Sorry, you need to enable JavaScript to visit this website.

سياسة الأمن السيبراني للبيانات

الأهداف: 
الغرض من هذه السياسة هو توفير متطلبات الأمن السيبراني المبنية على أفضل الممارسات والمعايير المتعلقة بالبيانات الخاصة بـجامعة الملك سعود لتقليل المخاطر السيبرانية وحمايتها من التهديدات الداخلية والخارجية من خلال التركيز على الأهداف الأساسية للحماية وهي: سرية المعلومات، وسلامتها، وتوافرها. وتهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة،  


نطاق العمل وقابلية التطبيق: 
تنطبق هذه السياسة على جميع البيانات التي تحتفظ بها جامعة الملك سعود، وتخزنها وتعالجها وتنقلها من خلال الأصول المعلوماتية والتقنية، وعلى جميع العاملين (الموظفين والمتعاقدين) في جامعة الملك سعود.

بنود السياسة: 
المتطلبات العامة:

- يجب أن تلتزم جامعة الملك سعود بالمتطلبات التشريعية والتنظيمية المتعلقة بحماية البيانات في المملكة العربية السعودية، والسياسات والإجراءات المتبعة بالجامعة. 
- يجب أن تحدد جامعة الملك سعود وتحدث متطلبات الأمن السيبراني للبيانات بشكل سنوي. 
- يجب على جامعة الملك سعود ضمان إدارة متطلبات الأمن السيبراني للبيانات بكفاءة وفقًا لسياسة الأمن السيبراني في الموارد البشرية وسياسة إدارة الأصول الخاصة بالجامعة. 
- يجب أن تضمن جامعة الملك سعود حماية الأجهزة المحمولة وفقًا لسياسة أمن الأجهزة المحمولة بالجامعة. 
- يجب أن تستخدم جامعة الملك سعود تقنيات وحلول منع تسريب البيانات. 
- يحظر استخدام بيانات جامعة الملك سعود في أي بيئة غير بيئة الإنتاج، إلا بعد إجراء تقييم للمخاطر وتطبيق الضوابط لحماية تلك البيانات، مثل: تقنيات تعتيم البيانات (masking) أو تقنيات مزج البيانات (data scrambling). 
- يجب أن تحدد جامعة الملك سعود التقنيات والأدوات والإجراءات للتخلص من البيانات بطريقة آمنة حسب مستوى التصنيف. 
- يجب أن تعمل جامعة الملك سعود على إعداد وتنفيذ استراتيجية للخروج لضمان وسائل الإتلاف الآمن للبيانات عند إنهاء أو انتهاء سريان العقد مع مقدم الخدمة السحابية. 
- يجب أن تضمن جامعة الملك سعود الاستخدام المناسب والفعال لتقنيات التشفير لحماية بياناتها وفقًا لسياسة ومعايير التشفير بالجامعة والمتطلبات التشريعية والتنظيمية ذات العلاقة. 
- يجب على جامعة الملك سعود تحديد الأدوار والمسؤوليات للأمن السيبراني لضمان ان البيانات متوافقة مع المتطلبات القانونية والتنظيمية. 
- يجب أن تستخدم جامعة الملك سعود طريقة آمنة لاستخراج ونقل البيانات واستخراج ونقل البنية التحتية الافتراضية. 
- يجب أن تمنع جامعة الملك سعود نقل أي بيانات للأنظمة الحساسة من بيئة الإنتاج إلى أي بيئة أخرى. 
- يجب أن تستخدم جامعة الملك سعود خاصية العلامات المائية (watermark feature) لترميز الوثيقة بأكملها عند إعدادها، أو تخزينها، وطباعتها، او عرضها على الشاشة، والتأكد من احتواء كل نسخة من الوثيقة على رقم يمكن تتبعه. 
- يجب قياس مؤشرات الأداء الرئيسية (KPI) للتأكد من التحسين المستمر لمتطلبات الأمن السيبراني لحماية البيانات.


التصنيف والتعامل الآمن مع المعلومات: 
- يجب تصنيف بيانات جامعة الملك سعود وفقاً لسياسة تصنيف البيانات المعتمدة لديها. 
- يجب تصنيف جميع بيانات جتمعة الملك سعود في كل الصيغ التالية: 
    - الصيغ الرقمية (مثل وثائق برنامج معالج النصوص "Word"، وجداول البيانات "Spreadsheets"، وقواعد البيانات). 
    - الاتصالات الإلكترونية (مثل رسائل البريد الإلكتروني وخدمات الاتصالات الصوتية والمؤتمرات والاتصالات الهاتفية وغيرها). 
    - الصيغ المادية (مثل المطبوعات، والنسخ الورقية للعقود ودفاتر الملاحظات). 
    - المحادثات الشفهية (مثل الاجتماعات والمقابلات). 
- يجب أن يتجنب العاملون مناقشة بيانات جامعة الملك سعود بصيغة شفهية في المناطق العامة، أو في مناطق قد تُسمع فيها مناقشاتهم. ويجب أن تتم المناقشات في مقرات الجامعة وفي مواقع آمنة ضمن المقرات. 
- يجب تصنيف جميع البيانات التي تحتفظ فيها جامعة الملك سعود في كل الأنظمة (بما في ذلك الأنظمة الحساسة وأنظمة الحوسبة السحابية) وترميزها وفقًا للمتطلبات التشريعية والتنظيمية ذات العلاقة، وسياسة تصنيف البيانات المعتمدة في الجامعة. 
- يجب أن يتولى المسؤولون عن البيانات، الذين عينتهم جامعة الملك سعود للعمل مع الأطراف المعنية ذات العلاقة مع الجامعة، مسؤولية تصنيف البيانات على النحو الوارد في هذه السياسة. 
- يجب إبلاغ الأطراف المعنية ذات العلاقة في جامعة الملك سعود على الفور عن أي مخالفة لهذه السياسة ولضوابط تصنيف البيانات. 
- يجب تطبيق ضوابط الوصول عن بُعد للبيانات وفقًا لنموذج سياسة إدارة هويات الدخول والصلاحيات المعتمدة في جامعة الملك سعود. 
- يجب عدم حفظ البيانات المصنفة (سرية، سرية للغاية) في أجهزة تخزين محمولة مثل الأقراص الصلبة الخارجية أو وحدات التخزين "USB"، بغض النظر عن مستوى التشفير المستخدم في جهاز التخزين المحمول. 
- يجب عدم إدخال أو معالجة أو تغيير أو حفظ أو نقل البيانات المصنفة (سرية، وسرية للغاية) إلى الأجهزة التي يملكها الموظفون، والتي يُطلق عليها استخدام الأجهزة الشخصية للعاملين في الجهة (BYOD)، ما لم تكن تلك البيانات خاصة بالموظفين.       
- يجب حماية البيانات المصنفة (سرية، وسرية للغاية) التي يمكن الوصول إليها أو معالجتها أو حفظها أو نقلها من خلال أنظمة الدخول عن بعد، ما لم تكن تلك البيانات خاصة بالموظفين. 
- يجب تحديد المجموعات الفرعية من البيانات المصنفة (مثل سرية، وسرية للغاية)، التي يمكن الوصول إليها أو معالجتها أو حفظها أو نقلها من خلال أنظمة العمل عن بُعد، وفقًا للمتطلبات التنظيمية ذات العلاقة. 
- يجب ألّا تحتوي الأصول التقنية لإدارة حسابات مواقع التواصل الاجتماعي لجامعة الملك سعودعلى بيانات مصنفة، وفقًا للمتطلبات التنظيمية ذات العلاقة.


الاحتفاظ بالسجلات: 
- يجب أن تحتفظ جامعة الملك سعود بسجلات المعتمدة المقدمة من ملاك البيانات، ويجب أن تحتفظ بسجلات سحب أو إلغاء الموافقات لفترة زمنية محددة وفقًا للمتطلبات التشريعية والتنظيمية. 
- يجب أن تحتفظ جامعة الملك سعود بسجل لجميع عمليات الإتلاف الآمن للبيانات التي تم تنفيذها. 
- يجب أن تحتفظ جامعة الملك سعود بالبيانات طوال المدة المحددة وفقًا للمتطلبات التشريعية والتنظيمية أو عندما تصبح البيانات الحساسة غير مطلوبة للغرض الذي جمعت من أجله. 
- يجب أن تُنشئ جامعة الملك سعود سجل بأنشطة المعالجة وتحدثه عند الحاجة مع الاحتفاظ بنسخ طوال المدة المحددة وفقًا للمتطلبات التشريعية والتنظيمية. 
- يجب تحديد فترة الاحتفاظ بجميع البيانات المتعلقة بالأنظمة وفقًا للتشريعات ذات العلاقة، والاحتفاظ فقط بالبيانات المطلوبة في بيئة الإنتاج.


تنفيذ السياسة والالتزام بها: 
يُعد الالتزام بهذه السياسات إلزاميًا، ويجب على مديري إدارات جامعة الملك سعود التأكد من الالتزام المستمر لتلك السياسات داخل إداراتهم. يخضع الالتزام لبيانات هذه السياسات لمراجعة سنوية. 
يُعد انتهاك هذه السياسات بمثابة مخالفة أمنية تعطي جامعة الملك سعود الحق في اتخاذ الاجراءات التأديبية والقانونية اللازمة والتي قد تصل إلى إنهاء الخدمة أو علاقة العمل


معيار الاستثناءات: 
الغرض من هذه السياسات هو تلبية متطلبات الأمن السيبراني. لذا فعند الحاجة، يجب تقديم الاستثناءات المتعلقة بهذه السياسة رسميًا إلى اللجنة الاشرافية للأمن السيبراني، مع إدراج السبب وراء هذه الاستثناءات والمزايا المترتبة عليها.

تبلغ فترة الاستثناءات المتعلقة بهذه عن السياسة 4 أشهر كحد أقصى، ويجب إعادة تقييمها والموافقة عليها، إذا لزم الأمر، لمدة أقصاها ثلاث فترات متتالية. لا يجوز تقديم الاستثناءات لأكثر من ثلاث فترات متتالية.

 

مراجع إطار جامعة الملك سعود للأمن السيبراني:

الضوابط الأساسية للأمن السيبراني

تاريخ آخر تحديث : مايو 31, 2024 5:12ص