منشور عدد 24 لسنة 2020 مؤرخ في 5 نوفمبر 2020  حول تدعيم إجراءات السلامة المعلوماتية بالهياكل العمومية

 

من رئيس الحكومة

إلى السيدات والسادة الوزراء وكتاب الدولة والولاة ورؤساء المؤسسات والمنشآت العمومي  حول تدعيم إجراءات السلامة المعلوماتية بالهياكل العمومية

المراجع:

في إطار تعزيز سلامة النظم والشبكات بالهياكل العمومية وبهدف ضمان ديمومتها وتوفر معطياتها، يتعين اتخاذ التدابير التالية:

بخصوص الإطار التنظيمي:

  • إحداث "لجنة سلامة النظم المعلوماتية (Comité de sécurité)" يترأسها المسؤول الأول عن الهيكل أو من ينوبه وتضم خاصة المسؤولين عن استغلال النظم المعلوماتية حسب نشاط الهيكل، وتكلف هذه اللجنة خاصة باعتماد ومتابعة تنفيذ سياسة السلامة المتعلقة بالنشاط الأساسي بالهيكل (Politique de Sécurité) وكذلك بمتابعة تنفيذ المخططات العملية المتعلقة باستمرارية النشاط والخدمات والتوصيات المنبثقة عن تقارير التدقيق المنجزة طبقا الأحكام قانون السلامة المعلوماتية تجتمع اللجنة بصفة دورية مرة كل ستة أشهر على الأقل وكلما اقتضت الضرورة لدراسة المسائل المرتبطة بالسلامة المعلوماتية.

 بخصوص الإشراف العملياتي:

  • تعيين إطار مسؤول عن سلامة النظام المعلوماتي (RSSI) يكون المخاطب الوحيد لمصالح الوكالة الوطنية للسلامة المعلوماتية على أن يتوفر لديه التكوين المختص والخبرة المناسبة لتنفيذ مهامه استئناسا بالمعايير الدولية المعمول بها وأن يمارس مهامه تحت الاشراف المباشر للمسؤول الأول عن الهيكل،
  • إحداث خلية مختصة يترأسها مسؤول عن سلامة النظام المعلوماتي. وتكلف هذه الخلية خاصة بما يلي :
  • تطوير سياسة السلامة المتعلقة بنشاط الهيكل (Politique de Sécurité) ومخططات استمرارية الخدمات  والنشاط (Plans de Continuité d’Activités /services) ودليل الحفظ الاحتياطي (Backup) واقتراحها على لجنة سلامة النظم المعلوماتية بالهيكل المعني قبل اعتمادها، مع إمكانية الاستئناس برأي خبير أو مكتب دراسات مختص في المجال ان اقتضى الأمر ذلك،
  • تطوير دليل إجراءات داخلي ينظم جوانب التصرف في سلامة النظم المعلوماتية ويحدد مجال تدخل جميع الأطراف المعنية،
  • إقتراح مخطط سنوي لتكوين الأعوان والعمل على مزيد توعيتهم في مجال السلامة المعلوماتية:
  • تنفيذ خطة السلامة والمخططات العملياتية المعتمدة من قبل الهيكل المعني ومتابعة التوصيات المنبثقة عن تقارير التدقيق المنجزة طبقا لأحكام قانون السلامة المعلوماتية.

حول سلامة مواقع الواب ومواقع الخدمات الالكترونية العمومية:

  • اعتماد اسم من بين أسماء النطاق للمواقع الإلكترونية العمومية تحت النطاق الوطني (tn.) مع تركيز شهادة المصادقة -SSL-
  •  إعتماد البريد الالكتروني الوطني "tn." في المعاملات الرسمية مع تحجير استعمال حسابات بريدية إلكترونية غير  رسمية في كافة المعاملات الإدارية،
  • إيواء مواقع الواب ومواقع الخدمات الالكترونية في مراكز الايواء بالبلاد التونسية مع تجنب الإيواء الذاتي لدى  الهيكل المعني،
  • تعيين مسؤول مختص لإدارة موقع الواب العمومية توكل اليه مهام إدارة موقع الواب العموميي والتصرف في السلامة والمعالجة الفورية للثغرات الأمنية المكتشفة مع تكليف خبير تدقيق مصادق عليه من قبل الوكالة الوطنية للسلامة المعلوماتية للقيام بتقييم شامل لسلامة أي موقع واب عند إنشائه أو موقع خدمة إلكترونية جديدة قبل فتحها للعموم. ويتم إجراء تدقيق مرة كل سنة لهذه الخدمات على الخط ومواقع الواب مع متابعة تنفيذ التوصيات المنبثقة عن تقارير التدقيق. كما يتعين على الوكالة الوطنية للسلامة المعلوماتية على إثركل عملية تقييم سلامة الخدمات العمومية المتوفرة على الخط، موافاة الهيكل المعني ببيان كافة الثغرات الفنية المسجلة على مستوى مواقع الواب أومواقع الخدمات الالكترونية الراجعة له بالنظر والتوصيات الكفيلة للرفع من مستوى سلامتها.
  • الإعلام الفوري لكل من وحدة الادارة الالكترونية برئاسة الحكومة والوكالة الوطنية للسلامة المعلوماتية بنشر مواقع واب أو مواقع خدمات الكترونية جديدة مما سيمكن من متابعة جودة وسلامة هذه المواقع والخدمات وحمايتها.

هذا ويمكن التنسيق مع الوكالة الوطنية للسلامة المعلوماتية بغرض الحصول على خدمات المساندة على غرار الاطلاع على العناصر المرجعية لاختيار خبراء التدقيق وعلى أمثلة لسياسة سلامة معلوماتية ومخطط استمرارية النشاط والخدمة أو المساعدة الفنية عند تسجيل حوادث سيبرنية طبقا لأحكام الفصل 10 من قانون السلامة المعلوماتية.

ونظرا لأهمية الموضوع واعتبارا للصبغة الالزامية للإجراءات المذكورة أعلاه فإن السيدات والسادة الوزراء وكتاب الدولة والولاة ورؤساء المؤ