سياسة الأمن السيبراني المتعلق بالموارد البشرية
الأهداف:
الغرض من هذه السياسة هو توفير متطلبات الأمن السيبراني المبنية على أفضل الممارسات والمعايير لضمان التأكد من أن مخاطر ومتطلبات الأمن السيبراني المتعلقة بالعاملين (موظفين ومتعاقدين) في جامعة الملك سعود تعالج بفعالية قبل وأثناء وعند انتهاء/إنهاء عملهم.
كما تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم 1-9-1 من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.
نطاق العمل وقابلية التطبيق :
تنطبق هذه السياسة على كافة موظفي جامعة الملك سعود سواءً العاملين الذين يعملون بشكل مباشر أو غير مباشر لدى جامعة الملك سعود، وتنطبق كذلك على جميع موظفي الجهات الخارجية التي تحوز أو تستخدم المعلومات و/أو المرافق التي تمتلكها جامعة الملك سعود.
تغطي هذه السياسة الضوابط الأمنية في عمليات ما قبل التوظيف وأثناء التوظيف وما بعد التوظيف التي تتبعها مختلف إدارات جامعة الملك سعود وإدارة الموارد البشرية وأصحاب المصلحة. كما أن هذه السياسة تنطبق على أنظمة جامعة الملك سعود وكذلك المنصات السحابية.
بنود السياسة :
1- المتطلبات العامة :
يجب تحديد متطلبات الأمن السيبراني المتعلقة بالعاملين.
يجب أن يشغل الوظائف ذات العلاقة بالأنظمة الحساسة في جامعة الملك سعود مواطنون ذو الكفاءة اللازمة.
يجب تنفيذ ضوابط الأمن السيبراني الخاصة بالموارد البشرية خلال دورة حياة عمل الموظف (Lifecycle) في جامعة الملك سعود والتي تشمل المراحل التالية:
- قبل التوظيف.
- خلال فترة العمل.
- عند انتهاء فترة العمل أو إنهائها.
يجب على العاملين في جامعة الملك سعود فهم أدوارهم الوظيفية، والشروط والمسؤوليات ذات العلاقة بالأمن السيبراني، والموافقة عليها.
يجب تضمين مسؤوليات الامن السيبراني وبنود المحافظة على سرية المعلومات (Non-Disclosure Agreement) في عقود العاملين في جامعة الملك سعود (لتشمل خلال وبعد انتهاء/إنهاء العلاقة الوظيفية مع جامعة الملك سعود).
يجب إدراج المخالفات ذات العلاقة بالأمن السيبراني في لائحة مخالفات الموارد البشرية في جامعة الملك سعود.
يُمنع الاطلاع على المعلومات الخاصة بالموظفين دون تصريح مسبق.
يجب استخدام مؤشر قياس الأداء (KPI) لضمان التطوير المستمر لمتطلبات الأمن السيبراني المتعلق بالموارد البشرية.
2- قبل التوظيف :
يجب على العاملين التعهد بالالتزام بسياسات الأمن السيبراني قبل منحهم صلاحية الوصول إلى أنظمة جامعة الملك سعود.
يجب على جميع موظفي جامعة الملك سعود ومستخدمي معلومات جامعة الملك سعود توقيع اتفاقية سرية مناسبة (مثل دليل أمن الموظفين) أو اتفاقية عدم إفشاء المعلومات وذلك في وقت الانضمام / المشاركة، كجزء من عقدهم. ويجب أن تتطلب هذه الاتفاقية على وجه التحديد من الموظف الامتثال لجميع سياسات وإجراءات ومعايير وإرشادات الأمن السيبراني المعمول بها.
يجب تحديد أدوار الموظفين ومسؤولياتهم مع الأخذ في الحسبان تطبيق مبدأ عدم تعارض المصالح.
يجب تحديد أدوار الموظفين ومسؤولياتهم المتعلقة بالأمن السيبراني في الوصف الوظيفي.
يجب أن تشمل الأدوار والمسؤوليات المتعلقة بالأمن السيبراني الآتي:
- حماية جميع أصول جامعة الملك سعود من الوصول غير المصرح به، أو تخريب تلك الأصول.
- تنفيذ جميع الأنشطة المطلوبة المتعلقة بالأمن السيبراني.
- الالتزام بسياسات الأمن السيبراني ومعاييره الخاصة بـ جامعة الملك سعود.
- الالتزام ببرنامج زيادة مستوى الوعي بالمخاطر السيبرانية.
يجب إجراء مسح أمني للعاملين في وظائف الأمن السيبراني، والوظائف التقنية ذات الصلاحيات الهامة والحساسة، والوظائف ذات العلاقة بالأنظمة الحساسة.
يجب أن يُطلب من موظفي العقود أو الأطراف الخارجية الزائرين للمناطق الحساسة توقيع اتفاقية سرية أو اتفاقية عدم إفشاء كما هو مطلوب.
عندما يتم توفير موظفين من خلال أطراف خارجية، يجب أن يحدد العقد مسؤوليات الطرف الخارجي تجاه عمليات التحقق من خلفية الموظفين ومتطلبات الأمن السيبراني.
3- أثناء العمل :
يجب تقديم برنامج توعوي، يختص بزيادة مستوى الوعي بالأمن السيبراني؛ بما في ذلك سياسات الأمن السيبراني ومعاييره، بشكل دوري.
يجب التأكد من تطبيق متطلبات الأمن السيبراني الخاصة بالموارد البشرية.
يجب على إدارة الموارد البشرية إبلاغ الإدارات ذات العلاقة عن أي تغيير في أدوار العاملين أو مسؤولياتهم بهدف اتخاذ الإجراءات اللازمة المتعلقة بإلغاء صلاحيات الوصول أو تعديلها.
يجب إدراج مدى الالتزام بالأمن السيبراني ضمن جوانب تقييم الموظفين.
يجب التأكد من تطبيق مبدأ الحاجة إلى المعرفة (Need-to-know) في تكليف المهمات.
يتم اتخاذ الإجراءات التأديبية الرسمية المتعلقة بالأمن السيبراني وفقًا لسياسات وإجراءات وإرشادات ومذكرات التعليمات الخاصة بأمن الموارد البشرية.
يجب أن توفر العملية التأديبية استجابة تدريجية مع مراعاة العوامل المؤثرة :طبيعة وشدة الحادثة السيبرانية و تأثيرها على الأعمال وما إذا كانت حادثة متكررة و اذا كان المخالف قد تم تدريبه بشكل صحيح أم لا.
يجب على جميع إدارات جامعة الملك سعود ذات العلاقة اتخاذ الاحتياطات الكافية للفصل بين واجبات الموظفين من أجل تقليل فرص الوصول غير المصرح به أو تعديل أو إساءة استخدام المعلومات.
يجب أن يكون مدراء الإدارات في جامعة الملك سعود على دراية بالظروف الشخصية لموظفيهم؛ ويجب أن يكونوا على اطلاع على أي تغيير سلوكي قد يؤدي إلى خرق أمني أو انتهاك.
يجب على مدراء الإدارات في جامعة الملك سعود بالتعاون مع إدارة الموارد البشرية التأكد من توفر القوى العاملة والمهارات الكافية كبديل احتياطي للأدوار والعمليات الهامة.
يجب على إدارة الموارد البشرية إبلاغ الإدارات ذات العلاقة عن أي تغيير في أدوار العاملين أو مسؤولياتهم بهدف اتخاذ الإجراءات اللازمة المتعلقة بإلغاء صلاحيات الوصول أو تعديلها.
4- انتهاء الخدمة أو إنهاؤها :
يجب تحديد إجراءات انتهاء الخدمة المهنية أو إنهائها بشكل يغطي متطلبات الأمن السيبراني.
يجب على إدارة الموارد البشرية إبلاغ الوحدات ذات العلاقة في حال اقتراب موعد انتهاء العلاقة الوظيفية أو إنهائها لاتخاذ الإجراءات اللازمة.
يجب التأكد من إعادة جميع الأصول الخاصة بـ جامعة الملك سعود وإلغاء صلاحيات الدخول للعاملين في آخر يوم عمل لهم وقبل حصولهم على المخالصات اللازمة.
يجب تحديد المسؤوليات والواجبات التي ستبقى سارية المفعول بعد انتهاء خدمة العاملين في جامعة الملك سعود بما في ذلك اتفاقية المحافظة على سرية المعلومات، على أن يتم إدراج تلك المسؤوليات والواجبات في جميع عقود العاملين.
5- تنفيذ السياسة والالتزام بها:
- يُعد الالتزام بهذه السياسات إلزاميًا، ويجب على مديري إدارات جامعة الملك سعود التأكد من الالتزام المستمر لتلك السياسات داخل إداراتهم. يخضع الالتزام لبيانات هذه السياسات لمراجعة سنوية.
- يُعد انتهاك هذه السياسات بمثابة مخالفة أمنية تعطي جامعة الملك سعود الحق في اتخاذ الاجراءات التأديبية والقانونية اللازمة والتي قد تصل إلى إنهاء الخدمة أو علاقة العمل.
