معايير النسخ الاحتياطية:
- عمليات إدارة النسخ الاحتياطية ( Data backup and recovery processes):
الهدف : تحديد آلية النسخ الاحتياطي لكل نظام من أنظمة تقنية المعلومات الذي تستخدمه جامعة الإمام محمد بن سعود الإسلامية.
المخاطر المحتملة : قد يؤدي عدم وجود نسخ احتياطية إلى فقدان البيانات والمعلومات في حالة حدوث خطأ في النظام أو إيقاف التشغيل غير المخطط له أو حدوث انتهاك أمني، ومن الممكن أن يؤدي عدم وجود عملية نسخ احتياطي للنظام إلى عدم استعادة نظام تقنية المعلومات إلى نقطة زمنية محددة وحالة معروفة، مما يؤثر سلبًا على العمليات التشغيلية ويُعرض جامعة الإمام محمد بن سعود الإسلامية لانتهاك الالتزامات التشريعية أو التنظيمية.
الإجراءات المطلوبة:
- أسماء الموظفين المصرح لهم الذين يمكنهم الوصول إلى النسخ الاحتياطية ووسائط النسخ الاحتياطي
- الإجراءات التشغيلية
- إجراءات تسجيل النسخ الاحتياطي
- وتيرة النسخ الاحتياطي (مثل: يوميًا أو أسبوعيًا أو شهريًا) لتحقيق تحليل التأثير على الأعمال ووقت التعافي وأهداف نقاط التعافي
- سجل من ملفات النظام والتطبيقات المطلوب إعداد نسخ احتياطية لها (مثل: نظام التشغيل، أو ملفات التطبيق القابلة للتنفيذ)
- سجل بالبيانات والمعلومات المطلوب إعداد نسخ احتياطية لها (مثل: البيانات الثابتة أو ملفات العملاء أو سجلات المعاملات)
- نوع النسخ الاحتياطي (مثل: إضافية أو كاملة)
- الوسيط (مثل: شريط، قرص، سحابة)
- التخزين (مثل: في الموقع، خارج الموقع، التعاقب(Rotating))
- سجلات النسخ الاحتياطي (مثل: التاريخ، وسائط وموقع التخزين)
- فترات الاحتفاظ بالنسخ الاحتياطية
- إجراءات مراقبة السجل ومعالجة الأخطاء (مثل: إعادة تشغيل نسخة احتياطية لم يتم تشغيلها بنجاح، وذلك ضمن إطار زمني محدد)
- إجراءات الاختبار (مثل: التحقق من النسخ الاحتياطي)
- إجراءات استعادة البيانات وجداولها الزمنية
- متطلبات تشفير البيانات
- استخدام الوسائط الشخصية القابلة للإزالة من أي نوع (مثل: أجهزة التخزين الخارجية USB) كوسيلة احتياطية يجب حظرها.
- حماية وسائط النسخ الاحتياطي Protection of backup media:
الهدف : حماية وسائط النسخ الاحتياطي.
المخاطر المحتملة : يمكن أن تتعرض وسائط النسخ الاحتياطي غير المحمية أو التي يتم تخزينها أو التعامل معها بشكل غير سليم للتلف أو الفقدان أو السرقة أو انتهاك أمني. وقد يؤثر تلف وسائط النسخ الاحتياطي سلبًا على استعادة نظام تقنية المعلومات أو البيانات والمعلومات المرتبطة به، وقد يعني فقدان الوسائط أو سرقتها عدم إمكانية تنفيذ عملية استعادة البيانات والمعلومات، واعتمادًا على البيانات والمعلومات المخزنة على وسائط النسخ الاحتياطي، قد يُعرّض جامعة الإمام محمد بن سعود الإسلامية للتحقيقات والعقوبات القانونية أو التنظيمية.
الإجراءات المطلوبة:
- تخزين وسائط النسخ الاحتياطي في مكان آمن ومقاوم للحريق عند عدم استخدامها وحمايتها من المخاطر البيئية (مثل: الفيضانات).
- يجب ان تحفظ وسائط النسخ الاحتياطي بشكل منفصل عن الوسائط المباشرة (أي وسائط البث الحي) باستخدام وسائط التخزين عبر الإنترنت (مثل شبكة نسخ احتياطية مخصصة أو التقسيم المادي و/أو المنطقي للشبكة).
- يكون الوصول إلى وسائط النسخ الاحتياطي مقتصرًا على الموظفين المصرح لهم ممن لديهم احتياجات عمل مناسبة.
- تحديد وتوثيق الموظفين المصرح لهم بالوصول إلى وسائط النسخ الاحتياطي ومبررات الوصول.
- نقل وسائط النسخ الاحتياطي المادية (مثل: الأقراص والأشرطة وغيرها) إلى موقع آمن ومعتمد لدى جامعة الإمام محمد بن سعود الإسلامية مباشرة بعد الإنشاء أو الاستخدام.
- نقل وسائط النسخ الاحتياطي المادية من مواقع خارجية وإليها باستخدام وسيلة نقل آمنة (مثل البريد السريع المخصص وصندوق الأمن).
- تقتصر القدرة على استعادة وسائط النسخ الاحتياطي من خارج الموقع على الموظفين المصرح لهم.
- تسجيل جميع طلبات استعادة البيانات الاحتياطية في موقع مركزي (أي سجل طلب النسخ الاحتياطي).
- يحتوي سجل طلبات النسخ الاحتياطي على الأقل على ما يلي:
- وقت تقديم الطلب
- هوية مقدم الطلب
- سبب تقديم الطلب
- النسخ الاحتياطي المطلوب للنظام
- هوية الشخص الذي يوافق على الطلب أو يرفضه (يجب أن يكون الرفض مصحوبًا بمبررات رفض الطلب).
- تخزين سجل طلب النسخ الاحتياطي بطريقة آمنة، مع قصر الوصول على الموظفين المصرح لهم، باستخدام ضوابط الوصول المادي والمنطقي.
- مراجعة وحصر جميع وسائط النسخ الاحتياطي المادية مرة واحدة سنويًا على الأقل.
- استبدال وسائط النسخ الاحتياطي المادية قبل أن تصل إلى نهاية عمرها الافتراضي المعلن عنه من الشركة المصنعة.
- اختبار النسخ الاحتياطي واستعادة النسخ الاحتياطية (Backup test and restore):
الهدف : اختبار بيانات النسخ الاحتياطي للتأكد من اكتمالها وإمكانية استعادتها.
المخاطر المحتملة : عدم القدرة على تحديد ضرر أو تلف وسائط النسخ الاحتياطي وفساد البيانات والمعلومات المخزنة على وسائط النسخ الاحتياطي، وقد يؤثر ذلك سلبًا على استعادة نظام تقنية المعلومات أو البيانات والمعلومات المرتبطة به.
الإجراءات المطلوبة:
- اختبار جميع النسخ الاحتياطية والتحقق منها بعد تشغيلها لضمان نجاح إجراء النسخ الاحتياطي. على سبيل المثال، التحقق من حجم الملف باستخدام خاصية إجمالي حقول الملف أو تطبيق طرق أخرى للتحقق.
- إجراء اختبار استعادة النسخ الاحتياطية بشكل دوري وفقًا لما يلي:
- مرة واحدة سنويًا لجميع النسخ الاحتياطية.
- مرة واحدة كل ثلاثة أشهر للنسخ الاحتياطية للأنظمة الحساسة.
- مرة واحدة كل ستة أشهر للنسخ الاحتياطية لأنظمة العمل عن بعد.
- مراجعة اختبار استعادة النسخ الاحتياطية للتحقق مما إذا كان قد حدث خلال فترات زمنية محددة أو ضمن نطاقه.
- حماية النسخ الاحتياطية الإلكترونية (Protection of online backups):
الهدف : حماية النسخ الاحتياطية الإلكترونية.
المخاطر المحتملة : قد تؤدي عدم حماية النسخ الاحتياطية الإلكترونية أو عدم حمايتها بشكل مناسب إلى الوصول غير المصرح به أو التعديل أو الحذف للبيانات والمعلومات الاحتياطية. وقد يؤثر ذلك سلبًا على استعادة نظام تقنية المعلومات أو البيانات والمعلومات المرتبطة به.
الإجراءات المطلوبة:
- تقييد الوصول المادي والمنطقي إلى النسخ الاحتياطية الإلكترونية (مثل: وسائط التخزين المتصلة بالشبكة أو شبكات منطقة التخزين أو السحابة) وتحديده بالموظفين المصرح لهم.
- تشفير التخزين الاحتياطي، سواء عبر الإنترنت أو خارجه، إما عن طريق تشفير ملفات النسخ الاحتياطي الفردية و/أو حجم التخزين.
- تشفير ملفات النسخ الاحتياطي عند نقلها أو مشاركتها عبر الشبكات والمواقع المادية.
- متطلبات النسخ الاحتياطي والاحتفاظ بالبيانات (Backup and data retention requirements):
الهدف : الاحتفاظ بالبيانات والنسخ الاحتياطية وإدارتها وفقًا للمتطلبات التشريعية والتنظيمية والسياسات.
المخاطر المحتملة : قد يؤدي الاحتفاظ بالبيانات والمعلومات لفترات زمنية غير صحيحة إلى مخالفة التشريعات والأنظمة والسياسات.
الإجراءات المطلوبة:
- الاحتفاظ بالبيانات والنسخ الاحتياطية لفترات زمنية محددة كما هو مطلوب بموجب التشريعات واللوائح وسياسة الأعمال بالمواءمة مع معيار تصنيف الأصول وسياسة حماية البيانات في جامعة الإمام محمد بن سعود الإسلامية.
- مراجعة البيانات والنسخ الاحتياطية مرة واحدة سنويًا على الأقل لتحديد ما إذا تم تجاوز فترات الاحتفاظ المحددة، كما يجب توثيق نتائج المراجعة.
- مراجعة البيانات والنسخ الاحتياطية التي تحتوي على معلومات شخصية مرة واحدة على الأقل كل ستة أشهر لتحديد ما إذا تم تجاوز فترات الاحتفاظ المحددة، كما يجب توثيق نتائج المراجعة.
- يجب على مالك النظام تحديد عملية حذف البيانات والنسخ الاحتياطية عند الطلب وفقًا سياسة حماية البيانات المتبعة لدى جامعة الإمام محمد بن سعود الإسلامية.
- يجب أن تتضمن العملية المتطلبات التالية كحد أدنى:
- كيفية تقديم طلب حذف البيانات أو النسخ الاحتياطي (على سبيل المثال عبر البريد الإلكتروني)
- مستلمو طلب الحذف (مثل: مالك النظام، ممثل الإدارة العامة للشؤون القانونية، مسؤول حماية البيانات)
- الشخص المؤهل لطلب حذف البيانات/النسخ الاحتياطي (مثلاً موظفي جامعة الإمام محمد بن سعود الإسلامية)
- من يمكنه التصريح بإصدار حذف البيانات أو النسخ الاحتياطي (مثل: الإدارة العامة للشؤون القانونية)
- من يمكنه حذف البيانات أو النسخ الاحتياطية أو إنشاء نشاط حذف تلقائي (مثل: عمادة تقنية المعلومات)
- المدة التي يستغرقها طلب حذف البيانات أو النسخ الاحتياطي
- ما الآلية التي يتم استخدامها لإثبات حدوث الحذف بشكل دائم
- كيفية إتلاف مفاتيح التشفير (في حال استخدامها)
- كيفية تسجيل الطلب والحذف بطريقة آمنة.
- يجب تسجيل جميع طلبات حذف البيانات الاحتياطية في موقع مركزي (سجل حذف النسخ الاحتياطي).
- يحتوي سجل حذف النسخ الاحتياطي على الأقل على ما يلي:
- وقت طلب الحذف
- هوية مقدم طلب الحذف
- أسباب الحاجة إلى الحذف
- النسخة الاحتياطية للنظام المطلوب حذفها
- تاريخ ووقت الحذف الفعلي
- اسم الشخص/الموظف الذي قام بحذفه
- هوية الشخص الذي يوافق على الطلب أو يرفضه (يجب أن يكون الرفض مصحوبًا بمبررات رفض الطلب).
- تخزين سجل طلب النسخ الاحتياطي بطريقة آمنة، مع قصر الوصول إليه على الموظفين المصرح لهم، مع مراعاة ضوابط الوصول المادي والمنطقي.
- يكون إتلاف وسائط النسخ الاحتياطي المادي متوافقًا مع معيار تصنيف الأصول ومعايير الأمن المادي المتبعة لدى جامعة الإمام محمد بن سعود الإسلامية.
