Sorry, you need to enable JavaScript to visit this website.

سياسة إدارة الأصول

 

المقدمة:

تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم 2-1-1 من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.

 

نطاق العمل وقابلية التطبيق :

تغطي هذه السياسة جميع الأنظمة الحساسة ومكوناتها التقنية، وجميع الخدمات المقدمة خارجياً (عن طريق الإنترنت) ومكوناتها التقنية، ومنها: البنية التحتية، والمواقع الإلكترونية، وتطبيقات الويب، وتطبيقات الهواتف الذكية واللوحية، والبريد الإلكتروني والدخول عن بعد في جامعة الملك سعود، وتنطبق هذه السياسة على جميع العاملين في جامعة الملك سعود سواءً العاملين الذين يعملون بشكل مباشر أو غير مباشر لدى جامعة الملك سعود ، وتنطبق كذلك على جميع موظفي الجهات الخارجية التي تحوز أو تستخدم المعلومات و/أو المرافق التي تمتلكها جامعة الملك سعود كما أن هذه السياسة تنطبق على أنظمة جامعة الملك سعود وكذلك المنصات السحابية.

 

بنود السياسة :

1- المتطلبات العامة :

  • يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لإدارة الأصول المعلوماتية والتقنية لجامعة الملك سعود.

  • يجب تطبيق متطلبات الأمن السيبراني لإدارة الأصول المعلوماتية والتقنية لجامعة الملك سعود.

  • يجب تحديد وتوثيق واعتماد ونشر سياسة الاستخدام المقبول للأصول المعلوماتية والتقنية لجامعة الملك سعود.

  • يجب تطبيق سياسة الاستخدام المقبول للأصول المعلوماتية والتقنية لجامعة الملك سعود.

  • يجب تصنيف الأصول المعلوماتية والتقنية للجهة وترميزها (Labeling) والتعامل معها وفقًا للمتطلبات التشريعية والتنظيمية ذات العلاقة.

  • يجب مراجعة متطلبات الأمن السيبراني لإدارة الأصول المعلوماتية والتقنية لجامعة الملك سعود دوريًا.

 

2- جرد الأصول :

  • يجب أن تضع جامعة الملك سعود عملية وإجراءات من أجل تسجيل الصيانة وتحديث جرد لجميع أصول المعلومات التي تملكها وتديرها الإدارات والشركات التابعة لها. يمكن تصنيف هذا المخزون، على سبيل المثال لا الحصر:

    - أصول المعلومات.

    - أصول الوثائق.

    - أصول الأكواد وقواعد البيانات.

    - أصول البرمجيات.

    - أصول فيزيائية.

    - أصول الخدمات.

    - أصول الأفراد.

  • يجب أن يحتوي جرد الأصول، على سبيل المثال لا الحصر:

    - تحديد الأصل.

    - وصف الأصل.

    - موقع الأصل.

    - تصنيف الأصل.

    - قيمة الأصل.

    - تسمية الأصل.

    - مالك الأصل.

    - ترميز الأصل.

 

3- تصنيف الأصول :

  • يتم تعيين مستوى تصنيف الأصول لجميع الأصول التي يتم صيانتها أو تخزينها أو إنتاجها من قبل جامعة الملك سعود.

  • يجب على جميع مستخدمي أقسام جامعة الملك سعود الامتثال لنظام تصنيف المعلومات المحدد.

  • يجب مراجعة تصنيف كل أصل بناء على حساسيته بشكل سنوي.

  • تحدد جامعة الملك سعود تصنيفات الأصول بناءً على الحساسية والأهمية والسرية ومتطلبات الخصوصية وقيمة الأصل.

  • يتم تصنيف جميع أصول جامعة الملك سعود على أساس مخطط التصنيف التالي:

    - سري للغاية.

    - سري.

    - داخلي (مقيد).

    - عام.

  • عندما يتم الجمع بين معلومات التصنيفات المختلفة، يجب تصنيف المجموعة الناتجة من الأصول أو الأصول الجديدة على المستوى الأكثر تقييدًا بين المصادر.

 

4- ملكية الأصول :

  • تحدد جامعة الملك سعود مالكًا للأصول (من كل قسم) يكون مسؤولاً عن تعيين التصنيفات وحماية أصول المعلومات وإدارتها والتعامل معها بناءً على سياسة إدارة الأصول.

  • يجب تحديد ما يلي لكل أصل معلومات:

    المالكون

    مديرو الوحدات التنظيمية الذين يتحملون المسؤولية الأساسية عن أصول المعلومات المرتبطة بسلطتهم الوظيفية. أصحاب المعلومات مسؤولون عن التالي :

    - تحديد أصول المعلومات.

    - تصنيف أصول المعلومات.

    - ضمان وضع العلامات المناسبة كلما كان ذلك ممكنًا بالنسبة للمعلومات الحساسة.

    - مراجعة تصنيف أصول المعلومات.

    - إبلاغ الضوابط الأمنية ومتطلبات الحماية إلى الأمناء والمستخدمين.

    الأمناء :

    المديرون، والإداريون، ومقدمو الخدمات، وأولئك المعينون من قبل مالك المعلومات لإدارة أصول المعلومات أو معالجتها أو تخزينها. الأمناء مسؤولون عن التالي:

    - حماية معلومات جامعة الملك سعود لضمان سريتها وسلامتها وتوفرها.

    - تطبيق سياسات أمن المعلومات وأفضل الممارسات على المعلومات.

    - تحديد وتوثيق متطلبات الوصول المصرح إلى المعلومات.

    - توفير النسخ الاحتياطي واستعادة المعلومات.

    - الكشف عن الانتهاكات الأمنية والخروقات الأمنية ونقاط الضعف والرد عليها.

    - مراقبة الامتثال لسياسات أمن المعلومات وأفضل الممارسات.

    - الإبلاغ عن أي انتهاكات أمنية مشتبه بها أو فعلية، والاختراقات الأمنية، وحوادث المعلومات المخترقة إلى مالك المعلومات.

    المستخدمون

    الأفراد أو المجموعات أو المنظمات المخولة من قبل المالك للوصول إلى أصول المعلومات. المستخدمون مسؤولون عن التالي: 

    - فهم تصنيفات أصول المعلومات، والالتزام بالضوابط الأمنية التي حددها المالك وتطبيقها من قبل أمناء الحفظ.

    - الحفاظ على تصنيف أصول المعلومات ووضع العلامات التي وضعها الملاك والمحافظة عليها.

    - الاتصال بالمالك عندما تكون المعلومات غير مميزة أو التصنيف غير معروف.

    - استخدام المعلومات فقط لأغراض جامعة الملك سعود المعتمدة.

    - الإبلاغ عن أي انتهاكات أمنية مشتبه بها أو فعلية، والاختراقات الأمنية، وحوادث المعلومات المخترقة إلى الوصي أو المالك.

 

5- الاستخدام المقبول للأصول :

  • تحدد جامعة الملك سعود "سياسة الاستخدام المقبول" التي تتضمن إرشادات لإدارة الأصول. لا تفرض هذه السياسة قيودًا تتعارض مع جامعة الملك سعود، بل ترسي ثقافة الانفتاح والثقة والنزاهة.

  • يجب استخدام جميع أصول جامعة الملك سعود لأغراض تجارية فقط على النحو المحدد في سياسة أمن المعلومات.

  • يجب على جميع مستخدمي نظم المعلومات في جامعة الملك سعود أن يقروا بضرورة حماية معلومات جامعة الملك سعود وأداء أنشطتهم اليومية.

  • لا يجوز لجميع المستخدمين المشاركة في أنشطة غير قانونية مثل الوصول إلى الأصول غير المصرح بها أو القرصنة أو فيروسات الحاسب الآلي أو ارتكاب أفعال قد تعطل استخدام الأصول.

 

6- توسيم ومعالجة الأصول :

  • جميع الأصول التي تحتفظ بمعلومات مصنفة على أنها سرية، تلتزم جامعة الملك سعود بالتالي :

    - تخزينها في أدراج أو خزانات مقفلة.

    - حافظ على قفل أي مكتب يتم فيه تخزين الأصول عندما يكون غير مشغول.

    - عدم ترك مفاتيح خزائن التخزين في المكتب عندما لا يكون الشخص الذي لديه حق الوصول إليها موجودًا.

  • تحدد جامعة الملك سعود وتضع إجراءات للتعامل مع الأصول وتخزينها من أجل حماية هذه المعلومات من الإفشاء غير المصرح به أو سوء الاستخدام.

  • يجب أن تتضمن المستندات وعناصر الأجهزة والعلامات المادية للوسائط القابلة للإزالة تصنيفات أمنية مناسبة.

  • يجب حماية الوسائط التي تحتوي على معلومات مصنفة على أنها سرية من الناحية المنطقية والمادية، من خلال تطبيق جميع الضوابط الأمنية المتاحة والميسورة التكلفة لضمان سرية المعلومات وأنظمة المعلومات.

  • لا يجوز تسليم الوسائط التي تحتوي على معلومات مصنفة على أنها سرية إلى أي كيان خارجي أو طرف ثالث ما لم تصرح به الإدارة مع تبرير عمل مناسب.

  • يجب الحفاظ على أصول المعلومات ومعالجتها وتخزينها ونقلها (أو نقلها) وتدميرها وفقًا لإجراءات إدارة أصول جامعة الملك سعود المرتبطة بعلامة تصنيف أصل المعلومات.

 

7- إعادة الأصول :

  • على إدارة الموارد البشرية بالتعاون مع الإدارات ذات الصلة التأكد من أن جميع مستخدمي المعلومات يعيدون جميع أصول جامعة الملك سعود التي في حوزتهم عند إنهاء عملهم أو عقدهم أو اتفاقهم. قد يشمل هذا، على سبيل المثال لا الحصر:

    - عملية رسمية للإرجاع (مثل قوائم المراجعة مقابل المخزون) لأصول معلومات جامعة الملك سعود.

    - عملية رسمية لإعادة أو إتلاف معلومات جامعة الملك سعود من أي نوع.

    - عندما يتم استخدام الأجهزة الشخصية لغرض الأعمال التي تخص جامعة الملك سعود.

 

8- إدارة التعامل مع المعلومات والوسائط :

  • يجب مراعاة متطلبات الأمن السيبراني في إدارة المعلومات القابلة للنقل ووسائط التكنولوجيا ذات الصلة.

  • يجب تخزين جميع الوسائط في بيئة آمنة ومأمونة ووفقًا لمواصفات الشركة المصنعة وسياسات وإجراءات أمن المعلومات المعمول بها في جامعة الملك سعود.

  • يجب توثيق فترة الاحتفاظ بجميع أصول المعلومات الحساسة والحرجة.

  • يجب التخلص من جميع الوسائط وفقًا لإجراءات إدارة أصول المعلومات أو فترة الاحتفاظ أو نهاية استخدام الوسائط. بمجرد التخلص من الوسائط، يجب توثيقها وإبلاغ مالك أصول المعلومات بها.

  • يجب تسجيل جميع الوسائط التي تم التخلص منها في سجل محدث للتخلص من الوسائط من أجل الحفاظ على مسار التدقيق.

  • يجب التخلص من جميع المعلومات الحساسة سواء كانت نسخ مطبوعة من المستندات أو مخزنة في شكل إلكتروني لم تعد هناك حاجة إليه، بطريقة آمنة، باستخدام المعدات والإجراءات المعتمدة لضمان عدم إمكانية استرداد المعلومات. يجب إجراء التخلص باستخدام إحدى الطرق التالية لجميع تلك الوسائط التي لم تعد مطلوبة، على سبيل المثال لا الحصر:

    - Shredding

    - Pulping/Recycling

    - Incineration

    - Degaussing

  • يجب استخدام تهيئة محرك الأقراص الثابتة وتعبئة مساحات التخزين بقيمة صفرية (Zero-filling hard drive) لجميع تلك الوسائط التي تهدف إلى إعادة استخدامها.

  • يجب الاحتفاظ بسجل للمعلومات الحساسة التي تم التخلص منها لمدة 5 سنوات على الأقل وفقًا للمتطلبات التنظيمية لجامعة الملك سعود. يجب أن يتضمن السجل كحد أدنى:

    - تاريخ التخلص من المعلومات.

    - اسم الشخص الذي يقوم بالتخلص من المعلومات.

    - اسم مالك أصول المعلومات.

    - طريقة التخلص المتبعة.

  • المعلومات وضع وتحديد الإجراءات المناسبة للتعامل مع المعلومات ومعالجتها وتخزينها وإبلاغها بناءً على تصنيفها من أجل حماية هذه المعلومات من الكشف غير المصرح به أو سوء الاستخدام.

  • يجب وضع السياسات والإجراءات والمعايير الرسمية والحفاظ عليها لحماية النقل المادي للوسائط خارج مباني جامعة الملك سعود من الوصول غير المصرح به أو سوء الاستخدام أو الفساد.

  • حيثما أمكن، يجب استخدام تقنيات التشفير لحماية سرية وسلامة ومصداقية المعلومات الحساسة أثناء نقل الوسائط المادية.

تاريخ آخر تحديث : مايو 21, 2024 1:31م