إعداد: ميس بروقة

تحرير: فرح الأعرج


shutterstock_71146456

الصادر عن جمعية تدقيق و ظبط نظم المعلومات علي انها مجموعة الضوابط المتعلقة ببيئة تطوير و صيانة  COBIT تعرف الضوابط العامة لتكنولوجيا المعلومات حسب إطار حوكمة تقنية الأنظمة

وتشغيل الأنظمة الحاسوبية والتطبيقات التقنية ، ولا تقتصر على ضوابط التطبيقات فقط. وينطبق هذا التعريف على جميع التطبيقات (قاموس مصطلحات جمعية تدقيق وضبط نظم المعلومات، 2014). وتشمل هذه الضوابط كل من السياسات والإجراءات والممارسات (المهام والأنشطة) التي تضعها الإدارة لتوفير توكيد معقول حول تحقيق الأهداف المحددة [2]؛ والتي تشتمل على التطوير والتطبيق  2014الصحيح للتطبيقات بالإضافة إلى نزاهة البرنامج والبيانات وعمليات التشغيل الحاسوبية. (قاموس مصطلحات جمعية تدقيق وضبط نظم المعلومات

ويمكن أن تكون الضوابط العامة، بطبيعة الحال، آلية أو يدوية أو هجينة [1]، ففي حالة الضوابط الآلية أو الهجينة؛ يتعين على مدقق تكنولوجيا المعلومات إجراء المزيد من الاختبارات والفحوصات ليقدم ضمان بشأن أي عمليات حسابية و/ أو تقارير تصدر من خلال النظام التقني ، وعمليات الربط المعقدة بين أنظمة تكنولوجيا المعلومات المختلفة بالإضافة إلى التأكد من فعالية ضوابط الدخول والاستخدام الامن  للأنظمة الحاسوبية والفصل بين المهام

ويجب الأخذ بعين الاعتبار أن الضوابط العامة تنطبق على جميع مجالات المؤسسة بما في ذلك البنية التحتية لتكنولوجيا المعلومات وخدمات الدعم [2]، ويجب على كل مدقق تكنولوجيا معلومات فهم بيئة الضوابط الرقابية الخاصة بتكنولوجيا المعلومات قبل إجراء أي اختبارات أو فحوصات  بحيث تشمل المجالات الأربعة الرئيسية الواردة أدناه:

الحوكمة الشاملة لتكنولوجيا المعلومات

ان الهدف من هذه الضابط هو الحصول على انطباع عام فيما يتعلق بفعالية وكفاءة الضوابط المحيطة ببيئة نظم المعلومات وذلك بهدف توفير التوكيد فميا يتعلق بالقيادة والهيكل التنظيمي والعمليات. ويجب أخذ مجموعة من المجالات في الاعتبار عند تدقيق هذه الضوابط مثل إطار وهيكل أمن المعلومات واستراتيجية تكنولوجيا المعلومات والهيكل التنظيمي  للمؤسسة والسياسات والإجراءات ، بما في ذلك أمن المعلومات، واستراتيجيات التعاقد بشأن تكنولوجيا المعلومات ومراقبة ضوابط تكنولوجيا المعلومات وخطط إدارة المخاطر وخطة استمرارية العمل. [2]

إدارة صلاحيات الدخول المادية والمنطقيه

يتمثل الهدف من هذا الضابط في التحقق من  فعالية وكفاءة العناصر الرئيسية التي تؤثر على سرية ونزاهة وتوافريه أنظمة المعلومات [2[. ويجب تناول مجالات مثل سياسات أمن المعلومات وتصميم ومراقبة تصنيف البيانات وبرامج الوعي الأمني وإدارة صلاحيات المستخدمين، بما في ذلك منح وإلغاء صلاحية دخول المستخدم للنظام ومراجعة صلاحيات المستخدمين وضمان سرية معلومات المستخدم بالإضافة إلى التسجيل والمراقبة وإلغاء أو تعديل صلاحيات الدخول لمركز البيانات لتوفير درجة كافية من الضمان بشأن هذه الضوابط. [1] [2]

shutterstock_292793306

ومن الجوانب الأساسية، التي يجب أخذها في الاعتبار عند التدقيق هي الأدوار والمسؤوليات، التعيين المناسب، جنبًا إلى جنب مع الصلاحيات والمحددات المفروضة على عمليات الدخول والاستخدام للأنظمة لضمان تحقيق الفصل بين المهام. [2]

الضوابط التشغيلية :

يتمثل الهدف من هذه الضوابط في التحقق من أن المستوى المتوقع للخدمة والمتفق عليه مع الإدارات سيتم تحقيقه عن طريق الأنشطة اليومية للمؤسسة. حتى يتمكن مدقق تكنولوجيا المعلومات من تقديم التوكيد حول هذه الضوابط يجب أن يقوم بتقييم عدة مجالات مثل الإجراءات التشغيلية وإجراءات الاستخدام للعمليات المجدولة وغير المجدولة، والتحديثات الآلية واليدوية وإدارة النسخ الاحتياطي  للبيانات والاسترجاع  ومراقبة استخدام الموارد وأنشطة الكشف عن البرمجيات الخبيئة واستخدام وسائل تخزين المعلومات المتنقلة USB والشبكات الخاصة الافتراضية وأنظمة كشف و منع الاختراقات الأمنية والتخطيط للتعافي من الكوارث لتوفير الضمان. [2]

تطوير وتغيير النظام

يتمثل الهدف من هذه الضوابط في توفير درجة مناسبة من التوكيد فيما يتعلق بالتغييرات التي يتم إجراءها على نظم المعلومات. ويجب  على مدقق تكنولوجيا المعلومات تناول سياسات وعمليات إدارة التغيير والدعم  والتعامل مع الحوادث وإدارة الإصدارات وإدارة المشكلات لضمان فعالية هذه الضوابط، ومن الجدير بالذكر أن هذه الضوابط غير مقتصرة على التغييرات المتعلقة بالبرمجيات وحدها حيث تشمل التغييرات على الأجهزة والمعدات كذلك. [2]

يتعلق كل مجال رئيسي تمت الإشارة إليه أعلاه بمجالات عديدة لتكنولوجيا المعلومات.

خاتمة

لقد ازدادت أهمية الضوابط العامة لتكنولوجيا المعلومات بصورة كبيرة نتيجة للاهتمام المتزايد من قبل  قانون ساربينز أوكسلي. واليوم، تعتبر الضوابط العامة لتكنولوجيا المعلومات أساس نظم أمن المعلومات الخاصة بجميع أنواع الصناعات. ويقدم المعيار الدولي لأمن المعلومات ISO 27001:2013 المتطلبات الخاصة بإنشاء نظام لإدارة أمن المعلومات وتطبيق هذا النظام وصيانته والتحسين المستمر له. وبالتالي، يجب على المدققين تقييم الضوابط العامة لتكنولوجيا المعلومات ودراسة النتائج قبل التقدم أكثر في خطة التدقيق.

المراجع

المعيار الدولي لأمن المعلومات ISO 27001:2013 – التقنيات الأمنية – نظم إدارة أمن المعلومات – المتطلبات

جمعية تدقيق وضبط نظم المعلومات، 2011، كتيب مراجعة مدقق نظم المعلومات المعتمد، الولايات المتحدة الأمريكية


ميس بروقة، حاصلة على شهادة ممارس معتمد في حوكمة  تقنية المعلومات في المؤسسات وشهادة إدارة المخاطر والامتثال، وهي استشارية في مجال مخاطر وتدقيق تكنولوجيا المعلومات في الأردن.