الهدف: ضمان أمن وحماية وسلامة وتوافر وخصوصية المعلومات وأنظمة تكنولوجيا المعلومات عند استخدام مزود خدمة خارجي لتقديم خدمات معينة للجامعة.
النطاق: جميع العقود التي تجريها الجامعة مع مزودي الخدمات الخارجية (مستشارون، محللو أنظمة، مبرمجون، شركات خدمات تقنية).
السياسات العامة:
- اختيار المزود الخارجي.
- إدارة الخدمات الحيوية.
- استمرارية الخدمات.
- تدقيق أنظمة المعلومات.
واجبات الجامعة:
- تحديد المتطلبات.
- التوثيق والتدقيق.
- إدارة المعلومات.
- إدارة الموظفين الخارجيين.
- مراقبة وتقييم الفعالية.
- إدارة الحماية والضوابط.
- الامتثال للعقوبات.
- فصل المهام.
واجبات المزود الخارجي:
- اتفاقية مستوى الخدمة (SLA).
- عدم الإفصاح.
- حظر التعديلات غير المصرح بها.
- تشفير المعلومات.
- كوادر مؤهلة.
- حماية الأنظمة.
- إدارة التغيير.
- خطط استمرارية الأعمال.
- التواصل عند وقوع حادث أمني.
محاكاة عملية:
- التعاقد المقبول (نظام التعليم الإلكتروني):
- تحديد المتطلبات.
- اتفاقية مستوى الخدمة.
- تدقيق مستمر.
- موافقة الفريق الوطني.
- ضمان استمرارية الخدمة.
- النتيجة: إنجاز المشروع بنجاح وأمان، تحسين مستوى الخدمة التعليمية.
- التعاقد غير المقبول (نظام معلومات الطلاب):
- توظيف غير مؤهل.
- فشل الحماية.
- عدم الإبلاغ عن الحوادث.
- عدم الالتزام بإدارة التغيير.
- النتيجة: خروقات أمنية، خطر فقدان البيانات، إنهاء العقد، غرامات.
التوصيات:
- تدقيق صارم.
- تدريب مستمر.
- تعزيز العقوبات.
