Sorry, you need to enable JavaScript to visit this website.

سياسة الأمن السيبراني للعمل عن بعد

 

المقدمة:

تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي لإطار ضوابط الأمن السيبراني للعمل عن بعد (TCC-1:2021) الصادرة من الهيئة الوطنية للأمن السيبراني.

 

نطاق العمل وقابلية التطبيق

تغطي هذه السياسة جميع الأنظمة الحساسة ومكوناتها التقنية، وجميع الخدمات المقدمة خارجياً (عن طريق الإنترنت) ومكوناتها التقنية، ومنها: البنية التحتية، والمواقع الإلكترونية، وتطبيقات الويب، وتطبيقات الهواتف الذكية واللوحية، والبريد الإلكتروني والدخول عن بعد في جامعة الملك سعود، وتنطبق هذه السياسة على جميع العاملين في جامعة الملك سعود سواءً العاملين الذين يعملون بشكل مباشر أو غير مباشر لدى جامعة الملك سعود ، وتنطبق كذلك على جميع موظفي الجهات الخارجية التي تحوز أو تستخدم المعلومات و/أو المرافق التي تمتلكها جامعة الملك سعود كما أن هذه السياسة تنطبق على أنظمة جامعة الملك سعود وكذلك المنصات السحابية

 

بنود السياسة:

 1- إدارة مخاطر الأمن السيبراني (Cybersecurity Risk Management) :

يجب أن تشمل منهجية إدارة مخاطر الأمن السيبراني بحد أدنى ما يأتي:

  • تقييم مخاطر الأمن السيبراني عند التخطيط وقبل السماح بالعمل عن بعد لأي خدمة أو نظام.

  • تقييم مخاطر الأمن السيبراني لأنظمة العمل عن بعد، مرة واحدة سنوياً على الأقل.

  • تضمين مخاطر الأمن السيبراني الخاصة بأنظمة العمل عن بعد والخدمات والأنظمة المسموح لها بالعمل عن بعد في سجل مخاطر الأمن السيبراني الخاص بجامعة الملك سعود، ومتابعته مرة واحدة سنوياً على الأقل.

 

2- ضوابط العمل عن بعد :

  • يجب على جميع موظفي الجامعة والمقاولين الالتزام بسياسة الاستخدام المقبول للأصول وسياسة حماية البيانات والمعلومات عند استخدام الأنظمة والخدمات الخاصة بجامعة الملك سعود والوصول إليها من خلال العمل عن بعد.

  • يجب الحصول على موافقة الإدارة الرسمية , ويجب وضع جميع الترتيبات والضوابط الأمنية المناسبة قبل السماح بأنشطة العمل عن بعد.

  • يجب توفير حقوق الوصول إلى انشطة العمل عن بعد على أساس مبدأ الحاجة إلى المعرفة , مع الاخذ في الاعتبار حساسية الأنظمة ومستوى حقوق الوصول ونوع الأجهزة التي ستخدمها المستخدمون.

  • يجب تطبيق المصادقة متعددة العوامل ( MFA ) على مستخدمي الوصول عن بعد.

  • يجب أن يقتصر الوصول عن بعد على جلسة واحدة لنفس المستخدم من أجهزة الحاسب الآلي متعددة في نفس الوقت ( تسجيلات الدخول المتزامنة).

  • يجب أن يكون النظام المستخدم في أنشطة العمل عن بعد قادراً على التحقق من تطبيق مكافحة البرامج الضارة على أجهزة المستخدمين النهائيين, قبل الاتصال بشبكة الجامعة.

  • عند الانتهاء من أنشطة العمل عن بعد سيتم إلغاء السلطة وحقوق الوصول وإعادة الأجهزة ( إذا كانت مقدمة من جامعة الملك سعود ) على الفور.

  • يجب الاحتفاظ بسجل دقيق ومحدث لجميع أنشطة العمل عن بعد.

  • تسمح جامعة الملك سعود فقط السماح باستخدام الاجهزة الشخصية للموظفين أو التي توفرها الجامعة للعمل عن بعد والاتصال بالشبكة عن بعد , يجب أن يأخذ مالك الأصل في الاعتبار الترتيبات الأمنية التالية:

    1- ضمان الأمن المادي للأجهزة والحماية من السرقة والضياع.

    2- التأكد من تشفير الأجهزة (إذا كانت تحتوي على معلومات سرية).

    3- استخدام أدوات التحكم المناسبة في مكافحة البرامج الضارة وأمان الأجهزة ( مثل برامج مكافحة الفيروسات وجدران الحماية الشخصية).

    4- الاتصال بشبكة قسم شبكة الجامعة باستخدام طريقة الاتصال النفقي الآمنة ( مثل SSL , VPN ).

    5- يتم تنفيذ آليات المصادقة / الترخيص المناسبة.

    6- التعامل بشكل آمن مع الهويات وكلمات المرور.

    7- النسخ الاحتياطي لكافة المعلومات الحساسة.

    8- التواصل مباشرة مع الإدارة العامة للأمن السيبراني في حالة وجود أي تهديد أو حادث مشتبه به.

  • يجب تطبيق التصحيحيات الأمنية والتحديثات المطلوبة مره واحدة على الأقل كل ثلاثة أشهر.

  • يجب مراجعة أنظمة العمل عن بعد مره واحده سنوياً.

  • يجب أن تكون إدارة الجلسة مؤمنة بشكل كافبما في ذلك صحة الجلسة وتأمينها ومهلة عملها.

  • يجب أن يغطي نطاق اختبارات الإختراق بجامعة الملك سعود أيضاً أنظمة العمل عن بعد.

  • يجب مراقبة أنظمة العمل عن بعد بجامعة الملك سعود لأحداث الأمن السيبراني.

  • منع الوصول عن بعد من خارج المملكة العربية السعودية.

  • يجب أن يكون موقع أنظمة العمل عن بعد المستضافة داخل المملكة العربية السعودية.

  • يحظر استخدام جميع أنظمة العمل عن بعد التابعة لجهات خارجية غير المعتمدة من قبل جامعة الملك سعود في أنشطة العمل عن بعد مثل : TeamViewer و Any Desk وما إلى ذلك.

     

3- برنامج التوعية والتدريب بالأمن السيبراني  (Cybersecurity Awareness and Training Program ) :

  • يجب أن يغطي برنامج التوعية بالأمن السيبراني المخاطر والتهديدات السيبرانية للعمل عن بعد والاستخدام الآمن للحد من هذه المخاطر والتهديدات، بما في ذلك:

  • الاستخدام الآمن للأجهزة المخصصة للعمل عن بعد والمحافظة عليها وحمايتها.

  • التعامل الآمن مع هويات الدخول وكلمات المرور.

  • حماية البيانات التي يتم حفظها على الأجهزة المستخدمة للعمل عن بعد والتعامل معها حسب تصنيفها وإجراءات وسياسات جامعة الملك سعود.

  • التعامل الآمن مع التطبيقات والحلول المستخدمة للعمل عن بعد كالاجتماعات الافتراضية، والتعاون ومشاركة الملفات.

  • التعامل الآمن مع الشبكات المنزلية والتأكد من إعدادات الحماية الخاصة بها.

  • تجنب العمل عن بعد باستخدام أجهزة أو شبكات عامة غير موثوقة أو أثناء التواجد في أماكن عامة.

  • الوصول المادي غير المصرح به والفقدان والسرقة والتخريب للأصول التقنية وأنظمة العمل عن بعد.

  • التواصل مباشرة مع الإدارة المعنية بالأمن السيبراني في الجهة حال الاشتباه بتهديد أمن سيبراني.

  • يجب تدريب العاملين على المهارات التقنية اللازمة لضمان تطبيق متطلبات وممارسات الأمن السيبراني عند التعامل مع أنظمة العمل عن بعد.

تاريخ آخر تحديث : مايو 19, 2024 11:36ص