قد انتقلت وسائل حماية الإنترنت من مستويات الحماية الفردية او ذات الاتجاه الفردي ، التي تقوم على وضع وسائل الحماية ومنها الجدران النارية في المنطقة التي تفصل الشبكة الخاصة عن الموجهات التي تنقل الاتصال الى الشبكة العالمية ( الإنترنت ) ، الى مستويات الأمن المتعددة والتي تقوم على فكرة توفير خطوط إضافية من الدفاع بالنسبة لنوع معين من المعلومات او نظم المعلومات داخل الشبكة الخاصة ، وتعتمد وسائل الأمن متعددة الاتجاهات والاغراض آليات مختلفة لتوفير الأمن الشامل للنظام COMPREHENSIVE SECURITY SYSTEM . وتتضمن ثلاثة مناطق اساسية ، الأولى : ادارة خطوات الأمن وتشمل الخطط والاستراتيجيات وأغراضها وكذلك المنتجات وقواعد الانتاج و البحث والتحليل . الثانية : أنواع الحماية وتشمل الوقاية او الحماية والتحقيق والتحري والتصرف . والثالثة : وسائل الحماية وتشمل حماية النظم والخوادم وحماية البنية التحتية للشبكة .
التشفير
تحظى تقنيات وسياسات التشفير في الوقت الحاضر باهتمام استثنائي في ميدان أمن المعلومات ، ومرد ذلك ان حماية التشفير يمثل الوسيلة الاكثر اهمية لتحقيق وظائف الأمن الثلاثة ، السرية والتكاملية وتوفير المعلومات ، فالتشفير تقنيات تدخل في مختلف وسائل التقنية المنصبة على تحقيق حماية هذه العناصر ، فضمان سرية المعلومات اصبح يعتمد من بين ما يعتمد على تشفير وترميز الملفات والمعطيات بل تشفير وسائل التثبت وكلمات السر ، كما ان وسيلة حماية سلامة المحتوى تقوم على تشفير البيانات المتبادلة والتثبت لدى فك التشفير ان الرسالة الإلكترونية لم تتعرض لأي نوع من التعديل او التغيير ، ويعد التشفير بوجه عام وتطبيقاته العديدة وفي مقدمتها التواقيع الإلكترونية ، الوسيلة الوحيدة تقريبا لضمان عدم انكار التصرفات عبر الشبكات الإلكترونية ، وبذلك فان التشفير يمثل الاستراتيجية الشمولية لتحقيق اهداف الأمن من جهة ، وهو مكون رئيس لتقنيات ووسائل الأمن الأخرى ، خاصة في بيئة الاعمال الالكتروينة والتجارة الإلكترونية والرسائل الإلكترونية وعموما البيانات المتبادلة بالوسائط الإلكترونية .
ومن حيث مفهومه ، فان التشفير يمر بمرحلتين رئيستين ، الأولى تشفير النص على نحو يحوله الى رموز غير مفهومة او مقروءة بلغة مفهومة ، والثانية ، فك الترميز باعادة النص المشفر الى وضعه السابق كنص مفهوم ومقروء ، وهذه المسالة تقوم بها برمجيات التشفير التي تختلف أنواعها ووظائفها . اما من حيث طرق التشفير ، فثمة التشفير الترميزي ، والتشفير المعتمد على مفاتيح التشفير ، التي قد تكون مفاتيح عامة او خاصة او مزيجا منها ، وللوقوف على ابرز اغراض وعناصر التشفير وطرقه التقنية نورد تاليا مواد مختارة تتناول هذه المسائل مع الاشارة الى مصادرها .
ما هي استراتيجية أمن المعلومات وكيف يتم بناؤها
5-1 مفاهيم ومحددات اولية
ü ما هي استراتيجية أمن المعلومات Security Policy ؟
ان استراتيجية أمن المعلومات ، او سياسة أمن المعلومات هي مجموعة القواعد التي يطبقها الأشخاص لدى التعامل مع التقنية ومع المعلومات داخل المنشأة وتتصل بشؤون الدخول الى المعلومات والعمل على نظمها وادارتها .
ü ما هي اهداف استراتيجية أمن المعلومات ؟
تهدف استراتيجية أمن المعلومات الى :-
· تعريف المستخدمين والاداريين بالتزاماتهم وواجباتهم المطلوبة لحماية نظم الكمبيوتر والشبكات وكذلك حماية المعلومات بكافة اشكالها ، وفي مراحل ادخالها ومعالجتها وخزنها ونقلها واعادة استرجاعها .
· كما تهدف الاستراتيجية الى تحديد الإلكترونية التي يتم من خلالها تحقيق وتنفيذ الواجبات المحددة على كل من له علاقة بالمعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر .
· بيان الإجراءات المتبعة لتجاوز التهديدات والمخاطر والتعامل معها والجهات المناط بها القيام بها بذلك .
ü من الذي يعد استراتيجية أمن المعلومات ؟؟
لدى إعداد اية استراتيجية بشأن أمن المعلومات ، ولكي تكون هذه الاستراتيجية فاعلة ومنتجة وهادفة لا بد ان يساهم في اعدادها وتفهمها وتقبلها وتنفيذها مختلف مستويات الوظيفة في المنشأة الواحدة اضافة الى حاجتها الى التعاون والدعم الكامل من الكافة ، من هنا فان المعنيين باعداد سياسة أمن المعلومات يتوزعون الى مراتب وجهات عديدة داخل المنشأة ، لكن بوجه عام تشمل مسؤولي أمن الموقع ومديري الشبكات وموظفي وحدة الكمبيوتر ومديري الوحدات المختلفة في المنشأة كوحدة الاعمال والتسويق والبحث وغيرها وتشمل أيضا فريق الاستجابة للحوادث والاعطال وممثلي مجوعات المستخدمين ومستويات الادارة العليا الى جانب الادارة القانونية .
ü متى توصف أستراتيجية أمن المعلومات بانها ناجحة ؟؟
من حيث فعالية الاستخدام :- لكي توصف استراتيجية أمن المعلومات بانها أساسي ناجحة يتعين ان تعمم بشكل شامل على كافة قطاعات الادارة وان تكون مقبولة واقعية من المناط بها تنفيذها الى جانب توفر الادلة التوجيهية والارشادية لضمان إدامة التنفيذ وعدم التقاعس فيه والتنفيذ هنا هو الاستخدام الفعلي لأدوات الحماية التقنية من جهة والتطبيق الفعلي لقواعد العمل والتعامل مع البيانات ونظمها من جهة أخرى ، ولا تحقق الاستراتيجية نجاحا ان كان ثمة غموض فيها لهذا لا بد ان تكون واضحة دقيقة في محتواها ومفهومة لدى كافة المعنيين .
أما من حيث المحتوى :- فان أساسي أمن المعلومات تمتد الى العديد من المناحي المتصلة بنظم المعلومات وادارتها والتعامل معها اضافة الى المسائل المتعلقة بالمعلومات ذاتها وتعامل الغير مع معلومات المنشأة ، من هنا تشمل الاستراتيجية سياسة واضحة بشأن اقتناء وشراء الاجهزة التقنية وادواتها ، والبرمجيات ، والحلول المتصلة بالعمل ، والحلول المتعلقة بادارة النظام . كما تشمل استراتيجية الخصوصية المعلوماتية ، وهي التي تحدد مراتب المعلومات وقيمتها ووصفها من حيث السرية كما تبين الاستثناءات التي تعتمدها الاستراتيجية على حق الخصوصية لموظفي المنشأة مع مبررات هذه الاستثناءات ، كرقابة البريد الإلكتروني مثلا او رقابة الدخول الى المنشأة او رقابة الوصول الى ملفات المستخدمين بالمنشأة . ومن حيث الدخول الى الشبكات والمعلومات فلا بد من استراتيجية دخول واضحة تحدد حقوق وامتيازات كل شخص في المنشأة للوصول الى ملفات او مواقع معينة في النظام اضافة الى سياسة بشأن التعامل مع الاتصالات الخارجية ، المعطيات اجهزة ووسائل الاتصال المستخدمة ، اضافة البرامج الجديدة ، استراتيجيات المراسلة مع الآخرين .
وتضم استراتيجية المعلومات أيضا استراتيجية الاشتراكات التي تحدد سياسة المنشأة بشأن اشتراكات الغير في شبكتها او نظمها ، وكذلك استراتيجيات التعامل مع المخاطر والأخطاء بحيث تحدد ماهية المخاطر وإجراءات ابلاغ عنها والتعامل معها والجهات المسؤولة عن التعامل مع هذه المخاطر .
5-2 ما هي منطلقات واساس استراتيجية أمن المعلومات ؟؟
يتعين ان تنطلق أساسي أمن المعلومات من تحديد المخاطر ، اغراض الحماية ، ومواطن الحماية ، وأنماط الحماية اللازمة ، وإجراءات الوقاية من المخاطر ، وتتلخص المنطلقات والاسس التي تبنى عليها استراتيجية أمن المعلومات القائمة على الاحتياجات المتباينة لكل منشأة من الاجابة عن تساؤلات ثلاث رئيسة :- ماذا اريد ان احمي ؟؟ مِن ماذا احمي المعلومات ؟؟ كيف احمي المعلومات ؟؟
ü اغراض حماية البيانات الرئيسة .
1 - السرية CONFIDENTIALITY : التأكد من ان المعلومات لا تكشف ولا يطلع عليها من قبل اشخاص غير مخولين بذلك .
2 - التكاملية وسلامة المحتوى INTEGRITY : التأكد من ان محتوى المعلومات صحيح لم يتم تعديله او العبث به وبشكل خاص لن يتم تدمير المحتوى او تغيره عن طريق تدخل غير مشروع .
3 - استمرارية توفر المعلومات او الخدمة AVAILABILITY :- التأكد من ان مستخدم المعلومات لن يتعرض الى انكار استخدامه لها او دخوله اليها .
ü مناطق أمن المعلومات
1 - أمن الاتصالات : ويراد بأمن الاتصالات حماية المعلومات خلال عملية تبادل البيانات من نظام الى اخر
2 - أمن الكمبيوتر : ويراد به حماية المعلومات داخل النظام بكافة أنواعها وانماطها كحماية نظام التشغيل و حماية برامج التطبيقات وحماية برامج ادارة البيانات وحماية قواعد البيانات بانواعها المختلفة .
ولا يتحقق أمن المعلومات دون توفير الحماية المتكاملة لهذين القطاعين عبر معايير امنية تكفل توفير هذه الحماية ، ومن خلال مستويات أمن متعددة ومختلفة من حيث الطبيعة .
ü انماط ومستويات أمن المعلومات
1 - الحماية المادية : وتشمل كافة الوسائل التي تمنع الوصول الى نظم المعلومات وقواعدها كالاقفال والحواجز والغرف المحصنة وغيرها من وسائل الحماية المادية التي تمنع الوصول الى الاجهزة الحساسة .
2- الحماية الشخصية : وهي تتعلق بالموظفين العاملين على النظام التقني المعني من حيث توفير وسائل التعريف الخاصة بكل منهم وتحقيق التدريب والتأهيل للمتعاملين بوسائل الأمن الى جانب الوعي بمسائل الأمن ومخاطر الاعتداء على المعلومات .
3 - الحماية الإدارية : ويراد بها سيطرة جهة الادارة على ادارة النظم المعلومات وقواعدها مثل التحكم بالبرمجيات الخارجية او الاجنبية عن المنشأة ، ومسائل التحقيق باخلالات الأمن ، ومسائل الاشراف والمتابعة لأنشطة الرقابة اضافة الى القيام بانشطة الرقابة ضمن المستويات العليا ومن ضمنها مسائل التحكم بالاشتراكات الخارجية .
4 - الحماية الاعلامية- المعرفية : كالسيطرة على إعادة انتاج المعلومات وعلى عملية إتلاف مصادر المعلومات الحساسة عند اتخاذ القرار بعدم استخدامها .
ü المخاطر
هناك مخاطر عديدة يمكن ان تواجه نظام المعلومات بما في ذلك أنظمة التجارة الإلكترونية وابرز هذه المخاطر ما يلي :
1 - اختراق الأنظمة : ويتحقق ذلك بدخول شخص غير مخول بذلك الى نظام الكمبيوتر والقيام بأنشطة غير مصرح له بها كتعديل البرمجيات التطبيقية وسرقة البيانات السرية او تدمير الملفات او البرمجيات او النظام او لمجرد الاستخدام غير المشروع . ويتحقق الاقتحام بشكل تقليدي من خلال انشطة ( التقنيع والتخفي ) ويراد به تظاهر الشخص المخترق بانه شخص اخر مصرح له بالدخول . او من خلال استغلال نقاط الضعف في النظام كتجاوز إجراءات السيطرة والحماية او من خلال المعلومات التي يجمعها الشخص المخترق من مصادر مادية او معنوية ، كالتنقيب في قمامة المنشأة للحصول على كلمات السر او معلومات عن النظام او عن طريق الهندسة الاجتماعية كدخول الشخص الى مواقع معلومات حساسة داخل النظام ككلمات السر او المكالمات الهاتفية .
2 - الاعتداء على حق التخويل : ويتم من خلال قيام الشخص المخول له استخدام النظام لغرض ما باستخدامه في غير هذا الغرض دون ان يحصل على التخويل بذلك ، وهذا الخطر يعد من الأخطار الداخلية في حقل إساءة استخدام النظام من قبل موظفي المنشأة ، وهو قد يكون أيضا من الأخطار الخارجية ، كاستخدام المخترق حساب شخص مخول له باستخدام النظام عن طريق تخمين كلمة السر الخاصة به او استغلال نقطة ضعف بالنظام للدخول اليه بطريق مشروع او من جزء مشروع ومن ثم القيام بانشطة غير مشروعة .
3 - زراعة نقاط الضعف : عادة ينتج هذا الخطر عن اقتحام من قبل شخص غير مصرح له بذلك او من خلال مستخدم مشروع تجاوز حدود التخويل الممنوح له بحيث يقوم الشخص بزرع مدخل ما يحقق له الاختراق فيما بعد . ومن اشهر امثلة زراعة المخاطر حصان طروادة ، وهو عبارة عن برنامج يؤدي غرضا مشروعا في الظاهر لكنه يمكن ان يستخدم في الخفاء للقيام بنشاط غير مشروع ، كان يستخدم برنامج معالجة كلمات ظاهريا لتحرير وتنسيق النصوص في حين يكون غرضه الحقيقي طباعة كافة ملفات النظام ونقلها الى ملف مخفي بحيث يمكن للمخترق ان يقوم بطباعة هذا الملف والحصول على محتويات النظام .
4 - مراقبة الاتصالات : بدون اختراق كمبيوتر المجني عليه يتمكن الجاني من الحصول على معلومات سرية غالبا ما تكون من المعلومات التي تسهل له مستقبلا اختراق النظام وذلك ببساطة من خلال مراقبة الاتصالات من إحدى نقاط الاتصال او حلقاتها .
5 - اعتراض الاتصالات : وكذلك بدون اختراق النظام يقوم الجاني في هذه الحالة باعتراض المعطيات المنقولة خلال عملية النقل ويجري عليها التعديلات التي تتناسب مع غرض الاعتداء ويشمل اعتراض الاتصالات قيام الجاني بخلق نظام وسيط وهمي بحيث يكون على المستخدم ان يمر من خلاله ويزود النظام بمعلومات حساسة بشكل طوعي .
6 - انكار الخدمة : ويتم ذلك من خلال القيام بأنشطة تمنع المستخدم الشرعي من الوصول الى المعلومات او الحصول على الخدمة وابرز انماط انكار الخدمة ارسال كمية كبيرة من رسائل البريد الإلكتروني دفعة واحدة الى موقع معين بهدف اسقاط النظام المستقبل لعدم قدرته على احتمالها او توجيه عدد كبير من عناوين الإنترنت على نحو لا يتيح عملية تجزئة حزم المواد المرسلة فتؤدي الى اكتظاظ الخادم وعدم قدرته على التعامل معه .
7 - عدم الاقرار بالقيام بالتصرف : ويتمثل هذا الخطر في عدم اقرار الشخص المرسل اليه او المرسل بالتصرف الذي صدر عنه ، كأن ينكر انه ليس هو شخصيا الذي قام بارسال طلب الشراء عبر الإنترنت
وتنطلق الاستراتيجية الفاعلة من القدرة على ايجاد نظام متواصل لعملية تحليل المخاطر وتحديد احتياجات الحماية ، وعملية تحليل المخاطر هي في حقيقتها نظام متكامل للتحليل وسلامة التصرف تبدأ من الاعداد الجيد القائم على فهم وادراك وتحديد عناصر النظام والعمليات والمخاطر ، ومن ثم تحديد معايير التهديد ونطاق الحماية المطلوب منها وتبعا له وسائل الحماية ، لتنتهي ببيان معيار الخسارة المقبولة التي يتصور تحققها بغض النظر عن مستوى الحماية ومستوى الاستعداد للمواجهة.
ü الوقاية من مخاطر الاعتداء على المعلومات
في ميدان حماية الاتصالات وحماية الكمبيوتر يعبر عن إجراءات الوقاية بخدمات الأمن ، ولا يقصد بها الخدمات بالمعنى المعروف ، وانما اطلق هذا التعبير جراء نشوء شركات متخصصة بأمن المعلومات تقدم هذه الخدمات ، وبالعموم فان هناك خمسة أنواع اساسية لخدمات الأمن تستهدف حماية خمسة عناصر رئيسة في ميدان المعلومات وهي :
1 - خدمات ( وسائل ) حماية التعريف Identification and Authentication هذه الخدمات تهدف الى التثبت من الهوية وتحديدا عندما يقوم شخص ما بالتعريف عن نفسه فان هذه الخدمات تهدف الى التثبت من انه هو الشخص نفسه ولهذا فان التعريف يعد الوسائل التي تحمي من انشطة التخفي والتنكر ومن هنا فان هناك نوعين من خدمات التعريف الاول تعريف الشخصية واشهر وسائلها كلمات السر وثانيها التعريف بأصل المعلومات كالتثبت من أصل الرسالة .
2 - خدمات ( وسائل ) السيطرة على الدخول Access Control : وهذه الخدمات تستخدم للحماية ضد الدخول غير المشروع الى مصادر الأنظمة والاتصالات والمعلومات ويشمل مفهوم الدخول غير المصرح به لأغراض خدمات الأمن الاستخدام غير المصرح به والافشاء غير المصرح به ، والتعديل غير المصرح به ، والاتلاف غير المصرح به ، واصدار المعلومات والاوامر غير المصرح بها ولهذا فان خدمات التحكم بالدخول تعد الوسائل الاولية لتحقيق التخويل والتثبت منه .
3 - خدمات ( وسائل ) السرية Data and message Confidentiality: هذه الخدمات تحمي المعلومات من الافشاء للجهات غير المصرح لها بالحصول عليها ، والسرية تعني بشكل عام اخفاء المعلومات من خلال تشفيرها على سبيل المثال او من خلال وسائل أخرى كمنع التعرف على حجمها او مقدارها او الجهة المرسلة اليها .
4 - خدمات ( وسائل ) حماية التكاملية وسلامة المحتوى Data and message Integrity: هذه الخدمات تهدف الى حماية مخاطر تغيير البيانات خلال عمليات ادخالها او معالجتها او نقلها وعملية التغيير تعني بمفهوم الأمن هنا الالغاء او التحوير او إعادة تسجيل جزء منها او غير ذلك وتهدف هذه الوسائل أيضا الى الحماية من انشطة تدمير المعطيات بشكل كامل او إلغائها دون تخويل .
5 - خدمات ( وسائل ) منع الانكار Non-repudiation: وهذه الخدمات تهدف الى منع الجهة التي قامت بالتصرف من انكار حصول نقل البيانات او النشاط من قبلها .
وتعد الخدمات الخمس المتقدمة مناطق الحماية الاساسية في حقل المعلومات ، فالحماية يتعين ان تمتد الى التعريف ، انشطة الدخول ، السرية ، سلامة المحتوى ، منع عدم الانكار .
ü ماذا عن إستراتيجية أمن الإنترنت ؟؟؟
تنصب أساسي أمن المعلومات في حقل تحقيق أمن الإنترنت على مواضع ثلاث :- أمن الشبكة ، أمن التطبيقات ، أمن النظم . وكل منها ينطوي على قواعد ومتطلبات تختلف عن الأخرى ويتعين ان تكون أنظمة الأمن في هذه المواضع الثلاث متكاملة مع بعضها حتى تحقق الوقاية المطلوبة لأنها بالعموم تنطوي أيضا على اتصال وارتباط بمستويات الأمن العامة كالحماية المادية والحماية الشخصية والحماية الإدارية والحماية الإعلانية . وفيما تقدم اشرنا الى العناصر المتصلة بأمن النظم والبرمجيات والمعطيات وبقي ان نشير في هذا المقام الى أمن الشبكات :-
ان ما يحمى من خلال أمن الشبكة هو عملية الاتصال والتبادل بين أحد كمبيوترات الشبكة (النظام النهائي سواء اكان نظام الزبون ان نظام المستضيف ( الخادم ) وبين كمبيوتر اخر ضمن الشبكة ، فإذا ارتبط النظام النهائي بالإنترنت مباشرة دون وجود وسائل أمن ما بين هذا النظام والشبكة فان اية حزمة بيانات مرسلة قد يلحق بها ما يلي :
أ - قد يتم تغيرها خلال عملية النقل
ب - قد لا تظهر من حيث مصدرها من الجهة التي قدمت منها
ج - قد تكون جزء من هجوم يستهدف النظام
د - قد لا تصل الى العنوان المرسلة اليه
هـ - قد يتم قراءتها والاطلاع عليها وافشاؤها من الغير .
ويهدف أمن الشبكات من جهة أخرى الى حماية الشبكة نفسها واظهار الثقة لدى مستخدم النظام النهائي بتوفر وسائل الحماية في تعامله مع الشبكة وكذلك اظهار الشبكة ذاتها بانها تحتوى على وسائل أمن لا تتطلب معها ان يكون كمبيوتر المستخدم محتويا على وسائل خاصة .
وتتضمن وسائل أمن الشبكة ما يلي : -
1 - التعريف والسلامة من خلال تزويد نظام المستقبل بالثقة في حماية حزم المعلومات والتأكد من ان المعلومات التي وصلت لم يتم تعديلها .
2 - السرية : حماية محتوى حزم المعلومات من الافشاء الا للجهات المرسلة اليها .
3 - التحكم بالدخول : تقيد الاتصالات بحصرها ما بين النظام المرسل والنظام المستقبل .
5-3 قوائم المراجعة والتدقيق – ديمومة المراجعة واطار بناء خطط واستراتيجيات الأمن
هناك العديد من قوائم التدقيق والمراجعة حول مسائل أمن المعلومات ومتطلبات سياسات واستراتيجيات أمن المعلومات والنظم والاتصالات ، وتقوم بالاساس على توفير نوع من دليل المراجعة الذي يساعد المؤسسات او الافراد في بناء أساسي الأمن وتحديد اطار عام لواجبات الموظفين والمستشارين و المعنيين بشؤون ادارة نظم المعلومات والاتصال وتطبيقاتهما وبنفس الوقت تقدم هذه القوائم او ادلة المراجعة المؤسسات والافراد اطار عاما لفهم عناصر ومتطلبات بناء نظم الأمن الخاصة بالكمبيوتر والشبكات .
ومن بين المسائل التي تعالجها عادة هذه القوائم :-
- مسائل واجبات جهات الادارة للتحقق من وجود سياسة أمن المعلومات موثقة ومكتوبة والتحقق من وجود عمليات تحليل المخاطر وخطة الأمن وبناء الأمن التقني وسياسة ادارة الاتصالات الخارجية ، ومدى معرفة واطلاع الموظفين على السياسة الأمنية ومعرفتهم بواجباتهم ، ومدى توفر تدريب على مسائل الأمن وما اذا كان يخضع الموظفون الجدد لتدريب وتعريف حول محتوى الخطة .
- مسائل تنظيم شؤون ادارة الأمن ، والتي تتعلق بوجود جهة مختصة بذلك في المؤسسة وما اذا كان هنالك دليل مكتوب ، وخطط ومسؤولية التعامل مع إجراءات التنفيذ والتعريف والتعامل مع الحوادث ومع خطط الطوارئ وغيرها.
- مسائل الموظفين أنفسهم من حيث مدى فحص التأهيل والكفاءة ومدى التزام الموظفين بتحقيق معايير الأمن على المستوى الشخصي او فيما يتعلق بواجباتهم ، وأغراضها المتصلة بالامن لدى تعيين الموظفين وخلال عملهم ولدى انتهاء خدمتهم لأي سبب ، وتتصل أيضا بمدى توفر نصوص عقدية خاصة في عقود الموظفين ومدى توفر وصف دقيق بوجباتهم الوظيفية المتصلة بإلحاق المعلومات .
- مسائل جهات تزويد الخدمة او المشورة كالمستشارين والمدققين وغيرهم من حيث تغطية عقود التعامل معهم لمسائل الأمن المختلفة .
- مسائل تصنيف المعلومات من حيث توفرها ومعاييرها .
- مسائل البرمجيات من حيث سياسات شرائها واستخدامها وتنزيلها ومسائل الرخص المتصلة بها وآليات التعامل مع البرمجيات المطورة داخليا وحقوق الوصول اليها واستخدامها ، ومسائل حماية البرمجيات التقنية والقانونية .
- مسائل الاجهزة والمعدات من حيث توفر تصور للاحتياجات وتوفير المتطلبات ومعايير توظيف الاجهزة في العمل ، واسخداماتها والغاء استخدامها ومسائل صيانة والتدقيق .
- مسائل التوثيق ، وهي الذي تتعلق مدى توفر استراتيجية توثيق لكافة عناصر النظام ولكافة مرتكزات وعمليات خطط الأمن وسياساتها.
- المسائل المتصلة بوسائط التخزين خارج النظام من حيث تحديد وسائط التخزين المستخدمة وتبويبها وحفظها والوصول اليها وتبادلها واتلافها .
- مسائل التعريف والتوثق من شخصية المستخدم وحدود صلاحيات والتفويض ، وتتعلق بالتحقق من توفر سياسة التحكم بهذه العناصر والوسائل المستخدمة في تحديد الهوية والتوثق من المستخدم ، واستراتيجيات حماية وسائل التعريف تقنيا واداريا، ومدى صلاحية المستخدمين من الخارج او من داخل المؤسسة بشأن الوصول للمعلومات او قطاعات منها ، ومسائل التحقق من تصرفات المستخدم ، مسائل أمن النظام من حيث توفر وسائل التثبت من حيث وقت الاستخدام و المستخدمين .
- مسائل الاتصالات من حيث السيطرة على وسائل وتطبيقات الاتصالات الداخلية والخارجية وتوثيق حركات الاتصال وحماية عمليات الاتصال والمعايير التقنية المستخدمة في ذلك واستراتيجيات سرية ورقابة وتتبع واستخدام البريد الإلكتروني .
- مسائل ادارة الملفات وسجلات الأداء واستخدام النظام من حيث توفر وسائل توثيقها وارشفتها والتثبت من جهات الانشاء والتعديل والتعامل مع الملفات وقواعد البينات والبرامج التطبيقية .
- مسائل النسخ الاحتياطية من البيانات من حيث وقت عمل النسخ الاحتياطية وتخزينها واستخداماتها وتبويبها وتوثيقها وتشفيرها اذا كانت مما يتطلب ذلك .
- مسائل الحماية المادية من حيث التوثق من توفير وسائل وإجراءات الحماية للاجهزة الكمبيوتر والشبكات والبنى التحتية من ومسائل الطاقة والتوصيلات ومدى توفر وسائل الوقاية من الحوادث الطبيعة او المتعمدة اضافة الى وسائل حماية مكان وجود الاجهزة والوسائط وادلة الأمن المكتوبة ، والوسائل المادية للوصول الى الاجهزة واستخدامها من المخولين بذلك .
- مسائل التعامل مع الحوادث والاعتداءات ، من حيث توفر فريق لذلك وأغراضها التي يقوم بها الفريق لهذه الغاية اضافة الى وجود ارتباط مع جهات التحقيق الرسمية وجهات تطبيق القانون وجهات الخبرة المتخصصة بالمسائل المعقدة او التي لا تتوفر كفاءات للتعامل معها داخل المؤسسة .
- مسائل خطط الطوارئ وخطط التعافي لتخفيف الاضرار والعودة للوضع الطبيعي .
- مسائل الاعلام المتعلقة بالمعلومات المتعين وصولها للكافة او لقطاعات محددة والتحقق من وضوح استراتيجية التعامل الاعلامي مع الحوادث والاعتداءات المتحققة .
ومع ان قوائم المراجعة هذه تتباين من مؤسسة الى أخرى ، ومن شخص الى اخر ، تبعا للواقع والاحتياجات وطبيعة النظام والمعلومات والتطبيقات العملية الا ان الكثير منها يصلح كإطار عام ومرجعية لدى وضع هذه القوائم والأدلة ، ومن ابرزها القوائم التي وضعها مجموعة خبراء في حقل أمن المعلومات واعتمدتها منظمة الشرطة الدولية – الانتربول.