أصدرت هيئة تنظيم الاتصالات بالبحرين وثيقة إرشادية غير إلزامية لشركات الاتصالات، تهدف إلى تعزيز أمن وحماية البنية الوطنية للاتصالات وضمان توافقها مع المعايير الدولية. ووضعت الوثيقة عددا من الإجراءات والممارسات الأمنية التي يتعين على الشركات والمؤسسات والعاملين في قطاع الاتصالات الأخذ بها للحماية من التهديدات السيبرانية والفيزيائية. وتضم الورقة 7 مجالات أساسية تضم الحوكمة الأمنية في تقنية المعلومات والدفاع السيبراني والتقييم الأمني وإدارة المخاطر الخارجية إلى جانب العمليات الأمنية وإدارة المخاطر الخارجية. كما ضمت إرشادات في مجال العمليات الأمنية وإدارة الحوادث، وتأمين تبادل البيانات، وضوابط أمنية لقطاع الاتصالات، والتناظر والربط البيني، وأخيرا البنية التحتية والخدمات الوطنية. وذكرت الهيئة في ديباجة الوثيقة أن الإرشادات تهدف إلى تعزيز الوضع الأمني العام لقطاع الاتصالات وضمان مرونة البنية التحتية الحيوية للاتصالات. وعبر توفير إطار عمل مشترك، يمكن أن تساعد الإرشادات المؤسسات في قطاع الاتصالات على تنفيذ ضوابط أمنية فعالة والتخفيف من المخاطر السيبرانية والمادية. وأشارت الوثيقة إلى أنه يتعين على مجالس إدارات الشركات والمؤسسات في قطاع الاتصالات تعيين لجنة منبثقة مسؤولة عن الأمن السيبراني، ويضم نطاق عملها مراقبة تجاوب الشركة مع المخاطر الأمنية ومراجعة الاستراتيجية بصورة سنوية على الأقل. ويتعين على الشركات مسؤول رفيع عن الأمن السيبراني، كما يتعين على الشركات إنشاء مسارات أبلاغ سرية عن مخاطر وقضايا المعلومات المهمة. وأكدت الوثيقة أن إدارة الأصول تعد أحد المجالات الفرعية الأساسية لحوكمة الأمن السيبراني، إذ يعد تحديد الأصول المعلوماتية وصيانتها أمرا مهما لحماية البنية التحتية للمعلومات الخاصة بالكيان. وتشمل الأصول المعلوماتية الأجهزة والبرامج وأنظمة المعلومات وخدمات المعلومات والافتراضية والمعلومات المخزنة في الموقع أو في أي مكان آخر. وفي هذا الموضوع، وبالتحديد من أجل تقليل مخاطر تسرب المعلومات السرية إلى الأشخاص غير المصرح لهم، أوصت الإرشادات بوضع إجراءات رسمية للتخلص الآمن من المعلومات والأصول، بما في ذلك الخطوات المناسبة للتخلص من الأصول. ولم تغفل الوثيقة موضوع إدارة استمرارية الأعمال، والتي اعتبرتها عملا استباقيا لتوقع وتقليل التأثيرات على العمليات والخدمات والوظائف والعمليات المهمة للمؤسسة، وضمان توافرها لتعزيز مرونة الأعمال بشكل عام. وتتضمن إدارة استمرارية الأعمال أيضا جهودا لمجموعة واسعة من المخاطر. ودعت إلى إعداد خطط شاملة لإدارة استمرارية الأعمال لتغطية مجموعة واسعة من المخاطر، تتضمن جميع الخطوات في الاستجابة للكوارث لحماية الأصول المعلوماتية واستعادة وظائف وخدمات الأعمال الحيوية، مع خطة تتناول النسخ الاحتياطي والوصول للبيانات دون الحاجة للاتصال بالإنترنت.