افتح القائمة الرئيسية

تدقيق أمن المعلومات

تدقيق أمن المعلومات (بالإنجليزية: Information security audit) هو لتدقيق على مستوى أمن المعلومات في المؤسسة.[1][2][3] ضمن نطاق واسع من تدقيق أمن المعلومات ،هناك أنواع متعددة من عمليات التدقيق، وأهداف متعددة لمختلف عمليات التدقيق، وأهداف متعددة لعمليات التدقيق المختلفة والأكثر شيوعاً ، الخ. يمكن تصنيف عناصر التحكم التي تدقق إلى عناصر التقنية والمادية والإدارية. يغطي تدقيق أمن المعلومات مواضيع تمتد من تدقيق الأمن المادي لمراكز البيانات لتدقيق الأمن المنطقي لقواعد البيانات ويسلط الضوء على المكونات الرئيسة للبحث عن وسائل لتدقيق هذه المجالات المختلفة. عندما تركز على جوانب تكنولوجيا أمن المعلومات، يمكن أن ينظر إليها كجزء من تدقيق أمان تقنية المعلومات . ثم غالباً ما يشار إليها أو تدقيق أمن الكمبيوتر. ومع ذلك، أمن المعلومات أشمل من ذلك بكثير .

إجرائية التدقيقعدل

التخطيط للتدقيقعدل

ينبغي أن يكون للمدقق معلومات كافيةً حول الشركة وأنشطتها التجارية الهامة قبل إجراء استعراض مركز البيانات. والهدف من مركز البيانات هو مواءمة أنشطة مركز البيانات مع أهداف الأعمال مع الحفاظ على أمن وسلامة المعلومات والعمليات الحرجة. و تحديد ما إذا كان ,أو لم يكن, يجري تحقيق هدف العميل، يجب على المدقق القيام بما يأتي قبل إجراء الاستعراض: • لقاء مع إدارة تقنية المعلومات لتحديد المجالات المحتملة للقلق. • مراجعة المخطط الهيكلي الحالي لتكنولوجيا المعلومات. • مراجعة الوصف الوظيفي للعاملين في مركز البيانات. • البحث عن أنظمة التشغيل والتطبيقات والبرمجيات والبيانات والمعدات العاملة ضمن مركز مركز البيانات. • مراجعة السياسات واجراءات تقنية المعلومات في الشركة. • تقييم وثائق ميزانية تكنولوجيا المعلومات والتخطيط لأنظمة الشركة. • مراجعة خطة الطوارئ لمواجهة الكوارث لمركز البيانات.

إنشاء أهداف مراجعة الحساباتعدل

الخطوة التالية في إجراء استعراض لمركز بيانات الشركات عند المدقق هو تحديد أهداف مراجعة مركز البيانات. على المدققين النظر في العوامل المتعددة التي تتصل ببيانات مركز الإجراءات والأنشطة التي يحتمل أن تكون مصدر المخاطر في بيئة العمل، وتقييم عناصر التحكم الموجودة في المكان. أن التخفيف من حدة تلك المخاطر. بعد اختبار دقيق وتحليل، يكون المدقق قادر على أن يحدد على نحو كاف ما إذا كان مركز البيانات يحافظ على ضوابط سليمة ويعمل بكفاءة وفعالية. في أدناه قائمة أهداف ينبغي للمدقق استعراضها:

  • إجراءات شؤون الموظفين والمسؤوليات بما في ذلك النظم والتدريب متعدد الوظائف.
  • عمليات إدارة التغيير في المكان، ويتبعه الأفراد والإدارة.
  • إجراءات النسخ الاحتياطي المناسبة و في المكان المناسب لتقليل وقت التوقف عن العمل، ومنع فقدان البيانات الهامة.

انظر أيضاعدل

مراجععدل

  1. ^ Compliance by design - Bridging the chasm between auditors and IT architectsComputers & Security 30(6-7): 410-426 (2011) نسخة محفوظة 21 سبتمبر 2017 على موقع واي باك مشين.
  2. ^ "Record and replay secure remote access of outsource providers and remote employees". ObserveIT. مؤرشف من الأصل في 09 يوليو 2009. اطلع عليه بتاريخ 23 نوفمبر 2008. 
  3. ^ "10 Pieces of Advice That Will Help You Protect Your Data". 360ict. مؤرشف من الأصل في 12 أكتوبر 2017. اطلع عليه بتاريخ 24 يونيو 2016.