المحاضرة رقم 11 : عمليات تدقيق الأمن والخصوصية (Security and Privacy Audits)
عمليات تدقيق الأمن والخصوصية (Security and Privacy Audits)
توجد مخاوف الخصوصية في جميع جوانب المنظمة (all aspects of an organization) :
- من سجلاتها الورقية (from its paper-based records).
- إلى قواعد بياناتها الداخلية (to its internal databases).
- إلى سياساتها الخاصة بجمع البيانات على موقعها على الإنترنت (to its policies of data collection on its website).
يحتاج المدققون الداخليون إلى التأكد من حماية المعلومات الشخصية من الوصول غير المصرح به (unauthorized access) سواء :
1. من داخل المنظمة (Inside the organization).
2. أو من خارج المنظمة (Outside the organization).
ملاحظة: يجب تدقيق الأمان المادي (Physical security) مثل :
1. يحمي من المخاطر البيئية (Safeguards against environmental risks).
2. يحمي من الوصول غير المشروع إلى أجهزة الكمبيوتر (Safeguards against wrongful access to computers).
حتى إذا كان البرنامج يوفر معظم الحماية للمعلومات (protection for information).
1. تدقيق أمن المعلومات (Information Security Auditing) :
تدقيق أمن المعلومات (Information security auditing) هو ..
توسيع لخدمات التأكيد التي يؤديها المدققون (expansion of the assurance services performed by auditors).
أدى إنشاء شبكات كمبيوتر على مستوى المؤسسة (creation of organization-wide computer networks) مع إمكانية الوصول من قبل العديد من الأطراف الخارجية إلى زيادة المخاطر بشكل كبير. وبالتالي قد تكون :
1. عمليات إدارة المخاطر غير كافية (Risk management processes inadequate).
2. عمليات المراقبة غير كافية (Control processes inadequate).
يتمثل دور نشاط التدقيق الداخلي في هذه الظروف في :
1. تقييم المخاطر (assess risks). Assessing information systems security risks
2. ومراقبة تنفيذ الإجراءات التصحيحية (monitor the implementation of corrective action).
3. وتقييم الرقابة (evaluate controls). Evaluating security controls
قد يعمل نشاط التدقيق الداخلي أيضًا بصفة استشارية من خلال تحديد المشكلات الأمنية والعمل مع :
1. مستخدمي أنظمة المعلومات (users of information systems).
2. ومع موظفي أمن الأنظمة (systems security personnel).
لكلاً من :
1. وضع الرقابة (Devise controls).
2. تنفيذ الرقابة (Implement controls).
يعمل نشاط التدقيق الداخلي بشكل وثيق مع كلاً من :
1. الإدارة العليا (Senior management).
2. ومجلس الإدارة (Board).
لمساعدة في أداء وظيفة الحوكمة فيما يتعلق بأمن المعلومات
(assist in the performance of the governance function with respect to information security).
مصداقية المعلومات ونزاهتها (Information Reliability and Integrity) :
تتضمن موثوقية المعلومات وسلامتها (Information reliability and integrity) كلاً من :
1. الدقة (Accuracy).
2. والاكتمال (Completeness).
3. والأمان (Security).
يحدد نشاط التدقيق الداخلي ما إذا كانت :
1. الإدارة العليا (Senior management).
2. ومجلس الإدارة (Board).
يفهمان بوضوح أنها مسؤولية الإدارة عن جميع المعلومات الهامة بغض النظر عن شكلها.
يحدد الرئيس التنفيذي للتدقيق (CAE) ما إذا كان نشاط التدقيق الداخلي لديه موارد تدقيق مختصة (competent audit resources) لتقييم :
1. المخاطر الداخلية (Internal risks).
2. والمخاطر الخارجية (External risks).
لموثوقية المعلومات ونزاهتها (information reliability and integrity).
يحدد الرئيس التنفيذي للتدقيق (CAE) ما إذا كان سيتم إخطار :
1. الإدارة العليا (Senior management).
2. ومجلس الإدارة (Board).
ونشاط التدقيق الداخلي على الفور بشأن الانتهاكات والظروف التي قد تمثل تهديدًا.
يقوم المدققون الداخليون بتقييم فعالية (assess the effectiveness) :
1. الإجراءات الوقائية (Preventive measures).
2. الإجراءات الاستقصائية (Detective measures).
3. الإجراءات التخفيفية (Mitigative measures).
ضد الهجمات الماضية والمستقبلية (against past and future attacks).
كما أنهم يحددون ما إذا كان قد تم إبلاغ مجلس الإدارة بشكل مناسب (board has been appropriately informed).
يقوم المدققون الداخليون بشكل دوري (periodically) بـ :
تقييم (assess) :
1. ممارسات الموثوقية (Reliability practices).
2. وممارسات النزاهة (Integrity practices).
والتوصية (recommend) بـ :
1. رقابة جديدة (New controls).
2. أو رقابة محسنة (Improved controls).
يمكن إجراء مثل هذه التقييمات كـ :
1. مهام منفصلة (Separate engagements).
2. أو كمهام متعددة متكاملة مع عناصر أخرى من خطة المراجعة (Multiple engagements integrated with other elements of the audit plan).
يقوم المدققون الداخليون أيضًا بـ :
1. تقييم الامتثال لقوانين الخصوصية (Evaluate compliance with privacy laws).
2. تقييم الامتثال للوائح الخصوصية (Evaluate compliance with privacy regulations).
وبالتالي فإنهم يقومون بتقييم مدى كفاية تحديد المخاطر والرقابة التي تقلل من تلك المخاطر.
2. تدقيق الأمن (Security Auditing) :
الاستخدام الأكثر شيوعًا لمصطلح الأمان في الإعداد التنظيمي يتعلق بتكنولوجيا المعلومات (IT).
ومع ذلك يجب على المنظمة أن تأخذ نظرة أكثر شمولاً للأمن (more comprehensive view of security).
أحد الأمثلة على ذلك هو حماية الموظفين والزوار من العنف في مكان العمل (protection of employees and visitors from workplace violence).
وبالتالي فإن الأمن هو مسألة مناسبة لـ :
1. الحوكمة (Governance).
2. وإدارة المخاطر (Risk management).
حتى في غياب تكنولوجيا المعلومات (even in the absence of IT).
يقوم نشاط التدقيق الداخلي بتقييم مدى كفاية وفعالية الرقابة المصممة والمنفذة من قبل الإدارة في جميع مجالات الأمن.
3. تدقيق الخصوصية (Privacy Auditing) :
زاد مقدار المعلومات الشخصية (personal information) المخزنة على أجهزة الكمبيوتر بشكل كبير.
كما زادت المخاطر الأمنية التي ينطوي عليها الأمر بسبب الترابط بين أجهزة الكمبيوتر التي يسمح بها الإنترنت.
تقييم إطار الخصوصية (Evaluation of a Privacy Framework) :
تمنع حماية المعلومات الشخصية العواقب التنظيمية السلبية (negative organizational consequences) مثل :
1. المسؤولية القانونية (Legal liability).
2. وفقدان السمعة (Loss of reputation).
فيما يلي تعريفات مختلفة (various definitions) للخصوصية :
1. الخصوصية الشخصية Personal privacy (الجسدية والنفسية Physical and psychological)
2. خصوصية المكان Privacy of space (التحرر من الترصد Freedom from surveillance)
3. خصوصية الاتصالات Privacy of communication (التحرر من المراقبة Freedom from monitoring)
4. خصوصية المعلومات Privacy of information
(جمع المعلومات الشخصية واستخدامها والإفصاح عنها من قبل الآخرين collection, use, and disclosure of personal information by others)
المعلومات الشخصية (Personal information) هي أي معلومات يمكن ربطها بفرد معين أو يمكن دمجها مع معلومات أخرى للقيام بذلك.
فيما يلي أمثلة :
1. الاسم والعنوان وأرقام الهوية والعلاقات الأسرية (Name, address, identification numbers, family relationships).
2. ملفات الموظف أو التقييمات أو التعليقات أو الحالة الاجتماعية أو الإجراءات التأديبية
(Employee files, evaluations, comments, social status, or disciplinary actions).
3. سجلات الائتمان والدخل والوضع المالي (Credit records, income, financial status).
4. الحالة الطبية (Medical status).
مجلس الإدارة (Board) مسؤول في النهاية (ultimately accountable) عن :
1. تحديد المخاطر الرئيسية (identifying principal risks).
2. وتنفيذ الرقابة (implementing controls).
3. وإدارة مخاطر الخصوصية (managing privacy risk)
على سبيل المثال من خلال إنشاء ومراقبة إطار عمل للخصوصية (Establishing and monitoring a privacy framework).
يقوم نشاط التدقيق الداخلي (internal audit activity) بتقييم مدى كفاية (adequacy) :
1. تحديد مخاطر الإدارة (Management’s risk identification).
2. والرقابة التي تقلل من تلك المخاطر (Controls that reduce those risks).
علاوة على ذلك يقوم نشاط التدقيق الداخلي بـ :
1. تقييم إطار الخصوصية (evaluates the privacy framework).
2. وتحديد المخاطر المهمة (identifies significant risks).
3. وتقديم التوصيات (makes recommendations).
يراعي نشاط التدقيق الداخلي أيضًا :
1. القوانين واللوائح والممارسات في السلطات القضائية ذات الصلة (Laws, regulations, and practices in relevant jurisdictions).
2. مشورة المستشار القانوني (The advice of legal counsel).
3. الجهود الأمنية لأخصائيي تكنولوجيا المعلومات (The security efforts of IT specialists).
يعتمد دور نشاط التدقيق الداخلي على :
1. مستوى ممارسات الخصوصية للمنظمة (Level of the organization’s privacy practices).
2. ونضج ممارسات الخصوصية للمنظمة (Maturity of the organization’s privacy practices).
وفقًا لذلك .. يجوز للمدققين الداخليين :
1. تسهيل تطوير وتنفيذ برنامج الخصوصية (Facilitate the development and implementation of the privacy program).
2. تقييم تقييم مخاطر الخصوصية للإدارة (Evaluate management’s privacy risk assessment).
3. أداء خدمة تأكيد فيما يتعلق بفعالية إطار الخصوصية
(Perform an assurance service regarding the effectiveness of the privacy framework).
ومع ذلك فإن تحمل المسؤولية قد يضعف الاستقلال (assumption of responsibility may impair independence).
يحدد المدقق الداخلي (internal auditor) :
1. المعلومات الشخصية التي تم جمعها (Personal information gathered).
2. طرق الجمع (Collection methods).
3. ما إذا كان استخدام المعلومات يتوافق مع الاستخدام المقصود لها والقانون المعمول به
(Whether use of the information is in accordance with its intended use and applicable law).
نظرًا لصعوبة كلاً من :
1. الأمور الفنية (Technical issues).
2. والأمور القانونية (Legal issues).
يحتاج نشاط التدقيق الداخلي إلى :
1. المعرفة (Knowledge).
2. والكفاءة (Competence).
لـ :
1. تقييم مخاطر إطار عمل الخصوصية (assess the Risks of the privacy framework).
2. تقييم رقابة إطار الخصوصية (assess the Controls of the privacy framework).
استخدام المعلومات الشخصية في أداء الارتباطات (Use of Personal Information in Performing Engagements) :
يمثل التقدم في تكنولوجيا المعلومات والاتصالات كلاً من :
1. مخاطر تتعلق بالخصوصية (Privacy risks).
2. وتهديدات تتعلق بالخصوصية (Privacy threats).
وبالتالي يحتاج المدققون الداخليون إلى النظر في حماية معلومات التعريف الشخصية التي تم جمعها أثناء عمليات التدقيق.
رقابة / ضوابط الخصوصية (Privacy controls) هي متطلبات قانونية (legal requirements) في العديد من الولايات القضائية.
تتطلب العديد من الولايات القضائية من المنظمات تحديد الأغراض التي من أجلها يتم جمع المعلومات الشخصية عند أو قبل جمعها.
تحظر هذه القوانين أيضًا :
1. استخدام المعلومات الشخصية (Using personal information).
2. والكشف عن المعلومات الشخصية (Disclosing personal information).
لأغراض أخرى غير تلك التي تم جمعها من أجلها إلا بـ :
1. موافقة / قبول الفرد (individual’s consent).
2. أو وفقًا لما يقتضيه القانون (as required by law).
يجب على المدققين الداخليين (Internal auditors) :
1. فهم جميع القوانين المتعلقة باستخدام المعلومات الشخصية (Understand all laws regarding the use of personal information).
2. الامتثال لجميع القوانين المتعلقة باستخدام المعلومات الشخصية (Comply with all laws regarding the use of personal information).
قد يكون :
1. من غير الملائم الوصول إلى المعلومات الشخصية (inappropriate to access to personal information).
2. أو غير القانوني الوصول إلى المعلومات الشخصية (illegal to access to personal information).
أو :
1. استردادها (Retrieve).
2. أو مراجعتها (Review).
3. أو التلاعب بها (Manipulate).
4. أو استخدامها في إجراء ارتباطات معينة (Conducting certain engagements).
إذا تمكن المدقق الداخلي من الوصول إلى المعلومات الشخصية فقد تكون الإجراءات (procedures) ضرورية لحماية هذه المعلومات.
على سبيل المثال قد لا يقوم المدقق الداخلي بتسجيل المعلومات الشخصية في سجلات الارتباط (engagement records) في بعض المواقف.
قد يطلب المدقق الداخلي المشورة (advice) من المستشار القانوني (legal counsel) ..
وذلك قبل بدء أعمال التدقيق إذا ظهرت أسئلة حول الوصول إلى المعلومات الشخصية.
تتناول ارتباطات الخصوصية (Privacy engagements) أمان المعلومات الشخصية (Security of personal information) وخاصة المعلومات المخزنة في أنظمة الكمبيوتر. مثال على ذلك هو معلومات الرعاية الصحية (Healthcare information) في ملفات شركات التأمين ومقدمي الخدمات.
يجب أن :
1. الامتثال للتفويضات الحكومية القانونية (Comply with governmental statutory mandates).
2. الامتثال للوائح الحكومية القانونية (Comply with governmental regulatory mandates).
يقوم المدققون الداخليون بـ :
1. استشارة المستشار القانوني للمؤسسة (Consult the organization’s legal counsel).
2. ثم إبلاغ المتطلبات إلى المسؤولين عن تصميم وتنفيذ التأكيدات المطلوبة
(Communicate the requirements to those responsible for designing and implementing the required safeguards).
يحدد المدققون الداخليون أن المتطلبات مدرجة في نظام المعلومات وأن الامتثال يتحقق في تشغيله.
يجب حماية المعلومات الشخصية من كل من :
1. التطفل غير المصرح به (Unauthorized intrusion).
2. وإساءة الاستخدام (Misuse).
من قبل أولئك الذين لديهم حق الوصول المصرح به.
يتم موازنة الخصوصية (Privacy is balanced) مع الحاجة إلى السماح بـ :
1. التوافر المناسب (Appropriate availability).
2. و التوافر السريع (Prompt availability).
للمعلومات الشخصية للمستخدمين الشرعيين.
يجب ان تخضع وثائق المنظمة (organization documents) للامتثال لـ :
1. الخصوصية (privacy).
2. والمتطلبات القانونية الأخرى (other legal requirements).
يجب أن تتجاوز فوائد الارتباطات الأمنية التكاليف (Benefits of the security arrangements should exceed the costs).
على سبيل المثال يعد التشفير (encryption) طريقة مكلفة لمعالجة التهديدات لأمن المعلومات الخاصة.
قد تكون الطرق الأخرى .. مثل رقابة الوصول (access controls) .. أكثر ملاءمة بالنسبة للمخاطر المقدرة.
ملاحظة: تتطلب مدونة الأخلاقيات الصادرة عن معهد المدققين الداخليين أن يقوم المدققون الداخليون بـ ..
الحفاظ على سرية المعلومات الخاصة (maintain the confidentiality of private information).
"يجب أن يتوخى المدققون الداخليون الحذر في استخدام وحماية المعلومات التي يتم الحصول عليها أثناء أداء واجباتهم" (Rule of Conduct 3.1).
"لا يجوز للمدققين الداخليين استخدام المعلومات لتحقيق أي مكاسب شخصية أو بأي طريقة تكون مخالفة للقانون أو ضارة بالأهداف المشروعة والأخلاقية للمنظمة" (Rule of Conduct 3.2).
المحاضرة
رابط ملف الـ PDF الخاص بالمحاضرة
ليست هناك تعليقات