أولا/ الحماية:

1. يجب ألا تكون هناك أي خدمة بريد إلكتروني أخرى موازية أو بديلة تعترف بها الجهات العامة أو المؤسسات الخاصة، أو تقرها أو تسمح بها هذه السياسة باستثناء الجهة المعنية بالتنفيذ، وتعتبر أي وسيلة تواصل موازية أو بديلة مخالفة لجميع قواعد ومبادئ هذه السياسة.
2. تلتزم الجهات العامة بنقل خدمات البريد الإلكتروني إلى الأنظمة المقدمة من الجهة المعنية بالتنفيذ في أسرع وقت ممكن، وفق معايير الجهة المعنية المنفذة وبما يتوافق مع هذه السياسة والسياسات واللوائح الداخلية، وذلك للاستمرارية ولتنفيذ موحد للسياسات في مختلف الجهات، ويُحتفَظ بعنوان البريد الإلكتروني السابق لمستخدمي الجهات العامة والمؤسسات الخاصة، حتى يتم نقل خدماتها وتنتشر على صعيد مؤسسي، وتُحدَّدُ مدة زمنية لعملية النقل، وفي حالة توفرت الإمكانيات التقنية، يجب نقل البيانات والمراسلات وجهات الاتصال والبريد الصادر والوارد والمسودات إلى الأنظمة التي أنشأتها الجهة المعنية بالتنفيذ، يستثنى من ذلك الجهات التي يصدر فيها قرار من الجهات القضائية أو الأمنية، أو المعفاة بموجب هذه السياسة.

ثانيا/ تأمين الوصول إلى خدمة البريد الإلكتروني:

1. على المستخدمين الذين يعملون في المكاتب والإدارات ذات المراسلات والبيانات الحساسة استخدام شبكة افتراضية خاصة “VPN” لتشفير الاتصال في قنوات خاصة، على ألا تكون الشبكة الافتراضية الخاصة مجانية أو عامة، وأن تكون مصممة خصيصا للأعمال ذات الطبيعة الخاصة أو السرية، مع وجود سياسة داخلية واضحة لاستخدام الشبكات الافتراضية الخاصة بالتشاور مع الجهة المعنية بالتنفيذ في حالة استخدامها.
2. تستخدم أنظمة التحقق الثنائي “”2FAبالجهات العامة أو المؤسسات الخاصة عن طريق تطبيق مستقل يستعمل أرقام الهاتف المحمول الموثقة لدى شركات الاتصالات المحلية بالدولة، من خلال الرسائل القصيرة، أو مفاتيح الأمان الفيزيائية Security Keys، بالإضافة إلى كلمة المرور، لضمان الوصول والسرية وهوية المستخدم.
3. يستخدم مسئول الحكومة أنظمة آمنة في التعامل مع الأجهزة المتصلة ببريده الإلكتروني في حالة وجوده خارج الدولة، والتعامل مع المعلومات الحساسة باستخدام التحقق الثنائي 2FA ، والشبكة الافتراضية الخاصة VPN للوصول إلى خدمات البريد الإلكتروني الحكومية، وفقا لما تراه الإدارة المختصة بأمن المعلومات والجهة المعنية المنفذة مناسبا في هذه الحالة.
4. تتبع السفارات بالخارج والبعثات الدبلوماسية الليبية اللوائح والسياسات المقررة من وزارة الخارجية في كيفية استخدام البريد الإلكتروني والتشريعات المعمول بها، وفقا لمقتضيات الحالة من جانب الإدارة المختصة.

ثالثا/ يلتزم مستخدمو خدمة البريد الإلكتروني في الجهات العامة أو الخاصة من الناحية الأمنية بما يلي:

1. اتباع السياسات ذات الصلة التي تضعها الهيئة الوطنية لأمن وسلامة المعلومات، والهيئة العامة للاتصالات والمعلوماتية، والمؤسسات التي تقر المعايير والمقاييس الخاصة بأمن المعلومات والمتعلقة بتصنيف المعلومات ومعالجتها وأمنها.
2. يجب استخدام شهادة التوقيع الرقمي لإرسال رسائل البريد الإلكتروني التي تعتبر مصنفة وحساسة، وتحديث أرقام الهواتف المحمولة المقترنة حاليا بالبريد الإلكتروني الرسمي للمسئولين لأسباب أمنية إذا استدعى الأمر وجود تحقق ثنائي عن طريق الهواتف المحمولة، ولا يستخدم الرقم إلا للإنذارات والمعلومات المتعلقة بالأمن التي ترسلها الجهة المعنية بالتنفيذ أو إدارة أمن المعلومات، بالإضافة لتحديث عنوان البريد الإلكتروني الشخصي ويفضل أن يكون من مزود خدمات داخل الدولة، إضافة إلى رقم الهاتف المحمول “من مزود خدمات اتصالات محلي”، ويحظر استخدام الأرقام المؤقتة المحلية أو الدولية.
3. لا يجوز للمستخدم تحميل أو تحويل أو رفع أو نسخ أو مزامنة رسائل البريد الإلكتروني من حسابه الرسمي للبريد الإلكتروني المعد مسبقا عن طريق برتوكول الوصول إلى رسائل الإنترنت IMAP أو POP على أي مزود آخر لخدمات البريد الإلكتروني، ولا يجوز له تقديم بيانات أو مراسلات أو معلومات أو جهات اتصال أو عنوان البريد وكلمة المرور أو أي تفاصيل أخرى لحسابه على موردي خدمات البريد الإلكتروني الأخرى، سواء كانت تجارية أو شخصية أو عالمية أو عامة.
4. لا يجوز إعادة توجيه أي بريد إلكتروني مرسل إلى مستخدم عُطّل أو حُذِف حسابه إلى عنوان بريد إلكتروني آخر يمكن أن تحتوي هذه الرسائل محتويات تخص جهة عامة أو مؤسسة خاصة.
5. يلتزم الموظف المسئول توفير أحدث نظم التشغيل وبرامج مكافحة الفيروسات، وأن تكون التطبيقات محدثة على جميع الأجهزة، وأن تضاف كافة التحديثات والإصلاحات والإصدارات إلى نظام التشغيل كما توصي الشركة المقدمة لنظام التشغيل، بالتنسيق مع المستخدم، وفق ما توفره المؤسسة ويتناسب مع السياسات.
6. في حال اكتشاف حالة تسريب أو اكتشاف لعنوان البريد الإلكتروني دون رغبة في أن يكون هذا البريد متاحا للنشر من قبل أي وسيلة إعلامية، أو وسائل التواصل الاجتماعي، أو وكالات الأنباء، أو الإذاعات، أو الصحف، على أن يتم إرسال إنذار بواسطة البريد الإلكتروني إلى الشخص المعني.
7. في حال اكتشاف محاولة للحصول على كلمة المرور لحساب ما، يتم تنبيه المستخدم بواسطة الرسائل القصيرة على رقم الهاتف المحمول المسجل في سجلات الإدارة المسئولة عن إنشاء وحذف وتكوين وإعداد البريد الإلكتروني، وإذا لم يتخذ المستخدم الإجراء المطلوب بعد عدة تنبيهات تحددها الجهة المعنية بالتنفيذ مما يشير إلى وجود شبهة عملية قرصنة، يكون للجهة المعنية بالتنفيذ الحق في إعادة ضبط كلمة المرور الخاصة بالبريد الإلكتروني للمستخدم، مع تنبيه المسئول عن كل إدارة، على أن يتم فتح تحقيق جنائي رقمي بالأمر.

في حال حدوث قرصنة لهوية مستخدم من خلال عنوان البريد الإلكتروني أو كلمات المرور على قاعدة كبيرة من المستخدمين، أو على أمن البيانات أو الأمن السيبراني للمؤسسة، تقوم الجهة المعنية بالتنفيذ بإعادة ضبط كلمة المرور الخاصة بذلك المستخدم، ويُتخذ هذا الإجراء بشكل عاجل دون الرجوع إلى المستخدم، وتقدم المعلومات إلى المستخدم أو الموظف المسئول في وقت لاحق، وتكون الرسائل القصيرة SMS إحدى الوسائل للاتصال بالمستخدم، مع حظر أي وسيلة تواصل أخرى، ويجب على جميع المستخدمين تحديث أرقامهم الخلوية المسجلة في قاعدة إذا جرى التأكد من قرصنتها أو المساس بها أو إعلانها.

8. يتعهد مسؤول البريد الإلكتروني بالمؤسسة بعدم الاطلاع أو القيام بأي أعمال من نسخ أو نقل أو الاطلاع على البريد الوارد أو الصادر لأي مستخدم.
9. يُمنع إعادة توجيه بريد إلكتروني من عنوان البريد الإلكتروني الذي تقدمه الجهة العامة والمؤسسات الخاصة إلى بريد موظف شخصي خارج خدمة البريد الإلكترونية الحكومية لأسباب أمنية.
10. يتم استخدام عنوان البريد الإلكتروني الرسمي الذي توفره الجهة المعنية بالتنفيذ للاتصال بين المستخدمين فقط، سواء كان خاصا أو عاما داخل الجهة العامة والمؤسسة الخاصة أو خارجها، ويجب على المستخدم أن يدرك الحد الأدنى من المسئولية بشأن المحتويات التي ترسل كجزء من بريد إلكتروني.
11. لا يجوز الحفظ الآلي لكلمة السر في خدمة البريد الإلكتروني الحكومية لأسباب أمنية، ما لم تتوفر إجراءات سلامة معينة.
12. يمنع استخدام البريد الإلكتروني الرسمي في أي أغراض شخصية أو دعائية أو تجارية، أو التسجيل في خدمات بريدية لا علاقة لها بعمل الجهة العامة أو المؤسسة الخاصة، كما يُحظر تداول عنوان البريد الإلكتروني على منصات التواصل الاجتماعي والمواقع الإلكترونية والمراسلات الخاصة، سواء كان عنوان البريد الإلكتروني الرسمي خاصا بالمستخدم نفسه أو أي مستخدم آخر.