This site uses cookies.
Some of these cookies are essential to the operation of the site,
while others help to improve your experience by providing insights into how the site is being used.
For more information, please see the ProZ.com privacy policy.
Freelance translator and/or interpreter, Verified site user
Data security
This person has a SecurePRO™ card. Because this person is not a ProZ.com Plus subscriber, to view his or her SecurePRO™ card you must be a ProZ.com Business member or Plus subscriber.
Affiliations
This person is not affiliated with any business or Blue Board record at ProZ.com.
English to Arabic: Information security policy of a famous company (name of the company is deleted for the sake of confidentiality) Detailed field: Law: Patents, Trademarks, Copyright
Source text - English Information Security Policy
1 Introduction
The Information Security Policy is an important milestone in the journey towards effective and efficient information security management. It sets out the responsibilities we have as an organization, as managers and as individuals in order to protect Xxxxx’s Information assets where necessary against inappropriate disclosure and ensure its accuracy and availability to those who should be able to access it.
2 Purpose
The main purpose of this policy is to describe the minimum level of protection that Xxxxx expects for all its information assets to mitigate the risks associated with the theft, loss, misuse, damage or abuse of these assets. Also, to ensure that all users understand their responsibilities for protecting the confidentiality, integrity, and availability of data that they handle.
The directives set in this policy have the following objectives:
• To protect Xxxxx’s information assets
• To maintain adequate regulatory compliance
• To maintain business continuity
3 Policy Scope
This policy is applicable on all information held by Xxxxx and the information systems used to store and process it. This includes, but is not limited to, any confidential records, intellectual property rights, systems (applications and network) managed by Xxxxx, PCs, mobile and personal devices used to connect to Xxxxx networks or hold Xxxxx data, communications sent to or from Xxxxx.
All Xxxxx staff who has access to Xxxxx information assets must read it and abide by it.
4 Distribution & Availability
SharePoint
5 Policy Directives
5.1 General Acceptable Use
IT Asset Use
5.1.1 Users are not allowed to lend their IT Assets (e.g. PCs, USBs, removable hard drives …. etc.) to others.
5.1.2 Users are not allowed to store non-business related files (personal documents, games, movies, songs, pictures, etc.) on Xxxxx’s local PCs or network shares.
5.1.3 System Admins will carry out regular inspection to ensure that this policy (5.1.2) is applied and in case any non-business related files were found during normal maintenance operations, System Admins shall delete these files informing the User and copying his/her Manager.
5.1.4 Users should Keep food and drink away from workstations in order to avoid accidental spills.
5.1.5 Users must protect and use the asset with appropriate care and in the event of theft, loss or damage to Xxxxx Food Industries IT Assets, must immediately report the incident to the IT Service Desk and their Direct Manager
Internet Use
5.1.6 Users are expected to use the Internet responsibly and productively. Internet access is limited to job-related activities only and personal use is not permitted.
5.1.7 All Internet data that is composed, transmitted and/or received by Xxxxx’s computer systems is considered to belong to Xxxxx and is recognized as part of its official data.
5.1.8 Xxxxx reserves the right to monitor Internet traffic and data that is composed, sent or received through its online connection.
5.1.9 All sites and downloads may be monitored and/or blocked by IT Department if they are deemed to be harmful and/or not productive to business.
Email Use
5.1.10 Users should not transmit by Xxxxx-provided email address any file attachments which they know to be infected with a virus or other malicious software; and Users must not open email file attachments received from unsolicited or untrusted sources.
5.1.11 Users should not download email file from Xxxxx-provided email addresses without checking for Viruses. If an attached file is giving unreasonable behaviour, the IT Department should be informed immediately. Unreasonable behaviour includes an error message, system slow down during file opening or finding file contents is not reasonable.
5.1.12 Xxxxx-provided email addresses must not be used for sending unsolicited commercial or advertising material, chain letters, materials that infringe the copyright of another person or business or other junk mail of any kind.
5.1.13 Xxxxx-provided email addresses must not be used for sending of material that is or could be considered to be Offensive, discriminative, abusive or threatening to others, flaming, or bringing the company into disrepute.
5.1.14 Xxxxx-provided email addresses must not be used to register on websites that are not connected with business activities of Xxxxx, e.g. online auction, gambling or similar websites.
5.1.15 Subscription to any Internet messaging service using Xxxxx-provided email address is prohibited unless approved by Department Manager and IT.
5.1.16 Xxxxx-provided email address is given to send and receive regular E-mail messages NOT to be used for large file transfer, therefore a message size limit must not exceed 10 MB.
5.1.17 By default, the size allocated for every User mailbox on the server is 2 GB, User should maintain his / her mailbox and delete any unnecessary items.
5.1.18 In a special cases assessed by IT Desktop & Infrastructure Manager, the mailbox can be assigned 3 or 5 GB, as per business needs
5.1.19 By default, emails are retained for 5 years before being automatically deleted.
5.1.20 In case of the online archive mailbox size reached 20 GB, User should delete some of retained e-mails to free up space.
5.1.21 Any email (with or without attachments), that is transmitted using Xxxxx-provided email address, remain the property of Xxxxx.
Blogging and social media
5.1.22 Employees are prohibited from revealing any Xxxxx confidential or proprietary information, trade secrets or any other material when engaged in blogging.
5.1.23 Employees shall not engage in any blogging that may harm or tarnish the image, reputation and/or goodwill of Xxxxx and/or any of its employees.
5.1.24 Employees are also prohibited from making any discriminatory, disparaging, defamatory or harassing comments when blogging
5.1.25 If an employee is expressing his or her beliefs and/or opinions in blogs, the employee may not, expressly or implicitly, represent themselves as an employee or representative of Xxxxx.
Printer use
5.1.26 Printers are to be used for documents that are relevant to the day-to-day conduct of business at Xxxxx. Printers should not be used to print large personal documents.
5.1.27 Administration department shall provide large network multi-function copier machine to be distributed and installed as centralized printing and copying solution according to Employees’ needs and building design in HQ, plants, and branches.
5.1.28 Installation of personal printers is generally not condoned at Xxxxx due to the cost of maintaining and supporting many dispersed machines. In certain circumstances, however, where confidentiality is at issue, personal printers may be allowed once approved by the CEO on a case to case basis.
5.1.29 Do not print multiple copies of the same document – the printer is not a copier and typically costs more per page to use. If you need multiple copies, print one good copy on the printer and use the photocopier to make additional copies.
5.1.30 Secured printing (through password) is applied.
5.1.31 Color printing is typically not required by general business users. Given this selective need, as well as the high cost per page to print color copies, the number of color-capable printers available has been minimized. You are strongly encouraged to avoid printing in color when monochrome (black) will do.
5.1.32 Color printing shall be provided and assigned to Users after the approval of their concerned VP
Confidential and proprietary Information use
5.1.33 Xxxxx’s confidential and proprietary information stored on electronic and computing devices whether owned or leased by Xxxxx, the employee or a third party, remains the sole property of Xxxxx.
5.1.34 Users must ensure that confidential and proprietary information is protected in accordance with the Information security policies.
5.1.35 Users have a responsibility to promptly report the theft, loss or unauthorized disclosure of Xxxxx’s confidential and proprietary information to their Direct Manager, VP, and Information Security Steering Committee.
5.1.36 Users may access, use or share Xxxxx’s confidential and proprietary information only to the extent it is authorized and necessary to fulfil their assigned job duties.
5.1.37 In case it is necessary to share Xxxxx’s confidential and proprietary information with third-parties, an approval from the concerned VP is required and a “Non-Disclosure” Agreement has to be signed by the third-party first.
5.2 Human Resources Security
Prior to employment
5.2.1 For all job positions (existing and new ones), Recruitment and Internal Audit representative in Information Security Steering Committee must review job descriptions of positions and determine their criticality (Critical, non-critical position) according to confidential information that the job holder should have access to.
5.2.2 Criticality of job positions must be reviewed and confirmed with respective Managers.
5.2.3 HR – Recruitment Department must take into account the criticality of the positions and information security job duties when recruiting employees (permanent, temp, or contractors) at these positions.
Terms and condition of employment
5.2.4 Legal department has to ensure that contractual agreements with employees and contractors state their responsibilities for information security including those that remain after termination or change of responsibilities.
5.2.5 HR – Operations must ensure that all employees (permanent, temp, and contractors) signed off these contractual agreements.
5.2.6 Upon employment, Employees (temp, permanent, or contractors) must read and fully understand the General Acceptable Use Policy and sign the General Acceptable Use Agreement that confirms his/her approval and responsibility towards using Xxxxx’s Information Assets in a secure manner, for Xxxxx business purposes, following Xxxxx policies and applying good judgment.
5.2.7 In case the employee is in a need for assistance when in doubt about how to proceed or interpret the General Acceptable Use policy, the first point of contact should be HR-Operations.
5.2.8 HR – Operations are responsible for acquiring users’ signatures on General Acceptable Use Agreement and maintaining original hardcopies of these agreements.
5.2.9 IT shouldn’t create user accounts for new Employees (temp, permanent, or contractors) until HR – Operations confirm the that they have signed the General Acceptable Use Agreement.
During employment
5.2.10 Managers should ensure that Employees (temp, permanent, or contractors) are made aware of and motivated to comply with their information security obligations
5.2.11 Anyone within Xxxxx is responsible for reporting any concern on how the security processes are performing, any suspected or confirmed security incident regarding unauthorized or incorrect use to their Line Managers and the Information Security Steering Committee.
Change of responsibilities
5.2.12 Upon change of Employee’s responsibilities during the employment period, HR – Operations must immediately communicate this change to Access Managers (at IT Department).
5.2.13 Access Managers should report access privileges granted to this employee (to Xxxxx’s information assets) to both his / her new and former Managers in order to assess and determine access privileges to be kept, granted, or revoked.
Termination
5.2.14 Upon termination of an employee, HR – Operations must send an immediate notification to Access Managers (at IT department) who should report current access privileges granted to this employee to his/her Manager in order to assess the access privileges of the departing employee and determine which to be revoked and which to be kept till the last day of employment.
5.2.15 Direct Managers must ensure that IT successfully got a backup from departing Employee’s PC within maximum 5 days from the date of termination / resignation.
5.2.16 Direct Managers and IT must ensure that departing employees returned all corporate information and assets in their possession. Otherwise they shouldn’t sign off the “Exit Checklist”.
5.2.17 HR – Operations must remind departing Employees of their ongoing obligations under privacy, intellectual property laws, and contractual terms etc. after termination.
5.3 IT Asset Management
Assets Acquisition
5.3.1 IT is the contact for placing orders for IT Assets, such as software and hardware on behalf of Xxxxx Group of Companies
5.3.2 IT maintains a list of standard supported IT Assets which are recommended for use at Xxxxx Group of Companies;
Assets Ownership and maintenance
5.3.3 IT assets including software licenses (except SAP licenses) are owned by “IT Desktop and Infrastructure” Team while SAP licenses are owned by “Application Support” Team.
5.3.4 Asset Owners are responsible for:
• Managing IT Assets to ensure their effective functioning for their planned lifecycle including planning for the eventual replacement of the asset.
• Maintaining the assets, including any preventive or scheduled regular maintenance and for ensuring that periodic audits are undertaken to ensure the ongoing accuracy of the asset register/inventory.
• Effectively accounting for their IT assets by ensuring their identification in accordance with the following procedures:
o All physical IT Assets should be clearly identified (and labelled by Finance) as property of Xxxxx Group of Companies.
o All IT Assets should have an assigned Asset Custodian (Asset User) except those assets serving global purposes like “network and printing equipment”
o An inventory (or register) should be maintained and include the following details for each asset:
Asset identifier, e.g. asset tag, serial number;
The Custodian and User of the asset;
The type of asset;
The location of the asset;
The value of each asset (by Finance).
5.3.5 The IT Asset register must be updated when an asset is approved for re-use, disposal or resell.
Asset Use and Re-use
5.3.6 An “IT Undertaking Form” must be electronically signed by all Asset Custodians (Asset Users) when receiving an IT Asset.
5.3.7 IT Asset Use policies defined under the General Acceptable Use Policy must be followed.
5.3.8 Any re-use of asset must be authorized by the Asset Owner and the equipment must be sanitized (for example by overwriting all data) prior to transfer of custody from its current Asset Custodian to the new one.
5.3.9 Once the asset transfer is completed, the Asset Register should be updated accordingly.
5.3.10 Where a software license is reassigned for use on another asset, the software must be removed from the original asset by the Asset Owner.
Security of Assets
5.3.11 Asset Users must protect and use the assets with appropriate care and in the event of theft, loss or damage to Xxxxx Group of Companies IT Assets, must immediately report the incident to their Direct Manager, IT, and Information Security Steering Committee
Asset Returns
5.3.12 Assets should be returned when people leave the organization or change their positions in a way that doesn’t require using these assets anymore.
Assets Resell
5.3.13 On an annual basis, Asset Owners must identify the list of assets that are no longer useful to Xxxxx Group of Companies and can be resell.
5.3.14 Equipment which is working, but reached the end of its useful life to Xxxxx, will be made available for purchase by employees.
5.3.15 A lottery system managed by Finance, Audit, Procurement, and Administration will be used to determine who has the opportunity to purchase available equipment.
5.3.16 All equipment purchases must go through the lottery process. Employees cannot purchase their office computer directly or “reserve” a system. This ensures that all employees have an equal chance of obtaining equipment.
5.3.17 Finance and IT will determine an appropriate cost for each item.
5.3.18 All purchases are final. No warranty or support will be provided with any equipment sold.
5.3.19 IT Assets Inventory must be updated after the resell process.
Assets Resell
5.3.20 On an annual basis, Asset Owners must identify the list of assets that are no longer useful to Xxxxx Group of Companies and can be resell.
5.3.21 Equipment which is working, but reached the end of its useful life to Xxxxx, will be made available for purchase by employees.
5.3.22 A lottery system managed by Finance, Audit, Procurement, and Administration will be used to determine who has the opportunity to purchase available equipment.
5.3.23 All equipment purchases must go through the lottery process. Employees cannot purchase their office computer directly or “reserve” a system. This ensures that all employees have an equal chance of obtaining equipment.
5.3.24 Finance and IT will determine an appropriate cost for each item.
5.3.25 All purchases are final. No warranty or support will be provided with any equipment sold.
5.3.26 IT Assets Inventory must be updated after the resell process.
Assets Disposal
5.3.27 Asset Owners must approve the disposal of IT Assets
5.3.28 Asset Owner are responsible for ensuring that IT Assets are disposed of in accordance with the following procedures:
Disposal of Hardware Assets
5.3.29 Hardware assets must be checked prior to disposal to ensure that any sensitive data classified as Highly Confidential or Restricted and licensed software has been removed.
5.3.30 Data backups must be taken for hardware assets to avoid any potential data loss.
5.3.31 Hardware assets to be disposed of externally must be handled using an approved third party provider under the supervision of Administration Department.
5.3.32 The entity performing the service must certify that each item has been disposed of securely and in compliance with environmental guidelines.
Disposal of Software Assets
5.3.33 All software must be removed from hardware prior to disposal in order to avoid being liable for breaches of copyright or software licensing agreements;
5.3.34 Software assets must be checked prior to disposal to ensure that any business records, or (meta) data that pertain to company business processes, that are contained and/or managed in the software are checked against the disposal schedules currently in use by Xxxxx Group of Companies.
Disposal of Media handling / storage devices
5.3.35 Data backups must be taken before the disposal of Media to avoid any potential data loss
5.3.36 Electronic media must be sanitized before disposal (for example, by overwriting all data). Similar to shredding paper reports, compact discs and other non-rewritable media should either be broken or defaced by scratching before disposal;
5.3.37 Media that cannot be effectively sanitized before disposal should be destroyed so that data is irrecoverable;
5.3.38 Where secure destruction of media is undertaken by a third party, the entity performing the service must certify that each item has been disposed of securely and in compliance with environmental guidelines Information Management
5.4 Information Management
Classification of information
5.4.1 Each Manager is responsible for identifying records being used for fulfilling their duties and communicate it to the Information Security Steering Committee through the concerned Facilitator.
5.4.2 information Security Steering Committee should define the confidentiality classification of all records and adopt controls to protect the information according to its risk.
5.4.3 All data or information that is created, collected, stored or processed by Xxxxx Food Industries, in electronic or non-electronic formats shall be assigned one of the following classifications Confidential, Restricted, Internal Use, or Public:
• Confidential: has significant value for Xxxxx Food Industries, and unauthorized disclosure or dissemination could result in severe financial or reputational damage to Xxxxx Food Industries. Only those who need explicitly need access must be granted it, and only to the least degree in order to do their work (the ‘need to know’ and ‘least privilege’ principles). When held outside Xxxxx Food Industries, on mobile devices such as laptops, tablets or phones, or in transit, ‘Confidential’ information must be protected behind an explicit logon and by encryption at the device, drive or file level.
• Restricted: subject to controls on access, such as only allowing valid logons from a small group of staff. ‘Restricted’ information must be held in such a manner that prevents unauthorised access i.e. on a system that requires a valid and appropriate user to log in before access is granted. Disclosure or dissemination of this information is not intended, and may incur some negative publicity, but is unlikely to cause severe financial or reputational damage to
• Internal Use: can be disclosed or disseminated by its owner to appropriate members of Xxxxx Food Industries, partners and other individuals, as appropriate by information owners without any restrictions on content or time of publication.
• Public: can be disclosed or disseminated without any restrictions on content, audience or time of publication. Disclosure or dissemination of the information must not violate any applicable laws or regulations, such as privacy rules. Modification must be restricted to individuals who have been explicitly approved by information owners to modify that information
5.4.4 Compliance and Business Process Management and Facilitators must keep track of all records identified, their owners, their confidentiality classification, location, and their authorized users in a “Record Register”.
Security of information
5.4.5 All Confidential information must be stored at designated applications, system, network servers and made available to authorized Users. Sharing confidential information using the email is not allowed.
5.4.6 In case a User needs access to any of the confidential records, Access Management Process is followed. Also please check Authorization before granting access policy under Access Management policy
5.4.7 Storing confidential information on local PCs isn’t allowed.
Retention of information
5.4.8 Based on their remit, Managers, assisted by Internal Audit, is responsible for defining the acceptable retention period for the various kinds of data (records and documents) they hold and send it to Compliance and Business Process Management to store in “Records Register”
5.4.9 Record retention data should highlight the disposal method (either to shred or to delete and wipe)
5.5 Access Management
Need to know principle
5.5.1 When access is needed to Xxxxx’s Information Assets (IT assets, applications, or confidential data), Access request should be validated and granted on a "need to know basis", that is, the minimum access needed to perform a duty. This is to protect the systems and data in them from accidental or intentional damage / disclosure.
Authorization before granting access
5.5.2 Access to systems, applications, and confidential records will be granted to employees and third parties/service providers by Access Managers only after an authorization process has been executed according to the Access Management Process - Access Authorization Matrix
5.5.3 Access Managers are as follows Application Support Manager in case of Access Requests related to Applications, SharePoint, and confidential records and IT Desktop & Infrastructure Manager in case of Access Requests related to IT Services
5.5.4 Any exception to the normal process of access authorization has to be approved by the CEO.
5.5.5 Access Managers must keep record of all Access Requests received
Access Review
5.5.6 Users’ access permissions must be reviewed on a monthly basis. Also, please check the Change of responsibilities policy under Human Resources Security policy
5.5.7 Access permissions for resigned employees must be reviewed once they submit their resignation. Also, please check the Termination Policy under Human Resources Security Policy.
5.5.8 Access Managers should review temp access requests on a daily basis in order to revoke expired access if any. In order to extend a temp access request, the Access User’s Manager has to submit “Extend Access” Request to the Access Manager with acceptable justification to be approved as per Access Management Process - Access Authorization Matrix
User Access Provisioning
5.5.9 Accessing data, a server or an account for any purpose other than conducting Xxxxx business, even if you have authorized access, is prohibited.
5.5.10 Each Access Manager must have a consistent process to regularly monitor the access granted to users on systems, applications, and confidential records he/she is accountable for, and monitor the usage of the system, with assistance and tools provided by IT.
5.5.11 Whenever there is a suspect by anyone of access misuse, a “Track Access Use Request” must be submitted to Access Managers in order to carry out necessary investigation and analysis after getting the approval of the Information Security Steering Committee.
5.5.12 Access Managers must keep record of all “Track Access Use” requests received and their results.
Logs retention policy
5.5.13 As a general rule, any logging activity to any of Xxxxx’s Information assets should be kept for at a given period determined by each application / system, of which three (3) months should be online immediately accessible for inspection.
5.6 Password Management
Secure log-on procedure
5.6.1 All enabled accounts in computer systems must have passwords or a comparable authentication method to establish user accountability.
5.6.2 By default, system logs should be enabled to capture user logon.
5.6.3 Users aren’t allowed to share their accounts with others.
Password Creation
5.6.4 IT is responsible for the issuance of the user identity and its associated temporary password for all Users
5.6.5 Users are forced to change it immediately after the first login by creating another password in adherence to ‘Creating a strong password’ guidelines below.
Password Periodical Renewal
5.6.6 Users shall be required to change their passwords periodically and at least once every 90 days.
5.6.7 Old passwords shall not be re-used.
5.6.8 Last (5) passwords are kept on the system to prevent users from reusing a password.
Password Resetting
5.6.9 If the security of a password is in doubt, the password must be changed immediately.
5.6.10 User can change his password from his computer once a day.
Password forgotten
5.6.11 5 invalid attempts to login will result in a lockout from the system.
5.6.12 Forgotten passwords will be re-issued.
5.6.13 Where a User forgets the password or is ‘locked out’, IT Support Staff is authorized to issue a new initial password that will be required to be changed during the User’s first login.
Password confidentiality
5.6.14 Users are required to maintain their own passwords confidential
5.6.15 Change passwords whenever there is any indication of possible system or password compromise
5.6.16 Password is not to be shared with any employee within the business.
5.6.17 Users shall be advised to avoid keeping a record (e.g. paper or electronic) of their passwords.
5.6.18 Users shall not use the same password for business and non-business purposes
5.6.19 Passwords shall not be stored on computer systems in an unprotected form.
5.6.20 IT support staff shall not request users to disclose their passwords when providing support or investigating problems
General Characteristics of Strong Password:
• Easy to remember
• Not based on anything that could be easily guessed using person related information, e.g. names, telephone numbers, dates or birth, vehicle registrations, etc.
• Free of repeating identical all-numeric or all-alphabetic characters
• Password length: Passwords are required to be at least 8 characters long.
• Password safeguards: Users are prevented from creating a password that contains their name.
• Password complexity: Passwords must contain 3 of the 4 following characteristics: Upper case (A-Z), lower case (a-z), digits (0-9), and punctuation characters (!@#$%^&*()_+|-=\{}[]"'.'?./
5.7 Technical and Operational Security
Protecting the business processes stability
5.7.1 IT and the Business Module Experts of systems have a joint responsibility for defining secure operational procedures when using Xxxxx’s Information systems for processing and storing data and training Users on these procedures.
Monitoring and duty of care
5.7.2 Xxxxx reserves the right to monitor individual’s usage, to the extent granted by the law, in order to protect its legitimate business interests. Monitoring may include accessing stored or transmitted data as well as observation of Users’ activities.
5.7.3 Xxxxx has also a "duty of care" obligation to reasonably monitor usage of company resources to detect abuse in breach of the security policies and requirements.
Change management and security
5.7.4 All changes to systems should be authorized by the Chief Information Officer and conducted in a controlled manner following the Change Management Process
Physical and environmental security of equipment
5.7.5 Equipment shall be installed with appropriate protection from environmental factors and unauthorized access, in line with the sensitivity of the data and business process it supports.
5.7.6 All equipment by default should be provisioned, installed and managed by IT, with vendor warranty and maintenance in place. Exceptions must be approved by the CIO on a case‐by‐case basis.
Physical security, controlled areas
5.7.7 For Xxxxx IT and Information assets, including laptops, servers, information handling devices (CDs, DVDs, and USB), and printed confidential data, Users must ensure that his/her asset are protected against intentional or accidental physical damage and locate it in an area with restricted access and protected against environmental hazards.
5.7.8 For critical areas in HR and Finance, physical safeguards must be implemented to restrict physical access to these areas to only authorized users
5.7.9 In case there is a need to implement physical safeguard for a specific area, concerned Manager must submit a request to the Information Security Steering Committee to validate, approve, and coordinate with Administration in order to implement.
Server Security Policy
5.7.10 All internal servers deployed at Xxxxx must be owned by an operational group that is responsible for system administration.
5.7.11 Approved server configuration guides must be established and maintained by each operational group, based on business needs and approved by the Chief Information Officer.
5.7.12 Servers must be registered within the corporate enterprise management system that is must be kept up-to-date. At a minimum, the following information is required to positively identify the point of contact:
• Server contact(s) and location, and a backup contact
• Hardware and Operating System/Version
• Main functions and applications, if applicable
5.7.13 Configuration changes for production servers must be approved by the Chief Information Officer.
5.7.14 Services and applications that will not be used must be disabled where practical.
5.7.15 The most recent security patches must be installed on the system as soon as practical, the only exception being when immediate application would interfere with business requirements.
5.7.16 Servers should be physically located in an access-controlled environment.
5.7.17 Servers are specifically prohibited from operating from uncontrolled cubicle areas.
5.7.18 All security-related events on critical or sensitive systems must be logged and audit trails saved as follows:
• All security related logs will be kept online for a minimum of 1 week.
• Daily incremental tape backups will be retained for at least 1 month.
• Weekly full tape backups of logs will be retained for at least 1 month.
• Monthly full backups will be retained for a minimum of 2 years.
5.7.19 Security-related events will be reported to Information Security Steering Committee. Corrective measures will be prescribed as needed.
Data backup and restore procedures
5.7.20 Backup copies of confidential records on SharePoint, data on both X and Y drives, software and system shall be taken and tested regularly in accordance with an agreed backup plan approved by Chief Information Officer.
5.7.21 Backups should be stored under physical security and inventory control.
5.7.22 Restore tests of the media/files should be done at least once a year.
Clean desk
5.7.23 Employees are required tidy to their desks and ensure that all confidential / restricted information in hardcopy or electronic form is secure in their work area at the end of the day
5.7.24 If an employee has to leave to attend a meeting or take a break, do a quick check first to see if there is sensitive information on the desk – and secure it.
5.7.25 Consider scanning paper items and filing them electronically in your workstation
5.7.26 File cabinets containing confidential / restricted information must be kept closed and locked when not in use or when not attended and keys stored in the correct locations
5.7.27 Keys used for access to confidential / restricted information must not be left at unattended desk.
5.7.28 Treat mass storage devices such as CDROM, DVD or USB drives as sensitive and secure them in a locked drawer
5.7.29 Printers and fax machines should be treated with the same care under this policy: Any print jobs containing confidential / restricted paperwork should be retrieved immediately.
5.7.30 Whiteboards containing confidential / restricted information should be erased.
5.7.31 The clean desk policy also covers areas such as meeting rooms, flip charts whiteboards being used from previous meetings and may contain confidential notes (to be erased / removed)
5.7.32 Expired, scrapped and unwanted copies of documents are disposed of in the correct manner
5.7.33 This policy will be officially monitored for compliance by Department Heads and will include random and scheduled inspections.
Workstation Security
5.7.34 Computer workstations must be locked when workspace is unoccupied.
5.7.35 IT must enable a password-protected screen saver with a short timeout period (5 minutes) to ensure that workstations that were left unsecured will be protected.
5.7.36 Computer workstations must be shut completely down at the end of the work day.
5.7.37 Laptops left in the office are removed from the desk and locked away
5.7.38 Never install unauthorized software on workstations.
5.8 Communication Security
Information Transfer
5.8.1 By default, all users aren’t allowed to have USB access, write data on CDs or DVDs.
5.8.2 When a User needs access to transfer data using USB, CD, or DVDs, He/she should submit an “Access Request” to Access Managers who will verify and implement the request after the approval of both Authorization and Confirmation Teams. Please check Authorization before granting access policy under Access Management policy.
5.8.3 For security reasons, IT are allowed to monitor information transferred from computers over USB, CDs, or DVDs and report any security breaching incidents to the Information Security Steering Committee.
Email Security
5.8.4 By default, all users except VPs shouldn’t have access to their emails using their personal devices such as their mobile phones unless a justification is provided by his / her Direct Manager and approved by the concerned VP and the Information Security Steering Committee. Exceptions to this policy must be approved by the CEO.
5.8.5 Automated monitoring will operate routinely to avoid misuse / disclosure of Xxxxx’s confidential information and ensure the compliance with the provisions of Email Usage Policy under General Acceptable Use Policy.
5.8.6 These arrangements may include, but are not limited to, checking content, denying transmission and in some instances recording of email messages for the purpose of:
• preventing or detecting crime as required by law;
• investigating or detecting a breach of the Email Usage Policy; and
• ensuring the effective operation of Xxxxx Network.
5.8.7 In order to provide necessary legal protection, Xxxxx has arranged for an appropriate disclaimer to be automatically appended to all email messages that are sent to external addresses from Xxxxx. The disclaimer must not be removed or tampered with at any time.
5.8.8 In general, the privacy of the email user will be respected. There will be exceptional circumstances, however, when the company may require access to email accounts including their contents. These reasons include:
• unexpected or prolonged absence of a user where not dealing with his or her email in a timely manner adversely affects the business of the company
• fulfilling a legal requirement.
• a formal investigation of a breach of internal policies
5.8.9 Where the content of emails is to be accessed for any of the above purposes, the action must be approved in writing by the Information Security Steering Committee.
Network Security Management
5.8.10 Secure remote access must be strictly controlled with encryption (i.e., Virtual Private Networks (VPNs))
5.8.11 All hosts that are connected to Xxxxx internal networks via remote access technologies must use the most up-to-date anti-virus software, this includes personal computers.
5.8.12 Third party connections must comply with requirements as stated in the Third Party Agreement.
5.8.13 While using an Xxxxx-owned computer to remotely connect to an Xxxxx's corporate network, Authorized Users shall ensure the remote host is not connected to any other network at the same time, with the exception of personal networks that are under their complete control or under the complete control of an Authorized User or Third Party.
5.8.14 Xxxxx reserves the right to audit networks and systems on a periodic basis to ensure compliance with this policy.
5.9 Security by design, secure architecture, acquisition, and development
Information security of any project
5.9.1 Information security shall be addressed in new information systems explicitly as a requirement, regardless of the type of the system, and will be incorporated into the methodology.
5.9.2 Managers that sponsor a system to process data are accountable for commissioning a system that meets the information security policy, applying deliberate and verifiable risk management with the Cooperation of the Information Security Steering Committee.
Default configuration un‐trusted
5.9.3 The default and vendor recommended configuration of any acquired system should not be trusted but subject to review and security lock down by IT Department or independent reviewer with sufficient expertise.
5.9.4 The reviewer will be responsible and accountable for commissioning a system sufficiently secure for its purpose and escalate any security risks to the concerned Manager (sponsor of the system) and the Information Security Steering Committee
Separation of Environments
5.9.5 There must be separate development, test, and production environments for all business critical applications, with appropriate segregation of duties.
5.9.6 In addition to protecting live data, attention should be given to protecting test data, migration data and approved source/object code.
Protection from malware
5.9.7 The default approach is that all Xxxxx systems should have detection, prevention and recovery controls to protect against malware combined with appropriate user awareness.
5.9.8 Exceptions need to be formally approved on a case by case basis by senior management at IT and the business affected
Minimum security features in systems
5.9.9 Systems should be developed/acquired and configured with the security features necessary to enable enforcement of the following:
• Users can only access data and functionality for which they are authorized (“least privileges” approach)
• Accountability for usage is maintained via appropriate audit trails.
• Availability and integrity of the systems, including disaster recovery (DR) arrangements are addressed.
5.9.10 These security requirements need to be made explicit and should be included in services agreements, whether these services are provided in‐house or outsourced.
Acquisition of Software
5.9.11 IT Department is the only custodian for any purchased software’ license/key and they have the right to review any requested new software by users for business and make sure it is compatible with our security standards and regulations.
5.9.12 All software must be appropriately registered with the supplier where this is a requirement. Xxxxx is to be the registered owner of all software.
Installation of software
5.9.13 All software installation is to be carried out by T Department. Users aren’t allowed to install software on Xxxxx’s computing devices.
5.9.14 Software installation Requests must first be approved by the Requester’s Manager. Please check the Request Fulfilment Process
5.9.15 The installation of software such as instant messaging technology is strictly prohibited
5.9.16 The installation of all Third party applications and Mac applications should be handled by the concerned vendor.
5.9.17 Unless an approval from IT Department is obtained, software cannot be installed on personal computers not owned by Xxxxx
5.9.18 Where it is required to use software at home, an evaluation of providing the User with a portable computer should be undertaken in the first instance.
5.9.19 Where it is found that software can be used on a personal computer not owned by Xxxxx, authorization from IT Department is required to purchase separate software if licensing or copyright restrictions apply. Software purchased in this circumstance remains the property of the business and must be recorded in the Asset Register by concerned Asset Owner at IT Department.
Regular testing of systems security
5.9.20 The IT security of Information systems should be tested as part of the regular business as usual.
5.9.21 Systems should be probed for vulnerabilities before the go‐live or significant change, and at least annually afterwards
5.10 Information Security Incident Management
Incident reporting
5.10.1 All users of information systems and services are required to note and report any observed or suspected security weakness, security incident to the Information Security Steering committee directly or through their Line Managers, or IT Service Desk. (Check Information Security Management Process)
Incident response
5.10.2 Xxxxx will maintain an information security incident response plan that will rely on ongoing operational monitoring and incident response procedures, including evidence collection, escalation procedures to senior management, and follow-up actions. (Check Information Security Management Process)
Management of information security incidents and improvements
5.10.3 Xxxxx will maintain a mechanism in place to identify and quantify the type, volume, and costs of Information Security incidents in order to take proper preventive and corrective actions, improve the Information Security System, and minimize future threats. (Check Information Security Management Process)
5.10.4 Monitor and ensure compliance with Information Security Policies and standards. For more details, please check ISM – Monitor and manage security incidents and Breaches
5.11 Continuity Management
Secure operations in contingency
5.11.1 Xxxxx’s Information assets need to be protected in a disaster situation; to ensure the continuity of the going concern. For that, Business Continuity Steering Committee shall review the Business Continuity requirements on annual basis.
5.11.2 According to the business continuity requirements, the Chief Information Officer and IT Managers establish and maintain an IT Continuity Plan.
5.11.3 Information Security Steering Committee shall review the IT Continuity plan to ensure operations, even during an adverse situation, maintains acceptable levels of security and meets regulatory requirements.
5.11.4 The IT Continuity plan must be approved by the CFO and the CEO
Business Management responsibility for security
5.11.5 Business Managers are responsible for specifying the requirements for protecting the availability of systems/data. It should be based on the analysis of risks, criticality of assets and consider regulatory requirements.
5.11.6 IT department is responsible for delivering and maintaining the contingency arrangements as agreed.
Disaster recovery and business continuity
5.11.7 Resilience and disaster recovery capabilities are an integral part of all IT services and need to be defined in the design phase of any project.
5.11.8 Upon disasters, the approval of the CIO is required In order to respond and implement proper data recovery as per the Continuity Plan. Also, Both the Business Continuity Steering Committee and Information Security Steering Committee must be notified
Testing of Disaster Recovery arrangements
5.11.9 Disaster recovery capabilities are especially vulnerable to failure and will not be deemed acceptable unless they pass regular documented tests.
5.12 Compliance and validation of Information Security Program
Information security in contracts with third party
5.12.1 Service Providers with access to Xxxxx’s Information assets must contractually commit to implement security measures through Non-disclosure agreements to meet the business objectives (e.g. protecting intellectual property, availability) as well as regulatory or contractual obligations for which Xxxxx has ultimate accountability.
5.12.2 The Manager who owns the information asset is responsible for regularly monitoring and audit supplier service delivery.
Management controls
5.12.3 Managers should regularly review the compliance of information processing and procedures within their area of responsibility with the appropriate security policies, standards and any other security requirements.
5.12.4 Evidence of the performance of such controls should also be kept.
Internal security reviews
5.12.5 The information security program and its implementation shall be reviewed independently at planned intervals or when significant changes occur.
5.12.6 It is expected that evidence of the controls performed by employees/systems as well as any controls management performs over them (also called “second tier” or “control over the control”) are kept.
5.12.7 Management should be prepared for and fully cooperate during internal reviews performed by Internal Audit
6 Policy Administration, maintenance, communication, and enforcement
6.1 Policy Administration and maintenance
6.1.1 Information Security policies and processes are maintained by the Information Security Steering Committee and will be reviewed on an annual basis.
6.1.2 The review and update will be approved by the Information Security Steering Committee and the CEO.
6.1.3 The current approved version of this policy will be published on SharePoint in “Xxxxx Policies and Procedures” Directory
6.1.4 Previous versions with its validity period will be kept by Compliance and Business Process Management.
6.2 Policy communication
6.2.1 Every new employee will have the General Acceptable Use Policy included in the induction pack.
6.2.2 After each review, the news of the policy update will be communicated to all employees by email and the policy will be available on SharePoint
6.2.3 For employees who don’t have Xxxxx-provided email address, Managers should communicate
6.3 Policy enforcement
6.3.1 This Policy forms part of the Xxxxx set of policies. Every employee needs to understand and follow as indicated in the standard employment contract.
6.3.2 Exceptions to the policy should be authorized by the CEO.
6.3.3 Failure to follow the policy may lead to disciplinary action defined by Human Resource and Legal departments and communicated to the Information Security Steering Committee, the employee who has committed an information security breach, his Direct Manager, and concerned VP (in case of severe incidents)
6.3.4 On a quarterly basis Information Security Steering Committee will carry out meeting with the CEO to discuss Security updates, security incidents/breaches, and status of access privileges granted to employees (internet, USB, email on mobile devices …etc.).
Translation - Arabic سياسة تأمين المعلومات
1 - المقدمة :
سياسة تأمين المعلومات تعد رُكناً أساسياً للوصول إلى إدارة تأمين المعلومات بشكل كفؤ و فعال؛ فهي تحدد مسئولياتنا كمؤسسة و كمديرين و كأفراد فيما يتعلق بحماية أصول المعلومات الخاصة بXxxxx - كلما لزم الأمر – ضد أي كشف غير مناسب مع ضمان دقة هذه المعلومات و إتاحتها للأفراد الذين لهم حق الوصول إليها.
2 – الغرض :
الغرض الأساسي من هذه السياسة هو وصف الحد الأدنى من الحماية التي تتوقعها Xxxxx فيما يتعلق بكافة أصول المعلومات الخاصة بها بهدف الحد من المخاطر التي قد تتعرض لها عن طريق سرقة هذه الأصول أو فقدانها أو سوء استخدامها أو تلفها أو العبث بها. كما تهدف هذه السياسة إلى ضمان أن جميع المستخدمين يدركون مسئولياتهم فيما يخص حماية سرية البيانات التي يتعاملون معها و سلامتها و إتاحتها.
و تهدف التوجيهات المذكورة في هذه السياسة إلى ما يلي :
- حماية أصول المعلومات الخاصة بXxxxx.
- الحفاظ على مستوى مناسب من الالتزام بالأنظمة.
- الحفاظ على استمرارية العمل.
3 - نطاق السياسة :
تنطبق هذه السياسة على كافة المعلومات التي تتعامل بها Xxxxx و أيضاً أنظمة المعلومات المستخدمة لحفظها و معالجتها. و يشمل ذلك – على سبيل المثال لا الحصر – أية سجلات سرية، و حقوق الملكية الفكرية و الأنظمة (التطبيقات و الشبكات) التي تديرها Xxxxx، و أجهزة الكمبيوتر الشخصية و الهواتف المحمولة و الأجهزة الشخصية التي تُستخدم في الاتصال بشبكات Xxxxx أو في التعامل مع بياناتها أو في المراسلات الموجهة من Xxxxx و إليها. و يتعين على كافة موظفي Xxxxx الذين لهم حق الدخول إلى أصول معلوماتها أن يقرأوا هذه السياسة و يلتزموا بما جاء فيها.
4 - توزيع السياسة و إتاحتها :
من خلال ال "شيربوينت".
5 - توجيهات السياسة
5–1 : الاستخدام المقبول بصفة عامة :
استخدام أصول تكنولجيا المعلومات :
5-1-1 : غير مسموح للمستخدمين بإعارة أصول تكنولوجيا المعلومات الخاصة بهم (مثل: أجهزة الكميوتر و نواقل البيانات "يو إس بي" و محركات الأقراص الصلبة المتنقلة “removable disk drives”... الخ).
5-1-2 : غير مسموح للمستخدمين بحفظ ملفات لا تتعلق بالعمل (مستندات شخصية – ألعاب – أفلام – أغاني – صور ... الخ.) على أجهزة الكمبيوتر المحلية أو الشبكات الخاصة بXxxxx.
5-1-3 : سوف يقوم الإداريين العاملين في أنظمة المعلومات بالتفتيش بصفة منتظمة على الأجهزة لضمان تطبيق النقطة سالفة الذكر (5.1.2) من السياسة و في حالة وجود أي ملفات غير متعلقة بالعمل أثناء عمليات الصيانة المعتادة يتعين على الإداريين محو هذه الملفات و إبلاغ المستخدم كتابةً بذلك مع إرسال صورة إلى مديره / مديرها.
5-1-4 : يتعين على المستخدمين عدم تناول أغذية أو مشروبات في أماكن العمل و ذلك لتجنب إنسكابها الذي قد يحدث عن غير قصد.
5-1-5 : يتعين على المستخدمين حماية الأصول و استخدامها بعناية ؛ و في حالة تعرض أصول تكنولوجيا المعلومات الخاصة بشركة Xxxxx للصناعات الغذائية للسرقة أو الفقد أو التلف لابد أن يقوموا فوراً بالإبلاغ عن الواقعة لدى مكتب خدمات تكنولوجيا المعلومات و المدير المباشر.
استخدام الإنترنت
5-1-6 : من المتوقع أن يتم استخدام الإنترنت بشكل مسئول و منتج. و يقتصر الدخول إلى شبكة الإنترنت على الأنشطة المختصة بالعمل فقط و لا يُسمح بالاستخدام الشخصي.
5-1-7 : كل بيانات الإنترنت التي تنشئها و/أو تنقلها و /أو تستقبلها أنظمة الكمبيوتر لدى Xxxxx تعتبر ملكاً لها و تعد جزءً من بياناتها الرسمية.
5-1-8 : تحتفظ Xxxxx بالحق في مراقبة حركة مرور البيانات على شبكة الإنترنت و أيضاً مراقبة البيانات التي يتم إنشاءها أو إرسالها أو استقبالها من خلال الاتصال بشبكة الإنترنت.
5-1-9 : قد يتم مراقبة جميع المواقع و التنزيلات و /أو حظرها بمعرفة قسم تكنولوجيا المعلومات إن تبين أنها قد تضر بالعمل و /أو أنها لا تنفع العمل.
استخدام البريد الإلكتروني :
5-1-10 : يتعين على المستخدمين ألا يقوموا باستخدام عنوان البريد الإلكتروني الذي تتيحه لهم Xxxxx في إرسال أو استقبال أي مرفقات يعرفون أنها مصابة بفيروس أو برامج ضارة أخرى؛ و لا يجوز للمستخدمين أن يفتحوا أي مرفقات بريد إلكتروني من مصادر غير مرغوب فيها أو غير موثوق بها.
5-1-11 : يتعين على المستخدمين ألا يقوموا بتنزيل أي ملف بريد إلكتروني باستخدام أي من عناوين البريد الإلكتروني التي تتيحها لهم Xxxxx بدون الكشف عن الفيروسات. و إذا صدر من الملف المرفق أي سلوك غير معتاد فلابد من إبلاغ قسم تكنولوجيا المعلومات على الفور. و المقصود بالسلوك غير المعتاد إصدار رسالة بخصوص خطأ أو البطئ في عمل النظام أثناء فتح الملف أو العثور على محتويات غير مألوفة بالملف.
5-1-12 : يجب عدم استخدام عناوين البريد الإلكتروني التي تتيحها Xxxxx في إرسال أي مواد دعائية أو إعلانات تجارية غير مرغوب فيها أو أي مواد تشكل مخالفة لحقوق الطبع و النشر الخاصة بأحد الأفراد أو المشروعات أو أي رسائل مزعجة من أي نوع.
5-1-13 : يحظر استخدام عناوين البريد الإلكتروني التي تتيحها Xxxxx في إرسال أي مواد تكون عدائية أو تمييزية أو مسيئة أو تهدد الآخرين أو حادة أو مسيئة لسمعة الشركة أو أي مواد قد يُفهم منها ذلك.
5-1-14 : يحظر استخدام عناوين البريد الإلكتروني التي تتيحها Xxxxx في التسجيل بالمواقع الموجودة على شبكة الإنترنت التي لا علاقة لها بأنشطة شركة Xxxxx؛ مثل مواقع المزادات عبر الإنترنت ، أو المقامرة ، أو مثيلاتها من المواقع.
5-1-15 : ممنوع استخدام عنوان البريد الإلكتروني الذي تتيحه Xxxxx للإشتراك في أي خدمة رسائل عبر شبكة الإنترنت ما لم يتم الموافقة على ذلك من قبل مدير القسم وإدارة تكنولوجيا المعلومات .
5-1-16 : الغرض من عنوان البريد الإلكتروني الذي تتيحه Xxxxx هو إرسال واستقبال رسائل البريد الإلكتروني العادية و لا يجب أن يُستخدم في نقل الملفات الكبيرة ، ومن ثم لا يجوز أن يزيد حجم الرسالة عن 10 ميجابايت.
5-1-17 : فإن المساحة المحددة تلقائياً على السيرفر لكل صندوق بريد وفقاً لما سبق تساوي 2 جيجابايت. و من ثم يجب أن يحافظ المستخدم على مساحة صندوق البريد الخاصة به و أن يحذف منه كل ما هو غير ضروري .
5-1-18 : يمكن تخصيص مساحة قدرها من 3 إلى 5 جيجابايت لصندوق البريد حسب حاجة العمل؛ و ذلك في الحالات الخاصة التي يقررها مدير أجهزة تكنولوجيا المعلومات و البنية الأساسية .
5-1-19 : يتم الإبقاء على رسائل البريد الإلكتروني لمدة خمسة أعوام، ثم بعد هذه الفترة تُحذف تلقائيا.
5-1-20 : إذا بلغ حجم أرشيف صندوق البريد الإلكتروني 20 جيجابايت يتعين على المستخدم في هذه الحالة حذف بعض الرسائل التي يحتفظ بها لتوفير مساحة.
5-1-21 : أي رسالة بريد إلكتروني (سواء كان بها مرفقات أم لا) يتم إرسالها أو استقبالها عن طريق عنوان البريد الإلكتروني الذي تتيحه Xxxxx يظل ملكاً لXxxxx.
المدونات و وسائط التواصل الاجتماعي :
5-1-22 : يحظر على الموظفين الكشف عن أي معلومات سرية أو معلومات تمتلكها Xxxxx أو أسرار تجارية أو أي مواد أخرى أثناء مشاركتهم في المدونات.
5-1-23 : يحظر على الموظفين الإشتراك في أي مدونات ربما تشوه أو تضر بصورة أو سمعة Xxxxx أو أي من موظفيها.
5-1-24 : كما يحظر على الموظفين المشاركة في المدونات بأي تعليقات تنطوي على تمييز أو سخرية أو إهانة أو تحرش.
5-1-25 : عندما يعبرالموظف عن معتقداته و/أو آراءه في المدونات، لا يجوز له أن يقدم نفسه على أنه موظف بشركة Xxxxx أو ممثلاً عنها – سواء كان ذلك بشكل صريح أو ضمني.
استخدام الطابعات :
5-1-26 : يتعين استخدام الطابعات لطباعة المستندات المتعلقة بالأعمال اليومية بشركة Xxxxx. و لا ينبغي أن يتم استخدام الطابعات في طباعة المستندات الشخصية الكبيرة.
5-1-27 : يتعين على القسم الإداري توفير ماكينة تصوير كبيرة متعددة الوظائف تعمل من خلال شبكة يتم توزيعها و تركيبها بغرض الطباعة و التصوير مركزياً؛ على أن يكون ذلك وفقاً لاحتياجات الموظفين و حسب تصميم المباني في المقر الرئيسي و المصانع و الفروع.
5-1-28 : تركيب الطابعات الشخصية يعد أمر غير مقبول بصفة عامة في شركة Xxxxx؛ و يرجع السبب في ذلك إلى أ رتفاع تكلفة الصيانة و الدعم في حال وجود العديد من ماكينات الطباعة في أماكن متفرقة. ومع ذلك فإنه في ظروف معينة، حينما يكون الغرض هو الحفاظ على السرية يجوز السماح باستخدام الطابعات الشخصية بعد الحصول على موافقة المدير التنفيذي حسب كل حالة على حدة.
5-1-29 : لا تطبع نسخ متعددة من نفس المستند – فإن الطابعة تختلف عن ماكينة التصوير، و تكون عادةً تكلفة الطباعة للصفحة الواحدة أعلى من تكلفة تصويرها. فإذا كنت تحتاج إلى عمل نسخ متعددة قم بطباعة نسخة واحدة جيدة من المستند باستخدام الطابعة ثم استخدم ماكينة التصوير لعمل نسخ إضافية منه.
5-1-30 : يتم تطبيق الطباعة الآمنة (باستخدام كلمة مرور).
5-1-31 : لا يحتاج المستخدمون العموميون عادةً الطباعة بالألوان. و بما أن الطباعة بالألوان لا تعد أحتياجاً للجميع و نظراً للتكلفة المرتفعة للصفحة في حالة الطباعة بالألوان تم خفض عدد الطابعات ذات القدرة على الطباعة بالألوان إلى أدنى حد ممكن. و نحن نشجعك بشدة على تجنب الطباعة بالألوان كلما كانت الطباعة أحادية اللون (باللون الأسود) وافيةٌ للغرض المطلوب.
5-1-32 : يتعين الحصول على موافقة نائب رئيس الشركة المعني قبل توفير الطباعة بالألوان و تركيبها للمستخدمين.
استخدام المعلومات التي تملكها Xxxxx و الحفاظ على سريتها :
5-1-33 : المعلومات السرية و المملوكة لXxxxx و التي يتم حفظها على أجهزة الكمبيوتر و الأجهزة الإلكترونية بصفة عامة سواء كانت هذه الأجهزة مملوكة أو مستأجرة من قبل Xxxxx أو الموظف أو طرف آخر فإنها تظل ملكاً لXxxxx وحدها دون سواها.
5-1-34 : يتعين على المستخدمين ضمان حماية المعلومات السرية و المعلومات المملوكة لXxxxx وفقاً لسياسة تأمين المعلومات.
5-1-35 : يتحمل المستخدمون مسئولية الإبلاغ الفوري للمدير المباشر و نائب رئيس الشركة و اللجنة التوجيهية لتأمين المعلومات في حالة سرقة المعلومات السرية و المعلومات المملوكة لXxxxx أو فقدها أو أي كشف غير مصرح به عن هذه المعلومات
5-1-36 : يستطيع المستخدمون الوصول إلى معلومات سرية أو معلومات مملوكة لXxxxx أو استخدامها أو مشاركتها في الحدود المسموح بها فقط بالنسبة لهم حتى يتسنى لهم القيام بمهامهم الوظيفية.
5-1-37 : إذا دعت الضررورة إلى مشاركة معلومات سرية أو معلومات مملوكة لXxxxx مع أطراف أخرى فالأمر حينذاك يتطلب موافقة نائب رئيس الشركة المعني و يتم أولاً توقيع الطرف الآخر على اتفاق "عدم الإفصاح".
5-2 : تأمين المعلومات من خلال الموا رد البشرية :
قبل التوظيف :
5-2-1 : يجب على ممثل التوظيف و المراجعة الداخلية في اللجنة التوجيهية لتأمين المعلومات مراجعة الوصف الوظيفي لكل وظيفة وتحديد مدى حساسيتها (وظيفة حساسة/ غير حساسة) بناءً على المعلومات السرية التي ينبغي أن يتاح لشاغل الوظيفة إمكانية الوصول إليها؛ و ذلك بالنسبة لجميع الوظائف (القائمة و المستحدثة).
5-2-2 : يجب مراجعة مستويات حساسية الوظائف و التأكيد عليها مع المديرين المعنيين.
5-2-3 : يتعين على قسم التوظيف بإدارة الموارد البشرية أن يأخذ في الأعتبار مدى حساسية الوظائف و واجبات الوظيفة فيما يخص تأمين المعلومات أثناء تعيين الموظفين (سواء كان عقد التوظيف دائم أو مؤقت أو كان تعاقداً مع مقاولين) في هذه المناصب.
شروط وأحكام التوظيف :
5-2-4 : يتعين على إدارة الشئون القانونية ضمان أن الإتفاقات التعاقدية المبرمة مع الموظفين والمقاولين تنص على مسئولياتهم فيما يتعلق بتأمين المعلومات بما في ذلك مسئولياتهم التي تبقى قائمة بعد إنهاء المهام أو تغييرها.
5-2-5 : الموارد البشرية - يجب أن تضمن العمليات أن جميع الموظفين (الدائمين / المؤقتين / المقاولين) قد وقٌعوا على الإتفاقات التعاقدية سالفة الذكر.
5-2-6 : يتعين على الموظفين (الدائمين / المؤقتين / المقاولين) أثناء عملية التوظيف أن يقرأوا و يفهموا السياسة العامة للاستخدام المقبول والتوقيع على الإتفاق العام للاستخدام المقبول ، و الذي يؤكد فيه على موافقته و مسئوليته تجاه استخدام أصول المعلومات الخاصة بXxxxx بشكل آمن ولأغراض تخص أعمال Xxxxx ، و أيضاً مسئوليته فيما يخص اتٌباع سياسات Xxxxx و حسن التقدير.
5-2-7 : إذا لم يكن الموظف متأكداً من كيفية تنفيذ السياسة العامة للاستخدام المقبول أو في حاجة إلى تفسير ما جاء بها يتعين عليه الاتصال أولاً بقسم العمليات بإدارة الموارد البشرية.
5-2-8 : قسم العمليات بإدارة الموارد البشرية هو المسئول عن الحصول على توقيعات المستخدمين على الاتفاق العام للاستخدام المقبول و الاحتفاظ بأصول هذه الاتفاقات.
5-2-9 : لا ينبغي أن تقوم إدارة تكنولوجيا المعلومات بإنشاء حسابات مستخدمين للموظفين الجدد (الدائمين / المؤقتين / المقاولين) حتى يؤكد لهم قسم العمليات بإدارة الموارد البشرية أنهم قد وقعوا على الاتفاق العام للاستخدام المقبول.
أثناء التوظيف :
5-2-10 : يتعين على المديرين أن يتأكدوا أنه قد تم رفع وعي الموظفين (الدائمين / المؤقتين / المقاولين) بواجباتهم فيما يتعلق بتأمين المعلومات و يتم تحفيزهم على الالتزام بها.
5-2-11 : كل فرد في شركة Xxxxx يتحمل مسئولية الإبلاغ للمدير المباشر و اللجنة التوجيهية لتأمين المعلومات عن أي شكوك فيما يخص أداء عمليات التأمين أو أي واقعة تخص استخدام غير مصرح به للمعلومات أو على نحو غير سليم سواء كان ذلك مجرد شك أو عن يقين.
في حالة تغيير المسئوليات :
5-2-12 : في حالة تغيير مسئوليات الموظف خلال مدة التوظيف يتعين على قسم العمليات بإدارة الموارد البشرية أن يقوم بالإبلاغ بهذا التغيير على الفور للمديرين المسئولين عن الوصول إلى المعلومات (بإدارة تكنولوجيا المعلومات).
5-2-13 : يتعين على المديرين المسئولين عن الوصول إلى المعلومات أن يبلغوا بالامتيازات الممنوحة لهذا الموظف فيما يتعلق بالوصول للمعلومات (أصول المعلومات الخاصة بXxxxx) إلى كلاً من المدير السابق و المدير الحالي حتى يتم تقدير الأمر و اتخاذ قرار فيما يتعلق بامتيازات الوصول للمعلومات و ما إذا كان يجب الحفاظ عليها كما هي أم يتم منح الموظف امتيازات أخرى أو يتم إلغاءها.
في حالة انتهاء الخدمة :
5-2-14 : في حالة انتهاء خدمة الموظف يتعين على قسم العمليات بإدارة الموارد البشرية إرسال مذكرة فورية إلى المديرين المسئولين عن الوصول إلى المعلومات (بإدارة تكنولوجيا المعلومات) و الذين يتعين عليهم أن يقدموا بدورهم لمديرهذا الموظف تقريراً حول امتيازات الوصول للمعلومات الممنوحة حالياً للموظف من أجل تقييم امتيازات الوصل للمعلومات للموظف الذي سيترك العمل، و تحديد أي منها سيتم إلغاؤه و أي منها سوف يستمر حتى آخر يوم عمل له بالمجموعة.
5-2-15 : يتعين على المديرين المباشرين أن يتأكدوا من حصول إدارة تكنولوجيا المعلومات على نسخة إحتياطية من البيانات المحفوظة على جهاز الكمبيوتر الخاص بالموظف الذي سيترك العمل؛ و ذلك مدة لا تزيد عن 5 أيام أعتباراً من تاريخ إنهاء الخدمة / الإستقالة.
5-2-16 : يتعين على المديرين المباشرين و إدارة تكنولوجيا المعلومات التأكد من أن كافة بيانات الشركة و أصولها التي في حوزة الموظفين الذين سيتركون العمل قد تم إعادتها. و إذا لم يتم ذلك يجب ألا يوقعوا على "نموذج إخلاء الطرف".
5-2-17 : يتعين على قسم العمليات بإدارة الموارد البشرية تذكير الموظفين الذين سيتركون العمل بالتزاماتهم المستمرة وفقاً لقوانين الخصوصية و الملكية الفكرية وحسبما جاء في الشروط التعاقدية وما شابه ذلك بعد انتهاء الخدمة.
5-3 : إدارة أصول تكنولوجيا المعلومات :
ملكية الأصول :
5-3-1 : إدارة تكنولوجيا المعلومات هي جهة الاتصال المسئولة عن تقديم أوامر الشراء فيما يخص أصول تكنولوجيا المعلومات مثل البرامج و الأجهزة نيابةً عن مجموعة شركات Xxxxx.
5-3-2 : تحتفظ إدارة تكنولوجيا المعلومات بقائمة أصول تكنولوجيا المعلومات الموحدة المدعومة و التي يوصى باستخدامها داخل مجموعة شركات Xxxxx.
ملكية الأصول و صيانتها :
5-3-3 : أصول تكنولوجيا المعلومات – و التي تشمل تراخيص البرامج (باستثناء تراخيص برنامج ال “SAP”) هي في حوزة فريق "أجهزة تكنولوجيا المعلومات و البنية الأساسية" أما تراخيص برنامج ال “SAP” فهي في حوزة فريق "دعم التطبيقات".
الذين في حوزتهم الأصول مسئولون عن الآتي :
• إدارة أصول تكنولوجيا المعلومات بشكل يضمن عملها بكفاءة طوال عمرها الإفتراضي، و يشمل ذلك التخطيط لاستبدال الأصول بعد انتهاء عمرها الإفتراضي.
• صيانة الأصول – و يتضمن ذلك أي صيانة معتادة سواء كانت وقائية أو مخططة، مع القيام بالمراجعة الدورية للتأكد من دقة تسجيل الأصول و بيان عهدتها بصفة مستمرة.
• توضيح بيان أصول تكنولوجيا المعلومات لديهم بشكل فعٌال عن طريق تحديدهم وفقاً للإجراءات التالية:
- ينبغي تحديد جميع الأصول المادية الخاصة بتكنولوجيا المعلومات بشكل واضح (و يتم وضع بطاقات توصيف عليها بمعرفة الإدارة المالية) بما يفيد ملكية مجموعة شركات Xxxxx لهذه الأصول.
- ينبغي أن يكون هناك شخص معهود إليه بالأصل (أي مستخدماً له) ، و ذلك فيما عدا الأصول التي تخدم أغراض عامة مثل معدات الشبكات و الطباعة.
- ينبغي الاحتفاظ بسجل للعهدة و يكون وافياً بالتفاصيل التالية فيما يخص كل أصل على حدة:
• بيان تحديد الأصل – مثال: وصف الأصل و رقمه المسلسل.
• اسم الشخص الذي يكون الأصل في عهدته و اسم المستخدم.
• نوع الأصل
• مكان الأصل
• قيمة كل أصل (يتم تحديدها بمعرفة الإدارة المالية)
5-3-5 : لابد من تحديث سجل عهدة أصول تكنولوجيا المعلومات عندما تتم الموافقة على إعادة استخدام أحد الأصول أو التخلص منه أو بيعه.
استخدام الأصول و إعادة استخدامها :
5-3-6 : لابد من توقيع "نموذج عهدة تكنولوجيا المعلومات" إلكترونياً من قبل كافة المسئولين عن العهد (مستخدموا الأصول) عند استلام عهدة خاصة بتكنولوجيا المعلومات.
5-3-7 : لابد من اتباع "سياسات استخدام أصول تكنولوجيا المعلومات" المدرجة في "السياسة العامة للاستخدام المقبول.
5-3-8 : لابد من موافقة مالك الأصل على أي عملية تخص إعادة استخدام هذا الأصل و لابد من تنظيف الجهاز (أي إزالة ما عليه من بيانات و استبدالها ببيانات جديدة) قبل نقل العهدة من المستخدم الحالي إلى المستخدم الجديد.
5-3-9 : بعد إتمام عملية نقل العهدة يجب تجديث السجل الذي يحتوي على هذا الأصل وفقاً لذلك.
5-3-10 : عندما يتم إعادة استخدام ترخيص برنامج على جهاز آخر لابد من إزالة البرنامج من الجهاز الأساسي بمعرفة مالك هذا الأصل.
تأمين الأصول :
5-3-11 : يجب على مستخدمي الأصول حمايتها و استخدامها بعناية كافية؛ و في حالة تعرض أصول تكنولوجيا المعلومات الخاصة بمجموعة شركات Xxxxx للسرقة أو الفقد أو التلف يتعين عليهم (أي على مستخدمي هذه الأصول) الإبلاغ عن الواقعة على الفور لدى المدير المباشر و إدارة تكنولوجيا المعلومات و اللجنة التوجيهية لتأمين المعلومات.
إعادة الأصول :
5-3-12 : يجب إعادة الأصول قبل أن يترك الأفراد العمل بالشركة أو في حالة أن يطرأ على وظائفهم تغييرات لا يحتاجون معها استخدام هذه الأصول فيما بعد.
إعادة بيع الأصول :
5-3-13 : يجب على حائزي الأصول القيام بإعداد قائمة بالأصول التي لم تعد مفيدة لمجموعة شركات Xxxxx و يمكن بيعها. و يتم ذلك بصفة سنوية.
5-3-14 : بالنسبة للأجهزة التي تعمل و لكن أنتهى عمرها الإفتراضي بحيث لم تعد مفيدة لXxxxx ستطرح للبيع للموظفين.
5-3-15 : يتم عمل نظام القرعة و إدارتها بمعرفة إدارة الشئون المالية و المراجعة و المشتريات و الشئون الإدارية لتحديد مَن ستتاح لهم الفرصة لشراء الأجهزة المتاحة.
5-3-16 : لابد أن تتم كافة عمليات شراء هذه الأجهزة من خلال نظام القرعة. و لا يحق للموظفين شراء أجهزة الكمبيوتر الموجودة بمكاتبهم بشكل مباشر أو "حجز" أحد الأنظمة. و هذا من شأنه تطبيق مبدأ تكافؤ الفرص في الحصول على الأجهزة.
5-3-17 : يتم تحديد القيمة المناسبة لكل بند من خلال الإدارة المالية و إدارة تكنولوجيا المعلومات.
5-3-18 : كل عمليات الشراء نهائية. و لا يتم منح أي ضمان أو دعم مع أي جهاز يتم بيعه.
5-3-19 : لابد من تحديث عهدة أصول تكنولوجيا المعلومات بعد عملية إعادة البيع هذه.
التخلص من الأصول:
5-3-27 : لابد من موافقة حائزي أصول تكنولوجيا المعلومات على التخلص منها.
5-3-28 : يتعين على مَن هم بحوزتهم أصول تكنولوجيا المعلومات أن يتأكدوا من أن هذه الأصول يتم التخلص منها وفقاً للإجراءات التالية:
التخلص من الأصول التي هي عبارة عن أجهزة (هاردوير) :
5-3-29 : لابد من فحص الأصول التي هي عبارة عن أجهزة (هاردوير) قبل التخلص منها ؛ و ذلك بهدف التأكد من خلوها من أية معلومات حساسة تُصنف على أعتبارها شديدة السرية أو مقيدة و أيضاً التأكد من إزالة البرامج منها.
5-3-30 : لابد من أخذ نسخ أحتياطية من البيانات الموجودة على الأجهزة (هاردوير) لتفادي أي فقد محتمل للبيانات.
5-3-31 : بالنسبة للأجهزة (هاردوير) التي سيتم التخلص منها خارجياً يجب التعامل معها عن طريق مورد معتمد (طرف ثالث) تحت إشراف قسم الشئون الإدارية.
5-3-32 : يجب أن يشهد الكيان الذي يؤدي الخدمة بأنه قد تم التخلص من كل بند بصورة آمنة و وفقاً للإرشادات البيئية.
التخلص من الأصول التي هي عبارة عن برامج :
5-3-33 : يجب إزالة كافة البرامج من جميع الأجهزة قبل التخلص منها و ذلك لتفادي المسئولية عن خروقات حقوق الطبع و النشر أو مخالفة الإتفاقات الخاصة بتراخيص البرامج.
5-3-34 : يجب فحص الأصول التي هي عبارة عن برامج قبل التخلص منها؛ و ذلك لضمان أن جميع التسجيلات و البيانات الخاصة بإجرءات أعمال الشركة و الموجودة في هذه البرامج أو التي يتم إدارتها بواسطتها قد تم فحصها وفقاً للجداول الخاصة بالتخلص من هذه الأصول والمعمول بها حالياً في شركات مجموعة Xxxxx.
التخلص من الأجهزة التي يتم من خلالها التعامل مع وسائط الإعلام أو تخزينها :
5-3-35 : يجب أخذ نسخ أحتياطية من البيانات قبل التخلص من وسائط الإعلام لتفادي أي فقد محتمل للبيانات.
5-3-36 : يجب تنظيف كل الوسائط الإلكترونية قبل التخلص منها (على سبيل المثال: من خلال حذف كل البيانات). و بالمثل يجب أيضاً فرم التقارير الورقية؛ أما بالنسبة للأقراص المدمجة "سي دي" و وسائط الإعلام الأخرى التي لا تسمح بإلغاء البيانات التي عليها فلابد أن تُكسر أو تُشهوه عن طريق الخدش قبل التخلص منها.
5-3-37 : بالنسبة لوسائط الإعلام التي لا يمكن تنظيفها بشكل فعال قبل التخلص منها لابد من تدميرها حتى لا يمكن استرجاع البيانات الموجودة عليها.
5-3-38 : عندما يتم تدمير وسائط الإعلام بشكل آمن عن طريق طرف خارجي فلابد أن يشهد هذا الكيان الذي يقوم بأداء هذه الخدمة بأنه قد تم التخلص من كل بند بطريقة آمنة و وفقاً لإدارة المعلومات و الإرشادات البيئية.
5-4 : إدارة المعلومات :
تصنيف المعلومات :
5-4-1 : يتعين على كل مدير تحديد السجلات المستخدمة في إتمام مهام عمله و إبلاغ اللجنة التوجيهية لتأمين المعلومات بشأنها من خلال الميسر المعني.
5-4-2 : يتعين على اللجنة التوجيهية لتأمين المعلومات تصنيف كافة السجلات وفقاً لمستوى سريتها و أن تقوم بتطبيق ضوابط لحماية المعلومات وفقاً لمستوى المخاطرة لكل منها.
5-4-3 : بالنسبة لجميع البيانات أو المعلومات التي يتم إنشاؤها أو جمعها أو حفظها أو معالجتها عن طريق مجموعة Xxxxx للصناعات الغذائية – سواء كان ذلك بطريقة إلكترونية أو غير إلكترونية – لا بد من وضعها تحت أي من التصنيفات التالية: معلومات سرية – أو مقيدة – أو للاستخدام الداخلي – أو معلومات للاستخدام العام.
* المعلومات السرية : هي معلومات ذات أهمية قصوى لمجموعة Xxxxx للصناعات الغذائية. و قد يؤدي الكشف غير المصرح به عن هذه المعلومات أو نشرها إلى أضرار مالية بالغة للمجموعة ككل أو ضرر جسيم بسمعتها. و يمكن فقط منح إمكانية الوصول إلى هذه المعلومات لمن ينبغي لهم أن يصلوا إليها و بأقل قدر يسمح لهم بأداء مهامهم (وفقاً لمبدأ "الحاجة إلى المعرفة" و مبدأ "القدر الأقل من الأمتياز"). و عندما تكون هذه المعلومات خارج مجموعة Xxxxx للصناعات الغذائية على أجهزة متنقلة مثل أجهزة اللابتوب أو التابليت أو الهواتف المحمولة أو غيرها، لابد في هذه الحالة من حماية المعلومات السرية بحيث لا يمكن تسجيل الدخول إليها بسهولة و أيضاً من خلال التشفير على مستوى الجهاز أو محرك الأقراص أو على مستوى الملف.
* المعلومات المقيدة : و هي تخضع لضوابط تحول دون الوصول إليها مثل أن يتم السماح فقط بستجيلات الدخول السارية من قبل مجموعة محدودة من الموظفين. و لابد من التعامل مع المعلومات "المقيدة" بطريقة تمنع وصول الأشخاص غير المصرح لهم إليها، على سبيل المثال: استخدام نظام يتطلب دخول المستخدم المناسب و الذي له حق ساري بتسجيل الدخول قبل السماح له بالوصول إلى هذه المعلومات. و الكشف عن هذه المعلومات أو نشرها إلى
هو أمر غير مرغوب فيه، حيث أنه قد يؤدي إلى تأثير سلبي على الدعاية الخاصة بالمجموعة، غير أنه على الأرجح لن يؤدي إلى أضرار مالية جسيمة لمجموعة Xxxxx أو لسمعتها.
*معلومات للاستخدام الداخلي : يمكن الكشف عن هذه المعلومات أو نشرها بمعرفة من لديهم المعلومة في للموظفين المعنيين داخل مجموعة Xxxxx للصناعات الغذائية أو شركائها أو أشخاص آخرين حسبما يناسب من لديهم المعلومة بدون أي قيود على المحتوى أو توقيت النشر.
* معلومات للاستخدام العام : يمكن الكشف عن هذه المعلومات أو نشرها بدون أي قيود على محتواها أو نوعية المتلقين لها أو توقيت نشرها؛ على أن الكشف عن هذه المعلومات أو نشرها لا ينبغي أن يخالف أي قوانين أو لوائح معمول بها مثل قواعد الخصوصية. و يجب أن يقتصر التعديل في هذه المعلومات على الأشخاص الذين قد حصلواعلى موافقة صريحة من مالكي المعلومة على التعديل فيها.
5-4-4 : يتعين على إدارة إجراءات العمل و على الميسرين متابعة جميع السجلات التي تم تحديدها ، و المسئولون عنها ، و تصنيف مستوى سريتها ، و مكانها ، و الأشخاص المصرح لهم باستخدامها في "دفتر التسجيل".
تأمين المعلومات:
5-4-5 : يجب حفظ كافة المعلومات السرية في التطبيقات المصممة لهذا الغرض و في النظام و في خادم "سيرفر" الشبكة و توفيرها للمستخدمين المصرح لهم. و يحظر مشاركة المعلومات السرية باستخدام البريد الإلكتروني.
5-4-6 : و إذا أحتاج أحد المستخدمين الوصول إلى أي سجلات سرية يتم اتباع "إجراءات إدارة الوصول للمعلومات". و أيضاً يُرجى مراجعة "سياسة التصريح قبل إتاحة الوصول إلى المعلومات" المدرجة ضمن "سياسة إدارة الوصول للمعلومات".
5-4-7 : يحظر تخزين معلومات سريى غلى أجهزة الكمبيوتر المحلية.
الاحتفاظ بالمعلومات :
5-4-8 : يقوم المديرون - بمساعدة قسم المراجعة الداخلية - بتحديد الفترة المناسبة للإحتفاظ بشتى أنواع البيانات (السجلات و المستندات) التي بحوزتهم؛ على أن يتم إرسالها إلى إدارة المطابقة و إجراءات الأعمال لتخزينها في "دفتر التسجيل"
5-4-9 : ينبغي أن يتم التوضيح في بيانات حفظ السجلات بشأن طريقة التخلص من المستندات (سواء كان ذلك بالتمزيق أو بالحذف و بالمحو).
5-5 : إدارة الوصول للمعلومات :
مبدأ "الحاجة إلى المعرفة" :
5-5-1 : حينما تكون هناك حاجة للوصول إلى أصول المعلومات الخاصة بXxxxx (أصول تكنولوجيا المعلومات، أو تطبيقات، أو معلومات سرية) ينبغي التحقق من صحة طلب الوصول و منح إمكانية الوصول على أساس "الحاجة إلى المعرفة" أي الحد الأدنى من المعلومات التي يحتاجها الموظف لأداء إحدى مهامه. و الهدف من ذلك هو حماية الأنظمة و البيانات الموجودة بها ضد أي إتلاف / كشف سواء كان عرضي أو مُتعمٌد.
التصريح قبل منح إمكانية الوصول للمعلومات :
5-5-2 : إمكانية الوصول إلى الأنظمة و التطبيقات و السجلات السرية سيتم منحها إلى موظفين و أطراف الأخرى / مقدمي خدمات من خلال المديرين المسئولين عن الوصول للمعلومات؛ و ذلك فقط بعد أن تتم عملية التصريح وفقاً لإجراءات إدارة الوصول للمعلومات و مصفوفة التصريح بالوصول للمعلومات.
5-5-3 : المديران المسئولان عن الوصول إلى المعلومات هما كما يلي: مدير دعم التطبيقات في حالة طلبات الوصول المتعلقة بالتطبيقات و ال "شير بوينت" و السجلات السرية؛ و مدير أجهزة تكنولوجيا المعلومات و البنية الأساسية في حالة طلبات الوصول المتعلقة بخدمات تكنولوجيا المعلومات.
5-5-4 : أي أستثناء من الإجراء العادي للسماح بالوصول إلى المعلومات لابد أن يكون بموافقة المدير التنفيذي.
5-5-5 : يتعين على مديرا الوصول إلى المعلومات تسجيل كافة طلبات الوصول التي يتلقيانها.
مراجعة الوصول إلى المعلومات :
5-5-6 : يجب مراجعة أذونات الوصول إلى المعلومات التي يتلقاها المستخدمون بصفة شهرية. كما يُرجى مراجعة "سياسة تغيير المسئوليات" المدرجة ضمن "سياسة تأمين معلومات الموارد البشرية ".
5-5-7 : يجب مراجعة أذونات الوصول إلى المعلومات التي تخص الموظفين المستقيلين فور تقدمهم بالإستقالة. برجاء أيضاً مراجعة "سياسة نهاية الخدمة" المدرجة ضمن "سياسة تأمين معلومات الموارد البشرية".
5-5-8 : يتعين على المديرين المسئولين عن الوصول للمعلومات مراجعة طلبات الوصول المؤقت بصفة يومية بهدف إبطال التصريح بالوصول المنتهي الصلاحية - إن وُجد. و إذا لزم الأمرتمديد فترة الوصول المؤقت، یجب علی مدیر مستخدم الوصول أن يقدم طلب "تمديد فترة الوصول" مشفوعاً بمبرر مقبول إلی مدیر الوصول إلى المعلومات ، حتى يتم الموافقة علیه وفقاً لإجراءات إدارة الوصول للمعلومات – و مصفوفة التصريح بالوصول للمعلومات .
تزويد المستخدم بإمكانية الوصول للمعلومات :
5-5-9 : يحظر الوصول إلى بيانات أو سيرفر أو إلى حساب ما لأي غرض إلا للقيام بأعمال Xxxxx – حتى و إن كان لديك تصريح بالوصول إليها.
5-5-10 : كل مدير مسئول عن الوصول إلى المعلومات يجب أن يكون لدية إجراءات متسقة يمكنه من خلالها مراقبة وصول المستخدمين إلى المعلومات من خلال الأنظمة و التطبيقات و السجلات السرية المسئول عنها، و ذلك بصفة منتظمة. كما يتعين عليه مراقبة استخدام النظام، و ذلك من خلال المعاونة و الأدوات التي تقدمها له إدارة تكنولوجيا المعلومات.
5-5-11 : في أي وقت يرتاب أي شخص في حدوث واقعة إساءة استخدام الوصول إلى المعلومات يجب التقدم ب "طلب تتبع وصول المستخدم للمعلومات" إلى المديرين المسئولين عن الوصول إلى المعلومات حتى يتم إجراء التحقيق و التحليل اللازمين بعد الحصول على موافقة اللجنة التوجيهية لتأمين المعلومات.
5-5-12 : يتعين على المديرين المسئولين عن الوصول إلى المعلومات تسجيل جميع "طلبات تتبع الوصول للمعلومات" التي تلقوها و نتائجها.
سياسة الاحتفاظ بالسجلات :
5-5-13 : القاعدة العامة : يتعين الأحتفاظ بأي تسجيل دخول إلى أي من أصول المعلومات الخاصة بXxxxx لمدة معينة تُحدد حسب كل تطبيق / نظام – منها ثلاثة (3) أشهر من إمكانية الوصول المباشر على شبكة الإنترنت بهدف التفتيش.
5.6 – إدارة كلمة المرور :
إجراءات تأمين تسجيل الدخول :
5-6-1 : كل الحسابات المفعٌلة على أنظمة الكمبيوتر لابد أن يكون لها كلمات مرور أو وسيلة مصادقة قابلة للمقارنة فيكون ذلك أساساً لمسائلة المستخدم.
5-6-2 : ينبغي أن يتم تفعيل سجلات النظام – بشكل تلقائي - لمراقبة تسجيل دخول المستخدم.
5-6-3 : يحظر على المستخدمين مشاركة حساباتهم مع آخرين.
إنشاء كلمة المرور :
5-6-4 : إدارة تكنولوجيا المعلومات مسئولة عن إصدار اسم المستخدم و كلمة المرور المؤقتة لكل المستخدمين.
5-6-5 : لابد حتماً أن يقوم المستخدمين بتغيير كلمة المرور بعد تسجيل الدخول الأول مباشرةً عن طريق إنشاء كلمة مرور أخرى وفقاً للإرشادات التالية و التي تهدف إلى إنشاء كلمة مرور قوية.
التغييرالدوري لكلمة المرور :
5-6-6 : يجب مطالبة المستخدمين بتغيير كلمة المرور الخاصة بهم بشكل دوري و بحد أدنى كل 90 يوماً.
5-6-7 : لا يجب استخدام كلمة مرور قديمة.
5-6-8 : يتم حفظ آخر خمس كلمات مرور على النظام لمنع المستخدمين من إعادة استخدام كلمة مرور قديمة.
إعادة تعيين كلمة المرور :
5-6-9 : إذا كان لديك أي أرتياب بخصوص كلمة المرور فلابد من تغيير كلمة المرور على الفور.
5-6-10 : يستطيع المستخدم تغيير كلمة المرور الخاصة به من جهاز الكمبيوتر الذي يستخدمه مرة واحدة في اليوم.
نسيان كلمة المرور :
5-6-11 : إذا حاولت إدخال كلمة مرور غير صحيحة 5 مرات فإن حسابك يتم غلقه على النظام.
5-6-12 : سوف يتم إعادة إصدار كلمة المرور التي نسيتها.
5-6-13 : إذا نسى المستخدم كلمة المرور أو تم "إغلاق حسابه" يُصرٌح لموظفي الدعم الفني بإدارة تكنولوجيا المعلومات أن يصدروا كلمة مرور مبدئية جديدة ثم يُطلب من المستخدم تغيير كلمة المرور هذه أثناء أول تسجيل دخول له.
سرية كلمة المرور :
5-6-14 : يُطلب من المستخدمين الحفاظ على سرية كلمات المرور الخاصة بهم.
5-6-15 : قم بتغيير كلمة المرور الخاصة بك كلما وجدت أي مؤشر لإمكانية الوصول إلى النظام أو كلمة المرور.
5-6-16 : لا يجب مشاركة كلمة المرور مع أي موظف في الشركة .
5-6-17 : يجب أن يُنصح المستخدمين بعدم تسجيل كلمات المرور الخاصة بهم كتابةً سواء كان ذلك على ورق أو إلكترونياً.
5-6-18 : يجب على المستخدمين ألا يستخدموا نفس كلمة المرور لأغراض العمل و لغير أغراض العمل.
5-6-19 : لا يجب حفظ كلمات المرور على أنظمة الكمبيوتر بصورة غير محمية.
5-6-20 : يتعين على موظفي الدعم الفني بإدارة تكنولوجيا المعلومات أثناء تقديم الدعم أو استقصاء المشكلات ألا يطلبوا من المستخدمين الكشف عن كلمات المرور الخاصة بهم.
الخصائص العامة لكلمة المرور القوية :
- أن يكون من السهل تذكرها.
- ألا تكون ذات صلة بأي شئ يمكن تخمينه بسهولة باستخدام المعلومات المتعلقة بالشخص (مثال: الاسماء – أرقام التليفونات – تواريخ الميلاد – أرقام السيارات ... الخ).
- تجنب تكرار الحروف أو الأرقام و تجنب أن تكون مكونة من حروف فقط أو من أرقام فقط.
- طول كلمة المرور: يُطلب من المستخدم ألا تقل كلمة المرور عن ثمانية حروف و أرقام.
- حماية كلمة المرور: لا يُسمح للمستخدمين بإنشاء كلمات مرور تحتوي على اسمائهم.
- تعقيد كلمة المرور: لابد أن تحتوي كلمات المرور على ثلاثة من الخصائص الأربعة التالية: حرف كبير (A-Z)، و حرف صغير (a-z)، و رقم (0-9)، و علامات الترقيم (!@#$%^&*()_+|-=\{}[]"'.'?./).
5.7 – التأمين التقني و التشغيلي :
حماية استقرار إجراءات العمل :
5-7-1 : إدارة تكنولوجيا المعلومات و خبراء نماذج الأعمال في مجال الأنظمة لهما معاً مسئولية مشتركة في وضع إجراءات تشغيلية آمنة أثناء استخدام أنظمة المعلومات الخاصة بXxxxx في معالجة و تخزين البيانات و تدريب المستخدمين على هذه الإجراءات.
الرصد وواجب الرعاية :
5-7-2 : تحتفظ Xxxxx بالحق في رصد استخدام الأفراد - إلى الحد الذي يسمح به القانون – بهدف حماية المصالح المشروعة لأعمالها. و قد يشمل الرصد الوصول إلى البيانات التي تم تخزينها أو نقلها و أيضاً ملاحظة أنشطة المستخدمين.
5-7-3 : كما أن لإديتا التزام "واجب الرعاية" و الذي من خلاله يتم الرصد بصورة مناسبة لاستخدام موارد الشركة للكشف عن أي إساءة استخدام، وهو يُعد خرقاً لسياسات التأمين و متطلباتها.
إدارة التغيير و التأمين :
5-7-4 : كافة التغييرات التي يتم إدخالها على النظام ينبغي أن يصرٌح بها مسئول المعلومات و لابد من القيام بها في إطار من التحكم ووفقاً لإجراءات إدارة التغيير.
التأمين المادي و البيئي للمعدات :
5-7-5 : لابد من تركيب الأجهزة بمستوى مناسب من الحماية من العوامل البيئية و من إمكانية الوصول غير المصرٌح به إلى المعلومات، و بما يتفق مع حساسية البيانات و إجراءات الأعمال التي تدعمها.
5-7-6 : يجب أن يتم توفير كل الأجهزة و تركيبها و إدارتها عن طريق إدارة تكنولوجيا المعلومات مع مراعاة ضمان البائع و إجراء الصيانة اللازمة لها. و يتعين الحصول على موافقة مدير شئون المعلومات على الإستثناءات حسب كل حالة على حدة.
الأمن المادي و المناطق التي يتعين حمايتها :
5-7-7 : بالنسبة لأصول المعلومات و أصول تكنولوجيا المعلومات الخاصة بمجموعة Xxxxx - و تشمل أجهزة اللابتوب و السيرفرات و الأدوات الأخرى التي تستخدم في هذه المجالات، أي الأقراص المدمجة "سي دي" و ال "دي في دي" و نواقل البيانات "يو إس بي"، و أيضاً البيانات السرية المطبوعة - يتعين على المستخدمين ضمان أن هذه الأصول التي في حوزتهم يتم حمايتها ضد الضرر المادي سواء كان مقصوداً أو عرضياً، مع حفظها في مكان يصعب الوصول إليه، كما يتم حمايتها ضد المخاطر البيئية.
5-7-8 : بالنسبة للمناطق الحساسة في إدارة الموارد البشرية و الإدارة المالية يتعين توفير حماية مادية للحد من إمكانية الوصول المادي إلى هذه المناطق حتى يكون قاصراً على المستخدمين المصرح لهم فقط.
5-7-9 : إذا لزم الأمر تنفيذ حماية مادية لمنطقة بعينها يتعين على المدير المعني بتقديم طلب إلى اللجنة التوجيهية لتأمين المعلومات للتحقق من جدوى الطلب و الموافقة عليه و التنسيق مع الشئون الإدارية لعمل اللازم.
سياسة تأمين الجهاز الخادم "السيرفر" :
5-7-10 : بالنسبة لكل "السيرفرات" الداخلية المنتشرة داخل مجموعة Xxxxx يجب أن تكون في عهدة مجموعة تشغيل تكون مسئولة عن إدارة النظام.
5-7-11 : يتعين على كل مجموعة تشغيل وضع إرشادات معتمدة لضبط السيرفر وفقاً لحاجة العمل و يتم إعتمادها من قبل مدير شئون المعلومات.
5-7-12 : لابد من تسجيل السيرفرات ضمن نظام إدارة المشروعات بالشركة الذي يجب تحديثه أول بأول. المعلومات التالية مطلوبة كحدٍ أدنى بهدف تحديد نقطة الاتصال بشكل إيجابي:
- نقطة / نقاط الاتصال بالجهاز الخادم "السيرفر" و مكانها، و نقطة الاتصال للنسخ الإحتياطية.
- الأجهزة (هارد وير) و نظام التشغيل / الإصدار
- الوظائف و التطبيقات الأساسية ، إن وجدت.
5-7-13 : بالنسبة للتغييرات في الضبط بالنسبة لخوادم (سيرفرات) الإنتاج لابد من إعتمادها من قبل مدير شئون المعلومات.
5-7-14 : يجب تعطيل الخدمات و التطبيقات التي لن تُستخدم كلما أمكن ذلك.
5-7-15 : لابد من تثبيت أحدث تصحيحات التأمين على النظام بأسرع ما يمكن؛ و الاستثناء الوحيد هو عندما يتعارض التطبيق المباشر لذلك مع متطلبات العمل.
5-7-16 : ينبغي وضع السيرفرات فعلياً في أماكن يمكن التحكم في الوصول إليها.
5-7-17 : يحظر تشغيل الأجهزة الخوادم "السيرفرات" بأماكن يكون من الصعب التحكم في الوصول إليها.
5-7-18 : يجب تسجيل جميع الوقائع المتعلقة بالتأمين على الأنظمة الهامة أو الحساسة، و يتم حفظ مسارات المراجعة على النحو التالي :
* يتم حفظ كل السجلات الخاصة بالتأمين على شبكة الإنترنت لمدة أسبوع واحد على الأقل.
* يتم الاحتفاظ بالنسخ الإحتياطية للشريط المتدرج لمدة شهر واحد على الأقل.
* يتم الاحتفاظ بالنسخ الإحتياطية من السجلات بالشريط الأسبوعي كاملاً لمدة شهر واحد على الأقل.
* يتم الاحتفاظ بالنسخ الإحتياطية الشهرية كاملةً لمدة عامين على الأقل.
5-7-19 : يتم الإبلاغ بالوقائع المتعلقة بتأمين المعلومات لدى اللجنة التوجيهية لتأمين المعلومات. و سوف تُوصف الإجراءات التصحيحية حسب الحاجة.
النسخ الإحتياطية من البيانات و إجراءات الاسترجاع :
5-7-20 : يتعين أخذ النسخ الإحتياطية من السجلات السرية الموجودة على ال "شير بوينت"، و البيانات الموجودة على كلا المحركين "س" و "ص" و البرامج و النظام و يتم أختبارها بصفة منتظمة وفقاً لخطة النسخ الإحتياطية المتفق عليها و التي يعتمدها مدير شئون المعلومات.
5-7-21 : ينبغي حفظ النسخ الإحتياطية في إطار من التأمين المادي و التحكم بالعهدة.
5-7-22 : يتعين استرجاع اختبارات ملفات الإعلام مرة واحدة على الأقل كل عام.
مكتب نظيف :
5-7-23 : يتعين على الموظفين تنظيم مكاتبهم و ضمان أن جميع المعلومات السرية / المقيدة سواء كانت مطبوعة أو إلكترونية محفوظة بصورة آمنة في مكان عملهم في نهاية يوم العمل.
5-7-24 : إذا أضطر أحد الموظفين إلى ترك مكان عمله لحضور أجتماع أو لأخذ قسط من الراحة يتعين عليه أولاً إلقاء نظرة سريعة على مكتبه ليتأكد من عدم وجود أي معلومات حساسة على المكتب – و إن وُجدت يقوم بحفظها في مكان آمن قبل مغادرته.
5-7-25 : مراعاة المسح الضوئي للمستندات الورقية و حفظها في ملفات إلكترونية في مكتبك.
5-7-26 : لابد من الحفاظ على إغلاق و إقفال الشانونات التي تحوي معلومات سرية / مقيدة بإحكام في حين عدم استخدامها أو عندما لا يكون متوجداً بمكتبه و يجب الاحتفاظ بالمفاتيح في الأماكن المناسبة.
5-7-27 : لا يجب ترك المفاتيح التي يحفظ بها الموظف المعلومات السرية / المقيدة على المكتب في حال عدم وجوده في حجرة مكتبه.
5-7-28 : التعامل مع وسائل حفظ المعلومات ذات المساحات التخزينية الكبيرة مثل الأقراص المدمجة "سي دي" و ال "دي في دي" و نواقل البيانات "يو إس بي" بأعتبارها حساسة و تأمينها في أحد أدراج و يتم إقفاله بإحكام.
5-7-29 : يتعين التعامل مع الطابعات و أجهزة الفاكس بنفس القدر من العناية وفقاً لهذه السياسة: ينبغي على الفور تناول أي مستندات ورقية يتم طباعتها و تحتوي على معلومات سرية / مقيدة.
5-7-30 : لابد من محو أي كتابة تحوي معلومات سرية / مقيدة على السبورات.
5-7-31 : كما تغطي سياسة "المكتب النظيف" أماكن مثل قاعات الاجتماعات و صفحات ورق "الفليب تشارت" و السبورات التي تم استخدامها في اجتماعات سابقة و قد تحوي معلومات سرية. فلابد من محوها / إزالتها.
5-7-32 : يتم التخلص من نسخ المستندات التي لا حاجة إليها أو التي تكون منتهية الصلاحية أو القصاصات الورقية بالطريقة السليمة.
5-7-33 : سيتم رسمياً رصد مدى الالتزام بهذه السياسة عن طريق رؤساء الأقسام، و سوف يشمل ذلك تفتيشاً منتظماً تارةً و عشوائياً تارةً أخرى.
تأمين محل العمل :
5-7-34 : يجب إقفال أماكن العمل التي يوجد بها أجهزة كمبيوتر حينما لا يتواجد أحد بها.
5-7-35 : يجب على إدارة تكنولوجيا المعلومات إتاحة حافظة شاشة "سكرين سيفار" محمية بكلمة مرور على أن تظهر بعد فترة وجيزة من عدم استخدام الجهاز (5 دقائق)؛ و الهدف من ذلك هو حماية الأماكن التي تُركت بغير تأمين.
5-7-36 : الأماكن التي يوجد بها أجهزة كمبيوتر لابد من إغلاقها بإحكام في نهاية يوم العمل.
5-7-37 : يجب إزالة أجهزة اللابتوب الموجودة بحجرة المكتب من أعلى المكتب و يتم الاحتفاظ بها في مكان يتم إغلاقه بإحكام.
5-7-38 : لا تقم أبداً بتثبيت برامج غير مصرٌح بها على أجهزة الكمبيوتر الموجودة في محل العمل.
5-8 : تأمين الاتصالات :
نقل المعلومات :
5-8-1 : يحظر على كل المستخدمين الوصول إلى نواقل البيانات "يو إس بي" أو حفظ البيانات باستخدام أسطوانات "سي دي" أو "دي في دي".
5-8-2 : إذا أحتاج أحد المستخدمين إلى إمكانية الوصول إلى البيانات لنقلها باستخدام ناقل بيانات "يو إس بي" أو أسطوانات "سي دي" أو "دي في دي"، يتعين عليه تقديم "طلب الوصول إلى بيانات" إلى المديرين المسئولين عن الوصول إلى المعلومات – و الذين سيقومون بمراجعة الطلب و تنفيذه بعد الحصول على موافقة كلاً من فريقي التصريح و الإعتماد. يرجى مراجعة سياسة "التصريح قبل منح إمكانية الوصول إلى المعلومات" المدرجة ضمن "سياسة إدارة الوصول إلى المعلومات"
5-8-3 : يُسمح لإدارة تكنولوجيا المعلومات برصد المعلومات التي يتم نقلها من أجهزة الكمبيوتر باستخدام ناقل بيانات "يو إس بي" أو أسطوانات "سي دي" أو "دي في دي" و الإبلاغ عن أي وقائع مخالفة لتأمين المعلومات لدى اللجنة التوجيهية لتأمين المعلومات. و ذلك لأسباب خاصة بتأمين المعلومات.
تأمين البريد الإلكتروني:
5-8- 4 : لا يجب أن يكون لأي مستخدم حق تسجيل الدخول إلى البريد الإلكتروني الخاص بهم باستخدام أجهزتهم الشخصية مثل هواتفهم المحمولة – و ذلك باستثناء نواب رئيس الشركة – إلا إذا قام مديره المباشر بتقديم مبرر لذلك و تم الموافقة عليه من قبل نائب رئيس الشركة المعني و اللجنة التوجيهية لتأمين المعلومات. و في حالات الاستثناء من هذه السياسة لابد من الحصول على موافقة المدير التنفيذي للشركة.
5-8-5 : يتم تشغيل رصداً تلقائياً بشكل روتيني بهدف تجنب سوء استخدام المعلومات السرية الخاصة بXxxxx أو الكشف عنها و لضمان الالتزام بأحكام سياسة استخدام البريد الإلكتروني المدرجة ضمن السياسة العامة للاستخدام المقبول.
5-8-6 : و قد تشمل هذه الترتيبات – على سبيل المثال لا الحصر – مراجعة المحتوى و رفض نقل البيانات و في بعض الحالات تسجيل الرسائل الإلكترونية للأغراض التالية:
- منع حدوث جريمة أو الكشف عنها وفقاً للقانون؛
- التحقيق في واقعة خرق لسياسة استخدام البريد الإلكتروني أو الكشف عنها؛
- ضمان تشغيل شبكة Xxxxx بشكل ف
English to Arabic: Lease Contract (names and data are deleted for the sake of customer's confidentiality) General field: Law/Patents Detailed field: Real Estate
Source text - English Lease
In accordance with the provisions of
Law (4) of the year (1996)
On ….. , / / 2017, that this contract has been concluded between:
Firstly: Dr. / (X) – of Egyptian Nationality, with ID no. xxxxxxxxxxx, who resides at xxxxxxxxxxxxx – Cairo.
(First Party: the Lessor)
Secondly: the following two companies:
1- xxxxxx Egypt – Limited Liability Company - commercial register no. xxxxx Investment
2- xxxxx Egypt – Limited Liability Company - commercial register no. xxxxx Investment
Both together are represented in this contract by Mr. / (Y), in his capacity as the General Director of both companies.
(Second Party: the Tenant)
And after both parties have recognized their eligibility to act and contract legally and legitimately, both have agreed on the following:
Preamble:
The first party owns a whole piece of land and the administrative building constructed on it, which is located at (address), in Cairo Governorate.
- Since the First Party has acknowledged that the unit no. ( ) in the second floor above the ground floor is suitable to be rented as an administrative premises and that it conforms to the administrative premises requirements and standards; and he also acknowledges that he has obtained all the necessary permits, licenses and approvals needed for this purpose.
- And since the Second Party works in the field of marketing researches and is willing to rent the aforementioned unit from the First Party, the total area of which is 579 m2 (ONLY FIVE HUNDRED SEVENTY-NINE SQUARE METERS); and with the approval of the First Party on this; therefore, this contract has been concluded, considering this introductory article as a part and parcel of this contract.
Article no. (1) : The unit specifications :
The First Party has rented to the Second Party an empty administrative premise, the total area of which is 579 m2 (ONLY FIVE HUNDRED SEVENTY-NINE SQUARE METERS) in the second floor above the ground floor with the purpose of using it as an administrative premise, completely finished including air conditioners, internet network, telephone network, without lighting units and without kitchen equipment; in accordance with the law (4) of the year (1996), both parties have agreed that the First Party will implement all the finishing works for the rented unit as required by the Second Party at the expense of the First Party, and the unit will be delivered to the Second Party no later than 1st April, 2017.
Signature of the First Party:
Signature of the Second Party:
Article no. (2) : The contract period : is two years and nine months starting as of 1st April, 2017 and ending on 31st December, 2019; and it may be renewed for other periods as per a new agreement and a new contract.
Article no. (3) : The rent value : Both parties have agreed to identify the rent value for each sub-period separately, as follows:
The first sub-period: as of 1st April, 2017 until 14th October, 2017: the monthly rent value is 3020.2 $ (ONLY THREE THOUSAND AND TWENTY DOLLARS & TWENTY CENTS). So the total value of rent for the whole sub-period is 19631.25 $ (ONLY NINETEEN THOUSAND SIX HUNDRED AND THIRTY-ONE DOLLARS & TWENTY-FIVE CENTS).
The second sub-period: as of 15th October, 2017 until 31st December, 2017: the monthly rent value is $3476.25 (ONLY THREE THOUSAND FOUR HUNDRED SEVENTY-SIX DOLLARS & TWENTY-FIVE CENTS). So the total value of rent for the whole sub-period is $ 8690.63 (ONLY EIGHT THOUSAND SIX HUNDRED AND NINETY DOLLARS & SIXTY-THREE CENTS).
-The monthly rent value includes an amount of $ 450 (ONLY FOUR HUNDRED AND FIFTY DOLLARS) in return for the share of the rented unit from the expenses of guards, maintenance of elevators and air conditioners and the building external cleanness for the aforementioned two sub-periods.
The third sub-period: as of 1st January, 2018 until 31st December, 2018: the monthly rent value is $9264 (ONLY NINE THOUSAND TWO HUNDRED SIXTY-FOUR DOLLARS). So the total value of rent for the whole sub-period is $111168 (ONLY ONE HUNDRED AND ELEVEN THOUSAND ONE HUNDRED AND SIXTY-EIGHT DOLLARS).
The fourth sub-period: as of 1st January, 2019 until 31st December, 2019: the monthly rent value is $9843 (ONLY NINE THOUSAND EIGHT HUNDRED FORTY-THREE DOLLARS). So the total value of rent for the whole sub-period is $118116 (ONLY ONE HUNDRED AND EIGHTEEN THOUSAND AND ONE HUNDRED AND SIXTEEN DOLLARS).
-The monthly rent value includes an amount of $ 1158 (ONLY ONE THOUSAND ONE HUNDRED AND FIFTY-EIGHT DOLLARS) in return for the share of the rented unit from the expenses of guards, maintenance of elevators and air conditioners and the building external cleanness for these last two sub-periods.
Article no. (4) : The insurance amount:
The two Parties have agreed that the Second Party will pay to the First Party an amount of $ 26055 (ONLY TWENTY-SIX THOUSAND AND FIFTY-FIVE DOLLARS) as an amount of insurance; of which an amount of $ 12825 (ONLY TWELVE THOUSAND EIGHT HUNDRED AND TWENTY-FIVE DOLLARS) has already been paid, and the remaining amount, which is equal to $ 13230 (ONLY THIRTEEN THOUSAND TWO HUNDRED AND THIRTY DOLLARS) is to be paid on 15th of January, 2018. This amount of insurance is to be repaid to the Second Party in full or partially after the end of the lease period or after leaving the rented unit by fifteen days, so that the First Party will be able to pay all the due bills of electricity, water and telephone until the date of the end of renting for whatever reason. At the time of delivering the unit, a delivery note will be written describing the condition of the unit at the time of receiving it; and the note is to be signed by both Parties. Out of the insurance amount, the value of any damages which may take place in the equipment at the rented unit shall be deducted. The Second Party, however, is not responsible for ordinary consumption or ordinary damage.
Signature of the First Party :
Signature of the Second Party :
Article no. (5) : Payment time :
The Second Party shall commit to paying the rent value every three months in advance.
Article no. (6) : Guarantee :
The First Party shall commit to guarantee the avoidance of any physical or legal infringement by him or others upon the Second Party with regard to any disputes concerning the rented unit.
Article no. (7) : Occupation :
The First Party acknowledges his ownership of the unit which is to be rented; having a legal, peaceful and stable ownership of it; and that no individual or body disputes about its ownership; and that its occupation by the Second Party is an extension of the First Party’s ownership.
Article no. (8) : Inspection :
The Second Party acknowledges that he has inspected the rented unit and that he has found that it is suitable for practicing his business activity, while taking into consideration what has been mentioned in the first article of this contract.
Article no. (9) : Modifications :
The Second Party shall not introduce any important changes into the rented unit without obtaining a written consent from the First Party.
Article no. (10) : Utilities :
The Second Party will commit to paying the due bills for consumption of water, electricity, gas and telephone.
Article no. (11) : Sublease :
The Second Party shall not rent the unit to any third person without obtaining a written consent from the lessor.
Article no. (12) : Applicable regulations :
This contract is subject to the provisions of the Law no. (4) of the year (1996) regarding the validity of the civil law on the places which has not been rented before and the places whose lease contracts are about to end or has already ended; and the provisions of the civil law are to be applicable to whatsoever has not been mentioned or has not been agreed upon herein this contract. The Arabic version of this contract is to be considered as the official text.
Article no. (13) : Notifications :
Any notifications regarding this contract shall be sent in both Arabic and English languages through recorded mailing with receiving acknowledgement receipt.
Article no. (14) : Concerned Court :
In case of any disputes on the illustration or implementation of any of the terms of this contract, North of Cairo Court and its subsidiaries are concerned to examine the disputes that may erupt.
Article no. (15) : Contract Copies :
This contact has been made of two original copies. Each party has his own to act accordingly when necessary.
Signature of the First Party :
Signature of the Second Party :
Translation - Arabic عقد إيجار
طبقاً لأحكام القانون (4) لسنة (1996)
إنه فى يوم الموافق / /2017
تم إبرام هذا العقد بين كلاً من :
أولاً : د . xxxxxx ـ مصرى الجنسية و يحمل بطاقة رقم قومى xxxxxxxxxxxxx ، و المقيم في xxxxxxxxxxx ـ القاهرة .
( طرف أول مؤجر )
ثانياً : السادة كلاً من :
1ـ شركة / xxxxxxxxxxxx إيجيبت شركة ذ.م.م. سجل تجارى xxxxxxxxx إستثمار
2ـ شركة / xxxxxxxxxxxx إيجيبت شركة ذ.م.م. سجل تجارى xxxxxxxxx إستثمار
و يمثلهما فى هذا العقد بالتضامن فيما بينهما السيد / xxxxxxxxxxxxx بصفته مدير عام الشركتان .
( طرف ثانى مستأجر )
و بعد أن أقر الطرفان بأهليتهما للتصرف و التعاقد شرعاً و قانوناً اتفقا على الآتي:
البند التمهيدى : يمتلك الطرف الأول كامل الأرض والعقار الإدارى المقام عليها ب …(العنوان)… ـ محافظة القاهرة.
ـ و حيث أن الطرف الأول يقر بأن الوحدة رقم ( ) بالدور الثانى فوق الأرضى مناسبة للإستئجار مقر إدارى و تتوافق مع المواصفات و المعايير الخاصة بالمقر الإدارى و يقر بأنه حصل على كافة التصريحات و الرخص و الموافقات اللازمة بهذا الشأن.
ـ و حيث أن الطرف الثانى يعمل فى مجال الأبحاث التسويقية و يرغب فى استئجار هذه الوحدة المذكورة من الطرف الأول و البالغ جملة مساحتها 579 م2 ( فقط خمسمائة و تسعة و سبعون متراً مربعاً ) ، و بقبول الطرف الأول لذلك فقد تم إبرام هذا العقد ، معتبران أن هذا البند التمهيدى جزء لا يتجزأ من هذا العقد.
البند الأول : مواصفات الوحدة : أجر الطرف الأول للطرف الثانى ما هو عبارة عن مقر إدارى خالى مسطحه 579 م2 ( فقط خمسمائة و تسعة و سبعون متراً مربعاً ) بالدور الثانى فوق الأرضى بغرض إستخدامها مقر إدارى ، و هى كاملة التشطيبات بالتكييفات و شبكة الإنترنت و شبكة التليفون و بدون وحدات الإضاءة و بدون تجهيزات المطبخ ، و طبقاً للقانون رقم 4 لسنة 1996 اتفق الطرفان على قيام الطرف الأول بتنفيذ جميع التشطيبات للوحدة المؤجرة التى يطلبها الطرف الثانى على نفقة الطرف الأول و يتم تسليم الوحدة للطرف الثانى فى تاريخ أقصاه أول ديسمبر من عام 2017.
توقيع الطرف الأول:
توقيع الطرف الثانى:
البند الثانى : مدة العقد : سنتان و تسعة أشهر تبدأ من 1/4/2017 و تنتهى فى 31/12/2019 و يجوز تجديدها لمدد أخرى بإتفاق و عقد جديد.
البند الثالث :القيمة الإيجارية: تم الإتفاق بين الطرفان على تحديد قيمة الإيجار عن كل فترة على حدى:
الفترة الأولى : من 1/4/2017 حتى 14/10/2017 : تكون القيمة الشهرية للإيجار مبلغ وقدره 3020.2 $ ( فقط ثلاثة ألاف و عشرون دولاراً و عشرون سنتاً لا غير)، و يكون إجمالى قيمة الفترة مبلغ وقدره 19631.25 $ ( فقط تسعة عشر ألف و ستمائة و واحد و ثلاثون دولاراً و خمسة و عشرون سنتاً لا غير).
الفترة الثانية : من 15/10/2017 حتى 31/12/2017 : تكون القيمة الشهرية للإيجار مبلغ وقدره 3476.25 $ ( فقط ثلاثة ألاف و أربعمائة و ستة و سبعون دولاراً و خمسة و عشرون سنتاً لا غير) و يكون إجمالى قيمة الفترة مبلغ وقدره 8690.63 $ ( فقط ثمانية ألاف و ستمائة و تسعون دولاراً و ثلاثة و ستون سنتاً لا غير).
ـ وتشمل قيمة الإيجار الشهرية مبلغ وقدره 450 $ ( فقط أربعمائة و خمسون دولاراً لا غير) و ذلك مقابل حصة الوحدة المستأجرة من مصاريف الحراسة و صيانة المصاعد و التكيفات و النظافة الخارجية بالمبنى عن الفترتان.
الفترة الثالثة : من 1/1/2018 حتى 31/12/2018 :تكون القيمة الشهرية للإيجار بمبلغ وقدره 9264 $ ( فقط تسعة ألاف و مائتان و أربعة و ستون دولاراً لا غير) و يكون إجمالى قيمة الفترة مبلغ وقدره 111168 $ ( فقط مائة و أحد عشر ألف و مائة و ثمانية و ستون دولاراً ).
الفترة الرابعة : من 1/1/2019 حتى 31/12/2019 : تكون القيمة الشهرية للإيجار مبلغ مبلغ وقدره 9843 $ ( فقط تسعة ألاف و ثمانمائة و ثلاثة و أربعون دولاراً لا غير) و يكون إجمالى قيمة الفترة مبلغ 118116 $ ( فقط مائة و ثمانية عشر ألف و مائة و ستة عشر دولاراً لا غير).
ـ و تشمل قيمة الإيجار الشهرية مبلغ و قدره 1158 $ ( فقط ألف و مائة و ثمانية و خمسون دولاراً لا غير) و ذلك مقابل حصة الوحدة المستأجرة من مصاريف الحراسة و صيانة المصاعد و التكيفات و النظافة الخارجية بالمبنى عن الفترتان.
البند الرابع : قيمة التأمين : اتفق الطرفان على دفع الطرف الثانى للطرف الأول مبلغ و قدره 26055 $ ( فقط ستة و عشرون ألف و خمسة و خمسون دولاراً لا غير) كتأمين تم دفع مبلغ و قدره 12825 $ ( فقط إثنى عشر ألف و ثمانمائة و خمسة و عشرون دولاراً لا غير) و الباقى و قدره 13230 $ ( فقط ثلاثة عشر ألف و مائتان و ثلاثون دولاراً لا غير) يتم دفعهم بتاريخ 15/1/2018، و مبلغ التأمين يتم رده كاملاً أو جزء منه بعد إنتهاء الإيجار أو ترك الوحدة بمدة خمسة عشر يوماً ، حتى يتسنى للطرف الأول دفع كافة الفواتير المستحقة للكهرباء و المياه و التليفون حتى تاريخ إنتهاء الإيجارة لأى سبب ، كما يحرر وقت تسليم العين محضر تسليم يبين به حالة الوحدة وقت تسلمها و يوقع عليه من طرفى العقد ، و يخصم من قيمة التأمين قيمة التلفيات التى قد تلحق بالتجهيزات مع عدم مسألة الطرف الثانى عن الإستهلاك أو التلف العاديين.
توقيع الطرف الأول:
توقيع الطرف الثانى:
البند الخامس : ميعاد السداد: يلتزم الطرف الثانى بسداد القيمة الإيجارية كل ثلاثة أشهر مقدماً.
البند السادس : الضمان: يلتزم الطرف الأول بضمان عدم التعرض المادى و القانونى الصادر منه أو من الغير للطرف الثانى فيما يتعلق بالمنازعة فى الوحدة المؤجرة.
البند السابع: الحيازة : يقر الطرف الأول بحيازته للوحدة محل الإيجار حيازة قانونية و هادئة و مستقرة دون منازعة أى فرد أو جهة و أن حيازة الطرف الثانى لها هى إمتداد لحيازة الطرف الأول.
البند الثامن : المعاينة : يقر الطرف الثانى بمعاينة الوحدة المؤجرة و وجدها صالحة لممارسة نشاطه مع مراعاة ما ورد بالبند الأول من هذا العقد.
البند التاسع : التعديلات : لا يجوز للطرف الثانى إحداث تغيير جوهرى بالعين المؤجرة بدون إذن الطرف الأول كتابة.
البند العاشر: المنافع : يلتزم الطرف الثانى بدفع قيمة فواتير المياه و الكهرباء و الغاز و التليفون.
البند الحادى عشر : التأجير من الباطن : لا يجوز للطرف الثانى أن يؤجر الوحدة لأى شخص ثالث بدون تصريح كتابى من المؤجر.
البند الثانى عشر : القواعد المطبقة : يخضع هذا العقد لأحكام القانون رقم 4 لسنة 1996 بشأن سريان أحكام القانون المدنى على الأماكن التى لم يسبق تأجيرها و الأماكن التى إنتهت أو تنتهى عقود إيجارها ، كما تطبق أحكام القانون المدنى فيما لم يتم ذكره أو الإتفاق عليه فى هذا العقد ، كما سيكون النص العربى فى هذا العقد هو النص الرسمى.
البند الثالث عشر: الإخطارات : أية إخطارات بشأن هذا العقد ترسل كتابة باللغة العربية و الإنجليزية بالبريد المسجل و الموصى عليه بعلم الوصول.
البند الرابع عشر:المحكمة المختصة : تختص محكمة شمال القاهرة و جزئياتها بأى نزاع قد ينشأ بين طرفى العقد بسبب تفسير أو تنفيذ أى بند من بنود العقد.
البند الخامس عشر: نسخ العقد : تحرر هذا العقد من نسختان بيد كل طرف نسخة للعمل بها عند اللزوم.
توقيع الطرف الأول:
توقيع الطرف الثانى:
More
Less
Translation education
Master's degree - Master's degree in the field of translation from the most reputable and most accredited faculty of translation in the Middle East (Al-Alsun Faculty) in Cairo with general grade "Excellent".
Experience
Years of experience: 24. Registered at ProZ.com: Jan 2018.
English to Arabic (The American University in Cairo) English to Arabic (Ain Shams University (Faculty of Al-Alsun))
Memberships
N/A
Software
Microsoft Word, Trados Studio, Wordfast
CV/Resume
CV available upon request
Professional objectives
Meet new translation company clients
Network with other language professionals
Learn more about additional services I can provide my clients
Learn more about the business side of freelancing
Stay up to date on what is happening in the language industry
Help or teach others with what I have learned over the years
Bio
PROFILE:
A professional and dynamic Translator/Interpreter with a wide range of experience in legal/business and religious domains (i.e. translating legal texts, contracts and official documents, as well as religious texts) from English into Arabic and vice versa. Dedicated to maintaining high quality standards.
Languages:
1-Arabic: Mothertongue
2-English: Fluent (semi-native) in written and spoken Englishlanguage
Nationality: Egyptian
Education:
-I am a graduate of English language schools.
-I got B.A in English Language and Literature, May 1999, with general score "Excellent with Honour". Besides, I have been the top of the English Department for four successiveyears.
Postgraduate studies:
- I have got my MA in translation with general grade "Excellent" from the most accredited faculty of translation in the Middle East (the Faculty of Al-Alsun, Ain Shams University) in Cairo in Sep. 2020.
Other studies:
-I finished the highest interpretation certificate at the American University in Cairo (AUC), namely, “Professional Certificate in Simultaneous Interpreting”. Through the certificate fourteen 3-month courses, I further developed my skills of simultaneous, consecutive and at-sight interpretation from English into Arabic and vice versa. As part of this certificate, I have studied a whole 3-month course of UNterminology.
Career History:
-1st September, 1999 until 15th April, 2000: Working as Translator for Mercedes Center, a company for importing Mercedes spareparts.
-April till August 2000: Freelance translator in differentfields.
-As of 3rd September 2000 to January 2017: Working as Translator for Plan International – Egypt (a London-based international humanitarian organization)
Main tasks:
1-Translating all legal and official documents that are related to Al-Jizah ProgramUnit:
a- Employment contracts
b- Lease contracts
c- Partnership protocols
d- Community development projects
e- Follow up / Final reports about development programs and relevant interventions.
2- Interpreting for international staff members / donors / sponsors /auditors during field visits, meetings, events andconferences.
3- Taking part in managing the Program Unit as a PU Management Team member.
Experience in the field of translating legal/business/religious texts:
In addition to the aforementioned job tasks as a Translator for Plan Egypt, I worked for more than 18 years as a freelance translator, mainly from English into Arabic, and sometimes vice versa, in the legal and business domains. I translated hundreds of translation projects, which include, but are not limited to, the following:
-Rentalcontracts
-Judicialverdicts
-Commercial arbitration cases (memorandums that are conducted by the lawyers ofplaintiffs/defendants)
-Agreements of merger byabsorption
-Commercial agencyagreements
-Creditagreements
-Settlementagreements
- Internal official documents of companies/institutions (HR policy / End-of- service plan / Labour contracts / Internal regulations / Agreement for conducting feasibility studies …etc.)
-Egyptian Tennis FederationStatute
-Preliminary contract ofsale
-Loancontract
-Business correspondences /e-mails.
-Business developmentreports.
-Receipts /vouchers
-Certificates of birth/death/graduation … etc.
-“Request for service abroad of judicial or extrajudicialdocuments”
-CurriculumVitae
- Many religious Christian articles (spiritual doctrines / theology)
Expertise 
Portfolio 
