‫المعايير العالمية ألمن المعلومات‬

‫الكاتب ‪ :‬فهد فايز المدرع‬

‫المقدمة‬
‫مما الشك فيه أن أمن المعلومات تلعب دوراً مهما في حماية أصول الشركة أو المؤسسة ‪ .‬و كثيراً ما نسمع في االخبار عن‬
‫الحوادث األمنية ألمن المعلومات ‪ ،‬مثل تشويه المواقع ‪ ،‬وقرصنة الخادم ‪ ،‬وتسرب البيانات‪ .‬و لذلك المنظمات‪ -‬بحاجة ماسة‬
‫إلى أن تدرك الحاجة إلى تكريس المزيد من الموارد لحماية أصول المعلومات ‪ .‬وأمن المعلومات يجب أن يصبح مصدر قلق‬
‫كبير في كل من الحكومة وقطاع األعمال‪.‬‬
‫و بما أنه ال يمكن أن نضمن حماية للمؤسسة أو الشركة بنسبة ‪ % . 100‬لذلك ‪ ،‬نحن بحاجة لوضع مجموعة من‬
‫المقاييس أو المعايير التي يمكن من خاللها تحقيق مستوى مالئم من األمن‪.‬‬
‫ومن خالل هذه المقدمة فإننا سنذكر أهم المعايير العالمية التي تساعد على تحقيق الحد األدنى ألمن المعلومات مثل اآليزو‬

‫‪ ISO‬و الكوبيت ‪ COBIT‬و ‪ ITIL‬وكذلك بعض القوانين المرتبطة بأمن المعلومات مثل ‪HIPAA COSO, SOX,‬‬

‫‪FISMA.‬‬

‫معاييرااليزو‬

‫المنظمة الدولية للتوحيد القياسي (آيزو)(‪( ، ISO‬الذي أنشئ في عام ‪ ، 1947‬هو هيئة غير حكومية تتعاون مع اللجنة‬

‫الدولية الكهرتقنية (‪( IEC‬واالتحاد الدولي لالتصاالت (‪ ( ITU‬على تكنولوجيا المعلومات واالتصاالت ( ‪( .ICT‬‬

‫وهنا أشهر المعايير التابعة لها ‪:‬‬

‫‪ 27002 :‬آيزو ‪1 .-‬‬
‫هذا المعيار يتضمن بعض السياسات‪ -‬والتوجيهات‪ -،‬منها ‪:‬‬

‫أ ‪ -‬السياسة األمنية ‪policy Security‬‬

‫ب ‪-‬تنظيم أمن المعلومات ‪security information of Organization‬‬

‫ت ‪-‬وإدارة األصول ‪management Asset‬‬

‫ث ‪-‬أمن الموارد البشرية ‪security resources Human‬‬

‫ج ‪ -‬األمن البيئي والمادي ‪security environmental and Physical‬‬

‫ح ‪ -‬االتصاالت وإدارة العمليات ‪management operations and Communications‬‬

‫خ ‪ -‬التحكم في الوصول ‪control access‬‬

‫د ‪ -‬اقتناء نظم المعلومات وتطويرها وصيانتها ‪development acquisition systems Information‬‬

‫‪and maintenance‬‬

‫ذ ‪ -‬إدارة الحوادث األمنية للمعلومات ‪management incident security Information‬‬

 ‫ر ‪ -‬إدارة استمرارية األعمال ‪management continuity Business‬‬

‫ز ‪ -‬إدارة االمتثال أو التوافق ‪management Compliance‬‬

‫‪ 27001 :‬آيزو ‪2-‬‬

‫هذا المعيار يقدم نموذج دوري يعرف بـ(‪( PDCA‬وهو اختصار لـ ( ‪( Act-Check-DO-Plan‬وهو يهدف إلى‬

‫تحديد االحتياجات الالزمة إلقامة وتنفيذ وتشغيل ورصد واستعراض وصيانة وتحسين وتوثيق نظام إدارة أمن‬
‫المعلومات داخل المنظمة‪ .‬وعادة ما ينطبق على جميع أنواع المنظمات‪ ، -‬بما في ذلك المؤسسات التجارية‬
‫والوكاالت الحكومية ‪ ،‬وغيرها‪.‬‬
‫وكما ذكرنا فإن هذا النموذج يتم في أربع مراحل متتابعة‪:‬‬

‫أ ‪ -‬الخطة (‪( : Plan‬تأسيس نظام إلدارة أمن المعلومات‪.‬‬

‫ب ‪-‬التنفيذ (‪( : Do‬البدء في تنفيذ الخطط وتشغيلها‪.‬‬

‫ت ‪-‬التحقق (‪( : Check‬مراجعة النظام بعد تنفيذه‪.‬‬

‫ث ‪-‬العمل (‪( : Act‬صيانة وتحسين النظام‪.‬‬

‫‪ 15408 :‬آيزو ‪3-‬‬

‫يساعد هذا المعيار على التقييم ‪ ،‬والتحقق ‪ ،‬والتصديق على الضمانات األمنية للمنتجات التكنولوجية‪.‬‬
‫وكذلك يمكن تقييم األجهزة والبرمجيات‪ -‬لمكافحة‪ -‬تغير المناخ في مختبرات معتمدة للتصديق‪.‬‬
‫‪ 13335 :‬آيزو ‪4-‬‬
‫يتكون من سلسلة من المبادئ والتوجيهات‪ -‬وهي‬
‫أ ‪ -‬آيزو ‪: 1-13335‬‬
‫عبارة عن توثيق للمفاهيم والنماذج إلدارة أمن تكنولوجيا المعلومات واالتصاالت‪.‬‬
‫ب ‪-‬آيزو ‪:3-13335‬‬
‫عبارة عن توثيق للتقنيات إلدارة أمن تكنولوجيا المعلومات‪.‬‬
‫ت ‪ -‬آيزو ‪:4-13335‬‬
‫يشمل أختيار الضمانات‪ ، -‬كالضوابط األمنية التقنية ‪.‬‬
‫ث ‪-‬آيزو ‪:5-13335‬‬
‫يشمل على التوجيه اإلداري ألمن الشبكات‪.-‬‬

‫الكوبيت معيار ‪The Control Objectives for Information and ):COBIT‬‬

‫‪related Technology( :‬‬

 ‫هو عبارة عن إطار للسيطرة أو التحكم تربط تقنية المعلومات بمتطلبات العمل ‪ ،‬وتنظيم ألنشطة تكنولوجيا‬
‫المعلومات في نموذج العملية المقبولة ‪ ،‬وتحديد الموارد الرئيسية لتكنولوجيا المعلومات ‪ ،‬و أهداف الرقابة اإلدارية التي‬
‫سينظر فيها"‬

‫وقد تم بناء هذا المعيار من قبل معهد حوكمة تقنية المعلومات (‪ ITIG (Institute Governance IT‬في عام ‪1995‬م ‪.‬‬

‫وهو اآلن في النسخة الرابعة ‪ ،‬وتتكون من سبعة أجزاء رئيسية ‪:‬‬

‫‪.Executive overview‬التنفيدية النظرة ‪1-‬‬

‫‪.COBIT framework‬الكوبيت إطار ‪2-‬‬

‫‪.Plan and Organize‬والتنظيم التخطيط ‪3-‬‬

‫‪.Acquire and Implement‬والتنفيذ االكتساب ‪4-‬‬

‫‪.Deliver and Support‬والدعم التسليم ‪5-‬‬

‫‪ .Monitor and Evaluate‬والتقييم الرصد ‪6-‬‬

‫‪ -7‬المالحق ‪ ،‬بما في ذلك المعجم‪ -‬أو المصطلحات‪Appendices -‬‬

‫و الكوبيت هو مجموعة من المواد التوجيهية الدولية تستخدم لحوكمة تقنية المعلومات و كذلك تتيح للمديرين سد‬
‫الفجوة بين متطلبات الرقابة والقضايا التقنية والمخاطر التجارية‪ .‬واستناداً إلى أبرز النقاط في الكوبيت تبين أنه يركز‬
‫على مخاطر محددة حول أمن تكنولوجيا المعلومات بطريقة بسيطة لمتابعة وتنفيذ المنظمات الصغيرة والكبيرة ‪.‬‬

‫معيار ‪:ITIL‬‬

‫هو اختصار لـ ‪ Library Infrastructure Technology Information The‬ويسمى أيضا ً آيزو ‪.20000‬‬

‫هو عبارة عن مجموعة من أفضل الممارسات‪ -‬في مجال إدارة خدمات تقنية المعلومات (‪( ، ITSM‬ويركز على خدمة عمليات‬

‫تقنية المعلومات‪ -‬ويعتبر الدور الرئيسي للمستخدم‪.‬‬

‫وقد تم بناؤه بواسطة مكتب المملكة المتحدة لتجارة الحكومة (‪( OGC‬‬

‫وإدارة خدمة التقييم الذاتي يتم العمل ‪‬ا عن طريق وضع استبيانات على اإلنترنت‬
‫استبيان التقييم الذاتي يساعد على تقييم إدارة المناطق التالية ‪:‬‬

‫أ ‪ -‬إدارة مستوى الخدمة ‪Management Level Service‬‬

‫ب ‪-‬اإلدارة المالية ‪Management Financial‬‬

‫ت ‪-‬إدارة بناء القدرات ‪Management Capacity‬‬

‫ث ‪-‬إدارة استمرارية خدمة ‪Management Continuity Service‬‬

‫ج ‪-‬إدارة التوفر ‪Management Availability‬‬

‫ح ‪-‬مكتب الخدمات ‪Desk Service‬‬

 ‫خ ‪-‬إدارة الحوادث ‪Management Incident‬‬

‫د ‪ -‬إدارة المشكلة ‪Management Problem‬‬

‫ذ ‪ -‬إدارة التكوين ‪Management Configuration‬‬

‫ر ‪ -‬إدارة التغيير ‪Management Change‬‬

‫ز ‪ -‬إدارة اإلصدار ‪Management Release‬‬

‫اللوائح والقوانين المتعلقة بأمن المعلومات ‪:‬‬

‫بما أن هناك بعض المعيير العالمية والمبادئ التوجيهية ‪ ،‬وضرورة االلتزام ‪‬ا المبادئ والمعايير التي حدد‪‬ا تلك المؤسسات‪ -‬أو‬

‫الهيئات ‪ ،‬فإننا سنذكر بعض القوانين واللوئح للواليات المتحدة األميريكية ومنها ‪HIPAA COSO, SOX, :‬‬

‫‪ FISMA‬وسنطرق لها باألسفل ‪:‬‬

‫‪ SOX :‬قانون ‪1-‬‬

‫هو اختصار لـ ‪. Act Oxley-Sarbanes‬‬

‫بعد ارتفاع عدد الفضائح العالية في الواليات المتحدة ‪ ،‬بما في ذلك شركة انرون و وورلدكوم ‪ .‬صدر قانون‬

‫ساربانيس أوكسلي ‪ Act Oxley-Sarbanes‬في عام ‪ 2002‬والغرض من ذلك هو "لحماية المستثمرين عن‬

‫طريق تحسين دقة وموثوقية نظام اإلفصاح أو التعريف المقدمة عمُالً‪ ًُ-‬لقوانين األوراق المالية ‪ ،‬وألغراض أخرى" و‬

‫هذا النظام يؤثر على جميع الشركات‪ -‬المدرجة في أسواق األوراق المالية في الواليات المتحدة ‪ .‬و قانون ‪SOX‬‬

‫يتطلب " كل تقرير سنوي ‪ ...‬يحتوي على تقرير للرقابة الداخلية ‪ ..‬وذلك يتضمن تقييما ً لفاعلية هيكلة‬

‫وإجراءات المراقبة الداخلية من الجهة المصدرة إلعداد التقارير المالية"‪ .‬كما تكنولوجيا المعلومات تلعب دورا‬
‫رئيسيا في عملية إعداد التقارير المالية والتي السيطرة عليها ستكون من الضروري لتقييم معرفة إذا كان قانون‬

‫‪ SOX‬تحقق أم ال ؟‬

‫‪ COSO :‬قانون ‪2-‬‬

‫( ‪ )Committee Of Sponsoring Organizations of the Tread way Commission‬لـ اختصار وهو‬

‫هو إطار يبدأ من عملية الضوابط الداخلية ‪ ،‬كما أ‪‬ا تساعد على تحسين وسائل السيطرة على الشركات من‬
‫خالل تقييم فاعلية الضوابط الداخلية ‪ ،‬ويحتوي على خمسة مكونات رئيسية ‪:‬‬
‫أ ‪ -‬مراقبة البيئة ‪ ،‬بما في ذلك عوامل مثل السالمة من الناس داخل المنظمة وإدارة السلطة والمسؤوليات‪.‬‬
‫ب ‪-‬تقييم المخاطر ‪ ،‬و‪‬دف إلى تحديد وتقييم المخاطر التي يتعرض لها قطاع األعمال ‪.‬‬
‫ت ‪-‬مراقبة األنشطة ‪ ،‬بما في ذلك سياسات‪ -‬وإجراءات لتنظيم‪.‬‬
‫ث ‪-‬المعلومات واالتصاالت ‪ ،‬بما في ذلك تحديد المعلومات المهمة لرجال األعمال وقنوات االتصال لتقديم قنوات‬
 ‫الرقابة من جانب اإلدارة للموظفين‪.‬‬
‫ج ‪-‬الرصد ‪ ،‬بما في ذلك عملية استخدامها لرصد وتقييم جودة جميع نظم الرقابة الداخلية على مر الزمن‪.‬‬

‫‪ HIPAA :‬قانون ‪3-‬‬

‫التأمين قابلية ويعني ‪ The Health Insurance Portability And Accountability Act‬لـ اختصار هو‬

‫الصحي وقانون المحاسبة‪-‬‬

‫هو قانون للواليات المتحدة ‪‬دف إلى تحسين قابلية واستمرار تغطية التأمين الصحي في ا‪‬موعة على حد‬
‫سواء واألسواق الفردية ‪ ،‬ومكافحة‪ -‬الهدر ‪ ،‬واالحتيال ‪ ،‬وسوء المعاملة‪ -‬في التأمين الصحي والرعاية الصحية ‪.‬‬
‫ويحدد القانون معايير األمنية للحصول على معلومات الرعاية الصحية ‪ ،‬ويأخذ في االعتبار عددا من العوامل‬
‫بما في ذلك القدرات التقنية لنظم السجالت المستخدمة‪ -‬للحفاظ على المعلومات الصحية ‪ ،‬والتكاليف األمنية ‪،‬‬
‫والحاجة لتدريب الموظفين ‪ ،‬وقيمة مسارات مراجعة الحسابات‪ -‬في حوسبة نظم السجالت ‪ ،‬واحتياجات وقدرات‬
‫مقدمي الرعاية الصحية الصغيرة ‪ ،‬و ينبغي حماية المعلومات بشكل صحيح من األخطار التي ‪‬دد أمن وسالمة‬
‫هذه المعلومات‪ ، -‬واالستخدامات أو الكشف غير المصرح ‪‬ا ‪.‬‬

‫‪ FISMA :‬قانون ‪4-‬‬

‫هو اختصار لـ ‪ Act Management Security Information Federal‬ويعني قانون إدارة أمن المعلومات‬

‫الفيدرالي وهي تتطلب وكاالت اتحادية أمريكية لتطوير وتوثيق وتنفيذ برنامج على نطاق الوكالة لتوفير أمن‬
‫معلومات عن المعلومات (ونظم المعلومات) التي تدعم عمليات األصول للوكالة‪ .‬بعض االحتياجات ما يلي ‪:‬‬
‫أ ‪ -‬تقييم المخاطر الدوري للمعلومات ونظم المعلومات التي تدعم عمليات وأصول المنظمة ‪.‬‬
‫ب ‪-‬السياسات‪ -‬واإلجراءات للمخاطر إلى ‪ ‬دف إلى الحد من مخاطر أمن المعلومات إلى مستوى مقبول‪ .‬المعايير العالمية ألمن‬
‫المعلومات‬
‫ت ‪-‬التخطيط لتوفير األمن الكافي لشبكات ونظم المعلومات‪.‬‬
‫ث ‪-‬التدريب على الوعي األمني لجميع األفراد ‪ ،‬بمن في ذلك المتعاقدون‪.‬‬
‫ج ‪-‬التقييم واالختبار الدوري لفعالية السياسات‪ -‬األمنية واإلجراءات والضوابط‪.‬‬
‫ح ‪-‬خطة استمرارية العمل في مكان لدعم عمل المنظمة‪.‬‬

‫‪ FIPS :‬قانون ‪5-‬‬

‫هو اختصار لـ ‪ Standards Processing Information Federal The‬ويعني قانون معايير معالجة‬

‫المعلومات الفيدرالية ‪.‬‬

‫عبارة عن سلسلة من المنشورات الرسمية المتعلقة المعايير والمبادئ التوجيهية المعتمدة والمتاحة‪.‬‬
‫وا‪‬االت المتصلة به ما يلي ‪:‬‬

‫أ ‪ -‬التحكم في الوصول ‪control access‬‬

‫ب ‪-‬التوعية والتدريب ‪training and awareness‬‬

 ‫ت ‪-‬التدقيق والمساءلة ‪accountability and audit‬‬

‫ث ‪-‬التصديق ‪ ،‬واالعتماد التقييمات األمنية ‪security and, accreditation, certification‬‬

‫‪assessments‬‬

‫ج ‪-‬إدارة التكوين ;‪management configuration‬‬

‫ح ‪ -‬التخطيط للطوارئ ‪planning contingency‬‬

‫خ ‪-‬تحديد الهوية والتوثيق ‪authentication and identification‬‬

‫د ‪ -‬استجابة الحادث ‪response incident‬‬

‫ذ ‪ -‬الصيانة ‪maintenance‬‬

‫ر ‪ -‬حماية وسائل االعالم ‪protection media‬‬

‫ز ‪ -‬لتوفير الحماية المادية والبيئية ‪protection environmental and physical‬‬

‫س ‪-‬التخطيط ‪planning‬‬

‫ش ‪-‬أمن األفراد ‪security personnel‬‬

‫ص ‪-‬تقييم المخاطر ‪assessment risk‬‬

‫ض ‪-‬اقتناء نظم الخدمات ;‪acquisition services and systems‬‬

‫ط ‪-‬حماية نظام االتصاالت ‪protection communications and system‬‬

‫ظ ‪-‬النظام وسالمة المعلومات ‪.integrity information and system‬‬

‫الخالصة‪:‬‬
‫ورغم أن هناك عددا من معايير أمن المعلومات المتاحة ‪ ،‬وهي منظمة بحيث ال يمكن اإلستفاد منها إال إذا تم تنفيذ هذه‬
‫المعايير بشكل صحيح‪ .‬األمن هو شيء ينبغي أن تشارك فيها جميع األطراف سواءاً من اإلدارة العليا والعاملين في أمن‬
‫المعلومات ‪ ،‬والمحترفين في تكنولوجيا المعلومات والمستخدمين والكل منهم له دور يؤديه في تأمين أصول المؤسسة‪ .‬نجاح أمن‬
‫المعلومات يمكن تحقيقه من خالل التعاون الكامل على جميع مستويات المنظمة ‪ ،‬سواء في الداخل والخارج‪.‬‬
‫المراجع‪:‬‬

‫‪http://www.iso27001security.com/index.html- 1‬‬

‫‪ -2‬منشور على صيغة ‪PDF‬‬

‫‪http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders/COBIT6/ObtaiO_CO‬‬

‫‪BIT/CobiT4.1_Brochure.pdf‬‬

‫‪http://csrc.nist.gov/groups/SMA/fisma/overview.html- 3‬‬

‫‪ -4‬منشور على صيغة ‪PDF‬‬

 http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf

‫ لحكومة منطقة هونغ كونغ اإلدارية‬standards security information of overview An : ‫ بحث علمي‬-5

. ‫الخاصة‬