الهدف
الهدف من هذه السياسة هو وضع الإطار العام للحد الأدنى للمعايير وأفضل الممارسات الخاصة بأمن المعلومات الرقمية و/أو البيانات بكليات التقنية العليا، إضافةً إلى وضع الأسس لخطة العمل الواجب تنفيذها لحماية الأصول المعلوماتية الخاصة بكليات التقنية العليا من التهديدات، سواء كانت داخلية أو خارجية، متعمدة أو عرضية، وذلك بما يضمن عدم انقطاع الخدمات الأمنية.
النطاق
تنطبق هذه السياسة على أعضاء الهيئتين التدريسية والإدارية والطلبة والأطراف الخارجية وجميع المستخدمين لأصول المعلومات الرقمية الخاصة بكليات التقنية العليا، بغض النظر عما إذا كانوا تابعين رسمياً لكليات التقنية العليا أم لا، وسواء تواجدوا داخل الحرم الجامعي أم كانوا مستخدمين عن بُعد.
وتنطبق هذه السياسة أيضاً على كافة الأجهزة، سواء كانت أجهزة كمبيوتر مملوكة من كليات التقنية العليا (بما في ذلك تلك المشتراة بمنح تمويلية) أو ملك شخصي أو مؤجرة وموصولة بشبكة الكليات ويتم فيها تخزين معلومات كليات التقنية العليا. كما تنطبق على أولئك الذين يقيمون التعاون مع كليات التقنية العليا لتوفير أو تلقي الخدمات/ المعلومات. لذا، فإن العقود والاتفاقيات ستتضمن بيانات تؤكد موافقة المتعاقد/ الشريك على الالتزام بتطبيق هذه السياسة.
التحكم والتوزيع
- يتولى نائب مدير المجمع لتكنولوجيا التعليم مسؤولية تطبيق هذه السياسة حيث يضمن صحة ودقة سياسة أمن المعلومات وتوافقها مع السياسات والإجراءات النافذة، كما يضمن تحديث هذه السياسة في جميع الأوقات.
- يتم توجيه جميع الطلبات لمراجعة السياسة إلى نائب مدير المجمع لتكنولوجيا التعليم. وسيتم إجراء التعديلات إذا دعت الحاجة لذلك بعد الحصول على الموافقة اللازمة، ويتم الاحتفاظ بالإصدارات التي تم استبدالها للرجوع إليها في المستقبل.
- التاريخ المحدد للمراجعة التالية: 23 أبريل 2022
التعاريف
يرجى الرجوع إلى قائمة مصطلحات تقنيات التعليم للحصول على التعريفات والاختصارات.
الأدوار والمسؤوليات
- وحدة أمن المعلومات لتكنولوجيا التعليم. تشكل وحدة أمن المعلومات جزءاً من إدارة تكنولوجيا المعلومات وتتولى إدارة الأمن العام للبيانات والشبكة الإلكترونية لكليات التقنية العليا. وتختص وحدة أمن المعلومات بما يلي:
- تخطيط وتصميم وتنفيذ مراقبة الدخول، وأمن الشبكة الإلكترونية، وإطار ضمان أمن المعلومات
- تطوير السياسات والعمليات والمعايير وإجراءات الامتثال المرتبطة بتكنولوجيا التعليم.
- مراقبة وقياس أنظمة التحكم الداخلية لضمان التقيد بنظام أمن تكنولوجيا التعليم وكذلك ضمان تحديث مستويات الوصول الملائمة
- تعزيز الوعي بسياسات/إجراءات أمن المعلومات بين الموظفين والزوار والموردين بكليات التقنية العليا
الأوصياء على البيانات
يتولى الوصي على البيانات المسؤوليات التالية:
- تصنيف البيانات بشكل سليم وتطبيق الضمانات المطلوبة والمقترحة
- تنفيذ السياسات والإرشادات المحددة من قبل أصحاب البيانات وأولئك القيّمين عليها
- تخزين البيانات وحفظ نسخ احتياطية منها واسترجاعها بالإضافة إلى تشغيل أنظمة إدارة الأمن والبيانات
- أصحاب البيانات: الموظفون بدرجة مدير والمسؤولين عن تشغيل البيانات وتصنيفها بالشكل الصحيح
- أمناء البيانات: موظفو الإدارة العليا وأصحاب المصلحة الذين يتولون مسؤولية التخطيط والسياسات الخاصة بالبيانات ضمن اختصاصاتهم، بالإضافة إلى المسؤولية الإدارية لفئات محددة من البيانات المؤسسية.
- مستهلكو/مستخدمو البيانات: يتولون مسؤولية الالتزام بمتطلبات استخدام البيانات. ويلعب مستخدمو البيانات دوراً أساسياً في حماية سرية ونزاهة أنظمة المعلومات والبيانات الخاصة بكليات التقنية العليا. لأغراض أمن المعلومات، يكون مستخدم البيانات أي موظف، متعاقد، طالب أو طرف ثالث مصرح له من قبل صاحب البيانات بالوصول إلى أصول المعلومات.
بيان السياسة العامة
تلتزم كليات التقنية العليا بضمان سرية ونزاهة وتوفر المعلومات اللازمة لتصريف الأعمال. لذا، فإن أمن المعلومات يُعد أمراً جوهرياً لضمان الأداء الفاعل لكليات التقنية العليا والعاملين لديها.
- يتم معالجة جميع الأصول المعلوماتية والمتطلبات القانونية/التنظيمية وفق الأهداف والغايات الاستراتيجية لكليات التقنية العليا.
- جميع المستخدمين (بما في ذلك الطلبة، والعاملين، والمستشارين) للأصول الرقمية بكليات التقنية العليا (بما في ذلك البيانات/المعلومات) يتحملون مسؤولية استخدام المعلومات/البيانات بشكل آمن وملائم.
- يتولى جميع مستخدمي الأصول الرقمية لكليات التقنية العليا مسؤولية إبلاغ أي مسائل متعلقة بأمن المعلومات إلى الجهات المختصة في إدارة تكنولوجيا المعلومات.
- يجب حفظ سجل مفصل لتسجيل الحوادث المرتبطة بأمن المعلومات والإجراء المتخذ من قبل كليات التقنية العليا استجابةً لها.
- يتم تطوير و/أو مراجعة إطار تقييم مخاطر أمن المعلومات على أساس سنوي لتقييم ومتابعة المخاطر والتحكم بها.
- توفير التدريب لتعزيز الوعي بأمن المعلومات أمر إلزامي لجميع الموظفين والطلبة والمستشارين والعاملين بعقود في كليات التقنية العليا.
- يلتزم الموظفون والموردون أو أي طرف ثالث بالسياسات والإجراءات والمعايير والإرشادات الخاصة بأمن المعلومات وفق ما تعتمده إدارة كليات التقنية العليا.
- يتم التعامل مع المعلومات وأنظمة معالجة المعلومات بشكل آمن لتجنب فقدانها فيما يتعلق بالسرية والنزاهة وتوفرها من خلال القنوات الملائمة، مثل حجب وحدة التخزين المتنقلة USB ، وأجهزة المدخلات والمخرجات (ما عدا الطابعات وفأر الكمبيوتر ولوحات المفاتيح)، وذلك وفقاً للسياسات والإجراءات والإرشادات الخاصة بتكنولوجيا التعليم/أمن المعلومات.
- يجب أن تكون كلمات المرور لجميع المستخدمين النهائيين معقدة بشكل كافٍ بما يتوافق مع السياسات والإجراءات والإرشادات الخاصة بأمن المعلومات وتنتهي صلاحيتها في اليوم الـ 90.
- يتم التحقيق بشأن حوادث أمن المعلومات المؤكدة وإدارتها والعمل عليها في الوقت المناسب، وذلك اعتماداً على خطورة وتصعيد المسألة كما هو موضح في اتفاقية الخدمات الأمنية.
- يتم تحديد وتنفيذ واختبار خطط استمرارية أعمال تكنولوجيا المعلومات بشكل كافٍ لضمان توفر المعلومات وأنظمة معالجة المعلومات في الحالات الطارئة.
- على العاملين وغير العاملين في كليات التقنية العليا عدم محاولة التحايل أو التخريب فيما يتعلق بضوابط أمن المعلومات.
- على جميع الموظفين والطلبة والمستشارين والعاملين بعقود الالتزام بتطبيق المعايير والنظم الخاصة بأمن المعلومات (مثلاً، ISO 27001:2013 و NESA.
- أي مخالفة أو إخلال بهذه السياسة يكون خاضعاً لإجراءات تأديبية متخذة من قبل إدارة الموارد البشرية بكليات التقنية العليا وفقاً لسياسة الموارد البشرية المعمول بها في هذا الشأن.
- في حال عدم فهم المستخدمين لأيّ من جوانب هذه السياسة، يتوجب عليهم الاستيضاح من فريق أمن المعلومات.
- يحتفظ فريق أمن المعلومات بحق التأكد من الالتزام والتقيد بهذه السياسة بصورة دورية.
- أي استثناءات مبررة لهذه السياسة تتطلب الحصول على موافقة نائب مدير المجمع لتكنولوجيا التعليم، وإذا اقتضى الأمر، يجب أيضاً الحصول على موافقة اللجنة التنفيذية. يجب توثيق جميع الاستثناءات رسمياً ومراجعتها بصورة دورية حيثما ينطبق وإذا كان ذلك ملائماً.