جامعة الأمير سلطان
نظام إدارة السياسات
سياسة الأمان المادي

رمز السياسة IT006
عنوان السياسة السياسة الأمنية لجهاز التوجيه
صاحب السياسة مركز تقنية المعلومات 
المكتب المسؤول/القسم مكتب نائب رئيس الجامعة للشؤون الاكاديمية 
جهة الاعتماد مجلس الجامعة، ISO
المراجعة الأخيرة ديسمبر 2023
تاريخ النفاذ 2 فبراير, 2017


بيان السياسة

تهدف هذه السياسة إلى وضع معايير للمنح والمراقبة وإنهاء الوصول الفعلي إلى خدمات مركز تقنية المعلومات وحماية معدات المركز من العوامل البيئية.

الخلفية والمبررات

الضمانات البيئية

  1. يجب أن يكون تكييف الهواء قيد التشغيل في مركز بيانات مركز تقنية المعلومات.
  2. . يجب أن تحتوي جميع مرافق المركز على أجهزة إطفاء حريق كافية، كما يجب فحص الأجهزة بانتظام.
  3. يجب توصيل موارد المركز الهامة بمصدر طاقة غير منقطع (UPS) للحفاظ على مصدر طاقة ثابت لمنع حدوث طفرات وانقطاع في التيار الكهربائي، والتي قد تؤدي إلى تلف البيانات والأجهزة.
  4. يجب ألا تكون المنافذ الكهربائية مثقلة بالعديد من الأجهزة لضمان الاستخدام العملي لأسلاك التمديد.

الوصول المادي

  1. يجب أن يصدر مركز تقنية المعلومات امتيازات الوصول المادي إلى جميع مرافقه ويدريها ويوثقها.
  2. يجب حماية جميع مرافق مركز تقنية المعلومات ماديًا.
  3. يُسمح فقط لموظفي جامعة الأمير سلطان وأعضاء هيئة التدريس المعتمدين بالوصول إلى مرافق مركز تقنية المعلومات..
  4. يجب أن يوافق رئيس مكتب تقنية المعلومات على منح الوصول بالبصمة إلى مرافق مركز تقنية المعلومات.
  5. يجب أن تظل جميع تسهيلات تقنية المعلومات مقفلة عند عدم استخدامها للتقليل من عمليات الدخول غير المصرح بها.

النطاق والغرض

تتعلق هذه السياسة بجميع مرافق مركز تقنية المعلومات، حيث يشمل ذلك على سبيل المثال لا الحصر، غرف الاجتماعات والعروض التقديمية صناديق الشبكات ومراكز البيانات والتشغيل.

مبادئ السياسة

  1. أمان متعدد الطبقات: سيتم التعامل مع الأمن المادي بطبقات متعددة، من المحيط إلى مراكز البيانات، مما يضمن التكرار وتقليل الثغرات الأمنية.
  2. التحكم بالوصول: سيتمكن الموظفون المعتمدون فقط من الوصول إلى مرافق تقنية المعلومات. وسيتم التحكم في نقاط الدخول والخروج ومراقبتها لمنع أي عملية وصول غير مصرح بها.
  3. إدارة الأصول: سيتم جرد جميع أصول تقنية المعلومات المادية، من الخوادم إلى الأجهزة المحمولة، ومراجعتها بانتظام لضمان أمنها.
  4. المراقبة: ستكون المناطق الاستراتيجية، مثل غرف الخوادم، تحت المراقبة المستمرة باستخدام كاميرات المراقبة لردع التهديدات واكتشافها.
  5. الضمانات البيئية: ستتمتع مرافق تقنية المعلومات بضوابط ضد المخاطر البيئية، مثل الحرائق والفيضانات وانقطاع التيار الكهربائي، مما يضمن عملية التشغيل المستمر وسلامة البيانات.
  6. التدريب والتوعية: : سيتلقى جميع الموظفين تدريبًا منتظمًا على أهمية الأمن المادي ودورهم في الحفاظ عليه.
  7. إدارة الزوار: سيتم تسجيل جميع زوار المناطق الخاصة بتقنية المعلومات ومراقبتهم وربما مرافقتهم، للتقليل من المخاطر الأمنية المحتملة.
  8. الاستجابة للحوادث: سيتم وضع إجراءات للتصرف الفوري في حالة حدوث خرق أمني مادي، بما في ذلك بروتوكولات الاتصال واستراتيجيات الاسترداد.
  9. التحسين المستمر: ستتم مراجعة السياسة بشكل دوري، وتحديث التدابير بناءً على التهديدات الجديدة والتقدم التقني والآراء.
  10. الامتثال للوائح: ستلتزم جميع تدابير الأمن المادي باللوائح المحلية والوطنية والدولية ذات الصلة لضمان الامتثال والتوحيد القياسي.

تعريفات

  1. الأمان المادي: تدابير وضوابط لحماية أصول تقنية المعلومات من التهديدات المادية، بما في ذلك الوصول غير المصرح به والسرقة والكوارث البيئية.
  2. التحكم بالوصول: آليات منح أو رفض دخول الأفراد إلى مناطق محددة بناءً على مستويات الترخيص الخاصة بهم.
  3. إدارة الأصول: العملية المنهجية لصيانة أصول تقنية المعلومات المادية تطويرها وإدارتها، مثل الخوادم ومحطات العمل ومعدات الشبكات.
  4. المراقبة: المراقبة المستمرة أو الدورية لمرافق تقنية المعلومات لمنع الانتهاكات الأمنية واكتشافها والاستجابة لها.
  5. الضوابط البيئية: أنظمة موجودة لإدارة العوامل البيئية، مثل درجة الحرارة والرطوبة والحريق، مما يضمن التشغيل الأمثل وحماية أصول تقنية المعلومات.
  6. سجل الزوار: سجل لجميع الأفراد من غير الموظفين الذين يدخلون مناطق خاصة بتقنية المعلومات، وتشمل الاسم والغرض من الزيارة أوأوقات الدخول والخروج.
  7. الحوادث: أي حدث يعرّض أو من المحتمل أن يعرّض الأمن المادي لأصول تقنية المعلومات للخطر.
  8. أمان المحيط: التدابير المتخذة على الحدود الخارجية لمنشأة تقنية المعلومات لمنع الدخول غير المصرح به، ويشمل ذلك الأسوار والبوابات والحراس.
  9. منطقة محظورة: مساحة مخصصة ذات ضوابط وصول صارمة، وعادة ما تحتوي على البنية التحتية الأساسية لتقنية المعلومات.
  10. آليات التحقق: الأدوات أو الأساليب المستخدمة للتحقق من هوية الأفراد مثل الشارات والمقاييس الحيوية وأرقام التعريف الشخصية.

المسؤوليات واستراتيجيات التنفيذ

  1. تصميم وإدارة المرافق:
    1. التأكد من أن تصميم المرافق التي تحتوي على معدات تقنية المعلومات يراعي عامل الأمان.
    2. استخدام الحواجز، مثل الجدران أو الأسوار للحماية من الوصول غير المصرح به.
  2. تدابير التحكم في الوصول:
    1. تنفيذ الوصول بالبطاقة الرئيسية أو التحقق البيومتري أو الأنظمة الأخرى للتحكم في الوصول.
    2. مراجعة أذونات الوصول وتحديثها بانتظام، مما يضمن وصول الموظفين المصرح لهم فقط إلى المناطق المهمة.
  3. تتبع الأصول وإدارتها:
    1. الحفاظ على المخزون الحالي لجميع أصول تقنية المعلومات.
    2. نشر أنظمة التتبع، مثل علامات RFID، للعناصر عالية القيمة.
  4. المراقبة والرصد:
    1. تركيب وصيانة كاميرات المراقبة في النقاط الاستراتيجية.
    2. مراجعة اللقطات بانتظام، خاصة بعد الحوادث المبلغ عنها أو المشتبه بها.
  5. تنفيذ الرقابة البيئية:
    1. تثبيت أنظمة إخماد الحرائق وإمدادات الطاقة غير المنقطعة والتحكم في المناخ في مناطق تقنية المعلومات الهامة.
    2. إجراء فحوصاً دورية للتأكد من عمل جميع الأنظمة.
  6. برامج التدريب والتوعية:
    1. توفير التدريب للموظفين على دورهم في الأمن المادي، ابتداءً من الوقاية الفرعية إلى إجراءات الإخلاء في حالات الطوارئ.
    2. تحديث محتوى التدريب لمواجهة التهديدات أوالتحديات الجديدة.
  7. بروتوكولات إدارة الزوار:
    1. التأكد من تسجيل جميع زوار مناطق تقنية المعلومات الحساسة وتزويدهم بشارات الزائرين وربما مرافقتهم.
    2. حصر مدة ونطاق زياراتهم على الأنشطة الضرورية.
  8. التأهب للاستجابة للحوادث:
    1. إنشاء بروتوكولات للاستجابة لحوادث الأمان المادي ومراجعتها بانتظام.
    2. إجراء تدريبات أو محاكاة لضمان استعداد الموظفين.
  9. عمليات التدقيق والتقييمات المنتظمة:
    1. تقييم دوري لمدى فاعلية تدابير الأمن المادي.
    2. معالجة الثغرات الأمنية المحددة على الفور.
  10. التعاون مع الكيانات ذات الصلة:
    1. بناء علاقات مع فرق قانونية وفرق الاستجابة للطوارئ المحلية.
    2. مشاركة المعلومات ذات الصلة حول التهديدات المحتملة وطلب التوجيه بشأن أفضل الممارسات.

إجراءات التعامل مع انتهاك السياسة

أي انتهاك لهذه السياسة سيجعل الموضوع عرضة لإجراءات تأديبية، من خلال قسم التنفيذ لسياسة الاستخدام غير المصرح به لمركز تقنية المعلومات.

https://www.psu.edu.sa/en/IT0002-unauthorized-use-policy