أصدر سمو الشيخ حمدان بن محمد بن راشد آل مكتوم، ولي عهد دبي رئيس المجلس التنفيذي، قراراً بشأن أمن المعلومات في حكومة دبي، يهدف إلى تحقيق إيجاد وتطوير استراتيجية متكاملة وسياسة موحدة لأمن المعلومات وأنظمة المعلومات الخاصة بالحكومة وحمايتها باعتبارها ذات قيمة استراتيجية وحيوية للإمارة.
وكذلك إيجاد بيئة آمنة وموثوقة لتخزين وحفظ المعلومات الخاصة بالحكومة واعتماد أفضل الوسائل التي تساعد على الحد من المخاطر المتعلقة بانتهاك أمن المعلومات ثم تعزير الوعي حول أهمية أمن المعلومات من أجل ضمان ثقافة إلكترونية آمنة ومجتمع معلوماتي آمن إضافة إلى تحديد أدوار ومسؤوليات الجهات الحكومية والموظفين العاملين لديها والمتعاملين معها في ما يتعلق بأمن المعلومات بشكل واضح وعلى نحو يحول دون وقوع أي تضارب أو ازدواج في تلك الأدوار والمسؤوليات.
ومن الأهداف ايضاً وضع الآليات التي تكفل الاستجابة للحوادث المتصلة بأمن المعلومات على نحو فعال وتحديد الممارسات والإرشادات التي تسهم في الحد من مخاطر تلك الحوادث وضمان أفضل أداء لأمن أنظمة المعلومات المطبقة لدى الجهات الحكومية بصورة تساعد هذه الجهات على القيام بمهامها المناطة بها وتحقيق أهدافها الاستراتيجية بشكل آمن وفعال.
نظام أمن المعلومات
وجاء في المادة الثالثة من القرار الثالث عشر لسنة 2012 أن نظام أمن المعلومات يطبق على الجهات الحكومية والموظفين العاملين لديها والمعلومات الخاصة بالحكومة، بغض النظر عن نوعها والوعاء الذي يحويها والأشخاص والجهات الذين تتطلب طبيعة الأنشطة التي يزاولونها الدخول إلى أنظمة المعلومات الخاصة بالجهات الحكومية على أن يستثنى مما سبق الجهات الحكومية التي تقرر «لجنة أمن المعلومات المشكلة بمقتضى هذا القرار»، عدم إخضاعها لتطبيق نظام أمن المعلومات إما بصورة كلية أو جزئية إذا كانت تكاليف تطبيقه لدى تلك الجهات تفوق مستوى المخاطر المتوقعة أو تفوق أهمية المعلومات المراد حمايتها.
ويتكون نظام أمن المعلومات حسب المادة الرابعة من المجالات المرتبطة بأمن المعلومات والتي تتوزع إلى ثلاثة محاور رئيسية تتصل بحوكمة أمن المعلومات وعمليات تشغيلها وضمان حمايتها ويكون لكل مجال هدف يسعى نظام أمن المعلومات إلى تحقيقه.
وهذه المجالات والأهداف المتعلقة بها هي إدارة وحوكمة أمن المعلومات ويهدف هذا المجال إلى تأكيد أهمية وجود مفهوم أمن المعلومات في برامج واستراتيجيات الجهات الحكومية.
وإدارة المعلومات والأصول المتعلقة بها ويهدف إلى منع دخول غير المصرح به إلى المعلومات التي تصنف بأنها سرية والمحافظة على الأوعية التي تحوي المعلومات الخاصة بالجهات الحكومية.
إدارة الحوادث والمشكلات
أما إدارة الحوادث والمشكلات فيهدف هذا المجال إلى وضع وتطوير خطة لمواجهة ومعالجة المخاطر المتصلة بأمن المعلومات من خلال تحديد التهديدات المحتملة للمعلومات وأنظمة المعلومات الخاصة بالحكومة ونقاط ضعفها ومجالات تحسين مستوى حمايتها.
ثم مجال ضبط الدخول الذي يهدف إلى حفظ وحماية سرية المعلومات وضمان بقائها صحيحة وسليمة ومتطابقة لدى الجهات الحكومية.
أما مجال إدارة العمليات وأنظمة والاتصالات فيهدف إلى الحد من المخاطر المرتبطة بالعمليات اليومية لأنظمة المعلومات والتطبيقات والشبكات وأدوات الاتصال سواء المستخدمة لدى الجهات الحكومية أو المخصصة للمتعاملين معها.
وكذلك مجال التخطيط لاستمرارية الأعمال والأنشطة الذي يهدف إلى التحقق من أن خدمات تقنية المعلومات وبنيتها التحتية قادرة على مقاومة المخاطر الناجمة عن الأخطاء أو الحوادث أو الهجمات بغية توفير المعلومات والمحافظة على سير العمل لدى الجهات الحكومية.
وبالنسبة لمجال امتلاك وتطوير وإدارة نظم المعلومات فهو يهدف إلى دمج أمن المعلومات في دورة امتلاك أو تطوير أنظمة المعلومات لمنع التعديل غير المصرح به على هذه الأنظمة أو إساءة استخدام المعلومات الخاصة بالحكومة ووضع أسس البرمجة الآمنة.
المجال التاسع وهو حماية البيئة المحيطة بالمعلومات ويهدف إلى منع الإضرار والتهديدات والعبث بالمرافق الخاصة بمعالجة المعلومات ومصادرها لدى الجهات الحكومية. لجنة أمن المعلومات
تشكل بموجب هذا القرار لجنة تسمى «لجنة أمن المعلومات» برئاسة مدير عام دائرة حكومة دبي الإلكترونية وعضوية ممثلين عن كل من شرطة دبي ويكون نائباً للرئيس والإدارة العامة لأمن الدولة والأمانة العامة للمجلس التنفيذي وثلاث من جهات حكومية وخاصة يحددها مدير الدائرة، إضافة إلى ممثلين اثنين عن الدائرة ذاتها يكون أحدهما مقرراً للجنة. وتعقد اللجنة اجتماعاتها بدعوة من رئيسها أو نائبه مرة واحدة كل ثلاثة أشهر على الأقل وكلما دعت الحاجة وتصدر اللجنة توصياتها وقراراتها بالإجماع أو بأغلبية أصوات الحاضرين.
ويكون للجنة أن تستعين بمن تراه مناسباً من ذوي الخبرة والاختصاص دون أن يكون لهم صوت معدود في مداولاتها.
وتتولى اللجنة القيام بدراسة نظام أمن المعلومات لدى الجهات الحكومية ومدى التزامها بتطبيقه ورفع التقارير اللازمة بهذا الشأن إلى رئيس المجلس التنفيذي وإجراء مراجعة دورية لنظام أمن المعلومات وتقييم مستواه ومدى كفاءته في حماية المعلومات وأنظمة المعلومات الخاصة بالحكومة وتحديد جوانب التحديث والتطوير وإصدار القرارات والتوصيات اللازمة بهذا الشأن وتحديد جوانب القصور والضعف التي تشوب نظام أمن المعلومات.
إضافة إلى دراسة التقارير المرسلة إليها من الجهات الحكومية حول نتائج تقييم مستوى المخاطر المتعلقة بأمن المعلومات لدى هذه الجهات وإصدار القرارات المناسبة بهذا الشأن.. ثم التأكد من وجود خطة طوارئ خاصة بأمن المعلومات لدى الجهات الحكومية وإجراء التقييم الداخلي لهذه الخطة واقتراح التشريعات والسياسات والخطط والبرامج اللازمة لضمان مزيد من الحماية للمعلومات وأنظمتها الخاصة بالحكومة وأخيراً اقتراح التدابير اللازمة لتعزيز التنسيق والتعاون بين الجهات الحكومية في مجال أمن المعلومات وتوحيد جهود هذه الجهات لحماية البنية التحتية لتقنية المعلومات لديها.
تدابير الأمن والسلامة
وتلتزم الجهات الحكومية بموجب هذا القرار بتزويد اللجنة خلال مدة أقصاها ستة أشهر من تاريخ إرسال نظام أمن المعلومات إليها بوثيقة مواءمة تتضمن بيان مجالات النظام القابلة للتطبيق لديها، وكذلك بجدول زمني يبين خطط واليات ومراحل تطبيق هذه المجالات ثم وضع البرامج والأنظمة التقنية والسياسات والإجراءات التي تحكم عملياتها بما يضمن تطبيق نظام أمن المعلومات بصورة تتلاءم وتتواءم مع نوع المعلومات الموجودة لديها وطبيعتها وأهميتها ومدى حساسيتها وسريتها وإطلاع الموظفين العاملين لديها والمتعاملين معها على نظام أمن المعلومات وتدريبهم على تطبيقه بما يحويه من مجالات وأهداف وضوابط ومراقبة مدى التزامهم به.
ومن بين الالتزامات أيضاً اتخاذ تدابير الأمن والسلامة اللازمة لحماية المعلومات الموجودة لديها بما في ذلك منع الدخول أو التعديل أو التغيير غير المصرح به لتلك المعلومات وحمايتها من الفقدان أو التسرب أو التلف أو التدمير أو الإضرار بها بأية صورة كانت..
ثم وضع خطة طوارئ داخلية تتوافق مع خطة الطوارئ العامة المعتمدة من الدائرة، وذلك بهدف المحافظة على أمن المعلومات وأنظمتها المتوفرة لدى الجهة الحكومية وإجراء تجارب عملية لاختبار هذه الخطة لضمان عدم تعرض تلك المعلومات والأنظمة للمخاطر والتهديدات المحتملة.
وأيضا الاستجابة السريعة والفعالة والمنظمة لأية حوادث قد تضر بالمعلومات وأنظمتها الخاصة بها وإجراء التحقيق اللازم في هذه الحوادث وإبلاغ الجهات المختصة واللجنة بذلك وكذلك توفير التوعية الأساسية في مجال أمن المعلومات للموظفين العاملين لديها الذين تتصل مهام عملهم بتقنية المعلومات والتأكد من أن هؤلاء الموظفين يدركون مسؤولياتهم بشأن حماية أمن المعلومات والتهديدات المحتملة لها والمخاطر والانتهاكات التي قد تتعرض لها.
ومن الالتزامات كذلك إجراء مراجعة دورية لمجالات وضوابط نظام أمن المعلومات المطبقة لديها حسب تقييم مستوى المخاطر القائمة أو المحتملة وذلك بهدف التحقق من مدى مواءمة هذه المجالات والضوابط مع طبيعة مهامها واختصاصاتها وقابليتها للتحديث ورفع التوصيات اللازمة بهذا الشأن إلى اللجنة.
وآخر هذه الالتزامات الحكومية تزويد اللجنة بتقارير دورية تتضمن تقييم مستوى المخاطر المتعلقة بأمن المعلومات لديها والإجراءات المتخذة من قبلها في مجال تطبيق نظام أمن المعلومات.
وعلى دائرة الرقابة المالية هي الأخرى التزامات تتولى بموجبها مراقبة تطبيق الجهات الحكومية لنظام أمن المعلومات وإعداد التقارير اللازمة بهذا الشأن وتزويد اللجنة بنسخة منها.
كما حدد القرار التزامات موظفي الجهات الحكومية بالتقيد والالتزام بتطبيق نظام أمن المعلومات بما يضمن حماية المعلومات وأنظمتها الخاصة بالجهة الحكومية التي يعملون لديها وعدم الإفصاح عن أية معلومات سرية سواء بطبيعتها أو بحكم التعليمات الصادرة بشأنها ما لم يتم الحصول على إذن خطي مسبق بذلك من قبل المرجع المختص في الجهة الحكومية التي يعملون لديها والمحافظة على أمن المعلومات وعدم القيام بأي إجراء من شأنه أن يؤدي إلى تغيير تلك المعلومات أو تعديلها أو تدميرها أو إتلافها أو حذفها أو إلغائها أو فقدانها ما لم يكن ذلك صادراً عن موظف مختص مصرح له بذلك.
ومن التزامات موظفي الحكومة كذلك إخطار رؤسائهم المباشرين والجهات المختصة عن أية تهديدات أو اختراقات أو انتهاكات أو حوادث يمكن أن تؤدي إلى كشف المعلومات المتوفرة لدى الجهة الحكومية التي يعملون لديها أو تغييرها أو تعديلها أو تدميرها أو إتلافها أو حذفها أو إلغائها أو فقدانها وعدم استخدام أو استغلال المعلومات في غير الأغراض المحددة أو المخصصة لها وعدم السماح لغير المخولين بالدخول إلى أنظمة المعلومات المطبقة لدى الجهات الحكومية التي يعملون لديها.
المساءلة التأديبية
وحدد القرار كذلك التدابير والإجراءات التي يتعرض لها الموظف الحكومي في حال مخالفته تدابير الأمن والسلامة المعتمدة لدى الجهة التي يعمل لديها ويكون عرضة للمساءلة التأديبية.
وعلى المتعاملين مع الجهات الحكومية التزامات تتمثل بمراعاة التعليمات الصادرة عن الجهات الحكومية بشأن أمن المعلومات وعدم القيام بأي فعل من شأنه أن يؤدي إلى تغيير المعلومات الخاصة بالحكومة وعدم القيام باستغلال أو استعمال المعلومات الخاصة بالحكومة لغير الأغراض المحددة لها وعدم نسخ أو نشر أية معلومات خاصة بالحكومة إلا بعد الحصول على الموافقة الخطية المسبقة من الجهة الحكومية المعنية وأخيراً عدم السماح لغير المخولين بالدخول إلى أنظمة المعلومات المطبقة لدى الجهات الحكومية التي يتعاملون معها وذلك تحت المسؤولية المقررة بموجب التشريعات السارية.
ويعتبر نظام أمن المعلومات وكافة مكوناته من البيانات والمعلومات والبرامج ملكاً للحكومة ولهذه الأخيرة وحدها صلاحية التصرف به بأية صورة من الصور. صلاحيات
يكون لمدير عام دائرة حكومة دبي الإلكترونية وبناء على توصية اللجنة تعديل أي من مجالات نظام أمن المعلومات وأهدافه وضوابط الوصول إلى هذه الأهداف بصورة تحقق غايات النظام المذكور وإخطار الجهات الحكومية التي تطبقه بذلك التعديل، وذلك بعد اعتماده من اللجنة، وعلى الدائرة وخلال مهلة لا تزيد على ثلاثة أشهر من تاريخ العمل بهذا القرار إعداد نظام أمن المعلومات وعرضه على اللجنة لاعتماده وإرساله بعد الاعتماد إلى الجهات الحكومية لتطبيقه والعمل بمقتضاه.
وعلى مدير عام الدائرة إصدار اللوائح والتعليمات اللازمة لتنفيذ أحكام هذا القرار الذي يلغي أي نص ورد في أي قرار آخر إلى المدى الذي يتعارض فيه وأحكام هذا القرار الذي ينشر في الجريدة الرسمية ويعمل به من تاريخ نشره.