جامعة أم القرى

جامعة أم القرى

سياسة أمن المعلومات


- 2019/04/09

سياسة أمن المعلومات:

تحدد هذه السياسة الآليات المتبعة لتأمين أنظمة تكنولوجيا المعلومات والبنية التحتية ضد المخاطر الأمنية.

عام

تطبق هذه السياسة على أنواع الأمن التالية بالجامعة:

  1. أمن تطبيقات ونظم الحاسب.
  2. الأمن المادي.
  3. الأمن التشغيلي.
  4. الأمن الإجرائي.
  5. أمن الشبكات.

مجال التطبيق

تأسيس وتطوير بنية تحتية تقنية متكاملة لتحقيق متطلبات الهيئات محلية وإقليمية ودولية.

الهدف الاستراتيجي

  1. تأمين الحماية من التداعيات المحتملة الناتجة عن خروقات السرية أو انعدام الخدمة المتاحة.
  2. ضمان حماية كافة أصول المعلومات ومرافق الشبكات والحوسبة من التلف أو الفقدان أو سوء الاستخدام.
  3. ضمان معرفة أعضاء مجتمع الجامعة بمبادئ استخدام المعلومات الإلكترونية والالتزام بها.
  4. زيادة مستوى الوعي والفهم تجاه متطلبات أمن المعلومات في الجامعة.
  5. زيادة الوعي من جانب المستخدمين تجاه مسؤولياتهم المباشرة عن حماية سرية وسلامة البيانات التي يمتلكونها أو يتعاملون بها.

الهدف التفصيلي

 

السياسة:

  1. تعتمد الجامعة على إتاحة وسلامة خدماتها الإلكترونية في مجالات التدريس والتعلم والبحث والإدارة. وفي إطار ذلك يكون من الضروري حماية نظم تقنية المعلومات والبنى التحتية من مخاطر أمنية سواء أكانت داخلية أو خارجية أو متعمدة أو عرضية.
  2. يعد جميع أعضاء مجتمع الجامعة مسؤولين عن الالتزام بمعرفة الآليات واللوائح التي تضمن ما يلي:
    1. حماية المعلومات من أي اختراق غير مسموح به.
    2. سرية المعلومات.
    3. الحفاظ على سلامة ومصداقية المعلومات.
    4. الحفاظ على إتاحة المعلومات.
    5. تحقيق المتطلبات التنظيمية والتشريعية.
    6. إتاحة التدريب والمعرفة بأمن المعلومات بالنسبة لأعضاء هيئة التدريس والطلبة والعاملين.
    7. إبلاغ "عمادة  تقنية المعلومات" عن كافة أشكال الخروقات الفعلية أو المحتملة لأمن المعلومات من أجل القيام بالإجراء اللازم.
    8. إيجاد إجراءات من شأنها دعم هذه السياسة بما في ذلك إجراءات ضبط الفيروسات وكلمات المرور وخطط الاستمرارية.
    9. تحقيق متطلبات إتاحة النظم والمعلومات.
    10. عدم السماح لأي نوع من النظم الاتصال بالشبكة دون برنامج مكافحة الفيروسات.
    11. تحديث جميع مكونات النظام والبرمجيات من قبل خدمات تقنية المعلومات بانتظام، مع التحقق من الأنظمة.
    12. التحقق من أن جميع الملفات التي تم تحميلها عن طريق البريد الإلكتروني خالية من الفيروسات.
    13. التأكد من أن جميع الخوادم قد تم تزويدها ببرامج مكافحة الفيروسات وأن كفاءتها ضد الفيروسات مضمونة.
    14. يتم فحص جميع الوسائط غير المثبتة والمسح الضوئي للفيروسات قبل استخدامها من قبل المستخدم.
  3. يسمح لأي مستخدم باستخدام شريحة ذاكرة في أجهزة الحواسيب المكتبية الخاصة به، بعد التحقق من خلوها من الفيروسات.
  4. يتم مسح جميع مراسلات البريد الإلكتروني الصادر والوارد للتأكد من خلوها من الفيروسات والمحتويات الضارة.
  5. يتم تحديث خادم البريد بشكل دوري بأحدث برامج (service packs/ patches) لمكافحة الفيروسات.
  6. يتم عزل رسائل البريد الإلكتروني المصابة والاحتفاظ بها في نظام العزل مع إخطار المستخدم، وتقديم الحل المناسب من خدمات تقنية المعلومات.
  7. لن يحصل المستخدم على أي تفويض إداري في تفعيل أو تعطيل ميزات برنامج مكافحة الفيروسات.
  8. يتم إغلاق حساب المستخدم المتضرر وفصل النظام المتضرر من الشبكة وعزله إلى أن يتم تطهيره من قبل عمادة  تقنية المعلومات.
  9. لن يتم الوصول للبريد الإلكتروني ذو المحتوى الضار أو المشكوك فيه من قبل المستخدم دون تعليمات من قبل عمادة  تقنية المعلومات.
  10. على جميع الحواسيب العاملة والخدمات المتوافقة مع الدليل النشط في الجامعة والمتصلة بشبكة جامعة أم القرى أن تكون ضمن المجال الخاص بالجامعة على شبكة الإنترنت.
  11. تعتبر "عمادة  تقنية المعلومات" مسؤولة عن الحفاظ على هذه السياسة وعن تقديم الدعم والنصيحة أثناء تنفيذها.

 

السياسات التنفيذية والإجراءات:

  1. السرية والخصوصية:

يتحتم على جميع أعضاء مجتمع الجامعة احترام وحماية خصوصية البيانات. وبينما لا تراقب الجامعة محتوى صفحات المواقع الشخصية أو البريد الإلكتروني أو أية وسائل أخرى للتواصل الإلكتروني، إلا أن للجامعة الحق في معاينة سجلات الحواسيب أو في مراقبة أنشطة الحواسيب الشخصية وذلك بموافقة إدارة الجامعة.

  1. الولوج:

لا يجوز لأحد في الجامعة الدخول إلى السجلات الخاصة إلا إذا كان مفوضاُ بذلك على وجه التحديد، ويجوز للأشخاص المفوضين أن يستخدموا السجلات الخاصة لأسباب مشروعة فقط، ويجب الحفاظ على الممتلكات التكنولوجية في مكان آمن ومناسب، وينبغي على فريق الإدارة التأكد من وجود الضوابط اللازمة للحيلولة دون دخول غير المفوضين إلى النظم والشبكات وللكشف عن أي محاولات من هذا القبيل.

  1. المسؤولية:

يُعتبر جميع أعضاء مجتمع الجامعة مسؤولين عن ضمان عدم استخدام الغير لامتيازاتهم وحقوقهم المتعلقة بنظام تقنية المعلومات، كما يعتبر الموظفون المخولون بالجامعة مسؤولين عن مراجعة سجلات الدخول وتحديد الخروقات الأمنية المحتملة. هذا ويجب أن تحتفظ كافة النظم المضبوطة بسجلات حتى يمكن متابعة استخدام المعلومات بدرجة مناسبة لكل نظام، كما يتعين على المسؤولين المخولين القيام بإخطار الإدارة فوراً في حالة الاشتباه في حدوث أية خروقات.

  1. التوثيق:

يتم تنفيذ التوثيق للاتصال من نقطة إلى نقطة لجميع النظم التي ترسل وتستقبل بيانات.

  1. الإتاحة:

يتوقع أن تكون نظم المهمات الحساسة متاحة في كل الأوقات. ويجب أن يكون هناك نظام حساس إضافي يتمتع بإجراءات استرداد المعلومات بشكل مفصل والإبلاغ عن الفترات التي تكون فيها النظم خارج الخدمة (أثناء عطل أو صيانة أو إصلاح)، كما ينبغي اختبار إجراءات النسخ الاحتياطية من البيانات وأن توثق بشكل جيد.

  1. الإبلاغ عن الخروقات:

تقع هذه المسؤولية على مالكي نظم التطبيقات والشبكات والحواسيب إضافة إلى مستخدمي هذه الأنظمة، وتتمثل في الإبلاغ عن أية خروقات أمنية واضحة. ويجب أن تتاح الإرشادات الخاصة بالإبلاغ عن الخروقات لكل فرق الإدارة والمستخدمين، كما ينبغي أن تشتمل على إرشادات تتعلق بطبيعة هذه الخروقات والزمن والمكان والشخص والإطار الزمني الذي ينبغي من خلاله الإبلاغ عن هذه الخروقات.

جار التحميل