المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : دور iso 27001:2005) ) في تعزيز مفهوم إدارة دورة حياة المعلومات


Eng.Jordan
01-29-2013, 10:15 PM
حمل المرجع كاملاً من المرفقات




)أنموذج مقترح(
د.علي عبد الستار عبد الجبار الحافظ احمد هاني محمد ألنعيمي
أستاذ مساعد مدرس
قسم الإدارة الصناعية قسم الإدارة الصناعية
كلية الإدارة والاقتصاد/ جامعة الموصل كلية الإدارة والاقتصاد/ جامعة الموصل
aliabdulsattar1976@yahoo.com ahmedhanyi@yahoo.com

الملخص:
تعد ISO 27001 مواصفة متقدمة يمكن من خلالها تلبية متطلبات المنظمة من خلال إقامة نظام إدارة حماية المعلومات ، يصلح لكافة المنظمات سواء كانت صناعية أو خدمية، فضلاً عن تطبيق وتشغيل ومراقبة ومراجعة النظام ككل، كذلك يمكن اعتباره مدخلاً للتحسين المستمر لنظام توثيق وإدارة المعلومات.
ومن هذا المنطلق جاء التركيز على إدارة دورة حياة المعلومات (ILM) كواحدة من المبادرات التي يتم حاليا مناقشتها على نحو واسع في صناعة الخزن المعلوماتي.
وبهذا جاءت هذا البحث بهدف تسليط الضوء على دور ISO 27001 في تعزيز دور إدارة دورة حياة المعلومات، وما سيسهم به من إتاحة فرص وقدرات وقابليات أكثر في التعامل مع المعلومات والبيانات التي تتسم بالتزايد المضطرد في منظمات الأعمال إنتاجية كانت أم خدمية، وقد استخلص البحث إلى أن وجود ندرة وانحسار في التأكيد على عمل إدارة دورة حياة المعلومات في ظل المواصفة (ISO 27001)، في حين انه يجب أن يعمل مفهوم إدارة دورة حياة المعلومات في ظل المواصفة (ISO 27001) لإعطائه الصفة النظامية والقانونية الموحدة.
المحور الأول الجانب النظري:
تعد المعلومات احد المحاور الحاسمة التي توجه الشركات نحو اتخاذ القرارات الصائبة لذا يجب عليها الاهتمام المتزايد بمصادر المعلومات ومن ثم الحفاظ عليها ومن الآخرين من الاطلاع عليها، كذلك دراسة سبل إبقائها تحت متناول صناع القرارات داخل المنظمة، أي تقديم المعلومات بالجودة المطلوبة من اجل اتخاذ القرار الصائب، ومن هذا المنطلق افرد المحور الأول بتناول بعض الجوانب النظرية الهامة بهذا المجال وكالاتي:
أولاً : نظم إدارة حماية المعلومات ISO27001 (المتطلبات) .
ثانياً: إدارة دورة حياة المعلومات .
أولاً : نظم إدارة حماية المعلومات ISO27001 (المتطلبات)

مقدمة:
إن الحاجة المستديمة للمعلومات والتي تعد سلاحاً فعالاً لدى إدارات المنظمات صناعية كانت أم خدمية ولـّد لديها الحاجة الى الحفاظ على المعلومات وحمايتها من التسرب والعبث بها من قبل جهات غير مرخص لها الاطلاع عليها، لذا بدأت المنظمات بالبحث عن طرائق ووسائل مختلفة لحماية المعلومات لهذا قامت منظمة المقاييس الدولية ISO بتطوير سلسلة جديدة متخصصة بحماية المعلومات وهي ISO27001:2005 والتي يطلق عليها نظم إدارة حماية المعلومات (المتطلبات)، إذ تزود المواصفة ISO 27001 المنظمة أنموذج مشترك لتطبيق وتشغيل وتحسين نظم إدارة حماية المعلومات ISMS (Information Security Management System)، إن غاية منظمة ISO أن تنسق بين معايير ISO27001 مع معايير نظم الإدارة الأخرى مثلا ً ISO 9001:2000 التي تخاطب نظم إدارة الجودة، وكذلك ISO14001:2004 التي تخاطب نظم إدارة البيئة (Arnason & Willett, 2008,5).
كذلك تزود مواصفة ISO27001 إدارات المنظمات الصناعية والخدمية بتوجيهات لتطبيق نظم إدارة حماية المعلومات ISMS ،فضلا عن حصولها على شهادة الطرف الثالث* (http://www.shatharat.net/vb/#_ftn1) الدولية لإثبات سيطرة المنظمة على حماية معلوماتها والتي تشغل طبقاً لمتطلبات المعايير الدولية، بالإضافة الى مراقبة وإدامة نظام ISMS من قبل منظمة ISO، وبهذا يجب أن يخاطب نظام إدارة حماية المعلومات كل أطوار الهيكل التنظيمي، السياسات، خطط النشاط، المسؤوليات، الممارسات، الإجراءات، العمليات وأخيراً مصادر المعلومات.
إن التطبيق الفعّال لـ ISO27001 يوفر للإدارة العليا الوسائل لمراقبة والسيطرة على حماية المعلومات بينما يقلل من أخطار العمل الناشئ من عدم الحصول على المعلومات بالدقة المطلوبة، كذلك خطر تسرب المعلومات، بعد تطبيق المنظمة المواصفة ستضمن حماية معلوماتها رسمياً للتواصل مع الزبون وشرعية (قانونية) المنظمة بالإضافة الى إرضاء متطلبات أصحاب المصالح لدى المنظمة.



التطور التاريخي لمواصفة نظم إدارة حماية المعلومات ISO27001
جاءت المواصفة ISO27001 بالاعتماد على المواصفة البريطانية BS7799 والتي كانت نتيجة مبادرة مشتركة من القطاع التجاري والصناعي البريطاني والتي بدأت العمل عام 1992 حيث أصدرت المواصفة البريطانية الأولى BS7799 في شباط عام 1995، حيث مثلت قاعدة ممارسات لإدارة حماية تكنولوجيا المعلومات، ثم استمرت المنظمات بتطوير نظام حماية المعلومات التي أفرزت حل سميّ بذلك الوقت (العلاج C) الذي تبنى إطار لتطبيق المعايير الخاصة بحماية المعلومات والتي تم إطلاقها في نيسان عام 1997،لكن بسبب الصعوبات التي واجهتها عملية التطبيق (للعلاج C) تم تنفيذه عام 2000، ذلك بسبب أن BS7799 مرَ بمراجعة هامة عام 1998 والتغذية العكسية رُتبت وتم مراجعتها مرة أخرى وأطلقت النسخة الكاملة الأولى لـ BS7799 عام 1999 كنسخة أصلية لقاعدة الممارسات وحفظت وسميت بـ BS7799 الجزء الأول، أما الجزء الثاني من المواصفة البريطانية BS7799 سميت بـ (المواصفات لأنظمة إدارة حماية المعلومات) والذي يعتبر نظام مقيّم ومصدق وهو موجه لإدارة أنظمة حماية المعلومات. (( www.sapphire.net:2007
ثم مرت المواصفة البريطانية BS7799 بمراجعة أخرى عام 2002 وحصلت على العديد من التغيرات، ثم بقت كما هي حتى تم إصدار المواصفة الدولية ISO27001 في عام 2005 كقاعدة للممارسات والتي تأخذ توجيهاتها ووصياتها من المواصفة الدولية ISO17799:2000 الموازية للمواصفة البريطانية BS7799. ( (Calder & Watkins,2008,35
وبهذا يمكن أن تعتبر ISO27001 كقاعدة لتقييم نظام إدارة حماية المعلومات (ISMS) المتكامل، أو هي وثيقة التي تقييم أي نظام لإدارة حماية المعلومات.



حمل المرجع كاملاً من المرفقات





Cyber Security Industry Alliance