الغرض

تهدف هذه الوثيقة إلى تنظيم عملية إدارة التحكم في الوصول إلى أصول وموارد وأنظمة المعلومات الخاصة بجامعة نجران، وذلك لضمان حماية البيانات والمعلومات المخزنة والمستخدمة داخل الجامعة. وقد تم تصميم هذه السياسة بما يتوافق مع المعايير الوطنية والدولية لإدارة البيانات، وكذلك بشكل خاص مع نظام حماية البيانات الشخصية، لضمان توفير بيئة آمنة تضمن سرية وسلامة وتوافر معلومات الجامعة، مع تحديد المسؤوليات والصلاحيات بشكل واضح لمنع الوصول غير المصرح به.

نطاق العمل

تُطبق هذه السياسة على جميع أصول وموارد جامعة نجران، المادية والرقمية، بغض النظر عن تصنيفها أو حساسيتها. وتشمل كافة الأفراد والجهات التي تُمنح صلاحية الوصول إلى أنظمة أو بيانات الجامعة، وهم:

  • أعضاء هيئة التدريس والموظفون بجميع فئاتهم
  • الطلاب المسجلون في الجامعة والمخولون باستخدام أي من أنظمتها الالكترونية.
  • المقاولون والاستشاريون العاملون لصالح الجامعة أو بالنيابة عنها.
  • أي جهة خارجية (طرف الثالث) تمنح صلاحية الوصول ضمن نطاق التعاون أو تقديم الخدمات.

الشروط والأحكام

أولاً: الضوابط العامة لمنح وإدارة صلاحيات الوصول

  • تُحدد هذه الضوابط استنادًا إلى ما ورد في الفقرتين (2) و (2-4) من سياسة إدارة هويات الدخول والصلاحيات، الصادرة عن إدارة الأمن السيبراني في الجامعة.

ثانياً: إدارة هوية المستخدم (User Identity Management)

  • تُستند هذه الضوابط إلى ما ورد في الفقرة (1) من سياسة إدارة هويات الدخول والصلاحيات، المعتمدة من إدارة الأمن السيبراني.

ثالثاً: سياسة إدارة كلمات المرور

  • تُطبق هذه الضوابط وفقًا لما ورد في الفقرتين (2-2) و (2-7) من سياسة إدارة هويات الدخول والصلاحيات، الصادرة عن إدارة الأمن السيبراني.

رابعاً: مراجعة وإلغاء صلاحيات الوصول

  • تستند هذه الضوابط إلى ما جاء في الفقرتين (2-3) و (2-6) من سياسة إدارة هويات الدخول والصلاحيات، المعتمدة من إدارة الأمن السيبراني.

خامساً: ضبط الدخول الآمن للأنظمة (Secure Log-on Procedures)

  • لا يُسمح بالدخول إلى أنظمة الجامعة إلا من خلال واجهات تحقق رسمية ومعتمدة.
  • تظهر رسالة قانونية تحذيرية عند شاشة الدخول تفيد بأن النظام مخصص للمستخدمين المخولين فقط.
  • تُسجل جميع محاولات الدخول الناجحة والفاشلة في سجل النظام، مع التواريخ وبيانات الجهاز.
  • تُطبق آلية تأخير تلقائي بين المحاولات الفاشلة لتقليل مخاطر الهجمات الآلية (Brute Force).
  • تُفعل الإنذارات الآلية عند تجاوز الحد الأقصى لمحاولات الدخول.
  • يتم استخدام طرق تحقق متعددة (Multi-factor Authentication) في الأنظمة الحساسة.
  • تُجرى مراجعة دورية (أسبوعية) لمحاولات الدخول الفاشلة (عمادة التحول الرقمي ومصادر المعرفة وإدارة الأمن السيبراني).
  • يُفعّل قفل تلقائي للجلسات غير النشطة بعد فترة محددة من عدم الاستخدام.
  • يُمنع الوصول إلى النظام من بيئات غير موثوقة.
  • تُطبق قيود جغرافية أو زمنية عند الحاجة للوصول المقيد بحسب السياق.

سادساً: التحكم في الوصول إلى البرمجيات والوحدات الطرفية (Software & Peripheral Access)

  • يُمنع تثبيت أو استخدام أي برنامج غير معتمد إلا بموافقة خطية من عمادة التحول الرقمي ومصادر المعرفة.
  • تُزال جميع الخدمات والبرمجيات غير الضرورية من أنظمة التشغيل.
  • يتم تقييد الوصول إلى البرامج عبر التحكم في الامتيازات وتفويض الصلاحيات.
  • تُراجع جميع البرمجيات المثبتة بشكل دوري لضمان توافقها مع السياسات والتحديثات الأمنية.
  • تُحظر محاولات تثبيت أو تشغيل برامج خارجية من وحدات تخزين متنقلة.
  • تُعتمد فقط نسخ البرمجيات المرخصة والمحدثة بشكل رسمي.
  • يُراقب الوصول إلى البرمجيات عبر أنظمة SIEM أو أدوات التحكم المركزي.
  • يُسجل استخدام البرمجيات الحساسة لأغراض التدقيق والمراجعة.
  • يُحظر استخدام أدوات التورنت أو أدوات التحكم عن بُعد غير المرخصة.
  • تُطبق ضوابط الأمن على برمجيات المصادر المفتوحة المستخدمة في البنية التحتية.

سابعاً: التحكم في الوصول إلى الشيفرة المصدرية (Source Code Access Control)

  • لا يُسمح بالوصول إلى الشيفرة المصدرية للأنظمة إلا للأفراد المخولين ووفق ترخيص رسمي.
  • تُحفظ الشيفرات المصدرية في مستودعات مؤمنة مع تفعيل التشفير والتحكم في الإصدارات.
  • يُوثّق كل تغيير في الشيفرة ضمن سجل المراجعة (Change Log).
  • تُحظر نسخ الشيفرات المصدرية إلى أجهزة شخصية أو غير محمية.
  • تُطبق مراجعات مستقلة للشفرة (Code Review) قبل عمليات الدمج أو النشر.
  • يُقيد الوصول إلى ملفات التكوين والحساسيات ضمن الشيفرة (مثل كلمات المرور أو المفاتيح).
  • تُخزن نسخ احتياطية دورية من الشيفرة في بيئة معزولة.
  • تُطبق سياسة إدارة دورة حياة الشيفرة المصدرية، من الإنشاء إلى الإلغاء.

الأدوار والمسؤوليات

الجهة

الأدوار والمسؤوليات

عمادة التحول الرقمي ومصادر المعرفة
  • إدارة وتطوير الأنظمة التي تتحكم في الهوية والوصول (مثل IAM، SSO، Active Directory).
  • إنشاء وتعديل وتعطيل حسابات المستخدمين بشكل آمن ومنظم.
  • حماية الأنظمة عبر تنفيذ آليات التوثيق متعددة العوامل (MFA) ونظام الدخول الموحد (SSO).
  • الربط التكاملي بين نظام التحكم في الوصول ونظام الموارد البشرية والمالية.
  • إدارة آليات إلغاء الوصول الفوري عند تغيير وضع المستخدم أو انتهاء العلاقة الوظيفية.
  • مراقبة وتسجيل نشاطات المستخدمين لتتبع الدخول والخروج وأي تغييرات في الصلاحيات.
  • إجراء الصيانة الدورية والتحديثات الأمنية على أنظمة التحكم في الوصول.
  • تطوير وتنفيذ سياسات إدارة كلمات المرور وتحديثها دوريا
  • إجراء اختبارات اختراق دورية لتقييم أمان أنظمة التحكم في الوصول.
  • ضمان التوافق مع متطلبات حماية البيانات الشخصية والمعلومات الحساسة.
  • إعداد تقارير دورية للإدارة العليا حول حالة نظم الوصول وأمنها.
  • التعاون مع الأمن السيبراني في التحقيقات التقنية لحوادث الوصول.

الأمن السيبراني
  • تطوير سياسات أمنية محدثة للتحكم في الوصول متوافقة مع ISO 27001.
  • مراقبة مستمرة للأنظمة باستخدام أدوات مثل SIEM وIDS/IPS لرصد النشاط المشبوه.
  • فرض ضوابط صارمة على الحسابات ذات الامتياز العالي (Privileged Access Management - PAM).
  • تطبيق استراتيجيات تقليل المخاطر الأمنية المتعلقة بالوصول غير المصرح به.
  • مراجعة طلبات الاستثناء المتعلقة بصلاحيات الوصول وتحليل المخاطر المحتملة.
  • تقييم نقاط الضعف بانتظام وتحديث ضوابط الأمن بناءً على نتائج التقييم.
  • إصدار التنبيهات والتحذيرات الفورية عند اكتشاف محاولات اختراق أو سوء استخدام.
  • ضمان حماية الأنظمة من هجمات التصيد والبرمجيات الخبيثة المرتبطة بمحاولات الدخول.
  • مراجعة ومراقبة استخدام الوصول المميز للحسابات الحساسة.
  • تطوير إجراءات الاستجابة الفورية للحوادث الأمنية المرتبطة بالوصول.

مكتب البيانات
  • تحديد وضبط مستويات الوصول إلى البيانات حسب التصنيف (سرية، عامة، مقيدة، إلخ).
  • التحكم في الوصول إلى البيانات ومنح الصلاحيات فقط بناءً على مبدأ الحد الأدنى من الامتيازات.
  • التأكد من تطبيق مبدأ "الحاجة إلى المعرفة" في الوصول إلى قواعد البيانات والمستودعات.
  • تحديد مالكي البيانات ومستوى الصلاحيات التي تمنح لهم.
  • العمل مع مالكي البيانات لتحديد من يمكنه الوصول إلى مجموعات البيانات المختلفة.
  • إدارة حقوق الوصول للبيانات والتحقق من صحتها دورياً.
  • مراقبة حركة البيانات مع ضمان أن كل من لديه صلاحية على قواعد البيانات ما زالت له حاجة مبررة
  • ضمان التوافق مع قوانين حماية البيانات المحلية والدولية (مثل GDPR).
  • متابعة تنفيذ ضوابط الأمان المتعلقة بالنسخ الاحتياطي وحماية البيانات.
  • تطوير آليات لمراجعة الأذونات والتصاريح المتعلقة بالوصول إلى البيانات.
  • إعداد تقارير دورية عن استخدام البيانات ومستوى الالتزام بسياسات التحكم في الوصول.
  • تدريب منسوبي الجامعة على أهمية حماية البيانات واتباع إجراءات التحكم في الوصول.

إدارة المخاطر
  • إجراء تقييمات دورية لمخاطر التحكم في الوصول وفق منهجيات معترف بها (مثل ISO 31000).
  • تطوير خطط معالجة المخاطر وفرض الضوابط الأمنية الملائمة.
  • إعداد تقارير شاملة عن حالة المخاطر المرتبطة بالتحكم في الوصول.
  • دعم تنفيذ عمليات التدقيق الداخلي والخارجي المتعلقة بالمخاطر الأمنية.

الإدارة القانونية
  • مراجعة جميع السياسات والإجراءات للتأكد من توافقها مع القوانين المحلية والدولية.
  • صياغة بنود عقود العمل والاتفاقيات الأمنية مع الأطراف الخارجية.
  • تقديم الدعم القانوني خلال التحقيقات الداخلية والخارجية المتعلقة بأمن المعلومات.
  • تقييم المخاطر القانونية الناتجة عن استخدام البيانات وحماية الخصوصية.

إدارات ووحدات الجامعة (الكليات، العمادات، والمراكز وجميع الوحدات الإدارية)
  • تحليل المهام الوظيفية لتحديد صلاحيات الوصول اللازمة.
  • متابعة مراجعة صلاحيات الوصول بشكل دوري لضمان ملاءمتها.
  • الإبلاغ الفوري عن أي حوادث أو سوء استخدام لصلاحيات الوصول.
  • المشاركة في تقييم المخاطر الأمنية المرتبطة بالوصول لبيانات الوحدة الإدارية.
  • التنسيق مع عمادة التحول الرقمي ومصادر المعرفة لدعم عمليات التحقق من صلاحيات الوصول.
  • دعم تنفيذ السياسات الأمنية داخل الوحدة والامتثال لها.

التشريعات ذات الصلة

تخضع سياسة الوصول إلى بيانات الجامعة لمجموعة من الأطر النظامية والتنظيمية المحلية والدولية، التي تهدف إلى ضمان حماية البيانات وسلامتها، وتعزيز الشفافية والمسؤولية في استخدامها. ومن أبرز هذه المرجعيات:

  • سياسة حوكمة البيانات الوطنية، الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، الإصدار الأول (2020)، والتي تُعد المرجع الرئيسي في تنظيم إدارة البيانات على المستوى الوطني، بما يشمل إدارة الوصول، ملكية البيانات، وضوابط استخدامها.
  • نظام مكافحة جرائم المعلوماتية، الصادر بموجب المرسوم الملكي رقم م/17 بتاريخ 26/3/1428هـ (2007م)، الذي يجرّم الدخول غير المشروع إلى البيانات أو الأنظمة المعلوماتية، ويؤطر مسؤولية الأفراد والمؤسسات عند التعامل مع صلاحيات النفاذ.
  • الضوابط الأساسية للأمن السيبراني، الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA)، والتي تشمل ضوابط التحكم في الوصول (Access Control) كأحد المحاور الرئيسة لحماية البنية التحتية الوطنية للمعلومات.
  • المعايير الدولية المعتمدة، مثل ISO/IEC 27001:2022 الخاصة بإدارة أمن المعلومات، وISO/IEC 27701 الخاصة بالخصوصية وإدارة البيانات الشخصية، والتي تحدد الضوابط الفنية والإدارية لتنظيم صلاحيات الوصول وتحديد المسؤوليات.
  • وتلتزم الجامعة بتطبيق هذه الأنظمة والسياسات بما يتماشى مع القوانين المحلية في المملكة العربية السعودية، مع الأخذ في الاعتبار الالتزامات الدولية ذات العلاقة عند التعامل مع شركاء خارجيين أو مشاريع تمولها جهات دولية.

الالتزام بسياسة الوصول إلى البيانات

  • تُعد سياسة الوصول إلى البيانات ملزمة لجميع منسوبي الجامعة، من أعضاء هيئة التدريس، والإداريين، والباحثين، والمتعاقدين، وأي جهة خارجية يتم منحها حق النفاذ إلى أصول معلوماتية تخص الجامعة، سواءً لأغراض تعاقدية أو بحثية أو تشغيلية.
  • تتحمل الوحدات التنظيمية (مثل الكليات، والإدارات، والمراكز البحثية) مسؤولية تطبيق هذه السياسة على مستوى العمليات اليومية، وضمان امتثال الموظفين للصلاحيات الممنوحة لهم وعدم إساءة استخدامها.
  • يُناط بـ مكتب البيانات مسؤولية مراقبة الالتزام بهذه السياسة، بالتنسيق مع وحدة الأمن السيبراني، من خلال أدوات الرصد والمتابعة، والتقارير الدورية، وآليات التدقيق الداخلي.
  • في حال وجود أي مخالفة أو استخدام غير مشروع أو تجاوز في صلاحيات الوصول، يتم التعامل معها وفق سياسة الاستجابة للحوادث الأمنية، ويُحال المخالف إلى الجهات النظامية المختصة داخل الجامعة، مع إمكانية رفعها للجهات الرقابية الوطنية إن تطلب الأمر.
  • تتوائم هذه السياسة مع سياسة إدارة هويات الوصول والصلاحيات الخاصة بإدارة الامن السيبراني بالجامعة.

مراجعة سياسة الوصول إلى البيانات

  • يتولى مكتب البيانات بالتعاون مع عمادة التحول الرقمي ومصادر المعرفة وإدارة الأمن السيبراني مراجعة هذه السياسة بشكل دوري (سنويًا على الأقل)، أو عند حدوث تغييرات جوهرية في الأنظمة أو التشريعات ذات العلاقة، أو في البنية التقنية أو الإدارية للجامعة.
  • تشمل المراجعة تقييم فعالية الضوابط الحالية، رصد الثغرات أو الممارسات غير المتوافقة، وتحديث الإجراءات بما يواكب أحدث المستجدات التقنية والتنظيمية.
  • يتم توثيق نتائج المراجعة ورفع التوصيات إلى اللجنة العليا لإدارة وحوكمة البيانات في الجامعة لاعتماد التعديلات اللازمة، وفقًا لإجراءات الحوكمة المعتمدة.