دور ) )ISO 27001:2005في تعزيز مفهوم إدارة دورة حياة المعلومات )أنموذج مقترح( د.علي عبد الستار عبد الجبار الحافظ أستاذ مساعد احمد هاني محمد ألنعيمي مدرس قسم اإلدارة الصناعية قسم اإلدارة الصناعية كلية اإلدارة واالقتصاد /جامعة الموصل كلية اإلدارة واالقتصاد /جامعة الموصل [email protected]@yahoo.com الملخص: تعد ISO 27001مواصفة متقدمة يمكن من خاللها تلبية متطلبات المنظمة من خالل إقامة نظام إدارة حماية المعلومات ،يصلح لكافة المنظمات سواء كانت صناعية أو خدمية ،فضالا عن تطبيق وتشغيل ومراقبة ومراجعة النظام ككل ،كذلك يمكن اعتباره مدخالا للتحسين المستمر لنظام توثيق وادارة المعلومات. ومننن اننذا المنطلننق جنناء التركي ن علن إدارة دورة حينناة المعلومننات ) (ILMكواحنندة مننن المبننادرات التي يتم حاليا مناقشتها عل نحو واسع في صناعة الخ ن المعلوماتي. وبهذا جاءت اذا البحث بهدف تسليط الضوء علن دور ISO 27001فني تع زن دور إدارة دورة حي نناة المعلوم ننات ،وم ننا سيس ننهم ب ننت م ننن إتاح ننة ف ننرل وق نندرات وقابلي ننات أكث ننر ف نني التعام ننل م ننع المعلومات والبيانات التي تتسم بالت ايد المضطرد في منظمنات اععمنال إنتاجينة كاننت أم خدمينة، وق ن ند اسن ننتخلل البحن ننث إل ن ن أن وجن ننود نن نندرة وانحسن ننار فن نني الت كين نند عل ن ن عمن ننل إدارة دورة حين نناة المعلومنات فني ظنل المواصنفة ) ، (ISO 27001فني حنين اننت يجن أن يعمنل مفهنوم إدارة دورة حياة المعلومات في ظل المواصفة ) (ISO 27001إلعطائت الصفة النظامية والقانونية الموحدة. المحور األول الجانب النظري: لننذا يج ن تعند المعلومنات احند المحناور الحاسنمة التني توجنت الشنركات نحنو اتخناذ القن اررات الصننائبة عليهننا ا اتمننام المت اينند بمصننادر المعلومننات ومننن ثننم الحفننا عليهننا ومننن اآلخ نرزن مننن ا طالع عليها ،كذلك دراسة سبل إبقائهنا تحنت متنناول صنناع القن اررات داخنل المنظمنة ،أي تقنديم المعلومننات بننالجودة المطلوبننة مننن اجننل اتخنناذ الق نرار الصننائ ،ومننن اننذا المنطلننق افننرد المحننور اعول بتناول بعض الجوان النظرزة الهامة بهذا المجال وكا تي: أوالً :نظم إدارة حماية المعلومات ( ISO27001المتطلبات) . ثانياً :إدارة دورة حياة المعلومات . 1 أوالً :نظم إدارة حماية المعلومات ( ISO27001المتطلبات) مقدمة: إن الحاجة المستديمة للمعلومات والتي تعد سالحا فعنا ا لندد إدارات المنظمنات صنناعية كانت أم خدمية ولنّد لديها الحاجة ال الحفنا علن المعلومنات وحمايتهنا منن التسنر والعبنث بهنا من قبل جهات غير مرخل لها ا طالع عليها ،لذا بدأت المنظمات بالبحث عن طرائق ووسائل مختلف ننة لحماي ننة المعلوم ننات له ننذا قام ننت منظم ننة المق ننايي الدولي ننة ISOبتط ننوزر سلس ننلة جدي نندة متخصصننة بحمايننة المعلومننات وانني ISO27001:2005والتنني يطلننق عليهننا نظننم إدارة حمايننة المعلومننات مالمتطلبنناتت ،إذ ت ن ود المواصننفة ISO 27001المنظمننة أنمننوذ مشننترك لتطبي ننق وتشغيل وتحسين نظنم إدارة حماينة المعلومنات ISMS م Information Security Management Systemت ،إن غايننة منظمننة ISOأن تنسننق بننين معننايير ISO27001مننع معننايير نظننم اإلدارة اعخننرد مننثالا ISO 9001:2000التنني تخاطن ISO14001:2004التنني تخاط ن 2008,5ت. نظننم إدارة البيئننة نظننم إدارة الجننودة ،وكننذلك م Arnason & Willett, كذلك ت ود مواصنفة ISO27001إدارات المنظمنات الصنناعية والخدمينة بتوجيهنات لتطبينق نظنم إدارة حماية المعلومات ، ISMSفضال عن حصولها عل شنهادة الطنرف الثالنث الدولينة إلثبنات سننيطرة المنظمننة علن حمايننة معلوماتهننا والتنني تشننغل طبقن ا لمتطلبننات المعننايير الدوليننة ،باإلضننافة ال مراقبة وادامة نظام ISMSمن قبل منظمة ،ISOوبهذا يج أن يخاط نظنام إدارة حماينة المعلومننات كننل أط نوار الهيكننل التنظيمنني ،السياسننات ،خطننط النشنناا ،المس ن وليات ،الممارسننات، اإلجراءات ،العمليات وأخي ار مصادر المعلومات. الفع ننال ل ن ن ISO27001ي ننوفر ل ننادارة العلي ننا الوس ننائل لمراقب ننة والس ننيطرة علن ن حماي ننة إن التطبي ننق ّ المعلوم ننات بينم ننا يقل ننل م ننن أخط ننار العم ننل الناش نند م ننن ع نندم الحص ننول علن ن المعلوم ننات بالدق ننة المطلوبن ننة ،كن ننذلك خطن ننر تسن ننر المعلومن ننات ،بعن نند تطبين ننق المنظمن ننة المواصن ننفة ستضن ننمن حماين ننة معلوماتها رسميا للتواصل منع ال بنون وشنرعية مقانونينةت المنظمنة باإلضنافة الن إرضناء متطلبنات أصحا المصالح لدد المنظمة. وهي الجهة المانحة للشهادة ISO 27001 2 التطور التاريخي لمواصفة نظم إدارة حماية المعلومات ISO27001 جنناءت المواصننفة ISO27001با عتمنناد عل ن المواصننفة البرزطانيننة BS7799والتنني كانننت نتيجننة مبننادرة مشننتركة مننن القطنناع التجنناري والصننناعي البرزطنناني والتنني بنندأت العمننل عننام 1992حيننث أصنندرت المواصننفة البرزطانيننة اعول ن BS7799فنني شننباا عننام ،1995حيننث مثلننت قاعنندة ممارسننات إلدارة حمايننة تكنولوجينا المعلومننات ،ثننم اسننتمرت المنظمننات بتطننوزر نظننام حمايننة المعلوم ننات الت ني أف ننر ت حننل س ننمي بننذلك الوق ننت مالعننال Cت ال ننذي تبن ن إط ننار لتطبي ننق ّ المع ننايير الخاصنننة بحماي ننة المعلومن ننات والت نني تنننم إطالقهن ننا ف نني نيسنننان ع ننام ،1997لك ننن بسنننب الص ننعوبات الت نني واجهته ننا عملي ننة التطبي ننق مللع ننال Cت ت ننم تنفي ننذه ع ننام ،2000ذل ننك بس ننب أن BS7799م ن رنر بمراجع ننة اام ننة ع ننام 1998والتغذين نة العكس ننية رتب ننت وت ننم مراجعته ننا من نرة أخ ننرد وأطلق ننت النس ننخة الكامل ننة اعولن ن ل ن ن BS7799ع ننام 1999كنس ننخة أص ننلية لقاع نندة الممارس ننات وحفظت وسميت بن BS7799الج ء اعول ،أما الج ء الثاني من المواصفة البرزطانية BS7799 سننميت بن ن مالمواصننفات عنظمننة إدارة حمايننة المعلومنناتت والننذي يعتب نر نظننام مقن ّنيم ومصنند واننو موجت إلدارة أنظمة حماية المعلومات .م( www.sapphire.net:2007 ث ننم م ننرت المواص ننفة البرزطاني ننة BS7799بمراجع ننة أخ ننرد ع ننام 2002وحص ننلت علن ن العديند مننن التغينرات ،ثننم بقنت كمننا انني حتن تننم إصندار المواصننفة الدولينة ISO27001فنني عننام 2005كقاعن ن ن نندة للممارس ن ن ن ننات والتن ن ن نني ت خ ن ن ن ننذ توجيهاتهن ن ن ننا ووص ن ن ن ننياتها من ن ن ننن المواص ن ن ن ننفة الدولي ن ن ن ننة م ISO17799:2000الموا زة للمواصفة البرزطانية .BS7799 (Calder & Watkins,2008,35 وبهن ننذا يمكن ننن أن تعتبن ننر ISO27001كقاعن نندة لتقين ننيم نظن ننام إدارة حماين ننة المعلوم ن ننات مISMSت المتكامل ،أو اي وثيقة التي تقييم أي نظام إلدارة حماية المعلومات. عمليات المعالجة ISO27001:2005وفوائد تطبيقها : تعد ISO27001معينار الحماينة الندولي الرسنمي المقندم عي منظمنة مبغنض النظنر عنن كونهن ننا صن ننناعيت ا كانن ننت أم خدمين ننةت ترغ ن ن بالحصن ننول عل ن ن شن ننهادة مسن ننتقلة لنظن ننام إدارة حماين ننة المعلومات الخاصة بهم ،لهذا تحدد المواصفة المتطلبنات اإلل امينة لت سني وتطبينق وتوثينق نظنام ،ISMSوتحدين نند متطلبن ننات السن ننيطرة لحماين ننة المعلومن ننات التن نني س ننتطبق وفن ننق حاجنننات المنظمن ننة الخاصننة بهننا ،وتشننمل م11ت مرك ن للسننيطرة و م39ت انندف للسننيطرة باإلضننافة ال ن م133ت موقننع للسيطرة متوافنق منع المواصنفة ISO17799والتني تعمنل منن خنالل أنمنوذ مPDCAت – Plan Do – Check – Actالننذي يقننوم بعمننل التحسننين المسننتمر ،وبهننذا تسننتند المواصننفة 3 ISO27001في عملهنا علن تسنعة أجن اء للمعالجنة التني حندداا تحنالح صنناعة حماينة شنبكات ا نترنيت CSIA يمكن تلخيصها با تي :مCSIA,2007,3ت .1تعرزح المجال لننظام إدارة حماية المعلومات .ISMS .2تعرزح سياسة حماية المعلومات . .3تقييم اعخطار /التحليل. .4إدارة الخطر. .5تحديد اعاداف للسيطرة والسيطرة الفعلية عليها /التطبيق. .6تجهي بيان مكشحت التطبيق. .7تطبيق وتشغيل .ISMS .8استمرار المراقبة ومراجعة .ISMS .9إدامة وتحسين .ISMS و نج ننا نظ ننام ISMSفع ننال تس ننتعين منظم ننة المواص ننفات الدولي ننة ISOمع ننايير ISO27002 كتعليمات تساعد في تطبيق ISO27001من خالل اعتي :مArnason& Willett,2008,8ت .1تقييم المخاطر والمعالجة . .2سياسة الحماية. .3تنظيم حماية المعلومات؟ .4إدارة الموجودات. .5حماية معلومات الموارد البشرزة. .6حماية الطبيعة والبيئة. .7إدارة العمليات وا تصا ت. .8السيطرة عل دخول قواعد البيانات. .9الحصول عل نظم المعلومات ،التطوزر ،اإلدامة. .10إدارة حوادث لحماية المعلومات. .11إدارة استم اررزة العمل. .12ا لت ام ما لت ام بتطبيق بنود المواصفةت. والشكل م1ت يوضح آلية المعالجات للحصول عل شهادة ISO27001 Cyber Security Industry Alliance 4 هيئة منح الشهادة فريق التدقيق األطراف المهتمة المنظمة ISMS الشكل م1ت آلية المعالجات للحصول عل شهادة ISO27001 Source : Herve' Schaner , 2007, ISO 27001Certification, Eurose Forum, Paris, www.hsc.fr, P:2 . فوائد الحصول على شهادة المواصفة ISO27001:2005 اناك عندة أسنبا التني تندفع المنظمنة للحصنول علن الشنهادة وذلنك للحصنول علن عندة منافع اي :مHinson ,2008, 3ت .1المصداقية و زادة الثقة . .2تحسين الشراكة م العمل مع الشرزكت. .3زادة ثقة ال بائن وأصحا العالقة. .4التنظيم وحماية الشرزك التجاري. .5شهادة تفيد ب ن المنظمة م الة ومطبقة لكل القوانين النافذة والتعليمات . .6المفاضلة بين المنافسين وكذلك الحصول عل تعليمات بكلح منخفضة. 5 األبعاد الثالثة لحماية المعلومات: يمكن أن تتعرف المنظمة عل كيفية إدارة حماية المعلومنات منن خنالل ثالثنة أبعناد مالسنرزة، السننالمة ،التننوفرت أو كمننا وصننفها ايئننة معننايير معالجننة البيانننات ا تحاديننة FIPS Federal Information Processing Standersب حجار ال اوية لحماية المعلومات عام ،2004وذلنك من خالل تطبيق نظم إدارة حماية المعلومات ،أو باسنتعمال معنايير ISO27001كندليل لتطنوزر ،ISMSكما في الشكلم2ت: السالمة السرية التوفر الشكل ()2 األبعاد الثالثة لحماية المعلومات Source: Arnason , Sigurjon Thor & Willett, Keith D. ,2008, How to Achieve 27001 Certification An Example of Applied Compliance Management, Taylor& Francis Group LLC. New York, USA. P3. ويمكن توضيح اذه اعبعاد الثالثة بإيجا وكا تي : www.intertek-semkocertification,se , 2007 .1السرية : Confidentialityيوفر اذا البعد للمنظمة السرزة التامة لكافة المعلومات، حت لو كانت المعلومات صغيرة وبسيطة. .2السالالمة : Integrityتقنندم المواصنفة ISO27001معينار لحمايننة وكمنال المعلومننات وطرائق معالجتها ،واذا يضمن ا ستم اررزة واعادة العمل في حالة وقوع الكوارث. .3الت الالوفر : Availabilityويقص نند ب ننالتوفر ا ننو ت ننوفر المعلوم ننات المقي نند ،إذ أن اس ننتخدام ISO27001لحمايننة نظننام المعلومننات ي كنند للمنظمننة ب ن ن المسننتخدمين المخننولين اننم الوحيدين القنادرزن علن الوصنول الن انذه المعلومنات وأصنولها ،وانذا يجعنل إدارة حماينة المعلومات مهمة سهلة المعالجة. 6 ثانيا :إدارة دورة حياة المعلومات المفهوم: طبقنا لاحصنناءات فنني بعننض الم سسنات الدوليننة ،فننان معنندل إنتاجينة العننالم مننن البيانننات والمعلومات الرقمية الناتجنة عنن اسنتخدام تقاننة المعلومنات وا تصنا ت خنالل العنامين الماضنيين قد تجاو إجمالي ما أنتجتت البشرزة من معلومات وبيانات طوال تارزخهنا ،إذ أصنبحت البياننات والمعلومات فني وقتننا الحاضنر تتسنم بنالنمو المضنطرد ،و تشنير اإلحصناءات الن إن الت ايند فني البيانننات والمعلومننات بنسننبة م 40 -20ت كمعنندل سنننوي واننذا ينندل عل ن إن العننالم يواجننت تيننا ار متدفقا من المعلومات التي تتراكم بسرعة مولدة فيضانا وانفجا ار معلوماتينا رقمينا بنات منن الصنع الس ننيطرة علي ننت ،واذا كان ننت ا ننذه القض ننية تعن نني الكثي ننر بالنس ننبة ليفن نراد فه نني حيوي ننة ومقلق ننت وضاغطة للغاينة بالنسنبة للمنظمنات بشنكل عنام ،ذلنك بسنب منا يعنرف بظناارة جبنال المعلومنات والبيانات ألرقميت التي تتراكم وزنمو حجمهنا بمعند ت سنرزعة ,ويصنع إدارتهنا ,وفني الوقنت نفسنت تحم ننل المنظم ننات أمن نوا طائل ننة للحف ننا عليه ننا والناجمن نة ع ننن ا عتم نناد الكثي ننح علن ن تكنولوجي ننا المعلومات في انجا اععمال)(wind :2004:2 ولو عدنا إل اعسا الفكري والنظنري لمفهنوم إدارة دورة حيناة المعلومنات سننجده يهنتم بعنده نقاا أساسية(http//:arabinfo.blogsspot.com:4-5) : اعولن ن :إن إدارة دورة حي نناة المعلوم ننات ليس ننت تكنولوجي ننا ولكنه ننا خل ننيط م ننن العملي ننات والتكنولوجيات التي تحدد كيح تتدفق أو تمر البيانات عبر بيئة ما. الثانية :إن التكلفة عامل مهم للغاية ,لذلك فهو يربط بين الحصول علني قيمنت اقتصنادية للمعلوم ننات وب ننين تحم ننل اق ننل ق نندر م ننن التكلف ننة ف نني إنش نناء البني ننة اعساس ننية المعلوماتي ننة في مجال تخ زن وادارة المعلومات فقط ,ولكن في مراحل المعالجة والنقنل المطلوبة لي والتو زع وغيراا. الثالثننة :انننت يمن بشننكل كامننل بننين اعاننداف التنني تضننعها المنظمننة لنفسننها وبننين البنيننة اعساس ننية المعلوماتي ننة ل ننديها ,مم ننا يس ننتدعي ترجم ننت اعا ننداف إلن ن سياس ننات تنف ننذ داخ ننل الشبكات والحاسبات وأوعيت التخ زن وغيراا من مكونات البنية المعلوماتية. وزري أصحا اذا ا تجاه إن النقاا الثالث السابقة تجعل من المتعين أن يمر التنفيذ العملي لمفهوم إدارة دوره حياه المعلومات بالمراحل التالية(wind : 2004 :3): التقييم والفحل التهيئة ا جتماعية التصنيح 7 الميكنة المراجعة تارزخيننا البيانننات والمعلومننات نقلننت مننن وسننيلة خن ن إلن أخننرد ،وزننتم ا عتمنناد مبنندئيا عل ن عمننر اننذه المعلومننات أو البيانننات ،أو عنندد م نرات ا طننالع عليهننا أو النندخول عليهننا .اعقنندم أو اعقل استخداما في العادة معل اعرجحت سوف تتحول إل كلفة قليلة ،وأداء مننخفض ،وأنظمنة دخنننول واسن ننتخدام اقن ننل ،انننذه المشن نناكل المربكن ننة للمنظمن ننة جعلتهن ننا بحاجن ننة إل ن ن المن نندخل الفن ننوري ) (immediate accessللمعلومننات التنني لننم تسننتعمل فنني اغلن اعحيننان ،فعلن سننبيل المثننال السجالت الطبية ربما تكون قديمنة ،أو إن الندخول وا طنالع عليهنا قند بسب قدمها ،لكن في حا ت الطوارئ يج أن تكون اذه المعلومات متاحة في الحال. يعن ننرف مفهن ننوم إدارة دورة حين نناة المعلومن ننات عل ن ن واعدوات المستعملة لترتي ينتم إ بشنكل ننادر ، إنهن ننا السياسن ننات والعملين ننات والممارسن ننات قيمة معلومات وبيانات اععمنال منع البنينة التحتينة لتقاننة المعلومنات اعكثر مالئمة ،واعقل كلفة في الوقت الذي تعمل بت انذه المعلومنات منرو ار بترتيبهنا النهنائي وان المعلوم ننات س ننترت وترص ننح طبق ننا لمتطلب ننات اععم ننال م ننن خ ننالل إدارة السياس ننات ومس ننتويات الخدمة المرتبطة مع التطبيقات ،والحقائق والبيانات. (:2) http://encyclopedia.thefreedictionary.com )(www.sun.com:2 وزرد الباحثان إن المفاايم الرئيسنة فني انذا التعرزنح اني رصنح أو ترتين قيمنة المعلومنات منع البنيننة التحتيننة كفننوءة الكلفننة ،وتقانننة المعلومننات اعكثننر مالئمننة .فضننال عننن مسننتويات الخدمننة المرتبطننة مننع التطبيقننات والحقننائق والبيانننات ،وكننل اننذه المفنناايم ليسننت جدينندة إذ أنهننا تطبيقننات إلدارة دورة حياة المعلومات ،الذي كون بدوره مثال جديد في توجهات صناعة الخ ن وعليننت يشننير الباحثننان إلن أن مفهننوم إدارة دورة حينناة المعلومننات إلن انننت العمليننات ،والسياسننات ،والممارسننات ،واعدوات ،التنني تكننون فيهننا البيانننات والمعلومننات متحركننة بننين صننفوف مختلفننة عدوات الخ ن لضمان كون مستويات الخدمة التي تطلبتها اععمال قد تم تلبيتها ب قل كلفة كلينة ممكنة ،وبا عتماد عل محتود البيانات والمعلومنات ،وانهنا أيضن ا ت تمنت تندرزجيا عملينات إدارة الخن ن عبننر الوقننت ،وتقلننل المخنناطر الناجمننة عننن الخطنناء أو التنندخل البشننري ،وتحسننين حركننة البيانات بين صفوف الخ ن المختلفة. قواعد إدارة دورة حياة المعلومات في مواجهة التحديات : 8 أصننبح مفهننوم دورة حينناة المعلومننات مننن المفنناايم العالميننة المعاصنرة ،إذ أن اننناك أكثننر من م20000ت من اعنظمة التي ت ثر عل العمليات التي تكون فيها السجالت مخ نة ،ويمكنن النندخول إليهننا ،وزننتم الحفننا عليهننا ،فضننال عننن صننيانتها ،اننذه اعنظمننة تحنندد حاجننة اععمننال للمراقبننة المناسننبة ،وادارة دورة الحينناة الكليننة لسننجالت المنظمننات ،وسياسننات اععمننال ،والعمليننات والممارسات ،واعنظمة يمكن أن تدقق لغرض ا لت ام بالقانون . إن الحماين ن ن ن ننة ) ، (preservationوا حتفن ن ن ن ننا ) ، (retentionوالتطبين ن ن ن ننع )، (disposition للسجالت ا لكترونية سوف تكون بااظة إذا لم تمتلك المنظمة خطة جيدة ومطبقة بشكل ناجح إلدارة دورة حياة المعلومات )(www.management1.com:2 في حالة غيا أي معايير رسمية ،فإن منظمات اععمال تعتبنر إدارة دورة حيناة المعلومنات اني اعسننلو اعفضننل لتحسننين أداء المنظمننات فيمننا يتعلننق بتخن زن البيانننات والمعلومننات ،وزجن ت خذ اذه المنظمات في الحسبان أن الممارسات اعفضل اي ) (Thompson, 2005,2 أن .1فهم القيمة الحقيقية بالنسبة ليعمال: تحديد أي البيانات تشترك بشكل فاعل في اععمال مقابل تحديد أي البياننات ذات فائندة تارزخية ،أو أخذت من الحافظات فقط ، just in caseإذ إن المستخدمون يحنددون البيانات التي خ نت في الحافظات بسب عل ا حتفا القرز خشيتهم خسارة الدخول إليهنا ،لنذلك فتركين ام " "near-line retentionسوف يساعدام علن تسنهيل قن ارراتهم المتعلقة بهذه اععمال. من ننذ مرحل ننة التطبي ننق س ننوف ي ننتم التط ننور خ ننالل الوق ننت ،وتض ننمن ب ننان الحل ننول القرزب ننة " "near-line solutionستتضنمن طبقنة بياننات مجنردة ،لتمكنين التطبينق منن إ النة أو إضافة أو تعديل أو تكييح عناصر البيانات ،بدون أي مهنام أدارزنة رئيسنة للبياننات القرزبة . . 2توحيد وتبسيط المعايير الج ئية : اعتبننر الوقننت كمقيننا عننند وضننع قواعنند اعرشننفة ،معظننم اععمننال تجنند ذلننك اعسننهل للفهم والتنفيذ بعد ذلك ،ولذلك كثير من عمليات اععمنال نفسنها أساسنها الوقنت ،انذه اإلستراتيجية لوحداا ست دي إل تقلينل النتنائإ إلن 50 في حجم الج ء المخ ون عل ا نترنت. عند كس التجربة مع أسالي مأو أكثنر تخفيضنا منن ذلنك ت بسيطة أساسها الوقت ) (simple time- based methodologyوبعد ذلك يج م ارعناة القواعند اعساسنية لسنجالت ا ستفس ننار ) (query –logمث ننل ص نننح المس ننتعمل ) (users classول ننم ادخ ننل من ننذ.... م.(not accessed since ........ 9 إستراتيجية النمو المنطقي –إدارة التج ئة ) ، (logical growth – management partitioning strategyيمكنهننا اإلبقناء علن تفاصنيل البياننات القرزبنة ،وتجمينع البياننات بشنكل فنوري منع القندرة علن السنبر للتفاصنيل ). (drill to detail .3صيانة معمارزة التطبيق اعولي: المعمارزة اعولية يج أن تكنون م رشنفة ،وتعيند الخن ن بنين اعجن اء الفورزنة والقرزبنة ، واذا سوف يحافظ عل نطا التطبيق الثنائي الم سسي المطبنق فني الوقنت الحاضنر ، وزبسط اإلدارة ،نموذجيا إعادة الخ ن ) (restoreعملية يمكن أن ت تمنت لمهنام موحندة ،أو عند الطل ،ونموذ ) (drill –to –detailوصح ب نت نموذ مهم ،فضال عن صيانة سالمة التطبيق الحالية. .4اعتبنر اعرشنفة غينر المتصنلة ) (offline archivingصنفا ،إذا أردت اإلبقناء علن التنارز التطبيقات مستم ار عدا الخادم اعولي م (primary serverللخ ن. إذا حفظ التارز لفترات مستمرة ،وتم الدخول علينت منن قبنل المسنتعملين ،وبشنكل مسنتقل لتطبيقات الخ ن اعولية معل سبيل المثال التدقيق أو المشارزع اعخردت اضمن احتواء ملفات اعرشفة علن الحقنائق م (metadataفضنال عنن البياننات التني يكون لها سيا مستقل عن التطبيق اعصلي(Thompson :2005 :2-3) . منافع تطبيق إدارة دورة حياة المعلومات: إن المنفعة اعساسية منن تطبينق إدارة دورة حيناة المعلومنات اني تعظنيم قيمنة معلومنات اععمنال ،فضنال عنن تقلينل التكلفنة الكلينة للمالنك ) (total coast of ownershipوتضنمن بنان البيانات تخ ن في مدر مستود الخندمات ) (service-level tierللحصنول علن قيمنة اععمنال المت صننلة بهننا ،فضننال عننن قيمننة البيانننات سننهلة الوصننول باسننتناد إل ن حاجننات اععمننال فنني أي مرحلة من م ارحنل دورة حياتهنا .بتقلينل الن من المسنتنفد منن قبنل المنوظفين التقنينين النذين يكوننون ،ويعالجون اذه البيانات والمعلومات . إدارة دورة حينناة المعلومننات تسنناعد أيضننا فنني زننادة إنتاجيننة العنناملين ،وتقليننل كلفننة العنناملين ،وفنني ذات الوقننت ،خنندمات إدارة دورة حينناة المعلومننات ك سننلو مفينند للسننيطرة علن كلفننة ا نجننا ،وادارة أنظم ننة الخن ن ن ،ومن ننافع أخ ننرد مشخص ننة ليعم ننال ناجم ننة ع ننن اعتم نناد أو تنفي ننذ إدارة دورة حي نناة المعلومات اي (Nicolson:2006:80) : النذكاء ألمنظمني ) (Organizational Agilityومثنال ذلنك إيجناد البياننات الصنحيحة بصورة أسرع ،وتقليل ت ثير اعحداث غير المرئية للمنظمة . 10 تقليل المخاطر مثال ذلك ا لت ام ألمنظمي ،واستم اررزة العمل ،اآلمن. يمكن ت شير العديد من المننافع التني يقندمها اسنتخدام مفهنوم إدارة دورة حيناة المعلومنات وذلنك منن خالل )(www.businesssolution.bell.ca:2 تحسين استخدام المعلومات خالل صفوف الخ ن المقسمة . تبسيط وأتمتة إدارة المعلومات والبنية التحتية للخ ن )(storage infrastructure إعطاء خيارات أكثر ربحا ستم اررزة الدخول إل اععمال وحمايتها . ض ن ن ننمان التن ن ن ن ام س ن ن ننهل م ن ن ننن خ ن ن ننالل سياس ن ن ننات أساس ن ن ننها اإلدارة )management تسننليم أعل ن قيمننة فنني اقننل كلفننة كليننة بترتي ن البنيننة التحتيننة لعمليننة الخ ن ن ،وادارة قيمننة (policy-based المعلومات. الطريق نحو بناء إدارة دورة حياة المعلومات الشاملة: طور اتحاد الحاسبات إستراتيجية طوزلة اعجل والتي اليننوم فحس ن تعن بحاجات إدارة دورة حياة المعلومنات ،لكنهننا تننوفر أيضننا اتجااننا إلدارة المعلومننات كموجننود بالنسننبة للعمننل فنني المسننتقبل .اننذه اإلسننتراتيجية تمكننن ال بننائن مننن البنندء بوضننع الحجننر اعسننا إلدارة دورة حينناة المعلومننات الخاصة بهم ،وبسرعتهم الخاصة ،مع مرونة في اختيار الحلول الصائبة ععمالهم. اذه اإلستراتيجية تعك ما نراه ك نموذ نضإ إلدارة دورة حياة المعلومات. وكم ننا يوض ننح الش ننكل رق ننمم3ت ،توج نند أربع ننة م ارح ننل لينم ننوذ ،بك ننل مس ننتود أعلن ن يول نند رص ننح وانحي ننا إلن ن حاج ننات العم ننل ،مس ننتند علن ن قيم ننة المعلوم ننات ،وال نندرجات اععلن ن ف نني اعتمت ننة : )(Wind, 2004,4 المستود اعول : إدارة الخ ن وحماية البيانات ،المنفنذة فني السننوات السنابقة ،إذ كاننت فني السنابق توجند فعليننا كفنناءات م تمتننة ،وفنني معظننم الحننا ت يوجنند جهنند بشننري عالي،ونموذجيننا توجنند حالننة مننن التفاعل مع البيئة. المستوى الثاني : ويشننمل ذلننك حلننول الخ ن ن الذكيننة ) (bright storeفضننال عننن منتجننات وخنندمات مننن اتحننادات الحاس نو والشننركاء ،وكلهننا متاحننة اليننوم ،كننذلك ت ن ود المنظمننة بعننرض شننامل مننع إدارة مص ن ننادر الخن ن ن ن المتكامل ن ننة RESOURCE 11 STORAGE (INTEGRATED ) MANAGEMENTوادارة ش ن ننبكة منطق ن ننة الخن ن ن ن network area (storage ) ، managementواسناد واعادة الحلول ،اذا سوف يعطني ال بنائن المعرفنة والفهنم والمعلومنات المهمة لصنع القرار الصحيح لعمليات الخ ن الخاصة بهم. توحيد األعمال ووجهة نظر تقانة المعلومات محتوى األعمال قيادة األعمال المستوى الرابع كف مستجيب االتممتة إدارة الخزن الذكية أعمال الخزن المركزة إدارة وحماية البيانات تفاعلي المستوى الثالث المستوى الثاني المستوى اعول الشكل م3ت مستويات نمو دورة حياة المعلومات Source: Wind, Stephen , 2004, moving beyond information life cycle management www.managementworldline.com) :P5ت المستوى الثالث: إدارة محتوي ننات العم ننل .وال ننذي ي ننتم التركين ن في ننت علن ن تع ز ن الوث ننائق ،وعملي ننات التوثي ننق ،وادارة المحتوي ن ننات ،وأرش ن ننفة الرس ن ننائل ،وارمي ن ننة إدارة الخن ن ن ن storage (hierarchical )، managementوخالل اذه المرحلة سوف يتم التخطيط تكامل المنتجات داخل ضمن تنوع أو اختالف عالمة العوائل تحادات الحواسي العالمية ،وتطوزر الحلول التي توجت صو صناعة معينة مثل شركات اععمال المتوسطة والصغيرة،العناية الصحية،والخدمات المالية. المستوى الرابع : توحي نند اععم ننال ووجه ننة نظ ننر تقان ننة المعلوم ننات كرافع ننة للخ نندمات الش ننائعة ،والت نني ا نني مالبرامجينات ،واعجن اء التني تنودي الوظنائح القابلنة لالسنتعمال منرة أخنرد reusable function عبر مجا ت اإلدارة المتعنددةت ،وتطنوزر إدارة قاعندة بياننات مرك زنة ،واعطناء وجهنة نظنر وحيندة 12 عننن كننل سننمات المشننروع إلدارة المعلومننات بشننكل عقالننني ذكنني ،وبشننكل امننن ،وكفننوء ولترتي ن الموجودات المعرفية تلك مع أاداف العمل . المحور الثاني الجانب الميداني: يتضمن اذا المحور منهجية البحث باإلضافة إل نقاا التداخل وا رتباا بين ISO27001 ودورة حياة المعلومات وكا تي : منهجية البحث أو ا :أامية البحث ي نرتبط نجننام المنظمننات بصننورة عامننة والشننركات الصننناعية بصننورة خاصننة فنني الوقننت الحاضننر بالعديد من العوامل ومنن ضنمنها سنرزة المعلومنات باإلضنافة الن ا اتمنام بندورة حيناة المعلومنات والحف ننظ عليه ننا م ننن التالعن ن والعب ننث ،وان ننا تجلن ن أامي ننة البح ننث م ننن خ ننالل تعرز ننح الش ننركات الصننناعية بمحتننود المواصننفة ISO27001باعتباراننا أداة فعالننة تمنننح شننهادة دوليننة بن ن المنظمننة تخضع للمعايير الدولية بالمحافظة عل بياناتها وسرزتها. ثانياً :مشكلة البحث يمكن توضيح مضامين مشكلة البحث من خالل عدد من التسا ت وعل النحو اعتي: .1اننل لنندد الشننركات الصننناعية إلمننام بالمواصننفة ISO2001الخاصننة بنننظم إدارة حمايننة المعلومات ؟ .2ما اي المستل مات لتطبيق مفهوم إدارة دورة حماية المعلومات؟ .3ما مدد التوافق بين ISO27001و إدارة دورة حماية المعلومات ؟\ ثالثاً :أهداف البحث فنني إطننار تحدينند مشننكلة البحننث وأاميتننت فننإن انندف البحننث ينصن أساسنا علن تشننخيل وتحدينند دور ISO 27001:2005فنني تع ز ن مفهننوم إدارة دورة حينناة المعلومننات ،فض نالا عننن تحقيننق اعاداف اآلتية : .1الت كي نند علن ن المف نناايم الحديث ننة ف نني ج ننودة حماي ننة المعلوم ننات ،ذل ننك م ننن خ ننالل توظي ننح المواصفة ISO 27001كمواصفة حديثة لحماية المعلومات. .2تحقيق ا ستفادة القصود من المعلومات وبشكل فعال. .3إيجاد نقاا ا رتباا بين ISO27001و إدارة دورة حماية المعلومات. رابعاً :فرضيات البحث 13 ينطلننق البحننث فنني صننياغة فرضننياتت مننن تسننا تت المعروضننة واتسنناق ا مننع أادافننت بموجن رئيسية مفاداا أن تطبيقات ISO27001تتكامل مع إدارة دورة حماية المعلومات. فرضننية خامساً :أنموذج البحث عجل معالجة مشكلة البحث وتحقيق أادافت يقدم البحث أنموذجت ا فتراضي كما في الشكل م4ت بنود ISO 27001الرئيسية المتطلبات مس ولية التدقيق مراجعة تحسين العامة اإلدارة الداخلي اإلدارة النظام دورة حياة المعلومات فعالة اقل فاعلية تارزخية م رشفة الشكل ()4 أنموذج البحث إذ يوضننح الشننكل م4ت كيفيننة سننيطرة بنننود المواصننفة ISO27001:2005عل ن المعلومات ،إذ تتكون مواصفة ISO27001من ثمانية بنود ،وتقسم ال قسمين: إدارة دورة حينناة أو ا :بنود عامة وتتكون من اعتي : البند اعول :المجال والذي يوضح فيت مجال التطبيق. البن ن نند الثنن نناني :اإلشن ن ننارات المرجعينن ننة والتنن نني توض ن ننح المص ن نندر الرئيس ن نني للتطبين ن ننق وانن ننو ، ISO27001:2005والتي ترتبط مباشرة مع ISO17799:2005عجل التطبيق. البنن ن نند الثالن ن ننث :الشن ن ننروا والتعن ن ننارزح وان ن ننذا البنن ن نند يوضن ن ننح شن ن ننروا التطبين ن ننق وتوضن ن ننيح المصطلحات المستخدمة لتجن إساءة الفهم للمصطلحات. ثانيا :بنود التطبيق الرئيسية للمواصفة وتتكون من البنود اآلتية: البن نند ال ارب ننع :المتطلب ننات العام ننة وال ننذي يوض ننح متضن نمنات عملي ننات التش ننغيل والمراقب ننة ومراجعة وثائق النظام. 14 البند الخام :مس ولية اإلدارة ضمن اذا البند يحدد بت مندد التن ام اإلدارة بتطبينق بننود المواصفة ،وتسخير كل المنوارد الال منة إلنجنام التطبينق ،باإلضنافة الن التندرز وتدرز النذاني القدرات لدد فرزق العمل. البننند السناد :التنندقيق الننداخلي لنظننام إدارة وحمايننة المعلومننات إذ تقننوم المنظمننة بننإجراء تدقيقات داخلية عل فترات مخطط لها مسبقا لتحيد فيما إذا كانت عملية التطبيق مطابقة مع الخطط الموضوعة ،فضال عن كشح انحرافات التطبيق البند السابع :مراجعة اإلدارة وزتم ذلك من خالل مراجعة مدخالت ومخرجات النظام. البنننند الثنننامن :تحسنننين النظن ننام وانن ننا ينننتم التحسنننين المس ننتمر للنظنننام م ننن خ ننالل تحدين نند اإلجراءات التصحيحية ،فضال عن اإلجراءات الوقائية ،لتجن وقوع اعخطاء . ومن خالل العرض المختصر لبنود ) (ISO 27002:2005ستتضح نقاا ا رتباا والتقناطع لهذه المواصفة مع إدارة دورة حياة المعلومات .وذلك من خالل تشغيل بنود )(ISO 27001 الرئيسنة ممنن البنند 4إلن البنند 8ت وزنتم ذلننك فني المرحلنة اعولن منن دورة حيناة المعلومننات، والتنني تكننون فيهننا المعلومننات فعالننة وحديثننة الننو دة ماقننل مننن شننهر ت ،وتمتننا المعلومننات فنني اذه المرحلة بكونها عالية اعداء ،أي مدد ا ستفادة منها يكون عاليا ،وفي اذه المرحلنة فنان نقطة التقاء ISO 27001مع إدارة دورة حياة المعلومات سوف تظهر في اذه المرحلة من خننالل البنننود م1-2-4ت مت سنني النظننامت الننذي يضننمن الحفننا علن المعلومننات المسننتجدة ، فضننال عننن اإلبقنناء عل ن س نرزتها باعتباراننا مننادة فعالننة فنني عمليننة اتخنناذ الق نرار س نواء كانننت تنفيذيننة أو إسننتراتيجية ،ثننم ت ن تي المرحلننة الثانيننة والمتمثلننة بمرحلننة المعلومننات اعقننل فاعليننة، والتي يكون عمراا م اقل من سنة ت ،وانا فإن دور المواصفة في انذه المرحلنة سنوف يظهنر بشكل واضح منن خنالل البنندين م3-4ت المتمثلنين بمتطلبنات التوثينق والتني تتكنون منن البننود الفرعية اآلتية : 1-3-4عام :وزوضح سياسة المنظمنة فني عملينة التوثينق ،فضنال عنن اإلجنراءات الال منة لذلك. 2-3-4السيطرة عل الوثائق. 3-3-4السيطرة عل السجالت. أمننا المرحلننة الثالثننة فنني دورة حينناة المعلومننات ،والمتمثلننة بالمعلومننات التارزخيننة والتنني يكننون عمراننا أكثننر مننن سنننة ،واسننتخدامها يكننون بشننكل قليننل ،وتكننون اننذه المرحلننة اسننتم ار ار للمرحلننة الثانية ،أما دور ISO 27001في اذه المرحلة ،فهو إبقاء السيطرة عل الوثائق م البند -4 2-3ت فضال عن مراجعة اإلدارة للنظام بصورة مستمرة مالبند 7ت . 15 أمننا بالنسننبة للمعلومننات الم رشننفة ،والتنني تمثننل المرحلننة اعخينرة لنندورة حينناة المعلومننات ،والتنني تمتننا بكننون الحاجننة إلن المعلومننات فيهننا قليلننة جنندا ،أو نننادرة ،إ فنني حالننة إجنراء التنبن ات، وان ننا تظه ننر أامي ننة المعلوم ننات الم رش ننفة ،وله ننذا ف ننان دور المواص ننفة ISO27001ف نني ا ننذه المرحلة او اإلبقاء عل اذه المعلومات متاحة للقائم بعملية اتخاذ القرار من خنالل البنند م8ت الننذي يهننتم بتحسننين نظننام إدارة وحمايننة المعلومننات ،وخصوصننا فنني البننند م1-8ت الننذي يهننتم بالتحسننين المسننتمر ،واكننذا يمكننن اسننتخدام المعلومننات الم رشننفة ،وتحوزلهننا إل ن معلومننات فعالة ،وبهذا ستبدأ دورة حياة جديدة لهذه المعلومات. أ- االستنتاجات : .1تعتبر المواصنفة ) (ISO 27001:2005قاعندة لتقينيم إدارة حماينة المعلومنات ،باعتبارانا وثيقة لتقييم النظام. .2وجننود توجننت عننالمي جدينند ت اينند مننع ظهننور ثننورة المعلومننات ،واننو مفهننوم إدارة دورة حينناة المعلومننات ،إذ رك ن المفهننوم عل ن كيفيننة التعامننل مننع المعلومننات منننذ و دتهننا ونشننوئها، وصو إل مرحلة حفظ المعلومات . .3مننن المالحننظ وجننود ننندرة وانحسننار فنني الت كينند علن عمننل إدارة دورة حينناة المعلومننات فنني ظنل المواصنفة ) ، (ISO 27001فني حننين اننت يجن أن يعمننل مفهنوم إدارة دورة حينناة المعلوم ننات ف نني ظ ننل المواص ننفة ) (ISO 27001إلعطائ ننت الص ننفة النظامي ننة والقانوني ننة الموحدة . .4ضرورة التركي عل كلح الخ ن وا سترجاع والمعالجة لكل مرحلة من مراحل دورة حيناة المعلومات . .5الت كينند عل ن إن قيمننة المعلومننات حياتها المختلفة واذا - يمكننن أن تنتهنني ،وانمننا تتغيننر بنناختالف م ارحننل دورة ي دي إل تالشي قيمة المعلومات . المقترحات .1ضننرورة التركي ن عل ن المفنناايم الحديثننة التنني تسننلط الضننوء عل ن كننل مننا لننت عالقننة بنندورة حيناة المعلومنات ،والمواصنفة ) (ISO 27001إذ أن المنظمنات الينوم أصنبحت منظمنات تتسم بت ايد اائل في المعلومات ،اعمر النذي يتوجن معنت توجينت اعنظنار نحنو المفناايم التي من شانها أن تسهل وتنظم التعامل مع اذه ال زادات في المعلومات. .2يتوج عل المنظمات الصناعية بشكل عام التركي عل الحفا عل المعلومات إذ أن اذه المعلومات لن تنتهي أو تضمحل قيمتها ،بل ستتغير قيمتها مع منرور الن من ،اعمنر 16 وتن ننوفير سن ننهولة فن نني عملين ننات، ضن ننرورة تن ننوفير وسن ننائل الخ ن ن ن المالئمن ننة الن ننذي يوج ن ن . ا سترجاع والتحديث والمواصنفة، حث المنظمات علن ضنرورة النربط النواقعي بنين إدارة دورة حيناة المعلومنات.3 إذ أن اذا الربط سيوفر وسائل فاعلة وناجحة للتعامنل منع المعلومنات، (ISO 27001) يمك ننن ّ ف نني ا ننذا المج ننال س ننوفISO فضن نالا ع ننن أن حص ننول المنظم ننات علن ن ش ننهادة، واكسابها الطابع العالمي منن خنالل حصنولها،المنظمات من الحصول عل مي ة تنافسية . عل شهادة دولية Source: 1. Alan Calder & Steve Watkins , 2008, IT GOVERNANCE A Manager’s Guide to Data Security and ISO27001/ISO 27002 , 4th edition, London and Philadelphia , British. 2. (http//:arabinfo.blogsspot.com 3. Arnason , Sigurjon Thor & Willett , Keith D. ,2008 , How to Achieve 27001 Certification : An Example of Applied Compliance Management, Taylor & Francis Group, LLC , USA. 4. CSIA , 2007, ISO 27001: Get The Facts , www.csialliance.org . 5. Herve' , Schaner , 2007, ISO 27001Certification, Eurose Forum, Paris, www.hsc.fr . 6. Hinson, Gary , 2008 , ISO27001 Security : The Financial Implications of Implementing ISO/IEC 27001&27002, a generic Cost Benefit Model , Isect. Ltd , www.iso27001security.com . 7. Nicolson, Rick , 2006, information life cycle management in the upstream oil gas industry ,fristbreak ,vol24, january, (www.fristbreack.org) 8. Thompson ,Robert , 2005, information life cycle management (ILM) for data Werhousing www.dmreview.com 9. Wind, Stephen , 2004, moving beyond information life cycle management, www.managementworldline.com 10. http://encyclopedia.thefreedictionary.com 11. http://searchyahoo.com 12. www.businesssolution.bell.ca:2 13. www.intertek-semkocertification,se , 2007 14. www.management1.com 15. www.sapphire.net , 2007, The Principles of ISO 27001 : including differences from BS7799: 2000 16. www.sun.com 17
© Copyright 2024 Paperzz