‫الجمهوريــــــــة العربيــــة الســـــــــورية‬

‫وزارة التعليـم العالي والبحث العلمي‬

‫المعهد العالـــــــــي إلدارة األعمـــــــــال‬

‫دراسة جدوى االستثمار في برنامج أمن معلومات‬

‫حالة عملية منظمة إنسانية‬
‫‪Feasibility Study for Information Security‬‬
‫‪Program Investment‬‬
‫‪Use case NGO‬‬

‫مشروع مقدم الستكمال متطلبات الحصول على درجة‬

‫الماجستير في إدارة األعمال‬
‫"اإلدارة التنفيذية"‬

‫إشراف الدكتور‬ ‫إعداد‬

‫رعد الصرن‬ ‫عوني فلوح‬

‫الدفعة العاشرة‬
‫‪2021-2020‬‬
 ‫الجمهوريــــــــة العربيــــة الســـــــــورية‬
‫وزارة التعليـم العالي والبحث العلمي‬
‫المعهد العالـــــــــي إلدارة األعمـــــــــال‬

‫دراسة جدوى االستثمار في برنامج أمن معلومات‬

‫حالة عملية منظمة إنسانية‬
‫‪Feasibility Study for Information Security‬‬
‫‪Program Investment‬‬
‫‪Use case NGO‬‬

‫مشروع مقدم الستكمال متطلبات الحصول على درجة‬

‫الماجستير في إدارة األعمال‬
‫"اإلدارة التنفيذية"‬

‫إشراف الدكتور‬ ‫إعداد‬

‫رعد الصرن‬ ‫عوني فلوح‬

‫الدفعة العاشرة‬
‫‪2021-2020‬‬

‫تعبر اآلراء الواردة في هذا التقرير عن وجهة نظر معديه‪ ،‬وال يتحمل المعهد أية مسؤولية عن هذه اآلراء‬
 ‫اإلهداء‬

‫إلى من ال شيء يضاهي ضوءهم في عتمتي‪ ،‬وبحبهم على الي ْبس قدت سفينتي‪..‬‬

‫إلى من تضيق األبجديات أمام نبلهم وتعجز الكلمات أمام عطائ ـ ـهم وتضحياتهم‪..‬‬

‫كل من ترك لدي من ذاته في مشوار الع ْمر طيب األث ــر‪ ..‬الحاضرين منهم ومن عبر‪..‬‬
‫إلى ﱢ‬

‫إلى من كان ْت بهم الحياة أقل وطأة وأكثر جماال‬

‫إليكم جميعا أهدي نتاج عملي هذا‬

‫أ‬
 ‫شكر وتقدير‬

‫أتقدم بجزيل الشكر والتقدير إلى األستاذ الدكتور المشرف رعد الصرن على كل ما قدمه لي من‬

‫توجيهات ومعلومات قيمة ساهمت في إثراء هذا البحث في جوانبه المختلفة‪.‬‬

‫كما أتقدم بالشكر الجزيل لألساتذة أعضاء لجنة المناقشة الموقرين‪ ،‬ولكافة أفراد الكادر التدريسي‬

‫والعلمي واإلداري في المعهد العالي إلدارة األعمال على ما قدموه لنا خالل هذه الرحلة الزاخرة بكل ما‬

‫هو مفيد وداعم من خبرات ومعارف ونشاطات أغنت ما لدينا‪.‬‬

‫كل من ساعدني وشجعني على إتمام هذا الماجستير وإنجاز هذا البحث‪.‬‬
‫والشكر الموصول ل ﱢ‬

‫ب‬
 ‫قائمة المحتويات‬

‫اإلهداء ‪ .........................................................................................................................‬أ‬
‫شكر وتقدير ‪ ..................................................................................................................‬ب‬
‫قائمة األشكال والجداول ‪3 ....................................................................................................‬‬
‫صطلحات ‪4 ...............................................................................................‬‬
‫َ‬ ‫مفتاحية وم‬
‫ّ‬ ‫كلمات‬
‫ملخص البحث ‪6 ...............................................................................................................‬‬
‫الفصل األول‪ :‬اإلطار العام للبحث ‪8 .........................................................................................‬‬
‫‪ .1.1‬مقدمة عامة ‪9..............................................................................................................‬‬
‫‪ .2.1‬دراسات سابقة ‪9...............................................................................................................‬‬
‫‪ .3.1‬ما يميز الدراسة الحالية عن الدراسات السابقة ‪12......................................................................‬‬
‫‪ .4.1‬مشكلة البحث ‪12.............................................................................................................‬‬
‫‪ .5.1‬أهمية البحث ‪13..............................................................................................................‬‬
‫‪ .6.1‬أهداف البحث ‪13.............................................................................................................‬‬
‫‪ .7.1‬منهج البحث ‪14..............................................................................................................‬‬
‫‪ .8.1‬مصادر البيانات والمعلومات ‪14.........................................................................................‬‬
‫‪ .9.1‬حدود البحث ‪14..............................................................................................................‬‬
‫الفصل الثاني‪ :‬اإلطار النظري ‪15 ............................................................................................‬‬
‫‪ .1.2‬المبحث األول‪ :‬برنامج أمن المعلومات ‪16.............................................................................‬‬
‫‪17.....................................................................................................‬‬ ‫‪ .1.1.2‬مقدمة‬
‫‪ .2.1.2‬أهمية أمن المعلومات للمنظمات ‪17................................................................................‬‬
‫‪ .3.1.2‬حوكمة أمن المعلومات ‪19...........................................................................................‬‬
‫‪ .4.1.2‬إدارة المخاطر وااللتزام ‪22...........................................................................................‬‬
‫‪ .5.1.2‬برنامج أمن المعلومات ‪28...........................................................................................‬‬
‫‪ .2.2‬المبحث الثاني‪ :‬الجدوى االقتصادية لمشروع ‪50.......................................................................‬‬
‫‪51.....................................................................................................‬‬ ‫‪ .1.2.2‬مقدمة‬
‫‪ .2.2.2‬تعريف دراسة الجدوى االقتصادية لمشروع ‪51....................................................................‬‬
‫‪ .3.2.2‬خصائص دراسة الجدوى ‪52.........................................................................................‬‬
‫‪ .4.2.2‬أهمية دراسة جدوى المشاريع ‪53....................................................................................‬‬
‫‪ .5.2.2‬متطلبات دراسة جدوى المشاريع ‪53................................................................................‬‬
‫‪ .6.2.2‬مجاالت التطبيق لدراسات الجدوى االقتصادية ‪54...............................................................‬‬
‫‪ .7.2.2‬دراسة الجدوى التسويقية ‪55..........................................................................................‬‬

‫‪1‬‬
‫‪ .8.2.2‬دراسة الجدوى التقنية (الفنية)‪56....................................................................................‬‬
‫‪ .9.2.2‬دراسة الجدوى المالية ‪57.............................................................................................‬‬
‫‪ .10.2.2‬صعوبات ومشاكل إجراء دراسات الجدوى‪57...................................................................‬‬
‫‪ .3.2‬المبحث الثالث‪ :‬المنظمة موضوع البحث ‪59...........................................................................‬‬
‫‪60.....................................................................................................‬‬ ‫‪ .1.3.2‬مقدمة‬
‫‪ .2.3.2‬مبادئ الحركات اإلنسانية ‪60........................................................................................‬‬
‫‪ .3.3.2‬أهمية االستثمار في برنامج أمن المعلومات بالنسبة للمنظمة ‪61..............................................‬‬
‫‪ .4.3.2‬حاجة قطاع المنظمات اإلنسانية لجعل األمن السيبراني أولوية ‪61...........................................‬‬
‫‪ .5.3.2‬أسباب فشل االستثمار في أمن المعلومات في المنظمات ‪65..................................................‬‬
‫العملي ‪67 ............................................................................................‬‬
‫الفصل الثالث‪ :‬اإلطار َ‬
‫‪ .1.3‬مقدمة ‪68...................................................................................................................‬‬
‫‪ .2.3‬المنظمة اإلنسانية ‪68........................................................................................................‬‬
‫‪ .3.3‬الوضع الحالي ‪68............................................................................................................‬‬
‫‪ .1.3.3‬حوكمة أمن المعلومات ‪69...........................................................................................‬‬
‫‪ .2.3.3‬إدارة مخاطر أمن المعلومات ‪71....................................................................................‬‬
‫‪ .3.3.3‬موارد أمن المعلومات ‪73.............................................................................................‬‬
‫‪ .4.3.3‬االمتثال وااللتزام ‪75...................................................................................................‬‬
‫‪ .4.3‬نتائج الدراسات ‪78............................................................................................................‬‬
‫‪ .1.4.3‬الدراسة التسويقية ‪78..................................................................................................‬‬
‫‪ .2.4.3‬الدراسة التقنية ‪80.....................................................................................................‬‬
‫‪ .3.4.3‬الدراسة المالية ‪84.....................................................................................................‬‬
‫النتائج والتوصيات ‪87 ........................................................................................................‬‬
‫‪ .1.4‬النتائج ‪88...................................................................................................................‬‬
‫‪ .2.4‬التوصيات ‪89.................................................................................................................‬‬
‫مراجع البحث ‪90 ...............................................................................................................‬‬
‫المالحق ‪93 ....................................................................................................................‬‬

‫‪2‬‬
 ‫قائمة األشكال والجداول‬
‫األشكال‬
‫الصفحة‬ ‫العنوان‬ ‫رقم الشكل‬
‫‪19‬‬ ‫مبالغ العمالت الرقمية المدفوعة لهجمات برامج الفدية المسجلة ما بين ‪2020-2013‬‬ ‫‪1‬‬
‫‪20‬‬ ‫عالقة الحوكمة باإلدارة وفق إطار ‪COBIT 5‬‬ ‫‪2‬‬
‫‪22‬‬ ‫نموذج األعمال الخاص بأمن المعلومات‬ ‫‪3‬‬
‫‪25‬‬ ‫مراحل االستجابة للخطر‬ ‫‪4‬‬
‫‪26‬‬ ‫مصفوفة درجة تأثير الخطر‬ ‫‪5‬‬
‫‪30‬‬ ‫موقع المخاطر المتعلقة بالتكنولوجيا على االقتصاد العالمي‬ ‫‪6‬‬
‫‪34‬‬ ‫خطوات تطوير برنامج أمن المعلومات‬ ‫‪7‬‬
‫‪36‬‬ ‫نموذج نضج القدرة‬ ‫‪8‬‬
‫‪37‬‬ ‫مبادئ ‪COBIT 5‬‬ ‫‪9‬‬
‫‪63‬‬ ‫ازدياد الهجمات اإللكترونية ضد جماعات حقوق اإلنسان في أعقاب مقتل جورج فلويد‬ ‫‪10‬‬

‫الجداول‬
‫الصفحة‬ ‫العنوان‬ ‫رقم الجدول‬
‫‪4‬‬ ‫كلمات مفتاحية ومصطلحات‬ ‫‪1‬‬
‫‪21‬‬ ‫العالقة بين مخرجات حوكمة أمن المعلومات مع المسؤوليات اإلدارية‬ ‫‪2‬‬
‫‪69‬‬ ‫نتائج استبيان أسئلة حوكمة أمن المعلومات‬ ‫‪3‬‬
‫‪71‬‬ ‫نتائج استبيان أسئلة إدارة مخاطر أمن المعلومات‬ ‫‪4‬‬
‫‪73‬‬ ‫نتائج استبيان أسئلة موارد أمن المعلومات‬ ‫‪5‬‬
‫‪75‬‬ ‫نتائج استبيان أسئلة االمتثال وااللتزام‬ ‫‪6‬‬
‫‪84‬‬ ‫الدراسة المالية وفق خطة زمنية مقترحة لتطبيق البرنامج ضمن ‪ 4‬سنوات ميالدية‬ ‫‪7‬‬
‫‪93‬‬ ‫أسئلة مقابالت المعنيين في المنظمة‬ ‫‪8‬‬
‫‪97‬‬ ‫تفاصيل الدراسة المالية المقترحة‬ ‫‪9‬‬

‫‪3‬‬
 ‫صطلحات‬
‫َ‬ ‫مفتاحية وم‬
‫ّ‬ ‫كلمات‬
‫جدول (‪ :)1‬كلمات مفتاحية ومصطلحات‬

‫الصفحات‬ ‫الشرح‬ ‫الكلمة \ المصطلح‬

‫سياسة تؤسس التفاقية ما بين الموظف والمنظمة التي يعمل بها تحدد لجميع األطراف نطاقات العمل المسموحة قبل منح‬ ‫‪Acceptable use policy‬‬
‫‪44‬‬
‫صالحيات الوصول للشبكة أو اإلنترنت‬ ‫سياسة االستخدام المقبول‬
‫هي الصالحيات التي تمنح للمستخدمين أو البرامج والتي تسمح لهم بإنشاء أو تعديل أو استعراض أو حذف البيانات‬ ‫‪Access rights‬‬
‫‪80-70‬‬
‫والملفات من األنظمة وفق ما تم تحديده من مالك البيانات وسياسة أمن المعلومات المعتمدة‪.‬‬ ‫صالحيات الوصول‬
‫تطبيق برمجي يتم تنصيبه في نقاط مختلفة من بنية تقانة المعلومات‪ ،‬تم تصميمه الكتشاف وحذف الفايروسات الحاسوبية‬ ‫‪Antivirus software‬‬
‫‪32‬‬
‫قبل أن تؤدي إلى حدوث ضرر‪ ،‬كما يقوم بتصحيح أو عزل الملفات المصابة بهذه الفايروسات‪.‬‬ ‫برنامج مكافحة الفايروسات‬
‫‪61‬‬ ‫إتاحة الوصول للمعلومات عند الحاجة لذلك من قبل العمليات التشغيلية اآلن وفي المستقبل‪.‬‬ ‫اإلتاحة ‪Availability‬‬
‫وثيقة تجمع دراسة بين مزايا وعيوب وتكاليف ومخاطر الوضع الحالي والرؤية المستقبلية بحيث تعتبر وسيلة تساعد اإلدارة‬ ‫‪Business case‬‬
‫‪43‬‬
‫التنفيذية في أن تقرر ما إذا كان ينبغي المضي قدما في االستثمار في المشروع أم ال‪.‬‬ ‫حالة عمل‬
‫خطة يتم وضعها واستخدامها من قبل المنظمة لالستجابة لالنقطاعات في عمليات تشغيلية حرجة بالنسبة لها‪ ،‬وذلك‬ ‫‪Business Continuity Plan‬‬
‫‪80‬‬
‫باالعتماد على خطة الطوارئ الستعادة العمل لألنظمة التقنية الحساسة في المنظمة‪.‬‬ ‫خطة استم اررية العمل )‪(BCP‬‬
‫يتم من خالله تقييم األصول الحساسة والحرجة بالنسبة للمنظمة ويتنبأ بالنتائج المترتبة على انقطاع الخدمة المقدمة من‬
‫هذه األصول على األعمال التشغيلية بشكل تراكمي ويجمع المعلومات الالزمة لتطوير استراتيجيات االستعادة والموارد‬ ‫‪Business Impact Analysis‬‬
‫‪22‬‬
‫الدنيا الالزمة لذلك كما يرتب أولويات االستعادة‪ .‬ويتم من خالله أيضا تحديد الخسارة في الدخل‪ ،‬المصاريف غير‬ ‫تحليل األثر على األعمال )‪(BIA‬‬
‫المتوقعة‪ ،‬القضايا القانونية المترتبة‪ ،‬العمليات المعتمدة على بعضها‪ ،‬باإلضافة إلى التأثير على السمعة وثقة العمالء‪.‬‬
‫منهجية تستخدم لتحديد العناصر الرئيسية الالزمة لتطوير وتحسين كفاءة العمليات في جانب أو أكثر من المنظمة‪.‬‬ ‫‪Capability Maturity Model‬‬
‫‪36-28‬‬
‫ويصف النموذج مسا ار تطوريا من خمسة مستويات لعمليات المنظمة بشكل متزايد وأكثر نضجا للجودة والكفاءة‪.‬‬ ‫نموذج نضج القدرة )‪(CMM‬‬
‫موقع وظيفي تنفيذي مسؤول عن تطوير وتنفيذ برنامج أمن المعلومات‪ ،‬ويتضمن إدارة إجراءات وسياسات مصممة لحماية‬ ‫‪Chief Information Security‬‬
‫‪21‬‬ ‫اتصاالت وأنظمة وأصول المؤسسة من التهديدات الداخلية والخارجية‪ .‬باإلضافة إلدارة المخاطر المتعلقة بأمن المعلومات‬ ‫)‪Officer (CISO‬‬
‫والتأكد من وجود درجة كافية من سرية ونزاهة وإتاحة األصول التكنولوجية في المنظمة‪.‬‬ ‫كبير موظفي أمن المعلومات‬
‫‪39-38‬‬ ‫حماية المعلومات الحساسة أو الخاصة من اإلفصاح أو اإلطالع غير المسموح به‪.‬‬ ‫السرية ‪Confidentiality‬‬
‫أحد وسائل التعامل مع الخطر مثل السياسات واإلجراءات ودالئل العمل والممارسات ومن الممكن أن يتخذ طبيعة إدارية‬
‫‪39-10‬‬ ‫الضابط ‪Control‬‬
‫أو تقنية أو قانونية‪.‬‬
‫تقييم درجة حساسية البيانات أو المعلومات أو األصل والذي ينتج عنه تحديد الضوابط الالزمة لكل مستوى‪ .‬ويتم تحديد‬
‫‪Data/assets classification‬‬
‫‪94-73-44-23‬‬ ‫حساسية بيانات كل مستوى وفق فئات مسبقة التعريف لتغطية مراحل إنشاء البيانات ومعالجتها وتخزينها ونقلها‪ .‬ويعكس‬
‫تصنيف البيانات‪/‬األصول‬
‫مستوى التصنيف قيمة هذه البيانات‪/‬األصول بالنسبة للمنظمة‪.‬‬
‫‪61‬‬ ‫الخاصية التي تميز أن البيانات تتمتع بدرجة الجودة المطلوبة ويمكن االعتماد عليها‪.‬‬ ‫نزاهة البيانات ‪Data integrity‬‬
‫‪-66-61-19‬‬
‫ي شير إلى المرور غير المصرح به للبيانات أو المعلومات من داخل المنظمة إلى وجهة خارج شبكتها اآلمنة‪.‬‬ ‫تسريب البيانات ‪Data leakage‬‬
‫‪93-81-79-71‬‬
‫مجموعة من التقنيات واإلجراءات المرافقة لها التي تساعد في تحديد ومراقبة وحماية البيانات الحساسة من محاوالت‬ ‫‪Data Leak Protection‬‬
‫‪33‬‬
‫اإلفشاء غير المصرح به‪.‬‬ ‫الحماية من تسريب البيانات‬
‫‪23‬‬ ‫هم األفراد (عادة من المدراء) المسؤولين عن نزاهة ودقة واستخدام البيانات اإللكترونية الخاضعة لنطاق عملهم‬ ‫مالك البيانات ‪Data Owner‬‬
‫مجموعة من الموارد البشرية والفيزيائية والتقنية واإلجرائية المكرسة الستعادة النشاطات التي تم قطعها نتيجة حاالت طوارئ‬ ‫‪Disaster Recovery Plan‬‬
‫‪93-71-70‬‬
‫أو كوراث ضمن وقت وكلف محددة‪.‬‬ ‫خطة االستعادة من الكوارث )‪(DRP‬‬
‫‪20‬‬ ‫مستوى العناية المتوقعة من قبل شخص مسؤول يتمتع بالكفاءة والظروف المشابهة‬ ‫العناية الواجبة ‪Due Care‬‬
‫‪41-39-32‬‬ ‫عملية تطبيق وظائف رياضية معينة (خوارزمية مع مفتاح تشفير) على رسالة غير مشفرة للحصول على رسالة مشفرة‬ ‫التشفير ‪Encryption‬‬
‫هو نظام أو مجموعة من األنظمة المتناسقة التي تشكل حاج از بين شبكتين حاسوبيتين أو أكثر وعمليا فإنها تشكل فاصل‬
‫‪94-74-73-32‬‬ ‫الجدار الناري ‪Firewall‬‬
‫ما بين شبكة آمنة وأخرى مفتوحة كاإلنترنت‪.‬‬
‫‪36-24‬‬ ‫وصف طريقة محددة ألداء شيء ما بأسلوب توجيهي‪.‬‬ ‫دليل العمل ‪Guideline‬‬
‫‪-80-72-71‬‬ ‫أي حدث ال يعتبر جزءا من العمليات التشغيلية القياسية للخدمة والذي يؤدي أو قد يؤدي إلى انقطاع بالخدمة أو تخفيض‬
‫حادثة ‪Incident‬‬
‫‪93-81‬‬ ‫جودتها‪.‬‬
‫استجابة المنظمة للكوارث أو أي حدث خطير من الممكن أن يؤثر بشكل كبير على المنظمة ككل أو العاملين بها أو‬
‫‪-44-43-21‬‬ ‫‪Incident response‬‬
‫قدرتها على أداء الوظائف اإلنتاجية‪ .‬وقد يتضمن ذلك‪ :‬تنفيذ خطة اإلخالء‪ ،‬إطالق خطة االستعادة من الكوراث‪ ،‬تنفيذ‬
‫‪80-78-64-61‬‬ ‫االستجابة للحوادث‬
‫تقييم لألضرار أو أية نشاطات أخرى ضرورية للعودة بالمنظمة لوضع أكثر استق ار ار‪.‬‬
‫‪-21-11-10-7‬‬ ‫ضمان أن المستخدمين المخولين فقط (السرية) لديهم القدرة على الوصول للبيانات الدقيقة والمكتملة (نزاهة البيانات) عند‬ ‫‪Information security‬‬
‫‪90-24‬‬ ‫حاجتهم لذلك (اإلتاحة)‪.‬‬ ‫أمن المعلومات‬

‫‪4‬‬
‫‪-28-16-13-6‬‬
‫من ‪ 30‬حتى‪-49‬‬ ‫المزيج الشامل من التدابير التقنية والتشغيلية واإلجرائية والهيكلية اإلدارية المطبقة للحصول على سرية المعلومات ونزاهتها‬ ‫‪Information security program‬‬
‫‪ -68-61‬من‪78‬‬ ‫وإتاحتها وفق متطلبات األعمال وتحليل المخاطر‪.‬‬ ‫برنامج أمن المعلومات‬
‫حتى‪86‬‬
‫نظام مراقبة يكتشف األنشطة المشبوهة في الشبكة واألجهزة التي قد تشير إلى هجوم أمني محتمل ويصدر تنبيهات عند‬ ‫‪Intrusion detection system‬‬
‫‪32‬‬
‫اكتشافها تساعد في التحقيق في المشكلة واتخاذ اإلجراءات المناسبة لمعالجة التهديد‪.‬‬ ‫نظام كشف التسلل‬
‫نظام مراقبة يكتشف األنشطة المشبوهة في الشبكة واألجهزة التي قد تشير إلى هجوم أمني محتمل ثم يقوم بمنعها من‬ ‫‪Intrusion prevention system‬‬
‫‪32‬‬
‫إحداث ضرر بالموارد المعلوماتية‪.‬‬ ‫نظام منع التسلل‬
‫لجنة على مستوى اإلدارة التنفيذية العليا في المنظمة تساعد في تكوين استراتيجيات تكنولوجيا المعلومات وتشرف على‬
‫‪IT steering committee‬‬
‫‪93-69-29-21‬‬ ‫النشاطات اإلدارية اليومية لتسليم خدمات ومشاريع تكنولوجيا المعلومات وتركز على التطبيق األمثل لها‪ .‬ومن المفترض‬
‫لجنة توجيه تكنولوجيا المعلومات‬
‫أن تضم ضمن أعضائها مختلف أصحاب المصلحة في المنظمة أو ممثلين عنهم‪.‬‬
‫)‪Key goal indicator (KGI‬‬
‫‪32‬‬ ‫مقياس يعطي اإلدارة فيما إذا حققت عمليات تكنولوجيا المعلومات متطلبات األعمال المطلوبة منها أم ال‪.‬‬
‫مؤشر الهدف‬
‫مقياس يحدد مدى كفاءة العمليات في تحقيق األهداف المطلوبة‪ ،‬ويعتبر هذا مؤشر أساسي حول مدى احتمالية تحقيق‬ ‫‪Key performance indicator‬‬
‫‪45‬‬
‫الهدف ومؤشر جيد للقدرة والممارسة والمهارة‪.‬‬ ‫مؤشر األداء )‪(KPI‬‬
‫‪94-75-74-33‬‬ ‫فحص حي الختبار مدى فعالية ضوابط الدفاع المطبقة من خالل تقليد نشاطات المهاجمين الحقيقيين‪.‬‬ ‫فحص االختراق ‪Penetration test‬‬
‫التصيد هو نوع من هجمات الهندسة االجتماعية حيث يرسل المهاجم رسالة احتيالية (عبر البريد اإللكتروني غالبا)‬
‫‪Phishing‬‬
‫‪18-17‬‬ ‫مصممة لخداع شخص للكشف عن معلومات حساسة للمهاجم أو لنشر برامج ضارة على البنية التحتية للضحية مثل برامج‬
‫التصيد االحتيالي‬
‫الفدية‪.‬‬
‫‪64-55-44-21‬‬ ‫التوجيهات والنوايا الشاملة لإلدارة معبر عنها بطريقة رسمية‬ ‫السياسة ‪Policy‬‬
‫‪93-74-70-45‬‬ ‫وثيقة تحوي وصف مفصل حول الخطوات الضرورية لتنفيذ عمليات محددة بما يتالئم مع المعايير المطبقة‬ ‫اإلجراء ‪Procedure‬‬
‫‪32‬‬ ‫تشفير غير متماثل‪ ،‬وهو نظام تشفير يستخدم أزواج من المفاتيح والمفتاح العام هو الذي يتم نشره بشكل واسع التمام ذلك‪.‬‬ ‫المفتاح العام ‪Public key‬‬
‫تقنية افتراضية لتخزين البيانات تجمع بين العديد من محركات األقراص الفعلية في وحدة منطقية واحدة أو أكثر ألغراض‬ ‫‪Redundant array for‬‬
‫‪32‬‬
‫تكرار البيانات أو تحسين األداء أو كليهما‪.‬‬ ‫)‪inexpensive disks (RAID‬‬
‫‪24-23‬‬ ‫مقدار الخطر المتبقي بعد تطبيق نشاطات االستجابة المناسبة للخطر‬ ‫الخطر المتبقي ‪Residual risks‬‬
‫صيغة قياس تمكن المستثمرين من تقييم استثماراتهم والحكم على مدى جودة أداء استثمار معين مقارنة مع استثمارات‬ ‫)‪Return on investment (ROI‬‬
‫‪89-86-85-51‬‬
‫أخرى مختلفة‪ .‬يتم استخدام حساب عائد االستثمار أحيانا مع أساليب أخرى لتطوير دراسة جدوى مقترح معين‪.‬‬ ‫العائد على االستثمار‬
‫‪-75-73-33‬‬ ‫هي مجموعة من األدوات والخدمات التي تقدم نظرة شاملة ألمن معلومات المنظمة وتوفر رؤية في الوقت الحقيقي من‬ ‫‪Security information and‬‬
‫‪-84-79-76‬‬ ‫خالل أنظمة أمن المعلومات المستخدمة‪ ،‬وتقوم بإدارة سجالت األحداث (‪ )log‬عبر دمج تلك البيانات التي يتم جمعها من‬ ‫)‪event management (SIEM‬‬
‫‪97-94‬‬ ‫مصادر عديدة‪.‬‬ ‫نظام جمع وتحليل سجالت المراقبة‬
‫اتفاقية يفضل أن تكون مكتوبة ما بين مزود الخدمة والزبون تحدد المستوى األدنى من األداء المطلوب للخدمة‪ ،‬باإلضافة‬
‫‪Service Level Agreement‬‬
‫‪72‬‬ ‫إلى وصف المنتجات أو الخدمات التي سيتم تقديمها‪ ،‬ونقاط االتصال لحل مشاكل الزبون‪ ،‬والمقاييس التي يتم من خاللها‬
‫اتفاقية مستوى الخدمة )‪(SLA‬‬
‫مراقبة فعالية الخدمة والموافقة عليها‪.‬‬
‫‪Social engineering‬‬
‫‪18‬‬ ‫هي التالعب النفسي بالمستخدمين أو مدراء األنظمة لتسريب أو إفشاء معلومات سرية‪.‬‬
‫الهندسة االجتماعية‬
‫‪90-32‬‬ ‫مطلب إجباري لممارسات أو مواصفات معتمدة بواسطة منظمات خارجية متخصصة بالمعايير مثل ‪ISO‬‬ ‫المعيار ‪Standard‬‬
‫‪-75-74-33‬‬
‫نقطة ضعف في التصميم أو التطبيق أو التشغيل أو في أحد الضوابط الداخلية يمكن أن تؤدي النتهاك أمن النظام‬ ‫الثغرة ‪Vulnerability‬‬
‫‪97-94-84-79‬‬

‫‪5‬‬
 ‫ملخص البحث‬
‫تعتبر الحوادث السيبرانية أحد أكبر التهديدات التي تواجه األعمال التجارية الحديثة‪ ،‬وتتركز بشكل‬
‫خاص على المنظمات الصغيرة والمتوسطة ذات الميزانيات والموارد المحدودة التي تعيقها عن حماية‬
‫نفسها‪ ،‬مما يؤدي إلى عدم الكفاية في الحماية تجاه األمن المعلوماتي في هذه المنظمات وإلى وقوع‬
‫عدد متزايد من الهجمات وحوادث األمن السيبراني الالحقة‪ .‬تحتاج المنظمات الصغيرة والمتوسطة‬
‫إلى زيادة االستثمار في هذا المجال‪ ،‬ولكن يجب موازنة ذلك مع أولويات األعمال األخرى‪.‬‬

‫إن الغرض من هذا البحث هو توفير دراسة جدوى لهذا النوع من االستثمار تفيد متخذي القرار من‬
‫كبار المدراء والمالكين في معظم المنظمات وخاصة منها الصغيرة والمتوسطة في سوريا وتساعدهم‬
‫على فهم العوامل التي تؤثر على ق ارراتهم المتعلقة باالستثمار اإلضافي في األمن السيبراني‪ .‬إن فهم‬
‫تلك العوامل سيساعد هذه المنظمات بشكل كبير عند صياغة سياسات الحوكمة والمعايير في المستقبل‬
‫كما أنه سيساهم في تذليل العقبات تجاه التخطيط االستراتيجي للمنظمة لتحقيق التكامل واالندماج‬
‫بين األعمال التجارية من جهة ونشاطات برنامج أمن المعلومات الذي تم تبنيه من جهة أخرى‪.‬‬

‫تم تطبيق هذه الدراسة على إحدى المنظمات اإلنسانية غير الربحية العاملة في الجمهورية العربية‬
‫السورية وتم اختيار األبعاد األربعة التي تحدد درجة نضج المنظمة في مجال أمن المعلومات على‬
‫أنها (‪ )1‬حوكمة أمن المعلومات (‪ )2‬إدارة مخاطر أمن المعلومات (‪ )3‬موارد أمن المعلومات و(‪)4‬‬
‫االمثال وااللتزام‪ .‬وأظهر البحث بشكل حاسم أن المنظمة الممثلة لحالة الدراسة تقر بالحاجة إلى‬
‫االستثمار في أمن المعلومات وهي مستعدة له ولكن هناك حاجة إلى مزيد من التوجيه والمعرفة‬
‫لضمان أن االستثمار يستهدف المناطق األكثر تأثي ار على األعمال‪ .‬وقد خلصت الدراسة إلى مجموعة‬
‫نتائج كان من أهمها أن لحوادث أمن المعلومات (في حال وقوعها) أثر بالغ الخطورة على مصالح‬
‫المنظمة وأعمالها ما قد يطال جوانب مالية وقانونية (قضائية) باإلضافة ألثرها المباشر على سمعة‬
‫المنظمة ومكانتها‪ ،‬باإلضافة إلى وجود درجة نضج منخفضة تجاه حوكمة أمن المعلومات وإدارة‬
‫المخاطر المتعلقة بذلك‪ .‬مما يتطلب تخصيص جهود وموارد مالئمة لتطبيق برنامج واضح لنشاطات‬
‫أمن المعلومات ضمن المنظمة تنتقل بها من الوضع الراهن إلى وضع أكثر أمنا ويتمتع بدرجة أقل‬
‫من مستويات مخاطر أمن المعلومات المقبولة من قبل المنظمة‪.‬‬

‫‪6‬‬
 Abstract
Cybercrime is one of the biggest threats to modern businesses. The threat is particularly
poignant for small and medium-sized organizations (SMEs) with limited budgets and
resources to protect themselves. This leads to insufficient protection towards information
security in these organizations and to an increasing number of attacks and subsequent
cybersecurity incidents. Small and medium organizations need to invest more in this area
but this must be balanced with other business priorities. The purpose of this research is to
provide a feasibility study for this type of investment that will benefit decision makers
such as senior managers and business owners of most of Syrian organizations, especially
small and medium ones, to understand the factors that affect their decisions regarding
additional investment in cybersecurity protection. Understanding these factors will
greatly help when formulating governance policies and standards in future, as it will
contribute to overcoming obstacles towards the organization's strategic planning to
achieve integration and combination between business operation and activities of
information security program that has been adopted.
Four dimensions that define maturity level of the organization in information security
domain were selected as (1) information security governance, (2) information security
risk management, (3) resources of information security and (4) commitment and
compliance. The research decisively showed that the organization recognizes their needs
to invest in information security and they are ready for it. However, more guidance and
knowledge are required to ensure that investment targets areas with the most impact on
business.
The study concluded that information security incidents (if occured) have very serious
impact on the organization interests and business continuity including financial issues,
legal aspect and direct impact on reputation and position of the organization. The
organization has low level of maturity towards information security governance and
related risk management. This requires to allocate appropriate efforts and resources to
implement a clear information security program in which it moves from current situation
to more secure situation that has lower and accepted level of information security risks
for the organization.

7
‫الفصل األول‪ :‬اإلطار العام للبحث‬

‫‪ .1.1‬مقدمة عامة‬

‫‪ .2.1‬دراسات سابقة‬

‫ميز الدراسة الحالية عن الدراسات السابقة‬

‫‪ .3.1‬ما ي ّ‬

‫‪ .4.1‬مشكلة البحث‬

‫‪ .5.1‬أهمية البحث‬

‫‪ .6.1‬أهداف البحث‬

‫‪ .7.1‬منهج البحث‬

‫‪ .8.1‬مصادر البيانات والمعلومات‬

‫‪ .9.1‬حدود البحث‬

‫‪8‬‬
 ‫‪ .1.1‬مقدمة عامة‬
‫لقد بات مصطلح األمن المعلوماتي أو السيبراني يتصدر عناوين األخبار واإلنترنت ووسائل التواصل‬
‫االجتماعي ومنتديات تكنولوجيا المعلومات بشكل يومي وكثيف‪ .‬ومع ذلك فهو ال يزال ينطوي على‬
‫الكثير من الغموض بالنسبة للكثيرين‪ ،‬حيث يسعى القائمون على المؤسسات من مديرين تنفيذيين‬
‫وأعضاء مجلس إدارة ومسؤولي أمن معلومات للحفاظ على أمان بيانات شركاتهم ومواردها المعلوماتية‬
‫بطرق وأساليب مختلفة ومتعددة‪ ،‬ما يدفعهم بقوة للبحث عن االستراتيجيات المالئمة لتحقيق األهداف‬
‫المنشودة المتعلقة بضمان األمن في منظماتهم وإعطاء هذه األهداف كل الدعم والمتابعة الحثيثة‬
‫وخاصة لدى المنظمات التي تعي خطورة ما يترتب عليه إهمال ذلك‪.‬‬

‫ومع التزايد المستمر والمتصاعد في اعتماد مختلف المؤسسات على التكنولوجيا في أداء أعمالها‬
‫باإلضافة لالنتشار السريع لمفهوم إنترنت األشياء واألنظمة الذكية التي تمكن التجهيزات من االتصال‬
‫والتحكم بها عن طريق اإلنترنت ومن خالل تقنيات اتصاالت الجيل الخامس‪ ،‬فإن االهتمام بالحفاظ‬
‫على أمن هذه األنظمة أصبح أم ار أساسيا وملحا‪ ،‬وإهماله قد يؤدي لكوارث قد ال تحتمل أية مؤسسة‬
‫نتائجها مهما كان حجمها‪ .‬إن األمن السيبراني هو مجموعة من األدوات التقنية والعمليات والممارسات‬
‫المصممة لحماية األنظمة والشبكات والبرامج والبيانات من المخاطر السيبرانية مثل الهجمات‬
‫اإللكترونية أو التلف أو الوصول غير المصرح به‪ ،‬ويشار له أيضا باسم أمن تكنولوجيا المعلومات‬
‫أو اختصا ار بأمن المعلومات‪ .‬ومع تطور وتنوع الهجمات اإللكترونية اليوم وتحولها إلى خطر مباشر‬
‫على المؤسسات والموظفين والعمالء‪ ،‬فإن األمن السيبراني بات يلعب دو ار مهما للغاية في الوقاية‬
‫من هذه التهديدات األمنية‪.‬‬

‫‪ .2.1‬دراسات سابقة‬
‫الدراسة األولى‪ :‬دراسة رضا ابراهيم صـالح وآخرون (‪ )2020‬بعنوان‪:‬‬

‫"دراسة أثر إدارة أمن المعلومات على نجاح برنامج أمن نظم المعلومات المحاسبية‪ :‬مع دراسة‬
‫ميدانية على الشركات المصرية"‬

‫هدف هذا البحث إلى محاولة معرفة أثر إدارة أمن المعلومات على نجاح برنامج أمن المعلومات في‬
‫بيئة األعمال المصرية‪ ،‬ولقد قدم البحث إطا ار نظريا ألهم العوامل والمتغيرات التي تؤثر على فعالية‬
‫إدارة أمن المعلومات وأثرها على نجاح برنامج أمن المعلومات‪ ،‬كما قام البحث باختبار عناصر ذلك‬
‫اإلطار ميدانيا على عينة من فروع الشركة المصرية لالتصاالت ‪ ،WE‬وذلك باستخدام قائمة‬
‫االستقصاء التي تم تصميمها خصيصا لهذا الغرض‪ ،‬وقد توصلت نتائج الدراسة إلى أن إدارة أمن‬

‫‪9‬‬
‫المعلومات لها تأثير جوهري وإيجابي على نجاح برنامج أمن نظم المعلومات المحاسبية فى البيئة‬
‫المصرية‪ ،‬كما أوصت بضرورة اهتمام منظمات األعمال بإدارة أمن المعلومات باعتبارها عنص ار هاما‬
‫وضروريا لنجاح برنامج أمن المعلومات فى منظمات األعمال المصرية‪.‬‬

‫الدراسة الثانية‪Eva Weishäupl and others (University of Regensburg) :‬‬

‫(‪ )2018‬بعنوان‪:‬‬
‫‪“Information Security Investments: An Exploratory Multiple Case‬‬
‫”‪Study on Decision-Making، Evaluation and Learning‬‬
‫استثمارات أمن المعلومات‪ :‬دراسة حالة استكشافية متعددة حول اتخاذ القرار والتقييم والتعلم‪ :‬تناولت‬
‫هذه الدراسة الحاجة إلى حماية موارد المنظمات من الهجمات اإللكترونية من خالل االستثمار الضخم‬
‫في أمن المعلومات في جميع أنحاء العالم‪ ،‬وفي ظل وجود قيود على الميزانيات يتعين على المنظمات‬
‫أن تقرر أي التدابير األمنية لتكنولوجيا المعلومات ينبغي أن تستثمر فيها‪ ،‬وكيفية تقييمها لق اررات‬
‫االستثمار‪ ،‬وكيفية التعلم من الق اررات السابقة للتحسين المستقبلي في إجراءات االستثمار‪ .‬تضمنت‬
‫الدراسة جمع بيانات مقابالت أجريت مع سبع شركات استشارية وخمس شركات غير استشارية تعمل‬
‫في أوروبا‪ .‬وكشفت دراسة الحالة هذه أن‪ )1( :‬استثمارات الشركات في أمن المعلومات مدفوعة إلى‬
‫حد كبير بعوامل خارجية تتعلق بالبيئة والصناعة‪ )2( ،‬ليس لدى الشركات تطبيق معياري لعمليات‬
‫اتخاذ القرار‪ )3( ،‬ينظر إلى العملية األمنية على أنها تؤثر على تشغيل األعمال بطريقة مزعجة‪،‬‬
‫(‪ )4‬ناد ار ما يكون تقييم العمليات وتطبيق المقاييس موجودا‪ )5( ،‬يتم إجراء أنشطة التعلم بشكل‬
‫عشوائي غير منظم‪ .‬وأوصت هذه الدراسة الباحثين بإجراء أبحاث جديدة حول (‪ )1‬كيفية أخذ العالقة‬
‫بين العوامل الخارجية المختلفة في االعتبار عند اتخاذ ق اررات االستثمار في أمن المعلومات و(‪)2‬‬
‫كيف يمكن تنفيذ عمليات تقييم واستراتيجيات تعلم مدعومة في المنظمات بحيث تصبح استثمارات‬
‫أمن المعلومات أكثر فاعلية في الممارسة العملية‪.‬‬

‫الدراسة الثالثة‪ :‬دراسة ‪ )2017( Mohammad Naser Musa Hamdan‬بعنوان‪:‬‬

‫‪“The relationship between network security policies and audit evidence:‬‬
‫”‪a culture of security for Accounting Information as mediator‬‬
‫العالقة بين سياسات أمن الشبكات وأدلة التدقيق‪ :‬الثقافة األمنية للمعلومات المحاسبية كمتغير وسيط‪.‬‬
‫هدفت هذه الدارسة لكشف العالقة بين سياسات أمن الشبكات (سياسة الدائرة‪ ،‬سياسة مدير النظام‪،‬‬
‫سياسة المستخدم‪ ،‬سياسة ضابط أمن المعلومات) من ناحية‪ ،‬وتوثيق أدلة التدقيق من ناحية أخرى‪.‬‬
‫كما تم إدخال الثقافة األمنية للمعلومات المحاسبية كمتغير يتوسط تلك العالقة‪ .‬أجري البحث من‬

‫‪10‬‬
‫خالل استبيان تم إرساله لكافة الشركات المدرجة في بورصة عمان في األردن‪ .‬ووجدت الدراسة أن‬
‫هناك عالقة مهمة بين سياسات أمن الشبكات وتوثيق أدلة التدقيق‪ .‬إلى جانب ذلك‪ ،‬بينت أن قيمة‬
‫معامل االرتباط بين سياسات أمان الشبكة وتوثيق التدقيق قد ارتفع بعد إدخال متغير الثقافة األمنية‬
‫للمحاسبة وأوضحت هذه النتيجة بحسب الدراسة أهمية التوعية بالثقافة األمنية للشركات‪ .‬وأوصى‬
‫الباحث على التأكيد على أهمية الوعي بالثقافة األمنية لدى المنظمات‪.‬‬

‫الدراسة الرابعة‪ :‬دراسة مايفل نبيل رمسيس (‪ )2015‬بعنوان‪:‬‬

‫"أثر االستثمار فى أمن المعلومات على أداء البنوك"‬

‫اهتمت هذه الدراسة بتقييم أثر االستثمار فى أمن المعلومات على أداء البنوك فى القطاع المصرفي‬
‫المصري في محاولة لقياس مدى تأثير االستثمار فى أمن المعلومات على مؤشرات الربحية وجودة‬
‫األصول وقد تناول البحث عينة تتكون من ‪ 13‬مصرفا‪ .‬وخلصت الدراسة إلى وجود تأثير معنوي‬
‫لالستجابة لسرعة معالجة تهديدات أمن المعلومات على معدل العائد على األصول‪ ،‬ونظام حماية‬
‫الخدمات المصرفية اإللكترونية على معدل العائد على الملكية‪ ،‬واإلجراءات الخاصة بتطبيق معيار‬
‫أمن المعلومات ‪ ISO 27001‬على معدل العائد على رأس المال‪ .‬حيث يوجد تأثير معنوي لإلجراءات‬
‫الخاصة بتطبيق معيار ‪ PCI-DSS‬لحماية بطاقات االئتمان على جودة األصول من خالل خفض‬
‫نسبة مخصصات خسائر القروض‪ .‬وأوصت بالقيام ببحوث مستقبلية فى مجال دراسة أثر االستثمار‬
‫فى أمن المعلومات على أداء الشركات‪ ،‬وأثر تهديدات أمن المعلومات على عوائد األسهم‪.‬‬

‫الدراسة الخامسة‪ :‬دراسة ‪ )2015( Hanna Toivanen‬بعنوان‪:‬‬

‫”?‪“Case study of why information security investment decision fail‬‬
‫دراسة حالة لماذا يفشل قرار االستثمار في أمن المعلومات؟ (جامعة يوفاسكيال‪ ،‬فنلندا)‪ .‬ركزت هذه‬
‫الدراسة على عملية اتخاذ ق اررات االستثمار في أمن المعلومات‪ ،‬وكان هدفها هو التحقيق في سبب‬
‫فشل ق اررات االستثمار في أمن المعلومات‪ .‬تم استخدام استراتيجية البحث حيث تم البناء من دراسة‬
‫حاالت أربع شركات في فنلندا‪ ،‬وتم جمع المواد البحثية الالزمة من خالل المقابالت‪ ،‬وتم تحليلها من‬
‫خالل طريقة تحليل المحتوى االستقرائي‪ .‬وأشارت نتائج هذه الدراسة إلى أن التحدي المتمثل في‬
‫استثمارات أمن المعلومات يكمن في إدارة استثمار متعدد األطراف‪ ،‬حيث تتعلق احتمالية رفض اقتراح‬
‫االستثمار في أمن المعلومات في مرحلة اتخاذ القرار بأساليب وقدرات المنظمات لتحديد ومناقشة‬
‫اقتراح االستثمار‪ ،‬ومستوى المعرفة حول أمن المعلومات لدى اإلدارة‪ .‬ففي مرحلة بدء االستثمار في‬
‫أمن المعلومات‪ ،‬يتعلق التحدي بقدرات المنظمة على التخطيط المستمر للعمليات التجارية ومستوى‬

‫‪11‬‬
‫معرفة وفهم دور أمن المعلومات والمسؤوليات المتعلقة به‪ .‬أما في مرحلة اقتراح تحديد استثمار أمن‬
‫المعلومات فتلعب قدرات المنظمات على تحديد اقتراح االستثمار المناسب الدور األبرز‪ ،‬ويؤثر‬
‫المستوى الكافي من المعرفة حول أمن المعلومات هنا بقوة‪ .‬ويبدو أنه ما يزال التحدي األكبر في‬
‫مرحلة التعريف يتعلق بتوفير الموارد البشرية المالئمة‪ .‬حيث اتضح للدارس أنه ال يوجد موارد أمن‬
‫معلومات خبيرة يمكنها متابعة االتجاهات الحالية وتحديد المتطلبات والمقترحات وإقناع اإلدارة حول‬
‫مالءمة مقترحات االستثمار في أمن المعلومات خالل مرحلة اتخاذ القرار‪ .‬كذلك وجدت الدراسة أن‬
‫ثقافة المنظمة والتزام ودعم اإلدارة تؤثر بشكل كبير على صنع القرار المتعلق بذلك‪.‬‬

‫‪ .3.1‬ما يميز الدراسة الحالية عن الدراسات السابقة‬

‫تتميز هذه الدراسة عن الدراسات السابقة بعدة جوانب أهمها‪:‬‬

‫• تتعرض الدراسة الحالية إلى بحث جدوى االستثمار في تطبيق برنامج أمن معلومات بشكل‬
‫متكامل وشامل‪ ،‬وتستعرض آليات إدارته وتطويره على المدى االستراتيجي للمنظمة‪ ،‬ومع ندرة‬
‫وجود دراسات محلية مشابهة فإن معظم الدراسات العربية والعالمية السابقة تناولت أجزاء معينة‬
‫من مدخالت البرنامج أو مخرجاته فقط‪.‬‬
‫• في الوقت الذي ركزت فيه أغلب الدراسات السابقة على الجانب المالي أو المؤسسات ذات طبيعة‬
‫العمل المالية فإن الدراسة الحالية تناولت البحث من جوانب تسويقية وفنية باإلضافة إلى المالية‪،‬‬
‫وحرصت على أن تكون الدراسة موائمة لطيف أوسع من األعمال وأال تقتصر على المؤسسات‬
‫ذات طبيعة العمل المالية‪.‬‬
‫• تختلف البيئة والمنهج المعتمد وعينة البحث التي تم تنفيذ هذه الدراسة عليها عن غيرها من‬
‫الدراسات حيث طبقت على منظمة إنسانية لم يسبق إجراء مثل هذه الدراسات عليها محليا‪.‬‬

‫‪ .4.1‬مشكلة البحث‬
‫باتت حماية المعلومات في الوقت الراهن أم ار بالغ األهمية لمختلف المؤسسات وقطاعات األعمال‬
‫وذلك بهدف ضمان استم اررية األعمال بالدرجة األولى وتجنب الحوادث األمنية التي من شأنها أن‬
‫تؤثر على موارد المنظمة أو سمعتها أو عمالئها‪ .‬فإدارة أمن المعلومات وباإلضافة لكونها العامل‬
‫األساسي في صون سرية البيانات ونزاهتها وإتاحتها بالشكل المناسب أصبحت تلعب دو ار فريدا في‬
‫تأمين وتشغيل الموارد المختلفة الالزمة لتحقيق ذلك من بنى تحتية وأدوات تقنية وكوادر بشرية‪.‬‬

‫وعليه فإنه يمكن تلخيص مشكلة البحث في السؤال التالي‪ :‬هل هناك جدوى من االستثمار في برنامج‬
‫أمن معلومات؟‬

‫‪12‬‬
 ‫وللحصول على إجابة لهذا السؤال ينبغي اإلجابة على األسئلة الفرعية التالية‪:‬‬

‫‪ .1‬هل هنالك جدوى تسويقية من االستثمار في برنامج أمن معلومات؟‬

‫‪ .2‬هل هنالك جدوى تقنية من االستثمار في برنامج أمن معلومات ؟‬
‫‪ .3‬هل هنالك جدوى مالية من االستثمار في برنامج أمن معلومات؟‬

‫لإلجابة على هذه التساؤالت الفرعية قد نحتاج لمعرفة دقيقة حول مدى نضج بيئة الحوكمة في‬
‫المنظمة وفيما إذا كانت تمتلك إدارة واعية وملتزمة وداعمة لبرنامج أمن المعلومات أم ال‪ .‬كما ينبغي‬
‫معرفة مدى نضج إدارة مخاطر أمن المعلومات وااللتزام بالمعايير ضمن المنظمة‪ .‬وهل لديها القدرة‬
‫على تخصيص الموارد الالزمة لتطبيق برنامج أمن المعلومات من خالل امتالك الكوادر البشرية‬
‫الخبيرة باإلدارة واإلشراف على تطبيق البرنامج باإلضافة لتوفير التكنولوجيا المواكبة لتطبيقه بشكل‬
‫فعال‪.‬‬

‫‪ .5.1‬أهمية البحث‬
‫األهمية العلمية‪ :‬تأتي أهمية البحث العلمية من خالل الحصول على دراسة الجدوى االقتصادية‬
‫المتعلقة بالتخطيط والتنفيذ والتشغيل واإلدارة لبرنامج أمن معلومات متكامل ضمن المنظمات العاملة‬
‫في سوريا‪.‬‬

‫األهمية العملية‪ :‬تكمن أهمية البحث التطبيقية في مساعدة اإلدارات العليا والمالكين في اتخاذ القرار‬
‫االستثماري المناسب المتعلق ببرنامج أمن المعلومات ضمن المنظمات اإلنسانية‪.‬‬

‫‪ .6.1‬أهداف البحث‬
‫يمكن تلخيص أهداف هذا البحث بما يلي‪:‬‬

‫‪ .1‬التعريف ببرنامج أمن المعلومات وما يرتبط به من مشاريع ونشاطات فرعية مكونة وداعمة له‪.‬‬
‫‪ .2‬إجراء دراسة جدوى اقتصادية لتطبيق ببرنامج أمن المعلومات في المنظمة‪ ،‬ويتفرع عن هذا‬
‫الهدف األهداف الفرعية التالية‪:‬‬
‫• إجراء دراسة تسويقية لالستثمار في برنامج أمن معلومات‪.‬‬
‫• إجراء دراسة تقنية لالستثمار في برنامج أمن معلومات‪.‬‬
‫• إجراء دراسة مالية لالستثمار في برنامج أمن معلومات‪.‬‬

‫‪13‬‬
 ‫‪ .7.1‬منهج البحث‬
‫تم استخدام المنهج الوصفي التحليلي (دراسة حالة)‪ ،‬والمتضمن ج ْمع المعلومات والبيانات المتعلقة‬
‫بمتغيرات الدراسة لتطبيق برنامج أمن معلومات في المنظمة‪.‬‬

‫وقسم البحث إلى جزأين‪ :‬نظري وعملي‪ ،‬في الجزء النظري تم عرض بعض من أهم الدراسات التي‬
‫تم تقديمها في هذا المجال ضمن اإلطار العام للبحث‪ ،‬واحتوى هذا الجزء ثالثة مباحث‪ )1( :‬عن‬
‫برنامج أمن معلومات بشكل عام و(‪ )2‬عن دراسات الجدوى االقتصادية ودورها في عملية اتخاذ‬
‫القرار و(‪ )3‬عن المنظمة الممثلة لحالة الدراسة وأهمية الدراسة بالنسبة لها‪ .‬أما بالنسبة للجزء العملي‬
‫فتم عرض للدراسة التي تم العمل عليها‪ ،‬باإلضافة لمعلومات حول نتائج الدراسات التسويقية والتقنية‬
‫والمالية المتعلقة بذلك وتحليلها‪ .‬وأخي ار النتائج والتوصيات المنبثقة عن هذا البحث‪.‬‬

‫‪ .8.1‬مصادر البيانات والمعلومات‬

‫تم االعتماد على مصادر متعددة ومتنوعة أثناء إنجاز هذا البحث وهي‪:‬‬

‫• الكتب والدوريات والمقاالت والتقارير ذات الصلة باللغات العربية واألجنبية‪.‬‬

‫• المواقع اإللكترونية ذات المحتوى المتعلق بموضوع الدراسة على اإلنترنت‪.‬‬
‫• مقابالت مع المعنيين في المنظمة‪.‬‬

‫‪ .9.1‬حدود البحث‬
‫حدود مكانية‪ :‬تم تطبيق هذه الدراسة على إحدى المنظمات العاملة في الجمهورية العربية السورية‬
‫(طلبت المنظمة عدم اإلشارة السمها في البحث ألسباب خاصة بها)‪.‬‬

‫حدود زمانية‪ :‬سيتم اعتماد الفترة الزمنية المحددة بالنصف األول من السنة الميالدية ‪ 2022‬ابتداءا‬
‫من األول من شهر كانون الثاني ولنهاية شهر حزيران من هذا العام‪.‬‬

‫‪14‬‬
 ‫الفصل الثاني‪ :‬اإلطار النظري‬

‫المبحث األول‪ :‬برنامج أمن المعلومات‬

‫َ‬ ‫‪.1.2‬‬

‫المبحث الثاني‪ :‬الجدوى االقتصادية لمشروع‬

‫َ‬ ‫‪.2.2‬‬

‫المبحث الثالث‪ :‬المنظمة موضوع البحث‬

‫َ‬ ‫‪.3.2‬‬

‫‪15‬‬
‫‪ .1.2‬المبحث األول‪ :‬برنامج أمن المعلومات‬

‫‪ .1.1.2‬مقدمة‬

‫‪ .2.1.2‬أهمية أمن المعلومات للمنظمات‬

‫وكمة أمن المعلومات‬

‫‪َ .3.1.2‬ح َ‬

‫‪ .4.1.2‬إدارة المخاطر وااللتزام‬

‫‪ .5.1.2‬برنامج أمن المعلومات‬

‫‪16‬‬
 ‫‪ .1.1.2‬مقدمة‬
‫تتعامل بعض المؤسسات حتى اآلن مع أمان بياناتها باستخفاف‪ ،‬وتقع نتيجة لذلك ضحية للهجمات‬
‫السيبرانية المتنوعة والكثيرة‪ .‬وفي الواقع ال تزال معظم المنظمات ومنها المنظمات في سوريا غير‬
‫محص نة بالشكل المناسب ضد هذه الهجمات اإللكترونية المتطورة‪ .‬ولكن بفضل معايير التكنولوجيا‬
‫سريعة التطور اليوم أصبح األمن السيبراني أولوية لكل منظمة في جميع أنحاء العالم‪.‬‬

‫‪ .2.1.2‬أهمية أمن المعلومات للمنظمات‬

‫إن تشكيل وتنفيذ الهجمات اإللكترونية بطرق وأساليب متعددة باتت تعتبر مسألة خطيرة جدا ألنها‬
‫تحاول أن تحتفظ لنفسها بموقع متقدم عن التطور التكنولوجي السريع الداعم للحفاظ على أمن‬
‫المعلومات باستمرار‪ .‬فعلى سبيل المثال فإن التصيد االحتيالي (‪ )Phishing‬وبرامج الفدية‬
‫(‪ )ransomware‬والخداع اإللكتروني (‪ )cyber scams‬هي بعض الهجمات اإللكترونية الشائعة‬
‫جدا حاليا وهي شديدة الخطورة وتم تصميمها ويتم تطويرها بشكل مستمر بدافع الوصول إلى البيانات‬
‫الحساسة للمستخدمين واستغاللها وابتزاز األموال عن طريقها وتعتمد بشكل أساسي على الضعف‬
‫الموجود لدى العامل البشري لاللتفاف على تقنيات حماية أمن المعلومات المتطورة‪.‬‬

‫فيما يلي بعض من األسباب التي تساعد في فهم أهمية األمن السيبراني بالنسبة للمنظمات‪:‬‬
‫‪ .1‬انتشار الجرائم اإللكترونية‬
‫سواء كانت المنظمة كبيرة أو صغيرة الحجم فال يستثني مجرمو اإلنترنت أحدا‪ .‬بل على العكس‬
‫فهم يبحثون عن فرص الستغالل البيانات وجني األموال من هذه المؤسسات‪ .‬فيما يلي بعض‬
‫المؤشرات العالمية المتعلقة بذلك للعام ‪ 2021‬وفقا لموقع (‪:)Integrity360‬‬
‫• يبلغ متوسط التكلفة اإلجمالية الختراق البيانات اآلن ‪ 4,24‬مليون دوالر بزيادة قدرها ‪٪10‬‬
‫في متوسط التكلفة اإلجمالية الختراق البيانات من عام ‪ 2020‬إلى عام ‪2021‬‬
‫• تم اكتشاف أكثر من ‪ ٪80‬من انتهاكات أمن المعلومات من قبل أطراف خارجية (وليس‬
‫المؤسسة نفسها)‪.‬‬
‫• ‪ ٪85‬من االنتهاكات تتعلق بالعنصر البشري‪.‬‬
‫• ‪ ٪ 20‬من االنتهاكات ناتجة في البداية عن حسابات مخترقة لمستخدمين أو مدراء أنظمة‬
‫معلوماتية‪.‬‬
‫• متوسط الوقت الالزم لتحديد الخرق واحتوائه هو ‪ 287‬يوم‪.‬‬
‫• متوسط توفير تكاليف الهجمات عند وجود فرق استجابة لحوادث أمن المعلومات وتنفيذ‬
‫االختبارات الدورية لها يبلغ ‪ 2,46‬مليون دوالر‪.‬‬

‫‪17‬‬
‫• يبلغ التوفير في هجمات خرق البيانات في المؤسسات التي لديها أتمتة أمنية مطبقة بشكل‬
‫كامل ‪ 3,81‬مليون دوالر‪.‬‬
‫• تنظر ‪ ٪88‬من مجالس إدارة المؤسسات اآلن إلى األمن السيبراني باعتباره خط ار تجاريا‪.‬‬
‫• يستغرق اكتشاف أكثر من ‪ ٪30‬من الهجمات شهو ار أو سنوات‪.‬‬
‫• أعلى خمس متوسطات تكلفة إجمالية ألنواع هجمات‪:‬‬
‫‪ -‬اختراق البريد اإللكتروني لألعمال (‪ 5,01( )Business email compromise‬مليون‬
‫دوالر)‬
‫‪ -‬التصيد (‪ 4,65( )Phishing‬مليون دوالر)‬
‫‪ -‬الهجمات بواسطة عمالء من الداخل (‪ 4,61( )Malicious insiders‬مليون دوالر)‬
‫‪ -‬الهندسة االجتماعية (‪ 4,47( )Social engineering‬مليون دوالر)‬
‫‪ -‬حسابات الدخول المخترقة (‪ 4,37( )Compromised credentials‬مليون دوالر)‬
‫• ارتفعت التكلفة اإلجمالية إلصالح هجوم برامج الفدية بشكل كبير من حوالي ‪ 761‬ألف‬
‫دوالر أمريكي في عام ‪ 2020‬إلى ‪ 1,85‬مليون دوالر أمريكي في عام ‪2021‬‬
‫• في ‪ ٪62‬من هجمات سلسلة التوريد كانت البرمجيات الخبيثة هي تقنية الهجوم المستخدمة‪.‬‬
‫• شهد القطاع العام زيادة كبيرة في تكاليف خرق البيانات حيث ارتفعت بنسبة ‪ ٪78,7‬بين‬
‫‪2021-2020‬‬
‫‪ .2‬التنامي في إنترنت األشياء‬
‫مع االستمرار في التطور المتعلق بإنشاء المدن الحديثة المزودة باألجهزة الذكية فقد ازداد االعتماد‬
‫على ربط كل شيء باإلنترنت‪ .‬لم يؤد إدخال تقنية إنترنت األشياء (ربطها باإلنترنت) إلى تبسيط‬
‫المهام وتسريعها فحسب بل أدى أيضا في جانب آخر إلى خلق فجوة من الثغرات األمنية الجديدة‬
‫التي يمكن للمخترقين استغاللها بغض النظر عن مدى درجة اإلجراءات األمنية التي تتخذ‪ .‬وإذا‬
‫لم تتم إدارة هذه األجهزة المتصلة باإلنترنت بشكل صحيح فيمكنها توفير بوابة أعمال مهمة‬
‫لمجرمي اإلنترنت!‬
‫إن تزايد االعتماد على األنظمة الرقمية على مدى السنوات العشرون الماضية زاد بشكل جذري‬
‫عدد المجتمعات الفعالة رقميا‪ .‬كما أن التحول الناجم عن وباء ‪ COVID-19‬أدى إلى تسريع‬
‫االعتماد على المنصات واألجهزة التي تسمح بالعمل عن بعد وتواجد البيانات الحساسة بشكل‬
‫مشترك مع جهات خارجية مثل مزودي الخدمات السحابية ومجمعي البيانات وغيرهم ممن‬
‫يعتبرون وسطاء مرتبطون بالتكنولوجيا لهذه األنظمة‪ ،‬في الوقت الذي يتيحون فيه أدوات قوية‬
‫للتخزين ومعالجة البيانات باتوا يشكلون طبقة اعتماد إضافية كمقدمي خدمات‪.‬‬

‫‪18‬‬
 ‫‪ .3‬فجوة األمان في العامل البشري‬
‫لطالما كانت الموارد البشرية وموارد تكنولوجيا المعلومات أحد أهم جوانب العمل في أي مؤسسة‪،‬‬
‫وبغض النظر عن درجة اعتمادهم على بعضهم البعض فقد كانت هناك فجوة أمنية دائمة بينهما‪،‬‬
‫حيث كان وال يزال يعتبر العامل البشري هو الحلقة األضعف في سلسة حماية أمن المعلومات‪.‬‬
‫ومن أجل سد هذه الفجوة فال بد من تزويد األفراد العاملين في المؤسسة بالتدريب المناسب لزيادة‬
‫الوعي والمهارات باألمن السيبراني وخلق ثقافة عمل مرنة عبر اإلنترنت في المؤسسة‪.‬‬
‫‪ .4‬تكاليف المخاطر السيبرانية‬
‫ال تتضاعف الهجمات اإللكترونية اليوم في األعداد فحسب بل تتضاعف أيضا في تكلفة الضرر‬
‫الناتج‪ ،‬حيث يمكن أن تكون هذه الهجمات مكلفة لدرجة ال تستطيع أي منظمة تحملها إذا لم‬
‫تتخذ تدابير أمنية مناسبة لتخفيف تأثير المخاطر المرتبطة بها‪ .‬ومن المتوقع أن تكلف الجريمة‬
‫اإللكترونية العالم ‪ 10,5‬تريليون دوالر سنويا بحلول عام ‪ 2025‬وال يقتصر األمر على الضرر‬
‫المالي ولكن يتعداه أيضا للتأثير على سمعة المؤسسة وفقدان ثقة العمالء في أعمالها التجارية‪.‬‬
‫‪ .5‬أمن البيانات الحساسة‬
‫عندما يتعلق األمر بأمن البيانات الحساسة فإن هناك عدد مثير للقلق النتهاكات البيانات‬
‫وتسريبات المعلومات التي تتصدر عناوين األخبار كل يوم تقريبا‪ .‬ويعد تنفيذ حلول األمن‬
‫السيبراني الصحيحة أم ار ضروريا للحد من المخاطر اإللكترونية التي تتعلق بتسريب أو سرقة‬
‫البيانات الحساسة للمؤسسة‪.‬‬

‫الشكل (‪ )1‬مبالغ العمالت الرقمية المدفوعة لهجمات برامج الفدية المسجلة ما بين ‪2020-2013‬‬

‫المصدر‪Based on Chainanalysis. Ransomware 2021: Critical Mid-Tear Update. :‬‬

‫‪ .3.1.2‬حوكمة أمن المعلومات‬

‫ضمن الحوكمة أن احتياجات ومتطلبات وخيارات أصحاب المصلحة متوازنة ومتسقة وتصب في‬ ‫تْ‬
‫اتجاه تحقيق أهداف المنظمة‪ ،‬وأن صياغة التوجيهات تتم عبر األولويات واتخاذ الق اررات المناسبة‬
‫وتحقيق مراقبة األداء وااللتزام مع األهداف والتوجيهات المتفق عليها‪.‬‬

‫‪19‬‬
‫لتحقيق مهمة حماية المعلومات في المنظمة والتي باتت تعتبر من أهم موارد المنظمات يجب أن يتم‬
‫رفع هذه المسألة إلى مستوى مجلس اإلدارة واإلدارة التنفيذية كما هو الحال مع مواضيع الحوكمة‬
‫الحساسة األخرى‪ ،‬إذ أن تعقيدات وروابط وحساسية أمن المعلومات وتفويضات الحوكمة المتعلقة به‬
‫يجب أن تعالج ويتم تبنيها على أعلى مستويات إدارة المنظمة‪.‬‬

‫إن حوكمة أمن المعلومات هي مجموعة من المسؤوليات والممارسات التي يتم وضعها من قبل مجلس‬
‫اإلدارة واإلدارة التنفيذية بهدف إعطاء توجهات استراتيجية والتأكد من تحقيق األهداف وضمان وجود‬
‫إدارة مالئمة للمخاطر واستخدام موارد المنظمة المتاحة بشكل مسؤول‪ .‬وتعتبر إدارة المنظمة العليا‬
‫ممثلة بمجلس اإلدارة واإلدارة التنفيذية هي المسؤول المباشر عن حوكمة أمن المعلومات ويجب أن‬
‫تعمل على توفير القيادات الضرورية والهيكل الوظيفي واإلجرائي المناسب لتضمن تكامل وشفافية‬
‫حوكمة أمن المعلومات مع بنية حوكمة المنظمة ككل‪.‬‬

‫الشكل (‪ )2‬عالقة الحوكمة باإلدارة وفق إطار ‪COBIT 5‬‬

‫المصدر‪ISACA, COBIT 5, USA, 2012 :‬‬

‫ويحقق تطبيق حوكمة أمن المعلومات العديد من الفوائد من أهمها‪:‬‬

‫• تحديد المسؤوليات المدنية والقانونية على المنظمة التي قد تنتج عن غياب العناية الواجبة أو‬
‫عدم الدقة في االمتثال للسياسات‪.‬‬
‫• توفير تأكيد على االلتزام بالسياسات‪.‬‬
‫• زيادة القدرة على التنبؤ وتقليل درجة عدم اليقين في األعمال التشغيلية للمنظمة عن طريق تعريف‬
‫وتخفيض المخاطر إلى مستويات مقبولة‪.‬‬
‫• توفير البنية وإطار العمل لتحسين استثمار موارد أمن المعلومات المحدودة بالشكل األمثل‪.‬‬
‫• توفير مستوى من الضمان بأن الق اررات الحساسة المتخذة ليست مبنية على معلومات مضللة‪.‬‬

‫‪20‬‬
 ‫• توفير أسس متينة لكفاءة وفعالية إدارة المخاطر وتحسين العمليات واالستجابة للحوادث واستم اررية‬
‫العمل‪.‬‬
‫• توفير ثقة أكبر في التفاعل مع الشركاء التجاريين‪.‬‬
‫• تحسين الثقة في العالقات مع الزبائن‪.‬‬
‫• حماية سمعة المنظمة‪.‬‬
‫• تمكين طرق جديدة للعمليات اإللكترونية‪.‬‬
‫• تعزيز مسؤولية تأمين البيانات خالل نشاطات األعمال الحساسة كاإلندماج واإلستحواذ واالستجابة‬
‫للتشريعات‪.‬‬

‫ويبين الجدول التالي العالقة بين م ْخرجات حوكمة أمن المعلومات مع المسؤوليات اإلدارية المختلفة‪:‬‬

‫جدول (‪ :)2‬العالقة بين مخرجات حوكمة أمن المعلومات مع المسؤوليات اإلدارية‬

‫إجراءات‬ ‫التوافق‬ ‫المستوى‬

‫إدارة الموارد‬ ‫قياس األداء‬ ‫كتسَبة‬
‫القيمة الم َ‬ ‫إدارة المخاطر‬
‫الضمان‬ ‫االستراتيجي‬ ‫اإلداري‬
‫‪ -‬تحديد المخاطر‬
‫اإلشراف على سياسة‬ ‫المقبولة والهوامش‬
‫اإلشراف على سياسة‬ ‫طلب وجود تقارير‬ ‫طلب توافق مثبت بين‬
‫إدارة المعرفة‬ ‫طلب وجود تقارير‬ ‫‪ -‬اإلشراف على سياسة‬ ‫أعضاء مجلس‬
‫تكامل إجراءات‬ ‫حول كلف ومنافع‬ ‫أهداف األعمال وأمن‬
‫واالستخدام األمثل‬ ‫حول الفعالية األمنية‬ ‫إدارة المخاطر‬ ‫اإلدارة‬
‫الضمان‬ ‫نشاطات األمن‬ ‫المعلومات‬
‫للموارد‬ ‫‪ -‬ضمان االلتزام‬
‫بالتشريعات‬
‫‪ -‬التأكد من تضمين إدارة‬
‫اإلشراف على كافة‬
‫التأكد من إجراءات‬ ‫طلب تطوير حاالت‬ ‫المخاطر في كل‬ ‫تحديد العمليات لتكامل‬
‫وظائف وخطط‬ ‫طلب مراقبة وقياس‬
‫جمع المعارف والقياس‬ ‫عمل حول مبادرات‬ ‫الوظائف والمسؤوليات‬ ‫أهداف األعمال وأمن‬ ‫اإلدارة التنفيذية‬
‫الضمان لتحقيق‬ ‫نشاطات األمن‬
‫الناجح‬ ‫األمن‬ ‫‪ -‬مراقبة االلتزام‬ ‫المعلومات‬
‫التكامل‬
‫بالتشريعات‬
‫‪ -‬تحديد المخاطر‬
‫‪ -‬تحديد عمليات‬ ‫المراجعة وتقديم النصح‬
‫المراجعة وتقديم النصح‬ ‫المستجدة‪ .‬اقتراح‬ ‫المراجعة وتوفير‬
‫التشغيل الحرجة‬ ‫مراجعة إجراءات جمع‬ ‫حول فعالية كلف‬ ‫لجنة التوجيه ‪/‬‬
‫فيما إذا كانت مبادرات‬ ‫أفضل الممارسات‬ ‫مدخالت استراتيجية‬
‫ومزودي الضمان‬ ‫المعارف واالستخدام‬ ‫نشاطات أمن‬ ‫‪Steering‬‬
‫األمن توافق أهداف‬ ‫األمنية لوحدات‬ ‫األمن ومتطلبات الدعم‬
‫‪ -‬بذل جهود مباشرة‬ ‫األمثل للموارد‬ ‫المعلومات لدعم‬ ‫‪Committee‬‬
‫األعمال‬ ‫األعمال وتحديد قضايا‬ ‫الفعال لألعمال‬
‫في التأكد‬ ‫األعمال‬
‫االلتزام‬
‫‪ -‬التنسيق مع مزودي‬
‫تطوير استراتيجية‬
‫الضمان اآلخرين‬ ‫‪ -‬التأكد من تنفيذ تحليل‬
‫‪ -‬تطوير أساليب لجمع‬ ‫األمن بما يتوافق مع‬
‫‪ -‬التأكد من أن أية‬ ‫تطوير وتطبيق تقارير‬ ‫تأثير المخاطر على‬
‫ونشر المعارف‬ ‫أهداف العمل‪.‬‬
‫فجوات أو تداخالت‬ ‫الرقابة والقياس لدعم‬ ‫مراقبة وتحسين كفاءة‬ ‫األعمال‬
‫‪ -‬مراقبة وقياس‬ ‫اإلشراف على برنامج‬ ‫إدارة أمن المعلومات‬
‫تم تحديدها‬ ‫اتخاذ الق اررات‬ ‫وفعالية موارد أمن‬ ‫‪ -‬تطوير استراتيجيات‬
‫االستخدام األمثل‬ ‫أمن المعلومات‬ ‫‪CISO /‬‬
‫ومعالجتها‬ ‫االستراتجية واإلدارية‬ ‫المعلومات‬ ‫تخفيف المخاطر‬
‫للموراد وكفاءة‬ ‫والتواصل مع أطراف‬
‫‪ -‬عرض التكامل مع‬ ‫والتشغيلية‬ ‫‪ -‬فرض االلتزام بالسياسة‬
‫الكلف‬ ‫األعمال للتوافق‬
‫نشاطات الضمان‬ ‫والتشريعات‬
‫المستمر‬
‫األخرى‬
‫التقييم واإلبالغ عن‬ ‫التقييم واإلبالغ عن‬ ‫التقييم واإلبالغ حول‬ ‫التقييم واإلبالغ عن‬ ‫التقييم واإلبالغ عن‬
‫التقييم واإلبالغ عن‬
‫التكامل وكفاءة‬ ‫الفعالية واالستخدام‬ ‫شمولية وفعالية المراقبة‬ ‫فعالية كلف برنامج‬ ‫ممارسات ونتائج إدارة‬ ‫إدارة التدقيق‬
‫درجة التوافق‬
‫عمليات الضمان‬ ‫األمثل للموارد‬ ‫والقياس للبرنامج‬ ‫األمن‬ ‫المخاطر للمنظمة‬
‫المصدر‪ISACA, Information Security Governance: Guidance for Information Security Managers: 2008 :‬‬

‫‪21‬‬
‫ويمكن تلخيص نموذج الحوكمة الخاص بأمن المعلومات بأربعة عناصر هي (استراتيجية وتصميم‬
‫المنظمة‪ ،‬األفراد‪ ،‬العمليات‪ ،‬التكنولوجيا) مرتبطة ببعضها بستة روابط ديناميكية (الحوكمة‪ ،‬الثقافة‪،‬‬
‫التمكين والدعم‪ ،‬النشوء‪ ،‬العوامل البشرية‪ ،‬البنية) والتي تتفاعل وتؤثر وتتأثر ببعضها البعض‪ .‬وعند‬
‫حدوث أي تغيير غير مدروس أو إدارة غير مناسبة ألي جزء من النموذج فإن بقية األجزاء ستكون‬
‫حتما في خطر‪.‬‬
‫الشكل (‪ )3‬نموذج األعمال الخاص بأمن المعلومات‬

‫المصدر‪ISACA, CISM Review Manual 14th Edition :‬‬

‫‪ .4.1.2‬إدارة المخاطر وااللتزام‬

‫يعرف الخطر بأنه اتحاد احتمالية حدوث الحدث (‪ )probability‬مع نتائجه (‪)consequences‬‬
‫وتتضمن احتمالية الحدوث كال من الثغرات أو نقاط الضعف (‪ )vulnerabilities‬والتهديدات‬
‫(‪ .)threats‬ومن المفيد معرفة أن احتمالية الحدوث تحدد عادة من خالل تقييم الخطر ( ‪risk‬‬
‫‪ )assessment‬بينما يتم توقع نتائج الخطر في حال حدوثه من خالل تحليل األثر على األعمال‬
‫(”‪.)Business Impact Analysis “BIA‬‬

‫بغض النظر عن طريقة تعريف الخطر فإن إدارة مخاطر المعلومات هي التطبيق المنظم للسياسات‬
‫واإلجراءات والممارسات المتعلقة بمهام تقييم الخطر التي تتضمن‪ :‬تحديد وتعريف الخطر باإلضافة‬
‫إلى تحليله وتقييمه‪ ،‬كما تتضمن أيضا معالجة الخطر (أو االستجابة له) واإلبالغ عنه ومراقبته‪.‬‬

‫إن تصميم وتطبيق عمليات إدارة المخاطر في المنظمة سوف يتأثر بما يلي‪:‬‬

‫• مهمة وأهداف المنظمة‬

‫• بنية المنظمة‬
‫‪22‬‬
 ‫• القدرة على استيعاب الخسائر‬
‫• المنتجات والخدمات‬
‫• عمليات التشغيل واإلدارة‬
‫• العوامل المتعلقة بالتشريعات والبيئة‬

‫‪ .1.4.1.2‬مخرجات إدارة المخاطر‬

‫يعتبر برنامج إدارة المخاطر الفعال أحد منتجات تطبيق الحوكمة الجيدة في المنظمة من خالل تنفيذ‬
‫المتطلبات الالزمة لتسكين المخاطر وتقليل نتائجها على موارد المعلومات لمستويات مقبولة وإعطاء‪:‬‬

‫• فهم لنقاط الضعف والتهديدات‪.‬‬

‫• فهم للمخاطر التي تتعرض لها المنظمة والنتائج المحتملة لحدوثها‪.‬‬
‫• معرفة بأولويات إدارة المخاطر وفقا للعواقب المحتملة لكل منها‪.‬‬
‫• استراتيجات تسكين أو قبول مخاطر مالئمة وفقا لعواقب المخاطر المتبقية المقبولة بعد تطبيق‬
‫االستراتيجات‪.‬‬
‫• معايير قابلة للقياس بأن الموارد المستخدمة في إدارة المخاطر يتم استغاللها بالطرق األكثر فعالية‬
‫وعائدية‪.‬‬

‫‪ .2.4.1.2‬اإلدارة الفعالة للمخاطر‬

‫يجب أن يتم دعم اإلدارة الفعالة لمخاطر المعلومات من قبل كافة أعضاء المنظمة‪ ،‬فدعم اإلدارة‬
‫التنفيذية العليا تضفي المصداقية والزخم لجهود إدارة المخاطر‪ .‬وستذهب حتى أفضل ممارسات‬
‫التصميم والتطبيق في مهب الريح في حال تعامل معها أشخاص غير مهتمين أو غير مدربين‪.‬‬

‫باإلضافة لذلك ينبغي أن يعلم الموظفون بالمخاطر التي تواجهها المنظمة وأن يفهموا مسؤولياتهم وأن‬
‫يتم تدريبهم على اإلجراءات المطبقة‪ ،‬كما ينبغي أن تتم مراقبة االلتزام بضوابط أمن المعلومات‬
‫وفحصها وفرضها باستمرار على مستوى كامل المنظمة‪.‬‬

‫ولتطوير برنامج فعال إلدارة المخاطر يجب مراعاة الخطوات التالية‪:‬‬

‫• تحديد محتوى البرنامج والغرض منه‬

‫• إنشاء النطاق والميثاق للبرنامج‬
‫• تحديد الصالحيات والبنية وهرمية اإلبالغات‬
‫• تحديد وتصنيف األصول ومالك كل منها‬

‫‪23‬‬
 ‫• تحديد األهداف‬
‫• تحديد المنهجية المستخدمة وفريق التنفيذ‬

‫ويتحمل مدير أمن المعلومات مسؤولية تطوير ونشر وتطبيق واإلشراف على برنامج إدارة مخاطر‬
‫المعلومات لتحقيق مستوى مقبول من الخطر‪ .‬وينبغي عليه مراعاة أفضل فعالية كلفة ممكنة عند‬
‫تطبيق ذلك‪.‬‬

‫‪ .3.4.1.2‬تحديد إطار عمل إدارة المخاطر‬

‫لتطوير برنامج إدارة مخاطر منظم يجب االعتماد على نموذج مرجعي يتوافق مع ظروف المنظمة‬
‫ويعكس الحالة المستقبلية المرجوة‪ .‬ويوجد العديد من المعايير المتاحة عالميا والتي تؤمن دليل عمل‬
‫ألساليب إدارة مخاطر تقنيات وأمن المعلومات‪ ،‬منها‪:‬‬

‫•‬ ‫‪COBIT 5‬‬

‫•‬ ‫‪ISO 31000:2018: Risk management- Principles and guidelines‬‬
‫•‬ ‫‪IEC 31010:2009: Risk management- Risk assessment techniques‬‬
‫•‬ ‫‪National Institute of Standards and Technology (NIST) Special‬‬
‫‪Publication 800-39: Managing Information Security Risk‬‬
‫‪• HB 158-2010: Delivering assurance based on ISO 31000:2009‬‬
‫‪• ISO/IEC 27005:2011: Information Technology-Security techniques-‬‬
‫‪Information security risk management.‬‬

‫ولتحديد إطار عمل فعال ومناسب للمنظمة يجب أن يتم أوال‪:‬‬

‫• فهم خلفية المنظمة والمخاطر التي تتعرض لها (مثل جوهر عملها وأصولها القيمة ومناطق‬
‫المنافسة)‪.‬‬
‫• تقييم نشاطات إدارة المخاطر الموجودة أصال ضمنها‪.‬‬
‫• تطوير البنية والعمليات لتحسين ضوابط ونشاطات إدارة المخاطر‪.‬‬

‫وينبغي أن يتكامل برنامج إدارة المخاطر مع نظام المنظمة ككل ويتوافق مع احتياجاتها‪.‬‬

‫‪ .4.4.1.2‬تطبيق إدارة المخاطر‬

‫تتألف إدارة المخاطر عادة من العمليات التالية‪:‬‬

‫• تحديد النطاق والحدود‬

‫• تقييم المخاطر‬

‫‪24‬‬
 ‫• معالجة المخاطر‬
‫• قبول الخطر المتبقي‬
‫• مراقبة وتبادل معلومات الخطر‬
‫ويبين الشكل (‪ )4‬مراحل االستجابة للخطر حيث يجب التمييز بين أنواع االستجابة المتعددة (إلغاء‬
‫النشاط‪ ،‬تخفيض الخطر‪ ،‬نقل الخطر أو االحتفاظ بالخطر) باختالف التسميات أو المصطلحات‬
‫المستخدمة لوصفها وسيتم شرح كل منها بالتفصيل في فقرة الحقة‪.‬‬
‫الشكل (‪ )4‬مراحل االستجابة للخطر‬

‫المصدر‪ISACA, COBIT 5 for Risk, USA, 2013 :‬‬

‫‪ .5.4.1.2‬تحليل المخاطر‬
‫في هذه المرحلة يتم تقييم وفهم طبيعة ودرجة الخطر وتعتبر المعلومات الناتجة عنها الدخل األساسي‬
‫لمتخذي القرار لتحديد كيفية التعامل مع الخطر بأكثر الطرق فعالية بالنسبة للكلفة‪.‬‬

‫ومن األساليب الشائعة لتحليل الخطر استخدام مصفوفة من ‪ 5‬أسطر و‪ 5‬أعمدة والتي تدعى‬
‫(‪ )semiquantitative impact matrix‬كما هو موضح في الشكل التالي‪:‬‬

‫‪25‬‬
 ‫الشكل (‪ )5‬مصفوفة درجة تأثير الخطر‬

‫المصدر‪ISACA: CISM Review Manual 14th Edition :‬‬

‫الهدف من طريقة تحليل الخطر هذه هو إسناد قيمة لدرجة الخطر التي تم استنتاجها بالتقييم النوعي‬
‫(‪ )qualitative‬وتكون هذه القيمة عادة تقديرية وليست حقيقية وتستخدم كمدخل للتقييم الكمي‬
‫(‪ )quantitative‬ويعطي هذا األسلوب القدرة على ترتيب المخاطر وتحسب القيمة المقابلة الحتمالية‬
‫حدوث ونتائج كل خطر (من ‪ 1‬إلى ‪ )25‬عن طريق ضرب التأثير باحتمالية الحدوث المقابلة للخطر‪:‬‬

‫‪Risk = impact x likelihood‬‬

‫ومن الجدير المالحظة أن تقييم الخطر أحيانا يقود التخاذ قرار بإجراء مزيد من التحليل‪ .‬وهنا يجب‬
‫أخذ عدة أمور بعين االعتبار مثل أهداف المنظمة وآراء أصحاب المصلحة وبالتأكيد نطاق وهدف‬
‫إدارة الخطر مع الحفاظ على هامش خطأ مقبول‪ .‬وعادة ما تؤخذ الق اررات المتعلقة بالمخاطر اعتمادا‬
‫على درجة الخطر ولكن قد يكون هناك عوامل مؤثرة أخرى يجب أخذها باالعتبار أيضا منها‪:‬‬

‫• عواقب الخطر واحتمالية وقوع الحدث‬

‫• األثر المجمع لعدة أحداث قد تقع بشكل متالحق‬
‫• كلفة التعامل مع الخطر‬
‫• قدرة المنظمة على استيعاب الخسائر الناتجة عن وقوع الخطر‬

‫‪ .6.4.1.2‬خيارات معالجة الخطر‬

‫تمتلك المنظمات عادة أربع استراتيجيات للتعامل مع المخاطر‪:‬‬

‫‪26‬‬
 ‫‪ .1‬إلغاء النشاط‬

‫في هذه الحالة يتم تجنب الخطر عن طريق إلغاء النشاط المرتبط به أو إجراء إعادة تصميم أو إعادة‬
‫هندسة لهذا النشاط‪ ،‬وعادة ما يتم اللجوء لذلك عندما تكون منافع النشاط ال تستحق التعرض للخطر‬
‫المرتبط بإبقاءه أو تحمل المسؤوليات الناتجة عنه‪.‬‬

‫‪ .2‬نقل الخطر‬

‫قد تلجأ المنظمة أحيانا لشراء بوالص تأمين لتغطية بعض المخاطر لديها‪ ،‬وبالتالي يتم نقل الخطر‬
‫إلى شركة التأمين عن طريق تغطية نتائج الخطر وفق تقديرات شركة التأمين‪ .‬ولكن يجب االنتباه‬
‫هنا أن الخطر لم يتم نقله فعليا لشركة التأمين وإنما يتم تخفيض أثره على المنظمة بقدر ما يغطيه‬
‫عقد التأمين كليا أو جزئيا‪ .‬وعادة ما يتم اللجوء لهذه االستراتيجية عندما تكون احتمالية حدوث الخطر‬
‫منخفضة ولكن تأثيرها عال جدا ومن األمثلة على ذلك الكوارث الطبيعية كالزالزل والفيضانات في‬
‫األماكن التي ال تحدث بها عادة‪.‬‬

‫ومن األمثلة األخرى على نقل الخطر تعهيد وظائف تكنولوجيا المعلومات (‪ )outsourcing‬لموردين‬
‫خارجيين‪ ،‬ويجب االنتباه هنا للتحديد الدقيق للمسؤوليات عند التعاقد‪.‬‬

‫أخي ار يجب التأكيد على أن هذه االستراتيجية قد تغطي اآلثار المالية الناتجة عن الخطر وتنقلها‬
‫لطرف آخر ولكن ال يمكن نقل أية تبعات قانونية عادة‪.‬‬

‫‪ .3‬تخفيض الخطر‬

‫يمكن تخفيض الخطر أو تسكينه بطرق عديدة‪ ،‬مثال يمكن أن يتم التخفيض عن طريق تطبيق أو‬
‫تحسين ضوابط األمن والتي يمكن أن تكون ضوابط تمنع حدوث الخطر كليا أو ضوابط مكملة‬
‫تخفض من تأثير الخطر حال وقوعه‪.‬‬

‫‪ .4‬قبول الخطر‬

‫هناك نطاق واسع من المخاطر التي يتم قبولها من قبل المنظمة‪ .‬من هذه الحاالت عندما تكون كلفة‬
‫تخفيض الخطر أعلى بكثير من تأثيره‪ .‬أو عندما ال يكون من المجدي تخفيض خطر له درجة تأثير‬
‫منخفضة أساسا‪ .‬ويجب االنتباه هنا أن تأثير المخاطر قد ال يكون ماليا في كل الحاالت حيث هناك‬
‫عناصر أخرى يجب أن تؤخذ أيضا بعين االعتبار عند التعامل مع المخاطر المختلفة كثقة الزبائن‬
‫والمسؤولية القانونية والسمعة‪.‬‬

‫‪27‬‬
 ‫‪ .5.1.2‬برنامج أمن المعلومات‬
‫يتضمن برنامج أمن المعلومات مجموعة النشاطات والمبادرات والمشاريع المرتبة لتحقيق استراتيجية‬
‫أمن المعلومات ضمن المنظمة وإدارة هذا البرنامج بما يضمن تحقيق ذلك‪ .‬واالستراتيجية هي الخطة‬
‫الموضوعة لتحقيق أهداف أمن المعلومات المتواءمة مع أهداف المنظمة‪ .‬وبذلك فإن برنامج أمن‬
‫المعلومات يعمل على التوجيه والمراقبة واإلشراف على النشاطات المتعلقة بأمن المعلومات لدعم هذه‬
‫األهداف‪ .‬وإدارة هذا البرنامج تعمل على استثمار الموارد البشرية والمادية والمالية المتاحة بالشكل‬
‫األمثل التخاذ الق اررات األنسب باتجاه دعم عمل المنظمة‪.‬‬
‫‪ .1.5.1.2‬عناصر برنامج أمن المعلومات األساسية‬

‫يوجد ثالثة عناصر أساسية تضمن التصميم والتطبيق واإلدارة الناجحة لبرنامج أمن المعلومات وهي‪:‬‬

‫• يجب أن يبنى البرنامج على استراتيجية أمن معلومات معدة بعناية ومتوافقة مع أهداف المنظمة‬
‫وتدعمها‪.‬‬
‫• يجب أن يصمم البرنامج بالتعاون والدعم من إدارة المنظمة وكافة األطراف ذات العالقة‪.‬‬
‫قدم‬
‫• يجب تطوير مقياس فعال للبرنامج في مختلف مراحله يساعد في توفير التغذية الراجعة وي ﱢ‬
‫المؤشرات أثناء تنفيذ البرنامج للحصول على المخرجات المطلوبة‪.‬‬

‫في الواقع ال تزال العديد من المؤسسات غير جاهزة لتحمل التكاليف والجهود الالزمة لتطبيق برامج‬
‫أمن المعلومات‪ .‬في مثل هذه الحالة يحتاج مدير أمن المعلومات لتجزئة األهداف ويمكن أن يتم ذلك‬
‫من خالل استخدام معايير معتمدة مثل ‪ COBIT‬أو ‪ ISO27001:2013‬باإلضافة إلى نموذج‬
‫ضج القدرة )‪ .Capability Maturity Model (CMM‬هذا األسلوب سيمكن مدير أمن المعلومات‬
‫نْ‬
‫من توصيف الوضع الراهن ووضع األهداف واالستراتيجية الالزمة لتحقيقها‪.‬‬
‫‪ .2.5.1.2‬أهمية برنامج أمن المعلومات‬

‫إن تحقيق مستوى مناسب من أمن المعلومات بكلفة معقولة يتطلب تخطيط جيد واستراتيجية فعالة‬
‫وإدارة قادرة‪ .‬فبرنامج أمن المعلومات لديه متطلبات متغيرة باستمرار لتوفير حماية األصول المعلوماتية‬
‫وتحقيق المتطلبات التشريعية‪.‬‬

‫لذلك فالتنفيذ الجيد لبرنامج أمن المعلومات سوف يؤدي لتصميم وتطبيق وإدارة ومراقبة نشاطات‬
‫وفعاليات البرنامج واالنتقال بها من الخطط االستراتيجية إلى الواقع الفعلي‪.‬‬

‫‪28‬‬
 ‫‪ .3.5.1.2‬مخرجات برنامج أمن المعلومات‬

‫ينبغي أن يتم تحديد وتعريف أهداف البرنامج بدقة كما أنه من الضرورة تحديد معامالت القياس‬
‫لتتمكن إدارة البرنامج من تقييمه ومعرفة ما تم تحقيقه من األهداف وما يجب تحسينه لتالفي أي‬
‫تقصير‪.‬‬

‫وبغض النظر عن طبيعة حوكمة أمن المعلومات المطبقة في المنظمة فإن تحقيق مستويات تطبيق‬
‫مقبولة للمخرجات الستة التالية تعتبر من أساسيات تطوير أي برنامج أمن معلومات فعال‪:‬‬

‫‪ .1‬التوافق االستراتيجي‬
‫إن الوصول إلى التوافق المنشود ما بين أمن المعلومات ومتطلبات األعمال التجارية يتطلب‬
‫تواصل منتظم مع مالك العمل لفهم خططه وأهدافه‪ .‬وعادة ما يتطلب ذلك الحصول على إجماع‬
‫حول المعطيات الضرورية ألمن المعلومات بالتعاون مع الوحدات التشغيلية‪ .‬ويقع الحصول على‬
‫هذا اإلجماع على عاتق مدير أمن المعلومات الذي من واجبه الوصول لفهم مشترك للعديد من‬
‫القضايا ومنها‪:‬‬
‫• مخاطر المعلومات في المنظمة‬
‫• اختيار أهداف ومعايير الضوابط المناسبة‬
‫• التوافق على مستوى وهوامش الخطر المقبولة في المنظمة‬
‫• تحديد القيود المالية أو التشغيلية أو غيرها‪..‬‬

‫ويمكن تحقيق ذلك من خالل عرضه في اجتماعات اللجنة التوجيهية ألمن المعلومات‬
‫(‪ )Security Steering Committee‬التي من المفترض أن تضم ضمن أعضائها مختلف‬
‫أصحاب المصالح في المنظمة أو ممثلين عنهم‪ .‬ويجب على إدارة أمن المعلومات عرض‬
‫االستراتيجية الخاصة بذلك ضمن تقارير دورية ترسل لإلدارة التنفيذية لضمان الشفافية والنجاح‬
‫والحصول منها على ردود حول التوافق االستراتجي‪ .‬وتتنوع هذه البيانات من شرح التقدم في‬
‫المشاريع وحتى عرض أية مخاطر جديدة قد تؤثر على أحد خطوط اإلنتاج في المنظمة‪.‬‬

‫باإلضافة لفوائد هذا التواصل المستمر في بناء تعاون مشترك على مستوى المنظمة فإنه يساعد‬
‫أيضا في زيادة الوعي والحس بالمسؤولية تجاه مواضيع أمن المعلومات‪ .‬وتمتد الجهود المبذولة‬
‫لتحقيق التوافق مع توجهات األعمال لتأخذ بعين االعتبار موائمة حلول أمن المعلومات المقترحة‬
‫مع مبادرات األعمال الحالية والمخططة ويجب مراعاة العمليات الحالية القائمة ضمن المنظمة‪،‬‬
‫الكلف الالزمة‪ ،‬ثقافة المؤسسة‪ ،‬الحوكمة المتبعة‪ ،‬التقنيات المستخدمة وبنية المنظمة أثناء ذلك‪.‬‬

‫‪29‬‬
 ‫‪ .2‬إدارة المخاطر‬
‫تعد إدارة المخاطر المتعلقة بأمن المعلومات من المسؤوليات الرئيسية لمدير أمن المعلومات‪.‬‬
‫ويبنى تحليل المخاطر على متطلبات األعمال ضمن المنظمة وعلى فهم عميق للعمليات والتقنيات‬
‫والثقافة ضمن المنظمة‪.‬‬
‫ولتحقيق إدارة مخاطر فعالة يجب الوصول لفهم متكامل للتهديدات والثغرات التي تواجهها المنظمة‬
‫باإلضافة إلى سجل المخاطر ومستوى الخطر المقبول بالنسبة لها‪ .‬وبكل األحوال فإن المخاطر‬
‫التي تتعرض لها أية منظمة تكون متغيرة باستمرار لذلك فمن األهمية بمكان تفعيل عملية إدارة‬
‫مخاطر مستمرة أثناء كافة مراحل تطوير برنامج أمن المعلومات‪.‬‬
‫وتظهر تقارير المخاطر على االقتصاد العالمي التي يصدرها سنويا المنتدى االقتصادي العالمي‬
‫نموا متزايدا للمخاطر المتعلقة بالتكنولوجيا وخاصة منها قضايا األمن المعلوماتي حيث تحتل‬
‫مرتبة من المخاطر العشرة األعلى التي تهدد االقتصاد العالمي كما هو موضح في الشكل التالي‪:‬‬

‫الشكل (‪ )6‬موقع المخاطر المتعلقة بالتكنولوجيا على االقتصاد العالمي‬

‫المصدر‪The Global Risks Report 2021 16th Edition (published by the World Economic Forum) :‬‬

‫‪ .3‬القيمة المكتسبة‬
‫حيث يجب الحصول على مستوى من أمن معلومات يحقق الفعالية والكفاءة المطلوبة‪ .‬ويجب‬
‫إدارة االستثمارات في أمن المعلومات لتحسين الدعم المقدم نحو تحقيق أهداف األعمال عن‬
‫طريق تقديم قيمة مضافة واضحة للمنظمة‪ .‬وال يمكن إلدارة أمن المعلومات البقاء في وضع‬
‫ساكن بل ينبغي التحرك باستمرار لتطوير ثقافة أمن المعلومات باتجاه التحسين المستمر‪.‬‬
‫‪ .4‬إدارة الموارد‬

‫تتضمن الموارد المستخدمة في تطوير وإدارة برنامج األمن كال من األشخاص والتقنيات والعمليات‪.‬‬

‫‪30‬‬
‫وأحد المبادئ المهمة في إدارة الموارد يتم تحقيقه عن طريق جمع المعارف وجعلها متاحة لهؤالء الذين‬
‫بحاجة لها‪.‬‬

‫‪ .5‬قياس األداء‬
‫ينبغي أن تحدد استراتيجية أمن المعلومات المطورة طيف واسع من متطلبات المراقبة والقياس‬
‫بهدف المتابعة المستمرة للتقدم في تحقيق األهداف وإجراء التغييرات المطلوبة لتالفي أية أخطاء‬
‫أو ثغرات ويسمح ذلك للمدققين المستقلين بالتأكد من أن برنامج أمن المعلومات في وضعه‬
‫الصحيح ويخضع إلدارة فعالة‪.‬‬
‫‪ .6‬التكامل مع إجراءات الضمان األخرى‬
‫من المهم لمدير أمن المعلومات أن يكون لديه معرفة وتفهم لوظائف الضمان األخرى في المؤسسة‬
‫ألنها بدون شك ستؤثر على برنامج أمن المعلومات بشكل أو بآخر‪ .‬قد تتضمن هذه الوظائف‪:‬‬
‫األمن المادي (الفيزيائي)‪ ،‬إدارة المخاطر‪ ،‬ضمان الجودة‪ ،‬التدقيق‪ ،‬إدارة التغيير‪ ،‬التأمين‪ ،‬الموارد‬
‫البشرية‪ ،‬استم اررية العمل‪ ،‬االستعادة من الكوارث وغيرها‪..‬‬
‫لذلك يجب تطوير صيغة عالقات رسمية مع مزودي الضمان اآلخرين في المنظمة لخلق نوع‬
‫من التكامل في النشاطات مع نشاطات أمن المعلومات ولتفادي التكرار في النشاطات ذات‬
‫األهداف المتقاربة أو المتشابهة‪.‬‬
‫‪ .4.5.1.2‬أهداف برنامج أمن المعلومات‬

‫يهدف برنامج أمن المعلومات إلى تطبيق االستراتيجية بأفضل طريقة فعالة من حيث التكلفة مع‬
‫تعظيم الدعم المقدم لوظائف األعمال وتقليل االنقطاعات للحد األدنى‪.‬‬

‫عندما يتم تطوير االستراتيجية بالشكل األمثل فإن تحويلها لواقع يصبح مجرد تنفيذ سلسلة من المهام‬
‫والمشاريع‪ .‬ومع ذلك هناك عناصر يجب أن تعدل طوال مراحل البرنامج وذلك ألسباب عديدة مثل‬
‫حدوث تغير في متطلبات األعمال‪ ،‬تعديالت في البنية التحتية أو في التقنيات أو في مستوى الخطر‪.‬‬
‫وقد يكون نتيجة توافر حل أفضل من الحل المقترح سابقا ولم يكن متاحا من قبل في وقت ما من‬
‫مراحل تطور البرنامج‪ .‬وربما يكون للممانعة غير المتوقعة من قبل هؤالء المتأثرين بالتغيير أث ار في‬
‫إجرء التعديالت أحيانا‪.‬‬
‫ا‬

‫ومن األساسي أن يتم تحديد القوى التي تقود احتياجات األعمال ألمن المعلومات ضمن المنظمة‬
‫حيث من الممكن أن يكون الدافع لذلك‪:‬‬

‫• الحاجة المتزايدة لمتطلبات االلتزام بالتشريعات‬

‫• تواتر متزايد وخسائر جراء حصول حوادث أمن معلومات‬
‫• هواجس حول تضرر سمعة المنظمة‬
‫‪31‬‬
 ‫• نمو في المتطبات التجارية مثل استخدام بطاقات الدفع (‪)Payment Card Industry‬‬
‫• تزايد في األخطار المتعلقة بالعمليات اإلنتاجية‬

‫إن تحديد الدافع سوف يوضح أهداف برنامج أمن المعلومات ويعطي أسس تطويره ومراقبته‪ .‬عند‬
‫تحديد أهداف البرنامج بوضوح يصبح الغرض من نشاطات البرنامج هو أن يتم إنشاء العمليات‬
‫والمشاريع التي تردم الفجوة بين الوضع الراهن والوضع المأمول‪ .‬وحتى لو كان هناك برنامج مطبق‬
‫مسبقا أو لم يكن فهناك مجموعة من األسس يجب أن تبنى لدعم نشاطات البرنامج والتأكد من فعاليتها‬
‫وتكون الخطوة األولى لذلك دوما هي تحديد أهداف اإلدارة ألمن المعلومات وإنشاء مؤشرات واضحة‬
‫تعكس هذه األهداف (‪ )Key Goal Indicators‬ثم تطوير آليات القياس للتحقق فيما إذا كان‬
‫البرنامج يمضي باالتجاه الصحيح لتحقيق هذه األهداف أو ال‪.‬‬
‫‪ .5.5.1.2‬الموارد التقنية لبرنامج أمن المعلومات‬

‫يتضمن برنامج أمن المعلومات في معظم الحاالت طيف واسع من التقنيات (باإلضافة إلى‬
‫السياسات‪/‬اإلجراءات والموارد البشرية)‪ .‬ويجب أن يتم اتخاذ الق اررات بشأن اختيار المناسب من هذه‬
‫التقنيات والقابل لالستخدام منها بما يتوافق مع أهداف البرنامج واحتياجات المنظمة‪ .‬فيما يلي عينة‬
‫من التقنيات الحالية المرتبطة مباشرة بأمن المعلومات‪:‬‬

‫• الجدران النارية (‪)Firewalls‬‬

‫• تقنيات النسخ االحتياطي واألرشفة (مثل ‪Redundant array for inexpensive disks‬‬
‫‪)RAID‬‬
‫• أنظمة مكافحة الفايروسات الحاسوبية (‪)Antivirus software‬‬
‫• وظائف أمن المعلومات المضافة لألجهزة الشبكية (مثل ‪) switches،routers‬‬
‫• أنظمة كشف التسلل (‪)Intrusion detection systems‬‬
‫• أنظمة منع التسلل (‪)Intrusion preventing systems‬‬
‫• تقنيات التشفير (مثل ‪advanced encryption ،public key infrastructure PKI‬‬
‫‪)standard AEC‬‬
‫• التوقيع الرقمي‬
‫• البطاقات الذكية‬
‫• آليات المصادقة (‪ )authentication‬والتخويل (‪ )authorization‬مثل‪:‬‬
‫‪multi factor authentication، biometrics، One Time Password OTP‬‬
‫• طرق حماية البث الالسلكي (‪)wireless‬‬
‫• الحوسبة واألجهزة المتنقلة (‪)mobile computing and devices‬‬

‫‪32‬‬
 ‫• طرق حماية التطبيقات (‪)application‬‬
‫• طرق الوصول عن بعد (مثل ‪)virtual private network VPN‬‬
‫• أساليب الحماية عبر اإلنترنت‬
‫‪security information and event‬‬ ‫• أدوات جمع وتحليل سجالت المراقبة (مثل‬
‫‪)management SIEM‬‬
‫• أدوات المسح عن الثغرات وفحص االختراق ( ‪vulnerability scanning and penetration‬‬
‫‪)testing‬‬
‫• تقنيات وأساليب منع تسريب المعلومات (‪)data leak prevention DLP‬‬
‫• أنظمة إدارة الدخول وتحديد الهوية (‪)identity and access management systems‬‬

‫تعتبر معظم التقنيات أعاله مرتبطة بشكل مباشر بأمن المعلومات إال أنه يجب االعتراف ‪-‬على‬
‫األقل نظريا‪ -‬بأن كل التقنيات المطبقة في المنظمة بمختلف أشكالها لها عالقة ما بأمن المعلومات‬
‫ضمنيا‪.‬‬
‫‪ .6.5.1.2‬نطاق برنامج أمن المعلومات‬

‫سواء كانت نقطة االنطالق تتطلب تشكيل برنامج أمن معلومات جديد أو أن هناك برنامج مسبق‬
‫مطلوب استكماله فيجب أخذ عدة قضايا مهمة بعين االعتبار‪ .‬من أهم هذه النقاط هو تحديد نطاق‬
‫عمل ومسؤولية وميثاق برنامج أمن المعلومات‪ .‬لألسف فإنه من النادر أن نجد هذه العناصر معرفة‬
‫وموثقة بشكل واضح مما يؤدي إلى صعوبة في تحديد من يدير ماذا أو مدى مالئمة وظائف أمن‬
‫المعلومات ألهداف المنظمة‪.‬‬

‫لذلك فعلى مدير أمن المعلومات أن يبدأ عمله الجديد ببذل جهود استقصائية للحصول على فهم جيد‬
‫من المعنيين حول التوقعات‪ ،‬المسؤوليات‪ ،‬نطاق العمل‪ ،‬الصالحيات‪ ،‬الميزانيات‪ ،‬متطلبات‬
‫البالغات‪ ..،‬وسيكون من المفيد جدا توثيق هذه المعطيات والحصول على تفاهم مع اإلدارة حولها‪.‬‬

‫وفيما يتعلق بالسلسلة اإلدارية ينبغي فهم هيكلية المنظمة وأين تقع وظائف أمن المعلومات ضمن‬
‫هذه الهيكلية‪ .‬في العديد من الحاالت يمكن أن يكون هناك هيكلية إدارية متوارثة ومتعارضة قد تؤدي‬
‫لظهور تضارب في المصالح‪ ،‬وهنا ينبغي مناقشة ذلك مع اإلدارة واالتفاق حول آليات التعامل مع‬
‫هذا الوضع‪ .‬عادة ما يعتبر قسم أمن المعلومات على أنه من الوظائف التنظيمية وقدرته على العمل‬
‫بشكل فعال يتعارض مع كونه تابعا لوظائف من المفترض أن يكون رقيبا عليها‪ .‬ومع وجود بعض‬
‫االستثناءات‪ ،‬فإن مدير أمن المعلومات التابع إلدارة التكنولوجيا أو أي إدارة تشغيلية أخرى ستكون‬
‫قدراته على توفير وظيفة أمن معلومات فعالة على مستوى المنظمة محدودة جدا‪.‬‬

‫‪33‬‬
 ‫وتتوقف فعالية إدارة أمن المعلومات في بعض المنظمات على ثقافة المنظمة ومدى فهم مدير أمن‬
‫المعلومات لهذه الثقافة‪ .‬وغالبا ما تتعلق وظيفة األمن بالقوى المتفاعلة داخل المنظمة لذلك فنجاحها‬
‫يعتمد بشكل كبير على بناء عالقات صحيحة مع مختلف األطراف‪ ،‬فغالبا ما يرتبط نجاح العمل في‬
‫المنظمات بقوة تأثير العالقات أكثر من ارتباطه بمواثيق العمل المكتوبة‪ .‬يبين الشكل التالي الخطوات‬
‫الالزمة لتطوير برنامج أمن معلومات باختصار‪:‬‬

‫الشكل (‪ )7‬خطوات تطوير برنامج أمن المعلومات‬

‫تحديد النتائج‬
‫المرجوة من أمن‬
‫المعلومات‬

‫إدارة البرنامج‬ ‫تطوير برنامج أمن‬ ‫إنشاء خارطة طريق‬ ‫إنشاء استراتيجية‬ ‫تنفيذ تحليل فجوات‬ ‫تحديد أهداف أمن‬
‫لتحقيق األهداف‬ ‫معلومات لتطبيق‬ ‫لتوجيه االستراتيجية‬ ‫إلغالق الفجوات‬ ‫بين الوضع الراهن‬ ‫المعلومات (الوضع‬
‫والوضع المطلوب‬ ‫االستراتيجية‬ ‫والمطلوب‬ ‫المطلوب)‬

‫تحديد الوضع‬
‫الراهن‬

‫نشاطات إدارة المخاطر لتقييم‬

‫الخطر الحالي واالستراتيجية‬
‫وتطوير وإدارة البرنامج‬

‫المصدر‪ISACA: CISM Review Manual 14th Edition :‬‬

‫يبنى نطاق برنامج أمن المعلومات عن طريق تطوير استراتيجية المنظمة المتعلقة به وربطها‬
‫بمسؤوليات إدارة المخاطر ويحدد ميثاق البرنامج مدى دعم كل إدارة ضمن المنظمة نشاطات تطبيق‬
‫هذا البرنامج‪.‬‬

‫إن تطبيق برنامج أمن المعلومات ال بد أن يغير في طريقة المنظمة في عملها األشياء‪ .‬ويجب أن‬
‫يسعى مدير أمن المعلومات ضمن بنية الموظفين واإلجراءات والتقنيات الموجودة على دمج التغييرات‬
‫ضمن االجراءات والسياسات المعمول بها مسبقا‪ ،‬وال شك أن هذا سيولد درجة ما من الممانعة للتغيير‬
‫وهذا ما يجب توقعه والتخطيط له‪.‬‬

‫فيما يلي مثال على وصف برنامج أمن معلومات ناضج يمكن االعتماد عليه كأساس لالستراتيجية‬
‫ويساعد في تحديد النطاق والميثاق لبرنامج أمن المعلومات‪:‬‬
‫" أمن المعلومات هي مسؤولية مشتركة من قبل إدارات األعمال والتكنولوجيا وأمن المعلومات‪ ،‬وهو‬
‫يتكامل مع أهداف المنظمة التشغيلية‪ .‬إن متطلبات أمن المعلومات قد تم تحديدها بوضوح وتحسينها‬

‫‪34‬‬
‫وجمعها ضمن خطة أمن معتمدة‪ .‬تتكامل وظائف أمن المعلومات مع التطبيقات في مراحل التصميم‪،‬‬
‫ويجب التركيز على إعطاء المستخدمين النهائيين دو ار متزايدا في إدارة األمن‪ .‬تعطي تقارير وإبالغات‬
‫أمن المعلومات إنذا ار مبك ار حول التغييرات أو أية مستجدات بالمخاطر باستخدام أساليب مراقبة آلية‬
‫فعالة لألنظمة الحساسة‪ .‬يتم التعامل مع الحوادث وفق إجراء االستجابة المعتمد لها مدعوما بمجموعة‬
‫أدوات آلية‪ .‬يتم تنفيذ تقييم أمني دوري لتحديد فعالية تطبيق الخطة األمنية‪ .‬يتم جمع معلومات عن‬
‫التهديدات والثغرات األمنية الجديدة بشكل آلي ويتم التواصل بشأن الضوابط المناسبة الالزم تطبيقها‪.‬‬
‫يعتبر فحص االختراق وتحليل السبب الجذري للحوادث وتحديد المخاطر بشكل مسبق هي أساسيات‬
‫التحسين المستمر‪ .‬تتكامل عمليات وتقنيات أمن المعلومات على مستوى المنظمة ككل "‪.‬‬
‫(المصدر‪)ISACA, CISM Review Manual 14th Edition :‬‬

‫‪ .7.5.1.2‬إطار عمل برنامج أمن المعلومات‬

‫مع التطور الكبير في قطاع األعمال أصبح العالم اآلن يتجه نحو توفير بيئة عمل فيها العديد من‬
‫التقنيات الحديثة‪ ،‬مثل‪ :‬منصات التواصل االجتماعي والحوسبة السحابية وتقنيات تحليل البيانات‪،‬‬
‫ومع زيادة هذا التطور الذي يؤدي من جانب إلى زيادة معدل نجاح األعمال‪ ،‬لكنه من جانب آخر‬
‫يشير إلى مخاوف ومخاطر أخرى تتعلق بكيفية اإلدارة والحوكمة لتقنية المعلومات‪ ،‬مما دفع إلى‬
‫ظهور حاجة لحلول جذرية لسيناريوهات مخاطر تقنية المعلومات‪ .‬لهذا السبب تم إنشاء مجموعة من‬
‫أطر العمل المعيارية كحل فعال يساعد على تسهيل عملية حوكمة تقنية المعلومات في الشركات‬
‫والمنشآت‪ .‬ويوجد اليوم أكثر من إطار عمل يمكن أن يتم استخدامه لتطوير برنامج أمن المعلومات‬
‫ومن أكثرها شيوعا واستخداما على مستوى العالم ‪ COBIT 5‬و ‪ ISO/IEC 27001‬وفيما يلي شرح‬
‫مختصر عن كل منها‪:‬‬
‫‪ .1.7.5.1.2‬إطار عمل ‪COBIT 5‬‬

‫هو إطار عمل تم إنشاؤه بواسطة منظمة التدقيق والرقابة على نظم المعلومات )‪ (ISACA‬يستخدم‬
‫إلدارة وحوكمة تقنية المعلومات داخل المؤسسات‪ ،‬حيث تعتبر الحوكمة الفعالة لتقنية المعلومات أمر‬
‫بالغ األهمية وأساس نجاح األعمال‪.‬‬

‫يعرف إطار العمل ‪COBIT (Control Objectives for Information and Related‬‬
‫)‪ Technology‬بأنه إطار حوكمة تقنية المعلومات المعترف به دوليا‪ ،‬ويسمى أيضا اإلطار‪ /‬النموذج‬
‫المرجعي لألمن ولضمان استغالل تقنية المعلومات بالشكل األمثل‪ ،‬يستخدم لتحسين أداء األعمال‬
‫بإطار متوازن ولخلق قيمة لتقنية المعلومات وخفض المخاطر المحتملة منها‪.‬‬

‫يتكون هذا اإلطار من مجموعة من الممارسات والعمليات الراسخة والمقبولة (مع كل عملية يتم تحديد‬
‫المدخالت والمخرجات للعملية‪ ،‬وأنشطة العملية الرئيسية‪ ،‬وأهداف العملية‪ ،‬ومقاييس األداء‪ ،‬ونموذج‬
‫‪35‬‬
‫نضج القدرة) لتضمن أن تقنية المعلومات المستخدمة داخل المنشآت تغطي أهداف العمل‪ ،‬وأن الموارد‬
‫تستخدم بشكل جيد‪ ،‬وأن المخاطر يتم رصدها بشكل كاف‪.‬‬

‫مكونات إطار العمل ‪: COBIT‬‬

‫‪ .1‬اإلطار ‪ (Framework):‬يعمل على تنظيم عملية حوكمة تكنولوجيا المعلومات وتقديم أفضل‬
‫الممارسات الجيدة حسب مجاالت تكنولوجيا المعلومات المختلفة وربطها باحتياجات األعمال‪.‬‬
‫‪ .2‬التعريفات وأوصاف العمليات ‪ (Process objectives):‬يقدم نموذج مرجعي ولغة مشتركة لكل‬
‫فرد في المنشأة‪ ،‬وتتضمن أوصاف العمليات ومجاالت المسؤولية (من تخطيط‪ ،‬وبناء‪ ،‬وتشغيل‪،‬‬
‫ومراقبة) لجميع عمليات تقنية المعلومات‪.‬‬
‫‪ .3‬أهداف التحكم ‪ (Control objectives):‬توفر مجموعة كاملة من المتطلبات عالية المستوى‬
‫التي يجب أن تنظر فيها اإلدارة للتحكم الفعال في كل عملية‪.‬‬
‫‪ .4‬إرشادات اإلدارة ‪ (Management guidelines):‬تساعد في تحديد المسؤوليات بشكل أفضل‪،‬‬
‫واالتفاق على األهداف المشتركة‪ ،‬وقياس األداء‪ ،‬وتوضيح العالقة المتبادلة مع العمليات األخرى‪.‬‬
‫‪ .5‬نماذج النضج (‪ :)Maturity models‬تعمل على تقييم نضج القدرة لكل عملية وتساعد على‬
‫معالجة الفجوات بينها‪ .‬يتألف هذا النموذج من مستويات ما بين الصفر والخمسة تحدد اعتمادا‬
‫على درجة نضوج عمليات أمن المعلومات في المنظمة كما في الشكل التالي‪:‬‬

‫الشكل (‪ )8‬نموذج نضج القدرة‬

‫المصدر‪ISACA, COBIT 5, USA, 2012 :‬‬

‫‪36‬‬
 ‫مبادئ إطار العمل ‪: COBIT 5‬‬
‫الشكل (‪ )9‬مبادئ ‪COBIT 5‬‬
‫لبناء نظام إدارة وحوكمة تقنية المعلومات فعال داخل المنشآت‪،‬‬
‫يجب مراعاة األسلوب الذي يتبعه إطار كوبت (‪)COBIT 5‬‬
‫إلدارة تقنية المعلومات‪ ،‬ويعتمد على خمسة مبادئ أساسية‬
‫وهي‪:‬‬

‫‪ .1‬يعمل إطار ‪ COBIT‬على تلبية احتياجات أصحاب‬

‫المصلحة‪ :‬المبدأ األول هو األهم‪ ،‬فهو يساعد على تحديد‬
‫احتياجاتهم‬ ‫وتلبية‬ ‫الرئيسيين‬ ‫المصلحة‬ ‫أصحاب‬
‫المصدر‪ISACA, COBIT 5, USA, 2012 :‬‬
‫ومتطلباتهم عن طريق إجراء تحليل مناسب الحتياجات‬
‫أصحاب المصلحة وتقديم الفوائد المناسبة لهم في الوقت المناسب‪ .‬يعمل إطار ‪ COBIT‬على‬
‫ترجمة احتياجات أصحاب العمل إلى أهداف محددة قابلة للتنفيذ ومخصصة في سياق األهداف‬
‫المتعلقة باستغالل تقنية المعلومات واألهداف التمكينية وأهداف المؤسسة‪ .‬إذ أن تلبية احتياجات‬
‫أصحاب العمل يتطلب إنشاء نظام إدارة وحوكمة ألصول تقنية المعلومات داخل المنشأة‪ ،‬حيث‬
‫يتم طرح األسئلة التالية قبل اتخاذ كل قرار‪:‬‬
‫• لمن المنافع أو من هم المستفيدون؟‬
‫• من يتحمل المخاطر أو من يتحمل المسؤولية عن المخاطر التي تنطوي عليها؟‬
‫• ما هي الموارد المطلوبة لضمان تلبية المتطلبات بسالسة؟‬
‫‪ .2‬تغطية المنشآت من البداية إلى النهاية‪ :‬ينص إطار عمل ‪ COBIT‬على أنه يجب على اإلطار‬
‫تغطية المنشأة بأكملها من البداية إلى النهاية حتى تتمكن من إدارة وتشغيل كل قسم بنفس‬
‫المستوى‪ ،‬وتتم معالجة جميع خدمات تقنية المعلومات الداخلية والخارجية ذات الصلة‪ ،‬ومعالجة‬
‫العمليات التجارية الداخلية والخارجية‪.‬‬
‫‪ .3‬تطبيق إطار واحد متكامل‪ :‬يعتبر إطار العمل ‪ COBIT‬بأنه إطار عمل متكامل لألسباب التالية‪:‬‬
‫• القدرة على التوافق أو االندماج مع أحدث األطر والمعايير ذات الصلة‪ ،‬مثل‪:‬‬
‫‪CMMI, Prince 2, TOGAF ،ISO 27001, ISO 38500, ITIL، ISO 31000,‬‬
‫‪ISO 9001...‬‬
‫• يعتبر وسيلة شاملة لتغطية المنشأة بشكل متكامل مع إطار اإلدارة والحوكمة‪.‬‬
‫• يوفر أساس قوي لدمج األطر والمعايير والممارسات األخرى بشكل فعال لجعل عمل المنشأة‬
‫يحقق آفاق جديدة‪.‬‬
‫• يدمج المعرفة عبر األطر اإلدارية المختلفة لتقنية المعلومات‪.‬‬
‫• يوفر بنية بسيطة لهيكلية عناصر التوجيه وإنتاج مجموعة منتجات متسقة‪.‬‬
‫‪37‬‬
‫‪ .4‬تمكين نهج شمولي‪ :‬يهتم هذا المبدأ بتمكين نهج شامل في العمل التنظيمي‪ ،‬بمعنى أن تعمل‬
‫المنشأة بأكملها كوحدة واحدة‪ .‬ويعمل اإلطار على دمج حوكمة تقنية المعلومات في المنشاة مع‬
‫حوكمة المنشآت‪ ،‬ألن جميع أجزاء أي مشروع تكون مرتبطة ببعضها‪ ،‬وهذا يعني أن أي نوع من‬
‫المشكالت في أي قسم قد يؤدي إلى حدوث مشاكل في القسم اآلخر‪.‬‬
‫‪ .5‬فصل التحكم عن اإلدارة‪ :‬يعمل إطار ‪ COBIT‬على التمييز الواضح بين الحوكمة واإلدارة‪ ،‬حيث‬
‫يطلب من كل ق ْسم أنواع مختلفة من األنشطة‪ ،‬وتتطلب أيضا هياكل تنظيمية مختلفة تخدم أغراض‬
‫مختلفة‪ .‬يهتم ‪ COBIT‬بتحديد اتجاه المنشأة من خالل تحديد األولويات‪ ،‬وآلية اتخاذ القرار‪،‬‬
‫باإلضافة إلى مراقبة االمتثال ومدى التقدم مقابل األهداف واالتجاهات الثابتة‪ ،‬والتخطيط لألنشطة‬
‫المختلفة ومراقبتها وإدارتها بما يتناسب ويتماشى مع االتجاه الذي حددته هيئة الحوكمة لتحقيق‬
‫أهداف المنشأة‪.‬‬

‫عوامل تمكين إطار (‪:)COBIT‬‬

‫يعتمد ‪ COBIT‬بشكل كامل على مجموعة شاملة تتكون من سبعة عوامل تمكين تعمل على تحسين‬
‫االستثمار في تقنية المعلومات واستخدامها لصالح جميع أصحاب العمل‪ ،‬وهي‪:‬‬

‫• األشخاص والسياسات واألطر‪.‬‬

‫• العمليات‪.‬‬
‫• الهياكل التنظيمية‪.‬‬
‫• الثقافة واألخالق والسلوك‪.‬‬
‫• المعلومات‪.‬‬
‫• الخدمات والبنية التحتية والتطبيقات‪.‬‬
‫• المهارات والكفاءات‪.‬‬
‫‪ .2.7.5.1.2‬إطار عمل إدارة أمن المعلومات ‪ISO 27001‬‬

‫يعتبر معيار اآليزو )‪ (ISO/IEC 27001:2013‬المعيار الدولي الذي يوضح كيفية وضع نظام‬
‫إدارة أمن المعلومات بشكل معتمد وتطبيقه والحفاظ عليه وتحسينه باستمرار ضمن أطر عملية مما‬
‫يسمح بالحفاظ على البيانات الحساسة والسرية بشكل آمن والتقليل من احتمال الوصول إليها بشكل‬
‫غير قانوني أو بدون إذن كما يسمح بإدارة المخاطر األمنية واسترداد المعلومات وتقليل الخروقات‬
‫األمنية والتأكد من وجود نظام أمن معلومات يؤدي المهام بكفاءة ويتابع مستويات الحماية الخاصة‬
‫بالمنظمة من خالل‪:‬‬

‫• إدارة األعطال األمنية‪.‬‬

‫• حماية أصول المنظمة‪.‬‬
‫‪38‬‬
 ‫• السماح بتبادل آمن للمعلومات‪.‬‬
‫• الحفاظ على سالمة المعلومات السرية‪.‬‬
‫• تقديم الخدمات بشكل ثابت ومستقر‪.‬‬
‫• تزويد المؤسسة بخاصية تنافسية‪.‬‬

‫إن اعتماد نظام اآليزو سواء للحصول على الشهادة أو تطبيقه في المنظمة كأفضل ممارسة سيعود‬
‫على المنظمة بفوائد عديدة أهمها‪:‬‬

‫• إدارة وتقليل تأثير المخاطر المتعلقة باألصول المعلوماتية من خالل تصميم أفضل الضوابط‬
‫األمنية الداخلية وأكثرها مالءمة لبيئة األعمال‪.‬‬
‫• حماية المنظمة وحماية أصول المستفيدين والموردين والمحافظة على أمن المعلومات السرية‪.‬‬
‫• ضمان استم اررية األعمال بشكل آمن في حاالت األزمات‪.‬‬
‫• تزويد العمالء وأصحاب المصلحة بالثقة في كيفية إدارة المخاطر المرتبطة باألصول المعلوماتية‪.‬‬

‫يوجد في اإلصدار األخير من هذا المعيار ‪ 114‬ضابط تحكم موزعة ضمن ‪ 14‬فقرة (يبدأ ترقيمها‬
‫من ‪ A.5‬وحتى ‪ A.18‬لتكون متوافقة مع الترقيم في المعيار ‪ ISO/IEC 27002:2013‬الذي‬
‫يعطي إرشادات لمعايير أمن المعلومات التنظيمية وممارسات إدارة أمن المعلومات) كما يلي‪:‬‬

‫سياسات أمن المعلومات (‪ 2‬ضابط)‬ ‫‪A.5 .1‬‬

‫تنظيم أمن المعلومات (‪ 7‬ضابط)‬ ‫‪A.6 .2‬‬
‫أمن الموارد البشرية )‪ 6‬ضابط)‬ ‫‪A.7 .3‬‬
‫إدارة األصول (‪ 10‬ضابط)‬ ‫‪A.8 .4‬‬
‫التحكم في الوصول (‪ 14‬ضابط)‬ ‫‪A.9 .5‬‬
‫التشفير (‪ 2‬ضابط)‬ ‫‪A.10 .6‬‬
‫األمن المادي والبيئي المحيطة (‪ 15‬ضابط)‬ ‫‪A.11 .7‬‬
‫أمن العمليات (‪ 14‬ضابط)‬ ‫‪A.12 .8‬‬
‫أمن االتصاالت (‪ 7‬ضابط)‬ ‫‪A.13 .9‬‬
‫االستحواذ على النظام وتطويره وصيانته (‪ 13‬ضابط)‬ ‫‪A.14 .10‬‬
‫العالقة مع الموردين (‪ 5‬ضابط)‬ ‫‪A.15 .11‬‬
‫إدارة حوادث أمن المعلومات (‪ 7‬ضابط)‬ ‫‪A.16 .12‬‬
‫جوانب أمن المعلومات إلدارة استم اررية األعمال (‪ 4‬ضابط)‬ ‫‪A.17 .13‬‬
‫االمتثال مع المتطلبات الداخلية‪ ،‬السياسات والمتطلبات الخارجية‪ ،‬القوانين‬ ‫‪A.18 .14‬‬
‫(‪ 8‬ضابط)‬

‫‪39‬‬
 ‫سلسلة معايير ‪ISO27k‬‬

‫نظر ألن ‪ ISO 27001‬يحدﱢد متطلبات نظام إدارة أمن المعلومات )‪ ،(ISMS‬فإنه يعتبر المعيار‬
‫ا‬
‫الرئيسي في مجموعة معايير ‪ ISO 27000‬وهو يعرﱢف بشكل أساسي ما هو مطلوب لتطبيق النظام‪،‬‬
‫وليس كيفية القيام بتطبيق النظام وتفعيله داخل المنظمة‪ ،‬ولذلك فقد تم تطوير العديد من معايير أمان‬
‫المعلومات األخرى لتوفير إرشادات إضافية‪ .‬ويوجد حاليا أكثر من ‪ 40‬معيا ار في سلسلة ‪ISO27k‬‬
‫من أكثرها شيوعا‪:‬‬

‫• ‪ ISO/IEC 27000‬يوفر المصطلحات والتعريفات المستخدمة في سلسلة معايير ‪ISO27k‬‬

‫• معيار ‪ ISO/IEC 27002‬يوفر إرشادات وتفاصيل مهمة لتنفيذ الضوابط المدرجة في "الملحق‬
‫‪ "A‬لمعيار ‪ISO 27001‬‬
‫• معيار ‪ ISO/IEC 27004‬يوفر إرشادات لقياس أمن المعلومات في المنظمة‪ ،‬باإلضافة إلى‬
‫كونه يشرح كيفية تحديد ما إذا كان نظام إدارة أمن المعلومات يحقق األهداف المرجوة منه‪.‬‬
‫• معيار ‪ ISO/IEC 27005‬يوفر إرشادات إلدارة مخاطر أمن المعلومات‪ ،‬ويعتبر مكمل جيد‬
‫لمعيار ‪ ISO 27001‬ألنه يقدم تفاصيل حول كيفية إجراء تقييم المخاطر ومعالجة المخاطر‪،‬‬
‫والتي ربما تكون أصعب مرحلة في التنفيذ‪.‬‬
‫• معيار ‪ ISO/IEC 27017‬يوفر إرشادات ألمن المعلومات في البيئات السحابية‪.‬‬
‫• معيار ‪ ISO/IEC 27018‬يوفر إرشادات لحماية الخصوصية في البيئات السحابية‪.‬‬
‫• ‪ ISO/IEC 27031‬هذا المعيار هو رابط كبير بين أمن المعلومات وممارسات استم اررية‬
‫األعمال‪.‬‬

‫يعد إطار إدارة أمن المعلومات التمثيل المبدئي لبنية إدارة أمن المعلومات في المنظمة ويجب أن‬
‫يحدد العناصر التقنية والتشغيلية واإلشرافية واإلدارية للبرنامج‪ .‬كما يركز اإلطار الفعال على بعض‬
‫االحتياجات قصيرة المدى كحاجة متخذي القرار في المنظمة لشرح حول المخاطر وطرق تخفيفها‬
‫والتي من الممكن أن تكون متعلقة ببعض نشاطاتها مثل االستضافة الخارجية (السحابية) لنظام‬
‫معلوماتي ما‪.‬‬
‫‪ .8.5.1.2‬نشاطات إدارة وتنظيم برنامج أمن المعلومات‬

‫تتضم ن إدارة برنامج أمن المعلومات نشاطات التوجيه واإلشراف والمراقبة المتعلقة بأمن المعلومات‬
‫لدعم أهداف المنظمة‪ .‬واإلدارة هي عملية تحقيق أهداف المنظمة عن طريق دمج الموارد البشرية‬
‫والمادية والمالية بالشكل األمثل مع العمليات والتقنيات واتخاذ أفضل الق اررات لصالح المنظمة آخذين‬
‫باالعتبار بيئتها التشغيلية‪ .‬تتضمن اإلدارة المستمرة للبرنامج نشاطات متعددة مثل‪:‬‬

‫‪40‬‬
 ‫• متابعة أداء الموظفين وتنظيم الوقت واالحتفاظ بالسجالت‬
‫• االستخدام األمثل للموارد‬
‫• الشراء ‪ /‬االستحواذ‬
‫• إدارة المخزون‬
‫• تتبع ومراقبة وإدارة المشاريع‬
‫• تطور برنامج التوعية‬
‫• اإلدارة المالية والميزانية وضبط األصول‬
‫• إدارة األشخاص والعالقة مع الموارد البشرية‬
‫• إدارة العمليات التشغيلية وتسليم الخدمات‬
‫• تطبيق ومراقبة مؤشرات القياس والتقارير‬
‫• إدارة دورة حياة عناصر تقانة المعلومات‬

‫كما يوجد العديد من المتطلبات التقنية والتشغيلية أيضا مثل‪:‬‬

‫• إدارة مفاتيح التشفير‬

‫• مراقبة ومراجعة سجالت التشغيل‬
‫• اإلشراف على طلبات التغيير ومراقبتها‬
‫• اإلشراف على اإلعدادات والتحديثات ومراجعتها‬
‫• مسح الثغرات‬
‫• مراقبة التهديدات‬
‫• مراقبة االلتزام‬
‫• فحص االختراق‬

‫حيث يتم باستخدام األسلوب المناسب مناقشة مخاطر أمن المعلومات مع مختلف األقسام ضمن‬
‫المنظمة واقتراح الحلول التي تراعي كال من المتطلبات األمنية والتأثير األقل على النشاطات التشغيلية‬
‫للمنظمة‪.‬‬

‫فيما يلي األبعاد المهمة التي يجب مراعاتها في إدارة برنامج أمن المعلومات‪:‬‬
‫‪ .1.8.5.1.2‬شؤون الموظفين‪ ،‬األدوار‪ ،‬المهارات والثقافة‬
‫يمكن أن يتضمن فريق العمل في برنامج أمن المعلومات مهندسي أمن معلومات‪ ،‬مختصين بضمان‬
‫الجودة واالختبار‪ ،‬مدراء الوصول‪ ،‬مدراء مشاريع‪ ،‬منسقي التزام‪ ،‬مختصين ببنى أمن المعلومات‪،‬‬
‫منسقي توعية‪ ،‬ومختصين بالسياسات‪ .‬ويجب أن تكون المسؤوليات موضحة لكل دور من الوظائف‬
‫التي يتم إسنادها لضمان التطبيق الفعال‪.‬‬

‫‪41‬‬
‫ومن المهم فهم مهارات األشخاص المتاحين في الفريق للمساعدة في وضعهم ضمن المهام الصحيحة‬
‫المناسبة لقدراتهم ضمن البرنامج‪ .‬ويمكن الحصول على بعض المهارات غير المتوفرة عن طريق‬
‫تدريب الفريق الحالي أو االستعانة بموارد خارجية (والتي قد تكون أكثر جدوى في حاالت الحصول‬
‫على استشارات تخصصية لفترة محدودة أو لمشاريع صغيرة)‪ .‬ويجب أن يتم تجهيز اتفاقيات توظيف‬
‫رسمية وفق المسؤوليات المسندة لكل موظف خالل بداية عملية التوظيف‪.‬‬

‫تعكس الثقافة سلوك المنظمة وتوجهاتها ومستويات التأثير الرسمية وغير الرسمية في بنية أداء‬
‫األعمال‪ ،‬السلوك‪ ،‬األعراف‪ ،‬درجة نضج العمل الجماعي‪ ،‬ووجود أو عدم وجود روح المنافسة‪ .‬وتتأثر‬
‫الثقافة بخلفيات األفراد‪ ،‬أخالقيات العمل‪ ،‬القيم‪ ،‬الخبرات السابقة‪ ،‬ومعتقداتهم في الحياة التي‬
‫يحضرون ها معهم لمكان العمل‪ .‬ولكل منظمة ثقافة معينة بغض النظر فيما إذا كان قد تم تصميمها‬
‫وبناؤها بشكل متعمد أو بنيت ببساطة نتيجة التراكمات اإلدارية عبر الزمن‪.‬‬

‫وبما أن دور أمن المعلومات متشعب ضمن كل المنظمة ويحتاج لبناء عالقات مع مختلف األقسام‬
‫لذلك يجب التأسيس لثقافة أمن معلومات تحترم أدوار كل الموظفين الذين يؤدون مهامهم مع مراعاة‬
‫حماية األصول التي يعملون بها‪ .‬وعلى كل موظف مهما كان موقعه أن يعي كيف ترتبط مهام أمن‬
‫المعلومات بدوره في المنظمة‪ .‬للوصول لذلك ينبغي التركيز على تحسين التواصل والمشاركة ضمن‬
‫اللجان والمشاريع بفعالية وإعطاء االهتمام الضروري للمستخدمين النهائيين‪.‬‬

‫‪ .2.8.5.1.2‬التثقيف والتوعية والتدريب بأمن المعلومات‬

‫ال يمكن التعامل مع المخاطر المتوارثة الناتجة عن استخدام أنظمة المعلومات المختلفة عن طريق‬
‫اآلليات التقنية البحتة‪ .‬يساهم برنامج التوعية الفعال في الحد الكبير من المخاطر عن طريق استهداف‬
‫عنصر السلوك األمني لدى األشخاص‪ .‬يجب أن يركز برنامج التوعية على المخاوف األمنية الشائعة‬
‫للمستخدمين مثل اختيار كلمات المرور‪ ،‬االستخدام المناسب للموارد التقنية‪ ،‬أمان البريد اإللكتروني‬
‫وتصفح اإلنترنت‪ ،‬وأساليب الهندسة االجتماعية ويجب تخصيص كل برنامج توعية لمجموعة معينة‬
‫مع األخذ باالعتبار أن المستخدم النهائي هو خط االكتشاف األول للتهديدات التي قد ال تكون قابلة‬
‫لالكتشاف عن طريق األنظمة األمنية التقنية مثل أساليب االحتيال والهندسة االجتماعية‪.‬‬
‫‪ .3.8.5.1.2‬التوثيق‬

‫يعتبر التوثيق من المهام اإلشرافية الضرورية المرافقة لبرنامج أمن المعلومات‪ .‬ويجب أن تسند كل‬
‫وثيقة لمالك معين يكون مسؤوال عن تعديالتها‪ .‬ومن المهم اعتماد إصدارات متعددة لكل وثيقة للتأكد‬

‫‪42‬‬
‫من أن الجميع يستخدم اإلصدار الصحيح مع وجود آلية للنشر وإبالغ أصحاب العالقة بأية إصدارات‬
‫جديدة‪ .‬وينبغي تطبيق إجراء واضح لإلضافة أو التعديل أو حتى إتالف الوثائق المرتبطة بالبرنامج‪.‬‬
‫‪ .4.8.5.1.2‬تقدم البرنامج وإدارة المشاريع‬

‫إن تحقيق أهداف البرنامج لالنتقال من الوضع الراهن للوضع المستهدف لزيادة درجة األمن والحصول‬
‫على مستوى مقبول من المخاطر يتطلب تنفيذ العديد من المشاريع التي تساعد في التقدم ضمن‬
‫البرنامج‪ .‬يجب أن تتم مراجعة المشاريع الضرورية لردم هذه الفجوة بشكل دقيق‪ ،‬حيث أن العديد من‬
‫هذه المشاريع سيكون لتطبيق تقنيات جديدة أو لمراجعة وتعديل إعدادات األنظمة المستخدمة‪ .‬وينبغي‬
‫التأكيد على أن يكون لكل من هذه المشاريع وقت محدد وميزانية ونتائج قابلة للقياس لتحقيق زيادة‬
‫في المستوى األمني مع مراعاة عدم تأثيرها على المستوى األمني سلبيا لجوانب أخرى ضمن المنظمة‪.‬‬

‫كما ينبغي التعامل مع هذه المشاريع ضمن محفظة مشاريع متكاملة بحيث يتم ترتيبها وفق األهمية‬
‫مع مراعاة عدم التأخر في المشاريع المتداخلة وتخصيص الموارد الالزمة لكل منها بالشكل األمثل‬
‫ودمج نتائجها بشكل سلس ضمن العمليات التشغيلية‪.‬‬
‫‪ .5.8.5.1.2‬إدارة المخاطر‬

‫تسعى كل نشاطات البرنامج نظريا إلدارة المخاطر ضمن الحدود المقبولة‪ ،‬ولكن مع التغير المستمر‬
‫في أبعاد المخاطر فإنه من األساسي أن تالحق نشاطات أمن المعلومات هذه التغييرات وتكيف نفسها‬
‫بالشكل المطلوب للتعامل بشكل فعال مع الظروف الحالية‪ .‬وفي الوقت الذي تهمل فيه بعض‬
‫المنظمات االهتمام بتأثيرات حوادث أمن المعلومات فإنه من األساسي للبرنامج التأكد من قدرة المنظمة‬
‫على االستجابة للحوادث األمنية التي قد تسبب انقطاعات في األعمال التشغيلية‪.‬‬
‫‪ .6.8.5.1.2‬تطوير حاالت عمل (‪)Business Case‬‬

‫إن الغاية من حاالت العمل هي إيجاد تبرير وأسباب للمشاريع والمهام ويجب أن تتضمن تلك الحاالت‬
‫العوامل التي يمكن أن تؤدي لنجاح أو فشل المشروع‪ .‬ويتم عرض هذه الحاالت وفق األسلوب المتبع‬
‫في كل منظمة كما يمكن أن يتم ذلك إلكترونيا عبر مستند جيد التحضير أو عرض تقديمي مناسب‪.‬‬
‫وينبغي أن يتم تحديد المنافع والكلف والمخاطر ضمن كل حالة‪ ،‬حيث عادة ما تكون المنافع قابلة‬
‫للقياس وداعمة ومتماشية مع المنظمة‪ ،‬ويجب االهتمام بشكل خاص بالجانب المالي للعرض كما‬
‫يجب أن يتم اإلشارة للمخاطر الواقعية المرافقة لفترة حياة المشروع‪ .‬ومن األفضل تجنب الثقة الزائدة‬
‫والتفاؤل المفرط والعمل على تقديم حاالت واقعية تعطي نتائج ملموسة‪.‬‬

‫‪43‬‬
 ‫‪ .7.8.5.1.2‬تمويل البرنامج‬

‫التمويل هو جزء أساسي من برنامج أمن المعلومات ويمكن أن يكون له تأثير كبير على نجاح‬
‫البرنامج‪ .‬وكما هو الحال مع نشاطات األعمال األخرى فإن المعرفة والتحضير العميق تعتبر من‬
‫العوامل الرئيسية بالنجاح في إدارة مجريات هذا التحدي‪ .‬ومن العوامل األساسية األخرى هو وجود‬
‫استراتيجية أمن معلومات بشكل مسبق للحديث عن التمويل وكل المصاريف والنفقات يجب أن تكون‬
‫مدعومة ضمن االستراتيجية ألنها تحدد خارطة طريق واضحة للتقدم في تطبيق برنامج أمن المعلومات‬
‫المتفق عليه‪ .‬فوجود استراتيجية متفق عليها ومعتمدة يجب أن يسبق الدخول في إجراءات التمويل‪.‬‬

‫وتجدر اإلشارة إلى وجود بعض العناصر في برنامج أمن المعلومات التي ال يمكن التنبؤ بها والتي‬
‫قد تتطلب نفقات مفاجئة وغير مخططة خاصة أثناء االستجابة للحوادث مثل ضرورة االستعانة‬
‫بمختصين من خارج المنظمة لتقديم استشارات خارج مهارات فريق المنظمة‪ .‬في مثل هذه الحاالت‬
‫يمكن تخصيص ميزانية باالعتماد على البيانات التاريخية لحاالت مشابهة‪.‬‬
‫‪ .8.8.5.1.2‬قواعد عامة لسياسة االستخدام المقبول‬

‫بينما تزوﱢد اإلجراءات المحددة خطوات تفصيلية للعديد من الوظائف على المستوى التشغيلي فإنه ال‬
‫يزال هناك مجموعة كبيرة من المستخدمين الذين قد تكون الفائدة األكبر لهم نابعة من الخالصات‬
‫سهلة التناول حول ما يجب وما ال يجب فعله لاللتزام بالسياسة‪ .‬ومن الطرق الفعالة لتحقيق ذلك‬
‫إنشاء سياسة لالستخدام المقبول (‪ )Acceptable Use Policy‬والتي يمكن أن توزع لكل‬
‫المستخدمين ليتم بعدها التأكد من قراءتها وفهمها من قبل الجميع‪ .‬وينبغي أن توزع سياسة االستخدام‬
‫المقبول لكافة الموظفين الجدد الذين سيستخدمون موارد تكنولوجيا المعلومات‪.‬‬

‫تكون عادة القواعد التي يتم تضمينها في سياسة االستخدام المقبول حول ضوابط الدخول‪ ،‬التصنيف‪،‬‬
‫طرق معالجة وثائق البيانات‪ ،‬متطلبات اإلبالغ وقيود التصريح‪ ،‬وقد تتضمن قواعد حول استخدام‬
‫البريد اإللكتروني واإلنترنت حيث تضع الحد األدنى من الضوابط الالزمة لتحقيق مستوى أمن‬
‫المعلومات على صعيد المنظمة‪.‬‬
‫‪ .9.8.5.1.2‬ممارسات إدارة مشكالت أمن المعلومات‬

‫تتطلب إدارة المشكالت أسلوب منظم لفهم أبعاد القضية المختلفة وتحديد المشكلة وتصميم برنامج‬
‫عمل بالتوازي مع إسناد المسؤوليات وتورايخ اإلنجاز للحل‪ .‬كما ينبغي تطبيق آلية تبليغ تضمن‬
‫متابعة النتائج والتأكد من أن المشكلة قد تم حلها‪.‬‬

‫وبما أن بيئة تكنولوجيا المعلومات تتغير باستمرار في أي منظمة فإنه من الضروري متابعة ضوابط‬
‫أمن المعلومات المستخدمة بشكل دائم للتأكد من أنها ال تتعرض ألية مشكالت نتيجة التغييرات‪ ،‬وهنا‬

‫‪44‬‬
‫يمكن استخدام بعض الضوابط البديلة ريثما يتم التأكد من حل المشكلة‪ .‬على سبيل المثال عند تعرض‬
‫أحد جدران الحماية النارية لمشكلة أدت لتوقفه عن العمل يمكن اللجوء لعزل األنظمة المرتبطة به‬
‫من الوصول للخارج حتى يتم إصالح المشكلة لحماية المنظمة من المخاطر المحتملة‪ .‬في الوقت‬
‫الذي تمت فيه حماية المنظمة في هذا المثال فإن اإلجراء المتخذ أثر بنفس الوقت على تنفيذ المنظمة‬
‫ألعمالها لذلك فمن الضروري منح الصالحيات المالئمة لمثل هذه الحاالت من قبل اإلدارة‪.‬‬
‫‪ .10.8.5.1.2‬إدارة الموردين‬

‫تعتبر اإلدارة والمراقبة المستمرة للموردين الخارجيين للبرمجيات والتجهيزات والخدمات األخرى من‬
‫المسؤوليات الرئيسية ألمن المعلومات‪ .‬ومن الشائع جدا حاليا أن يتم االستعانة بموردين خارجيين‬
‫أيضا لتنفيذ أو تشغيل وظائف مرتبطة بأمن المعلومات‪ ،‬ويخلق استخدام جهات خارجية لتزويد‬
‫خدمات متعلقة بأمن المعلومات مخاطر يجب أن يتم إدراتها بالشكل المناسب‪ .‬كما يجب مراعاة‬
‫جوانب أخرى مرتبطة بذلك مثل قدرة المورد المالية على االستمرار‪ ،‬جودة الخدمة‪ ،‬الكادر المؤهل‪،‬‬
‫االلتزام بسياسة أمن معلومات المنظمة وحق التدقيق لدى المورد‪.‬‬
‫‪ .11.8.5.1.2‬تقييم إدارة البرنامج‬

‫من المهم أن يتم إعادة تقييم برنامج أمن المعلومات بشكل دوري وكلما دعت الحاجة باإلضافة‬
‫لمراجعة كفاءة البرنامج بالمواضيع المتعلقة بالتغييرات ضمن توجهات المنظمة‪ ،‬أو البيئة أو القيود‪.‬‬
‫وينبغي مشاركة نتائج هذا التحليل مع لجنة توجيه أمن المعلومات وأصحاب المصلحة اآلخرين‬
‫للمراجعة وتطوير االستراتيجات الالزمة لتعديل البرنامج‪ .‬ومن المستحسن أن يشمل التحليل أهداف‬
‫البرنامج‪ ،‬متطلبات االلتزام‪ ،‬إدارة البرنامج‪ ،‬إدارة عمليات أمن المعلومات‪ ،‬إدارة المعايير التقنية‬
‫ومستوى الموارد المالية والبشرية والتقنية المكرسة للبرنامج‪.‬‬
‫‪ .12.8.5.1.2‬خطط‪-‬نفذ‪-‬افحص‪-‬تصرف‬

‫يقوم برنامج أمن المعلومات على كفاءة وفعالية إدارة الضوابط المصممة والمطبقة للتعامل مع‬
‫التهديدات والمخاطر ونقاط الضعف وتخفيفها‪ .‬وهنا ينبغي تحقيق تناغم مستمر بين استراتيجية‬
‫البرنامج وأهداف المنظمة‪ .‬ويعتبر تطبيق عناصر الحوكمة التالية أم ار أساسيا للحفاظ على كفاءة‬
‫وفعالية عالية للبرنامج‪ :‬الرؤية واألهداف االستراتيجية‪ ،‬مؤشرات تحقيق األهداف (‪ ،)KGIs‬مؤشرات‬
‫األداء (‪ ،)KPIs‬والخطط التكتيكية والسنوية الضرورية لتحقيق األهداف االستراتيجية‪.‬‬
‫‪ .13.8.5.1.2‬المتطلبات القانونية والتشريعية‬

‫تركز األقسام القانونية عادة في المنظمات على العقود واألمور ذات العالقة بالمستندات القانونية‬
‫والمالية‪ ،‬وفي كثير من الحاالت ال يكون لديها إطالع على المتطلبات القانونية المتعلقة بأمن‬

‫‪45‬‬
‫المعلومات وعليه يجب أال يعتمد مدير أمن المعلومات على القسم القانوني في ذلك وينبغي عليه‬
‫القيام بمراجعة قانونية لتوضيح موقع المنظمة تجاه االلتزام بالمتطلبات القانونية‪ .‬باإلضافة لذلك قد‬
‫يتم الطلب من مدير أمن المعلومات دعم المعايير القانونية المتعلقة بخصوصية البيانات والعمليات‪،‬‬
‫استخراج ومعالجة سجالت التدقيق‪ ،‬سياسات االحتفاظ بالبيانات‪ ،‬إجراءات التحقيق في الحوادث‪،‬‬
‫والتعاون مع السلطات القانونية المعنية‪ .‬وينبغي االنتباه والتعامل مع القضايا القانونية بحذر شديد‬
‫ك حالة استجواب أو مراقبة أحد موظفي المنظمة أو اتخاذ اجراءات تأديبية بحق أحدهم نتيجة سلوك‬
‫غير مناسب‪.‬‬
‫‪ .14.8.5.1.2‬العوامل الفيزيائية والبيئية‬

‫يمكن أن يتعرض أمن المعلومات للخطر أو التخريب من خالل الوصول الفيزيائي أو تخريب عناصر‬
‫فيزيائية‪ ،‬يتم تحديد مستوى الحماية الضروري المحيط بالموارد المختلفة وفقا لدرجة أهميتها وحساسيتها‬
‫وكلفتها بالنسبة للمنظمة‪ .‬حيث يوجد طيف واسع من ضوابط الحماية الفيزيائية التي تساعد مدير‬
‫أمن المعلومات في تحقيق األمن المادي مثل أنظمة إدارة الدخول‪ ،‬األقفال اإللكترونية‪ ،‬مستشعرات‬
‫الحركة‪ ،‬الكاميرات‪ ،‬األقفاص الفوالذية وأجهزة التتبع الراديوية وغيرها‪ .‬كما يجب مراعاة العوامل‬
‫الجغرافية وتوزع الموارد عبرها خاصة فيما يتعلق بمواقع االستعادة من الكوارث التي تؤمن استم اررية‬
‫نشاطات المنظمة في حاالت الكوارث الكبرى كالزالزل والفيضانات‪ .‬كل ذلك ينبغي أن يكون ضمن‬
‫سياسات وإجراءات واضحة ومعتمدة على مستوى المنظمة‪.‬‬
‫‪ .15.8.5.1.2‬األخالقيات‬
‫تنفذ العديد من المنظمات تدريب أخالقي للعاملين ضمنها لتوضيح السلوك الذي تعتبره المنظمة‬
‫قانوني ومناسب‪ ،‬وعادة ما يتم ذلك لألفراد الذين يتطلب عملهم االنخراط في نشاطات ومهام ذات‬
‫طبيعة خاصة وحساسة مثل مراقبة نشاطات المستخدمين‪ ،‬فحص االختراق‪ ،‬واالطالع على بيانات‬
‫شخصية أو حساسة‪ .‬يجب على فريق أمن المعلومات أن يكونوا حساسين إلمكانية حصول تضارب‬
‫في المصالح أو النشاطات التي قد تضر بالمنظمة‪ .‬كما ينبغي أن يتم إنشاء مدونة لقواعد السلوك‬
‫الخاصة بالمنظمة يوقعها كل موظف وتحفظ مع سجالته الوظيفية‪.‬‬

‫‪ .16.8.5.1.2‬االختالفات الثقافية والمناطقية‬

‫على مدير أمن المعلومات أن يدرك االختالفات في العادات والتقاليد والسلوك المالئم بين المناطق‬
‫والثقافات المختلفة فما هو مقبول في ثقافة ما يمكن أن يكون مرفوضا في أخرى‪ .‬لذلك يجب مراعاة‬
‫ومعرفة المتأثرين بنشاطات أمن المعلومات وفق الثقافات المتنوعة في المنظمة‪ .‬كما أن التشريعات‬
‫في بعض البلدان تحد من إمكانية مشاركة المعلومات الشخصية‪ ،‬وهنا يجب مراعاة أن يكون برنامج‬

‫‪46‬‬
‫أمن المعلومات مالئم للمنظمة ككل‪ .‬كما يجب أن يتم تطوير وتطبيق السياسات واإلجراءات والضوابط‬
‫مع احترام هذه االختالفات وتحاشي تناول العناصر التي قد تؤذي المنتمين لثقافات مختلفة واالستعانة‬
‫ببدائل مالئمة لتحقيق المستوى المطلوب من أمن المعلومات‪ .‬وفي مثل هذه الحاالت يمكن التعاون‬
‫مع القسم القانوني وقسم الموارد البشرية للوصول ألفضل الحلول على مستوى المنظمة‪.‬‬

‫‪ .17.8.5.1.2‬الخدمات اللوجستية‬
‫يجب أن يراعي مدير أمن المعلومات تأثير القضايا اللوجستية وخاصة الحجم الكبير من التقاطعات‬
‫مع الوحدات التشغيلية األخرى أو األفراد الذين يتطلب البرنامج مساهمتهم بنشاطاته‪ .‬من هذه القضايا‪:‬‬

‫• التخطيط والتنفيذ االستراتيجي عبر المنظمة‬

‫• تنسيق موارد ونشاطات أمن المعلومات مع النشاطات والمشاريع األكبر‬
‫• تنسيق اجتماعات اللجان ونشاطاتها‬
‫• جدولة اإلجراءات التي تتطلب تنفيذ دوري‬
‫• ترتيب الموارد وإدارة عبء العمل‬

‫‪ .9.5.1.2‬تحديات برنامج أمن المعلومات‬

‫عادة ما يواجه إنشاء برنامج أمن معلومات جديد أو حتى تطبيق تعديالت على برنامج موجود مسبقا‬
‫العديد من العقبات غير المتوقعة والتي يمكن أن تتضمن‪:‬‬

‫• ممانعة المنظمة للتغيير الناتج عن البرنامج‬

‫• االعتقاد السائد بأن تعزيز األمن سيقلل إمكانيات الوصول للموارد الالزمة للعمل‬
‫• اإلفراط في االعتماد على المقاييس الذاتية‬
‫• فشل االستراتيجية‬
‫• تأخر مبادرات أمن المعلومات نتيجة عدم فعالية إدارة المشاريع‬

‫ومن أبرز التحديات التي تواجه مدير أمن المعلومات أثناء تطبيق البرنامج‪:‬‬
‫‪ .1.9.5.1.2‬دعم اإلدارة‬
‫إن ضعف دعم اإلدارة شائع عادة في المنظمات الصغيرة أو تلك التي ليس لديها صناعات تتأثر‬
‫بشكل مباشر بمخاطر أمن المعلومات‪ .‬حيث تعتبر وظيفة أمن المعلومات في مثل تلك المنظمات‬
‫من الوظائف الهامشية التي تتطلب كلف بدون قيمة مستفادة منها‪.‬‬

‫‪47‬‬
‫في مثل هذه الظروف يجب أن يقوم مدير أمن المعلومات بضبط استخدام الموارد بالشكل األمثل‬
‫ومراجعة التهديدات الشائعة ألنظمة معالجة البيانات الخاصة بالمنظمة‪ .‬باإلضافة لذلك ينبغي تقديم‬
‫اإلرشاد الالزم لإلدارة لتوضيح ما هو متوقع منها وكيف يتم التعامل مع أمن المعلومات لدى المنظمات‬
‫المشابهة‪ .‬إن التدريب وزيادة الوعي المستمرين بأمن المعلومات في مثل هذه الحاالت سوف يؤدي‬
‫لظهور نتائج حتى ولو تأخر ذلك‪.‬‬

‫‪ .2.9.5.1.2‬التمويل‬
‫ربما يعتبر التمويل غير المالئم الحتياجات أمن المعلومات من أكثر القضايا ازعاجا وتحديا أمام‬
‫مدير أمن المعلومات‪ .‬وفي الوقت الذي قد يكون فيه ذلك امتدادا لضعف دعم اإلدارة فإن هناك‬
‫بعض العوامل التي يجب االنتباه لها ألنها قد تؤثر على التمويل‪:‬‬

‫• عدم إدراك اإلدارة لقيمة االستثمار بأمن المعلومات‬

‫• يتم النظر لألمن بأنه مركز كلفة غير قيم‬
‫• عدم فهم اإلدارة ألماكن صرف األموال‬
‫• عدم الفهم باحتياجات المنظمة المتعلقة بأمن المعلومات‬
‫• الحاجة لمزيد من التوعية بتوجهات االستثمار في أمن المعلومات لدى الصناعات المشابهة‪.‬‬
‫ويوجد بعض االستراتيجيات التي تساعد في االلتفاف على نقص التمويل مثل‪:‬‬

‫• تحويل ميزانيات عناصر أخرى (مثل تطوير منتج‪ ،‬تدقيق داخلي‪ )..،‬لتطبيق العناصر الضرورية‬
‫في برنامج أمن المعلومات‪.‬‬
‫• تحسين كفاءة عناصر برنامج أمن المعلومات الموجودة أصال‪.‬‬
‫• العمل مع لجنة توجيه أمن المعلومات إلعادة ترتيب أولويات موارد أمن المعلومات وتوضيح‬
‫المخاطر المحتملة إلهمال ذلك لإلدارة‪.‬‬
‫ويجب االنتباه لمصاعب تبرير تمويل برنامج أمن المعلومات لإلدارة‪ ،‬ففي حال نجاحه فإن اإلدارة قد‬
‫ال ترى أين تم صرف األموال ولماذا يتم صرف كل ذلك‪ .‬وفي حال فشل تطبيق البرنامج فإن اإلدارة‬
‫ستكون متعجبة من صرف األموال على أنظمة ال تعمل‪ .‬لذلك فمن الضروري أن يتم باستمرار إيجاد‬
‫الطرق المالئمة الستعراض أهمية أمن المعلومات وعمله وارتباطه الوثيق بأعمال المنظمة‪.‬‬

‫‪ .3.9.5.1.2‬التوظيف‬
‫ربما تمتد تأثيرات ضعف التمويل لتبرز كتحدي في تأمين الموظفين بالمهارات الالزمة لمتطلبات‬
‫البرنامج‪ .‬من العقبات التي تواجه الحصول على فريق عمل فعال‪:‬‬

‫‪48‬‬
 ‫• ضعف الفهم بالنشاطات التي سينفذها هؤالء الموظفين‪.‬‬
‫• الشك بالحاجة إلى موظفين جدد أو فوائدهم‪.‬‬
‫• عدم معرفة درجة االنتفاع من الفريق الموجود أصال واالعتقاد أنهم يعملون بأقل من طاقتهم‬
‫الممكنة‪.‬‬
‫• الرغبة باالستعانة بمصادر خارجية عوضا عن التوظيف‪.‬‬

‫ومن االستراتيجيات الممكن اتباعها في حال تعذر الحصول على كوادر جديدة لتمكين برنامج أمن‬
‫المعلومات‪:‬‬

‫• التعاون مع وحدات العمل األخرى لتحديد فيما إذا كان بإمكانها تحمل مسؤوليات إضافية خاصة‬
‫بأمن المعلومات وإسناد المهام المالئمة مع الحفاظ على اإلشراف عليها‪.‬‬
‫• دراسة إمكانية االستعانة بمصادر خارجية خاصة بالنشاطات ذات الكثافة التشغيلية العالية‪.‬‬
‫• العمل مع لجنة توجيه أمن المعلومات إلعادة ترتيب مهام موظفي أمن المعلومات وتزويد اإلدارة‬
‫باألعمال التي لن يتم تغطيتها مع الفريق الحالي المتاح وشرح المخاطر المترتبة على ذلك‪.‬‬

‫‪49‬‬
‫‪ .2.2‬المبحث الثاني‪ :‬الجدوى االقتصادية لمشروع‬

‫‪ .1.2.2‬مقدمة‬

‫‪ .2.2.2‬تعريف دراسة الجدوى االقتصادية لمشروع‬

‫‪ .3.2.2‬خصائص دراسة الجدوى‬

‫‪ .4.2.2‬أهمية دراسة جدوى المشاريع‬

‫‪ .5.2.2‬متطلبات دراسة جدوى المشاريع‬

‫‪ .6.2.2‬مجاالت التطبيق لدراسات الجدوى االقتصادية‬

‫‪ .7.2.2‬دراسة الجدوى التسويقية‬

‫‪ .8.2.2‬دراسة الجدوى التقنية (الفنية)‬

‫‪ .9.2.2‬دراسة الجدوى المالية‬

‫‪ .10.2.2‬صعوبات ومشاكل إجراء دراسات الجدوى‬

‫‪50‬‬
 ‫‪ .1.2.2‬مقدمة‬
‫الجدوى االقتصادية هي عملية جمع المعلومات عن المشروع المقترح ومن ثم ترتيبها وتحليلها لمعرفة‬
‫إمكانية تنفيذه وتقليل المخاطر المرتبطة به وزيادة ربحيته‪ .‬وبالتالي يجب معرفة مدى نجاح هذا‬
‫المشروع وربحيته أو خسارته مقارنة بمعطيات السوق المحلية واحتياجاتها خالل فترة محددة من‬
‫الزمن‪ .‬ويعتبر اإلعداد الجيد للجدوى االقتصادية من أهم خطوات نجاح المشاريع‪ ،‬فنجاح وفعالية أي‬
‫مشروع تعتمد بالمقام األول على التخطيط السليم‪ ،‬كما يمثل التخطيط الدقيق الركيزة األساسية التي‬
‫يعتمد عليها العائد المادي المتوقع من المشروع‪ .‬ومن هنا برزت الحاجة إلى ما يعرف بدراسة الجدوى‬
‫االقتصادية للمشروع‪.‬‬

‫‪ .2.2.2‬تعريف دراسة الجدوى االقتصادية لمشروع‬

‫تعددت التعريفات الخاصة بدراسات الجدوى االقتصادية وتقييم المشاريع وخاصة عند الكتابات األولى‬
‫منها سواء في كتابات جون ماينزكينز عندما تناول في الثالثينات واألربعينيات معدل العائد على‬
‫االستثمار وفكرة تكلفة رأس المال‪ ،‬أودن جول عام ‪ 1951‬م عندما أصدر أول كتاب لمعالجة مشكلة‬
‫المشاريع االستثمارية وقد دارت كل التعريفات التي وردت منذ ذلك التاريخ حول أن علم دراسات‬
‫الجدوى االقتصادية هو من أهم فروع االقتصاد التطبيقي الذي يستمد منهجيته من النظرية االقتصادية‬
‫بشقيها الجزئي والكلي متأث ار إلى جانب ذلك بالعلوم األخرى كالمحاسبة واإلدارة وبحوث العمليات‬
‫بهدف ترشيد القرار االستثماري من عدة وجوه أو دراسة جدوى المشروع من عدة جوانب‪ ،‬على ضوء‬
‫هذا يمكن إعطاء مجموعة من التعاريف لدراسات الجدوى‪:‬‬

‫"هي منهجية التخاذ الق اررات االستثمارية تعتمد على مجموعة من األساليب واألدوات واالختبارات‬
‫واألسس العلمية التي تعمل على المعرفة الدقيقة الحتماالت نجاح أو فشل مشروع استثماري معين‬
‫واختبار مدى قدرة هذا المشروع على تحقيق أهداف محددة تتمحور حول الوصول إلى أعلى عائد‬
‫(دراسات الجدوى‬ ‫ومنفعة للمستثمر خاصة أو االقتصاد القومي أو كليهما على مدى عمر افتراضي‪".‬‬
‫االقتصادية التخاذ الق اررات االستثمارية‪ ،‬د‪.‬عبد المطلب عبد الحميد)‬

‫كما يمكن تعريف دراسات الجدوى على أنها‪" :‬تلك المجموعة من الدراسات التي تسعى إلى تحديد‬
‫مدى صالحية مشروع استثماري ما‪ ،‬أو مجموعة من المشاريع االستثمارية من عدة جوانب تسويقية‪،‬‬
‫فنية‪ ،‬مالية‪ ،‬تمويلية‪ ،‬اقتصادية‪ ،‬اجتماعية‪ ،‬تمهيدا الختيار المشاريع التي تحقق أعلى منفعة صافية‬
‫(دراسات الجدوى التجارية واالقتصادية واالجتماعية مع مشروعات ‪ ،Bot‬عبد القادر محمد عبد القادر عطية)‬ ‫ممكنة"‪.‬‬

‫‪51‬‬
‫يمكننا القول أن دراسة جدوى للمشاريع هي تلك السلسلة المترابطة والمتكاملة من األساليب العلمية‬
‫التي تطبق على الفرص االستثمارية منذ بحثها كفكرة إلى حين الوصول إلى القرار النهائي بقبول أو‬
‫رفض أو إعادة تشكيل تلك الفرصة‪.‬‬

‫‪ .3.2.2‬خصائص دراسة الجدوى‬

‫(إعداد دراسات الجدوى وتقييم المشروعات‪ ،‬د‪.‬‬ ‫إن من أهم خصائص دراسة الجدوى االقتصادية لمشروع ما يلي‬
‫نبيل شاكر)‪:‬‬

‫• التعامل مع المستقبل‬

‫حيث نحدد بدراسات الجدوى مدى إمكانية تنفيذ فكرة استثمارية وإقرارها اآلن ليمتد عمرها االفتراضي‬
‫لتغطية فترة طويلة مقبلة‪ ،‬األمر الذي يؤكد بالضرورة أن كل نتائج مراحلها تمثل تقديرات محتملة‬
‫تحمل في طياتها احتماالت مطابقة للواقع أو انحراف عنه‪ ،‬مما يلزمنا مراعاة الدﱢقة في هذه التقديرات‬
‫خاصة في ظل درجة من درجات ظروف عدم التأكد‪.‬‬

‫• ارتفاع التكلفة‬

‫حيث تتزايد التكلفة المالية التي يتحملها المستثمرون مقابل إعداد الدراسة وخاصة بالنسبة للمشاريع‬
‫الكبيرة التي تحتاج إلى دراسات أكثر تفصيال من طرف مجموعة من الخبراء والمختصين وعليه غالبا‬
‫ما تكون هناك دراسات استكشافية أو تمهيدية الغرض منها الحكم المبدئي على قبول أو رفض‬
‫المشروع محل الدراسة وبالتالي التقليل من التكاليف‪.‬‬

‫• األهمية القصوى لعنصر الزمن‬

‫والذي نقصد به الفاصل الزمني بين نهاية إعداد الجدوى وموافقة الجهات المسؤولة عنها وبين فترة‬
‫بداية التنفيذ الفعلي للمشروع حيث أن طول هذه الفترة قد يعود بالسلب على المشروع نظ ار للتغيرات‬
‫السريعة التي قد تقع في الواقع العملي في هذه الفترة‪.‬‬

‫• ترابط المراحل‬

‫أي أن قرار استكمال أي مرحلة الحقة من عدمه يبنى على نتائج المرحلة التي سبقتها‪ ،‬فنتائج كل‬
‫مرحلة هي مدخالت مباشرة للمرحلة التالية لها مما يجعلنا نؤكد على أهمية تتابع مراحلها‪.‬‬

‫• المرونة‬

‫والتي نقصد بها عدم االلتزام المطلق في إعطاء نفس األهمية لمختلف مراحل دراسة الجدوى‪ ،‬هذا‬
‫يعني أنه قد نولي اهتماما متزايدا لدراسة معينة على أخرى‪.‬‬

‫‪52‬‬
 ‫‪ .4.2.2‬أهمية دراسة جدوى المشاريع‬
‫تتعلق أهمية دراسة الجدوى بشكل رئيسي بما يلي (اقتصاديات المشروعات‪ ،‬د‪.‬محمد الصاريف)‪:‬‬

‫• تحديد مدى ربحية المشروع من خالل تقدير العوائد المتوقعة منه ومقارنتها بالتكاليف المتوقعة‬
‫ومن ثم حساب الربح الصافي في كل سنة من سنوات التشغيل وطيلة مدة التشغيل‪.‬‬
‫• المساعدة في اتخاذ الق اررات حول أفضل االستثمارات باستخدام الموارد المتاحة للمستثمر مما‬
‫يؤدي إلى ترشيد القرار االستثماري خاصة عندما تكون ميزانية االستثمار محدودة بسبب ضيق‬
‫مصادر التمويل وارتفاع تكاليفه‪.‬‬
‫• تحتاج بعض المشاريع إلى تكاليف ضخمة يكون جزء منها مغرقا أي يصعب استردادها‪ ،‬كتكاليف‬
‫اآلالت والمعدات واألجهزة المتخصصة‪ ،‬لذا فإن فشل المشروع نتيجة عدم القيام بدراسة الجدوى‬
‫أو النخفاض مستواها يعﱢرض مالك المشروع لخسائر ضخمة ويكلف المجتمع موارد اقتصادية‬
‫ضائعة‪.‬‬
‫• تفيد دراسات الجدوى‪ ،‬وخاصة الجانب المتعلق بالدراسات السوقية في التعرف على فرصة‬
‫المشروع في بيع سلعة في األسواق سواء المحلية أو األجنبية‪.‬‬
‫• تسهيل الحصول على تمويل للمشروع والمساهمة في تخفيض تكاليف التمويل‪.‬‬
‫• المساهمة في تحديد الهيكل األمثل لتمويل المشروع ما بين اقتراض وإصدار أسهم أو أرباح‬
‫محتجزة أو غيرها من مصادر التمويل بناء على الوزن النسبي لكل منها في التكلفة اإلجمالية‬
‫لتمويل المشروع‪.‬‬
‫• المساعدة في تحديد الهيكل األمثل لتكاليف المشروع ما بين تكاليف ثابتة وتكاليف متغيرة بناء‬
‫على المساهمة النسبية لكل منهما في التكلفة الكلية وانعكاس ذلك على ربحية المشروع‪.‬‬
‫• تسهيل عملية تقييم أداء المشروع وذلك من خالل مقارنة مدى ما تحقق من أهداف المشروع‬
‫(أرباح‪ ،‬مبيعات‪ ،‬معدل نمو‪ )....،‬بعد بدء التشغيل مع ما خطط له من هذه األهداف في دراسات‬
‫الجدوى‪.‬‬
‫• التقليل من مخاطر عدم التأكد من خالل تقييم التأثيرات المختلفة على أداء المشروع مثل تغيرات‬
‫أسعار السلعة المنتجة وأسعار مستلزمات اإلنتاج وتكاليف التمويل وتغيرات الطلب والتطورات‬
‫التقنية والتغيرات في ظروف اإلنتاج‪.‬‬

‫‪ .5.2.2‬متطلبات دراسة جدوى المشاريع‬

‫تتوقف سالمة ودقة النتائج التي تقدمها دراسة الجدوى على نوعية البيانات والمعلومات ومصداقيتها‪،‬‬
‫ولذلك فإن توفر بيانات ومعلومات تفصيلية عن المشروع تعد مطلبا أساسيا لضمان اختيار البديل‬

‫‪53‬‬
‫من البدائل المتاحة أي اتخاذ القرار االستثماري السليم‪ ،‬وحتى يمكن إخضاع المشروع للدراسة والتقييم‬
‫فإن الشروط اآلتية يفترض أن تتوفر فيه (الجدوى االقتصادية للمشروعات‪ ،‬د‪ .‬طالل محمود كداوي)‪:‬‬

‫• المعرفة التفصيلية بمتطلبات المشروع‪ :‬تنفيذا أو تشغيال سواء كانت تلك المتطلبات متوفرة في‬
‫األسواق المحلية أو الخارجية‪ ،‬وهذا يستلزم تحديد مقدار النقد األجنبي الالزم لتوفير تلك المتطلبات‬
‫في مرحلتي التنفيذ والتشغيل خالل عمر المشروع المتوقع باإلضافة إلى تكاليف المشروع بالعملة‬
‫المحلية‪.‬‬
‫• تحديد طبيعة وحجم السلع والخدمات التي سيقوم المشروع بإنتاجها‪ :‬وكذلك تحديد مستويات‬
‫الطاقة اإلنتاجية للمشروع لغرض معرفة مدى قدرة المشروع على تلبية الطلب المحلي والخارجي‬
‫معا‪ ،‬وعلى ضوء هذه المعلومات يصبح باإلمكان تقدير العوائد المتوقعة للمشروع عبر الفترات‬
‫الزمنية من عمره المتوقع‪.‬‬
‫• المعرفة الدقيقة والتفصيلية لمراحل تنفيذ المشروع وعمره اإلنتاجي‪ :‬وتثبيت ذلك بوحدات زمنية‬
‫متعارف عليها كالسنة‪.‬‬
‫• قابلية مستلزمات المشروع (تكاليفه) للقياس والتقييم‪ :‬ألن الدراسة ستكون مستحيلة في حالة‬
‫عدم القدرة على التعبير رقميا عن المتغيرات‪.‬‬
‫• القدرة على قياس وتقييم مخرجات المشروع بوحدات نقدية‪ :‬وتعد المتطلبات آنفة الذكر شرطا‬
‫أساسيا يجب توفرها في أية فكرة حتى يمكن وضع تلك الفكرة موضع دراسة وتحليل‪.‬‬

‫‪ .6.2.2‬مجاالت التطبيق لدراسات الجدوى االقتصادية‬

‫تتعدد المجاالت التطبيقية لدراسات الجدوى االقتصادية ويمكن اإلشارة إلى أربعة مجاالت رئيسية‬
‫(دراسات الجدوى االقتصادية التخاذ الق اررات االستثمارية‪ ،‬د‪.‬عبد المطلب عبد الحميد)‪:‬‬

‫‪ .1‬دراسات الجدوى للمشاريع الجديدة‪:‬‬

‫يعد هذا إجماال من أكثر المجاالت التطبيقية انتشا ار وأهمية لما يحتاجه المشروع االستثماري الجديد‬
‫من دراسات وتقديرات وتوقعات تقوم على منهجية وأساليب دقيقة في ظل ظروف عدم التأكد المصاحبة‬
‫ألي مشروع جديد‪ ،‬في هذه الحالة تختلف دراسات الجدوى من حيث الحجم والعمق والتكلفة‬
‫والمختصون والخبراء وهذا حسب نوعية المشروع (صغير‪ ،‬متوسط‪ ،‬كبير)‬

‫‪ .2‬دراسات الجدوى للمشاريع التوسعية‪:‬‬

‫تكون دراسة الجدوى هنا أمام مشروع قائم بالفعل ولكن ألسباب عديدة يتم التوسع االستثماري فيه‪،‬‬
‫من خالل إقامة مصنع تابع له مثال أو إضافة خط إنتاجي جديد مما يؤدي إلى إنتاج جديد إضافي‬

‫‪54‬‬
‫للمنتجات القائمة أو قد يكون التوسع من خالل زيادة الطاقة اإلنتاجية باقتناء آالت إنتاج جديدة وفي‬
‫كل الحاالت يحتاج قرار التوسع إلى دراسة الجدوى التخاذ القرار االستثماري السليم‪.‬‬

‫‪ .3‬دراسات الجدوى االقتصادية لإلحال ل والتجديد‪:‬‬

‫وتتم تلك الدراسة عندما يتعلق القرار االستثماري بإحالل أو استبدال آلة جديدة محل آلة قديمة بعد‬
‫انتهاء العمر االفتراضي لآللة القديمة‪ ،‬وتحتاج هذه المسألة إلى أداة لالختيار بين األنواع من اآلالت‬
‫وتقدير التدفقات النقدية الداخلة والخارجة المتوقعة‪ ،‬والعائد من كل بديل واختيار البديل األفضل‪ ،‬وهذا‬
‫القرار من الق اررات االستراتيجية التي يجب دراسة جدواها بعناية ودقة‪.‬‬

‫‪ .4‬دراسات الجدوى للتطوير التكنولوجي‪:‬‬

‫نظ ار للتقدم التكنولوجي الذي يشهده العالم في مختلف المجاالت فقد ازدادت رغبة المستثمر في إدارة‬
‫المشاريع بأساليب جديدة من أساليب التكنولوجيا الحديثة المستخدمة في العمليات اإلنتاجية‪ ،‬مع األخذ‬
‫في االعتبار أن هناك دائما مفاضلة بين نوعين من التكنولوجيا إما تكنولوجيا كثيفة العمل أو تكنولوجيا‬
‫كثيفة رأس المال‪ ،‬في كل األحوال يحتاج القرار االستثماري هنا إلى دراسة جدوى الختيار البديل‬
‫األفضل‪.‬‬

‫‪ .7.2.2‬دراسة الجدوى التسويقية‬

‫إن دراسة الجدوى التسويقية هي الدراسة التي تهدف إلى التعرف على الجوانب المختلفة لسوق السلعة‬
‫أو الخدمة التي ينتجها المشروع بهدف تقدير المبيعات الحالية والمتوقعة ورسم السياسة التسويقية‬
‫المناسبة‪ .‬ويمكن تحديد عدد من األهداف التي يرجى تحقيقها من خالل القيام بتلك الدراسات أهمها‬
‫(دراسات الجدوى االقتصادية وتقييم المشروعات االستثمارية‪ ،‬شقيري نوري موسى)‪:‬‬

‫• تقدير حجم الطلب المتوقع على منتجات المشروع ومعدل نموه وتحديد الحجم الكلي للسوق‬
‫المرتقب والشريحة التسويقية بما يتضمنه ذلك من دراسة العوامل المحددة للطلب على منتجات‬
‫المشروع‪.‬‬
‫• تحديد هيكل ونوع السوق ودرجات المنافسة التي يمكن أن يتعرض لها المشروع وتحديد التقسيم‬
‫الجغرافي والقطاعي للسوق حسب نوعيات المستهلكين ودخولهم وأعمارهم‪.‬‬
‫• تحديد نمط األسعار واتجاهاتها في الماضي‪ ،‬والحاضر والمستقبل وتخطيط اإلستراتيجية السعرية‪.‬‬
‫• تحديد الحمالت االعالنية والترويجية الخاصة بالسلع أو الخدمة محل الدراسة‪.‬‬
‫• التوصية بحجم اإلنتاج المالئم طوال عمر المشروع‪.‬‬

‫لمعرفة أهمية بحوث التسويق بالنسبة لدراسات الجدوى للمشاريع المقترحة ودورها في تنميتها فإنه‬
‫يتحتم علينا معرفة ثالثة أشياء مهمة (دور وأهمية الكفاءة التسويقية في تحسين أداء المؤسسة الصناعية‪ ،‬أباي ولد الداي)‪:‬‬

‫‪55‬‬
‫‪ -1‬إمكانيات المشروع‪ :‬بفضل الدراسة التسويقية يستطيع أصحاب المشروع تحديد مجال نشاطهم‬
‫وفقا لإلمكانيات التي يتوفر عليها المشروع وتجنب ما ال تستطيع اإلمكانيات أن تصل إليه حتى‬
‫لو كان نشاطا مربحا‪ ،‬أي أن الدراسة التسويقية تعطي فكرة ولو مبدئية عن كيفية استغالل الموارد‬
‫المتاحة للمشروع استغالال أمثال‪.‬‬
‫‪ -2‬البيئة التسويقية‪ :‬إن عملية الربط بين المستهلك وإمكانيات المشروع إنما تحدث في الوسط الذي‬
‫يعمل فيه المشروع أي ما يسمى بالبيئة التسويقية تلك التي تضمن إلى جانب المنافسين‪ ،‬السياسات‬
‫الحكومية‪ ،‬وكذا التشريعات المتعلقة بالتميز والتعبئة والتغليف واإلعالن والمحافظة على البيئة‬
‫وغيرها‪ ،‬كل هذه العناصر يتم معالجتها واالستفادة منها بفضل بحوث الدراسة التسويقية‪ ،‬وال‬
‫ننسى هنا التقدم التقني الذي يعتبر عنص ار حساسا وهاما يؤثر على البيئة التسويقية‪ ،‬باإلضافة‬
‫إلى هذه المتغيرات تكتسي الدراسة التسويقية أهمية كبيرة فيما يخص البيئة التسويقية عندما يتعلق‬
‫األمر بالتحديد بدور المتابعة المستمرة لعناصر المزيج التسويقي (المنتج‪ ،‬السعر‪ ،‬الترويج‪،‬‬
‫التوزيع) وهي عناصر تضعنا على الدوام في مواجهة عنصر المنافسة الخاصة‪.‬‬
‫‪ -3‬رغبات واحتياجات المستهلك‪ :‬يعكس هذا العنصر األهمية البالغة لبحوث التسويق‪ ،‬والتي تسعى‬
‫إلى دراسة رغبات واحتياجات المستهلكين حيث يتم طرح المنتج بحسب هذه الرغبات‪ ،‬ما يؤكد‬
‫أهمية الدراسة هو فشل العديد من المؤسسات الصناعية والتجارية في طرح منتجاتها الجديدة في‬
‫األسواق وعدم قبولها من طرف المستهلكين‪ ،‬نتيجة لعدم وجود بحوث تعكس هذه الرغبات‪.‬‬

‫‪ .8.2.2‬دراسة الجدوى التقنية (الفنية)‬

‫تعتبر دراسة الجدوى الفنية المرحلة التي تلي دراسة الجدوى التسويقية‪ ،‬في إطار دراسة الجدوى‬
‫االقتصادية‪ ،‬ولكي نتمكن من االنتقال إلى هذه المرحلة يجب االستعانة بما أفرزته دراسة السوق من‬
‫نتائج وفيما إذا كان حجم الطلب يبرر االستمرار أو التوقف عن دراسة الجدوى ككل‪ .‬ويقصد بالجدوى‬
‫الفنية لمقترح استثماري دراسة الجوانب الهندسية المتعلقة بإقامة المشروع ومدى تحقيقها بهدف اتخاذ‬
‫قرار تبني االستثمار أو رفضه على أساس جدواه‪ .‬مما سبق يمكننا التأكيد على ارتباط هذه الدراسة‬
‫بالصفات التالية (دراسات الجدوى االقتصادية‪ ،‬د‪.‬بهاء الدين أمين)‪:‬‬

‫• تتم على مراحل تفصل بينها مسافات زمنية‪ ،‬األمر الذي يحتم على من يتصدى إلعدادها مراعاة‬
‫عنصر الزمن وتأثيره على نتائجها‪.‬‬
‫• تعطي هذه الدراسة وزن كبير لعنصر التكنولوجيا الحالي والمتوقع مستقبال‪.‬‬
‫• تعطي هذه الدراسة أهمية متزايدة للعنصر البشري القائم بإعدادها من حيث اإللمام العلمي والخبرة‬
‫العملية من الخبرات السابقة‪.‬‬

‫‪56‬‬
‫• تسمح هذه الدراسة بإمكانية االقتصار على إعداد بعض مراحلها الكلية في تلك الحاالت التي ال‬
‫تتطلب إعداد الدراسة الفنية بكامل جوانبها‪.‬‬
‫• تحدد هذه الدراسة طبيعة الدراسات البيئية والتسويقية التي تسبقها في اإلعداد‪.‬‬
‫• األهمية المطلقة لمراعاة عنصر الموضوعية عند إعدادها تفاديا النعكاسات مؤثرة وخطيرة مثل‬
‫عدم كفاية الطاقة اإلنتاجية أو وجود طاقات إنتاجية غير مستغلة‪ ،‬باإلضافة إلى تضخم التكاليف‬
‫االستثمارية والتشغيلية وزيادة نسبة اإلنتاج التالف والمعيب والمرتجع من العمالء‪.‬‬

‫‪ .9.2.2‬دراسة الجدوى المالية‬

‫تعتمد دراسة الجدوى المالية والتمويلية للمشروع على نتائج الدراسة الفنية وبالضبط بعد تحديد تكاليف‬
‫المشروع االستثمارية من خالل التعرف على مصادر األموال المتاحة ليتم اختيار الهيكل المالي‬
‫المناسب للمشروع‪ ،‬ثم يليه تقدير تكلفة أموال هذا الهيكل والذي يعتبر األساس لقبول أو رفض‬
‫المشروع االستثماري‪ ،‬وإذا اتخذ قرار بقبول المشروع تنتهي هذه الدراسة بإعداد القوائم المالية وإال‬
‫فالمشروع يلغى‪.‬‬

‫‪ .1.9.2.2‬تحليل الهيكل التمويلي للمشروع‬

‫يقصد بتحليل الهيكل التمويلي تحديد مصادر واستخدامات الموارد المالية المتاحة لتمويل المشروع‬
‫سواء كانت بالعملة المحلية أو األجنبية‪ ،‬مع التأكيد على التالؤم بين أوقات تدفق هذه الموارد وأوقات‬
‫استخدامها بما يضمن تشغيل المشروع وفقا للهدف المرسوم له‪.‬‬

‫وهناك أربعة مصادر للتمويل هي‪ :‬أموال الملكية (التي يتضمنها األسهم العادية واألسهم الممتازة‬
‫واألرباح المحتجزة)‪ ،‬والقروض (السندات‪ ،‬االئتمان المصرفي‪ ،‬القروض القصيرة والمتوسطة والطويلة‬
‫األجل)‪ ،‬واالئتمان التجاري (لشراء الخامات والبضائع واألصول الثابتة)‪ ،‬وأخي ار التمويل باالستئجار‬
‫(دراسات الجدوى االقتصادية وتدقيق المشروعات‪ ،‬سمير‬ ‫والذي ينقسم إلى االستئجار التمويلي واالستئجار التشغيلي‬
‫محمد عبد العزيز)‪.‬‬

‫صعوبات ومشاكل إجراء دراسات الجدوى‬ ‫‪.10.2.2‬‬

‫هناك العديد من الصعوبات والمشاكل التي يمكن مواجهتها عند السعي إلجراء دراسات الجدوى في‬
‫(دراسات الجدوى االقتصادية التخاذ الق اررات االستثمارية‪ ،‬د‪.‬عبد المطلب‬ ‫المجاالت التطبيقية المشار إليها‪ ،‬لعل من أهمها‬
‫عبد الحميد)‪:‬‬

‫‪57‬‬
‫• في ظل العولمة والتحول آلليات السوق‪ ،‬تزداد مشاكل التعامل مع المتغيرات الداخلية في االقتصاد‬
‫القومي والمتغيرات العالمية في االقتصاد العالمي‪ ،‬مما يزيد من مخاطر عدم التأكد في تقدير‬
‫عدد من المتغيرات في دراسات الجدوى خالل العمر االفتراضي للمشروع‪ ،‬مثل األسعار والطلب‬
‫وأسلوب اإلنتاج وغيرها‪ ،‬وهو ما يتطلب المزيد من التعمق في البحث عن األدوات واألساليب‬
‫التي تتغلب على تلك المشكالت وهنا تكسب تحليالت الحساسية دو ار كبي ار في هذا المجال‪.‬‬
‫• مع ازدياد حجم المشاريع تزداد صعوبات تقدير بنود التدفقات النقدية الداخلة والخارجة وبالتحديد‬
‫األخيرة أي التكاليف‪ ،‬باإلضافة إلى أن بعض المتغيرات قد تكون غير قابلة للقياس الكمي وتأثيرها‬
‫غير مباشر وهو ما يتطلب السعي دائما إلى إخضاع مثل تلك المتغيرات للقياس الكمي كلما‬
‫أمكن من خالل االستعانة بعلوم اإلحصاء واالقتصاد القياسي‪ ،‬وبحوث العمليات وغيرها‪.‬‬
‫• عدم التوازن بين تكاليف دراسات الجدوى وتقييم المشاريع وحجم المشروع ورأس المال المخصص‬
‫لالستثمار في المشروع وهو ما يتطلب البحث دائما في إحداث هذا التوازن وتفضيل دراسات‬
‫الجدوى على المشروع كحالة منفصلة دائما فكل مشروع هو حالة البد أن تتالءم دراسات الجدوى‬
‫مع أوضاعه وحجمه‪.‬‬
‫• هناك أيضا بعض الصعوبات الفنية خاصة عندما تكون الخبرات الفنية التي تقوم بالمشروع‬
‫ضعيفة وهو ما يتطلب دائما االستعانة بالخبرات الفنية ذات المهارة العالية والمتخصصة في‬
‫النشاط الخاص بالمشروع والدراسات الفنية له‪.‬‬
‫• أخي ار هناك صعوبات ومشاكل نقص البيانات والمعلومات أو تضاربها أو عدم وضوحها مما قد‬
‫يؤثر على دقة تقدير بعض المتغيرات الداخلية في دراسات الجدوى وهو ما يمكن عالجه من‬
‫خالل العديد من األساليب التي تطبق في كل حالة على حدة‪.‬‬

‫‪58‬‬
 ‫‪ .3.2‬المبحث الثالث‪ :‬المنظمة موضوع البحث‬

‫‪ .1.3.2‬مقدمة‬

‫‪ .2.3.2‬مبادئ الحركات اإلنسانية‬

‫‪ .3.3.2‬أهمية االستثمار في برنامج أمن المعلومات بالنسبة للمنظمة‬

‫‪ .4.3.2‬حاجة قطاع المنظمات اإلنسانية لجعل األمن السيبراني أولوية‬

‫‪ .5.3.2‬أسباب فشل االستثمار في أمن المعلومات في المنظمات‬

‫‪59‬‬
 ‫‪ .1.3.2‬مقدمة‬
‫هي منظمة إنسانية تتمتع باالستقالل المالي واإلداري ذات شخصية اعتبارية معترف بها من قبل‬
‫اللجنة الدولية للصليب األحمر بجنيف‪ ،‬لها مركز رئيسي والعديد من الفروع الموزعة في المحافظات‬
‫السورية‪.‬‬

‫تعمل هذه المنظمة في القطاع الطبي لتقديم المساعدات الطبية األولية أو المتقدمة من خدمات تغذية‬
‫أو أطراف صناعية‪ ،‬وفي المجاالت الخدمية واإلغاثة‪ ،‬وضمن المجال المجتمعي واإلنساني لدعم‬
‫س بل العيش وتقديم الخدمات المالية للمستفيدين ليتم صرفها في المواضع التي يحتاجونها‪ ،‬هذا‬
‫باإلضافة لتقديم المساعدات المتعلقة بمشاريع المياه وإعادة اإلعمار‪.‬‬

‫تسعى المنظمة لتقديم خدمات للفئات األشد احتياجا في كافة أرجاء الجمهورية العربية السورية‪ .‬حيث‬
‫يتم أثناء عملية تقديم المساعدات والخدمات تسجيل بيانات تفصيلية عن المستفيدين وأخذ بياناتهم‬
‫الشخصية لتحليل مدى الحاجة والمجاالت األهم التي يحتاج المستفيد الدعم ضمنها‪ .‬باإلضافة لذلك‬
‫تهتم المنظمة بالعاملين والمتطوعين لديها وتحتفظ لهم لديها بالسجالت والبيانات المطلوبة من الجوانب‬
‫القانونية وإدارة الموارد البشرية‪.‬‬
‫إن حماية البيانات المتعلقة بالمستفيدين والعاملين والمتطوعين هي من أهم النقاط التي تعمل كوادر‬
‫المنظمة المختصة في الحفاظ عليها كونها تعتبر من البيانات المهمة والحساسة ألنها تتضمن طيف‬
‫واسع من المعلومات الشخصية والطبية والمالية والقانونية وغيرها‪ ،‬ومن الواجب تأمين الحماية‬
‫الفيزيائية والمنطقية لها لضمان سرية التعامل بها ونزاهتها وإتاحتها بالشكل األمثل عند الحاجة من‬
‫خالل قاعدة البيانات الضخمة الموجودة لدى المنظمة والتي يتم تخزين هذه البيانات ضمنها‪.‬‬

‫‪ .2.3.2‬مبادئ الحركات اإلنسانية‬

‫تمثل المبادئ األساسية السبعة‪ ،‬التي أعلنت في فيينا سنة ‪ ،1965‬الرابط بين مختلف المنظمات‬
‫العاملة في المجال اإلنساني واإلغاثي وهي الضامن الستم اررية عملها‪:‬‬

‫• اإلنسانية‪ :‬تواصل جهودها على الصعيدين الدولي والوطني للوقاية والتخفيف من آالم اإلنسان‬
‫أينما كانت وحماية الحياة والصحة وضمان الكرامة اإلنسانية وتعزيز التفاهم والصداقة والتعاون‬
‫والسالم الدائم بين جميع شعوب العالم‪.‬‬
‫• عدم التحيز‪ :‬ال تميز بين القوميات أو األجناس أو الطبقات أو األديان أو العقائد السياسية فهي‬
‫ال تهدف إال إلى إزالة معاناة اإلنسان وتعطي األولوية للحاالت التي تتطلب عمال عاجال‪.‬‬

‫‪60‬‬
‫• الحياد‪ :‬لالحتفاظ بثقة الجميع‪ ،‬تمتنع عن االشتراك في أية أعمال عدائية أو في مجادالت متعلقة‬
‫بالمسائل السياسية والدينية والعرقية واإليديولوجية‪.‬‬
‫• االستقالل‪ :‬رغم أن الجمعيات الوطنية تعمل كأجهزة مساعدة للسلطات العامة فيما تضطلع به‬
‫من نشاطات إنسانية وتخضع للقوانين السارية في بالدها‪ ،‬فإنه يجب عليها أن تحافظ دائما على‬
‫استقاللها حتى تستطيع أن تتصرف بموجب هذه المبادئ في جميع الحاالت‪.‬‬
‫• الخدمة التطوعية‪ :‬تعمل لإلغاثة التطوعية وال تسعى لتحقيق أي ربح‪.‬‬
‫• الوحدة‪ :‬يجب أن تكون خدماتها متاحة للجميع وشاملة لكافة أنحاء القطر‪.‬‬
‫• العالمية‪ :‬حركات عالمية تتمتع كل الجمعيات بنفس الحقوق في ظلها وتلتزم بالتعاون فيما بينها‪.‬‬

‫‪ .3.3.2‬أهمية االستثمار في برنامج أمن المعلومات بالنسبة للمنظمة‬

‫تستخدم المنظمة أصول تكنولوجية متنوعة وواسعة تتيح لها ممارسة أعمالها بسهولة ويسر وتنظيم‬
‫بياناتها واستخراج التقارير الالزمة للتطوير وبناء برامج ومشاريع العمل الجديدة‪ .‬وبما أن لديها قواعد‬
‫بيانات ضخمة تحتفظ فيها بالسجالت المتعلقة بالبيانات الشخصية والصحية والمالية والقانونية وغيرها‬
‫ال خاصة بالزبائن (المستفيدين) والموظفين والمتطوعين وغيرهم من أصحاب المصلحة كالمانحين‬
‫والموردين والمتعاقدين‪ ،‬لذلك فإنه من مسؤولية وواجب المنظمة تأمين الحماية الالزمة لهذه البيانات‬
‫الحساسة لضمان تخفيف المخاطر المتعلقة بتسريبها أو فقدانها أو التالعب بها باإلضافة إلى تأمين‬
‫استم اررية األعمال التي قد تتعرض للفشل وخروجها عن الخدمة نتيجة حوادث أمن معلومات معينة‪.‬‬

‫وعليه فإن أهمية االستثمار في برنامج أمن المعلومات بالنسبة للمنظمة تتلخص بما يلي‪:‬‬
‫• تعزيز قدرة المنظمة على حماية أصولها المعلوماتية من حوادث أمن المعلومات بما في ذلك‬
‫سرية ونزاهة وإتاحة هذه األصول‪.‬‬
‫• تعزيز قدرة المنظمة في االستجابة لحوادث أمن المعلومات واحتوائها‪.‬‬
‫• تعزيز قدرة المنظمة على االستعادة من الكوارث لتأمين استم اررية تنفيذ أعمالها‪.‬‬

‫‪ .4.3.2‬حاجة قطاع المنظمات اإلنسانية لجعل األمن السيبراني أولوية‬

‫في الماضي غير البعيد ‪ ،‬كانت المنظمات الدولية والمنظمات غير الحكومية التي تعمل في المبادرات‬
‫اإلنسانية تعتمد إلى حد كبير على الخطوط األرضية وأجهزة الفاكس للتواصل ونقل البيانات إلى‬
‫مراكزها اإلقليمية أو مقارها الرئيسية‪.‬‬

‫‪61‬‬
‫أما اآلن‪ ،‬فمثل معظم الشركات‪ ،‬استثمرت المنظمات غير الحكومية والمنظمات الدولية أمواال كبيرة‬
‫في تقنيات المعلومات واالتصاالت لتعزيز قدراتها في إدارة األزمات‪ .‬على سبيل المثال‪ ،‬يتم تحقيق‬
‫عملية صنع القرار بشكل أفضل وأسرع من خالل التقاط وتحليل البيانات الديموغرافية لتحديد الفئات‬
‫الضعيفة‪ ،‬وقد أثبتت الدراسات االستقصائية عبر اإلنترنت أنها حاسمة لفرق المياه والصرف الصحي‬
‫والنظافة في تقديم خدمات الصحة للسكان‪ ،‬كما أن القسائم أو البطاقات الرقمية (اإللكترونية) التي‬
‫تدعم القياسات الحيوية كان لها دور فعال في الحد من األخطاء واالحتيال في الدفع للمستفيدين‪.‬‬
‫هذه التغييرات تجعل المساعدات اإلنسانية أسرع وأكثر كفاءة‪ ،‬يساعد اختيار هذه األدوات الرقمية في‬
‫إنقاذ األرواح‪ ،‬ومع ذلك ‪ ،‬فقد جعل التحول الرقمي أيضا المنظمات الدولية والمنظمات غير الحكومية‬
‫أهدافا مغرية للهجمات اإللكترونية من قبل المجرمين واإلرهابيين‪ .‬وتتراوح أسباب ذلك من األسباب‬
‫المالية البحتة (فاألشخاص الذين يمرون بأزمات يصبحون أهدافا سهلة للخداع والسرقة) إلى السياسية‬
‫وغيرها من األسباب‪.‬‬
‫على سبيل المثال‪ ،‬ازدادت الهجمات اإللكترونية ضد حقوق اإلنسان وجماعات المناصرة بنسبة ‪٪26‬‬
‫خالل االحتجاجات المطالبة بالعدالة العرقية التي وقعت في أعقاب مقتل جورج فلويد في الواليات‬
‫المتحدة األمريكية‪ ،‬وخالل شهري أيار وحزيران ‪ 2020‬حظرت شركة أمن مواقع الويب ‪Cloudflare‬‬
‫عددا هائال من الطلبات عبر اإلنترنت لتنفيذ هجمات رفض الخدمة الموزعة )‪ (DDoS‬أو اقتحام‬
‫مواقع الويب والتطبيقات‪ ،‬كانت المنظمات األكثر استهدافا هي مجموعات المناصرة‪ ،‬والتي شهدت‬
‫زيادة بمقدار ‪ 1100‬ضعف‪ ،‬وينتقل العديد من الهجمات من صفر إلى ‪ 20000‬طلب في الثانية‬
‫على موقع واحد مما يجعل من المستحيل الكشف عن هوية المهاجم في الفضاء اإللكتروني بالتأكيد‪،‬‬
‫وامتد تأثير ذلك على هذه المنظمات ليشمل تراجع أداء مواقع الويب‪ ،‬ومشكالت في البنية التحتية‪،‬‬
‫وزيادة التعرض للهجمات اإللكترونية األخرى‪.‬‬
‫واجهت المنظمات األكبر حجما أيضا تهديدات مماثلة‪ ،‬حيث تم اختراق األمم المتحدة من قبل‬
‫متسللين في أوائل عام ‪ ،2021‬وال تزال التهديدات القائمة على هذا الخرق مستمرة حتى اآلن‪ .‬وقيل‬
‫حينها أن خرق البيانات كان قد نشأ من بيانات اعتماد أحد الموظفين التي تم بيعها على شبكة‬
‫اإلنترنت المظلمة‪ ،‬واستخدم المهاجمون نقطة الدخول هذه للتوغل أكثر في شبكات األمم المتحدة‪،‬‬
‫وإجراء االستطالع والبدء في مزيد من الهجمات‪.‬‬

‫‪62‬‬
 ‫الشكل (‪ )10‬ازدياد الهجمات اإللكترونية ضد جماعات حقوق اإلنسان في أعقاب مقتل جورج فلويد‬

‫المصدر‪www.cloudflare.com :‬‬

‫وحتى االتصاالت مع بعض أكثر الحكومات تمويال وحرصا في العالم ال يمكنها توفير الحماية من‬
‫مجرمي اإلنترنت‪ .‬في أيار ‪ ،2021‬تسللت مجموعة قراصنة تدعى ‪ Nobelium‬إلى أنظمة البريد‬
‫اإللكتروني لوكالة التنمية الدولية التابعة لو ازرة الخارجية األمريكية (‪ )USAID‬وشرعت في إرسال‬
‫رسالة مصابة إلى ‪ 3000‬حساب تستهدف ‪ 150‬منظمة مختلفة في ‪ 24‬دولة أكثر من ربعها تشارك‬
‫في التنمية الدولية والعمل اإلنساني وحقوق اإلنسان حول العالم‪.‬‬
‫تعاني المنظمات الدولية والمنظمات غير الحكومية من نقص كبير في التمويل عندما يتعلق األمر‬
‫بمعالجة التهديدات السيبرانية المتصاعدة‪ ،‬وذلك على الرغم من استهدافها بشكل متزايد‪ .‬من المؤكد‬
‫أن بعض هذه الهجمات مدفوعة بطبيعة عمل هذه المنظمات‪ ،‬لكن العديد من المهاجمين اآلخرين‬
‫عبر اإلنترنت يرون أنها مجرد ثمار سهلة الوصول في محاولتهم للحصول على فدية أو الوصول‬
‫إلى األموال عن طريق االحتيال‪ .‬ونقص التمويل جعل من الصعب على العديد من تلك المنظمات‬
‫توظيف خبراء ممارسين وتنفيذ برامج لخرائط طريق لألمن السيبراني التي تشتد الحاجة إليها يوما بعد‬
‫يوم وكل ذلك في ضوء تأثير وباء ‪ COVID‬على االقتصاد العالمي الذي جعل جمع األموال أكثر‬
‫صعوبة بكثير من السابق‪.‬‬
‫كل ذلك جعل من التفكير في مخاطر أمن المعلومات أمر حيوي للمنظمات الدولية والمنظمات غير‬
‫الحكومية‪ ،‬حتى ولو لم يكن الحصول على التمويل كافيا لتحقيق الدفاع الالزم عن األمن السيبراني‪،‬‬

‫‪63‬‬
‫فيمكن للقادة في هذه المنظمات أن يأخذوا بعض الدروس اإلستراتيجية التي تعلمها القطاع الخاص‬
‫عن طريق تنفيذ األنظمة المرنة عبر اإلنترنت والحفاظ عليها‪ ،‬ويجب مراعاة النقاط التالية‪ ،‬مع مراعاة‬
‫أن معظم هذه األفكار ال تتطلب زيادة إلى تكاليف المنظمة بل تتطلب فقط التخطيط والفهم لقضايا‬
‫المخاطر اإللكترونية على مستوى القيادة‪:‬‬
‫• تقييم المخاطر‪ :‬يعد فهم التهديدات المختلفة للمخاطر أم ار أساسيا لتأمين أنظمة تكنولوجيا‬
‫المعلومات‪ .‬عند تطوير أنظمة أو تطبيقات جديدة‪ ،‬يجب إجراء تقييم للمخاطر لتحديد جميع‬
‫التهديدات والتأثيرات ومطابقتها مع اإلجراءات المضادة والمالكين وتواريخ االستحقاق‪.‬‬
‫• بناء القدرات‪ :‬كحد أدنى‪ ،‬يجب أن يكون هناك فريق محوري مخصص ألمن المعلومات داخل‬
‫المنظمة‪ ،‬يكون مسؤول عن مراقبة التهديدات واالستجابة لها‪ ،‬ويمكن إشراك خبراء متخصصين‬
‫خارجيين بسرعة حسب الحاجة‪.‬‬
‫• استمرارية األعمال واالستجابة للحوادث‪ :‬يجب أن يكون لدى المنظمة خطة الستم اررية األعمال‬
‫عطل‪ .‬يجب أن يعرف الموظفون أيضا ما يجب‬
‫يمكن استخدامها في حالة وقوع حادث أمني م ﱢ‬
‫فعله ومع من يتصلون عند وقوع حادث أمني‪ ،‬يجب أن يكون لدى نقطة اتصال أمن المعلومات‬
‫أو فريق االستجابة للحوادث خطة موثقة للرد على كل خرق‪ ،‬وهذا يشمل األطراف الخارجية التي‬
‫يتعين عليها االشتراك لتقديم مساعدة موثوقة‪.‬‬
‫• عمليات تدقيق أمنية مستقلة‪ :‬يجب إجراء عمليات التدقيق األمني سنويا على األقل ويجب أن‬
‫يتم إجراؤها من قبل طرف خارجي ليس له أي عالقات أو مصالح راسخة في المنظمة‪.‬‬
‫• إدارة البيانات‪ :‬تضمن سياسة حوكمة البيانات أن تكون بيانات المنظمة موثوقة ودقيقة ومتاحة‬
‫في الوقت المناسب لمن لديهم حاجة مشروعة إليها وسلطة الوصول إليها‪ ،‬تضمن مثل هذه‬
‫السياسة أيضا أن البيانات آمنة ومحمية بناء على حساسيتها‪.‬‬
‫• موازنات أفضل‪ :‬وذلك يتطلب تحوال في العقلية من جانب المانحين والقيادة التنظيمية‪ .‬يجب على‬
‫المانحين أن ينظروا إلى األمن السيبراني على أنه أمر بالغ األهمية لعمليات المساعدة اإلنسانية‪،‬‬
‫يقدمون التمويل الالزم للمنظمات اإلنسانية‬
‫ويجب تقديم عروض تقديمية مفصلة للممولين الذين ﱢ‬
‫لالستعداد بسرعة‪ ،‬وبناء فرق األمن‪ ،‬وتطوير قدرات االستجابة لألمن السيبراني‪.‬‬

‫أخي ار‪ ،‬مثل العديد من قضايا األمن السيبراني‪ ،‬يعد التعاون بين المدافعين أم ار أساسيا حيث يمكن‬
‫للمنظمات اإلنسانية االستفادة من عالقات عمل أوثق مع بعضها ومع القطاع الخاص‪.‬‬

‫‪64‬‬
‫ويجب أن تضمن هذه المنظمات أن لدى مجالس إدارتها بعض الخبرة في مجال األمن السيبراني‪،‬‬
‫واعتمادا على سجل تعريف مخاطر المنظمة قد يتطلب ذلك جلب خبير في التكنولوجيا أو األمن‬
‫السيبراني ووضع المخاطر اإللكترونية كموضوع متكرر على جدول أعمال مجلس اإلدارة مما يسمح‬
‫للمنظمات بوضع األمن السيبراني من ضمن المخاطر واسعة االنتشار‪ ،‬وفهم اآلثار القانونية لها‪،‬‬
‫وتعزيز حماية األصول القيمة ضد الهجمات اإللكترونية‪ ،‬والتركيز على مخاطر سلسلة التوريد من‬
‫األمور التي يجب مراعاتها في هذا السياق‪.‬‬

‫‪ .5.3.2‬أسباب فشل االستثمار في أمن المعلومات في المنظمات‬

‫عادة ما يقود الجهد المبذول في غير محله إلى فشل االستثمار‪ ،‬يتم التعامل مع أمن المعلومات‬
‫بشكل عام على هيئة مشاريع امتدادا لنشاطات تقنية المعلومات ويتم على هذا األساس توفير الدعم‬
‫التمويلي لمشاريع أمن المعلومات التي يجب وفق هذه الرؤية أن تبدأ بتاريخ وتنتهي بتاريخ والتي‬
‫تعتبر طريقة خاطئة في إدارة أمن المعلومات لحماية أصول المنظمة‪.‬‬

‫يعتبر أمن المعلومات عملية مستمرة يجب دمجها ضمن مختلف القطاعات لتأمين ديمومة الحماية‬
‫خالل مراحل العمل المتعددة‪ ،‬ويعتبر أول أساس قويم لحماية األصول ضمن المنظمة هو دعم اإلدارة‬
‫العليا وتبنيها لنشاطات أمن المعلومات‪ ،‬وتكون الجهود بدون هذا األساس غير مكتملة وبال دعم‬
‫تنفيذي يؤدي لتشكيل وعي جمعي مؤسسي حول أهمية أمن المعلومات‪.‬‬

‫إن تعزيز ثقافة أمن المعلومات داخل نطاق العمل تقتضي أن يتم تأهيل الكوادر الالزمة إلدارة أمن‬
‫المعلومات بشكل فعال‪ ،‬ومن مهام هذه اإلدارة إنجاح االستثمار في أمن المعلومات‪ ،‬وأول الخطوات‬
‫إلنجاح تلك االستثمارات هو تحويل أمن المعلومات إلى جزء من العمل اليومي على مستوى المنظمة‬
‫ككل‪ ،‬وأن يتحول إلى جزء من إجراءات وعمليات المنظمة ال أن ينفصل عنها بنشاطات مستقلة‪ .‬إن‬
‫تحويل أمن المعلومات الى إجراء على مستوى المنظمة بدال من أن يكون إجراء يتم قبل أو بعد إتمام‬
‫العملية التشغيلية نفسها يحول الحماية من أمر مرحلي إلى أمر مستدام ويؤمن الحماية الفعالة للعمليات‬
‫المختلفة في كل قطاعات العمل‪ .‬وبذلك يتحول أمن المعلومات من مكون جانبي في العمليات إلى‬
‫مكون أساسي يتطلب تدخل أفراد أمن المعلومات وتنفيذ إجراءات‪ ،‬تحاليل‪ ،‬حوكمة‪ ،‬اختبارات وتقييم‬
‫لمستوى وحالة أمن المعلومات في هذه العمليات بشكل مستمر‪.‬‬

‫وبهذا الشكل يمكن تأمين عمليات القطاعات المختلفة بإشراف أمن المعلومات ومن خالل استثمارات‬
‫ناجحة حسب متطلبات القطاعات المختلفة بدال من أن تكون استثمارات خارجة عن نطاق العمل وال‬
‫‪65‬‬
‫تهتم فعليا بتأمين العمل ومتطلباته وإنما مشاريع تتطلب مجرد مخرجات ينبغي تحقيقها بغض النظر‬
‫عن تأمين عمليات المنظمة‪.‬‬

‫ومن المالحظ مؤخ ار ازدياد االعتماد على متعهدين خارجيين (‪ )outsourceing‬في مختلف‬
‫القطاعات الحكومية أو الخاصة في مجاالت أمن المعلومات وتعامل تلك المشاريع وكأنها مشاريع ال‬
‫تختلف عن بقية المشاريع ضمن المنظمة ما قد يؤدي لفشل االستثمار المتعلق بها في كثير من‬
‫الحاالت وهذا مرتبط بعدة أسباب من أهمها أن أمن المعلومات يعنى بتأمين قطاعات العمل كلها‬
‫وليس مجرد بعض العمليات التشغيلية كما تمت اإلشارة إليه أعاله وأن متطلبات أمن المعلومات‬
‫تفرض االطالع على أكثر القطاعات أو المعلومات حساسية في مختلف أرجاء المنظمة وبالتالي قد‬
‫يكون هناك تضارب في المصالح في مراحل المشروع أثناء العمل مع متعهدي خدمات ال يمكن ومع‬
‫كل الضمانات إسناد مهام العمل األمنية لهم‪ .‬كما أن االستثمار في مشاريع أنظمة حماية بمبالغ‬
‫طائلة وعدم تأهيل كفاءات المنظمة نفسها لتشغيلها يعني هدر األموال ودفعها إلى تقنيات وأجهزة قد‬
‫يتوقف العمل عليها مجرد قطع العالقة مع المتعهد‪.‬‬

‫عدة عوامل تجعل االستثمار في مشاريع أمن المعلومات أم ار ناجحا مع ضرورة فهم أن نجاح أمن‬
‫المعلومات ال يحقق نفس الرضى في نجاح المشاريع األخرى‪ ،‬فالمقارنة هنا غير عادلة‪ ،‬فال يمكن‬
‫المقارنة بين مشروع انتهى ونجح بتحقيق أهدافه وبين عملية مستمرة نتائجها غير ملموسة‪.‬‬

‫يجب قياس مدى نجاح االستثمار في أمن المعلومات بمدى دعم أمن المعلومات لألهداف الرئيسية‬
‫المعلنة للمنظمة‪ ،‬فمثال إذا كان أحد أهدافها خدمة الزبائن بطريقة ما واالحتفاظ بمعلوماتهم لتوفير‬
‫هذه الخدمة‪ ،‬فمهمة أمن المعلومات تأمين هذه المعلومات من التسريب‪ ،‬الكشف‪ ،‬الضياع أو التالعب‬
‫حسب حساسيتها وعند الفشل في تأمين تلك المعلومات فإن االستثمار المرتبط بذلك قد يواجه الفشل‪.‬‬

‫ويمكن القول أخي ار إن أي خرق في أمن معلومات منظمة قد ال يكون فشال في االستثمار بحد ذاته‬
‫ولكنه في الغالب يكون نتيجة لعدم وجود فهم كافي من قبل اإلدارة العليا وتقصير في إدارة أمن‬
‫المعلومات ككل‪.‬‬

‫‪66‬‬
‫العملي‬
‫الفصل الثالث‪ :‬اإلطار َ‬

‫‪ .1.3‬مقدمة‬

‫‪ .2.3‬المنظمة اإلنسانية‬

‫‪ .3.3‬الوضع الحالي‬

‫‪ .4.3‬نتائج الدراسات‬

‫‪67‬‬
 ‫‪ .1.3‬مقدمة‬
‫تم في الجزء النظري من هذا البحث عرض البعض من الدراسات التي تم تقديمها في نطاق مشابه‪،‬‬
‫حيث تم تغطية المباحث الثالثة التالية‪:‬‬

‫• برنامج أمن معلومات‬

‫• دراسات الجدوى االقتصادية ودورها في عملية اتخاذ القرار‬
‫• المنظمة الممثلة لحالة الدراسة وأهمية الدراسة بالنسبة لها‬

‫أما بالنسبة للجزء العملي هذا فسوف يتم عرض للدراسة الميدانية التي تم العمل عليها في المنظمة‬
‫متضمنة معلومات حول الدراسات التسويقية والتقنية والمالية المتعلقة بذلك باإلضافة للخطة الزمنية‬
‫المقترحة للتطبيق‪ ،‬وأخي ار النتائج والتوصيات المنبثقة عن هذا البحث‪.‬‬

‫‪ .2.3‬المنظمة اإلنسانية‬
‫تم تنفيذ هذا البحث من خالل دراسة حالة منظمة إنسانية تتمتع باالستقالل المالي واإلداري ذات‬
‫شخصية اعتبارية وتعمل في الجمهورية العربية السورية‪ .‬تنشط هذه المنظمة في القطاع الطبي حيث‬
‫تقدم المساعدات الطبية األولية أو المتقدمة‪ ،‬وفي المجاالت الخدمية واإلغاثة‪ ،‬وضمن المجال‬
‫المجتمعي واإلنساني‪ ،‬باإلضافة لتقديم المساعدات المتعلقة بمشاريع المياه وإعادة اإلعمار‪.‬‬

‫وكجزء من إدارة وتنظيم أعمالها تقوم المنظمة بتسجيل بيانات تفصيلية عن المستفيدين والعاملين‬
‫والمتطوعين لديها وتحتفظ لهم بالسجالت والبيانات المطلوبة من الجوانب القانونية وجوانب إدارة‬
‫الموارد البشرية‪ .‬وتسعى المنظمة لتوفير الحماية الالزمة لهذه البيانات كونها تعتبر مهمة وحساسة‬
‫ألنها تتضمن طيف واسع من المعلومات الشخصية والطبية والمالية والقانونية وغيرها‪.‬‬

‫‪ .3.3‬الوضع الحالي‬
‫بهدف معرفة وضع المنظمة الحالي المتعلق بدرجة نضجها في التعامل مع قضايا أمن المعلومات‬
‫فقد تم إعداد استبيان خاص بذلك ثم عرضه ومناقشته مع المسؤول عن تقانة وأمن المعلومات في‬
‫المنظمة (الملحق ‪ )1‬وأخذ إجاباته على األبعاد األربعة الرئيسية التالية المرتبطة بتطبيق برنامج أمن‬
‫المعلومات في المنظمة‪:‬‬

‫• حوكمة أمن المعلومات‬

‫‪68‬‬
 ‫• إدارة مخاطر أمن المعلومات‬
‫• موارد أمن المعلومات‬
‫• االمتثال وااللتزام‬

‫وكانت النتائج كما يلي‪:‬‬

‫‪ .1.3.3‬حوكمة أمن المعلومات‬

‫النتــائج (جدول (‪ :)3‬نتائج استبيان أسئلة حوكمة أمن المعلومات)‪:‬‬

‫الجواب‬ ‫السؤال‬ ‫الرقم‬

‫يتم العمل حاليا على إعداد سياسات وإجراءات‬ ‫هل يوجد سياسات أمن معلومات مكتوبة في المنظمة؟‬ ‫‪1‬‬
‫ما الجوانب التي تغطيها هذه السياسات؟ (مثال‪ :‬األمن المادي‪ ،‬السياسات األساسية مثل سياسة التغيير وإدارة‬ ‫‪2‬‬
‫الحوادث واالستخدام المقبول واألمن المادي‪،‬‬ ‫إدارة الدخول للموارد‪ ،‬األمن البشري‪)...،‬‬
‫لوحظ عدم وجود بعض السياسات المهمة مثل‬
‫سياسة أمن الموارد البشرية‬
‫كم عددها مصنفة إلى سياسات‪ ،‬إجراءات‪ ،‬دليل عمل‪ ،‬معايير ‪ 18‬مقسمة إلى سياسات وإجراءات‪ -‬ال يوجد‬ ‫‪3‬‬
‫معايير تقنية وأدلة عمل‬ ‫أو غير ذلك؟‬
‫يتم وضعها حاليا ألول مرة‬ ‫هل يتم إجراء مراجعة دورية وتحديث للسياسات؟‬ ‫‪4‬‬
‫هل يتم اعتماد السياسات من قبل اإلدارة العليا للمنظمة بشكل يتم وضعها حاليا ألول مرة‬ ‫‪5‬‬
‫دوري؟‬
‫ال يوجد تعهد رسمي‬ ‫كيف يتعهد الموظفون رسميا بااللتزام بسياسة أمن المعلومات؟‬ ‫‪6‬‬
‫هل يوجد فريق متخصص بمتابعة التعديل والتحديث على فريق تقانة المعلومات نفسه‬ ‫‪7‬‬
‫السياسات الخاصة بأمن المعلومات لتالئم تطور أعمال‬
‫المنظمة؟‬
‫ممن يتكون الفريق المشرف على سياسات أمن المعلومات (عدد فريق تقانة المعلومات نفسه ‪ 11‬موظف إدارة‬ ‫‪8‬‬
‫عامة و‪ 13‬دعم تقني في الفروع (هيكلية‬ ‫موظفين وهيكلية وظيفية)؟‬
‫فريق تقانة المعلومات في ملحق ‪)2‬‬
‫كيف يتم تقديم مدى نضج المنظمة في مستوى أمن المعلومات عن طريق مهام وتقارير تدقيق خارجية‬ ‫‪9‬‬
‫لإلدارة العليا ومجلس اإلدارة ؟‬
‫هل يوجد لجنة توجيهية ألمن المعلومات ‪ Security Steering‬يتم تأسيس لجنة لهذا الغرض حاليا‬ ‫‪10‬‬
‫‪ Committee‬أو أي فريق يقود توجهات أمن المعلومات‬
‫بمستوى عال في المنظمة؟‬
‫هل تضم اللجنة التوجيهية ممثلين من كافة أقسام المنظمة تضم حاليا تقانة المعلومات ورئاسة المنظمة‬ ‫‪11‬‬
‫وقسم التطوير االستراتيجي‬ ‫وأصحاب المصلحة؟‬

‫‪69‬‬
‫في حال عدم وجود لجنة توجيهية ألمن المعلومات‪ ،‬كيف يتم يتم تحديد االحتياجات بشكل سنوي في الشهر‬ ‫‪12‬‬
‫تنسيق احتياجات ونشاطات أمن المعلومات على مستوى التاسع ومناقشتها مع رئاسة المنظمة وقسم‬
‫المنظمة دون حدوث تعارض مع األهداف االستراتيجية التخطيط االستراتيجي وتضمينها ضمن‬
‫ميزانية السنة التالية بعد الموافقة عليها من‬ ‫والتشغيلية لها؟‬
‫الرئاسة‬
‫ما هي اللجان‪/‬الجهات التي تناقش وتعتمد مشاريع وخطط أمن يتم مناقشة المشاريع المخططة ضمن الميزانية‬ ‫‪13‬‬
‫مع المانحين من قبل مدير تقانة المعلومات‬ ‫المعلومات في المنظمة؟‬
‫لتأمين التمويل الالزم لها‪ .‬ال يتم التنفيذ حتى‬
‫يتم الحصول على موافقة على التمويل من‬
‫قبل أحد المانحين‬
‫هل يتم اعتماد وثائق مكتوبة رسمية لتحديد نطاق عمل ومسؤولية ال يوجد حاليا‬ ‫‪14‬‬
‫وميثاق نشاطات أمن المعلومات (أي صيغة تفاهم مع اإلدارة‬
‫العليا حول هذه القضايا)؟‬
‫ما هو اإلجراء المعتمد لتطبيق التغييرات ضمن بيئة تكنولوجيا إبالغ إدارة المنظمة عبر البريد اإللكتروني في‬ ‫‪15‬‬
‫حال وجود تأثير محتمل على األعمال بسبب‬ ‫المعلومات (إجراء إدارة التغيير)؟‬
‫التغيير المنفذ‬
‫ما هو اإلجراء المعتمد لالستجابة للحوادث المتعلقة بأمن يوجد خطة إلنشاء موقع استعادة من الكوارث‬ ‫‪16‬‬
‫المعلومات؟‬
‫ما هو اإلجراء المعتمد لإلبالغ ورفع التقارير المتعلقة بأمن حسب الحاجة عن طريق البريد اإللكتروني أو‬ ‫‪17‬‬
‫االجتماعات‬ ‫المعلومات ألصحاب المصلحة واإلدارة العليا ومجلس اإلدارة؟‬
‫ال يوجد‬ ‫هل يوجد خطة موثقة ومعتمدة لالستعادة من الكوارث؟‬ ‫‪18‬‬
‫ال يوجد‬ ‫هل يتم اختبار خطط االستعادة من الكوارث دوريا؟‬ ‫‪19‬‬
‫ما هو اإلجراء المعتمد لمنح صالحيات الوصول واستخدام بريد إلكتروني من قسم الموارد البشرية إلنشاء‬ ‫‪20‬‬
‫الموارد التقنية للموظفين (إدارة الصالحيات والوصول للموارد الحساب وبريد آخر من إدارة الموظف لمنح‬
‫الصالحيات المطلوبة ‪ -‬ال يوجد نظام إدارة‬ ‫التقنية)؟‬
‫صالحيات‬
‫كيف يتم تقييم نجاح‪/‬فشل نشاطات ومشاريع أمن المعلومات من قبل فريق تقانة المعلومات‬ ‫‪21‬‬
‫والعائد منها؟‬
‫هل يتم وضع خطط استراتيجية لتنفيذ نشاطات أو مشاريع متعلقة يتم وضع الخطط بشكل سنوي لتأمين تمويل‬ ‫‪22‬‬
‫بأمن معلومات لعدة سنوات مقبلة بشكل مرتبط بخطط المنظمة من المانحين ‪ -‬ال يوجد خطط لعدة سنوات‬
‫ككل؟‬
‫كيف تحصل مثل هذه الخطط على الدعم الالزم من اإلدارة موافقة من اإلدارة ‪ -‬تأمين تمويل من المانحين‬ ‫‪23‬‬
‫– تنفيذ‬ ‫واألطراف ذات العالقة لتحويلها إلى واقع؟‬
‫هل يوجد سياسة خاصة باالستخدام المقبول للموارد التقنية من قيد اإلعداد حاليا‬ ‫‪24‬‬
‫قبل المستخدم النهائي؟‬

‫‪70‬‬
‫هل يوجد سياسة معتمدة تضمن تطبيق أفضل المعايير ال يوجد ‪ -‬يتم تطبيق المعايير وفق االجتهاد‬ ‫‪25‬‬
‫الشخصي لكل موظف‬ ‫والممارسات واإلعدادات اآلمنة على األنظمة التقنية المختلفة؟‬
‫تحليل النتائج‪:‬‬

‫من الواضح وجود ضعف في حوكمة أمن المعلومات في المنظمة واعتمادها في األغلب على مبدأ‬
‫التنفيذ عند الحاجة أو عند الطلب بشكل عام مع وجود بعض االستثناءات‪ .‬لذلك فمن المالحظ أن‬
‫درجة نضج الحوكمة منخفضة حيث أن النشاطات المتعلقة بحوكمة أمن المعلومات في المنظمة هي‬
‫عشوائية وغير منتظمة عموما‪.‬‬

‫وعليه فالنقاط األساسية التي يجب تداركها لتحسين واقع المنظمة من حيث حوكمة أمن المعلومات‬
‫هي‪:‬‬

‫• تشكيل سياسات وإجراءات ومعايير تغطي كافة الجوانب المهمة ألمن المعلومات ومراجعتها‬
‫واعتمادها بشكل دوري من قبل فريق متخصص‬
‫• تعهد كافة الوظفين بااللتزام بهذه السياسات بعد اطالعهم عليها وفهمهم لها‬
‫• إنشاء لجنة توجيهية على مستوى اإلدارة العليا وممثلين من قبل أصحاب المصلحة تهدف لإلشراف‬
‫ومتابعة نشاطات أمن المعلومات وتخطط لها‬
‫• إعداد ميثاق خاص بأمن المعلومات يحدد نطاق عمل ومسؤولية فريق أمن المعلومات واعتماده‬
‫من قبل اإلدارة‬
‫• التركيز على خطط االستعادة من الكوراث واستم اررية العمل‬
‫• وضع خطط استراتيجية لعدة سنوات متعلقة بمشاريع ونشاطات أمن المعلومات ضمن برنامج‬
‫متكامل‬

‫‪ .2.3.3‬إدارة مخاطر أمن المعلومات‬

‫النتــائج (جدول (‪ :)4‬نتائج استبيان أسئلة إدارة مخاطر أمن المعلومات)‪:‬‬

‫الجواب‬ ‫السؤال‬ ‫الرقم‬

‫ما التأثير المتوقع من حصول حادثة تسريب‪ /‬سرقة بيانات تأثير على سمعة المنظمة‪ ،‬وقف تمويل من‬ ‫‪1‬‬
‫قبل الجهات المانحة‪ ،‬معاقبة الموظفين‬ ‫حساسة لخارج المنظمة؟‬
‫المتسببين‪ ،‬قد يتم رفع دعوى قضائية‬
‫للتعويض من قبل المتضررين‬
‫ما التأثير المتوقع من حصول حادثة ضياع‪ /‬فقدان بيانات تأثير على سمعة المنظمة‪ ،‬جهد ووقت كبيرين‬ ‫‪2‬‬
‫إلعادة جمع البيانات (كلفة)‬ ‫حساسة؟‬

‫‪71‬‬
 ‫ما التأثير المتوقع من حصول حادثة تالعب‪ /‬تعديل غير مشروع قد يؤدي التالعب إلى حدوث خسارة مالية‬ ‫‪3‬‬
‫تأثير على سمعة المنظمة‬ ‫ببيانات حساسة؟‬
‫ما التأثير المتوقع من حصول حادثة خروج أنظمة تقنية عن توقف جزء كبير من نشاطات وأعمال المنظمة‬ ‫‪4‬‬
‫اإلغاثية والمتعلقة بالدعم الطبي‪ ،‬توقف‬ ‫الخدمة لفترة طويلة نسبيا؟‬
‫التعامالت المالية كصرف الشيكات‬
‫كيف يتم تحديد مستوى مخاطر أمن المعلومات المقبول من قبل عن طريق مهام وتقارير تدقيق خارجية‬ ‫‪5‬‬
‫اإلدارة العليا ومجلس اإلدارة؟‬
‫كيف يتم مراجعة وتسجيل ومتابعة المخاطر المتعلقة بأمن ال يوجد‬ ‫‪6‬‬
‫المعلومات؟‬
‫هل يوجد إجراء معتمد حول إدارة مخاطر أمن وتكنولوجيا ال يوجد‬ ‫‪7‬‬
‫المعلومات؟‬
‫هل يوجد فريق متخصص بمتابعة مخاطر أمن وتكنولوجيا ال يوجد‬ ‫‪8‬‬
‫المعلومات (العدد والهيكلية والدور الذي يلعبه في حال وجوده)؟‬
‫كيف تنظم العالقة مع الموردين الخارجيين الذين يقدمون خدمات عن طريق توقيع عقود رسمية واتفاقيات‬ ‫‪9‬‬
‫متعلقة باألنظمة المعلوماتية (توريد أو دعم فني أو تشغيل أو مستوى خدمة ‪Service Level‬‬
‫)‪Agreement (SLA‬‬ ‫إدارة أنظمة أو غيرها من الخدمات الخارجية)؟‬
‫كيف يتم تنظيم العالقة مع الموردين الذين تقوم المنظمة بتعهيد عن طريق االستعانة بجهة خارجية لمراجعة‬ ‫‪10‬‬
‫وظائف تكنولوجيا المعلومات لهم أو استضافة بيانات أو أنظمة وتدقيق ضوابط أمن المعلومات‬
‫تقنية لديهم في حال وجودهم؟‬
‫كيف يتم اكتشاف وتصحيح الثغرات األمنية ضمن األنظمة ال يوجد طريقة متبعة حاليا‬ ‫‪11‬‬
‫المعلوماتية؟‬
‫كيف يتم التعامل مع نتائج نشاطات التدقيق أو فحص االختراق يتم العمل على تصحيحها وإغالقها حسب‬ ‫‪12‬‬
‫درجة خطورتها‬ ‫الذي تنفذه أطراف خارجية مستقلة؟‬
‫كيف يتم التعامل مع المخاطر التي تتجاوز المستوى المقبول أو يتم إعالم إدارة المنظمة عبر البريد اإللكتروني‬ ‫‪13‬‬
‫تنتهك سياسات أمن المعلومات المعتمدة؟‬
‫تحليل النتائج‪:‬‬

‫يولي فريق المنظمة اهتماما مقبوال تجاه مخاطر أمن المعلومات رغم أن ذلك يجري بطريقة غير‬
‫منظمة بالقدر الكافي‪ .‬ومن الواضح أن لحوادث أمن المعلومات (في حال وقوعها) تأثير بالغ الخطورة‬
‫على مصالح المنظمة وأعمالها ما قد يطال جوانب مالية وقانونية (قضائية) باإلضافة ألثرها المباشر‬
‫على سمعة المنظمة ومكانتها خاصة أمام المستفيدين والمانحين‪.‬‬

‫لتحسين وضع المنظمة في هذا الجانب ال بد من النظر في األمور اآلتية‪:‬‬

‫• تشكيل إجراء معتمد إلدارة مخاطر أمن المعلومات ومراجعته واعتماده بشكل دوري‪.‬‬

‫‪72‬‬
 ‫• إسناد مهام إدارة مخاطر أمن المعلومات إلى فريق متخصص بإدارة هذه األنواع من المخاطر‬
‫يقوم بالمتابعة والبحث واكتشاف أية مخاطر جديدة تتعرض لها المنظمة‪.‬‬
‫• االحتفاظ بسجل يحوي كافة مخاطر أمن المعلومات المكتشفة التي تهدد المنظمة ودرجة خطورة‬
‫كل منها ومراجعته وتحديثه باستمرار‪.‬‬
‫• التركيز على المخاطر ذات التأثير األعلى كالمخاطر المتعلقة بالعمل مع موردين خارجيين وإدارة‬
‫ثغرات أمن المعلومات ضمن األنظمة التقنية أو غيرها من المخاطر التي تعتبرها المنظمة ذات‬
‫تأثير كبير على أداء نشاطاتها‪.‬‬
‫• إبقاء إدارة المنظمة العليا واللجنة التوجيهية ألمن المعلومات على اطالع دائم على مخاطر أمن‬
‫المعلومات التي تهدد المنظمة والطرق المتبعة في التعامل معها‪.‬‬

‫‪ .3.3.3‬موارد أمن المعلومات‬

‫النتــائج (جدول (‪ :)5‬نتائج استبيان أسئلة موارد أمن المعلومات)‪:‬‬

‫الجواب‬ ‫السؤال‬ ‫الرقم‬

‫هل يوجد فريق متخصص بأمن المعلومات في المنظمة أم تسند ال يوجد فريق مختص‪ ،‬يقوم فريق تقانة‬ ‫‪1‬‬
‫المعلومات بمهام فريق أمن المعلومات‬ ‫مهام أمن المعلومات لموظفين لهم أدوار أخرى؟‬
‫مراجعة حسابات المستخدمين بشكل أساسي‬ ‫ما األدوار الوظيفية التي يمارسها فريق أمن المعلومات؟‬ ‫‪2‬‬
‫هل يوجد توصيف وظيفي مكتوب لكل دور وماذا يتضمن في ال يوجد‬ ‫‪3‬‬
‫حال وجوده؟‬
‫هل يتبع فريق أمن المعلومات تنظيميا إلدارة التكنولوجيا أو أي نفس موظفي قسم تقانة المعلومات‬ ‫‪4‬‬
‫إدارة تشغيلية أخرى؟‬
‫هل يوجد تصنيف ألنظمة تقانة المعلومات والبيانات حسب نعم يوجد تصنيف لتمييز األصول المهمة‬ ‫‪5‬‬
‫بالنسبة للمنظمة‬ ‫أهميتها ألعمال المنظمة؟‬
‫هل هناك تحديد ملكية واضح ورسمي لألصول التقنية نعم يوجد تحديد ملكية لألصول التقنية‬ ‫‪6‬‬
‫والمعلومات‬ ‫والمعلومات ضمن المنظمة؟‬
‫هل تستثمر المنظمة حاليا أيا من أنظمة‪/‬ضوابط أمن‬ ‫‪7‬‬
‫المعلومات التالية‪:‬‬
‫‪ Endpoint security‬نعم‬
‫‪ Firewalls‬نعم‬
‫‪ Intrusion detection/preventing systems‬ضمن وظائف الجدار الناري نفسه‬
‫)‪ Data encryption (at rest in transit and in use‬نعم‬
‫‪ Multi factor authentication‬ال‬
‫‪ VPN for remote access‬نعم‬

‫‪73‬‬
 ‫‪ Security information and event management‬يوجد خطة للحصول على ‪SIEM‬‬
‫‪ system‬قريبا‬ ‫‪SIEM‬‬
‫‪ Vulnerability scanning and penetration testing‬يتم الحصول عليها كخدمة من قبل جهة‬
‫‪ tools‬خارجية‬
‫‪ Data leak prevention DLP‬ال‬
‫‪ Identity and access management systems‬ال‬
‫)‪ Endpoint Detection and Response (EDR‬ال‬
‫‪ Email Security Gateway‬نعم‬
‫)‪ Web Application Firewall (WAF‬تحت التطبيق حاليا‬
‫‪ Proxy Server‬تحت التطبيق حاليا‬
‫)‪ Privileged Access Management (PAM‬ال‬
‫)‪ Network Access Control (NAC‬ال‬
‫‪ Physical access controls‬نعم ‪ -‬جهاز بصمة للدخول وكاميرات مراقبة‬
‫هل يوجد ميزانية سنوية معتمدة مستقلة ومخصصة لتنفيذ خطط نعم يوجد ميزانية سنوية معتمدة لكنها مشروطة‬ ‫‪8‬‬
‫بموافقة المانحين على التمويل‬ ‫مشاريع ونشاطات متعلقة بأمن المعلومات؟‬
‫ما اآللية أو اإلجراء المتبع لتحديد ميزانية أمن المعلومات السنوية يتم إعداد الميزانية خالل آخر ‪ 3‬أشهر من كل‬ ‫‪9‬‬
‫سنة ميالدية ويتم التنفيذ حسب توافر التمويل‬ ‫والموافقة عليها؟‬
‫من قبل الجهات المانحة‬
‫ما درجة صعوبة إقناع إدارة المنظمة بتمويل مشاريع ونشاطات إدارة داعمة تقتنع بضرورة الحصول على‬ ‫‪10‬‬
‫التمويل الالزم لتنفيذ مشاريع أمن المعلومات‬ ‫أمن المعلومات؟‬
‫هل يتم تحديد التمويل الالزم وفق خطط استرتيجية متفق عليها بشكل منفرد بالتنسيق مع قسم التطوير‬ ‫‪11‬‬
‫مع اإلدارة أو بشكل منفرد لكل نشاط أو مشروع حسب الحاجة االستراتيجي في المنظمة‬
‫أو استجابة لمتطلبات آنية؟‬
‫ما العوامل التي تؤثر على قبول أو رفض مشاريع أو نشاطات توافر التمويل الالزم‪ ،‬العقوبات والحظر‬ ‫‪12‬‬
‫أمن المعلومات من قبل اإلدارة العليا أو اللجنة المختصة؟ الرجاء المفروض على سوريا‬
‫ترتيبها وفق األهمية‬
‫تحليل النتائج‪:‬‬

‫تشير الهيكلية اإلدارية ومهام أمن المعلومات الموكلة لموظفي قسم تقنية المعلومات الذين ينفذون‬
‫مهام متعلقة بأمن المعلومات باإلضافة لمهامهم التشغيلية أن أدوار أمن المعلومات ال تزال ثانوية‬
‫وهامشية ضمن المنظمة وهي عرضة لتضارب كبير في المصالح ألنه عادة ما تكون لفريق أمن‬
‫المعلومات دور رقابي على نشاطات تقانة المعلومات ضمن أي منظمة‪.‬‬

‫ومن الجانب التقني تمتلك المنظمة بعض أنظمة أمن المعلومات المهمة إال أنها بحاجة لتوفير التمويل‬
‫الالزم لبعض األنظمة الضرورية األخرى ضمن خطة زمنية تراعي األهمية‪.‬‬
‫‪74‬‬
 ‫فيما يلي النقاط التي يجب التركيز عليها لتحسين وضع المنظمة فيما يتعلق بموارد أمن المعلومات‪:‬‬

‫• توظيف فريق مختص لمتابعة مشاريع ونشاطات أمن المعلومات وعادة ما يعتبر قسم أمن‬
‫المعلومات على أنه من الوظائف التنظيمية وقدرته على العمل بشكل فعال يتعارض مع كونه‬
‫تابعا لوظائف من المفترض أن يكون رقيبا عليها لذلك يوصى بأن يكون قسم أمن المعلومات‬
‫مستقل عن الوظائف التي تتعارض مع أداء نشاطه بفعالية‪.‬‬
‫• إنشاء أدوار وتوصيف وظيفي واضح لقسم أمن المعلومات‬
‫• إطالق مشاريع لتوريد وتركيب أنظمة أمن المعلومات التالية‪:‬‬
‫‪Multi factor authentication -‬‬
‫‪SIEM -‬‬
‫‪Vulnerability scanning and penetration testing tools -‬‬
‫‪Data leak prevention DLP -‬‬
‫‪Identity and access management systems -‬‬
‫‪Endpoint Detection and Response (EDR) -‬‬
‫‪Privileged Access Management (PAM) -‬‬
‫‪Network Access Control (NAC) -‬‬
‫• وضع خطة استراتيجية لعدة سنوات وأخذ موافقة إدارة المنظمة واللجنة التوجيهية للحصول على‬
‫الموارد الالزمة لبرنامج أمن المعلومات المقترح وتسهيل تمويلها‪.‬‬

‫‪ .4.3.3‬االمتثال وااللتزام‬
‫النتــائج (جدول (‪ :)6‬نتائج استبيان أسئلة االمتثال وااللتزام)‪:‬‬

‫الجواب‬ ‫السؤال‬ ‫الرقم‬

‫هل تم تنفيذ فحص اختراق لألنظمة التقنية خالل آخر ‪ 12‬شهر لم يتم تنفيذ فحص اختراق لألنظمة التقنية‬ ‫‪1‬‬
‫خالل الفترة األخيرة‬ ‫وما تقييمكم للنتائج في حال وجودها؟‬
‫هل يتم تنفيذ فحص االختراق لألنظمة التقنية بشكل دوري أم يتم التنفيذ عند الطلب فقط‬ ‫‪2‬‬
‫عند الطلب فقط؟‬
‫ما المستويات التي يتم تنفيذ فحص االختراق لألنظمة التقنية لم يتم تنفيذ أي فحص اختراق مؤخ ار‬ ‫‪3‬‬
‫عليها ؟ (مثال‪ :‬داخلي ‪ -‬خارجي ‪ -‬السلكي ‪ -‬تطبيقات ‪)...‬‬
‫هل يتم تنفيذ فحص االختراق لألنظمة التقنية من قبل جهة لم يتم تنفيذ أي فحص اختراق مؤخ ار‬ ‫‪4‬‬
‫مستقلة أو فريق داخلي؟‬
‫هل تم تنفيذ تدقيق على أنظمة المعلومات خالل آخر ‪ 12‬شهر نعم ‪ -‬يوجد عدد كبير من التوصيات التي يتم‬ ‫‪5‬‬
‫العمل على تحقيقها تتلخص بوضع سياسات‬ ‫وما تقييمكم لنتائج آخر تدقيق في حال وجودها؟‬

‫‪75‬‬
‫وإجراءات‪ ،‬إغالق الثغرات التي ظهرت عند‬
‫مسح األنظمة التقنية وتطبيق برنامج ‪SIEM‬‬
‫هل يتم تنفيذ تدقيق على أنظمة المعلومات دوريا أم عند الطلب يتم التنفيذ بشكل دوري كجزء من التدقيق‬ ‫‪6‬‬
‫المالي للمنظمة‬ ‫فقط؟‬
‫هل يتم تنفيذ تدقيق على أنظمة المعلومات من قبل جهة مستقلة من قبل جهة خارجية مستقلة‬ ‫‪7‬‬
‫خارجية أو فريق داخلي ضمن المنظمة؟‬
‫هل يوجد فريق تدقيق تكنولوجيا معلومات داخلي متخصص ال يوجد فريق تدقيق تكنولوجيا معلومات‬ ‫‪8‬‬
‫داخلي‬ ‫ضمن المنظمة؟‬
‫ما الدور الذي يلعبه فريق التدقيق الداخلي في التحقق من االلتزام ال يوجد فريق تدقيق تكنولوجيا معلومات‬ ‫‪9‬‬
‫داخلي‬ ‫بالسياسات الخاصة بأمن المعلومات في المنظمة؟‬
‫كيف يتم إجراء مراجعات لحسابات المستخدمين على أنظمة بشكل دوري من قبل فريق تقانة المعلومات‬ ‫‪10‬‬
‫تقانة المعلومات؟‬
‫هل يتم إجراء مراجعات لحسابات المستخدمين على أنظمة تقانة بشكل دوري من قبل فريق تقانة المعلومات‬ ‫‪11‬‬
‫وكذلك عند الحاجة‬ ‫المعلومات بشكل دوري أم عند الحاجة فقط؟‬
‫تتم من قبل فريق تقانة المعلومات‬ ‫كيف يتم إجراء مراجعات إعدادات األنظمة التقنية؟‬ ‫‪12‬‬
‫هل يتم إجراء مراجعات إعدادات األنظمة التقنية بشكل دوري أم عند الحاجة فقط‬ ‫‪13‬‬
‫عند الحاجة فقط؟‬
‫ال يوجد طرق محددة للتحقق من ذلك حاليا‬ ‫ما الطرق المتبعة للتحقق من االلتزام بالسياسات الموضوعة؟‬ ‫‪14‬‬
‫ما الجهود التي تبذل في سبيل نشر ثقافة أمن معلومات لدى ال يوجد جهود مركزة على ذلك حاليا‬ ‫‪15‬‬
‫كل الموظفين على مستوى المنظمة؟‬
‫كيف يتم ضمان التزام الموظفين الجدد بسياسات أمن يتم حاليا وضع برنامج تدريب متعلق بأمن‬ ‫‪16‬‬
‫المعلومات للموظفين الجدد‬ ‫المعلومات؟‬
‫هل يتم إبالغ الفريق المسؤول عن أمن المعلومات بحاالت عادة يتم اإلبالغ من قبل المستخدمين‬ ‫‪17‬‬
‫النهائيين عند وجود أي شك‬ ‫خروقات مشتبهة من قبل المستخدمين النهائيين؟‬
‫ما عدد إبالغات المستخدمين النهائيين عن حاالت متعلقة بأمن حوالي ‪12‬‬ ‫‪18‬‬
‫المعلومات خالل النصف األول من السنة الحالية؟‬
‫كيف يطلع الموظفون على سياسات أمن المعلومات في يتم التخطيط لذلك عند جهوزية السياسات‬ ‫‪19‬‬
‫المنظمة؟‬
‫ما هي نشاطات التدريب الداخلية أو الخارجية المنفذة للموظفين تدريب لكل موظفين اإلدارة العامة خالل‬ ‫‪20‬‬
‫حول أمن المعلومات؟ هل يشمل التدريب المتعلق بأمن النصف األول من السنة الحالية على معايير‬
‫المعلومات فئة معينة من الموظفين أم يغطي كافة موظفي أمن المعلومات ‪ ،ISO27001‬وتدريب‬
‫خاص متقدم لفريق تقنية المعلومات‬ ‫المنظمة؟‬
‫يتم حاليا البدء بتطبيقها من خالل السياسات‬ ‫هل يوجد أية معايير متبعة في سياسات أمن المعلومات (مثال‬ ‫‪21‬‬
‫التي يجري وضعها‬ ‫‪)ISO 27001‬‬

‫‪76‬‬
 ‫هل يتم االحتفاظ بنسخ احتياطية من البيانات الحساسة في مكان ال يتم حاليا‬ ‫‪22‬‬
‫آمن وخارج مركز المعلومات بشكل دوري؟‬
‫ما الطرق المتبعة لتقييم ومراجعة التقدم أو التطور في مشاريع تقييم شخصي من قبل فريق تقانة المعلومات‬ ‫‪23‬‬
‫ونشاطات أمن المعلومات في المنظمة؟‬
‫هل يتم مشاركة اإلدارة العليا وأصحاب المصلحة بتطور مشاريع نعم يتم ذلك‬ ‫‪24‬‬
‫ونشاطات أمن المعلومات دوريا؟‬
‫ما آلية التواصل المتبعة لمشاركة المعلومات المتعلقة بتطور عن طريق البريد اإللكتروني أو االجتماعات‬ ‫‪25‬‬
‫مشاريع ونشاطات أمن المعلومات مع اإلدارة العليا وأصحاب عند الضرورة‬
‫المصلحة داخل المنظمة؟‬
‫تحليل النتائج‪:‬‬

‫يتبين من خالل اإلجابات على االستبيان وجود محدودية في االلتزام واالمتثال للسياسات واإلجراءات‬
‫والمعايير وذلك بسبب عدم وجود نسخ نهائية معتمدة ومطبقة من هذه السياسات من جهة وضعف‬
‫في الوعي العام لدى موظفي المنظمة تجاه مخاطر أمن المعلومات وكيفية التعامل معها‪.‬‬

‫لتحسين وضع االلتزام واالمتثال ضمن المنظمة من الضروري أن يتم تحقيق ما يلي‪:‬‬

‫• االنتهاء بالسرعة القصوى من إعداد السياسات واإلجراءات والمعايير واعتمادها (يفضل أن تكون‬
‫مبنية على معايير معتمدة عالميا وفق أفضل الممارسات) وشرح ما يلزم منها للموظفين حسب‬
‫احتياجات كل موقع وظيفي وتوقيع كل موظف على تعهد بالتزامه بهذه السياسات‪.‬‬
‫• وضع خطة دورية لتنفيذ عمليات تقييم أمن المعلومات من قبل جهة مستقلة بما في ذلك المراجعات‬
‫الداخلية المتنوعة (مثل مراجعة حسابات المستخدمين وإعدادات األنظمة ‪ ،)..‬فحوصات االختراق‪،‬‬
‫تدقيق أنظمة المعلومات وغيرها من النشاطات التي تعزز االمتثال وااللتزام بالسياسات والمعايير‬
‫المعتمدة‪.‬‬
‫• إنشاء برنامج توعية مستمر يسعى لنشر ثقافة أمن المعلومات على مستوى المنظمة ككل وفق‬
‫مبدأ (أمن المعلومات هو مسؤولية الجميع في المنظمة)‪ ،‬ويمكن أن يتم ذلك بطرق متنوعة‬
‫كجلسات التدريب ورسائل التوعية وغيرها‪ .‬يجب أن يتضمن هذا البرنامج جزء خاص بالموظفين‬
‫الجدد لرفع سوية الوعي تجاه أمن المعلومات لديهم بما يتماشى مع السياسات المعتمدة‪.‬‬
‫• إبقاء إدارة المنظمة واللجنة التوجيهية ألمن المعلومات على اطالع دائم بنشاطات ومشاريع أمن‬
‫المعلومات المتعلقة بتعزيز االلتزام واالمتثال‪.‬‬

‫‪77‬‬
 ‫‪ .4.3‬نتائج الدراسات‬
‫بناء على ما تقدم توجب وضع الدراسات التالية لتطبيق برنامج أمن معلومات فعال ضمن المنظمة‬
‫ينقلها من الوضع الراهن إلى الوضع المستقبلي المنشود لمستوى أفضل من أمن المعلومات‪:‬‬

‫‪ .1.4.3‬الدراسة التسويقية‬
‫تتعلق احتمالية رفض اقتراح االستثمار في أمن المعلومات في مرحلة اتخاذ القرار بأساليب وقدرات‬
‫المنظمة على تحديد ومناقشة هذا االقتراح‪ ،‬ومستوى المعرفة حول أمن المعلومات لدى اإلدارة‪ .‬لذلك‬
‫فمن المهم تسويق نشاطات ومشاريع أمن المعلومات بالشكل األمثل أمام متخذي القرار والمانحين‬
‫للحصول على دعمهم المستمر لهذه النشاطات‪.‬‬

‫من المهم زيادة الوعي لدى اإلدارة بأهمية تبني برنامج أمن المعلومات عن طريق التواصل المستمر‬
‫مع متخذي القرار وتزويدهم بكل ما هو جديد عالميا فيما يتعلق بتطورات ومخاطر أمن المعلومات‪.‬‬
‫فعلى سبيل المثال يمكن طرح بعض من االحصائيات المنشورة رسميا من قبل بعض المؤسسات‬
‫والجهات المختصة دوليا كاإلشارة إلى أن خسائر العالم من جرائم اإلنترنت المسجلة خالل عام‬
‫‪ 2021‬بلغت ‪ 6,9‬مليار دوالر أمريكي‪ ،‬وأن الجرائم المالية اإللكترونية قفزت بنسبة ‪ %64‬في‬
‫‪ ،2021‬وأن متوسط الوقت الالزم لتحديد الخرق واحتوائه هو ‪ 287‬يوم‪ ،‬وغيرها العديد من األمثلة‬
‫التي تدعم موقف اإلدارة في تبنيها لبرامج أمن المعلومات‪ .‬ومن جانب آخر‪ ،‬فقد بلغ متوسط كلفة‬
‫حوادث تسريب البيانات على المؤسسات في سنة ‪( 2021‬وفق تقرير ‪Cost of a Data Breach‬‬
‫‪ 4,24 )Report 2021 - IBM‬مليون دوالر أمريكي‪ ،‬كما أن متوسط كلفة حوادث فقدان بيانات‬
‫المؤسسات في سنة ‪ 2021‬عن طريق اإلصابة بفايروس الفدية فقط (وفق نفس التقرير) هو ‪4,62‬‬
‫مليون دوالر أمريكي‪ .‬فإذا اتخذنا من هذه األرقام قيما مرجعية فسوف نالحظ أن وقوع حادثة واحدة‬
‫من هذا النوع سيكلف المنظمة ما يقارب ثالثة أضعاف الكلف التقديرية التي تم وضعها لتمويل‬
‫برنامج أمن المعلومات المقترح تطبيقه على مدى أربع سنوات‪.‬‬

‫لذلك فما ينبغي االهتمام بتنفيذه وتحويله إلى واقع في اإلطار التسويقي يتضمن‪:‬‬

‫• تشكيل سياسات وإجراءات ومعايير‪:‬‬

‫تعتبر سياسات أمن المعلومات المعتمدة في المنظمة الهيكل األساسي لبنية برنامج أمن المعلومات‬
‫ويتم بناء كل المشاريع والنشاطات المختلفة عليها‪ .‬كما أنها تساعد في إيضاح وإبراز تبني اإلدارة‬

‫‪78‬‬
‫العليا لنشاطات أمن المعلومات على مستوى المنظمة ككل وهذا سيساهم حتما بتسهيل مهام‬
‫الفريق المسؤول عن تطبيق وتنفيذ وفرض سياسات ونشاطات أمن المعلومات ضمن المنظمة‪.‬‬
‫تقوم المنظمة حاليا بإنشاء عدد من السياسات واإلجراءات بمساعدة جهة خارجية متعاقد معها‬
‫إلنجاز ذلك ومن ثم اعتمادها والبدء بتطبيقها‪ ،‬حيث يتطلب ذلك جهود مستمرة لمراجعة وتعديل‬
‫واعتماد هذه السياسات دوريا وإضافة ما يلزم منها مستقبال للحصول على إطار حوكمة متكامل‬
‫ضمن المنظمة‪ .‬لذلك فقد تم إضافة كلف تقديرية سنوية لتغطية مثل هذه الخدمات ضمن الدراسة‬
‫المالية‪.‬‬
‫• توقيع تعهد كافة الموظفين بااللتزام بهذه السياسات‪:‬‬
‫عادة ما يتم ذلك من خالل التنسيق مع قسم الموارد البشرية إلضافة هذا الضابط وتطبيقه على‬
‫كل الموظفين العاملين ضمن المنظمة وحتى على بعض الجهات الخارجية التي توفد موظفيها‬
‫للعمل ضمن بيئة المنظمة التقنية وفق عقود محددة‪ .‬يساعد ذلك المنظمة في جانبين‪ :‬األول هو‬
‫الجانب القانوني حيث يمكنها ذلك من محاسبة أي منتهكين لسياساتها المعتمدة من الموظفين‬
‫ومواجهة ذلك قضائيا عند اللزوم‪ ،‬والثاني هو تحفيزي يساعد في تحريض الموظفين على االطالع‬
‫على سياسات المنظمة المعتمدة وفهمها وااللتزام بها‪ ،‬ونشر الثقافة التي تسوﱢق إلى أن أمن‬
‫المعلومات هو مسؤولية كل العاملين ضمن المنظمة وليس جزء منهم فقط‪ ،‬وهو ما يمكن اعتباره‬
‫جانب تسويقي لنشاطات برنامج أمن المعلومات على مستوى كافة الموظفين يدفعهم لرفع درجة‬
‫وعيهم األمني تجاه تلك النشاطات والمساهمة الفعالة فيها‪.‬‬
‫• إنشاء لجنة توجيهية ألمن المعلومات وإعداد ميثاق خاص بأمن المعلومات‪:‬‬
‫وجود ميثاق مكتوب ومتفق عليه مع إدارة المنظمة واللجنة التوجيهية لتحديد نطاق عمل ونشاطات‬
‫فريق أمن المعلومات ضمن المنظمة يساهم بشكل جدي في تنظيم تلك النشاطات ومنح الفريق‬
‫المختص الصالحيات الضرورية لفرض السياسات عند اللزوم‪ .‬ويساعد ذلك أيضا في إظهار‬
‫اهتمام اإلدارة وتبنيها لتلك النشاطات وهو بحد ذاته ما يعتبر جانب تسويقي هام تجاه كافة‬
‫العاملين ضمن المنظمة باإلضافة إلى أنه يضمن التوافق االستراتيجي ما بين نشاطات أمن‬
‫المعلومات من جهة وأهداف المنظمة وخططها من جهة أخرى وذلك من خالل مناقشة كل ما‬
‫يتعلق بأمن المعلومات ضمن اجتماعات اللجنة التوجيهية وأخذ مالحظات كافة األطراف ذات‬
‫العالقة عليها بعين االعتبار‪.‬‬

‫‪79‬‬
 ‫• وضع خطط استراتيجية لعدة سنوات‪:‬‬
‫باإلضافة للجانب التنظيمي لوضع خطط استراتيجية طويلة األمد تغطي كل فترة تطبيق البرنامج‪،‬‬
‫فإن ذلك من جهة ثانية يساعد في تسويق نشاطات ومشاريع أمن المعلومات أمام الجهات المانحة‬
‫صاحبة القرار بالتمويل ويعطي اإلنطباع الثابت بأن المنظمة تسير باتجاه واضح ضمن الخطط‬
‫المرافقة لبرنامج أمن المعلومات مما يسهل الحصول على موافقات التمويل على عدة سنوات‬
‫متالحقة‪.‬‬
‫• وضع هيكلية وتوصيف وظيفي واضح لوظائف أمن المعلومات‪:‬‬
‫باإلضافة لدعمه الجانب اإلداري والتنظيمي‪ ،‬يساهم ذلك في إسناد المسؤوليات بشكل واضح‬
‫لعناصر الفريق المكلف بمتابعة نشاطات أمن المعلومات وفق الدور المسند لكل منهم ومحاسبتهم‬
‫الحقا وفق مصفوفة تقييم أداء متفق عليها معهم بشكل مسبق مما يمنح هؤالء رؤية واضحة‬
‫للمهام الموكلة إليهم وطرق تقييم نتائجها‪.‬‬
‫• توعية‪ ،‬تدريب وتأهيل‪:‬‬
‫حتى اآلن يعتبر العامل البشري الحلقة األضعف ضمن سلسلة ضوابط أمن المعلومات لذلك فإن‬
‫وضع خطط تدريب مستمر على مستويين األول يشمل كافة موظفي المنظمة بهدف نشر الثقافة‬
‫الجديدة ورفع الوعي األمني لديهم والثاني للموظفين التقنيين المختصين بهدف رفع مهاراتهم‬
‫وتمكينهم من مواكبة كل جديد في مجال عملهم‪ .‬لقد تم إضافة ميزانية سنوية مخصصة للتدريب‬
‫ضمن الخطة المالية‪.‬‬

‫‪ .2.4.3‬الدراسة التقنية‬
‫تتضمن الدراسة التقنية لبرنامج أمن المعلومات المقترح للمنظمة ما يلي‪:‬‬
‫• موارد بشرية تقنية ‪ -‬توظيف خمسة مهندسي أمن معلومات‪:‬‬
‫سوف يعمل مهندسو أمن المعلومات على تغطية األدوار األساسية التالية ضمن نشاطات برنامج‬
‫أمن المعلومات في المنظمة (يمكن أن يسند للفريق أدوار أخرى ضرورية حسب الحاجة أثناء‬
‫التقدم في تطبيق البرنامج)‪:‬‬
‫‪ .1‬متابعة المهام المتعلقة بحوكمة وإدارة مخاطر أمن المعلومات بما في ذلك المراجعة واالعتماد‬
‫الدوري للسياسات واإلجراءات والمعايير والتحديث المستمر لسجل المخاطر المتعلقة بأمن‬
‫المعلومات‪.‬‬
‫‪ .2‬تشغيل وضبط وتحديث أنظمة أمن المعلومات التقنية المستخدمة ضمن المنظمة والمساهمة‬
‫في تطبيق األنظمة الجديدة المقترحة ضمن البرنامج وتشغيلها‪.‬‬

‫‪80‬‬
 ‫‪ .3‬تعزيز ثقافة أمن المعلومات على مستوى المنظمة ككل من خالل برامج توعية مخططة‬
‫ومدروسة ومستمرة مع التركيز على الموظفين الجدد‪.‬‬
‫‪ .4‬المراقبة المستمرة لمعطيات األنظمة والشبكات المعلوماتية ضمن المنظمة وتحليلها الكتشاف‬
‫أية نشاطات مشبوهة واتخاذ اإلجراءات الالزمة لتفادي أية حوادث أمنية مرتبطة بها قبل‬
‫حدوثها‪.‬‬
‫‪ .5‬المشاركة مع الفرق التقنية المختصة باالستجابة لحوادث أمن المعلومات واستعادة الوضع‬
‫الطبيعي‪.‬‬
‫‪ .6‬تجهيز ورفع تقارير دورية لإلدارات ذات الصلة في المنظمة حول مخاطر أمن المعلومات‬
‫التي تتعرض لها المنظمة ومستوياتها الحالية وطرق وخطط التعامل معها‪.‬‬
‫‪ .7‬تعزيز االمتثال وااللتزام بسياسات أمن المعلومات وأفضل الممارسات المعتمدة من خالل‬
‫تنفيذ المراجعات الدورية المستمرة على أنظمة وعناصر وإعدادات بيئة العمل الفعلية والتأكد‬
‫من تطبيقها بشكل صحيح وآمن‪.‬‬
‫يمكن أن يتم توظيف مهندسي أمن المعلومات المختصين بشكل تدريجي مع التقدم بتطبيق برنامج‬
‫أمن المعلومات وازدياد متطلباته‪ ،‬ومن المقترح أن يتم البدء بتوظيف مهندسين اثنين في كل من‬
‫السنة األولى والثانية من بدء تطبيق البرنامج ومهندس واحد إضافي في السنة الثالثة‪.‬‬
‫سيكون التركيز ضمن السنة األولى على األدوار من ‪ 1‬إلى ‪ 3‬المشار لها أعاله وفي السنة الثانية‬
‫سيتم إضافة بقية األدوار من ‪ 4‬إلى ‪ 7‬تدريجيا مما يتطلب الزيادة المذكورة في الموارد البشرية‬
‫لتلبية متطلبات البرنامج المتصاعدة‪.‬‬

‫• موارد تقنية ‪ -‬توريد أنظمة تقنية‪:‬‬

‫يوجد طيف واسع من األنظمة التقنية التي تساعد في تعزيز أمن المعلومات في المنظمة وتنتقل‬
‫بها إلى موقع استباقي في مواجهة مخاطر حوادث أمن المعلومات ولعل من أهم األنظمة‬
‫الضرورية للمنظمة خالل السنوات األولى من تطبيق برنامج أمن المعلومات ما يلي‪:‬‬

‫‪ Multi factor authentication‬هي طريقة مصادقة إلكترونية يتم فيها السماح للمستخدم بالوصول‬
‫إلى الموارد التقنية فقط بعد تقديمه دليلين أو أكثر من آليات المصادقة‬
‫من طبيعة مختلفة مما يعزز ضبط الوصول للموارد من قبل المصرح‬
‫لهم فقط‪.‬‬
‫‪ SIEM‬برنامج يقوم بتجميع المعلومات األمنية وسجالت األحداث من‬
‫مصادر مختلفة ومتنوعة ضمن البيئة التقنية وتنظيمها وتحليلها‬

‫‪81‬‬
‫واستنتاج تنبيهات األمان في الوقت الفعلي غالبا مما يساعد في‬
‫اكتشاف التهديدات والحوادث األمنية ومعالجتها‪.‬‬
‫‪ Vulnerability scanning tools‬ماسح الثغرات األمنية هو نظام تقني مصمم لمراجعة أنظمة التشغيل‬
‫أو الشبكات أو التطبيقات بحثا عن نقاط ضعف معروفة ضمن هذه‬
‫العناصر التقنية وتصحيحها تفاديا الستغاللها من قبل المخترقين‪.‬‬
‫‪ Data leak prevention DLP‬يكتشف هذا البرنامج عمليات نقل البيانات الحساسة بالنسبة للمنظمة‬
‫ويمنع محاوالت تسريبها للخارج من خالل مراقبة واكتشاف وحظر أية‬
‫عملية مشبوهة أثناء االستخدام والنسخ والتخزين للبيانات‪.‬‬
‫‪ Identity and access‬تسهل أنظمة إدارة الهوية والوصول (‪ )IAM‬إدارة الهويات اإللكترونية‬
‫‪ management systems‬أو الرقمية‪ .‬وتمكن مشرفي تكنولوجيا المعلومات من التحكم في‬
‫وصول المستخدمين إلى المعلومات الحساسة داخل المنظمة‪.‬‬
‫‪ Endpoint Detection and‬هو نظام يقوم بجمع وتحليل المعلومات المتعلقة بالتهديدات األمنية‬
‫)‪ Response (EDR‬من أجهزة الحواسب والطرفيات األخرى‪ ،‬بهدف العثور على أية‬
‫خروقات أمنية فور حدوثها وتسهيل االستجابة السريعة للتهديدات‬
‫المكتشفة أو المحتملة‪.‬‬
‫‪ Privileged Access‬هو نظام ألمن المعلومات تحمي الحسابات ذات صالحيات الوصول‬
‫)‪ Management (PAM‬الخاصة أو ذات القدرات التي تتجاوز المستخدمين العاديين وتحد من‬
‫قدرتها على التخريب أو االستخدام الخاطئ مثل حسابات مدراء‬
‫األنظمة‪.‬‬
‫‪ Network Access Control‬يحظر هذا النظام الوصول من األجهزة الطرفية التي ال تتوافق مع‬
‫)‪ (NAC‬سياسات أمن المنظمة ويضمن بذلك عدم تمكن البرمجيات الخبيثة‬
‫من الدخول إلى الشبكة من جهاز ال ينتمي لشبكة المؤسسة‪.‬‬

‫ونظ ار للتكاليف المرتفعة المرافقة للحصول على مثل هذه األنظمة التقنية وتفاديا للممانعة التي قد‬
‫تنشأ لعدم توف ر التمويل الالزم فقد تم توزيع توريدها على أربع سنوات ميالدية تبدأ منذ إطالق‬
‫برنامج أمن المعلومات المخطط (كما هو موضح تفصيال في فقرة الدراسة المالية الالحقة)‪ ،‬مما‬
‫يساهم في تخفيض الميزانية السنوية المطلوبة لتنفيذ البرنامج ويعزز فرص الحصول على التمويل‬
‫الالزم‪.‬‬

‫‪82‬‬
 ‫• موارد بشرية تقنية إضافية ‪ -‬عقود أمن معلومات خارجية‪:‬‬
‫يتضمن ذلك االستعانة بالخبرات والخدمات الالزمة لتنفيذ مهام برنامج أمن المعلومات المخططة‬
‫من خالل اتفاقيات أو عقود مع مزودي خدمات خارجيين وشركات متخصصة بخدمات أمن‬
‫المعلومات لتقديم ما يلي بشكل دوري أو عند الطلب‪:‬‬
‫‪ -‬الدعم الفني والتقني الضروري لعمل أنظمة أمن المعلومات التقنية‬
‫‪ -‬فحوصات االختراق لألنظمة التقنية‬
‫‪ -‬تدقيق أنظمة المعلومات وتقييم المخاطر‬
‫‪ -‬االستجابة لحوادث أمن المعلومات التي قد تحتاج لتدخل من قبل أشخاص ذوي خبرات غير‬
‫متوفرة ضمن فريق عمل المنظمة‬
‫‪ -‬االستشارات المتعلقة بمواضيع أمن المعلومات‬

‫• إدارة مخاطر ‪ -‬إنشاء مركز استعادة من الكوراث‪:‬‬

‫مركز االستعادة من الكوراث هو مكان مجهز مسبقا يمكن المنظمة من االنتقال إليه مؤقتا بعد‬
‫حادثة أمن معلومات أو كارثة طبيعية أدت لخروج المركز الرئيسي عن العمل‪ .‬ويعتبر هذا الموقع‬
‫عادة أحد األجزاء المهمة من خطة المنظمة الستعادة القدرة على العمل بعد الكوارث أو ما تدعى‬
‫أحيانا بخطة استم اررية األعمال‪.‬‬
‫يتم إنشاء مركز االستعادة من الكوراث هذا بحيث يلبي احتياجات المنظمة األساسية ويضمن‬
‫استم اررية الخدمات واألنظمة التقنية األكثر أهمية بالنسبة لها والتي تؤدي في حال توقفها إلى‬
‫تبعات ال يمكن تجاوزها بسهولة بالنسبة لألعمال في المنظمة‪ .‬ويتم تحديد الخدمات واألنظمة‬
‫التي سيغطيها هذا المركز باالعتماد على االستراتيجية التي تتبناها المنظمة في خطتها لالستعادة‬
‫من الكوارث والتي يتم تطويرها باالعتماد على تحليل أثر الكوراث على األعمال (‪business‬‬
‫‪ )impact analysis‬في المنظمة‪ .‬ومن المهم مراعاة المعايير العالمية عند إنشاء هذا المركز‬
‫كأن يتم اختيار الموقع بدرجة مناسبة من البعد بحيث ال تؤثر نفس الكوارث على الموقعين معا‬
‫مع السماح لفريق العمل بالوصول بيسر لموقع االستعادة‪.‬‬
‫لنتمكن من تقدير الموارد الالزمة إلنشاء مركز استعادة من الكوراث افترضنا أن المنظمة بحاجة‬
‫إلنشاء موقع في محافظة أخرى (تم اقتراح طرطوس أو حمص) وتجهيزه مبدئيا بخمسة مخدمات‬
‫باإلضافة للتجهيزات الشبكية واللوجستية والبرمجيات الالزمة‪.‬‬

‫‪83‬‬
 ‫‪ .3.4.3‬الدراسة المالية‬
‫جدول (‪ :)7‬الدراسة المالية وفق خطة زمنية مقترحة لتطبيق البرنامج ضمن ‪ 4‬سنوات ميالدية‬

‫السنة الرابعة‬ ‫السنة الثالثة‬ ‫السنة الثانية‬ ‫السنة األولى‬

‫مشاريع لتوريد األنظمة‪:‬‬ ‫‪-‬‬ ‫توظيف مهندس أمن معلومات واحد‬ ‫‪-‬‬ ‫توظيف ‪ 2‬مهندس أمن معلومات‬ ‫‪-‬‬ ‫توظيف ‪ 2‬مهندس أمن معلومات‬ ‫‪-‬‬
‫‪• Multi factor authentication‬‬ ‫مشاريع لتوريد األنظمة‪:‬‬ ‫‪-‬‬ ‫تنفيذ مركز االستعادة من الكوراث‬ ‫إعداد دراسة مركز االستعادة من ‪-‬‬ ‫‪-‬‬
‫‪• Privileged Access Management‬‬ ‫‪• Endpoint Detection and Response‬‬ ‫مشاريع لتوريد األنظمة‪:‬‬ ‫‪-‬‬ ‫الكوراث‬
‫)‪(PAM‬‬ ‫)‪(EDR‬‬ ‫‪• Data leak prevention DLP‬‬ ‫مشاريع لتوريد األنظمة‪:‬‬ ‫‪-‬‬
‫تنفيذ تدقيق أنظمة ومراجعة مخاطر‬ ‫‪-‬‬ ‫‪• Vulnerability scanning tools‬‬ ‫تقنيا‬
‫‪• Identity and access management‬‬ ‫‪• SIEM‬‬
‫أمن المعلومات‬ ‫تنفيذ فحص اختراق ومراجعة مخاطر‬ ‫‪-‬‬ ‫‪systems‬‬ ‫)‪• Network Access Control (NAC‬‬
‫أمن المعلومات‬ ‫تنفيذ تدقيق أنظمة ومراجعة مخاطر‬ ‫تنفيذ فحص اختراق ومراجعة مخاطر ‪-‬‬ ‫‪-‬‬
‫أمن المعلومات‬ ‫أمن المعلومات‬
‫مراجعة سياسات وإجراءات ومعايير‬ ‫‪-‬‬ ‫مراجعة سياسات وإجراءات ومعايير‬ ‫‪-‬‬ ‫مراجعة سياسات وإجراءات ومعايير‬ ‫‪-‬‬ ‫تشكيل سياسات وإجراءات ومعايير‬ ‫‪-‬‬
‫توقيع تعهد الموظفين الجدد بااللتزام‬ ‫توقيع تعهد الموظفين الجدد بااللتزام ‪-‬‬ ‫توقيع تعهد الموظفين الجدد بااللتزام ‪-‬‬ ‫توقيع تعهد كافة الموظفين بااللتزام بهذه ‪-‬‬ ‫‪-‬‬
‫بهذه السياسات‬ ‫بهذه السياسات‬ ‫بهذه السياسات‬ ‫السياسات‬
‫حمالت توعية وتأهيل وتدريب‬ ‫‪-‬‬ ‫حمالت توعية وتأهيل وتدريب‬ ‫‪-‬‬ ‫وضع خطة استراتيجية لعدة سنوات‬ ‫‪-‬‬ ‫إنشاء لجنة توجيهية ألمن المعلومات‬ ‫‪-‬‬
‫تسويقيا‬
‫حمالت توعية وتأهيل وتدريب‬ ‫‪-‬‬ ‫إعداد ميثاق خاص بأمن المعلومات‬ ‫‪-‬‬
‫وضع هيكلية وتوصيف وظيفي واضح‬ ‫‪-‬‬
‫لوظائف أمن المعلومات‬
‫حمالت توعية وتأهيل وتدريب‬ ‫‪-‬‬
‫ماليا (كلفة تقديرية‬
‫‪1,510,000,000‬‬ ‫‪1,460,000,000‬‬ ‫‪1,670,000,000‬‬ ‫‪1,424,000,000‬‬ ‫ل‪.‬س) "التفاصيل في‬
‫ملحق ‪"3‬‬

‫‪84‬‬
 ‫قياس العائد االستثماري‪:‬‬

‫من الصعوبة بمكان قياس العائد االستثماري ضمن المنظمات اإلنسانية غير الربحية على عكس‬
‫الحال في المنظمات التجارية الربحية‪ .‬ويمكن في مثل حالة المنظمة اإلنسانية موضوع بحثنا هذا‬
‫تقسيم العائد إلى قسمين أساسيين‪:‬‬

‫• الداخلي‪ :‬يتضمن حساب عائد تطبيق برنامج أمن المعلومات على المستوى الداخلي للموظفين‬
‫ضمن المنظمة وقياس األداء اإلداري حيث أنه من الممكن قياس األبعاد التالية التي يؤدي‬
‫ضبطها إلى زيادة مؤكدة في اإلنتاجية مما سينعكس إيجابا على العائد االجتماعي على االستثمار‬
‫المقدم للمستفيدين‪:‬‬
‫‪ -‬درجة التزام العاملين بمعايير برنامج أمن المعلومات المطبقة‬
‫‪ -‬درجة تحسين جودة الخدمات المقدمة من خالل ضمان استم اررية األعمال وفق األطر‬
‫المطبقة (تقليل عدد حوادث أمن المعلومات)‬
‫‪ -‬تخفيف الوقت الضائع الناتج عن انقطاعات الخدمات نتيجة حوادث أمن المعلومات‬
‫كما يوجد عدد من الفوائد التي ال يمكن قياسها منها ما يأخذ شكل‪ :‬ارتفاع في الروح المعنوية‬
‫وفي مستوى الثقة بالنفس لدى األفراد‪ ،‬وزيادة في مستوى رضاهم عن العمل‪ ،‬وفرص ترقيتهم‬
‫الوظيفية نتيجة التحسن العام في ثقافة ومستوى أمن المعلومات ضمن المنظمة‪.‬‬

‫• الخارجي‪ :‬إن وجود برنامج أمن معلومات محقق ضمن المنظمة ومؤكد من قبل جهات مستقلة‬
‫معتمدة دوليا سوف يزيد بكل تأكيد الثقة التي تمنحها الجهات الممولة للمنظمة نتيجة الضمانات‬
‫المقدمة من قبل المنظمة في الحفاظ على أمن بيانات عمالئها وشركائها وعلى جودة تلك البيانات‬
‫ونزاهتها‪ .‬إن ذلك سينعكس بدون شك على ق اررات التمويل الخارجي وسيساهم بشكل من األشكال‬
‫في زيادة التمويل وتوسيع رقعة الممولين الراغبين بتقديم خدماتهم ضمن مستوى مخاطر مقبول‬
‫لهم تجاه بيانات التمويل وتفاصيله‪.‬‬

‫إن قياس العائد من هذا االستثمار في تطبيق برنامج أمن معلومات ضمن منظمة يمثل مشكلة وقضية‬
‫حرجة لسنوات عديدة كونه يساهم في الفائدة المالية التي تعود على المنظمة في فترة ال يمكن حصرها‬
‫ألن مثل تلك البرامج تتميز باستم ارريتها وعدم تحديدها بنطاق زمني لالستثمار‪ ،‬باإلضافة لصعوبة‬
‫ترجمة وتحويل نتائج االستثمار في برنامج أمن المعلومات إلى أرقام مالية وبشكل خاص ضمن‬
‫المنظمات اإلنسانية غير الربحية‪ ،‬فالعوائد هنا ال يمكن قياسها ماديا أو ترجمة آثارها إلى أرقام مالية‪.‬‬

‫‪85‬‬
‫وبالرغم من وجود نماذج عديدة لقياس العائد من االستثمار في تطبيق برامج ضبط المخاطر المتعلقة‬
‫بأمن المعلومات‪ ،‬وتعدد المناهج التي تهتم بتقييمها وتحديد تأثير ومنافع تلك البرامج على المنظمات‬
‫وعلى أصولها‪ ،‬إال أنه ال يوجد نموذج محدد متفق عليه‪ ،‬هذا ما جعل البحث مستم ار إليجاد إطار‬
‫عام يلم بكل النماذج ويحصر أثر تطبيق برنامج أمن المعلومات إلى درجة كبيرة لتعم الفائدة على‬
‫المنظمات وعلى األفراد والجهات المتعاملة معها‪.‬‬

‫وعليه فمن الممكن‪ ،‬بعد البدء بتطبيق برنامج أمن المعلومات المقترح وبنهاية كل سنة من سنوات‬
‫التطبيق‪ ،‬أن يتم تنفيذ استبيان دوري يتم من خالله مراجعة النشاطات المتعلقة بالبرنامج وقياس مدى‬
‫التقد م في األداء وانعكاساته الداخلية والخارجية على زيادة معدالت االستثمار ودرجة التوافق مع‬
‫أعمال المنظمة التشغيلية وأهدافها االستراتيجية‪.‬‬

‫‪86‬‬
‫النتائج والتوصيات‬

‫‪ .1.4‬النتائج‬

‫‪ .2.4‬التوصيات‬

‫‪87‬‬
 ‫‪ .1.4‬النتائج‬
‫تمخضت عن هذا البحث النتائج التالية‪:‬‬

‫‪ .1‬وجود ضعف واضح في حوكمة أمن المعلومات في المنظمة ودرجة منخفضة من النضج حيث‬
‫أن النشاطات المتعلقة بحوكمة أمن المعلومات في أغلبها عشوائية وغير منتظمة‪.‬‬
‫‪ .2‬يوجد لدى المنظمة اهتماما مقبوال تجاه مخاطر أمن المعلومات رغم أن ذلك يجري بطريقة غير‬
‫منظمة بالقدر الكافي‪.‬‬
‫‪ .3‬لحوادث أمن المعلومات (في حال وقوعها) أثر بالغ الخطورة على مصالح المنظمة وأعمالها ما‬
‫قد يطال جوانب مالية وقانونية (قضائية) باإلضافة ألثرها المباشر على سمعة المنظمة ومكانتها‬
‫خاصة أمام المستفيدين والمانحين‪.‬‬
‫‪ .4‬أدوار وظائف أمن المعلومات ال تزال ثانوية وهامشية ضمن المنظمة وهي عرضة لتضارب كبير‬
‫في المصالح كونها تتم من خالل موظفي قسم تقانة المعلومات حاليا‪.‬‬
‫‪ .5‬تمتلك المنظمة بعض أنظمة أمن المعلومات التقنية المهمة إال أنها بحاجة لتوفير التمويل الالزم‬
‫لبعض األنظمة الضرورية األخرى ضمن خطة زمنية وفق أهميتها‪.‬‬
‫‪ .6‬لدى المنظمة محدودية في االلتزام واالمتثال للسياسات واإلجراءات والمعايير وذلك كنتيجة حتمية‬
‫لضعف الحوكمة والوعي العام لدى موظفي المنظمة بمخاطر أمن المعلومات وكيفية التعامل‬
‫معها‪.‬‬
‫‪ .7‬يوجد لدى إدارة المنظمة بشكل عام ولدى إدارة قسم تقانة المعلومات خاصة رغبة حقيقية بتطوير‬
‫واقع أمن المعلومات في المنظمة واالنتقال به من الوضع الراهن إلى حالة مستقبلية توفر درجة‬
‫متقدمة من النضج األمني بهدف تخفيض مستوى الخطر المتعلق بأمن المعلومات لمستويات‬
‫مقبولة بالنسبة لإلدارة‪.‬‬
‫‪ .8‬يحتاج أصحاب القرار لدى المنظمة إلى مزيد من التوجيه والتوضيح والمعرفة المتعلقة بنشاطات‬
‫ومخاطر أمن المعلومات ليتمكنوا من توفير الدعم الضروري وترتيب أولويات االستثمار في أمن‬
‫المعلومات بدءا باألكثر تأثي ار على مصالح المنظمة وأعمالها‪.‬‬

‫‪88‬‬
 ‫‪ .2.4‬التوصيات‬
‫‪ .1‬يوصي البحث بضرورة بناء برنامج استراتيجي متكامل ألمن المعلومات في المنظمة بأسرع وقت‬
‫ومناقشته واعتماده من قبل إدارة المنظمة ووضع الخطط المالئمة لتمويله وتنفيذه‪.‬‬
‫‪ .2‬يوصي البحث بتأمين الموارد الضرورية لتنفيذ برنامج أمن المعلومات سواء كانت تقنية أو بشرية‬
‫أو مالية‪.‬‬
‫‪ .3‬يحث البحث على تحسين وضع المنظمة المتعلق بحوكمة أمن المعلومات وإدارة المخاطر المتعلقة‬
‫بأمن المعلومات‪.‬‬
‫‪ .4‬يحث البحث على المراجعة الدورية لنشاطات برنامج أمن المعلومات وإجراء التعديالت المالئمة‬
‫عليه بما يضمن دعمه الدائم ألعمال المنظمة التشغيلية وأهدافها االستراتيجية‪.‬‬
‫‪ .5‬نوه البحث على ضرورة تطوير ثقافة المنظمة تجاه االهتمام بنشاطات أمن المعلومات وزيادة‬
‫الوعي األمني لدى كافة العاملين فيها‪.‬‬
‫‪ .6‬يوصي البحث بتنفيذ دراسات أو استبيانات مستقبلية دورية تتناول استنتاجات حول العائد‬
‫االستثماري من تطبيق برنامج أمن المعلومات في المنظمة أثناء وبعد تطبيقه‪.‬‬

‫‪89‬‬
 ‫مراجع البحث‬

‫مواقع شبكة اإلنترنت‬

23/02/2022 https://www.isaca.org/ •
14/03/2022 https://securityboulevard.com/ •
18/03/2022 https://insights.integrity360.com •
25/03/2022 https://en.wikipedia.org/wiki •
04/04/2022 https://sarc.sy/ •
30/05/2022 https://mawdoo3.com •
01/08/2022 /https://www.linkedin.com •
05/08/2022 /https://www.weforum.org •
05/08/2022 /https://blog.cloudflare.com •

‫المراجع األجنبية‬
CISM Review Manual - 14th Edition by ISACA •
CISA Review Manual 2015 by ISACA •
CRISC Review Manual - 16th Edition by ISACA •
COBIT Process Assessment Model: Using COBIT 5 by ISACA •
ISACA, (2012), "COBIT 5 for Information Security” •
Kissel.R, Editor, May 2013, "Glossary of key information security Terms", •
National Institnte of Standard and technology
ISO/IEC 27002:2013, "Information Technology_ Security Techniques_ •
Code of Practice for Information Security Management", Geneva: ISO,
.2013
NIST Special Publication 800-100, (2006), "Information Security •
Handbook: A Guide for Managers”
"Whitman, M.E &Mattord, H.J; (2011), "Principles of Information Security •
European Union (2018) General Data Protection Regulation (GDPR), •
Available at: https://gdpr.eu/tag/gdpr
90
‫‪IT Governance (2020) The Cyber Essentials Scheme, Available at:‬‬ ‫•‬
‫‪https://www.itgovernance.eu/en-ie/cyber-essentials-ie‬‬

‫المراجع العربية‬
‫• دراسات الجدوى التجارية واالقتصادية واالجتماعية مع مشروعات ‪ ،Bot‬عبد القادر محمد عبد‬
‫القادر عطية‪ ،‬الدار الجامعية‪ ،‬اإلسكندرية‪2014 ،‬‬
‫• دراسات الجدوى االقتصادية التخاذ الق اررات االستثمارية‪ ،‬د‪.‬عبد المطلب عبد الحميد‪ ،‬الدار‬
‫الجامعية‪ ،‬اإلسكندرية‪ ،‬مصر‪2006 ،‬‬
‫• إعداد دراسات الجدوى وتقييم المشروعات‪ ،‬د‪ .‬نبيل شاكر ‪،‬مكتبة عين شمس ‪ ،‬القاهرة‪1998 ،‬‬
‫• اقتصاديات المشروعات‪ ،‬د‪ .‬محمد الصاريف‪ ،‬مؤسسة حورس الدولية للنشر والتوزيع‪ ،‬اإلسكندرية‪،‬‬
‫القاهرة‪ ،‬الطبعة األولى‪2005 ،‬‬
‫• الجدوى االقتصادية للمشروعات‪ ،‬د‪ .‬طالل محمود كداوي‪ ،‬الحامد للنشر والتوزيع‪ ،‬الطبعة األولى‪،‬‬
‫عمان‪ ،‬األردن‪2002 ،‬‬
‫• دراسات الجدوى االقتصادية وتقييم المشروعات االستثمارية‪ ،‬شقيري نوري موسى‪ ،‬أسامة عزمي‬
‫سالم‪ ،‬دار الميسر للنشر والتوزيع والطباعة‪ ،‬الطبعة األولى‪ ،‬عمان‪ ،‬األدن‪2009،‬‬
‫• دور وأهمية الكفاءة التسويقية في تحسين أداء المؤسسة الصناعية‪ ،‬أباي ولد الداي‪ ،‬مذكرة لنيل‬
‫شهادة الماجستير‪ ،‬جامعة الجزائر‪2001 ،‬‬
‫• دراسات الجدوى االقتصادية‪ ،‬د‪ .‬بهاء الدين أمين‪ ،‬دار زهران للنشر والتوزيع‪ ،‬الطبعة األولى‪،‬‬
‫عمان‪2013 ،‬‬
‫• دراسات الجدوى االقتصادية وتدقيق المشروعات‪ ،‬سمير محمد عبد العزيز‪ ،‬مؤسسة دار الجامعة‪،‬‬
‫اإلسكندرية‪.1994 ،‬‬
‫• مخاطر أمن نظم المعلومات المحاسبية المحوسبة‪ :‬دراسة ميدانية على القطاع الصناعي األردني‪،‬‬
‫حامد‪ ،‬عاصم نائل رشيد والحمود‪ ،‬تركي راجي موسى‪ ،‬رسالة ماجستير‪ ،‬كلية االقتصاد والعلوم‬
‫اإلدارية‪ -‬جامعة اليرموك – األردن‪2009 ،‬‬
‫• الدور التأثيري لحوكمة أمن المعلومات في الحد من مخاطر نظم المعلومات المحاسبية‬
‫اإللكترونية‪ :‬دراسة ميدانية‪ ،‬خليل‪ ،‬علي محمود مصطفى وابراهيم‪ ،‬مني مغربي محمد‪ ،‬كلية‬
‫التجارة‪ -‬جامعة بنها‪2016 ،‬‬

‫‪91‬‬
‫• نظم المعلومات اإلدارية مدخل معاصر من منظور إداري‪ ،‬النجار‪ ،‬فايز جمعة‪ ،‬دار حامد للنشر‪،‬‬
‫الطبعة األولى‪ ،‬األردن ‪2013 ،‬‬
‫• مخاطر التدقيق اإللكتروني وأثرها على جودة المعلومات المحاسبية‪ ،‬أمين‪ ،‬هونر محمد‪ ،‬أطروحة‬
‫ماجستير جامعة الجنان‪ ،‬طرابلس‪ ،‬لبنان‪2014 ،‬‬

‫التقارير‬
‫‪The Global Risks Report 2021 and 2022 17th Edition‬‬ ‫•‬
‫)‪(https://www.weforum.org/reports/global-risks-report-2022‬‬
‫• )‪Cost of a Data Breach Report 2021 (IBM security‬‬
‫‪ENISA (2020) Risk Management and Risk Assessment for SMEs,‬‬ ‫•‬
‫‪Available at: https://www.enisa.europa.eu‬‬

‫‪92‬‬
 ‫المالحق‬

‫ملحق ‪ :1‬أسئلة مقابالت المعنيين في المنظمة‬

‫جدول (‪ :)8‬أسئلة مقابالت المعنيين في المنظمة‬

‫السؤال‬ ‫رقم السؤال‬

‫حوكمة أمن المعلومات‬
‫هل يوجد سياسات أمن معلومات مكتوبة في المنظمة؟‬ ‫‪1‬‬
‫ما الجوانب التي تغطيها هذه السياسات؟ (مثال‪ :‬االمن المادي‪ .‬إدارة الدخول للموارد‪ .‬األمن البشري‪)....‬‬ ‫‪2‬‬
‫كم عددها مصنفة إلى سياسات‪ .‬إجراءات‪ .‬دليل عمل‪ .‬معايير أو غير ذلك؟‬ ‫‪3‬‬
‫هل يتم إجراء مراجعة دورية وتحديث للسياسات؟‬ ‫‪4‬‬
‫هل يتم اعتماد السياسات من قبل اإلدارة العليا للمنظمة بشكل دوري؟‬ ‫‪5‬‬
‫كيف يتعهد الموظفون رسميا بااللتزام بسياسة أمن المعلومات؟‬ ‫‪6‬‬
‫هل يوجد فريق متخصص بمتابعة التعديل والتحديث على السياسات الخاصة بأمن المعلومات لتالئم تطور أعمال المنظمة؟‬ ‫‪7‬‬
‫ممن يتكون الفريق المشرف على سياسات أمن المعلومات (عدد موظفين وهيكلية وظيفية)؟‬ ‫‪8‬‬
‫كيف يتم تقديم مدى نضج المنظمة في مستوى أمن المعلومات لإلدارة العليا ومجلس اإلدارة ؟‬ ‫‪9‬‬
‫هل يوجد لجنة توجيهية ألمن المعلومات (‪ )Security Steering Committee‬أو أي فريق يقود توجهات أمن المعلومات بمستوى عال في المنظمة؟‬ ‫‪10‬‬
‫هل تضم اللجنة التوجيهية ممثلين من كافة أقسام المنظمة وأصحاب المصلحة؟‬ ‫‪11‬‬
‫في حال عدم وجود لجنة توجيهية ألمن المعلومات‪ .‬كيف يتم تنسيق احتياجات ونشاطات أمن المعلومات على مستوى المنظمة دون حدوث تعارض مع‬ ‫‪12‬‬
‫األهداف االستراتيجية والتشغيلية لها؟‬
‫ما هي اللجان‪/‬الجهات التي تناقش وتعتمد مشاريع وخطط أمن المعلومات في المنظمة؟ (الرجاء توضيح الهيكلية اإلدارية التي تتولى مناقشة واعتماد خطط‬ ‫‪13‬‬
‫ومشاريع ونشاطات أمن المعلومات في المنظمة)‬
‫هل يتم اعتماد وثائق مكتوبة رسمية لتحديد نطاق عمل ومسؤولية وميثاق نشاطات أمن المعلومات (أي صيغة تفاهم مع اإلدارة العليا حول هذه القضايا)؟‬ ‫‪14‬‬
‫ما هو اإلجراء المعتمد أو اآللية المتبعة القتراح وتخطيط واعتماد وتنفيذ مشاريع أمن المعلومات في المنظمة؟‬ ‫‪15‬‬
‫ما هو اإلجراء المعتمد لتطبيق التغييرات ضمن بيئة تكنولوجيا المعلومات (إجراء إدارة التغيير)؟‬ ‫‪16‬‬
‫ما هو اإلجراء المعتمد لالستجابة للحوادث المتعلقة بأمن المعلومات؟‬ ‫‪17‬‬
‫ما هو اإلجراء المعتمد لإلبالغ ورفع التقارير المتعلقة بأمن المعلومات ألصحاب المصلحة واإلدارة العليا ومجلس اإلدارة؟‬ ‫‪18‬‬
‫هل يوجد خطة موثقة ومعتمدة لالستعادة من الكوارث؟‬ ‫‪19‬‬
‫هل يتم اختبار خطط االستعادة من الكوارث دوريا؟‬ ‫‪20‬‬
‫ما هو اإلجراء المعتمد لمنح صالحيات الوصول واستخدام الموارد التقنية للموظفين (إدارة الصالحيات والوصول للموارد التقنية)؟‬ ‫‪21‬‬
‫كيف يتم تقييم نجاح‪/‬فشل نشاطات ومشاريع أمن المعلومات والعائد منها؟‬ ‫‪22‬‬
‫هل يتم وضع خطط استراتيجية لتنفيذ نشاطات أو مشاريع متعلقة بأمن معلومات لعدة سنوات مقبلة بشكل مرتبط بخطط المنظمة ككل؟‬ ‫‪23‬‬
‫كيف تحصل مثل هذه الخطط على الدعم الالزم من اإلدارة واألطراف ذات العالقة لتحويلها إلى واقع؟‬ ‫‪24‬‬
‫هل يوجد سياسة خاصة باالستخدام المقبول للموارد التقنية من قبل المستخدم النهائي؟‬ ‫‪25‬‬
‫هل يوجد سياسة معتمدة تضمن تطبيق أفضل المعايير والممارسات واإلعدادات اآلمنة على األنظمة التقنية المختلفة ( ‪secure baseline‬‬ ‫‪26‬‬
‫‪)configuration‬؟‬

‫إدارة المخاطر‬
‫ما التأثير المتوقع من حصول حادثة تسريب‪/‬سرقة بيانات حساسة لخارج المنظمة (قانوني‪ .‬سمعة‪ .‬مالي‪)... .‬؟‬ ‫‪27‬‬
‫ما التأثير المتوقع من حصول حادثة ضياع‪/‬فقدان بيانات حساسة (قانوني‪ .‬سمعة‪ .‬مالي‪)... .‬؟‬ ‫‪28‬‬
‫ما التأثير المتوقع من حصول حادثة تالعب‪/‬تعديل غير مشروع ببيانات حساسة (قانوني‪ .‬سمعة‪ .‬مالي‪)... .‬؟‬ ‫‪29‬‬
‫ما التأثير المتوقع من حصول حادثة خروج أنظمة تقنية عن الخدمة لفترة طويلة نسبيا (قانوني‪ .‬سمعة‪ .‬مالي‪)... .‬؟‬ ‫‪30‬‬
‫كيف يتم تحديد مستوى مخاطر أمن المعلومات المقبول من قبل اإلدارة العليا ومجلس اإلدارة؟‬ ‫‪31‬‬
‫كيف يتم مراجعة وتسجيل ومتابعة المخاطر المتعلقة بأمن المعلومات؟‬ ‫‪32‬‬
‫هل يوجد إجراء معتمد حول إدارة مخاطر أمن وتكنولوجيا المعلومات؟‬ ‫‪33‬‬
‫هل يوجد فريق متخصص بمتابعة مخاطر أمن وتكنولوجيا المعلومات (العدد والهيكلية والدور الذي يلعبه في حال وجوده)؟‬ ‫‪34‬‬

‫‪93‬‬
‫كيف تنظم العالقة مع الموردين الخارجيين الذين يقدمون خدمات متعلقة باألنظمة المعلوماتية (توريد أو دعم فني أو تشغيل أو إدارة أنظمة أو غيرها من‬ ‫‪35‬‬
‫الخدمات الخارجية)؟‬
‫كيف يتم تنظيم العالقة مع الموردين الذين تقوم المنظمة بتعهيد وظائف تكنولوجيا المعلومات لهم (‪ )outsourcing‬في حال وجودهم؟‬ ‫‪36‬‬
‫كيف يتم تنظيم العالقة مع الموردين الخارجيين الذين تقوم المنظمة باستضافة بيانات أوأنظمة تقنية لديهم (‪ )cloud computing‬في حال وجودهم؟‬ ‫‪37‬‬
‫كيف يتم اكتشاف وتصحيح الثغرات األمنية ضمن األنظمة المعلوماتية؟‬ ‫‪38‬‬
‫كيف يتم التعامل مع نتائج نشاطات التدقيق أو فحص االختراق الذي تنفذه أطراف خارجية مستقلة؟‬ ‫‪39‬‬
‫كيف يتم التعامل مع المخاطر التي تتجاوز المستوى المقبول أو تنتهك سياسات أمن المعلومات المعتمدة؟‬ ‫‪40‬‬

‫موارد أمن المعلومات‬

‫هل يوجد فريق متخصص بأمن المعلومات في المنظمة أم تسند مهام أمن المعلومات لموظفين لهم أدوار أخرى؟‬ ‫‪41‬‬
‫ما األدوار الوظيفية التي يمارسها فريق أمن المعلومات؟‬ ‫‪42‬‬
‫هل يوجد توصيف وظيفي مكتوب لكل دور وماذا يتضمن في حال وجوده؟‬ ‫‪43‬‬
‫هل يتبع فريق أمن المعلومات تنظيميا إلدارة التكنولوجيا أو أي إدارة تشغيلية أخرى؟ (الرجاء توضيح الهيكلية اإلدارية لفريق أمن المعلومات)‬ ‫‪44‬‬
‫هل يوجد تصنيف ألنظمة تقانة المعلومات والبيانات حسب أهميتها ألعمال المنظمة؟‬ ‫‪45‬‬
‫هل هناك تحديد ملكية (‪ )Ownership‬واضح ورسمي لألصول التقنية والمعلومات ضمن المنظمة؟‬ ‫‪46‬‬
‫هل تستثمر المنظمة حاليا أيا من أنظمة‪/‬ضوابط أمن المعلومات التالية‪:‬‬ ‫‪47‬‬
‫‪Endpoint security‬‬
‫‪Firewalls‬‬
‫‪Intrusion detection/preventing systems‬‬
‫)‪Data encryption (at rest in transit and in use‬‬
‫‪Multi factor authentication‬‬
‫‪VPN for remote access‬‬
‫‪Security information and event management SIEM‬‬
‫‪Vulnerability scanning and penetration testing tools‬‬
‫‪Data leak prevention DLP‬‬
‫‪Identity and access management systems‬‬
‫)‪Endpoint Detection and Response (EDR‬‬
‫‪Email Security Gateway‬‬
‫)‪Web Application Firewall (WAF‬‬
‫‪Proxy Server‬‬
‫)‪Privileged Access Management (PAM‬‬
‫)‪Network Access Control (NAC‬‬
‫)‪User behavioral analytics (UBA‬‬
‫‪Physical access controls‬‬
‫?‪Any others‬‬
‫هل يوجد ميزانية سنوية معتمدة مستقلة ومخصصة لتنفيذ خطط مشاريع ونشاطات متعلقة بأمن المعلومات؟‬ ‫‪48‬‬
‫ما اآللية أو اإلجراء المتبع لتحديد ميزانية أمن المعلومات السنوية والموافقة عليها؟‬ ‫‪49‬‬
‫ما درجة صعوبة اقناع إدارة المنظمة بتمويل مشاريع ونشاطات أمن المعلومات؟‬ ‫‪50‬‬
‫هل يتم تحديد التمويل الالزم وفق خطط استرتيجية متفق عليها مع اإلدارة أو بشكل منفرد لكل نشاط أو مشروع حسب الحاجة أو استجابة لمتطلبات آنية؟‬ ‫‪51‬‬
‫ما العوامل التي تؤثر على قبول أو رفض مشاريع أو نشاطات أمن المعلومات من قبل اإلدارة العليا أو اللجنة المختصة؟ الرجاء ترتيبها وفق األهمية‬ ‫‪52‬‬
‫االمتثال وااللتزام‬
‫هل تم تنفيذ فحص اختراق لألنظمة التقنية خالل آخر ‪ 12‬شهر وما تقييمكم للنتائج في حال وجودها؟‬ ‫‪53‬‬
‫هل يتم تنفيذ فحص االختراق لألنظمة التقنية بشكل دوري أم عند الطلب فقط؟‬ ‫‪54‬‬
‫ما المستويات التي يتم تنفيذ فحص االختراق لألنظمة التقنية عليها ؟ (مثال‪ :‬داخلي ‪ -‬خارجي ‪ -‬السلكي ‪ -‬تطبيقات ‪)...‬‬ ‫‪55‬‬
‫هل يتم تنفيذ فحص االختراق لألنظمة التقنية من قبل جهة مستقلة أو فريق داخلي؟‬ ‫‪56‬‬
‫هل تم تنفيذ تدقيق على أنظمة المعلومات خالل آخر ‪ 12‬شهر وما تقييمكم لنتائج آخر تدقيق في حال وجودها؟‬ ‫‪57‬‬
‫هل يتم تنفيذ تدقيق على أنظمة المعلومات دوريا أم عند الطلب فقط؟‬ ‫‪58‬‬
‫هل يتم تنفيذ تدقيق على أنظمة المعلومات من قبل جهة مستقلة خارجية أو فريق داخلي ضمن المنظمة؟‬ ‫‪59‬‬
‫هل يوجد فريق تدقيق تكنولوجيا معلومات داخلي متخصص ضمن المنظمة؟‬ ‫‪60‬‬
‫ما الدور الذي يلعبه فريق التدقيق الداخلي في التحقق من االلتزام بالسياسات الخاصة بأمن المعلومات في المنظمة؟‬ ‫‪61‬‬
‫كيف يتم إجراء مراجعات لحسابات المستخدمين على أنظمة تقانة المعلومات؟‬ ‫‪62‬‬
‫هل يتم إجراء مراجعات لحسابات المستخدمين على أنظمة تقانة المعلومات بشكل دوري أم عند الحاجة فقط؟‬ ‫‪63‬‬

‫‪94‬‬
 ‫كيف يتم إجراء مراجعات إعدادات األنظمة التقنية؟‬ ‫‪64‬‬
‫هل يتم إجراء مراجعات إعدادات األنظمة التقنية بشكل دوري أم عند الحاجة فقط؟‬ ‫‪65‬‬
‫ما الطرق المتبعة للتحقق من االلتزام بالسياسات الموضوعة؟‬ ‫‪66‬‬
‫ما الجهود التي تبذل في سبيل نشر ثقافة أمن معلومات لدى كل الموظفين على مستوى المنظمة؟‬ ‫‪67‬‬
‫كيف يتم ضمان التزام الموظفين الجدد بسياسات أمن المعلومات؟‬ ‫‪68‬‬
‫هل يتم إبالغ الفريق المسؤول عن أمن المعلومات بحاالت خروقات مشتبهة من قبل المستخدمين النهائيين؟‬ ‫‪69‬‬
‫ما عدد إبالغات المستخدمين النهائيين عن حاالت متعلقة بأمن المعلومات خالل النصف األول من السنة الحالية؟‬ ‫‪70‬‬
‫كيف يطلع الموظفون على سياسات أمن المعلومات في المنظمة؟‬ ‫‪71‬‬
‫ما هي نشاطات التدريب الداخلية أو الخارجية المنفذة للموظفين حول أمن المعلومات؟‬ ‫‪72‬‬
‫هل يشمل التدريب المتعلق بأمن المعلومات فئة معينة من الموظفين أم يغطي كافة موظفي المنظمة؟‬ ‫‪73‬‬
‫هل يوجد أية معايير متبعة في سياسات أمن المعلومات (مثال ‪)27001 ISO‬‬ ‫‪74‬‬
‫هل يتم االحتفاظ بنسخ احتياطية من البيانات الحساسة في مكان آمن وخارج مركز المعلومات بشكل دوري؟‬ ‫‪75‬‬
‫ما الطرق المتبعة لتقييم ومراجعة التقدم أو التطور في مشاريع ونشاطات أمن المعلومات في المنظمة؟‬ ‫‪76‬‬
‫هل يتم مشاركة اإلدارة العليا وأصحاب المصلحة بتطور مشاريع ونشاطات أمن المعلومات دوريا؟‬ ‫‪77‬‬
‫ما آلية التواصل المتبعة لمشاركة المعلومات المتعلقة بتطور مشاريع ونشاطات أمن المعلومات مع اإلدارة العليا وأصحاب المصلحة داخل المنظمة؟‬ ‫‪78‬‬

‫‪95‬‬
 ‫ هيكلية فريق تقانة المعلومات في المنظمة‬:2 ‫ملحق‬

Department

Unit

Section

Software Infra
Branches Tech Support
Dev. Structure

96
 ‫ملحق ‪ :3‬تفاصيل الدراسة المالية المقترحة على ‪ 4‬سنوات*‬
‫جدول (‪ :)9‬تفاصيل الدراسة المالية المقترحة‬

‫كلفة تقديرية (ل‪.‬س)‬ ‫البند‬ ‫السنة‬

‫‪24,000,000‬‬ ‫رواتب وأجور موظفي أمن معلومات (‪)2‬‬
‫‪100,000,000‬‬ ‫إعداد دراسة مركز االستعادة من الكوراث‬
‫مشاريع لتوريد األنظمة‪:‬‬
‫‪800,000,000‬‬ ‫• ‪SIEM‬‬
‫األولى‬
‫• )‪Network Access Control (NAC‬‬
‫‪400,000,000‬‬ ‫تنفيذ خدمات دعم فني وخدمات أمن المعلومات خارجية‬
‫‪50,000,000‬‬ ‫تشكيل سياسات وإجراءات ومعايير‬
‫‪50,000,000‬‬ ‫حمالت توعية وتأهيل وتدريب‬
‫‪1,424,000,000‬‬ ‫المجموع للسنة األولى‬
‫‪48,000,000‬‬ ‫رواتب وأجور موظفي أمن معلومات (‪)4‬‬
‫‪272,000,000‬‬ ‫تنفيذ مركز االستعادة من الكوراث‬
‫مشاريع لتوريد األنظمة‪:‬‬
‫‪800,000,000‬‬ ‫• ‪Data leak prevention DLP‬‬ ‫الثانية‬
‫• ‪systems Identity and access management‬‬
‫‪500,000,000‬‬ ‫تنفيذ خدمات دعم فني وخدمات أمن المعلومات خارجية‬
‫‪50,000,000‬‬ ‫حمالت توعية وتأهيل وتدريب‬
‫‪1,670,000,000‬‬ ‫المجموع للسنة الثانية‬
‫‪60,000,000‬‬ ‫رواتب وأجور موظفي أمن معلومات (‪)5‬‬
‫مشاريع لتوريد األنظمة‪:‬‬
‫‪800,000,000‬‬ ‫• )‪Endpoint Detection and Response (EDR‬‬
‫الثالثة‬
‫• ‪Vulnerability scanning tools‬‬
‫‪550,000,000‬‬ ‫تنفيذ خدمات دعم فني وخدمات أمن المعلومات خارجية‬
‫‪50,000,000‬‬ ‫حمالت توعية وتأهيل وتدريب‬
‫‪1,460,000,000‬‬ ‫المجموع للسنة الثالثة‬
‫‪60,000,000‬‬ ‫رواتب وأجور موظفي أمن معلومات‬
‫مشاريع لتوريد األنظمة‬
‫‪800,000,000‬‬ ‫• ‪Multi factor authentication‬‬
‫الرابعة‬
‫• )‪Privileged Access Management (PAM‬‬
‫‪600,000,000‬‬ ‫تنفيذ خدمات دعم فني وخدمات أمن المعلومات خارجية‬
‫‪50,000,000‬‬ ‫حمالت توعية وتأهيل وتدريب‬
‫‪1,510,000,000‬‬ ‫المجموع للسنة الرابعة‬
‫* تعتبر هذه األرقام تقديرية وفق متوسط األسعار الحالية والكلف المتاحة على شبكة اإلنترنت لبنود مشابهة‬

‫‪97‬‬