Sorry, you need to enable JavaScript to visit this website.
تجاوز إلى المحتوى الرئيسي

السياسة العامة للأمن السيبراني

 

المقدمة :

تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم   1-3-1من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.

 

نطاق العمل وقابلية التطبيق  :

تغطي هذه السياسة جميع الأصول المعلوماتية والتقنية لجامعة الملك سعود وتنطبق على جميع العاملين في جامعة الملك سعود وتعتبر هذه السياسة هي المحرك الرئيسي لجميع سياسات الأمن السيبراني وإجراءاته ومعاييره ذات المواضيع المختلفة، وكذلك أحد المدخلات لعمليات جامعة الملك سعود الداخلية، مثل عمليات الموارد البشرية وعمليات إدارة الموردين وعمليات إدارة المشاريع وإدارة التغيير وغيرها.

 

بنود السياسة :

1- يجب على إدارة الأمن السيبراني تحديد معايير الأمن السيبراني وتوثيق سياساته وبرامجه، بناءً على نتائج تقييم المخاطر، بشكل يضمن تنفيذ ونشر متطلبات الأمن السيبراني، والتزام جامعة الملك سعود بها، وذلك وفقاً لمتطلبات الأعمال التنظيمية لجامعة الملك سعود، والمتطلبات التشريعية والتنظيمية ذات العلاقة. واعتمادها من قبل معالي رئيس جامعة الملك سعود. كما يجب إطلاع العاملين المعنيين في جامعة الملك سعود والأطراف ذات العلاقة عليها.

  • يجب على إدارة الأمن السيبراني تطوير سياسات الأمن السيبراني وبرامجه ومعاييره وتطبيقها، والمتمثلة في:

    - برنامج استراتيجية الأمن السيبرانيلضمان خطط العمل للأمن السيبراني والأهــداف والمبادرات والمشاريع وفعاليتها داخل جامعة الملك سعود في تحقيق المتطلبات التشريعية والتنظيمية ذات العلاقة.

     

    - أدوار ومسؤوليات الأمن السيبراني  لضمان تحديد مهمات ومسؤوليات واضحة لجميع الأطراف المشاركة في تطبيق ضوابط الأمن السيبراني في جامعة الملك سعود.

     

    - سياسة إدارة مخاطر الأمن السيبراني : لضمان إدارة المخاطر السيبرانية على نحو ممنهج يهدف إلى حماية الأصول المعلوماتية والتقنية لجامعة الملك سعود، وذلك وفقاً للسياسات والإجراءات التنظيمية لجامعة الملك سعود والمتطلبات التشريعية والتنظيمية ذات العلاقة.

     

    - سياسة الأمن السيبراني ضمن إدارة المشاريع المعلوماتية والتقنية : للتأكد من أن متطلبات الأمن السيبراني مضمنة في منهجية إدارة مشاريع جامعة الملك سعود وإجراءاتها لحماية السرية، وسلامة الأصول المعلوماتية والتقنية لجامعة الملك سعود وضمان دقتها وتوافرها، وكذلك التأكد من تطبيق معايير الأمن السيبراني في أنشطة تطوير التطبيقات والبرامج، وفقاً للسياسات والإجراءات التنظيمية لجامعة الملك سعود والمتطلبات التشريعية والتنظيمية ذات العلاقة.

     

    - سياسة الالتزام بتشريعات وتنظيمات ومعايير الأمن السيبراني  : للتأكد من أن برنامج الأمن السيبراني لدى جامعة الملك سعود متوافق مع المتطلبات التشريعية والتنظيمية ذات العلاقة.

     

    - سياسة المراجعة والتدقيق الدوري للأمن السيبراني :  للتأكد من أن ضوابط الأمن السيبراني لدى جامعة الملك سعود مطبقة، وتعمل وفقاً للسياسات والإجراءات التنظيمية لجامعة الملك سعود، والمتطلبات التشريعية التنظيمية الوطنية ذات العلاقة، والمتطلبات الدولية المُقرة تنظيمياً على جامعة الملك سعود.

     

    - سياسة الأمن السيبراني المتعلق بالموارد البشرية : للتأكد من أن مخاطر الأمن السيبراني ومتطلباته المتعلقة بالعاملين (الموظفين والمتعاقدين) في جامعة الملك سعود تعالج بفعالية قبل إنهاء عملهم، وأثنائه وعند انتهائه، وذلك وفقاً للسياسات والإجراءات التنظيمية لجامعة الملك سعود، والمتطلبات التشريعية والتنظيمية ذات العلاقة.

     

    - سياسة التوعية والتدريب بالأمن السيبراني : للتأكد من أن العاملين بجامعة الملك سعود لديهم الوعي الأمني اللازم، وعلى دراية بمسؤولياتهم في مجال الأمن السيبراني، مع التأكد من تزويد العاملين بجامعة الملك سعود بالمهارات والمؤهلات والدورات التدريبية المطلوبة في مجال الأمن السيبراني؛ لحماية الأصول المعلوماتية والتقنية لجامعة الملك سعود والقيام بمسؤولياتهم تجاه الأمن السيبراني.

     

    - سياسة إدارة الأصول : للتأكد من أن جامعة الملك سعود لديها قائمة جرد دقيقة وحديثة للأصول تشمل التفاصيل ذات العلاقة لجميع الأصول المعلوماتية والتقنية المتاحة لجامعة الملك سعود، من أجل دعم العمليات التشغيلية لجامعة الملك سعود ومتطلبات الأمن السيبراني، لتحقيق سرية الأصول المعلوماتية والتقنية وسلامتها لجامعة الملك سعود ودقتها وتوافرها.

     

    - سياسة إدارة هويات الدخول والصلاحيات : لضمان حماية الأمن السيبراني للوصول المنطقي إلى الأصول المعلوماتية والتقنية لجامعة الملك سعود من أجل منع الوصول غير المصرح به، وتقييد الوصول إلى ما هو مطلوب لإنجاز الأعمال المتعلقة لجامعة الملك سعود.

     

    - سياسة حماية الأنظمة وأجهزة معالجة المعلومات : لضمان حماية الأنظمة، وأجهزة معالجة المعلومات؛ بما في ذلك أجهزة المستخدمين، والبنى التحتية لجامعة الملك سعود من المخاطر السيبرانية.

     

    - سياسة حماية البريد الإلكتروني : لضمان حماية البريد الإلكتروني لجامعة الملك سعود من المخاطر السيبرانية.

     

    - سياسة الشبكات : لضمان حماية شبكات جامعة الملك سعود من المخاطر السيبرانية.

     

    -سياسة أمن الخوادم : لضمان حماية خوادم جامعة الملك سعود من المخاطر السيبرانية.

     

    - سياسة إدارة حزم التحديثات والإصلاحات : لضمان ادارة حزم التحديثات والإصلاحات للأنظمة والتطبيقات وقواعد البيانات وأجهزة الشبكة وأجهزة معالجة المعلومات الخاصة بجامعة الملك سعود وتقليل المخاطر السيبرانية وحمايتها من التهديدات الداخلية والخارجية.

     

    - سياسة أمن الأجهزة المحمولة والشخصية : لضمان حماية أجهزة جامعة الملك سعود المحمولة (بما في ذلك أجهزة الحاسب المحمول، والهواتف الذكية، والأجهزة الذكية اللوحية) من المخاطر السيبرانية. ولضمان التعامل بشكل آمن مع المعلومات الحساسة، والمعلومات الخاصة بأعمال جامعة الملك سعود وحمايتها، أثناء النقل والتخزين، وعند استخدام الأجهزة الشخصية للعاملين في جامعة الملك سعود (مبدأ "BYOD").

     

    - سياسة حماية البيانات والمعلومات : لضمان حماية السرية، وسلامة بيانات ومعلومات جامعة الملك سعود ودقتها وتوافرها، وذلك وفقاً للسياسات والإجراءات التنظيمية لجامعة الملك سعود، والمتطلبات التشريعية والتنظيمية ذات العلاقة.

     

    - سياسة التشفير : لضمان الاستخدام السليم والفعال للتشفير ولحماية الأصول المعلوماتية الإلكترونية لجامعة الملك سعود، وذلك وفقاً للسياسات، والإجراءات التنظيمية لجامعة الملك سعود، والمتطلبات التشريعية والتنظيمية ذات العلاقة.

     

    - سياسة أمن قواعد البيانات : لضمان حماية قواعد البيانات لجامعة الملك سعود من المخاطر السيبرانية وحمايتها من التهديدات الداخلية والخارجية.

     

    - سياسة إدارة النسخ الاحتياطية : لضمان حماية بيانات جامعة الملك سعود ومعلوماتها، وكذلك حماية الإعدادات التقنية للأنظمة والتطبيقات الخاصة لجامعة الملك سعود من الأضرار الناجمة عن المخاطر السيبرانية، وذلك وفقاً للسياسات والإجراءات التنظيمية لجامعة الملك سعود، والمتطلبات التشريعية والتنظيمية ذات العلاقة.

     

    - سياسة إدارة الثغرات : لضمان اكتشاف الثغرات التقنية في الوقت المناسب، ومعالجتها بشكل فعال، وذلك لمنع احتمالية استغلال هذه الثغرات من قبل الهجمات السيبرانية وتقليل ذلك، وكذلك تقليل الآثار المترتبة على أعمال جامعة الملك سعود.

     

    - سياسة إدارة سجلات الأحداث ومراقبة الأمن السيبراني : لضمان جمع سجلات أحداث الأمن السيبراني، وتحليلها، ومراقبتها في الوقت المناسب من أجل الاكتشاف الاستباقي للهجمات السيبرانية، وإدارة مخاطرها بفعالية لمنع الآثار السلبية المحتملة على أعمال جامعة الملك سعود أو تقليلها.

     

    - سياسة إدارة حوادث وتهديدات الأمن السيبراني : لضمان اكتشاف حوادث الأمن السيبراني وتحديدها في الوقت المناسب، وإدارتها بشكل فعّال، والتعامل مع تهديدات الأمن السيبراني استباقياً، من أجل منع الآثار السلبية المحتملة أو تقليلها على أعمال جامعة الملك سعود.

     

    - سياسة الأمن المادي : لضمان حماية الأصول المعلوماتية والتقنية لجامعة الملك سعود من الوصول المادي غير المصرح به، والفقدان والسرقة والتخريب.

     

    - سياسة حماية تطبيقات الويب : لضمان حماية تطبيقات الويب الداخلية والخارجية لجامعة الملك سعود من المخاطر السيبرانية.

     

    - جوانب صمود الأمن السيبراني في إدارة استمرارية الأعمال : لضمان توافر متطلبات صمود الأمن السيبراني في إدارة استمرارية أعمال جامعة الملك سعود، ولضمان معالجة الآثار المترتبة على الاضطرابات في الخدمات الإلكترونية الحرجة وتقليلها لجامعة الملك سعود وأنظمة معالجة معلوماتها وأجهزتها جراء الكوارث الناتجة عن المخاطر السيبرانية.

     

    - سياسة الأمن السيبراني المتعلقة بالأطراف الخارجية : لضمان حماية أصول جامعة الملك سعود من مخاطر الأمن السيبراني المتعلقة بالأطراف الخارجية (بما في ذلك خدمات الإسناد لتقنية المعلومات "Outsourcing" والخدمات المدارة "Managed Services") وفقاً للسياسات والإجراءات التنظيمية لـجامعة الملك سعود، والمتطلبات التشريعية والتنظيمية ذات العلاقة.

     

    - سياسة الأمن السيبراني المتعلقة بالحوسبة السحابية والاستضافة : لضمان معالجة المخاطر السيبرانية، وتنفيذ متطلبات الأمن السيبراني للحوسبة السحابية، والاستضافة بشكل ملائم وفعّال، وذلك وفقاً للسياسات والإجراءات التنظيمية لجامعة الملك سعود، والمتطلبات التشريعية والتنظيمية، والأوامر والقرارات ذات العلاقة. وضمان حماية الأصول المعلوماتية والتقنية لجامعة الملك سعود على خدمات الحوسبة السحابية، التي تتم استضافتها أو معالجتها، أو إدارتها بواسطة أطراف خارجية.

     

    - سياسة الاستخدام المقبول للأصول : لضمان استخدام الأصول التقنية بشكل سليم، وتنفيذ متطلبات الأمن السيبراني للأصول بشكل ملائم وفعّال، وذلك وفقاً للسياسات والإجراءات التنظيمية لجامعة الملك سعود.

     

    - سياسة الأمن السيبراني للأنظمة الحساسة : لضمان حماية الأنظمة الحساسة، وتنفيذ متطلبات الأمن السيبراني للأنظمة الحساسة بشكل ملائم وفعّال، وذلك وفقاً للسياسات والإجراءات التنظيمية لجامعة الملك سعود.

     

    - سياسة الأمن السيبراني لحسابات التواصل الاجتماعي : لضمان حماية الأنظمة والأصول لحسابات التواصل الاجتماعي الخاصة بجامعة الملك سعود وتنفيذ متطلبات الأمن السيبراني لحسابات التواصل الاجتماعي  بشكل ملائم وفعّال، وذلك وفقاً للسياسات والإجراءات التنظيمية لجامعة الملك سعود. 

     

    - سياسة الأمن السيبراني للعمل عن بعد : لضمان حماية الأنظمة والأصول الخاصة بجامعة الملك سعود عند العمل عن بعد، وتنفيذ متطلبات الأمن السيبراني للعمل عن بعد بشكل ملائم وفعّال، وذلك وفقاً للسياسات والإجراءات التنظيمية لجامعة الملك سعود.

     

    - سياسة المكتب النظيف : لضمان حماية البيانات والمعلومات الحساسة في بيئة العمل المكتبية من التهديدات السيبرانية والتزام جميع الموظفين للحفاظ على بيئة عمل آمنة ومحمية من الاختراقات والهجمات السيبرانية.

     

    - سياسة الإعدادات والتحصين : لضمان تنفيذ نظام لإدارة التحديثات والتصحيحات الأمنية والتحقق المنتظم من التأمين على الأجهزة والبرامج وتعزيز الأمان الشامل للأنظمة والشبكات والحفاظ على سلامة المعلومات الحساسة وحمايتها من الاختراقات السيبرانية.

     

    - سياسة الحماية من البرمجيات الضارة : لضمان حماية الأنظمة والشبكات السيبرانية من البرمجيات الضارة والتهديدات السيبرانية ذات الصلة و تطبيق التدابير الوقائية والتقنيات الأمنية للتحكم في دخول البرمجيات الضارة والتقليل من تأثيرها.

     

    - سياسة اختبار الاختراق : لضمان تحديد الثغرات الأمنية وتقييم فعالية الإجراءات الأمنية المتبعة، وتوفير فرصة لتحسين الأمان السيبراني بشكل استباقي.

     

    - سياسة أمان وسائط التخزين : لضمان حماية البيانات المخزنة وتقليل المخاطر المتعلقة بفقدان البيانات أو الوصول غير المصرح به إليها.

     

    - سياسة كلمة المرور : لضمان حماية الحسابات والأنظمة من الاختراق والوصول غير المصرح به عن طريق توفير إرشادات محددة للاختيار والإدارة واستخدام كلمات المرور بشكل آمن.

     

    - سياسة الأمن السيبراني للبيانات : لضمان سرية البيانات، وحمايتها من الوصول غير المصرح به، والتلاعب بها، والتلف.

     

    - سياسة دورة حياة تطوير البرمجيات الآمنة : لضمان تطوير وتنفيذ البرمجيات بطرق آمنة من حيث الأمان السيبراني في جميع جوانب عملية تطوير البرمجيات.

     

    - سياسة الإستخدام المقبول الخاص بالطلاب والطالبات : لضمان الاستخدام المقبول لكافة الأجهزة والأنظمة ذات وحمايتها من أي مخاطر وتهديدات سيبرانية.

 

 

2- منهجية الأمن السيبراني :

  • يجب على جامعة الملك سعود إعداد وتوثيق واعتماد إستراتيجية الأمن السيبراني من خلال دعم لجنة استراتيجية الأمن السيبراني، ويجب على جامعة الملك سعود إعداد وتطبيق خارطة طريق لتنفيذ إستراتيجية الأمن السيبراني. على أن تتسق أهداف الاستراتيجية مع القوانين والمتطلبات التنظيمية.

  • يجب على جامعة الملك سعود العمل على تنفيذ خطة عمل لتطبيق إستراتيجية الأمن السيبراني.

  • يجب على إدارة جامعة الملك سعود مراجعة إستراتيجية الأمن السيبراني على فترات زمنية مخطط لها (أو في حالة حدوث تغييرات في المتطلبات التشريعية والتنظيمية ذات العلاقة.

  • يجب تطوير وتنفيذ السياسات والإجراءات الأمنية اللازمة لتلبية أهداف الأمن السيبراني بواسطة إدارة الحوكمة والالتزام واعتمادها بواسطة رئيس اللجنة الاشرافية للأمن السيبراني ونشرها للأطراف ذات الصلة داخل وخارج جامعة الملك سعود لتحقيق أهداف الأمن السيبراني. يجب دعم السياسات والإجراءات من خلال معايير الأمان الفنية.

  • تعتبر سياسات الأمن السيبراني المخصصة مكملة لسياسة الأمن السيبراني وتعتبر كذلك واجبة الالتزام بها.

 

3- الإلتزام بالأمن السيبراني :

  • يجب على إدارة جامعة الملك سعود تحديد الإطار المناسب للأمن السيبراني لتنفيذ والتحكم والحفاظ على الأمن السيبراني وفقًا لمتطلبات الأعمال. ويتعين على الإدارة دعم وتوجيه تنفيذ متطلبات الأمن السيبراني في جامعة الملك سعود.

  • يجب تشكيل اللجنة الاشرافية للأمن السيبراني في جامعة الملك سعود لتوفر هذه اللجنة القيادة والإشراف لتنفيذ سياسات وإجراءات وبرامج ومبادرات الأمن السيبراني بجامعة الملك سعود لضمان حماية أصول تقنية المعلومات والتشغيل الخاصة لجامعة الملك سعود.

  • يجب على الإدارة المعنية بالأمن السيبراني ضمان تطبيق سياسات وإجراءات الأمن السيبراني في جامعة الملك سعود وما تشمله من ضوابط ومتطلبات.

  • يجب أن تكون سياسات وإجراءات الأمن السيبراني مدعومة بمعايير تقنية أمنية (على سيبل المثال: المعايير التقنية الأمنية لجدار الحماية وقواعد  البيانات، وأنظمة التشغيل، إلخ).

  • يجب تعريف وتوثيق واعتماد وتحديث الهيكل التنظيمي الأدوار والمسؤوليات وإطار حوكمة كما يجب تقديم الدعم من صاحب الصلاحية لإنفاذ ذلك.

  • يجب مراجعة أدوار ومسؤوليات الأمن السيبراني في جامعة الملك سعود وتحديثها على فترات زمنية مخطط لها (أو في حالة حدوث تغييرات في المتطلبات التشريعية والتنظيمية ذات العلاقة).

  • يجب على إدارة وموظفي جامعة الملك سعود الالتزام بالسياسات والإجراءات والمعايير والممارسات المتعلقة بالأمن السيبراني.


 

تاريخ آخر تحديث : مايو 21, 2024 2:56م