السياسة العامة للأمن السيبراني – جامعة نجران
الجهة: إدارة الأمن السيبراني
المرجع: الهيئة الوطنية للأمن السيبراني
الإصدار: 1.2
التاريخ: 10/01/2022
تصنيف الوثيقة: داخلي – مقيّد

1. السياسة العامة:
تهدف هذه السياسة إلى توفير متطلبات الأمن السيبراني المبنية على أفضل الممارسات والمعايير المتعلقة بتوثيق متطلبات الأمن السيبراني والالتزام بها في جامعة نجران، لتقليل المخاطر السيبرانية وحماية الأصول التقنية والمعلوماتية من التهديدات الداخلية والخارجية. يتم ذلك من خلال التركيز على الأهداف الأساسية التالية:
- سرية المعلومات
- سلامة المعلومات
- توافر المعلومات

كما تهدف هذه السياسة إلى الالتزام بكافة متطلبات الأعمال التنظيمية الخاصة بجامعة نجران، والمتطلبات التشريعية والتنظيمية ذات العلاقة، واتباع الضوابط الوطنية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني (ECC-1:2018).

2. الأهداف:
1. الالتزام بمتطلبات الأعمال التشريعية والتنظيمية إلى جانب متطلبات الهيئة الوطنية للأمن السيبراني.
2. تحقيق الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.
3. نشر متطلبات الأمن السيبراني وتوضيحها لجميع منسوبي الجامعة لضمان فهمها والالتزام بها.

3. نطاق العمل وقابلية التطبيق:
تطبق هذه السياسة على كافة الأصول المعلوماتية والتقنية في جامعة نجران، بما في ذلك:
- الأجهزة الحاسوبية (مكتبية، محمولة، ولوحية).
- البنية التحتية للشبكات وأنظمة الاتصالات.
- المنصات والتطبيقات الإلكترونية.
- قواعد البيانات والمعلومات المخزنة.
- أي أجهزة أو نُظم مرتبطة بأنشطة الجامعة الرقمية.

تعتبر هذه السياسة المرجع الرئيسي لجميع سياسات وإجراءات الأمن السيبراني ذات العلاقة بإدارة المشاريع التقنية، والموارد البشرية، والموردين، وإدارة تغيير الأنظمة، وغيرها من العمليات التي تمس الأصول المعلوماتية والتقنية في الجامعة.

4. عناصر السياسة:
يجب على إدارة الأمن السيبراني في جامعة نجران تطوير، ومراجعة، وتنفيذ العناصر التالية بصفة دورية:

4-1. تطوير سياسات الأمن السيبراني:
- وضع معايير وسياسات واضحة للأمن السيبراني تعتمد على تقييم المخاطر في الجامعة.
- اعتماد هذه السياسات من قِبل الجهات التنظيمية المعنية داخل الجامعة، وموافقة إدارة الجامعة عليها.

4-2. استراتيجية الأمن السيبراني (Cybersecurity Strategy):
- إعداد استراتيجية شاملة تهدف إلى حماية الأصول التقنية والمعلوماتية لجامعة نجران.
- تضمين الأهداف والسياسات والسياسات التنفيذية والعناصر المرتبطة بالحوكمة والعمليات ضمن إطار الاستراتيجية.

4-3. أدوار ومسؤوليات الأمن السيبراني (Cybersecurity Roles and Responsibilities):
- تحديد مهام ومسؤوليات واضحة لجميع الأطراف المشاركة في تطبيق ضوابط الأمن السيبراني داخل الجامعة.
- ضمان وجود هيكل تنظيمي يؤدي دور الإشراف والمتابعة والتقييم المستمر لفعالية الأمن السيبراني.

4-4. إدارة مخاطر الأمن السيبراني (Cybersecurity Risk Management):
- إنشاء برنامج منهجي لتحديد وتقييم مخاطر الأمن السيبراني.
- وضع ضوابط وإجراءات للتعامل مع المخاطر وفقًا للأولويات، بما يضمن حماية الأصول التقنية والمعلوماتية.

4-5. الأمن السيبراني في المشاريع التقنية (Information Technology Projects in Cybersecurity):
- دمج متطلبات الأمن السيبراني في جميع مشاريع تطوير الأنظمة والتطبيقات ضمن جامعة نجران.
- ضمان توافق المشاريع مع السياسات والإجراءات التشريعية والتنظيمية ذات العلاقة.
- اتباع منهجيات معتمدة لتطوير واختبار وتأمين الأنظمة قبل طرحها للتشغيل.

4-6. الالتزام بالمتطلبات التشريعية ومعايير الأمن السيبراني (Regulatory Compliance):
- التأكد من امتثال برامج الأمن السيبراني بالجامعة لكافة القوانين واللوائح الوطنية ذات العلاقة.
- رصد التعديلات التشريعية والتنظيمية وتحديث السياسات والخطط عند الحاجة.

4-7. سياسة المراجعة والتدقيق الدوري للأمن السيبراني (Cybersecurity Periodical Assessment and Audit):
- إجراء مراجعات وتدقيقات دورية للتأكد من تطبيق الضوابط الأمنية السيبرانية في الجامعة.
- توثيق نتائج التدقيق واتخاذ التدابير التصحيحية عند اكتشاف أي قصور أو ثغرات.

4-8. الأمن السيبراني المتعلق بالموارد البشرية (Cybersecurity in Human Resources):
- التأكد من أن الموظفين والمتعاقدين في جامعة نجران على دراية بمخاطر الأمن السيبراني وكيفية التعامل معها.
- تضمين متطلبات الأمن السيبراني في إجراءات التوظيف والتدريب والتقييم الوظيفي والترقيات.
- فرض ضوابط لأمن استضافة الزوار والتصاريح الأمنية اللازمة قبل السماح لهم بالوصول إلى المواقع الحساسة.

4-9. برنامج التوعية والتدريب بالأمن السيبراني (Cybersecurity Awareness and Training Program):
- إعداد حزمة تدريبية دورية تهدف إلى رفع الوعي الأمني لدى العاملين في الجامعة.
- تضمين محتوى توعوي عن أخطر الهجمات السيبرانية وأساليب التصدي لها.
- قياس فعالية التدريب وتحديثه بانتظام تبعًا للمستجدات والتهديدات الجديدة.

4-10. سياسة إدارة الأصول (Asset Management):
- إعداد سجل دقيق ومحدّث لجميع الأصول المعلوماتية والتقنية في جامعة نجران.
- تصنيف هذه الأصول وفقًا لمستوى السرية والأهمية، وتحديد أصحاب المسؤولية عنانها.
- متابعة إجراءات الشراء والتخلص الآمن من الأصول المنتهية صلاحيتها أو التالفة.

4-11. سياسة الدخول والصلاحيات وإدارة الهويات (Identity and Access Management):
- وضع ضوابط لتحديد وإدارة الهويات الرقمية لمستخدمي الأنظمة والمصادقة على الدخول.
- تطبيق مبدأ أقل الامتيازات (Least Privilege) في منح صلاحيات الوصول.
- مراقبة أنشطة الدخول وتسجيلها وتحليلها للكشف المبكر عن محاولات الاختراق أو الاستخدام غير المشروع.

4-12. سياسة حماية الأنظمة وأجهزة معالجة المعلومات (Information System and Processing Facilities Protection):
- فرض ضوابط لحماية الأنظمة الحاسوبية (الخوادم، ومحطات العمل، وأجهزة المعالجة) من المخاطر السيبرانية.
- تطبيق قواعد التحديث الدوري والتصحيح (Patching) للأنظمة والتطبيقات.
- تأمين بيئات التشغيل (Production، Staging، Development) لمنع انتهاكات الأمان.

4-13. سياسة حماية البريد الإلكتروني (Email Protection):
- تطبيق آليات حماية البريد الإلكتروني مثل المرشحات (Filters)، وأنظمة كشف الرسائل الخبيثة (Spam/Malware detection)، وتقنيات التشفير عند الحاجة.
- فرض التحقق بخطوتين (2FA) للوصول إلى الحسابات البريدية للموظفين.
- تدريب المستخدمين على التعرف إلى الرسائل المشبوهة وكيفية الإبلاغ عنها.

4-14. سياسة إدارة أمن الشبكات (Networks Security Management):
- تصميم بنية شبكية تحكم الوصول وتفصل بين الأقسام الحساسة في الجامعة.
- تطبيق جدران الحماية (Firewalls)، وأنظمة كشف التسلل (IDS/IPS)، وتقنيات تشفير حركة البيانات (VPN، SSL/TLS).
- مراقبة الشبكة بشكل مستمر لاكتشاف الأنشطة الشاذة والتهديدات المحتملة.

4-15. سياسة أمن الأجهزة المحمولة (Mobile Devices Security):
- فرض إجراءات أمنية على الأجهزة المحمولة (الهواتف الذكية، والأجهزة اللوحية، وأجهزة الحاسب المحمولة) عند استخدامها للوصول إلى موارد الجامعة.
- تطبيق حلول إدارة الأجهزة المحمولة (MDM) لتأمين وضبط إعدادات الأجهزة.
- حظر استخدام الأجهزة الشخصية أو العمل بنمط “BYOD” إلا بموافقة إدارة الأمن السيبراني وتطبيق الضوابط اللازمة.

4-16. سياسة حماية البيانات والمعلومات (Data and Information Protection):
- تنظيم تصنيف البيانات الحساسة وتشفيرها عند النقل والتخزين وفقًا للمعايير الدولية.
- تحديد ضوابط مشاركة المعلومات مع الأطراف الداخلية والخارجية بما يضمن سلامتها وسريتها.
- تطبيق إجراءات النسخ الاحتياطي الدورية واختبار الاستعادة لضمان توافر البيانات في حالات الكوارث أو الحوادث.

4-17. سياسة التشفير ومعاييره (Cryptography):
- اختيار خوارزميات تشفير معتمدة دوليًا وتطبيقها لحماية البيانات السرية.
- إدارة مفاتيح التشفير بشكل آمن وتدوين إجراءات دورة حياة المفتاح.
- توثيق العمليات والإجراءات المتعلقة بالتشفير لضمان التوافق مع متطلبات الجامعة والهيئات التنظيمية.

4-18. سياسة إدارة النسخ الاحتياطية واسترجاع البيانات (Backup and Recovery Management):
- تحديد وتوثيق إجراءات النسخ الاحتياطي لقواعد البيانات والأنظمة الأساسية التي تخدم الجامعة.
- اختبار إجراءات الاسترجاع (Disaster Recovery) بشكل دوري للتحقق من جاهزية الأنظمة في حال وقوع كارثة.
- الاحتفاظ بنسخ احتياطية خارج الموقع ومشفرة لضمان سلامتها.

4-19. سياسة إدارة الثغرات وتقليلها (Vulnerabilities Management):
- إجراء فحوصات دورية للأنظمة والتطبيقات باستخدام أدوات معتمدة لاكتشاف الثغرات الأمنية.
- تصنيف الثغرات حسب مستوى الخطورة وتطبيق التصحيحات المناسبة ضمن أوقات محددة وفق جدول زمني.
- توثيق نتائج الفحص والإصلاح ومتابعة الطلبات المفتوحة حتى الإغلاق التام للثغرات.

4-20. سياسة اختبار الاختراق ومعاييره (Penetration Testing):
- تنفيذ عمليات اختبار الاختراق بشكل دوري لمحاكاة الهجمات السيبرانية الفعلية.
- التركيز على الأصول الحرجة (كالخوادم التي تحتوي بيانات سرية أو أنظمة الدفع الإلكتروني).
- إصدار تقرير احترافي يوضح نقاط الضعف المكتشفة والتوصيات الفنية لمعالجتها.

4-21. سياسة إدارة سجلات الأحداث ومراقبة الأمن السيبراني (Cybersecurity Event Logs and Monitoring Management):
- جمع سجلات الأحداث المتعلقة بالأمن السيبراني من جميع المصادر (جدار الحماية، الخوادم، أجهزة كشف التسلل).
- تحليل هذه السجلات لاكتشاف الأنشطة الشاذة والتهديدات المحتملة.
- الاحتفاظ بسجلات الأحداث ضمن أرشيف آمن وإتاحتها للتحقيق عند الحاجة.

4-22. سياسة إدارة حوادث ونهديدات الأمن السيبراني (Threat Cybersecurity Incident Management):
- وضع خطة استجابة لحوادث الأمن السيبراني تضمن اكتشاف الحدث، وتحديده، والتصدي له في الوقت المناسب.
- الالتزام بالأمر السامي رقم 3714 وتاريخ 14/08/1438هـ في آليات الإبلاغ والتنسيق مع الجهات المعنية.
- توفير الإجراءات الفنية والتنظيمية للتعامل مع الحادث وتأمين الأنظمة المتأثرة.

4-23. سياسة الأمن المادي (Physical Security):
- حماية الأصول التقنية والمعلوماتية من السرقة والتخريب من خلال تطبيق إجراءات حماية مادية (أقفال، كاميرات مراقبة، حراسة).
- تحديد المناطق الحساسة (قاعات الخوادم، غرف الشبكات) وفرض تدابير أمنية للوصول إليها.

4-24. سياسة حماية تطبيقات الويب ومعاييرها (Web Application Security):
- اعتماد قواعد تأمين تطبيقات الويب وفقا للمعايير الدولية (OWASP Top 10).
- إجراء فحص أمني دوري لتطبيقات الجامعة الإلكترونية لمنع الثغرات الشائعة (مثل حقن SQL، XSS).
- تطبيق آليات التصحيح الفوري للتطبيقات عند اكتشاف أي ضعف أو خطأ تنظيمي.

4-25. سياسة صمود الأمن السيبراني واستمرارية الأعمال (Resilience Cybersecurity):
- تضمين متطلبات استمرارية الأعمال (Business Continuity) ضمن استراتيجية الأمن السيبراني للجامعة.
- إعداد خطط للتعافي السريع وضمان استمرارية الخدمات الإلكترونية في حال وقوع كوارث أو حوادث.
- اختبار هذه الخطط بشكل دوري للتحقق من فعاليتها في التعامل مع الانقطاعات المفاجئة.

4-26. سياسة الأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية (Third-Party and Cloud Computing Cybersecurity):
- تقييم مخاطر استخدام خدمات أطراف خارجية وإسناد بعض الخدمات التقنية (Outsourcing & Managed Services).
- التحقق من التزام مقدمي الخدمة الخارجية بمعايير الأمن السيبراني الخاصة بجامعة نجران قبل توقيع العقود.
- ضمان وجود عقود تحفظ سرية المعلومات وتحدد المسؤوليات عند استخدام خدمات الحوسبة السحابية.

4-27. سياسة الأمن السيبراني المتعلقة بالحوسبة السحابية والاستضافة (Hosting Cybersecurity):
- تأمين بيئات الحوسبة السحابية والاستضافة التي تستضيف عليها خدمات الجامعة.
- تطبيق ضوابط أمنية لضمان حماية البيانات أثناء نقلها وتخزينها على مزودي الخدمة السحابية.
- التحقق المستمر من توافق مزود الخدمة مع المتطلبات التشريعية والتنظيمية ذات العلاقة.

4-28. الالتزام بجمع الأدلة (Cybersecurity Forensics and Evidence Collection):
- لإدارة الأمن السيبراني الحق في الاطلاع على المعلومات وجمع الأدلة اللازمة للتحقيق في الحوادث.
- يتم التعامل مع الأدلة والأصول الرقمية وفقًا للإجراءات القانونية والتنظيمية التي تضمن سلامة سلسلة التوريد الرقمي للأدلة.

5. الاستثناءات:
لا يجوز تجاوز أي من سياسات وضوابط الأمن السيبراني دون الحصول على تصريح رسمي مسبق من إدارة الأمن السيبراني، ما لم يتعارض ذلك مع أي متطلبات تشريعية أو تنظيمية ذات علاقة.

6. الأدوار والمسؤوليات: الأدوار والمسؤوليات المتعلقة بالأمن السيبراني لمنسوبي الجامعة:

7. الالتزام بالسياسة:
1. يجب على صاحب الصلاحية المختص ضمان الالتزام الكامل بسياسات الأمن السيبراني وتطبيقها ضمن مسؤولياتهم.
2. يجب على إدارة الأمن السيبراني مراجعة سياسات الأمن السيبراني وتحديثها دوريًا بما يتوافق مع المتطلبات التشريعية والتنظيمية.
3. يجب على جميع العاملين في جامعة نجران الالتزام بهذه السياسة دون استثناء.
4. في حال ثبوت أي مخالفة لهذه السياسات، يجوز إدارة الجامعة اتخاذ الإجراءات التأديبية المناسبة بحسب الأنظمة الداخلية المتبعة في جامعة نجران.

تم اعتماد هذه السياسة من قبل إدارة الأمن السيبراني في جامعة نجران، وتُعتبر إلزامية على جميع منسوبي الجامعة.