الهدف:

ضمان أمن وسلامة نظام المعلومات المادية في المؤسسة وتقليل أثر المخاطر والتهديدات البشرية والبيئية وغيرها من المخاطر التي تؤثر على سلامتها وسريتها.

المجال:

تغطي هذه السياسة موارد نظام المعلومات المادية المملوكة للمؤسسة، بالإضافة إلى الأمن المادي للعاملين داخل المؤسسة.

تفاصيل السياسة:

قواعد عامة:

أ‌.       تقسيم المناطق الأمنية:

·       المناطق العامة: مناطق يسمح لأي شخص بالتواجد فيها داخل المؤسسة.

·    المناطق المحدودة: مناطق خاصة بالعاملين داخل المؤسسة، ولا يسمح للزوار بدخولها إلا بتصريح أو بطاقة أو تخويل مسبق.

·    المناطق الآمنة: مناطق لا يسمح لأي شخص بالتواجد فيها، حتى العاملين داخل المؤسسة، إلا بصلاحية أو موافقة مسبقة ومكتوبة من الإدارة العليا.

 ب‌.      واجبات المؤسسة (واجبات عامة):

·    وضع ضوابط لكل منطقة: يجب تحديد وتنفيذ ومتابعة الضوابط والتعليمات لكل منطقة من المناطق المذكورة.

·    تعليمات الزوار: وضع تعليمات خاصة بالزوار، تشمل صلاحيات الوصول ومراقبة سلوكهم داخل المؤسسة.

·    حماية مصادر الطاقة: وضع تعليمات لحماية مصادر الطاقة وتوفير مصادر احتياطية للمناطق المهمة.

  ·       نظام إطفاء الحرائق: توفير واختبار أنظمة إطفاء الحرائق بشكل دوري.

 ·    تخزين النسخ الاحتياطية: الاحتفاظ بالوسائط والمعدات الاحتياطية في أماكن آمنة ومتاحة عند الحاجة.

ت‌.    واجبات المؤسسة (إدارة الأصول):

·    تأمين الأصول: يجب أن تكون جميع أصول نظام المعلومات والاتصالات في مناطق آمنة مع التحكم في الوصول.

·    رصد وحماية الأصول: تنفيذ سياسات لرصد وحماية واستخدام وصيانة الأصول داخل وخارج المؤسسة.

 ·       مراعاة ما يلي في إدارة الأصول:

-      موقع المعدات الهامة وكيفية حمايتها.

-      الضمانات الواجب تطبيقها.

ث‌.   واجبات المؤسسة (تعليمات الزوار):

·    مرافقة الزوار: لا يجوز السماح للزوار بالتنقل بحرية في المناطق الحساسة، ويجب مرافقتهم من قبل موظف مخول.

·    تصاريح الزوار: إصدار تصاريح للزوار عند الوصول وتوجيههم إلى غرفة الانتظار أو المسؤول المضيف.

·    إيداع الأجهزة: يُطلب من الزوار إيداع الهواتف والأجهزة المحمولة في الاستقبال.

·    تنظيم الدخول والخروج: ترتيب مسارات الزوار لتجنب المناطق التي تحتوي على معلومات حساسة.

محاكاة لسياسة حماية البيئة المادية في جامعة الفلوجة:

السيناريو:

في جامعة الفلوجة، تم تحديث سياسة حماية البيئة المادية لضمان أمن وسلامة مرافقها وأنظمتها المعلوماتية.

الممارسة المقبولة:

أ‌.       تقسيم المناطق الأمنية:

المكتبة والمناطق العامة: متاحة لجميع الطلاب والزوار.

مكاتب الإدارة والأقسام الأكاديمية: مناطق محدودة، لا يُسمح بالدخول إلا للموظفين والطلاب المصرح لهم.

مركز البيانات (Data Center): منطقة آمنة، لا يُسمح بالدخول إلا لموظفي تقنية المعلومات المصرح لهم وبموافقة مكتوبة من الإدارة العليا.

ب‌.   حماية مركز البيانات:

·       مزود بأجهزة إنذار وكاميرات مراقبة.

·       نظام دخول يعتمد على بطاقات ممغنطة وبصمة الأصبع.

·    ممنوع دخول أي شخص غير مخول، ويتم تسجيل جميع عمليات الدخول والخروج.

ت‌.   إجراءات للزوار:

يجب على الزوار التسجيل عند الاستقبال والحصول على تصريح زيارة.

يرافق الزوار موظف مخول أثناء تواجدهم في المناطق المحدودة.

يُطلب من الزوار إيداع الهواتف والأجهزة المحمولة قبل دخول المناطق الحساسة.

ث‌.   حماية الأصول:

جميع الأجهزة والبرامج مسجلة ومراقبة.

صيانة الأجهزة تتم فقط من قبل موظفين مخولين.

التخلص من الأجهزة القديمة يتم بطريقة آمنة تتوافق مع سياسات الأمن.

الممارسة غير المقبولة:

أ‌.       عدم فصل المناطق الأمنية:

السماح للزوار بالتجول بحرية في جميع أنحاء الجامعة دون مرافقة.

عدم وجود تمييز بين المناطق العامة والمحدودة والآمنة.

ب‌.   ضعف حماية مركز البيانات:

عدم وجود أنظمة مراقبة أو إنذار في مركز البيانات.

ترك أبواب مركز البيانات مفتوحة أو عدم تأمينها بشكل صحيح.

عدم تسجيل عمليات الدخول والخروج من المركز.

ت‌.   إهمال إجراءات الزوار:

عدم تسجيل بيانات الزوار أو إصدار تصاريح لهم.

السماح للزوار بدخول المناطق الحساسة مع أجهزتهم الشخصية دون رقابة.

ث‌.   عدم حماية الأصول:

عدم وجود سجل للأصول أو متابعة لصيانتها.

السماح لأي شخص بصيانة أو نقل الأجهزة دون تخويل.

التخلص من الأجهزة والمعدات دون اتباع إجراءات الأمان، مما قد يؤدي إلى تسرب المعلومات.

النتيجة:

باتباع الممارسات المقبولة، تضمن الجامعة حماية أنظمتها ومعلوماتها الحساسة من التهديدات المحتملة، وتوفر بيئة آمنة للعاملين والطلاب. أما الممارسات غير المقبولة فتؤدي إلى زيادة المخاطر الأمنية وتعرض البيانات والمعلومات الحساسة للسرقة أو الضياع.