المقدمة

هي مجموعة من السياسات والمعايير التي تخص أمن المعلومات والبيانات لتحقيق أفضل الممارسات أمنياً من خلال ضوابط وإجراءات تعمل على تحديد الأدوار والمسؤوليات لتحقيق وتطوير ومراقبة ورفع مستوى كفاءة الأمن السيبراني وأمن وسلامة وتوافريه المعلومات وضمان حماية أنظمة جامعة بغداد من العبث والهجمات السيبرانية.

التعاريف

المصطلح التعريف
المستخدمون الموظفون العاملون في جامعة بغداد بمختلف أصنافهم إضافة الى طلبة الدراسات الأولية والعليا
المخاطر هي كل تهديد يستهدف اي مورد من موارد المعلومات
التحكم بالوصول القواعد والاليات المستخدمة لتقييد الدخول الى ملكية ما او الوصول الى موارد المعلومات
النظام الالكتروني منظومة إلكترونية متكاملة تهدف تحويل العمل العادي من إدارة يدوية الي إدارة باستخدام الحاسب الآلي وذلك بالاعتماد على نظم معلوماتية
البريد الإلكتروني الحساب الذي يمنح للمستخدم ضمن نظام البريد الالكتروني لتمكينه من ارسال واستلام الرسائل الكترونية بشكل فريد
فريق الاستجابة للأحداث السيبرانية

(CERT- Cybersecurity Emergency Response Teams)

 فريق من المختصين مهامه وقاية وحماية البنى التحتية للمعلومات الحيوية ومعالجة الخروقات الأمنية وتوفير الدعم والاسناد الفني ضمن جامعة بغداد في مجال امن المعلومات
فريق تكنولوجيا المعلومات (IT) مجموعة من المختصين في مجال تكنولوجيا المعلومات مهمتها توفير الدعم الفني في مجال الحاسوب ضمن تشكيلهم في الجامعة
سجلات الدخول (LOGS) كافة المعلومات التي تخص تسجيل نشاط المستخدم ضمن النظام
برامج مكافحة الفايروسات برامج مصممة للكشف عن وجود الفيروسات والقضاء عليها والحجر على الملفات التي تم اصابتها بالفايروسات
الصلاحيات هي الاذونات الممنوحة للمستخدمين للدخول واستخدام الموارد المعلوماتية أو الأنظمة وفقاً للحقوق والتراخيص الممنوحة للمستخدم
مدير النظام الموظف المسؤول عن إدارة النظام وخدماته وتطبيق السياسات والضوابط والتعليمات داخل النظام وتوفير الدعم الفني الذي يضمن تطبيق السياسات
مبدأ الامتيازات الأقل (POLP-principle of least privilege) هو مبدأ تقييد وصول المستخدمين فقط إلى البيانات والموارد التي يحتاجونها لأداء وظائفهم اليومية. ويسمى هذا المبدأ أيضًا مبدأ الحد الأدنى من الامتيازات، ومبدأ التحكم في الوصول، ومبدأ السلطة الأقل.
الخوادم جهاز حاسوب ذو مكونات عالية القدرة والكفاءة، مهمته إدارة الموارد المعلوماتية على الشبكة
أمن البيئة المادية معايير وإجراءات الحماية التي تراقب او تحدد الدخول الى مرفق معين بدون صلاحية
ديمومة العمل (RELIABILITY) ضمان الأداء الصحيح لأنظمة الحاسوب
مزودات الطاقة (UPS) جهاز كهربائي يوفر الطاقة الاحتياطية، وحماية المعدات من التلف في حالة انقطاع التيار الكهربائي
النسخ الاحتياطي (BACKUP) عملية نسخ المعلومات على وسائط تخزين من اجل ارجاعها عند التلف أو الضياع أو الحاجة
ملفات مجهولة المصدر هي الملفات المجردة من المعرفات
كلمة المرور هي أداة تحقق سرية، تستخدم للتحكم بالوصول الى موارد معينة
حوادث أمن المعلومات حدث محدد لنظام أو خدمة الكترونية أو حالة شبكة تشير الى حدوث خرق محتمل لسياسة أمن المعلومات أو فشل الضمانات أو موقف غير معرف مسبقاً قد يكون ذا صلة بأمن المعلومات

 

الأدوار والمسؤوليات والواجبات العامة

  1. الجامعة والتشكيل:
  • تطبيق سياسة الأمن السيبراني التي تعتبر الحدود الدنيا للممارسات المتعلقة بأمن وحماية المعلومات داخل الجامعة
  • وضع التعليمات والاجراءات المناسبة لتطبيق السياسة
  • تعميم السياسة على منتسبي الجامعة / التشكيل (موظفين وطلبة)
  • تسمية عضو ارتباط مع فريق الاستجابة للأحداث السيبرانية وفريق تكنولوجيا المعلومات داخل التشكيل والاعلان عن كيفية التواصل معهم
  1. فريق الاستجابة للأحداث السيبرانية:
  • الاستجابة الفورية للخروقات الأمنية قبل أن تسبب أضرار كبيرة، بما في ذلك الضرر ومستوى الخطورة واحتواء الهجمة وجمع الأدلة الالكترونية ومعالجة الخروقات الأمنية واستعادة البيانات واعداد تقرير مفصل عن الحوادث، والتواصل مع أعضاء الارتباط في التشكيلات الجامعة
  1. عضو الارتباط:
  • التواصل المستمر مع فريق الاستجابة للأحداث السيبرانية والتبليغ عند وقوع أي حدث
  1. فريق تكنولوجيا المعلومات:
  • توفير الدعم الفني ضمن التشكيل للممارسات المتعلقة بأمن وحماية المعلومات
  1. مدير النظام:
  • تطبيق السياسات والتعليمات والإجراءات على نظام المعلومات الموجود داخل التشكيل
  • توفير الدعم الفني الكافي الذي يضمن تطبيق السياسة
  1. المستخدمون:
  • قراءة السياسة وفهمها والرجوع اليها عند الحاجة والتقييد بما جاء فيها
  • بذل اقصى الجهود الممكنة لتنفيذ السياسة والتعليمات المتعلقة بها داخل الجامعة
  • التعاون مع فريق الاستجابة للأحداث السيبرانية وفريق تكنولوجيا المعلومات داخل التشكيل والرجوع إليهم عند الحاجة

المصادر:

 

السياسات

أولاً: سياسة الاستخدام المقبول

الهدف: تحديد الاستخدام المقبول لموارد تكنولوجيا المعلومات والأنظمة المرتبطة بها لحماية موظفي جامعة بغداد (المستخدمين) من الاستخدامات والممارسات غير المقبولة التي يمكن أن تعرضهم وتعرض الجامعة للمخاطر بما في ذلك هجمات الفيروسات واختراق الشبكة وأنظمة التطبيقات والخدمات والمسائلة القانونية.

المجال: تنطبق هذه السياسة على جميع مستخدمين ضمن جامعة بغداد.

الإجراءات:

  1. يجب أن يتم استخدام أنظمة وموارد تكنولوجيا المعلومات في جامعة بغداد في جميع الأوقات بطريقة احترافية (بما يتناسب مع المهام المكلف بها المستخدم) وخاضعة للمساءلة.
  2. استخدام برمجيات مرخصة لتحقيق أهداف جامعة بغداد والعمل المناط بها.
  3. يتحمل المستخدمون مسؤولية حماية أي معلومات مستخدمة، مخزنة يمكن الوصول إليها من خلال حسابات المستخدمين الفردية الخاصة بهم في الجامعة من الاستخدام أو الكشف غير المصرح به.
  4. يتحمل المستخدمون مسؤولية الإبلاغ الفوري عن أي سرقة أو خسارة أو كشف غير مصرح به للمعلومات أو ابلاغ عن نقاط ضعف يكتشفونها في الأنظمة أو حوادث سوء استخدام محتملة أو انتهاك لسياسات جامعة بغداد من خلال التواصل مع عضو الارتباط في التشكيل أو فريق الاستجابة للأحداث السيبرانية.
  5. لا يجوز للمستخدمين محاولة الوصول إلى أي بيانات أو برامج موجودة في أي نظام ليس لديهم تصريح أو موافقة كتابية صريحة من مدير النظام عليها.
  6. لا يجوز نسخ البيانات السرية المتعلقة بالأعمال إلى أي وسائط قابلة للإزالة مثل محرك أقراص، فلاش (USB) أو محرك أقراص ثابت خارجي دون استحصال الموافقات الأصولية.
  7. يجب استخدام عناوين البريد الإلكتروني لجامعة بغداد للأغراض العلمية فقط أو المرتبطة بالجامعة ويمنع استخدامها لأغراض شخصية أو وسائل التواصل الاجتماعي أو إرسال رسائل متسلسلة قد تسيء الى سمعة الجامعة.
  8. نظام البريد الإلكتروني هو مورد لجامعة بغداد، ومن المتوقع أن يتم للاستخدام الشخصي العلمي فقط. جميع الرسائل والملفات التي تم إنشاؤها أو إرسالها أو استلامها باستخدام نظام البريد الإلكتروني الخاص بالجامعة ستظل ملكًا للجامعة.
  9. لا يجوز للمستخدمين نشر أي معلومات خاصة بالمستخدمين الآخرين على مواقع التواصل الاجتماعي دون استحصال إذن منهم، كمثال الأسماء والعناوين والصور ومقاطع الفيديو وعناوين البريد الإلكتروني وأرقام الهواتف.
  10. ان تكون كلمة المرور السرية للمستخدم في النظام صعبة التوقع وليست ضمن سلسلة معينة ومتكونة من رموز وأرقام وحروف وحسب ضوابط سياسة كلمات المرور.
  11. أي استثناء يخص هذه السياسة يجب أن يكون مدون بشكل واضح ولا يعتمد الا بعد استحصال موافقة من فريق الاستجابة للأحداث السيبرانية.
  12. يمنع استخدام الموارد الالكترونية الخاصة بجامعة بغداد كأجهزة الحاسوب لغير الغرض المخصص بها كاللهو بالألعاب وبرامج الترفيه
  13. يمنع تنصيب وتشغيل برمجيات أو تطبيقات مشبوهة قد تكون مصابة بالفيروسات، أو الديدان، أو أحصنة طروادة، أو البرامج الاعلانية، أو أي نوع من البرمجيات الخبيثة.
  14. عدم استخدام الشبكة الدولية (الانترنت) داخل جامعة بغداد لغير أغراض العمل.
  15. عدم مسح سجلات الدخول الالكترونية (LOGS) للمستخدمين أو منح أو حجب صلاحيات معينة بدون ترخيص مسبق ومكتوب من قبل الجهات المعنية بالنظام داخل جامعة بغداد.
  16. تحديث برامج مكافحة الفايروسات والبرامج الخبيثة بشكل دوري.
  17. اغلاق المنافذ (PORTS) وحجب الخدمات التي لا حاجة بها، والتي قد تستخدمها البرامج الخبيثة للتسلل الى الأنظمة والوسائط.
  18. اجراء مسح (SCAN) كامل للأجهزة والأنظمة ببرامج مكافحة الفايروسات بصورة دورية.

 

ثانياً: سياسة التحكم في الوصول والأمن المادي

الهدف: تهدف هذه السياسة إلى تحديد الضوابط والمعايير للحفاظ على التحكم في الوصول والأمن المادي لـجامعة بغداد لضمان تأمين وبقاء المعلومات دقيقة وسرية ومتاحة عند الحاجة.

المجال: تنطبق هذه السياسة على جميع مستخدمي جامعة بغداد المصرح لهم بإمكانية الوصول الى نظام معين

الإجراءات:

  1. يتم تسجيل التفاصيل التالية (الاسم، سبب الزيارة، وقت الدخول، وقت الخروج) في حال الدخول الى الأماكن الحساسة مثل مركز البيانات، غرفة الخادم أو المناطق التي يتم فيها الاحتفاظ بالمعلومات الحساسة.
  2. على مدير النظام التأكد بشكل دوري من سجلات الدخول (LOGS) للتأكد من خلوها من أي دخول غير مصرح به او نشاط مشكوك فيه.
  3. على المستخدمين الذين لديهم الصلاحية للوصول إلى أنظمة المعلومات في جامعة بغداد، عدم استخدام أو محاولة الوصول إلى حساب مخصص لأفراد آخرين.
  4. في حال استوجب الأمر انشاء حسابات دخول أنظمة لمستخدمين من خارج الجامعة، فيجب على مدير النظام متابعة أعمالهم بشكل مباشر والتأكد من الصلاحيات الممنوحة وأداء الخدمة المناطة بهم بعد استحصال الموافقات الأصولية.
  5. ضرورة مراجعة حقوق الوصول (الصلاحيات) عندما يقوم موظف في جامعة بغداد بتغيير واجباته ومناصبه أو المنتهية خدماتهم.
  6. تتم الموافقة على منح الوصول إلى موارد أو خدمات تكنولوجيا المعلومات المحددة من قبل مدير النظام مع الأخذ في الاعتبار الأدوار والواجبات الوظيفية التي يؤديها الموظف ومراعاة عدم منح الصلاحيات التي قد تمنح المستخدم القدرة على تجاوز ضوابط النظام بشكل مبالغ فيه.
  7. يفضل أن يتم إيقاف معرف المستخدم مؤقتاً بعد عدد من محاولات تسجيل الدخول (LOG IN) غير الناجحة وخصوصاً للأنظمة الحساسة والمعرضة الى هجمات سيبرانية بصورة مستمرة.
  8. يقتصر الوصول إلى الأنظمة على المستخدمين المصرح لهم، وباستخدام مبدأ الامتيازات الأقل (POLP).
  9. تحقيق أمن البيئة المادية من خلال تقييد الوصول إلى الأماكن الحساسة مثل مركز البيانات، غرف الخوادم أو المناطق التي يتم فيها الاحتفاظ بالمعلومات الحساسة ومنع أي وصول غير مصرح به، ويجب على موظفي جامعة بغداد والزوار الحصول على إذن قبل الدخول إلى هذه الأماكن مع تواجد موظف معتمد معهم، مع مراعاة عدم التخزين فيها أو ادخال مواد قابلة للاحتراق أو خطرة وعدم التواجد فيها الا لأغراض العمل.
  10. تزويد جميع المناطق الآمنة والحساسة بأنظمة فعالة للكشف والانذار عن الحرائق ومعدات مكافحة الحرائق بما يتناسب مع حجم الغرفة وتكون محمية من السرقة والفيضانات والحرارة الزائدة والمخاطر البيئية الأخرى، مع مراعاة فحص مكيفات الهواء للتأكد من فعاليتها بشكل دوري.
  11. تحقيق ديمومة العمل (RELIABILITY) من خلال صيانة مزودات الطاقة (UPS) والمولدات وإجراء الصيانة الوقائية بصورة دورية، وحماية كابلات البيانات وخطوط الطاقة والاتصالات (عن طريق القنوات) من أي ضرر أو تداخل أو اعتراض.

ثالثاً: سياسة إدارة واستجابة حوادث أمن المعلومات

الهدف: تهدف هذه السياسة إلى ضمان الإدارة والمهنية عند التعرض لحوادث أمن المعلومات من أجل تخفيف أو تقليل أي ضرر يلحق بالمستخدمين وأنظمة المعلومات والأجهزة المرتبطة بها في جامعة بغداد.

المجال: جميع المعلومات التي تم إنشاؤها أو تلقيها من خلال جامعة بغداد بأي حالة، سواء كانت مستخدمة في مكان العمل، أو مخزنة على الأجهزة المحمولة والوسائط، أو منقولة من مكان العمل فعليًا أو إلكترونيًا أو يمكن الوصول إليها عن بعد، جميع المستخدمين في جامعة بغداد، أنظمة المعلومات والأجهزة والمكونات ذات الصلة التي تتم إدارتها أو الاحتفاظ بها أو معالجتها بواسطة جامعة بغداد.

أنواع حوادث أمن البيانات:

على مستخدمي جامعة بغداد التعرف على أنواع حوادث أمن البيانات التي تشمل على سبيل المثال:

  1. محاولات الوصول غير المصرح بها الناجحة Successful unauthorized access attempts
  2. الحرمان من الخدمة Denial of service
  3. الاستخدام غير المصرح به للموارد مثل معالجة النظام أو تخزينه Unauthorized use of resources
  4. تغييرات الأنظمة غير المصرح بها Unauthorized systems changes
  5. فقدان المعلومات والمعدات أو سرقتها Information and equipment loss or theft
  6. ظروف غير متوقعة Unforeseen circumstances
  7. الأخطاء البشرية Human errors
  8. هجمات الخصم Adversary attacks

الإجراءات:

  1. ابلاغ عضو الارتباط أو فريق الاستجابة للأحداث السيبرانية عن الحوادث في أسرع وقت ممكن لاتخاذ الإجراءات والتدابير المناسبة والتحقيق في الحادثة.
  2. يحدد فريق الاستجابة للأحداث السيبرانية الإجراءات المتبعة للاستجابة للحوادث بعد استحصال الموافقات الاصولية.
  3. يتحمل جميع مستخدمي المعلومات مسؤولية الإبلاغ عن حوادث الأمن السيبراني الفعلية أو المشتبه فيها أو المهددة أو المحتملة والمساعدة في التحقيقات كما هو مطلوب.
  4. جميع البيانات يجب أن تصنّف حسب فئتها وهي:
  • البيانات العامة: المعلومات التي يمكن تقديمها للعامة أو المخصصة للاستخدام العام دون أن يكون لها أي تأثير سلبي على جامعة بغداد في حال إعلانها.
  • البيانات المحدودة: معلومات ذات طبيعة أكثر حساسية لجامعة بغداد. يجب منح وصول محدود للموظفين الذين يحتاجون إلى هذه المعلومات كجزء من أدوارهم داخل جامعة بغداد.
  • البيانات السرية: المعلومات التي تسبب ضررًا كبيرًا لجامعة بغداد إذا تم انتهاكها أو الكشف عنها، ويجب أن يكون الوصول اليها مقيد للغاية.
  1. تصنيف الحوادث على النحو التالي:
  • الخرق أو الحادث الخطير/الجسيم: تتعامل الخروقات أو الحوادث مع المعلومات السرية على نطاق واسع حيث تكون المخاطر التي تتعرض لها جامعة بغداد عالية.
  • الحوادث الخطيرة إلى حد ما: تتعامل الخروقات أو الحوادث مع المعلومات السرية على نطاق متوسط ​​حيث تكون المخاطر التي تتعرض لها جامعة بغداد متوسطة.
  • أهمية منخفضة/حادث بسيط: تتعامل الحوادث مع البيانات الشخصية أو الداخلية على نطاق فردي أو صغير حيث تكون المخاطر التي تتعرض لها جامعة بغداد منخفضة وبسيطة.
  1. يقوم فريق الاستجابة للأحداث السيبرانية بتقييم الحادث من خلال تقرير رسمي لتحديد ما إذا كان حادثًا مقصوداً أو غير مقصود أو خرقًا داخلياً أو خارجياً، إضافة الى كل المعلومات والتفاصيل الخاصة بالحادثة بما في ذلك من قام بالإبلاغ عن الحادث وما هو تصنيف البيانات المعنية الخ.
  2. الحفاظ على السرية عند وقوع الحادث وإبلاغ الموظفين ذوي العلاقة فقط لمنع الكشف عن البيانات الحساسة.
  3. يجب أن تتضمن إدارة الاستجابة للحوادث الأنشطة التالية:
  • تقييم البيانات واحتوائها واستعادتها: تحليل جميع الحوادث الأمنية، وإنشاء تقرير كامل عن الحادث، إضافة الى تحليل تقييمي كامل للحادثة لتحديد ما إذا كانت مخالفة أم لا.
  • تقييم المخاطر ونطاق الحادث: تخضع جميع الحوادث الأمنية لتحليل كامل للمخاطر والنطاق.
  • الإخطار بالحادث والاتصالات: شمول جميع الحوادث الأمنية الحرجة أو المتوسطة الخطورة على خطط اتصال موثقة مع القيادة العليا.
  • التقييم والاستجابة: تخضع جميع الحوادث الأمنية الحرجة أو الحرجة إلى حد ما لتحليل لاحق للحادث للحصول على التوثيق المناسب والتحليل والتوصية بشأن طرق الحد من المخاطر والتعرض المستقبلي.

 

رابعاً: سياسة النسخ الاحتياطي للبيانات

الهدف: تهدف هذه السياسة الى وضع الضوابط والتدابير المرتبطة بخطط وبرامج النسخ الاحتياطي للبيانات التي تحمي المعلومات الخاصة بـجامعة بغداد والمساعدة في استمرارية الخدمات المرتبطة بالأنظمة.

المجال: تنطبق على جميع معلومات جامعة بغداد وبرامجه وقواعد البيانات والتطبيقات والبرامج وموارد الشبكة.

الإجراءات:

  1. إجراء النسخ الاحتياطي (BACKUP) بانتظام للأنظمة لاستمرارية العمل في حالة أي انقطاع واجراء اختبار دوري للنسخ للتأكد من أنها نعاد بشكل صحيح وآمن ويتم ذلك من قبل الأشخاص المخول لهم فقط.
  2. تخزين نسخ ووثائق ملفات النسخ الاحتياطي في مكان آمن (يفضل استخدام الخزن السحابي المحلي وحسب سرية وأهمية البيانات) مع قابلية استردادها بفترة زمنية مقبولة لضمان ديمومة العمل في النظام.
  3. تثبيت تاريخ النسخ الاحتياطية والمعلومات التي تم نسخها.
  4. الحصول على تصريح من مدير النظام لاستعادة البيانات من وسائط النسخ الاحتياطي والملفات التي من شأنها أن تحل محل البيانات الحالية.
  5. تحديد وتوثيق توفر الأجهزة المهمة ذات السعة والسرعة الكافيتين للنسخ الاحتياطي.

 

خامساً: سياسة أمان الحاسوب

الهدف: توفير بيئة حوسبة آمنة.

المجال: تنطبق هذه السياسة على جميع أجهزة الحاسوب ضمن ممتلكات جامعة بغداد وجميع المستخدمين الذين يسمح لعم باستعمالها او الوصول اليها.

الإجراءات:

  1. إغلاق بشكل مؤقت أجهزة الحاسوب الثابتة والمحمولة عند مغادرة مكان العمل وإغلاقها بالكامل عند نهاية يوم العمل.
  2. يتولى فريق تكنولوجيا المعلومات (IT) او ما يقابله في الهيكل الإداري مسؤولية إدارة ونشر برامج مكافحة الفيروسات لأجهزة الحاسوب.
  3. تقع على عاتق المستخدم مسؤولية إبلاغ فريق تكنولوجيا المعلومات عن أي نشاط ضار وأنشطة شبيهة بالفيروسات.
  4. لا يحق لأي مستخدم تعطيل برنامج مكافحة الفيروسات على جهاز الحاسوب.
  5. عدم زيارة مواقع الويب المشبوهة أو تنصيب برامج مهكرة أو تنزيل ملفات مجهولة المصدر.
  6. في حال التأكد من إصابة جهاز الحاسوب بضرر (كوجود فيروس أو برنامج خبيث)، يجب فصل الجهاز عن أي شبكة مرتبط بها داخل الجامعة ثم مسح كافة الفايروسات او الملفات المشبوهة بمساعدة فريق تكنولوجيا المعلومات قبل الرجوع الى العمل به.
  7. مراجعة جميع الاستثناءات لهذه السياسة بشكل صريح من قبل فريق الاستجابة للأحداث السيبرانية والموافقة عليها من قبل الإدارة وتكون صالحة لفترة محددة، ويجب إعادة تقييمها وإعادة الموافقة عليها إذا لزم الأمر.
  8. تفعيل كلمة المرور الخاصة بالدخول الى جهاز الحاسوب ويتحمل المستخدم المسؤولية في حال الكشف عنها وعدم حفظها بصورة صحيحة.
  9. عدم استخدام وسائط التخزين المتنقلة بدون فحصها ببرامج مكافحة الفايروسات

 

سادساً: سياسة أمن البريد الإلكتروني

الهدف: تحديد أفضل الممارسات لاستخدام نظام البريد الإلكتروني والتأكد من أن المستخدمين على دراية بالاستخدامات المقبولة وغير المقبولة لنظام البريد الإلكتروني الخاص بهم من الناحية الأمنية، وتسليط الضوء على الحد الأدنى من متطلبات الاستخدام الآمن للبريد الإلكتروني.

المجال: تنطبق هذه السياسة على جميع المستخدمين الذين تم منحهم حق الوصول إلى نظام البريد الإلكتروني في الجامعة من خلال امتلاكهم لحساب جامعي ضمن نطاق جامعة بغداد.

الإجراءات:

  1. على المستخدمين عدم فتح المرفقات أو روابط الكترونية من مصادر غير معروفة أو غير موثوقة، مع إجراء فحص الفيروسات على جميع المواد المرسلة أو المستلمة.
  2. على المستخدمين عدم إعادة توجيه رسائل البريد الإلكتروني (FORWARD) تابع لجهة خارجية تلقائيًا إلى نظام البريد الالكتروني الخاص بالجامعة.
  3. لا يجوز للمستخدمين استخدام أنظمة البريد الإلكتروني التابعة لجهات خارجية لممارسة الأعمال المناطة بهم في الجامعة.
  4. الحفاظ على سرية كلمة المرور وعدم تزويد أي شخص اخر بها.
  5. عدم توزيع قوائم تحتوي على عناوين بريدية وكلمات مرورها على المستخدمين وان كانت كلمة مرور مؤقتة.

 

سابعاً: سياسة كلمات المرور

الهدف: حماية مكونات الانظمة من الدخول غير المشروع اليها من خلال وضع معايير لحماية واختيار كلمات مرور فعالة.

المجال: تنطبق هذه السياسة على جميع كلمات المرور داخل أنظمة جامعة بغداد.

الإجراءات:

  1. حماية كلمات المرور وعدم الإفصاح عنها وباي طريقة، ويتحمل المستخدم التبعات المترتبة في حال افشائها.
  2. اخذ الأمور التالية بعين الاعتبار عند اختيار كلمة المرور:
  • ان لا تكون سهلة التخمين، مثل اسم الشخص، او تاريخ ميلاده، او رقم هاتفه الخ
  • ان لا تكون من الكلمات المتداولة بكثرة
  • ان لا تكون مبنية على تسلسل معين كحروف متتابعة او ارقام متسلسلة بشكل منطقي
  • أن تكون مركبة من حروف وأرقام ورموز ويفضل عدم التكرار
  • ان تكون طويلة بشكل كافٍ وحسب ضوابط النظام
  • مراعاة تغييرها بشكل دوري
  • عدم استخدامها في أكثر من حساب ونظام دخول
  1. تصنف كلمات المرور على انها بيانات سرية
  2. في حال وجود شكوك عن حدوث افصاح لكلمة المرور بشكل متعمد أو غير متعمد يجب تغيير كلمة المرور على الفور وابلاغ مدير النظام.
FacebookXLinkedinWhatsappTelegramPrintShortlink