جامعة أم القرى

جامعة أم القرى

الأحكام والسياسات في باب حفظ واستعمال البيانات


- 2020/08/17

مقدمــــــة:

توفر جامعة أم القرى عن طريق عمادة التعلم الإلكتروني والتعليم عن بعد مجموعة من الأنظمة والبرامج لفائدة جميع منسوبي الجامعة، مثل نظام التعلم الإلكتروني "البلاك بورد Blackboard" ونظام الفصول الافتراضية "ويبكس WebEx" وغيرها، ويترتب عن استعمال هذه الأنظمة إنتاج مجموعة من البيانات. بعض البيانات يتم رفعها من قبل مستخدمي النظام وتتمثل في ملفات بمختلف أنواعها وأحجامها وروابط إلكترونية ومقاطع فيديو وملفات صوتية، والبعض الآخر من البيانات يتم إنتاجه من النظام في شكل معطيات حول نتائج استعمال النظام، وفي شكل بيانات إحصائية حول درجة التفعيل، وحول المسارات التي يسلكها المستخدم، وهي توفر كذلك مستويات درجات التفاعل مع أدوات النظام.

وفي هذا الإطار ارتأت عمادة التعلم الإلكتروني والتعليم عن بعد أن تضع هذه الوثيقة التي تحدد الأحكام والسياسات لجمع البيانات وتخزينها واستغلالها ووضع الإجراءات لحماية جميع المعطيات التي توفرها أنظمة التعلم الإلكتروني وبرامجها وأدواتها والحرص على ضمان استخدامها الاستخدام الأنسب لفائدة الجامعة.

كما تهدف عمادة التعلم الإلكتروني والتعليم عن بعد من خلال وضع هذه السياسات إلى توعية منسوبي الجامعة بأهمية حماية البيانات التي يتم إنشاؤها، وتخزينها وتحديد الإجراءات اللازمة لحماية سرية وسلامة وتوافر بيانات الأنظمة والبرامج الإلكترونية المتاحة.

 

2. الإطــــــــار:

يندرج هذا العمل في إطار تطبيق ما جاء في وثيقة الخطة الاستراتيجية للعمادة وخاصة ما يتعلق بالهدف الاستراتيجي الأول: "تطوير منظومة التعلم الإلكتروني والتعليم عن بعد حسب المواصفات والمقاييس العالمية" وقد انبثق عنه الأهداف الفرعية التالية:

  • تطوير منظومة متكاملة لمعالجة البيانات الخاصة بالتعلم الإلكتروني والاستفادة منها.
  • دعم الأبحاث والدراسات العلمية المتعلقة بالتعلم الإلكتروني.
  • تطبيق معايير الجودة الشامل.

 

3. الغاية من وضع الأحكام والسياسات:

تهدف مجموعة الأحكام والسياسات التي تم وضعها في هذه الوثيقة إلى تصنيف البيانات في مختلف مجالات خدمات عمادة التعلم الإلكتروني والتعليم عن بعد وفق درجة حساسيتها وحجم سريتها والمخاطر المرتبطة بها ووضع الآليات الضرورية للتحكم فيها واستعمالها والانتفاع بها لفائدة الرقي بمؤشرات الجودة وتطوير المنظومة التعليمية بجامعة أم القرى وبالمملكة العربية السعودية.

 

4. النطـــــــاق:

تُطبق هذه السياسة على أي شخص قد يستعمل أو يدير أي نظام إلكتروني توفره عمادة التعلم الإلكتروني والتعليم عن بعد للطلبة ولأعضاء هيئة التدريس بصفة خاصة ولمنسوبي الجامعة بصفة عامة، كما تطبق السياسات على مديري الأنظمة وعلى كل من له صلاحية للوصول إلى بيانتها وله التحكم في إدارتها.

كما تنطبق هذه السياسات على كافة الأطراف المعنية بما في ذلك الشركاء، أو الشركات التابعة للجامعة، وعلى نظم معالجة البيانات ونظم ضبط العمليات. وتسري هذه السياسات على كافة الموظفين والمستخدمين الذين يعملون بصورة مباشرة أو غير مباشرة لدى جامعة أم القرى، أو الجهات التابعة لها أو أية جهة تقوم بتنفيذ عمل نيابة عن الجامعة يتضمن استخدام الأصول المعلوماتية التابعة لها.

 

5. أقسام العمادة المعنية:

يتم استخراج معظم البيانات التي توفرها العمادة عن طريق قسم الأنظمة الإلكترونية التي تتوفر لها الصلاحيات لجمعها وتخزينها وضمان سريتها. وتتولى وحدة البيانات الراجعة بالنظر لقسم الأبحاث والدراسات الحرص على تطبيق السياسات والأحكام الخاصة باستعمال البيانات لغايات بحثية وأكاديمية، ويتم ذلك بالتنسيق مع قيادة عمادة التعلم الإلكتروني والتعليم عن بعد.

 

6. ملكية البيانات:

تعتبر جميع البيانات الناتجة عن استخدام نظام التعلم الإلكتروني وجميع الأنظمة الإلكترونية المتوفرة ملكية لجامعة أم القرى وتحت تصرف ومسؤولية عمادة التعلم الإلكتروني والتعليم عن بعد.

ويشترط أن استخدام هذه البيانات لا يمكن له أن يكون إلا لخدمة الجامعة والبحث العلمي، والإسهام في تحقيق الأهداف الاستراتيجية المرسومة، بهدف تحسين وتطوير الخدمات المقدمة للطلاب ولأعضاء هيئة التدريس.

 

7. تصنيف البيانات:

تعتبر المعلومات المستخرجة من أنشطة الأنظمة الإلكترونية بالغة الأهمية، والهدف من وضع سياسة لتصنيف البيانات هو الحماية والتقليل من أي مخاطر قد تؤثر سلباً على جميع أصحاب المصلحة. وتعتبر عملية تصنيف البيانات طريقة للتعرف على مستويات البيانات من ناحية حساسيتها ومخاطرها.

يتم تصنيف البيانات على حسب خصوصية الأنظمة والبرامج الإلكترونية التي تتيحها جامعة أم القرى عن طريق عمادة التعلم الإلكتروني والتعليم عن بعد، ولعله من المهم أن يقع تشكيل لجنة لمزيد التعمق في هذا الموضوع الذي يكتسي أهمية بالغة. كما أن عملية تصنيف البيانات تستوجب التحديث الدائم لمواكبة التنوع المتواصل للخدمات التي تقدمها العمادة. واليوم، يمكن أن نقسم البيانات حسب نوعيتها كما يلي:

أولاً: بيانات المحتوى التعليمي: وتتمثل في المحتوى التعليمي الذي يرفعه عضو هيئة التدريس على بوابة التعلم الإلكتروني ومختلف البرامج الإلكترونية التي تتيحها عمادة التعلم الإلكتروني والتعليم عن بعد، وهو يعتبر ملكية خاصة لعضو هيئة التدريس، وهذا الأخير هو المسؤول عن الملكية الفكرية وعن القيمة العلمية للمحتوى.

ثانياً: بيانات عمليات تقييم الطلبة: عند إجراء الاختبارات الإلكترونية أو الواجبات أو أية عملية تقييم فإن البيانات الناتجة عن عمليات التقييم الطلابي هي ملكية خاصة للطلاب ولعضو هيئة التدريس المقرر ولا يمكن استغلاها من أي طرف خارجي إلا بعد الحصول على إذن مسبق.

ثالثاً: بيانات التفاعل بين الطلبة والنظام: تعتبر هذه البيانات أدوات هامة للعمل البحثي ولإجراء الدراسات التي قد تساعد على زيادة تفعيل استخدام أنظمة التعلم الإلكتروني والتحسين المستمر للخدمات التي تقدمها الجامعة عن طريق عمادة التعلم الإلكتروني والتعليم عن بعد ومن أهم هذه البيانات:

  • الإحصائيات والتقارير التي ينتجها النظام عن المقررات.
  • عدد الساعات التي يقضيها الطلبة في النظام وعدد مرات الدخول للنظام.
  • تقارير تتبع مستوى الطلبة.
  • عدد غرف الدردشة التي تم فتحها مع الطلاب.
  • عدد الساعات التي تم قضاؤها في إطار الفصول الافتراضية.
  • عدد الحاضرين في الفصل الافتراضي.
  • درجة التفاعل الطلابي مع المحتوى.
  • وغيرها من بيانات يتم رصده لبيان التفاعل.

رابعاً: البيانات الناتجة عن توفير خدمة تعميم الاستبيانات على الطلبة وعلى أعضاء هيئة التدريس: وهي تعتبر من الخدمات الهامة التي توفرها عمادة التعلم الإلكتروني والتعليم عن بعد خاصة أنها تمكن الباحث من الوصول إلى جميع منسوبي الجامعة بطريقة سريعة وسهلة.
ومن باب الحساسية والسرية للبيانات فإن أغلب الجامعات تحرص على أن يتم تصنيف البيانات في أي نظام إداري أو أكاديمي إلى أربع مستويات:

أ. المستوى الأول: البيانات السرية أو البيانات المقيدة:

البيانات السرية هي المعلومات التي تصنفها القوانين والأنظمة أو سياسات الجامعة بأنها سرية ولا يجب الاطلاع عليها من قبل الأشخاص الغير مصرح لهم او تلك التي تصنفها الإدارات على أنها بيانات سرية وأي بيانات حددتها الأنظمة الحكومية على أن تعامل على أنها سرية. كما تعرف أيضاً بالبيانات المقيدة باعتبارها بيانات عالية الحساسية، وقد يكون للكشف عن مثل هذه البيانات أثر سلبي كبير على العمادة أو الجامعة، وينبغي تطبيق أقصى مستويات التحكم في هذه البيانات، ومن أمثلة هذه البيانات معلومات الطلبة الحساسة والمعلومات الشخصية لأعضاء هيئة التدريس ولمستخدمي الأنظمة ومفاتيح تشفير الملفات.

ب- المستوى الثاني - البيانات الخاصة:

تُعرّف البيانات الخاصة على أنها بيانات متوسطة الحساسية، فهي لا تحتوي عادة على معلومات توصف بأنها "سرية". ومن أمثلة هذه البيانات نتائج الأبحاث والدراسات والاستبيانات.

ج- المستوى الثالث - البيانات الحساسة (للاستخدام الداخلي فقط):

هي معلومات حساسة معدة للاستخدام الرسمي، ويجب أن تكون محمية من الوصول الغير مصرح به أو التعديل أو النقل، وبالتالي فإن الإفصاح غير المرخص عن المعلومات المعدة للاستخدام الرسمي فقط يمكن أن يؤثر سلبًا على الثقة بالموظفين والمنسوبين، مثل: المعلومات الشخصية، أدلة الهاتف الداخلية، أدلة إدارة النظام وما شابهها.

ويجب أن تكون هذه البيانات محمية لمنع فقدانها أو سرقتها أو الاطلاع عليها من قبل الغير مصرح لهم. ويجب أن تكون مخزنة في أماكن مغلقة عندما لا تكون قيد الاستخدام، كما يجب أن لا يتم نشرها في أي موقع العام.

د- المستوى الرابع - البيانات المفتوحة:

هي بيانات تحتوي على معلومات قليلة الحساسية، لا يؤثر الإفصاح عنها على خصوصية أو أمن المعلومات أو أي من المتعاملين معها، وتكون عادة متاحة للنشر عبر وسائل الاتصال والإعلام، بالطرق الإلكترونية، أو الشفوية، أو المكتوبة. كما تُعرف أيضاً بالبيانات العامة بما أنها بيانات يمكن للعامة الدخول إليها، وينجر عن الكشف عن هذه البيانات تأثير إيجابي أو محايد على العمادة، ومن أمثلة هذه البيانات المقالات الصحفية والإعلامية وجداول الدورات التدريبية والنشرات الإخبارية حول أنشطة العمادة والمطبوعات المنشورة والنشرات والكتيبات وصفحات الإنترنت، ولا توجد صلاحيات أو تحديدات على هذه النوع من البيانات.

 

8. التعامل مع البيانات السرية:

عند تخزينها في شكل إلكتروني، يجب أن تكون محمية بكلمات مرور قوية وتخزينها على الخوادم التي تحتوي على تدابير الحماية التي تضعها تقنية المعلومات والأمن السيبراني من أجل حماية البيانات ضد الضياع أو السرقة، أو الوصول أو الاطلاع الغير المصرح به، كما يجب أن لا يتم الكشف عنها لأطراف دون إذن صريح من الإدارة التنفيذية. ويجب أن يتم تخزينها فقط في منطقة مغلقة خاضعة للمراقبة لتوفير الحماية الكافية ومنع الوصول غير المصرح به. كما يجب أن لا يتم نشرها في أي موقع عام.
ويجب أن يتم تدميرها عند عدم الحاجة لها ولم تعد تخضع لسياسة إدارة السجلات في الجامعة.

 

9. السياسات التنفيذية والإجراءات:

تشير لوائح جامعة أم القرى إلى أن مسؤولية تصنيف البيانات تقع على عاتق المسؤول عن هذه البيانات، كل في مجال عمله، ويتعين على المستخدمين المخولين بدخول نظم الجامعة الأكاديمية أو الإدارية أن يتحققوا من تصنيف البيانات التي يدخلون إليها من الأمين على هذه البيانات قبل أن يشاركوا الآخرين هذه البيانات داخلياً أو خارجياً، كما تشير لوائح الجامعة أن أمناء النظم الإدارية والأكاديمية هم المسؤولين عن مراجعة وتقييم البيانات التي تقع تحت مسؤوليتهم وكذلك عن تصنيفها وفق الفئات الآنف ذكرها. وأمناء البيانات مسؤولون عن تطبيق كافة إجراءات الضبط اللازمة لضمان تأمين الحماية الكافية للبيانات وذلك ضمن المسؤوليات المنوطة بهم. وفي عمادة التعلم الإلكتروني والتعليم عن بعد يكون رئيس قسم الأنظمة الإلكترونية هو المسؤول عن تطبيق هذه السياسات واحترام ما ورد بفصولها وأحكامها. كما أن المستخدمين النهائيين مسؤولون عن استخدام البيانات تبعاً للتعريفات والتصنيفات التي يحددها أمناء البيانات.

 

10. كيفية التعامل مع درجات الطلاب ونتائجهم الأكاديمية:

لا يمكن في أي حال من الأحوال استخدام البيانات المتعلقة بدرجات الطلاب، وفي صورة الحاجة المؤكدة لذلك، ويجب عدم ذكر الأسماء ومعرفات الطلبة وذلك بالقيام بإعداد ملفات للبيانات مجهولة الاسم وبدون هوية. ويحظر نشر الدرجات الإلكترونية أو الورقية بأسماء الطلاب أو أرقام معرفات الطلاب أو الضمان الاجتماعي. ومن جهة أخرى يمكن طلب ترخيص من الطلاب لمعرفة من لا يرون مانعاً في استخدام رقم معرف الطالب الخاص بهم، فيمكن نشر معرف فريد لهذا الطالب وعضو هيئة التدريس فقط. ويُسمح بنشر الدرجات الطلابية داخل أنظمة، مثل Blackboard، والتي تتطلب من الطلبة بصفة فردية المصادقة من أجل عرض الدرجات الخاصة بهم.

 

11.الأدوار والمسؤوليات:

وكالة العمادة للشؤون الفنية وقسم الأنظمة الإلكترونية لهما المسؤولية عن وضع الضوابط الإدارية والتشغيلية والمادية، والتقنية المناسبة للوصول أو استخدام أو نقل، أو التخلص من البيانات المنتجة من أنظمة التعلم الإلكتروني ومختلف المنصات والبرامج وفقاً لهذه السياسات.

جميع المعلومات المنتجة هي مسؤولية كل من يتعامل معها ويتم إنشاء تصنيف مبدئي للمعلومات، يتضمن إعطاء مستويات تصنيف لجميع المعلومات داخل الإدارة. ويتم التأكد من أن المعلومات يتم مراجعتها بانتظام حسب أهميتها ومدى التغييرات المؤثرة على أهميتها عند وقوع المخاطر: كالتهديدات الجديدة، أو نقاط الضعف المكتشفة في الأنظمة، أو أية تغييرات في البيئة المحيطة بها. كما يتم مراجعة وتعديل التصنيف بين فترة وأخرى حسب التغيرات في أولويات العمل أو القوانين والتعليمات والأنظمة.

 

12. آلية جمع البيانات وتخزينها:

يجب تخزين البيانات على خادم آمن محمي بكلمة مرور. ويجب الحرص على عدم تخزين البيانات على جهاز كمبيوتر شخصي أو جهاز تخزين قابل للإزالة (بما في ذلك أقراص USB والأقراص المدمجة وما إلى ذلك). ولا ينبغي مطلقًا إرسال البيانات عبر البريد الإلكتروني أو تخزينها في خدمة ويب. وعندما يكون من الضروري مشاركة معلومات وبيانات الطلاب يتم الاستئناس بالهياكل المختصة بالجامعة لنقل الملفات بطريقة آمنة.

 

13. إجراءات طلب البيانات من عمادة التعلم الإلكتروني والتعليم عن بعد:

يجب على الباحثين وأعضاء هيئة التدريس من داخل العمادة وخارجها التقدم بطلب للحصول على البيانات التي يوفرها نظام التعلم الإلكتروني ومختلف أدواته، عبر نظام تذكرة إلكترونية خاصة. تتم مراجعة جميع الطلبات من قبل وحدة البيانات والتأكد من توفرها ومن إمكانية إتاحتها للباحثين بالتنسيق مع قسم الأنظمة الإلكترونية وترفع تقريرها لوكالة العمادة للشؤون الفنية التي تتواصل مع قيادة العمادة للنظر في إمكانية إسناد الموافقة من عدمها وذلك في ظرف أقصاه أسبوعين من تاريخ التذكرة.

يتم دائماً التأكيد على أن البيانات مخصصة فقط للاستخدام المحدد في الطلب للأبحاث أو الإحصاء. ولا يتم مشاركتها مع الآخرين أو استخدامها لأغراض تجارية.

 

14. استخدام البيانات في البحوث دون سواها:

يلتزم عضو هيئة التدريس أو الباحث باستخدام البيانات للقيام بالأبحاث والدراسات العلمية لا غير ويمنع أي استغلال تجاري لهذه البيانات.

لا يحق لأي عضو هيئة تدريس أو باحث تحصل على بيانات من قبل عمادة التعلم الإلكتروني والتعليم عن بعد أن يسلمها لأي طرف آخر سواء كان من داخل الجامعة أو من خارجها.

أن يتم ذكر مصدر البيانات في المراجع وشكر العمادة والجامعة على إتاحة البيانات.

طلب بيانات للدراسة

جار التحميل