سياسة أمن المعلومات
نظام إدارة أمن المعلومات المتوافق مع ISO 27001:2022 وGDPR وKVKK
آخر تحديث: 2026-02-04
الغرض
تعتبر EGEROBOT معلومات المؤسسة أصلاً قيماً للغاية. المعلومات ذات أهمية بالغة لاستدامة أنشطتنا التجارية ويجب حمايتها بشكل مناسب.
تهدف EGEROBOT إلى تقليل المخاطر التي قد تنشأ فيما يتعلق بسرية وسلامة وتوافر معلومات المؤسسة من خلال تطبيق معيار ISO 27001:2022 ضمن نظام إدارة أمن المعلومات (ISMS).
هدفنا الأساسي هو ضمان ثقة المنظمات والمؤسسات التي نخدمها وتأمين أصول المعلومات التي نستخدمها.
نطاق التطبيق
يشمل نظام إدارة أمن المعلومات في EGEROBOT المنظمة بأكملها وشركاء الأعمال والموردين وعلاقات العملاء. تنطبق هذه السياسة على جميع أنشطة معالجة المعلومات بما في ذلك البيئات المادية والأنظمة الرقمية والبنى التحتية السحابية وبيئات العمل عن بُعد.
الالتزامات
بصفتنا EGEROBOT وموظفينا، نلتزم بإزالة وإدارة جميع أنواع المخاطر التي تهدد استمرارية أعمالنا وأصول المعلومات والبيانات الشخصية؛
- 1توثيق نظام إدارة أمن المعلومات لدينا واعتماده وتحسينه باستمرار
- 2ضمان سرية وسلامة وتوافر معلومات العملاء وشركاء الأعمال وأصحاب المصلحة والموردين أو الأطراف الثالثة الأخرى
- 3ضمان الامتثال لجميع اللوائح القانونية والعقود المتعلقة بأمن المعلومات
- 4إجراء تدريبات لتطوير الكفاءات التقنية والسلوكية
- 5حماية سرية البيانات الهامة مثل الأهداف الاستراتيجية ومصادر التوريد ومعلومات العملاء وأصحاب المصلحة وشركاء الأعمال والموظفين
- 6إنشاء بيئات مادية وإلكترونية مناسبة لأمن أصول المعلومات
- 7توفير الخطط والبنية التحتية التقنية اللازمة لضمان استمرارية خدمات تقنية المعلومات لدينا
- 8اكتشاف المواقف التي تتعارض مع أمن المعلومات في الوقت المناسب والرد فوراً
- 9اتخاذ التدابير المنصوص عليها في قانون حماية البيانات الشخصية رقم 6698
- 10حماية جميع البيانات الشخصية وأصول المعلومات الخاصة بـ EGEROBOT وتحسين أمن المعلومات باستمرار من خلال إدارة المخاطر الحالية والمحتملة
نحن نلتزم.
الإطار القانوني والمعايير
تم إعداد هذه السياسة وفقاً للوائح الوطنية والدولية التالية:
المعايير الدولية
ISO/IEC 27001:2022– نظام إدارة أمن المعلومات
ISO/IEC 27002:2022– ضوابط أمن المعلومات
ISO/IEC 27701:2019– إدارة معلومات الخصوصية
ISO 22301:2019– نظام إدارة استمرارية الأعمال
لوائح الاتحاد الأوروبي
GDPR– اللائحة العامة لحماية البيانات – EU 2016/679
توجيه NIS2– أمن الشبكات وأنظمة المعلومات
التشريعات التركية
القانون رقم 6698 KVKK– قانون حماية البيانات الشخصية
القانون رقم 5651– تنظيم المنشورات على الإنترنت
القانون رقم 5237 TCK– الجرائم الإلكترونية (المواد 243-246)
القانون رقم 6102 TTK– الدفاتر التجارية والتزامات حفظ المستندات
المبادئ الأساسية
تستند سياسة أمن المعلومات في EGEROBOT إلى المبادئ التالية:
السرية
- حماية المعلومات من الوصول غير المصرح به
- عدم الكشف عنها عمداً أو بسبب الإهمال للأشخاص غير المصرح لهم
- تطبيق تصنيف البيانات والتحكم في الوصول
السلامة
- ضمان دقة واتساق المعلومات
- تطبيق آليات الحماية ضد التغييرات غير المصرح بها
- الاحتفاظ بسجلات السجل ومسارات التدقيق
التوافر
- ضمان الوصول في الوقت المناسب إلى المعلومات من قبل المستخدمين المصرح لهم
- اتخاذ الاحتياطات ضد فشل النظام
- تنفيذ خطط استمرارية الأعمال
الأمان حسب التصميم
- تصميم الأنظمة مع التركيز على الأمان من مرحلة التصميم
- اعتماد مبدأ الخصوصية حسب التصميم
فئات التهديدات الحديثة والتدابير
برامج الفدية
- استراتيجيات النسخ الاحتياطي المنتظمة والمعزولة
- تشفير البيانات ضد هجمات الابتزاز المزدوج
- أنظمة الكشف والاستجابة للنقاط الطرفية (EDR)
الهندسة الاجتماعية والتصيد الاحتيالي
- تدريبات توعية الموظفين
- بروتوكولات التحقق ضد تهديدات التزييف العميق المدعومة بالذكاء الاصطناعي
- فلاتر أمان البريد الإلكتروني وتكوين SPF/DKIM/DMARC
التهديدات المستمرة المتقدمة (APT)
- اكتشاف التهديدات القائم على السلوك
- تجزئة الشبكة
- بنية عدم الثقة
هجمات سلسلة التوريد
- تقييم مخاطر الأطراف الثالثة
- تحليل مكونات البرمجيات (SBOM)
- عمليات تدقيق أمان الموردين
أمان إنترنت الأشياء والتكنولوجيا التشغيلية
- عزل أنظمة التحكم الصناعي
- جرد أجهزة إنترنت الأشياء وتحديثات الأمان
- مراقبة حركة مرور الشبكة
سياسة أمان السحابة
المبادئ العامة
- التحقق من شهادات أمان مزودي الخدمات السحابية
- تطبيق بنية عدم الثقة
- تشفير البيانات أثناء النقل والتخزين
التحكم في الوصول
- المصادقة متعددة العوامل (MFA) إلزامية
- تطبيق مبدأ الحد الأدنى من الصلاحيات
- استخدام التحكم في الوصول القائم على الأدوار (RBAC)
أمان التكوين
- استخدام أدوات إدارة وضع أمان السحابة (CSPM)
- إجراء عمليات تدقيق التكوين المنتظمة
- ضمان أمان واجهات برمجة التطبيقات
سياسة أمان العمل عن بُعد
أمان الشبكة
- استخدام VPN إلزامي
- يوصى بتكوين شبكة منزلية آمنة
- عدم معالجة البيانات الحساسة على شبكات Wi-Fi العامة
أمان الأجهزة
- تشفير الأجهزة التي تصل إلى بيانات الشركة
- برامج مكافحة الفيروسات المحدثة وتصحيحات الأمان إلزامية
- تطبيق إدارة الأجهزة المحمولة (MDM)
حماية البيانات
- عدم تخزين البيانات الحساسة على الأجهزة المحلية
- استخدام مشاركة الملفات السحابية
- تطبيق قواعد مشاركة الشاشة والعرض
أمان الأطراف الثالثة والموردين
التقييم
- إجراء تقييمات أمان الموردين
- طلب شهادة ISO 27001 أو ما يعادلها
- إجراء عمليات التدقيق الأمني المنتظمة
المتطلبات التعاقدية
- توقيع اتفاقيات عدم الإفصاح (NDA)
- إبرام اتفاقيات معالجة البيانات (DPA)
- تحديد التزامات إخطار خرق الأمان
الاستجابة للحوادث وإدارة الاختراقات
خطة الاستجابة للحوادث
- إجراءات اكتشاف الحوادث وتصنيفها وتصعيدها
- مراقبة الأمان على مدار الساعة طوال أيام الأسبوع
- تعريف فريق الاستجابة للحوادث (CSIRT)
إخطار خرق البيانات
- • KVKK: الإخطار إلى هيئة حماية البيانات الشخصية 'في أقرب وقت ممكن'
- • GDPR: الإخطار إلى السلطة الإشرافية المختصة خلال 72 ساعة
- • إعلام الأشخاص المتضررين
ما بعد الحادث
- إجراء تحليل السبب الجذري
- تنفيذ إجراءات التحسين
- توثيق الدروس المستفادة
استمرارية الأعمال والتعافي من الكوارث
خطة استمرارية الأعمال (BCP)
- تحديد العمليات التجارية الحرجة
- تحديد أهداف وقت الاستعادة (RTO) وأهداف نقطة الاستعادة (RPO)
- تخطيط مواقع العمل البديلة
التعافي من الكوارث (DR)
- إجراءات النسخ الاحتياطي والاختبار المنتظمة
- النسخ الاحتياطية الموزعة جغرافياً
- تمارين التعافي من الكوارث السنوية
الأصول المحمية
معلومات الهوية والبيانات الشخصية
معلومات العملاء وشركاء الأعمال
حزم البرمجيات وأكواد المصدر
البنية التحتية للخوادم والشبكات
الموارد السحابية وقواعد البيانات
حقوق الملكية الفكرية
الأسرار التجارية والمعلومات التجارية
السياسات الداعمة
سياسة المكتب النظيف والشاشة الفارغة
سياسة استخدام البريد الإلكتروني
سياسة التحكم في الوصول
سياسة الضوابط التشفيرية
سياسة إدارة كلمات المرور
سياسة استخدام الأجهزة المحمولة (BYOD)
سياسة استخدام وسائل التواصل الاجتماعي
سياسة تصنيف البيانات
سياسة النسخ الاحتياطي والاستعادة
سياسة إدارة التغيير
الأهداف
- 1تحديد قيمة أصول المعلومات من خلال تقييم المخاطر المناسب
- 2فهم نقاط الضعف والتهديدات المحتملة
- 3تقليل المخاطر إلى مستويات مقبولة
- 4الامتثال للتشريعات الوطنية (KVKK، 5651، TTK)
- 5الامتثال للوائح الدولية (GDPR، ISO 27001:2022)
- 6تلبية الشروط التعاقدية للعملاء
- 7الامتثال لإجراءات وتعليمات الرقابة
- 8زيادة مستوى نضج الأمن السيبراني باستمرار
التدريب والتوعية
- تدريب أمن المعلومات السنوي لجميع الموظفين
- تدريب التوجيه للموظفين الجدد إلزامي
- إجراء محاكاة التصيد الاحتيالي واختبارات التوعية
- تنظيم تدريبات أمنية متخصصة حسب الدور
- توثيق سجلات التدريب
المسؤوليات
الإدارة العليا
- الموافقة على هذه السياسة ودعمها
- توفير الموارد اللازمة
- المشاركة في اجتماعات المراجعة السنوية
مسؤول أمن المعلومات (CISO)
- تنسيق تنفيذ السياسة
- إدارة حوادث الأمان
- إجراء تقييمات المخاطر
- تقديم التقارير إلى الإدارة
مديرو الوحدات
- ضمان تنفيذ السياسة في وحداتهم
- الإبلاغ عن الثغرات الأمنية
- دعم توعية الموظفين
جميع الموظفين
- الامتثال لسياسة أمن المعلومات
- الإبلاغ عن حوادث الأمان
- المشاركة في التدريبات
- الإبلاغ عن المواقف المشبوهة
العقوبات
أي عمل متعمد أو إهمالي يعرض أمن معلومات EGEROBOT أو عملائها أو مورديها للخطر:
- الإجراءات التأديبية
- إنهاء عقد العمل
- الإجراءات القانونية (القانون رقم 5237 TCK - الجرائم الإلكترونية)
- مطالبات التعويض
يخضع لـ.
التحسين المستمر (دورة PDCA)
تطبق EGEROBOT دورة التخطيط-التنفيذ-التحقق-العمل (PDCA) لتحسين نظام إدارة أمن المعلومات باستمرار:
التخطيط (Plan)
- تقييم المخاطر وتحديد الأهداف الأمنية
- إعداد السياسات والإجراءات
- تخطيط الموارد
التنفيذ (Do)
- تنفيذ الضوابط
- إجراء التدريبات
- التوثيق
التحقق (Check)
- عمليات التدقيق الداخلي
- قياس الأداء
- تحليل الحوادث وتقييم الاتجاهات
العمل (Act)
- الإجراءات التصحيحية
- الإجراءات الوقائية
- توصيات التحسين المستمر
المراجعة
هذه السياسة:
- تتم مراجعتها مرة واحدة على الأقل سنوياً
- تتم مراجعتها عند حدوث تغييرات جوهرية أو حوادث أمنية أو تحديثات تنظيمية
- يتم تقييمها في اجتماعات مراجعة الإدارة (MR)
الاتصال
اتصل بنا للاستفسارات حول أمن المعلومات أو للإبلاغ عن الحوادث.
صفحة الاتصالهذا المستند جزء من نظام إدارة أمن المعلومات في EGEROBOT.