وبما يتماشى مع خطط معالجة مخاطر أمن المعلومات. للحصول على تفاصيل حول أي من ضوابط الملحق أ التي تم تنفيذها والتي تم استبعادها ، يرجى الاطلاع على بيان قابلية التطبيق.

بالإضافة إلى ذلك ، سيتم اعتماد وتنفيذ ضوابط معززة وإضافية من قواعد الممارسة التالية عند الاقتضاء:

•       ISO / IEC 27002 - قواعد الممارسة لضوابط أمن المعلومات.

•       ISO / IEC 27017 - قواعد الممارسة لضوابط أمن المعلومات وفقًا لمعيار ISO / IEC 27002 للخدمات السحابية.

•       ISO / IEC 27018 - قواعد الممارسة لحماية معلومات التعريف الشخصية (PII) في الخدمات السحابية العامة التي تعمل كمعلومات تعريف الهوية الشخصية.

سيوفر اعتماد قواعد الممارسات هذه ضمانًا إضافيًا لعملائنا ويساعد بشكل أكبر في امتثالنا للتشريعات الدولية لحماية البيانات.

6.3  التحسين المستمر لنظام إدارة أمن المعلومات

سياسة بنك اليمن والكويت فيما يتعلق بالتحسين المستمر هي:

•        التحسين المستمر لفعالية نظام إدارة أمن المعلومات.

•        تحسين العمليات الحالية لجعلها تتماشى مع الممارسات الجيدة على النحو المحدد في ISO / IEC 27001 والمعايير ذات الصلة.

•        الحصول على شهادة ISO / IEC 27001 والحفاظ عليها بشكل مستمر.

•        زيادة مستوى الاستباقية (وتوقعات المعنين للنشاط الاستباقي) فيما يتعلق بأمن المعلومات.

•        جعل عمليات وضوابط أمن المعلومات أكثر قابلية للقياس من أجل توفير أساس سليم لاتخاذ قرارات مستنيرة.

•        مراجعة المقاييس ذات الصلة على أساس سنوي لتقييم ما إذا كان من المناسب تغييرها ، بناءً على البيانات التاريخية التي تم جمعها.

•        الحصول على أفكار للتحسين من خلال الاجتماعات المنتظمة وغيرها من أشكال الاتصال مع الأطراف المعنية بما في ذلك مزودي الخدمات السحابية.

•        مراجعة أفكار التحسين في اجتماعات إدارة البنك المنتظمة من أجل تحديد الأولويات وتقييم الجداول الزمنية والفوائد.

يمكن الحصول على أفكار للتحسينات من أي مصدر بما في ذلك الموظفين والعملاء والموردين وإدارات "تقنية المعلومات و تطوير الأنظمة و والذكاء الإصطناعي" وأي إدارات أخرى وموظفي أمن المعلومات وتقييمات المخاطر وتقارير الخدمات. بمجرد تحديدها سيتم تسجيلها وتقييمها كجزء من مراجعات الإدارة (إدارة البنك).

6.4  مجالات سياسة أمن المعلومات

يحدد بنك اليمن والكويت سياسة أمن المعلومات في مجموعة واسعة من المجالات المتعلقة بأمن المعلومات والتي تم وصفها بالتفصيل في مجموعة شاملة من وثائق السياسة التي تدعم هذه السياسة الشاملة لأمن المعلومات.

يتم تحديد كل من هذه السياسات والموافقة عليها من قبل شخص أو أكثر من ذوي الكفاءة في المجال ذي الصلة ، مع أمن المعلومات ، ومن ثم اعتمادها رسميًا من قبل المدير العام ،بمجرد اعتمادها  يتم إبلاغ المعنيين (الكيانات والأفراد ممن تنطبيق عليهم السياسة)، داخل وخارج بنك اليمن والكويت.

يوضح الجدول أدناه السياسات الفردية (السياسات التفصيلية) ضمن مجموعة الوثائق ويلخص محتوى كل سياسة والمستهدفين )الكيانات والأفراد ممن تنطبيق عليهم السياسة) من الأطراف المعنية.

6.5  الجدول 1: مجموعة من وثائق السياسة

7.    الامتثال للسياسة

تدخل هذه السياسة حيز التنفيذ فور نشرها. من المتوقع الامتثال لجميع سياسات ومعايير بنك اليمن والكويت. يمكن تعديل أي من السياسات والمعايير في أي وقت.

7.1  تتبع الامتثال والقياس والإبلاغ

سيتحقق فريق أمن المعلومات من الامتثال لهذه السياسة من خلال طرق مختلفة ، بما في ذلك على سبيل المثال لا الحصر، المراقبة و أنظمة المراقبة وتقارير أداة العمل والتدقيق الداخلي والخارجي والرفع  إلى مالك وثيقة السياسة.

يجب على أمن المعلومات تطوير ، واختبار ، ومراجعة ، وصيانة ، والرفع  بصورة واضحة  عن وضع أمن المعلومات على مستوى بنك اليمن والكويت (YKB) إلى إدارة بنك اليمن والكويت (YKB). إن أمن المعلومات مفوض لبدء وإنشاء الآليات والأنظمة والأدوات البرمجية لتتبع التنفيذ الفعال لضوابط أمن المعلومات المرتبطة بهذا السياسة وإنشاء تقارير تقيس امتثال الأفراد أو الوحدات لدعم اتخاذ القرار من قبل إدارة بنك اليمن والكويت (YKB).

سيتم إجراء مراجعات دورية لضمان ملاءمة وفعالية السياسات. قد تؤدي هذه المراجعات إلى تعديل أو إضافة أو حذف سياسات لتناسب احتياجات معلومات بنك اليمن والكويت بشكل أفضل.

7.2  الاستثناءات

قد يتم منح طلبات الاستثناءات لأي من سياسات أمن المعلومات (على أساس كل حالة على حدة) مع وجود ضوابط تعويضية للتخفيف من المخاطر. يجب تقديم أي طلبات استثناءات إلى رئيس أمن المعلومات أو من ينوب عنه للمراجعة والموافقة وفقًا لإجراءات/ سياسة الاستثناء.

7.3  عدم الامتثال

أمن المعلومات مفوض للتوجيه للحد من الوصول إلى الشبكة للأفراد أو الوحدات التي لا تمتثل لجميع سياسات أمن المعلومات التابعة لبنك اليمن والكويت (YKB) والإجراءات ذات الصلة. في الحالات التي تكون فيها موارد معلومات بنك اليمن والكويت (YKB) مهددة، يجب على رئيس أمن المعلومات أو من ينوب عنه التصرف في مصلحة بنك اليمن والكويت (YKB) من خلال تأمين موارد المعلومات بطريقة تتفق مع خطة إدارة حوادث أمن المعلومات لبنك اليمن والكويت (YKB).

في الحالات العاجلة التي تتطلب إجراءً فوريًا ، يُصرح لرئيس أمن المعلومات بالتوجيه والتوصية بفصل الأفراد أو الوحدات المتضررة من شبكة بنك اليمن والكويت (YKB).

في حالات عدم الامتثال لهذه السياسة ، يجوز لبنك اليمن والكويت (YKB) تطبيق العقوبات أو الإجراءات الإدارية المناسبة على الموظفين ، وفقًا للسياسات الإدارية وسياسات التوظيف ذات الصلة.

قد يخضع الموظف الذي يتبين أنه انتهك هذه السياسة لإجراء تأديبي يصل إلى ويتضمن إنهاء التوظيف.

قد يخضع أي مورد أو بائع أو مستشار أو مقاول يتبين أنه انتهك هذه السياسة لعقوبات تصل إلى وتشمل إزالة حقوق الوصول وإنهاء العقد (العقود) والعقوبات المدنية أو الجنائية ذات الصلة.

بالإضافة إلى ذلك ، يجوز لبنك اليمن والكويت ، وفقًا لتقديره ، السعي للحصول على تعويضات قانونية عن الأضرار التي تكبده نتيجة لأي انتهاك. قد يُطلب من البنك أيضًا بموجب القانون الإبلاغ عن بعض الأنشطة غير القانونية لوكالات التنفيذ المناسبة.

8.    المراجعة والقبول

يتحمل جميع موظفي بنك اليمن والكويت (YKB) مسؤولية مراجعة وقبول هذه السياسة: بيان سياسة أمن المعلومات "ISMS".

يجب على أي مستخدم لا يفهم الآثار المترتبة على هذه السياسة أو كيفية تطبيقها عليهم ، طلب المشورة من مديره المباشر.

يجب توجيه الأسئلة المتعلقة بأي سياسات ومعايير لبنك اليمن والكويت (YKB) في المقام الأول إلى المدير المباشر للموظف.