متطلبات الأمن الطبيعي لنظم المعلومات
4-1 الأمن الطبيعي:
كما هو الحال مع مقاييس الأمن الأساسية المستخدمة في الأعمال المنزلية العادية، فإن الأمن الطبيعي لنظم المعلومات يعتبر متطلبا رئيسيا لابد من توافره لخدمة إنشاء بيئة وثقافة وصول مراقبة وممكنة ومعدة لحماية تعطل أو توقف نظام المعلومات بمكوناته المختلفة. وتتطلب المزاولات الأحسن لنظم أمن المعلومات تعريف التالي:
· الأفراد الذين يدخلون مواقع نظام المعلومات كحجرة الكمبيوتر أو مركز المعلومات سواء كانوا يعملون بها أو مترددين عليها لوحدهم أو بطريقة جماعية في بعض الوقت أو كله.
· الشروط والمزاولات المتعلقة باستبعاد أي من مكونات النظام التي لا تستخدم.
· الشروط المحددة لنقل وتخزين الوسائل أو الوسائط الطبيعية كالأشرطة أو الأقراص الممغنطة، الأقراص المدمجة أو أقراص الفيديو الرقمية، الخ.
إضافة لما تقدم يجب تقديم المتطلبات الفورية للنظم مثل:
- معدات الرقابة علي الوصول أو كروت التعريف والهوية.
- أبواب ونقاط وصول أخرى مؤمنة.
- مكتشفات الحرائق والمياه والدخان والإضاءة والدوائر التليفزيونية المغلقة.
- إمدادات الطاقة المؤمنة والمساندة الملائمة.
- الدواليب المغلقة وأدراج الكابلات وغير ذلك من المزاولات الهندسية المناسبة الأخرى.
وتعتبر هذه الأمور مهمة بصفة معينة عند توافر خدمات الحاسبات الآلية أو مراكز المعلومات من مصادر خارجية تختص بظاهرة "التعهيد Outsourcing" . وعلي أي حال فإن مراقبة أو مراجعة مقدم أو مورد الخدمة تصبح من المتطلبات والشروط الهامة التي يجب مراعاتها.
وكما سبق ذكره، يجب ألا يتطلب أمن المعلومات السماح للمتطفلين أو المهاجمين من الاتصال الطبيعي مع الحاسب الآلي وملحقاته. ويتحقق الأمن الطبيعي عندما تستخدم آليات إضافية عديدة في نمط فعال.
والأمن الطبيعي يكمل مع الترتيبات الطبيعية بواسطة تقديم إجراءات وأدوات وبرمجيات تتمثل في التالي:
- هيكلة كيف يمكن الوصول للبيانات والمعلومات وبواسطة من.
- إعداد نسخ إضافية مساندة لكل البرمجيات وملفات البيانات حتى تساند استعادتها مرة أخرى عند حدوث الكوارث أو الفقد.
- تطبيق آليات تشفير ملائمة.
- اكتشاف ثغرات وانتهاكات الأمن.
- اكتشاف البرمجيات المعيارية المتعلقة بالنظم والبريد الإلكتروني والوسائل المختلفة.
4-2 عمليات التحقق من الأمن المستهدف:
يمكن تحديد أربع أبعاد رئيسية تستهدفه نظم أمن المعلومات المختلفة التي تتمثل في التالي:
(1) التعريف: Identification and Authentication
من يسمح له دخول النظام؟ يجب التحقق من ذلك من خلال ثلاث مداخل أساسية وممكنة هي:
1. ضرورة إعلام أو إخبار الحاسب الآلي عن شي معرف: أسم الشخص أو كلمة المرور Password. وعلي الرغم من أن كلمات المرور سهلة التطبيق والتنفيذ، إلا أنها تشتمل علي بعض القصور، حيث يمكن إعطائها لطرف ثالث. كما يمكن أن تكون موضوعا لقواعد معقدة ترتبط بعدد الحروف والأعداد، وتتغير بصفة كل فترة زمنية، الخ. وفي هذه الحالات يوجد توجه قوي في كتابة كلمات المرور التي يمكنها البقاء وعدم إفشاء محتواها حتى عندما يعثر عليه شخص آخر.
2. تقديم شيء ما مملوك للشخص للدخول في النظام كبطاقة هوية أو تعريف شخصي أو رمز ما، حيث يمكن أن يزداد أمن النظام بأن يطلب إضافة إلي كلمة المرور بعض أنواع المعدات الطبيعية ككارت أو بطاقة هوية أو رمز إلكتروني معين للسماح بالدخول.
3. إعطاء النظام شيء ما خاص بالمستخدم يرتبط بالخواص الشخصية مثل بصمة الإصبع أو نمط ذبذبة الصوت الشخصي التي يطلق عليها القياسات البيولوجية Biometrics حيث يمكن استخدامها في بيئة مؤمنة. وعلي الرغم من أن التكنولوجيا المرتبطة بذلك معقدة وباهظة التكلفة، إلا أن استخدامها في تزايد مستمر.
(2) الاعتماد: ِAuthorization
بمجرد معرفة النظام بالمستخدم الحقيقي، فإن السؤال التالي الطبيعي هو ما يسمح به لهذا الشخص؟ وعلي ذلك فإن عملية الاعتماد تعتمد الوصول إلي الموارد لهذا المستخدم. علي سبيل المثال، تحديد المعاملات أو البيانات التي يسمح له بها، وتلك التي يمكن للمستخدم تعديلها أو إضافتها. وتبني مزايا الوصول المعتمد علي تحديد دور المستخدم ومسئولياته وحقوقه قبل النظام. وفي حالة مقدمي الخدمات المعلوماتية كالمكتبات، شركات التجارة الإلكترونية، الخ تقرر هذه المزايا بمعايير محددة تحددها العقود، الاتفاقات، الاشتراكات، أو حقوق الائتمان، الخ.
(3) الإدارة: Administration
تمثل الإدارة عملية حفظ سمات المستخدمين ، بالإضافة إلي تعريف أمن مورد معين. ويشتمل ذلك علي أنشطة مثل استبعاد مزايا وصول مستخدم أو موظف ترك الخدمة، تغيير السمات، تحديد قائمة النظام لما يسمح به لمستخدم معين بعد الترقية أو النقل، الخ.
(4) المراجعة: Audit
تمثل عملية المراجعة التأكد من أن مقاييس الأمن مقبولة في نظام عمل محدد. وفي هذا الصدد، لا توجد طريقة معينة لمعرفة مدي تجاوز المستخدم الاعتماد أو الاعتراف الممنوح له بدون تلك المراجعات، كما لا توجد طريقة أخري أيضا توضح أن مقاييس الأمن يجب أن تحدد وتقوى بدون معرفة أولية لنواحي القصور التي قد تتواجد فيها، وبذلك تعتبر عملية المراجعة تكملة أساسية لكل مقاييس الأمن. وفي نفس الوقت، لن تكون أي من المقاييس فعالة بدون توافر عدد من الخصائص ذات التوجه البشري التي تتمثل في التالي:
- مساند الإدارة والإدارة العليا بصفة خاصة لسياسات ومقاييس وعمليات أمن المعلومات، ويجب عليهم الإلزام الكامل بها قبل إعداد الأمن وإدارته.
- ضرورة إلمام كل العاملين في كل مستويات الإدارة بالمخاطر المرتبطة بأمن المعلومات وبأهميتها لمنظمتهم.
-· أهمية توافق وترابط كل برامج التدريب والتوعية عن أمن المعلومات مع حاجات المنظمة.
-· ضرورة مراعاة التزام الأفراد الآخرين (كأفراد الصيانة، المستشارين، المتعاقدين، القوى العاملة المؤقتة، عمال النظافة، الخ) المتعاملين مع المنظمة والمتاح لهم الوصول إلي أصول معلومات المنظمة بقواعد وشروط الأمن الموافق عليا.
4-3 تفهم استخدام أمن نظم وتكنولوجيا المعلومات:
لا يجب أن يكون فهم استخدام نظم وتكنولوجيا المعلومات من منظور فني صرف لمن يستخدمون البرمجيات، تحديد نوع الأجهزة المتوافرة ومواصفاته الفنية، بل إن المطلوب فهمة ومعرفته عند استخدام النظم والتكنولوجيات يتمثل في التالي:
- ما الذي سوف يكون عليه تأثير حدث أمن رئيسي علي سمعة وشهرة المنظمة؟ وعلي أدائها المالي والتشغيلي، الخ؟
-· كيف يصبح حرجا علي المنظمة وتوابعها التي تساند نظم وتسهيلات المعلومات مثل شبكة الويب، والبريد الإلكتروني، وتسهيلات الوسائل أو الوسائط المتعددة، الخ؟
- كيف تستجيب المنظمة جيدا للقوانين والتشريعات الملائمة، كما في حالة قوانين الملكية الفكرية، التجارة الإلكترونية والتوقيع الإلكتروني؟
- ما مسئوليات المنظمة القانونية المرتبطة بأمن المعلومات؟
وحتى يمكن للمنظمة تطوير سياسات فعالة لأمن المعلومات، يجب عليها القيام بالمتطلبات والشروط المرتبطة بتقدير المخاطرة والبحث عن الأبعاد المعرضة للأخطار والهجمات المختلفة. ويجب أداء هذه العملية علي أساس دوري للبحث عن المشكلات الظاهرة وغير الظاهرة كما في حالات المزاولات السيئة المرتبطة بكلمات المرور، حذف التحديثات والحزم في تسهيلات البنية الأساسية، أجهزة الموديم للمكالمات غير المعتمدة وغير ذلك من مخاطر ترتبط بشبكة معلومات المنظمة.
4-4 تطوير سياسة أمن المعلومات:
يمثل هذا النشاط المتطلب الأول لمعيار المنظمة الدولية للتوحيد القياسي ISO 177799 الخاص بإدارة أمن المعلومات. وتعتبر السياسة الموثقة لأمن المعلومات جوهرية وضرورية، وخاصة إذا قصد نجاح أمن المعلومات، حيث أنها تمثل الطريقة الفعالة للتعامل مع الأعذار المساقة بعدم المعرفة عن الأشياء أو المهام.
وتبني سياسة أمن المعلومات علي حاجات العمل أو المنظمة وترتبط بالمخاطر التي تصادفها أو تتعرض لها المنظمة المعنية ويتحتم عليها ضرورة فهمها والالتزام بأهمية تطبيقها. وفي هذه الحالة، يجب إعادة تأكيد أن أمن المعلومات ليس أمرا فنيا فقط يمكن تصحيحه والتغلب عليه بتركيب حائط نيران Firewall. بل إن هذا يمثل أيضا عملا إداريا يجب علي القوي العاملة بالمنظمة والأطراف الأخرى المتعاونة معها الاعتراف باستلام تقرير سياسة أمن المعلومات والتعهد بتطبيق ما جاء به من مبادئ ومعايير وقبول مقاييس صارمة في حالة عدم الالتزام بذلك.
وكأي عملية توثيق موجهة، توجد مخاطر في أن إعداد هذه السياسة وصيانتها وتوزيعها قد ينتج عنها بيروقراطية في حد ذاتها، لذلك يصبح الحكم الجيد والصائب علي الأمور المتضمنة ضروري فيما يتصل بالنسب التي يجب تبنيها والأخذ بها، إلي جانب عدم التقليل في تقدير الجهد الذي بذل في إعداد هذه السياسة وحفظها أو صيانتها. وتتوافر كثير من المبادئ والأسس لإعداد سياسة أمن المعلومات التي يجب يمكن أن تصبح مفيدة ، إلا أن قيمتها المضافة سوف تقرر كيفية النجاح التي توصل بها ويعمل علي تطبيقها ومتابعتها المستمرة. علما أن وثيقة أو تقرير سياسة الأمن المبنية علي أسس معينة وتحفظ أو تخزن علي أحد رفوف المكتبة أو أحد أدراج الحفظ لا تعني وجود سياسة أمن ولكنها لا تلبي أي قيمة للعمل، بل يجب تعميمها والتدريب عليها وتطبيقها ومراجعتها باستمرار. لذلك يجب أن يساند نشر تقرير سياسة أمن المعلومات حملة توعية عن الأمن لإعلام القوي العاملة بالمنظمة والأطراف الأخرى المتعاملة معها بأهمية تطبيق سياسة الأمن الموثقة، حيث يعتبر ذلك خطوة مهمة عند تدريب وتوعية العاملين الجدد في المنظمة.
4-5 محاسبة إدارة أمن المعلومات:
يمكن في هذا الإطار عدم تحديد مدي محاسبة ومسئولية القائمين علي أي عمل في وقت معين بالعناصر الأربع المتمثلة في: أي شخص، شخص ما، كل شخص، لا شخص. والتي يمكن تعريفها بأن كل شخص فكر أن شخصا ما سوف يقوم بالعمل أو المهمة المعينة التي في الحقيقة يمكن لأي شخص أن يؤديها،إلا أنه في النهاية لم يقم بأدائها أي شخص.
ويمثل هذا القول الشائع حجم الكارثة عند إدارة أمن المعلومات بهذه الطريقة. ويتطلب تجنب هذه الحالة التعرف علي أن أمن المعلومات لا يمثل مشكلة من مشكلات تكنولوجيا المعلومات، بل يمثل مشكلة للمديرين أنفسهم لا يمكنهم التنازل عن مسئولياتهم تجاهها.
لذلك يجب علي الإدارة العليا بأي منظمة التعرف علي حاجات الأعمال وقيمة الأصول المطلوب حمايتها وتأمينها، وجعل الموارد متوافرة لنشر الأمن الضروري لها، واختبارها وإدارتها وصيانتها باستمرار.
وعلي هذا الأساس، يجب ان يقوم مديرو تكنولوجيا المعلومات أو مراكز المعلومات بأداء الأدوار التالية:
- المبادرة في وضع مقاييس أمن المعلومات.
- تنسيق أعمال الأمن في المنظمة بكل قطاعاتها وإداراتها وأقسامها.
وبذلك يصبح في الإمكان محاسبة المديرين المختصين عن الطريقة التي تنفذ وتشغل بها كل الأوجه الفنية والأمنية التي تتضمن الخيارات المستخدمة، وكيف ومتي يرجع فيها لسياسة الأمن المطبقة، وما هي الموارد التي تصب في المهام التي يكلفون بأدائها وكيفية أدائها بطريقة جيدة. أما مسئولياتهم الأخرى فتختص بمدي الترتيب للدخول للتطبيقات والنظم والشبكات المتاحة، وإعداد الاختبارات لتعريف نقاط الضعف ونواحي القصور في إجراءات الأمن المطبقة، والقيام بتطوير وتحسين سبل اكتشاف البرامج والشفرات والأعمال المتطلبة لتقليل الإنذارات الزائفة، إلي جانب تنظيم وإدارة الأمن وتنفيذ مقاييسه المتفق عليها حتى يمكن تأكيد أن مصادر معلومات المنظمة آمنة من أي هجمات أو مخاطر داخلية أو خارجية.
4-6 تنفيذ أدوات ومنتجات الأمن الملائمة:
يتطلب تنفيذ الأمن الفني اختيار وتوريد تنوع كبير من المنتجات والأدوات المحتاج إليه والتي يجب إعداد وحفظ سجل فعالية خاص بها. ولهذه الأدوات والمنتجات قيمة محدودة أن لم تركب وتوضع موضع التنفيذ بطريقة ملائمة.
ويلاحظ أن الأداء الشائع لموردي هذه الأدوات والمنتجات، توريدها في مكونات معمارية يشار إليها بألفاظ مثل: "Cut of the Box" or " Shrink-Wrapped" التي تتضمن من بين الأوجه الأخرى: رقم تعريف تمهيدي للمستخدم Initial User ID ، وكلمة المرور Password لمدير أو إداري الأمن الذي قد يكون معروفا للمتطفلين Hackers. لذلك يجب تغيير هذه القيم بمعايير محددة موافق عليها قبل استخدام هذه المنتجات.
ويكون مديرو أمن المعلومات المهنيين مسئولين مباشرة عن تطوير وإدخال وإدارة العمليات التي تساند إدارة ومراجعة عقود التوريد مع سياسات الأمن المطبقة لكي يستجاب لشروطها وقواعدها المتفق عليها. وتشتمل هذه العمليات علي مهمة مراجعة الحالات، الأحداث والاتجاهات بالإضافة إلي الإشعارات والإنذارات الصناعية.
وتبني المزاولة الأحسن Best Practice لتلك العمليات علي استخدام مركزية إدارة أمن المعلومات التي تأكد التوريد المركزي وتوزيع التسهيلات علي النقاط المحددة مع تأكيد حصول المستخدمين النهائيين علي أي تحديث للبرمجيات المخصصة لحماية البيانات والبرامج من الفيروسات الضارة مثلا.
5. اعتبارات وأبعاد أمن المعلومات
يستعرض في هذا الجزء اعتبارات وأبعاد أمن المعلومات التي تشكل مع المتطلبات السابق الإشارة إليها المدخل الرئيسي لأمن وشفافية المعلومات.
5-1 اعتبارات أمن المعلومات:
يمكن تحديد ثلاث أبعاد رئيسية لأمن المعلومات هي:
(1) عدم تواجد أمن محقق بالكامل: إي نظام أو أداة معلومات لا توجد طريقة واحدة لاعتماده. وتقتصر معرفة كيف استخدام النظام أو الأداة علي عدد محدود جدا من الأفراد، حيث لا تظهر أو تكتشف للكثيرين غير المؤهلين والمدربين. وفي مجال أمن المعلومات الذي لا يتقبل 100% من الصناعة، يمكن ملاحظة التالي:
· بينما تصمم البرمجيات لأداء وظائف معينة، فإن الخبراء المطورين (ومنهم المتطفلين مثل كل من Hackers ، و Crackers) يمكنهم عمل ذلك لأداء أشياء أخري أيضا.
· لا توجد حتى الآن برمجيات كاملة الإتقان 100%، حيث أن كل البرمجيات تشتمل علي أخطاء Bugs في التشفير أو الترميز في برامج الحاسبات.
وتعتبر العبارات الأربع التالية صحيحة بطريقة عملية في الواقع الفعلي:
· البرمجيات الجديدة تتضمن وتعني أخطاء جديدة.
· الأخطاء القديمة لا تصلح دائما.
· لا تطبق التصحيحات Fixes دائما.
· قد تشتمل التصحيحات علي أخطاء جديدة.
(2) الموازنة بين المخاطرة والتكلفة: كل من يأخذ الإجراءات المختلفة لحماية الممتلكات والأنفس والدرجة التي تنفذ بها هذه الإجراءات تتأثر بواسطة مدي التقدير بالمخاطر المحيطة والرغبة لقبول القيود التي سوف تفرضها هذه الإجراءات في حياتنا اليومية وتكلفتها.
ويجب التعرف علي أنه في الحياة الحقيقية يمكن حدوث التالي:
· علي الرغم من إجراءات الحماية التي نتخذها، لا يوجد ضمان بأنها لا تكون فعالة كل الوقت.
· تتغير المخاطر بمرور الوقت ضد ما نسعى إليه من إجراءات لحماية أنفسنا. وتحتاج عملية التقويم وإجراءات الحماية المتخذة لأمن المعلومات إلي أن تتغير بالتبعية حتى تكون فعالة.
· تشتمل إجراءات الأمن علي استثمارات ونفقات مستمرة.
ويتمثل مكون مزاولة أمن المعلومات الجوهرية في تقويم وتقدير قيمة الأصول المطلوب حمايتها مع التهديدات المعرضة لها وأثار هذه الاختراقات والثغرات علي أمن المعلومات. وعلي ذلك، يصبح من الضروري تعريف مستوي المخاطرة الكامنة الممكن تقبلها.
(3) توازن الحاجة للأمن وعدم الرضى عن الوضع القائم: كما سبق ذكره، لا يوجد في عالم اليوم شئ كامل ومتقن كلية. ويعتبر ذلك صحيحا وحقيقيا فيما يتصل بالمعلومات والممتلكات والأنفس. ويتضمن كل إجراء أمن مضاف عملية أو نشاط إضافي موجه لمستخدمين نهائيين. وكلما تضاف هذه الإجراءات فقد تصبح، في نفس الوقت، معوقات يجب التغلب عليها بواسطة كل مستخدم نهائي، بغض النظر عن تذكره لكلمات مرور عديدة وما شابه ذلك من إجراءات أمنية. ونتيجة لذلك، يزداد تحميل مدير أو إداري النظام بأعباء جديدة عليه استيعابها وتنفيذها.
5-2 أبعاد أمن المعلومات:
عند التعرض للإبعاد المختلفة لأمن المعلومات، بمكن استقرائها من تحليل معايير أمن المعلومات وخاصة ما أصدرته المنظمة الدولية للتوحيد القياسي ISO من معيار ISO 177799 الصادر عام 1999 المبني علي معيار معهد المعايرة البريطاني BS 7799 الصادر عام 1995 ويعتبر كأساس نظام إدارة أمن المعلومات. ويمكن أن يلاحظ أن هذا المعيار يتسم بالتالي:
· عدم ذكر ضرورة وجود حائط نيران Firewall بدلا من ذلك يبين التحفظات المطلوبة لمنع دخول برمجيات مصابة ومعدية Malicious واكتشافها بسرعة.
· التمييز بين النظم المختلفة وعدم وجود نظام واحد يطبق في كل المنظمات، لذلك يصبح من الضروري أن تعرف كل منظمة علي متطلبات الأمن الخاصة بنظم معلوماتها.
من هذا المنطلق، يمكن تحديد الأبعاد والمكونات التالية لأمن المعلومات:
(1) سياسة الأمن: الغرض من سياسة أمن المعلومات يتصل بتقديم توجيه مناسب ومساندة إدارية لأمن المعلومات والتوصية بما يلي:
· إنشاء منتدى لأمن المعلومات علي مستوي الإدارة العليا في المنظمة.
· تقديم حملات وبرامج للتوعية والتدريب علي أمن المعلومات.
· إدارة المخاطرة كمدخل من مداخل العملية الإدارية في المنظمة.
· التوافق مع القوانين والتشريعات الملائمة.
وعلي هذا الأساس، فإن أي وثيقة أو تقرير سياسة أمن المعلومات يجب أن تتضمن التالي:
· حاجة المنظمة لخطة طوارئ Contingency Plan.
· الحاجة لمساندة حفظ البيانات والمعلومات بفعالية وكفاءة.
· تجنب البرمجيات المصابة.
· توفير إجراءات رقابة علي الوصول لنظم المعلومات وبياناتها.
· تقرير الأحداث التي تتعرض لها المنظمة فيما يخص أمن معلوماتها.
· تحديد الإجراءات المطلوب اتخاذها عند حدوث عدم التوافق مع السياسة، من حيث النشاط المصاب، الاستخدام غير المناسب، الخ.
(2) تنظيم الأمن: يهدف هذا البعد تركيز إدارة أمن المعلومات في المنظمة علي التالي:
1. صيانة أمن تسهيلات معالجة المعلومات التنظيمية وأصول الوصول إليها من قبل الأطراف الثالثة.
2. صيانة أمن المعلومات فيما يتعلق بمسئولية معالجة المعلومات وخدمات إتاحتها أو إمدادها المتعاقد عليها خارجيا من خلال "التعهيد Outsourcing".
ويحتاج تنظيم الأمن إلي إمداد المعالم التالية علي الأقل:
· إنشاء منتدى داخلي لأمن المعلومات.
· إقامة الترتيبات المختلفة لتنسيق أمن المعلومات.
· تخصيص مسئوليات أمن المعلومات للوظائف أو القوي العاملة المختصة.
· تعريف المخاطر المصاحبة لأمن المعلومات مع إمكانيات وصول الطرف الثالث للبيانات والمعلومات.
· تأكيد أن متطلبات الأمن قد حددت في العقود والتعاقدات مع الأطراف الثالثة.
· تضمين متطلبات الأمن مع التعاقدات الخارجية.
(3) تصنيف الأصول ورقابتها: يهدف هذا البعد تعريف مجال إدارة أمن المعلومات وتأكيد أن أصول المعلومات قد أعطيت مستوى ملائم من الحماية. والمنظمة التي تطبق معيار ISO 177799 تقرر أي من أصول المعلومات يكون له تأثير علي تشغيل وإتاحة أنشطة المنظمة أو العمل. ويتطلب ذلك تحليل احتمالية تقرير المخاطرة، وتكتشف الأخطار المعينة ضعف أو قصور معين يؤدي إلي إتلاف أو توقف أصل أو مجموعة من الأصول عن العمل. وتعرف المخاطرة بواسطة تجميع قيمة قابلية النظام التعرض للهجوم أو الأخطار، كما تعرف وتحدد كل الأصول المرتبطة بمجال أمن المعلومات والقائمين علي حفظها وصيانتها.
(4) أمن الأفراد: الغرض من بعد أمن الأفراد تقليل مخاطر الأخطاء البشرية، السرقات، الاختلاسات أو سوء استخدام التسهيلات وبصفة معينة التالي:
1. تأكيد أن كل المستخدمين النهائيين ملمين بمخاطر وقضايا أمن المعلومات يمكنهم مساندة سياسات أمن المنظمة في بيان أعمالها العادية الجارية.
2. تقليل الأعطال والأضرار التي تتسبب من القصور في أداء الأمن بالإضافة إلي التعلم من هذه الأحداث. والمهام المطلوب اتخاذها لتلبية هذا المتطلب تتمثل في التالي:
· تضمين اعتبارات ومسئوليات الأمن في توصيف الوظائف وإعداد عقودهم.
· تدريب المستخدمين النهائيين.
· تحديد تهديدات ومزاولات الاستجابة في حالات العجز عن الأداء وأحداث الأمن.
(5) الأمن الطبيعي والبيئي: الغرض من هذا البعد يتمثل في ت