السياسات

  • سياسة الاستخدام المقبول للأصول
  • الأهداف 

الغرض من هذه السياسة هو توفير متطلبات الأمن السيبراني المبنية على أفضل الممارسات والمعايير المتعلقة بتوثيق متطلبات الأمن السيبراني والتزام جامعة بيشة بها، لتقليل المخاطر السيبرانية وحمايتها من التهديدات الداخلية والخارجية، ويتم ذلك من خلال التركيز على الأهداف الأساسية للحماية وهي: سرية المعلومات، وسلامتها، وتوافرها.

وتهدف هذه السياسة إلى الالتزام بمتطلبات الأعمال التنظيمية الخاصة بجامعة بيشة، والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم ١-٣-١ من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.

تغطي هذه السياسة جميع الأصول المعلوماتية والتقنية لجامعة بيشة، وتنطبق هذه السياسة على منسوبي جامعة بيشة (طلاب - أعضاء هيئة تدريس - موظفين) وعلى أي طرف ثالث بما في ذلك الشركاء، أو الشركات التابعة لها، وعلى نظم معالجة البيانات ونظم ضبط العمليات التي تحتوي على، أو تستخدم معلومات و/أو تسهيلات تعود ملكيتها للجامعة.

وتسري هذه السياسة على كافة الموظفين/ المستخدمين الذين يعملون بصورة مباشرة أو غير مباشرة لدى الجامعة، أو الجهات التابعة لها أو أية جهة تقوم بتنفيذ عمل نيابة عن الجامعة يتضمن استخدام الأصول المعلوماتية التابعة لها.

وتعتبر هذه السياسة هي المحرك الرئيسي لجميع سياسات الأمن السيبراني وإجراءاته ومعاييره ذات المواضيع المختلفة، وكذلك أحد المدخلات لعمليات جامعة بيشة الداخلية، مثل عمليات الموارد البشرية وعمليات إدارة الموردين وعمليات إدارة المشاريع وإدارة التغيير وغيرها.

  • عناصر السياسة 

يناط بإدارة الأمن السيبراني تحديد معايير الأمن السيبراني وتوثيق سياساته وبرامجه، بناءً على نتائج تقييم المخاطر، وبشكل يضمن نشر متطلبات الأمن السيبراني، والتزام جامعة بيشة بها، وذلك وفقاً لمتطلبات الأعمال التنظيمية لـجامعة بيشة ، والمتطلبات التشريعية والتنظيمية ذات العلاقة. واعتمادها من قبل معالي رئيس الجامعة. كما يجب إطلاع العاملين المعنيين في جامعة بيشة والأطراف ذات العلاقة عليها.

​​​​​​​

​​​​​​​

                    سياسة الأمن السيبراني للاستخدام المقبول للاصول.pdf             لتحميل وتصفح السياسة                                                                         



  • سياسة إدارة هويات الدخول والصلاحيات


الغرض من هذه السياسة هو توفير متطلبات الأمن السيبراني المبنية على أفضل الممارسات والمعايير المتعلقة بإدارة هويات الدخول والصلاحيات على الأصول المعلوماتية والتقنية الخاصة بجامعة بيشة لتقليل المخاطر السيبرانية وحمايتها من التهديدات الداخلية والخارجية، وذلك من خلال التركيز على الأهداف الأساسية للحماية وهي: سرية المعلومات، وسلامتها، وتوافرها.

   تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم ٢-٢-١ من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.

تغطي هذه السياسة جميع الأصول المعلوماتية والتقنية الخاصة بجامعة بيشة، وتنطبق هذه السياسة على منسوبي جامعة بيشة (طلاب - أعضاء هيئة تدريس - موظفين) وعلى أي طرف ثالث سواء بما في ذلك الشركاء، أو الشركات التابعة لها، وعلى نظم معالجة البيانات ونظم ضبط العمليات التي تحتوي على، أو تستخدم معلومات و/أو تسهيلات تعود ملكيتها للجامعة.

وتسري هذه السياسة على كافة الموظفين/ المستخدمين الذين يعملون بصورة مباشرة أو غير مباشرة لدى الجامعة، أو الجهات التابعة لها أو أية جهة تقوم بتنفيذ عمل نيابة عن الجامعة يتضمن استخدام الأصول المعلوماتية التابعة لها.

  • بنود السياسة 
  1. إدارة هويات الدخول والصلاحيات (Identity and Access Management 
  2. إدارة الصلاحيات 

- توثيق واعتماد إجراءات لإدارة الوصول يوضح آلية منح صلاحيات الوصول للأصول المعلوماتية والتقنية وتعديلها وإلغائها في جامعة بيشة ، ومراقبة هذه الآلية والتأكد من تطبيقها. 

- إنشاء هويات المستخدمين(User Identities) وفقاً للمتطلبات التشريعية والتنظيمية الخاصة بـجامعة بيشة. 

- التحقق من هوية المستخدم (Authentication) والتحقق من صحتها قبل منح المستخدم صلاحية الوصول إلى الأصول المعلوماتية والتقنية. 

- توثيق واعتماد مصفوفة (Matrix) لإدارة تصاريح وصلاحيات المستخدمين (Authorization) بناءً على مبادئ التحكم بالدخول والصلاحيات التالية:

   - مبدأ الحاجة إلى المعرفة والاستخدام (Need-to-Know and Need-to-Use). 

   - مبدأ فصل المهام (Segregation of Duties). 

   - مبدأ الحد الأدنى من الصلاحيات والامتيازات (Least Privilege).

- تطبيق ضوابط التحقّق والصلاحيات على جميع الأصول التقنية والمعلوماتية في جامعة بيشة من خلال نظام مركزي آلي للتحكّم في الوصول، مثل بروتوكول النفاذ إلى الدليل البسيط (Lightweight Directory Access Protocol "LDAP"). 

- منع استخدام الحسابات المشتركة (Generic User) للوصول إلى الأصول المعلوماتية والتقنية الخاصة بـجامعة بيشة. 

- ضبط إعدادات الأنظمة ليتم إغلاقها تلقائياً بعد فترة زمنية محدّدة (Session Timeout)، (يوصى ألا تتجاوز الفترة 15 دقيقة). 

- تعطيل حسابات المستخدمين غير المستخدمة خلال فترة زمنية محدّدة (يوصى ألا تتجاوز الفترة 90 يوما.(

- ضبط إعدادات جميع أنظمة إدارة الهويات والوصول لإرسال السجلات إلى نظام تسجيل ومراقبة مركزي وفقاً لسياسة إدارة سجلات الأحداث ومراقبة الأمن السيبراني. 

- عدم منح المستخدمين صلاحيات الوصول أو التعامل المباشر مع قواعد البيانات للأنظمة الحساسة، حيث يكون ذلك من خلال التطبيقات فقط، ويستثنى من ذلك مشرفي قواعد البيانات (Database Administrators). [CSCC-2-2-1-7] 

- توثيق واعتماد إجراءات واضحة للتعامل مع حسابات الخدمات (Service Account) والتأكد من إدارتها بشكل آمن ما بين التطبيقات والأنظمة، وتعطيل الدخول البشري التفاعلي (Interactive Login) من خلالها (CSCC-2-2-1-7)).



  • السياسة العامة للأمن السيبراني 

​ 

الأهداف

الغرض من هذه السياسة هو توفير متطلبات الأمن السيبراني المبنية على أفضل الممارسات والمعايير المتعلقة بتوثيق متطلبات الأمن السيبراني والتزام جامعة بيشة بها، لتقليل المخاطر السيبرانية وحمايتها من التهديدات الداخلية والخارجية، ويتم ذلك من خلال التركيز على الأهداف الأساسية للحماية وهي: سرية المعلومات، وسلامتها، وتوافرها.

وتهدف هذه السياسة إلى الالتزام بمتطلبات الأعمال التنظيمية الخاصة بجامعة بيشة، والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم ١-٣-١ من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.

تغطي هذه السياسة جميع الأصول المعلوماتية والتقنية لجامعة بيشة، وتنطبق هذه السياسة على منسوبي جامعة بيشة (طلاب - أعضاء هيئة تدريس - موظفين) وعلى أي طرف ثالث سواء بما في ذلك الشركاء، أو الشركات التابعة لها، وعلى نظم معالجة البيانات ونظم ضبط العمليات التي تحتوي على، أو تستخدم معلومات و/أو تسهيلات تعود ملكيتها للجامعة.

وتسري هذه السياسة على كافة الموظفين/ المستخدمين الذين يعملون بصورة مباشرة أو غير مباشرة لدى الجامعة، أو الجهات التابعة لها أو أية جهة تقوم بتنفيذ عمل نيابة عن الجامعة يتضمن استخدام الأصول المعلوماتية التابعة لها.

وتعتبر هذه السياسة هي المحرك الرئيسي لجميع سياسات الأمن السيبراني وإجراءاته ومعاييره ذات المواضيع المختلفة، وكذلك أحد المدخلات لعمليات جامعة بيشة الداخلية، مثل عمليات الموارد البشرية وعمليات إدارة الموردين وعمليات إدارة المشاريع وإدارة التغيير وغيرها.

 يناط بإدارة الأمن السيبراني تحديد معايير الأمن السيبراني وتوثيق سياساته وبرامجه، بناء على نتائج تقييم المخاطر، وبشكل يضمن نشر متطلبات الأمن السيبراني، والتزام جامعة بيشة بها، وذلك وفقا لمتطلبات الأعمال التنظيمية لـجامعة بيشة، والمتطلبات التشريعية والتنظيمية ذات العلاقة. واعتمادها من قبل سعادة رئيس الجامعة. كما يجب اطلاع منسوبي جامعة بيشة والأطراف ذات العلاقة عليها.

  1. يناط بإدارة الأمن السيبراني تطوير سياسات الأمن السيبراني ومعاييره وتطبيقها، والمتمثلة في:
    1. سياسة الأمن السيبراني المتعلق بالموارد البشرية (Cybersecurity in Human Resources) للتأكد من أن مخاطر الأمن السيبراني ومتطلباته المتعلقة بالعاملين (الموظفين والمتعاقدين) في جامعة بيشة تعالج بفعالية قبل إنهاء عملهم، وأثنائه وعند انتهائه، وذلك وفقاً للسياسات والإجراءات التنظيمية لجامعة بيشة، والمتطلبات التشريعية والتنظيمية ذات العلاقة.
    2.    سياسة إدارة الأصول (Asset Management) للتأكد من أن جامعة بيشة لديها قائمة جرد دقيقة وحديثة للأصول تشمل التفاصيل ذات العلاقة لجميع الأصول المعلوماتية والتقنية المتاحة لجامعة بيشة، من أجل دعم العمليات التشغيلية لجامعة بيشة ومتطلبات الأمن السيبراني، لتحقيق سرية الأصول المعلوماتية والتقنية وسلامتها لجامعة بيشة ودقتها وتوافرها.
    3. سياسة إدارة هويات الدخول والصلاحيات (Identity and Access Management) لضمان حماية الأمن السيبراني للوصول المنطقي (Logical Access) إلى الأصول المعلوماتية والتقنية لجامعة بيشة من أجل منع الوصول غير المصرح به، وتقييد الوصول إلى ما هو مطلوب لإنجاز الأعمال المتعلقة بجامعة بيشة. 
    4. سياسة حماية البريد الإلكتروني (Email Protection) لضمان حماية البريد الإلكتروني لجامعة بيشة من المخاطر السيبرانية.
    5. سياسة أمن الشبكات (Networks Security Management) لضمان حماية شبكات جامعة بيشة من المخاطر السيبرانية.
    6. سياسة أمن أجهزة المستخدمين والأجهزة المحمولة والأجهزة الشخصية (Mobile Devices Workstations and BYOD) لضمان حماية أجهزة جامعة بيشة المحمولة ما في ذلك أجهزة الحاسب المحمول، والهواتف الذكية، والأجهزة الذكية اللوحية) من المخاطر السيبرانية. ولضمان التعامل بشكل آمن مع المعلومات الحساسة، والمعلومات الخاصة بأعمال جامعة بيشة وحمايتها، أثناء النقل والتخزين، وعند استخدام الأجهزة الشخصية للعاملين في جامعة بيشة (مبدأ "BYOD").
    7. سياسة التشفير (Cryptography) لضمان الاستخدام السليم والفعال للتشفير؛ لحماية الأصول المعلوماتية الإلكترونية لجامعة بيشة، وذلك وفقاً للسياسات، والإجراءات التنظيمية لجامعة بيشة، والمتطلبات التشريعية والتنظيمية ذات العلاقة.
    8. سياسة إدارة الثغرات ومعياره (Vulnerabilities Management) لضمان اكتشاف الثغرات التقنية في الوقت المناسب، ومعالجتها بشكل فعال، وذلك لمنع احتمالية استغلال هذه الثغرات من قبل الهجمات السيبرانية وتقليل ذلك، وكذلك تقليل الآثار المترتبة على أعمال جامعة بيشة.
    9. سياسة اختبار الاختراق (Penetration Testing) لتقييم مدى فعالية قدرات تعزيز الأمن السيبراني واختباره في جامعة بيشة، وذلك من خلال محاكاة تقنيات الهجوم السيبراني الفعلية وأساليبه، ولاكتشاف نقاط الضعف الأمنية غير المعروفة، والتي قد تؤدي إلى الاختراق السيبراني لجامعة بيشة؛ وذلك وفقاً للمتطلبات التشريعية والتنظيمية ذات العلاقة
    10. سياسة إدارة سجلات الأحداث ومراقبة الأمن السيبراني (Cybersecurity Event Logs and Monitoring Management) لضمان جمع سجلات أحداث الأمن السيبراني، وتحليلها، ومراقبتها في الوقت المناسب؛ من أجل الاكتشاف الاستباقي للهجمات السيبرانية، وإدارة مخاطرها بفعالية؛ لمنع الآثار السلبية المحتملة على أعمال جامعة بيشة أو تقليلها.
    11. سياسة حماية تطبيقات الويب (Web Application Security) لضمان حماية تطبيقات الويب الداخلية والخارجية لجامعة بيشة من المخاطر السيبرانية.
    12. سياسة الأمن السيبراني المتعلقة بالأطراف الخارجية (Third-Party and Cloud Computing Cybersecurity) لضمان حماية أصول جامعة بيشة من مخاطر الأمن السيبراني المتعلقة بالأطراف الخارجية (بما في ذلك خدمات الإسناد لتقنية المعلومات "Outsourcing" والخدمات المدارة "Managed Services") وفقاً للسياسات والإجراءات التنظيمية لجامعة بيشة، والمتطلبات التشريعية والتنظيمية ذات العلاقة.
    13. سياسة الأمن السيبراني المتعلقة بالحوسبة السحابية والاستضافة (Cloud Computing and Hosting Cybersecurity) لضمان معالجة المخاطر السيبرانية، وتنفيذ متطلبات الأمن السيبراني للحوسبة السحابية، والاستضافة بشكل ملائم وفعّال، وذلك وفقاً للسياسات والإجراءات التنظيمية لجامعة بيشة، والمتطلبات التشريعية والتنظيمية، والأوامر والقرارات ذات العلاقة. وضمان حماية الأصول المعلوماتية والتقنية لجامعة بيشة على خدمات الحوسبة السحابية، التي تتم استضافتها أو معالجتها، أو إدارتها بواسطة أطراف خارجية.
    14. سياسة الحماية من البرمجيات الضارة (Protection from Malicious Software) لضمان حماية أجهزة المستخدمين والأجهزة المحمولة والخوادم من تهديدات البرمجيات الضارة وتقليل المخاطر السيبرانية الناتجة عن التهديدات الداخلية والخارجية من خلال التركيز على الأهداف الأساسية للحماية وهي: سرية المعلومات، وسلامتها، وتوافرها.
    15. سياسة إدارة حزم التحديثات والإصلاحيات (Patch Management) لتقليل المخاطر السيبرانية وحمايتها من التهديدات الداخلية والخارجية من خلال التركيز على الأهداف الأساسية للحماية وهي: سرية المعلومات، وسلامتها، وتوافرها.
    16. سياسة أمن الخوادم (Server Security) لتقليل المخاطر السيبرانية وحمايتها من التهديدات الداخلية والخارجية من خلال التركيز على الأهداف الأساسية للحماية وهي: سرية المعلومات، وسلامتها، وتوافرها.
    17. سياسة الإعدادات والتحصين (Configuration Guidance) لمقاومة الهجمات السيبرانية من خلال التركيز على الأهداف الأساسية للحماية وهي: سرية المعلومات، وسلامتها، وتوافرها.
    18. سياسة أمن قواعد البيانات (Database Security) لضمان توفير متطلبات الأمن السيبراني المبنية على أفضل الممارسات والمعايير المتعلقة بحماية قواعد البيانات (Database) لتقليل المخاطر السيبرانية وحمايتها من التهديدات الداخلية والخارجية من خلال التركيز على الأهداف الأساسية للحماية وهي: سرية المعلومات، وسلامتها، وتوافرها.
    19. سياسة الاستخدام المقبول للأصول (IT Resources Acceptable Use) لضمان توفير متطلبات الأمن السيبراني؛ لتقليل المخاطر السيبرانية، المتعلقة باستخدام أنظمة جامعة بيشة وأصولها، وحمايتها من التهديدات الداخلية والخارجية، والعناية بالأهداف الأساسية للحماية؛ وهي المحافظة على سرية المعلومة، وسلامتها، وتوافرها.


       
       
       
  1. بالإضافة الى المعايير التالية:
  • معيار أمن أجهزة المستخدمين.
  • معيار أمن الأجهزة المحمولة.
  • معيار أمن الشبكات.
  • معيار أمن الخوادم
  • معيار إدارة الثغرات
  • معيار إدارة حوادث وتهديدات الأمن السيبراني
  •  معيار أمن قواعد البيانات.
  • معيار حماية البريد الالكتروني. 
  •  معيار الحماية من البرمجيات الضارة.
  •  إدارة سجلات الاحداث ومراقبة الامن السيبراني.
  • معيار اختبار الاختراق.
  • معيار التشفير.
  • معيار التطوير الأمن للتطبيقات.



  1. يحق لإدارة الأمن السيبراني الاطلاع على المعلومات، وجمع الأدلة اللازمة؛ للتأكد من الالتزام بالمتطلبات التشريعية والتنظيمية ذات العلاقة المتعلقة بالأمن السيبراني.
  2. سيتم استحداث وتطوير سياسات ومعايير جديده او تعديل السياسات والمعايير الحالية حسب متطلبات بيئة العمل الادارية والتقنية في الجامعة.
  1. يقوم صاحب الصلاحية (سعادة رئيس الجامعة) بضمان التزام جامعة بيشة بهذه السياسة دورياً.
  2. يجب على مدير إدارة الأمن السيبراني التأكد من التزام جامعة بيشة بهذه السياسة دورياً.
  3. يجب على كافة منسوبي جامعة بيشة أو أي طرف ثالث الالتزام بهذه السياسة.
  4. قد يعرض أي انتهاك لهذه السياسة صاحب المخالفة إلى إجراء تأديبي حسب الإجراءات المتبعة في جامعة بيشة وأنظمة ولوائح المملكة العربية السعودية، والتي تشمل- دون حصر - نظام العمل والعمال، ونظام مكافحة جرائم المعلوماتية، ونظام التعاملات الإلكترونية، وغيرها.

يُمنع تجاوز سياسات الأمن السيبراني ومعاييره، دون الحصول على تصريح رسمي مسبق من مشرف إدارة الأمن السيبراني أو اللجنة الإشرافية للأمن السيبراني، ما لم يتعارض مع المتطلبات التشريعية والتنظيمية ذات العلاقة.


 

السياسة العامة للأمن السيبراني.pdf