سياسة أمن المعلومات وإدارة الحوادث والاختراقات (بوابة إصدار رقم UICS/ICN) Information Security & Incident/Breach Management Policy (UICS/ICN Issuance Portal)

آخر تحديث: 2025-10-09 · سياسة محايدة الاختصاص، تستند إلى أفضل الممارسات العالمية. Last updated: 2025-10-09 · Jurisdiction-neutral, aligned with globally recognized best practices. شفافية عالمية Global Transparency محايد الاختصاص Jurisdiction-Neutral

الإبلاغ الأمني Report Security Issue

ملخص: Summary: نطبق ضوابط أمنية معقولة تجاريًا، وإدارة مخاطر مستمرة، واستجابة منهجية للحوادث تشمل الإعداد، الاكتشاف، الاحتواء، الاستئصال، الاستعادة، وما بعد الحادث. نلتزم بالإفصاح المسؤول عن الثغرات وإشعارات الخرق المناسبة. We implement commercially reasonable controls, continuous risk management, and a structured incident response: prepare, detect, contain, eradicate, recover, and post-incident learnings. We follow responsible disclosure and appropriate breach notifications.

1) التعريفات والنطاق والمواءمة1) Definitions, Scope & Alignment

تغطي هذه السياسة أمن المعلومات لبوابة إصدار رقم UICS/ICN وخدمات التحقق المرتبطة. تُمواءم مع أطر عالمية معروفة (مثل أطر إدارة الأمن/الخصوصية) دون الإشارة لقانون وطني معيّن.

This policy covers information security for the UICS/ICN Issuance Portal and related verification services. It aligns with globally recognized frameworks (security/privacy) without binding to any specific national law.

2) الحوكمة والأدوار والمسؤوليات2) Governance, Roles & Responsibilities

لجنة الأمن: تشرف على الاستراتيجية والمخاطر والمطابقة.
مسؤول أمن المعلومات (CISO): يحدد الضوابط ويقود الاستجابة للحوادث.
فرق التشغيل/الهندسة/الدعم: تنفيذ الضوابط والتصعيد والاتصال.

Security Committee: oversees strategy, risk, and conformity.
CISO: defines controls and leads incident response.
Ops/Engineering/Support: implement controls, escalate, and communicate.

3) إدارة المخاطر وتصنيف البيانات3) Risk Management & Data Classification

تقييمات مخاطر دورية ونهج قائم على المخاطر RBA.
تصنيف بيانات إلى: عام، داخلي، سري، سري للغاية.
ضوابط متدرجة حسب مستوى التصنيف.

Periodic risk assessments with an RBA approach.
Data classification: Public, Internal, Confidential, Highly Confidential.
Graduated controls based on classification level.

4) التحكم في الوصول والهوية (IAM)4) Access Control & Identity (IAM)

مبدأ أقل امتياز وواجب المعرفة.
مصادقة متعددة العوامل للحسابات الحساسة.
مراجعات وصول دورية وإلغاء فوري للمغادرين.

Least privilege and need-to-know.
MFA for sensitive accounts.
Periodic access reviews and immediate deprovisioning.

5) التشفير وإدارة المفاتيح5) Cryptography & Key Management

تشفير أثناء النقل (TLS) وفي الراحة للبيانات الحساسة.
إدارة مفاتيح مركزية (KMS) وتدوير مفاتيح دوري.
حماية الأسرار (Secrets) ومنع تسريبها في الشيفرة/السجلات.

Encryption in transit (TLS) and at rest for sensitive data.
Centralized KMS and periodic key rotation.
Secret management and prevention of code/log leakage.

6) التطوير الآمن وإدارة التغييرات6) Secure SDLC & Change Management

مراجعات شيفرة، فحوص تبعيات، وتحليل ساكن/ديناميكي حيث ملائم.
فصل البيئات، موافقات تغيير، وتتبع نشرات.
مبدأ «الأمن حسب التصميم» و«الخصوصية حسب التصميم».

Code reviews, dependency checks, SAST/DAST where appropriate.
Environment separation, change approvals, and release traceability.
Security- and privacy-by-design.

7) البنية التحتية وأمن الشبكات7) Infrastructure & Network Security

تقسيم الشبكات، جدران نارية، وقوائم تحكم بالوصول.
تقسية الأنظمة، التصغير، وتحديثات أمنية منتظمة.
سحابة مُدارة بضوابط ومعايير موثقة.

Network segmentation, firewalls, and access control lists.
System hardening, minimization, and regular security updates.
Managed cloud with documented controls and standards.

8) التسجيل والمراقبة والكشف8) Logging, Monitoring & Detection

سجلات مركزية مع ضوابط وصول واحتفاظ محددة.
تنبيهات آنية على المؤشرات الحرجة ومحاولات الاختراق.
اكتشاف شذوذ وسلوكيات غير اعتيادية بقدر الإمكان.

Centralized logs with access controls and defined retention.
Real-time alerts on critical indicators and intrusion attempts.
Anomaly detection for unusual behaviors where feasible.

9) الثغرات والتصحيحات9) Vulnerability Management & Patch

مسح دوري للثغرات وتتبع CVEs ذات الصلة.
نوافذ تصحيح محددة حسب شدة الثغرة.
برنامج إفصاح مسؤول ومكافآت على الثغرات: التفاصيل.

Periodic vulnerability scanning and tracking relevant CVEs.
Patch windows based on severity.
Responsible disclosure & bug bounty program: details.

10) إدارة الحوادث ودورة حياتها10) Incident Response Lifecycle

نتّبع دورة حياة معيارية: الإعداد → الاكتشاف/الإبلاغ → التقييم → الاحتواء → الاستئصال → الاستعادة → الدروس المستفادة.

We follow a standard lifecycle: Prepare → Detect/Report → Assess → Contain → Eradicate → Recover → Lessons learned.

الشدة	أمثلة	هدف الاستجابة الأولية
حرجة	اختراق بيانات حساس/انقطاع واسع	دقائق–ساعات
عالية	امتيازات غير مصرح بها/ثغرة مستغلة	ساعات
متوسطة	نشاط مشبوه محدود	≤ 1 يوم
منخفضة	ملاحظات وتحسينات	حسب الجدولة

Severity	Examples	Initial Response Target
Critical	Sensitive data breach/major outage	Minutes–hours
High	Unauthorized privilege/active exploit	Hours
Medium	Limited suspicious activity	≤ 1 day
Low	Observations & improvements	As scheduled

11) خروقات البيانات والإشعارات11) Data Breaches & Notifications

نُقيّم أثر الحادث على السرية/السلامة/التوفّر والخصوصية.
نُصدر إشعارات مناسبة وفي وقت معقول للمستخدمين المتأثرين عبر قنوات الإشعارات الإلكترونية.
نُنسّق الرسائل العامة عند الحاجة بما يقلّل الضرر ويعظّم الشفافية.

We assess impact on confidentiality/integrity/availability and privacy.
We provide appropriate, timely notices to affected users via Electronic Communications.
We coordinate public messaging as needed to minimize harm and maximize transparency.

12) أمن المورّدين والأطراف الثالثة12) Third-Party/Supplier Security

عناية واجبة أمنية قبل التعاقد ومتابعة دورية.
اتفاقيات معالجة بيانات وضمانات مناسبة للنقل عبر الحدود.
التصعيد الفوري عند الحوادث المؤثرة عبر طرف ثالث.

Security due diligence pre-contract and periodic reviews.
Data processing agreements and appropriate cross-border safeguards.
Immediate escalation for third-party affecting incidents.

13) استمرارية الأعمال والتعافي من الكوارث13) Business Continuity & Disaster Recovery

نسخ احتياطي واختبارات استعادة دورية.
أهداف زمن الاستعادة (RTO) ونقطة الاستعادة (RPO) مناسبة للخدمة.

Backups and periodic recovery tests.
Service-appropriate RTO/RPO objectives.

14) الأمن الفيزيائي وأمن الأجهزة14) Physical & Device Security

مراكز بيانات بمستويات حماية مناسبة.
ضوابط أجهزة الموظفين: تشفير أقراص، قفل شاشات، وإدارة أجهزة.

Data centers with appropriate protection levels.
Endpoint controls: disk encryption, screen locks, device management.

15) التوعية والتدريب15) Security Awareness & Training

برامج توعوية دورية وتمارين محاكاة تصيّد.
متطلبات تدريب خاصة للأدوار الحساسة.

Periodic awareness programs and phishing simulations.
Role-based training for sensitive functions.

16) الاختبارات الأمنية (اختراق/Red Team)16) Security Testing (Pentest/Red Team)

اختبارات اختراق مخططة من جهات مستقلة عند الاقتضاء.
حظر أي اختبار غير مصرّح به—استخدم الإفصاح المسؤول.

Planned third-party pentests where appropriate.
No unauthorized testing—use our responsible disclosure.

17) الاحتفاظ والتخلص الآمن من البيانات17) Retention & Secure Disposal

تُطبّق سياسة الاحتفاظ والحذف على السجلات والنسخ الاحتياطية وبيانات السجل. يتم التخلص الآمن وفق أفضل الممارسات.

The Retention & Deletion Policy applies to records, backups, and logs. Secure disposal follows best practices.

18) الالتزام والتدقيق والتحسين18) Compliance, Audit & Improvement

مراجعات داخلية/خارجية دورية وإدارة إجراءات تصحيحية.
مقاييس أمنية ولوحات متابعة للتحسين المستمر.

Periodic internal/external reviews and corrective actions.
Security metrics and dashboards for continuous improvement.

19) قنوات الإبلاغ والتصعيد19) Reporting & Escalation

للإبلاغ عن حادث أمني أو ثغرة: security@uics.online، أو قنوات الدعم داخل الحساب. للثغرات اتبع سياسة الإفصاح المسؤول.

Report security incidents or vulnerabilities to security@uics.online, or use in-account support. For vulnerabilities follow our Responsible Disclosure Policy.