الأهداف الرئيسية لأمن المعلومات لدى أكاديمية أكسفورد:
– تَعتبر أكاديمية أكسفورد أمن المعلومات هدفاً رئيسياً من أهداف العمل لديها.
– تلتزم إدارة وموظفي ومنسوبي أكاديمية أكسفورد بالتقيد الصارم لسياسات وممارسات أمن المعلومات لديها. وينبغي على جميع موظفي الإدارات والموظفين الآخرين والأطراف الثالثة ذات العلاقة الالتزام بسياسات وإجراءات ومعايير أمن المعلومات.
– تؤدي مخالفة سياسات وإجراءات ومعايير أمن المعلومات إلى إجراءات تأديبية من قبل إدارة أكاديمية أكسفورد قد تصل إلى إنهاء الخدمات وفقاً لأنظمة ولوائح المملكة العربية السعودية، والتي تشمل- دون حصر – نظام العمل والعمال، ونظام مكافحة جرائم المعلومات، ونظام التعاملات الإلكترونية، وغيرها.
– يجب أن يقتصر استخدام أنظمة المعلومات لدى أكاديمية أكسفورد على أغراض العمل المصرح بها فقط، وعلى موظفين محدودين وفقاً لسياسة الاستخدام المقبول لأنظمة المعلومات (راجع سياسات أمن المعلومات العامة).
– يجب على أكاديمية أكسفورد أن تتأكد من تكوين وعي كاف بأمن المعلومات بين الإدارات والموظفين والأطراف الثالثة ذات العلاقة وذلك وفقاً لمتطلبات الوعي المحددة الخاصة بهم.
– يجب أن يتم التحكم على نحو كاف بالوصول الآلي و الفعلي إلى أنظمة المعلومات لدى أكاديمية أكسفورد، وذلك وفقاً للمخاطر التي تنطوي عليها تلك الأنظمة ومدى حساسيتها للجامعة.
– يجب حماية أنظمة المعلومات لدى أكاديمية أكسفورد من الهجمات البرمجية الخبيثة (مثل الفيروسات، الديدان، أحصنة طروادة “التروجانات”، قنابل البريد الإلكتروني، إلخ).
– يجب على أكاديمية أكسفورد أن تتأكد من أنه يتم اكتشاف وضبط وإدارة المخاطر التي تتعرض لها أنظمة المعلومات من الأطراف الثالثة.
– يجب على أكاديمية أكسفورد أن تتأكد من توفير الأمن لمعلومات عملائها على نحو كاف، كما أنه على أكاديمية أكسفورد أن تنشر وتستخدم تدابير وحلول أمنية كافية للتعامل مع المخاطر الناشئة عن وصول عملائها إلى أنظمة المعلومات لديها.
– يجب حماية وسائط مناولة المعلومات مثل (منافذ USB والأقراص الصلبة المتنقلة) من التلف وسرقة المعلومات والدخول غير المصرح به إليها.
– يجب التبليغ عن ومتابعة والتحري عن جميع حوادث أمن المعلومات ونقاط الضعف في الأنظمة الأمنية لدى أكاديمية أكسفورد ومعالجتها بشكل فاعل.
– يجب على أكاديمية أكسفورد أن تتأكد من تحديد جميع أنظمة المعلومات لديها وتعيينها إلى مسؤولي أنظمة المعلومات الذين يضطلعون بالمسؤولية النهائية عن أمن المعلومات في أنظمة المعلومات التابعة لهم.
– يجب تحديد وتصنيف الوثائق الحساسة لدى أكاديمية أكسفورد وحمايتها على نحو كاف من التلف والسرقة والوصول غير المصرح به إليها.
– يجب أن تضمن أكاديمية أكسفورد سرية المعلومات الشخصية في أنظمتها المعلوماتية بما يتوافق مع احتياجاتها الأمنية والأنظمة واللوائح المتعلقة بهذا الصدد.
– يجب على أكاديمية أكسفورد تحديد وتطبيق والحفاظ على ضوابط أمن معلومات كافية لأنظمة المعلومات لديها بما يتواكب مع تصنيف المخاطر وأفضل الممارسات المطبقة بهذا الخصوص.
– يجب أن تحد أكاديمية أكسفورد من فرص الإساءة، أو سوء الاستخدام، أو تدمير أنظمتها المعلوماتية وذلك من خلال التأكد من نزاهة منسوبيها الحاصلين على إمكانية الدخول إلى أنظمة المعلومات.
– يجب أن تتأكد أكاديمية أكسفورد من وجود أمن كاف لمنشآتها الحاضنة لأنظمتها المعلوماتية، وذلك بنشر ضوابط أمن المعلومات البيئية والطبيعية بناء على المخاطر التي قد تتعرض لها.
– يجب أن تقوم أكاديمية أكسفورد بالتحديد والتوافق مع جميع الأنظمة واللوائح السعودية (والعالمية إذا كان ضرورياً) التي تنطبق على أنظمة المعلومات.
– يتعين على أكاديمية أكسفورد الأخذ في اعتبارها بشكل استباقي متطلبات أمن المعلومات أثناء مرحلة شراء/تطوير أنظمة المعلومات بما يتوافق مع سياسات وإجراءات ومعايير أمن المعلومات لديها، وأفضل الممارسات المتبعة بهذا الصدد.
– يجب أن يتم التحكم بالتغييرات التي تتم على أنظمة المعلومات الرئيسية من خلال سياسة إدارة التغيير للحد من أثر الحوادث المتعلقة بالتغيير في أنظمة المعلومات.
– يجب أن يتم مراقبة حالة أمن المعلومات ضمن أنظمة المعلومات التابعة لأكاديمية أكسفورد من خلال تخطيط ونشر أساليب كافية لمراقبة أمن المعلومات بما يتواكب مع المخاطر ذات العلاقة ومدى حساسية أنظمة المعلومات.
– يجب على أكاديمية أكسفورد أن تقوم بتقييم أمن المعلومات الخاص بأنظمتها المعلوماتية لتحديد نقاط الضعف والتهديدات والمخاطر التي تحيط بأمن المعلومات لديها، ومن ثم اتخاذ الإجراءات العلاجية المناسبة وبالسرعة الواجبة.
– يتعين على أكاديمية أكسفورد أن تقوم بالتخطيط وإجراء مراجعات وتدقيق مستقل لأمن المعلومات لديها بما يتوافق مع المخاطر ذات العلاقة وحساسية أنظمة المعلومات. ويتوجب عليها اتخاذ الإجراءات المناسبة وفي الأوقات الواجبة لمعالجة الملاحظات التي تم تحديدها أثناء عملية التدقيق والمراجعة.
– يجب على أكاديمية أكسفورد التأكد من حماية عملياتها وخدماتها الحساسة في الوقت المناسب من آثار الإخفاقات الرئيسية أو الكوارث لأنظمة المعلومات، وذلك من خلال خطة رسمية للحفاظ على استمرارية العمل واستمرارية توفر الخدمات والتأكد من استخدام وحدات إضافية مسانده.
– يجب أن يلتزم منسوبي أكاديمية أكسفورد والأطراف الثالثة ذات العلاقة بتحديد والتبليغ عند ملاحظتهم لأي غش أو ممارسات أو أنشطة غير سليمة. كما تلتزم أكاديمية أكسفورد بمنع النشاطات التي تنطوي على غش و تقوم باتخاذ إجراءات سريعة وفاعلة حيال تلك الحوادث المبلغ عنها.
الإستخدام المقبول لأنظمة المعلومات
الإستخدامات العامة والملكية
– ـ يصرح للمستخدمين باستخدام مصادر المعلومات لدى أكاديمية أكسفورد فقط لأغراض العمل المصرح لهم القيام بها. ويمنع منعاً باتاً أي استخدام غير مصرح به لأنظمة ومصادر المعلومات لدى أكاديمية أكسفورد كالاستخدام الشخصي أو بالنيابة عن أي طرف ثالث (مثل عميل شخصي، أحد أفراد الأسرة، أغراض سياسية أو خيرية أو مدرسية أو خلافه)، وسيتعرض المستخدم الذي يخالف ذلك للإجراءات التأديبية و/أو القانونية المناسبة.
– ـ تؤول ملكية كافة بيانات الحاسب الآلي التي تم إنشاؤها أو استلامها أو إرسالها باستخدام أنظمة المعلومات لدى أكاديمية أكسفورد للجامعة ولا تعتبر مملوكة من قبل المستخدم. وتحتفظ أكاديمية أكسفورد بحقها بفحص كافة البيانات لأي سبب ودون إخطار، ومثال ذلك عندما تكون هناك شبهات بمخالفة هذه القواعد أو أية سياسة من سياسات أكاديمية أكسفورد.
– ـ ينبغي على الموظفين والمقاولين و المستخدمين من طرف ثالث الذين يستخدمون أو الذين لديهم إمكانية الوصول إلى معلومات أكاديمية أكسفورد أن يكونوا على دراية بالحدود الحالية لاستخدامهم لأنظمة المعلومات لدى أكاديمية أكسفورد وهم مسئولون عن استخدامهم لأنظمة المعلومات وأي استخدام يتم تحت مسئوليتهم
حقوق الملكية الفكرية والترخيص
– ـ أكاديمية أكسفورد تقدر وتحترم حقوق الملكية الفكرية (التي تشمل حقوق النسخ، وحقوق التصميم، وحقوق براءة الاختراع وتراخيص الشفرات المصدرية للبرامج والوثائق) المرتبطة بأنظمة المعلومات لديها.
– ـ يمنع انتهاك أي حقوق لأي شخص أو شركة محمية بحقوق النسخ أو براءة الاختراع أو حقوق الملكية الفكرية الأخرى، أو الأنظمة واللوائح المشابهة، بما في ذلك، ودون حصر، تركيب البرامج غير المصرح بها أو غير القانونية على أنظمة أكاديمية أكسفورد أو الأنظمة الأخرى غير التابعة إلى أكاديمية أكسفورد لكنها موصولة مع بيئة تقنية المعلومات لدى أكاديمية أكسفورد.
– ـ يجب أن تحتفظ عمادة تقنية المعلومات بمعلومات مناسبة عن التراخيص والأحكام والشروط المتعلقة بأنظمة المعلومات الهامة التي لديها.
– ـ يمنع منعاً باتاً استخدام برمجيات أو حقوق ملكية فكرية غير مرخصة.
الاستخدام غير المقبول للأنظمة والشبكة
– ـ يمنع إدخال برامج خبيثة (مثل الفيروسات، الديدان الإلكترونية، أحصنة طروادة، إلخ) إلى أنظمة معلومات أكاديمية أكسفورد.
– ـ يمنع إدخال البرامج المجانية أو المشتركة في شبكة أكاديمية أكسفورد سواء تم تحميلها من الإنترنت أو تم الحصول عليها من وسائط أخرى، دون تفويض من عميد تقنية المعلومات.
– ـ يمنع استخدام أنظمة معلومات أكاديمية أكسفورد لتخزين، معالجة، تحميل، أو إرسال البيانات التي يمكن أن تعتبر منحازة (سياسياً، دينياً، عنصرياً، عرقياً، إلخ) أو تنطوي على مضايقة.
– ـ يمنع تقديم عروض أو منتجات أو بنود أو خدمات تنطوي على الغش والخداع باستخدام موارد الأنظمة لدى أكاديمية أكسفورد.
– ـ يمنع تقديم عروض أو منتجات أو بنود أو خدمات تنطوي على الغش والخداع باستخدام موارد الأنظمة لدى أكاديمية أكسفورد.
– ـ يمنع تنفيذ أي شكل من أشكال مراقبة الشبكة والتي يتم خلالها اعتراض البيانات التي لا تعني الجهاز المضيف لحساب الموظف، إلا إذا كان هذا النشاط جزءاً من الوظيفة/ المهمة المصرح بها للموظف.
– ـ يمنع التحايل أو الالتفاف حول تعريف هوية المستخدم أو أمن أي مضيف أو شبكة أو حاسوب.
– ـ يمنع استخدام أي برنامج/ لغة/ أمر، أو إرسال الرسائل من أي نوع، بغرض التداخل مع أو تعطيل طرفيه أي مستخدم، من خلال أية وسائل، محلياً أو عبر الإنترنت/ الإنترانت/ الإكسترانت.
– ـ يمنع تزويد معلومات تتعلق بموظفي أكاديمية أكسفورد أو قوائم بأسمائهم إلى أي أطراف خارج أكاديمية أكسفورد.
– ـ يجب تغيير كلمات المرور على مستوى نظام المعلومات كل ثلاثة أشهر
استخدام البريد الإلكتروني والاتصالات
– يمنع إرسال أية رسائل بريد إلكتروني غير مطلوبة (طوعية unsolicited) بما في ذلك إرسال “البريد غير النافع Junk” أو المواد الإعلانية الأخرى إلى الأشخاص الذي لم يطلبوا تلك المواد بصفة محددة(رسائل البريد الإلكتروني الاقتحامية).
– ـ تمنع المضايقة عبر البريد الإلكتروني أو الهاتف أو الفاكس أو Paging، سواء من حيث اللغة أو بتكرار أو حجم الرسائل.
– ـ يمنع منعاً باتاً الاستخدام غير المصرح به أو تزوير معلومات ترويسة البريد الإلكتروني أو محتوياتها.
– ـ يمنع إنشاء أو تحرير “الرسائل التسلسلية chain letters” أو “Ponzi” أو برامج “هرمية pyramid schemes” من أي نوع.
– ـ يمنع منعاً باتاً التسجيل لدى والتراسل مع المجموعات الإخبارية والمدونات نيابة عن أكاديمية أكسفورد (الرسائل الاقتحامية للمجموعات الإخبارية).
– ـ ينبغي على موظفي أكاديمية أكسفورد توخي أقصى درجات الحذر عند إرسال أي بريد إلكتروني من داخل أكاديمية أكسفورد إلى شبكات خارجها. وباستثناء ما إذا تم الحصول على موافقة مدير الموظف، فإن رسائل البريد الإلكتروني لدى أكاديمية أكسفورد لن يتم تحويلها بشكل موثق إلى أية وجهة خارجية. ويجب عدم تمرير المعلومات الحساسة بواسطة أية وسيلة إلا إذا كانت رسالة البريد الإلكترونية هامة جداً للعمل ومشفرة.
إبداء العناية الواجبة
– يكون كل مستخدم مسئولاً عن منع الوصول غير المصرح به، بما في ذلك المشاهدة، إلى مصادر المعلومات الواقعة تحت مسئوليته أو تحكمه (مثل المعلومات المتوفرة في الأجهزة المحمولة، أجهزة سطح المكتب، طرفيات الدخول، الطابعات، أو وسائط الأشرطة، إلخ).
– ـ يكون كل مستخدم مسئولاً عن إبلاغ إدارة أمن المعلومات بأي سلوك يشتبه بأنه ناتج عن الفيروسات أو أي أنشطة مشبوهة في أنظمتهم عن طريق صفحة الويب الخاصة بوحدة أمن المعلومات.
– ـ من المقبول تصفح النطاق العام لإجراء بعض البحث شريطة إلتزام المستخدمين بسياسات ومعايير وإجراءات أكاديمية أكسفورد فيما يتعلق بهذا الاستخدام.
كما أن على المستخدمين في هذه الحالة الالتزام بسياسات ومعايير وإجراءات المواقع التي يبحثون فيها.
سياسة استخدام الإنترنت :
– على مستخدمي الإنترنت من خلال شبكة أكاديمية أكسفورد ألا يتوقعوا أية خصوصية للمعلومات المخزنة والمعالجة والمرسلة باستخدام نظام المعلومات لدى أكاديمية أكسفورد. وينبغي على أكاديمية أكسفورد وضع آلية للتحكم ومراقبة استخدام الإنترنت بما في ذلك حجب الوصول إلى فئات معينة من المواقع الإلكترونية (مثل المواقع الإباحية). ويكون الحجب بالتوازي مع استخدام ضوابط أخرى فنية وإجرائية مثل تسجيل الأنشطة التي يقوم بها المستخدم. ويمكن مراقبة هذه السجلات للتأكد من عدم إساءة استخدام الإنترنت. وستتعقب هذه السجلات استخدام الإنترنت وتراقب محتوى وطبيعة المواقع التي يدخلها المستخدمون.
– لن تقف أكاديمية أكسفورد مكتوفة الأيدي نحو إساءة استخدام الإنترنت، وخصوصاً الأنشطة التي قد تعرضها للملاحقة القضائية أو إجراءات قانونية (ويشمل ذلك الإباحية، ومضايقة الأشخاص). وستتخذ أكاديمية أكسفورد الإجراءات التأديبية المناسبة والتي قد تصل إلى فصل الموظف، في حالة قيام المستخدم بأي أنشطة غير قانونية، فإن أكاديمية أكسفورد تحتفظ بحقها بالتبليغ عن هذه الأنشطة إلى السلطات التنظيمية أو الحكومية أو القانونية ذات العلاقة.
– تقوم أكاديمية أكسفورد بحجب فئات محددة من المواقع الإلكترونية بناءً على قوائم أو قواعد بيانات معينة. وهذه القوائم أو قواعد البيانات ليست دقيقة وحديثة دائماً. وإذا ما تم الدخول إلى أي موقع إلكتروني غير قانوني أو لا يتعلق بالعمل، فإن ذلك لا يعني أن أكاديمية أكسفورد قد صرحت بالدخول إليه أو اعتبرته مقبولاً. بالتالي، فعلى المستخدمين عدم زيارة مثل تلك المواقع الإلكترونية التي قد تعتبر غير قانونية أو غير أخلاقية أو تتنافى مع مبادئ أكاديمية أكسفورد.