Professional Documents
Culture Documents
بحث د علي عبد الستار ود النعيمي
بحث د علي عبد الستار ود النعيمي
(أنموذج مقترح)
احمد هاني محمد ألنعيمي د.علي عبد الستار عبد الجبار الحافظ
مدرس أستاذ مساعد
قسم الدارة الصناعية قسم الدارة الصناعية
كلية الدارة والقتصاد /جامعة الموصل كلية الدارة والقتصاد /جامعة الموصل
aliabdulsattar1976@yahoo.com ahmedhanyi@yahoo.com
الملخص:
مواص فة متقدمععة يمكععن مععن خللاهععا تلبيععة متطلبععات الامنظمععة مععن خللا إقامععة تعععد ISO 27001
نظعام إدارة حمايععة الامعلومعات ،يصعلح لاكافعة الامنظمعات سعواء كعانت صعناعية أو خدميعة ،فضعلل ععن
تطعبيق وتشعغيلا ومراقبعة ومراجععة الانظعام ككعلا ،كعذلاك يمكعن اعتبعاره معدخلل لالتحسعين الامسعتمر لانظعام
توثيق إوادارة الامعلومات.
ومن هذا الامنطلق جاء الاتركيز على إدارة دورة حياة الامعلومات ) (ILMكواحدة من الامبادرات الاتي
يتم حالايا مناقشتها على نحو واسع في صناعة الاخزن الامعلوماتي.
وبهذا جاءت هذا الابحث بهدف تسليط الاضوء على دور ISO 27001في تعزيز دور إدارة دورة
حياة الامعلومات ،وما سيسهم به من إتاحة فرص وقدرات وقابليات أكثر في الاتعاملا مع الامعلومات
والابيانات الاتي تتسم بالاتزايد الامضطرد في منظمات العمالا إنتاجية كانت أم خدمية ،وقد استخلص
الابحث إلاى أن وجود ندرة وانحسار في الاتأكيد على عملا إدارة دورة حياة الامعلومات في ظلا
الامواصفة ) ،(ISO 27001في حين انه يجب أن يعملا مفهوم إدارة دورة حياة الامعلومات في ظلا
الامواصفة ) (ISO 27001لعطائه الاصفة الانظامية والاقانونية الاموحدة.
المحور الول الجانب النظري:
تعد الامعلومات احد الامحاور الاحاسمة الاتي توجه الاشركات نحو اتخاذ الاق اررات الاصائبة لاذا
يجب عليها الهتمام الامتزايد بمصادر الامعلومات ومن ثم الاحفاظ عليها ومن الخرين من الطلعا
عليها ،كذلاك دراسة سبلا إبقائها تحت متناولا صناعا الاق اررات داخلا الامنظمة ،أي تقديم الامعلومات
بالاجودة الامطلوبة من اجلا اتخاذ الاقرار الاصائب ،ومن هذا الامنطلق افرد الامحور الولا بتناولا بعض
الاجوانب الانظرية الاهامة بهذا الامجالا وكالتي:
أولل :نظم إدارة حماية المعلومات ) ISO27001المتطلبات( .
ثانيلا :إدارة دورة حياة المعلومات .
1
أولل :نظم إدارة حماية المعلومات ) ISO27001المتطلبات(
مقدمة:
إن الاحاجة الامستديمة لالمعلومات والاتي تعد سلحال فعالل لادى إدارات الامنظمات صناعية
كانت أم خدمية ولاـعد لاديها الاحاجة الاى الاحفاظ على الامعلومات وحمايتها من الاتسرب والاعبث بها من
قبلا جهات غير مرخص لاها الطلعا عليها ،لاذا بدأت الامنظمات بالابحث عن طرائق ووسائلا
مختلفة لاحماية الامعلومات لاهذا قامت منظمة الامقاييس الادولاية ISOبتطوير سلسلة جديدة
متخصصة بحماية الامعلومات وهي ISO27001:2005والاتي يطلق عليها نظم إدارة حماية
الامعلومات )الامتطلبات( ،إذ تزود الامواصفة ISO 27001الامنظمة أنموذج مشترك لاتطبيق
ISMS وتشغيلا وتحسين نظم إدارة حماية الامعلومات (Information Security
) ،Management Systemإن غاية منظمة ISOأن تنسق بين معايير ISO27001مع
معايير نظم الدارة الخرى مثل ل ISO 9001:2000الاتي تخاطب نظم إدارة الاجودة ،وكذلاك
)Arnason & Willett, ISO14001:2004الاتي تخاطب نظم إدارة الابيئة
.(2008,5
كذلاك تزود مواصفة ISO27001إدارات الامنظمات الاصناعية والاخدمية بتوجيهات لاتطبيق نظم
إدارة حماية الامعلومات ، ISMSفضل عن حصولاها على شهادة الاطرف الاثالاث الادولاية لثبات
سيطرة الامنظمة على حماية معلوماتها والاتي تشغلا طبقال لامتطلبات الامعايير الادولاية ،بالضافة الاى
مراقبة إوادامة نظام ISMSمن قبلا منظمة ،ISOوبهذا يجب أن يخاطب نظام إدارة حماية
الامعلومات كلا أطوار الاهيكلا الاتنظيمي ،الاسياسات ،خطط الانشاط ،الامسؤولايات ،الاممارسات،
الجراءات ،الاعمليات وأخي الر مصادر الامعلومات.
إن الاتطبيق الافـعالا لاع ISO27001يوفر لالدارة الاعليا الاوسائلا لامراقبة والاسيطرة على حماية
الامعلومات بينما يقللا من أخطار الاعملا الاناشئ من عدم الاحصولا على الامعلومات بالادقة الامطلوبة،
كذلاك خطر تسرب الامعلومات ،بعد تطبيق الامنظمة الامواصفة ستضمن حماية معلوماتها رسميال
لالتواصلا مع الازبون وشرعية )قانونية( الامنظمة بالضافة الاى إرضاء متطلبات أصحاب الامصالاح
لادى الامنظمة.
2
جاءت الامواصفة ISO27001بالعتماد على الامواصفة الابريطانية BS7799والاتي
كانت نتيجة مبادرة مشتركة من الاقطاعا الاتجاري والاصناعي الابريطاني والاتي بدأت الاعملا عام
1992حيث أصدرت الامواصفة الابريطانية الولاى BS7799في شباط عام ،1995حيث مثلت
قاعدة ممارسات لدارة حماية تكنولاوجيا الامعلومات ،ثم استمرت الامنظمات بتطوير نظام حماية
الامعلومات الاتي أفرزت حلا سمـي بذلاك الاوقت )الاعلج (Cالاذي تبنى إطار لاتطبيق الامعايير
الاخاصة بحماية الامعلومات والاتي تم إطلقها في نيسان عام ،1997لاكن بسبب الاصعوبات الاتي
واجهتها عملية الاتطبيق )لالعلج (Cتم تنفيذه عام ،2000ذلاك بسبب أن BS7799مرر بمراجعة
هامة عام 1998والاتغذية الاعكسية ررتبت وتم مراجعتها مرة أخرى وأطلقت الانسخة الاكاملة الولاى لاع
BS7799عام 1999كنسخة أصلية لاقاعدة الاممارسات وحفظت وسميت بع BS7799الاجزء
الولا ،أما الاجزء الاثاني من الامواصفة الابريطانية BS7799سميت بع )الامواصفات لنظمة إدارة
حماية الامعلومات( والاذي يعتبر نظام مقـيم ومصدق وهو موجه لدارة أنظمة حماية الامعلومات)) .
www.sapphire.net:2007
ثم مرت الامواصفة الابريطانية BS7799بمراجعة أخرى عام 2002وحصلت على الاعديد
من الاتغيرات ،ثم بقت كما هي حتى تم إصدار الامواصفة الادولاية ISO27001في عام 2005
كقاعدة لالممارسات والاتي تأخذ توجيهاتها ووصياتها من الامواصفة الادولاية ISO17799:2000
BS7799. الاموازية لالمواصفة الابريطانية & ( (Calder
Watkins,2008,35
وبهذا يمكن أن تعتبر ISO27001كقاعدة لاتقييم نظام إدارة حماية الامعلومات )(ISMS
الامتكاملا ،أو هي وثيقة الاتي تقييم أي نظام لدارة حماية الامعلومات.
عمليات المعالجة ISO27001:2005وفوائد تطبيقها :
تعد ISO27001معيار الاحماية الادولاي الارسمي الامقدم لي منظمة )بغض الانظر عن
كونها صناعيتال كانت أم خدمية( ترغب بالاحصولا على شهادة مستقلة لانظام إدارة حماية الامعلومات
الاخاصة بهم ،لاهذا تحدد الامواصفة الامتطلبات اللازامية لاتأسيس وتطبيق وتوثيق نظام ،ISMS
وتحديد متطلبات الاسيطرة لاحماية الامعلومات الاتي ستطبق وفق حاجات الامنظمة الاخاصة بها،
وتشملا ) (11مركز لالسيطرة و ) (39هدف لالسيطرة بالضافة الاى ) (133موقع لالسيطرة متوافق
مع الامواصفة ISO17799والاتي تعملا من خللا أنموذج )Plan – Do – Check –(PDCA
Actالاذي يقوم بعملا الاتحسين الامستمر ،وبهذا تستند الامواصفة ISO27001في عملها على
تسعة أجزاء لالمعالاجة الاتي حددها تحالاف صناعة حماية شبكات النترنيت CSIA يمكن
تلخيصها بالتي (CSIA,2007,3) :
3
.1تعريف الامجالا لاعنظام إدارة حماية الامعلومات .ISMS
.2تعريف سياسة حماية الامعلومات .
.3تقييم الخطار /الاتحليلا.
.4إدارة الاخطر.
.5تحديد الهداف لالسيطرة والاسيطرة الافعلية عليها /الاتطبيق.
.6تجهيز بيان )كشف( الاتطبيق.
.7تطبيق وتشغيلا .ISMS
.8استمرار الامراقبة ومراجعة .ISMS
.9إدامة وتحسين .ISMS
ولنجاز نظام ISMSفعالا تستعين منظمة الامواصفات الادولاية ISOمعايير ISO27002
كتعليمات تساعد في تطبيق ISO27001من خللا التي(Arnason& Willett,2008,8) :
.1تقييم الامخاطر والامعالاجة .
.2سياسة الاحماية.
.3تنظيم حماية الامعلومات؟
.4إدارة الاموجودات.
.5حماية معلومات الاموارد الابشرية.
.6حماية الاطبيعة والابيئة.
.7إدارة الاعمليات والتصالت.
.8الاسيطرة على دخولا قواعد الابيانات.
.9الاحصولا على نظم الامعلومات ،الاتطوير ،الدامة.
.10إدارة حوادث لاحماية الامعلومات.
.11إدارة استم اررية الاعملا.
.12اللاتزام )اللاتزام بتطبيق بنود الامواصفة(.
والاشكلا ) (1يوضح آلاية الامعالاجات لالحصولا على شهادة ISO27001
4
هيئة منح الشهادة
ISMS المنظمة
الاشكلا )(1
آلاية الامعالاجات لالحصولا على شهادة ISO27001
5
يمكن أن تتعرف الامنظمة على كيفية إدارة حماية الامعلومات من خللا ثلثة أبعاد )الاسرية،
الاسلمة ،الاتوفر( أو كما وصفها هيئة معايير معالاجة الابيانات التحادية FIPS Federal
Information Processing Standersبأحجار الازاوية لاحماية الامعلومات عام ،2004وذلاك
من خللا تطبيق نظم إدارة حماية الامعلومات ،أو باستعمالا معايير ISO27001كدلايلا لاتطوير
،ISMSكما في الاشكلا):(2
السلمة
السرية التوفر
الشكل )(2
البعاد الثلثة لحماية المعلومات
Source: Arnason , Sigurjon Thor & Willett, Keith D. ,2008, How to
Achieve 27001 Certification An Example of Applied Compliance
Management, Taylor& Francis Group LLC. New York, USA. P3.
ويمكن توضيح هذه البعاد الاثلثة بإيجاز وكالتي :
www.intertek-semkocertification,se , 2007
.1السرية : Confidentialityيوفر هذا الابعد لالمنظمة الاسرية الاتامة لاكافة الامعلومات،
حتى لاو كانت الامعلومات صغيرة وبسيطة.
.2السلمة : Integrityتقدم الامواصفة ISO27001معيار لاحماية وكمالا الامعلومات
وطرائق معالاجتها ،وهذا يضمن الستم اررية إواعادة الاعملا في حالاة وقوعا الاكوارث.
.3التوفر : Availabilityويقصد بالاتوفر هو توفر الامعلومات الامقيد ،إذ أن استخدام
ISO27001لاحماية نظام الامعلومات يؤكد لالمنظمة بأن الامستخدمين الامخولاين هم
الاوحيدين الاقادرين على الاوصولا الاى هذه الامعلومات وأصولاها ،وهذا يجعلا إدارة حماية
الامعلومات مهمة سهلة الامعالاجة.
6
ثانيا :إدارة دورة حياة المعلومات
المفهوم:
طبقا لالحصاءات في بعض الامؤسسات الادولاية ،فان معدلا إنتاجية الاعالام من الابيانات
والامعلومات الارقمية الاناتجة عن استخدام تقانة الامعلومات والتصالت خللا الاعامين الاماضيين قد
تجاوز إجمالاي ما أنتجته الابشرية من معلومات وبيانات طوالا تاريخها ،إذ أصبحت الابيانات
والامعلومات في وقتنا الاحاضر تتسم بالانمو الامضطرد ،و تشير الحصاءات الاى إن الاتزايد في
الابيانات والامعلومات بنسبة ) (40%-20%كمعدلا سنوي وهذا يدلا على إن الاعالام يواجه تيا ار
متدفقا من الامعلومات الاتي تتراكم بسرعة مولادة فيضانا وانفجا ار معلوماتيال رقميال بات من الاصعب
الاسيطرة عليه ،إواذا كانت هذه الاقضية ل تعني الاكثير بالانسبة لالفراد فهي حيوية ومقلقه وضاغطة
لالغاية بالانسبة لالمنظمات بشكلا عام ،ذلاك بسبب ما يعرف بظاهرة جبالا الامعلومات والابيانات
ألارقميه الاتي تتراكم وينمو حجمها بمعدلت سريعة ,ويصعب إدارتها ,وفي الاوقت نفسه تحملا
الامنظمات أموال طائلة لالحفاظ عليها والاناجمة عن العتماد الاكثيف على تكنولاوجيا الامعلومات في
انجاز العمالا)(wind :2004:2
ولاو عدنا إلاى الساس الافكري والانظري لامفهوم إدارة دورة حياة الامعلومات سنجده يهتم بعده
نقاط أساسية(http//:arabinfo.blogsspot.com:4-5):
الولاى :إن إدارة دورة حياة الامعلومات لايست تكنولاوجيا ولاكنها خليط من الاعمليات
والاتكنولاوجيات الاتي تحدد كيف تتدفق أو تمر الابيانات عبر بيئة ما.
الاثانية :إن الاتكلفة عاملا مهم لالغاية ,لاذلاك فهو يربط بين الاحصولا علي قيمه اقتصادية
لالمعلومات وبين تحملا اقلا قدر من الاتكلفة في إنشاء الابنية الساسية الامعلوماتية الامطلوبة
لايس في مجالا تخزين إوادارة الامعلومات فقط ,ولاكن في مراحلا الامعالاجة والانقلا والاتوزيع
وغيرها.
الاثالاثة :انه يمزج بشكلا كاملا بين الهداف الاتي تضعها الامنظمة لانفسها وبين الابنية
الساسية الامعلوماتية لاديها ,مما يستدعي ترجمه الهداف إلاى سياسات تنفذ داخلا
الاشبكات والاحاسبات وأوعيه الاتخزين وغيرها من مكونات الابنية الامعلوماتية.
ويري أصحاب هذا التجاه إن الانقاط الاثلث الاسابقة تجعلا من الامتعين أن يمر الاتنفيذ
الاعملي لامفهوم إدارة دوره حياه الامعلومات بالامراحلا الاتالاية(wind : 2004 :3):
الاتقييم
والافحص
الاتهيئة الجتماعية
الاتصنيف
7
الاميكنة
الامراجعة
تاريخيا الابيانات والامعلومات نقلت من وسيلة خزن إلاى أخرى ،ويتم العتماد مبدئيا على رعمر
هذه الامعلومات أو الابيانات ،أو عدد مرات الطلعا عليها أو الادخولا عليها .القدم أو القلا
استخداما في الاعادة )على الرجح( سوف تتحولا إلاى كلفة قليلة ،وأداء منخفض ،وأنظمة دخولا
واستخدام اقلا ،هذه الامشاكلا الامربكة لالمنظمة جعلتها بحاجة إلاى الامدخلا الافوري )immediate
(accessلالمعلومات الاتي لام تستعملا في اغلب الحيان ،فعلى سبيلا الامثالا الاسجلت الاطبية ربما
تكون قديمة ،أو إن الادخولا والطلعا عليها قد ل يتم إل بشكلا نادر ،بسبب قدمها ،لاكن في
حالت الاطوارئ يجب أن تكون هذه الامعلومات متاحة في الاحالا.
يعرف مفهوم إدارة دورة حياة الامعلومات على "إنها الاسياسات والاعمليات والاممارسات والدوات
الامستعملة لاترتيب قيمة معلومات وبيانات العمالا مع الابنية الاتحتية لاتقانة الامعلومات الكثر
ملئمة ،والقلا كلفة في الاوقت الاذي تعملا به هذه الامعلومات مرو ار بترتيبها الانهائي"وان الامعلومات
سترتب وترصف طبقا لامتطلبات العمالا من خللا إدارة الاسياسات ومستويات الاخدمة الامرتبطة
مع الاتطبيقات ،والاحقائق والابيانات.
)http://encyclopedia.thefreedictionary.com (2:
)(www.sun.com:2
ويرى الاباحثان إن الامفاهيم الارئيسة في هذا الاتعريف هي رصف أو ترتيب قيمة الامعلومات مع الابنية
الاتحتية كفوءة الاكلفة ،وتقانة الامعلومات الكثر ملئمة .فضل عن مستويات الاخدمة الامرتبطة مع
الاتطبيقات والاحقائق والابيانات ،وكلا هذه الامفاهيم لايست جديدة إذ أنها تطبيقات لدارة دورة حياة
الامعلومات ،الاذي كون بدوره مثالا جديد في توجهات صناعة الاخزن
وعليه يشير الاباحثان إلاى أن مفهوم إدارة دورة حياة الامعلومات إلاى انه "الاعمليات ،والاسياسات
،والاممارسات ،والدوات ،الاتي تكون فيها الابيانات والامعلومات متحركة بين صفوف مختلفة
لدوات الاخزن لاضمان كون مستويات الاخدمة الاتي تطلبتها العمالا قد تم تلبيتها بأقلا كلفة كلية
،وانها أيضال تؤتمت تدريجيا عمليات إدارة
ممكنة ،وبالعتماد على محتوى الابيانات والامعلومات إ
الاخزن عبر الاوقت ،وتقللا الامخاطر الاناجمة عن الاخطاء أو الاتدخلا الابشري ،وتحسين حركة
الابيانات بين صفوف الاخزن الامختلفة.
8
أصبح مفهوم دورة حياة الامعلومات من الامفاهيم الاعالامية الامعاصرة ،إذ أن هناك أكثر من )
(20000من النظمة الاتي تؤثر على الاعمليات الاتي تكون فيها الاسجلت مخزنة ،ويمكن الادخولا
إلايها ،ويتم الاحفاظ عليها ،فضل عن صيانتها ،هذه النظمة تحدد حاجة العمالا لالمراقبة الامناسبة
،وادارة دورة الاحياة الاكلية لاسجلت الامنظمات ،وسياسات العمالا ،والاعمليات والاممارسات
إ
،والنظمة يمكن أن تدقق لاغرض اللاتزام بالاقانون .
إن الاحماية ) ، (preservationوالحتفاظ ) ، (retentionوالاتطبيع )، (disposition
لالسجلت اللاكترونية سوف تكون باهظة إذا لام تمتلك الامنظمة خطة جيدة ومطبقة بشكلا ناجح
لدارة دورة حياة الامعلومات )(www.management1.com:2
في حالاة غياب أي معايير رسمية ،فإن منظمات العمالا تعتبر إدارة دورة حياة الامعلومات هي
السلوب الفضلا لاتحسين أداء الامنظمات فيما يتعلق بتخزين الابيانات والامعلومات ،ويجب أن تأخذ
هذه الامنظمات في الاحسبان أن الاممارسات الفضلا هي)( Thompson, 2005,2
.1فهم الاقيمة الاحقيقية بالانسبة لالعمالا:
تحديد أي الابيانات تشترك بشكلا فاعلا في العمالا مقابلا تحديد أي الابيانات ذات فائدة
تاريخية ،أو أخذت من الاحافظات فقط " ، " just in caseإذ إن الامستخدمون يحددون
الابيانات الاتي خزنت في الاحافظات بسبب خشيتهم خسارة الادخولا إلايها ،لاذلاك فتركيزهم
على الحتفاظ الاقريب " "near-line retentionسوف يساعدهم على تسهيلا ق ارراتهم
الامتعلقة بهذه العمالا.
منذ مرحلة الاتطبيق سوف يتم الاتطور خللا الاوقت ،وتضمن بان الاحلولا الاقريبة "near-
" line solutionستتضمن طبقة بيانات مجردة ،لاتمكين الاتطبيق من إزالاة أو إضافة أو
تعديلا أو تكييف عناصر الابيانات ،بدون أي مهام أدارية رئيسة لالبيانات الاقريبة .
. 2توحيد وتبسيط الامعايير الاجزئية :
اعتبر الاوقت كمقياس عند وضع قواعد الرشفة ،معظم العمالا تجد ذلاك السهلا لالفهم
والاتنفيذ بعد ذلاك ،ولاذلاك كثير من عمليات العمالا نفسها أساسها الاوقت ،هذه
الستراتيجية لاوحدها ستؤدي إلاى تقليلا الانتائج إلاى ) %50أو أكثر تخفيضا من ذلاك ( في
حجم الاجزء الامخزون على النترنت.
عند كسب الاتجربة مع أسالايب بسيطة أساسها الاوقت
) (simple time- based methodologyوبعد ذلاك يجب مراعاة الاقواعد الساسية لاسجلت
الستفسار ) (query –logمثلا صنف الامستعملا ) (users classولام ادخلا منذ........) ....
).not accessed since
إستراتيجية الانمو الامنطقي –إدارة الاتجزئة
9
) ، (logical growth – management partitioning strategyيمكنها البقاء على
)drill تفاصيلا الابيانات الاقريبة ،وتجميع الابيانات بشكلا فوري مع الاقدرة على الاسبر لالتفاصيلا
. (to detail
.3صيانة معمارية الاتطبيق الولاي:
الامعمارية الولاية يجب أن تكون مؤرشفة ،وتعيد الاخزن بين الجزاء الافورية والاقريبة ،
وهذا سوف يحافظ على نطاق الاتطبيق الاثنائي الامؤسسي الامطبق في الاوقت الاحاضر ،
ويبسط الدارة ،نموذجيا إعادة الاخزن ) (restoreعملية يمكن أن تؤتمت لامهام موحدة ،
أو عند الاطلب ،ونموذج ) ( drill –to –detailوصف بأنه نموذج مهم ،فضل عن
صيانة سلمة الاتطبيق الاحالاية.
.4اعتبر الرشفة غير الامتصلة ) (offline archivingصفا ،إذا أردت البقاء على الاتاريخ
الاتطبيقات مستم ار عدا الاخادم الولاي )) primary serverلالخزن.
إذا حفظ الاتاريخ لافترات مستمرة ،وتم الادخولا عليه من قبلا الامستعملين ،وبشكلا مستقلا
لاتطبيقات الاخزن الولاية )على سبيلا الامثالا الاتدقيق أو الامشاريع الخرى(
اضمن احتواء ملفات الرشفة على الاحقائق ) ) metadataفضل عن الابيانات الاتي
يكون لاها سياق مستقلا عن الاتطبيق الصلي(Thompson :2005 :2-3).
10
يمكن تأشير الاعديد من الامنافع الاتي يقدمها استخدام مفهوم إدارة دورة حياة الامعلومات وذلاك من
خللا )(www.businesssolution.bell.ca:2
تحسين استخدام الامعلومات خللا صفوف الاخزن الامقسمة .
تبسيط وأتمتة إدارة الامعلومات والابنية الاتحتية لالخزن)(storage infrastructure
إعطاء خيارات أكثر ربحا لستم اررية الادخولا إلاى العمالا وحمايتها .
ضمان الاتزام سهلا من خللا سياسات أساسها الدارة )(policy-based management
تسليم أعلى قيمة في اقلا كلفة كلية بترتيب الابنية الاتحتية لاعملية الاخزن ،إوادارة قيمة
الامعلومات.
الطريق نحو بناء إدارة دورة حياة المعلومات الشاملة:
طور اتحاد الاحاسبات إستراتيجية طويلة الجلا والاتي ل رتعنى بحاجات إدارة دورة حياة الامعلومات
الايوم فحسب ،لاكنها توفر أيضا اتجاها لدارة الامعلومات كموجود بالانسبة لالعملا في الامستقبلا .هذه
الستراتيجية تمكن الازبائن من الابدء بوضع الاحجر الساس لدارة دورة حياة الامعلومات الاخاصة
بهم ،وبسرعتهم الاخاصة ،مع مرونة في اختيار الاحلولا الاصائبة لعمالاهم.
هذه الستراتيجية تعكس ما نراه كأنموذج نضج لدارة دورة حياة الامعلومات.
وكما يوضح الاشكلا رقم) ،(3توجد أربعة مراحلا لالنموذج ،بكلا مستوى أعلى يولاد رصف وانحياز
إلاى حاجات الاعملا ،مستند على قيمة الامعلومات ،والادرجات العلى في التمتة (Wind, 2004,4) :
الامستوى الولا :
إدارة الاخزن وحماية الابيانات ،الامنفذة في الاسنوات الاسابقة ،إذ كانت في الاسابق ل توجد
فعليا كفاءات مؤتمتة ،وفي معظم الاحالت يوجد جهد بشري عالاي،ونموذجيا توجد حالاة من الاتفاعلا
مع الابيئة.
11
توحيد العأمال
ووجهة نظر تقانة
المعلومات
التممتة
محتوى العأمال
الاشكلا )(3
مستويات نمو دورة حياة الامعلومات
Source: Wind, Stephen , 2004, moving beyond information life cycle management
(www.managementworldline.com) :P5
المستوى الثالث:
،وادارة
إدارة محتويات الاعملا .والاذي يتم الاتركيز فيه على تعزيز الاوثائق ،وعمليات الاتوثيق إ
الامحتويات ،وأرشفة الارسائلا ،وهرمية إدارة الاخزن )(hierarchical storage management
،وخللا هذه الامرحلة سوف يتم الاتخطيط تكاملا الامنتجات داخلا ضمن تنوعا أو اختلف علمة
الاعوائلا لتحادات الاحواسيب الاعالامية ،وتطوير الاحلولا الاتي توجه صوب صناعة معينة مثلا
شركات العمالا الامتوسطة والاصغيرة،الاعناية الاصحية،والاخدمات الامالاية.
12
كلا سمات الامشروعا لدارة الامعلومات بشكلا عقلني ذكي ،وبشكلا امن ،وكفوء ولاترتيب الاموجودات
الامعرفية تلك مع أهداف الاعملا .
13
ينطلق الابحث في صياغة فرضياته من تساؤلته الامعروضة واتساقال مع أهدافه بموجب فرضية
رئيسية مفادها أن تطبيقات ISO27001تتكاملا مع إدارة دورة حماية الامعلومات.
بنود خامسال :أنموذج البحث
لجلا معالاجة مشكلة الابحث وتحقيق أهدافهISO
يقدم الابحث أنموذجهر الفتراضي كما في الاشكلا )(4
270
01
الارئي
سية
تحسين مراجعة الاتدقيق مسؤولاية الامتطلبات
الانظام الدارة الاداخلي الدارة الاعامة
الشكل )(4
أنموذج البحث
إذ يوضح الاشكلا ) (4كيفية سيطرة بنود الامواصفة ISO27001:2005على إدارة دورة حياة
الامعلومات ،إذ تتكون مواصفة ISO27001من ثمانية بنود ،وتقسم الاى قسمين:
أولل :بنود عامة وتتكون من التي :
الابند الولا :الامجالا والاذي يوضح فيه مجالا الاتطبيق.
الابند الاثاني :الشارات الامرجعية والاتي توضح الامصدر الارئيسي لالتطبيق وهو
، ISO27001:2005والاتي ترتبط مباشرة مع ISO17799:2005لجلا الاتطبيق.
الابند الاثالاث :الاشروط والاتعاريف وهذا الابند يوضح شروط الاتطبيق وتوضيح الامصطلحات
الامستخدمة لاتجنب إساءة الافهم لالمصطلحات.
ثانيلا :بنود الاتطبيق الارئيسية لالمواصفة وتتكون من الابنود التية:
الابند الارابع :الامتطلبات الاعامة والاذي يوضح متضمنات عمليات الاتشغيلا والامراقبة ومراجعة
وثائق الانظام.
14
الابند الاخامس :مسؤولاية الدارة ضمن هذا الابند يحدد به مدى الاتزام الدارة بتطبيق بنود
الامواصفة ،وتسخير كلا الاموارد الالزمة لنجاح الاتطبيق ،بالضافة الاى الاتدريب الاذهني
وتدريب الاقدرات لادى فريق الاعملا.
الابند الاسادس :الاتدقيق الاداخلي لانظام إدارة وحماية الامعلومات إذ تقوم الامنظمة بإجراء
تدقيقات داخلية على فترات مخطط لاها مسبقا لاتحيد فيما إذا كانت عملية الاتطبيق مطابقة
مع الاخطط الاموضوعة ،فضل عن كشف انحرافات الاتطبيق
الابند الاسابع :مراجعة الدارة ويتم ذلاك من خللا مراجعة مدخلت ومخرجات الانظام.
الابند الاثامن :تحسين الانظام وهنا يتم الاتحسين الامستمر لالنظام من خللا تحديد الجراءات
الاتصحيحية ،فضل عن الجراءات الاوقائية ،لاتجنب وقوعا الخطاء .
ومن خللا الاعرض الامختصر لابنود ) (ISO 27002:2005ستتضح نقاط الرتباط والاتقاطع
لاهذه الامواصفة مع إدارة دورة حياة الامعلومات .وذلاك من خللا تشغيلا بنود )(ISO 27001
الارئيسة )من الابند 4إلاى الابند ( 8ويتم ذلاك في الامرحلة الولاى من دورة حياة الامعلومات ،والاتي
تكون فيها الامعلومات فعالاة وحديثة الاولدة )اقلا من شهر ( ،وتمتاز الامعلومات في هذه الامرحلة
بكونها عالاية الداء ،أي مدى الستفادة منها يكون عالايا ،وفي هذه الامرحلة فان نقطة الاتقاء
ISO 27001مع إدارة دورة حياة الامعلومات سوف تظهر في هذه الامرحلة من خللا الابنود )
) (1-2-4تأسيس الانظام( الاذي يضمن الاحفاظ على الامعلومات الامستجدة ،فضل عن البقاء
على سريتها باعتبارها مادة فعالاة في عملية اتخاذ الاقرار سواء كانت تنفيذية أو إستراتيجية ،ثم
تأتي الامرحلة الاثانية والامتمثلة بمرحلة الامعلومات القلا فاعلية ،والاتي يكون عمرها ) اقلا من
سنة ( ،وهنا فإن دور الامواصفة في هذه الامرحلة سوف يظهر بشكلا واضح من خللا الابندين )
(3-4الامتمثلين بمتطلبات الاتوثيق والاتي تتكون من الابنود الافرعية التية :
4-3-1عام :ويوضح سياسة الامنظمة في عملية الاتوثيق ،فضل عن الجراءات الالزمة
لاذلاك.
4-3-2الاسيطرة على الاوثائق.
4-3-3الاسيطرة على الاسجلت.
أما الامرحلة الاثالاثة في دورة حياة الامعلومات ،والامتمثلة بالامعلومات الاتاريخية والاتي يكون عمرها
أكثر من سنة ،واستخدامها يكون بشكلا قليلا ،وتكون هذه الامرحلة استم ار ار لالمرحلة الاثانية ،أما
دور ISO 27001في هذه الامرحلة ،فهو إبقاء الاسيطرة على الاوثائق ) الابند (2-3-4فضل
عن مراجعة الدارة لالنظام بصورة مستمرة )الابند . (7
أما بالانسبة لالمعلومات الامؤرشفة ،والاتي تمثلا الامرحلة الخيرة لادورة حياة الامعلومات ،والاتي
تمتاز بكون الاحاجة إلاى الامعلومات فيها قليلة جدا ،أو نادرة ،إل في حالاة إجراء الاتنبؤات ،وهنا
15
تظهر أهمية الامعلومات الامؤرشفة ،ولاهذا فان دور الامواصفة ISO27001في هذه الامرحلة هو
البقاء على هذه الامعلومات متاحة لالقائم بعملية اتخاذ الاقرار من خللا الابند ) (8الاذي يهتم
بتحسين نظام إدارة وحماية الامعلومات ،وخصوصا في الابند ) (1-8الاذي يهتم بالاتحسين
الامستمر ،وهكذا يمكن استخدام الامعلومات الامؤرشفة ،وتحويلها إلاى معلومات فعالاة ،وبهذا
ستبدأ دورة حياة جديدة لاهذه الامعلومات.
-1الستنتاجات :
.1تعتبر الامواصفة ) (ISO 27001:2005قاعدة لاتقييم إدارة حماية الامعلومات ،باعتبارها
وثيقة لاتقييم الانظام.
.2وجود توجه عالامي جديد تزايد مع ظهور ثورة الامعلومات ،وهو مفهوم إدارة دورة حياة
الامعلومات ،إذ ركز الامفهوم على كيفية الاتعاملا مع الامعلومات منذ ولدتها ونشوئها،
وصول إلاى مرحلة حفظ الامعلومات .
.3من الاملحظ وجود ندرة وانحسار في الاتأكيد على عملا إدارة دورة حياة الامعلومات في ظلا
الامواصفة ) ،(ISO 27001في حين انه يجب أن يعملا مفهوم إدارة دورة حياة الامعلومات
في ظلا الامواصفة ) (ISO 27001لعطائه الاصفة الانظامية والاقانونية الاموحدة .
.4ضرورة الاتركيز على كلف الاخزن والسترجاعا والامعالاجة لاكلا مرحلة من مراحلا دورة حياة
الامعلومات .
.5الاتأكيد على إن قيمة الامعلومات ل يمكن أن تنتهي ،إوانما تتغير باختلف مراحلا دورة
حياتها الامختلفة وهذا ل يؤدي إلاى تلشي قيمة الامعلومات .
المقترحات -2
.1ضرورة الاتركيز على الامفاهيم الاحديثة الاتي تسلط الاضوء على كلا ما لاه علقة بدورة حياة
الامعلومات ،والامواصفة ) (ISO 27001إذ أن الامنظمات الايوم أصبحت منظمات تتسم
بتزايد هائلا في الامعلومات ،المر الاذي يتوجب معه توجيه النظار نحو الامفاهيم الاتي من
شانها أن تسهلا وتنظم الاتعاملا مع هذه الازيادات في الامعلومات.
.2يتوجب على الامنظمات الاصناعية بشكلا عام الاتركيز على الاحفاظ على الامعلومات إذ أن
هذه الامعلومات لان تنتهي أو تضمحلا قيمتها ،بلا ستتغير قيمتها مع مرور الازمن ،المر
الاذي يوجب ضرورة توفير وسائلا الاخزن الاملئمة ،وتوفير سهولاة في عمليات السترجاعا
والاتحديث .
.3حث الامنظمات على ضرورة الاربط الاواقعي بين إدارة دورة حياة الامعلومات ،والامواصفة )
، (ISO 27001إذ أن هذا الاربط سيوفر وسائلا فاعلة وناجحة لالتعاملا مع الامعلومات ،
16
في هذا الامجالا سوف يـمكن الامنظماتISO فضلل عن أن حصولا الامنظمات على شهادة
إواكسابها الاطابع الاعالامي من خللا حصولاها على شهادة،من الاحصولا على ميزة تنافسية
. دولاية
:Source
1. Alan Calder & Steve Watkins , 2008, IT GOVERNANCE A Manager’s Guide
to Data Security and ISO27001/ISO 27002 , 4th edition, London and
Philadelphia , British.
2. (http//:arabinfo.blogsspot.com
3. Arnason , Sigurjon Thor & Willett , Keith D. ,2008 , How to Achieve 27001
Certification : An Example of Applied Compliance Management, Taylor &
Francis Group, LLC , USA.
4. CSIA , 2007, ISO 27001: Get The Facts , www.csialliance.org .
5. Herve' , Schaner , 2007, ISO 27001Certification, Eurose Forum, Paris,
www.hsc.fr .
6. Hinson, Gary , 2008 , ISO27001 Security : The Financial Implications of
Implementing ISO/IEC 27001&27002, a generic Cost Benefit Model , Isect.
Ltd , www.iso27001security.com .
7. Nicolson, Rick , 2006, information life cycle management in the upstream oil
gas industry ,fristbreak ,vol24, january, (www.fristbreack.org)
8. Thompson ,Robert , 2005, information life cycle management (ILM) for data
Werhousing www.dmreview.com
9. Wind, Stephen , 2004, moving beyond information life cycle management,
www.managementworldline.com
10. http://encyclopedia.thefreedictionary.com
11. http://searchyahoo.com
12. www.businesssolution.bell.ca:2
13. www.intertek-semkocertification,se , 2007
14. www.management1.com
15. www.sapphire.net , 2007, The Principles of ISO 27001 : including differences
from BS7799: 2000
16. www.sun.com
17