سياسة أمن المعلومات
الأهداف الرئيسية لأمن المعلومات لدى المدرسة :
* تعتبر المدرسة أمن المعلومات هدفاً رئيساً من أهداف العمل لديها.
* تلتزم إدارة وموظفي ومنسوبي المدرسة بالتقيد الصارم لسياسات وممارسات أمن المعلومات لديها. وينبغي على الجميع والأطراف الثالثة ذات العلاقة الالتزام بسياسات وإجراءات ومعايير أمن المعلومات .
* تؤدي مخالفة سياسات وإجراءات ومعايير أمن المعلومات إلى إجراءات تأديبية من قبل إدارة المدرسة وفقاً لأنظمة ولوائح المملكة العربية السعودية، والتي تشمل- دون حصر - نظام العمل والعمال، ونظام مكافحة جرائم المعلومات، ونظام التعاملات الإلكترونية، وغيرها.
* يجب أن يقتصر استخدام أنظمة المعلومات لدى المدرسة على أغراض العمل المصرح بها فقط، وعلى موظفين محدودين وفقاً لسياسة الاستخدام المقبول لأنظمة المعلومات .
* يجب على المدرسة أن تتأكد من تكوين وعي كاف بأمن المعلومات بين الموظفين والأطراف الثالثة ذات العلاقة وذلك وفقاً لمتطلبات الوعي المحددة الخاصة بهم.
* يجب أن يتم التحكم على نحو كاف بالوصول الآلي و الفعلي إلى أنظمة المعلومات لدى المدرسة، وذلك وفقاً للمخاطر التي تنطوي عليها تلك الأنظمة ومدى حساسيتها للمدرسة.
* يجب حماية أنظمة المعلومات لدى المدرسة من الهجمات البرمجية الخبيثة (مثل الفيروسات، الديدان، أحصنة طروادة "التروجانات"، قنابل البريد الإلكتروني، إلخ. )
* يجب على المدرسة أن تتأكد من أنه يتم اكتشاف وضبط وإدارة المخاطر التي تتعرض لها أنظمة المعلومات من الأطراف الثالثة.
* يجب على المدرسة أن تتأكد من توفير الأمن لمعلومات منسوبيها على نحو كاف، كما أنه على المدرسة أن تنشر وتستخدم تدابير وحلول أمنية كافية للتعامل مع المخاطر الناشئة عن وصول منسوبيها إلى أنظمة المعلومات لديها.
* يجب حماية وسائط مناولة المعلومات مثل (منافذ USB والأقراص الصلبة المتنقلة) من التلف وسرقة المعلومات والدخول غير المصرح به إليها.
* يجب التبليغ والمتابعة والتحري عن جميع حوادث أمن المعلومات ونقاط الضعف في الأنظمة الأمنية لدى المدرسة ومعالجتها بشكل فعال.
* يجب على المدرسة أن تتأكد من تحديد جميع أنظمة المعلومات لديها وتعيينها لمسؤولي أنظمة المعلومات الذين يضطلعون بالمسؤولية النهائية عن أمن المعلومات في أنظمة المعلومات التابعة لهم.
*يجب تحديد وتصنيف الوثائق الحساسة لدى المدرسة وحمايتها على نحو كاف من التلف والسرقة والوصول غير المصرح به إليها.
* يجب أن تضمن المدرسة سرية المعلومات الشخصية في أنظمتها المعلوماتية بما يتوافق مع احتياجاتها الأمنية والأنظمة واللوائح المتعلقة بهذا الصدد.
* يجب على المدرسة تحديد وتطبيق والحفاظ على ضوابط أمن معلومات كافية لأنظمة المعلومات لديها بما يتواكب مع تصنيف المخاطر وأفضل الممارسات المطبقة بهذا الخصوص.
*يجب أن تحد المدرسة من فرص الإساءة، أو سوء الاستخدام، أو تدمير أنظمتها المعلوماتية وذلك من خلال التأكد من نزاهة منسوبيها الحاصلين على إمكانية الدخول إلى أنظمة المعلومات.
* يجب أن تتأكد المدرسة من وجود أمن كاف لمنشآتها الحاضنة لأنظمتها المعلوماتية، وذلك بنشر ضوابط أمن المعلومات البيئية والطبيعية بناء على المخاطر التي قد تتعرض لها.
* يجب أن تقوم المدرسة بالتحديد والتوافق مع جميع الأنظمة واللوائح السعودية التي تنطبق على أنظمة المعلومات.
* يتعين على المدرسة الأخذ في اعتبارها بشكل استباقي متطلبات أمن المعلومات أثناء مرحلة شراء/تطوير أنظمة المعلومات بما يتوافق مع سياسات وإجراءات ومعايير أمن المعلومات لديها، وأفضل الممارسات المتبعة بهذا الصدد.
* يجب أن يتم التحكم بالتغييرات التي تتم على أنظمة المعلومات الرئيسة من خلال سياسة إدارة التغيير للحد من أثر الحوادث المتعلقة بالتغيير في أنظمة المعلومات.
* يجب أن يتم مراقبة حالة أمن المعلومات ضمن أنظمة المعلومات التابعة للمدرسة من خلال تخطيط ونشر أساليب كافية لمراقبة أمن المعلومات بما يتواكب مع المخاطر ذات العلاقة ومدى حساسية أنظمة المعلومات.
* يجب على المدرسة أن تقوم بتقييم أمن المعلومات الخاص بأنظمتها المعلوماتية لتحديد نقاط الضعف والتهديدات والمخاطر التي تحيط بأمن المعلومات لديها، ومن ثم اتخاذ الإجراءات العلاجية المناسبة وبالسرعة الواجبة.
* يتعين على المدرسة أن تقوم بالتخطيط وإجراء مراجعات وتدقيق مستقل لأمن المعلومات لديها بما يتوافق مع المخاطر ذات العلاقة وحساسية أنظمة المعلومات. ويتوجب عليها اتخاذ الإجراءات المناسبة وفي الأوقات الواجبة لمعالجة الملاحظات التي تم تحديدها أثناء عملية التدقيق والمراجعة.
* يجب على المدرسة التأكد من حماية عملياتها وخدماتها الحساسة في الوقت المناسب من آثار الإخفاقات الرئيسة أو الكوارث لأنظمة المعلومات، وذلك من خلال خطة رسمية للحفاظ على استمرارية العمل واستمرارية توفر الخدمات والتأكد من استخدام وحدات إضافية مساندة.
* يجب أن يلتزم منسوبي المدرسة والأطراف الثالثة ذات العلاقة بتحديد والتبليغ عند ملاحظتهم لأي غش أو ممارسات أو أنشطة غير سليمة. كما تلتزم المدرسة بمنع النشاطات التي تنطوي على غش و تقوم باتخاذ إجراءات سريعة وفعالة حيال تلك الحوادث المبلغ عنها.
الاستخدام المقبول لأنظمة المعلومات
الاستخدامات العامة والملكية
* يصرح للمستخدمين باستخدام مصادر المعلومات لدى المدرسة فقط لأغراض العمل المصرح لهم القيام بها. ويمنع منعاً باتاً أي استخدام غير مصرح به لأنظمة ومصادر المعلومات لدى المدرسة كالاستخدام الشخصي أو بالنيابة عن أي طرف ثالث (مثل عميل شخصي، أحد أفراد الأسرة، أغراض سياسية أو خيرية أو مدرسية أو خلافه)، وسيتعرض المستخدم الذي يخالف ذلك للإجراءات التأديبية و/أو القانونية المناسبة.
* تؤول ملكية كافة بيانات الحاسب الآلي التي تم إنشاؤها أو استلامها أو إرسالها باستخدام أنظمة المعلومات لدى المدرسة للمدرسة ولا تعتبر مملوكة من قبل المستخدم. وتحتفظ المدرسة بحقها بفحص كافة البيانات لأي سبب ودون إخطار، ومثال ذلك عندما تكون هناك شبهات بمخالفة هذه القواعد أو أي سياسة من سياسات المدرسة.
* ينبغي على الموظفين و المستخدمين من طرف ثالث الذين يستخدمون أو الذين لديهم إمكانية الوصول إلى معلومات المدرسة أن يكونوا على دراية بالحدود الحالية لاستخدامهم لأنظمة المعلومات لدى المدرسة وهم مسئولون عن استخدامهم لأنظمة المعلومات وأي استخدام يتم تحت مسؤوليتهم.
حقوق الملكية الفكرية والترخيص
* المدرسة تقدر وتحترم حقوق الملكية الفكرية (التي تشمل حقوق النسخ، وحقوق التصميم، وحقوق براءة الاختراع وتراخيص الشفرات المصدرية للبرامج والوثائق) المرتبطة بأنظمة المعلومات لديها.
* يمنع انتهاك أي حقوق لأي شخص أو شركة محمية بحقوق النسخ أو براءة الاختراع أو حقوق الملكية الفكرية الأخرى، أو الأنظمة واللوائح المشابهة، بما في ذلك، ودون حصر، تركيب البرامج غير المصرح بها أو غير القانونية على أنظمة المدرسة أو الأنظمة الأخرى غير التابعة إلى المدرسة لكنها موصولة مع بيئة تقنية المعلومات لدى المدرسة.
* يجب أن يحتفظ قسم الدعم الفني و تقنية المعلومات بمعلومات مناسبة عن التراخيص والأحكام والشروط المتعلقة بأنظمة المعلومات الهامة التي لديه.
* يمنع منعاً باتاً استخدام برمجيات أو حقوق ملكية فكرية غير مرخصة.
الاستخدام غير المقبول للأنظمة والشبكة
* يمنع إدخال برامج خبيثة (مثل الفيروسات، الديدان الإلكترونية، أحصنة طروادة، إلخ) إلى أنظمة معلومات المدرسة.
* يمنع إدخال البرامج المجانية أو المشتركة في شبكة المدرسة سواء تم تحميلها من الإنترنت أو تم الحصول عليها من وسائط أخرى، دون تفويض من قسم الدعم الفني و تقنية المعلومات.
* يمنع استخدام أنظمة معلومات المدرسة لتخزين، معالجة، تحميل، أو إرسال البيانات التي يمكن أن تعتبر منحازة (سياسياً، دينياً، عنصرياً، عرقياً، إلخ) أو تنطوي على مضايقة.
* يمنع تقديم عروض أو منتجات أو بنود أو خدمات تنطوي على الغش والخداع باستخدام موارد الأنظمة لدى المدرسة.
* يمنع تنفيذ أي شكل من أشكال مراقبة الشبكة والتي يتم خلالها اعتراض البيانات التي لا تعني الجهاز المضيف لحساب الموظف، إلا إذا كان هذا النشاط جزءاً من الوظيفة/ المهمة المصرح بها للموظف.
* يمنع التحايل أو الالتفاف حول تعريف هوية المستخدم أو أمن أي مضيف أو شبكة أو حاسوب.
* يمنع استخدام أي برنامج/ لغة/ أمر، أو إرسال الرسائل من أي نوع، بغرض التداخل مع أو تعطيل طرفيه أي مستخدم، من خلال أية وسائل، محلياً أو عبر الإنترنت/ الإنترانت/ الإكسترانت.
* يمنع تزويد معلومات تتعلق بموظفي المدرسة أو قوائم بأسمائهم إلى أي أطراف خارج المدرسة.
* يجب تغيير كلمات المرور على مستوى نظام المعلومات كل ثلاثة أشهر .
استخدام البريد الإلكتروني والاتصالات
* يمنع إرسال أي رسائل بريد إلكتروني غير مطلوبة طوعية unsolicitedبما في ذلك إرسال "البريد غير النافع Junk" أو المواد الإعلانية الأخرى إلى الأشخاص الذي لم يطلبوا تلك المواد بصفة محددة(رسائل البريد الإلكتروني الاقتحامية).
* تمنع المضايقة عبر البريد الإلكتروني أو الهاتف ، سواء من حيث اللغة أو بتكرار أو حجم الرسائل.
* يمنع منعاً باتاً الاستخدام غير المصرح به أو تزوير معلومات ترويسة البريد الإلكتروني أو محتوياتها.
* يمنع إنشاء أو تحرير "الرسائل التسلسلية chain letters" أو "Ponzi" أو برامج "هرمية pyramid schemes" من أي نوع.
* يمنع منعاً باتاً التسجيل والتراسل مع المجموعات الإخبارية والمدونات نيابة عن المدرسة (الرسائل الاقتحامية للمجموعات الإخبارية. )
* ينبغي على موظفي المدرسة توخي أقصى درجات الحذر عند إرسال أي بريد إلكتروني من داخل المدرسة إلى شبكات خارجها. ، فإن رسائل البريد الإلكتروني لدى المدرسة لن يتم تحويلها بشكل موثق إلى أية وجهة خارجية. ويجب عدم تمرير المعلومات الحساسة بواسطة أية وسيلة إلا إذا كانت رسالة البريد الإلكترونية هامة جداً للعمل ومشفرة.
إبداء العناية الواجبة
* يكون كل مستخدم مسؤولاً عن منع الوصول غير المصرح به، بما في ذلك المشاهدة، إلى مصادر المعلومات الواقعة تحت مسؤوليته أو تحكمه (مثل المعلومات المتوفرة في الأجهزة المحمولة، أجهزة سطح المكتب، طرفيات الدخول، الطابعات، أو وسائط الأشرطة، إلخ ) .
* يكون كل مستخدم مسؤولاً عن إبلاغ قسم أمن المعلومات بأي سلوك يشتبه بأنه ناتج عن الفيروسات أو أي أنشطة مشبوهة في أنظمتهم عن طريق صفحة الويب الخاصة بوحدة أمن المعلومات.
سياسة استخدام الإنترنت :
* على مستخدمي الإنترنت من خلال شبكة المدرسة ألا يتوقعوا أية خصوصية للمعلومات المخزنة والمعالجة والمرسلة باستخدام نظام المعلومات لدى المدرسة. وينبغي على المدرسة وضع آلية للتحكم ومراقبة استخدام الإنترنت بما في ذلك حجب الوصول إلى فئات معينة من المواقع الإلكترونية (مثل المواقع الإباحية). ويكون الحجب بالتوازي مع استخدام ضوابط أخرى فنية وإجرائية مثل تسجيل الأنشطة التي يقوم بها المستخدم. ويمكن مراقبة هذه السجلات للتأكد من عدم إساءة استخدام الإنترنت. وستتعقب هذه السجلات استخدام الإنترنت وتراقب محتوى وطبيعة المواقع التي يدخلها المستخدمون.
* لن تقف المدرسة مكتوفة الأيدي نحو إساءة استخدام الإنترنت، وخصوصاً الأنشطة التي قد تعرضها للملاحقة القضائية أو إجراءات قانونية (ويشمل ذلك الإباحية، ومضايقة الأشخاص). وستتخذ المدرسة الإجراءات النظامية المناسبة والتي قد تصل إلى فصل الموظف، في حالة قيام المستخدم بأي أنشطة غير قانونية، فإن المدرسة تحتفظ بحقها بالتبليغ عن هذه الأنشطة إلى السلطات التنظيمية أو الحكومية أو القانونية ذات العلاقة.
* تقوم المدرسة بحجب فئات محددة من المواقع الإلكترونية بناءً على قوائم أو قواعد بيانات معينة. وهذه القوائم أو قواعد البيانات ليست دقيقة وحديثة دائماً. وإذا ما تم الدخول إلى أي موقع إلكتروني غير قانوني أو لا يتعلق بالعمل، فإن ذلك لا يعني أن المدرسة قد صرحت بالدخول إليه أو اعتبرته مقبولاً. بالتالي، فعلى المستخدمين عدم زيارة مثل تلك المواقع الإلكترونية التي قد تعتبر غير قانونية أو غير أخلاقية أو تتنافى مع مبادئ المدرسة.
* على المستخدم فهم الوقت الذي يقضيه في الاستخدام الشخصي للإنترنت والذي يمكن اعتباره مقبولاً. وللمستخدم استشارة إدارته لاستيضاح هذه المتطلبات .
* يجب عدم استخدام عناوين البريد الإلكتروني العامة أو الشخصية لإرسال رسائل إلكترونية تتضمن معلومات تتعلق بالعمل.
* على المستخدم ملاحظة أن رسائل البريد الإلكترونية المرسلة من أجهزة الكمبيوتر الخاصة بالعمل باستخدام حسابات البريد الإلكترونية العامة مثل ياهو وجي ميل وغيرهما يمكن أن يتم تتبعها من قبل المستلم كونها مرسلة من المدرسة وبالتالي، فإن أي إساءة استخدام يمكن أن تعرض المدرسة إلى الإجراءات القضائية .
* إذا كان هناك مواقع معينة تم حجبها وكان واجباً ألا يتم حجبها (أو بالعكس)، فعلى المستخدم إشعار قسم أمن المعلومات بذلك عن طريق صفحة الويب الخاصة بهم.
* إذا قام المستخدم بشكل عرضي بزيارة موقع غير لائق، أو إذا تم توجيهه آلياً إلى ذلك الموقع، فإن عليه مغادرة ذلك الموقع فوراً.
* على المستخدمين الامتناع عن تنزيل أي برمجيات أو أي مواد أخرى (موسيقى، صور، إلخ) لا علاقة لها بالعمل.
* أثناء تنزيل المعلومات المتعلقة بالعمل، ينبغي على المستخدم التأكد من عدم مخالفة أي حقوق ملكية فكرية مما قد يعرض المدرسة لمخاطر الإجراءات القضائية.
* على المدرسة التأكد من أن المعلومات المتاحة على موقعها الإلكتروني قد تم التحقق منها والتأكد من صحتها بشكل ملائم.
* ينبغي على المستخدم أن لا يسجل عنوان بريده الإلكتروني الخاص بالعمل على أي موقع إلكتروني لا يتعلق بالعمل