سياسة كلمة المرور (Password Policy)
السياسة:
- عندما يتم إنهاء علاقة موظف أو عميل أو شريك لديه صلاحية الوصول إلى أصول (بيانات او معلومات) جامعة القصيم (بشكل مؤقت أو نهائي)، يجب إلغاء جميع الصلاحيات فورا.
- Whenever there is a temporary or a permanent termination of Qassim University’s relationship with an employee, client or partner who has access to Qassim University assets, user access and privileges shall be immediately revoked.
- يجب تغيير كلمة المرور التلقائية عند تفعيل حساب جديد، قبل دخولها إلى بنية جامعة القصيم التحتية وقبل وضعها في بيئة العمل.
- Default passwords shall be changed when new assets are acquired, before connecting it to Qassim University infrastructure and placing it in production environment.
- خلال عملية الدخول إلى انظمة المعلومات الخاصة بجامعة القصيم، كلمة المرور يجب أن لا تظهر على الشاشة. يجب على المستخدم التأكد من أنه غير مراقب وحقل دخول كلمة المرور يعرض رموز (رمز النجمة مثلا) لكل حرف يتم كتابته (إخفاء كلمة المرور).
- During the login procedure on Qassim University information systems, the password shall not be displayed on screen. When typing the password, the user shall make sure that he is not watched and the entry field of password shall display a common symbol (e.g. a star) for every typed character (password masking).
- إقفال اسم المستخدم وانتهاء صلاحية كلمة المرور يجب تعريفها بناء على تصنيف الأصول ومتطلبات الأمان.
- Username locking and password expiry shall be defined based on the assets classification and security requirements.
- يجب على المستخدمين ذوي الامتيازات والمستخدمين العاديين استخدام كلمات مرور مختلفة لكل حساب يملكون صلاحية الوصول إليه. في حالة البنية التحتية لإدارة المستخدمين المركزية. وفي حال الدخول الموحد يجب أن يتم تطبيق التحقق الثنائي للوصول.
- Simple and privileged users, whenever possible, shall use separate passwords for every assets they have access to. In case of a user central management infrastructure (e.g. Single Sign On) the implementation of a two-factor authentication approach shall be considered.
- يجب على المستخدم والمدير إتباع شروط الأمان التالية عند اختيار كلمة المرور:
- يجب ان تكون ثمانية حروف على الأقل.
- يجب أن تشمل حروف (أحرف كبيرة وأحرف صغيرة) وأرقام ورموز.
- كلمة المرور يجب أن لا تشمل كامل أسم المستخدم.
- عدم تفعيل خيار تذكر كلمة المرور.
- User and administrator shall follow the following security characteristics when choosing passwords:
- They shall be at least eight (8) characters long.
- Password shall be combination of alphanumeric characters (both upper and lower case characters) and numbers and symbols.
- Password shall not contain all of the username.
- Remember password option shall not be activated.
- يجب أن يغلق الحساب لمدة 15 دقيقة بعد خمس محاولات دخول خاطئة.
- User account shall be locked for 15 minutes after five unsuccessful attempts.
- على كل مدير نظام من أنظمة المعلومات بجامعة القصيم تغيير كلمة المرور الخاصة به عل الأقل كل 120 يوما.
- For every system manager of IT systems, password change shall be enforced by domain control at least every (120) days.
- على كل مستخدم من مستخدمي أنظمة المعلومات تغيير كلمة المرور الخاصة به عل الأقل كل 180 يوما.
- For every user of IT systems users', password change shall be enforced by domain control at least every (180) days.
- يجب عدم تخزين كلمة المرور على الأنظمة أو يتم نقلها عبر الشبكات الداخلية أو الخارجية بدون أن تكون مشفرة.
- Passwords shall not be stored on systems or transferred over networks (internal or external) without being encrypted.
- كلمات مرور جميع الأصول التي تتطلب تسجيل الدخول يجب تغييرها فورا في حال الاشتباه أو التأكد أن كلمة المرور تم الإفصاح عنها لدى مستخدمين غير مصرح لهم.
- All assets access related passwords shall be changed immediately if there is suspicion or proof that passwords have been revealed to unauthorized users.
استخدام كلمة المرور
- يجب على مستخدمي المعلومات إتباع سياسات أمان جامعة القصيم في اختيار واستخدام كلمة المرور بناء على سياسة إدارة كلمة مرور المستخدم.
Password Use
- Information users shall follow Qassim University security practices in the selection and use of passwords according to User Password Management.
- يجب على مستخدمي المعلومات عدم مشاركة حساباتهم وكلمات المرور الخاصة فيهم مع الآخرين حيث أنهم مسؤولون عن أي نشاطات تصدر من حساباتهم.
- Information users shall not share their username and password with others; thus they will be accountable for any activity associated with their access.
- يجب على مستخدمي المعلومات التحقق من نشاطات حساباتهم التي يظهرها النظام مثل آخر تسجيل دخول، ويتم التبليغ في حال وجود أي نشاطات مشبوهة.
- All Information users shall check the activities of their accounts as reported by the system, i.e. last login times, and report in a timely manner if any abnormal activity found.
نظام إدارة كلمة المرور
- يجب على جامعة القصيم أن تتبنى نظام تفاعلي لإدارة كلمة المرور للتأكد من كفاءة كلمة المرور وتوافقها مع سياسة إدارة كلمة مرور المستخدم.
Password Management System
- Qassim University shall adopt an interactive system for managing passwords in order to ensure the quality of passwords and compliance with User Password Management Policy.