مدى توافر أمن المعلومات على وفق المواصفة القياسية الدولية (ISO/IEC27001:2013)  في المفوضية العليا المستقلة للانتخابات


الطالب : محمد كمال جلال           المشرف : أ.م. فراس رحيم يونس

تمت في كلية الادارة والاقتصاد – جامعة بغداد ، مناقشة بحث الدبلوم العالي في تخصص التخطيط الاستراتيجي للطالب ( محمد كمال جلال ) عن دراسته الموسومة ” مدى توافر أمن المعلومات على وفق المواصفة القياسية الدولية

(ISO/IEC27001:2013)  في المفوضية العليا المستقلة للانتخابات – دراسة حالة “.


تتطور تقنيات الحاسوب والاتصالات بصورة كبيرة جداً واعتماداً على هذا التطور تزداد التطبيقات تعقيداً نظراً للمتطلبات الكثيرة والمتجددة من قبل المستفيدين، وفي ضوء هذا التقدم في التطبيقات ازداد اعتماد المجتمعات عليها بحيث وضعت جميع حاجاتها وامانيها في هذه التطبيقات ، وفي كل يوم نسمع عن تطبيقات جديدة متطورة جاءت لتلبي متطلبات جديدة ظهرت مرافقة للحاجات الانسانية العديدة.


و من هذه التطبيقات الواعدة هي تطبيق الحكومة الالكترونية والتي تتجه اليها بسرعة جميع الدول فبعضها بدأت بتطبيقها والبعض الآخر استمر في تهيئة البنية التحتية لها من انظمة واجهزة اتصالات وتطبيقات فرعية ، لكن في هذا التطبيق يصبح الانسان المستفيد الرئيس وهو عبارة عن رقم تتداوله الانظمة لتقاضيه او تسترد حقوقه والغاية واحدة وهي سعادة الانسان بواسطة تسهيل الامور وتصديق المعاملات الرسمية ومنع الغش والاحتيال والكثير الكثير الذي لا يمكن ذكره هنا.


ان مثل هذه التطبيقات المهمة والتي تكون البيانات مادتها الخام والمعلومات ناتجها بالتأكيد ستكون عرضة للكثير من الاخطار سواء أكانت الطبيعية ام التي من صنع البشر ، ومن ثم فإن وأجب حماية التطبيقات والمعلومات التي تحتويها لهو شيء مهم جداً، فضلاً عن ان التوثيق والتحقق من المستفيدين واعطاء الصلاحيات بحسب المسؤوليات ومكافحة الفيروسات والكثير من المهام الكبيرة التي يجب توافرها لخدمة مثل هذه الانظمة لديمومة دقتها وثقة المستفيدين بها.


كما ازداد ايضاً ابتكار المتطفلين في ايجاد تهديدات متنوعة وبحسب نوع الاجهزة المستخدمة، فقد تراوحت هذه التهديدات من التنصت على خطوط الاتصالات الى الوصول الى الحواسيب وسرقة المعلومات المخزونة فيها، فضلاً عن الاطلاع على رسائل البريد الالكتروني ، كما ان زرع الفيروسات في التطبيقات والملفات هو خطر كبير وقد سمي بالغوريلا القاتل في القرن الواحد والعشرين.


ومثلما تنوعت التهديدات والاخطار كذلك تنوعت وسائل الحماية، ولكن الشيء المؤسف انه من غير الممكن وضع حماية واحدة لتجابه كل الاخطار، ولذلك يجب ان تكون هناك العديد من وسائل الحماية لتجابه الاخطار المهددة.


ان وجود انواع مختلفة من الاخطار ومع وجود الكثير من وسائل الحماية بالوقت نفسه يتطلب وجود إدارة لأمن المعلومات حتى تستطيع أن ترسم السياسة الأمنية وتتابع اجراءات التنفيذ، فضلاً عن تقييم وسائل الحماية الحالية وسد الثغرات الأمنية حتى تتمتع التطبيقات بالموثوقية من قبل المستفيدين والدقة في تنفيذ الاعمال.


ومن هذا المنطلق تبلورت فكرة البحث الحالي، لتتناول موضوعاً معاصراً لا الدور الفاعل في أداء المنظمات في ظل تزايد التعقيدات التي تواجهها، والتي قد تكون سبباً في جعل أي منظمة خارج المضمار ، ولقد أثبتت نتائج الكثير من الدراسات العملية أو التطبيقية لهذا المتغير في بيئات مختلفة أهميتها في نجاح المنظمات، ونظراً لحاجة البيئة العراقية ومنظماتها لمثل هذه الدراسات والبحوث، جاء هذا البحث ليأخذ على عاتقه اختبار هذا المتغير في المفوضية العليا المستقلة للانتخابات والذي هو بأمس الحاجة لمثل هذه الدراسات، ولمزيد من الدراسات المعمقة والابحاث والحوار من خلال إقامة ورش العمل والندوات والمؤتمرات لتوضيح مفهوم نظام إدارة أمن المعلومات ومجالاته ومنافعه لهذا القطاع الحيوي.


وقد سعى البحث الحالي إلى التعرف على  مدى توافر نظام أمن المعلومات على وفق المواصفة القياسية الدولية (ISO/IEC27001:2013) في المفوضية العليا المستقلة للانتخابات من حيث السياسات والاجراءات الادارية والفنية وإدارة المخاطر والتقنيات المتبعة وبالاعتماد على آراء الخبراء في القطاع ممن يشغلون مواقع ( مدير المفوضية، ومديري الدوائر الانتخابية ومعاونيهم، ورؤساء الاقسام، ورؤساء الشعب ).


و تظهر اهمية البحث بوصفه محاولة للربط بين واقع نظم إدارة أمن المعلومات في المفوضية العليا المستقلة للانتخابات مع المواصفة الدولية (ISO/IEC27001:2013).


وتكمن مشكلة البحث في كون المعلومات تعد اليوم واحدة من الأصول الأكثر قيمة للمنظمة. فمن دون وجود إطار مناسب لسياسات وإجراءات وممارسات أمن المعلومات، فإن وجود المنظمة يكون مهدداً في هذا العالم من المنافسة الشرسة ، لذا فإن “حقيقة الفضاء المعلوماتي بات غير أمن، مما جعل المنظمات تسعى جاهدة إلى تبني معايير محددة للسياسات الأمنية للمعلومات، فتقوم برسم منهجية متكاملة لتطبيق مفهوم أمن المعلومات في المنظمات ابتداء من تحليل المخاطر المحيطة بالمنظمة، وانتهاءً باستنتاج واستخراج الضوابط الأمنية للتقليل من تلك المخاطر ، فقد قامت المنظمة الدولية للمعايير (ISO) بتبني معيار موحد لرسم وتحديد السياسات الأمنية للمعلومات مثل (BS9977)، والذي ظهر بعده معايير عدة كان آخرها (ISO27001).


جرى اختيار المفوضية العليا المستقلة للانتخابات/المكتب الوطني في بغداد موقعاً لإجراء البحث، وقد اتبع منهج دراسة الحالة والبحث التطبيقي ومن خلال المعايشة الميدانية والملاحظات وعمل المقابلات والاطلاع على الوثائق والمعلومات المستقاة من السجلات والوثائق من تحديد مقدار الفجوة الحاصلة ما بين إدارة أمن المعلومات في المفوضية المبحوثة والنظام الذي جاءت به المواصفة وتحليل اسباب الفجوات ووضع الحلول، واعتمد البحث على قوائم الفحص المعدة من قبل منظمة التقييس الدولية، ولغرض تحليل البيانات فقد استعمل المقياس السباعي في قوائم الفحص لقياس مدى مطابقة التنفيذ والتوثيق الفعلي لمتطلبات المواصفة مع تحديد الاوزان لإجابات الاسئلة الواردة في قوائم الفحص عن طريق تخصيص وزن محدد لكل فقرة من فقرات المقياس. واستخدم البحث وسيلتين إحصائيتين هما النسبة المئوية والوسط الحسابي المرجح للتعبير مدى التطبيق والتوثيق لفقرات المواصفة المذكورة، واعتمد على بيان الاسباب الرئيسة والفرعية في ظهور تلك الفجوات من خلال استخدام مخطط السبب والنتيجة (ايشيكاوا) ومخطط باريتو.


وبغية بلوغ الأهداف المشار إليها وزعت معلومات البحث وحقائقها على أربعة فصول ، حيث تخصص الفصل الأول بمنهجية البحث وعرض الجهود المعرفية السابقة عبر مبحثين اثنين تناول الأول منها منهجية البحث، وانصرف الفصل الثاني إلى عرض الجهود المعرفية ومناقشتها ومجالات الإفادة منها. أما الفصل الثاني فقد اهتم بنظام إدارة أمن المعلومات عبر مبحثين اثنين، تخصص الأول بالمرتكزات الفكرية بنظام إدارة أمن المعلومات، وتناول الثاني نظام إدارة أمن المعلومات في ظل المواصفة القياسية الدولية (ISO/IEC27001:2013).


واهتم الفصل الثالث، وعبر ثلاث مباحث، انصرف الأول إلى تقديم نبذة تعريفية عن موقع إجراء البحث، والثاني قياس مستوى تطبيق  متطلبات المواصفة القياسية الدولية (ISO/IEC27001:2013) وتوثيقها في المفوضية المستقلة العليا للانتخابات وتحليلها، اما الثالث فقد كرس لتحليل فجوات متطلبات المواصفة آنفة الذكر ومدى امكانية تطبيقها ، واختتم البحث بالفصل الرابع بالاستنتاجات والتوصيات عبر مبحثين اثنين أخذ الأول مسؤولية تحديد الاستنتاجات من البحث وتناول الآخر توصيف التوصيات، وسعى البحث إلى تقديم توصيات عملية إجرائية بخطوات وبرامج واضحة وقابلة للتنفيذ من أجل تطبيق المواصفة المذكورة.


وقد أظهرت النتائج التي توصل إليها البحث جملة من الاسباب كانت تحول دون تطبيق نظام إدارة أمن المعلومات، تم في ضوئها وضع معالجات من شأنها تقليل الفجوات التي ظهرت وكانت من اهمها: ظهر أن المفوضية لم تتبنى استراتيجية واضحة وموثقة لمعالجة المخاطر، كما أن ادارة امن المعلومات غير فعالة وغير مؤمنة من التهديدات الخارجية والداخلية، لكون نظام التدقيق الداخلي نظام تقليدي.


وقد أوصى البحث بضرورة وضع استراتيجية لمعالجة المخاطر يراعى فيها الخيارات الاربعة (التجنب والنقل والتخفيف واستمرار المخاطر) وبموافقة واشراف الادارة العليا، والأخذ بنظام التدقيق الحديث وعلى وفق المواصفة المذكورة التي تضمن المهارة والمعرفة في التعامل مع مبادى نظام ادارة امن المعلومات وتطبيقاته العملية وإنشاء ما يسمى بالإدارة الوقائية ضد مخاطر امن المعلومات.

Comments are disabled.