معايير إدارة الأصول:
- قائمة جرد الأصول (Asset inventory):
الهدف : إنشاء (والحفاظ) على مخزون آمن من أصول المعلومات والتقنيات التي تمتلكها وتديرها جامعة الإمام محمد بن سعود الإسلامية التي يمكن أن تعد قائمة جرد لكل نوع من أنواع الأصول على النحو المحدد في سياسة إدارة الأصول.
المخاطر المحتملة : في حال لم تمتلك جامعة الإمام محمد بن سعود الإسلامية أو تحدث قائمة جرد الأصول، ستعاني الجهة من الأمور التالية:
- عدم توافر تصور شامل بشأن الأصول التي تمتلكها وتديرها الجهة
- صعوبة في تحديد مواقع الأصول
- عدم القدرة على ضمان تحديث الأصول والحفاظ عليها حسب الاقتضاء
- عدم التأكد من وجود ترتيبات الترخيص أو الاستخدام الصحيح المعمول به
- عدم القدرة على حماية جميع الأصول من التهديدات السيبرانية
الإجراءات المطلوبة:- حفظ قائمة جرد الأصول في موقع آمن.
- حماية قائمة جرد الأصول بضوابط الوصول المنطقية (مثل تلك المحددة في سياسة إدارة هويات الدخول والصلاحيات في جامعة الإمام محمد بن سعود الإسلامية).
- حماية قائمة جرد الأصول من التغييرات غير المصرح بها من خلال تقييد الوصول لهذه القائمة على الأفراد المصرح لهم.
- عمل نسخ احتياطية لقائمة جرد الأصول بشكل منتظم وحمايته وفقًا لسياسة ومعيار النسخ الاحتياطي والاسترجاع في جامعة الإمام محمد بن سعود الإسلامية.
- الحرص على تحديث قائمة جرد الأصول بانتظام, من خلال إضافة الأصول عند امتلاكها أو شرائها وبعد نشرها أو التخلص منها.
- التحقق من المعلومات المسجلة في قائمة جرد الأصول مرة واحدة سنويًا على الأقل للتأكد من دقتها لضمان استكمال تلك المعلومات وشموليتها وصحتها ودقة توقيتها.
- محتويات قائمة جرد الأصول: أصول المعلومات الحساسة والمهمة (Asset inventory contents: critical and sensitive information assets):
الهدف : تسجيل المعلومات المهمة والحساسة التي تمتلكها جامعة الإمام محمد بن سعود الإسلامية.
المخاطر المحتملة :
يؤدي عدم وجود قائمة جرد للمعلومات المهمة والحساسة أو وجودها، ولكن بشكل غير كامل، إلى إضعاف قدرة جامعة الإمام محمد بن سعود الإسلامية على فهم ما يلي:
- الأصول الواجب حمايتها
- مواقع تخزينها
- الالتزامات التشريعية والتنظيمية للسياسات المرتبطة بالمعلومات الحرجة والحساسة
- كيفية حماية المعلومات الحرجة والحساسة والتعامل معها.
الإجراءات المطلوبة: تسجيل المعلومات التالية في قائمة جرد الأصول لكل أصل من أصول المعلومات الحرجة والحساسة (مثل عقد الاندماج والاستحواذ أو تفاصيل الراتب أو توقعات التسويق):
- نوع المعلومات المصنفة
- مستوى تصنيف المعلومات على النحو المحدد في سياسة تصنيف البيانات في جامعة الإمام محمد بن سعود الإسلامية
- تاريخ إعادة التصنيف
- متطلبات الالتزام (مثل تسجيل ما إذا كانت الأصول تندرج ضمن نطاق الخصوصية أو الاحتفاظ بالبيانات أو أي التزام قانوني آخر)
- الأنظمة أو التطبيقات أو العمليات التي تعتمد على المعلومات من أجل التشغيل بشكل صحيح
- تحديد مالك المعلوماتية
- موقع الأصول
- مالك الأصول (مثل القائم على حماية الأصول)
- الأصول المادية (Physical assets):الهدف : تسجيل الأصول المادية التي تمتلكها وتديرها جامعة الإمام محمد بن سعود الإسلامية.
المخاطر المحتملة : يؤدي عدم وجود قائمة جرد للأصول المادية إلى إضعاف قدرة جامعة الإمام محمد بن سعود الإسلامية على فهم:
- الأصول الواجب حمايتها
- متطلبات الصيانة والترخيص والحماية.
الإجراءات المطلوبة:- جمع المعلومات التالية (شبكات، وتقنية المعلومات، والمعدات المتخصصة) وحفظها في قائمة جرد الأصول المادية:
- نوع الأصول (مثل الشبكات وتقنيات المعلومات والمعدات المتخصصة)
- وصف الأصول (مثل جدار الحماية أو الخادم أو الحاسوب الشخصي)
- الشركة المصنعة للأصول وطرازها
- الغرض من الأعمال و/أو العمليات التجارية التي تدعمها الأصول
- مالك الأصول (مثل الشخص المسؤول عن الأصل) ووحدة الأعمال المعنية
- الوصف أو المعرف المميز (مثل استخدام الأرقام التسلسلية أو عناوين الشبكة أو أرقام المنتجات)
- التطبيقات التي تدعمها الأصول المادية
- الموقع المادي
- مستوى الحساسية لـ جامعة الإمام محمد بن سعود الإسلامية أو التصنيف الممنوح للأصل
- متطلبات الامتثال (مثل الأصل يندرج ضمن نطاق الهيئة الوطنية للأمن السيبراني أو جهة تنظيمية أخرى)
- الأنظمة أو التطبيقات أو العمليات التي تعتمد على الأصل المادي للتشغيل السليم
- يجوز إضافة المعلومات التالية في قائمة جرد الأصول، على الرغم من أن ذلك ليس إلزاميًا:
- عناوين الأجهزة المرتبطة (على سبيل المثال عنوان التحكم بالوصول إلى الوسائط MAC address)
- عناوين الشبكات المرتبطة (على سبيل المثال عناوين بروتوكول الإنترنت IP)
- تفاصيل أي برمجيات مثبتة
- تفاصيل المنافذ النشطة أو الخدمات أو البروتوكولات على الأجهزة
- تحديد ما إذا كانت الأجهزة معتمدة للاتصال بالشبكة
- حالة الاتصال الحالية (مثل: هل المعدات متصلة حاليًا بشبكات الجهة)
- نتائج اختبار الأمن السيبراني
- تطبيقات وبرمجيات الأعمال (Business applications and software):
الهدف : تسجيل تطبيقات الأعمال والبرامج المستخدمة من قِبل جامعة الإمام محمد بن سعود الإسلامية.
المخاطر المحتملة : يؤدي عدم وجود أو عدم اكتمال قائمة جرد تطبيقات الأعمال وأصول البرمجيات إلى إضعاف قدرة جامعة الإمام محمد بن سعود الإسلامية على فهم ما يلي:
- الأصول الواجب حمايتها
- متطلبات الصيانة والترخيص والحماية.
الإجراءات المطلوبة:- تسجيل المعلومات التالية الخاصة بتطبيقات الأعمال في قائمة جرد الأصول:
- اسم تطبيق الأعمال
- رقم نسخة التطبيق
- مستوى التحديثات والإصلاحات
- نوع التطبيق مثل إدارة علاقات العملاء ومنصات التعاون
- الغرض من الأعمال و/أو العمليات التجارية التي تدعمها الأصول
- مالك الأصول (مثل الشخص المسؤول عن الأصل) ووحدة الأعمال المعنية
- المعلومات التي يعالجها كل تطبيق، مثل بيانات المعاملات المالية أو معلومات الأعمال الحساسة أو المعلومات المحددة للهوية الشخصية
- التفاصيل الفنية حول كل تطبيق (مثل: متطلبات المورد والترخيص)
- نتائج اختبار الأمن السيبراني
- جهة الاتصال الخاصة بدعم الموردين
-
الأطراف الخارجية والموردون (Third parties and suppliers):
الهدف : تسجيل الأطراف الخارجية والموردين الذين يقدمون السلع والخدمات لـ جامعة الإمام محمد بن سعود الإسلامية.
المخاطر المحتملة : يؤدي عدم وجود أو عدم اكتمال قائمة الأطراف الخارجية والموردين إلى إضعاف قدرة جامعة الإمام محمد بن سعود الإسلامية على فهم ما يلي:
- السلع والخدمات المقدمة
- المعلومات المتبادلة أو المشتركة أو المعالجة أو المنقولة أو المخزنة مع أطراف خارجية وموردين
- المعلومات والأصول المادية التي يجب حمايتها في جامعة الإمام محمد بن سعود الإسلامية والأطراف الخارجية والموردين.
الإجراءات المطلوبة:- بالنسبة للأطراف الخارجية والموردين، يجب ان تحتوي قائمة جرد الأصول على المعلومات التالية:
- معرّف مميز
- اسم الطرف الخارجي أو المورد
- الغرض من الأعمال و/أو العمليات التجارية التي تدعمها الأصول
- مالك الأصول (مثل الشخص المسؤول عن الطرف الخارجي أو المورد) ووحدة الأعمال المعنية
- عقد مبرم بين جامعة الإمام محمد بن سعود الإسلامية والطرف الخارجي أو المورد
- أنواع السلع أو الخدمات المقدمة
- أهمية السلع أو الخدمات المقدمة إلى جامعة الإمام محمد بن سعود الإسلامية وعملياتها
- جهة (جهات) الاتصال الخاصة بالأطراف الخارجية أو الموردين
- يجب أن يكون لكل عقد مع طرف خارجي أو مورد قيد خاص ومُعرف فريد
- بالنسبة للأطراف الخارجية والموردين، يجب ان تحتوي قائمة جرد الأصول على تفاصيل جميع الأجهزة والبرمجيات المقدمة من الجهة إلى أطراف خارجية في إطار العقد
- يجب أن تحتوي القائمة على المعلومات المطلوبة في قائمة جرد الأجهزة أو البرامج ذات الصلة
- التحديث والمراجعة (Update and review):
الهدف : مراجعة قائمة جرد الأصول بشكل منتظم والتأكد من تحديثها
المخاطر المحتملة : يؤدي عدم تحديث قائمة جرد الأصول إلى توفير معلومات غير صحيحة عن الأصول لـ جامعة الإمام محمد بن سعود الإسلامية، وعدم إجراء الترقيات اللازمة، وعدم القدرة على تحديد متطلبات الصيانة ومتطلبات الترخيص وحالة الأمن السيبراني.
الإجراءات المطلوبة:- تحديث قائمة جرد الأصول عن طريق إضافة الأصول عند شرائها وقبل نشرها
- التحقق من المعلومات المسجلة في قائمة جرد الأصول مرة واحدة سنويًا على الأقل لضمان دقتها وللتأكد من استكمالها وشموليتها وصحتها ودقة توقيتها
- مراجعة قائمة جرد الأصول من قبل جهة مستقلة على الأقل كل سنتين. ويجوز أن تتم هذه المراجعة في إطار أعمال التدقيق السنوي للأعمال أو التدقيق المالي
- التخلص الآمن (Secure disposal):
الهدف : التخلص من معدات تقنية المعلومات والمعلومات الحساسة ذات الصيغ الرقمية والمادية بطريقة آمنة.
المخاطر المحتملة : يمكن الكشف عن المعلومات الحساسة والأسرار التجارية والبرمجيات والخوارزميات المخصصة عندما تتم إزالة المعدات والوثائق والسجلات الورقية مثل التقارير والتصاميم والدراسات التحليلية بشكل غير صحيح. وقد يؤدي هذا التعرض إلى فرض غرامات تنظيمية، وفقدان السمعة، والضرر التجاري، وفقدان الثقة من الحكومات والعملاء والأفراد.
الإجراءات المطلوبة:- حذف وسائط تخزين البيانات (بما في ذلك محركات الأقراص وأجهزة وسائط التخزين "USB" القابلة للإزالة) من جميع أصول تقنية المعلومات قبل التخلص منها.
- إتلاف السجلات الورقية بشكل آمن باستخدام آلة تقطيع الورق وفقًا لمعيار المعهد الألماني للتوحيد القياسي (DIN) رقم 66399 وتحديدًا وفق البند P-3 أو أعلى
- إتلاف السجلات الورقية المصنفة على أنها "سرية للغاية" و “سرية" بشكل آمن باستخدام آلة تمزيق الورق وفقًا لمعيار المعهد الألماني للتوحيد القياسي (DIN) وتحديد البند P-5 أو P-6 أو بالحرق.
- إزالة جميع العلامات التعريفية، مثل بطاقات الأصول، من أي أصل من أصول تقنية المعلومات التي سيتم التبرع بها أو بيعها أو إعادتها إلى مؤسسة تأجير.
- إتلاف جميع أصول الوسائط المادية والأجهزة التي تحتوي على بيانات مصنفة بطريقة آمنة تضمن استحالة استرداد البيانات.
- يجوز لـ جامعة الإمام محمد بن سعود الإسلامية التعاقد مع مورد معتمد لإتلاف المعلومات لتنفيذ عملية الاتلاف الآمن.
- إصدار شهادات الإتلاف من قبل مورد خدمات الإتلاف للتأكيد على تنفيذ عملية الاتلاف الآمن.
- تحديث قائمة جرد الأصول بالمعلومات ذات العلاقة بشأن التخلص من الأصول.
- إنشاء سجل للإتلاف يتضمن جميع المعلومات اللازمة حول أنشطة الإتلاف مثل:
- تاريخ عملية الإتلاف.
- الأصول المتلفة.
- نوع الأصول.
- الكمية.
- الرمز أو رقم تعريف الأصل.
- التصنيف.
- مشرف عملية الاتلاف.
- طريقة الإتلاف.
- شهادة إتلاف إذا قام بها المورد.
