إعداد: ملحم خوري نيكولاس - MBA

تحرير: اندرو كوكس


أطلقت حكومة دبي الإصدار الثاني من نظام أمن المعلومات (ISR) في عام 2017 بهدف تعزيز وتحسين النسخة السابقة من النظام و التي اصدرت في العام 2012.

إذ يعكس الإصدار الجديد من نظام أمن المعلومات لحكومة دبي مستوى الريادة في مجال أمن المعلومات والخصوصية في منطقة الشرق الأوسط. حيث أصبح المعيار الأمني يمثل حجر الأساس في تقديم خدمات الأعمال الناجحة والامنة خصوصاً في ظل الاعتماد الكبير على التكنولوجيا التي أصبحت عنصرا رئيسياً في أنشطة الأعمال.

فيما يلي التغييرات الرئيسية في الإصدار الثاني من نظام أمن المعلومات:

  • التأكيد على تطبيق اللائحة على جميع جهات القطاع العام التابعة لحكومة دبي (DGEs).
  • إدراج مبادئ أمن المعلومات في جميع الجوانب ذات الصلة بإدارات الجهات الحكومية في إمارة دبي.
  • إشراك المدراء العامين في الجهات الحكومية التابعة لإمارة دبي ضمن اللجنة التوجيهية لنظام أمن المعلومات في جهتهم.
  • طلب تقييم شامل للمخاطر في الجهات الحكومية التابعة لإمارة دبي.
  • فصل الرئيس التنفيذي لأمن المعلومات (CISO) عن إدارة تكنولوجيا المعلومات (IT) وإنشاء قنوات جديدة لرفع التقارير بين كل من الرئيس التنفيذي لأمن المعلومات والإدارة العليا واللجنة التوجيهية لنظام أمن المعلومات.
  • إضافة مجال جديد لدمج متطلبات أمن المعلومات المتعلقة بالأمن السحابي Cloud Security.

على الرغم من أن الإصدار الثاني من نظام أمن المعلومات لا يقدم تغييرات جوهرية حول كيفية تطبيق أمن المعلومات في الجهات الحكومية التابعة لإمارة دبي، إلا أنه يقدم أساليب إدارة و حوكمة محسنة. يوفر هذا المقال التعليق على المعيار المحسّن

يقدم الإصدار الثاني من نظام أمن المعلومات مجموعة من التحسينات على أمن المعلومات والخصوصية.

تطبيق الإصدار الثاني من نظام أمن المعلومات

 ، أطلق صاحب السمو الشيخ محمد بن راشد آل مكتوم، نائب رئيس الدولة ورئيس مجلس الوزراء حاكم دبي، استراتيجية دبي للأمن الإلكتروني في سبتمبر 2017. حيث تهدف هذه الاستراتيجية إلى تعزيز مكانة دبي كرائد عالمي في مجال الابتكار والسلامة والأمن. ويعد نظام أمن المعلومات أحد المكونات الرئيسة لهذه الاستراتيجية.

إن الغرض من هذه الاستراتيجية هو بناء مجتمع معلومات آمن، خاصة بين الجهات الحكومية في إمارة دبي .  وهذا يعني أن استراتيجية الأمن الإلكتروني(السيبراني) وأهداف أمن المعلومات ستكون جزءًا لا يتجزأ من كل خدمة يتم تقديمها من قبل الجهات الحكومية في إمارة دبي.  وقد تم تحديد خمسة مبادئ توجيهية وخمس نطاقات تحتوي على أهداف ذات صلة بالمجال، بحيث تتدرج وتتفرع  استراتيجية الأمن الإلكتروني في كل من القطاع العام والمؤسسات والأفراد والمتعاملين والمستخدمين.  فبالرغم من أن بعض الشركات الكبرى تتمتع ببعض الاستقلالية في كيفية تطبيق متطلبات نظام أمن المعلومات، إلا أن القطاع العام ملزم بتطبيقها. ومن المزمع أن تكون هناك أنشطة تدقيق و توكيد لضمان التطبيق الفعال لنظام أمن المعلومات.

يتم تطبيق الإصدار الثاني من نظام أمن المعلومات في الجهات الحكومية التي قامت فعلياً بتطبيق الإصدار الأول من نظام أمن المعلومات أو نظام آخر لإدارة أمن المعلومات (ISMS) سواء بشكل كامل أو جزئي.  حيث يتوفر لدى معظم الجهات الحكومية نظام لإدارة أمن المعلومات ، مما يعني أن التطبيق هو مسألة توظيف للإمكانيات الموجودة من أجل الوفاء بمتطلبات الإصدار الثاني من نظام أمن المعلومات. كما أن الجهات الحكومية  لن تحتاج إلى تقديم خدمات أو وظائف جديدة، حيث يمكن تطبيق الإصدار الثاني من نظام أمن المعلومات من خلال إعادة هيكلة بسيطة. والهدف هو تطبيق نظام أمن المعلومات في جميع الجهات الحكومية ومن ثم ضمان أنها تعمل بشكل فعال.

 يوضح الرسم التوضيحي التالي كيف يبدأ تطوير أمن المعلومات بوضع السياسة وينتهي بضوابط محددة تتم مراجعتها بواسطة أنشطة التوكيد. وقد تم إنشاء الإصدار الثاني من نظام أمن المعلومات بدقة كما هو موضح أدناه.

ISRA1

تركيز نظام أمن المعلومات على الحوكمة

يتركز الجزء الأكبر من الجهد المنصب نحو تحقيق الامتثال للإصدار الثاني من نظام أمن المعلومات في خمس خطوات كما يلي:

  • اللجنة التوجيهية لأمن المعلومات (ISSC) واعتماد سياسات وإجراءات نظام أمن المعلومات.
  • حصر ناجح لمعلومات سجل الأصول.
  • تصميم وتنفيذ منهجية تقييم مخاطر قابلة للتطبيق.
  • إجراء حملة توعية شاملة بأمن المعلومات على مستوى الجهة.
  • التوقيع على سياسة قبول المستخدم، بما في ذلك جميع سياسات أمن المعلومات.

إن هذه الخطوات تعتبر مقدمة للمتطلبات التي تنطوي عليها إدارة وتنفيذ السياسات والإجراءات في جميع المجالات.  ومن ثم، تنص متطلبات الحوكمة الخاصة بالإصدار الثاني من نظام أمن المعلومات على أن يشارك المدير العام أو المدير التنفيذي، إلى جانب مديري أو رؤساء الأقسام، كأعضاء في اللجنة التوجيهية لأمن المعلومات وذلك بهدف إشراكهم بشكل فعال في أنشطة تطبيق نظام أمن المعلومات.  هذا يتطلب جهدا في المجالات التالية:

ISRA2

الحوكمة

 

تتطلب الحوكمة الجيدة تحديد معايير الأداء (مؤشرات الأداء الرئيسة KPIs) التي تربط المخرجات والنتائج المرجوة.  على سبيل المثال، قد لا يكون المدير العام على دراية وثيقة بإدارة القدرات،  ولكن إذا كانت مؤشرات الأداء الرئيسة (  KPI ) محددة ب 80 ٪ وتم تجاوزها، فسيكون هذا بمثابة إنذارا مبكرا.

 

كما أن هناك تغيير آخر يتمثل في أن الرئيس التنفيذي لأمن المعلومات (CISO) يقدم تقاريره إلى المدير العام أو إلى اللجنة التوجيه لأمن المعلومات، والذي يمثل تغييرا من الإصدار الأول لنظام أمن المعلومات إلى الإصدار الثاني لنظام أمن المعلومات.  ويهدف هذا التغيير إلى منح الرئيس التنفيذي لأمن المعلومات إمكانية التواصل المباشر مع الإدارة العليا المعنية بصنع القرار.   ينص الإصدار الثاني من نظام أمن المعلومات   ” يجب أن يتحمل مسؤولية إدارة أمن المعلومات منصب ذو سلطة واستقلالية “.  على الصعيد العملي، قد يجلب هذا التغيير تحديات حول كيفية تطبيقه ، والتي يمكن أن تكون في شكل ما يلي:

  • إعادة تصميم سياسات وإجراءات أمن المعلومات.
  • تعديل الوصف الوظيفي للرئيس التنفيذي لأمن المعلومات.
  • تعديل توصيف الوظائف لموظفي إدارة أمن المعلومات.
  • إضافة مهام للجنة التوجيهية لأمن المعلومات.
  • تحديد أساليب رفع التقارير وإضفاء الطابع الرسمي على المهام الدورية والروتينية.

تقييم المخاطر

 كجزء حيوي من جوانب حوكمة نظام أمن المعلومات، فإن تقييم المخاطر مطلوب لتحقيق هدفين رئيسين.  الأول هو تحسين السياسات والإجراءات الحالية على أساس منتظم.  والثاني هو توجيه مصادر التدقيق الداخلي أثناء إعداد الخطة نحو المجالات عالية المخاطر التي تتطلب جهدًا كبيرًا في التدقيق.

كما تقدم الحوسبة السحابية مجموعة جديدة من التحديات في مجال المخاطر والرقابة.   حيث أضاف الإصدار الثاني من نظام أمن المعلومات نطاقًا جديدًا لتلبية احتياجات أمن وحماية الحوسبة السحابية.  إذ يجب توفير الخدمات السحابية فقط من خلال الشركات الإماراتية المحلية التي لا تقوم بتخزين البيانات في الخارج وذلك لأسباب أمنية.  في حال كانت متطلبات الأمن السحابي المتعلقة  بالتعاقد  مع مزودي الخدمات العاملين في دولة الإمارات العربية المتحدة غير مطبقة في بعض الجهات الحكومية في دبي.  فإن هذا يعني أنه إذا كانت هناك عقود مسبقة مع شركات خارجية ، فستحتاج الجهات الحكومية إلى مراجعة  العقود القائمة الخاصة بها.

تدقيق الإصدار الثاني من نظام أمن المعلومات

نظام أمن المعلومات هو وثيقة تنظيمية تحدد قانون أمن المعلومات في الإمارات العربية المتحدة.  وهذا يعني أن عملية التخطيط لتدقيق نظام أمن المعلومات يجب أن تأخذ في الاعتبار:

  • القانون واللوائح (المرجع: نظام أمن المعلومات الإصدار الثاني القسم 1 الامتثال للمتطلبات القانونية للحكومة الاتحادية والمحلية).
  • السياسات والإجراءات الداخلية في الجهات الحكومية لإمارة دبي.
  • معايير أمن المعلومات الأخرى المنفذة.

تضيف هذه الاعتبارات الإضافية عبئًا على التخطيط لتنفيذ عملية التدقيق، حيث يحتاج المدقق لفهم هذه المدخلات وأخذها في الاعتبار عند وضع خطة تدقيق تتضمن متطلبات تنظيمية.

تدقيق نظام أمن المعلومات أثناء سيران العمل

إن وجود نهج محدد في التخطيط لعملية التدقيق على نظام أمن المعلومات يعتبر أساسياً وذلك لضمان عدم تفويت التدقيق لأي جزء حيوي من التشريعات ذات الصلة.   ﯾﺟب أن ﯾﻧطوي ﻧﮭﺞ اﻟﺗدﻗﯾق ﻋﻟﯽ ﻋواﻣل ﺧﺎﺻﺔ ﺑﺗدﻗﯾق الجهات الحكومية في إمارة دبي.   يميل عملاء التدقيق إلى انتقاد نهج المدقق وكذلك إلى نقص معرفته بالموضوع.  يمكن أن يكون نهج التدقيق الدوري كما هو موضح في الرسم البياني التالي مفيدًا لضمان التركيز على أهداف التدقيق.

isra3

عملية التخطيط لتدقيق نظام أمن المعلومات

 إن تطبيق الإصدار الثاني من نظام أمن المعلومات يأتي من خلال الالتزام بالقوانين واللوائح ذات العلاقة.  لهذا السبب، يمكن أن تتضمن عملية التخطيط لتدقيق نظام أمن المعلومات عدة مصادر موضحة في الشكل أدناه.  سيستخدم المدققون تقييم المخاطر للمساعدة في التخطيط لعمليات التدقيق.  كما يحتاجون إلى النظر في القوانين التي تنطبق على كل إدارة في الجهات الحكومية لإمارة دبي. مثل؟ .  للقيام بذلك، يتعين على المدققين تحديد أولويات مساهماتهم لوضع خطة عملية للتدقيق.  يوضح الرسم التوضيحي أدناه بعض المصادر التي قد يفكر فيها مدققو نظام أمن المعلومات في عملية التخطيط لتدقيق نظام أمن المعلومات.

ISRA4

إجراء التدقيق على نظام أمن المعلومات

إن إجراء التدقيق على نظام أمن المعلومات قد يواجه بعض المصاعب والعراقيل نتيجة للجداول الزمنية المزدحمة والحاجة للتأكيد على الملاحظات، من ناحية أخرى، قد يتعرقل نتيجة للمانعة أو سوء الفهم.  ومع ذلك، فإن طرح السؤال الصحيح قد يساعد في الحصول على تفهم الشخص الذي تتم مقابلته . هذا سيضمن الاستثمار الأمثل للوقت ويقلل من سوء الفهم بهدف تسهيل المقابلة.

لتحقيق ذلك، يجب على المدقق التفكير في توحيد المعايير المستخدمة في التدقيق. وبعبارة أخرى، ما هو مشترك بين جميع الإدارات وما هي المواصفات المحددة لكل منها . الهدف هو جمع المجالات المشتركة، ونشر هذه المجالات في جميع الإدارات، وإضافة مجالات محددة من الاستبيان إلى كل إدارة. وهذا سيجعل توحيد الإجابات والردود أسرع من جمع الاستبيانات المصممة بشكل فردي.

معظم الجهات الحكومية في دبي منشغلة و جداولها عرضة للتغيير.  يجب أن تكون أعمال التدقيق جيدة التخطيط بحيث يكون هناك أقل قدر من التعطيل لعملاء التدقيق.  سؤال عملاء التدقيق، على نحو استباقي، عن الأوقات المتاحة لتواجدهم، يتيح فرصة التخطيط العملي لتحقيق أقصى استفادة من الوقت المتاح من قبل موظفي الجهات الحكومية في دبي.  يوضح الجدول أدناه مثالاً لكيفية الحصول على تواجد عملاء التدقيق عند التخطيط لجدول التدقيق.

ISRA5

الإبلاغ عن نتائج التدقيق على نظام أمن المعلومات

يمثل الانتهاء من التدقيق وتبليغ النتائج إلى أصحاب المصلحة الجزء الأكثر أهمية في تدقيق نظام أمن المعلومات. كما أن إشراك عميل التدقيق للتحقق من صحة نتائج التدقيق ووضع خطط عمل فعالة لمعالجة المخاطر التي حددتها عملية التدقيق يعتبر النهج العملي الأمثل لتجنب المقاومة والرفض.

يجب أن يتناول تقرير التدقيق احتياجات كافة أصحاب المصلحة مثل اللجنة التوجيه لأمن المعلومات، والمجالات الفنية، والمستخدمين. ويتم رفع التقارير إلى اللجنة التوجيه لأمن المعلومات بشكل عام من خلال ملخص تنفيذي وذلك للمساعدة في اتخاذ القرار.  كما يجب أن تحدد التقارير المجالات التي تتطلب التحسين. ويجب أن تركز جوانب التقارير الفنية على الأمور العملية المتعلقة بتصميم وضبط خدمات التكنولوجيا التي تحتاج إلى تحسين.

وأخيرًا، يجب أن توفر خطط العمل ملخصًا واضحًا للإجراءات المطلوبة، والمسؤول عنها، والإطار الزمني المتفق عليه للتنفيذ.

ISRA6

يمكن أيضًا تقليل العينة أدناه إلى ثلاثة حقول ، مثل الضوابط والمتطلبات والإجراءات.  والهدف هو أن يقوم المستخدم بتنفيذ ضوابط فعالة من حيث التكلفة.

ISR7

الحوسبة السحابية تقدم مجموعة جديدة من المخاطر والضوابط الرقابية.

يلقي الإصدار الثاني من نظام أمن المعلومات الضوء على المتطلبات اللازمة للحصول على نظام أمن معلومات فعال . حيث يمثل فرصة للمؤسسات للتعلم من النهج ومستوى المعرفة الذي يجلبه نظام أمن المعلومات وبناء قاعدة متينة لأمن المعلومات.