أصدر المركز الوطني للأمن السيبراني لائحة الإطار الوطني العام لتصنيف البيانات الإلكترونية، وفقاً لمستوى حساسيتها وأهميتها، وذلك لضمان حماية البيانات والمعلومات الإلكترونية وضمان استخدامها حسب السياسات واللوائح.

وحددت اللائحة حزمة من السياسات العامة التي يفترض اتباعها تتمثل في:

– التزام الجهات الحكومية المدنية والعسكرية والأمنية ومؤسسات القطاعين العام والخاص بالكويت ذات الصلة باختصاصات المركز بتصنيف البيانات الإلكترونية، وذلك بتحديد مستوى حساسيتها وأهميتها، على أن يترتب على فقدانها أو إساءة استخدامها أو الوصول إليها أو الإفصاح غير المصرح به عنها ضرر جسيم أو تأثير سلبي على الأمن الوطني أو الأمن العام أو اقتصاد الدولة، أو الإضرار بالأشخاص والممتلكات.

– تلتزم الجهات المعنية بأخذ موافقة المركز قبل حفظ أي بيانات حساسة أو معالجتها خارج دولة الكويت. – تصنيف البيانات إلى فئات أو مستويات مختلفة وفقاً لنموذح تصنيف المحتوى على تحديد الفئة (عام، محدود، حساس).

– الالتزام باتخاذ التدابير اللازمة بإصدار وثيقة تصنيف البيانات على أن تتضمن تفاصيل فئاتها ومستوياتها حسب أهميتها.

– اتخاذ الإجراءات الفنية والتنظيمية اللازمة لضمن تأمين الحماية الملائمة لكل فئة أو مستوى من البيانات، بما في ذلك التشفير وإجراءات الوصول المحدودة، والتحقق الثنائي وسياسات الاحتفاظ بالبيانات، وغيرها من التدابير.

وحسب اللائحة تقع على عاتق الجهات المعنية مسؤولية إصدار وثيقة التصنيف، إلى جانب إجراء مراجعات وتقييم دوري لفعالية سياسة التصنيف، فيما يلتزم جميع الموظفين بمسؤولية اتباع السياسات، في الوقت الذي تطالب فيه الجهات المعنية وموظفيها بتقديم بلاغ إلى الجهة المختصة عن أي شبهة أو نشاط مخالف أو مجرم.

ويلتزم المركز بمراجعة واعتماد المشروع، فيما تعتبر اللائحة ملزمة لجميع الجهات المعنية والعاملين بها.