purpose

This document aims to organize the access control management process for assets, resources, and information systems of Najran University, to ensure the protection of data and information stored and used within the university. This policy was designed to comply with national and international data management standards, as well as specifically with the personal data protection system, to provide a secure environment that guarantees the confidentiality, integrity, and availability of the university’s information, while clearly defining responsibilities and authorities to prevent unauthorized access.

Scope of Work

This policy applies to all assets and resources of Najran University, physical and digital, regardless of their classification or sensitivity. It includes all individuals and entities that are granted access to university systems or data, who are:

  • Faculty and staff in all categories
    • Students registered in the University and authorized to use any of its electronic systems.Contractors and Consultants working for or on behalf of the University.Any third party grants access authority within the scope of collaboration or service provision.

Terms and Conditions

أولاً: الضوابط العامة لمنح وإدارة صلاحيات الوصول

  • تُحدد هذه الضوابط استنادًا إلى ما ورد في الفقرتين (2) و (2-4) من سياسة إدارة هويات الدخول والصلاحيات، الصادرة عن إدارة الأمن السيبراني في الجامعة.

ثانياً: إدارة هوية المستخدم (User Identity Management)

  • تُستند هذه الضوابط إلى ما ورد في الفقرة (1) من سياسة إدارة هويات الدخول والصلاحيات، المعتمدة من إدارة الأمن السيبراني.

ثالثاً: سياسة إدارة كلمات المرور

  • تُطبق هذه الضوابط وفقًا لما ورد في الفقرتين (2-2) و (2-7) من سياسة إدارة هويات الدخول والصلاحيات، الصادرة عن إدارة الأمن السيبراني.

رابعاً: مراجعة وإلغاء صلاحيات الوصول

  • تستند هذه الضوابط إلى ما جاء في الفقرتين (2-3) و (2-6) من سياسة إدارة هويات الدخول والصلاحيات، المعتمدة من إدارة الأمن السيبراني.

خامساً: ضبط الدخول الآمن للأنظمة (Secure Log-on Procedures)

  • لا يُسمح بالدخول إلى أنظمة الجامعة إلا من خلال واجهات تحقق رسمية ومعتمدة.
  • تظهر رسالة قانونية تحذيرية عند شاشة الدخول تفيد بأن النظام مخصص للمستخدمين المخولين فقط.
  • تُسجل جميع محاولات الدخول الناجحة والفاشلة في سجل النظام، مع التواريخ وبيانات الجهاز.
  • تُطبق آلية تأخير تلقائي بين المحاولات الفاشلة لتقليل مخاطر الهجمات الآلية (Brute Force).
  • تُفعل الإنذارات الآلية عند تجاوز الحد الأقصى لمحاولات الدخول.
  • يتم استخدام طرق تحقق متعددة (Multi-factor Authentication) في الأنظمة الحساسة.
  • تُجرى مراجعة دورية (أسبوعية) لمحاولات الدخول الفاشلة (عمادة التحول الرقمي ومصادر المعرفة وإدارة الأمن السيبراني).
  • يُفعّل قفل تلقائي للجلسات غير النشطة بعد فترة محددة من عدم الاستخدام.
  • يُمنع الوصول إلى النظام من بيئات غير موثوقة.
  • تُطبق قيود جغرافية أو زمنية عند الحاجة للوصول المقيد بحسب السياق.

سادساً: التحكم في الوصول إلى البرمجيات والوحدات الطرفية (Software & Peripheral Access)

  • يُمنع تثبيت أو استخدام أي برنامج غير معتمد إلا بموافقة خطية من عمادة التحول الرقمي ومصادر المعرفة.
  • تُزال جميع الخدمات والبرمجيات غير الضرورية من أنظمة التشغيل.
  • يتم تقييد الوصول إلى البرامج عبر التحكم في الامتيازات وتفويض الصلاحيات.
  • تُراجع جميع البرمجيات المثبتة بشكل دوري لضمان توافقها مع السياسات والتحديثات الأمنية.
  • تُحظر محاولات تثبيت أو تشغيل برامج خارجية من وحدات تخزين متنقلة.
  • تُعتمد فقط نسخ البرمجيات المرخصة والمحدثة بشكل رسمي.
  • يُراقب الوصول إلى البرمجيات عبر أنظمة SIEM أو أدوات التحكم المركزي.
  • يُسجل استخدام البرمجيات الحساسة لأغراض التدقيق والمراجعة.
  • يُحظر استخدام أدوات التورنت أو أدوات التحكم عن بُعد غير المرخصة.
  • تُطبق ضوابط الأمن على برمجيات المصادر المفتوحة المستخدمة في البنية التحتية.

سابعاً: التحكم في الوصول إلى الشيفرة المصدرية (Source Code Access Control)

  • لا يُسمح بالوصول إلى الشيفرة المصدرية للأنظمة إلا للأفراد المخولين ووفق ترخيص رسمي.
  • تُحفظ الشيفرات المصدرية في مستودعات مؤمنة مع تفعيل التشفير والتحكم في الإصدارات.
  • يُوثّق كل تغيير في الشيفرة ضمن سجل المراجعة (Change Log).
  • تُحظر نسخ الشيفرات المصدرية إلى أجهزة شخصية أو غير محمية.
  • تُطبق مراجعات مستقلة للشفرة (Code Review) قبل عمليات الدمج أو النشر.
  • يُقيد الوصول إلى ملفات التكوين والحساسيات ضمن الشيفرة (مثل كلمات المرور أو المفاتيح).
  • تُخزن نسخ احتياطية دورية من الشيفرة في بيئة معزولة.
  • تُطبق سياسة إدارة دورة حياة الشيفرة المصدرية، من الإنشاء إلى الإلغاء.

Roles and Responsibilities

الجهة

الأدوار والمسؤوليات

عمادة التحول الرقمي ومصادر المعرفة
  • إدارة وتطوير الأنظمة التي تتحكم في الهوية والوصول (مثل IAM، SSO، Active Directory).
  • إنشاء وتعديل وتعطيل حسابات المستخدمين بشكل آمن ومنظم.
  • حماية الأنظمة عبر تنفيذ آليات التوثيق متعددة العوامل (MFA) ونظام الدخول الموحد (SSO).
  • الربط التكاملي بين نظام التحكم في الوصول ونظام الموارد البشرية والمالية.
  • إدارة آليات إلغاء الوصول الفوري عند تغيير وضع المستخدم أو انتهاء العلاقة الوظيفية.
  • مراقبة وتسجيل نشاطات المستخدمين لتتبع الدخول والخروج وأي تغييرات في الصلاحيات.
  • إجراء الصيانة الدورية والتحديثات الأمنية على أنظمة التحكم في الوصول.
  • تطوير وتنفيذ سياسات إدارة كلمات المرور وتحديثها دوريا
  • إجراء اختبارات اختراق دورية لتقييم أمان أنظمة التحكم في الوصول.
  • ضمان التوافق مع متطلبات حماية البيانات الشخصية والمعلومات الحساسة.
  • إعداد تقارير دورية للإدارة العليا حول حالة نظم الوصول وأمنها.
  • التعاون مع الأمن السيبراني في التحقيقات التقنية لحوادث الوصول.

الأمن السيبراني
  • تطوير سياسات أمنية محدثة للتحكم في الوصول متوافقة مع ISO 27001.
  • مراقبة مستمرة للأنظمة باستخدام أدوات مثل SIEM وIDS/IPS لرصد النشاط المشبوه.
  • فرض ضوابط صارمة على الحسابات ذات الامتياز العالي (Privileged Access Management - PAM).
  • تطبيق استراتيجيات تقليل المخاطر الأمنية المتعلقة بالوصول غير المصرح به.
  • مراجعة طلبات الاستثناء المتعلقة بصلاحيات الوصول وتحليل المخاطر المحتملة.
  • تقييم نقاط الضعف بانتظام وتحديث ضوابط الأمن بناءً على نتائج التقييم.
  • إصدار التنبيهات والتحذيرات الفورية عند اكتشاف محاولات اختراق أو سوء استخدام.
  • ضمان حماية الأنظمة من هجمات التصيد والبرمجيات الخبيثة المرتبطة بمحاولات الدخول.
  • مراجعة ومراقبة استخدام الوصول المميز للحسابات الحساسة.
  • تطوير إجراءات الاستجابة الفورية للحوادث الأمنية المرتبطة بالوصول.

مكتب البيانات
  • تحديد وضبط مستويات الوصول إلى البيانات حسب التصنيف (سرية، عامة، مقيدة، إلخ).
  • التحكم في الوصول إلى البيانات ومنح الصلاحيات فقط بناءً على مبدأ الحد الأدنى من الامتيازات.
  • التأكد من تطبيق مبدأ "الحاجة إلى المعرفة" في الوصول إلى قواعد البيانات والمستودعات.
  • تحديد مالكي البيانات ومستوى الصلاحيات التي تمنح لهم.
  • العمل مع مالكي البيانات لتحديد من يمكنه الوصول إلى مجموعات البيانات المختلفة.
  • إدارة حقوق الوصول للبيانات والتحقق من صحتها دورياً.
  • مراقبة حركة البيانات مع ضمان أن كل من لديه صلاحية على قواعد البيانات ما زالت له حاجة مبررة
  • ضمان التوافق مع قوانين حماية البيانات المحلية والدولية (مثل GDPR).
  • متابعة تنفيذ ضوابط الأمان المتعلقة بالنسخ الاحتياطي وحماية البيانات.
  • تطوير آليات لمراجعة الأذونات والتصاريح المتعلقة بالوصول إلى البيانات.
  • إعداد تقارير دورية عن استخدام البيانات ومستوى الالتزام بسياسات التحكم في الوصول.
  • تدريب منسوبي الجامعة على أهمية حماية البيانات واتباع إجراءات التحكم في الوصول.

إدارة المخاطر
  • إجراء تقييمات دورية لمخاطر التحكم في الوصول وفق منهجيات معترف بها (مثل ISO 31000).
  • تطوير خطط معالجة المخاطر وفرض الضوابط الأمنية الملائمة.
  • إعداد تقارير شاملة عن حالة المخاطر المرتبطة بالتحكم في الوصول.
  • دعم تنفيذ عمليات التدقيق الداخلي والخارجي المتعلقة بالمخاطر الأمنية.

الإدارة القانونية
  • مراجعة جميع السياسات والإجراءات للتأكد من توافقها مع القوانين المحلية والدولية.
  • صياغة بنود عقود العمل والاتفاقيات الأمنية مع الأطراف الخارجية.
  • تقديم الدعم القانوني خلال التحقيقات الداخلية والخارجية المتعلقة بأمن المعلومات.
  • تقييم المخاطر القانونية الناتجة عن استخدام البيانات وحماية الخصوصية.

إدارات ووحدات الجامعة (الكليات، العمادات، والمراكز وجميع الوحدات الإدارية)
  • تحليل المهام الوظيفية لتحديد صلاحيات الوصول اللازمة.
  • متابعة مراجعة صلاحيات الوصول بشكل دوري لضمان ملاءمتها.
  • الإبلاغ الفوري عن أي حوادث أو سوء استخدام لصلاحيات الوصول.
  • المشاركة في تقييم المخاطر الأمنية المرتبطة بالوصول لبيانات الوحدة الإدارية.
  • التنسيق مع عمادة التحول الرقمي ومصادر المعرفة لدعم عمليات التحقق من صلاحيات الوصول.
  • دعم تنفيذ السياسات الأمنية داخل الوحدة والامتثال لها.

relevant regulations

University access to data is subject to a set of systematic and regulatory frameworks, both local and international, aimed at ensuring data protection and integrity, promoting transparency and accountability in its use. Among these references:

  • National Data Governance Policy, issued by the Saudi Data and Cyber Lab (SDAIA), Version 1 (2020), which is the main reference in the regulation of data management at the national level, including access management, data ownership, and controls for its use.
  • Cybercrime Control System, issued by Royal Decree No. m/17 dated 26/3/1428H (2007), which criminalizes unauthorized access to data or information systems, and frames the responsibility of individuals and institutions when dealing with access privileges..Basic Cybersecurity Controls, issued by the National Cyber Security Agency (NCA), which include access control provisions (Access Control) as one of the main axes for protecting the national information infrastructure. The internationally approved standards, such asISO/IEC 27001:2022 related to information security, andISO/IEC 27701 related to privacy and personal data management, which specify the technical and administrative controls to organize access rights and define responsibilities.

    • Compliance with Data Access Policy

    • Data access policy is mandatory for all university personnel, including faculty members, administrators, researchers, contractors, and any external entities granted access to university informational assets, whether for contractual, research, or operational purposes.
    Units (such as colleges, departments, and research centers) bear responsibility for applying this policy at the operational level and ensuring that employees comply with the authorities granted to them and do not abuse them.The Data Office is responsible for monitoring compliance with this policy, in coordination with the Cyber Security Unit, through monitoring and follow-up tools, periodic reports, and internal audit mechanisms.In case of any violation or misuse or exceeding access privileges, it is dealt with according to the incident response security policy, and the violation is referred to the competent authorities within the University, with the possibility of referring it to the national supervisory authorities if necessary.This policy is aligned with the access identity management and authorization policy of the Cyber Security Administration of the University.

    Review data access policy

    • The Data Office undertakes, in cooperation with the Digital Transformation Deanship and Knowledge Sources, and Cybersecurity Administration, the review of this policy periodically (at least annually), or upon occurrence of material changes in the systems or relevant legislation, or in the university's technical or administrative infrastructure.