0 من 5
0%

سياسات الأمن السيبراني في STC

الدرس 1 من 5

مرحباً بك في برنامج التأهيل الأمني

تلتزم STC بأعلى معايير الأمن السيبراني لحماية بياناتها وبيانات عملائها. كمتعاقد مع STC، أنت جزء أساسي من منظومة الأمن السيبراني، ويجب عليك الالتزام بجميع السياسات والإجراءات الأمنية.

لماذا الأمن السيبراني مهم؟

  • حماية بيانات العملاء: STC تخدم ملايين العملاء وتحتفظ ببياناتهم الحساسة
  • الالتزام التنظيمي: الامتثال لقوانين حماية البيانات في المملكة
  • استمرارية الأعمال: حماية الأنظمة من التعطل والهجمات
  • السمعة المؤسسية: الحفاظ على ثقة العملاء والشركاء

أنواع السياسات الأمنية (اضغط على البطاقات)

🔐
سياسة أمن المعلومات
تحدد كيفية التعامل مع المعلومات السرية والمحدودة، وتشمل التصنيف والتخزين والمشاركة والإتلاف الآمن.
👤
سياسة التحكم بالوصول
تحكم الوصول إلى الأنظمة والبيانات بناءً على مبدأ "الحد الأدنى من الصلاحيات" - فقط ما تحتاجه لأداء عملك.
💻
سياسة الاستخدام المقبول
تحدد الاستخدام المسموح والمحظور للأجهزة والشبكات والأنظمة التابعة لـ STC.
🚨
سياسة الإبلاغ عن الحوادث
تلزمك بالإبلاغ الفوري عن أي حادثة أمنية أو نشاط مشبوه خلال 24 ساعة كحد أقصى.

التزاماتك كمتعاقد

يجب عليك الالتزام بما يلي:

قراءة وفهم جميع السياسات الأمنية ذات الصلة بعملك
حماية بيانات اعتماد الدخول الخاصة بك (اسم المستخدم وكلمة المرور)
عدم مشاركة صلاحيات الوصول مع أي شخص آخر
استخدام الأجهزة والأنظمة فقط للأغراض المصرح بها
الإبلاغ الفوري عن أي حادثة أمنية أو نشاط مشبوه
عدم تثبيت أي برامج غير معتمدة على أجهزة الشركة

⚠️ تحذير مهم

أي إخلال بالسياسات الأمنية قد يؤدي إلى إنهاء العقد فوراً، وقد تتخذ STC إجراءات قانونية في حالات الإخلال الجسيم.

العقوبات المحتملة (اضغط للعرض)
  • المستوى الأول: إنذار كتابي وإلزام بدورة تدريبية إضافية
  • المستوى الثاني: إيقاف مؤقت عن العمل مع خصم من المستحقات
  • المستوى الثالث: إنهاء العقد فوراً وإدراج في القائمة السوداء
  • المستوى الرابع: اتخاذ إجراءات قانونية والمطالبة بالتعويضات

نموذج التعهد الأمني

✅ أتعهد بما يلي:

"أنا الموقع أدناه، أتعهد بالالتزام الكامل بجميع سياسات وإجراءات الأمن السيبراني في STC، وأدرك أن أي إخلال بهذه السياسات قد يعرضني للمساءلة القانونية والإدارية."

* سيُطلب منك التوقيع على هذا التعهد بعد إكمال الدورة

إدارة الهويات والصلاحيات

الدرس 2 من 5

أهمية إدارة الهويات

حسابك الشخصي هو مفتاح الوصول إلى جميع أنظمة وبيانات STC. حمايته يعني حماية الشركة بأكملها من الاختراقات والهجمات السيبرانية.

أنواع المصادقة

تعرف على الطرق الثلاث الرئيسية للمصادقة:

🔑
1. كلمة المرور
Something You Know
المعلومات السرية التي تعرفها أنت فقط. يجب أن تكون قوية وفريدة لكل نظام.
📱
2. الجهاز
Something You Have
هاتفك المحمول أو جهاز المصادقة الذي يُرسل رمز التحقق أو يولده.
👆
3. البيومترية
Something You Are
بصمة الإصبع، التعرف على الوجه، أو بصمة العين - خصائص فريدة لا يمكن تقليدها.

معايير كلمة المرور القوية

يجب أن تتضمن كلمة المرور الخاصة بك:

12 حرفاً على الأقل
أحرف كبيرة وصغيرة (A-Z, a-z)
أرقام (0-9)
رموز خاصة (!@#$%^&*)
غير مرتبطة بمعلومات شخصية
فريدة لكل نظام (لا تكرر)

💡 نصيحة احترافية

استخدم مدير كلمات المرور (Password Manager) لحفظ كلمات مرور قوية ومختلفة لكل نظام. STC توفر حلول معتمدة لموظفيها.

المصادقة متعددة العوامل (MFA)

MFA هي طبقة حماية إضافية تتطلب أكثر من وسيلة واحدة لتأكيد هويتك. حتى لو سُرقت كلمة مرورك، لن يتمكن المهاجم من الدخول بدون العامل الثاني.

ماذا تفعل إذا تم اختراق حسابك؟

خطوات الطوارئ (اضغط للعرض)
  1. أبلغ فوراً: اتصل بـ Security Operations Center على 8001166550
  2. غيّر كلمة المرور: من جهاز آمن وموثوق
  3. راجع النشاط: تحقق من أي تغييرات أو أنشطة غريبة
  4. أبلغ مديرك: أخطر مديرك المباشر كتابياً
  5. غيّر كلمات المرور الأخرى: خاصة إذا كنت تستخدم نفس كلمة المرور
  6. وثّق الحادثة: املأ نموذج الإبلاغ عن الحوادث

🚫 ممنوع منعاً باتاً

  • مشاركة كلمة مرورك مع أي شخص (حتى زملائك)
  • كتابة كلمة المرور على ورقة أو في مكان ظاهر
  • استخدام نفس كلمة المرور لأكثر من نظام
  • حفظ كلمات المرور في المتصفح على أجهزة مشتركة

التعامل مع البيانات الحساسة

الدرس 3 من 5

مسؤوليتك تجاه بيانات STC

كمتعاقد، قد تحصل على صلاحيات الوصول إلى بيانات حساسة لـ STC وعملائها. حماية هذه البيانات ليست مجرد التزام تعاقدي، بل مسؤولية قانونية وأخلاقية.

تصنيف البيانات في STC

تصنف STC البيانات إلى ثلاثة مستويات بناءً على حساسيتها:

🔴
سرية
Confidential
أمثلة: بيانات العملاء، أرقام البطاقات، الهوية الوطنية، العقود، استراتيجيات التسعير.

الوصول: محدود جداً، بتصريح خاص فقط.
🟡
محدودة
Internal Use
أمثلة: الهيكل التنظيمي، معلومات الموظفين، السياسات الداخلية، تقارير الأداء.

الوصول: للموظفين والمتعاقدين المصرح لهم.
🟢
عامة
Public
أمثلة: الأخبار المنشورة، المنتجات والخدمات، أرقام خدمة العملاء، الموقع الإلكتروني.

الوصول: متاح للجميع بدون قيود.

قواعد التعامل الأساسية

الوصول فقط عند الحاجة: لا تطلع على بيانات لا تحتاجها لأداء عملك
لا تنسخ أو تنزل: لا تحفظ بيانات STC على أجهزتك الشخصية
لا تشارك خارج STC: لا ترسل بيانات عبر بريدك الشخصي أو WhatsApp
احذر الأماكن العامة: لا تفتح بيانات حساسة في المقاهي أو المطارات
أقفل شاشتك: عند مغادرة مكتبك حتى لو لدقيقة واحدة
امسح عند الانتهاء: احذف أي بيانات مؤقتة بعد انتهاء مهمتك

أجهزة التخزين الخارجية (USB)

⛔ سياسة صارمة

ممنوع استخدام USB أو أقراص خارجية شخصية لنقل أو تخزين بيانات STC.

المسموح: فقط الأجهزة المعتمدة والمشفرة من قسم IT بعد تصريح رسمي.

سياسة المكاتب النظيفة (Clean Desk Policy)

ما هي سياسة المكاتب النظيفة؟ (اضغط)

سياسة تلزمك بالتالي عند مغادرة مكتبك:

  • ✅ إقفال الشاشة أو إيقاف تشغيل الجهاز
  • ✅ حفظ جميع المستندات الورقية في الأدراج المقفلة
  • ✅ عدم ترك كلمات المرور مكتوبة في مكان ظاهر
  • ✅ تقطيع أي مستندات لم تعد بحاجة إليها
  • ✅ إغلاق جميع التطبيقات التي تحتوي على بيانات حساسة

لماذا؟ لمنع "الهجمات الفيزيائية" حيث يمكن لأي شخص رؤية معلومات حساسة على شاشتك أو أوراقك.

عند انتهاء العقد

التزاماتك عند إنهاء العقد (اضغط)
  1. إرجاع جميع الأجهزة: اللابتوب، الهاتف، البطاقات، USB، أي معدات
  2. حذف جميع البيانات: من أجهزتك الشخصية إن وُجدت
  3. إغلاق الحسابات: تسليم جميع كلمات المرور لمشرفك
  4. عدم الاحتفاظ بنسخ: أي بيانات أو مستندات تخص STC
  5. التوقيع على إقرار: بتسليم كل شيء وحذف جميع البيانات

⚠️ الاحتفاظ بأي بيانات بعد انتهاء العقد يُعد سرقة ملكية فكرية وقد يعرضك للمساءلة القانونية.

✅ تذكر دائماً

"البيانات ليست ملكك - أنت مؤتمن عليها"
أنت مسؤول شخصياً عن أي بيانات تصل إليها. تعامل معها كما لو كانت أموالك الخاصة - بحرص وأمانة.

التهديدات السيبرانية الموجهة

الدرس 4 من 5

فهم التهديدات الموجهة

التهديدات الموجهة (Targeted Attacks) هي هجمات مخططة بعناية تستهدف أفراداً أو مؤسسات معينة. STC، كشركة اتصالات كبرى، هدف جذاب للمهاجمين.

أنواع التهديدات الموجهة

🎣
التصيد الاحتيالي
Phishing
رسائل بريد إلكتروني أو SMS مزيفة تتظاهر بأنها من مصدر موثوق لسرقة بياناتك أو تثبيت برمجيات خبيثة.
🎯
الصيد الموجه
Spear Phishing
هجوم مخصص يستهدفك شخصياً باستخدام معلومات عنك (اسمك، وظيفتك، مشاريعك) لجعل الرسالة تبدو حقيقية.
🔐
برامج الفدية
Ransomware
برمجيات تشفر ملفاتك وتطلب فدية مالية لفك التشفير. قد تدخل عبر مرفقات البريد أو روابط مشبوهة.
👤
الهندسة الاجتماعية
Social Engineering
التلاعب النفسي لخداعك للكشف عن معلومات سرية. قد يكون عبر الهاتف، البريد، أو شخصياً.

كيف تتعرف على رسائل التصيد؟

تحقق من هذه العلامات التحذيرية:

⚠️
عنوان المرسل مشبوه أو غير مطابق للشركة الحقيقية
⚠️
أخطاء لغوية أو إملائية أو نحوية واضحة
⚠️
طلبات عاجلة أو تهديدات (حسابك سيُغلق، فاتورة مستحقة فوراً)
⚠️
روابط مشبوهة (مرر الفأرة لرؤية الوجهة الحقيقية)
⚠️
مرفقات غير متوقعة (خاصة .exe, .zip, .scr)
⚠️
طلب معلومات حساسة (كلمات مرور، أرقام بطاقات)
⚠️
عروض "جيدة جداً لدرجة يصعب تصديقها"

الإبلاغ عن الحوادث الأمنية

📞 قنوات الإبلاغ

Security Operations Center (SOC):

  • الهاتف: 8001166550 (متاح 24/7)
  • البريد الإلكتروني: security@stc.com.sa
  • البوابة الداخلية: ServiceNow Portal

⏰ الوقت المطلوب: أبلغ فوراً خلال 1 ساعة من اكتشاف الحادثة

خطوات الإبلاغ

ماذا تفعل عند الاشتباه بهجوم؟ (اضغط)
  1. لا تتفاعل: لا تنقر على روابط، لا تفتح مرفقات، لا تحذف البريد
  2. اتصل بـ SOC فوراً: 8001166550 أو security@stc.com.sa
  3. وثّق الحادثة: التقط screenshot، احفظ البريد، سجل الوقت والتاريخ
  4. اتبع التعليمات: نفذ جميع تعليمات فريق SOC (قد يطلبون تغيير كلمة المرور)
  5. أبلغ مشرفك: أخطر مديرك المباشر كتابياً

✅ تذكر دائماً

"إذا كان هناك شك، فلا شك"
عند الشك في أي رسالة أو طلب، لا تتردد في الإبلاغ. من الأفضل الإبلاغ عن 100 حالة زائفة من تفويت حالة حقيقية واحدة! لن تُعاقب على الإبلاغ الخاطئ.

العمل الآمن عن بُعد والاختبار النهائي

الدرس 5 من 5

أمان العمل عن بُعد

العمل من المنزل أو أي مكان خارج مكتب STC يتطلب احتياطات أمنية إضافية لحماية البيانات والأنظمة من التهديدات.

متطلبات العمل عن بُعد

🔒
استخدام VPN
إلزامي
استخدم VPN في كل مرة تدخل فيها لأنظمة STC من خارج المكتب. لا تشارك بيانات VPN مع أي شخص.
📶
تأمين الشبكة المنزلية
ضروري
غيّر كلمة مرور الراوتر الافتراضية. فعّل تشفير WPA3 أو WPA2. تجنب الشبكات العامة تماماً.
💻
تأمين الجهاز
إلزامي
فعّل قفل الشاشة، شفّر القرص الصلب، ثبّت Antivirus معتمد، حدّث النظام باستمرار.
👁️
الأمان الفيزيائي
مهم
لا تترك جهازك دون مراقبة. استخدم Privacy Screen في الأماكن العامة. احذر من "التطفل فوق الكتف".

قواعد مهمة للعمل عن بُعد

لا تستخدم شبكة Wi-Fi عامة (مقاهي، مطارات، فنادق) للدخول لأنظمة STC
لا تشارك جهاز العمل مع أفراد عائلتك أو أصدقائك
أبلغ فوراً عن فقدان أو سرقة الجهاز خلال ساعة واحدة
احذر من المكالمات المشبوهة التي تطلب معلومات حتى لو ادعوا أنهم من IT

💡 نصيحة ذهبية

اعتبر جهاز العمل كأنه في مكتب STC دائماً. نفس القواعد، نفس الحذر، نفس الالتزام - بغض النظر عن مكان عملك.

ماذا تفعل عند فقدان الجهاز؟

إجراءات الطوارئ (اضغط)

⏰ خلال 1 ساعة من الفقدان/السرقة:

  1. اتصل بـ SOC فوراً: 8001166550
  2. أبلغ مشرفك: عبر الهاتف والبريد الإلكتروني
  3. غيّر كلمات المرور: لجميع حساباتك فوراً
  4. قدّم بلاغ للشرطة: إذا كانت سرقة
  5. املأ نموذج الحادثة: عبر ServiceNow

سيقوم فريق IT بمسح الجهاز عن بُعد (Remote Wipe) لحماية البيانات.

معايير الأمن السيبراني الداعمة

الدرس 6 من 7

📄 وثيقة معايير الأمن السيبراني الداعمة

تحتوي هذه الوثيقة على المعايير والإرشادات الرسمية للأمن السيبراني المعتمدة في مجموعة stc. يُرجى قراءة هذه الوثيقة بعناية لفهم المتطلبات والضوابط الأمنية التي يجب الالتزام بها.

📌 ما تتضمنه هذه الوثيقة

  • معايير أمن المعلومات: الضوابط والسياسات الأساسية لحماية البيانات
  • متطلبات الامتثال: المعايير التنظيمية والقانونية الواجب اتباعها
  • إجراءات الحماية: الخطوات العملية لتأمين الأنظمة والشبكات
  • أفضل الممارسات: التوصيات المعتمدة دولياً في مجال الأمن السيبراني

⚠️ تنبيه مهم

يُعد الاطلاع على هذه الوثيقة وفهم محتواها جزءاً أساسياً من متطلبات إكمال هذه الدورة التدريبية. تأكد من قراءة جميع الأقسام بعناية.

عرض الوثيقة

📥 تحميل PDF

إذا لم يظهر المستند أعلاه، يمكنك تحميله مباشرة:

اضغط هنا لتحميل الوثيقة

✅ بعد قراءة الوثيقة

بعد الانتهاء من قراءة هذه الوثيقة، انتقل إلى الدرس التالي لإكمال الاختبار النهائي والحصول على شهادة إتمام الدورة.

الاختبار النهائي

الدرس 6 من 6

📝 اختبر معلوماتك

أجب على جميع الأسئلة لإكمال الدورة والحصول على الشهادة
النجاح: 80% فأكثر (4 من 5 أسئلة)

📌 تعليمات الاختبار

  • اقرأ كل سؤال بعناية
  • اختر الإجابة الأنسب
  • يمكنك مراجعة الدروس قبل البدء
  • الاختبار يُصحح فورياً
1. ما هو الحد الأقصى للوقت المطلوب للإبلاغ عن حادثة أمنية؟
A
24 ساعة
B
1 ساعة
C
أسبوع واحد
2. ما هو الحد الأدنى لطول كلمة المرور القوية؟
A
8 أحرف
B
12 حرفاً
C
6 أحرف
3. هل يجوز استخدام USB شخصي لنقل بيانات STC؟
A
لا، ممنوع منعاً باتاً
B
نعم، إذا كان مشفراً
C
نعم، في حالات الطوارئ
4. رقم هاتف SOC للإبلاغ عن الحوادث الأمنية؟
A
9200
B
8001166550
C
900
5. عند العمل عن بُعد، متى يجب استخدام VPN؟
A
عند التعامل مع بيانات سرية فقط
B
في كل مرة تدخل لأنظمة STC
C
فقط عند استخدام شبكة عامة
استخدم ← → للتنقل بين الدروس