+41 52 511 3200 (سويسرا) + 1 713 955 7305 (الولايات المتحدة الأمريكية)
سياسة الأمن السيبراني

1. مقدمة وهدف

1.1 Rheonics تلتزم الشركة بحماية أصولها المعلوماتية، بما في ذلك البيانات الخاصة، ومعلومات العملاء، والملكية الفكرية، والبنية التحتية لتكنولوجيا المعلومات، من الوصول غير المصرح به، أو الاستخدام، أو الإفصاح، أو التغيير، أو التعطيل، أو التدمير.

1.2 تحدد هذه السياسة إطار العمل للحفاظ على بيئة آمنة لـ Rheonicsالعمليات الرقمية، بما يتماشى مع:

  • اللوائح: قانون حماية البيانات الفيدرالي السويسري، واللائحة العامة لحماية البيانات (إن وجدت)، وقوانين الولايات/القوانين الفيدرالية الأمريكية، وغيرها من القوانين الوطنية المعمول بها حيثما ينطبق ذلك Rheonics تعمل فيها.
  • المعايير: مبادئ الثقة الصفرية، ومعايير CIS، وإرشادات NIST (على سبيل المثال، SP 800-88، SP 800-171 عند الاقتضاء)، وإرشادات OWASP.

1.3 الأهداف:

  • حماية سرية وسلامة وتوافر البيانات والأنظمة (CIA).
  • تقليل مخاطر حوادث الأمن السيبراني وضمان استمرارية الأعمال.
  • تعزيز ثقافة الوعي الأمني ​​بين جميع الموظفين.
  • ضمان الامتثال للالتزامات القانونية والتنظيمية والتعاقدية.

 

2. نطاق

ينطبق على الجميع Rheonics الموظفون، والمتعاقدون، والمستشارون، والمتدربون، والمتطوعون، والأطراف الثالثة ("المستخدمون") الذين يصلون إلى Rheonics الأنظمة أو البيانات أو المرافق. يشمل:

2.1 الأصول

  • أجهزة التبخير
  • البرامج (بما في ذلك SaaS/IaaS/PaaS)
  • البيانات (الإلكترونية والمادية)
  • شبكات
  • المرافق المادية

أنشطة 2.2

  • العمل في الموقع
  • العمل عن بعد
  • استخدام الأجهزة المملوكة للشركة
  • استخدام الأجهزة الشخصية (BYOD)
  • نشاطات تطويرية
  • التفاعلات مع البائعين الخارجيين

 

3. الأدوار والمسؤوليات


النوعالواجبات الرئيسية
الإدارةدعم السياسات؛ تخصيص الموارد؛ ضمان الامتثال الشامل وإدارة المخاطر.
فريق تكنولوجيا المعلومات/الأمنتنفيذ/إدارة الضوابط؛ قيادة الاستجابة للحوادث؛ إجراء عمليات التدقيق والتقييم.
جميع المستخدمينالتزم بالسياسة؛ استخدم كلمات مرور قوية بالإضافة إلى المصادقة متعددة العوامل؛ أبلغ عن الحوادث على الفور؛ أكمل التدريب.

 

4. بيانات السياسة

4.1 أمن البيانات

  • التصنيف والتعامل: يجب تصنيف البيانات ومعالجتها وفقًا لدرجة حساسيتها (انظر الملحق أ). وتزداد المتطلبات مع ازدياد درجة الحساسية.
  • التشفير: يجب تشفير البيانات المقيدة والسرية أثناء التخزين وأثناء النقل باستخدام خوارزميات قوية ومتوافقة مع معايير الصناعة.
  • تصرف: يجب استخدام أساليب آمنة: مسح الوسائط الإلكترونية وفقًا لمعيار NIST SP 800-88؛ تمزيق المستندات الورقية التي تحتوي على بيانات سرية أو مقيدة باستخدام تقنية التقطيع المتقاطع (P-4 أو أعلى). يجب الالتزام بجداول الاحتفاظ بالبيانات.

4.2 التحكم في الوصول

  • أقل الامتيازات ونظام التحكم القائم على الأدوار: يتم منح الوصول بناءً على ضرورة الوظيفة (أقل الامتيازات) باستخدام التحكم في الوصول القائم على الأدوار (RBAC).
  • المصادقة: يلزم وجود معرفات مستخدم فريدة. كلمات المرور القوية (انظر الملحق ب) والمصادقة متعددة العوامل إلزامية لخدمات الحوسبة السحابية، والوصول عن بُعد، وحسابات المسؤولين، والأنظمة التي تتعامل مع البيانات السرية/المقيدة.
  • تعليق: تُراجع صلاحيات الوصول ربع سنويًا من قِبل المديرين/مالكي النظام؛ وتُلغى فورًا عند إنهاء الخدمة أو تغيير الدور. يتطلب منح/تغيير صلاحيات الوصول اتباع إجراءات موافقة رسمية.

4.3 سياسة الاستخدام المقبول (AUP)

  • هدف العمل: Rheonics تُستخدم الموارد في المقام الأول لأغراض العمل. ويُسمح بالاستخدام الشخصي العرضي المحدود شريطة ألا يتعارض ذلك مع الواجبات، أو يستهلك موارد مفرطة، أو يتكبد تكاليف، أو يخالف السياسات/القوانين.
  • الأنشطة المحظورة: يشمل ذلك على سبيل المثال لا الحصر: الأنشطة غير القانونية، والمضايقة، والوصول إلى/توزيع المواد المسيئة، وانتهاك حقوق الطبع والنشر، والتعديل غير المصرح به للنظام، والتحايل على ضوابط الأمان، وتثبيت البرامج غير المصرح بها، وإدخال البرامج الضارة، ومشاركة/تسريب البيانات غير المصرح به، والاستخدام الشخصي المفرط.
  • يقظة المستخدم: يجب على المستخدمين توخي الحذر عند التعامل مع البريد الإلكتروني (التصيد الاحتيالي)، وتصفح الإنترنت (المواقع الضارة)، والتعامل مع المرفقات/الروابط.

4.4 أمان الشبكة

  • المحيط والتقسيم: يتم صيانة جدران الحماية وأنظمة كشف ومنع التسلل. يعمل تقسيم الشبكة على عزل الأنظمة الحيوية (مثل البحث والتطوير والإنتاج) ومخازن البيانات.
  • واي فاي: يجب تأمين الشبكات الداخلية باستخدام بروتوكول WPA3-Enterprise (أو WPA2-Enterprise كحد أدنى). يجب فصل شبكة Wi-Fi الخاصة بالضيوف منطقيًا وعدم منحهم أي وصول إلى الموارد الداخلية.
  • الوصول البعيد: يُسمح بالوصول عبر شبكة VPN معتمدة من الشركة مع تفعيل المصادقة متعددة العوامل. قد يتم تقييد خاصية تقسيم النفق.
  • ثقة صفرية: يجري العمل على تطبيق مبادئ بنية الثقة الصفرية (مثل التجزئة الدقيقة، والتحقق المستمر، وفحوصات سلامة الجهاز)، ويستهدف الانتهاء بحلول الربع الأول من عام 2026 للشبكات الحيوية.

4.5 أمن نقاط النهاية المملوكة للشركة

  • الحمايةيجب أن تحتوي جميع نقاط النهاية المملوكة للشركة (أجهزة الكمبيوتر المكتبية وأجهزة الكمبيوتر المحمولة والهواتف المحمولة) على برنامج الكشف والاستجابة لنقاط النهاية (EDR) الذي تديره الشركة أو برنامج مكافحة الفيروسات المعتمد، والذي يتم تشغيله وتحديثه.
  • الترقيع: يجب تحديث أنظمة التشغيل والتطبيقات باستمرار من خلال عملية إدارة التحديثات الخاصة بالشركة. يتم تطبيق التحديثات الهامة ضمن الأطر الزمنية المحددة [Rheonics لتحديد الجداول الزمنية، على سبيل المثال، 72 ساعة لأنظمة التشغيل الحرجة].
  • التشفير: يُعد تشفير القرص بالكامل (مثل BitLocker و FileVault) إلزاميًا على أجهزة الكمبيوتر المحمولة والأجهزة المحمولة.

4.6 إحضار جهازك الخاص (BYOD)

  • الموافقة والمعايير: استخدام الأجهزة الشخصية (BYOD) للوصول إلى المعلومات غير العامة Rheonics تتطلب البيانات موافقة صريحة والالتزام بالمعايير الدنيا (انظر الملحق د).
  • متطلبات الأمن: يشمل ذلك تسجيل إدارة الأجهزة المحمولة، وإصدارات نظام التشغيل المدعومة، وبرامج الأمان، والتشفير، وكلمات المرور، وإمكانية المسح عن بعد، وفصل البيانات/تجميعها في حاويات.
  • تنويه: Rheonics تحتفظ الشركة بالحق في إدارة/مسح بيانات الشركة من أجهزة BYOD؛ Rheonics لا تتحمل الشركة مسؤولية فقدان البيانات الشخصية أثناء الإجراءات الأمنية.

4.7 أمن البرمجيات وإدارتها

  • البرامج المرخصة: لا يُسمح بتثبيت إلا البرامج المرخصة والمعتمدة من قِبل قسم تقنية المعلومات. ويُحظر على المستخدمين تثبيت التطبيقات غير المصرح بها.
  • إدارة التصحيح: ينطبق على جميع البرامج (نظام التشغيل، التطبيقات، البرامج الثابتة) على جميع الأنظمة (الخوادم، نقاط النهاية، أجهزة الشبكة).
  • إدارة الضعف: يتم إجراء فحص دوري للثغرات الأمنية. يجب معالجة الثغرات الأمنية الحرجة ضمن أطر زمنية محددة.Rheonics لتحديد]. اختبار الاختراق الذي يتم إجراؤه بشكل دوري على الأنظمة الحيوية.
  • التطوير الآمن: (إن وجد) يجب على فرق التطوير اتباع ممارسات البرمجة الآمنة (مثل OWASP Top 10)، وإجراء مراجعات للتعليمات البرمجية، واستخدام أدوات اختبار الأمان (SAST/DAST).
  • تحليل تكوين البرمجيات (SCA): يجب جرد مكونات المصادر المفتوحة وفحصها بحثًا عن الثغرات الأمنية. يُحظر استخدام البرامج/المكونات التي انتهى عمرها الافتراضي إلا بموافقة صريحة من الإدارة/قسم أمن تكنولوجيا المعلومات.

4.8 الأمن المادي

  • صلاحية التحكم صلاحية الدخول: الوصول إلى Rheonics المرافق وغرف الخوادم ومختبرات البحث والتطوير مقيدة الوصول إليها عبر ضوابط مادية (بطاقات تعريف، مفاتيح، بيانات بيومترية). يتم الاحتفاظ بسجلات الوصول للمناطق الحساسة.
  • إدارة الزوار: يجب على الزوار تسجيل الدخول، والحصول على بطاقة هوية مؤقتة، ومرافقتهم في المناطق غير العامة.
  • أمن محطات العمل: يجب على المستخدمين قفل محطات العمل عند تركها دون مراقبة (Windows+L / Ctrl+Cmd+Q).
  • سطح مكتب/شاشة نظيفة: يجب حماية المعلومات الحساسة (الوثائق الورقية، الشاشات) من الاطلاع غير المصرح به، خاصة في الأماكن المفتوحة أو عند ترك المكاتب دون رقابة. يجب استخدام حاويات نفايات آمنة.

4.9 الأمن السحابي

  • الخدمات المعتمدة: استخدام الخدمات السحابية (SaaS، IaaS، PaaS) لـ Rheonics يجب أن تتم الموافقة على البيانات من قبل قسم تكنولوجيا المعلومات/الأمن.
  • التكوين والمراقبة: يجب تهيئة الخدمات بشكل آمن، بما يتوافق مع معايير مركز أمن الإنترنت (CIS) عند الاقتضاء (AWS/GCP/Azure). يجب تطبيق سياسات الوصول المشروط (مثل الموقع الجغرافي، وتوافق الجهاز). يجب تفعيل ومراقبة تسجيل أنشطة واجهة برمجة التطبيقات (API) والمستخدمين.
  • حماية البيانات: تأكد من أن مزود الخدمة السحابية يفي بالمعايير المطلوبة Rheonics"أمن البيانات، والتشفير، والنسخ الاحتياطي، ومتطلبات الإقامة من خلال العقود والتقييمات".

4.10 إدارة الأطراف الثالثة / الموردين

  • تقييم المخاطر: يتم إجراء تقييمات أمنية قبل التعاقد مع البائعين الذين يقومون بالوصول إلى البيانات ومعالجتها وتخزينها. Rheonics البيانات أو الاتصال بالشبكات. يحدد مستوى المخاطر عمق التقييم.
  • المتطلبات التعاقدية: يجب أن تتضمن العقود بنودًا تغطي السرية وحماية البيانات (بما في ذلك اتفاقيات حماية البيانات إذا كانت معالجة البيانات الشخصية بموجب اللائحة العامة لحماية البيانات/اللوائح الفيدرالية لحماية البيانات)، وضوابط الأمان، والإخطار بالحوادث، وحقوق التدقيق.
  • المراقبة المستمرة: مراجعة دورية لوضع أمن الموردين الرئيسيين.

4.11 الاستجابة للحوادث

  • التقرير: يجب الإبلاغ عن الحوادث المشتبه بها فوراً (خلال ساعة واحدة من اكتشافها) عبر () أو (قناة فرق الشركة الداخلية على مدار الساعة طوال أيام الأسبوع).
  • خطة الاستجابة: Rheonics يحتفظ بخطة استجابة للحوادث (IRP). انظر الملحق ج للاطلاع على التدفق الأساسي.
  • الحوادث الحرجة: (مثلاً، برامج الفدية، اختراق البيانات المؤكد) تفعيل إجراءات التصعيد والاحتواء (الهدف خلال 4 ساعات). يتم إخطار الجهات القانونية/التنفيذية وفقًا للجداول الزمنية التي تحددها اللوائح (مثلاً، إشعار اختراق البيانات خلال 72 ساعة بموجب اللائحة العامة لحماية البيانات/قانون حماية البيانات الفيدرالي عند الاقتضاء).
  • تعاون: يجب على جميع المستخدمين التعاون بشكل كامل مع تحقيقات الاستجابة للحوادث.

 

5. الإنفاذ

سيتم التعامل مع المخالفات بناءً على شدتها وقصدها، وذلك وفقًا لقانون العمل المحلي.

عنيفمثالالعواقب (أمثلة)
قاصرانحراف غير مقصود عن السياسة؛ تفويت تدريب غير حرجإنذار كتابي؛ إعادة تدريب إلزامي
التخصصبيانات اعتماد مشتركة؛ انتهاكات طفيفة متكررة؛ تثبيت برامج مشاركة الملفات غير المصرح بهاالإيقاف عن العمل؛ إجراء تأديبي رسمي
نقدي / مقصوداختراق البيانات المتعمد؛ نشاط خبيث؛ تخريبإنهاء الخدمة؛ إجراءات قانونية محتملة

 

6. صيانة السياسات

  • مراجعة الإيقاع: تتم مراجعتها سنوياً على الأقل من قبل مالك السياسة (رئيس قسم تكنولوجيا المعلومات) وأصحاب المصلحة.
  • مراجعة المحفزات: المراجعات المخصصة التي يتم إجراؤها بسبب: الحوادث الأمنية الكبرى، والتغييرات التنظيمية الهامة (مثل قوانين خصوصية البيانات الجديدة)، والتغييرات الرئيسية في التكنولوجيا/البنية التحتية (مثل الهجرة الكبيرة إلى السحابة)، ونتائج التدقيق.
  • آخر التحديثاتتم إبلاغ جميع المستخدمين بالتغييرات المعتمدة.

 

7. الملاحق

7.1 الملحق أ: تصنيف البيانات

تصنيفمثالمتطلبات التعامل
محددمعلومات التعريف الشخصية للعملاء، شفرة المصدر الخاصة بالبحث والتطوير، مفاتيح التشفير• التشفير (أثناء التخزين/أثناء النقل)
• سجلات وصول صارمة
• ما يلزم معرفته + موافقة صريحة
• مراجعة الوصول السنوية
سريسجلات الموظفين، والبيانات المالية، والاستراتيجيات الداخلية• يُوصى/يُشترط الحصول على درجة الماجستير في الفنون الجميلة
• على أساس الحاجة إلى المعرفة
• مشاركة محدودة داخلياً
داخليمحاضر الاجتماعات، والسياسات الداخلية، والاتصالات العامة• يُمنع مشاركة المحتوى مع جهات خارجية دون موافقة.
• استخدام أنظمة الشركة
عاممواد التسويق، المحتوى العام للموقع الإلكتروني• لا توجد قيود على التعامل/المشاركة

 

7.2 الملحق ب: متطلبات كلمة المرور

  • الحد الأدنى للطول:
    • حسابات المستخدمين: 12 حرفًا
    • حسابات المسؤول/الخدمة: 16 حرفًا
  • تعقيد
    • يجب أن يتضمن الاسم ثلاثة عناصر على الأقل من أصل أربعة: أحرف كبيرة، أحرف صغيرة، أرقام، رموز (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?). لا يمكن أن يحتوي على اسم مستخدم أو كلمات شائعة في القاموس.
  • تناوب
    • 90 يومًا كحد أقصى (إلا في حالة استخدام طرق المصادقة المستمرة المعتمدة).
  • تاريخنا
    • لا يمكن إعادة استخدام كلمات المرور الخمس السابقة.
  • التخزين:
    • يُمنع تدوين كلمات المرور دون تأمين. استخدم مدير كلمات مرور معتمد من الشركة (مثل Bitwarden أو 1Password) لتخزين كلمات المرور المعقدة والفريدة. يُحظر مشاركة كلمات المرور. يُحظر تجاوز المصادقة متعددة العوامل.

 

7.3 الملحق ج: مخطط الاستجابة للحوادث

  • الكشف والتحليل: تحديد الحوادث المحتملة.
  • التقرير: قم بالإبلاغ فوراً (في غضون ساعة واحدة كحد أقصى) إلى قسم تكنولوجيا المعلومات/الأمن عبر القنوات المحددة.
  • الفرز والتقييم: يقوم قسم تكنولوجيا المعلومات/الأمن بتقييم مدى الخطورة والتأثير.
  • الاحتواء: عزل الأنظمة/الحسابات المتأثرة (في غضون 4 ساعات كحد أقصى للحوادث الحرجة).
  • الاستئصال: إزالة التهديد/الثغرة الأمنية.
  • التعافىاستعادة الأنظمة/البيانات بشكل آمن.
  • مراجعة ما بعد الحادث: الدروس المستفادة، وتحسين العمليات.
    • إعلام: يتم تنفيذ الإخطارات القانونية/التنظيمية/الخاصة بالعملاء حسب الاقتضاء بناءً على التقييم (على سبيل المثال، في غضون 72 ساعة لانتهاكات البيانات الشخصية بموجب اللائحة العامة لحماية البيانات/قانون حماية البيانات الفيدرالي).

 

7.4. الملحق د: الحد الأدنى لمعايير استخدام الأجهزة الشخصية في العمل

  • موافقة: مطلوب قبل الوصول إلى البيانات غير العامة.
  • متطلبات الجهاز:
    • إصدارات نظام التشغيل: يجب تشغيل الإصدارات المدعومة حاليًا من قبل البائع (مثل Windows 11+، macOS 14+، iOS 16+، Android 13+)
    • الأمن: تم تفعيل قفل الشاشة/البيانات البيومترية؛ تم تفعيل تشفير الجهاز؛ قد يلزم وجود برنامج أمان معتمد (مضاد للفيروسات/مضاد للبرامج الضارة)؛ الجهاز غير مخترق/غير معدل.
    • MDM: التسجيل في Rheonicsحل إدارة الأجهزة المحمولة (MDM) إلزامي.
    • مسح البيانات عن بعد: يجب تفعيل هذه الخاصية لبيانات/ملف تعريف الشركة.
  • فصل البيانات: يتم الوصول إلى بيانات الشركة وتخزينها عبر تطبيقات معتمدة ضمن ملف تعريف أو حاوية مُدارة (مثل Microsoft Intune MAM، أو ملف تعريف العمل على نظام Android). لا يُسمح بنسخ بيانات الشركة إلى التطبيقات أو وحدات التخزين الشخصية.
  • الانرنيتاتصل عبر شبكة واي فاي آمنة؛ تجنب استخدام شبكات الواي فاي العامة غير الموثوقة للعمل.

 

8. التواصل والإقرار

  • أسئلة/مخاوف أمنية: اتصال () أو فريق تكنولوجيا المعلومات/الأمن عبر القنوات الداخلية.
  • الإبلاغ عن الحوادث: استخدم الأساليب العاجلة: () و(قناة فرق الشركة الداخلية على مدار الساعة طوال أيام الأسبوع).
  • إعتراف: يُطلب من جميع المستخدمين قراءة هذه السياسة وفهمها والإقرار باستلامها إلكترونيًا عبر (بوابة الموارد البشرية، نظام التدريب) عند بدء العمل وبعد التحديثات الهامة. عدم الإقرار لا يُبطل سريان هذه السياسة.
تحميل سياسة الأمن السيبراني
Rheonics سياسة الأمن السيبراني
للتواصل معنا: يمكنك مراسلتنا عبر البريد الإلكتروني لطرح أي أسئلة أو تعليقات على العنوان التالي: 
البحث