Sorry, you need to enable JavaScript to visit this website.

سياسة الالتزام بتشريعات وتنظيمات ومعايير الأمن السيبراني

 

المقدمة : 

تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم -7-11 من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.
 

نطاق العمل وقابلية التطبيق :

تغطي هذه السياسة جميع الأنظمة الحساسة ومكوناتها التقنية، وجميع الخدمات المقدمة خارجياً (عن طريق الإنترنت) ومكوناتها التقنية، ومنها: البنية التحتية، والمواقع الإلكترونية، وتطبيقات الويب، وتطبيقات الهواتف الذكية واللوحية، والبريد الإلكتروني والدخول عن بعد في جامعة الملك سعود، وتنطبق هذه السياسة على جميع العاملين في جامعة الملك سعود سواءً العاملين الذين يعملون بشكل مباشر أو غير مباشر لدى جامعة الملك سعود ، وتنطبق كذلك على جميع موظفي الجهات الخارجية التي تحوز أو تستخدم المعلومات و/أو المرافق التي تمتلكها جامعة الملك سعود كما أن هذه السياسة تنطبق على أنظمة جامعة الملك سعود وكذلك المنصات السحابية.

 

بنود السياسة :

1- المتطلبات العامة :

  • يجب تحديد قائمة التشريعات والتنظيمات، المتعلقة بالأمن السيبراني، والمتطلبات ذات الصلة، وتوثيقها وتحديثها دورياً.

  • تلتزم جامعة الملك سعود بجميع الضوابط اللازمة التي وضعتها الهيئة الوطنية للأمن السيبراني (NCA)، بموجب المرسوم الملكي رقم 6801:

    - ضوابط الأمن السيبراني الأساسية (ECC-1:2018).

    - ضوابط الأمن السيبراني لحسابات وسائل التواصل الاجتماعي الخاصة بالمؤسسات (OSMACC - 1: 2021).

    - ضوابط الأمن السيبراني السحابي (CCC – 1: 2020).

    - ضوابط الأمن السيبراني للعمل عن بعد (TCC-1: 2021).

    - ضوابط الأمن السيبراني للبيانات (DCC-1:2022).

  • يجب التأكد من الالتزام بالمتطلبات التشريعية والتنظيمية والوطنية المتعلقة بالأمن السيبراني بشكل سنوي، عن طريق استخدام الأدوات المناسبة على سبيل المثال لا الحصر:

    - أنشطة تقييم مخاطر الأمن السيبراني (Cybersecurity Risk Assessment).

    - أنشطة إدارة الثغرات (Vulnerabilities Management).

    - أنشطة اختبار الاختراقات (Penetration Test).

    - مراجعة معايير الأمن السيبراني.

    - المراجعة الأمنية للشفرة المصدرية (Security Source Code Review).

    - استبيانات المستخدمين.

    - المقابلات مع أصحاب المصلحة.

    - مراجعة الصلاحيات على النظام والشبكة.

    - مراجعة سجلات الأمن السيبراني وحوادثه.

  • يجب على الجامعة تحديد وتحليل كافة المتطلبات النظامية والتنظيمية والقانونية والتعاقدية المعمول بها، واتخاذ التدابير المناسبة للامتثال لها. يجب تغطية المناطق التالية:

    - المعايير والمبادئ التوجيهية ذات الصلة المتعلقة بتكنولوجيا وأمن المعلومات.

    - المتطلبات الحكومية و / أو الخارجية ذات الصلة (أي القوانين والتشريعات والمبادئ التوجيهية واللوائح والمعايير) المتعلقة بالعلاقات الخارجية ومراجعات المتطلبات الخارجية.

    - قوانين العمل، وخاصة معالجة متطلبات السلامة والصحة المتعلقة بتكنولوجيا المعلومات.

    - حقوق الملكية الفكرية وقوانين حقوق الطبع والنشر للبرمجيات.

    - متطلبات أمن نظم المعلومات، وخاصة فيما يتعلق باستخدام البيانات المشفرة، ونقل البيانات.

    - تقارير التدقيق من المدققين الخارجيين ومقدمي الخدمات الخارجيين والجهات الحكومية.

  • يجب التأكد في حال وجود اتفاقيات أو التزامات دولية معتمدة محلياً تتضمن متطلبات خاصة بالأمن السيبراني، فيجب على جامعة الملك سعود الالتزام بتلك المتطلبات.

  • يجب مراجعة سياسات الأمن السيبراني وإجراءاته دورياً؛ لضمان التزامها بالمتطلبات التشريعية والتنظيمية، ذات العلاقة.

  • يجب مراجعة سياسات الأمن السيبراني وإجراءاته سنويًا لضمان التزامها بالمتطلبات التشريعية والتنظيمية، ذات العلاقة.

  • يجب التأكد من تطبيق سياسات الأمن السيبراني وإجراءاته دورياً.

  • يجب تحديد الإجراءات التصحيحية اللازمة والعمل على تطبيقها؛ لتصحيح الثغرات لجميع متطلبات الالتزام من قبل أصحاب العلاقة.

  • يجب على الإدارة المعنية بالأمن السيبراني مراجعة تطبيق ضوابط الأمن السيبراني سنوياً.

  • يجب على الإدارة المعنية بالأمن السيبراني مراجعة تطبيق ضوابط الأمن السيبراني للأنظمة الحساسة، مرة واحدة سنويًا على الأقل.

  • يطبق قانون مكافحة الجرائم الإلكترونية، المرسوم الملكي رقم م/17، وتلتزم جامعة الملك سعود بالقانون المذكور.

  • يجب على الجميع بما فيهم المتعاقدين والاستشاريين وموظفي الجهات الخارجية فهم والاعتراف بالمسؤولية تجاه الامتثال لسياسات وإجراءات أمن المعلومات بجامعة الملك سعود.

  • تخضع جميع المناطق وأصول المعلومات داخل جامعة الملك سعود لعمليات تدقيق منتظمة لضمان الامتثال للسياسات والمعايير الأمنية.

  • يجب أن يتم إجراء مراجعة للامتثال الفني فقط من قبل أشخاص مختصين ومرخصين، أو تحت إشراف هؤلاء الأشخاص.

  • يجب تفعيل الاستخدام الصحيح والفعال لمؤشر قياس الأداء (KPI) لضمان التطوير المستمر لمتطلبات برنامج الالتزام المتعلق بالأمن السيبراني.

 

2- حقوق الملكية الفكرية :

  • يجب على جامعة الملك سعود تطبيق حقوق الملكية الفكرية (التي تشمل حقوق الطبع والنشر للبرامج أو المستندات، وحقوق التصميم، والعلامات التجارية، وبراءات الاختراع، وتراخيص كود المصدر) المرتبطة بأنظمة المعلومات الخاصة بها.

  • يجب على جميع الإدارات وضع الإجراءات المناسبة لضمان الامتثال للقيود القانونية على استخدام المواد التي قد تكون لها حقوق ملكية فكرية، مثل حقوق النشر وحقوق التصميم والعلامات التجارية.

  • يجب تنفيذ الإجراءات المناسبة لضمان الامتثال للمتطلبات التشريعية والتنظيمية والتعاقدية بشأن استخدام المواد التي قد تكون لها حقوق ملكية فكرية واستخدام منتجات البرمجيات الاحتكارية.

  • يجب شراء جميع البرامج المستخدمة داخل جامعة الملك سعود وإصدارها وفقًا لاتفاقيات الترخيص.

  • لا يجوز لأي شخص أو جهة في جامعة الملك سعود المشاركة في النسخ غير المصرح به للبرامج.

  • يجب الاحتفاظ بدليل الملكية (التراخيص أو الأدلة) من قبل جامعة الملك سعود.

  • يجب على الجامعة الالتزام بمتطلبات الترخيص التي تحد من استخدام المنتجات والبرمجيات والتصميمات والمواد الأخرى التي تحصل عليها الجامعة.

  • يجب على جميع الموظفين الذين يستخدمون أصول المعلومات بجامعة الملك سعود الالتزام الصارم بقوانين وقيود حقوق الطبع والنشر المفصلة من قبل بائع البرنامج.

  • لا يجوز لجامعة الملك سعود تكرار مواد الطرف الثالث، أو تحويلها إلى تنسيق آخر، أو استخراجها من التسجيلات التجارية (فيلم، صوت) بخلاف ما تسمح به سياسة حقوق الطبع والنشر.

  • يجب وضع علامة على المستندات المتعلقة بالملكية الفكرية لجامعة الملك سعود على أنها "سرية".

 

3- حماية السجلات التنظيمية :

  • يجب وضع مجموعة من الإجراءات الموثقة لتحديد طرق تصنيف سجلات المعلومات، بالإضافة إلى ضوابط الحماية المناسبة لهذه السجلات من الضياع والتدمير والتزييف.

  • يجب تصنيف السجلات إلى أنواع سجلات (مثل السجلات المحاسبية، وسجلات قاعدة البيانات، وسجلات التدقيق، والإجراءات التشغيلية)، مع تفاصيل فترات الاحتفاظ ونوع وسائط التخزين (مثل الورق والمغناطيسي والبصري).

  • يجب حماية السجلات من الضياع والتدمير والتزوير؛ بناءً على أهمية السجلات وأهميتها، ويجب تخزينها بطريقة مناسبة للوسائط التي تم تسجيلها عليها.

  • سيضمن نظام تخزين السجلات والتعامل معها تحديدًا واضحًا للسجلات وفترة الاحتفاظ بها. وسيسمح أيضًا بتدمير السجلات بشكل مناسب بعد تلك الفترة إذا لم تكن المنظمة بحاجة إليها.

 

4- حماية البيانات وخصوصية المعلومات الشخصية :

  • يجب تطوير وتنفيذ سياسة حماية البيانات والخصوصية التي تحدد المتطلبات في القوانين واللوائح والمتطلبات التعاقدية ذات الصلة بجامعة الملك سعود.

  • يجب تحديد الهيكل الإداري والرقابة لضمان الالتزام بهذه السياسة وجميع قوانين ولوائح حماية البيانات ذات الصلة المطلوبة وفقًا لمتطلبات جامعة الملك سعود.

  • لا يجوز لأي موظف في جامعة الملك سعود مشاركة بيانات سرية أو مملوكة لجامعة الملك سعود أو بيانات المواطنين مع جهات، أو شركات، أو وحدات أعمال، أو منظمة حكومية تابعة ما لم يمنحوا الإذن بمشاركة هذه المعلومات.

  • لا يجوز نقل المعلومات الشخصية أو مشاركتها عندما يكون من الممكن استخدام المعلومات الإحصائية كبديل.

 

5- حماية البيانات وخصوصية المعلومات الشخصية :

  • يجب تطوير وتنفيذ سياسة حماية البيانات والخصوصية التي تحدد المتطلبات في القوانين واللوائح والمتطلبات التعاقدية ذات الصلة بجامعة الملك سعود.

تاريخ آخر تحديث : مايو 21, 2024 2:05م