‫استراتيجية أمن المعلومات‬

‫استراتيجية أمن المعلومات‬

‫‪Strategy of Information Security‬‬

‫‪‬‬
‫د‪ /‬قدايفة أمينة‬
‫أستاذة محاضرة قسم ب‬
‫جامعة أمحمد بوقرة بومرداس‬

‫الملخص‬
‫املعلومات هي من أهم املوجودات الضرورية يف أي مؤسسة؛ لذا فإن هناك حاجة حلمايتها‬
‫والتأكد من خصوصيتها وتكاملها وتوافرها‪ ،‬ومن أهم عوامل احلافا عل أمن املعلومات هو وع‬
‫سياسات وإجراءات كافية حلمايتها‪.‬‬
‫إسرتاتيجية األمن هي األساس ألمن املعلومات يف أي منظمة؛ فالسياسة املكتوبة واملنافذة‬
‫بشكل جيد حتتوي معلومات كافية ملا جيب عمله حلماية املعلومات والعاملني يف املنظمة‪ ،‬وإسرتاتيجية‬
‫األمن كذلك تؤسس قواعد استخدام احلاسب للموظافني فيما يتعلق مبهامهم الافعلية‪.‬‬
‫جيب أن يقر مدير املنظمة حبقيقة وجود املخاطر األمنية وكيافية جتنبها؛ فتنافيذ السيطرة واملراقبة يتطلب‬
‫خطة حمكمة‪ ،‬باإلعافة إىل تافاعل مجي موظافي املنظمة‪ ،‬والذي سيؤدي بدوره إىل جناح إدارة أمن‬
‫املعلومات‪ .‬إن اهلدف من صياغة إسرتاتيجية األمن وتنافيذها هو حتسني توافر املعلومات وتكاملها‪،‬‬
‫وخصوصيتها كذلك من داخل وخارج املنظمة‪ .‬وسيتطرق يف هذه الدراسة إىل ماهية أمن املعلومات‪،‬‬
‫ومن مث سيوعح مافهوم‪ ،‬وأمهية‪ ،‬وأهداف أمن املعلومات وأركاهنا‪ ،‬وبعد ذلك سيتطرق إىل بعض‬
‫املخاطر اليت تتعرض هلا العمليات اإللكرتونية وكيافية احلماية منها‪ ،‬ويف النهاية ستذكر ماهية‬
‫إسرتاتيجية أمن املعلومات من خالل التطرق إىل مافهوم‪ ،‬وأهداف‪ ،‬وخصائص ومنطلقات إسرتاتيجية‬
‫أمن املعلومات‪ ،‬ومكونات وخطوات بناء اإلسرتاتيجية األمنية‪ ،‬اليت تعطي اخلطوة الصحيحة لتطبيق‬
‫احلماية األمنية للمعلومات‪.‬‬
‫الكلمات المفتاحية‪ :‬املعلومات‪ ،‬أمن املعلومات‪ ،‬املخاطر‪ ،‬السياسة األمنية‪ ،‬اسرتاتيجية أمن‬
‫املعلومات‪.‬‬

‫‪‬‬
‫‪kedaifa_imene1@yahoo.fr‬‬

‫‪160‬‬
 ‫استراتيجية أمن المعلومات‬

Abstract:
Information is the most important asset in any project, therefore
there is a need to protect and ensure its privacy, integrity and availability.
The most important factors in developing and maintaining information
security are the development of policies and procedures for its protection.
Security Strategy is fundamental for information security in any
organization, so the written and the executed policy should contains
sufficient information about what must be done to protect the
information and employees in the organization. Even the security
strategy establishes the rules for using the computer by employees
regarding their actual duties.
Managers of organizations must approve the fact that security risks
exist and that is necessary to avoid them, control and supervising
execution require a consistent plan, in addition to the interaction of all
the staff of the organization in this, which in turn will lead to the success
of information security management.
Therefore, the aim of the establishment and implementation of the
security strategy is to improve the availability of information, and its
integrity and its privacy, inside the organization and outside it.
In this study, we will analyze the information security and clarify it
and present its importance, its objectives and its elements. Then, we will
show some risks facing the information security and propose some
solutions. Finally, we will illustrate the elements of strategy of
information security through the determination of its concept, its
objectives, its properties and its requirements, and the presentation of
components and steps of the conception of security strategy which
ensure the protection of the information.
Key-Words: Information, Information Security, Risks, Security Policy,
Strategy of Information Security.

161
 ‫استراتيجية أمن المعلومات‬

‫المقدمة العامة‬
‫إن مناقشة األمن يف ظل هذه التطورات التقنية ليس باألمر السهل‪ ،‬ومصطلح أمن املعلومات‬
‫مافهوم شامل حيتوي عدة أمور‪ ،‬منها أمن الشبكات‪ ،‬وأمن األجهزة املستخدمة‪ ،‬وأمن املنظمات‪،‬‬
‫واألمن القانوين‪ .‬ولوع تصور شامل حلماية وأمن املعلومات ال بد أن نأخذ يف احلسبان اإلسرتاتيجية‬
‫األمنية )أمن األجهزة واألدوات‪ ،‬أمن الشبكات‪ ،‬األمن املنظم‪ ،‬األمن القانوين(‪ .‬واإلسرتاتيجية األمنية‬
‫تعترب الغطاء األمين جلمي اجلوانب األمنية‪ ،‬وهي اليت تعطي كيافية إجناز األمن‪ ،‬وجيب بناؤها عل‬
‫املتطلبات وليس عل االعتبارات التقنية‪ .‬واألهداف السياسية ألي إسرتاتيجية أمنية جيب أن تكون‬
‫إلبقاء السرية والسالمة والكمال والتوفر لكل أصول الثروة املعلوماتية للشركات واتصاالهتا‪ .‬وتشري‬
‫السرية إىل املعلومات السرية اليت ال يراها إال البعض مثل‪ :‬املديرون‪ ،‬واملشرفون‪ ،‬وبعض املستخدمني‪.‬‬
‫وهذه املعلومات جيب أن تبق خاصة باملنظمة‪ ،‬وببعض املستخدمني عمن الشركة‪ ،‬وهي أيضاً حتافظ‬
‫املعلومات من االطالع والكشف غري املخول أو املافاج‪ ..‬وتشري السالمة والكمال إىل معلومات‬
‫وبيانات املنظمة‪ ،‬ومن املهم أن تكون دقيقة وحديثة جداً‪ .‬والتكامل أو السالمة حتمي املعلومات من‬
‫التعديل غري املخول أو املافاج‪ ..‬وأخرياً التوفر‪ ،‬ويشري إىل الوصول إىل معلومات ومصادر املنظمة‪،‬‬
‫ومن املهم جداً أن تكون املعلومات ومصادر املنظمة متوفرة بسهولة‪ .‬والتوافر يضمن الوصول املوثوق‬
‫فيه للبيانات مىت وأينما دعت احلاجة لذلك‪ ،‬وجيب عل اإلسرتاتيجية األمنية أن تض يف احلسبان‬
‫هذه األهداف الثالثة عند دراسة أي هتديدات حمتملة للمنظمة‪.‬‬
‫وعل إثر ذلك ميكن التطرق إىل اإلشكالية التالية‪:‬‬
‫كيف ميكن تبين إسرتاتيجية أمنية عرورية والزمة حلماية أمن املعلومات يف املنظمة؟‬
‫ولإلجابة عن هذه اإلشكالية‪ ،‬وجب علينا توعيح مجلة من التساؤالت الافرعية‪ ،‬واليت نوجزها كاآليت‪:‬‬
‫‪ -1‬ما هو املعيار احلقيقي لنجاح األعمال بشكل إلكرتوين؟‬
‫‪ -2‬ما هي أهم املخاطر االلكرتونية اليت تعرتض املنظمة يف ظل استخدامها الواس لتقنية‬
‫املعلومات؟‬
‫‪ -3‬ماهي وسائل توفري أمن املعلومات يف املنظمة؟‬
‫‪ -4‬ماهي خمتلف اإلجراءات احلماية ملكافحة أشكال االقتحام االلكرتوين؟‬
‫‪ -5‬ما العناصر الالزم توافرها باملنظمة يف حالة بناء إسرتاتيجية أمن املعلومات؟‬
‫ولإلجابة عن هذه التساؤالت الافرعية ارتأينا وع جمموعة من الافرعيات‪ ،‬وهذا من أجل اإلملام‬
‫باملوعوع‪:‬‬

‫‪162‬‬
 ‫استراتيجية أمن المعلومات‬

‫‪ -1‬املعيار احلقيقي لنجاح األعمال بشكل إلكرتوين هو مستوى أمن املعلومات الذي ميكن أن‬
‫يقدمه‪ ،‬خصوصاً للتطبيقات والعمليات احلساسة‪.‬‬
‫‪ -2‬تتعرض املنظمة إىل مشاكل إلكرتونية مجة مرتبطة باستخدامها الوسائط االلكرتونية‪.‬‬
‫‪ -3‬يعترب توفري أمن املعلومات يف املنظمة حتديا هاما يستوجب توفري كامل اإلمكانات البشرية‬
‫واملادية‪.‬‬
‫‪ -4‬تتخذ املؤسسة عدة إجراءات احلماية يف ظل إسرتاتيجية معينة ملكافحة أشكال االقتحام‬
‫االلكرتوين‪.‬‬
‫‪ -5‬إن صياغة إسرتاتيجية األمن وتنافيذها هو حتسني توافر املعلومات وتكاملها‪ ،‬وخصوصيتها‬
‫كذلك‪ ،‬من داخل وخارج املنظمة‪.‬‬
‫هتدف هذه الدراسة إىل حتقيق ما يلي‪:‬‬
‫‪ -1‬التأكيد عل أن أمهية أمن املعلومات للمنظمات هي حاجة ماسة وعرورية؛‬
‫‪ -2‬تثقيف العاملني بأمهية األمن يف املنظمة وتدريبهم عل ذلك؛‬
‫‪ -3‬تقدمي استنتاجات وتوصيات ميكن من خالهلا مساعدة املنظمة عل تبين إسرتاتيجية أمنية‬
‫وتطبيقاهتا‪ ،‬ملواجهة التهديدات واملخاطر بكافاءة وفاعلية‪.‬‬
‫أما منهج البحث الذي اعتمدت عليه فهو املنهج الوصافي التحليلي‪ ،‬وذلك من خالل االستعانة‬
‫باملصادر العلمية ذات العالقة باملوعوع‪ ،‬والوسائل االلكرتونية األخرى‪.‬‬
‫قمنا بتقسيم هذا البحث إىل مبحثني‪ ،‬حبيث تعرعنا يف املبحث األول إىل ماهية أمن المعلومات‪،‬‬
‫وذلك من خالل أربعة مطالب‪ ،‬حيث‬
‫المطلب األول‪ :‬مافهوم أمن املعلومات‪.‬‬
‫المطلب الثاني‪ :‬أمهية وأهداف أمن املعلومات‪.‬‬
‫المطلب الثالث‪ :‬أركان أمن املعلومات‪.‬‬
‫المطلب الرابع‪ :‬األخطار واحلماية منها‪.‬‬
‫المبحث الثاني تطرقنا فيه إىل ماهية استراتيجية أمن المعلومات‪.‬ويشمل أربعة مباحث هي‪:‬‬
‫المطلب األول‪ :‬مافهوم إسرتاتيجية أمن املعلومات‪.‬‬
‫المطلب الثاني‪ :‬أهداف إسرتاتيجية أمن املعلومات‪.‬‬
‫المطلب الثالث‪ :‬منطلقات وخصائص إسرتاتيجية أمن املعلومات‪.‬‬
‫المطلب الرابع‪ :‬مكونات وخطوات اسرتاتيجية أمن املعلومات‪.‬‬

‫‪163‬‬
 ‫استراتيجية أمن المعلومات‬

‫المبحث األول‪ :‬ماهية أمن المعلومات‬

‫م االنتشار الكبري والشديد لتكنولوجيا املعلومات واألعداد املتزايدة ملستخدميها أصبحت مسألة‬
‫األمن املعلومايت قضية بذاهتا‪ ،‬تشكل أحد أبرز التحديات اليت يواجهها األفراد واملنظمات عل حد‬
‫سواء يف عصر املعلومات‪.‬‬
‫سنتطرق يف هذا املبحث إىل مافهوم أمن املعلومات وأمهيتها وأهدافها وأبعادها‪ ،‬وأهم املخاطر‬
‫واالعتداءات يف بيئة األعمال‪ ،‬واألخطار‪ ،‬واحلماية منها‪.‬‬
‫المطلب األول‪ :‬مفهوم أمن المعلومات‪.‬‬
‫نظرا للتدفق اهلائل يف حجم البيانات وألمهية املعلومات أصبحت مشكلة محايتها واحلافا عليها‬‫ً‬
‫موع اهتمام العاملني والباحثني يف هذا امليدان‪ .‬وسوف نتناول مافهوم املعلومات قبل التطرق إىل‬
‫مافهوم أمن املعلومات‪.‬‬
‫أوال‪ :‬تعريف المعلومات‪:‬‬
‫هناك عدة تعاريف تناولت مافهوم املعلومات نذكر منها ما يلي‪:‬‬
‫تعرف املعلومات عل أهنا "بيانات متّ تصنيافها بشكل يسمح باستخدامها واالستافادة منها‪ ،‬وبالتايل‬
‫‪1‬‬
‫فاملعلومات هلا معىن‪ ،‬وتؤثّر يف ردود أفعال وسلوك من يستقبلها"‪.‬‬
‫من خالل هذا التعريف‪ ،‬ميكننا القول إ ّن املعلومات تقيّم البيانات‪ ،‬وهذا يعين ّأهنا تشري إىل‬
‫معني‪.‬‬
‫معني أو مشكلة تواجه فردا معيّنا لتحقيق هدف ّ‬ ‫البيانات اليت متّ تقييمها م موقف ّ‬
‫كما تعرف أيضا بأهنا"نتائج عمليات النماذج‪ ،‬التكوين‪ ،‬التنظيم‪ ،‬أو حتويل البيانات بطريقة تؤدي‬
‫‪2‬‬
‫إىل زيادة مستوى املعرفة للمستقبل"‪.‬‬
‫من خالل هذا التعريف‪ ،‬ميكننا القول إن املعلومات هي تلك البيانات اليت مت إعدادها بعد حتليلها أو‬
‫تافسريها أو جتميعها يف شكل له معىن‪ ،‬فتصبح هلا قيمة ومنافعة‪ ،‬وميكن تداوهلا ونشرها يف صورة رمسية‬
‫أو غري رمسية‪.‬‬
‫بصافة عامة‪ ،‬ميكننا القول‪ :‬إ ّن املعلومات هي كل ما يصل إىل علم الافرد‪ ،‬سواء أكان ذلك بالقراءة‬
‫أم االستماع أم املشاهدة‪ ،‬وتتعلق جبوانب وأمور تتّصل حبياة اإلنسان واألوعاع احمليطة به‪ ،‬والعالقات‬
‫اليت يقيمها‪ ،‬والظروف اليت تالزمه‪ ،‬واإلمكانات املتاحة له‪ ،‬واألحداث اليت يواجهها من وقت آلخر‪.‬‬
‫ثانيا‪ :‬تعريف أمن المعلومات‬
‫هناك عدة تعاريف تناولت مافهوم أمن املعلومات‪ ،‬نذكر منها ما يلي‪:‬‬

‫‪164‬‬
 ‫استراتيجية أمن المعلومات‬

‫يعرب عن أمن املعلومات بأنه"الوسائل واألدوات واإلجراءات الالزم توفريها لضمان محاية املعلومات‬
‫‪3‬‬
‫من األخطار الداخلية واخلارجية"‪.‬‬
‫أمن املعلومات هو كذلك"جمموعة من اإلجراءات والتدابري الوقائية اليت تستخدم سواء يف اجملال التقين‬
‫أو الوقائي‪ ،‬للحافا عل املعلومات واألجهزة والربجميات‪ ،‬إعافة إىل اإلجراءات املتعلقة باحلافا عل‬
‫‪4‬‬
‫العاملني يف هذا اجملال"‪.‬‬
‫نستنتج من التعريافني السابقني‪ ،‬أن أمن املعلومات هو عبارة عن‪:‬‬
‫_ جمموعة من االجراءات و التدابري الوقائية حلماية املعلومات؛‬
‫_ اهلدف منها احملافظة عل املعلومات واألجهزة والربجميات واألشخاص من التهديدات الداخلية‬
‫واخلارجية‪.‬‬
‫المطلب الثاني‪ :‬أهمية وأهداف وأبعاد أمن المعلومات‪.‬‬
‫إن أمن املعلومات هي جمموعة اإلجراءات والتدابري الوقائية اليت تستخدم للمحافظة عل املعلومات‬
‫وسريتها من السرقة أو التالعب أو االخرتاق غري املشروع‪ ،‬لذلك سنحاول اآلن تناول أمهية أمن‬
‫املعلومات‪ ،‬وأهدافها‪ ،‬وأبعادها‪.‬‬
‫أوال‪ :‬أهمية أمن المعلومات‪ :‬تتمثل أمهية أمن املعلومات فيما يلي‪:‬‬
‫‪ .1‬القطاعات االقتصادية تعتمد عل صحة ودقة املعلومات؛‬
‫‪ .2‬حاجة الدول لوجود إجراءات أمنية قابلة للتطبيق‪ ،‬تغطي املخاطر اليت ميكن أن تظهر عند‬
‫التعامل م األطراف األخرى؛‬
‫‪ .3‬احلاجة املتزايدة إلنشاء بيئة إلكرتونية آمنة ختدم القطاعني اخلاص والعام؛‬
‫‪ .4‬النمو السري يف استخدامات التطبيقات اإللكرتونية‪ ،‬واليت تتطلب بيئة آمنة؛‬
‫‪ .5‬احلاجة إىل محاية البنية التحتية للشبكة املعلوماتية‪ ،‬من أجل استمرارية األعمال التجارية؛‬
‫‪ .6‬م تطور التقنية املعلوماتية وازدهارها توفرت فرص لإلجرام اإللكرتوين‪.‬‬
‫ثانيا‪ :‬أهداف أمن المعلومات‬
‫إن أغراض أحباث واسرتاتيجيات ووسائل أمن املعلومات‪-‬سواء من الناحية التقنية أم األدائية‪-‬وكذا‬
‫أهداف التدابري التشريعية يف هذا احلقل‪ ،‬هو عمان توفر العناصر التالية ألي معلومات يراد توفري‬
‫احلماية الكافية هلا‪:‬‬
‫‪ _1‬السرية أو الموثوقية‪ :‬وتعين التأكد من أن املعلومات ال تنكشف‪ ،‬وال يطل عليها األشخاص‬
‫غري املخولني بذلك‪.‬‬

‫‪165‬‬
 ‫استراتيجية أمن المعلومات‬

‫‪ _2‬التكاملية وسالمة المحتوى‪ :‬التأكد بأن حمتوى املعلومات صحيح‪ ،‬و مل يتم تعديله أو العبث‬
‫به‪.‬‬
‫‪ _3‬استمرارية وتوفر المعلومات أو الخدمة‪ :‬التأكد من استمرار عمل تكنولوجيا املعلومات‪،‬‬
‫واستمرار القدرة عل التافاعل م املعلومات وتقدمي اخلدمة ملواق املعلوماتية‪ ،‬وأن مستخدم املعلومات‬
‫لن يتعرض إىل من استخدامه هلا أو دخوله إليها‪.‬‬
‫‪ _4‬عدم إنكار التصرف المرتبط بالمعلومات‪ :‬ويقصد به عمان عدم إنكار الشخص الذي قام‬
‫بتصرف ما متصل باملعلومات أو مواقعها أنه هو الذي قام هبذا التصرف‪ ،‬حبيث تتوفر القدرة عل‬
‫إثبات أن تصرفا ما قد مت من شخص ما يف وقت معني‪.‬‬

‫ثالثا‪ -‬أبعاد أمن المعلومات‪ :‬تتمثل أبعاد أمن املعلومات يف‪( :‬كما يوعحه الشكل األول)‬
‫‪ ‬سرية المعلومات‪ :‬مبعىن عدم اطالع أو تغيري املعلومات املخزنة عل أجهزة احلاسوب أو‬
‫املنقولة عل الشبكة إال من قبل األشخاص املخولني بذلك‪.‬‬
‫‪ ‬سالمة المعلومات‪ :‬يتمثل ذلك يف عدم تغيري املعلومات املخزنة عل أجهزة احلاسوب أو‬
‫املنقولة عرب الشبكة‪.‬‬
‫‪ ‬جودة المعلومات‪ :‬وذلك يتمثل يف عدم حذف املعلومات املخزنة عل أجهزة احلاسوب‬
‫إال من قبل األشخاص املخولني بذلك‪.‬‬
‫الشكل األول‪ :‬أبعاد أمن المعلومات‬

‫سالمة املعلومات‬ ‫أبعاد أمن‬ ‫سرية املعلومات‬

‫املعلومات‬

‫جودة املعلومات‬
‫المصدر‪ :‬من إعداد الباحثة‪.‬‬

‫المطلب الثالث ‪:‬أهم المخاطر واالعتداءات في بيئة األعمال‬

‫تطال املخاطر واالعتداءات يف بيئة املعلومات أربعة مواطن أساسية‪ ،‬هي مكونات تقنية املعلومات يف‬
‫أحدث جتلياهتا‪:‬‬
‫‪ ‬األجهــزة‪ :‬كافة املعدات واألدوات املادية اليت تتكون منها النظم‪ ،‬كالشاشات والطابعات‬
‫ومكوناهتا الداخلية‪ ،‬ووسائط التخزين املادية‪ ،‬وغريها‪.‬‬

‫‪166‬‬
 ‫استراتيجية أمن المعلومات‬

‫‪ ‬البرامــج‪ :‬األوامر املرتبة يف نسق معني إلجناز األعمال‪ ،‬وهي إما مستقلة عن النظام أو خمزنة فيه‪.‬‬
‫‪ ‬المعطيـات‪ :‬إهنا الدم احلي لألنظمة‪ ،‬وما سيكون حمال جلرائم الكمبيوتر كما سنرى‪ ،‬وتشمل كافة‬
‫البيانات املدخلة واملعلومات املستخرجة عقب معاجلتها‪ ،‬ومتتد مبعناها الواس للربجميات املخزنة‬
‫داخل النظم‪ .‬واملعطيات قد تكون يف طور اإلدخال أو اإلخراج أو التخزين‪ ،‬أو التبادل بني‬
‫النظم عرب الشبكات‪ ،‬وقد ختزن داخل النظم أو عل وسائط التخزين اخلارجية‪.‬‬
‫‪ ‬االتصـاالت‪ :‬وتشمل شبكات االتصال اليت تربط األجهزة التقنية ببعضها‪ ،‬حمليا ونطاقيا ودوليا‪،‬‬
‫وتتيح فرصة اخرتاق النظم عربها‪ ،‬و هي بذاهتا حمل لالعتداء وموطن من مواطن اخلطر احلقيقي‪.‬‬
‫‪ ‬المورد البشري‪ :‬وحمور اخلطر هو اإلنسان‪ ،‬سواء املستخدم أم الشخص املناط به مهام تقنية‬
‫معينة تتصل بالنظام‪ ،‬فإدراك هذا الشخص حدود صالحياته‪ ،‬وإدراكه آليات التعامل م‬
‫اخلطر‪ ،‬وسالمة الرقابة عل أنشطته يف حدود احرتام حقوقه القانونية‪ ،‬هي مسائل رئيسة يعىن‬
‫هبا نظام األمن الشامل‪ ،‬وحتديدا يف بيئة العمل املرتكزة عل نظم الكمبيوتر‪ ،‬وقواعد البيانات‪.‬‬
‫وهذا موعح يف الشكل الثاين‪.‬‬
‫الشكل الثاني‪ :‬مواطن االعتداء‬

‫مواطن االعتداء‬

‫االتصاالت‬ ‫المعطيات‬ ‫البرمجيات‬ ‫األجهزة‬

‫المورد البشري‬
‫املصدر‪ :‬من إعداد الباحثة‪.‬‬

‫المطلب الرابع‪ :‬األخطار والحماية منها‪.‬‬

‫تعاين املنظمة يف ظل استخدامها الواس لتكنولوجيا املعلومات جبملة من األخطار اليت تتعرض هلا‪،‬‬
‫وبالتايل تتطلب من إدارة نظم املعلومات كثريا من الوقت واجلهد واملوارد املالية لعملية احلماية منها‪.‬‬
‫‪5‬‬
‫سنتناول اآلن األخطار اليت تواجه العمليات االلكرتونية‪ ،‬وكيافية احلماية منها‪.‬‬
‫أوال‪ :‬األخطار التي يمكن أن تتعرض لها العمليات االلكترونية‬
‫ميكن تصنيف األخطار احملتملة اليت ميكن أن تتعرض هلا نظم املعلومات اىل ثالث فئات‪:‬‬
‫أ ‪ .‬األخطاء البشرية ‪Humane Errors‬‬
‫وهي اليت ميكن أن حتدث أثناء تصميم التجهيزات أو نظم املعلومات‪ ،‬أو خالل عمليات الربجمة أو‬
‫االختبار أو التجمي للبيانات‪ ،‬أو أثناء إدخاهلا إىل النظام‪ ،‬أو يف عمليات حتديد الصالحيات‬

‫‪167‬‬
 ‫استراتيجية أمن المعلومات‬

‫للمستخدمني‪ ،‬وتشكل هذه األخطاء الغالبية العظم للمشاكل املتعلقة بأمن وسالمة نظم‬
‫املعلومات يف املنظمات‪.‬‬

‫ب ‪ .‬األخطار البيئية ‪Environmental Hazard‬‬

‫وهذه تشمل الزالزل والعواصف والافيضانات واألعاصري‪ ،‬واملشاكل املتعلقة بأعطال التيار الكهربائي‬
‫واحلرائق‪ ،‬إعافة إىل املشاكل القائمة يف تعطل أنظمة التكييف والتربيد وغريها‪ ،‬وتؤدي هذه األخطار‬
‫إىل تعطل عمل هذه التجهيزات وتوقافها لافرتات طويلة نسبيا‪ ،‬إلجراء اإلصالحات الالزمة‪ ،‬واسرتداد‬
‫الربجميات وقواعد البيانات‪.‬‬

‫ج‪ .‬الجرائم المحوسبة ‪Computer Crime‬‬

‫متثل هذه حتديا كبريا إلدارة نظم املعلومات‪ ،‬ملا تسببه من خسارة كبرية‪ ،‬وبشكل عام يتم التمييز بني‬
‫ثالثة مستويات للجرائم احملوسبة‪ ،‬وهي‪:‬‬
‫‪ .1‬سوء استخدام جهاز الحاسوب‪ :‬وهو االستخدام املقصود الذي ميكن أن يسبب خسارة‬
‫للمنظمة‪ ،‬أو ختريبا ألجهزهتا بشكل منظم‪.‬‬
‫‪ .2‬الجريمة المحوسبة‪ :‬وهي عبارة عن سوء استخدام أجهزة احلاسوب بشكل غري قانوين‪،‬‬
‫يؤدي إىل ارتكاب جرمية يعاقب عليها القانون اخلاص جبرائم احلاسوب‪.‬‬
‫‪ .3‬الجرائم المتعلقة بالحواسيب‪ :‬وهي اجلرائم اليت تستخدم فيها احلواسيب كأداة لتنافيذ‬
‫اجلرمية‪.‬‬
‫وميكن أن ترتكب اجلرائم احملوسبة سواء من قبل أشخاص خارج املنظمة‪ ،‬يقومون باخرتاق نظام‬
‫احلاسوب (غالبا من خالل الشبكات) أو من قبل أشخاص داخل املنظمة‪ ،‬ميلكون صالحيات‬
‫الدخول إىل النظام ولكنهم يقومون بإساءة استخدام النظام لدواف خمتلافة‪ .‬وتشري الدراسات اليت‬
‫أجرهتا دائرة احملاسبة العامة وشركة )‪ (Orkand‬لالستشارات إىل أن اخلسائر الناجتة عن جرائم‬
‫الكمبيوتر تقدر حبدود ‪ 1.5‬مليون دوالر لشركات املصارف احملوسبة يف الواليات املتحدة األمريكية‪،‬‬
‫ومن ناحية أخرى يقدر املركز الوطين لبيانات جرائم احلاسوب يف لوس أجنلوس بأن ‪ %70‬من جرائم‬
‫الكمبيوتر املسجلة حدثت من الداخل‪ ،‬أي من قبل من يعملون داخل املنظمات‪ ،‬وأن جرائم‬
‫احلاسوب تزداد بصورة واعحة؛ مما جعلها تشكل حتديا خطريا يواجه اإلدارات العليا عموما‪ ،‬وإدارة‬
‫نظم املعلومات عل وجه اخلصوص‪.‬‬

‫‪168‬‬
 ‫استراتيجية أمن المعلومات‬

‫ثانيا‪ :‬الحماية من األخطار‬

‫تعترب عملية احلماية من األخطار اليت هتدد الشبكة املعلوماتية من املهام املعقدة والصعبة‪ ،‬واليت‬
‫تتطلب من إدارة نظم املعلومات كثريا من الوقت واجلهد واملوارد املالية؛ وذلك لألسباب التالية‪:‬‬
‫أ‪ .‬العدد الكبري من األخطار اليت هتدد عمل الشبكة‪.‬‬
‫ب‪ .‬توزع املوارد احملوسبة عل عديد من املواق اليت ميكن أن تكون أيضا متباعدة‪.‬‬
‫ج‪ .‬وجود التجهيزات احملوسبة يف عهدة أفراد عديدين يف املنظمة‪ ،‬وأحيانا خارجها‪.‬‬
‫د‪ .‬صعوبة احلماية من األخطار الناجتة عن ارتباط املنظمة بالشبكات اخلارجية‪.‬‬
‫ه‪ .‬التقدم التقين السري جيعل كثريا من وسائل احلماية متقادمة من بعد فرتة وجيزة من استخدامها‪.‬‬
‫و‪ .‬التأخر يف اكتشاف اجلرائم احملوسبة؛ مما ال يتيح للمنظمة إمكانية التعلم من التجربة واخلربة‬
‫املتاحة‪.‬‬
‫ز‪ .‬تكاليف احلماية ميكن أن تكون عالية؛ حبيث ال تستطي عديد من املنظمات حتملها‪.‬‬
‫هذا‪ ،‬وتق مسؤولية وع خطة احلماية لألنشطة الرئيسة عل مدير الشبكة يف املنظمة‪ ،‬عل أن‬
‫تتضمن هذه اخلطة إدخال وسائل الرقابة اليت تضمن حتقيق ما يلي‪:‬‬
‫‪ ‬الوقاية من األخطار غري املتعمدة؛‬
‫‪ ‬إعاقة أو صن األعمال التخريبية املتعمدة؛‬
‫‪ ‬اكتشاف املشاكل بشكل مبكر قدر اإلمكان؛‬
‫‪ ‬املساعدة يف تصحيح األعطال واسرتجاع النظام؛‬
‫وميكن تصميم نظام الرقابة عمن عملية تطوير نظام املعلومات‪ ،‬وجيب أن يركز هذا النظام عل‬
‫مافهوم الوقاية من األخطار‪ ،‬وميكن أن يصمم حلماية مجي مكونات النظام‪ ،‬مبا فيها التجهيزات‬
‫والربجميات والشبكات‪.‬‬

‫المبحث الثاني‪ :‬ماهية إستراتيجية أمن المعلومات‪.‬‬

‫إن إسرتاتيجية أمن املعلومات هي جمموعة القواعد اليت يطبقها األشخاص لدى التعامل م التقنية‬
‫وم املعلومات داخل املنظمة وتتصل بشؤون الدخول إىل املعلومات والعمل عل نظمها وإدارهتا‪.‬‬
‫سنتناول اآلن مافهوم وأهداف إسرتاتيجية أمن املعلومات‪ ،‬وخصائصها ومميزاهتا‪ ،‬ومنطلقاهتا‪ ،‬ويف‬
‫األخري مكوناهتا وخطواهتا‪.‬‬

‫‪169‬‬
 ‫استراتيجية أمن المعلومات‬

‫المطلب األول‪ :‬مفهوم وأهداف إستراتيجية أمن المعلومات‬

‫سنتطرق يف هذا املطلب إىل مافهوم وأهداف اسرتاتيجية أمن املعلومات‬
‫أوال‪-‬مفهوم استراتيجية أمن المعلومات‪ :‬تعرف بأهنا "جمموعة القواعد اليت تتعلق بالوصول إىل‬
‫املعلومات‪ ،‬والتصرف فيها‪ ،‬ونقلها داخل هيكل يعتمد املعلومة عنصرا أساسيا يف حتسني أدائه‪ ،‬وبلوغ‬
‫‪6‬‬
‫أهدافه‪".‬‬
‫كما تعرف أيضا عل أهنا "جمموعة القواعد اليت يطبقها األشخاص لدى التعامل م التقنية وم‬
‫‪7‬‬
‫املعلومات داخل املنشأة‪ ،‬وتتصل بشؤون الدخول اىل املعلومات والعمل عل نظمها وإدارهتا‪".‬‬
‫‪8‬‬
‫كما أهنا "اخلطة اليت تعرف االستعمال املقبول جلمي الوسائط اإللكرتونية يف شركة أو منظمة‪".‬‬

‫و كذلك هي «جمموعة من القوانني املنظمة لكل األنشطة ذات الصلة يف موق ما‪ ،‬وهذه السياسة‬
‫‪9‬‬
‫تصدرها جهة مسؤولة‪ ،‬تقر مبسؤوليتها جتاه أمن ومحاية معلومات املنشأة من مجي مصادر التهديد"‪.‬‬
‫إسرتاتيجية أمن املعلومات هي "جمموعة قوانني أمنية تسيطر عل نظام املعلومات‪ ،‬وتزوده مبستوى‬
‫محاية موثوق به‪ .‬وهذه السياسات جيب أن توجه اإلدارة وسبل احلماية‪ ،‬واملصادر املرتبطة باملعلومات‬
‫"‪10.‬‬
‫وبنظام املعلومات‪ .‬إن مستوى قسوة تلك السياسات عادة مرتبط مبستوى املخاطر املراد جتنبها‬
‫إذن إسرتاتيجية أمن املعلومات هي اخلطة اليت تعرف االستخدام املقبول أو املرعي جلمي الوسائط‬
‫االلكرتونية يف املنظمة‪ .‬هناك عناصر أساسية جيب أخذها باالعتبار عند تنظيم وتطوير إسرتاتيجية‬
‫أمنية‪ ،‬فما هي البيانات اليت حتتاج إىل محاية؟ وملاذا؟ وما هي اآلثار املالية السلبية إذا حدث اخرتاق‬
‫أو إذا فقدت الثروة املعلوماتية أو حطمت؟ ومن املهم جداً مراجعة كل املافاهيم الرئيسة عند تطوير‬
‫أي سياسة أمن معلومات‪ .‬وفيما يلي ثالثة مافاهيم رئيسة‪ ،‬وهي‪ :‬القابلية للتطبيق‪ ،‬توفر القوة البشرية‬
‫املدربة‪ ،‬الدعم القانوين واإلداري‪ ،‬وعوح املسؤوليات‪ ،‬حتديد مسؤوليات املستخدمني واملديرين‬
‫والعمالء‪ ،‬اإللزامية يف التطبيق‪ ،‬دعم اإلدارة واإلدارة القانونية‪.‬‬

‫ولكي تكون هذه االسرتاتيجية فعالة وهادفة فال بد أن‪:‬‬

‫* يساهم يف إعدادها وتافهمها وتقبلها وتنافيذها خمتلف مستويات الوظيافة يف املنظمة الواحدة؛‬
‫* وأن تلىب حاجتها إىل التعاون والدعم الكامل من كافة مستويات املؤسسة‪.‬‬
‫ومن هنا يتضح أن املعنيني بإعداد سياسة أمن املعلومات يتوزعون إىل مراتب وجهات عديدة داخل‬
‫املنظمة‪ ،‬تشمل‪:‬‬

‫‪170‬‬
 ‫استراتيجية أمن المعلومات‬

‫‪ -‬مسؤويل أمن املوق ؛‬

‫‪ -‬ومديري الشبكات؛‬
‫‪ -‬وموظافي وحدة الكمبيوتر؛‬
‫‪ -‬ومديري الوحدات املختلافة؛‬
‫‪ -‬ومستويات اإلدارة العليا؛‬
‫‪ -‬إىل جانب اإلدارة القانونية‪.‬‬

‫ثانيا‪ :‬أهداف استراتيجية أمن المعلومات‪ :‬تتمثل أهداف االسرتاتيجية األمنية يف‪:‬‬
‫‪ .1‬ترمجة وتوعيح األمن كما مت تعريافه يف القواعد واملبادئ واألهداف العليا للمنظمة‪.‬‬
‫‪ .2‬تعريف املستخدمني مبسؤولياهتم وواجباهتم جتاه أمن نظم املعلومات‪ ،‬والذي يتضمن األفراد‪،‬‬
‫األجهزة‪ ،‬الربامج‪ ،‬املعلومات‪...‬اخل‪.‬‬
‫‪ .3‬بيان اإلجراءات اليت جيب اتباعها لتافادي املخاطر واملهددات‪ ،‬والتعامل معها إذا ما وقعت‪.‬‬
‫‪ .4‬حتديد اآلليات اليت يتم من خالهلا تنافيذ وحتقيق املسؤوليات والواجبات لكل مستخدم‪.‬‬

‫المطلب الثاني‪ :‬خصائص ومميزات إستراتيجية أمن المعلومات‬

‫سنتناول اآلن مميزات وخصائص إسرتاتيجية أمن املعلومات‪.‬‬
‫أوال‪ :‬خصائص ومميزات إستراتيجية أمن المعلومات‬
‫من مميزات إسرتاتيجية أمن املعلومات ما يلي‪:‬‬
‫‪ -‬جيب أن تكون مناسبة اقتصاديا (ذات جدوى اقتصادية)؛‬
‫‪ -‬جيب أن تكون مافهومة للمستخدمني؛‬
‫‪ -‬جيب أن تكون واقعية تتناسب م واق املنظمة؛‬
‫‪ -‬جيب أن تكون متناغمة م أهداف املنظمة؛‬
‫‪ -‬جيب أن تكون مرنة وقابلة للمعاجلة؛‬
‫‪ -‬جيب أن توفر محاية معقولة ألهداف اإلدارة املعلنة؛‬
‫‪ -‬جيب أن تكون مستقلة‪( ،‬ال تعتمد عل أجهزة ‪ Hardware‬وال برامج ‪ Software‬حمددة)‪.‬‬
‫ثانيا‪ :‬خصائص سياسة األمن الجيدة‬
‫و تتمثل خصائص سياسة األمن اجليدة يف أهنا‪:‬‬

‫‪171‬‬
 ‫استراتيجية أمن المعلومات‬

‫جيب أن تكون قابلة للتطبيق‪ ،‬من خالل اإلجراءات والتوجيهات اإلدارية؛‬ ‫•‬
‫جيب حتديد املسؤوليات عل كل مستويات اهليكل التنظيمي؛‬ ‫•‬
‫جيب أن تكون موزعة عل كل وحدات املنظمة؛‬ ‫•‬
‫جيب أن تكون موثقة (للمرجعية)؛‬ ‫•‬
‫جيب أن تكون مرنة وفعالة ألطول فرتة ممكنة‪.‬‬ ‫•‬

‫المطلب الثالث‪ :‬منطلقات إستراتيجية أمن المعلومات‬

‫إن البحث يف السياسات‪ ،‬وتوفري الوسائل التقنية واإلجراءات الضرورية حلماية املعلومات‪ ،‬تستوجب‬
‫طرح تساؤالت من شأهنا أن تسمح بتحديد منطلقات خطة واعحة املعامل تعد وتعتمد وجوبا‬
‫‪11‬‬
‫لضمان أمن املعلومات‪ .‬و من أهم هذه التساؤالت‪:‬‬
‫هل تتطلب كل املعلومات نافس القدر من احلماية؟ وما الذي نريد أن حنميه؟‬
‫ما هي املخاطر اليت ميكن أن هتدد املعلومات فتستوجب احلماية؟‬
‫ما هي وسائل هذه احلماية؟ كيف نتصرف يف حالة حتقق خطر عل الرغم من توفر هذه‬
‫الوسائل؟ هل تتطلب كل املعلومات نافس القدر من احلماية؟ وما الذي نريد أن حنميه؟‬
‫تصنيف المعلومات‪ :‬يتم بناء عل درجة املخاطر املرتتبة عل اخرتاق املعلومات من قبل األشخاص‪:‬‬

‫الشكل الثالث‪ :‬تصنيف المعلومات‬

‫هنا تعترب اخلسائر اليت ترتتب عن فقدان‬ ‫هي معلومات يساهم الوصول غري‬ ‫هي معلومات اليت يرتتب عنها‬
‫البيانات ععيافة وميكن معاجلتها‬ ‫الشرعي هلا يف فساد لكن ميكن‬ ‫فساد عظيم يف حالة الوصول غري‬
‫تداركه بنسبة ما‬ ‫الشرعي هلا‬
‫يتطلب محاية قليلة‬ ‫يتطلب محاية متوسطة‬ ‫يتطلب محاية قصوى‬

‫‪Source : David Jarmon, op.cit. , 2002, p 1‬‬

‫تصنيف املعلومات‬
‫‪ ‬يتطلب محاية قصوى‪ :‬هي املعلومات اليت يرتتب فساد عظيم يف حالة الوصول غري شرعي‬
‫هلا؛‬
‫• يتطلب محاية متوسطة‪ :‬هي معلومات يساهم الوصول غري شرعي هلا يف فساد ميكن تداركه‬
‫بنسبة ما؛‬

‫‪172‬‬
 ‫استراتيجية أمن المعلومات‬

‫• يتطلب محاية قليلة‪ :‬هنا تعترب اخلسائر اليت ترتتب عن فقدان البيانات ععيافة وميكن‬
‫معاجلتها‪.‬‬
‫وما هي املخاطر اليت ميكن أن هتدد املعلومات؛ فتستوجب احلماية؟‬
‫• تحديد المخاطر‬
‫جيب حتديد املخاطر اليت قد هتدد نظم املعلومات‪ ،‬بدءا باملشاكل العادية مثل قط التيار الكهربائي‬
‫عن األجهزة‪ ،‬إىل خماطر اخرتاق تلك النظم من اخلارج‪ ،‬مرورا خبلل يف صيانة التجهيزات والربجميات‪،‬‬
‫أو سوء استخدام املوظافني لوسائل احلماية مثل كلمات العبور‪.‬‬
‫وما هي وسائل األمن؟‬
‫ينبغي أن تعد كل مؤسسة طريقتها اخلاصة لتوفري أمن معلوماهتا من املخاطر يف حدود إمكاناهتا‬
‫التنظيمية وامليزانية املرصودة للحماية‪ ،‬وينبغي أن ال تكون إجراءات األمن ععيافة حبيث ال تضمن‬
‫احلماية املطلوبة‪ ،‬وال تكون مبالغا فيها إىل حد يؤثر يف طبيعة أداء خدمات نظام املعلومات‪.‬‬
‫كيف نتصرف يف حالة حتقق خطر عل الرغم من توفر هذه الوسائل ؟‬
‫* كيفية مواجهة المخاطر عند حصولها‬
‫وعل الرغم مما يؤخذ من احتياطات الزمة لتأمني بعض املخاطر يظل حصوهلا واردا‪ ،‬ويف إطار‬
‫سياسة أمن املعلومات‪ ،‬ينبغي التافكري يف إعداد خطة تبني يف مرحلتها األوىل اإلجراءات التقنية‬
‫والقانونية للحد من اخلسائر‪ ،‬وتأمني استمرارية العمل بطرق ووسائل بديلة‪.‬‬
‫مث تبني هذه اخلطة‪ ،‬يف املرحلة الثانية‪ ،‬إجراءات التحليل لطبيعة املخاطر احلاصلة ودواعي حصوهلا‪.‬‬
‫وعل أساس ذلك حتدد إجراءات إصالح ما أفسد‪ ،‬والعودة إىل وععية ما قبل حصول اخلطر‪،‬‬
‫‪12‬‬
‫وعمان من حصوله الحقا‪.‬‬

‫المطلب الرابع‪ :‬مكونات وخطوات إستراتيجية أمن المعلومات‬

‫تتكون إسرتاتيجية أمن املعلومات من ثالثة مكونات هي‪:‬‬
‫‪ .1‬اإلستراتيجية نافسها‪ ،‬واليت توثق لدواف محاية املؤسسة لبياناهتا‪ ،‬وما هي هذه البيانات‪ ،‬واليت‬
‫‪13‬‬
‫ميكن بناؤها يف اخلطوات التالية‪:‬‬
‫‪ -‬حتديد املادة (‪( )Subject‬املوعوع ) حمل االهتمام‪ ،‬واملراد عمل إسرتاتيجية له؛‬
‫‪ -‬ماهي العمليات والنشاطات املسموح هبا‪ ،‬وما هي املرفوعة(غري املسموح هبا)‪ ،‬وملن من‬
‫املستخدمني؟‬

‫‪173‬‬
 ‫استراتيجية أمن المعلومات‬

‫حتديد األشخاص (املستخدمني) املتأثرين هبذه اإلسرتاتيجية؛‬ ‫‪-‬‬

‫حتديد كيافية تطبيق اإلسرتاتيجية يف بيئة املنظمة؛‬ ‫‪-‬‬
‫حتديد املخاطر املتوقعة يف البيئة احملددة؛‬ ‫‪-‬‬
‫حتديد وتصنيف البيانات وموارد النظام؛‬ ‫‪-‬‬
‫حتديد خدمات األمن األساسية يف بيئة املنظمة؛‬ ‫‪-‬‬
‫حتديد قائمة السياسات اليت أنشئت؛‬ ‫‪-‬‬
‫إنشاء حتليل النسياب البيانات املصنافة منذ مرحلة اإلنشاء وحىت احلذف من النظام؛‬ ‫‪-‬‬
‫توثيق اإلسرتاتيجية‪.‬‬ ‫‪-‬‬

‫‪ .2‬المعايير (‪ )Standard‬وهي توثق ملاهية املقاصد املنشودة لتطبيق وإدارة أمن املعلومات يف‬
‫املنظمة‪.‬‬

‫‪ .3‬اإلجراءات (‪ )Procedures‬وهي توثق للكيافية اليت تنجز هبا املنظمة املتطلبات املافروعة‬
‫باملعايري واإلسرتاتيجيات‪ ،‬وهي األدوات اليت هبا حتول السياسات إىل أحداث وعمليات‪.‬‬
‫بعد إنشاء السياسات جيب توزيعها عل كل مستويات اهليكل التنظيمي (مستخدمني‪ ،‬موظافني‪،‬‬
‫اإلدارة‪ ،‬الزبائن‪ ،‬االستشاريني‪...‬اخل(‪.‬‬
‫لضمان صالحية السياسات جيب تعهدها باملراجعة املستمرة‪ ،‬وذلك بتحديث آلياهتا وأدواهتا‪ ،‬وجيب‬
‫عكس التغيريات يف بيئة عمل املنظمة عل سياسات التأمني أوال بأول‪.‬‬

‫الخاتمة‪:‬‬
‫ناقشت الدراسة أهم جوانب إسرتاتيجية أمن املعلومات‪ ،‬ولقد توصلت إىل ما يلي‪:‬‬
‫‪-‬إن أمن املعلومات هو ذلك احلقل الذي يهتم بدراسة طرق محاية البيانات املخزونة يف أجهزة‬
‫احلاسوب‪ ،‬إعافة إىل األجهزة امللحقة‪ ،‬وشبكات االتصاالت‪ ،‬والتصدي للمحاوالت الرامية إىل‬
‫الدخول غري املشروع إىل قواعد البيانات املخزونة‪ ،‬أو تلك اليت ترمي إىل نقل أو تغيري أو ختريب‬
‫التخزين املعلومايت هلذه القواعد‪.‬‬
‫‪ -‬تواجه املنظمات خماطر أمنية من مصادر كثرية‪ ،‬منها األخطاء البشرية‪ ،‬األخطار البيئية‪ ،‬وأخريا‬
‫اجلرائم احملوسبة؛ ولذلك جيب وع إسرتاتيجية أمنية فعالة ملواجهتها‪.‬‬

‫‪174‬‬
 ‫استراتيجية أمن المعلومات‬

‫‪ -‬إن اهلدف من صياغة إسرتاتيجية األمن وتنافيذها هو حتسني توافر املعلومات وتكاملها‪،‬‬
‫وخصوصيتها داخل وخارج املنظمة‪.‬‬
‫‪ -‬عند بناء إسرتاتيجية أمنية جيب حتديد اإلجابة عن التساؤالت الثالثة الرئيسة‪ :‬ماذا أريد أن أمحي؟‬
‫من ماذا أمحي املعلومات؟ كيف أمحي املعلومات؟‬
‫‪ -‬يف عملية تقدير املخاطر‪ ،‬جيب التأكد من ترتيب املخاطر حسب شدة خطورهتا و أولويتها؛ وهذا‬
‫سيساعد يف اختاذ القرار‪ ،‬وتقليل اإلنافاق يف محاية أشياء ال تستحق ذلك‪.‬‬
‫‪ -‬إن االسرتاتيجية األمنية تتطلب من املنظمة اتباعها‪ ،‬والقيام مبراجعتها بشكل دوري؛ للتأكد من‬
‫مالءمتها للتغريات والشروط املتغرية‪.‬‬
‫‪ -‬إن أمن املعلومات حيتاج إىل إسرتاتيجية قوية؛ هبدف محاية البنية التحتية والتصدي للتهديدات‪.‬‬
‫وعليه ميكن حصر التوصيات يف النقاط اآلتية‪:‬‬
‫_ العمل عل محاية املعلومات عند ختزينها‪ ،‬وذلك بتشافريها‪ ،‬أو وع كلمة مرور خاصة عند‬
‫احلافظ والتخزين عل خمتلف الوسائط؛ حىت ال يتمكن أحد من اخرتاقها‪.‬‬
‫‪-‬أمهية التوعية ونشر ثقافة أمن املعلومات بني مجي املوظافني تتلخص يف اآليت‪:‬‬
‫‪-1‬إنشاء دائرة خاصة بأمن املعلومات تزود بإطارات مؤهلة إلدارهتا‪ ،‬ومنحها صالحيات قوية تؤهلها‬
‫لتطوير وتطبيق السياسات األمنية‪ ،‬وذلك بدعم اإلدارة العليا هلا‪.‬‬
‫‪ -2‬رف الوعي األمين لدى مجي موظافي املنظمة عل اختالف مستوياهتم‪ ،‬وذلك بعمل دورات‬
‫تدريبية خاصة هبم‪.‬‬
‫‪-3‬إعافة ميزة إغالق رقم املستخدم بعد ثالث حماوالت فاشلة؛ وذلك ملن حماولة الدخول عل‬
‫السر‪.‬‬ ‫كلمة‬ ‫بتخمني‬ ‫النظام‬
‫‪ -4‬لتطبيق سياسة صارمة جتاه كلمة السر جيب وع مواصافات قياسية لكلمة السر‪ ،‬من حيث‬
‫عدد احلروف وتنوعها بني احلروف واألرقام والرموز‪ ،‬وعدم تكرار احلروف‪ ،‬وعدم إعادة استخدام‬
‫الكلمة نافسها حىت انقضاء فرتة من الزمن‪ ،‬وليكن عاماً مثال‪ ،‬وطلب تغيري الكلمة بصورة دورية‪،‬‬
‫وتضمني هذه املواصافات يف الربامج التطبيقية لافرض السياسة عل مجي املستخدمني‪.‬‬
‫‪-5‬مبا أن معظم األعطال ناجتة عن إصابة األنظمة بالافريوسات؛ فعل املنظمة وع إسرتاتيجية‬
‫شاملة ملكافحة الافريوسات‪ ،‬وذلك جبلب وتركيب برامج املكافحة املعروفة واملشهود هلا بافاعليتها‪،‬‬
‫حبيث تشمل اإلسرتاجتية تركيب برامج مراقبة واكتشاف الافريوسات‪ ،‬وبتوفيق الربامج باخلوادم‪ ،‬حبيث‬
‫ال تسمح لألجهزة الطرفية بالدخول إليها إذا مل تكن هبا برامج اكتشاف الافريوسات حديثة ومتالئمة‬

‫‪175‬‬
 ‫استراتيجية أمن المعلومات‬

‫م اخلادم‪ ،‬من برامج احلماية‪ ،‬كما جيب أن تتضمن اإلسرتاتيجية عدم نقل أو جلب الربامج‬
‫والبيانات لنظم املنظمة بأي وسيلة‪ ،‬ما مل يتم فحصها وتوثيقها من اجلهة املختصة باملنظمة والتأكد‬
‫الافريوسات‪.‬‬ ‫من‬ ‫خلوه‬ ‫من‬
‫‪-6‬قيام املنظمة بافرض اإلطار العام للسياسات األمنية حلماية نظم معلوماهتا‪ ،‬وذلك باملتابعة‬
‫والتافتيش املستمر للتأكد من التزام املنظمة بتطبيق السياسات بدقة‪.‬‬

‫الهوامش‬

‫‪ 1‬ابراهيم سلطان‪ ،‬نظم املعلومات اإلدارية (مدخل إداري)‪ ،‬الدار اجلامعية‪ ،2000 ،‬ص‪.41‬‬
‫‪ 2‬سونيا حممد البكري‪ ،‬نظم املعلومات اإلدارية (املافاهيم األساسية)‪ ،‬الدار اجلامعية‪ ،‬القاهرة‪ ،2000 ،‬ص‪.98‬‬
‫‪ - 3‬علوطي ملني‪ ،‬أثر تكنولوجيا املعلومات واالتصال عل إدارة املوارد البشرية يف املؤسسة‪ ،‬جملة علوم إنسانية‪ ،‬السنة‬
‫السادسة‪ ،‬العدد ‪ ،38‬صيف ‪ ،2008‬ص‪.21‬‬
‫‪( - 4‬جنم عبد اهلل احلميدي‪ ،‬نظم املعلومات اإلدارية (مدخل معاصر)‪ ،‬الطبعة األوىل‪ ،‬دار وائل للنشر‪ ،‬عمان‪،‬‬
‫األردن ‪ ،2005‬ص ‪.)265‬‬
‫‪5‬‬
‫‪http://www.ao-academy.org/docs/45D0~1.DOC, consultée à 12/12/2014.‬‬
‫‪- 6‬سياسة أمن املعلومات‬
‫‪http://www.google.ps/url?sa=t&rct=j&q=%D8%B3%D9%8A%D8%A7%D8%‬‬
‫‪B3%D8%A9+%D8%A7%D9%85%D9%86+%D8%A7%D9%84%D9%85%D‬‬
‫‪8%B9%D9%84%D9%88%D9%85%D8%A7%D8%AA+DOc&source=web&c‬‬
‫‪d=20&ved=0CFoQFjAJOAo&url=http%3A%2F%2Fsana1111.files.wordpress.‬‬
‫‪com%2F2011%2F03%2Fd8b3d98ad8a7d8b3d987-d8a7d985d986-‬‬
‫‪d8a7d984d985d8b9d984d988d985d8a7d8aa-information-security-‬‬
‫‪policy.doc&ei=1-‬‬
‫‪HzTrrIFtS18QOo6qm5AQ&usg=AFQjCNGwOA0boLfpievIw0XS0wDkmz-‬‬
‫‪ .( hgg&cad=rja‬بتاريخ ‪.2014/10 /30‬‬

‫‪ ) -7‬عائض املري‪ ،‬أمن املعلومات‪ ،‬ماهيتها وعناصرها واسرتاتيجياهتا‪ ،‬معلومات قانونية‪ ،‬الدراسات واالستشارات‬
‫القانونية‪ 6 ،‬نوفمرب‪ ،2001‬انظر املوق اإللكرتوين‪:‬‬
‫‪ ،http://www.dralmarri.com/show.asp?field=res_a&id=205‬بتاريخ ‪.2014/11/12‬‬
‫‪( -8‬سلمان بن علي بن وهف القحطاين‪ ،‬أمن املعلومات (أمن املعلومات يف عوء التطور التقين واملعلومايت احلديث‬
‫يف الشبكات الالسلكية النقالة)‪ ،‬املؤمتر العلمي األول حول اجلوانب القانونية واألمنية للعمليات اإللكرتونية‪ ،‬ديب –‬
‫اإلمارات العربية املتحدة‪ ،2003/4/26 ،‬ص ‪.)13‬‬
‫‪9‬‬
‫‪- The CISSP All-in-one Certification Exam Guide, By Shon Harris, 2002,‬‬
‫‪Page 93‬‬

‫‪176‬‬
 ‫استراتيجية أمن المعلومات‬

‫‪- Kevin M. Dulany , Security, It’s Not Just Technical " , GSEC Practical‬‬
‫‪10‬‬

‫‪Assignment , v1.3 , 15 January 2002 , SANS Institute 2002 , p 4 .‬‬

‫‪11‬‬
‫‪(David Jarmon , "A Preparation Guide to Information Security Policies" ,‬‬
‫‪SANS Security Essentials GSEC Practical Assignment , Version 1.3, SANS‬‬
‫‪Institute 2002, pp 1-3, 11-14‬‬
‫‪ 12‬موقع عبد المجيد ميالد في تكنولوجيا المعلومات واالتصال‪.‬‬
‫‪ ،( http://www.abdelmajid-miled.com/articles_ar1.php?id=16‬بتاريخ ‪.2014/11/12‬‬
‫‪13‬‬
‫‪" Enterprise Information Security Policies", Georgia Technology Authority ,‬‬
‫‪September 10, 2002 , pp 10-11.‬‬
‫‪URL:http://gta.georgia.gov/vgn/images/portal/cit_1210/‬‬
‫‪62/58/1218035EnterpriseInforSecurityPoliciesGEITLF.pdf), consultée à‬‬
‫‪30/10/2014.‬‬
‫المراجع‪:‬‬
‫‪ -1‬البكري سونيا حممد ‪ ،‬نظم املعلومات اإلدارية (املافاهيم األساسية)‪ ،‬الدار اجلامعية‪ ،‬القاهرة‪.2000 ،‬‬
‫‪ -2‬احلميدي جنم عبد اهلل‪ ،‬نظم املعلومات اإلدارية (مدخل معاصر)‪ ،‬الطبعة األوىل‪ ،‬دار وائل للنشر‪ ،‬عمان‪،‬‬
‫األردن‪.2005 ،‬‬
‫‪ -3‬سلطان إبراهيم‪ ،‬نظم املعلومات اإلدارية (مدخل إداري)‪ ،‬الدار اجلامعية‪.2000 ،‬‬
‫‪ -4‬سياسة أمن املعلومات‬
‫‪http://www.google.ps/url?sa=t&rct=j&q=%D8%B3%D9%8A%D8%A7%‬‬
‫‪D8%B3%D8%A9+%D8%A7%D9%85%D9%86+%D8%A7%D9%84%D9‬‬
‫‪%85%D8%B9%D9%84%D9%88%D9%85%D8%A7%D8%AA+DOc&so‬‬
‫‪urce=web&cd=20&ved=0CFoQFjAJOAo&url=http%3A%2F%2Fsana11‬‬
‫‪11.files.wordpress.com%2F2011%2F03%2Fd8b3d98ad8a7d8b3d987-‬‬
‫‪d8a7d985d986-d8a7d984d985d8b9d984d988d985d8a7d8aa-‬‬
‫‪information-security-‬‬
‫‪policy.doc&ei=1HzTrrIFtS18QOo6qm5AQ&usg=AFQjCNGwOA0bo‬‬
‫‪ ،LfpievIw0XS0wDkmz-hgg&cad=rja‬بتاريخ ‪.2014/10 /30‬‬
‫‪ -5‬علوطي ملني‪ ،‬أثر تكنولوجيا املعلومات واالتصال عل إدارة املوارد البشرية يف املؤسسة‪ ،‬جملة علوم إنسانية‪،‬‬
‫السنة السادسة‪ ،‬العدد ‪ ،38‬صيف ‪.2008‬‬
‫‪ -6‬القحطاين سلمان بن علي بن وهف‪ ،‬أمن املعلومات (أمن املعلومات يف عوء التطور التقين واملعلومايت‬
‫احلديث يف الشبكات الالسلكية النقالة)‪ ،‬املؤمتر العلمي األول حول اجلوانب القانونية واألمنية للعمليات‬
‫اإللكرتونية‪ ،‬ديب – اإلمارات العربية املتحدة‪.2003/4/ 26 ،‬‬
‫‪ -7‬املري عائض‪ ،‬أمن املعلومات‪ ،‬ماهيتها وعناصرها وإسرتاتيجياهتا‪ ،‬معلومات قانونية‪ ،‬الدراسات‬
‫واالستشارات القانونية‪ 6 ،‬نوفمرب‪ ،2001‬انظر املوق االلكرتوين‪:‬‬

‫‪177‬‬
 ‫استراتيجية أمن المعلومات‬

‫ بتاريخ‬،http://www.dralmarri.com/show.asp?field=res_a&id=205
.2014/11/12
http://www.abdelmajid- :‫ موق عبد اجمليد ميالد يف تكنولوجيا املعلومات واالتصال‬-8
.2014/11/12 ‫ بتاريخ‬،miled.com/articles_ar1.php?id=16

Les ouvrages :

1- Dulany Kevin M., "Security, It’s Not Just Technical», GSEC Practical
Assignment , v1.3 , 15 January 2002 , SANS Institute 2002.
2- Enterprise Information Security Policies», Georgia Technology
Authority, September 10, 2002, pp 10-11.
URL:http://gta.georgia.gov/vgn/images/portal/cit_1210/
62/58/1218035EnterpriseInforSecurityPoliciesGEITLF.pdf., consultée
à 30/10/2014.
3- http://www.ao-academy.org/docs/45D0~1.DOC, consultée à
12/12/2014.
4- Jarmon David, "A Preparation Guide to Information Security Policies" ,
SANS Security Essentials GSEC Practical Assignment , Version 1.3 ,
SANS Institute 2002.
5- The CISSP All-in-one Certification Exam Guide, By Shon Harris,
Published by Mcgraw-Hill/Osborne 2600 Tenth Street, Berkely,
California 94710, U.S.A. 2002.

178