جامعة الأمير سلطان
نظام إدارة السياسات
سياسة سرية المنظمة

رمز السياسة IT004
عنوان السياسة سياسة سرية المنظمة
صاحب السياسة مركز تقنية المعلومات 
المكتب المسؤول/القسم مكتب نائب رئيس الجامعة للشؤون الاكاديمية 
جهة الاعتماد مجلس الجامعة، ISO
المراجعة الأخيرة 6 ديسمبر, 2022
تاريخ النفاذ 2 فبراير, 2017


بيان السياسة

لا ينبغي نشر المعلومات السرية أو إزالتها بأي وسيلة من مقر جامعة الأمير سلطان. كما لا يجوز نسخها أو نقلها من قبل أي شخص في الجامعة. أي معلومات يتم تخزينها على موارد تقنية المعلومات بجامعة الأمير سلطان تعتبر سرية. لا يجوز للمستخدمين المصرح لهم استعارة أو إزالة أي معدات حاسوبية أو معدات طباعة أو معدات تقنية ذات صلة ما لم يتم التصريح لهم بذلك.

الخلفية والمبررات

تقوم جامعة الأمير سلطان بجمع وإدارة المعلومات الحساسة، ضمن سياق عملياتها، والتي يمكن أن تكون ذات صلة بموظفيها وعملائها وشركائها واستراتيجيات الأعمال. تعتبر هذه المعلومات أحد الأصول المهمة والحيوية كميزة تنافسية لنا ولسمعتنا. ولحماية هذه الأصول وتلبية المتطلبات القانونية، يعد وجود سياسة سرية قوية أمرًا ضروريًا. وهذا يضمن منع عمليات الإفصاح غير المصرح بها وبناء ثقة أصحاب المصلحة.

النطاق والغرض

يجب على أي مستخدم مرخص له الوصول إلى أي معلومات سرية المحافظة على سريتها. تتناول السياسة أي معلومات سرية تم تطويرها أو حصل عليها أعضاء هيئة التدريس والموظفين بجامعة الأمير سلطان.

مبادئ السياسة

  1. حماية المعلومات: ستتم حماية جميع المعلومات الحساسة، سواء كانت مادية أو رقمية، من الوصول غير المصرح به أو الكشف عنها أو تغييرها أو اتلافها.
  2. تقييد الوصول: يقتصر الوصول إلى المعلومات السرية على أولئك الذين لديهم احتياجات عمل مشروعة.
  3. عمليات التدقيق المنتظمة: ينبغي إجراء عمليات تدقيق دورية لضمان الالتزام بمعايير السرية وتحديد نقاط الضعف المحتملة.
  4. تصنيف البيانات: سيتم تصنيف جميع المعلومات بناءً على مستوى حساسيتها، وتوجيه عمليات التحكم في تخزينها ونقلها والوصول إليها.
  5. التدريب والتوعية: سيحصل جميع الموظفين وأصحاب المصلحة المعنيين على تدريب حول أهمية السرية وكيفية الحفاظ عليها.
  6. الإبلاغ عن الحوادث: سيتم الإبلاغ فورًا عن أي اختراق أو انتهاك مشتبه به للسرية، وسيتم اتخاذ الإجراءات التصحيحية.
  7. التحسين المستمر: ستتم مراجعة سياسة السرية وتحديثها بشكل دوري بناءً على المخاطر واللوائح واحتياجات العمل المتطورة.
  8. الامتثال القانوني والتنظيمي: ستتوافق السياسة مع القوانين واللوائح المحلية والوطنية والدولية ذات الصلة فيما يتعلق بحماية البيانات والخصوصية.
  9. الشفافية: مع الحفاظ على السرية، تلتزم المنظمة بالشفافية بشأن التعامل مع البيانات وممارسات الحماية مع أصحاب المصلحة.

التعاريف

  1. المعلومات السرية: أي بيانات أو معرفة - سواء كانت شفهية أو مطبوعة أو إلكترونية أو أي شكل آخر - لا يمكن الوصول إليها بشكل عام وتكون ذات قيمة للمؤسسة.
  2. الموظفون المعتمدون: الأفراد الذين حصلوا على إذن صريح من جامعة الأمير سلطان للوصول إلى مجموعات محددة من المعلومات السرية أو إدارتها أو التعامل معها.
  3. تصنيف البيانات: عملية تصنيف المعلومات بناءً على مستوى حساسيتها، وعادةً ما يتم تصنيفها على أنها عامة أو داخلية أو سرية أو سرية للغاية..
  4. انتهاك السرية: حادث يتم فيه الوصول إلى معلومات سرية أو مشاركتها أو الكشف عنها دون الحصول على إذن مناسب.
  5. تدابير حماية البيانات: التقنيات أو الأدوات أو الممارسات المطبقة لحماية المعلومات السرية من الوصول غير المصرح به أو التغيير أو السرقة أو الاتلاف.
  6. أصحاب المصلحة: أي شخص أو جهة لها مصلحة في أنشطة المنظمة، بما في ذلك الموظفين والشركاء والعملاء والمستثمرين والهيئات التنظيمية.
  7. الالتزام التنظيمي: الالتزام بالقوانين واللوائح والمعايير المتعلقة بأمن المعلومات والخصوصية والتي تلتزم المنظمة باتباعها.
  8. دورة حياة المعلومات: المراحل التي تمر بها البيانات من الإنشاء أو الحصول عليها إلى التخلص منها، بما في ذلك التخزين والاستخدام والمشاركة والأرشفة والأتلاف.
  9. كيانات الطرف الثالث: المنظمات أو الأفراد خارج المؤسسة الرئيسية، والذين قد يكون لديهم درجات متفاوتة من الوصول إلى المعلومات السرية الخاصة بالمؤسسة بسبب احتياجات العمل أو العمليات.

المسؤوليات واستراتيجيات التنفيذ

  1. تصنيف البيانات وإدارتها:
    1. تصنيف المعلومات على أساس الحساسية.
    2. تنفيذ ضوابط الوصول وبروتوكولات التخزين ذات الصلة.
  2. التحكم في الوصول:
    1. منح حق الوصول إلى المعلومات السرية للموظفين المصرح لهم فقط.
    2. استخدم أساليب مصادقة قوية، مثل المصادقة متعددة العوامل.
  3. التدريب والتوعية:
    1. تدريب الموظفين بانتظام على أفضل الممارسات السرية.
    2. استضافة دورات تنشيطية دورية لاطلاع الجميع على آخر المستجدات.
  4. تدابير حماية البيانات:
    1. استخدم التشفير لتخزين ونقل البيانات الحساسة.
    2. استخدم جدران الحماية وأنظمة كشف الاختراقات وأدوات الأمن السيبراني الأخرى.
  5. إدارة الطرف الثالث:
    1. تقييم وضمان التزام كيانات الطرف الثالث بمعايير سرية مماثلة.
    2. تحديد المصطلحات بوضوح في العقود والاتفاقيات المتعلقة بالوصول إلى البيانات واستخدامها.
  6. التدقيق والمراقبة:
    1. إجراء عمليات تدقيق منتظمة لضمان الامتثال للسياسة.
    2. استخدم أدوات المراقبة لاكتشاف الوصول غير المصرح به أو الانتهاكات.
  7. الاستجابة للحوادث:
    1. وضع بروتوكول واضح للإبلاغ عن الانتهاكات السرية والتعامل معها.
    2. الحفاظ على فريق الاستجابة السريعة لاتخاذ الإجراءات الفورية.
  8. إدارة الوثائق:
    1. تنفيذ حلول تخزين آمنة للمستندات المادية.
    2. تفويض طرق التخلص الآمنة مثل تمزيق المستندات الورقية السرية.
  9. المراجعة المستمرة:
    1. مراجعة السياسة بشكل دوري للتأكد من ملاءمتها وفعاليتها.
    2. ضبط الاستراتيجيات بناءً على بيئات العمل المتغيرة وردود الفعل.
  10. الالتزام القانوني والتنظيمي:
    1. ابق على اطلاع بقوانين ولوائح السرية ذات الصلة.
    2. تحديث السياسات والممارسات بما يتماشى مع أي تغييرات تطرأ على هذه اللوائح.

إجراءات التعامل مع انتهاك السياسة

أي انتهاك لهذه السياسة سيجعل الموضوع عرضة لإجراءات تأديبية، من خلال قسم التنفيذ لسياسة الاستخدام غير المصرح به لمركز تقنية المعلومات.

https://www.psu.edu.sa/en/IT0002-unauthorized-use-policy

المراجع

https://www.psu.edu.sa/en/cop005-disciplinary-policy