السياسة العامة للأمن السيبراني – جامعة نجران
الجهة: إدارة الأمن السيبراني
المرجع: الهيئة الوطنية للأمن السيبراني
الإصدار: 1.2
التاريخ: 10/01/2022
تصنيف الوثيقة: داخلي – مقيّد

1. السياسة العامة:
تهدف هذه السياسة إلى توفير متطلبات الأمن السيبراني المبنية على أفضل الممارسات والمعايير المتعلقة بتوثيق متطلبات الأمن السيبراني والالتزام بها في جامعة نجران، لتقليل المخاطر السيبرانية وحماية الأصول التقنية والمعلوماتية من التهديدات الداخلية والخارجية. يتم ذلك من خلال التركيز على الأهداف الأساسية التالية:
- سرية المعلومات
- سلامة المعلومات
- توافر المعلومات

كما تهدف هذه السياسة إلى الالتزام بكافة متطلبات الأعمال التنظيمية الخاصة بجامعة نجران، والمتطلبات التشريعية والتنظيمية ذات العلاقة، واتباع الضوابط الوطنية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني (ECC-1:2018).

2. الأهداف:
1. الالتزام بمتطلبات الأعمال التشريعية والتنظيمية إلى جانب متطلبات الهيئة الوطنية للأمن السيبراني.
2. تحقيق الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.
3. نشر متطلبات الأمن السيبراني وتوضيحها لجميع منسوبي الجامعة لضمان فهمها والالتزام بها.

3. نطاق العمل وقابلية التطبيق:
تطبق هذه السياسة على كافة الأصول المعلوماتية والتقنية في جامعة نجران، بما في ذلك:
- الأجهزة الحاسوبية (مكتبية، محمولة، ولوحية).
- البنية التحتية للشبكات وأنظمة الاتصالات.
- المنصات والتطبيقات الإلكترونية.
- قواعد البيانات والمعلومات المخزنة.
- أي أجهزة أو نُظم مرتبطة بأنشطة الجامعة الرقمية.

تعتبر هذه السياسة المرجع الرئيسي لجميع سياسات وإجراءات الأمن السيبراني ذات العلاقة بإدارة المشاريع التقنية، والموارد البشرية، والموردين، وإدارة تغيير الأنظمة، وغيرها من العمليات التي تمس الأصول المعلوماتية والتقنية في الجامعة.

4. عناصر السياسة:
يجب على إدارة الأمن السيبراني في جامعة نجران تطوير، ومراجعة، وتنفيذ العناصر التالية بصفة دورية:

4-1. تطوير سياسات الأمن السيبراني:
- وضع معايير وسياسات واضحة للأمن السيبراني تعتمد على تقييم المخاطر في الجامعة.
- اعتماد هذه السياسات من قِبل الجهات التنظيمية المعنية داخل الجامعة، وموافقة إدارة الجامعة عليها.

4-2. استراتيجية الأمن السيبراني (Cybersecurity Strategy):
- إعداد استراتيجية شاملة تهدف إلى حماية الأصول التقنية والمعلوماتية لجامعة نجران.
- تضمين الأهداف والسياسات والسياسات التنفيذية والعناصر المرتبطة بالحوكمة والعمليات ضمن إطار الاستراتيجية.

4-3. أدوار ومسؤوليات الأمن السيبراني (Cybersecurity Roles and Responsibilities):
- تحديد مهام ومسؤوليات واضحة لجميع الأطراف المشاركة في تطبيق ضوابط الأمن السيبراني داخل الجامعة.
- ضمان وجود هيكل تنظيمي يؤدي دور الإشراف والمتابعة والتقييم المستمر لفعالية الأمن السيبراني.

4-4. إدارة مخاطر الأمن السيبراني (Cybersecurity Risk Management):
- إنشاء برنامج منهجي لتحديد وتقييم مخاطر الأمن السيبراني.
- وضع ضوابط وإجراءات للتعامل مع المخاطر وفقًا للأولويات، بما يضمن حماية الأصول التقنية والمعلوماتية.

4-5. الأمن السيبراني في المشاريع التقنية (Information Technology Projects in Cybersecurity):
- دمج متطلبات الأمن السيبراني في جميع مشاريع تطوير الأنظمة والتطبيقات ضمن جامعة نجران.
- ضمان توافق المشاريع مع السياسات والإجراءات التشريعية والتنظيمية ذات العلاقة.
- اتباع منهجيات معتمدة لتطوير واختبار وتأمين الأنظمة قبل طرحها للتشغيل.

4-6. الالتزام بالمتطلبات التشريعية ومعايير الأمن السيبراني (Regulatory Compliance):
- التأكد من امتثال برامج الأمن السيبراني بالجامعة لكافة القوانين واللوائح الوطنية ذات العلاقة.
- رصد التعديلات التشريعية والتنظيمية وتحديث السياسات والخطط عند الحاجة.

4-7. سياسة المراجعة والتدقيق الدوري للأمن السيبراني (Cybersecurity Periodical Assessment and Audit):
- إجراء مراجعات وتدقيقات دورية للتأكد من تطبيق الضوابط الأمنية السيبرانية في الجامعة.
- توثيق نتائج التدقيق واتخاذ التدابير التصحيحية عند اكتشاف أي قصور أو ثغرات.

4-8. الأمن السيبراني المتعلق بالموارد البشرية (Cybersecurity in Human Resources):
- التأكد من أن الموظفين والمتعاقدين في جامعة نجران على دراية بمخاطر الأمن السيبراني وكيفية التعامل معها.
- تضمين متطلبات الأمن السيبراني في إجراءات التوظيف والتدريب والتقييم الوظيفي والترقيات.
- فرض ضوابط لأمن استضافة الزوار والتصاريح الأمنية اللازمة قبل السماح لهم بالوصول إلى المواقع الحساسة.

4-9. برنامج التوعية والتدريب بالأمن السيبراني (Cybersecurity Awareness and Training Program):
- إعداد حزمة تدريبية دورية تهدف إلى رفع الوعي الأمني لدى العاملين في الجامعة.
- تضمين محتوى توعوي عن أخطر الهجمات السيبرانية وأساليب التصدي لها.

Measuring the effectiveness of training and updating it regularly according to new developments and threats.


4-10. Asset Management Policy:
- Preparing an accurate and updated record of all information and technical assets at Najran University.
- Classifying these assets according to their level of confidentiality and importance, and identifying those responsible for them.
- Following up on purchase and safe disposal procedures for assets that have reached their expiration date or are damaged.


4-11. Identity and Access Management Policy:
- Establishing controls to identify and manage digital identities of users of systems and authenticate access.
- Applying the principle of least privilege in granting access permissions.
- Monitoring access activities, logging and analyzing them to detect early attempts at intrusion or unauthorized use.


4-12. Information System and Processing Facilities Protection Policy:
- Enforcing controls to protect computer systems (servers, workstations, processing devices) from cyber threats.
- Applying rules for regular updating and patching of systems and applications.
- Securing operational environments (Production, Staging, Development) to prevent security breaches.


4-13. Email Protection Policy:
- Implementing email protection mechanisms such as filters, spam/malware detection systems, and encryption technologies when needed.
- Enforcing two-factor authentication (2FA) for accessing employees' email accounts.
- Training users to recognize suspicious emails and how to report them.


4-14. Networks Security Management Policy:
- Designing a network architecture that controls access and separates sensitive departments in the university.
- Applying firewalls, intrusion detection systems (IDS/IPS), and data encryption technologies (VPN, SSL/TLS).
- Monitoring the network continuously to detect anomalous activities and potential threats.


4-15. Mobile Devices Security Policy:
- Enforcing security measures on mobile devices (smartphones, tablets, laptops) when used to access university resources.
- Applying Mobile Device Management (MDM) solutions to secure and configure devices.
- Blocking the use of personal devices or BYOD (Bring Your Own Device) unless approved by the Cybersecurity Administration and the necessary controls are applied.


4-16. Data and Information Protection Policy:

Organize the classification of sensitive data and encrypt it when transferred and stored according to international standards.

Determine controls for sharing information with internal and external parties to ensure its safety and confidentiality.

Apply periodic backup procedures and restore testing to ensure data availability in the event of disasters or incidents.

4-17. Cryptography Policy and Its Standards:

Select internationally certified encryption algorithms and apply them to protect confidential data.

Manage encryption keys securely and document key lifecycle procedures.

Document the processes and procedures related to encryption to ensure compliance with the university’s requirements and regulatory bodies.

4-18. Backup and Data Recovery Management Policy:

Identify and document backup procedures for databases and core systems that serve the university.

Test recovery procedures (Disaster Recovery) periodically to verify the readiness of systems in case of a disaster.

Maintain off-site and encrypted backups to ensure their safety.

4-19. Vulnerabilities Management Policy:

Conduct periodic system and application scans using accredited tools to detect security vulnerabilities.

Classify vulnerabilities according to their level of severity and apply appropriate fixes within specified timelines according to a schedule.

Document the inspection and repair results and follow up on open requests until vulnerabilities are completely closed.

4-20. Penetration Testing Policy and Its Standards:

Implement periodic penetration testing to simulate actual cyber attacks.

Focus on critical assets (such as servers containing secret data or electronic payment systems).

Issue a professional report that clarifies the identified weaknesses and technical recommendations for addressing them.

4-21. Cybersecurity Event Logs and Monitoring Management Policy:

Collect cybersecurity event logs from all sources (firewalls, servers, intrusion detection devices).

Analyze these logs to detect anomalous activities and potential threats.

Maintain event logs in a secure archive and make them available for investigation when needed.

4-22. Cybersecurity Incident and Threats Management Policy:

Develop an incident response plan that ensures the detection, identification, and timely response to security incidents.

Comply with Royal Order No. 3714 dated August 14, 1438 AH in reporting and coordination with relevant parties.

- توفير الإجراءات الفنية والتنظيمية للتعامل مع الحادث وتأمين الأنظمة المتأثرة.

4-23. سياسة الأمن المادي (Physical Security):
- حماية الأصول التقنية والمعلوماتية من السرقة والتخريب من خلال تطبيق إجراءات حماية مادية (أقفال، كاميرات مراقبة، حراسة).
- تحديد المناطق الحساسة (قاعات الخوادم، غرف الشبكات) وفرض تدابير أمنية للوصول إليها.

4-24. سياسة حماية تطبيقات الويب ومعاييرها (Web Application Security):
- اعتماد قواعد تأمين تطبيقات الويب وفقا للمعايير الدولية (OWASP Top 10).
- إجراء فحص أمني دوري لتطبيقات الجامعة الإلكترونية لمنع الثغرات الشائعة (مثل حقن SQL، XSS).
- تطبيق آليات التصحيح الفوري للتطبيقات عند اكتشاف أي ضعف أو خطأ تنظيمي.

4-25. سياسة صمود الأمن السيبراني واستمرارية الأعمال (Resilience Cybersecurity):
- تضمين متطلبات استمرارية الأعمال (Business Continuity) ضمن استراتيجية الأمن السيبراني للجامعة.
- إعداد خطط للتعافي السريع وضمان استمرارية الخدمات الإلكترونية في حال وقوع كوارث أو حوادث.
- اختبار هذه الخطط بشكل دوري للتحقق من فعاليتها في التعامل مع الانقطاعات المفاجئة.

4-26. سياسة الأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية (Third-Party and Cloud Computing Cybersecurity):
- تقييم مخاطر استخدام خدمات أطراف خارجية وإسناد بعض الخدمات التقنية (Outsourcing & Managed Services).
- التحقق من التزام مقدمي الخدمة الخارجية بمعايير الأمن السيبراني الخاصة بجامعة نجران قبل توقيع العقود.
- ضمان وجود عقود تحفظ سرية المعلومات وتحدد المسؤوليات عند استخدام خدمات الحوسبة السحابية.

4-27. سياسة الأمن السيبراني المتعلقة بالحوسبة السحابية والاستضافة (Hosting Cybersecurity):
- تأمين بيئات الحوسبة السحابية والاستضافة التي تستضيف عليها خدمات الجامعة.
- تطبيق ضوابط أمنية لضمان حماية البيانات أثناء نقلها وتخزينها على مزودي الخدمة السحابية.
- التحقق المستمر من توافق مزود الخدمة مع المتطلبات التشريعية والتنظيمية ذات العلاقة.

4-28. الالتزام بجمع الأدلة (Cybersecurity Forensics and Evidence Collection):
- لإدارة الأمن السيبراني الحق في الاطلاع على المعلومات وجمع الأدلة اللازمة للتحقيق في الحوادث.
- يتم التعامل مع الأدلة والأصول الرقمية وفقًا للإجراءات القانونية والتنظيمية التي تضمن سلامة سلسلة التوريد الرقمي للأدلة.

5. الاستثناءات:

It is not permitted to bypass any of the cybersecurity policies and controls without obtaining prior formal authorization from the Cybersecurity Administration, unless it conflicts with any legislative or regulatory requirements related thereto.

6. Roles and Responsibilities: Roles and Responsibilities related to cybersecurity for university personnel:

# المسؤوليات
1 التعامل مع البيانات والمعلومات حسب مستوى تصنيفها.
2 تجنب انتهاك حقوق أي شخص أو شركة، مثل حقوق النشر أو براءات الاختراع أو أي ملكية فكرية أخرى أو قوانين أو أنظمة مماثلة.
3 الالتزام بسياسات وإجراءات الأمن السيبراني.
4 الالتزام بمتطلبات الأمن السيبراني الخاصة بمعدات المستخدمين.
5 الالتزام بمتطلبات الأمن السيبراني الخاصة باستخدام الإنترنت والبريد الإلكتروني.
6 الالتزام بمتطلبات الأمن السيبراني الخاصة بالبرمجيات ونظم الحماية.
7 الالتزام بالتحديثات الخاصة بالأنظمة وتعليمات صادرة من إدارة الأمن السيبراني.
8 استخدام جميع الأصول المصرّح بها للأغراض المعتمدة فقط وفق الضوابط المعتمدة لجامعة نجران.
9 الحصول على التصريح المسبق من الإدارات ذات العلاقة قبل استضافة الزوار في المواقع الحساسة التابعة للجامعة.
10 الإبلاغ عن أي حوادث تتعلق بالأمن السيبراني في أسرع وقت ممكن.
11 الالتزام بسياسة الاستخدام المقبول للأصول المعلوماتية والتقنية.


7. الالتزام بالسياسة:
1. يجب على صاحب الصلاحية المختص ضمان الالتزام الكامل بسياسات الأمن السيبراني وتطبيقها ضمن مسؤولياتهم.
2. يجب على إدارة الأمن السيبراني مراجعة سياسات الأمن السيبراني وتحديثها دوريًا بما يتوافق مع المتطلبات التشريعية والتنظيمية.
3. يجب على جميع العاملين في جامعة نجران الالتزام بهذه السياسة دون استثناء.
4. في حال ثبوت أي مخالفة لهذه السياسات، يجوز إدارة الجامعة اتخاذ الإجراءات التأديبية المناسبة بحسب الأنظمة الداخلية المتبعة في جامعة نجران.

تم اعتماد هذه السياسة من قبل إدارة الأمن السيبراني في جامعة نجران، وتُعتبر إلزامية على جميع منسوبي الجامعة.