أهمية السياسات الأمنية للمعلومات
م/ خالد بن عبدالله القائفي
لاشك أن أمن المعلومات أصبح هاجس المؤسسات المختلفة في جميع أنحاء العالم المعاصر بعد أن اقتحم الحاسب الآلي جميع أنواع الأعمال . وأصبحت خدمة الشبكات الالكترونية من استثمارات وسمات العصر الحديث
ما هي السياسات الأمنية للمعلومات؟ تعرف السياسات الأمنية للمعلومات على أنها مجموعة من القوانين والتنظيمات والتوجيهات المتعلقة بكيفية تعامل الأشخاص مع المعلومات بجميع صورها سواءً الإلكترونية أو الورقية أو حتى الشفهية. وتمثل هذه القوانين توجه المؤسسة أو الشركة وسياستها في حماية معلوماتها وأنظمتها.
وللأسف تفتقر معظم الشركات والأجهزة الحكومية لتطبيق مفهوم السياسات الأمنية للمعلومات وذلك لعدم وعيها بفوائد تلك السياسات التي من شأنها أن تقلل من المخاطر الأمنية التي تتعرض لها. فعلى سبيل المثال نجد أن سياسة «استخدام الإنترنت» تهدف إلى تقليل المخاطر التي قد توثر تقنياً على المستوى الأمني على جهاز المستخدم وبالتالي على الشبكة الداخلية للمؤسسة أو تؤثر معنوياً على سمعة المؤسسة أو الشركة في حال نشر المستخدم لأي من أسرار العمل على سبيل المثال, وتفرض هذه السياسة على الموظفين إتباع قوانين وإرشادات إدارية معينة تتعلق بتوفير جانب الأمان للمؤسسة أو الشركة من خلال توجيه الموظفين بعدم تصفح المواقع المشبوهة أو تحميل برامج غير موثوقة قد تحمل برامج تخريبية أو نشر أسرار المنظمة بالمنتديات أو تحميل الملفات الكبيرة كالأغاني أو الأفلام والتي من شأنها أن تستهلك موارد الشبكة سلبياً إلى غير ذلك من التوجيهات الإيجابية الأخرى.
بالإضافة إلى سياسات أمنية أخرى لأمن المعلومات مثل سياسة البريد الإلكتروني، سياسة تطوير الأنظمة، وسياسة كلمة المرور والتي تحتوي على متطلبات اختيار كلمة مرور قوية غير قابلة للتخمين أو الكسر، الخ.
ولكي تتم الاستفادة القصوى من تنفيذ السياسات الأمنية للمعلومات، ينبغي أن تُعتمد من مستوى عالي في المنظمة كالرئيس أو المدير العام أو مجلس الإدارة أو لجنة عليا لإضفاء جانب الإلزام والمسئولية على جميع المعنيين بالشركة أو المؤسسة بمختلف مستوياتهم الإدارية والوظيفية.
ولقد قامت مجموعة كبيرة من الشركات والمنظمات العالمية الرائدة بتبني معيار موحد (Standard) في رسم وتحديد السياسات الأمنية للمعلومات وهو (BS 9977) والذي يعتبر أفضل معيار عالمي في إعداد سياسات أمن المعلومات. والجدير بالذكر أن هذا المعيار قد تم اعتماده من قبل منظمة المعايير العالمية (ISO). ويقوم هذا المعيار برسم منهجية متكاملة لتطبيق مفهوم أمن المعلومات في المنظمة ابتداءً من تحليل المخاطر المحيطة بالمنظمة حتى استنتاج واستخراج الضوابط الأمنية التي من شأنها تقليل مستوى تلك المخاطر.
