سياسة تصنيف البيانات

البيانات الشخصية: كل بيان - مهما كان مصدره أو شكله - من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعله قابلاً للتعرف عليه بصفة مباشرة أو غير مباشرة عند دمجه مع بيانات أخرى، ويشمل ذلك -على سبيل المثال لا الحصر - الاسم، وأرقام الهويات الشخصية، والعناوين، وأرقام التواصل، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور المستخدم الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي.

البيانات: مجموعة من الحقائق في صورتها الأولية أو في صورة غير منظمة مثل الأرقام، أو الحروف، أو الصور الثابتة أو الفيديو أو التسجيلات الصوتية أو الرموز التعبيرية.

الوصول للبيانات : القدرة على الوصول المنطقي والمادي إلى البيانات والموارد التقنية للجامعة لغرض استخدامها

التحقق: التأكد من هوية أي مستخدم أو عملية أو جهاز بصفته متطلباً أساسياً للسماح بالوصول إلى الموارد التقنية .

البيانات المحمية:  البيانات المصنفة على أنها (سرية للغاية، سري، مقيد)

المعلومات العامة :  البيانات بعد المعالجة (غير المحمية) التي تتلقاها أو تنتجها أو تتعامل معها الجامعة مهما كان مصدرها، أو شكلها أو طبيعتها.

مستويات تصنيف البيانات:  مستويات التصنيف كما تم عرضها في سياسة تصنيف البيانات من قبل مكتب إدارة البيانات الوطنية وهي كالتالي: سري للغاية، سري، مقيد، عام

ممثل بيانات أعمال:  هو الشخص المسؤول عن البيانات التي يتم جمعها والاحتفاظ بها في إدارات الاعمال بالجامعة.

الضوابط الأمنية :  الأجهزة والإجراءات والسياسات والضمانات المادية المستخدمة لضمان سلامة البيانات وحمايتها وحماية وسائل معالجتها والوصول إليها.

الافصاح عن البيانات:  تمكين أي شخص - عدا الجامعة - من الحصول على البيانات الشخصية أو استعمالها أو الاطلاع عليها بأي وسيلة ولأي غرض.

مستخدم البيانات:  الموظف الذي يتعامل مع البيانات أو يصل إليها أو يستخدمها أو يحدّثها بغرض أداء مهمة مخولة من قبل الصلاحية بالجامعة.

الغرض من هذه السياسة هو:

• تنظيم عملية تصنيف وحماية بيانات جامعة نجران وفق أفضل الممارسات العالمية وبما يتوافق مع التعليمات الواردة من الجهات ذات العلاقة.
• تنظيم عملية استخدام/ إعادة استخدام البيانات المحمية ونشر المعلومات العامة.
• تحديد الأدوار والمسؤوليات المطلوبة من جميع الجهات بالجامعة لضمان تطبيق تصنيف البيانات بالشكل الأمثل.

تنطبق أحكام هذه السياسة على جميع البيانات التي تتلقاها أو تنتجها أو تتعامل معها الجامعة مهمــا كان مصدرهــا، أو شــكلها أو طبيعتهــا، ويشــمل ذلــك الســجلات الورقيــة، الاجتماعــات، والاتصــالات عبر وسائل التواصل والتطبيقات، ورسائل البريد الإلكتروني، والبيانات المخزنة على وسائط إلكترونية، وأشرطة الصوت أو الفيديو، أو الخرائط، أو الصور الفوتوغرافية، والمخطوطات، أو الوثائق المكتوبة بخط اليد، أو أي شكل آخر من أشكال المعلومات.  

المبدأ الأول: الأصل في البيانات الإتاحة

الأصل في البيانات أن تكون متاحة (في المجال التنمـوي) مـا لم تقتـضِ طبيعتها أو حساسيتها مستويات أعلى من التصنيف والحماية، والسرية للغاية (في المجال السياسي والأمني) مالم تقتضِ طبيعتها أو حساسيتها مستويات أدنى من التصنيف والحماية.

المبدأ الثاني: الضرورة والتناسب

يتم تصنيف البيانات إلى مسـتويات وفقاً لطبيعتها، ومستوى حساسيتها، ودرجة أثرها مـع الأخذ بعين الاعتبار الموازنة بين قيمتها ودرجة سريتها.

المبدأ الثالث: التصنيف في الوقت المناسب

يتم تصنيف البيانات عند إنشائها أو حين تلقيها من جهات أخرى ويكون التصنيف خلال فترة زمنية محددة.

المبدأ الرابع: المستوى الأعلى من الحماية

يتم اعتماد المستوى الأعلى من التصنيف عندما يتضمن محتوى مجموعة متكاملة من البيانات مستويات تصنيف مختلفة.

المبدأ الخامس: فصل المهام

يتم الفصل بين مهام ومسؤوليات العاملين - فيما يتعلق بتصنيف البيانات أو الوصول إليها أو الإفصاح عنها أو استخدامها أو التعديل عليها أو إتلافها - بطريقة تحول دون تداخل الاختصاص وتتلافى تشتيت المسؤولية.

المبدأ السادس: الحاجة إلى المعرفة

يتم تقييد الوصول إلى البيانات واستخدامها على أساس الاحتياج الفعلي للمعرفة، ولأقل عدد ممكن من العاملين.

المبدأ السابع: الحد الأدنى من الامتيازات

يتــم تقييــد إدارة صلاحيــات العامليــن علــى الحــد الأدنــى مــن الامتيــازات اللازمــة لأداء المهــام والمســؤوليات المناطــة بهــم.

يمكن تصنيف البيانات المصنفة على مستوى مقيد إلى مستويات فرعية بناء على نطاق الأثر على النحو التالي:

• مقيد - مستوى (أ): إذا كان نطاق الأثر على مستوى قطاع كامل أو نشاط اقتصادي عام.
• مقيد - مستوى (ب): إذا كان نطاق الأثر على مستوى أنشطة عدة جهات أو على مصالح مجموعة من الأفراد.
• مقيد - مستوى (ج): إذا كان نطاق الأثر على مستوى أنشطة جهة واحدة أو مصالح فرد معين.

وفي ‏الجدول أدناه توضيح وتحديد لمستوى التصنيف الصحيح الذي يمكن الجامعة من تقييم درجة الأثر المترتبة على الوصول غير المصرح به إلى البيانات أو الإفصاح عنها أو عن محتواها ولمزيد من المعلومات حول عملية تقييم الأثر يمكن الاطلاع على خطوات اللازمة لتصنيف البيانات يجب على الجامعة أن تقوم بإجراء تقييم الأثر المترتبة على عملية الوصول أو الإفصاح غير المصرح به كما تعتبر هذه القائمة غير شمولية.

• يجب تصنيف البيانات التي لم يتم تصنيفها -إلى وقت إصدار هذه السياسة- خلال فترة زمنية محددة وفق خطة عمل يعدها مكتب إدارة البيانات بالجامعة ويتم اعتمادها من رئيس الجامعة أو من يفوضه.
• البيانات التي لم يتم تصنيفها عند إنشائها أو تلقيها تُعامل على أنها "مقيدة" حتى يتم تصنيفها.
• بناءً على مستويات التصنيف، يتم تحديد وتطبيق الضوابط الأمنية المناسبة لحماية البيانات، لضمان التعامل معها ومعالجتها ومشاركتها والتخلص منها بشكل آمن.
• تحديث الأنظمة الأمنية بشكل دوري لمراقبة أجهزة تخزين البيانات المصنفة "سري للغاية"، "سري"، و"مقيد"، لضمان حماية هذه البيانات من الوصول غير المصرح به.
• يجب حماية البيانات المصنفة "سري للغاية"، "سري"، و"مقيد" غير المراقبة أثناء تخزينها مادياً أو إلكترونياً باستخدام طرق التشفير المعتمدة من الهيئة الوطنية للأمن السيبراني.
• تطبع علامات الحماية النصية على الوثائق الورقية والإلكترونـية، بما في ذلك رسائل البريد الإلكتروني، وفقاً لكل مستوى من مستويات التصنيف.
• يتم تقييد الوصول إلى البيانات المصنفة "سرية للغاية" من خلال تحديد صلاحيات الوصول بناءً على مبدأ "الحاجة إلى المعرفة"، بحيث تقتصر هذه الصلاحيات على الحد الأدنى من الأشخاص المخولين بالاطلاع على البيانات.
• يتم مشاركة البيانات فقط وفقاً لسياسة مشاركة البيانات المعتمدة.
• تُحدد فترة الاحتفاظ بالبيانات بناءً على المتطلبات التجارية، التعاقدية، التنظيمية، والقانونية ذات العلاقة، ويتم مراجعة هذه الفترة بشكل دوري.
• يتم التخلص من جميع البيانات بشكل آمن وفق الإجراءات الأمنية المنظمة لذلك.
• يتم أرشفة البيانات في مواقع تخزين آمنة ووفقاً للطريقة التي أوصى بها ممثل بيانات الأعمال.
• يتم الاحتفاظ بنسخة احتياطية من البيانات المؤرشفة.
• يتم حماية البيانات المؤرشفة التي تم تصنيفها على أنها "سري للغاية" و "سري" باستخدام طرق التشفير المعتمدة من قبل الهيئة الوطنية للأمن السيبراني.
• يتم إعداد وتوثيق قائمة مفصلة تتضمن المستخدمين المصرح لهم بالوصول إلى البيانات المؤرشفة.
• يتم خفض مستوى تصنيف البيانات (رفع السرية) إلى الحد المناسب بعد انتهاء المدة المقررة للمستوى السابق.

1. تعيين ممثلي الأعمال:

يتم بقرار من سعادة رئيس الجامعة أو من يفوضه اصدار قرار يحدد ممثلي بيانات الاعمال بمختلف الوحدات الإدارية بالجامعة بناء على ما يرفع من المشرف العام على مكتب البيانات/مدير مكتب البيانات.

2. حصر بيانات الجامعة:

• يتم حصر جميع البيانات التي تمتلكها الجامعة من خلال ممثلي بيانات الأعمال ومن خلال الجهات المشاركة مع الجامعة في تحديد وتوثيق بياناتها التي تمتلكها ويمكن تحديد مصادر البيانات بالجامعة كالتالي:

• يتم تحديد قنوات تبادل البيانات والتي تشمل القنوات الآلية والقنوات اليدوية. حيث تشمل القنوات الآلية كافة القنوات الآلية وشبه الآلية مثل رسائل البريد الإلكتروني والرسائل القصيرة وغيرها من القنوات الخاصة بالأنظمة الالكترونية. بينما تشمل القنوات اليدوية جميع القنوات غير التقنية مثل الأقراص المدمجة ووحدات التخزين USB والأقراص الصلبة الخارجية والوثائق الورقية.

3. إجراء عملية تقييم الأثر:

يجب على ممثل بيانات الأعمال اتباع الخطوات اللازمة لعملية تقييم الأثر المحتمل الذي يترتب على:

• الإفصاح عن هذه البيانات أو الوصول غير المصرح به لها.
• إجراء تعديل على هذه البيانات أو إتلافها أو كليهما.
• عدم الوصول إلى هذه البيانات في الوقت المناسب.

تبدأ عملية تقييم الأثر بتطبيق مبدأ "الأصل في البيانات الاتاحة" (في المجال التنموي) مالم تقتض طبيعتها أو حساسيتها مستويات أعلى من التصنيف والحماية وسرية للغاية (في المجال السياسي والأمني) مالم تقتض طبيعتها أو حساسيتها مستويات أدني من التصنيف. يتمثل العنصر الأول من عملية تقييم الأثر في تحديد الفئة الرئيسية والفرعية للأثر المحتمل في أي من الفئات الرئيسية التالية:

• المصلحة الوطنية
• أنشطة الجهات
• صحة أو سلامة الأفراد
• الموارد البيئية

4. تحديد مستوى الأثر:

يتعين على ممثل بيانات الأعمال أن يحدد لكل أثر محتمل مستوى معين يعتمد تحديد المستوى على الآتي:

• مدة الأثر وصعوبة السيطرة على الضرر.
• فترة تدارك وإصلاح الأضرار بعد وقوعها.
• حجم الأثر على مستوى وطني، مناطقي، عدة جهات، جهة واحدة، عدة أفراد .... الخ .
• كما يمكن تحديد مستوى الأثر من خلال المعايير أدناه:
• عالي يؤدي الوصول الى البيانات أو الإفصاح عنها إلى حدوث أضرار جسيمة أو خطيرة للغاية على المدى الطويل لا يمكن تداركها أو إصلاحها.
• متوسط يؤدي الوصول إلى البيانات أو الإفصاح عنها إلى حدوث أضرار جسيمة أو خطيرة يصعب السيطرة عليها.

• منخفض يؤدي الوصول إلى البيانات أو الإفصاح عنها إلى أضرار محدودة يمكن السيطرة عليها أو أضرار متقطعة على المدى القصير يمكن السيطرة عليها.
• لا يوجد أثر، لا يؤدي الوصول إلى البيانات أو الإفصاح عنها إلى اي ضرر على المدى الطويل أو القصير.
• يجب ان تكون جميع الاضرار المحتملة والمحددة خلال عملية تقييم الأثر محددة وقائمة على أدلة، في محاولة للحد من التقديرات الشخصية للمكلف بإجراء تصنيف البيانات. يحدد ممثل بيانات الاعمال مستوى تصنيف البيانات بناءً على الأثار المحددة ومستوياتها:
• عالي، تصنف البيانات باعتبارها "سرية للغاية".
• متوسط، تصنف البيانات على انها "سرية".
• منخفض، يلزم إجراء المزيد من التقييمات (من خلال القيام بالخطوات 5، 6)
• لا يوجد أثر، تصنف البيانات على أنّها بيانات "عامة".

5. تحديد الأنظمة ذات العلاقة (فقط إذا كان مستوى الأثر منخفض):

يجب إجراء تقييمات إضافية إذا كان مستوى الأثر المحدد “منخفض" وذلك بهدف زيادة مستوى تصنيف البيانات المصنفة على أنها بيانات “عامة" إلى الحد الأقصى. يجب على ممثل بيانات الأعمال في هذا الصدد، دراسة ما إذا كان الإفصاح عن هذه البيانات يتعارض مع أنظمة المملكة العربية السعودية مثل نظام مكافحة الجرائم المعلوماتية ونظام التجارة الإلكترونية ... الخ وإذا كان الإفصاح عن البيانات مخالفاً للأنظمة، فيجب حينها تصنيف البيانات على أنها بيانات “مقيّدة"، بخلاف ذلك يتعين على ممثل بيانات الأعمال مواصلة تنفيذ الخطوة 5.

6. الموازنة بين مزايا الإفصاح عن البيانات والآثار السلبية (فقط إذا كانت الإجابة على الخطوة 5 “لا"):

بعد التأكد من مستوى الأثر المنخفض وضمان أن الإفصاح لن يكون انتهاكاً لأي نظام نافذ، يجب أيضاً تقييم المزايا المحتملة للإفصاح عن مثل هذه البيانات والتأكد مما إذا كانت هذه المزايا ستفوق الآثار السلبية أم لا، وتشمل المزايا المحتملة استخدام البيانات لتطوير خدمات جديدة ذات قيمة مضافة، أو زيادة شفافية العمليات الحكومية أو زيادة مشاركة الأفراد مع الحكومة. وعليه:

• إذا كانت المزايا أكبر من الآثار السلبية، تصنف البيانات على أنها "عامة".
• إذا كانت المزايا أقل من الآثار السلبية، تصنف البيانات على أنها "مقيّدة".

7. مراجعة مستوى التصنيف:

يجب أن يفحص مراجع تصنيف البيانات -أحد منسوبي مكتب إدارة البيانات بالجامعة- جميع البيانات المصنفة لضمان أن يكون مستوى التصنيف المحدد من جانب ممثل بيانات الأعمال هو الأنسب، وتتم مراجعته خلال شهر واحد من التصنيف الأولي.

8. تطبيق الضوابط المناسبة:

تتمثل الخطوة الأخيرة من عملية تصنيف البيانات في حماية جميع البيانات وفقاً لمستوى التصنيف عن طريق تعميم نتائج التصنيف وتطبيق ضوابط تصنيف البيانات. بحيث يتم الانتهاء من عملية التصنيف عند تصنيف جميع البيانات التي تملكها الجامعة والتحقق من مستويات التصنيف وتطبيق الضوابط ذات الصلة.