الأهداف الرئيسية لأمن المعلومات لدى جامعة المجمعة:
- تَعتبر الجامعة أمن المعلومات هدفاً رئيسياً من أهداف العمل لديها.
- تلتزم إدارة وموظفي ومنسوبي جامعة المجمعة بالتقيد الصارم لسياسات وممارسات أمن المعلومات لديها. وينبغي على جميع موظفي الإدارات والموظفين الآخرين والأطراف الثالثة ذات العلاقة الإلتزام بسياسات وإجراءات ومعايير أمن المعلومات.
- تؤدي مخالفة سياسات وإجراءات ومعايير أمن المعلومات إلى إجراءات تأديبية من قبل إدارة الجامعة قد تصل إلى إنهاء الخدمات وفقاً لأنظمة ولوائح المملكة العربية السعودية، والتي تشمل- دون حصر - نظام العمل والعمال، ونظام مكافحة جرائم المعلومات، ونظام التعاملات الإلكترونية، وغيرها.
- يجب أن يقتصر استخدام أنظمة المعلومات لدى الجامعة على أغراض العمل المصرح بها فقط، وعلى موظفين محدودين وفقاً لسياسة الاستخدام المقبول لأنظمة المعلومات (راجع سياسات أمن المعلومات العامة).
- يجب على الجامعة أن تتأكد من تكوين وعي كاف بأمن المعلومات بين الإدارات والموظفين والأطراف الثالثة ذات العلاقة وذلك وفقاً لمتطلبات الوعي المحددة الخاصة بهم.
- يجب أن يتم التحكم على نحو كاف بالوصول الآلي و الفعلي إلى أنظمة المعلومات لدى الجامعة، وذلك وفقاً للمخاطر التي تنطوي عليها تلك الأنظمة ومدى حساسيتها للجامعة.
- يجب حماية أنظمة المعلومات لدى الجامعة من الهجمات البرمجية الخبيثة (مثل الفيروسات، الديدان، أحصنة طروادة "التروجانات"، قنابل البريد الإلكتروني، إلخ).
- يجب على جامعة المجمعة أن تتأكد من أنه يتم اكتشاف وضبط وإدارة المخاطر التي تتعرض لها أنظمة المعلومات من الأطراف الثالثة.
- يجب على جامعة المجمعة أن تتأكد من توفير الأمن لمعلومات عملائها على نحو كاف، كما أنه على الجامعة أن تنشر وتستخدم تدابير وحلول أمنية كافية للتعامل مع المخاطر الناشئة عن وصول عملائها إلى أنظمة المعلومات لديها.
- يجب حماية وسائط مناولة المعلومات مثل (منافذ USB والأقراص الصلبة المتنقلة) من التلف وسرقة المعلومات والدخول غير المصرح به إليها.
- يجب التبليغ عن ومتابعة والتحري عن جميع حوادث أمن المعلومات ونقاط الضعف في الأنظمة الأمنية لدى الجامعة ومعالجتها بشكل فاعل.
- يجب على جامعة المجمعة أن تتأكد من تحديد جميع أنظمة المعلومات لديها وتعيينها إلى مسؤولي أنظمة المعلومات الذين يضطلعون بالمسؤولية النهائية عن أمن المعلومات في أنظمة المعلومات التابعة لهم.
- يجب تحديد وتصنيف الوثائق الحساسة لدى جامعة المجمعة وحمايتها على نحو كاف من التلف والسرقة والوصول غير المصرح به إليها.
- يجب أن تضمن جامعة المجمعة سرية المعلومات الشخصية في أنظمتها المعلوماتية بما يتوافق مع احتياجاتها الأمنية والأنظمة واللوائح المتعلقة بهذا الصدد.
- يجب على جامعة المجمعة تحديد وتطبيق والحفاظ على ضوابط أمن معلومات كافية لأنظمة المعلومات لديها بما يتواكب مع تصنيف المخاطر وأفضل الممارسات المطبقة بهذا الخصوص.
- يجب أن تحد جامعة المجمعة من فرص الإساءة، أو سوء الاستخدام، أو تدمير أنظمتها المعلوماتية وذلك من خلال التأكد من نزاهة منسوبيها الحاصلين على إمكانية الدخول إلى أنظمة المعلومات.
- يجب أن تتأكد جامعة المجمعة من وجود أمن كاف لمنشآتها الحاضنة لأنظمتها المعلوماتية، وذلك بنشر ضوابط أمن المعلومات البيئية والطبيعية بناء على المخاطر التي قد تتعرض لها.
- يجب أن تقوم جامعة المجمعة بالتحديد والتوافق مع جميع الأنظمة واللوائح السعودية (والعالمية إذا كان ضرورياً) التي تنطبق على أنظمة المعلومات.
- يتعين على جامعة المجمعة الأخذ في اعتبارها بشكل استباقي متطلبات أمن المعلومات أثناء مرحلة شراء/تطوير أنظمة المعلومات بما يتوافق مع سياسات وإجراءات ومعايير أمن المعلومات لديها، وأفضل الممارسات المتبعة بهذا الصدد.
- يجب أن يتم التحكم بالتغييرات التي تتم على أنظمة المعلومات الرئيسية من خلال سياسة إدارة التغيير للحد من أثر الحوادث المتعلقة بالتغيير في أنظمة المعلومات.
- يجب أن يتم مراقبة حالة أمن المعلومات ضمن أنظمة المعلومات التابعة لجامعة المجمعة من خلال تخطيط ونشر أساليب كافية لمراقبة أمن المعلومات بما يتواكب مع المخاطر ذات العلاقة ومدى حساسية أنظمة المعلومات.
- يجب على جامعة المجمعة أن تقوم بتقييم أمن المعلومات الخاص بأنظمتها المعلوماتية لتحديد نقاط الضعف والتهديدات والمخاطر التي تحيط بأمن المعلومات لديها، ومن ثم اتخاذ الإجراءات العلاجية المناسبة وبالسرعة الواجبة.
- يتعين على جامعة المجمعة أن تقوم بالتخطيط وإجراء مراجعات وتدقيق مستقل لأمن المعلومات لديها بما يتوافق مع المخاطر ذات العلاقة وحساسية أنظمة المعلومات. ويتوجب عليها اتخاذ الإجراءات المناسبة وفي الأوقات الواجبة لمعالجة الملاحظات التي تم تحديدها أثناء عملية التدقيق والمراجعة.
- يجب على جامعة المجمعة التأكد من حماية عملياتها وخدماتها الحساسة في الوقت المناسب من آثار الإخفاقات الرئيسية أو الكوارث لأنظمة المعلومات، وذلك من خلال خطة رسمية للحفاظ على استمرارية العمل واستمرارية توفر الخدمات والتأكد من استخدام وحدات إضافية مسانده.
- يجب أن يلتزم منسوبي جامعة المجمعة والأطراف الثالثة ذات العلاقة بتحديد والتبليغ عند ملاحظتهم لأي غش أو ممارسات أو أنشطة غير سليمة. كما تلتزم الجامعة بمنع النشاطات التي تنطوي على غش و تقوم باتخاذ إجراءات سريعة وفاعلة حيال تلك الحوادث المبلغ عنها.
الإستخدام المقبول لأنظمة المعلومات
الإستخدامات العامة والملكية
- ـ يصرح للمستخدمين باستخدام مصادر المعلومات لدى جامعة المجمعة فقط لأغراض العمل المصرح لهم القيام بها. ويمنع منعاً باتاً أي استخدام غير مصرح به لأنظمة ومصادر المعلومات لدى الجامعة كالإستخدام الشخصي أو بالنيابة عن أي طرف ثالث (مثل عميل شخصي، أحد أفراد الأسرة، أغراض سياسية أو خيرية أو مدرسية أو خلافه)، وسيتعرض المستخدم الذي يخالف ذلك للإجراءات التأديبية و/أو القانونية المناسبة.
- ـ تؤول ملكية كافة بيانات الحاسب الآلي التي تم إنشاؤها أو استلامها أو إرسالها باستخدام أنظمة المعلومات لدى جامعة المجمعة للجامعة ولا تعتبر مملوكة من قبل المستخدم. وتحتفظ جامعة المجمعة بحقها بفحص كافة البيانات لأي سبب ودون إخطار، ومثال ذلك عندما تكون هناك شبهات بمخالفة هذه القواعد أو أية سياسة من سياسات الجامعة.
- ـ ينبغي على الموظفين والمقاولين و المستخدمين من طرف ثالث الذين يستخدمون أو الذين لديهم إمكانية الوصول إلى معلومات جامعة المجمعة أن يكونوا على دراية بالحدود الحالية لاستخدامهم لأنظمة المعلومات لدى الجامعة وهم مسئولون عن استخدامهم لأنظمة المعلومات وأي استخدام يتم تحت مسئوليتهم.
حقوق الملكية الفكرية والترخيص
- ـ جامعة المجمعة تقدر وتحترم حقوق الملكية الفكرية (التي تشمل حقوق النسخ، وحقوق التصميم، وحقوق براءة الاختراع وتراخيص الشفرات المصدرية للبرامج والوثائق) المرتبطة بأنظمة المعلومات لديها.
- ـ يمنع انتهاك أي حقوق لأي شخص أو شركة محمية بحقوق النسخ أو براءة الاختراع أو حقوق الملكية الفكرية الأخرى، أو الأنظمة واللوائح المشابهة، بما في ذلك، ودون حصر، تركيب البرامج غير المصرح بها أو غير القانونية على أنظمة الجامعة أو الأنظمة الأخرى غير التابعة إلى جامعة المجمعة لكنها موصولة مع بيئة تقنية المعلومات لدى الجامعة.
- ـ يجب أن تحتفظ عمادة تقنية المعلومات بمعلومات مناسبة عن التراخيص والأحكام والشروط المتعلقة بأنظمة المعلومات الهامة التي لديها.
- ـ يمنع منعاً باتاً استخدام برمجيات أو حقوق ملكية فكرية غير مرخصة.
الإستخدام غير المقبول للأنظمة والشبكة
- ـ يمنع إدخال برامج خبيثة (مثل الفيروسات، الديدان الإلكترونية، أحصنة طروادة، إلخ) إلى أنظمة معلومات الجامعة.
- ـ يمنع إدخال البرامج المجانية أو المشتركة في شبكة الجامعة سواء تم تحميلها من الإنترنت أو تم الحصول عليها من وسائط أخرى، دون تفويض من عميد تقنية المعلومات.
- ـ يمنع استخدام أنظمة معلومات الجامعة لتخزين، معالجة، تحميل، أو إرسال البيانات التي يمكن أن تعتبر منحازة (سياسياً، دينياً، عنصرياً، عرقياً، إلخ) أو تنطوي على مضايقة.
- ـ يمنع تقديم عروض أو منتجات أو بنود أو خدمات تنطوي على الغش والخداع باستخدام موارد الأنظمة لدى الجامعة.
- ـ يمنع تقديم عروض أو منتجات أو بنود أو خدمات تنطوي على الغش والخداع باستخدام موارد الأنظمة لدى الجامعة.
- ـ يمنع تنفيذ أي شكل من أشكال مراقبة الشبكة والتي يتم خلالها اعتراض البيانات التي لا تعني الجهاز المضيف لحساب الموظف، إلا إذا كان هذا النشاط جزءاً من الوظيفة/ المهمة المصرح بها للموظف.
- ـ يمنع التحايل أو الالتفاف حول تعريف هوية المستخدم أو أمن أي مضيف أو شبكة أو حاسوب.
- ـ يمنع استخدام أي برنامج/ لغة/ أمر، أو إرسال الرسائل من أي نوع، بغرض التداخل مع أو تعطيل طرفيه أي مستخدم، من خلال أية وسائل، محلياً أو عبر الإنترنت/ الإنترانت/ الإكسترانت.
- ـ يمنع تزويد معلومات تتعلق بموظفي جامعة المجمعة أو قوائم بأسمائهم إلى أي أطراف خارج الجامعة.
- ـ يجب تغيير كلمات المرور على مستوى نظام المعلومات كل ثلاثة أشهر
استخدام البريد الإلكتروني والاتصالات
- يمنع إرسال أية رسائل بريد إلكتروني غير مطلوبة(طوعية unsolicited)بما في ذلك إرسال "البريد غير النافع Junk" أو المواد الإعلانية الأخرى إلى الأشخاص الذي لم يطلبوا تلك المواد بصفة محددة(رسائل البريد الإلكتروني الاقتحامية).
- ـ تمنع المضايقة عبر البريد الإلكتروني أو الهاتف أو الفاكس أو Paging، سواء من حيث اللغة أو بتكرار أو حجم الرسائل.
- ـ يمنع منعاً باتاً الاستخدام غير المصرح به أو تزوير معلومات ترويسة البريد الإلكتروني أو محتوياتها.
- ـ يمنع إنشاء أو تحرير "الرسائل التسلسلية chain letters" أو "Ponzi" أو برامج "هرمية pyramid schemes" من أي نوع.
- ـ يمنع منعاً باتاً التسجيل لدى والتراسل مع المجموعات الإخبارية والمدونات نيابة عن جامعة المجمعة (الرسائل الاقتحامية للمجموعات الإخبارية).
- ـ ينبغي على موظفي جامعة المجمعة توخي أقصى درجات الحذر عند إرسال أي بريد إلكتروني من داخل الجامعة إلى شبكات خارجها. وباستثناء ما إذا تم الحصول على موافقة مدير الموظف، فإن رسائل البريد الإلكتروني لدى الجامعة لن يتم تحويلها بشكل موثق إلى أية وجهة خارجية. ويجب عدم تمرير المعلومات الحساسة بواسطة أية وسيلة إلا إذا كانت رسالة البريد الإلكترونية هامة جداً للعمل ومشفرة.
إبداء العناية الواجبة
- يكون كل مستخدم مسئولاً عن منع الوصول غير المصرح به، بما في ذلك المشاهدة، إلى مصادر المعلومات الواقعة تحت مسئوليته أو تحكمه (مثل المعلومات المتوفرة في الأجهزة المحمولة، أجهزة سطح المكتب، طرفيات الدخول، الطابعات، أو وسائط الأشرطة، إلخ).
- ـ يكون كل مستخدم مسئولاً عن إبلاغ إدارة أمن المعلومات بأي سلوك يشتبه بأنه ناتج عن الفيروسات أو أي أنشطة مشبوهة في أنظمتهم عن طريق صفحة الويب الخاصة بوحدة أمن المعلومات.
- ـ من المقبول تصفح النطاق العام لإجراء بعض البحث شريطة إلتزام المستخدمين بسياسات ومعايير وإجراءات جامعة المجمعة فيما يتعلق بهذا الاستخدام.
كما أن على المستخدمين في هذه الحالة الالتزام بسياسات ومعايير وإجراءات المواقع التي يبحثون فيها.
سياسة استخدام الإنترنت :
- على مستخدمي الإنترنت من خلال شبكة جامعة المجمعة ألا يتوقعوا أية خصوصية للمعلومات المخزنة والمعالجة والمرسلة باستخدام نظام المعلومات لدى الجامعة. وينبغي على الجامعة وضع آلية للتحكم ومراقبة استخدام الإنترنت بما في ذلك حجب الوصول إلى فئات معينة من المواقع الإلكترونية (مثل المواقع الإباحية). ويكون الحجب بالتوازي مع استخدام ضوابط أخرى فنية وإجرائية مثل تسجيل الأنشطة التي يقوم بها المستخدم. ويمكن مراقبة هذه السجلات للتأكد من عدم إساءة استخدام الإنترنت. وستتعقب هذه السجلات استخدام الإنترنت وتراقب محتوى وطبيعة المواقع التي يدخلها المستخدمون.
- لن تقف جامعة المجمعة مكتوفة الأيدي نحو إساءة استخدام الإنترنت، وخصوصاً الأنشطة التي قد تعرضها للملاحقة القضائية أو إجراءات قانونية (ويشمل ذلك الإباحية، ومضايقة الأشخاص). وستتخذ الجامعة الإجراءات التأديبية المناسبة والتي قد تصل إلى فصل الموظف، في حالة قيام المستخدم بأي أنشطة غير قانونية، فإن الجامعة تحتفظ بحقها بالتبليغ عن هذه الأنشطة إلى السلطات التنظيمية أو الحكومية أو القانونية ذات العلاقة.
- تقوم جامعة المجمعة بحجب فئات محددة من المواقع الإلكترونية بناءً على قوائم أو قواعد بيانات معينة. وهذه القوائم أو قواعد البيانات ليست دقيقة وحديثة دائماً. وإذا ما تم الدخول إلى أي موقع إلكتروني غير قانوني أو لا يتعلق بالعمل، فإن ذلك لا يعني أن الجامعة قد صرحت بالدخول إليه أو اعتبرته مقبولاً. بالتالي، فعلى المستخدمين عدم زيارة مثل تلك المواقع الإلكترونية التي قد تعتبر غير قانونية أو غير أخلاقية أو تتنافى مع مبادئ الجامعة.
- على المستخدم فهم الوقت الذي يقضيه في الاستخدام الشخصي للإنترنت والذي يمكن اعتباره مقبولاً. وللمستخدم استشارة إدارته لاستيضاح هذه المتطلبات.
- يجب عدم استخدام عناوين البريد الإلكتروني العامة أو الشخصية لإرسال رسائل إلكترونية تتضمن معلومات تتعلق بالعمل.
- على المستخدم ملاحظة أن رسائل البريد الإلكترونية المرسلة من أجهزة الكمبيوتر الخاصة بالعمل باستخدام حسابات البريد الإلكترونية العامة مثل ياهو وجي ميل وغيرهما يمكن أن يتم تتبعها من قبل المستلم كونها مرسلة من الجامعة وبالتالي، فإن أية إساءة استخدام يمكن أن تعرض جامعة المجمعة إلى الإجراءات القضائية.
- إذا كان هناك مواقع معينة تم حجبها وكان واجباً ألا يتم حجبها (أو بالعكس)، فعلى المستخدم إشعار إدارة أمن المعلومات بذلك عن طريق صفحة الويب الخاصة بهم.
- إذا قام المستخدم بشكل عرضي بزيارة موقع غير لائق، أو إذا تم توجيهه آلياً إلى ذلك الموقع، فإن عليه مغادرة ذلك الموقع فوراً.
- على المستخدمون الامتناع عن تنزيل أي برمجيات أو أية مواد أخرى (موسيقى، صور، إلخ) لا علاقة لها بالعمل.
- أثناء تنزيل المعلومات المتعلقة بالعمل، ينبغي على المستخدم التأكد من عدم مخالفة أي حقوق ملكية فكرية مما قد يعرض الجامعة لمخاطر الإجراءات القضائية.
- على جامعة المجمعة التأكد بأن المعلومات المتاحة على موقعها الإلكتروني قد تم التحقق منها والتأكد من صحتها بشكل ملائم.
- ينبغي على المستخدم أن لا يسجل عنوان بريده الإلكتروني الخاص بالعمل على أي موقع إلكتروني لا يتعلق بالعمل.