Sorry, you need to enable JavaScript to visit this website.

سياسة الأمن السيبراني لحسابات التواصل الاجتماعي

 

المقدمة:

تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي لإطار ضوابط الأمن السيبراني لحسابات التواصل الاجتماعي (OSMAC-1:2021) الصادرة من الهيئة الوطنية للأمن السيبراني.

 

نطاق العمل وقابلية التطبيق :

تغطي هذه السياسة جميع الأصول المعلوماتية والتقنية والأنظمة الحساسة ومكوناتها التقنية، وجميع الخدمات المقدمة خارجياً (عن طريق الإنترنت) ومكوناتها التقنية، ومنها: البنية التحتية، والمواقع الإلكترونية، وتطبيقات الويب، وتطبيقات الهواتف الذكية واللوحية، والبريد الإلكتروني والدخول عن بعد في جامعة الملك سعود، وتنطبق هذه السياسة على جميع العاملين في جامعة الملك سعود سواءً العاملين الذين يعملون بشكل مباشر أو غير مباشر لدى جامعة الملك سعود ، وتنطبق كذلك على جميع موظفي الجهات الخارجية التي تحوز أو تستخدم المعلومات و/أو المرافق التي تمتلكها جامعة الملك سعود كما أن هذه السياسة تنطبق على أنظمة جامعة الملك سعود وكذلك المنصات السحابية.

 

بنود السياسة :

البنود العامة

1-إدارة مخاطر الأمن السيبراني (Cybersecurity Risk Management)

يجب أن تشمل منهجية إدارة مخاطر الأمن السيبراني بحد أدنى ما يأتي: 

•        تقييـم مخاطـر الأمـن السـيبراني عنـد التخطيـط وقبـل السـماح باسـتخدام شـبكات التواصــل الاجتماعي.

•        تقييــم مخاطــر الأمــن الســيبراني لحســابات التواصــل الاجتماعــي، مــرة واحــدة ســنوياً، عــلى الأقــل.

•       تضميــن مخاطــر الأمــن الســيبراني الخاصــة بحســابات التواصــل الاجتماعــي والخدمــات والأنظمــة المســتخدمة في ذلــك في ســجل مخاطــر الأمــن الســيبراني الخــاص بالجهــة، ومتابعتــه مــرة واحــدة ســنوياً، علــى الأقــل.

 

2- الأمن السيبراني المتعلق بالموارد البشرية (Cybersecurity in Human Resources)

يجب أن تغطي متطلبات الأمن السيبراني، قبل بدء علاقة العاملين المهنية بالجهة، بحد أدنى ما يلي :

•      التوعية بالأمن السيبراني لحسابات التواصل الاجتماعي.

•      تطبيـق متطلبـات الأمــن السـيبراني والالـتــزام بهـا وفقـاً لسياسـات وإجــــراءات وعمليــات الأمــن الســيبراني لحســابات التواصــل الاجتماعــي.

 

3- استخدام وسائل التواصل الاجتماعي :

  • يجب على جميع منسوبي الجامعة, أعضاء هيئة التدريس والموظفين والطلاب والمتعاقدين, الإلتزام بسياسة الاستخدام المقبول للجامعة عند استخدام وسائل التواصل الإجتماعي فيما يتعلق بجامعة الملك سعود.

  • يجب على جميع المنسوبين أن يدركوا ان نشر أي معلومات غير ذات صلة باستخدام حساباتهم على وسائل التواصل الاجتماعي التي تشير إلى جامعة الملك سعود, قد يسبب الضرر لهم وكذذلك لجامعة الملك سعود.

  • لا يجوز للمنسوبين كتابة أو نشر أي معلومات تعتبر سرية, ويجب نشر المعلومات العامة فقط بعد الحصول على الموافقة من الإدارة المعنية.

  • لا يمكن نشر المعلومات المتعلقة بالأعمال (أي العامة فقط) على وسائل التواصل الإجتماعي إلا من خلال حسابات التواصل الإجتماعي الرسمية لجامعة الملك سعودوبعد الحصول على الموافقة من الإدارة المعنية.

  • يجب مراجعة المحتوى العام بما يتم نشره على وسائل التواصل الإجتماعي والموافقة عليه من الإدارة المعنية.

  • لا يسمح لأعضاء هيئة التدريس والموظفين وغيرهم من الموظفين بنشر المعلومات المتعلقة بأعمال جامعة الملك سعود باستخدام حساباتهم الشخصية على وسائل التواصل الإجتماعي.

  • يجب استخدام التسمية المذكورة لحسابات التواصل الاجتماعي بجامعة الملك سعود مثل ( _KSU ) ( على سبيل المثال: KSU_etc ).

  • يجب على أعضاء هيئة التدريس والمنسوبين وغيرهم إخفاء مناصبهم الوظيفية الحالية في ملفهم الشخصي على LinkedIn باعتبارها "سرية".

     

4- برنامج التوعية والتدريب بالأمن السيبراني  (Cybersecurity Awareness and Training Program )

يجـب أن يغطـي برنامـج التوعيـة بالأمـن السـيبراني المخاطـر والتهديـدات السـيبرانية لحسـابات التواصـل الاجتماعـي والاسـتخدام الآمـن للحـد مـن هـذه المخاطـر والتهديـدات، بمـا في ذلـك:

•       الاسـتخدام الآمـن للأجهـزة المخصصـة لحسـابات التواصـل الاجتماعـي والمحافظـة عليهـا وحمايتهـا. وعـدم احتوائهـا عـلى بيانـات مصنفـة أو اسـتخدامها لأغـراض شـخصية.

•       التعامل الآمن مع هويات الدخول وكلمات المرور والأسئلة الأمنية.

•       خطة استعادة حسابات التواصل الاجتماعي والتعامل مع الحوادث السيبرانية.

•       التعامــل الآمــن مــع التطبيقــات والحلــول المســتخدمة لحســابات التواصــل الاجتماعــي.

•       عـدم اسـتخدام حسـابات التواصـل الاجتماعـي الرسـمية لأغـراض شـخصية مثـل التصفـح.

•       تجنــب الدخــول لحســابات التواصــل الاجتماعــي باســتخدام أجهــزة أو شــبكات عامـة غيـر موثوقـة.

•       التواصــل مبــاشرة مــع الإدارة المعنيــة بالأمــن الســيبراني في الجهــة حــال الاشــتباه بتهديـد أمـن سـيبراني.

  •    يجـب تدريـب العاملـين المسـؤولين عـن إدارة حسـابات التواصـل الاجتماعـي للجهـة عـلى المهــارات التقنيــة والخطــط والإجــراءات اللازمــة لضــمان تطبيــق متطلبــات وممارســات الأمــن الســيبراني عنــد اســتخدام حســابات التواصــل الاجتماعــي.

 

5- إدارة الأصول (Asset Management)

يجب أن تشمل متطلبات الأمن السيبراني لإدارة الأصول المعلوماتية والتقنية، بحد أدنى؛ ما يلي:

•       يجــب تحديــد وحصــر حســابات التواصــل الاجتماعــي والأصــول المعلوماتيــة والتقنيــة المتعلقــة بهــا، وتحديثهــا مــرة واحــدة كل ســنة عــلى الأقــل.

 

6- إدارة هويات الدخول والصلاحيات (Identity and Access Management)

يجب أن تغطي متطلبات الأمن السيبراني المتعلقة بإدارة هويات الدخول، والصلاحيات لحسابات التواصل الاجتماعي في جامعة الملك سعود بحد أدنى؛ ما يلي:

•       استخدام حسابات التواصل الاجتماعي المخصصة للجهات، وليس الأفراد.

•       التسـجيل باسـتخدام معلومـات رسـمية (بريـد إلكتـروني رسـمي خـاص لوسـائل التواصـل الاجتماعـي ورقـم جـوال رسـمي)، وعـدم اسـتخدام معلومات شـخصية.

•       توثيــق حســابات التواصــل الاجتماعــي والمحافظــة عــلى هويــة متســقة في جميـع حسـابات التواصـل الاجتماعـي المسـتخدمة؛ لتسـهيل معرفـة الحسـابات الرســمية، واكتشــاف حســابات الاحتيــال.

•       اســتخدام كلمــة مــرور آمنــة وخاصــة لــكل حســابات التواصــل الاجتماعــي. وتغييــر كلمــة المــرور بشــكل دوري، وعــدم إعــادة اســتخدام كلمــة مــرور تــم اســتخدامها مــن قبــل.

•       اســتخدام التحقــق مــن الهويــة متعــدد العنــاصر (Multi-Factor Authentication) لعمليــات الدخــول لحســابات التواصــل الاجتماعــي.

•       تفعيل وتحديث الأسئلة الأمنية وتوثيقها في مكان آمن.

•       إدارة صلاحيــات المســتخدمين لحســابات التواصــل الاجتماعــي بنــاءً علــى احتياجــات العمــل، مــع مراعــاة حساســية الحســابات ومســتوى الصلاحيــات، ونوعيــة الأجهــزة والأنظمــة المســتخدمة.

•       حـصر صلاحيـات مقدمـي خدمـة إدارة حسـابات التواصـل الاجتماعـي أو المراقبة الآليـة لحسـابات التواصـل الاجتماعـي أو حمايـة هويـة الجهـة مـن الانتحال.

•       حــصر إمكانيــة الدخــول لحســابات التواصــل الاجتماعــي للجهــة مــن أجهــزة محــددة.

  •    يجـب مراجعـة هويات الدخـول والصلاحيـات المسـتخدمة لحسـابات التواصـل الاجتماعـي للجهـة، بحـد أدنى مـرة واحـدة كل سـنة.

 

7- حماية الأنظمة وأجهزة معالجة المعلومات (Information System and Processing Facilities Protection) 

يجب أن تغطي متطلبات الأمن السيبراني لحماية حسابات التواصل الاجتماعي، وأجهزة معالجة المعلومات الخاصة بها، بحد أدنى؛ ما يلي:

•       تطبيـق حـزم التحديثـات، والإصلاحـات الأمنيـة لتطبيقـات التواصـل الاجتماعـي، مـرة واحـدة شـهرياً عــلى الأقـل.

•       مراجعـة إعـدادات الحمايـة والتحصـين لحسـابات التواصـل الاجتماعـي للجهـة والأصــول التقنيــة الخاصــة بهــا (Secure Configuration and Hardening)، مـرة واحـدة كل سـنة علـى الأقـل.

•       مراجعـة وتحصيـن الإعـدادات المصنعيـة (Default Configuration) لحسـابات التواصــل الاجتماعــي والأصــول التقنيــة، ومنهــا وجــود كلــمات مــرور ثابتــة أو تسـجيل الدخـول المسـبق، وإقفـال الأجهـزة  (Lockout).

•       تقييـد تفعيـل الخصائـص والخدمـات في حسـابات التواصـل الاجتماعـي حسـب الحاجــة، عـلـى أن يتــم تحليــل المخاطــر الســيبرانية المحتملــة في حــال الحاجــة لتفعيلهـا.

 

8- أمن الأجهزة المحمولة (Mobile Devices Security) 

يجب أن تغطي متطلبات الأمن السيبراني، الخاصة بأمن الأجهزة المحمولة، وأجهزة (BYOD) الاجتماعــي لجامعة الملك سعود، بحد أدنى؛ ما يلي:

•       إدارة الأجهــزة المحمولــة مركزيــاً باســتخدام نظــام إدارة الأجهــزة المحمولــة (Mobile Device Management - MDM).

•       تطبيـق حـزم التحديثـات، والإصلاحـات الأمنيـة للأجهـزة المحمولـة، مـرة واحـدة شـهرياً، علـى الأقـل.

 

9- حماية البيانات والمعلومات (Data and Information Protection) 

يجب أن تغطي متطلبات الأمن السيبراني لحماية البيانات والمعلومات؛ بحد أدنى، ما يلي:

•       يجــب أن لا تحتــوي الأصــول التقنيــة الخاصــة بحســابات التواصــل الاجتماعــي للجهــة عــلى بيانــات مصنفــة، حســب التشريعــات ذات العلاقــة.

 

10- إدارة سجلات الأحداث ومراقبة الأمن السيبراني (Cybersecurity Event Logs and Monitoring Management)

يجب أن تغطي متطلبات إدارة سجلات الأحداث، ومراقبة الأمن السيبراني لحسابات التواصل الاجتماعي، بحد أدنى؛ ما يلي:

•       متابعــة حســابات التواصــل الاجتماعــي ومراقبتهــا للتأكــد مــن عــدم نــشر أي محتــوى غيــر مــصرح، أو تســجيل أي دخــول غــر مصــرح.

•       المراقبــة الآليــة لأي تغيــر في نمــط الحســابات أو مــؤشرات اخـتـراق أو نــشر أي محتـوى غـير مصـرح أو انتحـال هويـة جامعة الملك سعود.

  •    يجب أن تغطـي متطلبـات إدارة حـوادث وتهديـدات الأمـن السـيبراني في الجهـة، بحـد أدنى وضــع خطــة اســتعادة حســابات التواصــل الاجتماعــي والتعامــل مــع الحــوادث الســيبرانية.

 

11- الأمن السيبراني المتعلقة بالأطراف الخارجية (Third-Party and Cloud Computing Cybersecurity) 

•       يجــب تقييــم مــدى الحاجــة لاســتخدام خدمــات إدارة حســابات التواصــل الاجتماعــي (social media management) والمراقبـة الآليـة لحسـابات التواصـل الاجتماعـي أو لحمايـة هويـة الجهـة مـن الانتحـال (brand protection) ومخاطـر الأمـن السـيبراني المتعلقـة بهـا.

•       يجـب أن تغطـي متطلبـات الأمـن السـيبراني الخاصـة باسـتخدام خدمـات إدارة حسـابات التواصـل الاجتماعـي (social media management) والمراقبــة الآليـة لحسـابات التواصـل الاجتماعـي أو لحمايـة هويـة جامعة الملك سعود مـن الانتحـال (brand protection)، بحـد أدنى، مـا يـلي:

        •       بنــود المحافظــة عــلى سريــة المعلومــات (Non-Disclosure Clauses) والحــذف الآمـن مـن قبـل الطـرف الخارجـي لبيانـات الجهـة عنـد انتهـاء الخدمـة.

        •       إجراءات التواصل للإبلاغ عن الثغرات وفي حال اكتشاف حادثة أمن سيبراني.

        •       إلزام الطــرف الخارجــي بتطبيــق متطلبــات وسياســات الأمــن الســيبراني لحمايــة حســابات التواصــل الاجتماعــي لجامعة الملك سعود والمتطلبــات التشريعيــة والتنظيميــة ذات العلاقــة.

تاريخ آخر تحديث : مايو 19, 2024 10:39ص