اختر منطقتك 
- تقوم الجهات المعنية بتحديد موظف أو أكثر من الكوادر الوطنية للإشراف على عملية تصنيف البيانات ومنحهم الصلاحيات اللازمة
أصدرت رئيسة المركز الوطني للأمن السيبراني م.عبير العوضي قرارا بشأن لائحة الإطار الوطني العام لتصنيف البيانات.
وجاء في القرار:
مادة (1) التعاريف
أ- المركز: المركز الوطني للأمن السيبراني.
ب- الجهات المعنية: الجهات الحكومية المدنية والعسكرية والأمنية ومؤسسات القطاع العام والخاص داخل دولة الكويت ذات الصلة باختصاصات المركز، والجهات الأخرى التي يحددها رئيس المركز وفقاً لأحكام المرسوم رقم 37 لسنة 2022.
ج- البيانات: أي شكل من أشكال تمثيل المعلومات، وتشمل النصوص، الأرقام، الصور، الصوت، أو أي محتوى آخر يمثل معلومات يمكن تخزينها أو معالجتها أو نقلها.
د- المعلومات: البيانات التي تمت معالجتها بحيث أصبحت ذات معنى وباتت مرتبطة بسياق معين.
هـ- تصنيف البيانات: قيام الجهة المعنية بعملية تنظيم وتحديد وتعيين مستوى مناسب لكل بيان حسب حساسيته وأهميته وأثره، ووفقا للمعايير الفنية والتنظيمية العالمية أو الصادرة من المركز.
و- البيانات الحساسة: هي البيانات التي يؤدي الوصول غير المصرح به أو الإفصاح عنها أو إساءة استخدامها من قبل شخص طبيعي/ اعتباري، أو مجموعة أشخاص، أو تنظيمات داخلية، أو خارجية، أو جهة، أو أي طرف آخر، إلى ضرر جسيم أو تأثير سلبي على الأمن الوطني، أو الأمن العام، أو اقتصاد الدولة، أو الموارد البيئية، أو ما يتم تقرير حساسيتها وفقا للقوانين المعمول بها في دولة الكويت أو السلطات القضائية.
ز- البيانات المقيدة: بيانات يؤدي الوصول غير المصرح به إليها أو الإفصاح عنها إساءة استخدامها من قبل شخص طبيعي/ اعتباري، أو مجموعة أشخاص، أو تنظيمات داخلية، أو خارجية، أو جهة، أو أي طرف آخر إلى ضرر محدود أو تأثير سلبي على الجهات المعنية أو الأفراد أو أصحاب المصلحة.
ح- البيانات العامة: البيانات التي تكون متاحة للجميع دون قيود، وهي بيانات لا يسبب الوصول غير المصرح به إليها أو الإفصاح عنها إلى ضرر أو تأثير على المصلحة الوطنية أو الجهات المعنية أو الفرد.
ط- وسوم التصنيف: علامة أو إشارة تدل على التصنيف وأي معلومات متعلقة به مثل درجة التصنيف، المستوى/ الفئة وغيرها.
ي- وثيقة تصنيف البيانات: هي وثيقة تنظيمية تصدرها الجهة المعنية معتمدة من الإدارة العليا للجهة، تتضمن آليات وإجراءات برنامج التصنيف، وهي مرجع لمنتسبي الجهة توضح الأدوار والمسؤوليات، ومستويات التصنيف المعتمدة في الجهة ومنهجية التصنيف، بالإضافة إلى الإجراءات الفنية والتنظيمية لضمان حماية البيانات وإدارتها بشكل يتناسب مع حساسيتها.
ك- الحلول التكنولوجية: التقنيات والتطبيقات التي تسهل عملية تصنيف البيانات بما في ذلك حصر البيانات، تصنيفها، ووضع العلامات (الوسوم) وطريقة معالجتها ومشاركتها وإدارتها عبر مراحلها المختلفة.
ل- علامات (وسوم) التصنيف: هي رموز تضاف للبيانات بالنظر إلى تصنيفها ليسهل على المستخدم معرفة كيفية التعامل معها.
م- الدليل الاسترشادي: وثيقة استرشادية صادرة عن المركز الوطني للأمن السيبراني، تهدف إلى مساعدة الجهات المعنية على فهم وتنفيذ متطلبات لائحة الإطار الوطني العام لتصنيف البيانات الصادرة بهذا القرار، وذلك من خلال تقديم خطوات استرشادية لتصنيف البيانات وفق مستوى حساسيتها، وإعداد وثيقة تصنيف البيانات الخاصة بكل جهة. ويشمل هذا الدليل النماذج الاسترشادية ذات الصلة أو أي نماذج أخرى يصدرها المركز:
1- نموذج وثيقة تصنيف البيانات (نموذج 1).
2- نموذج حصر وتقييم حساسية البيانات بالجهة (نموذج 2).
ن- سياسة الاعتماد والموافقة: سياسة توضح الإجراءات المطلوبة لأخذ الاعتماد والموافقة ومدى تطبيق الجهة المعنية بما جاء بلائحة الإطار الوطني العام لتصنيف البيانات الصادرة عن المركز الوطني للأمن السيبراني، والمتضمنة النماذج الإلزامية ذات الصلة أو أي نماذج أخرى يصدرها المركز:
1- نموذج بيانات الاتصال للجهة بشأن تصنيف البيانات (نموذج 3).
2- نموذج اعتماد وثيقة تصنيف البيانات (نموذج 4).
3- نموذج طلب الموافقة على حفظ أو معالجة بيانات حساسة خارج دولة الكويت (نموذج 5).
4- نموذج الموافقة على حفظ أو معالجة بيانات حساسة خارج دولة الكويت (نموذج 6).
مادة (2) الغرض
الغرض من هذه اللائحة هو وضع إطار وطني منهجي لتصنيف البيانات وفقا لمستوى حساسيتها وأهميتها، وذلك لضمان حماية البيانات والمعلومات وخصوصياتها وضمان استخدامها وفقا للسياسات واللوائح المعمول بها.
مادة (3) النطاق
تطبق هذه اللائحة على جميع البيانات بمختلف أشكاها الإلكترونية وغير الإلكترونية على مختلف وسائط التخزين والمعالجة التي تمتلكها الجهة المعنية أو التي يتم إنشاؤها، أو تخزينها، أو نقلها، أو تعديلها، أو معالجتها عبر شبكات أو أنظمة الجهات المعنية.
مادة (4) الالتزام
أ- الجهات المعنية بتصنيف بياناتها وفقاً لطبيعتها ومستوى حساسيتها ودرجة أثرها وأهميتها إلى 3 فئات رئيسية (حساسة، مقيدة، عامة) كحد أدنى مع إمكانية تحديد فئات فرعية مختلفة لكل فئة (مستوى 1، مستوى 2، …). مع توضيح منهجية ومعيار التصنيف المعتمدة.
ب- تلتزم الجهات المعنية بإصدار وثيقة تصنيف البيانات الخاصة بها والمتوافقة مع الإطار العام لهذه اللائحة على أن تتضمن ما ورد بالدليل الاسترشادي للإطار الوطني العام لتصنيف البيانات كحد أدنى، وتعتمد هذه الوثيقة من المركز حسب سياسة الاعتماد والموافقة.
ت- تلتزم الجهات المعنية باتخاذ الإجراءات والتدابير الفنية والتنظيمية اللازمة لضمان تأمين الحماية الملائمة لكل فئة أو مستوى من البيانات وفقاً لتصنيفها، حسبما ورد بالدليل الاسترشادي للإطار الوطني العام لتصنيف البيانات.
ث- تقوم الجهات المعنية بتعيين وسوم التصنيف لجميع البيانات المصنفة، ليتم استخدامها في تحديد درجة حساسية البيانات ولضمان حمايتها بشكل صحيح.
ج- تقوم الجهات المعنية بتحديد موظف أو أكثر من الكوادر الوطنية للإشراف على عملية تصنيف البيانات، مع منح الصلاحيات اللازمة للبحث والوصول إلى المعلومات الخاصة بهذا الشأن وتقديمها للمركز عند طلبها.
ح- تقوم الجهات المعنية بتدريب وتوعية موظفيها والمختصين من الفريق المخول بعملية تصنيف البيانات على إجراءات تصنيف البيانات ورفع كفاءتهم عن طريق الورش والدورات التدريبية للحصول على الخبرة والدراية الكافية، ولضمان التعامل مع البيانات المصنفة ومستوى الحماية المقررة لكل فئة أو مستوى بشكل آمن.
خ- تلتزم الجهات بالعمل بالقوانين ذات الصلة عند التعامل مع تحديد درجة حساسية البيانات لديها وكذلك في مدد الاحتفاظ والإتلاف المصاحبة والمتوافقة مع نصوص القوانين الصادرة بذلك، وألا يتعارض ذلك مع أي إجراءات تتخذها الجهة.
د- تلتزم الجهات المعنية بضمان إزالة أو نقل جميع البيانات المصنفة من مراكز البيانات والخوادم قبل التخلص من معدات مراكز البيانات أو الخوادم المستضيفة للبيانات، مع التأكد من إجراء المسح أو النقل الآمن.
ذ- تلتزم الجهات المعنية بتوفير الحلول التقنية التي تسهّل عملية تصنيف البيانات، بما في ذلك حصر البيانات (Data Inventory) وأدوات التصنيف، واستخدام الوسوم (Tags).
ر- تلتزم الجهات المعنية بأخذ موافقة المركز قبل حفظ أو معالجة أي بيانات حساسة خارج دولة الكويت، وذلك حسب الإجراءات الموضحة بسياسة الاعتماد والموافقة.
ز- تلتزم الجهات المعنية بالقرار رقم (35) لسنة 2023 بشأن الإطار الوطني لحوكمة الأمن السيبراني.
مادة (5) المسؤولية
أ- جميع الجهات المعنية مسؤولة عن إصدار وثيقة تصنيف البيانات الخاصة بها، ورفعها إلى المركز لاعتمادها، والعمل على تنفيذها.
ب- المركز مسؤول عن مراجعة واعتماد وثيقة تصنيف البيانات الخاصة بالجهات المعنية وفقا لسياسة الاعتماد والموافقة.
ج- الجهات المعنية مسؤولة عن حماية بياناتها من خلال وضع التصنيف المناسب والتدابير الأمنية التي تكفل حماية تلك البيانات من الأضرار المحتملة كما هو موضح في بند حماية البيانات بالدليل الاسترشادي للإطار الوطني العام لتصنيف البيانات.
د- الجهات المعنية مسؤولة عن محاسبة الموظفين المخالفين للإجراءات والسياسات الموضحة والمعتمدة في وثيقة تصنيف البيانات الخاصة بها. وأن يلتزم الموظفين في الجهات المعنية بتنفيذ واتباع وثيقة تنصيف البيانات الخاصة بالجهة.
هـ- تلتزم الجهات المعنية بإجراء مراجعات وتقييم دوري لفعالية عملية تصنيف البيانات والتأكد من تطبيقها بشكل صحيح، مع مراعاة تقديم تقرير بشأن نتائج تنفيذ وتطبيق وثيقة تصنيف البيانات إلى المركز متى ما تطلب ذلك.
مادة (6) سياسة الاعتماد والموافقة
توضح السياسة كيفية الحصول على اعتماد لوثيقة تصنيف البيانات أو أخذ الموافقة لحفظ/ معالجة بيانات حساسة خارج دولة الكويت.
أولا: الإجراءات المتبعة للحصول على اعتماد لوثيقة تصنيف البيانات:
أ- تطبيق الحد الأدنى من متطلبات إعداد الوثيقة كما هو موضح بالدليل الاسترشادي.
ب- تعبئة نموذج «وثيقة تصنيف البيانات» (نموذج 1) أو إرفاق نموذج الوثيقة الخاص بالجهة وفي كلتا الحالتين تكون الوثيقة معتمدة وموقعة من قبل الإدارة العليا (وكيل مساعد ومن في رتبته وما فوق).
ج- يجوز الاسترشاد بنموذج «حصر وتقييم حساسية البيانات» في حصر وتقييم البيانات (نموذج 2).
د- تعبئة نموذج بيانات ضباط الاتصال للجهة (نموذج 3).
هـ- إرسال طلب اعتماد وثيقة تصنيف البيانات إلى عنوان البريد الإلكتروني التالي ([email protected]) مع إرفاق المستندات التالية:
1- وثيقة تصنيف البيانات للجهة المعنية معتمدة من الإدارة العليا أو المخول بذلك.
2- جدول سجل حصر البيانات بمستويات تصنيف البيانات للجهة الطالبة (عينة فقط).
3- نموذج بيانات ضباط الاتصال للجهة.
و- تتم مراجعة طلب الاعتماد من قبل المركز خلال 10 أيام عمل وإرسال حالة الاعتماد على وثيقة تصنيف البيانات من خلال عنوان البريد الإلكتروني المرسل والمعتمد من قبل الجهة حسب ما تم تقديمه بنموذج بيانات ضباط الاتصال.
ز- بعد استلام حالة اعتماد الوثيقة بالبريد الإلكتروني، تخاطب الجهة المركز بكتاب رسمي متضمنا وثيقة تصنيف البيانات المعتمدة من الإدارة العليا أو الشخص المخول بذلك.
ح- يعتمد المركز وثيقة تصنيف البيانات بكتاب رسمي حسب النموذج المخصص لذلك (نموذج 4)، موضحا نوع الاعتماد وموعد المراجعة الدورية لها.
ط- مواعيد المراجعة الدورية لوثيقة تصنيف البيانات:
– اعتماد جزئي: عدم استيفاء جميع مكونات وثيقة تصنيف البيانات حسب الدليل الاسترشادي الخاص بلائحة التصنيف – بعد ثلاثة أشهر.
– اعتماد كلي: استيفاء جميع مكونات وثيقة تصنيف البيانات حسب الدليل الاسترشادي الخاص بلائحة التصنيف – بعد سنة.
ثانيا: الإجراءات المتبعة لأخذ الموافقة لحفظ/ معالجة بيانات حساسة خارج دولة الكويت
بعد أخذ اعتماد وثيقة تصنيف البيانات (جزئي/ كلي):
أ- يتم تقديم طلب لحفظ / معالجة بيانات حساسة خارج دولة الكويت بتعبئة النموذج المخصص لذلك (نموذج 5) مع إرفاق وثيقة تصنيف البيانات المعتمدة من المركز.
ب- تتم دراسة طلب الجهة الخاص بحفظ/ معالجة بيانات حساسة خارج دولة الكويت من قبل المركز وستتم الموافقة على الطلب عن طريق نموذج الموافقة (نموذج 6) بعد استيفاء المتطلبات وعقد الاجتماعات الثنائية – إن تطلب الأمر.
ثالثا: نماذج ذات الصلة:
تكون النماذج الإلزامية والاسترشادية متاحة بشكل إلكتروني على المنصات الرقمية المتاحة.
مادة (7) الإنفاذ
تسري أحكام هذه اللائحة على الجهات المعنية وفقا لأحكام المرسوم رقم (37) لسنة 2022 بإنشاء المركز الوطني للأمن السيبراني.
مادة (8) تاريخ النفاذ
يعمل بأحكام هذه اللائحة من تاريخ نشرها في الجريدة الرسمية.
مادة (9) الإلغاء والتعديل
يلغى القرار رقم (7) لسنة 2023 بشأن لائحة الإطار الوطني العام لتصنيف البيانات الإلكترونية الصادر بتاريخ 16/7/2023 في الجريدة الرسمية، ويلغى كل نص أو حكم يتعارض مع أحكام هذا القرار. ويجوز تعديل هذه اللائحة من قبل المركز متى كان لذلك مقتضى بناء على ما تقتضيه مصلحة العمل.
