Sorry, you need to enable JavaScript to visit this website.

سياسة حماية البيانات والمعلومات

 

المقدمة :

تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم  2-7 من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.

 

نطاق العمل وقابلية التطبيق :

تغطي هذه السياسة جميع الأنظمة الحساسة ومكوناتها التقنية، وجميع الخدمات المقدمة خارجياً (عن طريق الإنترنت) ومكوناتها التقنية، ومنها: البنية التحتية، والمواقع الإلكترونية، وتطبيقات الويب، وتطبيقات الهواتف الذكية واللوحية، والبريد الإلكتروني والدخول عن بعد في جامعة الملك سعود، وتنطبق هذه السياسة على جميع العاملين في جامعة الملك سعود سواءً العاملين الذين يعملون بشكل مباشر أو غير مباشر لدى جامعة الملك سعود ، وتنطبق كذلك على جميع موظفي الجهات الخارجية التي تحوز أو تستخدم المعلومات و/أو المرافق التي تمتلكها جامعة الملك سعود كما أن هذه السياسة تنطبق على أنظمة جامعة الملك سعود وكذلك المنصات السحابية.

 

بنود السياسة :

1- المتطلبات العامة :

  • يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لحماية بيانات ومعلومات الجهة، والتعامل معها وفقًا للمتطلبات التشريعية والتنظيمية ذات العلاقة.

  • يجب تطبيق متطلبات الأمن السيبراني لحماية بيانات ومعلومات جامعة الملك سعود.

  • يجب أن تغطي متطلبات الأمن السيبراني لحماية البيانات والمعلومات بحد أدنى ما يلي:

    - ملكية البيانات والمعلومات.

    - تصنيف البيانات والمعلومات وآلية ترميزها (Classification and Labeling Mechanisms).

    - خصوصية البيانات والمعلومات.

  • يجب على جامعة الملك سعود تحديد ملكية البيانات والمعلومات المتعلقة بجامعة الملك سعود.

  • يجب على جامعة الملك سعود تصنيف البيانات والمعلومات المتعلقة بجامعة الملك سعود وآلية ترميزها (Classification and Labeling Mechanisms).

  • يجب على جامعة الملك سعود مراعاة خصوصية البيانات والمعلومات المتعلقة بجامعة الملك سعود.

  • يجب مراجعة تطبيق متطلبات الأمن السيبراني لحماية بيانات ومعلومات في جامعة الملك سعود دوريًا.

  • يجب توثيق أي تغيير في ملكية البيانات والمعلومات واعتماده.

  • يجب تحديد مدة الاحتفاظ المطلوبة (Retention Period) للبيانات والمعلومات حسب التشريعات ذات العلاقة، ويتم الاحتفاظ بالبيانات المطلوبة (على ألا تكون معرفات شخصية) في بيئة الإنتاج فقط.

  • يجب توفير الحماية اللازمة للبيانات والمعلومات خلال دورة حياتها والتعامل معها وفقاً لتصنيفها على أن تتسق مع المتطلبات التشريعية والتنظيمية ذات العلاقة.

  • يجب توثيق إجراءات تضمن التعامل الآمن مع المعلومات المحميّة (أي معلومات مصنفة على أحد المستويات التالية: سري للغاية، أو سري، أو مقيد) الخاصة بجامعة الملك سعود واعتمادها ومشاركتها مع الأطراف ذات العلاقة.

  • يجب حماية المعلومات من الإتلاف أو الضياع أو التسرب باستخدام برامج الحماية من البرمجيات الضارة حسب السياسات المعتمدة في جامعة الملك سعود.

 

2- المراجعة والتدقيق السنوي للأمن السيبراني:

  • يجب على الإدارة المعنية بالأمن السيبراني في جامعة الملك سعود مراجعة تطبيق ضوابط الأمن السيبراني للبيانات حسب المدة المحددة لكل مستوى.

  • يجب أن تتم مراجعة تطبيق ضوابط الأمن السيبراني للبيانات من قبل أطراف مستقلة عن الإدارة المعنية بالأمن السيبراني من داخل جامعة الملك سعود حسب المدة المحددة لكل مستوى.

     

3- الأمن السيبراني المتعلق بالموارد البشرية:

  • يجب أن تغطي متطلبات الأمن السيبراني المتعلق بالموارد البشرية لتشمل خلال وبعد انتهاء/إنهاء العلاقة الوظيفية في جامعة الملك سعود بحد أدنى ما يلي:

    - إجراء المسح الأمني (Screening and vetting) للعاملين في الوظائف ذات العلاقة بالتعامل مع البيانات.

    - تعهد العاملين في جامعة الملك سعود بعدم استخدام تطبيقات التراسل أو التواصل الاجتماعي أو خدمات التخزين السحابية الشخصية لإنشاء أو تخزين أو مشاركة البيانات الخاصة بجامعة الملك سعود، باستثناء تطبيقات التراسل الآمنة المعتمدة من الجهات ذات العلاقة.

 

 4- التوعية والتدريب بالأمن السيبراني :

  • يجب أن يغطي برنامج التوعية بالأمن السيبراني المحاور لمتعلقة بحماية البيانات بما في ذلك:

    - مخاطر التسريب والوصول غير المصرح به للبيانات خلال دورة حياتها.

    - التعامل الآمن مع البيانات المصنفة خلال السفر والتواجد خارج مكان العمل.

    - التعامل الآمن مع البيانات خلال الاجتماعات (الافتراضية والحضورية).

    - الاستخدام الآمن للطابعات والماسحات الضوئية وآلات التصوير.

    - إجراءات الإتلاف الآمن للبيانات.

    - مخاطر مشاركة الوثائق والمعلومات من خلال قنوات تواصل غير مؤمنة.

    - مخاطر السيبرانية المتعلقة باستخدام وسائط التخزين الخارجية.

 

5- إدارة هويات الدخول والصلاحيات :

  • يجب أن تغطي متطلبات الأمن السيبراني المتعلقة بإدارة هويات الدخول والصلاحيات، بحد أدنى، ما يلي:

    - التقييد الحازم بالسماح للحد الأدنى من العاملين للوصول والاطلاع ومشاركة البيانات بناءً على قوائم صلاحيات مقتصرة على موظفين سعوديين إلا بموجب استثناء من قبل صاحب الصلاحية (رئيس جامعة الملك سعود أو من يفوضه) وعلى أن يتم اعتماد هذه القوائم من قبل صاحب الصلاحية.

    - منع مشاركة قوائم الصلاحيات المعتمدة مع الأشخاص غير المصرح لهم.

  • إدارة هويات الدخول وصلاحيات الاطلاع على البيانات باستخدام أنظمة إدارة الصلاحيات الهامة والحساسة.

  • يجب مراجعة قوائم الصلاحيات المعتمدة والصلاحيات المستخدمة للتعامل مع البيانات حسب المدة المحددة لكل مستوى.


6- حماية الأنظمة وأجهزة معالجة المعلومات :

  • يجب أن تشمل متطلبات الأمن السيبراني لحماية الأنظمة وأجهزة معالجة المعلومات، بحد أدنى، ما يلي:

    - تطبيق حزم التحديثات، والإصلاحات الأمنية من وقت إطلاقها للأنظمة المستخدمة للتعامل مع البيانات حسب المدة المحددة لكل مستوى.

    - مراجعة إعدادات الحماية والتحصين للأنظمة المستخدمة للتعامل مع البيانات (Security Configuration and Hardening) حسب المدة المحددة لكل مستوى.

    - مراجعة وتحصين الإعدادات المصنعية (مثل كلمات المرور الثابتة، والخلفية الافتراضية) للأصول التقنية المستخدمة للتعامل مع البيانات.

    - تعطيل خاصية تصوير الشاشة (Print Screen or Screen Capture) للأجهزة التي تنشئ أو تعالج الوثائق.

 

7- أمن الأجهزة المحمولة:

  • يجب أن تغطي متطلبات الأمن السيبراني الخاصة بأمن الأجهزة المحمولة، بحد أدنى، ما يلي:

    - إدارة الأجهزة المحمولة المملوكة لجامعة الملك سعود مركزيًا باستخدام نظام إدارة الأجهزة المحمولة (MDM) وتفعيل خاصية الحذف عن بعد.

    - إدارة أجهزة (BYOD) مركزيًا باستخدام نظام إدارة الأجهزة المحمولة (MDM) وتفعيل خاصية الحذف عن بعد.

 

8- حماية البيانات والمعلومات :

  • يجب أن تغطي متطلبات الأمن السيبراني الخاصة بحماية البيانات والمعلومات، بحد أدنى، ما يلي:

    - استخدام خاصية العلامات المائية لترميز كامل الوثيقة عند الإنشاء والتخزين والطباعة وعلى الشاشة وعلى كل نسخة بحيث يكون الرمز يمكن تتبعه على مستوى المستخدم أو الجهاز.

    - استخدام تقنيات منع تسريب البيانات (Data Leakage Prevention) وتقنيات إدارة الصلاحيات (Rights Management).

    - حظر استخدام البيانات في أي بيئة غير بيئة الإنتاج (Production Environment) إلا بعد إجراء تقييم للمخاطر وتطبيق ضوابط لحماية تلك البيانات، مثل تقنيات تعتيم البيانات (Data Masking) أو تقنيات مزج البيانات (Data Scrambling).

    - استخدام خدمة حماية العلامة التجارية لحماية هوية جامعة الملك سعود من الانتحال (Brand Protection).

 

9- التشفير :

  • يجب أن تغطي متطلبات الأمن السيبراني الخاصة بالتشفير، بحد أدنى، ما يلي:

    - استخدام طرق وخوارزميات محدثة وآمنة للتشفير عند الإنشاء والتخزين والمشاركة وعلى كامل الاتصال الشبكي المستخدم لنقل البيانات وفقًا للمستوى المتقدم (Advanced) ضمن المعايير الوطنية للتشــــــفير (NCS – 1:2020).

    - استخدام طرق وخوارزميات محدثة وآمنة للتشفير عند الإنشاء والتخزين والمشاركة وعلى كامل الاتصال الشبكي المستخدم لنقل البيانات وفقاً للمستوى المتوسط (Moderate) ضمن المعايير الوطنية للتشفير (NCS-1:2020).

 

10- الإتلاف الآمن للبيانات :

  • يجب أن تغطي متطلبات الأمن السيبراني الخاصة بإتلاف البيانات، بحد أدنى، ما يلي:

    - تحديد التقنيات والأدوات والإجراءات لتنفيذ عمليات الإتلاف الآمن للبيانات حسب مستوى تصنيف البيانات.

    - عند انتهاء الحاجة لاستخدام وسائط التخزين بشكل نهائي، يجب أن يتم الإتلاف الآمن (Secure Disposal) لوسائط التخزين وذلك باستخدام التقنيات والأدوات وبإتباع الإجراءات المحددة.

    - عند الحاجة لإعادة استخدام وسائط التخزين، يجب أن يتم الحذف الآمن للبيانات (Secure Erasure)، بحيث لا يمكن استرجاعها.

    - يجب أن يتم التحقق من تنفيذ عمليات الإتلاف أو الحذف الآمن للبيانات.

    - الاحتفاظ بسجل لعمليات الإتلاف أو الحذف الآمن للبيانات التي تم تنفيذها.

    - يجب مراجعة تطبيق متطلبات الإتلاف الآمن للبيانات في الجهة حسب المدة المحددة لكل مستوى.

 

11- الأمن السيبراني للطابعات والماسحات الضوئية وآلات التصوير :

  • يجب تحديد وتوثيق واعتماد متطلبات الأمن السيبراني لحماية الطابعات والماسحات الضوئية وآلات التصوير في جامعة الملك سعود.

  • يجب تطبيق متطلبات الأمن السيبراني للطابعات والماسحات الضوئية وآلات التصوير في جامعة الملك سعود.

  • يجب أن تغطي متطلبات الأمن السيبراني للطابعات والماسحات الضوئية وآلات التصوير بحد أدنى، ما يلي:

    - تعطيل خاصية التخزين المؤقت.

    - تفعيل خاصية التحقق من الهوية في الطابعات والماسحات الضوئية وآلات التصوير المركزية قبل بدء عمليات الطباعة والتصوير والمسح الضوئي.

    - الاحتفاظ بطريقة آمنة بسجل الكتروني للعمليات الخاصة باستخدام الطابعات والماسحات الضوئية وآلات التصوير، لفترة لا تقل عن 12 شهرًا.

    - تفعيل وحماية سجلات المراقبة لأنظمة CCTV على مواقع أجهزة الطباعة المركزية والماسحات الضوئية وآلات التصوير.

    - استخدام أجهزة تمزيق الوثائق الورقية (Cross Shredding)، لإتلاف الوثائق في حال الانتهاء من استخدامها نهائيًا.

  • يجب مراجعة تطبيق متطلبات الأمن السيبراني للطابعات والماسحات الضوئية وآلات التصوير في الجهة حسب المدة المحددة لكل مستوى.

 

12- الأمن السيبراني المتعلق بالأطراف الخارجية :

  • يجب أن تشمل متطلبات الأمن السيبراني المتعلق بالأطراف الخارجية بحد أدنى ما يلي:

    - إجراء المسح الأمني (Screening and Vetting) لموظفي الأطراف الخارجية الذين لديهم صلاحيات الاطلاع على البيانات.

    - وجود ضمانات تعاقدية للقدرة على حذف بيانات الجهة بطرق آمنة لدى الطرف الخارجي عند الانتهاء/إنهاء العلاقة التعاقدية مع تقديم الأدلة على ذلك.

    - توثيق كافة عمليات مشاركة البيانات مع الأطراف الخارجية، على أن يشمل ذلك مبررات مشاركة البيانات.

    - عند مشاركة البيانات خارج المملكة يجب التحقق من قدرة الجهة المستضيفة على حماية تلك البيانات والحصول على موافقة صاحب الصلاحية بالإضافة إلى الالتزام بالمتطلبات التشريعية والتنظيمية ذات العلاقة.

    - إلزام الأطراف الخارجية بإبلاغ الجهة مباشرةً عند حدوث حادثة أمن سيبراني قد تؤثر على البيانات التي تمت مشاركتها أو إنشائها.

    - إعادة تصنيف البيانات إلى أقل مستوى يحقق الهدف، قبل مشاركتها مع الأطراف الخارجية وذلك باستخدام تقنيات تعتيم البيانات  (Data Masking)  أو تقنيات مزج البيانات (Data Scrambling).

Last updated on : May 21, 2024 9:49am