Sorry, you need to enable JavaScript to visit this website.

سياسة الأمن السيبراني المتعلق بالأطراف الخارجية

 

المقدمة :

تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم 1-1-4 من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) والصادرة من الهيئة الوطنية للأمن السيبراني.

 

نطاق العمل وقابلية التطبيق :

تغطي هذه السياسة جميع الأنظمة الحساسة ومكوناتها التقنية، وجميع الخدمات المقدمة خارجياً (عن طريق الإنترنت) ومكوناتها التقنية، ومنها: البنية التحتية، والمواقع الإلكترونية، وتطبيقات الويب، وتطبيقات الهواتف الذكية واللوحية، والبريد الإلكتروني والدخول عن بعد في جامعة الملك سعود، وتنطبق هذه السياسة على جميع العاملين في جامعة الملك سعود سواءً العاملين الذين يعملون بشكل مباشر أو غير مباشر لدى جامعة الملك سعود ، وتنطبق كذلك على جميع موظفي الجهات الخارجية التي تحوز أو تستخدم المعلومات و/أو المرافق التي تمتلكها جامعة الملك سعود كما أن هذه السياسة تنطبق على أنظمة جامعة الملك سعود وكذلك المنصات السحابية.

 

بنود السياسة :

1- البنود العامة:

  • يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني ضمن العقود والاتفاقيات مع الأطراف الخارجية لجامعة الملك سعود.

  • يجب تحديد واختيار الأطراف الخارجية المقدمة للخدمات بعناية ووفقاً للسياسات والاجراءات التنظيمية لجامعة الملك سعود, والمتطلبات التشريعية والتنظيمية ذات العلاقة.

  • يجب إجراء تقييم للمخاطر على الأطراف الخارجية والخدمات المقدمة والتأكد من سلامتها, وذلك بمراجعة مشاريع الاطراف الخارجية داخل جامعة الملك سعود ومرجعة سجلات الأحداث السيبرانية الخاص بخدمة الطرف الخارجي (إن أمكن) قبل وأثناء العلاقة وبشكل سنوي.

  • يجب إعداد العقود والاتفاقيات مع الأطراف الخارجية بشكل يضمن التزام الطرف الخارجي بتطبيق متطلبات وسياسات الأمن السيبراني بجامعة الملك سعود والمتطلبات التشريعية والتنظيمية ذات العلاقة.

  • يجب أن تتضمن شروط العقود والاتفاقيات مع الاطراف الخارجية متطلبات تتعلق بالابلاغ عن حوادث الأمن السيبراني وإبلاغ الجامعة في حالة تعرضه لحادثة أمن سيبراني بما في ذلك على سبيل المثال لا الحصر: تحديد وتوثيق إجراءات التواصل بين الطرف الخارجي والجامعة.

  • يجب على الطرف الخارجي في حالة تعرضة لحادثة أمن سيبراني قد يؤثر على بيانات أومعلومات الجامعة الإبلاغ المباشر بما لا يتعدى يوم عمل.

  • يجب مراجعة العقود والاتفاقيات مع الأطراف الخارجية من قبل الإدارة المعنية بالشؤون القانونية للتأكد من أن تكون بنود الاتفاقية ملزمة أثناء فترة العقد وبعد انتهائها وأن مخالفتها يعرض الطرف الخارجي للمسائلة قانونياً.

  • يجب أن تشمل العقود والاتفاقيات على بنود المحافظة على سرية المعلومات (Non-Disclosure Clauses)  والحذف الآمن من قِبَل الطرف الخارجي لبيانات جامعة الملك سعود عند انتهاء الخدمة أيضاً يجب أن تشمل على سبيل المثال لا الحصر:

    - الشروط والأحكام للوصول المقدمة.

    - نوع البيانات المراد الوصول إليها وطريقة الوصول إليها.

    - يجب إدراج بند "الحق في التدقيق" في اتفاقيات الطرف الخارجي.

    - تعريف الاستخدامات المقبولة للبيانات التي يتم التعامل معها من قبل الطرف الخارجي.

    - المسؤوليات الأمنية للطرف الخارجي.

  • لن يتم توفير وصول الطرف الخارجي إلى معلومات جامعة الملك سعود إلا بعد تنفيذ الضوابط الأمنية المناسبة وحيثما ينطبق ذلك , يتم توقيع عقد يحدد الشروط والأحكام..

  • يجب مراجعة متطلبات الأمن السيبراني مع الأطراف الخارجية بشكل سنوي.  

     

2- متطلبات الأمن السيبراني الخاصة بخدمات الإسناد لتقنية المعلومات "Outsourcing" أو الخدمات المدارة "Managed Services" المقدمة من قبل الأطراف الخارجية:

  • للحصول على خدمات إسناد لتقنية المعلومات أو خدمات مدارة، فإنه يجب اختيار الطرف الخارجي بعناية، ويجب أن يتم التحقق من الآتي:

    -  إجراء تقييم لمخاطر الأمن السيبراني، والتأكد من وجود ما يضمن السيطرة على تلك المخاطر، قبل توقيع العقود والاتفاقيات أو عند تغيير المتطلبات التشريعية والتنظيمية ذات العلاقة.

    -  يجب أن تكون مراكز عمليات خدمات الأمن السيبراني المدارة للتشغيل والمراقبة والتي تستخدم طريقة الوصول عن بعد موجودة بالكامل داخل المملكة. (ECC-4-1-3-2).

  • يجب إجراء المسح الأمني (Screening or Vetting) لشركات خدمات الإسناد، ولموظفي خدمات الإسناد، والخدمات المدارة العاملين على الأنظمة الحساسة وعلى الذين لديهم صلاحيات الاطلاع على البيانات.

  • أن تكون خدمات الإسناد، والخدمات المدارة على الأنظمة الحساسة، هن طريق شركات، وجهات وطنية، وفقاً للمتطلبات التشريعية والتنظيمية ذات العلاقة.

  • يجب أن تغطي متطلبات الأمن السيبراني عند التعامل مع الجهات الاستشارية للمشاريع الاستراتيجية ذات الحساسية العالية على المستوى الوطني بحد أدنى، ما يلي:

    - إجراء المسح الأمني (Screening or Vetting) لموظفي شركات الخدمات الاستشارية الذين لديهم صلاحيات الاطلاع على البيانات.

    - يجب وجود ضمانات تعاقدية تشمل إلزام موظفي الخدمات الاستشارية بعدم إفشاء المعلومات وكذلك القدرة على حذف بيانات جامعة الملك سعود بطرق أمنة لدى شركات الخدمات الاستشارية عند الانتهاء/إنهاء العلاقة التعاقدية مع تقديم الأدلة على ذلك.

    - توثيق كافة عمليات مشاركة البيانات مع شركات الخدمات الاستشارية على أن يشمل ذلك مبررات مشاركة البيانات.

    - إلزام شركات الخدمات الاستشارية بإبلاغ جامعة الملك سعود مباشرة عند حدوث حادثة أمن سيبراني قد تؤثر على البيانات التي تمت مشاركتها أو إنشائهاإلزام شركات الخدمات الاستشارية بإبلاغ جامعة الملك سعود مباشرة عند حدوث حادثة أمن سيبراني قد تؤثر على البيانات التي تمت مشاركتها أو إنشائها.

 

3- متطلبات الأمن السيبراني المتعلقة بموظفي الأطراف الخارجية:

  • يجب تضمين مسؤوليات الأمن السيبراني وبنود المحافظة على سرية المعلومات (Non-Disclosure Clauses) في عقود موظفي الأطراف الخارجية (لتشمل خلال وبعد انتهاء/ إنهاء العلاقة الوظيفية مع جامعة الملك سعود.

  • يجب تقييم مدى الحاجة لاستخدام خدمات إدارة حسابات التواصل الاجتماعي (social media management) والمراقبة الآلية لحسابات التواصل الاجتماعي أو لحماية هوية جامعة الملك سعود من الانتحال (Brand Protection) وخاطر الأمن السيبراني المتعلقة بها.

  • يجـب أن تغطـي متطلبـات الأمن السيبراني الخاصـة باسـتخدام خدمـات إدارة حسـابات التواصـل الاجتماعي (social media management) والمراقبة الآلية لحسـابات التواصـل الاجتماعي أو لحاميـة هويـة جامعة الملك سعود مـن الانتحال (brand protection) بحـد أدنى، مـا يلي:

    - بنود المحافظة على سرية المعلومات (Non-Disclosure Clauses) والحذف الآمن من قبل الطرف الخارجي لبيانات جامعة الملك سعود عند انتهاء الخدمة.

    - إجراءات التواصل للإبلاغ عن الثغرات وفي حال اكتشاف حادثة أمن سيبراني.

    - إلــزام الطــرف الخارجــي بتطبيــق متطلبــات وسياســات الأمن السيبراني لحماية حسابات التواصل الاجتماعي للجامعة الملك سعود والمتطلبات التشريعية والتنظيمية ذات العلاقة.

     

4- التوثيق وضوابط الوصول:

  • يجب أن تُطوّر الأطراف الخارجية وتتبع عملية رسمية وموثّقة بعناية لمنح وإلغاء حق الوصول إلى جميع الأنظمة المعلوماتية والتقنية التي تُعالِج أو تنقل أو تخزّن معلومات جامعة الملك سعود بما يتماشى مع متطلّبات الأمن السيبراني وأهداف ضوابط الأمن السيبراني الخاصة بـ جامعة الملك سعود.

  • يجب توفير إمكانية الوصول إلى معلومات جامعة الملك سعود ومعالجتها بطريقة آمنة ومراقبة.

  • يجب تطبيق الضوابط المتعلّقة بكلمات المرور على جميع المستخدمين الذين يملكون حق الوصول إلى معلومات جامعة الملك سعود بما يتماشى مع متطلّبات الأمن السيبراني وأهداف ضوابط الأمن السيبراني الخاصة بجامعة الملك سعود.

  • يجب إلغاء حقوق الوصول فور انتهاء/إنهاء خدمات أي موظف يعمل لدى الأطراف الخارجية ويملك حق الوصول إلى المعلومات أو الأصول المعلوماتية والتقنية الخاصة بـجامعة الملك سعود أو في حال تغيير دوره الوظيفي الذي لا يتطلّب استمرارية وصوله إليها.

  • يجب أن تقوم الأطراف الخارجية بمراجعة حقوق الوصول بوتيرة سنوية وفقًا لسياسات الأمن السيبراني المعتمدة في جامعة الملك سعود.

  • يجب تخزين كلّ سجلات التدقيق والحفاظ عليها وتوفيرها بناءً على طلب جامعة الملك سعود.

     

5- متطلبات الأمن السيبراني المتعلقة بإدارة التغيير:

  • يجب أن تتبع الأطراف الخارجية عملية إدارة التغيير الرسمية والمناسبة وفقاً لسياسات وإجراءات جامعة الملك سعود وبما يتوافق مع متطلّبات الأمن السيبراني.

  • يجب مراجعة واختبار التغيير التي أجريت على الأصول المعلوماتية والتقنية الخاصة بـجامعة الملك سعود قبل تطبيقها على بيئة الإنتاج (Production Environment).

  • يجب إبلاغ الأطراف المعنية في جامعة الملك سعود بالتغييرات الرئيسية التي مخطط إجراءها وكذلك التي أجريت على الأصول المعلوماتية والتقنية الخاصة بـجامعة الملك سعود.

     

6- متطلبات حماية البيانات والمعلومات:

  • يجب أن تقوم الأطراف الخارجية بمعالجة بيانات ومعلومات جامعة الملك سعود وتخزينها وإتلافها وفقاً لسياسة ومعيار حماية البيانات والمعلومات المعتمدين في جامعة الملك سعود.

  • يجب تطبيق ضوابط تشفير مناسبة لحماية بيانات ومعلومات جامعة الملك سعود وضمان الحفاظ على سريّتها وسلامتها وتوافرها وفقاً لمعيار التشفير المعتمد في جامعة الملك سعود.

  • يجب عمل نُسخ احتياطية من بيانات ومعلومات جامعة الملك سعود بشكل سنوي ووفقاً لسياسة إدارة النسخ الاحتياطية الخاصة بـجامعة الملك سعود.

  • يجب وجود ضمانات تعاقدية تؤكد القدرة على حذف بيانات جامعة الملك سعود بطرق امنة لدى الطرف الخارجي عند الانتهاء/إنهاء العلاقة التعاقدية مع تقديم الأدلة على ذلك.

  • توثيق كافة عمليات مشاركة البيانات مع الأطراف الخارجية، على أن يشمل ذلك مبررات مشاركة البيانات.

  • عند مشاركة البيانات خارج المملكة يجب التحقق من قدرة الجهة المستضيفة على حماية تلك البيانات والحصول على موافقة صاحب الصلاحية بالإضافة الى الالتزام بالمتطلبات التشريعية والتنظيمية ذات العلاقة.

  • يجب إعادة تصنيف البيانات إلى أقل مستوى يحقق الهدف، قبل مشاركتها مع الأطراف الخارجية وذلك باستخدام تقنيات تعتيم البيانات (Data masking) أو تقنيات مزج البيانات (Data Scrambling).
     

تاريخ آخر تحديث : مايو 19, 2024 12:54م