Sorry, you need to enable JavaScript to visit this website.

سياسة الإعدادات والتحصين

الأهداف: 
تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة بحماية وتحصين وضبط إعدادات الأصول المعلوماتية والتقنية والتطبيقات الخاصة بجامعة الملك سعود للحد من المخاطر السيبرانية الناتجة عن التهديدات الداخلية والخارجية في جامعة الملك سعود للمحافظة على سرية المعلومات، وسلامتها، وتوافرها.

نطاق العمل وقابلية التطبيق: 
تغطي هذه السياسة جميع الأصول المعلوماتية والتقنية والأنظمة الحساسة والتطبيقات الخاصة بجامعة الملك سعود، وتنطبق على جميع العاملين في جامعة الملك سعود سواءً العاملين الذين يعملون بشكل مباشر أو غير مباشر لدى جامعة الملك سعود.


المتطلبات العامة: 
- يجب تحديد وتوثيق جميع الأصول المعلوماتية والتقنية المستخدمة داخل جامعة الملك سعود وكذلك التطبيقات والبرمجيات المعتمدة. 
- يجب تحصين وضبط إعدادات أجهزة الحاسب الآلي، والأنظمة، والتطبيقات، وأجهزة الشبكات، والخوادم والأجهزة الأمنية الخاصة بجامعة الملك سعود بما يتوافق مع المعايير التقنية الأمنية المعتمدة من قبل المورد وفقًا للمتطلبات التشريعية والتنظيمية ذات العلاقة وأفضل الممارسات الدولية لتصدي الهجمات السيبرانية. 
- يجب تعطيل خاصية التصوير (Print Screen or Screen Capture) للأجهزة التي تنشئ أو تعالج المعلومات بناءً على تصنيف تلك المعلومات. 
- يجب استخدام مؤشر قياس الأداء (KPI) لضمان التطوير المستمر والاستخدام الصحيح والفعال لمتطلبات حماية أمن الإعدادات والتحصين.

 

تطوير المعايير الأمنية التقنية: 
- يجب استخدام دليل الإعدادات والتحصين (Security Configuration Guidance) الخاص بالمُورد وذلك وفقًا للسياسات والإجراءات التنظيمية الخاصة بجامعة الملك سعود، والمتطلبات التشريعية والتنظيمية ذات العلاقة وأفضل الممارسات الدولية. 
- يجب استخدام دليل الإعدادات والتحصين من مصادر موثوقة ومتوافقة مع المعايير المصنعية، مثل: مركز أمن الإنترنت (CIS)، ومعهد الأمن والشبكات وإدارة النظم (SANS)، والمعهد الوطني للمعايير والتقنية (NIST). 
- يجب تطوير معايير أمنية تقنية خاصة بجامعة الملك سعود بما يتناسب مع طبيعة الأعمال وبما يتوافق مع دليل الإعدادات والتحصين الخاص بالمورد والمعايير المصنعية ووفقًا للمتطلبات التشريعية والتنظيمية ذات العلاقة. 
- يجب تطوير وتوثيق واعتماد ومراجعة المعايير التقنية الأمنية (Technical Security Standards) الخاصة بجميع الأصول المعلوماتية والتقنية والتطبيقات والبرمجيات المصرح باستخدامها لدى جامعة الملك سعود، وفقًا لأفضل الممارسات الدولية والسياسات والإجراءات التنظيمية المعتمدة لدى جامعة الملك سعود، والمتطلبات التشريعية والتنظيمية ذات العلاقة.

 

مراجعة الإعدادات والتحصين والتأكد من تطبيقها في الحالات التالية: 
- يجب مراجعة الإعدادات والتحصين لجميع الأنظمة للأصول المعلوماتية والتقنية والتطبيقات مرة واحدة كل سنة على الأقل أو عند وجود تغييرات، والتأكد من تطبيقها بما يتوافق مع إرشادات الأمن السيبراني، وأفضل الممارسات، والتوصيات الخاصة بالموردين (Vendors)، وبما يتوافق مع آليات إدارة التغيير المتبعة في جامعة الملك سعود. 
- يجب مراجعة الإعدادات والتحصين قبل إطلاق وتدشين التطبيقات والمشاريع التقنية والتغييرات المتعلقة بالأصول المعلوماتية والتقنية. 
- يجب مراجعة وتحصين الإعدادات المصنعية (Default Configuration) لجميع الأصول التقنية وللأصول التقنية لأنظمة العمل عن بعد، ومنها التأكد من عدم وجود كلمات مرور ثابتة، وخلفية افتراضية. 
- يجب تقييد تفعيل الخصائص والخدمات في أنظمة العمل عن بعد حسب الحاجة على أن يتم تقييم المخاطر السيبرانية المحتملة في حال الحاجة لتفعيلها وفقًا للمتطلبات التشريعية والتنظيمية ذات العلاقة. 
- يجب اعتماد نسخة (Image) لإعدادات وتحصين الأصول المعلوماتية والتقنية الخاصة بجامعة الملك سعود وفقًا للمعايير التقنية الأمنية المعتمدة، وحفظها في مكان آمن. 
- يجب استخدام نسخة (Image) معتمدة في تثبيت أو تحديث الأصول المعلوماتية والتقنية. 
- يجب توفير التقنيات اللازمة لإدارة الإعدادات والتحصين مركزيًا، والتأكد من إمكانية تطبيق أو تحديث الإعدادات والتحصين تلقائيًا لكافة الأصول المعلوماتية والتقنية في مواعيد زمنية محددة ومخطط لها، بعد إجراء الاختبارات اللازمة. 
- يجب توفير نظام مراقبة الإعدادات المتوافقة مع بروتوكول أتمتة المحتوى الأمني (Security Content Automation Protocol “SCAP”) للتأكد من أن الإعدادات متوافقة مع المعايير التقنية الأمنية المعتمدة ومطبقة بشكل كامل، كما يجب الإبلاغ عن أي تغييرات غير مصرّح بها. 
- مزامنة التوقيت (Clock Synchronization) مركزيًا ومن مصدر دقيق وموثوق (مثل ما توفره جامعة الملك سعود السعودية للمواصفات والمقاييس والجودة من مصادر ذات علاقة).

 

تنفيذ السياسة والالتزام بها: 
- يُعد الالتزام بهذه السياسات إلزاميًا، ويجب على مديري إدارات جامعة الملك سعود التأكد من الالتزام المستمر لتلك السياسات داخل إداراتهم. يخضع الالتزام لبيانات هذه السياسات لمراجعة سنوية. 
 - يُعد انتهاك هذه السياسات بمثابة مخالفة أمنية تعطي جامعة الملك سعود الحق في اتخاذ الاجراءات التأديبية والقانونية اللازمة والتي قد تصل إلى إنهاء الخدمة أو علاقة العمل.


معيار الاستثناءات: 
الغرض من هذه السياسات هو تلبية متطلبات الأمن السيبراني. لذا فعند الحاجة، يجب تقديم الاستثناءات المتعلقة بهذه السياسة رسميًا إلى اللجنة الاشرافية للأمن السيبراني، مع إدراج السبب وراء هذه الاستثناءات والمزايا المترتبة عليها.

تبلغ فترة الاستثناءات المتعلقة بهذه السياسة 4 أشهر كحد أقصى، ويجب إعادة تقييمها والموافقة عليها، إذا لزم الأمر، لمدة أقصاها ثلاث فترات متتالية. لا يجوز تقديم الاستثناءات لأكثر من ثلاث فترات متتالية.

 

مراجع إطار جامعة الملك سعود للأمن السيبراني: 
- الضوابط الأساسية للأمن السيبراني.

تاريخ آخر تحديث : مايو 30, 2024 6:50م