الهدف:

تهدف هذه السياسة إلى حماية كافة أنواع المعلومات، بغض النظر عن وسائطها، من الوصول أو الاستخدام أو التغيير أو الإفصاح أو الإتلاف غير المصرح به في جميع مراحل دورة حياتها. ذلك يتم بطريقة تتناسب مع حساسية وأهمية المعلومات.

 تفاصيل السياسة

أ‌.       تعريف المعلومات

تشمل المعلومات المعنية في هذه السياسة جميع أنواع المعلومات، سواءً كانت محفوظة أو متبادلة بالوسائل الإلكترونية أو غير الإلكترونية. تتضمن الوثائق المكتوبة، المحادثات الهاتفية، والاجتماعات المرئية والمسموعة.

يجب أن تضع المؤسسة معايير شاملة للتعامل مع المعلومات وتصنيفها حسب أهميتها وحساسيتها.

ب‌.   آلية التعامل مع المعلومات

• تصنيف جميع المعلومات المملوكة للمؤسسة حسب هذه الوثيقة.
• المعلومات تختلف في مستوى حساسيتها، وبالتالي تحتاج مستويات مختلفة من الحماية.
• إدارة المعلومات تبدأ من إنشائها، مرورًا بالاستخدام المرخص لها، وانتهاءً بإتلافها بشكل مناسب.
• تصنيف المعلومات إلى ثلاث مستويات: "محدود"، "سري"، و"سري للغاية".

ت‌.     تصنيف المعلومات

• سري للغاية: المعلومات التي إذا تم كشفها لغير المصرح لهم قد تؤدي إلى أضرار بالغة على الأمن الوطني.
• سري: المعلومات التي قد تؤدي إلى أضرار بالأمن الوطني عند كشفها لغير المصرح لهم.
• محدود: المعلومات التي ليست للنشر العام ولكن لا يتسبب كشفها بأضرار أمنية مباشرة.

ث‌.   حفظ المعلومات وتداولها وإتلافها

• حفظ المعلومات يجب أن يتوافق مع مستوى تصنيفها.
• تداول المعلومات يجب أن يتم بطريقة تحميها من الوصول غير المرخص.
• إتلاف المعلومات يتم بطريقة تتناسب مع تصنيفها وبما يتوافق مع التشريعات الحكومية.

ج‌.    مسؤولية أمن وحماية المعلومات

• جميع المعلومات في المؤسسة هي مسؤولية كل من يتعامل معها.
• تتحمل الإدارة العليا للمؤسسة المسؤولية النهائية في أمن وحماية المعلومات.

ح‌.    مسؤولية مدير أمن المعلومات

• مراقبة أي خروقات للسياسة ورفع تقارير عنها.
• التأكد من وعي جميع المستخدمين بكيفية تداول المعلومات وحمايتها.

خ‌.    وسم المعلومات

• وضع تعليمات مناسبة لوسم المعلومات لتوضيح مسؤولية حمايتها وتصنيفها.

د‌.      الوعي الخاص بالإفصاح عن المعلومات

• الفهم الصحيح لتصنيف المعلومات يساعد في تطبيق التعليمات المتعلقة بالإفصاح عنها.
• سياسة المقبولة وغير المقبولة لتصنيف المعلومات داخل الجامعة:

أ‌.       المستوى الأول: المعلومات العامة (Public Information)

مثال: المعلومات المتاحة على الموقع الإلكتروني للجامعة مثل أسماء الكليات، الأقسام، والمناسبات العامة.

السياسة المقبولة: يمكن مشاركة هذه المعلومات بحرية داخل الجامعة وخارجها دون قيود.

السياسة غير المقبولة: لا يجب التعامل مع هذه المعلومات بسرية، ولكن لا ينبغي تعديلها أو تحريفها بدون إذن رسمي.

ب‌.     المستوى الثاني: المعلومات الداخلية (Internal Information)

مثال: المراسلات الداخلية بين الأقسام الأكاديمية أو بين أعضاء هيئة التدريس، خطط التدريس، أو مذكرات الاجتماعات غير الحساسة.

السياسة المقبولة: يمكن تبادل هذه المعلومات بين موظفي الجامعة والطلاب حسب الحاجة، ولكن لا يجب مشاركتها مع الجهات الخارجية.

السياسة غير المقبولة: مشاركة هذه المعلومات خارج الجامعة بدون إذن رسمي أو نشرها عبر وسائل التواصل الاجتماعي.

ت‌.    المستوى الثالث: المعلومات السرية (Confidential Information)

مثال: بيانات الطلاب الأكاديمية (مثل الدرجات، السجلات الأكاديمية)، بيانات الموظفين (مثل الرواتب أو التقييمات الشخصية).

السياسة المقبولة: يجب أن تكون هذه المعلومات متاحة فقط للأشخاص المخولين وفقًا لسياسات الأمان الخاصة بالجامعة، مثل إدارة شؤون الطلاب أو الموارد البشرية.

السياسة غير المقبولة: لا يجوز مشاركة هذه المعلومات مع أطراف غير مصرح لها، أو تخزينها على أجهزة غير مؤمنة.

ث‌.   المستوى الرابع: المعلومات الحساسة جدًا (Highly Sensitive Information)

مثال: بيانات الأبحاث السرية أو الخطط الاستراتيجية للجامعة، معلومات مالية حساسة.

السياسة المقبولة: يجب تخزين هذه المعلومات في أنظمة آمنة جدًا، ولا يطلع عليها إلا الأشخاص المصرح لهم بشكل خاص.

السياسة غير المقبولة: مشاركة هذه المعلومات خارج الفريق المصرح له، أو عدم اتباع بروتوكولات الحماية مثل التشفير.

الآلية الصحيحة لتطبيق التصنيف:

أ‌.       تعريف المعلومات: كل قسم يحدد نوع المعلومات التي يتعامل معها.

ب‌.   التصنيف: تصنيف المعلومات بناءً على الحساسية والمستوى الوظيفي.

ت‌.  التوعية: تدريب جميع الموظفين وأعضاء هيئة التدريس على السياسات الخاصة بتصنيف المعلومات.

ث‌.  المتابعة: تطبيق أدوات تقنية لمراقبة تدفق المعلومات، وضمان الالتزام بالسياسات.

هذه المحاكاة تشرح كيفية تنفيذ سياسة تصنيف المعلومات داخل جامعة مثل جامعة الفلوجة، مع تفصيل لما هو مقبول وغير مقبول وفقًا لمستوى المعلومات.