10 March, 2013

Information Security Committee approves Dubai Government’s Information Security Regulation



Regulation to be circulated to government entities and employees


March 10, 2013
Dubai Government’s Information Security Committee has recently held its regular meeting at H.H. Dubai Ruler’s Court. During the meeting, which was presided over by H.E. Ahmad Bin Humaidan, Chairman of the Committee, and attended by all Committee members, the Committee approved the final version of the Dubai Government Information Security Regulation in both Arabic and English. The Regulation is aimed at managing the Government Information Security Environment and devising controls for it by developing an integrated and unified policy for Information Security and Dubai Government Information Systems for the purpose of working in a secure and reliable environment for storing information; in addition to bolstering the society’s awareness of the value of Information Security.

After being approved by the Committee, the Regulation will be circulated to Dubai Government entities for immediate implementation by these entities and their employees. The regulation will also be applicable to the customers of these entities who are entitled to access their information systems, as mandated by a resolution to this effect issued by Dubai Executive Council.  

Commenting on the adoption of the Regulation, H.E. Ahmed Bin Humaidan, Chairman of the Committee, said: “Our local departments have exerted individual efforts in the Information Security field and were keen on ensuring the Information Security of Government customers and transactions based on their awareness of the fact that this issue is essential for increasing confidence among investors and businessmen by protecting their data and securing government transactions, particularly those conducted online.” He pointed out that the approval of the Information Security Regulation unified these efforts as the Regulation combines information in a unified system for Information Security, Operation and Assurance at the level of the government entities in the emirate.

Bin Humaidan clarified that the approval of a unified system for Information Security would necessitate an integrated strategy to be devised from which a unified policy will emerge for protecting government information and information systems as well as the domains related to it, which are divided into three major classes – Information Security governance, Operation and Assurance – at the level of the Government entities in the emirate.

The Information Security Regulation consists of 12 domains, each of which takes into consideration one major class of information security or more, these being Governance, Operation and Assurance. The Governance domains set high-level requirements for structuring and managing information security; the Operation domains are technical and/or non-technical solutions an entity may use depending on the results of their risk assessment study; and the Assurance domains act as the quality assurance for the entity, ensuring that the implemented solution is working as intended.

The 12 domains which constitute the structure of information security are Information Security Management and Governance; Information Asset Management; Information Security Risk Assessment; Incident Management; Access Control; Operations, Systems and Communication Management; Business Continuity Planning; Information Systems Acquisition, Development and Management; Environmental and Physical Security; Human Resource Security; Compliance and Audit; and Information Security Assurance and Performance Measurement

The Information Security Committee was formed under the Executive Council Resolution No. 13 for 2012 with respect to Information Security at Dubai Government, which was published in Issue No. 360 of Dubai Government's Official Gazette, on May 27, 2012. The resolution assigned several powers to the Committee, including studying and adopting the information security system prepared by Dubai eGovernment, following up its implementation by Dubai Government entities, conducting regular review of the system as per the results of the entities' evaluation of the system, and ensuring the existence of an Information Security emergency plan at Government entities.

تمهيداً لتعميمه على الجهات الحكومية وموظفيها

لجنة أمن المعلومات تعتمد "نظام أمن المعلومات لحكومة دبي"
 10 مارس 2013
عقدت لجنة أمن المعلومات بحكومة دبي اجتماعها الدوري أخيراً بديوان سمو الحاكم، برئاسة سعادة أحمد بن حميدان رئيس اللجنة؛ وحضور جميع أعضائها. وقد اعتمدت اللجنة خلال الاجتماع النسخة النهائية لـ "نظام أمن المعلومات لحكومة دبي" باللغتين العربية والإنجليزية المُحال لها من "حكومة دبي الإلكترونية"، والذي يستهدف إدارة بيئة أمن المعلومات الحكومية ووضع ضوابط لها من خلال إيجاد وتطوير استراتيجية متكاملة وسياسة موحّدة لأمن المعلومات وأنظمتها الخاصّة بالحكومة، للعمل في بيئة آمنة وموثوقة لتخزين المعلومات وحفظها.. مع تعزيز الوعي المجتمعي بأهمية أمن المعلومات.

وبموجب اعتماد اللجنة للنظام سيجري تعميمه تالياً على الجهات الحكومية في دبي للمباشرة في تنفيذه من قبل كلٍ من تلك الجهات وموظفيها، كما يكون تنفيذه سارياً على المتعاملين مع تلك الجهات المخولين بالدخول إلى أنظمة المعلومات المطبقة فيها؛ وذلك إعمالاً لقرار المجلس التنفيذي بهذا الخصوص.

وقال سعادة أحمد بن حميدان رئيس اللجنة تعليقاً على اعتماد النظام: "لقد بذلت دوائرنا المحلية جهوداً فردية في مجال أمن المعلومات، وحرصت على ضمان أمن معلومات المتعاملين والمعاملات الحكومية، إدراكاً منها لضرورة ذلك في تحقيق أحد أهداف دبي المتمثل في تعزيز ثقة المستثمرين ورجال الأعمال بحماية بياناتهم وتعاملاتهم الحكومية، خاصة الإلكترونية منها".. لافتاً سعادته إلى أن اعتماد نظام أمن المعلومات يأتي تتويجاً لهذه الجهود، إذ يجمعها ضمن نظام موحد لأمن المعلومات وعمليات تشغيلها وضمان حمايتها على مستوى الجهات الحكومية في الإمارة.

وأوضح سعادته أن إقرار نظام موحد لأمن المعلومات سيترتب عليه وضع استراتيجية متكاملة تنبثق عنها سياسة موحدة لحماية كلٍ من المعلومات وأنظمة المعلومات الخاصة بالحكومة، وحماية المجالات المرتبطة بها، والتي تتوزع على ثلاثة محاور رئيسة، تتعلق بكلٍ من حوكمة أمن المعلومات، وبتشغيلها، وبضمان حمايتها، على مستوى الجهات الحكومية في الإمارة.

ويتكون نظام أمن المعلومات من اثني عشر مجالاً؛ كل منها يأخذ بعين الاعتبار أحد المحاور الرئيسة لأمن المعلومات أو أكثر، وهي: الحوكمة، والتشغيل، والضمان. فالمجالات التابعة لمحور الحوكمة تستعرض المستلزمات الأساسية المطلوبة لبناء أمن المعلومات وإدارتها.. أما مجالات التشغيل فهي عبارة عن حلول فنية و/أو غير فنية يجوز لجهة ما استخدامها بناءً على نتائج الدراسة التي أجرتها لتقييم المخاطر.. وأما مجالات الضمان فتعمل بما يضمن الجودة للجهة، حيث تؤكد أن العمل بالحل المنفذ يجري كما ينبغي.

أما المجالات الاثني عشر التي تشكل هيكل أمن المعلومات، فهي: إدارة وحوكمة أمن المعلومات، إدارة أصول المعلومات، تقييم مخاطر أمن المعلومات، إدارة الحوادث، ضبط الدخول، إدارة العمليات والنظم والاتصالات، تخطيط استمرارية العمل، امتلاك نظم المعلومات وتطويرها وإدارتها، الأمن البيئي والمادي، أمن الموارد البشرية، الالتزام والتدقيق، والمجال الأخير هو ضمان أمن المعلومات وقياس الأداء.

يشار إلى أن "لجنة أمن المعلومات" شُكّلت بموجب  قرار المجلس التنفيذي رقم 13 لسنة 2012 بشأن أمن المعلومات في حكومة دبي، والمنشور في العدد رقم 360 بالجريدة الرسمية لحكومة دبي في 27 مايو لسنة 2012. وكان القرار قد كلّف اللجنة بعدّة اختصاصات تبدأ من دراسة واعتماد نظام أمن المعلومات المُعدّ من قبل حكومة دبي الإلكترونية، ومتابعة تنفيذه من قبل الجهات الحكومية في دبي، وإجراء مراجعة دورية له وفقاً لنتائج تقييم الجهات له، والتأكد من وجود خطة طوارئ خاصة بأمن المعلومات لدى الجهات الحكومية.

=