‫دور )‪ )ISO 27001:2005‬في تعزيز مفهوم إدارة دورة حياة المعلومات‬
‫)أنموذج مقترح(‬
‫د‪.‬علي عبد الستار عبد الجبار الحافظ‬
‫أستاذ مساعد‬
‫احمد هاني محمد ألنعيمي‬
‫مدرس‬
‫قسم اإلدارة الصناعية‬
‫قسم اإلدارة الصناعية‬
‫كلية اإلدارة واالقتصاد‪ /‬جامعة الموصل‬
‫كلية اإلدارة واالقتصاد‪ /‬جامعة الموصل‬
‫‪[email protected]@yahoo.com‬‬
‫الملخص‪:‬‬
‫تعد ‪ ISO 27001‬مواصفة متقدمة يمكن من خاللها تلبية متطلبات المنظمة من خالل إقامة‬
‫نظام إدارة حماية المعلومات ‪ ،‬يصلح لكافة المنظمات سواء كانت صناعية أو خدمية‪ ،‬فضالا‬
‫عن تطبيق وتشغيل ومراقبة ومراجعة النظام ككل‪ ،‬كذلك يمكن اعتباره مدخالا للتحسين المستمر‬
‫لنظام توثيق وادارة المعلومات‪.‬‬
‫ومننن اننذا المنطلننق جنناء التركي ن علن إدارة دورة حينناة المعلومننات )‪ (ILM‬كواحنندة مننن المبننادرات‬
‫التي يتم حاليا مناقشتها عل نحو واسع في صناعة الخ ن المعلوماتي‪.‬‬
‫وبهذا جاءت اذا البحث بهدف تسليط الضوء علن دور ‪ ISO 27001‬فني تع زن دور إدارة دورة‬
‫حي نناة المعلوم ننات‪ ،‬وم ننا سيس ننهم ب ننت م ننن إتاح ننة ف ننرل وق نندرات وقابلي ننات أكث ننر ف نني التعام ننل م ننع‬
‫المعلومات والبيانات التي تتسم بالت ايد المضطرد في منظمنات اععمنال إنتاجينة كاننت أم خدمينة‪،‬‬
‫وق ن ند اسن ننتخلل البحن ننث إل ن ن أن وجن ننود نن نندرة وانحسن ننار فن نني الت كين نند عل ن ن عمن ننل إدارة دورة حين نناة‬
‫المعلومنات فني ظنل المواصنفة )‪ ، (ISO 27001‬فني حنين اننت يجن‬
‫أن يعمنل مفهنوم إدارة دورة‬
‫حياة المعلومات في ظل المواصفة )‪ (ISO 27001‬إلعطائت الصفة النظامية والقانونية الموحدة‪.‬‬
‫المحور األول الجانب النظري‪:‬‬
‫لننذا يج ن‬
‫تعند المعلومنات احند المحناور الحاسنمة التني توجنت الشنركات نحنو اتخناذ القن اررات الصننائبة‬
‫عليهننا ا اتمننام المت اينند بمصننادر المعلومننات ومننن ثننم الحفننا عليهننا ومننن اآلخ نرزن مننن‬
‫ا طالع عليها‪ ،‬كذلك دراسة سبل إبقائهنا تحنت متنناول صنناع القن اررات داخنل المنظمنة‪ ،‬أي تقنديم‬
‫المعلومننات بننالجودة المطلوبننة مننن اجننل اتخنناذ الق نرار الصننائ ‪ ،‬ومننن اننذا المنطلننق افننرد المحننور‬
‫اعول بتناول بعض الجوان‬
‫النظرزة الهامة بهذا المجال وكا تي‪:‬‬
‫أوالً ‪ :‬نظم إدارة حماية المعلومات ‪( ISO27001‬المتطلبات) ‪.‬‬
‫ثانياً‪ :‬إدارة دورة حياة المعلومات ‪.‬‬
‫‪1‬‬
‫أوالً ‪ :‬نظم إدارة حماية المعلومات ‪( ISO27001‬المتطلبات)‬
‫مقدمة‪:‬‬
‫إن الحاجة المستديمة للمعلومات والتي تعد سالحا فعنا ا لندد إدارات المنظمنات صنناعية‬
‫كانت أم خدمية ولنّد لديها الحاجة ال الحفنا علن المعلومنات وحمايتهنا منن التسنر والعبنث بهنا‬
‫من قبل جهات غير مرخل لها ا طالع عليها‪ ،‬لذا بدأت المنظمات بالبحث عن طرائق ووسائل‬
‫مختلف ننة لحماي ننة المعلوم ننات له ننذا قام ننت منظم ننة المق ننايي‬
‫الدولي ننة ‪ ISO‬بتط ننوزر سلس ننلة جدي نندة‬
‫متخصصننة بحمايننة المعلومننات وانني ‪ ISO27001:2005‬والتنني يطلننق عليهننا نظننم إدارة حمايننة‬
‫المعلومننات مالمتطلبنناتت‪ ،‬إذ ت ن ود المواصننفة ‪ ISO 27001‬المنظمننة أنمننوذ مشننترك لتطبي ننق‬
‫وتشغيل وتحسين نظنم إدارة حماينة المعلومنات ‪ISMS‬‬
‫م ‪Information Security‬‬
‫‪Management System‬ت‪ ،‬إن غايننة منظمننة ‪ ISO‬أن تنسننق بننين معننايير ‪ ISO27001‬مننع‬
‫معننايير نظننم اإلدارة اعخننرد مننثالا ‪ ISO 9001:2000‬التنني تخاطن‬
‫‪ ISO14001:2004‬التنني تخاط ن‬
‫‪2008,5‬ت‪.‬‬
‫نظننم إدارة البيئننة‬
‫نظننم إدارة الجننودة‪ ،‬وكننذلك‬
‫م ‪Arnason & Willett,‬‬
‫كذلك ت ود مواصنفة ‪ ISO27001‬إدارات المنظمنات الصنناعية والخدمينة بتوجيهنات لتطبينق نظنم‬
‫إدارة حماية المعلومات ‪، ISMS‬فضال عن حصولها عل شنهادة الطنرف الثالنث‪ ‬الدولينة إلثبنات‬
‫سننيطرة المنظمننة علن حمايننة معلوماتهننا والتنني تشننغل طبقن ا لمتطلبننات المعننايير الدوليننة‪ ،‬باإلضننافة‬
‫ال مراقبة وادامة نظام ‪ ISMS‬من قبل منظمة ‪ ،ISO‬وبهذا يج‬
‫أن يخاط‬
‫نظنام إدارة حماينة‬
‫المعلومننات كننل أط نوار الهيكننل التنظيمنني‪ ،‬السياسننات‪ ،‬خطننط النشنناا‪ ،‬المس ن وليات‪ ،‬الممارسننات‪،‬‬
‫اإلجراءات‪ ،‬العمليات وأخي ار مصادر المعلومات‪.‬‬
‫الفع ننال ل ن ن ‪ ISO27001‬ي ننوفر ل ننادارة العلي ننا الوس ننائل لمراقب ننة والس ننيطرة علن ن حماي ننة‬
‫إن التطبي ننق ّ‬
‫المعلوم ننات بينم ننا يقل ننل م ننن أخط ننار العم ننل الناش نند م ننن ع نندم الحص ننول علن ن المعلوم ننات بالدق ننة‬
‫المطلوبن ننة‪ ،‬كن ننذلك خطن ننر تسن ننر المعلومن ننات‪ ،‬بعن نند تطبين ننق المنظمن ننة المواصن ننفة ستضن ننمن حماين ننة‬
‫معلوماتها رسميا للتواصل منع ال بنون وشنرعية مقانونينةت المنظمنة باإلضنافة الن إرضناء متطلبنات‬
‫أصحا‬
‫المصالح لدد المنظمة‪.‬‬
‫‪ ‬وهي الجهة المانحة للشهادة ‪ISO 27001‬‬
‫‪2‬‬
‫التطور التاريخي لمواصفة نظم إدارة حماية المعلومات ‪ISO27001‬‬
‫جنناءت المواصننفة ‪ ISO27001‬با عتمنناد عل ن المواصننفة البرزطانيننة ‪ BS7799‬والتنني‬
‫كانننت نتيجننة مبننادرة مشننتركة مننن القطنناع التجنناري والصننناعي البرزطنناني والتنني بنندأت العمننل عننام‬
‫‪ 1992‬حيننث أصنندرت المواصننفة البرزطانيننة اعول ن‬
‫‪ BS7799‬فنني شننباا عننام ‪ ،1995‬حيننث‬
‫مثلننت قاعنندة ممارسننات إلدارة حمايننة تكنولوجينا المعلومننات‪ ،‬ثننم اسننتمرت المنظمننات بتطننوزر نظننام‬
‫حمايننة المعلوم ننات الت ني أف ننر ت حننل س ننمي بننذلك الوق ننت مالعننال ‪C‬ت ال ننذي تبن ن إط ننار لتطبي ننق‬
‫ّ‬
‫المع ننايير الخاصنننة بحماي ننة المعلومن ننات والت نني تنننم إطالقهن ننا ف نني نيسنننان ع ننام ‪،1997‬لك ننن بسنننب‬
‫الص ننعوبات الت نني واجهته ننا عملي ننة التطبي ننق مللع ننال ‪C‬ت ت ننم تنفي ننذه ع ننام ‪ ،2000‬ذل ننك بس ننب‬
‫أن‬
‫‪ BS7799‬م ن رنر بمراجع ننة اام ننة ع ننام ‪ 1998‬والتغذين نة العكس ننية رتب ننت وت ننم مراجعته ننا من نرة أخ ننرد‬
‫وأطلق ننت النس ننخة الكامل ننة اعولن ن ل ن ن ‪ BS7799‬ع ننام ‪ 1999‬كنس ننخة أص ننلية لقاع نندة الممارس ننات‬
‫وحفظت وسميت بن ‪ BS7799‬الج ء اعول‪ ،‬أما الج ء الثاني من المواصفة البرزطانية ‪BS7799‬‬
‫سننميت بن ن مالمواصننفات عنظمننة إدارة حمايننة المعلومنناتت والننذي يعتب نر نظننام مقن ّنيم ومصنند واننو‬
‫موجت إلدارة أنظمة حماية المعلومات‪ .‬م‪( www.sapphire.net:2007‬‬
‫ث ننم م ننرت المواص ننفة البرزطاني ننة ‪ BS7799‬بمراجع ننة أخ ننرد ع ننام ‪ 2002‬وحص ننلت علن ن‬
‫العديند مننن التغينرات‪ ،‬ثننم بقنت كمننا انني حتن تننم إصندار المواصننفة الدولينة ‪ ISO27001‬فنني عننام‬
‫‪ 2005‬كقاعن ن ن نندة للممارس ن ن ن ننات والتن ن ن نني ت خ ن ن ن ننذ توجيهاتهن ن ن ننا ووص ن ن ن ننياتها من ن ن ننن المواص ن ن ن ننفة الدولي ن ن ن ننة‬
‫م‬
‫‪ ISO17799:2000‬الموا زة للمواصفة البرزطانية ‪.BS7799‬‬
‫‪(Calder & Watkins,2008,35‬‬
‫وبهن ننذا يمكن ننن أن تعتبن ننر ‪ ISO27001‬كقاعن نندة لتقين ننيم نظن ننام إدارة حماين ننة المعلوم ن ننات م‪ISMS‬ت‬
‫المتكامل‪ ،‬أو اي وثيقة التي تقييم أي نظام إلدارة حماية المعلومات‪.‬‬
‫عمليات المعالجة ‪ ISO27001:2005‬وفوائد تطبيقها ‪:‬‬
‫تعد ‪ ISO27001‬معينار الحماينة الندولي الرسنمي المقندم عي منظمنة مبغنض النظنر عنن‬
‫كونهن ننا صن ننناعيت ا كانن ننت أم خدمين ننةت ترغ ن ن‬
‫بالحصن ننول عل ن ن شن ننهادة مسن ننتقلة لنظن ننام إدارة حماين ننة‬
‫المعلومات الخاصة بهم‪ ،‬لهذا تحدد المواصفة المتطلبنات اإلل امينة لت سني‬
‫وتطبينق وتوثينق نظنام‬
‫‪ ،ISMS‬وتحدين نند متطلبن ننات السن ننيطرة لحماين ننة المعلومن ننات التن نني س ننتطبق وفن ننق حاجنننات المنظمن ننة‬
‫الخاصننة بهننا‪ ،‬وتشننمل م‪11‬ت مرك ن للسننيطرة و م‪39‬ت انندف للسننيطرة باإلضننافة ال ن م‪133‬ت موقننع‬
‫للسيطرة متوافنق منع المواصنفة ‪ ISO17799‬والتني تعمنل منن خنالل أنمنوذ م‪PDCA‬ت – ‪Plan‬‬
‫‪ Do – Check – Act‬الننذي يقننوم بعمننل التحسننين المسننتمر‪ ،‬وبهننذا تسننتند المواصننفة‬
‫‪3‬‬
‫‪ ISO27001‬في عملهنا علن تسنعة أجن اء للمعالجنة التني حندداا تحنالح صنناعة حماينة شنبكات‬
‫ا نترنيت ‪CSIA‬‬
‫‪‬‬
‫يمكن تلخيصها با تي ‪ :‬م‪CSIA,2007,3‬ت‬
‫‪ .1‬تعرزح المجال لننظام إدارة حماية المعلومات ‪.ISMS‬‬
‫‪ .2‬تعرزح سياسة حماية المعلومات ‪.‬‬
‫‪ .3‬تقييم اعخطار ‪/‬التحليل‪.‬‬
‫‪ .4‬إدارة الخطر‪.‬‬
‫‪ .5‬تحديد اعاداف للسيطرة والسيطرة الفعلية عليها ‪ /‬التطبيق‪.‬‬
‫‪ .6‬تجهي بيان مكشحت التطبيق‪.‬‬
‫‪ .7‬تطبيق وتشغيل ‪.ISMS‬‬
‫‪ .8‬استمرار المراقبة ومراجعة ‪.ISMS‬‬
‫‪ .9‬إدامة وتحسين ‪.ISMS‬‬
‫و نج ننا نظ ننام ‪ ISMS‬فع ننال تس ننتعين منظم ننة المواص ننفات الدولي ننة ‪ ISO‬مع ننايير ‪ISO27002‬‬
‫كتعليمات تساعد في تطبيق ‪ ISO27001‬من خالل اعتي‪ :‬م‪Arnason& Willett,2008,8‬ت‬
‫‪ .1‬تقييم المخاطر والمعالجة ‪.‬‬
‫‪ .2‬سياسة الحماية‪.‬‬
‫‪ .3‬تنظيم حماية المعلومات؟‬
‫‪ .4‬إدارة الموجودات‪.‬‬
‫‪ .5‬حماية معلومات الموارد البشرزة‪.‬‬
‫‪ .6‬حماية الطبيعة والبيئة‪.‬‬
‫‪ .7‬إدارة العمليات وا تصا ت‪.‬‬
‫‪ .8‬السيطرة عل دخول قواعد البيانات‪.‬‬
‫‪ .9‬الحصول عل نظم المعلومات‪ ،‬التطوزر‪ ،‬اإلدامة‪.‬‬
‫‪ .10‬إدارة حوادث لحماية المعلومات‪.‬‬
‫‪ .11‬إدارة استم اررزة العمل‪.‬‬
‫‪ .12‬ا لت ام ما لت ام بتطبيق بنود المواصفةت‪.‬‬
‫والشكل م‪1‬ت يوضح آلية المعالجات للحصول عل شهادة ‪ISO27001‬‬
‫‪‬‬
‫‪Cyber Security Industry Alliance‬‬
‫‪4‬‬
‫هيئة منح الشهادة‬
‫فريق التدقيق‬
‫األطراف المهتمة‬
‫المنظمة‬
‫‪ISMS‬‬
‫الشكل م‪1‬ت‬
‫آلية المعالجات للحصول عل شهادة ‪ISO27001‬‬
‫‪Source : Herve' Schaner , 2007, ISO 27001Certification, Eurose Forum,‬‬
‫‪Paris, www.hsc.fr, P:2 .‬‬
‫فوائد الحصول على شهادة المواصفة ‪ISO27001:2005‬‬
‫اناك عندة أسنبا‬
‫التني تندفع المنظمنة للحصنول علن الشنهادة وذلنك للحصنول علن عندة‬
‫منافع اي‪ :‬م‪Hinson ,2008, 3‬ت‬
‫‪ .1‬المصداقية و زادة الثقة ‪.‬‬
‫‪ .2‬تحسين الشراكة م العمل مع الشرزكت‪.‬‬
‫‪ .3‬زادة ثقة ال بائن وأصحا‬
‫العالقة‪.‬‬
‫‪ .4‬التنظيم وحماية الشرزك التجاري‪.‬‬
‫‪ .5‬شهادة تفيد ب ن المنظمة م الة ومطبقة لكل القوانين النافذة والتعليمات ‪.‬‬
‫‪ .6‬المفاضلة بين المنافسين وكذلك الحصول عل تعليمات بكلح منخفضة‪.‬‬
‫‪5‬‬
‫األبعاد الثالثة لحماية المعلومات‪:‬‬
‫يمكن أن تتعرف المنظمة عل كيفية إدارة حماية المعلومنات منن خنالل ثالثنة أبعناد مالسنرزة‪،‬‬
‫السننالمة‪ ،‬التننوفرت أو كمننا وصننفها ايئننة معننايير معالجننة البيانننات ا تحاديننة ‪FIPS‬‬
‫‪Federal‬‬
‫‪ Information Processing Standers‬ب حجار ال اوية لحماية المعلومات عام ‪ ،2004‬وذلنك‬
‫من خالل تطبيق نظم إدارة حماية المعلومات‪ ،‬أو باسنتعمال معنايير ‪ ISO27001‬كندليل لتطنوزر‬
‫‪ ،ISMS‬كما في الشكلم‪2‬ت‪:‬‬
‫السالمة‬
‫السرية‬
‫التوفر‬
‫الشكل (‪)2‬‬
‫األبعاد الثالثة لحماية المعلومات‬
‫‪Source: Arnason , Sigurjon Thor & Willett, Keith D. ,2008, How to‬‬
‫‪Achieve 27001 Certification An Example of Applied Compliance‬‬
‫‪Management, Taylor& Francis Group LLC. New York, USA. P3.‬‬
‫ويمكن توضيح اذه اعبعاد الثالثة بإيجا وكا تي ‪:‬‬
‫‪www.intertek-semkocertification,se , 2007‬‬
‫‪ .1‬السرية ‪ : Confidentiality‬يوفر اذا البعد للمنظمة السرزة التامة لكافة المعلومات‪،‬‬
‫حت لو كانت المعلومات صغيرة وبسيطة‪.‬‬
‫‪ .2‬السالالمة ‪ : Integrity‬تقنندم المواصنفة ‪ ISO27001‬معينار لحمايننة وكمنال المعلومننات‬
‫وطرائق معالجتها‪ ،‬واذا يضمن ا ستم اررزة واعادة العمل في حالة وقوع الكوارث‪.‬‬
‫‪ .3‬الت الالوفر ‪ : Availability‬ويقص نند ب ننالتوفر ا ننو ت ننوفر المعلوم ننات المقي نند‪ ،‬إذ أن اس ننتخدام‬
‫‪ ISO27001‬لحمايننة نظننام المعلومننات ي كنند للمنظمننة ب ن ن المسننتخدمين المخننولين اننم‬
‫الوحيدين القنادرزن علن الوصنول الن انذه المعلومنات وأصنولها‪ ،‬وانذا يجعنل إدارة حماينة‬
‫المعلومات مهمة سهلة المعالجة‪.‬‬
‫‪6‬‬
‫ثانيا‪ :‬إدارة دورة حياة المعلومات‬
‫المفهوم‪:‬‬
‫طبقنا لاحصنناءات فنني بعننض الم سسنات الدوليننة ‪،‬فننان معنندل إنتاجينة العننالم مننن البيانننات‬
‫والمعلومات الرقمية الناتجنة عنن اسنتخدام تقاننة المعلومنات وا تصنا ت خنالل العنامين الماضنيين‬
‫قد تجاو‬
‫إجمالي ما أنتجتت البشرزة من معلومات وبيانات طوال تارزخهنا ‪ ،‬إذ أصنبحت البياننات‬
‫والمعلومات فني وقتننا الحاضنر تتسنم بنالنمو المضنطرد ‪ ،‬و تشنير اإلحصناءات الن إن الت ايند فني‬
‫البيانننات والمعلومننات بنسننبة م ‪40 -20‬ت كمعنندل سنننوي واننذا ينندل عل ن إن العننالم يواجننت تيننا ار‬
‫متدفقا من المعلومات التي تتراكم بسرعة مولدة فيضانا وانفجا ار معلوماتينا رقمينا بنات منن الصنع‬
‫الس ننيطرة علي ننت‪ ،‬واذا كان ننت ا ننذه القض ننية‬
‫تعن نني الكثي ننر بالنس ننبة ليفن نراد فه نني حيوي ننة ومقلق ننت‬
‫وضاغطة للغاينة بالنسنبة للمنظمنات بشنكل عنام‪ ،‬ذلنك بسنب‬
‫منا يعنرف بظناارة جبنال المعلومنات‬
‫والبيانات ألرقميت التي تتراكم وزنمو حجمهنا بمعند ت سنرزعة‪ ,‬ويصنع‬
‫إدارتهنا‪ ,‬وفني الوقنت نفسنت‬
‫تحم ننل المنظم ننات أمن نوا طائل ننة للحف ننا عليه ننا والناجمن نة ع ننن ا عتم نناد الكثي ننح علن ن تكنولوجي ننا‬
‫المعلومات في انجا اععمال)‪(wind :2004:2‬‬
‫ولو عدنا إل اعسا‬
‫الفكري والنظنري لمفهنوم إدارة دورة حيناة المعلومنات سننجده يهنتم بعنده‬
‫نقاا أساسية‪(http//:arabinfo.blogsspot.com:4-5) :‬‬
‫‪ ‬اعولن ن ‪ :‬إن إدارة دورة حي نناة المعلوم ننات ليس ننت تكنولوجي ننا ولكنه ننا خل ننيط م ننن العملي ننات‬
‫والتكنولوجيات التي تحدد كيح تتدفق أو تمر البيانات عبر بيئة ما‪.‬‬
‫‪ ‬الثانية‪ :‬إن التكلفة عامل مهم للغاية‪ ,‬لذلك فهو يربط بين الحصول علني قيمنت اقتصنادية‬
‫للمعلوم ننات وب ننين تحم ننل اق ننل ق نندر م ننن التكلف ننة ف نني إنش نناء البني ننة اعساس ننية المعلوماتي ننة‬
‫في مجال تخ زن وادارة المعلومات فقط‪ ,‬ولكن في مراحل المعالجة والنقنل‬
‫المطلوبة لي‬
‫والتو زع وغيراا‪.‬‬
‫‪ ‬الثالثننة‪ :‬انننت يمن‬
‫بشننكل كامننل بننين اعاننداف التنني تضننعها المنظمننة لنفسننها وبننين البنيننة‬
‫اعساس ننية المعلوماتي ننة ل ننديها‪ ,‬مم ننا يس ننتدعي ترجم ننت اعا ننداف إلن ن سياس ننات تنف ننذ داخ ننل‬
‫الشبكات والحاسبات وأوعيت التخ زن وغيراا من مكونات البنية المعلوماتية‪.‬‬
‫وزري أصحا‬
‫اذا ا تجاه إن النقاا الثالث السابقة تجعل من المتعين أن يمر التنفيذ‬
‫العملي لمفهوم إدارة دوره حياه المعلومات بالمراحل التالية‪(wind : 2004 :3):‬‬
‫‪ ‬التقييم‬
‫‪ ‬والفحل‬
‫‪ ‬التهيئة ا جتماعية‬
‫‪ ‬التصنيح‬
‫‪7‬‬
‫‪ ‬الميكنة‬
‫‪ ‬المراجعة‬
‫تارزخيننا البيانننات والمعلومننات نقلننت مننن وسننيلة خن ن إلن أخننرد‪ ،‬وزننتم ا عتمنناد مبنندئيا عل ن‬
‫عمننر اننذه المعلومننات أو البيانننات‪ ،‬أو عنندد م نرات ا طننالع عليهننا أو النندخول عليهننا ‪ .‬اعقنندم أو‬
‫اعقل استخداما في العادة معل اعرجحت سوف تتحول إل كلفة قليلة ‪ ،‬وأداء مننخفض‪ ،‬وأنظمنة‬
‫دخنننول واسن ننتخدام اقن ننل ‪،‬انننذه المشن نناكل المربكن ننة للمنظمن ننة جعلتهن ننا بحاجن ننة إل ن ن المن نندخل الفن ننوري‬
‫)‪ (immediate access‬للمعلومننات التنني لننم تسننتعمل فنني اغلن‬
‫اعحيننان ‪،‬فعلن سننبيل المثننال‬
‫السجالت الطبية ربما تكون قديمنة ‪ ،‬أو إن الندخول وا طنالع عليهنا قند‬
‫بسب‬
‫قدمها ‪،‬لكن في حا ت الطوارئ يج‬
‫أن تكون اذه المعلومات متاحة في الحال‪.‬‬
‫يعن ننرف مفهن ننوم إدارة دورة حين نناة المعلومن ننات عل ن ن‬
‫واعدوات المستعملة لترتي‬
‫ينتم إ بشنكل ننادر ‪،‬‬
‫إنهن ننا السياسن ننات والعملين ننات والممارسن ننات‬
‫قيمة معلومات وبيانات اععمنال منع البنينة التحتينة لتقاننة المعلومنات‬
‫اعكثر مالئمة ‪،‬واعقل كلفة في الوقت الذي تعمل بت انذه المعلومنات منرو ار بترتيبهنا النهنائي وان‬
‫المعلوم ننات س ننترت‬
‫وترص ننح طبق ننا لمتطلب ننات اععم ننال م ننن خ ننالل إدارة السياس ننات ومس ننتويات‬
‫الخدمة المرتبطة مع التطبيقات‪ ،‬والحقائق والبيانات‪.‬‬
‫(‪:2) http://encyclopedia.thefreedictionary.com‬‬
‫)‪(www.sun.com:2‬‬
‫وزرد الباحثان إن المفاايم الرئيسنة فني انذا التعرزنح اني رصنح أو ترتين‬
‫قيمنة المعلومنات منع‬
‫البنيننة التحتيننة كفننوءة الكلفننة ‪ ،‬وتقانننة المعلومننات اعكثننر مالئمننة ‪.‬فضننال عننن مسننتويات الخدمننة‬
‫المرتبطننة مننع التطبيقننات والحقننائق والبيانننات ‪،‬وكننل اننذه المفنناايم ليسننت جدينندة إذ أنهننا تطبيقننات‬
‫إلدارة دورة حياة المعلومات ‪،‬الذي كون بدوره مثال جديد في توجهات صناعة الخ ن‬
‫وعليننت يشننير الباحثننان إلن أن مفهننوم إدارة دورة حينناة المعلومننات إلن انننت العمليننات ‪،‬والسياسننات‬
‫‪،‬والممارسننات ‪ ،‬واعدوات‪ ،‬التنني تكننون فيهننا البيانننات والمعلومننات متحركننة بننين صننفوف مختلفننة‬
‫عدوات الخ ن لضمان كون مستويات الخدمة التي تطلبتها اععمال قد تم تلبيتها ب قل كلفة كلينة‬
‫ممكنة ‪،‬وبا عتماد عل محتود البيانات والمعلومنات ‪،‬وانهنا أيضن ا ت تمنت تندرزجيا عملينات إدارة‬
‫الخن ن عبننر الوقننت ‪ ،‬وتقلننل المخنناطر الناجمننة عننن الخطنناء أو التنندخل البشننري‪ ،‬وتحسننين حركننة‬
‫البيانات بين صفوف الخ ن المختلفة‪.‬‬
‫قواعد إدارة دورة حياة المعلومات في مواجهة التحديات ‪:‬‬
‫‪8‬‬
‫أصننبح مفهننوم دورة حينناة المعلومننات مننن المفنناايم العالميننة المعاصنرة‪ ،‬إذ أن اننناك أكثننر‬
‫من م‪20000‬ت من اعنظمة التي ت ثر عل العمليات التي تكون فيها السجالت مخ نة ‪ ،‬ويمكنن‬
‫النندخول إليهننا‪ ،‬وزننتم الحفننا عليهننا‪ ،‬فضننال عننن صننيانتها ‪ ،‬اننذه اعنظمننة تحنندد حاجننة اععمننال‬
‫للمراقبننة المناسننبة ‪،‬وادارة دورة الحينناة الكليننة لسننجالت المنظمننات ‪،‬وسياسننات اععمننال ‪،‬والعمليننات‬
‫والممارسات ‪،‬واعنظمة يمكن أن تدقق لغرض ا لت ام بالقانون ‪.‬‬
‫إن الحماين ن ن ن ننة )‪ ، (preservation‬وا حتفن ن ن ن ننا )‪ ، (retention‬والتطبين ن ن ن ننع )‪، (disposition‬‬
‫للسجالت ا لكترونية سوف تكون بااظة إذا لم تمتلك المنظمة خطة جيدة ومطبقة بشكل ناجح‬
‫إلدارة دورة حياة المعلومات )‪(www.management1.com:2‬‬
‫في حالة غيا‬
‫أي معايير رسمية‪ ،‬فإن منظمات اععمال تعتبنر إدارة دورة حيناة المعلومنات اني‬
‫اعسننلو اعفضننل لتحسننين أداء المنظمننات فيمننا يتعلننق بتخن زن البيانننات والمعلومننات‪ ،‬وزجن‬
‫ت خذ اذه المنظمات في الحسبان أن الممارسات اعفضل اي ) ‪(Thompson, 2005,2‬‬
‫أن‬
‫‪ .1‬فهم القيمة الحقيقية بالنسبة ليعمال‪:‬‬
‫‪ ‬تحديد أي البيانات تشترك بشكل فاعل في اععمال مقابل تحديد أي البياننات ذات فائندة‬
‫تارزخية ‪،‬أو أخذت من الحافظات فقط ‪ ، just in case‬إذ إن المستخدمون يحنددون‬
‫البيانات التي خ نت في الحافظات بسب‬
‫عل ا حتفا القرز‬
‫خشيتهم خسارة الدخول إليهنا ‪ ،‬لنذلك فتركين ام‬
‫"‪ "near-line retention‬سوف يساعدام علن تسنهيل قن ارراتهم‬
‫المتعلقة بهذه اععمال‪.‬‬
‫‪ ‬من ننذ مرحل ننة التطبي ننق س ننوف ي ننتم التط ننور خ ننالل الوق ننت ‪ ،‬وتض ننمن ب ننان الحل ننول القرزب ننة‬
‫" ‪ "near-line solution‬ستتضنمن طبقنة بياننات مجنردة ‪ ،‬لتمكنين التطبينق منن إ النة‬
‫أو إضافة أو تعديل أو تكييح عناصر البيانات ‪ ،‬بدون أي مهنام أدارزنة رئيسنة للبياننات‬
‫القرزبة ‪.‬‬
‫‪ . 2‬توحيد وتبسيط المعايير الج ئية ‪:‬‬
‫‪ ‬اعتبننر الوقننت كمقيننا‬
‫عننند وضننع قواعنند اعرشننفة ‪ ،‬معظننم اععمننال تجنند ذلننك اعسننهل‬
‫للفهم والتنفيذ بعد ذلك ‪ ،‬ولذلك كثير من عمليات اععمنال نفسنها أساسنها الوقنت ‪ ،‬انذه‬
‫اإلستراتيجية لوحداا ست دي إل تقلينل النتنائإ إلن ‪50‬‬
‫في حجم الج ء المخ ون عل ا نترنت‪.‬‬
‫‪ ‬عند كس‬
‫التجربة مع أسالي‬
‫مأو أكثنر تخفيضنا منن ذلنك ت‬
‫بسيطة أساسها الوقت‬
‫)‪ (simple time- based methodology‬وبعد ذلك يج‬
‫م ارعناة القواعند اعساسنية لسنجالت‬
‫ا ستفس ننار )‪ (query –log‬مث ننل ص نننح المس ننتعمل )‪ (users class‬ول ننم ادخ ننل من ننذ‪....‬‬
‫م‪.(not accessed since ........‬‬
‫‪9‬‬
‫‪ ‬إستراتيجية النمو المنطقي –إدارة التج ئة‬
‫)‪ ، (logical growth – management partitioning strategy‬يمكنهننا اإلبقناء علن‬
‫تفاصنيل البياننات القرزبنة ‪ ،‬وتجمينع البياننات بشنكل فنوري منع القندرة علن السنبر للتفاصنيل‬
‫)‪. (drill to detail‬‬
‫‪ .3‬صيانة معمارزة التطبيق اعولي‪:‬‬
‫‪ ‬المعمارزة اعولية يج‬
‫أن تكنون م رشنفة ‪ ،‬وتعيند الخن ن بنين اعجن اء الفورزنة والقرزبنة ‪،‬‬
‫واذا سوف يحافظ عل نطا التطبيق الثنائي الم سسي المطبنق فني الوقنت الحاضنر ‪،‬‬
‫وزبسط اإلدارة ‪ ،‬نموذجيا إعادة الخ ن )‪ (restore‬عملية يمكن أن ت تمنت لمهنام موحندة‬
‫‪ ،‬أو عند الطل‬
‫‪ ،‬ونموذ ) ‪ (drill –to –detail‬وصح ب نت نموذ مهم ‪،‬فضال عن‬
‫صيانة سالمة التطبيق الحالية‪.‬‬
‫‪.4‬اعتبنر اعرشنفة غينر المتصنلة )‪ (offline archiving‬صنفا ‪ ،‬إذا أردت اإلبقناء علن التنارز‬
‫التطبيقات مستم ار عدا الخادم اعولي م‪ (primary server‬للخ ن‪.‬‬
‫‪ ‬إذا حفظ التارز لفترات مستمرة ‪،‬وتم الدخول علينت منن قبنل المسنتعملين ‪،‬وبشنكل مسنتقل‬
‫لتطبيقات الخ ن اعولية معل سبيل المثال التدقيق أو المشارزع اعخردت‬
‫‪ ‬اضمن احتواء ملفات اعرشفة علن‬
‫الحقنائق م ‪ (metadata‬فضنال عنن البياننات التني‬
‫يكون لها سيا مستقل عن التطبيق اعصلي‪(Thompson :2005 :2-3) .‬‬
‫منافع تطبيق إدارة دورة حياة المعلومات‪:‬‬
‫إن المنفعة اعساسية منن تطبينق إدارة دورة حيناة المعلومنات اني تعظنيم قيمنة معلومنات‬
‫اععمنال ‪،‬فضنال عنن تقلينل التكلفنة الكلينة للمالنك )‪ (total coast of ownership‬وتضنمن بنان‬
‫البيانات تخ ن في مدر مستود الخندمات )‪ (service-level tier‬للحصنول علن قيمنة اععمنال‬
‫المت صننلة بهننا ‪،‬فضننال عننن قيمننة البيانننات سننهلة الوصننول باسننتناد إل ن حاجننات اععمننال فنني أي‬
‫مرحلة من م ارحنل دورة حياتهنا ‪.‬بتقلينل الن من المسنتنفد منن قبنل المنوظفين التقنينين النذين يكوننون‬
‫‪،‬ويعالجون اذه البيانات والمعلومات ‪.‬‬
‫إدارة دورة حينناة المعلومننات تسنناعد أيضننا فنني زننادة إنتاجيننة العنناملين ‪،‬وتقليننل كلفننة العنناملين‪ ،‬وفنني‬
‫ذات الوقننت ‪،‬خنندمات إدارة دورة حينناة المعلومننات ك سننلو مفينند للسننيطرة علن كلفننة ا نجننا ‪،‬وادارة‬
‫أنظم ننة الخن ن ن ‪،‬ومن ننافع أخ ننرد مشخص ننة ليعم ننال ناجم ننة ع ننن اعتم نناد أو تنفي ننذ إدارة دورة حي نناة‬
‫المعلومات اي ‪(Nicolson:2006:80) :‬‬
‫‪ ‬النذكاء ألمنظمني ) ‪ (Organizational Agility‬ومثنال ذلنك إيجناد البياننات الصنحيحة‬
‫بصورة أسرع ‪،‬وتقليل ت ثير اعحداث غير المرئية للمنظمة ‪.‬‬
‫‪10‬‬
‫‪ ‬تقليل المخاطر مثال ذلك ا لت ام ألمنظمي ‪ ،‬واستم اررزة العمل ‪،‬اآلمن‪.‬‬
‫يمكن ت شير العديد من المننافع التني يقندمها اسنتخدام مفهنوم إدارة دورة حيناة المعلومنات وذلنك منن‬
‫خالل )‪(www.businesssolution.bell.ca:2‬‬
‫‪ ‬تحسين استخدام المعلومات خالل صفوف الخ ن المقسمة ‪.‬‬
‫‪ ‬تبسيط وأتمتة إدارة المعلومات والبنية التحتية للخ ن‬
‫)‪(storage infrastructure‬‬
‫‪ ‬إعطاء خيارات أكثر ربحا ستم اررزة الدخول إل اععمال وحمايتها ‪.‬‬
‫‪ ‬ض ن ن ننمان التن ن ن ن ام س ن ن ننهل م ن ن ننن خ ن ن ننالل سياس ن ن ننات أساس ن ن ننها اإلدارة‬
‫)‪management‬‬
‫‪ ‬تسننليم أعل ن قيمننة فنني اقننل كلفننة كليننة بترتي ن البنيننة التحتيننة لعمليننة الخ ن ن‪ ،‬وادارة قيمننة‬
‫‪(policy-based‬‬
‫المعلومات‪.‬‬
‫الطريق نحو بناء إدارة دورة حياة المعلومات الشاملة‪:‬‬
‫طور اتحاد الحاسبات إستراتيجية طوزلة اعجل والتي‬
‫اليننوم فحس ن‬
‫تعن بحاجات إدارة دورة حياة المعلومنات‬
‫‪،‬لكنهننا تننوفر أيضننا اتجااننا إلدارة المعلومننات كموجننود بالنسننبة للعمننل فنني المسننتقبل‬
‫‪.‬اننذه اإلسننتراتيجية تمكننن ال بننائن مننن البنندء بوضننع الحجننر اعسننا‬
‫إلدارة دورة حينناة المعلومننات‬
‫الخاصة بهم‪ ،‬وبسرعتهم الخاصة‪ ،‬مع مرونة في اختيار الحلول الصائبة ععمالهم‪.‬‬
‫اذه اإلستراتيجية تعك‬
‫ما نراه ك نموذ نضإ إلدارة دورة حياة المعلومات‪.‬‬
‫وكم ننا يوض ننح الش ننكل رق ننمم‪3‬ت‪ ،‬توج نند أربع ننة م ارح ننل لينم ننوذ ‪ ،‬بك ننل مس ننتود أعلن ن‬
‫يول نند رص ننح‬
‫وانحي ننا إلن ن حاج ننات العم ننل‪ ،‬مس ننتند علن ن قيم ننة المعلوم ننات ‪،‬وال نندرجات اععلن ن ف نني اعتمت ننة ‪:‬‬
‫)‪(Wind, 2004,4‬‬
‫المستود اعول ‪:‬‬
‫إدارة الخ ن وحماية البيانات ‪،‬المنفنذة فني السننوات السنابقة‪ ،‬إذ كاننت فني السنابق‬
‫توجند‬
‫فعليننا كفنناءات م تمتننة ‪ ،‬وفنني معظننم الحننا ت يوجنند جهنند بشننري عالي‪،‬ونموذجيننا توجنند حالننة مننن‬
‫التفاعل مع البيئة‪.‬‬
‫المستوى الثاني ‪:‬‬
‫ويشننمل ذلننك حلننول الخ ن ن الذكيننة )‪ (bright store‬فضننال عننن منتجننات وخنندمات مننن‬
‫اتحننادات الحاس نو والشننركاء ‪،‬وكلهننا متاحننة اليننوم‪ ،‬كننذلك ت ن ود المنظمننة بعننرض شننامل مننع إدارة‬
‫مص ن ننادر الخن ن ن ن المتكامل ن ننة‬
‫‪RESOURCE‬‬
‫‪11‬‬
‫‪STORAGE‬‬
‫‪(INTEGRATED‬‬
‫)‪ MANAGEMENT‬وادارة ش ن ننبكة منطق ن ننة الخن ن ن ن‬
‫‪network‬‬
‫‪area‬‬
‫‪(storage‬‬
‫)‪ ، management‬واسناد واعادة الحلول ‪ ،‬اذا سوف يعطني ال بنائن المعرفنة والفهنم والمعلومنات‬
‫المهمة لصنع القرار الصحيح لعمليات الخ ن الخاصة بهم‪.‬‬
‫توحيد األعمال‬
‫ووجهة نظر تقانة‬
‫المعلومات‬
‫محتوى األعمال‬
‫قيادة األعمال‬
‫المستوى الرابع‬
‫كف‬
‫مستجيب‬
‫االتممتة‬
‫إدارة الخزن‬
‫الذكية‬
‫‪ ‬أعمال الخزن‬
‫المركزة‬
‫‪ ‬إدارة وحماية‬
‫البيانات‬
‫تفاعلي‬
‫المستوى الثالث المستوى الثاني المستوى اعول‬
‫الشكل م‪3‬ت‬
‫مستويات نمو دورة حياة المعلومات‬
‫‪Source: Wind, Stephen , 2004, moving beyond information life cycle management‬‬
‫‪www.managementworldline.com) :P5‬ت‬
‫المستوى الثالث‪:‬‬
‫إدارة محتوي ننات العم ننل ‪.‬وال ننذي ي ننتم التركين ن في ننت علن ن تع ز ن الوث ننائق ‪،‬وعملي ننات التوثي ننق‬
‫‪،‬وادارة المحتوي ن ننات ‪،‬وأرش ن ننفة الرس ن ننائل ‪،‬وارمي ن ننة إدارة الخن ن ن ن‬
‫‪storage‬‬
‫‪(hierarchical‬‬
‫)‪، management‬وخالل اذه المرحلة سوف يتم التخطيط تكامل المنتجات داخل ضمن تنوع أو‬
‫اختالف عالمة العوائل تحادات الحواسي‬
‫العالمية ‪ ،‬وتطوزر الحلول التي توجت صو صناعة‬
‫معينة مثل شركات اععمال المتوسطة والصغيرة‪،‬العناية الصحية‪،‬والخدمات المالية‪.‬‬
‫المستوى الرابع ‪:‬‬
‫توحي نند اععم ننال ووجه ننة نظ ننر تقان ننة المعلوم ننات كرافع ننة للخ نندمات الش ننائعة‪ ،‬والت نني ا نني‬
‫مالبرامجينات ‪،‬واعجن اء التني تنودي الوظنائح القابلنة لالسنتعمال منرة أخنرد ‪reusable function‬‬
‫عبر مجا ت اإلدارة المتعنددةت ‪ ،‬وتطنوزر إدارة قاعندة بياننات مرك زنة‪ ،‬واعطناء وجهنة نظنر وحيندة‬
‫‪12‬‬
‫عننن كننل سننمات المشننروع إلدارة المعلومننات بشننكل عقالننني ذكنني‪ ،‬وبشننكل امننن‪ ،‬وكفننوء ولترتي ن‬
‫الموجودات المعرفية تلك مع أاداف العمل ‪.‬‬
‫المحور الثاني الجانب الميداني‪:‬‬
‫يتضمن اذا المحور منهجية البحث باإلضافة إل نقاا التداخل وا رتباا بين ‪ISO27001‬‬
‫ودورة حياة المعلومات وكا تي ‪:‬‬
‫منهجية البحث‬
‫أو ا ‪ :‬أامية البحث‬
‫ي نرتبط نجننام المنظمننات بصننورة عامننة والشننركات الصننناعية بصننورة خاصننة فنني الوقننت الحاضننر‬
‫بالعديد من العوامل ومنن ضنمنها سنرزة المعلومنات باإلضنافة الن ا اتمنام بندورة حيناة المعلومنات‬
‫والحف ننظ عليه ننا م ننن التالعن ن‬
‫والعب ننث‪ ،‬وان ننا تجلن ن أامي ننة البح ننث م ننن خ ننالل تعرز ننح الش ننركات‬
‫الصننناعية بمحتننود المواصننفة ‪ ISO27001‬باعتباراننا أداة فعالننة تمنننح شننهادة دوليننة بن ن المنظمننة‬
‫تخضع للمعايير الدولية بالمحافظة عل بياناتها وسرزتها‪.‬‬
‫ثانياً ‪ :‬مشكلة البحث‬
‫يمكن توضيح مضامين مشكلة البحث من خالل عدد من التسا ت وعل النحو اعتي‪:‬‬
‫‪ .1‬اننل لنندد الشننركات الصننناعية إلمننام بالمواصننفة ‪ ISO2001‬الخاصننة بنننظم إدارة حمايننة‬
‫المعلومات ؟‬
‫‪ .2‬ما اي المستل مات لتطبيق مفهوم إدارة دورة حماية المعلومات؟‬
‫‪ .3‬ما مدد التوافق بين ‪ ISO27001‬و إدارة دورة حماية المعلومات ؟\‬
‫ثالثاً‪ :‬أهداف البحث‬
‫فنني إطننار تحدينند مشننكلة البحننث وأاميتننت فننإن انندف البحننث ينصن أساسنا علن تشننخيل وتحدينند‬
‫دور ‪ ISO 27001:2005‬فنني تع ز ن مفهننوم إدارة دورة حينناة المعلومننات‪ ،‬فض نالا عننن تحقيننق‬
‫اعاداف اآلتية ‪:‬‬
‫‪ .1‬الت كي نند علن ن المف نناايم الحديث ننة ف نني ج ننودة حماي ننة المعلوم ننات‪ ،‬ذل ننك م ننن خ ننالل توظي ننح‬
‫المواصفة ‪ ISO 27001‬كمواصفة حديثة لحماية المعلومات‪.‬‬
‫‪ .2‬تحقيق ا ستفادة القصود من المعلومات وبشكل فعال‪.‬‬
‫‪ .3‬إيجاد نقاا ا رتباا بين ‪ ISO27001‬و إدارة دورة حماية المعلومات‪.‬‬
‫رابعاً‪ :‬فرضيات البحث‬
‫‪13‬‬
‫ينطلننق البحننث فنني صننياغة فرضننياتت مننن تسننا تت المعروضننة واتسنناق ا مننع أادافننت بموجن‬
‫رئيسية مفاداا أن تطبيقات ‪ ISO27001‬تتكامل مع إدارة دورة حماية المعلومات‪.‬‬
‫فرضننية‬
‫خامساً ‪ :‬أنموذج البحث‬
‫عجل معالجة مشكلة البحث وتحقيق أادافت يقدم البحث أنموذجت ا فتراضي كما في الشكل م‪4‬ت‬
‫بنود ‪ ISO 27001‬الرئيسية‬
‫المتطلبات‬
‫مس ولية‬
‫التدقيق‬
‫مراجعة‬
‫تحسين‬
‫العامة‬
‫اإلدارة‬
‫الداخلي‬
‫اإلدارة‬
‫النظام‬
‫دورة حياة المعلومات‬
‫فعالة‬
‫اقل فاعلية‬
‫تارزخية‬
‫م رشفة‬
‫الشكل (‪)4‬‬
‫أنموذج البحث‬
‫إذ يوضننح الشننكل م‪4‬ت كيفيننة سننيطرة بنننود المواصننفة ‪ ISO27001:2005‬عل ن‬
‫المعلومات‪ ،‬إذ تتكون مواصفة ‪ ISO27001‬من ثمانية بنود‪ ،‬وتقسم ال قسمين‪:‬‬
‫إدارة دورة حينناة‬
‫أو ا ‪ :‬بنود عامة وتتكون من اعتي ‪:‬‬
‫‪ ‬البند اعول ‪ :‬المجال والذي يوضح فيت مجال التطبيق‪.‬‬
‫‪ ‬البن ن نند الثنن نناني‪ :‬اإلشن ن ننارات المرجعينن ننة والتنن نني توض ن ننح المص ن نندر الرئيس ن نني للتطبين ن ننق وانن ننو‬
‫‪ ، ISO27001:2005‬والتي ترتبط مباشرة مع ‪ ISO17799:2005‬عجل التطبيق‪.‬‬
‫‪ ‬البنن ن نند الثالن ن ننث ‪ :‬الشن ن ننروا والتعن ن ننارزح وان ن ننذا البنن ن نند يوضن ن ننح شن ن ننروا التطبين ن ننق وتوضن ن ننيح‬
‫المصطلحات المستخدمة لتجن‬
‫إساءة الفهم للمصطلحات‪.‬‬
‫ثانيا‪ :‬بنود التطبيق الرئيسية للمواصفة وتتكون من البنود اآلتية‪:‬‬
‫‪ ‬البن نند ال ارب ننع ‪ :‬المتطلب ننات العام ننة وال ننذي يوض ننح متضن نمنات عملي ننات التش ننغيل والمراقب ننة‬
‫ومراجعة وثائق النظام‪.‬‬
‫‪14‬‬
‫‪ ‬البند الخام‬
‫‪ :‬مس ولية اإلدارة ضمن اذا البند يحدد بت مندد التن ام اإلدارة بتطبينق بننود‬
‫المواصفة‪ ،‬وتسخير كل المنوارد الال منة إلنجنام التطبينق‪ ،‬باإلضنافة الن التندرز‬
‫وتدرز‬
‫النذاني‬
‫القدرات لدد فرزق العمل‪.‬‬
‫‪ ‬البننند السناد‬
‫‪ :‬التنندقيق الننداخلي لنظننام إدارة وحمايننة المعلومننات إذ تقننوم المنظمننة بننإجراء‬
‫تدقيقات داخلية عل فترات مخطط لها مسبقا لتحيد فيما إذا كانت عملية التطبيق مطابقة‬
‫مع الخطط الموضوعة ‪،‬فضال عن كشح انحرافات التطبيق‬
‫‪ ‬البند السابع‪ :‬مراجعة اإلدارة وزتم ذلك من خالل مراجعة مدخالت ومخرجات النظام‪.‬‬
‫‪ ‬البنننند الثنننامن ‪ :‬تحسنننين النظن ننام وانن ننا ينننتم التحسنننين المس ننتمر للنظنننام م ننن خ ننالل تحدين نند‬
‫اإلجراءات التصحيحية‪ ،‬فضال عن اإلجراءات الوقائية‪ ،‬لتجن‬
‫وقوع اعخطاء ‪.‬‬
‫ومن خالل العرض المختصر لبنود )‪ (ISO 27002:2005‬ستتضح نقاا ا رتباا والتقناطع‬
‫لهذه المواصفة مع إدارة دورة حياة المعلومات ‪ .‬وذلك من خالل تشغيل بنود )‪(ISO 27001‬‬
‫الرئيسنة ممنن البنند ‪ 4‬إلن البنند ‪ 8‬ت وزنتم ذلننك فني المرحلنة اعولن منن دورة حيناة المعلومننات‪،‬‬
‫والتنني تكننون فيهننا المعلومننات فعالننة وحديثننة الننو دة ماقننل مننن شننهر ت‪ ،‬وتمتننا المعلومننات فنني‬
‫اذه المرحلة بكونها عالية اعداء‪ ،‬أي مدد ا ستفادة منها يكون عاليا‪ ،‬وفي اذه المرحلنة فنان‬
‫نقطة التقاء ‪ ISO 27001‬مع إدارة دورة حياة المعلومات سوف تظهر في اذه المرحلة من‬
‫خننالل البنننود م‪1-2-4‬ت مت سنني‬
‫النظننامت الننذي يضننمن الحفننا علن المعلومننات المسننتجدة ‪،‬‬
‫فضننال عننن اإلبقنناء عل ن س نرزتها باعتباراننا مننادة فعالننة فنني عمليننة اتخنناذ الق نرار س نواء كانننت‬
‫تنفيذيننة أو إسننتراتيجية‪ ،‬ثننم ت ن تي المرحلننة الثانيننة والمتمثلننة بمرحلننة المعلومننات اعقننل فاعليننة‪،‬‬
‫والتي يكون عمراا م اقل من سنة ت‪ ،‬وانا فإن دور المواصفة في انذه المرحلنة سنوف يظهنر‬
‫بشكل واضح منن خنالل البنندين م‪3-4‬ت المتمثلنين بمتطلبنات التوثينق والتني تتكنون منن البننود‬
‫الفرعية اآلتية ‪:‬‬
‫‪ 1-3-4‬عام ‪ :‬وزوضح سياسة المنظمنة فني عملينة التوثينق ‪ ،‬فضنال عنن اإلجنراءات الال منة‬
‫لذلك‪.‬‬
‫‪ 2-3-4‬السيطرة عل الوثائق‪.‬‬
‫‪ 3-3-4‬السيطرة عل السجالت‪.‬‬
‫أمننا المرحلننة الثالثننة فنني دورة حينناة المعلومننات‪ ،‬والمتمثلننة بالمعلومننات التارزخيننة والتنني يكننون‬
‫عمراننا أكثننر مننن سنننة‪ ،‬واسننتخدامها يكننون بشننكل قليننل‪ ،‬وتكننون اننذه المرحلننة اسننتم ار ار للمرحلننة‬
‫الثانية‪ ،‬أما دور ‪ ISO 27001‬في اذه المرحلة‪ ،‬فهو إبقاء السيطرة عل الوثائق م البند ‪-4‬‬
‫‪2-3‬ت فضال عن مراجعة اإلدارة للنظام بصورة مستمرة مالبند ‪7‬ت ‪.‬‬
‫‪15‬‬
‫أمننا بالنسننبة للمعلومننات الم رشننفة‪ ،‬والتنني تمثننل المرحلننة اعخينرة لنندورة حينناة المعلومننات‪ ،‬والتنني‬
‫تمتننا بكننون الحاجننة إلن المعلومننات فيهننا قليلننة جنندا‪ ،‬أو نننادرة‪ ،‬إ فنني حالننة إجنراء التنبن ات‪،‬‬
‫وان ننا تظه ننر أامي ننة المعلوم ننات الم رش ننفة‪ ،‬وله ننذا ف ننان دور المواص ننفة ‪ ISO27001‬ف نني ا ننذه‬
‫المرحلة او اإلبقاء عل اذه المعلومات متاحة للقائم بعملية اتخاذ القرار من خنالل البنند م‪8‬ت‬
‫الننذي يهننتم بتحسننين نظننام إدارة وحمايننة المعلومننات‪ ،‬وخصوصننا فنني البننند م‪1-8‬ت الننذي يهننتم‬
‫بالتحسننين المسننتمر‪ ،‬واكننذا يمكننن اسننتخدام المعلومننات الم رشننفة ‪ ،‬وتحوزلهننا إل ن معلومننات‬
‫فعالة ‪،‬وبهذا ستبدأ دورة حياة جديدة لهذه المعلومات‪.‬‬
‫أ‪-‬‬
‫االستنتاجات‬
‫‪:‬‬
‫‪ .1‬تعتبر المواصنفة )‪ (ISO 27001:2005‬قاعندة لتقينيم إدارة حماينة المعلومنات‪ ،‬باعتبارانا‬
‫وثيقة لتقييم النظام‪.‬‬
‫‪ .2‬وجننود توجننت عننالمي جدينند ت اينند مننع ظهننور ثننورة المعلومننات‪ ،‬واننو مفهننوم إدارة دورة حينناة‬
‫المعلومننات ‪ ،‬إذ رك ن المفهننوم عل ن كيفيننة التعامننل مننع المعلومننات منننذ و دتهننا ونشننوئها‪،‬‬
‫وصو إل مرحلة حفظ المعلومات ‪.‬‬
‫‪ .3‬مننن المالحننظ وجننود ننندرة وانحسننار فنني الت كينند علن عمننل إدارة دورة حينناة المعلومننات فنني‬
‫ظنل المواصنفة )‪ ، (ISO 27001‬فني حننين اننت يجن‬
‫أن يعمننل مفهنوم إدارة دورة حينناة‬
‫المعلوم ننات ف نني ظ ننل المواص ننفة )‪ (ISO 27001‬إلعطائ ننت الص ننفة النظامي ننة والقانوني ننة‬
‫الموحدة ‪.‬‬
‫‪ .4‬ضرورة التركي عل كلح الخ ن وا سترجاع والمعالجة لكل مرحلة من مراحل دورة حيناة‬
‫المعلومات ‪.‬‬
‫‪ .5‬الت كينند عل ن إن قيمننة المعلومننات‬
‫حياتها المختلفة واذا‬
‫‪-‬‬
‫يمكننن أن تنتهنني‪ ،‬وانمننا تتغيننر بنناختالف م ارحننل دورة‬
‫ي دي إل تالشي قيمة المعلومات ‪.‬‬
‫المقترحات‬
‫‪ .1‬ضننرورة التركي ن عل ن المفنناايم الحديثننة التنني تسننلط الضننوء عل ن كننل مننا لننت عالقننة بنندورة‬
‫حيناة المعلومنات‪ ،‬والمواصنفة )‪ (ISO 27001‬إذ أن المنظمنات الينوم أصنبحت منظمنات‬
‫تتسم بت ايد اائل في المعلومات‪ ،‬اعمر النذي يتوجن‬
‫معنت توجينت اعنظنار نحنو المفناايم‬
‫التي من شانها أن تسهل وتنظم التعامل مع اذه ال زادات في المعلومات‪.‬‬
‫‪ .2‬يتوج‬
‫عل المنظمات الصناعية بشكل عام التركي عل الحفا عل المعلومات إذ أن‬
‫اذه المعلومات لن تنتهي أو تضمحل قيمتها‪ ،‬بل ستتغير قيمتها مع منرور الن من‪ ،‬اعمنر‬
‫‪16‬‬
‫ وتن ننوفير سن ننهولة فن نني عملين ننات‬، ‫ضن ننرورة تن ننوفير وسن ننائل الخ ن ن ن المالئمن ننة‬
‫الن ننذي يوج ن ن‬
. ‫ا سترجاع والتحديث‬
‫ والمواصنفة‬، ‫ حث المنظمات علن ضنرورة النربط النواقعي بنين إدارة دورة حيناة المعلومنات‬.3
‫ إذ أن اذا الربط سيوفر وسائل فاعلة وناجحة للتعامنل منع المعلومنات‬، (ISO 27001)
‫يمك ننن‬
ّ ‫ ف نني ا ننذا المج ننال س ننوف‬ISO ‫ فضن نالا ع ننن أن حص ننول المنظم ننات علن ن ش ننهادة‬،
‫ واكسابها الطابع العالمي منن خنالل حصنولها‬،‫المنظمات من الحصول عل مي ة تنافسية‬
. ‫عل شهادة دولية‬
Source:
1. Alan Calder & Steve Watkins , 2008, IT GOVERNANCE A Manager’s Guide
to Data Security and ISO27001/ISO 27002 , 4th edition, London and
Philadelphia , British.
2. (http//:arabinfo.blogsspot.com
3. Arnason , Sigurjon Thor & Willett , Keith D. ,2008 , How to Achieve 27001
Certification : An Example of Applied Compliance Management, Taylor &
Francis Group, LLC , USA.
4. CSIA , 2007, ISO 27001: Get The Facts , www.csialliance.org .
5. Herve' , Schaner , 2007, ISO 27001Certification, Eurose Forum, Paris,
www.hsc.fr .
6. Hinson, Gary , 2008 , ISO27001 Security : The Financial Implications of
Implementing ISO/IEC 27001&27002, a generic Cost Benefit Model , Isect.
Ltd , www.iso27001security.com .
7. Nicolson, Rick , 2006, information life cycle management in the upstream oil
gas industry ,fristbreak ,vol24, january, (www.fristbreack.org)
8. Thompson ,Robert , 2005, information life cycle management (ILM) for data
Werhousing www.dmreview.com
9. Wind, Stephen , 2004, moving beyond information life cycle management,
www.managementworldline.com
10. http://encyclopedia.thefreedictionary.com
11. http://searchyahoo.com
12. www.businesssolution.bell.ca:2
13. www.intertek-semkocertification,se , 2007
14. www.management1.com
15. www.sapphire.net , 2007, The Principles of ISO 27001 : including differences
from BS7799: 2000
16. www.sun.com
17