جامعة الأمير سلطان
نظام إدارة السياسات
سياسة الاستخدام غير المصرح به
رمز السياسة | IT002 |
عنوان السياسة | سياسة الاستخدام غير المصرح به |
صاحب السياسة | مركز تقنية المعلومات |
المكتب المسؤول/القسم | مكتب نائب رئيس الجامعة للشؤون الأكاديمية |
جهة الاعتماد | مجلس الجامعة، ISO |
المراجعة الأخيرة | ديسمبر 2023 |
تاريخ النفاذ | 2 فبراير, 2017 |
بيان السياسة
يُمنع جميع المستخدمين غير المصرح لهم من استخدام خدمات تقنية المعلومات الخاصة بجامعة الأمير سلطان لأي غرض. علاوة على ذلك، يُسمح للمستخدمين المصرح لهم فقط باستخدام خدمات تقنية المعلومات بالجامعة دون تجاوز الحدود الفردية المصرح بها.
الخلفية والمبررات
يمكن أن يؤدي الاستخدام غير المصرح به إلى اختراق البيانات وتعطيل العمليات والتعقيدات القانونية. مع تزايد ترابط أنظمتنا، تصبح الحاجة إلى تحديد حدود واضحة للاستخدام المقبول أمرًا بالغ الأهمية. تعتمد سياسة الاستخدام غير المصرح به على التزامنا بتعيين هذه الحدود، حماية أصول المؤسسة مع ضمان توفير بيئة آمنة وأخلاقية لجميع مستخدمي تقنية المعلومات.
النطاق والغرض
تغطي هذه السياسة جميع أنواع الاستخدام غير المصرح به لخدمات تقنية المعلومات بجامعة الأمير سلطان.
يوضح هذا النطاق سياسة الجامعة الخاصة بالاستخدام غير المصرح به لخدمات تقنية المعلومات.
مبادئ السياسة
- الشفافية: الإبلاغ بوضوح عما يشكل استخداما غير مصرح به لموارد تقنية المعلومات، مع ضمان أن يكون المستخدمون على اطلاع جيد.
- المسؤولية الإدارية: يتحمل المستخدمون مسؤولية تصرفاتهم بشأن أنظمة تقنية المعلومات التنظيمية ويجب عليهم الالتزام بمعايير الاستخدام المقبولة المعمول بها.
- التناسب: يجب أن تكون العواقب المترتبة على الاستخدام غير المصرح به مناسبة ومتوافقة مع خطورة الانتهاك والغرض منه.
- احترام الخصوصية: أثناء مراقبة الاستخدام غير المصرح به، يجب احترام حقوق خصوصية المستخدمين مع الالتزام بقوانين ولوائح الخصوصية ذات الصلة.
- التعليم المستمر: : إعلام المستخدمين وتدريبهم بانتظام على مخاطر الاستخدام غير المصرح به وكيفية تجنب المخاطر المحتملة.
- الأنشطة ذات الصلة: ينبغي تحديث السياسة بصورة دورية للتصدي للتهديدات الناشئة وللتغيرات الطارئة على بيئات تقنية المعلومات.
- العدالة: التأكد من أن تطبيق السياسة متسق وعادل على جميع مستويات المؤسسة.
- الوقاية بدلاً من العقاب: في حين أن العواقب ضرورية، إلا أن الهدف الأساسي يجب أن يكون منع الاستخدام غير المصرح به من خلال تعزيز الوعي وتوفير الأدوات ووضع الضوابط.
التعاريف
- الاستخدام غير المصرح به: أي نشاط أو إجراء يتضمن موارد تقنية المعلومات التنظيمية ويخالف السياسات أو اللوائح أو القوانين المعمول بها، أو يتم إجراؤه دون الحصول على الترخيص المناسب.
- موارد تقنية المعلومات: الأجهزة والبرمجيات والشبكات الجماعية وأصول البيانات التي تتملكها المؤسسة أو تشغلها أو تديرها.
- الاستخدام المقبول: السياسات والضوابط والإرشادات التي تحدد كيفية استخدام موارد تقنية المعلومات لأغراض تجارية مشروعة.
- الانتهاك: فعل أو حالة ينتهك فيها فرد أو كيان الشروط المبينة في سياسة الاستخدام غير المصرح به.
- التحكم في الوصول: الآليات والتدابير التي تحد من الوصول إلى موارد تقنية المعلومات، وتضمن فقط للمستخدمين المصرح لهم الاستفادة منها.
- الاستجابة للحوادث: الإجراءات المعمول بها للتعامل مع الحوادث الأمنية المتعلقة بالاستخدام غير المصرح به والتخفيف من حدتها.
المسؤوليات واستراتيجيات التنفيذ
- تطوير السياسات:
- الجهة المسؤولة: أمن تقنية المعلومات والفرق القانونية
- الإستراتيجية: التعاون لإنشاء وتحديث سياسة الاستخدام غير المصرح به بانتظام التي تتوافق مع الأهداف التنظيمية والمتطلبات الرقابية.
- التواصل والتعليم:
- الجهة المسؤولة: فرق تدريب الموارد البشرية وتقنية المعلومات
- الإستراتيجية: تطوير برامج ومواد تدريبية لتثقيف جميع الموظفين وأصحاب المصلحة حول أحكام السياسة وآثارها.
- التحكم في الوصول:
- الجهة المسؤولة: فريق أمن تقنية المعلومات
- الإستراتيجية: تنفيذ آليات قوية للتحكم في الوصول، مثل المصادقة والترخيص، لمنع الوصول غير المصرح به إلى موارد تقنية المعلومات.
- المراقبة والكشف:
- الجهة المسؤولة: فريق أمن تقنية المعلومات
- الإستراتيجية: توظيف أنظمة كشف التسلل (IDS)، وتحليل السجلات، والمراقبة في الوقت الفعلي لاكتشاف حوادث الاستخدام غير المصرح بها والتعامل معها.
- الاستجابة للحوادث:
- الجهة المسؤولة: فريق أمن تقنية المعلومات
- الإستراتيجية: وضع خطة واضحة للتعامل مع الحوادث، بما في ذلك إجراءات الإبلاغ عن حوادث الاستخدام غير المصرح بها والتحقيق فيها والتقليل من آثارها.
- العواقب والإنفاذ:
- الجهة المسؤولة: فرق الموارد البشرية والقانونية
- الإستراتيجية: تحديد عواقب الاستخدام غير المصرح بهوالإبلاغ عنه، بما في ذلك الإجراءات التأديبية والتدابير القانونية المحتملة، وضمان الإنفاذ المتسق.
- عمليات التدقيق والمراجعات الدورية:
- الجهة المسؤولة: فريق التدقيق الداخلي
- الإستراتيجية: إجراء عمليات تدقيق منتظمة لاستخدام موارد تقنية المعلومات لتحديد الأنشطة غير المصرح بها وتقييم عملية الامتثال للسياسة.
- التوثيق وحفظ السجلات:
- الجهة المسؤولة: فرق تقنية المعلومات والتحقق من الامتثال
- الإستراتيجية: الاحتفاظ بسجلات مفصلة لانتهاكات السياسة والإجراءات المتخذة والقرارات المتخذة لضمان تحقيق الامسؤولية الإدارية والامتثال.
- الالتزام بالخصوصية:
- الجهة المسؤولة: المسؤول عن حماية البيانات أو المسؤول عن الخصوصية.
- الإستراتيجية: التأكد من أن أنشطة المراقبة والتنفيذ تتماشى مع قوانين ولوائح الخصوصية المعمول بها.
- التحسين المستمر:
- الجهة المسؤولة: فريق حوكمة تقنية المعلومات
- الإستراتيجية: مراجعة وتحديث سياسة الاستخدام غير المصرح به بشكل دوري لتعكس بذلك دور التقنيات المتطورة والمخاطر المحتملة والاحتياجات التنظيمية.
إجراءات التعامل مع انتهاك السياسة
قد يخضع المستخدمون غير المصرح لهم للملاحقة الجنائية و/أو الدعاوى المدنية التي تطلب فيها جامعة الأمير سلطان تعويضات و/أو غيرها من الحلول القانونية و/أو العادلة. قد يخضع المستخدمون غير المصرح لهم من العاملين في جامعة الأمير سلطان أيضًا للإجراءات التأديبية تصل إلى إنهاء عقد العمل. وقد يخضع المستخدمون غير المصرح لهم الذين يعملون في المؤسسة أيضا لإجراءات تأديبية تصل إلى حد الطرد من المؤسسة.