هنا

[عماد الركابي]

دور ISO 27001:2005) ) في تعزيز مفهوم إدارة دورة حياة المعلومات

)أنموذج مقترح(

د.علي عبد الستار عبد الجبار الحافظ احمد هاني محمد ألنعيمي
أستاذ مساعد مدرس
قسم الإدارة الصناعية قسم الإدارة الصناعية
كلية الإدارة والاقتصاد/ جامعة الموصل كلية الإدارة والاقتصاد/ جامعة الموصل

aliabdulsattar1976@yahoo.comahmedhanyi@yahoo.com

الملخص:
تعد ISO 27001 مواصفة متقدمة يمكن من خلالها تلبية متطلبات المنظمة من خلال إقامة نظام إدارة حماية المعلومات ، يصلح لكافة المنظمات سواء كانت صناعية أو خدمية، فضلاً عن تطبيق وتشغيل ومراقبة ومراجعة النظام ككل، كذلك يمكن اعتباره مدخلاً للتحسين المستمر لنظام توثيق وإدارة المعلومات.
ومن هذا المنطلق جاء التركيز على إدارة دورة حياة المعلومات (ILM) كواحدة من المبادرات التي يتم حاليا مناقشتها على نحو واسع في صناعة الخزن المعلوماتي.
وبهذا جاءت هذا البحث بهدف تسليط الضوء على دور ISO 27001 في تعزيز دور إدارة دورة حياة المعلومات، وما سيسهم به من إتاحة فرص وقدرات وقابليات أكثر في التعامل مع المعلومات والبيانات التي تتسم بالتزايد المضطرد في منظمات الأعمال إنتاجية كانت أم خدمية، وقد استخلص البحث إلى أن وجود ندرة وانحسار في التأكيد على عمل إدارة دورة حياة المعلومات في ظل المواصفة (ISO 27001)، في حين انه يجب أن يعمل مفهوم إدارة دورة حياة المعلومات في ظل المواصفة (ISO 27001) لإعطائه الصفة النظامية والقانونية الموحدة.
المحور الأول الجانب النظري:
تعد المعلومات احد المحاور الحاسمة التي توجه الشركات نحو اتخاذ القرارات الصائبة لذا يجب عليها الاهتمام المتزايد بمصادر المعلومات ومن ثم الحفاظ عليها ومن الآخرين من الاطلاع عليها، كذلك دراسة سبل إبقائها تحت متناول صناع القرارات داخل المنظمة، أي تقديم المعلومات بالجودة المطلوبة من اجل اتخاذ القرار الصائب، ومن هذا المنطلق افرد المحور الأول بتناول بعض الجوانب النظرية الهامة بهذا المجال وكالاتي:
أولاً : نظم إدارة حماية المعلومات ISO27001 (المتطلبات) .
ثانياً: إدارة دورة حياة المعلومات .
أولاً : نظم إدارة حماية المعلومات ISO27001 (المتطلبات)

مقدمة:
إن الحاجة المستديمة للمعلومات والتي تعد سلاحاً فعالاً لدى إدارات المنظمات صناعية كانت أم خدمية ولـّد لديها الحاجة الى الحفاظ على المعلومات وحمايتها من التسرب والعبث بها من قبل جهات غير مرخص لها الاطلاع عليها، لذا بدأت المنظمات بالبحث عن طرائق ووسائل مختلفة لحماية المعلومات لهذا قامت منظمة المقاييس الدولية ISO بتطوير سلسلة جديدة متخصصة بحماية المعلومات وهي ISO27001:2005 والتي يطلق عليها نظم إدارة حماية المعلومات (المتطلبات)، إذ تزود المواصفة ISO 27001 المنظمة أنموذج مشترك لتطبيق وتشغيل وتحسين نظم إدارة حماية المعلومات ISMS (Information Security Management System)، إن غاية منظمة ISO أن تنسق بين معايير ISO27001 مع معايير نظم الإدارة الأخرى مثلا ً ISO 9001:2000 التي تخاطب نظم إدارة الجودة، وكذلك ISO14001:2004 التي تخاطب نظم إدارة البيئة (Arnason & Willett, 2008,5).
كذلك تزود مواصفة ISO27001 إدارات المنظمات الصناعية والخدمية بتوجيهات لتطبيق نظم إدارة حماية المعلومات ISMS ،فضلا عن حصولها على شهادة الطرف الثالث* الدولية لإثبات سيطرة المنظمة على حماية معلوماتها والتي تشغل طبقاً لمتطلبات المعايير الدولية، بالإضافة الى مراقبة وإدامة نظام ISMS من قبل منظمة ISO، وبهذا يجب أن يخاطب نظام إدارة حماية المعلومات كل أطوار الهيكل التنظيمي، السياسات، خطط النشاط، المسؤوليات، الممارسات، الإجراءات، العمليات وأخيراً مصادر المعلومات.
إن التطبيق الفعّال لـ ISO27001 يوفر للإدارة العليا الوسائل لمراقبة والسيطرة على حماية المعلومات بينما يقلل من أخطار العمل الناشئ من عدم الحصول على المعلومات بالدقة المطلوبة، كذلك خطر تسرب المعلومات، بعد تطبيق المنظمة المواصفة ستضمن حماية معلوماتها رسمياً للتواصل مع الزبون وشرعية (قانونية) المنظمة بالإضافة الى إرضاء متطلبات أصحاب المصالح لدى المنظمة.



التطور التاريخي لمواصفة نظم إدارة حماية المعلومات ISO27001
جاءت المواصفة ISO27001 بالاعتماد على المواصفة البريطانية BS7799 والتي كانت نتيجة مبادرة مشتركة من القطاع التجاري والصناعي البريطاني والتي بدأت العمل عام 1992 حيث أصدرت المواصفة البريطانية الأولى BS7799 في شباط عام 1995، حيث مثلت قاعدة ممارسات لإدارة حماية تكنولوجيا المعلومات، ثم استمرت المنظمات بتطوير نظام حماية المعلومات التي أفرزت حل سميّ بذلك الوقت (العلاج C) الذي تبنى إطار لتطبيق المعايير الخاصة بحماية المعلومات والتي تم إطلاقها في نيسان عام 1997،لكن بسبب الصعوبات التي واجهتها عملية التطبيق (للعلاج C) تم تنفيذه عام 2000، ذلك بسبب أن BS7799 مرَ بمراجعة هامة عام 1998 والتغذية العكسية رُتبت وتم مراجعتها مرة أخرى وأطلقت النسخة الكاملة الأولى لـ BS7799 عام 1999 كنسخة أصلية لقاعدة الممارسات وحفظت وسميت بـ BS7799 الجزء الأول، أما الجزء الثاني من المواصفة البريطانية BS7799 سميت بـ (المواصفات لأنظمة إدارة حماية المعلومات) والذي يعتبر نظام مقيّم ومصدق وهو موجه لإدارة أنظمة حماية المعلومات. (( www.sapphire.net:2007
ثم مرت المواصفة البريطانية BS7799 بمراجعة أخرى عام 2002 وحصلت على العديد من التغيرات، ثم بقت كما هي حتى تم إصدار المواصفة الدولية ISO27001 في عام 2005 كقاعدة للممارسات والتي تأخذ توجيهاتها ووصياتها من المواصفة الدولية ISO17799:2000 الموازية للمواصفة البريطانية BS7799. ((Calder & Watkins,2008,35
وبهذا يمكن أن تعتبر ISO27001 كقاعدة لتقييم نظام إدارة حماية المعلومات (ISMS) المتكامل، أو هي وثيقة التي تقييم أي نظام لإدارة حماية المعلومات.
عمليات المعالجة ISO27001:2005وفوائد تطبيقها :
تعد ISO27001معيار الحماية الدولي الرسمي المقدم لأي منظمة (بغض النظر عن كونها صناعيتاً كانت أم خدمية) ترغب بالحصول على شهادة مستقلة لنظام إدارة حماية المعلومات الخاصة بهم، لهذا تحدد المواصفة المتطلبات الإلزامية لتأسيس وتطبيق وتوثيق نظام ISMS، وتحديد متطلبات السيطرة لحماية المعلومات التي ستطبق وفق حاجات المنظمة الخاصة بها، وتشمل (11) مركز للسيطرة و (39) هدف للسيطرة بالإضافة الى (133) موقع للسيطرة متوافق مع المواصفة ISO17799 والتي تعمل من خلال أنموذج (PDCA)Plan – Do – Check – Act الذي يقوم بعمل التحسين المستمر، وبهذا تستند المواصفة ISO27001 في عملها على تسعة أجزاء للمعالجة التي حددها تحالف صناعة حماية شبكات الانترنيت * CSIA يمكن تلخيصها بالاتي : (CSIA,2007,3)
1. تعريف المجال لـنظام إدارة حماية المعلومات ISMS.
2. تعريف سياسة حماية المعلومات .
3. تقييم الأخطار /التحليل.
4. إدارة الخطر.
5. تحديد الأهداف للسيطرة والسيطرة الفعلية عليها / التطبيق.
6. تجهيز بيان (كشف) التطبيق.
7. تطبيق وتشغيل ISMS.
8. استمرار المراقبة ومراجعة ISMS.
9. إدامة وتحسين ISMS.
ولانجاز نظام ISMS فعال تستعين منظمة المواصفات الدولية ISO معايير ISO27002 كتعليمات تساعد في تطبيق ISO27001 من خلال الأتي: (Arnason& Willett,2008,8)
1. تقييم المخاطر والمعالجة .
2. سياسة الحماية.
3. تنظيم حماية المعلومات؟
4. إدارة الموجودات.
5. حماية معلومات الموارد البشرية.
6. حماية الطبيعة والبيئة.
7. إدارة العمليات والاتصالات.
8. السيطرة على دخول قواعد البيانات.
9. الحصول على نظم المعلومات، التطوير، الإدامة.
10.إدارة حوادث لحماية المعلومات.
11.إدارة استمرارية العمل.
12.الالتزام (الالتزام بتطبيق بنود المواصفة).
والشكل (1) يوضح آلية المعالجات للحصول على شهادة ISO27001

هيئة منح الشهادة

فريق التدقيق

الأطراف المهتمة

المنظمة

ISMS

الشكل (1)

آلية المعالجات للحصول على شهادة ISO27001

Source: Herve' Schaner , 2007, ISO 27001Certification, Eurose Forum, Paris, www.hsc.fr, P:2 .

فوائد الحصول على شهادة المواصفة ISO27001:2005
هناك عدة أسباب التي تدفع المنظمة للحصول على الشهادة وذلك للحصول على عدة منافع هي: (Hinson ,2008, 3)
1. المصداقية وزيادة الثقة .
2. تحسين الشراكة ( العمل مع الشريك).
3. زيادة ثقة الزبائن وأصحاب العلاقة.
4. التنظيم وحماية الشريك التجاري.
5. شهادة تفيد بأن المنظمة مؤهلة ومطبقة لكل القوانين النافذة والتعليمات .
6. المفاضلة بين المنافسين وكذلك الحصول على تعليمات بكلف منخفضة.


الأبعاد الثلاثة لحماية المعلومات:
يمكن أن تتعرف المنظمة على كيفية إدارة حماية المعلومات من خلال ثلاثة أبعاد (السرية، السلامة، التوفر) أو كما وصفها هيئة معايير معالجة البيانات الاتحادية FIPSFederal Information Processing Standers بأحجار الزاوية لحماية المعلومات عام 2004، وذلك من خلال تطبيق نظم إدارة حماية المعلومات، أو باستعمال معايير ISO27001 كدليل لتطوير ISMS، كما في الشكل(2):

السلامة

السرية

التوفر

الشكل (2)

الأبعاد الثلاثة لحماية المعلومات

Source: Arnason , Sigurjon Thor & Willett, Keith D. ,2008,How to Achieve 27001 Certification An Example of Applied Compliance Management, Taylor& Francis Group LLC. New York, USA. P3.
ويمكن توضيح هذه الأبعاد الثلاثة بإيجاز وكالاتي :
www.intertek-semkocertification,se , 2007
1. السرية Confidentiality : يوفر هذا البعد للمنظمة السرية التامة لكافة المعلومات، حتى لو كانت المعلومات صغيرة وبسيطة.
2. السلامة Integrity : تقدم المواصفة ISO27001 معيار لحماية وكمال المعلومات وطرائق معالجتها، وهذا يضمن الاستمرارية وإعادة العمل في حالة وقوع الكوارث.
3. التوفر Availability : ويقصد بالتوفر هو توفر المعلومات المقيد، إذ أن استخدام ISO27001 لحماية نظام المعلومات يؤكد للمنظمة بأن المستخدمين المخولين هم الوحيدين القادرين على الوصول الى هذه المعلومات وأصولها، وهذا يجعل إدارة حماية المعلومات مهمة سهلة المعالجة.


ثانيا: إدارة دورة حياة المعلومات
المفهوم:
طبقا للإحصاءات في بعض المؤسسات الدولية ،فان معدل إنتاجية العالم من البيانات والمعلومات الرقمية الناتجة عن استخدام تقانة المعلومات والاتصالات خلال العامين الماضيين قد تجاوز إجمالي ما أنتجته البشرية من معلومات وبيانات طوال تاريخها ، إذ أصبحت البيانات والمعلومات في وقتنا الحاضر تتسمبالنمو المضطرد ، و تشير الإحصاءات الى إن التزايد في البيانات والمعلومات بنسبة (%20-%40) كمعدل سنوي وهذا يدل على إن العالم يواجه تيارا متدفقا من المعلومات التي تتراكم بسرعة مولدة فيضانا وانفجارا معلوماتياً رقمياً بات من الصعب السيطرة عليه، وإذا كانت هذه القضية لا تعني الكثير بالنسبة للأفراد فهي حيوية ومقلقه وضاغطة للغاية بالنسبة للمنظمات بشكل عام، ذلك بسبب ما يعرف بظاهرة جبال المعلومات والبيانات ألرقميه التي تتراكم وينمو حجمها بمعدلات سريعة‏,‏ ويصعب إدارتها‏,‏ وفي الوقت نفسه تحمل المنظمات أموالا طائلة للحفاظ عليها والناجمة عن الاعتماد الكثيف على تكنولوجيا المعلومات في انجاز الأعمال‏(wind :2004:2)
ولو عدنا إلى الأساس الفكري والنظري لمفهوم إدارة دورة حياة المعلومات سنجده يهتم بعده نقاط أساسية:(http//:arabinfo.blogsspot.com:4-5)
· الأولى: إن إدارة دورة حياة المعلومات ليست تكنولوجيا ولكنها خليط من العمليات والتكنولوجيات التي تحدد كيف تتدفق أو تمر البيانات عبر بيئة ما.
· ‏الثانية‏:‏ إن التكلفة عامل مهم للغاية‏,‏ لذلك فهو يربط بين الحصول علي قيمه اقتصادية للمعلومات وبين تحمل اقل قدر من التكلفة في إنشاء البنية الأساسية المعلوماتية المطلوبة ليس في مجال تخزين وإدارة المعلومات فقط‏,‏ ولكن في مراحل المعالجة والنقل والتوزيع وغيرها‏.
· الثالثة‏:‏ انه يمزج بشكل كامل بين الأهداف التي تضعها المنظمة لنفسها وبين البنية الأساسية المعلوماتية لديها‏,‏ مما يستدعي ترجمه الأهداف إلى سياسات تنفذ داخل الشبكات والحاسبات وأوعيه التخزين وغيرها من مكونات البنية المعلوماتية‏.‏
ويري أصحاب هذا الاتجاه إن النقاط الثلاث السابقة تجعل من المتعين أن يمر التنفيذ العملي لمفهوم إدارة دوره حياه المعلومات بالمراحل التالية‏:(wind : 2004 :3)
· التقييم
· والفحص
· التهيئة الاجتماعية
· التصنيف
· الميكنة
· المراجعة
تاريخيا البيانات والمعلومات نقلت من وسيلة خزن إلى أخرى، ويتم الاعتماد مبدئيا على عُمر هذه المعلومات أو البيانات، أو عدد مرات الاطلاع عليها أو الدخول عليها . الأقدم أو الأقل استخداما في العادة (على الأرجح) سوف تتحول إلى كلفة قليلة ، وأداء منخفض، وأنظمة دخول واستخدام اقل ،هذه المشاكل المربكة للمنظمة جعلتها بحاجة إلى المدخل الفوري (immediate access) للمعلومات التي لم تستعمل في اغلب الأحيان ،فعلى سبيل المثال السجلات الطبية ربما تكون قديمة ، أو إن الدخول والاطلاع عليها قد لا يتم إلا بشكل نادر ، بسبب قدمها ،لكن في حالات الطوارئ يجب أن تكون هذه المعلومات متاحة في الحال.
يعرف مفهوم إدارة دورة حياة المعلومات على "إنها السياسات والعمليات والممارسات والأدوات المستعملة لترتيب قيمة معلومات وبيانات الأعمال مع البنية التحتية لتقانة المعلومات الأكثر ملائمة ،والأقل كلفة في الوقت الذي تعمل به هذه المعلومات مرورا بترتيبها النهائي"وان المعلومات سترتب وترصف طبقا لمتطلبات الأعمال من خلال إدارة السياسات ومستويات الخدمة المرتبطة مع التطبيقات، والحقائق والبيانات.
:2) http://encyclopedia.thefreedictionary.com(
(www.sun.com:2)

ويرى الباحثان إن المفاهيم الرئيسة في هذا التعريف هي رصف أو ترتيب قيمة المعلومات مع البنية التحتية كفوءة الكلفة ، وتقانة المعلومات الأكثر ملائمة .فضلا عن مستويات الخدمة المرتبطة مع التطبيقات والحقائق والبيانات ،وكل هذه المفاهيم ليست جديدة إذ أنها تطبيقات لإدارة دورة حياة المعلومات ،الذي كون بدوره مثال جديد في توجهات صناعة الخزن
وعليه يشير الباحثان إلى أن مفهوم إدارة دورة حياة المعلومات إلى انه "العمليات ،والسياسات ،والممارسات ، والأدوات، التي تكون فيها البيانات والمعلومات متحركة بين صفوف مختلفة لأدوات الخزن لضمان كون مستويات الخدمة التي تطلبتها الأعمال قد تم تلبيتها بأقل كلفة كلية ممكنة ،وبالاعتماد على محتوى البيانات والمعلومات ،وإنها أيضاً تؤتمت تدريجيا عمليات إدارة الخزن عبر الوقت ، وتقلل المخاطر الناجمة عن الخطاء أو التدخل البشري، وتحسين حركة البيانات بين صفوف الخزن المختلفة.


قواعد إدارة دورة حياة المعلومات في مواجهة التحديات :
أصبح مفهوم دورة حياة المعلومات من المفاهيم العالمية المعاصرة، إذ أن هناك أكثر من (20000) من الأنظمة التي تؤثر على العمليات التي تكون فيها السجلات مخزنة ، ويمكن الدخول إليها، ويتم الحفاظ عليها، فضلا عن صيانتها ، هذه الأنظمة تحدد حاجة الأعمال للمراقبة المناسبة ،وإدارة دورة الحياة الكلية لسجلات المنظمات ،وسياسات الأعمال ،والعمليات والممارسات ،والأنظمة يمكن أن تدقق لغرض الالتزام بالقانون .
إن الحماية (preservation) ، والاحتفاظ (retention) ، والتطبيع (disposition) ، للسجلات الالكترونية سوف تكون باهظة إذا لم تمتلك المنظمة خطة جيدة ومطبقة بشكل ناجح لإدارة دورة حياة المعلومات (www.management1.com:2)
في حالة غياب أي معايير رسمية، فإن منظمات الأعمال تعتبر إدارة دورة حياة المعلومات هي الأسلوب الأفضل لتحسين أداء المنظمات فيما يتعلق بتخزين البيانات والمعلومات، ويجب أن تأخذ هذه المنظمات في الحسبان أن الممارسات الأفضل هي(Thompson, 2005,2 )
1. فهم القيمة الحقيقية بالنسبة للأعمال:
· تحديد أي البيانات تشترك بشكل فاعل في الأعمال مقابل تحديد أي البيانات ذات فائدة تاريخية ،أو أخذت من الحافظات فقط "just in case " ،إذ إن المستخدمون يحددون البيانات التي خزنت في الحافظات بسبب خشيتهم خسارة الدخول إليها ، لذلك فتركيزهم على الاحتفاظ القريب "near-line retention" سوف يساعدهم على تسهيل قراراتهم المتعلقة بهذه الأعمال.
· منذ مرحلة التطبيق سوف يتم التطور خلال الوقت ، وتضمن بان الحلول القريبة "near-line solution " ستتضمن طبقة بيانات مجردة ، لتمكين التطبيق من إزالة أو إضافة أو تعديل أو تكييف عناصر البيانات ، بدون أي مهام أدارية رئيسة للبيانات القريبة .
2 . توحيد وتبسيط المعايير الجزئية :
· اعتبر الوقت كمقياس عند وضع قواعد الأرشفة ، معظم الأعمال تجد ذلك الأسهل للفهم والتنفيذ بعد ذلك ، ولذلك كثير من عمليات الأعمال نفسها أساسها الوقت ، هذه الإستراتيجية لوحدها ستؤدي إلى تقليل النتائج إلى 50% (أو أكثر تخفيضا من ذلك ) في حجم الجزء المخزون على الانترنت.
· عند كسب التجربة مع أساليب بسيطة أساسها الوقت
(simple time- based methodology) وبعد ذلك يجب مراعاة القواعد الأساسية لسجلات الاستفسار (query –log) مثل صنف المستعمل (users class) ولم ادخل منذ.... (........ (not accessed since.
· إستراتيجية النمو المنطقي –إدارة التجزئة
(logical growth – management partitioning strategy) ، يمكنها الإبقاء على تفاصيل البيانات القريبة ، وتجميع البيانات بشكل فوري مع القدرة على السبر للتفاصيل (drill to detail) .
3. صيانة معمارية التطبيق الأولي:
· المعمارية الأولية يجب أن تكون مؤرشفة ، وتعيد الخزن بين الأجزاء الفورية والقريبة ، وهذا سوف يحافظ على نطاق التطبيق الثنائي المؤسسي المطبق في الوقت الحاضر ، ويبسط الإدارة ، نموذجيا إعادة الخزن (restore) عملية يمكن أن تؤتمت لمهام موحدة ، أو عند الطلب ، ونموذج (drill –to –detail ) وصف بأنه نموذج مهم ،فضلا عن صيانة سلامة التطبيق الحالية.
4.اعتبر الأرشفة غير المتصلة (offline archiving) صفا ، إذا أردت الإبقاء على التاريخ التطبيقات مستمرا عدا الخادم الأولي ((primary server للخزن.
· إذا حفظ التاريخ لفترات مستمرة ،وتم الدخول عليه من قبل المستعملين ،وبشكل مستقل لتطبيقات الخزن الأولية (على سبيل المثال التدقيق أو المشاريع الأخرى)
· اضمن احتواء ملفات الأرشفة على الحقائق ( (metadata فضلا عن البيانات التي يكون لها سياق مستقل عن التطبيق الأصلي.(Thompson :2005 :2-3)

منافع تطبيق إدارة دورة حياة المعلومات:
إن المنفعة الأساسية من تطبيق إدارة دورة حياة المعلومات هي تعظيم قيمة معلومات الأعمال ،فضلا عن تقليل التكلفة الكلية للمالك (total coast of ownership) وتضمن بان البيانات تخزن في مدرج مستوى الخدمات (service-level tier) للحصول على قيمة الأعمال المتأصلة بها ،فضلا عن قيمة البيانات سهلة الوصول باستناد إلى حاجات الأعمال في أي مرحلة من مراحل دورة حياتها .بتقليل الزمن المستنفد من قبل الموظفين التقنيين الذين يكونون ،ويعالجون هذه البيانات والمعلومات .
إدارة دورة حياة المعلومات تساعد أيضا في زيادة إنتاجية العاملين ،وتقليل كلفة العاملين، وفي ذات الوقت ،خدمات إدارة دورة حياة المعلومات كأسلوب مفيد للسيطرة على كلفة الانجاز،وإدارة أنظمة الخزن ،ومنافع أخرى مشخصة للأعمال ناجمة عن اعتماد أو تنفيذ إدارة دورة حياة المعلومات هي : (Nicolson:2006:80)
· الذكاء ألمنظمي (Organizational Agility ) ومثال ذلك إيجاد البيانات الصحيحة بصورة أسرع ،وتقليل تأثير الأحداث غير المرئية للمنظمة .
· تقليل المخاطر مثال ذلك الالتزام ألمنظمي ، واستمرارية العمل ،الآمن.
يمكن تأشير العديد من المنافع التي يقدمها استخدام مفهوم إدارة دورة حياة المعلومات وذلك من خلال (www.businesssolution.bell.ca:2)
· تحسين استخدام المعلومات خلال صفوف الخزن المقسمة .
· تبسيط وأتمتة إدارة المعلومات والبنية التحتية للخزن(storage infrastructure)
· إعطاء خيارات أكثر ربحا لاستمرارية الدخول إلى الأعمال وحمايتها .
· ضمان التزام سهل من خلال سياسات أساسها الإدارة (policy-based management)
· تسليم أعلى قيمة في اقل كلفة كلية بترتيب البنية التحتية لعملية الخزن، وإدارة قيمة المعلومات.
الطريق نحو بناء إدارة دورة حياة المعلومات الشاملة:
طور اتحاد الحاسبات إستراتيجية طويلة الأجل والتي لا تُعنى بحاجات إدارة دورة حياة المعلومات اليوم فحسب ،لكنها توفر أيضا اتجاها لإدارة المعلومات كموجود بالنسبة للعمل في المستقبل .هذه الإستراتيجية تمكن الزبائن من البدء بوضع الحجر الأساس لإدارة دورة حياة المعلومات الخاصة بهم، وبسرعتهم الخاصة، مع مرونة في اختيار الحلول الصائبة لأعمالهم.
هذه الإستراتيجية تعكس ما نراه كأنموذج نضج لإدارة دورة حياة المعلومات.
وكما يوضح الشكل رقم(3)، توجد أربعة مراحل للأنموذج، بكل مستوى أعلى يولد رصف وانحياز إلى حاجات العمل، مستند على قيمة المعلومات ،والدرجات الأعلى في الأتمتة : (Wind, 2004,4)
المستوى الأول :
إدارة الخزن وحماية البيانات ،المنفذة في السنوات السابقة، إذ كانت في السابق لا توجد فعليا كفاءات مؤتمتة ، وفي معظم الحالات يوجد جهد بشري عالي،ونموذجيا توجد حالة من التفاعل مع البيئة.


المستوى الثاني :
ويشمل ذلك حلول الخزن الذكية (bright store)فضلا عن منتجات وخدمات من اتحادات الحاسوب والشركاء ،وكلها متاحة اليوم، كذلك تزود المنظمة بعرض شامل مع إدارة مصادر الخزن المتكاملة(INTEGRATED STORAGE RESOURCE MANAGEMENT) وإدارة شبكة منطقة الخزن (storage area network management) ، وإسناد وإعادة الحلول ، هذا سوف يعطي الزبائن المعرفة والفهم والمعلومات المهمة لصنع القرار الصحيح لعمليات الخزن الخاصة بهم.

توحيد الأعمال ووجهة نظر تقانة المعلومات

تفاعلي

المستوى الأول

مستجيب

المستوى الثالث

قيادة الأعمال


المستوى الرابع

· أعمال الخزن المركزة
· إدارة وحماية البيانات

إدارة الخزن الذكية

محتوى الأعمال

كفؤ

المستوى الثاني

[IMG]file:///C:/DOCUME~1/Emad/LOCALS~1/Temp/msohtmlclip1/01/clip_image012.gif[/IMG]

الشكل (3)

مستويات نمو دورة حياة المعلومات

Source: Wind, Stephen , 2004, moving beyond information life cycle management www.managementworldline.com) :P5)

المستوى الثالث:
إدارة محتويات العمل .والذي يتم التركيز فيه على تعزيز الوثائق ،وعمليات التوثيق ،وإدارة المحتويات ،وأرشفة الرسائل ،وهرمية إدارة الخزن (hierarchical storage management) ،وخلال هذه المرحلة سوف يتم التخطيط تكامل المنتجات داخل ضمن تنوع أو اختلاف علامة العوائل لاتحادات الحواسيب العالمية ، وتطوير الحلول التي توجه صوب صناعة معينة مثل شركات الأعمال المتوسطة والصغيرة،العناية الصحية،والخدمات المالية.

المستوى الرابع :
توحيد الأعمال ووجهة نظر تقانة المعلومات كرافعة للخدمات الشائعة، والتي هي (البرامجيات ،والأجزاء التي تودي الوظائف القابلة للاستعمال مرة أخرى reusable function عبر مجالات الإدارة المتعددة) ، وتطوير إدارة قاعدة بيانات مركزية، وإعطاء وجهة نظر وحيدة عن كل سمات المشروع لإدارة المعلومات بشكل عقلاني ذكي، وبشكل امن، وكفوء ولترتيب الموجودات المعرفية تلك مع أهداف العمل .

المحور الثاني الجانب الميداني:
يتضمن هذا المحور منهجية البحث بالإضافة إلى نقاط التداخل والارتباط بين ISO27001 ودورة حياة المعلومات وكالاتي :
منهجية البحث
أولا ً: أهمية البحث
يرتبط نجاح المنظمات بصورة عامة والشركات الصناعية بصورة خاصة في الوقت الحاضر بالعديد من العوامل ومن ضمنها سرية المعلومات بالإضافة الى الاهتمام بدورة حياة المعلومات والحفظ عليها من التلاعب والعبث، وهنا تجلى أهمية البحث من خلال تعريف الشركات الصناعية بمحتوى المواصفة ISO27001 باعتبارها أداة فعالة تمنح شهادة دولية بأن المنظمة تخضع للمعايير الدولية بالمحافظة على بياناتها وسريتها.

ثانياً : مشكلة البحث
يمكن توضيح مضامين مشكلة البحث من خلال عدد من التساؤلات وعلى النحو الأتي:
1. هل لدى الشركات الصناعية إلمام بالمواصفة ISO2001 الخاصة بنظم إدارة حماية المعلومات ؟
2. ما هي المستلزمات لتطبيق مفهوم إدارة دورة حماية المعلومات؟
3. ما مدى التوافق بين ISO27001 و إدارة دورة حماية المعلومات ؟\
ثالثاً: أهداف البحث
في إطار تحديد مشكلة البحث وأهميته فإن هدف البحث ينصب أساساً على تشخيص وتحديد دور ISO 27001:2005 في تعزيز مفهوم إدارة دورة حياة المعلومات،فضلاً عن تحقيق الأهداف الآتية :
1. التأكيد على المفاهيم الحديثة في جودة حماية المعلومات، ذلك من خلال توظيف المواصفة ISO 27001 كمواصفة حديثة لحماية المعلومات.
2. تحقيق الاستفادة القصوى من المعلومات وبشكل فعال.
3. إيجاد نقاط الارتباط بين ISO27001 و إدارة دورة حماية المعلومات.
رابعاً: فرضيات البحث
ينطلق البحث في صياغة فرضياته من تساؤلاته المعروضة واتساقاً مع أهدافه بموجب فرضية رئيسية مفادها أن تطبيقات ISO27001 تتكامل مع إدارة دورة حماية المعلومات.
خامساً : أنموذج البحث
لأجل معالجة مشكلة البحث وتحقيق أهدافه يقدم البحث أنموذجهُ الافتراضي كما في الشكل (4)

بنود ISO 27001 الرئيسية

المتطلبات العامة

مسؤولية الإدارة

التدقيق الداخلي

مراجعة الإدارة

تحسين النظام

دورة حياة المعلومات

فعالة

اقل فاعلية

تاريخية

مؤرشفة

الشكل (4)

أنموذج البحث

إذ يوضح الشكل (4) كيفية سيطرة بنود المواصفة 2005:ISO27001 على إدارة دورة حياة المعلومات، إذ تتكون مواصفة ISO27001 من ثمانية بنود، وتقسم الى قسمين:
أولاً : بنود عامة وتتكون من الأتي :
· البند الأول : المجال والذي يوضح فيه مجال التطبيق.
· البند الثاني: الإشارات المرجعية والتي توضح المصدر الرئيسي للتطبيق وهو ISO27001:2005 ، والتي ترتبط مباشرة مع ISO17799:2005 لأجل التطبيق.
· البند الثالث : الشروط والتعاريف وهذا البند يوضح شروط التطبيق وتوضيح المصطلحات المستخدمة لتجنب إساءة الفهم للمصطلحات.
ثانياً: بنود التطبيق الرئيسية للمواصفة وتتكون من البنود الآتية:
· البند الرابع : المتطلبات العامة والذي يوضح متضمنات عمليات التشغيل والمراقبة ومراجعة وثائق النظام.
· البند الخامس : مسؤولية الإدارة ضمن هذا البند يحدد به مدى التزام الإدارة بتطبيق بنود المواصفة، وتسخير كل الموارد اللازمة لإنجاح التطبيق، بالإضافة الى التدريب الذهني وتدريب القدرات لدى فريق العمل.
· البند السادس : التدقيق الداخلي لنظام إدارة وحماية المعلومات إذ تقوم المنظمة بإجراء تدقيقات داخلية على فترات مخطط لها مسبقا لتحيد فيما إذا كانت عملية التطبيق مطابقة مع الخطط الموضوعة ،فضلا عن كشف انحرافات التطبيق
· البند السابع: مراجعة الإدارة ويتم ذلك من خلال مراجعة مدخلات ومخرجات النظام.
· البند الثامن : تحسين النظام وهنا يتم التحسين المستمر للنظام من خلال تحديد الإجراءات التصحيحية، فضلا عن الإجراءات الوقائية، لتجنب وقوع الأخطاء .
ومن خلال العرض المختصر لبنود (ISO 27002:2005) ستتضح نقاط الارتباط والتقاطع لهذه المواصفة مع إدارة دورة حياة المعلومات . وذلك من خلال تشغيل بنود (ISO 27001) الرئيسة (من البند 4 إلى البند 8 ) ويتم ذلك في المرحلة الأولى من دورة حياة المعلومات، والتي تكون فيها المعلومات فعالة وحديثة الولادة (اقل من شهر )، وتمتاز المعلومات في هذه المرحلة بكونها عالية الأداء، أي مدى الاستفادة منها يكون عاليا، وفي هذه المرحلة فان نقطة التقاء ISO 27001 مع إدارة دورة حياة المعلومات سوف تظهر في هذه المرحلة من خلال البنود (4-2-1) (تأسيس النظام) الذي يضمن الحفاظ على المعلومات المستجدة ، فضلا عن الإبقاء على سريتها باعتبارها مادة فعالة في عملية اتخاذ القرار سواء كانت تنفيذية أو إستراتيجية، ثم تأتي المرحلة الثانية والمتمثلة بمرحلة المعلومات الأقل فاعلية، والتي يكون عمرها ( اقل من سنة )، وهنا فإن دور المواصفة في هذه المرحلة سوف يظهر بشكل واضح من خلال البندين (4-3) المتمثلين بمتطلبات التوثيق والتي تتكون من البنود الفرعية الآتية :
4-3-1 عام : ويوضح سياسة المنظمة في عملية التوثيق ، فضلا عن الإجراءات اللازمة لذلك.
4-3-2 السيطرة على الوثائق.
4-3-3 السيطرة على السجلات.
أما المرحلة الثالثة في دورة حياة المعلومات، والمتمثلة بالمعلومات التاريخية والتي يكون عمرها أكثر من سنة، واستخدامها يكون بشكل قليل، وتكون هذه المرحلة استمرارا للمرحلة الثانية، أما دور ISO 27001 في هذه المرحلة، فهو إبقاء السيطرة على الوثائق ( البند 4-3-2) فضلا عن مراجعة الإدارة للنظام بصورة مستمرة (البند 7) .
أما بالنسبة للمعلومات المؤرشفة، والتي تمثل المرحلة الأخيرة لدورة حياة المعلومات، والتي تمتاز بكون الحاجة إلى المعلومات فيها قليلة جدا، أو نادرة، إلا في حالة إجراء التنبؤات، وهنا تظهر أهمية المعلومات المؤرشفة، ولهذا فان دور المواصفة ISO27001 في هذه المرحلة هو الإبقاء على هذه المعلومات متاحة للقائم بعملية اتخاذ القرار من خلال البند (8) الذي يهتم بتحسين نظام إدارة وحماية المعلومات، وخصوصا في البند (8-1) الذي يهتم بالتحسين المستمر، وهكذا يمكن استخدام المعلومات المؤرشفة ، وتحويلها إلى معلومات فعالة ،وبهذا ستبدأ دورة حياة جديدة لهذه المعلومات.
أ‌- الاستنتاجات :
1. تعتبر المواصفة (ISO 27001:2005) قاعدة لتقييم إدارة حماية المعلومات، باعتبارها وثيقة لتقييم النظام.
2. وجود توجه عالمي جديد تزايد مع ظهور ثورة المعلومات، وهو مفهوم إدارة دورة حياة المعلومات ، إذ ركز المفهوم على كيفية التعامل مع المعلومات منذ ولادتها ونشوئها، وصولا إلى مرحلة حفظ المعلومات .
3. من الملاحظ وجود ندرة وانحسار في التأكيد على عمل إدارة دورة حياة المعلومات في ظل المواصفة (ISO 27001)، في حين انه يجب أن يعمل مفهوم إدارة دورة حياة المعلومات في ظل المواصفة (ISO 27001) لإعطائه الصفة النظامية والقانونية الموحدة .
4. ضرورة التركيز على كلف الخزن والاسترجاع والمعالجة لكل مرحلة من مراحل دورة حياة المعلومات .
5. التأكيد على إن قيمة المعلومات لا يمكن أن تنتهي، وإنما تتغير باختلاف مراحل دورة حياتها المختلفة وهذا لا يؤدي إلى تلاشي قيمة المعلومات .
ب‌- المقترحات
1. ضرورة التركيز على المفاهيم الحديثة التي تسلط الضوء على كل ما له علاقة بدورة حياة المعلومات، والمواصفة (ISO 27001) إذ أن المنظمات اليوم أصبحت منظمات تتسم بتزايد هائل في المعلومات، الأمر الذي يتوجب معه توجيه الأنظار نحو المفاهيم التي من شانها أن تسهل وتنظم التعامل مع هذه الزيادات في المعلومات.
2. يتوجب على المنظمات الصناعية بشكل عام التركيز على الحفاظ على المعلومات إذ أن هذه المعلومات لن تنتهي أو تضمحل قيمتها، بل ستتغير قيمتها مع مرور الزمن، الأمر الذي يوجب ضرورة توفير وسائل الخزن الملائمة ، وتوفير سهولة في عمليات الاسترجاع والتحديث .
3. حث المنظمات على ضرورة الربط الواقعي بين إدارة دورة حياة المعلومات ، والمواصفة (ISO 27001) ، إذ أن هذا الربط سيوفر وسائل فاعلة وناجحة للتعامل مع المعلومات ، فضلاً عن أن حصول المنظمات على شهادة ISO في هذا المجال سوف يمّكن المنظمات من الحصول على ميزة تنافسية، وإكسابها الطابع العالمي من خلال حصولها على شهادة دولية .

Source:

1. Alan Calder & Steve Watkins , 2008, IT GOVERNANCE A Manager’s Guide to Data Security and ISO27001/ISO 27002 , 4th edition, London and Philadelphia , British.
2. (http//:arabinfo.blogsspot.com
3. Arnason , Sigurjon Thor & Willett , Keith D. ,2008 , How to Achieve 27001 Certification : An Example of Applied Compliance Management, Taylor & Francis Group, LLC , USA.
4. CSIA , 2007, ISO 27001: Get The Facts , www.csialliance.org .
5. Herve' , Schaner , 2007, ISO 27001Certification, Eurose Forum, Paris, www.hsc.fr .
6. Hinson, Gary , 2008 , ISO27001 Security : The Financial Implications of Implementing ISO/IEC 27001&27002, a generic Cost Benefit Model , Isect. Ltd , www.iso27001security.com .
7. Nicolson, Rick , 2006, information life cycle management in the upstream oil gas industry ,fristbreak ,vol24, january, (www.fristbreack.org)
8. Thompson ,Robert , 2005, information life cycle management (ILM) for data Werhousing www.dmreview.com
9. Wind, Stephen , 2004, moving beyond information life cycle management, www.managementworldline.com
10. http://encyclopedia.thefreedictionary.com
11. http://searchyahoo.com
12. www.businesssolution.bell.ca:2
13. www.intertek-semkocertification,se , 2007
14. www.management1.com
15. www.sapphire.net , 2007, The Principles of ISO 27001 : including differences from BS7799: 2000
16. www.sun.com

* وهي الجهة المانحة للشهادة ISO 27001

* Cyber Security Industry Alliance

[علاء]

المحاسب اخي العزيز
أحييك على نشاطك هذا في خدمة الناس بالمعلومات الجيدة .
تحياتي لك

[Daleen]

شكراا ع ا لمعلومات ... والله يوفقك اخي العزيز

[عماد الركابي]

شكرا على مرورك الجميل نورتي الموضوع

[EvAnEsCeNcE]

عاشت ايديك عالشغل الحلو
بداية موفقة ان شاء الله
ودي~

[Samer]

أحسنت اخي العزيز على الموضوع النوعي

شكرا للدكتور علي عبد الستار على دراسته القيمة .. و هنيئا له هذه العلمية

تقييمي لك محاسبنا العزيز

[Snow Girl]

ماشاء الله
الله يزيدك وينور عقلك بعد
العلم حلو والفهم حلو
تستاهل التقييم وبجدارة على الموضوع

[سعد الزبيدي]

عاشت ايدك على الموضوع المفيد ومشكور
سعد الزبيدي