هل تتوفر خدمة الاستلام والتوصيل؟

نعم، تتوفر خدمة الاستلام والتوصيل ضمن مناطق محافظة مبارك الكبير ومحافظة الأحمدي.

هل يوجد كفالة على غسيل السجاد؟

نعم، كفالة لمدة يومين على غسيل السجاد وفق سياسة الدليل.

ما أوقات العمل؟

السبت إلى الخميس: 09:00 ص – 10:00 م، الجمعة: 02:00 م – 10:00 م.

[ تعرٌف على ] تدقيق نظم تقنية المعلومات

اضافة تعليق

هل هنالك خطأ بهذا المحتوى ؟

العنوان

المحتوى

تم النشر اليوم [dadate] | تدقيق نظم تقنية المعلومات أهداف وغرض التدقيق تختلف عمليات تدقيق تقنية المعلومات عن تدقيق البيانات والكشوفات المالية. للتوضيح أكثر، فنحن نجري عمليات التدقيق المالي لمعرفة ما إذا كانت الكشوفات المالية تظهر بشكل صحيح وعادل، وما إذا كان التدفق المالي يتوافق كليا مع مايظهر من ممارسات ونتائج أقسام المحاسبة والقياس. ومن نقطة أخرى، أهداف وغايات التدقيق في عمليات تقنية ونظم المعلومات هو معرفة ما إذا كان التصميم العام وكفاءة وفعالية النظام تسير بشكل مستمر وصحيح. على سبيل المثال (لا الحصر) يشمل التدقيق مراقبة بروتوكولات الأمن المنفذه وكفائتها، مراقبة التطوير، ومراقبة الإدارة الكبرى لتقنية المعلومات وتوابعها. من المعروف أنه من الضروري تثبيت العناصر التقنية المسؤولة عن التحكم، لكن ورغم ذلك لا يعد هذا كافيا لضمان وتوفير الحماية الكاملة أو الكافية. هناك مسؤولية كبيرة تندرج تحت مهام مسؤولين التدقيق، ومن هذه المهام معرفة مدى كفاءة وفعالية الأدوات المستخدمة في التحكم في التدقيق المعلوماتي ومعرفة ما إذا كانت هذه الأدوات مهيئة للعمل بالشكل الذي هو مطلوب منها، وأيضا فعاليتها في الحالات الصعبة مثل حالات اختراق النظام وماشابه، وإذا حدث مثل هذه الاختراقات، يجب أيضا الإلمام التام بالإجراءات المتخذه والمخطط لها ومعرفة الإجراءات المستقبلية لمثل هذه الحالات. ولأهمية وحساسية هذه الأمور، يجب الرد على هذه الإستفسارات بواسطة أناس مراقبين غير متحيزين ومستقلين، وهؤلاء هم من يراقب عملية تدقيق البيانات في تقنية ونظم المعلومات. في عالم نظم المعلومات وطبيعة البيئة الموجودة هناك، يتم فحص وتدقيق كافة عناصر نظم المعلومات وذلك من مدخلات ومخرجات ونتائج ومعالجات. الركائز الأساسية في عملية تدقيق نظم وتقنية المعلومات هي بأن يتم فحص وتقييم مدى فعالية وكفاءة الأنظمة الموجودة حاليا في الشركات أو المؤسسات التي من أجلها يتم حماية معلومات الشركة نفسها. بالتحديد وعلى وجه الخصوص، هي بأن يتم اختبار وفحص قدرة المنظمات على حماية وأمن معلوماتها وأصول ممتلكاتها، وأيضا للتأكد ما إذا كانت المنظمة تقوم على توزيع ومعالجة المعلومات بشكل دقيق وصحيح على جهاتها المعتمدة. التدقيق في تقنية ونظم المعلومات يتمحور أيضا ويستلخص في النقاط/ الأسئلة التالية: هل ستكون الأنظمة الخاصة بأجهزة الحاسب الآلي التي تعمل في المؤسسة متاحة دائما عند الحاجة إليها؟ - تعرف هذه الركيزة بمصطلح «إتاحة البيانات» أو بالإنجليزية "Data Availability". هل سيتم حفظ المعلومات وعرضها وإتاحتها حصريا فقط على الأشخاص المصرحين لهم بذلك؟ - تعرف هذه الركيزة بمصطلح «سرية البيانات» أو بالإنجليزية "Data Confidentiality". هل المعلومات المتواجدة والمحتفظ بها في هذه الأنظمة ستكون محل ثقة وسليمة وغير معدل بها، هل ستكون موثوقة أو دقيقة في الوقت المطلوب؟ - تعرف هذه الركيزة بمصطلح «نزاهة البيانات» أو بالإنجليزية "Data Integrity". وبكل تلك الطرق، من المرجح جدا في أن هذا التدقيق سيلعب دور كبير في تقييم المخاطر المتوقعة على الشركات والمنظمات والحد من هذه المخاطر في التأثير على أصول المعلومات والبيانات للمنظمة. أسباب طارئة هناك أيضًا عمليات تدقيق جديدة تفرضها مختلف المجالس القياسية والتي يتعين تنفيذها، اعتمادًا على المؤسسة المدققة، والتي ستؤثر على تكنولوجيا المعلومات وتضمن أن أقسام تكنولوجيا المعلومات تؤدي وظائف وضوابط معينة بشكل مناسب لتكون متوافقة. ومن أمثلة عمليات التدقيق هذه SSAE 16 و ISAE 3402 و ISO27001: 2013 . تدقيقات وجود الويب أدى تمديد وجود تكنولوجيا المعلومات للشركات إلى ما وراء جدار حماية الشركة (مثل اعتماد وسائل التواصل الاجتماعي من قبل المؤسسة إلى جانب انتشار الأدوات المستندة إلى مجموعة النظراء مثل أنظمة إدارة وسائل التواصل الاجتماعي) إلى زيادة أهمية دمج عمليات تدقيق حضور الويب في IT / IS (التدقيقي). تتضمن أغراض عمليات التدقيق هذه ضمان قيام الشركة باتخاذ الخطوات اللازمة من أجل: كبح استخدام الأدوات غير المصرح بها (مثل «تكنولوجيا المعلومات الظلية»). تقليل الأضرار التي لحقت السمعة. الحفاظ على الامتثال التنظيمي. منع تسرب المعلومات. تخفيف مخاطر الطرف الثالث. تقليل مخاطر الحكم. كان استخدام الأدوات التي طورتها الإدارات أو المستخدم موضوعًا مثيرًا للجدل في الماضي. ومع ذلك، مع توافر أدوات تحليل البيانات على نطاق واسع، ولوحات المعلومات، والحزم الإحصائية، لم يعد المستخدمون بحاجة إلى الوقوف في طابور انتظار موارد تكنولوجيا المعلومات لتلبية الطلبات التي لا نهاية لها على ما يبدو للتقارير. تتمثل مهمة تقنية المعلومات في العمل مع مجموعات الأعمال لجعل الوصول المصرح به والإبلاغ عنه أسهل ما يمكن. لاستخدام مثال بسيط، يجب ألا يضطر المستخدمون إلى إجراء مطابقة البيانات الخاصة بهم بحيث يتم ربط الجداول العلائقية الخالصة بطريقة ذات معنى. يحتاج تكنولوجيا المعلومات إلى إتاحة ملفات نوع مستودع بيانات غير طبيعية للمستخدمين بحيث يتم تبسيط أعمال التحليل الخاصة بهم. على سبيل المثال، ستقوم بعض المؤسسات بتحديث المستودع بشكل دوري وإنشاء جداول «سهلة الاستخدام» يمكن تحميلها بسهولة بواسطة حزمة مثل Tableau واستخدامها لإنشاء لوحات معلومات. تدقيق اتصالات المؤسسة يؤدي ظهور شبكات VOIP وقضايا مثل BYOD والقدرات المتزايدة لأنظمة الاتصالات الهاتفية للمؤسسات الحديثة إلى زيادة خطر إساءة تكوين البنية التحتية الأساسية للاتصالات الهاتفية، مما يترك المؤسسة مفتوحة أمام إمكانية الاحتيال في الاتصالات أو تقليل ثبات النظام. تقوم البنوك والمؤسسات المالية ومراكز الاتصال بوضع سياسات يتم تطبيقها عبر أنظمة الاتصالات الخاصة بها. تقع مهمة التدقيق في أن أنظمة الاتصالات في امتثال للسياسة على عاتق مراجعي الاتصالات المتخصصين. تضمن عمليات التدقيق هذه أنه يجب على أنظمة اتصالات الشركة مراعاة مايلي: الالتزام بالسياسة المعلنة. اتبع السياسات المصممة لتقليل مخاطر القرصنة أو التزوير. الحفاظ على الامتثال التنظيمي. منع أو تقليل عدد عمليات الاحتيال. تخفيف مخاطر الطرف الثالث. تقليل مخاطر الحكم. وتسمى عمليات تدقيق الاتصالات في المؤسسة أيضًا «التدقيق الصوتي»، ولكن يتم إهمال المصطلح بشكل متزايد لأن البنية التحتية للاتصالات تصبح بشكل متزايد موجهة للبيانات وتعتمد على البيانات. يتم أيضًا إهمال مصطلح «تدقيق الاتصال الهاتفي» نظرًا لأن البنية التحتية الحديثة للاتصالات، خاصةً عند التعامل مع العملاء، هي قناة شاملة، حيث يحدث التفاعل عبر قنوات متعددة، وليس فقط عبر الهاتف. واحدة من القضايا الرئيسية التي ابتليت بها مراجعة اتصالات المؤسسة هي عدم وجود معايير محددة من قبل الصناعة أو معايير معتمدة من الحكومة. تعتمد عمليات تدقيق تكنولوجيا المعلومات على أساس الالتزام بالمعايير والسياسات التي تنشرها مؤسسات مثل NIST و PCI، ولكن عدم وجود هذه المعايير لتدقيق اتصالات المؤسسة يعني أن هذه المراجعات يجب أن تستند إلى المعايير والسياسات الداخلية للمنظمة، بدلاً من الصناعة، المعايير. نتيجة لذلك، لا تزال عمليات تدقيق اتصالات المؤسسة تتم يدويًا، مع إجراء اختبارات عشوائية لأخذ العينات. وأدوات آلية عمل تدقيق السياسات لاتصالات المؤسسة أصبحت متوفرة مؤخرًا فقط. أمن المعلومات يعد تدقيق أمن المعلومات جزءًا حيويًا من أي تدقيق لتكنولوجيا المعلومات، وغالبًا ما يُفهم أنه الغرض الأساسي من تدقيق تكنولوجيا المعلومات. ويشمل نطاق واسع لأمن المعلومات التدقيق في مواضيع مثل مراكز البيانات (الأمن المادي لمراكز البيانات وأمن المنطقي لقواعد البيانات والخوادم ومكونات البنية التحتية للشبكة)، الشبكات وتطبيق الأمن. مثل معظم المجالات الفنية، هذه المواضيع تتطور دائمًا؛ يجب أن يواصل مراقبو تقنية المعلومات باستمرار توسيع معارفهم وفهمهم للأنظمة والبيئة والسعي في شركة النظام. أنواع عمليات التدقيق في تقنية المعلومات قام عدد كبير من السلطات بتمييز وتصنيف عدة مسميات وأنواع لعمليات التدقيق في تقنية المعلومات. بحسب ماثبت من جودمن ولوليس (Goodman & Lawless)، إجراءات عمليات تدقيق تقنية المعلومات يقوم تحت ثلاث أساليب رئيسية ممنهجة ومحددة وهي: التدقيق في عمليات الابتكار التكنولوجي: الأسلوب في هذا التدقيق يتمحور في النظر في مخاطر المشاريع الجديدة والقائمة أيضا. وللتوضيح، هذا التدقيق يقوم باختبار الشركة في مدى كفاءة وقوة الخبرة والتجارب في التقنيات المختارة والمنفذة، وأيضا يقوم باختبار قوة تواجدها ومكانتها بين الأسواق التي لها علاقة بهذه التقنيات. إضافة إلى ذلك، يقوم هذا التدقيق بفحص المنظمة المسؤولة عن تنفيذ كل مشروع والهيكلة العامة المتواجدة في المنظمات والتي تتعامل مع سوق العمل بذاته. التدقيق في عمليات الابتكار المقارن: هذا التدقيق يعمل على فحص وتحليل قدرات الابتكار في الشركة القائم فيها التدقيق، ويتم دراسة ومقارنة هذه الشركة مع منافسيها من هذا المجال. إضافة إلى ذلك، يتم فحص السجل الخاص بالشركة لمعرفة ما إذا كانت الشركة قادرة بالفعل على صناعة وابتكار منتج جديد. التدقيق في عمليات الوظائف التكنولوجية: هذا التدقيق يهتم في التقنيات المستخدمة حاليا في الشركة، وأيضا التقنيات المطلوبة في الشركة/المنظمة. يصف آخرون نطاق عمليات تدقيق تكنولوجيا المعلومات بخمس فئات من عمليات التدقيق وهي: الأنظمة والتطبيقات: مراجعة للتحقق من أن الأنظمة والتطبيقات مناسبة وفعالة ويتم التحكم فيها بشكل مناسب لضمان إدخال ومعالجة وإخراج صالحة وموثوقة وفي الوقت المناسب وآمنة على جميع مستويات نشاط النظام. تشكل عمليات تدقيق ضمان النظام والعمليات نوعًا فرعيًا، يركز على أنظمة تكنولوجيا المعلومات التجارية التي تتمحور حول العمليات التجارية. تهدف عمليات التدقيق هذه إلى مساعدة المدققين الماليين. مرافق معالجة المعلومات: مراجعة للتحقق من أن منشأة المعالجة يتم التحكم فيها لضمان معالجة الطلبات في الوقت المناسب ودقيقة وفعالة في ظل الظروف العادية والتي من المحتمل أن تكون معطلة. تطوير النظم: مراجعة للتحقق من أن الأنظمة قيد التطوير تفي بأهداف المنظمة، ولضمان تطوير الأنظمة وفقًا للمعايير المقبولة عمومًا لتطوير الأنظمة. إدارة تكنولوجيا المعلومات وهندسة المؤسسات: مراجعة للتحقق من أن إدارة تكنولوجيا المعلومات قد طورت هيكلاً وإجراءات تنظيمية لضمان بيئة مضبوطة وفعالة لمعالجة المعلومات. العميل / الخادم، الاتصالات السلكية واللاسلكية، الشبكات الداخلية، والشبكات الخارجية: مراجعة للتحقق من وجود ضوابط الاتصالات عن بعد على العميل (خدمات استقبال الكمبيوتر)، الخادم، وعلى الشبكة التي تربط بين العملاء والخوادم. وبعضها يراجع جميع عمليات تدقيق تكنولوجيا المعلومات باعتبارها واحدة من نوعين فقط: عمليات مراجعة «مراجعة التحكم العامة» أو عمليات مراجعة «مراجعة التحكم في التطبيق». يعتبر عدد من المتخصصين في مراجعة تكنولوجيا المعلومات من مجال ضمان المعلومات أن هناك ثلاثة أنواع أساسية من الضوابط بغض النظر عن نوع التدقيق الذي يتعين إجراؤه، وخاصة في مجال تكنولوجيا المعلومات. تحاول العديد من الإطارات والمعايير تقسيم عناصر التحكم إلى تخصصات أو ساحات مختلفة، مما يعني أنها «عناصر تحكم الأمان»، «عناصر التحكم في الوصول»، «عناصر تحكم IA» في محاولة لتحديد أنواع عناصر التحكم المعنية. على مستوى أكثر جوهرية، يمكن أن تظهر عناصر التحكم هذه على ثلاثة أنواع من الضوابط الأساسية: الضوابط الوقائية، وضوابط المباحث، والضوابط التفاعلية/التصحيحية. في IS، هناك نوعان من المدققين والمراجعة: داخلي وخارجي. عادة ما يكون تدقيق IS جزءًا من التدقيق الداخلي في المحاسبة، وغالبًا ما يتم إجراؤه بواسطة المدققين الداخليين للشركة. يقوم المراجع الخارجي بمراجعة نتائج التدقيق الداخلي وكذلك مدخلات ومعالجة ومخرجات نظم المعلومات. غالباً ما تكون المراجعة الخارجية لأنظمة المعلومات جزءًا من المراجعة الخارجية الشاملة التي تقوم بها شركة محاسب قانوني معتمد. تدرس IS جميع المخاطر والضوابط المحتملة في نظم المعلومات. إنها تركز على قضايا مثل العمليات والبيانات والنزاهة وتطبيقات البرامج والأمن والخصوصية والميزانيات والنفقات ومراقبة التكاليف والإنتاجية. تتوفر إرشادات لمساعدة المراجعين في وظائفهم، مثل تلك الموجودة في جمعية تدقيق ومراقبة أنظمة المعلومات. تاريخ تدقيق تكنولوجيا المعلومات تم تشكيل مفهوم تدقيق تكنولوجيا المعلومات في منتصف الستينيات. منذ ذلك الوقت، مرت تدقيق تكنولوجيا المعلومات بالعديد من التغييرات، ويرجع ذلك إلى حد كبير إلى التقدم في التكنولوجيا ودمج التكنولوجيا في الأعمال. حاليًا، هناك العديد من الشركات المعتمدة على تكنولوجيا المعلومات والتي تعتمد على تقنية المعلومات من أجل إدارة أعمالها، مثل شركة الاتصالات أو البنوك. بالنسبة للأنواع الأخرى من الأعمال، تلعب تكنولوجيا المعلومات الجزء الأكبر من الشركة بما في ذلك تطبيق سير العمل بدلاً من استخدام نموذج طلب الورق، باستخدام التحكم في التطبيق بدلاً من التحكم اليدوي الذي هو أكثر موثوقية أو تطبيق تنفيذ ERP لتسهيل المنظمة باستخدام تطبيق واحد فقط. وفقا لهذه، تزداد أهمية تدقيق تكنولوجيا المعلومات باستمرار. أحد أهم أدوار تدقيق تكنولوجيا المعلومات هو التدقيق على النظام المهم لدعم التدقيق المالي أو لدعم اللوائح المحددة المعلنة مثل SOX. مراحل التدقيق النقاط التالية تشكل الخطوات أو المراحل الرئيسية في تكوين عمليات التدقيق في تقنية المعلومات: التخطيط. تقييم ودراسة الضوابط. تقييم واختبار الضوابط. التقرير والتسجيل. المتابعة. الإقرار. شرح مبسط تدقيق تقنية المعلومات أو تدقيق نظم المعلومات، هي الممارسة التي تدور حول التحكم بإدارة وفحص البنية التحتية الخاصة بتقنية المعلومات. تدور هذه الممارسات والتحكم والتقييمات في نظم المعلومات ما إذا كانت هذه الأنظمة تحت نطاق آمن للإستخدام وسهل للوصول وآمن بالنسبة لمعايير المصداقية ومعايير التشغيل والسلامة من الجرائم الإلكترونية المفتعلة أو المتعمدة. هنالك أهداف وسياسات واضحة تخضع تحت نظام إدارة وتحكم النظم التشغيلية في تدقيق تقنية المعلومات، ومن أهم هذه السياسات هو تحقيق أهداف المنظمة التشغيلية أو الشركة. يمكن أن يكون هنالك أيضا بعض المعايير التي تتدخل في تحقيق نجاح التدقيق المعلوماتي مثل الكشوفات المالية، التدقيق الداخلي أو أي افتراضيات أخرى قد تتدخل أيضا لاحقا.

اسمك الكريم

شكوى او ملاحظاتك للمشرف

اكتب الارقام الموجوده بالصورة بالفراغ تحتها
captcha

[ تعرٌف على ] تدقيق نظم تقنية المعلومات تم النشر اليوم [dadate] | تدقيق نظم تقنية المعلومات

أهداف وغرض التدقيق

تختلف عمليات تدقيق تقنية المعلومات عن تدقيق البيانات والكشوفات المالية. للتوضيح أكثر، فنحن نجري عمليات التدقيق المالي لمعرفة ما إذا كانت الكشوفات المالية تظهر بشكل صحيح وعادل، وما إذا كان التدفق المالي يتوافق كليا مع مايظهر من ممارسات ونتائج أقسام المحاسبة والقياس. ومن نقطة أخرى، أهداف وغايات التدقيق في عمليات تقنية ونظم المعلومات هو معرفة ما إذا كان التصميم العام وكفاءة وفعالية النظام تسير بشكل مستمر وصحيح. على سبيل المثال (لا الحصر) يشمل التدقيق مراقبة بروتوكولات الأمن المنفذه وكفائتها، مراقبة التطوير، ومراقبة الإدارة الكبرى لتقنية المعلومات وتوابعها. من المعروف أنه من الضروري تثبيت العناصر التقنية المسؤولة عن التحكم، لكن ورغم ذلك لا يعد هذا كافيا لضمان وتوفير الحماية الكاملة أو الكافية. هناك مسؤولية كبيرة تندرج تحت مهام مسؤولين التدقيق، ومن هذه المهام معرفة مدى كفاءة وفعالية الأدوات المستخدمة في التحكم في التدقيق المعلوماتي ومعرفة ما إذا كانت هذه الأدوات مهيئة للعمل بالشكل الذي هو مطلوب منها، وأيضا فعاليتها في الحالات الصعبة مثل حالات اختراق النظام وماشابه، وإذا حدث مثل هذه الاختراقات، يجب أيضا الإلمام التام بالإجراءات المتخذه والمخطط لها ومعرفة الإجراءات المستقبلية لمثل هذه الحالات. ولأهمية وحساسية هذه الأمور، يجب الرد على هذه الإستفسارات بواسطة أناس مراقبين غير متحيزين ومستقلين، وهؤلاء هم من يراقب عملية تدقيق البيانات في تقنية ونظم المعلومات. في عالم نظم المعلومات وطبيعة البيئة الموجودة هناك، يتم فحص وتدقيق كافة عناصر نظم المعلومات وذلك من مدخلات ومخرجات ونتائج ومعالجات. الركائز الأساسية في عملية تدقيق نظم وتقنية المعلومات هي بأن يتم فحص وتقييم مدى فعالية وكفاءة الأنظمة الموجودة حاليا في الشركات أو المؤسسات التي من أجلها يتم حماية معلومات الشركة نفسها. بالتحديد وعلى وجه الخصوص، هي بأن يتم اختبار وفحص قدرة المنظمات على حماية وأمن معلوماتها وأصول ممتلكاتها، وأيضا للتأكد ما إذا كانت المنظمة تقوم على توزيع ومعالجة المعلومات بشكل دقيق وصحيح على جهاتها المعتمدة. التدقيق في تقنية ونظم المعلومات يتمحور أيضا ويستلخص في النقاط/ الأسئلة التالية: هل ستكون الأنظمة الخاصة بأجهزة الحاسب الآلي التي تعمل في المؤسسة متاحة دائما عند الحاجة إليها؟ - تعرف هذه الركيزة بمصطلح «إتاحة البيانات» أو بالإنجليزية "Data Availability". هل سيتم حفظ المعلومات وعرضها وإتاحتها حصريا فقط على الأشخاص المصرحين لهم بذلك؟ - تعرف هذه الركيزة بمصطلح «سرية البيانات» أو بالإنجليزية "Data Confidentiality". هل المعلومات المتواجدة والمحتفظ بها في هذه الأنظمة ستكون محل ثقة وسليمة وغير معدل بها، هل ستكون موثوقة أو دقيقة في الوقت المطلوب؟ - تعرف هذه الركيزة بمصطلح «نزاهة البيانات» أو بالإنجليزية "Data Integrity". وبكل تلك الطرق، من المرجح جدا في أن هذا التدقيق سيلعب دور كبير في تقييم المخاطر المتوقعة على الشركات والمنظمات والحد من هذه المخاطر في التأثير على أصول المعلومات والبيانات للمنظمة.

أسباب طارئة

هناك أيضًا عمليات تدقيق جديدة تفرضها مختلف المجالس القياسية والتي يتعين تنفيذها، اعتمادًا على المؤسسة المدققة، والتي ستؤثر على تكنولوجيا المعلومات وتضمن أن أقسام تكنولوجيا المعلومات تؤدي وظائف وضوابط معينة بشكل مناسب لتكون متوافقة. ومن أمثلة عمليات التدقيق هذه SSAE 16 و ISAE 3402 و ISO27001: 2013 . تدقيقات وجود الويب أدى تمديد وجود تكنولوجيا المعلومات للشركات إلى ما وراء جدار حماية الشركة (مثل اعتماد وسائل التواصل الاجتماعي من قبل المؤسسة إلى جانب انتشار الأدوات المستندة إلى مجموعة النظراء مثل أنظمة إدارة وسائل التواصل الاجتماعي) إلى زيادة أهمية دمج عمليات تدقيق حضور الويب في IT / IS (التدقيقي). تتضمن أغراض عمليات التدقيق هذه ضمان قيام الشركة باتخاذ الخطوات اللازمة من أجل: كبح استخدام الأدوات غير المصرح بها (مثل «تكنولوجيا المعلومات الظلية»). تقليل الأضرار التي لحقت السمعة. الحفاظ على الامتثال التنظيمي. منع تسرب المعلومات. تخفيف مخاطر الطرف الثالث. تقليل مخاطر الحكم. كان استخدام الأدوات التي طورتها الإدارات أو المستخدم موضوعًا مثيرًا للجدل في الماضي. ومع ذلك، مع توافر أدوات تحليل البيانات على نطاق واسع، ولوحات المعلومات، والحزم الإحصائية، لم يعد المستخدمون بحاجة إلى الوقوف في طابور انتظار موارد تكنولوجيا المعلومات لتلبية الطلبات التي لا نهاية لها على ما يبدو للتقارير. تتمثل مهمة تقنية المعلومات في العمل مع مجموعات الأعمال لجعل الوصول المصرح به والإبلاغ عنه أسهل ما يمكن. لاستخدام مثال بسيط، يجب ألا يضطر المستخدمون إلى إجراء مطابقة البيانات الخاصة بهم بحيث يتم ربط الجداول العلائقية الخالصة بطريقة ذات معنى. يحتاج تكنولوجيا المعلومات إلى إتاحة ملفات نوع مستودع بيانات غير طبيعية للمستخدمين بحيث يتم تبسيط أعمال التحليل الخاصة بهم. على سبيل المثال، ستقوم بعض المؤسسات بتحديث المستودع بشكل دوري وإنشاء جداول «سهلة الاستخدام» يمكن تحميلها بسهولة بواسطة حزمة مثل Tableau واستخدامها لإنشاء لوحات معلومات. تدقيق اتصالات المؤسسة يؤدي ظهور شبكات VOIP وقضايا مثل BYOD والقدرات المتزايدة لأنظمة الاتصالات الهاتفية للمؤسسات الحديثة إلى زيادة خطر إساءة تكوين البنية التحتية الأساسية للاتصالات الهاتفية، مما يترك المؤسسة مفتوحة أمام إمكانية الاحتيال في الاتصالات أو تقليل ثبات النظام. تقوم البنوك والمؤسسات المالية ومراكز الاتصال بوضع سياسات يتم تطبيقها عبر أنظمة الاتصالات الخاصة بها. تقع مهمة التدقيق في أن أنظمة الاتصالات في امتثال للسياسة على عاتق مراجعي الاتصالات المتخصصين. تضمن عمليات التدقيق هذه أنه يجب على أنظمة اتصالات الشركة مراعاة مايلي: الالتزام بالسياسة المعلنة. اتبع السياسات المصممة لتقليل مخاطر القرصنة أو التزوير. الحفاظ على الامتثال التنظيمي. منع أو تقليل عدد عمليات الاحتيال. تخفيف مخاطر الطرف الثالث. تقليل مخاطر الحكم. وتسمى عمليات تدقيق الاتصالات في المؤسسة أيضًا «التدقيق الصوتي»، ولكن يتم إهمال المصطلح بشكل متزايد لأن البنية التحتية للاتصالات تصبح بشكل متزايد موجهة للبيانات وتعتمد على البيانات. يتم أيضًا إهمال مصطلح «تدقيق الاتصال الهاتفي» نظرًا لأن البنية التحتية الحديثة للاتصالات، خاصةً عند التعامل مع العملاء، هي قناة شاملة، حيث يحدث التفاعل عبر قنوات متعددة، وليس فقط عبر الهاتف. واحدة من القضايا الرئيسية التي ابتليت بها مراجعة اتصالات المؤسسة هي عدم وجود معايير محددة من قبل الصناعة أو معايير معتمدة من الحكومة. تعتمد عمليات تدقيق تكنولوجيا المعلومات على أساس الالتزام بالمعايير والسياسات التي تنشرها مؤسسات مثل NIST و PCI، ولكن عدم وجود هذه المعايير لتدقيق اتصالات المؤسسة يعني أن هذه المراجعات يجب أن تستند إلى المعايير والسياسات الداخلية للمنظمة، بدلاً من الصناعة، المعايير. نتيجة لذلك، لا تزال عمليات تدقيق اتصالات المؤسسة تتم يدويًا، مع إجراء اختبارات عشوائية لأخذ العينات. وأدوات آلية عمل تدقيق السياسات لاتصالات المؤسسة أصبحت متوفرة مؤخرًا فقط.

أمن المعلومات

يعد تدقيق أمن المعلومات جزءًا حيويًا من أي تدقيق لتكنولوجيا المعلومات، وغالبًا ما يُفهم أنه الغرض الأساسي من تدقيق تكنولوجيا المعلومات. ويشمل نطاق واسع لأمن المعلومات التدقيق في مواضيع مثل مراكز البيانات (الأمن المادي لمراكز البيانات وأمن المنطقي لقواعد البيانات والخوادم ومكونات البنية التحتية للشبكة)، الشبكات وتطبيق الأمن. مثل معظم المجالات الفنية، هذه المواضيع تتطور دائمًا؛ يجب أن يواصل مراقبو تقنية المعلومات باستمرار توسيع معارفهم وفهمهم للأنظمة والبيئة والسعي في شركة النظام.

أنواع عمليات التدقيق في تقنية المعلومات

قام عدد كبير من السلطات بتمييز وتصنيف عدة مسميات وأنواع لعمليات التدقيق في تقنية المعلومات. بحسب ماثبت من جودمن ولوليس (Goodman & Lawless)، إجراءات عمليات تدقيق تقنية المعلومات يقوم تحت ثلاث أساليب رئيسية ممنهجة ومحددة وهي: التدقيق في عمليات الابتكار التكنولوجي: الأسلوب في هذا التدقيق يتمحور في النظر في مخاطر المشاريع الجديدة والقائمة أيضا. وللتوضيح، هذا التدقيق يقوم باختبار الشركة في مدى كفاءة وقوة الخبرة والتجارب في التقنيات المختارة والمنفذة، وأيضا يقوم باختبار قوة تواجدها ومكانتها بين الأسواق التي لها علاقة بهذه التقنيات. إضافة إلى ذلك، يقوم هذا التدقيق بفحص المنظمة المسؤولة عن تنفيذ كل مشروع والهيكلة العامة المتواجدة في المنظمات والتي تتعامل مع سوق العمل بذاته. التدقيق في عمليات الابتكار المقارن: هذا التدقيق يعمل على فحص وتحليل قدرات الابتكار في الشركة القائم فيها التدقيق، ويتم دراسة ومقارنة هذه الشركة مع منافسيها من هذا المجال. إضافة إلى ذلك، يتم فحص السجل الخاص بالشركة لمعرفة ما إذا كانت الشركة قادرة بالفعل على صناعة وابتكار منتج جديد. التدقيق في عمليات الوظائف التكنولوجية: هذا التدقيق يهتم في التقنيات المستخدمة حاليا في الشركة، وأيضا التقنيات المطلوبة في الشركة/المنظمة. يصف آخرون نطاق عمليات تدقيق تكنولوجيا المعلومات بخمس فئات من عمليات التدقيق وهي: الأنظمة والتطبيقات: مراجعة للتحقق من أن الأنظمة والتطبيقات مناسبة وفعالة ويتم التحكم فيها بشكل مناسب لضمان إدخال ومعالجة وإخراج صالحة وموثوقة وفي الوقت المناسب وآمنة على جميع مستويات نشاط النظام. تشكل عمليات تدقيق ضمان النظام والعمليات نوعًا فرعيًا، يركز على أنظمة تكنولوجيا المعلومات التجارية التي تتمحور حول العمليات التجارية. تهدف عمليات التدقيق هذه إلى مساعدة المدققين الماليين. مرافق معالجة المعلومات: مراجعة للتحقق من أن منشأة المعالجة يتم التحكم فيها لضمان معالجة الطلبات في الوقت المناسب ودقيقة وفعالة في ظل الظروف العادية والتي من المحتمل أن تكون معطلة. تطوير النظم: مراجعة للتحقق من أن الأنظمة قيد التطوير تفي بأهداف المنظمة، ولضمان تطوير الأنظمة وفقًا للمعايير المقبولة عمومًا لتطوير الأنظمة. إدارة تكنولوجيا المعلومات وهندسة المؤسسات: مراجعة للتحقق من أن إدارة تكنولوجيا المعلومات قد طورت هيكلاً وإجراءات تنظيمية لضمان بيئة مضبوطة وفعالة لمعالجة المعلومات. العميل / الخادم، الاتصالات السلكية واللاسلكية، الشبكات الداخلية، والشبكات الخارجية: مراجعة للتحقق من وجود ضوابط الاتصالات عن بعد على العميل (خدمات استقبال الكمبيوتر)، الخادم، وعلى الشبكة التي تربط بين العملاء والخوادم. وبعضها يراجع جميع عمليات تدقيق تكنولوجيا المعلومات باعتبارها واحدة من نوعين فقط: عمليات مراجعة «مراجعة التحكم العامة» أو عمليات مراجعة «مراجعة التحكم في التطبيق». يعتبر عدد من المتخصصين في مراجعة تكنولوجيا المعلومات من مجال ضمان المعلومات أن هناك ثلاثة أنواع أساسية من الضوابط بغض النظر عن نوع التدقيق الذي يتعين إجراؤه، وخاصة في مجال تكنولوجيا المعلومات. تحاول العديد من الإطارات والمعايير تقسيم عناصر التحكم إلى تخصصات أو ساحات مختلفة، مما يعني أنها «عناصر تحكم الأمان»، «عناصر التحكم في الوصول»، «عناصر تحكم IA» في محاولة لتحديد أنواع عناصر التحكم المعنية. على مستوى أكثر جوهرية، يمكن أن تظهر عناصر التحكم هذه على ثلاثة أنواع من الضوابط الأساسية: الضوابط الوقائية، وضوابط المباحث، والضوابط التفاعلية/التصحيحية. في IS، هناك نوعان من المدققين والمراجعة: داخلي وخارجي. عادة ما يكون تدقيق IS جزءًا من التدقيق الداخلي في المحاسبة، وغالبًا ما يتم إجراؤه بواسطة المدققين الداخليين للشركة. يقوم المراجع الخارجي بمراجعة نتائج التدقيق الداخلي وكذلك مدخلات ومعالجة ومخرجات نظم المعلومات. غالباً ما تكون المراجعة الخارجية لأنظمة المعلومات جزءًا من المراجعة الخارجية الشاملة التي تقوم بها شركة محاسب قانوني معتمد. تدرس IS جميع المخاطر والضوابط المحتملة في نظم المعلومات. إنها تركز على قضايا مثل العمليات والبيانات والنزاهة وتطبيقات البرامج والأمن والخصوصية والميزانيات والنفقات ومراقبة التكاليف والإنتاجية. تتوفر إرشادات لمساعدة المراجعين في وظائفهم، مثل تلك الموجودة في جمعية تدقيق ومراقبة أنظمة المعلومات.

تاريخ تدقيق تكنولوجيا المعلومات

تم تشكيل مفهوم تدقيق تكنولوجيا المعلومات في منتصف الستينيات. منذ ذلك الوقت، مرت تدقيق تكنولوجيا المعلومات بالعديد من التغييرات، ويرجع ذلك إلى حد كبير إلى التقدم في التكنولوجيا ودمج التكنولوجيا في الأعمال. حاليًا، هناك العديد من الشركات المعتمدة على تكنولوجيا المعلومات والتي تعتمد على تقنية المعلومات من أجل إدارة أعمالها، مثل شركة الاتصالات أو البنوك. بالنسبة للأنواع الأخرى من الأعمال، تلعب تكنولوجيا المعلومات الجزء الأكبر من الشركة بما في ذلك تطبيق سير العمل بدلاً من استخدام نموذج طلب الورق، باستخدام التحكم في التطبيق بدلاً من التحكم اليدوي الذي هو أكثر موثوقية أو تطبيق تنفيذ ERP لتسهيل المنظمة باستخدام تطبيق واحد فقط. وفقا لهذه، تزداد أهمية تدقيق تكنولوجيا المعلومات باستمرار. أحد أهم أدوار تدقيق تكنولوجيا المعلومات هو التدقيق على النظام المهم لدعم التدقيق المالي أو لدعم اللوائح المحددة المعلنة مثل SOX.

مراحل التدقيق

النقاط التالية تشكل الخطوات أو المراحل الرئيسية في تكوين عمليات التدقيق في تقنية المعلومات: التخطيط. تقييم ودراسة الضوابط. تقييم واختبار الضوابط. التقرير والتسجيل. المتابعة. الإقرار.

شرح مبسط

تدقيق تقنية المعلومات أو تدقيق نظم المعلومات، هي الممارسة التي تدور حول التحكم بإدارة وفحص البنية التحتية الخاصة بتقنية المعلومات. تدور هذه الممارسات والتحكم والتقييمات في نظم المعلومات ما إذا كانت هذه الأنظمة تحت نطاق آمن للإستخدام وسهل للوصول وآمن بالنسبة لمعايير المصداقية ومعايير التشغيل والسلامة من الجرائم الإلكترونية المفتعلة أو المتعمدة. هنالك أهداف وسياسات واضحة تخضع تحت نظام إدارة وتحكم النظم التشغيلية في تدقيق تقنية المعلومات، ومن أهم هذه السياسات هو تحقيق أهداف المنظمة التشغيلية أو الشركة. يمكن أن يكون هنالك أيضا بعض المعايير التي تتدخل في تحقيق نجاح التدقيق المعلوماتي مثل الكشوفات المالية، التدقيق الداخلي أو أي افتراضيات أخرى قد تتدخل أيضا لاحقا.

التعليقات

لم يعلق احد حتى الآن .. كن اول من يعلق بالضغط هنا