Terminology

Personal Data: Every statement - whatever its source or form - can lead to the specific knowledge of an individual, or make them identifiable directly or indirectly when combined with other data, including, but not limited to, name, personal identification numbers, addresses, contact numbers, bank account and credit card numbers, static or moving images of the user, and other personal data.Data: A set of facts in their raw form or in an unorganized form such as numbers, letters, static images, videos, audio recordings, or emojis.Access to data: The ability to access logical and physical data and technical resources of the University for their use.Authentication: Confirming the identity of any user or process as a fundamental requirement to allow access to technical resources.Protected data: Data classified as (highly secret, secret, restricted)General Information: Data after processing (unprotected) that the University receives, produces, or deals with, regardless of its source, form, or nature.Data classification levels: Data classification levels as displayed in the data classification policy by the National Data Management Office are as follows: Highly Secret, Secret, Restricted, PublicData representative: is the person responsible for the data collected and maintained in business departments of the university.Security Controls: Devices and procedures and policies and physical guarantees used to ensure the safety of data and protect it and protect processing media and access to it.Data Disclosure: Enabling anyone – other than the University – to obtain personal data or use it or view it in any way for any purpose.User Data: Employee who deals with or accesses data, uses it, or updates it for the purpose of performing a task authorized by the university's authority.

goal policy

The purpose of this policy is:

  • Organizing the classification and protection of data at Najran University according to best global practices and in accordance with the instructions received from relevant authorities.
Organizing the process of using/reusing protected data and publishing general information.Specify the roles and responsibilities required from all parties at the university to ensure the optimal application of data classification.

scope of policy

These rules apply to all data that the University receives, generates, or handles, regardless of its source, form, or nature, including paper records, meetings, communications through social media and applications, emails, data stored on electronic media, audio or video tapes, maps, photographs, manuscripts, handwritten documents, or any other form of information.

Roles and Responsibilities

الجهة

الأدوار والمسؤوليات

اللجنة العليا الدائمة لإدارة وحوكمة البيانات
  • اعتماد السياسة
  • اعتماد الخطة الزمنية لتصنيف بيانات الجامعة.
  • معالجة أي صعوبات أو تحديات تعيق عملية تصنيف البيانات.

اللجنة الدائمة لجودة البيانات ودعم اتخاذ القرار
  • الاشراف العام على عملية تصنيف بيانات الجامعة بما يتوافق مع الأنظمة واللوائح والتنظيمات المعمول بها مع تعزيز أساليب الوصول الآمن إليها.
  • اقتراح الحلول لتحسين إجراءات تصنيف البيانات.
  • التوصية بالتصعيد إلى اللجنة العليا الدائمة لإدارة وحوكمة البيانات عند الحاجة لذلك.

مكتب إدارة البيانات
  • مراجعة سياسة تصنيف البيانات دورياً.
  • اقتراح تشكيل اللجان الفرعية -وفق ما تتطلبه مصلحة العمل لإنجاز الإعمال المتعلقة بتصنيف البيانات- والرفع لاعتمادها من صاحب الصلاحية.
  • متابعة أعمال اللجان الفرعية المختصة بتصنيف البيانات لضمان تصنيف كافة بيانات الجامعة من قبل ممثلي الاعمال الخاصة بهم.
  • اقتراح الأدلة الإجرائية الخاصة بتصنيف البيانات والتوصية باعتمادها من اللجنة العليا الدائمة لإدارة وحوكمة البيانات.
  • متابعة التقارير الدورية الخاصة باللجان الفرعية لتصنيف البيانات.
  • مراجعة مصادر البيانات الداخلية والخارجية وتسجيل وصف مكان تخزين البيانات والجهة المسؤولة عن إدارتها. ويشمل ذلك:
    • التأكد من توفر اتفاقية مشاركة للبيانات الخارجية.
    • التأكد من معايير الأمان المستخدمة عند تبادل البيانات بين الجهات الداخلية والخارجية بالجامعة.
  • رفع مستوى الوعي لدى منسوبي الجامعة (أعضاء هيئة تدريس وموظفين) بأهمية حوكمة البيانات وطرق تصنيفها وتبادلها ونشرها.

إدارات الأعمال (ويشمل جميع العمادات والوحدات في الجامعة)

تقوم إدارات الأعمال في الجامعة بتطبيق سياسة تصنيف البيانات المعتمدة بالجامعة ويشمل ذلك:

  • حصر وتصنيف جميع أصول البيانات (ويشمل ذلك جميع المعاملات الورقية الواردة للجهة داخل الجامعة والتي لم يتم تسجيلها في أي من أنظمة الجامعة).
  • ترشيح ممثل أعمال على اطلاع كاف على طبيعة بيانات الوحدة الإدارية.
  • ترشيح مراجع تصنيف البيانات لمراجعة واعتماد مستويات تصنيف إدارة الأعمال.
  • تصنيف البيانات في الجهة بناءً على ما ورد في هذه السياسة.

ممثل بيانات الأعمال

كل إدارة أعمال تقوم بتعيين ممثل بيانات للقيام بالمهام التالية:

  • تصنيف البيانات: تصنيف البيانات التي تجمعها الجهة والوحدات والمكاتب التابعة لها.
  • ? تجميع البيانات: التأكد من تصنيف البيانات المجمعة من مصادر متعددة على أعلى مستويات التصنيف المستخدمة في تصنيف البيانات بشكل فردي.
  • ? تنسيق تصنيف البيانات: التأكد من أن البيانات المتبادلة مصنفة ومحمية بصورة منسقة.
  • ? الامتثال لتصنيف البيانات (بالتنسيق مع مختصي بيانات الأعمال): التأكد من أن البيانات محمية وفقاً للضوابط المحددة.

عمادة التحول الرقمي مصادر المعرفة
  • تطبيق الضوابط على البيانات بحسب تصنيفاتها المعتمدة من مكتب إدارة البيانات.
  • الدعم التقني والمعلوماتي لإدارات الأعمال، ويشمل ذلك على سبيل المثال لا الحصر:
    • حصر قواعد البيانات للأنظمة الالكترونية بالجامعة.
    • توفير وتحديث البيانات الوصفية لقواعد البيانات للأنظمة الالكترونية بالجامعة بناءً على النماذج المعتمدة من مكتب إدارة البيانات ومشاركتها مع الوحدات التنظيمية المعنية.
    • تطبيق الأمان والحماية اللازمة على البيانات الالكترونية في الجامعة بناءً على تصنيفها.
    • إبلاغ إدارة الامن السيبراني ومكتب البيانات عن المخالفات التي يتم رصدها والتي تعرض البيانات للخطر.
  • إجراء نسخ احتياطية منتظمة للبيانات الأعمال.
  • استعادة البيانات من وسائط النسخ الاحتياطي عند الحاجة لذلك.

مختص بيانات الأعمال

تتولى عمادة التحول الرقمي ومصادر المعرفة وإدارة الأمن السيبراني بتكليف من يقوم بالأعمال التالية:

  • التأكد من تطبيق ضوابط التحكم في الوصول ورصدها ومراجعتها وفقًا لمستويات تصنيف البيانات التي يحددها ممثل بيانات الأعمال.
  • إعداد التقارير الدورية حول جودة البيانات المصنفة وسلامتها وسريتها ومشاركتها مع الإدارات ذات العلاقة.
  • الامتثال لتصنيف البيانات (بالاشتراك مع مسؤولي البيانات).
  • التأكد من تصنيف بيانات الجهة وحمايتها ووفقاً للضوابط المحددة في هذه السياسة.

إدارة الأمن السيبراني
  • الإشراف والرقابة على تنفيذ الضوابط على البيانات وفق التصنيف المعتمد وبما يضمن المواءمة مع السياسات والضوابط الصادرة عن الهيئة الوطنية للأمن السيبراني.
  • التنسيق مع الإدارة المالية لتوفير البرمجيات اللازمة لكشف تسريب البيانات وحمايتها.
  • مراقبة الأنشطة التي تتم على البيانات وتسجيلها، بما في ذلك البيانات المتعلقة بالشخص الذي يصل إلى هذه البيانات ومشاركتها دوريا مع مكتب إدارة البيانات لتحقيق الامتثال للعمل بهذه السياسة.

إدارة الحوكمة والمخاطر واستمرارية الاعمال
  • مراجعة تقارير الالتزام بتطبيق سياسة تصنيف البيانات وطرق حفظ هذه البيانات وتحديد الآثار المترتبة على عدم التقيد بالإجراءات الأمنية اللازمة لحفظ البيانات ومشاركة هذه التقارير مع مكتب إدارة البيانات بالجامعة.

إدارة المراجعة الداخلية
  • متابعة توافر تقارير الالتزام بسياسة تصنيف البيانات  من قبل إدارات الاعمال في الجامعة وفق الجدول الزمني لتطبيق هذه السياسة.

مستخدم البيانات
  • يلتزم مستخدم البيانات بالامتثال لهذه السياسة وجميع السياسات المتعلقة باستخدام البيانات في المملكة العربية السعودية.

Data classification principles

The first principle: Data availability

The basis for data is that it should be available (in the developmental field) unless its nature or sensitivity requires higher levels of classification and protection, and extreme secrecy (in the political and security fields) unless its nature or sensitivity requires lower levels of classification and protection.

The Second Principle: Necessity and Proportionality

Data is classified into levels according to its nature, sensitivity level, and impact degree, taking into consideration the balance between its value and its level of secrecy.

Third Principle: Classification at the Appropriate Time

Data is classified upon its creation or receipt from other entities, and the classification occurs within a defined time period.

The Fourth Principle: Higher Level of Protection

A higher level of classification is adopted when the content includes a comprehensive set of data with different classification levels.

The Fifth Principle: Separation of Duties

Tasks and responsibilities of employees – with regard to the classification, access, disclosure, use, modification, or destruction of data – are separated in a way that prevents overlap of duties and avoids diffusion of responsibility.

The Sixth Principle: The Need for Knowledge

Access to data and its use are restricted based on actual need for knowledge, and for the minimum number of employees.

The seventh principle: Least privilege

The granting of employee authorities is at least restricted to the privileges necessary for performing the tasks and responsibilities assigned to them.

Data classification levels

مستوى التصنيف

درجة الأثر

سري للغاية

عالي

الوصف

تصنف البيانات على أنها بيانات سرية للغاية إذا كان الوصول غير المصرح به إلى هذه البيانات أو الإفصاح عنها أو عن محتواها يؤدي إلى ضرر جسيم واستثنائي لا يمكن تداركه أو إصلاحه على:

  • المصالح الوطنية بما في ذلك الإخلال بالاتفاقيات والمعاهد ذات أو إلحاق الضرر بسمعة المملكة أو بالعلاقات الدبلوماسية والانتماءات السياسية والكفاءة التشغيلية للعمليات الأمنية أو العسكرية أو الاقتصاد الوطني أو البنية التحتية الوطنية أو الأعمال الحكومية.
  • أداء الجهات العامة مما يلحق الضرر بمصلحة الوطنية.
  • صحة الأفراد وسلامته على نطاق واسع وخصوصية كبار المسؤولين
  • الموارد البيئة أو الطبيعية.

مستوى التصنيف

درجة الأثر

سري

متوسط

الوصف

تصنف البيانات على لأنها بيانات سرية إذا كان الوصول غير المصرح به إلى هذه البيانات أو الإفصاح عنها أو عن محتواها يؤدي إلى ضرر جسيم على:

  • المصالح الوطنية مثل إلحاق ضرر جزئي بسمعة المملكة أو بالعلاقات الدبلوماسية و/أو الكفاءة التشغيلية للعمليات الأمنية أو العسكرية أو الاقتصاد الوطني أو البنية التحتية الوطنية أو الأعمال الحكومية.
  • يُحدث خسارة مالية على المستوى التنظيمي تؤدي إلى إفلاس أو عجز الجهات عن أداء مهامها أو خسارة جسيمة للقدرة التنافسية أو كليهما معاً
  • يتسبب في حدوث أذى جسيم أو إصابة تؤثر على حياة مجموعة من الأفراد.
  • تؤدي إلى ضرر على المدى الطويل للموارد البيئية أو الطبيعية.
  • التحقيق في القضايا الكبرى المحددة نظاماً، كقضايا تمويل الإرهاب.

مستوى التصنيف

درجة الأثر

مقيد

منخفض

الوصف

تصنف البيانات على أنها "مقيدة" إذا كان الوصول غير مصرح به إلى هذه البيانات أو الإفصاح عنها أو عن محتواها يؤدي إلى:

  • تأثير سلبي محدد محدود على عمل الجهات العامة وأنشطة الاقتصادية في المملكة وعلى عمل شخص معين.
  • ضرر محدود على أصول أي جهة وخسارة محدودة على وضعها المالي والتنافسي.
  • ضرر محدود على مدى القريب للموارد البيئية أو الطبيعية.

مستوى التصنيف

درجة الأثر

عام

لا يوجد

الوصف

تصنف في البيانات على أنها "بيانات عامة" عندما لا يترتب على الوصول غير المصرح به إلى هذه البيانات أو الإفصاح عنها أو عن محتواها أي من الآثار المذكورة أعلاه في حال عدم وجود تأثير على ما يأتي:

  • المصلحة الوطنية.
  • أنشطة الجهات.
  • مصالح الأفراد.
  • الموارد البيئية.

يمكن تصنيف البيانات المصنفة على مستوى مقيد إلى مستويات فرعية بناء على نطاق الأثر على النحو التالي:

  • مقيد - مستوى (أ): إذا كان نطاق الأثر على مستوى قطاع كامل أو نشاط اقتصادي عام.
  • مقيد - مستوى (ب): إذا كان نطاق الأثر على مستوى أنشطة عدة جهات أو على مصالح مجموعة من الأفراد.
  • مقيد - مستوى (ج): إذا كان نطاق الأثر على مستوى أنشطة جهة واحدة أو مصالح فرد معين.

وفي الجدول أدناه توضيح وتحديد لمستوى التصنيف الصحيح الذي يمكن الجامعة من تقييم درجة الأثر المترتبة على الوصول غير المصرح به إلى البيانات أو الإفصاح عنها أو عن محتواها ولمزيد من المعلومات حول عملية تقييم الأثر يمكن الاطلاع على خطوات اللازمة لتصنيف البيانات يجب على الجامعة أن تقوم بإجراء تقييم الأثر المترتبة على عملية الوصول أو الإفصاح غير المصرح به كما تعتبر هذه القائمة غير شمولية.

Categories and Impact Rating Levels according to Data Classification Levels

مستويات تصنيف البيانات

سري للغاية

سري

مقيد

عام

فئة الأثر الرئيسية ، فئة الأثر الفرعية، الاعتبارات

مستوى الأثر

عالي

متوسط

منخفض

لا يوجد

المصلحة الوطنية

سمعة المملكة

هل ستخضع المعلومات لاهتمام وسائل الإعلام المحلية أو الدولية؟ هل ستعطي انطباع سلبي؟

تتأثر السمعة بشكل كبير

تتأثر السمعة إلى حد ما

لا تتأثر السمعة

لا يوجد تأثير على المصالح الحيوية الوطنية

العلاقات الدبلوماسية

هل تُشكّل المعلومات خطرًا على العلاقات مع الدول الصديقة؟ هل ستزيد من حدة التوتر الدولي؟ هل يمكن أن تؤدي إلى احتجاجات أو عقوبات من دول أخرى؟

قطع العلاقات الدبلوماسية والانتماءات السياسية أو تهديد الاتفاقيات وشروط المعاهدات أو كليهما

تتأثر العلاقات الدبلوماسية سلبًا على المدى الطويل

لن يحدث تأثير على العلاقات الدبلوماسية أو يحدث تأثير بسيط على المدى القصير

مستويات تصنيف البيانات

سري للغاية

سري

مقيد

عام

فئة الأثر الرئيسية ، فئة الأثر الفرعية، الاعتبارات

مستوى الأثر

عالي

متوسط

منخفض

لا يوجد

المصلحة الوطنية

الأمن الوطني / النظام العام

هل المعلومات - في حال نشرها - تساعد على تنظيم أعمال إرهابية أو ارتكاب جرائم خطيرة؟ هل تُشكل مصدر ذعر للجميع؟

تتأثر الكفاءة التشغيلية للأمن العام أو العمليات الاستخباراتية للقوات العسكرية بشكل كبير

تأثير طويل المدى على قدرة وكفاءة الجهات الأمنية بالتحقيق والترافع في الجرائم المنظمة الخطيرة التي تسبب عدم الاستقرار الداخلي

تأثير لا يُذكر على الكفاءة التشغيلية للعمليات الأمنية على مستوي إقليمي أو محلي، والحيلولة دون اكتشاف الجرائم البسيطة على المدى القصير

لا يوجد تأثير على المصالح الحيوية الوطنية

الاقتصاد الوطني

هل يؤدي الكشف عن المعلومات إلى خسائر اقتصادية على المستوى الوطني؟

تأثير طويل المدى على الاقتصاد الوطني مع انخفاض لا يُمكن تداركه في الناتج المحلي الإجمالي أو أسعار الأسواق المالية أو نسبة البطالة أو القوة الشرائية أو المؤشرات الأخرى ذات الصلة مما ينعكس سلباً على جميع القطاعات في المملكة

تأثير طويل المدى على الاقتصاد الوطني مع انخفاض يُمكن تداركه في الناتج المحلي الإجمالي ونسبة البطالة أو أسعار الأسواق المالية أو القوة الشرائية، مما ينعكس سلباً على قطاع واحد أو أكثر

تأثير بسيط على الاقتصاد الوطني مع انخفاض يُمكن تداركه في وقت قصير في الناتج المحلي الإجمالي، ومعدل العمالة أو أسعار الأسواق المالية أو القوة الشرائية، مما ينعكس سلباً على قطاع واحد فقط

البنى التحتية الوطنية

هل الوصول إلى المعلومات يؤدي إلى تعطيل البنى التحتية الحيوية الوطنية مثل الطاقة، النقل، الاتصالات؟ في حال التعرض لهجمات إلكترونية، هل ستظل الخدمات الأساسية بالمملكة متاحة؟

التوقف والتعطل في أمن وعمليات البنى التحتية الوطنية الحيوية، كما تتأثر العديد من القطاعات وتتعطل الحياة الطبيعية

التوقف والتعطل -لفترة قصيرة - في أمن وعمليات البنى التحتية الوطنية الحيوية، كما يتأثر قطاع واحد أو أكثر

لا يحدث ضرر أو تأثير قصير المدى على أمن وعمليات البنى التحتية المحلية / الإقليمية

مهام الجهات الحكومية

هل الكشف عنها سيودي  إلى الحد من إمكانية الجهات الحكومية من تنفيذ عملياتها ومهامها اليومية؟

عدم قدرة جميع الجهات الحكومية من أداء مهامها وعملياتها الرئيسية لفترة طويلة

عدم قدرة جهة حكومية واحدة أو أكثر على أداء واحدة أو أكثر من مهامها الرئيسية لفترة قصيرة

عدم قدرة جهة حكومية أو أكثر من أداء مهمة واحدة أو أكثر من المهام غير الرئيسية لفترة قصيرة

الجامعة وفروعها

أعمال وخدمات الجامعة

هل سيؤدي الكشف عن المعلومات إلى الحد من إمكانية الوحدات التنظيمية في الجامعة من تنفيذ عملياتها ومهامها اليومية؟

عدم قدرة جميع الوحدات التنظيمية في الجامعة من أداء مهامها وعملياتها الرئيسية

عدم قدرة أكثر من وحدة تنظيمية واحدة )مثال الجامعة ، فرع محدد، الخ.( على أداء واحدة أو أكثر من مهامها الرئيسية

عدم قدرة وحدة تنظيمية واحدة )مثال الجامعة ، فرع محدد، الخ.( على أداء واحدة أو أكثر من مهامها الرئيسية

لا يوجد تأثير على أنشطة الجامعة وفروعها

البنى التحتية للجامعة

هل الوصول إلى المعلومات يؤدي إلى تعطيل البنى التحتية الحيوية للجامعة) مثل تقنية المعلومات، الخ. في حال التعرض لهجمات إلكترونية، هل ستظل الخدمات الأساسية في الجامعة متاحة؟

التوقف والتعطل في أمن وعمليات البنى التحتية في وحدة تنظيمية أو فرع أو أكثر، مما يؤدي الى تعطل الحياة الطبيعية

التوقف والتعطل الجزئي في أمن وعمليات البنى التحتية في وحدة تنظيمية أو فرع أو أكثر

يحدث ضرر أو تأثير بسيط على أمن وعمليات البنى التحتية للجامعة

الخسائر المادية

هل يؤدي الكشف عن المعلومات إلى خسائر مادية على مستوى الجامعة

تأثير على الجامعة مع انخفاض لا يُمكن تداركه في الأصول او الدخل أو المؤشرات المالية الأخرى ذات الصلة

تأثير على الجامعة مع انخفاض يُمكن تداركه في أصول أو مداخيل الجامعة المؤشرات المالية الأخرى ذات الصلة

تأثير بسيط على الجامعة مع انخفاض يُمكن تداركه في وقت قصير في أصول أو مداخيل الجامعة أو المؤشرات المالية الأخرى ذات الصلة

أنشطة  الجهات الأخرى

أرباح الجهات الخاصة

هل سيؤدي الكشف عن المعلومات إلى خسائر مالية أو إفلاس الجهات الخاصة التي تقوم بإدارة مرافق العامة؟ على سبيل المثال، احتمالية الاحتيال، وتحويلات الأموال غير القانونية، والمصادرة غير القانونية للأصول.

تأثير سلبي كبير على الجهات الخاصة إلى الحد الذي يتسبب في الإضرار بالمصالح الحيوية الوطنية

تكبد خسائر مالية فادحة مما قد يؤدي إلى الإفلاس

ضرر محدود يتمثل في خسارة مالية محدودة للجهة أو لأيٍ من أصولها

لا يوجد تأثير على أنشطة الجهات

مهام الجهات الخاصة

هل الكشف عنها سيؤدي إلى حدوث أضرار على الجهات الخاصة التي تقوم بإدارة المرافق العامة؟ هل سيؤدي ذلك إلى فقدان الدور الريادي أو خسارة أيٍ من الأصول؟

عدم امكانية القيام بالمهام الرئيسية، وفقدان القدرة على التنافسية إلى حد كبير

عدم امكانية أداء إحدى المهام الرئيسة، وفقدان القدرة على التنافسية بشكل محدود

مستويات تصنيف البيانات

سري للغاية

سري

مقيد

عام

فئة الأثر الرئيسية ، فئة الأثر الفرعية، الاعتبارات

مستوى الأثر

عالي

متوسط

منخفض

لا يوجد

الأفراد

صحة /  سلامة الأفراد

هل سيؤدي الكشف عن المعلومات إلى إفشاء أسماء أو مواقع أشخاص وما إلى ذلك؟ )على سبيل المثال، اسماء ومواقع العملاء السريين، والأشخاص الخاضعين لأنظمة حماية خاصة)

خسارة عامة أو فادحة في الأرواح؛ فقدان حياة فرد أو مجموعة من الأفراد

ضرر جسيم أو إصابة تهدد حياة الفرد

إصابة بسيطة دون أي خطر يهدد حياة أو صحة الفرد

لا يوجد تأثير على الأفراد

الخصوصية

هل سيؤدي الكشف عن المعلومات إلى انتهاك خصوصية الأفراد؟ هل سيؤدي ذلك إلى انتهاك أي حقوق ملكية فكرية؟

الكشف عن البيانات الشخصية لشخصية مهمة مما يؤثر على المصلحة الوطنية

الكشف عن البيانات الشخصية لشخصية مهمة

الكشف عن البيانات الشخصية لفرد

البيئة

الموارد البيئية

هل سيتم اُستخدم هذه المعلومات لتطوير خدمة أو منتج يمكن أن يؤدي إلى تدمير الموارد البيئية أو الطبيعية للمملكة؟

تأثير كارثي لا يمكن تداركه على البيئة أو الموارد الطبيعية

تأثير طويل المدى على البيئة أو الموارد الطبيعية

تأثير قصير المدى أو محدودة على البيئة أو الموارد الطبيعية

لا يوجد تأثير على البيئة

Data classification guidelines

  • All unclassified data must be classified within a specified period according to an action plan prepared by the Data Management Office of the University and approved by the University President or his designee
Unclassified data when created or received is treated as “restricted” until classified.Based on classification levels, appropriate security controls are determined and applied to protect data, to ensure its handling, processing, sharing, and disposal securely.Update security systems periodically to monitor classified data storage devices “highly secret,” “secret,” and “restricted,” to ensure the protection of this data from unauthorized access.
  • Data classified as "Highly Confidential", "Confidential", and "Restricted" must be protected when stored physically or electronically using approved methods from the National Cybersecurity Authority.

    • steps data classification

    1. تعيين ممثلي الأعمال:

    يتم بقرار من سعادة رئيس الجامعة أو من يفوضه اصدار قرار يحدد ممثلي بيانات الاعمال بمختلف الوحدات الإدارية بالجامعة بناء على ما يرفع من المشرف العام على مكتب البيانات/مدير مكتب البيانات.

    1. حصر بيانات الجامعة:
    • يتم حصر جميع البيانات التي تمتلكها الجامعة من خلال ممثلي بيانات الأعمال ومن خلال الجهات المشاركة مع الجامعة في تحديد وتوثيق بياناتها التي تمتلكها ويمكن تحديد مصادر البيانات بالجامعة كالتالي:

    مصادر بيانات داخلية

    تشمل إدارات الأعمال والنظم الداخلية التي تولد البيانات للجامعة من خلال تنفيذ إجراءات وخدمات العمل وتشمل المصادر على سبيل المثال لا الحصر: النسخ الورقية أو الرقمية للتقارير التي تعمل عليها الإدارات الداخلية أو البيانات المعرفة من خلال الأنظمة المستخدمة.

    مصادر بيانات خارجية

    تشمل الجهات الخارجية التي تقدم البيانات المتفق عليها للجامعة لتنفيذ إجراءات وخدمات العمل وتشمل هذه المصادر على سبيل المثال لا الحصر: مقدمي بيانات الطلاب، الجهات الحكومية ذات العلاقة والهيئات الرقابة الأخرى.








     

    • يتم تحديد قنوات تبادل البيانات والتي تشمل القنوات الآلية والقنوات اليدوية. حيث تشمل القنوات الآلية كافة القنوات الآلية وشبه الآلية مثل رسائل البريد الإلكتروني والرسائل القصيرة وغيرها من القنوات الخاصة بالأنظمة الالكترونية. بينما تشمل القنوات اليدوية جميع القنوات غير التقنية مثل الأقراص المدمجة ووحدات التخزين USB والأقراص الصلبة الخارجية والوثائق الورقية.
    1. إجراء عملية تقييم الأثر:

    يجب على ممثل بيانات الأعمال اتباع الخطوات اللازمة لعملية تقييم الأثر المحتمل الذي يترتب على:

    • الإفصاح عن هذه البيانات أو الوصول غير المصرح به لها.
    • إجراء تعديل على هذه البيانات أو إتلافها أو كليهما.
    • عدم الوصول إلى هذه البيانات في الوقت المناسب.

    تبدأ عملية تقييم الأثر بتطبيق مبدأ "الأصل في البيانات الاتاحة" (في المجال التنموي) مالم تقتض طبيعتها أو حساسيتها مستويات أعلى من التصنيف والحماية وسرية للغاية (في المجال السياسي والأمني) مالم تقتض طبيعتها أو حساسيتها مستويات أدني من التصنيف. يتمثل العنصر الأول من عملية تقييم الأثر في تحديد الفئة الرئيسية والفرعية للأثر المحتمل في أي من الفئات الرئيسية التالية:

    • المصلحة الوطنية
    • أنشطة الجهات
    • صحة أو سلامة الأفراد
    • الموارد البيئية
    1. تحديد مستوى الأثر:

    يتعين على ممثل بيانات الأعمال أن يحدد لكل أثر محتمل مستوى معين يعتمد تحديد المستوى على الآتي:

    • مدة الأثر وصعوبة السيطرة على الضرر.
    • فترة تدارك وإصلاح الأضرار بعد وقوعها.
    • حجم الأثر على مستوى وطني، مناطقي، عدة جهات، جهة واحدة، عدة أفراد .... الخ .
    • كما يمكن تحديد مستوى الأثر من خلال المعايير أدناه:
    • عالي يؤدي الوصول الى البيانات أو الإفصاح عنها إلى حدوث أضرار جسيمة أو خطيرة للغاية على المدى الطويل لا يمكن تداركها أو إصلاحها.
    • متوسط يؤدي الوصول إلى البيانات أو الإفصاح عنها إلى حدوث أضرار جسيمة أو خطيرة يصعب السيطرة عليها.
    • منخفض يؤدي الوصول إلى البيانات أو الإفصاح عنها إلى أضرار محدودة يمكن السيطرة عليها أو أضرار متقطعة على المدى القصير يمكن السيطرة عليها.
    • لا يوجد أثر، لا يؤدي الوصول إلى البيانات أو الإفصاح عنها إلى اي ضرر على المدى الطويل أو القصير.
    • يجب ان تكون جميع الاضرار المحتملة والمحددة خلال عملية تقييم الأثر محددة وقائمة على أدلة، في محاولة للحد من التقديرات الشخصية للمكلف بإجراء تصنيف البيانات. يحدد ممثل بيانات الاعمال مستوى تصنيف البيانات بناءً على الأثار المحددة ومستوياتها:
    • عالي، تصنف البيانات باعتبارها "سرية للغاية".
    • متوسط، تصنف البيانات على انها "سرية".
    • منخفض، يلزم إجراء المزيد من التقييمات (من خلال القيام بالخطوات 5، 6)
    • لا يوجد أثر، تصنف البيانات على أنّها بيانات "عامة".
    1. تحديد الأنظمة ذات العلاقة (فقط إذا كان مستوى الأثر منخفض):

    يجب إجراء تقييمات إضافية إذا كان مستوى الأثر المحدد “منخفض" وذلك بهدف زيادة مستوى تصنيف البيانات المصنفة على أنها بيانات “عامة" إلى الحد الأقصى. يجب على ممثل بيانات الأعمال في هذا الصدد، دراسة ما إذا كان الإفصاح عن هذه البيانات يتعارض مع أنظمة المملكة العربية السعودية مثل نظام مكافحة الجرائم المعلوماتية ونظام التجارة الإلكترونية ... الخ وإذا كان الإفصاح عن البيانات مخالفاً للأنظمة، فيجب حينها تصنيف البيانات على أنها بيانات “مقيّدة"، بخلاف ذلك يتعين على ممثل بيانات الأعمال مواصلة تنفيذ الخطوة 5.

    1. الموازنة بين مزايا الإفصاح عن البيانات والآثار السلبية (فقط إذا كانت الإجابة على الخطوة 5 “لا"):

    بعد التأكد من مستوى الأثر المنخفض وضمان أن الإفصاح لن يكون انتهاكاً لأي نظام نافذ، يجب أيضاً تقييم المزايا المحتملة للإفصاح عن مثل هذه البيانات والتأكد مما إذا كانت هذه المزايا ستفوق الآثار السلبية أم لا، وتشمل المزايا المحتملة استخدام البيانات لتطوير خدمات جديدة ذات قيمة مضافة، أو زيادة شفافية العمليات الحكومية أو زيادة مشاركة الأفراد مع الحكومة. وعليه:

    • إذا كانت المزايا أكبر من الآثار السلبية، تصنف البيانات على أنها "عامة".
    • إذا كانت المزايا أقل من الآثار السلبية، تصنف البيانات على أنها "مقيّدة".
    1. مراجعة مستوى التصنيف:

    يجب أن يفحص مراجع تصنيف البيانات -أحد منسوبي مكتب إدارة البيانات بالجامعة- جميع البيانات المصنفة لضمان أن يكون مستوى التصنيف المحدد من جانب ممثل بيانات الأعمال هو الأنسب، وتتم مراجعته خلال شهر واحد من التصنيف الأولي.

    1. تطبيق الضوابط المناسبة:

    تتمثل الخطوة الأخيرة من عملية تصنيف البيانات في حماية جميع البيانات وفقاً لمستوى التصنيف عن طريق تعميم نتائج التصنيف وتطبيق ضوابط تصنيف البيانات. بحيث يتم الانتهاء من عملية التصنيف عند تصنيف جميع البيانات التي تملكها الجامعة والتحقق من مستويات التصنيف وتطبيق الضوابط ذات الصلة.