1. الغرض:
الغرض من هذه اللائحة هو وضع إطار وطني منهجي عام لتصنيف البيانات الإلكترونية وفقًا لمستوى حساسيتها وأهميتها، وذلك لضمان حماية البيانات والمعلومات الإلكترونية وخصوصيتها وضمان استخدامها وفقًا للسياسات واللوائح المعمول بها.
2. النطاق:
تنطبق هذه اللائحة على جميع البيانات الإلكترونية التي يتم إنشاؤها أو تخزينها أو معالجتها بواسطة أي موظف أو طرف ثاني متعاقد معه أو طرف ثالث.
3. التعاريف:
أ. المركز: المركز الوطني للأمن السيبراني.
ب. الجهات المعنية: الجهات الحكومية المدنية والعسكرية والأمنية ومؤسسات القطاع العام والخاص داخل دولة الكويت ذات الصلة باختصاصات المركز، والجهات الأخرى التي يحددها رئيس المركز وفقاً لأحكام المرسوم رقم 37 لسنة 2022.
ج. البيانات الإلكترونية: بيانات ذات خصائص الكترونية في شكل نصوص، أو رموز أو أصوات أو فيديوهات أو رسوم أو صور أو برامج حاسب آلي أو قواعد للبيانات يتم إنشاؤها أو استلامها أو معالجتها أو تخزينها بشكل إلكتروني.
د. تصنيف البيانات الإلكترونية: عملية تحديد وتصنيف البيانات الإلكترونية وفقًا لحساسيتها وأهميتها، وتعيين مستوى مناسب لكل فئة من البيانات وفقًا للمعايير التفصيلية التي تضعها الجهات المعنية والمعتمدة من المركز.
ه. البيانات الحساسة: هي البيانات التي يكون حق الوصول لها أو الاطلاع عليها أو معالجتها أو مشاركتها مقيدة بأشخاص أو جهات محددة، والتي يترتب على فقدانها أو إساءة استخدامها أو الوصول إليها أو الافصاح غير المصرح به عنها من قبل شخص أو جهة ضرر جسيم أو تأثير سلبي على الأمن الوطني أو الأمن العام أو اقتصاد الدولة، أو الإضرار بالأشخاص أو الممتلكات، أو المساس بخصوصية وصحة الأفراد، أو الملكية الفكرية، أو عمليات الجهات المعنية أو أصولها أو أفرادها، أو ما يتم تقرير حساسيتها وفقاً للقوانين المعمول بها في دولة الكويت أو السلطات القضائية.
و. البيانات المقيدة أو المحدودة: هي البيانات التي يكون حق الوصول لها أو الاطلاع عليها أو معالجتها أو مشاركتها مقيدة بأشخاص أو جهات محددة، ولها تأثير نسبي، ولا تعتبر بيانات حساسة.
ز. البيانات العامة أو المفتوحة: هي البيانات التي تكون متاحة للجميع دون قيود ويمكن لأي شخص أو جهة الوصول لها أو الاطلاع عليها أو معالجتها أو مشاركتها.
ح. ضوابط حماية البيانات: التدابير الفنية والتنظيمية التي تصدر من المركز وتلتزم الجهات المعنية بإصدار وتنفيذ التدابير الخاصة بها لتأمين وحماية بياناتها.
ط. التشفير: عملية تحويل البيانات الإلكترونية إلى رموز غير معروفة أو مبعثرة لإخفاء محتواها يستحيل قراءتها بدون إعادتها إلى هيئتها الأصلية.
4.السياسة العامة:
أ. تلتزم الجهات المعنية بتصنيف البيانات الإلكترونية وذلك بتحديد مستوى حساسية وأهمية البيانات والمعلومات الإلكترونية الخاصة بها بناءً على طبيعتها، وفقًا للمعايير التفصيلية التي تضعها الجهات المعنية – وبما يتوافق مع الإطار العام لهذه اللائحة – وتلتزم الجهات المعنية باعتمادها من المركز، والتي يترتب على فقدانها أو إساءة استخدامها أو الوصول إليها أو الافصاح غير المصرح به عنها من قبل شخص أو جهة ضرر جسيم أو تأثير سلبي على الأمن الوطني أو الأمن العام أو اقتصاد الدولة، أو الإضرار بالأشخاص أو الممتلكات، أو المساس بخصوصية وصحة الأفراد، أو الملكية الفكرية، أو عمليات الجهات المعنية أو أصولها أو أفرادها، أو ما يتم تقرير حساسيتها وفقاً للقوانين المعمول بها في دولة الكويت أو السلطات القضائية.
ب. تلتزم الجهات المعنية بتصنيف البيانات الإلكترونية وفقًا لطبيعتها ومستوى حساسيتها ودرجة أثرها وأهميتها إلى فئات أو مستويات مختلفة، وفقاً لنموذج تصنيف يحتوي على تحديد الفئة أو المستوى (عام، ومحدود، وحساس)، أو يمكن تطبيق نموذج تصنيف خاص بالجهات المعنية يتناسب مع احتياجاتها ولا يخرج عن الإطار العام لهذه اللائحة.
ج. تلتزم الجهات المعنية باتخاذ الإجراءات والتدابير اللازمة بإصدار وثيقة تصنيف البيانات الإلكترونية الخاصة بها والمتوافقة مع الإطار العام لهذه اللائحة وتعتمد من المركز، على أن تتضمن تفاصيل فئات ومستويات البيانات الإلكترونية المصنفة ومستوى الحساسية والأهمية المعينة لها.
د. تلتزم الجهات المعنية باتخاذ الإجراءات والتدابير الفنية والتنظيمية اللازمة لضمان تأمين الحماية الملائمة لكل فئة أو مستوى من البيانات الإلكترونية وفقًا لتصنيفها، بما في ذلك التشفير، وإجراءات الوصول المحدود، والتحقق الثنائي، وسياسات الاحتفاظ بالبيانات، وغيرها من التدابير الأمنية اللازمة.
ه. تلتزم الجهات المعنية بأخذ موافقة المركز قبل حفظ أي بيانات حساسة، أو معالجتها خارج دولة الكويت.
و. يقع على عاتق الجهات المعنية مسئولية متابعة قيام الأفراد بتصنيف البيانات عند إنشائها أو تلقيها من جهات أخرى، ويتم التصنيف خلال فترة زمنية محدودة وكذا تحديث التصنيف بصفة دورية.
ز. تلتزم الجهات المعينة بتوفير التأهيل والتدريب المناسب للموظفين والعاملين لديها بشأن سياسة تصنيف البيانات الإلكترونية ورفع كفاءتهم وقدراتهم لضمان التطبيق الآمن في التعامل مع البيانات المصنفة ومستوى الحماية المقررة لكل فئة أو مستوى.
5.المسؤولية:
أ. تقع على الجهات المعنية مسؤولية إصدار وثيقة تصنيف البيانات الإلكترونية الخاص بها واعتمادها من المركز والعمل على تنفيذها.
ب. يلتزم المركز بمراجعة واعتماد مشروع وثيقة تصنيف البيانات الإلكترونية الخاصة بالجهات المعنية وبالتنسيق معها وفقاً للمعايير والضوابط المرعية لدى المركز في تصنيف البيانات الإلكترونية.
ج. تلتزم الجهات المعنية بإجراء مراجعات وتقييم دوري لفعالية سياسة تصنيف البيانات الإلكترونية والتأكد من تطبيقها بشكل صحيح، وإدامة تحديث التصنيف وفقًا للتطورات والتعديلات في البيانات واحتياجات الأمان، وتقديم تقرير دوري إلى المركز بشأن نتائج تنفيذ وتطبيق وثيقة تصنيف البيانات الإلكترونية الخاصة بها.
د. تقع على عاتق جميع الموظفين والعاملين مسؤولية اتباع سياسات وإجراءات تصنيف البيانات الإلكترونية الخاصة بالجهات المعنية العاملين بها.
ه. تلتزم الجهات المعنية والموظفين والعاملين بها تقديم بلاغ إلى الجهة المختصة لدى الجهات المعنية عن أي شبهة أو نشاط مخالف أو مجرّم وفقاً للقوانين والنظم واللوائح المعمول بها في الدولة والتي من شأنها المساس بسرية وسلامة وأمن وتوفر البيانات الإلكترونية.
6.الإنفاذ:
تعتبر اللائحة العامة لتصنيف البيانات الإلكترونية ملزمة على كافة الجهات المعنية والعاملين فيها، وتلتزم الجهات المعنية بفرض سياسات وإجراءات تصنيف البيانات الإلكترونية الخاصة بها وبما لا يتعارض مع أحكامها، ويتعرض المخالفون لها أو تلك الصادرة من الجهات المعنية لمباشرة الإجراءات التأديبية أو الجنائية بحقهم وفقاً للقوانين والنظم واللوائح المعمول بها في الدولة.
7.التعديلات:
يجوز تعديل هذه اللائحة من قبل المركز متى كان لذلك مقتضى بناءً على ما تقضيه المصلحة العامة.
8.تاريخ النفاذ:
يُعمل بأحكام هذه اللائحة اعتباراً من تاريخه.
رئيس المركز الوطني للأمن السيبراني
محمد عـبدالعـزيز بـوعـركـي
صدر في: 8 يونيو 2023 م