مصطلحات

الأمن السيبراني | Cybersecurityحماية الشبكات وأنظمة تقنية المعلومات وأنظمة التقنيات التشغيلية، ومكوناتها من عتاد وبرمجيات وما تقدمه من خدمات، وما تحويه من بيانات من أي اختراق أو تعطيل أو تعديل أو دخول أو استخدام، أو استغلال غير مشروع، ويشمل مفهوم الأمن السيبراني أمن المعلومات، والأمن الإلكتروني والأمن الرقمي ونحو ذلك.
السرية | Confidentialityخاصية عدم الإفصاح عن المعلومات لمستخدم أو إجراء أو نظام غير مصرح له إلا في حال وجود تصريح لهم للوصول إليها.
المسؤولية | Accountabilityالقدرة على تتبع مسار نشاط أو حدث معين حتى الوصول إلى الطرف المسؤول؛ منشئ النشاط. ويدعم ذلك عدم الإنكار تشخيص الخطأ، اكتشاف ومنع التسللات وإجراءات ما بعد الاكتشاف كالتعافي والإجراءات القانونية.
أصل | Assetالموارد الملموسة أو غير الملموسة ذات قيمة للجهة بما في ذلك الموظفين، والتقنيات والمرافق، وبراءات الاختراع، والبرمجيات والخدمات والمعلومات والخصائص (مثل: سمعة الجهة وهويتها وقدراتها المعرفية أو المهنية).
التشفير | Cryptographyالقواعد التي تشتمل على مبادئ ووسائل وطرق تخزين ونقل البيانات أو المعلومات في شكل معين وذلك من أجل إخفاء محتواها الدلالي، ومنع الاستخدام غير المصرح به والتعديل غير المكتشف، بحيث لا يمكن للأشخاص غير المعنيين قراءتها ومعالجتها.
صمود الأمن السيبراني | Cybersecurity Resilienceالقدرة الشاملة للجهة على التصدي للحوادث السيبرانية وامتصاص الأضرار والتعافي منها في الوقت المناسب.
هجوم سيبراني | Cyber Attackاستغلال غير مشروع لأنظمة الحاسب والشبكات والمنظمات التي يعتمد عملها على تقنية المعلومات والاتصالات الرقمية بهدف إحداث أضرار. وتشمل أي نوع من الأنشطة الخبيثة التي تحاول الوصول غير المشروع أو تعطيل أو منع، أو تدمير موارد النظم المعلوماتية، أو المعلومات نفسها.
ثغرة | Vulnerabilityأي نوع من نقاط الضعف في نظام الحاسب، أو برامجه أو تطبيقاته، أو في مجموعة من الإجراءات، مما يجعل الأمن السيبراني عرضة للتهديد.
تقييم الثغرات | Vulnerability Assessmentعملية فحص ممنهجة لنظم المعلومات أو التطبيقات لتحديد مستوى الضوابط الأمنية، وتحديد أوجه القصور فيها، وتوفير البيانات التي يمكن من خلالها التنبؤ بفعالية الضوابط الأمنية، والتأكد من كفاءتها بعد التنفيذ.
اختبار الاختراق | Penetration Testingعملية اختبار نظام، أو شبكة أو موقع إلكتروني، أو تطبيق هواتف ذكية؛ للكشف عن ثغرات، يمكن أن تستغل لتنفيذ اختراق سيبراني.

 

الأهداف

الغرض من هذه السياسة هو توفير متطلبات الأمن السيبراني المبنية على أفضل الممارسات والمعايير المتعلقة بتوثيق متطلبات الأمن السيبراني والتزام جامعة الحدود الشمالية بها، لتقليل المخاطر السيبرانية وحمايتها من التهديدات الداخلية والخارجية، ويتم ذلك من خلال التركيز على الأهداف الأساسية للحماية وهي: سرية المعلومات، وسلامتها، وتوافرها.

وتهدف هذه السياسة إلى الالتزام بمتطلبات الأعمال التنظيمية الخاصة بـجامعة الحدود الشمالية، والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم ١-٣-١ من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.

نطاق العمل وقابلية التطبيق

تغطي هذه السياسة جميع الأصول المعلوماتية والتقنية لـجامعة الحدود الشمالية وتنطبق على جميع العاملين في جامعة الحدود الشمالية.

وتعتبر هذه السياسة هي المحرك الرئيسي لجميع سياسات الأمن السيبراني وإجراءاته ومعاييره ذات المواضيع المختلفة، وكذلك أحد المدخلات لعمليات جامعة الحدود الشمالية الداخلية، مثل عمليات الموارد البشرية وعمليات إدارة الموردين وعمليات إدارة المشاريع وإدارة التغيير وغيرها.

عناصر السياسة

  1. يجب على إدارة الأمن السيبراني تحديد معايير الأمن السيبراني وتوثيق سياساته وبرامجه، بناءً على نتائج تقييم المخاطر، وبشكل يضمن نشر متطلبات الأمن السيبراني، والتزام جامعة الحدود الشمالية بها، وذلك وفقاً لمتطلبات الأعمال التنظيمية لـجامعة الحدود الشمالية، والمتطلبات التشريعية والتنظيمية ذات العلاقة. واعتمادها من قبل رئيس الجامعة. كما يجب إطلاع العاملين المعنيين في جامعة الحدود الشمالية والأطراف ذات العلاقة عليها.

  2. يجب على إدارة الأمن السيبراني تطوير سياسات الأمن السيبراني وبرامجه ومعاييره وتطبيقها، والمتمثلة في:

    1-2 برنامج استراتيجية الأمن السيبراني (Cybersecurity Strategy) لضمان خطط العمل للأمن السيبراني والأهــداف والمبادرات والمشاريع وفعاليتها داخل جامعة الحدود الشمالية في تحقيق المتطلبات التشريعية والتنظيمية ذات العلاقة.

    2-2 أدوار ومسؤوليات الأمن السيبراني (Cybersecurity Roles and Responsibilities) لضمان تحديد مهمات ومسؤوليات واضحة لجميع الأطراف المشاركة في تطبيق ضوابط الأمن السيبراني في جامعة الحدود الشمالية.

    3-2 برنامج إدارة مخاطر الأمن السيبراني (Cybersecurity Risk Management) لضمان إدارة المخاطر السيبرانية على نحو ممنهج يهدف إلى حماية الأصول المعلوماتية والتقنية لـجامعة الحدود الشمالية، وذلك وفقاً للسياسات والإجراءات التنظيمية لـجامعة الحدود الشمالية والمتطلبات التشريعية والتنظيمية ذات العلاقة.

    4-2 سياسة الأمن السيبراني ضمن إدارة المشاريع المعلوماتية والتقنية (Cybersecurity in Information Technology Projects) للتأكد من أن متطلبات الأمن السيبراني مضمنة في منهجية إدارة مشاريع جامعة الحدود الشمالية وإجراءاتها لحماية السرية، وسلامة الأصول المعلوماتية والتقنية لـجامعة الحدود الشمالية وضمان دقتها وتوافرها، وكذلك التأكد من تطبيق معايير الأمن السيبراني في أنشطة تطوير التطبيقات والبرامج، وفقاً للسياسات والإجراءات التنظيمية لـجامعة الحدود الشمالية والمتطلبات التشريعية والتنظيمية ذات العلاقة.

    5-2 سياسة الالتزام بتشريعات وتنظيمات ومعايير الأمن السيبراني (Cybersecurity Regulatory Compliance) للتأكد من أن برنامج الأمن السيبراني لدى جامعة الحدود الشمالية متوافق مع المتطلبات التشريعية والتنظيمية ذات العلاقة.

    6-2 سياسة المراجعة والتدقيق الدوري للأمن السيبراني (Cybersecurity Periodical Assessment and Audit) للتأكد من أن ضوابط الأمن السيبراني لدى جامعة الحدود الشمالية مطبقة، وتعمل وفقاً للسياسات والإجراءات التنظيمية لـجامعة الحدود الشمالية، والمتطلبات التشريعية التنظيمية الوطنية ذات العلاقة، والمتطلبات الدولية المُقرة تنظيمياً على جامعة الحدود الشمالية.

    7-2 سياسة الأمن السيبراني المتعلق بالموارد البشرية (Cybersecurity in Human Resources) للتأكد من أن مخاطر الأمن السيبراني ومتطلباته المتعلقة بالعاملين (الموظفين والمتعاقدين) في جامعة الحدود الشمالية تعالج بفعالية قبل إنهاء عملهم، وأثنائه وعند انتهائه، وذلك وفقاً للسياسات والإجراءات التنظيمية لـجامعة الحدود الشمالية، والمتطلبات التشريعية والتنظيمية ذات العلاقة.

    8-2 برنامج التوعية والتدريب بالأمن السيبراني (Cybersecurity Awareness and Training Program) للتأكد من أن العاملين بـجامعة الحدود الشمالية لديهم الوعي الأمني اللازم، وعلى دراية بمسؤولياتهم في مجال الأمن السيبراني، مع التأكد من تزويد العاملين بـجامعة الحدود الشمالية بالمهارات والمؤهلات والدورات التدريبية المطلوبة في مجال الأمن السيبراني؛ لحماية الأصول المعلوماتية والتقنية لـجامعة الحدود الشمالية والقيام بمسؤولياتهم تجاه الأمن السيبراني.

    9-2 سياسة إدارة الأصول (Asset Management) للتأكد من أن جامعة الحدود الشمالية لديها قائمة جرد دقيقة وحديثة للأصول تشمل التفاصيل ذات العلاقة لجميع الأصول المعلوماتية والتقنية المتاحة لـجامعة الحدود الشمالية، من أجل دعم العمليات التشغيلية لـجامعة الحدود الشمالية ومتطلبات الأمن السيبراني، لتحقيق سرية الأصول المعلوماتية والتقنية وسلامتها لـجامعة الحدود الشمالية ودقتها وتوافرها.

    10-2 سياسة إدارة هويات الدخول والصلاحيات (Identity and Access Management) لضمان حماية الأمن السيبراني للوصول المنطقي (Logical Access) إلى الأصول المعلوماتية والتقنية لـجامعة الحدود الشمالية من أجل منع الوصول غير المصرح به، وتقييد الوصول إلى ما هو مطلوب لإنجاز الأعمال المتعلقة بـجامعة الحدود الشمالية.

    11-2 سياسة حماية الأنظمة وأجهزة معالجة المعلومات (Information System and Processing Facilities Protection) لضمان حماية الأنظمة، وأجهزة معالجة المعلومات؛ بما في ذلك أجهزة المستخدمين، والبنى التحتية لـجامعة الحدود الشمالية من المخاطر السيبرانية. 

    12-2 سياسة حماية البريد الإلكتروني (Email Protection) لضمان حماية البريد الإلكتروني لـجامعة الحدود الشمالية من المخاطر السيبرانية.

    13-2 سياسة إدارة أمن الشبكات (Networks Security Management) لضمان حماية شبكات جامعة الحدود الشمالية من المخاطر السيبرانية.

    14-2 سياسة أمن الأجهزة المحمولة (Mobile Devices Security) لضمان حماية أجهزة جامعة الحدود الشمالية المحمولة (بما في ذلك أجهزة الحاسب المحمول، والهواتف الذكية، والأجهزة الذكية اللوحية) من المخاطر السيبرانية. ولضمان التعامل بشكل آمن مع المعلومات الحساسة، والمعلومات الخاصة بأعمال جامعة الحدود الشمالية وحمايتها، أثناء النقل والتخزين، وعند استخدام الأجهزة الشخصية للعاملين في جامعة الحدود الشمالية (مبدأ "BYOD").

    15-2 سياسة حماية البيانات والمعلومات (Data and Information Protection) لضمان حماية السرية، وسلامة بيانات ومعلومات جامعة الحدود الشمالية ودقتها وتوافرها، وذلك وفقاً للسياسات والإجراءات التنظيمية لـجامعة الحدود الشمالية، والمتطلبات التشريعية والتنظيمية ذات العلاقة.

    16-2 سياسة التشفير ومعياره (Cryptography) لضمان الاستخدام السليم والفعال للتشفير؛ لحماية الأصول المعلوماتية الإلكترونية لـجامعة الحدود الشمالية، وذلك وفقاً للسياسات، والإجراءات التنظيمية لـجامعة الحدود الشمالية، والمتطلبات التشريعية والتنظيمية ذات العلاقة.

    17-2 سياسة إدارة النسخ الاحتياطية (Backup and Recovery Management) لضمان حماية بيانات جامعة الحدود الشمالية ومعلوماتها، وكذلك حماية الإعدادات التقنية للأنظمة والتطبيقات الخاصة بـجامعة الحدود الشمالية من الأضرار الناجمة عن المخاطر السيبرانية، وذلك وفقاً للسياسات والإجراءات التنظيمية لـجامعة الحدود الشمالية، والمتطلبات التشريعية والتنظيمية ذات العلاقة.

    18-2 سياسة إدارة الثغرات ومعياره (Vulnerabilities Management) لضمان اكتشاف الثغرات التقنية في الوقت المناسب، ومعالجتها بشكل فعال، وذلك لمنع احتمالية استغلال هذه الثغرات من قبل الهجمات السيبرانية وتقليل ذلك، وكذلك تقليل الآثار المترتبة على أعمال جامعة الحدود الشمالية.

    19-2 سياسة اختبار الاختراق ومعياره (Penetration Testing) لتقييم مدى فعالية قدرات تعزيز الأمن السيبراني واختباره في جامعة الحدود الشمالية، وذلك من خلال محاكاة تقنيات الهجوم السيبراني الفعلية وأساليبه، ولاكتشاف نقاط الضعف الأمنية غير المعروفة، والتي قد تؤدي إلى الاختراق السيبراني لـجامعة الحدود الشمالية؛ وذلك وفقاً للمتطلبات التشريعية والتنظيمية ذات العلاقة.

    20-2 سياسة إدارة سجلات الأحداث ومراقبة الأمن السيبراني (Cybersecurity Event Logs and Monitoring Management) لضمان جمع سجلات أحداث الأمن السيبراني، وتحليلها، ومراقبتها في الوقت المناسب؛ من أجل الاكتشاف الاستباقي للهجمات السيبرانية، وإدارة مخاطرها بفعالية؛ لمنع الآثار السلبية المحتملة على أعمال جامعة الحدود الشمالية أو تقليلها.

    21-2 سياسة إدارة حوادث وتهديدات الأمن السيبراني (Cybersecurity Incident and Threat Management) لضمان اكتشاف حوادث الأمن السيبراني وتحديدها في الوقت المناسب، وإدارتها بشكل فعّال، والتعامل مع تهديدات الأمن السيبراني استباقياً، من أجل منع الآثار السلبية المحتملة أو تقليلها على أعمال جامعة الحدود الشمالية، مع مراعاة ما ورد في الأمر السامي الكريم ذو الرقم 37140 والتاريخ 14\8\1438هـ.

    22-2 سياسة الأمن المادي (Physical Security) لضمان حماية الأصول المعلوماتية والتقنية لـجامعة الحدود الشمالية من الوصول المادي غير المصرح به، والفقدان والسرقة والتخريب.

    23-2 سياسة حماية تطبيقات الويب ومعياره (Web Application Security) لضمان حماية تطبيقات الويب الداخلية والخارجية لـجامعة الحدود الشمالية من المخاطر السيبرانية.

    24-2 جوانب صمود الأمن السيبراني في إدارة استمرارية الأعمال (Cybersecurity Resilience) لضمان توافر متطلبات صمود الأمن السيبراني في إدارة استمرارية أعمال جامعة الحدود الشمالية، ولضمان معالجة الآثار المترتبة على الاضطرابات في الخدمات الإلكترونية الحرجة وتقليلها لـجامعة الحدود الشمالية وأنظمة معالجة معلوماتها وأجهزتها جراء الكوارث الناتجة عن المخاطر السيبرانية.

    25-2 سياسة الأمن السيبراني المتعلقة بالأطراف الخارجية (Third-Party and Cloud Computing Cybersecurity) لضمان حماية أصول جامعة الحدود الشمالية من مخاطر الأمن السيبراني المتعلقة بالأطراف الخارجية (بما في ذلك خدمات الإسناد لتقنية المعلومات "Outsourcing" والخدمات المدارة "Managed Services") وفقاً للسياسات والإجراءات التنظيمية لـجامعة الحدود الشمالية، والمتطلبات التشريعية والتنظيمية ذات العلاقة.

    26-2 سياسة الأمن السيبراني المتعلقة بالحوسبة السحابية والاستضافة (Cloud Computing and Hosting Cybersecurity) لضمان معالجة المخاطر السيبرانية، وتنفيذ متطلبات الأمن السيبراني للحوسبة السحابية، والاستضافة بشكل ملائم وفعّال، وذلك وفقاً للسياسات والإجراءات التنظيمية لـجامعة الحدود الشمالية، والمتطلبات التشريعية والتنظيمية، والأوامر والقرارات ذات العلاقة. وضمان حماية الأصول المعلوماتية والتقنية لـجامعة الحدود الشمالية على خدمات الحوسبة السحابية، التي تتم استضافتها أو معالجتها، أو إدارتها بواسطة أطراف خارجية.

  3. يحق لإدارة الأمن السيبراني الاطلاع على المعلومات، وجمع الأدلة اللازمة؛ للتأكد من الالتزام بالمتطلبات التشريعية والتنظيمية ذات العلاقة المتعلقة بالأمن السيبراني.

الالتزام بالسياسة

  • يجب على صاحب الصلاحية رئيس الجامعة ضمان الالتزام بسياسة الأمن السيبراني ومعاييره.

  • يجب على مدير إدارة الأمن السيبراني التأكد من التزام جامعة الحدود الشمالية بسياسات الأمن السيبراني ومعاييره بشكل دوري.

  • يجب على جميع العاملين في جامعة الحدود الشمالية الالتزام بهذه السياسة.

  • قد يُعرّض أي انتهاك للسياسات المتعلقة بالأمن السيبراني صاحب المخالفة إلى إجراءٍ تأديبي حسب الإجراءات المتبعة في جامعة الحدود الشمالية.

الاستثناءات

يُمنع تجاوز سياسات الأمن السيبراني ومعاييره، دون الحصول على تصريح رسمي مسبق من مدير إدارة الأمن السيبراني أو اللجنة الإشرافية للأمن السيبراني، ما لم يتعارض مع المتطلبات التشريعية والتنظيمية ذات العلاقة.