Sorry, you need to enable JavaScript to visit this website.

سياسة الأمن المادي

 

 المقدمة:

تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم 1-14-2 من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.

 

نطاق العمل وقابلية التطبيق:

تغطي هذه السياسة جميع الأنظمة الحساسة ومكوناتها التقنية، وجميع الخدمات المقدمة خارجياً (عن طريق الإنترنت) ومكوناتها التقنية، ومنها: البنية التحتية، والمواقع الإلكترونية، وتطبيقات الويب، وتطبيقات الهواتف الذكية واللوحية، والبريد الإلكتروني والدخول عن بعد في جامعة الملك سعود، وتنطبق هذه السياسة على جميع العاملين في جامعة الملك سعود سواءً العاملين الذين يعملون بشكل مباشر أو غير مباشر لدى جامعة الملك سعود ، وتنطبق كذلك على جميع موظفي الجهات الخارجية التي تحوز أو تستخدم المعلومات و/أو المرافق التي تمتلكها جامعة الملك سعود كما أن هذه السياسة تنطبق على أنظمة جامعة الملك سعود وكذلك المنصات السحابية.

 

بنود السياسة:

1- المتطلبات العامة :

  • يجب تحديد وتوثيق واعتماد متطلبات الأمن لحماية الأصول المعلوماتية والتقنية لجامعة الملك سعود من الوصول المادي غير المصرح به والفقدان والسرقة والتخريب، والتعامل معها وفقًا للمتطلبات التشريعية والتنظيمية ذات العلاقة.

  • يجب تطبيق متطلبات الأمن السيبراني لحماية الأصول المعلوماتية والتقنية للجهة من الوصول المادي غير المصرح به والفقدان والسرقة والتخريب.

  • يجب أن تغطي متطلبات الأمن السيبراني لحماية الأصول المعلوماتية والتقنية للجهة من الوصول المادي غير المصرح به والفقدان والسرقة والتخريب بحد أدنى ما يلي:

    - الدخول المصرح به للأماكن الحساسة في الجهة, مثل: 

      * مركز بيانات الجامعة.

      * مركز التعافي من الكوارث.

      * أماكن معالجة المعلومات الحساسة

      * مركز المراقبة الأمنية.

      * غرف اتصالات الشبكة.

      * مناطق الإمداد الخاصة بالأجهزة والعتاد التقنية، وغيرها.

     - مراقبة سجلات الدخول والمراقبة (CCTV).

     - حماية معلومات سجلات الدخول والمراقبة.

     - أمن إتلاف وإعادة استخدام الأصول المادية التي تحوي معلومات مصنفة (وتشمل: الوثائق الورقية ووسائط الحفظ والتخزين).

     - يجب تأمين الأجهزة والمعدات داخل مباني الجهة وخارجها.

     - يجب مراجعة متطلبات الأمن السيبراني لحماية الأصول المعلوماتية والتقنية للجهة من الوصول المادي غير المصرح به والفقدان والسرقة والتخريب دوريًا لجامعة 

الملك سعود.

    - يجب أن يتم فصل التصميم المادي لمرافق معالجة المعلومات بجامعة الملك سعود إلى مناطق محيطة. يجب أن يكون لكل منطقة مستوى أعلى من قيود الوصول 

ومتطلبات ترخيص الوصول. قد تشمل المناطق المحيطة، على سبيل المثال لا الحصر، ما يلي:

     *  المنطقة العامة و/أو منطقة الاستقبال (قيود محدودة - المنطقة الخاضعة للمراقبة الشاملة).

     *  منطقة المكاتب (دخول محدود - التسجيل مع الاستقبال مطلوب والمنطقة تحت المراقبة الشاملة).

     *  منطقة وصول آمنة (وصول محدود، دخول مسجل، وصول مصحوب بمرافقة للزوار والمنطقة تحت المراقبة).

     *  منطقة الوصول المقيد - الموظفين المصرح لهم على وجه التحديد فقط (الوصول المقيد للغاية، الوصول المسجل، تصريح محدد مطلوب لوصول الموظف والزائر 

      والمنطقة الخاضعة للمراقبة).

  • يُمنح مقاولين الخدمات المساندة وصولاً مقيدًا إلى المناطق الآمنة أو مرافق معالجة المعلومات الحساسة فقط عند الحاجة؛ ويجب مراقبتهم.

  • يجب أن يكون لدى جميع موظفي جامعة الملك سعود والمقاولين والزوار هوية واضحة مثل شارة الهوية.

  • يجب إنشاء المرافق التي يتم فيها تخزين أو معالجة المعلومات الحساسة أو أنظمة المعلومات الهامة وترتيبها بطريقة توفر الحماية الكافية للمعلومات أو أنظمة المعلومات من التهديدات المادية والبيئية.

  • يجب أن تؤخذ في الاعتبار أن أجهزة إنذار كشف التسلل تغطي الأبواب الخارجية والنوافذ التي يمكن الوصول إليها ونقاط الوصول الأخرى إلى المبنى.

  • يجب تخزين المواد الخطرة أو القابلة للاشتعال بشكل آمن على مسافة آمنة من منطقة آمنة.

  • منع دخول السوائل والمواد الخطرة للأماكن الحساسة.

  • التحكم بدرجة حرارة الأماكن الحساسة للحفاظ على كفاءة أداء الأنظمة.

  • تنفيذ تقييم لمخاطر الأمن المادي من قبل الجهات المسؤولة عن الأمن المادي عبر تحليل البيئة المادية والمناطق المحيطة لرصد التهديدات الأمنية وتهديدات السلامة ومعرفة مواطن الضعف ومعالجتها لحماية الأصول المعلوماتية من التعرض لهذه التهديدات.

  • على الإدارة المعنية تطوير واعتماد لائحة وإجراءات الأمن المادي والسلامة الخاصة بـجامعة الملك سعود أو بأي حدث أو فعالية تشارك في تنظيمها. بحيث تشمل تحديداً دقيقاً للواجبات، والمهام، لتكون بمثابة إطار عام لخدمة السلامة، والوقاية، والإنقاذ، ومكافحة الحريق، والإسعاف، ودليلاً مرشداً في سبيل حماية الأرواح والأصول والمعلومات.

  • تنفيذ المسح الأمني وتفتيش الحضور للاجتماعات المصنّفة، على أن يتم توفير أجهزة الكشف عن المعادن والمواد الخطيرة.

  • تصنيف جميع مرافق الجامعة استناداً على تصنيف المعلومات التي يتم تداولها ومعالجتها فيها.

  • مراجعة وتحديث صلاحيات الوصول المادي للمناطق الحساسة بشكل سنوي.

  • توعية منسوبي جامعة الملك سعود حول أفضل الممارسات المتعلقة بالأمن المادي مثل سياسة المكتب النظيف وضمان التزامهم بها.

  • يجب استخدام مؤشر قياس الأداء (KPI) لضمان التطوير المستمر لمتطلبات الأمن السيبراني المتعلق بالأمن المادي.

 

2- أمن المعدات المكتبية :

  • يجب تأمين المكاتب والأجهزة المكتبية للموظفين وحمايتها ووضع ضوابط التحكم بالوصول.

  • يجب وضع معدات الدعم مثل آلات التصوير والفاكس والطابعات بشكل مناسب داخل المنطقة الآمنة.

  • قبل نقل أي من المعدات المكتبية او الأجهزة الالكترونية يجب طلب تصريح نقل معدات وأجهزة من قبل إدارة تقنية المعلومات وكذلك الإدارة المعنية بالأمن والسلامة.

 

3- تأمين الوصول الآمن إلى المناطق الحساسة:

  • يجب أن يكون لجميع مرافق معالجة المعلومات محيط محدد جيد ويجب وضع ضوابط إضافية لتأمين المعلومات الهامة أو الحساسة.

  • يجب تقييد الوصول إلى المناطق الآمنة للأفراد المصرح لهم فقط وذلك عن طريق تطبيق ضوابط امنية مادية مشددة للتحكم بالوصول اليها.

  • يجب مراعاة استخدام آليات المصادقة (مثل قارئات بطاقات الوصول أو الوصول باستخدام القياسات الحيوية) للدخول إلى المناطق الآمنة.

  • يجب تامين المناطق الامنة عن طريق استخدام أبواب مقاومة للدخول القسري.

  • يجب الا تكون غرف الخوادم وغرف التخزين الاحتياطية وغرف إمداد الطاقة مرئية أو يمكن التعرف عليها من الخارج.

  • يجب ان تكون "المناطق الآمنة" مقفلة عندما تكون شاغرة (غير مستخدمة).

  • يسمح بدخول الزائر إلى "المناطق الآمنة" لأغراض محددة ومصرح لها وبموافقة كلا من مدير الإدارة العامة لتقنية المعلومات وإدارة الامن والسلامة.

  • يجب مرافقة الزوار طوال الوقت أثناء الزيارة إلى "المناطق الآمنة".

  • يجب تسجيل دخول الزائر إلى "المنطقة الآمنة" في سجل الزوار.

 

4- تأمين المباني من الطرف الثالث والزوار :

  • يجب التحكم في الوصول العام ومناطق التسليم والتحميل، وإذا أمكن عزلها عن مرافق معالجة المعلومات.

  • يجب تسجيل تاريخ ووقت دخول والخروج الزوار والأطراف الثالثة والغرض من الزيارة في سجل الزوار المحفوظ في مكتب الاستقبال.

  • يجب تسجيل تاريخ ووقت الدخول والخروج والغرض من دخول الموظفين المصرح لهم (بما في ذلك موظفي الطرف الثالث) خارج ساعات العمل العادية أو ساعات العمل المخصصة في السجل.

  • يجب أن يطلب من جميع الزوار الانتظار في مكتب الاستقبال وسيقوم الموظف الذي تتم زيارته بمرافقة الزائر معه داخل مبنى المكتب.

  • لا يسمح لأي موظف بأخذ أي زائر بالقرب من مكاتب وأجهزة عمل الموظفين. ويجب أن يحصر دخول الزوار إلى غرف المناقشة فقط.

  • سيسمح للزوار والأطراف الثالثة بالدخول إلى مركز البيانات للأغراض المحددة والمصرح بها فقط. يجب ألا يُسمح للزوار بالوصول الغير الخاضع للرقابة إلى مركز البيانات وعليهم اتباع إجراءات الوصول الأمنية للمناطق.

 

5- تأمين وسائط تخزين المعلومات :

  • يجب تأمين جميع وسائط تخزين المعلومات (مثل الأقراص الصلبة والأقراص المرنة والأشرطة الممغنطة والأقراص المدمجة) التي تحتوي على بيانات حساسة أو سرية ماديًا، عندما لا تكون قيد الاستخدام.

  • يجب عدم أخذ وسائط تخزين المعلومات خارج منطقة التشغيل أو منطقة التخزين، ما لم تصرح بذلك الإدارة المعنية والإدارة العامة للأمن السيبراني.

  • يجب أن يقتصر الوصول المادي إلى أماكن حفظ الأشرطة والأقراص وأي وسائط اخرى على الموظفين المصرح لهم بناءً على مسؤوليات الوظيفة.

  • يجب وضع وسائط التخزين الاحتياطية في خزائن آمنة ومقاومة للحريق. يجب الاحتفاظ بنسخة من جميع وسائط النسخ الاحتياطي في مكان خارج الموقع. يجب الحصول على الموافقة المسبقة من الادارة المعنية والإدارة العامة للأمن السيبراني عندما يكون الموقع خارج الموقع المحدد لتخزين وسائط النسخ الاحتياطي.

  • يمنع منعا باتا السماح للزوار والجهات الخارجية بإحضار أجهزة الحاسب المحمول الخاصة بهم أو محركات الأقراص المرنة أو أي أجهزة تخزين خارجية أخرى، ما لم يصرح بذلك مدير الإدارة العامة للأمن السيبراني.

  • يجب تسجيل الوسائط التي تحتوي على معلومات حساسة عن جامعة الملك سعود في سجل التدقيق.

  • يجب على الإدارة العامة لتقنية المعلومات بوضع الإجراءات المناسبة لما يلي:

    - التخلص من المستندات الحساسة والسرية.

    - تدمير أجهزة الحاسب الآلي التي قد تحتوي على معلومات حساسة.

    - تعقيم (أي إعادة استخدام الأشياء) المعدات التي قد يتم بيعها أو نقلها إلى منظمات أخرى.

    - تدمير أنواع مختلفة من وسائل التخزين.

  • يجب تدمير وسائط التخزين التي تحتوي على معلومات حساسة لم تعد هناك حاجة للاحتفاظ بها ماديًا على النحو التالي:

    - يتم مسح الوسائط القابلة لإعادة الكتابة باستخدام إجراء آمن (على سبيل المثال من خلال عمليات الكتابة الفوقية المتعددة).

    - يتم التخلص المستندات الورقية باستخدام آلات تمزيق الورق.

  • يجب أن يحتفظ كل مالك أصل بسجلات التصرف، بما في ذلك طلب التخلص من أصحاب المعلومات وموافقة مدير الإدارة المقابلة.

  • يجب فحص معدات ووسائط التخزين قبل التخلص منها أو إعادة استخدامها للتأكد من إزالة المعلومات الحساسة والبرامج المرخصة أو الكتابة فوقها بشكل آمن.

 

6- تأمين المرافق خارج الموقع :

  • يجب توفير الازدواجية / التكرار الكافي (redundancy) للأجهزة الحالية والأنظمة الفرعية الأخرى بحيث يكون هناك استمرارية للأعمال في حالة وقوع كارثة.

  • يجب تحديد الموردين الموثوق بهم من أجل شراء المعدات الحيوية والمواد المكتبية الأخرى في أي وقت معين في حالة وقوع كارثة.

  • يجب تخزين المعدات الخلفية والوسائط الاحتياطية على مسافة آمنة عن الموقع الرئيسي لتجنب الأضرار الناجمة عن الكوارث في الموقع الرئيسي.

  • يجب أن توفر الضمانات المادية والبيئية المتوفرة خارج الموقع نفس مستوى الأمان في الموقع الرئيسي.

 

7- تأمين الكابلات :

  • يجب تنفيذ ضوابط لحماية الكابلات الصوتية والاتصالات والشبكة والطاقة ضد الأضرار المادية، بعد دراسة المخاطر المحتملة. كما يجب أن تغطي هذه الضوابط بحد أدنى ما يلي:

    - حماية كابلات الاتصالات وشبكات البيانات من زراعة أجهزة تنصت (Wiretapping).

    - عدم تمديد كابلات الاتصالات وشبكة البيانات في مناطق تمكن أطراف خارجية من الوصول إليها.

    - حماية وعزل كابلات الاتصالات وشبكة البيانات بكفاءة من الضرر أو الاعتراض غير المصرح به، وضمان تمديدها عبر مناطق آمنة ومحمية.

    - عزل كابلات الكهرباء والطاقة عن كابلات الاتصالات وشبكة البيانات.

    - استخدام مصادر طاقة متعددة وغير منقطعة لدعم التشغيل المستمر للأنظمة والمرافق الحساسة (مثل مراكز البيانات).

 

8- تأمين المعدات :

  • يجب أن يكون تحديد وضع أي معدات مبني على أهمية المعدات والمعلومات المنقولة فيها ويجب ان تقييد الوصول إليها على الأشخاص المصرح لهم بذلك.

  • يجب حظر الأكل والشرب والتدخين في "المناطق الآمنة" (مركز البيانات، غرفة UPS، إلخ) لتقليل مخاطر التهديدات الجسدية مثل الحريق والدخان والمياه وما إلى ذلك.

  • يمنع تخزين المواد القابلة للاحتراق في مباني المكاتب.

  • يجب صيانة جميع المعدات وفقًا لمواصفات الشركة الصانعة.

  • يجب السماح فقط لموظفي الصيانة المعتمدين بالصيانة أو إجراء الإصلاحات على المعدات، ويجب الاحتفاظ بسجل لجميع الإصلاحات أو أعمال الخدمة.

  • إذا كان لابد من إرسال المعدات إلى خارج الموقع للإصلاح، فيجب ضمان سرية وسلامة أي معلومات. كما يجب نسخ البيانات الكاملة المتوفرة على الجهاز احتياطيًا على جهاز اخر وإزالتها بالكامل من الجهاز.

  • يجب التصريح عن أي معدات تستخدم لمعالجة معلومات المنظومة. تطبق معايير الأمان الموثقة في سياسة الأمان على جميع المعدات والمعلومات بغض النظر عن الموقع.

  • يجب التحكم في أي معدات أو وسائط يتم أخذها خارج مباني المنظومة وتأمينها وحمايتها.

  • يمنع الموظفين أو المقاولين من إزالة الممتلكات التابعة للجامعة الملك سعود خارج مبانيها، دون إذن مسبق. ويجب تسجيل خروج المعدات والمعلومات والبرامج عند إخراجها من الموقع، وتسجيل الدخول مرة أخرى عند إعادتها. يجب أن تصاحب الموافقات الكتابية القابلة للإرجاع / غير القابلة للإرجاع جميع حركة الممتلكات خارج المنظومة.

  • في حالة ترك المعدات دون مراقبة أو عدم استخدامها، يجب إخطار القائمين على هذه المعدات واتباع البروتوكول عن طريق تسجيلها وتخزين المواد بعيدًا حتى يتم تعيين استخدام للمعدات.

 

9- التفتيش الأمني :

  • يجب إجراء عمليات تفتيش أمنية سنوية في المناطق والمواقع.

  • يجب توثيق نتائج جميع عمليات التفتيش والحصول على موافقة إدارية رفيعة المستوى على ذلك.

  • يجب تخطيط الإستراتيجية وتنفيذها لسد أي فجوات محددة.

 

10- الأمن البيئي :

  • يجب مراقبة مستويات التكييف والرطوبة بحيث يكون (نطاق درجة الحرارة من 16 إلى 24 درجة مئوية (61-75 درجة فهرنهايت) ونطاق الرطوبة من 40 إلى 55٪ مع نقطة تكثف قصوى تبلغ 15 درجة مئوية وهي الأمثل لظروف مركز البيانات).

 

11- تأمين المباني من الحرائق :

  • يجب وضع جميع الخوادم وانظمة المعلومات في بيئة مجهزة بنظام متكامل للحماية من الحرائق.

  • يجب وضع طفايات الحريق بطريقة يسهل الوصول إليها في جميع المناطق.

  • يجب أن تكون أجهزة الكشف عن الدخان موجودة داخل غرف الخوادم، والتي يجب أن تعمل تلقائيًا على إنذار الدخان بمجرد اكتشافه.

  • يجب فحص معدات السلامة من الحريق بانتظام وفقًا لتعليمات الجهة المصنعة. يجب الاحتفاظ بسجلات الصيانة مع المعدات.

  • يجب تخزين المواد الخطرة والقابلة للاحتراق على مسافة آمنة من غرف الخوادم ومنطقة التشغيل الأخرى. يجب عدم تخزين مستلزمات الحاسب الآلي مثل القرطاسية في غرف الخوادم.

  • يجب عرض تعليمات الحريق والطوارئ الشاملة في أماكن بارزة.

  • يجب شرح طريقة عمل وتشغيل أجهزة / معدات السلامة من الحرائق التي تم تركيبها بشكل سنوي خلال برامج التدريب التعريفي للموظفين.

  • يجب إجراء تدريبات منتظمة لضمان فعالية التدريب والتعليمات التي يجب اتباعها في حالة نشوب حريق.

 

12 تأمين المباني من مخاطر المياه :

  • يجب ألا تكون غرف الحاسوب والاتصالات موجودة في المناطق المعرضة لتسرب المياه والفيضانات مثل الطابق السفلي.

  • يجب فحص المعدات الكهربائية التالفة بسبب الماء وتجفيفها قبل إعادتها إلى الخدمة.

 

13 تأمين أجهزة المستخدم الغير مراقبة :

  • يجب تمكين كلمة مرور شاشة التوقف على جميع أصول المعلومات (مثل أجهزة الحاسب الآلي المكتبية وأجهزة الحاسب المحمولة والخوادم) لمنع الوصول غير المصرح به.

  • يجب ضبط مؤقت شاشة التوقف على 10 دقائق من عدم النشاط أو أقل.

  • يجب على كل مستخدم إنهاء الجلسات النشطة عند الانتهاء من استخدام جهاز الحاسب الآلي.

  • يجب على كل مستخدم قفل أجهزته قبل مغادرة مكتبه.

 

14 تأمين المكاتب :

  • كحد أدنى، يجب على جميع المستخدمين اتباع الإرشادات التالية وتنفيذها لتعزيز سياسة المكتب النظيف والشاشة الواضحة بجامعة الملك سعود:

    - يجب تخزين الورق ووسائط المعلومات في خزائن مقفلة مناسبة و/أو أشكال أخرى من الأثاث الأمني عند عدم استخدامها، خاصة خارج ساعات العمل العادية.

    - يجب حفظ وثائق الأعمال الحساسة أو الهامة (من الأفضل وضعها في خزانة أو خزانة مقاومة للحريق) عندما لا تكون هناك حاجة إليها، خاصة عندما يكون المكتب خاليًا.

    - لا يجوز ترك أجهزة الحاسوب الشخصية والحاسب الآلي والطابعات مسجلة الدخول بدون مراقبة ويجب حمايتها بشاشات توقف محمية بكلمة مرور.

    - يجب إغلاق آلات التصوير والفاكس (أو حمايتها من الاستخدام غير المصرح به بأي طريقة أخرى) خارج ساعات العمل العادية.

    - يجب مسح المعلومات الحساسة، عند طباعتها، من الطابعات على الفور.

تاريخ آخر تحديث : مايو 19, 2024 3:03م