0

‫جامعة األمير سطام بن عبد العزيز‬
‫وثائق نظام إدارة أمن المعلومات‬
‫سياسة أمن االتصاالت‬
‫في‬
‫عمادة تقنية المعلومات والتعليم عن بعد‬

‫جدول المحتويات‬
‫‪ .1‬تفاصيل الوثيقة ‪3........................................................................................‬‬
‫البيانات األساسية ‪3 ................................................................................‬‬ ‫‪1.1‬‬
‫تحرير الوثيقة ‪3 ....................................................................................‬‬ ‫‪1.2‬‬
‫‪ .2‬التح ّكم باإلصدارات ‪4 ....................................................................................................‬‬
‫الموافقة على التغييرات ‪4 ..........................................................................‬‬ ‫‪2.1‬‬
‫التوزيع ‪4 ...........................................................................................‬‬ ‫‪2.2‬‬
‫‪ .3‬األهداف ‪5 ................................................................................................................‬‬
‫‪ .4‬النطاق ‪5................................................................................................‬‬
‫‪ .5‬االستثناءات ‪6...........................................................................................‬‬
‫‪ .6‬إنفاذ السياسة واالنتهاكات ‪6 .............................................................................................‬‬
‫‪ُ .7‬ملكية الوثيقة ‪6 ............................................................................................................‬‬
‫‪ .8‬األدوار ومجاالت المسئولية ‪7 .........................................................................................‬‬
‫‪ .9‬اإلطار العام للسياسة أمن األتصاالت ‪8 ..............................................................................‬‬
‫إدارة ضوابط الشبكة‪8 .............................................................................‬‬ ‫‪9.1‬‬
‫حماية خدمات الشبكة ‪8 ............................................................................‬‬ ‫‪9.2‬‬
‫تقسيم الشبكات ‪8 ...................................................................................‬‬ ‫‪9.3‬‬
‫سياسات وإجراءات تبادل المعلومات ‪9 ...........................................................‬‬ ‫‪9.4‬‬
‫اتفاقيات تبادل المعلومات ‪9 ........................................................................‬‬ ‫‪9.5‬‬
‫تبادل الرسائل اإللكترونية ‪9 .......................................................................‬‬ ‫‪9.6‬‬
‫اتفاقيات الحفاظ على السرية ‪10 ..................................................................‬‬ ‫‪9.7‬‬
‫‪ .10‬المالحق ‪11 ...........................................................................................‬‬
‫‪ 10.1‬المصطلحات واالختصارات ‪11 ..................................................................‬‬
‫‪ 10.2‬االختصارات ‪13 ...................................................................................‬‬
‫صفحة ‪2‬‬ ‫داخلي‬

‫‪ .1‬تفاصيل الوثيقة‬
‫‪ 1.1‬البيانات األساسية‬
‫جامعة األمير سطام بن عبد العزيز‬

‫المؤسسة‬
‫عمادة تقنية المعلومات والتعليم عن بعد‬
‫سياسة أمن االتصاالت‬ ‫العنوان‬
‫فريق نظام إدارة أمن المعلومات‬ ‫جهة اإلصدار‬
‫‪ 25‬يونيو ‪2015‬‬ ‫تاريخ اإلصدار‬
‫‪ ‬عام ‪ ‬داخلي ‪ ‬محظور ‪ ‬سري‬ ‫التصنيف األمني‬
‫اإلصدار رقم ‪1‬‬ ‫رقم النسخة‬
‫‪13‬‬ ‫عدد الصفحات‬
‫‪ 1.2‬تحرير الوثيقة‬
‫مالحظات‬ ‫التاريخ‬ ‫راجعها‪ /‬اعتمدها‬ ‫نوع النسخة‬ ‫االسم‪ /‬اإلدارة‬ ‫النسخة‬
‫مأمون السعيد‬
‫‪ 25‬يونيو ‪2015‬‬ ‫مسوّدة‬ ‫‪0.1‬‬
‫(مستشار أمن معلومات)‬

‫‪ .2‬التح ّكم باإلصدارات‬

‫‪ 2.1‬الموافقة على التغييرات‬
‫ال يجوز االطالع على هذه الوثيقة‪ ،‬أو طباعتها أو توزيعها إال من قبل الموظفين‬
‫المفوضين فقط‪ .‬وينبغي مراجعة أية تغييرات عليها واعتمادها من قبل مدير نظام إدارة أمن‬
‫المعلومات‪.‬‬
‫‪ 2.2‬التوزيع‬
‫ال يجوز االطالع على هذه الوثيقة‪ ،‬أو طباعتها أو توزيعها إال من قبل الموظفين‬
‫المفوضين فقط‪ .‬يجب العمل باستمرار على إدراج الجهات التي تحصل على نسخة من‬
‫هذه الوثيقة ضمن الجدول المبين أدناه‪.‬‬
‫التوقيع‬ ‫المستلم‪ /‬اإلدارة‬ ‫رقم النسخة‬

‫عميد تقنية المعلومات والتعليم عن بعد‬ ‫‪.1‬‬
‫مدير أدارة المشاريع‬ ‫‪.2‬‬
‫رئيس قسم التطبيقات وقواعد البيانات‬ ‫‪.3‬‬
‫مدير قسم مركز البيانات‬ ‫‪.4‬‬
‫قسم أنظمة التشغيل والشبكات‬ ‫‪.5‬‬
‫قسم خدمات تقنية المعلومات والدعم‬ ‫‪.6‬‬
‫قسم أمن تقنية المعلومات‬ ‫‪.7‬‬

‫‪ .3‬األهداف‬
‫تهدف سياسة أمن االتصاالت إلى ضمان االلتزام بالتشغيل الصحيح واآلمن لتسهيالت‬
‫معالجة المعلومات لتقليص الخطر الناجم عن تعطل النظام‪ ،‬وحماية سرية ودقة وتوافر‬
‫األصول المعلوماتية لعمادة تقنية المعلومات والتعليم عن بعد في جامعة األمير سطام بن‬
‫عبد العزيز‪ .‬كما تنطوي هذه السياسة عل ى إرشادات وتوجيهات مقترحة ترمي إلى ضمان‬
‫حماية تشغيل الشبكة وتبادل المعلومات في بيئة الجامعة‪.‬‬
‫فيما يلي أهداف مشروع إدارة نظام إدارة أمن المعلومات ومجهودات أمن المعلومات التي‬
‫تقوم بها عمادة تقنية المعلومات والتعليم عن بعد‪.‬‬
‫‪ ‬إرساء قواعد المسؤولية والمساءلة عن أمن المعلومات في العمادة‪.‬‬
‫‪ ‬التأكّد من أن لدى موظفي عمادة تقنية المعلومات والتعليم عن بعد توعية سليمة‬
‫ف لمسؤولياتهم على صعيد أمن‬ ‫واهتماماً بأمن أنظمة المعلومات؛ وتقدير كا ٍ‬
‫المعلومات‪.‬‬
‫‪ ‬التأكّد من قدرة عمادة تقنية المعلومات والتعليم عن بعد على التعامل مع مخاطر‬
‫أمن المعلومات وخفضها‪.‬‬
‫‪ ‬التأكّد من قدرة عمادة تقنية المعلومات والتعليم عن بعد على مواصلة تقديم‬
‫خدماتها الحيوية بأسلوب يتسم باالحترافية والتنظيم ومراعاة الجوانب األمنيّة‪.‬‬
‫‪ ‬التأكّد من مواصلة امتثال عمادة تقنية المعلومات والتعليم عن بعد للقوانين واللوائح‪،‬‬
‫والسياسات الداخلية بما في ذلك معيار األيزو ‪.27001:2013‬‬
‫‪ ‬التأكّد من تطبيق آليات التحكّم المطلوبة لحماية سرية وتكامل وتوافر األصول‬
‫المعلومات لعمادة تقنية المعلومات والتعليم عن بعد‪.‬‬
‫‪ .4‬النطاق‬
‫تنطبق هذه السياسة على جميع عمليات ومهام تقنية المعلومات بعمادة تقنية‬
‫المعلومات والتعليم عن بعد‪ ،‬وعلى جميع مستخدمي األصول المعلوماتية بما في ذلك‬
‫الموظفين الموقّتين والدائمين في العمادة‪ ،‬وأعضاء هيئة التدريس‪ ،‬والعمالء‪،‬‬
‫واالستشاريين‪ ،‬والموردين‪ ،‬وشركاء العمل والموظفين التابعين للمقاولين؛ بغض النظر عن‬
‫الموقع الجغرافي‪.‬‬
‫تشمل هذه السياسة على جميع األنظمة واألصول المعلومات لتقنية المعلومات بعمادة‬
‫تقنية المعلومات والتعليم عن بعد‪ ،‬سواء أكانت تُدار من قبل العمادة أو من قبل طرف ثالث‪،‬‬
‫بما في ذلك‪ ،‬على سبيل المثال ال الحصر‪:‬‬
‫‪ ‬أجهزة الخادم‪ ،‬ومحطات العمل وجميع معدات البنية التحتية للحاس اآللي‪.‬‬
‫‪ ‬البنية التحتية للشبكة ومعداتها‪.‬‬
‫‪ ‬برمجيات وتطبيقات تقنية المعلومات‪.‬‬
‫‪ ‬المعلومات أو البيانات اإللكترونية المخزّنة في الملفات وقواعد البيانات والوثائق‬
‫الورقية‪.‬‬
‫‪ ‬جميع موظفي ومستخدمي تقنية المعلومات‪.‬‬

‫‪ .5‬االستثناءات‬
‫قد تنشأ حاالت استثنائية أو طارئة تحول دون تطبيق جزء أو أجزاء من هذه السياسة‪.‬‬
‫وفي مثل هذه الحالة‪ ،‬ينبغي تقديم طلب استثناء رسمي مشفوعاً بالمبررات‪ ،‬إلى مدير‬
‫نظام إدارة أمن المعلومات‪ ،‬والذي يبادر بتقييم الطلب‪ ،‬والبحث في البدائل المجدية‪ ،‬واتخاذ‬
‫القرار المالئم‪.‬‬
‫‪ .6‬إنفاذ السياسة واالنتهاكات‬

‫يتعين على جميع اإلدارات بعمادة تقنية المعلومات والتعليم عن بعد والموظفين‬
‫والمقاولين والموردين والشركاء‪ ،‬االلتزام الثابت والمتواصل بقواعد وسياسات هذه‬
‫السياسة‪.‬‬
‫وعلى رؤساء أقسام تقنية المعلومات بالعمادة تقنية المعلومات والتعليم عن بعد التأكّد من‬
‫المراقبة الدائمة لاللتزام به ضمن األقسام التي تقع تحت مسؤوليتهم‪ .‬يخضع االلتزام‬
‫بالقواعد الواردة في هذه السياسة للمراجعة الدورية من قبل مدير نظام إدارة أمن‬
‫المعلومات‪ ،‬ومن شأن عدم االلتزام باإلطار العام له أن ُيسفر عن القيام بإجراءات تصحيحية‬
‫قد تشمل تطبيق إجراءات انضباطية‪ ،‬على أن تكون هذه اإلجراءات متوافقة مع درجة‬
‫المخالفة‪ ،‬وقد تشمل على سبيل المثال ال الحصر‪:‬‬
‫توجيه إنذار شفوي‪.‬‬ ‫‪‬‬

‫إنهاء العقد‪.‬‬ ‫‪‬‬
‫اتخاذ إجراءات قانونية‪.‬‬ ‫‪‬‬
‫‪ُ .7‬ملكية الوثيقة‬

‫يتولى مدير نظام إدارة أمن المعلومات ُملكيّة هذه الوثيقة‪ ،‬وينبغي الحصول على‬
‫موافقته الصريحة على أية تغييرات أو تحديثات على هذه الوثيقة‪.‬‬

‫‪ .8‬األدوار ومجاالت المسئولية‬
‫مجال المسئوليات‬ ‫الدور‬

‫وضع وتحديد إجراءات مناسبة لتداول‪ ،‬ومعالجة‪ ،‬وتخزين وتعميم المعلومات‪.‬‬ ‫‪‬‬
‫تحديد األدوار والمسئوليات األمنيّة لكل اتفاقية من اتفاقيات مستوى الخدمة‪.‬‬ ‫‪‬‬
‫التدقيق على دخول الطرف الثالث من حيث االنتهاكات األمنية‪ ،‬أو إساءة االستخدام‬ ‫‪‬‬ ‫مسئول أمن المعلومات‬
‫وتقييم االحتياجات‪.‬‬
‫المراقبة األمنية للنظام‪ /‬التطبيق‪ /‬الشبكة‪.‬‬ ‫‪‬‬
‫تركيب البنية التحتية الحيوية ألمن المعلومات (مثل البنية التحتية لبرامج مكافحة‬ ‫‪‬‬
‫الفيروس)‬
‫تصميم وتطبيق أمن الشبكة والنظام‪.‬‬ ‫‪‬‬
‫تطبيق ضوابط مالئمة لحماية سرية ودقة وصحة المعلومات الحساسة‪.‬‬ ‫‪‬‬
‫عمادة تقنية المعلومات‬
‫تنسيق االستجابة لالنتهاك الفعلية‪ ،‬أو التي ُيشك بحدوثها‪ ،‬لسرية‪ ،‬أو دقة‪ ،‬أو توافر‬ ‫‪‬‬
‫نظم المعلومات الحيوية‪.‬‬
‫التحقيق في انتهاكات الضوابط‪ ،‬وتطبيق ضوابط تعويضية إضافية عند الضرورة‪.‬‬ ‫‪‬‬
‫تطبيق ضوابط مالئمة لحماية وضبط معلومات نظم األتمتة‪.‬‬ ‫‪‬‬
‫تطبيق التغييرات وتركب برامج إصالح النظم (‪ )Patching‬على النظم‪ /‬التطبيقات‪/‬‬ ‫‪‬‬
‫الشبكة وفقا إلجراءات إدارة التغيير وإجراءات إدارة برامج إصالح النظم (‪)Patch‬‬
‫المشاركة في تحديد األدوار والمسئوليات األمنية المطلوبة التفاقيات مستوى الخدمة‬ ‫‪‬‬
‫واتفاقيات تبادل المعلومات‪.‬‬ ‫وحدة المشروع‬
‫إدارة العالقة مع الطرف الثالث‪.‬‬ ‫‪‬‬
‫تحديد حقوق دخول مستخدمي المعلومات إلى األصول المعلوماتية الموجودة على‬ ‫‪‬‬ ‫مالك األصل‬
‫نظم المعلومات‪.‬‬
‫االلتزام بسياسات‪ ،‬وإرشادات وإجراءات أمن المعلومات المتعلقة بحماية المعلومات‪.‬‬ ‫‪‬‬ ‫المستخدم ‪ /‬الموظف‬
‫إبالغ عمادة تقنية المعلومات بالحوادث األمنية الفعلية أو تلك التي تثير الشكوك‪.‬‬ ‫‪‬‬

‫‪ .9‬اإلطار العام للسياسة أمن االتصاالت‬

‫‪ 9.1‬إدارة ضوابط الشبكة‬
‫تتولى عمادة تقنية المعلومات والتعليم عن بعد وضع وتطبيق تدابير احتياطية من أجل‪:‬‬ ‫‪‬‬
‫ضمان سرية ومصداقية المعلومات الحساسة التي يتم تبادلها عبر الشبكات العمومية‪.‬‬ ‫أ‪.‬‬
‫حماية نظم السيطرة واألتمتة والتطبيقات المربوطة‪.‬‬ ‫ب‪.‬‬
‫الحفاظ على توافر خدمات الشبكات والحاسبات اآللية المربوطة بها‪.‬‬ ‫ج‪.‬‬
‫يحظر على كافة أعضاء الهيئة التدريسية والموظفين‪ ،‬والطالب في الجامعة والمقاولين‬ ‫‪‬‬
‫واالستشاريين والزوار ربط أي جهاز (حاسب شخصي‪ ،‬حاسب نقال‪ ،‬جهاز شبكة‪ ،‬مودم‪ ،‬أو‬
‫غير ذلك) بشبكة ال جامعة دون الحصول على إذن أو موافقة من عمادة تقنية المعلومات‬
‫والتعليم عن بعد طبقا لإلجراءات المعتمدة‪.‬‬
‫‪ 9.2‬حماية خدمات الشبكة‬

‫تتولى عمادة تقنية المعلومات والتعليم عن بعد توفير الحماية كال البنية التحتية لشبكة‬ ‫‪‬‬
‫الجامعة من خالل تطبيق التدابير والخصائص األمنيّة المناسبة للشبكات‪ .‬ونورد من بين هذه‬
‫الخصائص ما يلي‪ ،‬وذلك على سبيل المثال ال الحصر‪:‬‬
‫التقنية المستخدمة في توفير األمن لخدمات الشبكة‪ ،‬كالمصادقة والتشفير وآليات التحكم‬ ‫أ‪.‬‬
‫بوصالت الشبكة‪.‬‬
‫الخصائص الفنية (‪ )Parameters‬للشبكة والمطلوبة للربط اآلمن مع خدمات الشبكة وفقا‬ ‫ب‪.‬‬
‫للقواعد األمنيّة وقواعد الربط بالشبكة‪ ،‬ومنها الجدران النارية‪ ،‬الشبكة الخاصة االفتراضية‬
‫(‪ ،)VPN‬ونظم كشف التسلل‪ /‬نظم منع التسلل‪.‬‬
‫إجراءات استخدام خدمات الشبكة لوضع القيود على الوصول إلى خدمات أو تطبيقات‬ ‫ج‪.‬‬
‫الشبكة‪ ،‬أينما كان هناك ضرورة للقيام بذلك‪.‬‬
‫‪ 9.3‬تقسيم الشبكات‬
‫يتعين تقسيم شبكة نظم معلومات الخاصة بالجامعة إلى قطاعات‪ ،‬ومناطق‪ ،‬ومجاالت‬ ‫‪‬‬
‫منطقية وفقاً للمعايير التالية‪ ،‬والتي نوردها على سبيل المثال ال الحصر‪:‬‬
‫متطلبات الدخول (مثل‪ :‬اإلدارة‪ ،‬هيئة التدريس‪ ،‬الموظفين‪ ،‬تقنية المعلومات‪ ،‬الطالب)‪.‬‬ ‫أ‪.‬‬
‫تكلفة استخدام التقنية المالئمة‪ ،‬واآلثار المترتبة على األداء‪.‬‬ ‫ب‪.‬‬
‫قيمة وتصنيف المعلومات المخزنة أو التي يتم معالجتها في الشبكة (الحرجة‪ ،‬والحساسة)‪.‬‬ ‫ج‪.‬‬
‫مستوى الثقة (مثال‪ :‬موثوق‪ ،‬إنترنت‪ ،‬المنطقة غير المؤ ّمنة ‪.)DMZ‬‬ ‫د‪.‬‬
‫خطوط العمل (مثل‪ :‬خدمات‪ ،‬دعم)‪.‬‬ ‫ه‪.‬‬
‫يتعين فصل الشبكة الداخلية عن الشبكة الخارجية باستخدام ضوابط محيطية أمنية‬ ‫‪‬‬
‫مختلفة خاصة بكل شبكة من الشبكات‪.‬‬

‫‪ 9.4‬سياسات وإجراءات تبادل المعلومات‬

‫يجب وضع ضوابط رسمية تعتمد على أهمية المعلومات‪ ،‬وذلك لحماية تبادل المعلومات عبر‬ ‫‪‬‬
‫وسائل االتصاالت‪ .‬كما يجب العمل على توفير حماية مناسبة لعمليات تبادل المعلومات‬
‫السرية‪.‬‬
‫على كافة المستخدمين إنشاء‪ ،‬وتخزين‪ ،‬وتعديل‪ ،‬ونسخ‪ ،‬وحذف‪ ،‬أو إتالف البيانات‬ ‫‪‬‬
‫(اإللكترونية أو المطبوعة) بشكل يتوافق مع سياسات الجامعة‪ ،‬ويؤدي إلى ضبط‪ ،‬وحماية‬
‫سرية‪ ،‬ومصداقية وتوافر مثل هذه البيانات‪.‬‬
‫يتعين على مالكي المعلومات ضمان استخدام واتباع آليات مالئمة لحماية عملية تبادل‬ ‫‪‬‬
‫المعلومات الخاصة بهم‪.‬‬
‫يجب وضع وإدامة سياسات وإجراءات ومعايير رسمية تكفل حماية الوسائط المادية أثناء‬ ‫‪‬‬
‫نقلها إلى خارج مباني الجامعة‪ ،‬من الدخول غير المصرح به أو إساءة االستخدام أو تعرضها‬
‫للتلف‪.‬‬
‫‪ 9.5‬اتفاقيات تبادل المعلومات‬

‫قبيل تبادل األصول المعلوماتية مع أطراف خارجية‪ ،‬يجب أن يتم التوصل مع هذه األطراف‬ ‫‪‬‬
‫إلى اتفاقية مستوى خدمة رسمية تنطوي على ضوابط أمنية كافية‪ .‬وتتضمن هذه االتفاقية‬
‫ما يلي وذلك على سبيل المثال ال الحصر‪:‬‬
‫مسئوليات اإلدارة‬ ‫أ‪.‬‬
‫التبادل اليدوي واإللكتروني‬ ‫ب‪.‬‬
‫حساسية معلومات العمل التي يجري تبادلها‬ ‫ج‪.‬‬
‫متطلبات الحماية‬ ‫د‪.‬‬
‫متطلبات اإلبالغ‬ ‫ه‪.‬‬
‫معايير التجميع واإلرسال‬ ‫و‪.‬‬
‫تحديد الجهة الناقلة‬ ‫ز‪.‬‬
‫المسئوليات وااللتزامات‬ ‫ح‪.‬‬
‫ُملكية البيانات والبرامج‬ ‫ط‪.‬‬
‫مسئوليات وتدابير الحماية‬ ‫ي‪.‬‬
‫متطلبات التشفير‬ ‫ك‪.‬‬
‫‪ 9.6‬تبادل الرسائل اإللكترونية‬

‫يجب وضع ضوابط لحماية عمليات تبادل الرسائل اإللكترونية من الدخول غير المصرح به‪ ،‬أو‬ ‫‪‬‬
‫التعديل أو حجب الخدمة‪.‬‬

‫‪ 9.7‬اتفاقيات الحفاظ على السرية‬

‫يجب العمل على تحديد المتطلبات المتعلقة بالتزامات السرية أو عدم اإلفشاء (تلك‬ ‫‪‬‬
‫المتعلقة بأعضاء هيئة التدريس وموظفي الجامعة وأي طرف ثالث) ومراجعتها بانتظام‪ .‬ومن‬
‫هنا فإنه يتعين على عمادة تقنية المعلومات والتعليم عن بعد بالتعاون مع شؤون الموظفين‬
‫وإدارة الخدمات القانونية القيام بما يلي‪:‬‬
‫تحديد المعلومات التي ستتم حمايتها ومستوى السرية المطلوب‪.‬‬ ‫أ‪.‬‬
‫بيان المدة الزمنية المتوقعة لاللتزام‪.‬‬ ‫ب‪.‬‬
‫تحديد شروط إعادة أو إتالف المعلومات بعد انتهاء االلتزام‪.‬‬ ‫ج‪.‬‬
‫تحديد المسئوليات والمتطلبات المتعلقة بالمفوضين بالتوقيع بغية الحيلولة دون نشر‬ ‫د‪.‬‬
‫المعلومات دون تفويض‪.‬‬
‫نشر العقوبات التي ستطبق في حالة عدم احترام المستخدم لاللتزام‪.‬‬ ‫ه‪.‬‬
‫يجب على اتفاقيات السرية أو عدم اإلفشاء‪ ،‬أن تتضمن شروطا قانونية قابلة للتطبيق‬ ‫‪‬‬
‫لتلبية متطلبات حماية األصول المعلوماتية في الجامعة‪.‬‬

‫‪ .10‬المالحق‬
‫المصطلحات واالختصارات‬ ‫‪10.1‬‬
‫التعريف‬ ‫‪Term‬‬ ‫المصطلح‬

‫مبدأ أمني يدل على وجوب تحديد األشخاص وتحميلهم‬ ‫‪Accountability‬‬ ‫مساءلة‬
‫مسؤولية تصرفاتهم‪.‬‬
‫تحدد حقوق دخول (أو امتيازات الدخول) المستخدم إلى‬ ‫‪Access Rights / Privileges‬‬ ‫حقوق‪ /‬امتيازات‬
‫أصل معلوماتي اإلجراءات التي ُيسمح للمستخدم القيام‬ ‫الدخول‬
‫بها عند الدخول إلى األصل المعلوماتي‪.‬‬
‫األصل كل ما له قيمة بالنسبة للمؤسسة‪.‬‬ ‫‪Asset‬‬ ‫أصل‬
‫الشخص أو الجهة المفوّضة باتخاذ قرارات فيما يتعلق‬ ‫‪Asset Owner‬‬ ‫مالك األصل‬
‫باألصل‪.‬‬
‫الملف حيث يتم تسجيل األحداث التي تجري في‬ ‫)‪Audit Logs (log files‬‬ ‫سجل التدقيق (ملفات‬
‫النظام‪.‬‬ ‫األنشطة)‬
‫ضمان بان الطرف هو‪/‬هي بالفعل من هو الشخص‬ ‫‪Authenticity‬‬ ‫أصالة‬
‫المزعوم‪.‬‬
‫خاصية إتاحة الدخول واالستخدام عند الحاجة من قبل‬ ‫‪Availability‬‬ ‫توافر‬
‫جهة مفوّضة‪.‬‬
‫إحدى عمليات العمل حيث يتم التنبؤ بعواقب الخسارة‬ ‫‪Business Impact Analysis‬‬ ‫تحليل اآلثار على العمل‬
‫المحتملة لسرية األصل أو تكامله أو توافره‪.‬‬
‫خاصية عدم توفير المعلومات أو إفشائها إلى أشخاص‪ ،‬او‬ ‫‪Confidentiality‬‬ ‫سرية‬
‫جهات أو عمليات غير مفوّضة‪.‬‬
‫وسيلة إلدارة المخاطر‪ ،‬بما في ذلك السياسات‪،‬‬ ‫)‪Control (measure‬‬ ‫آلية تحكّم (احتياطات)‬
‫واإلجراءات‪ ،‬واإلرشادات ‪...‬إلخ‪ ،‬وتكون ذات طبيعة إدارية أو‬
‫تقنية أو قانونية‪.‬‬
‫اإلخفاء ضمن سياق هذا الكتيّب‪ ،‬هو النظام الكلي الذي‬ ‫‪Cryptography‬‬ ‫إخفاء‬
‫يدعم ويدير تشفير وفك تشفير المعلومات‪.‬‬
‫تحويل النص القابل للقراءة إلى صيغة غير مقروءة‪.‬‬ ‫‪Encryption‬‬ ‫تشفير‬
‫أي حدث (نشاط) تتوفر فيه القدرة على اإلضرار بأمن‬ ‫‪Incident‬‬ ‫حادثة‬
‫أصل أو أكثر من أصول المؤسسة‪.‬‬
‫عملية ترتيب المعلومات وفقاً ألهميتها بالنسبة للعمل‪.‬‬
‫‪Information Classification‬‬ ‫تصنيف المعلومات‬
‫أي نظام أو خدمة أو بنية تحتية لمعالجة المعلومات‪ ،‬أو‬
‫‪Information Processing‬‬ ‫تسهيالت‪/‬مرافق‬
‫الموقع الذي يحتويها‪.‬‬
‫‪Facilities‬‬ ‫معالجة المعلومات‬
‫‪ Information Security‬المحافظة على سرية وتكامل وتوافر المعلومات؛ كما‬ ‫أمن المعلومات‬
‫يمكن أن تشترك في ذلك خصائص أخرى مثل األصالة‪،‬‬
‫المساءلة‪ ،‬عدم التنصّل‪ ،‬والموثوقية‪.‬‬
‫توليد وتخزين معلومات محددة بخصوص أنشطة (أحداث)‬ ‫)‪Logging (Event Logging‬‬ ‫تسجيل (تسجيل‬
‫جرت على النظام‪.‬‬ ‫األحداث)‬
‫برنامج ُيستخدم في التشويش على تشغيل الحاسب‬ ‫)‪Malware (malicious code‬‬ ‫برنامج خبيث‬
‫اآللي‪ ،‬وجمع معلومات حساسة‪ ،‬أو الحصول على دخول‬ ‫(رموز برمجية خبيثة)‬
‫غير مصرح به إلى أنظمة الحاسب االلي‪.‬‬
‫محاولة منضبطة الختراق نظام الحاسب االلي‪ ،‬ومحاكاة‬ ‫‪Penetration Testing‬‬ ‫اختبار اختراق‬
‫الطرق والتقنيات التي ينفذها المخترق ذو النوايا السيئة‪،‬‬
‫من أجل تحديد كيفية قيام المهاجم الحقيقي باختراق‬
‫النظام؛ وما هو الضرر الذي يمكن أن يتسبب به‪.‬‬

‫التعريف‬ ‫‪Term‬‬ ‫المصطلح‬

‫خطة عمل لتوجيه القرارات واإلجراءات‪ .‬وقد ينطبق‬ ‫‪Policy‬‬ ‫سياسة‬
‫المصطلح على القطاع الحكومي‪ ،‬وعلى مؤسسات‬
‫ومجموعات القطاع الخاص‪ ،‬واإلفراد‪ .‬تشمل السياسة‬
‫تحديد البدائل المختلفة‪ ،‬مثل البرامج أو أولويات اإلنفاق‪،‬‬
‫واالختيار من بينها على أساس األثر الذي قد تتركه‪.‬‬
‫الحد األقصى المقبول لخسارة البيانات‪ ،‬مقاساُ بالوقت‪،‬‬ ‫‪Recovery Point Objective‬‬ ‫نقطة االستعادة‬
‫في أعقاب وقوع كارثة‪.‬‬ ‫المستهدفة‬
‫الحد األقصى المرغوب للوقت والذي يسمح به بين‬ ‫‪Recovery Time Objective‬‬ ‫وقت االستعادة‬
‫الفشل غير المتوقّع أو كارثة‪ ،‬واستئناف المستويات‬ ‫المستهدف‬
‫الطبيعية للتشغيل أو الخدمة‪.‬‬
‫الخطر هو مزيج من احتمال وقوع حادث وعواقبه فيما لو‬ ‫‪Risk‬‬ ‫خطر‬
‫وقع‪.‬‬
‫آليات تحكّم أمنية وقائية تقتضي وجود أكثر من شخص‬ ‫‪Segregation of Duties‬‬ ‫الفصل بين الواجبات‬
‫إلنجاز عملية حيوية‪.‬‬
‫ُ‬
‫ذلك الشخص أو الجهة الذي ينظر إليه على أنه مستقل‬ ‫‪Third Party‬‬ ‫طرف ثالث‬
‫عن األطراف المشاركة فيما يختص بالقضية مدار البحث‪.‬‬
‫تهديد يتوفر فيه احتمال التسبب بحادثة غير مرغوب بها‬ ‫‪Threat‬‬ ‫تهديد‬
‫قد تسفر عن اإلضرار بالنظام‪.‬‬
‫وهي عبارة عن ثغرة في أحد األصول‪.‬‬ ‫‪Vulnerability‬‬ ‫نقطة ضعف أمني ّة‬

‫االختصارات‬ 10.2
‫المعنى بالعربي‬ ‫المعنى اإلنجليزي‬ ‫االختصار‬

‫خطة استمرارية األعمال‬ Business Continuity Plan BCP
‫تحليل التأثيرات على العمل‬ Business Impact Analysis BIA
‫دائرة تلفزيونية مغلقة‬ Closed Circuit Television CCTV
‫نظام منع االختراق‬ Intrusion Prevention System IPS
‫فريق االستجابة للحوادث‬ Incident Response Team IRT
‫المنظّمة الدوليّة للمعايير‬ International Standardization Organization ISO
‫لجنة توجيه أمن المعلومات‬ Information Security Steering Committee ISSC
‫نظام إدارة أمن المعلومات‬ Information Security Management System ISMS
‫عمادة تقنية المعلومات والتعليم عن بعد‬ IT and Distance Learning Deanship ITDL
‫تقييم مخاطر‬ Risk Assessment RA
‫نقطة االستعادة المستهدفة‬ Recovery Point Objective RPO
‫زمن االستعادة المستهدف‬ Recovery Time Objective RTO
‫التدريب على التوعية بأمن المعلومات‬ Security Awareness Training SAT
‫اتفاقية مستوى خدمة‬ Service Level Agreement SLA
‫اتفاقية المحافظة على المعلومات السرية‬ Non-Disclosure Agreement NDA
‫الفصل بين الواجبات‬ Segregation of Duties. SoD
‫مصدر للطاقة االحتياطية‬ Uninterruptible Power Supply UPS
13 ‫صفحة‬ ‫داخلي‬

0

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

0

Uploaded by

Copyright:

Available Formats

‫جامعة األمير سطام بن عبد العزيز‬

‫وثائق نظام إدارة أمن المعلومات‬

‫سياسة أمن االتصاالت‬

‫عمادة تقنية المعلومات والتعليم عن بعد‬

‫صفحة ‪2‬‬ ‫داخلي‬

‫جامعة األمير سطام بن عبد العزيز‬

‫سياسة أمن االتصاالت‬ ‫العنوان‬

‫فريق نظام إدارة أمن المعلومات‬ ‫جهة اإلصدار‬

‫‪ 25‬يونيو ‪2015‬‬ ‫تاريخ اإلصدار‬

‫‪ ‬عام ‪ ‬داخلي ‪ ‬محظور ‪ ‬سري‬ ‫التصنيف األمني‬

‫اإلصدار رقم ‪1‬‬ ‫رقم النسخة‬

‫‪13‬‬ ‫عدد الصفحات‬

‫صفحة ‪3‬‬ ‫داخلي‬

‫‪ .2‬التح ّكم باإلصدارات‬

‫التوقيع‬ ‫المستلم‪ /‬اإلدارة‬ ‫رقم النسخة‬

‫مدير أدارة المشاريع‬ ‫‪.2‬‬

‫رئيس قسم التطبيقات وقواعد البيانات‬ ‫‪.3‬‬

‫مدير قسم مركز البيانات‬ ‫‪.4‬‬

‫قسم أنظمة التشغيل والشبكات‬ ‫‪.5‬‬

‫قسم خدمات تقنية المعلومات والدعم‬ ‫‪.6‬‬

‫قسم أمن تقنية المعلومات‬ ‫‪.7‬‬

‫صفحة ‪4‬‬ ‫داخلي‬

‫صفحة ‪5‬‬ ‫داخلي‬

‫‪ .6‬إنفاذ السياسة واالنتهاكات‬

‫توجيه إنذار شفوي‪.‬‬ ‫‪‬‬

‫‪ُ .7‬ملكية الوثيقة‬

‫صفحة ‪6‬‬ ‫داخلي‬

‫‪ .8‬األدوار ومجاالت المسئولية‬

‫مجال المسئوليات‬ ‫الدور‬

‫صفحة ‪7‬‬ ‫داخلي‬

‫‪ .9‬اإلطار العام للسياسة أمن االتصاالت‬

‫‪ 9.2‬حماية خدمات الشبكة‬

‫صفحة ‪8‬‬ ‫داخلي‬

‫‪ 9.4‬سياسات وإجراءات تبادل المعلومات‬

‫‪ 9.5‬اتفاقيات تبادل المعلومات‬

‫‪ 9.6‬تبادل الرسائل اإللكترونية‬

‫صفحة ‪9‬‬ ‫داخلي‬

‫‪ 9.7‬اتفاقيات الحفاظ على السرية‬

‫صفحة ‪10‬‬ ‫داخلي‬

‫التعريف‬ ‫‪Term‬‬ ‫المصطلح‬

‫صفحة ‪11‬‬ ‫داخلي‬

‫التعريف‬ ‫‪Term‬‬ ‫المصطلح‬

‫صفحة ‪12‬‬ ‫داخلي‬

‫المعنى بالعربي‬ ‫المعنى اإلنجليزي‬ ‫االختصار‬

You might also like