Arabic final new

Recommendations

Info

تدقيق تكنولوجيا املعلومات بقلم ميس برقوق الضوابط العامة لتكنولوجيا املعلومات:‏ األساسيات تعرف الضوابط العامة لتكنولوجيا المعلومات حسب إطار حوكمة تقنية المعلومات COBIT الصادر عن جمعية تدقيق وضبط نظم المعلومات على أنها مجموعة الضوابط المتعلقة ببيئة تطوير وصيانة وتشغيل األنظمة الحاسوبية والتطبيقات التقنية ، وال تقتصر على ضوابط التطبيقات فقط.‏ وينطبق هذا التعريف على جميع التطبيقات ‏)قاموس مصطلحات جمعية تدقيق وضبط نظم المعلومات،‏ 2014(. وتشمل هذه الضوابط كل من السياسات واإلجراءات والممارسات ‏)المهام واألنشطة(‏ التي تضعها اإلدارة لتوفير توكيد معقول حول تحقيق األهداف المحددة ]2[ ؛ والتي تشتمل على التطوير والتطبيق الصحيح للتطبيقات باإلضافة إلى نزاهة البرنامج والبيانات وعمليات التشغيل الحاسوبية.‏ ‏)قاموس مصطلحات جمعية تدقيق وضبط نظم المعلومات،‏ 2014(. ويمكن أن تكون الضوابط العامة،‏ بطبيعة الحال،‏ آلية أو يدوية أو هجينة ]1[ ، ففي حالة الضوابط اآللية أو الهجينة؛ يتعين على مدقق تكنولوجيا المعلومات إجراء المزيد من االختبارات والفحوصات ليقدم ضمان بشأن أي عمليات حسابية و/‏ أو تقارير تصدر من خالل النظام التقني،‏ وعمليات الربط المعقدة بين أنظمة تكنولوجيا المعلومات المختلفة باإلضافة إلى التأكد من فعالية ضوابط الدخول واالستخدام االمن لألنظمة الحاسوبية والفصل بين المهام.‏ ويجب األخذ بعين االعتبار أن الضوابط العامة تنطبق على جميع مجاالت المؤسسة بما في ذلك البنية التحتية لتكنولوجيا المعلومات وخدمات الدعم ]2[ ، ويجب على كل مدقق تكنولوجيا معلومات فهم بيئة الضوابط الرقابية الخاصة بتكنولوجيا المعلومات قبل إجراء أي اختبارات أو فحوصات بحيث تشمل المجاالت األربعة الرئيسية الواردة أدناه:‏ 1- الحوكمة الشاملة لتكنولوجيا المعلومات ان الهدف من هذه الضابط هو الحصول على انطباع عام فيما يتعلق بفعالية وكفاءة الضوابط المحيطة ببيئة نظم المعلومات وذلك بهدف توفير التوكيد فميا يتعلق بالقيادة والهيكل التنظيمي والعمليات.‏ ويجب أخذ مجموعة من المجاالت في االعتبار عند تدقيق هذه الضوابط مثل إطار وهيكل أمن المعلومات واستراتيجية تكنولوجيا المعلومات والهيكل التنظيمي للمؤسسة والسياسات واإلجراءات ، بما في ذلك أمن المعلومات،‏ واستراتيجيات التعاقد بشأن تكنولوجيا المعلومات ومراقبة ضوابط تكنولوجيا المعلومات ]2[ وخطط إدارة المخاطر وخطة استمرارية العمل.‏ 2- إدارة صالحيات الدخول المادية والمنطقية يتمثل الهدف من هذا الضابط في التحقق من فعالية وكفاءة العناصر الرئيسية التي تؤثر على سرية ونزاهة وتوافريه أنظمة سبتمبر 2016 10 المدقق الداخلي الشرق األوسط
للتعليق،‏ يرجى التواصل عرب الربيد اإللكرتوين:‏ mais.barouqa90@gmail.com تدقيق تكنولوجيا املعلومات المعلومات ]2[ . ويجب تناول مجاالت مثل سياسات أمن المعلومات وتصميم ومراقبة تصنيف البيانات وبرامج الوعي األمني واإ دارة صالحيات المستخدمين،‏ بما في ذلك منح واإ لغاء صالحية دخول المستخدم للنظام ومراجعة صالحيات المستخدمين وضمان سرية معلومات المستخدم باإلضافة إلى التسجيل والمراقبة واإ لغاء أو تعديل صالحيات الدخول لمركز البيانات لتوفير درجة ]2[ ]1[ كافية من الضمان بشأن هذه الضوابط.‏ ومن الجوانب األساسية،‏ التي يجب أخذها في االعتبار عند التدقيق هي األدوار والمسؤوليات،‏ التعيين المناسب،‏ جنبًا إلى جنب مع الصالحيات والمحددات المفروضة على عمليات الدخول ]2[ واالستخدام لألنظمة لضمان تحقيق الفصل بين المهام.‏ 3- الضوابط التشغيلية يتمثل الهدف من هذه الضوابط في التحقق من أن المستوى المتوقع للخدمة والمتفق عليه مع اإلدارات سيتم تحقيقه عن طريق األنشطة اليومية للمؤسسة.‏ حتى يتمكن مدقق تكنولوجيا المعلومات من تقديم التوكيد حول هذه الضوابط يجب أن يقوم بتقييم عدة مجاالت مثل اإلجراءات التشغيلية واإ جراءات االستخدام للعمليات المجدولة وغير المجدولة،‏ والتحديثات اآللية واليدوية واإ دارة النسخ االحتياطي للبيانات واالسترجاع ومراقبة استخدام الموارد وأنشطة الكشف عن البرمجيات الخبيئة واستخدام وسائل تخزين المعلومات المتنقلة USB والشبكات الخاصة االفتراضية وأنظمة كشف و منع االختراقات األمنية والتخطيط للتعافي من ]2[ الكوارث لتوفير الضمان.‏ 4- تطوير وتغيير النظام يتمثل الهدف من هذه الضوابط في توفير درجة مناسبة من التوكيد فيما يتعلق بالتغييرات التي يتم إجراءها على نظم المعلومات.‏ خاتمة ويجب على مدقق تكنولوجيا المعلومات تناول سياسات وعمليات إدارة التغيير والدعم والتعامل مع الحوادث واإ دارة اإلصدارات واإ دارة المشكالت لضمان فعالية هذه الضوابط،‏ ومن الجدير بالذكر أن هذه الضوابط غير مقتصرة على التغييرات المتعلقة بالبرمجيات ]2[ وحدها حيث تشمل التغييرات على األجهزة والمعدات كذلك.‏ يتعلق كل مجال رئيسي تمت اإلشارة إليه أعاله بمجاالت عديدة لتكنولوجيا المعلومات.‏ لقد ازدادت أهمية الضوابط العامة لتكنولوجيا المعلومات بصورة كبيرة نتيجة لالهتمام المتزايد من قبل قانون ساربينز أوكسلي.‏ واليوم،‏ تعتبر الضوابط العامة لتكنولوجيا المعلومات أساس نظم أمن المعلومات الخاصة بجميع أنواع الصناعات.‏ ويقدم المعيار الدولي ألمن المعلومات 27001:2013 ISO المتطلبات الخاصة بإنشاء نظام إلدارة أمن المعلومات وتطبيق هذا النظام وصيانته والتحسين المستمر له.‏ وبالتالي،‏ يجب على المدققين تقييم الضوابط العامة لتكنولوجيا المعلومات ودراسة النتائج قبل التقدم أكثر في خطة التدقيق.‏ المراجع ‎1‎‏-المعيار الدولي ألمن المعلومات - 27001:2013 ISO التقنيات األمنية - نظم إدارة أمن المعلومات - المتطلبات.‏ 2- جمعية تدقيق وضبط نظم المعلومات،‏ 2011، كتيب مراجعة مدقق نظم المعلومات المعتمد،‏ الواليات المتحدة األمريكية.‏ ميس بروقة،‏ حاصلة على شهادة ممارس معتمد في حوكمة تقنية المعلومات في المؤسسات وشهادة إدارة المخاطر واالمتثال،‏ وهي استشارية في مجال مخاطر وتدقيق تكنولوجيا المعلومات في األردن.‏ سبتمبر 2016 المدقق الداخلي الشرق األوسط 11
Page 1: WWW.INTERNALAUDITOR.ME سبتمرب
Page 4 and 5: 2 المدقق الداخلي ال
Page 6 and 7: تعليقات القراء نرغ
Page 8 and 9: تحديث املعلومات إع
Page 10 and 11: فعاليات جمعية املد
Page 14 and 15: حوارات مع الزمالء إ
Page 16 and 17: للتعليق،‏ يرجى الت
Page 18 and 19: بقلم:‏ جيمس يس.‏ با
Page 20 and 21: للتعليق:‏ يُرجى ال
Page 22 and 23: االحتيال إعداد:‏ ب
Page 24 and 25: إدارة املخاطر بقلم:
Page 26 and 27: 24 المدقق الداخلي ا
Page 28 and 29: الضوابط الداخلية و
Page 30 and 31: الموارد البشرية تح
Page 32 and 33: 30 المدقق الداخلي ا
Page 34: للتعليق يُرجى االت

Arabic final new

Create successful ePaper yourself

Delete template?

Save as template?