المعيار الأول: إدارة هويات الدخول والصلاحيات (Identity and Access Management):

الهدف: ضمان توفير الوصول المنطقي لأصول البيانات بهدف منع الوصول غير المصرح به والسماح فقط بوصول المصرح لهم.

المخاطر المحتملة: قد تتسبب الإدارة غير السليمة للبيانات في وصول الأشخاص غير المصرح لهم إلى البيانات الحساسة، مما قد يؤدي إلى تلف البيانات أو فقدانها أو سرقتها.

الإجراءات المطلوبة:

أن تستند صلاحيات المستخدمين إلى مبادئ ضوابط الهويات وصلاحيات الوصول، والتي تتمثل بما يلي:

الحاجة إلى المعرفة
الحاجة إلى الاستخدام
الحد الأدنى من الصلاحيات
فصل المهام.

ضبط جميع عمليات الوصول إلى البيانات باستخدام آليات التعرّف والتحقق. ويجب أن يستوفي الضابط الخاص بالوصول ما يلي:

تخصيص الصلاحيات للأفراد بناءً على تصنيفهم الوظيفي وإداراتهم.
تقييد الصلاحيات للحد الأدنى المطلوب للأفراد أو الخدمات لأداء وظائفهم.
حجب جميع أشكال الوصول غير المصرح به.
إزالة كافة أشكال الوصول غير المطلوب إلى النظام.
مراجعة هويات المستخدمين وحقوق الوصول دوريًا.

تعيين حسابات الأجهزة والخدمات والتطبيقات لصاحب الحساب، ويجب ألا يستخدمها الأفراد للوصول إلى الأجهزة والخدمات والتطبيقات ذات العلاقة. ويجب إدارة هذه الحسابات وكلمات المرور المرتبطة بها من خلال أداة إدارة الحسابات ذات الصلاحيات في الجهة.
مراجعة جميع الحسابات عند إجراء تغييرات في دور المستخدم سنويًا على الأقل لحسابات المستخدمين أو مجموعات المستخدمين التي تتعامل مع البيانات العامة والسرية. أما الحسابات والخدمات ذات الصلاحيات، أو الحسابات التي تتعامل مع مستويات البيانات السرية والسرية للغاية، فيجب مراجعتها كل 6 أشهر.

المعيار الثاني: خصوصية البيانات والمعلومات (Data and Information Privacy) :

الهدف: ضمان تطبيق متطلبات خصوصية البيانات والمعلومات.

المخاطر المحتملة: قد تؤدي عدم كفاية أو غياب إجراءات خصوصية البيانات إلى الوصول غير المصرح به إلى البيانات السرية، مما قد يترتب عليه تسرب البيانات أو فقدانها.

الإجراءات المطلوبة:

أن تراعي جامعة الإمام محمد بن سعود الإسلامية تدابير الخصوصية في مراحل التصميم الأولية وطوال عملية التطوير الكاملة للأنظمة أو التطبيقات أو قواعد البيانات أو المنتجات أو العمليات أو الخدمات الجديدة التي تتضمن معالجة معلومات التعريف الشخصية (PII).
تضمين مبدأ "الخصوصية حسب التصميم" في تصميم ومعمارية أنظمة تقنية المعلومات التي تعالج معلومات التعريف الشخصية (PII) للتأكد من أن التغييرات الحالية أو الجديدة أو التغييرات التي تطرأ على الأنظمة التي تجمع معلومات التعريف الشخصية (PII) أو تعالجها تستوفي المتطلبات.
عند الحاجة، يجب أن تطبق جامعة الإمام محمد بن سعود الإسلامية تقنيات إخفاء هوية البيانات لتلبية متطلبات الخصوصية وفقًا لمبدأ "الخصوصية حسب التصميم".
أن تلائم إعدادات النظام الافتراضية تدابير الخصوصية على أفضل وجه (مبدأ الحدّ الأدنى من البيانات)، إذا تضمن النظام أو الخدمة اختيارات لموضوعات البيانات حول مقدار معلومات التعريف الشخصية (PII) التي تتم مشاركتها.
أن تطبق جامعة الإمام محمد بن سعود الإسلامية التدابير الفنية والتنظيمية الملائمة لضمان معالجة معلومات التعريف الشخصية (PII) الضرورية فقط بشكل افتراضي.
أن تتواءم ضوابط الأمن الموضحة في هذه الوثيقة مع متطلبات الخصوصية. ويجب أن تمتلك جامعة الإمام محمد بن سعود الإسلامية سياسة/ معيار/ متطلبات منفصلة معنية بخصوصية البيانات.

المعيار الثالث: تشفير البيانات المنقولة (Data in Transit Encryption):

الهدف : تحديد متطلبات التشفير لبيانات معينة بناءً على تصنيفها، ونتائج تقييم مخاطرها، وحالة استخدامها.

المخاطر المحتملة: قد يؤدي عدم التشفير أو التشفير غير الوافي للبيانات إلى إرسال بيانات سرية -عن قصد أو بدون قصد- إلى شخص لا يمتلك حق الوصول إليها أو مشاركتها بشكل علني.

الإجراءات المطلوبة:

أن تستخدم جامعة الإمام محمد بن سعود الإسلامية التشفير على جميع بيانات الأنظمة الحساسة أثناء نقلها (البيانات المنقولة)، باستخدام وسائل وخوارزميات ومفاتيح تشفير محدثة وآمنة وفقًا للمعايير الوطنية للتشفير ذات العلاقة.
استخدام التشفير في حال نقل معلومات التعريف الشخصية (PII) الإلكترونية (على سبيل المثال لا الحصر، من خلال البريد الإلكتروني، وبروتوكول النقل الآمن (SSH)، وخدمة الرسائل الفورية، والفاكس الإلكتروني، والاتصالات الهاتفية عبر الإنترنت (VOIP).
استخدام التشفير (نقطة الوصول المحمية للشبكة اللاسلكية (WPA) أو بروتوكول تشفير ذي مستوى أعلى) في حال الاتصال بالشبكة (الشبكات) الداخلية عبر شبكة لا سلكية.
استخدام التشفير في حالة الوصول عن بُعد إلى الشبكة (الشبكات) الداخلية أو الأجهزة الموصولة بشبكة مشتركة في جامعة الإمام محمد بن سعود الإسلامية (مثل الإنترنت) أو شخصية (مثل تقنية بلوتوث Bluetooth والاتصال قريب المدى NFC). ولا ينطبق هذا على الوصول عن بُعد عبر نقطة مُدارة من جامعة الإمام محمد بن سعود الإسلامية إلى نقطة اتصال مخصص
استخدام التشفير إذا تم نقل البيانات باستخدام موقع ويب عام و/أو خدمات ويب خاصة بـجامعة الإمام محمد بن سعود الإسلامية، ويجب استخدام بروتوكول نقل النص التشعبي الآمن (HTTPS) بدلاً من بروتوكول نقل النص التشعبي (HTTP) حيثما كان ذلك ممكنًا من الناحية الفنية. يجب أن تستخدم مواقع الويب العامة آلية أمن النقل الصارم ببروتوكول نقل النص التشعبي (HTTP)، وتعيد توجيه طلبات بروتوكول نقل النص التشعبي (HTTP) تلقائيًا إلى مواقع الويب التي تستخدم بروتوكول نقل النص التشعبي الآمن (HTTPS) حيثما كان ذلك ممكنًا من الناحية الفنية.
أن تستخدم جامعة الإمام محمد بن سعود الإسلامية طرق التشفير المناسبة للبيانات أثناء النقل، بما في ذلك على سبيل المثال لا الحصر، أمان طبقة النقل (TLS) 1.2 أو أحدث، وبروتوكول النقل الآمن (SSHv2) أو أحدث، وبروتوكول الوصول المحمي للشبكات اللاسلكية (WPA) الإصدار 2 أو أحدث (مع تعطيل الإعدادات اللاسلكية المحمية)، والشبكات الخاصة الافتراضية (VPN) على النحو المنصوص عليه من قبل الهيئة الوطنية للأمن السيبراني في المعايير الوطنية للتشفير (NCS-1: 2020). يجب ضبط إعدادات المكونات لدعم أقوى حزم التشفير الممكنة.

المعيار الرابع: تشفير البيانات المخزّنة (Encryption in Data at rest):

الهدف: التأكد من تشفير البيانات بناءً على تصنيفها، ونتائج تقييم مخاطرها، وحالة استخدامها.

المخاطر المحتملة: قد يؤدي عدم تشفير البيانات أو تشفيرها بشكل غير صحيح إلى تسرب البيانات، والوصول غير المصرح به إليها، والكشف عن المعلومات السرية أمام العلن.

الإجراءات المطلوبة:

أن تقوم جامعة الإمام محمد بن سعود الإسلامية بتشفير جميع بيانات الأنظمة الحساسة أثناء التخزين (البيانات المخزّنة) على مستوى الملفات أو قواعد البيانات او عمود مخصص في قاعدة البيانات، باستخدام طرق تشفير وخوارزميات ومفاتيح تشفير محدثة وآمنة وفقًا للمعايير الوطنية للتشفير ذات العلاقة.
استخدام التشفير في الأنظمة الواردة أدناه:

الحواسيب المكتبية التي تصل إلى معلومات التعريف الشخصية (PII) أو المعلومات الحساسة.
مخازن البيانات (بما في ذلك، على سبيل المثال لا الحصر، قواعد البيانات ومشاركات الملفات) التي تحتوي على معلومات التعريف الشخصية (PII) والمعلومات الحساسة.
جميع الأجهزة المحمولة، بغض النظر عمّا إذا كانت صادرة عن جامعة الإمام محمد بن سعود الإسلامية أو جهة خارجية، والتي تصل إلى أو تحتوي على أي معلومات تخص جامعة الإمام محمد بن سعود الإسلامية أو معلومات حساسة.
أجهزة التخزين المحمولة التي تحتوي على أي معلومات تخص جامعة الإمام محمد بن سعود الإسلامية أو معلومات حساسة.
معلومات التعريف الشخصية (PII) المنقولة أو المخزّنة خارج مرافق جامعة الإمام محمد بن سعود الإسلامية أو المعلومات الحساسة.

استخدام تشفير القرص الكامل لجميع أجهزة الحاسوب المحمولة التي تصل إلى معلومات جامعة الإمام محمد بن سعود الإسلامية أو تحتوي عليها. ويجب أن تستخدم أدوات تشفير القرص الكامل إما مصادقة ما قبل التشغيل التي تستخدم وحدة النظام الأساسي الموثوقة (TPM) للجهاز، أو الواجهة الموحدة للبرنامج الثابت الممتد (UEFI).
إيقاف تشغيل أجهزة الحاسوب المحمولة وأيضًا أجهزة الكمبيوتر المحمولة التابعة لجهات خارجية التي تصل إلى أو تحتوي على معلومات التعريف الشخصية (PII) أو المعلومات الحساسة عندما تكون خارج مرافق جامعة الإمام محمد بن سعود الإسلامية، (على سبيل المثال، إيقاف التشغيل أو وضع السكون) عندما لا تكون مستخدمة، للحدّ من الهجمات على مفاتيح التشفير.
أن يكون لدى جامعة الإمام محمد بن سعود الإسلامية عملية مطبقة للتأكد من أن الأجهزة والوسائط المستخدمة قد تم تشفيرها بنجاح باستخدام آلية واحدة على الأقل مما يلي (مرتبة بحسب الآلية المفضلة):

إنفاذ السياسات آليًا
نظام جرد آلي
حفظ السجلات يدويًا

المعيار الخامس: التخلص من الوسائط (Media Disposal):

الهدف: قد تتطلب أنظمة المعلومات التي تسجل المعلومات وتعالجها وتخزنها باستخدام مجموعة متنوعة من الوسائط، بما في ذلك الورق، إجراءات خاصة للتخلص منها من أجل التخفيف من حدة مخاطر الوصول غير المصرح به إلى البيانات ولضمان سريتها.

المخاطر المحتملة: يؤدي عدم كفاية أو غياب ممارسات تدقيق البيانات إلى تعريض جامعة الإمام محمد بن سعود الإسلامية لمخاطر اختراق البيانات والكشف عنها والوصول غير المصرح به إلى المعلومات السرية.

الإجراءات المطلوبة:

أن تقوم جامعة الإمام محمد بن سعود الإسلامية بإزالة البيانات بالكتابة فوقها كوسيلة للتطهير، وذلك في حال إعادة استخدام الوسائط وبقائها في حيازة جامعة الإمام محمد بن سعود الإسلامية من أجل منع استرداد المعلومات عن طريق أدوات استرداد البيانات أو القرص أو الملفات.
أن تستخدم جامعة الإمام محمد بن سعود الإسلامية عملية تنظف البيانات كوسيلة لتطهيرها إذا كان سيتم إعادة استخدام الوسائط ولن تكون في حيازة جامعة الإمام محمد بن سعود الإسلامية، من أجل حماية سرية المعلومات ضد أي هجوم من خلال إزالة المغنطة أو المسح الآمن.

على جامعة الإمام محمد بن سعود الإسلامية إتلاف البيانات ماديًا كوسيلة لتطهيرها، إذا كان لن يتم إعادة استخدام الوسائط مطلقًا من أجل إتلاف الوسائط بشكل كامل.
توثيق النقاط التالية:

وقت إتلاف البيانات
الشخص الذي قام بإتلاف البيانات
يجب تخزين الأدلة وفقًا لفترة الاحتفاظ بها المتفق عليها.

أن تقرر جامعة الإمام محمد بن سعود الإسلامية عملية التطهير التي سيتم استخدامها، بناءً على التصنيف ومستوى السرية المرتبط بالمعلومات، وليس بناءً على نوع الوسائط. ويجب أن يوافق مالك البيانات على نوع التطهير.

المعيار السادس: ضوابط مكافحة المخاطر المالية ومخاطر المساس بالسمعة (Controls Against Financial and Reputational Risks):

الهدف: ضمان سرية وسلامة وتوافر بيانات جامعة الإمام محمد بن سعود الإسلامية ومعلوماتها وفقًا للسياسات والإجراءات التنظيمية والقوانين واللوائح ذات الصلة، من أجل تجنب الإضرار المالي والمساس بالسمعة.

المخاطر المحتملة: يمكن أن تتسبب الوثائق المسروقة والمدعى أنها "أصلية" (بدون علامات مائية)، وتسرب البيانات، وسوء التعامل مع البيانات الحساسة والشخصية في وقوع مخاطر مالية ومخاطر المساس بالسمعة.

الإجراءات المطلوبة:

أن تستخدم جامعة الإمام محمد بن سعود الإسلامية خاصية العلامات المائية لترميز الوثيقة بأكملها عند إعدادها أو تخزينها وطباعتها أو عرضها على الشاشة، مع التأكد من احتواء كل نسخة من الوثيقة على رقم يمكن تتبعه.
أن تستخدم جامعة الإمام محمد بن سعود الإسلامية تقنيات منع فقدان البيانات.
أن تحظر جامعة الإمام محمد بن سعود الإسلامية استخدام البيانات الحساسة والشخصية في أي بيئة أخرى غير بيئة الإنتاج. لا يُمنح الاستثناء إلا بعد تطبيق ضوابط صارمة لحماية بيانات جامعة الإمام محمد بن سعود الإسلامية باستخدام التقنيات المناسبة، مثل: تقنيع البيانات أو تخليط البيانات.

المعيار السابع: المعايير الأخرى (Other Standards)

الهدف: يجب نشر حماية البيانات بشكل آمن واستخدامها بشكل ملائم عند الحاجة.

المخاطر المحتملة: يزيد الإخفاق في تلبية جميع معايير ومتطلبات الأمن من المخاطر الأمنية المتعلقة بحماية البيانات.

الإجراءات المطلوبة:

تطبيق المعايير التالية فيما يتعلق بحماية البيانات:

نموذج معيار التشفير
نموذج معيار أمن الشبكات
نموذج معيار الأمن المادي
نموذج معيار إدارة النسخ الاحتياطية والاسترجاع

المعيار الأول: إدارة هويات الدخول والصلاحيات (Identity and Access Management):

المعيار الثاني: خصوصية البيانات والمعلومات (Data and Information Privacy) :

المعيار الثالث: تشفير البيانات المنقولة (Data in Transit Encryption):

المعيار الرابع: تشفير البيانات المخزّنة (Encryption in Data at rest):

المعيار الخامس: التخلص من الوسائط (Media Disposal):

المعيار السادس: ضوابط مكافحة المخاطر المالية ومخاطر المساس بالسمعة (Controls Against Financial and Reputational Risks):

المعيار السابع: المعايير الأخرى (Other Standards)

روابط الجهة

روابط مهمة

تابعنا على

​​المعيار الأول: إدارة هويات الدخول والصلاحيات (Identity and Access Management):

​المعيار الثاني: خصوصية البيانات والمعلومات (Data and Information Privacy) :

​المعيار الثالث: ​تشفير البيانات المنقولة (Data in Transit Encryption):

​المعيار الرابع: تشفير البيانات المخزّنة (Encryption in Data at rest):

​المعيار الخامس: التخلص من الوسائط (Media Disposal):

​المعيار السادس: ضوابط مكافحة المخاطر المالية ومخاطر المساس بالسمعة (Controls Against Financial and Reputational Risks):

​المعيار السابع: المعايير الأخرى (Other Standards)

روابط الجهة

روابط مهمة

تابعنا على

المعيار الأول: إدارة هويات الدخول والصلاحيات (Identity and Access Management):

المعيار الثاني: خصوصية البيانات والمعلومات (Data and Information Privacy) :

المعيار الثالث: تشفير البيانات المنقولة (Data in Transit Encryption):

المعيار الرابع: تشفير البيانات المخزّنة (Encryption in Data at rest):

المعيار الخامس: التخلص من الوسائط (Media Disposal):

المعيار السادس: ضوابط مكافحة المخاطر المالية ومخاطر المساس بالسمعة (Controls Against Financial and Reputational Risks):

المعيار السابع: المعايير الأخرى (Other Standards)