EN
هيئة السوق المالية تحوز شهادة الآيزو في أمن المعلومات
19/09/2011

​حصلت هيئة السوق المالية على شهادة الآيزو العالمية ISO 27001 في مجال أمن المعلومات، وذلك عقب الانتهاء من التدقيق الخارجي لتقنية وأمن المعلومات والسياسات والإجراءات والعمليات المتعلقة به التي عملت إدارة تقنية المعلومات في الهيئة على تطويرها وتطبيقها طوال الفترة الماضية.

وجاء حصول الهيئة على هذه الشهادة من منظمة BSI‪ (منظمة عالمية بريطانية مستقلة غير ربحية تمنح هذه الشهادة على مستوى العالم)، بعد أن نفذ ممثل المنظمة مراجعة دقيقة وتفصيلية لاستراتيجية إدارة تقنية المعلومات عامه ولأمن المعلومات خاصة ولسياسات وآليات إجراءات العمل المتبعة داخل الادارة، إضافة إلى إجراء عدد من الزيارات الميدانية والمقابلات مع الموظفين المسؤولين عن تنفيذ هذه الاجراءات. كذلك قام ممثل المنظمة العالمية بجملة من الزيارات الميدانية لإدارة الموارد البشرية لمراجعة معيار الآيزو في عملية إدارة الموظفين آليا وإدارة المرافق والخدمات للتأكد من تطبيق معيار حماية موارد وأصول الهيئة آليا من الوصول إليها والعبث بها

ويعد حصول هيئة السوق المالية على هذه الشهادة تأكيداً لأداء الهيئة المتميز في مجال تقنية وأمن المعلومات وحرصها على تطبيقه وفق المعايير العالمية، وتعزيزاً للأهداف الأساسية لأمن المعلومات من خلال التحكم بالمخاطر وضمان استمرارية عمل الأنظمة ورفع مستوى الوعي الأمني في الهيئة وبالتالي المساعدة في تحقيق الأهداف الاستراتيجية للهيئة التي من أهمها استمرار تطوير السوق المالية وحماية المستثمرين وتقديم خدمات الكترونية آمنة إلى عملائها وشركائها.

واستغرقت مهمة التدقيق الخارجية وحضور المدقق الخارجي للبنية التحتية لتقنية المعلومات في الهيئة من قبل منظمة BSI أربعة أيام عمل، وشملت ثلاث إدارات في الهيئة هي: تقنية المعلومات، وأمن الموارد البشرية، وإدارة الخدمات والأمن. وفي الإدارة الأولى تأكد المراجع من تطبيق ما قدم من وثائق في المرحلة الأولى وذلك بمقابلة الأشخاص المعنيين والزيارة الميدانية للمكاتب المشمولة في النطاق ومراجعة ما ذكر في الوثائق ومدى تطبيقه على أرض الواقع قبل أن يعد تقريرا بذلك. وركزت مهمة التدقيق على‪ الخدمات التقنية وخطط مواجهة الكوارث والشبكات وتطبيق ومتابعة أمن المعلومات, وكيفية التعامل مع النسخ الاحتياطية للمعلومات والخدمات التقنية والتأكد من ضمان استمرارية الأعمال، إلى جانب التحقق من تطبيق إجراءات وسياسات أمن المعلومات، وكل ما يتعلق بالتشغيل والمراقبة والصيانة والتطوير المستمر لأنظمة أمن المعلومات في الهيئة

وفي إدارة أمن الموارد البشرية، دقُقت السياسات والإجراءات المتعلقة بتحديد المسؤوليات والمهام للموظفين والمتعاقدين ونحوهم والاعتناء باختيارهم بما يتوافق مع المعلومات التي سيتعامل معها كل فرد بناء على سياسات أمن المعلومات. ومثال ذلك التحقق من خلو سجله العملي من أي سوابق غير متلائمة مع الوظيفة التي سيعمل عليها، وتعريفه عند التوظيف بالمهام والمسؤوليات وتوقيعه (كأي موظف) على وثيقة عدم إفشاء المعلومات والمحافظة عليها. كذلك تم التأكد من التوافق مع معيار الآيزو في عملية إدارة الموظفين كعملية متكاملة ابتداء من اختيار الموظف, وقبل التوظيف, وعند التوظيف, وخلال التوظيف وممارسة الوظيفة وعند إنهاء الخدمة. ووقف المراجع أيضا على إدارة الخدمات والأمن وهي الإدارة التي تعنى بحماية موارد وأصول الهيئة من الوصول إليها والعبث بها وذلك بتوفير أدوات حماية مناسبة للمباني ومركز البيانات.