Skip Navigation Linksالإدارة العامة للأمن السيبرانيالوثائق التنظيميةالمعاييرمعيار تصنيف الأصول

​​​​​


معيار تصنيف الأصول:

- ​تصنيف الأصول (Asset classification):

​الهدف : تصنيف جميع الأصول التي تمتلكها وتديرها جامعة الإمام محمد بن سعود الإسلامية. ​

المخاطر المحتملة : يؤدي عدم إعداد وتطبيق تصنيف الأصول في جامعة الإمام محمد بن سعود الإسلامية إلى فشل في حماية الأصول باستخدام تدابير أو ضوابط وقائية غير مناسبة أو التعامل مع الأصول الحساسة بشكل غير صحيح، مما قد يؤدي إلى اختراقها أو تعرضها لانتهاكات أمنية. 

​​​​​​الإجراءات المطلوبة:
      • يجب على جامعة الإمام محمد بن سعود الإسلامية القيام بتصنيف جميع الأصول التي تمتلكها وتديرها.
      • يجب تصنيف الأصول المادية (مثل أجهزة الاتصال بالشبكة، وأنظمة كشف التسلل ومنع التسلل (IDS/IPS)، وأصول التخزين، والأجهزة الطرفية للأنظمة الحساسة) بالرجوع إلى أعلى تصنيف لمدخلات المعلومات أو معالجتها أو تخزينها أو نقلها على الأصول المادية.
      • يجب تصنيف تطبيقات الأعمال وأصول البرمجيات بالرجوع إلى أعلى تصنيف لمدخلات المعلومات، والتي تتم معالجتها أو تخزينها أو نقلها أو حذفها من قبل مستخدمي التطبيق أو البرنامج.
      • يجب تصنيف الأطراف الخارجية والموردين بالرجوع إلى أعلى تصنيف لمدخلات المعلومات، أو معالجتها أو تخزينها أو نقلها أو حذفها من قبل الطرف الخارجي أو المورد.
      • يجب تصنيف أي أصل (معلومات، وأصول مادية، وتطبيقات أعمال، وبرمجيات، وطرف خارجي ومورد) يعمل على إدخال أو معالجة أو حفظ أو نقل أو حذف المعلومات الشخصية و/أو الحساسة كـ "سري للغاية"، "سري"، "مقيد"، "عام" بالإضافة إلى أي تصنيف آخر مطلوب.
ترميز الأصول المادية (Physical asset labelling):

​الهدف : ترميز جميع الأصول المادية التي تمتلكها الجهة.

المخاطر المحتملة : يصعب تتبع أو مراقبة أو الرجوع إلى الأصول التي لم يتم ترميزها من قبل جامعة الإمام محمد بن سعود الإسلامية، فالأصول التي لم يتم ترميزها قد لا يتم إدراجها في سجل الأصول، مما يؤدي إلى عدم تحديثها أو الحفاظ عليها بالشكل المناسب. وقد يتم التعامل مع الأصول المادية التي لم يتم ترميزها بشكل غير مناسب، مما قد يؤدي إلى تلفها أو سرقتها او فقدانها.

​​​​​​الإجراءات المطلوبة:
      • يجب أن يكون لجميع الأصول المادية التي تمتلكها الجهة رموزًا مقاومة للتلاعب.
      • يجب أن تُظهر الرموز المقاومة للتلاعب رقمًا تعريفيًا مميزًا مخصصًا للأصل في سجل الأصول مثل الرقم أو الرمز الشريطي أو رمز الاستجابة السريع (QR).
      • يجب أن يحتوي الرمز المقاوم للتلاعب على رقم للاتصال.
      • يجب ألا يحتوي الرمز المقاوم للتلاعب على اسم جامعة الإمام محمد بن سعود الإسلامية، أو شعار جامعة الإمام محمد بن سعود الإسلامية، أو أي علامات أو نصوص تعريفية أخرى. 
التعامل مع الأصول المادية (Physical asset handling):

​الهدف : حماية الاصول من خلال التعامل معها بطريقة آمنة.

المخاطر المحتملة : يمكن أن يؤدي التعامل غير السليم أو الإهمال للأصول المادية إلى تلف أو فقدان أو سرقة الأصل وأي معلومات مخزنة أو متاحة على الجهاز. وبناءً على فئة أو نوع الأصول والمعلومات، قد تتعرض جامعة الإمام محمد بن سعود الإسلامية إلى التحقيقات والغرامات القانونية أو التنظيمية.


​​​​​​الإجراءات المطلوبة:
      • لا يجوز إزالة الأصول المادية (باستثناء الأصول المعتمدة كجزء من الأجهزة المحمولة) من مواقعها المخصصة.
      • يجب الحصول على الموافقة من مالك الأصل في حال إزالة الأصل المادي من موقعه المحدد.
      • يجب حذف وسائط التخزين مثل محركات الأقراص الصلبة المستخدمة لتخزين لمعلومات المصنفة مثل "سرية للغاية، و"سرية"، و"حساسة" باستخدام طرق الحذف المنشورة بحيث لا يتعذر استرجاع البيانات (مثلاً وفقًا لمعيار NIST SP800-88 Rev.1).
      • يجب إتلاف وسائط التخزين، مثل محركات الأقراص الثابتة، التي تم استخدامها لتخزين المعلومات المصنفة على أنها معلومات "سري للغاية" أو "سري" أو "مقيد"، إتلافًا ماديًا (على سبيل المثال عن طريق تمزيقها وفقًا لمعيار المعهد الألماني للتوحيد القياسي لا سيما البندين O-5 وH-5 أو حرقها).​

التعامل مع الأصول المادية للأجهزة المحمولة (Mobile device physical asset handling):

​الهدف : حماية الأجهزة المحمولة من خلال التعامل معها بطريقة آمنة.

المخاطر المحتملة : يمكن أن يؤدي التعامل غير السليم للأصول المحمولة أو إهمالها إلى تلف أو فقدان أو سرقة الأصل وأي معلومات مخزنة أو متاحة على الجهاز. وبناءً على فئة ونوع الأصول والمعلومات، قد تتعرض جامعة الإمام محمد بن سعود الإسلامية إلى التحقيقات والغرامات القانونية أو التنظيمية.

​​​​​​الإجراءات المطلوبة:
      • يجب تدريب مستخدمي الأجهزة المحمولة مرة واحدة على الأقل في السنة على التعامل الآمن مع الأجهزة والبيانات (مثل أجهزة الحاسوب المحمولة والهواتف المحمولة وأجهزة التخزين المحمولة) التي يمكنها إدخال أو معالجة أو تخزين أو نقل أو حذف البيانات المصنفة. ويجب على المستخدمين الإقرار بحصولهم على الدورات التدريبية واستكمالها.
      • يجب إعادة الأجهزة المحمولة إلى موقع مركزي للتخلص منها.
      • يجب حذف وسائط التخزين، مثل محركات الأقراص الصلبة، في الأجهزة المحمولة التي تم استخدامها لتخزين المعلومات السرية المصنفة على أنها "سرية للغاية" أو "سرية" أو "حساسة" بشكل آمن باستخدام طريقة حذف آمنة بحيث يتعذر استرجاع البيانات بعد إيقاف تشغيلها (مثل: NIST SP800-88 Rev.1).
      • يجب إتلاف وسائط التخزين، مثل محركات الأقراص الصلبة، في الأجهزة المحمولة التي تم استخدامها لتخزين المعلومات السرية المصنفة على أنها "سرية للغاية" أو "سرية" أو "حساسة" بعد إيقاف تشغيلها (مثلاً عن طريق تمزيقها وفقًا للبند H-5 والبند O-5 من المعيار DIN 66399 أو حرقها).
      • يجب تحطيم أجهزة التخزين المحمولة التي اُستخدمت لتخزين المعلومات المصنفة بشكل مادي بعد إيقاف التشغيل (على سبيل المثال تمزيقها وفقًا للبند H-5 والبند O-5 من المعيار DIN 66399 أو حرقها).
ترميز أصول المعلومات (Information asset labelling):

​الهدف : ترميز الأصول المعلوماتية وتصنيفها.

المخاطر المحتملة : لن يتم التعامل مع أصول المعلومات التي لم يتم ترميزها بشكل صحيح، مما يزيد من احتمالية اختراقها أو تعرضها لانتهاكات أمنية.

​​​​​​الإجراءات المطلوبة:
      •  يجب ترميز أصول المعلومات المصنفة ذات الصيغة الرقمية (الملفات أو قواعد البيانات أو رسائل البريد الإلكتروني) إلكترونيًا (مثلاً من خلال استخدام الرؤوس والتذييلات في الوثائق أو تسمية الملفات أو التواقيع الرقمية).
      • يجب ترميز أصول المعلومات المصنفة ذات الصيغة المادية (الأوراق، والنسخ الورقية، والعقود، وما إلى ذلك) باستخدام آلية مقاومة للتلاعب مثل طوابع الحبر المطاطية والرموز اللاصقة والتصفيح ثلاثي الأبعاد.
      • يجب أن يكون للمعلومات التي تتم طباعتها على نسخة ورقية من خلال تطبيق أو برنامج أعمال رمز تصنيفي ذي صلة يتم وضعه قبل الطباعة (وفقًا لسياسة تصنيف البيانات المتبعة لدى جامعة الإمام محمد بن سعود الإسلامية).


التعامل مع أصول المعلومات (Information asset handling):​

​الهدف :التعامل مع أصول المعلومات بطريقة آمنة.

المخاطر المحتملة : قد يؤدي التعامل غير السليم لأصول المعلومات أو إهمالها وعدم الاكتراث بها إلى اختراقها أو تعرضها إلى انتهاكات أمنية. وبناءً على المعلومات التي تم انتهاكها أو اختراقها، قد تتعرض جامعة الإمام محمد بن سعود الإسلامية للتحقيقات والعقوبات القانونية أو التنظيمية.

​​​​​​الإجراءات المطلوبة:
      • يجب تشفير أصول المعلومات المصنفة ذات الصيغة الرقمية أثناء التخزين والنقل.
      • يجب إجراء عمليات نقل البيانات أو الملفات الإلكترونية باستخدام نظام معتمد وآمن لنقل الملفات (وليس البريد الإلكتروني أو تطبيقات المراسلة الأخرى).
      • يجب نقل البيانات أو الملفات التي تحتوي على معلومات سرية باستخدام وسائط اتصال آمنة، مثل البريد الإلكتروني عبر الشبكة الافتراضية الخاصة (VPN) أو بروتوكول نقل الملفات الآمن (SFTP).
      • يجب أن تتطلب أنظمة نقل الملفات استخدام خاصية مُعرف المستخدم، ويجب أن يسجل نظام نقل الملفات معرف المستخدم، والملفات المنقولة، والتاريخ والوقت على الأقل.
      • يجب مراجعة سجلات نظام نقل الملفات مرة واحدة شهريًا من قبل مالك تطبيق الأعمال.
      • يجب حماية أصول المعلومات المصنفة ذات الصيغة المادية (الأوراق العادية، والنسخ الورقية، والعقود، وما إلى ذلك) بوسائل مناسبة في جميع الأوقات، مثل حفظها بعيدًا في حالة عدم استخدامها ووضعها في المظاريف عند نقلها.
      • يجب حفظ أصول المعلومات المصنفة ذات الصيغة المادية في مكان آمن في نهاية كل يوم عمل، أو عند ترك المكتب دون مراقبة لأكثر من ساعة.
      • يمكن نقل أصول المعلومات ذات الصيغة المادية والمصنفة على أنها "حساسة" أو تصنيف أقل من مقرات جامعة الإمام محمد بن سعود الإسلامية بطريقة آمنة (مثل: وضع الأوراق في ظرف مزدوج، مع ضمان عدم ورود أي معلومات تسهل التعرف على جامعة الإمام محمد بن سعود الإسلامية بصورة ظاهرة، ووضع الأوراق في حقيبة أو حقيبة جهاز حاسوب محمول أو حقيبة أمتعة يدوية).
      • لا يجوز نقل أصول المعلومات ذات الصيغة المادية والمصنفة على أنها "حساسة" أو تصنيف أعلى من مقرات جامعة الإمام محمد بن سعود الإسلامية.
      • عند إرسال أصول المعلومات المصنفة ذات الصيغة المادية إلى أطراف خارجية أو موردين، يجب إرسالها بطريقة آمنة (مثل: وضع الأوراق في ظرف مزدوج، وضمان أن أي شيء يؤدي إلى التعرف على جامعة الإمام محمد بن سعود الإسلامية لا يمكن رؤيته، ووضع الأوراق في طرد مضاد للعبث أو غير قابل العبث).
      • عند إرسال أصول المعلومات المصنفة ذات الصيغة المادية إلى أطراف خارجية أو موردين، يجب إرسالها باستخدام وسيلة المراسلة أو البريد الذي يمكن تتبعه. ويجب على المستلم التوقيع على إقرار بالاستلام.
      • يجب إتلاف أصول المعلومات المصنفة ذات الصيغة المادية عن طريق تمزيقها، على سبيل المثال: باستخدام آلة تمزيق الورق بشكل متقاطع وفقًا للبند P-4 من معيار DIN 66399، أو أعلى (مثل P-5 أو P-6).
      • لا يجوز نقل أصول المعلومات ذات الصيغة المادية والمصنفة على أنها "سرية للغاية" و"سرية" من مقرات جامعة الإمام محمد بن سعود الإسلامية.
      • يجب إتلاف أصول المعلومات ذات الصيغة المادية والمصنفة على أنها "سرية للغاية" أو "سرية" أو "حساسة" بشكل آمن عن طريق تمزيقها (مثلا: باستخدام آلة تمزيق الورق بشكل متقاطع وفقًا للبند P-5 أو البند P-6 من المعيار DIN 66399).
روابط الجهة
روابط مهمة
تابعنا على
جميع الحقوق محفوظة لجامعة الإمام © - م